文摘

VANETs需要安全通信。认证VANETs抵抗攻击虚假信息的收据。验证组关键协议(GKA)用于建立保密和认证多个车辆通信通道。然而,验证带来隐私泄漏,通过使用数字签名。因此,推诿是GKA应得的(称为DGKA)由于隐私保护。DGKA协议,每个参与者的目的与合作伙伴建立一个共同组会话密钥。本协议会话后,每个参与者可以不仅被视为目的发送者,也否认曾参与这次会议。因此,在此建立了关键,车辆发送机密消息身份验证属性和推诿保护车辆的隐私。我们提出一个新颖的转换从一个未经身份验证的群密钥协议可否认的(身份验证)组密钥协议不增加沟通。我们完全实现推诿甚至在并发环境适合网络环境。 In addition, we design an authenticated and privacy-preserving communication protocol for VANETs by using the proposed deniable group key agreement.

1。介绍

车载ad hoc网络(VANETs) (1)指的是对等网络由路边单元共享信息和相邻车辆,包括交通信息(车辆的速度和流量等)和警告信息。VANETs为司机提供一个安全而舒适的驾驶环境,避免交通堵塞和交通事故。VANETs应该提供安全通信中虚假信息插入到网络。除此之外,VANETs也应该有隐私问题车辆不愿意暴露敏感信息,而共享自己的交通信息。

组密钥协议(GKA)为车辆提供了一条安全通道通信。GKA协议(2)允许一组参与者建立共同的会话密钥通过不安全的网络安全通信通道的协议。然而,没有身份验证关键协议带来不可否认攻击。为了解决这个问题,身份验证是必要的。然而,验证结合身份,导致隐私泄露。在许多情况下,参与者不希望第三方知道他们的关系在某些关键的协议。换句话说,他们想要有能力否认他们曾经参加了一些会议的关键协议后执行。因此,可否认的GKA (DGKA)协议,提出了通过引入推诿到GKA协议。Bohli Steinwandt第一次正式DGKA协议(3]。DGKA协议,这不是可行的使第三方相信这些参与者在一组关键协议会话参与对话的沟通记录。换句话说,每个参与者能否认其第三方的参与。

1.1。相关工作

推诿是正式通过引入一个模拟器可以模拟谈话记录没有秘密。因此,参与者可以否认这是别人会产生这种不可区分的谈话记录。如果这个模拟器可以由任何人,它是用完整的推诿。可否认的身份验证被首次引入Dolev等人在4和正式Dwork等人研究了5]。通用技术实现可否认的身份验证(即是发送方使用其秘密。私钥)来生成一个值 如果接收方产生一个值 等于 通过使用一个相关的证人,接收方确信发送者的身份验证。为了模拟记录(推诿),这个证人必须撤销。因此,早期作品如(5,6)需要更多的轮撤销证人的收据 (例如, )。这样,模拟器由任何人都可以提取这个证人来模拟通过回放记录的步骤。然而,推诿不持有并发场景由于复卷。因此,假设是必要被认为时机实现并发推诿,如(5,6]。

然而,时间是互联网这是一个牵强的假设完全并行环境。一些相关工作必须处理这个问题,避免复卷。Di Raimondo et al。7]表明,plaintext-awareness [8底层加密可以提取的证人没有复卷的仿真步骤。江的工作(9)取决于公共随机甲骨文提取证人,因此复卷的步骤不是必要的。姚和赵10,11)提出了可否认的因特网密钥交换基于指数的知识假设(山)。KEA假设,证人可以提取和成绩单是完全模拟。田et al。12)利用选择性不可伪造,但存在伪造签名模拟记录。曾庆红et al。(13)提出了一个multireceiver加密KEA假设下,将它用作构建块同时提出一个可否认的环认证。江(14)用一种温和的加密避免复卷并发构造可否认的密钥交换。这些方法实现推诿不卷的步骤;因此仿真甚至在并发情况是正常的。然而,正如上面我们看到的,这些作品受到限制等强烈的假设,效率低下,或者随机的神谕。

可否认的认证现在已经应用到很多场合(13,15,16),首次引入两党密钥交换协议(17]在[18]。毛和帕特森18)非正式定义了可否认的密钥交换(DKE)协议,并获得其推诿通过使用基于身份的技术。后,如何使用方法(19设计DKE协议进行了讨论,提出了一种具体的方法(20.),该技术基于公共信息被用来获得一个对称密钥进行身份验证。这项工作后,提出了一系列DKE协议(10,21,22]。

当两党DKE协议扩展到一群设置,可能会有一些麻烦(23,24]。如果存在恶意的内部人员,使用常见的对称密钥可否认的身份验证是不可行的恶意参与者可能模仿其他参与者(3]。提供的解决方案(3斯诺)是利用零知识鉴别计划(25]。这种方法需要4轮完成会话密钥的建立和它的效率是提高了Zhang et al。26),减少了沟通一轮3。一些方法(27- - - - - -29日]将被动安全组密钥建立一个积极的安全通过添加一个圆和推诿实现。

DGKA协议可以应用于VANETs为车辆提供安全和隐私保护。近年来,无线网络(WN)取得了快速发展30.,他们的安全问题都进行了广泛的研究31日- - - - - -33]。作为一种WN,安全应该认真对待VANETs由于高的风险。一些相关的安全通信方案VANETs一直呈现(34- - - - - -36]。黄等。35)提出了一个通信方案基于GKA协议,路边单元为相邻车辆批量生成会话密钥。这个方案可以有效地减少计算和通信的成本。在[36),一个代表从相邻车辆中选择被安排与路边通信单元,从而使其他车辆的安全保证。然而,公众对这些作品泄漏验证车辆的隐私。因此,可否认的组密钥协议为VANETs适用于保护隐私的交流是必要的。

1.2。贡献

我们关注的全部推诿验证组关键协议。我们提供一个通用的转换从未经身份验证的GKA DGKA不增加任何额外的通信轮。此外,我们的推诿不需要复卷的步骤;因此,即使在并发环境,如互联网。我们也不依赖于任何强大的假设达到完整的推诿。这项工作的贡献如下。(1)提出了一种通用的转换从一个未经身份验证的GKA(命名为DB协议(37])可否认的GKA(身份验证)。现有的工作实现完整的推诿的复卷步骤,KEA假设(强),或公众随机神谕。它导致效率低下或不安全感(强烈的假设)。我们的方法不采取这些方式。我们不要求底层原始PA安全和随机神谕是没有必要的。(2)我们的工作达到并发推诿,没有时间限制。在并发环境中,对手可以打开任意和进度会议。的确,我们的模拟不需要提取证人通过复卷步骤。因此,并发会话(即攻击。,adversaries schedule the executions or delay messages in arbitrary ways) does not work in our scheme.(3)我们意识到最优通信复杂性。变换不会增加一轮未经身份验证的一个原始(DB)虽然意识到保护隐私的性质GKA身份验证,而相关的工作,如(3,26)增加额外的回合获得推诿。(4)我们也设计一个保护隐私VANETs使用该DGKA协议的通信协议。在这个通信协议,汽车分享他们的信息不泄露任何身份隐私和成绩单的认证没有留下任何证据。

组织。本文组织如下。部分2介绍了预赛的构建块在我们的协议。部分3描述了敌对的模型和相关安全DGKA的定义。我们提出一个有效DGKA协议2轮节4。DGKA的安全协议验证和性能分析部分5。我们设计一个保护隐私协议VANETs的部分6。部分7总结这项工作。

2。预赛

我们显示了符号,在本节中,介绍了构建块。

2.1。符号

本文中使用的符号在DGKA协议中列出的符号。

2.2。DB-GKA协议

我们的可否认的组密钥协议(DGKA)协议的基础上开发Dutta-Barua (DB) GKA协议(37),这是一个2-round未经身份验证的GKA协议。这是一个变种的38]。我们现在审查原始DB-GKA协议(37]。每个参与者 选择 作为短期的私钥,计算 ,广播 在第一轮。在第二轮,在收到消息 , 计算 和广播。最后,每个 生成常见的会话密钥 与接收到的 和它的秘密 具体DB-GKA协议提出了算法1。DB-GKA协议的安全性已被证明在37]。

第一轮:参与者 执行以下步骤:
(1)选择 和计算
(2)广播消息
第二轮:在接收消息 ,每一个 是否如下:
(1)计算 , ,
(2)广播消息
会话密钥生成:在接收消息 ,每一个 执行以下步骤:
(1)计算有序 ,
(2)检查 如果这是真的,继续;否则,中止。
(3)生成会话密钥
算法1
DB-GKA协议没有认证。
2.3。环签名与2成员

我们可否认的组密钥协商协议提供了基于环签名与2成员推诿。现在我们介绍语法和环签名的安全属性2成员。

环签名方案被用来签署一份私人信息。给出一个有效的环签名 对一个信息 和一组公共密钥 ,任何验证器不能决定哪个成员组 是实际的签名者。

我们认为环签名 成员, 。环签名的语法如下。(1)概率的密钥生成算法 :鉴于安全参数 ,输出密钥对 。也就是说, (2)概率的环签名算法 :得到一个消息 ,两个公共密钥 和一个私人(签名)键 、输出环签名 也就是说, (3)一个确定的验证算法 :鉴于环签名 ,的消息 ,和两个公共密钥 ,确定 是有效的对吗 。也就是说,检查

一个安全的环签名的性质与2包含成员无条件匿名性unforgeability如下。(我)无条件匿名性。分布的两个环签名 ( 统计,相同的。它意味着,给定一个环签名 关于 ,没有人可以决定签名者虽然私有密钥 是显示。(2)Unforgeability。一个没有签名的密钥的伪造者 伪造一个环签名 关于 。的概率 是微不足道的。

3所示。模型的可否认的组密钥协商协议

3.1。语法

可否认的组密钥协议的语法(DGKA)协议如下。让 表示的集合 潜在的参与者想要建立一个共同的会话密钥的安全通信。每个参与者 有一个私人/公共密钥对吗 和公共密钥身份验证,任何成员可以访问。DGKA协议可能在执行任何的子集 在任何时间。最后执行,共同建立会话密钥。每个参与者相信他的合作伙伴的身份。此外,他们还可以否认参与这次谈话的会话。

3.2。安全模型

我们在本节形式化底层敌对的行为。(我)执行 :这个查询模型的被动攻击对手只能监听协议中参与者之间的执行 和输出的记录 记录由诚实的执行过程中交换的消息的协议。(2)发送 :此查询模型的主动攻击对手可以任意窃听,延迟,修改和插入的任何消息 这个查询的输出是生成的回复实例 ,查询实例的初始化执行 (3)揭示 :如果实例 已成功接受了会话密钥 ,然后 返回。否则, 返回。(iv)腐败的 :的长期私钥的参与者 返回,和未来行动将完全被对手。这个查询意味着存在恶意的内部人员。(v)测试 :只允许查询一次。查询实例 必须是新鲜的, 不是零。此外,本次会议以及合作会议不应该发生腐败的查询或显示查询时。当测试查询时,一点 是随机选择的。会话密钥 如果返回 ;否则返回一个随机值相同的长度 (vi)回应:敌人输出一个猜 如果我们说对手赢得比赛 。让 表示事件的对手赢得比赛, 表示的对手的优势

新鲜。一个实例 是新鲜的,如果没有以下情况:(1)显示( )查询或显示( )查询发生的地方 是与 (2)腐败( )查询发生的地方

合作。实例 据说如果合作

通信的网络。我们假定我们的协议执行广播频道;因此,对手可以任意窃听,延迟,修改和插入任何消息。

一个安全DGKA协议应该满足正确性,推诿,身份验证,保密

正确性。这个属性指出,协议将建立一个会话密钥没有敌对的干扰。DGKA协议是正确的,如果任何一对实例 ( ),这已经被接受了 ,条件 成立。

推诿。这推诿的状态,敌人不能说服任何人,诚实的参与者确实参加了一些会议。让 是违反了推诿的对手。我们使用模拟范式正式定义推诿。我们构建一个模拟器 这是一个概率多项式时间(PPT)图灵机。模拟器 能回答所有查询的对手 ,和它的输入只涉及公共信息和参与者的长期私钥损坏。让 表示输出的对手 后与模拟器进行交互 表示输出的对手 在现实世界中。协议是可否认的,如果对于任何PPT的对手 和器材 带着无限的计算,存在一个模拟器 ,这样

身份验证。身份验证协议的保证接收到的消息的参与者来自参与者。如果一个对手 ,甚至可能是一个恶意的内幕可以冒充一个未堕落的参与者 并成功完成协议,然后我们说敌人违反DGKA的身份验证协议。我们使用 表示事件,敌人成功作弊诚实的参与者。协议是经过验证的 对于任何一个PPT的对手。

保密。会话密钥的保密协议的国家只有参与者知道但局外人是随机的。正式,让 是违反了保密和敌人 表示的成功 在测试查询,谁决定会话密钥成功从一个随机的值。我们说该协议满足保密

4所示。我们可否认的组密钥协商协议

我们构建的可否认的GKA协议基于Dutta-Barua (DB) GKA协议(37),阐述了在部分2。我们DGKA协议实现可否认的身份验证与2成员利用环签名。我们先给的高水平描述DGKA协议。

考虑环签名方案有两个成员:一个真正的参与者和一个逻辑实体。在第一轮,每个参与者遵循DB-GKA协议产生 除此之外,每一个还生产另一组元素 每个产品的 被视为逻辑实体的公钥。因此,在第二轮中,每个参与者聚集 导致 然后每一个使用自己的公钥 公钥和逻辑 形成一个环来生成一个环签名的消息 以其签名的密钥 对应的公钥私钥的逻辑 是未知的任何参与者和第三方。因此,一个有效的环签名意味着身份验证 只能由参与者来完成 身份验证。另一方面,模拟器可以模拟值 随机选择的指数 得到 。然后,模拟器产生环签名 “私钥” 环签名的无条件匿名性属性,这两个发行版的 统计,是相同的,前一个是真正的转录。因此,仿真是完美的和推诿。自复卷步骤不是必要的仿真,推诿还可以在并行设置。我们给我们的协议算法的详细描述2

表示参与者的私人/公共密钥对 是参与者的数量呢
会话。
第一轮:参与者 执行以下步骤:
(1)选择 和计算 ,
(2)广播消息
第二轮:在收到所有消息 , 解析 , 接下来, 执行
以下操作:
(1)计算 , , ,
(2)生成一个带两环签名的消息 :
(3)广播消息
会话密钥生成:在收到所有消息 ,每一个 执行以下步骤:
(1)计算有序 , 检查 如果这是真的,
继续;否则,中止。
(2)检查 持有或不是 如果它没有任何参与者,中止;否则,
继续下去。
(3)生成会话密钥
算法2
我们可否认的组密钥协商协议。

备注1。环签名2成员。一个是参与者 ,另一个是一个逻辑实体的公钥 。显然,私钥 它是未知的任何人。在现实的谈话, 利用其私钥 生成环签名 只是有界2公钥和一个公钥是逻辑与未知的秘密,能说服对方的 的签字。身份验证完成。与此同时,在仿真,仿真器模拟 (如不需要秘密值)生产环签名。显然,这个仿真是完美的,没有任何复卷的步骤;实现并发推诿。

5。安全性和性能

在本节中,我们分析了协议的安全性和性能。自验证正确性我们的协议很简单,在接下来我们将证明我们的协议与其他三个属性:推诿,身份验证,保密,提出了安全模型。然后我们给的性能比较相关的可否认的关键协议通信圆和推诿的情况。

5.1。安全
5.1.1。推诿

这个属性状态,所有的参与者可以否认,他们加入了会话密钥的生成。我们使用模拟时尚,以证明我们的协议满足推诿。如果模拟器没有任何参与者的秘密可以模拟记录和模拟记录是不可区分的真正的人,然后我们说推诿是证明。正式提出了如下证据。

定理2。同时DGKA协议是可否认的如果底层环签名是安全的。

证明。为了证明我们的协议满足推诿,我们必须展示真正的视图和模拟视图是没有区别的。在形式上,我们构造一个模拟器 ,其输入涉及公共信息和参与者的长期私钥损坏。 是一个对手,违反协议的推诿。使用 来表示的 在现实和对话 来表示的 在模拟环境中执行的 我们表明,任何器材 带着无限的计算无法区分
的输入 的长期私钥的参与者, 模拟发送、腐败和揭示查询 如下。(我)发送 : 通常执行协议和答案查询,因为它不需要任何的秘密。 随机选择 来计算 , ,分别。然后, 广播消息 和记录 (2)发送 : 检查是否 已经损坏。(一)如果 已经损坏, 与已知的私钥 模拟 正常。(b)如果 未堕落的, 检索 来计算 ( ), , 。然后 产生一个环签名 更新 (3)发送 : 通常答案查询不管 已损坏或不需要秘密。(iv)揭示 : 计算会话密钥 根据协议,并返回它 (v)腐败( ): 返回的私钥 的参与者 事实上, 是破坏明显。现在,我们认为 是完全相同的。很明显, 不引入任何差异从真实的角度什么时候发送 ,发送 ,揭示 和腐败( )问。让我们考虑发送 。在真实的记录,发送 执行使用 的私钥 在仿真,这oracle使用回答说 ,逻辑方的私有密钥(公钥是谁的 )。这是一个环签名 和逻辑。从底层的环签名方案有两个成员是安全的,这意味着无条件匿名属性。如果发送 介绍了任何差异,这意味着在环签名 和环签名 可以区分,显然,它打破了无条件匿名的环签名方案。这是一个矛盾。

5.1.2中。身份验证

身份验证状态,每个 可以确保收到的消息是认证的合作伙伴。这个属性可以防止不可否认攻击存在的未经身份验证的密钥协商协议。在我们的协议,我们应用环签名与两名成员保护认证。事实上,生成的环签名 是有界的两个公共密钥 由于unforgeability的环签名,任何人谁知道 可以生成一个有效的签名。给出一个有效的 ,合作伙伴是相信 用于生成常见的会话密钥签名吗 作为 是未知的。很明显,我们的协议验证由于unforgeability底层的环签名方案。

5.1.3。保密

这个属性确保会话密钥的安全性。也就是说,没有任何成员参与会话不能获得会话密钥。显然,我们DGKA协议满足保密如果DB-GKA协议产生会话密钥安全。很容易发现我们DGKA协议等于原DB-GKA协议只除了我们提供环签名 在DGKA。我们表示这场比赛 的环境DB-GKA协议和游戏 作为我们DGKA的环境。让 的事件 第二轮后成功地建立一个有效的消息。奥运会的区别 “挑战者”号在吗 时将停止仿真事件吗 发生。然而, 可以忽略不计的认证属性状态。因此,可以减少我们DGKA的保密协议的保密DB-GKA,证明在[37]。

5.2。性能

我们建设的明显优势是最佳的交流。我们将未经身份验证的DB-GKA协议可否认的GKA不增加。而其他相关DGKA协议超过2轮。

一个DGKA协议(3斯诺)是基于0知识识别方案;参与者在第一轮的承诺。接下来,未经过身份验证的GKA轮2和3的协议执行。可否认的身份验证实现轮4。它需要4轮完成协议。同样,在26),参与者在第一轮也做出承诺。同时,参与者开始执行未经身份验证的GKA协议在这一轮。最后,第三轮的意思执行身份验证。很容易看到,可否认的身份验证取决于生成会话密钥(3,26]。这是原因,这两个协议需要更多比未经身份验证的轮GKA实现可否认的身份验证。

我们的协议利用环签名的无条件匿名实现并发推诿。这枚戒指签名是有界的成员。一个是实际参与者,另一个是一个逻辑聚会。这个逻辑公钥积累了一轮1中所有的参与者都有自己的秘密。然后每个参与者使用逻辑公钥和自己的公钥来形成一个环和标志用于生成的元素在第二轮中常见的会话密钥。显然,推诿不再依赖于会话密钥。因此,我们的工作不增加未经身份验证的GKA一轮的通信。

我们也关注并发推诿。然而,(3,26)依赖于复卷步骤模拟记录。因此,并发的推诿不能设置。其他可否认的身份验证协议或可否认的密钥交换协议,实现并发推诿取决于强烈的假设/原语,如KEA假设,公共随机甲骨文,或定时的承诺/加密来提取模拟的见证。与他们相比,我们的DGKA协议并不局限于这些限制。

相关协议的比较表中列出推诿1

表1
比较可否认的关键协议的协议。

6。VANETs保护隐私的通信协议

在本节中,我们设计一个保护隐私VANETs通信协议的使用提出了可否认的组密钥协商协议。我们之间的安全通信协议保证车辆和车辆和车辆和路边单元。VANETs由值得信赖的权威(TA),路边单元(RSU,基础设施),和车载单元(下文称,对车辆装备)。我们的安全模型,保护隐私VANETs如下。(我)身份验证:在VANETs环境中,RSU和奥应该确保只有合法(TA)认证车辆可以加入这个网络。同样,RSU应该也验证了车辆为了防止伪基站。(2)匿名:奥收到不知道发送方身份的信息,但只有确认此消息来自一群身份验证。(3)隐私:奥之间的谈话没有留下任何书面记录。这种“非正式”属性可以防止共享信息被恶意使用。(iv)保密:在沟通的过程中,发送消息是唯一已知的接收器,但是是随机给任何第三方。

我们的保护隐私的通信协议VANETs主要分为三个步骤。第一步是初始化一群VANETs。然后,奥和RSU集团相互生成会话密钥进行身份验证。最后,他们相互通信会话密钥在经过身份验证和保护隐私的环境。

是车辆和之一 RSU。 表示车辆的私人/公共密钥对 ; 表示私人/公共密钥对 ,在那里 消息的长度。给出一个详细的协议如下。

初始化步骤。一群VANETs决定的成员。(我) 随机选择 会话ID和形成一个集团 通过使用它的公钥 和相邻车辆的公钥 最后,广播消息

身份验证步骤。成员的身份验证。(我)第一轮(下文称和RSU)。选择 , ,和计算 , 。广播消息 (2)第二轮(下文称和RSU)。计算 提出DGKA协议(中描述的算法2)。广播消息 (3)密钥生成(下文称和RSU)。其他成员的身份验证和会话密钥 在算法2

沟通的步骤。与此会话密钥 ,这一组中的所有成员 可以安全地通信。在这一步中,有两例包括广播 所有成员和沟通 , , (我)广播(一对多):(一)奥巴斯RSU或发送信息 :计算 。广播消息 (b)奥巴斯RSU和恢复 :计算 (2)通信(一对一):(一)RSU或奥发送 :选择 和计算 , , 。广播消息 (b) 复苏 :计算

采用该DGKA协议,每个接收方可以确定接收的信息来源不知道实际的发送者通过使用会话密钥 此外,这种会话密钥 任何人都可以模拟的;所涉及的车辆在上面的沟通能否认这一点。没有书面记录;因此,车辆的隐私保护。

7所示。结论

本文提出一种2-round完全可否认的组密钥协商协议。我们提供一个新颖的方法未经过身份验证的GKA转移到一个可否认的GKA不增加。记录仿真不需要复卷的步骤;因此我们在并发的推诿甚至还拥有设置。我们也设计一个保护隐私VANETs使用该DGKA协议的通信协议。

符号在DGKA协议

: 安全参数
: '的乘法群秩序
: 集团的发电机
: th参与者
: 的公钥
: 的私钥
: 一个会话的 叫一个实例的参与者可能会有很多实例和表示的实例 作为
: 实例的会话ID
: 一组包含参与者的身份与谁 打算建立一个会话密钥,包括
: 实例的当前状态
: 通用密钥生成的实例 协议完成后
: 一个微不足道的功能安全参数

的利益冲突

作者宣称没有利益冲突有关的出版。

确认

这项工作是由中国国家自然科学基金(61402376,U1433130)、教育部“春晖计划”(Z2016150)和中国国家重点研发项目(2017 yfb0802300 2017 yfb0802000)。