使用最少信息交换的基于身验证的配对密钥协商协议.doc

7使用最少信息交换的基于身份验证的免配对密钥协商协议摘要基于计算的Diffie-Hellman问题，这篇文章提出了一种基于身份验证的密钥协商协议，这种协议去除了双线性对。与之前的协议对比，新协议在没有额外开销（的情况下）使得信息交换时间最小化。这种协议提供了强大的安全保障包括密钥泄漏模拟弹性,完美的正向加密，主要密钥正向加密。在Bellare-Rogaway模型中使用模块化方法的安全性也被论证。关键词: 基于身份的，可认证的密钥协商，椭圆曲线，双线性对，模块方法1.前言基于身份的认证密钥协商协议 (ID-AKA) 在两个用户间创建安全回话密钥而无需使用用户基于ID的私有长期密钥预建安全关联。（用户）一方选择一种短期密码来生成密钥令牌并同他的另一方交换密钥令牌以建立会话密钥。之后，协议的两个参与者可以基于他们私有的长期密钥生成会话密钥，临时密钥，对等密钥令牌和对等公用密钥。双线性对是一种数学工具，它将椭圆曲线群中的两个要素映射到在相关有限域中的一个要素上，常被用于创建基于身份认证的密钥协议（ID-AKA）和别的安全方案中6,17,20。然而，由于双线性对一直被定义在使用大尺寸元素的超级奇异椭圆曲线群之上，配对的操作时间甚至超过美国RSA实验室的私有密钥操作时间，（RSA）使得配对成为现存的最昂贵的加解密操作之一。因此，无需配对的基于身份认证的密钥协议（ID-AKA）或许在实践中更有吸引力。环境关系着通信每个回合的时间。例如，在移动IP注册中，（人们）希望使用一轮认证密钥协议（AKA）来降低在一个国外域名和国内域名之间的信息交换时间10。再比如在无线传感器网络（WSN）中，首选两个回合的认证密钥协议（AKA）来延长无线传感器网络（WSN）的生命周期21。尽管没有被明确阐述，通常的理解是一个完美的ID-AKA协议应该是一个回合的，即总共包含两个协议信息，来实现非交互的密钥协议。许多使用配对的基于身份的认证密钥协议(ID-AKA)在Joux（基于配对的三重密钥创建协议），Boneh 和 Franklin（来自配对的基于身份验证的加密3）的工作之后被提出，例如，Smart协议19，SCK协议8，CJL协议9和MB协议14。所有的这些协议用最少的信息交换实现安全会话密钥的创建，持续地减少了配对的使用。著名的MB协议仅仅需要一个配对操作。2007年的时候，Zhu et al. 22基于椭圆曲线密码体制（ECC）提出一种不使用配对的基于身份的认证密钥协议(ID-AKA)。然而，这一协议将无需配对基于身份认证的签章模式和Diffie-Hellman密钥交换相结合，这样一种显示的认证方式导致了更大的计算复杂度和消息量。之后，Cao et al. 4基于在椭圆曲线密码体制群上（出现的）计算的DifeHellman(CDH)问题和分割的DifeHellman(CDH)问题提出了一种免配对的基于身份的认证密钥协议(ID-AKA)。他们的协议实现了使自身效率更高的隐式认证。不幸的是，朱先生和曹先生的协议都需要三个消息交换。因此，最小化免配对的基于身份的认证密钥协议(ID-AKA)的消息交换时间依然是一个公开的难题4。在这篇论文中，我们解决了在椭圆曲线密码体制（ECC）群中存在的计算的DiffieHellman问题，（所提出的）协议也是免配对的并且能够被延伸到在不同域中的用户之间创建验证密钥。我们也在mBR模型中使用KudlaPaterson的模块化方法证明了这种协议的安全性。论文的剩余部分按照如下的方式来组织。包括基于身份的密码系统和椭圆曲线密码体制（ECC）群的预备知识在第2节中介绍，第3节描述了安全模型。第4节介绍了新的基于身份的认证密钥协议(ID-AKA)。第5节给出了正式的安全论证。第6节是论文总结。2.预备知识2.1基于身份的密码系统基于身份的信息密码系统(IBC)的概念由Shamir在1984年提出，用于去除传送，验证和维护的公用密钥证书。基于身份的密码系统(IBC)利用一个用户的独有的标识符，例如，电子邮件地址，而不是一个随机数作为用户的公用密钥，用户相应的私人密钥由系统受信任的管理局基于用户的公用密钥产生。系统地的可信任管理局是独一无二的同时也是基于身份的密码系统地创建者。依照由用户生成的最终输出是否为管理局所知，系统的可信管理局被称作私有密钥生成器（PKG）或者密钥生成中心（KGC）。在基于身份的认证密钥协议(ID-AKA)中，会话密钥对管理局保密，因此管理局被称作密钥生成中心（KGC）。密钥生成中心（KGC）拥有一个保密的系统主密钥x，用户的长期密钥（也称作用户的私有密钥）使用一个确切的函数f生成：用户长期密钥=f（用户公用密钥，公共参数）在基于身份的密码系统(IBC)中，用户私有密钥通过安全的带外信道（传送）给用户，事实上，它就是用户的隐式证书。尽管这样的隐式证书只为用户和密钥生成中心（KGC）所知，它的有效性可以公开验证，这使得基于身份的密码系统(IBC)能够去除公用密钥证书。2.2椭圆曲线群在这一节，我们介绍椭圆曲线群和（使用）它所存在的相应的难题。假设符号E/Fp代表一条在一个黄金有限域Fp中的椭圆曲线E,由公式y2 = x3 + ax + b（a,bFp）和判别式 = 4a3 + 27b20定义。在E/Fp（曲线）上的点和无穷远处的附加点形成一个群组。G是一个属于相异点相加群组类型的循环加法群，“+”定义如下：假设P，QG，同时假设l是包含P，Q两点的曲线（E/Fp曲线的切线当P = Q时），R是l和E/Fp曲线的第三个交点。假设l曲线经过点P和点，（由此可得）P +”Q是使l和E/Fp相交于R,和P +” Q的点。E/Fp曲线上的标量乘法可以计算如下：。如下问题存在于椭圆曲线群中。计算的Diffie-Hellman（DDH）难题：对于，并且P是G的产生者，给定(aP, bP),计算abP。决策的Diffie-Hellman（DDH）难题：对于，并且P是G的产生者，给定（aP，bP，cP）以此来决定是否（满足）cP=abP，也就是决定c = ab mod p等式是否成立。DifeHellman缝隙(GDH)难题：对于，并且P是G的产生者，给定(aP, bP)和在G（范围）内能够解决DDH难题的的方法，计算abP。计算的Diffie-Hellman（DDH）问题和决策的Diffie-Hellman（DDH）问题被认为很复杂。也就是说它们不可能用多项回归式时间内使用用于定义问题实例的安全参数来解决，同时计算的Diffie-Hellman（DDH）问题中不存在双线性对。3.用于在mBR模型中作安全性验证的模块化方法改进的BellareRogaway模型(mBR model) 1是一个描述了认证密钥协议（AKA）的明确定义的模型。然而，在BellareRogaway模型（mBR）模型中的校验通常易于出错。为了在BellareRogaway（mBR）模型中给认证密钥协议（AKA）提供一种简洁而准确的安全验证,Kudla和Paterson提出了被认为是论证认证密钥协议（AKA）7的最好的解决方案之一的模块化方法13。下边我们来介绍这一方法。3.1mBR模型mBR模型1为认证密钥协议（AKA）的安全性提供了正式的定义。在这种模型中，协议被建模为一个对，这里指定了参与者表现出的忠实度；G为每一个实体生成密钥对。P用来输入安全参数1k，发送方i的身份,预期受体j的身份，i的密钥对和j的公用密钥Ki, j，还有一个到目前为止一直运行的协议的瞬态分析副本。输出三个一组的（m,k），这里，m是发送自i到j的下一条信息。（Reject,Accept,*）是它的当前决策，k是约定的会话密钥。的安全性由在E和挑战者间的BellareRogaway(mBR)规则所定义。在这个规则里，E有权使用一个预测集，这意味着，在参与者i和j之间的某种协议，并且允许生成多项式的查询包括以任一顺序对任何预测进行发送，暴露，和破坏。接下来在同一时刻，E须要对无经验的预测做测试查询。这里，如果显露出来则被称作过期的预测。或者它有一个已暴露的搭档。或者如果它的搭档遭到破坏。如果一个预测没有过期，则这个预测是新鲜的。然后挑战者在b0，1中任意选择以使用在b=0时的会话密钥对E做出响应，否则（在b取其它值的）情况下，使用来自会话密钥分布中的随机样本（来对E做出响应）。这个时刻过后，E可以继续查询预测除（以下情况）外：（一种情况是）E不能显示出测试的预测或者它的搭档预测（如果存在的话）；（另一种情况是）E不能破环它的搭档j。最终，E输出它对b的推测b。E的优势AdvantageE(k)定义为b=b的几率。AKA协议可以使用E的优势概念定义如下：定义1.在满足以下条件时该协议可以是一种mBR安全AKA协议：（1）在良性对手的情况下，运行协议的两个预测都接受持有相同的会话密钥和会话身份，会话密钥一致在0, 1k中随机分配并且（2）对于任何对手E ，在cNR-mBR规则下的AdvantageE(k)可以忽略。因为E被形式化为用一种方式可以执行来自真实世界中的所有类型的攻击，所以当它满足定义1时，该协议提供合适的安全属性包括已知会话密钥安全，正向保密，密钥折中模拟弹性和未知的密钥共享弹性。要注意的是这一节的介绍在形式上十分简化，读者可以参照论文1和2获取详细的定义。3.2Kudla和Paterson的模块化方法为了简化mBR模型中的安全论证，Kudla和Paterson提出了被称作cNR-mBR（计算的非暴露的mBR规则）规则的简化的规则。计算的非暴露的mBR（ cNR-mBR）除了不允许E来要求暴露的查询和E不再做测试查询之外等同于一个mBR规则。取而代之的是，对手在规则最后必须选择一个可接受的和无经验的预测，为了在规则中获胜，它必须估算会话密钥而不是在一个会话密钥和随机值之间做决定。在这样一个规则中，E的优势（AdvantageE(k)）被定义为E输出会话密钥sk如的几率。这样一来，协议安全如下定义：定义2.在满足以下条件时协议具有cNR-mBR的安全性：（1）在良性对手的情况下，运行协议的两个预测都接受持有相同的会话密钥和会话身份，会话密钥一致在0, 1k中随机分配并且（2）对于任何对手E ，在cNR-mBR规则下的AdvantageE(k)可以忽略。要使用模块化方法，首先将目标协议转换成等同于的相关的协议。除了（以下情况外）产生散列的会话密钥而使用哈希函数的输入串作为会话密钥。之后使用定义2在cNR-mBR规则中验证的安全性。因为cNR-mBR规则非常简单，论证（过程）简单明了。最后，使用以下定理，在cNR-mBR规则中的安全性可以与mBR规则中的的（安全性）相关联。定理1.假设一种密钥协议在该协议结束时产生散列的会话密钥（通过哈希函数H）并且具有强壮的搭档（下边有定义）。如果相关协议的cNR-mBR安全性是可化简为具有一些关系f的计算难题的困难度的概率多项式时间，的会话字串决策难题是可简化为f的决策难题多项式时间，的mBR安全性可简化为f的间隙问题的困难度的概率多项式时间。，假设H是一个随机预测。强搭档用定理1的定义如下定义3.如果存在对手E，当在mBR规则中使用不可忽略的存在与安全参数k中的几率攻击时，可以做任何的两个预测 和 ，（这两组预测）当它们不是搭档的时候，接受支持相同的会话密钥。这样一来我们可以说拥有弱的搭档。如果P没有弱搭档，我们说P具有强搭档。完美的正向保密性和主密钥正向保密性对于基于身份的认证密钥协议(ID-AKA)来说是重要的性能。完美的正向保密性意味着参与者双方长期密钥的泄漏不会影响会话密钥的安全性；如果即便是密钥生成中心主密钥泄漏泄漏会话密钥也是安全的，（这样才能）满足主密钥正向保密性。在cNR-mBR规则下，完美的正向保密性和主密钥正向保密性可被作如下定义，定理1的结果依然对这些特性有效：定义4.一种验证密钥（AK）协议声称能够在cNR-mBR中实现完美的正向保密性，如果它选择一个可接受的无经验的预测 作为测试预测在任何多项式时间内对手可以微不足道的优势赢得竞赛，用一个无经验的可接受的预测 ，i和j可以被破坏。如果在竞赛中主密钥也可能被显露，如此以来，协议实现了主密钥正向保密性。长期密钥的破环或者主密钥的显露可能发生在竞赛的任一时刻。读者可以参照13获取关于Kudla和Paterson的模块论证的详细描述。3.3模块化模型的准确性Kudla和Paterson的模块化验证去除了对揭露查询的要求，在依然可以保证验证结果精确无误的前提下简化了论证过程。在这一（节）部分中，我们分析（它的）原因。在mBR模型的安全性验证（过程）中，挑战者（或者称作模拟算法）A需要回答对手的揭露查询。对于查询这里我表示受攻击的集合，A不能够回答因为A通常需要去解决连自己都不知道如何解决的复杂的计算难题。否则会话密钥可以使用预测的短暂的密码和搭档的尝试密钥被计算出来，这违反了密钥折中模拟弹性。对于别的揭露查询而言，A可以很容易地回复它们，因为A知道相应的私有长期密钥。然而，A必须回复两种揭露查询因为它们模拟了已知的会话密钥攻击。为了回复查询以保持与现实世界的不可分辨性，不同的方法已被提出，这些方法的汇总在7中。模块化方法解决了通过提出cNR-mBR竞赛解决了难题，它去除了揭露查询。由于模块化方法假设对A来说存在特定的方式去回复不可能的查询，所以这种去除不会影响验证的正确性，这种方法在定理1的验证过程中给出。这种方法使用一个随机预测H和一个决策预测对相似分类中的所有AKA协议是共同的。事实上，在mBR模型中对正确的直接验证可以通过合并这种方法和在cNR-mBR竞赛中的验证（参见附录A中的我们协议的一个实例）。然而，可以使用模块化方法去简单地获得cNR-mBR的安全性然后应用定理1来得到的mBR安全性，而不是去做那些。因为cNR-mBR竞赛非常简单，所以很容易保持不可分辨性，准确地获取cNR-mBR的安全性能。因为定理1被证明是正确的，最终对的mBR安全性总结是很明确的。因此，可以证明的是它的安全性简明精确，这种模块化方法被认为是现存最好的方法之一。4.无需配对的基于身份的验证密钥协议（ID-AK）4.1协议描述这一节中我们叙述我们使用两条信息交换的免配对基于身份的验证密钥协议。这一协议由三个随机化的算法组成，即设置，抽取和密钥约定。设置：采用安全参数k，返回系统参数和主密钥。给定k，密钥生成中心（KGC）做如下的工作：（1）选择k位的主要的p确定在2.2节中定义的元组。（2）选择主密钥计算系统公用密钥Ppub=xP。（3）选择两个用密码写的安全的哈希函数和。（4） 将作为系统参数，并保持主密钥x的保密性。抽取：将系统参数，主密钥，和一个用户的标识符作为输入，返回该用户的基于身份的长期密钥。用这种算法，密钥生成中心（KGC）为每一个具有标识符IDU的用户U按照如下的方式工作：（1）在范围内随机选择，计算和。（2）计算。用户U的私有长期密钥是(sU, RU)对并且通过安全的带外信道传送给用户U。用户U通过核对是否能够由公式保留下来的方法来使长期密钥生效。如果公式保留（密钥的话）长期密钥生效反之亦然。密钥约定：对于两个想使用两条信息建立认证的会话密钥的用户A和B来说，他们应当按如下指示去做：（1） 为了和预期的响应者B启动一个认证的密钥协议（AKA），发起者A需要：（a） 随机选择短暂密钥并且计算密钥令牌；（b） 发送IDA, RA和密钥令牌TA到用户B。（2）从用户A接受初始信息，用户B应该：（a） 随机选择B的短暂密钥并且计算密钥令牌；（b） 发送标识符IDB, RB和密钥令牌TB到用户A然后用户A和用户B用如下的方式计算共享密钥A计算B计算共享密钥约定因为：所以A和B约定的会话密钥可被计算如下和之前4中（所述）的协议一样，新协议可以被延伸至在不同域的用户间创建验证的密钥。方法和4中所述的一样，在此不再赘述。4.2性能对比在这一节中，我们对比了把我们的协议性能和MB协议14，朱先生22，曹先生4的协议的经行对比。在计算效率方面，我们为使用一种标准的密码库MIRACAL18的密码操作获得了运行时间。硬件平台是主频3GHz奔腾4处理器，内存512M，操作系统Window XP。对于基于配对的协议来说，要达到1024位RSA的安全水准，我们在植入度为2的超奇异椭圆曲线上使用塔特配对。q是160位的Solinas初始值 q = 2159 + 217 + 1，p是512位的初始值满足p +1= 12qr。对于建立在椭圆曲线密码系统（ECC）上的协议，为了达到相同的安全等级，我们在Koblitz椭圆曲线y2 = x3 + ax2 + b（用a=1和b定义于）上使用椭圆曲线密码群，其中a是163位的随机初始值。运行时间列于表1中，sca.mul.代表标量乘法。为了评估不同协议的计算效率，我们使用15中（介绍的）简单方法。例如，在MB-I协议14中，需要一个配对操作，两个基于配对的标量乘法和中的指数来创建一个会话密钥，作为结果的计算时间是20.01 + 6.38 x 2 + 11.20 = 43.97 ms。我们依据带宽和信息交换次数对通信效率做了对比。我们假定用户身份信息长度是16位。在MB-I协议中，最长的信息包含存在于基于配对群的一个点和一个身份信息，因此MB-I的带宽是(512 + 16)/8 = 66 byte.对比结果在表2中列出。B identier IDB, RB and the key token TB to A.K 1 Table 1Cryptographic operation time (in milliseconds).PairingPairing-based sca.mul.Exponential in Fp2ECC-based sca.mul.20.016.3811.200.83Table 2Performance comparison of different protocols.Computation (in ms)Bandwidth (in bytes)Message exchange timesMB-I 1443.97662Zhus protocol 224.98843Caos protocol I4.15433New protocol4.15432根据表2，新协议的计算耗时是MB协议的9.44%，是朱先生协议的83.3%。与曹先生的协议相比较，新协议在没有增加额外开销的情况下减少了一次信息交互。因此，新协议降低了由信息传输所带来的延时和能量消耗，这使得它更有用。5.安全性论证在这一节我们使用Kudla和Paterson的模块化方法来论证新协议的安全性。我们首先将新协议转变成相关的协议，该协议除了使用字串作为会话密钥外与前者相似，是使用字串（作为会话密钥）。之后我们证明了的cNR-mBR安全性。定理2.给定协议的安全参数k，对于来说，如果存在一个能够在多项式时间t(k)内以不可忽略的几率n(k)赢得cNR-mBR竞赛的对手E。DiffieHellman（CDH）难题就可以一种不可忽略的几率在时间t(k)内得以解决。论证.假设A被赋予CDH难题在(aP,bP)G域的实例，它的任务是用c=ab mod p计算cPG。为了实现（这个目标），A在cNR-MBR竞赛中模拟了E的一个挑战者。A规定哈希函数为H1并且维护一个初始化为空的哈希函数列表。竞赛中参与者的数量由np(k)标识，每个参与者可能参加的会话的数量由ns(k)标识。第i个参与者的长期密钥IDi 是 (si, Ri) IDi是相应的公共密钥。A生成IDi的长期密钥如下：A首先随机选择P0G并把P0设为系统公用密钥Ppub。然后A随机选择I1, . , np(k)并为IDi生成长期密钥。A选择并计算RI = bP hIP0。然后被设置为IDI的私有长期密钥。对于满足i1, . , np(k)和iI的所有IDiA通过第一次随机选择设置长期密钥。然后A计算Ri = siP-hiP0 (si,Ri)就是IDi的长期私有密钥。最后A将Ri和IDi传送给E并且将元组IDi,Ri,hi加到i = 1, . ,np(k)时的H1列表中。然后A随机挑选J1, . , np(k)I，v1, . , ns(k)，A通过答复E的查询来启动E，具体如下：H1(IDi, Ri):如果元组IDi, Ri, hi已经存在于哈希函数列表中，A回应hi，否则A选择，将IDi, Ri, li加到哈希列表中并对E回应li。：如果，A依照协议规范行动。否则A用元组(IDj, Rj, aP)回应。（i）：如果i = I,A终止行动。否则A对E返回si。A选择作为测试预测和IDj = IDI几率是。在这种情况下，E不会破坏IDI，也不会终止运行。如果E能够赢得这样的一个cNR-mBR比赛，那么在比赛的最后它会输出表中对会话密钥的猜测值0, 1* x 0, 1* x A x B x C x D。A也可能输出，这里M是查询的输入信息。所以A可以在t(k)范围内以不可忽略的概率解决CDH难题。这里C是一个常量。在我们定理1用于上边的结果之前，我们应该证明协议满足强搭档特性。定理3. 协议在随机预言模型中拥有强搭档。论证.用pida标识用户a的搭档。假设对手E在pidij 和 pidji时可以拥有两个预言接受支持相同的会话密钥。如果是发起者，为了获得会话密钥，它必须用表IDi, IDpidi, A, B, C, D对H2随机语言进行查询。并接收hi2作为会话密钥。对于拥有相同会话密钥的来说，它必须进行表IDpidj, IDj, A, B, C, D 的H2查询，因为IDjIDi。它必须使得，反之亦然。和是搭档，与假设矛盾。因此，当E作为会话发起者的时候，获取合格的是不可能的。同样可以证明当作为相应方的时候。至此论证完成。下边的推论直接来自定理1至3中对安全性（的论证部分）。推论1.在假定间隙DifeHellman问题的困难度（的情况下）协议在随机猜想模型中是安全的。因此，协议提供了已知的会话密钥的安全性。密钥折中模拟弹性和未知的密钥共享弹性，这种协议即便面临Kaliski的未知密钥共享攻击时其（性能也是）令人满意的。如12中所示。现在我们来论证所提出协议的正向保密性。定理4.给定的安全系数k，对于来说如果存在一个能够在cNR-mBR竞赛中于多项式时间t(k)内以不可忽略的概率n(k)打破主密钥正向保密性的对手，那么DiffieHellman(CDH)难题就可以在t(k)内以不可忽略的概率n(k)一半的几率得以解决。论证.假设A被赋予DiffieHellman(CDH)难题(aP, bP)的一个实例，它的任务是用c=ab mod p计算cPG。为了实现（这个任务），A模拟挑战者并且设置协议以以下方式运作。A随机选择并设置x为主密钥。竞赛中的参与者的数量由np(k)标识而每个参与者参加的会话的数量由ns(k)标识。对于每一个参与者IDi(i1, . , np(k)来说A选择。A传递(IDi,ri)和x给E。A同时为发送查询维护表的一个-列表，这个列表被初始化为空。和的定义将在后面介绍。为了回应E的发送查询，A首先检查M是否是传送给第一条信息。如果是的话，A用掷硬币的方式来选择，如果掷硬币的结果是，那么返回；否则A返回。在两种情况下，A将元组加入到-列表中。否则如果A不是发给的第一条信息，A简单地接受。然后在某一阶段，E选择一个测试预言和它的搭档，两个预言都是新鲜可接受的。E输出它对会话密钥0, 1* x 0, 1* x A x B x C x D的推测值，如果在情况下，A（运行）失败并终止。否则A输出作为对DiffieHellman(CDH)难题的推测。因为的概率是,所以A的成功概率是。因为在以上的论证中，允许对手拥有协议参与者的长期密钥，完美的正向保密特性也被证明。同样地，下边的推论可被给予协议的正向保密特性。推论2. 在随机预言模型中，假定间隙DifeHellman问题困难度（的情况下）协议满足完美的正向保密和主密钥正向保密的特性。6. 结论在这篇论文中，我们在计算的DifeHellman难题的基础上提出了一种免配对的基于身份验证的密钥协议（ID-AKA）。协议提供了强大的安全保护包括密钥折中模拟弹性，完美的正向保密和主密钥正向保密。我们也这名了使用模块化方法的协议的安全性。与之前的协议对比，新协议无需额外开销（的情况下）最小化了信息交换时间，因此降低了能量小号和协议延时，这有利于协议的实际应用。致谢作者感谢Bruce Maggs教授的对于这篇论文建设性的评论和审议。同样也感谢Heather Lanehe 和Mia Berge女士对论文语言的修正。感谢帮助改进论文的无名的评审和编辑（谢谢！）。附录A.在mBR模型中对所提出协议的直接验证在这一节中，我们在mBR模型中对我们的基于身份的验证密钥协议（ID-AKA）作直接验证。验证建立在于模块化方式中提出的方法和cNR-mBR竞赛中的试验结合的基础上。我们这样做是为了说明模块化方法的正确性。验证如下所示：定理5.给定协议的安全系数k，对于来说如果存在一个能够在多项式时间t(k)内以不可忽略的几率n(k)赢得mBR竞赛的对手，那么DiffieHellman(CDH)难题就可以在时间t(k)内以不可忽略的几率得以解决。论证. 假设A被赋予DiffieHellman(CDH)难题(aP, bP)的一个实例，它的任务是用c=ab mod p计算cPG。为了实现（这个任务），A模拟在一个mBR竞赛中E的挑战者。A规定哈希函数Hi(i = 1, 2)并维护一个初始化为空的Hi函数列表；A同时也为发送查询维护一个初始为空的X列表，为揭露查询（维护）一个初始为空的K列表。竞赛中参与者的数量由np(k)标识而每个参与者参加的会话的数量由ns(k)标识。第i个参与者IDi的长期密钥是(si, Ri)，IDi是相应的公用密钥。A生成IDi的长期密钥如下：A首先随机选择P0G并把P0设置为系统的公用密钥Ppub。然后A随机选择I1, . , np(k)并为IDi生成长期密钥。A选择并计算RI = bP hIP0。然后被设置为IDI的私有长期密钥。对于满足i1, . , np(k)和iI的所有IDi，A通过第一次随机选择设置长期密钥。然后A计算Ri = siP-hiP0(si,Ri)就是IDi的长期私有密钥。最后A将Ri和IDi传送给E并且将元组IDi,Ri,hi加到i = 1, . ,np(k)时的列表中。然后A随机挑选J1, . , np(k)I，v1, . , ns(k)，A通过答复E的查询来启动E，具体如下：:如果元组IDi, Ri, hi已经存在于列表中，A回应hi，否则A选择，将加到列表中并对E回应。：如果iI,A将si返回给E，否则A终止（事件1）。：A维护一个具有形式的列表到目前为止是的副本而将在后文中描述。A用如下的（方式）来回应查询：l 如果，根据的规定回应查询，注意当M不是的第二条信息时A会在随机选择并将相应计算为，之后A更新列表中以为索引的元组。l 否则回应aP并用更新元组。：A维护一个具有形式的列表，这里是所参与的会话发起者的（身份）识别而是应答者的（身份）识别。其它项将在之后进行描述。A按照如下(的方式)回应查询:如果，终止（事件2）。否则如果iI，获得si 并遍历列表以得到相应的和。根据mBR竞赛规则，在列表一定存在该项，因此A计算和。 作一个H2查询，如果是（作为）发起者（的）预言，那么查询以形式为否则查询形式。将H2的相应设置为。如果i=I，遍历列表以得到相应的和。如果是（会话的）发起方，遍历H2列表以查找是否存在以为索引的元组；否则索引为。 如果存在这样一个元组，相应的和满足公式为G群创建了一个适合的双线性映射。然后获取相应的并设置。否则在中随机选择。将插入列表并返回。：H2列表具有的形式，A回应H2的查询如下： 如果一个以为索引的元组已经存在于H2列表中，用相应的回应。如果没有这样一个元组如果保留的和等式为G群提供一个合适的双线性对，遍历列表。 如果列表中存在以为索引的元组，获取相应的并设置。 否则在中随机选择。否则如果等式不能被保留的话，在中随机选择。将元组插入H2列表并回应。E选择作为测试预言和的几率均为。在这种情况下，E不会作和查询。因此A不会终止。如果E能够在这样一个mBR竞赛中获胜，那么当为发起预言时E必须以的形式做相应的H2查询或者几率性很大的因为H2是随机预言。这样一来，A能够找到H2列表中的相应项，并输出作为计算的Diffie-Hellman（CDH）难题的解决方案。A解决CDH难题的概率为，这里c是一个常量。可以看出，在以上的论证中，揭露查询使用由模块化验证拟建的方法来应答。其余的验证与cNR-mBR竞赛中的验证完全相同。由于应答揭露查询的方法对每种协议通用，所以省略（其它协议的验证过程的做法）是安全的。因此通过证明一个协议的cNR-mBR安全性，可以获得相关的mBR安全性声明（但是应该减少对相关的决策性难题而不是计算性难题使用安全性声明）。所以，模块化方法能够为一种协议提供正确的安全验证。References1 M. Bellare, P. Rogaway, Random oracles are practical: a paradigm for designing efcient protocols, in: Proceedings of the 1st ACM Conference Computer and Communications Security, 62C73, ACM Press, 1993.2 S. Blake-Wilson, D. Johnson, A. Menezes, Key agreement protocols and their security analysis, in: Proceedings of the 6th IMA International Conference on Cryptography and Coding, 1997, pp. 3045.3 D. Boneh, M. Franklin, Identity-based encryption from the weil pairing. in: Proceedings of the CRYPTO2001, LNCS, vol. 2139, pp.213229, 2001.4 X. Cao, W. Kou, Y. Yu, R. Sun, Identity-based authentication key agreement protocols without bilinear pairings, IEICE Trans. Fundam. E91-A (12) (2008)38333836.5 X. Cao, X. Zeng, W. Kou, L. Hu, Identity-based anonymous remote authentication for value-added services in mobile networks, IEEE Trans. Veh. Technol.58 (7) (2009) 35083517.6 S. Chang, D.S. Wong, Y. Mu, Z. Zhang, Certicateless threshold ring signature, Inform. Sci. 179 (20) (2009) 36853696.7 L. Chen, Z. Cheng, N.P. Smart, Identity-based key agreement protocols from pairings, Int. J. Inf. Secur. (6) (2007) 213241.8 L. Chen, C. Kudla, Identity-based authenticated key agreement protocols from pairing, in: Proceedings of the Computer Security FoundationsWorkshop, IEEE Press, 2003, pp. 219233.9 Y. Choie, E. Jeong, E. Lee, Efcient identity-based authenticated key agreement protocol from pairings, Appl. Math. Comput. (162) (2005) 179188. 10 L. Dang, W. Kou, N. Dang, H. Li, Mobile IP registration in certicateless public key infrastructure, IET Inf. Secur. 1 (4) (2007) 167173.11 A. Joux, A one-round protocol for tripart