耿君峰，郁 濱

（信息工程大學(xué)三院，河南 鄭州450001）

0 引 言

藍(lán)牙［1，2］規(guī)范在底層協(xié)議中設(shè)計(jì)了認(rèn)證和加密機(jī)制，但研究表明，PIN 碼配對(duì)協(xié)議易受到字典攻擊［3］；安全簡(jiǎn)單配對(duì)協(xié)議因存在多種關(guān)聯(lián)模型且設(shè)備I／O 信息易篡改，易受到中間人攻擊和中繼攻擊等攻擊［4，5］；E0 算法因密鑰流序列的相關(guān)性易受到攻擊［6］。這些安全機(jī)制不能保證加密密鑰和加密算法安全。對(duì)此，文獻(xiàn) ［7］提出通過帶外傳輸方式來提高藍(lán)牙簡(jiǎn)單配對(duì)協(xié)議的安全性，但該方案需要一個(gè)安全可靠的帶外通道，易受設(shè)備性能和環(huán)境條件限制。文獻(xiàn) ［8］在簡(jiǎn)單配對(duì)協(xié)議中設(shè)計(jì)了射頻指紋認(rèn)證過程，有效抵抗了地址假冒攻擊和中間人攻擊，但該方案在每次通信過程中必須有第三方服務(wù)器進(jìn)行射頻指紋信息認(rèn)證。為增強(qiáng)方案的通用性，一些藍(lán)牙傳輸安全增強(qiáng)方案［9，10］在配對(duì)過程后，分別通過公鑰密碼算法和對(duì)稱密碼算法實(shí)現(xiàn)了加密密鑰協(xié)商和分組信息加密傳輸，增強(qiáng)了藍(lán)牙通信的安全性，但其加密后的分組信息與設(shè)備特征信息無關(guān)。外部攻擊者能夠假冒主設(shè)備，實(shí)施地址假冒攻擊和分組偽造攻擊，內(nèi)部攻擊者也能夠否認(rèn)自身已發(fā)出的分組而無法被證實(shí)。

解決上述安全問題的關(guān)鍵是增強(qiáng)分組凈荷信息與藍(lán)牙設(shè)備特征信息的相關(guān)性。文獻(xiàn) ［11］指出基于身份的公鑰密碼體制能夠?qū)崿F(xiàn)傳輸信息與設(shè)備身份的綁定，是最適合此類無線傳感器網(wǎng)絡(luò)的公鑰體制。但大多基于身份的無證書簽密方案［12，13］采用橢圓曲線上的雙線性對(duì)或指數(shù)運(yùn)算實(shí)現(xiàn)，計(jì)算開銷較大。為降低計(jì)算復(fù)雜度，文獻(xiàn) ［14，15］提出并改進(jìn)了一種無雙線性對(duì)的無證書簽密方案，其密鑰生成、簽密和解密驗(yàn)證等過程都是通過橢圓曲線上的點(diǎn)乘運(yùn)算完成的，但該方案是一個(gè)通用簽密方案，不能直接應(yīng)用于藍(lán)牙協(xié)議之中。

綜上所述，本文依據(jù)上述無證書簽密方案，建立基于藍(lán)牙設(shè)備地址的分組凈荷簽密模型，實(shí)現(xiàn)分組凈荷信息與藍(lán)牙設(shè)備地址的綁定。在此基礎(chǔ)上，結(jié)合藍(lán)牙通信協(xié)議特點(diǎn)，設(shè)計(jì)藍(lán)牙分組凈荷簽密方案，實(shí)現(xiàn)藍(lán)牙設(shè)備間分組凈荷信息的加密傳輸，其能通過分組凈荷信息驗(yàn)證分組來源，保證分組信息的真實(shí)性。

1 分組凈荷簽密模型建立

為方便表述，本文使用的符號(hào)及含義見表1。

表1 本文使用的符號(hào)及含義

其中，模型涉及的橢圓曲線密碼算法參數(shù)為｛p，q，E（Fp），G，P，H1，H2，H3｝。3個(gè)安全哈希函數(shù)分別為H1：｛0，1｝＊×G×G →Z＊q，H2：｛0，1｝＊→Z＊q和H3：G →｛0，1｝＊ 。H1是一個(gè)將藍(lán)牙設(shè)備地址映射為密鑰空間中某個(gè)元素的單向鑰控哈希函數(shù)，實(shí)現(xiàn)藍(lán)牙設(shè)備地址與設(shè)備認(rèn)證公鑰的綁定；H2是一個(gè)將傳輸數(shù)據(jù)映射為密鑰空間中某個(gè)元素的哈希函數(shù)，生成藍(lán)牙設(shè)備傳輸信息的摘要；H3是一個(gè)將橢圓曲線上某個(gè)點(diǎn)映射為二進(jìn)制數(shù)據(jù)流的哈希函數(shù)，用于明文信息的加解密過程。

1.1 模型假設(shè)

在基于身份的無證書密碼體制下，通信雙方的密鑰信息由3部分組成，分別為用戶選擇的長(zhǎng)期私鑰、密鑰生成中心 （key generation centre，KGC）分配的設(shè)備認(rèn)證私鑰以及會(huì)話期間用戶隨機(jī)選擇的臨時(shí)會(huì)話私鑰。因此，本文根據(jù)方案需要，現(xiàn)作如下假設(shè)：

（1）用戶不能修改藍(lán)牙設(shè)備地址；

（2）設(shè)備認(rèn)證密鑰由可信第三方離線服務(wù)器生成并分配。

1.2 模型建立

根據(jù)上文設(shè)置的橢圓曲線密碼算法，隨機(jī)選擇秘密值z(mì)∈Z＊q，計(jì)算Z ＝zP 并保存（z，Z）至離線服務(wù)器作為其密鑰。在此基礎(chǔ)上，本文建立了基于藍(lán)牙設(shè)備地址的分組凈荷簽密模型，如圖1所示。

圖1 基于藍(lán)牙設(shè)備地址的分組凈荷簽密模型

在上述模型中，Qi和Qj代表兩個(gè)正在通信的藍(lán)牙設(shè)備，i∈N，j∈N。m 為兩設(shè)備傳輸?shù)姆纸M凈荷明文信息，c為處理后的密文信息。

每個(gè)藍(lán)牙設(shè)備在通信過程中擁有的密鑰信息為｛d1，d2，d3，D1，D2，D3｝。其中｛d1，D1｝和｛d3，D3｝分別是該藍(lán)牙設(shè)備生成的長(zhǎng)期密鑰和臨時(shí)密鑰，用于信息簽密過程；｛d2，D2｝是離線服務(wù)器為藍(lán)牙設(shè)備分配的與其藍(lán)牙設(shè)備地址綁定的設(shè)備認(rèn)證密鑰，用于認(rèn)證分組信息來源。藍(lán)牙設(shè)備長(zhǎng)期公鑰和臨時(shí)公鑰分別由D1＝d1P 和D3＝d3P 計(jì)算得出，其中d1∈Z＊q和d3∈Z＊q都是藍(lán)牙設(shè)備隨機(jī)選擇的秘密值。藍(lán)牙設(shè)備認(rèn)證密鑰由D2＝rP 和d2＝r＋zH1（A，D1，D2）計(jì)算得出，其中A 為其藍(lán)牙設(shè)備地址，r∈Z＊q為離線服務(wù)器隨機(jī)選擇的秘密值。

信息傳輸過程中，（h，s）是藍(lán)牙設(shè)備Qi對(duì)明文信息m 的簽名，通過h＝H2（m）和s＝di3／（di1＋di2＋h）計(jì)算得出。Vi∈G 和Vj∈G 是臨時(shí)變量，分別由通信雙方各自計(jì)算得出，用于生成加解密過程中的二進(jìn)制密鑰流序列，并且Vi＝Vj。藍(lán)牙 設(shè) 備Qj能 夠 通 過Di3＝s（Di1＋Di2＋h′1Z＋hP）來驗(yàn)證分組信息來源是否為藍(lán)牙設(shè)備Qi，進(jìn)而決定是否接收該分組。

1.3 模型安全性分析

引理1 橢圓曲線離散對(duì)數(shù)問題 （ECDLP）：G 是橢圓曲線E（Fp）上階為q的一個(gè)循環(huán)群，P 是群G 的一個(gè)生成元，對(duì)任意未知的x∈Z＊q，已知P 和X ＝xP ∈G，計(jì)算x 是不可行的。

基于上述引理，可證明如下定理。

定理1 已知函數(shù)H1和參數(shù)A，D1，D2，D3，求解d1，d2，d3是計(jì)算上不可行的。

證明：因?yàn)镈1＝d1P，D3＝d3P 和D2＝r2P，由引理可知，已知D1，D2，D3，P 求解d1，d3，r2是ECDLP問題，計(jì)算上是不可行的。由于r2和z 未知，則通過d2＝r2＋zH1（A，D1，D2）計(jì)算d2是不可行的。

同理可以證明定理2。

定理2 已知函數(shù)H1和A，d2，D1，D2，求解z是計(jì)算上不可行的。

定理3 已知函數(shù)H2和參數(shù)h，A，D3，求解m 是計(jì)算上不可行的。

證明：因?yàn)镠2是哈希函數(shù)，h＝，由哈希函數(shù)的單向性可知，已知h，A，D3求解m 是計(jì)算上不可行的。

推論1 攻擊者求解某藍(lán)牙設(shè)備或離線服務(wù)器的私鑰信息等價(jià)于求解橢圓曲線離散對(duì)數(shù)問題。

證明：攻擊者通過監(jiān)聽某藍(lán)牙設(shè)備通信過程能夠獲得其藍(lán)牙設(shè)備地址和公鑰信息，由定理1可知，求解該設(shè)備的私鑰信息是ECDLP問題，是計(jì)算上不可行的。另外，攻擊者根據(jù)自身設(shè)備的藍(lán)牙設(shè)備地址和密鑰信息求解離線服務(wù)器的私鑰，由定理2可知，也是ECDLP問題，是計(jì)算上不可行的。證畢。

推論2 攻擊者偽造某藍(lán)牙設(shè)備的分組信息等價(jià)于求解離線服務(wù)器的私鑰，是計(jì)算上不可行的。

證明：若攻擊者欲偽造某藍(lán)牙設(shè)備的分組信息，必須獲得被偽造設(shè)備的認(rèn)證密鑰，才能夠通過接收方設(shè)備的分組驗(yàn)證。而認(rèn)證密鑰是由離線服務(wù)器根據(jù)被偽造設(shè)備的藍(lán)牙設(shè)備地址生成的，攻擊者只有獲得離線服務(wù)器私鑰，才可成功偽造分組。因此，攻擊者偽造某藍(lán)牙設(shè)備分組等價(jià)于求解離線服務(wù)器私鑰，由推論1可知，這是計(jì)算上不可行的。證畢。

推論3 攻擊者得到藍(lán)牙設(shè)備間傳輸?shù)拿魑男畔⒌葍r(jià)于求解通信雙方的設(shè)備私鑰，是計(jì)算上不可行的。

證明：由定理3可知，攻擊者無法通過傳輸?shù)男畔⒄猦獲得明文信息m 。若攻擊者欲得到明文信息m，必須計(jì)算出通信設(shè)備雙方的臨時(shí)變量Vi＝di3（Dj1＋Dj2＋H1（Aj，Dj1，Dj2）Z）和Vj＝s（dj1＋dj2）（Di1＋Di2＋H1（Ai，Di1，Di2）Z＋hP），即需要得到通信雙方的私鑰di3或dj1，dj2。因此，攻擊者獲得藍(lán)牙設(shè)備間傳輸?shù)拿魑男畔⒌葍r(jià)于求解通信雙方的設(shè)備私鑰信息，由推論1 可知，這是計(jì)算上不可行的。證畢。

2 分組凈荷簽密方案設(shè)計(jì)

依據(jù)上文建立的模型，本節(jié)從藍(lán)牙設(shè)備密鑰分配和分組簽密傳輸兩個(gè)階段入手，設(shè)計(jì)了藍(lán)牙分組凈荷簽密方案。

2.1 密鑰分配協(xié)議設(shè)計(jì)

離線服務(wù)器為每個(gè)藍(lán)牙設(shè)備分配認(rèn)證密鑰，用以判斷設(shè)備身份，設(shè)計(jì)的藍(lán)牙設(shè)備密鑰分配協(xié)議如圖2所示。

協(xié)議具體流程如下：

圖2 藍(lán)牙設(shè)備密鑰分配協(xié)議

（1）離線服務(wù)器通過查詢尋呼過程獲得藍(lán)牙設(shè)備Qi的設(shè)備地址Ai，并通過配對(duì)過程建立起邏輯鏈路。

（2）藍(lán)牙設(shè)備Qi隨機(jī)選擇秘密值di1∈Zq＊，計(jì)算Di1＝di1P，并發(fā)送Di1至離線服務(wù)器。

（3）離線服務(wù)器收到Di1分組后，隨機(jī)選擇秘密值ri∈Zq＊，計(jì)算Di2＝riP 和di2＝ri＋zH1（Ai，Di1，Di2）。在此基礎(chǔ)上，計(jì) 算（k1，k2）＝riDi1和k ＝di2k1modp，并 發(fā) 送k至藍(lán)牙設(shè)備Qi。其中，k，k1，k2是臨時(shí)變量。

（4）藍(lán)牙設(shè)備Qi收到該分組后，通過（k1，k2）＝di1Di2和di2＝kk1－1modp 解 密 得 到di2。之 后 驗(yàn) 證di2P ＝Di2＋H1（Ai，Di1，Di2）Z 是否成立。若成立則證明離線服務(wù)器分配的藍(lán)牙設(shè)備認(rèn)證私鑰di2有效，藍(lán)牙設(shè)備Qi接收該分組，得到設(shè)備公鑰（Di1，Di2）及對(duì)應(yīng)私鑰（di1，di2），密鑰分配成功；否則藍(lán)牙設(shè)備Qi拒絕接收該分組，密鑰分配失敗。

2.2 簽密傳輸協(xié)議設(shè)計(jì)

藍(lán)牙設(shè)備間進(jìn)行通信時(shí)，雙方能夠通按照簽密傳輸協(xié)議要求進(jìn)行數(shù)據(jù)傳輸。設(shè)計(jì)的簽密傳輸協(xié)議如圖3所示。

協(xié)議具體流程如下：

（1）藍(lán)牙設(shè)備Qi和Qj通過查詢尋呼過程獲得對(duì)方的藍(lán)牙設(shè)備地址Ai和Aj，并通過配對(duì)過程建立起邏輯鏈路，雙方交換公鑰信息Di1Di2和Dj1Dj2。

（2）當(dāng)設(shè)備Qi欲傳輸明文信息m 至Qj時(shí)，首先根據(jù)明文信息m 的長(zhǎng)度選擇合適的數(shù)據(jù)分組。然后隨機(jī)選取di3∈Zq＊，計(jì)算Di3＝di3P 和h1＝H1（Aj，Dj1，Dj2），并結(jié)合當(dāng)前主設(shè)備藍(lán)牙時(shí)鐘生成設(shè)備Qi對(duì)m 的簽名（h，s），其中h＝H2（Di3Aiclk m），s＝di3／（di1＋di2＋h）。最后，計(jì)算Vi＝di3（Dj1＋Dj2＋h1Z）和c＝H3（Vi）⊕m，完成對(duì)m的加密操作，并發(fā)送信息clk h s c至設(shè)備Qj。

圖3 藍(lán)牙設(shè)備簽密傳輸協(xié)議

（3）設(shè)備Qj收到分組clk h s c后，先后計(jì)算h′1＝H1（Ai，Di1，Di2）和Vj＝s（dj1＋dj2）（Di1＋Di1＋h′1Z＋hP），通過解密操作m ＝c⊕H3（Vj）恢復(fù)出明文信息。然后，設(shè)備Qj驗(yàn)證h ＝H2（s（Di1＋Di2＋h′1Z＋hP）Aiclk m）是否成立，若成立則設(shè)備Qj接收消息m ，交由上層協(xié)議處理；否則拒絕接收m，通知設(shè)備Qi重新加密傳輸該分組信息，并記錄下該設(shè)備的分組傳輸錯(cuò)誤次數(shù)。若錯(cuò)誤次數(shù)達(dá)到門限值，則認(rèn)為信道質(zhì)量太差或遭受了惡意攻擊，停止傳輸，并斷開連接。

3 理論分析及實(shí)驗(yàn)

3.1 理論分析

（1）方案安全性分析

依據(jù)模型設(shè)計(jì)的分組凈荷簽密方案繼承了模型的安全性，由推論1和推論3可知，方案可抵抗竊聽攻擊。由推論2可知，即使攻擊者通過修改藍(lán)牙設(shè)備地址來假冒其他藍(lán)牙設(shè)備，也無法偽造該設(shè)備的藍(lán)牙分組，因此，方案可抵抗分組偽造攻擊和主設(shè)備地址假冒攻擊。由于藍(lán)牙分組凈荷中含有發(fā)送方設(shè)備的特征信息，因此，藍(lán)牙設(shè)備不能否認(rèn)自己所發(fā)出的分組，方案可抵抗內(nèi)部藍(lán)牙設(shè)備的分組否認(rèn)攻擊。另外，方案在分組簽密傳輸過程中加入了當(dāng)前主設(shè)備藍(lán)牙時(shí)鐘信息，保證了分組的新鮮性，能夠有效抵抗重放攻擊。各方案安全性分析見表2，其中√表示可抵抗，×表示不可抵抗。

表2 各方案安全性分析

（2）方案計(jì)算開銷分析

文獻(xiàn) ［9］通過RSA 算法保證藍(lán)牙設(shè)備間加密密鑰的安全傳輸，而本文方案中藍(lán)牙設(shè)備的密鑰信息由離線服務(wù)器預(yù)先分配，當(dāng)藍(lán)牙設(shè)備間進(jìn)行通信時(shí)，只需交換雙方的公鑰信息即可，當(dāng)多個(gè)設(shè)備進(jìn)行通信時(shí)，能夠有效降低該過程的計(jì)算開銷。本文方案在藍(lán)牙分組傳輸過程中采用了公鑰密碼算法，而文獻(xiàn) ［9］則通過對(duì)稱密碼算法實(shí)現(xiàn)，因此，在分組凈荷加解密過程中，文獻(xiàn) ［9］的計(jì)算開銷比本文小。

文獻(xiàn) ［12］在加解密過程中共需進(jìn)行2次雙線性對(duì)運(yùn)算、2次點(diǎn)乘運(yùn)算和4次哈希運(yùn)算，而本文方案只需進(jìn)行6次點(diǎn)乘運(yùn)算和6次哈希運(yùn)算。由于橢圓曲線上雙線性對(duì)運(yùn)算、指數(shù)運(yùn)算和哈希運(yùn)算的計(jì)算復(fù)雜度分別是點(diǎn)乘運(yùn)算的約20倍、3倍和1倍［16］，因此，本文方案的計(jì)算開銷優(yōu)于文獻(xiàn) ［12］。

各方案的計(jì)算開銷比較見表3。

表3 各方案計(jì)算開銷比較

3.2 實(shí)驗(yàn)及結(jié)果分析

為測(cè)試方案性能，本文搭建了實(shí)驗(yàn)環(huán)境，如圖4所示。其中，射頻模塊選用PT8R1002 藍(lán)牙無線收發(fā)器，F(xiàn)PGA芯片選用ALTERA 公司的CycloneⅡEP2C20Q240C8，運(yùn)行藍(lán)牙底層協(xié)議和本文設(shè)計(jì)的分組凈荷簽密方案。計(jì)算機(jī)通過串口與FPGA 開發(fā)平臺(tái)相連，用于顯示實(shí)驗(yàn)結(jié)果。實(shí)驗(yàn)中，藍(lán)牙設(shè)備C作為離線服務(wù)器，生成和分配設(shè)備認(rèn)證密鑰；藍(lán)牙設(shè)備A 和B作為通信設(shè)備，按照方案要求進(jìn)行數(shù)據(jù)傳輸。

圖4 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)結(jié)果表明，藍(lán)牙設(shè)備A 和B 間采用DM5 分組進(jìn)行通信時(shí)，本文方案的凈荷加密和解密的速率分別為81.6 Kbps和80.4Kpbs。本文方案未對(duì)點(diǎn)乘運(yùn)算的優(yōu)化進(jìn)行研究，雖然降低了藍(lán)牙數(shù)據(jù)通信速率，但基本滿足嵌入式藍(lán)牙應(yīng)用需求，并能夠通過密文信息驗(yàn)證分組來源，提高分組傳輸過程的安全性。若選擇性能合適的FPGA 芯片并優(yōu)化點(diǎn)乘實(shí)現(xiàn)算法，將能夠大幅降低點(diǎn)乘運(yùn)算時(shí)間［17］，數(shù)十倍地提高本文方案的加解密速率，更加滿足藍(lán)牙通信需求。

4 結(jié)束語

本文在分析藍(lán)牙安全缺陷和現(xiàn)有安全方案的基礎(chǔ)上，提出了一種基于藍(lán)牙設(shè)備地址的分組凈荷簽密方案，保證了藍(lán)牙加密密鑰和加密過程的安全。方案通過綁定分組凈荷信息與藍(lán)牙設(shè)備地址，在分組凈荷處理過程中引入了設(shè)備認(rèn)證機(jī)制，能夠有效抵抗主設(shè)備地址假冒攻擊、否認(rèn)攻擊等。同時(shí)，方案對(duì)設(shè)備的存儲(chǔ)和運(yùn)算能力要求較低，適合于高安全領(lǐng)域的嵌入式藍(lán)牙應(yīng)用。

［1］Bluetooth SIG specification of the bluetooth system：Core package version 4.0 ［EB／OL］. （2009－12－17） ［2013－3－2］.http：／／www.bluetooth.org.

［2］Pandikirupa G，Nisha K，Vidhya V，et al.Advanced system for accessing electronic health records of patients using Android mobile and sensors ［J］.International Journal of Engineering Research ＆Technology，2013，4 （2）：639－643.

［3］Chaudhari P，Diwanji H.Enhanced SAFER＋algorithm for bluetooth to withstand against key pairing attack ［M］／／Advances in Computing and Information Technology.Berlin：Springer Berlin Heidelberg，2012：651－660.

［4］Suomalainen J，Valkonen J，Asokan N.Security associations in personal networks：A comparative analysis［M］／／Security and Privacy in Ad－h(huán)oc and Sensor Networks.Berlin：Springer Berlin Heidelberg，2007：43－57.

［5］Barnickel J，Wang J，Meyer U.Implementing an attack on bluetooth 2.1＋secure simple pairing in passkey entry mode［C］／／Proceeding of IEEE 11th International Conference on Trust，Security and Privacy in Computing and Communications.IEEE，2012：17－24.

［6］ZHAN Yingjie，DING Lin，GUAN Jie.Guess and determine attack on E0 algorithm ［J］.Journal on Communications.2013，33 （11）：185－190 （in Chinese）. ［詹英杰，丁林，關(guān)杰.基于E0算法的猜測(cè)決定攻擊 ［J］.通信學(xué)報(bào)，2012，33（11）：185－190.］

［7］Sharmila D，Neelaveni R，Kiruba K.Bluetooth man－in－themiddle attack based on secure simple pairing using out of band association model［C］／／International Conference on Control，Automation，Communication and Energy Conservation.IEEE，2009：1－6.

［8］Pasanen S，Haataja K，Paivinen N，et al.New efficient rf fingerprint－based security solution for bluetooth secure simple pairing ［C］／／Proceedings of the 43rd IEEE Hawaii International Conference on System Sciences.IEEE，2010：1－8.

［9］Kakarla V，Govind N S.FPGA implementation of hybrid encryption algorithm based on triple DES and RSA in bluetooth communication ［J］.International Journal of Applied Research＆Studies，2012，1 （1）：113－117.

［10］Bhoopendra S R，Prashanna G S Y.An integrated encryption scheme used in bluetooth communication mechanism ［J］.International Journal of Computer Technology and Electronics Engineering，2012，1 （2）：68－71.

［11］Oliveira L B，Dahab R，Lopez J，et a1.Identity－based encryption for sensor networks ［C］／／Proceedings of the 5th Annual IEEE Internationa1 Conference on PerCom Workshops，2007：290－294.

［12］SUN Yinxia，LI Hui.Efficient certificateless hybrid signcryption ［J］.Journal of Software，2011，22 （7）：1690－1698（in Chinese）. ［孫銀霞，李輝.高效無證書混合簽密 ［J］.軟件學(xué)報(bào)，2011，22 （7）：1690－1698.］

［13］Xie Wenjian，Zhang Zhang.Certificateless signcryption without pairing ［J］.IACR Cryptology ePrint Archive，2010.

［14］LIU Wenhao，XU Chunxiang.Certificateless signcryption scheme without bilinear pairing ［J］.Journal of Software，2011，22 （8）：1918－1926 （in Chinese）. ［劉文浩，許春香.無雙線性配對(duì)的無證書簽密機(jī)制 ［J］.軟件學(xué)報(bào)，2011，22（8）：1918－1926.］

［15］HE Debiao.Security analysis of a certificateless signcryption scheme［J］.Journal of Software，2013，24 （3）：618－622（in Chinese）.［何德彪，無證書簽密機(jī)制的安全性分析 ［J］.軟件學(xué)報(bào)，2013，24 （3）：618－622.］

［16］Chen Liqun，Zhaohui Cheng，Nigel P S.Identity－based key agreement protocols from pairings ［J］.International Journal of Information Security，2007，6 （4）：213－241.

［17］Sujoy S R，Chester R，Debdeep M.Theoretical modeling of elliptic curve scalar multiplier on LUT－based FPGAs for area and speed ［J］.IEEE Transactions on Very Large Scale Integration Systems，2013，21 （5）：901－909.