普適環(huán)境中基于一次性公鑰的匿名認(rèn)證方案

羅長遠(yuǎn)，霍士偉，邢洪智

(1. 信息工程大學(xué) 電子技術(shù)學(xué)院，河南 鄭州 450004；2. 西安通信學(xué)院，陜西 西安 710106)

1 引言

普適計算是一種開放的網(wǎng)絡(luò)環(huán)境，用戶可以隨時隨地獲得服務(wù)。開放性和無所不在性使普適環(huán)境相對于傳統(tǒng)網(wǎng)絡(luò)更容易受到各種惡意攻擊。為了保證普適環(huán)境的安全，需要實施加密、訪問控制等安全措施。其中認(rèn)證是各種安全措施的基礎(chǔ)，對構(gòu)建安全的普適環(huán)境具有重要意義[1]。

普適環(huán)境中存在大量不可見的設(shè)備(如傳感器)，它們不停地搜集用戶的身份、位置等敏感信息，用戶的敏感信息隨時有被泄露的可能。所以，普適環(huán)境下用戶的隱私保護(hù)被提到了重要的高度[2]。在認(rèn)證中，同樣需要考慮用戶隱私保護(hù)的問題?，F(xiàn)有的認(rèn)證機(jī)制需要用戶提供身份信息，這會造成用戶身份信息泄露，使用戶的會話和位置被惡意實體跟蹤。為了保護(hù)用戶隱私，普適環(huán)境下的認(rèn)證方案在實現(xiàn)安全認(rèn)證的基礎(chǔ)上要滿足以下要求[2]：1) 用戶匿名性，在認(rèn)證過程中，服務(wù)方和外部用戶都無法確定用戶的真實身份；2) 無關(guān)聯(lián)性，服務(wù)方和外部用戶都無法確定不同的會話來自相同的用戶。另外由于普適環(huán)境下用戶一般使用計算能力有限的便攜設(shè)備，因此認(rèn)證方案要滿足用戶端計算量小的要求[3]。

文獻(xiàn)[4]提出了一種普適環(huán)境中的匿名認(rèn)證和密鑰協(xié)商方案，該方案需要證書的支持，證書管理開銷較大。文獻(xiàn)[5]基于橢圓曲線上的離散對數(shù)問題提出了一種普適環(huán)境中的匿名認(rèn)證和密鑰協(xié)商方案，具有較小的計算開銷。文獻(xiàn)[4,5]中方案只能實現(xiàn)對外部用戶匿名，而服務(wù)方可以確定用戶身份，無法滿足用戶的強匿名需求，即用戶希望在認(rèn)證過程中，外部用戶和服務(wù)方都無法確定自己的身份，從而更好地保護(hù)隱私。文獻(xiàn)[2]利用盲簽名技術(shù)設(shè)計了一種新的普適環(huán)境中的匿名認(rèn)證方案，方案可以滿足強匿名要求。文獻(xiàn)[6]在文獻(xiàn)[2]方案的基礎(chǔ)上增加了抵御拒絕服務(wù)攻擊的功能。文獻(xiàn)[7]指出文獻(xiàn)[2]方案存在安全缺陷，非法用戶可以假冒合法用戶通過認(rèn)證，并對方案進(jìn)行了改進(jìn)，使方案可以避免假冒攻擊。

上述基于盲簽名的匿名認(rèn)證方案在認(rèn)證過程中保證了用戶的身份無法被外部用戶和服務(wù)方獲得，有效保護(hù)了用戶隱私。但是由于盲簽名的不可追蹤性，當(dāng)合法用戶進(jìn)行惡意活動時，服務(wù)方仍然無法確定用戶的身份，給犯罪分子帶來可乘之機(jī)[8]。針對盲簽名的缺點，研究者提出了一次性公鑰的思想[8]。在一次性公鑰中，可信中心只需給用戶生成一次私鑰，用戶每次簽名時可以生成不同的公鑰，使得用戶的每次簽名之間不存在關(guān)聯(lián)性，從而保證了用戶身份匿名性和會話無關(guān)聯(lián)性。此外，在必要時簽名驗證者可以向可信中心遞交簽名者的一次性公鑰，可信中心可以揭示簽名者身份，防止簽名者進(jìn)行惡意活動。文獻(xiàn)[9]提出了基于身份的一次性公鑰及簽名算法，但是該算法是可偽造的，非法用戶利用合法用戶的一次性公鑰可以偽造簽名。文獻(xiàn)[10]提出了一種新的基于身份的一次性公鑰及簽名算法，并證明了算法的安全性。上述基于身份的一次性公鑰及簽名算法需要多次雙線性對運算，一次性公鑰長度較長，這會造成較大的計算開銷和通信開銷，不適合在資源受限的普適環(huán)境下應(yīng)用。并且上述算法都存在密鑰托管問題，可信中心的主密鑰如果被惡意實體獲得，惡意實體就可以計算出合法用戶的簽名私鑰，從而可以冒充合法用戶。所以方案中的系統(tǒng)主密鑰成為安全瓶頸。本文提出了一種新的基于身份的一次性公鑰及簽名算法，在保證安全性的基礎(chǔ)上，通過對算法優(yōu)化，減少了雙線性對運算次數(shù)和一次性公鑰長度，并且不存在密鑰托管問題?；谠撍惴ㄔO(shè)計了普適環(huán)境中的匿名認(rèn)證方案，在提供強匿名性的同時，能夠防止用戶進(jìn)行惡意活動。

2 基于身份的一次性公鑰及簽名算法

2.1 算法設(shè)計

本算法基于雙線性對運算實現(xiàn)，包括以下算法。

1) 系統(tǒng)初始化

可信中心TC選擇橢圓曲線上滿足雙線性對要求e、G1、G2、q，G1的生成元為P。隨機(jī)選擇s∈作為系統(tǒng)主密鑰，系統(tǒng)公鑰為Ppub=sP。定義安全的散列函數(shù)：H1:{0,1}*×G1→和H2:{0,1}*→。TC妥善保管s，公開系統(tǒng)參數(shù){G1, G2, e, q, P, Ppub,H1, H2}。

2) 用戶私鑰生成

假設(shè)用戶A的身份標(biāo)識為AID，隨機(jī)選擇作為秘密數(shù)，計算R1=xAP，然后將R1和IDA發(fā)送給TC，TC可以通過零知識證明方法確認(rèn)A具有與R1對應(yīng)的秘密數(shù)xA。TC對用戶身份和R1鑒定后，按如下步驟計算用戶A的部分私鑰：

① 隨機(jī)選擇rA∈，計算R2=rAP，RA=R1+R2；

② 令c=H1(IDA,RA)，計算部分私鑰dA=rA+sc。

TC保存(IDA,c, RA)，用作以后確認(rèn)A的身份。將RA和dA通過安全信道發(fā)送給A。A計算sA=xA+dA作為完整私鑰，通過檢驗sAP=RA+H1( IDA,RA)Ppub是否成立來驗證私鑰的正確性，驗證通過后A妥善保存(sA,RA)。

3) 一次性公鑰生成

4) 簽名

用戶A對消息m∈{0,1}*簽名時，隨機(jī)選擇y∈，計算Y=yP，計算h=H(m, Y )，計算2z=y+asAh，簽名為＜z, Y＞，A將簽名＜z, Y＞和消息m發(fā)送給驗證者B。

5) 驗證

B首先驗證一次性公鑰的合法性，驗證等式

是否成立，若成立則確定發(fā)送方確實在可信中心進(jìn)行了注冊。

因為

若等式成立，則說明AP含有系統(tǒng)主密鑰，因此發(fā)送方在可信中心進(jìn)行過注冊。

然后B驗證簽名，計算h=H2(m, Y)，驗證等式

是否成立。若成立，則驗證通過，否則拒絕。

2.2 算法安全性分析

1) 算法可保證發(fā)送方匿名

首先，用戶A的一次性公鑰和簽名中不包含身份信息。其次，用戶A的一次性公鑰(PA, UA,VA)都經(jīng)過了隨機(jī)數(shù)a的處理，a不同則一次性公鑰不同，因此用戶B無法獲得A的真實身份，并且A的不同活動之間不存在任何聯(lián)系。

2) 算法可保證匿名用戶的可追蹤性

如果用戶A執(zhí)行了非法的操作，驗證者B通過和可信中心合作，可以揭示用戶A的真實身份。用戶B只需要將UA,VA發(fā)送給TC，TC就可以揭示A的身份。因為TC保存了A的相關(guān)信息(IDA,c, RA)，TC通過驗證

是否成立來揭示用戶A的身份。事實上，e( UA,cP)=e( aRA,cP)=e( acP, RA)=e( VA,RA)。因此，該算法既保證了用戶A的匿名性，也可以防止用戶A進(jìn)行惡意的活動。

3) 算法可抵御偽造攻擊

① 合法用戶A無法偽造虛假的一次性公鑰和簽名來欺騙用戶B

首先，對消息m的簽名z無法偽造。因為，通過驗證等式(1)，B確定PA中含有系統(tǒng)主密鑰s，通過驗證等式(2)，可以確定z含有主密鑰s，因此z是利用合法的私鑰生成的，z不可偽造。其次，PA無法偽造，由于z是利用合法的私鑰生成的，如果PA是偽造的，則等式(2)無法驗證通過。同樣AU和AV無法偽造，由于PA是按照正確的步驟生成的，如果UA和VA是偽造的，則無法通過等式(1)的驗證。

其次，A企圖消滅進(jìn)行惡意活動的證據(jù)，即躲開式(3)的檢查是不可行的。假設(shè)A選擇a, b∈(a≠b)，計算PA=aRA+bcPpub，UA′=aRA，VA′=bcP作為一次性公鑰，此時可以通過式(1)驗證且式(3)無法成立。但是，A無法生成相應(yīng)的簽名私鑰a( xA+rA)+bsc 對m進(jìn)行簽名，因此無法通過式(2)驗證。因此，A無法偽造虛假的一次性公鑰和簽名來進(jìn)行惡意活動。

② 非法用戶C無法偽造虛假的一次性公鑰和有效的簽名

其次，C無法利用合法用戶A的公開信息(PA, UA,VA)和對消息m的簽名＜z, Y＞進(jìn)行偽造。C如果選擇b∈，計算PC=bPA，UC=bUA，VC=bVA，將(PC, UC,VC)作為自己的一次性公鑰。雖然(PC, UC,VC)可以通過式(1)驗證，但是C無法計算出相應(yīng)的簽名私鑰basA生成正確的簽名。因為通過PA=asAP獲得asA面臨解決橢圓曲線群上的離散對數(shù)問題，而通過z=y+asAh獲得asA首先要獲得y，y沒有公開傳送，要通過Y=yP獲得y同樣面臨解決橢圓曲線群上的離散對數(shù)問題。因此C無法生成正確簽名通過式(2)驗證。

在算法中，用戶A的完整私鑰為sA=xA+dA，其中，dA是TC為用戶產(chǎn)生的部分私鑰，xA是用戶自己選擇的秘密數(shù)構(gòu)成另一部分私鑰。xA是保密的，其他用戶包括TC都無法獲得xA。即使獲得TC的主密鑰，由于無法獲得xA，仍無法得到用戶

4) 算法無密鑰托管A的完整私鑰，因此本算法不存在密鑰托管問題。

表1 算法效率比較

2.3 算法效率分析

以下將對算法的計算開銷和通信開銷進(jìn)行分析，并與文獻(xiàn)[9,10]中的算法進(jìn)行比較，如表1所示。考慮的運算包括雙線性對運算(P)、1G上的點乘運算(Pm)、1G上的點加運算(Pa)、2G上的點乘運算(Gm)和映射到橢圓曲線上點的散列運算(MtP)，相對于這些運算，其他運算可以忽略不計[10]。

由表1中數(shù)據(jù)可以看出，本算法具有更小的計算開銷，同時本算法的一次性公鑰和簽名長度較短，因此通信開銷較小，所以本算法具有更高的執(zhí)行效率，更適合在普適環(huán)境中應(yīng)用。

3 普適環(huán)境中基于一次性公鑰的匿名認(rèn)證方案

3.1 方案設(shè)計

系統(tǒng)包括3類實體：可信中心(TC)、用戶(A)和服務(wù)提供者(SP)。TC負(fù)責(zé)為系統(tǒng)中的合法用戶簽發(fā)基于身份的私鑰，并在服務(wù)提供者出示用戶惡意活動證據(jù)的情況下，揭示用戶的身份。服務(wù)提供者在為用戶提供服務(wù)前，要對用戶進(jìn)行認(rèn)證，確認(rèn)用戶的合法性，即用戶擁有TC簽發(fā)的私鑰。同時用戶也要確認(rèn)服務(wù)提供者是合法的。在認(rèn)證過程中要滿足以下要求。首先，服務(wù)提供者和其他實體都無法確定用戶的真實身份，充分保護(hù)用戶的隱私。另外，當(dāng)用戶進(jìn)行惡意活動時，服務(wù)提供者通過和TC合作可以揭示用戶身份。本方案的安全性基于以下假設(shè)，TC是誠實可信的，即TC不會發(fā)送虛假的信息，不會利用掌握的用戶密鑰信息實施假冒攻擊，不會隨意向其他實體揭露用戶的真實身份，除非合法的SP提供了某用戶的惡意活動證據(jù)。

方案利用第2節(jié)中的一次性公鑰及簽名算法結(jié)合散列鏈認(rèn)證技術(shù)來實現(xiàn)匿名認(rèn)證。散列鏈認(rèn)證技術(shù)可以減少簽名次數(shù)，提高認(rèn)證效率。方案中用戶只需要在首次訪問服務(wù)時執(zhí)行一次性公鑰及簽名算法，在之后訪問服務(wù)時利用散列鏈作為認(rèn)證憑證。方案包括4個階段：系統(tǒng)建立、私鑰生成、認(rèn)證和惡意用戶身份恢復(fù)。

1) 系統(tǒng)建立

TC按照2.1節(jié)中描述的方法產(chǎn)生系統(tǒng)參數(shù)，選定系統(tǒng)公私鑰對(s, Ppub)，定義安全的散列函數(shù)：H1:{0,1}*×G1→,H2:{0,1}*→,H3:G1→{0,1}*,H4:{0,1}*→{0,1}*。并公布系統(tǒng)參數(shù){G1, G2, e, q,P, Ppub,H1, H2,H3,H4}。

2) 私鑰生成

私鑰生成方法同2.1節(jié)中描述方法相同。用戶A的身份標(biāo)識為IDA，經(jīng)過與TC交互A獲得的完整私鑰為sA=xA+dA，其中，dA=rA+sc( c=H1( IDA,RA))是TC為用戶A生成的部分私鑰，xA是用戶A選擇的秘密數(shù)，RA是TC為用戶A生成的輔助參數(shù)。A妥善保存(sA,RA)，TC保存了與用戶A身份相關(guān)的信息(IDA,c, RA)。SP的長期私鑰為sP∈，SP的公鑰為PKP=sPP，SP妥善保存sP，將PKP向全網(wǎng)公開。

3) 認(rèn)證

當(dāng)用戶A第一次要求SP提供服務(wù)時，通過以下步驟向SP證明自己是合法用戶。

step1 用戶A隨機(jī)選擇x∈{0,1}*，計算C0=H4(x)，Ci=(C0),1≤i≤n ，A安全的保存所有的散列值，散列值的計算可以利用空閑時間離線完成。用戶A隨機(jī)選擇a∈，計算PA=asAP，UA=aRA，VA=acP( c=H1( IDA,RA))，得到一次性公鑰WA=(PA, UA,VA)。A獲取當(dāng)前時間戳TA，隨機(jī)選擇yA∈，計算YA=yAP，YA′=yAPKP，h=H2(Cn, TA, YA)，計算簽名z=yA+asAh。A計算k=H3( YA)并保存k，加密Cn得σ=Cn⊕k，向SP發(fā)送消息＜TA, WA,YA′,z,σ＞。

step2 SP收到消息后，檢查時戳TA的新鮮性，若TA新鮮，則按照2.1節(jié)中方法驗證一次性公鑰WA是否合法。驗證通過后，SP計算YA=，計算k=H3( YA)，解密Cn=σ⊕k，驗證簽名zP=YA+H2(Cn, TA, YA)PA是否成立。驗證通過后，則確認(rèn)A為合法用戶。SP將Cn保存到一個列表L中。SP選擇yP∈，計算YP=yPP，計算會話密鑰kAP=H3(yPYA)，獲取當(dāng)前時間戳TP，向A發(fā)送消息＜TP,Ek( YP, TP, TA)＞，E為對稱加密算法。

step3 A收到消息后，檢查時戳TP的新鮮性，若新鮮，則利用k解密Ek(YP, TP, TA)并核對TP和TA是否一致。若一致，則通過對SP的認(rèn)證，然后計算kAP=H3(yAYP)，并把kAP作為之后通信的會話密鑰。

當(dāng)用戶再次要求SP提供服務(wù)時，可以利用保存的散列值Ci,0≤i＜n作為認(rèn)證憑證，不需要構(gòu)造一次性公鑰及簽名，SP僅需要進(jìn)行簡單的散列運算就可以實現(xiàn)對用戶A的認(rèn)證，利用散列鏈進(jìn)行認(rèn)證可以減少認(rèn)證的計算開銷和通信開銷。以用戶A的第2次認(rèn)證為例，具體過程如下。

step1 A隨機(jī)選擇yA∈，計算YA=yAP，YA′=yAPKP，計算k=H3( YA)并保存k，對Cn-1加密得z=Cn-1⊕k ，向SP發(fā)送消息＜YA′,z＞。

step2 SP收到消息后，計算YA=，k=H3( YA)，解密Cn-1=z⊕k ，計算H4(Cn-1)，查找列表L中是否存在H4(Cn-1)，若存在則證明當(dāng)前用戶為已通過認(rèn)證的合法用戶，將列表L中的Cn替換為Cn-1。SP選擇yP∈，計算YP=yPP，計算會話密鑰kAP=H3(yPYA)，獲取當(dāng)前時間戳TP，向A發(fā)送消息＜TP,Ek( YP, TP, YA′)＞，E為對稱加密算法。

step3 A收到消息后，檢查時戳TP的新鮮性，若新鮮，則利用k解密Ek( YP, TP, YA′ )并核對TP和YA′，若一致，則通過對SP的認(rèn)證，然后計算kAP=H3(yAYP)，并把kAP作為之后通信的會話密鑰。

4) 惡意用戶身份恢復(fù)

如果用戶A在訪問SP服務(wù)的過程中，進(jìn)行了惡意操作，SP將A的惡意操作證據(jù)和A的一次性公鑰WA=(PA, UA,VA)發(fā)送給TC。TC首先驗證SP提供的證據(jù)屬實，然后利用保存的信息(IDA,c, RA)驗證e( UA,cP)=e( VA,RA)是否成立，若成立則證明進(jìn)行惡意操作的用戶為A。

3.2 方案安全性分析

1) 雙向認(rèn)證

本方案可以實現(xiàn)用戶A和服務(wù)提供者SP之間的雙向認(rèn)證。SP可以確定當(dāng)前請求訪問服務(wù)的用戶A是合法的。在A首次訪問服務(wù)時，SP通過驗證A的一次性公鑰及對nC和AT的簽名完成對A的認(rèn)證。由2.2節(jié)中分析可知一次性公鑰及簽名算法是安全的，同時簽名中包含了時間戳可以保證簽名的新鮮性，所以SP對用戶A的認(rèn)證是安全的。在用戶之后訪問服務(wù)時，SP通過散列鏈來認(rèn)證用戶A。以第2次認(rèn)證過程為例，SP通過驗證H4(Cn-1)是否等于Cn來認(rèn)證用戶，由于Cn已經(jīng)通過SP的認(rèn)證，根據(jù)散列函數(shù)的單向計算特性，只有已通過認(rèn)證的合法用戶A才能出示正確的Cn-1。用戶A也可以確定當(dāng)前的服務(wù)提供者SP是合法的，A通過解密Ek(YP, TP, TA)并核對TP和TA完成對SP的認(rèn)證，因為只有合法的SP才能利用私鑰由Y′A計算出YA，進(jìn)而計算出正確的密鑰k。

2) 用戶匿名性

在認(rèn)證過程中，其他用戶和SP都無法確定用戶A的真實身份。用戶A首次認(rèn)證時，利用一次性公鑰及對nC和AT的簽名作為認(rèn)證信息，根據(jù)一次公鑰的匿名特性，其他用戶和SP都無法根據(jù)認(rèn)證信息確定用戶A的真實身份。在之后的認(rèn)證過程中，A利用Ci(0≤i＜n)作為認(rèn)證憑證，同樣不會泄露A的身份。

3) 無關(guān)聯(lián)性

對于外部用戶，本方案具有完善的無關(guān)聯(lián)性。A提供的一次性公鑰都經(jīng)過隨機(jī)數(shù)的處理，具有隨機(jī)性，外部用戶無法根據(jù)一次性公鑰將不同的會話聯(lián)系起來。雖然同一個散列鏈中的Ci(0≤i≤n)存在關(guān)聯(lián)性，但是本方案對Ci(0≤i≤n)進(jìn)行了加密處理，外部用戶無法得到Ci(0≤i≤n)的明文，因此外部用戶同樣無法根據(jù)Ci(0≤i≤n)將不同的會話聯(lián)系起來。對于SP，本方案具有部分無關(guān)聯(lián)性。由于SP可以解密獲得Ci(0≤i≤n)的明文，SP可以將利用同一個散列鏈認(rèn)證的n個會話聯(lián)系起來。由于不同散列鏈之間不存在聯(lián)系，對于采用不同散列鏈認(rèn)證的會話，SP無法將其聯(lián)系起來。

4) 安全的會話密鑰建立

方案中用戶和SP可以建立安全的會話密鑰kAP。會話密鑰是由雙方選擇的密鑰協(xié)商參數(shù)yA和yP共同決定的，并且公開發(fā)送的YA′和加密傳送的YP不會導(dǎo)致yA和yP的泄露，因此協(xié)商的密鑰滿足已知會話密鑰安全、前向安全性和密鑰控制安全。

5) 用戶身份可追蹤性

由于一次性公鑰在提供匿名性的同時具有可追蹤性，當(dāng)用戶A進(jìn)行惡意活動后，SP將A的一次性公鑰提交給TC，TC利用保存的(IDA,c, RA)可以揭示用戶A的身份。該特性可以有效防止用戶進(jìn)行非法操作。

將本方案與現(xiàn)有普適環(huán)境中的匿名認(rèn)證方案進(jìn)行安全性比較，結(jié)果如表2所示。其中，“Y”表示滿足安全要求，“N”表示不滿足，“P”表示部分滿足(對服務(wù)提供者SP不滿足)。由表2中數(shù)據(jù)可以看出，同文獻(xiàn)[2,6,7]中方案相比，本方案在滿足雙向認(rèn)證、用戶匿名性等安全要求的同時，能夠?qū)阂庥脩羯矸葸M(jìn)行追蹤，從而可以防止用戶進(jìn)行惡意活動。同文獻(xiàn)[4,5]中方案相比，本方案具有更強的匿名性，而文獻(xiàn)[4,5]中方案只能實現(xiàn)部分匿名性(對服務(wù)提供者SP不滿足匿名性)。因此，本方案在安全性上優(yōu)于其他方案。

表2 安全性比較

3.3 方案效率分析

本方案在認(rèn)證過程中主要的計算開銷來自于驗證一次性公鑰，需要3次雙線性對運算，這些主要的運算由計算能力較強的服務(wù)提供者來完成，而用戶只需要進(jìn)行橢圓曲線上的點乘和點加運算，因此方案不會給用戶端帶來較大的計算開銷，滿足普適環(huán)境中用戶端計算量小的要求。同時，本方案只需在用戶首次認(rèn)證時進(jìn)行雙線性對運算，在之后的訪問中，只需要進(jìn)行橢圓曲線上的點乘和點加運算，因此在多次訪問過程中方案的平均計算開銷較小。

4 結(jié)束語

為了保護(hù)用戶隱私，普適環(huán)境下的認(rèn)證方案需要滿足用戶匿名性要求。本文提出了一種基于身份的一次性公鑰及簽名算法，算法在保證安全性的基礎(chǔ)上具有較小的計算和通信開銷。基于該算法和散列鏈認(rèn)證技術(shù)設(shè)計了一種普適環(huán)境中的匿名認(rèn)證方案，在提供強匿名性的同時，可防止用戶進(jìn)行惡意活動。同現(xiàn)有普適環(huán)境中的匿名認(rèn)證方案相比，本方案具有更好的安全性。

[1] YAO L, WANG L, KONG X W, et al. An inter-domain authentication scheme for pervasive computing environment[J]. Computers and Mathematics with Applications, 2010, 59(2):811-821.

[2] REN K, LOU W J, KIM K, et al. A novel privacy preserving authentication and access control scheme for pervasive computing environments[J]. IEEE Transactions on Vehicular Technology, 2006, 55(4):1373-1384.

[3] FORNE J, HINAREJOS F, MARIN A, et al. Pervasive authentication and authorization infrastructures for mobile users[J]. Computers &Security, 2010, 29(4):501-514.

[4] KANG M H, RYOU H B, CHOI W C. Design of anonymity-preserving user authentication and key agreement protocol for ubiquitous computing environments[A]. International Workshop on Internet and Network Economics[C]. Hong Kong, China, 2005.491-499.

[5] WANG R C, JUANG W S, WU C C, et al. A lightweight key agreement protocol with user anonymity in ubiquitous computing environments[A]. International Conference on Multimedia and Ubiquitous Engineering[C]. Seoul, Korea, 2007. 313-318.

[6] REN K, LOU W J. Privacy-enhanced, attack-resilient access control in pervasive computing environments with optional context authentication capability[J]. Mobile Networks and Applications, 2007,12(1):79-92.

[7] LI C T, HWANG M S, CHU Y P. Further improvement on a novel privacy preserving authentication and access control scheme for pervasive computing environments[J]. Computer Communications, 2008,31(18):4255-4258.

[8] 張秋璞, 郭寶安. 基于ID的一次性盲公鑰[J]. 電子學(xué)報, 2003,31(5):669-771.ZHANG Q P, GUO B A. One-off blind public key based on ID[J].Acta Electronica Sinica, 2003, 31(5):669-771.

[9] 張勝, 徐國愛, 胡正名等. 一種基于身份一次性公鑰的構(gòu)造[J]. 電子與信息學(xué)報, 2006, 28(8):1412-1414.ZHANG S, XU G A, HU Z M, et al. Construction of the one-off public key based on identity[J].Journal of Electronics&Information Technology, 2006, 28(8):1412-1414.

[10] 劉宏偉, 謝維信, 喻建平等. 基于身份的公平不可否認(rèn)協(xié)議[J]. 通信學(xué)報, 2009, 30(7):119-123.LIU H W, XIN W X, YU J P, et al. Fare non-repudiation protocol based on identity-based cryptography[J]. Journal on Communications,2009, 30(7):119-123.