本书内容围绕近年来身份密码体制的研究热点和难点展开。本书分为基础篇、密码篇、签名篇、RFID篇、应用篇五部分，重点介绍和分析多身份及可变身份下的身份密码体制、具有等级结构的身份密码体制、在线/离线签名验证的加速机制、基于属性签名的自适应匿名认证、无线射频认证系统安全协议、基于身份密码体制的隐私匹配及其在自组织网络中的应用及无线Mesh 网络对密钥建立方案。第一部分对身份密码安全协议的理论和技术发展进行综述；第二部分从多身份密码系统构造、可变身份签名构造、基于等级身份加密密钥共享方案等多个方面分析身份密码体制的设计；第三部分从在线/离线的可验证的签名方案、基于属性签名自适应匿名认证SA3 系统、基于属性签名的用户撤销等方面描述和分析了基 于身份密码体制的签名机制；第四部分从轻量级RFID 认证协议与可靠统计机制、SKRAP 安全认证协议、SECRAP 安全认证协议研究、ESAP 安全认证协议研究等多个方面阐述了基于身份密码的RFID 安全机制；第五部分从基于身份加密的多方隐私匹配、基于身份加密的隐私匹配在自组织网络中的应用、无线Mesh 网络中基于矩阵的对密钥建立方案等方面阐述和分析了身份加密安全协议在自组织网络和无线Mesh 网络中的应用。

前 言 近年来，随着信息技术的发展，网络活动越来越受欢迎。网络信息和服务在给授权用户带来便利的同时，也使得非法用户有机可乘。在网络技术应用中，要抵制非法用户的入侵，首先必须正确地识别通信双方的身份。身份认证是一个实体确认通信的另一个实体满足它所声明的属性的过程，是验证实体真实性的过程。基于身份密码安全协议在电子医疗、云计算、车载网、物联网等领域具有广泛的应用。 本书是作者在福建师范大学网络安全与密码技术重点实验室工作期间与所指导的研究生合作成果的基础上，经整理、修改而成的。本书的主要目的就是紧随信息安全中的身份密码这一主题，对于多年来的研究成果进行归纳总结，希望对从事该领域研究的研究生、教师以及对该领域感兴趣的其他方面的专家学者起到一定的参考和引导作用。 本书的内容共分为25 章。第1 章，引言：分别介绍了身份认证的研究背景与现状，以及国内外的研究现状、隐私匹配的研究背景和现状、无线Mesh 网络节点间密钥建立方案的研究背景和现状、无线射频认证（RFID）系统。第2 章：基础知识，主要介绍了身份密码安全协议所需要的数学理论和一些密码学的基本工具。第3 章：多身份加密构造，在传统的身份加密系统中，一个密钥仅能对应唯一的一个公钥，在本章所构造的多身份加密系统中，一个密钥可以对应于不同的公钥，这种特殊的身份加密系统有利于简化用户管理密钥。第4 章，可变身份签名构造：在该方案中，公钥由一公开信息及n 个隐私信息组成，且验证的公钥内容是可变化的，即在验证过程中验证者仅能获取一个隐私信息。第5 章，基于等级身份加密的密钥共享方案：在传统的等级身份加密中，每一等级的主密钥由一个KGC 管理，如果该KGC 不可信任了，那么它将泄露一些密钥信息。第6 章，基于等级身份加密的密钥门限方案：该方案提出了等级身份加密中一种有效的密钥管理机制，实现了密钥分发的门限方案。在该方案中，当进行运算的KGC 数量达到门限值时才能进行有效的密钥计算，而且个别KGC 的失效不会影响系统的正常运行。第7 章，在线/离线身份加密：首先将Guo 等人提出的在线/离线身份加密技术扩展到等级身份加密，然后提出了一个有效的在线/离线等级身份加密（HIBOOE）方案，实现该技术的目的在于提高在线加密的效率，它在计算能＆#1048585;身份认证安全协议理论与应用力有限的设备中是非常有用的。第8 章，在线/离线签名的批验证：提出一个非常高效的在线/离线签名方案能够实现multi-signer 批验证，该方案是基于CHP 方案并且在随机预言模型下证明了它的安全性。第9 章，可分在线/离线签名方案：首先给出了可分在线/离线签名方案的一般构造方法，并且以Boneh、Lynn 和Shacham（BLS）的短签名作为一个例子，然后描述一个有效的DOS 签名，长度只有320 比特，且在随机预言模型下被证明是安全的。第10 章，在线/离线验证签名方案：首先定义了在线/离线验证的新概念及其安全模型，然后提出了一个非常有效和实用的在线/离线验证签名方案，且证明了该方案在标准模型下是安全的，最后通过借助双陷门变色龙哈希的适当转换发现现存的短签名方案都能在随机或非随机模型下转化为本章所提出的方案。第11 章，基于属性签名自适应匿名认证SA3 系统：首先针对不同认证策略情形，设计一个自适应匿名身份认证的通用模型和安全需求，然后应用一个具体的签名工具——基于属性的签名来实现动态匿名认证，最后应用PBD 库，针对10 个不同的认证策略，在ubuntu 的环境下仿真认证过程，最后获得认证的时间。第12 章，基于属性签名的用户撤销：针对基于属性签名算法的用户撤销问题设计出一个高效的用户撤销算法。第13 章，自适应匿名身份认证的用户撤销：在自适应匿名身份认证系统的应用中，一个必须解决的问题就是如何有效地撤销系统的用户。本章进一步完善自适应匿名认证系统，运用基于属性签名用户撤销方案，从而设计出一个SA3 中有效的用户撤销方案。第14 章，轻量级RFID 双向认证协议：基于现有的HB 类协议来设计一个安全有效的RFID 认证协议，其困难性是基于LPN 问题。第15 章，RFID 标签所有权转换安全协议：提出了一个实现RFID 标签所有权完全转换的有效方案，通过“一交换两更新”的3 步骤实现协议，该协议能达到保护原、新所有者的隐私，抵御一些不法参与方的恶意行为和保障交易方尤其是新所有者的权益的目的。第16 章，RFID 标签隐私可靠统计机制设计：基于RFID 技术所设计的一个隐私数据统计系统机制，该机制实现了既保障RFID 标签的隐私，又很好地保证了统计结果的可靠。第17 章，SKRAP 安全认证协议研究：在分析已有的SKRAP 安全协议的基础上，提出了一种基于SKRAP的改进协议，通过对其分析可知，改进的协议ISKRAP 能够抵抗重放攻击、监听攻击、去同步化攻击和追踪攻击，是一种比较安全的认证协议，在实际环境中有一定的使用价值。第18 章，SECRAP 安全认证协议研究：介绍了一种基于椭圆曲线密码的RFID安全协议，发现其不能抵抗去同步化攻击的安全漏洞，通过在服务器和标签都存储两份的共享密钥来使协议能够抵抗去同步化攻击，进而完全随机化阅读器发出的证据，修改后的协议也能够抵抗伪造攻击。第19 章，ESAP 安全认证协议研究：通过对RFID安全认证协议ESAP 的分析得出，它存在不能抵抗追踪攻击的弱点，从而通过修改服务器端的回复消息，使得每条认证消息更加不可分辨，从而达到抵抗追踪攻击的效果。第20 章，基于身份加密的隐私匹配：提出一个基于身份加密隐私匹配的简单方案，并给出了该方案所能抵抗的攻击。第21 章，基于身份加密的多方隐私匹配：通过使用布隆过滤器解决基于身份加密的多方隐私匹配的计算量巨大的问题，然后从可信和安全性分析，所给出的基于身份加密的多方隐私匹配方案是可行的。第22 章，基于身份加密的隐私匹配在自组织网络中的应用：尝试将基于身份加密的多方隐私匹配方案应用到实际环境中加以检验其实用性。第23 章，无线Mesh 网络中基于矩阵的对密钥建立方案，改进了Blom 方案，提出了一种新的无线Mesh 网络中基于矩阵的对密钥建立方案，实现了能量受限的Mesh 客户端只需要消耗极少的通信代价、存储代价就可以建立对密钥。第24 章，无线Mesh 网络中基于矩阵和利用部署信息的对密钥建立方案：基于Mesh 网络中存在大量的能力受限的Mesh 客户端且这些Mesh 客户端之间需要在短时间内建立对密钥，提出两个方案来为Mesh 客户端之间建立对密钥。第25 章，无线Mesh 网络中基于多项式的对密钥建立方案：在传感器节点通过Mesh 路由器与Internet 连接的网络模型下，提出一个基于多项式的对密钥建立方案。 参加本书撰写的还有福建师范大学数学与计算机科学学院、福建师范大学网络安全与密码技术重点实验室的研究生郭福春、吴忠生、刘中仁、张一镰、陈友勤、连燕玲、张跃欣、蒋德山，陈志德对全书进行了统稿和审定。另外，电子科技大学计算机科学与工程学院的陈建章博士对全书的排版和校对也做出了贡献并且帮助整理了全书的参考文献。 本书的出版得到了国家自然科学基金（61202450，U1405255）和教育部博士点新教师类基金（20123503120001）的资助。福建师范大学数学与计算机科学学院、福建师范大学网络安全与密码技术重点实验室对本书的撰写给予了大力支持，在此深表感谢。 限于作者的水平，书中错漏之处在所难免，恳请国内同行和广大读者不吝赐教。 陈志德 黄欣沂 许力 2014 年12 月5 日 福建师范大学数学与计算机科学学院 福建师范大学网络安全与密码技术重点实验室

目 录 基 础 篇 第1章 引言 3 1.1 身份认证的研究背景和现状 3 1.2 身份认证的国内外研究现状 6 1.2.1 不具备隐私保护的身份认证技术 6 1.2.2 具有隐私保护的身份认证技术 8 1.2.3 基于属性签名的身份认证技术 9 1.3 隐私匹配的研究背景和现状 10 1.4 无线Mesh网络节点间密钥建立方案的研究背景和现状 12 1.5 无线射频认证系统 14 1.5.1 无线射频认证系统基本概念 14 1.5.2 无线射频认证系统的特点 15 1.5.3 无线射频认证系统的应用 16 1.5.4 无线射频认证系统中的隐私安全问题 17 1.5.5 无线射频认证系统中的认证协议研究现状 18 第2章 基础知识 20 2.1 双线性对和困难性问题 20 2.1.1 双线性对 20 2.1.2 困难性问题 21 2.2 安全证明介绍 22 2.2.1 可证明安全的理解 22 2.2.2 可证明安全介绍 23 2.2.3 身份密码系统的安全模型 24 2.2.4 安全证明方式 26 2.3 身份密码构造 27 2.3.1 Boneh-Franklin身份加密方案 27 2.3.2 Boneh-Boyen身份加密方案 27 2.3.3 Paterson-Schuldt身份签名方案 28 2.3.4 Boneh-Boyen-Goh等级身份加密方案 29 2.4 短签名 29 2.4.1 短签名定义 29 2.4.2 短签名安全模型定义 30 2.4.3 短签名构造 31 2.5 秘密共享和访问结构 33 2.5.1 门限结构 33 2.5.2 线性秘密共享结构 34 2.6 基于属性的签名 36 2.6.1 ABS的定义 37 2.6.2 ABS方案的描述 37 密 码 篇 第3章 多身份加密构造 41 3.1 MIBE算法的定义 42 3.2 安全模型 42 3.3 随机预言模型下的MIBE构造 43 3.3.1 MIBE构造 43 3.3.2 安全证明 45 3.4 选择攻击模型下的MIBE构造 50 3.4.1 MIBE构造 50 3.4.2 安全证明 52 3.5 本章小结 55 第4章 可变身份签名构造 56 4.1 MIBS算法的定义 57 4.2 安全模型 57 4.3 累积器 58 4.4 标准模型下的MIBS构造 59 4.4.1 MIBS构造 59 4.4.2 安全分析 60 4.4.3 安全证明 61 4.4.4 两个扩展 65 4.5 本章小结 65 第5章 基于等级身份加密的密钥共享方案 67 5.1 KS-HIBE算法模型 67 5.2 安全模型 68 5.3 协议设计 69 5.4 安全分析与证明 72 5.5 本章小结 74 第6章 基于等级身份加密的密钥门限方案 75 6.1 KT-HIBE算法模型 75 6.2 安全模型 76 6.3 Lagrange插值公式 76 6.4 协议设计 76 6.5 安全分析与证明 79 6.6 本章小结 80 第7章 在线/离线身份加密 81 7.1 HIBOOE算法模型 81 7.2 安全模型 82 7.3 协议设计 82 7.4 安全分析与证明 84 7.5 效率分析 88 7.6 本章小结 88 签 名 篇 第8章 在线/离线签名的批验证 91 8.1 定义 91 8.1.1 OS算法模型 91 8.1.2 OS安全模型 92 8.1.3 符号解释 93 8.2 在线/离线签名批验证 93 8.2.1 协议构造 93 8.2.2 安全分析与证明 94 8.2.3 签名的批验证 96 8.2.4 批验证安全分析与证明 97 8.2.5 效率分析 98 8.3 本章小结 99 第9章 可分在线/离线签名方案（DOS） 100 9.1 定义 100 9.1.1 DOS算法模型 100 9.1.2 DOS安全模型 101 9.1.3 变色龙哈希 102 9.1.4 DOS构造 102 9.1.5 安全分析与证明 102 9.1.6 一般性构造 103 9.2 本章小结 103 第10章 在线/离线验证签名方案（OVS） 104 10.1 定义 104 10.1.1 OVS算法模型 104 10.1.2 OVS安全模型 105 10.1.3 双陷门变色龙哈希 106 10.1.4 OVS构造 106 10.1.5 安全分析与证明 107 10.1.6 一般性构造 109 10.2 本章小结 110 第11章 基于属性签名自适应匿名认证SA3系统 111 11.1 引言 111 11.2 方案 113 11.2.1 SA3的定义 113 11.2.2 基于属性签名的SA3通用设计 114 11.3 性能分析 115 11.3.1 安全性分析 115 11.3.2 复杂度分析 115 11.4 本章小结 117 第12章 基于属性签名的用户撤销 118 12.1 引言 118 12.2 传统的用户撤销方案 119 12.3 基于属性签名的用户撤销方案 121 12.3.1 模型定义 121 12.3.2 算法设计1 122 12.3.3 算法设计2 123 12.4 安全性证明与仿真结果 125 12.4.1 安全性证明 125 12.4.2 仿真结果 126 12.5 本章小结 127 第13章 自适应匿名身份认证的用户撤销 128 13.1 引言 128 13.2 方案 129 13.2.1 SA3用户撤销协议的定义 129 13.2.2 SA3用户撤销系统的通用设计 130 13.3 性能分析 131 13.4 本章小结 132 RFID篇 第14章 轻量级RFID双向认证协议 135 14.1 协议描述 135 14.1.1 标识符描述 135 14.1.2 轻量双向认证协议 136 14.2 协议分析 137 14.2.1 LPN问题定义 137 14.2.2 HB类协议 137 14.3 安全性分析与比较 140 14.4 本章小结 141 第15章 RFID标签所有权转换安全协议 142 15.1 研究背景及相关工作 142 15.1.1 研究背景 142 15.1.2 相关工作 143 15.2 协议主要思想 144 15.3 协议描述 145 15.3.1 系统假定 145 15.3.2 系统初始化 145 15.3.3 标签所有权转换协议 147 15.4 协议分析 149 15.4.1 系统架构分析 149 15.4.2 安全性分析 149 15.5 本章小结 150 第16章 RFID标签隐私可靠统计机制设计 152 16.1 研究背景及设计思想 152 16.2 系统描述 153 16.2.1 系统假定 153 16.2.2 系统参数初始化 154 16.2.3 系统标签初始化 155 16.3 统计机制设计描述 155 16.3.1 读取与更新部分 156 16.3.2 汇聚部分 157 16.3.3 重构秘密密钥部分 157 16.3.4 解密统计阶段 158 16.4 子密钥验证的匿名与零知识分析 159 16.5 隐私安全与统计结果可靠性分析 160 16.5.1 攻击模型分析 160 16.5.2 隐私安全与统计结果可靠性分析 160 16.6 本章小结 161 第17章 SKRAP安全认证协议研究 163 17.1 研究背景及相关工作 163 17.2 SKRAP安全认证协议及安全性分析 164 17.2.1 符号描述 164 17.2.2 SKRAP协议描述与认证过程 165 17.2.3 SKRAP的安全性分析 166 17.2.4 SKRAP存在的缺陷 167 17.3 改进的安全认证协议ISKRAP 168 17.3.1 ISKRAP协议描述 169 17.3.2 认证过程 170 17.4 ISKRAP的安全性分析 170 17.5 本章小结 171 第18章 SECRAP安全认证协议研究 172 18.1 研究背景及相关工作 172 18.1.1 研究背景 172 18.1.2 相关工作 173 18.2 SECRP安全认证协议及安全性分析 175 18.2.1 符号 175 18.2.2 协议描述 175 18.2.3 安全性分析 177 18.3 改进的安全认证协议ISECRP 178 18.3.1 新协议描述 178 18.3.2 认证过程 179 18.4 ISECRP的安全性分析 179 18.5 本章小结 180 第19章 ESAP安全认证协议研究 181 19.1 研究背景及相关工作 181 19.1.1 研究背景 181 19.1.2 相关工作 182 19.2 ESAP安全认证协议简介 183 19.2.1 符号 184 19.2.2 系统准备 184 19.2.3 ESAP操作 184 19.3 改进的安全认证协议IESAP 185 19.3.1 ESAP的安全性分析 185 19.3.2 ESAP存在的缺陷 186 19.3.3 改进方案与新协议IESAP 187 19.4 IESAP的安全性分析 187 19.5 本章小结 188 应 用 篇 第20章 基于身份加密的隐私匹配 191 20.1 协议模型 191 20.2 协议设计 192 20.2.1 IBPM 192 20.2.2 IBPM with DOP 193 20.3 安全性分析 194 第21章 基于身份加密的多方隐私匹配 200 21.1 布隆过滤器 200 21.2 协议设计 202 21.3 协议分析 204 第22章 基于身份加密的隐私匹配在自组织网络中的应用 207 22.1 自组织网络 207 22.2 自组织网络中的激励机制 208 22.2.1 自组织网络中的激励机制分类 209 22.2.2 双向拍卖 209 22.2.3 基于双向拍卖的激励机制 211 22.3 基于身份加密的隐私匹配在自组织网络中的应用 214 第23章 无线Mesh网络中基于矩阵的对密钥建立方案 217 23.1 系统模型及预备知识 217 23.1.1 系统模型 217 23.1.2 预备知识 218 23.2 基于矩阵的对密钥建立方案 219 22.3 分析与比较 221 23.4 本章小结 224 第24章 无线Mesh网络中基于矩阵和利用部署信息的对密钥建立方案 225 24.1 系统模型及预备知识 225 24.1.1 系统模型 225 24.1.2 预备知识 226 24.2 利用部署前、部署后信息的对密钥建立方案 227 24.3 分析与比较 229 24.4 本章小结 233 第25章 无线Mesh网络中基于多项式的对密钥建立方案 234 25.1 预备知识 234 25.2 无线Mesh网络中基于多项式的对密钥建立方案 235 25.3 分析 237 25.4 本章小结 239 参考文献 241