[发明专利]公钥承诺的并发不可锻造安全的MQV密钥交换协议

权利要求书

1.一种公钥承诺的并发不可锻造安全的MQV密钥交换协议，其特征在于：

系统工作环境为：

(1).系统参数：(p，q，g，H，H_K，MAC)，其中p和q为大素数，并且q能整除p-1，g是一个Z^*_p中阶为q的元素，使得在Z^*_p中由g定义的子群上离散对数DL及计算Diffie-Hellman CDH问题是难的；MAC是一个消息认证码算法；所有的指数运算及不在指数上的乘法运算是mod p运算，加法及指数上的乘法为mod q运算；这里，Z^*_p＝{1，2，…，p-1}；H是从{0，1}^*→{0，1，2，…，(q-1)/2}的哈西函数；H_K是从{0，1}^*→{0，1}^k的哈西函数，k是会话密钥的长度；对于字符串s₁，…，s_m，m＞1，H(s₁，S₂，…，s_m)表示的是：将s₁，…，s_m用二进制0-1串来表示，然后将所有的0-1串顺序连接串联起来，最后将串联后得到的0-1串作为H的输入；

(2).除非有特别说明，具有身份ID I_A的用户“A”有一个公钥A＝g^a，其中a由用户“A”在Z_q中随机选取；相应地，具有ID I_B的用户“B”的公钥记为B＝g^b，以此类推；这里，Z_q＝{0，1，2，…，q-1}；

(3).协议基于Diffie-Hellman密钥交换协议；记X＝g^x mod p为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数，x由用户“A”从Z_q＝{0，1，…，q-1}中随机选取；记Y＝g^y mod p为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数，y由用户“B”从Z_q＝{0，1，…，q-1}中随机选取；

(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥进行可公开验证的绑定；绑定用CA的电子签名实现；绑定时CA验证公钥为Z^*_p中阶为q且非1的元素；用户“A”的证书记为CERT_A；

(5).假定协议的每一次执行有一个标示号：sid；sid是一个字符串，用于标记并发运行的协议执行；sid的制定和协商可随协议的运行环境不同而有所变化；一般而言，sid包含在协议运行之前用户交换的信息或交换信息的哈西值；

(6).与协议执行相关的其它信息pub：除了sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y外，其它与协议执行相关的信息用pub来表示； pub是一个字符串，是用户的IP地址、公钥证书、其它需要认证的信息、时间戳的串联；

协议实现的具体方法为：用户“A”及“B”相互交换它们各自的DH密钥成分X＝g^x和Y＝g^y以及公钥证书；假设用户“A”为协议的发起者，用户“B”为协议的响应者；即：用户“A”在第一轮发送X，在收到X后用户“B”检查X∈Z^*_p并在第二轮发送Y；收到Y后，用户“A”检查Y∈Z^*_p；

将用户的身份ID，他们的DH密钥成分，以便他们的公钥，用两个函数c和d进行承诺绑定；承诺绑定通过哈西函数H来实现；其中，函数c必须承诺绑定用户“B”的公钥B、DH密钥成分Y以及用户“A”的身份I_A；函数d必须承诺绑定用户“A”的公钥A、DH密钥成分X以及用户“B”的身份I_B；

会话密钥计算包括基本形式和简单形式：

会话密钥计算的基本形式：用户“A”计算K_A＝(YB^c)^tx+tda，检查K_A≠1并计算会话密钥K＝H_K(K_A)；用户“B”计算K_B＝(XA^d)^ty+tcb，检查K_B≠1并计算会话密钥K＝H_K(K_B)；其中，d＝H(A，X，I_B)，c＝H(B，Y，I_A)，t＝(p-1)/q；

会话密钥计算的简单形式：用户“A”在第一轮发送X，计算K_A＝B^x+da并计算会话密钥K＝H_K(K_A)；收到X后用户“B”检查X为Z^*_p中阶为q的非1元素，计算K_B＝X^bA^db并计算会话密钥K＝H_K(K_B)；其中，d＝H(I_A，A，I_B，B，X)；

具有身份及密钥确认功能的会话密钥计算形式：为了进一步相互确认身份及会话密钥，用户“A”计算MAC-密钥K_m＝H_K(K_A，0)，“B”计算K_m＝H_K(K_B，0)；协议响应者“B”在第二轮发送MAC_Km(0)；对于会话密钥计算的基本形式，协议初始者“A”在另加的第三轮发送MAC_Km(1)；对于会话密钥计算的简单形式，“A”在第一轮发送MAC_Km(1)，用户“B”在第二轮发送MAC_Km(0)；当伴随身份及密钥确认功能时，会话密钥设置为K＝H_K(K_A，1)＝H_K(K_B，1)。