一种基于身份的无人机密钥管理与组网认证系统及方法技术方案

本发明专利技术属于用于检验系统用户的身份或凭据的装置技术领域，公开了一种基于身份的无人机密钥管理与组网认证系统及方法，地面认证服务器负责生成和分发无人机进行密钥管理与组网认证所需要的系统参数、身份信息、密钥；无人机认证客户端是系统的主体；通过相互协作，能够分布式的生成无人机用于组网认证的密钥对，并且利用密钥对实现无人机之间的身份认证和密钥协商。本发明专利技术改进现有技术存在的无人机网络密钥管理中节点计算不平等的问题，增强了系统的可靠性，实现了无人机自组织的密钥管理；无人机节点之间实现了双向认证，保证了通信双方的可信性和真实性；使用身份公钥和双线性对实现，计算开销较少，提高了实现效率。

An Identity-based Unmanned Key Management and Network Authentication System and Method

The invention belongs to the field of device technology used to verify the identity or credentials of system users, and discloses an identity-based unmanned secret key management and networking authentication system and method. The ground authentication server is responsible for generating and distributing the system parameters, identity information and keys needed for key management and networking authentication of unmanned aerial vehicles; the unmanned aerial vehicle authentication client is the main body of the system; Through mutual cooperation, the key pairs for network authentication of UAVs can be distributed generated, and the identity authentication and key agreement between UAVs can be realized by using the key pairs. The invention improves the problem of unequal calculation of nodes in UAV network key management existing in the existing technology, enhances the reliability of the system, realizes the self-organized key management of UAV, realizes two-way authentication between UAV nodes, ensures the credibility and authenticity of both sides of communication, and realizes with identity public key and bilinear pairing, with less calculation overhead, and improves the realization efficiency. Rate.

【技术实现步骤摘要】
一种基于身份的无人机密钥管理与组网认证系统及方法
本专利技术属于用于检验系统用户的身份或凭据的装置
，尤其涉及一种基于身份的无人机密钥管理与组网认证系统及方法。
技术介绍
目前，业内常用的现有技术是这样的：无人机作为现代空中军事力量中的一员，具有无人员伤亡，使用限制少，隐蔽性好等优势，在现代战争中占据着越来越重要的地位。针对无人机的对抗研究成为当今各军事强国研究的重点。在电磁环境的复杂性和通信对抗性不断提升的趋势下，无人机在信息传递过程中所面临的被攻击者欺骗、干扰和窃听等问题也变得更加严重。密码技术可以实现无人机网络中的机密性、认证性、完整性和不可否认性等安全需求，提供无人机安全的通信链路。其中，密钥管理作为密码体制的核心之一是无人机网络安全目标实现的前提和关键。无人机网络中缺乏基础设施，并且无人机的相对移动速度快，导致无人机网络的拓扑结构频繁变化，传统的有线网络中的密钥管理手段无法复用，无人机网络中的密钥管理必须由网络终端自组织完成。此外，无人机的计算、存储能力有限，无线链路不稳定，复杂的密码算法会因为资源消耗大，响应时间长而无法部署，密钥管理方案需要考虑计算开销与通信开销问题。针对无人机网络中的密钥管理问题，提出了一些解决方案，其中：现有技术一“基于可信平台的分布式无人机认证和密钥协商方法”公开了一种分布式无人机环境下基于可信平台的认证和密钥协商方法，其通过对预警机平台度量信息的哈希链实现预警机服务节点间的认证，通过密钥交换和消息验证实现预警机服务节点与无人机间的密钥协商。然而，作为服务节点的预警机限制了无人机组网的灵活性，如果无人机中需要存在多个提供服务的节点，密钥管理的可行性必然会因为服务节点的约束而受到严重影响。因此，为保证无人机组网的安全、高效，密钥管理方案需要网络内节点的计算平等。现有技术二“一种移动自组织网门限秘密分发方法”(申请号CN200910219160.4申请公布号CN102223629A)，公开了一种移动自组网门限密钥分发方法，其基于身份的多重签密算法，使用门限机制，实现了服务节点联合进行密钥分发。该专利技术中的不足之处在于：其一，没有考虑到无人机的移动性强，移动的无人机找到多个一跳邻居服务节点是可行的：其二，服务节点间的串行执行分发密钥的过程会导致同步问题，并且会产生较高的通信时延。综上所述，现有技术存在的问题是：(1)现有技术一网络中存在提供可信平台的服务节点，普通无人机节点与服务节点间计算不平等，服务节点承担主要的计算任务，但是无人机网络的拓扑结构频繁变化，服务节点不能提供有效的服务。(2)现有技术二服务节点间的串行执行分发密钥的过程会导致同步问题，并且会产生较高的通信时延，不适合部署在无人机网络中。解决上述技术问题的难度和意义：无人机网络中缺乏基础设施，拓扑结构频繁变换，适用于无人机网络的密钥管理必须由无人机自组织的完成，网络中的无人机需要计算平等，协同合作分布式地提供密钥管理服务。此外，无人机的计算能力有限，无线链路不稳定，密钥管理方案所产生的通信开销和计算开销需要在无人机的承受范围之内。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种基于身份的无人机密钥管理与组网认证系统及方法。为了便于叙述，对本专利技术中使用的密钥及其功能进行说明：主密钥：由系统生成的主密钥，记为k，用于生成子密钥。子密钥：根据门限方案，基于系统的主密钥生成，UAV节点vi的子密钥记为ki，用于生成密钥加密密钥对。密钥加密密钥对：由系统生成并分发给无人机，UAV节点vi的密钥加密公钥记为密钥加密私钥记为si，用于无人机加入网络或者认证密钥对更新时的身份认证和私钥份额的生成。私钥份额：无人机加入网络或者认证密钥对更新时生成，UAV节点vi生成的私钥份额记为Xi，用于恢复入网无人机的认证私钥。认证密钥对：无人机加入网络后生成，UAV节点vi的认证公钥记为PIDi，认证私钥记为di，用于与网络内的其他无人机进行组网认证。通信密钥对：无人机组网认证时生成，UAV节点vi的通信公钥记为Pipub，通信私钥记为dipri，用于与网络内的其他无人机进行密钥协商，生成会话密钥。本专利技术是这样实现的，一种基于身份的无人机密钥管理与组网认证方法，所述基于身份的无人机密钥管理与组网认证方法包括：密钥管理和组网认证系统的初始化，地面认证服务器生成和分发无人机进行密钥管理与组网认证所需要的系统参数、密钥、身份信息；无人机认证客户端生成基于身份的认证公钥，向无人机网络中的UAV节点提交密钥生成请求；无人机认证客户端根据有效的签密信息计算得到私钥份额，收集到t个有效的私钥份额后，根据门限方案恢复认证私钥；无人机网络中的无人机认证客户端对请求密钥生成的UAV节点进行身份认证，认证通过后提供私钥份额生成服务；无人机认证客户端使用认证密钥对与无人机网络中的UAV节点进行组网认证，协商会话密钥。进一步，所述基于身份的无人机密钥管理与组网认证方法包括以下步骤：第一步，选择密码算法并根据系统内置的密码参数生成算法生成密码算法的初始化参数；第二步，无人机生成认证密钥对在UAV执行任务过程中UAV节点加入网络时或UAV节点更新认证密钥对时执行；第三步，无人机之间的组网认证在UAV节点加入无人机网络后执行，使用认证密钥对与无人机网络中的其他UAV节点进行组网认证；第四步，无人机更新认证密钥对。进一步，所述第一步具体包括：步骤一，选择合适的密码算法并根据系统内置的密码参数生成算法生成密码算法的初始化参数；(1)地面认证服务器利用BDH参数生成算法产生素数q，两个阶为q的循环群G1，G2，其上的运算分别为加法和乘法，并且G1是一个GDH群，一个双线性映射e：G1×G1→G2，选择一个随机生成元P∈G1；选择散列函数H2：G2→{0，1}m；(2)地面认证服务器选择一条合规的椭圆曲线以及该曲线上的点构成群Eγ(a，b)的一个生成元G(x，y)，要求G的阶δ是一个大素数。选择对称密码算法，其中加密算法为ENCK，解密算法为DECK，选择整数域上的散列函数H；(3)无人机数量为n，地面控制服务器设置门限值t，在有限域Zp中选择一个随机数作为主密钥k，并且随机生成一个t-1次多项式：f(x)＝k+l1x+l2x2+…+lt-1xt-1(modp)，然后为所有UAV节点生成子密钥和密钥加密密钥对，基于UAV节点vi的编号i生成子密钥ki，ki＝f(i)，最后基于子密钥生成密钥加密密钥对，其中，密钥加密私钥为si，si＝ki，密钥加密公钥为(4)地面认证服务器根据无人机厂商核准编码、生产装配编码、通讯模块的序列号，为无人机生成所需要的身份信息IDi；(5)地面认证服务器根据具体的安全需求选择满足消息新鲜性要求的时间间隔ΔT和密钥更新时间间隔Δt；步骤二，在无人机执行飞行任务前，无人机向地面认证服务器提交系统初始化申请；步骤三，在收到申请后，地面认证服务器向无人机认证客户端传输系统参数{Eγ(a，b)，G，δ，G1，G2，E，Zp，P，H，H1，H2，ENCK，DECK，ΔT，Δt}、特定的密钥加密私钥、所有无人机的密钥加密公钥和身份信息。进一步，所述第二步具体包括：步骤一：UAV节点vi生成请求信息并发送密钥生成请求；UAV节点vi通过机载时钟获取本文档来自技高网...

【技术保护点】
1.一种基于身份的无人机密钥管理与组网认证方法，其特征在于，所述基于身份的无人机密钥管理与组网认证方法包括：密钥管理和组网认证系统的初始化，地面认证服务器生成和分发无人机进行密钥管理与组网认证所需要的系统参数、密钥、身份信息；无人机认证客户端生成基于身份的认证公钥，向无人机网络中的UAV节点提交密钥生成请求；无人机认证客户端根据有效的签密信息计算得到私钥份额，收集到t个有效的私钥份额后，根据门限方案恢复认证私钥；无人机网络中的无人机认证客户端对请求密钥生成的UAV节点进行身份认证，认证通过后提供私钥份额生成服务；无人机认证客户端使用认证密钥对与无人机网络中的UAV节点进行组网认证，协商会话密钥。

【技术特征摘要】
1.一种基于身份的无人机密钥管理与组网认证方法，其特征在于，所述基于身份的无人机密钥管理与组网认证方法包括：密钥管理和组网认证系统的初始化，地面认证服务器生成和分发无人机进行密钥管理与组网认证所需要的系统参数、密钥、身份信息；无人机认证客户端生成基于身份的认证公钥，向无人机网络中的UAV节点提交密钥生成请求；无人机认证客户端根据有效的签密信息计算得到私钥份额，收集到t个有效的私钥份额后，根据门限方案恢复认证私钥；无人机网络中的无人机认证客户端对请求密钥生成的UAV节点进行身份认证，认证通过后提供私钥份额生成服务；无人机认证客户端使用认证密钥对与无人机网络中的UAV节点进行组网认证，协商会话密钥。2.如权利要求1所述的基于身份的无人机密钥管理与组网认证方法，其特征在于，所述基于身份的无人机密钥管理与组网认证方法包括以下步骤：第一步，选择密码算法并根据系统内置的密码参数生成算法生成密码算法的初始化参数；第二步，无人机生成认证密钥对在UAV执行任务过程中UAV节点加入网络时或UAV节点更新认证密钥对时执行；第三步，无人机节点之间的组网认证在UAV节点加入无人机网络后执行，使用认证密钥对与无人机网络中的其他UAV节点进行组网认证；第四步，无人机更新认证密钥对。3.如权利要求2所述的基于身份的无人机密钥管理与组网认证方法，其特征在于，所述第一步具体包括：步骤一，选择合适的密码算法并根据系统内置的密码参数生成算法生成密码算法的初始化参数；(1)地面认证服务器利用BDH参数生成算法产生素数q，两个阶为q的循环群G1，G2，其上的运算分别为加法和乘法，并且G1是一个GDH群，一个双线性映射e：G1×G1→G2，选择一个随机生成元P∈G1；选择散列函数H2：G2→{0，1}m；(2)地面认证服务器选择一条合规的椭圆曲线以及该曲线上的点构成群Eγ(a，b)的一个生成元G(x，y)，要求G的阶δ是一个大素数；选择对称密码算法，其中加密算法为ENCK，解密算法为DECK，选择整数域上的散列函数H；(3)无人机数量为n，地面控制服务器设置门限值t，在有限域Zp中选择一个随机数作为主密钥k，并且随机生成一个t-1次多项式：f(x)＝k+l1x+l2x2+…+lt-1xt-1(modp)，然后为所有UAV节点生成子密钥和密钥加密密钥对，基于UAV节点vi的编号i生成子密钥ki，ki＝f(i)，最后基于子密钥生成密钥加密密钥对，其中，密钥加密私钥为si，si＝ki，密钥加密公钥为(4)地面认证服务器根据无人机厂商核准编码、生产装配编码、通讯模块的序列号，为无人机生成所需要的身份信息IDi；(5)地面认证服务器根据具体的安全需求选择满足消息新鲜性要求的时间间隔ΔT和密钥更新时间间隔Δt；步骤二，在无人机执行飞行任务前，无人机向地面认证服务器提交系统初始化申请；步骤三，在收到申请后，地面认证服务器向无人机认证客户端传输系统参数{Eγ(a，b)，G，δ，G1，G2，e，Zp，P，H，H1，H2，ENCK，DECK，ΔT，Δt}、特定的密钥加密私钥、所有无人机的密钥加密公钥和身份信息。4.如权利要求2所述的基于身份的无人机密钥管理与组网认证方法，其特征在于，所述第二步具体包括：步骤一：UAV节点vi生成请求信息并发送密钥生成请求；UAV节点vi通过机载时钟获取时间参数基于获取的和预置的IDi，UAV节点vi计算认证公钥PIDi，并且使用其密钥加密私钥si进行签名得到Sigireq，Sigireq＝siPIDi；计算完成后，vi将Sigireq连同密钥生成请求一起发送给无人机网络中的UAV节点；步骤二：UAV节点vj对Sigireq的有效性进行判定；收到密钥生成请求后，UAV节点vj通过机载时钟获取时间参数基于获取的和预置的身份信息IDi，UAV节点vj计算该节点的PIDi，然后使用计算得到的PIDi和预分配的UAV节点vi的密钥加密公钥对签名的有效性进行判定，验证等式：是否成立，如果等式成立，则通过有效性验证，否则验证失败，释放连接；步骤三：UAV节点vj生成并返回签密消息；基于收到的Sigireq和预置的密钥加密私钥sj，UAV节点vj计算签密消息SignCryptjres，SignCryptjres＝sjsiPIDi，计算完成后，将SignCryptjres返回给UAV节点vi；步骤四：UAV节点vi对SignCryptjres的有效性进行判定；UAV节点vi使用预分配的UAV节点vj的密钥加密公钥和计算得到的Sigireq对消息的有效性进行判定，验证等式：是否成立，如果等式成立，则通过有效性验证，否则验证失败，释放连接；步骤五：UAV节点vi计算UAV节点vj的私钥份额；基于收到的SignCryptjres和预置的si，UAV节点vi计算私钥份额Xj，Xj＝sjPIDi，计算完成后，将Xj和UAV节点vj编号j记录后保存；步骤六：UAV节点vi恢复认证私钥；UAV节点vi在收集到t个合法节点的私钥份额后，根据门限方案恢复认证私钥di，其中，lθ(z)是Lagrange内插公式，zθ，zj是节点编号。5.如权利要求2所述的基于身份的无人机密钥管理与组网认证方法，其特征在于，所述第三步具体包括：步骤一：UAV节点vi对UAV节点vj发起认证请求；(1a)生成通信密钥对；UAV节点vi选择随机数dipri∈[1，δ-1]作为通信私钥，并且计算通信公钥Pipub，Pipub＝dipriG；UAV节点vi生成大随机数ri，计算RANDij+1并且存储；(1b)对认证参数进行加密；通过机载时钟获取当前时间Ti和时间参数基于获取的和预置的UAV节点vj的身份信息IDj，UAV节点vi计算PIDj，基于获取的Ti，计算得到的PIDj和生成的ri、RANDij，UAV节点vi计算密文C，其中gij＝e(di，PIDj)∈G2；(1c)对认证参数进行签名；UAV节点vi使用dipri对随机数RANDij进行签名：计算完成后验证签名(r，s)的有效性，即r≠0，r+ri≠0，s≠0；签名验证通过后，UAV节点vi...

【专利技术属性】
技术研发人员：朱辉，张业平，张之义，李晖，武衡，于攀，王枫为，赵海强，
申请(专利权)人：西安电子科技大学，中国电子科技集团公司第五十四研究所，
类型：发明
国别省市：陕西,61