CN101277512B - 一种无线移动终端通讯加密的方法 - Google Patents

Abstract

本发明公开了一种用于无线移动终端通讯加密的方法。本发明中，无线移动通信用户无需承受公钥基础结构(PKI)的部署、维护与操作复杂性，无需电信运营商的参与，无需替换或影响电信信令交换协议，实现在保障可靠身份认证基础上的、端到端的保密信息交换。移动通信用户使用移动终端身份标识作为身份标识ID，引入可信的第三方，称为密钥生成中心KGC，其主要功能是根据用户的身份标识帮助用户生成私钥。用户通过手机短信或数据服务从可信的第三方(KGC)来获取对应于身份标识的私钥。该私钥保障移动用户间的加密密钥交换与安全参数协商抵抗主动攻击，移动用户间的会话密钥独立于KGC随机生成，实现端到端的安全通讯。

Description

一种无线移动终端通讯加密的方法

技术领域

本发明涉及信息安全与通讯技术领域，特别是涉及一种无线移动终端通讯加密的方法。

背景技术

随着通信技术的发展及其应用的普及推广，移动通讯已成为一种主要的通信手段。然而，电信网络基础结构的内在缺陷使人们越来越关注移动通讯的安全性。虽然无线移动网络(GSM、CDMA)的空中接口部分也提供了一定的加密能力，但GSM的空中接口加密技术已被证明有严重缺陷，监听及破解设备早已市场有售。所谓安全的CDMA空中接口加密技术也在理论上被证明是不安全的，以色列的安全分析人员亦曾在互联网络上公布了相应监听设备。而且，针对无线移动通信的监听往往在有线传输系统中更易于实现。事实上，无线信号在基站(Base Station)完成接入后皆以明文形式在有线或微波网络中传输，任何廉价的用于监听有线固定网络或微波通信的设备皆可用于此目的。显然，为解决通信安全问题对现有电信网络基础结构进行改造是不切实际的，结合现代密码技术研究一种端到端的信息安全保障机制，无疑成为满足电信安全需求的最佳、也是最经济实用的手段之一。通讯的内容在一方被加密后直到到达另一端时才被解密，从而保证任何中间交换设备及传输系统的漏洞无法造成安全威胁。目前虽有许多方案被提出，但普遍存在安全漏洞与应用局限。

1998年12月16日公开的中国专利申请《移动无线网络终端间进行直接加密通信的方法及其相应设施》(申请号：98108859)提出了一种通讯加密方法。该方法中，主叫方利用网络发来的随机数RAND生成密钥Kc，然后该密钥Kc通过呼叫建立消息被发送到被叫方，这样通讯双方就可以利用Kc对通话数据进行加密/解密。该方法摈弃了传统方法中的通话加密与解密密钥由GSM运营商提供，改为由用户自己生成，因此保密程度有了一定的提高。但是Kc由GSM/DCS网络提供的随机数RAND以及网络与用户共享的Ki通过A8算法生成。无论随机数RAND，Ki，A8算法，还是生成的Kc都是由GSM运营商管理，因此GSM运营商对这种加密可以很容易地加以破解。

2003年7月23日公开的中国专利申请《手机加密的方法》(申请号：99117599.9)提出了一种应用于GSM网络的对手机进行加密的方法。该方法中由主叫方或被叫方利用伪随机数发生器产生随机数RAND，通过数据业务将随机数RAND传送给对方。主叫方和被叫方利用随机数RAND和双方预共享的Km生成全程通话加密密钥Kn，这样通讯双方就利用Kn对通话数据进行加密与解密。区别于专利申请[98108859]，参与生成全程通话加密密钥Kn的随机数RAND，由主叫方或被叫方生成，而非由网络提供。因此，该专利申请的方法为通话提供独立于运营商的安全保障。但是，该方法存在严重的安全漏洞。首先，随机数RAND以明文方式传送，主动攻击者可篡改随机数RAND的值，而使双方不能通过认证而无法通话；另外，因为随机数RAND是已知的，预共享Km的更新存在问题。尤其当Km遭受离线攻击时，通话的安全性将受到严重威胁。一旦Km泄漏，系统的前向安全性被完全破坏，即所有以前的通话将不再保密。最后，该方法仅限于通话双方预先共享有Km的情况，其使用范围受到极大限制。

2004年10月27日公开的中国专利申请《移动终端加密的方法》(申请号：200310105363.3)提出了一种应用于CDMA网络的对手机进行加密的方法。该方法的主要内容是：在移动终端提供加解密处理模块，通过VoIP(Voice over IP)的方式对加密数据进行传输。通信过程中鉴权协商和控制则由SIP(SessionInitial Protocol)协议的信令实现。虽然采用SIP信令控制可以减少对CDMA信令控制的依赖，因此不用对现有的CDMA网络信令系统进行修改就可以传送一些加密操作所必需的数据，但该方法的缺点也很明显。首先，依赖于SIP信令大大局限了应用范围，目前绝大多数移动终端设备不支持SIP协议；其次，该方法没有提供密码学意义上的身份认证与密钥管理的机制，更无法防范主动攻击，无法保证安全性。

2005年7月20日授权的发明专利《具有语音加密/解密的可携式装置及其加密解密方法》(ZL03153185.7)使用了DSA、RSA等非对称加密算法与DES等对称加密算法，但没有提供密钥更新与管理机制，也无法防范中间人式主动攻击，存在严重安全漏洞。另外，该方法仅限于拥有蓝牙，红外线以及WiFi网络连接的终端设备，应用大大受限。

以上方法普遍无法提供可靠且可扩展的身份认证机制，而缺乏身份认证的传输加密并不具备真正意义上的安全性。当前工业实践中，实现身份认证往往需要引入可信的第三方，如目前互联网中普遍使用的基于公钥基础结构(PKI：Public Key Infrastructure)的身份认证体系。但是，PKI体系由于使用、部署、运行、维护与操作的复杂性，并不适合绝大多数移动通信用户的普遍需要。本发明提出一种用于无线移动终端保密通讯的安全架构及实现方法。在此安全架构下，无线移动通信用户无需承受公钥基础结构(PKI)的使用、部署、运行、维护与操作的复杂性，无需电信运营商的参与，无需替换或影响电信信令交换协议，实现在保障可靠身份认证基础上的、端到端的保密信息交换。

发明内容

本发明的目的在于设计一种无线移动终端通讯加密的方法。移动通信用户使用移动终端身份标识作为身份标识ID，通过手机短信或数据服务从可信的第三方来获取私钥，进而实现移动用户间的密钥交换与安全参数协商，实现端到端的保密移动通讯。

为实现上述目的，本发明采取以下技术方案：引入了可信的第三方，称为密钥生成中心KGC(Key Generation Center)，其主要功能是根据用户的移动终端身份标识生成用户的私钥。KGC公布其服务号码及公开参数。移动用户通过短信或其它数据服务与KGC通信，在获取私钥后，与通信的另一端进行加密密钥交换及安全参数协商，实现端到端的安全通讯。

具体的技术方案如下：

一种无线移动终端通讯加密的方法，包括以下步骤：

1)引入第三方：引入一可信的第三方即KGC，KGC公布其服务号码并产生和公布公开参数；

2)移动终端用户注册及获得私钥：每一移动终端用户使用移动终端身份标识，通过短信或数据服务与KGC进行交互完成注册，包括KGC获得用户的身份标识ID、用户获取KGC发送的公开参数以及用户通过KGC的协助计算获得私钥；

3)移动终端用户间共享密钥的获取及会话密钥的协商取得：当移动终端用户需要进行保密通信时，用户对其获得的私钥进行安全处理得到各自安全参数，发送给对方通讯终端，各方根据对方提供的安全参数计算得到双方的共享密钥；为确保上述操作无误，各移动终端基于传统的Diffie-Hellman密钥交换算法和用户的身份标识ID协商用户间的会话密钥，得到各方安全共享的会话密钥；

4)移动终端用户使用安全共享的会话密钥，采用成熟的对称密钥流/块加密算法进行数据加密，将通过移动设备的信息交换置于可靠的安全保护之下。

以上方法中，步骤1)所述第三方KGC为非移动通信网络运营商。

以上方法中，步骤1)所述KGC产生的参数包括：p，q，n，g，d，e和杂凑函数Hash，其中，

p，g为素数；

n=pq，门至少为1024比特；

g与n互素；

J为KGC的私钥；

g为KGC的公钥，且e＝d^-1mod(p-1)(q-1)，e与(p-1)(q-1)互素；

KGC通过网站或无线公共信道公布其服务号码和公开参数，所述公开参数包括：e、n、g和杂凑函数Hash。

以上方法中，步骤2)所述用户身份标识ID为用户设备标识IMEI码和用户手机号码的组合或其中之一。

以上方法中，步骤2)所述注册包括一个KGC向首次注册用户发送公开参数的过程，首次注册用户的确认是通过KGC维护一个关于用户身份标识ID的一个数据库ID-Database实现的，依据此数据库检查移动用户的ID是否已注册，如已注册，则KGC通知用户该ID已注册，并终止注册进程。

以上方法中，步骤2)所述私钥获得的步骤包括：

(1)移动终端用户将收到的KGC的公开参数与KGC在步骤1中公开的参数对比，以检查公开参数，然后，产生两个大素数p₁，q₁，并计算n₁＝p₁q₁，选取一个临时密钥对，记为(e_T，d_T)，且e_T与d_T满足：d_T＝e_T ^-1mod(p₁-1)(q₁-1)，e_T与(p₁-1)(q₁-1)互素，最后，计算 $s_0=I{D}^{d_T}\mathrm{mod}{n}_1$

(2)移动终端用户将s₀、e_T和n₁发送给KGC；

(3)KGC验证 $\mathrm{ID}={\left(s_0\right)}^{e_T}\mathrm{mod}{n}_1$ 成立，并使用d，计算 $s_1:s_1=I{D}^{{\mathrm{de}}_T}\mathrm{mod}n;$ 将s₁发送给移动用户；

(4)移动用户收到s₁，后，计算自己的私钥 $s={\left(s_1\right)}^{d_T}\mathrm{mod}n;$ 并验证ID=s^emodn成立，以此确认该私钥的真实性。

(5)KGC在数据库ID-Database中加入该ID的信息，标识该ID己注册，并不再受理基于该ID的后续申请。

以上方法中，步骤3)所述用户问共享密钥的获取步骤包括：

(1)一用户A任选一个保密的随机整数r_A，并计算 $Y_A=s_A{g}^{r_A};$ 另一用户B任选一个保密的随机整数r_B，并计算 $Y_B=s_B{g}^{r_B};$ 这里S_A和S_B分别是两用户在步骤2)中获得的私钥；

(2)用户A与用户B交换各自产生的Y_A与Y_B；

(3)用户A和用户B分别计算各自的K_A和K_B为：

$K_A=\left({Y_B}^{e}I{D_B}^{-1}\right)r_A=g^{e\×r_A\×r_B},$

$K_B=\left({Y_A}^{e}I{D_A}^{-1}\right)r_B=g^{e\×r_A\×r_B};$

其中，ID_A和ID_B分别为用户A和B各自在KGC注册的用户身份标识ID，

由此，用户A、B生成了共享密钥K＝K_A＝K_B。

以上方法中，步骤3)所述会话密钥的协商取得包括如下过程：

(1)用户A任选一个保密的随机整数t_A，计算 $X_A=g^{t}A,$ 并将X_A，ParamA，以及杂凑函数值H_A＝Hash(K_A，X_A，ParamA)一起发送给用户B，其中ParamA包括：用户A所支持的所有密码算法，及该密码算法的初始化参数；

(2)用户B任选一个保密的随机整数t_B，计算 $X_B=g^{-t}B$ 并将X_B，ParamB，以及杂凑函数值H_B＝Hash(K_B，X_B，ParamB)发送给用户A，其中ParamB包括：用户B根据用户A提供的参数ParamA选取的所能支持的密码算法，及其相应的算法初始化参数；

(3)用户A和B验证消息的完整性，计算方法分别为：

Hash(K_B，X_B，ParamB)＝Hash(K_A，X_B，ParamB)，与

Hash(K_A，X_B，ParamA)＝Hash(K_A，X_B，ParamA)；

(4)如验证通过，用户A和B分别计算他们的会话密钥K_session-A和K_session-B：

$k_{\mathrm{session}-A}=X_B{t}_A=g^{t_A\×t_B}$

$k_{\mathrm{session}-B}=X_A{t}_B=g^{t_A\×t_B}.$

以上方法中，步骤4)所述成熟的对称密钥流/块加密算法为AES，3DES或Two-Fish。

具体的本方法中，用户问共享密钥的获取及会话密钥的协商取得是利用用户A与B从KGC获得的私钥s_A与s_B，并采用如下流程：

(1)一用户A任选一个保密的随机整数r_A，并计算 $Y_A=s_A{g}^{r_A};$ 同样，另一用户B任选一个保密的随机整数r_B，并计算 $Y_B=s_B{g}^{r_B};$

(2)用户A与用户B交换各自产生的Y_A与Y_B；

(3)用户A和B分别计算各自的K_A和K_B为： $K_A=\left({Y_B}^{e}I{D_B}^{-1}\right)r_A=g^{e\×r_A\×r_B};$ $K_B=\left({Y_A}^{e}I{D_A}^{-1}\right)r_B=g^{e\×r_A\×r_B},$ 这里的IDA和IDB分别为用户A和B各自在KGC注册的用户身份标识ID，由此用户A和用户B生成了共享密钥K＝K_A＝K_B；

(4)用户A和B继续协商会话密钥如下：

a)用户A任选一个保密的随机整数t_A，计算 $X_A=g^{t_A},$ 并将X_A，ParamA，以及杂凑函数值H_A＝Hash(K_A，X_A，ParamA)一起发送给用户B，其中ParamA包括：用户A所支持的所有密码算法，及该密码算法的初始化参数；

b)用户B任选一个保密的随机整数t_B，计算 $X_B=g^{t_B},$ 并将X_B，ParamB，以及杂凑函数值H_B＝Hash(K_B，X_B，ParamB)发送给用户A，其中ParamB包括：用户B根据用户A提供的参数ParamA选取的所能支持的密码算法，及其相应的算法初始化参数

c)用户A和B验证消息的完整性，计算方法分别为：

Hash(K_B，X_B，ParamB)＝Hash(K_A，X_B，ParamB)，与

Hash(K_A，X_A，ParamA)＝Hash(K_B，X_A，ParamA)；

d)如验证通过，用户A和B分别计算他们的会话密钥k_session-A和k_session-B：

$k_{\mathrm{session}-A}=X_B{t}_A=g^{t_A\×t_B}$

$k_{\mathrm{session}-B}=X_A{t}_B=g^{t_A\×t_B}.$

本发明的主要特点为：(1)移动用户根据自己的注册身份ID从KGC获取私钥的安全性基于大数分解的困难性；(2)移动用户使用自己的移动终端身份标识向KGC申请获得对应于ID的密钥S；(3)移动用户通过公共信道安全地从KGC获得对应于特定ID的私钥S；(4)移动用户间密钥协商的安全性基于离散对数求解的困难性；(5)移动用户间密钥协商使用从KGC获得的私钥S防范对Diffie-Hellman密钥交换算法的中间人主动攻击；(6)KGC作为可信第三方，仅提供移动用户的身份认证，并不参与通信两端的任何信息交互；(7)端到端移动用户通讯使用的传输加密密钥仅限于参与移动通讯的双方，对KGC也是保密的。(8)本发明无需公钥证书等公钥基础结构(PKI)操作的复杂性。(9)本发明使用移动终端身份标识(如设备标识IMEI码，用户手机号码，或它们的组合)作为身份标识ID。

附图说明

图1：用户注册与密钥获取流程图

图2：用户间共享密钥的获取及会话密钥的协商取得流程图

具体实施方式

这里给出该方法的一个具体实施例，具体实施例如下。

1、KGC产生公开参数，并公布服务号码与公开参数：KGC选取两个至少512比特位的素数p和q，并计算n＝pq，其中，n为1024比特，KGC产生自己的私钥d和公钥e，满足e＝d^-1mod(p-1)(q-1)，继而KGC选取g和杂凑函数Hash等，且g与n互素。

KGC通过网站发布公开参数：e，n，g和杂凑函数Hash等。

2、移动用户注册与私钥获取：如图1所示，用户注册与私钥获取的流程如下，其中KGC与移动用户间的交互是通过短信进行的：

(1)移动用户通过短信发送注册申请给KGC，该申请包括用户身份标识ID，在本实施例中ID取为用户设备标识IMEI码(International Mobile EquipmentIdentity，通常由15-17位数字，以格式AA-BBBBBB-CCCCCC-D表示)和用户手机号码的串接，表示为ID＝用户设备标识IMEI码||用户手机号。

(2)KGC维护一个关于用户身份标识ID的数据库ID-Database，以检查移动用户的ID是否已注册，如已注册，则KGC通知用户该ID已注册，并终止注册进程；

(3)KGC将它的公开参数e，n，g和杂凑函数Hash等发给用户；

(4)移动用户将KGC发给它的公开参数e，n，g和杂凑函数Hash等与KGC通过网站公布的公开参数进行对比以确认。移动用户产生两个大素数p₁，g₁，计算n₁＝P₁q₁，，其中n₁为1024比特，接着选取一临时密钥对(e_T，d_T)，且e_T与d_T满足：d_T＝e_T ^-1mod(p₁-1)(q₁-1)，e_T与(e_T-1)(q₁-1)互素；计算 $s_0=I{D}^{d_T}\mathrm{mod}{n}_1;$

(5)移动用户将s₀，e_T和n₁发送给KGC；

(6)KGC验证 $\mathrm{ID}={\left(s_0\right)}^{e_T}\mathrm{mod}{n}_1$ 成立，并使用自己的私钥d，计算

$s_1=I{D}^{{\mathrm{de}}_T}\mathrm{mod}n;$ 将s₁，发送给移动用户；

(7)移动用户收到s₁后，计算自己的私钥 $s={\left(s_1\right)}^{d_T}\mathrm{mod}n;$ 并验证ID＝s^emodn成立，如此可确认该私钥的真实性；

(8)KGC在数据库ID-Database中加入该ID的相关信息，表示该ID已注册，并不再受理基于该ID的后续申请。

3、用户间共享密钥的获取与会话密钥的协商取得：通过上述方法，用户A与B从KGC获得的私钥分别记为s_A与s_B，如图2所示，用户间密钥交换与安全参数协商的流程如下，其中移动用户相互间的交互是通过短信进行的：

(1)用户A任选一个保密的随机整数r_A，并计算 $Y_A=s_A{g}^{r_A};$ 同样，用户B任选一个保密的随机整数r_B，并计算 $Y_B=s_B{g}^{r_B};$

(2)用户A与用户B交换各自产生的Y_A与Y_B；

(3)用户A和B分别计算各自的K_A和K_B为： $K_A=\left({Y_B}^{e}I{D_B}^{-1}\right)r_A=g^{e\×r_A\×r_B};$ $K_B=\left({Y_A}^{e}I{D_A}^{-1}\right)r_B=g^{e\×r_A\×r_B};$ 这里的IDA和IDB分别为用户A和B各自在KGC注册的用户身份标识ID；至此用户A、B生成了共享密钥K＝K_A＝K_B；

(4)为确保上述操作无误，用户A和B继续协商会话密钥如下：

a)用户A任选一个保密的随机整数t_A，计算 $X_A=g^{t_A},$ 并将X_A，ParamA，以及杂凑函数值H_A＝Hash(K_A，X_A，ParamA)一起发送给用户B，其中ParamA包括：用户A所支持的所有密码算法，及该密码算法的初始化参数；

b)用户B任选一个保密的随机整数t_B，计算 $X_B=g^{t_B},$ 并将X_B，ParamB，以及杂凑函数值H_B＝Hash(K_B，X_B，ParamB)发送给用户A，其中ParamB包括：用户B根据用户A提供的参数ParamA选取的所能支持的密码算法，及其相应的算法初始化参数；

c)用户A和B验证消息的完整性，计算方法分别为：

Hash(K_B，X_B，ParamB)＝Hash(K_B，X_B，ParamB)，与

Hash(K_B，X_B，ParamA)＝Hash(K_B，X_B，ParamA)；

(5)如验证通过，用户A和B分别计算他们的会话密钥k_session-A和K_session-B：

$k_{\mathrm{session}-A}=X_B{t}_A=g^{t_A\×t_B}$

$k_{\mathrm{session}-B}=X_A{t}_B=g^{t_A\×t_B}$

4、移动用户A、B使用安全共享的会话密钥K_session＝K_session-A＝K_session-B采用成熟的对称密钥流/块加密算法如AES，3DES或Two-Fish等进行数据加密，将通过移动设备的信息交换至于可靠的安全保护之下。

Claims (8)

1.一种无线移动终端通讯加密的方法，其特征在于，包括以下步骤：

1)引入第三方：引入一可信的第三方即KGC，KGC公布其服务号码并产生参数和公布公开参数；所述第三方KGC为非移动通信网络运营商；

2)移动终端用户注册及获得私钥：每一移动终端用户使用移动终端身份标识，通过数据服务与KGC进行交互完成注册，包括KGC获得用户的身份标识ID、用户获取KGC发送的公开参数以及用户通过KGC的协助计算获得私钥；

3)移动终端用户间共享密钥的获取及会话密钥的协商取得：当移动终端用户需要进行保密通信时，用户对其获得的私钥进行安全处理得到各自安全参数，发送给对方通讯终端，各方根据对方提供的安全参数计算得到双方的共享密钥；为确保上述操作无误，各移动终端基于传统的Diffie-Hellman密钥交换算法和用户的身份标识ID协商用户间的会话密钥，得到各方安全共享的会话密钥；

4)移动终端用户使用安全共享的会话密钥，采用成熟的对称密钥流/块加密算法进行数据加密，将通过移动设备的信息交换置于可靠的安全保护之下；

其中，步骤1)所述KGC产生的参数包括：p，q，n，g，d，e和杂凑函数Hash，其中，

p，q为素数；

n＝pq，n至少为1024比特；

g与n互素；

d为KGC的私钥；

e为KGC的公钥，且e＝d^-1mod(p-1)(q-1)，e与(p-1)(q-1)互素；

KGC通过网站或无线公共信道公布其服务号码和公开参数，所述公开参数包括：e、n、g和杂凑函数Hash。

2.根据权利要求1所述的方法，其特征在于，步骤2)所述用户身份标识ID为用户设备标识IMEI码和用户手机号码的组合或其中之一。

3.根据权利要求2所述的方法，其特征在于，步骤2)所述注册包括一个KGC向首次注册用户发送公开参数的过程，首次注册用户的确认是通过KGC维护一个关于用户身份标识ID的一个数据库ID-Database实现的，依据此数据库检查移动用户的ID是否已注册，如已注册，则KGC通知用户该ID已注册，并终止注册进程。

4.根据权利要求3所述的方法，其特征在于，步骤2)所述私钥获得的步骤包括：

(1)移动终端用户将收到的KGC的公开参数与KGC在步骤1中公开的参数对比，以检查公开参数，然后，产生两个大素数p₁，q₁，并计算n₁＝p₁q₁，选取一个临时密钥对，记为(e_T，d_T)，且e_T与d_T满足：d_T＝e_T ^-1mod(p₁-1)(q₁-1)，e_T与(p₁-1)(q₁-1)互素，最后，计算

(2)移动终端用户将s₀、e_T和n₁发送给KGC；

(3)KGC验证成立，并使用d，计算s₁：

将s₁发送给移动用户；

(4)移动用户收到s₁后，计算自己的私钥

并验证ID＝s^emodn成立，以此确认该私钥的真实性。

(5)KGC在数据库ID-Database中加入该ID的信息，标识该ID已注册，并不再受理基于该ID的后续申请。

5.根据权利要求1或2或3或4所述的方法，其特征在于，步骤3)所述用户间共享密钥的获取步骤包括：

(1)一用户A任选一个保密的随机整数r_A，并计算

另一用户B任选一个保密的随机整数r_B，并计算

这里S_A和S_B分别是两用户在步骤2)中获得的私钥；

(2)用户A与用户B交换各自产生的Y_A与Y_B；

(3)用户A和用户B分别计算各自的K_A和K_B为：

$K_A=\left(Y_B^e{\mathrm{ID}}_B^{-1}\right)r_A=g^{e\×r_A\×r_B},$

$K_B=\left(Y_A^e{\mathrm{ID}}_A^{-1}\right)r_B=g^{e\×r_A\×r_B};$

其中，ID_A和ID_B分别为用户A和B各自在KGC注册的用户身份标识ID，

由此，用户A、B生成了共享密钥K＝K_A＝K_B。

6.根据权利要求5所述的方法，其特征在于，步骤3)所述会话密钥的协商取得包括如下过程：

(1)用户A任选一个保密的随机整数t_A，计算

并将X_A，ParamA，以及杂凑函数值H_A＝Hash(K_A，X_A，ParamA)一起发送给用户B，其中ParamA包括：用户A所支持的所有密码算法，及该密码算法的初始化参数；

(2)用户B任选一个保密的随机整数t_B，计算

并将X_B，ParamB，以及杂凑函数值H_B＝Hash(K_B，X_B，ParamB)发送给用户A，其中ParamB包括：用户B根据用户A提供的参数ParamA选取的所能支持的密码算法，及其相应的算法初始化参数；

(3)用户A和B验证消息的完整性，计算方法分别为：

Hash(K_B，X_B，ParamB)＝Hash(K_A，X_B，ParamB)，与

Hash(K_A，X_A，ParamA)＝Hash(K_B，X_A，ParamA)；

(4)如验证通过，用户A和B分别计算他们的会话密钥k_session-A和k_session-B：

$k_{\mathrm{session}-A}=X_{B^{t_A}}=g^{t_A\×t_B}$

$k_{\mathrm{session}-B}=X_{A^{t_B}}=g^{t_A\×t_B}.$

7.根据权利要求6所述的方法，其特征在于，步骤4)所述成熟的对称密钥流/块加密算法为AES，3DES或Two-Fish。

8.根据权利要求1、2、3或4所述的方法，其特征在于，移动终端用户间共享密钥的获取及会话密钥的协商取得，是利用用户A与B从KGC获得的私钥S_A与S_B，并采用如下流程：

(1)一用户A任选一个保密的随机整数r_A，并计算

同样，另一用户B任选一个保密的随机整数r_B，并计算

(2)用户A与用户B交换各自产生的Y_A与Y_B；

(3)用户A和B分别计算各自的K_A和K_B为：

这里的ID_A和ID_B分别为用户A和B各自在KGC注册的用户身份标识ID，由此用户A和用户B生成了共享密钥K＝K_A＝K_B；

(4)用户A和B继续协商会话密钥如下：

a)用户A任选一个保密的随机整数t_A，计算

并将X_A，ParamA，以及杂凑函数值H_A＝Hash(K_A，X_A，ParamA)一起发送给用户B，其中ParamA包括：用户A所支持的所有密码算法，及该密码算法的初始化参数；

b)用户B任选一个保密的随机整数t_B，计算

并将X_B，ParamB，以及杂凑函数值H_B＝Hash(K_B，X_B，ParamB)发送给用户A，其中ParamB包括：用户B根据用户A提供的参数ParamA选取的所能支持的密码算法，及其相应的算法初始化参数

c)用户A和B验证消息的完整性，计算方法分别为：

Hash(K_B，X_B，ParamB)＝Hash(K_A，X_B，ParamB)

Hash(K_A，X_A，ParamA)＝Hash(K_B，X_A，ParamA)；

d)如验证通过，用户A和B分别计算他们的会话密钥k_session-A和k_session-B：

$k_{\mathrm{session}-A}=X_{B^{t_A}}=g^{t_A\×t_B}$

$k_{\mathrm{session}-B}=X_{A^{t_B}}=g^{t_A\×t_B}.$

Images