本發明公開了一種實現身份混淆的水下數據傳輸方法，包括如下步驟：(1)初始化階段，網關GW生成密鑰材料，并將密鑰材料分發給水下潛航器A和水下潛航器B；(2)數據傳輸階段，發送方先生成雙方的一次身份信息，并進行數據加密和簽名，然后將相關信息發送到接收方，接收方接收到信息后，先驗證自身是否為正確接收方，然后計算發送方的臨時身份，并解密和驗證收到的數據。本發明方法中發送方和接收方潛航器在數據傳輸期間使用一次性身份，確保對手不能從傳輸的數據中提取真實身份；傳輸的信息使用輕量級基于對稱密鑰的加密原語(散列函數和模塊化加法)進行簽名和加密，安全性顯而易見，并且能夠滿足完整性和保密性的要求。

技術領域

本發明涉及一種實現身份混淆的水下數據傳輸方法，屬于水下無線通信安全技術。

背景技術

近年來，水下無線通信技術已經在很多領域得到了廣泛應用，比如國家安全和防御、海底站點科學數據的收集、環境系統中的污染監測、離岸石油工業的遙控以及災害發現和預警等。為了確保水下潛航器之間的通信安全，數據傳輸協議必須對已發送的信息提供完整性和保密性保護。

無論技術如何實現，一個水下無線通信(簡稱UWC)系統中的典型的數據傳輸協議包括三個實體：網關GW、水下航行器A和水下潛航器B。這三個實體涉及兩個階段，即初始化階段和數據傳輸階段：在初始化階段，網關GW生成并且部署水下航行器A和水下潛航器B的密鑰材料；在數據傳輸階段，水下航行器A對信息進行簽名和加密并發送給水下潛航器B。在這種數據傳輸協議中，被發送的信息不應被對手篡改或解密，否則UWC系統可能收集到不正確的數據，導致錯誤決策。

在水下無線通信系統中，一個安全的水下數據傳輸協議需要考慮的主要安全問題如下：(1)缺乏安全的基礎設施：由于水下潛航器通信環境復雜，能量有限，不適合部署公鑰基礎設施(簡稱PKI)和對稱密鑰分發基礎設施等傳統安全基礎設施，所以水下無線通信的數據傳輸協議必須使用實現身份的密碼學技術來保護傳輸的數據。(2)要求混淆：由于水下無線信道的開放性，惡意攻擊者很容易得到傳輸數據中包含的身份信息，跟蹤水下潛航器，并對其進行攻擊。因此，我們希望設計一種具有混淆的數據傳輸協議，使得水下潛航器使用可變的身份而不是一個固定的身份，這樣攻擊者就會感到困惑；然而，在目前的水下安全協議中，混淆性特征在很大程度上被忽視。

綜上，為水下無線通信設計一個基于身份的數據傳輸協議是一項非常重要的任務，有兩個要求：首先，水下無線通信要求敵方不能對潛航器進行計數；其次，水下環境缺乏實現上述安全目標的基礎設施。

然而，目前的基于身份的加密方案必須把潛航器的真實身份和信息一起傳輸，這樣一旦敵手可以獲得潛航器的真實身份，他們將能夠收集水下潛航器的信息，跟蹤并對它們進行攻擊；此外，在數據傳輸期間，敵手將能夠對水下潛航器進行計數并進行規模評估。在研究這個課題時，我們發現沒有加密原語可以直接應用于解決上述所有問題。

發明內容

發明目的：為了克服現有技術中存在的不足，本發明提供一種實現身份混淆的水下數據傳輸方法，為水下傳輸的信息提供完整性和機密性保護；本方法使用的密鑰是基于水下潛航器的身份信息生成的；同時，在數據傳輸階段，潛航器之間不需要咨詢安全基礎設施就可以進行相互認證；這樣水下無線通信缺乏安全基礎設施的問題就解決了；另外，本方法使用生成的一次性身份進行數據傳輸，這樣將會使惡意對手感到困惑，無法追蹤水下潛航器。因此，本方法非常適合水下環境，且通過安全性分析，也證明了本方法是切實可行的。

技術方案：為實現上述目的，本發明采用的技術方案為。

一種實現身份混淆的水下數據傳輸方法，包括如下步驟：

(1)初始化階段：網關GW生成密鑰材料，并將密鑰材料分發給水下潛航器A和水下潛航器B