Hybrid 方法

1. FHC 11

2011年的这篇文章¹提到了 Dan Boneh 的 Broadcast Encryption²方案，先看一下这篇文章提到的 related work。

这篇文章把用在VANETs中的方法分为三类：

Protocol	Summarization
Huge anonymous key-based protocol (HAB)	High storage overhead
Group signature-based protocol (GSB)	The revocation list can be eliminated,high compuation cost
Roadside unit-aided-based protocol (RSU-aided)	RSUs is required to possess powerful computation capabilities

他们提出的方案 efficient PPKI scheme (EPPKI) 可以看成由六个部分组成。

CA 初始化阶段，有算法 $\mathsf{CASysSetup}(k)$ 和 $\mathsf{KeyGen}(ID_i,CA_{SK},params)$ ， $$ CA_{SK},CA_{PK},params \leftarrow \mathsf{CAsyssetup}(k) $$

$k$ 代表的是所选择的质数阶 $p$ 的位数，即 $p$ 为 $k$ -bit，这里用到了双线性映射，因此公共参数中包含了双线性映射的基本信息：

$params=(\mathbb{G}_1,\mathbb{G}_T,e,H,L,\{\hat{L}_i\}_{1\leq i \leq n},S)$

私钥 $CA_{SK}$ 由 7 部分组成： $$ CA_{SK} = (s,\alpha,\delta,\eta,\{\alpha^i+\eta\}_{1\leq i \leq 2n},d_1,d_2) $$

公钥 $CA_{PK}$ 也由 7 部分组成： $$ CA_{PK} = (p,g,g^s,g^{\delta},g^{\eta},u,v) $$

其中 $u^{d_1}=v^{d_2}=g$

假设 ID 为 $ID_i$ 的 OBU 从 CA 处获取 root key，

在这里， $A_i=g^{\frac{1}{\alpha^i+s}}$ , $B_i=g_i$ , $\hat{A}_i=e(A_i,g^s)$ , CA 需要将 $(ID_i,A_i,\hat{A}_i)$ 的对应关系存储在数据库中。

$L=L\cdot g^{\alpha ^{n+1-i} \delta}$ , 对于 $S$ 中每一个成员 $v$ 的值 $\hat{L}_v$ 都重新计算一遍，即

$\hat{L}_v=\hat{L}_v + \alpha^{n+1-i+v}\delta + \eta$

对于 RSU 就不用计算这么多，只需要计算 $A_i,B_i$ 即可。

OBUs 进行签名之前，需要先生成假名。假名的生成，依靠 $(V_r,V_{iRoot})$ ，其中 $V_r$ 是一个随机四元组 $V_r=(\pi,\theta,r_\pi,r_{\theta})$ , $V_{iRoot}=(A_i,B_i,C_i,\hat{L}_i)$

C.-I. Fan, R.-H. Hsu, and W.-K. Chen, “Privacy protection for vehicular ad hoc networks by using an efficient revocable message authentication scheme,” Security and Communication Networks, vol. 5, no. 5, pp. 462–478, 2012. ↩
D. Boneh, C. Gentry, and B. Waters, “Collusion resistant broadcast encryption with short ciphertexts and private keys,” in Annual International Cryptology Conference, 2005, pp. 258–275. ↩