基于身份的認證密鑰協商協議的改進

陳　虹　徐嘉鴻　肖振久

1(遼寧工程技術大學軟件學院　遼寧 葫蘆島 125105)

2(中國傳媒大學計算機學院　北京 100024)

?

基于身份的認證密鑰協商協議的改進

陳虹1徐嘉鴻1肖振久2

1(遼寧工程技術大學軟件學院遼寧 葫蘆島 125105)

2(中國傳媒大學計算機學院北京 100024)

摘要針對已有的基于身份的認證密鑰協商協議存在的安全問題，提出一種改進的基于身份的認證密鑰協商協議。該協議采用雙線性對運算方法, 用戶雙方的臨時和長期私鑰結合進行最終會話密鑰的計算，解決了原協議中存在的PKG前向安全性問題、單一依賴臨時或長期私鑰而存在的問題和已知臨時會話密鑰泄漏攻擊的問題。在保證改進協議正確基礎上，對協議的安全屬性及協議性能進行了分析。采用SVO邏輯對協議進行形式化分析，驗證了改進協議的認證性和安全性。結果表明，改進的協議滿足基于身份認證密鑰協商協議的所有安全性要求，與已有基于身份的認證密鑰協商協議相比具有更好的安全屬性及計算效率。

關鍵詞基于身份的認證密鑰協商雙線性對SVO邏輯形式化驗證

IMPROVEMENT OF ID-BASED AUTHENTICATED KEY AGREEMENT PROTOCOL

Chen Hong1Xu Jiahong1Xiao Zhenjiu2

1(School of Software,Liaoning Technical University,Huludao 125105,Liaoning,China)2(School of Computer,Communication University of China,Beijing 100024,China)

AbstractTo solve the security problem in existing ID-based authenticated key agreement protocol, in this paper we propose an improved ID-based authenticated key agreement protocol. The protocol uses bilinear pairing operation method, combines the temporary and long-term private keys of both users sides to calculate the final session key, and solves the problem of PKG-forward security in previous protocol, the problem caused by singly depending on the temporary or long-term private keys, and the problem of known temporary session key leakage attacks. Based on ensuring the correctness of the improved protocol, we analyse the security attribute and the performance of the improved protocol, and carry out formal analysis on the protocol with SVO logic, as well as verify the authentication property and security of the improved protocol. Results show that it satisfies all the security requirements of an ID-based authenticated key agreement protocol. Comparing with other existing similar protocols, it has better safety attribute and higher computational efficiency.

KeywordsID-based authenticationKey agreementBilinear pairingSVO logicFormal verification

0引言

密鑰協商協議作為最基礎的密碼原語之一，旨在在敵手控制的非安全信道中，兩個或多個通信用戶交換信息，用戶間彼此認證對方的身份，并協商出一個共享的會話密鑰。所協商出的會話密鑰可在將來的通信會話中使用，且對通信系統中傳輸的數據提供機密性和認證性等服務。

Diffie和Hellman[1]提出了第一個對等環境下的密鑰協商協議，而基本的Diffie-Hellman協議并不提供通信雙方的認證，因而存在中間人攻擊的安全問題。1984年，Shamir[2]基于公鑰提出了第一個基于身份的密鑰協商協議(ID-AKA)，這一協議的提出減去了繁瑣的證書發放和管理機制。2001年，由Boneh等人[3]第一個提出利用雙線性對運算的基于身份的認證密鑰協商協議，但該協議卻不能保證前向安全性。隨后，又出現了許多基于雙線性對運算的協議，如文獻[4-5,9-12]等。1997年，Blake-Wilson等人在文獻[8]中提出了基于RSA環境下的AKA協議的BJM97模型。而在此環境下BJM97模型不能保證前向安全性，且在測試會話中，Corrupt查詢不能被進行，而且還不能抵抗密鑰泄露模仿攻擊。之后Chen等人在文獻[13,14]中，定義并發展了基于身份的認證密鑰協商協議安全模型 ID-BJM模型，目前絕大部分關于ID-AKA協議，如文獻[4-7,13-16]，都是在BJM修改模型下給出安全性證明。

2007年，王圣寶等[15]提出了帶有會話密鑰托管的基于身份的認證密鑰協商協議(簡稱WCD-1協議)和無會話密鑰托管的基于身份的認證密鑰協商協議(簡稱WCD-2協議)，并在ID-BJM模型下對兩個協議進行了證明；之后汪小芬等人[16]對WCD-2協議進行了分析和改進，提出了改進后的協議(簡稱WCX協議)，但改進后的協議仍不滿足已知會話相關臨時秘密信息安全屬性。而此類文獻中，均是在標準模型下證明協議的安全，并未給出形式化的證明分析，如文獻 [15-21]。因此本文在WCD-2協議的基礎上，提出改進的協議，權衡了安全性質和計算效率這兩者的關系，增加了密鑰確認機制。通過SVO邏輯對改進的協議進行形式化分析證明，使協議具有更好的安全性。

1雙線性對和困難問題假設

定義1設G1、G2分別為階數是q的循環加法群和乘法群，e:G1×G1→G2中的e為雙線性對的一個映射，它擁有如下性質：

(1) 雙線性：若g,h∈G1且a,b∈Zq，存在e(ag,bh)=e(g,h)ab。

(2) 非退化性：若g∈G1，則e(g,g)≠1。

(3) 可計算性：若g,h∈G1,則存在有效的算法可計算e(g,h)。

2WCD-2協議及安全性分析

2.1WCD-2協議簡介

1) 系統建立

2) 私鑰生成

對應身份ID∈Zq，從PKG中隨機選擇rID∈Zq，且每一個身份ID，均固定rID，計算私鑰dID=[rID,hID]，且hID=(hg-rID)1/(α-ID)。

3) 密鑰協商

設密鑰協商的雙方分別為Alice和Bob，Alice的身份為IDA，私鑰為hA，Bob的身份為IDB，私鑰為hB。Alice、Bob的公鑰分別為 gA=g1g-IDA、gB=g1g-IDB，Alice和Bob進行會話密鑰協商，其中gT=e(g,g)為公開參數。

(2) Alice將接收到的TB=TB1‖TB2‖TB3，計算出共享秘密KAB1和KAB2，然后Alice計算會話密鑰SKAB=H(IDA‖IDB‖TA‖TB‖KAB1‖KAB2)；接著Bob將接收的TA=TA1‖TA2‖TA3，計算共享秘密KBA1和KBA2，最后Bob計算會話密鑰SKBA=H(IDA‖IDB‖TA‖TB‖KBA1||KBA2)。

(3) 根據雙線性對的性質，得出Alice與Bob計算出的會話密鑰為SK=H(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖e(g,t)xy)。

2.2WCD-2協議安全性分析

(1) 若存在攻擊者C，攻擊并獲取PKG主私鑰α，則會出現以下攻擊情況：

KAB1=e(TC1,hA)(TC2)rAe(g,h)x=e(g,h)x+z

由于攻擊者C獲取了PKG主私鑰α，由=g(α-IDB).x=(gx)α-IDB，可計算出gx，繼而計算出共享密鑰：

KCA1=e(gx,h)·e(g,h)z=e(g,h)x+z

協議執行后，C成功冒充B與A進行協商，并獲得了一個會話密鑰SK。

(2) 若攻擊者C獲取主私鑰α和發送方A的長期私鑰dA=[rA,hA],則會根據(1)的基礎上繼續進行如下運算：

=e(g,ht-rA)z(α-IDB)/(α-IDA)·e(g,t)zrA·e(g,h)x

協議執行后,C成功冒充B與A進行協商，并獲得了一個最終的會話密鑰SK。

3改進的WCD-2協議

3.1系統建立

3.2私鑰生成

對應身份ID∈Zq，隨機選擇rID∈Zq，且每一個身份ID，均固定rID，計算私鑰dID=[rID,hID]，且hID=(hg-rID)1/(α-ID)。

3.3密鑰協商與認證

設用戶分別為發送方A和響應方B，且發送方A的身份為IDA，私鑰為dA，響應方B的身份為IDB，私鑰為dB。發送方A和響應方B進行會話密鑰協商。令gA=g1g-IDA，gB=g1g-IDB，t=e(g,h)和gT=e(g,g)，身份ID對應的公鑰為gID，發送方A和響應方B可分別預先計算出gA、gB、t。

(3) 發送方A接受到TB=TB1‖TB2‖TB3，并計算共享秘密KAB=[e(TB1,hA)(TB2)rA(TB3)]x+rA，同理響應方B接收到TA=TA1‖TA2‖TA3，計算共享秘密KBA=[e(TA1,hB)(TA2)rB(TA3)]y+rB；

(4) 發送方A根據共享密鑰，計算會話密鑰SKAB=H(IDA‖IDB‖TA‖TB‖KAB)，同理響應方B根據共享密鑰，計算會話密鑰SKBA=H(IDA‖IDB‖TA‖TB‖KBA)；

(5) 發送方A和響應方B互相確認身份，根據雙線性對的性質，容易得出發送方A和響應方B共享的會話密鑰為SK=H(IDA‖IDB‖TA‖TB‖e(g,h)xy+xrA+yrB+rArB)。

發送方A與響應方B之間的基于身份的認證密鑰協商協議如圖1所示。

圖1　改進的基于身份的認證密鑰協商協議過程

3.4改進協議的正確性分析

(1) 首先根據已知條件，可計算出響應方B的TB1值：

(2) 其次根據雙線性對的性質，計算e(TB1,hA)：

=e(gy,h)e(gy,g-rA)

=e(g,h)ye(g,g)-rAy

(3) 再結合已知條件，計算出KAB的值：

KAB=[e(TB1,hA)(TB2)rA(TB3)]x+rA

=[e(g,h)ye(g,g)-rAye(g,g)rAye(g,h)rB]x+rA

=[e(g,h)y+rB](x+rA)

(4) 同理可得TA1，e(TA1,hB)，KBA的值，其中：

KBA=[e(TA1,hB)(TA2)rB(TA3)]y+rB

=[e(g,h)xe(g,g)-rBxe(g,g)rBxe(g,h)rA]y+rB

=[e(g,h)x+rA](y+rB)

所以：

SKBA=H(IDA‖IDB‖TA‖TB‖KBA)

=H(IDA‖IDB‖TA‖TB‖KAB)

=SKAB

最終可證：

SK=H(IDA‖IDB‖TA‖TB‖e(g,h)xy+xrB+yrA+rArB)

3.5改進協議中的密鑰確認

由WCD-2協議的消息流可以看出, 發送方A與響應方B之間缺少相互的認證機制。若攻擊者E通過攔截并獲得A的消息后, 可以假裝成B生成消息并發送給A且不被A發現。若協議參與者繼續執行, 且生成一個會話密鑰, 攻擊者E還可以利用自己攻擊獲得來的信息，生成一致的會話密鑰, 從而最終與發送方A 建立一個共享的會話密鑰。為了解決上述存在的冒充攻擊問題，在本節中采用對稱加密的方法為改進協議增加密鑰確認機制。

改進協議的密鑰確認過程如圖2所示。

圖2　改進協議的密鑰確認過程

3.6改進協議的安全屬性分析

協議的安全屬性分析主要有以下幾個方面：

(1) 已知會話密鑰安全性。改進協議中臨時密鑰選取的是隨機數x、y,每當改進協議執行一次時，都要從發送方A，響應方B中隨機選取一次，因此多個會話密鑰之間不具有相關性。

(2) 前向安全性。即使發送方A和接收方B，其中一方或者兩者同時都泄露了長期密鑰dID=，歷史會話的安全性也不會受到影響。攻擊者E不能有效計算e(g,h)xye(g,h)rAye(g,h)rArBe(g,h)rBx這些歷史會話密鑰，因此改進協議具有前向安全性。

(3)PKG前向安全性。攻擊者E攻擊PKG獲得α，但仍無法計算發送方A和響應方B的會話密鑰，因為攻擊者E通過所掌握的信息能夠計算出：

即可以計算出：gx、gy，但仍然無法計算出e(g,h)xy，因為這需要解決CDH困難問題，繼而也無法計算出共享秘鑰KAB=KBA=e(g,h)xy+rBx+rAy+rArB，因此改進協議具有PKG前向安全性。

(4) 抗密鑰泄露偽裝攻擊。假設攻擊者E得知發送方A泄露的長期密鑰并偽裝成A，但E不可能成功地偽裝成響應方B并與發送方A進行密鑰協商，因為E并不知道B的私鑰，因此無法計算出相應的會話密鑰。

(5) 密鑰完整性。最終會話密鑰的形成是由發送方A和響應方B兩者隨機所選擇的x、y值和其長期密鑰決定的。因此雙方都無法預先決定選擇的值，對于攻擊者E而言，即使它采用中間人攻擊，也無法使得A、B、E三者的會話密相同，因而改進協議滿足密鑰完整性。

(6) 已知會話臨時密鑰安全性。攻擊者E即使得知發送方A和響應方B的臨時密鑰x、y值，但最終的會話密鑰值是由臨時密鑰x、y和長期密鑰中rIDA和rIDB構成的，因此無法計算出e(g,h)xy，甚至e(g,h)xy+rBx+rAy+rArB，所以改進協議具有已知會話臨時密鑰安全性。

(7) 抗未知密鑰共享。發送方A和響應方B在協商會話密鑰時，發送方A不會被強制與第三方C進行共享會話密鑰協商。因為在信息交互的過程中，A發送的信息是用B的公鑰進行加密的，因此C無法計算出相應的會話密鑰。

4改進協議的形式化分析

形式化邏輯分析語言SVO吸收了BAN、GNY、AT等邏輯系統的優點，具有十分簡潔的推理規則和公理。在形式化語義方面，SVO邏輯對一些概念進行了重新定義，本文以協議的假設為起點，運用邏輯推理規則得到最終實現的目標，從而證明協議的安全性。

4.1SVO邏輯語法符號

(1) P says X：表示此次會話開始后P發送了消息X。

(2) P said X：表示以前會話P發送了消息X。

(3) P sees X：表示P擁有消息X。

(4) {Xp}K：用密鑰K對消息X加密后得到的消息，P為發送者(常省略)。

(5) [X]K：用私鑰K對消息X簽名后得到的消息，并自動獲得了X。

(6) K-1：表示密鑰K對應的解密密鑰。

(7) PKψ(P,K)：表示K是P的加密公鑰。

(8) PKσ(P,K)：表示K是P的簽名驗證公鑰。

(9) PKδ(P,K)：表示K是P的協商公鑰，并且公鑰所對應的私鑰是良好的。

(10) SV(X,K,Y)：表示簽名驗證，即對于簽名X，用簽名驗證密鑰K驗證X是否為消息Y的簽名。

(11) ShareKey(K,P,Q)：表示K是P與Q的良好共享密鑰。

(12) ShareKey(K-,P,Q)：表示P與Q通信中密鑰K未得到確認，此為非確認共享密鑰，即ShareKey(K-,P,Q)=(ShareKey(K,P,Q))∧(PseesK)。

(13) ShareKey(K+,P,Q)：表示P與Q通信中密鑰K得到確認，此為確認共享密鑰，即ShareKey(K+,P,Q)=(ShareKey(K,P,Q))∧(PseesK)∧(Qsays(QseesK))。

(14) *：SVO使用*表示主體所收到的但不可識別的消息。

4.2SVO推理規則及公理

4.2.1SVO的兩個初始規則

1) 分離規則

MP(Modus Ponens)：φ∧φ?ψ?ψ

2) 必要性規則

Nec(Necessitation)：├φ?├Pbelievesφ

4.2.2SVO的11條公理

1) 相信公理

Ax0 (Pbelievesφ∧Pbelievesψ)≡(Pbelievesψ∧ψ)

Ax1 Pbelievesφ∧Pbelieves(φ?ψ)?Pbelievesψ

Ax2 Pbelievesφ?Pbelieves(Pbelievesφ)

2) 源關聯公理

Ax3 SharedKey(K,P,Q)∧Rreceived{XQ}K?QsaidX∧QseesK

Ax4 PKσ(Q,K)∧RreceivedX∧SV(X,K,Y)?QsaidY

3) 密鑰協商公理

Ax5 PKδ(P,Kp)∧PKδ(Q,Kq)?SharedKey(F0(Kp,KQ),P,Q)

Ax6 φ≡φ[F0(K,K′)/F0(K′,K)]

公理Ax5中F0(Kp,KQ)表示協商密鑰生成函數(如DH算法)，F0使用第1個參數所表示的公鑰，使用第2個參數所對應的私鑰。

4) 接收公理

Ax7 Preceived(X1,…,Xn)?PreceivedXi

Ax8 Preceived{X}k∧PseesK-1?PreceivedX

Ax9 Preceived[X]k?PreceivedX

5) 看見公理

Ax10 PreceivedX?PseesX

Ax11 Psees(X1,…,Xn)?PseesXi

Ax12 PseesX1∧…∧PseesXn?PseesF(X1,…,Xn)

6) 理解公理

Ax13 Pbelieves(PseesF(X))?Pbelieves(PseesX)

7) 說過公理

Ax14 Psaid(X1,…,Xn)?PsaidXi∧PseesXi

Ax15 Psays(X1,…,Xn)?PsaysXi∧Psaid(X1,…,Xn)

公理Ax14表明一個主體只能說它所擁有的，公理Ax15表明一個主體最近說過且包含它說過的。

8) 仲裁公理

Ax16 Pcontrolsφ∧Psaysφ?φ

公理Ax16表明P對φ有仲裁權。

9) 新鮮性公理

Ax17 fresh(Xi)?fresh(X1,…,Xn)

Ax18 fresh(X1,…,Xn)?fresh(F(X1,…,Xn))

公理Ax18中，F的計算必須依賴X1,…,Xn中新鮮元素的值，若F(X1,X2,X3)=(X1+(0*X2)+X3)不是新鮮的，因為F的計算并不依賴于X2的值，即公理Ax18不可用。

10) Nonce驗證公理

Ax19 fresh(X)∧PsaidX?PsaysX

11) 共享密鑰對稱公理

Ax20 SharedKey(K,P,Q)≡SharedKey(K,Q,P)

公理Ax20表明共享密鑰具有對稱性。

根據SVO邏輯中的Ax1公理和MP法則，可得到以下結論：

P|≡φ∧P|≡φ?ψ|-P|≡ψ

4.3改進協議的SVO邏輯分析過程

運用SVO邏輯來證明新協議的安全過程如下：首先用SVO邏輯語言，表示已給出的協議初始假設集，再推導出協議最后要實現的目標集，最后證明假設集├目標集。結論成立，則說明已經達到了協議預期的設計目標，由此可知協議是安全的。

首先，根據協議的內容，對發送方A的關于密鑰協商初始的建設，信息接收和論證的過程的假設(響應方B的初始假設也這樣類似得到)：

G1 A believes fresh(x)∧(A sees x)

G2 A believes PKδ(A,x)

G3 A believes Bseesy

G4 A believes A received(gag-IDB)x

G5 A believes A received{IDB,TA1‖TA2‖TA3}SK

G6 A received[(g,g-IDA)x∧(Bseesy)?PKδ(B,y)]

G7 A believes A received[(g,g-IDA)x∧(Bseesy)?PKδ(B,y)]

G8 A believes A received{IDB,TA1‖TA2‖TA3}SK

然后，再用SVO邏輯來表示協議的實現目標發送方A實現的目標集為：

A believes ShareKey(K+,A,B)，A believes fresh(SK)；

響應方B實現的目標集為：

B believes ShareKey(K+,A,B)，B believes fresh(SK)。

最后，由上述假設和SVO邏輯(下面同4.1節的符號表示)的公理及規則，對協議進行如下的推理和證明：

A believes (A received (gag-IDB)x∧Bseesb)

由G3、G4、公理Ax0可得。

(1) A believes PKδ(B,b)由SVO邏輯(1)、G6、公理Ax0、Ax1+MP規則可得。

(2) A believes(PKδ(A,x)∧PKδ(B,b))由G2、(2)、公理Ax0可得。

(3) A believes(PKδ(A,x)∧PKδ(B,b)?ShareKey(K,A,B))SK=(IDA‖IDB‖TA‖TB‖e(g,h)(x+rA)(y+rB))由(3)、公理Ax5可得。

(4) A believes ShareKey(K,A,B)由(3)、(4)、Ax1+MP規則可得。

(5) A believes(AseesSK)∧(Bsaid(BseesSK))由G5、G7、公理Ax0、Ax1+MP規則可得。

(6) A believes(AseesSK)由(6)、公理Ax0可得。

(7) A believes Bsaid(BseesSK)由(6)、公理Ax0可得。

(8) A believes Bsaid(BseesSK)由(6)、公理Ax0可得。

(9) A believes fresh(x)?fresh(IDA‖IDB‖TA‖TB‖e(g,h)(x+rA)(y+rB))由G1和公理Ax18可得。

(10)Abelievesfresh(IDA‖IDB‖TA‖TB‖e(g,h)(x+rA)(y+rB))，即Abelievesfresh(SK)由G1、(9)、公理Ax0、A1+MP規則可得。

(11) A believes Bsays(BseesSK)由(8)、(10)、公理Ax19可得。

(12)Abelieves(ShareKey(K,A,B)∧(AseesSK)∧Bsaid(BseesSK))即AbelievesShareKey(K+,A,B)由(5)、(7)、(11)、公理Ax0可得。

最終分析結果為：A believes ShareKey(K+,A,B)，A believes fresh(SK)。

同理，響應方B也可以通過上述方法，得到最后的結論。根據上述的證明結果，協議成功執行后，發送方A和響應方B都相信SK是它們雙方確認通信的共享密鑰，并且該密鑰是新鮮的。運用SVO邏輯對協議進行形式化證明分析，新協議達到了預先設定的目標集，由此證明新協議是安全的。

5協議的性能分析比較

協議的性能分析主要從安全性和計算效率兩方面進行分析比較。現將文獻[15]和文獻[16]中的幾個協議與改進協議(簡稱NEW協議)的安全性和計算效率進行比較，比較結果如表1和表2所示。

表1　協議的安全性的比較

表2　協議的計算效率比較

其中，FS代表前向安全性；PKG-FS代表PKG前向安全性；KSK代表已知會話密鑰安全性；KI代表密鑰完整性；Y、N分別代表表中對應的協議是否滿足相應的安全性。

通過表1的比較結果可以看出，改進協議與同類文獻中的協議相比，改進協議均滿足上述安全屬性的需求。

其中，Pairing Computation雙線性運算簡稱為P；Multiplication Computation乘法運算簡稱為M；Index Computation指數運算簡稱為S。

通過表2的比較結果可以看出，改進協議與同類文獻中的協議相比，并沒有明顯增加計算負擔。

綜上所述，從表1和表2的結果和3.6節中的安全屬性分析可以看出，改進協議滿足目前所有安全性能的指標，并且較好地權衡了安全性和計算效率這兩者的關系。

6結語

本文在文獻[15]中的WCD-2協議的基礎上，針對其存在的不安全因素，提出了改進的協議。解決了WCD-2協議中存在的PKG前向安全性的問題，以及由于單一依賴臨時或長期私鑰，而不具備已知會話臨時密鑰安全性的問題。最后，在改進協議的基礎上，增加了密鑰確認機制，使協議更安全地實現了基于身份的認證。同時本文通過SVO邏輯對改進協議進行形式化分析，驗證了協議的安全性。在協議性能分析方面，較好地權衡了安全性質和計算效率的這兩者的關系，使改進后的協議更具有實際的意義。

參考文獻

[1] Diffie W,Hellman M E.New directions in cryptography[J].IEEE Trans Info Theory,1976,22(6):44-654.

[2] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology—Crypto1984,Berlin:Springer-Verlag,1984:47-53.

[3] Boneh D,Franklin M.Identity based encryption from the Weil pairing[C]//Advances in Cryptology—Crypto 2001,Berlin:Springer-Verlag,2001:213-229.

[4] Yuan Q,Li S.A new efficient ID-based authenticated key agreement protocol[EB/OL].2011-6-5.(2005-08-29).[2009-08-25].http://Cryptology ePrint Archive2005/309.

[5] Ni L,Chen G,Li J,et al.Strongly secure identity-based authenticated key agreement prot ocols[J].Computers and Electrical Engineering,2011,37(2):205-217.

[6] Cao X,Kou W,Du X.A pairing-free identity-based authenticated key agreement protocol with mimimal message exchanges[J].Information Sciences,2010,180(15):2895-2903.

[7] He D,Chen J,Hu J.A new provably secure authenticated key agreement protocol without blinear pairings[J].JOURNAL of Information & Computartional Science,2010,7(5):1089-1096.

[8] Blakewlson S,Johnson C,Menezes A.Key agreement protocols and their security analysis[C]//Proceedings of the 6th IMA International Conference on Cryptography and Coding,Berlin,1997:30-45.

[9] 王璐,侯林峰,張耀武.一種改進的雙線性對的雙向基于身份的認證密鑰協商協議[J].信息通信,2012(1):129-130.

[10] 張文科,李芳.基于身份的增強三方認證密鑰協商協議[J].計算機工程與應用,2013,49(15):92-96.

[11] 項順伯.一種基于雙線性對的三方密鑰交換協議[J].廣東石油化工學院學報,2013,23(1):34-36.

[12] 劉志遠.安全的基于身份認證密鑰協商協議[J].湖南科技大學學報,2014,29(1):64-67.

[13] Chen L,Kulda C.Identity based authenticated key agreement protocols from pairing[C]//Proceedings of 16th IEEE Computer Security Foundations Workshop,New York,2003:219-233.

[14] Chen L,Cheng Z,Smart N P.Identity-based Key Agreement Protocols from Pairings[J].International Journal of Information Security,2007,6(4):213-241.

[15] 王圣寶,曹珍富,董曉蕾.標準模型下可證安全的身份基認證密鑰協商協議[J].計算機學報,2007,30(10):1842-1852.

[16] 汪小芬,陳原,肖國鎮.基于身份的認證密鑰協商協議的安全性分析與改進[J].通信學報,2008,29(12):16-21.

[17] 項順伯.基于身份的改進認證密鑰協商協議[J].計算機工程,2011,37(17):128-129.

[18] 舒劍.高效的強安全的基于身份認證密鑰協商協議[J].計算機應用,2012,32(1):95-98.

[19] 高海英.高效的基于身份的認證密鑰協商協議[J].計算機應用,2012,32(1):35-37.

[20] 李芳,陳明.強安全的和無雙線性對的基于身份密鑰協商[J].計算機工程與科學,2013,35(6):65-71.

[21] 高海英.可證明安全的基于身份的認證密鑰協商協議[J].計算機研究與發展,2012,49(8):1685-1689.

中圖分類號TP309

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.066

收稿日期：2014-08-06。國家自然科學基金項目(61103199)。陳虹，副教授，主研領域：網絡安全。徐嘉鴻，碩士生。肖振久，副教授。