论文阅读：面向车载自组网中安全和隐私保护车对车通信的支持批量认证的无证书签名方案

Info

文章出处：Certificateless Signature Scheme with Batch Verification for Secure and Privacy-Preserving V2V Communications in VANETs

1 方案介绍

1.1 无证书签名方案 CLSS

$Setup(k)$ ：系统初始化
$PPKE(UID_i, s)$ ：部分密钥生成
$SPRK(UID_i, d_i)$ ：设置用户完整私钥
$SPK(UID_i, sv_i)$ ：设置用户公钥
$Sign(M_i, sk_i, UID_i, pk_i)$ ：签名
$Verify(M_i, σ_i, UID_i, pk_i)$ ：单次验证
$BatchVerify(\{M_i, σ_i, UID_i, pk_i\}^n_{i=1})$ ：批量验证

1.1.1 系统初始化

$Setup(k)$ ：由 $KGC$ 执行，根据安全参数生成主密钥和参数列表

给定安全参数 $k$ ，生成参数集合 $\langle G_1, G_2, \psi, G_T, e, q, P, P' \rangle$
随机选取 $s \in \mathbb{Z}_{q}^*$ 作为主私钥，计算主公钥 $P_0 = sP, P'_0 = sP'$
选择三个密码学哈希函数 $H_0 : \{0, 1\}^* \rightarrow G_1^*$ , $H_1 : \{0, 1\}^* \rightarrow \mathbb{Z}_{q}^*$ , $H_2 : \{0, 1\}^* \rightarrow G_2^*$
公开参数列表 $\text{paramList} = \{G_1, G_2, \psi, G_T, e, q, P, P', P_0, P'_0, H_0, H_1, H_2\}$

1.1.2 部分密钥生成

$PPKE(UID_i, s)$ ：由 $KGC$ 执行，接受用户身份 $UID_i \in \{0, 1\}^*$ 和主私钥 $s$ 作为输入，生成用户部分私钥 $d_i$

计算 $d_i = sQ_i$ ，其中 $Q_i = H_0(U ID_i)$

1.1.3 设置完整私钥

$SPRK(UID_i, d_i)$ ：由具有 $UID_i$ 身份的用户执行，输入身份 $UID_i$ 和部分私钥 $d_i$ ，生成其完整私钥 $sk_{i}$

选择随机数 $sv_{i} \in \mathbb{Z}_{q}^*$ 作为其秘密值
设置完整私钥 $sk_{i} = (sv_{i}, d_i)$

1.1.4 设置公钥

$SPK(UID_i, sv_i)$ ：由具有 $UID_i$ 身份的用户执行，输入用户身份 $UID_i$ 和秘密值 $sv_i$ ，生成用户公钥 $pk_i$

计算 $pk_i=sv_iP$

1.1.5 签名

$Sign(M_i, sk_i, UID_i, pk_i)$ ：由具有 $UID_i$ 身份、完整私钥 $sk_i$ 和公钥 $pk_i$ 的签名者执行，输入消息 $M_i$ 、 $sk_{i}$ 、 $UID_i$ 和 $pk_i$ ，生成对消息 $M_i$ 的签名 $σ_i$

随机选取 $r_i \in \mathbb{Z}_{q}^*$ ，设置 $R_i = r_iP$
计算 $u_i = H_1(UID_i || M_i || pk_i || R_i || \Delta)$ 和 $W = H_2(\Delta)$ ，其中 $\Delta$ 是基于时间戳生成的一次性消息
计算 $V_i = u_isv_{i}\psi(W) + u_id_i + r_i(\psi(W) + P_0)$
设置签名 $\sigma_i = (R_i, V_i)$

1.1.6 验证

$Verify(M_i, σ_i, UID_i, pk_i)$ ：输入消息 $M_i$ 、签名 $σ_i$ 、用户身份 $UID_i$ 和用户公钥 $pk_i$ ，验证者验证签名 $σ_i$ 的有效性

计算 $Q_i = H_0(U ID_i)$ ， $u_i = H_1(UID_i || M_i || pk_i || R_i || \Delta)$ ， $W = H_2(\Delta)$
如果 $e(V_i, P') = e(u_ipk_i + R_i, W)e(u_iQ_i + R_i, P'_0)$ 成立，则输出 $1$ ；否则输出 $0$

正确性证明：代入 $V_i = u_isv_{i}\psi(W) + u_id_i + r_i(\psi(W) + P_0)$ ， $d_i = sQ_i$ ， $P_0 = sP$ ， $P'_0 = sP'$ ， $pk_i=sv_iP$ ， $R_i = r_iP$ ，有
$e(V_i, P') = e(u_isv_{i}\psi(W) + u_id_i + r_i(\psi(W) + P_0), P')$
$=e(u_isv_{i}\psi(W), P') \cdot e(u_id_i , P') \cdot e(r_i\psi(W),P') \cdot e(r_iP_0,P')$
$=e(u_isv_{i}P,W) \cdot e(u_isQ_i,P') \cdot e(r_iP,W)\cdot e(r_iP,P_0')$
$=e(u_ipk_i,W)\cdot e(u_iQ_i,sP')\cdot e(R_i,W)\cdot e(R_i,P_0')$
$=e(u_ipk_i + R_i, W)e(u_iQ_i + R_i, P'_0)$

1.1.7 批量验证

$BatchVerify(\{M_i, σ_i, UID_i, pk_i\}^n_{i=1})$ ：验证者批量验证消息 - 签名对 $(M_i, σ_i)$

随机选取 $\theta = (\theta_1, \theta_2, ..., \theta_n)$ ，其中 $\theta_i \in \{0, 1\}^l$ ， $l$ 为小整数
计算 $Q_i = H_0(U ID_i)$ ， $u_i = H_1(UID_i || M_i || pk_i || R_i || \Delta)$ ， $W = H_2(\Delta)$
如果 $e(\sum_{i=1}^{n} \theta_i V_i, P')$ = $e(\sum_{i=1}^{n} \theta_i(u_i pk_i + R_i), W)$ $e(\sum_{i=1}^{n} \theta_i(u_i Q_i + R_i), P'_0)$ 成立，则输出 $1$ ；否则输出 $0$

正确性证明：代入 $V_i = u_isv_{i}\psi(W) + u_id_i + r_i(\psi(W) + P_0)$ ， $d_i = sQ_i$ ， $P_0 = sP$ ， $P'_0 = sP'$ ， $pk_i=sv_iP$ ， $R_i = r_iP$ ，有
$e(\sum_{i=1}^{n} \theta_i V_i, P') =e(\sum_{i=1}^{n} \theta_i (u_isv_{i}\psi(W) + u_id_i + r_i(\psi(W) + P_0)), P')$
$=e((\sum_{i=1}^{n} \theta_iu_isv_{i}) \cdot\psi(W), P') \cdot e(\sum_{i=1}^{n} \theta_iu_id_i , P')$ $\cdot e((\sum_{i=1}^{n} \theta_ir_i) \cdot \psi(W),P') \cdot e((\sum_{i=1}^{n} \theta_ir_i) \cdot P_0,P')$
$=e((\sum_{i=1}^{n} \theta_iu_isv_{i}) \cdot P,W) \cdot e(\sum_{i=1}^{n} \theta_iu_isQ_i,P')$ $\cdot e((\sum_{i=1}^{n} \theta_ir_i) \cdot P,W)\cdot e((\sum_{i=1}^{n} \theta_ir_i) \cdot P,P_0')$
$=e(\sum_{i=1}^{n} \theta_iu_ipk_i,W)\cdot e((\sum_{i=1}^{n} \theta_iu_iQ_i,sP')$ $\cdot e(\sum_{i=1}^{n} \theta_iR_i,W)\cdot e(\sum_{i=1}^{n} \theta_iR_i,P_0')$
$=e(\sum_{i=1}^{n} \theta_i(u_i pk_i + R_i), W)$ $e(\sum_{i=1}^{n} \theta_i(u_i Q_i + R_i), P'_0)$

1.2 车对车通信方案 ES&PPS

1.2.1 系统初始化阶段

在此阶段， $KGC$ 生成系统主密钥并公布参数列表

给定安全参数 $k$ ，运行 $Setup(k)$ 算法，生成主密钥 $s$ 和参数列表 $\text{paramList} = \{G_1, G_2, \psi, G_T, e, q, P, P', P_0, P'_0, H_0, H_1, H_2\}$
选择一个安全的对称加密方案 $E_{\text{key}}(\cdot) / D_{\text{key}}(\cdot)$ 及其密钥 $\text{key}$
设置系统主密钥为 $(\text{key}, s)$
公开参数列表 $\text{paramList}' = \{\text{paramList}, E_{\text{key}}(\cdot) / D_{\text{key}}(\cdot)\}$

1.2.2 车辆注册阶段

车辆需要向 $KGC$ 注册， $KGC$ 会为每辆车生成部分私钥和假名，并通过安全信道发送给每辆车；车辆收到后，生成完整私钥及对应公钥

车辆 $V_i$ 首先通过安全信道向 $KGC$ 提交注册请求 $(UID_i, \tilde{m})$ ，其中 $UID_i$ 是车辆的真实身份， $\tilde{m}$ 是请求的新假名数目
收到来自 $V_i$ 的注册请求后， $KGC$ 执行以下步骤：
- 计算 $PID_{i,j} = E_{\text{key}}(U ID_i || j) || t_i$ 生成一组假名，其中 $t_i$ 是假名有效期， $j \in \{1, \ldots, \tilde{m}\}$
- 运行 $PPKE(P ID_{i,j}, s)$ 算法，获得与 $P ID_{i,j}$ 对应的部分私钥 $d_{i,j}$
- 通过安全信道向 $V_i$ 发送 $\{(P ID_{i,j}, d_{i,j})\}_{j=1}^{\tilde{m}}$
车辆 $V_i$ 分别运行 $SPRK(PID_{i,j}, d_{i,j})$ 和 $SPK(P ID_{i,j}, sv_{i,j})$ 算法，生成相应的完整私钥 $sk_{i,j} = (sv_{i,j}, d_{i,j})$ 和公钥 $pk_{i,j}$

1.2.3 签名生成阶段

在车载自组网中，车辆需要定期广播交通相关信息 TRM。每辆车首先使用自己的完整私钥对 TRM 签名，再将签名后的 TRM 广播给附近车辆

运行 $\text{Sign}(M_i, sk_{i,j}, P ID_{i,j}, pk_{i,j})$ 算法生成对 $M_i$ 的签名 $\sigma_{i,j}$
$V_i$ 广播 $\{P ID_{i,j}, pk_{i,j}, M_i, \sigma_{i,j}\}$ 为签名后的 TRM

1.2.4 验证阶段

车辆可能在短时间内收到许多 TRM，可批量验证一组 TRM 的有效性。假设 $V_i$ 需要广播的 TRM 为 $M_i$ ，其中包含时间戳 $Ts_{i}$ ，则

车辆运行 $\text{BatchVerify}(\{M_i, \sigma_{i,j}, P ID_{i,j}, pk_{i,j}\}_{i=1}^{n})$ 算法验证这些已签名 TRM 的有效性。如果输出 $1$ ，则接受这些 TRM

1.2.5 追踪阶段

如果车辆发现了使用伪造签名的 TRM，可以请求 $KGC$ 披露签名者的真实身份

KGC 计算 $D_{\text{key}}(P ID_{i,j}) = D_{\text{key}}(E_{\text{key}}(U ID_{i}||j))$ 得到 $UID_{i}||j$ ，从而获知其真实身份 $UID_{i}$

2 安全性分析

2.1 安全规约回顾

安全规约中涉及的三类实体：

敌手（Adversary）：意图攻破密码学方案的实体；
挑战者（Challenger）：当敌手与真实方案（Real Scheme）交互时，敌手实际上是在与挑战者交互，由挑战者生成真实方案并应答敌手的询问请求。挑战者仅出现在安全模型和安全描述中；
模拟器（Simulator）：当敌手与模拟方案（Simulated Scheme）进行交互时，敌手实际上是在与模拟器进行交互，由模拟器生成模拟方案并应答来自敌手的询问请求。模拟器仅出现在安全归约中，作为运行归约算法的一方。

2.2 无证书签名的安全模型

I 型敌手：外部攻击者，可随意替换任意实体的公钥，但无法获知主密钥
II 型敌手：恶意的 KGC，可获知系统主密钥，但无法替换用户公钥

2.3 本文 CLSS 的模拟方案

底层困难问题 co-CDHP：已知 $\{P, aP, P', bP' | a,b \in Z_q^∗ \}$ ，求解 $abP$ 是困难的。模拟方案包含以下步骤：

$Setup$
$PPK(UID_i)$ $query$
$SVE(UID_i)$ $query$
$PK(UID_i)$ $query$
$PKR(UID_i, pk'_i)$ $query$
$S(M_i,UID_i, pk'_i)$ $query$
$Forgery$

注：本文在规约时全程使用了 Challenger 同敌手进行交互，这是不严谨的。由于挑战者只会如实地回答敌手的询问，这就导致无法将方案规约到困难问题上

2.4 求解困难问题

$e(V^{*}_i, P') = e(u^{*}_i pk^*_i + R^*_i, W^*_i) e(u^{*}_i Q^*_i + R^*_i, P'_0)$ ①

$e(V^{*'}_i, P) = e(u^{*'}_i pk^*_i + R^*_i, W^*_i) e(u^{*'}_i Q^*_i + R^*_i, P'_0)$ ②

Type I：由 $P'_0 = aP'$ ， $Q^*_i = \alpha^*_i bP$ ，①-②得

$abP = {α^∗_i }^{−1} [{(u^∗_i − u^{∗'}_i)}^{−1}(V ^∗_i − V^{∗'}_i ) − γ ^∗_i pk ^∗_i ]$ 为困难问题的解

Type II：由 $W_i^*=\beta_i^* aP^{'}$ ， $pk^*={sv}_i^* bP$ ，①-②得

$abP={sv^*_i}^{-1}{\beta^*_i}^{-1}[(u^*_i-u^{*'}_i)^{-1}(V^*_i-V^{*'}_i)-sQ^*_i]$ 为困难问题的解

2.5 非形式化安全性证明

消息认证：车辆 $V_i$ 在广播包含时间戳 $Ts_{i}$ 的交通相关消息（TRM） $M_i$ 前，首先运行 $\text{Sign}(M_i, sk_{i,j}, P ID_{i,j}, pk_{i,j})$ 算法生成 $\{PID_{i,j}, pk_{i,j}, M_i, \sigma_{i,j}\}$ 为签名后的 TRM。当车辆 $V_j$ 接收到 n 个消息 - 签名对时，使用算法 $\text{BatchVerify}(\{M_i, \sigma_{i,j}, P ID_{i,j}, pk_{i,j}\}_{i=1}^n)$ 验证其有效性。根据定理 1 和 2，已签名的 TRM 是不可伪造的。

条件隐私：车辆 $V_i$ 使用假名 $P ID_{i,j}$ 保护其真实身份，假名基于安全对称加密方案 $E_{\text{key}}(·)/D_{\text{key}}(·)$ 生成，在不知道对称密钥的情况下，任何实体都无法恢复 $V_i$ 的真实身份 $UID_i$ 。仅 $KGC$ 拥有密钥，具备恢复 $V_i$ 的真实身份 $UID_i$ 的能力。

3 实验评估

3.1 计算开销

$T_b$ ：执行双线性映射操作的时间
$T_{m1}$ ：执行 $\mathbb{G}_1$ 上标量乘法操作的时间
$T_m$ ：执行椭圆曲线上标量乘法操作的时间
$T_H$ ：执行映射到点的哈希时间
$T_{s1}$ ：执行 $\mathbb{G}_1$ 上小指数测试的时间

本文此处援引了 Yang et al. 一文，意在说明：I 型双线性映射操作要比 II 型更为昂贵，使用 I 型双线性映射的 $T_b$ 、 $T_{m1}$ 、 $T_H$ 和 $T_{s1}$ 值显著高于使用 II 型双线性映射设计的方案（译）

按照逻辑，为呼应本文 “方案计算开销低于其他支持批量验证、安全的无证书签名方案” 的主要贡献，此处应当着重比较文献 $[35]$ 等，但原文图例标注有误导致无法一一对应。ES&PPS 的批量验证效率仍低于无配对的四种方案（ $[32],[33],[36],[37]$ ），但这些方案是不安全的，或缺少安全性证明。

3.2 通信开销

$l_{Z^*_{p}}$ ：32 字节， $Z^*_{p}$ 中的元素长度
$l_{G^{\text{ssp}}_{1}}$ ：192 字节，SSP 曲线上 $\mathbb{G}_1$ 中的元素长度
$l_{G^{\text{bn}}_{1}}$ ：32 字节，BN 曲线上 $\mathbb{G}_1$ 中的元素长度
$l_{G_{\text{ecc}}}$ ：32 字节，BN 曲线上任意群的元素长度

对 II 型双线性配对，已知采用的曲线为 BN256，则为达到 128bit 安全长度，需要 $|g_1 |≥ 256(bits)$ ，故群元素的大小为 $256\div 8=32$ 字节。对比表明，本文方案在签名和公钥长度方面具有相同或更低的传输开销。