在1975年由Diffie和Helman引入的公钥密码系统使不需要预先 共享密码(pre-shared secret)以及具有不可否认性(non-repudiation property)的数字签名的加密通信成为可能。
公钥加密系统的Diffie-Helman(DH)协议最具独创性的方面是 使用了一种称为群的数学结构，在该结构中，一个特定问题，离散对 数问题(discrete logarithm problem)是很难处理的。
一个群只是一组元素和作用于任意两个元素的单个运算。常见的 群的实例包括：在加法运算下的整数(包含零和负整数)、在加法运 算下的有理数、以及在乘法运算下的非零有理数。这些常见的实例是 无限群，但是还存在有限(或离散)群。部分地由于群的元素可以用 固定位数传送，所以密码系统通常对有限群更感兴趣。有限群的实例 通常为本领域公知。
最常见的实例是基于模运算(modular arithmetic)的群。如果p 是素数，t是任意整数，则t mod p是t被p除的余数。从而如果对于 某一整数q，t＝pq+r，并且r包含在0和p-1之间，则r＝t mod p。在模 加的运算下，从0至p-1的整数组形成一个群，其中s和t组合变为 s+t mod p。这个群用ZP表示。更一般地，p可以是任意整数。
从1至p-1的整数组在模乘运算下形成另一个群，其中s和t组 合变为st mod p。这个群用ZP *表示，通常称为mod p群。更一般地， p可以是具有略微不同运算的素数的任意次幂。当书写这些群的运算 时，如果在上下文中很清楚，符号mod p经常省略。
群G的子群是G中的元素子集的群并且具有与G相同的运算。 例如，群ZP *具有次数为2的子群，所述子群的元素是1和p-1。更通 常地，对于群中的任意元素g，存在包含元素的最小的子群，表 示为。可知由关于整数x的元素组gx精确给定，其中gx表 示x个g的乘积。在具有加号的群中，例如ZP，幂gx被替换记作xg。 元素g是的生成元。假如一个群具有生成元，则它是循环的，从 而是天然循环的。群ZP和ZP *也是循环的，但通常，群不是必须 循环。
群的次数是元素的数量，群ZP具有次数p并且群ZP *具有次数p-1。 元素g的次数是子群的次数。假设g具有次数n。
在运算记作乘法的群中，离散对数问题可以陈述为：给定g和w， 查找整数x，使w＝gx，其中gx表示x个g的乘积。这个问题通常在这 种情况下提出：存在这样一个整数x，也就是说w是的元素。通 常的对数问题不要求x是整数，并且只在群具有可以定义非整数幂的 加法属性时定义。
在某些离散群中，离散对数问题(DLP)难以解决。Diffie和 Hellman利用了DLP“难”这一事实，以提供针对公钥加密的第一可 行解法。在这种情况下，Alice选择随机整数x，发送给Bob一个群元 素gx，Bob选择一个随机数y，并且发送给Alice一个群元素gy。随 后，Alice计算z＝(gx)y，Bob计算z’＝(gy)x。显然z＝z’＝gxy＝gyx， 所以Alice和Bob可以计算同一个值。假如没有其他能够计算z，则 Alice和Bob已经对共享秘密(secret)达成一致。则该共享密钥可以 用于加密Alice和Bob之间传递的消息。这个协议是Diffie-Helman密 钥协议。在这个协议之前，Alice和Bob不得不预先会面以秘密地对z 达成一致。这个协议使Alice和Bob免于预先会面。
因为数值gx和gy是公开的，所以这是所谓的公钥加密。它们被 称为公钥，而x和y被称为私钥。数据对(x，gx)称为密钥对。对手 Eve看到公钥。假如Eve能够解决DLP，则她能够从g和gx找到x。 利用x，Eve能够以与Alice相同的方式计算z，即利用Bob的公钥gy 和Alice的私钥x。因此，共享的秘密不再是秘密的，Eve能够利用它 解密Alice和Bob互相发送的被加密消息。因此，Diffie-Helman密钥 协议的安全性的先决条件是DLP是“难”题。Eve不能解决DLP。
幸运地，存在译码者认为DLP困难的群。DLP困难的群主要是 两类公知的群，即有限区域的乘法群的子群，以及椭圆曲线群的子群。 椭圆曲线群具有超过其他DLP群的优点：利用更少的带宽传输和存 储公钥，并且能更快的运算。
静态Diffie-Helman密钥协议是Diffie-Helman密钥协议的重要的 变体，其中一方或两方具有不随时间改变的密钥对。如果Alice具有 静态密钥对，则她的私钥x和公钥gx对于所有事务都保持相同。这样 的一个优点是Alice可以让授权机构(certificate authority)标记她的 公钥，则Bob可以从数据库中查找最终的授权而不用从Alice请求。 这样的一种应用是当Bob发送加密邮件给Alice时。Alice不必在Bob 能加密邮件之前向Bob发送gx。相反，Bob从数据库中查找gx，所述 数据库可以是他的地址簿或其他某种公用字典。对于gx的授权将进一 步向Bob保证，Alice(且只有Alice)能够解密该电子邮件。
在某些群中，Diffie-Helman密钥协议目前普遍使用在IPSec协议 中，用于保护虚拟专用网络(VPN)。包含静态变体的Diffie-Helman 密钥协议也是普遍使用的Internet Engineering Task Force(IETF)安全 协议，例如Transport Layer Security(TLS)(用于保护网站)、Secure Multipurpose Intemet Message Extensions(S/MIME)(用于保护电子邮 件)或Secure Shell(SSH)(用于保护远程登录计算机)的可选择特 征。因此，需要使Diffie-Helman密钥协议尽可能安全。
静态Diffie-Helman密钥协议的安全性不仅取决于离散对数是难 的。特别地，对手确定Alice的静态私钥的方法是通过向Alice发送特 别选择的公钥gy并从Alice获得最终共享秘密z＝gxy。在多数群中，利 用这种主动攻击查找x比直接求解离散对数问题更容易。
对于本领域技术人员，上述攻击在两个方面不完全是实际的。然 而，确定的是，这种属性的攻击是很值得考虑的。
第一，受害者Alice不会向对手暴露共享秘密z。然而，z的目的 是应用，而且量化应用z的准确方式是很难限定的。z的任何使用将 导致多少有些暴露。因此，译码者(cryptographer)已经发现考虑精 选的暗文攻击是明智的，在所述暗文攻击中，受害者暴露了她的私钥 运算结果。而且，对精选的暗文攻击表现出抵抗力意味着更弱的攻击 也被阻止了。为了谨慎，译码者寻求阻止可能的最强攻击，而不仅是 最弱的攻击。因此假设z会暴露既是谨慎的也并非完全不合实际的。
第二，在Diffie-Helman密钥协议的多数标准化版本中，共享的 秘密z只用于一个目的，即得到密钥。为此，采用密钥推导函数(KDF)。 Alice将计算k＝KDF(z)。密钥推导函数通常选择为一种单向函数， 意思是没有仅从k重建z的已知途径。因此，在上述攻击中Alice更 有可能将k暴露给对手而不是z。然而，为了执行，攻击需要z。如 果Alice仅暴露k，攻击不能用来查找x。因为KDF是单向的，攻击 者不能从暴露的k值中恢复z。
在考虑上述攻击之前，已经知道采用KDF具有一些比较不重要 的安全利益。其中之一是共享的秘密z经常是可与随机数区分的。因 为z是与随机数可区分的，所以作为密钥是不理想的。然而，直到考 虑上述攻击，才知道z实际上会泄露关于x的某些信息。
许多协议和Diffie-Helman密钥协议的执行不严格利用KDF，在 一些智能卡实施中，智能卡将z暴露给智能卡阅读器，并且智能卡阅 读器应用KDF。在这样的系统中，恶意的智能卡阅读器可能使用攻击 和来自智能卡的z值以推断智能卡中的私钥x。在某些协议中，例如 基本ElGamal加密协议，设计有Chaum和vanAntwerpen的不可否认 的签名，从而实体Alice暴露z作为协议的一部分。因此这些协议易 于受到攻击。然而，这两个协议是在知道KDF的任何好处之前设计 的。这些协议可以很容易地通过使用KDF修正。实际上，Diffie-Helman 扩展加密方案(DHAES)是由Bellare和Rogaway设计的，设计为 ElGamal的改进，其中，在采用z作密钥之前将KDF施加到共享秘密 z。
其他的协议存在，然而，它们不容易通过增加KDF进行修正。 一种这样的协议是Ford-Kaliski密钥恢复协议。在该协议中，基点g 是客户端密码的函数，并且Alice是服务器端。客户端选择随机数y 并且发送gy到Alice。为了该协议执行，，Alice必须向任何与她一起 执行Diffie-Helman密钥协议的客户端暴露共享的秘密z。从z中，客 户端得到静态值gx，该值是客户端密钥和服务器端私钥x两者的函数。 因为比普通密码更难猜，静态值gx称为恢复密钥(retrieved key)或 硬化密码(password hardening)。密钥恢复或密码硬化是Ford-Kaliski 协议的主要目的。客户端通过计算zu＝gxyu来实现该目的，其中u使 yu在指数空间等于1。如果Alice将KDF施加到z，该协议不执行， 因为这样客户端将不能恢复静态值。对手可能建立恶意的客户端以利 用z值得到Alice的私钥x。因为对手现在知道了x，猜gx就象猜密码 x一样容易。特别地，对手可能能够启动字典搜索以非常迅速地确定 硬化密码。因此，这次攻击击败了Ford-Kaliski协议的主要目的。
一个完全不同的方面是静态Diffie-Helman问题是困难的。更准 确地，在不知道私钥x的时候难以计算wx。取w＝gy表示破解静态 Diffie-Helman协议与查找x一样困难。按照上述攻击这似乎是自相矛 盾的，但事实上不是。在上述攻击中，对手是主动的。对手使用受害 者解决关于gy的Diffie-Helman问题。这给了对手解决Diffie-Helman 问题的能力，这相当于查找x的问题。更准确地，静态DH问题几乎 和将x确定为某个因子一样难。
假如Alice设法防止攻击，比方说利用KDF，则这仍然是正确的： 解决静态DH问题几乎和查找x一样难。这为Alice提供了没有人能 解决静态Diffie-Helman问题的保证，这意味着除了她和Bob没有其 他人知道私钥y，也没有其他人能计算公共秘密z。这个属性的结果 是公知的可证实安全。
先前DH问题的可证实安全结果没有涉及静态变体。因此，先前 的结果没有就利用Alice的私钥为她提供同样多的保证。而且，没有 与先前安全结果相应的已知攻击。关于DH的可证实安全结果的有效 性，取决于DH群的选择。因此采用这样的群是理想的，在该群中包 括静态DH问题的DH问题是难的。
因此，本发明的目的是避免或减轻上面提到的缺点。

在一方面，本发明提供一种选择用于静态Diffie-Helma密钥协议 的mod p群以防止对手主动攻击的方法，包括步骤：选择偶数h值， 搜索r和n值以满足关系式n＝hr+1，其中，r和n是素数，并且搜索 一个值t以计算p＝tn+1，其中p是素数。
在另一方面，本发明提供了一种选择用于静态Diffie-Helma密钥 协议的定义在二元区域上的椭圆曲线群以防止对手主动攻击的方法， 包括步骤：选择随机曲线，计算曲线上的点数，并且检验曲线上的点 数是2n，其中n是素数且n-1满足优选的标准。
仍然在另一方面，本发明提供了一种选择用于静态Diffie-Helma 密钥协议的定义在次数为q的素数区域上的椭圆曲线群以防止对手主 动攻击的方法，包括步骤：计算n＝hr+1，其中，n是素数且n-1满足 优选的标准，并且执行关于n的复数乘法方法，由此产生q值和具有 次数n的定义在q值上的椭圆曲线E。
附图说明
在下列结合附图的详细说明中，本发明的特征将变得更清楚，其 中：
图1是密码系统的示意图；
图2表示在一个mod p实施例中的步骤的流程图；
图3表示在第一简化椭圆曲线实施例中的步骤的流程图；
图4表示在第二简化椭圆曲线实施例中的步骤的流程图。

参考图1，一对通信方A和B通过数据通信链路12连接。通信 方A和B中的每一方具有密码单元14，该加密单元根据已建立的协 议执行公钥密码运算以确保链路1上通信的安全。密码单元14在密 码域(cryptographic domain)内运算，密码域的参数由其他方共享。
由通信方A、B共享的域参数包括群G、群G的次数p和具有次 数n的群的生成元(generator)g。
本发明既应用于椭圆曲线群也应用于有限区域的乘法子群，通常 公知的mod p群。因为mod p群更容易理解，首先解释mod p实施例 20并在图2中通常地表示。因此，适用于两种情况的本发明的几个方 面更容易理解。然而，因为在执行性能上的多种优势，本发明的优选 实施例利用了椭圆曲线群。
Mod p实施例
为了简化表达，我们假设在Zp *中的Diffie-Helman础(base)或 生成元g具有次数n，n为素数。对于本领域技术人员来说，延伸到 的g具有非素数次数的情况是显然的。
域名参数的安全性取决于n-1的整数因子u的大小。如果已知的 因子u接近n1/3，则上述攻击10具有大约3n1/3的成本。这与通常的 DLP攻击相比相当小，DLP攻击具有大约n1/2的成本。随机数n通常 具有接近n1/3的因子u是公知的，因此随机地选择n将不会避免攻击 10。在现有技术中，n通常选择为哈希函数(hash function)的输出， 哈希函数使n随机更加有效，但不会避免攻击。通过适当地选择n， 有可能避免具有接近n1/3的因子。应该理解，参数的选择和测试利用 编程的计算装置执行以进行必要的计算。该计算的结果是一组域参 数，所属域参数可以用于在单元14上执行密码函数。
在第一实施例中，通过选择n＝hr+1避免该因子，其中r是素数， h是与r相比相对小并且足够小以至小于n1/3的整数。然后n-1的因子 是具有f或fr的型(form)，其中f是h的因子。如果h明显小于n1/3， 则因子f也明显小于n1/3，因为f至多为h。如果h明显小于n1/3，则r 明显大于n2/3，从而因子fr明显大于n1/3。因此n-1的所有因子将明显 小于或大于n1/3。因而避免了在静态Diffie-Helman上的攻击。
已经选择了式hr+1的n，还必需选择p。群理论的标准定理是元 素的次数除它的群的次数。因为g是Zp *的元素，它的次数n必须除 Zp *的次数，Zp *的次数是p-1。因此，对于某个整数t，p＝tn+1。
因为群Zp *具有用于求解DLP的指数微积分(index calculus)算 法，通常的应用是选择比n大很多的p。该思想是使次数n的群 的一般DLP求解算法具有与Zp *中的指数微积分(index calculus)算 法近似的成本。例如，如果n是大约2160并且p是大约21024，则这两 种DLP求解算法具有约等于280次群运算的成本。另一种n的通常选 择是大约2256，p的选择是大约23072，其中两种DLP求解算法花费大 约2128次运算。选择这样一个小n的主要优点是：因为指数较小，在 群中求幂更快。
为了获得上述相关大小的p和n，只要选择适当大小的t。关于第 一个实例，选择t大约是21024-160＝2864，而在第二个实例中t是大约22816。 因为p和n是奇数，需要选择t为偶数。关于t mod 3、t mod 5的类 似决策(observations)也可以这样做出。
一般的过程是首先选择需要型的n，然后尝试多个t值，直到找 到一个使p为素数的值。用于在小概率范围内确定p是素数的快速检 验是存在的。这些检验迅速地排除不是素数的t的候选值。从而查找 合适的t很快。实际上，这是公知的从n开始查找p的最佳方式。
为了构造型hr+1的n，最初选择一个h的近似大小或h的精确值， 然后，通过期望的n的近似大小，确定r的近似大小。事实上，刚刚 确定的范围内的各种h和r可以被选择和一一检查其适合性。一个所 选择的r值被检验是否是素数，计算数值n＝hr+1，然后检验n是否为 素数。可以使用筛选(sieving)技术以选择不具有小素数因子例如2、 3、5的r和n。这减少了进行素数检验的数值r和n的数量。利用h， 对n和r可以一起进行筛选，以便更高效。应该注意，因为r和n都 是素数并且因此是奇数，所以h必须是偶数。
在选择数值h的近似大小或数值时，需要一定的注意。最小的选 择是h＝2。然而，尽管h＝2防止了上述攻击并且防止了应用现有技术 时的可证明安全结果，但这样的选择也可能太小了。
存在可证明安全结果有效的同时防止上述攻击的h的范围。这个 范围取决于执行标量乘法所需的群运算的数量。h的最优值似乎是 (9/16)(1og2n)2，但是在这个值的0.5到2倍范围内的h值都可以采 用。对于近似于该大小的h，静态Diffie-Helman问题将会差不多与将 静态Diffie-Helman私钥确定为可接受的因子一样困难。这个因子可 以在h的全部选择范围内优化。而且，通过h的这一选择，上述攻击 具有约等于n1/2群运算的成本。这意味着该攻击不比查找x的一般DLP 求解算法更好。因此在这种情况下，该攻击是不相关的。
总的来说，首先选择近似(9/16)(log2n)2次数的偶数h，然后 假如所选择的n是素数，则利用对r和n筛选和素数检验搜索r和n。 最后搜索t以得到p＝tn+1为素数。
这个方法的更进一步的效率提高也是有可能的。在这个方法中， 搜索n和t，从而p具有使规约模(reduction modulo)p更有效的型。 例如，假如p具有低的汉明权重(Hamming weight)，则规约模p更 有效。这使得模乘(modular multiplication)，ZP *的群运算更有效。
这个方法的更进一步的安全性提高也是有可能的。r值能够选择 为可检验的随机数，r值能够选择为散列函数的输出。
这两种进一步的提高可以合并，通过选择r为可检验的随机数， 然后搜索t值使p具有更有效的模简约。
如果不关注上述攻击，因为这样的对手对于特定协议的特定实施 是不实际的，则可以不同地选择Diffie-Helman群。可能没有必要避 免大小接近n1/3的因子u，然而仍然希望静态Diffie-Helman问题和一 般Diffie-Helman问题是困难的。为了使静态Diffie-Helman问题困难， 只需要大小近似(9/16)(log2n)2的n-1的因子。在现有数论知识中 是否随机数n会具有这种大小的因子是不清楚的。因此，可以选择随 机数n并查找这样的因子，或者构造具有这样大小的因子h的n。后 者可以通过选择h、选择任意r(不必是素数)，并检测n＝hr+1是否是 素数来完成。
为了确保临时的、或两面的(two-sided)，Diffie-Helman问题是 困难的，可以利用现有的可证明安全结果。Maurer和Wolf的结果需 要查找辅助群，通常是定义在大小为n的有限区域上的椭圆曲线。辅 助群要具有光滑的次数(没有大素数因子)。搜索这样的辅助群需要 花费相当大的努力，并且可能无法达到n的较大值。实际上，查找这 样的群几乎和查找与n同样大小的整数因子一样困难。
一个den Boer的以前的结果提到：n-1是光滑的，(临时) Diffie-Helman问题几乎和DLP一样困难。
因此，现有技术的进一步加强包括一种选择n＝1+s的方法，其中 s是光滑整数(smooth integer)。这个s可以作为小素数的乘积找到， 从而获得正确的大小。然后检验n是否为素数。可以试验多个s值。 在这种方式下选择n的好处在于，通常意味着n-1具有大小足够接近 (9/16)(log2n)2的因子，该因子确保静态Diffie-Helman问题是困难 的，而不仅是临时的Diffie-Helman问题。
由于这样的n，素数p＝tn+1可以如上那样发现。而且，也可能利 用这种方法寻找特定结构例如低汉明权重的n和p。
椭圆曲线实施例
原则上，上面描述的技术也用于椭圆曲线群的情况。更准确地， n的理想标准是同一的。然而，在这种情况下，次数为n的生成元g 不是ZP *的元素，是椭圆曲线群E的一个元素。在mod p的情况下， 一旦确定了n，就相对直接地找到群ZP *。对于椭圆曲线不能这么说。 对于一个确定的n，查找一个椭圆曲线群E仍然非常困难。
因为椭圆曲线使用户运算比群ZP *更有效，椭圆曲线的情况是本 发明的优选实施例。这个实施例的方法比ZP *情况略微复杂，但是值 得的。
为了使表达更清楚，介绍并在图3和图4中示出了椭圆曲线实施 例中该方法的某些简化型。
在第一简化型30中，椭圆曲线定义在二元区域(binary field)上。 对于这些曲线，确定椭圆曲线群的次数非常容易。简化方法是选择随 机曲线，计算点数，核对点数是2n，其中n是素数，并且n-1满足理 想的标准。优选的标准是n-1＝hr，其中r是素数并且h近似为(9/16) (log2n)2。替代的标准是n-1是光滑的，假设不关心上述攻击。
在第二简化型中，椭圆曲线定义在次数为q的素数区域上。q值 在确定n值之后确定。n值的选择与上所述mod p群的情况一样。n 值可以满足优选的标准或替代的标准。然后，如ANSIx9.62或IEEE 13.63中阐述的复数乘法方法用于查找q值和定义在q上具有次数n 的椭圆曲线E。
通常，复数乘法方法涉及：首先选择q，因为确定的q值为用户 提供更好的效率。然而，如果首先选择n，复数乘法方法也能实施。 一旦在复数乘法方法的第一阶段发现q和n具有正确的数论关系，第 二阶段确定定义椭圆曲线E的系数。
第二简化方法的缺点是作为结果的q在n的哈斯区间(Hasse interval)中具有或多或少的随机数的型，所述区间是距离n大约n1/2 范围之内的所有整数。出于给用户提供更好的效率的原因，q的特定 型是更理想的，例如在二元展开中的低汉明权重。
换句话说，对于q和n都具有这样的型是理想的。q的型是为了 效率，而n的型是为了安全性。为此，对复数乘法方法的第一阶段略 微修改。尝试特定期望型的q和n，然后检验这对值以便看它们是否 满足复数乘法(CM)方法要求的条件。这个条件相对容易直接检验。 当q给定，求解满足该条件的n不容易，反之亦然。
复数乘法的第一阶段的修改是尝试多个不同的具有理想式的q和 n对，检验q和n的CM方法条件，重复直至CM条件满足，然后利 用CM方法的通常过程查找椭圆曲线E的定义系数a和b。
CM方法是公知的方法，但是它的修改形式不是公知的。利用如 本发明优选实施例描述的CM方法的修改形式，能够找到非常有效并 非常安全的Diffie-Helman椭圆曲线群。
以一个实例解释这个方法的生命力。利用替代的标准，即n-1是 光滑的，发明人已经发现数值对n＝1+55(2286)和q＝9+55(2288)都 是素数。CM方法的本领域技术人员应该理解这个数值对的判别式是 55。这个判别式在kronecker类数(kronecker class number)比一大的 意义上是非平凡的，所以椭圆曲线的自同态环(endomorphism ring) 不是唯一的因数分解域。特别地，这意味着不能从预定表中找到椭圆 曲线E的系数a和b并且必须通过求解次数为q的有限区域上的适度 大次数的多项式方程计算。
如上所述，该技术可以用于产生具有理想特征的域参数。这种产 生这些特征的方式还有助于检验由第三方提供的域参数的效力以确 保它们不易受到攻击。可以检验参数以确保p和n值满足要求的形式。 假如它们不满足标准，则可以拒绝域参数。
尽管本发明结合特定实施例描述，不背离由所附权利要求书界定 的本发明精神和范围的各种修改对于本领域技术人员是显而易见的。 上面所有引用的参考文件的整个内容作为引用结合于此。