基于雙重代理密鑰的船舶自組網(wǎng)門限簽名方案

徐明，李旭如，劉朝斌，馬堯

?

基于雙重代理密鑰的船舶自組網(wǎng)門限簽名方案

徐明1，李旭如1，劉朝斌2，馬堯3

(1. 上海海事大學(xué)信息工程學(xué)院，上海 201306；2. 復(fù)旦大學(xué)上海市智能信息處理重點(diǎn)實(shí)驗(yàn)室，上海 200433；3. 中國通用技術(shù)研究院，北京 100085)

為了解決船舶自組網(wǎng)應(yīng)用條件下的消息認(rèn)證問題，利用門限代理簽名體制和雙線性對性質(zhì)，設(shè)計(jì)了一種不依賴于可信認(rèn)證中心和防篡改設(shè)備的簽名方案。通過雙重代理密鑰的設(shè)計(jì)和門限簽名機(jī)制的應(yīng)用，使船舶節(jié)點(diǎn)通過多項(xiàng)式時(shí)間的計(jì)算完成消息簽名，并運(yùn)用隨機(jī)預(yù)言模型證明了方案的安全性。分析表明，該方案在保證正確性的前提下能滿足強(qiáng)代理簽名的性質(zhì)，并具有較低的計(jì)算開銷和通信開銷。

船舶自組網(wǎng)；雙重代理密鑰；消息認(rèn)證；雙線性對

1 引言

船舶自組網(wǎng)（SANET , ship ad-hoc network）是船聯(lián)網(wǎng)（IoV, Internet of vessel）的一種組網(wǎng)形式[1]。廣義的船聯(lián)網(wǎng)是包含船舶、通信基站、通信衛(wèi)星、橋梁、航標(biāo)、浮標(biāo)和船舶交通管理系統(tǒng)（VTS, vessel traffic system）組成的船舶智能信息服務(wù)系統(tǒng)?，F(xiàn)有的一些海上通信應(yīng)用，如船舶自動(dòng)定位系統(tǒng)（AIS, automatic identification system）、全球海上遇險(xiǎn)安全系統(tǒng)（GMDSS, global maritime distress safety system）都致力于船舶的安全、追蹤和身份識(shí)別[2-4]。隨著海上通信應(yīng)用環(huán)境的復(fù)雜化，目前較為成熟的通信技術(shù)，如海事衛(wèi)星通信系統(tǒng)因其高昂的費(fèi)用逐漸成為海上通信應(yīng)用的瓶頸。與此同時(shí)，海上活動(dòng)日漸頻繁以及無線通信技術(shù)迅速發(fā)展，為船舶自組網(wǎng)迎來了新的發(fā)展契機(jī)[5]。目前，船舶自組網(wǎng)的研究工作主要集中在通信效率的提升和路由協(xié)議的優(yōu)化與設(shè)計(jì)方面[6-8]。然而，由于海面環(huán)境復(fù)雜、海面粗糙度（SSR, sea surface roughness）[9]多變以及天氣變換頻繁等不確定因素的影響，加之船舶節(jié)點(diǎn)移動(dòng)速度較慢、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相對穩(wěn)定等原因，導(dǎo)致船舶節(jié)點(diǎn)之間的消息通信很容易被探測、攔截和篡改[10]。因此，如何保證船舶自組網(wǎng)的安全通信成為一個(gè)不可忽視的問題。

與常見的移動(dòng)自組網(wǎng)（ad-hoc）相比，船舶自組網(wǎng)有以下3個(gè)特點(diǎn)。1) 從網(wǎng)絡(luò)的整體結(jié)構(gòu)來看，船舶節(jié)點(diǎn)之間的距離相對較遠(yuǎn)、節(jié)點(diǎn)移動(dòng)速度較慢且移動(dòng)速度相對穩(wěn)定，這就導(dǎo)致了船舶自組網(wǎng)的拓?fù)浣Y(jié)構(gòu)變化較慢。2) 海洋環(huán)境復(fù)雜多變、覆蓋區(qū)域較大，從而使浮標(biāo)、島嶼基站等網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)較為困難。因此，當(dāng)船舶節(jié)點(diǎn)間進(jìn)行通信時(shí)，這些基礎(chǔ)設(shè)施可能無法作為可信第三方加入通信以保證船舶之間的通信安全。3) 由于針對船舶自組網(wǎng)安全通信的研究剛剛起步，目前還沒有針對船舶自組網(wǎng)消息認(rèn)證方面的研究工作，為了進(jìn)一步完善船舶自組網(wǎng)的安全通信協(xié)議，設(shè)計(jì)一個(gè)適用于船舶自組網(wǎng)的消息認(rèn)證方案是很必要的。

考慮到船舶自組網(wǎng)的特殊應(yīng)用環(huán)境和網(wǎng)絡(luò)結(jié)構(gòu)，為了保證網(wǎng)絡(luò)通信的可靠性，船舶自組網(wǎng)的消息認(rèn)證方案設(shè)計(jì)不能引入第三方可信中心。但是船舶自組網(wǎng)中節(jié)點(diǎn)移動(dòng)速度較慢、通信半徑較大（約30 km）、傳輸速率較快（9.6~14.4 kbit/s）[11]，這就意味著網(wǎng)絡(luò)對于瞬時(shí)通信的要求較低。結(jié)合船舶自組網(wǎng)消息認(rèn)證方案設(shè)計(jì)的需求與網(wǎng)絡(luò)自身的特點(diǎn)，通過對現(xiàn)有移動(dòng)自組網(wǎng)消息認(rèn)證方案的研究，可以考慮使用門限代理簽名對船舶自組網(wǎng)中的消息進(jìn)行認(rèn)證。

代理簽名自Mambo等[12]在1996年首次提出后就被廣泛深入地研究，隨后，Zhang等[13]提出了基于秘密共享的門限代理簽名方案。在此之后，大量的門限代理簽名方案被提出[14-20]。門限代理簽名方案利用秘密共享和公鑰密碼體制保證了簽名的安全性，由于其對代理簽名的參與者身份沒有做特殊的要求，因此可以在不引入第三方可信中心的前提下實(shí)現(xiàn)安全的消息認(rèn)證；同時(shí)，船舶自組網(wǎng)對瞬時(shí)通信要求較低，可以負(fù)擔(dān)由秘密共享過程所增加的計(jì)算復(fù)雜度和通信復(fù)雜度。因此說，門限代理簽名方案是保證船舶自組網(wǎng)安全通信的一個(gè)較為理想的方案。常見的移動(dòng)自組網(wǎng)中也有與之相似的認(rèn)證方案，如Shao等[21]提出的門限批量認(rèn)證方案和Yeh等[22]提出的基于代理車輛的認(rèn)證方案，但是這2種方案均局限于使用第三方可信中心。

針對船舶自組網(wǎng)的特性及其應(yīng)用環(huán)境的特殊限制，本文設(shè)計(jì)了一種基于雙重代理密鑰的門限簽名方案。該簽名方案不依賴于第三方認(rèn)證中心和固定的基礎(chǔ)設(shè)施。理論分析表明，該方案滿足強(qiáng)代理簽名的性質(zhì)，即強(qiáng)不可偽造性、強(qiáng)可識(shí)別性、強(qiáng)不可否認(rèn)性和防濫用性[23]。此外，效率分析表明，本文方案在船舶自組網(wǎng)的應(yīng)用環(huán)境下具有較高的計(jì)算效率和通信效率。

2 船舶自組網(wǎng)體系結(jié)構(gòu)及攻擊模型

2.1 體系結(jié)構(gòu)

船舶自組網(wǎng)包含船舶通信單元、基礎(chǔ)設(shè)施通信單元和通信基站，其體系結(jié)構(gòu)如圖1所示。

船舶通信單元（OBU, on-board unit）：OBU是安裝在船舶上的通信設(shè)備，是船舶自組網(wǎng)中最基本的通信實(shí)體。

無線接入基站（RAS, radio access station）：RAS包含陸地通信基站和島嶼通信基站。船舶自組網(wǎng)中的RAS可以作為其他后備網(wǎng)絡(luò)的接入點(diǎn)。船舶、航道、環(huán)境等數(shù)據(jù)通過互聯(lián)網(wǎng)傳入相應(yīng)服務(wù)器，可以用于VTS的管理決策。

無線接入點(diǎn)（AP, access point）[22]：船舶自組網(wǎng)中的無線接入點(diǎn)包含航標(biāo)、浮標(biāo)和橋梁。通過裝載在這些設(shè)備上的傳感器可以完成對環(huán)境和航道參數(shù)的感知與監(jiān)控，AP可以通過船舶自組網(wǎng)傳送監(jiān)測到的航運(yùn)和環(huán)境數(shù)據(jù)。當(dāng)船只不在RAS的覆蓋范圍內(nèi)時(shí)，可以通過AP間接加入網(wǎng)絡(luò)。

甚高頻帶（VHFB, very high frequency band）通信技術(shù)：考慮到船舶自組網(wǎng)應(yīng)用環(huán)境的特殊性，一般的通信技術(shù)，如專用短程通信（DSRC, dedicated short range communication）技術(shù)[24]等受到傳輸速率的制約，而衛(wèi)星通信則存在著成本較高和通信時(shí)延較大等問題。因此，Hui等[25]提出的基于ITU-R-M.1842-1標(biāo)準(zhǔn)的甚高頻帶通信技術(shù)適用于船舶自組網(wǎng)的通信。

圖1 船舶自組網(wǎng)體系結(jié)構(gòu)

2.2 攻擊模型

針對船舶自組網(wǎng)的網(wǎng)絡(luò)架構(gòu)，有3種常見的攻擊模型。圖2給出了3種類型攻擊者的攻擊路徑。

Ⅰ型攻擊者可以竊聽網(wǎng)絡(luò)信道，從而獲取對攻擊者有利的消息。攻擊者可以通過逆向分析技術(shù)得出原網(wǎng)絡(luò)的消息格式、應(yīng)答方式和容錯(cuò)機(jī)制等敏感信息。Ⅱ型攻擊者通過對中繼船舶節(jié)點(diǎn)C的消息進(jìn)行攔截，并向接收船舶節(jié)點(diǎn)B發(fā)送篡改后的虛假消息以完成攻擊目的。Ⅲ型攻擊者通過向接入互聯(lián)網(wǎng)的RAS和AP注入惡意代碼，從而控制網(wǎng)絡(luò)流量。其中，Ⅱ型攻擊者的攻擊模式尤為常見。而基于雙重代理密鑰的門限代理簽名方案為船舶自組網(wǎng)中的消息認(rèn)證提供了一種安全有效的解決方案。

圖2 船舶自組網(wǎng)的攻擊路徑

圖3 船舶自組網(wǎng)代理簽名過程

3 基于雙重代理密鑰的門限簽名方案

船舶自組網(wǎng)中門限代理簽名方案的工作過程如圖3所示。船舶節(jié)點(diǎn)A是原始簽名人，它向代理簽名組中的個(gè)代理船舶節(jié)點(diǎn)發(fā)送授權(quán)密鑰。其中，個(gè)船舶節(jié)點(diǎn)產(chǎn)生子簽名，并交由一個(gè)簽名管理節(jié)點(diǎn)匯總后返回給船舶節(jié)點(diǎn)A。產(chǎn)生簽名和簽名管理的節(jié)點(diǎn)在代理簽名節(jié)點(diǎn)中隨機(jī)選舉，并且整個(gè)簽名過程只有船舶節(jié)點(diǎn)參與其中。參與簽名過程的角色如下所示。

3.1 系統(tǒng)初始化

輸入安全參數(shù)，KGC執(zhí)行如下操作。

3.2 生成用戶私鑰

3.3 生成代理密鑰

代理密鑰由2個(gè)部分組成：1) 原始簽名人對代理簽名人授權(quán)階段產(chǎn)生的授權(quán)密鑰；2) 代理人秘密共享階段產(chǎn)生的共享密鑰。

3.3.1 身份認(rèn)證和授權(quán)密鑰生成階段

3.3.2 共享密鑰生成階段

3.4 門限代理簽名

3.5 門限代理簽名驗(yàn)證

4 方案分析

4.1 正確性分析

定理1 基于雙重代理密鑰的門限代理簽名方案具有正確性。

證明 1) 授權(quán)驗(yàn)證（生成第一重代理密鑰）的正確性

2) 秘密共享（生成第二重代理密鑰）的正確性

3) 簽名驗(yàn)證的正確性

證畢。

4.2 安全性分析

4.2.1 安全模型

4.2.2 強(qiáng)不可偽造性

根據(jù)定義1可知，本文方案是存在性不可偽造的。

定理2 在隨機(jī)預(yù)言機(jī)模型下，如果一個(gè)敵手可以替換任意用戶的長期公鑰，但是不知道系統(tǒng)主密鑰，那么由本文方案對于適應(yīng)性選擇消息攻擊是存在性不可偽造的。

4.2.3 強(qiáng)可鑒別性

4.2.4 強(qiáng)不可否認(rèn)性

4.2.5 防濫用性

4.3 效率分析

4.3.1 計(jì)算復(fù)雜度分析

表1給出了本文方案與其他典型的門限代理簽名方案的計(jì)算復(fù)雜度比較。令exp表示循環(huán)群上的一次乘方運(yùn)算，mul表示循環(huán)群上的一次點(diǎn)乘運(yùn)算，mtp表示一次Map2Point散列運(yùn)算，par表示一次雙線性映射運(yùn)算。文獻(xiàn)[20-22]的exp、mul、mtp和par的運(yùn)行時(shí)間分別為0.46 ms、0.6 ms、3.9 ms和4.9 ms。用表示委任狀的長度，表示用戶的長度，表示簽名消息的長度，表示實(shí)際代理簽名人的數(shù)量，表示代理簽名組所有成員的數(shù)量。稱上述變量為衡量方案計(jì)算復(fù)雜度的系統(tǒng)參數(shù)。從表1不難看出，除本文方案外，其他3種門限代理簽名方案的計(jì)算復(fù)雜度分別與委任狀A(yù)的長度和用戶的長度、參與門限簽名的簽名人個(gè)數(shù)以及簽名消息的長度有關(guān)。這是因?yàn)楸疚姆桨笇、和通過Map2Point散列函數(shù)映射到上，消除了消息長度對計(jì)算復(fù)雜度的影響，同時(shí)增強(qiáng)了安全性。但這種做法在消息長度較短的應(yīng)用場景下會(huì)增加Map2Point散列運(yùn)算的時(shí)間。另外，本文方案在驗(yàn)證簽名時(shí)的計(jì)算復(fù)雜度相對于文獻(xiàn)[20]的方案有較明顯的優(yōu)勢；對于文獻(xiàn)[18-19]的方案，雖然本文方案要多花費(fèi)一次計(jì)算雙線性映射的時(shí)間，但是上述2種方案的計(jì)算復(fù)雜度較容易受到系統(tǒng)參數(shù)（如消息長度和代理簽名人個(gè)數(shù)等）的影響，當(dāng)文獻(xiàn)[18-19]中方案的系統(tǒng)參數(shù)變化時(shí)，方案驗(yàn)證簽名的計(jì)算復(fù)雜度會(huì)隨之波動(dòng)，而本文方案驗(yàn)證簽名的計(jì)算復(fù)雜度較為穩(wěn)定。不可否認(rèn)的是，當(dāng)系統(tǒng)參數(shù)的取值較小時(shí)，文獻(xiàn)[18-19]方案的計(jì)算復(fù)雜度要優(yōu)于本文方案。

4.3.2 通信復(fù)雜度分析

表1 計(jì)算復(fù)雜度比較

表2 通信復(fù)雜度比較

5 結(jié)束語

本文針對船舶自組網(wǎng)的安全通信問題，結(jié)合船舶自組網(wǎng)的特點(diǎn)，提出了一種基于雙重代理密鑰的門限簽名方案。在該方案中，船舶節(jié)點(diǎn)可以在不依賴固定基礎(chǔ)設(shè)施的情況下保障通信安全。分析表明，本文方案在船舶自組網(wǎng)特定的應(yīng)用環(huán)境下具有較低的計(jì)算開銷和通信開銷，并且在保證方案正確性的前提下可以滿足強(qiáng)代理簽名的性質(zhì)。通過隨機(jī)預(yù)言模型的理論分析可以得出，該方案也是抗合謀攻擊的。

[1] SU X, HUI B, CHANG K H. Multi-hop clock synchronization based on robust reference node selection for ship ad-hoc network[J]. Journal of Communications & Networks, 2016, 18(1):65-74.

[2] PAPI F, TARCIH D, VESPE M, et al. Radiolocation and tracking of automatic identification system signals for maritime situational awareness[J]. Radar Sonar & Navigation Iet, 2015, 9(5):568-580.

[3] ZHOU M ,VEEN A J V D. Blind beamforming techniques for automatic identification system using GSVD and tracking[C]// IEEE International Conference on Acoustics, Speech and Signal Processing. 2014: 3012-3016.

[4] YANG J, CHENG Y, CHEN L. The detection probability modeling and application study of satellite-based AIS system[C]// IEEE Information Technology and Artificial Intelligence Conference. 2015: 28-33.

[5] ZHOU M T, HOANG V D, HARADA H, et al. TRITON: high-speed maritime wireless mesh network[J]. IEEE Wireless Communications, 2013, 20(5): 134-142.

[6] YANG T, ZHENG Z, LIANG H, et al. Green energy and content-aware data transmissions in maritime wireless communication networks[J]. IEEE Transactions on Intelligent Transportation Systems, 2015, 16(2): 751-762.

[7] YANG T, LIANG H, CHENG N, et al. Efficient scheduling for video transmissions in maritime wireless communication networks[J]. IEEE Transactions on Vehicular Technology, 2015, 64(9):4215-4229.

[8] HUA C, SHEN Z, LU J. High-efficiency sea-water monopole antenna for maritime wireless communications[J]. IEEE Transactions on Antennas & Propagation, 2014, 62(12): 5968-5973.

[9] LANDY J C, KOMAROV A S, BARBER D G, et al. Numerical and experimental evaluation of terrestrial LiDAR for parameterizing centimeter-scale sea ice surface roughness[J]. IEEE Transactions on Geoscience and Remote Sensing, 2015, 53(9): 4887-4898.

[10] 吳黎兵, 謝永, 張宇波. 面向車聯(lián)網(wǎng)高效安全的消息認(rèn)證方案[J].通信學(xué)報(bào)，2016, 37(11):1-10.

WU L B, XIE Y, ZHANG Y B. Efficient and secure message authentication scheme for VANET [J].Journal on Communications, 2016, 37(11):1-10.

[11] KIM Y B, KIM J H, WANG Y P, et al. Application scenarios of nautical ad-hoc network for maritime communications[C]// IEEE Oceans. 2009: 1-4.

[12] MAMBO M, USUDA K, OKAMOTO E. Proxy signatures: delegation of the power to sign messages[J]. IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences, 1996, 79(9): 1338-1354.

[13] ZHANG F, KIM K. Efficient ID-based blind signature and proxy signature from bilinear pairings[C]//ACISP’2003, LNCS 2727. 2003: 312-323.

[14] QIAN H, CAO Z, XUE Q. Efficient pairing-based threshold proxy signature scheme with known signers[M]. IOS Press, 2005.

[15] WU W, MU Y, SUSLIO W, et al. Identity-based proxy signature from pairings[C]//International Conference on Autonomic and Trusted Computing. 2007:22-31.

[16] LIU J, HUANG S. Identity-based threshold proxy signature from bilinear pairings[M]. IOS Press, 2010.

[17] YANG T, XIONG H, HU J, et al. A traceable certificateless threshold proxy signature scheme from bilinear pairings[C]// Asia-Pacific Web Conference on Web Technologies and Applications. 2011:376-381.

[18] 于義科, 鄭雪峰. 標(biāo)準(zhǔn)模型下基于身份的高效動(dòng)態(tài)門限代理簽名方案[J]. 通信學(xué)報(bào), 2011, 32(8):55-63.

YU Y K, ZHENG X F. ID-based efficient and proactive threshold proxy signature in the standard model[J]. Journal on Communications, 2011, 32(8):55-63.

[19] MENG X, LI Y. A novel verifiable threshold signature scheme based on bilinear pairing in mobile ad hoc network[C]// International Conference on Information and Automation. 2012:361-366.

[20] QIN H, ZHU X, DAI Y. Provably secure identity-based threshold signature on access structure[M]. 2014.

[21] SHAO J, LIN X, LU R, et al. A threshold anonymous authentication protocol for VANETs[J]. IEEE Transactions on Vehicular Technology, 2016, 65(3): 1711-1720.

[22] YEH L Y, LIN Y C. A proxy-based authentication and billing scheme with incentive-aware multihop forwarding for vehicular networks[J]. IEEE Transactions on Intelligent Transportation Systems, 2014, 15(4): 1607-1621.

[23] SHUM K, WEI V K. A strong proxy signature scheme with proxy signer privacy protection[C]// Eleventh IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprises. 2002: 55-56.

[24] KENNEY J B. Dedicated short-range communications (DSRC) standards in the united states[J]. Proceedings of the IEEE, 2011, 99(7): 1162-1182.

[25] HUI B, JEON K H, CHANG K H, et al. Design of radio transmission technologies for VHF band ship ad-hoc network[C]// IEEE International Conference on ICT Convergence.2011: 626-629.

[26] 牛淑芬, 牛靈, 王彩芬, 等. 標(biāo)準(zhǔn)模型下可證明安全的無證書廣義簽密 [J]. 通信學(xué)報(bào), 2017, 38(4):35-45.

NIU S F, NIU L, WANG C F, et al. Certificateless generalized signcryptionscheme in the standard model[J]. Journal on Communications, 2017, 38(4):35-45.

[27] 張華, 溫巧燕, 金正平. 可證明安全算法與協(xié)議[M]. 北京: 科學(xué)出版社, 2012.

ZHANG H, WEN Q Y, JIN Z P. Provable security algorithm and protocol[M]. Beijing: Science Press, 2012.

[28] 馮登國. 可證明安全性理論與方法研究[J]. 軟件學(xué)報(bào), 2005, 16(10):1743-1756.

FENG D G. Research on theory and approach of provable security[J]. Journal of Software, 2005, 16(10): 1743-1756.

Dual-proxy key-based threshold signature scheme for ship ad-hoc network

XU Ming1, LI Xuru1, LIU Chaobin2, MA Yao3

1. College of Information Engineering, Shanghai Maritime University, Shanghai 201306, China 2.Shanghai Key Laboratory of Intelligent Information Processing, Fudan University, Shanghai 200433, China 3. China General Technology Research Institute, Beijing 100085, China

In order to solve the problem of message authentication under the conditions of the ship ad-hoc network (SANET), a signature scheme that does not depend on trusted certificate authorities and tamper-proof devices (TPD) was proposed by using the threshold proxy signature scheme and the properties of bilinear pairings. The proposed scheme used the dual-proxy key and the threshold signature mechanism to enable the ship nodes calculate the message signature in polynomial time. Moreover, the security of the scheme was also proved under the random oracle model. The performance analysis results show that the proposed scheme can meet the requirement of strong proxy signature under the premise of guaranteeing correctness, and has lower computational cost and communication cost.

ship ad-hoc network, dual-proxy key, message authentication, bilinear pairing

TP309

A

10.11959/j.issn.1000?436x.2018115

2017?10?04；

2018?05?25

徐明，mingxu@shmtu.edu.cn

國家自然科學(xué)基金資助項(xiàng)目（No.U1636205）；中國博士后科學(xué)基金資助項(xiàng)目（No.2014M561512）

The National Natural Science Foundation of China (No.U1636205), China Postdoctoral Science Foundation Project (No.2014M561512)

徐明（1977?），男，安徽馬鞍山人，博士，上海海事大學(xué)副教授，主要研究方向?yàn)闊o線通信網(wǎng)絡(luò)、網(wǎng)絡(luò)空間安全等。

李旭如（1995?），女，安徽宣城人，上海海事大學(xué)碩士生，主要研究方向?yàn)闊o線通信網(wǎng)絡(luò)、網(wǎng)絡(luò)空間安全等。

劉朝斌（1985?），男，河南封丘人，復(fù)旦大學(xué)博士生，主要研究方向?yàn)殡[私保護(hù)、計(jì)算機(jī)網(wǎng)絡(luò)安全等。

馬堯（1986?），男，河南許昌人，博士，中國通用技術(shù)研究院工程師，主要研究方向?yàn)榇髷?shù)據(jù)技術(shù)、信息安全等。