[发明专利]询问－应答签名和安全迪菲－海尔曼协议

说明书

技术领域

本发明的各方面总体涉及对于信息交换的发送和接收方可证明是安全的签名。更具体而言，询问-应答(challenge-response)签名方案拥有检验者和签名者均可以计算出相同或相关的签名的特性，前者通过知道询问以及后者通过知道秘密签名密钥(private signature key)来计算，从而在示例性实施例中准许可证明是安全的、常规密钥交换协议的变体，包括公知的MQV协议的变体。

背景技术

如最初所建议的，图1中所示的Diffie-Hellman(迪菲-海尔曼，DH)密钥交换协议100被认为对于防御仅窃听(eavesdropping-only)的攻击者是安全的。对抵抗有效的、中间人攻击(man-in-the-middle attacks)的“认证Diffie-Hellman(authenticated Diffie-Hellman)”协议的搜寻已经导致了无数的ad-hoc(特定的)提议，它们中的很多已经损坏或者显示有缺点。随着近几年用于密钥交换的严密安全模型(rigorous security model)的发展，本领域的技术人员现在处于好得多的形势来判断这些协议的安全性，以及开发可证明抵抗现实有效攻击的设计。

如所期望的，添加防御有效攻击的防护措施导致复杂性增加，无论是在附加的通信方面还是在附加的计算方面。后者在利用公钥技术认证的协议中尤为重要，其通常要求附加的昂贵的群求幂(group exponentiation)。除了需要可靠的安全性之外，对密钥交换的很多实际应用已经促使设计者改进与认证机制关联的性能代价，尤其是基于公钥的那些。

由Matsumoto、Takashima和Imai在1986年发起的一条调查线(oneline of investigation)是对将向协议增加最小的复杂性的公钥(PK)认证DH协议的搜索。理论上，直至认证公钥的交换，协议的通信被期望完全看作是基本DH交换。在该技术中，必须通过密钥导出过程获得协议的认证：各方会对将g^x、g^y与各方的公钥/私钥相结合的密钥达成一致，而不是对基本Diffie-Hellman密钥g^xy达成一致。

一部分由于这样的协议将提供的实际优点，以及一部分由于在这样的设计之后的数学询问，在该方法下已经开发了很多协议，常被称为“可隐含认证的Diffie-Hellman协议”。该方法不仅可以生成作为非常有效的通信方式(communication-wise)的协议，而且与密钥导出过程相结合的认证可以潜在地导致显著的计算节约。由于这些原因，这些“可隐含认证的”协议中的几个协议已经被主要的国家和国际安全标准进行了标准化。

在这些协议中，MQV协议似乎已经被广泛标准化。很多组织已经将该协议标准化，并且最近美国国家安全局(NSA)已经宣布该协议是作为“保护美国政府信息的下一代密码术”的基础的密钥交换机制，其包括“密级(classified)或紧要使命(mission critical)国家安全信息”的保护。

另外，MQV似乎已经被设计以满足一批安全目标。例如，在Vanstone等人的第5,761,305号美国专利中解释了MQV协议的基本版本。

然而，尽管其具有吸引力并且获得了成功，但是在密钥交换的良好定义的模型中MQV迄今为止回避任何形式上的分析。本发明的动机便在于希望提供这样的分析。在进行研究时，发明人观察到实质上没有一个所陈述的MQV目标是可以被显示成立的，如在Canetti和Krawczyk的计算密钥交换模型中所实现的，以及如在以上标识的临时申请中所描述的。

该结果使得本发明人关注于这一常规协议的安全性。因此，基于常规的MQV协议不可证明是安全的这一分析，在优选地保持其现有性能和通用性的同时，存在对MQV增加安全性的需要。

发明内容

鉴于常规系统的前述以及其它的示例性问题、缺点以及劣势，本发明的示例性特征在于提供一种用于MQV的新变体(在文中称为HMQV)的方法和结构，其以可证明的方式实现了所述MQV协议的安全目标。

本发明的另一示例性特征在于论证一种新的数字签名方案，在文中称为“询问-应答签名”。