算量进行了讨论,结果表明，新协议在减少计算量的前提下基于签名方案多密钥协商协议摘要：多密钥协商协议可以在一次会话中协商出多个会话密钥，大大降低了密钥协商的成本，因此受到研究者们的关注。提出了一种新的基于签名的多密钥协商协议，新协议利用传统的签名方案实现参与者之间信息的隐藏，并通过引入Hash函数来加强协议的安全性。对新协议的安全性和计实现了协议双方的安全密钥协商。关键词：密码学；认证；多密钥协商；签名方案；已知密钥安全中图分类号：TP309文献标志码：AMulti-keyagreementprotocolbasedonsignatureschemeDENGFei*,HEJunDepartmentofComputerandInformationEngineering,HuaihuaVocationalandTechnicalCollege,HuaihuaHunan418000,ChinaAbstT8Ct：Multi-keyagreementprotocolcangeneratemulti-keysinonesession,soresearchersareinterestedinitthesedays・Inthispaper,anewmulti-keyagree-mentprotocolbasedonthetraditionalsignatureschemewasproposed.ThenewschemerealizesthehidingoftheinformationbetweentheparticipantsandenhancedthesecurityofourprotocolbyusingHashfunction.Thispaperdiscussedthesecurityandcomputationalcostofthenewscheme.Theresultshowsthatthenewprotocolrealizesthesecurekeyagreementwithlowercomputa-tionalcost・英文关键词Keywords：cryptography；authentication；multi-keyagree-ment；signaturescheme；known-keysecurity0引言密码学可以帮助在公开网络中的参与者实现安全通信。密钥在密码体制中发挥着重要作用，一旦密钥泄露，很多密码系统都将被攻破。因此，如何建立一个安全的会话密钥就成为学者们研究的焦点，这就是密钥建立协议。根据生成会话密钥的方法不同，密钥建立协议可以分为密钥传输协议和密钥协商协议。顾名思义，密钥传输协议就是利用可信的第三方将事先选定的密钥通过安全信道传输给参与者（双方或多方）；而密钥协商协议则是会话的参与者通过一定的规则生成临时会话密钥。与密钥传输协议相比，密钥协商协议需要的计算量往往更大，但其不需要依赖实际中很难存在的可信第三方，也不需要维护安全信道用于传输秘密信息，因此近年来受到研究者们的青睐。本文的研究重点也将放在密钥协商协议中。第一个密钥协商协议是1976年由Diffie和Hellman［l］提出的，但由于参与者双方不能互相认证对方，因此该方案不能抵抗中间人攻击。解决这一问题的典型办法是使用公钥密码体制。随后，Menezes等［2］提出了MQV系列密钥协商协议，这些协议都不需要使用Hash函数来生成签名，因此被广泛地用于工业界，如ANSIX9.42标准⑶、ANSIX9.63标准［4］IEEE标准［5］等。为了实现多于两个的参与者的安全通信，Harn和Lin［6］基于MQV协议的无Hash函数签名思想提出了首个多密钥协商协议。多密钥协商协议是指通过一次密钥协商，可以生成多个会话密钥。与传统的密钥协商相比，多密钥协商协议大大降低了协商成本，缺点是一旦参与者中有一方退出或有新成员加入，该协议协商得到的密钥都将作废。因此，该类协议适用于成员相对固定的场景。Yen和Joye［7］指出Harn-Lin协议不能抵抗伪造攻击(Forgeryattack)并提出了一种改进的新协议。但遗憾的是，Wu等［8］发现Yen-Joye协议也不安全，同样提出了一种改进的协议来弥补Yen-Joye协议安全上的漏洞，但其改进的协议中使用了Hash函数。但好戏不长，Harn和Lin［9］发现文献［8］仍然存在安全问题，于是对其进行了改进。然而，Zhou等［10］发现第二个Harn-Lin协议［9］仍然不能抵抗伪造攻击。本文将提出一种新的多密钥协商协议，并将证明新协议的安全性优于上述的多密钥协商协议。1密钥协商协议的安全目标对于密钥协商协议而言，假设A和B是两个参与者，下述几个安全特性是其应实现的基本安全目标。1）已知密钥安全（Known-keySecurity）o这一安全目标是指已经获得旧的会话密钥的敌手无法利用这些密钥获得新的会话密钥。换句话说，旧的会话密钥的泄露不影响新会话密钥的安全性。2）前向安全（ForwardSecurity）o简单地讲，前向安全是指敌手即使获得了参与者的一个或多个长期私钥，也无法获得参...