ad hoc網(wǎng)絡(luò)具有撤銷機(jī)制的密鑰管理方案

孫 梅，張 娟

SUN Mei,ZHANG Juan

淮北師范大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 淮北 235000

College of Computer Science and Technology,Huaibei Normal University,Huaibei,Anhui 235000,China

1 引言

ad hoc網(wǎng)絡(luò)是一種無網(wǎng)絡(luò)基礎(chǔ)設(shè)施的無線自組織網(wǎng)絡(luò)。與傳統(tǒng)的網(wǎng)絡(luò)相比，ad hoc網(wǎng)絡(luò)具有以下特點(diǎn)：（1）自組織性，所有的移動(dòng)節(jié)點(diǎn)都具有路由器和終端節(jié)點(diǎn)的雙重身份，節(jié)點(diǎn)之間通過分布式算法實(shí)現(xiàn)互聯(lián)互通；（2）沒有中心認(rèn)證機(jī)構(gòu)和公鑰基礎(chǔ)設(shè)施；（3）網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化，網(wǎng)絡(luò)中的節(jié)點(diǎn)具有移動(dòng)特性，且節(jié)點(diǎn)可能在任意時(shí)刻關(guān)機(jī)或離開網(wǎng)絡(luò)；（4）節(jié)點(diǎn)的帶寬和能源有限。ad hoc網(wǎng)絡(luò)的自組織方式，有限的網(wǎng)絡(luò)帶寬和能源，無線通信等特點(diǎn)，使得傳統(tǒng)有線網(wǎng)絡(luò)中基于PKI的中心式密鑰管理方案不適用于該網(wǎng)絡(luò)。

針對(duì)ad hoc網(wǎng)絡(luò)的特點(diǎn)——沒有中心認(rèn)證機(jī)構(gòu)和公鑰基礎(chǔ)設(shè)施，將信任分布化是解決ad hoc網(wǎng)絡(luò)密鑰管理的一種有效的手段。Zhou和Hatz[1]首先提出了基于(n，t)門限密碼的分布化ad hoc密鑰管理方案，但沒有實(shí)現(xiàn)完全分布化，仍需要密鑰產(chǎn)生中心進(jìn)行系統(tǒng)密鑰的分發(fā)。后來Luo[2]等提出了自安全的ad hoc網(wǎng)絡(luò)，無需第三方，靠節(jié)點(diǎn)相互協(xié)作產(chǎn)生并分發(fā)系統(tǒng)密鑰。Kong等人[3-4]給出了安全分布式密鑰管理方案，網(wǎng)絡(luò)中的所有節(jié)點(diǎn)都是服務(wù)節(jié)點(diǎn)，均可與其他節(jié)點(diǎn)完成密鑰服務(wù)的功能。上述方案[1-4]都是采用基于證書的RSA公鑰機(jī)制實(shí)現(xiàn)的，算法的開銷大，且安全性不高。

Khalili[5]提出了基于ID的ad hoc網(wǎng)絡(luò)密鑰管理機(jī)制。基于ID的密碼體制[6]可以使用較短的密鑰滿足較高的安全要求，適合資源有限的ad hoc網(wǎng)絡(luò)。Deng[7]等提出了一種基于ID的ad hoc網(wǎng)絡(luò)的密鑰管理方案，以完全分布式安全地建立用戶私鑰；杜春來等[8]提出了一種建立在橢圓曲線域上的基于雙向身份認(rèn)證的移動(dòng)ad hoc密鑰管理框架；李慧賢等[9]給出了適合ad hoc網(wǎng)絡(luò)無需安全信道的密鑰管理方案，可以在公共信道上傳輸節(jié)點(diǎn)密鑰，相對(duì)其他方案[5，7]能更好地節(jié)省帶寬和節(jié)點(diǎn)的能量。以上方案[7-9]都是基于ID的密碼體制的，主要采用橢圓曲線密碼體制，公鑰短，計(jì)算量小；采用分布化方式產(chǎn)生系統(tǒng)密鑰和用戶密鑰，有效避免了單點(diǎn)失敗，安全性較好。但是沒有考慮用戶密鑰泄漏，或發(fā)生異常后如何撤銷原有密鑰以及重新設(shè)定新密鑰等問題。

基于以上原因，本文借鑒文獻(xiàn)[9]的方案，在無需安全信道的基礎(chǔ)上給出了一個(gè)具有密鑰撤銷機(jī)制的基于身份的ad hoc網(wǎng)絡(luò)密鑰管理方案，并在此基礎(chǔ)上實(shí)現(xiàn)了用戶簽名。方案在門限密碼學(xué)的基礎(chǔ)上采用橢圓密碼體制以完全分布化方式建立系統(tǒng)密鑰。分析表明該方案不僅有良好的容錯(cuò)性，能有效節(jié)省帶寬和計(jì)算量，能抵御網(wǎng)絡(luò)傳統(tǒng)的主動(dòng)和被動(dòng)攻擊等特點(diǎn)，而且可以在密鑰泄漏的情況下，通過注銷用戶密鑰，有效防止攻擊者的偽造攻擊。即使攻擊者成功偽造了用戶的簽名，用戶還可以通過系統(tǒng)簽名注銷消息來證明偽造簽名無效。方案具有更高的安全性。

2 雙線性映射的基本理論

（1）雙線性映射：設(shè) (G1，+)，(G2，·)為階是素?cái)?shù) q 的循環(huán)群。稱滿足如下性質(zhì)的映射e:G1×G1→G2為雙線性映射：

①雙線性性：任意 P,Q∈G1，任意a,b∈Z*q，總有 e(aP，bQ)=e(P，Q)ab。

②非退化性：存在 P,Q∈G1，滿足 e(P，Q)≠1G2。

③可計(jì)算性：任意P,Q∈G1，存在一個(gè)有效的算法計(jì)算e(P，Q)。

（2）相關(guān)的困難問題：設(shè)P是(G1，+)的一個(gè)生成元，給出(G1，+)上的一個(gè)困難問題。

計(jì)算Diffie-Hellman問題（CDH問題）：已知(P，aP，bP)，計(jì)算abP，其中a,b∈Z*q是未知的。

3 具有密鑰撤銷機(jī)制的ad hoc網(wǎng)絡(luò)基于身份的密鑰管理方案

本文借鑒文獻(xiàn)[9]的方法由一個(gè)離線的局部注冊(cè)中心（Local Registration Authority，LRA）來實(shí)現(xiàn)用戶身份的鑒別，用戶私鑰的發(fā)布不需要安全通道，系統(tǒng)密鑰和用戶私鑰由多個(gè)分布式密鑰生成中心（Distributed Key Generation Center，DKGC）協(xié)作生成。在該方案中，每個(gè)用戶有一個(gè)唯一的固定長度的ID來表示身份信息。為了區(qū)分用戶各時(shí)間段的密鑰，每個(gè)用戶在申請(qǐng)密鑰時(shí)，隨機(jī)選擇一個(gè)數(shù)K和ID綁定。若在某一時(shí)刻用戶發(fā)現(xiàn)自己的密鑰異?；蛐孤┝?，可以向密鑰服務(wù)節(jié)點(diǎn)申請(qǐng)注銷K和ID的綁定，重新選取一個(gè)新的隨機(jī)數(shù)和ID綁定，產(chǎn)生新的密鑰。密鑰服務(wù)節(jié)點(diǎn)將已注銷的ID與K保存在注銷列表中，并將此注銷消息向全網(wǎng)廣播。當(dāng)有攻擊者竊取他人私鑰偽造簽名時(shí)，其他用戶可以通過查詢注銷列表，發(fā)現(xiàn)其偽造行為。

3.1 系統(tǒng)初始化

系統(tǒng)選擇兩個(gè)階數(shù)同為素?cái)?shù)q的群(G1，+)和(G2，·)，P是G1的生成元，e:G1×G1→G2是安全的雙線性映射，{1,2，…，N}，N為網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)）表示ad hoc網(wǎng)絡(luò)中每個(gè)節(jié)鑰為s，公鑰為Ppub=sP。參與系統(tǒng)密鑰生成的DKGC節(jié)點(diǎn)數(shù)為 n(1≤n≤N)，門限值為 t(t≤n≤2t-1)。n個(gè)DKGC組成一個(gè)組播組，它們之間可以使用組播協(xié)議通信。每個(gè)DKGC節(jié)點(diǎn)建立兩個(gè)列表：注銷列表和運(yùn)行列表，注銷列表用來保存用戶注銷過的ID與K的綁定，運(yùn)行列表用來保存目前用戶正在使用的ID與K的綁定。用戶初始登錄網(wǎng)絡(luò)時(shí)，可以從離自己最近的DKGC節(jié)點(diǎn)復(fù)制注銷列表，以后根據(jù)系統(tǒng)廣播的注銷消息更新復(fù)制的注銷列表。

3.2 系統(tǒng)密鑰產(chǎn)生

每個(gè)服務(wù)節(jié)點(diǎn) DKGCi(i=1，2，…，n)隨機(jī)選擇一個(gè)秘密數(shù)，建立一個(gè)t-1階多項(xiàng)式 fi(x)：

然后向其他DKGC節(jié)點(diǎn)發(fā)送部分密鑰份額si，j=fi(j)(j≠i)，同時(shí)計(jì)算 Vi，0=diP ，Vi，k=ai，kP(k=1，2，…，t-1)，并將其在組播組中組播。節(jié)點(diǎn)DKGCj收到si，j后驗(yàn)證等式（1）是否成立。

DKGCj在收到 n-1個(gè)有效的 si，j(i≠j)后，計(jì)算自身的

3.3 用戶注冊(cè)

用戶節(jié)點(diǎn)ul（其身份標(biāo)識(shí)為IDl），首先到LRA離線注冊(cè)一個(gè)盲因子，具體做法如下：

用戶ul選擇一個(gè)秘密隨機(jī)數(shù)計(jì)算盲因子 Rl=rlP，然后將(IDl，Rl)提交給LRA。LRA計(jì)算Ul=H(IDLRA||IDl||Rl||Tl)，Sigl=s0Ul，Tl為盲因子的有效期。

3.4 用戶密鑰發(fā)布

用戶ul要獲得密鑰，可以向離自己最近的一個(gè)DKGC節(jié)點(diǎn)提交請(qǐng)求信息，具體過程如下：

（1）用戶 ul選擇一個(gè)隨機(jī)數(shù)，并計(jì)算Yl=rlH(IDl||Kl||dt)，dt為密鑰生效時(shí)間（＞當(dāng)前時(shí)間），然后將{IDl，IDLRA，Rl，Sigl，Tl，Yl，Kl，dt}發(fā)送給離自己最近的一個(gè)DKGC節(jié)點(diǎn)，記為 DKGCi。

（2）DKGCi驗(yàn)證等式（2），（3）：

若兩式都成立，DKGCi將此請(qǐng)求信息 {IDl，IDLRA，Rl，Sigl，Tl，Yl，Kl，dt} 在組播組中組播，并找出 t-1 個(gè) DKGC 節(jié)點(diǎn)（記為 DKGCi(i=1，2，…，t)），共同協(xié)作為 ul生成密鑰。DKGCi為ul計(jì)算部分密鑰 Xi=siYl，并通過公開信道發(fā)送給ul。系統(tǒng)的每個(gè)DKGC節(jié)點(diǎn)都將用戶的申請(qǐng)信息{IDl，IDLRA，Rl，Sigl，Tl，Yl，Kl，dt}保存在自己運(yùn)行列表中。

（3）ul收到 DKGCi的 Xi后驗(yàn)證等式（4）是否成立。

在t個(gè) Xi被驗(yàn)證通過后，計(jì)算密鑰：

3.5 用戶密鑰的注銷和新密鑰的申請(qǐng)

（1）如果用戶ul發(fā)現(xiàn)密鑰異常或泄漏，可以向離自己最近的DKGC節(jié)點(diǎn)（記為DKGCk）提交注銷密鑰的申請(qǐng)信息rq，rq中包括用戶的身份 IDl，隨機(jī)數(shù)Kl，以及注銷時(shí)間（≥當(dāng)前時(shí)間）等。如果用戶需要新的用戶密鑰，同時(shí)提交{IDl，IDLRA，Rl，Sigl，Tl，Yl'，Kl'，dt'}等信息，其中為用戶ul選擇的一個(gè)新的不重復(fù)隨機(jī)數(shù)，Yl'=rlH(IDl||Kl'||dt')，dt'為新密鑰生效時(shí)間（＞注銷時(shí)間和當(dāng)前時(shí)間）。

（2）DKGCk對(duì)申請(qǐng)信息進(jìn)行審核，即驗(yàn)證等式（2）和（5）：

若審核通過，首先，DKGCk在網(wǎng)絡(luò)中廣播取消IDl和Kl的綁定，其他節(jié)點(diǎn)（包括DKGC節(jié)點(diǎn)）將IDl和Kl以及注銷時(shí)間添加到自己的注銷列表中，DKGC節(jié)點(diǎn)在運(yùn)行列表中刪除IDl和Kl的綁定；然后，DKGCk在組播組中組播rq和{IDl，IDLRA，Rl，Sigl，Tl，Yl'，Kl'，dt'}，并找出 t-1個(gè)DKGC節(jié)點(diǎn)（記做 DKGCi(i=1，2，…，t)），共同協(xié)作為 ul生成密鑰。DKGCi為 ul計(jì)算 σi=siH(rq)和 Xi'=siYl'，并通過公開信道發(fā)送給ul；最后，系統(tǒng)的各DKGC節(jié)點(diǎn)將新的綁定信息 {IDl，IDLRA，Rl，Sigl，Tl，Yl'，Kl'，dt'}保存到自己的運(yùn)行列表中。

（3）ul收到DKGCi的 Xi后驗(yàn)證下列等式是否成立。

在t個(gè) Xi被驗(yàn)證通過后，計(jì)算密鑰：

和注銷消息的系統(tǒng)簽名：

3.6 用戶簽名

本文的簽名方案是對(duì)Hess[10]的基于身份的簽名方案進(jìn)行了擴(kuò)展，Hess的方案安全性建立在CDH問題難解的基礎(chǔ)上，且已在Random Oracle模型下證明是CPA（選擇明文攻擊）安全的。

若用戶uk需要ul為信息m簽名，那么ul隨機(jī)選擇一個(gè)秘密數(shù) w∈Z*q，計(jì)算 γ=e(P，P)w，得到消息m的Hash值v=H1(m||γ||dt1)，dt1為簽名時(shí)間，產(chǎn)生簽名：

ul將簽名{λ，IDl，Kl，dt，m，v，dt1}(dt1≥ dt)發(fā)送給用戶uk，uk收到后檢查自己是否有注銷列表，若無，則向離自己最近的DKGC發(fā)送復(fù)制注銷列表的請(qǐng)求，在復(fù)制的注銷列表中，uk檢查 IDl，Kl，dt是否存在，若存在，則認(rèn)定簽名無效。否則計(jì)算 γ'=e(λ，P)e(H(IDl||Kl||dt)， -Ppub)v，當(dāng)且僅當(dāng)v=H1(m||γ′||dt1)時(shí)接受簽名。

4 密鑰管理方案及用戶簽名方案的正確性分析

定理2 用戶簽名{λ，IDl，Kl，dt，m，v，dt1}(dt1≥dt)的有效性可以通過注銷列表和等式v=H1(m||γ'||dt1)來驗(yàn)證。

證明 假如綁定信息 IDl，Kl，dt(dt1≥dt)出現(xiàn)在注銷列表中說明用戶ul在dt時(shí)刻已經(jīng)注銷了自己的密鑰，所以本次簽名是無效的。若密鑰未被注銷則可以計(jì)算：

5 密鑰管理方案及用戶簽名方案的安全性和性能分析

5.1 密鑰管理方案的安全性分析

本方案的安全性基于橢圓曲線上的離散對(duì)數(shù)問題的困難性，同時(shí)采用了基于盲簽名的傳輸方案，保證了在公共通道上傳輸用戶密鑰的安全性。

（1）和文獻(xiàn)[9]相比，本文提出的方案也可以達(dá)到第III級(jí)信任[9]，即信任用戶和可信第三方（Trust Third Party，TTP）不知道用戶的私鑰，若TTP產(chǎn)生了假的用戶公鑰，可以證明該公鑰為假。

在本文方案中，每個(gè)DKGC節(jié)點(diǎn)只發(fā)布了用戶ul的部分私鑰，它并不知道用戶的完整私鑰。如果有惡意的DKGC節(jié)點(diǎn)假冒ul欺騙其他DKGC節(jié)點(diǎn)，它首先要選擇一個(gè)rl′∈，偽造LRA的簽名為。其他DKGC節(jié)點(diǎn)可以通過等式（2）來進(jìn)行驗(yàn)證，發(fā)現(xiàn)其偽造行為，即e(Sigl'，P)≠e(Ul'，PLRA)，所以惡意的DKGC節(jié)點(diǎn)無法偽造 ul。如果LRA要假冒用戶ul，它選擇一個(gè)，計(jì)算 Rl''=rl''P ，Ul''=H(IDLRA||IDl||Rl''||Tl)和簽名Sigl''=s0''Ul''，然后向某個(gè)DKGC發(fā)送請(qǐng)求信息，系統(tǒng)中至少有一個(gè)DKGC節(jié)點(diǎn)能根據(jù)運(yùn)行列表中的Sigl≠Sigl''識(shí)別出惡意的LRA偽造了用戶ul，所以LRA也無法偽造用戶ul。其他的惡意節(jié)點(diǎn)想偽造ul，需要從 Rl=rlP，PLRA=s0P中計(jì)算出rl和 s0，這是離散對(duì)數(shù)問題。所以本文方案可以達(dá)到第III級(jí)信任。

（2）同文獻(xiàn)[9]，本文的密鑰管理方案也具有容錯(cuò)性，即使有n-t個(gè)服務(wù)節(jié)點(diǎn)被攻擊，系統(tǒng)還可以提供密鑰服務(wù)。證明方法參見文獻(xiàn)[9]。

（3）同文獻(xiàn)[9]，本文在密鑰發(fā)布過程中能抵御主動(dòng)攻擊，包括重放攻擊，中間人攻擊，內(nèi)部攻擊。同時(shí)也能抵御被動(dòng)攻擊。證明方法見文獻(xiàn)[9]。

5.2 用戶簽名方案的安全性分析

（1）安全模型

基于身份數(shù)字簽名方案的攻擊模型[11]，即攻擊者A和挑戰(zhàn)者C進(jìn)行以下對(duì)局：

①運(yùn)行系統(tǒng)初始化算法并將系統(tǒng)參數(shù)給A。

②A行以下詢問：

hash詢問，C計(jì)算輸入消息的hash值，并把結(jié)果給A。

身份詢問，給定一個(gè)身份ID，C返回給A與該ID對(duì)應(yīng)的私鑰。

簽名詢問，給定一個(gè)身份ID和消息M，返回給A一個(gè)ID對(duì)M的簽名λ。

③A 輸出 (ID′，M′，λ′)并認(rèn)為 λ′是 ID′對(duì) M′的簽名。如果λ′是有效的簽名并且(ID'，M')沒有進(jìn)行過簽名詢問，則稱攻擊者A贏得對(duì)局。

定理3假設(shè)G1中CDH問題是困難的，提出的基于身份的用戶簽名方案在隨機(jī)預(yù)言模型下抗適應(yīng)性選擇消息和給定身份攻擊。

證明 假設(shè)攻擊者A能攻破用戶簽名方案，利用A能構(gòu)造一個(gè)有效的算法C，C可以解G1中的CDH問題，即給定(P，aP，bP)，C欲計(jì)算 abP 。C具有{IDl，Kl，dt，Yl，yl}列表，C置PPub=aP，并如下回答A的詢問。

①ID-hash詢問。當(dāng)A詢問 ＜IDi，Ki，dti＞ 的hash值時(shí)，如果 IDi=IDl，Ki=Kl，dti=dt，C 給 A 回答 H(IDi||Ki||dti)=

②密鑰提取詢問。當(dāng)A詢問 ＜IDik，Kik，dtik＞的密鑰值的私鑰。A不能詢問 ＜IDl，Kl，dt＞ 對(duì)應(yīng)的私鑰bP。

③消息hash詢問。A可以進(jìn)行qH次消息hash詢問，息hash值返回給A。

④簽名詢問。A詢問IDit對(duì)消息mit的簽名，C按照如下步驟回答：

證畢。

（2）在密鑰泄漏的情況下，通過注銷用戶密鑰，可有效防止攻擊者的偽造攻擊。

如果用戶ul密鑰泄露了，他可以向DKGC節(jié)點(diǎn)申請(qǐng)注銷密鑰。系統(tǒng)通過廣播注銷消息，使其他用戶都知道IDl和Kl的綁定已經(jīng)被注銷了，若在此之后有人提交了簽名{λ，IDl，Kl，dt，m，v，dt1}(dt1≥ dt)，則可以認(rèn)定該簽名無效；假如有新用戶初始登錄網(wǎng)絡(luò)，并且沒有收到該注銷消息，他可以選擇從某個(gè)DKGC節(jié)點(diǎn)復(fù)制注銷列表而得知該注銷消息。即使有惡意的DKGC節(jié)點(diǎn)偽造了假的注銷列表，使該簽名有效，ul還可以通過系統(tǒng)簽名注銷消息σ=sH(rq)證明該密鑰已經(jīng)在dt1之前被注銷了。因此，通過注銷用戶密鑰可有效防止攻擊者的偽造攻擊，同時(shí)又不影響密鑰注銷之前的簽名，因?yàn)樵谧N列表中有密鑰注銷的時(shí)間，用戶簽名時(shí)有簽名時(shí)間，只要簽名時(shí)間小于注銷時(shí)間就認(rèn)為簽名是有效的。

5.3 性能分析

本文采用節(jié)點(diǎn)身份作為它的公鑰，不需要額外的公鑰生成和傳輸過程。方案的實(shí)現(xiàn)主要基于橢圓曲線密碼體制，該體制計(jì)算量小，安全性高[12]。因此，該方案比傳統(tǒng)的公鑰算法的ad hoc密鑰管理方案[1-4]具有更低的計(jì)算代價(jià)和通信代價(jià)。本文方案中，用戶密鑰的發(fā)布無需安全通道，與現(xiàn)有文獻(xiàn)[5，7]相比，能節(jié)省通信代價(jià)和計(jì)算代價(jià)[9]。另外本文方案中，密鑰服務(wù)節(jié)點(diǎn)形成了一個(gè)組播組，對(duì)于驗(yàn)證數(shù)據(jù)采用組播傳輸代替文獻(xiàn)[8-9]的全網(wǎng)廣播，有效節(jié)省了通信帶寬——如文獻(xiàn)[9]系統(tǒng)密鑰產(chǎn)生需要單播n(n-1)次，廣播2n次通信，用戶密鑰發(fā)布需要單播2t次；而本文方案系統(tǒng)密鑰產(chǎn)生需要單播n(n-1)次，組播n次，廣播n次，用戶密鑰發(fā)布需要單播1+t次，組播1次。本文在注銷密鑰后，重新申請(qǐng)密鑰時(shí)，只需用戶自己重新選定一個(gè)隨機(jī)數(shù)，并不需要更換用戶的ID，不需要LRA重新鑒定身份，有效節(jié)省了通信帶寬和計(jì)算量。對(duì)于注銷的密鑰，本文使用注銷列表來保存，只有在密鑰泄漏或異常才可能注銷密鑰，這些情況是比較少的，所以注銷列表并不是很大，不會(huì)過多占用節(jié)點(diǎn)的存儲(chǔ)空間，ad hoc網(wǎng)絡(luò)的節(jié)點(diǎn)有能力滿足方案的要求。

6 結(jié)語

本文針對(duì)ad hoc可能會(huì)出現(xiàn)的密鑰泄漏，異常，離開網(wǎng)絡(luò)等情況，將密鑰撤銷機(jī)制應(yīng)用在密鑰管理中，不僅有效減少了密鑰泄漏后給用戶帶來的損失，而且不會(huì)影響密鑰泄漏前用戶簽名的有效性。方案同時(shí)將組播技術(shù)應(yīng)用在ad hoc網(wǎng)絡(luò)中，節(jié)省了系統(tǒng)的帶寬和節(jié)點(diǎn)的能量，另外采用門限方案增強(qiáng)了系統(tǒng)的健壯性，具有較好的理論和實(shí)用價(jià)值。

[1]Zhou L，Hass Z J.Securing ad hoc networks[J].IEEE Network，1999，13（6）：24-30.

[2]Luo H，Zefros P，Kong J，et al.Self-securing ad hoc wireless networks[C]//Proceedings of the Seventh IEEE Symposium on Computers and Communications（ISCC’02）.Taormina：IEEE Press，2002：548-555.

[3]Kong J，Zefros P，Luo H，et al.Providing robust and ubiquitous security support for mobile ad-hoc networks[C]//Proceedings of 9th International Conference on Network Protocols（ICNP’01）.Riverside，CA：IEEE Press，2001：251-260.

[4]Luo H，Kong J，Zerfos P，et al.Ubiquitous and robust access control for mobile ad hoc networks[J].ACM Transactions on Networking，2004，12（6）：1049-1063.

[5]Khalili A，Katz J，Arbaugh W A.Toward secure key distribution in truly ad-hoc networks[C]//Proceedings of the Symposium on Applications and the Internet Workshops（SAINT’03）.Orlando，F(xiàn)L，USA：IEEE Press，2003：342-346.

[6]Boneh D，F(xiàn)ranklin M K.Identity-based encryption from the Weil pairing[J].SIAM Journal of Computing，2003，32（3）：586-615.

[7]Deng H，Mukherjee A，Agrawal D P.Threshold and identitybased key management and authentication for wireless ad hoc networks[C]//The International Conference on Information Technology：Coding and Computing（ITCC’04）.Las Vegas，USA：IEEE Press，2004：107-110.

[8]杜春來，胡銘曾，張宏莉.在橢圓曲線域中基于身份認(rèn)證的移動(dòng)ad hoc密鑰管理框架[J].通信學(xué)報(bào)，2007，28（12）：53-59.

[9]李慧賢，龐遼軍，王育民.適合ad hoc網(wǎng)絡(luò)無需安全信道的密鑰管理方案[J].通信學(xué)報(bào)，2010，31（1）：112-117.

[10]Hess F.Efficient identity based signature schemes based on pairings[C]//LNCS 2595：Selected Areas in Cryptography（SAC 2002）.Berlin：Springer-Verlag，2003：310-324.

[11]Pointcheval D，Stern J.Security proofs for signature schemes[C]//EUROCRYPT’96.Berlin：Springer-Verlag，1996：387-398.

[12]Boneh D，Lynn B，Shacham H.Short signatures from the Weil pairing[C]//LNCS 2248：Advances in Cryptology-Asiacrypt 2001.Berlin：Springer-Verlag，2001：514-532.