丁永善，李立新，李作輝

（信息工程大學(xué)三院，河南 鄭州 450001）

1 引言

物聯(lián)網(wǎng)是一種將人與人、人與物、物與物連接起來的一種泛化的互聯(lián)網(wǎng)，具有動(dòng)態(tài)感知、可靠傳送與智能處理等特點(diǎn)，提高了社會(huì)的信息化能力。近年來隨著物聯(lián)網(wǎng)的迅猛發(fā)展，其安全問題日益突出[1,2]，惠普安全研究院調(diào)查 10個(gè)最流行的物聯(lián)網(wǎng)智能設(shè)備后發(fā)現(xiàn)，幾乎所有設(shè)備都存在高危漏洞；騰訊發(fā)布的互聯(lián)網(wǎng)安全報(bào)告指出，2017年上半年物聯(lián)網(wǎng)攻擊增加280%。張玉清等[3]通過分析現(xiàn)有關(guān)于物聯(lián)網(wǎng)研究工作中的不足和安全問題產(chǎn)生的原因，指出物聯(lián)網(wǎng)安全存在的5大技術(shù)挑戰(zhàn)：數(shù)據(jù)共享的隱私保護(hù)方法；有限資源的設(shè)備安全保護(hù)方法；更加有效的入侵檢測(cè)防御系統(tǒng)與設(shè)備測(cè)試方法；針對(duì)自動(dòng)化操作的訪問控制策略；移動(dòng)設(shè)備的跨域認(rèn)證方法。

在移動(dòng)設(shè)備組成的通信網(wǎng)絡(luò)中，除人與設(shè)備的交互外，存在越來越多設(shè)備之間的交互，移動(dòng)設(shè)備會(huì)頻繁地從一個(gè)網(wǎng)絡(luò)移動(dòng)到另一個(gè)網(wǎng)絡(luò)。當(dāng)移動(dòng)設(shè)備漫游到外域網(wǎng)絡(luò)時(shí)，只有通過了該域網(wǎng)絡(luò)認(rèn)證才允許被接入，同時(shí)為防止攻擊者對(duì)移動(dòng)設(shè)備的跟蹤，需要提供匿名服務(wù)隱藏移動(dòng)設(shè)備的真實(shí)身份，因此，匿名跨域認(rèn)證方案在移動(dòng)設(shè)備組網(wǎng)中至關(guān)重要。

適用于移動(dòng)設(shè)備的跨域認(rèn)證方案除了滿足匿名性和不可跟蹤性外，由于移動(dòng)設(shè)備的計(jì)算能力和功率受限，因此方案還應(yīng)該滿足移動(dòng)設(shè)備計(jì)算開銷小的要求[4]。

文獻(xiàn)[5,6]利用證書和PKI技術(shù)實(shí)現(xiàn)跨域認(rèn)證方案，但方案都涉及復(fù)雜的證書管理過程，并且計(jì)算開銷相對(duì)較大；文獻(xiàn)[7]提出一種無對(duì)運(yùn)算的基于身份的簽名（IBE）方案，具有較高的執(zhí)行效率；在該簽名方案的基礎(chǔ)上，文獻(xiàn)[8]設(shè)計(jì)了一種匿名跨域認(rèn)證方案，然而該方案涉及密鑰托管問題，其安全性依賴對(duì)PKG完全可信?；谧C書的加密（CBE）方案[9]將 IBS的優(yōu)點(diǎn)集成到 PKI中，文獻(xiàn)[10]基于 CBE提出了基于證書的簽名（CBS）方案，該算法不需要PKI中復(fù)雜的證書管理，同時(shí)避免了IBS中的密鑰托管和分發(fā)問題。但其依賴于對(duì)運(yùn)算，計(jì)算開銷較大，針對(duì)該問題，文獻(xiàn)[11]提出一種無對(duì)運(yùn)算的CBS方案，降低了計(jì)算開銷。

在研究上述方法的基礎(chǔ)上，本文提出一種基于證書的匿名跨域認(rèn)證方案。本文的主要貢獻(xiàn)如下。

1) 提出了一種無對(duì)運(yùn)算的 CBS方案，該方案融合了PKI和IBS的優(yōu)勢(shì)，并且避免了對(duì)運(yùn)算，另外，方案中的簽名驗(yàn)證結(jié)果為常量。

2) 對(duì)CBS方案的不可偽造性進(jìn)行了證明。

3) 將 CBS方案運(yùn)用到移動(dòng)設(shè)備的跨域認(rèn)證中，用戶提交的認(rèn)證信息中不包含移動(dòng)設(shè)備的真實(shí)身份，實(shí)現(xiàn)匿名認(rèn)證。

4) 對(duì)基于證書的匿名跨域認(rèn)證方案的安全性和效率進(jìn)行了分析。

2 預(yù)備知識(shí)

2.1 數(shù)學(xué)定義和假設(shè)

定義 1 （對(duì)運(yùn)算[12]）假設(shè)雙線性映射，其中，G、GT為素?cái)?shù)q階循環(huán)乘法群，g為G的生成元。則e滿足

1) 雙線性：對(duì)于所有的x, y∈G 和均有

2) 非退化性：e( g, g)≠1。

定義2 （離散對(duì)數(shù)（DL）假設(shè)）假設(shè)q階循環(huán)乘法群G，生成元為g。對(duì)于M∈G，求使其滿足xM=g的問題，稱為群G的離散對(duì)數(shù)問題。對(duì)于敵手B，若則敵手B的優(yōu)勢(shì)為ε。

群G的假設(shè)：沒有算法能在t時(shí)間內(nèi)以至少ε的優(yōu)勢(shì)解決群G的離散對(duì)數(shù)問題。

2.2 基于證書的簽名（CBS）方案的基本步驟

一個(gè)CBS方案主要包括Setup、UserKeyGen、Certify、Sign和Verify這5步[13]。

1) Setup：該算法生成系統(tǒng)主密鑰msk和系統(tǒng)公開參數(shù)params。

2) UserKeyGen：該算法根據(jù)params生成用戶公鑰PKID和私鑰uskID。

3) Certify：該算法根據(jù)系統(tǒng)主密鑰msk、公開參數(shù)params、用戶標(biāo)識(shí)ID和用戶公鑰PKID，生成用戶證書 CertID。

4) Sign：該算法根據(jù)系統(tǒng)公開參數(shù)params、消息m、用戶標(biāo)識(shí) ID、用戶公鑰PKID和用戶證書CertID，生成簽名值σ。

5) Verify：該算法根據(jù)(m,)σ，系統(tǒng)公開參數(shù)params、用戶標(biāo)識(shí) ID和用戶公鑰PKID，驗(yàn)證簽名值。若輸出為真，則簽名值可用，否則不可用。

2.3 安全模型

本文假設(shè)敵手 A希望在已知用戶公鑰PKID而不知用戶證書的情況下偽造用戶簽名，針對(duì)該敵手定義以下游戲[14]。

1) 挑戰(zhàn)者 C運(yùn)行 Setup產(chǎn)生系統(tǒng)參數(shù)params，并將系統(tǒng)參數(shù)params發(fā)送給敵手A。

2) 敵手A進(jìn)行以下詢問。

UserKeyGen-query：敵手 A提供 ID，若 ID已經(jīng)存在，則返回用戶公鑰PKID；否則挑戰(zhàn)者 C運(yùn)行算法 UserKeyGen，獲取公私鑰對(duì)，將其添加到用戶列表，并返回用戶公鑰PKID。

Corruption-query：敵手A提供ID，挑戰(zhàn)者C檢查用戶列表，若ID存在，返回相應(yīng)私鑰uskID。

Certification-query：挑戰(zhàn)者根據(jù)敵手 A提供的 ID，以為輸入運(yùn)行算法Certify，并返回Cert。

Sign-query：挑戰(zhàn)者運(yùn)行算法 Sign，根據(jù)計(jì)算簽名值σ。

敵手A執(zhí)行多項(xiàng)式有界次詢問后，敵手A產(chǎn)生消息m的簽名σ；在第二階段敵手A未曾進(jìn)行相關(guān)的私鑰、證書和簽名詢問，但得到用戶*ID的簽名σ*、消息m*、公鑰 PK*，若σ*為有效簽名，則敵手A贏得游戲。敵手A的優(yōu)勢(shì)為贏得游戲的概率。

3 基于Certificate的簽名算法

基于證書的簽名方案大多是基于線性對(duì)運(yùn)算實(shí)現(xiàn)的[15～17]，經(jīng)當(dāng)前的MIRACL庫測(cè)試可知，對(duì)運(yùn)算具有較大的計(jì)算開銷。文獻(xiàn)[11]提出了一種無對(duì)運(yùn)算的CBS算法，該算法相較于上述方法具有更高的效率。本節(jié)在文獻(xiàn)[11]的基礎(chǔ)上，提出一種新的無對(duì)運(yùn)算的CBS算法，該算法不僅保持了原算法的執(zhí)行效率高的優(yōu)點(diǎn)，同時(shí)簽名的驗(yàn)證結(jié)果保持常數(shù)，便于實(shí)現(xiàn)跨域過程中的匿名認(rèn)證。其中，3.1節(jié)對(duì)無對(duì)運(yùn)算的CBS算法進(jìn)行描述，3.2節(jié)對(duì)該算法進(jìn)行了不可偽造性證明。

3.1 CBS方案描述

基于證書的簽名方案描述如下。

1) Setup：PKG選擇q階循環(huán)乘法群G，G的生成元為 g；選擇隨機(jī)數(shù)，計(jì)算定義以下 Hash函數(shù)。公開系統(tǒng)參數(shù)params=并妥善保管系統(tǒng)主密鑰msk=x。

2) UserKeyGen：用戶隨機(jī)選擇作為用戶私鑰，即usk=u；并計(jì)算用戶公鑰PK=

3) Certify：CA隨機(jī)選擇計(jì)算則用戶證書為，用戶可以通過式(1)驗(yàn)證證書的正確性。

4) Sign：簽名者對(duì)消息進(jìn)行簽名。簽名者隨機(jī)選取，并計(jì)算則簽名消息為

5) Verify：驗(yàn)證者收到消息簽名值和系統(tǒng)參數(shù)后，進(jìn)行計(jì)算并驗(yàn)證

是否成立，若成立輸出“真”，否則輸出“假”。

該算法中，用戶獨(dú)自生成私鑰和公鑰并向CA申請(qǐng)用戶證書，CA擁有用戶證書卻不掌握用戶私鑰，不具備解密任何密文的能力。該算法不具有 pairing，具有較高的執(zhí)行效率，同時(shí)簽名驗(yàn)證結(jié)果為常數(shù)，便于實(shí)現(xiàn)跨域過程中的匿名認(rèn)證。

3.2 CBS方案安全性證明

該方案中，認(rèn)為證書頒發(fā)者CA是誠(chéng)實(shí)且可信的，針對(duì)2.3節(jié)中定義的敵手A對(duì)CBS方案的不可偽造性進(jìn)行證明。

定理1 在隨機(jī)預(yù)言模型中，針對(duì)CBS方案，若存在敵手A經(jīng)過至多qe次Certification-query，qs次 Sign-query，qh1次H1-query，qh2次H2-query，在t時(shí)間內(nèi)以ε優(yōu)勢(shì)偽造該簽名方案，則存在算法B在t'時(shí)間內(nèi)以'ε的優(yōu)勢(shì)解決DL問題。（E為冪操作時(shí)間）

證明 假設(shè)存在敵手 A在t時(shí)間內(nèi)以ε優(yōu)勢(shì)偽造該簽名方案，構(gòu)造算法 B。選擇q階循環(huán)乘法群G，G的生成元為g；在已知G和M∈G的情況下，要求求得x∈G滿足xg=M。

建立階段：算法B選擇Hash函數(shù)作為隨機(jī)語言模型。算法 B生成 X=M和公開參數(shù)，并發(fā)送給敵手A。

詢問階段：敵手A進(jìn)行以下詢問。

1) H1-query算法 B擁有包含元組的H1列表，當(dāng)敵手 A進(jìn)行詢問時(shí)，首先檢查H1列表是否包含若包含則返回h；否則隨機(jī)選擇并把加入H1列表，返回h。

2) H2-query（Y, R, m）：隨機(jī)選擇令返回h2。

3) UserKeyGen-query（IDi）：算法B擁有包含元組的Key列表，當(dāng)敵手A進(jìn)行詢問時(shí)，首先檢查 Key列表是否包含，若包含則返回PKi；否則執(zhí)行算法 UserKerGen生成公私鑰對(duì)并把加入Key列表，返回PKi。

4) Corruption-query（IDi）：當(dāng)敵手A進(jìn)行詢問時(shí)，算法 B首先檢查 Key列表是否包含，若包含則返回uski；否則返回⊥。

5) Certification-query敵手A進(jìn)行證書查詢，算法 B進(jìn)行以下操作：①若存在，則隨機(jī)選取并令，返回證書(R, s)，計(jì)算可知(R, s)滿足同時(shí)存儲(chǔ)更改H1列表中的；②若不存在，則執(zhí)行算法Certify，存儲(chǔ)并返回h1。

6) Sign-query是否進(jìn)行過H1詢問，若是，算法B則查詢算法 B檢查，并令隨機(jī)選擇，進(jìn)行H2詢問得到h2，計(jì)算返回簽名(Y, R, z)。若否，算法 B則執(zhí)行算法Certify，并用得到的證書用上述方法對(duì)消息進(jìn)行簽名，返回簽名信息。

計(jì)算階段：敵手A對(duì)得到偽造簽名。對(duì)同一經(jīng)過4次H2詢問，得到不同的h2，假設(shè)分別為c1、c2、c3、c4。多次詢問后可以得到。同時(shí)。根據(jù)式(2)，則有

即。其中，對(duì)于敵手 A為未知的，解上述線性方程可以得到x即DL問題的解。

分析階段：當(dāng)對(duì)進(jìn)行隨機(jī)賦值時(shí)，前后出現(xiàn)不一致時(shí)導(dǎo)致隨機(jī)預(yù)言模型失敗，可能性為；由于 Certification-query和 Sign-query階段都可能進(jìn)行H1詢問，則最多詢問次數(shù)為。根據(jù)隨機(jī)語言模型的理性隨機(jī)性，存在H2詢問的可能性為，敵手A通過詢問得到正確H2的可能性為。因此敵手A成功的可能性為

時(shí)間復(fù)雜度是由Certification詢問和Sign詢問中的冪操作影響的，故

4 物聯(lián)網(wǎng)環(huán)境下基于證書的跨域認(rèn)證方案設(shè)計(jì)

4.1 系統(tǒng)模型

移動(dòng)網(wǎng)絡(luò)環(huán)境主要由移動(dòng)設(shè)備（MD）、移動(dòng)設(shè)備在本網(wǎng)絡(luò)的認(rèn)證代理（HA）和移動(dòng)設(shè)備在外地網(wǎng)絡(luò)的接入點(diǎn)代理（FA）構(gòu)成，其架構(gòu)如圖1所示。

圖1 移動(dòng)設(shè)備網(wǎng)絡(luò)系統(tǒng)模型

當(dāng)MD漫游到域外網(wǎng)絡(luò)時(shí)，只有通過了該域FA的認(rèn)證才被允許接入。移動(dòng)設(shè)備 MD首先在HA進(jìn)行注冊(cè)，生成公私鑰；HA為MD頒發(fā)證書并建立賬戶。當(dāng)MD訪問本域網(wǎng)絡(luò)時(shí)，可直接通過HA進(jìn)行認(rèn)證；當(dāng)MD訪問域外網(wǎng)絡(luò)時(shí)，為了保證MD不被跟蹤，需要通過匿名跨域認(rèn)證隱藏MD的真實(shí)身份，F(xiàn)A對(duì)MD的匿名認(rèn)證通過FA認(rèn)證HA身份、HA認(rèn)證MD身份兩步實(shí)現(xiàn)。由于MD發(fā)送的所有數(shù)據(jù)都經(jīng)過FA轉(zhuǎn)發(fā)，因此MD的認(rèn)證信息不能包含任何真實(shí)身份信息，但同時(shí)又能使HA驗(yàn)證其真實(shí)身份。

4.2 方案設(shè)計(jì)

方案分為系統(tǒng)建立、移動(dòng)設(shè)備注冊(cè)、全認(rèn)證、重認(rèn)證4個(gè)階段。

1) 系統(tǒng)建立

HA選擇素?cái)?shù)q階乘法循環(huán)群G，生成元為g；選取為其私鑰，計(jì)算為其公鑰；選取公開參數(shù)。FA選擇與HA相同的參數(shù)，并選取作為私鑰，計(jì)算公鑰，公開參數(shù)

2) 移動(dòng)設(shè)備注冊(cè)

① 移動(dòng)設(shè)備MD將IDMD發(fā)送給HA。

② HA驗(yàn)證移動(dòng)設(shè)備身份，若通過，則發(fā)送給移動(dòng)設(shè)備，移動(dòng)設(shè)備選取作為私鑰，計(jì)算，并將公鑰 PKMD發(fā)送給HA。HA選取，計(jì)算，生成證書發(fā)送給移動(dòng)設(shè)備，移動(dòng)設(shè)備可以通過驗(yàn)證證書的正確性。

③ HA為移動(dòng)設(shè)備 MD建立賬戶其中為移動(dòng)設(shè)備賬戶的索引是賬戶信息，包括移動(dòng)設(shè)備身份、有效期等。

3) 全認(rèn)證

① 移動(dòng)設(shè)備選取，獲取時(shí)間戳TMD，計(jì)算；發(fā)送消息給FA。

② FA收到消息后，若TMD新鮮，則獲取時(shí)間戳TFA，簽名并發(fā)送消息給HA。

③ HA收到消息后，若TFA新鮮且簽名驗(yàn)證通過，則HA通過對(duì)FA的認(rèn)證，HA計(jì)算取出移動(dòng)設(shè)備信息，驗(yàn)證是否成立，若成立則HA通過對(duì)移動(dòng)設(shè)備 MD的認(rèn)證。HA獲取時(shí)間戳THA，簽名并發(fā)送消息(IDFA,給FA。

④ FA收到消息后，若THA新鮮且簽名驗(yàn)證通過，則FA通過對(duì)HA的認(rèn)證。FA創(chuàng)建移動(dòng)設(shè)備臨時(shí)身份ID′，選取，為移動(dòng)設(shè)備頒發(fā)臨時(shí)證書建立臨時(shí)賬戶，其中為移動(dòng)設(shè)備賬戶的索引，是臨時(shí)賬戶信息，包括移動(dòng)設(shè)備臨時(shí)身份、有效期等。FA計(jì)算，獲取時(shí)戳TF′A，發(fā)送給移動(dòng)設(shè)備 MD，其中，Ek0為對(duì)稱加密。

⑤ 移動(dòng)

設(shè)備MD收到消息后，若TF′A新鮮，則用k解密并核對(duì)TF′A、，若一致，則移動(dòng)設(shè)備通過對(duì)FA的認(rèn)證，并把k作為之后的會(huì)話密鑰。

4) 重認(rèn)證

當(dāng)移動(dòng)設(shè)備MD再次訪問域B中的資源時(shí)，若臨時(shí)證書在有效期，則移動(dòng)設(shè)備MD可以通過臨時(shí)身份ID'和臨時(shí)證書(R′, s′)進(jìn)行快速認(rèn)證，而無需通過HA參與。

① 移動(dòng)設(shè)備選取，獲取時(shí)間戳TMD，計(jì)算發(fā)送消息給FA。

② FA收到消息后，若TMD新鮮，計(jì)算，取出移動(dòng)設(shè)備信息，驗(yàn)證是否成立，若成立則通過對(duì)移動(dòng)設(shè)備MD的認(rèn)證。FA獲取時(shí)間戳TFA，選取計(jì)算，發(fā)送消息給移動(dòng)設(shè)備MD。

③ 移動(dòng)設(shè)備MD收到消

息后，若TFA新鮮，

則用ki-1解密，核對(duì)TFA、TMD，若一致，則移動(dòng)設(shè)備通過對(duì) FA的認(rèn)證。計(jì)算，并把ki作為本次通信的會(huì)話密鑰。

5 基于證書的匿名跨域認(rèn)證方案分析

5.1 認(rèn)證安全性

在跨域認(rèn)證方案的全認(rèn)證過程中，實(shí)現(xiàn)了實(shí)體間的雙向認(rèn)證。在全認(rèn)證過程中，HA和FA之間的認(rèn)證是基于公鑰密碼實(shí)現(xiàn)的，簽名中包含時(shí)間戳，有效避免了重放攻擊；HA對(duì)MD的認(rèn)證是基于CBS方案實(shí)現(xiàn)的，3.2節(jié)對(duì)CBS方案的不可偽造性進(jìn)行了證明；MD對(duì)FA的認(rèn)證是基于對(duì)稱密碼實(shí)現(xiàn)的，用于認(rèn)證的密鑰只有認(rèn)證雙方可以通過計(jì)算獲得，確保了認(rèn)證的安全性；FA對(duì)MD的認(rèn)證是通過FA對(duì)HA、HA對(duì)MD的認(rèn)證間接實(shí)現(xiàn)的。

5.2 匿名性和不可跟蹤性

用戶的真實(shí)身份只對(duì)本域的認(rèn)證服務(wù)器 HA公開，用戶和其他域的認(rèn)證服務(wù)器 FA都無法確定用戶的真實(shí)身份。在全認(rèn)證過程中，用以交互進(jìn)行身份認(rèn)證的消息不包含用戶的身份信息，HA通過驗(yàn)證用戶簽名信息、計(jì)算用戶索引認(rèn)證用戶身份，因此除HA外其他實(shí)體不能獲得用戶真實(shí)身份。在全認(rèn)證階段，F(xiàn)A為用戶建立臨時(shí)身份，在重認(rèn)證時(shí)，F(xiàn)A僅能確認(rèn)用戶的臨時(shí)身份，通過驗(yàn)證簽名信息完成用戶認(rèn)證，而無法得到用戶的真實(shí)身份。

另外，用戶每次進(jìn)行認(rèn)證時(shí)選擇對(duì)時(shí)間戳進(jìn)行簽名作為認(rèn)證信息，認(rèn)證消息具有隨機(jī)性，除本域認(rèn)證服務(wù)器HA和訪問域認(rèn)證服務(wù)器FA外，其他實(shí)體無法將不同的認(rèn)證消息聯(lián)系起來。

5.3 會(huì)話密鑰建立與更新

在認(rèn)證過程中，會(huì)話密鑰是在會(huì)話雙方之間建立的，移動(dòng)設(shè)備選擇秘密參數(shù)，計(jì)算，并將k作為會(huì)話密鑰，將K發(fā)送給訪問域認(rèn)證服務(wù)器FA，訪問域FA用自己的私鑰sFA，計(jì)算得到會(huì)話密鑰，移動(dòng)設(shè)備可以通過解密核對(duì)確認(rèn)FA計(jì)算得到了正確的會(huì)話密鑰。其他實(shí)體無法獲得會(huì)話密鑰，包括本域認(rèn)證服務(wù)器HA。

在重認(rèn)證過程中，新的會(huì)話密鑰是在原會(huì)話密鑰的基礎(chǔ)上通過雜湊得到的，使每次會(huì)話的密鑰均不相同。

文獻(xiàn)[18]方案用戶和 FA 之間的會(huì)話密鑰是通過HA間接建立的，HA同樣掌握會(huì)話密鑰，因此本方案的安全性優(yōu)于文獻(xiàn)[18]方案。

5.4 效率分析

本文方案集成了PKI和IBS的特性和優(yōu)點(diǎn)，并且在整個(gè)認(rèn)證過程中沒有對(duì)運(yùn)算。本文方案與文獻(xiàn)[8,12,18]中方案的效率進(jìn)行對(duì)比結(jié)果如表1所示。

表1 效率比較

通過對(duì)比可知，相對(duì)于文獻(xiàn)[8]的方案，本文方案有更少的公鑰和對(duì)稱加解密；相對(duì)文獻(xiàn)[12]的方案，本文方案所有實(shí)體均不進(jìn)行對(duì)運(yùn)算，雖然MD多進(jìn)行一次散列運(yùn)算，但整體計(jì)算開銷較??；相對(duì)于文獻(xiàn)[18]的方案，有更少的公鑰加解密。本文方案中雖然使用證書和用戶私鑰一起進(jìn)行簽名操作，但并不涉及復(fù)雜的證書管理，同時(shí)相對(duì)于基于身份的跨域認(rèn)證方案，沒有密鑰托管和密鑰分發(fā)問題，因此更適合應(yīng)用在移動(dòng)設(shè)備的跨域認(rèn)證中。

6 結(jié)束語

移動(dòng)設(shè)備的跨域認(rèn)證是物聯(lián)網(wǎng)發(fā)展過程中面臨的主要問題之一。本文提出一種適用于移動(dòng)設(shè)備的跨域認(rèn)證方案，該方案在保證安全性和匿名性的基礎(chǔ)上，具有更少的計(jì)算量和通信開銷，提高了認(rèn)證的效率。通過與其他跨域認(rèn)證方案相比，本文方案在安全上和效率上具有明顯優(yōu)勢(shì)，使其能夠滿足網(wǎng)絡(luò)漫游中移動(dòng)設(shè)備的匿名認(rèn)證要求。

參考文獻(xiàn)：

[1]ROMAN R, ZHOU J, LOPEZ J. On the features and challenges of security and privacy in distributed internet of things[J]. Computer Networks, 2013, 57(10)：2266-2279.

[2]武傳坤. 物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)與挑戰(zhàn)[J]. 密碼學(xué)報(bào), 2015,2(1)：40-53.WU C K. An overview on the security techniques and challenges of the Internet of things[J]. Journal of Cryptologic Research, 2015,2(1)：40-53.

[3]張玉清, 周威, 彭安妮. 物聯(lián)網(wǎng)安全綜述[J]. 計(jì)算機(jī)研究與發(fā)展,2017, 54(10)：2130-2143.ZHANG Y Q, ZHOU W, PENG A N. Survey of Internet of things security[J]. Journal of Computer Research and Development, 2017,54(10)： 2130-2143.

[4]HINAREJOS F, LOPEZ J, MONTENEGRO J A, et al. Pervasive authentication and authorization infrastructures for mobile users[J].Computers & Security, 2010, 29(4)：501-514.

[5]LEE D G, KANG S I, SEO D H, et al. Authentication for single/multi domain in ubiquitous computing using attribute certification[C]//International Conference on Computational Science and ITS Applications. 2006：326-335.

[6]AYE N, KHIN H S, WIN T T, et al. Multi-domain public key infrastructure for information security with use of a multi-agent system[M]//Intelligent Information and Database Systems. Berlin：Springer, 2013：365-374.

[7]BELLARE M, NAMPREMPRE C, NEVEN G. Security proofs for identity-based identification and signature schemes[C]//Advances in Cryptology Eurocrypt 2004. 2004：268-286.

[8]羅長(zhǎng)遠(yuǎn), 霍士偉, 邢洪智. 普適環(huán)境中基于身份的跨域認(rèn)證方案[J]. 通信學(xué)報(bào), 2011, 32(9)：111-115.LUO C Y, HUO S W, XING H Z. Identity-based cross-domain authentication scheme in pervasive computing environments[J]. Journal on Communications, 2009, 30(4)：130-136.

[9]GENTRY C. Certificate-based encryption and the certificate revocation problem[C]//International Conference on Theory and Applications of Cryptographic Techniques. 2003：272-293.

[10]KANG B G, PARK J H, SANG G H. A certificate-based signature scheme[C]//Cryptolograheres Track Research Conference. 2004：99-111.

[11]LIU J K, BAEK J, SUSILO W, et al. Certificate-based signature schemes without pairings or random oracles[C]//International Conference on Information Security. 2008：285-297.

[12]朱輝, 李暉, 蘇萬力,等. 基于身份的匿名無線認(rèn)證方案[J]. 通信學(xué)報(bào), 2009, 30(4)：130-136.ZHU H, LI H, SHU W L, et al. ID-based wireless authentication scheme with anonymity[J]. Journal on Communications, 2009,30(4)：130-136.

[13]LI J, WANG Z, ZHANG Y. Provably secure certificate-based signature scheme without pairings[M]. Elsevier Science Inc.2013：313-320.

[14]LI J, HUANG X, MU Y, et al. Certificate-based signature： security model and efficient construction[J]. Public Key Infrastructure, 2007,(4582)：110-125.

[15]VERMA G K, SINGH B B. Short certificate-based proxy signature scheme from pairings[J]. Transactions on Emerging Telecommunications Technologies, 2017(1)：3214.

[16]ZHANG Y, LI J G, WANG Z, et al. A new efficient certificate-based signature scheme[J]. Chinese Journal of Electronics, 2015,24(4)：776-782.

[17]MAN H A, LIU J K, SUSILO W, et al. Certificate based (linkable)ring signature[C]//International Conference on Information Security Practice and Experience. 2007：79-92.

[18]彭華熹, 馮登國(guó). 匿名無線認(rèn)證協(xié)議的匿名性缺陷和改進(jìn)[J].通信學(xué)報(bào), 2006, 27(9)：78-85.PENG H X, FENGDG. Security flaws and improvement to a wireless authentication protocol with anonymity[J]. Journal on Communications, 2006, 27(9)：78-85.