CN101908961A - 一种短密钥环境下多方秘密握手方法 - Google Patents

Abstract

本发明提出一种短密钥环境下多方秘密握手方法，属于信息安全密码学领域。该方法包括以下步骤：1)开始并初始化；2)用户匿名认证并生成与服务器共享的临时会话密钥；3)用户向服务器发送带认证的密钥种子；4)服务器向用户发送带认证的密钥种子；5)用户在信道上广播新计算的密钥种子；6)各用户生成多方共享的会话密钥；7)用户利用会话密钥完成交互认证。该方法较好地克服了现有多方秘密握手依赖公钥基础设施和现有基于短密钥认证的密钥交换方法不能有效的保护参与用户隐私的缺点；不但实现了多方秘密握手，有效地保护了参与用户的包括身份和参与行为在内的隐私信息，还实现了安全的基于短密钥的密钥交换。

Description

一种短密钥环境下多方秘密握手方法

技术领域

本发明属于信息安全密码学领域，涉及分布式系统、认证服务等相关技术以及系统安全等应用系统，具体涉及一种基于短密钥的多方用户认证方法。

背景技术

秘密握手(Secret Handshakes，简称“SH”)用于实现用户之间的秘密认证。运用秘密握手方法，一方的隶属身份只会暴露给与其隶属于同一组织的其他方。具体来说，假设在一个两方情形中，用户A是组织G1的成员，用户B是组织G2的成员，他们用秘密握手方法可以保证：1、用户A和B可以相互认证当且仅当G1＝G2；2、若G1≠G2，用户A和B获得的信息仅是G1≠G2。与此同时，秘密握手方法还可进一步保证认证双方的匿名性：1、不可观察性：非组织成员不但无法确认用户A或B是否隶属于某个给定组织，而且也无法确定用户A和B是否隶属于同一组织无论认证最终是否成功；2、不可关联性：非组织内成员无法将同一个用户两个并行的实例进行关联；3、防监听性，任何被动攻击者(即使是同一组织中的其他成员)都无法通过监听SH过程来获取任何信息。

短密钥是指长度远短于通常对称密钥长度的密钥，例如口令，一般是很短的字符串。短密钥一般所需存储量很小并且易于人类记忆，不需要额外存储密钥的外部设备，也不需要公钥基础设施(PKI)。短密钥环境是指系统中用户所拥有的长期密钥是短密钥。多方是指三方用户或三方用户以上。

短密钥环境下多方情形包括两个组成部分：客户端用户集合{U1，U2，…，Ui，Ui+1，…，Um}和在线服务器S，其中每个用户Ui(1＜i＜m)都在服务器S上注册了身份信息并且都分别和服务器S共享一个短密钥wi，m是注册用户的总数，这些注册用户即是隶属于同一组织的成员，服务器S是半诚实的，始终诚实执行方案，但又好奇，试图收集一些关于用户的信息，但从不进行主动的截断或篡改信息等攻击。在短密钥环境下，每次进行多方SH的参与方包括：三个或三个以上的客户端用户和在线服务器S。具体过程是，三个或三个以上的客户端用户利用短密钥，在线服务器S的帮助下完成交互认证并生成会话密钥。

现有的多方秘密握手方案都是基于公钥基础设施(PKI)的，无法移植到短密钥环境。另外，现有的短密钥环境下多方认证密钥交换方案都不对用户身份的隐私性提供任何的保护，身份信息直接是明文传输。敌手可通过简单监听，就可知道哪些用户经常进行交互会话，从而推断出哪些用户关系比较密切。另外，一般通常认为在线服务器S是半诚实的，即它总是诚实的执行协议但又总是试图收集一些关于用户的信息。所以，在现有方案下，服务器总能收集到所有用户之间进行交互的纪录。

发明内容

为了解决上述问题，我们提供了一种短密钥环境下多方秘密握手方法。该方法较好地克服了现有多方SH依赖公钥基础设施和现有基于短密钥认证的密钥交换方法不能有效的保护参与用户隐私的缺点。

本发明采取的技术方案是：

一种短密钥环境下多方秘密握手方法包括以下步骤：

1)开始并初始化，用户随机选取当前值并随机选取临时用的假名；

2)用户匿名认证并生成与服务器共享的临时会话密钥，包括：准备进行三方或三方以上秘密握手的客户端用户分别使用各自和服务器共享的短密钥，采用健忘传输和基于短密钥认证的密钥交换机制，向服务器匿名认证自己的组成员身份，若认证成功则生成与服务器共享的临时会话密钥；所述基于短密钥认证的密钥交换机制采用Diffie-Hellman加密体制。

3)用户向服务器发送带认证的密钥种子，包括：各个参与的客户端用户将自己随机生成的待用密钥种子，用消息认证码认证的方式发送给服务器，其中消息认证码使用的认证密钥是步骤2)所述的与服务器共享的临时会话密钥；

4)服务器向用户发送带认证的密钥种子，包括：服务器在收到来自客户端用户的带认证的密钥种子并认证通过后，依靠与各客户端用户共享的临时会话密钥作为认证密钥，采用消息认证码机制，重新认证来自各用户的密钥种子，并将重新认证的密钥种子分发给相应的其它客户端用户；

5)用户在信道上广播新计算的密钥种子，包括：a)各客户端用户在收到服务器端分发的其他对应用户的重新认证的密钥种子后，利用已与服务器共享的临时会话密钥来认证，b)认证通过，则利用收到的重新认证的密钥种子和步骤3)所述待用密钥种子计算生成新的密钥种子，并在信道上广播该新的密钥种子；

6)各用户生成多方共享的会话密钥，包括：各个参与交互认证的用户收集各自所需的新的密钥种子，结合自己的待用密钥种子，生成最终的多方会话密钥；

7)用户利用步骤6)所生成的多方会话密钥完成交互认证，各个参与用户依靠多方会话密钥，运用哈希函数等方法生成并广播认证码，并对来自其他用户的认证码进行认证，从而完成交互认证。

本发明的主要优点在于：有效地实现了三方或三方以上的客户端用户依靠短密钥和服务器的帮助进行安全的认证密钥交换，同时保证用户身份等隐私信息不被泄露。具体通过以下四个性质来实现短密钥环境下多方秘密握手：防探测性，即在任意SH过程中，若敌手不是服务器的合法用户，那么该敌手无法确定本次过程中其他参与者是否为合法用户；不可关联性，非注册用户无法将同一个用户的两个并行SH实例进行关联，不能确定它们是否属于同一用户；防监听性，即任意敌手通过被动地监听SH的执行，仍不能确定该执行是否成功；服务器匿名性，即在任意一次用户间的SH过程中，服务器无法确定是哪些客户端用户具有参与行为。

附图说明

图1是本发明提出的短密钥环境下多方秘密握手方法的框图；

具体实施方式

本发明提供的短密钥环境下多方秘密握手方法包含以下六个阶段：用户匿名认证阶段、密钥种子发送阶段、服务器分发阶段、多方密钥交换阶段、会话密钥生成阶段、多方交互认证阶段。如图1所示，具体步骤如下：

一、开始并初始化；

二、用户匿名认证并生成面向服务器的会话密钥。

三、用户向服务器发送带认证的密钥种子。

四、服务器向用户发送带认证的密钥种子。

五、用户在信道上广播新计算的密钥种子。

六、各用户生成多方共享的会话密钥。

七、用户利用会话密钥完成交互认证。

在所述方法中，在用户在服务器上注册时，服务器依次为每个用户都分配一个序号并告知相应的用户。

在所述方法中，步骤二用户匿名认证阶段，首先，各用户任意选取两对Diffie-Hellman公私钥对，使用与服务器共享的短密钥加密其中一个的公钥，并连同未加密的那个一起发送给服务器。服务器收到该信息以后，依次使用所有的服务器上注册的短密钥，分别解密来自客户端的密文。对每个解密结果，服务器都随机选取不同的Diffie-Hellman私钥，进行加密从而完成Diffie-Hellman密钥交换并且生成临时密钥。接着，服务器再随机生成一个Diffie-Hellman公私钥对，一方面使用其中的私钥和来自用户的未加密的公钥生成用户-服务器会话密钥。另一方面，使用上述各临时密钥依次分别加密上述公私钥对中的公钥，将生成的所有密文依次返回给用户，并且将用到过的所有Diffie-Hellman公钥依次返回用户。用户在收到服务器的返回信息后，根据服务器分配给自己的序号，选取来自服务器的Diffie-Hellman公钥，完成Diffie-Hellman密钥交换并生成临时密钥，用该密钥对相应位置的密文进行解密，得到隐藏的Diffie-Hellman公钥，并使用发送给服务器的未加密公钥所对应的私钥完成Diffie-Hellman密钥交换并生成最终的用户-服务器会话密钥。

通过比较可以发现，本发明的技术方案与现有技术的主要区别在于，不依赖于公钥基础设施，不但实现了多方秘密握手，有效地保护了参与用户的包括身份和参与行为在内的隐私信息，还实现了安全的基于短密钥的密钥交换。

下面给出实施本发明中提出的方法的一种具体实例。

以一个具体的短密钥环境下多方秘密握手方案为例阐述一下本发明的具体实施方式。

设G是阶为q的素数阶循环群，g为G的生成元。设l_r为安全参数，而H₀，H₁和H₂是

的哈希函数，MAC_sk(…)是消息认证码，sk为消息认证码方案的密钥。Z_p是整数模p的域，其中p为素数。

设S是半可信的在线服务器，在服务器上注册的用户总数为m，{U₁，U₂，...，U_m}是所有用户的集合，对应的用户和服务器共享的短密钥的集合为{w₁，w₂，...，w_m}，其中下标为服务器分配给各个用户的序号。为叙述方便，假设参与当前密钥握手的用户是用户集合中的前k个用户{U₁，U₂，...，U_k}并且假设他们围成一个圈，即U_k的下一位是U₁。

关于该方案的详细描述如下所示。

初始化阶段：

在协议执行前，参与本次秘密握手的各个用户U_i协商确定各自在本次握手群组中序号，随机选取临时用的假名，然后相互交换它们。

一、用户匿名认证阶段：

1.参与本次握手的每个用户U_i选择随机数x_i，r_i∈Z_p，计算密钥种子

和

对Y_i进行加密得其中W_i＝H₀(w_i)，接着将X_i和M_i送给服务器S。

2.收到来自用户U_i的信息，服务器S选择随机数s_i∈Z_p和一组随机数k₁，k₂，...，k_m∈Z_p并且依次计算临时会话密钥

和

其中1≤l≤m，然后将T_i1，T_i2，...，T_im和

返回给用户Ui

3.在收到服务器返回的信息后，用户U_i计算出与服务器共享的临时会话密钥

二、密钥种子发送阶段：

在分别和服务器生成临时会话密钥后，每个客户端用户U_i选择随机数t_i作为指数，计算待用密钥种子

并且发送认证信息

给服务器S，其中sk_i用作消息认证码的密钥，在本例中，已假设参与握手的是用户集合中的前k个用户，所以i对应于U_i的下标，一般情况下并不一定对应。

三、服务器分发阶段：

对于每个1≤i≤k，在收到来自U_i+1和U_i-1的认证信息后，服务器S分别验证它们。如果这两个认证信息都合法，则服务器S返回给用U_i两个认证信息

${\mathrm{MacMsg}}_{i,i-1}=(z_{i-1},i-1,S,{\mathrm{MAC}}_{{\mathrm{sk}}_i}(z_{i-1};i-1;S))$

和 ${\mathrm{MacMsg}}_{i,i+1}=(z_{i+1},i+1,S,{\mathrm{MAC}}_{{\mathrm{sk}}_i}(z_{i-1};i+1;S)).$

四、多方密钥交换阶段：

每个用户U_i都检查来自服务器S的认证信息的合法性。若合法，则该用户U_i计算

和并且接着在信道上广播新的密钥种子Z_i＝D_i+1/D_i-1。

五、会话密钥生成阶段：

每个用户U_i都计算多方会话密钥

正常情况下，每个客户端用户U_i所得到的多方会话密钥都为

六、多方交互认证阶段：

每个用户U_i计算并广播认证码H₂(SK，i)，同时对来自其他用户的认证码进行验证，从而完成交互认证。

虽然通过参照本发明的优选实施例，已经对本发明进行了描述，但本领域的技术人员应该明白，可以在形式和细节上对其作各种改变，比如采用其他的加密体制替代Diffie-Hellman体制等等，都不偏离本发明的精神和范围。

Claims (3)

1.一种短密钥环境下多方秘密握手方法，其特征在于，包括以下步骤：

1)开始并初始化，用户随机选取当前值并随机选取临时用的假名；

2)用户匿名认证并生成与服务器共享的临时会话密钥，包括：准备进行多方秘密握手的客户端用户分别使用各自和服务器共享的短密钥，采用健忘传输和基于短密钥认证的密钥交换机制，向服务器匿名认证自己的组成员身份，若认证成功则生成与服务器共享的临时会话密钥；

3)用户向服务器发送带认证的密钥种子，包括：各个参与的客户端用户将自己随机生成的待用密钥种子，用消息认证码认证的方式发送给服务器，其中消息认证码使用的认证密钥是步骤2)所述的与服务器共享的临时会话密钥；

4)服务器向用户发送带认证的密钥种子，包括：服务器在收到来自客户端用户的带认证的密钥种子并认证通过后，依靠与各客户端用户共享的临时会话密钥作为认证密钥，采用消息认证码机制，重新认证来自各用户的密钥种子，并将重新认证的密钥种子分发给相应的其它客户端用户；

5)用户在信道上广播新计算的密钥种子，包括：a)各客户端用户在收到服务器端分发的其他对应用户的重新认证的密钥种子后，利用已与服务器共享的临时会话密钥来认证，b)认证通过，则利用收到的重新认证的密钥种子和步骤3)所述的待用密钥种子计算生成新的密钥种子，并在信道上广播该新的密钥种子；

6)各用户生成多方共享的会话密钥，包括：各个参与交互认证的用户收集各自所需的新的密钥种子，结合自己的待用密钥种子，生成最终的多方会话密钥；

7)用户利用步骤6)所生成的多方会话密钥完成交互认证。

2.根据权利要求1所述一种短密钥环境下多方秘密握手方法，其特征在于，步骤2)所述基于短密钥认证的密钥交换机制采用Diffie-Hellman加密体制。

3.根据权利要求1所述一种短密钥环境下多方秘密握手方法，其特征在于，所述步骤7)具体包括：各个参与用户依靠多方会话密钥，运用哈希函数方法生成并广播认证码，并对来自其他用户的认证码进行认证，从而完成交互认证。

Images