5G異構網絡中基于群組的切換認證方案

張應輝，李一鳴，李怡飛，鄭東，31.西安郵電大學網絡空間安全學院，西安7101212.無線網絡安全技術國家工程實驗室，西安7101213.衛士通摩石實驗室，北京100070隨著5G（5th-generationmobilecommunicationtechnology）網絡的發展和普及，出現了一些如自動駕駛、云電腦、5G物聯網設備等一些低延遲要求的服務。但與此同時，網絡異構性和網絡復雜度也在持續增加。其中，5G異構網絡包括5G網絡、3GPP的LTE（longtermevolution）網絡、非3GPP網絡以及屬于不同運營商的5G網絡。多種類型的網絡共存會帶來一系列的安全隱患和挑戰。在5G安全研究領域，全球各大通信組織和通信設備廠商如：3GPP、5GPPP、NGMN、Huawei和Nokia等都發布了自己的5G安全需求及標準[1-5]。為了給用戶提供安全高效的網絡服務，需要對接入網絡的每個用戶進行認證。通常情況下，一個認證場景由用戶（user，UE）、接入點（accesspoint，AP）以及具有認證、授權和計費功能的服務器（authentication，authorizationandaccounting，AAA）組成。用戶在多種網絡間進行切換時，需要與不同的接入點執行切換認證。近年來，一些切換認證方案為了更好地適用于5G異構網絡，在解決相互認證和密鑰協商、隱私保護、匿名可追溯性以及抵抗各種攻擊等方面做出了大量研究。此外，對于5G異構網中存在的各種類型網絡，需要引入一個全局可信的實體來解決全局切換認證問題。區塊鏈是由多個區塊相互連接組成的，它包含一個完整的交易記錄列表，類似傳統的公共賬本。區塊鏈上交易的合法性驗證就是通過在腳本機制中使用操作碼OP_CODE來實現的。且操作碼OP_CODE中OP_RETURN[6]的功能是對區塊鏈上的交易進行備注，可以將任意信息寫入交易賬本中。由于區塊鏈具有全局一致性[7]、抗篡改和去中心化的特性，結合時間戳系統可以建立某個確定時間段內某信息的存在性證明。由此可以解決上述方案中缺乏全局可信實體的問題。此外，在實際場景中，接入點通常要面臨多個用戶發來的接入請求。多數切換認證方案未考慮群組用戶切換的情況，當接入點對這些用戶進行逐一認證時，不僅會加大接入點的計算開銷，還會大幅度增加整個認證流程所需的認證時間，進而降低服務質量。因此，在提升多設備認證效率的同時還能保證其安全性亟待進一步研究。本文的主要貢獻總結如下：（1）結合聚合簽名技術和區塊鏈技術提出了一個5G異構網絡中基于群組的切換認證方案，使得用戶可以在不同的網絡間進行無縫切換。并且，該方案針對群組用戶接入的情況還可以執行批量驗證。（2）對所提出的協議進行規范化建模，并利用形式化分析軟件AVISPA進行了安全性分析。根據分析結果，該方案不僅滿足相互認證和密鑰協商，還可以抵抗偽裝攻擊、中間人攻擊、重放攻擊和被動攻擊。（3）利用仿真實驗和理論分析對所提出協議的性能表現進行了系統地評估。通過對比和分析，表明該方案是安全高效的。1相關工作隨著5G網絡近年來的發展與普及，研究者們提出了一系列基于5G網絡的認證和密鑰協商（5Gauthenticationandkeyagreement，5G-AKA）方案[8-9]。5G異構網絡中還包含其他網絡：如LTE、LTE-A（LTE-advanced）、WLAN（wirelesslocalareanetwork）和WiMax（worldinteroperabilityformicrowaveaccess）等。針對目前移動通信網絡中用戶數目較多的LTE網絡，文獻[10]和文獻[11]提出了相關的認證和密鑰協商方案。然而，隨著5G網絡復雜性與異構性的提升，無線網絡環境中也出現了更多的安全隱患與挑戰。消息在無線網絡中傳輸可能會暴露用戶的身份信息和其他隱私，研究者們針對于此提出了一些隱私保護方案。文獻[12-13]方案利用假名代替真實身份進行消息傳輸，可以防止真實身份等信息泄露所帶來的損失。Chaum等人在1991年首次提出了群簽名方案[14]，群簽名技術可以有效地保護群成員的身份隱私。驗證者可以通過群公鑰驗證群成員的簽名，間接驗證了其身份的合法性。根據這一思想，Lai等人提出了一個基于群簽名的接入認證和密鑰協商方案[15]極大程度地簡化了群組設備的接入認證過程，該方案首先對首個接入網絡的群成員執行完整認證過程，該成員再代替一組內的其他成員獲得臨時密鑰和群身份驗證信息，其他群組成員在接入網絡時只需要執行簡單的驗證過程。但整個認證過程是匿名進行的，一些用戶可能會利用匿名身份破壞系統。為了解決這個問題，He等人提出了一種條件隱私保護的切換認證方案[16]，該方案可以在匿名用戶出現違法行為時揭露其真實身份，實現了條件隱私保護。為進一步提升認證效率并減少傳輸開銷，Mo等人提出的匿名認證和密鑰協商協議[17]通過兩次消息交換就可以實現相互認證和密鑰協商。為了更好地適用于5G異構網絡，一些方案[18-19]實現了域間切換認證，但需要依賴兩個接入節點之間的信任關系。而Sharma等人提出的方案[20]需要服務器參與整個切換過程來實現域間切換。為了減輕系統復雜度和傳輸開銷，需要引入一個全局可信的實體。區塊鏈以其全局一致性和抗篡改等特性可以作為一個全局受信的實體，在認證過程中引入區塊鏈技術就可以解決上述的問題。許多研究者基于此進行了研究。Almadhoun等人提出的方案[21]利用霧節點和以太坊智能合約對接入用戶進行身份驗證，可以減輕用戶端設備的計算開銷。Lin等人提出了一個分布式用戶驗證方案[22]，用戶將其身份和加密后的個人信息分別存儲在區塊鏈和分布存儲系統中，并附加一個智能合約。服務器采用挑戰應答協議來驗證用戶身份，然后從分布存儲系統中檢索用戶的個人信息。在Wang等人提出的方案[23]中，證書授權中心將用戶證書的哈希值存入區塊中，驗證者通過比較用戶所提供的參數和區塊鏈上存儲的數據是否一致完成對用戶的認證。為了進一步降低系統復雜度，Li等人在2018年提出了一個基于區塊鏈的安全認證方案[24]，將每個用戶的身份信息記錄到區塊鏈中，在不借助任何可信中心的情況下實現了接入認證。Cai等人提出了一個區塊鏈輔助認證系統[25]用于身份驗證，并利用智能合約實現了細粒度的訪問控制。此外，利用區塊鏈的共識機制也可以實現跨域認證。Chen等人提出了一個5G超密集網絡下的認證方案[26]，該方案中接入點群組通過使用聯盟鏈共享認證結果來減少認證時延。為了滿足隱私保護的特性，Yao等人提出的方案[27]同樣引入聯盟鏈在不同接入點間共享認證結果，但結合密碼學技術實現了跨數據中心的匿名認證。Zhang等人提出了一個適用于5G異構網絡的切換認證方案[28]，該方案利用OP_RETURN碼在區塊鏈上存儲變色龍哈希函數值作為驗證用戶身份的公鑰，不僅滿足相互認證和密鑰協商的基本要求，還實現了全局切換認證。Wang等人基于區塊鏈技術提出了一個多服務器邊緣計算架構的切換認證方案[29]，利用區塊鏈技術和服務器的協助實現快速切換認證。但上述方案均沒有考慮多個設備接入時的情況。考慮到實際應用場景中，一個訪問域的服務器可能會收到多個用戶的接入請求消息。進行批量驗證可以縮短認證時延，從而保證服務的連續性與實時性。Wang等人提出了一個基于條件隱私保護的偽身份批量認證方案[30]，實現了匿名批量驗證。Tzeng等人提出了一個改進的的批量驗證方案[31]，進一步提升了安全性。Thumbur等人提出了一個基于無證書聚合簽名的認證方案[32]，該方案中的密鑰由用戶和授權中心合作生成，解決了密鑰托管問題。由于這些方案中都引入密鑰生成中心作為可信第三方，在進行切換認證時，系統復雜度高且通信開銷大，不適用于5G異構網絡。綜上所述，引入區塊鏈技術可以解決全局切換認證問題。而針對于實際場景中多設備接入的情況，如何在提升效率的同時還能保證整個系統的安全性是本文需要解決的主要問題。2系統模型與安全模型2.1系統模型系統模型如圖1所示，系統共包含以下四類實體：用戶UE、接入點gNB（5GnewradionodeB）和eNB（evolvednodeB）、服務器AAA和AAA*以及全局部署的區塊鏈。此外，根據網絡架構的不同分為兩個域：EPC（evolvedpacketcore）和5GC（5Gcorenetwork）。圖1系統模型圖Fig.1Systemmodel為了獲取網絡服務，UE首先要與本地服務器進行初始認證和密鑰協商。而對于切換場景，根據用戶數目的不同，系統分別對單個用戶和群組用戶執行切換認證和批量驗證。具體過程如下：（1）本地用戶接入。在使用5G新空口技術的網絡中，UE通過gNB接入到5GC網絡，且用戶、接入點和服務器之間執行5G-AKA協議[9]。而對于3GPP的LTE網絡，每個UE通過eNB連接到EPC網絡，執行EPS-AKA（evolvedpacketsystemauthenticationandkeyagreement）協議[10]。（2）切換認證。每個UE首先通過本地服務器在區塊鏈上存入一個切換“通行證”供其他實體下載以驗證UE的身份。UE同時從區塊鏈上獲取目標接入點的相關信息，用于對接入點進行認證。（3）批量驗證。將屬于同一個域的多個用戶稱為群組用戶。當屬于5GC（或EPC）域內的群組用戶需要同時切換至EPC（或5GC）域內時，EPC（或5GC）域內的接入點結合區塊鏈上獲得的多個“通行證”對群組用戶執行批量驗證。2.2安全模型在所提出的系統模型中：假設每個UE都通過gNB或eNB在其所屬的服務器完成了注冊；接入點gNB和eNB都是誠實而好奇的；屬于不同信任域的服務器AAA和AAA*并非是全局可信的；而模型中引入的區塊鏈類型為公共鏈。此外，UE與其他接入點間的通信信道是公開信道。在上述條件下，攻擊者可能會利用用戶發送的消息發起各種攻擊：重放攻擊、偽裝攻擊、中間人攻擊。由于使用公共鏈的原因，任何實體都可能利用區塊鏈上存入的數據攻破認證系統。此外，在進行密鑰協商時，若用于計算會話密鑰的隨機數被泄露，攻擊者也可能得知該會話密鑰，導致通信雙方傳輸的消息被泄露，這種攻擊方式屬于被動攻擊，難以被發現和排除。為了實現安全高效地切換認證。需要借助區塊鏈設計一個基于群組用戶的安全切換認證方法。那么，該協議需要滿足以下安全特性：（1）相互認證：不僅要實現接入點對用戶的接入認證，用戶也需要對接入點進行認證。（2）密鑰協商和已知隨機性安全：當用戶和接入點完成相互認證后，還需要協商一個會話密鑰保證后續通信的機密性。此外，在隨機數泄露的情況下，也能夠保證當前會話不被泄露。（3）匿名性和可追溯性：為了保證每個用戶的身份和其他敏感信息等隱私不被泄露，需要在整個切換過程中使用偽身份代替真實身份。此外，可追蹤性是系統對匿名用戶行為的約束。當匿名用戶進行惡意行為時，該用戶注冊域服務器能夠揭露其真實身份。（4）抵抗各種攻擊：在公開信道上進行消息傳輸時，能夠有效抵抗偽裝攻擊，保證認證參數不可被偽造；抵抗中間人攻擊，防止消息被隨意篡改；抵抗被動攻擊，會話密鑰的機密性足以抵御被動攻擊；抵抗重放攻擊，防止攻擊者重播消息而欺騙系統。（5）魯棒性：當注冊到服務器的合法用戶被服務器陷害時，可以向其他任何實體證明自己的合法性。（6）全局切換認證：由于各個服務器并非全局可信，系統需要引入一個全局可信的實體使用戶在不同域間進行無縫切換。通過建立域間信任關系，屬于不同域的用戶和接入點之間能夠實現切換認證。3方案提出該部分主要對方案中的算法進行描述，算法中一些符號的具體含義如表1所示。算法共包含四個階段：初始化階段、注冊階段、切換認證階段和批量驗證階段。具體算法流程如下。表1符號含義Table1Symbolofnotation3.1初始化階段設置系統安全參數λ。再選取一個大素數p，生成一個非奇異橢圓曲線E:y2+ax+bmodp和一個素數階加法群G。其中，q為G的階，Q為G的生成元。最后選擇三個安全哈希函數：H0=G→{0,1}λ,H1=G3→和H2=G3×{0,1}λ→。接著，以AAA為例，各個服務器執行以下步驟：（1）AAA秘密選取一個隨機數x0∈作為主密鑰，再計算Y=x0Q作為對應的公鑰。（2）AAA利用數字簽名算法[33]生成密鑰對(skAAA,pkAAA)用于簽名和在區塊鏈中發布交易。（3）最后，AAA公布系統參數{p,q,G,Q,H0,H1,H2,Y,pkAAA}，并秘密保存skAAA。3.2注冊階段在該階段，服務器利用區塊鏈的全局一致性和抗篡改特性為每個注冊用戶建立存在性證明，使UE可以憑借該證明進行切換。通過引入區塊鏈技術設置切換認證憑證，消除了對第三方可信中心的依賴，并建立了域間信任關系。具體地，UEi首先通過本地的初始接入點（originalaccesspoint，APo）與AAA進行初始接入認證，建立安全信道。對于5G網絡和3GPP的LTE網絡，分別應用5G-AKA協議和EPS-AKA協議。接著，執行以下步驟：（1）用戶部分密鑰生成：UEi選取一個隨機數ski∈作為用戶部分私鑰，并計算pki=skiQ作為對應的公鑰。（2）用戶偽身份申請：UEi選取一個隨機數xi∈，接著計算：其中，IDi為UEi的真實身份。最后，UEi向AAA發送消息：{IDi||PIDi,1||Ki||pki}。（3）用戶偽身份生成：AAA根據UEi的消息驗證以下等式是否成立：若成立，則設置注冊有效期tend以及PIDi,2=Ki。最后生成偽身份PIDi={PIDi,1,PIDi,2,tend}。（4）服務器部分密鑰：AAA選取一個隨機數ri∈，再進行以下計算：最后，將pski作為服務器生成的部分密鑰，Ri作為對應的公鑰。（5）切換通行證生成：AAA首先在區塊鏈上創建一個交易，將這筆交易的標識信息記為TXUEi。并且分別以pkAAA和skAAA作為鎖定腳本和解鎖腳本，使得該筆交易中的資產不可被花費。接著，使用OP_RETURN碼在該交易區塊上存入一個數據PASSi:{Ri||pki||tend}。之后，AAA利用skAAA對{IDi||PASSi}進行簽名得到Sig，并將{PIDi||TXUEi}保存至本地。最后，AAA向UEi發送消息：{PID||pski||TXUEi||Sig}。（6）用戶驗證：UEi收到消息后，首先根據TXUEi定位到交易所在的區塊，并檢查該交易的輸出腳本是否與pkAAA相關。檢驗通過后，獲取該區塊上存入的數據PASSi。接著，UEi利用pkAAA、IDi和PASSi檢查Sig的正確性。若驗證通過，則UEi可以確定PASSi是由AAA存入區塊鏈的。最后UEi保存{PID||pski||TXUEi||Sig}。用戶注冊階段完成。與用戶注冊階段類似，每個接入點也執行上述步驟。以目標接入點（targetaccesspoint，APt）為例，APt以真實身份IDAPt注冊到AAA*服務器。APt先選取隨機數最后，UEi向APt發送切換請求消息：（2）APt收到REQ后先驗證time的新鮮性，再驗證PIDi中的tend是否過期。驗證均通過后，APt根據TXUEi由本地檢索出PASSi，再計算：3.3切換認證階段在完成注冊后，各UE可以進行切換認證。切換認證過程中，各驗證節點對于切換用戶的驗證也是依賴于區塊鏈的共識機制。在該階段各驗證節點從區塊鏈上獲取相關參數不僅可以降低通信開銷，還可以提升切換認證效率。在UEi移動到APt覆蓋范圍前，首先要獲取AAA*的公鑰Y′和PASSAPt。為了簡化這一過程，通過引入合作通信技術[34]實現上述步驟。接著，UEi向各個鄰居接入點廣播TXUEi。各個接入點根據TXUEi獲取并保存PASSi至本地。完成上述步驟后，開始執行切換認證過程，具體如下：（1）UEi首先選取兩個隨機數wi∈和zi∈，接著計算：最后，APt向UEi發送回復消息：（3）UEi收到REQ后先驗證time的新鮮性。驗證通過后，進行以下計算：并檢驗以下等式是否成立：若成立，則計算：并驗證以下等式是否成立：若成立，則UEi與APt之間會話密鑰建立，切換認證完成，且共享一個會話密鑰K。其中：3.4批量驗證階段針對于群組用戶的切換接入請求，所提出的方案可以對群組用戶進行批量驗證。具體是由聚合簽名技術的思想設置可聚合的認證參數，使得驗證者能夠對多個接入請求執行批量驗證。從而減少逐一認證所需的認證時延，極大提升了群組設備的切換效率。與單個用戶切換情況類似，當短時間內AAA服務器域中的n個用戶：UE1,UE2,…,UEn準備切換到另一個域時，每個用戶首先獲取另一個域內服務器的系統公鑰和APt的認證參數。接著，這些用戶分別廣播自己的交易標識：TXUE1,TXUE2,…,TXUEn至附近所有鄰居接入點。最后，APt對這n個用戶執行批量驗證的過程如下：（1）與切換認證階段類似，這n個用戶分別選擇n個隨機數：w1,w2,…,wn∈和z1,z2,…,zn∈。并計算：W1,W2,…,Wn，Z1,Z2,…,Zn，m1,m2,…,mn和s1,s2,…,sn。最后，分別以偽身份PID1,PID2,…,PIDn發送n個切換請求消息：REQ1,REQ2,…,REQn。（2）當APt收到這些切換請求后，首先檢查每個PID中的tend是否過期。驗證通過后，根據TXUE1,TXUE2,…,TXUEn檢索本地存儲的多個PASS。若檢索過程中出現重復的TXUE或PASS，則根據時間順序，拒絕重復參數所對應的兩個消息中最新的一個。接著，繼續對剩余的用戶執行批量驗證。否則，待檢索完成后分別計算最后，根據以上參數驗證等式：和若成立，則APt接收這些消息，并分別與他們建立會話密鑰，群組切換完成。否則，拒絕這些消息。4安全性分析在該部分，首先對所提出的協議進行規范化建模，并利用形式化分析軟件AVISPA對其進行形式化分析。接著，對該方案所滿足的安全性要求進行了進一步的具體描述。4.1基于AVISPA的安全性分析在該部分對所提出的協議進行規范化建模，并通過形式化分析軟件AVISPA對所提出協議的安全性進行分析。AVISPA是對安全協議進行自動化驗證的工具[35]，它提供了一種高級協議語言（highlevelprotocolspecificationlanguage，HLPSL）[36]，可以模塊化地描述協議和模擬入侵者模型。此外，該工具還集成了如OFMC等各種不同的自動分析后端，可以對協議進行自動分析。整個分析過程是在虛擬機環境下使用形式化自動驗證工具SPAN和高級協議建模語言HLPSL對所提出的協議進行規范化描述，圖2和圖3分別是對角色UEi和APt會話過程的建模。通過對這兩個角色的規范化建模，可以分析該協議是否滿足相互認證和密鑰協商的安全特性。接著，根據圖4中三個安全目標對所提出的協議進行分析。其中，所設立的第一個和第三個目標是為了檢驗UEi和APt間是否能夠實現相互認證；第二個目標可以檢測他們之間共享會話密鑰的機密性。圖2用戶角色的建模Fig.2ModelofUEs圖3接入點角色的建模Fig.3ModelofAPs圖4安全目標模型Fig.4Modelofsecuritygoals最終，使用OFMC技術對協議進行自動分析得到的結果如圖5所示。OFMC通過模擬整個協議的運行流程，檢查每次會話是否受到重放攻擊。圖中結果顯示，該協議滿足預先設立的兩個強認證目標和一個秘密性安全目標。綜上，通過對協議進行規范化建模和形式化分析，表明所提出的協議滿足相互認證和密鑰協商的安全特性，并能夠抵抗重放攻擊和中間人攻擊。圖5分析結果Fig.5Analysisresults4.2進一步分析在該部分，對算法中一些等式的正確性進行了分析，并進一步分析了該協議還滿足的其他安全特性。（1）相互認證。由于雙方認證過程類似，這里以APt對UEi的認證過程為例，APt根據PASSi和REQ檢查等式（3）是否成立，該等式的正確性如下：（2）密鑰協商。APt和UEi在切換認證階段共享的會話密鑰為K。其中，等式（6）的正確性如下：（3）已知隨機性安全。所提出的協議利用D-H（Diffie-Hellman）密鑰交換協議的思想進行密鑰協商。假設選取隨機數的方法被暴露，攻擊者利用該方法得到了用于協商會話密鑰的隨機數。但得益于等式（4）和（5），攻擊者無法利用這些隨機數得知會話密鑰K，從而實現了已知隨機性安全，并保證了認證雙方之間消息傳輸的機密性。（4）匿名性。UEi只有在注冊階段以真實身份與服務器進行通信，在整個切換認證階段都使用偽身份PIDi代替真實身份IDi進行通信。且除了用戶的注冊服務器以外，任何實體都無法得知用戶的真實身份。（5）可追溯性。假設UEi利用匿名身份進行非法行為或發布虛假的信息擾亂整個系統的運作時。其注冊域服務器AAA執行以下操作：首先，根據UEi發送的接入請求消息REQ檢索區塊鏈上創建的相關交易TXUEi，并獲取注冊階段存入的數據PASSi。接著，驗證等式（3）是否成立。若成立，則根據本地存儲的{PIDi||TXUEi}計算：最后，由AAA揭露惡意用戶的真實身份IDi。（6）抵抗被動攻擊。由公式（4）和（5）可知，會話密鑰K是由APt和UEi根據對方所發送的消息，并分別利用各自的私鑰和ski進行計算而得。會話密鑰K的安全性基于橢圓曲線上的離散對數困難問題。因此，所提出的協議可以有效地抵抗被動攻擊。（7）抵抗偽裝攻擊。所提出的方案還可以抵抗偽裝攻擊。在該協議中，相互認證是利用橢圓曲線上的離散對數問題結合區塊鏈的抗篡改特性而實現的。其中，任何實體都不能偽造si，等式（2）中包含了UEi的用戶部分私鑰ski和服務器部分私鑰pski，而等式（1）中包含AAA的私鑰x0。通過偽造si扮演合法用戶進行接入認證需要攻破離散對數問題。所以，該認證參數具有不可偽造性。此外，對用于驗證和進行密鑰協商的參數Wi和Zi進行偽造需要解決橢圓曲線上的離散對數問題。綜上，所提出的方案可以抵抗偽裝攻擊。（8）魯棒性。假設AAA被攻破，并根據消息REQ陷害一個誠實的用戶。由于本方案引入了區塊鏈技術，可以公開自己的身份信息以及簽名Sig。任何第三方實體都可以通過區塊鏈下載PASSi，并結合REQ驗證等式（3）是否成立。接著，利用AAA的公鑰pkAAA驗證簽名Sig的正確性。若以上驗證都通過，則可以確定UEi′是注冊到服務器的合法用戶。（9）全局切換認證。所提出的方案可以實現全局切換認證，使得用戶可以在不同類型的網絡間進行切換。通過引入區塊鏈作為一個全局可信的“實體”，驗證者可以利用區塊鏈上存儲的PASSi計算等式（3）實現對切換用戶合法性的驗證。此外，PASSi是由注冊域服務器AAA在區塊鏈上存入的，以區塊鏈的全局一致性、抗篡改特性和共識機制可以在不同信任域的實體間建立域間信任關系，從而實現全局切換認證。5性能分析在該部分，對所提出的方案與文獻[12]方案、文獻[16]方案、文獻[17]方案、文獻[28]方案和文獻[29]方案進行了性能分析和比較。5.1傳輸開銷分析所提出的方案與文獻[12]方案、文獻[16]方案、文獻[17]方案、文獻[28]方案和文獻[29]方案之間的傳輸開銷對比如表2所示。本文用δ(0<δ<ε<θ<1)表示。其中，δ、ε和θ分別代表三個不同的單位。表2傳輸開銷對比Table2Comparisonoftransmissionoverhead結果表明，本文方案在傳輸開銷方面優于文獻[28]方案和文獻[29]方案。雖然文獻[12]方案、文獻[16]方案和文獻[17]方案與所提出方案的傳輸開銷相同，但在進行相同通信次數的情況下，這些方案不能滿足一些安全特性。因此，在滿足一定安全性的前提下，本文方案具有傳輸開銷低的優勢。5.2功能比較針對上述方案中存在的安全和效率方面的問題，在該部分對比了各方案所滿足的安全性要求和功能。其中，所提出的方案與文獻[12]方案、文獻[16]方案、文獻[17]方案、文獻[28]方案和文獻[29]方案之間的比較如表3所示。考慮到用戶隱私保護的問題，上述方案均有針對于匿名性的設計，但文獻[17]方案沒有實現對匿名用戶的追蹤。而在系統安全性方面，只有文獻[28]方案和本文方案實現了魯棒性和已知隨機性安全。在場景適用性方面，文獻[17]方案、文獻[28]方案、文獻[29]方案及本文方案可以實現域間切換認證。對于多設備接入場景，文獻[12]方案、文獻[16]方案和本文方案還可以實現批量驗證功能。綜上所述，本文方案相較于上述的方案，不僅具有更強大的安全性保證，并且能適用于更廣泛的應用場景。表3安全性及功能對比Table3Comparisonofsecurityandfunction5.3效率分析在進行效率分析時，只考慮各個方案在切換認證過程中的雙線性對運算、模指數運算、映射到群G上一點的哈希運算、群G上的標量乘法運算和群G上的點加運算。并分別以TP、TE、TH、TSM和TA來表示它們的運算時間，而總時間以Ttot表示，其他的運算時間均忽略不