張串絨，張玉清，李發(fā)根，肖鴻

（1. 中國(guó)科學(xué)院 研究生院，北京100049；2. 空軍工程大學(xué) 電訊工程學(xué)院，陜西 西安 710077；3. 電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，四川 成都 611731）

1 引言

Ad hoc 網(wǎng)絡(luò)作為一種新型無(wú)線網(wǎng)絡(luò)，能夠在沒(méi)有事先建立基礎(chǔ)設(shè)施的環(huán)境下，由一組帶有無(wú)線通信裝置的移動(dòng)節(jié)點(diǎn)組成多跳步、臨時(shí)性的自治通信系統(tǒng)。它以其組網(wǎng)迅速、適應(yīng)性強(qiáng)、成本低廉等優(yōu)點(diǎn)，可廣泛應(yīng)用于工商、醫(yī)療、家庭、辦公環(huán)境和軍事等各個(gè)領(lǐng)域，具有廣闊的應(yīng)用前景。但ad hoc網(wǎng)絡(luò)無(wú)中心、分布式管理、資源受限等特點(diǎn)，使其在信息的認(rèn)證性、機(jī)密性、完整性、抗抵賴等安全性及其實(shí)現(xiàn)方面產(chǎn)生嚴(yán)重障礙。同時(shí)傳統(tǒng)網(wǎng)絡(luò)基于較充足網(wǎng)絡(luò)資源、固定連接、穩(wěn)定拓?fù)?、專門(mén)路由、命名和目錄等多種服務(wù)基礎(chǔ)上的相關(guān)安全措施，不再適于ad hoc 網(wǎng)絡(luò)，這就要求為ad hoc 網(wǎng)絡(luò)通信設(shè)計(jì)專門(mén)的安全技術(shù)和算法。

在ad hoc 網(wǎng)絡(luò)的安全通信中，大量信息的存儲(chǔ)和傳輸是同時(shí)需要機(jī)密性和可認(rèn)證性保護(hù)的。密碼學(xué)傳統(tǒng)上是以“先簽名再加密”的方法來(lái)同時(shí)實(shí)現(xiàn)機(jī)密性和認(rèn)證性這2種安全服務(wù)的，但這種簡(jiǎn)單組合的方法，其計(jì)算和通信代價(jià)是加密和簽名的總和，效率較低，不適合ad hoc 網(wǎng)絡(luò)受限的環(huán)境。1997年，文獻(xiàn)[1]提出了一種新的密碼技術(shù)——簽密，它能在一個(gè)邏輯步內(nèi)同時(shí)實(shí)現(xiàn)機(jī)密性和可認(rèn)證性2項(xiàng)安全需求，效率遠(yuǎn)遠(yuǎn)高于“先簽名再加密”方法，已被公認(rèn)為是同時(shí)實(shí)現(xiàn)機(jī)密性和可認(rèn)證性的理想方法。目前，已有許多文獻(xiàn)研究將簽密技術(shù)用于ad hoc 網(wǎng)絡(luò)的密鑰管理、安全路由等安全協(xié)議的設(shè)計(jì)，其中文獻(xiàn)[2～6]研究了基于身份的簽密算法在ad hoc網(wǎng)絡(luò)安全協(xié)議中的應(yīng)用。已有研究成果表明，基于身份簽密技術(shù)對(duì)提高 ad hoc 網(wǎng)絡(luò)通信的安全性及其實(shí)現(xiàn)效率具有重要作用。為了進(jìn)一步提高ad hoc網(wǎng)絡(luò)通信的安全性和效率，本文研究新的基于身份的簽密算法，給出了一個(gè)可證明安全的短的基于身份的簽密算法，簡(jiǎn)稱S-IDSC，與已有簽密算法相比，其計(jì)算和傳輸代價(jià)小，能更好地滿足ad hoc網(wǎng)絡(luò)無(wú)線通信帶寬受限、電池供電、收發(fā)設(shè)備內(nèi)存小的特殊環(huán)境，高效實(shí)現(xiàn) ad hoc 網(wǎng)絡(luò)密鑰管理、安全路由等通信過(guò)程中的安全需求。

2 相關(guān)基礎(chǔ)

2.1 基于身份簽密算法的組成

Malone-Lee在文獻(xiàn)[7]中首次提出了基于身份簽密思想，給出如下算法結(jié)構(gòu)。

1) 系統(tǒng)建立(setup)：給定系統(tǒng)安全參數(shù)k，由密鑰生成中心PKG生成系統(tǒng)參數(shù)；

2) 密鑰提取(extract)：對(duì)消息發(fā)送者和接收者給出的身份信息 I DA和 I DB，由PKG生成與之相應(yīng)的公私鑰對(duì)(dA,QA)和(dB, QB)，并通過(guò)秘密信道傳給相應(yīng)用戶；

3) 簽密(signcrypt)：輸入 dA、 I DB和消息m，生成密文σ；

4) 解簽密(unsignc)：輸入 dB、 IDA和σ，輸出m或⊥，輸出⊥表明σ為無(wú)效簽密密文。

目前提出的基于身份簽密算法的還有文獻(xiàn)[8～11]等。這些基于身份簽密算法多是利用橢圓曲線上雙線性對(duì)來(lái)實(shí)現(xiàn)的，如 Weil對(duì)或改進(jìn)的 Tate對(duì)。所謂雙線性對(duì)是一種變換，定義如下。

設(shè) G1和 G2是2個(gè)q階的循環(huán)群，如果變換e滿足如下。

基于橢圓曲線上雙線性對(duì)的簽密算法，具有短的密鑰長(zhǎng)度和低的通信帶寬要求。

2.2 基于身份簽密算法的安全性定義

文獻(xiàn)[8]定義了一種基于身份簽密算法的安全概念，具體如下。

定義 1 保密性：如果沒(méi)有任何多項(xiàng)式有界的敵手以一個(gè)不可忽略的優(yōu)勢(shì)贏得以下游戲，則稱一個(gè)基于身份的簽密算法在適應(yīng)性選擇密文攻擊下是不可區(qū)分的（IND-IBSC-CCA2）。

1) 初始化階段，挑戰(zhàn)者Γ輸入安全參數(shù)k，運(yùn)行系統(tǒng)建立算法，并將系統(tǒng)參數(shù) params發(fā)送給敵手Ω，保密系統(tǒng)私鑰s。

2) 詢問(wèn)階段（第一階段詢問(wèn)），執(zhí)行以下多項(xiàng)式有界次適應(yīng)性詢問(wèn)。

密鑰提取詢問(wèn)：敵手Ω選擇一個(gè)身份 I DU，挑戰(zhàn)者Γ計(jì)算 dU=Extract(I DU)并將結(jié)果發(fā)給Ω。

簽密詢問(wèn)：Ω選擇2個(gè)身份 I Di和 I Dj、一個(gè)明文m。Γ計(jì)算并將結(jié)果σ發(fā)送給Ω。

解簽密詢問(wèn)：Ω選擇 2個(gè)身份 I Di和 I Dj、一個(gè)密文σ。Γ首先計(jì)算私鑰然后計(jì)算 U nsignc(σ,dj,I Di)，最后發(fā)送結(jié)果明文m或符號(hào)⊥給敵手Ω。

Ω能根據(jù)Γ對(duì)他簽密提交詢問(wèn)的回答，調(diào)整他的詢問(wèn)。

3) Ω輸出2個(gè)相同長(zhǎng)度的明文 m0、m1和他希望挑戰(zhàn)的2個(gè)身份 I DA和 I DB。I DA和 I DB不能是在2) 中已經(jīng)執(zhí)行過(guò)密鑰提取詢問(wèn)的身份。

5) 第二階段詢問(wèn)：像 2)中那樣，Ω再次執(zhí)行多項(xiàng)式有界次詢問(wèn)。但是他不能對(duì) I DA和 I DB執(zhí)行私鑰提取詢問(wèn)，也不能對(duì)密文σ執(zhí)行解簽密詢問(wèn)。

最后，Ω輸出一個(gè)值v′作為對(duì)v的猜測(cè)。如果v′=v，Ω贏得游戲。

定義 2 不可偽造性：如果不存在任何多項(xiàng)式有界的敵手以一個(gè)不可忽略的優(yōu)勢(shì)贏得以下游戲，則稱一個(gè)基于身份的簽密方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的(EUF-IBSC-CMA)。

1) 初始化階段：挑戰(zhàn)者Γ輸入安全參數(shù)k，運(yùn)行系統(tǒng)建立算法，并將系統(tǒng)參數(shù)params發(fā)送給敵手Ω，并保密系統(tǒng)私鑰s。

2) 詢問(wèn)階段：Ω類似保密性定義中那樣執(zhí)行多項(xiàng)式有界次詢問(wèn)。

3) 最后，Ω輸出一個(gè)新的三元組(σ*,I D ,I D ))，且這個(gè)三元組不是詢問(wèn)階段簽密預(yù)

A B言機(jī)的輸出， I DA也不是詢問(wèn)階段的密鑰提取預(yù)言機(jī)的輸出。如果 U nsignc( σ*,dB, I DA)的結(jié)果不是符號(hào)⊥，則A贏得游戲。

3 新的基于身份簽密算法S-IDSC

系統(tǒng)參數(shù)：給定安全參數(shù)k，PKG首先選取橢圓曲線上的2個(gè)q階的循環(huán)群 (G1,+)和 (G2,?)，G1的生成元為P，由 G1和 G2上Weil對(duì)或Tate對(duì)的變形得到雙線性變換記為PKG隨機(jī)選取自己的私鑰 δ ∈ Zq*，計(jì)算相應(yīng)公鑰PKG再選取安全的對(duì)稱密碼算法(E,D)和3個(gè)散列函數(shù)其中l(wèi)1是身份ID的比特長(zhǎng)度，l2是 G1中元素的比特長(zhǎng)度，n是明文比特長(zhǎng)度。這樣，該算法的系統(tǒng)參數(shù)是

密鑰提取：給出用戶的身份 I DU，PKG計(jì)算相應(yīng)的公鑰和私鑰 dU=δQU；本算法中發(fā)送者Alice和接收者Bob的身份公私鑰對(duì)分別記為(dA, QA)和(dB, QB)。

假定Alice要將消息m簽密發(fā)送給Bob，他們執(zhí)行以下簽密和解簽密過(guò)程。

Alice簽密：

Alice發(fā)送密文σ=(t,r)給Bob，Bob收到密文σ后執(zhí)行下面解簽密。

Bob解簽密：

算法的正確性證明：

關(guān)于算法要說(shuō)明的是： dA和 dB本來(lái)是 G1上的點(diǎn)，在計(jì)算簽密中和解簽密中時(shí)需將它們轉(zhuǎn)換成 Zq*中的數(shù)。轉(zhuǎn)換的方法很多，比如，如果 G1是定義在有限域 Zq*上的橢圓曲線上的群，可以用 G1上點(diǎn)的橫坐標(biāo)代表橢圓曲線上的點(diǎn)。關(guān)于這點(diǎn)文獻(xiàn)[12]有類似說(shuō)明，可參考。

4 S-IDSC安全性及其效率分析

4.1 安全性分析和證明

假設(shè)S-IDSC中所使用的散列函數(shù)H1、H2、H3是隨機(jī)預(yù)言機(jī)。用符號(hào) qi(i = 1 ,2,3)表示攻擊者詢問(wèn)Hi的次數(shù)， qs和 qd分別表示攻擊者詢問(wèn)簽密機(jī)和解簽密機(jī)的次數(shù)。

4.1.1 機(jī)密性

S-IDSC的機(jī)密性是基于雙線性對(duì) Diffie-Hellman問(wèn)題（BDH）的。所謂BDH問(wèn)題是指：給定(P,a P,b P,c P ) ,計(jì) 算其中為未知，P是G1的生成元。

結(jié)論 1 對(duì)S-IDSC，如果存在一個(gè) IND-IBSCCCA2攻擊者Ω能夠在t時(shí)間內(nèi)，以ε的優(yōu)勢(shì)贏得定義 1中的游戲，那么，就存在一個(gè)算法 C，能夠在時(shí)間內(nèi)，以的優(yōu)勢(shì)解決BDH問(wèn)題，其中et表示計(jì)算一次雙線性對(duì)運(yùn)算所需要的時(shí)間。

證明C接收了一個(gè)隨機(jī)的 BDH問(wèn)題實(shí)例他的目標(biāo)是計(jì)算出e(P,P )abc，其中算法 C將攻擊者Ω作為它的子程序利用。結(jié)論1的證明分模擬階段和分析階段2個(gè)階段進(jìn)行。

1) 模擬階段

C需要維護(hù) L1,L2, L3,Ls, Ld5張列表，用它們來(lái)記錄C對(duì)Ω詢問(wèn) H1,H2, H3,S igncrypt,Unsignc的回答，這些列表初始時(shí)是空的， L1,L2, L3分別用于跟蹤Ω對(duì)預(yù)言機(jī) H1,H2, H3的詢問(wèn)，Ls和 Ld分別用于模擬簽密預(yù)言機(jī)和模擬解簽密預(yù)言機(jī)。

H1詢問(wèn)：C首先從 {1 ,2,…,q1}中選取2個(gè)隨機(jī)數(shù) i,j。Ω對(duì) H1進(jìn)行多項(xiàng)式有限次詢問(wèn)，對(duì)Ω的第i次詢問(wèn)，回答 H1(I Di) = a P，對(duì)Ω的第j次詢問(wèn)，回答 H1(I Dj)= b P。由于 a P,bP是 BDH問(wèn)題實(shí)例中的值，因此， I Di和 I Dj的私鑰 di、 dj就分別是acP、bcP（C并不能計(jì)算出這些值），而B(niǎo)DH問(wèn)題的值 e (P,P )abc可由算出。對(duì)第e≠i、j次的詢問(wèn)，C從Z*q中隨機(jī)取一值be，計(jì)算，并將(I De, be)添加到 L1中，給出回答值 Qe。

H2詢問(wèn)：C首先檢查列表 L2中是否存在(ωe, k2,e)。如果列表 L2含有該條目，C把條目中給出的回答 k2,e輸出給Ω；否則，C從 Z*q中隨機(jī)取一值 k2，將 (ωe,k2)添加到 L2中并輸出 k2。

H3詢問(wèn)：C首先檢查列表 L3中是否存在。如果列表 L3含有該條目，C把條目中給出的回答 re輸出給Ω；否則，C從 Zq*中隨機(jī)取一個(gè)值r，將添加到 L3中并輸出值r。

密鑰提取詢問(wèn)：當(dāng)Ω詢問(wèn) E xtract(I DA)時(shí)，如果或j，那么C將失敗并終止模擬；否則，在列表 L1中查找對(duì)應(yīng)的條目，C計(jì)算 I DA的私鑰并給Ω。

簽密詢問(wèn)：任何時(shí)候Ω可以選擇消息m和 2個(gè)身份 I DA和 I DB，對(duì)進(jìn)行簽密詢問(wèn)（此前已經(jīng)對(duì) I DA和 I DB進(jìn)行過(guò)密鑰提取查詢）。①如果，C可通過(guò)密鑰提取算法Extract(I DA)計(jì)算出 I DA的私鑰 dA，然后簡(jiǎn)單地運(yùn)行簽密運(yùn)算 S igncrypt(m,dA, QB)即可。②如果或但，C按如下過(guò)程模擬 S igncrypt(m,dA, QB)：首先在 L1中找到(I DB, dB)，然后從 Z*q中隨機(jī)選取x′和s′，計(jì)算可以從上述 H2詢問(wèn)獲得)，計(jì)算 r ′ ← H3(k1′,m)，并檢查 H3的條目中是否已經(jīng)有三元組 ( k1′,m,r ′)，且如果是這樣，C重復(fù)以上過(guò)程，另選x′和s′，直到找到的三元組的前兩元在 H3的條目中沒(méi)出現(xiàn)過(guò)，并將此條目添加到 L3，再計(jì)算相應(yīng)的最后將簽密密文給Ω，這個(gè)簽密密文在Ω看來(lái)是有效的。③如果 I DA和IDB就是 I Di和 I Dj，那么，C從 Zq*中隨機(jī)選取x*和s*，計(jì)算再任選，計(jì)算(可從對(duì) H2的詢問(wèn)獲得)，計(jì)算，類似②檢查 H 中是否已經(jīng)有相應(yīng)3的三元組如有，重復(fù)該過(guò)程，直到找到的三元組的前兩元在 H3的條目中沒(méi)出現(xiàn)過(guò)為止，并將此條目添加到L3，計(jì)算t*←E(s*m)，C最后

解簽密詢問(wèn)：當(dāng)攻擊者Ω觀察到關(guān)于 I Di和IDj的簽密密文時(shí)，它可能要 C解密σ*。這種情況下，C就告知他該密文無(wú)效。當(dāng)簽密密文是關(guān)于 I DA和 I DB的，但不是 I Di和IDj時(shí)，Ω收到該解簽密詢問(wèn)，首先計(jì)算(可從對(duì) H2的詢問(wèn)獲得)，計(jì)算檢查是否在L3中，如果不在，C拒絕解密該密文；否則，C解簽密恢復(fù)出m。

2) 分析階段

下面對(duì)上述模擬進(jìn)行分析，計(jì)算C成功的概率。如果Ω在第一階段對(duì) I Di和 I Dj執(zhí)行密鑰提取詢問(wèn)，C將失敗。而在 q1次密鑰提取詢問(wèn)中，選擇(I D,I D )的方法有 c2種，因此，Ω選擇身份 I D和

i j q1iIDj作為挑戰(zhàn)身份的概率大于。在第二階段詢問(wèn)中，如果Ω對(duì)執(zhí)行 H2詢問(wèn)，C將失敗，同理，在對(duì) H2的 q2次詢問(wèn)中Ω不對(duì)執(zhí)行 H2詢問(wèn)的概率大于q1。在對(duì)簽2密機(jī)的一次詢問(wèn)中，由于 C失敗的概率最多為那么，q 次簽密機(jī)詢問(wèn)失敗的概率最多為s，則C成功的概率至少是1因此，C 解決 BDH 問(wèn)題的優(yōu)勢(shì)至少為。在C的計(jì)算時(shí)間方面，每次簽密和解簽密詢問(wèn)都是最多需要1次雙線性對(duì)運(yùn)算。

4.1.2 不可偽造性

S-IDSC的不可偽造性是基于橢圓曲線上離散對(duì)數(shù)困難問(wèn)題（ECDL問(wèn)題）的。ECDL問(wèn)題是指：已知計(jì)算使得，其中P是 G1的生成元。

結(jié)論 2假設(shè)橢圓曲線上離散對(duì)數(shù)問(wèn)題是困難的，那么在隨機(jī)預(yù)言機(jī)模型下，S-IDSC是適應(yīng)性選擇消息攻擊下存在性不可偽造的。

如果一個(gè)敵手能偽造一個(gè)S-IDSC中的簽名，那么他就能偽造文獻(xiàn)[12]中橢圓曲線上的短簽名SECDSS1。文獻(xiàn)[1]指出在離散對(duì)數(shù)困難問(wèn)題下，如果將散列函數(shù)視為隨機(jī)函數(shù)，那么，簽名標(biāo)準(zhǔn)算法DSS的變體 SDSS1是在適應(yīng)性選擇消息攻擊下存在性不可偽造的；因此，在橢圓曲線離散對(duì)數(shù)問(wèn)題困難假設(shè)和隨機(jī)預(yù)言機(jī)模型下，S-IDSC是在適應(yīng)性選擇消息攻擊下存在性不可偽造的。

4.2 效率分析

S-IDSC與已有基于身份的簽密算法相比，效率明顯提高，這主要體現(xiàn)在計(jì)算量和通信量?jī)煞矫妗Ｊ紫?，從基于身份簽密中涉及的主要運(yùn)算：雙線性對(duì)運(yùn)算（P）、標(biāo)量乘(M)和指數(shù)運(yùn)算(E)來(lái)考察，S-IDSC的簽密算法需要1個(gè)雙線性對(duì)運(yùn)算和1個(gè)標(biāo)量乘運(yùn)算，不需要指數(shù)運(yùn)算；其解簽密算法需要 1個(gè)雙線性對(duì)運(yùn)算和2個(gè)標(biāo)量乘運(yùn)算，也不需要指數(shù)運(yùn)算，因此，S-IDSC共需要2個(gè)雙線性對(duì)運(yùn)算，3個(gè)標(biāo)量乘運(yùn)算，不需要指數(shù)運(yùn)算。要特別說(shuō)明的是，S-IDSC中的2個(gè)雙線性對(duì)運(yùn)算都是可以預(yù)計(jì)算的。進(jìn)一步，考察S-IDSC的傳輸量，在S-IDSC中，需要傳輸?shù)男畔⑹铅?(t,r)，傳輸量是用表1給出本文算法與目前已有的幾個(gè)重要基于身份簽密算法的效率比較。在表1中， x( + y )表示x次雙線性對(duì)運(yùn)算，y次雙線性對(duì)預(yù)運(yùn)算。

表1 S-IDSC與已有重要基于身份簽密算法的效率比較

5 S-IDSC在ad hoc網(wǎng)絡(luò)中應(yīng)用說(shuō)明

對(duì)ad hoc網(wǎng)絡(luò)來(lái)說(shuō)，密鑰必須由網(wǎng)絡(luò)節(jié)點(diǎn)自己動(dòng)態(tài)生成并分發(fā)。在密鑰分發(fā)或傳遞過(guò)程中常常需要安全秘密信道，以確保密鑰分發(fā)過(guò)程的機(jī)密性和認(rèn)證性，不僅如此，ad hoc網(wǎng)絡(luò)無(wú)線鏈路、微型終端、電池供電等特殊網(wǎng)絡(luò)環(huán)境，要求所使用的安全方案必須是輕量級(jí)的，力求最小的計(jì)算和傳輸量以節(jié)省資源。S-IDSC計(jì)算和傳輸代價(jià)低，從而可縮短密鑰分發(fā)的時(shí)間、節(jié)省帶寬資源，能有效地實(shí)現(xiàn)ad hoc網(wǎng)絡(luò)的密鑰管理的安全要求。下面以文獻(xiàn)[13]中ad hoc網(wǎng)絡(luò)的基于身份的(,)tn門(mén)限密鑰管理中服務(wù)節(jié)點(diǎn)系統(tǒng)密鑰份額更新為例，說(shuō)明S-IDSC在ad hoc網(wǎng)絡(luò)安全協(xié)議中的應(yīng)用方法?；?S-IDSC的ad hoc網(wǎng)絡(luò)(,)tn門(mén)限密鑰管理中服務(wù)節(jié)點(diǎn)系統(tǒng)密鑰份額更新協(xié)議過(guò)程如下。

1) 初始化：由離線的PKG選擇ad hoc網(wǎng)絡(luò)的的系統(tǒng)參數(shù)，包括S-IDSC中的系統(tǒng)參數(shù)。

2) 更新請(qǐng)求：為了提高網(wǎng)絡(luò)的可用性，假設(shè)整個(gè)ad hoc網(wǎng)絡(luò)被劃分成定長(zhǎng)時(shí)段，在每個(gè)時(shí)段結(jié)束前，各服務(wù)節(jié)點(diǎn)必須要為自己請(qǐng)求下一時(shí)段的新系統(tǒng)密鑰份額。為此，請(qǐng)求節(jié)點(diǎn)廣播請(qǐng)求信息；收到該信息的鄰居服務(wù)節(jié)點(diǎn)，驗(yàn)證請(qǐng)求節(jié)點(diǎn)的身份，驗(yàn)證通過(guò)，該鄰居節(jié)點(diǎn)為請(qǐng)求節(jié)點(diǎn)生成部分新系統(tǒng)密鑰份額，并對(duì)該份額進(jìn)行簽密運(yùn)算，將所得到的簽密密文通過(guò)公開(kāi)信道發(fā)送給請(qǐng)求節(jié)點(diǎn)。

3) 更新生成：請(qǐng)求節(jié)點(diǎn)解簽密密文，獲得鄰居服務(wù)節(jié)點(diǎn)為它生成的部分新系統(tǒng)密鑰份額，然后通過(guò)可驗(yàn)證秘密共享中的方法驗(yàn)證份額的正確性。在(,)tn門(mén)限密鑰管理中，當(dāng)請(qǐng)求節(jié)點(diǎn)收到并解簽密了t個(gè)鄰居服務(wù)節(jié)點(diǎn)的簽密密文，得到t個(gè)正確的部分新系統(tǒng)密鑰份額后，請(qǐng)求節(jié)點(diǎn)利用Lagrange插值公式，將這t個(gè)部分新的系統(tǒng)密鑰份額進(jìn)行合成，生成自己的新系統(tǒng)密鑰份額。

此過(guò)程中由于S-IDSC的應(yīng)用，實(shí)現(xiàn)了系統(tǒng)私鑰共享分額信息在ad hoc網(wǎng)絡(luò)公開(kāi)信道的高效安全傳輸。

6 結(jié)束語(yǔ)

簽密作為同時(shí)實(shí)現(xiàn)機(jī)密性和可認(rèn)證性的重要密碼工具，對(duì)解決ad hoc網(wǎng)絡(luò)目前面臨的安全問(wèn)題具有重要意義。本文給出了一種新的基于身份的簽密算法S-IDSC，并證明了其在隨機(jī)預(yù)言機(jī)模型下是可證明安全的；關(guān)于新簽密算法S-IDSC的效率，通過(guò)與已有基于身份簽密算法的比較，體現(xiàn)出新簽密算法的高效性。尤其是其低的計(jì)算和傳輸需求，能很好滿足ad hoc網(wǎng)絡(luò)通信實(shí)現(xiàn)安全性的要求。通過(guò)對(duì)新簽密算法在ad hoc網(wǎng)絡(luò)密鑰管理安全協(xié)議中應(yīng)用的簡(jiǎn)述，說(shuō)明了這種基于身份的新簽密算法在ad hoc網(wǎng)絡(luò)通信安全協(xié)議中的使用方法。在此特別指出，研究適合于ad hoc網(wǎng)絡(luò)安全通信的簽密算法，并將研究成果用于 ad hoc 網(wǎng)絡(luò)安全協(xié)議是必須加強(qiáng)的一個(gè)重要方向，這不僅是密碼學(xué)應(yīng)用研究的需要，也是ad hoc 網(wǎng)絡(luò)廣泛應(yīng)用的迫切需要。

[1] ZHENG Y L. Digital signcryption or how to achieve cost (signature &encryption) ＜＜ cost (signature) + cost (encryption)[A]. Cryptology-CRYPTO’97, LNCS1294[C]. Berlin, New York, Tokyo, 1997.165-179.

[2] LI F G, HU Y P, ZHANG C R. An identity-based signcryption scheme for multi-domain ad hoc networks[A]. ACNS 2007, LNCS 4521[C].2007. 373-384.

[3] KIM H, SONG J, YOON H. A practical approach of ID-based cryptosystem in ad hoc networks[A]. Wireless Communications and Mobile Computing[C]. 2007. 909-917.

[4] DENG H, AGRAWAL D P. TIDS∶ threshold and identity-based security scheme for wireless ad hoc networks[J]. Ad Hoc Networks, 2004,2 (3)∶ 291-307.

[5] LI J F, WEI D W, KOU H Z. Identity-based and threshold key management in mobile ad hoc networks[A]. International Conference on Wireless Communications, Networking and Mobile Computing 2006.(WiCOM 2006)[C]. 2006.1-4.

[6] KAMAT P, BALIGA A, Trappe W. An identity-based security framework for VANETs[A]. VANET’06[C]. Los Angeles, California, USA.2006. 94-95.

[7] MALONE-LEE J. Identity based signcryption[EB/OL]. http∶//eprint.iacr.org/2002/098/.

[8] LIBERT B, QUISQUATER J. A new identity based signcryption schemes from pairings[A]. 2003 IEEE Information Theory Workshop[C]. Paris, France, 2003. 155-158.

[9] CHOW S S M, YIU S M, HUI L C K. Efficient forward and provably secure ID-based signcryption scheme with public verifiability and public ciphertext authenticity[A]. Information Security and Cryptology-ICISC 2003, LNCS 2971[C]. Berlin, Springer-Verlag, 2004,352-369.

[10] CHEN L, MALONE-LEE J. Improved identity-based signcryption[A].Public Key Cryptography-PKC 2005, LNCS 3386[C]. Berlin,Springer-Verlag, 2005.362-379.

[11] BARRETO P S L M B, LIBERT N. Efficient and provably secure identity-based signatures and signcryption from bilinear maps[A].Advances in Cryptology-ASIACRYPT 2005, LNCS 3788[C]. Berlin,Springer-Verlag, 2005. 515-532.

[12] ZHENG Y, IMAI H. How to construct effcient signcryption schemes on elliptic curves[J]. Information Processing Letters, 1998, 68∶227-233.

[13] LI G S, HAN W B. A new scheme for key manegement in ad hoc networks[A]. ICN2005, LNCS 3421[C]. 2005. 242-249.