胡志言 杜學(xué)繪 曹利峰

(解放軍信息工程大學(xué) 河南 鄭州 450001) (數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室 河南 鄭州 450001)

0 引 言

信息技術(shù)的高速發(fā)展給人們帶來極大的便利，同時(shí)也給信息安全保護(hù)帶來巨大挑戰(zhàn)。如何在不可信的網(wǎng)絡(luò)中進(jìn)行安全的信息交換成為熱點(diǎn)問題，而密鑰協(xié)商協(xié)議是解決此類問題的有效方法之一[1]。會(huì)話密鑰協(xié)商協(xié)議[2]是指兩個(gè)或者多個(gè)用戶在不可信的有線或者無線網(wǎng)絡(luò)中進(jìn)行通信。它首先協(xié)商出一致的會(huì)話密鑰，然后用此密鑰對通信內(nèi)容進(jìn)行加密，避免信息被篡改或者偽造，從而達(dá)到安全傳遞信息的目的。近年來，會(huì)話密鑰協(xié)商協(xié)議因其在無線網(wǎng)絡(luò)安全通信、視頻會(huì)議、文件共享等方面的廣泛應(yīng)用，取得了快速的發(fā)展。

本文首先對會(huì)話密鑰協(xié)商協(xié)議需要滿足的安全屬性、可證明安全理論及協(xié)議分類進(jìn)行介紹，然后對雙方會(huì)話密鑰協(xié)商協(xié)議與群組密鑰協(xié)商協(xié)議的研究進(jìn)展進(jìn)行重點(diǎn)闡述，在性能、安全性等方面進(jìn)行對比分析，最后指出會(huì)話密鑰協(xié)商協(xié)議的發(fā)展方向。

1 預(yù)備知識(shí)

1.1 安全屬性

當(dāng)密鑰會(huì)話協(xié)商協(xié)議運(yùn)行時(shí)，攻擊者有許多方法可以嘗試破壞該協(xié)議，因此設(shè)計(jì)者必須考慮好協(xié)議能夠抵抗的攻擊類型。為了能夠設(shè)計(jì)一個(gè)安全的協(xié)議，必須對協(xié)議需要滿足的安全屬性[3-6,9,12-14]進(jìn)行定義。

已知會(huì)話密鑰安全性KSK(Known session key security)：協(xié)議運(yùn)行產(chǎn)生的會(huì)話密鑰必須是唯一并且相互獨(dú)立的。如果敵手獲得協(xié)議的一個(gè)會(huì)話密鑰，但不能導(dǎo)致該協(xié)議的其他會(huì)話密鑰的泄露，稱該協(xié)議具有已知會(huì)話密鑰安全性。

前向安全性FS(Forward secrecy)：如果協(xié)議參與者一方或者多方的長期私有密鑰的泄露不會(huì)導(dǎo)致他們之前已經(jīng)建立的會(huì)話密鑰的泄露，則稱該協(xié)議具有前向安全性。如果通信參與的一方的長期私有密鑰的泄露不會(huì)導(dǎo)致以前建立的會(huì)話密鑰的泄露則稱該協(xié)議達(dá)到基本的前向安全性(BFS)要求；如果協(xié)議所有參與者的長期密鑰都泄露卻仍然保持該性質(zhì)，則稱協(xié)議達(dá)到了完全的前向安全性(PFS)要求。若系統(tǒng)的主密鑰泄露后仍能保持該性質(zhì)則稱該協(xié)議達(dá)到主密鑰前向安全性(MFS)要求。

抵抗密鑰泄露偽裝攻擊KCI(Key compromise impersonation resilience)：如果敵手獲得協(xié)議參與一方的私有密鑰，則敵手可以偽裝成該參與方與其他參與者運(yùn)行協(xié)議進(jìn)行通信，但是不能使敵手偽裝成其他參與者與該參與者成功完成協(xié)議。

未知密鑰共享安全性UKS(Unknown key share)：協(xié)議的一方參與者A認(rèn)為自己與參與者B建立會(huì)話密鑰，但實(shí)際上參與者A與參與者C建立了會(huì)話密鑰。如果協(xié)議能夠禁止上述情況的發(fā)生，則稱該協(xié)議具有未知密鑰共享安全性。

會(huì)話密鑰托管SKE(Session key escrow)：通信服務(wù)器(第三方)通過監(jiān)聽協(xié)議參與者在協(xié)議運(yùn)行過程中的通信過程，根據(jù)已有消息以及通信過程獲得的消息可以恢復(fù)出該次協(xié)議運(yùn)行產(chǎn)生的會(huì)話密鑰。若協(xié)議具有防止密鑰托管屬性，也稱達(dá)到主密鑰前向安全性。

密鑰控制安全性KC(Key control security): 密鑰值的確定應(yīng)該由協(xié)議的所有參與方共同確定，協(xié)議的參與一方不能使會(huì)話密鑰的值為一個(gè)預(yù)先設(shè)定好的值。

密鑰值偏移攻擊KOA(Key off-set attack)：攻擊者攔截并篡改通信參與者之間交互的信息，使通信參與者最終計(jì)算出的密鑰值是錯(cuò)誤的。如果協(xié)議可以避免這種情況的發(fā)生，則稱該協(xié)議能夠抵抗密鑰值偏移攻擊。

抵抗中間人攻擊MITM(Man-in-the-middle attack resilience)：中間人攻擊是指攻擊者與通信的參與方分別建立獨(dú)立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通信的參與者認(rèn)為他們正在通過一個(gè)私密的連接與對方直接對話，但事實(shí)上整個(gè)會(huì)話都被攻擊者完全控制。如果協(xié)議能夠抵抗該攻擊，則其具有抵抗中間人攻擊安全性。

1.2 可證明安全理論

可證明安全是指使用“歸約”方法，采用數(shù)學(xué)中反證法的思想。首先確立密碼協(xié)議或者簽名算法的安全性目標(biāo)，即已知會(huì)話密鑰安全性、前向安全性等安全屬性；然后定義一個(gè)安全模型，規(guī)范一個(gè)敵手的攻擊目標(biāo)以及它具有的攻擊能力；最后，如果敵手能夠成功破解該密碼體制，則存在一個(gè)算法可以在多項(xiàng)式時(shí)間內(nèi)解決一個(gè)基礎(chǔ)密碼算法或者公認(rèn)的數(shù)學(xué)困難問題。人們普遍認(rèn)為此基礎(chǔ)密碼算法和數(shù)學(xué)困難問題是難以破解的，因此產(chǎn)生矛盾，從而反證得出密碼協(xié)議或者簽名算法是安全的。目前可證明安全主要有在隨機(jī)預(yù)言模型下可證安全和在標(biāo)準(zhǔn)模型可證安全兩種證明方案。

隨機(jī)預(yù)言機(jī)模型[7]RO(Random oracle)就是在證明某種協(xié)議或者簽名算法的安全性時(shí)，利用隨機(jī)預(yù)言機(jī)的均勻性、確定性和有效性三個(gè)性質(zhì)來證明安全性。在證明密鑰協(xié)商協(xié)議安全性中該模型被廣泛應(yīng)用[8-9]，但Canetti等[10]認(rèn)為在隨機(jī)預(yù)言機(jī)模型下證明安全的系統(tǒng)在實(shí)際情況下并不一定安全。因此在標(biāo)準(zhǔn)模型下證明安全的方案[3-6,11-12]應(yīng)運(yùn)而生。當(dāng)把隨機(jī)預(yù)言機(jī)模型變換成現(xiàn)實(shí)環(huán)境，不使用Hash函數(shù)的隨機(jī)預(yù)言機(jī)的形式來證明方案的安全性，僅僅依靠證明過程中所使用的數(shù)學(xué)困難性問題，例如雙線性對問題、離散對數(shù)問題等。這樣的證明過程稱作在標(biāo)準(zhǔn)模型下可證安全。

1.3 分 類

會(huì)話密鑰協(xié)商協(xié)議根據(jù)參與會(huì)話的成員數(shù)量可以分為雙方會(huì)話密鑰協(xié)商協(xié)議與群組會(huì)話密鑰協(xié)商協(xié)議。雙方會(huì)話密鑰協(xié)商協(xié)議完成兩方參與者的會(huì)話密鑰計(jì)算，又根據(jù)其是否運(yùn)用雙線性對分為基于離散對數(shù)的協(xié)議與基于雙線性對的協(xié)議；群組會(huì)話密鑰協(xié)商協(xié)議完成群組成員(成員數(shù)量至少為2)的會(huì)話密鑰協(xié)商，進(jìn)一步可以分為對稱群組密鑰協(xié)商協(xié)議與非對稱群組密鑰協(xié)商協(xié)議，群組成員在對稱協(xié)議中協(xié)商出一致的會(huì)話密鑰，而非對稱協(xié)議協(xié)商出加密密鑰與解密密鑰。下面詳細(xì)介紹上述分類協(xié)議的研究進(jìn)展。

2 雙方會(huì)話密鑰協(xié)商協(xié)議

雙方會(huì)話密鑰協(xié)商協(xié)議，要求通信雙方在公開網(wǎng)絡(luò)中傳遞信息，協(xié)商出會(huì)話密鑰。一般基于雙線性對的密鑰協(xié)商協(xié)議交互輪數(shù)和信息量較小，具有較高的效率和很好的安全性，并且不需要建立和維護(hù)代價(jià)高昂的公鑰基礎(chǔ)設(shè)施，易于實(shí)現(xiàn)和應(yīng)用；而不基于雙線性對的協(xié)議計(jì)算量小，在資源受限的網(wǎng)絡(luò)中尤其是計(jì)算資源受限的網(wǎng)絡(luò)中比較適用，但安全性相對而言較弱。

2.1 基于離散對數(shù)的密鑰協(xié)商協(xié)議

Diffie-Hellman協(xié)議[13]是最早的一輪雙方密鑰協(xié)商協(xié)議，該協(xié)議的安全性直接作為密碼學(xué)中的標(biāo)準(zhǔn)假設(shè)性問題，即CDH(Computational Diffie-Hellman)問題和DDH(Decisional Diffie-Hellman)問題。但是該協(xié)議只能抵抗被動(dòng)攻擊，并不能有效地抵抗主動(dòng)攻擊，一旦攻擊者具有篡改雙方的交換信息的能力，則沒有相應(yīng)的認(rèn)證機(jī)制來避免或者檢測到該情況，協(xié)議設(shè)計(jì)過于簡單。為了避免中間人攻擊這一漏洞，近年來，許多研究者根據(jù)DH協(xié)議設(shè)計(jì)了認(rèn)證密鑰協(xié)商協(xié)議來保證除了合法參與者外其他人無法獲取本次密鑰協(xié)商相關(guān)信息。2010年，Cao等[9]利用基于身份思想[14]提出一種不使用雙線性映射的認(rèn)證密鑰協(xié)商協(xié)議，在密鑰提取階段，通信雙方會(huì)相互驗(yàn)證長期私鑰的有效性，進(jìn)而互相驗(yàn)證雙方的身份以防攻擊者的主動(dòng)攻擊。在cNR-mBR游戲(Computational No Reveal-modified Bellare-Rogaway game)模型下基于CDH假設(shè)證明協(xié)議的安全性，能夠抵抗密鑰泄露偽裝攻擊，達(dá)到完美前向安全性和主密鑰前向安全性。并且該協(xié)議只需要一輪的信息交換，計(jì)算量較少。但該模型是一種簡化的mBR(Modified Bellare-Rogaway model)模型[7]，并不能進(jìn)行Reveal查詢，因此安全性較弱。Islam等[15]指出Cao等提出的協(xié)議既不能抵擋密鑰偏移攻擊，可能產(chǎn)生錯(cuò)誤的會(huì)話密鑰；也不能夠抵擋已知特定會(huì)話暫時(shí)信息攻擊。針對缺點(diǎn)改進(jìn)了Cao等的協(xié)議，采用消息認(rèn)證碼MAC來抵抗密鑰值偏移攻擊；加入新的參數(shù)，利用CDH問題來抵抗已知特定會(huì)話暫時(shí)消息攻擊。同時(shí)，該協(xié)議與Cao等的協(xié)議相比計(jì)算量更少，但是Islam協(xié)議需要會(huì)話參與雙方進(jìn)行信息交互，并且Islam等并沒有形式化的對協(xié)議進(jìn)行安全性證明。

2012年，Xie等[8]提出一種只需要一輪就可以協(xié)商出會(huì)話密鑰的基于身份的協(xié)議，該協(xié)議的設(shè)計(jì)基于Galindo等[16]提出的一種簽名機(jī)制，采用簽名認(rèn)證和自驗(yàn)證雙重認(rèn)證來保證身份和信息的有效性。文獻(xiàn)[16]在RO模型下基于離散對數(shù)假設(shè)證明了簽名機(jī)制的安全性，這是在一種RO模型-CK模型[17](Canetti-Krawczyk model)下基于CDH假設(shè)證明了安全性，實(shí)現(xiàn)完美前向安全，但是該協(xié)議不能夠抵抗暫時(shí)密鑰泄露攻擊，在eCK模型下是不安全的。

2014年，Ghoreishi等[18]設(shè)計(jì)了三個(gè)基于身份的密鑰協(xié)商協(xié)議，三種協(xié)議都只需要一輪信息的交換，因此與Cao等的協(xié)議[9]相比，運(yùn)算量相對較少。文中分析了協(xié)議滿足的安全屬性，例如已知會(huì)話密鑰安全、未知密鑰共享安全性以及前向安全性等，但只是定性分析，并沒有在RO模型下或者標(biāo)準(zhǔn)模型下證明協(xié)議的安全性。后來，Ghoreishi等[19]再次設(shè)計(jì)了一種基于身份的密鑰協(xié)商協(xié)議，并重點(diǎn)分析協(xié)議的性能優(yōu)勢，但并沒有考慮到用戶認(rèn)證的問題，因此也就沒有檢測消息被篡改的能力和辨認(rèn)主動(dòng)攻擊者的能力。

不基于雙線性映射實(shí)現(xiàn)的密鑰協(xié)商協(xié)議近來取得一定的發(fā)展，通過對身份信息進(jìn)行簽名、驗(yàn)證參與者私鑰的有效性等手段來保證身份的合法性，不使用雙線性映射實(shí)現(xiàn)的協(xié)議計(jì)算量相對使用雙線性映射較小，但在安全性方面差強(qiáng)人意，敵手易于攻破協(xié)議，安全屬性得不到有效保證。

2.2 基于雙線性對的密鑰協(xié)商協(xié)議

2002年，Smart等[20]利用Boneh等[21]提出的第一個(gè)使用雙線性對的基于身份的加密方案的思想，首次提出基于雙線性對的身份基密鑰協(xié)商協(xié)議，利用雙線性對的三種性質(zhì)經(jīng)過一輪信息的交換過程傳遞一個(gè)參數(shù)實(shí)現(xiàn)協(xié)商出一個(gè)一致的會(huì)話密鑰，每個(gè)參與方運(yùn)行協(xié)議的過程中只需要兩個(gè)橢圓曲線上的乘法運(yùn)算和兩個(gè)雙線性對運(yùn)算，計(jì)算量相對而言較大。在此基礎(chǔ)上又提出了協(xié)議的改進(jìn)形式，加入MAC用兩輪交互來互相認(rèn)證對方的合法身份。并且定性分析了協(xié)議滿足的安全性，但沒有形式化證明。Shim等[22]指出Smart等提出的協(xié)議滿足的前向安全性是基本的前向安全，沒有滿足完美前向安全性。并提出了一種在CDH假設(shè)條件下滿足完美前向安全性的協(xié)議，不但只需要一次雙線性對的運(yùn)算，更能夠滿足Smart協(xié)議的所有安全屬性。但是該協(xié)議的KGC(Key Generation Center)能夠根據(jù)獲得的消息恢復(fù)出會(huì)話密鑰，具有會(huì)話密鑰托管屬性。Mccullagh等[23]提出一種認(rèn)證會(huì)話密鑰協(xié)商協(xié)議，該協(xié)議有兩種模式：會(huì)話密鑰托管和無會(huì)話密鑰托管。會(huì)話密鑰托管模式下的協(xié)議滿足多種安全屬性，但不能夠抵抗密鑰值偏移攻擊。無會(huì)話密鑰托管模式是通過在雙線性對中加入群的另一個(gè)生成元，將會(huì)話密鑰的恢復(fù)歸約成求解CDH問題。最后協(xié)議在BIDH(Bilinear Inverse Diffie-Hellman)問題假設(shè)下證明協(xié)議的安全性。

隨機(jī)預(yù)言機(jī)模型下可證安全并不能代表實(shí)際情況依然安全，因此在2007年，王圣寶等[4]首次提出一種在標(biāo)準(zhǔn)模型下可證安全的基于身份的認(rèn)證密鑰協(xié)商協(xié)議，設(shè)計(jì)思路來自Gentry的身份基加密方案[24]，可以在密鑰托管模式和無托管模式下工作。密鑰托管模式下，該協(xié)議能夠滿足主密鑰前向安全性；無密鑰托管模式的實(shí)現(xiàn)基于CDH問題。兩種模式下都滿足無密鑰控制安全性且提供雙向隱式密鑰認(rèn)證，通過增加一輪信息交互可以實(shí)現(xiàn)雙向顯式密鑰確認(rèn)。最后，協(xié)議基于一個(gè)被稱為“短式增強(qiáng)型雙線性Diffie-Hellman 指數(shù)”q-ABDHE(the truncated Augmented Bilinear Diffie-Hellman Exponent assumption)的計(jì)算復(fù)雜性假設(shè)下證明安全性。然而，Liu等[25]提出王圣寶等的非密鑰托管協(xié)議不能夠抵抗惡意的PKG(Private key generator)攻擊，而且其安全模型不能模擬會(huì)話臨時(shí)秘密泄露攻擊。同時(shí)王圣寶等的協(xié)議基于q-ABDHE這個(gè)非常強(qiáng)的困難假設(shè)問題。Liu等[25]設(shè)計(jì)了一個(gè)基于Waters[26]的認(rèn)證密鑰協(xié)商協(xié)議，并根據(jù)王圣寶等的協(xié)議中提供的方法滿足了無密鑰托管這一安全屬性。但是該協(xié)議效率低下，而且在協(xié)議的證明過程中，設(shè)計(jì)者在攻擊者的第2階段攻擊過程中只是對攻擊者發(fā)起挑戰(zhàn)的隨機(jī)預(yù)言機(jī)參與的一種會(huì)話進(jìn)行Reveal查詢，并沒有將對其他會(huì)話進(jìn)行Reveal 查詢的情況考慮進(jìn)去。直接意義上來理解，在攻擊者選擇要挑戰(zhàn)的會(huì)話后需要在自適應(yīng)階段對該會(huì)話的參與一方進(jìn)行更多的詢問以便獲得更多的信息來發(fā)現(xiàn)模擬的世界和現(xiàn)實(shí)世界的不同，因此在證明安全的過程中必須對這類情況進(jìn)行考慮。高志剛等[5]提出一個(gè)效率較Liu協(xié)議更高的協(xié)議，并且安全性較高，可在一個(gè)更弱的安全性假設(shè)DBDH(decisional bilinear Diffie-Hellman)下以標(biāo)準(zhǔn)模型證明協(xié)議的安全性。2015年，陳明[12]指出高志剛等設(shè)計(jì)的協(xié)議證明安全中所采取的安全模型不能夠模擬會(huì)話臨時(shí)秘密泄露攻擊，提出一種新的在標(biāo)準(zhǔn)模型下可證安全的密鑰協(xié)商協(xié)議。他的主要貢獻(xiàn)有兩個(gè)。第一，去掉eID-eCK模型中的隨機(jī)預(yù)言機(jī)，建立具有eID-eCK安全的標(biāo)準(zhǔn)安全模型，通過定義安全陷門函數(shù)去掉隨機(jī)語言機(jī)，依靠形式化定義敵手的攻擊能力實(shí)現(xiàn)完備模擬eID-eCK安全模型的安全屬性。并且擴(kuò)充新鮮預(yù)言機(jī)的定義來豐富展現(xiàn)敵手的攻擊能力。第二，提出一種會(huì)話密鑰可托管的基于身份的認(rèn)證協(xié)議，能夠抵抗用戶長期私鑰泄漏攻擊和會(huì)話臨時(shí)秘密泄漏攻擊等安全屬性，具有強(qiáng)安全性。協(xié)議的安全性被規(guī)約為多項(xiàng)式時(shí)間敵手求解DBDH難題和DBHI(Decisional bilinear Diffie-Hellman inversion)難題。陳明的基于身份的協(xié)議存在密鑰托管問題，因此基于無證書的協(xié)議應(yīng)運(yùn)而生。2017年，李娜等[27]提出一種無證書的認(rèn)證密鑰協(xié)商協(xié)議，解決了密鑰托管和復(fù)雜證書管理難題，但需要兩輪協(xié)商完成。

基于雙線性映射實(shí)現(xiàn)的認(rèn)證密鑰協(xié)商協(xié)議，在協(xié)議的工作過程中，身份信息包含在協(xié)議傳遞的參數(shù)中，只有合法用戶才可以實(shí)現(xiàn)對方身份的認(rèn)證，實(shí)現(xiàn)前向安全、抵抗密鑰泄露偽裝攻擊等安全屬性。雖然基于雙線性映射實(shí)現(xiàn)認(rèn)證安全性較高，但雙線性映射相對于點(diǎn)乘、標(biāo)量乘法、哈希等運(yùn)算計(jì)算量大，在應(yīng)用中需要考慮實(shí)際網(wǎng)絡(luò)情況來保證資源的有效合理利用。

3 群密鑰協(xié)商協(xié)議

群組密鑰協(xié)商協(xié)議能夠使參與會(huì)話的用戶在一個(gè)安全的信道中進(jìn)行通信，保證交互信息的機(jī)密性、真實(shí)性認(rèn)證和完整性。群組密鑰協(xié)商協(xié)議可以分為對稱群組密鑰協(xié)商協(xié)議和非對稱群組密鑰協(xié)商協(xié)議。對稱群組密鑰協(xié)商協(xié)議就是組內(nèi)的用戶通過協(xié)商，計(jì)算出一個(gè)相同的會(huì)話密鑰來進(jìn)行消息的加解密；而非對稱群組密鑰協(xié)商協(xié)議采用公鑰密碼體制，參與者協(xié)商出一個(gè)加密密鑰，各自擁有的解密密鑰可以對消息進(jìn)行解密。對稱群組會(huì)話密鑰協(xié)商協(xié)議只允許組內(nèi)成員間廣播信息，非對稱協(xié)議允許構(gòu)建廣播加密系統(tǒng)，群組成員協(xié)商出公鑰，保留各自的私鑰，這樣任何知道協(xié)商出的公鑰的用戶都可以發(fā)送消息。

3.1 對稱群組密鑰協(xié)商協(xié)議

2002年，Zhang[28]等在雙方密鑰協(xié)商協(xié)議的基礎(chǔ)上，擴(kuò)展出一種三方會(huì)話密鑰協(xié)商協(xié)議，該協(xié)議利用基于身份的密碼技術(shù)，使用雙線性對的性質(zhì)，構(gòu)造一輪可認(rèn)證的協(xié)議，每個(gè)會(huì)話參與者會(huì)通過雙線性對的運(yùn)算來驗(yàn)證其他兩方的合法性，最終會(huì)得到8個(gè)會(huì)話密鑰。該協(xié)議在BDH問題假設(shè)下可以實(shí)現(xiàn)多種安全屬性等。但是該協(xié)議的計(jì)算負(fù)載過重，不適宜在計(jì)算資源有限環(huán)境下使用，并且此協(xié)議是三方會(huì)話密鑰協(xié)商協(xié)議，難以擴(kuò)展成包含n個(gè)(n>3)參與者的群組會(huì)話密鑰協(xié)商協(xié)議。此后，Shi等[29]提出一種可以使n(n>3)方參與的基于身份的會(huì)話密鑰協(xié)商協(xié)議。每個(gè)參與者根據(jù)會(huì)話參與者數(shù)量，分別計(jì)算相應(yīng)參數(shù)傳給群組內(nèi)其他用戶，因此計(jì)算量隨著參與者的增多線性增長。但協(xié)議改進(jìn)ID-PKI模型，KGC有兩個(gè)系統(tǒng)主私鑰，且利用KGC來產(chǎn)生系統(tǒng)參數(shù)和用戶的長期密鑰對，該密鑰對在最終的會(huì)話密鑰中發(fā)揮作用的只是群G1的生成元P，利用該模型只需要一輪協(xié)商就能達(dá)到認(rèn)證的目標(biāo)，并且擺脫簽名機(jī)制復(fù)雜的計(jì)算等限制，最終在DL(Discrete Logarithm)問題假設(shè)下達(dá)到已知會(huì)話密鑰安全性、基本前向安全性、無密鑰控制等安全性。2007年，HE和HAN[30]指出Shi等[29]提出協(xié)議存在安全漏洞，攻擊者可以偽裝成合法用戶，但實(shí)際上合法用戶并未參與其中，其他用戶也未檢測到合法用戶未參與，并且不能抵抗會(huì)話密鑰值偏移攻擊。在Shi協(xié)議的基礎(chǔ)上，HE和HAN擴(kuò)展每個(gè)參與者傳遞的消息為三元組，新加入的兩個(gè)參數(shù)的作用是使每個(gè)參與者通過兩個(gè)雙線性對的運(yùn)算來確認(rèn)其他用戶的合法性。新的協(xié)議在保證滿足Shi協(xié)議安全性的基礎(chǔ)上，能夠抵抗內(nèi)部攻擊如偽裝攻擊等，但在內(nèi)部攻擊者的攻擊下不能夠提供雙向認(rèn)證。

上述協(xié)議雖然參與者交互次數(shù)較少，但沒有在隨機(jī)預(yù)言模型或者標(biāo)準(zhǔn)模型下證明協(xié)議的安全性。Yao等[31]提出一種三輪可認(rèn)證的基于身份的群組密鑰協(xié)商協(xié)議。第一輪是參與者合法身份的認(rèn)證，防止攻擊者偽裝；第二輪是密鑰協(xié)商的過程；第三輪是密鑰確認(rèn)的過程，防止攻擊者偽造和篡改中間消息。并且協(xié)議在隨機(jī)預(yù)言機(jī)模型下證明協(xié)議的安全性。但該協(xié)議也存在安全漏洞，Yuan等[32]指出Yao協(xié)議只能抵抗被動(dòng)攻擊，但不能抵抗主動(dòng)攻擊，如內(nèi)部攻擊者可以偽造中間參數(shù)而不能夠被發(fā)現(xiàn)。同時(shí)，Yao協(xié)議需要三輪才能協(xié)商出最終的會(huì)話密鑰，交互輪數(shù)多，通信負(fù)載過大。Zhou等[33]首先設(shè)計(jì)一種只需要一輪就可協(xié)商出會(huì)話密鑰的群組協(xié)議，基于身份密碼學(xué)和雙線性對實(shí)現(xiàn)協(xié)商出一個(gè)會(huì)話密鑰，然后在此一輪協(xié)議的基礎(chǔ)上，擴(kuò)展出一個(gè)二輪密鑰協(xié)商協(xié)議，在通信開銷方面更高效。并且，兩種協(xié)議都在DBDH困難假設(shè)下用隨機(jī)預(yù)言機(jī)模擬其可證明安全性。2015年，Teng等[34]提出一種能夠?qū)崿F(xiàn)雙向認(rèn)證抵抗主動(dòng)攻擊的基于身份的群組密鑰協(xié)商協(xié)議。該協(xié)議利用Zhao等[35]提出的EGBG模型，將短暫密鑰泄露攻擊考慮在內(nèi)，但并沒有引入NAXOS trick來抵抗短暫密鑰泄露攻擊，基于BDH和CDH假設(shè)在隨機(jī)預(yù)言模型下證明協(xié)議滿足多種安全屬性。協(xié)議的正確性通過交互過程傳遞的參數(shù)的對稱性來保證。而且，該協(xié)議沒有使用簽名算法來實(shí)現(xiàn)雙向驗(yàn)證，性能較利用簽名算法的協(xié)議更為高效。2016年，陳勇等[36]利用零知識(shí)證明將可否認(rèn)性引入到群密鑰協(xié)商協(xié)議中，可以在隱私保護(hù)等場合廣泛應(yīng)用。

隨著研究的深入，靜態(tài)協(xié)議滿足不了實(shí)際需求，因此Teng等[37]設(shè)計(jì)提出一種基于身份的動(dòng)態(tài)群組密鑰協(xié)商協(xié)議，創(chuàng)新性地將矩陣論的知識(shí)運(yùn)用在會(huì)話密鑰的建立過程中，成員可以動(dòng)態(tài)地加入或者離開群組，會(huì)話密鑰隨著成員變化而動(dòng)態(tài)變化，且之后建立的會(huì)話密鑰對離開的用戶保密，之前建立的會(huì)話密鑰對新加入的用戶保密。在協(xié)議建立算法和加入算法中，只需要一輪信息交互，會(huì)話密鑰的更新在成員離開群組時(shí)不需要額外的信息交換，達(dá)到更高效實(shí)用的效果。最后，協(xié)議在隨機(jī)預(yù)言模型下基于DBDH可證安全。但該協(xié)議的動(dòng)態(tài)性導(dǎo)致交互的信息量較多，計(jì)算和通信開銷較大。Wu等[38]提出一種采用非交互式確認(rèn)計(jì)算技術(shù)實(shí)現(xiàn)的兩輪可撤銷的會(huì)話密鑰協(xié)商協(xié)議，在協(xié)議的創(chuàng)建過程中，每個(gè)用戶的私鑰包括一個(gè)固定的初始私鑰和一個(gè)可更新密鑰，PKG定期發(fā)送更新的私鑰給用戶，用戶可以自己利用它更新自己的私鑰。當(dāng)需要撤銷時(shí)或者監(jiān)測到惡意用戶時(shí)，PKG停止發(fā)送更新密鑰給該用戶。該協(xié)議基于CDH和DBDH假設(shè)在隨機(jī)預(yù)言模型下證明了安全性，可以實(shí)現(xiàn)主動(dòng)監(jiān)測到惡意用戶，達(dá)到前向安全性和無密鑰控制等安全屬性。然而其并非真正意義上的動(dòng)態(tài)協(xié)議，密鑰更新定期進(jìn)行。

3.2 非對稱群組密鑰協(xié)商協(xié)議

非對稱群組密鑰協(xié)商協(xié)議的概念是Wu等[39]在2009年提出的。該協(xié)議能夠解決傳統(tǒng)的群組密鑰協(xié)商協(xié)議不能夠用于廣播系統(tǒng)、密文大小隨著參與者數(shù)量線性增長、密鑰確認(rèn)需要增加額外的輪數(shù)等、不需要可信第三方來分發(fā)私鑰缺陷。協(xié)議中首先構(gòu)造了一種基于簽名的可聚集廣播機(jī)制，在隨機(jī)預(yù)言模型下基于CDH和DBDH問題下證明該機(jī)制的安全性；然后基于該機(jī)制構(gòu)造一個(gè)一輪非對稱群組密鑰協(xié)商協(xié)議，將每個(gè)用戶的公鑰聚集起來形成群組的加密密鑰，將對同一個(gè)用戶的多個(gè)不同簽名聚合起來形成解密密鑰；最后在標(biāo)準(zhǔn)模型下基于判定性n-BDHE(decision Bilinear Diffie-Hellman Exponentiation)假設(shè)下證明協(xié)議的安全性。但該協(xié)議不能夠抵抗主動(dòng)攻擊和短暫密鑰泄露攻擊。隨后，Zhang等[40]提出一種基于身份的非對稱認(rèn)證群組密鑰協(xié)商協(xié)議。首先提出了一種批量多簽名機(jī)制，基于乘法群的雙線性映射，對多個(gè)用戶進(jìn)行批驗(yàn)簽，但對不同的消息的簽名沒有進(jìn)行一次驗(yàn)證而是進(jìn)行多次驗(yàn)證。然后，在簽名算法的基礎(chǔ)上實(shí)現(xiàn)協(xié)商協(xié)議，只需一輪即可完成協(xié)商過程，基于隨機(jī)預(yù)言模型在k-BDHE假設(shè)下可證安全。

上述協(xié)議雖然在性能和安全性上做的較為全面，但只是靜態(tài)的協(xié)議，設(shè)計(jì)時(shí)沒有考慮用戶動(dòng)態(tài)的增加和減少的情況。因此Zhang等[41]針對前期提出的協(xié)議設(shè)計(jì)一種認(rèn)證非對稱群組密鑰協(xié)商協(xié)議，通過系統(tǒng)建立、認(rèn)證、密鑰建立、加密密鑰派生、解密密鑰派生、加密和解密七個(gè)過程對協(xié)議的具體過程進(jìn)行闡述，協(xié)商只需要一輪，不需要所有參與的用戶同時(shí)在線，定性分析了協(xié)議滿足的安全屬性，對不同階段進(jìn)行仿真實(shí)驗(yàn)證明性能良好。最后，對基本協(xié)議進(jìn)行擴(kuò)展，協(xié)議不但可以用來進(jìn)行廣播加密，用戶也可以動(dòng)態(tài)的加入或退出協(xié)議，還可以選擇消息的接受者，實(shí)現(xiàn)真正意義上的動(dòng)態(tài)密鑰協(xié)商協(xié)議。此后，Wei等[42]根據(jù)Zhang協(xié)議，提出一種CL-AAGKA(certificateless authenticated asymmetric group key agreement)，通過將無證書公鑰加密機(jī)制引入AAGKA，突破了基于IBC機(jī)制實(shí)現(xiàn)的AAGKA協(xié)議的密鑰托管限制；通過系統(tǒng)建立、基本私鑰提取、設(shè)置秘密值、設(shè)置密鑰、設(shè)置公鑰、加入、離開、布告板初始化、群組公鑰派生、群組私鑰派生、加密和解密十二個(gè)多項(xiàng)式時(shí)間算法構(gòu)建協(xié)議；引入信任等級(jí)概念，實(shí)現(xiàn)信任等級(jí)第三級(jí)的基于PKI的AAGKA協(xié)議而沒有復(fù)雜的證書管理壓力；通過布告板的使用來實(shí)現(xiàn)用戶動(dòng)態(tài)的加入與離開；缺點(diǎn)是沒有在RO模型或標(biāo)準(zhǔn)模型下形式化敵手模型并證明協(xié)議的安全性。

在保密性需求較高的環(huán)境中，不但需要考慮動(dòng)態(tài)性，也需要保證用戶身份的隱私性。張等[43]提出一種一輪密鑰協(xié)商協(xié)議，適用于大型跨時(shí)區(qū)的分布式協(xié)同計(jì)算環(huán)境、多域間的群組密鑰協(xié)商；該協(xié)議采用可認(rèn)證技術(shù)，抵抗主動(dòng)攻擊；而且實(shí)現(xiàn)匿名密鑰協(xié)商，采用盲密鑰注冊方案，每個(gè)域都有自己的認(rèn)證中心，各成員用自己的身份在各自的域認(rèn)證機(jī)構(gòu)進(jìn)行盲注冊，認(rèn)證中心也有自己的公私鑰對，實(shí)現(xiàn)對用戶的認(rèn)證；并支持動(dòng)態(tài)群組密鑰更新，采用單個(gè)群組成員更換密鑰因子實(shí)現(xiàn)群組密鑰的動(dòng)態(tài)更新，以便群組成員的退出及新成員的加入。陳等[44]基于無證書密碼體制提出一種較張等的協(xié)議性能更優(yōu)越的群密鑰協(xié)商協(xié)議，不但支持群成員動(dòng)態(tài)變化，也實(shí)現(xiàn)了對用戶身份的保密。

4 比 較

4.1 雙方會(huì)話密鑰協(xié)商協(xié)議對比

表1將雙方會(huì)話密鑰協(xié)商協(xié)議在計(jì)算開銷和交互輪數(shù)方面進(jìn)行比較，表2在安全屬性、安全模型以及基于的數(shù)學(xué)困難問題方面進(jìn)行比較，相關(guān)符號(hào)如表3所示?；陔x散對數(shù)的協(xié)議因未使用雙線性對，計(jì)算開銷較小，但滿足的安全屬性較少，且大多未形式化證明協(xié)議的安全性，整體安全性較差，例如DH協(xié)議，僅需要兩次冪運(yùn)算，但并不能實(shí)現(xiàn)完美前向安全性等安全屬性。又如在Ghoreishi等[18]提出的協(xié)議中，雖然只運(yùn)用了少量的乘法運(yùn)算，但并沒有實(shí)現(xiàn)未知密鑰共享、抵抗密鑰值偏移攻擊等安全性，因?yàn)槠鋮f(xié)商過程缺少認(rèn)證，其計(jì)算量自然就降低。攻擊者可以篡改其參數(shù)值，那么安全屬性就得不到保障。在基于雙線性對的協(xié)議雖然計(jì)算開銷較大，但在安全性方面做得較好，大都運(yùn)用可證明安全理論證明協(xié)議的安全性(文獻(xiàn)[4-5,12,23,25])，實(shí)現(xiàn)多數(shù)安全屬性，例如王等[4]提出的第二種協(xié)議，雖然需要雙線性對運(yùn)算和多次乘法和冪運(yùn)算，但其在標(biāo)準(zhǔn)模型下證明協(xié)議滿足多種安全性，例如其無會(huì)話密鑰托管性是利用雙線性對的性質(zhì)以及CDH困難問題來逆向證明實(shí)現(xiàn)的；又如高志剛等[5]提出的兩種協(xié)議，從表中可以看到其需要對運(yùn)算、乘法及冪運(yùn)算，但也滿足多種安全屬性，在協(xié)議安全模型中，攻擊者具有獲取用戶私鑰、獲取會(huì)話密鑰和篡改協(xié)議的傳輸消息等多種能力，在該安全模型下證明協(xié)議的安全性后就可以知道協(xié)議滿足已知會(huì)話密鑰安全性、未知密鑰共享安全性和抵抗密鑰泄露偽裝攻擊等，同時(shí)協(xié)議采用消息認(rèn)證碼算法增加了密鑰確認(rèn)過程，相應(yīng)地也增加了協(xié)議的運(yùn)算量。

表1 雙方會(huì)話密鑰協(xié)商協(xié)議性能比較

表2 雙方會(huì)話密鑰協(xié)商協(xié)議安全屬性比較

續(xù)表2

表3 相關(guān)符號(hào)定義

4.2 群組密鑰協(xié)商協(xié)議對比

表4、表5將群組會(huì)話密鑰協(xié)商協(xié)議在計(jì)算性能和安全方面進(jìn)行對比。對比發(fā)現(xiàn)，群組密鑰協(xié)商協(xié)議計(jì)算開銷較大時(shí)，一般其滿足的安全屬性也較多，并形式化證明安全性，以計(jì)算代價(jià)換取協(xié)議的高安全性。例如張等[43]提出的協(xié)議，雙線性對和乘法的運(yùn)算量與群成員的數(shù)量成正比，運(yùn)算量隨著群成員數(shù)量增加而線性增長，計(jì)算開銷極大。但協(xié)議的安全性確實(shí)得到了保障，每個(gè)群成員需要利用雙線性對的性質(zhì)驗(yàn)證成員的身份信息以及密鑰的一致性，同時(shí)盲密鑰注冊方案保證了成員身份的匿名性，這些都相應(yīng)增加了計(jì)算成本。又如Wu等[38]提出的群密鑰交換協(xié)議，雙線性對、乘法、加法、冪運(yùn)算數(shù)量都與群成員數(shù)量線性相關(guān)，計(jì)算開銷大，但其每收到一輪信息，均會(huì)進(jìn)行相應(yīng)的驗(yàn)證工作以達(dá)到主動(dòng)監(jiān)測惡意攻擊者的目的，因此其計(jì)算開銷必然增加。當(dāng)協(xié)議的對運(yùn)算、求冪運(yùn)算等運(yùn)算次數(shù)較少時(shí)，實(shí)現(xiàn)的安全屬性也相應(yīng)較少，以犧牲協(xié)議的安全換取較高的效率。例如Shi[29]等提出的基于身份的一輪群密鑰協(xié)商協(xié)議，當(dāng)用戶的長期私鑰泄露時(shí)，攻擊者可以根據(jù)多個(gè)群成員的私鑰計(jì)算出會(huì)話密鑰，且一旦攻擊者篡改消息，用戶沒有相應(yīng)的驗(yàn)證機(jī)制來檢測篡改消息，同時(shí)協(xié)議沒有克服基于身份的協(xié)議的固有的會(huì)話密鑰托管的缺陷，從而可以看出設(shè)計(jì)簡單的協(xié)議是以安全性為代價(jià)換來的計(jì)算開銷的降低。

表4 群組會(huì)話密鑰協(xié)商協(xié)議性能比較

表5 群組會(huì)話密鑰協(xié)商協(xié)議安全屬性比較

5 結(jié) 語

會(huì)話密鑰協(xié)商協(xié)議近年來取得迅速發(fā)展，在雙方會(huì)話密鑰協(xié)商協(xié)議的研究中，基于雙線性對的密鑰協(xié)商協(xié)議因其在安全性方面取得的良好性質(zhì)，適用于保密通信等安全需求較高，但對效率性能的要求較為普通的環(huán)境中；不使用雙線性對的會(huì)話密鑰協(xié)商協(xié)議，因其簡單實(shí)用的設(shè)計(jì)，在效率性能方面具有突出的表現(xiàn)，在對實(shí)時(shí)性要求較高而對安全性的需求不高的環(huán)境中較為適用。在群組會(huì)話密鑰協(xié)商協(xié)議中，對稱群組密鑰協(xié)商協(xié)議與非對稱群組密鑰協(xié)商協(xié)議因?yàn)槭褂玫募夹g(shù)手段不同，各自的效率性能與安全性也都不盡相同，在不同的環(huán)境中需要根據(jù)實(shí)際的情況進(jìn)行選擇應(yīng)用，對稱群密鑰協(xié)商協(xié)議允許組內(nèi)成員安全地通信，可以應(yīng)用于視頻會(huì)議、網(wǎng)絡(luò)電話、文件共享等，非對稱群組密鑰協(xié)商協(xié)議不但能夠提供組內(nèi)加密通信，而且能夠提供廣播功能，只有合法用戶才可以解密，能夠在分布式環(huán)境、云環(huán)境系統(tǒng)中提供廣播式加密服務(wù)。

在協(xié)議的設(shè)計(jì)過程中，不但需要其充足的復(fù)雜度來抵抗攻擊，而且要有足夠的實(shí)用性經(jīng)濟(jì)性來真正實(shí)現(xiàn)應(yīng)用，因此需要在設(shè)計(jì)協(xié)議之初就考慮協(xié)議需要滿足的一些設(shè)計(jì)原則和目標(biāo)。

(1) 明確協(xié)議需要滿足的安全屬性。在最開始設(shè)計(jì)協(xié)議時(shí)，應(yīng)當(dāng)根據(jù)協(xié)議的設(shè)計(jì)目的明確協(xié)議需要滿足的安全屬性，雖然滿足盡可能多的安全屬性是我們設(shè)計(jì)協(xié)議的重要追求，但也需要滿足相關(guān)性能方面的要求，符合實(shí)際環(huán)境。

(2) 降低計(jì)算復(fù)雜度。在構(gòu)造協(xié)議時(shí)，要盡可能地降低計(jì)算的復(fù)雜度，減少復(fù)雜的密碼運(yùn)算的數(shù)量，節(jié)約計(jì)算資源，這樣既可以在計(jì)算能力充足的環(huán)境下使用，又可以在資源受限的環(huán)境中部署，增加協(xié)議的適用性。

(3) 降低通信復(fù)雜度。設(shè)計(jì)協(xié)議時(shí)，通信參與者互相傳遞的信息需要盡可能簡單，數(shù)量要少，這樣攻擊者獲取的信息量就少，降低了會(huì)話密鑰被破解的風(fēng)險(xiǎn)，同時(shí)也降低了通信開銷，節(jié)省資源。

(4) 減少安全假設(shè)數(shù)量。在設(shè)計(jì)協(xié)議前，設(shè)計(jì)者往往需要對協(xié)議使用環(huán)境進(jìn)行安全評(píng)估，做出適量的安全假設(shè)。例如第三方的參與是否為可信的，通信參與者是否可信等，安全假設(shè)的數(shù)量越多，那么協(xié)議的安全性越差，因此需要減少安全假設(shè)的數(shù)量，提高協(xié)議的安全性。

明確設(shè)計(jì)原則和目標(biāo)是首要步驟，之后再設(shè)計(jì)協(xié)議，雖然現(xiàn)有的協(xié)議在不斷地進(jìn)步發(fā)展，但設(shè)計(jì)新協(xié)議時(shí)在效率性能、安全性分析、應(yīng)用與新技術(shù)等方向仍然有待更深入研究。

(1) 協(xié)議效率性能方面：在設(shè)計(jì)協(xié)議時(shí)必須考慮計(jì)算開銷、通信開銷和安全性，在保證安全性的同時(shí)，實(shí)現(xiàn)高效快速與符合實(shí)際需求是會(huì)話密鑰協(xié)商協(xié)議必須考慮的問題。分析并改進(jìn)現(xiàn)有的方案、結(jié)合不同密碼體制下高效的協(xié)議，對設(shè)計(jì)滿足實(shí)際需求的高效、安全協(xié)議具有重要促進(jìn)作用，現(xiàn)有的協(xié)議在效率性能方面仍然有提升的空間，如何實(shí)現(xiàn)更多的安全屬性同時(shí)降低計(jì)算與通信開銷是現(xiàn)在會(huì)話密鑰協(xié)商協(xié)議主要的研究方向之一。

(2) 協(xié)議安全分析方面：通過建立各種會(huì)話密鑰協(xié)商協(xié)議在現(xiàn)代密碼學(xué)意義上安全的概念，運(yùn)用可證明安全理論，設(shè)計(jì)更加高效、更加安全的協(xié)議，特別是在標(biāo)準(zhǔn)模型下證明協(xié)議的安全性是另一個(gè)主要的研究方向，雖然現(xiàn)有的協(xié)議或者在隨機(jī)預(yù)言機(jī)模型下或者在標(biāo)準(zhǔn)模型下可證安全，但設(shè)計(jì)更加安全高效且可證安全的協(xié)議仍然十分重要。

(3) 協(xié)議應(yīng)用領(lǐng)域方面：會(huì)話密鑰協(xié)商協(xié)議特點(diǎn)突出，已經(jīng)在分布式系統(tǒng)、云計(jì)算等許多方向廣泛應(yīng)用。對會(huì)話密鑰協(xié)商協(xié)議的新應(yīng)用領(lǐng)域的不斷創(chuàng)新和探索是一個(gè)值得關(guān)注與研究的重要方向。

(4) 新技術(shù)結(jié)合方面：隨著新技術(shù)新方向的不斷出現(xiàn)，將會(huì)話密鑰協(xié)商協(xié)議與新的技術(shù)結(jié)合以實(shí)現(xiàn)新的更高目標(biāo)。例如將會(huì)話密鑰協(xié)商協(xié)議與區(qū)塊鏈技術(shù)結(jié)合以實(shí)現(xiàn)去中心化，到達(dá)不需要可信第三方參與的目標(biāo)。

參考文獻(xiàn)

[1] Sun H M, He B Z, Chen C M, et al. A provable authenticated group key agreement protocol for mobile environment[J]. Information Sciences, 2015, 321:224-237.

[2] Luo M, Zhang Y, Khan M K, et al. An efficient chaos-based 2-party key agreement protocol with provable security: Two-party Key Agreement Protocol[J]. International Journal of Communication Systems, 2017, 30(14):e3288.

[3] Xu D, Zhang S, Chen J, et al. A provably secure anonymous mutual authentication scheme with key agreement for SIP using ECC[J]. Peer-to-Peer Networking and Applications, 2017(1):1-11.

[4] 王圣寶, 曹珍富, 董曉蕾. 標(biāo)準(zhǔn)模型下可證安全的身份基認(rèn)證密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)學(xué)報(bào), 2007, 30(10):1842-1852.

[5] 高志剛, 馮登國. 高效的標(biāo)準(zhǔn)模型下基于身份認(rèn)證密鑰協(xié)商協(xié)議[J]. 軟件學(xué)報(bào), 2011, 22(5):1031-1040.

[6] H?lbl M, Welzer T, Brumen B. An improved two-party identity-based authenticated key agreement protocol using pairings[J]. Journal of Computer & System Sciences, 2012, 78(1):142-150.

[7] Bellare M, Rogaway P. Random oracles are practical[C]// The 1st ACM Conference on Computer and Communication Security. New York: ACM Press, 1993:62-73.

[8] Xie M, Wang L. One-round identity-based key exchange with Perfect Forward Security[J]. Information Processing Letters, 2012, 112(14-15):587-591.

[9] Cao X, Kou W, Du X. A pairing-free identity-based authenticated key agreement protocol with minimal message exchanges[J]. Information Sciences, 2010, 180(15):2895-2903.

[10] Canetti R, Goldreich O, Halevi S. The random oracle methodology, revisited (preliminary version)[J]. Journal of the Acm, 2000, 51(4):557-594.

[11] 高海英. 可證明安全的基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)研究與發(fā)展, 2012, 49(8):1685-1689.

[12] 陳明. 標(biāo)準(zhǔn)模型下可托管的基于身份認(rèn)證密鑰協(xié)商[J]. 電子學(xué)報(bào), 2015, 43(10):1954-1962.

[13] Diffie W, Hellman M E. New directions in cryptography[J]. IEEE Transactions on Information Theory, 1976, 22 (6):644-654.

[14] Shamir A. Identity-based cryptosystems and signature schemes[C]// Proceedings of the C RYPTO′84, Lecture Notes in Computer Science 196. Berlin: Springer-Verlag, 1984:47-53.

[15] Islam S H, Biswas G P. An improved pairing-free identity-based authenticated key agreement protocol based on ECC[J]. Procedia Engineering, 2012, 30(4):499-507.

[16] Galindo D, Garcia F D. A Schnorr-Like Lightweight Identity-Based Signature Scheme[C]// Progress in Cryptology-AFRICACRYPT 2009, Second International Conference on Cryptology in Africa, Gammarth, Tunisia, June 21-25, 2009. Proceedings. 2009:135-148.

[17] Ran C, Krawczyk H. Analysis of Key-Exchange Protocols and Their Use for Building Secure Channels[J]. Lecture Notes in Computer Science, 2001, 2045:453-474.

[18] Ghoreishi S M, Abd Razak S, Isnin I F, et al. New secure identity-based and certificateless authenticated Key Agreement protocols without pairings[C]// Biometrics and Security Technologies (ISBAST), 2014 International Symposium on. IEEE, 2015:188-192.

[19] Ghoreishi S M, Isnin I F, Abd Razak S, et al. Secure and authenticated key agreement protocol with minimal complexity of operations in the context of identity-based cryptosystems[C]// International Conference on Computer, Communications, and Control Technology. IEEE, 2015.

[20] Smart N P. Identity-based authenticated key agreement protocol based on Weil pairing[J]. Electronics Letters, 2002, 38(13):630-632.

[21] Boneh D, Franklin M K. Identity-Based Encryption from the Weil Pairing[C]// International Cryptology Conference on Advances in Cryptology. Springer-Verlag, 2001:213-229.

[22] Shim K. Efficient ID-based authenticated key agreement protocol based on Weil pairing[J]. Electronics Letters, 2003, 39(8):653-654.

[23] Mccullagh N, Barreto P S L M. A new two-party identity-based authenticated key agreement[C]// International Conference on Topics in Cryptology. Springer-Verlag, 2005:262-274.

[24] Gentry C. Practical identity-based encryption without random oracles[J]. Lecture Notes in Computer Science, 2006, 4004:445-464.

[25] Liu Z H, Ma H. New two-party identity-based authenticated key agreement protocol without random oracles[C]//Proceedings of the 4th International Conference on Information Security and Cryptology.Beijing:Science Press,2009.78-91.

[26] Chen L, Cheng Z, Smart N P. Identity-based key agreement protocols from pairings[J]. International Journal of Information Security, 2003, 20(4):219-233.

[27] 李娜, 董云衛(wèi), 車天偉,等. 可認(rèn)證無證書密鑰協(xié)商協(xié)議研究與改進(jìn)[J]. 武漢大學(xué)學(xué)報(bào)(工學(xué)版), 2017, 50(1):146-149.

[28] Zhang F, Liu S, Kim K. ID-based one round authenticated tripartite key agreement protocol with pairings[DB]. 2002, oai:CiteSeerX.psu:10.1.1.79.2509.

[29] Shi Y, Chen G, Li J. ID-based one round authenticated group key agreement protocol with bilinear pairings[C]// International Conference on Information Technology: Coding and Computing. 2005,1:757-761.

[30] He Y Z, Han Z. An Efficient authenticated group key agreement protocol[C]//Proc of the 41st Annual IEEE Int Carnahan Conf on Security Technology. Piscataway, NJ: IEEE,2007:250-254.

[31] Yao G, Wang H, Jiang Q. An authenticated 3-round identity-based group key agreement protocol[C]// International Conference on Availability. IEEE Computer Society, 2008:538-543.

[32] Yuan W, Hu L, Li H, et al. Analysis of an Authenticated 3-Round Identity-Based Group Key Agreement Protocol[M]// Computer, Informatics, Cybernetics and Applications. Springer Netherlands, 2012:889-896.

[33] Zhou L, Susilo W, Mu Y. Efficient ID-Based authenticated group key agreement from bilinear pairings[C]// Mobile Ad-hoc and Sensor Networks, Second International Conference, MSN 2006, Hong Kong, China, December 13-15, 2006, Proceedings. 2006:521-532.

[34] Teng J K, Wu C K, Tang C M, et al. A strongly secure identity-based authenticated group key exchange protocol[J]. Science China Information Sciences, 2015, 58(9):1-12.

[35] Zhao J J, Gu D W, Gorantla M C. Stronger security model of group key agreement[C]// Proceedings of 6th ACM Symposium on Information, Computer and Communications Security, Hongkong, 2011:435-440.

[36] 陳勇, 何明星, 曾晟珂,等. 兩輪次的可否認(rèn)的群密鑰協(xié)商協(xié)議[J]. 密碼學(xué)報(bào), 2016, 3(2):137-146.

[37] Teng J K, Wu C K, Tang C M. An ID-based authenticated dynamic group key agreement with optimal round[J]. Science China Information Sciences, 2012, 55(11):2542-2554.

[38] Wu T Y, Tsai T T, Tseng Y M. A provably secure revocable ID-based authenticated group key exchange protocol with identifying malicious participants[J]. Informatica, 2014, 2014(3):29-42.

[39] Wu Q, Mu Y, Susilo W, et al. Asymmetric group key agreement[C]// Advances in Cryptology - EUROCRYPT 2009, International Conference on the Theory and Applications of Cryptographic Techniques, Cologne, Germany, April 26-30, 2009. Proceedings. 2009:153-170.

[40] Zhang L, Wu Q, Qin B, et al. Identity-Based authenticated asymmetric group key agreement protocol[J]. Journal of Computer Research & Development, 2014, 6196(19):510-519.

[41] Zhang L, Wu Q, Qin B, et al. Asymmetric group key agreement protocol for open networks and its application to broadcast encryption[J]. Computer Networks, 2011, 55(15):3246-3255.

[41] Wei G, Yang X, Shao J. Efficient certificateless authenticated asymmetric group key agreement protocol[J]. Ksii Transactions on Internet & Information Systems, 2012, 6(12):3352-3365.

[43] 張啟坤, 王銳芳, 譚毓安. 基于身份的可認(rèn)證非對稱群組密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(8):1727-1738.

[44] 陳若昕, 陳杰, 張躍宇,等. 無證書非對稱群密鑰協(xié)商協(xié)議[J]. 密碼學(xué)報(bào), 2016, 3(4):382-398.