无人机网络安全通信方案

最新推荐文章于 2026-05-09 10:10:28 发布

原创最新推荐文章于 2026-05-09 10:10:28 发布 · 844 阅读 ·

大模型引用 1 次

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

pluto

关注

标签

#无人机 #安全通信 #相互认证

分类信息安全与密码学

无人机网络中的安全通信

摘要

无人机（UAV）网络在工业界和学术界受到了广泛关注。然而，作为重要的信息载体和数据中继平台，无人机容易受到各种攻击。本文提出了一种针对无人机网络的安全通信方案。在该方案中，每架无人机维护并管理一个区域，授权设备可在无需在线集中式权威机构的情况下获取广播密钥。通过采用分层基于身份的广播加密和假名机制，系统中的所有设备均可匿名广播加密消息，并解密合法的密文。分析表明，本方案满足机密性、认证、部分隐私保护和抗拒绝服务攻击这四项重要的安全属性。实验结果表明，该方案仅引入数毫秒的延迟。

关键词 ：无人机 · 安全通信 · 相互认证

1 引言

无人机（UAV），也称为无人机，最初用于测绘、监视、搜索和目标跟踪等军事用途。近年来，无人机作为人体的延伸，已被应用于民用领域。2016年，Facebook的太阳能无人飞机Aquila完成了首次试飞，作为一种为世界偏远地区提供互联网接入的替代平台。该飞机搭载的通信有效载荷采用激光传输数据，速度比现有系统快10倍以上[17]。此外，高通公司子公司高通技术公司与AT&T宣布，将在商业4G LTE网络[24]上测试无人驾驶航空器系统（UAS）或无人机。无人机网络目前被用于许多领域，如灾难救援[2,9],公共服务[18],农业[20],以及基础设施损坏评估[15]。

与基于基础设施的覆盖网络相比，使用无人机部署无线网络有利于高效地调整网络拓扑并动态分配无线参数。此外，无人机能够搭载具备充足计算能力的硬件以执行复杂操作，而在毁坏地区，由于基础设施部署困难，将此类硬件运行于地面设备上则成本高昂且效率低下。事实上，在偏远地区建立临时网络，使用无人机远比部署相应的有线基础设施更节省成本且耗时更少。

尽管无人机网络具有诸多优势，但安全风险阻碍了其部署。2011年，伊朗部队捕获了一架美国RQ-170无人航空飞行器，引发了人们对无人机安全的担忧。无人机网络的应用，例如在敌对环境中用于战场通信和侦察部队，始终面临对手发动网络攻击的风险。此外，由于无线网络的开放性，攻击者更容易接入网络，发动各种攻击，例如拦截、篡改传输消息，甚至接管通信流。

为应对无人机网络的安全威胁，孔等[11]提出了一种对称密钥分发方案，其中每个设备需要存储其所有邻居的公钥和对称会话密钥。但当终端设备数量增加时，存储和通信开销在实际应用中开始变得难以承受。为了更高效地在无人机与终端设备之间建立安全信道，温等[25]提出了一种基于无证书签密标签密钥封装机制的无人机与终端设备之间的安全通信协议。然而，该方案无法支持终端设备之间的组通信。构建一种兼具高效性、安全性和可用性的安全通信协议仍然是一个重大挑战。

1.1 我们的贡献

为了满足广泛消息广播、终端设备身份认证以及部分设备隐私保护的需求，我们提出了一种方案，该方案采用分层基于身份的广播加密（HIBBE）技术，并结合基于签密的设备和无人机身份认证，在构建基于无人机的临时通信网络时，无需依赖在线远程管理中心。本方案针对安全要求中提到的三项主要安全问题进行了改进。

我们通过采用分层身份基广播加密方法，提出了快速批量加密数据包转换。用于广播的消息由设备相关无人机预先分配的广播密钥进行加密。我们的方案实现了完整的消息机密性，采用了可扩展容忍密钥大小和会话密钥委托算法，且无需依赖在线远程管理中心。
我们提出使用基于身份的签密实现相互认证。通过该方法，无人机可通过验证终端设备生成的签名，来确认该终端设备是否经过授权。类似地，终端设备也可使用相同技术验证无人机是否为主控无人机或仿冒设备。
我们通过假名机制和密文转换机制实现隐私保护。借助假名机制，终端设备可切断其真实身份与广播身份之间的关联。即，任何设备均可在广播系统中生成临时ID，仅其自身和主控无人机知晓其真实身份。通过密文转换机制及分层身份基广播加密（HIBBE）的特性，主控无人机可将分层身份基广播加密密文转换为分层身份基加密（HIBE）密文，以接管广播集信息。
我们通过工作量证明机制实现了抗拒绝服务（DoS）攻击，无人机可动态控制每次登录的访问数量和时间间隔。

1.2 论文结构

本文其余部分组织如下。我们在第1节回顾相关工作。在第3节中，我们对无人机网络系统的模型及系统安全要求进行形式化定义。第4节讨论我们提出的无人机网络的安全通信系统。我们在第5节证明系统的安全性，并在第6节评估我们协议的性能。最后，第7节给出结论性评述。

2 相关工作

无人机通信网络具有广阔的应用前景，已引起学术界和工业界越来越多的研究关注。研究人员正在致力于解决无人机网络系统中的技术问题与挑战，其中部分问题涉及通信与组网。Gupta et al.[10]提出了无人机网络的一系列通信与网络需求，这些需求包括动态组网、无线通信质量、飞行控制等特性。具体而言，为满足动态组网需求，2010年，Li et al.[14]提出了一种多源协同通信系统，利用小型无人机作为中继将源信号传输至目的节点。为了使无人机网络适应快速变化的环境，Li et al.[13]提出了四种通信架构。在提升无线通信质量方面已有诸多成果：在物理层，一些研究聚焦于无人机网络的频谱管理[3]和信号覆盖[30]问题；在网络层，为确保无线链路可靠性，Rosati et al.[22]提出了一种优化链路状态路由协议（OLSR）的扩展方案，能够在动态条件下高效地计算路由。该协议通过加权期望传输次数（ETX）指标来计算路由路径。

2016年，不同于基于分布式路由协议的方法，Lee et al.[12]提出了一种集中式路由协议，利用地面控制系统进行高效网络构建。为解决多无人机网络中有效的联合无人机飞行控制与管理的缺失问题，瓦赫特塞瓦诺斯等[23]采用博弈论来控制多架无人机并避免无人机碰撞。2015年，诺德兰等[19]使用神经网络实现了直升机无人机的最优飞行路径跟踪。徐等[29]提出了用于高效无人机网络的在线有限时域最优编队控制和最优协同设计。

尽管无人机网络正变得越来越普及，并已应用于某些领域，但日益增加的安全风险不容忽视。如果没有安全机制，黑客可能会轻易获取用户的私人或敏感个人信息。2016年，尼尔斯·罗德代利用专业无人机的漏洞进行了一次现场攻击，破坏系统并控制无人机系统[21]。此类入侵的实际后果十分严重。2009年，一个恐怖组织使用SkyGrabber[1]截获了从美国无人机传输到美国军用卫星的未加密的无人机视频。

无人机网络的主要安全机制侧重于通过密码学来保障隐私、机密性和数据完整性。一个设计良好的数据保护机制可以确保无论攻击者采用何种攻击技术，都无法获取任何有用的信息。已有少数研究致力于无人机网络的数据保护。孔等[11]提出了一种用于MBN-无人机网络的新型安全通信方案，该方案采用基于证书的加密。得益于证书的使用，该方案通过验证终端设备的身份来支持无人机，并支持终端设备使用协商会话密钥，然后通过对称密钥加密传输消息。

然而，该方案无法支持广播加密消息，因为它仅允许安全端到端通信；相关设备必须耗费大量计算资源来建立多个独立的会话密钥。此外，它们还需要足够的存储空间来存储证书和会话密钥，这对于资源受限的终端设备而言是难以承受的。为了克服这一缺点，温等[25]设计了高效的无证书签密标签密钥封装机制，这是一种面向无人机和智能设备的安全通信协议。然而，该协议在保护终端设备隐私的同时，仍然无法高效地向接收者传输大量加密消息。

除了上述特定方案外，还有一些其他新颖的密码密钥管理机制。为了向一组类分配对称加密密钥，阿坎杰洛等[8]提出了一种使用对称加密方案和完美秘密共享方案的新型分层密钥分配方案。在该方案中，系统主密钥可以为满足复杂访问结构的一组实体生成一个对称密钥。随后，为了实现对层次结构进行动态更新的目标，阿坎杰洛等人[7]构建了具有动态更新功能的分层密钥分配方案，其中每个用户只需存储一个私钥。上述两种方案均为对称加密方案，因此为了减轻对称密钥管理压力，吴等[26]提出了一种称为非对称的新型密码学非对称原语——群组密钥协商。基于这一新原语，吴等[28]提出了一种新的非对称群组密钥协商方案，该方案克服了在缺少全天候可信第三方的情况下群组向发送方通信可能受限的障碍，并支持动态密钥更新。然而，[28]中的群组结构为环状结构，为了支持分层群组结构，吴等[27]提出了一种贡献式广播加密，其中群组的规模不受限制。在该方案中，部分群组成员可以通过聚合各成员的公钥生成联合公钥来加密消息，并使用各自的私钥解密密文，而无需在线可信第三方。尽管这些新颖的密码机制高效且已被证明是安全的，但它们通常仅用于节点计算能力相等的组通信场景中。然而，在无人机网络中，无人机可搭载强大的数据处理平台和额外能量，这意味着无人机网络并非纯粹的去中心化网络。因此，传统的分布式网络密钥管理无法充分发挥无人机网络的优势。

3 问题陈述

3.1 系统模型

整个系统主要由三类实体组成：远程管理中心（RMC）、一组子网主控无人机以及多组终端设备。系统架构如图1所示。

示意图0

RMC 是一个可信第三方，负责管理无人机和终端用户设备。此外，它还负责初始化系统参数，并根据终端设备和无人机的身份生成其私钥，然后向无人机提取广播密钥。
表示的无人机是配备了无线通信模块和高速处理器的无人机。该无人机通过无线电与其他无人机和子组成员进行通信。D从RMC获取其私钥，并使用该私钥来证明其身份的合法性。在验证U的有效性后，D生成广播密钥对，并为用户提供消息传输服务。
一个子组成员设备U在D的无线信号覆盖区域内移动。RMC向其提供私钥，该设备使用私钥向D证明其身份。在从D获得网络访问权限后，它使用从D获取的广播密钥与其他终端设备建立安全信道。

3.2 安全要求

为保证无人机网络的通信安全，安全协议应满足以下安全要求：

消息机密性 。在复杂环境中的无线网络中，消息机密性是一项基本的安全要求。如果没有消息机密性，任何攻击者都可能通过简单地窃听无线信道来获取敏感信息。
相互认证 。在无人机网络环境中，攻击者可能会冒充其他参与者并使用伪造设备来控制通信。因此，合格的方案应提供相互认证以验证参与者的身份。
身份匿名性 。使用长期身份可能导致隐私泄露。一个合格的方案应提供身份匿名性，以确保攻击者无法从被窃听或捕获的消息中获取用户的真实身份。
会话密钥安全 。一旦会话密钥泄露，攻击者便可轻易解密传输的消息，从而破坏消息机密性。因此，会话密钥安全是消息机密性的基础。为了进一步实现安全通信，一个合格的方案应确保参与者之间建立的用于加密传输消息的共享会话密钥是安全的。
消息完整性与认证 。一旦安全的组通信信道建立，攻击者便无法从加密消息中获取任何有用信息。但攻击者仍可通过发送伪造消息、截断加密消息来影响通信。因此，一个合格的方案应确保消息完整性与认证。
抗拒绝服务攻击 。在满足上述安全要求的前提下，攻击者无法从协议中获取有用信息，但他们可以通过发起DoS攻击等无线网络攻击来降低无线通信质量，甚至切断终端设备与无人机之间的通信链路。为了保证无人机网络的鲁棒性，一个合格的方案应能抵抗各种常见网络攻击。

4 无人机网络中的安全通信

我们的系统可以通过以下三个协议来描述：系统设置、注册以及整个无人机网络中实体间的安全通信。

在离线阶段，RMC运行系统设置，并初始化所有系统全局参数，生成系统的主密钥。无人机网络中的所有实体必须首先向RMC注册以获取必要信息。具体而言，在此阶段，RMC为每个终端设备和无人机生成长期身份及相应的私钥。

在任务执行阶段，如果终端设备希望接入网络，无人机应首先对这些设备进行认证和记账，然后才能提供服务。在注册过程中，我们引入了一种基于身份的签密方案，以在该子网络中建立无人机与设备之间的安全信道。为了防范恶意设备发起的拒绝服务攻击，我们采用了工作量证明机制的相关经验。第三协议能够保证不同子网络中设备之间的安全通信。通过该协议，普通设备可以使用目标设备的假名对其消息进行加密，这些假名可通过子网主控无人机获取。为防止接收设备获取其他接收者的身份，我们提出了一种密文转换方法：由作为真实接收者成员的无人机将分层身份基广播加密密文转换为分层身份基加密密文，从而隐藏广播接收者身份。

4.1 计算假设

我们的方案在现代密码系统中广泛使用的双线性群中实现。一个双线性群由两个循环群 G1, G2 和一个乘法循环群 GT 组成，其中 g1 是 G1 的生成元，g2 是 G2 的生成元。设 q 为一个大素数。映射 e: G1 × G2 → GT 称为双线性群，如果它满足以下性质：

双线性 ：e(g₁ᵃ, g₂ᵇ) = e(g₁, g₂)^(ab)，其中 g₁ ∈ G₁、g₂ ∈ G₂ 和 a, b ∈ ℤₚ。
非退化 ：对所有 g₁ ∈ G₁, g₂ ∈ G₂，有 e(g₁, g₂) ≠ 1。
可计算 ：存在一个高效算法来计算该映射 e。

我们的方案依赖于两个计算问题的难解性，以下简要回顾这些问题。设(G₁, G₂, GT)为一个双线性群，其中 g₁、g₂ 分别为 G₁、G₂ 的生成元。

q-强 Diffie-Hellman 问题（q-SDHP）[6] 。对于任意随机选择的 x ∈ ℤₚ ，给定一个双线性群(G₁, G₂, GT)，其中 g₁、g₂ 分别为 G₁、G₂ 的生成元，以及一个(q+2)实例：(g₁, g₂ˣ, g₂ˣ², …, g₂ˣ^q) ∈ G₁ × G₂^(q+1)，求一对(c, g₂^(1/(x+c))) 满足 c ∈ ℤₚ 。

q-双线性 Diffie-Hellman 求逆问题 (q-BDHIP)[5] 。对于任意随机选取的 x ∈ ℤₚ，给定一个双线性群(G₁, G₂, GT)，其中 g₁, g₂ 是 G₁, G₂ 的生成元，以及一个(q+2)实例：(g₁, g₂ˣ, g₂ˣ², …, g₂ˣ^q) ∈ G₁ × G₂^(q+1)，计算 e(g₁, g₂)^(1/x) ∈ GT。

4.2 系统设置

系统初始化 。系统首先创建一个名为 ML 的空列表，并按如下方式初始化整个系统。

输入安全参数 λ 后，生成一个循环加法群 G 和一个具有相同大素数 p 的循环乘法群 GT。设 g 为 G 的生成元，g_T 为 GT 的生成元。存在一个双线性映射 e: G × G → GT。选取两个随机元素 g₂, u′ ∈ G。
生成 RMC 的主密钥 α ∈ ℤₚ*，然后计算值 g^α ∈ G。
选择四个哈希函数：H₁: {0,1} → ℤₚ , H₂: {0,1} × {0,1} → ℤₚ , H₃: GT → ℤₚ , 以及 H₄: ℤₚ × GT → ℤₚ 。
发布系统参数：PP = {g₂, u′, e, p, g, G, g_T, H₁, H₂, H₃, H₄}

任务前 。我们假设有(n−1)台设备参与一项任务。RMC使用其自身身份 ID₀ 初始化广播系统的形式化 BSK_ID₀ = (ν₀, ν₁, {z_j}_{j∈[1,n]})。然后，它选择一个随机数 r ∈ ℤₚ* 和一个随机元素 u₀ ∈ G。对于所有 j ∈ [1, n]，计算 u_j ←ᵣ G。因此，初始广播如下所示。

BSK_ID₀ = (gʳ, g₂^α (u′ · ∏ {i∈φ_ID} u_i^{H(ID₀)})ʳ, {u_jʳ} {j∈[1,n]})
= (ν₀, ν₁, {z_j}_{j∈[1,n]})

该系统中的任何设备都应预加载系统参数，并向RMC注册。RMC使用 ID_u 为任何设备完成身份注册，步骤如下。

RMC首先检查 ML中是否存在与提交的身份对应的现有条目 ID_u。如果存在，RMC将向请求用户返回该现有条目；否则，执行以下步骤。
RMC计算设备的私钥 K_ID_u = g^(α + H₁(ID_u))。接下来，它为新身份设置一个有效性期 T_u。然后，它将消息 M = (T_u, K_u) 分发给设备 ID_u，并将该消息添加到 ML 中。

同样，该系统中具有身份 ID_k 的任何无人机都应预加载系统参数，并按如下方式向RMC注册。

RMC首先检查在 ML中是否存在与请求的身份 ID_k 相对应的现有条目。如果存在，RMC将返回该现有条目；否则，执行以下步骤。
它计算无人机的私钥 K_ID_k = g^(α + H₁(ID_k))。
RMC将广播SK委托给无人机。首先，我们假设我们系统中的ID向量的形式为（ID₀，ID_k，ID_u），且整个系统仅有三个层级。此处，ID₀是ID向量的根。因此，广播密钥通过ID向量i-th无人机使用ID向量ID=（ID₀，ID_k）按照[16]中描述的步骤进行委托。首先，选择一个随机指数 t_k ∈ ℤₚ*。

接下来，按如下方式计算 BSK_ID_k。

BSK_ID_k = (ν₀ g_tᵏ, ν₁ (z^{H₁(ID_k)}) (u′ u^{H₁(ID₀)} u_k^{H₁(ID_k)})^{t_k}, {z_j u_j^{t_k}} {j∈[1,n]{k}})
= (a_k, a₀,k, {a_j,k} {j∈[1,n]{k}})

通过隐式设置 r′ = r + t_k，很容易将前面的公式转换为以下形式。

BrSK_ID_k =
⎛
⎝g^{r′}, g₂^α (u′ · ∏ {i∈φ_f(ID_k)} u_i^{ID_i})^{r′}, {u_j^{r′}} {j∈[1,n]{k}}
⎞ ⎠

接着，RMC为新身份设置有效期 T_k。然后，它将消息 M = (T_k, KD_i, BSK_ID_k) 分发给无人机 D_i，并将该消息添加到 ML 中。

无人机网络中的安全通信

4.3 注册

整个阶段包括4个阶段：Req、Res、Dis和Fin。假设一个设备的身份为 ID_u，其所属的子网络由身份为 ID_k 的无人机管理。该设备在广播系统中的 ID向量是(ID₀, ID_k, ID_u)。

请求无人机选择一个 γ 中的随机数，并计算一个 puzzle = H₂(s₀‖γ)，其中 s₀ 是一个短比特串。然后，它设置 M₀ = (ID_k, puzzle, γ)，并将(M₀)发送给设备。

响应消息 当终端用户设备接收到消息 M₀ 时，首先多次运行哈希函数 H₂ 以找到一个满足方程 s₁ 的值 H₂(s₁‖γ) = puzzle。接着，使用基于身份的签密[4]过程计算响应消息，步骤如下。

设备 ID_u 选取一个随机数 η₁, η₂, η₃ ∈ ℤₚ*，并计算 R₁ = g^(η₃ t), M₁ = (ID_u‖η₂‖s₁‖γ + η₁)，T₁ = M₁ ⊕ H₃(R₁)。
它设置 h₂ = H₂(M₁, R₁)，计算 T₂ = K^(η₃ + h₂)_{ID_u}，然后计算 T₃ = (g^{H₁(ID_k)} g^α)^{η₃}。
最后，设备将 (s₁, T₁, T₂, T₃) 发送给主控无人机 ID_k。

验证当主控无人机 ID_k 收到消息时，首先检查 s₁ 是否为 puzzle 的正确答案。如果是，它将提取暂存的消息，并检查由 ID_u 发送的签名是否有效。该无人机计算 r_d = e(T₃, K_{ID_k}) 、M_d = T₁ ⊕ H₃(r_d) 和 h_d = H_d(M_d, r_d)。然后，它对消息进行加密，并恢复用于生成终端设备假名的随机值 η₂ 。最后，如果 r_d = e(T₂, g^α g^{H₁(ID_u)}) g^{-h_d t} 成立，则接受该消息，并将(ID_u, η₂)记录在其 UL 中，通过安全广播信道与其他无人机共享。

Dis 在设备的身份得到验证后，无人机为其子网络设备生成广播密钥对，步骤如下。

ID_k 通过计算 P_u = (ID_u)^{η₂} 来更新设备的临时 ID。新的 ID 向量为(ID₀, ID_k, P_u)；因此，广播私钥可以按照与 RMC 委托广播私钥相同的方式为 ID_k 进行计算。最终的广播密钥形成如下：ID_k 选择一个随机数 t_u ∈ ℤₚ*，然后进行计算
a_u = a_k g^{t_u},
a₀,u = a₀,k (b^{H₁(P_u)}) (u′ u^{H₁(ID₀)} u_k^{H₁(ID_k)} u_u^{H₁(P_u)})^{t_u}
{a_j,u} = {b_j u_j^{t_u} u} {j∈[1,n]{u}},
BSK_Pu = (a_u, a₀,u, {a_j,u} {j∈[1,n]{u}})
按照[4]中的流程，无人机使用 rep 阶段中描述的相同方案生成签密密文。
(a) ID_k 选择一个随机数 η₄ ∈ ℤₚ*，并计算 R₂ = g^{η₄ t} 和 T₄ = (M) ⊕ H₃(R₂)，其中 M₂ = (BSK_Pu‖η₁ + 1)。
(b) 它设置 h₂ = H₂(M₂, R₂)，计算 T₅ = K^(η₄ + h₂)_{ID_k}，然后计算 T₆ = (g^{H₁(ID_u)} g^α)^{η₄}。
(c) 最后，ID_k 将(T₄, T₅, T₆)发送到设备 ID_u。

结束收到密文后，ID_u 检查 r_f = e(T₆, K_{ID_u}) 是否成立。如果成立，则计算 M_f = T₄ ⊕ H₃(r_f) 和 h_f = H₂(M_f, r_f)。在恢复消息后，验证 q_f = η₁ + 1 和 r_f = e(T₅, g^α g^{H₁(ID_k)}) g^{-h_f t} 。如果通过，设备完成会话并获得其广播密钥 BSK_Pu。

4.4 消息广播

在本部分中，我们介绍了两种消息广播方法，分别称为基本广播和基于密文转换的广播。在前一种方法中，按照[16]中描述的方法，系统中的任意成员可将消息加密给系统中的任意子组成员，且任何接收者均可使用其自身的私钥和公共接收者集合对接收到的密文进行解密。然而，在敌对环境中，发送者或接收者有时希望隐藏接收者集合。因此，我们提出了第二种方法，利用具有子组密钥生成器和路由器双重身份的无人机，将分层身份基广播加密密文转换为分层身份基加密密文，使接收者能够在不知道接收者集合的情况下解密该密文。

基本广播 。当所有用户完成注册阶段后，他们可以通过安全的广播信道相互交换加密消息。无人机可以通过基于身份的加密和广播加密来共享管理消息。所有包含新假名身份的 UL 列表都会在无人机网络中共享，这使得不同子网络中的用户能够轻松获取他们想要通信的人员的 ID 向量。安全广播通信的建立方式如下。

E(PP, M, V) 。对于接收者身份向量集合 V，加密算法选择一个随机数 ζ，并按如下方式计算密文。
C = (c₀, c₁, c₂) =
⎛
⎝g^ζ, (u′ ∏_{i∈f(V)} u_i^{H₁(ID_i)})^ζ, M e(g, g₂)^{ζα}
⎞ ⎠
D(V, C₀, BSK_Pu) → M 。对于给定的密文 CT，任何其 ID 属于接收者身份向量的设备均可使用其私钥按如下方式计算解密密钥。
K = a₁ ∏_{j∈f(V\V_k)} b_j^{H₁(ID_j)}
其中消息 M 等于 e(c₁, a₀)/e(K, c₀) 的值。

基于密文转换的广播 。当发送者希望隐藏其广播集，使得任何接收者都无法从接收到的密文中获取信息并推测其他接收者的身份时，可以采用密文转换方法。这对于大多数通用自组织网络广播系统结构而言是一项困难的任务，但通过我们的方案可以轻松实现。接收者集合可以在不同用户之间轻松地被保护，具体方式如下。

EN(PP, M, V) 。与前面的加密阶段不同，在此阶段，消息使用由接收者及其主控无人机的身份组成的身份集合进行加密 V_D。密文构造如下。
C₀ = (c₀,₀, c₁,₀, c₂,₀) = (g^{ζ₁}, (u′ · ∏_{i∈V_D} u_i^{H₁(ID_i)})^{ζ₁}, M e(g₁, g₂)^{ζ₁})
T(CT, BSK_{ID_k}, V) 。当任何无人机接收到该消息时，它会检查其成员中是否有在接收者集合中的成员。如果有，对于这些成员中的任意成员 U_m，它将按如下方式转换密文。
X = e((b_m u_m^{t_m H₁(p_u)} / ∏_{i∈f(V_D\V_k)} (b_i u_i^{t_m})^{H₁(ID_i)}, c₀,₀)
其中 t 是在注册分发阶段用于为 ID_m 生成 BSK 的随机值。令 c₀,₁ = c₀,₀, c₁,₁ = c₁,₀ 和 c₂,₁ = X · c₂,₀。最后，无人机为 ID_m 变换的新密文为：C₁ = (c₀,₁, c₁,₁, c₂,₁)。
TD(CT₁, BSK_{P_m}) 。给定一个密文，接收者使用其 BSK_{ID_m}，可通过计算
M = c₂,₁ e(c₁,₁, a₀) / e(a₁, c₀,₁)，获得消息 M。接收者无法从密文中获取足够的消息内容来猜测其他接收者的身份。

5 安全分析

在本节中，我们分析所提出协议的安全性，并证明其满足第3.2节定义的安全要求。

5.1 安全模型

我们通过以下游戏策略来定义该模型。此游戏在挑战者 C 和攻击者 A 之间进行，其中攻击者对所有网络通信具有完全控制权。这意味着攻击者有能力窃听甚至修改通信消息。每个用户可以与不同的无人机多次运行该协议；因此，我们使用实例的概念对此进行建模。我们将成员 U 的实例 i 表示为 Πⁱ_U。在 Setup 过程中，C 执行一个设置，其中安全参数 λ 作为 RMC。该设置输出系统参数 pp，然后将 pp 发送给 A。在 Query 阶段，根据协议注册过程，C 向 A 提供一系列预言机，使 A 获得攻击该协议所需的必要信息。查询预言机的工作方式如下。

Q1 ：该查询将帮助 A 获取在 Res 或 Dis 阶段生成的传输的消息。
Q2 ：该查询将帮助 A 获取在 Ver 阶段生成的详细消息（这种情况是可能的，因为在现实世界中，无人机可能被俘获并用作解密预言机，以帮助攻击者赢得游戏）。
QHi ：该查询将把哈希函数的结果 H_i 返回给 A。
Corrupt(ID_i) ：A 可以执行此查询以获取某个身份 ID_i（除目标身份外）的长期密钥对。
Reveal(Πⁱ_U) ：A 可以执行此查询以获取在 πⁱ_U 中调用的会话密钥。
Test() ：A 只能执行一次 Test() 查询。A 选择两条消息 m₀ 和 m₁，使用一个其之前从未执行过腐败查询的身份，并使用相同的 D 身份。C 选择一个随机比特 b，并与 πᵇ_ub 执行协议。

最后，A 猜测比特 b′ ∈ {0, 1}。如果 b = b′，则 A 赢得游戏。A 在系统参数 λ 下破解注册 Σ 的会话密钥安全（SKS）的优势定义为
AdvSKS_A,Σ(1^λ) = |2Pr[b = b′] − 1|

定义1 。（SKS）如果对于任意多项式时间攻击者 A，我们有 AdvSKS_A,Σ(1^λ) 是可忽略的，则该注册是会话密钥安全的。

我们说 A 能够破坏注册 Σ 的相互认证（MA）安全，如果他可以生成一个合法的 res 消息记为 ERes，或生成一个 Dis 消息记为 EDis。A 利用系统参数 λ 破坏注册 Σ 的相互认证（MA）安全的优势定义如下。
Adv_MA_A,Σ(1^λ) = Pr[ERes] + Pr[EDis]

定义2 。（多敌手安全）如果对于任意多项式时间攻击者 A，AdvMA_A,Σ(1^λ) 是可忽略的，则注册是 sMA-安全的。

5.2 可证明安全

引理1 。假设注册中使用的底层签密方案在自适应选择消息攻击下对存在不可伪造签名是(ε′, t)-安全的，则当 ε = 2ε′ 成立时，该注册方案是(ε, t)-多敌手安全的。

证明。容易发现，Res 消息和 Dis 消息也是标准的基于身份的签密[4]密文。如果 A 能够以概率 ε′ 伪造一个合法的签名消息，根据定义2，我们可以很容易得出结论，A 能够以概率 ε = 2ε′ 攻破注册的多敌手安全。

定理1 。假设存在一个 A，使得对 QHi 进行 q_hi 次查询，对 Q1 进行 q₁ 次查询，以及对 Q2 进行 q₂ 次查询，A 以概率 ε ≤ 10(q₁ + 1)(q₁ + q_h₂)/2^λ 攻破注册的多敌手安全。那么，存在一个算法 B，以概率 ε 求解 q-SDHP[4]。

证明。根据[4]中给出的定理3 和上述引理1，如果 q-SDHP 是困难的，则没有多项式时间攻击者能够伪造一个合法的 Req 消息或一个合法的 Dis 消息。因此，可以得出所提出的注册方案是多敌手安全的。

定理2 。假设存在一个 A，其对 QHi 发起 q_hi 次查询，q₁ 对 Q1 发起 q₂ 次查询，且对 Q2 发起 A 次查询，能够以概率 1/q_h₁ (1−(q₁ q₁+q_h₂ 2^k)(1− q₂ 2^λ)) 破坏注册过程的会话密钥安全。那么，存在一个算法 B 可以以概率 ε 解决 q-BDHIP[4] 问题。

证明。详细证明见附录A。

我们的方案还实现了机密性和部分身份匿名性。从广播协议来看，所有传输的消息都通过用户的广播密钥进行了加密。根据定理2，多项式时间的攻击者无法获得任何优势来区分真实的广播密钥和随机数，因此我们可以说无人机使用终端设备身份加密的广播密钥是安全的。在[16]中，我们所采用的加密机制已证明能够抵御选择明文攻击(CPA)。因此，我们的方案可以满足消息的机密性。

部分身份匿名性保证当终端设备完成向一架无人机注册后，即使攻击者能够接管所有通信流，也无法识别该设备。根据本方案的规范，终端设备的真实身份 ID_u 仅出现在响应消息中，T₁ = (ID_u‖η₂‖s₁‖γ+η₁) ⊕ H₃(R₁)。要恢复真实身份，攻击者需要计算 R₁ = e(g^{α+H₁(ID_k)} g^{1/(α + H₁(ID_k))})，这意味着在不知道用户的私钥的情况下，攻击者必须求解 q-BDHI 问题。签密[4]提供的机密性保证了终端设备的真实身份可通过假名机制进行隐藏。但假名机制与相应的终端设备相关联，因此无法获得完整的身份匿名性。因此，我们声称所提出的方案能够满足部分身份匿名性。

我们的方案能够抵御网络攻击。在注册过程中，我们通过计算目标哈希值引入了一种工作量证明机制。该机制类似于工作量证明机制，需要寻找一个使得哈希值以较小整数开头的数值。求解该难题所需的平均计算量随着谜题位长度的增加呈指数级增长。与求解难题答案的困难性不同，验证过程仅需执行一次数值比较操作。因此，无人机可以通过调整谜题的位长度来控制访问请求，并快速拒绝答案错误的恶意请求。当无人机遭受 DoS 攻击时，可通过增加哈希值的长度来减少并发访问请求数量。因此，我们认为本方案能够有效抵抗网络攻击。

人们可能还关注消息完整性与消息认证。尽管我们提出的协议未涵盖这些需求，但通常可以采用通用的解决方案：使用 SHA-256 等哈希函数可轻松实现消息完整性，使用 DSA 等数字签名算法可确保消息认证以满足这些要求。由于篇幅有限，我们未在方案中描述这些方法。

6 性能分析

在本节中，我们通过使用网络模拟器-3（NS3）模拟器，进一步评估了我们的协议在真实环境中结合广播加密的效率和适用性，以展示性能、交通状况和广播数量之间的关系。

我们分析了仿真结果，以评估所提出广播方案的效率和适用性。本仿真使用 NS3 进行，仿真区域约为 500 × 500 m²。五个 Ds 在仿真区域内均匀分布。在本节中，我们假设 Ds 的飞行高度固定为 5 米，并可在小范围内水平移动。用户被均匀划分为 5 个子组，初始位置随机分布在各自对应的 Ds 周围 2 米范围内。采用的移动模型是 random2Dwalkmodel，移动速度恒定为 2 米/秒。用户与 Ds 之间的无线协议为 IEEE 802.11a，信道带宽设置为 6 兆比特每秒。此外，数据包大小范围为 64 字节到 512 字节。对于普通广播方案，我们使用多播方式传递消息；对于重新加密方案，则使用单播进行仿真。所有仿真实验的时间均设置为 100 秒。每个用户发送两次广播消息之间的时间间隔为 5 秒。

我们使用两个性能衡量指标来评估仿真性能：平均消息丢失率 L_m 和平均消息延迟 D_m。平均消息延迟是指消息生成后被广播集内所有用户接收的平均时间延迟。平均时延定义如下。

D_m = 1/LD Σ_{L∈D}(1/M_l→ Σ_{M_l→ m=1} 1/S_l (T_lm_Enc + Σ_{S_l k=1} T_lmk_trans))

其中，D 表示本仿真中的简单区域，LD 表示该区域中的第 l 个用户，M_l→ 表示第 l 个用户生成的广播消息数量，S_l 表示广播集的大小，T_lm_Enc 表示第 l 个用户加密第 m 条消息的时间，T_lmk_trans 表示消息 m 从广播集中的第 l 个用户传输到第 k 个用户的传输时间。

平均消息丢失率是指消息无法被接收或处理的概率，其定义如下。

L_m = 1 − 1/LD Σ_{LD l=1} (M_l_consumed ∗ S_l) / Σ_{S_l s=1} M_s_arrived

其中 M_l_consumed 表示第 l 个用户消耗的数据包数量，M_s_arrived 表示第 s 个用户接收的数据包数量（图2）。

(1) 数据包大小的影响 。在第一组仿真中，为了分析从 64 字节到 512 字节不同数据包大小的影响，我们将广播集的数量固定为 25，用户速度固定为 2 米/秒。图 3 显示，数据包大小对基本广播方法和密文变换机制的影响较小。换句话说，消息丢失率不受数据包大小的影响。然而，平均时延有所增加。

(2) 组成员数量的影响 。如图3a所示，在数据包大小固定的情况下，平均消息延迟随着广播组大小的增加而增加。此外，普通广播方案的消息丢失率随着广播组大小的增加而上升，当组大小增大时趋于小幅波动。然而，对于重新加密方案则恰恰相反；当组大小在 40 到 45 之间时，消息丢失率达到曲线最低点，随后随着广播集规模的增加而上升。可能的原因是，当广播集较小时，目标接收节点可能很容易超出通信范围，且在此方案中数据包越大，丢失率越高。因此，重新加密方案的消息丢失率小于正常丢失率。但随着广播集规模的增大，重新加密计算将影响网络传输效率，当执行重新加密的节点无法及时转发数据包时，部分数据包会被丢弃。

通过比较常规方案与重新加密方案的消息延迟曲线，可以看出重新加密方案的增长速率比正常方案更快。这是合理的，因为尽管对于相同消息而言，正常方案的数据包大小大于重新加密方案，但重新加密计算需要更多时间来处理较大的数据包。然而，由于使用重新加密可以隐藏广播集中成员的身份，因此有利于保护用户隐私。