[发明专利]一种改进的密钥交换协议

说明书

技术领域

本发明属于密码协议技术领域，具体涉及一种改进的密钥交换协议。

背景技术

本发明协议基于发明人在专利申请书200710047344.8中所给出的密钥交换协议。为了说明书描述方便，专利申请书200710047344.8中所给出的密钥交换协议被称为YYZ密钥交换协议。下面为YYZ协议的核心运行机制：

用户“A”及“B”相互交换它们各自的DH密钥成分X＝g^x和Y＝g^y以及公钥证书。假设用户“A”为协议的发起者，用户“B”为协议的响应者；即：用户“A”在第一轮发送X；在收到X后用户“B”检查X为Z^*_p中阶为q的非1元素(即：检查X∈Z^*_p且X≠1且X^q＝1 mod p)并在第二轮发送Y；收到Y后，用户“A”检查Y为Z^*_p中阶为q的非1元素(即：检查Y∈Z^*_p且Y≠1且Y^q＝1 modp)。注意，用户需要检查DH密钥成分X和Y是否阶为q，即：X^q＝1 modp和Y^q＝1 modp。

用户“A”计算K_A＝B^ea+cxY^da+fx，并计算会话密钥K＝H_K(K_A，I_A，A，I_B，B，X，Y，c，d，e，f)；用户“B”计算K_B＝A^eb+dyX^cb+fy，并计算会话密钥K＝H_K(K_B，I_A，A，I_B，B，X，Y，c，d，e，f)。其中，c＝H(I_A，A，X，I_B，B)，d＝H(I_A，A，I_B，B，Y)，e＝1或0，f＝H(c，d)。

为了进一步相互确认身份及会话密钥，协议响应者利用会话密钥K作为MAC-密钥在第二轮认证(I_B，c)，即：“B”在第二轮发送MAC_K(I_B，c)；协议初始者“A”在另加的第三轮利用会话密钥K作为MAC-密钥认证(c，I_A)，即：“A”在第三轮发送MAC_K(c，I_A)。注意，MAC-密钥和会话密钥相同。

发明内容

本发明的目的在于提供一种改进的更为高效的YYZ密钥交换协议。本发明协议也可以视为专利申请200710047344.8的一个改进。

本发明协议具有如下特点：

与专利申请书200710047344.8中所给出的YYZ密钥交换协议相比较，本发明协议有如下2个主要不同：

(1).本发明协议的关键之处为：利用对B^cxY^da+fx及A^dyX^cb+fy进行t＝(p-1)/q次幂运算从而保证Y^(da+fx)t及X^(cb+fy)t为Z^*_p中阶为q的元素，并进而保证K_A＝B^ea+tcxY^(da+fx)t和K_B＝A^eb+tdyX^(cb+fy)t为Z^*_p中阶为q的元素。与专利申请书200710047344.8中所给出的YYZ协议相比，对B^cxY^da+fx及A^dyX^cb+fy进行t次幂运算的好处为可以省去对DH密钥成分X和Y的阶q检查，减少低效的指数运算，提高计算效率；