韓磊，劉吉強，韓臻，魏學(xué)業(yè)

（1. 北京交通大學(xué) 電子信息工程學(xué)院，北京 100044；

2. 北京交通大學(xué) 計算機與信息技術(shù)學(xué)院，北京 100044）

1 引言

移動ad hoc 網(wǎng)絡(luò)（MANET, mobile ad hoc network）是一種由移動節(jié)點組成的無固定網(wǎng)絡(luò)基礎(chǔ)設(shè)施和中心信任機構(gòu)的自組織網(wǎng)絡(luò)，廣泛應(yīng)用于軍事通信和災(zāi)難救援等沒有固定網(wǎng)絡(luò)基礎(chǔ)設(shè)施的環(huán)境。MANET具有如下特點[1]：移動性、網(wǎng)絡(luò)拓撲結(jié)構(gòu)動態(tài)變化、有限的節(jié)點計算資源、多跳無線通信、無固定網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。這些特點在保障MANET靈活應(yīng)用的同時也使MANET面臨諸多挑戰(zhàn)[2]，尤其隨著MANET組網(wǎng)技術(shù)的發(fā)展及應(yīng)用環(huán)境對網(wǎng)絡(luò)安全需求的提高，增強MANET安全已經(jīng)成為一個亟待解決的問題。

基于身份的加密(IBE, identity-based encryption)思想[3]由Shamir于1984年提出，主要目標是尋找一種非對稱加密算法使得公鑰可以為任意的字符串以簡化密鑰管理過程。2000年，Boneh和Franklin提出了使用Weil來實現(xiàn)IBE的一個實用方案[4]。此后，在MANET中出現(xiàn)了大量基于IBE的密鑰管理方案[5～9]。在基于IBE的MANET密鑰管理方案中，公鑰是標識節(jié)點身份的信息(如地址、名字等)，不依賴可信認證機構(gòu)(CA, certification authority)為節(jié)點頒發(fā)公鑰證書。所以，從方法上簡化了MANET中節(jié)點的密鑰管理過程，但基于IBE的MANET密鑰管理方案還存在以下主要問題。1)現(xiàn)有基于 IBE的非對稱密鑰管理方案主要采用分布式私鑰生成(PKG, private key generation)中心結(jié)合門限密碼學(xué)的方式，將PKG的功能分散到網(wǎng)絡(luò)的多個節(jié)點中，這種方式從本質(zhì)上改善了傳統(tǒng)非對稱密鑰管理中基于CA或分布式CA系統(tǒng)的復(fù)雜性，也有效避免了密鑰服務(wù)的單點失敗。但是，網(wǎng)絡(luò)中需要密鑰服務(wù)的節(jié)點需要和多個節(jié)點通信，帶來了大量的網(wǎng)絡(luò)帶寬和節(jié)點能量損耗。因此，在MANET中設(shè)計高效、低能耗的密鑰管理方案是增強MANET安全性和可用性的一個重要問題。2)密鑰托管問題?；贗BE的密鑰管理方案由于PKG能夠計算出節(jié)點的私鑰，所以PKG可以解密發(fā)向節(jié)點的密文或冒充該節(jié)點。因此，密鑰托管是MANET中增強網(wǎng)絡(luò)安全的另一個需要考慮的問題。

本文從以上2個問題著手，借鑒組合公鑰(CPK,combined public key)思想[10]在MANET中提出一種基于身份的預(yù)分配非對稱密鑰管理方案(PAKMS,identity-based pre-distribution asymmetric key management scheme)。該方案通過私鑰生成中心為節(jié)點預(yù)分配主密鑰子集及通過基于時間獲得節(jié)點密鑰更新的方式，從方法上降低了移動ad hoc網(wǎng)絡(luò)中非對稱密鑰管理的通信開銷；私鑰生成中心為節(jié)點預(yù)分配主密鑰子集的方式也使節(jié)點在網(wǎng)絡(luò)運行階段不再依賴私鑰生成中心為節(jié)點分配和更新密鑰。由此，弱化了基于身份密鑰管理中的私鑰托管問題對網(wǎng)絡(luò)安全的影響。與MANET中典型基于對稱加密系統(tǒng)的預(yù)分配密鑰管理方案比較[11,12]，只需每個節(jié)點預(yù)分配一個向量密鑰，避免了通過提高預(yù)分配密鑰數(shù)量提高對偶密鑰建立概率的缺陷，減少了預(yù)分配密鑰的存儲空間；同時，由于采用了基于身份的密鑰管理方案，在源節(jié)點能獲得目標節(jié)點身份標識的前提下保證了密鑰的成功建立。與典型基于身份的分布式門限PKG密鑰管理方案[5,6]比較，減小了密鑰服務(wù)中的通信次數(shù)，從而降低了節(jié)點獲得密鑰服務(wù)的通信開銷和能量損耗。

2 基于身份的預(yù)分配非對稱密鑰管理方案的定義及安全模型

2.1 方案描述

定義 1 基于身份的預(yù)分配非對稱密鑰管理方案Γ由 Setup、Predistribute、Extract、Encrypt和Decrypt 5部分組成，構(gòu)成一個關(guān)于算法的五元組Γ=(G en,P re,E xt,E nc,D ec)，具體描述如下。

1) 算法Gen：在 Setup階段 PKG運行算法Gen，輸入安全參數(shù)生成系統(tǒng)參數(shù)Params和主密鑰 XPri。

2) 算法Pre：在Predistribute階段PKG運行算法Pre，在主密鑰 XPri矩陣中輸出子集 XID，預(yù)分配到節(jié)點集合I中。

3) 算法Ext：在 Extract階段節(jié)點運行算法Ext，輸入節(jié)點密鑰標識 S tr = (I D|T ime) ∈ { 0,1}*，輸出對應(yīng)節(jié)點的公鑰 yStr和私鑰 xStr。

4) 算法Enc：在 Encrypt階段節(jié)點運行算法Enc，輸入待加密的消息M，公鑰 yStr和系統(tǒng)參數(shù)Params，輸出關(guān)于明文M的密文C。

5) 算法Dec：在 Decrypt階段節(jié)點運行算法Dec，輸入密文C和私鑰 xStr，輸出密文C所對應(yīng)的明文消息M。

2.2 安全模型與假設(shè)

定義 2 在基于身份的預(yù)分配非對稱密鑰管理方案中，根據(jù)方案基于身份和預(yù)分配主密鑰子集的特點，定義2種類型的敵手模型。

類型Ⅰ：在攻擊過程中敵手具有適應(yīng)性選擇身份及查詢節(jié)點私鑰的能力，以獲取待攻擊節(jié)點之外的節(jié)點私鑰。

類型Ⅱ：敵手除了具有類型Ⅰ敵手具有的能力外，還具有查詢節(jié)點預(yù)分配主密鑰子集的能力，以獲取待攻擊節(jié)點之外的節(jié)點預(yù)分配主密鑰子集。

定義3 一個函數(shù)f:R→R是可忽略的，對于?d ≥ 0 ，d為常數(shù)，都存在一個整數(shù)N，使得對于?k≥N，有

定義4 如果任何多項式時間IND-ID-CPA敵手 A(類型Ⅰ)贏得 IND-ID-CPA 游戲的優(yōu)勢概率AdvΓ,A(k)是可忽略的，則稱基于身份的預(yù)分配非對稱密鑰加密方案在適應(yīng)性選擇身份和明文的攻擊下是安全的。

IND-ID-CPA游戲[4,13]由5個步驟構(gòu)成。

1) Setup：挑戰(zhàn)者B運行算法Gen產(chǎn)生系統(tǒng)參數(shù)和主密鑰，并將系統(tǒng)參數(shù)發(fā)送給敵手A。

2) Phase1：敵手A通過節(jié)點ID向B發(fā)起提取私鑰請求，B向A返回對應(yīng)節(jié)點ID的私鑰。

3) Challenge：A向B發(fā)送在Phase1階段沒有請求過的節(jié)點 I D0及明文 M0、 M1，B隨機選取b∈ { 0,1}運行算法Enc加密明文 Mb得到密文C，并將C發(fā)送給A。

4) Phase2：A繼續(xù)發(fā)起除 I D0外的私鑰提取請求，

B向A返回對應(yīng)節(jié)點的私鑰。

5) Guess：A輸出 b '∈ { 0,1}猜測明文 Mb。如果b ' = b 輸出1，否則輸出0，敵手攻擊成功的優(yōu)勢概率為

定義 5 在基于身份的預(yù)分配非對稱密鑰管理方案中，對于能夠適應(yīng)性提取x個節(jié)點主密鑰預(yù)分配子集的敵手(類型Ⅱ)能以概率 p (x)獲得待攻擊節(jié)點密鑰的方式，稱為選擇節(jié)點概率攻擊，攻擊成功的概率為 p (x)。

本文假設(shè)節(jié)點具有GPS(global position system)模塊，能夠通過GPS模塊獲得精確的時間信息并且敵手只具有定義2中描述的攻擊能力。

3 基于身份的預(yù)分配非對稱密鑰管理方案

3.1 具體方案

基于身份的預(yù)分配非對稱密鑰管理方案由以下5個部分構(gòu)成。

1) Setup階段

由PKG生成系統(tǒng)參數(shù)和主密鑰對。

S-Step1 PKG生成階數(shù)為素數(shù)q的循環(huán)群G，任意選擇生成元g∈G。其中，Zq-1為模 q - 1 的整數(shù)集合,Z+為正整數(shù)集合。

S-Step3 選擇強密碼雜湊函數(shù) H:{0,1}*→ { 0,1}l×n，其中，l滿足 m = 2l。

S-Step4 公開系統(tǒng)參數(shù) (G ,g,q, YPub,H)。

2) Predistribute階段

PKG根據(jù)節(jié)點的身份為節(jié)點預(yù)分配主密鑰子集后離線。

P-Step1 I = { I D1, I D2, …, I DN}為節(jié)點身份集合，其中，IDu(0＜u≤N)由節(jié)點唯一身份標識idu和物理地址 M ACu構(gòu)成，。計算 I Du的散列值其中是長度為l的二進制串。先分配到節(jié)點 I Du中。

3) Extract階段節(jié)點通過預(yù)分配的主密鑰子集生成節(jié)點私鑰，通過公開的系統(tǒng)參數(shù)生成目標節(jié)點公鑰。

X-Step1 節(jié)點身份標識 I Du與當前密鑰時間Time構(gòu)成節(jié)點密鑰生成標識(0＜u≤N)。計算Stru散列值

X-Step2 設(shè)目標節(jié)點為 I Du(目標節(jié)點可以為任意節(jié)點，只需通過應(yīng)用獲得其節(jié)點身份信息)，通

4) Encrypt階段

任意節(jié)點IDv(0＜v≤N,v≠u)需要向節(jié)點IDu更新后， I Dv加密需要利用 X-Step2階段計算節(jié)點IDu的公鑰)，隨機數(shù) r ∈ Zq-1及 ElGamal算法[14]計算明文M∈G的密文C = ( c1,c2)并發(fā)送給節(jié)點 I Du，其中， c = M (y )r，c = gr。1Stru2

3.2 節(jié)點密鑰更新

密鑰更新的目標是變換節(jié)點在 Extract階段為節(jié)點使用而生成的公私鑰。該過程能夠更新節(jié)點當前使用的密鑰而無需改變節(jié)點中預(yù)分配的主密鑰子集。若系統(tǒng)當前時間t ( ti≤t＜ti+1)時刻節(jié)點IDu，其中， T ime = ti，節(jié)點 I Du需要間間隔為Δt，滿足ti+1=ti+Δt ，其中，Δt可以根據(jù)系統(tǒng)不同的應(yīng)用需求來設(shè)定(如24h、12h、2h等)，則節(jié)點 I Du需要如下過程。

R-Step1 由節(jié)點身份標識 I Du與更新密鑰時間Time = ti+Δt構(gòu)成節(jié)點新的密鑰生成標識 S tru={ I Du|T ime}(0＜u≤N)。計算Stru散列值H(Stru)=，由X，H(Str)生成節(jié)點更新的私IDuu鑰

4 方案分析

4.1 安全性分析

分析方案的安全性之前，先回顧一下本文方案基于的困難假設(shè)。

定義6 判定Diffie-Hellman假設(shè)(DDH假設(shè))：在階數(shù)為素數(shù)q的循環(huán)群G中，g為G的任意生成元，隨機選擇a,b,c ∈ Zq*,τ ∈{0,1}。如果τ=1輸出四元組(g,ga,gb,gab)；否則τ=0，輸出四元組(g,ga,gb,gc)。輸出 τ '∈ { 0,1}猜測τ成功的概率是可忽略的，即在G中解決DDH問題是困難的，其成功的優(yōu)勢概率定義為

定理1 在DDH假設(shè)和隨機預(yù)言機模型下，本文方案對于類型Ⅰ敵手 A在選擇身份和明文攻擊下是安全的。

證明 假設(shè)存在敵手A在k (0＜k＜n)次請求后，能夠以ε的優(yōu)勢攻破方案，則構(gòu)建算法B調(diào)用敵手A的攻擊能力，在概率多項式時間內(nèi)解DDH問題。B模擬 A的挑戰(zhàn)者以四元組作為輸入與A進行IND-ID-CPA游戲。

1)Setup：B模擬算法Gen利用四元組(g,Ga=ga,G = gb,Z)構(gòu)建系統(tǒng)參數(shù)Params和主密鑰 X 。bPri

S-Step1 生成階數(shù)為素數(shù)q的循環(huán)群G，任意選擇生成元g∈G。選擇矩陣

S-Step4 B向敵手公開系統(tǒng)參數(shù) (G ,g,q,YPub)。

2)Random Oracle請求：敵手 A以 I Du， S tru值，這樣的假設(shè)與一個密鑰更新周期內(nèi)Time為定值是一致的)向B提出Random Oracle請求，B為了回答 A的 Random Oracle請求需要維持一個列表Hlist=(I Du, S tru, H (I Du),H (S tru))，0＜u＜k，列表初始為空。B做出以下回答：

如果 I Du，S t ru在 Hlist中，B向A返回 H (I Du)，H(S tru)；

如果 I Du， S tru不在 Hlist中，B選擇 H (I Du)=素使，將 H (IDu)， H (Stru)返回給A，并把 H (S tru)， H (I Du)加入 Hlist。

3) Phase1:敵手 A發(fā)起提取私鑰請求 S tr1,Str2,… ,S tru(0＜u＜k)。B從Stru中得到IDu，如果IDu， S tru不在 Hlist中，以 Random Oracle請求中b)方式選擇 H (I Du)和 H (Stru)，將 H (I Du)，H(S tru)返回給 A，并把 H (S tru)， H (I Du)加入 Hlist。對于H(I Du)中每個 hIjDu從 XPri中選擇第 j列的第 ij+1個值xijj，其中，ij(0≤ij＜m)為hIjDu的十進制表示。則

由XIDu，H(Stru)生成節(jié)點私鑰為

4) Challenge：敵手A選擇在Phase1階段沒有查詢過的ID， S tr = {I D|T ime}及明文消息 M0，

其中。B選擇 b ∈ { 0,1}，將密文 C = ( c1,c2)發(fā)送給敵手A，其中如果是 H 中所有l(wèi)istH(S tru) (0＜u＜k)的線性組合，則B出錯。

5) Phase2：敵手繼續(xù)發(fā)起提取私鑰請求。

6) Guess：B根據(jù)A對 Mb的猜測 b'，輸出四元組(g,G = ga,G = gb,Z)是否為 DH元組的猜測

a b τ'。如果b'=b，則τ'=1；否則τ'=0。

假設(shè)Error是B在仿真挑戰(zhàn)A過程中出錯的事件，則B調(diào)用A的能力解決DDH問題的成功概率為

其中，仿真過程出錯后，B猜測成功概率Pr[S uc|Error]為；仿真過程順利進行，B調(diào)用A的能力解決DDH問題成功的概率等于A攻破方案的概率，這與假設(shè)是一致的。

B在仿真挑戰(zhàn)A過程中出錯概率Pr[E rror]為挑戰(zhàn)過程中 H (S tr)是 Hlist中所有 H (S tru)(0＜u＜k)的線性組合。在挑戰(zhàn)前，敵手A通過提取私鑰請求已經(jīng)擁有一個包括 H (S tru)的規(guī)模不超過k×n的矩陣Mk×n，由此可知矩陣Mk×n的秩rankMk×n≤min(k,n)。Mk×n中最多有k個向量線性無關(guān)，則線性相關(guān)的概率最大為，即出錯概率Pr[E rror]滿足：

由式(10)和式(11)可知：

如果存在敵手能夠以ε的優(yōu)勢攻破方案的假設(shè)成立，則構(gòu)建算法B調(diào)用敵手A的攻擊能力，在概率多項式內(nèi)解決DDH問題的概率為其優(yōu)勢概率不可忽略，由此，定理1得證。

在選擇節(jié)點概率攻擊過程中，類型Ⅱ敵手除了具有類型Ⅰ敵手具有的能力外，還具有查詢節(jié)點預(yù)分配主密鑰子集的能力，能夠獲取待攻擊節(jié)點之外的節(jié)點預(yù)分配主密鑰子集。由此，類型Ⅱ敵手可以通過捕獲其他節(jié)點來獲取待攻擊節(jié)點的預(yù)分配主密鑰子集。例如，當主私鑰(m = 4 ,l = 2 ,n = 4 )，節(jié)點身份標識為 I D0及其散列值為 H (I D0) = 0 1111000時，節(jié)點 I D0預(yù)分配主密的預(yù)分配主密鑰子集 XID0，可以通過查詢 I D1，ID2， I D3， I D4的預(yù)分配主密鑰子集得到。其中，ID1， I D2， I D3， I D4的預(yù)分配主密鑰子集為

假設(shè)類型Ⅱ敵手已經(jīng)查詢到k個節(jié)點預(yù)分配主密鑰子集，則該敵手獲取節(jié)點 I D0預(yù)分配主密鑰子集的概率為

通過圖 1分析式(14)可以看出隨著主密鑰規(guī)模的增大，類型Ⅱ敵手查詢k個節(jié)點預(yù)分配主密鑰子集以獲取特定節(jié)點預(yù)分配主密鑰子集的概率會逐漸減小。如果類型Ⅱ敵手要以80%以上的概率獲得待攻擊節(jié)點的預(yù)分配主密鑰子集，當主密鑰規(guī)模為(2l×n,l=8,n=20)時，類型Ⅱ敵手至少查詢1 150個節(jié)點的預(yù)分配主密鑰子集；當主密鑰規(guī)模增加到(2l×n,l =10,n=64)時，類型Ⅱ敵手查詢的節(jié)點預(yù)分配主密鑰子集個數(shù)增加到 5 851個。由此，類型Ⅱ敵手查詢k個節(jié)點預(yù)分配主密鑰子集獲取特定節(jié)點預(yù)分配主密鑰子集的攻擊在實際MANET中是不可行的。

4.2 節(jié)點密鑰更新對比分析

在典型的基于身份的MANET密鑰管理中，節(jié)點密鑰更新過程產(chǎn)生的通信開銷主要與分布PKG的門限值和網(wǎng)絡(luò)規(guī)模有關(guān)。以n表示PKG主私鑰分布到網(wǎng)絡(luò)中節(jié)點的個數(shù)，t(t＜n)表示分布 PKG 的門限值，以N表示網(wǎng)絡(luò)規(guī)模，將本文方案PAKMS和2種典型方案進行分析對比(如表1所示)。

圖1 類型Ⅱ敵手查詢k個節(jié)點預(yù)分配主密鑰子集獲取特定節(jié)點預(yù)分配主密鑰子集的概率

從表1中可以看出以上3種方案在節(jié)點密鑰更新過程中網(wǎng)絡(luò)通信開銷與門限值和網(wǎng)絡(luò)規(guī)模的關(guān)系， Khalili[5]和TIDS[6]方案密鑰更新過程中的通信次數(shù)相同且與 PKG分布門限值與網(wǎng)絡(luò)規(guī)模的乘積有關(guān)，并會隨著門限值的提高和網(wǎng)絡(luò)規(guī)模的增大而增多，如圖2所示。本文方案PAKMS在節(jié)點密鑰更新過程中與 PKG分布門限值和網(wǎng)絡(luò)規(guī)模無關(guān)，僅依賴于時間參數(shù)，在能夠獲得系統(tǒng)精確時間的條件下，不會產(chǎn)生通信開銷，從根本上節(jié)省了節(jié)點能量的消耗。

從表1和圖2綜合分析可以得出，網(wǎng)絡(luò)中的所有節(jié)點獲得一次密鑰更新服務(wù)時，PAKMS方案比Khalili和TIDS方案在節(jié)點間通信次數(shù)方面少2×tN次。例如，當 t=51，n=100，N=1 000時，Khalili和TIDS方案中所有節(jié)點通過分布式門限PKG更新一次密鑰的通信次數(shù)為102 000次，網(wǎng)絡(luò)能量開銷為28 743.6W(其中節(jié)點收發(fā)一次所需的能量消耗以NS2[15]中MANET節(jié)點能量模型的典型值281.8mW計算)，平均單節(jié)點消耗能量為28.7W。由此，網(wǎng)絡(luò)中所有節(jié)點獲得一次密鑰更新服務(wù)，本文 PAKMS方案中節(jié)點消耗功率比以上2種典型方案中節(jié)點消耗功率少28.7W。

圖2 節(jié)點密鑰更新中網(wǎng)絡(luò)所有節(jié)點的通信次數(shù)

4.3 移動ad hoc 網(wǎng)絡(luò)密鑰管理方案綜合比較

從表 2可以看出 PAKMS方案結(jié)合了移動 ad hoc 網(wǎng)絡(luò)密鑰管理中基于身份和預(yù)分配密鑰的方式，在密鑰更新、節(jié)點密鑰存儲空間方面更具有優(yōu)勢。與典型的移動ad hoc 網(wǎng)絡(luò)中基于身份的分布式門限PKG方案[5,6]相比較，在密鑰更新方面的優(yōu)勢可以從4.2節(jié)得出，而與典型對稱預(yù)分配密鑰管理方案[11,12]比較，本文方案采用預(yù)分配主密鑰子集不變而更新節(jié)點當前使用密鑰的非對稱密鑰管理方式，在密鑰功能和節(jié)點密鑰更新方面具有優(yōu)勢。在密鑰存儲空間方面，本文方案具有基于身份密鑰管理的優(yōu)點，即無需存儲所有節(jié)點公鑰，只需存儲系統(tǒng)參數(shù)和獲得節(jié)點的身份，同時每個節(jié)點預(yù)分配一個主密鑰子集的方式也改善了對稱預(yù)分配密鑰中需要大量存儲對偶密鑰的缺陷。

表1 PAKMS與典型基于身份的密鑰管理方案節(jié)點密鑰更新對比

表2 密鑰管理方案綜合比較分析

4.4 方案局限性及下一步工作

1) 本文方案中節(jié)點密鑰更新過程相對典型基于身份的分布式PKG密鑰管理方案降低了網(wǎng)絡(luò)整體的通信開銷，這種性能上的改善是由于密鑰更新過程中保持了預(yù)分配主密鑰子集不變而僅根據(jù)時間參數(shù)變化節(jié)點密鑰的方式。由此，本文所提的密鑰管理方案需要節(jié)點在時間上滿足密鑰更新需要，由此需要節(jié)點能夠通過 GPS模塊獲得精確的時間信息。同時，節(jié)點預(yù)分配主密鑰子集是節(jié)點密鑰的基礎(chǔ)，當敵手具有超過類型Ⅱ敵手能力直接能夠讀取節(jié)點預(yù)分配主密鑰子集時(比如節(jié)點被捕獲時)，節(jié)點預(yù)分配主密鑰子集的安全性受到威脅。這時可以采用PTPM[16,17]硬件來存儲節(jié)點預(yù)分配主密鑰子集，通過 PTPM 的安全存儲能力保護節(jié)點預(yù)分配主密鑰子集的安全性，這種方法是可信計算技術(shù)在移動ad hoc 網(wǎng)絡(luò)中的一種應(yīng)用，是下一步工作中的第一個著眼點。

2) 本文方案最多允許敵手獲取某一節(jié)點更新密鑰產(chǎn)生的 1n-個私鑰，以保證該節(jié)點預(yù)分配主密鑰子集的安全。如果敵手能夠獲取某一節(jié)點更新密鑰產(chǎn)生的n個節(jié)點私鑰，該節(jié)點的預(yù)分配主密鑰子集可以由式(1)計算出來，但此時根據(jù)4.1節(jié)對選擇節(jié)點概率攻擊的分析可知，敵手獲得一個節(jié)點預(yù)分配主密鑰子集幾乎不會影響到其他節(jié)點預(yù)分配主密鑰子集的安全性。同時因為敵手已經(jīng)能夠獲得節(jié)點私鑰來解密消息，也就沒有再獲得節(jié)點預(yù)分配主密鑰子集的意義。由此，這個問題回歸到了所有加密系統(tǒng)私鑰安全性這個基本問題上來。為了從根本上解決這個問題，可以利用PTPM構(gòu)建密鑰鏈式結(jié)構(gòu)，通過節(jié)點密鑰的父密鑰加密節(jié)點密鑰并存儲于PTPM中，通過PTPM來增加方案的私鑰安全性，這將是下一步工作的另一著眼點。

5 結(jié)束語

本文提出了基于身份的預(yù)分配非對稱密鑰管理方案，方案利用私鑰生成中心為節(jié)點預(yù)分配主密鑰子集的方式及通過基于時間獲得節(jié)點密鑰更新的方法解決了現(xiàn)有基于身份的密鑰管理過程帶來的大量通信開銷；同時也通過私鑰生成中心為節(jié)點預(yù)分配主密鑰子集的方式使節(jié)點在網(wǎng)絡(luò)運行階段不再依賴私鑰生成中心為節(jié)點分配和更新密鑰，弱化了基于身份密鑰管理中存在的私鑰托管問題對網(wǎng)絡(luò)安全的影響。文中詳細描述了基于身份的預(yù)分配非對稱密鑰管理方案，并給出了方案的安全性證明，由此表明：1)本文方案在DDH和隨機預(yù)言機模型假設(shè)下，關(guān)于選擇身份和明文攻擊(IND-ID- CPA)是安全的；2)選擇節(jié)點概率攻擊在實際 MANET中是不可行的。同時本文通過對比分析給出了方案的性能評價及下一步的工作重點。

[1] 易平, 蔣嶷川, 張世永. 移動 ad hoc網(wǎng)絡(luò)安全綜述[J]. 電子學(xué)報,2005, 33(5):893-899.YI P, JIANG N C, ZHANG S Y. A survey of security for mobile ad hoc networks[J]. Acta Electronica Sinica, 2005, 33(5):893-899.

[2] 華平,胡光明,董攀. 大規(guī)模移動自組網(wǎng)絡(luò)安全技術(shù)綜述[J]. 計算機研究與發(fā)展, 2007, 44(4):545-552.HUA P, HU G M, DONG P. Survey of security technology for large scal manet[J]. Journal of Computer Research and Development, 2007,44(4):545-552.

[3] SHAMIR A．Identity-based cryptosystems and signature schemes[A].Proceedings of the Advances in Cryptology-CRYPTO’84[C]. Berlin:Springer, 1984.47-53.

[4] BONEH D, FRANKLIN M. Identity-based encryption from the weil pairing[J]. SIAM Journal of Computing, 2000, 32(3): 586-615.

[5] KHALILI A, KATZ J, ARBAUGH W A. Toward secure key distribution in truly ad hoc networks[A]. International Symposium on Applications and the Internet[C]. Orlando,USA, 2003. 342-346.

[6] DENG H, AGRAWAL D. TIDS: threshold and identity-based security scheme for wireless ad hoc networks[J]. Ad Hoc Networks, 2004, 2(3):291-307.

[7] SILVA E, SANTOS A L, ALBINI L C P. Identity-based key management in mobile ad hoc networks: techniques and applications[J]. IEEE Wireless Communications, 2008, 15(5):46-52.

[8] CHIEN H Y, LIN R Y. Improved ID-based security framework for ad hoc network[J]. Ad Hoc Networks, 2008, 6(1):47-60.

[9] SUN J Y, ZHANG C, ZHANG Y C. An identity-based security system for user privacy in vehicular ad hoc networks[J]. IEEE Transactions on Parallel and Distributed Systems, 2010, 21(9):1227-1239.

[10] 南湘浩. CPK密碼體制與網(wǎng)際安全[M]. 北京：北京國防工業(yè)出版社, 2008.NAN X H. CPK-Crypotosystem and Cyber Security[M]. Beijing:National Defence Industry Press, 2008.

[11] ESCHENAUER L, GLIGOR V D. A key-management scheme for distributed sensor networks[A]. Proceedings of the 9th ACM Conference on Computer and Communication Security[C].Chicago, USA, 2002. 41-47.

[12] RAMKUMAR M, MEMON N. An efficient key predistribution scheme for ad hoc network security[J]. IEEE Journal on Selected Areas in Communications,2005, 23(3):611-621.

[13] 胡亮, 劉哲理, 孫濤. 基于身份的密碼學(xué)的安全性研究綜述[J]. 計算機研究與發(fā)展, 2009, 46(9):1537-1548.HU L, LIU Z L, SUN T. Survey of security on identity-based cryptography[J]. Journal of Computer Research and Development, 2009, 46(9):1537-1548.

[14] ELGAMAL T. A public key cryptosystem and a signature scheme based on discrete logarithms[J]. IEEE Transactions on Information Theory, 1985, 31(4):469-472.

[15] The NS manual (formerly ns notes and documentation)[EB/OL].http://www.isi.edu/nsnam/ ns/doc/, 2011.

[16] HAN L, LIU J Q, ZHANG D W. A portable TPM scheme for generalpurpose trusted computing based on EFI[A]. MINES'09: International Conference on Multimedia Information Networking and Security[C].Wuhan, China, 2009.140-143.

[17] HAN L, LIU J Q, HAN Z. Design and implementation of a portable TPM scheme for general-purpose trusted computing based on EFI[J].Frontiers of Computer Science in China, 2011,5(2):169-180.