后量子时代密钥交换协议的分析与设计

2016-02-21王立斌温伟强

西安邮电大学学报 2016年1期

关键词：密码学

王立斌, 温伟强

(华南师范大学计算机学院, 广东广州 510631)

后量子时代密钥交换协议的分析与设计

王立斌, 温伟强

(华南师范大学计算机学院, 广东广州 510631)

摘要:基于认证密钥交换协议是重要的密码学构件，其设计性能必须高效且抗量子攻击的需求，论述其最新发展状况，包括安全模型的设计和被动安全密钥交换协议及主动安全密钥交换协议的分析与设计等，并根据当今的发展状况指出，设计对称的且安全性可规约到格上标准难题的被动安全密钥交换协议等，将是今后有意义的开放难题。

关键词:密码学；公钥密码体制；密钥交换；格密码

认证密钥交换(Authenticated Key Exchange, AKE)协议，可在不安全的公开网络中为用户协商安全的共享会话密钥，使得用户能借助安全的会话密钥以及相应的密码学算法进行安全通信，是确保通信安全的重要密码学构件。自从Diffie-Hellman(DH)密钥交换(Key Exchange, KE)协议[1]被提出后，不少学者以此为蓝本设计了许多基于DH假设的AKE协议。目前，AKE协议被广泛应用于各种不同的网络应用系统，主要部署在电子商务系统和电子政务系统等安全需求相对高的系统中。标准化组织也重点关注此类协议的设计与分析，致力于将其标准化并固化为通用网络协议的重要部件，比如，在互联网安全协议和传输层安全协议等标准中都实现了相应的AKE协议。对AKE协议设计与分析的研究具有理论意义和实践价值。

在后量子时代，由于离散对数问题或大整数分解问题在量子计算下存在多项式求解算法[2]，因此，基于传统数论难题——如离散对数问题、大整数分解问题——构造的公钥密码体制容易遭受量子攻击，其安全性受到严重威胁，研究抗量子攻击(即达到后量子安全)的新型公钥密码体制已成为业界关注的热点问题。同时，作为公钥密码体制的重要分支，如何设计高效且后量子安全的AKE协议也是后量子时代必须迫切解决的重要问题[3]。

格(Lattice)理论是设计后量子安全公钥密码体制的一种重要基础理论[3]。已知存在多种基于格的困难问题在量子计算下还不存在多项式时间高效求解算法，因此基于格设计的公钥密码算法可以抵御量子攻击。基于格设计的公钥密码算法还具有两个突出优点：其一是安全性高，因为格上密码算法的安全性可以归约到格上难题最坏情形下的困难性；其二是计算速度快，因为格上密码不需要大整数运算，仅涉及单精度整型向量的加法和乘法以及格上高斯抽样等。近年来，基于格的密码体制得到广泛重视且正快速发展，基于格的公钥加密方案[4-8]、数字签名方案[9-13]和同态加密方案[14-16]等已见诸文献报道。格上密码有望在未来成为后量子密码技术的标准。

基于格的AKE(Lattice-based AKE, LBAKE)协议的设计与分析研究方兴未艾，尚有许多理论空白，适时开展此项研究势在必行。本文重点关注后量子安全AKE协议的设计与安全性证明，分别介绍安全模型设计、被动安全KE协议设计及主动安全AKE协议设计三方面的研究现状，并指出当前存在的一些有意义的开放难题。

1安全模型设计

安全模型刻画攻击者能力，描述协议安全需求并准确定义协议安全性，是指导AKE协议设计与分析、确保协议可证明安全性的基础性理论工具。设计安全模型分析AKE协议安全性的研究源自于Bellare和Rogaway的创新性工作(BR模型)[17]。该模型通过预言机查询(Oracle Query)来刻画攻击者能力，让攻击者获得协议执行过程中使用或产生的秘密信息，最后，通过协议生成的会话密钥与随机比特串的不可区分性来描述协议的安全需求。

CK模型[18]和eCK模型[19]是目前应用最广泛的两种安全模型。与BR模型相比，CK模型与eCK模型定义了更丰富的攻击者能力，除常规的消息重放攻击、中间人攻击、平行会话攻击和已知密钥攻击等攻击类型外，还着重关注密钥泄露伪装攻击、临时私钥泄露攻击、未知密钥共享攻击等。一些高级安全属性，如完全前向安全性(Perfect Forward Secrecy, PFS)与可否认性等，是目前研究的重点。定义这些攻击的一个共同出发点就是在合理的范围内给攻击者更强的攻击能力，从而使得协议的安全性更强。通常，安全模型通过定义不同的预言机查询来刻画攻击者行为，不同的安全模型定义了不同的预言机查询。

CK模型中定义了三类查询：会话密钥泄漏(Session Key Reveal)、会话状态泄漏(Session-State Reveal)和长期私钥泄漏(Corrupt)查询。eCK模型试图通过向攻击者提供更强的查询能力来给出一个更强的安全定义。该模型定义了一个新的临时密钥泄漏(Ephemeral Key Reveal)查询，该查询输出某用户执行协议过程中与特定会话相关的秘密信息，用来取代在CK模型中定义的Session-State Reveal查询。eCK模型还引入了新的会话新鲜性定义，允许攻击者对测试会话(Test Session)进行Ephemeral Key Reveal查询。仅从定义来看，eCK模型似乎比CK模型更强，但有结论[20]显示，这两个模型的表达能力各具特性，并不构成明显的强弱对比关系，这意味着一些协议可以在其中一个模型中证明安全，但却可在另一个模型中证明不安全，反之亦然。比如，NAXOS协议在eCK模型下可证明安全，但却在CK模型下被证明不安全[20]。

继CK模型和eCK模型之后，为满足不同协议安全性的需求，衍生出多种改进模型，包括CK+、eCK+、eCK-w和seCK模型等。这些安全模型各自定义了不同的攻击者查询，但所定义的攻击者查询缺乏精确性，难以对不同的安全模型能力进行严格比较。如在CK模型中，Session-State Reveal查询是模拟攻击者获取指定会话所有中间计算结果的能力，但其引起歧义的原因在于，中间状态(Session State)包含哪些信息是由具体的AKE协议设计者来确定的。

为了准确刻画攻击者能力，PACK模型[21]强调攻击者能力的物理解释，同时要求协议设计者不可自行选定攻击者能力及协议的泄露信息，而是由协议的真实执行来唯一确定攻击者所允许的能力。

对后量子安全KE协议的证明，主要使用BR模型和CK模型(及其衍化版本)，不完全考虑攻击者在量子环境下的攻击能力。无法回避的是，后量子时代攻击者的能力与传统计算模型下攻击者的能力显示有所不同，量子攻击者的能力比传统攻击者能力更强[22-23]。如果在安全模型中不能体现攻击者在量子环境中的真实能力，就难以完全体现安全协议在后量子时代的安全性。换言之，目前使用传统安全模型证明的AKE协议都难以具备完全抗量子攻击的能力，将具有量子计算能力的攻击者局限在传统的计算环境当中，是极不现实的。后量子时代安全模型的定义必须得到重新考虑。如何在安全模型中严格刻画攻击者在量子环境中的攻击能力是一个开放问题。

2被动安全KE协议的设计

被动安全的KE协议是设计AKE协议的基础原语，设计出高效合理的被动安全KE协议是成功设计AKE协议的重要前提。DH协议是被动安全KE协议的重要代表，具有优异的结构与特性，得到了广泛研究与应用。后量子安全KE协议的研究者也充分认识到了DH协议的重要性，一直在试图运用格上的难题设计出与DH协议相类似的基于格的KE(Lattice-based Key Exchange, LBKE)协议，然而截止目前，这仍然是一个尚未解决的难题。

与格上公钥加密、数字签名等体制的飞速发展相比，格上KE的设计似乎处于发展瓶颈，成果不多。设计抗量子攻击的被动安全KE的方法主要有两种：一是基于密钥封装机制(Key Encapsulation Mechanism, KEM)构造协议[24]；二是基于格上带误差学习(Learning with Errors, LWE) 的变种问题构造协议[25]。

自LWE问题[26]被提出后，格上公钥密码体制得到飞速发展，各种公钥加密体制和数字签名被提出[4-13]，然而被动安全的KE协议尚未见诸文献。在一些尚未正式发表的讲稿上，也许可以看到一些基于LWE问题的LBKE协议构造，其中包括格密码学者Peikert的协议。除了LWE问题之外，这类协议通常还需借助小整数解问题(Small Integer Solution, SIS)，且难以作成完全对称的形式(收发双方发相同结构的报文)，更糟糕的是，难以设计合理的编解码机制来支持此类协议的高效实现。可以说，以LWE问题和SIS问题构造被动安全KE协议在理论上看似可行，但实现上却有很大的难度。

退而求其次，使用被动安全的KEM机制则是一种新思路。KEM与KE有微妙的区别，最主要的区别是前者需要发送方对某些秘密比特进行编码，而后者没有此过程，收发双方必须从协商出的秘密报文中，通过特定的解码技术抽取出共同的秘密比特。KEM的这种要求给编解码的设计带来了极大方便，使得秘密比特高效传输成为可能。在2014年的后量子密码会议上，Peikert提出一种基于理想格(Ideal lattice)的新编解码方案，从而构造出一种被动安全的高效KEM体制[24]，并以此作为AKE协议的设计原语。此技术有望进一步得到推广，成为LBAKE协议设计的重要基础。

必须强调，试图设计出与原始DH协议类似的格上KE体制，依然是密码学界的追求。基于LWE问题的一种变形所设计出的一种被动安全的KE协议[25]，高效且具有与DH协议类似的对称结构，该协议还可扩展为借助环上LWE问题的协议，得到更高的效率和更短的密钥长度。此类协议的设计思路为当前的研究带来许多的启发，算法的计算效率、编码优化等都值得进一步研究。

3主动安全AKE协议设计

从被动安全KE协议出发，借助数字签名、MAC等认证机制可设计出主动安全的AKE协议，借助不同的安全模型进行分析，可考察协议的抗强信息泄露性。AKE协议的设计有丰富的理论与实践成果，主要分为两类：一类是显式认证协议，包括STS、IKE、SIGMA协议等；另一类是隐式认证协议，包括MQV、HMQV、CMQV协议、OAKE协议等。由于隐式认证协议结构简单、效率高，且安全分析、证明相对容易，逐渐成为AKE协议研究的主流目标。此类工作也为后量子安全的AKE协议设计奠定了理论基础，许多方法可以借鉴用于LBAKE协议的设计。

目前，已知的LBAKE协议并不多。显式认证LBAKE协议包括Peikert的协议[24]和Bos等人设计的协议[27]。Peikert对SIGMA协议[28]进行变形，将被动安全的KEM体制与数字签名、MAC体制结合(这些体制都使用格上的具体实例)，从而得到后量子安全的AKE协议。Bos等人设计的AKE协议则与传统AKE协议设计有较大区别，他们不设计格上的AKE协议，而是把格上被动安全的协议嵌入到传统的带认证的体制中去，比如TLS协议，使用传统的认证机制，比如RSA签名或者椭圆曲线数字签名等，从而得到带认证的密钥交换。显然，这并非一种完整的LBAKE协议的解决方案。

隐式认证的LBAKE协议主要包括一种由通用构造方法所得到的协议[29]和Ding等人的协议[30]。Fujioka等人提出一种使用KEM体制构造LBAKE的通用方法[29]，即从单向CCA安全的KEM出发，得到CK模型下安全的AKE，通过构造格上满足要求的KEM体制，则可得到一系列不同的LBAKE设计。这种方法的缺陷是，构造依然不对称，需要同时使用主动安全与被动安全的两种KEM，需额外发送被动安全KEM的公钥，增加了通信报文的复杂度，安全性证明依赖随机预言机。更糟糕的是，这种构造将KEM看作黑盒子进行调用，KEM体制中所有中间计算信息的泄露情况均无法考察，这种通用构造难以在强信息泄露环境下进行安全性分析和证明。尽管Fujioka等人声称所得到的体制的安全性可在强信息泄露的CK模型下得到证明，但是其前提条件是所有内存私密信息都必须删除，不允许泄露。AKE的通用构造方法还包括Boyd等人使用MAC的技术[31-32]和Moriyama等基于哈希证明系统(Hash Proof System, HPS)的构造[33]，如果将其实例化为格上抗量子攻击的密码体制，都可得后量子安全的AKE，只是目前尚不存在格上的HPS实例构造。

Ding等人使用理想格构造出一种与HMQV、OAKE非常类似的LBAKE协议[30]，该协议以被动KE[25]为基础。与HMQV不同的是，该协议的安全性不依赖于数字签名，而直接基于环上LWE问题的困难性。使用BR模型，该协议的安全性在随机预言机模型下得以证明,但并没有充分考虑更强的攻击者能力[21]。

Wen等人提出了在PACK模型[21]下安全的基于标准格的认证密钥交换协议[34]。该协议将HMQV协议中“挑战-应答”的技巧应用于基于格的认证密钥交换当中，同时具有隐式认证的匿名属性和一轮认证的高效性。有别于Fujioka等人基于格的通用构造[29]，该协议直接基于LWE困难问题，在强信息泄漏模型下具体构造，因此，协议信息泄漏情况以及协议计算效率更加清晰，更有利于协议的进一步分析和改进。然而，该协议依然需要依赖随机预言机模型，如何基于PACK模型，设计标准模型下后量子安全的认证密钥交换协议仍是一个重要问题。

4结语

在后量子时代，AKE协议的安全性面临严重挑战，关于后量子安全的AKE协议设计与安全性证明尚处于起步阶段，存在大量亟待解决的问题。目前，AKE与格密码研究领域已涌现出众多研究者，并逐渐形成了相对成熟的理论研究体系，取得了不少理论成果，为后续LBAKE研究打下了坚实基础。国内不少高校或研究机构也对密钥交换协议的设计与分析展开了研究[35]，基于格的密码体制研究也在向纵深发展，取得了国际一流的研究成果，如王小云等人所提出的一个改进的求解SVP 问题的筛选算法[36]。

LBAKE协议设计与证明所面临的许多理论或应用难题都值得深究：分析传统数论下AKE协议的设计原则及思想，为LBAKE协议设计后量子环境下的安全模型；设计对称的、且安全性可规约到格上标准难题的被动安全KE协议；设计同时满足多种安全需求，如强前向安全与强可否认性要求的LBAKE协议；在标准模型下设计可紧致归约到格上最坏情况的高效LBAKE协议。在云数据安全需求激增的当前[37]，LBAKE协议也可望成为满足新型安全需求的密码学构件。鉴于该研究的重要性及其所处的研究现状，有必要系统研究LBAKE协议，设计与分析满足需求的实用、高效、可证明安全的协议，为后量子时代信息系统安全提供强有力的保障工具。

参考文献

[1]DIFFIE W, HELLMAN M E. New Directions in Cryptography[J]. IEEE Transactions on Information Theory, 1976, 22(6): 644-654.

[2]SHOR P W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer[J]. SIAM Journal on Computing, 1997, 26(5):1484-1509.

[3]PEIKERT C. Public-key cryptosystems from the worst-case shortest vector problem: extended abstract[C]//41st ACM Symposium on Theory of Computing. Washington D C:SIGACT,2009:333-342.

[4]MICCIANCIO D, PEIKERT C. Trapdoors for Lattices: Simpler, Tighter, Faster, Smaller[C/OL]//Advances in Cryptology:EUROCRYPT 2012.UK Cammbridge: Springer Berlin Heidelberg,2012,700-718[2015-11-24].http://link.springer.com/chapter/10.1007%2F978-3-642-29011-4_41.

[5]STEHLE D, STEINFELD R. Making NTRUEncrypt and NTRUSign as Secure as Standard Worst-Case Problems over Ideal Lattices[C/OL]//IACR Cryptology ePrint Archive: Report 2013/004[2015-11-20].http://eprint.iacr.org/2013/004/20130111:212943.

[6]ALPERIN-SHERIFF J, PEIKERT C. Circular and KDM Security for Identity-Based Encryption[C/OL]//Public Key Cryptography: PKC 2012.Germany Darmstadt: Springer Berlin Heidelberg,2012:334-352[2015-11-20].http://link.springer.com/chapter/10.1007%2F978-3-642-30057-8_20.

[7]PEIKERT C. Public-key cryptosystems from the worst-case shortest vector problem: extended abstract[C/OL]//The 41st ACM Symposium on Theory of Computing(STOC 2009). Washington D C: SIGACT, 2009:333-342[2015-11-20].http://dl.acm.org/citation.cfm?id=1536461.

[8]GENTRY C, PEIKERT C, VAIKUNTANATHAN V. Trapdoors for hard lattices and new cryptographic constructions[C/OL]//STOC’08 Proceedings of the Fortieth Annual ACM Symposium on Theory of Computing. New York: ACM,2008:197-206[2015-11-25].http://dl.acm.org/citation.cfm?doid=1374376.1374407.DOI:10.1145/1374376.1374407.

[9]LYUBASHEVSKY V. Lattice Signatures without Trapdoors[C/OL]//Advances in Cryptology:EUROCRYPT 2012.UK Cambridge: Springer Berlin Heidelberg,2012:738-755[2015-11-18].http://link.springer.com/chapter/10.1007%2F978-3-642-29011-4_43.

[10] ABDALLA M, FOUQUE P A, LYUBASHEVSKY V, et al. Tightly-Secure Signatures from Lossy Identification Schemes[J/OL].Journal of Cryptology,2012,7237(1):572-590[2015-11-11].http://link.springer.com/article/10.1007%2Fs00145-015-9203-7.

[11] LYUBASHEVSKY V. Fiat-Shamir with Aborts: Applications to Lattice and Factoring-Based Signatures[C/OL]//Advances in Cryptology:ASIACRYPT 2009.Japan Tokyo: Springer Berlin Heidelberg,2009:598-616[2015-11-18].http://link.springer.com/chapter/10.1007/978-3-642-10366-7_35.

[12] LYUBASHEVSKY V, MICCIANCIO D. Asymptotically Efficient Lattice-Based Digital Signatures[C/OL]//Theory of Cryptography.New York:Springer Berlin Heidelberg,2008:37-54[2015-11-11].http://link.springer.com/chapter/10.1007%2F978-3-540-78524-8_3.

[13] BOYEN X. Lattice Mixing and Vanishing Trapdoors: A Framework for Fully Secure Short Signatures and More[C/OL]//Public Key Cryptography:PKC2010Paris:Springer Berlin Heidelberg,2010:499-517[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-642-13013-7_29.

[14] GENTRY C. Fully homomorphic encryption using ideal lattices[C/OL]//STOC’09 Proceedings of the Forty-first Annual ACM Symposium on Theory of Computing.New Yoork:ACM,2009:169-178[2015-11-15].http://dl.acm.org/citation.cfm?id=1536440.DOI:10.1145/1536414.1536440.

[15] GENTRY C. Toward Basing Fully Homomorphic Encryption on Worst-Case Hardness[C/OL]//Advances in Cryptology:CRYPTO 2010USA CA Santa Barbara:Springer Berlin Heidelberg,2010:116-137[2015-11-18].http://link.springer.com/chapter/10.1007%2F978-3-642-14623-7_7.

[16] BRAKERSKI Z, GENTRY C, HALEVI S. Packed Ciphertexts in LWE-Based Homomorphic Encryption[C/OL]//Public-Key Cryptography:PKC 2013.Japan Nara:Springer Berlin Heidelberg, 2013:1-13[2015-10-20].http://link.springer.com/chapter/10.1007%2F978-3-642-36362-7_1.

[17] BELLARE M, ROGAWAY P. Entity Authentication and Key Distribution[C/OL]//Advances in Cryptology: CRYPTO’93.USA CA Santa Barbara:Springer Berlin Heidelberg, 1994:232-249[2015-11-05].http://link.springer.com/chapter/10.1007%2F3-540-48329-2_21.

[18] RAN C, KRAWCZYK H. Analysis of key exchange protocols and their use for building secure channels[C/OL]//Advances in Cryptology:EUROCRYPT 2001.Austria Innsbruck:Springer Berlin Heidelberg, 2001:453-474[2015-11-08].http://link.springer.com/chapter/10.1007%2F3-540-44987-6_28?LI=true.

[19] LAMACCHIA B, LAUTER K, MITYAGIN A. Stronger security of authenticated key exchange[C/OL]//Provable Security. Australia Wollongong:Springer,2007:1-16[2015-10-10].http://link.springer.com/chapter/10.1007%2F978-3-540-75670-5_1.

[20] CREMERS C J F. Session-state reveal is stronger than ephemeral key reveal: Attacking the NAXOS authenticated key exchange protocol[C/OL]//Applied Cryptography and Network Security.Paris-Rocquencourt:Springer Berlin Heidelberg,2009:20-23[2015-11-01].http://link.springer.com/chapter/10.1007/978-3-642-01957-9_2.

[21] WEN W, WANG L, PAN J. Unified Security Model of Authenticated Key Exchange with Specific Adversarial Capabilities[J/OL].IET Information Security[2015-10-18].http://digital-library.theiet.org/content/journals/10.1049/iet-ifs.2014.0234.

[22] SIMON D R. On the Power of Quantum Computation[J/OL].SIAM Journal on Computing,1994,26(5):1474-1483[2015-10-19].http://epubs.siam.org/doi/abs/10.1137/S0097539796298637.

[23] BONEH D, DAGDELEN O, FISCHLIN M, et al. Random Oracles in a Quantum World[C/OL]//Advances in Cryptology:ASIACRYPT 2011.South Korea Seoul: Springer Berlin Heidelberg,2011:41-69[2015-11-01].http://link.springer.com/chapter/10.1007/978-3-642-25385-0_3.

[24] PEIKERT C. Lattice cryptography for the internet[C/OL]//Post-Quantum Cryptography.Waterloo: Springer International Publishing,2014:197-219[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-319-11659-4_12.

[25] DING J T, XIE X, LIN X D. A Simple Provably Secure Key Exchange Scheme Based on the Learning with Errors Problem[J/OL].IACR Cryptology Eprint Archive[2015-11-11].http://eprint.iacr.org/2012/688.pdf.

[26] REGEV O. On lattices, learning with errors, random linear codes, and cryptography[C/OL]//Proceedings of the thirty-seventh annual ACM symposium on Theory of computing.New York: ACM, 2005:84-93[2015-11-11].http://dl.acm.org/citation.cfm?doid=1060590.1060603.

[27] BOS J W, COSTELLO C, NAEHRIG M, et al. Post-quantum key exchange for the TLS protocol from the ring learning with errors problem[C/OL]//IEEE Symposium on Security and Privacy.CA San Jose:IEEE,2015:553-570[2015-11-11]http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=7163047.DOI:10.1109/SP.2015.40.

[28] KRAWCZYK H. SIGMA: The ‘SIGn-and-MAc’ approach to authenticated Diffie-Hellman and its use in the IKE-protocols[C/OL]//Advances in Cryptology:CRYPTO 2003.CA Santa Barbara:Springer Berlin Heidelberg,2003:400-425[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-540-45146-4_24.

[29] FUJIOKA A, SUZUKI K, XAGAWA K, et al. Strongly secure authenticated key exchange from factoring, codes, and lattices[C/OL]//Public Key Cryptography: PKC 2012.Germany Darmstadt: Springer Berlin Heidelberg,2012:467-484[2015-11-11].http://link.springer.com/chapter/10.1007%2F978-3-642-30057-8_28.

[30] ZHANG J, ZHANG Z, DING J, et al. Authenticated key exchange from ideal lattices[C/OL]//Advances in Cryptology: EUROCRYPT 2015.Bulgaria Sofia:Springer Berlin Heidelberg, 2015: 719-751[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-662-46803-6_24.

[31] BOYD C, CLIFF Y, NIETO J G, et al. Efficient one-round key exchange in the standard model[C/OL]//Information Security and Privacy. Australia Wollongong:Springer Berlin Heidelberg, 2008:69-83[2015-11-11].http://link.springer.com/chapter/10.1007%2F978-3-540-70500-0_6.

[32] BOYD C, CLIFF Y, NIETO J G, et al. One-round key exchange in the standard model[J/OL].International Journal of Applied Cryptography,2009, 1(3):181-199[2015-11-11].http://dx.doi.org/10.1504/IJACT.2009.023466.

[33] MORIYAMA D, OKAMOTO T. Leakage resilient eCK-secure key exchange protocol without random oracles[C/OL]// Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security. New York: ACM,2011:441-447[2015-11-11].http://dl.acm.org/citation.cfm?doid=1966913.1966976.DOI:10.1145/1966913.1966976.

[34] 温伟强, 王立斌. 基于格问题的强安全密钥交换协议[J]. 计算机研究与发展, 2015, 52(10):2258-2269.

[35] 郑东,赵庆兰,张应辉. 密码学综述[J].西安邮电大学学报,2013,18(6):1-10.

[36] WANG X Y, LIU M J, TIAN C L, et al. Improved Nguyen-Vidick heuristic sieve algorithm for shortest vector problem[C/OL]//Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security.New York: ACM, 2011:1-9[2015-11-11].http://dl.acm.org/citation.cfm?doid=1966913.1966915.DOI:10.1145/1966913.1966915.

[37] 张应辉. 能保护隐私且属性可扩展的云数据共享[J]. 西安邮电大学学报, 2015, 20(5): 1-5.

[责任编辑:陈文学]

On the key exchange for post quantum era

WANG Libin,WEN Weiqiang

(School of Computer Science, South China Normal University, Guangzhou 510631, China)

Abstract:Considering that authenticated key exchange protocol is an important cryptographic primitive, and its performance must be efficient and quantum attack resistant, we give a detailed expouding on the current state of the art in this field, which includs the design of security model, the design and analysis of passively secure key exchange protocol and actively secure key exchange protocol respectively. Based on this discussion, some related valuable open problems are proposed, such as how to design a passively secure key exchange protocol, which is symmetrical and whose security can be stipulated to the standard problem on lattice.

Keywords:cryptography, public key cryptosystem, key exchange, lattice-based cryptography

doi:10.13682/j.issn.2095-6533.2016.01.001

收稿日期：2015-12-08

基金项目：广东省自然科学基金资助项目(2015A030313379);广州市科技计划资助项目(156500043)

作者简介：王立斌(1972-)，男，博士，副教授，从事密码学和计算机安全研究。E-mail: wanglibin@m.scnu.edu.cn 温伟强(1989-)，男，博士研究生，研究方向为密码学。E-mail: weiqwen@gmail.com

中图分类号：TN918

文献标识码：A

文章编号：2095-6533(2016)01-0001-06