您好, 访客   登录/注册

面向AdHoc网络的无证书认证组密钥协商协议

来源:用户上传      作者:

  摘 要:安全和效率是影响无证书认证组密钥协商协议能否在Ad Hoc网络中得到实际应用的两个关键因素。针对这两个关键因素,以提高Ad Hoc网络安全组通信的安全性和效率为目标,提出一个无证书认证组密钥协商协议,基于椭圆曲线密码体制(ECC)点乘运算实现无配对的无证书认证组密钥协商和身份认证;并使用Huffman密钥树优化通信轮数,以降低计算量和通信量,提高组密钥协商效率。安全分析和性能分析表明,与现有基于无证书的组密钥协商协议相比,所提方案在组密钥协商时具有较高的效率和安全性,可以满足资源受限条件下组密钥建立以及组成员变动带来的密钥更新问题。
  关键词:Ad Hoc网络;无證书公钥密码体制;组密钥;密钥树;无证书认证组密钥
  中图分类号: TP309
  文献标志码:A
  Abstract: Security and efficiency are two key factors that affect whether a certificateless authenticated group key agreement protocol can be applied in Ad Hoc networks. To improve the security and efficiency of key management problems in securing group communications of Ad Hoc networks, a certificateless group key agreement protocol was proposed, which utilizes Elliptic Curves Cryptography (ECC) multiplication to achieve the group key agreement and authentication without pairing. Meanwhile, the Huffman key tree was used to optimize the rounds of key negotiation, decreasing the computation and communication overheads and improving the group key negotiation efficiency. Security analysis and performance comparison demonstrate that the proposed protocol has good efficiency and security in group key negotiation, which can satisfy group key establishment and rekeying for dynamic groups with restrained resources.
  Key words: Ad Hoc network; CertificateLess Public Key Cryptosystem (CL-PKC); group key; key tree; certificateless authentication group key
  0 引言
  Ad Hoc网络是一种独立于固定基础设施的新型无线网络,在军事行动、抢险救灾、紧急救援、环境监测等场合有着广泛的应用前景。这些特殊的应用场景对通信安全有很高要求,必须使用加密手段来保证信息安全。然而,Ad Hoc网络的拓扑结构是动态变化的,所有节点都是分布式存在的,不能使用传统的密钥管理方法来分发管理密钥;同时,Ad Hoc网络中节点的资源如电池容量、计算能力和带宽等都是有限的,因此,在资源受限条件下如何高效地管理密钥成为Ad Hoc网络安全通信的一个关键问题。
  Ad Hoc网络中的许多网络功能,例如路由、邻居发现和拓扑控制都是面向群组的,这就要求节点设备在通信中必须使用组密钥来保证通信的安全性。目前,针对有线网络环境下的安全群组密钥管理协议已有许多研究,但有线网络环境下的群组密钥管理协议并不能直接应用于Ad Hoc网络环境。Ad Hoc网络群组通信具有自身的一些特点,如节点设备的计算、存储、通信和电源等能力受限,群组的动态性和随机性较大等,所以,Ad Hoc网络环境下的群组密钥管理更为复杂,要求也更高。
  Ad Hoc网络中,由于节点的地理位置动态变化,节点只能由电池供电,导致其能量资源、计算资源、存储资源和传输距离都受到限制。如果将传统的群组密钥协商协议直接应用于Ad Hoc网络,将会带来较高的通信量和计算量,极大消耗Ad Hoc网络中节点的能量,因此,原有传统的群组密钥协商协议不能直接应用于Ad Hoc网络中。
  例如,基于公钥基础设施(Public Key Infrastructure, PKI)的认证组密钥协商协议在运行时,需要通过认证中心(Certificate Authority, CA)发放公钥证书为用户提供身份和公钥之间的一致性证明后才能进行后续的交互,通信效率相对较低。而且公钥证书的产生、发布、更新、注销等过程相对繁琐,对证书的验证也需要较大的计算量,同时,证书存储和管理的开销也相对较大,因此,基于PKI的组密钥协商协议不太适合于带宽、计算能力和存储空间均有限的Ad Hoc网络环境。
  基于身份的密码体制(Identity-Based Cryptograph,IBC)避免了基于PKI的传统公钥密码系统中对证书的使用和验证过程,简化了公钥的管理。在基于身份的密码系统中,用户的公钥是一些公开的身份信息(例如身份标识符、电话号码、电子邮件地址等),或者其他用户可以利用这些身份信息直接计算出该用户的公钥。用户私钥则由一个可信的密钥生成中心(Key Generation Center, KGC)生成,并通过安全通道分发给用户。由于KGC知道所有用户的私钥,所以如果KGC有任何不诚实的行为或者系统主私钥的泄漏都将直接威胁到用户的隐私。因此,克服密钥托管的问题也是基于身份的认证密钥协商协议面临的主要问题,因而也不适用于对安全性有较高要求的Ad Hoc网络。   无证书认证密钥协商协议基于无证书公钥密码体制(CertificateLess Public Key Cryptosystem,CL-PKC)来实现,既避免了传统PKI体制对证书的使用和验证过程,也解决了基于身份的密码体制存在的私钥托管问题,其独特的特性使之成为当前密钥协商研究的热点。
  针对Ad Hoc网络的特点,本文提出基于资源感知的无证书认证组密钥协商协议,在获得网络节点的能量、计算能力以及地理位置等信息的基础上,使计算能力强、能量多的节点承担较多的运算,地理位置相近的节点优先进行密钥协商,可以有效提高组密钥协商的效率。同时通过在协议中避免使用运算量大的无双线性对运算,可以进一步提高密钥协商效率,满足Ad Hoc网络安全组通信的要求。
  1 相关工作
  自1976年Diffie和Hellman[1]提出著名的DH(Diffie Hellman)协议后,密钥管理研究开始进入蓬勃发展时期。1982年Ingemarsson等[2]基于DH协议提出了组密钥协商算法CKDS (Conference Key Distribution System),由组中成员共同协商生成组密钥,可以提供密钥的独立性和完美向前保密[3],具有较强的安全特性。之后,研究者们相继提出组密钥协商协议BD(Burmester Desmedt)[4]、GDH(Group Diffie-Hellman)[5]、TGDH(Tree-based Group Diffe-Hellman)[6]、JET(Join-Exit-Tree)[7]和HJET(Huffman-based Join-Exit-Tree scheme)[8]等,在保证安全性的基础上,通过减少通信量或计算量的方式提高组密钥协商效率。但是,上述组密钥協商协议在设计时没有考虑协议的认证性,容易遭受中间人攻击。针对这一缺陷,学者们对认证组密钥协商协议展开了广泛研究,主要集中于基于PKI的认证组密钥协商协议、基于身份的认证组密钥协商协议和无证书认证组密钥协商协议三方面。基于PKI的认证组密钥协商协议在协商时,需要通过CA发放公钥证书为用户提供身份和公钥之间的一致性证明后才能进行后续的交互,通信效率相对较低。公钥证书的产生、发布、更新和注销等过程相对繁琐,对证书的验证也需要较大的计算量。而且,一些基于PKI的认证组密钥协商协议使用运算复杂的双线性对来完成,对移动节点的计算负载和能量消耗非常大。
  为了避免证书的使用,1984年,Shamir[9]引入基于身份的密码概念。在这种密码系统中,用户的某种唯一确定的身份信息(例如身份标识符、电话号码、电子邮件地址等)就可作为公钥,或者可以利用这些身份信息直接计算出该用户的公钥。由于已经知道对方的公开身份信息,在使用时就不需要去查找公钥,也不需要对公钥的真实性进行检验。由于用户的身份信息是公开的,不需要对公钥进行查询和检验,因此避免了公钥证书的使用和CA的部署,简化了对公钥的管理。但是这种系统不可避免地存在一个固有的安全缺陷,即私钥托管问题:私钥生成中心KGC知道所有用户的私钥,不诚实的KGC可以窃听任何用户的通信,并可以伪造任何用户的签名。克服密钥托管的局限性是基于身份的认证密钥协商协议面临的主要问题。
  在这种情况下,为了有效解决私钥托管问题,Al-Riyami等[10]在2003年提出了无证书公钥密码体制。与基于PKI的传统公钥密码系统相比,无证书的公钥密码体制不需要公钥证书,同时也避免了基于身份的密码系统中的私钥托管问题。用户使用由KGC生成的部分私钥和自己随机选择的一个秘密值生成完整的私钥;用户的公钥一部分基于公开参数生成,一部分由用户自己生成。使用这种方法一方面消除了密钥托管,另一方面避免了公钥证书的使用。从2003至今,无证书公钥密码体制一直是密码学和信息安全领域非常活跃的研究热点,已经积累了大量的研究成果[11]。目前已有的无证书认证密钥协商协议大部分集中于对两方密钥协商协议安全性和效率的研究,或者使用双线性对来生成组密钥,下面从四方面进行阐述。
  1.1 基于双线性对的两方无证书认证密钥协商协议
  Al-Riyami等[10]在提出无证书公钥密码体制的同时,也设计了首个无证书两方密钥协商协议;但是,他们没有给出针对无证书密钥协商协议的安全模型,也没有对协议作安全性证明。继他们的开创性工作之后,文献[12-15]相继提出了一些改进的无证书密钥协商协议,但是这些作者只通过启发式的方式证明他们的协议是安全的。Swanson在文献[16-17]中提出了第一个正式的针对无证书认证密钥协商协议的安全模型,并对文献[12-15]的密钥协商协议进行了分析,指出这些协议即使在一般的攻击下也是不安全的。在文献[18]中,Lippold等提出了适用于无证书两方密钥协商的安全模型和一个无证书认证密钥协商协议,在安全模型中证明了所提协议的安全性。Lippold等所提的安全模型考虑了攻击者的各种能力,与Swanson所提的安全模型相比,Lippold等所提模型的安全性更强。Lippold等所提的密钥协商协议只需要一轮,但是每个用户需要5个模指数运算和10个双线性对才能得到协商的密钥,因此协议的实用性不强。Zhang等在文献[19]中提了一个新的安全模型和一个高效的密钥协商协议,并在安全模型的基础上证明该协议是可证安全的。杨浩民等在文献[20]中提出一个基于双线性对的无证书两方认证密钥协商协议,使用数字签名方案实现协议中的身份认证。该协议使用的双线性对运算的个数少,不使用模幂运算,计算量相对较小。Kermanshahi等在文献[21]中针对移动Ad Hoc网络提出了一个基于双线性对的轻量级的无证书密钥协商方法,与文献[22]中的方案相比,计算效率更高。
  1.2 无双线性对的两方无证书认证密钥协商协议
  以上提到的无证书密钥协商协议都是基于双线性对展开研究的。与有限域中的指数运算、点乘运算相比,双线性对运算花费代价是最高的。由于双线性对计算复杂度较高,一些学者开始研究不使用双线性对来构建无证书认证密钥协商协议,以提高计算效率。Baek等[23]在2005年提出了第一个不依赖双线性对的公钥加密方案。He等在文献[24]中提出了一个不使用双线性对的两方无证书认证密钥协商协议,但是该协议容易受到type I型攻击。随后,He等又在文献[25]中提出了高效的不使用双线性对的两方密钥协商协议,并证明该协议在eCK(extended Canetti-Krawczyk)模型[26]下是安全的。刘文浩等在文献[27]中提出一个适合于带宽受限网络两方密钥协商方案,并证明只要计算Diffie-Hellman假设成立,该方案在随机语言模型下是安全的。在文献[28]中,Yang等以eCK 模型为基础给出了一个无证书密钥协商的安全模型,并设计了一个计算高效且不使用双线性对的无证书认证密钥协商协议。在文献[28]的模型中,Yang等证明了文献[29-30]中的两个没有双线性配对运算的密钥协商协议是不安全的。但是,文献[28]中的无双线性配对协议并不能提供如Lippold等的基于双线性配对协议[18]一样的强安全性保证。类似的情况也出现在其他一些基于DH算法的无双线性配对的认证密钥协商算法中[31-32]。此外,该类协议需要采用额外的数字签名方案,这会带来通信和存储方面的额外开销。   1.3 基于双线性对的无证书认证组密钥协商协议
  目前针对多方参与的组密钥协商协议研究相对较少,主要集中于使用双线性对进行组密钥协商[33-38]。2007年,Heo等[33]提出了第一个基于无证书的组密钥协商协议。2008年,Lee等在文献[34]中指出Heo提出的协议不能提供完美向前保密,因而提出了一个能提供前向安全的无证书组密钥协商协议,但由于文献[34]中的组密钥协商协议是基于有安全缺陷的双方协商协议[35]构建的,因而其安全性是不可信赖的。在文献[36]中,Cao等提出了一个协商轮数恒定的无证书组密钥协商协议,采用签名来实现认证功能,并对安全性给出了正式的分析,但是他们在安全模型中对攻击者的行为没有建模。Geng等[37]指出文献[36]中的协议存在几个安全缺陷,不能提供前向安全,并在批验证签名的基础上提出了一个改进的组密钥协商协议,但是对协议的安全性没有进行正式分析。之后,Geng等在文献[38]中提出了另一个无证书组密钥协商协议,但计算效率不高。在文献[39]中,Gao等基于双线性对设计了一个高效的三方无证书密钥协商协议。在文献[40]中,Teng等提出了一个协商轮数恒定的无证书组密钥协商协议,在协议认证中没有使用签名,提高了协议的效率。
  1.4 无双线性对的无证书认证组密钥协商协议
  目前面向群组的不使用双线性对的无证书密钥协商协议在公开文献中相对较少。笔者在文献[41]中提出了第一个不使用双线性对的无证书组密钥协商协议,提高了组密钥协商的效率,之后又在文献[42]中提出了基于Huffman编码的组密钥协商协议,进一步提高了性能,但是没有给出正式的安全性证明。Kumar等在文献[43]中提出了一个基于椭圆曲线密码的匿名无双线性对无证书组密钥协商协议,基于环形建立组密钥,包括成员注册阶段和密钥建立阶段,组密钥建立效率要优于基于双线性对的无证书组密钥协商协议。
  从以上分析可以看出,无双线性对的无证书认证密钥协商协议由于其计算量小、效率高等特点,在很多领域都得到了广泛研究。但是,由于无双线性对无证书密钥协商协议不能提供和基于双线性对的无证书密钥协商协议一样强的安全性保证,同时还需要借助其他辅助的数字签名方案来完成协议的认证,这两个因素限制了无双线性对无证书密钥协商协议在组通信中的应用;同时,已有针对Ad Hoc网络的无证书组密钥协商协议也没有考虑网络中节点的能量约束。因此,研究安全、高效、基于资源感知的无双线性对无证书认证组密钥协商协议也成为本文的出发点。
  2 无证书认证组密钥协商协议安全模型
  针对目前缺少无证书认证组密钥协商协议安全模型的现状,本文分析影响协议安全性的各种因素,对这些因素进行形式化描述并建模,具体从以下几方面展开研究。
  2.1 模型概述
  假定协议参与者集合为U={u1,u2,…,un},协议可在集合U的任何m(m≤n)个参与者之间运行。每个参与者ui可以并发执行多次协议实例(也即会话),每个实例是一个概率多项式时间预言机。攻击者也建模为一个概率多项式预言机,攻击者的行为由随机预言机模拟,可以向挑战者对安全参数进行多次查询,挑战者通过预言机对攻击者的询问进行应答。
  在模型中,假设攻击者A可以完全控制网络。攻击者可以延迟、重放、修改、交织、删除或者重定向消息。用户ui的第i个实例用Πiui表示。如果实例计算出会话密钥skiui,则实例Πiui进入接受状态。实例或许会不进入接受状态而中断。每个实例Πiui通过状态stateiui维持一个内部的状态信息。如果所有的组成员都接受了一个相同的会话密钥,则协议是正确的。下面是一些所需的定义。
  Session ID:实例Πiui的会话ID用sidiui来表示,表示用户ui的第i个实例。
  Partner ID:实例Πiui的组成员ID是用户ui在第i次实例中试图与之建立会话密钥的一组成员,用pidiui来表示。
  如果sidiui=sidjui,并且pidiui=pidjui,则实例Πiui和实例Πjui是相同的。
  2.2 攻击者类型定义
  在本模型中,定义下列两类攻击者:
  第一类攻击者AI:攻击者是一个外部攻击者,可以查询用户的私钥或者替换合法用户的公钥,但是不能获得系统主密钥。
  第二类攻击者AII:攻击者为一个内部攻击者,相当于一个恶意的KGC,可以获得系统主密钥,但不能替换合法用户公钥或者查询用户私钥。
  在模型中,攻击者是上述两类攻击者的一种,可以是主动攻击者,能够替换、修改、延迟、插入和删除协议通信过程中的消息内容,也可以是能力受限的被动攻击者,只能对通信内容进行记录和分析。
  由于原始eCK模型是针对PKI体制的,只涉及到四个秘密值:协议双方的静态私钥和临时秘密,而在无证书认证组密钥协商协议中,每个参与方都涉及到三个秘密值:部分私钥、秘密值和长期私钥。因此,针对无证书认证组密钥协商协议的安全模型将更加复杂,一般认为只要每个参与方至少有一个秘密值没有泄露,即可认为该协议是安全的。
  2.3 攻击者游戏设定
  认证密钥协商协议的安全性通过挑战者与攻击者A之间的游戏来定义。在游戏的第一个阶段,攻击者可以进行多项式次数的询问,以获得与会话密钥相关的各种安全参数的信息。在第二阶段,攻击者对新鲜预言机Πiui进行Test查询,该预言机随机选择一个比特b∈{0,1}:如果b=0,返回一个随机数;否则,返回会话密钥给攻击者。进行Test查询后,攻击者根据所得信息,猜测b的值为b′,如果b=b′,那么攻击者在游戏中获胜。
  任意时刻,攻击者都可以作以下任意詢问:   Send(Πiui,M):这个询问向Πiui发送消息M。给攻击者返回Πiui在产生消息M的过程中生成的结果。如果M为空,那这个询问会初始化一个协议的执行。
  Reveal session key(Πiui):如果预言机Πiui已被接受,则攻击者可以进行这个询问,会话密钥将返回给攻击者。
  Reveal partial private key(ui):攻击者通过这个查询获得会话Πiui中用户ui的部分私钥。
  Reveal secret value(ui):通过这个询问,攻击者获得用户ui的秘密值。
  Request public key(ui):通过这个询问,攻击者获得用户ui的公钥。
  Replace public key(ui,pk):这个询问将用户ui的公钥替换为公钥值域空间的任意值pk,在以后的通信和计算中将使用新的公钥,但是用户ui会继续使用它原始的私钥来进行计算。
  Reveal state(Πiui):这个询问返回内部状态信息stateiui给攻击者。
  Test(Πiui):输入会话Πiui必须是新鲜的(见后文定义)。预言机随机选择一个比特数据b∈{0,1}:如果b=1,返回会话密钥给攻击者;否则,从有效会话密钥的区域中返回一个随机值。Test询问只能针对新鲜的预言机询问一次。
  在Test查询之后,攻击者可以继续进行其他查询,但会话Πiui应保持新鲜。在任意时刻,攻击者可以输出猜测的b′,如果b′=b,则攻击者赢得了游戏。攻击者A赢得游戏的优势被定义为:AdvA(k)=Pr[Succ]-12。
  存在第一类攻击者时,如果Reveal partial private key(ui)和Reveal secret value(ui),或者Reveal partial private key(ui)和Replace public key(ui,pk)同时被询问过,那么用户ui被认为是腐化的。存在第二类攻击者时,如果Reveal secret value(u)或者Replace public key(ui,pk)被询问过,则用户ui是腐化的,因为第二类攻击者知道所有用户的部分私钥。一个没有被腐化的用户称为诚实的用户。
  定义1 新鲜会话。如果下列条件成立,则实例Πiui是新鲜的:
  1)Πiui接受了會话密钥;
  2)Πiui和它的成员都没有进行过Reveal session key或者Reveal state询问;
  3)pidiui中的任何用户都没有被腐化。
  定义2 安全的认证密钥协商协议。我们称一个无证书认证组密钥协商协议(在eCK 模型下)是安全的,如果匹配的会话计算出相同的会话密钥并且对于任何概率多项式时间攻击者A(包括第一类攻击者和第二类攻击者),赢得以上游戏的优势是可以忽略的。
  3 无配对无证书认证组密钥协商协议
  为降低组密钥建立和更新过程中的计算量和通信量,提高组密钥协商效率,本文基于Huffman密钥树,提出一个不使用双线性配对运算的无证书认证组密钥协商协议,避免了复杂的配对运算。下面对无配对无证书认证组密钥协商协议进行阐述。
  3.1 初始化过程
  初始化过程分为三个步骤:
  1)系统初始化及参数设置。这一阶段由KGC完成,KGC输入k,生成素数p,确定集合{Fp,E/Fp,G,P}。随机选取主私钥x∈RZ*p,计算主公钥Ppub=xP,同时选择两个哈希函数:H1:{0,1}*×G→Z*p,H2:{0,1}*2×G9→{0,1}k。主私钥x是秘密的,{Fp,E/Fp,G,P,Ppub,H1,H2}是公开的。
  2)部分私钥生成。对于ID为IDU的成员,KGC为其选择一个随机数rU∈RZ*p,计算RU=rUP,h=H1(IDU‖RU),sU=(rU+hx)-1,然后由KGC将(sU,RU)秘密地传递给IDU。通过检查等式sU(RU+H1(IDU‖RU)Ppub)=P是否成立,成员IDU可以验证自己部分私钥的正确性。
  3)用户秘密值生成。用户IDU随机选取xU∈RZ*p作为自己的私钥uskU=xU,计算自己的公钥upkU=xUP。
  3.2 组密钥协商过程
  6 结语
  本文提出了一种基于无证书的无配对组密钥协商协议,以满足Ad Hoc网络中对组密钥协商的安全性和效率要求。在所提协议中,采用了Huffman密钥树结构来减少协商轮数,采用标量点乘运算替代配对运算来减少计算开销,并且采用隐式认证避免了签名。通过以上方法,组密钥建立和更新开销大大降低。安全性分析表明,本文方案可以满足安全要求,具有较高的安全性。性能分析表明,与现有基于无证书的组密钥协商协议相比,本文协议具有较高的效率,适用于Ad Hoc网络组通信。
  参考文献:
  [1] DIFFIE W, HELLMAN M E. New directions in cryptography [J]. IEEE Transactions on Information Theory,1976,22(6):644-654.
  [2] INGEMARSSON I, TANG D, WONG C K. A conference key distribution system [J]. IEEE Transactions on Information Theory, 1982, 28(5):714-719.   [3] MENEZES A J, VANSTONE S A, OORSCHOT P C V. Handbook of Applied Cryptography [M]. Boca Raton,FL:CRC Press,1997.
  [4] BURMESTER M, DESMEDT Y. A secure and efficient conference key distribution system [C]// Advances in Cryptology — EUROCRYPT94. Berlin: Springer, 1995: 275-286.
  [5] STEINER M, TSUDIK G, WAIDNER M. Diffie-Hellman key distribution extended to group communication [C]// Proceedings of the 3rd ACM Conference on Computer and Communications Security. New York: ACM, 1996:31-37.
  [6] KIM Y, PERRIG A, TSUDIK G. Tree-based group key agreement [J]. ACM Transactions on Information & System Security,2004,7(1):60-96.
  [7] MAO Y, SUN Y, WU M, et al. JET: dynamic join-exit-tree amortization and scheduling for contributory key management [J]. IEEE/ACM Transactions on Networking, 2006, 14(5):1128-1140.
  [8] GU X Z, YANG J X, LAN J L, et al. Huffman-based join-exit-tree scheme for contributory key management [J]. Computers & Security, 2009, 28(1):29-39.
  [9] SHAMIR A. Identity-based cryptosystems and signature schemes [C]// Proceedings of CRYPTO 84. Berlin: Springer,1984:47-53.
  [10] AL-RIYAMI S S, PATERSON K G. Certificateless public key cryptography [C]// Proceedings of the 2003 International Conference on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2003:452-473.
  [11] 張福泰,孙银霞,张磊,等.无证书公钥密码体制研究[J]. 软件学报, 2011, 22(6): 1316-1332. (ZHANG F T, SUN Y X, ZHANG L, et al. Research on certificateless public key cryptography [J]. Journal of Software, 2011, 22(6): 1316-1332.)
  [12] SHAO Z H. Efficient authenticated key agreement protocol using self-certified public keys from pairings [J]. Wuhan University Journal of Natural Sciences,2005,10(1):267-270.
  [13] MANDT T K, TAN C H. Certificateless authenticated two-party key agreement protocols [C]// Proceedings of the 11th Asian Computing Science Conference on Advances in Computer Science: Secure Software and Related Issues. Berlin: Springer, 2006:37-44.
  [14] WANG S, CAO Z, WANG L. Efficient certificateless authenticated key agreement protocol from pairings [J]. Wuhan University Journal of Natural Sciences, 2006, 11(5):1278-1282.
  [15] XIA L, WANG S, SHEN J. Breaking and repairing the certificateless key agreement protocol from ASIAN 2006 [J]. Wuhan University Journal of Natural Sciences, 2008, 13(5):562.
  [16] SWANSON C M. Security in key agreement: two-party certificateless schemes [EB/OL].[2018-03-20]. http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.843.265&rep=rep1&type=pdf.   [17] SWANSON C, JAO D. A study of two-party certificateless authenticated key-agreement protocols [C]// Proceedings of the 10th International Conference on Cryptology in India: Progress in Cryptology. Berlin: Springer, 2009:57-71.
  [18] LIPPOLD G, BOYD C, NIETO J G. Strongly secure certificateless key agreement [C]// Proceedings of the 3rd International Conference Palo Alto on Pairing-Based Cryptography. Berlin: Springer, 2009:206-230.
  [19] ZHANG L, ZHANG F, WU Q, et al. Simulatable certificateless two-party authenticated key agreement protocol [J]. Information Sciences, 2010, 180(6):1020-1030.
  [20] 杨浩民,张尧学,周悦芝.基于双线性对的无证书两方认证密钥协商协议[J].清华大学学报(自然科学版),2012,52(9):1293-1297. (YANG H M, ZHANG Y X, ZHOU Y Z. Certificateless two-party authenticated key agreement protocol based on bilinear pairings [J]. Journal of Tsinghua University (Science and Technology), 2012, 52(9): 1293-1297.)
  [21] KERMANSHAHI S K, SALLEH M. An enhanced certificateless cryptosystem for mobile Ad Hoc networks [C]// Proceedings of the 2014 International Symposium on Biometrics and Security Technologies. Piscataway, NJ: IEEE, 2014:176-181.
  [22] EISSA T. A novel lightweight authentication scheme for mobile Ad Hoc networks [J]. Arabian Journal for Science & Engineering, 2012, 37(8): 2179-2192.
  [23] BAEK J, SAFAVI-NAINI R, SUSILO W. Certificateless public key encryption without pairing [C]// Proceedings of the 8th International Conference on Information Security. Berlin: Springer, 2005:134-148.
  [24] HE D, CHEN Y, CHEN J, et al. A new two-round certificateless authenticated key agreement protocol without bilinear pairings [J]. Mathematical & Computer Modelling, 2011, 54(11):3143-3152.
  [25] HE D, PADHYE S, CHEN J. An efficient certificateless two-party authenticated key agreement protocol [J]. Computers & Mathematics with Applications, 2012,64(6):1914-1926.
  [26] LAMACCHIA B, LAUTER K, MITYAGIN A. Stronger security of authenticated key exchange [C]// Proceedings of the 1st International Conference on Provable Security. Berlin: Springer, 2007:1-16.
  [27] 劉文浩,许春香.无证书两方密钥协商方案[J]. 软件学报,2011,22(11):2843-2852. (LIU W H, XU C X. Two party certificateless key agreement schemes [J]. Journal of Software, 2011, 22(11): 2843-2852.)
  [28] YANG G, TAN C H. Strongly secure certificateless key exchange without pairing [C]// Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security. New York: ACM, 2011: 71-79.   [29] GENG M, ZHANG F. Provably secure certificateless two-party authenticated key agreement protocol without pairing [C]// Proceedings of the 2009 International Conference on Computational Intelligence and Security. Piscataway, NJ: IEEE, 2010: 208-212.
  [30] HOU M, XU Q. A two-party certificateless authenticated key agreement protocol without pairing [C]// Proceedings of the 2009 2nd IEEE International Conference on Computer Science and Information Technology. Piscataway, NJ: IEEE, 2009, 3:412-416.
  [31] SARR A P, ELBAZ-VINCENT P, BAJARD J C. A new security model for authenticated key agreement [C]// Proceedings of the 7th International Conference on Security and Cryptography for Networks. Berlin: Springer, 2010:219-234.
  [32] SUN H, WEN Q, ZHANG H, et al. A novel pairing-free certificateless authenticated key agreement; protocol with provable security [J]. Frontiers of Computer Science, 2013, 7(4):544-557.
  [33] HEO S, KIM Z, KIM K. Certificateless authenticated group key agreement protocol for dynamic groups [C]// Proceedings of the 2007 IEEE Global Telecommunications Conference. Piscataway, NJ: IEEE, 2007:464-468.
  [34] LEE E J, LEE S E, YOO K Y. A certificateless authenticated group key agreement protocol providing forward secrecy [C]// Proceedings of the 2008 International Symposium on Ubiquitous Multimedia Computing. Piscataway, NJ: IEEE, 2008:124-129.
  [35] SHI Y, LI J. Two-party authenticated key agreement in certificateless public key cryptography [J]. Wuhan University Journal of Natural Sciences, 2007, 12(1):71-74.
  [36] CAO C, JIANFENG M A, SANGJAE M. Provable efficient certificateless group key exchange protocol [J]. Wuhan University Journal of Natural Sciences, 2007, 12(1): 41-45.
  [37] GENG M, ZHANG F. An improved secure certificateless authenticated group key agreement protocol [C]// Proceedings of the 2009 IEEE International Conference on Intelligent Computing and Intelligent Systems. Piscataway, NJ: IEEE, 2009:337-341.
  [38] GENG M, ZHANG F, GAO M. A secure certificateless authenticated group key agreement protocol [C]// Proceedings of the 2009 International Conference on Multimedia Information Networking and Security. Washington, DC: IEEE Computer Society, 2009:342-346.
  [39] GAO M, ZHANG F, GENG M. An efficient certificateless authenticated tripartite key agreement protocol [C]// Proceedings of the 2009 International Conference on Management and Service Science. Piscataway, NJ: IEEE, 2009:1-4.
  [40] TENG J, WU C. A provable authenticated certificateless group key agreement with constant rounds [J]. Journal of Communications & Networks, 2012, 14(1):104-110.
  [41] GU X, XU T, ZHOU W, et al. A pairing-free certificateless authenticated group key agreement protocol [C]// Proceedings of the 2014 IEEE International Conference on High Performance Computing and Communications(HPCC), 2014 IEEE 6th International Symposium on Cyberspace Safety and Security (CSS) and 2014 IEEE 11th International Conference on Embedded Software and Systems (ICESS). Piscataway, NJ: IEEE, 2014:510-513.
  [42] GU X, CAO Z, WANG Y. How to get group key efficiently in mobile Ad Hoc networks? [C]// Proceedings of the 2015 IEEE Military Communications Conference. Piscataway, NJ: IEEE, 2015:1009-1014.
  [43] KUMAR A, TRIPATHI S. A pairing free anonymous certificateless group key agreement protocol for dynamic group [J]. Wireless Personal Communications, 2015, 82(2):1027-1045.
转载注明来源:https://www.xzbu.com/8/view-14941681.htm