密钥协商协议【高效的强安全的基于身份认证密钥协商协议】

　　 文章编号:1001-9081(2012)01-0095-04 doi:10.3724/SP.J.1087.2012.00095 　　 　　摘 要:现有的基于身份(ID)认证协议大多在CK模型中被证明是安全的，而CK模型比扩展的CK模型(eCK模型)更弱。基于NAXOS方法，利用双线性对设计了一种新协议，并基于随机预言假设和GBDH假设，在eCK模型中证明了协议的安全性。与其他的基于身份认证协议相比，新协议的计算复杂度和通信复杂度较低；满足主密钥前向安全性和完美前向安全性，并抗密钥泄漏伪装。
　　
　　�关键词:认证；密钥协商；基于身份；双线性对；随机预言；GBDH假设
　　�中图分类号: TP309.2 文献标志码:A
　　 �
　　Abstract: Most of the existing Identity�based (ID) authenticated protocols are proven secure in the Canetti�Krawczyk (CK) model which is weaker than the extended Canetti�Krawczyk (eCK) model. Based on NAXOS trick, a new scheme using bilinear pairing was proposed. The security of the scheme was proven in the eCK model under the random oracle assumption and the Gap Bilinear Diffie�Hellman (GBDH) assumption. The proposed protocol was efficient in computational cost and communication round when compared with other solutions. The new protocol also satisfied master key forward security, perfect forward security and anti�key�leak disguise.
　　
　　
　　 Key words: authentication; key agreement; Identity�based (ID); bilinear pairing; random oracle; Gap Bilinear Diffie�Hellman (GBDH) assumption
　　
　　0 引言�
　　密钥协商是安全通信的重要环节。认证密钥(Authenticated Key, AK)协商协议不仅能够使两个用户通过不安全信道协商生成一个共享会话密钥，还能让这两个用户彼此认证对方的身份。协商得到的会话密钥可以为后续的通信提供保密、认证或者完整性等安全服务。�
　　基于身份(Identity�based, ID)的密码体制中，用户选择可以代表自己身份的公开标识(身份证号码等)当作他们的公钥。利用用户的公开标识，密钥生成中心(Key Generation Centre, KGC)生成相对应的私钥，这样大大降低了密钥管理的复杂性。利用双线性配对，Smart［1］首先提出了基于身份的认证密钥协商(ID�AK)协议。随后，研究者致力于使用双线性对设计各种不同的高效的ID�AK协议［2-5］。以上协议有的只是给出了启发式的安全分析，有些协议的安全证明是在较弱的安全模型中进行的。�
　　Bellare等［6］在1993年提出了认证和两方密钥协商协议的安全模型。为使安全模型采用模块化的设计与分析方法，并使安全模型包含更多的安全属性，Cannetti等［7］设计了一种更强的安全模型(CK模型)。在CK模型中，攻击者不能获得被测试预言机的临时私钥或长期私钥，因而CK模型中可证明安全的方案，无法抵抗临时私钥泄漏攻击或密钥泄漏伪装攻击。Krawczyk［8］设计了一种加强的CK模型(improved CK, iCK)，在iCK模型中，攻击者能得到被测试预言机的长期私钥，但不能得到被测试预言机的临时私钥。基于CK模型，LaMacchia等［9］提出了扩展的CK模型(extended CK, eCK)，同时提出了一种eCK模型中高效、安全的AK协议(简称为NAXOS协议)。在NAXOS协议中，�参与用户A将自己的长期私钥a和临时私钥x进行哈希运算H(a,x)(称为�NAXOS�方法)，然后发送消息g��H(a,x)�，而不是发送消息g�x。�在eCK模型中，除非攻击者能轻易地攻破协议(攻击者得到某个参与者的长期私钥和临时私钥)，否则协议应该是安全的。因而，在eCK模型中证明协议的安全性更具有实际意义。�
　　在iCK模型中，任勇军等［10］提出了不需要随机预言假设的ID�AK协议。基于Cash等［11-12］提出的双Diffie�Hellman问题，Huang等［13］提出了eCK模型中可证安全的ID�AK协议，并基于随机预言假设和双线性Diffie�Hellman(Bilinear Diffie�Hellman, BDH)假设证明了协议的安全性。在文献［13］的证明中，在证明协议能够抵抗临时私钥泄漏攻击时，挑战者无法判断攻击者提交的哈希查询中是否包含挑战值的解。曹雪菲等［14］设计了iCK模型中安全的不需要双线性对的ID�AK协议，但需要额外增加一轮通信交换部分私钥。为了减少通信轮数并且不使用对运算，Fiore等［15］提出了iCK模型中可证安全的ID�AK协议。在无双线性对的ID�AK协议中，用户部分私钥生成算法通常采用Schnorr签名，这增加了部分私钥(签名)的长度。在密钥协商时，参与者要将签名的一个元素传送给对方，从而增加了带宽。舒剑［16］提出了eCK模型中可证安全的ID�AK协议。由于文献［16］中协议的安全性证明使用了分叉引理，使得协议的安全规约证明是不紧的。�
　　本文采用NAXOS方法，在eCK模型中提出一种新的ID�AK协议，协议的计算复杂度和通信复杂度较低。基于Gap假设和随机预言假设，在eCK模型中证明了协议的安全性。同时，协议的安全证明较为简洁且实现了紧的安全规约。�
　　
　　1 背景知识�
　　
　　1.1 双线性映射�
　　�G和G�T分别是一个阶为素数q的加法群和乘法群，其中G的一个生成元是P。可容许的双线性映射e:G×G→G�T是具有下面属性的映射。�
　　1)双线性性。e(aU,bV)=e(U,V)��ab�，其中U,V∈G且a,b∈Z�*�q。�
　　2)非退化性。e(U,V)≠1。�
　　3)可计算性。存在有效算法计算e(U,V)，其中U,V∈G。��
　　
　　1.2 CDH(Computational Diffie�Hellman)假设�
　　�G=〈P〉是阶为q的循环群。如果对于任意未知x,y∈�Z��q，给定xP,yP，任何概率多项式时间算法都不能计算出xyP。��
　　
　　1.3 BDH(Bilinear Diffie�Hellman)假设�
　　�G=〈P〉是阶为q的循环群；e是双线性映射。如果对于任意未知x,y,z∈�Z��qz是否应该为大写，表示整数的意思，请明确。即后面的大写形式。，给定xP,yP,zP，任何概率多项式时间算法都不能计算出e(P,P)��xyz�。��
　　
　　1.4 DBDH(Decisional Bilinear Diffie�Hellman)问题�
　　�G=〈P〉是阶为q的循环群；e是双线性映射。如果对于任意未知x,y,z∈�Z��q，给定(xP,yP,zP,h)∈G�3×G�T，判断h是否等于e(P,P)��xyz�，如果相等，就输出1；否则，输出0。��
　　
　　1.5 GBDH(Gap Bilinear Diffie�Hellman)假设�
　　�G=〈P〉是阶为q的循环群；e是双线性映射。如果对于任意未知x,y,z∈�Z��q，给定xP,yP,zP，以及�DBDH�预言机，任何概率多项式时间算法都不能计算出e(P,P)��xyz�。��
　　
　　1.6 形式化安全模型�
　　本节简要描述文献［10］中设计的eCK模型。�模型中参与用户被形式化为一组预言机。预言机Π��t��i,j�表示用户i与用户j的第t次密钥协商。模型中还有一个主动攻击者E，它完全控制了交换消息的网络。攻击者被定义为一个概率多项式时间图灵机，并能访问所有的预言机，模型将攻击者的能力抽象为对预言机的查询。�
　　定义1 匹配预言机。预言机Π��t��i,j�计算出会话密钥且输出为(ID�i,Y,X,ID�j)。其中：ID�i是预言机的拥有者；ID�j是响应方；X是输出消息；Y是输入消息。如果Π��s��j,i�计算出会话密钥且输出为(ID�j,X,Y,ID�i)，称Π��t��i,j�与Π��s��j,i�互为匹配预言机。�
　　攻击者E可以提交如下的查询。�
　　1)�Send�(Π��t��i,j�,λ)查询。攻击者E发送伪造消息λ给预言机Π��t��i,j�，预言机则依照协议规则进行应答。�
　　2)�Reveal master key�查询。攻击者得到�KGC�的主私钥。该查询是模拟�KGC�的前向安全属性，表示即使攻击者获得了�KGC�的主密钥，攻击者无法得到在这之前协商成功的会话密钥的任何信息。�
　　3)�Session key reveal�(Π��t��i,j�)查询。预言机Π��t��i,j�将计算出的会话密钥返回给攻击者。�
　　4)�Reveal ID�based secret�(i)查询。用户i返回它从�KGC�那里得到的长期私钥。�
　　5)�Reveal ephemeral key�(Π��t��i,j�)查询。预言机Π��t��i,j�返回它的临时私钥。�
　　6)�Establishparty�(i)查询。攻击者伪装成用户i进行注册，从而得到长期私钥。�
　　攻击者在任意时间可以决定停止以上查询，然后对任意一个新鲜的预言机提交�test�查询。�
　　定义2 新鲜预言机。如果预言机Π��t��i,j�通过计算得到了一个会话密钥，且满足以下条件：�
　　1)Π��t��i,j�没有被询问过�Session key reveal�查询或匹配预言机Π��s��j,i�(如果存在)没有被询问过�Session key reveal�查询；�
　　2)Π��t��i,j�没有被询问过�Reveal ID�based secret�(i)查询和�Reveal ephemeral key�(Π��t��i,j�)查询，或者匹配预言机Π��s��j,i�(如果存在)没有被询问过�Reveal ID�based secret�(j)查询和�Reveal ephemeral key�(Π��s��j,i�)查询；�
　　3)不存在与Π��t��i,j�相匹配的预言机，且用户j没被询问过�Reveal ID�based secret�(j)查询，则预言机Π��t��i,j�是新鲜的。�
　　�Test�(Π��t��i,j�)查询 查询描述了协议的语义安全，它只能运行一次，并且只能对一个新鲜的预言机进行。当攻击者E进行�Test�查询时，该新鲜预言机随机选择一个比特b∈{0,1}，若b=0，则返回它获得的会话密钥；否则，返回一个随机数r。�
　　提交�Test�查询以后，攻击者E还可以提交各种查询，但必须保证被�Test�查询的预言机的新鲜性。�
　　攻击者根据得到的所有查询信息，猜测b的值为b′。若�b′=�b，则协议被攻破。k是安全参数，则攻击者E获胜的优势定义为：�
　　Adv�E(k)=�pr�［b=b′］－1/2��
　　
　　2 协议构造�
　　
　　2.1 初始化�
　　�系统参数的生成 输入安全参数为k，�KGC�选择满足双线性映射性质的e，G，G�T，P，然后从Z�*�q中随机选择系统主私钥s，计算P�0=sP；选择哈希函数H�1:{0,1}�*→G，H�2:{G,�Z��*�q}→�Z��*�q，H�3:{0,1}�*→{0,1}�k。公开系统参数Para={e,G,G�T,P,P�0,H�1,H�2,H�3}。�
　　私钥的生成 输入为用户的ID,�KGC�计算Q��ID�=H�1(ID)和D��ID�=sQ��ID�，然后通过安全信道将D��ID�传给用户。��
　　
　　2.2 消息交换�
　　�如果两个用户A和B进行密钥协商。用户A随机生成本次会话的临时私钥a←此处的“←”，是否应该为“∈”?请核实。�Z��*�q，用户B随机生成本次会话的临时私钥b←�Z��*�q，A和B交换消息的方式如下：�
　　A→B：M�A=H�2(D�A,a)P�
　　B→A：M�B=H�2(D�B,b)P��
　　
　　2.3 密钥计算�
　　�1)用户A计算会话密钥的方式如下：�
　　K�A=e(H�2(D�B,b)P+Q�B,H�2(D�A,a)P�0+D�A)�
　　L�A=H�2(D�A,a)(H�2(D�B,b)P)�
　　会话密钥SK�A=H�3(A,B,M�A,M�B,K�A,L�A)。�
　　2)用户B计算会话密钥的方式如下：�
　　K�B=e(H�2(D�A,a)P+Q�A,H�2(D�B,b)P�0+D�B)�
　　L�B=H�2(D�B,b)(H�2(D�A,a)P)�
　　会话密钥SK�B=H�3(A,B,M�A,M�B,K�B,L�B)。�
　　利用双线性映射的特性，可得SK�A=SK�B。��
　　
　　3 协议的安全性证明�
　　�定理1 Γ是前面描述的协议，k是安全参数，H�1,H�2和H�3是随机预言机。若攻击者E至多可激活n(k)个合法的用户，且每个用户至多可发起m(k)次会话。如果攻击者E以不可忽略的概率攻破协议Γ。那么，一定可以构造一个模拟器(一个有效的算法)C，以一定的优势解决�CDH�问题或�GBDH�问题。攻击者E成功的概率为：�
　　Adv�E�Γ(k)≤�max�(n(k)Adv�C(k)［CDH］,�n(k)�2m(k)2Adv�C(k)［CDH］,n(k)�2m(k)Adv�C(k)［GBDH］)�
　　攻击者E成功(可区分被测试的会话密钥和随机数)有两种方法。�
　　1)密钥复制攻击。攻击者E使另外某个预言机和被测试预言机不匹配，并且预言机与被测试预言机具有一样的会话密钥。那么，攻击者可通过提交�Session key reveal�查询得到该预言机的会话密钥，进而获得被测试预言机的会话密钥。�
　　2)伪造攻击。协议运行期间，攻击者进行H�3查询，该查询包含的六元组和被测试预言机计算会话密钥的六元组一样。�
　　因为计算会话密钥所使用的六元组包括了他们相互传送的信息以及用户ID，攻击者E通过密钥复制攻击攻破协议的概率是可以忽略的。�
　　以下分析伪造攻击，有以下两种情况。�
　　情况1 存在一个诚实用户I，攻击者没有提交�Reveal ID�based secret�(I)查询或者在提交�Reveal ID�based secret�(I)查询之前，攻击者E提交H�2(D�I,�)查询；�
　　情况2 在协议运行时，对任意一个诚实用户I，攻击者提交H�2(D�I,�)查询。那么攻击者第一次提交H�2(D�I,�)查询之前，进行过�Reveal ID�based secret�(I)查询。��
　　
　　3.1 情况1的安全性分析�
　　�假设模拟器C得到挑战值(uP,vP)，如果攻击者E攻破协议，则C可以利用攻击者的能力计算出uvP，从而以不可忽略的优势解决�CDH�问题。�
　　C设置P�0=uP，生成系统参数Para={e,G,G�T,P,P�0,H�1,H�2,H�3}，并将Para传送给E。�
　　1)�Send�(Π��t��i,j�,λ)查询。如果i=I，因为C不知道I的长期私钥，它随机选择a�i←�Z��*�q作为I本次会话的临时私钥，然后随机选择T�i←G，返回T�i。如果i≠I，C按照协议进行应答。�
　　2)�Reveal ID�based secret�(i)查询或�Establishparty�(i)查询。若i≠I，则返回用户i的长期私钥；否则，C退出游戏。�
　　3)�Reveal ephemeral key�(Π��t��i,j�)。Π��t��i,j�返回它的临时私钥。�
　　4)H�1查询。C维护列表H���list���1，每一项的格式为(ID,l,Q��ID�,D��ID�)，列表初始为空。当攻击者E提交H�1(ID�i)查询时，如果H���list���1中有一项是(ID�i,l�i,Q�i,D�i)，则返回Q�i给E；否则，如果�ID�i≠�ID�I，C随机选择l′�i∈Z�*�q，计算Q�i=l′�iP，D�i=l′�iP�0，把(ID�i,l′�i,Q�i,D�i)加入到H���list���1并将Q�i返回给E。如果ID�i=ID�I，C设置Q�I=vP。然后，把(ID�I,⊥,vP,⊥)加入到H���list���1并返回vP给E。�
　　5)H�2查询。C维护列表H���list���2，每一项的格式为(D��ID�,q��ID�,t)，列表初始为空。当攻击者提交H�2(D�i,q�i)查询时，如果H���list���2中有一项是(D�i,q�i,t�i)，则返回t�i给E；否则，C随机选择t′�i∈Z�*�q，将(D�i,q�i,t′�i)加入到H���list���2并返回t′�i给E。�
　　6)H�3查询。为保持�Session key reveal�查询与H�3查询的一致性，两种查询都使用列表H���list���3，列表中每一项的格式为(ID�i,ID�j,M�i,M�j,K�i,L�i,h,Y/N)，其初始为空。其中Y/N项表明此时h项的值是否为会话密钥。当攻击者E进行H�3查询时，C应答如下。�
　　①H���list���3中有一项是(ID�i,ID�j,M�i,M�j,K�i,L�i,h�i,�)，则返h�i回给E。�
　　②否则，C随机选择h′�i∈{0,1}�k。C用判定预言机判断此时的六元组与计算本次会话密钥的六元组是否一样(判断方法和�Session key reveal�查询中所用的方法一样)，如果相同，C把(ID�i,ID�j,M�i,M�j,K�i,L�i,h′�i,Y)加入到H���list���3；否则，C把(ID�i,ID�j,M�i,M�j,K�i,L�i,h′�i,N)加入到H���list���3。然后，返回h′�i给E。�
　　7)�Session key reveal�(Π��s��i,j�)查询。�
　　①C搜索列表H���list���3，若找到和预言机Π��s��i,j�相匹配的记录(ID�i,ID�j,�…�,h�i,Y)(攻击者E提交了相对应的H�3查询后，又提交�Session key reveal�查询)，返回h�i给E。�
　　②如果i=I，C随机选择h�i∈{0,1}�k，将(ID�I,ID�j,M�I,M�j,⊥,⊥,h�i,Y)加入到H���list���3并返回h�i给E。为保持会话密钥查询和H�3查询的一致性，如果攻击者E后来提交相对应的H�3(ID�I,ID�j,M�I,M�j,K�I,L�I)查询时，C取出K�I和L�I项的值，并验证等式e(L�I,P)=?e(M�I,M�j)和DBDH(Q�I,P�0,M�j,K�I/(e(D�j,M�I+Q�I)e(L�I,P�0)))=?1是否成立。若两个等式都成立，C返回h�i给E，并将(ID�I,ID�j,M�I,M�j,⊥,⊥,h�i,Y)记录中对应的值⊥替换为K�I和L�I；否则，C随机选择h′�i∈{0,1}�k返回给E，并将(ID�I,ID�j,M�I,M�j,K�I,L�I,h′�i,N)加入H���list���3。�
　　③否则，C随机选取h�i∈{0,1}�k，然后将(ID�i,ID�j,M�i,M�j,K�i,L�i,h�i,Y)(此时，C可以计算出K�i和L�i的值)加入到列表H���list���3并返回h�i给E。�
　　如果C没有退出游戏，攻击者无法区分实际环境和模拟环境。此时攻击者赢得了游戏，它一定进行过�Reveal ID�based secret�(I)查询。不低于1/n(k)的概率，攻击者选择用户I作为被测试的用户。攻击者E以一定的优势攻破协议，则一定提交过H�2(D�I,�)查询。C搜索H���list���2，验证e(D�i,P)=?e(uP,vP)。若等式成立，则返回D�i作为挑战值的解。模拟器C解决�CDH�问题的优势为：�
　　Adv���CDH��(C)≥1n(k)Adv���ake��(E)��
　　
　　3.2 情况2的安全性分析�
　　在情况2中，分析两种互补的情况：�
　　1)被测试的预言机有相对应的匹配预言机；�
　　2)没有用户拥有与被测试预言机相匹配的预言机。�
　　
　　3.2.1 存在匹配预言机�
　　�假设模拟器C得到挑战值(uP,vP)，如果攻击者E攻破协议，则C可以利用攻击者的能力计算出uvP，从而以不可忽略的优势解决�CDH�问题。�
　　C设置P�0=uP，生成系统参数Para={e,G,G�T,P,P�0,H�1,H�2,H�3}，并将Para传送给E。�
　　因为C选择的系统主私钥s，它能正确回复攻击者E提交的所有查询。C随机选择两个合法用户I和J，并在它们的第t次会话时，分别设置各自发送的消息(即临时公钥)为uP和vP。�
　　不低于2/(n(k)�2m(k))的概率，E选取预言机Π��s��I,J�或�Π��t��J,I��作为被测试的预言机。攻击者E以一定的优势攻破协议，必定提交过与本次会话相对应的H�3查询。C搜索H���list���3，验证e(L�i,P)=?e(uP,vP)。若相等，返回L�i作为挑战值的解。模拟器C解决�CDH�问题的优势为：�
　　Adv���CDH��(C)≥2n(k)�2m(k)Adv���ake��(E)��
　　
　　3.2.2 不存在匹配预言机�
　　�假设模拟器C得到挑战值(uP,vP,wP)，它还拥有�DBDH�预言机，如果攻击者E攻破协议，则C可以利用攻击者的能力计算出e(P,P)��uvw�，从而以不可忽略的优势解决�GDDH�问题。�
　　仿真实验与情况1相似，只是在攻击者E提交�Send�(�Π��t��J,I�,�λ)查询时，返回wP作为用户J本次会话的临时公钥。�
　　不低于1/(n(k)�2m(k))的概率，E选择预言机Π��t��J,I�当作被测试的预言机。攻击者E以一定的优势攻破协议，必定提交过与本次会话相对应的H�3查询。C搜索H���list���3，验证等式DBDH(uP,vP,wP,K�J/(e(M�I+Q�I,D�J)e(L�J,P)))=?1是否成立。若等式成立，返回K�J/(e(M�I+Q�I,D�J)e(L�J,P))作为挑战值的解。模拟器C解决�CDH�问题的优势为：�
　　Adv���GBDH��(C)≥1n(k)�2m(k)Adv���ake��(E)��
　　
　　3.3 其他的安全特性�
　　�攻击者E提交�Reveal master key�查询后得到�KGC�的主密钥，则E能计算出所有合法用户的长期私钥。但E不能得到之前所有会话的临时私钥，则不能计算出通信用户的临时公钥的离散对数值H�2(D�A,a)和H�2(D�B,b)，E计算出H�2(D�A,a)(H�2(D�B,b)P)的值等同于解决了�CDH�问题。所以，新方案还具有�KGC�前向安全的属性。��
　　综合以上情况的分析结果，可以得出定理1。�
　　
　　4 效率分析�
　　本章给出新协议与其他ID�AK协议的性能比较，如表1所示。文献［15］中协议不需要对运算，但增加了一轮通信。文献［12］中协议只需要一轮通信且不需要对运算，但增加了用户的带宽。文献［10,15-16］中的协议在iCK模型中证明各自的安全性，若在eCK模型中，协议存在相应的攻击。文献［13］中协议是在eCK模型中证明协议安全的，因而协议能抵抗所有的攻击，然而协议的安全证明不完善。文献［14］中的协议具有强安全特性，但在安全证明中使用了分叉引理，因而安全证明不是紧的归约。新协议只需要一次对运算，所占带宽为一个群元素且只需要一轮通信，并在eCK模型中基于Gap假设证明了协议的安全性。�
　　
　　5 结语�
　　针对大多数ID�AK协议在较弱的安全模型中证明其安全性，本文利用椭圆曲线加法群设计了一种高效、安全的ID�AK协议。和不需要对运算的ID�AK协议相比，所占带宽更少且安全模型更强。最后，基于GDBH假设和随机预言假设，在eCK安全模型中证明了协议的安全性。
　　
　　
　　�参考文献:�
　　[1]
　　SMART N. An ID�based authenticated key agreement protocol based on the Weil pairing ［J］. Electronic Letters, 2002, 38(13): 630-632.
　　�[2]
　　CHOW M, CHOO R. Strongly�secure identity�based key agreement and anonymous extension ［C］// ISC 2007: Proceedings of the 10th International Conference on Information Security, LNCS 4779. Berlin: Springer�Verlag, 2007: 203-220.
　　�[3]
　　CHEN L, CHENG Z, SMART N P. Identity�based key agreement protocols from pairings ［J］. International Journal of Information Security, 2007, 6(4): 213-241.
　　�[4]
　　XIE G. An ID�based key agreement scheme from pairing ［EB/OL］. ［2011-04-20］. http://eprint.省略/2005/093.pdf.
　　�[5]
　　McCULLAGH N, BARRETO P. A new two�party identity�based authenticated key agreement ［C］// CT�RSA 2005: Proceedings of the Cryptographers� Track at the RSA Conference 2005, LNCS 3376. Berlin: Springer�Verlag, 2005: 262-274.
　　�[6]
　　BELLARE M, ROGAWAY P. Entity authentication and key distribution ［C］// CRYPTO�93: Proceedings of the 13th Annual International Cryptology Conference on Advances in Cryptology, LNCS 773. Berlin: Springer�Verlag, 1993: 110-125.
　　�[7]
　　CANETTI �R,� KRAWCZYK �H.� Analysis of �key�exchange� protocols and their use for building secure channels ［C］// EUROCRYPT 2001: Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques: Advances in Cryptology, LNCS 2045. Berlin: Springer�Verlag,2001: 453-474.
　　�[8]
　　KRAWCZYK �H.� �HMQV: A� �high�performance� secure �Diffie�Hell��man protocol ［C］// CRYPTO 2005: Proceedings of the 25th International Cryptology Conference, LNCS 3621. Berlin: Springer�Verlag, 2005: 546-566.
　　�[9]
　　LaMACCHIA B A, LAUTER K, MITYAGIN A. Stronger security of authenticated key exchange ［C］// ProvSec 2007: Proceedings of the First International Conference on Provable Security, LNCS 4784. Berlin: Springer�Verlag, 2007: 1-16.
　　�[10]
　　任勇军,王建东,庄毅.标准模型下增强的基于身份的认证密钥协商协议［J］.电子与信息学报,2009,31(8):1900-1905.
　　�[11]
　　CASH D, KILTZ E, SHOUP V. The twin Diffie�Hellman problem and applications ［J］. Journal of Cryptology, 2009, 22(4): 470-504.
　　�[12]
　　CASH D, KILTZ E, SHOUP V. The twin Diffie�Hellman problem and applications ［C］// EUROCRYPT 2008: Proceedings of the 27th Annual International Conference on Advances in Cryptology, LNCS 4965. Berlin: Springer�Verlag, 2008: 127-145.
　　�[13]
　　HUANG HAI, CAO ZHENFU. An ID�based authenticated key exchange protocol based on bilinear Diffie�Hellman problem ［C］// ASIACCS 2009: Proceedings of the 4th International Symposium on Information, Computer, and Communications Security, LNCS 4784. Berlin: Springer�Verlag, 2009: 116-126.
　　�[14]
　　曹雪菲,寇卫东,樊凯.无双线性对的基于身份的认证密钥协商协议［J］.电子与信息学报,2009,31(5):1241-1244.
　　�[15]
　　FIORE �D,� GENNARO �R.� Making the �Diffie�Hellman� �identity��based ［C］// CT�RSA 2010: The Cryptographers� Track at the RSA Conference 2010, LNCS 5985. Berlin: Springer�Verlag, 2010: 165-178.
　　�[16]
　　舒剑.强安全的基于身份认证密钥协商协议［J］.小型微型计算机系统,2011,32(4):632-638.
　　
　　收稿日期:2011-07-14;修回日期:2011-09-11。
　　基金项目:国家863计划项目(2009AA012415)。�
　　 作者简介:舒剑(1972-),男,江西南昌人,副教授,博士,主要研究方向：密码学、信息安全。

推荐访问:密钥 高效 协商 高效的强安全的基于身份认证密钥协商协议 强安全高效的密钥协商协议 密钥协商论文