文摘

在车载网络,连接的交通数据的增值和规模也带来了很多安全与隐私问题。对等身份验证和消息完整性是两个至关重要的安全需求,以确保安全运输系统。因为约束资源的单位执行加密组件,该security-enhancing方案应该是轻量级和可伸缩的。在本文中,我们提出一个多重签名方案来源于SM2签名使一群各方共同签署一份信息,生成一个紧凑的联合签名。我们的计划不需要预处理或当事人之间的交互在签字之前,和它的性能匹配或超越已知的签约时间,验证时间,签名的大小。因此,我们的计划也适合车载网络,目的为了提高安全性与小计算和存储成本。

1。介绍

随着先进的信息和通信技术的发展,智能交通系统(ITS)可以提供一个无缝的交通基础设施和更多的功能比十年前车辆。具体来说,Vehicle-to-Everything (V2X)通信技术在车载网络现在能够支持车辆之间的信息共享和其他元素参与其1,2),包括附近的车辆(V2V),基础设施(V2I),移动设备由行人(V2P)和远程应用程序服务器或云平台(V2N)。提高生态系统规模和不断增长的趋势将车载网络部署与其他网络也带来网络安全的担忧因为任何消息截获或恶意修改的单位可能导致致命的后果(3,4]。

数字签名是常用在车载网络,以确保设备之间交换消息的完整性。然而,信息传播的有效性和路由,这是相关延误,因此也对道路安全的影响,自然取决于应用安全机制[强加的计算开销5]。除了传统的签名方案、多重签名(MS)和聚合签名()扩展几何体考虑多用户设置支持共同签署和降低检验成本。这两个原语的共同点让一群签名者结合成一个单一的个人签名短。具体地说,一个女士计划(6,7]使一群签名者,每一方都有一个相应公钥和私钥,协作生产共同联合签名消息的可公开验证签名者的公钥。作为一个更一般的原始,一个计划(8,9)允许每个签名者的签名不同的消息,和所有这些个人签名仍然可以聚合到单个短。在传统的签名方案,短联合签名应该说服他们所有签名者签名指定消息的验证器。

女士和车载网络计划有许多潜在的用途,例如在分布式证书颁发机构(CA)或在V2I / V2V通讯。不幸的是,常用的技术包括专用短程通信(DSRC)和cellular-V2X (C-V2X)主要利用椭圆曲线签名方案,例如,ECDSA SM2,到我们所知很少女士由于其非线性建筑或扩展。

在本文中,我们提出一个候选人的多重签名方案 基于SM2签名算法和指定的应用程序 车载网络。SM2是一个基于椭圆曲线签名算法标准发布的中国政府和已广泛应用于加密设备在金融领域和行业。我们的提议 计划允许动态加入签名者(认证的公钥)和没有繁重的假设在公钥基础设施(PKI),这使得它似是而非的车载网络中。

1.1。我们的贡献

这个工作的创新性的贡献主要是两方面的:(我)我们首先提出一个多重签名方案 基于SM2签名设计共同签署协议和证明其安全平原公钥和semihonest模型。没有预处理或任何签名者一侧proof-of-knowledge一步是需要在我们的计划。实验结果还表明,我们的协议是相对实用的许多应用程序。(2)然后,我们说明的一些可能的应用 在车载网络,尤其是使用多个ca体系结构来减少认证存储车辆,限制和V2I通信为限制减少计算开销。

1.2。相关工作

微不足道的方式建立一个标准多重签名的签名是连接所有独立的分别签名签署。然而,导致多重签名是大尺寸的大小成正比的,尤其是签署者的数量,这在实践中不能很好地扩展(6,7,10]。因此,多重签名应该是短的,这意味着它的长度应该(理想情况下)独立于签署者的数量,相当于一个普通的独立的签名。非正式地,延长的可能性标准的同态签名多重签名方案来自涉及算术运算的基本假设。然而,同态也带来了严重的脆弱性和允许对手山流氓键攻击中,袭击者没有有效密钥对可以设置它的公钥作为其他诚实的签名者的函数,最后建立多重签名。Micali et al。6攻击的正式模型描述和显示的方法来防止这种攻击称为知识的密钥(KOSK)假设,用户需要证明他们在公钥密钥注册的知识。Bellare和乃文7)提出了一种新的实用的多重签名方案基于斯诺签名没有KOSK假设和证明它可以避免在所谓的流氓袭击普通的公钥模型。有一些跟踪工作建设2-round Schnorr-based多重签名,即。,所有歌手只需要2轮通信产生多重签名(11- - - - - -15]。最近,介绍了公钥聚合多重签名方案的验证器可以检查一个多重签名的有效性只使用一个简短的总钥匙而不是一个公共密钥列表(16,17]。

2。预赛

为素数 , 表示整数的加法群模 我们考虑椭圆曲线 ,在哪里 点的集合 以及无穷远点 构成一个添加剂椭圆曲线群 下点,用 , 的身份。让 的基点 与订单 , 表示标量乘法

范围 表示整数的集合 , 给定一组非空的 , 表示采样一个元素的操作 均匀随机分配 对于一个随机算法 , 表示的操作运行 在输入 和随机硬币 然后分配其输出

2.1。多重签名方案
2.1.1。语法

我们遵循Bellare,乃文的描述7作为一个元组),定义一个多重签名方案 注意方案中定义的简单公钥模型,生成的关键是一样,在任何公开密匙加密,没有更多的预处理验证协议或关键是必需的。

:作为输入的安全参数设置算法 并生成系统参数

:密钥生成算法是一种随机算法执行的每个签名者输入 生成一个密钥对

: 算法代表签署协议由一群签名者打算合作签署了同样的信息 每个签名者 执行协议输入页,一组签名者的公钥 ,私钥 和消息 协议输出多重签名

:多重签名验证算法的有效性检查 在消息 集团的代表签名者的公钥是集 和输出1或0表示多重签名是有效的还是无效的。

2.1.2。完整性

多重签名方案应该满足以下完整性属性,这意味着对于任何号码 和消息 ,如果 和所有签名者运行 ,然后每个签名者将输出相同的签名 这样

2.1.3。安全

多重签名的安全要求是不可行的伪造签名,包括至少一个诚实的签名者。我们假设敌人(伪造者) 冲击着所有其他签名者除了诚实,可以以任意的方式选择自己的公钥喜欢,例如,流氓键攻击。多重签名的unforgeability平原公钥模型被定义为以下三相游戏 伪造者之间的 和一个挑战者。

设置。挑战者号生成系统参数 密钥对和一个挑战 为目标诚实的签名者。它返回

查询。伪造者的 允许进行签名查询信息吗 对于任何设置 的签署者 这个签名甲骨文 模拟了诚实的签名者与关键 互动与其他签名者签署协议的列表 可以任意数量的并发查询。

打造 输出一组 公钥的消息 ,和多重签名 据说伪造者赢得比赛 和消息 从来没有出现在查询阶段。

伪造者的优势 在打破了多重签名方案被定义为的概率 赢了上面的游戏(随机硬币的挑战者)表示

定义1。(UF-CMA安全性)。一个多重签名方案 - - - - - -如果认为不可伪造 对于每一个伪造者 在运行时间最多 ,使最多 签约查询,生成伪造的代表 方,赢得了 游戏有微不足道的概率 在随机预言模型中,我们定义它 - - - - - -不可伪造, 表示散列的最大数量的查询。

2.2。SM2签名算法

SM2签名算法初始化以安全作为输入参数 和输出 作为公共参数, 加密哈希函数。简要评述了SM2签名方案在桌上1

表1
SM2签名算法。
2.3。一般分叉引理

我们将使用通用分叉引理(7)来证明我们的安全计划,这是一个有用的工具通过扩展的分叉引理Pointcheval和斯特恩18没有提及具体的签名或随机的神谕。

引理1(一般分叉引理)。 是一组大小 , 是一个随机算法,输入 返回一个对 ,在哪里 是一个输出。对于一些随机输入生成器搞笑,接受的概率算法 , ,被定义为 考虑随机算法 ,采取作为输入 ,收益中描述的算法1。让 的概率是 然后,

(1) 选择随机硬币
(2)
(3)
(4) 如果 然后
(5) 返回
(6) 结束
(7)
(8)
(9) 如果( )然后
(10) 返回
(11) 其他的
(12) 返回
(13) 结束
算法1
分支算法
2.4。安全多方计算

安全多方计算(MPC)使一组共同完成一个计算没有透露任何参与者的私人投入。参与者同意一个函数来计算,然后可以使用一个MPC协议共同计算的输出函数的秘密输入没有透露他们(19]。有几个研究MPC协议(如克分子量协议(20.)和BGW协议(21]。两个方案都是基于秘密共享技术,可以同时支持布尔电路和运算电路。

这里,我们只有现在的总体想法简单加法函数显示的协议是如何工作的。基本思想是允许每一方持有的秘密输入的股票;因此,每一方可以在本地总结他们的股票和得到一个有效共享的最终结果。我们更详细地描述它1


图1
货币政策委员会的协议

3所示。SM2-Based多重签名方案:

在本节中,我们提出一个基于多重签名方案在平原SM2签名公钥模型。凭直觉,SM2的原始签名算法涉及到的非线性组合密钥和随机性;因此,它是重要的直接扩展它多重签名。应对这个问题,协议中,我们首先利用线性部分SM2生产semiaggregated签名,然后使用一个简单的MPC协议最终实现目标。请注意,我们稍微修改原始SM2签名算法的输出协议,我们采取的倒数 而不是由每一方的签名。因此,多重签名方案几乎相同的结构与原始SM2签名和仍然实用。多重签名的unforgeability下选择消息攻击可以使用通用分叉引理证明在随机预言模型(7,16]。

3.1。建设

初始化 算法和 多重签名的算法几乎是一样的,在SM2计划,除了有两个哈希函数中使用多重签名方案,表示 我们现在继续描述的签字协议和验证算法 计划。注意,我们把 的大小 为简单起见, 联保人的最大数量和吗

:每个签名者 与密钥 和公钥 在集合 运行一个交互式合作协议签署消息 沟通所得的轮,每一轮,每个签名者发送和接收消息和从其他签名者也执行一些本地计算。(1)选择 ,计算 ,和广播 (2)在接收 从所有其他签名者,广播 (3)在接收 从所有其他签名者,检查散列值,如果任何中止协议 否则,设置 , , 然后,广播 (4)在接收 从所有其他签名者计算 和运行的协议 与输入 要添加

在交互式协议结束时,该算法输出多重签名 ,在哪里 所有点的集合吗

:给定一个多重集的公共密钥 ,消息 ,和多重签名 ,验证人计算 ,如果接受了签名 ,和输出1。否则,它输出0。

正确性:如果 是一个有效的输出协议, 算法总是接受和输出1。方程只持有当所有签名者遵循协议和使用有效的密钥对。注意,整数计算都是模 ,我们省略符号为简单起见。

3.2。安全证明

一般来说,我们可以把多重签名方案和证明其安全多方计算协议在基于仿真的框架清晰的安全保障。不幸的是,多重签名通常是基于游戏的框架中定义的安全,另一方面,基于仿真证明在随机预言模型是复杂的。在这里,我们遵循Bellare,乃文的基于游戏的定义7),只显示证明方案的草图。

基于游戏的基本思想是获取证据 两个不同的伪造 用同样的随机性采用一般的分叉引理。因此,我们可以从目标公钥提取密钥 ,这通常是一个椭圆曲线离散对数问题组的解决方案吗 为了简化,我们考虑一个等价验证方程,如果 满足 然后秘密密钥 对应于 从方程可以计算吗

然而,在这个过程中 ,每个签名者可以检查的价值 之前继续执行协议,它允许签名者立即退出连署保证如果有任何流氓键攻击。具体地说,他们可以计算 和检查 等于中相应的部分结果。

因此,我们可以让模拟器停止如果伪造者成功伪造

引理2。如果存在一个 - - - - - -伪造者 可以输出一个伪造的 ,那么存在一个PPT算法 哪一个 - - - - - -解决了DL的问题

证明。请注意, 和每个 也有类似的结构与斯诺签名。因此,引理的证明2类似的吗 计划。通常,给定一个 - - - - - -伪造者 ,我们第一次包装成一个算法 可以使用分叉引理。然后,我们描述一个算法 在输入 并运行 输出对应的离散对数。

, 是神谕的编程的哈希表 ,分别为, 是查询的答案 两个计数器 初始化为零。一个额外的数组 记录一个唯一索引 每一个公钥 作为担保人发生在查询或签名的公钥 查询, 在输入 , 扮演 游戏 与目标公钥 答案查询 通过编程神谕如下:(我) :如果 是未定义的,那么 随机分配 然后返回 (2) :如果 是未定义的,那么 增量 并设置 ;如果 尚未定义呢 分配随机值 ,增加 ,和分配 (3) :如果 ,然后 返回 伪造者。否则,它解析 作为 首先检查是否 已经定义的,如果不是它增加 并设置 然后,它增加计数器 并设置 它选择 和计算椭圆曲线点 这样 ,在哪里 最后发送 所有联合签署。在收到所有 (所有其他联保人), 查找相应的 在表 这样 如果不是所有这些值可以发现, 随机选择 和广播 如果存在 这样 ,然后 和中止执行 通过输出 否则, 计算 并检查是否 已经被定义。如果条目被, 并通过输出中止执行 如果不是这样, 和广播 在收到所有 , 如果对任何停止的过程 这样 然后广播

最后,如果 输出一个有效的伪造 在消息 以下签名者列表 ,然后 检查 的指数 返回 的接受概率 如下:

然后,我们构造算法 在输入 并运行 根据一般的分叉引理,它返回 的概率 注意的离散对数 可以通过计算 因此,概率 如下:

3.3。实验结果

我们现在具体的实验结果的基础上实现。我们实现了 计划在Java中,跑上一个EC2实例类型的CPU 2.50 GHz处理器、1 GB RAM。我们使用标准的SM2曲线和SM3散列算法。我们从2到20方跑实验和比较我们的结果在两党制定相关协议从Zhang et al。22)表2。请注意,(22)是一个SM2-based党分布式签署协议,从多重签名的方式略有不同,政党也应该配合键生成。此外,他们在实现中,省略零知识证明组件和演示(https://github.com/lhoou/ms-sm2)作为模拟只包括本地计算和省略了现实世界的沟通成本。在多用户环境中,我们的演出计划展示在表3

表2
表演(以毫秒为单位)之间的比较22),我们的计划在两党设置。
表3
在多方的表演我们的协议。

4所示。车载网络应用程序

在本节中,我们描述的两个潜在应用 车载网络。我们第一次表明,它的体系结构可以使用多个证书的证书颁发机构减少所需设备在系统包括车载单元(酸)和路边单元(RSU)。此外,我们还指定其可能使用V2I通信的过程。我们的目标是减少计算和存储开销的单位,同时保持安全属性。

4.1。Multi-CA架构

例如,在车载网络C-V2X证书颁发机构通常包括组织登记、通信授权和假名授权。具体地说,任何设备,参与网络应该首先需要登记注册证书的CA,然后从不同的CAs,需要其他证书需要网络中发送和接收消息。

例如,一辆汽车从注册需要一个证书CA之前使用其独特的身份加入网络。它可以需要一个假名证书匿名V2V通信和安全V2I通信从安全通信的CA证书使用登记证。汽车也可以使用多个不同登记CAs登记证书。为了简化认证过程,分布式CAs可以使用 为了共同生成只有一个证书或注册证书的车辆在同一时间,而不是生成证书。

4.2。合作V2I沟通

合作交流在车载网络杠杆提供各种频谱效率的改进,传输可靠性和降低传输延迟。车辆可以相互合作直接或通过一个RSU和车辆节点帮助源节点传输数据被称为辅助节点或继电器节点(23]。(我)合作交通报告:车辆在同一交通区域,如在一次事故中或在一个社区,可以合作问题交通报告包括感知信息(摄像头),安全的重要性,和车辆航向和传输一个数据包的RSU附加 签名。的 签名可以帮助RSU检查数据包的有效性也减少RSU的计算成本。(2)RSU-assisted交流:当一个源RSU未能成功发送一个数据包到目标目的地,它把包转发给下一个RSU沿着路径使用回程有线连接。新RSU继电器收到包到目标目的地。在这种情况下,源RSU和传送RSU都可以共同签署包使用 说服目标车辆的消息传播,也可防止恶意RSU发送没有勾结舞弊。

5。结论

在本文中,我们提出一名候选人SM2的多重签名方案在平原公钥签名算法模型。相比个人签名列表,存储卷 签名可以减少近50%,计算成本相对较低。此外,我们指定详细的一些潜在的应用 车载网络计划,特别是在合作安全通信的场景,目标最大化的性能和兼容性。由于高速流动,为车辆设计更高效的用更少的通信协议轮网络仍然是一个具有挑战性的研究问题。

数据可用性

数据,包括算法和证明,用于支持本研究的结果包括在本文中。

的利益冲突

作者宣称没有利益冲突有关的出版。

确认

这项研究支持部分由中国国家重点研究和发展计划(批准号2020 yfb1005600),广东省关键领域的研究和发展计划(批准号2020 b0101360001和2020 b0101090004),中国国家自然科学基金(批准号。61825203,U1736203, 61732021,, 61902067),广东的主要项目基础研究和应用研究项目(2019 b030302008),普通大学的青年创新人才和基础的广东(2018 kqncx255)。