張文科，李 芳，2

1.重慶城市管理職業(yè)學(xué)院 信息工程學(xué)院，重慶 400031

2.重慶大學(xué) 計算機(jī)學(xué)院，重慶 400044

基于身份的增強(qiáng)三方認(rèn)證密鑰協(xié)商協(xié)議

張文科1，李 芳1，2

1.重慶城市管理職業(yè)學(xué)院 信息工程學(xué)院，重慶 400031

2.重慶大學(xué) 計算機(jī)學(xué)院，重慶 400044

認(rèn)證密鑰協(xié)商協(xié)議是一種重要的密碼原語，為開放網(wǎng)絡(luò)環(huán)境下實體的安全通信提供認(rèn)證性，機(jī)密性和完整性保護(hù)。該類協(xié)議大都基于各種公鑰密碼體制，如傳統(tǒng)公鑰密碼體制、基于身份的密碼體制和無證書密碼體制等。

早在1984年，Shamir[1]就提出了基于身份的公鑰密碼體制，可以避免傳統(tǒng)公鑰密碼體制復(fù)雜的公鑰證書管理問題。直到2001年，Boneh和Franklin采用雙線性映射理論提出了第一個實用的基于身份的認(rèn)證密鑰協(xié)商方案[2]。這一密碼體制一直是本領(lǐng)域研究的熱點(diǎn)，相繼提出了大量的改造方案[3-6]。

Joux[7]利用橢圓曲線的Weil對提出了第一個三方密鑰協(xié)商協(xié)議，該協(xié)議效率高但不能抵抗中間人攻擊。Al-Riyami等人[8]對Joux的協(xié)議進(jìn)行了改進(jìn)。但Shim[9]指出此類協(xié)議不能抵抗密鑰泄露攻擊和已知會話攻擊。隨后，多個基于身份的三方密鑰協(xié)商協(xié)議被提出[10-12]，文獻(xiàn)[13]對這些協(xié)議進(jìn)行了分析和比較。Lim等人[14]進(jìn)一步指出上述協(xié)議均不能抵抗內(nèi)部偽裝攻擊，并提出一種能抵抗內(nèi)部偽裝攻擊的改進(jìn)方案。但是，Lim的方案需要5次對運(yùn)算，計算開銷較高。

最近，國內(nèi)學(xué)者陳浩和郭亞軍[15]提出在無線傳感網(wǎng)絡(luò)中應(yīng)用基于身份的可認(rèn)證三方密鑰協(xié)商協(xié)議。但是，他們提出的三方協(xié)議是無效的。以用戶A為例，該協(xié)議在驗證密鑰階段（見文獻(xiàn)[15]第3節(jié)Step5）給出下面等式：e(TB+TC，P)=e(QB+bb′P+QC+cc′P，Ppub)用于驗證用戶B和C的身份。等式中，TB=SB+bb′Ppub，TC=SC+cc′Ppub，QB和QC是B和C身份標(biāo)識對應(yīng)的散列值，Ppub是系統(tǒng)公鑰，SB和SC是B和C各自的私鑰，(b，b′)和(c，c′)是B和C分別隨機(jī)選定的兩個臨時秘密參數(shù)（注意，(b，b′)和(c，c′)只有B和C自己知道，其他實體都不能獲得）。在協(xié)議執(zhí)行過程中，B和C向A發(fā)送了(bP，b′P)和(cP，c′P)，而沒有發(fā)送bb′P和cc′P。根據(jù)CDH假設(shè)（見本文1.1節(jié)），已知(P，bP，b′P)不能計算bb′P（同樣，不能計算cc′P），可見，A不能得到有效的bb′P和cc′P，進(jìn)而不能進(jìn)行等式驗證。因此，該協(xié)議是無效的。此外，陳家琪等人[16]提出了無證書的三方認(rèn)證密鑰協(xié)商協(xié)議。但是該協(xié)議存在較大缺陷，任何攻擊者都可仿冒參與者進(jìn)行會話密鑰協(xié)商。特定地，假設(shè)攻擊者E仿冒實體A與B和C進(jìn)行會話密鑰協(xié)商，E隨機(jī)選擇a∈，計算TΑ=aQΑ，收到B和C發(fā)送的TB和TC后，計算：

然后可以計算會話密鑰SK=H(KΑ，PΑ，PB，PC)?？梢?，實體E只需知道公開參數(shù)(QΑ，PΑ，Ppub)就能仿冒實體A進(jìn)行認(rèn)證和密鑰協(xié)商（這里，QΑ是A的身份標(biāo)識對應(yīng)的散列值，Ppub=sP是系統(tǒng)公鑰，PΑ=xΑP是A的公鑰）。

為了實現(xiàn)強(qiáng)安全性和降低協(xié)議的計算開銷，本文提出一種新的基于身份的三方密鑰協(xié)商協(xié)議。新協(xié)議的密鑰產(chǎn)生方法借鑒了文獻(xiàn)[17]的方案，能滿足密鑰協(xié)商所需的一般安全屬性，且僅需兩次雙線性對運(yùn)算。根據(jù)Lim等人的研究[14]，三方密鑰協(xié)商還應(yīng)當(dāng)滿足抗內(nèi)部偽裝安全性，本文進(jìn)一步提出抗密鑰泄露偽裝（三方認(rèn)證）和抗未知密鑰共享（三方認(rèn)證）等新的安全屬性（見本文第1.2節(jié)）。因此，基于本文提出的基礎(chǔ)協(xié)議，進(jìn)一步提出了一種增強(qiáng)的三方密鑰協(xié)商協(xié)議，采用主動簽名和時間戳有效地增強(qiáng)了協(xié)議的安全性。分析表明，本文提出的增強(qiáng)協(xié)議能滿足現(xiàn)有已知的（三方密鑰協(xié)商）安全屬性，且計算開銷最低。

1 背景知識

1.1 雙線性映射與困難問題假設(shè)

這部分簡要介紹雙線性對（Bilinear Pairings）及其困難問題假設(shè)，詳細(xì)內(nèi)容可參考相關(guān)文獻(xiàn)[2-3]。

假設(shè)G1和G2分別是素階為q的循環(huán)加法群和循環(huán)乘法群，定義e:G1×G1→G2為滿足以下性質(zhì)的雙線性映射：

（1）雙線性性：對于 ?(P，Q)∈G1和 ?(a，b)∈有e(aP，bQ)=e(P，Q)ab。

（2）非退化性：存在(P，Q)∈G1滿足e(P，Q)≠1。

（3）可計算性：對于?(P，Q)∈G1，能有效計算e(P，Q)。

在給定的雙線性對中存在以下主要的困難問題假設(shè)。

CDH（Computational Diffie-Hellman）假設(shè)：對于任意未知的a，b∈，給定P，aP，bP∈G1，不存在概率多項式時間算法能成功計算abP。

BDH（Bilinear Diffie-Hellman）假設(shè)：對于任意未知的a，b，c∈，給定(P，aP，bP，cP)∈G1，不存在概率多項式時間算法能成功計算e(P，P)abc。

1.2 安全屬性定義

認(rèn)證密鑰協(xié)商協(xié)議應(yīng)滿足以下安全屬性（具體定義請參考文獻(xiàn)[13]）：已知會話密鑰安全性（KSK）、無密鑰控制與密鑰完整性（KCR）、完美前向安全性（FPS）、抗密鑰泄露偽裝（KCIR）、抗未知密鑰共享（UKS）、會話臨時秘密泄露安全（KES）。

上述安全屬性主要針對兩方認(rèn)證密鑰協(xié)商，對于三方認(rèn)證密鑰協(xié)商協(xié)議，已知會話密鑰安全性、完美前向安全性、無密鑰控制與密鑰完整性和會話臨時秘密泄露安全性可直接適用?？姑荑€泄露偽裝和抗未知密鑰共享屬性需擴(kuò)展到三方情形：

抗密鑰泄露偽裝（三方認(rèn)證）（KCIR3）：如果實體A和B的私鑰泄露，則毫無疑問攻擊者可以偽裝成A和B與用戶C運(yùn)行協(xié)議，但是不能使攻擊者偽裝成C與A和B成功完成協(xié)議。

抗未知密鑰共享（三方認(rèn)證）（UKS3）：協(xié)議結(jié)束時，不應(yīng)出現(xiàn)這種情況：用戶A認(rèn)為他與用戶B和C建立了會話密鑰SK，而B和C認(rèn)為他們與攻擊者D(D≠A)建立了會話密鑰SK。

此外，根據(jù)Lim等人的研究[14]，三方認(rèn)證密鑰協(xié)商還應(yīng)當(dāng)能夠抵御內(nèi)部攻擊。

抗內(nèi)部偽裝（IIR）：協(xié)議參與實體B不能偽裝成A與實體C成功建立會話。

2 基于身份的三方密鑰協(xié)商協(xié)議

私鑰產(chǎn)生：（借鑒文獻(xiàn)[17]算法）輸入(params，s，IDi)，KGC隨機(jī)選擇yi∈，計算Yi=yiP，qi=H1(IDi，Yi)和di=yi+sqi并返回(di，Yi)，di作為IDi的私鑰，Yi作為IDi的公鑰參數(shù)。

密鑰協(xié)商：如果A、B、C三個實體需要建立共同的會話密鑰，首先A、B、C分別廣播自己的ID和公鑰參數(shù)YΑ，YB，YC，然后按照以下步驟進(jìn)行密鑰協(xié)商：

收到相應(yīng)的消息后，A、B、C各自計算會話密鑰。

3 協(xié)議分析

3.1 協(xié)議有效性分析

協(xié)議的有效性通過下列等式證明。

可得，A、B、C能計算得到相同的會話密鑰。

3.2 協(xié)議安全性分析

由于目前還缺乏三方認(rèn)證密鑰協(xié)商協(xié)議形式化分析的有效方法，本文就1.2節(jié)定義的各項安全屬性進(jìn)行一一分析。

已知會話密鑰安全性/無密鑰控制與密鑰完整性：由于每次會話每個參與者都會選擇一個隨機(jī)的臨時秘密參數(shù)(rΑ，rB，rC)，且H3是安全的密鑰導(dǎo)出函數(shù)（會話密鑰在{0，1}l上均勻分布）。因此，攻擊者不能通過已泄露的會話密鑰計算其他會話密鑰，且不能使得會話密鑰成為其預(yù)先選定的值。

完美前向安全性：給定任一已知會話，假設(shè)會話三方密鑰(dΑ，dB和dC)都已泄露，但會話臨時秘密值(rΑ，rB，rC)并未泄露（攻擊者未知）。為了恢復(fù)該會話密鑰，攻擊者必然面臨計算TΑ，TB或TC。令rΑP=aP，=bP，

這里，面臨求解BDH問題。同時，計算TB或TC面臨相同難題。因此，如果BDH假設(shè)成立，那么攻擊者將不能計算TΑ，TB或TC，從而不能恢復(fù)會話密鑰?？勺C，本文密鑰協(xié)商協(xié)議滿足完美前向安全性。

抗密鑰泄露偽裝：假設(shè)用戶A的密鑰(dΑ)泄露，攻擊者偽裝成B或C（要求B和C的密鑰未泄露）與A建立會話。以攻擊者偽裝成B為例（攻擊者偽裝成C的情形類似），他必然面臨計算TΑ或TB。攻擊者在會話過程中獲取的知識包括{RΑB，RCB，RCΑ，dΑ，rB}（注意，攻擊者不知道B的密鑰dB以及A隨機(jī)選擇的臨時秘密值rΑ）。令rΑP=Q1，rCP=Q2，攻擊者計算：

可見，攻擊者要成功計算TΑ或TB，必須獲得rΑP或rCP。令RΑB=rΑdBP=aP，=bP，攻擊者面臨求解CDH難題：或者面臨求解DLP難題：已知RΑB=rΑPB求解rΑ，或者已知PB=dBP求解dB。因此，如果DLP假設(shè)和CDH假設(shè)成立，那么攻擊者將不能計算TΑ或TB，從而攻擊者不能偽裝成B與A建立會話?？勺C，本文密鑰協(xié)商協(xié)議滿足抗密鑰泄露偽裝（弱）安全性。

但是，現(xiàn)有方案不能滿足抗密鑰泄露偽裝（三方認(rèn)證）屬性，這一屬性本文將在第4章進(jìn)一步討論。

抗未知密鑰共享（三方認(rèn)證）：由于在計算會話密鑰的時候，密鑰導(dǎo)出函數(shù)的輸入包含所有三方的身份和公鑰參數(shù)，這就有效防止了未知密鑰共享攻擊。特定地，假設(shè)協(xié)議結(jié)束時，用戶A認(rèn)為他與用戶B和C建立了會話密鑰SKΑ，那么：SKΑ=H3(IDΑ，IDB，IDC，YΑ，YB，YC，TΑ，KΑ)，而B和C認(rèn)為他們與攻擊者D(D≠A)建立了會話密鑰SKB/SKC，那么：SKB=H3(IDD，IDB，IDC，YD，YB，YC，TB，KB)。顯然，IDΑ≠IDD，YΑ≠YD，進(jìn)而使得SKΑ≠SKB。因此，A，B，C不能建立共同的會話密鑰。

會話臨時秘密泄露安全：假設(shè)會話臨時秘密值(rΑ，rB，rC)泄露，會話三方密鑰(dΑ，dB，dC)未泄露，那么攻擊者能成功計算TΑ，TB，TC和hΑ，hB，hC。但是攻擊者要成功計算KΑ，KB或KC，必然面臨求解BDH難題。以計算KΑ為例，令PΑ=dΑP=aP，PB=dBP=bP，PC=dCP=cP，那么：KΑ==。

如果BDH假設(shè)成立，那么攻擊者將不能計算K?。ㄓ嬎鉑B和KC類似），從而不能恢復(fù)會話密鑰。因此，本文密鑰協(xié)商協(xié)議滿足會話臨時秘密泄露安全性。

此外，由于本文方案采用了隱式認(rèn)證方式，不能有效抵抗內(nèi)部偽裝攻擊。本文將在上述方案基礎(chǔ)上給出一種增強(qiáng)的三方認(rèn)證密鑰協(xié)商方案。

4 增強(qiáng)的三方密鑰協(xié)商協(xié)議

借鑒Lim等人的研究[14]，為了抵抗內(nèi)部偽裝攻擊，在現(xiàn)有方案基礎(chǔ)上，采用時間戳技術(shù)和基于身份的數(shù)字簽名技術(shù)提出一種增強(qiáng)的三方密鑰協(xié)商協(xié)議。

4.1 基于身份的數(shù)字簽名

Bellare等人于2004年提出了一種基于身份的短簽名方案（BNN-IBS），并對該方案的安全性作出了證明[18]。本文引用該方案為密鑰協(xié)商提供安全的簽名保障，簡要描述如下。

系統(tǒng)參數(shù)和用戶密鑰產(chǎn)生與本文方案相同。簽名和驗證算法如下：

簽名：簽名者隨機(jī)選擇r∈，計算R=rP，ν=r+hds。ds是簽名者的私鑰，h=H(IDs，Ys，m，R)，其中，IDs，Ys是簽名者的身份和公鑰參數(shù)，m是被簽名消息。輸出簽名消息為：σ=(IDs，Ys，R，ν)。

簽名驗證：驗證者計算h1=H(IDs，Ys，m，R)，然后驗證等式νP=h1(Ys+qsP0)+R是否成立。如果等式成立則通過驗證，否則簽名無效。其中，qs=H1(IDs，Ys)。

4.2 增強(qiáng)的密鑰協(xié)商協(xié)議

在第2章方案的基礎(chǔ)上，將每個參與實體發(fā)送的消息加入時間戳并簽名。協(xié)議作如下修改：

其中，tΑ，tB，tC是各自的時間戳，Sigi(X)為實體i對消息X的簽名（采用4.1節(jié)的簽名算法）。

當(dāng)每個實體收到相應(yīng)消息后，先驗證簽名，如果簽名成立則按第2章方法計算會話密鑰。否則，終止會話。

為增強(qiáng)安全性，每個實體的簽名密鑰和認(rèn)證密鑰應(yīng)相互獨(dú)立，這樣不會因簽名臨時參數(shù)泄露導(dǎo)致簽名密鑰泄露（簽名算法不要求滿足臨時秘密泄露安全），進(jìn)而使得認(rèn)證密鑰泄露。

4.3 增強(qiáng)協(xié)議安全性分析

由于對密鑰協(xié)商未作任何更改（僅增加簽名和時間戳），因此，增強(qiáng)協(xié)議能滿足3.2節(jié)中分析的所有安全屬性。下面就抗密鑰泄露偽裝（三方認(rèn)證）和抗內(nèi)部偽裝安全性進(jìn)行分析。

抗密鑰泄露偽裝（三方認(rèn)證）：假設(shè)實體A和B的密鑰(dΑ，dB)均已泄露，攻擊者偽裝成C與A和B建立會話，那么C必須計算簽名消息SigC(IDC，RCB，RCΑ，tC)。由于BNN-IBS簽名算法已被證明滿足不可偽造性（偽造簽名等價于求解DLP難題[18]），攻擊者不能偽造該消息。此外，時間戳技術(shù)防止了簽名重放，每次會話必須計算新的簽名消息。因此，攻擊者不能偽裝成C與A和B建立會話?？勺C，增強(qiáng)方案滿足抗密鑰泄露偽裝（三方認(rèn)證）屬性。

抗內(nèi)部偽裝：假設(shè)內(nèi)部實體B偽裝成A與實體C建立三方會話密鑰（要求A的密鑰未泄露），那么實體B必須計算A的有效簽名。由于BNN-IBS簽名算法已被證明滿足不可偽造性，攻擊者不能偽造該簽名。同樣，時間戳防止了簽名消息重放，因此，B不能偽裝成A與C建立三方會話。可證，增強(qiáng)方案滿足抗內(nèi)部偽裝屬性。

4.4 協(xié)議分析與比較

表1比較了本文協(xié)議與同類型的其他四種協(xié)議的計算性能，列舉了對運(yùn)算（記為PEC）、G1上的點(diǎn)乘運(yùn)算（記為MEC）、G2上的模指數(shù)運(yùn)算（記為EEC）三種主要計算開銷。根據(jù)文獻(xiàn)[3]給出的參考計算成本，以M運(yùn)算為基本單元，可得到下列近似等式：1PEC≈20MEC，1EEC≈3MEC。此外，要實現(xiàn)相同的安全級別（例如，163位域的橢圓曲線與1 024位的RSA模指運(yùn)算（記為ERSA）具有相同的安全級別[19]），可得1ERSA≈3.2PEC。

表1 協(xié)議計算性能比較（單位：次數(shù)）

從表中對比看，本文方案的總計算開銷最低（其中，本文提出的增強(qiáng)方案需要加上5個G1上的點(diǎn)乘運(yùn)算，進(jìn)行簽名和簽名驗證）。

表2比較了五種三方密鑰協(xié)商協(xié)議的安全性。方案3是一種無效的三方密鑰協(xié)商協(xié)議，方案4存在較大安全缺陷（詳見引言第4段）；方案1的安全性較弱，不能實現(xiàn)臨時秘密泄露安全和抗內(nèi)部偽裝安全；方案2的安全性較高，但是計算開銷比較大。本文提出的增強(qiáng)型三方密鑰協(xié)商方案具有強(qiáng)安全性。

表2 協(xié)議安全性比較1）

5 結(jié)束語

本文提出一種基于身份的三方認(rèn)證密鑰協(xié)商協(xié)議，能實現(xiàn)基本安全屬性。在此基礎(chǔ)上提出一種增強(qiáng)協(xié)議，具有強(qiáng)安全性，并且計算開銷比同類型協(xié)議更低。由于三方互認(rèn)證和密鑰協(xié)商是一種新的密碼學(xué)原語，需要考慮一些新的安全特性。因此，現(xiàn)有認(rèn)證密鑰協(xié)商協(xié)議的安全模型不能直接用于分析三方密鑰協(xié)商協(xié)議。新的安全模型有待進(jìn)一步研究。

[1]Shamir A.Identity-based cryptosystems and signature schemes[C]// Blakley G R，Chaum D.LNCS 196：Proc of the Advances in Cryptology（CRYPΤO 1984）.Berlin/Heidelberg：Springer-Verlag，1984：47-53.

[2]Boneh D，F(xiàn)ranklin M.Identity based encryption from the Weil pairing[C]//LNCS 2139：Advances in Cryptology—Crypto 2001，2001：213-229.

[3]Chen L，Cheng Z，Smart N P.Identity-based key agreement protocols from pairings[J].International Journal of Information Security，2007，6（4）：213-241.

[4]Wang S，Cao Z，Choo R，et al.An improved identity based key agreement protocol and its security proof[J].Information Sciences，2009，179（3）：307-318.

[5]任勇軍，王建東，王箭，等.標(biāo)準(zhǔn)模型下基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J].計算機(jī)研究與發(fā)展，2010，47（9）.

[6]高志剛，馮登國.高效的標(biāo)準(zhǔn)模型下基于身份認(rèn)證密鑰協(xié)商協(xié)議[J].軟件學(xué)報，2011，22（5）：1031-1040.

[7]Joux A.A one round protocol for tripartite Diffie-Hellman[C]// LNCS 1838：Proc of the 4th International Symposium on Algorithmic Number Τheory.UK：Springer，2000：385-393.

[8]Al-Riyami S S，Paterson K G.Τripartite authenticated key agreement protocols form pairings[C]//LNCS 2898：Proc of the IMA Conference of Cryptography and Coding 2003，2003：332-359.

[9]Shim K，Woo S.Weakness in ID-based one round authenticated tripartite multiple-key agreement protocol with pairings[J]. Applied Mathematics and Computation，2005，166：523-530.

[10]Shim K.Cryptanalysis of ID-based tripartite authenticated key agreement protocols，Report 2003/115[R/OL].2003.http：// eprint.iacr.org/2003/115.pdf.

[11]Nalla D.ID-based tripartite key agreement with signatures，Report 2003/144[R].2003.

[12]Τso R，Okamoto Τ，Τakagi Τ，et al.An ID-based non-interactive tripartite key agreement protocol with K-resilience[C]// Communications and Computer Networks，2005：38-42.

[13]H?lbl M，Welzer Τ，Brumen B.Comparative study of tripartite identity-based authenticated key agreement protocols[J]. Informatica，2009，33：347-355.

[14]Lim M H，Lee S.An improved one-round ID-based tripartite authenticated key agreement protocol，Report 2007/189[R/OL]. 2007.http：//eprint.iacr.org/2007/189.

[15]陳浩，郭亞軍.一種新的基于雙線性配對的無線傳感網(wǎng)絡(luò)密鑰協(xié)商方案[J].計算機(jī)科學(xué)，2010，37（5）：87-90.

[16]陳家琪，馮俊，郝妍.基于無證書密碼學(xué)的可認(rèn)證三方密鑰協(xié)商協(xié)議[J].計算機(jī)應(yīng)用研究，2010，27（5）：1902-1904.

[17]曹雪菲，寇衛(wèi)東，樊凱，等.無雙線性對的基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J].電子與信息學(xué)報，2009，31（5）：1241-1244.

[18]Bellare M，Namprempre C，Neven G.Security proofs for identity-based identification and signature schemes[C]//Proc EUROCRYPΤ 2004.[S.l.]：Springer-Verlag，2004：268-286.

[19]Lauter K.Τhe advantages of elliptic curve cryptography for wireless security[J].IEEE Wireless Communications，2004，11（1）：62-67.

ZHANG Wenke1,LI Fang1，2

1.Information Τechnology School,Chongqing City Management College,Chongqing 400031,China
2.College of Computer Science,Chongqing University,Chongqing 400044,China

Τhe security of existing tripartite authenticated key agreement protocol is poor,and the computing costs of that are high.An identity-based enhanced tripartite authenticated key agreement protocol is proposed.Τhe new protocol achieves the basic security properties,and uses the short signature and time stamp to further enhance security.Analysis shows that the enhanced protocol meets the known security properties of tripartite key agreement,and has only two bilinear pairing operations.Its computing costs are lower than other ones.In addition,this paper proposes stronger key-compromise impersonation resilience.For the first time,the serious faults of the schemes of Chen Hao and Chen Jiaqi et al are pointed out.

identity-based cryptography;tripartite authenticated;key agreement;bilinear pairing

現(xiàn)有的三方認(rèn)證密鑰協(xié)商協(xié)議安全性低且計算開銷較大，提出一種基于身份的增強(qiáng)三方認(rèn)證密鑰協(xié)商協(xié)議。新協(xié)議在實現(xiàn)密鑰協(xié)商基本安全屬性的同時，利用短簽名和時間戳技術(shù)進(jìn)一步提高安全性。分析表明，增強(qiáng)協(xié)議能滿足現(xiàn)有已知的三方密鑰協(xié)商安全屬性，且僅需兩次雙線性對運(yùn)算，計算開銷更低。此外，提出更強(qiáng)的抗密鑰泄露偽裝屬性，首次指出陳浩等人以及陳家琪等人方案存在重大缺陷。

基于身份密碼；三方認(rèn)證；密鑰協(xié)商；雙線性映射

A

ΤP309

10.3778/j.issn.1002-8331.1111-0433

ZHANG Wenke,LI Fang.Identity-based enhanced tripartite authenticated key agreement.Computer Engineering and Applications,2013,49（15）：92-96.

張文科（1976—），男，講師，主要研究方向：計算機(jī)網(wǎng)絡(luò)，信息安全，通信工程；李芳（1976—），女，博士研究生，講師，主要研究方向：計算機(jī)網(wǎng)絡(luò)，信息安全。E-mail：wenke-zhang@163.com

2011-11-23

2012-01-19

1002-8331（2013）15-0092-05

CNKI出版日期：2012-04-25 http://www.cnki.net/kcms/detail/11.2127.ΤP.20120425.1719.032.html