空地协同被认为是未来车联网的新形态，将无人机(unmanned aerial vehicle, UAV)与网联车协同，能够灵活地扩展地面空间^[1]，打造高数据、低时延的数据链，构建应急救援、感知增强、车辆按需覆盖等协同应用场景. 开放的无线信道通信容易遭受重放、修改、节点捕获等攻击^[2]，造成交通瘫痪和事故. 同时，车辆与无人机通信过程涉及车辆用户的身份信息，攻击者很可能收集车辆发送的历史信息并进行分析与跟踪^[3]. 如何实现车辆与无人机可靠的身份认证，同时保护用户隐私不被泄露，是亟待解决的问题.

在实际应用场景中，由于制造车辆和无人机的厂商不同，车辆与无人机可能会配置不同的密码体制. 此外，车辆与无人机对应的监管体系不同也会导致设备出现不同的密码体制，如公钥基础设施(public key infrastructure, PKI)密码体制^[4]，基于身份密码体制(identity-based cryptosystem, IBC)^[5]和无证书密码体制(certificateless cryptosystem, CLC)^[6]. 不同密码体制由不同管理机构提供支持服务，认证机制各不相同，在这种情况下实现车辆与无人机的异构认证是具有挑战性的工作. 电池续航问题限制着无人机的应用^[7]，逐渐下降的电量将导致无人机无法长时间飞行^[8]. 无人机电池的续航能力与执行操作的复杂性密切相关^[9]. 无人机在认证过程中进行的多次交互和复杂度较高的计算会增加无人机的能量消耗，减少电池续航. 无人机执行身份验证操作虽然是必要步骤，但是不应该消耗过大的能量.

本研究提出适用于空地协同场景的车辆与无人机异构认证方案，通过设计切换认证协议，降低无人机在认证过程中的能量消耗，采用模糊提取器与身份令牌设计假名生成方法来保护用户的隐私：设计基于Schnorr签名和物理不可克隆函数(physical unclonable function, PUF)的高效异构认证协议，实现无需第三方参与的车辆与无人机间的双向异构认证与密钥协商；设计基于模糊提取器和身份令牌的车辆假名生成方法，车辆可以按需生成假名而不依赖可信中心，当发现恶意车辆时，注册中心能够追溯车辆的真实身份，形成有条件的隐私保护；设计基于密钥共享的车辆与无人机间的切换认证协议，通过减少不必要的计算来降低认证过程中无人机的能量消耗.

随着无人机技术和商业无人机产品的成熟，空地协同场景中的安全认证问题备受关注. Zhang等^[10]将无人机作为偏远山区的移动路边单元(road side unit, RSU)，提出无人机辅助车辆的匿名认证与密钥协商协议，采用混合加密方法和第三方控制中心在认证过程中进行辅助验证，实现了认证的安全性与车辆身份的隐私；但该协议无法保证车辆与无人机的物理安全. Tan等^[11]提出高效的无人机无证书组认证方案，在无基础设施的情况下完成了对无人机群组的安全认证，通过部署系留无人机作为特定的移动基站并使用中国剩余定理(Chinese remainder theorem)，实现了可靠高效的无人机组密钥生成；然而，该方案无法从无人机的临时身份获得真实身份，不具备有条件的隐私保护. Son等^[12]提出基于区块链技术的无人机与RSU安全认证方案，通过区块链存储无人机伪身份的哈希值，RSU可以通过检索相应的事务进行无人机身份验证，使用PUF防止无人机被物理捕获攻击；但该方案无法从无人机的伪身份中追溯其真实身份. Khan等^[13]提出基于超椭圆曲线密码加密与哈希函数的身份验证方案，实现了无人机间的认证，使用超椭圆曲线密码加密技术降低了认证中的计算开销；但该方案没有达到对无人机有条件的隐私保护，也没有考虑无人机可能面临的物理攻击.

现有空地协同场景的安全认证方案基于安全、认证效率，大多在同一密码体制下解决安全认证问题，没有考虑在现实场景中车辆与无人机可能处于不同密码体制下的异构认证情况，不适用于空地协同中的异构认证场景. 此外，这些认证方案不能同时达到有条件的隐私保护和认证实体的物理安全.

空地协同场景属于物联网环境中的一部分，物联网中的设备不仅种类多，而且差异较大，因此不同类型的密码体制可能会部署在不同的实体中^[14]. 为了解决物联网环境中不同密码体制中的认证问题，学者们提出了许多解决方案. Ali等^[15]提出可证明安全的基于双线性配对的异构认证方案，实现了使用CLC的车辆与使用PKI密码体制的车辆之间的异构认证；采用批量验证方法，使接收车辆能够在高交通流量的区域同时验证多个消息的签名，加快了验证过程. Xiong等^[16]提出基于代理重签名的高效工业物联网异构认证协议，实现了属于IBC的传感器与属于CLC的用户之间的异构认证；将云服务器作为中间代理，把传感器的签名转化为云服务器的签名. Pan等^[17]提出无人机与地面基站之间的异构认证与密钥协商方案，实现了属于IBC的无人机与属于PKI密码体制的地面基站之间的认证；改进了Diffie–Hellman密钥协商协议^[18]，实现了安全高效的异构认证. Li等^[19]提出基于签名加密的异构认证与密钥协商方案，实现了属于IBC的客户端与属于PKI密码体制的服务器之间的异构认证，在移动客户端与服务器场景中达到较低的计算与通信成本.

上述方案都解决了物联网场景中不同密码体制间的异构认证的问题，但是没有采用轻量级的算法或优化的认证机制，因此不适用于计算资源与电池能量都有限的无人机.

如图1所示，空地协同场景的系统模型由密钥生成中心(key generation center, KGC)、地面基站(ground station, GS)、无人机和车辆4个部分组成. 1) KGC是完全可信单位，配置CLC；KGC负责车辆的注册，当出现恶意车辆时，KGC可以揭露车辆的真实身份. 2) GS作为无人机的密钥与证书生成中心，是完全可信单位，配置PKI密码体制；GS负责无人机的注册和维护无人机的运行. 3)无人机是半可信且能量有限的通信设备，采用PKI密码体制，有一定的计算和存储能力，可能会被物理捕获. 4)车辆采用CLC，配备的车载单元(on board unit, OBU)与无人机进行通信，车辆有一定的计算和存储能力.

为了满足空地协同场景下的安全要求，所提方案须达到的安全目标如下. 1) 相互认证：在车辆与无人机进行通信之前，双方都能确认对方身份的合法性. 2) 身份匿名性：为了保障车辆的隐私，攻击者不能从车辆发送的消息或者车辆的伪身份中识别车辆的真实身份. 3) 会话密钥协商：为了确保车辆在未来与无人机交互过程中发送的信息的保密性，在相互认证过程中，车辆与无人机须为下次通信创建对称密钥. 4) 可追溯性：只有车辆的注册中心KGC可以通过车辆的伪身份获得车辆的真实身份. 5) 不可链接性：为了保证车辆的隐私，攻击者不能把任意2条消息与同一车辆联系起来. 6) 抵抗多种常见攻击：攻击者不能通过传统的攻击达到攻击目的，例如克隆攻击、物理攻击、中间人攻击和重放攻击等.

如图2所示，空地协同场景下具有隐私保护的高效异构认证方案流程主要分为5个阶段：初始化、无人机注册、车辆注册、车辆与无人机间异构认证与密钥协商、基于密钥共享的切换认证.

KGC选择有限域$ {F}_{n} $上的椭圆曲线的循环加法群$ G $. KGC选择安全的哈希函数$ {h}_{i},i= \mathrm{1,2},\cdots,15 $，GS选择$ {s}_{\mathrm{G}\mathrm{S}}\in {Z}_{q}^{*} $作为GS的私钥并计算出对应的公钥$ {P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{G}\mathrm{S}}={s}_{\mathrm{G}\mathrm{S}}\cdot P $，其中$ {Z}_{q}^{*} $为有限域，q为群的阶，$ P $为群的生成元. KGC选择$ {s}_{\mathrm{K}\mathrm{G}\mathrm{C}}\in {Z}_{q}^{*} $作为KGC的私钥并计算出KGC对应的公钥$ {P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{K}\mathrm{G}\mathrm{C}}={s}_{\mathrm{K}\mathrm{G}\mathrm{C}}\cdot P $. KGC选择参数为$ \left(\psi ,m,\phi ,t\right)\mathrm{的} $模糊提取器^[20]，其中$ \psi $为模糊提取器的输入空间，$ t $为每次输入的最大差值，$ m $和$ \phi $为模糊提取器的熵损失，生成模糊提取器的生成函数$ {F}_{{\mathrm{Gen}}}\left(\right) $和恢复函数$ {F}_{{\mathrm{Rep}}}\left(\right) $. KGC发布系统公开参数$ \{{P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{G}\mathrm{S}},{P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{K}\mathrm{G}\mathrm{C}},{F}_{{\mathrm{Gen}}}(),{F}_{{\mathrm{Rep}}}(),G,q,P, {h}_{i}\} $.

无人机进入系统前应在地面基站GS注册. 1)无人机$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $选择自己的唯一身份标识$ {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}} $，向GS发送$ {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}} $和注册请求RR进行注册. 2)在收到$ {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}} $和RR后，GS先检查$ {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}} $是否注册和其合法性，再为无人机生成私钥$ {\mathrm{s}\mathrm{k}}_{\mathrm{u}} $并计算对应的公钥$ {\mathrm{P}\mathrm{K}}_{\mathrm{u}}={\mathrm{s}\mathrm{k}}_{\mathrm{u}}\cdot P $，选择随机数$ {x}_{\mathrm{u}}\in {Z}_{q}^{*} $，计算$ {X}_{\mathrm{u}}={x}_{\mathrm{u}}\cdot $P；GS计算$ {y}_{\mathrm{u}}={x}_{\mathrm{u}}+{s}_{\mathrm{G}\mathrm{S}}{h}_{1}({\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {X}_{u}\parallel {\mathrm{P}\mathrm{K}}_{\mathrm{u}}) $作为$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $的证书，其中$ \parallel $为连接符号，生成无人机的共享密钥值$ {k}_{\mathrm{u}\mathrm{a}\mathrm{v}} $；GS把$ \{{\mathrm{s}\mathrm{k}}_{\mathrm{u}},{\mathrm{P}\mathrm{K}}_{\mathrm{u}},{y}_{\mathrm{u}},{X}_{\mathrm{u}},{k}_{\mathrm{u}\mathrm{a}\mathrm{v}}\} $通过安全信道发送给$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $. 3)在收到信息后，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $先验证$ {y}_{\mathrm{u}}\cdot P= {X}_{\mathrm{u}}+{P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{G}\mathrm{S}}{h}_{1}({\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {X}_{\mathrm{u}}\parallel {\mathrm{P}\mathrm{K}}_{\mathrm{u}}) $是否成立. 若验证失败，则丢弃信息；若验证通过，则保留信息. $ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $生成PUF的挑战值$ {C}_{\mathrm{u}} $，计算响应值$ {R}_{\mathrm{u}}= \mathrm{P}\mathrm{U}\mathrm{F}\left({C}_{\mathrm{u}}\right) $、$ {s}_{\mathrm{u}}={h}_{2}\left({R}_{\mathrm{u}}\right) \oplus {\mathrm{s}\mathrm{k}}_{\mathrm{u}} $和$ {k}_{\mathrm{u}}={h}_{2}\left({R}_{\mathrm{u}}\right) \oplus {k}_{\mathrm{u}\mathrm{a}\mathrm{v}} $，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $在本地保存$ \{{s}_{\mathrm{u}},{k}_{\mathrm{u}},{\mathrm{P}\mathrm{K}}_{\mathrm{u}},{y}_{\mathrm{u}},{X}_{\mathrm{u}},{C}_{\mathrm{u}}\} $.

车辆进入系统前应在KGC注册. 1)车辆$ {{V}}_{i} $先选择自己的唯一身份标识$ {\mathrm{I}\mathrm{D}}_{i} $，再利用模糊提取器的生成函数生成$ ({K}_{i},{\mathrm{R}\mathrm{e}}_{i})={F}_{{\mathrm{Gen}}}\left({\mathrm{I}\mathrm{D}}_{i}\right) $，其中$ {K}_{i} $为车辆的身份令牌，$ {\mathrm{R}\mathrm{e}}_{i} $为车辆身份令牌的恢复信息，$ {{V}}_{i} $选择假名身份$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i}\in \psi $，$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i} $满足$ \mathrm{d}\mathrm{i}\mathrm{s}\;({\mathrm{P}\mathrm{I}\mathrm{D}}_{i}, {\mathrm{I}\mathrm{D}}_{i}) < t $，表示每次选择假名与唯一身份标识的误差小于$ t $. 车辆身份令牌的生成与恢复流程如图3所示. $ {{V}}_{i} $选择$ {x}_{i}\in {Z}_{q}^{*} $，计算$ {X}_{i}={x}_{i}\cdot P $，生成注册请求RR，车辆把$ \{{K}_{i},{\mathrm{R}\mathrm{e}}_{i},{X}_{i},{\mathrm{P}\mathrm{I}\mathrm{D}}_{i},{\mathrm{I}\mathrm{D}}_{i},\mathrm{R}\mathrm{R}\} $通过安全信道发送给KGC. 2)在收到$ {V}_{i} $的消息后，KGC先检查$ {\mathrm{I}\mathrm{D}}_{i} $的合法性，再利用模糊提取器的恢复函数恢复$ {K}_{i}^{{'}}= {F}_{{\mathrm{Rep}}}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i},{\mathrm{R}\mathrm{e}}_{i}) $检查$ {K}_{i}^{{'}} $=$ {K}_{i} $是否成立. 若不通过，则拒绝注册申请；若通过，则进行后续注册. KGC选择$ {c}_{i}\in {Z}_{q}^{*} $，计算$ {B}_{i}={c}_{i}\cdot P $和$ {b}_{i}={c}_{i}+{s}_{\mathrm{K}\mathrm{G}\mathrm{C}}{h}_{3} ({X}_{i}\parallel {K}_{i}\parallel {B}_{i}) $，其中$ {B}_{i} $为$ {{V}}_{i} $的部分公钥，$ {b}_{i} $为$ {{V}}_{i} $的部分私钥，将{$ {K}_{i},{\mathrm{I}\mathrm{D}}_{i} $}存储在本地，$ \{{B}_{i},{b}_{i}\} $通过安全信道发送给$ {{V}}_{i} $. 3)在收到KGC发来的信息后，$ {{V}}_{i} $先验证$ {b}_{i}\cdot P= {B}_{i}+{P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{K}\mathrm{G}\mathrm{C}}{h}_{3}({X}_{i}\parallel {K}_{i}\parallel {B}_{i}) $是否成立. 若不通过，则丢弃；若通过，则保留. $ ({x}_{i},{b}_{i}) $为$ {{V}}_{i} $的私钥$ {\mathrm{S}\mathrm{K}}_{i} $，$ ({X}_{i},{B}_{i}) $为$ {{V}}_{i} $的公钥$ {\mathrm{P}\mathrm{K}}_{i} $. $ {{V}}_{i} $生成PUF的挑战值$ {C}_{i}^{1} $并计算响应值$ {R}_{i}^{1}=\mathrm{P}\mathrm{U}\mathrm{F}\left({C}_{i}^{1}\right) $，车辆计算$ {s}_{i1}={h}_{2}\left({R}_{i}^{1}\right) \oplus {x}_{i} $和$ {s}_{i2}={h}_{2}\left({R}_{i}^{1}\right) \oplus {b}_{i} $，$ {{V}}_{{i}} $把{$ {s}_{i1} $,$ {s}_{i2} $,$ {\mathrm{P}\mathrm{K}}_{i} $, $ {C}_{i}^{1} $}保存在车辆内.

当$ {{V}}_{i} $驶入$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $的通信范围并向$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $请求服务时，车辆与无人机进行异构的身份认证以获取实时的车联网服务，认证过程描述如下.

1)$ {{V}}_{i} $选择$ {a}_{i}\in {Z}_{q}^{*} $，$ {{V}}_{i} $生成时间戳$ {T}_{i}^{1} $，计算$ {A}_{i}= {a}_{i}\cdot P $，$ {{V}}_{i} $在假名取值空间内选择$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1} $，其中$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1} $满足$ \mathrm{d}\mathrm{i}\mathrm{s}\;({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},{\mathrm{I}\mathrm{D}}_{i}) < t $. $ {{V}}_{i} $利用PUF挑战值$ {C}_{i}^{1} $，生成响应值$ {R}_{i}^{1}=\mathrm{P}\mathrm{U}\mathrm{F}\left({C}_{i}^{1}\right) $，$ {{V}}_{i} $生成挑战值$ {C}_{i}^{2} $，$ {{V}}_{i} $利用PUF挑战值$ {C}_{i}^{2} $生成响应值$ {R}_{i}^{2}=\mathrm{P}\mathrm{U}\mathrm{F}\left({C}_{i}^{2}\right) $，$ {{V}}_{i} $计算$ {v}_{i}=({\mathrm{R}\mathrm{e}}_{i}\parallel {R}_{i}^{2}) \oplus {h}_{4}({a}_{i}\cdot {\mathrm{P}\mathrm{K}}_{\mathrm{u}}) $，其中$ {\mathrm{R}\mathrm{e}}_{i} $为模糊提取器的恢复参数，$ {\mathrm{P}\mathrm{K}}_{\mathrm{u}} $为$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $的公钥，计算$ {x}_{i}= {h}_{2} \left({R}_{i}^{1}\right) \oplus {s}_{i1} $和$ {b}_{i} = {h}_{2}\left({R}_{i}^{1}\right) \oplus {s}_{i2}、{\beta }_{i} = {h}_{5}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {A}_{i}\parallel {X}_{i}\parallel {B}_{i} \parallel {T}_{i}^{1}\parallel {C}_{i}^{2})， $ 生成签名$ {\sigma }_{i}={x}_{i}+{b}_{i}+{a}_{i}{\beta }_{i} $，$ {{V}}_{i} $向$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $发送认证信息$ {L}_{1}=\{{v}_{i},{\sigma }_{i},{T}_{i}^{1},{\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},{A}_{i}\} $.

2)在收到$ {L}_{1} $后，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $先验证时间戳$ {T}_{i}^{1} $的新鲜度，再生成时间戳$ {T}_{\mathrm{u}}^{1} $，计算$ {R}_{\mathrm{u}}=\mathrm{P}\mathrm{U}\mathrm{F}\left({C}_{\mathrm{u}}\right) $，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $恢复自己的私钥和共享秘密值$ {\mathrm{s}\mathrm{k}}_{\mathrm{u}}={s}_{\mathrm{u}} \oplus {h}_{2}\left({R}_{\mathrm{u}}\right) $和$ {k}_{\mathrm{u}\mathrm{a}\mathrm{v}}={k}_{\mathrm{u}} \oplus {h}_{2}\left({R}_{\mathrm{u}}\right) $. $ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $计算$ {\mathrm{R}\mathrm{e}}_{i}\parallel {R}_{i}^{2}={v}_{i} \oplus {h}_{4}({\mathrm{s}\mathrm{k}}_{\mathrm{u}}\cdot {A}_{i}) $，恢复出车辆的标识$ {K}_{i}={F}_{{\mathrm{Rep}}}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},{\mathrm{R}\mathrm{e}}_{i}) $，验证$ {\beta }_{i}= {h}_{5}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {A}_{i}\parallel {X}_{i}\parallel {B}_{i}\parallel {T}_{i}^{1}\parallel {K}_{i}) $是否成立，同时验证$ {\sigma }_{i}\cdot P={X}_{i}+{B}_{i}+{P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{K}\mathrm{G}\mathrm{C}}\cdot {h}_{3}({X}_{i}\parallel {K}_{i}\parallel {B}_{i})+{A}_{i}\cdot {\beta }_{i} $. 如果验证不通过，$ {\mathrm{则}\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $拒绝$ {\mathrm{V}}_{i} $的认证请求；否则，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $选择$ {w}_{\mathrm{u}} \in {Z}_{q}^{*} $，计算$ {W}_{\mathrm{u}} = {w}_{\mathrm{u}}\cdot P $、$ {\alpha }_{\mathrm{u}} = {h}_{6}({W}_{\mathrm{u}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{\mathrm{u}}^{1} \parallel {\mathrm{P}\mathrm{K}}_{\mathrm{u}}) $，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $生成签名$ {\sigma }_{\mathrm{u}}={w}_{\mathrm{u}}+({\mathrm{s}\mathrm{k}}_{\mathrm{u}}+{y}_{\mathrm{u}}){\alpha }_{\mathrm{u}} $. $ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $将消息$ {L}_{2}=\{{\sigma }_{\mathrm{u}},{T}_{\mathrm{u}}^{1},{W}_{\mathrm{u}},{X}_{\mathrm{u}}\} $发送给$ {{V}}_{i} $.

3)在收到$ {L}_{2} $后，$ {{V}}_{i} $先检查时间戳$ {T}_{u}^{1} $，再生成时间戳$ {T}_{i}^{2} $，计算$ {\alpha }_{\mathrm{u}}={h}_{6}({W}_{\mathrm{u}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{\mathrm{u}}^{1}\parallel {\mathrm{P}\mathrm{K}}_{\mathrm{u}}) $，验证$ {\sigma }_{\mathrm{u}}\cdot P={W}_{\mathrm{u}}+({\mathrm{P}\mathrm{K}}_{\mathrm{u}}+{X}_{u}+{P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{G}\mathrm{S}}{h}_{1}(\mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {X}_{\mathrm{u}}\parallel {\mathrm{P}\mathrm{K}}_{\mathrm{u}}\left)\right){\alpha }_{\mathrm{u}} $是否成立. 如果验证不通过，则$ {{V}}_{i} $终止认证过程；否则，$ {{V}}_{i} $计算出会话密钥$ {\mathrm{S}\mathrm{K}}_{i\mathrm{u}}={h}_{7}({a}_{i}\cdot {W}_{\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {R}_{i}^{2}) $，同时计算出$ {\gamma }_{i}={h}_{13}({\mathrm{S}\mathrm{K}}_{i\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {T}_{\mathrm{u}}^{1}) $，$ {{V}}_{i} $发送消息$ {L}_{3}=\{{\gamma }_{i},{T}_{i}^{2}\} $给$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $.

4)在收到$ {L}_{3} $后，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $先检查时间戳$ {T}_{i}^{2} $的新鲜度，再生成时间戳$ {T}_{\mathrm{u}}^{2} $，计算会话密钥$ {\mathrm{S}\mathrm{K}}_{\mathrm{u}i}={h}_{7}({w}_{\mathrm{u}}\cdot {A}_{i}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {R}_{i}^{2}) $，验证$ {\gamma }_{i}={h}_{13}({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {T}_{\mathrm{u}}^{1}) $是否成立，若验证通过，则完成密钥协商. $ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $选择$ {n}_{\mathrm{u}}\in {Z}_{q}^{*} $，计算$ {N}_{\mathrm{u}}={n}_{\mathrm{u}}\cdot P $，生成签名$ {\sigma }_{i\mathrm{u}}={h}_{9}\left({h}_{8}\right({\mathrm{S}\mathrm{K}}_{\mathrm{u}i})\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {N}_{\mathrm{u}}){\mathrm{s}\mathrm{k}}_{\mathrm{u}}+{n}_{\mathrm{u}} $，计算出$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{u}}={\mathrm{P}\mathrm{I}\mathrm{D}}_{i1} \oplus h({k}_{\mathrm{u}\mathrm{a}\mathrm{v}}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $和$ {E}_{i\mathrm{u}}={h}_{8}\left({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\right) \oplus {h}_{10} ({k}_{\mathrm{u}\mathrm{a}\mathrm{v}}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $，再计算加密密文$ {M}_{1}={\mathrm{E}\mathrm{N}}_{{\mathrm{S}\mathrm{K}}_{\mathrm{u}i}}({N}_{\mathrm{u}}\parallel {\sigma }_{i\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{u}}\parallel {E}_{i\mathrm{u}}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{\mathrm{u}}^{2}) $，计算$ {M}_{2}={h}_{11}({M}_{1}\parallel {\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\parallel {T}_{\mathrm{u}}^{2}) $，把$ {L}_{4}=\{{M}_{1},{M}_{2},{T}_{\mathrm{u}}^{2}\} $发送给$ {{V}}_{i} $.

5)收到$ {L}_{4} $后，$ {{V}}_{i} $先验证时间戳$ {T}_{{\mathrm{u}}}^{2} $的新鲜度，再解密密文$ {\mathrm{D}\mathrm{E}}_{{\mathrm{S}\mathrm{K}}_{i\mathrm{u}}}\left({M}_{1}\right)=({N}_{\mathrm{u}}\parallel {\sigma }_{i\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{u}}\parallel {E}_{i\mathrm{u}}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{{\mathrm{u}}}^{2}) $，验证$ {M}_{2}={h}_{11}({M}_{1}\parallel {\mathrm{S}\mathrm{K}}_{i\mathrm{u}}\parallel {T}_{\mathrm{u}}^{2}) $. 若验证通过，则保留信息，否则丢弃.

当无人机收到多个车辆的认证请求时，无人机可以对车辆进行批量验证，若无人机验证等式$ \displaystyle{\sum} _{i=1}^{n}{\sigma }_{i}\cdot P = \displaystyle{\sum} _{i=1}^{n}{X}_{i}+\displaystyle{\sum} _{i=1}^{n}{B}_{i}+ \displaystyle{\sum} _{i=1}^{n}{h}_{3}({X}_{i}\parallel {K}_{i}\parallel {B}_{i})\cdot {P}_{\mathrm{p}\mathrm{u}\mathrm{b}}^{\mathrm{K}\mathrm{G}\mathrm{C}}+ $ $ \displaystyle{\sum} _{i=1}^{n}{A}_{i}\cdot {\beta }_{i} $. 若通过，则无人机对这批车辆的身份完成认证，再进行密钥协商；若不通过，则无人机对每个车辆的请求进行单独验证.

$ {{V}}_{i} $在完成第一次身份认证后，进入另一无人机$ \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{j}} $的通信范围，在$ \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{j}} $进行认证时，设计切换认证协议，无人机间通过共享的密钥$ {k}_{\mathrm{u}\mathrm{a}\mathrm{v}} $完成认证信息的传递，认证流程如下.

1)$ {{V}}_{i} $生成当前时间戳$ {T}_{i}^{3} $，计算$ {M}_{3}={h}_{12}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{u}}\parallel {E}_{i\mathrm{u}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{3}\parallel {\sigma }_{i\mathrm{u}}\parallel {N}_{\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{i\mathrm{u}}\left)\right)， $$ {{V}}_{i} $选择$ {d}_{j} \in {Z}_{q}^{*} $，计算$ {M}_{4}={h}_{13}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{i\mathrm{u}}\left)\right) \oplus {d}_{i} $. $ {{V}}_{i} $发送$ {L}_{5}= \{\mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}},{\sigma }_{i\mathrm{u}},{N}_{\mathrm{u}},{T}_{i}^{3},{M}_{3},{\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{u}},{E}_{i\mathrm{u}},{M}_{4}\} $给需要请求认证服务的$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $.

2)在收到$ {{V}}_{i} $发来的$ {L}_{5} $后，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $先对时间戳$ {T}_{i}^{3} $的新鲜度进行验证，生成时间戳$ {T}_{\mathrm{j}}^{1} $，计算$ {R}_{\mathrm{j}}={\mathrm{PUF}} \left({C}_{\mathrm{j}}\right) $，利用$ {R}_{j} $计算$ {\mathrm{s}\mathrm{k}}_{\mathrm{j}}={s}_{\mathrm{j}} \oplus {h}_{2}\left({R}_{\mathrm{j}}\right) $和$ {k}_{{\mathrm{uav}}}={k}_{\mathrm{j}} \oplus {h}_{2} \left({R}_{\mathrm{j}}\right) $，再计算$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}={\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{u}} \oplus {h}_{10}({k}_{\mathrm{u}\mathrm{a}\mathrm{v}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $和$ {h}_{8}\left({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\right)\;=\; {E}_{i\mathrm{u}} \oplus {h}_{10}({k}_{\mathrm{u}\mathrm{a}\mathrm{v}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $验证$ {M}_{3}={h}_{12}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{u}}\parallel {E}_{i\mathrm{u}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{3}\parallel {\sigma }_{i\mathrm{u}}\parallel {N}_{\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\left)\right) $是否成立，验证签名是否成立$ {\sigma }_{i\mathrm{u}}\cdot P={h}_{9}\left({h}_{8}\right({\mathrm{S}\mathrm{K}}_{\mathrm{u}i})\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {N}_{\mathrm{u}})\cdot {\mathrm{P}\mathrm{K}}_{\mathrm{u}}+{N}_{\mathrm{u}} $. 若验证不通过，$ {\mathrm{则}\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $拒绝$ {{V}}_{i} $的认证请求；否则，通过认证请求. $ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $选择$ {w}_{\mathrm{j}}\in {Z}_{q}^{*} $，计算$ {d}_{i}={M}_{4} \oplus {h}_{13}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\left)\right) $，生成会话密钥$ {\mathrm{S}\mathrm{K}}_{\mathrm{j}i}={h}_{14}({d}_{i}\parallel {w}_{\mathrm{j}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{j}}\parallel {T}_{\mathrm{j}}^{1}) $.

3)$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $选择$ {n}_{\mathrm{j}}\in {Z}_{q}^{*} $，计算$ {N}_{\mathrm{j}}={n}_{\mathrm{j}}\cdot P $，生成签名$ {\sigma }_{i\mathrm{j}} = {h}_{9}\left({h}_{8}\right({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}) \parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}{ \parallel \mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{j}} \parallel {N}_{\mathrm{j}}){\mathrm{s}\mathrm{k}}_{\mathrm{j}}+{n}_{\mathrm{j}} $，计算$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{j}} = {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1} \;\oplus\; {h}_{10}({k}_{\mathrm{u}\mathrm{a}\mathrm{v}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}})\; $和$ {E}_{i\mathrm{j}}\;=\;{h}_{8}\left({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\right) \;\oplus\; {h}_{10}({k}_{\mathrm{u}\mathrm{a}\mathrm{v}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $计算加密密文$ {M}_{5} = {{\mathrm{EN}}}_{{\mathrm{S}\mathrm{K}}_{\mathrm{j}i}}({N}_{\mathrm{j}}\parallel {\sigma }_{i\mathrm{j}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{j}}\parallel {E}_{i\mathrm{j}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{j}}\parallel {T}_{\mathrm{j}}^{1}) $和$ {M}_{6}={h}_{13}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{\mathrm{u}i}\left)\right) \oplus {w}_{\mathrm{j}} $，计算$ {M}_{7}={h}_{15}({M}_{5}\parallel {M}_{6}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{\mathrm{u}i})\parallel {T}_{\mathrm{j}}^{1}\parallel {\mathrm{S}\mathrm{K}}_{\mathrm{j}i}) $，$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $把$ {L}_{6}= \{{M}_{5}, {M}_{6},{M}_{7},{T}_{\mathrm{j}}^{1}\} $发送给$ {{V}}_{i} $.

4)在收到$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{j}} $发来的$ {L}_{6} $后，$ {{V}}_{i} $先验证时间戳$ {T}_{\mathrm{j}}^{1} $是否有效，再计算$ {w}_{\mathrm{j}}={M}_{6} \oplus {h}_{13}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{i\mathrm{u}}\left)\right) $和会话密钥$ {\mathrm{S}\mathrm{K}}_{i\mathrm{j}}={h}_{14}({d}_{i}\parallel {w}_{\mathrm{j}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{j}}\parallel {T}_{\mathrm{j}}^{1}) $，对密文进行解密计算$ {{\mathrm{DE}}}_{{{\mathrm{SK}}}_{i\mathrm{j}}}\left({M}_{5}\right)=({N}_{\mathrm{j}}\parallel {\sigma }_{i\mathrm{j}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i\mathrm{j}}\parallel {E}_{i\mathrm{j}}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{j}}\parallel {T}_{\mathrm{j}}^{1}) $，验证$ {M}_{7} = {h}_{15}({M}_{5}\parallel {M}_{6}\parallel {h}_{8}({\mathrm{S}\mathrm{K}}_{i\mathrm{u}})\parallel {T}_{\mathrm{j}}^{1}\parallel {\mathrm{S}\mathrm{K}}_{i\mathrm{j}}) $是否成立. 若验证通过，则完成切换认证过程；否则，认证失败.

本研究所提方案利用动态假名保护车辆的隐私信息. 当车辆出现恶意行为时，揭露其真实身份信息并进行撤销. 在所提方案中只有KGC可以对车辆的真实身份进行追溯，当KGC发现车辆有恶意行为时，利用对应车辆的假名$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i} $和$ {R}_{i} $，计算$ {K}_{i}={F}_{{\mathrm{Rep}}}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i},{R}_{i}) $，结合本地的车辆注册信息表$ < K,\mathrm{I}\mathrm{D} > $得到车辆的真实身份.

BAN逻辑^[21]被广泛应用于认证协议的形式化证明，为此使用BAN逻辑证明车辆与无人机异构认证密钥协商协议的安全性.

　 1)$ \mathrm{P}|\equiv {\mathrm{X}} $：$ \mathrm{P} $相信消息X的真实性.

2)$ {\mathrm{P}} \triangleleft {\mathrm{X}} $：$ \mathrm{P} $曾收到过一条包含X的消息.

3)$ \mathrm{P}|\sim\mathrm{X} $：P在某个时间发送过包含X的消息.

4)$ \mathrm{P}|\Rightarrow \mathrm{X} $：P拥有对信息X的管辖权.

5)$ \#\left(\mathrm{X}\right) $：消息X是新鲜的.

6)$ < \mathrm{M}{ > }_{\mathrm{Y}} $：使用密钥Y对消息M进行加密.

7)$ \mathrm{P}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{Q} $：SK是P和Q之间的共享密钥.

8)$ \mathrm{P}|\equiv \stackrel{{\mathrm{K}}_{\mathrm{Q}}}{\to }\mathrm{Q} $：P相信$ {{\mathrm{K}}}_{{\mathrm{Q}}} $是Q的公钥.

9)$ (\mathrm{X},\mathrm{Y}) $：X和Y是消息$ (\mathrm{X},\mathrm{Y}) $的一部分.

使用6个BAN逻辑规则.

1）消息含义规则（message-meaning rule）：如果P相信K是P与Q之间的共享密钥，并收到使用密钥K加密的消息X，则P相信Q曾发送过X，$ \dfrac{\mathrm{P}|\equiv \mathrm{P}\stackrel{\mathrm{K}}{\leftrightarrow }\mathrm{Q},\mathrm{P} \triangleleft \mathrm{ } < \mathrm{X}{ > }_{\mathrm{K}}}{\mathrm{P}|\equiv \mathrm{Q}|\sim\mathrm{X}} $.

2）消息签名规则（message-signature rule）：如果P相信Q的公钥，同时消息X使用Q的私钥通过安全的签名方案进行签名，则P相信Q曾发送过消息X，$ \dfrac{\mathrm{P}|\equiv \stackrel{{\mathrm{K}}_{\mathrm{Q}}}{\to }\mathrm{Q},\mathrm{P} \triangleleft < \mathrm{X}{ > }_{{\mathrm{K}}_{\mathrm{Q}}^{-1}}}{\mathrm{P}|\equiv \mathrm{Q}|\sim\mathrm{X}} $.

3）Nonce验证规则（nonce verification rule）：如果P相信X是新鲜的，并且P相信Q曾发送过M，则P相信Q相信X，$ \dfrac{\mathrm{P}|\equiv \#(\mathrm{X}),\mathrm{P}|\equiv \mathrm{Q}|\sim\mathrm{X}}{\mathrm{P}|\equiv \mathrm{Q}|\equiv \mathrm{X}} $.

4）管辖权规则（jurisdiction rule）：如果P相信Q对X有管辖权，同时P相信Q相信X，则P相信X，$ \dfrac{\mathrm{P}|\equiv \mathrm{Q}|\Rightarrow \mathrm{X},\mathrm{P}|\equiv \mathrm{Q}|\equiv \mathrm{X}}{\mathrm{P}|\equiv \mathrm{X}} $.

5）信念规则（belief rule）：如果P相信Q相信消息$ (\mathrm{X},\mathrm{Y}) $，则P相信Q相信X，$ \dfrac{\mathrm{P}|\equiv \mathrm{Q}|(\mathrm{X},\mathrm{Y})}{\mathrm{P}|\equiv \mathrm{Q}|\equiv \mathrm{X}} $.

6）新鲜度规则（freshness rule）：如果P相信消息$ (\mathrm{X},\mathrm{Y}) $中的一部分X是新鲜的，那么P相信消息$ (\mathrm{X},\mathrm{Y}) $也是新鲜的，$ \dfrac{\mathrm{P}|\equiv \#(\mathrm{X})}{\mathrm{P}|\equiv \#(\mathrm{X},\mathrm{Y})} $.

基于BAN逻辑安全分析，车辆与无人机的异构认证满足以下4个目标.

目标1：$ \mathrm{V}|\equiv (\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}) $.

目标2：$ \mathrm{V}|\equiv \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \left(\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}\right) $.

目标3：$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv (\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}) $.

目标4：$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \mathrm{V}|\equiv \left(\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}\right) $.

在认证环节，传输消息的理想形式如下.

形式1：$ \mathrm{V}\to \mathrm{U}\mathrm{A}\mathrm{V} $$：( {\sigma }_{i},\;{T}_{i}^{1},\;{\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},\;{A}_{i},\; < {{\mathrm{Re}}}_{i},\; {R}_{i}^{2} { > }_{{\left({\mathrm{P}\mathrm{K}}_{\mathrm{u}}\right)}^{-1}} $).

形式2：$ \mathrm{U}\mathrm{A}\mathrm{V}\to \mathrm{V} $：$ ({\sigma }_{\mathrm{u}},{T}_{\mathrm{u}}^{1},{W}_{\mathrm{u}},{X}_{\mathrm{u}},\mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $.

为了更好地对协议进行安全证明，进行如下初步假设.

假设1：$ \mathrm{V}|\equiv \#({T}_{\mathrm{u}}^{1},{W}_{\mathrm{u}}) $.

假设2：$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \#({T}_{i}^{1},{A}_{i}) $.

假设3：$ \mathrm{V}|\equiv \stackrel{{\mathrm{P}\mathrm{K}}_{\mathrm{u}}}{\to }\mathrm{U}\mathrm{A}\mathrm{V} $.

假设4：$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \stackrel{{X}_{i},{B}_{i}}{\to }\mathrm{V} $.

假设5：$ \mathrm{V}|\equiv \mathrm{U}\mathrm{A}\mathrm{V}\Rightarrow (\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}) $.

假设6：$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \mathrm{V}\Rightarrow (\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}) $.

分析所提出方案的理想形式.

1）UAV收到消息M₁：$ \mathrm{U}\mathrm{A}\mathrm{V} \triangleleft $($ {\sigma }_{i},{T}_{i}^{1},{\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},{A}_{i}, < {{\mathrm{Re}}}_{i},{R}_{i}^{2}{ > }_{{\left({\mathrm{P}\mathrm{K}}_{\mathrm{u}}\right)}^{-1}} $).

2）根据R2、A4和Schnorr签名的安全性^[22]，得到$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \mathrm{V}|\sim{M}_{1} $.

3）根据R6和A2，得到$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \#({M}_{1}) $.

4）根据步骤2）、步骤3）和规则3），得到$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \mathrm{V}|\equiv {M}_{1} $.

5）根据步骤4）和规则5），得到$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \mathrm{V}|\equiv ({\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},{A}_{i}) $.

6）根据步骤5）和会话密钥$ \mathrm{S}\mathrm{K}={h}_{7}({w}_{\mathrm{u}}\cdot {A}_{i}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {R}_{i}^{2}) $，得到$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \mathrm{V}|\equiv \left(\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}\right) $.

7）根据步骤6）、假设6和规则4），得到$ \mathrm{U}\mathrm{A}\mathrm{V}|\equiv (\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}) $.

8）V收到消息M₂：$ \mathrm{V} \triangleleft ({\sigma }_{\mathrm{u}},{T}_{\mathrm{u}}^{1},{W}_{\mathrm{u}},{X}_{\mathrm{u}},\mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $.

9）根据规则2）、假设3和Schnorr签名的安全性^[22]，得到$ \mathrm{V}|\equiv \mathrm{U}\mathrm{A}\mathrm{V}|\sim{M}_{2} $.

10）根据规则6）和假设1，得到$ \mathrm{V}|\equiv \#({M}_{2}) $.

11）根据步骤9）、步骤10）和规则3），得到$ \mathrm{V}|\equiv \mathrm{U}\mathrm{A}\mathrm{V}|\equiv {M}_{2} $.

12）根据步骤11）和规则5），得到$ \mathrm{V}|\equiv \mathrm{U}\mathrm{A}\mathrm{V}|\equiv ({T}_{\mathrm{u}}^{1},{W}_{\mathrm{u}},{X}_{\mathrm{u}},\mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}) $.

13）根据步骤12）和会话密钥$ \mathrm{S}\mathrm{K}={h}_{7}({a}_{i}\cdot {W}_{\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {R}_{i}^{2}) $，得到$ \mathrm{V}|\equiv \mathrm{U}\mathrm{A}\mathrm{V}|\equiv \left(\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}\right) $.

14）根据步骤6）、假设5和规则4），得到$ \mathrm{V}|\equiv (\mathrm{V}\stackrel{\mathrm{S}\mathrm{K}}{\leftrightarrow }\mathrm{U}\mathrm{A}\mathrm{V}) $.

基于安全性需求，将本研究所提方案与文献[17]方案、文献[19]方案、文献[23]方案、文献[24]方案进行安全性对比，结果如表1所示，表中符号“√”表示方案满足对应安全需求，“×”表示不满足对应安全需求.

1)异构相互认证. 在所提方案中，属于CLC的车辆$ {{V}}_{{i}} $和属于PKI密码体制无人机$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $分别利用自己的私钥通过Schnorr签名方案^[22]生成各自签名$ {\sigma }_{i} $和$ {\sigma }_{\mathrm{u}} $，无人机和车辆可以分别验证签名$ {\sigma }_{i} $和$ {\sigma }_{\mathrm{u}} $的合法性，以验证彼此身份的合法性. 因此本研究所提方案支持异构相互认证.

2)会话密钥协商. 所提方案中无人机$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $得到会话密钥$ {\mathrm{S}\mathrm{K}}_{\mathrm{u}i}={h}_{7}({w}_{\mathrm{u}}\cdot {A}_{i}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel \mathrm{U}{\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {R}_{i}^{2}) $，车辆$ {V}_{i} $得到会话密钥$ {\mathrm{S}\mathrm{K}}_{i\mathrm{u}}={h}_{7}({a}_{i}\cdot {W}_{\mathrm{u}}\parallel {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1}\parallel {\mathrm{U}\mathrm{I}\mathrm{D}}_{\mathrm{u}}\parallel {T}_{i}^{2}\parallel {R}_{i}^{2}) $，车辆$ {{V}}_{\mathrm{i}} $和无人机$ {\mathrm{U}\mathrm{A}\mathrm{V}}_{\mathrm{u}} $得到相同的会话密钥$ {\mathrm{S}\mathrm{K}}_{i\mathrm{u}} $=$ {\mathrm{S}\mathrm{K}}_{\mathrm{u}i} $，因此所提方案能够实现会话密钥协商.

3)匿名与追溯. 在所提方案中，车辆自身使用模糊提取器生成假名，除了第三方注册中心KGC外，没有其他实体可以知道车辆的真实身份，保证身份的匿名性. KGC利用车辆的假名$ {{\mathrm{PID}}}_{i} $和$ {R}_{i} $计算出$ {K}_{i}={F}_{{\mathrm{Rep}}}({\mathrm{P}\mathrm{I}\mathrm{D}}_{i},{R}_{i}) $，KGC结合本地的车辆注册信息表$ < K,\mathrm{I}\mathrm{D} > $得到车辆的真实身份. 文献[23]方案通过对车辆真实身份求哈希值得到车辆的假名，不能实现对车辆真实身份的追溯；文献[24]方案中使用车辆的真实身份完成与RSU的认证过程，不满足匿名性.

4)不可链接性. 在所提方案中，车辆与无人机进行异构认证时发送消息$ {L}_{1}=\{{v}_{i},{\sigma }_{i},{T}_{i}^{1},{\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},{A}_{i}\} $，$ {v}_{i} $在车辆与不同无人机进行认证时不同，$ {\sigma }_{i} $中有随机数，$ {A}_{i} $由随机数计算得出，$ {\mathrm{P}\mathrm{I}\mathrm{D}}_{i1} $为车辆假名，车辆可以每次更换，$ {T}_{i}^{1} $为当前的时间戳，攻击者不能将2条消息与同一辆车联系起来，因此所提方案满足不可链接性.

5)抵抗克隆和物理攻击. 攻击者可以使用功率分析攻击或侧信道攻击对车辆和无人机进行攻击. 在所提方案中，车辆和无人机中都嵌入PUF，车辆和无人机的私钥和无人机的共享秘密值都使用PUF的挑战值进行保护，在认证和密钥协商过程中车辆通过PUF产生挑战值，任何对车辆和无人机的篡改和分析都会影响PUF的运行环境，导致PUF的输出产生波动，进而无法获得正确的输出，此外PUF不能被重构，因此所提方案对于克隆和物理攻击是安全的.

6)抵抗重放攻击. 如果攻击者获得公开信道上传输的消息，攻击者无法拦截消息并重新发送，原因是每条消息都还有时间戳，并且使用单向哈希函数对时间戳进行保护. 因此，所提方案可以抵抗重放攻击.

7)抵抗中间人攻击. 在所提方案中，任何人都可以通过公开信道获得$ {L}_{1}=\{{v}_{i},{\sigma }_{i},{T}_{i}^{1},{\mathrm{P}\mathrm{I}\mathrm{D}}_{i1},{A}_{i}\} $，如果消息被恶意攻击者修改，并且攻击者试图通过修改后的消息实现身份认证，则攻击者必须获得秘密值$ {x}_{i},{b}_{i},{a}_{i},{\mathrm{R}\mathrm{e}}_{i} $以生成合法的请求消息$ {L}_{1} $，但是$ {x}_{i}、{b}_{i} $存储在车辆本地，由PUF进行保护，$ {a}_{i}、{\mathrm{R}\mathrm{e}}_{i} $在消息传输过程中使用基于椭圆曲线的离散对数问题进行保护，攻击者无法获得$ {x}_{i}、{b}_{i}、{a}_{i}、{\mathrm{R}\mathrm{e}}_{i} $以生成合法的请求消息$ {L}_{1} $；同理，攻击者不能生成合法的请求消息$ {L}_{2} $. 因此所提方案可以抵抗中间人攻击.

为了分析本研究所提方案的计算开销，使用Raspberry Pi 4B、ARM Cortex-A72处理器，处理器主频为1.5 GHz、内存为2 GB内存，进行较低计算力的无人机和车辆模拟. 使用MIRACL密码库，对于基于双线性配对的方案，选择“alt_bn128”类型的双线性配对曲线；对于基于椭圆曲线加密的方案，选择“secp256r1”参数的椭圆曲线，椭圆曲线加密记为$ E:{y}^{2}={x}^{3}+ax+b\left({\mathrm{mod}}p\right) $上阶为素数$ q $的加法群$ G $，其中$ a,b\in {Z}_{p}^{*} $，同时$ p、q $为256位的素数，选择哈希函数为SHA-256，认证过程中所需的密码操作的执行时间如表2所示.

将所提方案与文献[17]方案、文献[19]方案、文献[23]方案、文献[24]进行对比. Pan等^[17]提出无人机与基站之间的异构认证协议，其中无人机属于IBC，地面基站属于PKI密码体制. Li等^[19]提出移动客户端与服务器之间的异构认证协议，其中客户端使用IBC，服务器使用PKI密码体制. Son等^[23]考虑车辆的计算资源有限，设计基于区块链的车联网切换认证协议. Wang等^[24]提出新的车辆可靠性评估系统，基于车辆的信任评估值设计切换认证协议. 文献[17]方案中的无人机对应本研究中的车辆，基站对应本研究中的无人机. 文献[19]方案中的移动客户端对应本研究中的车辆，服务器对应本研究中的无人机. 文献[23]及文献[24]方案中的RSU均对应本研究中的无人机.

分别从车辆、无人机和总计算开销方面对初次异构认证阶段中的计算开销进行对比分析. 各方案在认证过程中的计算开销如表3所示. 各方案初次异构认证计算开销对比如图4所示. 由图可知，所提方案在无人机和总计算开销方面具有一定优势，说明该方案可以实现高效的异构认证. 所提方案在车辆、无人机和总计算开销方面均明显低于文献[17]、文献[19]、文献[24]的方案. 原因是后3种方案在认证和密钥协商过程中涉及如双线性配对和幂运算的较高计算开销运算操作，所提方案采用较为轻量级的哈希与标量乘运算，计算开销较低. 在车辆计算开销方面，文献[23]方案执行了较少的标量乘操作，计算开销略低于所提方案. 在无人机计算开销方面，文献[23]方案须执行椭圆曲线数字签名操作，所提方案只要执行计算开销较少的运算，因此计算开销略低于文献[23]. 在总计算开销方面，所提方案相比于文献[17]、文献[19]、文献[23]、文献[24]的方案分别减少了72.9%、64.5%、7.5%、74.2%. 在空地协同场景中，无人机须频繁与地面车辆认证，车辆与无人机都是计算资源有限的设备，所提方案计算开销较低，对计算资源有限的设备较为友好，更适合空地协同场景中无人机与车辆认证.

在实际的应用场景中，无人机可能同时处理多个车辆的认证请求，为了评估所提方案在多个车辆请求的情况下无人机认证计算开销，进行批量认证计算开销对比实验，如图5所示. 图中，t₂为无人机计算开销，n为请求认证车辆数. 由图可知，所提方案的无人机计算开销小于其他方案，随着请求认证车辆的增加，批量验证算法使方案依然保持较低的计算开销，说明该方案更加符合空地协同的实际应用场景.

为了评估切换认证协议的计算开销，从车辆、无人机和总计算开销方面将现有的切换认证方案与所提方案进行对比分析. 各方案在切换认证过程中的计算开销如表4所示. 各方案在切换认证阶段的计算开销对比如图6所示. 由图可知，所提方案在切换认证阶段的车辆、无人机和总计算开销具有明显优势. 在车辆方面，所提方案只要执行计算开销较低的哈希运算，文献[24]方案须执行如双线性配对运算的计算开销较大的操作，所提方案只要4个哈希运算，文献[23]方案须执行6个哈希运算，因此所提方案具有最优的计算开销. 在无人机方面，文献[24]方案须执行1个双线性配对运算和5个幂运算，所提方案与文献[23]方案计算开销明显低于文献[24]方案，文献[23]方案须执行基于椭圆曲线的数字签名和验证运算，所提方案只要执行计算开销较少的运算. 在总计算开销方面，所提方案相比于文献[23]和文献[24]的方案分别降低了82.4%、94%. 在空地协同场景中，无人机须频繁响应地面车辆的请求，所提方案切换认证计算开销较低，可以明显降低无人机的计算开销，增加无人机的续航时间.

为了评估所提方案在整个认证阶段的计算开销情况，将分别从车辆、无人机和总计算开销方面进行对比分析. 各方案的总体计算开销对比如图7所示. 由于文献[15]、文献[17]没有设计切换认证方案，在切换认证阶段的计算开销用初次认证计算开销代替. 由图可知，所提方案在总体计算开销方面明显小于其他方案. 在总计算开销方面，所提方案相比于文献[17]、文献[19]、文献[23]、文献[24]的方案，分别减少了83.3%、78.1%、48.6%、84.1%，虽然所提方案在初次认证阶段与切换认证阶段的中间过程存在认证信息移交的额外计算开销，但在初次认证阶段与切换认证阶段都采用轻量级的密码学操作，因此在总体计算开销方面可以保持较低的计算开销，所提方案在空地协同场景中的实用性得到有效保障.

基于文献[25]设计的实验分析方法，分析认证过程中所提方案在无人机上的能量消耗. 认证过程中的能量消耗$ E=t\mathrm{\rho } $，其中$ t $为所花费的时间成本，$ \mathrm{\rho } $为CPU的最大功率，为7.5 W.

各方案初次与切换认证阶段无人机能量消耗对比如图8所示. 所提方案在初次认证阶段无人机的能量消耗为121.401 mJ，无人机的能量消耗在所有方案中最低，相比文献[17]、文献[19]、文献[23]、文献[24]方案分别降低了80.3%、73.9%、36.6%、66.5%. 所提方案在切换认证阶段无人机的能量消耗为52.136 mJ，能量消耗低于其他方案，相比文献[23]和文献[24]方案能量消耗分别降低了82.4%、91.1%，相比所提方案的初次认证阶段无人机能量消耗降低了57%，说明所提方案通过车辆与无人机间的切换认证协议可以有效降低无人机的能量消耗.

各方案批量认证阶段无人机能量消耗对比如图9所示. 在多个车辆请求认证时，所提方案依然可以保持无人机处于较低的能量消耗，保障了无人机在车联网应用场景中的可靠性.

对无人机在异构认证过程中处理车辆认证请求的吞吐量TPS进行对比分析，将无人机的吞吐量定义为无人机在单位时间（1 s）内完成车辆认证请求的次数. 各方案无人机吞吐量对比如图10所示，由图可知，文献[17]、文献[19]、文献[23]、文献[24]的TPS性能瓶颈分别为12、16、39、21，所提方案在请求认证车辆数量达到50时，无人机的吞吐量为50，未达到无人机吞吐量的瓶颈. 本研究在设计方案时充分利用哈希函数、椭圆曲线密码和异或运算等轻量级操作，以节约计算资源、加快无人机对车辆的认证过程；考虑到多个请求认证车辆的情况，设计无人机对车辆的批量验证算法进一步降低了无人机的性能开销，提高了无人机在实际应用场景中的性能瓶颈.

针对空地协同场景下车辆与无人机频繁通信存在的异构认证效率低、隐私容易泄露、计算开销较大等问题，提出空地协同场景下具有隐私保护的高效异构认证方案. 将Schnorr签名与PUF结合，设计安全高效的异构认证协议；车辆由模糊提取器生成假名，保护了用户隐私；设计车辆与无人机间的切换认证协议，降低了无人机在认证过程中的能量消耗. 实验表明，本研究所提方案在整体计算时间开销与无人机的能量消耗方面具有一定优势. 未来计划开展车辆与无人机的通用异构方案研究，实现适用于任意2种密码体制下的认证方案，在保证安全、高效的前提下，降低无人机的交互次数.