0 引 言

在传感器采集网络中，位于前端的终端单元负责将传感器所采集到数据安全稳定地传输给核心网络。而终端单元设备存在着计算资源有限、通信网络带宽较低且环境复杂多变的情况，因此需要设计一种在硬件资源受限平台使用的、可更新的轻量级安全通信协议，以保证传感器采集网络中的可靠通信。

面对全球气候日益恶劣，雾霾天气频现的情况，大华透雾技术不仅提升了监控感知产品的感知力和稳定性，进一步维护了大众的安全和利益，而且也为雾霾、烟尘、水汽频发的特定场景，筑起了一道视频防控的坚实屏障。

在信息安全领域中，公钥加密机制是一种关键的技术，传统基于证书的体制中，证书的管理、颁发、撤销等操作过程复杂，对网络及计算的要求较高，不适用于传感器采集网络中。Ghoreishi S等一些国内外的学者提出了无证书两方密钥协商协议[1-4]，该类协商协议中，由可信的第三方密钥生成中心(key generation center，KGC)根据用户的身份和系统主密钥生成部分私钥，用户基于这一部分私钥和随机选取的秘密值生成完整的私钥，公钥由用户的秘密值、身份和系统参数计算得出，用户自主地参与其私钥的生成，解决了密钥托管问题[2]。该类协议可适用于某些带宽受限的网络环境中，但对于硬件计算资源有限的传感器采集网络，仍然不是好的解决办法。

Bittl S等学者先后提出了一系列基于hash链进行身份认证的协议[5-8]，在这类协议中，一般通过连续使用hash函数计算一系列的散列值形成hash链，作为每次身份认证使用的凭据，由hash函数的单向性来保证其中的安全性问题，再利用基于椭圆曲线离散问题的椭圆曲线密码(ECC)认证协议进行密钥的交换[7]。该类协议可用于带宽受限及对网络安全性要求较高的网络环境中，但大量连续的hash链计算及椭圆曲线离散的计算都需要占用很多的硬件资源，且hash链在更新时可能造成很大的通信量，因此亦不适用于传感器采集网络。

Krawczyk提出了一种基于Diffie-Hellman密钥交换算法的P-SIGMA协议[9]，在此基础上，Imamoto等进行了改进并提出了基于one-time identity(OID)的增强型密钥交换系统及SIGNAL协议[10]。SIGNAL中，每次通过使用不同的单向变化的身份验证凭据与消息认证密码，在保证系统基本安全性的前提下，部分解决了前向保密问题，保护了之前通信内容的安全，虽然SIGNAL协议并不是为传感器采集网络而设计，但其动态ID的设计方法很值得借鉴。

1 SIGNAL协议应用于传感器网络分析

SIGNAL协议方案详见文献[10]，其应用于传感器采集网络时，存在以下问题：

根据(9)、P2、P4、K=h(K⊕Ri)可得

SIGNAL协议生成一次性ID的计算方法为：SIGNAL[i,j]=h(SSi,j)， SSi=h1(Ki-1)， 即每生成一个一次性ID需要进行两次哈希计算，而每次会话中需要多次生成一次性ID，计算量很大。在密钥交换过程中使用了Diffie-Hellman算法，其指数计算会严重增加受限终端的负担。

(2)存储使用过多

“你看那边，是不是还是昨天那俩人？”虽然感冒了，精神不佳，但一点也不影响王施凯扫视四周，一眼就看到了路口徘徊的黑衣人。

SIGNAL协议中使用了多达5种加密哈希函数，这些函数算法的保存增加了存储使用量，另外还使用了一些用处不大的变量，如服务器一方的固定身份ID。

(3)存在安全问题

SIGNAL协议使用了不可更新的预共享密钥，且Diffie-Hellman密钥协商过程易受中间人攻击[11]，因此SIGNAL协议仍存在一些安全问题。

综上所述，SIGNAL协议并不能直接应用于传感器采集网络。

2 本文提出的协议方案

本文在参考SIGNAL等协议的基础上，提出了一种基于一次性动态ID、一次一密的轻量级传感器采集网络安全通信协议。协议采用仅使用一次的动态ID(用DID表示)作为密钥协商及数据传输过程中的身份验证凭据，在每次会话的数据传输之前，协商出新的对称加密密钥，实现了“一次一密”，协议还使用了可更新的预共享密钥，不仅作为秘密值参与密钥协商过程，还可以在意外情况发生时，代替原来的加密参数重新开始身份认证与密钥协商。

在本文方案中，将传感器采集网络中的数据发送方通信终端单元称为“终端T”，连接核心网络的网关接收方称为“网关G”。协议中使用的符号含义见表1。

 

表1 协议中使用的符号及含义

  

符号含义TID终端T的固定身份IDDIDT、DIDG分别表示T、G的一次性动态IDr、roT和G之间当前、之前的预共享密钥h(x)单向哈希函数PRNG()伪随机数生成器i、j数据传输过程中的会话数及轮数⊕异或运算符‖按位串联符ROT(x,y)将x循环左移y位K通信过程中的当前加密密钥Ko旧加密密钥,即上一次使用的加密密钥KoL,KoR分别表示旧加密密钥左、右半部分Ri、Rm分别表示终端T在第i、m次会话中产生的随机数Ex(y)表示使用x作为密钥对y进行加密Dx(y)表示使用x作为密钥对y进行解密MT、MG分别表示T、G发送的数据报文

2.1 DID 的计算方法

在协议交互过程中，双方都使用DID作为身份认证的凭据，计算方法如下

DIDT=h[ROT(KoL,i‖j)]DIDG=h[ROT(KoR,i‖j)]

从上式可以看出，DID由上次协商的密钥Ko，以及当前协议交互的会话数i及轮数j，通过单向哈希函数生成，能充分保证交互过程中的新鲜性，即使某一轮的DID数值及其生成参数全部泄露，敌手也无法猜出任何之前生成的DID值，在一定程度上保护了系统的安全。

C钢渣和S钢渣在100～1000 ℃有较好的热稳定性，钢渣的主要构成元素有氧、碳、铁、钙、硅等元素。在800 ℃空气环境中，试验载荷为1500 g，旋转速度为588 r/min，旋转半径为4 mm，进行120 min摩擦试验，C钢渣的摩擦系数为0.26～0.43，平均为0.343，具有较低的摩擦系数；S钢渣的摩擦系数为0.22～0.47，平均为0.312。C钢渣和S钢渣在摩擦试验中，几乎没有质量损失，抗磨损性能良好。钢渣的磨损是由疲劳磨损、粘着磨损、磨粒磨损等多种磨损机制综合作用的结果。

2.2 协议的初始化阶段

初始状态下，对每一个终端，网关记录其身份凭据TID,确定要使用的哈希函数h(x)及伪随机数生成器PRNG()，随机生成一个预共享密钥r，并令Ko=Ki=ro=r。 网关在数据库中为该终端储存其记录<TID,r,ro,K,Ko>，并将<TID,r,ro,K,Ko>加载到终端T。

2.3 双向身份认证及密钥协商

协议在第i轮中的双向身份认证及密钥协商流程如图1所示。具体步骤描述如下：

  

图1 密钥协商过程

步骤1 终端T计算DIDT=h[ROT(KoL,i‖1)]；产生随机数Ri，并计算x=Ri⊕r， y=Ek(TID‖x)； 将Hello信息、DIDT、y值传送给网关G。

坚持评价的客观公正性原则，尊重客观规律，讲求科学性。首先，政策质量评价人员要克服主观随意的片面性，避免各种先入为主的观念，对于来自外部的愿望和意图，政策质量评价人员应遵循实事求是的精神加以鉴别，不受其主观性和片面性的干扰，不违心地对拟评政策进行评价。其次，政策质量评价人员深入调查研究，全面系统地掌握可靠的信息资料。不进行深入的调查研究或在调查研究过程中不下真功夫，就难以认识客观事物及其客观规律，会落入主观性和片面性的窠臼。这条原则对政策质量评价人员的思想、工作、职业道德作风提出了最基本的要求。只有坚持政策质量评价工作的客观性原则，才有可能保证政策质量评价的公正性和科学性。

步骤2 网关G收到终端T发来的信息后，遍历数据库，通过将各终端记录中的Ko值代入DIDT的计算公式h[ROT(KoL,i‖1)]， 查找是否有该终端的信息，若没有找到，则认证失败，中止协议，退出连接。若找到该终端的记录，则使用相应的密钥K解密y，Dk(y)=Dk(Ek(TID‖x))=TID‖x， 得到TID及x值。通过TID与数据库中记录的对比，进一步确认终端T的身份。计算Ri=x⊕r， 计算DIDG=h[ROT(KoR,i‖1)]， Ack=h(DIDG‖TID‖Ri)， 更新加密密钥Ko=K、K=h(K⊕Ri)。将DIDG、Ack发送到终端T。

步骤3 终端T计算DIDG=h[ROT(KoR,i‖1)]、 Ack=h(DIDG‖TID‖Ri)， 验证发来的DIDG、Ack值，若验证失败，则发送警报信息，并退出连接，终止协议过程；若验证成功，则更新密钥，准备数据的发送。

2.4 数据加密传输过程

S7：T poss Ri

  

图2 加密数据的传输过程

步骤1 终端T计算DIDT=h[ROT(KoL,i‖j)]， 使用新协商的密钥K的计算t=EK(DIDT‖MT)， 计算哈希散列值H1=h[DIDT‖TID‖t]， 将DIDT、t、H1发送给网关G。

步骤2 网关G收到信息后，与2.3节中类似，通过遍历数据库查找Ko值并计算的方式，对代表终端T身份的DIDT进行认证；若认证通过，则计算H1=h[DIDT‖TID‖t]， 验证终端T发来的H1值是否正确；若H1正确，则使用密钥K解密t，Dk(t)=Dk(EK(DIDT‖MT))=DIDT‖MT， 得到DIDT、MT，进一步核对DIDT值无误后，MT即为终端T发来的消息。

网关G使用终端T对应的密钥Ko计算DIDG=h[ROT(KoR,i‖j)]， g=EK(DIDG||MG)， 计算哈希散列值H2=h[DIDG‖TID‖g]， 将DIDG、g、H2发送给终端T。

2.2 肾功能正常组与肾功能异常组血清Cys-C、Hcy及尿mALB水平比较 肾功能异常组孕妇血清Cys-C、Hcy及尿mALB水平均高于肾功能正常组，差异有统计学意义(P<0.05)。见表2。

步骤3 终端T计算DIDG=h[ROT(KoR,i+j)]、 H2=h[DIDG‖TID‖g]，验证网关G发来的DIDG、H2是否正确；若DIDG、H2通过验证，使用密钥K解密g， Dk(g)=Dk(EK(DIDG‖MG))=DIDG‖MG， 核对DIDT，若无误，MG即为网关G发来的消息。

2.5 预共享密钥更新过程

根据预设的条件，当经过了一定的消息会话时间、轮数或其它必要情况时，由终端T请求启动预共享密钥的更新。假设在第m次会话中触发更新，则具体过程如图3所示，更新过程与2.3中的过程相似，此处不再赘述。

  

图3 预共享密钥更新过程

3 基于GNY逻辑模型的安全性证明

GNY逻辑由宫力等提出，是一种BAN逻辑的扩展和改进，其逻辑分析方法比BAN逻辑更加全面，能够分析更多种类的协议[12]。GNY逻辑的介绍、语法及推理规则详见文献[13]，本文中的逻辑推理规则及协议形式化证明的书写形式遵循了文献[13]中的方式。

3.1 协议形式化描述

假设T代表终端，G代表网关，根据GNY逻辑解析算法，将协议的密钥协商过程与数据加密传输过程描述如下：

M1：G istold*DIDT,*{*TID,*Ri}KT believes fresh(Ri)

M2：T istold*DIDG,*H(*<TID>,Ri)

根据S4、S5、P2得到

M4：T istold *DIDG,*{DIDG，*MG}K,*H(TID，{DIDG，MG}K)

S15：G believes T controls T believes*

3.2 初始化假设和证明目标

在协议初始化运行时，假设以下公式是成立的：

S1：G poss(i‖j)

根据(7)、(8)、I6可得

S3：G poss r,TID

S4：T poss(i‖j)

S5：T poss K,Ko,KoL,KoR

S6：T poss r,TID

协议在第i次会话，第j轮的加密数据传输过程如图2所示。具体步骤描述如下：

S8：G believes fresh(i‖j)

S9：T believes fresh(i‖j)

S10：T believes fresh(Ri)

 

 

 

 

其中DIDT=h(F(KoL,i‖j))， DIDT=h(F(KoR,i‖j))。

S16：G believes T controls Ri

S17：G believes reco(Ri)

以上假设中，S1—S7表示终端T与网关G的拥有，S8—S9表示对会话数与轮数相结合的值的新鲜性的信任，S10表示终端对其生成随机数的新鲜性的信任，S11—S14表示它们彼此共享K,Ko,r,TID，S15表示网关相信终端是诚实可信的，S16表示相信终端对随机数Ri具有管辖权，S17表示网关相信Ri是可识别的。

证明的目标主要有两个，一是证明是密钥协商过程中，双方都相信对方拥有更新了的、新鲜的密钥；二是证明在数据加密传输过程中，双方都收到了有效的、新鲜的消息。

3.3 协议证明

协议的证明是通过列出收到各消息后的断言来进行的，证明过程中用到的告知规则T、拥有规则P、新鲜性规则F、消息解释规则I等规则标识及信息详见文献[13]。

消息1：

根据初始假设S8、规则F1得到

(1)G believes fresh(F(KoL,i‖j))

M3：G istold*DIDT,*{DIDT，*MT}K,*H(TID，{DIDT，MT}K)

(2)G poss(F(KoL,i‖j))

根据(1)、(2)、F10得到

“易非，我小学毕业，没读什么书……这你是知道的，可我希望，你会永远知道，有一个大哥哥在不远处关心着你，永远！”

(3)G believes fresh(h(F(KoL,i‖j)))

实验教学实践表明，电子信息专业的高年级学生能将图像处理的相关直方图理论作为独立的知识点进行分析，并沿着建立数学模型、设计算法和编程实现的思路完成实验题目，较好地锻炼了学生的创造性思维能力．

根据DIDT的计算规则，可得

(4)G believes fresh(DIDT)

(2)邀请老党员参加一个或几个学生支部“三会一课”，加强对学生党员组织生活的指导，讲好党课，做好党建重点任务，并计划扩展到邀请校内外有丰富经验的老党务工作者。

根据(4)、F1可得

(5)G believes fresh(*DIDT,*{*TID,*Ri⊕r}K)

根据(5)、M1、S15、J2可得

(6)G believes T believes fresh(Ri)

根据(6)、S16可得

看你的创作轨迹，万行长诗《鬣狗公主娜比》与50万字的长篇小说《德克萨斯》，两者几乎是并行交叉完成。你曾说，写历史长篇是一件非常痛苦的事情，但你很享受不断改变自己的过程，因为这除了考验人的意志力，更时刻检验作者对历史文化艺术的独特视角与卓越见解。一部作品的完成，就是一个全新的超越，会倍有成就感。

(7)G believes fresh(Ri)

695 Clinical characteristics of vestibular migraine with change in head magnetic resonance imaging signals: a report of 90 cases

根据S17、R1、M1、S2、S13、(7)、F1、I1、I7可得

(8)G believes T said Ri

S2：G poss K,Ko,KoL,KoR

天要亮时，思雨才迷糊了一小觉。起床洗漱后，还是觉得昏昏沉沉。他去餐厅用早餐时，那些熟悉的服务员们，看他的眼神有些异样。在餐厅遇到了小林经理，小林经理也只冲他讪讪地笑了笑。没有像过去那样同他热情招呼，或简单说几句话什么的。思雨心里明白了八九分。他的心里很不是滋味。简单用完早餐走出餐厅时，他在心里做了个决策：以后公司的定点宾馆应该换一家了。他在这里已经背了一个很大的黑锅。

(9)G believes T poss Ri

根据(7)、K=h(K⊕Ri)、 S17、F1、F10可得

(10)G believes fresh(K)

初中教学水平与质量的高低将会直接关系到每一名初中生在中高过程中的综合成绩，同时对于他们而言良好的数学学习习惯同样也会为其日后发展奠定更加夯实的基础。特别是在新课改背景下，初中数学阶段的教学模式更是遇到了一定的教学困境，每一名教师都应当结合新时期下的教学环境来制定出科学而又有效的教学方法来展开调节，以此来为更多的初中生在数学学习的过程中带来更多可能。

(1)计算量过大

(11)G believes T poss K

第三，善始善终，重在坚持。全面从严治党不是一蹴而就的事情。当前，从严治党取得了一定的成绩，在成绩面前，必须保持清醒的认识，要明白全面从严治党只有进行时，没有完成时。我们党面临着“四大危险”与“四大考验”，党内外环境复杂，这就更加说明了全面从严治党是时代的需求，也是要长期坚持的任务与工作。即使取得了巨大的成就，也不能骄傲，更不能放弃或者忽视全面从严治党的持久性。

消息2：

根据S6、S7、P2

(12)T poss(TID,Ri)

根据S10、F1可得

(13)T believes fresh(TID,Ri)

根据M2、S12、(12)、(13)、I3、I7可得

(14)T believes G said Ri

根据(14)、S10、I6可得

(15)T believes G poss Ri

根据(15)、K=h(K⊕Ri)、 F1、F10可得

(16)T believes G poss K

根据S10、K=h(K⊕Ri)、 F1、F10可得

(17)T believes fresh(K)

从以上证明的(7)、(8)可以看出，G相信其从T处获得了生成K的重要的新鲜参数Ri。从(10)、(11)可以看出G相信其新生成的密钥K是新鲜的，并且T也拥有相同的密钥K。从(16)可以看出，T相信G已经拥有了新密钥K,并且相信该K是新鲜的，达到了预期的第一目标。

消息3：

与(4)的推导过程相同，可得到

(18)G believes fresh(DIDT)

根据(18)、F1可得

(19)G believes fresh(DIDT,MT)

根据DIDT的计算规则、S1、P2、R6、R5可得

(20)G believes reco(DIDT)

根据M3、S2、S13、(20)、(19)、I1可得

(21)G believes T said(DIDT,MT)

消息4：

与(18)到(21)的推导过程相同，可得到

(22)T believes fresh(DIDG,MG)

(23)T believes G said(DIDG,MG)

从以上证明的(19)、(21)、(22)、(23)中可以看出，G和T分别收到了对方发出的有效的、新鲜的消息，达到了第二目标。

通过以上基于GNY逻辑模型的形式化分析与证明，认为该协议在基本假设的基础上，实现了预定的设计目标。

4 协议的安全性分析与性能比较

4.1 安全性分析

传感器采集网络的安全威胁主要来自终端和网络之间的传输链路。假设在该链路上的一切消息都在敌手的控制之下，敌手可以对消息进行任意的处理，包括读取、插入、删除、篡改、延时发送、重放任何消息，也可以随时发起与终端或网关的任意对话，包括假冒、重放、通信量分析、拒绝服务及前向安全性等攻击类型。

(1)假冒攻击

在所提协议中，使用了一次性动态ID(DID)作为身份验证凭据，每一次交互，不管是密钥协商还是数据发送，都使用不同的DID值。DID值以旧加密密钥Ko、当前交互的会话数i及轮数j作为参数，使用单向哈希函数生成，这些参数并不在交互过程中直接传递，也不能由明文传递的参数生成，因而敌手无法掌握，也就无法生成有效的DID值。当敌手使用无效的DID值作为身份凭据进行攻击时，通信双方都可以发现并进行处理，因而敌手无法实施假冒攻击。

(2)重放攻击

如前所述，协议的每一次交互都使用不同的DID值。当敌手将使用过的数据包再次重放给终端或网关时，由于终端或网关所存储的DID值的生成参数交互会话数、轮数及旧加密密钥已经发生变化，因而即使重放的是刚刚发送过的数据包，也无法通过终端或网关的身份认证，有效地防止了重放攻击的发生。

(3)通信量分析攻击

所提协议中，除了在密钥协商阶段使用了Hello标记，在预共享密钥阶段中使用了Update标记外，传递的信息均为加密过的数据或哈希散列值，敌手无法从通信过程中的通信量中获取有价值的明文消息，避免了通信量分析的潜在威胁。

(4)拒绝服务攻击

考虑敌手可能发动两种类型的拒绝服务攻击，一是发送大量的伪造数据包，这种情况下，因其无法猜出有效的身份认证DID值，因而会被全部丢弃。二是敌手恶意阻断密钥协商过程中的第二轮交互(即M2消息)，导致终端未能更新密钥K和Ko，出现密钥不同步的问题，会导致下一次的身份认证失败。此时终端的加密密钥K与网关的旧加密密钥Ko是相同的，因而终端在验证无法通过时，下次尝试使用K代替Ko作为参数生成DID值，即可通过身份验证。因此敌手无法通过这两种方法对协议系统使用拒绝服务攻击。

(5)前向安全性

所提协议中，如果加密密钥K、Ko泄露，敌手就可以实现对本次会话中传送的信息MT、MG的监听；如果再有会话数i及轮数j泄露，敌手就可以构造出DID值，模拟终端或网关进行假冒攻击；如果继续有预共享密钥r泄露，则敌手可以控制整个通信过程。

协议中新的加密密钥的生成规则为K=h(K⊕Ri)， 由于哈希函数的单向性，从K无法倒推出Ko，由于随机数Ri的存在，从交互历史中的某一Ko也无法推出K，因而在所提协议中，即使有加密密钥的泄露，甚至当前的全部秘密参数泄露，敌手也无法回溯协议系统中过去的认证与通信信息，部分实现了前向安全性。

4.2 性能比较

所提协议与部分无证书两方密钥协商协议、基于哈希链的协议及其它使用一次ID的协议之间的性能对比见表2。其中文献[7]协议的性能数据仅包括该协议中的认证与建立密钥部分。所提协议更关注存储与计算能力较弱的传感器终端，故性能数据为终端一方的数据，其它协议中，通信双方为对等体，性能数据为其中任一方的数据。表2中l表示所有变量的长度，H表示哈希运算，HC表示哈希链的运算，E表示对称加密运算，D表示对称解密运算，PRNG表示伪随机数发生器，DH表示Diffie-Hellman密钥交换算法，Ee表示群上的双线性运算，对于异或、移位等计算，因计算量相对小很多，本文将其忽略。

 

表2 协议的性能比较

  

协议文献[1]文献[7]文献[9]文献[10]本文协议存储空间15l8l4l15l8l交互次数43344通信量8l10l9l10l7l计算量3Ee+2H2Ee+2HC6PRNG+1DH8H+2E+2D+1DH7H+2E+2D抵抗假冒攻击是是否否是抵抗重放攻击是是否是是前向安全性是部分否部分部分

从比较的结果来看，文献[1]无证书两方密钥协商协议的安全性最好，但其在密钥协商过程中需要与第三方KGC进行交互，且使用了复杂的双线性运算，明显不适合于传感器采集网络。文献[7]基于哈希链的协议中同时使用了哈希链与双线性运算，远远超出了传感器终端单元的计算能力。文献[9]P-SIGMA协议中使用存储空间及交互次数都较少，但其仅实现了密钥的交换，未考虑数据的传输过程，则生成的一次性ID完全依靠伪随机数，安全性较低。文献[10]SIGNAL协议在安全性方面有了较大的提高，但其存储空间、通信量、计算量都有所增加，且在计算中使用了基于指数运算的Diffie-Hellman密钥交换算法，仍然不适用于传感器采集网络。本文所提协议精简了存储参数，放弃了双线性、Diffie-Hellman等算法，在旧加密密钥参与的情况下，通过一次哈希运算生成一次性ID，预共享密钥的加入增强了系统的健壮性，这些措施的使用使得本文所提协议在存储空间、通信量、计算量都降低或大幅降低的情况下，安全性和健壮性反而增强，更适合在传感器采集网络中使用。

5 结束语

本文在分析国内外密钥协商协议的基础上，针对目前在传感器采集网络中缺乏适用安全通信协议的情况，提出了一种基于动态一次性ID、一次一密的轻量级传感器采集网络安全通信协议。对协议的双向身份认证及密钥协商过程、数据加密传输过程、预共享密钥更新过程进行了详细的描述，并采用GNY逻辑模型对协议的安全性进行了形式化的证明。本文所提协议在性能方面、安全性方面都能够很好地满足传感器采集网络的需求，具有负载小、效率高、安全性好的特点，也可适用于其它类似的资源受限环境。当然，在安全性方面，其不能与使用公钥系统的、占用大量资源的安全协议相比，但一个足够鲁棒的、能够保证在有效的生命周期内不被破解的安全体系是本文更现实的选择。

参考文献：

[1]Ghoreishi SM,Razak SA,Isnin IF,et al.New secure identity-based and certificateless authenticated key agreement pro-tocols without pairings[C]//International Symposium on Biometrics and Security Technologies.IEEE,2015:188-192.

[2]Cheng D,Liu J,Guan Z,et al.A one-round certificateless authenticated group key agreement protocol for mobile ad hoc networks[J].IEICE Transactions on Information and Systems,2016,E99.D(11):2716-2722.

[3]Gu X,Xu T,Zhou W,et al.A pairing-free certificateless authenticated group key agreement protocol[C]//IEEE Intl Conf on High Performance Computing and Communications,IEEE 6th Intl Symp on Cyberspace Safety and Security,IEEE 11th Intl Conf on Embedded Software and Syst,2014:510-513.

[4]Farouk A,Miri A,Fouad MM,et al.Efficient pairing-free,certificateless two-party authenticated key agreement protocol for grid computing[C]//4th International Conference on Di-gital Information and Communication Technology and It’s App-lications.IEEE,2014:279-284.

[5]Bittl S.Efficient construction of infinite length hash chains with perfect forward secrecy using two independent hash functions[C]//International Conference on Security and Cryptography,2014:213-220.

[6]Kurihara Y,Soshi M.A novel hash chain construction for simple and efficient authentication[C]//Conference on Privacy,Security and Trust,Pst,2016.

[7]WANG Yuejiao,SUN Dazhi.Analysis and improvement of hash-based authentication protocol for wireless sensor networks[J].Computer Engineering and Design,2014,35(2):430-434(in Chinese).[王月娇,孙达志.无线传感器网络中基于密码hash函数认证协议[J].计算机工程与设计,2014,35(2):430-434.]

[8]Jan MS,Afzal M.Hash chain based strong password authen-tication scheme[C]//International Bhurban Conference on Applied Sciences and Technology.IEEE,2016.

[9]Krawczyk H.SIGMA:The ‘SIGn-and-MAc’ approach to authenticated Diffie-Hellman and its use in the IKE protocols[C]//Advances in Cryptology-crypto,International Cryptolo-gy Conference,2003:400-425.

[10]Imamoto K,Sakurai K.A design of Diffie-Hellman based key exchange using one-time ID in pre-shared key model[C]//International Conference on Advanced Information Networking and Applications,2004:327-332.

[11]ZHOU Yanwei,YANG Qiliang,YANG Bo,et al.A Tor anonymous communication system with security enhancements[J].Journal of Computer Research and Development,2014,51(7):1538-1546(in Chinese).[周彦伟,杨启良,杨波,等.一种安全性增强的Tor匿名通信系统[J].计算机研究与发展,2014,51(7):1538-1546.]

[12]ZHANG Yali,GUO Yajun,CUI Jianqun,et al.New ultra-lightweight RFID authentication protocol[J].Computer Science,2017,44(1):183-187(in Chinese).[张亚力,郭亚军,崔建群,等.一种新的超轻量级RFID认证协议[J].计算机科学,2017,44(1):183-187.]

[13]LEI Xinfeng,XUE Rui.Logical methods for cryptographic protocol analysis[M].Beijing:Science Press,2013:108-122(in Chinese).[雷新锋,薛锐.密码协议分析的逻辑方法[M].北京:科学出版社,2013:108-122.]