论文阅读：一种采用匿名生物特征的基于模糊无证书签名的车载自组网高效认证方案

Info

文章出处：An efficient fuzzy certificateless signature-based authentication scheme using anonymous biometric identities for VANETs

1 预备知识

1.1 困难问题

ECDL 问题
椭圆曲线上的循环加法群 $G$ 由无穷远点 $O$ 和曲线 $E$ 上的其他点组成， $P$ 、 $q$ 为生成元和阶。给定群 $G$ 中已知两个点 $P$ 和 $Q$ ，且 $Q = xP$ ，其中 $x \in \mathbb{Z}_q^*$ 。敌手 $A$ 在 PPT 时间内计算 $x$ 是困难的，即解决 ECDL 问题的概率 $\epsilon$ 是可忽略的。
* 注：然而，本文方案实际并未使用到椭圆曲线，故基于的困难问题应为离散对数问题
RSA 问题
一个 PPT 敌手 $A$ 尝试计算一个整数 $u$ ，使得 $u^e \equiv c \pmod{n}$ ，其中 $(n,e,c)$ 是已知的，且 $n$ 是两个不同奇素数 $p$ 和 $q$ 的乘积，满足最大公约数 $\gcd(e, (p - 1)(q - 1)) = 1$ 。 $A$ 解决 RSA 问题的概率 $\epsilon_{\text{RSA}}^A = \Pr[A(n, e, c) \to u]$ 是可忽略的。
变种 RSA 问题
一个 PPT 敌手 $A$ 尝试计算两个整数 $(w,u)$ ，使得 $u^e \equiv a w^z \pmod{n}$ 。其中 $(n, e, a, z)$ 是已知的，且 $n$ 是两个不同奇素数 $p$ 和 $q$ 的乘积，满足 $\gcd(e, (p - 1)(q - 1)) = 1$ 。 $A$ 解决 VRSA 问题的概率 $\epsilon_{\text{VRSA}}^A = \Pr[A(n, e, a, z) \to (w, u)]$ 是可忽略的。

1.2 Shamir 秘密共享

Shamir 秘密共享方案通过将一个秘密值 $s$ 拆分为 $n$ 个片段 $s_1, ..., s_n$ ，每位参与者 $P_1, ..., P_n$ 分别持有一个片段。核心原理是：当群体中至少有 $t$ 个成员时，能够恢复秘密值 $s$ ；否则无法恢复。

秘密分发
- 随机选择 $s \in Z_q^*$ 作为共享的秘密值，随机选取一个满足 $f(0) = s$ 的 $t-1$ 次多项式 $f(x)= s + \sum_{j=1}^{t-1} a_jx^j \ mod \ q$
- 随机选择 $\alpha_i \in Z_q^*$ ，计算 $f(\alpha_i) = s_i$ ，其中 $i \in \{1, ..., n\}$
- 将第 $i$ 个片段 $\{\alpha_i, f(\alpha_i) \}$ 分发给对应的参与者 $P_i$
秘密恢复：对包含至少 $t$ 个参与者的群体 $S$ ，这些参与者通过以下等式恢复秘密值 $s=f(\alpha_i)$ ，其中 $\Delta_{\alpha_i,S}(x)$ 为拉格朗日基本多项式：

$f(x) = \sum_{P_i \in S} \Delta_{\alpha_i,S}(x) f(\alpha_i)$

$\Delta_{\alpha_i,S}(x) = \prod_{P_k \in S, k \neq i} \frac{x - \alpha_k}{\alpha_i - \alpha_k} \mod q$

1.3 汉明距离

汉明距离（Hamming Distance）最早用于数据传输纠错码，是两个字符串或向量中对应位置位不同的数目。给定两个等长的字符串或向量 $x = (x_1, x_2, \dots, x_n)$ 和 $y = (y_1, y_2, \dots, y_n)$ ，其汉明距离 $d_H(x, y)$ 定义为：

$d_H (x, y) = \sum_{i=1}^{n} \delta (x_i, y_i), \ \text {其中} \ \delta (x_i, y_i) = \begin {cases} 1 & \text {当 } x_i \neq y_i \\ 0 & \text {当 } x_i = y_i \end {cases}$

2 认证方案流程

$Setup$ ：系统初始化，由 TA 执行，输入安全参数 $λ$ ，TA 与 KGC 共同输出系统主私钥 $s$ ，并发布系统参数 $Para$
$Registration \ and \ Pseudo$ - $identity \ Generation$ ：注册与假名生成，每辆车辆 $V_j$ 向 TA 申请注册，TA 运行本算法输入车辆的生物特征 $bio_j$ ，输出生物身份 $BID_j$ 。随后车辆为 $V_j$ 创建假名 $PID_j$ ，并通过安全信道发送给车辆
$Partial \ Private \ Key \ Extract$ ：部分密钥生成，由 KGC 执行，输入 $V_j$ 的假名 $PID_j$ 、系统主密钥 $s$ 和系统参数 $Para$ ，输出 $V_j$ 的部分私钥 $PS_{PID}$
$Set \ Secret \ Value$ ：设置秘密值，由 $V_j$ 执行，输入其假名 $PID_j$ 和系统参数 $Para$ ，生成其秘密值 $x_{PID}$
$Set \ Private \ Key$ ：设置私钥，由 $V_j$ 执行，输入假名 $PID_j$ 、部分私钥 $PS_{PID}$ 、系统参数 $Para$ 和秘密值 $x_{PID}$ ，生成其完整私钥 $SK_{PID}$
$Set \ Public \ Key$ ：设置公钥，由 $V_j$ 执行，给定车辆 $V_j$ 的秘密值 $x_{PID_j}$ ，生成 $V_j$ 的公钥 $PK_{PID_j}$
$Sign$ ：签名，由 $V_j$ 执行，输入 $V_j$ 的假名 $PID_j$ 、系统参数 $Para$ 、消息 $m$ 和完整私钥 $SK_{PID}$ ，输出与 $PID_j$ 和消息 $m$ 关联的签名 $\sigma$
$Verify$ ：验证，给定车辆 $V_j$ 的假名 $PID_j$ 、系统参数 $Para$ 、公钥 $PK_{PID_j}$ 、消息 $m$ 和签名 $\sigma$ ，返回 $1$ 或 $0$

2.1 系统初始化

在此阶段，TA 生成系统主密钥并公布参数列表：

给定安全参数 $\lambda$ ，随机选取大素数 $p$ 和 $q$ ，计算 $ϕ(N)=(p−1)(q−1)$ 和 $N=pq$ ，并将 $p$ 、 $q$ 和 $ϕ(N)$ 保密
另选一组大素数 $p'$ 和 $q'$ ，使得 $p' \neq p、q' \neq q$ 、且 $q' \mid (p'-1)$ 。同时，选取 $g \in \mathbb{Z}^*_{p'}$ 且 $g \neq 1$ ，满足 $g^{q'} \equiv 1 \pmod{p'}$
TA 随机选取一个整数 $e$ ，满足 $1 < e < \phi(N)$ 且 $\text{gcd}(e, \phi(N)) = 1$ 。TA 根据方程 $e \cdot s \equiv 1 \pmod{\phi(N)}$ 计算出主私钥 $s$
定义一个安全的对称密钥加密方案 $\text{Enc}_\kappa(\cdot)/\text{Dec}_\kappa(\cdot)$ ， $\kappa$ 为对称密钥
TA 与 KGC 选择三个密码学哈希函数：
- $H_1:\{0, 1\}^* \to\mathbb{Z}^*_{N}$
- $H_2 : \{0, 1\}^* \to \{0, 1\}^{|N|/4}$
- $H_3 : \{0, 1\}^* \times \{0, 1\}^* \times \mathbb{Z}^*_{p'} \times \{0, 1\}^\pi \to \mathbb{Z}^*_{q'}$
公开参数列表 $Para=(p',q',N,e,g,H_1,H_2,H_3)$

2.2 注册和假名生成

车辆在进入车联网前需要向 TA 注册：

$V_j$ 通过安全信道向 TA 提供其真实的生物特征 $bio$
TA 生成生物特征标识 $BID_j = \text{IdGen}(bio)$ ， $\text{IdGen}(\cdot)$ 是一种身份提取函数
TA 为 $V_j$ 创建假名 $PID_j = \text{Enc}_\kappa(BID_j \| n_{PID}) \| T_j$ ，其中 $n_{PID}$ 是请求的假名数量， $T_j$ 为假名有效期
TA 通过安全信道向 $V_j$ 发送 $\{BID_j, PID_j\}$

这一步还考虑了恶意车辆冒充 RSU 的情况，作者声称的解决方案是：

定义另一个安全签名方案，由 TA 将方案交给 RSU
RSU 定期广播自己的公钥、私钥签名后的真实身份、验签方法 $Ver_{pk}(.)$
车辆用 RSU 公钥验签；若验证失败，表明为假冒 RSU，向 TA 上报
TA 追溯此假冒 RSU 的真实身份

但这样做实际上是把系统的安全性建立在这个签名方案的保密性上，这并不能解决实际问题；而如果方案公开，对于一个正确的签名方案，伪装成 RSU 的恶意车辆总能自行选取一个 $RID'$ ，对 $RID'$ 生成一个合法签名并通过其他车辆的验证。

2.3 完整密钥生成

KGC 获取车辆 $V_j$ 假名 $PID_j$ ，生物特征相关属性集 $\omega = (\omega_i)_{i=1}^n$ ，主私钥 $s$ ，为 $V_j$ 生成部分私钥：

随机选取阶数为 $d-1$ 的多项式 $p(x)$ ，满足 $p(0) = s$
计算 $V_j$ 的部分私钥 $PS_{PID_j}=(PS_{i,j})_{i=1}^n$ ，其中 $PS_{i,j} = H_1(PID_j)^{p(\omega_i)} \ mod \ N$
将部分私钥 $PS_{PID_j}$ 经安全信道交给 $V_j$
车辆 $V_j$ 计算完整的公私钥对：
- 随机选取 $x_{PID_j} \in \mathbb{Z}^*_{q'}$ 和阶数为 $d-1$ 的多项式 $f(x)$ ，满足 $f(0) = x_{PID_j}=\{x_{i, PID_j}\}_{i=1}^n$ ，其中 $x_{i, PID_j} = f(\omega_i)$
- 私钥 $SK_{PID_j} = (PS_{PID_j}, x_{PID_j})$ ，公钥 $PK_{PID_j} = g^{x_{PID_j}} \ mod \ p'$

2.4 签名

车辆 $V_j$ 对消息 $m_j$ 签名：

随机选取 $l_j \in \mathbb{Z}^*_N$ 和阶数为 $d−1$ 的多项式 $g(x)$ ，满足 $g(0) = l_j$ 。对于 $i \in \{1, \dots, n\}$ ，计算：
- $y_{i,j} = l_{i,j}^e \ mod \ N$ ，其中 $l_{i,j} = g(\omega_i)$
- $u_{i,j} = P\text{S}_{i,j} \cdot l_{j}^{H_2(m_j)} \ mod \ N$
随机选取 $k_j \in \mathbb{Z}^*_N$ 和阶数为 $d−1$ 的多项式 $q(x)$ ，满足 $q(0) = k_j$ 。对于 $i \in \{1, \dots, n\}$ ，计算：
- $r_j = g^{k_j} \ mod \ p'$
- $v_{i,j} = k_{i,j} - x_{PID_j} \cdot h_j \ mod \ q'$ ，其中 $k_{i,j} = q(\omega_i)$ ， $h_j = H_3(m_j, PID_j, r_j, T_j)$ ， $T_j$ 为时间戳
得到签名 $\sigma_j = (u_j, v_j, y_j, r_j, h_j)$ ，其中 $y_j = (y_{i,j})_{i=1}^n$ , $u_j = (u_{i,j})_{i=1}^n$ , $v_j = (v_{i,j})_{i=1}^n$

2.5 验证

验证者接收消息 - 签名对 $(m_j, \sigma_j)$ 和车辆 $V_j$ 公钥 $PK_{PID_j}$ ，生物特征相关属性集 $\omega = (\omega_i)_{i=1}^n$ ， $\omega' = (\omega'_i)_{i=1}^n$ ，其满足 $|\omega \cap \omega'| \geq d$ ，验证签名：

从 $\omega \cap \omega'$ 中随机选取一个包含 $d$ 个元素的子集 $S$ ，验证等式

$\left( \prod_{\omega_i \in S} u_{i,j}^{\Delta_{\omega_i, S(0)}} \right)^e = H_1(PID_j) \cdot \left( \sum_{\omega_i \in S} y_{i,j}{\Delta_{\omega_i, S(0)}} ^{H_2(m_j)ed \Delta_{\omega_i, S(0)}} \right) \mod N$

其中 $\Delta_{\omega_i, S(0)}$ 为拉格朗日基本多项式。若上述等式成立，进入下一步验证
计算 $h_j' = H_3(m_j, PID_j, r_j', T_j)$ ，验证等式

$r'_j=\left(\prod_{\omega_i \in S} g_j^{v'_{i,j}} \right) \cdot \left(PK_{PID_j} \right)^{h'_j d} \ mod \ p'$

3 安全性分析

3.1 安全规约回顾

安全规约中涉及的三类实体：

敌手（Adversary）：意图攻破密码学方案的实体；
挑战者（Challenger）：当敌手与真实方案（Real Scheme）交互时，敌手实际上是在与挑战者交互，由挑战者生成真实方案并应答敌手的询问请求。挑战者仅出现在安全模型和安全描述中；
模拟器（Simulator）：当敌手与模拟方案（Simulated Scheme）进行交互时，敌手实际上是在与模拟器进行交互，由模拟器生成模拟方案并应答来自敌手的询问请求。模拟器仅出现在安全归约中，作为运行归约算法的一方。

3.2 无证书签名的安全模型

I 型敌手：外部攻击者，可随意替换任意实体的公钥，但无法获知主密钥
II 型敌手：恶意的 KGC，可获知系统主密钥，但无法替换用户公钥

3.3 本文模拟方案

底层困难问题

DL 问题：已知 $\{x, y \ | \ y=g^x, \ x \in Z_q^∗ \}$ ，求解 $x$ 是困难的。
VRSA 问题：已知 $\{n, e, a, z \ | \ \ n = pq, \ \gcd(e, (p-1)(q-1)) = 1, u^e \equiv a w^z \pmod{n}, \ u, w \in Z_q^∗ \}$ ，求解 $u$ 和 $w$ 是困难的。

3.4 求解困难问题

Type I 型敌手

I 型敌手伪造对于 $(\hat{PID} , \hat{m} )$ 的签名 $(\hat{u} ,\hat{v} ,\hat{y} ,\hat{r} ,\hat{h} )$ ，满足

得 $\left(\sum_{\omega_i \in S} \hat{y}_i{\Delta_{\omega_i, S(0)}}, \prod_{\omega_i \in S} \hat{u}_i^{\Delta_{\omega_i, S(0)}}\right)$ 为困难问题的解

然而，这与 VRSA 问题的难度相矛盾，故方案是安全的。

Type II 型敌手

在询问 $Public \ Key \ Query$ 时，若 $|PID \cap PID_{\pi}| \geq d$ ，则令 $P K_{PID} = \beta$
在求解推导中，通过控制 $H_3$ 的不同，得到对同一条消息的两条签名，满足
$\left( \prod_{\omega_i \in S} g^{\hat{v}} \right) PK_{P ID_\pi}^{\hat{h}d} = \hat{r} \ mod \ p'$ ①
$\left( \prod_{\omega_i \in S} g^{\hat{v'}} \right) PK_{P ID_\pi}^{\hat{h'}d} = \hat{r} \ mod \ p'$ ②
$①-②$ 得 $\log_g \beta = \frac{\hat{v} - \hat{v}'}{(\hat{h}' - \hat{h})d}$ 为困难问题的解

然而，这与 DL 问题的难度相矛盾，故方案是安全的。

3.5 非形式化安全性证明

消息认证：根据证明，本方案在 ECDLP 和变种 RSA 问题难以解决的假设下是抗自适应选择消息攻击的，所提方案可以保证消息的完整性、认证性和不可否认性。
条件隐私保护：车辆 $V_i$ 使用假名 $P ID_j$ 保护其真实身份，假名基于安全对称加密方案 $\text{Enc}_\kappa(\cdot)/\text{Dec}_\kappa(\cdot)$ 生成，在不知道对称密钥 $\kappa$ 的情况下，任何实体都无法恢复 $V_i$ 的真实身份。仅 TA 拥有密钥，具备恢复 $V_i$ 的真实身份 $BID_j$ 的能力。
容错性：方案基于秘密共享将系统主私钥 $s$ 和车辆 $V_j$ 的秘密值 $x_{PID_j}$ 分别分成 $n$ 份，使得车辆 $V_j$ 的部分私钥、完整私钥及签名均可以被构造为 $n$ 份的形式。任何包含至少 $d$ 个属性的属性集均可验证 $V_j$ 的签名，因此方案具有容错性。
可追溯性：当恶意车辆发送错误信息时，TA 可通过下述公式提取车辆 $V_j$ 的生物特征身份 $BID_j$ 并追踪恶意车辆：
不可链接性：假名生成时用到的随机数 $l_j$ 和 $k_j$ 是不重复的，每个 $PID$ 是随机且唯一的。因此，攻击者无法关联由同一签名者生成的多个签名。

4 实验评估

4.1 计算开销

本文采用 MIRACL 密码学库计算了不同基本操作的执行时间。选取的参考方案 [19~25] 均为基于双线性配对的方案，因此与作者选取的这些方案相比，本文无配对的方案具有更低的计算开销。

$T_{bp}$ ：执行双线性映射操作的时间
$T_{bp.m}$ ：执行基于双线性映射的标量乘法操作的时间
$T_{bp.sm}$ ：执行基于双线性映射的小指数测试的时间
$T_{bp.a}$ ：执行基于双线性映射的点加操作的时间
$T_{e.m}$ ：执行椭圆曲线上标量乘法操作的时间
$T_{e.sm}$ ：执行椭圆曲线上小指数测试的时间
$T_{e.a}$ ：执行椭圆曲线上点加操作的时间
$T_{e.ex}$ ：执行模幂运算所需的时间
$T_{mtp}$ ：执行映射到点的哈希时间

4.2 通信开销

对 I 型双线性配对，为达到 80bit 安全长度，需要 $|g_1 |≥ 1024(bits)$ ，故 $\mathbb{G}_1$ 的群元素大小为 $1024\div 8=128$ 字节。对比表明，本文方案在签名长度方面具有更低的通信开销。

$l_{Z^*_{q}}$ ：20 字节， $Z^*_{q}$ 中的元素长度
$l_{G_1}$ ：128 字节， $\mathbb{G}_1$ 中的元素长度
$l_{G}$ ：40 字节， $\mathbb{G}$ 中的元素长度
时间戳和哈希函数的输出分别设置为 4 字节和 20 字节