基于属性认证的无人机访问控制方法
基于属性认证的无人机访问控制方法
【技术领域】
[0001] 本发明属于信息安全技术领域,特别设及无人机访问控制方法,可用于在多无人 机通信场景下的认证接入。
【背景技术】
[0002] 具有自主飞行能力的无人机,可用于执行航拍、勘测、自主侦察和自动攻击等任 务,具有广泛的应用和科学研究价值,运也使其成为世界上多个国家科研机构的研究热点。 在整个无人机自主系统中,通信系统是飞行控制系统的重要组成部分,担负着各种飞行状 态信息和任务载荷数据的采集与传送,W便用地面监控系统对无人机的飞行状态进行监 控,安全可靠地完成飞行任务。
[0003] 在无人机通信系统的基础上,由无人机、预警机组成的机群及卫星所探测到的数 据具有很高的科学和应用价值,有时还具有很重大的战略价值。进入机群的无人机必须经 过授权才能访问卫星数据,如何有效的保证授权无人机对于数据的合法访问而阻止非授权 无人机的恶意访问是无人机通信和认证系统亟需解决的问题。
[0004] 专利"一种基于激光量子密码通信的无人机输变电监测系统"(申请号为 201210063134.9)实现了智能化巡检及电器设备状态监测和故障检测,保证了输电线路和 变电站的安全性。该系统主要应用于无人机中的输变电监测,无法保证无人机对数据的合 法访问。专利"无人机的安全管控系统及方法"(申请号为201510242490.0)通过管控系统监 测无人机的异常状况,更侧重于无人机主体数据的参数、指令等信息监测,没有考虑无人机 和预警机、卫星等组成机群时的整体安全。
[0005] 访问控制机制可W有效的保护网络数据与资源的安全,实现无人机的授权数据访 问,是多无人机资源共享系统重要的安全保障措施之一,也是无人机通信网络应该提供的 基本安全服务之一。
[0006] 由于无人机通信网络通信链路和通信时延的特殊要求,其访问控制机制需要较少 的信息交互次数W及较高的信息保密度。此外,无人机或预警机具有很强的移动性,会在多 个卫星主体的覆盖范围内切换,如何实现有效的切换也是无人机通信网络访问控制机制需 要考虑的问题之一。
[0007] 传统的访问控制采用基于身份或者基于角色的粗粒度访问控制机制,例如目前使 用密码学方案的访问控制就是基于角色的粗粒度访问控制机制中的一种,该机制可W分为 两大类:基于对称秘钥技术的访问控制机制和基于公钥技术的访问控制机制。运些成熟的 访问控制机制针对的都是单一的封闭式网络,而如何将运些控制机制用在新兴的传感器网 络和物联网是目前的研究热点。
[000引对于大规模开放式的网络环境,特别是W无人机、预警机、卫星和地面站所组成的 无人机通信系统,其访问控制机制目前尚未有较好的研究成果。由于通信系统的主体具有 多种不同的类型,其通信方式、数据格式、安全需求等都不尽相同,大量不同的用户需要频 繁的进行信息交互,且对通信时延具有严格的要求,传统的访问控制方法是不能适应运样 复杂的环境。
【发明内容】
[0009] 本发明的目的在于提出一种基于属性认证的无人机访问控制方法,W实现对复杂 环境的无人机通信系统的控制。
[0010] 为实现上述目的,本发明的技术方案包括如下:
[0011] (1)对无人机通信网络进行初始化:
[0012] la)选取两个素数阶的乘法循环群Gi和G2,其中Gi和G2的阶均用P表示,且Gi为双线 性群,Gi的生成元用g表示,双线性映射Gi X Gi^G2用e表示;
[001引化)地面站生成公私钥对Pggs I Sggs,公钥Pgg拥所有的卫星、预警机和无人机公开, 私钥Sees由地面站秘密保管,用来对无人机的属性签名;
[0014] Ic)卫星主体和无人机主体的属性总数用N表示,所有属性的集合用Α={1,2,···Ν} 表示,无人机和卫星的属性集合分别用Auav和As表示;
[00巧]Id)系统预设属性Π 限值d,d为常量且满足cKmin{ IAuavUAsI };
[0016] le)地面站为每一个属性生成属性私钥tieZp,i = l,2,…N,并将属性私钥预装入 预警机,其中Zp是由整数环Z对P取模得到的余环;
[0017] If)地面站为卫星主体生成鳳性力幡密钥集写=gV E 4 ;
[001引Ig)地面站用私钥Sggs对无人机属性集进行签名,无人机得到自己的属性证书八_ certuAv;
[0019] 化)预警机为自己的监控区域生成区域私钥yeZp,并为区域内的卫星主体生成主 体私钥 Y = e(g,g)y;
[0020] (2)无人机向当前机群的预警机申请注册,实现认证接入:
[0021] 无人机首先向预警机提交自己的属性证书,预警机用系统公钥化GS验证无人机属 性证书是否合法,如果合法,则选取Zp上的d-1次多项式q(i)且满足q(0)=y,并计算属性解 密密钥集合
预警机将由两个乘法循环群、双线性映射和属性解密密钥的 运四元组祐1,62,6,〇1〉发送给无人机;否则,预警机不响应无人机的请求;
[0022] (3)无人机向当前机群范围的卫星主体发起数据访问请求,完成数据访问:
[0023] 3a)无人机将数据请求和属性证书如6〇11631:,4_。6的1^¥〉提交给卫星,卫星根据无 人机的属性证书检验是否满足cK IAuavRAsI :如果满足,则卫星主体确定应答数据M,选择 一次性随机数seZp并选取集合r C年W ΠΛ,且I W| =d,计算应答数据的密文E0=MYSW及 属性加密密钥的密文Ei = TiS,i eW,并将密文组<W,Eo,Ki}〉发送给无人机;否则,卫星不响 应无人机的请求,其中YS表示卫星私钥的密文,符号I表示交集,表示子集;
[0024] 3b)无人机收到卫星的密文组后,计算拉格朗日系数
得到应答数 据:
[0025]本发明具有W下优点:
[00%] 1.实现了无人机对机群的认证接入。
[0027]无人机进入某机群时,需要先向当前机群的预警机提交属性证书,预警机通过验 证属性证书的合法性判断是否响应该无人机请求,从而完成无人机的认证接入。
[00%] 2.实现了灵活的细粒度访问控制。
[0029] 无人机将自身属性作为访问卫星数据的依据,地面控制中屯、在网络初始化时为无 人机颁发不同的属性证书,W实现不同的细粒度访问授权。
[0030] 3.实现了无人机对卫星数据的匿名性访问。
[0031] 无人机访问卫星数据时无需向卫星主体证明自己的身份而只需出示属性集合,当 无人机拥有的属性满足系统预设的口限条件时,才可W解密来自卫星节点的数据。
[0032] 综上,本发明实现了卫星和机群数据的机密性,保证了无人机系统的通信安全。
【附图说明】
[0033] 图1是本发明使用的无人机通信系统场景图;
[0034] 图2是本发明的实现过程图;
[0035] 图3是本发明实现过程中的网络初始化阶段流程图;
[0036] 图4是本发明实现过程中的认证阶段流程图;
[0037] 图5是本发明实现过程中的数据访问阶段流程图。
【具体实施方式】
[0038] W下结合附图对本发明进行详细描述:
[0039] 参照图1,本发明使用的无人机通信系统由无人机、预警机、卫星和地面站四部分 组成,其中无人机是访问控制的主体,将自身属性作为访问卫星数据的依据,其属性指的是 可W对无人机进行区分的特性;预警机是无人机机群的中屯、,对其监测区域内的无人机提 供属性认证功能,并执行对卫星的监测任务;卫星为无人机提供数据服务,其探测到的数据 是访问控制的客体;地面站是整个无人机通信网络的基础,提供整体的监测和控制。各主体 之间的关系为:无人机之间可W通过卫星或预警机进行通信;预警机和无人机可W组成一 个机群,系统中存在若干运样的机群;一个无人机可W随意加入和离开某个机群;无人机或 机群可W在不同卫星之间进行切换,无人机或预警机可W通过卫星与地面站通信。
[0040] 无人机进入通信网络之前,首先向地面控制站申请包含自身属性信息的属性数字 证书;无人机进入某机群时,需要向当前机群的预警机提交自己的属性数字证书W认证其 属性,该预警机为无人机生成访问该监测区域内卫星主体数据的属性解密密钥;认证完成 后,无人机向卫星主体发起数据请求,卫星主体根据属性集合判断是否满足口限条件,如果 满足,将加密后的应答数据发送给无人机;否则,卫星主体不进行响应。
[0041] 参照图2,本发明使用上述系统进行访问控制的方法,包括网络初始化,认证接入 和数据访问Ξ个阶段。其中网络初始化主要设及地面站、预警机和卫星;认证接入设及无人 机和预警机;数据访问设及无人机和卫星。具体描述如下:
[0042] 步骤1,无人机通信网络进 行初始化。
[0043] 参照图3,本步骤的具体实现如下:
[0044] la)为整个网络设定系统参数:选取两个素数阶的乘法循环群Gi和G2,其中Gi和G2 的阶均用P表示,且Gi为双线性群,Gi的生成元用g表示;双线性映射Gi X Gi^G2用e表示,满足 双线性和非退化性,即:对任意的11,¥£61和曰,13£2。,有6(113,¥6)=6(11,¥产;6(邑,邑)辛62,其 中e2表示G2的单位元,Zp是由整数环Z对P取模得到的余环;
[0045] 化)地面站生成公私钥对化csISgcs,公钥化CS对所有的卫星、预警机和无人机公开, 私钥Sees由地面站秘密保管,用来对无人机的属性签名;
[0046] Ic)卫星主体和无人机主体的属性总数用N表示,所有属性的集合用Α={1,2,···Ν} 表示;每一个无人机和卫星主体都拥有一个属性集合,无人机的属性集标识了无人机自身 的特点,而卫星属性集标识了可W访问该卫星数据的无人机属性,无人机和卫星的属性集 合分别用Auav和As表示;
[0047] Id)无人机通信系统预设属性口限值d,d为常量且满足cKmin{|AuAv|,|As|},无人 机所拥有的属性至少有d个和卫星主体属性相同才能得到授权;
[004引le)地面站为每一个属性生成属性私钥tieZp,i = l,2,…N,并将属性私钥预装入 预警机。运些私钥由地面站秘密保管,在整个网络的生存期内地面站可W定期多次更换属 性私钥W保证安全性;
[0049] If)地面站根据授权访问卫星主体数据的属性集为其生成属性加密密钥集 2: = g'V G 4,并预装入卫星主体;
[0050] Ig)地面站用私钥Sggs对无人机属性集进行签名,无人机得到自己的属性证书八_ ceduAv,每一个无人机都拥有一份属性数字证书,用来向各机群的预警机认证无人机的属 性并得到数据访问权限;
[0051] 化)预警机为自己的监控区域生成区域私钥yeZp,并为区域内的卫星主体生成主 体私钥Y = e(g,g)y。当卫星进入预警机的监测区域时,预警机将主体私钥Y发送给当前区域 的卫星主体。
[0化2] 步骤2,认证接入。
[0053] 由于无人机持有的属性证书是由地面站签署的,所有预警机都可W用系统公钥 Pgcs验证无人机属性证书的合法性。当无人机进入某机群时,首先向当前机群的预警机发送 注册信息和属性证书,属性认证完成后才能访问该区域卫星主体的数据。
[0054] 参照图4,本步骤的具体实现如下:
[0055] 2a)无人机进入某机群时,向当前机群的预警机发起注册申请,同时提交自己的属 性证书〈register, A_ce;rtuAv〉,其中register表示注册信息;
[0056] 2b)预警机用系统公钥化GS验证无人机属性证书是否合法,如果合法,则继续进行 下一步;否则,预警机不响应无人机的请求;
[0057] 2c)预警机为该无人机随机的秘密选取Zp上的d-1次多项式q(i),且满足条件q(0) =y,并计算属性解密密钥集合A. = e ;
[005引2d)预警机将由两个乘法循环群、双线性映射和属性解密密钥运四元组<Gi,G2,e, Di>发送给无人机。
[0化9]步骤3,数据访问。
[0060]无人机由当前机群的预警机完成属性认证后,需向当前机群范围的卫星主体发起 数据访问请求,完成无人机对卫星数据的授权访问。
[0061 ]参照图5,本步骤的具体实现如下:
[0062] 3a)无人机将数据请求和属性证书分6〇11631:, A_ceduAv>提交给卫星;
[0063] 3b)卫星根据无人机的属性证书检验是否满足cK IAuav riAsI,如果条件不满足, 则不响应该无人机的请求,否则,执行后续步骤;
[0064] 3c)卫星主体确定应答数据M,选择一次性随机数seZp并选取集合Wc為 且|W|=d,计算应答数据的密文E〇=MYSW及属性加密密钥的密文Ei = TiS,ieW,其中ys表示 卫星私钥的密文,符号η表示交集,C表示子集;
[0(?日]3d)卫星主体将密文组<W,Eq,巧i}>发送给无人机;
[0066] 3e)无人机收到卫星的密文组后,首先计算拉格朗日系数:
[0067]
[0068] 然后计算卫星私钥的密文:
[0069]
[0070] 3f)根据拉格朗日系数和卫星私钥的密文,无人机计算应答数据M:
[0071]
[0072] W上描述仅是本发明的一个具体实例,不构成对本发明的任何限制。显然对于本 领域的专业人员来说,在了解了本
【发明内容】
和原理后,都可能在不背离本发明原理、结构的 情况下,进行形式和细节上的各种修正和改变,但是运些基于本发明思想的修正和改变仍 在本发明的权利要求保护范围之内。
【主权项】
1. 基于属性认证的无人机访问控制方法,包括: (1) 对无人机通信网络进行初始化: la) 选取两个素数阶的乘法循环群&和62,其中&和&的阶均用p表示,且G1为双线性群, Gi的生成元用g表示,双线性映射Gi X Gi-G2用e表示; lb) 地面站生成公私钥对Pccs I SCCS,公钥Pccs对所有的卫星、预警机和无人机公开,私钥 Sccs由地面站秘密保管,用来对无人机的属性签名; lc) 卫星主体和无人机主体的属性总数用N表示,所有属性的集合用Α={1,2,···Ν}表 不,无人机和卫星的属性集合分别用Auav和As表不; ld) 系统预设属性门限值d,d为常量且满足cKmin{ IAuavI,|As|h le) 地面站为每一个属性生成属性私钥t eZp,i = 1,2,…N,并将属性私钥预装入预警 机,其中Zp是由整数环Z对p取模得到的余环; lf) 地面站为卫星主体生成属性加密密钥集lg) 地面站用私钥Sgcs对无人机属性集进行签名,无人机得到自己的属性证书八_ certuAv; lh) 预警机为自己的监控区域生成区域私钥yezP,并为区域内的卫星主体生成主体私 钥 Y = e(g,g)y; (2) 无人机向当前机群的预警机申请注册,实现认证接入: 无人机首先向预警机提交自己的属性证书,预警机用系统公钥Pgcs验证无人机属性证 书是否合法,如果合法,则选取心上的d-Ι次多项式q(i)且满足q(0)=y,并计算属性解密密 钥集合预警机将由两个乘法循环群、双线性映射和属性解密密钥的这四 元组〈Gi,G2,e,DO发送给无人机;否则,预警机不响应无人机的请求; (3) 无人机向当前机群范围的卫星主体发起数据访问请求,完成数据访问: 3a)无人机将数据请求和属性证书〈request,A_certuAv>提交给卫星,卫星根据无人机 的属性证书检验是否满足cK |AUAVnAs| :如果满足,则卫星主体确定应答数据M,选择一次 性随机数SEZp并选取集合if 5毛〇 ΠΛ,且|W| =d,计算应答数据的密文Eo=MYs以及属性 加密密钥的密文乓=V Jeff,并将密文组〈W,E〇, {E3〉发送给无人机;否则,卫星不响应无 人机的请求,其中Ys表示卫星私钥的密文,符号η表示交集,e表示子集; 3b)无人机收到卫星的密文组后,计算拉格朗日系数得到应答数据:2. 根据权利要求书1里的方法,步骤la)中选取两个素数阶的乘法循环群GjPG2,必须满 足双线性和非退化性,即:对任意的11,¥£61和3,13£2 1),有6(11£1,¥15) = 6(11,¥)£115;6(8,8)关62, 其中e2表示G2的单位元。
【专利摘要】本发明公开了一种多无人机通信场景下基于属性认证的访问控制方法,主要解决现有技术不能对复杂环境的无人机通信系统进行控制的问题。其技术方案是:首先对由卫星、预警机、无人机和地面站四个部分组成的无人机通信网络进行初始化;其次在无人机进入某机群时,向当前机群的预警机发送注册信息和属性证书,完成属性认证;再次由无人机向当前机群范围的卫星主体发起数据访问请求,完成对卫星数据的授权访问。本发明中无人机将自身属性作为机群接入和数据访问的依据,实现灵活的细粒度访问控制;无人机访问卫星数据时只需出示属性集合,实现了对卫星数据的匿名性访问,保证了无人机系统的通信安全,可用于在多无人机通信场景下的认证接入。
【IPC分类】H04B7/185, H04L29/06
【公开号】CN105491025
【申请号】CN201510828252
【发明人】马建峰, 张亚棣, 孙聪, 孙召昌, 李鹏, 吴奇烜
【申请人】西安电子科技大学, 中国航空工业集团公司西安航空计算技术研究所
【公开日】2016年4月13日
【申请日】2015年11月25日
【技术领域】
[0001] 本发明属于信息安全技术领域,特别设及无人机访问控制方法,可用于在多无人 机通信场景下的认证接入。
【背景技术】
[0002] 具有自主飞行能力的无人机,可用于执行航拍、勘测、自主侦察和自动攻击等任 务,具有广泛的应用和科学研究价值,运也使其成为世界上多个国家科研机构的研究热点。 在整个无人机自主系统中,通信系统是飞行控制系统的重要组成部分,担负着各种飞行状 态信息和任务载荷数据的采集与传送,W便用地面监控系统对无人机的飞行状态进行监 控,安全可靠地完成飞行任务。
[0003] 在无人机通信系统的基础上,由无人机、预警机组成的机群及卫星所探测到的数 据具有很高的科学和应用价值,有时还具有很重大的战略价值。进入机群的无人机必须经 过授权才能访问卫星数据,如何有效的保证授权无人机对于数据的合法访问而阻止非授权 无人机的恶意访问是无人机通信和认证系统亟需解决的问题。
[0004] 专利"一种基于激光量子密码通信的无人机输变电监测系统"(申请号为 201210063134.9)实现了智能化巡检及电器设备状态监测和故障检测,保证了输电线路和 变电站的安全性。该系统主要应用于无人机中的输变电监测,无法保证无人机对数据的合 法访问。专利"无人机的安全管控系统及方法"(申请号为201510242490.0)通过管控系统监 测无人机的异常状况,更侧重于无人机主体数据的参数、指令等信息监测,没有考虑无人机 和预警机、卫星等组成机群时的整体安全。
[0005] 访问控制机制可W有效的保护网络数据与资源的安全,实现无人机的授权数据访 问,是多无人机资源共享系统重要的安全保障措施之一,也是无人机通信网络应该提供的 基本安全服务之一。
[0006] 由于无人机通信网络通信链路和通信时延的特殊要求,其访问控制机制需要较少 的信息交互次数W及较高的信息保密度。此外,无人机或预警机具有很强的移动性,会在多 个卫星主体的覆盖范围内切换,如何实现有效的切换也是无人机通信网络访问控制机制需 要考虑的问题之一。
[0007] 传统的访问控制采用基于身份或者基于角色的粗粒度访问控制机制,例如目前使 用密码学方案的访问控制就是基于角色的粗粒度访问控制机制中的一种,该机制可W分为 两大类:基于对称秘钥技术的访问控制机制和基于公钥技术的访问控制机制。运些成熟的 访问控制机制针对的都是单一的封闭式网络,而如何将运些控制机制用在新兴的传感器网 络和物联网是目前的研究热点。
[000引对于大规模开放式的网络环境,特别是W无人机、预警机、卫星和地面站所组成的 无人机通信系统,其访问控制机制目前尚未有较好的研究成果。由于通信系统的主体具有 多种不同的类型,其通信方式、数据格式、安全需求等都不尽相同,大量不同的用户需要频 繁的进行信息交互,且对通信时延具有严格的要求,传统的访问控制方法是不能适应运样 复杂的环境。
【发明内容】
[0009] 本发明的目的在于提出一种基于属性认证的无人机访问控制方法,W实现对复杂 环境的无人机通信系统的控制。
[0010] 为实现上述目的,本发明的技术方案包括如下:
[0011] (1)对无人机通信网络进行初始化:
[0012] la)选取两个素数阶的乘法循环群Gi和G2,其中Gi和G2的阶均用P表示,且Gi为双线 性群,Gi的生成元用g表示,双线性映射Gi X Gi^G2用e表示;
[001引化)地面站生成公私钥对Pggs I Sggs,公钥Pgg拥所有的卫星、预警机和无人机公开, 私钥Sees由地面站秘密保管,用来对无人机的属性签名;
[0014] Ic)卫星主体和无人机主体的属性总数用N表示,所有属性的集合用Α={1,2,···Ν} 表示,无人机和卫星的属性集合分别用Auav和As表示;
[00巧]Id)系统预设属性Π 限值d,d为常量且满足cKmin{ IAuavUAsI };
[0016] le)地面站为每一个属性生成属性私钥tieZp,i = l,2,…N,并将属性私钥预装入 预警机,其中Zp是由整数环Z对P取模得到的余环;
[0017] If)地面站为卫星主体生成鳳性力幡密钥集写=gV E 4 ;
[001引Ig)地面站用私钥Sggs对无人机属性集进行签名,无人机得到自己的属性证书八_ certuAv;
[0019] 化)预警机为自己的监控区域生成区域私钥yeZp,并为区域内的卫星主体生成主 体私钥 Y = e(g,g)y;
[0020] (2)无人机向当前机群的预警机申请注册,实现认证接入:
[0021] 无人机首先向预警机提交自己的属性证书,预警机用系统公钥化GS验证无人机属 性证书是否合法,如果合法,则选取Zp上的d-1次多项式q(i)且满足q(0)=y,并计算属性解 密密钥集合
预警机将由两个乘法循环群、双线性映射和属性解密密钥的 运四元组祐1,62,6,〇1〉发送给无人机;否则,预警机不响应无人机的请求;
[0022] (3)无人机向当前机群范围的卫星主体发起数据访问请求,完成数据访问:
[0023] 3a)无人机将数据请求和属性证书如6〇11631:,4_。6的1^¥〉提交给卫星,卫星根据无 人机的属性证书检验是否满足cK IAuavRAsI :如果满足,则卫星主体确定应答数据M,选择 一次性随机数seZp并选取集合r C年W ΠΛ,且I W| =d,计算应答数据的密文E0=MYSW及 属性加密密钥的密文Ei = TiS,i eW,并将密文组<W,Eo,Ki}〉发送给无人机;否则,卫星不响 应无人机的请求,其中YS表示卫星私钥的密文,符号I表示交集,表示子集;
[0024] 3b)无人机收到卫星的密文组后,计算拉格朗日系数
得到应答数 据:
[0025]本发明具有W下优点:
[00%] 1.实现了无人机对机群的认证接入。
[0027]无人机进入某机群时,需要先向当前机群的预警机提交属性证书,预警机通过验 证属性证书的合法性判断是否响应该无人机请求,从而完成无人机的认证接入。
[00%] 2.实现了灵活的细粒度访问控制。
[0029] 无人机将自身属性作为访问卫星数据的依据,地面控制中屯、在网络初始化时为无 人机颁发不同的属性证书,W实现不同的细粒度访问授权。
[0030] 3.实现了无人机对卫星数据的匿名性访问。
[0031] 无人机访问卫星数据时无需向卫星主体证明自己的身份而只需出示属性集合,当 无人机拥有的属性满足系统预设的口限条件时,才可W解密来自卫星节点的数据。
[0032] 综上,本发明实现了卫星和机群数据的机密性,保证了无人机系统的通信安全。
【附图说明】
[0033] 图1是本发明使用的无人机通信系统场景图;
[0034] 图2是本发明的实现过程图;
[0035] 图3是本发明实现过程中的网络初始化阶段流程图;
[0036] 图4是本发明实现过程中的认证阶段流程图;
[0037] 图5是本发明实现过程中的数据访问阶段流程图。
【具体实施方式】
[0038] W下结合附图对本发明进行详细描述:
[0039] 参照图1,本发明使用的无人机通信系统由无人机、预警机、卫星和地面站四部分 组成,其中无人机是访问控制的主体,将自身属性作为访问卫星数据的依据,其属性指的是 可W对无人机进行区分的特性;预警机是无人机机群的中屯、,对其监测区域内的无人机提 供属性认证功能,并执行对卫星的监测任务;卫星为无人机提供数据服务,其探测到的数据 是访问控制的客体;地面站是整个无人机通信网络的基础,提供整体的监测和控制。各主体 之间的关系为:无人机之间可W通过卫星或预警机进行通信;预警机和无人机可W组成一 个机群,系统中存在若干运样的机群;一个无人机可W随意加入和离开某个机群;无人机或 机群可W在不同卫星之间进行切换,无人机或预警机可W通过卫星与地面站通信。
[0040] 无人机进入通信网络之前,首先向地面控制站申请包含自身属性信息的属性数字 证书;无人机进入某机群时,需要向当前机群的预警机提交自己的属性数字证书W认证其 属性,该预警机为无人机生成访问该监测区域内卫星主体数据的属性解密密钥;认证完成 后,无人机向卫星主体发起数据请求,卫星主体根据属性集合判断是否满足口限条件,如果 满足,将加密后的应答数据发送给无人机;否则,卫星主体不进行响应。
[0041] 参照图2,本发明使用上述系统进行访问控制的方法,包括网络初始化,认证接入 和数据访问Ξ个阶段。其中网络初始化主要设及地面站、预警机和卫星;认证接入设及无人 机和预警机;数据访问设及无人机和卫星。具体描述如下:
[0042] 步骤1,无人机通信网络进 行初始化。
[0043] 参照图3,本步骤的具体实现如下:
[0044] la)为整个网络设定系统参数:选取两个素数阶的乘法循环群Gi和G2,其中Gi和G2 的阶均用P表示,且Gi为双线性群,Gi的生成元用g表示;双线性映射Gi X Gi^G2用e表示,满足 双线性和非退化性,即:对任意的11,¥£61和曰,13£2。,有6(113,¥6)=6(11,¥产;6(邑,邑)辛62,其 中e2表示G2的单位元,Zp是由整数环Z对P取模得到的余环;
[0045] 化)地面站生成公私钥对化csISgcs,公钥化CS对所有的卫星、预警机和无人机公开, 私钥Sees由地面站秘密保管,用来对无人机的属性签名;
[0046] Ic)卫星主体和无人机主体的属性总数用N表示,所有属性的集合用Α={1,2,···Ν} 表示;每一个无人机和卫星主体都拥有一个属性集合,无人机的属性集标识了无人机自身 的特点,而卫星属性集标识了可W访问该卫星数据的无人机属性,无人机和卫星的属性集 合分别用Auav和As表示;
[0047] Id)无人机通信系统预设属性口限值d,d为常量且满足cKmin{|AuAv|,|As|},无人 机所拥有的属性至少有d个和卫星主体属性相同才能得到授权;
[004引le)地面站为每一个属性生成属性私钥tieZp,i = l,2,…N,并将属性私钥预装入 预警机。运些私钥由地面站秘密保管,在整个网络的生存期内地面站可W定期多次更换属 性私钥W保证安全性;
[0049] If)地面站根据授权访问卫星主体数据的属性集为其生成属性加密密钥集 2: = g'V G 4,并预装入卫星主体;
[0050] Ig)地面站用私钥Sggs对无人机属性集进行签名,无人机得到自己的属性证书八_ ceduAv,每一个无人机都拥有一份属性数字证书,用来向各机群的预警机认证无人机的属 性并得到数据访问权限;
[0051] 化)预警机为自己的监控区域生成区域私钥yeZp,并为区域内的卫星主体生成主 体私钥Y = e(g,g)y。当卫星进入预警机的监测区域时,预警机将主体私钥Y发送给当前区域 的卫星主体。
[0化2] 步骤2,认证接入。
[0053] 由于无人机持有的属性证书是由地面站签署的,所有预警机都可W用系统公钥 Pgcs验证无人机属性证书的合法性。当无人机进入某机群时,首先向当前机群的预警机发送 注册信息和属性证书,属性认证完成后才能访问该区域卫星主体的数据。
[0054] 参照图4,本步骤的具体实现如下:
[0055] 2a)无人机进入某机群时,向当前机群的预警机发起注册申请,同时提交自己的属 性证书〈register, A_ce;rtuAv〉,其中register表示注册信息;
[0056] 2b)预警机用系统公钥化GS验证无人机属性证书是否合法,如果合法,则继续进行 下一步;否则,预警机不响应无人机的请求;
[0057] 2c)预警机为该无人机随机的秘密选取Zp上的d-1次多项式q(i),且满足条件q(0) =y,并计算属性解密密钥集合A. = e ;
[005引2d)预警机将由两个乘法循环群、双线性映射和属性解密密钥运四元组<Gi,G2,e, Di>发送给无人机。
[0化9]步骤3,数据访问。
[0060]无人机由当前机群的预警机完成属性认证后,需向当前机群范围的卫星主体发起 数据访问请求,完成无人机对卫星数据的授权访问。
[0061 ]参照图5,本步骤的具体实现如下:
[0062] 3a)无人机将数据请求和属性证书分6〇11631:, A_ceduAv>提交给卫星;
[0063] 3b)卫星根据无人机的属性证书检验是否满足cK IAuav riAsI,如果条件不满足, 则不响应该无人机的请求,否则,执行后续步骤;
[0064] 3c)卫星主体确定应答数据M,选择一次性随机数seZp并选取集合Wc為 且|W|=d,计算应答数据的密文E〇=MYSW及属性加密密钥的密文Ei = TiS,ieW,其中ys表示 卫星私钥的密文,符号η表示交集,C表示子集;
[0(?日]3d)卫星主体将密文组<W,Eq,巧i}>发送给无人机;
[0066] 3e)无人机收到卫星的密文组后,首先计算拉格朗日系数:
[0067]
[0068] 然后计算卫星私钥的密文:
[0069]
[0070] 3f)根据拉格朗日系数和卫星私钥的密文,无人机计算应答数据M:
[0071]
[0072] W上描述仅是本发明的一个具体实例,不构成对本发明的任何限制。显然对于本 领域的专业人员来说,在了解了本
【发明内容】
和原理后,都可能在不背离本发明原理、结构的 情况下,进行形式和细节上的各种修正和改变,但是运些基于本发明思想的修正和改变仍 在本发明的权利要求保护范围之内。
【主权项】
1. 基于属性认证的无人机访问控制方法,包括: (1) 对无人机通信网络进行初始化: la) 选取两个素数阶的乘法循环群&和62,其中&和&的阶均用p表示,且G1为双线性群, Gi的生成元用g表示,双线性映射Gi X Gi-G2用e表示; lb) 地面站生成公私钥对Pccs I SCCS,公钥Pccs对所有的卫星、预警机和无人机公开,私钥 Sccs由地面站秘密保管,用来对无人机的属性签名; lc) 卫星主体和无人机主体的属性总数用N表示,所有属性的集合用Α={1,2,···Ν}表 不,无人机和卫星的属性集合分别用Auav和As表不; ld) 系统预设属性门限值d,d为常量且满足cKmin{ IAuavI,|As|h le) 地面站为每一个属性生成属性私钥t eZp,i = 1,2,…N,并将属性私钥预装入预警 机,其中Zp是由整数环Z对p取模得到的余环; lf) 地面站为卫星主体生成属性加密密钥集lg) 地面站用私钥Sgcs对无人机属性集进行签名,无人机得到自己的属性证书八_ certuAv; lh) 预警机为自己的监控区域生成区域私钥yezP,并为区域内的卫星主体生成主体私 钥 Y = e(g,g)y; (2) 无人机向当前机群的预警机申请注册,实现认证接入: 无人机首先向预警机提交自己的属性证书,预警机用系统公钥Pgcs验证无人机属性证 书是否合法,如果合法,则选取心上的d-Ι次多项式q(i)且满足q(0)=y,并计算属性解密密 钥集合预警机将由两个乘法循环群、双线性映射和属性解密密钥的这四 元组〈Gi,G2,e,DO发送给无人机;否则,预警机不响应无人机的请求; (3) 无人机向当前机群范围的卫星主体发起数据访问请求,完成数据访问: 3a)无人机将数据请求和属性证书〈request,A_certuAv>提交给卫星,卫星根据无人机 的属性证书检验是否满足cK |AUAVnAs| :如果满足,则卫星主体确定应答数据M,选择一次 性随机数SEZp并选取集合if 5毛〇 ΠΛ,且|W| =d,计算应答数据的密文Eo=MYs以及属性 加密密钥的密文乓=V Jeff,并将密文组〈W,E〇, {E3〉发送给无人机;否则,卫星不响应无 人机的请求,其中Ys表示卫星私钥的密文,符号η表示交集,e表示子集; 3b)无人机收到卫星的密文组后,计算拉格朗日系数得到应答数据:2. 根据权利要求书1里的方法,步骤la)中选取两个素数阶的乘法循环群GjPG2,必须满 足双线性和非退化性,即:对任意的11,¥£61和3,13£2 1),有6(11£1,¥15) = 6(11,¥)£115;6(8,8)关62, 其中e2表示G2的单位元。
【专利摘要】本发明公开了一种多无人机通信场景下基于属性认证的访问控制方法,主要解决现有技术不能对复杂环境的无人机通信系统进行控制的问题。其技术方案是:首先对由卫星、预警机、无人机和地面站四个部分组成的无人机通信网络进行初始化;其次在无人机进入某机群时,向当前机群的预警机发送注册信息和属性证书,完成属性认证;再次由无人机向当前机群范围的卫星主体发起数据访问请求,完成对卫星数据的授权访问。本发明中无人机将自身属性作为机群接入和数据访问的依据,实现灵活的细粒度访问控制;无人机访问卫星数据时只需出示属性集合,实现了对卫星数据的匿名性访问,保证了无人机系统的通信安全,可用于在多无人机通信场景下的认证接入。
【IPC分类】H04B7/185, H04L29/06
【公开号】CN105491025
【申请号】CN201510828252
【发明人】马建峰, 张亚棣, 孙聪, 孙召昌, 李鹏, 吴奇烜
【申请人】西安电子科技大学, 中国航空工业集团公司西安航空计算技术研究所
【公开日】2016年4月13日
【申请日】2015年11月25日
最新回复(0)