面向无人机网络的属性代理签名方案

贺蕾，马建峰，魏大卫

（1.西安电子科技大学计算机科学与技术学院，陕西 西安 710071；2.郑州轻工业大学计算机与通信工程学院，河南 郑州 450002；3.西安电子科技大学网络与信息安全学院，陕西 西安 710071；4.西安电子科技大学陕西省网络与系统安全重点实验室，陕西 西安 710071）

1 引言

近年来，无人机（UAV,unmanned aerial vehicle）得到了广泛的应用。无人机与指挥中心、地面控制站、卫星等共同构成了无人机网络，也称为无人机指挥控制与通信网络。无人机网络以无人机应用为核心，具有高机动性、动态拓扑、间断的通信连接、有限的电力供应和不断变化的链路质量等特点[1]。无人机网络包括指挥中心、地面控制站、卫星和无人机等，如图1 所示。每架无人机隶属于一个指挥中心，且该指挥中心拥有对该无人机的最高指挥权限。当指挥中心无法与无人机进行通信时，可以通过其他指挥机构，如地面控制站、卫星等，与无人机进行通信。

无人机执行任务时，必须保证所收到命令的完整性和认证性，即保证该命令是由指挥中心或经过授权的指挥机构发出的，而且没有被篡改。通常采用数字签名来保护命令的完整性和认证性。指挥中心发送命令及其签名给无人机，无人机在对签名进行验证后，根据验证结果决定是否执行该命令。

无人机在执行远程任务时远离指挥中心，可能无法及时收到指挥中心发来的命令，甚至无法收到命令。在这种情况下，指挥中心可以使用代理签名，临时授权距离无人机较近的指挥机构（如地面控制站）对无人机进行指挥，发送命令及其签名。而在一些应用中，指挥机构想要匿名地向无人机发送命令及签名，该签名并不包含与指挥机构身份有关的信息，可以通过使用基于属性的签名（ABS,attribute-based signature）实现。

本文主要研究工作如下。

1) 定义了属性代理签名及其安全模型。

2) 提出了用于无人机网络的属性代理签名（ABPS,attribute-based proxy signature）方案。

3) 对所提签名方案进行了安全性证明，结果表明，该方案具有选择属性和选择消息攻击下存在的不可伪造性（EUF-sA-CMA,existential unforgeability under selective-attribute and chosen message attacks），并且能保护签名者的隐私。

4) 从计算开销和通信开销两方面对所提方案的效率进行了分析，并与其他相关签名方案进行了对比。结果表明，所提方案具有更少的计算开销，而其通信开销与其他方案在同一水平。

2 相关工作

Maji 等[2]定义了ABS 的安全性，构建了ABS的框架，并提出了ABS 的具体实现。在ABS 中，签名者使用属性集和相应的密钥对消息进行签名，验证者可以对签名进行验证，只有当属性集满足访问结构时，才能验证成功。Li 和Kim[3]定义了隐藏的ABS 及其安全模型，并提出了2 种基于计算Diffie-Hellman（CDH,computational Diffie-Hellman）困难问题的签名方案。Li 等[4]提出了2 种支持门限访问结构的ABS 方案，莫若等[5]提出了支持树形访问结构的可净化ABS 方案，Gu 等[6]提出了支持单调访问结构的ABS 方案。

在一些应用中，需要由多个属性权威对属性进行管理，为用户生成密钥。莫若等[7]提出了支持树形访问结构的多权威ABS 方案。Guo 等[8]也提出了多权威ABS 方案。Yang 等[9]提出了具有多个属性权威的顺序聚合ABS 方案，在该签名方案中，不同的签名者可以对同一个消息进行签名，再将签名依次进行聚合。

为降低用户使用ABS 计算签名的开销，Chen等[10]提出了2 个外包ABS 方案，并证明了这2 个方案的安全性，通过将大量的签名计算外包给签名云服务提供者，降低了签名者的计算开销。Mo 等[11]提出了基于线性秘密共享的外包ABS 方案，降低了签名者的计算开销，并证明了该方案的安全性。

为了降低计算签名和验证签名的计算开销，Cui等[12]提出了可撤销的服务器辅助的ABS 方案。在该签名方案中，服务器辅助完成签名生成和验证，以达到降低签名者和验证者计算开销的目的。而且，该签名方案还可以使被撤销的用户无法计算出签名。Xiong 等[13]也提出了服务器辅助的ABS 方案，降低了签名者和验证者的计算开销，实现了基于线性秘密共享的访问结构，并能抵御合谋攻击。张应辉等[14]提出了一种服务器辅助且可验证的ABS 方案。该方案同样降低了签名者和验证者的计算开销，能抵御合谋攻击，并且对服务器产生的部分签名进行了验证。Bao等[15]提出了一种能抵御密钥泄露的服务器辅助的ABS 方案，该签名方案需要对密钥进行更新。

Mambo 等[16]提出了代理签名。在代理签名中，通常包含3 个参与者，分别是原始签名者（OS,original signer）、代理签名者（PS,proxy signer）和验证者。原始签名者授权代理签名者代替自己计算代理签名，验证者对该代理签名进行验证。Huang等[17]提出了不需要随机预言机的代理签名方案，并对其安全性进行了证明。Wu 等[18]提出了基于身份的代理签名方案，并对其安全性进行了证明。Liu等[19]定义了ABPS 及其安全模型，提出了具体的ABPS 方案，并对方案的安全性进行了证明。Sun等[20]也提出了ABPS 方案，并分析了方案的安全性。

3 预备知识

3.1 双线性对

设G和GT是阶为素数q的循环群，G的生成元为g，若该映射满足下列要求，则映射e:G×G→GT为双线性映射。

1) 双线性：对于任意的g1,g2∈G和a,b∈Zq，有。

2) 非退化性：存在g1,g2∈G，使e(g1,g2) ≠ 1。

3) 可计算性：对于任意的g1,g2∈G，存在有效的算法能够计算出e(g1,g2)。

3.2 CDH 困难问题假设

对于未知的x,y∈Zq，给定g,g x,g y∈G，要求计算出gxy。

3.3 拉格朗日插值定理

设t(1),t(2),...,t(d)是(d−1)次多项式t(·)上的d个点，S是包含d个元素的集合，q为素数。对于任何x∈Zq，可以通过拉格朗日插值定理求出。其中，拉格朗日系数定义为。

4 系统模型

4.1 算法模型

ABPS 方案中主要包括属性权威、原始签名者、代理签名者和验证者。ABPS 方案主要由下列算法构成。

1) Setup。该算法输入为系统安全参数，输出公共参数params 和主密钥α。

2) Extract。该算法由属性权威运行，输入为公共参数params、主密钥α和用户属性集合ω，输出为用户的密钥。在ABPS 方案中，属性权威依据原始签名者属性集合ωOS和代理签名者属性集合PSω，分别为它们生成密钥skOS和skPS。

3) DelGen。该算法由原始签名者运行，用于为代理签名者生成授权。输入为params、原始签名者生成的委托书w、ω'OS和skOS，且ω'OS⊆ωOS；输出为原始签名者为代理签名者生成的授权del。

4) DelVer。该算法由代理签名者运行，用于验证原始签名者生成的授权del 是否有效，输入为params、w、ω'OS和del，输出为验证结果。若该授权是有效的，代理签名者可以基于w和del 计算代理签名；否则，代理签名者不能基于w和del 计算代理签名。

5) Sign。该算法由代理签名者运行，用于计算代理签名。输入为params、w、del、skPS和消息m，且⊆ωPS；输出为计算出的代理签名σ。

6) Verify。该算法由验证者运行，用于验证代理签名是否有效。其输入为params、w、ω'PS、m和σ，输出为布尔类型的验证结果。若该代理签名是有效的，则输出Accept；否则，输出Reject。

4.2 安全模型

ABPS 方案的安全性主要包括不可伪造性和签名者的隐私性。不可伪造性要求如下：若敌手没有属性集ω对应的密钥且ω*⊆ω，则不能计算出属性集ω*对应的签名。签名者的隐私性要求签名不泄露签名者的身份信息。

4.2.1 不可伪造性

根据文献[17-19]，ABPS 方案中的敌手可分为三类，分别为AI、AII和AIII。AI只拥有原始签名者和代理签名者的公钥；AII和AIII除了拥有原始签名者和代理签名者的公钥以外，还分别拥有代理签名者的私钥skPS和原始签名者的私钥skOS。若ABPS 方案能抵御AII和AIII的攻击，则其也能抵御AI的攻击。因此，在安全模型中只考虑AII和AIII的攻击。对于不可伪造性，主要研究EUF-sA-CMA。

1) 能抵御AII攻击的EUF-sA-CMA

通过下面的游戏定义能抵御 AII攻击的EUF-sA-CMA。

初始化阶段。选择要挑战的属性集ω*，且。其中，d是预先定义的参数。

系统建立阶段。挑战者C 运行Setup 算法生成公共参数params 和主密钥，运行Extract 算法为原始签名者和代理签名者分别生成密钥对(pkOS,skOS)和(pkPS,skPS)。将params、原始签名者公钥pkOS，以及代理签名者的公钥和私钥(pkPS,skPS)发送给AII。

查询阶段。AII可以向私钥生成预言机、授权生成预言机和签名预言机分别进行多项式次数的查询。

伪造阶段。AII输出关于消息m*、属性集ω*和委托书w*的签名σ*。

若该伪造满足以下条件，则认为AII赢得了游戏。

定义1若敌手AII在上面的游戏中获胜的概率是可忽略的，则称该ABPS 方案具有能抵御AII攻击的EUF-sA-CMA。

2) 能抵御AIII攻击的EUF-sA-CMA

通过下面的游戏定义能抵御 AIII攻击的EUF-sA-CMA。

初始化阶段。选择要挑战的属性集ω*，且|ω*|≤d。其中，d是预先定义的参数。

系统建立阶段。挑战者C 运行Setup 算法生成公共参数params 和主密钥，运行Extract 算法为原始签名者和代理签名者分别生成密钥对(pkOS,skOS)和(pkPS,skPS)。将params、代理签名者公钥pkPS，以及原始签名者的公钥和私钥(pkOS,skOS)发送给AIII。

查询阶段。AIII可以向私钥生成预言机和签名预言机分别进行多项式次数的查询。

伪造阶段。AIII输出关于消息m*、属性集ω*和委托书w*的签名σ*。

若该伪造满足以下条件，则认为AIII赢得了游戏。

1) AIII从未向私钥生成预言机查询过属性集ωPS，且ω*⊆ωPS。

2) AIII从未向签名预言机查询过(m*,w*,ω*)。

3) 签名σ*是关于消息m*、属性集ω*和委托书w*的有效签名。

定义2若敌手AIII在上面的游戏中获胜的概率是可忽略的，则称该ABPS 方案具有能抵御AIII攻击的EUF-sA-CMA。

4.2.2 签名者的隐私性

通过下面的游戏对签名者的隐私性进行定义。

系统建立阶段。挑战者C 运行Setup 算法生成公共参数params 和主密钥，并将params 和主密钥发送给敌手A。

A 赢得上述游戏的优势被定义为|Pr[u'=u]−0.5|。

定义3若不存在敌手A 能以不可忽略的优势赢得上述游戏，则认为该ABPS 方案保护了签名者的隐私。

5 面向无人机网络的ABPS 方案描述

5.1 总体方案

在本文所提出的ABPS 方案中，主要包括属性权威、指挥中心、地面控制站和无人机，如图2 所示。其中，指挥中心为原始签名者，地面控制站为代理签名者，无人机为验证者。指挥中心为地面控制站生成委托书和授权，地面控制站代表指挥中心计算代理签名，并发送给无人机进行验证。方案的总体流程如下。

1) 生成公共参数和主密钥。属性权威为指挥中心和地面控制站生成密钥。

2) 指挥中心生成委托书w和授权del，并将它们发送给地面控制站。

3) 地面控制站验证收到的授权。若该授权是有效的，则可以计算代理签名；否则，不能计算代理签名。

4) 地面控制站依据收到的委托书和授权计算出消息m的代理签名。

5) 无人机收到签名后，对其进行验证，并输出验证结果。

5.2 算法描述

本文所提出的签名方案主要包括以下算法。

1) Setup

2) Extract

该算法分别为原始签名者和代理签名者生成密钥。设原始签名者和代理签名者的属性集分别为ωo和ωp，生成属性集Ω，选择(d−1)次多项式t(·)，且t(0)=α。生成随机

3) DelGen

4) DelVer

代理签名者收到原始签名者发来的委托书和授权后，通过下面的验证式对该授权进行验证。若该等式成立，则认为该授权是有效的；否则，认为该授权是无效的。

5) Sign

6) Verify

验证者收到代理签名者发来的数字签名后，通过下面的验证式对该签名进行验证。若该等式成立，则认为该签名是有效的，输出布尔值Accept；否则，认为该签名是无效的，输出布尔值Reject。

6 方案分析

6.1 正确性分析

定理1本文所提出的ABPS方案具有正确性。

证明分两步对方案的正确性进行分析。首先分析DelGen和DelVer算法的正确性，然后分析Sign和Verify 算法的正确性。

1) DelGen 和DelVer 算法的正确性

2) Sign 和Verify 算法的正确性

定理1 证毕。

6.2 不可伪造性

对于不可伪造性，分别证明所提签名方案具有能抵御AII攻击的EUF-sA-CMA 和能抵御AIII攻击的EUF-sA-CMA，然后得出结论，所提签名方案具有EUF-sA-CMA。

定理2若CDH 问题是困难的，则所提ABPS方案具有能抵御AII攻击的EUF-sA-CMA。

授权生成预言机：AII可以向授权生成预言机查询委托书w和属性集ω。

若ω*不是ω的子集，B 可以获取私钥生成预言机生成的密钥，进而计算出授权。

签名预言机：AII可以向签名预言机查询消息m关于委托书w和属性集ω的签名。

定理3若CDH 问题是困难的，则本文提出的ABPS 方案具有能抵御AIII攻击的EUF-sA-CMA。

根据定理2 和定理3，可得本文提出的ABPS方案具有EUF-sA-CMA。

6.3 签名者隐私

在所提方案中，原始签名者生成的授权可以看作对委托书的签名，而且，代理签名中包含有原始签名者生成的授权。因此，对签名者隐私的保护包含对原始签名者和代理签名者的隐私的保护。

定理4本文提出的ABPS 方案保护了原始签名者的隐私。

定理5本文提出的ABPS 方案保护了代理签名者的隐私。

证明采用与定理4 类似的证明方法，可证明本文提出的ABPS 方案保护了代理签名者的隐私。

根据定理4 和定理5，可得本文提出的ABPS方案保护了签名者的隐私。

6.4 效率分析

本文从计算开销和通信开销2 个方面对所提ABPS 方案和ABPS-LXM 方案[19]、ABPS-SCX 方案[20]进行分析对比。对于计算开销，为反映无人机执行命令的实时性，本文主要分析了Sign 和Verify算法的计算耗时。计算耗时越短，则计算开销越小，无人机执行命令的实时性越高。对于通信开销，主要分析了签名的长度。签名长度越短，则通信开销越小。考虑到无人机网络的实际应用状况，选取了较少的属性进行研究。

6.4.1 计算开销

本节简要分析了不同签名方案中Sign 和Verify算法包含的一些基本运算量，主要包括幂运算、hash运算和双线性映射运算。在所提ABPS 方案的Sign算法中，计算需要进行4d 次幂运算和(d+1)次hash 运算，计算需要进行d 次幂运算，计算不需要额外运算，计算需要进行d次幂运算。因此，在Sign 算法中，总共需要进行6d次幂运算和(d+1)次hash 运算。采用同样的方法对Verify 算法进行分析，可计算出总共需要2d次幂运算，(2d+2)次hash 运算和(4d+1)次双线性映射运算。类似地，可以得出ABPS-LXM 和ABPS-SCX方案中所需的计算量。分析结果如表1 和表2 所示。

表1 不同签名方案中Sign 算法的基本运算量

实验所用计算机的CPU 为Intel i5-4590。为了便于研究和表述，假设文献[19]中n=d=2k，文献[20]中n=d，SA=SB。在实验数据的基础上，可以估算出不同签名方案中Sign 和Verify 算法的计算耗时，如图3和图4 所示。从图3 和图4 中可以发现，与ABPS-LXM 方案相比，所提ABPS 方案的Sign 和Verify 算法明显具有更少的计算开销。与ABPS-SCX 相比，所提ABPS 方案的Sign 算法的计算开销稍大，这是由于ABPS-SCX 方案在Sign 算法之前添加了代理密钥生成算法，并将大量的计算放在了该算法中，从而降低了Sign 算法的计算开销，而所提ABPS 方案和ABPS-LXM 方案都没有在 Sign 算法之前添加代理密钥生成算法；与ABPS-SCX 方案相比，所提ABPS 方案的Verify 算法明显具有更少的计算开销。总体而言，所提ABPS方案具有更少的计算开销。

本文采用jPBC（Java pairing based cryptography）[21]实现了上述基本运算，获取了这些基本运算的计算耗时，如表3 所示。

表3 基本运算的计算耗时

6.4.2 通信开销

本节对所提ABPS 方案、ABPS-LXM 方案和ABPS-SCX 方案的签名长度进行了分析，如表4 所示。从表4 中可以发现，所提ABPS 方案的签名长度与ABPS-LXM 方案和ABPS-SCX 方案的签名长度在同一水平。

表4 不同签名方案的签名长度

7 结束语

无人机在执行远程任务时，需要采用数字签名保护发送给无人机的命令，而且要保证无人机能及时收到命令和签名，保护签名者的隐私。因此，本文提出了面向无人机网络的属性代理签名方案，并对其安全性和效率进行了分析。该签名方案在选择属性和选择消息攻击下具有存在的不可伪造性，而且能保护签名者的隐私。从计算开销和通信开销两方面将所提方案与其他方案进行了对比。结果表明，所提方案的计算开销较小，通信开销与其他方案在同一水平。