CN101060530A - 可抵赖的互联网密钥交换协议 - Google Patents

Abstract

本发明属于密码协议技术领域，具体为一种可抵赖的互联网密钥交换协议，可提供安全、高效且可抵赖的密钥交换服务，用于保护互联网上信息安全并兼顾用户隐私。协议实现方法为：将用户在协议每一次执行中的相关信息、用户关于自己私钥及其DH密钥成分的离散对数的证明等，用哈西函数H进行绑定，进而将H的输出作为消息认证码的密钥对用户的ID认证。用户发送的信息不涉及对方用户的ID及公钥。由用户ID及公钥参与计算的所有信息都可以由对方用户的DH密钥成分的离散对数计算出，而且用户在发送此类信息之前要求对方证明知道其DH密钥成分的离散对数。

Description

可抵赖的互联网密钥交换协议

技术领域

本发明属于密码协议，具体涉及一种可以抵赖的密钥交换协议，可用于互联网协议安全(Internet Protocol Security IPsec)标准中核心部分：互联网密钥交换(InternetKey-Exchange IKE)的替代(兼容)协议或下一代IKE标准的部分基础。提供安全，高效且可抵赖的密钥交换服务，可成为保护互联网上信息安全并兼顾用户隐私的核心密码协议。该协议亦可用于广义的密钥交换，不仅仅局限于用于互联网密钥交换。

背景技术

IKE国际标准已经经历了两代标准，当前标准(即：IKEv2)基于SIGMA密钥交换协议，使用电子签名加认证码(MAC)的方式提供信息的认证和密钥交换协议的安全。(IKEv2和SIGMA都是基于Diffie-Hellman密钥交换的。)但是，由于电子签名是不可抵赖的，因此IKEv2及SIGMA不能很好地保护用户的隐私。在很多应用中，比如互联网上的电子商务中，从隐私保护的角度，用户不希望他们的商务交易信息可以被追查到他们。另外，由于IKE运行在互联网的第三层(IP层)且IP层信息的传递主要使用用户的IP地址来进行，如果密钥交换协议对于用户的IP地址是不可抵赖的，那么，用户使用密钥交换协议所产生的会话密钥在网络高层(比如，应用层)的所有行为是可以追查到该用户的IP地址，因而不利于用户隐私的保护。

Stinson-Wu密钥交换协议需要用户事先知道彼此的身份信息，不能完全抵赖，且有多处安全漏洞。详细来说，Stinson-Wu协议运行如下(协议的初始化信息及用户的公钥同我们的协议)：

第一轮(从A到B)：{X＝g^x，H(g^bx)}。

第二轮(从B到A)：{Y＝g^y，H(g^ay×g^xb)}。

第三轮(从A到B)：{H(g^ya)}。

Stinson-Wu协议存在如下不足：

(1).用户需要在协议执行之前事先知道对方的身份信息(比如公钥)。但是，当协议在互联网IP层运行时，用户的身份可能事先并不能知道或确定，因为IP层信息的处理是通过用户的IP地址来进行的。

(2).Stinson-Wu协议不能做到完全的可抵赖。考虑如下情形：如果(X，g^bx)或(X，H(g^bx))由某个机构给予A，或是由A在网上收集或从Sinson-Wu协议的以前的历史执行中收集而来，那么在这些情形下，B不能否认(抵赖)第二轮信息的发送；类似地，如果(Y，g^ay)由某个机构给予B，或由B在网上收集而来，那么在此种情形下，A不能否认(抵赖)第三轮信息的发送。

(3).Stinson-Wu的模指数计算效率：除去信息的验证运算外，在Stinson-Wu协议中，每个用户需要作3个模指数运算：A计算g^x，g^bx及g^ya，B计算g^y，g^ay×g^xb。

(4).Stinson-Wu协议存在若干安全漏洞：在Stinson-Wu协议中，用户发送的信息并没有与发送该信息的协议的执行(即：会话)进行绑定。另外，A的关于其DH密钥成分X的离散对数x的证明H(g^bx)与关于其私钥的证明H(g^ya)是分开进行的，没有绑定。这使得Stinson-WU协议存在(甚至严重)的安全漏洞。一方面，Sinson-Wu协议不能抵抗反射(reflection)攻击；另一方面，Sinson-Wu协议不能有效抵抗“不知道密钥共享(unknownkey share UKS)”攻击：具体来讲，一个恶意敌手M可以向CA注册一个与用户A同样的公钥(注意，在Stinson-WU协议以及我们发明的协议中，公钥注册并不要求关于相应私钥的证明)。那么，使用UKS攻击，M可以冒充B将所有B发送的信息发送给A从而与A完成一次协议执行(会话)，并使得A以为他与B完成了该会话；而同时M通过使用注册的与A的公钥相同的公钥并将A发送的信息发送给B，又与B完成一个会话使得这两个会话生成了相同的会话密钥。假设A为网上银行客户，B为网上银行服务器，那么所有A做出的关于金钱的交易请求都被银行认为是由M发出的。这显示此类UKS攻击在现实中可能导致危险的后果。

(5).在Stinson-Wu协议中，用户A发送的信息不仅需要自己的公钥参与计算，而且对方B的公钥亦要参与计算；同样地，用户B发送的信息既需要自己的公钥同时亦需要对方A的公钥参与计算。这违背IKE的隐私保护策略，即：一个用户发送的信息不应该包含对方用户的身份信息(比如公钥)。

发明内容

本发明的目的在于提供一种安全、高效且可抵赖的互联网密钥交换协议。

本发明提出的可抵赖的互联网密钥交换协议，可用于互联网协议安全(InternetProtocol Security IPsec)标准中核心部分：互联网密钥交换(Internet Key-Exchange IKE)的替代(兼容)协议或下一代IKE标准的部分基础。提供安全，高效且可抵赖的密钥交换服务，可成为保护互联网上信息安全并兼顾用户隐私的核心密码协议。该协议亦可用于广义的密钥交换，不仅仅局限于用于互联网密钥交换。发明协议具有如下特点：

(1).在密钥交换协议运行的初始，用户彼此可能不知道对方的身份(ID)及其公钥。这利于协议运行在互联网的IP层。注意：IP层信息的传递可能仅仅使用用户的IP地址来进行，而并不知道用户的真实ID信息及公钥。

(2).任何一个用户所发出的信息均不包含对方(peer)用户的ID及公钥信息，这便于协议运行在网络的IP层，对于保护对方用户的隐私而言是公平的。

(3).每一个用户均可有效地抵赖他曾经发出的信息。由用户ID及公钥参与计算的所有信息都可以由对方用户的DH密钥成分的离散对数计算出；而且用户在发送由自己ID及公钥参于计算的信息之前，要求对方先向其证明对方用户的确知道对方用户自己DH密钥成分的离散对数。这可以提供完全的可抵赖安全性，非常有利于用户隐私保护。比如：使用我们发明协议生成的密钥所进行的(可能在网络应用层的)通讯及电子交易都是可以抵赖的。

(4).通过把用户ID、公钥、协议会话信息(比如用户在协议每一次运行中的角色：初始者或响应者等)，及关于自己私钥及DH密钥成分离散对数的证明用哈西函数进行绑定；进而将哈西函数的输出作为信息认证码MAC的密钥对用户的身份ID进行认证从而进一步绑定；我们发明的协议可以有效抵抗各种(甚至不可预期)的并发中间人攻击。特别地，运行我们发明协议所产生的密钥可用于建立安全且可抵赖的通信信道。

本发明的系统工作环境为：

(1).系统参数：(p，q，g，H)，其中p和q为大素数，并且q能整除p-1，g是一个Z^* _p中阶(order)为q的元素，使得在Z^* _p中由g定义的子群上离散对数(discrete logarithmDL)及计算Diffie-Hellman(computational Diffie-Hellman CDH)问题是难的。所有的指数及乘法运算是模(mod)p运算，加法为模(mod)q运算。其中，Z^* _p指的是所有比p小并与p互素的正整数的集合，即Z^* _p＝{1，2，…，p-1}；Z_q＝{0，1，…，q-1}。定义函数f：Z_q→Z^* _p，使得y＝f(w)＝g^w mod p。w称为y的离散对数。我们要求给定随机计算出的y，没有多项式时间算法计算出y的离散对数w，这称为离散对数问题。计算Diffie-Hellman问题指的是：给定随机的g^x与g^y，没有多项式时间算法计算出g^xy；一般而言，对于熟悉本领域的人而言，离散对数问题及计算Diffie-Hellman问题也可以定义在由椭圆曲线或双线性对(bilineartity)定义的群上；(p，q，g，H)既可以是全局或部分全局性的公共参数，亦可以由任意一对执行该协议的用户进行协商。

(2).协议基于Diffie-Hellman密钥交换协议。我们记X＝g^x为用户A的DH密钥成分(Diffie-Hellman key component)，x为DH密钥成分X的离散对书；记Y＝g^y为B的DH密钥成分，y为DH密钥成分Y的离散对数。其中，x与y从Z_q＝{0，1，…，q-1}中随机选取。

(3).每一个用户，比如具有身份(identity ID)“A”的用户A有一个公钥g^a，其中a由A在Z_q中随机选取。相应地，具有ID“B”的用户B的公钥记为g^b，以此类推。

(4).有一个可信的证书权威机构(CA)，颁发证书CERT，用于将用户的身份及其相应公钥，比如：(A，g^a)，进行可公开验证的绑定。一般而言，绑定用CA的电子签名实现。

(5).协议的每一次执行成为一个会话(session)。我们假定协议的每一次执行(即，每一次会话)有一个标示号(session-identifier)：sid，用于标记并发运行的协议执行。sid的制定和协商可随协议的运行环境不同而有所变化：比如sid可以是协议运行两方发送的两个随机串的合并连接；在某些环境中sid可在协议运行过程中产生；在某些环境中当会话可由语境自动标示时sid亦可省略，例如在某些密钥交换应用中(g^x，g^y)可兼当会话标示号。

本发明协议的实现方法：将用户在协议每一次执行(会话)的相关信息(比如：sid、用户角色(协议初始者initiator或协议响应者responder)等)，用户关于自己私钥及其DH密钥成分的离散对数(即：x或y)的证明，用哈西函数H进行绑定，进而将H的输出作为信息认证码(MAC)的密钥对用户的身份ID进行认证从而进一步绑定。每一个用户发送的信息不涉及对方用户的ID及对方用户的公钥。由用户ID及公钥参与计算的所有信息都可以由对方用户的DH密钥成分的离散对数(即x或y)计算出；而且用户在发送由自己ID及公钥参于计算的信息之前，要求对方先向其证明对方用户的确知道对方用户自己的DH密钥成分的离散对数(即：通过使用输入包含Y^x或X^y的哈希函数的输出为MAC密钥的关于自己ID的MAC认证来进行证明)。这可以提供完全的可抵赖安全性。

本发明协议的具体实现步骤：根据IPsec标准中的两种模式：主要模式和进取模式，两个用户A和B之间的协议运行如下。在下述协议描述中，大括号内的值表示发送的信息；注意A的公钥是g^a并具有CA颁发的证书CERT_A，B的公钥是g^b并具有CA颁发的证书CERT_B；假设A为协议运行初始者，B为协议运行响应者；用户在协议每一次执行中的角色由DH密钥成分的顺序标示，即：(X，Y)标示协议的初始者，(Y，X)标示协议的相应者；协议的输出，即会话密钥K，由一个密钥导出函数KDF来定义K＝KDF(H(g^xy)，·)；·表示二元函数KDF中的一个变元；密钥导出函数KDF可随应用的不同而不同；

协议-1：在IKE主要模式下的运行：

第一轮，从A到B：{sid，X＝g^x(mod p)}，其中x从Z_q中随机选取；X称为A的DH密钥成分；收到A发送的信息后，B验证X为非1且阶为q的Z^* _p中的元素；验证不成功，B拒绝继续执行协议，否则，进入下一轮；

第二轮，从B到A： $\{\mathrm{sid},B,Y=g^y,C_{(B,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,X^y)}\left(B\right)\},$ 即：将H(sid，Y，X，X^y)作为MAC的密钥对B的ID进行认证；具体来讲，H的输入是(sid，Y，X，X^y)的合并连接，用sid||Y||X||X^y来表示，下同；y从Z_q中随机选取且Y称为B的DH密钥成分；收到B发送的信息后，A验证Y为非1且阶为q的Z^* _p中的元素，且利用x验证 $C_{(B,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,Y^x)}\left(B\right);$ 验证不成功，A拒绝继续执行协议，否则，进入下一轮；

第三轮，从A到B： $\{\mathrm{sid},(A,{\mathrm{CERT}}_A),C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,Y^a,Y^x)}\left(A\right)\},$ 即：将H(sid，X，Y，Y^a，Y^x)作为MAC的密钥对A的ID进行认证；收到A发送的信息后，B利用CERT_A验证A的身份及其公钥g^a为非1且阶q的Z^* _p中的元素，并利用y验证 $C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,g^{\mathrm{ay}},g^{\mathrm{xy}})}\left(A\right);$ 验证不成功，B拒绝继续执行协议，否则，B利用KDF计算出相应的会话密钥K，并进入下一轮；

第四轮，从B到A： $\{\mathrm{sid},{\mathrm{CERT}}_B,C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,X^b,X^y)}\left(B\right)\},$ 即：将H(sid，Y，X，X^b，X^y)作为MAC的密钥对B的ID进行认证；收到B发送的信息后，A利用CERT_B验证B的身份及其公钥g^b为非1阶q的Z^* _p中的元素，且利用x验证 $C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y.X,g^{\mathrm{bx}},g^{\mathrm{yx}})}\left(B\right);$ 验证不成功，A中止该次协议的运行，否则，A利用KDF计算出相应的会话密钥K；

协议-2：在IKE进取模式下的运行：

第一轮，从A到B：{sid，X＝g^x}，其中x从Z_q中随机选取；收到A发送的信息后，B验证X为非1且阶为q的Z^* _p中的元素；验证不成功，B拒绝继续执行协议，否则，进入下一轮；

第二轮，从B到A： $\{\mathrm{sid},(B,{\mathrm{CERT}}_B),Y=g^y,C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,X^b,X^y)}\left(B\right)\},$ 其中y从Z_q中随机选取；收到B发送的信息后，A验证B的身份，Y及公钥g^b为非1且阶q的Z^* _p中的元素，并利用x验证 $C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,g^{\mathrm{bx}},g^{\mathrm{yx}})}\left(B\right);$ 验证不成功，A拒绝继续执行协议，否则，A利用KDF计算出相应的会话密钥K，并进入下一轮；

第三轮，从A到B： $\{\mathrm{sid},(A,{\mathrm{CERT}}_A),C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,Y^a,Y^x)}\left(A\right)\};$ 收到A发送的信息后，B验证A的身份及其公钥g^a为非1且阶q的Z^* _p中的元素，并利用y验证 $C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,g^{\mathrm{ay}},g^{\mathrm{xy}})}\left(A\right);$ 验证不成功，B中止该次协议执行，否则，利用KDF计算出会话密钥K；

本发明中，协议-1和协议-2还可有如下变体：

(1).可将MAC输入中的用户ID同时放入生成该MAC密钥的H的输入中；

(2).对于不同的函数f，将(X^b，X^y)替换成f(X^b，X^y)，以及将(Y^a，Y^x)替换成f(Y^a，Y^x)；比如：f(c，d)＝cd mod p，或f(c，d)＝c×d mod p，其中c与d是Z^* _p中的元素；

(3).将H的输入中的部分与协议执行相关的公开信息，(sid，X，Y)和(sid，Y，X)，同时分别放入由A和B计算和发送的MAC的输入之中；

(4).协议1和2与IKEv2或SIGMA协议兼容；具体来讲，MAC_{H(sid，X，Y，Y(a+x mod q))}(A)或MAC_{H(sid，Y，X，X(b+y mod q))}(B)替换为IKEv2或SIGMA中利用签名与MAC的认证方式；

(5).在将MAC的输入同时放入H的输入的前提下，将部分或全部MAC去掉，只用哈西函数进行绑定；

(6).在协议-1第三轮中可将CERT_A放入MAC的输入中并在第四轮将CERT_B放入MAC的输入中；在协议-2第二轮将CERT_B放入MAC的输入中并在第三轮将CERT_A放入MAC的输入中；

(7).在第一轮中A将其ID发送给B，在随后的MAC信息中，B将(B，A)作为哈西函数H的输入一部分，A将(A，B)作为哈西函数H的输入一部分；

本发明中，协议-1及协议-2中蕴含如下子协议：

协议-3：可抵赖消息认证：设A向B认证某个信息m，m可以是一个文件或是用户的身份ID，A的公钥是g^a并具有证书CERT_A，B不一定有公钥；在下述协议描述中，协议发送信息正确性的验证同协议1和2；

第一轮，从A到B：{sid，X＝g^x}；

第二轮，从B到A： $\{\mathrm{sid},B,Y=g^y,{\mathrm{MAC}}_{H(\mathrm{sid},B,Y,X,X^y)}\left(B\right)\};$

第三轮(从A到B)： $\{\mathrm{sid},(A,{\mathrm{CERT}}_A),m,{\mathrm{MAC}}_{H(\mathrm{sid},A,X,Y,Y^a)}\left(m\right)\};$

本发明中，可抵赖的消息认证协议-3可以应用于具有私钥知识证明的网上公钥注册系统：

协议-4：设用户B向可信公钥注册认证机构CA注册公钥PK_B＝g^b，CA有一个签名公钥PK_CA及相应私钥SK_CA；

第一轮，从Ca到B：{sid，X＝g^x}；

第二轮，从B到CA： $\{\mathrm{sid},B,{\mathrm{PK}}_B=g^b,C_{(B,b)}={\mathrm{MAC}}_{H(\mathrm{sid},B,\mathrm{CA},g^b,X,X^b)}\left(B\right)\};$

第三轮，从CA到B： $\{\mathrm{sid},{\mathrm{CERT}}_B={\mathrm{Sig}}_{{\mathrm{SK}}_{\mathrm{CA}}}(B,{\mathrm{PK}}_B),$

$C_{(\mathrm{CA},x)}={\mathrm{MAC}}_{H(\mathrm{sid},\mathrm{CA},B,X,g^h,g^{\mathrm{bx}})}\left({\mathrm{CERT}}_B\right)\}.$

具体实施方式

假设，用户A的公钥是g^a并具有证书CERT_A，B的公钥是g^b并具有证书CERT_B。证书CERT_A指的是CA给A的证明，其余同。提示：证书不一定必须与ID信息同时发送，可由具体的应用环境调整。我们假设A为协议运行初始者(initiator)，B为协议运行响应者(responder)。用户在协议执行(会话)中的角色由DH密钥成分的顺序标示，即：(X，Y)标示协议的初始者，(Y，X)标示协议的相应者。协议的输出(即密钥)由一个密钥导出函数(key derivation function KDF)来定义K＝KDF(H(g^xy)，·)。KDF是一个二元函数，H(g^xy)作为一元，另一元可随应用的不同而不同，比如：另一元可以是一个数值亦可以是一个字符串，甚至是空值。KDF可随应用的不同而不同。若干例子为，KDF为一个伪随机函数(pseudorandom function PRF)，K＝PRF(H(g^xy)，0)或K＝PRF(H(g^xy)，X||Y)，其中X||Y表示X与Y的顺序连接，或KDF仅仅输出H(g^xy)或H(sid，X，Y，A，B，g^xy)，等等。

在下述协议具体实施中，伪随机函数PRF及消息认证码MAC采用由IETF(InternetEngineering Task Force)所公布的第2104号互联网意见征求文档(Internet RFC 2104)中所描述的HMAC认证码。HMAC只需作两个哈西运算，并被证明既是消息认证码又是伪随机函数。在协议具体实施中，HMAC由SHA-1哈西函数来实现。在下述协议具体实施中，密钥导出函数为：HMAC(H(g^xy)，sid)。

根据IPsec标准中的两种模式：主要模式(main model)和进取模式(aggressivemodel)，两个用户A和B之间的协议具体运行步骤如下：

协议-1在IKEv2主要模式下的具体实施方式：

当协议-1在IKEv2主要模式下具体实施时，会话标示符sid是由协议运行两方在协议-1运行之前发送的两个随机串的合并连接构成。因此，发明协议在IKEv2主要模式下的具体实施运行六轮。注意，目前的IKEv2标准在主要模式下亦运行六轮。

第一轮，从A到B：{R_A}，其中R_A是一个32位随机0-1串。B验证R_A的有效性(即：R_A是一个32位0-1串)。

第二轮，从B到A：{R_B}，R_B是与R_A相同长度的随机0-1串。B将sid设为R_A||R_B(即R_A与R_B的合并连接)；A收到R_B后验证R_B的有效性(即：R_B是一个32位0-1串)，并将sid设为R_A||R_B。

第三轮，从A到B：{R_A||R_B，X＝g^x(mod p)}，其中x从Z_q中随机选取。X称为A的DH密钥成分。收到A发送的信息后，B验证sid的有效性(即：R_A与R_B的正确合并连接)、且X为非1且阶为q的Z^* _p中的元素。验证不成功，B拒绝继续执行协议，否则(即验证成功)，进入下一轮。

第四轮，从B到A： $\left\{R_A\right||R_B,B,Y=g^y,C_{(B,y)}={\mathrm{HM}\mathrm{AC}}_{H\left(R_A\right||R_B,Y,X,X^y)}\left(B\right)\}$ (即：将H(R_A||R_B，Y，X，X^y)作为HMAC的密钥对B的ID进行认证，提供两重绑定)。y从Z_q中随机选取且Y称为B的DH密钥成分。收到B发送的信息后，A验证sid(即：R_A||R_B)的有效性、Y为非1且阶为q的Z^* _p中的元素、且利用x验证 $C_{(B,y)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,Y,X,Y^x)}\left(B\right).$ 验证不成功，A拒绝继续执行协议，否则(即验证成功)，进入下一轮。

第五轮，从A到B： $\left\{R_A\right||R_B,(A,{\mathrm{CERT}}_A),C_{(a,x)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,X,Y,Y^a,Y^x)}\left(A\right)\}$ (即：将H(R_A||R_B，X，Y，Y^a，Y^x)作为HMAC的密钥对A的ID进行认证)。收到A发送的信息后，B验证sid(即：R_A||R_B)的有效性、利用CERT_A验证A的身份及其公钥g^a为非1且阶q的Z^* _p中的元素、并利用y验证 $C_{(a,x)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,X,Y,g^{\mathrm{ay}},g^{\mathrm{xy}})}\left(A\right).$ 验证不成功，B拒绝继续执行协议，否则(即验证成功)，B计算出相应的会话密钥K＝HMAC(H(g^xy)，R_A||R_B)，并进入下一轮。

第六轮，从B到A： $\left\{R_A\right||R_B,{\mathrm{CERT}}_B,C_{(b,y)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,Y,X,X^b,X^y)}\left(B\right)\}$ (即：将H(R_A||R_B，Y，X，X^b，X^y)作为HMAC的密钥对B的ID进行认证)。收到B发送的信息后，A验证sid(即：R_A||R_B)的有效性、利用CERT_B验证B的身份及其公钥g^b为非1阶q的Z^* _p中的元素、且利用x验证 $C_{(b,y)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,Y,X,g^{\mathrm{bx}},g^{\mathrm{yx}})}\left(B\right).$ 验证不成功，A中止(abort)该次协议的运行，否则(即验证成功)，A计算出相应的会话密钥K＝HMAC(H(g^xy)，R_A||R_B)。

协议-2在IKE进取模式下的具体实施方式：

当协议-2在IKEv2主要模式下具体实施时，会话标示符sid是由协议运行两方在协议-2运行过程中发送的两个随机串的合并连接构成。因此，发明协议在IKEv2进取模式下的具体实施仍运行三轮。注意，目前的IKEv2标准在进取模式下亦运行三轮。

第一轮，从A到B：{R_A，X＝g^x}，其中x从Z_q中随机选取，R_A为32-位的随机0-1串。收到A发送的信息后，B验证R_A的有效性(即：R_A是一个32位0-1串)、且X为非1且阶为q的Z^* _p中的元素。验证不成功，B拒绝继续执行协议，否则(即验证成功)，进入下一轮。

第二轮，从B到A： $\left\{R_A\right||R_B,(B,{\mathrm{CERT}}_B),Y=g^y,C_{(b,y)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,Y,X,X^b,X^y)}\left(B\right)\},$ 其中y从Z_q中随机选取，R_B为32-位的随机0-1串。B将sid设为R_A||R_B；收到B发送的信息后，A验证sid的有效性(即：sid的长度为64位且前32位为R_A)、利用CERT_B验证B的身份、Y及公钥g^b为非1且阶q的Z^* _p中的元素、并利用x验证 $C_{(b,y)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,Y,X,g^{\mathrm{bx}},g^{\mathrm{yx}})}\left(B\right).$ 验证不成功，A拒绝继续执行协议，否则(即验证成功)，A计算出相应的会话密钥K＝HMAC(H(g^xy)，R_A||R_B)，并进入下一轮。

第三轮，从A到B： $\left\{R_A\right||R_B,(A,{\mathrm{CERT}}_A),C_{(a,x)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,X,Y,Y^a,Y^x)}\left(A\right)\}.$ 收到A发送的信息后，B验证sid(即：R_A||R_B)的有效性、利用CERT_A验证A的身份及其公钥g^a为非1且阶q的Z^* _p中的元素、并利用y验证 $C_{(a,x)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,X,Y,g^{\mathrm{ay}},g^{\mathrm{xy}})}\left(A\right).$ 验证不成功，B中止该次协议执行，否则(即验证成功)，计算出会话密钥K＝HMAC(H(g^xy)，R_A||R_B)。

协议1和2变体的具体实施：

在应用中，可对协议1和2作如下一项或多项改造：

(1).可将MAC输入中的用户ID同时放入生成该MAC密钥的H的输入中。

(2).广义而言，对于不同的函数f，将(X^b，X^y)替换成f(X^b，X^y)，以及将(Y^a，Y^x)替换成f(Y^a，Y^x)；注意，协议1和2的实现使用的是一个特殊的函数：f(c，d)＝(c，d)。特别地，我们可以使用函数：f(c，d)＝cd mod p，或f(c，d)＝c×d mod p，其中c与d是Z^* _p中的元素；此时，(g^xb||g^xy)将被替换成g^xbg^xy或g^xb×g^xy＝X^{(b+y mod q)}，(g^ya||g^yx)亦可作同样的替换。

(3).将H的输入中的部分与协议执行相关的公开信息，(sid，X，Y)和(sid，Y，X)，同时分别放入由A和B计算和发送的MAC的输入之中；即：将(sid，X，Y)同时放入由A计算和发送的MAC的输入之中，将(sid，Y，X)同时放入由B计算和发送的MAC的输入之中。

(4).在现实应用中，上述协议可与IKEv2或SIGMA协议兼容。具体来讲，MAC_{H(sid，X，Y，Y(a+x mod q))}(A)或MAC_{H(sid，Y，X，X(b+y mod q))}(B)可替换为IKEv2或SIGMA中利用签名加MAC的认证方式。这种兼容方式主要用在用户不具有离散对数公钥，或仅有签名公钥的情形。

(5).在将MAC的输入同时放入H的输入的前提下，将部分或全部MAC去掉，只用哈西函数进行绑定；

(6).在协议-1第三轮中可将CERT_A放入MAC的输入中并在第四轮将CERT_B放入MAC的输入中；在协议-2第二轮将CERT_B放入MAC的输入中并在第三轮将CERT_A放入MAC的输入中；

(7).在第一轮中A将其ID(可附证书CERT_A)发送给B，在随后的MAC信息中，B可将(B，A)作为哈西函数H的输入一部分，A可将(S，B)作为哈西函数H的输入一部分。该变体可用在用户对隐私保护要求不高的环境中。

在具体实施中，推荐和鼓励同时使用如下变体：变体(1)+变体(3)+变体(6)；如果用户对隐私要求不高，同时使用变体(7)。

协议-3的具体实施：

设A向B认证某个信息m，m可以是一个文件或是用户的身份ID，A的公钥是g^a并具有证书CERT_A，B不一定有公钥；我们描述sid在协议-3运行过程中产生时的具体实施方式：

第一轮，从A到B：{R_A，XC＝g^x}，其中x从Z_q中随机选取，R_A为32-位的随机0-1串。收到A发送的信息后，B验证R_A的有效性(即：R_A是一个32位0-1串)、且X为非1且阶为q的Z^* _p中的元素。验证不成功，B拒绝继续执行协议，否则(即验证成功)，进入下一轮。

第二轮，从B到A： $\left\{R_A\right||R_B,B,Y=g^y,C_{(B,y)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,B,Y,X,X^y)}\left(B\right)\},$ 其中y从Z_q中随机选取，R_B为32-位的随机0-1串。B将sid设为R_A||R_B；收到B发送的信息后，A验证sid的有效性(即：sid的长度为64位且前32位为R_A)、验证Y为非1且阶q的Z^* _p中的元素、并利用x验证 $C_{(B,y)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,B,Y,X,Y^x)}\left(B\right).$ 验证不成功，A拒绝继续执行协议，否则(即验证成功)，进入下一轮。

第三轮，从A到B： $\{\mathrm{sid},(A,\mathrm{CER}{T}_A),m,C_{(a,m)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,A,X,Y,Y^a)}\left(m\right)\};$ 收到A发送的信息后，B验证sid(即：R_A||R_B)的有效性、利用CERT_A验证A的身份及其公钥g^a为非1且阶q的Z^* _p中的元素、并利用y验证 $C_{(a,m)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,A,X,Y,g^{\mathrm{ay}})}\left(m\right).$ 验证不成功，B中止该次协议执行，否则(即验证成功)，B认可m的确由A发送。

协议-4的具体实施：

设用户B向可信公钥注册认证机构CA注册公钥PK_B＝g^b，CA有一个签名公钥PK_CA及相应签名私钥SK_CA；

第一轮，从CA到B：{R_A，X＝g^x}，其中x从Z_q中随机选取，R_A为32-位的随机0-1串。收到A发送的信息后，B验证R_A的有效性(即：R_A是一个32位0-1串)、且X为非1且阶为q的Z^* _p中的元素。验证不成功，B拒绝继续执行协议，否则(即验证成功)，进入下一轮。

第二轮，从B到CA： $\left\{R_A\right||R_B,B,{\mathrm{PK}}_B=g^b,C_{(B,b)}{\mathrm{MAC}}_{H\left(R_A\right||R_B,B,\mathrm{CA},g^b,X,X^b)}\left(B\right)\},$ 其中R_B为32-位的随机0-1串。B将sid设为R_A||R_B；收到B发送的信息后，CA验证sid的有效性(即：sid的长度为64位且前32位为R_A)、验证g^b为非1且阶q的Z^* _p中的元素、并利用x验证 $C_{(B,b)}={\mathrm{HMAC}}_{H\left(R_A\right||R_B,B,\mathrm{CA},g^b,X,g^{\mathrm{bx}})}\left(B\right).$ 验证不成功，CA拒绝继续执行协议，否则(即验证成功)，进入下一轮。

第三轮，从CA到B： $\{\mathrm{sid},{\mathrm{CERT}}_B={\mathrm{Sig}}_{{\mathrm{SK}}_{\mathrm{CA}}}(B,P{K}_B)$ $C_{(\mathrm{CA},x)}={\mathrm{MAC}}_{H\left(R_A\right||R_B,\mathrm{CA},B,X,g^b,g^{\mathrm{bx}})}\left({\mathrm{CERT}}_B\right)\};$ 收到A发送的信息后，B验证sid(即：R_A||R_B)的有效性、利用CA的签名公钥PK_CA验证CERT_B的有效性、并利用b验证 $C_{(\mathrm{CA},x)}={\mathrm{MAC}}_{H\left(R_A\right||R_B,\mathrm{CA},B,X,g^b,g^{\mathrm{xb}})}\left({\mathrm{CERT}}_B\right).$ 验证不成功，B中止该次协议执行，否则(即验证成功)，B认可CERT_B的有效性，即：CERT_B的确由CA产生并发送。

在协议-4的具体实施中，X＝g^x可以作为CA公钥的一部分，从而减少计算及通讯复杂性；在某些情况下，第三轮中的 $C_{(\mathrm{CA},x)}={\mathrm{MAC}}_{H\left(R_A\right||R_B,\mathrm{CA},B,X,g^b,g^{\mathrm{bx}})}\left({\mathrm{CERT}}_B\right)$ 亦可省略，以使协议运行更为高效；在具体实施中，关于协议-1与协议-2的变体亦可作用于协议-3与协议-4。

Claims (5)

1.一种可抵赖的互联网密钥交换协议，其特征在于：

系统工作环境为：

(1).系统参数：(p，q，g，H)，其中p和q为大素数，并且q能整除p-1，g是一个Z^* _p中阶为q的元素，使得在Z^* _p中由g定义的子群上离散对数DL及计算Diffie-Hellman CDH问题是难的；所有的指数及乘法运算是mod p运算，加法为mod q运算；这里，Z^* _p＝{1，2，…，p-1}；

(2).协议基于Diffie-Hellman密钥交换协议；记X＝g^x为用户A的DH密钥成分，x为DH密钥成分X的离散对数；记Y＝g^y为B的DH密钥成分，y为DH密钥成分Y的离散对数；

(3).具有身份ID“A”的用户A有一个公钥g^a，其中a由A在Z_q中随机选取；相应地，具有ID“B”的用户B的公钥记为g^b，以此类推；这里，Z_q＝{0，1，2，…，q-1}；

(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥，比如：(A，g^a)，进行可公开验证的绑定；绑定用CA的电子签名实现；

(5).假定协议的每一次执行有一个标示号：sid，用于标记并发运行的协议执行；sid的制定和协商可随协议的运行环境不同而有所变化；

协议实现方法为：将用户关于自己私钥及其DH密钥成分的离散对数的证明，用户在协议每一次执行的相关信息，包括：sid、用户角色、DH密钥成分等，用哈西函数H进行绑定，进而将H的输出作为信息认证码MAC的密钥对用户的身份ID进行认证从而进一步绑定；每一个用户发送的信息不涉及对方用户的ID及对方用户的公钥；由用户ID及公钥参与计算的所有信息都可由对方用户的DH密钥成分的离散对数计算出；而且用户在发送由自己ID及公钥参于计算的信息之前，要求对方先向其证明对方用户的确知道对方用户自己DH密钥成分的离散对数，即：通过使用输入包含Y^x或X^y的哈希函数的输出为MAC密钥的关于自己ID的MAC认证来进行证明。

2.根据权利要求1所述的可抵赖的互联网密钥交换协议，其特征在于协议的实现步骤为：

在下述协议描述中，大括号内的值表示发送的信息；注意A的公钥是g^a并具有CA颁发的证书CERT_A，B的公钥是g^b并具有CA颁发的证书CERT_B；假设A为协议运行初始者，B为协议运行响应者；用户在协议每一次执行中的角色由DH密钥成分的顺序标示，即：(X，Y)标示协议的初始者，(Y，X)标示协议的相应者；协议的输出，即会话密钥K，由一个密钥导出函数KDF来定义K＝KDF(H(g^xy)，·)，  ·表示二元函数KDF中的一个变元；密钥导出函数KDF可随应用的不同而不同；

根据IPsec标准中的两种模式：主要模式和进取模式，两个用户A和B之间的协议运行如下：

协议-1：在IKE主要模式下的运行：

第一轮，从A到B：{sid，X＝g^x(mod p)}，其中x从Z_q中随机选取；X称为A的DH密钥成分；收到A发送的信息后，B验证X为非1且阶为q的Z^* _p中的元素；验证不成功，B拒绝继续执行协议，否则，进入下一轮；

第二轮，从B到A： $\{\mathrm{sid},B,Y=g^Y,C_{(B,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,X^y)}\left(B\right)\},$ 即：将H(sid，Y，X，X^y)作为MAC的密钥对B的ID进行认证；y从Z_q中随机选取且Y称为B的DH成分；收到B发送的信息后，A验证Y为非1且阶为q的Z^* _p中的元素，且利用x验证 $C_{(B,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,Y^x)}\left(B\right);$ 验证不成功，A拒绝继续执行协议，否则，进入下一轮；

第三轮，从A到B： $\{\mathrm{sid},(A,{\mathrm{CERT}}_A),C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,Y^a,Y^x)}\left(A\right)\},$ 即：将H(sid，X，Y，Y^a，Y^x)作为MAC的密钥对A的ID进行认证；收到A发送的信息后，B利用CERT_A验证A的身份及其公钥g^a为非1且阶q的Z^* _p中的元素，并利用y验证 $C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,g^{\mathrm{ay}},g^{\mathrm{xy}})}\left(A\right);$ 验证不成功，B拒绝继续执行协议，否则，B利用KDF计算出相应的会话密钥K，并进入下一轮；

第四轮，从B到A： $\{\mathrm{sid},{\mathrm{CERT}}_B,C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,{X^b,X}^y)}\left(B\right)\},$ 即：将H(sid，Y，X，X^b，X^y)作为MAC的密钥对B的ID进行认证；收到B发送的信息后，A利用CERT_B验证B的身份及其公钥g^b为非1阶q的Z^* _p中的元素，且利用x验证 $C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,g^{\mathrm{bx}},g^{\mathrm{yx}})}\left(B\right);$ 验证不成功，A中止该次协议的运行，否则，A利用KDF计算出相应的会话密钥K；

协议-2：在IKE进取模式下的运行：

第一轮，从A到B：{sid，X＝g^x)，其中x从Z_q中随机选取；收到A发送的信息后，B验证X为非1且阶为q的Z^* _p中的元素；验证不成功，B拒绝继续执行协议，否则，进入下一轮；

第二轮，从B到A： $\{\mathrm{sid},(B,{\mathrm{CERT}}_B),Y=g^Y,C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,X^b,X^v)}\left(B\right)\},$ 其中y从Z_q中随机选取；收到B发送的信息后，A验证B的身份，Y及公钥g^b为非1且阶q的Z^* _p中的元素，并利用x验证 $C_{(b,y)}={\mathrm{MAC}}_{H(\mathrm{sid},Y,X,g^{\mathrm{bx}},g^{\mathrm{yx}})}\left(B\right);$ 验证不成功，A拒绝继续执行协议，否则，A利用KDF计算出相应的会话密钥K，并进入下一轮；

第三轮，从A到B： $\{\mathrm{sid},(A,{\mathrm{CERT}}_A),C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,Y^a,Y^x)}\left(A\right)\};$ 收到A发送的信息后，B验证A的身份及其公钥g^a为非1且阶q的Z^* _p中的元素，并利用y验证 $C_{(a,x)}={\mathrm{MAC}}_{H(\mathrm{sid},X,Y,g^{\mathrm{ay}},g^{\mathrm{xy}})}\left(A\right);$ 验证不成功，B中止该次协议执行，否则，利用KDF计算出会话密钥K。

3.根据权利要求2所述的可抵赖的互联网密钥交换协议，其特征在于协议-1及协议-2有如下的变体：

(1).可将MAC输入中的用户ID同时放入生成该MAC密钥的H的输入中；

(2).对于不同的函数f，将(X^b，X^y)替换成f(X^b，X^y)，以及将(Y^a，Y^x)替换成f(Y^a，Y^x)；

(3).将H的输入中的部分与协议执行相关的公开信息，(sid，X，Y)和(sid，Y，X)，同时分别放入由A和B计算和发送的MAC的输入之中；

(4).协议1和2与IKEv2或SIGMA协议兼容；具体来讲， ${\mathrm{MAC}}_{H(\mathrm{sid},X,Y,Y^{(a+x\mathrm{mod}q)})}\left(A\right)$ 或 ${\mathrm{MAC}}_{H(\mathrm{sid},Y,X,X^{(b+y\mathrm{mod}q)})}\left(B\right)$ 替换为IKEv2或SIGMA中利用签名与MAC的认证方式；

(5).在将MAC的输入同时放入H的输入的前提下，将部分或全部MAC去掉，只用哈西函数进行绑定；

(6).在协议-1第三轮中可将CERT_A放入MAC的输入中并在第四轮将CERT_B放入MAC的输入中；在协议-2第二轮将CERT_B放入MAC的输入中并在第三轮将CERT_A放入MAC的输入中；

(7).在第一轮中A将其ID发送给B，在随后的MAC信息中，B将(B，A)作为哈西函数H的输入一部分，A将(A，B)别作为哈西函数H的输入一部分。

4.根据权利要求2所述的可抵赖的互联网密钥交换协议，其特征在于在所述协议-1及协议-2中蕴含如下子协议：

协议-3：可抵赖消息认证：设A向B认证某个信息m，m可以是一个文件或是用户的身份ID，A的公钥是g^a并具有证书CERT_A，B不一定有公钥；在下述协议描述中，协议发送信息正确性的验证同协议1和2：

第一轮，从A到B：{sid，X＝g^x}：

第二轮，从B到A： $\{\mathrm{sid},B,Y=g^Y,C_{(B,y)}={\mathrm{MAC}}_{H(\mathrm{sid},B,Y,X,X^y)}\left(B\right)\};$

第三轮，从A到B： $\{\mathrm{sid},(A,{\mathrm{CERT}}_A),\mathrm{Bm},C_{(a,m)}={\mathrm{MAC}}_{H(\mathrm{sid},A,X,Y,Y^a)}\left(m\right)\};$

5.根据权利要求4所述的可抵赖的互联网密钥交换协议，其特征在于协议-3有如下应用：协议-4：具有私钥知识证明的网上公钥注册系统：设用户B向可信公钥注册认证机构CA注册公钥PK_B＝g^b，CA有一个签名公钥PK_CA及相应私钥SK_CA；

第一轮，从CA到B：{sid，X＝g^x}；

第二轮，从B到CA： $\{\mathrm{sid},B,{\mathrm{PK}}_B=g^b,C_{(B,b)}={\mathrm{MAC}}_{H(\mathrm{sid},B,\mathrm{CA},g^b,X,X^b)}\left(B\right)\};$

第三轮，从CA到B： $\{\mathrm{sid},{\mathrm{CERT}}_B={\mathrm{Sig}}_{{\mathrm{SK}}_{\mathrm{CA}}}(B,{\mathrm{PK}}_B)$

$C_{(\mathrm{CA},x)}={\mathrm{MAC}}_{H(\mathrm{sid},\mathrm{CA},B,X,g^b,g^{\mathrm{bx}})}\left({\mathrm{CERT}}_B\right)\}.$