基于身份可證安全的雙方密鑰協(xié)商協(xié)議

摘 要:針對(duì)雙方認(rèn)證和密鑰協(xié)商協(xié)議中會(huì)話雙方屬于不同密鑰產(chǎn)生中心的情況，利用雙線性對(duì)性質(zhì)和BDH假設(shè)，基于可證安全的eCK模型提出一種基于身份可證安全的雙方密鑰協(xié)商協(xié)議。該協(xié)議從測(cè)試會(huì)話在隨機(jī)諭示模型中是否存在相應(yīng)的匹配會(huì)話兩個(gè)方面，對(duì)提出的協(xié)議方案進(jìn)行了安全性證明:若BDH假設(shè)不可解，則本方案是安全的認(rèn)證密鑰協(xié)商協(xié)議。

關(guān)鍵詞:認(rèn)證密鑰協(xié)商; 基于身份; BDH假設(shè); 可證安全

中圖分類號(hào):TP309.02文獻(xiàn)標(biāo)志碼:A

文章編號(hào):1001-3695(2009)09-3519-04

doi:10.3969/j.issn.1001-3695.2009.09.091

Identity-based security provable two parties authentication and key agreement

SHI Ya-bin1， HUANG Kai-zhi1， YANG Peng2

(1.National Digital Switching System Engineering Technological Research Center， Zhengzhou 450002， China; 2.Unit91248 ofPLA， Nanchang 331717， China)

Abstract:Based on the extended Canetti-Krawczyk(eCK) model and the bilinear pairing and BDH assumption， the paper proposed an identity-based security provable authentication and key agreement scheme. This scheme could be applied in the situation that two session parties belong to different private key generators respectively. Moreover， proved the scheme to be secure in the random oracle model from two sides: if matching session of the test session exists or not. The demonstration finally shows the proposed scheme is secure if the BDH assumption is intractable.

Key words:authentication and key agreement; identity-based; BDH assumption; security provable

密鑰協(xié)商協(xié)議是通信實(shí)體在不安全的通信網(wǎng)絡(luò)進(jìn)行安全通信的基礎(chǔ)，允許參與通信的實(shí)體通過(guò)公開(kāi)信道消息的交互建立會(huì)話密鑰，并以此保證數(shù)據(jù)的機(jī)密性、完整性。

近幾年，基于身份的密鑰協(xié)商協(xié)議成為一個(gè)新的研究熱點(diǎn)。它采用的密碼體制最初是由Shamir[1]于1984年提出，但直到2001年才由Boneh等人[2]利用Weil Pairing和Tate Pairing給出一個(gè)很好的實(shí)現(xiàn)方案。在基于身份的密碼體制中，用戶的公鑰是直接從其身份信息(如姓名、身份證號(hào)、e-mail地址等)得到，而私鑰是由權(quán)威可信方——私鑰產(chǎn)生中心(private key generator，PKG)生成的。與傳統(tǒng)的基于證書的密碼體制相比，用戶的公鑰能夠通過(guò)用戶的身份信息直接計(jì)算出來(lái)，不需要保存每個(gè)用戶的公鑰證書，避免了使用證書帶來(lái)的存儲(chǔ)和管理開(kāi)銷問(wèn)題，簡(jiǎn)化了繁瑣的證書密鑰管理過(guò)程。隨后出現(xiàn)了一系列的基于身份的加密、簽名和密鑰協(xié)商方案。以雙線性對(duì)為工具所設(shè)計(jì)的形式多樣的密鑰協(xié)商協(xié)議引起了廣泛關(guān)注。

2002年Smart[3]提出一種基于身份的認(rèn)證密鑰協(xié)商協(xié)議。Chen等人[4]提出了一種比Smart更有效的基于身份的認(rèn)證密鑰協(xié)商協(xié)議，該協(xié)議提供了已知密鑰安全、部分前向保密、未知密鑰共享安全、密鑰泄露安全和密鑰控制安全性。文獻(xiàn)[5]中，Shim的方案雖然可以保證完善前向保密，但可以進(jìn)行中間人攻擊。目前，異構(gòu)無(wú)線網(wǎng)絡(luò)中終端漫游、VoIP等越來(lái)越多的實(shí)際情況中，會(huì)話雙方并不屬于同一PKG。而以上方案要求所有的參與者必須屬于同一個(gè)PKG，需要一種更加安全實(shí)用的協(xié)商協(xié)議。因此，本文基于目前安全性較強(qiáng)的安全模型eCK[6，7]，利用雙線性對(duì)性質(zhì)和BDH安全假設(shè)，提出一種雙方屬于不同密鑰產(chǎn)生中心的基于身份的可證安全密鑰協(xié)商協(xié)議。

1 可證安全的eCK模型

本協(xié)議方案基于eCK模型，采用不可區(qū)分的概念定義協(xié)議的安全性，文獻(xiàn)[6，7]對(duì)eCK模型進(jìn)行了詳細(xì)描述。

1.1 協(xié)議參與實(shí)體

將參與實(shí)體身份信息IDi的有限集P模型化為PPT圖靈機(jī)，每個(gè)實(shí)體IDi∈P可以執(zhí)行多個(gè)并行協(xié)議會(huì)話。Πsi，j表示會(huì)話發(fā)起者I(xiàn)Di與響應(yīng)者I(xiàn)Dj進(jìn)行的第s個(gè)會(huì)話。

1.2 攻擊者模型

攻擊者M也被模型化為PPT圖靈機(jī)，可以控制整個(gè)網(wǎng)絡(luò)的通信，可以隨意竊聽(tīng)、延遲、重放、替換及插入消息，主要通過(guò)模型化的諭示請(qǐng)求來(lái)實(shí)現(xiàn)。攻擊者的能力主要包括:

a)臨時(shí)密鑰暴露Πsi，j(ephemeral key reveal)。攻擊者得到Πsi，j的臨時(shí)密鑰，在實(shí)際應(yīng)用中主要體現(xiàn)在會(huì)話的具體密鑰信息所在存儲(chǔ)器不安全或隨機(jī)數(shù)產(chǎn)生器已遭入侵。

b)會(huì)話密鑰暴露Πsi，j(session key reveal)。攻擊者得到IDi參與會(huì)話s達(dá)成的會(huì)話密鑰。

c)靜態(tài)密鑰泄露IDi(static key reveal)。攻擊者獲得會(huì)話實(shí)體IDi的靜態(tài)密鑰。

d)PKG靜態(tài)密鑰泄露。攻擊者獲得PKG的主密鑰，這個(gè)請(qǐng)求可以確保PKG的前向完美性(PKG-fs)。

e)參與實(shí)體注冊(cè)IDi(establish party)。攻擊者可以任意注冊(cè)代表IDi注冊(cè)合法用戶，從而得到實(shí)體IDi的靜態(tài)私鑰，對(duì)其完全控制。

f)發(fā)送(Πsi，j，m)。攻擊者向IDi與IDj參與的會(huì)話s發(fā)送消息m，根據(jù)協(xié)議要求得到響應(yīng)消息。如果成功，它就會(huì)控制兩者之間的所有通信，可以修改、取消、插入消息，否則只能被動(dòng)竊聽(tīng)雙方發(fā)送的消息。

g)測(cè)試(Πsi，j)。會(huì)話密鑰未完成前，攻擊者M(jìn)只允許作一次這樣的請(qǐng)求。假設(shè)會(huì)話密鑰達(dá)成，M任何時(shí)間都可以進(jìn)行此類請(qǐng)求，分別以概率1/2返回會(huì)話密鑰或任意選取的隨機(jī)數(shù)。

1.3 匹配會(huì)話

假如Πsi，j會(huì)話的公開(kāi)輸出結(jié)果為(IDi，X，Y，I(xiàn)Dj)。其中:IDi為會(huì)話的發(fā)起者;IDj為會(huì)話響應(yīng)者;X為IDi的輸出消息;Y為IDj的輸出消息。會(huì)話Πtj，i的輸出結(jié)果為(IDj，Y，X，I(xiàn)Di)，則稱Πtj，i為Πtj，i的匹配會(huì)話。

1.4 新鮮會(huì)話

假如Πsi，j為IDi與IDj已完成的會(huì)話，如果以下三種情況都不存在，則認(rèn)為Πsi，j為新鮮會(huì)話:

a)攻擊者M獲得Πsi，j或其匹配會(huì)話(若存在)的會(huì)話密鑰。

b)如果會(huì)話Πti，j是Πti，j匹配會(huì)話，M得到以下任意一項(xiàng):

(a)IDi的靜態(tài)長(zhǎng)期密鑰和Πsi，j的臨時(shí)密鑰;

(b)IDj的靜態(tài)長(zhǎng)期密鑰和Πtj，i的臨時(shí)密鑰。

c)不存在與Πsi，j相匹配的會(huì)話，M得到以下任意一項(xiàng):

(a)IDi的靜態(tài)長(zhǎng)期密鑰和Πsi，j的臨時(shí)密鑰;

(b)IDj的靜態(tài)長(zhǎng)期密鑰。

1.5 安全AKA協(xié)議的形式化定義

若基于eCK模型協(xié)議滿足以下條件，則稱其為安全協(xié)議:

a)Πsi，j和Πtj，i為匹配會(huì)話，計(jì)算得到相同的會(huì)話密鑰，且會(huì)話密鑰是均勻分布的;

b)對(duì)于任意PPT攻擊者M的成功優(yōu)勢(shì)AdvΠ(M)=Pr[Mwins]-1/2是可忽略的。

2 可證安全的雙方密鑰協(xié)商協(xié)議

目前，基于身份和雙線性安全的雙方密鑰協(xié)商協(xié)議大多數(shù)都存在各種安全缺陷，如中間人攻擊、KCI攻擊等，并且不適合用戶并屬于不同的PKG實(shí)際應(yīng)用環(huán)境。因此，本文基于eCK模型提出一種基于身份的可證安全雙方密鑰協(xié)商協(xié)議。方案基于BDH、CDH安全假設(shè)和雙線性對(duì)的性質(zhì)，利用雙方產(chǎn)生的隨機(jī)數(shù)和各自的公、私鑰對(duì)協(xié)商共享會(huì)話密鑰，確保通信雙方數(shù)據(jù)的機(jī)密性、安全性。

2.1 協(xié)議安全假設(shè)和安全需求

2.1.1 雙線性映射

設(shè)G1 、G2為兩個(gè)階均為大素?cái)?shù)q的群。其中:G1是一個(gè)加法循環(huán)群;G2是一個(gè)乘法循環(huán)群。設(shè)P是G1的任意一個(gè)生成元。假設(shè)離散對(duì)數(shù)問(wèn)題(discrete logarithm problem，DLP)在G1和G2中都是難解的。雙線性對(duì)是指一個(gè)滿足下列性質(zhì)的映射:e:G1×G1→G2。

a)雙線性。對(duì)于P，Q，R∈G1，a，b∈Zq有

(a)e(P+Q，R)=e(P，R)e(Q，R)

(b)e(P，Q+R)=e(P，Q)e(P，R)

(c)e(aP，bP)=e(P，P)ab

b)非退化性。如果P是G1上的生成元，則e(P，P)是G2上的生成元，即e(P，P)≠1;

c)可計(jì)算性。對(duì)于所有的P，Q∈G1，存在一個(gè)有效的多項(xiàng)式時(shí)間算法來(lái)計(jì)算e(P，Q)。

2.1.2 安全假設(shè)

基于雙線性對(duì)密碼系統(tǒng)的安全性是以CDH(computational Diffie-Hellman)假設(shè)和BDH(bilinear Diffie-Hellman)假設(shè)為基礎(chǔ)的。k為系統(tǒng)安全參數(shù)，G為秩為q的兩個(gè)循環(huán)群，P∈G為G的生成元。

定義1 CDH(X，Y):=Z，其中X=xP，Y=yP，Z=xyP。CDH假設(shè)是對(duì)任何PPT(probabilistic polynomial time)算法A:

Pr[A(q，G，P，X=xP，Y=yP)=CDH(X，Y)]≤ε(k)

其中ε(k)是可以忽略的。

定義2 BDH(X，Y，W):=Z，其中X=xP，Y=yP，W=wP，Z=e(P，P)xyw。BDH假設(shè)是對(duì)于任何PPT算法A:

Pr[A(q，G1，G2，P，X=xP，Y=yP，W=wP)=BDH(X，Y，W)J≤ε(k)

其中ε(k)是可以忽略的。

2.1.3 協(xié)議安全需求

密鑰協(xié)商協(xié)議中，有三種類型的密鑰會(huì)被泄露:臨時(shí)密鑰、長(zhǎng)期密鑰、會(huì)話密鑰。臨時(shí)密鑰是在密鑰協(xié)商過(guò)程中需要臨時(shí)生成的秘密數(shù)值;長(zhǎng)期密鑰包括參與通信實(shí)體的私有密鑰和服務(wù)器PKG的主密鑰;會(huì)話密鑰是在協(xié)議執(zhí)行結(jié)束時(shí)參與者協(xié)商計(jì)算得到。長(zhǎng)期密鑰泄露對(duì)系統(tǒng)的安全造成的危害最大，而臨時(shí)密鑰泄露的影響則相對(duì)較小。

1)臨時(shí)密鑰安全(ephemeral key security) 如果協(xié)議中的臨時(shí)密鑰被泄露，并不能影響協(xié)議參與實(shí)體的長(zhǎng)期密鑰或會(huì)話密鑰的泄露，則稱臨時(shí)密鑰安全。在協(xié)議中長(zhǎng)期密鑰不但用于實(shí)體認(rèn)證，還用來(lái)計(jì)算會(huì)話密鑰。因此要求臨時(shí)密鑰的泄露不會(huì)影響長(zhǎng)期密鑰的泄露。

2)已知密鑰安全(known key security) 以前的會(huì)話密鑰泄露或被攻擊者主動(dòng)獲取時(shí)，攻擊者不能獲得其他任何會(huì)話密鑰，或者在未來(lái)偽裝成協(xié)議的某一方。已知密鑰安全是一個(gè)基本的安全屬性。

3)前向保密(forward secrecy，F(xiàn)S) 當(dāng)協(xié)議交互的任何實(shí)體泄露出自己的長(zhǎng)期密鑰或者長(zhǎng)期密鑰被攻擊者獲取，而不會(huì)造成涉及該實(shí)體的過(guò)去會(huì)話密鑰的泄露。通過(guò)采用臨時(shí)密鑰，Diffie-Hellman類型的密鑰交換協(xié)議都能實(shí)現(xiàn)這樣的屬性。有些情況需要完善的前向保密，即使PKG的主密鑰泄露，也不能得到以前產(chǎn)生的會(huì)話密鑰。

4)抗密鑰泄露偽裝攻擊(key compromise impersonation resilience，KCI) 若實(shí)體A的長(zhǎng)期密鑰被泄露，攻擊者可以偽裝成A與其他實(shí)體通信，但并不能偽裝成其他實(shí)體欺騙實(shí)體A。

2.2 協(xié)議描述

設(shè)G1、G2為兩個(gè)階為q的群，其中G1為加法群，G2為乘法群。由PKG1，2分別隨機(jī)選取s1，s2∈Zq作為主密鑰，再隨機(jī)選取點(diǎn)P作為其生成元，并算Ppub1=s1P，Ppub2=s2P作為相應(yīng)的公鑰;然后選取H1、H2為散列函數(shù)，滿足H1:{0，1}→G1，H2:G2→{0，1}。G為G1中非用戶身份元素集，并公布系統(tǒng)參數(shù)params={G，q，Ppub，H1，H2}。

假設(shè)A、B分別屬于PKG1、PKG2，A提交其身份信息IDA給PKG1，PKG1計(jì)算用戶的公鑰QA=H1(IDA)，并返回用戶的私鑰SA=s1QA;同樣B得到其公鑰為QB=H1(IDB)，私鑰為SB=s2QB。A通過(guò)認(rèn)為安全的方法得到PKG2的公開(kāi)密鑰Ppub2，B得到PK則B認(rèn)為sk是與A協(xié)商所得會(huì)話密鑰。

c) 同樣，A收到TB并驗(yàn)證TB∈G，結(jié)果為真則計(jì)算KAB=e(SA，TB)e(QB，aPpub2)，h′=aTB，sk=H2(KAB，h′，TA，TB，A，B)，則A認(rèn)為sk是與B協(xié)商所得會(huì)話密鑰。

方案正確性驗(yàn)證如下:

KAB=e(SA，TB)e(QB，aPpub2)=e(s1QA，bP)e(QB，as2P)=e(s1bQA，P)e(s2aQB，P)=e(s1bQA+s2aQB，P)

KBA=e(SB，TA)e(QA，bPpub1)=e(s2QB，aP)e(QA，bs1P)=e(s2aQB，P)e(s1bQA，P)=e(s1bQA+s2aQB，P)

h=h′=abP

A、B的會(huì)話密鑰為

sk=KAB=KBA=H2(e(s1bQA+s2aQB，P)，abP，TA，TB，A，B)

3 協(xié)議的安全性證明

定理1 若BDH假設(shè)對(duì)于(G1，G2，e，P)成立，CDH假設(shè)對(duì)于G1、P成立，H1、H2為隨機(jī)諭示模型，則本文所提屬于不同PKG的雙方密鑰協(xié)商協(xié)議在eCK模型下是可證安全的。

證明 k為系統(tǒng)的安全參數(shù)，假設(shè)攻擊者M(jìn)最多可以激活n(k)個(gè)誠(chéng)實(shí)的參與方和每個(gè)參與者s(k)個(gè)會(huì)話，并且可以在eCK模型中能以不可忽略的優(yōu)勢(shì)來(lái)得到測(cè)試會(huì)話的會(huì)話密鑰。因?yàn)楠獺2(#8226;)模型化為隨機(jī)諭示，攻擊者請(qǐng)求test諭示后，它只有兩種方法可以區(qū)分會(huì)話密鑰和隨機(jī)字符串。

Case 1 偽造攻擊。協(xié)議運(yùn)行過(guò)程中，M在測(cè)試會(huì)話中請(qǐng)求A(會(huì)話發(fā)起者)、B(會(huì)話響應(yīng)者)通信的H2中的〈KAB，h，TA，TB，A，B〉，M可以自己計(jì)算h、KAB。

Case 2 密鑰復(fù)制攻擊。M強(qiáng)迫一個(gè)非匹配會(huì)話與測(cè)試會(huì)話具有相同的會(huì)話密鑰。這樣，攻擊者可以簡(jiǎn)單地請(qǐng)求這個(gè)非匹配會(huì)話就可以得到這個(gè)會(huì)話密鑰。

相同的會(huì)話密鑰意味著KDF(key derivation function)H2(#8226;)的輸入六元組也必須相同，不同的會(huì)話不可能有相同的六元組，而H2模型化為隨機(jī)諭示，不可能得到相同的會(huì)話密鑰。因此密鑰復(fù)制攻擊的概率可以忽略不計(jì)，攻擊者只能進(jìn)行偽造攻擊。下面著重對(duì)偽造進(jìn)行分析證明，根據(jù)會(huì)話的新鮮性定義，對(duì)于偽造攻擊分為以下兩種情況考慮。

3.1 測(cè)試會(huì)話的匹配會(huì)話不存在

3.1.1 M可以暴露實(shí)體A的長(zhǎng)期密鑰(根據(jù)新鮮性定義，M不能暴露測(cè)試會(huì)話的臨時(shí)密鑰)

A，bPpub1)。其中:TA由攻擊者M(jìn)產(chǎn)生;TB由模擬器S產(chǎn)生，必須能解決BDH難題，這與BDH假設(shè)相反。因此，S的成功概率為Pr[S]≥p2(k)/s(k)n(k)2。其中:p2(k)為本節(jié)所述情況發(fā)生及M攻擊成功的概率。

3.2 測(cè)試會(huì)話的匹配會(huì)話存在

如果測(cè)試會(huì)話的匹配會(huì)話存在，則根據(jù)新鮮性定義，攻擊者M可以從以下四種方法進(jìn)行攻擊:

a)攻擊者M同時(shí)請(qǐng)求測(cè)試會(huì)話的發(fā)起者和響應(yīng)者的臨時(shí)密鑰，但不能暴露各個(gè)實(shí)體相應(yīng)的私鑰。

BDH難題求解算法S以至少1/n(k)2的概率猜測(cè)M選擇A為會(huì)話的發(fā)起者，B為對(duì)應(yīng)的響應(yīng)者;1/s(k)的概率猜測(cè)M選擇為測(cè)試會(huì)話。S為A、B分配的公鑰分別為QA=U，QB=W，為其他的n(k)-2個(gè)實(shí)體分配公/私鑰對(duì)。S對(duì)A、B的模擬行為同3.1.2節(jié)所述，測(cè)試會(huì)話中隨機(jī)數(shù)a、b都是S代表A、B選擇的，如果M要想攻擊成功，必須請(qǐng)求Hlist2中K及h并必須解決BDH難題。

S的成功概率為Pr[S]≥2p3(k)/s(k)n(k)2。其中:p3(k)為本節(jié)情況發(fā)生及M成功攻擊的概率。

b)攻擊者M可以得到會(huì)話雙方的靜態(tài)私鑰，不能得到雙方的臨時(shí)密鑰。

構(gòu)建CDH難題求解算法F，以至少2/s(k)2的概率選中兩個(gè)會(huì)話，其中一個(gè)為測(cè)試會(huì)話，另一個(gè)為匹配會(huì)話。F設(shè)測(cè)試會(huì)話發(fā)起者A的臨時(shí)密鑰為U，匹配會(huì)話B的臨時(shí)密鑰為V，并為所有的n(k)個(gè)實(shí)體分配公/私鑰對(duì)。因?yàn)镕知道PKG的主密鑰和所有會(huì)話參與實(shí)體的靜態(tài)私鑰。如果M成功實(shí)施攻擊，就必須請(qǐng)求諭示H2(#8226;)中的h′=uV=vU，解決h′=CDH(U，V)，這與CDH假設(shè)相矛盾。

F的成功概率為Pr[F]≥2p4(k)/s(k)2。其中:p4(k)為本節(jié)情況發(fā)生及M成功的概率。

c)攻擊者M請(qǐng)求會(huì)話發(fā)起者的長(zhǎng)期私鑰和響應(yīng)者的臨時(shí)密鑰。請(qǐng)求會(huì)話發(fā)起者的臨時(shí)密鑰和響應(yīng)者的長(zhǎng)期密鑰這兩種情況S的模擬與3.1.1節(jié)情況相類似。

綜上所述，S成功的概率為Pr[S]≥maxi=1，2，3，5，6{pi(k)/s(k)n(k)2}。其中:p5(k)、p6(k)為c)中兩種情況發(fā)生及M的成功概率。

F的成功概率為Pr[F]≥2p4(k)/s(k)2。如果攻擊者M(jìn)在以上任一情況下能夠以不可忽略的優(yōu)勢(shì)成功，就能以不可忽略的優(yōu)勢(shì)來(lái)解決BDH或CDH難題，這與協(xié)議所基于的安全假設(shè)相違。因此，本協(xié)議方案在可證安全eCK模型下是安全的。

4 結(jié)束語(yǔ)

基于身份的密碼體制以簡(jiǎn)單直觀、高效的獨(dú)特優(yōu)勢(shì)備受關(guān)注，而目前基于身份的雙方密鑰協(xié)商協(xié)議要求會(huì)話雙方屬于同一密鑰產(chǎn)生中心，且安全性分析大部分是非形式化的，只是對(duì)現(xiàn)有已知的攻擊進(jìn)行分析，很容易遭受將來(lái)可能出現(xiàn)的新攻擊。本文針對(duì)會(huì)話雙方屬于不同PKG的情況，提出一種基于身份可證安全的雙方密鑰協(xié)商協(xié)議，并通過(guò)形式化安全模型對(duì)其進(jìn)行證明。方案基于雙線性對(duì)性質(zhì)和BDH安全假設(shè)，利用協(xié)議雙方隨機(jī)產(chǎn)生的隨機(jī)數(shù)和各自的公、私鑰對(duì)及PKG的公鑰，協(xié)商共享的會(huì)話密鑰。安全證明表明，該協(xié)議能夠滿足雙方等獻(xiàn)性、公平性、保密性等基本特性，可以提供臨時(shí)密鑰安全、己知密鑰安全、完善前向保密、密鑰泄露安全，并能確保PKG的前向安全。

參考文獻(xiàn):

[1]SHAMIR A. Identity-based cryptosystems and signature schemes[C]//Proc of Advances in Cryptology-CRYPTO’84. Santa Barbara:Springer-Verlag， 1984:47-53.

[2]BONEH D， FRANKLIN M. Identity-based encryption from the Weil pairing[C]//Proc of Advances in Cryptology-CRYPTO 2001. Santa Barbara: Springer-Verlag， 2001:213-229.

[3]SMART N P. An identity-based authenticated key agreement protocol based on the Weil pairing[J]. Electronic Letters，2002，38:630-632.

[4]CHEN Li-qun， KUDLA C. Identity-based authenticated key agreement protocols from pairings[C]// Proc of IEEE Computer Security Foundations Workshop. [S.l.]:IEEE Computer Society， 2003:219-233.

[5]SHIM K. Efficient ID-based authenticated key agreement protocol based on the Weil pairing[J]. Electronic Letters， 2003，39(8):653-654.

[6]LaMACCHIA B， LAUTER K， MITYAGIN A. Stronger security of authenticated key exchange[EB/OL]. http://eprint.iacr.org/2006/073.

[7]USTAOGLU B. Obtaining a secure and efficient key agreement protocol from (H)MQV and NAXOS[J]. Desgns， Codesand Cryp-tography， 2007，46(3):329-342.