CN101702804A - 基于自认证公钥的两方密钥协商方法 - Google Patents

Abstract

本发明公开了一种基于自认证公钥的两方密钥协商方法，主要解决现有PKI技术中复杂的证书管理问题，实现自认证的两方密钥共享，降低网络资源开销，其步骤是：利用门限密码学将共享密钥分给n个虚拟中心节点；会话一方选择自己的秘密随机数，计算公开参数，将自己的身份及公开参数发送给虚拟中心以申请自己的自认证公钥；会话另一方选择自己的秘密随机数，计算公开参数，将自己的身份及公开参数发送给虚拟中心以申请自己的自认证公钥；会话两方在相互交换了自认证公钥、身份和公开参数后各自计算出共享会话密钥。本发明以轻量级密码ECC为理论基础，无证书管理、无密钥托管、无需安全信道，能够抗中间人攻击，适用于资源受限的移动自组织网络安全通信。

Description

基于自认证公钥的两方密钥协商方法

技术领域

本发明属于网络安全技术领域，涉及自认证公钥及会话密钥协商，具体地说，是一种基于自认证公钥的两方密钥协商方法，能够为通信网络安全和信任体系的建立提供基础技术支撑，特别适用于移动自组织网络。

背景技术

会话密钥分法是公钥密码体制的最主要应用之一，利用公钥密码体制，会话两方Alice和Bob能够在公开网络环境中进行会话密钥协商。

目前会话密钥协商所依赖的公钥密码体制有三种模式：基于证书的、基于身份的和自认证的。基于证书的模式以公钥基础设施PKI为基础，存在着复杂的证书管理问题。基于身份的模式直接以用户的身份信息作为其公开钥，没有证书的存储和管理问题，但其缺点是具有密钥托管。在自认证公钥模式中公钥自身具有认证性，无须证书，没有复杂的证书管理问题，也不具有密钥托管问题。

基于自认证公钥的两方密钥协商协议在通信量、计算量以及存储量上优于传统公钥模式的两方密钥协商协议，而且也无需安全信道。

基于自认证公钥的两方密钥协商方法的这些优点使得它特别适合于资源受限的移动自组织网络。相对于传统网络，移动自组织网络具有动态的拓扑结构、有限的节点性能、分布式控制、无中心及安全性差等特性。但是，移动自组织网络中应用基于自认证公钥的两方密钥协商还存在以下问题：(1)网络必须存在一个中心服务器为用户生成自认证公钥；(2)需要安全信道传送秘密信息；(3)计算量和通信量比较大；(4)存在密钥托管。其中前两个问题在移动自组织网络中是不可实现的，而后两个问题对这种资源受限的网络也是不合理的，因此都是需要极力避免的。

在移动自组织网络中，目前还没有以自认证公钥模式为基础的通信两方会话密钥协商方法。

发明内容

本发明的目的在于避免以上提及的技术不足，以轻量级密码体制ECC为理论基础，提出一种基于自认证公钥的两方密钥协商方法，应用于资源受限的移动自组织网络，减小通信开销和计算开销，且在不需要安全信道、无中心和无密钥托管的条件下，实现移动自组织网络中通信双方的会话密钥共享。

为实现上述目的，本发明包括如下过程：

A.离线初始化过程

在网络运行之前，中心处理节点C选择虚拟中心的秘密钥a∈Z_p ^*和t次秘密多项式f(x)，并计算虚拟中心公开钥Y，再将秘密钥a拆成n个份额d_i＝f(i)，i＝1，...，n，分别分发给n个虚拟中心节点A_i，i＝1，...，n；

B.会话两方分别向虚拟中心申请自认证公钥过程

(B1)会话一方Alice选取自己的随机秘密整数h∈Z_q ^*，计算其公开参数U和R，并将U、R以及自己的身份信息ID发送给某虚拟中心节点A₁，获取自己的自认证公钥Q，计算与该自认证公钥对应秘密钥s；

(B2)另一方Bob选取自己的随机秘密整数

计算其公开参数U′和R′，并将U′、R′以及自己的身份信息ID′发送给某虚拟中心节点A₁，获取自己的自认证公钥Q′，计算与该自认证公钥对应秘密钥s′；

C.两方会话密钥协商过程

(C1)会话一方Alice将自己的身份ID、公开参数R和自认证公钥Q发送给另一方Bob；

(C2)Bob将自己的身份ID′、公开参数R′和自认证公钥Q′发送给Alice；

(C3)Alice计算I′＝H(ID′)，K_A＝s(r′R′+IQ′)；

(C4)Bob计算I＝H(ID)，K_B＝s′(rR+IQ)；

(C5)取K_A或K_B作为共享会话密钥K，

其中K_A＝K_B＝ss′P，s为Alice的秘密钥，s′为Bob的秘密钥，R＝hY＝h(aP)是Alice预先计算的自己的公开参数，R′＝h′Y＝h′(aP)是Bob预先计算的自己的公开参数，a是虚拟中心的秘密钥，Y＝aP是虚拟中心的公开钥，P是椭圆曲线上循环群E(GF(q))的生成元，h′是Bob的随机秘密整数，r是Alice公开钥Q的x坐标模q取整，r′是Bob公开钥Q′的x坐标模q取整。

本发明具有如下优点：

1)本发明基于自认证的公钥密码模式，因此没有复杂的证书管理问题，从而降低了网络的存储、通信和计算开销，因此更适合资源受限的移动自组织网络；

2)本发明由于申请和协商过程传送的所有信息均为公开信息，可以通过公开信道传送，因此不需要安全信道，解决了应用过程中一个非常棘手的问题；

3)本发明由于以轻量级密码体制ECC为理论基础，因此在计算量和通信量上都大有改善，非常适合为资源受限的移动自组织网络建立安全和信任体系。

4)本发明的密钥协商过程能够抵抗中间人攻击。

理论推导证明，本发明的安全性建立在椭圆曲线上求解离散对数的困难性之上。

附图说明

图1是本发明的两方密钥协商过程示意图；

图2是本发明的会话一方Alice自认证公钥申请过程示意图；

图3是本发明的另一方Bob自认证公钥申请过程示意图。

具体实施方式

一、本发明所应用的数学理论

(1)椭圆曲线密码体制ECC

设p和q为大素数，GF(q)为q阶有限域，E为GF(q)上的椭圆曲线，E(GF(q))为E上的点构成的p阶循环群，P∈E(GF(q))是生成元。关于椭圆曲线的定义及其安全参数的选取可以参阅文献：Don Johnson，AlfredMenezes and Scott Vanstone，The Elliptic Curve Digital SignatureAlgorithm(ECDSA)，IJLS，vol.1 issue1(2001)，36-63。

(2)Hash函数

Hash函数就是把任意长的输入消息变换成固定长的输出消息的一种函数，这个输出称为该消息的Hash值。一个安全的Hash函数应该至少满足以下几个条件；①输入长度是任意的；②输出长度是固定的，至少取128bits长，以便抵抗生日攻击；③对每一个给定的输入，能够很容易地计算其输出，即Hash值；④给定Hash函数的描述，找到两个不同的输入消息Hash到同一个值是计算上不可行的，或给定Hash函数的描述和一个随机选择的消息，找到另一个与该消息不同的消息，使得它们Hash到同一个值是计算上不可行的。Hash函数主要用于完整性校验和提高数字签名的有效性。

本发明中Hash函数H：{0，1}^*→Z_q，是从0和1组成的比特序列集合映射到加法循环群Z_q。

(3)有限域

有限域是一个包含有限个元素的集合，满足对加法和乘法封闭等性质，有限域的阶是域中元素的个数，阶为素数q的有限域一般记为GF(q)。在有限域中，有两个群，一个是GF(q)对加法构成的群，一个是GF(q)-0对乘法构成的群。在乘法循环群中，生成元的所有幂给出群中的所有元素。本发明中Z_p ^*表示群Z_p中去掉零元构成的群。

(4)素数和互素

所谓素数，是指任意一大于1的整数p，若它只能被±1和±p整除，就称其为素数；

所谓互素，是指两个整数，若它们的最大公约数为1，则称它们互素。

二.技术术语说明

(1)虚拟中心

虚拟中心是指由n个普通网络节点组成的节点集合，该节点集合中的任意且至少t+1个节点协作能够完成单个中心服务器生成自认证公钥的工作。虚拟中心的作用是能够在无中心的分布式网络中实现中心集中式的安全技术。本发明的应用环境是无中心、分布式的移动自组织网络，这种网络没有固定基础设施，其拓扑结构也是动态变化的，因此，本发明利用虚拟中心代替单个中心服务器为用户生成自认证公钥。这种虚拟中心还具有很强的抗毁性，适合战场等恶劣环境。

(2)中心处理节点

中心处理节点是指在离线初始化时负责组建虚拟中心并在虚拟中心中均分权利和责任的网络节点，该节点在初始化之后退出网络，在本发明中用C表示。

(3)虚拟中心节点

虚拟中心节点是指构成虚拟中心的网络节点，在本发明中指的是节点A_i，i＝1，...，n，其中的任意且至少t+1个协作能够为用户生成自认证公钥。

(4)发布者

发布者在本发明中指的是具体为用户生成自认证公钥的那t+1个网络节点。

三、技术方案

参照图1，本发明的具体实现如下：

设p和q为大素数，GF(q)为q阶有限域，E为GF(q)上的椭圆曲线，E(GF(q))为E上的点构成的p阶循环群，P∈E(GF(q))是生成元。

过程1，在网络运行之前进行离线初始化。

(1.1)中心处理节点C选择虚拟中心节点共享的秘密钥a∈Z_p ^*和t次秘密多项式f(x)＝a+a₁x+a₂x²+...+a_tx^t，a_i∈Z_p，i＝1，...，t，并计算Y＝aP，Y∈E(GF(q))是虚拟中心的公开钥；

(1.2)中心处理节点C将秘密钥a按照d_i＝f(i)拆成n个份额，i＝1，...，n，并在离线状态下，将秘密份额d_i分别分发给n个虚拟中心节点A_i，i＝1，...，n，分发完秘密份额之后退出网络，销毁秘密钥a和秘密多项式f(x)。

过程2，Alice自认证公钥及对应秘密钥的生成和分发。

参照图2，本过程的具体实现如下：

(2.1)Alice选取自己的随机秘密整数，计算自己的公开参数，将该公开参数及自己的身份发送给离其最近的某虚拟中心节点，该虚拟中心节点作为发起者联系其它t个虚拟中心节点，并将用户的公开参数及身份发送给其它虚拟中心节点。

(2.1a)Alice选取自己的随机秘密整数h∈Z_p ^*，计算自己的公开参数U＝hP，R＝hY，将U、R以及自己的身份ID发送给离其最近的某个虚拟中心节点，设为A₁，其中P是循环群E(GF(q))的生成元，U∈E(GF(q))，R∈E(GF(q))；

(2.1b)节点A₁作为发起者联系其它t个虚拟中心节点，并将用户Alice的公开参数U、R以及身份ID发送给这t个虚拟中心节点，这t+1个节点A_i，i＝1，...，t+1称为发布者；

(2.2)每个发布者节点A_i，i＝1，...，t+1选取自己的随机秘密整数k_i∈Z_p，根据Alice的公开参数U计算Alice自认证公钥子块Q_i＝k_iU，并广播Q_i给其它t个发布者，Q_i∈E(GF(q))。

(2.3)每个发布者节点在收到其它t个发布者的消息后，根据自己的秘密份额分别计算Alice的自认证公钥、子签名和中间变量，并将所计算的自认证公钥、子签名和中间变量发送给合成者。

(2.3a)收到其它t个发布者的消息后，每个发布者节点A_i，i＝1，...，t+1，计算Alice自认证公钥

其中

(2.3b)每个发布者节点A_i，i＝1，...，t+1，计算子签名x_i＝(d′_ir+k_iI)modp，其中，r≡x_Q(mod q)是Q的x坐标模q取整，I＝H(ID)是用户Alice身份信息ID的Hash值而且是模p不为0的整数，

(i-j)^-1是i-j模p的逆元；

(2.3c)每个发布者节点A_i，i＝1，...，t+1计算中间变量R_i＝d′_iU；

(2.3d)每个发布者节点A_i，i＝1，...，t+1，将r，ID，x_i，R_i发送给合成者A₁，如果r＝0，A_i自己可以重新选择随机数计算Q_i，并广播给其它发布者，所有发布者重新计算Q、r以及子签名。

(2.4)合成者A₁在收到发布者A_i的子签名x_i并验证其有效性后计算合成签名

将Q和x发送给用户Alice，如果验证不通过，则拒绝该发布者的消息，其中，验证是验证下列等式是否成立：

Q_i＝x_iI^-1U-rI^-1R_i，

若该等式成立，则合成者能够确定所接收的来自发布者A_i的子签名x_i是真实有效的子签名，如果验证不通过，则拒绝该发布者的消息，恶意假冒者在这里被识破，式中I^-1是I模p的逆元，I＝H(ID)是用户Alice身份信息ID的Hash值而且是模p不为0的整数；

(2.5)用户Alice根据合成者发给他的合成签名x以及自己的秘密数h计算自己的秘密钥s＝xh(modp)，这里，

$x=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{x}_i=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}(d_i^{\′}r+k_{i}I)=r\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{d}_i^{\′}+I\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{k}_i=(\mathrm{ra}+\mathrm{kI})\left(\mathrm{mod}p\right),$

则用户Alice的自认证公钥为Q，对应的秘密钥为s。

过程3，Bob自认证公钥及对应秘密钥的生成和分发。

参照图3，本过程的具体实现如下：

(3.1)Bob选取自己的随机秘密整数，计算自己的公开参数，将该公开参数及自己的身份发送给离其最近的某虚拟中心节点，该虚拟中心节点作为发起者联系其它t个虚拟中心节点，并将用户的公开参数及身份发送给其它虚拟中心节点。

(3.1a)Bob选取自己的随机秘密整数计算自己的公开参数U′＝h′P，R′＝h′Y，并将U′、R′以及自己的身份ID′发送给离其最近的某个虚拟中心节点，设为A₁，其中P是循环群E(GF(q))的生成元，U∈E(GF(q))，R∈E(GF(q))；

(3.1b)节点A₁作为发起者联系其它t个虚拟中心节点，并将用户Bob的公开参数U′、R′以及身份ID′发送给这t个虚拟中心节点，这t+1个节点A_i，i＝1，...，t+1称为发布者；

(3.2)每个发布者节点A_i，i＝1，...，t+1选取自己的随机秘密整数k_i∈Z_p，根据Bob的公开参数U′计算Bob自认证公钥子块Q′_i＝k_iU′，并广播Q′_i给其它t个发布者。

(3.3)每个发布者节点在收到其它t个发布者的消息后，根据自己的秘密份额分别计算Bob的自认证公钥、子签名和中间变量，并将所计算的自认证公钥、子签名和中间变量发送给合成者。

(3.3a)收到其它t个发布者的消息后，每个发布者节点A_i，i＝1，...，t+1，计算Bob自认证公钥

其中

(3.3b)每个发布者节点A_i，i＝1，...，t+1，计算子签名x′_i＝(d′_ir′+k_iI′)modp，其中r′≡x_Q′(modq)是Q′的x坐标模q取整，I′＝H(ID′)是用户Bob身份信息ID′的Hash值而且是模p不为0的整数，

(i-j)^-1是i-j模p的逆元；

(3.3c)每个发布者节点A_i，i＝1，...，t+1计算中间变量R′_i＝d′_iU′；

(3.3d)每个发布者节点A_i，i＝1，...，t+1，将r′，ID′，x′_i，R′_i发送给合成者A₁，如果r′＝0，A_i自己重新选择随机数计算Q′_i，并广播给其它发布者，所有发布者重新计算Q′、r′以及子签名。

(3.4)合成者A₁在收到发布者A_i的子签名x′_i并验证其有效性后计算合成签名将Q′和x′发送给用户Bob，如果验证不通过，则拒绝该发布者的消息，其中，验证是验证下列等式是否成立：

Q′_i＝x′_iI′^-1U′-r′I′^-1R′_i，

若该等式成立，则合成者能够确定所接收的来自发布者A_i的子签名x′_i是真实有效的子签名，如果验证不通过，则拒绝该发布者的消息，式中，I′^-1是I′模p的逆元，I′＝H(ID′)是用户Bob身份信息ID′的Hash值而且是模p不为0的整数；

(3.5)用户Bob根据合成者发给他的合成签名x′以及自己的秘密数h′计算自己的秘密钥s′＝x′h′(mod p)，这里，

$x^{\′}=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{x}_i^{\′}=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}(d_i^{\′}{r}^{\′}+k_i{I}^{\′})=r^{\′}\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{d}_i^{\′}+I^{\′}\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{k}_i=(r^{\′}a+k{I}^{\′})\left(\mathrm{mod}p\right),$

则用户Bob获取自认证公钥为Q′，对应的秘密钥为s′。

过程4，两方密钥协商。

会话密钥协商为通信双方提供安全可靠的共享会话密钥，在会话双方交换了公开钥和身份等公开信息之后，他们各自计算出共享的会话密钥。

会话一方Alice的身份为ID，秘密钥为s，公开钥为Q，另一方Bob的身份为ID′，秘密钥为s′，公开钥为Q′，本过程的具体实现如下：

(4.1)Alice将她的公开钥Q、身份ID以及R发送给Bob；

(4.2)Bob将他的公开钥Q′、身份ID′以及R′发送给Alice；

(4.3)Alice计算I′＝H(ID′)，K_A＝s(r′R′+I′Q′)；

(4.4)Bob计算I＝H(ID)，K_B＝s′(rR+IQ)；

(4.5)取K_A或K_B作为共享会话密钥K；

其中K_A＝K_B＝ss′P，而R＝hS＝h(aP)是Alice预先计算的自己的公开参数，R′＝h′S＝h′(aP)是Bob预先计算的自己的公开参数，h是Alice的随机秘密整数，h′是Bob的随机秘密整数，r是Alice公开钥Q的x坐标模q取整，r′是Bob公开钥Q′的x坐标模q取整。

Claims (9)

1.一种基于自认证公钥的两方密钥协商方法，包括：

A.离线初始化过程

在网络运行之前，中心处理节点C选择虚拟中心的秘密钥a∈Z_p*和t次秘密多项式f(x)，并计算虚拟中心公开钥Y，再将秘密钥a拆成n个份额d_i＝f(i)，i＝1，...，n，分别分发给n个虚拟中心节点A_i，i＝1，...，n；

B.会话两方分别向虚拟中心申请自认证公钥过程

(B1)会话一方Alice选取自己的随机秘密整数h∈Z_q*，计算其公开参数U和R，并将U、R以及自己的身份信息ID发送给某虚拟中心节点A₁，获取自己的自认证公钥Q，计算与该自认证公钥对应秘密钥s；

(B2)另一方Bob选取自己的随机秘密整数

计算其公开参数U′和R′，并将U′、R′以及自己的身份信息ID′发送给某虚拟中心节点A₁，获取自己的自认证公钥Q′，计算与该自认证公钥对应秘密钥s′；

C.两方会话密钥协商过程

(C1)会话一方Alice将自己的身份ID、公开参数R和自认证公钥Q发送给另一方Bob；

(C2)Bob将自己的身份ID′、公开参数R′和自认证公钥Q′发送给Alice；

(C3)Alice计算I′＝H(ID′)，K_A＝s(r′R′+I′Q′)；

(C4)Bob计算I＝H(ID)，K_B＝s′(rR+IQ)；

(C5)取K_A或K_B作为共享会话密钥K，

其中K_A＝K_B＝ss′P，s为Alice的秘密钥，s′为Bob的秘密钥，R＝hY＝h(aP)是Alice预先计算的自己的公开参数，R′＝h′Y＝h′(aP)是Bob预先计算的自己的公开参数，a是虚拟中心的秘密钥，Y＝aP是虚拟中心的公开钥，P是椭圆曲线上循环群E(GF(q))的生成元，h′是Bob的随机秘密整数，r是Alice公开钥Q的x坐标模q取整，r′是Bob公开钥Q′的x坐标模q取整。

2.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其中过程A所述的t次秘密多项式为f(x)＝a+a₁x+a₂x²+...+a_tx^t，a_i∈Z_p，i＝1，...，t。

3.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其中过程A所述的计算虚拟中心公开钥Y，是通过式子Y＝aP计算，其中Y∈E(GF(q))。

4.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其 中过程(B1)所述的Alice计算其公开参数U和R，通过下式计算：

U＝hP，R＝hY，

其中P是循环群E(GF(q))的生成元，E(GF(q))是椭圆曲线E上的点构成的p阶循环群，p和q为大素数，GF(q)为q阶有限域。

5.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其中过程(B1)所述的Alice获取自己的自认证公钥Q，是按照如下步骤进行的：

(5.1)节点A₁作为发起者联系其它t个虚拟中心节点，并将用户Alice的公开参数U、R以及身份ID发送给这t个虚拟中心节点，这t+1个节点A_i，i＝1，...，t+1称为发布者；

(5.2)每个发布者节点A_i，i＝1，...，t+1选取自己的随机秘密整数k_i∈Z_p，计算Alice自认证公钥子块Q_i＝k_iU，并广播Q_i给其它t个发布者；

(5.3)收到其它t个发布者的消息后，每个发布者节点A_i，i＝1，...，t+1根据自己的秘密份额分别计算Alice的自认证公钥Q、子签名x_i和中间变量R_i，并将Q、x_i和R_i发送给合成者，其中：

$Q=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{Q}_i=\mathrm{kU},$

x_i＝(d′_ir+k_iI)modp，

R_i＝d′_iU，

式中，

r≡x_Q(mod q)是Q的x坐标模q取整，I＝H(ID)是用户Alice身份信息ID的Hash值而且是模p不为0的整数，

(i-j)^-1是i-j模p的逆元；

(5.4)合成者A₁在收到发布者A_i的子签名x_i并验证其有效性后计算合成签名将自认证公钥Q和合成签名x发送给用户Alice，如果验证不通过，则拒绝该发布者的消息，其中验证是验证下列等式是否成立：

Q_i＝x_iI^-1U-rI^-1R_i，

若该等式成立，则合成者能够确定所接收的来自发布者A_i的子签名x_i是真实有效的子签名，如果验证不通过，则拒绝该发布者的消息，其中I^-1是I模p的逆元，I＝H(ID)是用户Alice身份信息ID的Hash值而且是模p不为0的整数。

6.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其中过程(B1)所述的计算与该自认证公钥对应秘密钥s，是由Alice根据合成者发给他的合成签名x以及自己的秘密数h按照公式s＝xh(modp)计算的，式中，

$x=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{x}_i=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}(d_i^{\′}r+k_{i}I)=r\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{d}_i^{\′}+I\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{k}_i=(\mathrm{ra}+\mathrm{kI})\left(\mathrm{mod}p\right),$

则用户Alice获取自认证公钥为Q，对应的秘密钥为s。

7.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其中过程(B2)所述的Bob计算其公开参数U′和R′，通过下式计算：

U′＝h′P，R′＝h′Y，

其中P是循环群E(GF(q))的生成元，E(GF(q))是椭圆曲线E上的点构成的p阶循环群，p和q为大素数，GF(q)为q阶有限域。

8.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其中过程(B2)所述的Bob获取自己的自认证公钥Q′，按照如下步骤进行：

(8.1)节点A₁作为发起者联系其它t个虚拟中心节点，并将用户Bob的公开参数U′、R′以及身份ID′发送给这t个虚拟中心节点，这t+1个节点A_i，i＝1，...，t+1称为发布者；

(8.2)每个发布者节点A_i，i＝1，...，t+1选取自己的随机秘密整数k_i∈Z_p，计算Bob自认证公钥子块Q′_i＝k_iU′，并广播Q′_i给其它t个发布者；

(8.3)收到其它t个发布者的消息后，每个发布者节点A_i，i＝1，...，t+1根据自己的秘密份额分别计算Bob的自认证公钥Q′、子签名x′_i和中间变量R′_i，并将Q′、x′_i和R′_i发送给合成者，其中：

$Q^{\′}=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{Q}_i^{\′}=k{U}^{\′},$

x′_i＝(d′_ir′+k_iI′)modp，

R′_i＝d′_iU′，

式中，

r′≡x_Q′(modq)是Q′的x坐标模q取整，I′＝H(ID′)是用户Bob身份信息ID′的Hash值而且是模p不为0的整数，(i-j)^-1是i-j模p的逆元；

(8.4)合成者A₁在收到发布者A_i的子签名x′_i并验证其有效性后计算合成签名

将Q′和x′发送给用户Bob，如果验证不通过，则拒绝该发布者的消息，其中，验证是验证下列等式是否成立：

Q′_i＝x′_iI′^-1U′-r′I′^-1R′_i，

若该等式成立，则合成者能够确定所接收的来自发布者A_i的子签名x′_i是真实有效的子签名，如果验证不通过，则拒绝该发布者的消息，

式中，I′^-1是I′模p的逆元，I′＝H(ID′)是用户Bob身份信息ID′的Hash值而且是模p不为0的整数。

9.根据权利要求1所述的基于自认证公钥的两方密钥协商方法，其中过程(B2)所述的计算与该自认证公钥对应秘密钥s′，是由Bob根据合成者发给他的合成签名x′以及自己的秘密数h′按照公式s′＝x′h′(modp)计算，式中，

$x^{\′}=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{x}_i^{\′}=\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}(d_i^{\′}{r}^{\′}+k_i{I}^{\′})=r^{\′}\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{d}_i^{\′}+I^{\′}\underset{i=1}{\overset{t+1}{\mathrm{\Σ}}}{k}_i=(r^{\′}a+k{I}^{\′})\left(\mathrm{mod}p\right),$

则用户Alice获取自认证公钥为Q′，对应的秘密钥为s′。

Images