曹震寰 顧小卓 顧夢鶴

摘 要：安全和效率是影響無證書認(rèn)證組密鑰協(xié)商協(xié)議能否在Ad Hoc網(wǎng)絡(luò)中得到實際應(yīng)用的兩個關(guān)鍵因素。針對這兩個關(guān)鍵因素，以提高Ad Hoc網(wǎng)絡(luò)安全組通信的安全性和效率為目標(biāo)，提出一個無證書認(rèn)證組密鑰協(xié)商協(xié)議，基于橢圓曲線密碼體制（ECC）點乘運算實現(xiàn)無配對的無證書認(rèn)證組密鑰協(xié)商和身份認(rèn)證;并使用Huffman密鑰樹優(yōu)化通信輪數(shù)，以降低計算量和通信量，提高組密鑰協(xié)商效率。安全分析和性能分析表明，與現(xiàn)有基于無證書的組密鑰協(xié)商協(xié)議相比，所提方案在組密鑰協(xié)商時具有較高的效率和安全性，可以滿足資源受限條件下組密鑰建立以及組成員變動帶來的密鑰更新問題。

關(guān)鍵詞：Ad Hoc網(wǎng)絡(luò);無證書公鑰密碼體制;組密鑰;密鑰樹;無證書認(rèn)證組密鑰

中圖分類號： TP309

文獻標(biāo)志碼：A

Abstract： Security and efficiency are two key factors that affect whether a certificateless authenticated group key agreement protocol can be applied in Ad Hoc networks. To improve the security and efficiency of key management problems in securing group communications of Ad Hoc networks， a certificateless group key agreement protocol was proposed， which utilizes Elliptic Curves Cryptography （ECC） multiplication to achieve the group key agreement and authentication without pairing. Meanwhile， the Huffman key tree was used to optimize the rounds of key negotiation， decreasing the computation and communication overheads and improving the group key negotiation efficiency. Security analysis and performance comparison demonstrate that the proposed protocol has good efficiency and security in group key negotiation， which can satisfy group key establishment and rekeying for dynamic groups with restrained resources.

Key words： Ad Hoc network; CertificateLess Public Key Cryptosystem （CL-PKC）; group key; key tree; certificateless authentication group key

0 引言

Ad Hoc網(wǎng)絡(luò)是一種獨立于固定基礎(chǔ)設(shè)施的新型無線網(wǎng)絡(luò)，在軍事行動、搶險救災(zāi)、緊急救援、環(huán)境監(jiān)測等場合有著廣泛的應(yīng)用前景。這些特殊的應(yīng)用場景對通信安全有很高要求，必須使用加密手段來保證信息安全。然而，Ad Hoc網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是動態(tài)變化的，所有節(jié)點都是分布式存在的，不能使用傳統(tǒng)的密鑰管理方法來分發(fā)管理密鑰;同時，Ad Hoc網(wǎng)絡(luò)中節(jié)點的資源如電池容量、計算能力和帶寬等都是有限的，因此，在資源受限條件下如何高效地管理密鑰成為Ad Hoc網(wǎng)絡(luò)安全通信的一個關(guān)鍵問題。

Ad Hoc網(wǎng)絡(luò)中的許多網(wǎng)絡(luò)功能，例如路由、鄰居發(fā)現(xiàn)和拓?fù)淇刂贫际敲嫦蛉航M的，這就要求節(jié)點設(shè)備在通信中必須使用組密鑰來保證通信的安全性。目前，針對有線網(wǎng)絡(luò)環(huán)境下的安全群組密鑰管理協(xié)議已有許多研究，但有線網(wǎng)絡(luò)環(huán)境下的群組密鑰管理協(xié)議并不能直接應(yīng)用于Ad Hoc網(wǎng)絡(luò)環(huán)境。Ad Hoc網(wǎng)絡(luò)群組通信具有自身的一些特點，如節(jié)點設(shè)備的計算、存儲、通信和電源等能力受限，群組的動態(tài)性和隨機性較大等，所以，Ad Hoc網(wǎng)絡(luò)環(huán)境下的群組密鑰管理更為復(fù)雜，要求也更高。

Ad Hoc網(wǎng)絡(luò)中，由于節(jié)點的地理位置動態(tài)變化，節(jié)點只能由電池供電，導(dǎo)致其能量資源、計算資源、存儲資源和傳輸距離都受到限制。如果將傳統(tǒng)的群組密鑰協(xié)商協(xié)議直接應(yīng)用于Ad Hoc網(wǎng)絡(luò)，將會帶來較高的通信量和計算量，極大消耗Ad Hoc網(wǎng)絡(luò)中節(jié)點的能量，因此，原有傳統(tǒng)的群組密鑰協(xié)商協(xié)議不能直接應(yīng)用于Ad Hoc網(wǎng)絡(luò)中。

例如，基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure， PKI）的認(rèn)證組密鑰協(xié)商協(xié)議在運行時，需要通過認(rèn)證中心（Certificate Authority， CA）發(fā)放公鑰證書為用戶提供身份和公鑰之間的一致性證明后才能進行后續(xù)的交互，通信效率相對較低。而且公鑰證書的產(chǎn)生、發(fā)布、更新、注銷等過程相對繁瑣，對證書的驗證也需要較大的計算量，同時，證書存儲和管理的開銷也相對較大，因此，基于PKI的組密鑰協(xié)商協(xié)議不太適合于帶寬、計算能力和存儲空間均有限的Ad Hoc網(wǎng)絡(luò)環(huán)境。

基于身份的密碼體制（Identity-Based Cryptograph，IBC）避免了基于PKI的傳統(tǒng)公鑰密碼系統(tǒng)中對證書的使用和驗證過程，簡化了公鑰的管理。在基于身份的密碼系統(tǒng)中，用戶的公鑰是一些公開的身份信息（例如身份標(biāo)識符、電話號碼、電子郵件地址等），或者其他用戶可以利用這些身份信息直接計算出該用戶的公鑰。用戶私鑰則由一個可信的密鑰生成中心（Key Generation Center， KGC）生成，并通過安全通道分發(fā)給用戶。由于KGC知道所有用戶的私鑰，所以如果KGC有任何不誠實的行為或者系統(tǒng)主私鑰的泄漏都將直接威脅到用戶的隱私。因此，克服密鑰托管的問題也是基于身份的認(rèn)證密鑰協(xié)商協(xié)議面臨的主要問題，因而也不適用于對安全性有較高要求的Ad Hoc網(wǎng)絡(luò)。

無證書認(rèn)證密鑰協(xié)商協(xié)議基于無證書公鑰密碼體制（CertificateLess Public Key Cryptosystem，CL-PKC）來實現(xiàn)，既避免了傳統(tǒng)PKI體制對證書的使用和驗證過程，也解決了基于身份的密碼體制存在的私鑰托管問題，其獨特的特性使之成為當(dāng)前密鑰協(xié)商研究的熱點。

針對Ad Hoc網(wǎng)絡(luò)的特點，本文提出基于資源感知的無證書認(rèn)證組密鑰協(xié)商協(xié)議，在獲得網(wǎng)絡(luò)節(jié)點的能量、計算能力以及地理位置等信息的基礎(chǔ)上，使計算能力強、能量多的節(jié)點承擔(dān)較多的運算，地理位置相近的節(jié)點優(yōu)先進行密鑰協(xié)商，可以有效提高組密鑰協(xié)商的效率。同時通過在協(xié)議中避免使用運算量大的無雙線性對運算，可以進一步提高密鑰協(xié)商效率，滿足Ad Hoc網(wǎng)絡(luò)安全組通信的要求。

1 相關(guān)工作

自1976年Diffie和Hellman[1]提出著名的DH（Diffie Hellman）協(xié)議后，密鑰管理研究開始進入蓬勃發(fā)展時期。1982年Ingemarsson等[2]基于DH協(xié)議提出了組密鑰協(xié)商算法CKDS （Conference Key Distribution System），由組中成員共同協(xié)商生成組密鑰，可以提供密鑰的獨立性和完美向前保密[3]，具有較強的安全特性。之后，研究者們相繼提出組密鑰協(xié)商協(xié)議BD（Burmester Desmedt）[4]、GDH（Group Diffie-Hellman）[5]、TGDH（Tree-based Group Diffe-Hellman）[6]、JET（Join-Exit-Tree）[7]和HJET（Huffman-based Join-Exit-Tree scheme）[8]等，在保證安全性的基礎(chǔ)上，通過減少通信量或計算量的方式提高組密鑰協(xié)商效率。但是，上述組密鑰協(xié)商協(xié)議在設(shè)計時沒有考慮協(xié)議的認(rèn)證性，容易遭受中間人攻擊。針對這一缺陷，學(xué)者們對認(rèn)證組密鑰協(xié)商協(xié)議展開了廣泛研究，主要集中于基于PKI的認(rèn)證組密鑰協(xié)商協(xié)議、基于身份的認(rèn)證組密鑰協(xié)商協(xié)議和無證書認(rèn)證組密鑰協(xié)商協(xié)議三方面?；赑KI的認(rèn)證組密鑰協(xié)商協(xié)議在協(xié)商時，需要通過CA發(fā)放公鑰證書為用戶提供身份和公鑰之間的一致性證明后才能進行后續(xù)的交互，通信效率相對較低。公鑰證書的產(chǎn)生、發(fā)布、更新和注銷等過程相對繁瑣，對證書的驗證也需要較大的計算量。而且，一些基于PKI的認(rèn)證組密鑰協(xié)商協(xié)議使用運算復(fù)雜的雙線性對來完成，對移動節(jié)點的計算負(fù)載和能量消耗非常大。

為了避免證書的使用，1984年，Shamir[9]引入基于身份的密碼概念。在這種密碼系統(tǒng)中，用戶的某種唯一確定的身份信息（例如身份標(biāo)識符、電話號碼、電子郵件地址等）就可作為公鑰，或者可以利用這些身份信息直接計算出該用戶的公鑰。由于已經(jīng)知道對方的公開身份信息，在使用時就不需要去查找公鑰，也不需要對公鑰的真實性進行檢驗。由于用戶的身份信息是公開的，不需要對公鑰進行查詢和檢驗，因此避免了公鑰證書的使用和CA的部署，簡化了對公鑰的管理。但是這種系統(tǒng)不可避免地存在一個固有的安全缺陷，即私鑰托管問題：私鑰生成中心KGC知道所有用戶的私鑰，不誠實的KGC可以竊聽任何用戶的通信，并可以偽造任何用戶的簽名。克服密鑰托管的局限性是基于身份的認(rèn)證密鑰協(xié)商協(xié)議面臨的主要問題。

在這種情況下，為了有效解決私鑰托管問題，Al-Riyami等[10]在2003年提出了無證書公鑰密碼體制。與基于PKI的傳統(tǒng)公鑰密碼系統(tǒng)相比，無證書的公鑰密碼體制不需要公鑰證書，同時也避免了基于身份的密碼系統(tǒng)中的私鑰托管問題。用戶使用由KGC生成的部分私鑰和自己隨機選擇的一個秘密值生成完整的私鑰;用戶的公鑰一部分基于公開參數(shù)生成，一部分由用戶自己生成。使用這種方法一方面消除了密鑰托管，另一方面避免了公鑰證書的使用。從2003至今，無證書公鑰密碼體制一直是密碼學(xué)和信息安全領(lǐng)域非?；钴S的研究熱點，已經(jīng)積累了大量的研究成果[11]。目前已有的無證書認(rèn)證密鑰協(xié)商協(xié)議大部分集中于對兩方密鑰協(xié)商協(xié)議安全性和效率的研究，或者使用雙線性對來生成組密鑰，下面從四方面進行闡述。

1.1 基于雙線性對的兩方無證書認(rèn)證密鑰協(xié)商協(xié)議

Al-Riyami等[10]在提出無證書公鑰密碼體制的同時，也設(shè)計了首個無證書兩方密鑰協(xié)商協(xié)議;但是，他們沒有給出針對無證書密鑰協(xié)商協(xié)議的安全模型，也沒有對協(xié)議作安全性證明。繼他們的開創(chuàng)性工作之后，文獻[12-15]相繼提出了一些改進的無證書密鑰協(xié)商協(xié)議，但是這些作者只通過啟發(fā)式的方式證明他們的協(xié)議是安全的。Swanson在文獻[16-17]中提出了第一個正式的針對無證書認(rèn)證密鑰協(xié)商協(xié)議的安全模型，并對文獻[12-15]的密鑰協(xié)商協(xié)議進行了分析，指出這些協(xié)議即使在一般的攻擊下也是不安全的。在文獻[18]中，Lippold等提出了適用于無證書兩方密鑰協(xié)商的安全模型和一個無證書認(rèn)證密鑰協(xié)商協(xié)議，在安全模型中證明了所提協(xié)議的安全性。Lippold等所提的安全模型考慮了攻擊者的各種能力，與Swanson所提的安全模型相比，Lippold等所提模型的安全性更強。Lippold等所提的密鑰協(xié)商協(xié)議只需要一輪，但是每個用戶需要5個模指數(shù)運算和10個雙線性對才能得到協(xié)商的密鑰，因此協(xié)議的實用性不強。Zhang等在文獻[19]中提了一個新的安全模型和一個高效的密鑰協(xié)商協(xié)議，并在安全模型的基礎(chǔ)上證明該協(xié)議是可證安全的。楊浩民等在文獻[20]中提出一個基于雙線性對的無證書兩方認(rèn)證密鑰協(xié)商協(xié)議，使用數(shù)字簽名方案實現(xiàn)協(xié)議中的身份認(rèn)證。該協(xié)議使用的雙線性對運算的個數(shù)少，不使用模冪運算，計算量相對較小。Kermanshahi等在文獻[21]中針對移動Ad Hoc網(wǎng)絡(luò)提出了一個基于雙線性對的輕量級的無證書密鑰協(xié)商方法，與文獻[22]中的方案相比，計算效率更高。

1.2 無雙線性對的兩方無證書認(rèn)證密鑰協(xié)商協(xié)議

以上提到的無證書密鑰協(xié)商協(xié)議都是基于雙線性對展開研究的。與有限域中的指數(shù)運算、點乘運算相比，雙線性對運算花費代價是最高的。由于雙線性對計算復(fù)雜度較高，一些學(xué)者開始研究不使用雙線性對來構(gòu)建無證書認(rèn)證密鑰協(xié)商協(xié)議，以提高計算效率。Baek等[23]在2005年提出了第一個不依賴雙線性對的公鑰加密方案。He等在文獻[24]中提出了一個不使用雙線性對的兩方無證書認(rèn)證密鑰協(xié)商協(xié)議，但是該協(xié)議容易受到type I型攻擊。隨后，He等又在文獻[25]中提出了高效的不使用雙線性對的兩方密鑰協(xié)商協(xié)議，并證明該協(xié)議在eCK（extended Canetti-Krawczyk）模型[26]下是安全的。劉文浩等在文獻[27]中提出一個適合于帶寬受限網(wǎng)絡(luò)兩方密鑰協(xié)商方案，并證明只要計算Diffie-Hellman假設(shè)成立，該方案在隨機語言模型下是安全的。在文獻[28]中，Yang等以eCK 模型為基礎(chǔ)給出了一個無證書密鑰協(xié)商的安全模型，并設(shè)計了一個計算高效且不使用雙線性對的無證書認(rèn)證密鑰協(xié)商協(xié)議。在文獻[28]的模型中，Yang等證明了文獻[29-30]中的兩個沒有雙線性配對運算的密鑰協(xié)商協(xié)議是不安全的。但是，文獻[28]中的無雙線性配對協(xié)議并不能提供如Lippold等的基于雙線性配對協(xié)議[18]一樣的強安全性保證。類似的情況也出現(xiàn)在其他一些基于DH算法的無雙線性配對的認(rèn)證密鑰協(xié)商算法中[31-32]。此外，該類協(xié)議需要采用額外的數(shù)字簽名方案，這會帶來通信和存儲方面的額外開銷。

1.3 基于雙線性對的無證書認(rèn)證組密鑰協(xié)商協(xié)議

目前針對多方參與的組密鑰協(xié)商協(xié)議研究相對較少，主要集中于使用雙線性對進行組密鑰協(xié)商[33-38]。2007年，Heo等[33]提出了第一個基于無證書的組密鑰協(xié)商協(xié)議。2008年，Lee等在文獻[34]中指出Heo提出的協(xié)議不能提供完美向前保密，因而提出了一個能提供前向安全的無證書組密鑰協(xié)商協(xié)議，但由于文獻[34]中的組密鑰協(xié)商協(xié)議是基于有安全缺陷的雙方協(xié)商協(xié)議[35]構(gòu)建的，因而其安全性是不可信賴的。在文獻[36]中，Cao等提出了一個協(xié)商輪數(shù)恒定的無證書組密鑰協(xié)商協(xié)議，采用簽名來實現(xiàn)認(rèn)證功能，并對安全性給出了正式的分析，但是他們在安全模型中對攻擊者的行為沒有建模。Geng等[37]指出文獻[36]中的協(xié)議存在幾個安全缺陷，不能提供前向安全，并在批驗證簽名的基礎(chǔ)上提出了一個改進的組密鑰協(xié)商協(xié)議，但是對協(xié)議的安全性沒有進行正式分析。之后，Geng等在文獻[38]中提出了另一個無證書組密鑰協(xié)商協(xié)議，但計算效率不高。在文獻[39]中，Gao等基于雙線性對設(shè)計了一個高效的三方無證書密鑰協(xié)商協(xié)議。在文獻[40]中，Teng等提出了一個協(xié)商輪數(shù)恒定的無證書組密鑰協(xié)商協(xié)議，在協(xié)議認(rèn)證中沒有使用簽名，提高了協(xié)議的效率。

1.4 無雙線性對的無證書認(rèn)證組密鑰協(xié)商協(xié)議

目前面向群組的不使用雙線性對的無證書密鑰協(xié)商協(xié)議在公開文獻中相對較少。筆者在文獻[41]中提出了第一個不使用雙線性對的無證書組密鑰協(xié)商協(xié)議，提高了組密鑰協(xié)商的效率，之后又在文獻[42]中提出了基于Huffman編碼的組密鑰協(xié)商協(xié)議，進一步提高了性能，但是沒有給出正式的安全性證明。Kumar等在文獻[43]中提出了一個基于橢圓曲線密碼的匿名無雙線性對無證書組密鑰協(xié)商協(xié)議，基于環(huán)形建立組密鑰，包括成員注冊階段和密鑰建立階段，組密鑰建立效率要優(yōu)于基于雙線性對的無證書組密鑰協(xié)商協(xié)議。

從以上分析可以看出，無雙線性對的無證書認(rèn)證密鑰協(xié)商協(xié)議由于其計算量小、效率高等特點，在很多領(lǐng)域都得到了廣泛研究。但是，由于無雙線性對無證書密鑰協(xié)商協(xié)議不能提供和基于雙線性對的無證書密鑰協(xié)商協(xié)議一樣強的安全性保證，同時還需要借助其他輔助的數(shù)字簽名方案來完成協(xié)議的認(rèn)證，這兩個因素限制了無雙線性對無證書密鑰協(xié)商協(xié)議在組通信中的應(yīng)用;同時，已有針對Ad Hoc網(wǎng)絡(luò)的無證書組密鑰協(xié)商協(xié)議也沒有考慮網(wǎng)絡(luò)中節(jié)點的能量約束。因此，研究安全、高效、基于資源感知的無雙線性對無證書認(rèn)證組密鑰協(xié)商協(xié)議也成為本文的出發(fā)點。

2 無證書認(rèn)證組密鑰協(xié)商協(xié)議安全模型

針對目前缺少無證書認(rèn)證組密鑰協(xié)商協(xié)議安全模型的現(xiàn)狀，本文分析影響協(xié)議安全性的各種因素，對這些因素進行形式化描述并建模，具體從以下幾方面展開研究。

2.1 模型概述

假定協(xié)議參與者集合為U={u1，u2，…，un}，協(xié)議可在集合U的任何m（m≤n）個參與者之間運行。每個參與者ui可以并發(fā)執(zhí)行多次協(xié)議實例（也即會話），每個實例是一個概率多項式時間預(yù)言機。攻擊者也建模為一個概率多項式預(yù)言機，攻擊者的行為由隨機預(yù)言機模擬，可以向挑戰(zhàn)者對安全參數(shù)進行多次查詢，挑戰(zhàn)者通過預(yù)言機對攻擊者的詢問進行應(yīng)答。

在模型中，假設(shè)攻擊者A可以完全控制網(wǎng)絡(luò)。攻擊者可以延遲、重放、修改、交織、刪除或者重定向消息。用戶ui的第i個實例用Πiui表示。如果實例計算出會話密鑰skiui，則實例Πiui進入接受狀態(tài)。實例或許會不進入接受狀態(tài)而中斷。每個實例Πiui通過狀態(tài)stateiui維持一個內(nèi)部的狀態(tài)信息。如果所有的組成員都接受了一個相同的會話密鑰，則協(xié)議是正確的。下面是一些所需的定義。

Session ID：實例Πiui的會話ID用sidiui來表示，表示用戶ui的第i個實例。

Partner ID：實例Πiui的組成員ID是用戶ui在第i次實例中試圖與之建立會話密鑰的一組成員，用pidiui來表示。

如果sidiui=sidjui，并且pidiui=pidjui，則實例Πiui和實例Πjui是相同的。

2.2 攻擊者類型定義

在本模型中，定義下列兩類攻擊者：

第一類攻擊者AI：攻擊者是一個外部攻擊者，可以查詢用戶的私鑰或者替換合法用戶的公鑰，但是不能獲得系統(tǒng)主密鑰。

第二類攻擊者AII：攻擊者為一個內(nèi)部攻擊者，相當(dāng)于一個惡意的KGC，可以獲得系統(tǒng)主密鑰，但不能替換合法用戶公鑰或者查詢用戶私鑰。

在模型中，攻擊者是上述兩類攻擊者的一種，可以是主動攻擊者，能夠替換、修改、延遲、插入和刪除協(xié)議通信過程中的消息內(nèi)容，也可以是能力受限的被動攻擊者，只能對通信內(nèi)容進行記錄和分析。

由于原始eCK模型是針對PKI體制的，只涉及到四個秘密值：協(xié)議雙方的靜態(tài)私鑰和臨時秘密，而在無證書認(rèn)證組密鑰協(xié)商協(xié)議中，每個參與方都涉及到三個秘密值：部分私鑰、秘密值和長期私鑰。因此，針對無證書認(rèn)證組密鑰協(xié)商協(xié)議的安全模型將更加復(fù)雜，一般認(rèn)為只要每個參與方至少有一個秘密值沒有泄露，即可認(rèn)為該協(xié)議是安全的。

2.3 攻擊者游戲設(shè)定

認(rèn)證密鑰協(xié)商協(xié)議的安全性通過挑戰(zhàn)者與攻擊者A之間的游戲來定義。在游戲的第一個階段，攻擊者可以進行多項式次數(shù)的詢問，以獲得與會話密鑰相關(guān)的各種安全參數(shù)的信息。在第二階段，攻擊者對新鮮預(yù)言機Πiui進行Test查詢，該預(yù)言機隨機選擇一個比特b∈{0，1}：如果b=0，返回一個隨機數(shù);否則，返回會話密鑰給攻擊者。進行Test查詢后，攻擊者根據(jù)所得信息，猜測b的值為b′，如果b=b′，那么攻擊者在游戲中獲勝。

任意時刻，攻擊者都可以作以下任意詢問：

Send（Πiui，M）：這個詢問向Πiui發(fā)送消息M。給攻擊者返回Πiui在產(chǎn)生消息M的過程中生成的結(jié)果。如果M為空，那這個詢問會初始化一個協(xié)議的執(zhí)行。

Reveal session key（Πiui）：如果預(yù)言機Πiui已被接受，則攻擊者可以進行這個詢問，會話密鑰將返回給攻擊者。

Reveal partial private key（ui）：攻擊者通過這個查詢獲得會話Πiui中用戶ui的部分私鑰。

Reveal secret value（ui）：通過這個詢問，攻擊者獲得用戶ui的秘密值。

Request public key（ui）：通過這個詢問，攻擊者獲得用戶ui的公鑰。

Replace public key（ui，pk）：這個詢問將用戶ui的公鑰替換為公鑰值域空間的任意值pk，在以后的通信和計算中將使用新的公鑰，但是用戶ui會繼續(xù)使用它原始的私鑰來進行計算。

Reveal state（Πiui）：這個詢問返回內(nèi)部狀態(tài)信息stateiui給攻擊者。

Test（Πiui）：輸入會話Πiui必須是新鮮的（見后文定義）。預(yù)言機隨機選擇一個比特數(shù)據(jù)b∈{0，1}：如果b=1，返回會話密鑰給攻擊者;否則，從有效會話密鑰的區(qū)域中返回一個隨機值。Test詢問只能針對新鮮的預(yù)言機詢問一次。

在Test查詢之后，攻擊者可以繼續(xù)進行其他查詢，但會話Πiui應(yīng)保持新鮮。在任意時刻，攻擊者可以輸出猜測的b′，如果b′=b，則攻擊者贏得了游戲。攻擊者A贏得游戲的優(yōu)勢被定義為：AdvA（k）=Pr[Succ]-12。

存在第一類攻擊者時，如果Reveal partial private key（ui）和Reveal secret value（ui），或者Reveal partial private key（ui）和Replace public key（ui，pk）同時被詢問過，那么用戶ui被認(rèn)為是腐化的。存在第二類攻擊者時，如果Reveal secret value（u）或者Replace public key（ui，pk）被詢問過，則用戶ui是腐化的，因為第二類攻擊者知道所有用戶的部分私鑰。一個沒有被腐化的用戶稱為誠實的用戶。

定義1 新鮮會話。如果下列條件成立，則實例Πiui是新鮮的：

1）Πiui接受了會話密鑰;

2）Πiui和它的成員都沒有進行過Reveal session key或者Reveal state詢問;

3）pidiui中的任何用戶都沒有被腐化。

定義2 安全的認(rèn)證密鑰協(xié)商協(xié)議。我們稱一個無證書認(rèn)證組密鑰協(xié)商協(xié)議（在eCK 模型下）是安全的，如果匹配的會話計算出相同的會話密鑰并且對于任何概率多項式時間攻擊者A（包括第一類攻擊者和第二類攻擊者），贏得以上游戲的優(yōu)勢是可以忽略的。

3 無配對無證書認(rèn)證組密鑰協(xié)商協(xié)議

為降低組密鑰建立和更新過程中的計算量和通信量，提高組密鑰協(xié)商效率，本文基于Huffman密鑰樹，提出一個不使用雙線性配對運算的無證書認(rèn)證組密鑰協(xié)商協(xié)議，避免了復(fù)雜的配對運算。下面對無配對無證書認(rèn)證組密鑰協(xié)商協(xié)議進行闡述。

3.1 初始化過程

初始化過程分為三個步驟：

1）系統(tǒng)初始化及參數(shù)設(shè)置。這一階段由KGC完成，KGC輸入k，生成素數(shù)p，確定集合{Fp，E/Fp，G，P}。隨機選取主私鑰x∈RZ*p，計算主公鑰Ppub=xP，同時選擇兩個哈希函數(shù)：H1：{0，1}*×G→Z*p，H2：{0，1}*2×G9→{0，1}k。主私鑰x是秘密的，{Fp，E/Fp，G，P，Ppub，H1，H2}是公開的。

2）部分私鑰生成。對于ID為IDU的成員，KGC為其選擇一個隨機數(shù)rU∈RZ*p，計算RU=rUP，h=H1（IDU‖RU），sU=（rU+hx）-1，然后由KGC將（sU，RU）秘密地傳遞給IDU。通過檢查等式sU（RU+H1（IDU‖RU）Ppub）=P是否成立，成員IDU可以驗證自己部分私鑰的正確性。

3）用戶秘密值生成。用戶IDU隨機選取xU∈RZ*p作為自己的私鑰uskU=xU，計算自己的公鑰upkU=xUP。

3.2 組密鑰協(xié)商過程

6 結(jié)語

本文提出了一種基于無證書的無配對組密鑰協(xié)商協(xié)議，以滿足Ad Hoc網(wǎng)絡(luò)中對組密鑰協(xié)商的安全性和效率要求。在所提協(xié)議中，采用了Huffman密鑰樹結(jié)構(gòu)來減少協(xié)商輪數(shù)，采用標(biāo)量點乘運算替代配對運算來減少計算開銷，并且采用隱式認(rèn)證避免了簽名。通過以上方法，組密鑰建立和更新開銷大大降低。安全性分析表明，本文方案可以滿足安全要求，具有較高的安全性。性能分析表明，與現(xiàn)有基于無證書的組密鑰協(xié)商協(xié)議相比，本文協(xié)議具有較高的效率，適用于Ad Hoc網(wǎng)絡(luò)組通信。

參考文獻：

[1] DIFFIE W， HELLMAN M E. New directions in cryptography [J]. IEEE Transactions on Information Theory，1976，22（6）：644-654.

[2] INGEMARSSON I， TANG D， WONG C K. A conference key distribution system [J]. IEEE Transactions on Information Theory， 1982， 28（5）：714-719.

[3] MENEZES A J， VANSTONE S A， OORSCHOT P C V. Handbook of Applied Cryptography [M]. Boca Raton，F(xiàn)L：CRC Press，1997.

[4] BURMESTER M， DESMEDT Y. A secure and efficient conference key distribution system [C]// Advances in Cryptology — EUROCRYPT94. Berlin： Springer， 1995： 275-286.

[5] STEINER M， TSUDIK G， WAIDNER M. Diffie-Hellman key distribution extended to group communication [C]// Proceedings of the 3rd ACM Conference on Computer and Communications Security. New York： ACM， 1996：31-37.

[6] KIM Y， PERRIG A， TSUDIK G. Tree-based group key agreement [J]. ACM Transactions on Information & System Security，2004，7（1）：60-96.

[7] MAO Y， SUN Y， WU M， et al. JET： dynamic join-exit-tree amortization and scheduling for contributory key management [J]. IEEE/ACM Transactions on Networking， 2006， 14（5）：1128-1140.

[8] GU X Z， YANG J X， LAN J L， et al. Huffman-based join-exit-tree scheme for contributory key management [J]. Computers & Security， 2009， 28（1）：29-39.

[9] SHAMIR A. Identity-based cryptosystems and signature schemes [C]// Proceedings of CRYPTO 84. Berlin： Springer，1984：47-53.

[10] AL-RIYAMI S S， PATERSON K G. Certificateless public key cryptography [C]// Proceedings of the 2003 International Conference on the Theory and Application of Cryptology and Information Security. Berlin： Springer， 2003：452-473.

[11] 張福泰，孫銀霞，張磊，等.無證書公鑰密碼體制研究[J]. 軟件學(xué)報， 2011， 22（6）： 1316-1332. （ZHANG F T， SUN Y X， ZHANG L， et al. Research on certificateless public key cryptography [J]. Journal of Software， 2011， 22（6）： 1316-1332.）

[12] SHAO Z H. Efficient authenticated key agreement protocol using self-certified public keys from pairings [J]. Wuhan University Journal of Natural Sciences，2005，10（1）：267-270.

[13] MANDT T K， TAN C H. Certificateless authenticated two-party key agreement protocols [C]// Proceedings of the 11th Asian Computing Science Conference on Advances in Computer Science： Secure Software and Related Issues. Berlin： Springer， 2006：37-44.

[14] WANG S， CAO Z， WANG L. Efficient certificateless authenticated key agreement protocol from pairings [J]. Wuhan University Journal of Natural Sciences， 2006， 11（5）：1278-1282.

[15] XIA L， WANG S， SHEN J. Breaking and repairing the certificateless key agreement protocol from ASIAN 2006 [J]. Wuhan University Journal of Natural Sciences， 2008， 13（5）：562.

[16] SWANSON C M. Security in key agreement： two-party certificateless schemes [EB/OL].[2018-03-20]. http：//citeseerx.ist.psu.edu/viewdoc/download？doi=10.1.1.843.265&rep=rep1&type=pdf.

[17] SWANSON C， JAO D. A study of two-party certificateless authenticated key-agreement protocols [C]// Proceedings of the 10th International Conference on Cryptology in India： Progress in Cryptology. Berlin： Springer， 2009：57-71.

[18] LIPPOLD G， BOYD C， NIETO J G. Strongly secure certificateless key agreement [C]// Proceedings of the 3rd International Conference Palo Alto on Pairing-Based Cryptography. Berlin： Springer， 2009：206-230.

[19] ZHANG L， ZHANG F， WU Q， et al. Simulatable certificateless two-party authenticated key agreement protocol [J]. Information Sciences， 2010， 180（6）：1020-1030.

[20] 楊浩民，張堯?qū)W，周悅芝.基于雙線性對的無證書兩方認(rèn)證密鑰協(xié)商協(xié)議[J].清華大學(xué)學(xué)報（自然科學(xué)版），2012，52（9）：1293-1297. （YANG H M， ZHANG Y X， ZHOU Y Z. Certificateless two-party authenticated key agreement protocol based on bilinear pairings [J]. Journal of Tsinghua University （Science and Technology）， 2012， 52（9）： 1293-1297.）

[21] KERMANSHAHI S K， SALLEH M. An enhanced certificateless cryptosystem for mobile Ad Hoc networks [C]// Proceedings of the 2014 International Symposium on Biometrics and Security Technologies. Piscataway， NJ： IEEE， 2014：176-181.

[22] EISSA T. A novel lightweight authentication scheme for mobile Ad Hoc networks [J]. Arabian Journal for Science & Engineering， 2012， 37（8）： 2179-2192.

[23] BAEK J， SAFAVI-NAINI R， SUSILO W. Certificateless public key encryption without pairing [C]// Proceedings of the 8th International Conference on Information Security. Berlin： Springer， 2005：134-148.

[24] HE D， CHEN Y， CHEN J， et al. A new two-round certificateless authenticated key agreement protocol without bilinear pairings [J]. Mathematical & Computer Modelling， 2011， 54（11）：3143-3152.

[25] HE D， PADHYE S， CHEN J. An efficient certificateless two-party authenticated key agreement protocol [J]. Computers & Mathematics with Applications， 2012，64（6）：1914-1926.

[26] LAMACCHIA B， LAUTER K， MITYAGIN A. Stronger security of authenticated key exchange [C]// Proceedings of the 1st International Conference on Provable Security. Berlin： Springer， 2007：1-16.

[27] 劉文浩，許春香.無證書兩方密鑰協(xié)商方案[J]. 軟件學(xué)報，2011，22（11）：2843-2852. （LIU W H， XU C X. Two party certificateless key agreement schemes [J]. Journal of Software， 2011， 22（11）： 2843-2852.）

[28] YANG G， TAN C H. Strongly secure certificateless key exchange without pairing [C]// Proceedings of the 6th ACM Symposium on Information， Computer and Communications Security. New York： ACM， 2011： 71-79.

[29] GENG M， ZHANG F. Provably secure certificateless two-party authenticated key agreement protocol without pairing [C]// Proceedings of the 2009 International Conference on Computational Intelligence and Security. Piscataway， NJ： IEEE， 2010： 208-212.

[30] HOU M， XU Q. A two-party certificateless authenticated key agreement protocol without pairing [C]// Proceedings of the 2009 2nd IEEE International Conference on Computer Science and Information Technology. Piscataway， NJ： IEEE， 2009， 3：412-416.

[31] SARR A P， ELBAZ-VINCENT P， BAJARD J C. A new security model for authenticated key agreement [C]// Proceedings of the 7th International Conference on Security and Cryptography for Networks. Berlin： Springer， 2010：219-234.

[32] SUN H， WEN Q， ZHANG H， et al. A novel pairing-free certificateless authenticated key agreement; protocol with provable security [J]. Frontiers of Computer Science， 2013， 7（4）：544-557.

[33] HEO S， KIM Z， KIM K. Certificateless authenticated group key agreement protocol for dynamic groups [C]// Proceedings of the 2007 IEEE Global Telecommunications Conference. Piscataway， NJ： IEEE， 2007：464-468.

[34] LEE E J， LEE S E， YOO K Y. A certificateless authenticated group key agreement protocol providing forward secrecy [C]// Proceedings of the 2008 International Symposium on Ubiquitous Multimedia Computing. Piscataway， NJ： IEEE， 2008：124-129.

[35] SHI Y， LI J. Two-party authenticated key agreement in certificateless public key cryptography [J]. Wuhan University Journal of Natural Sciences， 2007， 12（1）：71-74.

[36] CAO C， JIANFENG M A， SANGJAE M. Provable efficient certificateless group key exchange protocol [J]. Wuhan University Journal of Natural Sciences， 2007， 12（1）： 41-45.

[37] GENG M， ZHANG F. An improved secure certificateless authenticated group key agreement protocol [C]// Proceedings of the 2009 IEEE International Conference on Intelligent Computing and Intelligent Systems. Piscataway， NJ： IEEE， 2009：337-341.

[38] GENG M， ZHANG F， GAO M. A secure certificateless authenticated group key agreement protocol [C]// Proceedings of the 2009 International Conference on Multimedia Information Networking and Security. Washington， DC： IEEE Computer Society， 2009：342-346.

[39] GAO M， ZHANG F， GENG M. An efficient certificateless authenticated tripartite key agreement protocol [C]// Proceedings of the 2009 International Conference on Management and Service Science. Piscataway， NJ： IEEE， 2009：1-4.

[40] TENG J， WU C. A provable authenticated certificateless group key agreement with constant rounds [J]. Journal of Communications & Networks， 2012， 14（1）：104-110.

[41] GU X， XU T， ZHOU W， et al. A pairing-free certificateless authenticated group key agreement protocol [C]// Proceedings of the 2014 IEEE International Conference on High Performance Computing and Communications（HPCC）， 2014 IEEE 6th International Symposium on Cyberspace Safety and Security （CSS） and 2014 IEEE 11th International Conference on Embedded Software and Systems （ICESS）. Piscataway， NJ： IEEE， 2014：510-513.

[42] GU X， CAO Z， WANG Y. How to get group key efficiently in mobile Ad Hoc networks？ [C]// Proceedings of the 2015 IEEE Military Communications Conference. Piscataway， NJ： IEEE， 2015：1009-1014.

[43] KUMAR A， TRIPATHI S. A pairing free anonymous certificateless group key agreement protocol for dynamic group [J]. Wireless Personal Communications， 2015， 82（2）：1027-1045.