[发明专利]公钥承诺的并发不可锻造安全的MQV密钥交换协议

说明书

技术领域

本发明属于密码协议，具体涉及一种公钥承诺的并发不可锻造安全的MQV密钥交换协议。

背景技术

目前，国际上最常用(同时被广泛标准化)的Diffie-Hellman密钥交换协议是MQV和HMQV协议。MQV和HMQV协议的运行方式如下：

具有身份I_A的用户“A”具有公钥A＝g^a，具有身份I_B的用户“B”具有公钥B＝g^b。用户“A”在协议第一轮发送X＝g^x。用户“B”在协议第二轮发送Y＝g^y。这是基本的Diffie-Hellman密钥交换协议。用户“A”检查Y的阶为q并计算会话密钥K＝H_K((YB^c)^x+da)，用户“B”检查X的阶为q并计算K＝H_K((XA^d)^y+cb)。其中在MQV中d＝2^l+(X mod 2^l)，c＝2^l+(Ymod 2^l)，l等于x或y长度的一半。在HMQV中d＝H(X，I_B)，c＝H(Y，I_A)。

发明人最新的研究工作表明，MQV和HMQV协议存在较大的安全漏洞。具体来讲，我们发现若干危险的针对MQV和HMQV的并发中间人攻击，表明MQV和HMQV不能做到充分的不可锻造安全性。我们发现的MQV和HMQV协议的安全漏洞可以用如下方法拯救：函数c必须承诺绑定用户“B”的公钥B、DH密钥成分Y以及用户“A”的身份I_A；函数d必须承诺绑定用户“A”的公钥A、DH密钥成分X以及用户“B”的身份I_B。和MQV和HMQV相比较，本发明协议的关键不同之处为：用户“A”的公钥A必须作为函数d的输入，且用户“B”的公钥B必须作为函数c的输入；即：函数c必须承诺绑定用户“B”的公钥B且函数d必须承诺绑定用户“A”的公钥A。

发明内容

本发明的目的在于提出一种公钥承诺的并发不可锻造安全的MQV密钥交换协议，以提高更为强壮的不可锻造安全性。

本发明协议具有如下特点：

在MQV和HMQV协议的基础之上，通过令函数d承诺用户“A”的公钥，且函数c承诺用户“B”的公钥，本发明协议可以有效地抵抗发明人所发现的针对MQV和HMQV协议的并发中间人攻击，可以提供更为强壮的并发不可锻造安全性，更适合保护密钥交换协议在互联网等并发环境中运行时的安全性。

本发明协议的系统工作环境为：