TELKOM NIKA Indonesia n  Journal of  Electrical En gineering   Vol. 12, No. 10, Octobe r 20 14, pp. 7471  ~ 747 7   DOI: 10.115 9 1 /telkomni ka. v 12i8.558 2          7471     Re cei v ed  Jan uary 5, 2014;  Re vised July   24, 2014; Accepted Augu st  18, 2014   Perfect Forward Secure ID-based Key Agreement  Protocol in Group Communication      Pengshu ai Qiao  Schoo l of Envir onme n tal a nd  Munici pa l Engi neer ing   North Ch ina U n iversit y  of W a ter Resourc e s and El ectric Po w e r   email: p engs hu aiqi ao @16 3 .co m       A b st r a ct   Severa l id entit y-base d  key a g ree m ent prot ocols  us in g bi l i ne ar pa irin g h a ve b e e n  pro p o sed  i n   recent ye ars a nd n one  of th em  has  achi e v ed a ll re quir e d security  pro perties. In this  pap er, w e  firstly  prop ose  an  ID- base d  o n e  rou nd  auth enticat ed  grou p k e y a g ree m ent pr otocol  w i th bi lin e a r p a iri ngs, w h er e   all p a rticip ants can ge ner ate t he gro up sess i on key in o ne r oun d. Based o n  the intracta bil i ty of elliptic cu rve  discrete l o g a rit h prob le m, e v ery us er s  pr iv ate key can  be  proved to  be s e cure. Also  an  extend ed vers i on  of one rou nd a u thentic ated gr oup key a g re e m e n t protoco l  i s  given, it prov ide p e rfect forw ard secrecy an d   avoi d key escrow  by the Key G enerati o n  Center.  F i nally, a compreh ensiv e securit y  analysis a n a   compre hens ive  security  an aly s is are  pr ovid e d . By co m pari ng  w i th other protoco l s,  the  prop osed  pr otoc o l   requ ires low e computati on co st.     Ke y w ords : ke y agree ment pr otocol, perfect  forw ard secrec       Co p y rig h t   ©  2014 In stitu t e o f  Ad van ced  En g i n eerin g and  Scien ce. All  rig h t s reser ve d .       1. Introduc tion  In recent years,  colla bor ative and group-ori ented  applic ation s  and protocols hav e   gaine d po pul arity. These a pplication s  typically  involv e co mmuni ca tion over  ope n networks. One   of the important require ments  is  se curity. A key agreeme n t which p r ovi des mutu al key  authenti c atio n bet wee n  p a rties i s   calle d an  aut h enti c ated  g r oup   key a g reeme n t (AGKA). K e establi s hm en t protocols a r e one of the  most impo rta n t cryptog r ap hic p r imitives that have be en   use d  in o u so ciety. In 1 976, the first   unauth enticated  key  ag reement prot ocol ba sed on  asymmet r ic cryptographi c tech niqu es was propo se d by Diffie and Hellma n  [1]. It can assu re th e   se curity of communi catio n  between th e two u s e r s.  Ho wever, it  dose not  a u thenticate u s e r s,   hen ce suffe rs the “man-in -t he-mi ddle  attack. In  1984, Shamir [2] propo sed the id ea of ID-ba s e d   crypto system  where the identity in formation of a use r  functio n s  as hi s pu bl ic key. A few key  agre e me nt protocol s h a ve  been  devel o ped b a sed  o n  Diffie-Hell man a nd Sh amir’ s  key setup  idea. In one  of brea kthrou ghs in  key a g ree m ent, Jo ux [3] proposed a three p a rty single  ro und  key ag ree m e n t proto c ol u s ing pai ring s o n  elliptic  cu rve. This  wa s t he first  po sitive appli c atio n of  bilinea p a iri n gs  i n  crypto g r aphy. Jo ux et  al.  a pplie s the  pairi ng t e ch niqu e a n d  a c hieve s  ke agre e me nt a m ong th ree  p a rties in a n  a s toni shin gly simple  way. He nam es his  proto c ol  “trip a r tite   Diffie-Hellma n ”. Again, Jo ux’s ori g inal  proto c ol  works in th e Weil pairin g  an d hen ce i s  less  conve n ient fo r a real a ppli c ation u s e. Here  we  intro d u ce a  simplifi ed version u s ing the modifi ed   Weil pai ring.   Since  Bone h  and  F r an kli n ’s  pion eeri n g work  [4]  on the ID-bas ed encr yption ( I BE)   system i n  2 001,  several  pap ers h a ve attemp ted  to e s tablish  ID-b ased  a u thenticated  key  agre e me nt protocol  (ID-AG KA). Choi et  al. [5] and  Du  et al. [6] prop ose d  two I D -AGKA proto c ols  from bilin ea r pairi ng s an d BD [7]  scheme s . However, Zh ang  and  Ch en  [8] sho w e d   an  imperso natio n attack on  th ese  two  p r oto c ol s. To  pr event such a n  a ttack, they  su gge st ad ding   a   time param eter to the messag e being  si gned. However,  SHIM [9] sho w e d  that the proto c ol   is  still inse cu re  again s t insi d e r colludin g   attacks.  In  2006, Lin et al . [10] propo sed a   multip arty  key a g reeme n t protocol,  but thei r p r ot ocol  ha di sadvantag es i n  nu mbe r   of ro und s, p a iring- comp utation and com m un ication   ban d w idth.  Zh ou  et al. propo sed a  one -to - many ma ppi ng  sha r ed  key a g ree m ent, which i s  ba se d  on one -t o-m any encryptio n mechani sm  model, but t h e   roun d num be r of their sche me is two [11 ] .   Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  747 1  – 7477   7472 To reali z e g r oup key agre e ment and e x tend Joux  e t  al.’s proto c ol, Barua et al. [12]’s  first pro p o s ed  a three-gro u p  and a two - grou p Diffi e-Hellma n  key  agre e me nt protocol. After that,  many protoco l s were propo sed i n  [13 - 17] .  Abdel  Alim  Kamal p r opo sed  an atta ck on Piao  et al.’s  scheme  whi c h de scribe a poly nomi a l-based key  m anag ement schem for se cure  intra-gro u p   and i n ter-gro up  comm uni cation  [18].  Marimuth Rajara m a nd  Thilagavathy  Do rai r aj Su resh  prop osed a n   interval-ba s e d  key  agree ment ap pr o a c whi c h a d p o ts re-keying  [19]. To de crease  the numbe r o f  round s and  make AGKA more efficie n t ,  Shi et al. propo sed on e round ID-ba s e d   AGKA protocol with biline a r pari n g s  [20], which ca n gene rate the se cret se ssi on key in  one  roun d. Shi et  al.’s p r oto c ol  just requi re s one  ro u nd a nd le ss t r an smitted data,  so it ha s a  g ood   efficient. However, a s  illu st rated i n  thei r l i terature,  in t heir  protocol i f  two o r  m o re  than t w use r s’  long-te rm p r i v ate keys a r e  comp romi se d, the adv ersary ca n comp ute the  previous se ssion key,  so thei r p r ot ocol  ca nnot  provide  pe rfe c t forward  se cre c y. Simila rly, their p r ot ocol  also  ca nnot  prevent KG C from escrowi ng the esta bli s he d se ss ion k e ys . Based on Shi et al.’s  work , we firs t   prop ose a n  I D -b ased  one   roun d a u then ticated  gro u p   key a g re eme n t protocol  which  satisfie the   requi re d se curity attributes and provid e lowe com p utation co st. The pro p o s e d  pape r’s section   stru cture is o r gani zed a s :  Introdu ction  - Security  propertie s - Pr oposed I D -AGKA - Secu r i t y   analy s is –Efficienc y  analy s is– Concl u sion.       2. Securit y  p r operti e s   An authenticated gro up key agreeme n t protoc ol is de sire d to have the followi n g   comm on security prop ertie s  [21, 22]:  1) Impli c it Key Authenticati on: An n-p a rt y ke y agree ment protocol  provide s  imp licit key  authenti c atio n if ea ch me mber i n  the  set of proto c ol   partie s  i s  a s sured  that no     party out side  the  set ca n learn the grou p se cret key.   2) Pe rfect F o rward Se crecy :  We  say that  a p r oto c ol h a s p a rtial fo rward  se crecy if  one  or  more  but not  all the entitie s' lo ng-te rm  keys  can  b e  corrupted with out  co mpromi sing previously  establi s h ed session keys, and we  say that a prot oco l  has perfe ct forwa r d secrecy if the long- term key s  of all the entities involved m a y be co rru pted witho u t co mpromi sin g  a n y sessio n key  previou s ly est ablished  by these entities.    3)  Know n S e ss ion Key  Sec u r i ty: R e s i s t ance to known s e ss ion k e y secur i ty is  the       prop erty that each run  pro duces a diffe rent se ssio n key and  com p romi se of p a st se ssion  keys  doe s not allo w com p romise of future se ssi on keys.   4) Key-Comp romi se Impe rson ation: Wh en A’s privat e key is  com p romi se d, it  may be   desi r abl e that this event do es not en able  an adv ersa ry to impersona te other entities to A.  5) Un kno w n Key-Share:  In  an un kno w ke y - share attack, an  a d v ersa ry convi n ce s a  grou p of entities that they sha r e a  key with t he adv ersary, wh ereas in fa ct the key is  sha r ed   betwe en the  grou p and a n o ther pa rty.  6) No Key Co ntrol:  It should not be possible  for any of the participa nts or an adv ersary   to force the  session  key to a pre - sele cte d  va lue or p r e d ict the value  of the sessio n key.      3. Proposed  ID-AGKA  3.1. Sy stem  Setup   We ta ke  G 1   t o   be a cycli c  elliptic cu rve group with  large prim e order q and the  bilinear  map e : G 1 ×G 1 G 2 . The  key ge neratio n ce nter  (KG C ) g ene rat e t he sy st e m  p a ram e t e r s  {q,  G 1 G 2 , e, P,  H 1 , H 2 }. s is rand omly cho s en  from Z q *  as the KGC’ s pri v ate key. P pu ( sP  ) i s  t h e   KGC’s p ubli c  key. Each  user  U i  has  an identity ID i {0, 1} *  and long -term pu blic  key  Q i H 1 (ID i )P P pub . U i  submits his ID i   to the KGC and KGC  se nds b a ck the  long-te rm private  key  S i (H 1 (I D i )+ s) -1 P to user  U i  se cu rel y   3.2. The ID-AGKA  The protocol one ro und a u t henticate d  group key  agre e ment incl ud es three pha ses: data   transmission phase, verification pha se and key computat ion phase. It is illu strated as follows:   1)   To two u s ers  U i , U j  (1 i, j m, i j), U i  picks  a ran d o m   integer r i Z q *  as his  ep heme r al  private key.  T hen he co mp utes T i  = r i -1 Q i  and   send s T i  to  U j Upon   the re ceipt of T i , U j  also  pi cks  a ran dom int eger  r Z q *   as hi s eph e m eral p r ivate  key, comp utes T j, i = r j r i -1 Q i  and T = r j -1 Q j   Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Perfect Fo rward Se cure ID-b ased Ke y Agreem ent  Protocol in Gro up… (Pe n g s h uai Qiao 7473 respe c tively, and then  se n d s the d a ta { T j,i  , T j  } to U i . Finally, U i  co mputes  T i,j = r i r j -1 Q j  and  retu rns  it to U j .   2) To ve rify the validity of re ceived  dat a, U i  comp utes e ( T j,i , r i T j ) and comp are s   it  with  e(Q i , Q j ). If they are not t he same val ue, U i  stop s the  session. Otherwise,  U i  is  su re that  the   received m e ssag es  are f r o m  U j . Similarl y, U j  comp ut e s    e( T i,j , r j T i ) and comp are s   with e(Q i , Q j ).If   they are not same, U j   sto p s the se ssio n. Otherwi se,  U j  is su re that the receiv ed messa g e s  are  valid.      3)  Up on th e recei p t of T 1,i , T 2,i , …, T i-1,i , T i+1,i  , …, T m,i  from  othe r u s ers,  u s er U i  compute s   t he se cret   se ssi on k e y :     K i = H 2  (e (Q i ) S r , T m i j , 1 j i i i , j )=  H 2  (e ) r ... r r ( m 2 1 ) P , P ( )                                                                  (1)    Each u s e r  pe rform s  the p r oce dure ab ove, t hus all u s ers i n  the g r o up can get th e sam e   se ssi on k e y  as f o llow s :     K =  H 2  (e ) r ... r r ( m 2 1 ) P , P ( )                                                                                                                  (2)    At round  1, we assu me tha t  n users U 1 (1) , U 2 (1) , … , U n (1)   (n 2) want to  sha r e a  co mmon   se ssi on  se c r et  key .  E a ch   U i (1)  choo se a rand om n u m ber r i (1)  as his eph eme r a l   private   key. We   take a n  integ e r nu mbe r  m  as the  ba sed  numbe r for group s divisi on  and p a rtition t he n u s e r s int o   m n sub g ro up s,  f o r n m 2. T h e  sub g ro up j, for j=1, 2, …,  m n 1, ha s m u s ers a nd  co mpute s   the commo n se ssi on su b-key K 1j = H 2 (e m 1 i ) 1 ( ji r ) P , P ( by the propo sed proto c ol. T he last su bgroup  m n   ha s n (mod   m) u s ers. If the value of n (m od m) is not equal to one, use r s in the last   sub g ro up al so use protocol to gene rat e  the commo n se ssion  su b-key K 1j , wh ere j = m n . If  the  value of  (m od m )  i s   equ al to o ne, it  mean s th e la st subg ro up  only contain s  one  u s e r , an d we   take this u s e r ’s eph eme r al  private key a s  the last sub - key.   At the next r ound, ea ch subgroup  U j (2) , for j= 1, 2, …,  m n , tak e s  K 1j  as hi s ephem eral   private keys   r j (2)  re sp ectiv e ly and  broa dca s ts U a (1) ’s publi c   key a s  the  subg ro up p ublic val ue,  here  U a (1)  is  a mem b e r  of  su bg rou p   U j (2)  and    a 1(m od  m ) . We p a rtition  th ese   m n  sub g ro up s   into  2 m n subg rou p s  a nd  use the  sam e  p r o c e d u re  as the  ro und  1. The  fo llowing  roun d s   work  as  above. And the proto c ol d oes n o t stop  until the num ber of subg ro ups i s  one.       4. Securit y  A n aly s is   4.1. Implicit  Ke y  Authentication  Implicit key a u thentication  to a use r  A implie s that o n ly the use r with wh om A want s to   agre e  u pon  a  comm on  key  may be  able  to com pute a   particula r key. This i s  a n  id eal p r ope rty for  se cure g r ou p com m uni cation si nce it gets rid  of the nee d for a  sep a rat e  authe nticat ion   mech ani sm  key sh arin g a nd  can  with stand th e ma n - in-th e -mi ddle  attacks. In  o u r p r oto c ol th se cret  se ssio n key is  co m puted  by ea ch u s er s   l ong -term private   key and ep heme r al  p r iv ate   key. Therefore, in any r un of the protoco l , each user a s sure s t hat n o  other pa rtn e r exce pt for the   intende d on who  ha s hi s o w n lo ng-te rm  private  key a nd the valu of ephe meral  private  key can  learn the  se cure sessio n key. If an attacker want s to  imperson a te  all other use r s to the user U i   (1 i m ) , the  attacker ju st  sele cts (m -1 ) eph eme r al  p r ivate  keys r j ’ ( 1 j m,  j i )  and se nd T j.i ’= r i - 1 r j ’Q i  (1 j m, j i) to the user U i . Figure 1  sho w s the imperson a tion a ttack.     Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  747 1  – 7477   7474     Figure 1. Impersonatio n Attack o n  Proto c ol O R -AGK     However, in  Figure 1, the  attacker M a lice c annot co mpute the final secret se ssion key  without the kn owledge of other us ers’ long-term private keys.     4.2. Ke y - Compromise Impersona tio n   Key-com p ro mise   impe rso nation state s  that  the atta cker  who  ha comp romi se d  the lo ng- term private  key of use r  A  can not o n ly imperso n a te  A but also imperso nate the othe r users to  A. In our p r ot ocol  O R -AGK A, sup p o s e t hat an   adve r sary  ha got  the lon g -te r m  private  key o f  a   certai n u s e r   U i  (1 i m), h e  ca n imp e rsonate  U i . Ho wever, if h e   want s to ma squerade  a s  u s er U j   (1 j m ) , he  can choo se  an  ephem eral p r ivate key  r j   and sen d   T j’,i  to  U i . This attack  is   s h own i n   Figure 2.        Figure 2. Key-co mpromi se  Imperson a tio n  Attack on O R -AGKA       But without  U i ’s ephe meral  private ke r i , the adv ersary  can n o t  comp uter t he K i Mean while, upon re ceivi ng  T t, j  (1 t m, t j)  from  other partners,  the adversary  still cannot  Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Perfect Fo rward Se cure ID-b ased Ke y Agreem ent  Protocol in Gro up… (Pe n g s h uai Qiao 7475 comp uter K j  without  u s e r  U j ’s l ong -term private  key  S j  and ep he meral  private  key r j . Th ere f ore  even the adversary has  got the  long-term  private key  of a  certain  user,  he still cannot  imperso nate  as othe r users.    4.3. Perfec t For w a r d  Sec r ec y   If the long-te rm private  keys of so me  par tici pant s are com p rom i sed,  the se crecy  of  previou s   se ssion  key s  sh ould not b e  a ffected. A nd  we  say that a proto c ol  ha s pa rtial forward  se cre c y if co mpromi se  of the long -term keys of  o ne o r  more but no t all the participants d o e s  n o comp romi se previou s ly  e s tablish ed se ssion ke y s , a nd we say that a protocol ha s pe rfe c forwa r se crecy if com p romise  of the  long-te rm  p r ivate keys of  all the parti cipa nt doe not  comp romi se  any sessio n key previo usl y  estab lish e d  by these participa nts. And KGC forwa r d   se cre c y is  an other  se cu rity issue. If at any run  the K G C’ s private  key is  com p romise d, it do es  not com p rom i se the  previo usly e s tabli s h ed sessio n keys [13]. In o u r p r oto c ol, the comp romi se  of the entire  partne r s’ lo ng-te rm p r iva t e key  or K G C’ s private  key give s n o  help  about  the  se ssi on key, sin c e the  se ssion  key is  co mputed n o o n ly from long -term key but also from u s e r s’  ephem eral private keys. By this feature ,  our pr oto c ol  can provide perfe ct forwa r d se crecy a n d   K G C f o r w a r se cre c y .     4.4. Kno w n   Session Ke y  Securit y   Each run of the proto c ol  should result in  a unique  secret se ssi on  key. The co mpromi se   of one  se ssio n key  sh ould  not comp ro mise  other  session  key s   and the  kn owledge  of previous  se ssi on  keys do not all o w dedu ction  of future  se ssi on keys. Because in o u r p r otocol, the fina l   se ssi on  key comp ri se s e v ery partn er’ s  ep heme r al  private key r i  (1 i m ) , it is uniqu e. It’s  impossibl e for adversa ry to com pute th e cu rre nt  se ssion  key fro m  the com p romise d sessi on  key s .     4.5. Unkno w n Ke y - share d  Resis t anc e   Un kno w n ke y-sha r e d   me ans user  A share s   key  with a diffe re nt party u s er C than   intende d u s e r  B a nd A  d oes not  kn o w  it. To  ou proto c ol, at l east it i s   req u ired  to  kno w  two  use r s’ l ong -te r m private  ke ys to initial u n kn own  k e y - s h ared  attack. However, it’s  diffic u lt for t h e   adversa ry ex cept fo r KG C to have  mo re than  tw o  u s ers’ l ong -term private  ke ys at the  sa me   time.    4.6. No Key   Con t rol   No  key  co ntrol me ans n o  any p a rti c ip ant in  th group  ca n influ ence a nd  co ntrol th outcom e  of the se cret session key. Beca use eve r run  of our proto c ol, the secret se ssi on key is  determi ned b y  all users in the gro up, an d no one  can  control or p r e - dete r mine th e se ssi on key.      5. Efficienc y   Analy s is   As illustrated in Barua et  al.’s literature  [6], the efficiency of AGKA protocols mainly  involves the  communi catio n  and  com put ation cost s.  In ea ch roun d ,  a use r  may  have to tran smit  data to so me  or all the oth e r u s ers. Add i tionally , each  use r  ha s to  perfo rm som e  ope ration s l i ke  scalar m u ltipli cation s, pairi ng com putati ons. Co mmu nicatio n  overhead i s  affect ed by the nu mber  of roun ds, total grou p ele m ent se nt, total me ssage s exchan ged.  And com puta t ion co sts in cl ude  total of pairin g  comp utatio n, total of sca lar multipli cati ons.   In this  s e c t ion, we us e notations  as  follows :   R(n): Th e total numbe r o f  round s for n  users    S i : The nu mber of scal a r  multiplicatio ns in ro und i   P i : The nu mber of pai rin g -comp u tatio n s in ro und i   B i : The nu mber of me ssage s tran smit ted in roun d i   In proto c ol  OR-AGKA, m use r can  finish key  agre e me nt in one roun d ,  and the   effic i enc y  is S 1 = m 2 , P 1 =3 m,  B 1 = 1 1 m 1 m C C 2 .  Fo n u s ers to  ge nerate  a  co m m on  se ssi on  key, in   roun d i, if  we   take  an i n teg e numb e as th e b a sed  numbe r fo r g r oup s divi sion,  N i  su bgroup will be divided into  m N i new  subgroups, R(n) will be   n log m (2 m n).   Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  747 1  – 7477   7476 In  the ca se s whi c h have  t he sam e   tota num ber  of round s, whe n  every  roun d N i  (mod   m) 0, the cost for gener ating the common session key will be maximum.   The com putati onal   overhe ad of  prop osed p r o t ocol i s  sum m ari z ed  and  co mp ared  with other  proto c ol s in Ta ble  1. As  sho w n  in  Ta ble 1,  even  i f  our p r oto c o l  nee ds  mo re roun ds, it i s  p o ssibl e  to  provide l o wer  comp utation  co st if we cho o se a n  app ro priate m.       Table 1. Co m pari s on  with other Proto c o l s (2 m n)                  R: Total No.  of round s.                S: Total No. of scalar multi p lications.   P: Total No. of pair-comp utations.    B: Total No. of transmitted  messag es.       6. Conclusio n   In this pa per,  a  se cu re,  efficient a n d  flex ible ID-ba s e d  on rou nd  authenti c ated  grou p   key ag reem e n t proto c ol u s ing bili nea pairin g s i s  propo sed. Th e prop osed p r o t ocol focuses on  roun d, mutua l  authenti c ati on, ban dwidt h  efficien cy  a nd provide s   perfe ct forwa r d secre c y. After   se curity an al ysis a nd p e rf orma nce an al ysis, it sh ows that the prop ose d  sch e me  provide s   stro ng   se curity and  lower  comp utation co st than prev io u s ly kno w n A G KA protoco l s. In the future   scope, the  compa r ison of  schem es  wa s given  by   two  que stion s : whi c h schem is suitabl e for  different scenario and to whi c h degree these schemes will impa ct the systems’ perform a nce  con s um ption.       Referen ces   [1]  W Diffie, M Hellman. Ne w  d i re ctions in cr ypto grap h y IEEE Transactions on  Information Theory . 197 6;  22(6): 64 4-6 4 5 .   [2]  A Shamir. Id en tit y -bas ed cr yp tos y stem  an sign ature sc he mes.  Lecture   Notes i n  C o mp uter Scie nce 198 4; 196: 47- 53.   [3]  A Jou x . A  on roun d pr otocol  for tripartite  Di ffie-Hellm an.  L e cture N o tes i n  Co mputer Sc ienc e . 20 00 ;   183 8: 385- 394.   [4]  D Bone h, M Frankli n. Identit y-b a se d encr y ption from the  W e il pari ng.  Lecture N o tes  in Co mp ute r   Scienc e.   2001 ; 2139: 21 3~ 22 9.  [5]  K Ch oi, J  H w a ng, D  L ee. Effi cient ID- bas ed  grou p k e y a g re ement  w i th  bi li near  maps.   Le cture N o tes  i n   Co mp uter Scie nce . 200 4; 294 7: 130-1 44.   [6]  X Du, Y  W a n g , J Ge, Y  W ang. ID- bas ed  Auth e n ticate d   T w o Rou n d  Multi-Part K e y Agre eme n t.  Cryptol ogy ePr i nt Archive . 20 03; Rep o rt 200 3/247.   [7]  M Burmester,  Y Desmedt. A se cure  and  effi cient co nfere n c e  ke y d i stributi on s y stem.   Le cture Notes  in   Co mp uter Scie nce .  199 5; 95 0: 275-2 86.   [8]  F G  Z hang, XF  Chen. Attack on T w o ID- base d  Authe n t i cated Gro up  Ke y  A g re eme n t Schemes.  Cryptol ogy ePr i nt Archive . 20 03; Rep o rt 200 3/259.   [9]  K y u ng-A h  SHI M . F u rther Anal ysis of ID-Ba s ed Auth entica t ed Group Ke y Agreeme n t Protocol fro m   Bilin ear Ma ps.   IEICE TRANS A CTIONS.  2007; E90-A(1); 29 5-29 8.  [10]  CH Lin, HH   Li n,  JH Ch ang.   Multip art y  Ke y Agre eme n t fo r Secur e  T e lec onfere n cin g S ystem s. M a and Cy bern e tic  (SMC) T a ipei. 2006; 5: 37 02- 370 7.   [11]  Jian Z h ou  an d  Xian w e i  Z h o u . Ke y Agr eeme n t Procoto l  in   DSN.  T E LKOMNIKA Indo ne sian J our nal  of   Electrical E ngi neer ing . 2 013;  11(2): 80 9-8 1 8 .   [12]  R Baru a, R D u tta, P Sarkar. Exte ndi ng J o ux’s pr otocol t o  multi p a rt y k e y   agr eeme n t.  Cryptogr aphy   ePrint Archiv e . 200 3; Repr ot 2003/0 62.   [13]  L Ch en,  C Ku dla.  Id entity b a s ed  authe ntica t ed key  agr ee me nt pr otocols  from pa irin g . Procee din g  of   16th IEEE Sec u rit y  Fou n d a tio n s Wor kshop.  Califor ni a.  200 3: 219-2 33.   Schemes R   [12]   n log 3   < 5(n 1)    9(n 1)   5n  n log 3 +3  [20] 1  n 2  n  n(n 1)    [6] 2  n(n+5   4n 3(n-1    [10]  2n  2n  [19] 1  2n  EO R-A G KA    n log m   (n 1) m 2 / (m 1)  3(n 1) m .   / (m 1)   2m(n 1)  Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Perfect Fo rward Se cure ID-b ased Ke y Agreem ent  Protocol in Gro up… (Pe n g s h uai Qiao 7477 [14]  Li  Xi eh ua, W a ng Y ong ju n. Securit y  En ha nc ed A u thentic ati on a n d  Ke y A g reem ent  Prot ocol in Ne xt   Generati o n  Mo bile  N e t w ork.  I n ternati o n a l J o urna l of  Adva n c ements  in  Co mp utin g T e c h n o lo gy . 2 012;   4(3): 215- 22 2.   [15]  Lipi ng Zha ng, Guilin g Li, Co n g  Xi on g, Shao- Hui Z hu. A Pai r ing-fre e  Identit y-b a se d Authe n ticated Ke Agreem ent Pr otocol for W i r e less a nd Mo bile  Net w orks.   Internatio nal  Journ a l of Ad vance m ents in   Co mp uting T e c hno logy . 2 012;  4(5): 287-2 94.   [16]  Bin Hao, Yu  Yang, Sho u sh an  Lu o, Yixi an  Yang, F uqia n g  Liu.  An Authentic ated Cl u s tering- base d   Group Ke Ag reeme n t for La rge Ad  Hoc  N e t w o r ks.  Adva nces i n  Infor m ation Sc ie nces  and S e rvic e   Scienc es . 201 2; 4(7): 281-2 9 1 [17]  Z i y i  Yo u an d Xi ao ya Xi e. A Novel Grou p Ke y  A g reem ent Protocol f o r W i reless M e sh Net w o r k.   Journ a l of Co n v erge nce Infor m ati on T e ch no logy . 20 11; 6(2 ) : 86-101.   [18]  Abde l Alim Ka mal. Cr yptan a l y sis of a Pol y n o mial- bas ed K e y  Ma na geme n t Scheme for Secure Grou p   C o mmu ni ca tion Internatio nal  Journa l of Netw ork Security . 201 3; 15(1): 68 -70.  [19]  Marimuthu Rajaram, T h ilagav a th y Dor a ira j   Suresh. A n  Interval-b ase d  C ontrib u tor y  Ke y A g reem ent.   Internatio na l Journ a l of Netw ork Security , 2 011; 13( 2):  92 -97.  [20]  Yiju an S h i, Go ngli a n g  C h e n , Jia nhu Li. I D -bas ed on r oun d authe ntic ated gro up  k e y agr eeme n t   protoco l   w i t h  b i line a pair i ngs.  Informatio n  T e chno log y Co di ng  and  Com p u t ing (IT CC). 20 05; 1:  75 7 -   761.   [21]  S Blake-W ilso n , D Johnso n , A Menezes. Ke y  A g reem e n t Protocols a nd their Sec u r i t y  An al ysis .   Lecture N o tes i n  Co mp uter Scienc e.   1997; 1 355: 30- 45.   [22]  A Menez es, P  van Oorsc hot, S Vansto ne. H and bo ok  of Ap plie d Cr ypt ogr aph y. F i fth  Edit ion. F l or id a :   CRC Press. 20 01.          Evaluation Warning : The document was created with Spire.PDF for Python.