CN101175076A - 在线计算高效、可抵赖、不可锻造安全的密钥交换协议 - Google Patents

Abstract

本发明属于密码协议技术领域，具体为一种在线计算高效、可抵赖、不可锻造安全的密钥交换协议。协议实现环境和方法为：用户“A”的公钥为A＝g^a，DH密钥成分为X＝g^x；用户“B”的公钥为B＝g^b，DH密钥成分为Y＝g^y。用户“A”通过B^cx+eaY^da+fx证明其同时知道a及x；用户“B”通过A^eb+dyX^cb+fy证明其同时知道b及y。哈西函数c，d，e，f的输入包含协议每一次执行的所有相关公开信息，且输入输出相互嵌套和影响。为了提高在线计算效率，c的输入不包含Y，d的输入不包含X，e为1或0。本协议可满足用户对密钥交换的在线计算效率、可抵赖性、不可锻造安全性、抗拒绝服务攻击、抗内部状态泄漏、以及显式或隐式身份及密钥确认的不同需求和优先级。

Description

在线计算高效、可抵赖、不可锻造安全的密钥交换协议

技术领域

本发明属于密码协议，具体涉及一种在线计算高效、可抵赖、不可锻造安全的密钥交换协议。

背景技术

目前，国际上最常用(同时被广泛标准化)的2-轮Diffie-Hellman密钥交换协议是MQV和HMQV。MQV和HMQV的运行方式如下：

具有身份I_A的用户“A”具有公钥A＝g^a，具有身份I_B的用户“B”具有公钥B＝g^b。用户“A”在协议第一轮发送X＝g^x。用户“B”在协议第二轮发送Y＝g^y。这是基本的Diffie-Hellman密钥交换协议。用户“A”检查Y的阶为q并计算会话密钥K＝H_K((YB^c)^x+da)，用户“B”检查X的阶为q并计算K＝H_K((XA^d)^y+cb)。其中在MQV中d＝2^l+(Xmod 2^l)，c＝2^l+(Ymod 2^l)，l等于x或y长度的一半。在HMQV中d＝H(X，I_B)，c＝H(Y，I_A)。

MQV和HMQV协议存在如下不足：

(1).MQV和HMQV的在线计算效率不够好。MQV和HMQV的会话密钥生成方式不允许用户对会话密钥进行部分离线计算以提高在线计算的效率。具体来讲，用户“A”不得不再受到Y之后再计算会话密钥，用户“B”不得不在受到X之后再计算会话密钥。

(2).MQV和HMQV协议不能做到完全的可抵赖性。在MQV和HMQV中，用户“A”可以抵赖会话密钥是由用户“B”的私钥b及y产生。同样，用户“B”可以抵赖会话密钥是由用户“A”的私钥a及x产生。但是，用户A和B不能够同时否认会话密钥不是由他们产生的。这时因为，会话密钥的产生使用了g^ab，而g^ab只能由他们两个人之一产生。也即是说，MQV和HMQV所生成的会话密钥可以确定地被追踪到产生会话密钥的这两个用户。

(3).MQV和HMQV没有做到完全的不可锻造安全性。在MQV和HMQV中，在计算c和d时候，哈西函数的输入仅包含部分与协议相关的信息。在MQV中，c的输入仅包含Y，d的输入仅包含X。在HMQV中，d的输入仅包含(X，I_B)，c的输入仅包含(Y，I_A)。特别地，c和d的输入中没有包含任何公钥和证书信息。另外，在会话密钥计算中，在2-轮MQV和HMQV中没有对DH密钥成分X和Y的离散对数x和y利用哈西函数进行掩盖保护。这些不足给潜在的并发中间人攻击留下了空间或潜在的后门。另外，在MQV和HMQV中用户的角色，即初始者或响应者，是由0和1标示。

(4).MQV和HMQV没有考虑抵抗拒绝服务攻击。

发明内容

本发明的目的在于提供一类在线计算高效、可抵赖、不可锻造、抗拒绝服务攻击且抗内部状态泄漏的密钥交换协议。

本发明协议的系统工作环境为：

(1).系统参数：系统参数：(p，q，g，H，H_K，c，d，e，f)，其中p和q为大素数，并且q能整除p-1，g是一个Z^* _p中阶(order)为q的元素，使得在Z^* _p中由g定义的子群上离散对数(discrete logarithm DL)及计算Diffie-Hellman(computationalDiffie-Hellman CDH)问题是难的。所有的指数运算及(不在指数上的)乘法运算是模(mod)p运算，加法及指数上的乘法为模(mod)q运算(比如：g^cw表示g^cw mod q mod p)。这里，Z^* _p指的是所有比p小并与p互素的正整数的集合，即Z^* _p＝{1，2，…，p-1}。定义函数DL：Z_q→Z^* _p，使得h＝DL(w)＝g^w mod p。w称为h的离散对数。我们要求给定随机计算出的h，没有多项式时间算法计算出h的离散对数w，这称为离散对数问题。计算Diffie-Hellman问题指的是：给定随机的g^x与g^y，没有多项式时间算法计算出g^xy。一般而言，对于熟悉本领域的人而言，离散对数问题及计算Diffie-Hellman问题也可以定义在由椭圆曲线或双线性对(bilineartity)定义的群上。H和H_K是从{0，1}^*→{0，1，2，…， q-1}的哈西函数。c，d，e，f为{0,1}^*→{0，1，2，…， q-1}的函数。为增加计算速度，H，c，d，e，f的输出长度可以为l＝(log₂ q+1)/2。对于字符串s₁，…，s_k，k＞1，H(s₁，s₂，…，s_k)表示的是：将s₁，…，s_k用二进制0-1串来表示，然后将所有的0-1串顺序连接(即，串联)起来，最后将串联后得到的串作为H的输入。(p，q，g，H，H_K，c，d，e，f)既可以是全局或部分全局性的公共参数，亦可以由任意一对执行该协议的用户进行协商。

(2).除非有特别说明，具有身份ID I_A的用户“A”有一个公钥A＝g^a，其中a由用户“A”在Z_q中随机选取。相应地，具有ID I_B的用户“B”的公钥记为B＝g^b，以此类推；这里，Z_a＝{0，1，2，…，q-1}。

(3).协议基于Diffie-Hellman密钥交换协议。记X＝g^x为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数。记Y＝g^y为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数。

(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥，比如：(I_A，A＝g^a)，进行可公开验证的绑定。绑定用CA的电子签名实现。绑定时CA验证公钥为Z^* _p中阶为q且非1的元素。用户“A”的证书记为CERT_A，包括用户“A”的公钥及CA对(I_A，A＝g^a)的电子签名。

(5).协议的每一次执行称为一个会话(session)。我们假定协议的每一次执行(即，每一次会话)有一个标示号(session-identifier)：sid，用于标记并发运行的协议执行。sid的制定和协商可随协议的运行环境不同而有所变化：比如sid可以是协议运行两方发送的两个随机串的合并连接。一般而言，sid包含在协议运行之前用户交换的信息或交换信息的哈西值。在某些环境中sid可在协议运行过程中产生。在某些环境中当会话可由语境自动标示时sid亦可省略；例如在某些密钥交换应用中(g^x，g^y)可兼当会话标示号。

(6).与协议执行相关的其它信息pub：除了(sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y)外，其它与协议执行相关的信息用pub来表示。pub是一个字符串，一般是用户的IP地址，公钥证书，其它需要认证的信息，时间戳等的串联。pub可以为空。在所有具有MAC的协议实现中，为了提高计算效率，可仅仅将pub作为(以会话密钥作为私钥的)MAC的输入一部分，而不作为H，H_K及KDF的输入。

协议实现方法：

用户“A”及“B”相互交换它们各自的DH密钥成分X＝g^x和Y＝g^y。假设用户“A”为协议的发起者，用户“B”为协议的响应者。即：用户“A”在第一轮发送X，在收到X后用户“B”在第二轮发送Y。

将协议每一次执行的所有相关信息，包括：sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y，以及其它与该次协议执行相关的信息pub(一般包含用户的IP地址，公钥证书，其它需要认证的信息，时间戳等)，用哈西函数H和函数c，d，e，f进行承诺绑定。一般而言，先用哈西函数H进行绑定，然后将H的输出作为c，d，e，f输入的一部分；并且对于输出不是常数的函数c，d，e，f，其输入和输出可以相互嵌套和影响，从而提供更强的绑定。比如：c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)。对于用户“A”和“B”的私钥a和b，以及它们DH密钥成分X和Y的离散对数x和y，利用哈西函数及c，d，e，f进行掩盖保护，从而提供相对于每一次协议执行的新鲜性和不可锻造安全性。

会话密钥计算方法：会话密钥K由如下值之一导出，其中K_A为用户“A”计算的值，K_B为用户“B”计算的值，K_A等于K_B：

(1).在线计算高效形式：KA＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy。其中，c＝H(sid，I_A，A，X，I_B，B，pub)；，d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)；e＝1或e＝H(sid，I_A，A，I_B，B，pub)；f＝H(c，d)。当d＝H(sid，I_A，A，I_B，B，Y，pub)及e＝1时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算c、X和B^a+cx，用户“B”事先离线计算d、Y和A^b+dy，从而提高在线计算的效率。

(2).可抵赖形式：K_A＝B^cxY^da+fx，K_B＝A^dyX^cb+fy；或K_A＝B^cxY^da，K_B＝A^dyX^cb。其中c＝H(sid，I_A，A，X，I_B，B，pub)或c＝H(sid，I_A，A，X，I_B，B，Y，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)；f＝H(c，d)。在这种情况，函数e＝0，会话密钥可仅仅由DH密钥成分的离散对数，即x和y，计算出，因此每一个用户均可以抵赖会话密钥的产生，从而更好地保护用户的隐私。当c＝H(sid，I_A，A，X，I_B，B，pub)及d＝H(sid，I_A，A，I_B，B，Y，pub)时，此时c的输入不包含Y，d的输入不包含X，用户“A”可以事先离线计算c、X和B^cx，用户“B”可以事先离线计算d、Y和A^dy，从而在保持可抵赖性的基础上进一步提高在线计算的效率。

(3).完整形式：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy。其中函数c，d，e，f的输入和输出相互嵌套和影响，比如：c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)。

(4).基本形式：K_A＝B^a+cxY^da+x，K_B＝A^b+dyX^cb+y，或K_A＝B^ca+xY^a+dx，K_B＝A^cb+yX^b+dy。其中c＝H(sid，I_A，A，X，I_B，B，Y，pub)，d＝H(c)。

(5).简单形式：K_A＝B^cx+da，K_B＝A^dbX^cb。对于这种情形，因为用户“A”计算K_A时候可以不知道Y，Y不被包含在c，d以及H的输入中。函数c和d的设置有如下情况：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(c)或d＝1；或者，d＝H(sid，I_A，A，X，I_B，B，pub)，c＝H(d)或c＝1。

(6).其他形式：K_A＝B^cx+eaY^da，K_B＝A^dy+ebX^cb。其中e＝1或e＝H(sid，I_A，A，I_B，B，pub)；c＝H(sid，I_A，A，X，I_B，B，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)。

会话密钥K是由H_K和一个密钥导出函数KDF(key derivation function KDF)导出。一般方法是将H_K(K_A，(sid，A，B，I_A，I_B，X，Y，c，d，e，f，pub))作为一个伪随机函数PRF(pseudorandom function PRF)的随机种子来导出。一个伪随机函数是一个二元函数PRF_α(·)：第一元α是一个随机数，一般称为PRF的随机种子；·是另外一元，可以是任意字符串的顺序连接。比如，PRF_α(c，pub)表示的是PRF_α(c‖pub)，其中“c‖pub”表示的是字符串c与pub的顺序连接(即，串联)。为了提高计算效率，会话密钥K也可以直接由哈西函数H_K导出，比如K＝H_K(K_A，c，d，e，f)＝H_K(K_B，c，d，e，f)。

身份及密钥确认方法：为了进一步相互确认身份及会话密钥，用户“B”和“A”用导出的会话密钥作为消息认证码MAC的私钥对协议公开信息，sid，I_A，I_B，A，B，X，Y，c，d以及用户角色标示，进行认证。具体来讲，协议响应者B在第二轮认证(sid，I_B，I_A，B，A，Y，X，d，c，pub)，协议初始者A在另加的第三轮进行认证(sid，I_A，I_B，A，B，X，Y，c，d，pub)。此时，会话标示符sid可以是用户“B”和“A”交换的两个随机串r_B与r_A的合并连接，即：r_B‖r_A。

用户角色，即协议初始者和响应者的标示方法：

(1).由c，d，e，f的顺序来标示：(c，d)标示协议初始者角色，(d，c)标示协议响应者角色。这种角色标示方法要求函数c，d的输出不为常数且可相互嵌套。

(2).由c与用户ID的顺序来标示：(c，I_A)标示协议初始者；(I_B，c)标示响应者。

针对不同需求或优先级的实现方法：

基于发明协议会话密钥计算的不同形式，发明协议允许用户协商以满足用户对在线计算效率、可抵赖性、安全性、抵抗拒绝服务攻击，以及显式或隐式身份及密钥确认的不同需求以及优先级。

基于会话密钥计算简单形式的2-轮显式身份及密钥确认的协议实现方法：为了得到2-轮显式身份及密钥确认的密钥交换协议，基于会话密钥计算简单形式，有如下三种方法(其中函数c和d输出不同且不可同时为常数)：

(1).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da(以及协议公开信息)导出的密钥作为消息认证码MAC的私钥对协议公开信息，sid，I_A，I_B，A，B，X，c，d，以及用户角色标示等，进行认证。用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性。在第二轮，用户“B”发送Y，并利用由X^y和K_B共同导出的MAC的私钥，比如H_K(X^y，K_B，sid，I_A，I_B A，B，X，Y，c，d)，对协议公开信息，sid，I_B，I_A，Y，d，c以及用户角色标示等，进行认证。为了抵抗拒绝服务攻击，用户“B”可以再使用由K_B＝A^dbX^cb导出的MAC的私钥对第二轮发送的全部(或部分)信息进行二次MAC认证。最后，会话密钥最终由g^xy导出。

(2).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为消息认证码MAC的私钥对协议公开信息，sid，I_A，I_B，c，d等，进行认证。用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性。在第二轮，用户“B”利用由K_B导出的MAC的私钥对协议公开信息，sid，I_B，I_A，Y，X，d，c等，进行认证。会话密钥由K_A＝K_B导出。

(3).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为对称加密算法E的私钥加密一个随机数r。在第二轮，B利用由K_B＝A^dbX^cb导出的私钥解密出r，并利用r作为MAC的私钥对协议公开信息，sid，I_B，I_A，X，d，c等，进行认证。会话密钥由r导出。

基于会话密钥计算可抵赖形式的3-轮可抵赖、抗拒绝服务攻击、且显式身份及密钥确认的协议实现方法：

在第一轮用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥作为MAC的私钥对(c，I_A)进行认证。这里，(c，I_A)标示协议初始者角色。

在第二轮，用户“B”首先利用X^cb验证第一轮MAC值的正确性(这有利于及早发现和防范拒绝服务攻击)。计算并发送Y＝g^y；计算d＝H(c，X^cb，Y)，并利用由(A^dy，X^cb)共同导出的会话密钥K对(I_B，c)进行认证。这里，(I_B，c)标示协议响应者角色。最后，“B”再用由X^cb导出的MAC的私钥对第二轮发送的信息进行二次认证。

在第三轮，用户“A”首先通过B^cx验证第二轮信息的二次认证MAC值的有效性(这有利于及早发现和防范拒绝服务攻击)。然后，用户“A”利用由(B^cx，Y^da)共同导出的会话密钥K作为MAC的私钥对(c，I_A)进行认证。

基于会话密钥计算完整形式的4-轮抗内部状态泄漏和拒绝服务攻击、且显式密钥及身份确认的协议实现方法：

在第一轮，用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥K₁作为MAC的私钥对(c，I_A)进行认证；这里，(c，I_A)标示协议初始者角色。

在第二轮，用户“B”首先由X^cb计算出K₁来验证第一轮MAC值的正确性(这有利于及早发现和防范拒绝服务攻击)；然后，“B”计算并发送Y＝g^y，计算f＝H(c，Y)，并利用由(X^cb，X^fy)共同导出的密钥K₂对(I_B，c)进行MAC认证。这儿，(I_B，c)标示协议响应者角色。最后，“B”再用K₁对第二轮发送的信息进行二次认证。

在第三轮，用户“A”首先通过使用K₁验证第二轮信息的二次认证MAC值的有效性(这有利于及早发现和防范拒绝服务攻击)。然后，用户“A”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，由B^ea+cxY^da+fx导出会话密钥K，并用K作为MAC的私钥对(c，I_A)进行认证。

在第四轮，用户“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，由A^eb+dyX^cb+fy导出会话密钥K并验证第三轮MAC值的正确性。然后，用户“B”再用会话密钥K对(I_B，c)进行MAC认证。

本发明协议的具体实现步骤：

在下述协议描述中，大括号内的值表示发送的信息。注意用户“A”的公钥是A＝g^a并具有CA颁发的证书CERT_A；用户“B”的公钥是B＝g^b并具有CA颁发的证书CERT_B。假设用户“A”为协议运行初始者，用户“B”为协议运行响应者。协议的输出，即会话密钥K，由一个密钥导出函数KDF来定义K＝KDF(K_A，·)＝KDF(K_B，·)，·表示二元函数KDF中的一个变元。密钥导出函数KDF可随应用的不同而不同。

协议-1：2-轮隐式身份及密钥确认的协议实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERTA，X＝g^x(mod p)}，其中x从Z_q中随机选取；X称为“A”的DH密钥成分。

收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。验证不成功，“B”拒绝继续执行协议，否则，进入下一轮。

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y}，其中，y从Z_q中随机选取且Y称为“B”的DH成分。  收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶为q的Z^* _p中的元素。验证不成功，“A”终止协议。

会话密钥计算的在线计算高效形式：用户“A”和“B”计算：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)，f＝H(c，d)。其中pub包含与协议运行相关的其它公开信息，比如：用户“A”和“B”的证书、IP地址等。为了提高计算效率，用户“A”可以事先离线计算B^a+cx，用户“B”可以事先离线计算A^b+dy，从而提高在线计算的效率。最后，用户“A”计算K_A＝B^a+cxY^da+fx，并利用密钥导出函数KDF计算出会话密钥：K＝KDF(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))。用户“B”计算K_B＝A^b+dyX^cb+fy，K＝KDF(K_B，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))。比如，对于α＝K_A，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)， $\mathrm{KDF}(\mathrm{\α},\mathrm{\β})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub}),$ 其中，PRF是一个伪随机函数。这里，H_K(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))表示的是H_K(K_A‖sid‖I_A‖g^a‖I_B‖g^b‖X‖Y‖c‖d‖pub)，PRF_HK(α，β)(c，pub)表示的是PRF_HK(α，β)(c‖pub)，“‖”表示的是字符串的顺序连接。

会话密钥计算的可抵赖形式(推荐用于更好地隐私保护)：在会话密钥计算的可抵赖形式中，K_A与K_B如下计算：K_A＝B^cxY^da+fx，K_B＝A^dyX^cb+fy。其中c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)，f＝H(c，d)。用户“A”事先离线计算X和B^cx，用户“B”事先离线计算Y和A^dy，从而可进一步提高在线计算的效率。

会话密钥计算的完整形式(推荐用于更强的安全性)：在会话密钥计算的完整形式中，K_A与K_B如下计算：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy，其中c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)。

协议-2：2-轮显式身份及密钥确认的协议实现步骤：

第一轮，从“A”到“B”： $\{\mathrm{sid},I_A,A,{\mathrm{CERT}}_A,X=g^x,$ $C_{(a,x)}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_A,I_B,A,B,X,c,d,\mathrm{pub})\},$ 其中A＝g^a，B＝g^b，x从Z_q中随机选取，c＝H(sid,I_A，g^a，I_B，g^b，X，pub)，d＝H(c)。MAC私钥K_M的计算如下：K_A＝B^cx+da，K_M＝KDF(KA，(sid,I_A，g^a，I_B，g^b，X，Y，c，d，pub))。

收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。计算K_b＝X^cbA^db和K_M并验证 $C_{(a,x)}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_A,I_B,A,B,X,c,d,\mathrm{pub})$ 的正确性。验证不成功，“B”拒绝继续执行协议，否则，进入下一轮。

第二轮，从“B”到“A”： $\{\mathrm{sid},I_B,B,{\mathrm{CERT}}_B,Y=g^y,$ $C_{(b,y)}={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,B,A,Y,X,K_B,X^y,d,c,\mathrm{pub})}(\mathrm{sid},I_B,I_A,B,A,Y,X,d,c),C_{K_M}=\mathrm{MA}{C}_{K_M}(\mathrm{sid},I_B,Y,C_{(b,y)})\},$ 其中y从Z_q中随机选取。

收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素，并利用x、K_A，和K_M验证 $C_{K_M}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_B,Y,C_{(b,y)})$ 且 $C_{(b,y)}={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,B,A,Y,X,K_A,Y^x,d,c,\mathrm{pub})}(\mathrm{sid},I_B,I_A,B,A,Y,X,d,c).$ 验证不成功，“A”终止协议。

会话密钥计算：用户“A”和“B”计算会话密钥：K＝KDF(g^xy，(sid,I_A，g^a，I_B，g^b，X，Y，c，d，pub))。

协议-3：3-轮抗拒绝服务攻击、且显式密钥及身份确认的协议实现步骤：

第一轮，从“A”到“B”： $\{\mathrm{sid},I_A,A,{\mathrm{CERT}}_A,X=g^x,C_x={\mathrm{MAC}}_{K_1}(\mathrm{sid},c,I_A,X)\},$ 其中A＝g^a，B＝g^b，从Z_q中随机选取。MAC私钥K₁的计算如下：c＝h(sid，I_A，g^a，I_B，g^b，X，pub)，K₁＝H_K(sid,I_A，g^a，I_B，g^b，X，B^cx，c，pub)。“A”发送完第一轮信息后，将x删除，但保留k₁和c。

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid,I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性。如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。任何验证不成功，“B”拒绝继续执行协议。否则，进入下一轮。

第二轮，从“B”到“A”： $\{\mathrm{sid},I_B,B,{\mathrm{CERT}}_B,Y=g^y,C_{(b,y)}={\mathrm{MAC}}_K(\mathrm{sid},I_B,c),$ $C_b={\mathrm{MAC}}_{K_1}(\mathrm{sid},I_B,B,Y,C_{(b,y)})\},$ 其中y从Z_q中随机选取；令d＝h(c，k₁，Y)，会话密钥K由H_K(sid，I_A，I_B，A，B，X，Y，c，d，A^dy)导出。发送完第二轮信息后，用户“B”将c，d，y，X^cb，A^dy，K₁删除，仅保留会话密钥K。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性。然后，验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素，由H_k(sid，I_A，I_B，A，B，X，Y，c，d，Y^da)导出会话密钥K并验证C_(b，y)的正确性。任何验证不成功，“A”终止协议。否则，删除c，d，K₁，Y^da，仅保留会话密钥K，并进入下一轮。

第三轮，从“A”到“B”：{sid，C_a＝MAC_K(sid,c,I_A)}；收到“A”发送的信息后，“B”验证C_a的正确性。验证不成功，“B”终止协议。

协议-4：4-轮抗内部状态泄漏和拒绝服务攻击、且显式密钥及身份确认的协议实现步骤：

第一轮，从“A”到“B”： $\{\mathrm{sid},I_A,A,{\mathrm{CERT}}_A,X=g^x,C_x={\mathrm{MAC}}_{K_1}(\mathrm{sid},c,I_A,X)\},$ 其中A＝g^a，B＝g^b，x从Z_q中随机选取。MAC私钥K₁的计算如下：c＝H(sid,I_A，g^a，I_B，g^b，X，pub)，K₁＝H_K(sid,I_A，g^a，I_B，g^b，X，B^cx，c，pub)。

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid,I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性；如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。任何验证不成功，“B”拒绝继续执行协议；否则，进入下一轮。

第二轮，从“B”到“A”： $\{\mathrm{sid},I_B,B,{\mathrm{CERT}}_B,Y=g^y,C_{(X,b,y)}={\mathrm{MAC}}_{K2}(\mathrm{sid},I_B,c),$ $C_b={\mathrm{MAC}}_{K_1}(\mathrm{sid},I_B,B,Y,C_{(X,b,y)})\},$ 其中y从Z_q中随机选取。令f＝H(c，Y)，MAC私钥K₂＝H_K(sid,I_B，I_A，B，A，Y，X，X^cb，X^fy，f，c，pub)。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性。然后，验证“B”的身份、公钥及证书，y为非1且阶q的Z^* _p中的元素；计算f＝H(c，Y)，d＝H(c，f，K₁)，Y^fx，Y^da及K₂＝H_K(sid,I_B，I_A，B，A，Y，X，B^cx，Y^fx，f，c，pub)并验证C_(X，b，y)的正确性。任何验证不成功，“A”终止协议。否则，计算e＝H(c，d，f，K₁，K₂)及会话密钥K＝KDF(B^ea+cxY^da+fx，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，e，pub))。将所有的内部状态(包括x，c，d，e，f，K₁，K₂，B^cx，Y^fx，Y^da等)删去，仅保留会话密钥K，并进入下一轮。

第三轮，从“A”到“B”：{sid，C_(K，a，x)＝MAC_K(sid,c，I_A)}。收到“A”发送的信息后，“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，计算会话密钥K＝KDF(A^eb+dyX^cb+fy，(sid,I_A，g^a，I_B，g^b，X，Y，c，d，e，f，pub))并验证C_(K，a，x)的正确性。验证不成功，“B”终止协议；否则，将所有的内部状态(包括y，c，d，e，f，K₁，K₂，X^cb，X^fy，A^eb+dy等)删去，仅保留会话密钥K，并进入下一轮。

第四轮，从“B”到“A”：{sid，C_{(K，b，y）}＝MAC_K(sid，c，I_A)}。收到“B”发送的信息后，“A”利用会话密钥K验证C_(K，b，y)的正确性；验证不成功，“B”终止协议。

本发明中，协议-1、协议-2、协议-3及协议-4中蕴含如下子协议：

协议-5：基于离散对数的不可锻造安全的2-轮零知识身份验证协议：设公共输入为(p，q，g，A＝ga)，其中a从Z_q随机选取的；A＝g^a为用户“A”的公钥，用户“A”向用户“B”证明其知道私钥a。

第一轮，从“B”到“A”：{sid，I_B，Y＝g^y，C_y}，其中，y从Z_q中随机选取。令c＝H(sid，I_B，I_A，Y，A，pub)，C_y有如下计算方法：

(1). $C_y={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,Y,A,A^{\mathrm{cy}},c,\mathrm{pub})}(c,I_B,\mathrm{pub}).$

(2).C_y＝H_K(sid，I_B，I_A，Y，A，A^cy，c，pub)。

(3).C_y＝A^cy(不推荐使用)。

第二轮，从“A”到“B”：用户“A”检查Y为非1阶q的Z^* _p中的元素，利用Y^ca检查C_y的正确性。发送{sid，I_A，A，C_a}。令d＝H(sid，I_A，I_B，A，Y，c，pub)，C_a有如下计算方法：

(1). $C_a={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,Y,A,Y^{\mathrm{ca}},c,\mathrm{pub})}(d,c,\mathrm{pub}).$

(2). $C_a={\mathrm{MAC}}_{H_K(\mathrm{sid},I_A,I_B,A,Y,Y^{\mathrm{da}},d,c,\mathrm{pub})}(I_A,c,\mathrm{pub}).$

(3).C_a＝H_K(sid，I_A，I_B，A，Y，Y^da，d，c，pub)。

(4).C_a＝Y^da(不推荐使用)。

收到“A”发送的第二轮信息后，“B”检查“A”的身份、公钥及证书，并利用y(即：A^cy或A^dy)检查C_a的有效性。检查通过，则接受；否则，拒绝。

本发明中，协议-1、协议-2、协议-3及协议-4可以有如下变体：

(1).协议-1中K_A及K_B的生成方式有权利要求1中所描述的6种关于会话密钥的生成方式。

(2).对于协议-1会话密钥计算的完整形式，将K_A＝B^ea+cxY^da+fx换成K_A＝H_K(B^ea+cx，Y^da+fx)；将K_B＝A^eb+dyX^cb+fy换成K_B＝H_K(X^cbA^eb，X^fyA^dy)。其中，c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，e＝H(c)，d＝H(c，e，B^cx+ea)＝H(c，e，X^cbA^eb)，f＝(c，d，e)。

(3).对于协议-1会话密钥计算的完整形式、在线计算高效形式及协议-4，为了提高效率或防范拒绝服务攻击，用户“A”可以在一个较短的时间段内，比如1天或1周内，重复使用相同的DH密钥成分X。同样，用户“B”可以在一个较短的时间段内，比如1天或1周内，重复使用相同的DH密钥成分Y。X和Y需定期(不超过1周)进行更新，即：定期随机生成新的DH密钥成分。注意，公钥证书颁发机构CA并不需要对DH密钥成分X和Y进行认证。这导致一个非交互的、更高效、且适合抵抗拒绝服务攻击的密钥交换协议的变体。但是安全性可能会降低。

(4).协议-2中的会话密钥可以有权利要求2中所描述的3种关于会话密钥的生成方式。具体来讲，会话密钥可以直接由K_A＝B^cx+da＝X^cbA^db＝K_B导出，或者将K_A＝B^cx+da＝X^cbA^db＝K_B作为对称加密算法的密钥加密一个随机串r并由r导出(或直接作为)会话密钥。

(5).在协议-2中，C_(b，y)可以替换成 ${\mathrm{MAC}}_{K_M}(\mathrm{sid},I_B,I_A,B,A,Y,X,H(K_B,X^y),d,c,\mathrm{pub}).$

(6).将协议-3中的K₁换成K₁＝H_K(B^cx+ea)＝H_K(X^cbA^eb)，将会话密钥K换为K＝H_K(B^cx+eaY^da+fx)＝H_K(A^eb+dyX^cb+fy)。其中，c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，e＝H(c)，d＝H(c，e，B^cx+ea)＝H(c，e，X^cbA^eb)，f＝H(c，d，e)。

(7).协议-3有如下变体：将第二轮的MAC密钥K换为H_K(X^cb，X^y)，将第三轮的MAC密钥K换为H_K(Y^a，Y^x)，会话密钥由g^xy导出。

(8).协议-4中，K₂也可以换为K₂＝H_K(K₁，X^fy)＝H_K(K₁，Y^fx)或者K₂＝H_K(X^cbX^fy)＝H_K(B^cxY^fx)。

(9).协议-4有如下变体：将Y作为用户“B”的定期更换的短期公钥(或，用户“B”作为协议初始者先发送Y，然后用户“A”再发送X)。此时，MAC密钥K₁换为K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，Y^cx，c，pub)。

(10).当不需考虑抵抗拒绝服务攻击时，协议-3和协议-4中的C_b可省去。

(11).会话密钥扩展方法：对于不同的函数F，K_A＝F(B^cx，Y^da，B^ea，Y^fx)，K_B＝F(X^cb，A^dy，A^eb，X^fy)。此时，c，d，e，f的输入可以包含F输入的部分甚至全部。比如：K_A＝H_K(B^cx，Y^da)，K_B＝H_K(X^cb，A^dy)，d＝H(c，B^cx)。

(12).在所有协议中，为了提高计算效率，可令c＝H(sid，I_A，A，I_B，B，X，pub)，d＝H(sid，I_B，B，I_A，A，Y，pub)，e＝H(c)或e＝H(d)，f＝1。

(13).在所有的协议中，用户“A”在第一轮额外发送一个随机数r_A，用户“B”在第二轮额外发送一个随机数r_B，并将r_A和r_B作为哈西函数H与H_K输入的一部分。这时，(r_A，r_B)起到sid的作用。

(14).在所有的协议中，将部分或全部MAC去掉，只用哈西函数进行绑定。或者，MAC的输入只保留用户角色标示。但是，如果用户“A”和“B”使用相同的MAC私钥时候(比如，协议-2中的C_(a，x)与C_KM，协议-3中的C_X与C_b)，或者MAC的私钥同时也是会话密钥(比如协议-3)时，不可这样做。

(15).在所有具有MAC的协议实现中，为了提高计算效率，可仅仅将pub作为(以会话密钥作为私钥的)MAC的输入一部分，而不作为H，H_K及KDF的输入。

(16).在所有的协议中，将部分或全部MAC换成对称加密算法。

(17).在所有的协议中，用户的角色，即初始者或响应者，也可直接用0，1标示。

本发明协议具有如下特点：

(1).本发明协议(比如协议-1的在线计算高效形式)可提供几乎最优的在线计算效率。对于协议-1的会话密钥的在线高效生成形式，每个用户只需在线计算大约1.5个指数运算。具体来讲：用户“A”只需在线计算Y^q(即检查Y的阶为q)和Y^da+fx，而Y^q和Y_da+fx的同时计算相当于1.5个指数运算(而不是两个独立的指数运算)；用户“B”只需在线计算X^q(即检查X的阶为q)和X^cb+fy，同样，X^q和X^cb+fy而Y_q和Y^da+fx的同时计算相当于1.5个指数运算。在MQV和HMQV协议中，用户“A”需在线计算Y^q和(YB^c)^x+da，这需要2.5个指数运算；用户“B”需在线计算X^q和(XA^d)^y+cb，这同样需要2.5个指数运算。因此，本发明协议相对于MQV和HMQV节省了2个指数运算，大大提高了在线计算的效率。这对于本发明协议基于智能卡的实现是非常重要的。

(2).本发明协议(比如，协议-1的会话密钥计算的可抵赖形式和协议-3)可提供完全的可抵赖性。用户“A”和“B”可同时地抵赖他们没有参与协议的执行。这是因为会话密钥可仅由DH密钥成分的离散对数x和y计算出来。MQV和HMQV不能提供完全的可抵赖性。因此，本发明协议相对于MQV和HMQV可以更好地保护用户的隐私。

(3).本发明协议(比如，协议-1会话密钥计算的完整形式及协议-4)可提供完全的不可锻造安全性。即：无论一个敌手(比如冒充用户“B”的敌手)采取什么样的策略、具有什么样的辅助输入、甚至即便他可能偷取了诚实用户“A”的私钥a或者DH密钥成分的离散对数x，如果他能够计算出会话密钥那么他一定同时道私钥b和DH密钥成分Y的离散对数y(这表明敌手没有造成任何安全危害)。

(4).本发明协议(比如协议-3和协议-4)提供抵抗拒绝服务攻击性能；MQV和HMQV没有考虑抵抗拒绝服务攻击性能。

(5).本发明协议的指导思想和核心工具是高效实用的基于离散对数的不可锻造安全的2-轮零知识身份验证协议(即，协议-5)。而MQV和HMQV的指导思想和核心工具是指数挑战-响应签名(Exponential Challenge-Response XCR signature)。协议设计的指导思想和基本工具不同。

(6).本发明协议允许用户协商以满足用户对效率、可抵赖性、安全性、抵抗拒绝服务攻击、抵抗内部状态泄漏、以及显式或隐式身份及密钥确认的不同需求和优先级。比如，如用户对效率和隐私保护具有优先的需求，他可以选择使用协议-1的在线高效形式、可抵赖形式及协议-3；而协议-1的完整形式和协议-4可以满足更高的安全需求(并兼顾一定程度的隐私保护)。

具体实施方式

假设，具有身份I_A的用户“A”的公钥是A＝g^a并具有证书CERT_A，具有身份I_B的用户“B”的公钥是B＝g^b并具有证书CERT_B。证书CERT_A指的是CA对A的身份I_A及其公钥A＝g^a的一个电子签名，其余同。我们假设A为协议运行初始者(initiator)，B为协议运行响应者(responder)。协议的输出(即密钥)由一个密钥导出函数(key derivation function KDF)来定义K＝KDF(K_A，·)＝KDF(K_B，·)。KDF是一个二元函数，K_A或K_B作为一元，另一元包含与协议执行相关的公开信息并可随应用的不同而不同。KDF可随应用的不同而不同。常用的例子为，KDF为一个伪随机函数(pseudorandom function PRF)。比如，对于α＝K_A，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)， $\mathrm{KDF}(\mathrm{\α},\mathrm{\β})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}\left(c\right|\left|\mathrm{pub}\right).$ 注意，根据关于哈西函数表示方法的约定，这里H_K(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))表示的是H_K(K_A‖sid‖I_A‖g^a‖I_B‖g^b‖X‖Y‖c‖d‖pub)，其中，“‖”表示的是字符串的顺序连接(即，串联)。

在下述协议具体实施中，密钥导出函数所用的伪随机函数PRF及消息认证码MAC均采用由IETF(Internet Engineering Task Force)所公布的第2104号互联网意见征求文档(Internet RFC 2104)中所描述的HMAC认证码。HMAC只需作两个哈西运算，并被证明既是消息认证码又是伪随机函数。在协议具体实施中，HMAC由SHA-1哈西函数来实现。在下述协议具体实施中，密钥导出函数为： $\mathrm{KDF}(\mathrm{\α},\mathrm{\β})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub})={\mathrm{HMAC}}_{H_K(\mathrm{\α},\mathrm{\β})}(C,\mathrm{pub}),$ 其中α＝K_A＝K_B，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)。会话标示符sid可省去(由DH密钥成分(X，Y)担当)，或由用户“A”和“B”发送的两个随机串的串联担当。一般而言，对于隐式密钥和身份确认的密钥交换协议，会话标示符sid可省去，而由DH密钥成分(X，Y)担当sid的作用；对于显式密钥及身份确认的密钥交换协议，会话标示符sid用户“A”和“B”发送的两个随机串的串联担当。

在协议的具体实施中，可以有如下提高计算效率的方法：DH密钥成分X和Y可以在协议执行之前离线计算；因为用户的公钥固定，关于用户公钥A和B的指数运算仅相当于约0.2个指数运算；对于任何一个阶为q的Z^* _p中的元素(比如A，B，X，Y)，关于同一个元素的两个不同的指数运算(比如X^cb，X^fy)相当于1.5个指数运算；我们注意到抵抗拒绝服务攻击和这些提高计算效率的方法在某些环境和应用中可能会冲突。具体选择哪种计算方式要根据用户对抵抗拒绝服务攻击和计算效率的不同优先级来决定。

协议-1的具体实施方式：

协议-1在具体实施时，会话标示符sid可省去，而由DH密钥成分(X，Y)担当sid的作用。

第一轮，从“A”到“B”：{I_A，A，CERT_A，X＝g^x(mod p)}，其中x从Z_q中随机选取。X称为“A”的DH密钥成分。

收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。验证不成功，“B”拒绝继续执行协议，否则，进入下一轮。

第二轮，从“B”到“A”：{I_B，B，CERT_B，Y＝g^y}，其中，y从Z_q中随机选取且Y称为“B”的DH成分。

收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶为q的Z^* _p中的元素。验证不成功，“A”终止协议。

会话密钥计算的在线计算高效形式：用户“A”和“B”计算：c＝H(I_A‖A‖X‖I_B‖B‖pub)，d＝H(I_A‖A‖I_B‖B‖Y‖pub)，f＝H(c‖d)。其中pub包含与协议运行相关的其它公开信息，比如：用户“A”和“B”的证书、IP地址等。为了提高计算效率，用户“A”可以事先离线计算c、X＝g^x和B^a+cx mod q mod p，用户“B”可以事先离线计算d、Y＝g^y和A^b+dy mod q mod p，从而提高在线计算的效率。最后，用户“A”计算K_A＝B^a+cx mod qY^{da+fx mod q} mod p，并利用密钥导出函数KDF计算出会话密钥： $K={\mathrm{HMAC}}_{H_K\left(K_A\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$ 用户“B”计算K_B＝A^b+dy mod qX^{cb+fy mod q} mod p， $K={\mathrm{HMAC}}_{H_K\left(K_B\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$

会话密钥计算的可抵赖形式：在会话密钥计算的可抵赖形式中，K_A与K_B如下计算：K_A＝B^cx mod qY^{da+fx mod q}，K_B＝A^dy mod qX^{cb+fy mod q}。其中c＝H(I_A‖A‖X‖I_B‖B‖pub)，d＝H(I_A‖A‖I_B‖B‖Y‖pub)，f＝H(c‖d)。用户“A”事先离线计算c、X＝g^x和B^cx mod q，用户“B”事先离线计算d、Y＝g^y和A^dy mod q，从而可进一步提高在线计算的效率。

会话密钥计算的完整形式：在会话密钥计算的完整形式中，K_A与K_B如下计算：K_A＝B^{ea+cx mod q}Y^{da+fx mod q} mod p，K_B＝A^{eb+dy mod q}X^{cb+fy mod q} mod p，其中c＝H(I_A‖g^a‖I_B‖g^b‖X‖Y‖pub)，d＝H(c)，f＝H(c‖d)，e＝H(c‖d‖f)。

协议-2的具体实施方式：

协议-2在具体实施时，会话标示符sid是由协议运行两方发送的两个随机串r_B与r_A的合并连接(即：串联)构成。这意味着，协议-2在具体实施中需要3轮的交互。

第一轮，从“B”到“A”：{r_B，Y_B，B，Cert_B}，其中，r_B是一个32位随机0-1串。“A”验证r_B的有效性(即：r_B是一个32位0-1串)，验证用户“B”的身份、公钥及证书。任何验证失败，用户“A”终止协议执行。否则，进入下一轮。

第二轮，从“A”到“B”： $\{r_A,I_A,A,{\mathrm{CERT}}_A,X=g^x,$ $C_{(a,x)}={\mathrm{HMAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_A\right|\left|I_B\right|\left|A\right|\left|B\right|\left|X\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)\},$ 其中r_A是一个32位随机0-1串，A＝g^a，B＝g^b，x从Z_q中随机选取，c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖pub)，d＝H(c)。MAC私钥K_M的计算如下：K_A＝B^{cx+da mod q} mod p， $K_M={\mathrm{HMAC}}_{H_K\left(K_A\right|\left|r_B\right|\left|r_A{\left|\right|I}_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$ 收到“A”发送的信息后，“B”验证r_A的有效性(即：r_A是一个32位0-1串)，验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；计算K_B＝X^cb mod qA^db mod q mod p和 $K_M={\mathrm{HMAC}}_{H_K\left(K_B\right|\left|r_B\right|\left|r_A{\left|\right|I}_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right)$ 并验证 $C_{(a,x)}={\mathrm{HMAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_A\right|\left|I_B\right|\left|A\right|\left|B\right|\left|X\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)$ 的正确性。验证不成功，“B”拒绝继续执行协议，否则，进入下一轮。

第三轮，从“B”到“A”： ${Y=g}^y,C_{K_M}={\mathrm{HMAC}}_{H_M}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|Y\right|\left|C_{(b,y)}\right),$ $C_{(b,y)}={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|{|K}_B\left|\right|X^y\left|\right|d\left|\right|c\left|\right|\mathrm{pub})}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|\left|d\right|\left|c\right|\left|\mathrm{pub}\right)\},$ 其中y从Z_q中随机选取。收到“B”发送的信息后，“A”验证尸为非1且阶q的Z^* _p中的元素，并利用x、K_A，和K_M验证 $C_{K_M}={\mathrm{HNAC}}_{K_M}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|Y\right|\left|C_{(b,y)}\right)$ 且 $C_{(b,y)}={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|{|K}_A\left|\right|Y^x\left|\right|d\left|\right|c\left|\right|\mathrm{pub})}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|I_A\right|\left|B\right|\left|A\right|\left|Y\right|\left|X\right|\left|d\right|\left|c\right).$ 验证不成功，“A”终止协议。

会话密钥计算：用户“A”和“B”计算会话密钥：

$K={\mathrm{HMAC}}_{H_K\left(g^{\mathrm{xy}}\right|\left|r_B\right|\left|r_A\right|\left|I_A\right|\left|g^a\right|\left|I_B\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$

协议-3的具体实施方式：

协议-3在具体实施时，会话标示符sid是由协议运行两方发送的两个随机串r_B与r_A的合并连接构成。这意味着，协议-3在具体实施中需要4轮的交互。

第一轮，从“B”到“A”：{r_B，I_B，B，Cert_B}，其中r_B是一个32位随机0-1串，B＝g^b为用户“B”的公钥。“A”验证r_B的有效性(即：r_B是一个32位0-1串)，验证用户“B”的身份、公钥及证书。任何验证失败，用户“A”终止协议执行；否则，进入下一轮。

第二轮，从“A”到“B”： $\{r_A,I_A,A,{\mathrm{CERT}}_A,X=g^x,C_x={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|c\right|\left|I_A\right|\left|X\right)\},$ 其中r_A是一个32位随机0-1串，A＝g^a，B＝g^b，x从Z_q中随机选取。HMAC私钥K₁的计算如下：c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖pub)，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖B^cx‖c‖pub)。“A”发送完第一轮信息后，将x删除，但保留K₁和c。

收到用户“A”发送的信息后，用户“B”验证r_A的有效性(即：r_A是一个32位0-1串)。依次计算c，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖B^cx‖c‖pub)，验证C_x的正确性。如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。任何验证不成功，“B”拒绝继续执行协议；否则，进入下一轮。

第三轮，从“B”到“A”： $\left\{r_B\right||r_A,Y=g^y,C_{(b,y)}={\mathrm{HMAC}}_K\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|c\right),$ $C_b={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|B\right|\left|Y\right|\left|C_{(b,y)}\right)\},$ 其中y从Z_q中随机选取。令d＝H(c‖K₁‖Y)，会话密钥 $K={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_A{\left|\right|I}_B\right|\left|g^a\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\right|A^{\mathrm{dy}}\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right).$ 发送完第二轮信息后，用户“B”将c，d，y，X^cb，A^dy，K₁删除，仅保留会话密钥K。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性；然后，验证Y为非1且阶q的Z^* _p中的元素，计算 $K={\mathrm{HMAC}}_{H_K\left(r_B\right|\left|r_A\right|\left|I_A{\left|\right|I}_B\right|\left|g^a\right|\left|g^b\right|\left|X\right|\left|Y\right|\left|c\right|\left|d\right|\left|\right|Y^{\mathrm{da}}\left|\mathrm{pub}\right)}\left(c\right|\left|\mathrm{pub}\right)$ 并验证C_(b，y)的正确性。任何验证不成功，“A”终止协议；否则，删除c，d，K₁，Y^da，仅保留会话密钥K，并进入下一轮。

第四轮，从“A”到“B”：{r_B‖r_A，C_a＝HMAC_K(r_B‖r_A‖c‖I_A)}。收到“A”发送的信息后，“B”利用K验证C_a的确性；验证不成功，“B”终止协议。

协议-4的具体实施方式：

协议-4在具体实施时，会话标示符sid是由协议运行两方发送的两个随机串r_B与r_A的合并连接构成。这意味着，协议-4在具体实施可进行5轮的交互。下述协议-4的具体实施是针对用户对计算效率有优先需求时的情形。

第一轮，从“B”到“A”：{r_B，I_B，B，Cert_B}，其中r_B是一个32位随机0-1串，B＝g^b是用户“B”的公钥。“A”验证r_B的有效性(即：r_B是一个32位0-l串)，验证用户“B”的身份、公钥及证书。任何验证失败，用户“A”终止协议执行；否则，进入下一轮。

第二轮，从“A”到“B”： $\{r_A,I_A,A,{\mathrm{CERT}}_A,X=g^x,C_x={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|c\right|\left|I_A\right|\left|X\right)\},$ 其中A＝g^a，B＝g^b，x从Z_q中随机选取。MAC私钥K₁如下计算：c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖x‖pub)，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖B^cx‖c‖pub)。

收到用户“A”发送的信息后，用户“B”计算c，Y＝g^y(y从Z_q中随机选取)，f＝H(c‖Y)，(X^cb，X^fy)，K₁＝H_K(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖X^cb‖c‖pub)并验证C_x的正确性。如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素。任何验证不成功，“B”拒绝继续执行协议；否则，进入下一轮。

第三轮，从“B”到“A”： $\left\{r_B\right||r_A,Y=g^y,C_{(X,b,y)}={\mathrm{HMAC}}_{K2}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|c\right),$ $C_b={\mathrm{HMAC}}_{K_1}\left(r_B\right|\left|r_A\right|\left|I_B\right|\left|B\right|\left|Y\right|\left|C_{(X,b,y)}\right)\},$ 其中y从Z_q中随机选取，MAC私钥K₂＝H_K(r_B‖r_A‖K₁‖X^fy‖f‖c)。发送完第三轮信息后，用户“B”计算d＝H(c‖f‖K₁)，e＝H(c‖d‖f‖K₁‖K₂)、A^eb+dy、并计算会话密钥 $K={\mathrm{HMAC}}_{H_K\left(A^{\mathrm{eb}+\mathrm{dy}}{X}^{\mathrm{cb}+\mathrm{fy}}\right)}\left(r_B\right|\left|r_A\right|\left|c\right|\left|d\right|\left|e\right|\left|f\right);$ 用户“B”将所有内部状态，包括(y，K₁，K₂，c，d，e，f，(X^cb，X^fy)，A^eb+dy，A^eb+dyX^cb+fy等)，删除，仅保留会话密钥K。

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性；然后，“B”验证Y为非1且阶q的Z^* _p中的元素，计算f＝H(c‖Y)，f＝H(c‖f‖K₁)，Y^fx，Y^da，计算K₂＝H_K(r_B‖r_A‖K₁‖Y^fx‖f‖c)并验证C_(X，b，y)的正确性。任何验证不成功，“A”终止协议；否则，计算e＝H(c‖d‖f‖K₁‖K₂)、 $K={\mathrm{HMAC}}_{H_K\left(B^{\mathrm{ea}+\mathrm{cx}}{Y}^{\mathrm{da}+\mathrm{fx}}\right)}\left(r_B\right|\left|r_A\right|\left|c\right|\left|d\right|\left|e\right|\left|f\right).$ 用户“A”将所有内部状态，包括(x，K₁，K₂，c，d，e，f，B^cx，Y^fx，Y^da，A^eb+dy，B^ea+cxY^da+fx等)，删除，仅保留会话密钥K，并进入下一轮。

第四轮，从“A”到“B”：{r_B‖r_A，C_(K，a，x)＝HMAC_K(r_B‖r_A‖c‖I_A)}。收到“A”发送的信息后，“B”利用会话密钥K验证C_(K，a，x)的正确性。验证不成功，“B”终止协议；否则，进入下一轮。

第五轮，从“B”到“A”：{sid，C_(K，b，y)＝MAC_K(sid,c，I_A)}。收到“B”发送的信息后，“A”利用会话密钥K验证C_(K，b，y)的正确性；验证不成功，“B”终止协议。

协议-5的具体实施方式：

协议-5在具体实施时，会话标示符sid是由协议运行两方发送的两个随机串r_A与r_B的合并连接构成。在具体实施中，协议-5可以用作可抵赖的信息认证(dehiableauthentication)协议。具体来讲，将需要认证的信息或文件作为pub的一部分。

设公共输入为(p，q，g，A＝g^a)，其中a从Z_q随机选取的；A＝g^a为用户“A”的公钥，用户B可以没有公钥及证书。用户“A”向用户“B”证明其知道私钥a。当协议-4用于可抵赖信息认证时，pub包含需认证的信息或文件。

第一轮，从“A”到“B”：{r_A，I_A，A，CERT_A}，其中r_A是一个32位随机0-1串，A＝g^a，CERT_A是用户“A”的公钥证书。

收到用户“A”发送的信息后，用户“B”验证r_A的有效性(即：r_A是一个32位0-1串)，验证“A”的身份、公钥及证书。任何验证不成功，“B”拒绝继续执行协议；否则，进入下一轮。

第二轮，从“B”到“A”：{r_B，I_B，Y＝g^y，C_y}，其中，r_B是一个32位随机0-1串，y从Z_q中随机选取。令c＝H(r_A‖r_B‖I_B‖I_A‖Y‖A‖pub)，C_y有如下计算方法：

(1). $C_y={\mathrm{HMAC}}_{H_K\left(r_A\right|\left|r_B\right|\left|I_B\right|\left|I_A\right|\left|Y\right|\left|A\right|\left|A^{\mathrm{cy}}\right|\left|c\right|\left|\mathrm{pub}\right)}\left(c\right|\left|I_B\right|\left|\mathrm{pub}\right).$

(2).C_y＝H_K(r_A‖r_B‖I_B‖I_A‖Y‖A‖A^cy‖c‖pub)。

(3).C_y＝A^cy mod q  mod p(不推荐使用)。

收到用户“B”发送的信息后，用户“A”验证r_B的有效性(即：r_B是一个32位0-1串)，检查Y为非1阶q的Z^* _p中的元素，并利用Y^ca检查C_y的正确性。任何验证不成功，“B”拒绝继续执行协议；否则，进入下一轮。

第三轮，从“A”到“B”：{r_A‖r_B，C_a}；令d＝H(r_A‖r_B‖I_A‖I_B‖A‖Y‖c‖pub)，C_a有如下计算方法：

(1). $C_y={\mathrm{HMAC}}_{H_K\left(r_A\right|\left|r_B\right|\left|I_B\right|\left|I_A\right|\left|Y\right|\left|A\right|\left|Y^{\mathrm{ca}}\right|\left|c\right|\left|\mathrm{pub}\right)}\left(d\right|\left|c\right|\left|\mathrm{pub}\right).$

(2). $C_a={\mathrm{MAC}}_{H_K\left(r_A\right|\left|r_B\right|\left|I_A\right|\left|I_B\right|\left|A\right|\left|Y\right|\left|Y^{\mathrm{da}}\right|\left|d\right|\left|c\right|\left|\mathrm{pub}\right)}\left(I_A\right|\left|c\right|\left|\mathrm{pub}\right).$

(3).C_a＝H_K(r_A‖r_B‖I_A‖I_B‖A‖Y‖Y^da‖d‖c‖pub)。

(4).C_a＝Y^da mod q mod p(不推荐使用)；。

收到“A”发送的信息后，“B”计算d，并利用y(即：A^cy或A^dy)检查C_a的有效性。检查通过，则接受；否则，拒绝。

协议变体的具体实施方式：

在具体实施和应用中，可对协议1、协议-2、协议-3及协议-4作如下一项或多项改造：

(1).协议-1中K_A及K_B的生成方式可以有权利要求1中所描述的6种关于会话密钥的生成方式。

(2).对于协议-1会话密钥计算的完整形式，将K_A＝B^ea+cxY^da+fx换成K_A＝H_K(B^ea+cx‖Y^da+fx)；将K_B＝A^eb+dyX^cb+fy换成K_B＝H_K(X^cbA^eb‖X^fyA^dy)。其中c＝H(I_A‖g^a‖I_B‖g^b‖X‖Y‖pub)，e＝H(c)，d＝H(c‖e‖B^cx+ea)＝H(c‖e‖X^cbA^eb)，f＝(c‖d‖e)。这可增强协议的安全性。

(3).对于协议-1会话密钥计算的完整形式、在线计算高效形式及协议-4，为了提高效率或防范拒绝服务攻击，用户“A”可以在一个较短的时间段内，比如1天或1周内，重复使用相同的DH密钥成分X。同样，用户“B”可以在一个较短的时间段内，比如1天或1周内，重复使用相同的DH密钥成分Y。但需注意，X和Y需定期(不超过1周)进行更新，即：定期随机生成新的DH密钥成分，以保证安全性。此时，公钥证书颁发机构CA并不需要对DH密钥成分X和Y进行认证。这导致一个非交互的、更高效、且适合抵抗拒绝服务攻击的密钥交换协议的变体。但是安全性可能会降低。

(4).协议-1隐式身份及密钥确认的2-轮协议可以转化为3轮的显式身份及密钥确认协议。为了进行身份及密钥确认，用户“B”和“A”可以用导出的会话密钥K作为消息认证码HMAC的密钥对协议公开信息，sid，I_A，I_B，A，X，Y，c，d，pub等，进行认证。具体来讲，协议响应者B在第二轮认证(sid，I_B，I_A，B，A，Y，X，d，c，pub)；协议初始者A在另加的第三轮进行认证(sid，I_A，I_B，A，B，X，Y，c，d，pub)。这导致一个3-轮的协议变体。此时，会话标示符sid可以是用户“B”和“A”交换的两个随机串r_B与r_A的合并连接，即：r_B‖r_A。

(5).协议-2中的会话密钥可以有权利要求2中所描述的3种关于会话密钥的生成方式。具体来讲，会话密钥可以直接由K_A＝H_K(B^cx+da)＝H_K(X^cbA^db)＝K_B导出；或者将K_A＝H_K(B^cx+da)＝H_K(X^cbA^db)＝K_B作为对称加密算法的密钥加密一个随机串r，并由r导出(或直接作为)会话密钥。

(6).在协议-2中，C_(b，y)可以替换成HMAC_KM(r_B‖r_A‖I_B‖I_A‖B‖A‖Y‖X‖H(K_B‖X_y)‖d‖c‖pub)。

(7).将协议-3中的K₁换成K₁＝H_K(B^cx+ea)＝H_K(X^cbA^eb)，将会话密钥K换为K＝H_K(B^cx+eaY^da+fx)＝H_K(A^eb+dyX^cb+fy)。其中，c＝H(r_B‖r_A‖I_A‖g^a‖I_B‖g^b‖X‖pub)，e＝H(c)，d＝H(c‖e‖B^cx+ea)＝H(c‖e‖X^cbA^eb)，f＝H(c‖d‖e)。

(8).协议-3有如下变体：将第二轮的MAC密钥K换为H_K(X^cb‖X^y)，将第三轮的MAC密钥K换为H_K(Y^a‖Y^x)，会话密钥由g^xy导出。

(9).协议-4中，K2也可以换为K₂＝H_K(K₁‖X^fy)＝H_K(K₁‖Y^fx)或者K₂＝H_K(X^cbX^fy)＝H_K(B^cxY^fx)。

(10).协议-4有如下变体：将Y作为用户“B”的定期更换的短期公钥(或，用户“B”作为协议初始者先发送Y，然后用户“A”再发送X)。此时，MAC密钥K₁换为K₁＝H_K(sid‖I_A‖g^a‖I_B‖g^b‖X‖Y^cx‖c‖pub)。

(11).当不需考虑抵抗拒绝服务攻击时，协议-3和协议-4中的C_b可省去。

(12).会话密钥扩展方法：对于不同的(四元)函数F，K_A＝F(B^cx，Y^da，B^ea，Y^fx)，K_B＝F(X^cb，A^dy，A^eb，X^fy)。此时，c，d，e，f的输入可以包含F输入的部分甚至全部。比如：K_A＝H_K(B^cx‖Y^da)，K_B＝H_K(X^cb‖A^dy)，d＝H(c‖B^cx)。(协议-1、协议-2与协议-3采用的会话密钥生成算法相当于函数F是关于其全部或部分输入的乘法函数。)

(13).在所有协议中，为了提高计算效率，可令c＝H(sid‖I_A‖A‖I_B‖B‖X‖pub)，d＝H(sid‖I_B‖B‖I_A‖A‖Y‖pub)，e＝H(c)或e＝H(d)，f＝1。

(14).在所有的协议中，用户“A”在第一轮额外发送一个随机数r_A，用户“B”在第二轮额外发送一个随机数r_B，并将r_A和r_B作为哈西函数H与H_K输入的一部分。这时，r_A‖r_B或r_B‖r_A起到会话标示符sid的作用。

(15).在所有的协议中，将部分或全部HMAC去掉，只用哈西函数进行绑定；或者，HMAC的输入只保留用户角色标示。但是，如果用户“A”和“B”使用相同的HMAC私钥时候(比如，协议-2中的C_(a，x)与C_KM，协议-3及协议-4中的C_x与C_b)，或者HMAC的私钥同时也是会话密钥(比如协议-3)时，不可这样做。

(16).在所有具有MAC的协议实现中，为了提高计算效率，可仅仅将pub作为(以会话密钥作为私钥的)MAC的输入一部分，而不作为H，H_K及KDF的输入。

(17).在所有的协议中，将部分或全部HMAC换成对称加密算法；

(18).在所有的协议中，用户的角色，即初始者或响应者，也可直接用0，1标示；

在协议的具体实施和应用中，用户可以根据对效率、安全、隐私保护、及抵抗拒绝服务攻击等的不同需求和优先级来选择相应的协议及变体。具体来讲，协议-1的会话密钥在线高效生成形式可提供几乎最优的在线计算效率。协议-1的会话密钥生成完整方式及变体(2)和(4)，以及协议-4适合于提供更强的安全性；而变体(3)适合于满足用户对高效率及抵抗拒绝服务攻击的需求。协议-2主要满足用户对更高效率的要求。协议-3适合于保护用户隐私及抵抗拒绝服务攻击。变体(8)、(9)、(10)、(11)和(13)可一定程度上提高协议-3和协议-4的效率。

Claims (10)

1.一种在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于：

系统工作环境为：

(1).系统参数：(p，q，g，H，H_K，c，d，e，f，)，其中p和q为大素数，并且q能整除p-1，g是一个Z^* _p中阶为q的元素，使得在Z^* _p中由g定义的子群上离散对数DL及计算Diffie-Hellman CDH问题是难的；所有的指数运算及不在指数上的乘法运算是mod p运算，加法及指数上的乘法为mod q运算；这里，Z^* _p＝{1，2，Λ，p-1}；H和H_K是从{0，1}^*→{0，1，2，…，q-1}的哈西函数；c，d，e，f为{0，1}^*→{0，1，2，…， q-1}的函数；为增加计算速度，H，c，d，e，f的输出长度可以为l＝(log₂q+1)/2；对于字符串s₁，…，s_k，k＞1，H(s₁，s₂，…，s_k)表示的是：将s₁，…，s_k用二进制0-1串来表示，然后将所有的0-1串顺序连接串联起来，最后将串联后得到的0-1串作为H的输入；

(2).除非有特别说明，具有身份ID I_A的用户“A”有一个公钥A＝g^a，其中a由用户“A”在Z_q中随机选取；相应地，具有ID I_B的用户“B”的公钥记为B＝g^b，以此类推；这里，Z_q＝{0，1，2，Λ，q-1}；

(3).协议基于Diffie-Hellman密钥交换协议；记X＝g^x为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数；记Y＝g^y为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数；

(4).有一个可信的证书权威机构CA，颁发证书CERT，用于将用户的身份及其相应公钥进行可公开验证的绑定；绑定用CA的电子签名实现；绑定时CA验证公钥为Z^* _p中阶为q且非1的元素；用户“A”的证书记为CERT_A；

(5).假定协议的每一次执行有一个标示号：sid；sid是一个字符串，用于标记并发运行的协议执行；sid的制定和协商可随协议的运行环境不同而有所变化；一般而言，sid包含在协议运行之前用户交换的信息或交换信息的哈西值；

(6).与协议执行相关的其它信息pub：除了sid，I_AA＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y外，其它与协议执行相关的信息用pub来表示； pub是一个字符串，是用户的IP地址、公钥证书、其它需要认证的信息、时间戳的串联；

协议实现方法为：用户“A”及“B”相互交换它们各自的DH密钥成分X＝g^x和Y＝g^y；假设用户“A”为协议的发起者，用户“B”为协议的响应者；即：用户“A”在第一轮发送x，在收到X后用户“B”在第二轮发送Y；

将协议每一次执行的所有相关信息，包括：sid，I_A，A＝g^a，I_B，B＝g^b，X＝g^x，Y＝g^y，以及其它与该次协议执行相关的信息pub，包含：用户的IP地址、公钥证书、其它需要认证的信息、时间戳，用哈西函数H和函数c，d，e，f进行承诺绑定；一般而言，先用哈西函数H进行绑定，然后将H的输出作为c，d，e，f输入的一部分；并且对于输出不是常数的函数c，d，e，f，其输入和输出可以相互嵌套和影响，从而提供更强的绑定；对于用户“A”和“B”的私钥a和b，以及它们DH密钥成分X和Y的离散对数x和y，利用哈西函数及c，d，e，f进行掩盖保护，从而提供相对于每一次协议执行的新鲜性和不可锻造安全性；

会话密钥计算方法：会话密钥K由如下值之一导出，其中K_A为用户“A”计算的值，K_B为用户“B”计算的值，K_A等于K_B：

(1).在线计算高效形式：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy；其中，c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)，e＝1或e＝H(sid，I_A，A，I_B，B，pub)，f＝H(c，d)；当d＝H(sid，I_A，A，I_B，B，Y，pub)及e＝1时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算X、c和B^a+cx，用户“B”事先离线计算Y、d和A^b+dy，从而提高在线计算的效率；

(2).可抵赖形式：K_A＝B^cxY^da+fx，K_B＝A^dyX^cb+fy；或K_A＝B^cxY^da，K_B＝A^dyX^cb；其中c＝H(sid，I_A，A，X，I_B，B，pub)或c＝H(sid，I_A，A，X，I_B，B，Y，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)或d＝H(c，Y)；f＝H(c，d)；在这种情况，函数e＝0，会话密钥可仅仅由DH密钥成分的离散对数，即x和y，计算出，因此每一个用户均可以抵赖会话密钥的产生，从而更好地保护用户的隐私；当c＝H(sid，I_A，A，X，I_B，B，pub)及d＝H(sid，I_A，A，I_B，B，Y，pub)时，此时c的输入不包含Y，d的输入不包含X，用户“A”事先离线计算X、c和B^cx，用户“B”事先离线计算Y、d和A^dy，从而在保持可抵赖性的基础上进一步提高在线计算的效率；

(3).完整形式：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy；其中函数c，d，e，f的输入和输出相互嵌套和影响：c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，d)，e＝H(c，d，f)；

(4).基本形式：K_A＝B^a+cxY^da+x，K_B＝A^b+dyX^cb+y，或K_A＝B^ca+xY^a+dx，K_B＝A^cb+yX^b+dy；其中c＝H(sid，I_A，A，X，I_B，B，Y，pub)，d＝H(c)；

(5).简单形式：K_A＝B^cx+da，K_B＝A^dbX^cb；对于这种情形，因为用户“A”计算K_A时候可以不知道Y，Y不被包含在c， d以及H的输入中；函数c和d的设置有如下情况：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(c)或d＝1；或者，d＝H(sid，I_A，A，X，I_B，B，pub)，c＝H(d)或c＝1；

(6).其他形式：K_A＝B^cx+eaY^da，K_B＝A^dy+ebX^cb；其中e＝1或e＝H(sid，I_A，A，I_B，B，pub)；c＝H(sid，I_A，A，X，I_B，B，pub)；d＝H(sid，I_A，A，I_B，B，Y，pub)；

会话密钥K是由H_K和一个密钥导出函数KDF导出；其方法是将H_K(K_A，(sid，A，B，I_A，I_B，X，Y，c，d，e，f，pub))作为一个伪随机函数PRF的随机种子来导出；一个伪随机函数是一个二元函数PRF_α(·)：第一元α是一个随机数，称为PRF的随机种子；·是另外一元，可以是任意字符串的顺序连接；或者，会话密钥直接由哈西函数H_K导出：K＝H_K(K_A，c，d，e，f)＝H_K(K_B，c，d，e，f)；

身份及密钥确认方法：为了进一步相互确认身份及会话密钥，用户“B”和“A”用导出的会话密钥作为消息认证码MAC的私钥对协议公开信息，sid，I_A，I_B，A，X，Y，c，d以及用户角色标示，进行认证；具体来讲，协议响应者B在第二轮认证(sid，I_B，I_A，B，A，Y，X，d，c，pub)，协议初始者A在另加的第三轮进行认证(sid，I_A，I_B，A，B，X，Y，c，d，pub)；

用户角色，即协议初始者和响应者的标示方法：

(1).由c，d，e，f的顺序来标示；(c，d)标示协议初始者角色，(d，c)标示协议响应者角色；这种角色标示方法要求函数c，d的输出不为常数；

(2).由c与用户ID的顺序来标示；(c，I_A)标示协议初始者；(I_B，c)标示响应者；

基于发明协议会话密钥计算的不同形式，发明协议允许用户协商以满足用户对在线计算效率、可抵赖性、安全性、抵抗拒绝服务攻击，以及显式或隐式身份及密钥确认的不同需求以及优先级。

2.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于协议具有基于会话密钥计算简单形式的2-轮显式身份及密钥确认的实现方式，2-轮显式身份及密钥确认的协议实现方法为：

为了得到2-轮显式身份及密钥确认的密钥交换协议，基于会话密钥计算简单形式，有如下三种方法：

(1).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da以及协议公开信息导出的密钥作为消息认证码MAC的私钥对协议公开信息，sid，I_A，I_B，A，B，X，c，d以及用户角色标示，进行认证；用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性；在第二轮，用户“B”发送Y，并利用由X^y和K_B共同导出的MAC的私钥，H_K(X^y，K_B，sid，I_A，I_B，A，B，X，Y，c，d)，对协议公开信息，sid，I_B，I_A，Y，X，d，c以及用户角色标示，进行认证；为了抵抗拒绝服务攻击，用户“B”再使用由K_B＝A^dbX^cb导出的MAC的私钥对第二轮发送的全部或部分信息进行二次MAC认证；最后，会话密钥最终由g^xy导出；

(2).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为消息认证码MAC的私钥对协议公开信息，sid，I_A，I_B，X，c，d，进行认证；用户“B”利用由K_B＝A^dbX^cb导出的私钥验证MAC的正确性；在第二轮，用户“B”利用由K_B导出的MAC的私钥对协议公开信息，sid，I_B，I_A，Y，X，d，c，进行认证；会话密钥由K_A＝K_B导出；

(3).在第一轮，用户“A”发送X，并利用由K_A＝B^cx+da导出的密钥作为对称加密算法E的私钥加密一个随机数r；在第二轮，B利用由K_B＝A^dbX^cb导出的私钥解密出r，并利用r作为MAC的私钥对协议公开信息，sid，I_B，I_A，X，d，c，进行认证；会话密钥由r导出。

3.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于协议具有基于会话密钥计算可抵赖形式的3-轮显式身份及密钥确认且抵抗拒绝服务攻击的实现方式，3-轮可抵赖、抗拒绝服务攻击、且显式身份及密钥确认的协议实现方法为：

在第一轮用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥作为MAC的私钥对(c，I_A)进行认证；这里，(c，I_A)标示协议初始者角色；

在第二轮，用户“B”首先利用X^cb验证第一轮MAC值的正确性；然后，“B”计算并发送Y＝g^y，计算d＝H(c，X^cb，Y)，并利用由(A^dy，X^cb)共同导出的会话密钥K对(I_B，c)进行认证；这里，(I_B，c)标示协议响应者角色；最后，“B”再用由X^cb导出的MAC的私钥对第二轮发送的信息进行二次认证；

在第三轮，用户“A”首先通过B^cx验证第二轮信息的二次认证MAC值的有效性；然后，用户“A”利用由(B^cx，Y^da)共同导出的会话密钥K作为MAC的私钥对(c，I_A)进行认证。

4.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于协议具有基于会话密钥计算完整形式的4-轮抗内部状态泄漏、拒绝服务攻击且显式密钥及身份确认的实现方式，4-轮抗内部状态泄漏和拒绝服务攻击、且显式密钥及身份确认的协议实现方法为：

在第一轮，用户“A”发送X＝g^x，计算c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，并通过由B^cx导出的密钥K₁作为MAC的私钥对(c，I_A)进行认证；这里，(c，I_A)标示协议初始者角色；

在第二轮，用户“B”首先由X^cb计算出K₁来验证第一轮MAC值的正确性；然后，“B”计算并发送Y＝g^y，计算f＝H(c，Y)，并利用由(X^cb，X^fy)共同导出的密钥K₂对(I_B，c)进行MAC认证；这里，(I_B，c)标示协议响应者角色；最后，“B”再用K₁对第二轮发送的信息进行二次认证；

在第三轮，用户“A”首先通过使用K₁验证第二轮信息的二次认证MAC值的有效性；然后，用户“A”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，由B^ea+cxY^da+fx导出会话密钥K，并用K作为MAC的私钥对(c，I_A)进行认证；

在第四轮，用户“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，由A^eb+dyX^cb+fy导出会话密钥K并验证第三轮MAC值的正确性；然后，用户“B”再用会话密钥K对(I_B，c)进行MAC认证。

5.根据权利要求1所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于协议的实现步骤为：

在下述协议描述中，大括号内的值表示发送的信息；用户“A”的公钥是A＝g^a并具有CA颁发的证书CERT_A，用户“B”的公钥是B＝g^b并具有CA颁发的证书CERT_B；假设用户“A”为协议运行初始者，用户“B”为协议运行响应者；协议的输出，即会话密钥K，由一个密钥导出函数KDF来定义K＝KDF(K_A，·)＝KDF(K_B，·)，·表示二元函数KDF中的一个变元；密钥导出函数KDF可随应用的不同而不同；

协议-1：2-轮隐式身份及密钥确认的协议实现步骤：

第一轮，从“A”到“B”：{sid，I_A，A，CERT_A，X＝g^x(mod p)}，其中x从Z_q中随机选取；X称为“A”的DH密钥成分；收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；验证不成功，“B”拒绝继续执行协议，否则，进入下一轮；

第二轮，从“B”到“A”：{sid，I_B，B，CERT_B，Y＝g^y}；y从Z_q中随机选取且Y称为“B”的DH成分；收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶为q的Z^* _p中的元素；验证不成功，“A”终止协议；

会话密钥计算的在线计算高效形式：用户“A”和“B”计算：c＝H(sid，I_A，A，X，I_B，B，pub)，d＝H(sid，I_A，A，I_B，B，Y，pub)，f＝H(c，d)；其中pub包含与协议运行相关的其它公开信息；用户“A”事先离线计算X、c和B^a+cx，用户“B”事先离线计算Y、d和A^b+dy，从而提高在线计算的效率；最后，用户“A”计算K_A＝B^a+cxY^da+fx，并利用密钥导出函数KDF计算出会话密钥：K＝KDF(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))；用户“B”计算K_B＝A^b+dyX^cb+fy，K＝KDF(K_B，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))；对于α＝K_A，β＝(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub)， $\mathrm{KDF}(\mathrm{\α},\mathrm{\β})={\mathrm{PRF}}_{H_K(\mathrm{\α},\mathrm{\β})}(c,\mathrm{pub}),$ 其中，PRF是一个伪随机函数；这里，H_K(K_A，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，pub))表示的是H_K(K_A‖sid‖I_A‖g^a‖I_B‖g^b‖X‖Y‖c‖d‖pub)，PRF_HK(α，β)(c，pub)表示的是PRF_HK(α，β)(c‖pub)，“‖”表示的是字符串的顺序连接；

会话密钥计算的可抵赖形式：在会话密钥计算的可抵赖形式中，K_A与K_B如下计算：K_A＝B^cxY^da+fx，K_B＝A^dyX^cb+fy；其中c＝H(sid,I_A，A，X，I_B，B，pub)，d＝H(sid,I_A，A，I_B，B，Y，pub)，f＝H(c，J)；用户“A”事先离线计算X、c和B^cx，用户“B”事先离线计算Y、D和A^dy；

会话密钥计算的完整形式：在会话密钥计算的完整形式中，K_A与K_B如下计算：K_A＝B^ea+cxY^da+fx，K_B＝A^eb+dyX^cb+fy；其中c＝H(sid,I_A，g^a，I_B，g^b，X，Y，pub)，d＝H(c)，f＝H(c，J)，E＝H(c，d，f)。

6.根据权利要求2所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于所述协议-2：2-轮显式身份及密钥确认的协议实现步骤如下：

第一轮，从“A”到“B”： $\{\mathrm{sid},I_A,A,{\mathrm{CERT}}_A,X=g^x,$ $C_{(a,x)}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_A,I_B,A,B,X,c,d,\mathrm{pub})\},$ 其中A＝g^a，B＝g^b，x从Z_q中随机选取，c＝H(sid,I_A，g^a，I_B，g^b，X，pub)，d＝H(c)；MAC私钥K_M的计算如下：K_A＝B^cx+da，K_M＝KDF(K_A，(sid,I_A，g^a，I_B，g^b，X，Y，c，d，pub))：收到“A”发送的信息后，“B”验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；计算K_B＝X^CbA^db和K_M并验证 $C_{(a,x)}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_A,I_B,A,B,X,c,d,\mathrm{pub})$ 的正确性；验证不成功，“B”拒绝继续执行协议，否则，进入下一轮；

第二轮，从“B”到“A”： $\{\mathrm{sid},I_B,B,{\mathrm{CERT}}_B,Y=g^y,$ $C_{(b,y)}={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,B,A,Y,X,K_B,X^y,d,c,\mathrm{pub})}(\mathrm{sid},I_B,I_A,B,A,Y,X,d,c),C_{K_M}=\mathrm{MA}{C}_{K_M}(\mathrm{sid},I_B,Y,C_{(b,y)})\},$ 其中y从Z_q中随机选取；收到“B”发送的信息后，“A”验证“B”的身份、公钥及证书，Y为非1且阶g的Z^* _p中的元素，并利用x、K_A，和K_M验证 $C_{K_M}={\mathrm{MAC}}_{K_M}(\mathrm{sid},I_B,Y,C_{(b,y)})$ 且 $C_{(b,y)}={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,B,A,Y,X,K_A,Y^x,d,c,\mathrm{pub})}(\mathrm{sid},I_B,I_A,B,A,Y,X,d,c);$ 验证不成功，“A”终止协议；

会话密钥计算：用户“A”和“B”计算会话密钥：K＝KDF(g^xy，(sid,I_A，g^a，I_B，g^b，X，Y，c，d，pub))。

7.根据权利要求3所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于协议-3：3-轮显式身份及密钥确认且抵抗拒绝服务攻击的协议实现步骤如下：

第一轮，从“A”到“B”： $\{\mathrm{sid},I_A,A,{\mathrm{CERT}}_A,X=g^x,C_x={\mathrm{MAC}}_{K_1}(\mathrm{sid},c,I_A,X)\},$ 其中A＝g^a，B＝g^b，x从Z_q中随机选取；MAC私钥K₁的计算如下：c＝H(sid,I_A，g^a，I_B，g^b，X，pub)，K₁＝H_k(sid,I_A，g^a，I_B，g^b，X，B^cx，c，pub)：

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid,I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性；如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为g的Z^* _p中的元素；任何验证不成功，“B”拒绝继续执行协议；否则，进入下一轮；

第二轮，从“B”到“A”： $\{\mathrm{sid},I_B,B,{\mathrm{CERT}}_B,Y=g^y,C_{(b,y)}={\mathrm{MAC}}_K(\mathrm{sid},I_B,c),$ $C_b={\mathrm{MAC}}_{K_1}(\mathrm{sid},I_B,B,Y,C_{(b,y)})\},$ 其中y从Z_q中随机选取；令d＝H(c，K₁，Y)，会话密钥K由H_K(sid，I_A，I_B，A，B，X，Y，c，d，A^ay)导出：

收到“B”发送的信息后，“A”首先利用K₁验证C_b的正确性；然后，验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素，由H_K(sid，I_A，I_B，A，b，X，y，c，d，y^da)导出会话密钥K并验证C_(b，y)的正确性；任何验证不成功，“A”终止协议；否则，进入下一轮；

第三轮，从“A”到“B”：{sid，C_A＝MAC_K(sid,c，I_A)}；收到“A”发送的信息后，“B”验证C_a的正确性；验证不成功，“B”终止协议。

8.根据权利要求4所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于协议-4：4-轮抗内部状态泄漏、拒绝服务攻击且显式密钥及身份确认的协议实现步骤如下：

第一轮，从“A”到“B”： $\{\mathrm{sid},I_A,A,{\mathrm{CERT}}_A,X=g^x,C_x={\mathrm{MAC}}_{K_1}(\mathrm{sid},c,I_A,X)\},$ 其中A＝g^a，B＝g^b，x从Z_q中随机选取；MAC私钥K₁的计算如下：c＝H(sid,I_A，g^a，I_B，g^b，X，pub)，K₁＝H_k(sid,I_A，g^a，I_B，g^b，X，B^cx，c，pub)；

收到用户“A”发送的信息后，用户“B”依次计算c，K₁＝H_K(sid,I_A，g^a，I_B，g^b，X，X^cb，c，pub)，验证C_x的正确性；如果验证通过，“B”继续验证“A”的身份、公钥及证书，X为非1且阶为q的Z^* _p中的元素；任何验证不成功，“B”拒绝继续执行协议；否则，进入下一轮；

第二轮，从“B”到“A”： $\{\mathrm{sid},I_B,B,{\mathrm{CERT}}_B,Y=g^y,C_{(X,b,y)}={\mathrm{MAC}}_{K2}(\mathrm{sid},I_B,c),$ $C_b={\mathrm{MAC}}_{K_1}(\mathrm{sid},I_B,B,Y,C_{(X,b,y)})\},$ 其中y从Z_q中随机选取；令f＝H(c，Y)，MAC私钥K₂＝H_K(sid,I_B，I_A，B，A，Y，X，X^Cb，X^fy，f，c，pub)；

收到“B”发送的信息后，“A”首先利用k₁验证C_b的正确性；然后，验证“B”的身份、公钥及证书，Y为非1且阶q的Z^* _p中的元素；计算f＝H(c，Y)，d＝H(c，f，K₁)，Y^fx，Y^da及K₂＝H_K(sid，I_B，I_A，B，A，Y，X，B^cx，Y^fx，f，c，pub)并验证C_(X，b，y)的正确性；任何验证不成功，“A”终止协议；否则，计算e＝H(c，d，f，K₁，K₂)及会话密钥K＝KDF(B^ea+cxY^da+fx，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，e，f，pub))，并进入下一轮；

第三轮，从“A”到“B”：{sid，C_(K，a，x)＝MAC_K(sid，c，I_A)}；收到“A”发送的信息后，“B”计算d＝H(c，f，K₁)，e＝H(c，d，f，K₁，K₂)，A^eb+dy，计算会话密钥K＝KDF(A^eb+dyX^cb+fy，(sid，I_A，g^a，I_B，g^b，X，Y，c，d，e，f，pub))并验证C_(K，a，x)的正确性；验证不成功，“B”终止协议；否则，进入下一轮；

第四轮，从“B”到“A”：{sid，C_(K，b，y)＝MAC_K(sid，c，I_A)}；收到“B”发送的信息后，“A”利用会话密钥K验证C_(K，b，y)的正确性；验证不成功，“B”终止协议；

9.根据权利要求1-8之一所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于包含如下子协议：

协议-5：基于离散对数的不可锻造安全的2-轮零知识身份验证协议：设公共输入为(p，q，g，A＝g^a)，其中a从Z_q随机选取的；A＝g^a为用户“A”的公钥，用户“A”向用户“B”证明其知道私钥a；

第一轮，从“B”到“A”：{sid，I_B，Y＝g^y，Cy}；其中，y从Z_q中随机选取；令c＝H(sid，I_B，I_A，Y，A，pub)，C_y有如下计算方法：

(1). $C_y={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,Y,A,A^{\mathrm{cy}},c,\mathrm{pub})}(c,I_B,\mathrm{pub})$ ；或者

(2).C_y＝H_K(sid，I_B，I_A，Y，A，A^cy，c，pub)；或者

(3).C_y＝A^cy；

第二轮，从“A”到“B”：用户“A”检查Y为非1阶q的Z^* _p中的元素，利用Y^ca检查C_y的正确性；发送{sid，I_A，A，C_a}；令d＝H(sid，I_A，I_B，A，Y，c，pub)，C_a有如下计算方法：

(1). $C_a={\mathrm{MAC}}_{H_K(\mathrm{sid},I_B,I_A,Y,A,Y^{\mathrm{ca}},c,\mathrm{pub})}(d,c,\mathrm{pub})$ ；或者

(2). $C_a={\mathrm{MAC}}_{H_K(\mathrm{sid},I_A,I_B,A,Y,Y^{\mathrm{da}},d,c,\mathrm{pub})}(I_A,c,\mathrm{pub})$ ；或者

(3).C_a＝H_K(sid，I_A，I_B，A，Y，Y^da，d，c，pub)；或者

(4).C_a＝Y^da；

收到“A”发送的第二轮信息后，“B”检查“A”的身份、公钥及证书，并利用A^cy或者A^dy检查C_a的有效性；检查通过，则接受；否则，拒绝。

10.根据权利要求1-8之一所述的在线计算高效、可抵赖、不可锻造安全的密钥交换协议，其特征在于具有如下的变体：

(1).协议-1中K_A及K_B的生成方式有权利要求1中所描述的6种会话密钥的生成方式；

(2).对于协议-1会话密钥计算的完整形式，将K_A＝B^ea+cxY^da+fx换成K_A＝H_K(B^ea+cx，Y^da+fx)；将K_B＝A^dy+ebX^cb+fy换成K_B＝H_K(X^cbA^eb，X^fyA^dy)；其中，c＝H(sid，I_A，g^a，I_B，g^b，X，Y，pub)，e＝H(c)，d＝H(c，e，B^cx+ea)＝H(c，e，X^cbA^eb)，f＝(c，d，e)；

(3).对于协议-1会话密钥计算的完整形式、在线计算高效形式及协议-4，为了提高效率或防范拒绝服务攻击，用户“A”在1天至1周内，重复使用相同的DH密钥成分X；同样，用户“B”在1天至1周内，重复使用相同的DH密钥成分Y；X和Y需定期进行更新，即：定期随机生成新的DH密钥成分；

(4).协议-2中的会话密钥有权利要求2中所描述的3种关于会话密钥的生成方式，即会话密钥直接由K_A＝B^cx+da＝X^cbA^db＝K_B导出，或者将K_A＝B^cx+da＝X^cbA^db＝K_B作为对称加密算法的密钥加密一个随机串r并由r导出会话密钥，或者r直接作为会话密钥；

(5).在协议-2中，将C_(b，y)替换成MAC_KM(sid，I_B，I_A，B，A，Y，X，H(K_B，X^y)，d，c，pub)；

(6).将协议-3中的K₁换成K₁＝H_K(B^cx+ea)＝H_K(X^cbA^eb)，将会话密钥K换为K＝H_K(B^ea+cxY^da+fx)＝H_K(A^eb+dyX^cb+fy)；其中，c＝H(sid，I_A，g^a，I_B，g^b，X，pub)，e＝H(c)，d＝H(c，e，B^cx+ea)＝H(c，e，X^cbA^eb)，f＝H(c，d，e)；

(7).协议-3有如下变体：将第二轮的MAC密钥K换为H_K(X^cb，X^y)，将第三轮的MAC密钥K换为H_K(Y^a，Y^x)，会话密钥由g^xy导出；

(8).协议-4中，K₂换为K₂＝H_K(K₁，X^fy)＝H_K(K₁，Y^fx)或者K₂＝H_K(X^cbX^fy)＝H_K(B^cxY^fx)；

(9).协议-4有如下变体：将Y作为用户“B”的定期更换的短期公钥；或者，用户“B”作为协议初始者先发送Y，然后用户“A”再发送X；此时，MAC密钥K₁换为K₁＝H_K(sid，I_A，g^a，I_B，g^b，X，Y^cx，c，pub)；

(10).当不需考虑抵抗拒绝服务攻击时，协议-3和协议-4中的C_b省去；

(11).会话密钥扩展方法：对于不同的函数F，K_A＝F(B^cx，Y^da，B^ea，Y^fx)，K_B＝F(X^cb，A^dy，A^eb，X^fy)；此时，c，d，e，f的输入包含F输入的部分甚至全部：K_A＝H_K(B^cx，Y^da)，K_B＝H_K(X^cb，A^dy)，d＝H(c，B^cx)；

(12).在所有协议中，令c＝H(sid，I_A，A，I_B，B，X，pub)，d＝H(sid，I_B，B，I_A，A，Y，pub)，e＝H(c)或e＝H(d)，f＝1；

(13).在所有的协议中，用户“A”在第一轮额外发送一个随机数r_A，用户“B”在第二轮额外发送一个随机数r_B，并将r_A和r_B作为哈西函数H与H_K输入的一部分；这时，(r_A，r_B)起到sid的作用；

(14).在所有的协议中，将部分或全部MAC去掉，只用哈西函数进行绑定；或者，MAC的输入只保留用户角色标示；用户“A”和“B”使用相同的MAC私钥时候，或者MAC的私钥同时也是会话密钥时候，除外；

(15).在所有具有MAC的协议中，仅仅将pub作为以会话密钥作为私钥的MAC的输入的一部分，而不作为H，H_K及KDF的输入；

(16).在所有的协议中，将部分或全部MAC换成对称加密算法；

(17).在所有的协议中，用户的角色，即初始者和响应者，直接用0和1标示。