科技文獻檢索題目：信息安全綜述學號 姓名 專業班級 成績 2014年5月22日信息安全綜述密碼學的研究摘要21世紀是信息的時代.信息成為一種重要的戰略資源，信息的獲取、處理和安全保障能力成為一個國家綜合國力的重要組成部分.信息安全事關國家安全、事關社會穩定.因此，必須采取措施確保我國的信息安全.近年來，信息安全領域的發展十分迅速，取得了許多新的重要成果.信息安全理論與技術的內容十分廣泛，但由于篇幅所限，這里主要介紹密碼學方面的研究和發展.關鍵詞信息安全密碼學21世紀是信息的時代.一方面，信息技術和產業高速發展，呈現出空前繁榮的景象.另一方面，危害信息安全的事件不斷發生，形勢是嚴峻的.信息安全事關國家安全和社會穩定,因此，必須采取措施確保我國的信息安全[1].信息安全主要包括以下4個側面：信息設備安全、數據安全、內容安全和行為安全.信息系統硬件結構的安全和操作系統的安全是信息系統安全的基礎，密碼、網絡安全等技術是關鍵技術.只有從信息系統的硬件和軟件的底層采取安全措施，從整體上采取措施，才能比較有效地確保信息系統的安全[2].為什么信息安全的問題如此嚴重呢？從技術角度來看，主要有以下一些原因：微機的安全結構過于簡單.20世紀70年代，由于集成電路技術的發展，產生了微機.微機被稱為個人計算機(personalcomputer),由于是個人使用的計算機，不是公用的計算機，一是為了降低成本，二是認為許多安全機制不再必要，所以就去掉了許多成熟的安全機制，如存儲器的隔離保護機制、程序安全保護機制等.于是，程序的執行可以不經過認證，程序可以被隨意修改，系統區域的數據可以隨意修改.這樣，病毒、蠕蟲、木馬等惡意程序就乘機泛濫了[3].信息技術的發展使微機又成為公用計算機.在應用上，微機已不再是單純的個人計算機，而變成了辦公室或家庭的公用計算機.可是由于微機去掉了許多成熟的安全機制，面對現在的公用環境，微機的安全防御能力就顯得弱了.網絡把計算機變成網絡中的一個組成部分.網絡的發展把計算機變成網絡中的一個組成部分，在連接上突破了機房的地理隔離，信息的交互擴大到了整個網絡.由于Internet網絡缺少足夠的安全設計，于是置于網絡世界中的計算機,便危機四伏,難怪人們說:“如果上網,你所受到的安全威脅將增大幾倍.而如果不上網，則你所得到的服務將減少幾倍”又由于網絡協議的復雜性，使得網絡協議的安全證明和驗證十分困難.目前人們只能證明和驗證一些簡單的網絡協議，所以，無法避免在網絡協議中存在安全缺陷,反言之，即使網絡協議是正確的，也不能確保百分之百安全.正確的協議也可被利用進行攻擊,攻擊者完全可以根據哲學上“量變到質變”的原理，發起大量的正常訪問，耗盡計算機或網絡的資源，從而使計算機癱瘓,著名的DoS攻擊就是明證[4].操作系統存在安全缺陷.操作系統是計算機最主要的系統軟件，是信息安全的基礎之一.然而，因為操作系統太龐大(如,Windows操作系統就有上千萬行程序)，致使操作系統都不可能做到完全正確.操作系統的缺陷所造成的功能故障,往往可以忽略.如，當Windows出現死機時，人們按一下復位鍵重新啟動就可以了?但是，如果操作系統的缺陷被攻擊者利用，則造成的安全后果卻不能忽略[5].密碼學的研究與發展信息安全離不開密碼學.作為信息安全的關鍵技術，密碼學可以提供信息的保密性、完整性、可用性以及抗抵賴性.密碼學主要由密碼編碼學和密碼分析學兩部分組成,其中密碼編碼學的主要任務是研究對信息進行編碼以實現信息隱蔽而密碼分析學主要研究通過密文獲取對應的明文信息.密碼編碼學與密碼分析學相互對立,又相互依存，從而推動了密碼學自身的快速發展[6,7].當前，密碼學的研究主要是基于數學的密碼理論與技術.現代密碼學的研究可大致分為3類:Hash函數、對稱密碼(又稱為私鑰密碼)和非對稱密鑰(又稱為公鑰密碼)[8,9].下面，將分別介紹這3類密碼體制的研究現狀和發展趨勢.Hash函數的研究密碼學Hash函數(也稱為雜湊函數)將任意長的輸入消息串變化成為固定長度的輸出串，這個輸出串稱為該消息的Hash值(也稱為雜湊值).這里，我們設尸所W為一個Hash函數，它需要滿足以下條件:(1)輸入的工的長度是任意的，輸出的y的長度是固定的;(2)對于給定的輸入;，計算輸出的Hash值y容易；反過來，對于給定的Hash值y,找出輸入;，使得y=h(x)在計算上不可行;(3)找出兩個不同的輸入￥和工'，即x?x',使得h(x)=h(X)在計算上不可行；給定一個輸入兀找出另一個不同的輸入丈即x?對使得h(x)=h(x')在計算上不可行.Hash函數的主要用途在于提供數據的完整性校驗和提高數字簽名的有效性，目前國際上已提出了許多Hash函數的設計方案.這些Hash函數的構造方法主要可分為以下3類:(1)基于某些數學難題如整數分解、離散對數問題的Hash函數設計;(2)基于某些對稱密碼體制如DES等的Hash函數設計;⑶不基于任何假設和密碼體制直接構造的Hash函數[8],其中第3類Hash函數有著名的SHA-1,SHA-256,SHA-384,SHA-512,MD4,MD5,RIPEMD和HAVAL等等.私鑰密碼的研究對于一個密碼體制來講，如果使用的加密密鑰和解密密鑰相同，或者雖然不相同，但是可以由其中的任意一個很容易地推導出另外一個那么這個密碼體制稱為單密鑰的對稱密碼，又稱為私鑰密碼,分組密碼是一種典型的私鑰密碼.如，美國數據加密標準DES,IDEA算法,Skipjack算法,Rijndael算法等等.分組密碼設計的關鍵在于如何尋找一種算法,使得在密鑰的控制下可以從一個足夠大且足夠“好”的置換子集合中，簡單而又快速地挑選出一個置換,根據一個好的分組密碼應當是既難破譯又容易實現的,這需要滿足以下兩個條件:(1)加密函數Ek(,)和解密函數Dk(.)要求容易計算;(2)如果】為x經過密鑰k作用生成的密文，!Py=Ek(x),那么從方程y=Ek(x)或者x=Dk(y)中求出密鑰k是計算上不可行的.隨著分組密碼設計的研究不斷深入,分組密碼的分析技術也得到了快速的發展.到目前為止，已經有多種分組密碼分析技術被討論.這些分析技術主要包括強力攻擊、差分密碼分析、差分密碼分析的推廣、線性密碼分析、線性密碼分析的推廣、差分線性密碼分析等等.在國際上，美國國家標準技術研究所在2001年11月26日正式公布了新的數據加密標準(AES)[15].在美國之后歐洲啟動了NESSIE(newEuropeanschemesforsignatures,integrity,andencryption)計劃和ECRYPT(Europeannetworkofexcellenceforcryptology)計劃，制定了一系列的密碼算法，促進了密碼的研究和應用.在國內，國家“八六三”計劃也將制定密碼的標準化問題列入了議程.目前，分組密碼的重點研究方向為新型密碼的設計、密碼體制的軟件優化、硬件實現和專用密碼芯片的設計等.張煥國、覃中平將密碼學與演化計算結合起來，借鑒生物進化的思想，提出了演化密碼的概念和用演化計算設計密碼的方法.并在分組密碼S盒、Bent函數、Hash函數、隨機序列的演化設計方面進行了有意義的研究［16-18］.除分組密碼之外，流密碼也是一種重要的私鑰密碼.“一次一密”密碼在理論上是絕對安全的這一結論使人們感到，如果能以某種方式仿效“一次一密”密碼，則將得到保密性很高的密碼.長期以來，人們以流密碼仿效“一次一密”密碼，從而促進了流密碼的研究和發展.與分組密碼相比，流密碼的理論與技術相對比較成熟.流密碼是世界各國重要領域的主流密碼,對信息安全發揮了極大的作用.在流密碼的設計方面，除了移位寄存器序列、非線性組合序列、非線性過濾序列和鐘控序列等方法外，近年來人們將混沌序列引入流密碼，并取得了可喜的研究成果［19］.國內的丁存生、肖國鎮等教授在流密碼研究領域做出了突出的貢獻［20］.自從1976年公鑰密碼的思想提出以來［21］，國內外密碼學家設計了許多優秀的公鑰密碼體制，其中著名的體制包括：1978年Rivest等提出的RSA公鑰體制［22］;1978年Merkle與Hellman提出的基于背包問題的MH背包體制［23］,1979年Rabin提出的Rabin體制［24］,1985年ElGamal提出的ElGamal公鑰體制［25］,1987年Koblitz和Miller提出橢圓曲線密碼公鑰體制［26］,以及基于代理編碼理論的MeEliece體制［27］和基于有限自動機理論的公鑰密碼體制［28］等等.公鑰密碼除了公鑰密碼體制之外，還包括數字簽名技術［29］.著名的數字簽名有RSA簽名、Rabin簽名、ElGamal簽名、Schnorr簽名［30］和美國國家數字簽名標準DSS［31］,由于數字簽名可以提供信息的鑒別性、完整性和不可否認性，因此，隨著實際應用的需要，特殊的數字簽名也被廣泛的提出.主要包括：代理簽名［32］、盲簽名［33］、可驗證的加密簽名［34］、不可否認簽名［35］、前向安全簽名［36］、密鑰隔離簽名［37］、在線/離線簽名［38］、門限簽名［39］、聚合簽名［34］、環簽名［40］、指定驗證者簽名［41］、確認者簽名［42］,以及它們各種變型簽名等等［43］.公鑰密碼雖然具有許多優點，但是公鑰密碼的公鑰認證和證書管理相當復雜.例如目前流行的基于目錄的公鑰認證框架X.509證書框架的建立和維護異常復雜，且成本昂貴［44］.1984年,Shamir為了簡化證書管理，繞開了基于目錄的公鑰認證框架的束縛,建設性地提出了基于身份的公鑰密碼系統的思想［45］.在這種公鑰密碼體制的密鑰生成過程中,公鑰直接為實體的身份信息，例如唯一的身份證號碼、電子郵件地址等等，因此基于身份的公鑰密碼體制可以很自然地解決公鑰與實體的綁定問題在Shamir提出基于身份的簽名方案后，基于身份的加密方案卻在很長時間內沒有被提出.直到2001年,Boneh和Franklin基于雙線性配對技術提出第一個實用的基于身份的公鑰密碼體制［46］.此后，雙線性配對技術成為構造基于身份密碼體制和基于身份數字簽名方案的主流出現了許多優秀的成果［47］.雖然基于身份的密碼簡化了CA公鑰證書的管理，但是由于它需要一個可信的私鑰生成器(PKG)為所有用戶生成私鑰，一旦PKG的安全性出現問題，那么整個基于身份的密碼系統將會處于癱瘓狀態.因此，研究PKG的安全性以解決密鑰托管問題是基于身份密碼中的一個亟待解決的問題.目前，為了保證PKG的安全性，通過門限密碼技術提出了分布式PKG密鑰生成［48］;為了解決密鑰托管問題，無證書的密碼體制也在2003年正式提了出來，并在近幾年得到了廣泛的研究［49］.南湘浩教授提出的組合公鑰(CPK)方案［50］具有一定的優勢，已經得到廣泛的關注.公鑰密碼學是一種復雜的系統，其工作環境充滿了敵意，很容易遭受來自外部、內部的各種攻擊.然而在公鑰密碼的初期，人們對于各種攻擊方式缺乏理性的認識，使得人們對于公鑰密碼體制的安全性的認識受到了很大的局限例如，人們最初考慮的攻擊都帶有典型的“教科書式”的形式.之后，人們逐漸意識到了通過形式化的方法去設計和分析公鑰密碼的重要性.當前，研究可證安全的公鑰密碼方案已經成為現代密碼學的一個主流課題［7,9］.可證明安全的研究可證明安全性(主要從計算復雜性理論的角度來考慮密碼方案的安全性)是近年來公鑰密碼學領域里的一個研究熱點.簡單地說，可證明安全其實是一種“歸約”的方法，它首先確定密碼方案所需要達到的安全目標,然后根據攻擊者的能力去定義一個攻擊者模型，并指出這個攻擊者模型與密碼方案安全性之間的歸約關系.比如某個密碼方案是基于RSA問題假設的，那么可以通過攻擊者模型去分析方案的安全性:如果攻擊者可以在多項式時間里以一個不可忽略的概率去攻擊密碼方案,那么通過歸約推導，可以構造出另外一個攻擊者以另外一個不可忽略的概率去解決RSA問題.由于RSA問題在選取一定安全參數條件下是安全的，因此我們可以從歸約矛盾中反推出這個密碼方案是安全的.可證明安全性目前主要涉及公鑰密碼體制、數字簽名以及密鑰協商協議三方面.對于公鑰密碼體制來講，攻擊者模型中攻擊者的攻擊目標主要有以下幾種：我們最容易想到的是公鑰密碼體制的單向性安全即僅知道一些公開信息，攻擊者不能對一個給定的密文c恢復其對應的明文m然而在很多應用場合，僅僅考慮密碼體制的單向性是不夠的，我們需要對密碼體制的安全性提出更高的要求.1982年Goldwasser和Micali在這方面做出了開創性工作，將概率引入了密碼學，提出了“語義安全”的定義[51].語義安全又稱多項式時間不可區分安全性,它主要基于以下場景：考慮一個二階段的攻擊者A=(A1，A2)，剛開始的時候人1在明文空間里挑選出長度相等的兩個消息m0和m1.之后，通過隨機拋幣得到比特5E{0，1}，加密其中的消息mb，并將加密的密文c交于A2.A2猜測密文c所對應的明文消息并返回比特b的猜測結果b.通過定義Adv(A)=2Pr[b=b]1為任何多項式時間攻擊者4的猜測優勢，如果Adv(A)是可忽略的，那么密碼體制為語義安全的.除語義安全之外，1991年Dolev等提出另外一個安全性概念一一非延展安全性[52].對于這種安全性的攻擊是指，當給定一個密文c時，攻擊者試圖構造出一個新的密文c'使得密文c和c，所對應的明文m和m'是意義相關的.非延展安全性無疑是重要的.然而，由于非延展問題的計算本質，對它們進行形式化處理非常困難.另外，在攻擊者模型中，根據攻擊者在攻擊過程中所獲取的不同有用信息,攻擊者的攻擊方式可分為選擇明文攻擊、有效性檢驗攻擊、明文檢驗攻擊、選擇密文攻擊等[53].對于數字簽名方案來講,在攻擊者模型中，攻擊者根據實際應用的場合主要考慮3種攻擊目標:(1)完全攻擊.攻擊者經過攻擊之后可以獲得簽名者的私鑰，顯然，這種攻擊最為嚴重，危害最大;(2)通用性偽造.攻擊者經過攻擊之后可以構造出一個有效的算法以很高的成功概率對消息進行偽造簽名;(3)存在性偽造.攻擊者經過攻擊之后可以提供一個新的消息-簽名對[54].存在性偽造所對應的安全級別稱為存在性不可偽造雖然在大多數場合下，由于輸出的消息很有可能是沒有任何意義的，存在性偽造似乎看起來并不顯得那么危險.然而,一個數字簽名方案如果是存在性可以偽造的，那么它本身就不可以保證簽名者的真實身份.2002年，更高要求的強存在性不可偽造概念被提出[55].另一方面，在攻擊者模型中，對于一個攻擊者來講,他可以利用盡可能多的信息資源去進行簽名偽造因此，根據攻擊者所掌握的信息不同，攻擊者的攻擊方式有：已知公鑰攻擊、已知消息攻擊和適應性選擇消息攻擊[53].對于密鑰協商協議來講，攻擊者模型中定義的攻擊者可以通過預先定義的一些預言機詢問以控制所有的通信，其中Execute預言機詢問用于建模被動攻擊;Send預言機詢問用于建模主動攻擊;Reveal預言機詢問建模已知會話密鑰攻擊;Corrupt預言機詢問建模前向安全和密鑰泄露偽造攻擊.最后，通過Test詢問建模密碼協商的語義安全性.協議的安全性模型BR93最初由Bellare和Rogaway在1993年提出[56].隨后，其他的安全性模型，包括BR95[57],BPR2000[58]和。K2001[59]等.在亞洲密碼2005會議上,Choo對這些模型之間的關系進行了深入的研究[60].關于可證安全的協議可參見文獻[61].在當前公鑰密碼學可證安全性研究領域里,最為流行的證明方法為在隨機預言機模型下的安全性證明.隨機預言機模型是由Bellare和Rogaway［62］在1993年基于Fiat和Shamir建議［63］的基礎上提出的，它是一種非標準化的計算模型.在這個模型中,Hash函數作為隨機函數，對于每一個新的查詢，將得到一個均勻隨機的應答.隨機預言機模型在構建可證安全密碼方案時，系統中的各個角色共享隨機預言機完成操作.當體制設計完成之后，再用實際的Hash函數將此隨機預言機替換.雖然隨機預言機模型下的安全性證明非常有效,但是隨機預言模型證明的有效性還存在爭議.比如,1998年Canetti等［64］給出了一個在隨機預言機模型下證明是安全的數字簽名方案,但在隨機預言機的實例中卻并不安全，因此，當前的可證安全性證明研究一方面繼續基于隨機預言模型進行證明，另一方面也追求在不基于隨機預言機條件下的標準模型下的證明.1998年,Cramer和Shoup［65］設計了第一個在標準模型下可證明安全的實際有效的公鑰密碼體制.2004年開始，其他基于雙線性配對技術在標準模型下可證安全的公鑰密碼體制［66,67］被不斷地深入研究與發展。除了現在廣泛使用的基于數學的密碼外，人們還向非數學密碼領域進行探索，如量子密碼［68^DNA密碼［69］等.目前國內外在量子密鑰分配實驗方面的通信距離已突破100公里.參考文獻1沈昌祥.關于加強信息安全保障體系的思考.信息安全縱論.武漢：湖北科學技術出版社,20022張煥國，王麗娜，黃傳河，等.信息安全學科建設與人才培養的研究與實踐.全國計算機系主任(院長)會議論文集.北京：高等教育出版社,20053PfleegerCP,PfleegerSL.SecurityinComputing.3rdEditon.NJ:PrenticeHall,20034孟慶樹，王麗娜，傅建明，等(譯).密碼編碼學與網絡安全一原理與實踐(第四版).西安:電子工業出版社,20065卿斯漢，劉文清，溫紅予.操作系統安全.北京：清華大學出版社,2004SchneierB.AppliedCryptography,Protocols,AlgorithmsandSourceCodeinCoNewYork:JohnWiley&Sons,1996.MaoW.ModernCryptography:TheoryandPractice.NJ:PrenticeHallPTR,20038馮登國.國內外密碼學研究現狀及發展趨勢.通信學報,2002,23(5):18—269曹珍富，薛慶水.密碼學的發展方向與最新進展，計算機教育,2005,19—21WangXiaoyun,FengDengguo,LaiXuejia,etal.CollisionsforhashfunctionsMD4,MD5,HAVAL-128andRIPEMD.CryptologyePrintArchive:Report2004/1999,Aug.2004WangXiaoyun,LaiXuejia,FengDengguo,etal.CryptanalysisofthehashfunctionMD4andRIPEMD.In:AdvanceinCryptology-Eurocrypt’05,LNCS3494.Berlin:Springer-Verlag,2005.1—18WangXiaoyun,YuHongbo.HowtobreakMD5andotherhashfunctions.In:AdvanceinCryptology一Eurocrypt’05,LNCS3494.Berlin:Springer-Verlag,2005.19—35WangXiaoyun,YuHongbo,YinYiqunLisa.EfficientcollisionsearchattacksonSHA-0.In:AdvanceinCryptology一Crypto05,LNCS3621.Berlin:Springer-Verlag2005.1—16WangXiaoyun,YinYiqunLisa,YuHongbo.FindingcollisionsinthefullSHA-1.In:AdvanceinCryptology-Crypto05,LNCS3621.Berlin:Springer-Verlag,2005.17—36FederalInformationProcessingStandardsPublication(FIPS197)AdvancedEncryptionStarndard(AES),Nov.26,200116張煥國，馮秀濤，覃中平，等.演化密碼與DES的演化研究.計算機學報,2003,26(12):1678—168417孟慶樹，張煥國，王張宜，等Bent函數的演化設計，電子學報,2004,32(11):1901—190318ZhangHuanguo,WangYuhua,WangBangju,etal.EvolutionaryRandomnumberGeneratorBasedonLFSR.WuhanUniversityJournalofNaturalScience,2007,12(1):179—18219羅啟彬，張鍵，周頡.混沌密鑰序列的復雜性分析.密碼學進展——HINACRYPT’2006.北京：中國科學技術出版社，2006DingCS,XiaoGZ,ShanWJ.Thestabilitytheoryofstreamciphers.LNCS561,Berlin:Springer-Verlag,1991DiffieW,HellmanME.Newdirectionsincryptography.IEEETransInformTheor,1976,iT-22(6):644—654RivestRL,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublickeycryptosystems.CommACM1978,21:120—126MerkleRC,HellmanME.Hidinginformationandsignaturesintrapdorrknapsacks.IEEETransInformTheor,1978,24(5):525—530RabinMO.Digitalizedsignaturesandpublickeyfunctionsasintractableasfactorization.TechnicalReportLCS/TR212,CambridgeMA(1979),MITElGamalT.Apublickeycryptosystemandsignatureschemebasedondiscretelogarithms.IEEETransInformTheor,1985,IT-31(4):469—472KoblitzN.Ellipticcurvecryptosystem.MathematicsofComputation,1978,48:203—209McElieceRJ,Miller.Apublickeycryptosystembasedonalgebraiccodingtheory.DSNProgressRep.42-44,JetPropul-sionLab,1978,114—11628陶仁驥，陳世華.一種有限自動機公開鑰密碼體制和數字簽名，計算機學報,19858(6):401—40929曹珍富.公鑰密碼學.哈爾濱：黑龍江教育出版社,1993SchnorrCP.Efficientidentificationandsignatureforsmartcards.JCryptography,1991,4(3):161—174NIST,DigitalSignatureStandard(DSS).FederalInformationProcessingStandardsPublication186MamboM,UsudaK,OkamotoE.Proxysignatures:Delegationofthepowertosignmessages.IEICETransFundam,1996,E79-A(9):1338—1354ChaumD.Blindsignaturesforuntraceablepayments.In:Crypto’82.NewYork:PlenumPress,1993.199—203BonehD,GentryC,LynnB,etal.Aggregateandverifiablyencryptedsignaturesfrombilinearmaps.In:advancesinCryptography-Eurocrypt2003,LNCS2656.Berlin,SpringerVerlag,2003.416—432ChaumD,AntwerpenHvan.Undeniablesignatures.In:CRYPTO'89,LNCS435.Berlin:Springer-Verlag,1989,212—216BellareM,MinerS.Aforward-securedigitalsignaturescheme.In:CRYPTO'99,LNCS1666.Berlin:Springer-Verlag,1999,431—448DodisY,KatzJ,XuS,etal.StrongKey-InsulatedSignatureSchemes.In:PublicKeyCryptography-PKC2003,LNCS2567.Berlin:Springer-Verlag,2003.130-144ShamirA,TaumanY.Improvedonline/offlinesignatureschemes.In:ProceedingsofAdvancesinCryptology:Crypto'01,LNCS2139.Berlin:Springer-Verlag,2001,355—367DesmedtY.Societyandgrouporientedcryptography:Anewconcept.In:Crypto'87,LNCS293.Berlin:Springer-Verlag,1988.120—127RivestR,ShamirA,TaumanY.Howtoleakasecret.In:ASIACRYPT2001,LNCS2248.Berlin:Springer-Verlag,2001.552—565JakobssonM,SakoK,ImpagliazzoR.Designatedverifierproofsandtheirapplications.In:EUROCRYPT'96,LNCS1070.Berlin:Springer-Verlag,1996.143—154ChaumD.Designatedconfirmersignatures.In:Eurocypt'94,LNCS950.Berlin:SpringerVerlag,1995,86-91WangG,Bibliographyonsignatures.Availableat:http://icsd.i2r.a-.sg/staff/guilin/bible.htmITU-T,Rec.X.509(revised)theDirectory-AuthenticationFramework.1993,InternationalTelecommunicationUnion,Geneva,SwitzerlandShamirA.Identity-basedcryptosystemsandsignatureschemes.In:AdvancesinCryptography-Crypto’84,LNCS196,Berlin:Springer-Verlag,1984.47—53BonehD,FranklinM.Identity-basedencryptionfromtheWeilpairing.SIAM,JComput,2003,32(3):586—615BarretoPSLM.ThePairing-BasedCryptoLounge.http://.br/informatica/paulobarreto/pblounge.htmlBaekJ,ZhengY.Identity-BasedThresholdDecryption,PracticeandTheoryinPublicKeyCryptography-PKC'2004,Singapore(SG),March2004,LNCS2947.Berlin:Springer-Verlag2004.262—276Al-RiyamiSS,PatersonKG.Certificatelesspublickeycryptography.AdvancesinCryptology-Asiacrypt'2003,LNCS2894.Berlin:Springer-Verlag,2003,452—47350南湘浩.CPK標識認證.長沙：國防工業出版社,2006GoldwasserS,MicaliS.ProbabilisticEncryption.JComputSystemSci,28(3):270-299.DolevD,DworkC,NaorM.Non-malleableCryptography.SIAMJonComputing,2000,30(2):391—437PointchevalD.ProvableSecurityforPublicKeySchemes.http://www.di.ens.fr/?pointche/pub.php?reference=Po04GoldwasserS,MicaliS,RivestR.Adigitalsignatureschemesecureagainstadaptivechosen-messageattacks.SIAMJComp,1988,17(2):281—308AnJ,DodisY,RabinT.Onthesecurityofjointsignatureandencryption.In:AdvancesinCryptology-EUROCRYPT'02,LNCS2332.Berlin:Springer-Verlag,2002.83—107BellareM,RogawayP.EntityAuthenticationandKeyDistribution.In:AdvancesinCryptology-Crypto1993,LNCS773.Berlin:Springer-Verlag,1993,110-125BellareM,RogawayP.Provablysecuresessionkeydistribution:Thethreepartycase.In:27thACMSymposiumontheTheoryofComputing.NewYork:ACMPress,57—66BellareM,PointchevalD,RogawayP.AuthenticatedKeyExchangeSecureAgainstDictionaryAttacks.In:AdvancesinCryptology-Eurocrypt2000LNCS1807.Berlin:Springer-Verlay,2000.139—155CanettiR,KrawczykH.AnalysisofKey-ExchangeProtocolsandTheirUseforBuildingSecureChannels.In:AdvancesinCryptology一Eurocrypt2001LNCS2045.Berlin:Springer-Verlag