密钥协商作为密码原语之一,又称密钥交换、密钥建立,能够在公共网络环境中的两方甚至多方之间建立一个共享密钥,从而保证通信的机密性和完整性。类似于加密算法、签名算法,如何设计安全高效的密钥协商协议一直是研究热点。根据公钥验证方式的不同,可以分为基于公钥基础设施(PKI)、标识(IBC)、无证书体制的密钥协商协议,其中无证书能够避免PKI中的复杂繁琐的证书管理机制,亦可以摆脱IBC中的密钥托管局限,更适用于带宽受限的网络环境中。本文研究无证书认证密钥协商(CLAKA)协议的分析与设计问题,主要取得了以下成果:1.指出了李娜等人的无证书两方AKA协议不能抵抗普通敌手的密钥泄露伪装(KCI)攻击;Wu等人的无证书两方AKA协议不能抵抗I类敌手的KCI攻击;李等人的无证书三方AKA协议存在着伪装攻击;贾等人的无证书三方AKA协议存在着被动攻击、前向安全攻击、KCI攻击等安全缺陷。2.设计了一个新的无证书两方AKA协议,该协议使用类似DH交互方式完成隐式认证,需要三次交互,传输消息中包括公钥和一个临时信息,每个用户只需5次点乘运算,最后基于CDH和DCDH困难问题假设完成了mBR模型下的可证明安全。与同类协议相比,本协议比强安全协议的计算效率更高,比高效协议的安全性更强,在安全性与效率之间实现了更好的平衡。3.对上述协议进一步分析,通过增加共享秘密值的数量,提出了高安全的无证书两方协议。新协议无需双线性对运算,基于CDH和DCDH困难问题假设实现了eCK模型下的可证安全。相比上述协议,通信成本不变,虽然协议需要9次点乘运算,但是由于公钥、临时信息等可以预计算,所以实际应用中计算成本更低,并且安全性更高。4.三方协议作为两方协议的推广,考虑到大多数三方协议存在漏洞,首先提出了一个新的安全无证书三方协议,该协议采用DH交互方式实现隐式认证,仅需一轮交互,其安全性归纳于GBDH困难问题。由于该协议使用了三次双线性对运算,计算成本较高,故基于Schnorr签名技术进一步提出了第二个无证书三方协议,协议中亦可以将其替换成其他安全签名方法。该协议仅需一次双线性对运算,需要两轮交互,经过启发式分析亦具有已知密钥共享安全、完美前向安全性、抗密钥泄漏伪装安全、未知密钥共享攻击、抗临时密钥泄漏安全等安全属性。与同类型协议相比,两协议均具有明显的安全性优势。两者相比,前者通信成本较低且严格实现了可证安全,后者计算效率较高且抗内部人攻击。