第一个密钥协商协议是 1976 年由 Diffie 和 Hellman［1］提 出的，但由于参与者双方不能互相认证对方，因此该方案不能 抵抗中间人攻击。解决这一问题的典型办法是使用公钥密码 体制。随后，Menezes 等［2］ 提出了 MQV 系列密钥协商协议， 这些协议都不需要使用 Hash 函数来生成签名，因此被广泛地 用于工业界，如 ANSIX9． 42 标准［3］、ANSIX9． 63 标准［4］、IEEE 标准［5］等。为了实现多于两个的参与者的安全通信，Harn 和 Lin［6］基于 MQV 协议的无 Hash 函数签名思想提出了首个多 密钥协商协议。多密钥协商协议是指通过一次密钥协商，可 以生成多个会话密钥。与传统的密钥协商相比，多密钥协商 协议大大降低了协商成本，缺点是一旦参与者中有一方退出
Key words: cryptography; authentication; multi-key agreement; signature scheme; known-key security
0 引言
密码学可以帮助在公开网络中的参与者实现安全通信。 密钥在密码体制中发挥着重要作用，一旦密钥泄露，很多密码 系统都将被攻破。因此，如何建立一个安全的会话密钥就成 为学者们研究的焦点，这就是密钥建立协议。根据生成会话 密钥的方法不同，密钥建立协议可以分为密钥传输协议和密 钥协商协议。顾名思义，密钥传输协议就是利用可信的第三 方将事先选定的密钥通过安全信道传输给参与者（ 双方或多 方） ； 而密钥协商协议则是会话的参与者通过一定的规则生 成临时会话密钥。与密钥传输协议相比，密钥协商协议需要 的计算量往往更大，但其不需要依赖实际中很难存在的可信 第三方，也不需要维护安全信道用于传输秘密信息，因此近年 来受到研究者们的青睐。本文的研究重点也将放在密钥协商 协议中。
Abstract: Multi-key agreement protocol can generate multi-keys in one session， so researchers are interested in it these days． In this paper， a new multi-key agreement protocol based on the traditional signature scheme was proposed． The new scheme realizes the hiding of the information between the participants and enhanced the security of our protocol by using Hash function． This paper discussed the security and computational cost of the new scheme． The result shows that the new protocol realizes the secure key agreement with lower computational cost．
doi： 10． 3724 / SP． J． 1087． 2012． 03Baidu Nhomakorabea56
基于签名方案的多密钥协商协议
邓 飞* ，贺 军
( 怀化职业技术学院 计算机与信息工程系，湖南 怀化 418000) ( * 通信作者电子邮箱 fdeng@ 163． com)
摘 要：多密钥协商协议可以在一次会话中协商出多个会话密钥，大大降低了密钥协商的成本，因此受到研究者 们的关注。提出了一种新的基于签名的多密钥协商协议，新协议利用传统的签名方案实现参与者之间信息的隐藏， 并通过引入 Hash 函数来加强协议的安全性。对新协议的安全性和计算量进行了讨论，结果表明，新协议在减少计算 量的前提下实现了协议双方的安全密钥协商。
或有新成员加入，该协议协商得到的密钥都将作废。因此，该 类协议 适 用 于 成 员 相 对 固 定 的 场 景。Yen 和 Joye［7］ 指 出 Harn-Lin 协议不能抵抗伪造攻击（ Forgery attack） 并提出了一 种改进的新协议。但遗憾的是，Wu 等［8］ 发现 Yen-Joye 协议 也不安全，同样提出了一种改进的协议来弥补 Yen-Joye 协议 安全上的漏洞，但其改进的协议中使用了 Hash 函数。但好戏 不长，Harn 和 Lin［9］发现文献［8］仍然存在安全问题，于是对 其进行 了 改 进。然 而，Zhou 等［10］ 发 现 第 二 个 Harn-Lin 协 议［9］仍然不能 抵 抗 伪 造 攻 击。 本 文 将 提 出 一 种 新 的 多 密 钥 协商协议，并将证明新协议的安全性优于上述的多密钥协商 协议。
1 密钥协商协议的安全目标
对于密钥协商协议而言，假设 A 和 B 是两个参与者，下述 几个安全特性是其应实现的基本安全目标。
1） 已知密钥安全 （ Known-key Security） 。这一安全目标 是指已经获得旧的会话密钥的敌手无法利用这些密钥获得新 的会话密钥。换句话说，旧的会话密钥的泄露不影响新会话 密钥的安全性。
Journal of Computer Applications 计算机应用，2012，32( 12) : 3456 － 3457
ISSN 1001-9081 CODEN JYIIDU
2012-12-01 http: / / www． joca． cn
文章编号： 1001 － 9081（ 2012） 12 － 3456 － 02
关键词：密码学； 认证； 多密钥协商； 签名方案； 已知密钥安全 中图分类号：TP309 文献标志码：A
Multi-key agreement protocol based on signature scheme
DENG Fei* ， HE Jun
( Department of Computer and Information Engineering， Huaihua Vocational and Technical College，Huaihua Hunan 418000，China)