CN101645870A - 一类高效、公平的密钥交换方法 - Google Patents

Abstract

本发明属于密码协议技术领域，具体涉及一类高效、公平的密钥交换方法。其特点为：最优的(在线)计算效率，支持先发送DH－密钥成分后发送身份和公钥证书的Post－ID工作模式，利于隐私保护、计算的可并行性和模块化，支持DH－密钥成分的重复使用，并可应用于分布式客户－服务器环境下抗拒绝服务且保护用户隐私的密钥交换、无公钥证书的密钥交换、和公平的群Diffie－Hellman密钥交换。

Description

一类高效、公平的密钥交换方法

技术领域

本发明属于密码协议技术领域，具体涉及一类高效、公平的密钥交换方法、分布式客户-服务器环境下抗拒绝服务攻击且保护用户隐私的密钥交换方法、无公钥证书的密钥交换方法、公平Diffie-Hellman秘密生成方法、公平的群密钥交换方法。

背景技术

系统参数：(G′，G，g，q)，其中G′是一个阶为N的有限群，G为G′中阶为q的子群，g为G的生成元，使得定义在G上的离散对数问题是难的。常用的G′，G的设置如下：G′为 $Z_p^{*}=\{\mathrm{1,2},\·\·\·p-1\},$ p为一个素数，q整除(p-1)，此时G′的阶为N＝p-1；或者，G′为定义在一个有限域的椭圆曲线(即：定义在一个有限域上的椭圆曲线上的点构成的群)。一般而言， $Z_p^{*}=\{\mathrm{1,2},\·\·\·p-1\}$ 中的元素操作用乘法表示(即乘法群)，单位元为整数1，而椭圆曲线上的运算用加法表示(即加法群)，单位元为无穷远点。在本文档中，我们用乘法来表示G′中元素的操作。除非有特别说明，将G、G′中的单位元记为1_G，G′/1_G表示的是由G′减去单位元1_G之后其它元素的集合，即G′中的非1_G元素；记G/1_G为G中的非1_G元素。不失一般性，指数运算和不在指数上的乘法运算的结果是G′或G中的一个元素，指数上的加法和/或乘法运算是模q计算。定义函数DL：Z_q→G，使得h＝DL(w)＝g^w。w称为h的离散对数。我们要求给定随机计算出的h，没有多项式时间算法计算出h的离散对数w，这称为离散对数问题。计算Diffie-Hellman问题指的是：给定随机的g^x与g^y，没有多项式时间算法计算出g^xy。对于熟悉本领域的人而言，离散对数问题及计算Diffie-Hellman问题也可以定义在由椭圆曲线或双线性对(bilineartity)定义的群上。

检查确认一个元素X∈G可有如下方法：(1)计算并检查X^q＝1；(2)如果N＝2q+1，计算并检查X²≠1，或计算X的Legendre符号；(3)如果G′＝G(比如G′，G为素数阶的椭圆曲线群)，只需检查X∈G′；(4)计算并检查X∈G′且X^N/q≠1从而保证X不在一个阶可整除N/q的小子群中；(5)若G′为定义在一个有限域F_q的椭圆曲线，检查X∈G′/1且X的x-坐标和y在坐标是F_q中的元素。一般而言，可将X∈G的检查嵌入到协议的其它运算之中。

常用的不使用签名进行身份认证的Diffie-Hellman密钥交换协议，比如美国国家标准化组织(ANSI)的X9.42-2001标准文档、国际标准化组织(ISO)的IS 15946-3标准文档、国际电气和电子工程师协会(IEEE)的1363-2000标准文档等所规定的MQV协议有如下不足：

(a).MQV协议的在线计算效率不够好。MQV的会话密钥生成方式不允许用户对会话密钥进行部分离线计算以提高在线计算的效率。具体来讲，用户“A”不能够在接受到用户“B”的DH-密钥成分Y之前进行事先离线部分计算会话密钥，用户“B”不能够在接受到用户“A”的DH-密钥成分X之前进行事先离线部分计算会话密钥。

(b).MQV协议不能够很好地保护用户的隐私。在MQV协议中，每个用户的会话密钥不能够仅仅由对方用户的DH-密钥成分的离散对数而计算出。即：会话密钥以不可否认的方式绑定到到产生该会话密钥的两个用户。因此，MQV协议不能够很好地保护用户隐私。

(c).MQV协议不能够完全保证每个用户的DH-密钥成分不包含在小的子群中。

在发明人于2008年7月8日递交的申请号为200810040311.5的专利申请书的权利要求-1的实现方法-4中，本发明申请的申请人给出了一个新的不使用签名的密钥交换方法(即)。注：本发明专利的申请人与申请号200810040311.5的专利申请人相同；另外，本发明申请书的权利要求2、3、4、5与200810040311.5专利申请无关。

但是，申请号200810040311.5的专利申请书的权利要求-1的实现方法-4有如下不足：

(a).K_A，K_B的计算分别需要3个哈希运算(这意味着在random oracle模型中要使用三次random oracle)。

(b).假设用户“A”和“B”在交换DH-密钥成分之前或交换DH-密钥成分的同时，交换彼此的公钥证书。这使得协议难以在post-ID(即用户为了保护隐私，先发送DH-密钥成分后发送公钥证书)模型和环境下运行，因此不利于保护用户的隐私。另一方面，若用户先发送DH-密钥成分后发送公钥证书，则协议无法有效地进行离线计算以加速在线计算的效率。还有，K_A，K_B不够模块化，不能够分开并行计算以加速计算效率。

目前已知的的无公钥证书Diffie-Hellman密钥交换方法需做2个双线性对(pairing)计算以及其它指数运算；另外，在线计算效率差，计算不够模块化，并行化不好。(注：双线性对的计算效率较低，约相当于4-5个指数运算)。

传统的Diffie-Hellman秘密生成方法不够公平。即：对于生成的Diffie-Hellman秘密g^xy，用户“A”不能够保证g^xy是随机分布在g^x为生成元的子群中(因为，用户“B”可能是恶意的，即：y可能是用户“B”在Z_q中任意选取的值而非随机选取)；同样，用户“B”不能够保证g^xy是随机分布在g^y为生成元的子群中(因为，用户“A”可能是恶意的，即：x可能是用户“A”在Z_q中任意选取的值而非随机选取)。

在群密钥交换领域，Burmester-Desmedt在Eurocrypt’94上提出的群密钥交换方法是最著名的(大多数的后续的群密钥交换方法遵循Burmester-Desmedt方法)。但是，我们最近注意到，Burmester-Desmed群密钥交换方法是不公平的(同时不安全)。具体来讲，我们发现了Burmester-Desmed方法的目前尚未被发现的新的安全漏洞。使用我们的攻击，诚实用户的贡献将被完全屏蔽。

发明内容

本发明的目的在于提供一类高效、公平的密钥交换方法。其特点为：最优的(在线)计算效率，支持先发送DH-密钥成分后发送身份和公钥证书的工作模式，利于隐私保护、计算的可并行性和模块化，支持DH-密钥成分的重复使用，并可应用于分布式客户-服务器环境下抗拒绝服务且保护用户隐私的密钥交换、无公钥证书的密钥交换、和公平的群密钥交换。

本发明提出的一类高效、公平的密钥交换方法，其系统工作环境为：

(1).系统参数：(G′，G，g，q)，其中G′是一个阶为N的有限群，G为G′中阶为q的子群，g为G的生成元，使得定义在G上的离散对数问题是难的。常用的G′，G的设置如下：G′为 $Z_p^{*}=\{\mathrm{1,2},\·\·\·p-1\},$ p为一个素数，q整除(p-1)，此时G′的阶为N＝p-1；或者，G′为定义在一个有限域的椭圆曲线(即：定义在一个有限域上的椭圆曲线上的点构成的群)。一般而言， $Z_p^{*}=\{\mathrm{1,2},\·\·\·p-1\}$ 中的元素操作用乘法表示，单位元为整数1，而椭圆曲线上的运算用加法表示，单位元为无穷远点。在本文档中，我们用乘法来表示G′中元素的操作。除非有特别说明，将G、G′中的单位元记为1_G，G′/1_G表示的是由G′减去单位元1_G之后其它元素的集合，即G′中的非1_G元素；记G/1_G为G中的非1_G元素。不失一般性，指数运算和不在指数上的乘法运算的结果是G′或G中的一个元素，指数上的加法和/或乘法运算是模q计算。定义函数DL：Z_q→G，使得h＝DL(w)＝g^w。w称为h的离散对数。我们要求给定随机计算出的h，没有多项式时间算法计算出h的离散对数w，这称为离散对数问题。计算Diffie-Hellman问题指的是：给定随机的g^x与g^y，没有多项式时间算法计算出g^xy。对于熟悉本领域的人而言，离散对数问题及计算Diffie-Hellman问题也可以定义在由椭圆曲线或双线性对(bilineartity)定义的群上。对于任一元素X∈G′，我们记X^-1为X的相对于G′的逆元，即：XX^-1＝1_G；作为本领域的常识，X^-ab的计算可有各种等价的计算方式，比如：X^-ab＝(X^-1)^ab＝(X^-a)^b＝(X^a)^-b＝(X^-b)^a＝(X^b)^-a＝…，X^tcb+tfy＝X^t(cb+fy)，等；

检查确认一个元素X∈G可有如下方法：(1)计算并检查X^q＝1；(2)如果N＝2q+1，计算并检查X²≠1，或计算X的Legendre符号；(3)如果G′＝G(比如G′，G为素数阶的椭圆曲线群)，只需检查X∈G′；(4)计算并检查X∈G′且X^N/q≠1从而保证X不在一个阶可整除N/q的小子群中；(5)若G′为定义在一个有限域F_q的椭圆曲线，检查X∈G′/1且X的x-坐标和y在坐标是F_q中的元素。一般而言，可将X∈G的检查嵌入到协议的其它运算之中。

(2).H是一个哈希函数；对于字符串或数值s₁，s₂，…s_m，m＞1，H(s₁，s₂，…s_m)表示的是：将s₁，s₂，…，s_m，用合适编码表示，然后将所有的编码顺序连接串联起来，最后将串联后得到的串作为H的输入。不失一般性，我们设H的输出是Z_q＝{0，1，2，…，q-1}中的元素，否则我们可以简单地取H的输出的一个属于Z_q的子串或对H的输出进行模q计算。为了加快计算效率，可以令H的输出的长度为

若s₁，s₂，…，s_m是m个字符串，S₁，S₂，…S_n是n个集合，1≤n，m，{s₁，s₂，…，s_m，S₁，S₂，…，S_n}表示的是{s₁，s₂，…，s_m}∪S₁∪S₂∪…∪S_n，其中大括号内的元素顺序可以任意变化。H(s₁，s₂，…，s_m，S₁，S₂，…，S_n)表示的是将s₁，s₂，…s_m及S₁∪S₂∪…∪S_n-{s₁，s₂，…，s_m}中的元素用合适编码表示，然后将所有的编码串顺序连接串联起来，最后将串联后得到的串作为H的输入。若Φ为空值，则H(s₁，Φ，s₂)＝H(s₁，s₂){s₁，Φ，s₂}＝{s₁，s₂}，。

(3).除非有特别说明，具有身份IDI_A的用户“A”有一个公钥A＝g^a∈G，其中a由用户“A”在Z_q＝{0，1，2，…，q-1}中随机选取。相应地，具有ID I_B的用户“B”的公钥记为B＝g^b∈G，以此类推。其中I_A为用户“A”的身份信息或用户名，I_B为用户“B”的身份信息或用户名。对于任一元素x∈Z_q，我们记-x为x的相对于Z_q的负元，即：x+(-x)＝0modq。

不失一般性，若协议基于公钥证书来绑定用户的身份和公钥，则公钥证书颁发机构在向用户颁发证书时，检查确认用户注册的公钥为G中的元素或为G/1_G中元素。任何检查不通过，证书颁发机构拒绝颁发公钥证书。这样，每个用户只需检查对方用户的公钥证书即可确认对方的公钥为G或G/1_G中的元素。

(4).协议基于Diffie-Hellman密钥交换协议。除非有特别说明，记X＝g^x为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数，x由用户“A”从Z_q＝{0，1，…，q-1}中随机选取。记Y＝g^y为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数，y由用户“B”从Z_q＝{0，1，…，q-1}中随机选取。假设用户“A”为协议的发起者(初始者)，用户“B”为协议的响应者。即：用户“A”先发送X；在收到X后用户“B”再发送Y。一般而言，用户“B”需在发送Y之前检查X∈G′/1_G或X∈G，“A”需在收到Y之后检查Y∈G′/1_G或Y∈G。

(5).协议会话标示符sid：sid用于标示同一协议的不同的并发运行会话；一般而言，sid是协议双方相互交换的两个随机数的串联，即：sid＝R_A||R_B，其中R_A是一个由用户“A”发送的随机数，R_B是一个由用户“B”发送的随机数，“||”表示的是字符串联结符；在客户服务器环境中，sid可直接设置为服务器发送的随机数或计数器数值；或者，sid直接由DH-密钥成分来定义，即将R_A换为X将R_B换为Y。

(6).与协议执行相关的其它信息pub₁，pub₂，…pub_k，k≥1：对于任意的i，1≤i≤k，pub_i是除DH-密钥成分X＝g^x或X′，Y＝g^y之外的其它与协议执行相关的信息的一个子集或序列，可为空或含重复元素；这儿，其它与协议执行相关的信息包括：用户即协议初始者与响应者的身份信息或用户名、协议初试者和响应者的角色标示、公钥及公钥证书信息、IP地址，协议版本，安全参数和密钥参数，协议的会话标示符，时间戳，cookie，任意数值，以及除DH-密钥成分外的协议会话传输的其它信息。在不同的实现方法中，pub_i的取值可不同；对于任意的i，j，i≠j，pub_i等于或不等于pub_j。一般而言，pub_i包含协议初始者与响应者的公钥与身份或用户名信息，即 $\{I_A,A,I_B,B\}\⊆{\mathrm{pub}}_i$ 或 $\{{\mathrm{sid},I}_A,A,I_B,B\}\⊆{\mathrm{pub}}_i.$

会话标示符sid一般由用户“A”和“B”发送的两个随机数R_A和R_B或DH-密钥成分以初始者-响应者的顺序串联构成，即sid＝R_A||R_B或sid＝X||Y，其中||表示的是串联运算符。

用户的协议角色标示r_A和r_B一般用不同的整数，比如：r_A＝0，r_B＝1；或者由用户“A”和“B”发送的随机数或DH-密钥成分的不同顺序来标示，比如：r_A＝R_A||R_B或r_A＝X||Y，r_B＝R_B||R_A或r_B＝Y||X。

对于熟悉本领域的人而言，随机数R_A和R_B，以及可能的公钥证书的交换，即可在实现方法运行之前进行，也可包含在实现方法中用户各自发送的信息中。

(7).密钥导出函数KDF：KDF(S，aux)是一个密钥导出函数，其中S是一个数值或数值的集合，aux是一个数值字符串集合或计数器。一般而言，KDF是一个哈希函数或哈希函数序列或直接输出其第一个输入，比如：KDF(S，aux)＝H(S，aux)(这种计算适合于哈希函数H的输出的长度大于等于规定的密钥的长度的情况，即：真正的输出可能是H(S，aux)的一个子串，比如前缀，输出的子串的长度等于规定的密钥的长度)，或KDF(S，aux)＝H(S，1)H(S，2)…H(S，k)其中k≥1，aux是一个计数器(这种计算适合于哈希函数H的输出的长度小于规定的密钥的长度的情况)，或KDF(S，aux)＝S；或者KDF是一个以S为随机种子的伪随机函数，比如KDF(S，aux)＝PRF_S(aux)。会话密钥和认证密钥可由同一个密钥导出函数在相同的输入上导出；或者，会话密钥和认证密钥由同一个密钥导出函数在不同的输入上分别导出，比如会话密钥为H(S，aux)而认证密钥为H(aux，S)；或者，会话密钥的导出函数与认证密钥的导出函数不同，而它们的输入相同或不同，比如：会话密钥与认证密钥的导出使用不同的哈希函数或伪随机函数。

(8).标签认证函数F_T(K，U)，其中K为一个秘密数值或秘密数值的集合，U为一个数值字符串集合。标签认证函数F_T(K，U)为任何满足如下性质的函数：(1)不能够从F_T(K，U)在K的长度的多项式时间内求出K，即：相对于输入K，函数F_T是单向的；(2)给定F_T(K，U)，不能够在K的长度的多项式时间内计算出F_T(K，U′)或F_T(K，U′)使得U≠U′。一般而言，F_T是一个单向哈希函数，比如：F_T(K，U)＝H(K，U)；或者F_T是一个消息认证码MAC函数，其中MAC的私钥由K，U导出而认证的信息是U的一个子集，比如F_T(K，U)＝MAC_K(U)。

假设协议运行送方有某种机制协商上述参数(包括安全参数和密钥长度参数)、函数、算法(包括对称和公钥加密算法、认证算法、签名算法、哈希函数等)，用户角色标示及会话标示符号表示方法等，以及运行以下哪种实现方法，并达成一致。这种协商机制可随应用环境和系统的不同而不同。一般而言，pub包含协商所交互的信息的一个子集。对于熟悉本领域的而言，在申请方法中进行的对各种元素的检查确认默认是一次性的，即：一旦确认正确(一般在该元素的首次计算时进行)，则在后续的运行中不在检查。

本发明提出的实现方法，具体步骤如下：

设用户“A”有离散对数公钥A＝g^a并发送DH-密钥成分X＝g^x，且用户“B”有离散对数公钥B＝g^b并发送DH-密钥成分Y＝g^y。记CERT_A为用户“A”的公钥证书，CERT_B为用户“B”的公钥证书；根据实现方法的不同，用户公钥证书的发送可以在发送DH-密钥成分之前、或发送DH-密钥成分的同时、或发送DH-密钥成分之后；(一般而言，在所有的实现方法中，每个用户均可在发送DH-密钥成分之前或发送DH-密钥成分的同时发送自己的公钥证书；但为了更好地保护用户的隐私，在实现方法2和3中，用户可在发送DH-密钥成分之后发送自己的公钥证书。)用户“A”发送或不发送随机数R_A，用户“B”发送或不发送随机数R_B。aux_A和aux_B要么均为空值或相同的值或字符串，或者aux_A和aux_B为任意数值或字符串并且aux_A≠aux_B；一般而言，若aux_A≠aux_B，可令aux_A＝0，aux_B＝1。

密钥交换方法的核心和特征是构建两个函数K_A和K_B使得K_A(a，x，B，Y，pub)＝K_B(b，y，A，X，pub)；K_A和K_B的计算如下：用户“A”计算 $K_A=B^{t_1\mathrm{ae}+t_2\mathrm{xc}}{Y}^{t_3\mathrm{ad}+t_4\mathrm{xf}}\∈G^{\′},$ 用户“B”计算 $K_B=A^{t_1\mathrm{be}+t_3\mathrm{yd}}{X}^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′};$ 其中，t_i＝1或

1≤i≤4；用户“A”可事先计算X和 $B^{t_1\mathrm{ae}+t_2\mathrm{xc}}\∈G^{\′},$ 用户“B”可事先计算Y和 $A^{t_1\mathrm{be}+t_3\mathrm{yd}}\∈G^{\′};$ 实现方法的关键是函数c，d，e，f的不同设置和实现方法(每个实现方法的特点已在前面轮述)：

实现方法-1：c＝d＝1；e＝0或e＝1或e＝H(pub₁)；f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(pub₂，X，Y)。

实现方法-2：c＝H(aux_A，I_B，B，X)或c＝H(aux_A，I_B，B，R_A，X)；d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，I_A，A，R_B，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)。

对于实现方法-2，为了保护用户隐私，用户可先交换DH-密钥成分，后交换公钥证书(用户“B”也可在发送Y的同时发送公钥证书)。此时，用户“B”可先计算 $X^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′},$ 用户“A”可先计算 $Y^{t_3\mathrm{ad}+t_4\mathrm{xf}}\∈G^{\′}.$

实现方法-3：c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)。

对于实现方法-3，为了保护用户隐私，用户亦可先交换DH-密钥成分，后交换公钥证书；用户“B”也可在发送Y的同时发送公钥证书；此时，用户“B”可先计算 $X^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′},$ 用户“A”可先计算 $Y^{t_3\mathrm{ad}+t_4\mathrm{xf}}\∈G^{\′}.$

实现方法-4：c＝H(aux_A，I_B，B，X)或c＝H(aux_A，I_B，B，R_A，X)或c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，I_A，A，R_B，Y)或d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)。

实现方法-5：c＝H(aux_A，I_A，A，I_B，B，X)或c＝H(aux_A，I_A，A，R_A，I_B，B，X)；d＝H(aux_B，I_B，B，I_A，A，Y)或d＝H(aux_B，I_B，B，R_B，I_A，A，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)。

实现方法-6：c＝H(aux_A，I_A，A，X)或c＝H(aux_A，I_A，A，R_A，X)，d＝H(aux_B，I_B，B，Y)或d＝H(aux_B，I_B，B，R_B，Y)，e＝0或1或H(pub₁)，f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)。

实现方法-7：c＝H(aux_A，I_A，A，I_B，X)或c＝H(aux_A，I_A，A，R_A，I_B，X)，d＝H(aux_B，I_B，B，I_A，Y)或d＝H(aux_B，I_B，B，R_B，I_A，Y)，e＝0或1或H(pub₁)，f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)。

实现方法-8：c＝H(aux_A，I_B，X)或c＝H(aux_A，I_A，I_B，X)或c＝H(aux_A，R_A，I_B，X)或c＝H(aux_A，I_A，R_A，I_B，X)，d＝H(aux_B，I_A，Y)或d＝H(aux_B，I_B，I_A，Y)或d＝H(aux_B，R_B，I_A，Y)或d＝H(aux_B，I_B，R_B，I_A，Y)，e＝0或1或H(pub₁)，f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)。

实现方法-9：c＝H(aux_A，pub₃，X)或c＝H(pub₄，X，Y)或c＝1，d＝H(aux_B，pub₅，Y)或d＝H(pub₆，X，Y)或d＝1；e＝0或1或H(pub₁)，f＝H(pub₇，X，Y)或f＝H(sid，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝1或f＝0；其中，若c＝1和/或d＝1，则f不可为0或1；pub₄和pub₇不相同，pub₆和pub₇不相同，建议pub₄，pub₆，pub₇两两不同。

t_i，1≤i≤4，设置方法：(1).若用户“A”检查确认B∈G，Y∈G，用户“B”检查确认A∈G，X∈G，则令t₁＝t₂＝t₃＝t₄＝1；(2).若用户“A”仅检查确认B∈G，X∈G′或X∈G′/1_G，而不能确认X∈G，用户“B”仅检查确认A∈G，Y∈G′或Y∈G′/1_G，而不能确认Y∈G，且x和/或y可能会泄露，则令t₁＝1， $t_2=t_3=t_4=\frac{N}{q},$ 用户“B”检查确认 $X^{t_2\mathrm{bc}+t_4\mathrm{yf}}\≠1_G$ 或 $K_B\≠A^{t_1\mathrm{be}+t_3\mathrm{yd}}$ 或K_B≠1_G，用户“A”检查确认 $Y^{t_3\mathrm{ad}+t_4\mathrm{xf}}\≠1_G$ 或 $K_A\≠B^{t_1\mathrm{ae}+t_2\mathrm{xc}}$ 或K_A≠1_G；若x，y均不会泄露，仍同(1)可设t₁＝t₂＝t₃＝t₄＝1；任何检查不通过，则中止协议运行，返回或不返回出错信息。

会话密钥和认证密钥导出方法：利用密钥导出函数由K_A＝K_B及{f，c，d，e，X，Y，pub₈}的某个子集导出会话密钥和认证密钥。一般而言，采用如下方法产生认证密钥k₁和会话密钥k₂，其中H_K是一个哈希函数(H_K可与H相同)：(1).(k₁，k₂)←H_K(K_A，f，1)H_K(K_A，f，2)…H_K(K_A，f，i)＝H_K(K_B，f，1)H_K(K_B，f，2)…H_K(K_B，f，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H_K(K_A，f，1)H_K(K_A，f，2)…H_K(K_A，f，i)的长度大于等于(k₁，k₂)的长度。设(k₁，k₂)的长度为l，我们可取H_K(K_A，f，1)H_K(K_A，f，2)…H_K(K_A，f，i)的长度为l的前缀或后缀。(2).k₁←H_K(K_A，f，1)H_K(K_A，f，2)…H_K(K_A，f，i)＝H_K(K_B，f，1)H_K(K_B，f，2)…H_K(K_B，f，i)；k₂←H_K(f，K_A，1)H_K(f，K_A，2)…H_K(f，K_A，i)＝H_K(f，K_B，1)H_K(f，K_B，2)…H_K(f，K_B，j)。设k₁的长度为l₁，k₂的长度为l₂，则计数器i的取值直到哈希函数序列的输出长度大于等于l₁，计数器j的取值直到哈希函数序列的输出长度大于等于l₂。其中，H_K输入中的f可换为(c，d)。

认证方法：记导出的认证密钥为R′＝k₁，为了向用户“A”证明其知道R′，用户“B”利用标签认证函数F_T计算并发送t_B＝F_T(R′，aux₁)，其中aux₁是{I_B，sid，r_B，X，Y，pub₉}的一个子集，sid是会话标示符，r_B是用户“B”的协议角色标示；用户“A”利用认证密钥R′检查t_B正确性，若不正确，则中止协议执行，返回或不返回出错信息；为了向用户“B”证明其的确知道R′，用户“A”在收到t_B并验证t_B的正确性后，计算并向用户“B”发送t_A＝F_T(R′，aux₀)，其中aux₀是{I_A，sid，r_A，X，Y，pub₁₀}的一个子集且aux₀≠aux₁，r_A是用户“A”的协议角色标示；用户“B”利用认证密钥R′检查t_A正确性，若不正确，则中止协议执行，返回或不返回出错信息。

本发明提出的高效、公平的密交换方法可应用于抗拒绝服务攻击，且保护用户隐私，具体步骤如下：

设用户“A”有离散对数公钥A＝g^a并发送DH-密钥成分X＝g^x，用户“B”有离散对数公钥B＝g^b并发送DH-密钥成分Y＝g^y；记CERT_A为用户“A”的公钥证书，CERT_B为用户“B”的公钥证书。用户“A”发送或不发送随机数R_A，用户“B”发送或不发送随机数R_B。aux_A和aux_B要么均为空值或相同的值或字符串，或者aux_A和aux_B为任意数值或字符串并且aux_A≠aux_B。

t_i＝1或

1≤i≤4；其设置方法为：(1).若用户“A”检查确认B∈G，Y∈G，用户“B”检查确认A∈G，X∈G，则令t₁＝t₂＝t₃＝t₄＝1。(2).若用户“A”仅检查确认B∈G，X∈G′或X∈G′/1_G，而不能确认X∈G，用户“B”仅检查确认A∈G，Y∈G′或Y∈G′/1_G，而不能确认Y∈G，且x和/或y可能会泄露，则令 $t_2=t_3=t_4=\frac{N}{q},$ 用户“B”检查确认 $X^{t_2\mathrm{bc}+t_4\mathrm{yf}}\≠1_G,$ 用户“A”检查确认 $Y^{t_3\mathrm{ad}}\≠1_G$ 和/或 $B^{t_2\mathrm{xc}}{Y}^{t_4\mathrm{xf}}\≠1_G$ 和/或 $Y^{t_4\mathrm{xf}}\≠1_G$ (一般而言，若用户“A”事先计算

则可仅检查 $Y^{t_4\mathrm{xf}}\≠1_G;$ 若用户“A”不事先计算

则检查 $B^{t_2\mathrm{xc}}{Y}^{t_4\mathrm{xf}}\≠1_G$ 和 $Y^{t_3\mathrm{ad}}\≠1_G$ )。若x，y均不会泄露，仍同(1)可设t₁＝t₂＝t₃＝t₄＝1；任何检查不通过，则中止协议运行，返回或不返回出错信息。

第一轮：用户“A”向用户“B”发送{X，aux_A}或{X，aux_A，R_A}。

收到“A”发送的信息后，用户“A”检查X∈G′或X∈G′/1_G或X∈G或X∈G/1_G；若检查不通过，则中止协议运行，返回或不返回出错信息；若检查通过，用户“B”计算Y， $K_B^{\′}=X^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′};$ 其中，c＝H(aux_A，I_B，B，X)或c＝H(aux_A，I_B，B，R_A，X)或c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)；其中，用户“B”可事先计算Y、c和t₂bc。用户“B”利用密钥导出函数由K′_B及{f，c，X，Y，sid，R_A，R_B，pub₈}的一个子集导出认证密钥K′；用户“B”利用标签认证函数F_T计算t′_B＝F_T(K′，aux₁)，其中aux₁是{I_B，sid，r_B，X，Y，R_B，pub₉}的一个子集，sid是会话标示符，r_B是用户“B”的协议角色标示。

第二轮：用户“B”向用户“A”发送{I_B，B，Y，aux_B，t′_B}或{I_B，B，Y，aux_B，R_B，t′_B}；其中，(I_B，B)可替换为用户“B”的公钥证书CERT_B.

收到用户“B”发送的信息后，用户“A”检查CERT_B的有效性，检查Y∈G′或Y∈G′/1_G或Y∈G或Y∈G/1_G；若检查不通过，则中止协议运行，返回或不返回出错信息；若检查通过，用户“A”计算c、f和 $K_B^{\′}=B^{t_2\mathrm{xc}}{Y}^{t_4\mathrm{xf}}\∈G^{\′}$ 。用户“B”由K′_B导出认证密钥K′，并利用K′检查t′_B＝F_T(R′，aux₁)的正确性，若检查不通过(即t′_B≠F_T(R′，aux₁))，则中止协议运行，返回或不返回出错信息；若检查通过(即t′_B＝F_T(R′，aux₁))，用户“A”计算 $K_A=\left(B^{t_2\mathrm{xc}}{Y}^{t_4\mathrm{xf}}\right)B^{t_1\mathrm{ae}}{Y}^{t_3\mathrm{ad}}\∈G^{\′},$ 其中d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，I_A，A，R_B，Y)或d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；其中用户“A”可事先计算X、 $B^{t_2\mathrm{xc}}\∈G^{\′},$ $B^{t_1\mathrm{ae}}\∈G^{\′}.$

用户“A”利用密钥导出函数由K_A及{f，c，d，e，X，Y，R_A，R_B，pub₈}的某个子集导出认证密钥k₁和会话密钥k₂；用户“A”计算t_A＝F_T(k₁，aux₀)，其中aux₀是{I_A，sid，r_A，R_A，X，Y，pub₁₀}的一个子集且aux₀≠aux₁，r_A是用户“A”的协议角色标示。用户“A”计算或不计算t′_A＝F_T(K′，aux′₀)，其中aux′₀是{I_A，A，t_A，sid，r_A，X，Y，R_A，R_B，pub₁₀}的一个子集且aux′₀≠aux₁。

第三轮：用户“A”向用户“B”发送{I_A，A，t_A，t′_A}或{I_A，A，t_A}，其中(I_A，A)可替换为用户“A”的公钥证书CERT_A。

收到用户“A”发送的信息后，若用户“A”在第三轮发送{I_A，A，t_A，t′_A}，用户“B”首先利用K′检查t′_A＝F_T(K′，aux′₀)，若检查不正确用户“B”中止协议运行，返回或不返回出错信息；若t′_A＝F_T(K′，aux′₀)用户“B”检查CERT_A的有效性；若检查不通过，则中止协议运行，返回或不返回出错信息；若CERT_A有效，用户“B”计算 $K_B=A^{t_1\mathrm{be}+t_3\mathrm{yd}}{X}^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′},$ 并利用密钥导出函数由K_B及{f，c，d，e，X，Y，R_A，R_B，pub₈}的某个子集导出认证密钥k₁和会话密钥k₂。用户“B”利用认证密钥k₁检查t_A＝F_T(k₁，aux₀)的正确性，若检查不通过，则中止协议运行，返回或不返回出错信息；若检查通过，进行或不进行第四轮。

第四轮：用户“B”计算并向用户“A”发送{t_B}，其中t_B＝F_T(k₁，aux₁)，aux₁≠aux₀。

收到用户“B”发送的信息后，用户“A”利用认证密钥k₁检查t_B的正确性；若检查不通过，则中止协议运行，返回或不返回出错信息。

本发明提出的高效、公平的密交换方法可应用于无公钥证书且在线计算密钥交换方法，具体步骤如下：设ε：G^T×G^T→G是一个合格的多项式时间可计算的双线性映射；其中G^T是一个阶为q的加法或乘法群，

为其单位元。不失一般性，我们记G^T为加法群；记P为G^T的生成元。ε：G^T×G^T→G满足：ε(xP，yP)＝ε(P，P)^xy且 $\mathrm{\ϵ}(P,P)\≠1_{G^T}$ 。记H^T：{0，1}^*→G^T为一个哈希函数。用户“A”除了公钥A＝g^a∈G外，另有一个基于身份的公钥Q_A＝H^T(I_A)或Q_A＝H^T(I_A，A)或Q_A＝H^T(I_A，A，P₀)；用户“B”除了公钥B＝g^b∈G外，另有一个基于身份的公钥Q_B＝H^T(I_B)或Q_B＝H^T(I_B，B)或Q_B＝H^T(I_B，B，P₀)；其中，P₀＝sP∈G^T为一个可信的第三方CA的公钥，CA的私钥为s∈Z_q。用户“A”除了私钥a之外另有私钥S_A＝sQ_A，其中S_A＝sQ_A由CA计算并安全地传送给用户“A”。用户“B”除了私钥b之外另有私钥S_B＝sQ_B，其中S_B＝sQ_B由CA计算并安全地传送给用户“B”。

与本发明的实现方法相比，无公钥证书且在线计算高效的密钥交换方法只有如下不同或变化：

(1).在函数c，d，e，f中的哈希函数的输入中增加或不增加{Q_A，Q_B，P₀}的一个子集。因为Q_A由(I_A，A)决定，Q_B由(I_B，B)决定，建议函数c，d，e，f输入中不必包含Q_A或Q_B。

(2).用户“A”利用密钥导出函数由{K_A，ε(S_A，Q_B)}及{f，c，d，e，X，Y，pub₁₁}的一个子集导出会话密钥和认证密钥；用户“B”利用密钥导出函数由{K_B，ε(S_B，Q_A)}及{f，c，d，e，X，Y，pub₁₁}的一个子集导出会话密钥和认证密钥；其中，ε(S_B，Q_A)＝ε(Q_A，S_B)＝ε(Q_A，Q_B)^s＝ε(S_A，Q_B)，pub₁₁可包含{Q_A，Q_B，P₀}的一个子集。

一般而言，采用如下方法产生认证密钥k₁和会话密钥k₂，其中H_K是一个哈希函数：

(a).用户“A”计算(k₁，k₂)←H_K(K_A，ε(S_A，Q_B)，c，d，1)H_K(K_A，ε(S_A，Q_B)，c，d，2)…H_K(K_A，ε(S_A，Q_B)，c，d，i)；用户“B”计算(k₁，k₂)←H_K(K_B，ε(S_B，Q_A)，c，d，1)H_K(K_B，ε(S_B，Q_A)，c，d，2)…H_K(K_B，ε(S_B，Q_A)，c，d，i)；其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H_K(K_A，ε(S_A，Q_B)，c，d，1)H_K(K_A，ε(S_A，Q_B)，c，d，2)…H_K(K_A，ε(S_A，Q_B)，c，d，i)的长度大于等于(k₁，k₂)的长度。设(k₁，k₂)的长度为l，我们可取(k₁，k₂)←H_K(K_A，ε(S_A，Q_B)，c，d，1)H_K(K_A，ε(S_A，Q_B)，c，d，2)…H_K(K_A，ε(S_A，Q_B)，c，d，i)的长度为l的前缀或后缀。其中，H_K输入中的(c，d)可换为f或(c，d，R_A，R_B)或(f，R_A，R_B)。

(b).用户“A”计算k₁，←H_K(K_A，ε(S_A，Q_B)，c，d，1)H_K(K_A，ε(S_A，Q_B)，c，d，2)…H_K(K_A，ε(S_A，Q_B)，c，d，i)，k₂，←H_K(c，d，K_A，ε(S_A，Q_B)，1)H_K(c，d，K_A，ε(S_A，Q_B)，2)…H_K(c，d，K_A，ε(S_A，Q_B)，j)；用户“B”计算k₁←H_K(K_B，ε(S_B，Q_A)，c，d，1)H_K(K_B，ε(S_B，Q_A)，c，d，2)…H_K(K_B，ε(S_B，Q_A)，c，d，i)，k₂←H_K(c，d，K_B，ε(S_B，Q_A)，1)H_K(c，d，K_B，ε(S_B，Q_A)，2)…H_K(c，d，K_B，ε(S_B，Q_A)，j)；设k₁的长度为l₁，k₂的长度为l₂，则计数器i的取值直到哈希函数序列的输出长度大于等于l₁，计数器j的取值直到哈希函数序列的输出长度大于等于l₂。其中，其中，H_K输入中的(c，d)可换为f或(c，d，R_A，R_B)或(f，R_A，R_B)。

本发明蕴含如下公平的Diffie-Hellman密钥交换方法：设用户“A”发送DH-密钥成分X＝g^x∈G′，用户“B”发送DH-密钥成分Y＝g^y∈G′；用户“A”计算Diffie-Hellman秘密K_A＝Y^xc，用户“B”计算Diffie-Hellman秘密K_B＝X^yc；其中c＝H(X，Y，pub₁₂)；一般而言，pub₁₂＝{I_A，A，I_B，B，sid}或pub₁₂＝{I_A，I_B，sid}或pub₁₂＝{sid}。

本发明可应用于高效、公平的群密钥交换方法，具体步骤为：设有n个用户U₁，U₂，…U_n，n＞2，想建立一个共同的Diffie-Hellman秘密；用户U_i的DH-密钥成分记为 $X_i=g^{x_i}\∈G^{\′},$ 其中1≤i≤n，x_i∈Z_q；我们设下标i是modn计算。

对于任意的i mod n，用户U_i计算 $Z_i={X_{i-1}}^{t_i{x}_i{c}_i},$ $Z_{i+1}={X_{i+1}}^{t_{i+1}{x}_i{c}_{i+1}}$ 和 $T_i=\frac{Z_{i+1}}{Z_i},$ 其中c_i＝H(i，U_i-1，X_i-1，U_i，X_i)或c_i＝H(U_i-1，X_i-1，U_i，X_i)，c_i+1＝H(i+1，U_i，X_i，U_i+1，X_i+1)或c_i+1＝H(U_i，X_i，U_i+1，X_i+1)；U_i将T_i通知给所有其它用户(比如通过广播传输，或公开发表)，但可将X_i只通知给U_i-1和U_i+1。为了保证信息传输的完整性，可以使用Katz-Yung在CRYPTO’03或Kata-Shih在CCS’05中所给出的一般性的安全认证和转换方法。

对于任意的i mod n，用户U_i计算Diffie-Hellman秘密：K_i＝(Z_i)ⁿ(T_i)^n-1(T_i+1)^n-2…(T_i-3)²T_i-2∈G′；会话密钥和认证密钥利用密钥导出函数由K_i及{sid，U₁，U₂，…，U_n，T₁，T₂，…，T_n}的一个子集导出。

t_i＝1或

若对于任意的i mod n，用户U_i检查确认X_i-1，X_i+1均为G或G/1_G中的元素，则t₁＝t₂＝…t_n＝1；若对于任意的i mod n，用户U_i仅检查确认X_i-1，X_i+1为G′中的元素，而不能确认为G中的元素，则 $t_1=t_2=\·\·\·t_n=\frac{N}{q},$ 用户U_i检查确认Z_i≠1_G，Z_i+1≠1_G和/或K_i≠1_G，若检查不通过则返回出错信息并中止协议运行。

协议变体：权利要求1、2、3、4、5所有实现方法及其应用可应用如下变体的某个子集。一般而言，建议在所有实现方法中均应用变体(1)和/或(5)；在所有基于公钥证书的实现方法中均应用变体(2)；基于椭圆曲线的实现方法可应用变体(8)。

(1).将哈希函数输入中的(I_A，A)替换成(I_A，A)的哈希值，并将(I_A，A)的哈希值包含在用户“A”的公钥证书中；将哈希函数输入中的(I_B，B)替换成(I_B，B)的哈希值，并将(I_B，B)的哈希值包含在用户“B”的公钥证书中。

(2).公钥证书颁发机构在向用户颁发证书时，检查确认用户注册的公钥为G中的元素或为G/1_G中元素；任何检查不通过，证书颁发机构拒绝颁发公钥证书；这样，每个用户只需检查对方用户的公钥证书即可确认对方的公钥为G或G/1_G中的元素。

(3).基于口令的变体：本发明的实现方法有如下基于口令的变体；设用户“A””在用户“B”处注册了一个口令w；在所有方法中用户“A”所发送DH-密钥成分X′＝XB^w或X′＝XB^-w，或者 $X^{\′}={\mathrm{XB}}^{H_w({\mathrm{pub}}_{11},w)}$ 或

或者

或

其中B为用户“B”的公钥，X＝g^x∈G′，H_w是一个输出长度小于q的长度的哈希函数；收到X′后，用户“B”根据X′的相应计算方式计算出X＝X′B^-w或X＝X′B^w，或者

或

或者或

K_A，K_B，t_A，t_B计算仍使用X作为指数下的挑战，但指数上的函数c，d，e，f的输入中的X换为X′；除其它规定的事先离线计算外，用户“B”可事先计算B^-1∈G′。

在基于口令的变体中，对DH-密钥成分X是否为G′或G中元素的检查替换为对X′是否为G′或G中元素的检查。

(4).哈希函数的输入中嵌套相同或不同的哈希函数，即：将原哈希函数的输入和嵌套的哈希函数作为一个特殊的有向图的节点，其中原哈希函数的输入代表的节点无扇入，最外层的哈希函数所代表的节点无扇出，每个节点所代表的数值是其扇出节点所代表的哈希函数的输入。

(5).将哈希函数输入的顺序任意变化；和/或，将哈希函数的所有输入换为所有输入的并集，即：重复的元素在输入中只出现一次；和/或，将哈希函数换为任一个输出为整数的函数；和/或，应用在每一处的哈希函数与应用在其它处的哈希函数相同或不同；即，我们使用一组哈希函数{H₁，H₂，…H_n}，其中对于任意的i，j，1≤i，j≤n，i≠j，H_i＝H_j或H_i≠H_j，n≥1且n是我们需应用哈希函数的次数的上界。

(6).不同的密钥导出函数：应用在每一处的密钥导出函数与应用在其它处的密钥导出函数相同或不同；即，我们使用一组密钥导出函数{KDF₁，KDF₂，…KDF_n}，其中对于任意的i，j，1≤i，j≤n，i≠j，KDF_i＝KDF_j或KDF_i≠KDF_j，n≥1且n是我们需应用密钥导出函数的次数的上界。

(7).在所有方法中用户“A”检查K_A≠1_G，用户“B”检查K_B≠1_G。

(8).对于基于椭圆曲线的实现，将密钥导出函数输入中的K_A，K_B换为K_A，K_B的x-坐标值或y-坐标值；每个用户检查对方用户的DH-密钥成分的x-坐标和y-坐标是椭圆曲线所基于的有限域中的正确编码的元素。

(9).出错中止和出错信息返回：在所有的方法中，一旦一个用户因检查不通过，即出错，而中止协议，发回或不发回出错信息；在基于口令的实现方法中，客户“A”只允许出错有限次，以防止在线攻击。

(10).会话标示符和用户协议角色标示方法：会话标示符一般由用户“A”和“B”发送的两个随机数或DH-密钥成分以初始者-响应者的顺序串联构成；用户的协议角色标示一般用不同的整数或者由用户“A”和“B”发送的随机数或DH-密钥成分的不同顺序来标示。

(11).在本发明方法和本发明应用于抗拒绝服务攻击保护用户隐私的应用中，用户“A”检查确认Y≠X；若Y＝X，用户“A”则中止协议运行。

本发明密钥交换方法具有如下特点：

1.与发明人于2008年7月8日递交的申请号200810040311.5的专利申请书的权利要求-1的实现方法-4相比，本发明申请书的权利要求-1中的实现方法的主要不同在函数c，d，e，f的设置方法不同，有如下特点：

(a).在实现方法-1中，K_A，K_B的计算仅需要1个哈希运算(这是最优的)。

(b).实现方法-2、3和4中函数c，d，e，f的设置具有如下优点：(1)可以允许用户先发送DH-密钥成分后发送公钥证书。此时，在 $K_A=B^{t_1\mathrm{ae}+t_2\mathrm{xc}}{Y}^{t_3\mathrm{ad}+t_4\mathrm{xf}}\∈G^{\′}$ 的计算中，的计算不涉及用户“B”的身份和公钥，因此

可以在收到用户“B”的身份和公钥之前进行计算。同样，在 $K_B=A^{t_1\mathrm{be}+t_3\mathrm{yd}}{X}^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′}$ 的计算中，

的计算不涉及用户“A”的身份和公钥，因此

可以在收到用户“A”的身份和公钥之前进行计算。这一方面进一步保护了用户隐私，另一方面又大大便利了K_A，K_B计算的模块化和并行化。另外，将随机数R_A作为函数c的输入，将随机数R_B作为函数d的输入，以及将sid作为函数f的输入，亦大大加强了协议的安全性和鲁棒性。

(c).在实现方法-5中，通过在函数c和d输入中分别增加可能不同的aux_A和aux_B使得函数c和d的输出不同，从而可以有效抵抗重放攻击；通过在函数c和d输入中分别增加随机数R_A和R_B，在函数f的输入中增加sid，使得用户“A”可在一定的时间内重复使用相同的X，用户“B”可在一定的时间内重复使用相同的Y，而仍然保证K_A，K_B的随机性。另外，在函数c和d输入中(I_A，A)与(I_B，B)具有不同的顺序；具体来讲，在函数c输入中的顺序为(I_A，A，I_B，B)，在函数d输入中的顺序为(I_B，B，I_A，A)，这进一步加强了协议的安全性和鲁棒性。还有，函数f的输入中可仅包含(X，Y)，这进一步增加了计算的效率、模块性和并行性。

(d).实现方法-6的主要特点是函数c的输入中不包含用户“B”的身份和公钥信息和DH-密钥成分Y的信息，因此用户“A”在知道用户“B”的身份和公钥信息和DH-密钥成分信息之前就可以事先离线计算t₂xc，从而提高在线计算效率。同样，函数d的输入中不包含用户“A”的身份和公钥信息和DH-密钥成分X的信息，因此用户“B”在知道用户“A”的身份和公钥信息和DH-密钥成分信息之前就可以事先离线计算t₃yd，从而提高在线计算效率。另外，通过在函数c和d输入中分别增加随机数R_A和R_B以及aux_A和aux_B，在函数f的输入中增加sid，使得用户“A”可在一定的时间内重复使用相同的X，用户“B”可在一定的时间内重复使用相同的Y，而仍然保证K_A，K_B的随机性，这增强了协议的安全性，易用性和鲁棒性。

(e).实现方法7特点是：在函数c的输入中不包含用户“B”的公钥和DH-密钥成分信息(但包含用户“B”的身份信息)；函数d的输入中不包含用户“A”公钥信息和DH-密钥成分的信息(但包含用户“A”的身份信息)。与实现方法-5相比，这进一步增强了协议的安全性和鲁棒性。另外，用户“A”在知道用户“B”的公钥信息和DH-密钥成分信息之前仍可以事先离线计算t₂xc，用户“B”在知道用户“A”的公钥信息和DH-密钥成分信息之前仍可以事先离线计算t₃yd。另外，通过在函数c和d输入中分别增加随机数R_A和R_B以及aux_A和aux_B，在函数f的输入中增加sid，使得用户“A”可在一定的时间内重复使用相同的X，用户“B”可在一定的时间内重复使用相同的Y，而仍然保证K_A，K_B的随机性，这增强了协议的安全性，易用性和鲁棒性。

(f).在实现方法-8中，函数c的输入中除不包含用户“B”的公钥和DH-密钥成分信息之外，还不包含用户“A”的身份和公钥信息；函数d的输入中除不包含用户“A”的公钥和DH-密钥成分信息之外，还不包含用户“B”的身份和公钥信息；与实现方法-6相比，这增强协议的计算的效率。另外，通过在函数c和d输入中分别增加随机数R_A和R_B以及aux_A和aux_B，在函数f的输入中增加sid，使得用户“A”可在一定的时间内重复使用相同的X，用户“B”可在一定的时间内重复使用相同的Y，而仍然保证K_A，K_B的随机性，这增强了协议的安全性，易用性和鲁棒性。

(g).实现方法-9是安全性最强的实现方法。其特点为函数c，d，e，f的输入中包含不同的pub值，并且函数c，d，e，f的输入中均可包含所有的DH-密钥成分(X，Y)；在函数c和d输入中分别增加随机数R_A和R_B以及aux_A和aux_B，在函数f的输入中增加sid。所有这些措施进一步增强了协议的安全性，易用性和鲁棒性。

本发明所给出的密钥交换方法适用于分布式的客户-服务器环境，其中用户“A”作为客户，用户“B”作为服务器。客户“A”可事先知道服务器“B”的公钥；为了保护客户的隐私，只有在服务器“B”已经向客户“A”成功证明了“B”的身份之后，用户“A”才向服务器“B”展示并证明自己的身份；但是，另一方面，服务器“B”要提防拒绝服务攻击，希望在检测到拒绝服务攻击之前做尽量少的计算。

本发明给出的密钥交换方法兼顾了保护客户“A”的隐私保护，和服务器“B”的拒绝服务攻击能力。具体来讲，客户“A”只有在服务器“B”在第二轮成功地证明了用户“B”的身份之后，才在第三轮发送客户“A”的身份和公钥信息；令一方面，服务器“B”只需在第二轮在线做一个指数运算即 $K_B^{\′}=X^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′}$ 从而得到认证密钥K′(因为DH-密钥Y可事先计算甚至重复使用)，并在第三轮首先检查t′_A的有效性从而以一个在线指数计算的代价(而不是计算整个 $K_B=A^{t_1\mathrm{be}+t_3\mathrm{yd}}{X}^{t_2\mathrm{bc}+t_4\mathrm{yf}}\∈G^{\′}$ 的代价)检测可能的恶意客户“A”发起的拒绝服务攻击。

本发明给出的无公钥证书的Diffie-Hellman密钥交换方法是目前为止最为高效的无公钥证书的密钥交换方法。其特点为：每个用户只需做一个双线性对计算，并且该双线性对计算可事先离线计算(即在收到对方用户的DH-密钥成分之前事先计算)。在线计算可归约为仅仅一个指数运算，这是最优的(是目前已知的无公钥证书密钥交换方法所无法做到的)。

本发明给出的公平的Diffie-Hellman秘密生成方法具有如下特点：生成的Diffie-Hellman秘密为 $K_A=K_B=g^{\mathrm{xyH}(X,Y,{\mathrm{pub}}_{12})}$ (而不是传统的g^xy)。这样做的优点在于，在random oracle模型下(即将哈希函数H视作为一个随机函数)，诚实的用户“A”能够保证 $K_A=K_B=g^{\mathrm{xyH}(X,Y,{\mathrm{pub}}_{12})}$ 是随机分布在g^x为生成元的子群中(即便用户“B”是恶意的，即：y可以是用户“B”在Z_q中任意选取的值而非随机选取)；同样，诚实的用户“B”能够保证 $K_A=K_B=g^{\mathrm{xyH}(X,Y,{\mathrm{pub}}_{12})}$ 是随机分布在g^y为生成元的子群中(即便用户“A”是恶意的，即：x可以是用户“A”在Z_q中任意选取的值而非随机选取)。

5.与Burmester-Desmedt群密钥交换方法以及其它所有基于Burmester-Desmedt方法的群密钥交换方法相比，本发明所给出的方法的主要不同在于：在我们的方法中，用户U_i计算 $Z_i={X_{i-1}}^{t_i{x}_i{c}_i},$ $Z_{i+1}={X_{i+1}}^{t_{i+1}{x}_i{c}_{i+1}},$ 其中c_i＝H(i，U_i-1，X_i-1，U_i，X_i)或c_i＝H(U_i-1，X_i-1，U_i，X_i)，c_i+1＝H(i+1，U_i，X_i，U_i+1，X_i+1)或c_i+1＝H(U_i，X_i，U_i+1，X_i+1)；而在Burmester-Desmedt群密钥交换方法中，用户U_i计算 $Z_i={X_{i-1}}^{x_i},$ $Z_{i+1}={X_{i+1}}^{x_i}.$ 我们最近注意到，Burmester-Desmed群密钥交换方法是不公平的(同时不安全)。具体来讲，我们发现了Burmester-Desmed方法的目前尚未被发现的新的安全漏洞。使用我们的攻击，诚实用户的贡献将被完全屏蔽。而我们新的群密钥交换方法借鉴了公平Diffie-Hellman密钥交换的思想和方法，可以有效地防止我们所新发现的针对Burmester-Desmedt群密钥交换协议的攻击。

具体实施方式

具有身份I_A的用户“A”的公钥是A＝g^a并具有证书CERT_A，具有身份I_B的用户“B”的公钥是B＝g^b并具有证书CERT_B。证书颁发机构CA在颁发证书之前，检查确认A∈G/1_G和B∈G/1_G。我们假设用户“A”为协议运行初始者(initiator)，即：先发送DH-密钥成分X＝g^x∈G；“B”为协议运行响应者(responder)，即收到X之后发送DH-密钥成分Y＝g^y∈G。其中a，x，b，y从Z_q中随机选取。

在下述协议具体实施中，消息认证码MAC采用由IETF(Internet Engineering TaskForce)所公布的第2104号互联网意见征求文档(Internet RFC 2104)中所描述的HMAC认证码。HMAC需作两个哈西运算，并被证明既是消息认证码又是伪随机函数。在协议具体实施中，HMAC以及哈西函数H，H_K由SHA-1哈西函数来实现。对称加密采用NIST(美国标准与技术局)的标准所规定的AES算法。

实施例1：

事先计算：用户“A”可事先计算X＝g^x∈G，t＝t₂＝t₃＝t₄＝N/q和B^tx mod q∈G′，其中N为有限域G′的阶；用户“B”可事先计算Y＝g^y∈G，t＝t₂＝t₃＝t₄＝N/q和A^ty mod q∈G′。

第一轮：用户“A”发送{CERT_A，X)；

收到{CERT_A，X}后用户“B”检查CERT_A的有效性和X∈G′/1_G；任何检查不成功，用户“B”中止协议执行。若检查通过，用户“B”计算f＝H(I_A，A，I_B，B，X，Y)，X^{t(b+fy)mod q}；用户“B”检查确认X^t(b+fy)≠1_G，若X^t(b+fy)＝1_G用户“B”中止协议执行并返回出错信息；若X^t(b+fy)≠1_G，用户“B”计算K_B＝A^tyX^t(b+fy)∈G′(其中A^ty mod q∈G′可事先计算的)，计算(k₁，k₂)←H(K_B，f，1)H(K_B，f，2)…H(K_B，f，f)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_B，f，1)H(K_B，f，2)…H(K_B，f，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_B，f，1)H(K_B，f，2)…H(K_B，f，i)的长度为l的前缀。

第二轮：用户“B”发送 $\{{\mathrm{CERT}}_B,Y,t_B={\mathrm{HMAC}}_{k_1}\left(1\right)\};$

收到“B”发送的信息后，用户“A”检查CERT_B的有效性和Y∈G′/1_G；任何检查不成功，用户“A”中止协议执行并返回出错信息；若检查通过，用户“A”计算f＝H(I_A，A，I_B，B，X，Y)，Y^t(a+fx)∈G′；用户“A”检查确认Y^t(a+fx)≠1_G，若Y^t(a+fx)＝l_G用户“A”中止协议执行并返回出错信息；若Y^t(a+fx)≠1_G，用户“A”计算K_A＝B^txY^t(a+fx)∈G′(其中B^tx mod q∈G′可事先计算的)。用户“A”计算(k₁，k₂)←H(K_A，f，1)H(K_A，f，2)…H(K_A，f，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，f，1)H(K_A，f，2)…H(K_A，f，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，f，1)H(K_A，f，2)…H(K_A，f，i)的长度为l的前缀。用户“A”检查 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right),$ 如果 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right)$ 则将会话密钥设为k₂并进入下一轮，否则(即 $t_B\≠{\mathrm{HMAC}}_{k_1}\left(1\right))$ 中止协议执行并返回出错信息。

第三轮：用户“A”发送 ${\{t}_A={\mathrm{HMAC}}_{k_1}\left(0\right)\}.$

收到t_A后，用户“B”检查 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right).$ 如果 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right)$ 用户“B”将会话密钥设为k₂，成功结束协议；否则(即 $t_A\≠{\mathrm{HMAC}}_{k_1}\left(0\right)$ )，用户“B”中止协议执行并返回出错信息。

实施例2：公钥证书在DH-密钥成分发送之前或同时发送时的具体实施方式：

事先计算：用户“A”可事先计算X＝g^x∈G，随机数R_A，t＝t₂＝t₃＝t₄＝N/q；若用户“A”事先知道用户“B”的身份和公钥，则可事先计算c＝H(R_A，I_B，B，X)和B^txc mod q∈G′，其中N为有限域G′的阶；用户“B”可事先计算Y＝g^y∈G，随机数R_B，t＝t₂＝t₃＝t₄＝N/q；若用户“B”事先知道用户“A”的身份和公钥，则可事先计算d＝H(R_B，I_A，A，Y)和A^tyd mod q∈G′。在具体实施中，用户“A”和“B”可不产生和发送随机数R_A和R_B(即在下述具体实施中，将R_A和R_B去掉)；或者，只有一个用户(比如用户“B”)发送随机数。

第一轮：用户“A”发送{CERT_A，R_A，X}；

收到{CERT_A，R_A，X}后用户“B”检查CERT_A的有效性和X∈G′/1_G，检查R_A为规定长度的字符串；任何检查不成功，用户“B”中止协议执行。若检查通过，用户“B”计算f＝H(R_A，R_B，X，Y)、c＝H(R_A，I_B，B，X)和X^{t(bc+fy)mod q}；用户“B”检查确认X^t(bc+fy)≠1_G，若X^t(bc+fy)＝1_G，用户“B”中止协议执行并返回出错信息；若X^t(bc+fy)≠1_G，用户“B”计算K_B＝A^tydX^t(bc+fy)∈G′(其中A^tyd mod q∈G′可事先计算的)，计算计算(k₁，k₂)←H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度为l的前缀。

第二轮：用户“B”发送 $\{{\mathrm{CERT}}_B,Y,R_B,t_B={\mathrm{HMAC}}_{k_1}\left(1\right)\}$ ；

收到“B”发送的信息后，用户“A”检查CERT_B的有效性和Y∈G′/1_G以及R_B为规定长度的字符串；任何检查不成功，用户“A”中止协议执行并返回出错信息；若检查通过，用户“A”计算f＝H(R_A，R_B，X，Y)、d＝H(R_B，I_A，A，Y)和Y^t(ad+fx)∈G′；用户“A”检查确认Y^t(ad+fx)≠1_G，若Y^t(ad+fx)＝1_G，用户“A”中止协议执行并返回出错信息；若Y^t(ad+fx)≠1_G，用户“A”计算K_A＝B^txcY^t(ad+fx)∈G′(其中B^txc mod q∈G′可事先计算的)。用户“A”计算计算(k₁，k₂)←H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度为l的前缀。

用户“A”检查 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right),$ 如果 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right)$ 则将会话密钥设为k₂并进入下一轮，否则(即 $t_B\≠{\mathrm{HMAC}}_{k_1}\left(1\right)$ )中止协议执行并返回出错信息。

第三轮：用户“A”发送 $\{t_A={\mathrm{HMAC}}_{k_1}\left(0\right)\}.$

收到t_A后，用户“B”检查 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right)$ ；如果 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right)$ 用户“B”将会话密钥设为k₂，成功结束协议；否则(即 $t_A\≠{\mathrm{HMAC}}_{k_1}\left(0\right)$ )，用户“B”中止协议执行并返回出错信息。

实施例3：公钥证书在DH-密钥成分发送同时或之后发送时的具体实施方式：

事先计算：用户“A”可事先计算X＝g^x∈G，随机数R_A，t＝t₂＝t₃＝t₄＝N/q；若用户“A”事先知道用户“B”的身份和公钥，则可事先计算c＝H(R_A，I_B，B，X)和B^txc mod q∈G′，其中N为有限域G′的阶；用户“B”可事先计算Y＝g^y∈G，随机数R_B，t＝t₂＝t₃＝t_A＝N/q；若用户“B”事先知道用户“A”的身份和公钥，则可事先计算d＝H(R_B，I_A，A，Y)和A^tyd mod q∈G′。在具体实施中，用户“A”和“B”可不产生和发送随机数R_A和R_B(即在下述具体实施中，将R_A和R_B去掉)；或者，只有一个用户(比如用户“B”)发送随机数。

第一轮：用户“A”发送{R_A，X}；

收到{R_A，X}后用户“B”检查X∈G′/1_G，检查R_A为规定长度的字符串；任何检查不成功，用户“B”中止协议执行。若检查通过，用户“B”或者直接进入进入下一轮(比如，当用户“B”比较忙或感觉遭受拒绝服务攻击时)；或者(比如，用户“B”较清闲时)，用户“B”计算f＝H(R_A，R_B，X，Y)、c＝H(R_A，I_B，B，X)和X^{t(bc+yf)mod q}，用户“B”检查确认X^t(bc+fy)≠1_G，若X^t(bc+fy)＝1_G，用户“B”中止协议执行并返回出错信息，若X^t(bc+fy)≠1_G，则进入下一轮。

第二轮：用户“B”发送{CERT_B，Y，R_B}。

收到“B”发送的信息后，用户“A”检查CERT_B的有效性和Y∈G′/1_G以及R_B为规定长度的字符串；任何检查不成功，用户“A”中止协议执行并返回出错信息；若检查通过，用户“A”计算f＝H(R_A，R_B，X，Y)、c＝H(R_A，I_B，B，X)、d＝H(R_B，I_A，A，Y)；如果用户“A”已经事先计算B^txc mod q∈G′，则用户“A”计算Y^t(ad+fx)∈G′，检查确认Y^t(ad+fx)≠1_G；若Y^t(ad+fx)＝1_G，用户“A”中止协议执行并返回出错信息，若Y^t(ad+fx)≠1_G，用户“A”计算K_A＝B^txcY^t(ad+fx)∈G′。如果用户“A”无事先计算B^txc mod q∈G′，则用户“A”计算K_A＝B^txcY^t(ad+fx)∈G′，检查确认K_A≠1_G，若K_A＝1_G，用户“A”中止协议执行并返回出错信息。用户“A”计算(k₁，k₂)←H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度为l的前缀。

第三轮：用户“A”计算并发送 $\{{\mathrm{CERT}}_A,t_A={\mathrm{HMAC}}_{k_1}\left(0\right)\}$ 。

收到用户“A”发送的信息后，用户“B”首先检查CERT_A的有效性，若无效则中止协议运行；若检查通过：

(a).若用户“B”已计算X^{t(bc+fy)mod q}并检查确认X^t(bc+fy)≠1_G，则用户“B”计算d＝H(R_B，I_A，A，Y)和K_B＝A^tydX^t(bc+fy)∈G′。

(b).若用户“B”尚未计算X^{t(bc+fy)mod q}，则用户“B”计算d＝H(R_B，I_A，A，Y)、f＝H(R_A，R_B，X，Y)、c＝H(R_A，I_B，B，X)和K_B＝A^tydX^t(bc+fy)∈G′。用户“B”检查确认K_B≠1_G，若K_B＝1_G，用户“B”中止协议执行并返回出错信息。

用户“B”计算(k₁，k₂)←H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度为l的前缀。

用户“B”检查 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right)$ ；如果 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right)$ 用户“B”将会话密钥设为k₂，并进入下一轮；否则(即 $t_A\≠{\mathrm{HMAC}}_{k_1}\left(0\right)$ )，用户“B”中止协议执行并返回出错信息。

第四轮：用户“B”发送 $\{t_B={\mathrm{HMAC}}_{k_1}\left(1\right)\}.$

收到t_B后，用户“A”检查 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right);$ 如果 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right)$ 用户“A”将会话密钥设为k₂，成功结束协议；否则(即 $t_B\≠{\mathrm{HMAC}}_{k_1}\left(1\right)$ )，用户“A”中止协议执行并返回出错信息。

(注：在上述具体实施中，用户“B”也可在第四轮发送自己的公钥证书和t_B，用户“A”在额外的第五轮发送t_A。)

实施例4：

事先计算：用户“A”可事先计算X＝g^x∈G，随机数R_A，t＝t₂＝t₃＝t₄＝N/q；若用户“A”事先知道用户“B”的身份和公钥，则可事先计算c＝H(0，R_A，I_A，A，I_B，B，X)和B^txc mod q∈G′，其中N为有限域G′的阶；用户“B”可事先计算Y＝g^y∈G，随机数R_B，t＝t₂＝t₃＝t₄＝N/q；若用户“B”事先知道用户“A”的身份和公钥，则可事先计算d＝H(1，R_B，I_B，B，I_A，A，Y)和A^tyd mod q∈G′。

在具体实施中，用户“A”和“B”可不产生和发送随机数R_A和R_B(即在下述具体实施中，将R_A和R_B去掉)；或者，只有一个用户(比如用户“B”)发送随机数。在具体实施中，也可将函数c输入中的0和/或函数d输入中的1去掉。

第一轮：用户“A”发送{CERT_A，R_A，X}；

收到{CERT_A，X}后用户“B”检查CERT_A的有效性和X∈G′/1_G，检查R_A为规定长度的字符串；任何检查不成功，用户“B”中止协议执行。若检查通过，用户“B”计算c＝H(0，R_A，I_A，A，I_B，B，X)、f＝H(c，d)、和X^{t(bc+fy)mod q}；用户“B”检查确认X^t(bc+fy)≠1_G，若X^t(bc+fy)＝1_G，用户“B”中止协议执行并返回出错信息；若X^t(bc+fy)≠1_G，用户“B”计算K_B＝A^tydX^t(bc+fy)∈G′(其中A^tyd mod q∈G′可事先计算的)，计算(k₁，k₂)←H(K_B，f，1)H(K_B，f，2)…H(K_B，f，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_B，f，1)H(K_B，f，2)…H(K_B，f，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_B，f，1)H(K_B，f，2)…H(K_B，f，i)的长度为l的前缀。

第二轮：用户“B”发送 $\{{\mathrm{CERT}}_B,Y,R_B,t_B={\mathrm{HMAC}}_{k_1}\left(1\right)\}$ ；收到“B”发送的信息后，用户“A”检查CERT_B的有效性和Y∈G′/1_G以及R_B为规定长度的字符串；任何检查不成功，用户“A”中止协议执行并返回出错信息；若检查通过，用户“A”计算d＝H(1，R_B，I_B，B，I_A，A，Y)、f＝H(c，d)、和Y^t(ad+fx)∈G′；用户“A”检查确认Y^t(ad+fx)≠1_G，若Y^t(ad+fx)＝1_G，用户“A”中止协议执行并返回出错信息；若Y^t(ad+fx)≠1_G，用户“A”计算K_A＝B^txcY^t(ad+fx)∈G′(其中B^txc mod q∈G′可事先计算的)。用户“A”计算(k₁，k₂)←H(K_A，f，1)H(K_A，f，2)…H(K_A，f，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，f，1)H(K_A，f，2)…H(K_A，f，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，f，1)H(K_A，f，2)…H(K_A，f，i)的长度为l的前缀。用户“A”检查 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right),$ 如果 $t_B={\mathrm{HMAC}}_{k_1}\left(1\right)$ 则将会话密钥设为k₂并进入下一轮，否则(即 $t_B\≠{\mathrm{HMAC}}_{k_1}\left(1\right)$ )中止协议执行并返回出错信息。

第三轮：用户“A”发送 $\{t_A={\mathrm{HMAC}}_{k_1}\left(0\right)\}.$ 收到t_A后，用户“B”检查 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right);$ 如果 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right)$ 用户“B”将会话密钥设为k₂，成功结束协议；否则(即 $t_A\≠{\mathrm{HMAC}}_{k_1}\left(0\right)$ )，用户“B”中止协议执行并返回出错信息。

实施例5：

事先计算：用户“A”可事先计算X＝g^x∈G，随机数R_A，t＝t₂＝t₃＝t₄＝N/q；若用户“A”事先知道用户“B”的身份和公钥，则可事先计算c＝H(R_A，I_B，B，X)和B^txc mod q∈G′，其中N为有限域G′的阶；用户“B”可事先计算Y＝g^y∈G，随机数R_B，t＝t₂＝t₃＝t₄＝N/q；若用户“B”事先知道用户“A”的身份和公钥，则可事先计算d＝H(R_B，I_A，A，Y)和A^tyd mod q∈G′。在具体实施中，用户“A”和“B”可不产生和发送随机数R_A和R_B(即在下述具体实施中，将R_A和R_B去掉)；或者，只有一个用户(比如用户“B”)发送随机数。

第一轮：用户“A”发送{R_A，X}；

收到{R_A，X)后用户“B”检查X∈G′/1_G，检查R_A为规定长度的字符串；任何检查不成功，用户“B”中止协议执行。若检查通过，用户“B”计算f＝H(R_A，R_B，X，Y)、c＝H(R_A，I_B，B，X)和K′_B＝X^{t(bc+yf)mod q}，用户“B”检查确认X^t(bc+fy)≠1_G，若X^t(bc+fy)＝1_G，用户“B”中止协议执行并返回出错信息；若X^t(bc+fy)≠1_G，用户“B”计算K′←H(K_A，f，c，1)H(K_A，f，c，2)…H(K_A，f，c，i)，其中i≥1由一个计数器来实现，i的取值依赖于K′的长度，即直到H(K_A，f，c，1)H(K_A，f，c，2)…H(K_A，f，c，i)的长度大于等于K′的长度；如果K′的长度为l′，我们令K′为H(K_A，f，c，1)H(K_A，f，c，2)…H(K_A，f，c，i)的长度为，l′的前缀。

第二轮：用户“B”发送{CERT_B，Y，R_B，t′_B＝HMAC_K′(1)}。

收到“B”发送的信息后，用户“A”检查CERT_B的有效性和Y∈G′/1_G以及R_B为规定长度的字符串；任何检查不成功，用户“A”中止协议执行并返回出错信息；若检查通过，用户“A”计算d＝H(R_B，I_A，A，Y)、f＝H(R_A，R_B，X，Y)、并做如下计算：

(a).若用户“A”已经事先计算B^txc，则用户“A”计算Y^txf∈G′；用户“A”检查确认Y^txf≠1_G，若Y^txf＝1_G则中止协议运行；若Y^txf≠1_G用户“A”计算K′_B＝B^txcY^txf∈G′；

(b).若用户“A”无事先计算B^txc，则用户“A”计算K′_B＝B^txcY^txf∈G′；用户“A”检查确认K′_B≠1_G，若K′_B＝1_G则中止协议运行；

用户“A”计算K′←H(K_A，f，c，1)H(K_A，f，c，2)…H(K_A，f，c，i)，其中i≥1由一个计数器来实现，i的取值依赖于K′的长度，即直到H(K_A，f，c，1)H(K_A，f，c，2)…H(K_A，f，c，i)的长度大于等于K′的长度；如果K′的长度为，l′，我们令K′为H(K_A，f，c，1)H(K_A，f，c，2)…H(K_A，f，c，i)的长度为l′的前缀。

用户“A”检查确认t′_B＝HMAC_K′(1)，若检查不通过(即t′_B≠HMAC_K′(1))则中止协议运行。若检查通过，用户“A”计算Y^tad∈G′；若K′_B是在上述情形(b)生成，用户“A”检查确认Y^tad≠1_G，若Y^tad＝1_G则中止协议运行。用户“A”计算K_A＝K′_BY^tad∈G′计算(k₁，k₂)←H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度为l的前缀。

用户“A”计算 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right),$ 计算t′_A＝HMAC_K′(sid，I_A，t_A)，其中sid＝(R_A，R_B)或sid＝R_B或sid＝(X，Y)或sid＝Y。

用户“A”将k₂设为会话密钥，并进入下一轮。

第三轮：用户“A”向用户“B”发送{CERT_A，t_A，t′_A}。

收到用户“A”发送的信息后，用户“B”首先利用K′检查t′_A＝HMAC_K′(sid，I_A，t_A)；若检查不正确(即t′_A≠HMAC_K′(sid，I_A，t_A))用户“B”中止协议运行，返回或不返回出错信息。若t′_A＝HMAC_K′(sid，I_A，t_A)，用户“B”检查CERT_A的有效性，若检查不通过，则中止协议运行，返回或不返回出错信息；若CERT_A有效，用户“B”计算d＝H(R_B，I_A，A，Y)、K_B＝A^tydK′_B∈G′用户“B”计算(k₁，k₂)←H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)，其中i≥1由一个计数器来实现，i的取值依赖于(k₁，k₂)的长度，即直到H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度大于等于(k₁，k₂)的长度；如果(k₁，k₂)的长度为l，我们令(k₁，k₂)为H(K_A，c，d，1)H(K_A，c，d，2)…H(K_A，c，d，i)的长度为l的前缀。

用户“B”检查确认 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right),$ 若检查不通过(即 $t_A\≠{\mathrm{HMAC}}_{k_1}\left(0\right)$ )用户“B”中止协议运行；若检查通过(即 $t_A={\mathrm{HMAC}}_{k_1}\left(0\right)$ )，用户“B”将k₂设为会话密钥并成功结束会话。

Claims (3)

1.一类高效、公平的密钥交换方法，其特征在于：

系统工作环境为：

(1).系统参数：(G′，G，g，q)，其中G′是一个阶为N的有限群，G为G′中阶为q的子群，g为G的生成元，使得定义在G上的离散对数问题是难的；用乘法来表示G′中元素的操作，将G、G′中的单位元记为1_G，G′/1_G表示的是由G′减去单位元1_G之后其它元素的集合，即G′中的非1_G元素；记G/1_G为G中的非1_G元素；不失一般性，指数运算和不在指数上的乘法运算的结果是G′或G中的一个元素，指数上的加法和/或乘法运算是模q计算；对于任一元素X∈G′，记X^-1为X的相对于G′的逆元，即：XX^-1＝1_G；

(2).H是一个哈希函数；对于字符串或数值s₁，s₂，…s_m，m＞1，H(s₁，s₂，…s_m)表示的是：将s₁，s₂，…，s_m，用合适编码表示，然后将所有的编码顺序连接串联起来，最后将串联后得到的串作为H的输入；不失一般性，设H的输出是Z_q＝{0，1，2，…，q-1}中的元素，否则取H的输出的一个属于Z_q的子串或对H的输出进行模q计算；若s₁，s₂，…，s_m是m个字符串，S₁，S₂，…S_n是n个集合，Φ为空集合，1≤n，m，则{s₁，s₂，…，s_m，Φ，S₁，S₂，…，S_n}表示的是{s₁，s₂，…，s_m}∪S₁∪S₂∪…∪S_n，其中大括号内的元素顺序可以任意变化；H(s₁，s₂，…，s_m，Φ，S₁，S₂，…，S_n)表示的是将s₁，s₂，…s_m及S₁∪S₂∪…∪S_n-{s₁，s₂，…，s_m}中的元素用合适编码表示，然后将所有的编码串顺序连接串联起来，最后将串联后得到的串作为H的输入；若Φ为空值，则H(s₁，Φ，s₂)＝H(s₁，s₂)，{s₁，Φ，s₂}＝{s₁，s₂}；

(3).具有身份IDI_A的用户“A”有一个公钥A＝g^a∈G，其中a由用户“A”在Z_q＝{0，1，2，…，q-1}中随机选取；相应地，具有IDI_B的用户“B”的公钥记为B＝g^b∈G，以此类推；其中I_A为用户“A”的身份信息或用户名，I_B为用户“B”的身份信息或用户名；对于任一元素x∈Z_q，记-x为x的相对于Z_q的负元，即：x+(-x)＝0modq；

(4).协议基于Diffie-Hellman密钥交换协议；记X＝g^x∈G为用户“A”的DH密钥成分，x为DH密钥成分X的离散对数，x由用户“A”从Z_q＝{0，1，…，q-1}中随机选取或从Z_q＝{0，1，…，q-1}的奇数子集中随机选取；记Y＝g^y∈G为用户“B”的DH密钥成分，y为DH密钥成分Y的离散对数，y由用户“B”从Z_q＝{0，1，…，q-1}中随机选取或从Z_q＝{0，1，…，q-1}的奇数子集中随机选取；假设用户“A”为协议的发起者，用户“B”为协议的响应者；即：用户“A”先发送X；在收到X后用户“B”再发送Y；在基于口令的实现方法中，客户“A”发送的DH-密钥成分为X′＝g^xB^β＝XB^β∈G′；

(5).协议会话标示符sid：sid用于标示同一协议的不同的并发运行会话；sid是协议双方相互交换的两个随机数的串联，即：sid＝R_A||R_B，其中R_A是一个由用户“A”发送的随机数，R_B是一个由用户“B”发送的随机数，“||”表示的是字符串联结符；在客户服务器环境中，sid可直接设置为服务器发送的随机数或计数器数值；或者，sid直接由DH-密钥成分来定义，即将R_A换为X将R_B换为Y；

(6).与协议执行相关的其它信息pub₁，pub₂，…pub_k，k≥1：对于任意的i，1≤i≤k，pub_i是除DH-密钥成分X＝g^x或X′，Y＝g^y之外的其它与协议执行相关的信息的一个子集或序列，可为空或含重复元素；其它与协议执行相关的信息包括：用户即协议初始者与响应者的身份信息或用户名、协议初试者和响应者的角色标示、公钥及公钥证书信息、IP地址，协议版本，安全参数和密钥参数，协议的会话标示符，时间戳，cookie，任意数值，以及除DH-密钥成分外的协议会话传输的其它信息；在不同的实现方法中，pub_i的取值可不同；对于任意的i，j，i≠j，pub_i等于或不等于pub_j；pub_i包含协议初始者与响应者的公钥与身份或用户名信息，即

或

(7).密钥导出函数KDF：KDF(S，aux)是一个密钥导出函数，其中S是一个数值或数值的集合，aux是一个数值字符串集合或计数器；KDF是一个哈希函数或哈希函数序列，或是一个以S为随机种子的伪随机函数；会话密钥和认证密钥可由同一个密钥导出函数在相同的输入上导出；或者，会话密钥和认证密钥由同一个密钥导出函数在不同的输入上分别导出；或者，会话密钥的导出函数与认证密钥的导出函数不同，而它们的输入相同或不同；

(8).标签认证函数F_T(K，U)，其中K为一个秘密数值或秘密数值的集合，U为一个集合；标签认证函数F_T(K，U)为任何满足如下性质的函数：①不能够从F_T(K，U)在K的长度的多项式时间内求出K，即：相对于输入K，函数F_T是单向的；②给定F_T(K，U)，不能够在K的长度的多项式时间内计算出F_T(K，U′)或F_T(K，U′)使得U≠U′；F_T是一个单向哈希函数；或者F_T是一个消息认证码MAC函数，其中MAC的私钥由K、U导出而认证的信息是U的一个子集；

假设协议运行送方有某种机制协商上述参数、函数、算法，用户角色标示及会话标示符号的表示方法等，以及运行以下任一实现方法，并达成一致；协商所交互的信息的一个子集可包含在pub_i，1≤i≤k中；在申请方法中进行的对各种元素的检查确认是一次性的，即：一旦确认正确，则在本次会话的后续运行中不在检查；

实现方法：设用户“A”有离散对数公钥A＝g^a并发送DH-密钥成分X＝g^x，且用户“B”有离散对数公钥B＝g^b并发送DH-密钥成分Y＝g^y；记CERT_A为用户“A”的公钥证书，CERT_B为用户“B”的公钥证书；根据实现方法的不同，用户公钥证书的发送在发送DH-密钥成分之前、或发送DH-密钥成分的同时、或发送DH-密钥成分之后；用户“A”发送或不发送随机数R_A，用户“B”发送或不发送随机数R_B；aux_A和aux_B要么均为空值或相同的值或字符串，或者aux_A和aux_B为任意数值或字符串并且aux_A≠aux_B；

密钥交换方法的核心和特征是构建两个函数K_A和K_B使得K_A(a，x，B，Y，pub)＝K_B(b，y，A，X，pub)；K_A和K_B的计算如下：用户“A”计算用户“B”计算

其中，t_i＝1或

1≤i≤4；用户“A”事先计算X和

用户“B”可事先计算Y和

实现方法的关键是函数c，d，e，f的不同设置和实现方法：

实现方法-(1)：c＝d＝1；e＝0或e＝1或e＝H(pub₁)；f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(pub₂，X，Y)；

实现方法-(2)：c＝H(aux_A，I_B，B，X)或c＝H(aux_A，R_A，I_B，B，X)；d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，R_B，I_A，A，R_B，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)；

对于实现方法-(2)，用户先交换DH-密钥成分，后交换公钥证书；或者用户“B”在发送Y的同时发送公钥证书；此时，用户“B”先计算

用户“A”先计算 $Y^{t_3\mathrm{ad}+t_4\mathrm{xf}}\∈G^{\′};$

实现方法-(3)：c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)；

对于实现方法-(3)，用户先交换DH-密钥成分，后交换公钥证书；用户“B”在发送Y的同时发送公钥证书；此时，用户“B”先计算用户“A”先计算

实现方法-(4)：c＝H(aux_A，I_B，B，X)或c＝H(aux_A，I_B，B，R_A，X)或c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，I_A，A，R_B，Y)或d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)；

实现方法-(5)：c＝H(aux_A，I_A，A，I_B，B，X)或

c＝H(aux_A，I_A，A，R_A，I_B，B，X)；d＝H(aux_B，I_B，B，I_A，A，Y)或

d＝H(aux_B，I_B，B，R_B，I_A，A，Y)；e＝0或1或H(pub₁)；f＝H(X，Y)或f＝H(sid，X，Y)或

f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或

f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)；

实现方法-(6)：c＝H(aux_A，I_A，A，X)或c＝H(aux_A，I_A，A，R_A，X)，d＝H(aux_B，I_B，B，Y)或d＝H(aux_B，I_B，B，R_B，Y)，e＝0或1或H(pub₁)，f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)；

实现方法-(7)：c＝H(aux_A，I_A，A，I_B，X)或c＝H(aux_A，I_A，A，R_A，I_B，X)，d＝H(aux_B，I_B，B，I_A，Y)或d＝H(aux_B，I_B，B，R_B，I_A，Y)，e＝0或1或H(pub₁)，f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)；

实现方法-(8)：c＝H(aux_A，I_B，X)或c＝H(aux_A，I_A，I_B，X)或c＝H(aux_A，R_A，I_B，X)或c＝H(aux_A，I_A，R_A，I_B，X)，d＝H(aux_B，I_A，Y)或d＝H(aux_B，I_B，I_A，Y)或d＝H(aux_B，R_B，I_A，Y)或d＝H(aux_B，I_B，R_B，I_A，Y)，e＝0或1或H(pub₁)，f＝H(X，Y)或f＝H(sid，X，Y)或f＝H(I_A，A，I_B，B，X，Y)或f＝H(sid，I_A，A，I_B，B，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝H(d，X)或f＝H(I_A，I_B，X，Y)或f＝H(sid，I_A，I_B，X，Y)或f＝H(pub₂，X，Y)；

实现方法-(9)：c＝H(aux_A，pub₃，X)或c＝H(pub₄，X，Y)或c＝1，d＝H(aux_B，pub₅，Y)或d＝H(pub₆，X，Y)或d＝1；e＝0或1或H(pub₁)或H(pub₁，X，Y)或H(pub₁，X)或H(pub₁，Y)，f＝H(pub₇，X，Y)或f＝H(sid，X，Y)或f＝H(c，d)或f＝H(c，Y)或f＝1或f＝0；其中，若c＝1和/或d＝1，则f不可为0或1；pub₄和pub₇不相同，pub₆和pub₇不相同；

t_i，1≤i≤4，设置方法：(1).若用户“A”检查确认B∈G，Y∈G，用户“B”检查确认A∈G，X∈G，则令t₁＝t₂＝t₃＝t₄＝1；(2).若用户“A”仅检查确认B∈G，X∈G′或X∈G′/1_G，而不能确认X∈G，用户“B”仅检查确认A∈G，Y∈G′或Y∈G′/1_G，而不能确认Y∈G，且x和/或y会泄露，则令

用户“B”检查确认

或

或K_B≠1_G，用户“A”检查确认或

或K_A≠1_G；若x，y均不会泄露，仍同(1)可设t₁＝t₂＝t₃＝t₄＝1；任何检查不通过，则中止协议运行，返回或不返回出错信息；

会话密钥和认证密钥导出方法：利用密钥导出函数由K_A＝K_B及{f，c，d，e，X，Y，pub₈}的某个子集导出认证密钥k₁和会话密钥k₂；

认证方法：记导出的认证密钥为k₁，为向用户“A”证明其知道R′，用户“B”利用标签认证函数F_T计算并发送t_B＝F_T(k₁，aux₁)，其中aux₁是{I_B，sid，r_B，X，Y，pub₉}的一个子集，sid是会话标示符，r_B是用户“B”的协议角色标示；用户“A”利用认证密钥k₁检查t_B正确性，若不正确，则中止协议执行，返回或不返回出错信息；为向用户“B”证明其的确知道k₁，用户“A”在收到t_B并验证t_B的正确性后，计算并向用户“B”发送t_A＝F_T(k₁，aux₀)，其中aux₀是{I_A，sid，r_A，X，Y，pub₁₀}的一个子集且aux₀≠aux₁，r_A是用户“A”的协议角色标示；用户“B”利用认证密钥R′检查t_A正确性，若不正确，则中止协议执行，返回或不返回出错信息。

2.如权利要求1所述的高效、公平的密钥交换方法的应用，其特征在于应用于抗拒绝服务攻击，且保护用户隐私，具体步骤如下：

设用户“A”有离散对数公钥A＝g^a并发送DH-密钥成分X＝g^x，用户“B”有离散对数公钥B＝g^b并发送DH-密钥成分Y＝g^y；记CERT_A为用户“A”的公钥证书，CERT_B为用户“B”的公钥证书；用户“A”发送或不发送随机数R_A，用户“B”发送或不发送随机数R_B；aux_A和aux_B均为空值或相同的值或字符串，或者aux_A和aux_B为任意数值或字符串并且aux_A≠aux_B；

t_i＝1或1≤i≤4；其设置方法为：(1).若用户“A”检查确认B∈G，Y∈G，用户“B”检查确认A∈G，X∈G，则令t₁＝t₂＝t₃＝t₄＝1；(2).若用户“A”仅检查确认B∈G，X∈G′或X∈G′/1_G，而不能确认X∈G，用户“B”仅检查确认A∈G，Y∈G′或Y∈G′/1_G，而不能确认Y∈G，且x和/或y会泄露，则令用户“B”检查确认用户“A”检查确认

和/或

和/或

若x，y均不会泄露，仍同(1)可设t₁＝t₂＝t₃＝t₄＝1；任何检查不通过，则中止协议运行，返回或不返回出错信息；

第一轮：用户“A”向用户“B”发送{X，aux_A}或{X，aux_A，R_A}；

收到“A”发送的信息后，用户“A”检查X∈G′或X∈G′/1_G或X∈G或X∈G/1_G；若检查不通过，则中止协议运行，返回或不返回出错信息；若检查通过，用户“B”计算Y，

其中，c＝H(aux_A，I_B，B，X)或c＝H(aux_A，I_B，B，R_A，X)或c＝H(aux_B，I_B，B，X)或c＝H(aux_B，I_B，B，R_B，X)；f＝H(X，Y)或f＝H(sid，X，Y)f＝H(pub₂，X，Y)；其中，用户“B”可事先计算Y、c和t₂bc；用户“B”利用密钥导出函数由K′_B及{f，c，X，Y，sid，R_A，R_B，pub₈}的一个子集导出认证密钥K′；用户“B”利用标签认证函数F_T计算t′_B＝F_T(K′，aux₁)，其中aux₁是{I_B，sid，r_B，X，Y，R_B，pub₉}的一个子集，sid是会话标示符，r_B是用户“B”的协议角色标示；

第二轮：用户“B”向用户“A”发送{I_B，B，Y，aux_B，t′_B}或{I_B，B，Y，aux_B，R_B，t′_B}；其中，(I_B，B)替换为用户“B”的公钥证书CERT_B；

收到用户“B”发送的信息后，用户“A”检查CERT_B的有效性，检查Y∈G′或Y∈G′/1_G或Y∈G或Y∈G/1_G；若检查不通过，则中止协议运行，返回或不返回出错信息；若检查通过，用户“A”计算c、f和

用户“B”由K′_B导出认证密钥K′，并利用K′检查t′_B＝F_T(R′，aux₁)的正确性，若检查不通过，则中止协议运行，返回或不返回出错信息；若检查通过，用户“A”计算

其中d＝H(aux_B，I_A，A，Y)或d＝H(aux_B，I_A，A，R_B，Y)或d＝H(aux_A，I_A，A，Y)或d＝H(aux_A，I_A，A，R_A，Y)；e＝0或1或H(pub₁)；其中用户“A”事先计算X、

用户“A”利用密钥导出函数由K_A及{f，c，d，e，X，Y，R_A，R_B，pub₈}的某个子集导出认证密钥k₁和会话密钥k₂；用户“A”计算t_A＝F_T(k₁，aux₀)，其中aux₀是{I_A，sid，r_A，R_A，X，Y，pub₁₀}的一个子集且aux₀≠aux₁，r_A是用户“A”的协议角色标示；用户“A”计算或不计算t′_A＝F_T(K′，aux′₀)，其中aux′₀是{I_A，A，t_A，sid，r_A，X，Y，R_A，R_B，pub₁₀}的一个子集且aux′0≠aux1；

第三轮：用户“A”向用户“B”发送{I_A，A，t_A，t′_A}或{I_A，A，t_A}，其中(I_A，A)替换为用户“A”的公钥证书CERT_A；

收到用户“A”发送的信息后，若用户“A”在第三轮发送{I_A，A，T_A，t′_A}，用户“B”首先利用K′检查t′_A＝F_T(K′，aux′₀)，若检查不正确用户“B”中止协议运行，返回或不返回出错信息；若t′_A＝F_T(K′，aux′₀)，用户“B”检查CERT_A的有效性，若检查不通过，则中止协议运行，返回或不返回出错信息；若CERT_A有效，用户“B”计算

并利用密钥导出函数由K_B及{f，c，d，e，X，Y，R_A，R_B，pub₈}的某个子集导出认证密钥k₁和会话密钥k₂；用户“B”利用认证密钥k₁检查t_A＝F_T(k₁，aux₀)的正确性，若检查不通过，则中止协议运行，返回或不返回出错信息；若检查通过，进行或不进行第四轮；

第四轮：用户“B”计算并向用户“A”发送{t_B}，其中t_B＝F_T(k₁，aux₁)，aux₁≠aux₀；

收到用户“B”发送的信息后，用户“A”利用认证密钥R′检查t_B的正确性；若检查不通过，则中止协议运行，返回或不返回出错信息。

3.如权利要求1所述的高效、公平的密钥交换方法的应用，其特征在于应用于无公钥证书且在线计算高效的密钥交换方法，具体步骤如下：

设ε：G^T×G^T→G是一个合格的多项式时间可计算的双线性映射；其中G^T是一个阶为q的加法或乘法群，

为其单位元；不失一般性，记G^T为加法群；记P为G^T的生成元；ε：G^T×G^T→G满足：ε(xP，yP)＝ε(P，P)^xy且记H^T：{0，1}→G^T为一个哈希函数；用户“A”除了公钥A＝g^a∈G外，另有一个基于身份的公钥Q_A＝H^T(I_A)或Q_A＝H^T(I_A，A)或Q_A＝H^T(I_A，A，P₀)；用户“B”除了公钥B＝g^b∈G外，另有一个基于身份的公钥Q_B＝H^T(I_B)或Q_B＝H^T(I_B，B)或Q_B＝H^T(I_B，B，P₀)；其中，P₀＝sP∈G^T为一个可信的第三方CA的公钥，CA的私钥为s∈Z_q；用户“A”除了私钥a之外另有私钥S_A＝sQ_A，其中S_A＝sQ_A由CA计算并安全地传送给用户“A”；用户“B”除了私钥b之外另有私钥S_B＝sQ_B，其中S_B＝sQ_B由CA计算并安全地传送给用户“B”。

4.根据权利要求1所述的高效、公平的密钥交换方法，其特征在于含有公平的Diffie-Hellman密钥交换方法：

设用户“A”发送DH-密钥成分X＝g^x∈G′，用户“B”发送DH-密钥成分Y＝g^y∈G′；用户“A”计算Diffie-Hellman秘密K_A＝Y^xc，用户“B”计算Diffie-Hellman秘密K_B＝X^yc；其中c＝H(X，Y，pub₁₂)。

5.如权利要求4所述的高效、公平的密钥交换方法的应用，其特征在于该方法采用公平的Diffie-Hellman密钥交换方法应用于高效、公平的群密钥交换方法，具体步骤如下：

设有n个用户U₁，U₂，…U_n，n＞2，想建立一个共同的Diffie-Hellman秘密；用户U_i的DH-密钥成分记为

其中1≤i≤n，x_i∈Z_q；我们设下标i是modn计算；

对于任意的imodn，用户U_i计算

和

其中c_i＝H(i，U_i-1，X_i-1，U_i，X_i)或c_i＝H(U_i-1，X_i-1，U_i，X_i)，c_i+1＝H(i+1，U_i，X_i，U_i+1，X_i+1)或c_i+1＝H(U_i，X_i，U_i+1，X_i+1)；U_i将T_i通知给所有其它用户，但可将X_i只通知给U_i-1和U_i+1；

对于任意的imodn，用户U_i计算Diffie-Hellman秘密：K_i＝(Z_i)ⁿ(T_i)^n-1(T_i+1)^n-2…(T_i-3)²T_i-2∈G′；会话密钥和认证密钥利用密钥导出函数由K_i及{sid，U₁，U₂，…，U_n，T₁，T₂，…，T_n}的一个子集导出；

t_i＝1或

若对于任意的imodn，用户U_i检查确认X_i-1，X_i+1均为G或G/1_G中的元素，则t₁＝t₂＝…t_n＝1；若对于任意的imodn，用户U_i仅检查确认X_i-1，X_i+1为G′中的元素，而不能确认为G中的元素，则

用户U_i检查确认Z_i≠1_G，Z_i+1≠1_G和/或K_i≠1_G，若检查不通过则返回出错信息并中止协议运行。

6.如权利要求1-5之一所述的高效、公平的密钥交换方法及其应用，其特征在于应用于变体的某个子集，具体步骤如下：

(1).将哈希函数输入中的(I_A，A)替换成(I_A，A)的哈希值，并将(I_A，A)的哈希值包含在用户“A”的公钥证书中；将哈希函数输入中的(I_B，B)替换成(I_B，B)的哈希值，并将(I_B，B)的哈希值包含在用户“B”的公钥证书中；

(2).公钥证书颁发机构在向用户颁发证书时，检查确认用户注册的公钥为G中的元素或为G/1_G中元素；任何检查不通过，证书颁发机构拒绝颁发公钥证书；这样，每个用户只需检查对方用户的公钥证书即可确认对方的公钥为G或G/1_G中的元素；

(3).基于口令的变体：权利要求1、2的实现方法有如下基于口令的变体；设用户“A””在用户“B”处注册了一个口令W；在所有方法中用户“A”所发送DH-密钥成分X′＝XB^w或X′＝XB^-w，或者

或

或者

或

其中B为用户“B”的公钥，X＝g^x∈G′，H_w是一个输出长度小于q的长度的哈希函数；收到X′后，用户“B”根据X′的相应计算方式计算出X＝X′B^-w或X＝X′B^w，或者

或

或者

或

K_A，K_B，t_A，t_B计算仍使用X作为指数下的挑战，但指数上的函数c，d，e，f的输入中的X换为X′；除其它规定的事先离线计算外，用户“B”可事先计算B^-1∈G′；

在基于口令的变体中，对DH-密钥成分X是否为G′或G中元素的检查替换为对X′是否为G′或G中元素的检查；

(4).哈希函数的输入中嵌套相同或不同的哈希函数，即：将原哈希函数的输入和嵌套的哈希函数作为一个特殊的有向图的节点，其中原哈希函数的输入代表的节点无扇入，最外层的哈希函数所代表的节点无扇出，每个节点所代表的数值是其扇出节点所代表的哈希函数的输入；

(5).将哈希函数输入的顺序任意变化；和/或，将哈希函数的所有输入换为所有输入的并集，即：重复的元素在输入中只出现一次；和/或，将哈希函数换为任一个输出为整数的函数；和/或，应用在每一处的哈希函数与应用在其它处的哈希函数相同或不同；即，我们使用一组哈希函数{H₁，H₂，…H_n}，其中对于任意的i，j，1≤i，j≤n，i≠j，H_i＝H_j或H_i≠H_j，n≥1且n是需应用哈希函数的次数的上界；

(6).不同的密钥导出函数：应用在每一处的密钥导出函数与应用在其它处的密钥导出函数相同或不同；即，我们使用一组密钥导出函数{KDF₁，KDF₂，…KDF_n}，其中对于任意的i，j，1≤i，j≤n，i≠j，KDF_i＝KDF_j或KDF_i≠KDF_j，n≥1且n是需应用密钥导出函数的次数的上界；

(7).在所有方法中用户“A”检查K_A≠1_G，用户“B”检查K_B≠1_G；

(8).对于基于椭圆曲线的实现，将密钥导出函数输入中的K_A，K_B换为K_A，K_B的x-坐标值或y-坐标值；每个用户检查对方用户的DH-密钥成分的x-坐标和y-坐标是椭圆曲线所基于的有限域中的正确编码的元素；

(9).出错中止和出错信息返回：在所有的方法中，一旦一个用户因检查不通过，即出错，而中止协议，发回或不发回出错信息；在基于口令的实现方法中，客户“A”只允许出错有限次，以防止在线攻击；

(10).会话标示符和用户协议角色标示方法：会话标示符一般由用户“A”和“B”发送的两个随机数或DH-密钥成分以初始者-响应者的顺序串联构成；用户的协议角色标示一般用不同的整数或者由用户“A”和“B”发送的随机数或DH-密钥成分的不同顺序来标示；

(11).用户“A”检查确认Y≠X；若Y＝X，用户“A”则中止协议运行。