1000-9825/2005/16(10)1743©2005JournalofSoftware软件学报Vol.16,No.10∗可证明安全性理论与方法研究+冯登国(信息安全国家重点实验室(中国科学院软件研究所),北京100080)ResearchonTheoryandApproachofProvableSecurityFENGDeng-Guo+(StateKeyLaboratoryofInformationSecurity(InstituteofSoftware,TheChineseAcademyofSciences),Beijing100080,China)+Correspondingauthor:Phn:+86-10-62658643,Fax:+86-10-62520469,E-mail:fdg@263.net,http://www.is.iscas.ac.cnReceived2004-07-06;Accepted2005-08-24FengDG.Researchontheoryandapproachofprovablesecurity.JournalofSoftware,2005,16(10):1743−1756.DOI:10.1360/jos161743Abstract:Thispaperpresentsasurveyonthetheoryofprovablesecurityanditsapplicationstothedesignandanalysisofsecurityprotocols.Itclarifieswhattheprovablesecurityis,explainssomebasicnotionsinvolvedinthetheoryofprovablesecurityandillustratesthebasicideaofrandomoraclemodel.Italsoreviewsthedevelopmentandadvancesofprovablysecurepublic-keyencryptionanddigitalsignatureschemes,intherandomoraclemodelorthestandardmodel,aswellastheapplicationsofprovablesecuritytothedesignandanalysisofsession-keydistributionprotocolsandtheiradvances.Keywords:provablesecurity;cryptosystem;securityprotocol;randomoraclemodel;standardmodel摘要:论述了可证明安全性理论在安全方案与安全协议的设计与分析中的应用,内容主要包括:什么是可证明安全性,可证明安全性理论涉及到的一些基本概念,RO(randomoracle)模型方法论的基本思想及其在公钥加密和数字签名等方案中的应用研究进展,标准模型下可证明安全性理论在公钥加密和数字签名等方案中的应用研究进展,以及可证明安全性理论在会话密钥分配协议的设计与分析中的应用研究进展.关键词:可证明安全性;密码方案;安全协议;RO(randomoracle)模型;标准模型中图法分类号:TP309文献标识码:A目前多数安全协议的设计现状是:(1)提出一种安全协议后,基于某种假想给出其安全性论断;如果该协议在很长时间,如10年仍不能被破译,大家就广泛接受其安全性论断;(2)一段时间后可能发现某些安全漏洞,于是对协议再作必要的改动,然后继续使用;这一过程可能周而复始.这样的设计方法存在以下问题:(1)新的分析技术的提出时间是不确定的,在任何时候都有可能提出新的分析技术;(2)这种做法使我们很难确信协议的安全性,反反复复的修补更增加了人们对安全性的担心,也增加了实现代价或成本.那么有什么解决办法呢?可证明安全性理论就是针对上述问题而提出的一种解决方案(当然,并非是唯一∗SupportedbytheNationalGrandFundamentalResearch973ProgramofChinaunderGrantNo.G1999035802(国家重点基础研究发展规划(973));theNationalNaturalScienceFoundationofChinaunderGrantNo.60273027(国家自然科学基金)作者简介:冯登国(1965－),男,陕西靖边人,博士,研究员,博士生导师,主要研究领域为网络与信息安全.1744JournalofSoftware软件学报2005,16(