面向無人機(jī)網(wǎng)絡(luò)的屬性代理簽名方案

賀蕾，馬建峰，魏大衛(wèi)

（1.西安電子科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，陜西 西安 710071；2.鄭州輕工業(yè)大學(xué)計(jì)算機(jī)與通信工程學(xué)院，河南 鄭州 450002；3.西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071；4.西安電子科技大學(xué)陜西省網(wǎng)絡(luò)與系統(tǒng)安全重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071）

1 引言

近年來，無人機(jī)（UAV,unmanned aerial vehicle）得到了廣泛的應(yīng)用。無人機(jī)與指揮中心、地面控制站、衛(wèi)星等共同構(gòu)成了無人機(jī)網(wǎng)絡(luò)，也稱為無人機(jī)指揮控制與通信網(wǎng)絡(luò)。無人機(jī)網(wǎng)絡(luò)以無人機(jī)應(yīng)用為核心，具有高機(jī)動性、動態(tài)拓?fù)洹㈤g斷的通信連接、有限的電力供應(yīng)和不斷變化的鏈路質(zhì)量等特點(diǎn)[1]。無人機(jī)網(wǎng)絡(luò)包括指揮中心、地面控制站、衛(wèi)星和無人機(jī)等，如圖1 所示。每架無人機(jī)隸屬于一個(gè)指揮中心，且該指揮中心擁有對該無人機(jī)的最高指揮權(quán)限。當(dāng)指揮中心無法與無人機(jī)進(jìn)行通信時(shí)，可以通過其他指揮機(jī)構(gòu)，如地面控制站、衛(wèi)星等，與無人機(jī)進(jìn)行通信。

無人機(jī)執(zhí)行任務(wù)時(shí)，必須保證所收到命令的完整性和認(rèn)證性，即保證該命令是由指揮中心或經(jīng)過授權(quán)的指揮機(jī)構(gòu)發(fā)出的，而且沒有被篡改。通常采用數(shù)字簽名來保護(hù)命令的完整性和認(rèn)證性。指揮中心發(fā)送命令及其簽名給無人機(jī)，無人機(jī)在對簽名進(jìn)行驗(yàn)證后，根據(jù)驗(yàn)證結(jié)果決定是否執(zhí)行該命令。

無人機(jī)在執(zhí)行遠(yuǎn)程任務(wù)時(shí)遠(yuǎn)離指揮中心，可能無法及時(shí)收到指揮中心發(fā)來的命令，甚至無法收到命令。在這種情況下，指揮中心可以使用代理簽名，臨時(shí)授權(quán)距離無人機(jī)較近的指揮機(jī)構(gòu)（如地面控制站）對無人機(jī)進(jìn)行指揮，發(fā)送命令及其簽名。而在一些應(yīng)用中，指揮機(jī)構(gòu)想要匿名地向無人機(jī)發(fā)送命令及簽名，該簽名并不包含與指揮機(jī)構(gòu)身份有關(guān)的信息，可以通過使用基于屬性的簽名（ABS,attribute-based signature）實(shí)現(xiàn)。

本文主要研究工作如下。

1) 定義了屬性代理簽名及其安全模型。

2) 提出了用于無人機(jī)網(wǎng)絡(luò)的屬性代理簽名（ABPS,attribute-based proxy signature）方案。

3) 對所提簽名方案進(jìn)行了安全性證明，結(jié)果表明，該方案具有選擇屬性和選擇消息攻擊下存在的不可偽造性（EUF-sA-CMA,existential unforgeability under selective-attribute and chosen message attacks），并且能保護(hù)簽名者的隱私。

4) 從計(jì)算開銷和通信開銷兩方面對所提方案的效率進(jìn)行了分析，并與其他相關(guān)簽名方案進(jìn)行了對比。結(jié)果表明，所提方案具有更少的計(jì)算開銷，而其通信開銷與其他方案在同一水平。

2 相關(guān)工作

Maji 等[2]定義了ABS 的安全性，構(gòu)建了ABS的框架，并提出了ABS 的具體實(shí)現(xiàn)。在ABS 中，簽名者使用屬性集和相應(yīng)的密鑰對消息進(jìn)行簽名，驗(yàn)證者可以對簽名進(jìn)行驗(yàn)證，只有當(dāng)屬性集滿足訪問結(jié)構(gòu)時(shí)，才能驗(yàn)證成功。Li 和Kim[3]定義了隱藏的ABS 及其安全模型，并提出了2 種基于計(jì)算Diffie-Hellman（CDH,computational Diffie-Hellman）困難問題的簽名方案。Li 等[4]提出了2 種支持門限訪問結(jié)構(gòu)的ABS 方案，莫若等[5]提出了支持樹形訪問結(jié)構(gòu)的可凈化ABS 方案，Gu 等[6]提出了支持單調(diào)訪問結(jié)構(gòu)的ABS 方案。

在一些應(yīng)用中，需要由多個(gè)屬性權(quán)威對屬性進(jìn)行管理，為用戶生成密鑰。莫若等[7]提出了支持樹形訪問結(jié)構(gòu)的多權(quán)威ABS 方案。Guo 等[8]也提出了多權(quán)威ABS 方案。Yang 等[9]提出了具有多個(gè)屬性權(quán)威的順序聚合ABS 方案，在該簽名方案中，不同的簽名者可以對同一個(gè)消息進(jìn)行簽名，再將簽名依次進(jìn)行聚合。

為降低用戶使用ABS 計(jì)算簽名的開銷，Chen等[10]提出了2 個(gè)外包ABS 方案，并證明了這2 個(gè)方案的安全性，通過將大量的簽名計(jì)算外包給簽名云服務(wù)提供者，降低了簽名者的計(jì)算開銷。Mo 等[11]提出了基于線性秘密共享的外包ABS 方案，降低了簽名者的計(jì)算開銷，并證明了該方案的安全性。

為了降低計(jì)算簽名和驗(yàn)證簽名的計(jì)算開銷，Cui等[12]提出了可撤銷的服務(wù)器輔助的ABS 方案。在該簽名方案中，服務(wù)器輔助完成簽名生成和驗(yàn)證，以達(dá)到降低簽名者和驗(yàn)證者計(jì)算開銷的目的。而且，該簽名方案還可以使被撤銷的用戶無法計(jì)算出簽名。Xiong 等[13]也提出了服務(wù)器輔助的ABS 方案，降低了簽名者和驗(yàn)證者的計(jì)算開銷，實(shí)現(xiàn)了基于線性秘密共享的訪問結(jié)構(gòu)，并能抵御合謀攻擊。張應(yīng)輝等[14]提出了一種服務(wù)器輔助且可驗(yàn)證的ABS 方案。該方案同樣降低了簽名者和驗(yàn)證者的計(jì)算開銷，能抵御合謀攻擊，并且對服務(wù)器產(chǎn)生的部分簽名進(jìn)行了驗(yàn)證。Bao等[15]提出了一種能抵御密鑰泄露的服務(wù)器輔助的ABS 方案，該簽名方案需要對密鑰進(jìn)行更新。

Mambo 等[16]提出了代理簽名。在代理簽名中，通常包含3 個(gè)參與者，分別是原始簽名者（OS,original signer）、代理簽名者（PS,proxy signer）和驗(yàn)證者。原始簽名者授權(quán)代理簽名者代替自己計(jì)算代理簽名，驗(yàn)證者對該代理簽名進(jìn)行驗(yàn)證。Huang等[17]提出了不需要隨機(jī)預(yù)言機(jī)的代理簽名方案，并對其安全性進(jìn)行了證明。Wu 等[18]提出了基于身份的代理簽名方案，并對其安全性進(jìn)行了證明。Liu等[19]定義了ABPS 及其安全模型，提出了具體的ABPS 方案，并對方案的安全性進(jìn)行了證明。Sun等[20]也提出了ABPS 方案，并分析了方案的安全性。

3 預(yù)備知識

3.1 雙線性對

設(shè)G和GT是階為素?cái)?shù)q的循環(huán)群，G的生成元為g，若該映射滿足下列要求，則映射e:G×G→GT為雙線性映射。

1) 雙線性：對于任意的g1,g2∈G和a,b∈Zq，有。

2) 非退化性：存在g1,g2∈G，使e(g1,g2) ≠ 1。

3) 可計(jì)算性：對于任意的g1,g2∈G，存在有效的算法能夠計(jì)算出e(g1,g2)。

3.2 CDH 困難問題假設(shè)

對于未知的x,y∈Zq，給定g,g x,g y∈G，要求計(jì)算出gxy。

3.3 拉格朗日插值定理

設(shè)t(1),t(2),...,t(d)是(d?1)次多項(xiàng)式t(·)上的d個(gè)點(diǎn)，S是包含d個(gè)元素的集合，q為素?cái)?shù)。對于任何x∈Zq，可以通過拉格朗日插值定理求出。其中，拉格朗日系數(shù)定義為。

4 系統(tǒng)模型

4.1 算法模型

ABPS 方案中主要包括屬性權(quán)威、原始簽名者、代理簽名者和驗(yàn)證者。ABPS 方案主要由下列算法構(gòu)成。

1) Setup。該算法輸入為系統(tǒng)安全參數(shù)，輸出公共參數(shù)params 和主密鑰α。

2) Extract。該算法由屬性權(quán)威運(yùn)行，輸入為公共參數(shù)params、主密鑰α和用戶屬性集合ω，輸出為用戶的密鑰。在ABPS 方案中，屬性權(quán)威依據(jù)原始簽名者屬性集合ωOS和代理簽名者屬性集合PSω，分別為它們生成密鑰skOS和skPS。

3) DelGen。該算法由原始簽名者運(yùn)行，用于為代理簽名者生成授權(quán)。輸入為params、原始簽名者生成的委托書w、ω'OS和skOS，且ω'OS?ωOS；輸出為原始簽名者為代理簽名者生成的授權(quán)del。

4) DelVer。該算法由代理簽名者運(yùn)行，用于驗(yàn)證原始簽名者生成的授權(quán)del 是否有效，輸入為params、w、ω'OS和del，輸出為驗(yàn)證結(jié)果。若該授權(quán)是有效的，代理簽名者可以基于w和del 計(jì)算代理簽名；否則，代理簽名者不能基于w和del 計(jì)算代理簽名。

5) Sign。該算法由代理簽名者運(yùn)行，用于計(jì)算代理簽名。輸入為params、w、del、skPS和消息m，且?ωPS；輸出為計(jì)算出的代理簽名σ。

6) Verify。該算法由驗(yàn)證者運(yùn)行，用于驗(yàn)證代理簽名是否有效。其輸入為params、w、ω'PS、m和σ，輸出為布爾類型的驗(yàn)證結(jié)果。若該代理簽名是有效的，則輸出Accept；否則，輸出Reject。

4.2 安全模型

ABPS 方案的安全性主要包括不可偽造性和簽名者的隱私性。不可偽造性要求如下：若敵手沒有屬性集ω對應(yīng)的密鑰且ω*?ω，則不能計(jì)算出屬性集ω*對應(yīng)的簽名。簽名者的隱私性要求簽名不泄露簽名者的身份信息。

4.2.1 不可偽造性

根據(jù)文獻(xiàn)[17-19]，ABPS 方案中的敵手可分為三類，分別為AI、AII和AIII。AI只擁有原始簽名者和代理簽名者的公鑰；AII和AIII除了擁有原始簽名者和代理簽名者的公鑰以外，還分別擁有代理簽名者的私鑰skPS和原始簽名者的私鑰skOS。若ABPS 方案能抵御AII和AIII的攻擊，則其也能抵御AI的攻擊。因此，在安全模型中只考慮AII和AIII的攻擊。對于不可偽造性，主要研究EUF-sA-CMA。

1) 能抵御AII攻擊的EUF-sA-CMA

通過下面的游戲定義能抵御 AII攻擊的EUF-sA-CMA。

初始化階段。選擇要挑戰(zhàn)的屬性集ω*，且。其中，d是預(yù)先定義的參數(shù)。

系統(tǒng)建立階段。挑戰(zhàn)者C 運(yùn)行Setup 算法生成公共參數(shù)params 和主密鑰，運(yùn)行Extract 算法為原始簽名者和代理簽名者分別生成密鑰對(pkOS,skOS)和(pkPS,skPS)。將params、原始簽名者公鑰pkOS，以及代理簽名者的公鑰和私鑰(pkPS,skPS)發(fā)送給AII。

查詢階段。AII可以向私鑰生成預(yù)言機(jī)、授權(quán)生成預(yù)言機(jī)和簽名預(yù)言機(jī)分別進(jìn)行多項(xiàng)式次數(shù)的查詢。

偽造階段。AII輸出關(guān)于消息m*、屬性集ω*和委托書w*的簽名σ*。

若該偽造滿足以下條件，則認(rèn)為AII贏得了游戲。

定義1若敵手AII在上面的游戲中獲勝的概率是可忽略的，則稱該ABPS 方案具有能抵御AII攻擊的EUF-sA-CMA。

2) 能抵御AIII攻擊的EUF-sA-CMA

通過下面的游戲定義能抵御 AIII攻擊的EUF-sA-CMA。

初始化階段。選擇要挑戰(zhàn)的屬性集ω*，且|ω*|≤d。其中，d是預(yù)先定義的參數(shù)。

系統(tǒng)建立階段。挑戰(zhàn)者C 運(yùn)行Setup 算法生成公共參數(shù)params 和主密鑰，運(yùn)行Extract 算法為原始簽名者和代理簽名者分別生成密鑰對(pkOS,skOS)和(pkPS,skPS)。將params、代理簽名者公鑰pkPS，以及原始簽名者的公鑰和私鑰(pkOS,skOS)發(fā)送給AIII。

查詢階段。AIII可以向私鑰生成預(yù)言機(jī)和簽名預(yù)言機(jī)分別進(jìn)行多項(xiàng)式次數(shù)的查詢。

偽造階段。AIII輸出關(guān)于消息m*、屬性集ω*和委托書w*的簽名σ*。

若該偽造滿足以下條件，則認(rèn)為AIII贏得了游戲。

1) AIII從未向私鑰生成預(yù)言機(jī)查詢過屬性集ωPS，且ω*?ωPS。

2) AIII從未向簽名預(yù)言機(jī)查詢過(m*,w*,ω*)。

3) 簽名σ*是關(guān)于消息m*、屬性集ω*和委托書w*的有效簽名。

定義2若敵手AIII在上面的游戲中獲勝的概率是可忽略的，則稱該ABPS 方案具有能抵御AIII攻擊的EUF-sA-CMA。

4.2.2 簽名者的隱私性

通過下面的游戲?qū)灻叩碾[私性進(jìn)行定義。

系統(tǒng)建立階段。挑戰(zhàn)者C 運(yùn)行Setup 算法生成公共參數(shù)params 和主密鑰，并將params 和主密鑰發(fā)送給敵手A。

A 贏得上述游戲的優(yōu)勢被定義為|Pr[u'=u]?0.5|。

定義3若不存在敵手A 能以不可忽略的優(yōu)勢贏得上述游戲，則認(rèn)為該ABPS 方案保護(hù)了簽名者的隱私。

5 面向無人機(jī)網(wǎng)絡(luò)的ABPS 方案描述

5.1 總體方案

在本文所提出的ABPS 方案中，主要包括屬性權(quán)威、指揮中心、地面控制站和無人機(jī)，如圖2 所示。其中，指揮中心為原始簽名者，地面控制站為代理簽名者，無人機(jī)為驗(yàn)證者。指揮中心為地面控制站生成委托書和授權(quán)，地面控制站代表指揮中心計(jì)算代理簽名，并發(fā)送給無人機(jī)進(jìn)行驗(yàn)證。方案的總體流程如下。

1) 生成公共參數(shù)和主密鑰。屬性權(quán)威為指揮中心和地面控制站生成密鑰。

2) 指揮中心生成委托書w和授權(quán)del，并將它們發(fā)送給地面控制站。

3) 地面控制站驗(yàn)證收到的授權(quán)。若該授權(quán)是有效的，則可以計(jì)算代理簽名；否則，不能計(jì)算代理簽名。

4) 地面控制站依據(jù)收到的委托書和授權(quán)計(jì)算出消息m的代理簽名。

5) 無人機(jī)收到簽名后，對其進(jìn)行驗(yàn)證，并輸出驗(yàn)證結(jié)果。

5.2 算法描述

本文所提出的簽名方案主要包括以下算法。

1) Setup

2) Extract

該算法分別為原始簽名者和代理簽名者生成密鑰。設(shè)原始簽名者和代理簽名者的屬性集分別為ωo和ωp，生成屬性集Ω，選擇(d?1)次多項(xiàng)式t(·)，且t(0)=α。生成隨機(jī)

3) DelGen

4) DelVer

代理簽名者收到原始簽名者發(fā)來的委托書和授權(quán)后，通過下面的驗(yàn)證式對該授權(quán)進(jìn)行驗(yàn)證。若該等式成立，則認(rèn)為該授權(quán)是有效的；否則，認(rèn)為該授權(quán)是無效的。

5) Sign

6) Verify

驗(yàn)證者收到代理簽名者發(fā)來的數(shù)字簽名后，通過下面的驗(yàn)證式對該簽名進(jìn)行驗(yàn)證。若該等式成立，則認(rèn)為該簽名是有效的，輸出布爾值A(chǔ)ccept；否則，認(rèn)為該簽名是無效的，輸出布爾值Reject。

6 方案分析

6.1 正確性分析

定理1本文所提出的ABPS方案具有正確性。

證明分兩步對方案的正確性進(jìn)行分析。首先分析DelGen和DelVer算法的正確性，然后分析Sign和Verify 算法的正確性。

1) DelGen 和DelVer 算法的正確性

2) Sign 和Verify 算法的正確性

定理1 證畢。

6.2 不可偽造性

對于不可偽造性，分別證明所提簽名方案具有能抵御AII攻擊的EUF-sA-CMA 和能抵御AIII攻擊的EUF-sA-CMA，然后得出結(jié)論，所提簽名方案具有EUF-sA-CMA。

定理2若CDH 問題是困難的，則所提ABPS方案具有能抵御AII攻擊的EUF-sA-CMA。

授權(quán)生成預(yù)言機(jī)：AII可以向授權(quán)生成預(yù)言機(jī)查詢委托書w和屬性集ω。

若ω*不是ω的子集，B 可以獲取私鑰生成預(yù)言機(jī)生成的密鑰，進(jìn)而計(jì)算出授權(quán)。

簽名預(yù)言機(jī)：AII可以向簽名預(yù)言機(jī)查詢消息m關(guān)于委托書w和屬性集ω的簽名。

定理3若CDH 問題是困難的，則本文提出的ABPS 方案具有能抵御AIII攻擊的EUF-sA-CMA。

根據(jù)定理2 和定理3，可得本文提出的ABPS方案具有EUF-sA-CMA。

6.3 簽名者隱私

在所提方案中，原始簽名者生成的授權(quán)可以看作對委托書的簽名，而且，代理簽名中包含有原始簽名者生成的授權(quán)。因此，對簽名者隱私的保護(hù)包含對原始簽名者和代理簽名者的隱私的保護(hù)。

定理4本文提出的ABPS 方案保護(hù)了原始簽名者的隱私。

定理5本文提出的ABPS 方案保護(hù)了代理簽名者的隱私。

證明采用與定理4 類似的證明方法，可證明本文提出的ABPS 方案保護(hù)了代理簽名者的隱私。

根據(jù)定理4 和定理5，可得本文提出的ABPS方案保護(hù)了簽名者的隱私。

6.4 效率分析

本文從計(jì)算開銷和通信開銷2 個(gè)方面對所提ABPS 方案和ABPS-LXM 方案[19]、ABPS-SCX 方案[20]進(jìn)行分析對比。對于計(jì)算開銷，為反映無人機(jī)執(zhí)行命令的實(shí)時(shí)性，本文主要分析了Sign 和Verify算法的計(jì)算耗時(shí)。計(jì)算耗時(shí)越短，則計(jì)算開銷越小，無人機(jī)執(zhí)行命令的實(shí)時(shí)性越高。對于通信開銷，主要分析了簽名的長度。簽名長度越短，則通信開銷越小。考慮到無人機(jī)網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，選取了較少的屬性進(jìn)行研究。

6.4.1 計(jì)算開銷

本節(jié)簡要分析了不同簽名方案中Sign 和Verify算法包含的一些基本運(yùn)算量，主要包括冪運(yùn)算、hash運(yùn)算和雙線性映射運(yùn)算。在所提ABPS 方案的Sign算法中，計(jì)算需要進(jìn)行4d 次冪運(yùn)算和(d+1)次hash 運(yùn)算，計(jì)算需要進(jìn)行d 次冪運(yùn)算，計(jì)算不需要額外運(yùn)算，計(jì)算需要進(jìn)行d次冪運(yùn)算。因此，在Sign 算法中，總共需要進(jìn)行6d次冪運(yùn)算和(d+1)次hash 運(yùn)算。采用同樣的方法對Verify 算法進(jìn)行分析，可計(jì)算出總共需要2d次冪運(yùn)算，(2d+2)次hash 運(yùn)算和(4d+1)次雙線性映射運(yùn)算。類似地，可以得出ABPS-LXM 和ABPS-SCX方案中所需的計(jì)算量。分析結(jié)果如表1 和表2 所示。

表1 不同簽名方案中Sign 算法的基本運(yùn)算量

實(shí)驗(yàn)所用計(jì)算機(jī)的CPU 為Intel i5-4590。為了便于研究和表述，假設(shè)文獻(xiàn)[19]中n=d=2k，文獻(xiàn)[20]中n=d，SA=SB。在實(shí)驗(yàn)數(shù)據(jù)的基礎(chǔ)上，可以估算出不同簽名方案中Sign 和Verify 算法的計(jì)算耗時(shí)，如圖3和圖4 所示。從圖3 和圖4 中可以發(fā)現(xiàn)，與ABPS-LXM 方案相比，所提ABPS 方案的Sign 和Verify 算法明顯具有更少的計(jì)算開銷。與ABPS-SCX 相比，所提ABPS 方案的Sign 算法的計(jì)算開銷稍大，這是由于ABPS-SCX 方案在Sign 算法之前添加了代理密鑰生成算法，并將大量的計(jì)算放在了該算法中，從而降低了Sign 算法的計(jì)算開銷，而所提ABPS 方案和ABPS-LXM 方案都沒有在 Sign 算法之前添加代理密鑰生成算法；與ABPS-SCX 方案相比，所提ABPS 方案的Verify 算法明顯具有更少的計(jì)算開銷。總體而言，所提ABPS方案具有更少的計(jì)算開銷。

本文采用jPBC（Java pairing based cryptography）[21]實(shí)現(xiàn)了上述基本運(yùn)算，獲取了這些基本運(yùn)算的計(jì)算耗時(shí)，如表3 所示。

表3 基本運(yùn)算的計(jì)算耗時(shí)

6.4.2 通信開銷

本節(jié)對所提ABPS 方案、ABPS-LXM 方案和ABPS-SCX 方案的簽名長度進(jìn)行了分析，如表4 所示。從表4 中可以發(fā)現(xiàn)，所提ABPS 方案的簽名長度與ABPS-LXM 方案和ABPS-SCX 方案的簽名長度在同一水平。

表4 不同簽名方案的簽名長度

7 結(jié)束語

無人機(jī)在執(zhí)行遠(yuǎn)程任務(wù)時(shí)，需要采用數(shù)字簽名保護(hù)發(fā)送給無人機(jī)的命令，而且要保證無人機(jī)能及時(shí)收到命令和簽名，保護(hù)簽名者的隱私。因此，本文提出了面向無人機(jī)網(wǎng)絡(luò)的屬性代理簽名方案，并對其安全性和效率進(jìn)行了分析。該簽名方案在選擇屬性和選擇消息攻擊下具有存在的不可偽造性，而且能保護(hù)簽名者的隱私。從計(jì)算開銷和通信開銷兩方面將所提方案與其他方案進(jìn)行了對比。結(jié)果表明，所提方案的計(jì)算開銷較小，通信開銷與其他方案在同一水平。