無線網(wǎng)絡(luò)中基于無證書聚合簽名的高效匿名漫游認(rèn)證方案

劉丹，石潤華，張順，仲紅

（安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 合肥 230601）

無線網(wǎng)絡(luò)中基于無證書聚合簽名的高效匿名漫游認(rèn)證方案

劉丹，石潤華，張順，仲紅

（安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 合肥 230601）

針對無線移動網(wǎng)絡(luò)漫游認(rèn)證中的隱私保護(hù)需求，提出了新的匿名漫游認(rèn)證方案。引入在線離線簽名技術(shù)，并巧妙結(jié)合聚合驗(yàn)證方法，設(shè)計(jì)了一個(gè)無證書聚合簽名方案。與相關(guān)方案相比，該簽名方案降低了簽名和驗(yàn)證過程的計(jì)算開銷，提高了通信效率。繼而，基于該簽名方案，提出了一種新型高效的匿名漫游認(rèn)證方案，簡化了傳統(tǒng)的三方漫游認(rèn)證模型。理論分析結(jié)果表明，該方案安全、有效，特別適用于大規(guī)模無線移動網(wǎng)絡(luò)。

無線移動網(wǎng)絡(luò)；無證書；聚合；漫游認(rèn)證；隱私保護(hù)

1 引言

隨著移動通信和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，無線網(wǎng)絡(luò)作為傳統(tǒng)有線網(wǎng)絡(luò)的擴(kuò)展，不僅得到了廣泛的應(yīng)用，也給人們帶來了極大的便利。因其特殊的組網(wǎng)方式，在設(shè)計(jì)無線網(wǎng)絡(luò)安全協(xié)議時(shí)需要考慮的安全問題更多，所以，大部分有線網(wǎng)絡(luò)中的安全協(xié)議是不適合無線網(wǎng)絡(luò)的。

漫游是無線網(wǎng)絡(luò)中的關(guān)鍵服務(wù)之一。漫游服務(wù)固然方便，但安全問題不能忽視，尤其是在接入認(rèn)證時(shí)可能會出現(xiàn)用戶的真實(shí)身份、位置遭到泄露等情況。移動用戶在外地網(wǎng)絡(luò)請求服務(wù)時(shí)，對用戶來說，他希望自己的真實(shí)身份、位置等信息能得到相應(yīng)的保護(hù)，可以采用匿名漫游認(rèn)證的方法，防止惡意的攻擊者竊取這些隱私信息；而對外地服務(wù)器來說，首先要檢驗(yàn)用戶的合法性，然后去判斷是否給予服務(wù)，從而避免非法用戶請求服務(wù)，造成服務(wù)資源浪費(fèi)?？梢?，用戶的隱匿性和不可追蹤性對漫游認(rèn)證來說尤為重要。

為此，本文構(gòu)造了一個(gè)安全、有效的基于無證書的聚合簽名方案，不僅解決了證書開銷和密鑰托管問題，還將簽名過程分為在線和離線這2個(gè)階段，降低了簽名和驗(yàn)證過程所需計(jì)算開銷，提高了通信效率，使協(xié)議在計(jì)算和存儲能力受限的移動環(huán)境下具有可用性。另外，在漫游認(rèn)證中采用聚合簽名技術(shù)，將多個(gè)簽名聚合成一個(gè)簽名，只需對聚合后的簽名進(jìn)行驗(yàn)證便可知簽名是否合法，提高了驗(yàn)證效率。簡而言之，本文的方案能夠?qū)崿F(xiàn)移動用戶在不暴露自己真實(shí)身份的前提下安全地進(jìn)行漫游認(rèn)證。

2 相關(guān)工作

最近有關(guān)無線網(wǎng)絡(luò)中漫游認(rèn)證的研究，大多數(shù)方案運(yùn)用各種密碼技術(shù)設(shè)計(jì)不同方法來解決安全和隱私這2大挑戰(zhàn)性問題，但出現(xiàn)了一些不可避免的安全漏洞?；趯ΨQ密鑰的方法[1～6]，要求任意2個(gè)服務(wù)器之間預(yù)先建立對稱密鑰，這使管理復(fù)雜、成本高、可擴(kuò)展性差。而基于PKI的方法[2,7～13]雖然具有較好的可擴(kuò)展性，但證書開銷帶來了額外的計(jì)算開銷和通信代價(jià)。為解決證書開銷問題，引入基于ID-PKC的方法[14～17]，大大簡化了證書的管理，但也存在不可忽視的安全缺陷。

另外，在漫游認(rèn)證過程中，按照參與方的不同，可分成三方漫游認(rèn)證和兩方漫游認(rèn)證。三方漫游認(rèn)證簡單模型如圖1所示。2005年，田子建等[18]設(shè)計(jì)了一種環(huán)簽名方法來實(shí)現(xiàn)匿名認(rèn)證。2009年，Hou等[19]構(gòu)造了一種基于組合公鑰的接入認(rèn)證方法，實(shí)現(xiàn)了用戶身份的隱匿性。2012年，Zhang等[20]采用一種基于無證書的公鑰密碼體制（CL-PKC, certificateless public key cryptography）的方法，解決了密鑰托管的問題，但方案中家鄉(xiāng)代理（HA, home agent）卻知道移動節(jié)點(diǎn)（MN, mobile node）和外地代理（FA, foreign agent）之間的會話密鑰，不具有安全性。上述方案都是采用三方漫游認(rèn)證的方法，不具有統(tǒng)一性，而兩方漫游認(rèn)證具有統(tǒng)一性的特點(diǎn)，較好地避免了針對HA的拒絕服務(wù)（DoS, denial of service）攻擊，其簡單模型如圖2所示。2010年，Yang等[17]設(shè)計(jì)了一種基于群簽名（GS, group signature）的認(rèn)證方法，采用假名技術(shù)實(shí)現(xiàn)強(qiáng)用戶隱匿性，并基于撤銷令牌實(shí)現(xiàn)動態(tài)撤銷的性質(zhì)。He等[21]也設(shè)計(jì)了基于群簽名的認(rèn)證方法，實(shí)現(xiàn)強(qiáng)用戶隱匿性和隱私保護(hù)性，并指出文獻(xiàn)[17]的不足之處，遺憾的是，該方案不滿足不可追蹤性。Yang等[17]還設(shè)計(jì)了一種基于ID-PKC的認(rèn)證方法，但FA能獲取用戶的真實(shí)身份，不能保證強(qiáng)用戶隱匿性。He等[22,23]證明了Yang[17]和He[20]方法不能滿足條件隱私保護(hù)。綜上所述，三方漫游認(rèn)證和兩方漫游認(rèn)證這 2類方法在隱私保護(hù)方面仍舊存在某些安全漏洞，所以本文要找到最合適的方法，達(dá)到具有隱私保護(hù)性、統(tǒng)一性的漫游認(rèn)證。

圖1 三方漫游認(rèn)證簡單模型

圖2 兩方漫游認(rèn)證簡單模型

除了安全和隱私，效率也是不可忽略的重要問題?；赑KI的認(rèn)證方法不可避免對證書的管理，證書傳輸和驗(yàn)證使通信代價(jià)大大提高?；贗D-PKC的認(rèn)證方法雖然解決了證書管理帶來的開銷問題，卻不能避免雙線性對的運(yùn)算開銷?；谌汉灻恼J(rèn)證方法使用撤銷密鑰來實(shí)現(xiàn)用戶的動態(tài)撤銷，但當(dāng)網(wǎng)絡(luò)中的用戶數(shù)量不斷增長，驗(yàn)證開銷也隨之提高。三方漫游認(rèn)證方法必須要求HA和FA至少交互一次才能完成認(rèn)證。而在一般情況下，HA為遠(yuǎn)程服務(wù)器，會帶來很大的通信代價(jià)。

依據(jù)上述詳細(xì)分析，可見現(xiàn)有大多數(shù)方案無論是在安全、隱私方面，還是在效率方面都存在一些問題，本文要保證漫游認(rèn)證在安全、高效的情況下，注重隱私保護(hù)的實(shí)現(xiàn)。本文基于無證書的聚合簽名（CLAS, certificateless aggregate signature）[27～29]方法，實(shí)現(xiàn)了具有隱私保護(hù)性、統(tǒng)一性的匿名漫游認(rèn)證。在安全和隱私方面，本文的方案解決了密鑰托管問題，避免了DoS攻擊；采用預(yù)裝載別名技術(shù)，實(shí)現(xiàn)了強(qiáng)用戶隱匿性和不可追蹤性；通過在別名后附加有效期限，實(shí)現(xiàn)了用戶的動態(tài)撤銷；將用戶真實(shí)身份與別名綁定在一起，實(shí)現(xiàn)了條件隱私保護(hù)。在效率方面，本文采用具有統(tǒng)一性的兩方漫游認(rèn)證方法，僅在 MN與服務(wù)器 FA之間進(jìn)行；方案中MN沒有耗時(shí)的雙線性對操作，計(jì)算開銷??；服務(wù)器FA利用聚合簽名技術(shù)，能夠一次驗(yàn)證多個(gè)MN簽名，大大減少了驗(yàn)證時(shí)間。

3 系統(tǒng)模型

在本文的漫游認(rèn)證方案中，系統(tǒng)模型主要由 3個(gè)實(shí)體組成：MN、HA和FA，如圖3所示。網(wǎng)絡(luò)中有許多服務(wù)器，可以是HA或FA；每個(gè)服務(wù)器管理一組需要訂閱服務(wù)的用戶，即MN。

圖3 漫游認(rèn)證系統(tǒng)模型

4 無證書聚合簽名方案

本文提出了一個(gè)高效的無證書聚合簽名方案，方案分別由以下9個(gè)算法組成。

1) 系統(tǒng)初始化算法（setup）

KGC選擇一個(gè)安全參數(shù)λ∈ Z+，滿足q > 2λ。G1、G2是2個(gè)階均為素?cái)?shù)q的循環(huán)群，這2個(gè)循環(huán)群滿足雙線性對 e： G1× G1→ G2，其中，G1是循環(huán)加法群，G2是循環(huán)乘法群，P是G1的生成元。KGC選擇一個(gè)隨機(jī)數(shù) s∈R作為系統(tǒng)主密鑰并計(jì)算

然后挑選 3個(gè)散列函數(shù) H0：{0,1}*→ G1、H1：{0,1}*→ G1和 H2：{0,1}*→ Zq*。最后，KGC公布 系 統(tǒng) 參 數(shù) params ={λ,q, e, G1, G2, P,PPub, H0,H1, H2}，秘密保存s。

2) 部分私鑰提取算法

首先，給定一個(gè)身份IDi計(jì)算

3) 秘密值生成算法

4) 私鑰生成算法

用戶的秘密值和部分私鑰結(jié)合后，那么用戶的

5) 公鑰生成算法

并將Xi視為公鑰。

6) 簽名算法

本文將簽名算法分為2個(gè)階段：離線簽名算法和在線簽名算法。

離線簽名：在沒有收到消息之前，給定私鑰skIDi=(xi, Di)，簽名者隨機(jī)選擇 ri∈R，計(jì)算離線簽名

在線簽名：給定一個(gè)消息mi和離線簽名，簽名者計(jì)算在線簽名。

7) 單個(gè)驗(yàn)證算法

給定與身份IDi有關(guān)的消息mi的在線離線簽名

iσ，驗(yàn)證者計(jì)算

驗(yàn)證等式是否成立，如果成立，則驗(yàn)證者接受此簽名，反之拒絕。

8) 聚合算法

輸出對消息1,2, ,nm m …m的聚合簽名(R, T)。

9) 聚合驗(yàn)證算法

給定系統(tǒng)公開參數(shù)、身份IDi、消息mi、公鑰Xi以及聚合簽名(R, T)，驗(yàn)證者開始執(zhí)行以下步驟來驗(yàn)證聚合簽名。計(jì)算計(jì)算

是否成立，如果等式成立，輸出“1”；否則輸出“0”。

5 簽名方案分析

5.1 安全模型和安全性分析

無證書聚合簽名的安全模型中，包含2種類型的攻擊者。

1) 第 1類攻擊者（即 A1）是在不知道系統(tǒng)主密鑰的情況下，可以替代用戶的公鑰。

2) 第 2類攻擊者（即A2）是在知道系統(tǒng)主密鑰（惡意的KGC）的情況下，生成用戶的部分私鑰，但此情況下不能替代用戶的公鑰。

文獻(xiàn)[30]對攻擊者類型A2做了進(jìn)一步改進(jìn)，可獲知系統(tǒng)主密鑰，可替換除了目標(biāo)用戶之外的任何用戶的公鑰。

定理1 在隨機(jī)預(yù)言機(jī)模型和 CDH困難假設(shè)下，本文方案在第 1類攻擊者 A1的適應(yīng)性選擇消息、選擇身份以及公鑰替換攻擊下是存在不可偽造的。

系統(tǒng)初始化階段：挑戰(zhàn)者C輸入安全參數(shù)λ，運(yùn)行 setup算法生成系統(tǒng)參數(shù)params，其中PPub=aP，然后將系統(tǒng)參數(shù)params發(fā)給 A1。

PK ，起初全部為空。1A能夠自適應(yīng)地向C發(fā)起以下詢問。1) 用戶生成詢問。C維護(hù)一個(gè)為空的listPK 列表，表中記錄為1A能夠通過輸入執(zhí)行該用戶生成詢問，為了返回A1的詢問，C隨機(jī)選擇數(shù)當(dāng)1A輸入C 首先查詢listPK 列表，如果列表中已經(jīng)存在則返回否則，C將執(zhí)行以下操作。其中，xi為秘密值。令（符號⊥表示該值未知），其中，xi為秘密值。

2) 部分私鑰提取詢問。當(dāng)1A輸入C首先查詢listPK 列表，如果列表中沒有則C輸出“⊥”。否則，C執(zhí)行

以下操作。

3) 秘密值詢問。當(dāng)A1輸入首先查詢list

4) 公鑰替換詢問。當(dāng)C收到一個(gè)關(guān)于IDi的公鑰Xi替換成Xi′詢問時(shí)，C首先查詢listPK 列表，如果列表中存在則C更新Xi為新的′；否則，C將輸出“⊥”。

5) H1詢問。C維護(hù)一個(gè)為空的列表列表

C返回Hi。

6) H2詢問。C維護(hù)一個(gè)為空的列表，列

H 列表，

2

如果列表list

2

m則直接

返回hi；否則C將執(zhí)行以下操作。C隨機(jī)選擇輸出并添加到列表list

H 中。

定pi的取值；其中

7) 超級簽名詢問。當(dāng)1A輸入某一個(gè)簽名詢問C首先查詢listPK 列表，如果列

C執(zhí)行( , )

偽造階段。結(jié)束上述詢問后，1A輸出一個(gè)四元組其中為 n個(gè)身份為

1) 若p*=0，C放棄并終止。

2) 若p*=1，C依靠1A的偽造來解決CDH困難問題。

由于1A生成一個(gè)有效簽名*σ，偽造的聚合簽名必須滿足其中，從list

E：C在游戲過程中沒有終止退出。

1

E：1A通過游戲偽造了一個(gè)有效并且非平凡

2

的聚合簽名。

E3：上述E2事件發(fā)生，存在i∈[1,n]能滿足并且p*=1。

定理 2 在隨機(jī)預(yù)言機(jī)模型和 CDH困難假設(shè)下，本文方案在第2類攻擊者A2的適應(yīng)性選擇消息、選擇身份以及公鑰替換攻擊下是存在不可偽造的。

引理 2 在隨機(jī)預(yù)言機(jī)模型下，如果存在一個(gè)敵手A2，他能夠在時(shí)間t內(nèi)以不可忽略的概率ε成功攻破本文的無證書聚合簽名方案，那么，?存在一個(gè)這樣的算法 C，能利用算法以概率在時(shí)間內(nèi)解決CDH問題，其中，tm表示一個(gè)點(diǎn)乘運(yùn)算。

針對第2類敵手A2的證明過程類似于第1類敵手1A的證明過程，鑒于篇幅有限，證明過程略。

5.2 安全性和效率對比

判斷一個(gè)CLAS方案實(shí)用與否，主要依據(jù)安全性和效率2個(gè)方面。

如表1所示，對于本文方案，無論是第1類攻擊者類型還是第2類攻擊者類型都支持超級簽名詢問的安全模型。表1中，B1代表中代表正常攻擊者；代表強(qiáng)攻擊者；B3代表超級攻擊者；√表示方案中的攻擊者所屬類型；W表示在該攻擊者類型下方案的安全性程度較弱；S表示在該攻擊者類型下方案的安全性程度較強(qiáng)；L表示長度單位。在保證安全性的前提下，無證書聚合簽名方案還需注意通信和計(jì)算代價(jià)。如表2所示，本文將所提方案與現(xiàn)有方案在單個(gè)簽名、驗(yàn)證和聚合驗(yàn)證3個(gè)方面進(jìn)行詳細(xì)的對比，所用運(yùn)算符號見表 3。不難發(fā)現(xiàn)，本文的方案在效率方面相對較高。

表1 安全性和通信代價(jià)對比

表2效率對比

表3 符號定義

6 基于無證書聚合簽名的匿名漫游認(rèn)證方案

本文具有隱私保護(hù)的匿名漫游認(rèn)證方案，主要包含3個(gè)階段：系統(tǒng)初始化、漫游認(rèn)證以及聚合驗(yàn)證。所使用的相關(guān)符號，如表4所示。

6.1 系統(tǒng)初始化

本文所提方案的系統(tǒng)初始化詳細(xì)過程，如圖 4所示。

6 .2 匿名漫游認(rèn)證

本節(jié)描述MN移動到FA所負(fù)責(zé)的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行匿名漫游認(rèn)證的詳細(xì)過程，如圖5所示，該過程主要由MN和FA完成。

表4 相關(guān)符號

6.3 聚合驗(yàn)證

在實(shí)際生活中，多個(gè)MN來自同一個(gè)家鄉(xiāng)網(wǎng)絡(luò)，有可能n個(gè)MN同時(shí)向服務(wù)器HA或FA發(fā)出接入請求。在漫游認(rèn)證過程中，簽名驗(yàn)證的計(jì)算開銷直接影響服務(wù)器的總體開銷，因此，本文設(shè)計(jì)了一種聚合驗(yàn)證方法，使服務(wù)器可以一次批量驗(yàn)證多個(gè)MN的簽名（如圖6所示），大大降低了簽名驗(yàn)證的計(jì)算開銷。

圖4 系統(tǒng)初始化詳細(xì)步驟

圖5 匿名漫游認(rèn)證過程和會話密鑰建立的詳細(xì)步驟

圖6 聚合驗(yàn)證

7 性能評估

7.1 安全性對比

將本方案與近幾年相關(guān)文獻(xiàn)中的方案分別在安全需求和攻擊類型2方面進(jìn)行對比，如表5和表6所示。表5中√表示能實(shí)現(xiàn)該性質(zhì)；×表示不能上實(shí)現(xiàn)該性質(zhì)；W表示該性質(zhì)較弱；S表示該性質(zhì)較強(qiáng)。表6中√表示能解決該問題或能抵抗該攻擊；×表示不能解決該問題或無法抵抗該攻擊；W表示該抵抗該攻擊能力較弱；S表示抵抗該攻擊能力較強(qiáng)?？梢姳疚牡姆桨改軡M足所述的全部安全需求，避免了密鑰托管問題，并且有較強(qiáng)的攻擊抵御性，使安全性大大提高。

表5 安全需求對比

表6 攻擊類型對比

7.2 效率對比

漫游認(rèn)證過程中，除了要保證較高的安全性外，也要注重效率問題。MN在漫游認(rèn)證整個(gè)過程中一直處于連接狀態(tài)，因而通信開銷應(yīng)盡量小，另外，MN計(jì)算能力是有限的，所以要保證計(jì)算開銷較低。假設(shè)MN與FA交互時(shí)的傳輸開銷為αm s 。本文將所提方案與同樣采用兩方漫游認(rèn)證的現(xiàn)有方案進(jìn)行對比，結(jié)果如表7所示，其中，計(jì)算開銷所用符號可參見表 3。不難看出，本文的方案通信開銷和計(jì)算開銷較小，效率高，實(shí)用性強(qiáng)。

表7 效率對比

8 結(jié)束語

針對無線網(wǎng)絡(luò)中的漫游認(rèn)證問題，本文構(gòu)造了一個(gè)無證書的聚合簽名方案，通過對該方案的安全性和效率分析，易知本文簽名方案在簽名和驗(yàn)證過程中，無論是單個(gè)驗(yàn)證還是聚合驗(yàn)證所需要的計(jì)算開銷都較少，適用于計(jì)算和存儲有限的移動設(shè)備。在此基礎(chǔ)上，提出了無線網(wǎng)絡(luò)中具有隱私保護(hù)的匿名漫游認(rèn)證方案，滿足用戶隱匿性、不可追蹤性等安全需求，抵抗重放攻擊、DoS攻擊等，也避免了密鑰托管問題。另外，本文方案中MN所耗計(jì)算開銷較少，F(xiàn)A利用聚合技術(shù)能夠同時(shí)驗(yàn)證多個(gè)用戶簽名，加快了認(rèn)證速度，同時(shí)減少了通信和計(jì)算代價(jià)。在未來的工作里，如何在滿足隱私保護(hù)和安全的基礎(chǔ)上，解決惡意用戶拒絕付費(fèi)的問題是下一步將要探究的問題。

[1] TZENG Z J, TZENG W G. Authentication of mobile users in third generation mobile systems[J]. Wireless Personal Communications,2001, 16(1)： 35-50.

[2] HWANG K F, CHANG C C. A self-encryption mechanism for authentication of roaming and teleconference services[J]. IEEE Transactions on Wireless Communications, 2003, 2(2)： 400-407.

[3] JIANG Y, LIN C, SHEN X, et al. Mutual authentication and key exchange protocols for roaming services in wireless mobile networks[J]. IEEE Transactions on Wireless Communications, 2006, 5(9)：2569-2577.

[4] ARKKO J, HAVERINEN H. Extensible authentication protocol method for 3rd generation authentication and key agreement(EAP-AKA)[J]. Heise Zeitchriften Veriag, 2006, 47(2)： 64-77.

[5] CHANG C C, LEE C Y, CHIU Y C. Enhanced authentication scheme with anonymity for roaming service in global mobility networks[J].Computer Communications, 2009, 32(4)： 611-618.

[6] ZHOU T, XU J. Provable secure authentication protocol with anonymity for roaming service in global mobility networks[J]. Computer Networks, 2011, 55(1)： 205-213.

[7] GO J, PARK J, KIM K. Wireless authentication protocol preserving user anonymity[J]. Authentication, 2001, 3(2)： 78-81.

[8] HE D, MA M, ZHANG Y, et al. A strong user authentication scheme with smart cards for wireless communications[J]. Computer Communications, 2011, 34(3)： 367-374.

[9] REN K, LOU W, KIM K, et al. A novel privacy preserving authentication and access control scheme for pervasive computing environments[J]. IEEE Transactions on Vehicular Technology, 2006, 55(4)：1373-1384.

[10] TREVATHAN J, GHODOSI H, READ W. An anonymous and secure continuous double auction scheme[C]// The 39th Annual Hawaii International Conference on System Sciences. IEEE, c2006： 125.

[11] KIM J, CHOI S, KIM K, et al. Anonymous authentication protocol for dynamic groups with power-limited devices[C]//Symposium on Cryptography and Information Security (SCIS’03). c2013： 405-410.

[12] YANG G, WONG D S, DENG X. Anonymous and authenticated key exchange for roaming networks[J]. IEEE Transactions on Wireless Communications, 2007, 6(9)： 3461-3472.

[13] YANG G, WONG D S, DENG X. Formal security definition and efficient construction for roaming with a privacy-preserving extension[J]. JUCS, 2008, 14(3)： 441-462.

[14] 彭華熹. 一種基于身份的多信任域認(rèn)證模型[J]. 計(jì)算機(jī)學(xué)報(bào), 2006,29(8)： 1271-1281.PENG H X. An identity-based authentication model for multi-domain[J].Chinese Journal of Computers, 2006, 29(8)： 1271-1281.

[15] WAN Z, REN K, PRENEEL B. A secure privacy-preserving roaming protocol based on hierarchical identity-based encryption for mobile networks[C]//The first ACM Conference on Wireless Network Security. ACM, c2008： 62-67.

[16] FATEMI M, SALIMI S, SALAHI A. Anonymous roaming in universal mobile telecommunication system mobile networks[J]. IET Information Security, 2010, 4(2)： 93-103.

[17] YANG G, HUANG Q, WONG D S, et al. Universal authentication protocols for anonymous wireless communications[J]. IEEE Transactions on Wireless Communications, 2010, 9(1)： 168-174.

[18] 田子建, 王繼林, 伍云霞. 一個(gè)動態(tài)的可追蹤匿名認(rèn)證方案[J]. 電子與信息學(xué)報(bào), 2005, 27(11)： 1737-1740.TIAN Z J, WANG J L, WU Y X. A dynamic traceable anonymous authentication scheme[J]. Journal of Electronics & Information Technology, 2005, 27(11)： 1737-1740.

[19] HOU H, LIU S. CPK-based authentication and key agreement protocols with anonymity for wireless network[C]//2009 International Conference on Multimedia Information Networking and Security. IEEE,c2009： 347-350.

[20] ZHANG M, PEI C, DANG L. An efficient certificateless registration protocol for mobile IP networks[J]. Journal of Convergence Information Technology, 2012, 7(23)： 34-41.

[21] HE D, BU J, CHAN S, et al. Privacy-preserving universal authentication protocol for wireless communications[J]. IEEE Transactions on Wireless Communications, 2011, 10(2)： 431-436.

[22] HE D, CHEN C, CHAN S, et al. Secure and efficient handover authentication based on bilinear pairing functions[J]. IEEE Transactions on Wireless Communications, 2012, 11(1)： 48-53.

[23] HE D, CHEN C, CHAN S, et al. Analysis and improvement of a secure and efficient handover authentication for wireless networks[J].Communications Letters, IEEE, 2012, 16(8)： 1270-1273.

[24] TSAI J L, LO N W, WU T C. Secure handover authentication protocol based on bilinear pairings[J]. Wireless Personal Communications,2013, 73(3)： 1037-1047.

[25] KIM J S, KWAK J. Improved secure anonymous authentication scheme for roaming service in global mobility networks[J]. International Journal of Security and Its Applications, 2012, 6(3)： 45-54.

[26] KUO W C, WEI H J, CHENG J C. Enhanced secure authentication scheme with anonymity for roaming in mobility networks[J]. Information Technology and Control, 2014, 43(2)： 151-156.

[27] ZHANG Y, WANG C. Comment on new construction of efficient certificateless aggregate signatures[J]. International Journal of Security and Its Applications, 2015, 9(1)： 147-154.

[28] CHENG L, WEN Q, JIN Z, et al. Cryptanalysis and improvement of a certificateless aggregate signature scheme[J]. Information Sciences,2015, 295： 337-346.

[29] CHEN Y C, TSO R, HORNG G, et al. Strongly secure certificateless signature： cryptanalysis and improvement of two schemes[J]. Journal of Information Science and Engineering, 2015, 31(1)： 297-314.

[30] HUANG X, MU Y, SUSILO W, et al. Certificateless signature revisited[C]//Information Security and Privacy. Springer Berlin Heidelberg,c2007： 308-322.

[31] GONG Z, LONG Y, HONG X, et al. Two certificateless aggregate signatures from bilinear maps[C]//Eighth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing, c2007： 188-193.

[32] ZHANG L, ZHANG F. A new certificateless aggregate signature scheme[J]. Computer Communications, 2009, 32(6)： 1079-1085.

[33] ZHANG L, QIN B, WU Q, et al. Efficient many-to-one authentication with certificateless aggregate signatures[J]. Computer Networks, 2010,54(14)： 2482-2491.

[34] XIONG H, WU Q, CHEN Z. Strong security enabled certificateless aggregate signatures applicable to mobile computation[C]//2011 Third International Conference on Intelligent Networking and Collaborative Systems (INCoS). IEEE, c2011： 92-99.

[35] XIONG H, WU Q, CHEN Z. An efficient provably secure certificateless aggregate signature applicable to mobile computation[J]. Control and Cybernetics, 2012, 41(2)： 373-391.

[36] CHEN Y C, HORNG G, LIU C L, et al. Efficient certificateless aggregate signature scheme[J]. Journal Electronic Science and Technology, 2012, 10： 209-214.

[37] XIONG H, GUAN Z, CHEN Z, et al. An efficient certificateless aggregate signature with constant pairing computations[J]. Information Sciences, 2013, 219(10)： 225-235.

[38] LIU H, WANG S, LIANG M, et al. New construction of efficient certificateless aggregate signatures[J]. International Journal of Security and Its Applications, 2014, 8： 411-422.

[39] TU H, HE D, HUANG B. Reattack of a certificateless aggregate signature scheme with constant pairing computations[J]. The Scientific World Journal, 2014, 2014(9-10)： 343715.

[40] 劉賀. 移動網(wǎng)絡(luò)接入認(rèn)證的隱私保護(hù)研究[D]. 北京： 北京交通大學(xué), 2014.LIU H. Research on privacy protection in access authentication for mobile networks[D]. Beijing： Beijing Jiaotong University, 2014.

Efficient anonymous roaming authentication scheme using certificateless aggregate signature in wireless network

LIU Dan, SHI Run-hua, ZHANG Shun, ZHONG Hong
(School of Computer Science and Technology, Anhui University, Hefei 230601, China)

To solve the privacy-preserving problem during the roaming authentication of wireless mobile networks, a novel roaming authentication scheme with anonymity was presented. An efficient certificateless aggregate signature scheme was first constructed, by introducing the online/offline signature and combining the aggregate signature. Compared with the related schemes, the proposed scheme has higher efficiency in computations of both signature and verification, and also improves the efficiency in communications. Furthermore, based on the proposed signature scheme, a novel roaming authentication scheme with anonymity was presented, in which it simplified the traditional three-party authentication model. The theoretical analysis shows that this scheme is secure and effective, and thus it is especially suitable for large-scale wireless mobile networks.

wireless mobile network, certificateless, aggregate, roaming authentication, privacy-preserving

s: The National Natural Science Foundation of China (No.61173187, No.61572001, No.11301002), PhD Programs Foundation of Ministry of Education of China (No.20133401110004), The Natural Science Foundation of Anhui Province (No.1408085QF107),Talents Youth Fund of Anhui Province Universities (No.2013SQRL006ZD), 211 Project of Anhui University (No.17110099)

TP309,TP393

A

10.11959/j.issn.1000-436x.2016147

2015-11-03；

2016-05-02

張順，shzhang27@163.com

國家自然科學(xué)基金資助項(xiàng)目(No.61173187, No.61572001, No.11301002)；國家教育部博士點(diǎn)基金資助項(xiàng)目(No.20133401110004)；安徽省自然科學(xué)基金資助項(xiàng)目(No.1408085QF107)；安徽省高校省級優(yōu)秀青年人才基金重點(diǎn)基金資助項(xiàng)目(No.2013SQRL006ZD)；安徽大學(xué)“211”基金資助項(xiàng)目(No.17110099)

劉丹（1991-），女，安徽馬鞍山人，安徽大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

石潤華（1974-），男，安徽安慶人，安徽大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)闊o線網(wǎng)絡(luò)安全、保護(hù)隱私的多方協(xié)作計(jì)算、可證明安全的量子密碼。

張順（1982-），男，安徽安慶人，安徽大學(xué)副教授、碩士生導(dǎo)師，主要研究方向?yàn)樾畔⒂?jì)算復(fù)雜性、高振蕩問題易處理性和量子計(jì)算。

仲紅（1965-），女，安徽固鎮(zhèn)人，安徽大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)闊o線傳感網(wǎng)、安全多方計(jì)算、私有信息保護(hù)。