[发明专利]在线计算高效、可抵赖、不可锻造安全的密钥交换协议

摘要

本发明属于密码协议技术领域，具体为一种在线计算高效、可抵赖、不可锻造安全的密钥交换协议。协议实现环境和方法为：用户“A”的公钥为A＝g^a，DH密钥成分为X＝g^x；用户“B”的公钥为B＝g^b，DH密钥成分为Y＝g^y。用户“A”通过B^cx+eaY^da+fx证明其同时知道a及x；用户“B”通过A^eb+dyX^cb+fy证明其同时知道b及y。哈西函数c，d，e，f的输入包含协议每一次执行的所有相关公开信息，且输入输出相互嵌套和影响。为了提高在线计算效率，c的输入不包含Y，d的输入不包含X，e为1或0。本协议可满足用户对密钥交换的在线计算效率、可抵赖性、不可锻造安全性、抗拒绝服务攻击、抗内部状态泄漏、以及显式或隐式身份及密钥确认的不同需求和优先级。

主权项

1.一种在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于：系统工作环境为：(1).系统参数：(p，q，g，H，HK，c，d，e，f，)，其中p和q为大素数，并且q能整除p-1，g是一个Z* p中阶为q的元素，使得在Z* p中由g定义的子群上离散对数DL及计算Diffie-Hellman CDH问题是难的；所有的指数运算及不在指数上的乘法运算是mod p运算，加法及指数上的乘法为mod q运算；这里，Z* p＝{1，2，Λ，p-1}；H和HK是从{0，1}*→{0，1，2，…，q-1}的哈西函数；c，d，e，f为{0，1}*→{0，1，2，…， q-1}的函数；为增加计算速度，H，c，d，e，f的输出长度可以为l＝(log2q+1)/2；对于字符串s1，…，sk，k＞1，H(s1，s2，…，sk)表示的是：将s1，…，sk用二进制0-1串来表示，然后将所有的0-1串顺序连接串联起来，最后将串联后得到的0-1串作为H的输入；(2).除非有特别说明，具有身份ID IA的用户“A”有一个公钥A＝ga，其中a由用户“A”在Zq中随机选取；相应地，具有ID IB的用户“B”的公钥记为B＝gb，以此类推；这里，Zq＝{0，1，2，Λ，q-1}；(3).协议基于Diffie-Hellman密钥交换协议；记X＝gx为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数；记Y＝gy为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数；(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥进行可公开验证的绑定；绑定用CA的电子签名实现；绑定时CA验证公钥为Z* p中阶为q且非1的元素；用户“A”的证书记为CERTA；(5).假定协议的每一次执行有一个标示号：sid；sid是一个字符串，用于标记并发运行的协议执行；sid的制定和协商可随协议的运行环境不同而有所变化；一般而言，sid包含在协议运行之前用户交换的信息或交换信息的哈西值；(6).与协议执行相关的其它信息pub：除了sid，IAA＝ga，IB，B＝gb，X＝gx，Y＝gy外，其它与协议执行相关的信息用pub来表示； pub是一个字符串，是用户的IP地址、公钥证书、其它需要认证的信息、时间戳的串联；协议实现方法为：用户“A”及“B”相互交换它们各自的DH密钥成分X＝gx和Y＝gy；假设用户“A”为协议的发起者，用户“B”为协议的响应者；即：用户“A”在第一轮发送x，在收到X后用户“B”在第二轮发送Y；将协议每一次执行的所有相关信息，包括：sid，IA，A＝ga，IB，B＝gb，X＝gx，Y＝gy，以及其它与该次协议执行相关的信息pub，包含：用户的IP地址、公钥证书、其它需要认证的信息、时间戳，用哈西函数H和函数c，d，e，f进行承诺绑定；一般而言，先用哈西函数H进行绑定，然后将H的输出作为c，d，e，f输入的一部分；并且对于输出不是常数的函数c，d，e，f，其输入和输出可以相互嵌套和影响，从而提供更强的绑定；对于用户“A”和“B”的私钥a和b，以及它们DH密钥成分X和Y的离散对数x和y，利用哈西函数及c，d，e，f进行掩盖保护，从而提供相对于每一次协议执行的新鲜性和不可锻造安全性；会话密钥计算方法：会话密钥K由如下值之一导出，其中KA为用户“A”计算的值，KB为用户“B”计算的值，KA等于KB：(1).在线计算高效形式：KA＝Bea+cxYda+fx，KB＝Aeb+dyXcb+fy；其中，c＝H(sid，IA，A，X，IB，B，pub)，d＝H(sid，IA，A，IB，B，Y，pub)或d＝H(c，Y)，e＝1或e＝H(sid，IA，A，IB，B，pub)，f＝H(c，d)；当d＝H(sid，IA，A，IB，B，Y，pub)及e＝1时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算X、c和Ba+cx，用户“B”事先离线计算Y、d和Ab+dy，从而提高在线计算的效率；(2).可抵赖形式：KA＝BcxYda+fx，KB＝AdyXcb+fy；或KA＝BcxYda，KB＝AdyXcb；其中c＝H(sid，IA，A，X，IB，B，pub)或c＝H(sid，IA，A，X，IB，B，Y，pub)；d＝H(sid，IA，A，IB，B，Y，pub)或d＝H(c，Y)；f＝H(c，d)；在这种情况，函数e＝0，会话密钥可仅仅由DH密钥成分的离散对数，即x和y，计算出，因此每一个用户均可以抵赖会话密钥的产生，从而更好地保护用户的隐私；当c＝H(sid，IA，A，X，IB，B，pub)及d＝H(sid，IA，A，IB，B，Y，pub)时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算X、c和Bcx，用户“B”事先离线计算Y、d和Ady，从而在保持可抵赖性的基础上进一步提高在线计算的效率；(3).完整形式：KA＝Bea+cxYda+fx，KB＝Aeb+dyXcb+fy；其中函数c，d，e，f的输入和输出相互嵌套和影响：c＝H(sid，IA，ga，IB，gb，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)；(4).基本形式：KA＝Ba+cxYda+x，KB＝Ab+dyXcb+y，或KA＝Bca+xYa+dx，KB＝Acb+yXb+dy；其中c＝H(sid，IA，A，X，IB，B，Y，pub)，d＝H(c)；(5).简单形式：KA＝Bcx+da，KB＝AdbXcb；对于这种情形，因为用户“A”计算KA时候可以不知道Y，Y不被包含在c， d以及H的输入中；函数c和d的设置有如下情况：c＝H(sid，IA，A，X，IB，B，pub)，d＝H(c)或d＝1；或者，d＝H(sid，IA，A，X，IB，B，pub)，c＝H(d)或c＝1；(6).其他形式：KA＝Bcx+eaYda，KB＝Ady+ebXcb；其中e＝1或e＝H(sid，IA，A，IB，B，pub)；c＝H(sid，IA，A，X，IB，B，pub)；d＝H(sid，IA，A，IB，B，Y，pub)；会话密钥K是由HK和一个密钥导出函数KDF导出；其方法是将HK(KA，(sid，A，B，IA，IB，X，Y，c，d，e，f，pub))作为一个伪随机函数PRF的随机种子来导出；一个伪随机函数是一个二元函数PRFα(·)：第一元α是一个随机数，称为PRF的随机种子；·是另外一元，可以是任意字符串的顺序连接；或者，会话密钥直接由哈西函数HK导出：K＝HK(KA，c，d，e，f)＝HK(KB，c，d，e，f)；身份及密钥确认方法：为了进一步相互确认身份及会话密钥，用户“B”和“A”用导出的会话密钥作为消息认证码MAC的私钥对协议公开信息，sid，IA，IB，A，X，Y，c，d以及用户角色标示，进行认证；具体来讲，协议响应者B在第二轮认证(sid，IB，IA，B，A，Y，X，d，c，pub)，协议初始者A在另加的第三轮进行认证(sid，IA，IB，A，B，X，Y，c，d，pub)；用户角色，即协议初始者和响应者的标示方法：(1).由c，d，e，f的顺序来标示；(c，d)标示协议初始者角色，(d，c)标示协议响应者角色；这种角色标示方法要求函数c，d的输出不为常数；(2).由c与用户ID的顺序来标示；(c，IA)标示协议初始者；(IB，c)标示响应者；基于发明协议会话密钥计算的不同形式，发明协议允许用户协商以满足用户对在线计算效率、可抵赖性、安全性、抵抗拒绝服务攻击，以及显式或隐式身份及密钥确认的不同需求以及优先级。