[发明专利]一类高效、公平的密钥交换方法

摘要

本发明属于密码协议技术领域，具体涉及一类高效、公平的密钥交换方法。其特点为：最优的(在线)计算效率，支持先发送DH－密钥成分后发送身份和公钥证书的Post－ID工作模式，利于隐私保护、计算的可并行性和模块化，支持DH－密钥成分的重复使用，并可应用于分布式客户－服务器环境下抗拒绝服务且保护用户隐私的密钥交换、无公钥证书的密钥交换、和公平的群Diffie－Hellman密钥交换。

主权项

1.一类高效、公平的密钥交换方法，其特征在于：系统工作环境为：(1).系统参数：(G′，G，g，q)，其中G′是一个阶为N的有限群，G为G′中阶为q的子群，g为G的生成元，使得定义在G上的离散对数问题是难的；用乘法来表示G′中元素的操作，将G、G′中的单位元记为1_G，G′/1_G表示的是由G′减去单位元1_G之后其它元素的集合，即G′中的非1_G元素；记G/1_G为G中的非1_G元素；不失一般性，指数运算和不在指数上的乘法运算的结果是G′或G中的一个元素，指数上的加法和/或乘法运算是模q计算；对于任一元素X∈G′，记X^-1为X的相对于G′的逆元，即：XX^-1＝1_G；(2).H是一个哈希函数；对于字符串或数值s₁，s₂，…s_m，m＞1，H(s₁，s₂，…s_m)表示的是：将s₁，s₂，…，s_m，用合适编码表示，然后将所有的编码顺序连接串联起来，最后将串联后得到的串作为H的输入；不失一般性，设H的输出是Z_q＝{0，1，2，…，q-1}中的元素，否则取H的输出的一个属于Z_q的子串或对H的输出进行模q计算；若s₁，s₂，…，s_m是m个字符串，S₁，S₂，…S_n是n个集合，Φ为空集合，1≤n，m，则{s₁，s₂，…，s_m，Φ，S₁，S₂，…，S_n}表示的是{s₁，s₂，…，s_m}∪S₁∪S₂∪…∪S_n，其中大括号内的元素顺序可以任意变化；H(s₁，s₂，…，s_m，Φ，S₁，S₂，…，S_n)表示的是将s₁，s₂，…s_m及S₁∪S₂∪…∪S_n-{s₁，s₂，…，s_m}中的元素用合适编码表示，然后将所有的编码串顺序连接串联起来，最后将串联后得到的串作为H的输入；若Φ为空值，则H(s₁，Φ，s₂)＝H(s₁，s₂)，{s₁，Φ，s₂}＝{s₁，s₂}；(3).具有身份IDI_A的用户“A”有一个公钥A＝g^a∈G，其中a由用户“A”在Z_q＝{0，1，2，…，q-1}中随机选取；相应地，具有IDI_B的用户“B”的公钥记为B＝g^b∈G，以此类推；其中I_A为用户“A”的身份信息或用户名，I_B为用户“B”的身份信息或用户名；对于任一元素x∈Z_q，记-x为x的相对于Z_q的负元，即：x+(-x)＝0modq；(4).协议基于Diffie-Hellman密钥交换协议；记X＝g^x∈G为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数，x由用户“A”从Z_q＝{0，1，…，q-1}中随机选取或从Z_q＝{0，1，…，q-1}的奇数子集中随机选取；记Y＝g^y∈G为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数，y由用户“B”从Z_q＝{0，1，…，q-1}中随机选取或从Z_q＝{0，1，…，q-1}的奇数子集中随机选取；假设用户“A”为协议的发起者，用户“B”为协议的响应者；即：用户“A”先发送X；在收到X后用户“B”再发送Y；在基于口令的实现方法中，客户“A”发送的DH-密钥成分为X′＝g^xB^β＝XB^β∈G′；(5).协议会话标示符sid：sid用于标示同一协议的不同的并发运行会话；sid是协议双方相互交换的两个随机数的串联，即：sid＝R_A||R_B，其中R_A是一个由用户“A”发送的随机数，R_B是一个由用户“B”发送的随机数，“||”表示的是字符串联结符；在客户服务器环境中，sid可直接设置为服务器发送的随机数或计数器数值；或者，sid直接由DH-密钥成分来定义，即将R_A换为X将R_B换为Y；(6).与协议执行相关的其它信息pub₁，pub₂，…pub_k，k≥1：对于任意的i，1≤i≤k，pub_i是除DH-密钥成分X＝g^x或X′，Y＝g^y之外的其它与协议执行相关的信息的一个子集或序列，可为空或含重复元素；其它与协议执行相关的信息包括：用户即协议初始者与响应者的身份信息或用户名、协议初试者和响应者的角色标示、公钥及公钥证书信息、IP地址，协议版本，安全参数和密钥参数，协议的会话标示符，时间戳，cookie，任意数值，以及除DH-密钥成分外的协议会话传输的其它信息；在不同的实现方法中，pub_i的取值可不同；对于任意的i，j，i≠j，pub_i等于或不等于pub_j；pub_i包含协议初始者与响应者的公钥与身份或用户名信息，即或(7).密钥导出函数KDF：KDF(S，aux)是一个密钥导出函数，其中S是一个数值或数值的集合，aux是一个数值字符串集合或计数器；KDF是一个哈希函数或哈希函数序列，或是一个以S为随机种子的伪随机函数；会话密钥和认证密钥可由同一个密钥导出函数在相同的输入上导出；或者，会话密钥和认证密钥由同一个密钥导出函数在不同的输入上分别导出；或者，会话密钥的导出函数与认证密钥的导出函数不同，而它们的输入相同或不同；(8).标签认证函数F_T(K，U)，其中K为一个秘密数值或秘密数值的集合，U为一个集合；标签认证函数F_T(K，U)为任何满足如下性质的函数：①不能够从F_T(K，U)在K的长度的多项式时间内求出K，即：相对于输入K，函数F_T是单向的；②给定F_T(K，U)，不能够在K的长度的多项式时间内计算出F_T(K，U′)或F_T(K，U′)使得U≠U′；F_T是一个单向哈希函数；或者F_T是一个消息认证码MAC函数，其中MAC的私钥由K、U导出而认证的信息是U的一个子集；假设协议运行送方有某种机制协商上述参数、函数、算法，用户角色标示及会话标示符号的表示方法等，以及运行以下任一实现方法，并达成一致；协商所交互的信息的一个子集可包含在pub_i，1≤i≤k中；在申请方法中进行的对各种元素的检查确认是一次性的，即：一旦确认正确，则在本次会话的后续运行中不在检查；实现方法：设用户“A”有离散对数公钥A＝g^a并发送DH-密钥成分X＝g^x，且用户“B”有离散对数公钥B＝g^b并发送DH-密钥成分Y＝g^y；记CERT_A为用户“A”的公钥证书，CERT_B为用户“B”的公钥证书；根据实现方法的不同，用户公钥证书的发送在发送DH-密钥成分之前、或发送DH-密钥成分的同时、或发送DH-密钥成分之后；用户“A”发送或不发送随机数R_A，用户“B”发送或不发送随机数R_B；aux_A和aux_B要么均为空值或相同的值或字符串，或者aux_A和aux_B为任意数值或字符串并且aux_A≠aux_B；密钥交换方法的核心和特征是构建两个函数K_A和K_B使得K_A(a，x，B，Y，pub)＝K_B(b，y，A，X，pub)；K_A和K_B的计算如下：用户“A”计算用户“B”计算其中，t_i＝1或1≤i≤4；用户“A”事先计算X和用户“B”可事先计算Y和实现方法的关键是函数c，d，e，f的不同设置和实现方法：实现方法-(1)：c＝d＝1；e＝0或e＝1或e＝H(pub₁)；f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(pub₂，X，Y)；实现方法-(2)：c＝H(aux_A，I_B，B，X)或c＝H(aux_A，R_A，I_B，B，X)；d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，R_B，I_A，A，R_B，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)；对于实现方法-(2)，用户先交换DH-密钥成分，后交换公钥证书；或者用户“B”在发送Y的同时发送公钥证书；此时，用户“B”先计算用户“A”先计算Yt3ad+t4xf∈G′;]]>实现方法-(3)：c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)；对于实现方法-(3)，用户先交换DH-密钥成分，后交换公钥证书；用户“B”在发送Y的同时发送公钥证书；此时，用户“B”先计算用户“A”先计算实现方法-(4)：c＝H(aux_A，I_B，B，X)或c＝H(aux_A，I_B，B，R_A，X)或c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，I_A，A，R_B，Y)或d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)；实现方法-(5)：c＝H(aux_A，I_A，A，I_B，B，X)或c＝H(aux_A，I_A，A，R_A，I_B，B，X)；d＝H(aux_B，I_B，B，I_A，A，Y)或d＝H(aux_B，I_B，B，R_B，I_A，A，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)；实现方法-(6)：c＝H(aux_A，I_A，A，X)或c＝H(aux_A，I_A，A，R_A，X)，d＝H(aux_B，I_B，B，Y)或d＝H(aux_B，I_B，B，R_B，Y)，e＝0或1或H(pub₁)，f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)；实现方法-(7)：c＝H(aux_A，I_A，A，I_B，X)或c＝H(aux_A，I_A，A，R_A，I_B，X)，d＝H(aux_B，I_B，B，I_A，Y)或d＝H(aux_B，I_B，B，R_B，I_A，Y)，e＝0或1或H(pub₁)，f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)；实现方法-(8)：c＝H(aux_A，I_B，X)或c＝H(aux_A，I_A，I_B，X)或c＝H(aux_A，R_A，I_B，X)或c＝H(aux_A，I_A，R_A，I_B，X)，d＝H(aux_B，I_A，Y)或d＝H(aux_B，I_B，I_A，Y)或d＝H(aux_B，R_B，I_A，Y)或d＝H(aux_B，I_B，R_B，I_A，Y)，e＝0或1或H(pub₁)，f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)；实现方法-(9)：c＝H(aux_A，pub₃，X)或c＝H(pub₄，X，Y)或c＝1，d＝H(aux_B，pub₅，Y)或d＝H(pub₆，X，Y)或d＝1；e＝0或1或H(pub₁)或H(pub₁，X，Y)或H(pub₁，X)或H(pub₁，Y)，f＝H(pub₇，X，Y)或f＝H(sid，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝1或f＝0；其中，若c＝1和/或d＝1，则f不可为0或1；pub₄和pub₇不相同，pub₆和pub₇不相同；t_i，1≤i≤4，设置方法：(1).若用户“A”检查确认B∈G，Y∈G，用户“B”检查确认A∈G，X∈G，则令t₁＝t₂＝t₃＝t₄＝1；(2).若用户“A”仅检查确认B∈G，X∈G′或X∈G′/1_G，而不能确认X∈G，用户“B”仅检查确认A∈G，Y∈G′或Y∈G′/1_G，而不能确认Y∈G，且x和/或y会泄露，则令用户“B”检查确认或或K_B≠1_G，用户“A”检查确认或或K_A≠1_G；若x，y均不会泄露，仍同(1)可设t₁＝t₂＝t₃＝t₄＝1；任何检查不通过，则中止协议运行，返回或不返回出错信息；会话密钥和认证密钥导出方法：利用密钥导出函数由K_A＝K_B及{f，c，d，e，X，Y，pub₈}的某个子集导出认证密钥k₁和会话密钥k₂；认证方法：记导出的认证密钥为k₁，为向用户“A”证明其知道R′，用户“B”利用标签认证函数F_T计算并发送t_B＝F_T(k₁，aux₁)，其中aux₁是{I_B，sid，r_B，X，Y，pub₉}的一个子集，sid是会话标示符，r_B是用户“B”的协议角色标示；用户“A”利用认证密钥k₁检查t_B正确性，若不正确，则中止协议执行，返回或不返回出错信息；为向用户“B”证明其的确知道k₁，用户“A”在收到t_B并验证t_B的正确性后，计算并向用户“B”发送t_A＝F_T(k₁，aux₀)，其中aux₀是{I_A，sid，r_A，X，Y，pub₁₀}的一个子集且aux₀≠aux₁，r_A是用户“A”的协议角色标示；用户“B”利用认证密钥R′检查t_A正确性，若不正确，则中止协议执行，返回或不返回出错信息。