引入小蜂窝网络（SCN）显著提高了无线链路质量、频谱效率和网络容量，被视为第五代（5G）移动网络的关键技术之一。然而，该技术增加了切换频率（HO）由于在网络中密集部署小区而导致的程序减少了小区覆盖范围，带来了新的安全和隐私问题。当前的5G-AKA和HO协议存在安全漏洞。。。

我们表明，关键协议方案[物联网，2022（18）:100493]存在缺陷。（1） 它忽略了椭圆曲线的结构，并给出了一些错误的计算。（2） 该方案对密钥泄露模拟攻击是不安全的。

受物联网（IoT）应用程序的激励，Cremers、Naor、Paz和Ronen（Crypto’22）最近考虑了一种设置，在这种设置中，多方共享一个共同的密码，并希望能够安全地相互验证。他们观察到，在此设置中使用标准密码身份验证密钥交换（PAKE）协议会导致灾难性的模拟攻击，其中一方的妥协会使攻击者能够将任何一方模拟为其他任何一方。要解决。。。

随着物联网（IoT）的快速发展，为这些网络设计一个安全的双因素身份验证方案是要求越来越高。最近，历史大数据引起了人们的兴趣作为该领域的一个新的认证因素。在本文中，我们重点关注最近使用bigdata的身份验证方案（Liu等人的方案）声称提供额外的安全属性，如Perfect Forward保密性（PFS）、密钥泄露模拟（KCI）弹性。。。

根据定义，身份验证密钥交换（AKE）协议既保证会话密钥的保密性，又保证实体身份验证。非正式地说，会话密钥保密意味着只有合法方知道已建立的密钥，而相互身份验证意味着一方可以确保自己的会话密钥实际上是与另一方建立的。如今，AKE的一个重要应用领域是物联网（IoT）系统，其中物联网设备运行协议以建立与。。。

基于密码的认证密钥交换（PAKE）协议的最新进展可以为全球部署的安全协议提供更强的安全保障。值得注意的是，OPAQUE协议[Eurocrypt2018]实现了强非对称PAKE（saPAKE），加强了aPAKE对受损服务器的保护：在破坏saPAKE服务器后，对手仍然需要执行完全的暴力搜索来恢复任何密码或冒充用户。然而，aPAKE不保护。。。

单点登录（SSO）正在成为用户越来越流行的身份验证方法，它利用受信任的身份提供程序（IdP）从单个用户密码引导安全的身份验证令牌。它缓解了一些最糟糕的密码安全问题，因为用户不再需要记住所有服务提供商的个人密码，并且它消除了这些服务的负担，以正确保护巨大的密码数据库。然而，SSO还引入了一个。。。

我们提出了一种系统的方法来定义和研究认证密钥交换协议中的认证概念。我们提出并使用了一个灵活且具有表现力的基于谓词的定义框架。我们的定义捕获了经过身份验证的密钥交换协议的隐式和显式变体中的密钥和实体身份验证，以及密钥和实体确认。特别是，我们捕获了身份验证空间中的关键概念，例如密钥泄露模拟。。。

Verifpal是一种新的加密协议自动化建模框架和验证器，通过启发式算法对常见情况下的协议规范进行了优化，旨在更好地为现实世界的从业者、学生和工程师工作，而不牺牲全面的形式验证功能。为了实现这一点，Verifpal引入了一种新的、直观的协议建模语言，比现有工具使用的语言更容易编写和理解。它的正式。。。

我们提出了nQUIC，这是QUIC-TLS的一个变体，它使用Noise协议框架进行密钥交换，并基于其数据包保护器，无需语义传输更改。nQUIC是为在系统中部署以及对原始公钥（而不是基于PKI的证书链）断言信任的应用程序而设计的。它使用一种固定密钥交换算法，从而降低了实现和验证的灵活性。nQUIC提供强制服务器和可选客户端身份验证、阻力。。。

在本文中，我们首先回顾了由黑泽明和古川（CT-RSA 2014）介绍的通用双消息密钥交换（TMKE）方案（将被称为KF）。该协议主要基于密钥封装机制（KEM），该机制被认为是针对选定明文攻击（IND-CPA）的安全机制。然而，我们发现KF协议的安全性不能降低到IND-CPA KEM。从ElGamal KEM中实例化的具体KF协议甚至会受到密钥泄漏的影响。。。

密码身份验证密钥交换（PAKE）协议允许仅共享密码的双方以不受脱机攻击的方式建立共享密钥。非对称PAKE（aPAKE）加强了这一概念，适用于更常见的客户端-服务器设置，其中服务器存储密码映射，即使服务器受到危害，也需要安全性，即在这种情况下，唯一允许的攻击是针对单个用户的（不可避免的）脱机穷举字典攻击。。。

WireGuard（Donenfeld，NDSS 2017）是最近提议的在第3层运行的安全网络隧道。WireGuard旨在取代现有的隧道解决方案，如IPsec和OpenVPN，同时需要更少的代码、更安全、更高的性能和更易于使用。WireGuard的密码设计基于Noise框架。它使用了一个密钥交换组件，该组件结合了长期和短暂的Diffie-Hellman值（以及可选的预共享密钥）。接下来是。。。

在本文中，我们描述了Nguyen等人在ESORICS 2016（一种由代理实体调解的认证密钥协议）上提出的对该协议的几次攻击，该协议仅限于对称加密原语，用于物联网环境。该协议在加密和解密过程中使用长期弱密钥作为中间值，这意味着可以使用这些密钥对消息进行加密和解密，而无需知道相应的密钥。在我们的工作中，。。。

本文在多个私钥生成器（PKG）环境下，提出了一种高效的基于单轮、两方身份的认证密钥协商协议。我们构造的一个主要优点是它不涉及任何配对操作。迄今为止，基于身份的密钥协议域中的现有协议围绕单个PKG环境。利用多重PKG范式的努力过度依赖椭圆曲线密码术和。。。

本文在基于密文策略属性的系统框架中提出了一种单轮两方认证密钥交换协议。由于配对是一种昂贵的操作，并且复合顺序组必须非常大才能确保安全，因此我们重点讨论了素数顺序组中的无配对协议。该协议是无配对的，工作在素数阶群中，并能在一定条件下紧约化为强Diffie-Hellman（SDH）问题。。。

在本文中，我们提出了一种基于单轮双方属性的认证密钥交换协议。由于配对是一项成本高昂的操作，并且复合订单组必须非常大为了确保安全性，我们将重点放在素数序组中的无配对协议上。我们提出了一个新的协议，该协议是无配对的，工作在素数序组中，并具有对Strong-Difie-Hellman的紧约简基于属性的CK模型下的（SDH）问题是。。。

在2005年IACR的一份报告中，Wang发布了一种适用于资源约束设备的高效基于身份的密钥协商协议（IDAK）。作者证明了IDAK密钥协商协议在带有随机预言的Bellare-Rogaway模型中是安全的，并提供了一个特别的安全证明，声称IDAK协议不易受到密钥泄漏模拟攻击。在本报告中，我们声称IDAK协议易受密钥泄露模拟攻击。。。。

最近，He等人（Computers and Mathematics with Applications，2012，64（6）：1914-1926）提出了一种新的高效的无证书两方认证密钥协商协议。他们声称他们的协议在扩展的Canetti-Krawczyk（eCK）模型中是安全的。在本文中，我们将证明他们的协议是不安全的。一类I型对手获得一方的短暂私钥，可以冒充一方欺骗另一方并计算共享会话密钥。。。

我们证明，在满足比扩展的Canetti-Krawczyk（eCK）安全模型更强的安全特性的双消息或单轮密钥交换（KE）协议中，可以实现完全前向保密。特别是，我们考虑了在对手面前的完美前向保密，对手可能会泄露会话参与者的短暂密钥和长期密钥（类似于密钥折衷模拟）。我们提出了两种新的基于游戏的安全性。。。

多密钥协商（MKA）协议允许双方在一个会话中生成两个或多个会话密钥，用于未来公共网络中的安全通信。近年来，许多MKA协议被提出。然而，他们中的大多数没有考虑到临时密钥折衷弹性，其中一些仍然存在安全缺陷。在本文中，我们分析了Dehkordi和Alimoradi在2011年提出的方案，该方案具有更强的安全性。我们将。。。

认证密钥交换（AKE）研究中一个尚未解决的问题是，在不依赖随机预言的情况下，构造一个安全的协议来抵抗密钥泄漏模拟和最大暴露攻击等高级攻击。HMQV是一种最先进的AKE协议，它实现了Krawczyk（我们称之为CK+模型）提出的高效性和强安全性，包括抵抗高级攻击。然而，安全性证明是在随机预言模型下给出的。我们建议。。。

本文展示了Pointcheval和Zimmer在ACNS’08上提出的多因素认证密钥交换（MK-AKE）协议的几个安全弱点。Pointcheval-Zimmer方案设计为在一个系统中结合三个身份验证因素，包括密码、安全令牌（存储私钥）和生物特征。在一个正式的模型中，Pointcheval和Zimmer正式证明了攻击者必须打破所有三个因素才能获胜。然而，形式化模型只考虑了。。。

经过身份验证的密钥交换（AKE）协议是允许两个或多个实体以可信的方式同意一个公共会话密钥的协议，其中该密钥用于加密正在进行的通信。2010年，Zhao等人在CDH假设下提出了Provably Secure Authenticated Key Exchange Protocol（简称SAKE和SAKE-C）。尽管所提协议的安全性在形式化模型中得到了证明，但由于没有考虑所有的安全性问题，因此该协议具有很好的安全性。。。

J-PAKE是一种平衡的密码验证密钥交换（PAKE）协议，于2008年提出，2010年和2011年再次提出。它的一个显著特点是不需要公钥基础设施（PKI）。相反，它通过Schnorr的签名部署了零知识（ZK）技术，并且需要许多计算和随机数生成。J-PAKE已作为IEEE P1363.2基于密码的公钥加密标准的候选标准提交，包括。。。

2005年，Laih等人提出了一种基于密码的身份验证密钥交换协议，该协议不是基于公钥加密，而是利用人类的能力从扭曲的图像中提取字符串。在这封信中，Laih等人的协议容易受到密码泄露模拟、恶意服务器、离线密码猜测、无法检测的在线密码猜测、stolen-verifier和未知密钥共享（UKS）攻击，并且它不提供前向保密和密钥确认。

本文研究了认证密钥交换（AKE）协议的强自适应破坏安全定义。许多最近的认证密钥交换协议在CK01或eCK安全模型中被证明是正确的。对于认证密钥交换协议，建议新模型至少与以前的模型一样强大。然而，我们观察到现有AKE协议上存在几种攻击，这些攻击超出了当前的安全定义类别。。。

我们讨论了最近由Mohammad，Chen，Hsu提出的一个单向认证密钥协议和Lo，它们是从相应的双通道版本“衍生”而来，并声称是安全的。我们展示了通过演示一些漏洞，情况并非如此。

最近，Liaw等人提出了一种基于散列的电子旅行支票系统。他们声称他们的计划是安全的。然而，经过分析，我们发现他们的方案容易受到密钥泄露模拟和并行会话攻击。此外，我们将改进他们的计划，以避免此类攻击。

由于Kerberos受到KDC（密钥分发中心）泄露和模拟攻击，因此，在服务器端不突出显示验证表的多服务器密码身份验证协议可能是一种替代方案。通常，在多服务器密码身份验证协议中有三个角色：客户端、服务器和注册中心，注册中心的角色类似于Kerberos中的KDC。本文为实现多服务器密码系统提供了理论基础。。。

最近，刘提出了两个使用配对的认证多密钥交换协议，并声称这两个协议具有许多安全属性。在本文中，我们证明了Liu的协议是不安全的。刘的两个协议都不能提供完美的前向保密。

最近，Dario Fiore和Rosario Gennaro受到MQV协议的启发，提出了IB-KA协议。他们提供了一个完整的使用由开发的技术证明IB-KA协议的安全性卡内蒂-克劳茨克模型中的克劳茨克。他们设计了IB-KA具有完美转发等安全属性的协议保密性、反射攻击弹性和密钥泄漏模拟弹性。但他们没有考虑短暂的关键IB-KA协议设计中的折衷问题，。。。

用户身份验证是网络安全的一项重要任务。为了达到这个目的，在过去几年中，有几个强密码已经提出了身份验证方案，但没有一个方案能够抵抗已知的安全威胁。2004年，W。C.Ku提出了一种新的基于散列的强密码认证方案，并声称该方案能够抵抗重播、密码泄露、拒绝服务和内部攻击。本文分析了W.C.Ku的方案，发现那个。。。

最小化组密钥交换（GKE）协议的复杂性是其实际部署的一个重要里程碑。实现这个目标的一个有趣的方法是通过使用通用构建块简化GKE协议的设计。本文研究了基于一种称为{\em多密钥封装机制（mKEM）}的原语建立GKE协议的可能性，并描述了这种方法的优点和局限性。特别是，我们展示了如何设计一个单轮。。。

为了减少网络钓鱼和间谍软件攻击的危害，银行、政府和其他安全敏感行业正在部署一次性密码系统，用户拥有多个密码，每个密码只使用一次。如果一个密码被泄露，它只能被用来模拟用户一次，从而限制了所造成的损害。然而，现有的一次性密码实用方法容易受到复杂的钓鱼攻击。我们给予正式的安全处理。。。

密钥交换协议允许一组各方在公共网络上就秘密会话密钥达成一致。在考虑不同对抗行为的各种模型下，对两党密钥交换（2PKE）协议进行了严格分析。然而，对组密钥交换（GKE）协议的分析还没有2PKE协议那样广泛。特别是，对于GKE协议，密钥泄漏模拟（KCI）弹性的安全属性迄今为止一直被忽视。我们。。。

提出了一种新的基于身份的密钥协商协议。基于身份的加密技术（由Adi Shamir在{Shamir-idb}中介绍）每一方使用自己的身份作为公钥并接收自己的密钥来自主密钥生成中心，其公共参数是公开的。我们的协议的新颖性在于，它可以在任何素数阶的循环群上实现，Diffie-Hellman问题应该很难解决。它不需要计算昂贵的。。。

我们形式化了用于安全协议分析的对手模型层次结构，从Dolev-Yao风格的对手到可以在协议执行期间显示主体状态不同部分的更强大的对手。我们通过描述对抗性能力的模块化操作语义来定义我们的层次结构。我们用它来形式化关键和国家妥协的各种实际相关概念。我们的语义可以用作协议分析工具的基础。作为。。。

最近，Byun等人提出了一种高效的客户端到客户端密码认证密钥协商协议（EC2C-PAKA），该协议在正式定义的安全模型中是安全的。这封信表明，如果服务器之间的密钥泄露，EC2C-PAKA协议容易受到密码泄露模拟攻击和中间人攻击。

随着手机和PDA等移动和便携式设备的出现，无线内容分发已成为通信和娱乐的主要手段。在这种应用程序中，中央当局需要将加密数据传递给大量接收者，这样只有一部分特权用户才能解密数据。广播新闻频道可能会面临这个问题，例如，当大量用户订阅每日独家新闻功能时。这是。。。

密钥协议对于中的安全通信至关重要开放和分布式环境。然而协议设计是，修复已发布协议上发现的攻击的迭代过程证明，极易出错。我们重新访问了高效的基于身份（基于ID）的密钥协商协议柳、尹和尹。该协议效率高，适用于实际应用程序，尽管对密钥折衷模拟（K-CI）。。。。

密钥协商协议是为两个或多个实体就共享密钥达成一致而设计的，用于在开放网络上保持机密性和数据完整性。2007年，Oh等人提出了一种高效的基于ID的椭圆曲线对认证密钥协商协议，它被认为能够在协议执行后安全地生成两个会话密钥。然而，我们发现他们的协议实际上也容易受到基本模拟攻击。。。

可拒绝的身份验证协议使协议参与者能够对各自的对等方进行身份验证，同时能够在协议执行后拒绝他们的参与。该协议在一些实际应用中非常有用，例如在线谈判、在线购物和电子投票。最近，我们改进了Chou等人提出的一个可否认身份验证方案，因为该方案在我们之前的报告中容易受到密钥泄露模拟攻击。。。。

2003年，Boyd等人提出了两种用于Internet密钥交换（IKE）的可否认认证密钥建立协议。然而，由于这两种方案容易受到密钥折衷模拟（KCI）攻击，因此在2005年被Chou等人破坏。在本文中，我们提出了Boyd等人两种方案的改进变体，以抵御KCI攻击。在证明我们改进的合理性的基础上，我们进一步提出了详细的安全分析，以确保所需的。。。

可拒绝性被定义为一种隐私属性，使协议主体能够在参与特定协议运行后拒绝参与。最近，Chou等人在证明Cao等人的协议中存在密钥压缩模拟（KCI）攻击漏洞后，提出了基于ID的可否认身份验证协议。此外，他们声称他们的协议不仅安全，而且能够实现真实性和可否认性。然而，在。。。

Wang\emph{等人}最近的一篇论文揭示了ECKE-1密钥协议中的漏洞。特别是，与作者的说法相反，协议ECKE-1被证明容易受到密钥折衷模拟攻击。作者在《EURASIP嵌入式系统杂志》最近发表的另一篇论文中也独立指出了这种攻击。在这里，我们提出了该协议的修订版ECKE-1R，即在。。。

在SAC’05中，Strangio提出了协议ECKE-1，作为一个使用公钥认证的高效椭圆曲线Diffie-Hellman两方密钥协商协议。在这封信中，我们表明，尽管作者声称协议ECKE-1易受密钥泄露的影响模拟攻击。我们还提出了一种改进的协议——ECKE-1N，它可以抵御此类攻击。改进后的协议的性能与著名的MQV协议相当，并保持了相同的显著列表。。。

密钥协商协议是确保双方在不安全网络上进行身份验证和私有通信的基本构建块。本文重点研究非对称身份验证模型中的密钥协商协议，其中双方持有公共/私有密钥对。特别是，我们考虑了一种称为密钥泄露模拟的已知密钥攻击，这种攻击可能在对手获得诚实方的私钥后发生。这次攻击代表了一种微妙的。。。

2001年，Canetti和Krawczyk提出了认证协议的安全模型（CK-model）。他们还为密钥交换协议给出了一个基于不可区分性的定义。从那时起，该模型几乎专门用于分析密钥交换协议，尽管它可以应用于一般的身份验证协议。该模型不仅捕获了一大类攻击，还提供了设计身份验证协议的模块化方法。然而，该模型确实。。。

2003年，Boyd和Mao提出了两个可否认的认证密钥建立互联网协议中使用椭圆曲线配对的协议，其中一个基于Diffie-Hellman密钥交换，另一个基于公钥加密方法。对于椭圆曲线对的使用，他们宣称他们的方案可以比现有的互联网密钥交换（IKE）更高效。然而在本文中，我们将说明Boyd-Mao的两个协议都受到。。。

2005年，Manik等人提出了一种使用双线性对的新型远程用户身份验证方案，该方案允许有效用户登录到远程系统，但禁止过多用户使用相同的登录ID登录。它还提供了灵活的密码更改功能。在本文中，我们将证明这种远程用户身份验证方案是不安全的，对手总是可以通过身份验证。

最近，一些基于ID的两方双线性构成的认证密钥协商协议提出了{CJL，MB，Sh，S，X}配对。在本文中，我们表明Xie的协议\cite{X}没有提供隐式密钥身份验证和密钥泄漏模拟弹性。此外，我们指出Choi协议的漏洞{CJL}防止签名伪造攻击。

最近Eun-Kyung Ryu、Eun-Jun Yoon和Kee-Young Yoo提议高效的基于ID的认证密钥协议削皮。他们认为这是安全有效的。在本文中，我们表明该协议不满足Key-Compromise Impersonate属性，它不安全密钥泄露攻击。然后我们根据这个协议提出我们的协议并对其安全性和效率进行了分析。

我们首先提出了一种新的安全2-AK协议，它比以前提出的协议更安全、更高效。同时，我们指出，Xie的ID-2-AK协议是由CT-RSA 2005中的McCullagh-Barreto修改而来的，它并没有提供同样的针对KCI攻击的保护，最后利用MQV中首次提出并在Kim中也使用的模块化算法，得到了一个修改后的新ID2-AK协议。再者，我们利用有限域上的加法运算给出了另一个ID-2-AK协议。。。

McCullagh和Barreto在CT-RSA 2005中提出了一种基于身份的认证密钥协商协议。他们的协议被发现容易受到密钥泄露模拟攻击。为了弥补不足，McCullagh、Barreto和Xie分别提出了两种方案变体。在每一项工作中，都给出了该协议的安全性证明。在本文中，我们重新讨论了这三个安全证明，并证明了这些证明中的所有约简都是。。。

我们提出了一种基于双方身份的密钥协议和带有配对确认的密钥协议，可以在托管模式下使用，也可以不使用托管模式。，它也可以在不同KGC（密钥生成中心）的用户之间使用。我们将证明我们的方案是Bellare和Rogaway[2]提出的模式下的安全密钥协议，并且我们将证明该方案具有已知密钥安全、密钥压缩模拟、未知密钥共享、完美向前安全和密钥控制的属性。

重新讨论了最近提出的基于两方ID的认证密钥协商协议（有托管和无托管）及其对McCullagh&Barreto的密钥泄漏模拟具有抵抗力的变体。该协议在Bellare&Rogaway（1993）模型中提供了安全性证明。本文证明，如果允许对手发送Reveal查询以显示接受相同会话密钥的非合作伙伴玩家，则协议及其变体是不安全的。

Noel McCullagh和Paulo S.L.M.Barreto[1]于2004年提出了一种基于两方身份的密钥协商协议，该协议可以用于托管或无托管模式。他们还描述了不同密钥生成中心的用户可以就共享密钥达成一致的条件。在本文中，我们证明了这两个协议对于密钥泄露模拟攻击是不安全的，并且修复协议不具有完美形式安全的特性。我们在…中修改了这些协议。。。

最近，Al-Riyami和Paterson提出了四个利用Weil配对的认证三方密钥协商协议。本文证明了这些协议对中间人攻击、密钥泄漏模拟攻击和几种已知密钥攻击是不安全的。

最近，Shim从Weil配对中提出了一个三方认证密钥协商协议，以克服Joux协议中的安全缺陷。随后，Shim还提出了一种基于ID的认证密钥协商协议，该协议是Smart协议的改进，以提供前向保密性。在本文中，我们证明了这两个协议分别对密钥折衷模拟攻击和中间人攻击是不安全的。

我们调查了许多与基于身份相关的问题使用Weil或Tate的认证密钥协议配对。这些问题包括如何使协议高效；如何避免由颁发密钥的信托机构（TA）托管密钥用户的基于身份的私钥，以及如何允许用户使用不同的可信权限。我们描述了一些经过认证的密钥协商（AK）协议和带有密钥确认的AK（AKC）从Smart的AK修改的协议。。。