[发明专利]基于口令的单轮密钥交换协议

说明书

本发明根据内政部授予的编号为FA8750-08-2-0091的合同在美国政府的支持下做出。美国政府对本发明拥有特定的权利。

技术领域

本发明涉及安全通信。更具体地说，本发明涉及实现安全通信的基于口令的单轮（single round）密钥交换。

背景技术

基于口令的认证是重要的安全范式（paradigm）。此场景中的安全性是一项富有挑战性的问题，因为口令通常来自随机性不足以生成密码安全密钥的低熵域（low-entropy domain）。

已经开发出其中口令由对等方（peer）共享的模型来使安全通信免受攻击。所有当前基于口令的密钥交换协议遵循不可延展的承诺范式，例如，所选的密文对手模型CCA2-加密范式，以及相关的散列证明系统。这些协议还采用类似于CCA2加密方案中的平滑投影散列函数（smooth projective hash function）。在此，用于获取散列证明的方法通常包括对等方之间的多轮交换以及模拟可靠零知识证明（simulation sound zero knowledge proof）。

发明内容

根据本公开的示例性实施例，一种方法包括确定广义Diffie-Hellman元组；生成一次性模拟可靠零知识证明，其用于证明所述广义Diffie-Hellman元组的一致性；以及根据所述广义Diffie-Hellman元组加密消息。

根据本公开的示例性实施例，一种使用公共参考串和共享口令进行加密通信的方法包括使用被发送到对等方的第一消息、从所述对等方接收的第二消息以及公共参考串确定秘密密钥，其中所述第一消息和所述第二消息各包括素数阶p的循环群G的元素的元组、所述共享口令的盲加密、以及散列投影密钥。

根据本公开的示例性实施例，一种使用公共参考串和共享口令初始化安全通信的方法包括使用第一消息、第二消息以及公共参考串确定对等方的秘密密钥，其中所述第一消息和所述第二消息各包括素数阶p的循环群G的元素的元组、所述共享口令的盲加密，以及散列投影密钥。

根据本公开的示例性实施例，一种使用公共参考串和共享口令初始化安全通信的方法包括将第一消息发送到对等方，从所述对等方接收第二消息，以及使用所述第一消息、所述第二消息以及所述公共参考串确定所述对等方的安全密钥，其中所述第一消息和所述第二消息各包括广义Diffie-Hellman元组、所述共享口令的盲加密、散列投影密钥、以及用于证明所述广义Diffie-Hellman元组的一致性的一次性模拟可靠零知识证明。

附图说明

下面参考附图更详细地描述本公开的优选实施例：

图1是根据本公开的实施例的基于口令的密钥交换协议的图；

图2是示出根据本公开的实施例的消息生成的图；

图3是根据本公开的实施例的已接收的消息的图；

图4是根据本公开的实施例生成共享密钥的示例性方法的流程图；

图5是根据本公开的实施例的公共参考串的图；

图6是根据本公开的实施例的Diffie-Hellman元组的图；

图7是根据本公开的实施例的加密口令的图；

图8是根据本公开的实施例的散列投影密钥的图；以及

图9是用于执行根据本公开的实施例的方法的示例性系统。

具体实施方式

根据本公开的实施例，一种基于口令的单轮口令交换实现了安全通信。基于口令的单轮密钥交换可用于不同的安全通信模型。例如，基于口令的单轮密钥交换可用于口令认证密钥（PAK）安全模型或通用可组合（UC）模型。基于口令的单轮密钥交换绕过了构建传统的基于口令的密钥交换协议所依据的不可延展的承诺范式。通过避免CCA-2加密范式的不可延展的承诺范式，可使得方法在通信成本和最终密钥计算这两方面高效。

根据本公开的实施例，散列证明系统可被实现并集成在基于口令的密钥交换协议中。更具体地说，共享的秘密密钥可被确定为两个投影散列函数的乘积，其中第一投影散列函数对应于与有效的口令加密关联的语言，并且第二投影散列函数对应于加密方案中的密文完整性。第二投影散列函数不需要是在CC2A加密方案中使用的通用2投影散列函数。为了仅基于决定性Diffie–Hellman（DDH）假设证明安全性，在公共参考串陷门中需要进一步的（成对独立的）冗余。