1. 基于游戲的安全模型

定義挑戰(zhàn)者和攻擊者之間的交互，計(jì)算敵手成功的概率，以IND-CPA為例：

2. 基于模擬的安全模型

假設(shè)存在兩個(gè)世界，一個(gè)理想世界，一個(gè)現(xiàn)實(shí)世界。現(xiàn)實(shí)世界中，協(xié)議參與各方交互式地運(yùn)行協(xié)議。在理想世界中，存在一個(gè)可信第三方，各個(gè)參與方只需把自己的輸入交給可信第三方，由可信第三方完成計(jì)算，并將結(jié)果返回給各參與方。

我們說一個(gè)協(xié)議是安全的，如果任何現(xiàn)實(shí)世界中的攻擊都可以在理想世界中被模擬，如果存在攻擊在現(xiàn)實(shí)世界中成功，那么在理想世界中也存在模擬的攻擊可以成功，但是消息通過安全信道發(fā)送，計(jì)算由可信方執(zhí)行，因此在理想世界中不能實(shí)施成功的攻擊，從而在現(xiàn)實(shí)世界中攻擊也不能成功。所以，現(xiàn)實(shí)世界中的攻擊手段少于等于理想世界。也就是說，現(xiàn)實(shí)世界至少和理想世界一樣安全。而理想世界的安全性顯而易見，因?yàn)檫@是由可信第三方保證的，所以我們通過這種方式刻畫協(xié)議的安全性。

3. 獨(dú)立運(yùn)行安全的不足

如果協(xié)議是獨(dú)立運(yùn)行的，即環(huán)境中只有該協(xié)議在執(zhí)行，那么我們稱其為 stand-alone。如果一個(gè)協(xié)議在獨(dú)立運(yùn)行的情況下是安全的，并不能說明在組合執(zhí)行的情況下，其也是安全的。甚至可以構(gòu)造一些流氓協(xié)議，破壞原始協(xié)議的安全性。此外，即使同一個(gè)協(xié)議的多個(gè)實(shí)例并行運(yùn)行，也不一定能夠保證安全性。

其中，協(xié)議π是一個(gè)輸入為n比特的密鑰的安全協(xié)議，用戶們共享2n比特的密鑰k=k1k2

協(xié)議π1:用戶公開k1，使用k2作為密鑰執(zhí)行協(xié)議π

協(xié)議π2:用戶公開k2，使用k1作為密鑰執(zhí)行協(xié)議π

協(xié)議π1和π2同時(shí)執(zhí)行后，就不再安全。

4. UC安全

2001年，Canetti提出了通用可組合安全(Universally Composable Security，以下簡稱為UC安全)的概念。它的最優(yōu)秀的性質(zhì)就是一種模塊化設(shè)計(jì)思想：可以單獨(dú)設(shè)計(jì)協(xié)議，只要協(xié)議滿足UC安全，那么就可以保證它和其它協(xié)議并行運(yùn)行的安全。UC安全模型使得對任意密碼協(xié)議有統(tǒng)一和系統(tǒng)的描述，使得復(fù)雜協(xié)議分析變得簡單。

·UC框架定義了 現(xiàn)實(shí)環(huán)境 (real world)，現(xiàn)實(shí)環(huán)境描述協(xié)議的真實(shí)運(yùn)行情況，其中所有參與者在真實(shí)敵手A存在的環(huán)境下運(yùn)行真實(shí)協(xié)議。

·UC框架定義了 理想環(huán)境 (ideal world)，用來描述密碼協(xié)議的理想運(yùn)行情況。在理想環(huán)境下，存在虛擬參與者、理想敵手S和理想函數(shù)F。參與者間以及敵手S與參與者不直接通信，所有參與者和敵手S均與理想函數(shù)交互。理想函數(shù)本質(zhì)上是一個(gè)不可攻陷的可信角色，用來完成密碼協(xié)議所需的理想運(yùn)行環(huán)境下滿足安全需求的理想功能。

在UC框架中，環(huán)境Z用來模擬協(xié)議運(yùn)行的整個(gè)外部環(huán)境(包括其它并行的協(xié)議、攻擊者等)。Z可以與所有的參與者以及攻擊者A和S直接通信，不允許直接訪問理想函數(shù)F。

協(xié)議設(shè)計(jì)者按照如下步驟來構(gòu)造更為復(fù)雜的協(xié)議。

1．設(shè)計(jì)一個(gè)“高層的”協(xié)議來安全地解決復(fù)雜任務(wù)，并假設(shè)其中用到的子任務(wù)可以安全地執(zhí)行；

2．設(shè)計(jì)UC安全的協(xié)議來完成子任務(wù)；

3．通過將通UC安全的子任務(wù)插入到“高層”協(xié)議中來獲得一個(gè)完整的協(xié)議。

設(shè)計(jì)一個(gè)比較復(fù)雜的協(xié)議的時(shí)候，我們就有了一個(gè)強(qiáng)力的工具幫助實(shí)現(xiàn)模塊化的設(shè)計(jì)，首先從底層開始設(shè)計(jì)一個(gè)個(gè)UC安全的子協(xié)議，然后一層層地都用UC安全定理進(jìn)行組合，那么就可以保證整個(gè)系統(tǒng)的安全性，而且如果系統(tǒng)的協(xié)議最項(xiàng)層依然保證UC安全的話(也就是說，它也能安全實(shí)現(xiàn)某個(gè)理想功能)，整個(gè)系統(tǒng)就都是一個(gè)安全的模塊，可以供更復(fù)雜的系統(tǒng)直接調(diào)用。

已有的一些理想函數(shù)：安全通信，公鑰加密，兩方計(jì)算和多方計(jì)算等。