[发明专利]公钥承诺的并发不可锻造安全的MQV密钥交换协议

摘要

本发明属于密码协议技术领域，具体为一种公钥承诺的并发不可锻造安全的MQV密钥交换协议。基于MQV和HMQV协议的会话密钥计算公式(YB^c)^x+da＝(XA^d)^y+cb，以及发明人最近所发现的针对MQV和HMQV协议的并发中间人攻击，在本发明协议中函数c的输入必须包含用户“B”的公钥B、DH密钥成分Y以及用户“A”的身份I_A；函数d的输入必须包含用户“A”的公钥A、DH密钥成分X以及用户“B”的身份I_B。本发明协议的关键之处为：函数d必须承诺用户“A”的公钥，且函数c必须承诺用户“B”的公钥。本发明协议提供更为强壮的并发不可锻造安全性，更适合保护密钥交换协议在互联网等并发环境中运行时的安全性。

主权项

1.一种公钥承诺的并发不可锻造安全的MQV密钥交换协议，其特征在于：系统工作环境为：(1).系统参数：(p，q，g，H，HK，MAC)，其中p和q为大素数，并且q能整除p-1，g是一个Z* p中阶为q的元素，使得在Z* p中由g定义的子群上离散对数DL及计算Diffie-Hellman CDH问题是难的；MAC是一个消息认证码算法；所有的指数运算及不在指数上的乘法运算是mod p运算，加法及指数上的乘法为mod q运算；这里，Z* p＝{1，2，…，p-1}；H是从{0，1}*→{0，1，2，…，(q-1)/2}的哈西函数；HK是从{0，1}*→{0，1}k的哈西函数，k是会话密钥的长度；对于字符串s1，…，sm，m＞1，H(s1，S2，…，sm)表示的是：将s1，…，sm用二进制0-1串来表示，然后将所有的0-1串顺序连接串联起来，最后将串联后得到的0-1串作为H的输入；(2).除非有特别说明，具有身份ID IA的用户“A”有一个公钥A＝ga，其中a由用户“A”在Zq中随机选取；相应地，具有ID IB的用户“B”的公钥记为B＝gb，以此类推；这里，Zq＝{0，1，2，…，q-1}；(3).协议基于Diffie-Hellman密钥交换协议；记X＝gx mod p为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数，x由用户“A”从Zq＝{0，1，…，q-1}中随机选取；记Y＝gy mod p为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数，y由用户“B”从Zq＝{0，1，…，q-1}中随机选取；(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥进行可公开验证的绑定；绑定用CA的电子签名实现；绑定时CA验证公钥为Z* p中阶为q且非1的元素；用户“A”的证书记为CERTA；(5).假定协议的每一次执行有一个标示号：sid；sid是一个字符串，用于标记并发运行的协议执行；sid的制定和协商可随协议的运行环境不同而有所变化；一般而言，sid包含在协议运行之前用户交换的信息或交换信息的哈西值；(6).与协议执行相关的其它信息pub：除了sid，IA，A＝ga，IB，B＝gb，X＝gx，Y＝gy外，其它与协议执行相关的信息用pub来表示； pub是一个字符串，是用户的IP地址、公钥证书、其它需要认证的信息、时间戳的串联；协议实现的具体方法为：用户“A”及“B”相互交换它们各自的DH密钥成分X＝gx和Y＝gy以及公钥证书；假设用户“A”为协议的发起者，用户“B”为协议的响应者；即：用户“A”在第一轮发送X，在收到X后用户“B”检查X∈Z* p并在第二轮发送Y；收到Y后，用户“A”检查Y∈Z* p；将用户的身份ID，他们的DH密钥成分，以便他们的公钥，用两个函数c和d进行承诺绑定；承诺绑定通过哈西函数H来实现；其中，函数c必须承诺绑定用户“B”的公钥B、DH密钥成分Y以及用户“A”的身份IA；函数d必须承诺绑定用户“A”的公钥A、DH密钥成分X以及用户“B”的身份IB；会话密钥计算包括基本形式和简单形式：会话密钥计算的基本形式：用户“A”计算KA＝(YBc)tx+tda，检查KA≠1并计算会话密钥K＝HK(KA)；用户“B”计算KB＝(XAd)ty+tcb，检查KB≠1并计算会话密钥K＝HK(KB)；其中，d＝H(A，X，IB)，c＝H(B，Y，IA)，t＝(p-1)/q；会话密钥计算的简单形式：用户“A”在第一轮发送X，计算KA＝Bx+da并计算会话密钥K＝HK(KA)；收到X后用户“B”检查X为Z* p中阶为q的非1元素，计算KB＝XbAdb并计算会话密钥K＝HK(KB)；其中，d＝H(IA，A，IB，B，X)；具有身份及密钥确认功能的会话密钥计算形式：为了进一步相互确认身份及会话密钥，用户“A”计算MAC-密钥Km＝HK(KA，0)，“B”计算Km＝HK(KB，0)；协议响应者“B”在第二轮发送MACKm(0)；对于会话密钥计算的基本形式，协议初始者“A”在另加的第三轮发送MACKm(1)；对于会话密钥计算的简单形式，“A”在第一轮发送MACKm(1)，用户“B”在第二轮发送MACKm(0)；当伴随身份及密钥确认功能时，会话密钥设置为K＝HK(KA，1)＝HK(KB，1)。