近年來由於電腦網路的快速發展，資訊安全已經變得越來越重要且為人們所重視。為了能有效的確保網路上通訊的安全，各式各樣的通訊協定被設計出來且應用在許多不同的環境中。這些通訊協定大部份都必須滿足兩項最基本的安全需求：使用者的身份認證和傳輸資料的保密。所謂使用者的身份認證，是指協定中的每位通訊者必須能夠正確地認證其他通訊者身份的真實性。因此，惡意的攻擊者便無法利用偽冒的方式來欺騙正常的通訊者。而所謂傳輸資料的保密，是指除了真正的通訊者，所有其他的通訊者都無法從網路上取得通訊的內容，因而可以保障通訊過程的私密性。
　　要達成使用者的身份認證有許多方法。其中，由於通行碼具有簡單、容易記憶、成本低廉等特性，因此使用通行碼來進行身份認證是目前最廣被大眾所接受的一種方式。在1992年，學者　Bellovin　和　Merritt　首先提出了通行碼認證金鑰交換協定的概念。這種通訊協定僅需利用簡單的通行碼，便可同時達成使用者的身份認證和傳輸資料的保密這兩種安全需求。一般而言，通行碼認證金鑰交換協定可以被分為兩種型態：兩方的通行碼認證金鑰交換協定以及植基於可信賴第三者之兩方通行碼認證金鑰交換協定。在兩方的通行碼認證金鑰交換協定中，通訊的雙方可以利用事先分享的通行碼來認證彼此的身份並且建立出一把會談金鑰來加密其後的通訊內容。因此，此種通訊協定十分適合應用在主從式的架構之中。因為，伺服器可以簡單的利用通行碼來認證其所有的使用者並且和他們進行安全的通訊。在另一方面，植基於可信賴第三者之兩方通行碼認證金鑰交換協定則較適用於大規模之使用者對使用者彼此通訊的環境。在植基於可信賴第三者之兩方通行碼認證金鑰交換協定中，每一位通訊者必須事先和公正的認證中心分享一個通行碼。之後，任意兩位通訊者只要經由認證中心的幫助，便可以達成彼此的身份認證和安全通訊的目的。
　　由於電子會議具有讓一群使用者在網路上彼此通訊的特性，因此其應用的領域非常廣泛。為了讓電子會議的成員們能安心的傳輸訊息，群體的認證金鑰交換協定被設計出來滿足電子會議的安全需求。學者Bresson　等人曾經提出過一個群體的通行碼認證金鑰交換協定。在他們的協定中，所有的使用者只要事先分享一個共同的通行碼，便可以在網路上舉行一個安全的電子會議。
　　在2000年，學者　Joux　對於楕圓曲線上之雙線性函數提出了一些有用的性質。雙線性函數可以被用來建立一種名為　Gap　Diffie-Hellman　的有限群。這種群具有一種在傳統有限群上所沒有的新特性，那就是其計算上之　Gap　Diffie-Hellman　問題是難解的，但其決定上之　Gap　Diffie-Hellman　問題卻是易解的。而這個新的特性已被視為密碼學上的新元件用來設計許多新的通訊協定。然而，直到目前為止，雙線性函數還尚未被應用在植基於通行碼的通訊協定中。而利用上述所提之　Gap　Diffie-Hellman　群中的新特性能否更有效的去設計出通行碼認證金鑰交換協定，至今仍是一個公開的問題。
　　基於以上的探討，本論文提出了不同的可證明安全之雙線性函數通行碼認證金鑰交換協定。在本論文中，我們首先提出植基於雙線性函數之兩方的通行碼認證金鑰交換協定來滿足主從式架構的需求。接下來，我們提出植基於可信賴第三者之兩方通行碼認證金鑰交換協定來解決在大規模之使用者對使用者彼此通訊的環境之中，其金鑰管理的問題。為了能夠再節省通訊的時間，本論文更進一步的改良所提出之植基於可信賴第三者之兩方通行碼認證金鑰交換協定，使其能夠在三個回合內完成。最後，在本論文中，我們以植基於可信賴第三者之兩方通行碼認證金鑰交換協定為基礎，發展出一個植基於可信賴第三者之群體通行碼認證金鑰交換協定以用來實現安全的電子會議。在這個通訊協定中，每個通訊者均和公正的認證中心分享一個通行碼。當一群通訊者想要舉行一個電子會議時，這群通訊者便可經由認證中心的幫助，來認證所有參與成員的身份並且建立出一把會議金鑰。此外，這個通訊協定應用了　Gap　Diffie-Hellman　群中的新特性來有效的偵測並排除有問題的成員，因此這個通訊協定具有容錯的能力。
　　近年來，證明式的分析已經逐漸成為評估一個通訊協定安全性的主要方法。這是由於證明式的分析是以數學推導的方式來正規的去分析通訊協定的安全性，和傳統的條列式分析相較，其分析結果較為可靠。因此，為了檢驗本論文中所提協定的安全性，我們對於所提的通訊協定均以證明式的分析在　random　oracle　和　ideal　cipher　的模式下證明出其安全性。

Due　to　the　rapid　development　of　computer　network,　information　security　becomes　more　and　more　significant　recently.　In　order　to　secure　network　communications,　numerous　security　protocols　have　been　proposed　to　achieve　different　purposes.　Most　of　these　protocols　have　to　satisfy　two　security　criteria　-　user　authentication　and　data　confidentiality.　User　authentication　stipulates　that　a　communicating　entity　can　ensure　the　identity　of　his　or　her　communication　partners　so　that　no　malicious　users　will　be　able　to　cheat　the　communicating　entity　by　impersonating.　Data　confidentiality　stipulates　that　no　one　except　the　real　communicating　entities　can　obtain　the　content　of　the　transmitted　data　from　networks.　Therefore,　the　privacy　of　the　communications　can　be　guaranteed.
Password-based　mechanisms　are　the　most　popular　for　authenticating　users　because　they　are　easy　to　use　and　cost-efficient.　Additionally,　these　mechanisms　allow　people　to　select　their　own　passwords　without　using　any　assistant　device　to　generate　or　store　it.　In　1992,　Bellovin　and　Merritt　introduced　the　concept　of　Password-based　Authenticated　Key　Exchange　(PAKE)　protocol.　PAKE　protocols　can　satisfy　simultaneously　the　requirements　of　user　authentication　and　data　confidentiality　using　memorable　password.　Conventionally,　the　PAKE　protocol　can　be　classified　into　two　categories　-　Two-party　Password-based　Authenticated　Key　Exchange　(Two-PAKE)　protocols　and　TTP-based　Two-party　Password-based　Authenticated　Key　Exchange　(TTP-Two-PAKE)　protocols.　Two-PAKE　protocols,　which　allow　two　communicating　entities　to　authenticate　each　other　and　establish　a　session　key　for　securing　later　communication　via　a　shared　password,　are　quite　useful　for　the　client-server　architecture.　A　server　can　use　the　passwords　to　authenticate　its　users　and　then　securely　communicate　with　them.　On　the　other　hand,　TTP-Two-PAKE　protocols　are　suitable　for　large-scale　client-to-client　communication　environments.　TTP-Two-PAKE　protocols　require　each　communicating　entity　to　share　a　password　with　a　trusted　third　party.　Therefore,　each　pair　of　communicating　entities　can　achieve　mutual　authentication　and　secure　communication　via　the　help　of　the　TTP.
An　electronic　conference,　which　enables　a　group　of　communicating　entities　to　hold　a　conference,　can　be　exploited　in　various　applications.　A　group-authenticated　key　exchange　protocol　enables　a　group　of　communicating　entities　to　authenticate　one　another　and　agree　upon　a　conference　key　that　can　be　implemented　to　secure　an　electronic　conference.　Bresson　et　al.　proposed　a　Group　Password-based　Authenticated　Key　Exchange　(G-PAKE).　In　Bresson　et　al.'s　protocol,　all　communicating　entities　may　hold　a　secure　electronic　conference　using　a　pre-shared　common　password.
Joux　introduced　some　useful　characteristics　of　bilinear　pairing　over　the　elliptic　curve　in　2000.　The　bilinear　pairing　can　be　used　to　construct　a　Gap　Diffie-Hellman　group,　which　provides　an　interesting　property　that　does　not　appear　in　ordinary　finite　groups.　The　property　is:　the　Computational　Gap　Diffie-Hellman　(CGDH)　problem　is　hard　to　solve　but　the　Decision　Gap　Diffie-Hellman　(DGDH)　problem　is　easy　to　solve.　This　new　property　can　be　considered　a　new　cryptographic　primitive　to　develop　new　security　protocols.　Unfortunately,　bilinear　pairing　is　still　not　utilized　in　password-based　communication　protocols　thus　far.　In　particular,　can　one　apply　the　property　of　the　Gap　Diffie-Hellman　group　as　discussed　early　to　implement　PAKE　protocols　more　nicely?　This　question　still　remains　open.
According　to　the　above　discussion,　this　thesis　proposes　several　provably　secure　PAKE　protocols　using　bilinear　pairing　for　various　environments　and　applications.　First　of　all,　two　Two-PAKE　protocols　based　on　bilinear　pairing　are　proposed　for　the　client-server　architecture.　Then,　two　TTP-Two-PAKE　protocols　based　on　bilinear　pairing　are　designed　to　simplify　the　key　management　problem　of　the　large-scale　client-to-client　communication　environment.　The　proposed　TTP-Two-PAKE　protocols　require　only　four　communication　steps,　whereas　previous　results　require　at　least　five　communication　steps.　In　order　to　reduce　the　communication　time,　this　thesis　further　presents　an　augmented　TTP-Two-PAKE　protocol,　which　can　be　completed　in　three　rounds.　Finally,　this　thesis　extends　the　proposed　TTP-Two-PAKE　protocols　to　the　TTP-based　G-PAKE　protocols　to　secure　electronic　conferences.　In　the　proposed　TTP-based　G-PAKE　protocols,　each　communicating　entity　shares　a　password　with　the　trusted　third　party.　A　group　of　the　communicating　entities　can　authenticate　one　another　and　establish　a　conference　key　through　the　TTP.　Furthermore,　the　proposed　G-PAKE　protocols　apply　the　property　of　Gap　Diffie-Hellman　group　to　efficiently　detect　and　exclude　the　failed　communicating　entities　from　the　conference,　providing　fault　tolerance.
Provable　security　has　recently　become　the　main　method　to　evaluate　the　security　of　a　protocol　because　it　formally　analyzes　the　security　of　a　protocol　by　mathematical　reduction,　which　is　more　reliable　than　traditional　heuristic　security.　Therefore,　the　security　of　the　proposed　protocols　is　formally　proven　in　the　random　oracle　model　and　ideal　cipher　model.

[1]　S.　M.　Bellovin　and　M.　Merritt,　“Encrypted　key　exchange:　password-based　protocols　secure　against　dictionary　attacks,”　Proc.　1992　IEEE　Computer　Society　Symp.　on　Research　in　Security　and　Privacy,　pp.　72–84,　May　1992.
[2]　L.　Lamport,　“Password　authentication　with　insecure　communication,”　Communications　of　ACM,　vol.　24,　pp.　770–772,　1981.
[3]　H.　Y.　Chien,　J.　K.　Jan,　and　Y.　M.　Tseng,　“An　efficient　and　practical　solution　to　remote　authentication:　smart　card,”　Computers　&　Security,　vol.　21,　no.　4,　pp.　372–375,　2002.
[4]　M.　S.　Hwang　and　L.　H.　Li,　“A　new　remote　user　authentication　scheme　using　smart　cards,”　IEEE　Transactions　on　Consumer　Electronics,　vol.　46,　no.　1,　pp.　28–30,　2000.
[5]　H.　M.　Sun,　“An　efficient　remote　use　authentication　scheme　using　smart　cards,”　IEEE　Transactions　on　Consumer　Electronics,　vol.　46,　no.　4,　pp.　958–961,　2000.
[6]　T.　C.　Wu　and　H.　S.　Sung,　“Authentication　passwords　over　an　insecure　channel,”　Computers　&　Security,　vol.　15,　no.　5,　pp.　431–4393,　1996.
[7]　S.　M.　Yen　and　K.　H.　Liao,　“Shared　authentication　token　secure　against　replay　and　weak　key　attacks,”　Information　Processing　Letters,　vol.　62,　no.　2,　pp.　77–80,　1997.
[8]　W.　H.　Yang　and　S.　P.　Shieh,　“Password　authentication　schemes　with　smart　card,”　Computers　&　Security,　vol.　18,　no.　8,　pp.　727–733,　1999.
[9]　M.　Bellare　and　P.Rogaway,　“Entity　authentication　and　key　distribution,”　Advances　in　cryptology　-　CRYPTO　93,　pp.　232–249,　1994.
[10]　V.　Boyko,　P.　MacKenzie,　and　S.　Patel,　“Provably　secure　password　authenticated　key　exchange　using　diiffie-hellman,”　Advances　in　cryptology　-　EUROCRYPT　2000,　pp.　156–171,　2000.
[11]　D.　Jablon,　“Strong　password-only　authenticated　key　exchange,”　Computer　Communication　Review,　vol.　26,　no.　5,　pp.　5–26,　1996.
[12]　S.　M.　Bellovin　and　M.　Merritt,　“Augmented　encrypted　key　exchange:　A　password-based　protocol　secure　against　dictionary　attacks　and　password　file　compromise,”　ACM　Conf.　Comp.　and　Comm.　Security,　pp.　244–250,　1993.
[13]　D.　Jablon,　“Extended　password　methods　immune　to　dictionary　attack,”　WETICE　’97　Enterprise　Security　Workshop,　Cambridge　,　MA,　1997.
[14]　T.　Kwon　and　J.　Song,　“Secure　agreement　scheme　for　gxy　via　password　authentication,”　ELECTRONICS　LETTERS,　vol.　35,　pp.　892–893,　May　1999.
[15]　T.　Wu,　“Secure　remote　password　protocol,”　Internet　Society　Symp.　on　Network　and　Distributed　System　Security,　1998.
[16]　L.　Gong,　“Optimal　authentication　protocols　resistant　password　guessing　attack,”　Proceedings　of　the　8th　IEEE　Computer　Security　Foundations　Workshop,　County　Kerry,　Ireland,　pp.　24–29,　June　1995.
[17]　L.　Gong,　“Efficient　network　authentication　protocols:　Lower　bounds　and　implementations,”　Distributed　Computing,　vol.　9,　no.　3,　pp.　131–145,　1995.
[18]　L.　Gong,　M.　Lomas,　R.　Needham,　and　J.　Saltzer,　“Protecting　poorly　chosen　secrets　from　guessing　attacks,”　IEEE　Journal　on　Selected　Areas　in　Communications,　vol.　11,　no.　5,　pp.　648–656,　1993.
[19]　T.　Kwon,　M.　Kang,　S.　Jung,　and　J.　Song,　“An　improvement　of　the　password-based　authentication　protocol　(k1p)　on　security　against　replay　attacks,”　IEICE　Transactions　on　Communications,　vol.　E82-B,　pp.　991–997,　July　1999.
[20]　C.　L.　Lin,　H.　M.　Sun,　and　T.　Hwang,　“Three-party　encrypted　key　exchange:　Attacks　and　a　solution,”　ACM　Operating　Systems　Review,　vol.　34,　no.　4,　pp.　12–20,　2000.
[21]　M.　Steiner,　G.　Tsudik,　and　M.　Waidner,　“Refinement　and　extension　of　encrypted　key　exchange,”　ACM　Operating　Systems　Reviews,　vol.　29,　no.　3,　pp.　22–30,　1995.
[22]　I.　Ingemarsson,　D.　Tang,　and　C.　K.　Wong,　“A　conference　key　distribution　system,”　IEEE　Transactions　on　Information　Theory,　vol.　28,　no.　5,　pp.　714–720,　1982.
[23]　K.　Koyama　and　K.　Ohta,　“Identity-based　conference　key　distribution　systems,”　Advances　in　cryptology　-　CRYPTO　87,　pp.　175–184,　1988.
[24]　D.　Steer,　L.　Strawcznski,　W.　Diffie,　and　M.　Wiener,　“A　secure　audio　teleconference　system,”　Advances　in　cryptology　-　CRYPTO　88,　pp.　520–528,　1990.
[25]　T.　C.Wu,　“Conference　key　distribution　system　with　user　anonymity　based　on　algebraic　approach,”　IEE　Proceedings　on　Computers　and　Digital　Techniques,　vol.　144,　no.　2,　pp.　145–148,　1997.
[26]　W.　G.　Tzeng　and　Z.　J.　Tzeng,　“Round-e_cient　conference　key　agreement　protocols　with　provable　security,”　Advances　in　cryptology　-　ASIACRYPT　2000,　pp.　614–627,　2001.
[27]　W.　G.　Tzeng,　“A　secure　fault-tolerant　conference-key　agreement　protocol,”　IEEE　Transactions　on　Computers,　vol.　51,　no.　4,　pp.　373–379,　2002.
[28]　E.　Bresson,　O.　Chevassut,　and　D.　Pointcheval,　“Group　di_e-hellman　key　exchange　secure　against　dictionary　attacks,”　Advances　in　cryptology　-　ASIACRYPT　2002,　pp.　497–514,　2002.
[29]　A.　Joux,　“One　round　protocol　for　tripartite　diffie-hellman,”　Proc.　of　ANTS　4,　LNCS　1838,　pp.　385–394,　2000.
[30]　D.　Boneh　and　M.　Franklin,　“Identity-based　encryption　from　the　weil　pairing,”　Advances　in　cryptology　-　CRYPTO　2001,　pp.　213–229,　2001.
[31]　D.　Boneh,　B.　Lynn,　and　H.　Shacham,　“Short　signatures　from　the　weil　pairing,”　Advances　in　cryptology　-　ASIACRYPT　2001,　pp.　514–532,　2001.
[32]　N.　Smart,　“Identity-based　authenticated　key　agreement　protocol　based　on　weil　pairing,”　ELECTRONICS　LETTERS,　vol.　39,　no.　2,　pp.　208–209,　2003.
[33]　K.　Shim,　“Efficient　one　round　tripartite　authenticated　key　agreement　protocol　from　weil　pairing,”　ELECTRONICS　LETTERS,　vol.　38,　no.　13,　pp.　630–632,　2002.
[34]　X.　Yi,　“Efficient　id-based　key　agreement　from　weil　pairing,”　ELECTRONICS　LETTERS,　vol.　39,　no.　2,　pp.　206–208,　2003.
[35]　J.　C.　Cha　and　J.　H.　Cheon,　“An　identity-based　signature　from　gap　diffie-hellman　groups,”　PKC　2003,　pp.　18–30,　2003.
[36]　X.　Yi,　“An　identity-based　signature　scheme　from　the　weil　pairing,”　IEEE　Communications　letters,　vol.　7,　no.　2,　pp.　76–78,　2003.
[37]　M.　Bellare　and　P.　Rogaway,　“Provably　seucre　session　key　distribution　-　the　3　party　case,”　Proc.　27th　ACM　Symp.　on　Theory　of　Computing,　pp.　57–66,　1995.
[38]　M.　Bellare　and　P.Rogaway,　“Random　oracles　are　practical:　A　paradigm　for　designing　efficient　protocols,”　First　ACM　Conference　on　Computer　and　Communications　Security,　pp.　62–73,　1993.
[39]　M.　Bellare,　D.　Pointcheval,　and　P.　Rogaway,　“Authenticated　key　exchange　secure　against　dictionary　attack,”　Advances　in　cryptology　-　EUROCRYPT　2000,　pp.　122–138,　2000.
[40]　W.　Diffie　and　M.　E.　Hellman,　“New　directions　in　cryptography,”　IEEE　Transactions　on　Information　Theory,　vol.　22,　no.　6,　pp.　644–654,　1976.
[41]　Z.　Li,　J.　Higgins,　and　M.　Clement,　“Performance　of　finite　field　arithmetic　in　an　elliptic　curve　cryptosystem,”　Ninth　International　Symposium　in　Modeling,　Analysis　and　Simulation　of　Computer　and　Telecommunication　Systems　(MASCOTS’01),　pp.　249–256,　2001.
[42]　S.　Halevi　and　H.　Krawczyk,　“Public-key　cryptography　and　password　protocols,”　Acm　Transaction　on　Information　and　System　Security,　Feb　1999.
[43]　C.　L.　Lin　and　T.　Hwang,　Dissertation　for　Doctor　of　Philosophy　-　Provably　Secure　Password　Authenticated　Key　Exchanges.　National　Cheng　Kung　University,　2002.