基于属性认证的无人机访问控制方法
【技术领域】
[0001] 本发明属于信息安全技术领域,特别设及无人机访问控制方法,可用于在多无人 机通信场景下的认证接入。
【背景技术】
[0002] 具有自主飞行能力的无人机,可用于执行航拍、勘测、自主侦察和自动攻击等任 务,具有广泛的应用和科学研究价值,运也使其成为世界上多个国家科研机构的研究热点。 在整个无人机自主系统中,通信系统是飞行控制系统的重要组成部分,担负着各种飞行状 态信息和任务载荷数据的采集与传送,W便用地面监控系统对无人机的飞行状态进行监 控,安全可靠地完成飞行任务。
[0003] 在无人机通信系统的基础上,由无人机、预警机组成的机群及卫星所探测到的数 据具有很高的科学和应用价值,有时还具有很重大的战略价值。进入机群的无人机必须经 过授权才能访问卫星数据,如何有效的保证授权无人机对于数据的合法访问而阻止非授权 无人机的恶意访问是无人机通信和认证系统亟需解决的问题。
[0004] 专利"一种基于激光量子密码通信的无人机输变电监测系统"(申请号为 201210063134.9)实现了智能化巡检及电器设备状态监测和故障检测,保证了输电线路和 变电站的安全性。该系统主要应用于无人机中的输变电监测,无法保证无人机对数据的合 法访问。专利"无人机的安全管控系统及方法"(申请号为201510242490.0)通过管控系统监 测无人机的异常状况,更侧重于无人机主体数据的参数、指令等信息监测,没有考虑无人机 和预警机、卫星等组成机群时的整体安全。
[0005] 访问控制机制可W有效的保护网络数据与资源的安全,实现无人机的授权数据访 问,是多无人机资源共享系统重要的安全保障措施之一,也是无人机通信网络应该提供的 基本安全服务之一。
[0006] 由于无人机通信网络通信链路和通信时延的特殊要求,其访问控制机制需要较少 的信息交互次数W及较高的信息保密度。此外,无人机或预警机具有很强的移动性,会在多 个卫星主体的覆盖范围内切换,如何实现有效的切换也是无人机通信网络访问控制机制需 要考虑的问题之一。
[0007] 传统的访问控制采用基于身份或者基于角色的粗粒度访问控制机制,例如目前使 用密码学方案的访问控制就是基于角色的粗粒度访问控制机制中的一种,该机制可W分为 两大类:基于对称秘钥技术的访问控制机制和基于公钥技术的访问控制机制。运些成熟的 访问控制机制针对的都是单一的封闭式网络,而如何将运些控制机制用在新兴的传感器网 络和物联网是目前的研究热点。
[000引对于大规模开放式的网络环境,特别是W无人机、预警机、卫星和地面站所组成的 无人机通信系统,其访问控制机制目前尚未有较好的研究成果。由于通信系统的主体具有 多种不同的类型,其通信方式、数据格式、安全需求等都不尽相同,大量不同的用户需要频 繁的进行信息交互,且对通信时延具有严格的要求,传统的访问控制方法是不能适应运样 复杂的环境。
【发明内容】
[0009] 本发明的目的在于提出一种基于属性认证的无人机访问控制方法,W实现对复杂 环境的无人机通信系统的控制。
[0010] 为实现上述目的,本发明的技术方案包括如下:
[0011] (1)对无人机通信网络进行初始化:
[0012] la)选取两个素数阶的乘法循环群Gi和G2,其中Gi和G2的阶均用P表示,且Gi为双线 性群,Gi的生成元用g表示,双线性映射Gi X Gi^G2用e表示;
[001引化)地面站生成公私钥对Pggs I Sggs,公钥Pgg拥所有的卫星、预警机和无人机公开, 私钥Sees由地面站秘密保管,用来对无人机的属性签名;
[0014] Ic)卫星主体和无人机主体的属性总数用N表示,所有属性的集合用Α={1,2,···Ν} 表示,无人机和卫星的属性集合分别用Auav和As表示;
[00巧]Id)系统预设属性Π 限值d,d为常量且满足cKmin{ IAuavUAsI };
[0016] le)地面站为每一个属性生成属性私钥tieZp,i = l,2,…N,并将属性私钥预装入 预警机,其中Zp是由整数环Z对P取模得到的余环;
[0017] If)地面站为卫星主体生成鳳性力幡密钥集写=gV E 4 ;
[001引Ig)地面站用私钥Sggs对无人机属性集进行签名,无人机得到自己的属性证书八_ certuAv;
[0019] 化)预警机为自己的监控区域生成区域私钥yeZp,并为区域内的卫星主体生成主 体私钥 Y = e(g,g)y;
[0020] (2)无人机向当前机群的预警机申请注册,实现认证接入:
[0021] 无人机首先向预警机提交自己的属性证书,预警机用系统公钥化GS验证无人机属 性证书是否合法,如果合法,则选取Zp上的d-1次多项式q(i)且满足q(0)=y,并计算属性解 密密钥集合
预警机将由两个乘法循环群、双线性映射和属性解密密钥的 运四元组祐1,62,6,〇1〉发送给无人机;否则,预警机不响应无人机的请求;
[0022] (3)无人机向当前机群范围的卫星主体发起数据访问请求,完成数据访问:
[0023] 3a)无人机将数据请求和属性证书如6〇11631:,4_。6的1^¥〉提交给卫星,卫星根据无 人机的属性证书检验是否满足cK IAuavRAsI :如果满足,则卫星主体确定应答数据M,选择 一次性随机数seZp并选取集合r C年W ΠΛ,且I W| =d,计算应答数据的密文E0=MYSW及 属性加密密钥的密文Ei = TiS,i eW,并将密文组<W,Eo,Ki}〉发送给无人机;否则,卫星不响 应无人机的请求,其中YS表示卫星私钥的密文,符号I表示交集,表示子集;
[0024] 3b)无人机收到卫星的密文组后,计算拉格朗日系数
得到应答数 据:
[0025]本发明具有W下优点:
[00%] 1.实现了无人机对机群的认证接入。
[0027]无人机进入某机群时,需要先向当前机群的预警机提交属性证书,预警机通过验 证属性证书的合法性判断是否响应该无人机请求,从而完成无人机的认证接入。
[00%] 2.实现了灵活的细粒度访问控制。
[0029] 无人机将自身属性作为访问卫星数据的依据,地面控制中屯、在网络初始化时为无 人机颁发不同的属性证书,W实现不同的细粒度访问授权。
[0030] 3.实现了无人机对卫星数据的匿名性访问。
[0031] 无人机访问卫星数据时无需向卫星主体证明自己的身份而只需出示属性集合,当 无人机拥有的属性满足系统预设的口限条件时,才可W解密来自卫星节点的数据。
[0032] 综上,本发明实现了卫星和机群数据的机密性,保证了无人机系统的通信安全。
【附图说明】
[0033] 图1是本发明使用的无人机通信系统场景图;
[0034] 图2是本发明的实现过程图;
[0035] 图3是本发明实现过程中的网络初始化阶段流程图;
[0036] 图4是本发明实现过程中的认证阶段流程图;
[0037] 图5是本发明实现过程中的数据访问阶段流程图。
【具体实施方式】
[0038] W下结合附图对本发明进行详细描述:
[0039] 参照图1,本发明使用的无人机通信系统由无人机、预警机、卫星和地面站四部分 组成,其中无人机是访问控制的主体,将自身属性作为访问卫星数据的依据,其属性指的是 可W对无人机进行区分的特性;预警机是无人机机群的中屯、,对其监测区域内的无人机提 供属性认证功能,并执行对卫星的监测任务;卫星为无人机提供数据服务,其探测到的数据 是访问控制的客体;地面站是整个无人机通信网络的基础,提供整体的监测和控制。各主体 之间的关系为:无人机之间可W通过卫星或预警机进行通信;预警机和无人机可W组成一 个机群,系统中存在若干运样的机群;一个无人机可W随意加入和离开某个机群;无人机或 机群可W在不同卫星之间进行切换,无人机或预警机可W通过卫星与地面站通信。
[0040] 无人机进入通信网络之前,首先向地面控制站申请包含自身属性信息的属性数字 证书;无人机进入某机群时,需要向当前机群的预警机提交自己的属性数字证书W认证其 属性,该预警机为无人机生成访问该监测区域内卫星主体数据的属性解密密钥;认证完成 后,无人机向卫星主体发起数据请求,卫星主体根据属性集合判断是否满足口限条件,如果 满足,将加密后的应答数据发送给无人机;否则,卫星主体不进行响应。
[0041] 参照图2,本发明使用上述系统进行访问控制的方法,包括网络初始化,认证接入 和数据访问Ξ个阶段。其中网络初始化主要设及地面站、预警机和卫星;认证接入设及无人 机和预警机;数据访问设及无人机和卫星。具体描述如下:
[0042] 步骤1,无人机通信网络进