CN101175076B - 在线计算高效、可抵赖、不可锻造安全的密钥交换方法 - Google Patents

Abstract

本发明属于密码协议技术领域，具体为一种在线计算高效、可抵赖、不可锻造安全的密钥交换协议。协议实现环境和方法为：用户“A”的公钥为A＝g^a，DH密钥成分为X＝g^x；用户“B”的公钥为B＝g^b，DH密钥成分为Y＝g^y。用户“A”通过B^cx+eaY^da+fx证明其同时知道a及x；用户“B”通过A^eb+dyX^cb+fy证明其同时知道b及y。哈西函数c，d，e，f的输入包含协议每一次执行的所有相关公开信息，且输入输出相互嵌套和影响。为了提高在线计算效率，c的输入不包含Y，d的输入不包含X，e为1或0。本协议可满足用户对密钥交换的在线计算效率、可抵赖性、不可锻造安全性、抗拒绝服务攻击、抗内部状态泄漏、以及显式或隐式身份及密钥确认的不同需求和优先级。

Description

在线计算高效、可抵赖、不可锻造安全的密钥交换方法

技术领域

本发明属于密码协议，具体涉及一种在线计算高效、可抵赖、不可锻造安全的密钥交换方法。

背景技术

目前，国际上最常用(同时被广泛标准化)的2-轮Diffie-Hellman密钥交换协议是MQV和HMQV。MQV和HMQV的运行方式如下：

具有身份I_A的用户“A”具有公钥A＝g^a，具有身份I_B的用户“B”具有公钥B＝g^b。用户“A”在协议第一轮发送X＝g^x。用户“B”在协议第二轮发送Y＝g^y。这是基本的Diffie-Hellman密钥交换协议。用户“A”检查Y的阶为q并计算会话密钥K＝H_K((YB^c)^x+da)，用户“B”检查X的阶为q并计算K＝H_K((XA^d)^y+cb)，其中H_K是一个哈希函数。其中在MQV中d＝2^l+(X mod 2^l)，c＝2^l+(Y mod 2^l)，l等于x或y长度的一半。在HMQV中d＝H(X，I_B)，c＝H(Y，I_A)，其中H是一个哈希函数。

MQV和HMQV协议存在如下不足：

(1).MQV和HMQV的在线计算效率不够好。MQV和HMQV的会话密钥生成方式不允许用户对会话密钥进行部分离线计算以提高在线计算的效率。具体来讲，用户“A”不得不再受到Y之后再计算会话密钥，用户“B”不得不在受到X之后再计算会话密钥。

(2).MQV和HMQV协议不能做到完全的可抵赖性。在MQV和HMQV中，用户“A”可以抵赖会话密钥是由用户“B”的私钥b及y产生。同样，用户“B”可以抵赖会话密钥是由用户“A”的私钥a及x产生。但是，用户A和B不能够同时否认会话密钥不是由他们产生的。这时因为，会话密钥的产生使用了g^ab，而g^ab只能由他们两个人之一产生。也即是说，MQV和HMQV所生成的会话密钥可以确定地被追踪到产生会话密钥的这两个用户。

(3).MQV和HMQV没有做到完全的不可锻造安全性。在MQV和HMQV中，在计算c和d时候，哈西函数的输入仅包含部分与协议相关的信息。在MQV中，c的输入仅包含Y，d的输入仅包含X。在HMQV中，d的输入仅包含(X，I_B)，c的输入仅包含(Y，I_A)。特别地，c和d的输入中没有包含任何公钥和证书信息。另外，在会话密钥计算中，在2-轮MQV和HMQV中没有对DH密钥成分X和Y的离散对数x和y利用哈西函数进行掩盖保护。这些不足给潜在的并发中间人攻击留下了空间或潜在的后门。另外，在MQV和HMQV中用户的角色，即初始者或响应者，是由0和1标示。

(4).MQV和HMQV没有考虑抵抗拒绝服务攻击。

发明内容

本发明的目的在于提供一类在线计算高效、可抵赖、不可锻造、抗拒绝服务攻击且抗内部状态泄漏的密钥交换方法。

本发明方法具有如下特点：

(1).本发明方法(比如方法实现-1的在线计算高效形式)可提供几乎最优的在线计算效率。对于方法实现-1的会话密钥的在线高效生成形式，每个用户只需在线计算大约1.5个指数运算。具体来讲：用户“A”只需在线计算Y^q(即检查Y的阶为q)和Y^da+fx，而Y^q和Y^da+fx的同时计算相当于1.5个指数运算(而不是两个独立的指数运算)；用户“B”只需在线计算X^q(即检查X的阶为q)和X^cb+fy，同样，X^q和X^cb+fy而Y^q和Y^da+fx的同时计算相当于1.5个指数运算。在MQV和HMQV协议中，用户“A”需在线计算Y^q和(YB^c)^x+da，这需要2.5个指数运算；用户“B”需在线计算X^q和(XA^d)^y+cb，这同样需要2.5个指数运算。因此，本发明方法相对于MQV和HMQV节省了2个指数运算，大大提高了在线计算的效率。这对于本发明方法基于智能卡的实现是非常重要的。

(2).本发明方法(比如，方法实现-1的会话密钥计算的可抵赖形式和方法实现-3)可提供完全的可抵赖性。用户“A”和“B”可同时地抵赖他们没有参与方法的运行。这是因为会话密钥可仅由DH密钥成分的离散对数x和y计算出来。MQV和HMQV不能提供完全的可抵赖性。因此，本发明方法相对于MQV和HMQV可以更好地保护用户的隐私。

(3).本发明方法(比如，方法实现-1会话密钥计算的完整形式及方法实现-4)可提供完全的不可锻造安全性。即：无论一个敌手(比如冒充用户“B”的敌手)采取什么样的策略、具有什么样的辅助输入、甚至即便他可能偷取了诚实用户“A”的私钥a或者DH密钥成分的离散对数x，如果他能够计算出会话密钥那么他一定同时道私钥b和DH密钥成分Y的离散对数y(这表明敌手没有造成任何安全危害)。

(4).本发明方法(比如方法实现-3和方法实现-4)提供抵抗拒绝服务攻击性能；MQV和HMQV没有考虑抵抗拒绝服务攻击性能。

(5).本发明方法的指导思想和核心工具是高效实用的基于离散对数的不可锻造安全的2-轮零知识身份验证方法(即，方法实现-5)。而MQV和HMQV的指导思想和核心工具是指数挑战-响应签名(Exponential Challenge-Response XCR signature)。方法设计的指导思想和基本工具不同。

(6).本发明方法允许用户协商以满足用户对效率、可抵赖性、安全性、抵抗拒绝服务攻击、抵抗内部状态泄漏、以及显式或隐式身份及密钥确认的不同需求和优先级。比如，如用户对效率和隐私保护具有优先的需求，他可以选择使用方法实现-1的在线高效形式、可抵赖形式及方法实现-3；而方法实现-1的完整形式和方法实现-4可以满足更高的安全需求(并兼顾一定程度的隐私保护)。

本发明协议的系统参数和工作环境为：

(1).系统参数：系统参数：(p，q，g，H，H_K c，d，e，f)，其中p和q为大素数，并且q能整除p-1，g是一个Z^* _p中阶(order)为q的元素，使得在Z^* _p中由g定义的子群上离散对数(discrete logarithm DL)及计算Diffie-Hellman(computationalDiffie-Hellman CDH)问题是难的。所有的指数运算及(不在指数上的)乘法运算是模(mod)p运算，加法及指数上的乘法为模(mod)q运算(比如：g^cw表示g^cw mod q mod p)。这里，Z^* _p指的是所有比p小并与p互素的正整数的集合，即Z^* _p＝{1，2，…，p-1}。定义函数DL：Z_q→Z^* _p，使得h＝DL(w)＝g^w mod p。w称为h的离散对数。我们要求给定随机计算出的h，没有多项式时间算法计算出h的离散对数w，这称为离散对数问题。计算Diffie-Hellman问题指的是：给定随机的g^x与g^y，没有多项式时间算法计算出g^xy。一般而言，对于熟悉本领域的人而言，离散对数问题及计算Diffie-Hellman问题也可以定义在由椭圆曲线或双线性对(bilineartity)定义的群上。H和H_K是从{0，1}^*→{0，1，2，…，q-1}的哈西函数。c，d，e，f为{0，1}^*→{0，1，2，…，q-1}的函数。为增加计算速度，H，c，d，e，f的输出长度可以为对于字符串s₁，…，s_k，k＞1，H(s₁，s₂，…，s_k)表示的是：将s₁，…，s_k用二进制0-1串来表示，然后将所有的0-1串顺序连接(即，串联)起来，最后将串联后得到的串作为H的输入。(p，q，g，H，H_K c，d，e，f)既可以是全局或部分全局性的公共参数，亦可以由任意一对执行该协议的用户进行协商。

(2).除非有特别说明，具有身份ID I_A的用户“A”有一个公钥A＝g^a，其中a由用户“A”在Z_q中随机选取。相应地，具有ID I_B的用户“B”的公钥记为B＝g^b，以此类推；这里，Z_q＝{0，1，2，…，q-1}。这儿“用户”指的是“用计算机网络相连的计算设备”。

(3).协议基于Diffie-Hellman密钥交换协议。记X＝g^x为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数。记Y＝g^y为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数。

(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥，比如：(I_A，A＝g^a)，进行可公开验证的绑定。绑定用CA的电子签名实现。绑定时，CA验证公钥为Z^* _p中阶为q且非1的元素。用户“A”的证书记为CERT_A，包括用户“A”的公钥及CA对(I_A，A＝g^a)的电子签名。

(5).发明方法的每一次执行称为一个会话(session)。我们假定发明方法的每一次执行(即，每一次会话)有一个会话标示号(session-identifier)：sid，用于标记发明方法的并发运行。sid的制定和协商可随发明方法的运行环境不同而有所变化：比如sid可以是发明方法运行两方发送的两个随机串的合并连接。一般而言，sid包含在发明方法运行之前用户交换的信息或交换信息的哈西值。在某些环境中sid可在发明方法运行过程中产生。在某些环境中当会话可由语境自动标示时sid亦可省略；例如在某些密钥交换应用中(g^x，g^y)可兼当会话标示号。

(6).与发明方法运行相关的其它信息pub：除了(sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y)外，其它与发明方法运行相关的信息用pub来表示。pub是一个字符串，一般是用户的IP地址，公钥证书，其它需要认证的信息，时间戳等的串联。pub可以为空。在所有具有MAC的协议实现中，为了提高计算效率，可仅仅将pub作为(以会话密钥作为私钥的)MAC的输入一部分，而不作为H，H_K及KDF的输入。

发明方法运行如下：

用户“A”及“B”相互交换它们各自的DH密钥成分X＝g^x和Y＝g^y。假设用户“A”为方法运行的发起者，用户“B”为方法运行的响应者。即：用户“A”在第一轮发送X，在收到X后用户“B”在第二轮发送Y。

将发明方法每一次运行的所有相关信息，包括：sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y，以及其它与该次方法运行相关的信息pub(一般包含用户的IP地址，公钥证书，其它需要认证的信息，时间戳等)，用哈西函数H和函数c，d，e，f进行承诺绑定。一般而言，先用哈西函数H进行绑定，然后将H的输出作为c，d，e，f输入的一部分；并且对于输出不是常数的函数c，d，e，f，其输入和输出可以相互嵌套和影响，从而提供更强的绑定。比如：c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)。对于用户“A”和“B”的私钥a和b，以及它们DH密钥成分X和Y的离散对数x和y，利用哈西函数及c，d，e，f进行掩盖保护，从而提供相对于每一次会话运行的新鲜性和不可锻造安全性。

会话密钥计算方法：会话密钥K由如下值之一导出，其中K_A为用户“A”计算的值，K_B为用户“B”计算的值，K_A等于K_B：

(1).在线计算高效形式：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy。其中，c＝H(sid，I_A，A，X，I_B，B，pub)；，d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)；e＝1或e＝H(sid，I_A，A，I_B，B，pub)；f＝H(c，d)。当d＝H(sid，I_A，A，I_B，B，Y，pub)及e＝1时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算c、X和B^a+cx，用户“B”事先离线计算d、Y和A^b+dy，从而提高在线计算的效率。

(2).可抵赖形式：K_A＝B^cxY^da+fy，K_B＝A^dyX^cb+fy；或K_A＝B^cxY^da，K_B＝A^dyX^cb。其中c＝H(sid，I_A，A，X，I_B，B，pub)或c＝H(sid，I_A，A，X，I_B，B，Y，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)；f＝H(c，d)。这这种情况，函数e＝0，会话密钥可仅仅由DH密钥成分的离散对数，即x和y，计算出，因此每一个用户均可以抵赖会话密钥的产生，从而更好地保护用户的隐私。当c＝H(sid，I_A，A，X，I_B，B，pub)及d＝H(sid，I_A，A，I_B，B，Y，pub)时，此时c的输入不包含Y，d的输入不包含X，用户“A”可以事先离线计算c、X和B^cx，用户“B”可以事先离线计算d、Y和A^dy，从而在保持可抵赖性的基础上进一步提高在线计算的效率。

(3).完整形式：K_A＝B^ea+cxY^da+fy，K_B＝A^eb+dyX^cb+fy。其中函数c，d，e，f的输入和输出相互嵌套和影响，比如：c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)。

(4).基本形式：K_A＝B^a+cxY^da+x，K_B＝A^b+dyX^cb+y，或K_A＝B^ca+xY^a+dx，K_B＝A^cb+yX^b+dy。其中c＝H(sid，I_A，A，X，I_B，B，Y，pub)，d＝H(c)。

(5).简单形式：K_A＝B^cx+da，K_B＝A^dbX^cb。对于这种情形，因为用户“A”计算K_A时候可以不知道Y，Y不被包含在c，d以及H的输入中。函数c和d的设置有如下情况：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(c)或d＝1；或者，d＝H(sid，I_A，A，X，I_B，B，pub)，c＝H(d)或c＝1。

(6).其他形式：K_A＝B^cx+eaY^da，K_B＝A^dy+ebX^cb。其中e＝1或e＝H(sid，I_A，A，I_B，B，pub)；c＝H(sid，I_A，A，X，I_B，B，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)。

会话密钥K是由H_K和一个密钥导出函数KDF(key derivation function KDF)导出。一般方法是将H_K(K_A，(sid，A，B，I_A，I_B，X，Y，c，d，e，f，pub))作为一个伪随机函数PRF(pseudorandom function PRF)的随机种子来导出。一个伪随机函数是一个二元函数PRF_α(·)：第一元α是一个随机数，一般称为PRF的随机种子；·是另外一元，可以是任意字符串的顺序连接。比如，PRF_α(c，pub)表示的是PRF_α(c‖pub)，其中“c‖pub”表示的是字符串c与pub的顺序连接(即，串联)。为了提高计算效率，会话密钥K也可以直接由哈西函数H_K导出，比如K＝H_K(K_A，c，d，e，f)＝H_K(K_B，c，d，e，f)。

身份及密钥确认方法：为了进一步相互确认身份及会话密钥，用户“B”和“A”用导出的会话密钥作为消息认证码MAC的私钥对与方法运行相关的公开信息，sid，I_A，I_B，A，B，X，Y，c，d以及用户角色标示，进行认证。；具体来讲，方法运行响应者B在第二轮认证(sid，I_B，I_A，B，A，Y，X，d，c，pub)，方法运行初始者A在另加的第三轮进行认证(sid，I_A，I_B，A，B，X，Y，c，d，pub)。此时，会话标示符sid可以是用户“B”和“A”交换的两个随机串r_B与r_A的合并连接，即：r_B‖r_A。

用户角色，即协议初始者和响应者的标示方法：

(1).由c，d，e，f的顺序来标示：(c，d)标示方法运行初始者角色，(d，c)标示方法运行响应者角色。这种角色标示方法要求函数c，d的输出不为常数且可相互嵌套。

(2).由c与用户ID的顺序来标示：(c，I_A)标示方法运行初始者；(I_B，c)标示方法运行响应者。

针对不同需求或优先级的实现方法：

基于发明方法会话密钥计算的不同形式，发明方法允许用户协商以满足用户对在线计算效率、可抵赖性、安全性、抵抗拒绝服务攻击，以及显式或隐式身份及密钥确认的不同需求以及优先级。

基于会话密钥计算简单形式的2-轮显式身份及密钥确认的实施方式：为了得到2-轮显式身份及密钥确认的密钥交换协议，基于会话密钥计算简单形式，有如下三种实现方法(其中函数c和d输出不同且不可同时为常数)：

(1).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da(以及协议公开信息)导出的密钥作为消息认证码MAC的私钥对与发明方法运行相关的公开信息，sid，I_A，I_B，A，B，X，c，d以及用户角色标示等，进行认证。用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性。在第二轮，用户“B”发送Y，并利用由X^y和K_B共同导出的MAC的私钥，比如H_K(X^y，K_B，sid，I_A，I_B，A，B，X，Y，c，d)，对与发明方法运行相关的公开信息，sid，I_B，I_A，Y，X，d，c以及用户角色标示等，进行认证。为了抵抗拒绝服务攻击，用户“B”可以再使用由K_B＝A^dbX^cb导出的MAC的私钥对第二轮发送的全部(或部分)信息进行二次MAC认证。最后，会话密钥最终由g^xy导出。

(2).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为消息认证码MAC的私钥对与发明方法运行相关的公开信息，sid，I_A，I_B，X，c，d等，进行认证。用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性。在第二轮，用户“B”利用由K_B导出的MAC的私钥对与发明方法运行相关的公开信息，sid，I_B，I_A，Y，X，d，c等，进行认证。会话密钥由K_A＝K_B导出。

(3).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为对称加密算法E的私钥加密一个随机数r。在第二轮，B利用由K_B＝A^dbX^cb导出的私钥解密出r，并利用r作为MAC的私钥对与发明方法运行相关的公开信息，sid，I_B，I_A，X，d，c等，进行认证。会话密钥由r导出。

基于会话密钥计算可抵赖形式的3-轮可抵赖、抗拒绝服务攻击、且显式身份及密钥确认的实施方法：

在第一轮用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥作为MAC的私钥对(c，I_A)进行认证。这儿，(c，I_A)标示方法运行初始者角色。

在第二轮，用户“B”首先利用X^cb验证第一轮MAC值的正确性(这有利于及早发现和防范拒绝服务攻击)。计算并发送Y＝g^y；计算d＝H(c，X^cb，Y)，并利用由(A^dy，X^cb)共同导出的会话密钥K对(I_B，c)进行认证。这儿，(I_B，c)标示方法运行响应者角色。最后，“B”再用由X^cb导出的MAC的私钥对第二轮发送的信息进行二次认证。

在第三轮，用户“A”首先通过B^cx验证第二轮信息的二次认证MAC值的有效性(这有利于及早发现和防范拒绝服务攻击)。然后，用户“A”利用由(B^cx，Y^da)共同导出的会话密钥K作为MAC的私钥对(c，I_A)进行认证。

基于会话密钥计算完整形式的4-轮抗内部状态泄漏和拒绝服务攻击、且显式密钥及身份确认的实施方法：

在第一轮，用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥K₁作为MAC的私钥对(c，I_A)进行认证；这儿，(c，I_A)标示方法运行初始者角色。

在第二轮，用户“B”首先由X^cb计算出K₁来验证第一轮MAC值的正确性(这有利于及早发现和防范拒绝服务攻击)；然后，“B”计算并发送Y＝g^y，计算f＝H(c，Y)，并利用由(X^cb，X^fy)共同导出的密钥K₂对(I_B，c)进行MAC认证。这儿，(I_B，c)标示方法运行响应者角色。最后，“B”再用K₁对第二轮发送的信息进行二次认证。

在第三轮，用户“A”首先通过使用K₁验证第二轮信息的二次认证MAC值的有效性(这有利于及早发现和防范拒绝服务攻击)。然后，用户“A”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，由B^ea+cxY^da+fx导出会话密钥K，并用K作为MAC的私钥对(c，I_A)进行认证。

在第四轮，用户“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，由A^eb+dyX^cb+fy导出会话密钥K并验证第三轮MAC值的正确性。然后，用户“B”再用会话密钥K对(I_B，c)进行MAC认证。

本发明方法的具体实现步骤：

在下述方法实现描述中，大括号内的值表示发送的信息。注意用户“A”的公钥是A＝g^a并具有CA颁发的证书CERT_A；用户“B”的公钥是B＝g^b并具有CA颁发的证书CERT_B。假设用户“A”为方法运行初始者，用户“B”为方法运行响应者。协议的输出，即会话密钥K，由一个密钥导出函数KDF来定义K＝KDF(K_A，·)＝KDF(K_B，·)，·表示二元函数KDF中的一个变元。密钥导出函数KDF可随应用的不同而不同。

方法实现-1：2-轮隐式身份及密钥确认的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x(mod p)}，其中x从Z_q中随机选取；X称为“A”的DH密钥成分。

收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。验证不成功，“B”拒绝继续运行，否则，进入下一轮。

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y}，其中，y从Z_q中随机选取且Y称为“B”的DH成分。收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶为q的Z^* _p中的元素。验证不成功，“A”终止方法运行。

会话密钥计算的在线计算高效形式：用户“A”和“B”计算：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)，f＝H(c，d)。其中pub包含与方法运行相关的其它公开信息，比如：用户“A”和“B”的证书、IP地址等。为了提高计算效率，用户“A”可以事先离线计算B^a+cx，用户“B”可以事先离线计算A^b+dy，从而提高在线计算的效率。最后，用户“A”计算K_A＝B^a+cxY^da+fx，并利用密钥导出函数KDF计算出会话密钥：K＝KDF(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))。用户“B”计算K_B＝A^b+dyX^cb+fy，K＝KDF(K_B，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))。比如，对于α＝K_A，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)， $\mathrm{KDF}(\mathrm{\α},\mathrm{\β})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub}),$ 其中，PRF是一个伪随机函数。这里，H_K(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))表示的是H_K(K_A‖sid‖I_A‖g^a‖I_B‖g^b‖X‖Y‖c‖d‖pub)，

表示的是

“‖”表示的是字符串的顺序连接。

会话密钥计算的可抵赖形式(推荐用于更好地隐私保护)：在会话密钥计算的可抵赖形式中，K_A与K_B如下计算：K_A＝B^cxY^da+fx，K_B＝A^dyX^cb+fy。其中c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)，f＝H(c，d)。用户“A”事先离线计算X和B^cx，用户“B”事先离线计算Y和A^dy，从而可进一步提高在线计算的效率。

会话密钥计算的完整形式(推荐用于更强的安全性)：在会话密钥计算的完整形式中，K_A与K_B如下计算：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy，其中c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)。

方法实现-2：2-轮显式身份及密钥确认的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x， $C_{(a,x)}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_A,I_B,A,B,X,c,d,\mathrm{pub})$ }，其中A＝g^a，B＝g^b，x从Z_q中随机选取，c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，d＝H(c)。MAC私钥K_M的计算如下：K_A＝B^cx+da，K_M＝KDF(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))。

收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。计算K_B＝X^cbA^db和K_M并验证 $C_{(a,x)}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_A,I_B,A,B,X,c,d,\mathrm{pub})$ 的正确性。验证不成功，“B”拒绝继续运行，否则，进入下一轮。

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y， $C_{(b,y)}={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,B,A,Y,X,K_B,X^y,d,c,\mathrm{pub})}(\mathrm{sid},I_B,I_A,B,A,Y,X,d,c),$ $C_{K_M}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_B,Y,C_{(b,y)})$ }，其中y从Z_q中随机选取。

收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素，并利用x、K_A，和K_M验证 $C_{K_M}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_B,Y,C_{(b,y)})$ 且 $C_{(b,y)}={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,B,A,Y,X,K_A,Y^x,d,c,\mathrm{pub})}(\mathrm{sid},I_B,I_A,B,A,Y,X,d,c).$ 验证不成功，“A”终止运行。

会话密钥计算：用户“A”和“B”计算会话密钥：K＝KDF(g^xy，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))。

方法实现-3：3-轮抗拒绝服务攻击、且显式密钥及身份确认的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x， $C_x={\mathrm{MAC}}_{K_1}(\mathrm{sid},c,I_A,X)$ }，其中A＝g^a，B＝g^b，x从Z_q中随机选取。MAC私钥K₁的计算如下：c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，B^cx，c，pub)。“A”发送完第一轮信息后，将x删除，但保留K₁和c。

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性。如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _q中的元素。任何验证不成功，“B”拒绝继续运行。否则，进入下一轮。

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y，C_(b，y)＝MAC_K(sid，I_B，c)， $C_b={\mathrm{MAC}}_{K_1}(\mathrm{sid},I_B,B,Y,C_{(b,y)})$ }，其中y从Z_q中随机选取；令d＝H(c，K₁，Y)，会话密钥K由H_K(sid，I_A，I_B，A，B，X，Y，c，d，A^dy)导出。发送完第二轮信息后，用户“B”将c，d，y，X^cb，A^dy，K₁删除，仅保留会话密钥K。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性。然后，验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素，由H_K(sid，I_A，I_B，A，B，X，Y，c，d，Y^da)导出会话密钥K并验证C_(b，y)的正确性。任何验证不成功，“A”终止运行。否则，删除c，d，K₁，Y^da，仅保留会话密钥K，并进入下一轮。

第三轮，从“A”到“B”：{sid，C_a＝MAC_K(sid，c，I_A)}；收到“A”发送的信息后，“B”验证C_a的正确性。验证不成功，“B”终止运行。

方法实现-4：4-轮抗内部状态泄漏和拒绝服务攻击、且显式密钥及身份确认的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x， $C_x={\mathrm{MAC}}_{K_1}(\mathrm{sid},c,I_A,X)$ }，其中A＝g^a，B＝g^b，x从Z_q中随机选取。MAC私钥K₁的计算如下：c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，B^cx，c，pub)。

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性；如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。任何验证不成功，“B”拒绝继续运行；否则，进入下一轮。

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y，C_(X，b，y)＝MAC_K2(sid，I_B，c)， $C_b={\mathrm{MAC}}_{K_1}(\mathrm{sid},I_B,B,Y,C_{(X,b,y)})$ }，其中y从Z_q中随机选取。令f＝H(c，Y)，MAC私钥K₂＝H_K(sid，I_B，I_A，B，A，Y，X，X^cb，X^fy，f，c，pub)。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性。然后，验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素；计算f＝H(c，Y)，d＝H(c，f，K₁)，Y^fx，Y^da及K₂＝H_K(sid，I_B，I_A，B，A，Y，X，B^cx，Y^fx，f，c，pub)并验证C_(X，b，y)的正确性。任何验证不成功，“A”终止运行。否则，计算e＝H(c，d，f，K₁，K₂)及会话密钥K＝KDF(B^ea+cxY^da+fx，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，e，f，pub))。将所有的内部状态(包括x，c，d，e，f，K₁，K₂，B^cx，Y^fx，Y^da等)删去，仅保留会话密钥K，并进入下一轮。

第三轮，从“A”到“B”：{sid，C_(K，a，x)＝MAC_K(sid，c，I_A)}。收到“A”发送的信息后，“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，计算会话密钥K＝KDF(A^eb+dyX^cb+fy，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，e，f，pub))并验证C_(K，a，x)的正确性。验证不成功，“B”终止运行；否则，将所有的内部状态(包括y，c，d，e，f，K₁，K₂，X^cb，X^fy，A^eb+dy等)删去，仅保留会话密钥K，并进入下一轮。

第四轮，从“B”到“A”：{sid，C_(K，b，y)＝MAC_K(sid，c，I_A)}。收到“B”发送的信息后，“A”利用会话密钥K验证C_(K，b，y)的正确性；验证不成功，“B”终止运行。

本发明中，方法实现-1、方法实现-2、方法实现-3及方法实现-4中蕴含如下子方法：

方法实现-5：基于离散对数的不可锻造安全的2-轮零知识身份验证方法：设公共输入为(p，q，g，A＝g^a)，其中a从Z_q随机选取的；A＝g^a为用户“A”的公钥，用户“A”向用户“B”证明其知道私钥a。

第一轮，从“B”到“A”：{sid，I_B，Y＝g^y，C_y}，其中，y从Z_q中随机选取。令c＝H(sid，I_B，I_A，Y，A，pub)，C_y有如下计算方法：

(1). $C_y={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,Y,A,A^{\mathrm{cy}},c,\mathrm{pub})}(c,I_B,\mathrm{pub}).$

(2).C_y＝H_K(sid，I_B，I_A，Y，A，A^cy，c，pub)。

(3).C_y＝A^cy(不推荐使用)。

第二轮，从“A”到“B”：用户“A”检查Y为非1阶q的Z^* _p中的元素，利用Y^ca检查C_y的正确性。发送{sid，I_A，A，C_a}。令d＝H(sid，I_A，I_B，A，Y，c，pub)，C_a有如下计算方法：

(1). $C_a={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,Y,A,Y^{\mathrm{ca}},c,\mathrm{pub})}(d,c,\mathrm{pub}).$

(2). $C_a={\mathrm{MAC}}_{H_K(\mathrm{sid},I_A,I_B,A,Y,Y^{\mathrm{da}},d,c,\mathrm{pub})}(I_A,c,\mathrm{pub}).$

(3).C_a＝H_K(sid，I_A，I_B，A，Y，Y^da，d，c，pub)。

(4).C_a＝Y^da(不推荐使用)。

收到“A”发送的第二轮信息后，“B”检查“A”的身份、公钥及证书，并利用y(即：A^cy或A^dy)检查C_a的有效性。检查通过，则接受；否则，拒绝。

本发明中，方法实现-1、方法实现-2、方法实现-3及方法实现-4可以有如下变体：

(1).方法实现-1中K_A及K_B的生成方式有权利要求1中所描述的6种会话密钥的生成方式。

(2).对于方法实现-1会话密钥计算的完整形式，将K_A＝B^ea+cxY^da+fx换成K_A＝H_K(B^ea+cx，Y^da+fx)；将K_B＝A^dy+ebX^cb+fy换成K_B＝H_K(X^cbA^eb，X^fyA^dy)；其中，c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，e＝H(c)，d＝H(c，e，B^cx+ea)＝H(c，e，X^cbA^eb)，f＝(c，d，e)。

(3).对于方法实现-1会话密钥计算的完整形式、在线计算高效形式及方法实现-4，为了提高效率或防范拒绝服务攻击，用户“A”在1天至1周内，重复使用相同的DH密钥成分X；同样，用户“B”在1天至1周内，重复使用相同的DH密钥成分Y；X和Y需定期进行更新，即：定期随机生成新的DH密钥成分；注意，公钥证书颁发机构CA并不需要对DH密钥成分X和Y进行认证。这导致一个非交互的、更高效、且适合抵抗拒绝服务攻击的密钥交换协议的变体。但是安全性可能会降低。

(4).方法实现-2中的会话密钥有权利要求2中所描述的3种关于会话密钥的生成方式；具体来讲，会话密钥可以直接由K_A＝B^cx+da＝X^cbA^db＝K_B导出，或者将K_A＝B^cx+da＝X^cbA^db＝K_B作为对称加密算法的密钥加密一个随机串r并由r导出会话密钥，或者r直接作为会话密钥。

(5).在方法实现-2中，将C_(b，y)替换成 ${\mathrm{MAC}}_{K_M}(\mathrm{sid},I_B,I_A,B,A,Y,X,H(K_B,X^y),d,c,\mathrm{pub}).$

(6).将方法实现-3中的K₁换成K₁＝H_K(B^cx+ea)＝H_K(X^cbA^eb)，将会话密钥K换为K＝H_K(B^ea+cxY^da+fx)＝H_K(A^eb+dyX^cb+fy)；其中，c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，e＝H(c)，d＝H(c，e，B^cx+ea)＝H(c，e，X^cb A^eb)，f＝H(c，d，e)。

(7).方法实现-3有如下变体：将第二轮的MAC密钥K换为H_K(X^cb，X^y)，将第三轮的MAC密钥K换为H_K(Y^a，Y^x)，会话密钥由g^xy导出。

(8).方法实现-4中，K₂换为K₂＝H_K(K₁，X^fy)＝H_K(K₁，Y^fx)或者K₂＝H_K(X^cbX^fy)＝H_K(B^cxY^fx)。

(9).方法实现-4有如下变体：将Y作为用户“B”的定期更换的短期公钥；或者，用户“B”作为协议初始者先发送Y，然后用户“A”再发送X；此时，MAC密钥K₁换为K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，Y^cx，c，pub)。

(10).当不需考虑抵抗拒绝服务攻击时，方法实现-3和方法实现-4中的C_b省去。

(11).会话密钥扩展方法：对于不同的函数F，K_A＝F(B^cx，Y^da，B^ea，Y^fx)，K_B＝F(X^cb，A^dy，A^eb，X^fy)；此时，c，d，e，f的输入可以包含F输入的部分甚至全部：K_A＝H_K(B^cx，Y^da)，K_B＝H_K(X^cb，A^dy)，d＝H(c，B^cx)。

(12).在所有方法及方法实施中，令c＝H(sid，I_A，A，I_B，B，X，pub)，d＝H(sid，I_B，B，I_A，A，Y，pub)，e＝H(c)或e＝H(d)，f＝1。

(13).在所有方法及方法实施中，用户“A”在第一轮额外发送一个随机数r_A，用户“B”在第二轮额外发送一个随机数r_B，并将r_A和r_B作为哈西函数H与H_K输入的一部分；这时，(r_A，r_B)起到sid的作用。

(14).在所有方法及方法实施中，将部分或全部MAC去掉，只用哈西函数进行绑定；或者，MAC的输入只保留用户角色标示；但是，如果用户“A”和“B”使用相同的MAC私钥时候(比如，协议-2中的C_(a，x)与协议-3中的C_x与C_b)，或者MAC的私钥同时也是会话密钥(比如协议-3)时，不可这样做。

(15).在所有具有MAC的方法实施中，仅仅将pub作为以会话密钥作为私钥的MAC的输入的一部分，而不作为H，H_K及KDF的输入。

(16).在所有方法及方法实施中，将部分或全部MAC换成对称加密算法。

(17).在所有方法及方法实施中，用户的角色，即初始者和响应者，直接用0和1标示。

具体实施方式

假设，具有身份I_A的用户“A”的公钥是A＝g^a并具有证书CERT_A，具有身份I_B的用户“B”的公钥是B＝g^b并具有证书CERT_B。证书CERT_A指的是CA对A的身份I_A及其公钥A＝g^a的一个电子签名，其余同。我们假设A为方法运行初始者(initiator)，B为方法运行响应者(responder)。方法运行的输出(即密钥)由一个密钥导出函数(key derivation functionKDF)来定义K＝KDF(K_A，·)＝KDF(K_B，·)。KDF是一个二元函数，K_A或K_B作为一元，另一元包含与发明方法运行相关的公开信息并可随应用的不同而不同。KDF可随应用的不同而不同。常用的例子为，KDF为一个伪随机函数(pseudorandom function PRF)。比如，对于α＝K_A，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)， $\mathrm{KDF}(\mathrm{\α},\mathrm{\β})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub}).$ 注意，根据关于哈西函数表示方法的约定，这里H_K(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))表示的是H_K(K_A‖sid‖I_A‖g^a‖I_B‖g^b‖X‖Y‖c‖d‖pub)，其中，“‖”表示的是字符串的顺序连接(即，串联)。

在下述发明方法具体实施中，密钥导出函数所用的伪随机函数PRF及消息认证码MAC均采用由IETF(Internet Engineering Task Force)所公布的第2104号互联网意见征求文档(Internet RFC 2104)中所描述的HMAC认证码。HMAC只需作两个哈西运算，并被证明既是消息认证码又是伪随机函数。在发明方法具体实施中，HMAC由SHA-1哈西函数来实现。在下述发明方法具体实施中，密钥导出函数为： $\mathrm{KDF}(\mathrm{\α},\mathrm{\β})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub})={\mathrm{HMAC}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub}),$ 其中α＝K_A＝K_B，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)。会话标示符sid可省去(由DH密钥成分(X，Y)担当)，或由用户“A”和“B”发送的两个随机串的串联担当。一般而言，对于隐式密钥和身份确认的密钥交换协议，会话标示符sid可省去，而由DH密钥成分(X，Y)担当sid的作用；对于显式密钥及身份确认的密钥交换协议，会话标示符sid用户“A”和“B”发送的两个随机串的串联担当。

在发明方法的具体实施中，可以有如下提高计算效率的方法：DH密钥成分X和Y可以在方法运行之前离线计算；因为用户的公钥固定，关于用户公钥A和B的指数运算仅相当于约0.2个指数运算；对于任何一个阶为q的Z^* _p中的元素(比如A，B，X，Y)，关于同一个元素的两个不同的指数运算(比如X^cb，X^fy)相当于1.5个指数运算；我们注意到抵抗拒绝服务攻击和这些提高计算效率的方法在某些环境和应用中可能会冲突。具体选择哪种计算方式要根据用户对抵抗拒绝服务攻击和计算效率的不同优先级来决定。

方法实现-1的具体实施方式：

方法实现-1在具体实施时，会话标示符sid可省去，而由DH密钥成分(X，Y)担当sid的作用。

第一轮，从“A”到“B”：{I_A，A，CERT_A，X＝g^x(mod p)}，其中x从Z_q中随机选取。X称为“A”的DH密钥成分。

收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。验证不成功，“B”拒绝继续运行，否则，进入下一轮。

第二轮，从“B”到“A”：{I_B，B，CERT_B，Y＝g^y}，其中，y从Z_q中随机选取且Y称为“B”的DH成分。

收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶为q的Z^* _p中的元素。验证不成功，“A”终止运行。

会话密钥计算的在线计算高效形式：用户“A”和“B”计算：c＝H(I_A‖A‖X‖I_B‖B‖pub)，d＝H(I_A‖A‖I_B‖B‖Y‖pub)，f＝H(c‖d)。其中pub包含与协议运行相关的其它公开信息，比如：用户“A”和“B”的证书、IP地址等。为了提高计算效率，用户“A”可以事先离线计算c、X＝g^x和B^a+cx mod q mod p，用户“B”可以事先离线计算d、Y＝g^y和A^b+dy mod q mod p，从而提高在线计算的效率。最后，用户“A”计算K_A＝B^a+cx mod qY^{da+fx mod q} mod p，并利用密钥导出函数KDF计算出会话密钥： $K={\mathrm{HMAC}}_{H_K\left(K_A\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$ 用户“B”计算K_B＝A^b+dy mod q X^{cb+fy mod q} mod p， $K={\mathrm{HMAC}}_{H_K\left(K_B\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$

会话密钥计算的可抵赖形式：在会话密钥计算的可抵赖形式中，K_A与K_B如下计算：K_A＝B^cx mod qY^{da+fx mod q}，K_B＝A^dy mod qX^{cb+fy mod q}。其中c＝H(I_A‖A‖X‖I_B‖B‖pub)，d＝H(I_A‖A‖I_B‖B‖Y‖pub)，f＝H(c‖d)。用户“A”事先离线计算c、X＝g^x和B^cx mod q，用户“B”事先离线计算d、Y＝g^y和A^dy mod q，从而可进一步提高在线计算的效率。

会话密钥计算的完整形式：在会话密钥计算的完整形式中，K_A与K_B如下计算：K_A＝B^{ea+cx mod q}Y^{da+fx mod q} mod p，K_B＝A^{eb+dy mod q}X^{cb+fy mod q} mod p，其中c＝H(I_A‖g^a‖I_B‖g^b‖X‖Y‖pub)，d＝H(c)，f＝H(c‖d)，e＝H(c‖d‖f)。

方法实现-2的具体实施方式：

方法实现-2在具体实施时，会话标示符sid是由方法运行两方发送的两个随机串r_B与r_A的合并连接(即：串联)构成。这意味着，方法实现-2在具体实施中需要3轮的交互。

第一轮，从“B”到“A”：{r_B，I_B，B，Cert_B}，其中，r_B是一个32位随机0-1串。“A”验证r_B的有效性(即：r_B是一个32位0-1串)，验证用户“B”的身份、公钥及证书。任何验证失败，用户“A”终止方法运行。否则，进入下一轮。

第二轮，从“A”到“B”：{r_A，I_A，A，CERT_A，X＝g^x， $C_{(a,x)}={\mathrm{HMAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_A\right|\left|I_B\right|\left|A\right|\left|B\right|\left|X\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)$ }，其中r_A是一个32位随机0-1串，A＝g^a，B＝g^b，x从Z_q中随机选取，c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖pub)，d＝H(c)。MAC私钥K_M的计算如下：K_A＝B^{cx+da mod q} mod p， $K_M={\mathrm{HMAC}}_{H_K\left(K_A\right|\left|r_B\right|\left|r_A\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$ 收到“A”发送的信息后，“B”验证r_A的有效性(即：r_A是一个32位0-1串)，验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；计算K_B＝X^cb mod q A^db mod q mod p和 $K_M={\mathrm{HMAC}}_{H_K\left(K_B\right|\left|r_B\right|\left|r_A\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right)$ 并验证 $C_{(a,x)}={\mathrm{HMAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_A\right|\left|I_B\right|\left|A\right|\left|B\right|\left|X\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)$ 的正确性。验证不成功，“B”拒绝继续运行方法，否则，进入下一轮。

第三轮，从“B”到“A”：{Y＝g^y， $C_{K_M}={\mathrm{HMAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|Y\right|\left|C_{(b,y)}\right),$ $C_{(b,y)}={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|\left|K_B\right|\left|X^y\right|\left|d\right|\left|c\right|\left|\mathrm{pub}\right)}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|\left|d\right|\left|c\right)$ }，其中y从Z_q中随机选取。收到“B”发送的信息后，“A”验证Y为非1且阶q的Z^* _p中的元素，并利用x、K_A，和K_M验证 $C_{K_M}={\mathrm{HMAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|Y\right|\left|C_{(b,y)}\right)$ 且 $C_{(b,y)}={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|\left|K_A\right|\left|Y^x\right|\left|d\right|\left|c\right|\left|\mathrm{pub}\right)}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|\left|d\right|\left|c\right).$ 验证不成功，“A”终止方法运行。

会话密钥计算：用户“A”和“B”计算会话密钥： $K={\mathrm{HMAC}}_{H_K\left(g^{\mathrm{xy}}\right|\left|r_B\right|\left|r_A\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$

方法实现-3的具体实施方式：

方法实现-3在具体实施时，会话标示符sid是由方法运行两方发送的两个随机串r_B与r_A的合并连接构成。这意味着，方法实现-3在具体实施中需要4轮的交互。

第一轮，从“B”到“A”：{r_B，I_B，B，Cert_B}，其中r_B是一个32位随机0-1串，B＝g^b为用户“B”的公钥。“A”验证r_B的有效性(即：r_B是一个32位0-1串)，验证用户“B”的身份、公钥及证书。任何验证失败，用户“A”终止方法运行；否则，进入下一轮。

第二轮，从“A”到“B”：{r_A，I_A，A，CERT_A，X＝g^x， $C_x={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|c\right|\left|I_A\right|\left|X\right)$ }，其中r_A是一个32位随机0-1串，A＝g^a，B＝g^b，x从Z_q中随机选取。HMAC私钥K₁的计算如下：c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖pub)，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖B^cx‖c‖pub)。“A”发送完第一轮信息后，将x删除，但保留K₁和c。

收到用户“A”发送的信息后，用户“B”验证r_A的有效性(即：r_A是一个32位0-1串)。依次计算c，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖B^cx‖c‖pub)，验证C_x的正确性。如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。任何验证不成功，“B”拒绝继续运行方法；否则，进入下一轮。

第三轮，从“B”到“A”：{r_B‖r_A，Y＝g^y，C_(b，y)＝HMAC_K(r_B‖r_A‖I_B‖c)， $C_b={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|B\right|\left|Y\right|\left|C_{(b,y)}\right)$ }，其中y从Z_q中随机选取。令d＝H(c‖K₁‖Y)，会话密钥 $K={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_A\right|\left|I_B\right|\left|g^a\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\right|A^{\mathrm{dy}}\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$ 发送完第二轮信息后，用户“B”将c，d，y，X^cb，A^dy，K₁删除，仅保留会话密钥K。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性；然后，验证Y为非1且阶q的Z^* _p中的元素，计算 $K={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_A\right|\left|I_B\right|\left|g^a\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\right|Y^{\mathrm{da}}\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right)$ 并验证C_(b，y)的正确性。任何验证不成功，“A”终止方法运行；否则，删除c，d，K₁，Y^da，仅保留会话密钥K，并进入下一轮。

第四轮，从“A”到“B”：{r_B‖r_A，C_a＝HMAC_K(r_B‖r_A‖c‖I_A)}。收到“A”发送的信息后，“B”利用K验证C_a的正确性；验证不成功，“B”终止方法运行。

方法实现-4的具体实施方式：

方法实现-4在具体实施时，会话标示符sid是由方法运行两方发送的两个随机串r_B与r_A的合并连接构成。这意味着，方法实现-4在具体实施可进行5轮的交互。下述方法生产-4的具体实施是针对用户对计算效率有优先需求时的情形。

第一轮，从“B”到“A”：{r_B，I_B，B，Cert_B}，其中r_B是一个32位随机0-1串，B＝g^b是用户“B”的公钥。“A”验证r_B的有效性(即：r_B是一个32位0-1串)，验证用户“B”的身份、公钥及证书。任何验证失败，用户“A”终止方法运行；否则，进入下一轮。

第二轮，从“A”到“B”：{r_A，I_A，A，CERT_A，X＝g^x， $C_x={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|c\right|\left|I_A\right|\left|X\right)$ }，其中A＝g^a，B＝g^b，x从Z_q中随机选取。MAC私钥K₁如下计算：c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖pub)，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖B^cx‖c‖pub)。

收到用户“A”发送的信息后，用户“B”计算c，Y＝g^y(y从Z_q中随机选取)，f＝H(c‖Y)，(X^cb，X^fy)，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖X^cb‖c‖pub)并验证C_x的正确性。如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。任何验证不成功，“B”拒绝继续运行；否则，进入下一轮。

第三轮，从“B”到“A”：{r_B‖r_A，Y＝g^y，C_(X，b，y)＝HMAC_K2(r_B‖r_A‖I_B‖c)， $C_b={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|B\right|\left|Y\right|\left|C_{(X,b,y)}\right)$ }，其中y从Z_q中随机选取，MAC私钥K₂＝H_K(r_B‖r_A‖K₁‖X^fy‖f‖c)。发送完第三轮信息后，用户“B”计算d＝H(c‖f‖K₁)，e＝H(c‖d‖f‖K₁‖K₂)、A^eb+dy、并计算会话密钥 $K={\mathrm{HMAC}}_{H_K\left(A^{\mathrm{eb}+\mathrm{dy}}{X}^{\mathrm{cb}+\mathrm{fy}}\right)}\left(r_B\right|\left|r_A\right|\left|c\right|\left|d\right|\left|e\right|\left|f\right);$ 用户“B”将所有内部状态，包括(y，K₁，K₂，c，d，e，f，(X^cb，X^fy)，A^eb+dy，A^eb+dyX^cb+fy等)，删除，仅保留会话密钥K。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性；然后，“B”验证Y为非1且阶q的Z^* _p中的元素，计算f＝H(c‖Y)，d＝H(c‖f‖K₁)，Y^fx，Y^da，计算K₂＝H_K(r_B‖r_A‖K₁‖Y^fx‖f‖c)并验证C_(X，b，y)的正确性。任何验证不成功，“A”终止方法运行；否则，计算e＝H(c‖d‖f‖K₁‖K₂)、 $K={\mathrm{HMAC}}_{H_K\left(B^{\mathrm{ea}+\mathrm{cx}}{Y}^{\mathrm{da}+\mathrm{fx}}\right)}\left(r_B\right|\left|r_A\right|\left|c\right|\left|d\right|\left|e\right|\left|f\right).$ 用户“A”将所有内部状态，包括(x，K₁，K₂，c，d，e，f，B^cx，Y^fx，Y^da，A^eb+dy，B^ea+cxY^da+fx等)，删除，仅保留会话密钥K，并进入下一轮。

第四轮，从“A”到“B”：{r_B‖r_A，C_(K，a，x)＝HMAC_K(r_B‖r_A‖c‖I_A)}。收到“A”发送的信息后，“B”利用会话密钥K验证C_(K，a，x)的正确性。验证不成功，“B”终止运行；否则，进入下一轮。

第五轮，从“B”到“A”：{sid，C_(K，b，y)＝MAC_K(sid，c，I_A)}。收到“B”发送的信息后，“A”利用会话密钥K验证C_(K，b，y)的正确性；验证不成功，“B”终止方法运行。

方法实现-5的具体实施方式：

方法实现-5在具体实施时，会话标示符sid是由方法运行两方发送的两个随机串r_A与r_B的合并连接构成。在具体实施中，方法实现-5可以用作可抵赖的信息认证(deniableauthentication)协议。具体来讲，将需要认证的信息或文件作为pub的一部分。

设公共输入为(p，q，g，A＝g^a)，其中a从Z_q随机选取的；A＝g^a为用户“A”的公钥，用户B可以没有公钥及证书。用户“A”向用户“B”证明其知道私钥a。当方法实现-5用于可抵赖信息认证时，pub包含需认证的信息或文件。

第一轮，从“A”到“B”：{r_A，I_A，A，CERT_A}，其中r_A是一个32位随机0-1串，A＝g^a，CERT_A是用户“A”的公钥证书。

收到用户“A”发送的信息后，用户“B”验证r_A的有效性(即：r_A是一个32位0-1串)，验证“A”的身份、公钥及证书。任何验证不成功，“B”拒绝继续运行方法；否则，进入下一轮。

第二轮，从“B”到“A”：{r_B，I_B，Y＝g^y，C_y}，其中，r_B是一个32位随机0-1串，y从Z_q中随机选取。令c＝H(r_A‖r_B‖I_B‖I_A‖Y‖A‖pub)，C_y有如下计算方法：

(1). $C_y={\mathrm{HMAC}}_{H_K\left(r_A\right|\left|r_B\right|\left|I_B\right|\left|I_A\right|\left|Y\right|\left|A\right|\left|A^{\mathrm{cy}}\right|\left|c\right|\left|\mathrm{pub}\right)}\left(c\right|\left|I_B\right|\left|\mathrm{pub}\right).$

(2).C_y＝H_K(r_A‖r_B‖I_B‖I_A‖Y‖A‖A^cy‖c‖pub)。

(3).C_y＝A^cy mod q mod p(不推荐使用)。

收到用户“B”发送的信息后，用户“A”验证r_B的有效性(即：r_B是一个32位0-1串)，检查Y为非1阶q的Z^* _p中的元素，并利用Y^ca检查C_y的正确性。任何验证不成功，“B”拒绝继续运行方法；否则，进入下一轮。

第三轮，从“A”到“B”：{r_A‖r_B，C_a}；令d＝H(r_A‖r_B‖I_A‖I_B‖A‖Y‖c‖pub)，C_a有如下计算方法：

(1). $C_y={\mathrm{HMAC}}_{H_K\left(r_A\right|\left|r_B\right|\left|I_B\right|\left|I_A\right|\left|Y\right|\left|A\right|\left|Y^{\mathrm{ca}}\right|\left|c\right|\left|\mathrm{pub}\right)}\left(d\right|\left|c\right|\left|\mathrm{pub}\right).$

(2). $C_a={\mathrm{MAC}}_{H_K\left(r_A\right|\left|r_B\right|\left|I_A\right|\left|I_B\right|\left|A\right|\left|Y\right|\left|Y^{\mathrm{da}}\right|\left|d\right|\left|c\right|\left|\mathrm{pub}\right)}\left(I_A\right|\left|c\right|\left|\mathrm{pub}\right).$

(3).C_a＝H_K(r_A‖r_B‖I_A‖I_B‖A‖Y‖Y^da‖d‖c‖pub)。

(4).C_a＝Y^da mod q mod p(不推荐使用)；。

收到“A”发送的信息后，“B”计算d，并利用y(即：A^cy或A^dy)检查C_a的有效性。检查通过，则接受；否则，拒绝。

方法变体的具体实施方式：

在具体实施和应用中，可对方法实现-1、方法实现-2、方法实现-3及方法实现-4作如下一项或多项改造：

(1).方法实现-1中K_A及K_B的生成方式可以有权利要求1中所描述的6种关于会话密钥的生成方式。

(2).对于方法实现-1会话密钥计算的完整形式，将K_A＝B^ea+cxY^da+fx换成K_A＝H_K(B^ea+cx‖Y^da+fx)；将K_B＝A^eb+dyX^cb+fy换成K_B＝H_K(X^cbA^eb‖X^fyA^dy)。其中c＝H(I_A‖g^a‖I_B‖g^b‖X‖Y‖pub)，e＝H(c)，d＝H(c‖e‖B^cx+ea)＝H(c‖e‖X^cbA^eb)，f＝(c‖d‖e)。这可增强协议的安全性。

(3).对于方法实现-1会话密钥计算的完整形式、在线计算高效形式及协议-4，为了提高效率或防范拒绝服务攻击，用户“A”可以在一个较短的时间段内，比如1天或1周内，重复使用相同的DH密钥成分X。同样，用户“B”可以在一个较短的时间段内，比如1天或1周内，重复使用相同的DH密钥成分Y。但需注意，X和Y需定期(不超过1周)进行更新，即：定期随机生成新的DH密钥成分，以保证安全性。此时，公钥证书颁发机构CA并不需要对DH密钥成分X和Y进行认证。这导致一个非交互的、更高效、且适合抵抗拒绝服务攻击的密钥交换协议的变体。但是安全性可能会降低。

(4).方法实现-1隐式身份及密钥确认的2-轮协议可以转化为3轮的显式身份及密钥确认协议。为了进行身份及密钥确认，用户“B”和“A”可以用导出的会话密钥K作为消息认证码HMAC的密钥对与方法运行相关的公开信息，sid，I_A，I_B，A，B，X，Y，c，d，pub等，进行认证。具体来讲，方法运行响应者B在第二轮认证(sid，I_B，I_A，B，A，Y，X，d，c，pub)；方法运行初始者A在另加的第三轮进行认证(sid，I_A，I_B，A，B，X，Y，c，d，pub)。这导致一个3-轮的方法实施变体。此时，会话标示符sid可以是用户“B”和“A”交换的两个随机串r_B与r_A的合并连接，即：r_B‖r_A。

(5).方法实现-2中的会话密钥可以有权利要求2中所描述的3种关于会话密钥的生成方式。具体来讲，会话密钥可以直接由K_A＝H_K(B^cx+da)＝H_K(X^cbA^db)＝K_B导出；或者将K_A＝H_K(B^cx+da)＝H_K(X^cbA^db)＝K_B作为对称加密算法的密钥加密一个随机串r，并由r导出(或直接作为)会话密钥。

(6).在方法实现-2中，C_(b，y)可以替换成

${\mathrm{HMAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|\left|H\left(K_B\right|\left|X^y\right)\right|\left|d\right|\left|c\right|\left|\mathrm{pub}\right).$

(7).将方法实现-3中的K₁换成K₁＝H_K(B^cx+ea)＝H_K(X^cbA^eb)，将会话密钥K换为K＝H_K(B^cx+eaY^da+fx)＝H_K(A^eb+dyX^cb+fy)。其中，c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖pub)，e＝H(c)，d＝H(c‖e‖B^cx+ea)＝H(c‖e‖X^cbA^eb)，f＝H(c‖d‖e)。

(8).方法实现-3有如下变体：将第二轮的MAC密钥K换为H_K(X^cb‖X^y)，将第三轮的MAC密钥K换为H_K(Y^a‖Y^x)，会话密钥由g^xy导出。

(9).方法实现-4中，K₂也可以换为K₂＝H_K(K₁‖X^fy)＝H_K(K₁‖Y^fx)或者K₂＝H_K(X^cbX^fy)＝H_K(B^cxY^fx)。

(10).方法实现-4有如下变体：将Y作为用户“B”的定期更换的短期公钥(或，用户“B”作为协议初始者先发送Y，然后用户“A”再发送X)。此时，MAC密钥K₁换为K₁＝H_K(sid‖I_A‖g^a‖I_B‖g^b‖X‖Y^cx‖c‖pub)。

(11).当不需考虑抵抗拒绝服务攻击时，方法实现-3和方法实现-4中的C_b可省去。

(12).会话密钥扩展方法：对于不同的(四元)函数F，K_A＝F(B^cx，Y^da，B^ea，Y^fx)，K_B＝F(X^cb，A^dy，A^eb，X^fy)。此时，c，d，e，f的输入可以包含F输入的部分甚至全部。比如：K_A＝H_K(B^cx‖Y^da)，K_B＝H_K(X^cb‖A^dy)，d＝H(c‖B^cx)。(方法实现-1、方法实现-2与方法实现-3采用的会话密钥生成算法相当于函数F是关于其全部或部分输入的乘法函数。)

(13).在所有方法及方法实现中，为了提高计算效率，可令c＝H(sid‖I_A‖A‖I_B‖B‖X‖pub)，d＝H(sid‖I_B‖B‖I_A‖A‖Y‖pub)，e＝H(c)或e＝H(d)，f＝1。

(14).在所有的方法及方法实现中，用户“A”在第一轮额外发送一个随机数r_A，用户“B”在第二轮额外发送一个随机数r_B，并将r_A和r_B作为哈西函数H与H_K输入的一部分。这时，r_A‖r_B或r_B‖r_A起到会话标示符sid的作用。

(15).在所有的方法及方法实现中，将部分或全部HMAC去掉，只用哈西函数进行绑定；或者，HMAC的输入只保留用户角色标示。但是，如果用户“A”和“B”使用相同的HMAC私钥时候(比如，方法实现-2中的C_(a，x)与

，方法实现-3及方法实现-4中的C_x与C_b)，或者HMAC的私钥同时也是会话密钥(比如方法实现-3)时，不可这样做。

(16).在所有具有MAC的方法实现中，为了提高计算效率，可仅仅将pub作为(以会话密钥作为私钥的)MAC的输入一部分，而不作为H，H_K及KDF的输入。

(17).在所有的方法及方法实现中，将部分或全部HMAC换成对称加密算法；

(18).在所有的协议中，用户的角色，即初始者或响应者，也可直接用0，1标示；

在协议的具体实施和应用中，用户可以根据对效率、安全、隐私保护、及抵抗拒绝服务攻击等的不同需求和优先级来选择相应的方法实现及变体。具体来讲，方法实现-1的会话密钥在线高效生成形式可提供几乎最优的在线计算效率。方法实现-1的会话密钥生成完整方式及变体(2)和(4)，以及方法实现-4适合于提供更强的安全性；而变体(3)适合于满足用户对高效率及抵抗拒绝服务攻击的需求。方法实现-2主要满足用户对更高效率的要求。方法实现-3适合于保护用户隐私及抵抗拒绝服务攻击。变体(8)、(9)、(10)、(11)和(13)可一定程度上提高方法实现-3和方法实现-4的效率。

Claims (13)

1.一种在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于：

发明方法的参数和工作环境为：

(1).系统参数：(p，q，g，H，H_K，c，d，e，f，MAC)，其中p和q为大素数，并且q能整除p-1，g是一个Z^* _p中阶为q的元素，使得在Z^* _p中由g定义的子群上离散对数DL及计算Diffie-Hellman CDH问题是难的；MAC是一个消息认证码算法；所有的指数运算及不在指数上的乘法运算是mod p运算，加法及指数上的乘法为mod q运算；这里，Z^* _p＝{1，2，…，p-1}；H和H_K是从{0，1}^*→{0，1，2，…，q-1}的哈西函数；c，d，e，f为{0，1}^*→{0，1，2，…，q-1}的函数；为增加计算速度，H，c，d，e，f的输出长度为对于字符串s₁，…，s_k，k＞1，H(s₁，s₂，…，s_k)表示的是：将s₁，…，s_k用二进制0-1串来表示，然后将所有的0-1串顺序连接串联起来，最后将串联后得到的0-1串作为H的输入；

(2).除非有特别说明，具有身份ID I_A的用户“A”有一个公钥A＝g^a，其中a由用户“A”在Z_q中随机选取；相应地，具有ID I_B的用户“B”的公钥记为B＝g^b，以此类推；这里，Z_q＝{0，1，2，…，q-1}；

(3).发明方法基于Diffie-Hellman密钥交换协议；记X＝g^x为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数；记Y＝g^y为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数；

(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥进行可公开验证的绑定；绑定用CA的电子签名实现；绑定时，CA验证公钥为Z^* _p中阶为q且非1的元素；用户“A”的证书记为CERT_A；

(5).发明方法的每一次运行记为一个会话；假定发明方法的每一次运行有一个会话标示号：sid；sid是一个字符串，用于标记发明方法的并发运行；sid的制定和协商随协议的运行环境不同而有所变化；sid包含在发明方法运行之前用户交换的信息或交换信息的哈西值；

(6).与发明方法运行相关的其它信息pub：除了sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y外，其它与发明方法运行相关的信息用pub来表示；pub是一个字符串，是用户的IP地址、公钥证书、其它需要认证的信息、时间戳的串联；

发明方法运行如下：用户“A”及“B”相互交换它们各自的DH密钥成分X＝g^x和Y＝g^y；假设用户“A”为发明方法运行的发起者，用户“B”为发明方法运行的响应者；即：用户“A”在第一轮发送X，在收到X后用户“B”在第二轮发送Y；

将发明方法每一次运行的所有相关信息，包括：sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y，以及其它与该次发明方法运行相关的信息pub，包含：用户的IP地址、公钥证书、其它需要认证的信息和时间戳，用哈西函数H和函数c，d，e，f进行承诺绑定；一般而言，先用哈西函数H进行绑定，然后将H的输出作为c，d，e，f输入的一部分；并且对于输出不是常数的函数c，d，e，f，其输入和输出相互嵌套和影响，从而提供更强的绑定；对于用户“A”和“B”的私钥a和b，以及它们DH密钥成分X和Y的离散对数x和y，利用哈西函数及c，d，e，f进行掩盖保护，从而提供相对于每一次方法运行的新鲜性和不可锻造安全性；

会话密钥计算方法：会话密钥K由如下值之一导出，其中K_A为用户“A”计算的值，K_B为用户“B”计算的值，K_A等于K_B：

(1).在线计算高效形式：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy；其中，c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)，e＝1或e＝H(sid，I_A，A，I_B，B，pub)，f＝H(c，d)；当d＝H(sid，I_A，A，I_B，B，Y，pub)及e＝1时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算X、c和B^a+cx，用户“B”事先离线计算Y、d和A^b+dy，从而提高在线计算的效率；

(2).可抵赖形式：K_A＝B^cxY^da+fx，K_B＝A^dyX^cb+fy；或K_A＝B^cxY^da，K_B＝A^dyX^cb；其中c＝H(sid，I_A，A，X，I_B，B，pub)或c＝H(sid，I_A，A，X，I_B，B，Y，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)；f＝H(c，d)；这种情况，函数e＝0，会话密钥仅仅由DH密钥成分的离散对数，即x和y，计算出，因此每一个用户均抵赖会话密钥的产生，从而更好地保护用户的隐私；当c＝H(sid，I_A，A，X，I_B，B，pub)及d＝H(sid，I_A，A，I_B，B，Y，pub)时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算X、c和B^cx，用户“B”事先离线计算Y、d和A^dy，从而在保持可抵赖性的基础上进一步提高在线计算的效率；

(3).完整形式：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy；其中函数c，d，e，f的输入和输出相互嵌套和影响：c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)；

(4).基本形式：K_A＝B^a+cxY^da+x，K_B＝A^b+dyX^cb+y，或K_A＝B^ca+xY^a+dx，K_B＝A^cb+yX^b+dy；其中c＝H(sid，I_A，A，X，I_B，B，Y，pub)，d＝H(c)；

(5).简单形式：K_A＝B^cx+da，K_B＝A^dbX^cb；对于这种情形，因为用户“A”计算K_A时候不知道Y，Y不被包含在c，d以及H的输入中；函数c和d的设置有如下情况：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(c)或d＝1；或者，d＝H(sid，I_A，A，X，I_B，B，pub)，c＝H(d)或c＝1；

(6).其他形式：K_A＝B^cx+eaY^da，K_B＝A^dy+ebX^cb；其中e＝1或e＝H(sid，I_A，A，I_B，B，pub)；c＝H(sid，I_A，A，X，I_B，B，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)；

会话密钥K是由H_K和一个密钥导出函数KDF导出；其方法是将H_K(K_A，(sid，A，B，I_A，I_B，X，Y，c，d，e，f，pub))作为一个伪随机函数PRF的随机种子来导出；一个伪随机函数是一个二元函数PRF_α(·)：第一元α是一个随机数，称为PRF的随机种子；·是另外一元，是任意字符串的顺序连接；PRF_α(c，pub)表示的是PRF_α(c‖pub)，其中“c||pub”表示的是字符串c与pub的顺序连接；

身份及密钥确认方法：为了进一步相互确认身份及会话密钥，用户“B”和“A”用导出的会话密钥作为消息认证码MAC的私钥对与发明方法运行相关的公开信息，sid，I_A，I_B，A，B，X，Y，c，d以及用户角色标示，进行认证；方法运行的响应者“B”在第二轮认证(sid，I_B，I_A，B，A，Y，X，d，c，pub)，协议初始者“A”在另加的第三轮进行认证(sid，I_A，I_B，A，B，X，Y，c，d，pub)；

用户角色，即发明方法运行的初始者和响应者的标示方法：

(1).由c，d，e，f的顺序来标示；(c，d)标示方法运行初始者角色，(d，c)标示方法运行响应者角色；这种角色标示方法要求函数c，d的输出不为常数；

(2).由c与用户ID的顺序来标示；(c，I_A)标示方法运行初始者；(I_B，c)标示方法运行响应者。

2.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于具有基于会话密钥计算简单形式的2-轮显式身份及密钥确认的实施方式：

2-轮显式身份及密钥确认的实施方法：为了得到2-轮显式身份及密钥确认的密钥交换协议，基于会话密钥计算简单形式，有如下三种方法：

(1).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da以及与发明方法运行相关的公开信息导出的密钥作为消息认证码MAC的私钥对与发明方法运行相关的公开信息，sid，I_A，I_B，A，B，X，c，d以及用户角色标示，进行认证；用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性；在第二轮，用户“B”发送Y，并利用由X^y和K_B共同导出的MAC的私钥，H_K(X^y，K_B，sid，I_A，I_B，A，B，X，Y，c，d)，对与发明方法运行相关的公开信息，sid，I_B，I_A，Y，X，d，c以及用户角色标示，进行认证；为了抵抗拒绝服务攻击，用户“B”再使用由K_B＝A^dbX^cb导出的MAC的私钥对第二轮发送的全部或部分信息进行二次MAC认证；最后，会话密钥最终由g^xy导出；

(2).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为消息认证码MAC的私钥对与发明方法运行相关的公开信息，sid，I_A，I_B，X，c，d，进行认证；用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性；在第二轮，用户“B”利用由K_B导出的MAC的私钥对与发明方法运行相关的公开信息，sid，I_B，I_A，Y，X，d，c，进行认证；会话密钥由K_A＝K_B导出；

(3).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为对称加密算法E的私钥加密一个随机数r；在第二轮，B利用由K_B＝A^dbX^cb导出的私钥解密出r，并利用r作为MAC的私钥对与发明方法运行相关的公开信息，sid，I_B，I_A，X，d，c，进行认证；会话密钥由r导出。

3.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于具有基于会话密钥计算可抵赖形式的3-轮显式身份及密钥确认且抵抗拒绝服务攻击的实施方式：

3-轮可抵赖、抗拒绝服务攻击、且显式身份及密钥确认的实施方法：在第一轮用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥作为MAC的私钥对(c，I_A)进行认证；这里，(c，I_A)标示初始者角色；

在第二轮，用户“B”首先利用X^cb验证第一轮MAC值的正确性；然后，“B”计算并发送Y＝g^y，计算d＝H(c，X^cb，Y)，并利用由(A^dy，X^cb)共同导出的会话密钥K对(I_B，c)进行认证；这里，(I_B，c)标示响应者角色；最后，“B”再用由X^cb导出的MAC的私钥对第二轮发送的信息进行二次认证；

在第三轮，用户“A”首先通过B^cx验证第二轮信息的二次认证MAC值的有效性；然后，用户“A”利用由(B^cx，Y^da)共同导出的会话密钥K作为MAC的私钥对(c，I_A)进行认证。

4.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于具有基于会话密钥计算完整形式的4-轮抗内部状态泄漏、拒绝服务攻击且显式密钥及身份确认的实施方式：

4-轮抗内部状态泄漏和拒绝服务攻击、且显式密钥及身份确认的实现方法：在第一轮，用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥K₁作为MAC的私钥对(c，I_A)进行认证；这里，(c，I_A)标示初始者角色；

在第二轮，用户“B”首先由X^cb计算出K₁来验证第一轮MAC值的正确性；然后，“B”计算并发送Y＝g^y，计算f＝H(c，Y)，并利用由(X^cb，X^fy)共同导出的密钥K₂对(I_B，c)进行MAC认证；这里，(I_B，c)标示响应者角色；最后，“B”再用K₁对第二轮发送的信息进行二次认证；

在第三轮，用户“A”首先通过使用K₁验证第二轮信息的二次认证MAC值的有效性；然后，用户“A”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，由B^ea+cxY^da+fx导出会话密钥K，并用K作为MAC的私钥对(c，I_A)进行认证；

在第四轮，用户“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，由A^eb+dyX^cb+fy导出会话密钥K并验证第三轮MAC值的正确性；然后，用户“B”再用会话密钥K对(I_B，c)进行MAC认证。

5.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于方法的实现步骤为：

在下述方法实现步骤描述中，大括号内的值表示发送的信息；注意用户“A”的公钥是A＝g^a并具有CA颁发的证书CERT_A，用户“B”的公钥是B＝g^b并具有CA颁发的证书CERT_B；假设用户“A”为方法运行初始者，用户“B”为方法运行响应者；发明方法运行的输出，即会话密钥K，由一个密钥导出函数KDF来定义K＝KDF(K_A，·)＝KDF(K_B，·)，·表示二元函数KDF中的一个变元；密钥导出函数KDF随应用的不同而不同；

方法实现-1：2-轮隐式身份及密钥确认的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x(mod p)}，其中x从Z_q中随机选取；X称为“A”的DH密钥成分；收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；验证不成功，“B”拒绝继续执行协议，否则，进入下一轮；

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y}；y从Z_q中随机选取且Y称为“B”的DH成分；收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶为q的Z^* _p中的元素；验证不成功，“A”终止协议；

会话密钥计算的在线计算高效形式：用户“A”和“B”计算：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)，f＝H(c，d)；其中pub包含与协议运行相关的其它公开信息；用户“A”事先离线计算X、c和B^a+cx，用户“B”事先离线计算Y、d和A^b+dy，从而提高在线计算的效率；最后，用户“A”计算K_A＝B^a+cxY^da+fx，并利用密钥导出函数KDF计算出会话密钥：K＝KDF(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))；用户“B”计算K_B＝A^b+dyX^cb+fy，K＝KDF(K_B，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))；对于α＝K_A，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)，

其中，PRF是一个伪随机函数；这里，K_H(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))表示的是H_K(K_A‖sid‖I_A‖g^a‖I_B‖g^b‖X‖Y‖c‖d‖pub)，

表示的是“||”表示的是字符串的顺序连接；

会话密钥计算的可抵赖形式：在会话密钥计算的可抵赖形式中，K_A与K_B如下计算：K_A＝B^cxY^da+fx，K_B＝A^dyX^cb+fy；其中c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)，f＝H(c，d)；用户“A”事先离线计算X、c和B^cx，用户“B”事先离线计算Y、d和A^dy；

会话密钥计算的完整形式：在会话密钥计算的完整形式中，K_A与K_B如下计算：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy；其中c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)。

6.根据权利要求2所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于所述2-轮显式身份及密钥确认的实施方式的实现步骤为：

方法实现-2：2-轮显式身份及密钥确认的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x，

}，其中A＝g^a，B＝g^b，x从Z_q中随机选取，c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，d＝H(c)；MAC私钥K_M的计算如下：K_A＝B^cx+da，K_M＝KDF(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))；收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；计算K_B＝X^cbA^db和K_M并验证

的正确性；验证不成功，“B”拒绝继续运行，否则，进入下一轮；

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y， $C_{(b,y)}={\mathrm{MAC}}_{H_k(\mathrm{sid},I_B,I_A,B,A,Y,X,K_B,X^y,d,c,\mathrm{pub})}(\mathrm{sid},I_B,I_A,B,A,Y,X,d,c),$ $C_{K_M}=\mathrm{MA}{C}_{K_M}(\mathrm{sid},I_B,Y,C_{(b,y)})$ }，其中y从Z_q中随机选取；收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素，并利用x、K_A，和K_M验证

且

验证不成功，“A”终止运行；

会话密钥计算：用户“A”和“B”计算会话密钥：K＝KDF(g^xy，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))。

7.根据权利要求3所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于所述3-轮显式身份及密钥确认且抵抗拒绝服务攻击的实施方式的实现步骤为：

方法实现-3：3-轮显式身份及密钥确认且抵抗拒绝服务攻击的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x，

}，其中A＝g^a，B＝g^b，x从Z_q中随机选取；MAC私钥K₁的计算如下：c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，B^cx，c，pub)；

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性；如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；任何验证不成功，“B”拒绝继续运行；否则，进入下一轮；

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y，C_(b，y)＝MAC_K(sid，I_B，c)，

}，其中y从Z_q中随机选取；令d＝H(c，K₁，Y)，会话密钥K由H_K(sid，I_A，I_B，A，B，X，Y，c，d，A^dy)导出；

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性；然后，验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素，由H_K(sid，I_A，I_B，A，B，X，Y，c，d，Y^da)导出会话密钥K并验证C_(b，y)的正确性；任何验证不成功，“A”终止运行；否则，进入下一轮；

第三轮，从“A”到“B”：{sid，C_a＝MAC_K(sid，c，I_A)}；收到“A”发送的信息后，“B”验证C_a的正确性；验证不成功，“B”终止运行。

8.根据权利要求4所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于所述4-轮抗内部状态泄漏、拒绝服务攻击且显式密钥及身份确认的实施方式的实现步骤为：

方法实现-4：4-轮抗内部状态泄漏、拒绝服务攻击且显式密钥及身份确认的方法实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x，

}，其中A＝g^a，B＝g^b，x从Z_q中随机选取；MAC私钥K₁的计算如下：c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，B^cx，c，pub)；

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性；如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；任何验证不成功，“B”拒绝继续运行；否则，进入下一轮；

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y，C_(X，b，y)＝MAC_K2(sid，I_B，c)，

}，其中y从Z_q中随机选取；令f＝H(c，Y)，MAC私钥K₂＝H_K(sid，I_B，I_A，B，A，Y，X，X^cb，X^fy，f，c，pub)；

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性；然后，验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素；计算f＝H(c，Y)，d＝H(c，f，K₁)，Y^fx，Y^da及K₂＝H_K(sid，I_B，I_A，B，A，Y，X，B^cx，Y^fx，f，c，pub)并验证C_(X，b，y)的正确性；任何验证不成功，“A”终止运行；否则，计算e＝H(c，d，f，K₁，K₂)及会话密钥K＝KDF(B^ea+cxY^da+fx，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，e，f，pub))，并进入下一轮；

第三轮，从“A”到“B”：{sid，C_(K，a，x)＝MAC_K(sid，c，I_A)}；收到“A”发送的信息后，“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，计算会话密钥K＝KDF(A^eb+dyX^cb+fy，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，e，f，pub))并验证C_(K，a，x)的正确性；验证不成功，“B”终止运行；否则，进入下一轮；

第四轮，从“B”到“A”：{sid，C_(K，b，y)＝MAC_K(sid，c，I_A)}；收到“B”发送的信息后，“A”利用会话密钥K验证C_(K，b，y)的正确性；验证不成功，“B”终止运行。

9.根据权利要求5、6、7、8之一所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于还包含如下子方法：

方法实现-5：基于离散对数的不可锻造安全的2-轮零知识身份验证方法：设公共输入为(p，q，g，A＝g^a)，其中a从Z_q随机选取的；A＝g^a为用户“A”的公钥，用户“A”向用户“B”证明其知道私钥a；

第一轮，从“B”到“A”：{sid，I_B，Y＝g^y，C_y}；其中，y从Z_q中随机选取；令c＝H(sid，I_B，I_A，Y，A，pub)，C_y有如下计算方法：

(1).

；或者

(2).C_y＝H_K(sid，I_B，I_A，Y，A，A^cy，c，pub)；或者

(3).C_y＝A^cy；

第二轮，从“A”到“B”：用户“A”检查Y为非1阶q的Z^* _p中的元素，利用Y^ca检查C_y的正确性；发送{sid，I_A，A，c_a}；令d＝H(sid，I_A，I_B，A，Y，c，pub)，C_a有如下计算方法：

(1).或者

(2).

或者

(3).C_a＝H_K(sid，I_A，I_B，A，Y，Y^da，d，c，pub)；或者

(4).C_a＝Y^da；

收到“A”发送的第二轮信息后，“B”检查“A”的身份、公钥及证书，并利用A^cy或者A^dy检查C_a的有效性；检查通过，则接受；否则，拒绝。

10.根据权利要求5所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于还有如下的变体：

(1).方法实现-1中K_A及K_B的生成方式有权利要求1中所描述的6种会话密钥的生成方式；

(2).对于方法实现-1会话密钥计算的完整形式，将K_A＝B^ea+cxY^da+fx换成K_A＝H_K(B^ea+cx，Y^da+fx)；将K_B＝A^dy+ebX^cb+fy换成K_B＝H_K(X^cbA^eb，X^fyA^dy)；其中，c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，e＝H(c)，d＝H(c，e，B^cxea)＝H(c，e，X^cbA^eb)，f＝(c，d，e)；

(3).对于方法实现-1会话密钥计算的完整形式、在线计算高效形式及方法实现-4，为了提高效率或防范拒绝服务攻击，用户“A”在1天至1周内，重复使用相同的DH密钥成分X；同样，用户“B”在1天至1周内，重复使用相同的DH密钥成分Y；X和Y需定期进行更新，即：定期随机生成新的DH密钥成分。

11.根据权利要求6所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于还有如下的变体：

(1).方法实现-2中的会话密钥有权利要求2中所描述的3种关于会话密钥的生成方式；具体来讲，会话密钥直接由K_A＝B^cx+da＝X^cbA^db＝K_B导出，或者将K_A＝B^cx+da＝X^cbA^db＝K_B作为对称加密算法的密钥加密一个随机串r并由r导出会话密钥，或者r直接作为会话密钥；

(2).在方法实现-2中，将C_(b，y)替换成

12.根据权利要求7所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于还有如下的变体：

(1).将方法实现-3中的K₁换成K₁＝H_K(B^cx+ea)＝H_K(X^cbA^eb)，将会话密钥K换为K＝H_K(B^ea+cxY^da+fx)＝H_K(A^eb+dyX^cb+fy)；其中，c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，e＝H(c)，d＝H(c，e，B^cx+ea)＝H(c，e，X^cbA^eb)，f＝H(c，d，e)；

(2).方法实现-3有如下变体：将第二轮的MAC密钥K换为H_K(X^cb，X^y)，将第三轮的MAC密钥K换为H_K(Y^a，Y^x)，会话密钥由g^xy导出。

13.根据权利要求8所述的在线计算高效、可抵赖、不可锻造安全的密钥交换方法，其特征在于还有如下的变体：

(1).方法实现-4中，K₂换为K₂＝H_K(K₁，X^fy)＝H_K(K₁，Y^fx)或者K₂＝H_K(X^cbX^fy)＝H_K(B^cxY^fx)；

(2).方法实现-4有如下变体：将Y作为用户“B”的定期更换的短期公钥；或者，用户“B”作为协议初始者先发送Y，然后用户“A”再发送X；此时，MAC密钥K₁换为K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，Y^cx，c，pub)。