1. 引言

智慧城市由智慧治理、智慧出行、智慧生活、智慧环境、智慧经济、智能人6个部分组成 [1]，以云计算为数据储存平台，智能设备为信息交互工具。市民用户可以通过智能设备登录、发送和接受数据信息。例如，在智慧城市中将传感器嵌入到交通系统中，人们可以通过自己的移动设备实时监测所要乘坐交通工具的位置以及满座率等实用信息 [1]。智慧城市是一种城市规划、建设、管理和服务智慧化的新理论和新模式。

无人机称为UAV (英文)，是智慧城市的重要组成部分，是目前应用较为广泛的一种无人驾驶的航空器。无人机配备有比较完善的航拍系统、高清摄像头以及红外热像仪等。无人机的应用较为广泛，种类比较繁多 [2]。为市民提供智能移动和监视，这些无人机将占据低空空域并提供各种服务。无人机包括不同类型的传感器，比如无线电探测和测距传感器、飞行时间(ToF)传感器、光脉冲距离传感器、磁场变化传感器、方向传感器以及热和化学传感器 [3]。并且通过它们之间的协同编队可以支持各种应用 [4] [5] [6]。无人机已经潜移默化地渗透到了人们的日常生活中，随着技术的不断更新，无人机传感器收集的数据面临着新的安全挑战和隐私问题，在无人机网络中，通过无人机上的传感器进行通信和收集数据，然后将数据发送到控制服务器。持有移动设备的用户可以通过控制服务器在特定飞行区域通过其移动设备监控和访问一些无人机。因为数据的传输都处于公开的信道，容易遭到恶意黑客截获和篡改，因此需要一种相互认证方案AKA (Authenticated Key Agreement schemes)，可用于在共享秘密之前验证通信参与者的真实身份，方案中通信实体间可以建立共享密钥，并用其加密传送中的敏感信息。1981年Lamport [7] 提出首个基于可记忆口令的用户身份认证方案。在2016年，Seo [8] 针对智慧城市中无人机通信过程提出了三种适用于不同通信场景的加密方案，允许无人机有效地从数百个智能对象收集数据。在2017年Won等人 [9] 提出了一种高效的无证书签密标签密钥封装机制，该机制支持认证密钥协商、不可否认和用户撤销，减少了在无人机和智能对象之间建立共享密钥所需的时间。在2018年，Cheon等人 [10] 提出了一个实时同态认证加密方案的无人机网络应用。为了处理远程访问和身份验证问题，Srinivas等人 [11] 设计了一个轻量级的身份验证方案，称为TCALAS，是为无人机网络环境设计的。然而，Ali等人 [12] 指出，Srinivas等人 [11] 的模型无法抵抗被盗验证器攻击和用户可追溯性。他们进一步引入了一个被称为iTCALAS的改进方案，以解决这些问题并为无人机网络提供可扩展性。Teng Li等人 [13] 提出了一种基于椭圆曲线的无人机认证机制。此外，Bera等人 [14] 提出了一个基于区块链的方案，以确保无人机网络环境中的通信安全。Ever [15] 提出了一个基于椭圆曲线的无人机网络环境认证框架，在该框架中，无人机被视为WSN物联网应用的移动接收器，旨在提高传感器节点的生命周期和连通性。该方案与无人机技术兼容，能够抵抗密钥泄露假冒攻击和密码猜测攻击。2020年，Nikooghadam等人 [1] 提出了一个可证明安全的轻量级智能城市监控无人机互联网认证方案，该方案中有三个参与者，分别是用户 $U_i$ 、无人机 $V_j$ 和控制服务器CS。在控制服务器的协助下用户 $U_i$ 与无人机 $V_j$ 可以相互认证并建立会话密钥以保证通信安全。他们声称此方案可以抵抗所有攻击，然而通过对方案的分析，我们发现此方案存在许多安全漏洞：不能抵抗假冒攻击、跟踪攻击、假冒用户攻击等。针对此方案的安全问题我们提出一个改进方案，并对改进方案进行了逻辑安全性分析。通过与相关认证方案在计算通信开销和安全属性方面的比较，结果表明改进方案在降低计算量条件下有效地保证了方案的安全高效性。

组织结构

文章第二节回顾Nikooghadam等人方案；第三节对Nikooghadam等人方案存在的安全问题进行分析；第四节提出了改进的新方案；第五节对改进方案进行安全性分析；第六节从性能与安全两方面对比分析相关协议；第七节结束语。

2. Nikooghadam等人方案回顾

首先简单回顾 Nikooghadam等人的方案，此方案包括三个参与者：用户( $U_i$ )，无人机( $V_j$ )和控制中心(CS)。该方案包括6个阶段，分别是建立阶段、用户注册阶段、无人机注册阶段，登录和认证阶段、口令更新阶段以及动态无人机加入阶段。但限于篇幅，本节只回顾重点的系统建立阶段，用户以及无人机注册阶段，用户登录以及用户与无人机相互认证阶段。本文所用到的符号及意义如表1所示。

2.1. 系统建立

在这个阶段，控制服务器CS，选一个大素数p，自己的私钥 $s\in Z_p$，并选取椭圆曲线 $E_p\left(a,b\right)$ 和该椭圆曲线上的一个基点P，有限域为 $Z_p$，选取单向哈希函数 $h:{\left\{\text{0,1}\right\}}^{*}\to {\left\{\text{0,1}\right\}}^l$，公开系统的参数 $\left\{E_p\left(a,b\right),p,P,h(\cdot )\right\}$ 以及保密自己的私钥 $s\in Z_p$。

2.2. 无人机注册阶段

无人机 $V_j$ 通过下面的步骤向控制服务器CS注册：

1) $V_j$ 选取身份值 $I{D}_j$ 并且通过安全信道传给CS。

2) CS收到注册请求，检查 $I{D}_j$，选择随机数 $a_j\in Z_p$，计算， $PI{D}_j=h\left(a_j\left|\right|I{D}_j\right)$， $Ke{y}_j=h\left(I{D}_j\left|\right|s\left|\right|a_j\right)$，将 $\left(I{D}_j,PI{D}_j,Ke{y}_j\right)$ 存在数据库中，并向 $V_j$ 发送 $\left\{I{D}_j,PI{D}_j,ke{y}_j,h(\cdot )\right\}$， $V_j$ 收到 $\left\{I{D}_j,PI{D}_j,ke{y}_j,h(\cdot )\right\}$ 后并保存起来。

2.3. 用户注册阶段

用户 $U_i$ 通过如下步骤向控制服务器CS注册：

1) 用户 $U_i$ 选择自己的身份值 $I{D}_i$ 和口令 $P{W}_i$。他的移动设备选择一个随机数 $d_i\in Z_p$，计算 $pp{w}_i=h\left(h\left(I{D}_i\left|\right|d_i\right)\oplus h\left(P{W}_i\left|\right|d_i\right)\right)$，并通过安全信道向CS发送 $\left\{I{D}_i,pp{w}_i\right\}$。

2) 当CS接收到 $\left\{I{D}_i,pp{w}_i\right\}$ 后，CS选择两个随机数 $f_i,q_i\in Z_p$，并计算：

$FI{D}_i=h\left(I{D}_i\left|\right|f_i\right)$， $K_i=h\left(FI{D}_i\left|\right|s\left|\right|q_i\right)$， $A_i=h\left(FI{D}_i\left|\right|pp{w}_i\left|\right|f_i\left|\right|K_i\right)$， $B_i=h\left(A_i\left|\right|FI{D}_i\right)$ CS存储 $\left(I{D}_i,FI{D}_i,K_i\right)$，并向用户 $U_i$ 通过安全信道发送 $\left\{f_i,K_i,B_i,h(\cdot )\right\}$。

3) 用户 $U_i$ 存储 $\left\{d_i,f_i,K_i,B_i,h(\cdot )\right\}$ 于移动设备中。

2.4. 登录与认证阶段

1) 用户 $U_i$ 向移动设备输入 $I{D}_i,P{W}_i$，用户的移动设备计算 $pp{w}_i^{*}=h\left(h\left(I{D}_i\left|\right|d_i\right)\oplus h\left(P{W}_i\left|\right|d_i\right)\right)$， $FI{D}_i^{*}=h\left(I{D}_i\left|\right|f_i\right)$， $A_i^{*}=h\left(FI{D}_i^{*}\left|\right|pp{w}_i^{*}\left|\right|f_i\left|\right|K_i\right)$， $B_i^{\text{*}}=h\left(A_i^{*}\left|\right|FI{D}_i^{*}\right)$ 移动设备检查 $B_i^{\text{*}}$ 是否与 $B_i$ 相等，如果不相等则就中止会话。

用户 $U_i$ 移动设备选择时间戳 $T_1$ ( $T_1$ 为用户当前时刻)，随机数 $z_i\in Z_p$，并计算 $A{1}_i=h\left(T_1\left|\right|FI{D}_i\left|\right|K_i\right)$，通过公开信道向CS发送 $\left\{T_1,z_{i}P,A{1}_i,FI{D}_i,PI{D}_j\right\}$。

2) CS收到 $\left\{T_1,z_{i}P,A{1}_i,FI{D}_i,PI{D}_j\right\}$ 信息后，检查时间戳： $\left|T_2-T_1\right|\le \Delta T$，如果时间戳有效，CS根据 $FI{D}_i$ 从数据库中提取 $\left(I{D}_i,FI{D}_i,K_i\right)$ 并计算 $A{1^{\prime }}_i=h\left(T_1\left|\right|FI{D}_i\left|\right|K_i\right)$，检查 $A{1^{\prime }}_i$ 是否与 $A{1}_i$ 相等？如果不相等则终止会话，若相等，CS计算 $K_{ij}=K_i\oplus ke{y}_j$， $A{2}_i=h\left(PI{D}_j\left|\right|ke{y}_j\left|\right|I{D}_j\left|\right|K_i\right)$。CS通过公开信道向 $V_j$ 发送 $\left\{A{2}_i,T_2,z_{i}P,PI{D}_j,k_i{}_j,FI{D}_i\right\}$。

3) $V_j$ 收到 $\left\{A{2}_i,T_2,z_{i}P,PI{D}_j,k_i{}_j,FI{D}_i\right\}$ 后， $V_j$ 首先检查时间戳 $T_{\text{2}}$，通过 $\left|T_3-T_2\right|\le \Delta T$，如果满足条件，计算 $K_i=K_{ij}\oplus ke{y}_j$， $A{2}_j=h\left(PI{D}_j\left|\right|ke{y}_j\left|\right|I{D}_j\left|\right|K_i\right)$，然后检查 $A{2}_i$ 是否与 $A{\text{2}}_j$ 相等，如果不相等则终止会话。如果相等 $V_j$ 选择一个随机数 $g_j\in Z_p$，并计算 $s{k}_j=h\left(I{D}_j\left|\right|g_j{z}_{i}P\left|\right|K_i\left|\right|FI{D}_i\right)$， $Aut{h}_j=h\left(s{k}_j\left|\right|FI{D}_i\left|\right|T_3\left|\right|K_i\right)$，最后 $V_j$ 通过公开信道向用户 $U_i$ 发送 $\left\{g_{j}P,T_3,Aut{h}_j\right\}$。

4) 当用户 $U_i$ 接收到 $\left\{g_{j}P,T_3,Aut{h}_j\right\}$，首先检查时间戳，通过 $\left|T_4-T_3\right|\le \Delta T$，如果满足条件， $U_i$ 计算 $s{k}_i=h\left(I{D}_j\left|\right|z_i{g}_{j}P\left|\right|K_i\left|\right|FI{D}_i\right)$， $Aut{h}_i=h\left(s{k}_i\left|\right|FI{D}_i\left|\right|T_3\left|\right|K_i\right)$，用户的移动设备检查 $Aut{h}_i$ 是否等于 $Aut{h}_j$，如果相等， $U_i$ 认证了 $V_j$。如果不相等，则终止会话。

3. Nikooghadam等人方案的安全分析

3.1. 跟踪攻击

在Nikooghadam等人方案的用户 $U_i$ 注册过程中，CS计算 $U_i$ 的伪身份 $FI{D}_i=h\left(I{D}_i\left|\right|f_i\right)$，而在整个方案中， $FI{D}_i$ 是固定不变的。所以，当一个攻击者截获用户的登录信息 $\left\{T_1,z_{i}P,A{1}_i,FI{D}_i,PI{D}_j\right\}$ 后，攻击者可以由此信息中 $FI{D}_i$ 追踪用户的访问行为。

3.2. 假冒无人机攻击

当 $U_i$ 与 $V_j$ 进行相互认证时，在登录与认证阶段的第3步， $V_j$ 可以通过计算 $K_i=K_{ij}\oplus ke{y}_j$ 获得用户 $U_i$ 的秘密值 $K_i$。如果 $U_i$ 下一次想要与 $V_e$ 进行通信，恶意的服务器 $V_j$ 可以假冒无人机 $V_e$ 欺骗用户 $U_i$。具体步骤如下：

1) 恶意服务器 $V_j$ 可以通过用户登录消息 $\left\{T_{\text{1}},Z_{i}P,A{1}_i,FI{D}_i,PI{D}_e\right\}$ 中的 $FI{D}_i$ 来跟踪 $U_i$，并截获由CS向 $V_e$ 传输的信息 $\left\{A{2}_i,T_2,z_{i}P,PI{D}_e,k_i{}_e,FI{D}_i\right\}$，再计算 $ke{y}_e=K_{ie}\oplus K_i$。

2) $V_j$ 随机选择 $r_e\in Z_p$，接着计算 $s{k^{\prime }}_e=h\left(I{D}_e\left|\right|r_e{z}_{i}P\left|\right|K_i\left|\right|FI{D}_i\right)$， $Aut{h^{\prime }}_e=h\left(s{k}_e\left|\right|FI{D}_i\left|\right|T_3\left|\right|K_i\right)$，并向用户 $U_i$ 传送 $\left\{r_{e}P,T_3,Aut{h}_e\right\}$。

3) $U_i$ 收到此信息后，计算 $s{k}_i=h\left(I{D}_e\left|\right|z_i{r}_{e}P\left|\right|K_i\left|\right|FI{D}_i\right)$， $Aut{h}_i=h\left(s{k}_i\left|\right|FI{D}_i\left|\right|T_3\left|\right|K_i\right)$，并验证 $Aut{h}_i$ 与 $Aut{h^{\prime }}_e$ 是否相等？显然，它们是相等的。于是， $V_j$ 成功假冒了 $V_e$。

3.3. 假冒用户攻击

当 $U_i$ 与 $V_j$ 完成一次相互认证过程， $V_j$ 可以获得与用户私密相关并且固定不变的 $K_i$，并存下 $\left(K_i,FI{D}_i\right)$。如果 $U_i$ 要与 $V_e$ 进行通信，恶意无人机 $V_j$ 会假冒用户 $U_i$ 欺骗无人机 $V_e$。具体步骤如下：

1) 恶意无人机 $V_j$ 通过跟踪用户登录消息 $\left\{T_{\text{1}},Z_{i}P,A{1}_i,FI{D}_i,PI{D}_j\right\}$ 中的 $FI{D}_i$ 来判定 $U_i$ 的行为动向，然后选取 ${z^{\prime }}_i\in Z_p$ 并生成登录信息 $\left\{T_1,{z^{\prime }}_{i}P,A{1}_i,FI{D}_i,PI{D}_e\right\}$ 冒充用户 $U_i$，然后将登录信息发送给控制服务器CS。

2) CS收到 $\left\{T_1,{z^{\prime }}_{i}P,A{1}_i,FI{D}_i,PI{D}_e\right\}$ 后，CS根据 $FI{D}_i$ 从数据库中提取 $\left(I{D}_i,FI{D}_i,K_i\right)$ 并计算 $A{1^{\prime }}_i=h\left(T_1\left|\right|FI{D}_i\left|\right|K_i\right)$，检查 $A{1^{\prime }}_i$ 是否与 $A{1}_i$ 相等?再计算 $K_{ie}=K_i\oplus ke{y}_e$， $A{2}_i=h\left(PI{D}_e\left|\right|ke{y}_e\left|\right|I{D}_e\left|\right|K_i\right)$。CS通过公开信道向 $V_l$ 发送 $\left\{A{2}_i,T_2,{z^{\prime }}_{i}P,PI{D}_e,k_i{}_e,FI{D}_i\right\}$。

3) $V_l$ 收到 $\left\{A{2}_i,T_2,{z^{\prime }}_{i}P,PI{D}_e,k_i{}_e,FI{D}_i\right\}$ 后，计算 $K_i=K_{ie}\oplus ke{y}_e$， $A{2}_e=h\left(PI{D}_e\left|\right|ke{y}_e\left|\right|I{D}_e\left|\right|K_i\right)$，然后检查 $A{2}_i$ 是否与 $A{\text{2}}_e$ 相等？如果不相等则终止会话。如果相等 $V_l$ 选择一个随机数 $g_e\in Z_p$，并计算 $s{k^{\prime }}_e=h\left(I{D}_e\left|\right|g_e{z^{\prime }}_{i}P\left|\right|K_i\left|\right|FI{D}_i\right)$， $Aut{h^{\prime }}_e=h\left(s{k}_e\left|\right|FI{D}_i\left|\right|T_3\left|\right|K_i\right)$，最后 $V_e$ 通过公开信道向用户 $U_i$ 发送 $\left\{g_{e}P,T_3,Aut{h}_e\right\}$。

4) 当恶意无人机 $V_j$ 截获 $\left\{g_{e}P,T_3,Aut{h}_e\right\}$ 后， $V_j$ 根据存下的 $K_i$ 和自己选取的 ${z^{\prime }}_i\in Z_p$，计算 $s{k^{\prime }}_i=h\left(I{D}_e\left|\right|{z^{\prime }}_i{g}_{e}P\left|\right|K_i\left|\right|FI{D}_i\right)$， $Aut{h^{\prime }}_i=h\left(s{k}_i\left|\right|FI{D}_i\left|\right|T_3\left|\right|K_i\right)$。并验证 $Aut{h^{\prime }}_i$ 与 $Aut{h^{\prime }}_e$ 是否相等？显然，它们是相等的。于是， $V_j$ 成功假冒了用户 $U_i$。

4. 改进方案

针对Nikooghadam 等人的方案存在的不能抵抗跟踪攻击、假冒用户攻击、假冒无人机攻击的问题。我们通过更新与用户相关的重要信息，提出一个改进的安全认证和密钥协商方案，所提改进方案包括三个实体分别是用户 $U_i$，无人机 $V_j$，控制服务器CS，改进方案包括四个阶段分别是：用户注册阶段，无人机注册阶段，用户登录阶段以及相互认证密钥协商阶段。

4.1. 用户注册阶段

用户 $U_i$ 通过如下步骤向控制服务器CS注册：

1) 用户 $U_i$ 选择自己的身份值 $I{D}_i$ 和口令 $P{W}_i$。他的移动设备选择一个随机数 $r_{\text{1}}\in Z_p$，计算 $pp{w}_i=h\left(h\left(I{D}_i\left|\right|r_{\text{1}}\right)\oplus h\left(P{W}_i\left|\right|r_{\text{1}}\right)\right)$，并通过安全信道向CS发送 $\left\{I{D}_i,PP{W}_i\right\}$。

2) 当CS接收到 $\left\{I{D}_i,PP{W}_i\right\}$ 后，CS选择一个随机数 $r_{\text{2}},r_3\in Z_p$，并计算： $FI{D}_i=h\left(I{D}_i\left|\right|r_{\text{2}}\right)$， $K_i=h\left(FI{D}_i\left|\right|s\left|\right|r_3\right)$， $A_i=h\left(FI{D}_i\left|\right|PP{W}_i\left|\right|r_2\left|\right|K_i\right)$ 和 $B_i=h\left(A_i\left|\right|FI{D}_i\right)$。当上述计算完成后，CS存储 $\left\{I{D}_i,FI{D}_i,K_i\right\}$，并将 $\left\{r_2,K_i,B_i,h(\cdot )\right\}$ 通过安全信道发送给用户 $U_i$， $U_i$ 收到此消息后将 $\left\{r_1,r_2,K_i,B_i,h(\cdot )\right\}$ 存储到移动设备中。

4.2. 无人机注册阶段

无人机 $V_j$ 通过下面的步骤向控制服务器CS注册：

1) $V_j$ 选择身份值 $I{D}_j$，并通过安全信道将 $I{D}_j$ 发送给CS。

2) CS收到 $I{D}_j$ 后，选择一个随机数 $a_j\in Z_p$，并计算 $PI{D}_j=h\left(I{D}_j\left|\right|a_j\right)$， $ke{y}_j=h\left(PI{D}_j\left|\right|I{D}_j\left|\right|s\left|\right|a_j\right)$，CS存储 $\left\{I{D}_j,PI{D}_j,ke{y}_j\right\}$ 于数据库里。CS将 $\left\{I{D}_j,PI{D}_j,ke{y}_j,h(\cdot )\right\}$ 通过安全信道传送给 $V_j$， $V_j$ 收到 $\left\{I{D}_j,PI{D}_j,ke{y}_j,h(\cdot )\right\}$ 后并存储。

4.3. 用户登录阶段

1) 在此阶段，用户 $U_i$ 想要成功登录 $V_j$，首先需要在移动设备中输入 $I{D}_i,P{W}_i$，移动设备收到后则进行以下计算： $pp{w}_i^{\text{*}}=h\left(h\left(I{D}_i\left|\right|r_{\text{1}}\right)\oplus h\left(P{W}_i\left|\right|r_{\text{1}}\right)\right)$， $FI{D}_i^{\text{*}}=h\left(I{D}_i\left|\right|r_{\text{2}}\right)$， $A_i^{*}=h\left(FI{D}_i^{*}\left|\right|PP{W}_i^{*}\left|\right|r_2\left|\right|K_i\right)$ 和 $B_i^{*}=h\left(A_i^{*}\left|\right|FI{D}_i^{*}\right)$。最后，用户的移动设备检验 $B_i^{*}?=B_i$，如果条件成立，表示用户 $U_i$ 的身份和口令 $I{D}_i,P{W}_i$ 通过了移动设备的验证。

2) 用户 $U_i$ 的移动设备选择时间戳 $T_1$ 和一个随机数 $r_4\in Z_p$，计算 $A{1}_i=h\left(FI{D}_i\left|\right|K_i\left|\right|T_1\right)$，并将 $\left\{A{1}_i,FI{D}_i,r_{4}P,PI{D}_j,T_1\right\}$ 通过公开信道传送给CS。

4.4. 认证与密钥协商阶段

在此阶段，用户 $U_i$ 与无人机 $V_j$ 在CS的协助下实现相互认证，建立一个会话密钥SK，SK用于用户 $U_i$ 与无人机 $V_j$ 完成未来保密通信。具体步骤如下：

1) CS收到登录信息后，首先通过 $\left|T_1-T_1^{*}\right|\le \Delta T$，检查时间戳 $T_1$，其中 $T_1^{*}$ 是CS收到信息的当前时间戳。如果条件成立，CS通过 $FI{D}_i$ 检索到 $\left\{I{D}_i,FI{D}_i,K_i\right\}$，并计算 $A{1^{\prime }}_i=h\left(FI{D}_i\left|\right|K_i\left|\right|T_1\right)$，验证 $A{1^{\prime }}_i?=A{1}_i$，如果条件不成立，CS则终止会话，否则CS选择一个随机数 $r_{\text{5}}\in Z_p$，计算： $FI{D}_i^n=h\left(I{D}_i\left|\right|r_5\right)$， $CI{D}_i=FI{D}_i^n\oplus h\left(K_i\text{||}I{D}_j\right)$， $A{2}_i=h\left(FI{D}_i^n\left|\right|K_i\right)$， $K_{ij}=h\left(K_i\left|\right|I{D}_j\right)\oplus ke{y}_j$， $A{\text{3}}_i=h\left(PI{D}_j\left|\right|ke{y}_j\left|\right|I{D}_j\left|\right|h\left(K_i\left|\right|I{D}_j\right)\right)$。CS存储 $\left\{FI{D}_i^n\right\}$ 于数据库中并将 $\left\{A{2}_i,T_2,r_{4}P,PI{D}_j,K_{ij},CI{D}_{i}A{\text{3}}_i\right\}$ 通过公开信道传送给 $V_j$。

2) $V_j$ 收到信息后，首先通过 $\left|T_2-T_2^{*}\right|\le \Delta T$，检查时间戳 $T_2$，其中 $T_2^{*}$ 是 $V_j$ 收到信息的当前时间戳，如果验证通过， $V_j$ 计算： $h\left(K_i\left|\right|I{D}_j\right)=K_{ij}\oplus ke{y}_j$， $A{3}_j=h\left(PI{D}_j\left|\right|ke{y}_j\left|\right|I{D}_j\left|\right|h\left(K_i\left|\right|I{D}_j\right)\right)$， $FI{D}_i^n=CI{D}_i\oplus h\left(K_i\left|\right|I{D}_j\right)$。 $V_j$ 检验 $A{\text{3}}_j?=A{\text{3}}_i$，如果验证通过，则表明可信机构CS身份认证成功。

3) $V_j$ 选择一个随机数 $r_{\text{6}}\in Z_p$，计算会话密钥 $S{K}_j=h\left(I{D}_j\left|\right|r_6{r}_{4}P\left|\right|h\left(K_i\left|\right|I{D}_j\right)\left|\right|FI{D}_i^n\right)$ 和验证信息 $Aut{h}_j=h\left(S{K}_j\left|\right|FI{D}_i^n\left|\right|T_3\left|\right|A{2}_i\right)$，最后 $V_j$ 将当前有效信息 $\left\{r_{\text{6}}P,T_3,Aut{h}_j,CI{D}_i\right\}$ 通过公开信道发送给用户 $U_i$。

4) $U_i$ 收到上述信息后首先检查时间戳 $T_3$，通过 $\left|T_{\text{3}}-T_{\text{3}}^{*}\right|\le \Delta T$，其中 $T_{\text{3}}^{*}$ 是 $U_i$ 收到信息的当前时间戳，如果条件成立， $U_i$ 则计算 $FI{D}_i^n{}^{\prime }=CI{D}_i\oplus h\left(K_i\left|\right|I{D}_j\right)$， $A{2^{\prime }}_i=h\left(FI{D}_i^n\left|\right|K_i\right)$ 以及会话密钥和验证信息 $S{K}_i=h\left(I{D}_j\left|\right|r_4{r}_{6}P\left|\right|h\left(K_i\left|\right|I{D}_j\right)\left|\right|FI{D}_i^n{}^{\prime }\right)$， $Aut{h}_i=h\left(S{K}_i\left|\right|FI{D}_i^n\left|\right|T_3\left|\right|A{2^{\prime }}_i\right)$。最后 $U_i$ 验证 $Aut{h}_j?=Aut{h}_i$，若两者不相等， $U_i$ 则中止会话，用户与无人机通信失败；若验证通过，则表明用户认证无人机 $V_j$。从上述步骤分析，可以得出 $S{K}_i=S{K}_j$，用户 $U_i$ 与无人机 $V_j$ 相互认证并建立会话密钥。

5. 改进方案的安全性分析

5.1. 抵抗跟踪攻击

在改进方案中的每一次会话过程中，即使攻击者截获 $\left\{A{2}_i,T_2,r_{4}P,PI{D}_j,K_{ij},CI{D}_{i}A{\text{3}}_i\right\}$ 和 $\left\{r_{\text{6}}P,T_3,Aut{h}_j,CI{D}_i\right\}$，也无法通过计算并获得 $FI{D}_i^n=CI{D}_i\oplus h\left(K_i\left|\right|I{D}_j\right)$。并且CS计算的 $FI{D}_i^n=h\left(I{D}_i\left|\right|r_5\right)$ 是动态变化的，其中参数 $r_{\text{5}}$ 在每一次会话中随机产生的，每次会话选取的随机数不同，用户每次发起的会话都不相同。在不同的会话过程中用户的伪身份 $FI{D}_i$ 是不同的，用户的行为轨迹不能被攻击者追踪。通过以上分析，改进方案成功实现了抵抗跟踪攻击。

5.2. 抵抗假冒无人机攻击

根据本文5.1改进方案抵抗跟踪攻击，所以恶意无人机 $V_j$ 无法再通过原方案中存在于消息 $\left\{A{\text{3}}_i,T_2,z_{i}P,PI{D}_j,k_{ij},FI{D}_i\right\}$ 和 $\left\{T_1,z_{i}P,A{1}_i,FI{D}_i,PI{D}_j\right\}$ 中的 $FI{D}_i$ 判断用户 $U_i$ 下一步要与哪个无人机通信。并且恶意无人机 $V_j$ 与用户 $U_i$ 完成一次通信获得了仅能获得 $h\left(K_i\left|\right|I{D}_j\right)$。即使截获了用户 $U_i$ 与 $V_l$ 通信过程中的信息 $\left\{A{2}_i,T_2,r_{4}P,PI{D}_l,K_{il},CI{D}_i\right\}$，也无法通过 $ke{y}_l=h\left(K_i\left|\right|I{D}_l\right)\oplus K_{il}$ 计算得到无人机 $V_l$ 秘密值 $ke{y}_l$，更无法假冒无人机计算会话密钥SK。综上所述，改进方案成功实现了抵抗假冒无人机攻击。

5.3. 抵抗假冒用户攻击

根据本文5.1的改进方案可以抵抗跟踪攻击，攻击者无法根据 $FI{D}_i$ 跟踪用户的行为轨迹。并且恶意无人机 $V_j$ 与用户 $U_i$ 完成一次通信并仅可获得 $h\left(K_i\left|\right|I{D}_j\right)$，每次会话 $h\left(K_i\left|\right|I{D}_j\right)$ 都是不同的。攻击者再无法获得 $P{W}_i,r_1$ 的情况下，无法计算有效的登录请求 $\left\{A{1}_i,FI{D}_i,r_{4}P,PI{D}_j,T_1\right\}$，无法假冒合法用户登录相应的实体。所以改进方案成功实现抵抗假冒用户攻击。

6. 改进方案的比较

在本节中，就安全属性和计算成本两方面对改进方案同Nikooghadam等人方案进行对比分析。表2和表3分别显示了安全属性和计算成本的比较结果。从表2来看，改进的方案在安全性方面远优于Nikooghadam [1] [15] [16] [17] [18] 等人的方案。此外，从表3中，Nikooghadam [1] [16] [17] [18] [19] 等人的方案的总计算成本分别是23H+4X、30H+16X、32H+18X、33H+16X、44H+25X，而改进的方案的总计算成本是34H+7X。虽然计算成本高于原方案，但是改进方案可以抵抗各种攻击。综合分析得出改进方案在没有增加很多计算成本基础上保证了通信的安全性。

F1：相互认证；F2：用户匿名性；F3：抵抗假冒可信机构攻击；F4：抵抗重放攻击；F5：抵抗密钥泄露攻击；F6：抵抗跟踪攻击；F7：抵抗假冒用户攻击；F8：抵抗假冒传感器攻击；F9：支持完全前向保密；F10：抵抗内部攻击。

P1：注册阶段；P2：登陆阶段；P3：认证阶段和密钥协商阶段；P4：总计算成本；H：哈希计算及时间成本；X：XoR操作及时间成本。

7. 结束语

本文首先分析了Nikooghadam等人的方案，指出其方案不能抵抗跟踪攻击、假冒无人机攻击、假冒用户攻击。为了消除以上安全缺陷，本人通过更新与用户相关的重要信息，提出了一个改进的面向智慧城市监控的无人机网络身份认证方案。并且通过逻辑分析对方案进行了安全证明。与现有的无人机相关的身份认证协议在计算开销以及安全属性方面进行了比较，结果表明本文方案的计算量相对比较低，且满足了所有的安全属性，适用于资源受限且安全性要求高的无线传感网络领域的应用。然而，今后还需要在保证方案的安全性的同时降低计算量以及研究设计适用于多服务器多网关环境下的身份认证方案等方面做进一步研究。

参考文献