一種面向低軌衛(wèi)星網(wǎng)絡(luò)的高效無證書身份認(rèn)證方案

摘要：針對現(xiàn)有低軌衛(wèi)星網(wǎng)絡(luò)認(rèn)證方案采用集中認(rèn)證方式存在認(rèn)證時延大和采用復(fù)雜的雙線性映射存在計算開銷大的問題，引入無證書認(rèn)證模型，在Gayathri方案的基礎(chǔ)上；設(shè)計了一種高效無證書認(rèn)證方案。該方案將用戶的公鑰和真實身份統(tǒng)一起來，使得認(rèn)證過程中不需要第三方參與，降低了認(rèn)證時延；通過橢圓曲線上少量點乘和點加運算構(gòu)建認(rèn)證消息，避免使用雙線性映射，降低了計算開銷；并在隨機預(yù)言模型下，基于橢圓曲線離散數(shù)學(xué)對問題假設(shè)，對其安全性進行了證明。最后，通過實驗仿真，與現(xiàn)有低軌衛(wèi)星身份認(rèn)證方案相比，所提方案的認(rèn)證時延、計算開銷和通信開銷較低。

關(guān)鍵詞：低軌衛(wèi)星網(wǎng)絡(luò)； 身份認(rèn)證； 無證書； 隨機預(yù)言模型

中圖分類號：TP309.2文獻標(biāo)志碼：A文章編號：1001-3695（2022）10-043-3151-05

doi： 10.19734/j.issn.1001-3695.2022.02.0102

Efficient certificateless authentication scheme for LEO satellite networks

Zhang Yi， Wu Qi， Zhou Shuangshuang， Jia Mengzhao

（School of Communication amp; Information Engineering， Chongqing University of Posts amp; Telecommunications， Chongqing 400065， China）

Abstract：

Aiming at the problems of long time delay and high computation cost of using complex bilinear mapping in the current LEO satellite network authentication scheme， this paper proposed an efficient certificateless authentication scheme based on the Gayathri’s certificateless authentication scheme. This scheme unified the user’s public key and real identity， so that needn’t the third party to participate in the authentication process and reduced the authentication delay. It used a small number of point multiplication and point addition operations on the elliptic curve to construct the authentication message， which didn’t involve the bilinear mapping and reduced the computation cost. Then this paper proved the authentication scheme’s security based on the assumption of elliptic curve discrete mathematics under the random oracle model. Finally， through experimental simulation， comparing with the existing LEO satellite identity authentication schemes， the proposed scheme has lower authentication delay， computational overhead and communication overhead.

Key words：LEO satellite network; identity authentication; certificateless; random oracle model

0引言

隨著社會經(jīng)濟的發(fā)展，傳統(tǒng)的地面網(wǎng)絡(luò)已經(jīng)無法滿足人們在海洋、沙漠和深山等特殊區(qū)域的通信需求。而衛(wèi)星網(wǎng)絡(luò)具有覆蓋面積廣、通信距離遠(yuǎn)、不受地理條件限制的特點，可以有效彌補地基網(wǎng)絡(luò)的不足。其中低軌（low earth orbit，LEO）衛(wèi)星網(wǎng)絡(luò)具有時延低、通信功耗小、機動性高等優(yōu)勢［1］，在衛(wèi)星網(wǎng)絡(luò)占據(jù)著越來越重要的作用。

LEO衛(wèi)星網(wǎng)絡(luò)具有節(jié)點暴露、信道開放、資源受限、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)高動態(tài)變化、用戶終端海量等特點，導(dǎo)致用戶接入LEO衛(wèi)星網(wǎng)絡(luò)容易遭受欺騙、惡意攔截、信息竊取等問題。因此LEO衛(wèi)星網(wǎng)絡(luò)的安全接入認(rèn)證問題成為了人們關(guān)注的焦點。不同于地面網(wǎng)絡(luò)，衛(wèi)星網(wǎng)絡(luò)節(jié)點資源和計算能力受限，無法承擔(dān)復(fù)雜的計算和高額的通信開銷。并且，相對于中軌和高軌衛(wèi)星，用戶在使用LEO衛(wèi)星系統(tǒng)各項服務(wù)時，對于傳輸時延、實時性和丟包情況要求更高，所以認(rèn)證時延不能太高。同時，LEO衛(wèi)星鏈路切換更加頻繁，過大的認(rèn)證時延可能導(dǎo)致用戶與原衛(wèi)星的連接失效后還沒有與其他衛(wèi)星建立連接，從而造成連接中斷，影響用戶通信質(zhì)量。所以，認(rèn)證方案的設(shè)計應(yīng)該在保證安全性的前提下，盡可能滿足較小的計算開銷、較低的認(rèn)證時延和通信成本。

針對LEO衛(wèi)星網(wǎng)絡(luò)安全身份接入問題，早期Cruickshank［2］提出了一種基于公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）的安全認(rèn)證協(xié)議，其核心思想是通過通信雙方的公/私鑰完成身份認(rèn)證，但是認(rèn)證過程中需要復(fù)雜的流程交互和計算開銷，而且存在證書難以管理的問題。為了避免PKI體制的弊端，2015年Zhang等人［3］提出基于異或哈希的輕量認(rèn)證方案，該方案通過用戶到衛(wèi)星到地面網(wǎng)絡(luò)控制中（network control center，NCC）的方式完成三方認(rèn)證，其中衛(wèi)星在認(rèn)證過程起到中轉(zhuǎn)作用而不參與計算。雖然認(rèn)證過程中計算開銷很小，但是其安全性低，認(rèn)證過程中消息容易被破解。文獻［4，5］提出基于哈希和對稱加密的匿名認(rèn)證方案，方案使用對稱加密防止認(rèn)證消息被破解，同時通過異或哈希對終端設(shè)備身份進行進一步隱藏，提高了安全性，但是仍然存在無法抵御服務(wù)器欺騙等攻擊。為了進一步提高安全性，文獻［6，7］基于橢圓曲線密碼體制（elliptic curve cryptography，ECC）設(shè)計了一種安全強度高的認(rèn)證方案，并且通過安全形式化證明該類方案具有抵御各種已知攻擊的能力。但是，文獻［3～7］在認(rèn)證過程中均需要NCC的參與，導(dǎo)致NCC負(fù)載過大，容易出現(xiàn)單點故障問題。同時認(rèn)證過程中存在多輪信息交互，導(dǎo)致認(rèn)證時延過大。隨著星上處理能力的不斷提高，2020年趙國鋒等人［8］在基于身份密碼體制（identity-based cryptography，IBC）的基礎(chǔ)上，提出一種用戶終端和衛(wèi)星間端到端的認(rèn)證方案，該方案僅在注冊階段需要密鑰生成中心（key generation center，KGC）生成公私鑰，而在認(rèn)證過程中不需要第三方參與，從而降低了認(rèn)證時延。但是其認(rèn)證方案中使用了復(fù)雜的雙線性映射，導(dǎo)致計算開銷過大，同時由于KGC保存著所有用戶終端設(shè)備的公/私鑰，所以存在密鑰托管問題。

無證書密碼體制（certificateless public key cryptography，CL-PKC）［9］可以很好地避免密鑰托管問題，同時具有很高的安全性，所以在低軌衛(wèi)星網(wǎng)絡(luò)身份認(rèn)證應(yīng)用中具有很好的前景。但是現(xiàn)有低軌衛(wèi)星中無證書認(rèn)證方案很少，且主要關(guān)注在密鑰協(xié)商［10］和特定衛(wèi)星系統(tǒng)中［11］。

2017年，周彥偉等人［12］提出一種高效的無證書簽密方案，該方案避免了計算量大的雙線性運算，而使用少量群上點乘和點加運算，從而降低了計算開銷，適用于計算資源有限的設(shè)備。但是文獻［12］被文獻［13］證明了存在安全缺陷，不能抵御偽造身份攻擊。近年來，無證書認(rèn)證方案廣泛運用于其他資源受限的網(wǎng)絡(luò)中，如物聯(lián)網(wǎng)［14］和車聯(lián)網(wǎng)［15，16］。對低軌衛(wèi)星網(wǎng)絡(luò)中采用無證書認(rèn)證的方案設(shè)計提供了很好的研究思路。

現(xiàn)有認(rèn)證方案無法滿足LEO衛(wèi)星高效認(rèn)證需求，因此，根據(jù)以上研究基礎(chǔ)，本文在文獻［15］的基礎(chǔ)上，結(jié)合低軌衛(wèi)星網(wǎng)絡(luò)特點，提出了一種高效無證書身份認(rèn)證方案。該方案的用戶認(rèn)證過程中不需要NCC參與，降低了認(rèn)證時延；同時通過橢圓曲線上少量點乘和點加運算構(gòu)建認(rèn)證消息，計算開銷低且安全性高。最后在隨機預(yù)言模型下證明了本文方案的安全性，并和已有方案性能進行了對比分析。

1預(yù)備知識

1.1困難問題

橢圓曲線離散數(shù)學(xué)對問題（elliptic curve discrete logarithm，ECDLP）：令P是階為大素數(shù)q的循環(huán)群G的一個生成元，而任意的概率多項式算法A成功解決ECDLP問題的概率AdvDL（A）=Pr［A（P，smP=sm）］是可忽略的，概率來源于sm在Z*q上隨機選取和算法A的隨機選擇。

1.2無證書認(rèn)證方案流程

無證書認(rèn)證方案主要包括初始化階段（setup）、秘密值生成階段（set-secret-key）、部分密鑰生成階段（set-private-key）、簽名階段（sign）和驗證階段（verify）五個階段。

a）初始化。該階段由KGC執(zhí)行，以安全參數(shù)k作為輸入，生成系統(tǒng)的主密鑰s和系統(tǒng)公共參數(shù)params。

b）秘密值生成。該階段由用戶終端設(shè)備執(zhí)行，以用戶設(shè)備ID作為輸入，生成用戶終端秘密值x和公開參數(shù)X。

c）部分密鑰生成。該階段由KGC執(zhí)行，以用戶設(shè)備ID和公開參數(shù)X作為輸入，生成用戶部分密鑰（R，d）。

d）簽名。該階段由任意合法設(shè)備執(zhí)行，輸入任意消息m和該設(shè)備的私鑰對（x，d），生成該消息的簽名σ。

e）驗證。該階段由任意合法設(shè)備執(zhí)行，輸入任意消息m和簽名σ，輸出驗證結(jié)果（true/1）。

1.3文獻［15］方案回顧

令簽名者V和驗證者R為無證書認(rèn)證方案的主要實體。按照文獻［15］的方案，則V生成的公私鑰對為〈PKi=（Xi，Ri），SKi=（di，xi）〉。PKi由PKG生成部分公鑰Ri和自己生成的部分公鑰Xi組成。同理，SKi是由PKG生成部分私鑰di和自己生成的部分私鑰xi組成。

a）簽名階段。V選取隨機數(shù)y1i，y2i∈Z*q，獲取當(dāng)前時間ti，然后按照如下方式計算部分密鑰Y1i、Y2i和簽名wi，然后發(fā)送認(rèn)證請求mi，σi=（Ri，Y1i，ui，wi）到驗證者R。

Y1i=y1iP

Y2i=［（y2ixi+h2idi）mod q］Ppub=（ui，vi）

wi=［ui（y1i+h3ixi）+h4idi］mod q

其中：h2i=H2（mi，IDi，Y1i）、h3i=H3（mi，IDi，Y1i，Ri，ti）、h4i=H4（mi，IDi，Y1i，Ri，ti）表示摘要值；（ui，vi）表示橢圓曲線上一點的橫縱坐標(biāo)；P、Ppub、q分別表示橢圓曲線生成元、系統(tǒng)公鑰和大素數(shù)。

b）驗證階段。R收到V的認(rèn)證請求后，驗證式（1）是否成立，若成立，則表示認(rèn)證成功，否則，認(rèn)證失敗。

wiP－ui（Y1i+h3iXi）=h4i（Ri+h1iPpub）（1）

1.4文獻［15］方案安全性缺陷

根據(jù)文獻［9］描述，無證書密鑰體制存在A1類敵手，該類敵手具有替換合法用戶公鑰的能力，但它不掌握系統(tǒng)主密鑰。當(dāng)A1獲取V公鑰PKi后，然后偽造公鑰替代PKi，生成偽造簽名σ。A1與R的具體交互過程如下：

a）簽名。A1通過公開信道獲取V的公鑰PKi=（Xi，Ri）和身份標(biāo)識符IDi后：

（a）獲取當(dāng)前時間t′i，選取隨機數(shù)y′1i∈Z*q，計算：

Y′1i=y′1iP=（u′i，v′i）

h1i=H1（IDi，Ri，Ppub）

h′3i=H3（m′i，IDi，Y′1i，Ri，t′i）

h′4i=H4（m′i，IDi，Y′1i，Ri，t′i）

（b）偽造公鑰為PKi=（X′i，Ri），并替換成V的公鑰，其中X′i=h′3i-1［-u′iY′1i-h4i（Ri + h1Ppub）］ + Y′1i。

（c）生成簽名wi=y′1i，發(fā)送認(rèn)證請求（m′i，σi=（Ri，Y′1i，u′i，w′i））到R。

b）驗證。R收到V的認(rèn)證請求后：

（a）計算：

h′3i=H3（m′i，IDi，Y′1i，Ri，t′i）

h′4i=H4（m′i，IDi，Y′1i，Ri，t′i）

h1i=H1（IDi，Ri，Ppub）

（b）驗證式（2）是否成立，若成立，則表示認(rèn)證成功，否則，認(rèn)證失敗。

w′iP-u′i（Y1i + h′3iX′i）=h′4i（Ri + h1iPpub）（2）

因為敵手A1偽造V的簽名σi滿足式（1），所以可以通過R的驗證。A1具有偽造成合法用戶的能力，文獻［15］方案無法滿足所聲稱的對A1敵手的不可偽造性。證明如下：

h′4i（Ri + h1iPpub） + u′i（Y1i + h′3iX′i）=

h′4i（Ri + h1iPpub） + u′iY1i + h′3iX′i=Y1i=y′1iP=w′iP

2本文方案

2.1系統(tǒng)模型

本文方案的系統(tǒng)模型如圖1所示，下面對低軌網(wǎng)絡(luò)認(rèn)證中的主要實體進行簡要介紹。

a）KGC。所有實體信息的管理者，它發(fā)布公開系統(tǒng)參數(shù)，并負(fù)責(zé)設(shè)備信息注冊，為合法設(shè)備生成公私鑰對。

b）LEO衛(wèi)星。衛(wèi)星網(wǎng)絡(luò)節(jié)點，距離高度一般為500～2 000 km，傳播時延一般在20～40 ms，主要負(fù)責(zé)用戶的接入和數(shù)據(jù)的傳輸。本文方案中衛(wèi)星有一定的計算能力，具備驗證用戶合法性的功能。

c）用戶終端。主要包括手機、車輛、飛機、用戶等地面終端，需要通過低軌衛(wèi)星網(wǎng)絡(luò)獲取相應(yīng)的服務(wù)。

2.2方案流程

本文方案主要包括系統(tǒng)初始化階段、秘密值生成階段、部分私鑰生成階段和雙向認(rèn)證階段四個階段。符號及其含義如表1所示。

2.2.1系統(tǒng)初始化階段

該階段由KGC執(zhí)行，KGC選取階數(shù)為q的循環(huán)群G，其中q為大素數(shù)（qgt;2k，k為安全參數(shù)），P為G的一個生成元。定義：H1：{ 0，1}lu×G×G→Z*q，H2：{ 0，1}*→Z*q，lu為用戶身份標(biāo)識符ID的長度。然后KCG隨機選取系統(tǒng)主密鑰sm∈Z*q，計算系統(tǒng)公鑰Ppub=smP，公開參數(shù)params=〈q，P，G，Ppub，H1，H2〉。

2.2.2秘密值生成階段

該階段由用戶終端和衛(wèi)星分別執(zhí)行。

設(shè)用戶終端設(shè)備為IDU，IDU隨機選取秘密值xU∈Z*q，計算公開參數(shù)XU=xUP，然后通過安全通道發(fā)送（IDU，XU）到KGC。

設(shè)衛(wèi)星設(shè)備為IDS，IDS隨機選取秘密值xS∈Z*q，計算公開參數(shù)XS=xSP，然后通過安全通道發(fā)送（IDS，XS）到KGC。

2.2.3部分密鑰生成階段

該階段由KGC、用戶終端和衛(wèi)星分別執(zhí)行。

KGC收到用戶終端設(shè)備身份標(biāo)識符IDU和公開參數(shù)XU后，隨機選取rU∈Z*q，并計算RU=rUP，dU=rU+smH1（IDU，XU，RU）。然后通過安全信道將（RU，dU）返回給設(shè)備。

用戶終端收到KGC返回密鑰后，驗證dUP=RU+PpubH1（IDU，XU，RU）是否成立，判斷KCG生成密鑰的合法性。若驗證不通過，則重新向密鑰KGC申請密鑰；否則，密鑰生成成功。最終，用戶終端IDU的公鑰為PKU=〈XU，RU〉，私鑰為SKU=〈xU，dU〉。

同理，衛(wèi)星IDS的公鑰為PKS=〈XS，RS〉，私鑰為SKS=〈xS，dS〉。

2.2.4雙向認(rèn)證階段

用戶U（身份標(biāo)識符為IDU）和衛(wèi)星S（身份標(biāo)識符IDS）進行雙向身份認(rèn)證流程如下：

a）用戶U隨機選取a1∈Z*q。

計算QU=a1P=（u1，v1），時間戳TU；

計算nU=H2（IDU，XU，TU，RU，QU，m）；

然后生成簽名σU=a-11（nUxU + u1dU）mod q；

發(fā)送認(rèn)證請求req=（IDU，XU，RU，QU，TU，σU，m）。

b）衛(wèi)星S收到用戶發(fā)送的認(rèn)證請求req后，獲取當(dāng)前時間T，判斷T－TU≤ΔT是否成立，若不成立則認(rèn)為消息不新鮮，然后丟棄消息并停止操作。否則，

計算w=σ-1U，hU=H1（IDU，XU，RU），n′U=H2（IDU，XU，TU，RU，QU，m）；

計算α1=n′Uw，α2=u1w；

驗證QU=α1XU+α2（RU+hUPpub）。

c）若衛(wèi)星S驗證用戶U身份合法性通過后，衛(wèi)星S隨機選取s1∈Z*q。

計算QS=s1P=（u2，v2），時間戳TS；

計算nS=H2（IDS，XS，TS，RS，QS）；

然后生成簽名σS=a-11（nSxS + u2dS）mod q；

返回認(rèn)證響應(yīng)res=（IDS，XS，RS，QS，TS，σS）。

d）用戶收到衛(wèi)星返回的認(rèn)證響應(yīng)后，獲取當(dāng)前時間T，判斷T－TU≤ΔT是否成立，若不成立則認(rèn)為消息不新鮮，認(rèn)證失敗。否則，

計算hS=H1（IDS，XS，RS），w=σ-1S，n′S=（IDS，XS，TS，RS，QS）；

計算α1=n′Sw，α2=u2w；

驗證QS=α1X+α2（RS+hSPpub）。

如果用戶U和衛(wèi)星S順利完成以上步驟，則認(rèn)為用戶和衛(wèi)星雙向認(rèn)證成功。

3安全性證明與分析

3.1正確性證明

衛(wèi)星在認(rèn)證請求階段判斷簽名是否成立的正確性分析如下：

a）如果用戶簽名合法，那么簽名需要滿足等式QU=α1XU+α2（RU+hUPpub）。

b）由用戶秘密值生成階段和部分密鑰生成階段可知，用戶密鑰滿足等式dUP=RU+PpubH1（IDU，XU，RU）、XU=xUP。所以衛(wèi)星可以通過計算得到的hU和公開參數(shù)XU、RU、Ppub計算出xUP和dUP。

c）進一步，衛(wèi)星可進行如下計算：

α1XU + α2（RU + hUPpub）=α1xUP + α2dUP=

（α1xU + α2dU）P=w（n′UxU + u1dU）P=σ-1U（n′UxU + u1dU）P。

d）用戶在生成簽名時，簽名σU滿足等式σU=a-11（nUxU+u1dU），代入上一步，就可以得到α1XU+α2（RU+hUPpub）=a1P=QU。

3.2安全性正式證明

定理1假定敵手A1在多項式時間內(nèi)，以無法忽視的優(yōu)勢ζ1成功偽造出一個簽名，則挑戰(zhàn)者C能夠以（1-qp/q）（1-qs/q）（qc/（qc+1））qcζ1解決ECDLP問題。其中：qp表示部分密鑰生成查詢次數(shù)；qs表示秘密值查詢次數(shù)；qc表示次簽名查詢次數(shù)。

證明假設(shè)一個敵手A1在本文方案中能以優(yōu)勢ζ1成功偽造目標(biāo)用戶IDi的有效簽名，則對于給定的（P，Q=aP），挑戰(zhàn)者C的目標(biāo)是計算a。

挑戰(zhàn)者C與A1的交互流程如下：

a）初始化階段。C首先運行setup程序構(gòu)建系統(tǒng)，令Ppub=smP，然后公開系統(tǒng)參數(shù)params=〈q，P，G，Ppub，H1，H2〉。建立并維護L1、L2、LP、Ls、Lk五個表，哈希表L1填充內(nèi)容為（ID，X，R，h1），哈希表L2填充內(nèi)容為（ID，X，R，T，Q，m，h2），部分密鑰值表LP填充內(nèi)容為（ID，R，d），秘密值表Ls填充內(nèi)容為（ID，x），公鑰表Lk填充內(nèi)容為（ID，X，R）。初始化時，各個表格內(nèi)容為空。

b）預(yù)言機查詢階段。本階段A1與C之間進行如下預(yù)言機交互：

（a）L1查詢。當(dāng)A1輸入（ID，Xi，Ri）進行詢問時，若L1存在相應(yīng)的元組（ID，Xi，Ri，h1），則返回h1給A1；否則，C隨機選取h1∈Z*q，然后返回h1給A1，并保存（ID，Xi，Ri，h1）。

（b）L2查詢。當(dāng)A1輸入（ID，Xi，Ri，Ti，Qi，mi）進行詢問時，若L2存在相應(yīng)的元組（ID，Xi，Ri，Ti，Qi，mi，h2），則返回h2給A1；否則，C隨機選取h2∈Z*q，然后返回h2給A1，并保存（ID，Xi，Ri，Ti，Qi，mi，h2）到L2中。

c）部分密鑰生成查詢。當(dāng)A1輸入（ID，Xi）進行詢問時，首先判斷ID=ID是否成立，若成立，則C終止模擬。若不成立，則判斷LP是否存在相應(yīng)的元組（ID，Ri，di），若存在，則返回（Ri，di）給A1，否則C隨機選取di，h1∈Z*q，并計算Ri=diP－h(huán)1Ppub，然后返回（Ri，di）給A1。最后，保存（ID，Ri，di）到LP中，并添加（ID，Xi，Ri，h1）到L1中。

d）秘密值查詢。當(dāng)A1輸入ID進行詢問時，首先判斷ID=ID是否成立，若成立，則C終止模擬。若不成立，則判斷Ls是否存在相應(yīng)的元組（ID，xi），若存在，則返回xi給A1，否則C隨機選取xi∈Z*q，然后返回xi給A1然后保存（ID，xi）到Ls中。

e）公鑰生成查詢。當(dāng)A1輸入（ID，mi）進行詢問時，若Lk存在相應(yīng)的元組（ID，Xi，Ri），則返回（Xi，Ri）給A1，否則C隨機選取xi∈Z*q，計算Xi=xiP，通過（ID，Xi）對LP進行查詢得到（Ri，di），然后返回（ID，Xi，Ri）給A1，并分別添加（ID，Ri，di），（ID，Xi）到LP和Ls中。

f）公鑰替換。A1可以選擇一個新的公鑰（X′i，Ri）替換任意合法用戶公鑰（Xi，Ri），并保存到LP中。

g）簽名查詢。當(dāng)A1以（ID，mi）進行詢問時，首先判斷ID=ID是否成立，若成立，則C終止模擬。否則，隨機選取ai∈Z*q，計算Qi=aiP=（ui，vi），然后通過L2、LP、Ls分別獲取h2、di、xi，計算σi=a-1i（h2xi + uidi）mod q，返回（Qi，σi）給A1。

h）初始化階段。本階段A1通過C之間的交互后，嘗試偽造合法用戶簽名。

i）偽造。最后A1偽造出ID的一個簽名（Q*i，σ*i），如果式（3）成立，則A1偽造成功。其中u*i為Q*i的一部分。

h*2σ*-1iX*i + u*iσ*-1i（R*i + h*1Ppub）=Q*i

（3）

根據(jù)分叉引理［15］，A1能夠在多項式時間內(nèi)以同樣的方式選擇不同的h′1成功偽造另一個簽名（Q*i，σ′i）滿足式（4）。

h*2σ′-1iX*i + u*iσ′-1i（R*i + h′1Ppub）=Q*i

（4）

所以由式（3）（4）可得

Q*i（σ*-1i-σ′-1i）=u*i（h*1-h′1）Ppub

a*i（σ*-1i-σ′-1i）P=u*i（h*1-h′1）smP

C可計算出sm=a*i（σ*-1i-σ′-1i）u*-1i（h*1-h′1）-1。

j）概率分析。設(shè)在多項式時間內(nèi)，C最多進行qp次部分密鑰生成查詢，qs次秘密值查詢，qc次簽名（即選取了qc個身份進行簽名詢問，1個身份作為挑戰(zhàn)即ID）后，成功解決ECDLP問題，那么C在模擬過程中必須滿足以下三個條件：

（a）E1。簽名階段未終止（未選中ID）。

（b）E2。C未對目標(biāo)身份號（ID）進行部分密鑰生成查詢或秘密值查詢。

（c）E3。σ是關(guān)于ID的一個有效簽名。

所以，優(yōu)勢可以表示為Pr［E1∧E2∧E3］。而Pr［E1］=（1-1/（qc+1））qc、Pr［E1|E2］=（1-qp/q）（1-qs/q）、Pr［E3|E1∧E2］=ζ1。所以模擬過程不終止的概率為Pr［E1∧E2∧E3］=（1-qp/q）（1-qs/q）（qc/（qc+1））qcζ1。

定理2假定敵手A2在多項式時間內(nèi)，以無法忽視的優(yōu)勢ζ2成功偽造出一個簽名，則挑戰(zhàn)者C能夠以（1-qp/q）（1-qs/q）（qn/（qn+1））qnζ2解決ECDLP問題。其中：qp表示公鑰生成查詢次數(shù)；qs表示秘密值查詢次數(shù)；qn表示次簽名查詢次數(shù)。

證明證明過程和定理1類似。

3.3安全性形式化分析

a）簽名不可鏈接性。在本文方案中，用戶終端和衛(wèi)星每次生成簽名σi=a-1i（nixi + udi）mod q都需要隨機選取的ai，導(dǎo)致每次生成簽名都是隨機的，因此簽名之間沒有任何聯(lián)系，具有簽名不可鏈接性。

b）前向安全性。前向安全性可以保障用戶終端前后的認(rèn)證消息不會互相影響。本文方案中，當(dāng)用戶終端SKU=〈xU，dU〉遭到破壞時，也不會泄露先前建立的會話密鑰信息。因為會話密鑰k=a1Qs=s1Qu是基于迪菲—赫爾曼密鑰交換（Diffie-Hellman key exchange，DHKE）協(xié)議生成的，不依賴于用戶終端的私鑰，所以本文認(rèn)證方案具有前向安全性。

c） 抗重放攻擊。認(rèn)證過程中，衛(wèi)星和用戶終端都會根據(jù)當(dāng)前的時間戳判斷收到消息的新鮮性，若大于系統(tǒng)設(shè)定最大忍受時延，則會丟棄消息，從而使攻擊者對消息的重放攻擊無效。

d） 抵御中間人或假冒攻擊。攻擊者無法根據(jù)截獲用戶發(fā)送的認(rèn)證消息偽造用戶終端的簽名，因為認(rèn)證消息構(gòu)建的安全基礎(chǔ)是基于橢圓曲線上的離散對數(shù)問題的困難性，所以攻擊者無法偽造認(rèn)證消息。

e）密鑰托管彈性。在本文方案中，用戶終端和衛(wèi)星的私鑰SKi=〈xi，di〉，包括由KGC計算的部分私鑰di以及用戶終端和衛(wèi)星隨機選擇的xi，因此，惡意的KGC在不知道xi的情況下無法生成有效的簽名。故本文方案不受密鑰托管問題的影響。

4實驗仿真

計算開銷、認(rèn)證時延和通信開銷是衡量身份認(rèn)證方案優(yōu)劣最直觀的指標(biāo)。本章將從計算開銷、認(rèn)證時延和通信開銷三方面與近年來發(fā)表的、安全性較高的接入認(rèn)證方案相對比。選取的對比方案分別為基于三因素橢圓曲線認(rèn)證方案［7］、基于雙線性配對的認(rèn)證方案［8］和基于雙線性配對的無證書認(rèn)證方案［11］。

4.1實驗環(huán)境

本文實驗環(huán)境操作系統(tǒng)為Ubuntu 18.04.6 64 bit，在VMware虛擬機運行，運行內(nèi)存為4 GB。硬件環(huán)境為Intel i5-10210U 1.60 GHz。本文認(rèn)證方案在Charm-crypto庫上實現(xiàn)，操作運算基于底層PCB庫。隨機模擬100次不同密碼運行操作進行分析，得到的結(jié)果如表2所示。

4.2計算開銷和認(rèn)證時延分析

在方案對比時，主要考慮EM、EA和Tpar產(chǎn)生的計算開銷，而普通哈希運算和四則運算花費時間很少，因此可以將其忽略。同時，為了不失一般性，設(shè)用戶終端設(shè)備和衛(wèi)星單向傳輸時延Tu－s與衛(wèi)星及NCC單向傳輸時延Ts－n都為20 ms。如表3所示，本文認(rèn)證方案不涉及到復(fù)雜度較大的Tpar運算，在簽名和驗證階段僅需要少量的EM和EA運算就可以完成驗證，計算開銷時間大約為4.2 ms。與使用雙線性對運算認(rèn)證文獻［8］約24.1 ms和文獻［11］約10 ms相比，計算開銷上有明顯優(yōu)勢；與不使用雙線性對運算文獻［7］相比，文獻［7］認(rèn)證過程中需要較多的EM運算，約6.2 ms，計算開銷較本文方案更大，同時相對本文方案多了2Ts－n次交互次數(shù)。所以，本文認(rèn)證方案計算開銷最低，認(rèn)證更加高效。

認(rèn)證時延主要包括身份認(rèn)證中的計算開銷和認(rèn)證信息交互過程中的傳播時延開銷。由圖2不同消息個數(shù)下的認(rèn)證時延可知，由于本文方案使用少量復(fù)雜度較低的橢圓曲線上點乘和點加運算構(gòu)建簽名，計算開銷最小；同時本文認(rèn)證方案是基于無證書認(rèn)證模型，無須第三方參與認(rèn)證，減少了認(rèn)證過程中的交互次數(shù)，傳播時延低。所以本文的認(rèn)證時延均明顯小于其他方案。

4.3通信開銷分析

為了方便比較，本文假定設(shè)備身份標(biāo)識長度|ID|為4 Byte、時間戳長度|T|為4 Byte，消息長度|m|為20 Byte、正整數(shù)域Z*q中元素占用|Z*q|為20 Byte。而循環(huán)群G和G1占用字節(jié)數(shù)分別為20 Byte和64 Byte，所以G和G1上元素長度|G|和|G1|分別為40 Byte和128 Byte。不同認(rèn)證方案通信成本比較如表4所示。可以看出，相比于其他方案，本文認(rèn)證方案通信成本更低。

5結(jié)束語

本文提出一種面對低軌衛(wèi)星的高效無證書身份認(rèn)證方案。該方案用戶認(rèn)證過程中不需要第三方參與，降低了認(rèn)證時延；認(rèn)證過程無須雙線性映射，計算開銷低，同時具有

簽名不可鏈接性、前向安全性、抗重放攻擊、抵御中間人或假冒攻擊、密鑰托管彈性等安全性。但是本文方案在計算開銷上還有一定優(yōu)化空間，需要用戶終端和衛(wèi)星具備一定的計算能力。如何在滿足高安全強度的同時，構(gòu)造計算復(fù)雜度更低的低軌衛(wèi)星網(wǎng)絡(luò)身份認(rèn)證方案是未來的重要研究方向。

參考文獻：

［1］楊昕，孫智立，劉華峰，等. 新一代低軌衛(wèi)星網(wǎng)絡(luò)和地面無線自組織網(wǎng)絡(luò)融合技術(shù)的探討［J］. 中興通信技術(shù)，2016，22（4）： 58-63. （Yang Xin，Sun Zhili，Liu Huafeng，et al. Technology of new generation LEO satellite network and terrestrial MANET integration［J］. ZTE Technology Journal，2016，22（4）： 58-63.）

［2］Cruickshank H S. A security system for satellite networks ［C］// Proc of the 15th International Conference on Satellite Systems for Mobile Communications and Navigation. London： IET Press，1996： 187-190.

［3］Zhang Yuanyuan，Chen Jianhua，Huang Baojun. An improved authentication scheme for mobile satellite communication systems［J］. International Journal of Satellite Communications and Networking，2015，33（2）： 135-146.

［4］Saroj T，Gaba G S. A lightweight authentication protocol based on ECC for satellite communication［J］. Pertanika Journal of Science amp; Technology，2017，25（4）： 1317-1330.

［5］朱輝，陳思宇，李鳳華，等. 面向低軌衛(wèi)星網(wǎng)絡(luò)的用戶隨遇接入認(rèn)證協(xié)議［J］. 清華大學(xué)學(xué)報： 自然科學(xué)版，2019，59（1）： 1-8. （Zhu Hui，Chen Siyu，Li Fenghua，et al. User random access authentication protocol for low earth orbit satellite networks［J］. Journal of Tsinghua University： Science and Technology，2019，59（1）： 1-8.）

［6］Qi Mingping，Chen Jianhua，Chen Yitao. A secure authentication with key agreement scheme using ECC for satellite communication systems ［J］. International Journal of Satellite Communications and Networking，2019，37（3）： 234-244.

［7］Ostad-Sharif A，Abbasinezhad-Mood D，Nikooghadam M. Efficient utilization of elliptic curve cryptography in design of a three-factor authentication protocol for satellite communications［J］. Computer Communications，2019，147： 85-97.

［8］趙國鋒，周文濤，徐川，等. 一種基于雙線性配對的天地一體化網(wǎng)絡(luò)安全身份認(rèn)證方案［J］. 信息網(wǎng)絡(luò)安全，2020，20（12）： 33-39. （Zhao Guofeng，Zhou Wentao，Xu Chuan，et al. A secure identity authentication scheme for space-ground integrated network based on bilinear pairing［J］. Netinfo Security，2020，20（12）： 33-39.）

［9］Al-Riyami S S，Paterson K G. Certificateless public key cryptography ［C］// Proc of International Conference on the Theory and Application of Cryptology and Information Security. Berlin： Springer，2003： 452-473.

［10］Liu Yuchen，Zhang Aixin，Li Jianhua，et al. An anonymous distributed key management system based on CL-PKC for space information network ［C］// Proc of IEEE International Conference on Communications. Piscataway，NJ： IEEE Press，2016： 1-7.

［11］Wu Zhijun，Yang Yiming. BD-D1Sec： protocol of security authentication for BeiDou D1 civil navigation message based on certificateless signature［J］. Computers amp; Security，2021，105： 102251.

［12］周彥偉，楊波，王青龍. 安全的無雙線性映射的無證書簽密機制［J］. Journal of Software，2017，28（10）： 2757-2768. （Zhou Yanwei，Yang Bo，Wang Qinglong. Secure certificateless signcryption scheme without bilinear pairing［J］. Journal of Software，2017，28（10）： 2757-2768.）

［13］Yang Xiaodong，Liu Rui，Chen Guilan，et al. Security analysis of a certificateless signcryption mechanism without bilinear mapping［C］// Proc of the 4th Information Technology，Networking，Electronic and Automation Control Conference. 2020： 2431-2434.

［14］Tedeschi P，Sciancalepore S，Eliyan A，et al. LiKe： lightweight certi-ficateless key agreement for secure IoT communications［J］. IEEE Internet of Things Journal，2019，7（1）： 621-638.

［15］Pointcheval D，Stern J. Security arguments for digital signatures and blind signatures［J］. Journal of Cryptology，2000，13（3）： 361-396.

［16］Gayathri N B，Thumbur G，Reddy P V，et al. Efficient pairing-free certificateless authentication scheme with batch verification for vehicular Ad hoc networks［J］. IEEE Access，2018，6： 31808-31819.

［17］Xu Guangquan，Zhou Wenjuan，Sangaiah A K，et al. A security-enhanced certificateless aggregate signature authentication protocol for InVANETs［J］. IEEE Network， 2020，34（2）： 22-29.

收稿日期：2022-02-28；修回日期：2022-04-24

作者簡介：張毅（1970-），男，重慶萬州人，教授，碩士，主要研究方向為衛(wèi)星網(wǎng)絡(luò)技術(shù)、信息安全；吳奇（1995-），男（通信作者），四川達(dá)州人，碩士研究生，主要研究方向為衛(wèi)星網(wǎng)絡(luò)技術(shù)、密碼學(xué)（s190101171@stu.cqupt.edu.cn）；周霜霜（1997-），女，重慶江津人，碩士研究生，主要研究方向為無線定位、網(wǎng)絡(luò)與信息安全；賈夢朝（1996-），男，河南南陽人，碩士研究生，主要研究方向為物聯(lián)網(wǎng)、網(wǎng)絡(luò)與信息安全.