等認(rèn)證[2,7]等等。然后，基于可信任新鮮性的原則，給出協(xié)議安全目標(biāo)--包括UA-安全、MA-安全、UK-安全和MK-安全--的形式化定義，并證明這些安全性指標(biāo)能滿足期望的安全目標(biāo)。正如廣BellareRogaway最先提出了用于證明認(rèn)證協(xié)議和具有認(rèn)證性的密鑰建立協(xié)議的安全性的計(jì)算模型[1]BellareRogaway模型中，雙方認(rèn)證定義的想法其實(shí)簡(jiǎn)單而直接：只要協(xié)允許任意兩個(gè)主體認(rèn)證。協(xié)議MAP2MAP1的擴(kuò)展，允許對(duì)一起傳送的任意文本字符串進(jìn)行認(rèn)證。AKEP1MAP2進(jìn)行密鑰分配。AKEP2是MAP1相同，但是它實(shí)現(xiàn)了密鑰分配。所有這些協(xié)議需要的原語(yǔ)是一個(gè)偽隨機(jī)函數(shù)。BellareRogaway模型中所研究的是一個(gè)雙方協(xié)議。該協(xié)議可以由一個(gè)有效的可計(jì)算函數(shù)，以及關(guān)于下列輸入值的一個(gè)多項(xiàng)式時(shí)間函數(shù)Π來(lái)形式化的描述：1k：安全參數(shù)k，k∈NNi：發(fā)送者的，包含于集合I中，即i∈I?{0,1}k。其中I是參與協(xié)議運(yùn)行并共享長(zhǎng)期密鑰的主體集合，{0,1}k代表長(zhǎng)度最多為k的有限二進(jìn)制串。j：發(fā)送者（所期望的）通信對(duì)方的（即接收者），j包含于集合I中。I中的元素中，者不是通信協(xié)議的對(duì)方參與者，事實(shí)上A=B（或i=j）也是可能的。conv：到目前的，conv∈{0,1}*，其中{0,1}*代表有限二進(jìn)制串。conv隨著協(xié)議的, 判定或“”判定。對(duì)于密鑰交換協(xié)議，只關(guān)心輸出，如一個(gè)協(xié)商的會(huì)話密鑰。除了IIs表示參與方i試圖在一個(gè)“會(huì)話”s中認(rèn)證參與方j(luò)，其中i,jI且sNi,i,詢問(wèn)的形式是i,j,s,x，它表 i,要發(fā)送出去的消息是什么，還需要知道機(jī)是否接受了消息，但是I無(wú)法獲得機(jī)的秘制：選擇一對(duì)機(jī)IIs和IIs，從機(jī)IIs開(kāi)始消息的發(fā)送，并忠實(shí)地將一個(gè)機(jī)i, j i, 這個(gè)選擇在所有的安全參數(shù)為k的執(zhí)行中都是相同的。所以，一個(gè)良性者的行為就像協(xié)議運(yùn)行參與者i和j之間的一段數(shù)據(jù)連線。如果者希望被的主體輸出“接受”決定，”（τiI）和“圖靈機(jī)時(shí)間”（當(dāng)主體由交互的圖靈機(jī)實(shí)現(xiàn)時(shí)，τi為I的計(jì)算中的第i個(gè)步驟）。另一個(gè)時(shí)間的一致性概念（較難形式化）于第i次“詢問(wèn)”和第j次“詢問(wèn)”，如果ij，我們要求<。i, i,當(dāng)I終止時(shí)，每 機(jī)s都與I convsi, i, i,i,i,到(和發(fā)送出)的應(yīng)答。令τ1<τ2<···τn是某個(gè)機(jī)s在其時(shí)記錄的一個(gè)時(shí)間序列i, n,mn,mn 者I終止i, i,不再詢問(wèn)機(jī)i,i,假定機(jī)i,

擁 i,i, conv和conv’的兩個(gè)機(jī)i,

和。和。 ，是指如果存在時(shí)間序列012"n" conv是conv’的一個(gè)匹 ，是指存在時(shí)間序列012"ni, i,考慮一次執(zhí)行，其中s表示初始機(jī)，s'表示應(yīng)i, i, i,作為 i,作為

i, i, 的下一條消息，則我們說(shuō)s'的匹配s i, 都由i,都由

事先生成，而且s發(fā)出的每條消息隨后都傳送給了s'i, i, i,作為

i,

自己的下一條消息，則稱s的匹配s'的i,i, 如果

擁有conv’，s擁有conv，同時(shí)conv’匹配conv，則稱機(jī)si, i,i, i,6.1（安全雙方認(rèn)證）A和B之間的一個(gè)協(xié)議。我們稱雙方認(rèn)證協(xié)議，如果面對(duì)任意一個(gè)多項(xiàng)式時(shí)間者I，滿足1）（匹 接受）機(jī)

和和

2）（接受匹配 者I不能夠以一個(gè)不可忽略的概率k獲勝。這里者勝是指，機(jī)

和和

和和

受”判定，則

或或

是是

在任意多項(xiàng)式時(shí)間者I面前做出“接受”判定的則至少有兩個(gè)不同的機(jī)

，它們與 和命題6.1假定參與方A和B之間的協(xié)議是一個(gè)安全的雙方認(rèn)證協(xié)議。令I(lǐng)為任意多項(xiàng)式時(shí)間者。則MultipleMatchE(k和MultipleMatchE(k)的概率最大為l2*2k，其中l(wèi)是者I的機(jī)的（多eae和gwy在算模型證明安思想源于odasrMa的創(chuàng)性工作3。oase和Maodas-Mc密碼體制，即M體制在假定次剩余題的情況下，M體制有語(yǔ)義全8。謂詞就是一個(gè)布爾函數(shù)B:{0,1}*{0,1}，即給定一個(gè)比特v，很容易隨機(jī)選擇一個(gè)x滿足xi加密一條消息比特mi，有B(ximi，然后B發(fā)送xi給A。如果A門(mén)消息，則A能夠計(jì)算B(xi)來(lái)恢復(fù)mi，但是者除了猜測(cè)mi，沒(méi)有更好的辦法。如果陷CK模型。下個(gè)在主體執(zhí)行的交互的子程序。每個(gè)會(huì)話由主體標(biāo)識(shí)符、通信對(duì)方標(biāo)識(shí)符和一個(gè)會(huì)話標(biāo) 協(xié)議運(yùn)行后，兩個(gè)匹配 基本者能力考慮一個(gè)多項(xiàng)式時(shí)間（PPT）者，他可以完全控制通信鏈路。為獲得信息所有在主體中的信息都可能會(huì)，或其他形式的。者可以通過(guò)明確的來(lái)獲得在主體器中的信息。但是，我們希望的協(xié)議安全性的一個(gè)重要的特點(diǎn)應(yīng)該是，即便信息有某種形式的，也要盡可能不對(duì)其他秘的會(huì)話標(biāo)識(shí)符，就獲得了這個(gè)會(huì)話的狀態(tài)。每個(gè)KE協(xié)議的會(huì)話本地狀態(tài)所包括的信息由不會(huì)話密鑰詢問(wèn)。者提供了一個(gè)主體的名字和一個(gè)已完成會(huì)話的會(huì)話標(biāo)識(shí)符，就主體攻陷。者能夠在任何時(shí)刻去攻陷一個(gè)主體，在這種情況中，者得到了主體的所有器信息，包括長(zhǎng)期（如私鑰或在不同會(huì)話中使用的主共享密鑰）和包含在主體器中特定的會(huì)話信息（如未完成會(huì)話的狀態(tài)和已完成會(huì)話的會(huì)話密鑰。行，那么一個(gè)過(guò)期的會(huì)話密鑰值不會(huì)通過(guò)以上任意而被泄漏。首先，定義一個(gè)“實(shí)驗(yàn)”，在這個(gè)實(shí)驗(yàn)中者I選擇了會(huì)話，能夠?qū)φ吡私獾臅?huì)為了實(shí)現(xiàn)這實(shí)驗(yàn)，要對(duì)者U者模中通常的能進(jìn)行擴(kuò)，即允會(huì)換，密交常之擊終kbbR }(b0)還是(b1。b0，向者提供的會(huì)密鑰k否則，新的會(huì)密k概率分布中隨機(jī)選取一個(gè)值，并提供給。在，允許者I繼一個(gè)UM者正常行，是不許這測(cè)試話（在這測(cè)試會(huì)或匹配話中不許者進(jìn)行話態(tài)會(huì)密鑰問(wèn)或主攻陷）運(yùn)行束時(shí)者出對(duì)b的猜測(cè)b。稱一被允許試話查詢者為K-者。定義6.2（SK-安全[10]）假定存在UM者模型下的任意者I，若協(xié)議π仍滿足下列條件，則協(xié)議π被稱為SK-安全的：)(2)者正確猜測(cè)b（即輸出b=b）的概率與1/2之差是一個(gè)安全參數(shù)相關(guān)的可忽略量。完成的。定義中給出的第二個(gè)條件是SK-安全的“屬性”。在確保一個(gè)好的密鑰交換協(xié)例開(kāi)始后生成的。要注意的是，這種新鮮性概念是不能抵抗使用平行會(huì)話中的交錯(cuò)[8,9]。定義6.3（新鮮性Freshness）給定參與方A和B之間的一個(gè)協(xié)議，如果從某次協(xié)議運(yùn)行參與主戳，則γ定理6.1（生成規(guī)則）給定參與方A和B之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。如果一個(gè)新鮮性標(biāo)識(shí)符γ是一個(gè)隨機(jī)數(shù)或一個(gè)時(shí)A本身生成的這個(gè)新鮮性標(biāo)識(shí)符γ可能是一個(gè)隨機(jī)數(shù)，一個(gè)時(shí)間戳或一個(gè)序列號(hào)。我個(gè)“隨機(jī)”數(shù)。由于γ是一個(gè)“隨機(jī)”數(shù)，所以一個(gè)概率多項(xiàng)式時(shí)間者I猜不出γ，而且能由于新鮮性標(biāo)識(shí)符γ是由參與方A本身生成的，則A相信γ是最近的。由于發(fā)送方和接收擊者I能夠猜測(cè)出來(lái)序列號(hào)γ，所以者I能夠從發(fā)送的請(qǐng)求消息中獲得意定的響應(yīng)消息的預(yù)言機(jī)，從而者I可以為了其他目的來(lái)重放這個(gè)獲得的包括γ的消息。因此，序列號(hào)新鮮性標(biāo) 6.2（時(shí)間戳規(guī)則）給定參與方A和B之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。如果一個(gè)新鮮性標(biāo)識(shí)符γ是一個(gè)時(shí)間戳，A從意定通信方B接收到γ，則A相信γ是一個(gè)信任的新鮮性。證明由于新鮮性標(biāo)識(shí)符γ是一個(gè)時(shí)間戳且發(fā)送方和接收間的時(shí)間戳差異在可接受窗口范圍內(nèi)，所以A相信γ是最近的，而且這個(gè)時(shí)間戳新鮮性標(biāo)識(shí)符γ要用于其他目的時(shí)沒(méi)有時(shí) B +..NB +..N

+..N, +..N, +..N, +..N, +..N,N, +..N,N, +..N,N,A,

A–...NA –...N –...N, –...N, –...N, –...N, –..N,N, –..N,N,

6.5（主體活現(xiàn)性）給定參與方A和B之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多6.3（活現(xiàn)性規(guī)則）給定參與方A和B之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。稱B的主體活現(xiàn)性已經(jīng)得到A的認(rèn)證，證明在不知道B的私鑰的情況下，者I仍具有構(gòu)造B的簽名的能力。從而，者所聲稱的關(guān)于協(xié)議的優(yōu)勢(shì)，已經(jīng)被轉(zhuǎn)化為針對(duì)該通信機(jī)制中使用的簽名算法進(jìn)行求逆的類似優(yōu)勢(shì)括A信任的新鮮性標(biāo)識(shí)符γ和源主體A。式時(shí)間者I，這個(gè)者完全控制了通信鏈路。假定所有的新鮮性標(biāo)識(shí)符在協(xié)議運(yùn)行開(kāi)新鮮性標(biāo)識(shí)符以密文形式進(jìn)行傳輸，但者I知道該密文的密鑰。證明略。的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。則稱從協(xié)議運(yùn)行參與主體A6.6（新鮮性規(guī)則）給定參與方A和B之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。則稱說(shuō)γ的新鮮性已經(jīng)由A認(rèn)證，是指A證明參考定理6.4和定理6.1中的證明。其他包括A信任的新鮮性標(biāo)識(shí)符γ的單向變換，而且這個(gè)操作能夠提供B（和/證明首先證明定理中的情況1）可以滿足需求。假定在情況1）中有兩個(gè)參與方是A和定理6.7中情況1）和情況2）中的加密算法可以是分組或者是帶密鑰的哈希函數(shù)；在定理6.7的情況3）中，如果A收到了用A的公鑰加密且包括B的的一個(gè)加密，則在這個(gè)加密中的新鮮性標(biāo)識(shí)符γ不需要與B關(guān)聯(lián)，因?yàn)檫@條消息甚至可能是由者I用A的公鑰生 —雙方認(rèn)證密鑰交換（或密鑰協(xié)商：協(xié)議參與雙方的被互相認(rèn)證，并且協(xié)議參與雙方（CCA2—t0t1t2t$t0表示一個(gè)協(xié)議開(kāi)始運(yùn)行之前的時(shí)間點(diǎn)，ti表示消息ii1,2,...)交換的時(shí)間點(diǎn)，t$表示一個(gè)協(xié)議運(yùn)行終止時(shí)間。—NN’：任意新鮮性標(biāo)識(shí)符，它可以是一個(gè)隨機(jī)數(shù)，一個(gè)時(shí)間戳，一個(gè)會(huì)話密鑰或一個(gè)NP：由下標(biāo)標(biāo)注的新鮮性標(biāo)識(shí)符，此處表示主體Pi—k：體制中的加密密鑰；k-1表示對(duì)應(yīng)于k的密鑰。在對(duì)稱體制中，k和k-1是—?ψΓ，一個(gè)事實(shí)，它的值可以是True或False,—Existing(Pj)：意定參與方Pj在這個(gè)協(xié)議運(yùn)行中進(jìn)行了通信；Belief(PiExistingPj))表示參(,（或與或與P1，P2和P3...）是關(guān)聯(lián)的。Belief(PiAssociate(N,P1,P2,P3,表示參與方Pi斷言聯(lián)的。例如，BeliefPiAssociate(NA,A,B))表示參與方Pi斷言這個(gè)新鮮性標(biāo)識(shí)符NA與參與方語(yǔ)義安全性在領(lǐng)域中被廣泛接受，通常按文獻(xiàn)[3]中概率不可區(qū)分性來(lái)定義加密的4；（定理6.8（UA-安全）給定參與方Pi和Pj之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多項(xiàng)對(duì)某個(gè)參與方Pi來(lái)說(shuō)以下性質(zhì)成立：Pi擁有Existing(PiPj)，即，Pi相信意定參與方Pj在這個(gè)假設(shè)Pi想要認(rèn)證參與方Pj的。這個(gè)嘗試可以由Pi發(fā)送消息或由參與方Pj發(fā)送消息的6.3Pi個(gè)包括NPi的回復(fù)單向變換，且這個(gè)單向變換只能由參與方Pj完成。由于假定算法是在IND-CCA2下安全，那么當(dāng)Pi看到共享密鑰情況下的conv,N,,N,"或者P

K鑰情況下 conv,N,,N,"，它知道均勻隨機(jī)串N 或者N是用PiPPP

P

PKK句話說(shuō)，N 或N 者計(jì)算得出的)概率約為2-k。這意味著，Pi可以相信，它的KPK

P定通信參與者Pj有一個(gè)以

K

KK 假設(shè)UA-安全協(xié)議Π不滿足安全屬性Existing(Pj)，即Pi不相信意定參與方Pj的主體活現(xiàn)定理6.9（MA-安全）PiPj之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。認(rèn)證協(xié)議Π被稱為是MA-安全的，是指對(duì)于參與方Pi和Pj而言以下性質(zhì)成立：Pi擁有Existing(Pj)，即Pi相信意定參與方Pj在這個(gè)協(xié)議運(yùn)行中與Pi6.10（源UA-安全）給定參與方PiPj之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率是指對(duì)其中一個(gè)參與者而言以下性質(zhì)成立，例如Pi：Pi擁有Originexisting(Pj)，即Pi相信意定6.11（源MA-安全）給定參與方PiPj之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概的，是指對(duì)于參與方Pi和Pj而言以下性質(zhì)成立對(duì)于認(rèn)證和控務(wù)來(lái)說(shuō)，單方實(shí)體認(rèn)證安全（UA-安全）和雙方實(shí)體認(rèn)證安6.12（UK-安全）給定參與方PiPj之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。k是協(xié)議運(yùn)行新生成的會(huì)話密鑰或生成Pi擁有Secret(kFresh(k)Associate(k,Pi,Pj)。即，Pi相信除了PiPj之外其他主體包括者I不能夠知道新會(huì)話密鑰信息k，并且k對(duì)于在Pi和Pj之間運(yùn)行的協(xié)議定理6.13（MK-安全）給定參與方Pi和Pj之間的一個(gè)協(xié)議Π，假定存在一個(gè)任意的概率成新會(huì)話密鑰的共享部分。認(rèn)證協(xié)議Π被稱為是MK-安全的，如果對(duì)于參與方PiPj以下進(jìn)行了通信。Pi擁有Secret(kFresh(k)Associate(k,PiPj)。即，Pi相信除了PiPj體包括者I不能夠知道新會(huì)話密鑰k，并且k對(duì)于在Pi和Pj之間運(yùn)行的協(xié)議而言4）Pj擁有Secret(k),Fresh(k)Associate(k,Pi,Pj)。即，Pj相信除了PiPj之外其他主體包括者I不能夠知道新會(huì)話密鑰k，并且k對(duì)于在Pi和Pj之間運(yùn)行的協(xié)議來(lái)說(shuō)6.3，Pi由于密碼算法是被假定為IND-CCA2安全，那么當(dāng)Pi看到對(duì)話,

,"或者 convP,,NP

,N

P,",NP,,NP

P

K串NPiK

它意定的通信另一方Pj所計(jì)算得出的(即NP

或NPi1 者計(jì)算得出的)概率約 以 ,N,N

K者 1,N,N 為前綴。這必然向P證明了與conv匹配 conv的存在性

PK Pj

且這個(gè)以(關(guān)于k的)壓倒性概率1-2k是由它的意定的通信者Pj所計(jì)算出來(lái)的。因此，根Pi相信意定參與方Pj正在這個(gè)匹配會(huì)話中與Pi進(jìn)行通信。同樣地，Pj6.6，k議運(yùn)行新生成的會(huì)話密鑰。由于主體Pi相信新會(huì)話密鑰k與主體PiPj的關(guān)聯(lián)性，根據(jù)關(guān)聯(lián)性規(guī)則（定理6.7，k一定是為PiPj之間的協(xié)議運(yùn)行生成的會(huì)話密鑰。至此，k一定是一個(gè)為PiPj之間的本次協(xié)議運(yùn)行生成的新會(huì)話密鑰，所以，對(duì)于主體PiPj來(lái)說(shuō)，密鑰k獨(dú)立于詢問(wèn)密文比特b’，因此有：又

Prob[Iwins|Bad]2Prob[Iwins|Bad]Prob[Iwins∩Bad]1 Prob[Iwins∩Bad]1Prob[Bad]1(1 Prob[Iwins]Prob[Iwins∩Bad]Prob[Iwins∩Bad]Prob[Iwins]Prob[Bad]Prob[Iwins∩Bad]Prob[Bad]1(1Prob[Bad])1(1 由于使用了理想算法，即使者提出了多達(dá)l次的分析詢問(wèn)，算法本身與其他會(huì)話密鑰不同的。故者I能夠用自己與某一個(gè)誠(chéng)實(shí)通信方建立的會(huì)話密鑰來(lái)迷惑Prob[Bad]Prob[Bad1]Prob[Bad2]Prob[Iwins]1(1Prob[Bad])1(1Adv*l)1Adv 由于者I是一個(gè)PPT者，所以(l?Adv)/2是可忽略的。因此，者I正確猜測(cè)Woo-Lam協(xié)議[14]等。因此協(xié)議Π不可能是MK-安全的。合法參與者之間新建立的會(huì)話密鑰。典型的例子為Needham-Schroede公鑰協(xié)議[8]等。因此，， 對(duì)稱術(shù)（括加密帶密鑰單向函等常不提有的可認(rèn)務(wù)如A）定義6.10（不可否認(rèn)性）在Dolev-Yao模型下，稱協(xié)議Π能夠提供不可否認(rèn)服務(wù)，規(guī)則6.1（不可否認(rèn)規(guī)則）假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全是指A擁有確鑿的指明爭(zhēng)議消息m來(lái)源于B，或B已經(jīng)收到爭(zhēng)議消息m。這些確鑿的要注意的是，一般總是假定可信第S是安全的。因此，這個(gè)確鑿的可以是一個(gè)由主體B向可信第S發(fā)送的一個(gè)密文，且這個(gè)密文是用主體B和可信第S共享的密鑰定義6.11（實(shí)時(shí)不可否認(rèn)性）在Dolev-Yao模型下，稱協(xié)議Π能夠提供實(shí)時(shí)不可否認(rèn)服務(wù)，是指在某次協(xié)議運(yùn)行中任何者I不能以一個(gè)不可忽略的概率獲勝。這里，規(guī)則6.2（實(shí)時(shí)不可否認(rèn)規(guī)則）假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。給定參與方AB之間的一個(gè)協(xié)議Π，稱該協(xié)議能夠提供實(shí)時(shí)不可包含了一個(gè)學(xué)操作(響應(yīng))，而這個(gè)學(xué)操作只能由意定主體B才能完成，而,,,,—RealTimeOriginate(ρmPj)，任意主體ρ或至少有一個(gè)仲裁者能夠斷言，在某次協(xié)議定理6.14（不可否認(rèn)安全）假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全即令Pi相信一個(gè)的消息m來(lái)源于主體Pj。由已知條件，Pi擁有Originate(Pi,m,Pj)，即Pi,下面證明協(xié)議Π滿足定理6.14(2)條件。假設(shè)者I能夠以一個(gè)不可忽略的概率獲勝，Pj)，即Pi擁有確鑿的指明Pj已經(jīng)收到爭(zhēng)議消息m。確鑿的為消息內(nèi)容包含只能由意密。因此，如果者獲勝，則表示在公鑰情況下，即使者不知道相應(yīng)私鑰，也能對(duì),定理6.15（實(shí)時(shí)不可否認(rèn)安全）假定存在一個(gè)任意的概率多項(xiàng)式時(shí)間者I，這個(gè)者完全控制了通信鏈路。給定參與方PiPj之間的一個(gè)協(xié)議Π，M為PiPj之間某次協(xié)議Pi擁有RealTimeOriginate(Pi,m,Pj)，即Pi擁有確鑿的指明爭(zhēng)議消息m由Pj為本次Pi擁有RealTimeRespond(Pi,m,Pj)，即Pi擁有確鑿的指明在本次協(xié)議運(yùn)行中Pj收,因此，可以得出結(jié)論，如果RealTimeOriginate(Pi,mPj)，則認(rèn)為協(xié)議Π能夠提供實(shí)時(shí)不從定理6.15(1)中實(shí)時(shí)性質(zhì)的證明以及定理6.14(2)收到消息屬性的證明，同樣能夠獲得BellareM,RogawayP(1993)EntityAuthenticationandKeyDistribution.In:CRYPTO’93Proceedingsofthe13thAnnualInternationalCryptologyConferenceonAdvancesinCryptology,SantaBarbara,22–26Aug1993.LectureNotesinComputerScience,vol773,pp232–249,SpringerBellareM,CanettiR,KrawczykH(1998)AModularApproachtotheDesignand ofAuthenticationandKey-exchangeProtocols.In:Proceedingsofthe30thSTOC,Dallas,23–26May1998GoldwasserS,MicaliS(1984)ProbabilisticEncryption.JournalofComputerandSystemSciences28(2):270–299GoldwasserS,MicaliS,RivestR(1988)ADigitalSignatureSchemeSecureAgainstAdaptiveChosen-messageAttacks.SIAMJournalofComputing17(2):281–308BlumM,MicaliS(1984)HowtoGenerateCryptographicallyStrongSequencesofPseudorandomBits.SIAMJournalonComputing13(4):850–864YaoAC(1982)TheoryandApplicationsofTrapdoorFunctions.In:ProceedingsoftheIEEE23rdAnnualSymposiumontheFoundationsofComputerScience,Chicago,3–5Nov1982BellareM,RogawayP(1995)ProvablySecureSessionKeyDistribution–theThreePartyCase.In:Proceedingsofthe27thACMSymposiumontheTheoryofComputing,LasVegas,29May–1June1995MaoW(2004)ModernCry