無線網(wǎng)絡中基于無證書聚合簽名的高效匿名漫游認證方案

劉丹，石潤華，張順，仲紅

（安徽大學計算機科學與技術學院，安徽 合肥 230601）

無線網(wǎng)絡中基于無證書聚合簽名的高效匿名漫游認證方案

劉丹，石潤華，張順，仲紅

（安徽大學計算機科學與技術學院，安徽 合肥 230601）

針對無線移動網(wǎng)絡漫游認證中的隱私保護需求，提出了新的匿名漫游認證方案。引入在線離線簽名技術，并巧妙結(jié)合聚合驗證方法，設計了一個無證書聚合簽名方案。與相關方案相比，該簽名方案降低了簽名和驗證過程的計算開銷，提高了通信效率。繼而，基于該簽名方案，提出了一種新型高效的匿名漫游認證方案，簡化了傳統(tǒng)的三方漫游認證模型。理論分析結(jié)果表明，該方案安全、有效，特別適用于大規(guī)模無線移動網(wǎng)絡。

無線移動網(wǎng)絡；無證書；聚合；漫游認證；隱私保護

1 引言

隨著移動通信和網(wǎng)絡技術的快速發(fā)展，無線網(wǎng)絡作為傳統(tǒng)有線網(wǎng)絡的擴展，不僅得到了廣泛的應用，也給人們帶來了極大的便利。因其特殊的組網(wǎng)方式，在設計無線網(wǎng)絡安全協(xié)議時需要考慮的安全問題更多，所以，大部分有線網(wǎng)絡中的安全協(xié)議是不適合無線網(wǎng)絡的。

漫游是無線網(wǎng)絡中的關鍵服務之一。漫游服務固然方便，但安全問題不能忽視，尤其是在接入認證時可能會出現(xiàn)用戶的真實身份、位置遭到泄露等情況。移動用戶在外地網(wǎng)絡請求服務時，對用戶來說，他希望自己的真實身份、位置等信息能得到相應的保護，可以采用匿名漫游認證的方法，防止惡意的攻擊者竊取這些隱私信息；而對外地服務器來說，首先要檢驗用戶的合法性，然后去判斷是否給予服務，從而避免非法用戶請求服務，造成服務資源浪費。可見，用戶的隱匿性和不可追蹤性對漫游認證來說尤為重要。

為此，本文構造了一個安全、有效的基于無證書的聚合簽名方案，不僅解決了證書開銷和密鑰托管問題，還將簽名過程分為在線和離線這2個階段，降低了簽名和驗證過程所需計算開銷，提高了通信效率，使協(xié)議在計算和存儲能力受限的移動環(huán)境下具有可用性。另外，在漫游認證中采用聚合簽名技術，將多個簽名聚合成一個簽名，只需對聚合后的簽名進行驗證便可知簽名是否合法，提高了驗證效率。簡而言之，本文的方案能夠?qū)崿F(xiàn)移動用戶在不暴露自己真實身份的前提下安全地進行漫游認證。

2 相關工作

最近有關無線網(wǎng)絡中漫游認證的研究，大多數(shù)方案運用各種密碼技術設計不同方法來解決安全和隱私這2大挑戰(zhàn)性問題，但出現(xiàn)了一些不可避免的安全漏洞。基于對稱密鑰的方法[1～6]，要求任意2個服務器之間預先建立對稱密鑰，這使管理復雜、成本高、可擴展性差。而基于PKI的方法[2,7～13]雖然具有較好的可擴展性，但證書開銷帶來了額外的計算開銷和通信代價。為解決證書開銷問題，引入基于ID-PKC的方法[14～17]，大大簡化了證書的管理，但也存在不可忽視的安全缺陷。

另外，在漫游認證過程中，按照參與方的不同，可分成三方漫游認證和兩方漫游認證。三方漫游認證簡單模型如圖1所示。2005年，田子建等[18]設計了一種環(huán)簽名方法來實現(xiàn)匿名認證。2009年，Hou等[19]構造了一種基于組合公鑰的接入認證方法，實現(xiàn)了用戶身份的隱匿性。2012年，Zhang等[20]采用一種基于無證書的公鑰密碼體制（CL-PKC, certificateless public key cryptography）的方法，解決了密鑰托管的問題，但方案中家鄉(xiāng)代理（HA, home agent）卻知道移動節(jié)點（MN, mobile node）和外地代理（FA, foreign agent）之間的會話密鑰，不具有安全性。上述方案都是采用三方漫游認證的方法，不具有統(tǒng)一性，而兩方漫游認證具有統(tǒng)一性的特點，較好地避免了針對HA的拒絕服務（DoS, denial of service）攻擊，其簡單模型如圖2所示。2010年，Yang等[17]設計了一種基于群簽名（GS, group signature）的認證方法，采用假名技術實現(xiàn)強用戶隱匿性，并基于撤銷令牌實現(xiàn)動態(tài)撤銷的性質(zhì)。He等[21]也設計了基于群簽名的認證方法，實現(xiàn)強用戶隱匿性和隱私保護性，并指出文獻[17]的不足之處，遺憾的是，該方案不滿足不可追蹤性。Yang等[17]還設計了一種基于ID-PKC的認證方法，但FA能獲取用戶的真實身份，不能保證強用戶隱匿性。He等[22,23]證明了Yang[17]和He[20]方法不能滿足條件隱私保護。綜上所述，三方漫游認證和兩方漫游認證這 2類方法在隱私保護方面仍舊存在某些安全漏洞，所以本文要找到最合適的方法，達到具有隱私保護性、統(tǒng)一性的漫游認證。

圖1 三方漫游認證簡單模型

圖2 兩方漫游認證簡單模型

除了安全和隱私，效率也是不可忽略的重要問題。基于PKI的認證方法不可避免對證書的管理，證書傳輸和驗證使通信代價大大提高。基于ID-PKC的認證方法雖然解決了證書管理帶來的開銷問題，卻不能避免雙線性對的運算開銷。基于群簽名的認證方法使用撤銷密鑰來實現(xiàn)用戶的動態(tài)撤銷，但當網(wǎng)絡中的用戶數(shù)量不斷增長，驗證開銷也隨之提高。三方漫游認證方法必須要求HA和FA至少交互一次才能完成認證。而在一般情況下，HA為遠程服務器，會帶來很大的通信代價。

依據(jù)上述詳細分析，可見現(xiàn)有大多數(shù)方案無論是在安全、隱私方面，還是在效率方面都存在一些問題，本文要保證漫游認證在安全、高效的情況下，注重隱私保護的實現(xiàn)。本文基于無證書的聚合簽名（CLAS, certificateless aggregate signature）[27～29]方法，實現(xiàn)了具有隱私保護性、統(tǒng)一性的匿名漫游認證。在安全和隱私方面，本文的方案解決了密鑰托管問題，避免了DoS攻擊；采用預裝載別名技術，實現(xiàn)了強用戶隱匿性和不可追蹤性；通過在別名后附加有效期限，實現(xiàn)了用戶的動態(tài)撤銷；將用戶真實身份與別名綁定在一起，實現(xiàn)了條件隱私保護。在效率方面，本文采用具有統(tǒng)一性的兩方漫游認證方法，僅在 MN與服務器 FA之間進行；方案中MN沒有耗時的雙線性對操作，計算開銷小；服務器FA利用聚合簽名技術，能夠一次驗證多個MN簽名，大大減少了驗證時間。

3 系統(tǒng)模型

在本文的漫游認證方案中，系統(tǒng)模型主要由 3個實體組成：MN、HA和FA，如圖3所示。網(wǎng)絡中有許多服務器，可以是HA或FA；每個服務器管理一組需要訂閱服務的用戶，即MN。

圖3 漫游認證系統(tǒng)模型

4 無證書聚合簽名方案

本文提出了一個高效的無證書聚合簽名方案，方案分別由以下9個算法組成。

1) 系統(tǒng)初始化算法（setup）

KGC選擇一個安全參數(shù)λ∈ Z+，滿足q > 2λ。G1、G2是2個階均為素數(shù)q的循環(huán)群，這2個循環(huán)群滿足雙線性對 e： G1× G1→ G2，其中，G1是循環(huán)加法群，G2是循環(huán)乘法群，P是G1的生成元。KGC選擇一個隨機數(shù) s∈R作為系統(tǒng)主密鑰并計算

然后挑選 3個散列函數(shù) H0：{0,1}*→ G1、H1：{0,1}*→ G1和 H2：{0,1}*→ Zq*。最后，KGC公布 系 統(tǒng) 參 數(shù) params ={λ,q, e, G1, G2, P,PPub, H0,H1, H2}，秘密保存s。

2) 部分私鑰提取算法

首先，給定一個身份IDi計算

3) 秘密值生成算法

4) 私鑰生成算法

用戶的秘密值和部分私鑰結(jié)合后，那么用戶的

5) 公鑰生成算法

并將Xi視為公鑰。

6) 簽名算法

本文將簽名算法分為2個階段：離線簽名算法和在線簽名算法。

離線簽名：在沒有收到消息之前，給定私鑰skIDi=(xi, Di)，簽名者隨機選擇 ri∈R，計算離線簽名

在線簽名：給定一個消息mi和離線簽名，簽名者計算在線簽名。

7) 單個驗證算法

給定與身份IDi有關的消息mi的在線離線簽名

iσ，驗證者計算

驗證等式是否成立，如果成立，則驗證者接受此簽名，反之拒絕。

8) 聚合算法

輸出對消息1,2, ,nm m …m的聚合簽名(R, T)。

9) 聚合驗證算法

給定系統(tǒng)公開參數(shù)、身份IDi、消息mi、公鑰Xi以及聚合簽名(R, T)，驗證者開始執(zhí)行以下步驟來驗證聚合簽名。計算計算

是否成立，如果等式成立，輸出“1”；否則輸出“0”。

5 簽名方案分析

5.1 安全模型和安全性分析

無證書聚合簽名的安全模型中，包含2種類型的攻擊者。

1) 第 1類攻擊者（即 A1）是在不知道系統(tǒng)主密鑰的情況下，可以替代用戶的公鑰。

2) 第 2類攻擊者（即A2）是在知道系統(tǒng)主密鑰（惡意的KGC）的情況下，生成用戶的部分私鑰，但此情況下不能替代用戶的公鑰。

文獻[30]對攻擊者類型A2做了進一步改進，可獲知系統(tǒng)主密鑰，可替換除了目標用戶之外的任何用戶的公鑰。

定理1 在隨機預言機模型和 CDH困難假設下，本文方案在第 1類攻擊者 A1的適應性選擇消息、選擇身份以及公鑰替換攻擊下是存在不可偽造的。

系統(tǒng)初始化階段：挑戰(zhàn)者C輸入安全參數(shù)λ，運行 setup算法生成系統(tǒng)參數(shù)params，其中PPub=aP，然后將系統(tǒng)參數(shù)params發(fā)給 A1。

PK ，起初全部為空。1A能夠自適應地向C發(fā)起以下詢問。1) 用戶生成詢問。C維護一個為空的listPK 列表，表中記錄為1A能夠通過輸入執(zhí)行該用戶生成詢問，為了返回A1的詢問，C隨機選擇數(shù)當1A輸入C 首先查詢listPK 列表，如果列表中已經(jīng)存在則返回否則，C將執(zhí)行以下操作。其中，xi為秘密值。令（符號⊥表示該值未知），其中，xi為秘密值。

2) 部分私鑰提取詢問。當1A輸入C首先查詢listPK 列表，如果列表中沒有則C輸出“⊥”。否則，C執(zhí)行

以下操作。

3) 秘密值詢問。當A1輸入首先查詢list

4) 公鑰替換詢問。當C收到一個關于IDi的公鑰Xi替換成Xi′詢問時，C首先查詢listPK 列表，如果列表中存在則C更新Xi為新的′；否則，C將輸出“⊥”。

5) H1詢問。C維護一個為空的列表列表

C返回Hi。

6) H2詢問。C維護一個為空的列表，列

H 列表，

2

如果列表list

2

m則直接

返回hi；否則C將執(zhí)行以下操作。C隨機選擇輸出并添加到列表list

H 中。

定pi的取值；其中

7) 超級簽名詢問。當1A輸入某一個簽名詢問C首先查詢listPK 列表，如果列

C執(zhí)行( , )

偽造階段。結(jié)束上述詢問后，1A輸出一個四元組其中為 n個身份為

1) 若p*=0，C放棄并終止。

2) 若p*=1，C依靠1A的偽造來解決CDH困難問題。

由于1A生成一個有效簽名*σ，偽造的聚合簽名必須滿足其中，從list

E：C在游戲過程中沒有終止退出。

1

E：1A通過游戲偽造了一個有效并且非平凡

2

的聚合簽名。

E3：上述E2事件發(fā)生，存在i∈[1,n]能滿足并且p*=1。

定理 2 在隨機預言機模型和 CDH困難假設下，本文方案在第2類攻擊者A2的適應性選擇消息、選擇身份以及公鑰替換攻擊下是存在不可偽造的。

引理 2 在隨機預言機模型下，如果存在一個敵手A2，他能夠在時間t內(nèi)以不可忽略的概率ε成功攻破本文的無證書聚合簽名方案，那么，?存在一個這樣的算法 C，能利用算法以概率在時間內(nèi)解決CDH問題，其中，tm表示一個點乘運算。

針對第2類敵手A2的證明過程類似于第1類敵手1A的證明過程，鑒于篇幅有限，證明過程略。

5.2 安全性和效率對比

判斷一個CLAS方案實用與否，主要依據(jù)安全性和效率2個方面。

如表1所示，對于本文方案，無論是第1類攻擊者類型還是第2類攻擊者類型都支持超級簽名詢問的安全模型。表1中，B1代表中代表正常攻擊者；代表強攻擊者；B3代表超級攻擊者；√表示方案中的攻擊者所屬類型；W表示在該攻擊者類型下方案的安全性程度較弱；S表示在該攻擊者類型下方案的安全性程度較強；L表示長度單位。在保證安全性的前提下，無證書聚合簽名方案還需注意通信和計算代價。如表2所示，本文將所提方案與現(xiàn)有方案在單個簽名、驗證和聚合驗證3個方面進行詳細的對比，所用運算符號見表 3。不難發(fā)現(xiàn)，本文的方案在效率方面相對較高。

表1 安全性和通信代價對比

表2效率對比

表3 符號定義

6 基于無證書聚合簽名的匿名漫游認證方案

本文具有隱私保護的匿名漫游認證方案，主要包含3個階段：系統(tǒng)初始化、漫游認證以及聚合驗證。所使用的相關符號，如表4所示。

6.1 系統(tǒng)初始化

本文所提方案的系統(tǒng)初始化詳細過程，如圖 4所示。

6 .2 匿名漫游認證

本節(jié)描述MN移動到FA所負責的網(wǎng)絡范圍內(nèi)進行匿名漫游認證的詳細過程，如圖5所示，該過程主要由MN和FA完成。

表4 相關符號

6.3 聚合驗證

在實際生活中，多個MN來自同一個家鄉(xiāng)網(wǎng)絡，有可能n個MN同時向服務器HA或FA發(fā)出接入請求。在漫游認證過程中，簽名驗證的計算開銷直接影響服務器的總體開銷，因此，本文設計了一種聚合驗證方法，使服務器可以一次批量驗證多個MN的簽名（如圖6所示），大大降低了簽名驗證的計算開銷。

圖4 系統(tǒng)初始化詳細步驟

圖5 匿名漫游認證過程和會話密鑰建立的詳細步驟

圖6 聚合驗證

7 性能評估

7.1 安全性對比

將本方案與近幾年相關文獻中的方案分別在安全需求和攻擊類型2方面進行對比，如表5和表6所示。表5中√表示能實現(xiàn)該性質(zhì)；×表示不能上實現(xiàn)該性質(zhì)；W表示該性質(zhì)較弱；S表示該性質(zhì)較強。表6中√表示能解決該問題或能抵抗該攻擊；×表示不能解決該問題或無法抵抗該攻擊；W表示該抵抗該攻擊能力較弱；S表示抵抗該攻擊能力較強。可見本文的方案能滿足所述的全部安全需求，避免了密鑰托管問題，并且有較強的攻擊抵御性，使安全性大大提高。

表5 安全需求對比

表6 攻擊類型對比

7.2 效率對比

漫游認證過程中，除了要保證較高的安全性外，也要注重效率問題。MN在漫游認證整個過程中一直處于連接狀態(tài)，因而通信開銷應盡量小，另外，MN計算能力是有限的，所以要保證計算開銷較低。假設MN與FA交互時的傳輸開銷為αm s 。本文將所提方案與同樣采用兩方漫游認證的現(xiàn)有方案進行對比，結(jié)果如表7所示，其中，計算開銷所用符號可參見表 3。不難看出，本文的方案通信開銷和計算開銷較小，效率高，實用性強。

表7 效率對比

8 結(jié)束語

針對無線網(wǎng)絡中的漫游認證問題，本文構造了一個無證書的聚合簽名方案，通過對該方案的安全性和效率分析，易知本文簽名方案在簽名和驗證過程中，無論是單個驗證還是聚合驗證所需要的計算開銷都較少，適用于計算和存儲有限的移動設備。在此基礎上，提出了無線網(wǎng)絡中具有隱私保護的匿名漫游認證方案，滿足用戶隱匿性、不可追蹤性等安全需求，抵抗重放攻擊、DoS攻擊等，也避免了密鑰托管問題。另外，本文方案中MN所耗計算開銷較少，F(xiàn)A利用聚合技術能夠同時驗證多個用戶簽名，加快了認證速度，同時減少了通信和計算代價。在未來的工作里，如何在滿足隱私保護和安全的基礎上，解決惡意用戶拒絕付費的問題是下一步將要探究的問題。

[1] TZENG Z J, TZENG W G. Authentication of mobile users in third generation mobile systems[J]. Wireless Personal Communications,2001, 16(1)： 35-50.

[2] HWANG K F, CHANG C C. A self-encryption mechanism for authentication of roaming and teleconference services[J]. IEEE Transactions on Wireless Communications, 2003, 2(2)： 400-407.

[3] JIANG Y, LIN C, SHEN X, et al. Mutual authentication and key exchange protocols for roaming services in wireless mobile networks[J]. IEEE Transactions on Wireless Communications, 2006, 5(9)：2569-2577.

[4] ARKKO J, HAVERINEN H. Extensible authentication protocol method for 3rd generation authentication and key agreement(EAP-AKA)[J]. Heise Zeitchriften Veriag, 2006, 47(2)： 64-77.

[5] CHANG C C, LEE C Y, CHIU Y C. Enhanced authentication scheme with anonymity for roaming service in global mobility networks[J].Computer Communications, 2009, 32(4)： 611-618.

[6] ZHOU T, XU J. Provable secure authentication protocol with anonymity for roaming service in global mobility networks[J]. Computer Networks, 2011, 55(1)： 205-213.

[7] GO J, PARK J, KIM K. Wireless authentication protocol preserving user anonymity[J]. Authentication, 2001, 3(2)： 78-81.

[8] HE D, MA M, ZHANG Y, et al. A strong user authentication scheme with smart cards for wireless communications[J]. Computer Communications, 2011, 34(3)： 367-374.

[9] REN K, LOU W, KIM K, et al. A novel privacy preserving authentication and access control scheme for pervasive computing environments[J]. IEEE Transactions on Vehicular Technology, 2006, 55(4)：1373-1384.

[10] TREVATHAN J, GHODOSI H, READ W. An anonymous and secure continuous double auction scheme[C]// The 39th Annual Hawaii International Conference on System Sciences. IEEE, c2006： 125.

[11] KIM J, CHOI S, KIM K, et al. Anonymous authentication protocol for dynamic groups with power-limited devices[C]//Symposium on Cryptography and Information Security (SCIS’03). c2013： 405-410.

[12] YANG G, WONG D S, DENG X. Anonymous and authenticated key exchange for roaming networks[J]. IEEE Transactions on Wireless Communications, 2007, 6(9)： 3461-3472.

[13] YANG G, WONG D S, DENG X. Formal security definition and efficient construction for roaming with a privacy-preserving extension[J]. JUCS, 2008, 14(3)： 441-462.

[14] 彭華熹. 一種基于身份的多信任域認證模型[J]. 計算機學報, 2006,29(8)： 1271-1281.PENG H X. An identity-based authentication model for multi-domain[J].Chinese Journal of Computers, 2006, 29(8)： 1271-1281.

[15] WAN Z, REN K, PRENEEL B. A secure privacy-preserving roaming protocol based on hierarchical identity-based encryption for mobile networks[C]//The first ACM Conference on Wireless Network Security. ACM, c2008： 62-67.

[16] FATEMI M, SALIMI S, SALAHI A. Anonymous roaming in universal mobile telecommunication system mobile networks[J]. IET Information Security, 2010, 4(2)： 93-103.

[17] YANG G, HUANG Q, WONG D S, et al. Universal authentication protocols for anonymous wireless communications[J]. IEEE Transactions on Wireless Communications, 2010, 9(1)： 168-174.

[18] 田子建, 王繼林, 伍云霞. 一個動態(tài)的可追蹤匿名認證方案[J]. 電子與信息學報, 2005, 27(11)： 1737-1740.TIAN Z J, WANG J L, WU Y X. A dynamic traceable anonymous authentication scheme[J]. Journal of Electronics & Information Technology, 2005, 27(11)： 1737-1740.

[19] HOU H, LIU S. CPK-based authentication and key agreement protocols with anonymity for wireless network[C]//2009 International Conference on Multimedia Information Networking and Security. IEEE,c2009： 347-350.

[20] ZHANG M, PEI C, DANG L. An efficient certificateless registration protocol for mobile IP networks[J]. Journal of Convergence Information Technology, 2012, 7(23)： 34-41.

[21] HE D, BU J, CHAN S, et al. Privacy-preserving universal authentication protocol for wireless communications[J]. IEEE Transactions on Wireless Communications, 2011, 10(2)： 431-436.

[22] HE D, CHEN C, CHAN S, et al. Secure and efficient handover authentication based on bilinear pairing functions[J]. IEEE Transactions on Wireless Communications, 2012, 11(1)： 48-53.

[23] HE D, CHEN C, CHAN S, et al. Analysis and improvement of a secure and efficient handover authentication for wireless networks[J].Communications Letters, IEEE, 2012, 16(8)： 1270-1273.

[24] TSAI J L, LO N W, WU T C. Secure handover authentication protocol based on bilinear pairings[J]. Wireless Personal Communications,2013, 73(3)： 1037-1047.

[25] KIM J S, KWAK J. Improved secure anonymous authentication scheme for roaming service in global mobility networks[J]. International Journal of Security and Its Applications, 2012, 6(3)： 45-54.

[26] KUO W C, WEI H J, CHENG J C. Enhanced secure authentication scheme with anonymity for roaming in mobility networks[J]. Information Technology and Control, 2014, 43(2)： 151-156.

[27] ZHANG Y, WANG C. Comment on new construction of efficient certificateless aggregate signatures[J]. International Journal of Security and Its Applications, 2015, 9(1)： 147-154.

[28] CHENG L, WEN Q, JIN Z, et al. Cryptanalysis and improvement of a certificateless aggregate signature scheme[J]. Information Sciences,2015, 295： 337-346.

[29] CHEN Y C, TSO R, HORNG G, et al. Strongly secure certificateless signature： cryptanalysis and improvement of two schemes[J]. Journal of Information Science and Engineering, 2015, 31(1)： 297-314.

[30] HUANG X, MU Y, SUSILO W, et al. Certificateless signature revisited[C]//Information Security and Privacy. Springer Berlin Heidelberg,c2007： 308-322.

[31] GONG Z, LONG Y, HONG X, et al. Two certificateless aggregate signatures from bilinear maps[C]//Eighth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing, c2007： 188-193.

[32] ZHANG L, ZHANG F. A new certificateless aggregate signature scheme[J]. Computer Communications, 2009, 32(6)： 1079-1085.

[33] ZHANG L, QIN B, WU Q, et al. Efficient many-to-one authentication with certificateless aggregate signatures[J]. Computer Networks, 2010,54(14)： 2482-2491.

[34] XIONG H, WU Q, CHEN Z. Strong security enabled certificateless aggregate signatures applicable to mobile computation[C]//2011 Third International Conference on Intelligent Networking and Collaborative Systems (INCoS). IEEE, c2011： 92-99.

[35] XIONG H, WU Q, CHEN Z. An efficient provably secure certificateless aggregate signature applicable to mobile computation[J]. Control and Cybernetics, 2012, 41(2)： 373-391.

[36] CHEN Y C, HORNG G, LIU C L, et al. Efficient certificateless aggregate signature scheme[J]. Journal Electronic Science and Technology, 2012, 10： 209-214.

[37] XIONG H, GUAN Z, CHEN Z, et al. An efficient certificateless aggregate signature with constant pairing computations[J]. Information Sciences, 2013, 219(10)： 225-235.

[38] LIU H, WANG S, LIANG M, et al. New construction of efficient certificateless aggregate signatures[J]. International Journal of Security and Its Applications, 2014, 8： 411-422.

[39] TU H, HE D, HUANG B. Reattack of a certificateless aggregate signature scheme with constant pairing computations[J]. The Scientific World Journal, 2014, 2014(9-10)： 343715.

[40] 劉賀. 移動網(wǎng)絡接入認證的隱私保護研究[D]. 北京： 北京交通大學, 2014.LIU H. Research on privacy protection in access authentication for mobile networks[D]. Beijing： Beijing Jiaotong University, 2014.

Efficient anonymous roaming authentication scheme using certificateless aggregate signature in wireless network

LIU Dan, SHI Run-hua, ZHANG Shun, ZHONG Hong
(School of Computer Science and Technology, Anhui University, Hefei 230601, China)

To solve the privacy-preserving problem during the roaming authentication of wireless mobile networks, a novel roaming authentication scheme with anonymity was presented. An efficient certificateless aggregate signature scheme was first constructed, by introducing the online/offline signature and combining the aggregate signature. Compared with the related schemes, the proposed scheme has higher efficiency in computations of both signature and verification, and also improves the efficiency in communications. Furthermore, based on the proposed signature scheme, a novel roaming authentication scheme with anonymity was presented, in which it simplified the traditional three-party authentication model. The theoretical analysis shows that this scheme is secure and effective, and thus it is especially suitable for large-scale wireless mobile networks.

wireless mobile network, certificateless, aggregate, roaming authentication, privacy-preserving

s: The National Natural Science Foundation of China (No.61173187, No.61572001, No.11301002), PhD Programs Foundation of Ministry of Education of China (No.20133401110004), The Natural Science Foundation of Anhui Province (No.1408085QF107),Talents Youth Fund of Anhui Province Universities (No.2013SQRL006ZD), 211 Project of Anhui University (No.17110099)

TP309,TP393

A

10.11959/j.issn.1000-436x.2016147

2015-11-03；

2016-05-02

張順，shzhang27@163.com

國家自然科學基金資助項目(No.61173187, No.61572001, No.11301002)；國家教育部博士點基金資助項目(No.20133401110004)；安徽省自然科學基金資助項目(No.1408085QF107)；安徽省高校省級優(yōu)秀青年人才基金重點基金資助項目(No.2013SQRL006ZD)；安徽大學“211”基金資助項目(No.17110099)

劉丹（1991-），女，安徽馬鞍山人，安徽大學碩士生，主要研究方向為網(wǎng)絡與信息安全。

石潤華（1974-），男，安徽安慶人，安徽大學教授、博士生導師，主要研究方向為無線網(wǎng)絡安全、保護隱私的多方協(xié)作計算、可證明安全的量子密碼。

張順（1982-），男，安徽安慶人，安徽大學副教授、碩士生導師，主要研究方向為信息計算復雜性、高振蕩問題易處理性和量子計算。

仲紅（1965-），女，安徽固鎮(zhèn)人，安徽大學教授、博士生導師，主要研究方向為無線傳感網(wǎng)、安全多方計算、私有信息保護。