[发明专利]密钥交换方法，密钥交换系统

权利要求书

1.一种密钥交换方法，

将n设为2以上的整数，将i设为从1至n的各整数，将j设为从2至n的各整数，将S设为密钥分发装置，将U_i设为n台通信装置，将U₁设为从上述通信装置U_i选择的1台代表通信装置，将U_j设为从上述通信装置U_i除去了上述代表通信装置U₁的n-1台一般通信装置，将||设为连接运算符，通过下式定义α、β，

在上述密钥分发装置S的存储单元存储秘密串st_S,st'_S，

在上述通信装置U_i的存储单元中存储秘密串st_i,st'_i，

所述密钥交换方法包括：

第一密钥生成步骤，上述通信装置U_i生成～r_i、～r'_i、～k_i、～k'_i、～s_i、～s'_i，通过扭转伪随机函数tPRF，使用所述秘密串st_i,st'_i，计算r_i＝tPRF(～r_i,～r'_i,st_i,st'_i),k_i＝tPRF(～k_i,～k'_i,st_i,st'_i),s_i＝tPRF(～s_i,～s'_i,st_i,st'_i)，计算R_i＝g^r_i以及c_i＝g^k_ih^s_i，将(R_i,c_i)发送到上述密钥分发装置S，其中g,h分别为к比特的素数位数p的乘法循环群G的生成元；

会话ID生成步骤，上述密钥分发装置S通过目标冲突困难哈希函数H，使用c₁,…,c_n生成sid＝H(c₁,…,c_n)，对于各i，将(sid,R_α,R_β)发送到上述通信装置U_i；

代表第二密钥生成步骤，上述代表通信装置U₁通过伪随机函数，使用(sid,R_n^r_1)生成K₁^l，通过伪随机函数，使用(sid,R₂^r_1)生成K₁^r，通过K₁^l和K₁^r的“异或”计算T₁，通过K₁^l和k₁||s₁的“异或”计算T'，将(T₁,T')发送到上述密钥分发装置S；

一般第二密钥生成步骤，上述一般通信装置U_j通过伪随机函数，使用(sid,R_α^r_j)生成K_j^l，通过伪随机函数，使用(sid,R_β^r_j)生成K_j^r，通过K_j^l和K_j^r的“异或”计算T_j，将(k_j,s_j,T_j)发送到上述密钥分发装置S；

第三密钥生成步骤，上述密钥分发装置S生成～k_S、～k'_S，通过扭转伪随机函数tPRF，使用上述秘密串st_S,st'_S计算k_s＝tPRF(～k_S,～k'_S,st_S,st'_S)，通过k₂,…,k_n,k_s的“异或”计算k'，对于各j，通过T₁,…,T_j-1的“异或”计算T'_j，将k'发送到上述代表通信装置U₁，将(k',T'_j,T')发送到上述一般通信装置U_j；

第一会话密钥生成步骤，上述一般通信装置U_j通过T'_j和K_j^l的“异或”计算K₁^l，通过T'和K₁^l的“异或”计算k₁||s₁；以及

第二会话密钥生成步骤，上述通信装置U_i通过伪随机函数，使用sid以及k'和k₁的“异或”生成公共密钥K₂。