摘要: 由于使用的方便性和低部署成本，低信息量而易记的口令被广泛的应用在用户认证以及安全通信方面，比如网上银行和远程用户登录。共享一个口令的两方之间的强认证和密钥交换协议的问题，被称为两方口令认证密钥交换(2PAKE)问题。这个问题已经得到了深入的研究，并且提出了许多的解决方案。随着面向群组的应用的迅猛发展，比如远程会议，协作工作等，对于使用群组口令认证密钥交换协议来保护通信的安全性的需求越来越强烈和急迫。在群组通信模式中，整个群组共享一个口令，或者每一个用户与一个可信任的服务器共享一个独立的口令。在实际的应用中，由于以下的几个原因单口令设定并不可取。首先，如果群组中的一个用户离开或者他的口令泄漏了，则群组中的共享口令必须更新，而这是一个非常繁杂、高成本的过程。并且，任何一个用户被侵入都会导致整个系统的崩溃。第二，单个的用户识别在单口令设定下是不可能的。因此，没有人能把一个用户与另外一个用户区分开来。所以，这种设定无法保证群组中的子集能安全的建立一个会话密钥。然而，显而易见的是在独立口令设定可以避免以上的种种问题。独立口令设定下的群组口令认证密钥交换协议面临着更多的威胁和攻击，而这些攻击在单口令设定下是不存在的，因此需要更加审慎的设计。独立口令设定下的群组口令认证密钥交换协议不仅仅要防御外部攻击者，同时也要考虑对内部攻击者的防范。在本论文中，我们提出了一个高效的群组口令认证密钥交换协议，称之为nPAKE+协议。这个协议采用独立口令设定，并且使用一个Diffie-Hellman密钥树提高协议的效率。本协议能在次消息流之内完成群组密钥建立和双向认证，并且每个用户只需要O(5+n)次求幂运算。我们用形式化的方法详细分析了nPAKE+协议的安全性，并给出详尽的证明过程。这个形式化证明的过程采用的是随机预言机模型和理想密码系统模型。在这个模型下，攻击者的行为被模拟成向参与协议各方的预言机的询问。对于nPAKE+协议的证明结果表明，nPAKE+协议的安全性可以归结到Diffie-Hellman这个NP问题上，证明nPAKE+协议是安全的。这是在独立口令设定下第一个完整的给出群组口令认证密钥交换协议形式化证明的工作。