CN102035646B - 一种增强保护的混合密钥协商方法 - Google Patents

Abstract

一种增强保护的混合密钥协商方法属于信息安全领域。用于通信网络中两个节点之间共享密钥的协商。本发明在密钥协商发起阶段利用增强签密技术保护共享密钥生成元素，在密钥协商应答阶段利用对称密钥加密技术保护共享密钥生成元素，利用哈希函数实现密钥源的认证，以尽可能少的计算资源和通信资源为代价，换取密钥协商安全强度的增加，以解决基于签密技术的对称密钥协商方法安全强度的技术问题。

Description

一种增强保护的混合密钥协商方法

技术领域

本发明涉及密钥协商，具体是一种利用增强签密技术和对称密钥加密技术保护共享密钥生成元素，利用哈希函数实现密钥源认证的混合密钥协商方法，适合于通信网络中两个节点之间共享密钥的协商，属于信息安全领域。

背景技术

密钥协商协议被广泛应用于有线和无线的通信网络环境中，用以提供两个节点或者多个节点在事先没有任何秘密约定的条件下，在完全公开的信道上，建立双方或者多方共享密钥的方法。由W.Diffie和M.Hellman在1976年发明的密钥协商协议是最具有代表性的密钥协商协议(W.Diffie，M.E.Hellman，“New direction in cryptography，”IEEE Trans.，1976，22，644-654)，目前常用的密钥协商方法大都基于Diffie-Hellman密钥协商协议。Y.Zheng在1997年首次提出签密(Signcryption)概念，旨在一个操作步骤内同时完成加密和签名，同时计算复杂性和数据量远小于传统的先签名再加密机制(Y.Zheng，“Digitalsigncryption or how to achieve cost(signature&encryption)《cost(signature)+cost(encryption)，”Advance in Cryptology，LNCS，1997，1294，165-180)。Y.Zheng在1998年将签密技术应用于密钥协商，发明DKEUTS(Direct KeyExchange Using a Time-Stamp)密钥协商协议(Y.Zheng，“Shortened digitalsignature，signcryption and compact and unforgeable key agreement schemes，”IEEE P1363a：Standard Specifications for Public-Key Cryptography：AdditionalTechniques，1998)。

Y.Zheng发明的密钥协商协议DKEUTS是一种利用签密技术保护共享密钥生成元素的对称密钥协商方法，密钥协商的安全强度依赖于哈希函数的安全强度。目前虽然没有破解哈希函数的有效方法，但是，对于哈希函数缺陷的研究已经取得长足进步(X.Y.Wang，H.D.Yu，“How to break MD5and otherhash functions，”Advance in Cryptology，LNCS，2005，3494，19-35)。

发明内容

本发明的目的在于提供一种增强保护的混合密钥协商方法，用于通信网络中两个节点之间共享密钥的协商。本发明在密钥协商发起阶段利用增强签密技术保护共享密钥生成元素，在密钥协商应答阶段利用对称密钥加密技术保护共享密钥生成元素，利用哈希函数实现密钥源的认证，以尽可能少的计算资源和通信资源为代价，换取密钥协商安全强度的增加，以解决基于签密技术的对称密钥协商方法的安全强度的技术问题。

为实现上述目的，本发明采取以下技术方案：

整个技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

首先，在密钥协商发起阶段，密钥协商的发起者产生2个随机数x和v，随机数x用于产生共享密钥生成元素，随机数v用于密钥协商过程的安全保障，密钥协商的发起者将产生的随机数v与密钥协商的应答者的公钥结合产生临时加密密钥，密钥协商的发起者利用增强签密技术对密钥协商的发起者产生的共享密钥生成元素进行签密，并将签密密文消息发送给密钥协商的应答者；

然后，在密钥协商应答阶段，密钥协商的应答者利用密钥协商的发起者的公钥和密钥协商的应答者的私钥解签密密文消息，得到临时加密密钥和密钥协商的发起者产生的共享密钥生成元素，并验证共享密钥生成元素的有效性，如果共享密钥生成元素被验证无效，则密钥协商的应答者放弃接收到的签密密文消息，终止密钥协商过程，如果共享密钥生成元素被验证有效，则密钥协商的应答者利用密钥协商的应答者产生的共享密钥生成元素和密钥协商的发起者产生的共享密钥生成元素产生密钥协商的发起者和密钥协商的应答者之间的共享密钥，利用哈希函数将共享密钥与密钥协商的发起者的标识、密钥协商的应答者的标识和保持消息新鲜性的新鲜值相结合产生密钥源认证消息，利用对称密钥加密技术对密钥协商的应答者产生的共享密钥生成元素和密钥源认证消息进行加密，并将加密密文消息发送给密钥协商的发起者；

最后，在密钥确认阶段，密钥协商的发起者利用临时加密密钥解密密文消息，得到密钥协商的应答者产生的共享密钥生成元素和密钥源认证消息，密钥协商的发起者利用密钥协商的发起者产生的共享密钥生成元素和密钥协商的应答者产生的共享密钥生成元素产生密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者利用密钥源认证消息验证共享密钥的有效性，如果共享密钥被验证无效，则密钥协商的发起者放弃接收到的加密密文消息，终止密钥协商过程，如果共享密钥被验证有效，则密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥，密钥协商的发起者利用共享密钥将密钥协商的发起者的标识、密钥协商的应答者的标识和保持消息新鲜性的新鲜值相结合产生密钥确认消息，并将密钥确认消息发送给密钥协商的应答者，密钥协商的应答者利用共享密钥解密密钥确认消息，验证密钥确认消息的有效性，如果密钥确认消息被验证有效，则密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥，如果密钥确认消息被验证无效，则密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥。

本发明技术方案可以是基于离散对数签密技术的技术方案和基于椭圆曲线签密技术的技术方案。

基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

a1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

a1.1密钥协商的发起者随机选择整数x和v，满足x，v∈[1，…，q-1]；

整数x和v是取自乘法群

的随机数，q是p-1的素因子，p是一个大素数；

a1.2密钥协商的发起者计算临时加密密钥

和临时公钥R＝g^v mod p；

hash是强无碰撞的单向哈希函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，q-1]，密钥协商的应答者相应的公钥

g是乘法群

中的一个q阶元素，p是一个大素数，mod是代数模运算；

a1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素g^x，得到c＝E_k(g^x，ID_a，ID_b，TQ_a)；

E_k是采用密钥k的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a1.4密钥协商的发起者计算签名r＝hash(g^x，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))mod q；

密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，q-1]，密钥协商的发起者相应的公钥

a1.5密钥协商的发起者发送签密密文消息{c，R，s}给密钥协商的应答者；

a2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

a2.1密钥协商的应答者利用{R，p，x_b}恢复临时加密密钥

a2.2密钥协商的应答者利用临时加密密钥k解密密文消息c，得到(g^x，ID_a，ID_b，TQ_a)＝D_k(c)；

D_k是采用密钥k的对称密钥解密算法，与采用密钥k的对称密钥加密算法E_k相对应；

a2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(g^x，ID_a，ID_b，TQ_a)的计算结果r满足

则密钥协商的应答者接受g^x作为密钥协商的发起者产生的共享密钥生成元素，继续步骤a2.4，否则，密钥协商的应答者放弃签密密文消息{c，R，s}，终止密钥协商过程；

a2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；

a2.5密钥协商的应答者计算密钥源认证消息r^*＝hash(g^y，ID_b，ID_a，TQ_b，σ)；

TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

a2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素g^y和密钥源认证消息r^*，得到加密密文c^*＝E_k(g^y，ID_b，ID_a，TQ_b，r^*)；

a2.7密钥协商的应答者发送加密密文消息{c^*}给密钥协商的发起者；

a3密钥确认阶段

密钥确认阶段包括以下具体步骤：

a3.1密钥协商的发起者利用临时加密密钥k解密密文消息c^*，得到(g^y，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；

a3.2密钥协商的发起者计算共享密钥σ^*＝(g^y)^x；

a3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(g^y，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则密钥协商的发起者接受σ^*＝(g^y)^x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝(g^y)^x，继续步骤a3.4，否则，密钥协商的发起者放弃加密密文消息{c^*}，终止密钥协商过程；

a3.4密钥协商的发起者利用共享密钥σ^*＝(g^y)^x产生密钥确认消息

将密钥确认消息{u}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法

相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a3.5密钥协商的应答者利用共享密钥σ＝(g^x)^y解密密钥确认消息u，得到(ID_a，DI_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。

基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

b1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

b1.1密钥协商的发起者随机选择整数x和v，满足x，v∈[1，…，n-1]；整数x和v是取自乘法群

的随机数，n是一个大素数，n的安全长度约等于|p|，p是一个大素数，满足p＞2¹⁶⁰；

b1.2密钥协商的发起者计算临时加密密钥k＝hash((vP_b)modp)和临时公钥R＝(vG)modp；

hash是强无碰撞的单向哈希函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，n-1]，密钥协商的应答者相应的公钥P_b＝(x_bG)modp，G是有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点，有限域F_p＝[0，…，p-1]上的椭圆曲线E是满足E：y²≡(x³+ax+b)modp的所有解与无穷远点O的并集，椭圆曲线方程参数a和b满足a，b∈F_p且

n是基点G在椭圆曲线E上的一个素数阶，x_bG＝x_b·G，vP_b＝v·P_b，vG＝v·G，x_bG、vP_b和vG是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，mod是代数模运算；

b1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素xG，得到c＝E_k(xG，ID_a，ID_b，TQ_a)；

E_k是采用密钥k的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号，xG＝x·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.4密钥协商的发起者计算签名r＝hash(xG，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))modn；

密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，n-1]，密钥协商的发起者相应的公钥P_a＝(x_aG)modp，x_aG＝x_a·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.5密钥协商的发起者发送签密密文消息{c，R，s}给密钥协商的应答者；

b2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

b2.1密钥协商的应答者利用{R，p，x_b}恢复临时加密密钥k＝hash((x_bR)modp)；

x_bR＝x_b·R＝x_b·v·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.2密钥协商的应答者利用临时加密密钥k解密密文消息c，得到(xG，ID_a，ID_b，TQ_a)＝D_k(c)；

D_k是采用密钥k的对称密钥解密算法，与采用密钥k的对称密钥加密算法E_k相对应；

b2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(xG，ID_a，ID_b，TQ_a)的计算结果r满足srG+sP_a＝R，则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素，继续步骤b2.4，否则，密钥协商的应答者放弃签密密文消息{c，R，s}，终止密钥协商过程；

srG＝s·r·G，sP_a＝s·P_a，srG和sP_a是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y(xG)；

y(xG)＝y·(x·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.5密钥协商的应答者计算密钥源认证消息r^*＝hash(yG，ID_b，ID_a，TQ_b，σ)；

yG＝y·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

b2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素yG和密钥源认证消息r^*，得到加密密文c^*＝E_k(yG，ID_b，ID_a，TQ_b，r^*)；

b2.7密钥协商的应答者发送加密密文消息{c^*}给密钥协商的发起者；

b3密钥确认阶段

密钥确认阶段包括以下具体步骤：

b3.1密钥协商的发起者利用临时加密密钥k解密密文消息c^*，得到(yG，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；

b3.2密钥协商的发起者计算共享密钥σ^*＝x(yG)；

x(yG)＝x·(y·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(yG，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则密钥协商的发起者接受σ^*＝x(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝x(yG)，继续步骤b3.4，否则，密钥协商的发起者放弃加密密文消息{c^*}，终止密钥协商过程；

b3.4密钥协商的发起者利用共享密钥σ^*＝x(yG)产生密钥确认消息

将密钥确认消息{u}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法

相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

b3.5密钥协商的应答者利用共享密钥σ＝y(xG)解密密钥确认消息u，得到(ID_a，ID_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。

本发明提出的一种增强保护的混合密钥协商方法，在密钥协商发起阶段利用增强签密技术保护共享密钥生成元素，使密钥协商的安全强度不再依赖于哈希函数的安全强度，而是依赖于有限域上离散对数的求解困难问题或者是依赖于有限域上椭圆曲线离散对数的求解困难问题，在密钥协商应答阶段利用对称密钥加密技术保护共享密钥生成元素，利用哈希函数实现密钥源的认证，从而充分利用哈希函数较传统数字签名技术需要计算资源少的特点，以尽可能少的计算资源和通信资源为代价，解决了基于签密技术的对称密钥协商方法的安全强度的技术问题。

具体实施方式

本发明基于Diffie-Hellman密钥协商协议，采用增强签密技术和对称密钥加密技术保护共享密钥生成元素，采用哈希函数实现密钥源的认证。本发明以尽可能少的计算资源和通信资源为代价，换取密钥协商安全强度的增加。

实施例1

本发明实施例1与本发明基于离散对数签密技术的技术方案相对应。通信双方是通信网络中的节点A和节点B，节点A是密钥协商的发起者，节点B是密钥协商的应答者，在执行密钥协商之前，系统参数已经正确建立，通信双方已经拥有对方的正确公钥和有效标识。

系统参数描述如下：

p：一个大素数；

q：p-1的素因子；

g：乘法群

中的一个q阶元素；

hash：强无碰撞的单向哈希函数，安全长度至少128位；

(E_k，D_k)：利用密钥k的对称密钥加密算法和解密算法；

ID_a：节点A的标识；

ID_b：节点B的标识；

x_a：节点A的私钥，满足x_a∈[1，…，q-1]；

y_a：节点A的公钥，满足

x_b：节点B的私钥，满足x_b∈[1，…，q-1]；

y_b：节点B的公钥，满足

TQ_a和TQ′_a：节点A采用的保持消息新鲜性的新鲜值；

TQ_b：节点B采用的保持消息新鲜性的新鲜值；

mod：代数模运算；

实施例1包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

pa1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

pa1.1节点A随机选择整数x和v，满足x，v∈[1，…，q-1]；

pa1.2节点A计算临时加密密钥

和临时公钥R＝g^vmodp；

pa1.3节点A利用临时加密密钥k加密共享密钥生成元素g^x，得到c＝E_k(g^x，ID_a，ID_b，TQ_a)；

pa1.4节点A计算签名r＝hash(g^x，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))modq；

pa1.5节点A发送签密密文消息{c，R，s}给节点B；

pa2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

pa2.1节点B利用{R，p，x_b}恢复临时加密密钥

pa2.2节点B利用临时加密密钥k解密密文消息c，得到(g^x，ID_a，ID_b，TQ_a)＝D_k(c)；

pa2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(g^x，ID_a，ID_b，TQ_a)的计算结果r满足

则节点B接受g^x作为节点A产生的共享密钥生成元素，继续步骤pa2.4，否则，节点B放弃签密密文消息{c，R，s}，终止密钥协商过程；

pa2.4节点B随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；

pa2.5节点B计算密钥源认证消息r^*＝hash(g^y，ID_b，ID_a，TQ_b，σ)；

pa2.6节点B利用临时加密密钥k加密共享密钥生成元素g^y和密钥源认证消息r^*，得到加密密文c^*＝E_k(g^y，ID_b，ID_a，TQ_b，r^*)；

pa2.7节点B发送加密密文消息{c^*}给节点A；

pa3密钥确认阶段

密钥确认阶段包括以下具体步骤：

pa3.1节点A利用临时加密密钥k解密密文消息c^*，得到(g^y，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；

pa3.2节点A计算共享密钥σ^*＝(g^y)^x；

pa3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(g^y，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则节点A接受σ^*＝(g^y)^x作为节点A和节点B之间的共享密钥，节点A确信节点B已经拥有和节点A之间的共享密钥σ^*＝(g^y)^x，继续步骤pa3.4，否则，节点A放弃加密密文消息{c^*}，终止密钥协商过程；

pa3.4节点A利用共享密钥σ^*＝(g^y)^x产生密钥确认消息

将密钥确认消息{u}发送给节点B；

pa3.5节点B利用共享密钥σ＝(g^x)^y解密密钥确认消息u，得到(ID_a，ID_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，节点B确信节点A已经拥有和节点B之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，节点B无法确认节点A是否已经拥有和节点B之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*。

实施例2

本发明实施例2与本发明基于椭圆曲线签密技术的技术方案相对应。通信双方是通信网络中的节点A和节点B，节点A是密钥协商的发起者，节点B是密钥协商的应答者，在执行密钥协商之前，系统参数已经正确建立，通信双方已经拥有对方的正确公钥和有效标识。

系统参数描述如下：

p：一个大素数，满足p＞2¹⁶⁰；

F_p：有限域F_p＝[0，…，p-1]；

E：有限域F_p＝[0，…，p-1]上的椭圆曲线，满足E：y²≡(x³+ax+b)modp；

a和b：椭圆曲线方程参数，满足a，b∈F_p且

G：有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点；

n：基点G在椭圆曲线E上的一个素数阶；

hash：强无碰撞的单向哈希函数，安全长度至少128位；

(E_k，D_k)：利用密钥k的对称密钥加密算法和解密算法；

ID_a：节点A的标识；

ID_b：节点B的标识；

x_a：节点A的私钥，满足x_a∈[1，…，n-1]；

P_a：节点A的公钥，满足P_a＝(x_aG)modp，有限域F_p上椭圆曲线E的一个点；

x_b：节点B的私钥，满足x_b∈[1，…，n-1]；

P_b：节点B的公钥，满足P_b＝(x_bG)modp，有限域F_p上椭圆曲线E的一个点；

TQ_a和TQ′_a：节点A采用的保持消息新鲜性的新鲜值；

TQ_b：节点B采用的保持消息新鲜性的新鲜值；

mod：代数模运算；

实施例2包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

pb1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

pb1.1节点A随机选择整数x和v，满足x，v∈[1，…，n-1]；

pb1.2节点A计算临时加密密钥k＝hash((vP_b)modp)和临时公钥R＝(vG)modp；

pb1.3节点A利用临时加密密钥k加密共享密钥生成元素xG，得到c＝E_k(xG，ID_a，ID_b，TQ_a)；

pb1.4节点A计算签名r＝hash(xG，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))modn；

pb1.5节点A发送签密密文消息{c，R，s}给节点B；

pb2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

pb2.1节点B利用{R，p，x_b}恢复临时加密密钥k＝hash((x_bR)modp)；

pb2.2节点B利用临时加密密钥k解密密文消息c，得到(xG，ID_a，ID_b，TQ_a)＝D_k(c)；

pb2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(xG，ID_a，ID_b，TQ_a)的计算结果r满足srG+sP_a＝R，则节点B接受xG作为节点A产生的共享密钥生成元素，继续步骤pb2.4，否则，节点B放弃签密密文消息{c，R，s}，终止密钥协商过程；

pb2.4节点B随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y(xG)；

pb2.5节点B计算密钥源认证消息r^*＝hash(yG，ID_b，ID_a，TQ_b，σ)；

pb2.6节点B利用临时加密密钥k加密共享密钥生成元素yG和密钥源认证消息r^*，得到加密密文c^*＝E_k(yG，ID_b，ID_a，TQ_b，r^*)；

pb2.7节点B发送加密密文消息{c^*}给节点A；

pb3密钥确认阶段

密钥确认阶段包括以下具体步骤：

pb3.1节点A利用临时加密密钥k解密加密密文消息c^*，得到(yG，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；

pb3.2节点A计算共享密钥σ^*＝x(yG)；

pb3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(yG，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则节点A接受σ^*＝x(yG)作为节点A和节点B之间的共享密钥，节点A确信节点B已经拥有和节点A之间的共享密钥σ^*＝x(yG)，继续步骤pb3.4，否则，节点A放弃加密密文消息{c^*}，终止密钥协商过程；

pb3.4节点A利用共享密钥σ^*＝x(yG)产生密钥确认消息

将密钥确认消息{u}发送给节点B；

pb3.5节点B利用共享密钥σ＝y(xG)解密密钥确认消息u，得到(ID_a，ID_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，节点B确信节点A已经拥有和节点B之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*，否则，节点B无法确认节点A是否已经拥有和节点B之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*。

本发明实施例1和实施例2的计算代价和通信代价如表1和表2所示。为讨论问题的方便，我们假设在基于离散对数签密技术的技术方案中，

$\left|\mathrm{hash}(.)\right|\≈\left|\mathrm{KH}(.)\right|\≈\frac{1}{2}\left|q\right|,\left|q\right|\≈\frac{1}{3}\left|p\right|$

即哈希函数的安全长度|hash(·)|和带密钥哈希函数的安全长度|KH(·)|约等于q的安全长度|q|的一半，q的安全长度|q|约等于p的安全长度|p|的1/3，在基于椭圆曲线签密技术的技术方案中，

$\left|\mathrm{hash}(.)\right|\≈\left|\mathrm{KH}(.)\right|\≈\frac{1}{2}\left|n\right|,\left|n\right|\≈\left|p\right|$

即哈希函数的安全长度|hash(·)|和带密钥哈希函数的安全长度|KH(·)|约等于n的安全长度|n|的一半，n的安全长度|n|约等于p的安全长度|p|。

本发明实施例1和实施例2与扩展应用离散对数签密技术和椭圆曲线签密技术的DKEUTS方法进行比较。依据表1中消耗计算资源最多的幂指数模运算和椭圆曲线点乘运算的统计结果，本发明实施例1在计算代价上较DKEUTS方法多用了

$\frac{(9-8)\mathrm{mod}\mathrm{ulo\; exp\; onentiation}}{8\mathrm{mod}\mathrm{ulo\; exp\; onentiation}}=\frac{9-8}{8}=12.5\%$

modulo exp onentiation表示幂指数模运算，本发明实施例2在计算代价上较DKEUTS方法多用了

$\frac{(9-8)\mathrm{point\; multiplica\; tive}}{8\mathrm{point\; multiplica\; tive}}=\frac{9-8}{8}=12.5\%$

point multiplicative表示有限域上椭圆曲线的点乘运算。本发明实施例1在通信代价上较DKEUTS多用了

$\frac{\left(\right|p|+|q|+|\mathrm{hash}(.)\left|\right)-\left(2\right|\mathrm{KH}(.)|+2|q\left|\right)}{2\left|\mathrm{KH}(.)\right|+2\left|q\right|}=50\%$

本发明实施例2在通信代价上较DKEUTS节省了

$\frac{\left(2\right|\mathrm{KH}(.)|+2|n|)-\left(\right|p|+|n|+|\mathrm{hash}(.)\left|\right)}{2\left|\mathrm{KH}(.)\right|+2\left|n\right|}=16.7\%$

由以上讨论可知，在基于椭圆曲线签密技术的技术方案中，本发明实施例2在通信代价上较DKEUTS方法节省了16.7％，同时以较少的计算代价12.5％换取密钥协商安全强度的增加。在基于离散对数签密技术的技术方案中，本发明实施例1以计算代价12.5％和较多的通信代价50％换取密钥协商安全强度的增加。

本发明为密钥协商提供了一种选择。当需要较高安全强度的密钥协商方法时，可以选择使用本发明的基于离散对数签密技术的技术方案和基于椭圆曲线签密技术的技术方案，当需要较高效率的密钥协商方法时，可以选择使用本发明的基于椭圆曲线签密技术的技术方案和DKEUTS方法。

表1计算代价和通信代价统计

表2计算代价和通信代价符号说明

符号	说明
		EXP	幂指数模运算次数
HASH	哈希函数和带密钥哈希函数运算次数
		ENC/DE	对称密钥加密运算和解密运算次数
ADD	模加运算次数
		INV	模逆运算次数
MUL	模乘运算次数
		PMUL	有限域椭圆曲线点乘运算次数
PADD	有限域椭圆曲线点加运算次数
		|KH(·)|	带密钥哈希函数的安全长度
|hash(·)|	哈希函数的安全长度
		|q|	q的安全长度
|n|	n的安全长度
		|p|	p的安全长度

Claims (1)

1.一种增强保护的混合密钥协商方法，其特征在于，该方法是基于离散对数签密技术的技术方案或者基于椭圆曲线签密技术的技术方案；

基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；

a1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

a1.1密钥协商的发起者随机选择整数x和v，满足x，v∈[1，…，q-1]；整数x和v是取自乘法群

的随机数，q是p-1的素因子，p是一个大素数；

a1.2密钥协商的发起者计算临时加密密钥

和临时公钥R＝g^vmodp；

hash是强无碰撞的单向哈希函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，q-1]，密钥协商的应答者相应的公钥

g是乘法群

中的一个q阶元素，p是一个大素数，mod是代数模运算；

a1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素g^x，得到c＝E_k(g^x，ID_a，ID_b，TQ_a)；

E_k是采用密钥k的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a1.4密钥协商的发起者计算签名r＝hash(g^x，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))modq；

密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，q-1]，密钥协商的发起者相应的公钥

a1.5密钥协商的发起者发送签密密文消息{c，R，s}给密钥协商的应答者；

a2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

a2.1密钥协商的应答者利用{R，p，x_b}恢复临时加密密钥

a2.2密钥协商的应答者利用临时加密密钥k解密密文消息c，得到(g^x，ID_a，ID_b，TQ_a)＝D_k(c)；

D_k是采用密钥k的对称密钥解密算法，与采用密钥k的对称密钥加密算法E_k相对应；

a2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(g^x，ID_a，ID_b，TQ_a)的计算结果r满足

则密钥协商的应答者接受g^x作为密钥协商的发起者产生的共享密钥生成元素，继续步骤a2.4，否则，密钥协商的应答者放弃签密密文消息{c，R，s}，终止密钥协商过程；

a2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；

a2.5密钥协商的应答者计算密钥源认证消息r^*＝hash(g^y，ID_b，ID_a，TQ_b，σ)；

TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

a2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素g^y和密钥源认证消息r^*，得到加密密文c^*＝E_k(g^y，ID_b，ID_a，TQ_b，r^*)；

a2.7密钥协商的应答者发送加密密文消息{c^*}给密钥协商的发起者；

a3密钥确认阶段

密钥确认阶段包括以下具体步骤：

a3.1密钥协商的发起者利用临时加密密钥k解密密文消息c^*，得到(g^y，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；

a3.2密钥协商的发起者计算共享密钥σ^*＝(g^y)^x；

a3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(g^y，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则密钥协商的发起者接受σ^*＝(g^y)^x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝(g^y)^x，继续步骤a3.4，否则，密钥协商的发起者放弃加密密文消息{c^*}，终止密钥协商过程；

a3.4密钥协商的发起者利用共享密钥σ^*＝(g^y)^x产生密钥确认消息将密钥确认消息{u}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法

相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a3.5密钥协商的应答者利用共享密钥σ＝(g^x)^y解密密钥确认消息u，得到(ID_a，ID_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应；

基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；

b1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

b1.1密钥协商的发起者随机选择整数x和v，满足x，v∈[1，…，n-1]；整数x和v是取自乘法群

的随机数，n是一个大素数，n的安全长度约等于|p|，p是一个大素数，满足p＞2¹⁶⁰；

b1.2密钥协商的发起者计算临时加密密钥k＝hash((vP_b)modp)和临时公钥R＝(vG)modp；

hash是强无碰撞的单向哈希函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，n-1]，密钥协商的应答者相应的公钥P_b＝(x_bG)modp，G是有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点，有限域F_p＝[0，…，p-1]上的椭圆曲线E是满足E：y²≡(x³+ax+b)modp的所有解与无穷远点O的并集，椭圆曲线方程参数a和b满足a，b∈F_p且

n是基点G在椭圆曲线E上的一个素数阶，x_bG＝x_b·G，vP_b＝v·P_b，vG＝v·G，x_bG、vP_b和vG是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，mod是代数模运算；

b1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素xG，得到c＝E_k(xG，ID_a，ID_b，TQ_a)；

E_k是采用密钥k的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号，xG＝x·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.4密钥协商的发起者计算签名r＝hash(xG，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))modn；

密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，n-1]，密钥协商的发起者相应的公钥P_a＝(x_aG)modp，x_aG＝x_a·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.5密钥协商的发起者发送签密密文消息{c，R，s}给密钥协商的应答者；

b2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

b2.1密钥协商的应答者利用{R，p，x_b}恢复临时加密密钥k＝hash((x_bR)modp)；

x_bR＝x_b·R＝x_b·v·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.2密钥协商的应答者利用临时加密密钥k解密密文消息c，得到(xG，ID_a，ID_b，TQ_a)＝D_k(c)；

D_k是采用密钥k的对称密钥解密算法，与采用密钥k的对称密钥加密算法E_k相对应；

b2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(xG，ID_a，ID_b，TQ_a)的计算结果r满足srG+sP_a＝R，则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素，继续步骤b2.4，否则，密钥协商的应答者放弃签密密文消息{c，R，s}，终止密钥协商过程；

srG＝s·r·G，sP_a＝s·P_a，srG和sP_a是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y(xG)；

y(xG)＝y·(x·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.5密钥协商的应答者计算密钥源认证消息r^*＝hash(yG，ID_b，ID_a，TQ_b，σ)；

yG＝y·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

b2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素yG和密钥源认证消息r^*，得到加密密文c^*＝E_k(yG，ID_b，ID_a，TQ_b，r^*)；

b2.7密钥协商的应答者发送加密密文消息{c^*}给密钥协商的发起者；

b3密钥确认阶段

密钥确认阶段包括以下具体步骤：

b3.1密钥协商的发起者利用临时加密密钥k解密密文消息c^*，得到(yG，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；

b3.2密钥协商的发起者计算共享密钥σ^*＝x(yG)；

x(yG)＝x·(y·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(yG，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则密钥协商的发起者接受σ^*＝x(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝x(yG)，继续步骤b3.4，否则，密钥协商的发起者放弃加密密文消息{c^*}，终止密钥协商过程；

b3.4密钥协商的发起者利用共享密钥σ^*＝x(yG)产生密钥确认消息

将密钥确认消息{u}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法

相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

b3.5密钥协商的应答者利用共享密钥σ＝y(xG)解密密钥确认消息u，得到(ID_a，ID_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。