CN102035646B - 一种增强保护的混合密钥协商方法 - Google Patents
一种增强保护的混合密钥协商方法 Download PDFInfo
- Publication number
- CN102035646B CN102035646B CN 201010606230 CN201010606230A CN102035646B CN 102035646 B CN102035646 B CN 102035646B CN 201010606230 CN201010606230 CN 201010606230 CN 201010606230 A CN201010606230 A CN 201010606230A CN 102035646 B CN102035646 B CN 102035646B
- Authority
- CN
- China
- Prior art keywords
- key
- key agreement
- agreement
- promoter
- respondent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种增强保护的混合密钥协商方法属于信息安全领域。用于通信网络中两个节点之间共享密钥的协商。本发明在密钥协商发起阶段利用增强签密技术保护共享密钥生成元素,在密钥协商应答阶段利用对称密钥加密技术保护共享密钥生成元素,利用哈希函数实现密钥源的认证,以尽可能少的计算资源和通信资源为代价,换取密钥协商安全强度的增加,以解决基于签密技术的对称密钥协商方法安全强度的技术问题。
Description
技术领域
本发明涉及密钥协商,具体是一种利用增强签密技术和对称密钥加密技术保护共享密钥生成元素,利用哈希函数实现密钥源认证的混合密钥协商方法,适合于通信网络中两个节点之间共享密钥的协商,属于信息安全领域。
背景技术
密钥协商协议被广泛应用于有线和无线的通信网络环境中,用以提供两个节点或者多个节点在事先没有任何秘密约定的条件下,在完全公开的信道上,建立双方或者多方共享密钥的方法。由W.Diffie和M.Hellman在1976年发明的密钥协商协议是最具有代表性的密钥协商协议(W.Diffie,M.E.Hellman,“New direction in cryptography,”IEEE Trans.,1976,22,644-654),目前常用的密钥协商方法大都基于Diffie-Hellman密钥协商协议。Y.Zheng在1997年首次提出签密(Signcryption)概念,旨在一个操作步骤内同时完成加密和签名,同时计算复杂性和数据量远小于传统的先签名再加密机制(Y.Zheng,“Digitalsigncryption or how to achieve cost(signature&encryption)《cost(signature)+cost(encryption),”Advance in Cryptology,LNCS,1997,1294,165-180)。Y.Zheng在1998年将签密技术应用于密钥协商,发明DKEUTS(Direct KeyExchange Using a Time-Stamp)密钥协商协议(Y.Zheng,“Shortened digitalsignature,signcryption and compact and unforgeable key agreement schemes,”IEEE P1363a:Standard Specifications for Public-Key Cryptography:AdditionalTechniques,1998)。
Y.Zheng发明的密钥协商协议DKEUTS是一种利用签密技术保护共享密钥生成元素的对称密钥协商方法,密钥协商的安全强度依赖于哈希函数的安全强度。目前虽然没有破解哈希函数的有效方法,但是,对于哈希函数缺陷的研究已经取得长足进步(X.Y.Wang,H.D.Yu,“How to break MD5and otherhash functions,”Advance in Cryptology,LNCS,2005,3494,19-35)。
发明内容
本发明的目的在于提供一种增强保护的混合密钥协商方法,用于通信网络中两个节点之间共享密钥的协商。本发明在密钥协商发起阶段利用增强签密技术保护共享密钥生成元素,在密钥协商应答阶段利用对称密钥加密技术保护共享密钥生成元素,利用哈希函数实现密钥源的认证,以尽可能少的计算资源和通信资源为代价,换取密钥协商安全强度的增加,以解决基于签密技术的对称密钥协商方法的安全强度的技术问题。
为实现上述目的,本发明采取以下技术方案:
整个技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。
首先,在密钥协商发起阶段,密钥协商的发起者产生2个随机数x和v,随机数x用于产生共享密钥生成元素,随机数v用于密钥协商过程的安全保障,密钥协商的发起者将产生的随机数v与密钥协商的应答者的公钥结合产生临时加密密钥,密钥协商的发起者利用增强签密技术对密钥协商的发起者产生的共享密钥生成元素进行签密,并将签密密文消息发送给密钥协商的应答者;
然后,在密钥协商应答阶段,密钥协商的应答者利用密钥协商的发起者的公钥和密钥协商的应答者的私钥解签密密文消息,得到临时加密密钥和密钥协商的发起者产生的共享密钥生成元素,并验证共享密钥生成元素的有效性,如果共享密钥生成元素被验证无效,则密钥协商的应答者放弃接收到的签密密文消息,终止密钥协商过程,如果共享密钥生成元素被验证有效,则密钥协商的应答者利用密钥协商的应答者产生的共享密钥生成元素和密钥协商的发起者产生的共享密钥生成元素产生密钥协商的发起者和密钥协商的应答者之间的共享密钥,利用哈希函数将共享密钥与密钥协商的发起者的标识、密钥协商的应答者的标识和保持消息新鲜性的新鲜值相结合产生密钥源认证消息,利用对称密钥加密技术对密钥协商的应答者产生的共享密钥生成元素和密钥源认证消息进行加密,并将加密密文消息发送给密钥协商的发起者;
最后,在密钥确认阶段,密钥协商的发起者利用临时加密密钥解密密文消息,得到密钥协商的应答者产生的共享密钥生成元素和密钥源认证消息,密钥协商的发起者利用密钥协商的发起者产生的共享密钥生成元素和密钥协商的应答者产生的共享密钥生成元素产生密钥协商的发起者和密钥协商的应答者之间的共享密钥,密钥协商的发起者利用密钥源认证消息验证共享密钥的有效性,如果共享密钥被验证无效,则密钥协商的发起者放弃接收到的加密密文消息,终止密钥协商过程,如果共享密钥被验证有效,则密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥,密钥协商的发起者利用共享密钥将密钥协商的发起者的标识、密钥协商的应答者的标识和保持消息新鲜性的新鲜值相结合产生密钥确认消息,并将密钥确认消息发送给密钥协商的应答者,密钥协商的应答者利用共享密钥解密密钥确认消息,验证密钥确认消息的有效性,如果密钥确认消息被验证有效,则密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥,如果密钥确认消息被验证无效,则密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥。
本发明技术方案可以是基于离散对数签密技术的技术方案和基于椭圆曲线签密技术的技术方案。
基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。
a1密钥协商发起阶段
密钥协商发起阶段包括以下具体步骤:
a1.1密钥协商的发起者随机选择整数x和v,满足x,v∈[1,…,q-1];
a1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素gx,得到c=Ek(gx,IDa,IDb,TQa);
Ek是采用密钥k的对称密钥加密算法,IDa是密钥协商的发起者的标识,IDb是密钥协商的应答者的标识,TQa是密钥协商的发起者采用的保持消息新鲜性的新鲜值,TQa是一个时间戳,或者是一个随机数,或者是一个序列号;
a1.4密钥协商的发起者计算签名r=hash(gx,IDa,IDb,TQa)和s=(v/(r+xa))mod q;
a1.5密钥协商的发起者发送签密密文消息{c,R,s}给密钥协商的应答者;
a2密钥协商应答阶段
密钥协商应答阶段包括以下具体步骤:
a2.2密钥协商的应答者利用临时加密密钥k解密密文消息c,得到(gx,IDa,IDb,TQa)=Dk(c);
Dk是采用密钥k的对称密钥解密算法,与采用密钥k的对称密钥加密算法Ek相对应;
a2.3如果TQa是新鲜的,IDa和IDb是有效的,并且hash(gx,IDa,IDb,TQa)的计算结果r满足则密钥协商的应答者接受gx作为密钥协商的发起者产生的共享密钥生成元素,继续步骤a2.4,否则,密钥协商的应答者放弃签密密文消息{c,R,s},终止密钥协商过程;
a2.4密钥协商的应答者随机选择整数y,满足y∈[1,…,q-1],计算共享密钥σ=(gx)y;
a2.5密钥协商的应答者计算密钥源认证消息r*=hash(gy,IDb,IDa,TQb,σ);
TQb是密钥协商的应答者采用的保持消息新鲜性的新鲜值,TQb是一个时间戳,或者是一个随机数,或者是一个序列号;
a2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素gy和密钥源认证消息r*,得到加密密文c*=Ek(gy,IDb,IDa,TQb,r*);
a2.7密钥协商的应答者发送加密密文消息{c*}给密钥协商的发起者;
a3密钥确认阶段
密钥确认阶段包括以下具体步骤:
a3.1密钥协商的发起者利用临时加密密钥k解密密文消息c*,得到(gy,IDb,IDa,TQb,r*)=Dk(c*);
a3.2密钥协商的发起者计算共享密钥σ*=(gy)x;
a3.3如果TQb是新鲜的,IDa和IDb是有效的,并且hash(gy,IDb,IDa,TQb,σ*)的计算结果等于r*,则密钥协商的发起者接受σ*=(gy)x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥,密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ*=(gy)x,继续步骤a3.4,否则,密钥协商的发起者放弃加密密文消息{c*},终止密钥协商过程;
a3.5密钥协商的应答者利用共享密钥σ=(gx)y解密密钥确认消息u,得到(IDa,DIb,TQ′a)=Dσ(u),如果TQ′a是新鲜的,IDa和IDb是有效的,密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ=(gx)y=(gy)x=σ*,否则,密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ=(gx)y=(gy)x=σ*;
Dσ是采用密钥σ的对称密钥解密算法,与采用密钥σ的对称密钥加密算法Eσ相对应。
基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。
b1密钥协商发起阶段
密钥协商发起阶段包括以下具体步骤:
b1.2密钥协商的发起者计算临时加密密钥k=hash((vPb)modp)和临时公钥R=(vG)modp;
hash是强无碰撞的单向哈希函数,密钥协商的应答者的私钥为xb,满足xb∈[1,…,n-1],密钥协商的应答者相应的公钥Pb=(xbG)modp,G是有限域Fp=[0,…,p-1]上椭圆曲线E的一个基点,有限域Fp=[0,…,p-1]上的椭圆曲线E是满足E:y2≡(x3+ax+b)modp的所有解与无穷远点O的并集,椭圆曲线方程参数a和b满足a,b∈Fp且n是基点G在椭圆曲线E上的一个素数阶,xbG=xb·G,vPb=v·Pb,vG=v·G,xbG、vPb和vG是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘,mod是代数模运算;
b1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素xG,得到c=Ek(xG,IDa,IDb,TQa);
Ek是采用密钥k的对称密钥加密算法,IDa是密钥协商的发起者的标识,IDb是密钥协商的应答者的标识,TQa是密钥协商的发起者采用的保持消息新鲜性的新鲜值,TQa是一个时间戳,或者是一个随机数,或者是一个序列号,xG=x·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b1.4密钥协商的发起者计算签名r=hash(xG,IDa,IDb,TQa)和s=(v/(r+xa))modn;
密钥协商的发起者的私钥为xa,满足xa∈[1,…,n-1],密钥协商的发起者相应的公钥Pa=(xaG)modp,xaG=xa·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b1.5密钥协商的发起者发送签密密文消息{c,R,s}给密钥协商的应答者;
b2密钥协商应答阶段
密钥协商应答阶段包括以下具体步骤:
b2.1密钥协商的应答者利用{R,p,xb}恢复临时加密密钥k=hash((xbR)modp);
xbR=xb·R=xb·v·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b2.2密钥协商的应答者利用临时加密密钥k解密密文消息c,得到(xG,IDa,IDb,TQa)=Dk(c);
Dk是采用密钥k的对称密钥解密算法,与采用密钥k的对称密钥加密算法Ek相对应;
b2.3如果TQa是新鲜的,IDa和IDb是有效的,并且hash(xG,IDa,IDb,TQa)的计算结果r满足srG+sPa=R,则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素,继续步骤b2.4,否则,密钥协商的应答者放弃签密密文消息{c,R,s},终止密钥协商过程;
srG=s·r·G,sPa=s·Pa,srG和sPa是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b2.4密钥协商的应答者随机选择整数y,满足y∈[1,…,n-1],计算共享密钥σ=y(xG);
y(xG)=y·(x·G)是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b2.5密钥协商的应答者计算密钥源认证消息r*=hash(yG,IDb,IDa,TQb,σ);
yG=y·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘,TQb是密钥协商的应答者采用的保持消息新鲜性的新鲜值,TQb是一个时间戳,或者是一个随机数,或者是一个序列号;
b2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素yG和密钥源认证消息r*,得到加密密文c*=Ek(yG,IDb,IDa,TQb,r*);
b2.7密钥协商的应答者发送加密密文消息{c*}给密钥协商的发起者;
b3密钥确认阶段
密钥确认阶段包括以下具体步骤:
b3.1密钥协商的发起者利用临时加密密钥k解密密文消息c*,得到(yG,IDb,IDa,TQb,r*)=Dk(c*);
b3.2密钥协商的发起者计算共享密钥σ*=x(yG);
x(yG)=x·(y·G)是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b3.3如果TQb是新鲜的,IDa和IDb是有效的,并且hash(yG,IDb,IDa,TQb,σ*)的计算结果等于r*,则密钥协商的发起者接受σ*=x(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥,密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ*=x(yG),继续步骤b3.4,否则,密钥协商的发起者放弃加密密文消息{c*},终止密钥协商过程;
b3.5密钥协商的应答者利用共享密钥σ=y(xG)解密密钥确认消息u,得到(IDa,IDb,TQ′a)=Dσ(u),如果TQ′a是新鲜的,IDa和IDb是有效的,密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ=y(xG)=x(yG)=σ*,否则,密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ=y(xG)=x(yG)=σ*;
Dσ是采用密钥σ的对称密钥解密算法,与采用密钥σ的对称密钥加密算法Eσ相对应。
本发明提出的一种增强保护的混合密钥协商方法,在密钥协商发起阶段利用增强签密技术保护共享密钥生成元素,使密钥协商的安全强度不再依赖于哈希函数的安全强度,而是依赖于有限域上离散对数的求解困难问题或者是依赖于有限域上椭圆曲线离散对数的求解困难问题,在密钥协商应答阶段利用对称密钥加密技术保护共享密钥生成元素,利用哈希函数实现密钥源的认证,从而充分利用哈希函数较传统数字签名技术需要计算资源少的特点,以尽可能少的计算资源和通信资源为代价,解决了基于签密技术的对称密钥协商方法的安全强度的技术问题。
具体实施方式
本发明基于Diffie-Hellman密钥协商协议,采用增强签密技术和对称密钥加密技术保护共享密钥生成元素,采用哈希函数实现密钥源的认证。本发明以尽可能少的计算资源和通信资源为代价,换取密钥协商安全强度的增加。
实施例1
本发明实施例1与本发明基于离散对数签密技术的技术方案相对应。通信双方是通信网络中的节点A和节点B,节点A是密钥协商的发起者,节点B是密钥协商的应答者,在执行密钥协商之前,系统参数已经正确建立,通信双方已经拥有对方的正确公钥和有效标识。
系统参数描述如下:
p:一个大素数;
q:p-1的素因子;
hash:强无碰撞的单向哈希函数,安全长度至少128位;
(Ek,Dk):利用密钥k的对称密钥加密算法和解密算法;
IDa:节点A的标识;
IDb:节点B的标识;
xa:节点A的私钥,满足xa∈[1,…,q-1];
ya:节点A的公钥,满足
xb:节点B的私钥,满足xb∈[1,…,q-1];
yb:节点B的公钥,满足
TQa和TQ′a:节点A采用的保持消息新鲜性的新鲜值;
TQb:节点B采用的保持消息新鲜性的新鲜值;
mod:代数模运算;
实施例1包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。
pa1密钥协商发起阶段
密钥协商发起阶段包括以下具体步骤:
pa1.1节点A随机选择整数x和v,满足x,v∈[1,…,q-1];
pa1.3节点A利用临时加密密钥k加密共享密钥生成元素gx,得到c=Ek(gx,IDa,IDb,TQa);
pa1.4节点A计算签名r=hash(gx,IDa,IDb,TQa)和s=(v/(r+xa))modq;
pa1.5节点A发送签密密文消息{c,R,s}给节点B;
pa2密钥协商应答阶段
密钥协商应答阶段包括以下具体步骤:
pa2.2节点B利用临时加密密钥k解密密文消息c,得到(gx,IDa,IDb,TQa)=Dk(c);
pa2.3如果TQa是新鲜的,IDa和IDb是有效的,并且hash(gx,IDa,IDb,TQa)的计算结果r满足则节点B接受gx作为节点A产生的共享密钥生成元素,继续步骤pa2.4,否则,节点B放弃签密密文消息{c,R,s},终止密钥协商过程;
pa2.4节点B随机选择整数y,满足y∈[1,…,q-1],计算共享密钥σ=(gx)y;
pa2.5节点B计算密钥源认证消息r*=hash(gy,IDb,IDa,TQb,σ);
pa2.6节点B利用临时加密密钥k加密共享密钥生成元素gy和密钥源认证消息r*,得到加密密文c*=Ek(gy,IDb,IDa,TQb,r*);
pa2.7节点B发送加密密文消息{c*}给节点A;
pa3密钥确认阶段
密钥确认阶段包括以下具体步骤:
pa3.1节点A利用临时加密密钥k解密密文消息c*,得到(gy,IDb,IDa,TQb,r*)=Dk(c*);
pa3.2节点A计算共享密钥σ*=(gy)x;
pa3.3如果TQb是新鲜的,IDa和IDb是有效的,并且hash(gy,IDb,IDa,TQb,σ*)的计算结果等于r*,则节点A接受σ*=(gy)x作为节点A和节点B之间的共享密钥,节点A确信节点B已经拥有和节点A之间的共享密钥σ*=(gy)x,继续步骤pa3.4,否则,节点A放弃加密密文消息{c*},终止密钥协商过程;
pa3.5节点B利用共享密钥σ=(gx)y解密密钥确认消息u,得到(IDa,IDb,TQ′a)=Dσ(u),如果TQ′a是新鲜的,IDa和IDb是有效的,节点B确信节点A已经拥有和节点B之间的共享密钥σ=(gx)y=(gy)x=σ*,否则,节点B无法确认节点A是否已经拥有和节点B之间的共享密钥σ=(gx)y=(gy)x=σ*。
实施例2
本发明实施例2与本发明基于椭圆曲线签密技术的技术方案相对应。通信双方是通信网络中的节点A和节点B,节点A是密钥协商的发起者,节点B是密钥协商的应答者,在执行密钥协商之前,系统参数已经正确建立,通信双方已经拥有对方的正确公钥和有效标识。
系统参数描述如下:
p:一个大素数,满足p>2160;
Fp:有限域Fp=[0,…,p-1];
E:有限域Fp=[0,…,p-1]上的椭圆曲线,满足E:y2≡(x3+ax+b)modp;
a和b:椭圆曲线方程参数,满足a,b∈Fp且
G:有限域Fp=[0,…,p-1]上椭圆曲线E的一个基点;
n:基点G在椭圆曲线E上的一个素数阶;
hash:强无碰撞的单向哈希函数,安全长度至少128位;
(Ek,Dk):利用密钥k的对称密钥加密算法和解密算法;
IDa:节点A的标识;
IDb:节点B的标识;
xa:节点A的私钥,满足xa∈[1,…,n-1];
Pa:节点A的公钥,满足Pa=(xaG)modp,有限域Fp上椭圆曲线E的一个点;
xb:节点B的私钥,满足xb∈[1,…,n-1];
Pb:节点B的公钥,满足Pb=(xbG)modp,有限域Fp上椭圆曲线E的一个点;
TQa和TQ′a:节点A采用的保持消息新鲜性的新鲜值;
TQb:节点B采用的保持消息新鲜性的新鲜值;
mod:代数模运算;
实施例2包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。
pb1密钥协商发起阶段
密钥协商发起阶段包括以下具体步骤:
pb1.1节点A随机选择整数x和v,满足x,v∈[1,…,n-1];
pb1.2节点A计算临时加密密钥k=hash((vPb)modp)和临时公钥R=(vG)modp;
pb1.3节点A利用临时加密密钥k加密共享密钥生成元素xG,得到c=Ek(xG,IDa,IDb,TQa);
pb1.4节点A计算签名r=hash(xG,IDa,IDb,TQa)和s=(v/(r+xa))modn;
pb1.5节点A发送签密密文消息{c,R,s}给节点B;
pb2密钥协商应答阶段
密钥协商应答阶段包括以下具体步骤:
pb2.1节点B利用{R,p,xb}恢复临时加密密钥k=hash((xbR)modp);
pb2.2节点B利用临时加密密钥k解密密文消息c,得到(xG,IDa,IDb,TQa)=Dk(c);
pb2.3如果TQa是新鲜的,IDa和IDb是有效的,并且hash(xG,IDa,IDb,TQa)的计算结果r满足srG+sPa=R,则节点B接受xG作为节点A产生的共享密钥生成元素,继续步骤pb2.4,否则,节点B放弃签密密文消息{c,R,s},终止密钥协商过程;
pb2.4节点B随机选择整数y,满足y∈[1,…,n-1],计算共享密钥σ=y(xG);
pb2.5节点B计算密钥源认证消息r*=hash(yG,IDb,IDa,TQb,σ);
pb2.6节点B利用临时加密密钥k加密共享密钥生成元素yG和密钥源认证消息r*,得到加密密文c*=Ek(yG,IDb,IDa,TQb,r*);
pb2.7节点B发送加密密文消息{c*}给节点A;
pb3密钥确认阶段
密钥确认阶段包括以下具体步骤:
pb3.1节点A利用临时加密密钥k解密加密密文消息c*,得到(yG,IDb,IDa,TQb,r*)=Dk(c*);
pb3.2节点A计算共享密钥σ*=x(yG);
pb3.3如果TQb是新鲜的,IDa和IDb是有效的,并且hash(yG,IDb,IDa,TQb,σ*)的计算结果等于r*,则节点A接受σ*=x(yG)作为节点A和节点B之间的共享密钥,节点A确信节点B已经拥有和节点A之间的共享密钥σ*=x(yG),继续步骤pb3.4,否则,节点A放弃加密密文消息{c*},终止密钥协商过程;
pb3.5节点B利用共享密钥σ=y(xG)解密密钥确认消息u,得到(IDa,IDb,TQ′a)=Dσ(u),如果TQ′a是新鲜的,IDa和IDb是有效的,节点B确信节点A已经拥有和节点B之间的共享密钥σ=y(xG)=x(yG)=σ*,否则,节点B无法确认节点A是否已经拥有和节点B之间的共享密钥σ=y(xG)=x(yG)=σ*。
本发明实施例1和实施例2的计算代价和通信代价如表1和表2所示。为讨论问题的方便,我们假设在基于离散对数签密技术的技术方案中,
即哈希函数的安全长度|hash(·)|和带密钥哈希函数的安全长度|KH(·)|约等于q的安全长度|q|的一半,q的安全长度|q|约等于p的安全长度|p|的1/3,在基于椭圆曲线签密技术的技术方案中,
即哈希函数的安全长度|hash(·)|和带密钥哈希函数的安全长度|KH(·)|约等于n的安全长度|n|的一半,n的安全长度|n|约等于p的安全长度|p|。
本发明实施例1和实施例2与扩展应用离散对数签密技术和椭圆曲线签密技术的DKEUTS方法进行比较。依据表1中消耗计算资源最多的幂指数模运算和椭圆曲线点乘运算的统计结果,本发明实施例1在计算代价上较DKEUTS方法多用了
modulo exp onentiation表示幂指数模运算,本发明实施例2在计算代价上较DKEUTS方法多用了
point multiplicative表示有限域上椭圆曲线的点乘运算。本发明实施例1在通信代价上较DKEUTS多用了
本发明实施例2在通信代价上较DKEUTS节省了
由以上讨论可知,在基于椭圆曲线签密技术的技术方案中,本发明实施例2在通信代价上较DKEUTS方法节省了16.7%,同时以较少的计算代价12.5%换取密钥协商安全强度的增加。在基于离散对数签密技术的技术方案中,本发明实施例1以计算代价12.5%和较多的通信代价50%换取密钥协商安全强度的增加。
本发明为密钥协商提供了一种选择。当需要较高安全强度的密钥协商方法时,可以选择使用本发明的基于离散对数签密技术的技术方案和基于椭圆曲线签密技术的技术方案,当需要较高效率的密钥协商方法时,可以选择使用本发明的基于椭圆曲线签密技术的技术方案和DKEUTS方法。
表1计算代价和通信代价统计
表2计算代价和通信代价符号说明
符号 | 说明 |
EXP | 幂指数模运算次数 |
HASH | 哈希函数和带密钥哈希函数运算次数 |
ENC/DE | 对称密钥加密运算和解密运算次数 |
ADD | 模加运算次数 |
INV | 模逆运算次数 |
MUL | 模乘运算次数 |
PMUL | 有限域椭圆曲线点乘运算次数 |
PADD | 有限域椭圆曲线点加运算次数 |
|KH(·)| | 带密钥哈希函数的安全长度 |
|hash(·)| | 哈希函数的安全长度 |
|q| | q的安全长度 |
|n| | n的安全长度 |
|p| | p的安全长度 |
Claims (1)
1.一种增强保护的混合密钥协商方法,其特征在于,该方法是基于离散对数签密技术的技术方案或者基于椭圆曲线签密技术的技术方案;
基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段;
a1密钥协商发起阶段
密钥协商发起阶段包括以下具体步骤:
a1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素gx,得到c=Ek(gx,IDa,IDb,TQa);
Ek是采用密钥k的对称密钥加密算法,IDa是密钥协商的发起者的标识,IDb是密钥协商的应答者的标识,TQa是密钥协商的发起者采用的保持消息新鲜性的新鲜值,TQa是一个时间戳,或者是一个随机数,或者是一个序列号;
a1.4密钥协商的发起者计算签名r=hash(gx,IDa,IDb,TQa)和s=(v/(r+xa))modq;
a1.5密钥协商的发起者发送签密密文消息{c,R,s}给密钥协商的应答者;
a2密钥协商应答阶段
密钥协商应答阶段包括以下具体步骤:
a2.2密钥协商的应答者利用临时加密密钥k解密密文消息c,得到(gx,IDa,IDb,TQa)=Dk(c);
Dk是采用密钥k的对称密钥解密算法,与采用密钥k的对称密钥加密算法Ek相对应;
a2.3如果TQa是新鲜的,IDa和IDb是有效的,并且hash(gx,IDa,IDb,TQa)的计算结果r满足则密钥协商的应答者接受gx作为密钥协商的发起者产生的共享密钥生成元素,继续步骤a2.4,否则,密钥协商的应答者放弃签密密文消息{c,R,s},终止密钥协商过程;
a2.4密钥协商的应答者随机选择整数y,满足y∈[1,…,q-1],计算共享密钥σ=(gx)y;
a2.5密钥协商的应答者计算密钥源认证消息r*=hash(gy,IDb,IDa,TQb,σ);
TQb是密钥协商的应答者采用的保持消息新鲜性的新鲜值,TQb是一个时间戳,或者是一个随机数,或者是一个序列号;
a2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素gy和密钥源认证消息r*,得到加密密文c*=Ek(gy,IDb,IDa,TQb,r*);
a2.7密钥协商的应答者发送加密密文消息{c*}给密钥协商的发起者;
a3密钥确认阶段
密钥确认阶段包括以下具体步骤:
a3.1密钥协商的发起者利用临时加密密钥k解密密文消息c*,得到(gy,IDb,IDa,TQb,r*)=Dk(c*);
a3.2密钥协商的发起者计算共享密钥σ*=(gy)x;
a3.3如果TQb是新鲜的,IDa和IDb是有效的,并且hash(gy,IDb,IDa,TQb,σ*)的计算结果等于r*,则密钥协商的发起者接受σ*=(gy)x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥,密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ*=(gy)x,继续步骤a3.4,否则,密钥协商的发起者放弃加密密文消息{c*},终止密钥协商过程;
a3.4密钥协商的发起者利用共享密钥σ*=(gy)x产生密钥确认消息将密钥确认消息{u}发送给密钥协商的应答者;
a3.5密钥协商的应答者利用共享密钥σ=(gx)y解密密钥确认消息u,得到(IDa,IDb,TQ′a)=Dσ(u),如果TQ′a是新鲜的,IDa和IDb是有效的,密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ=(gx)y=(gy)x=σ*,否则,密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ=(gx)y=(gy)x=σ*;
Dσ是采用密钥σ的对称密钥解密算法,与采用密钥σ的对称密钥加密算法Eσ相对应;
基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段;
b1密钥协商发起阶段
密钥协商发起阶段包括以下具体步骤:
b1.2密钥协商的发起者计算临时加密密钥k=hash((vPb)modp)和临时公钥R=(vG)modp;
hash是强无碰撞的单向哈希函数,密钥协商的应答者的私钥为xb,满足xb∈[1,…,n-1],密钥协商的应答者相应的公钥Pb=(xbG)modp,G是有限域Fp=[0,…,p-1]上椭圆曲线E的一个基点,有限域Fp=[0,…,p-1]上的椭圆曲线E是满足E:y2≡(x3+ax+b)modp的所有解与无穷远点O的并集,椭圆曲线方程参数a和b满足a,b∈Fp且n是基点G在椭圆曲线E上的一个素数阶,xbG=xb·G,vPb=v·Pb,vG=v·G,xbG、vPb和vG是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘,mod是代数模运算;
b1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素xG,得到c=Ek(xG,IDa,IDb,TQa);
Ek是采用密钥k的对称密钥加密算法,IDa是密钥协商的发起者的标识,IDb是密钥协商的应答者的标识,TQa是密钥协商的发起者采用的保持消息新鲜性的新鲜值,TQa是一个时间戳,或者是一个随机数,或者是一个序列号,xG=x·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b1.4密钥协商的发起者计算签名r=hash(xG,IDa,IDb,TQa)和s=(v/(r+xa))modn;
密钥协商的发起者的私钥为xa,满足xa∈[1,…,n-1],密钥协商的发起者相应的公钥Pa=(xaG)modp,xaG=xa·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b1.5密钥协商的发起者发送签密密文消息{c,R,s}给密钥协商的应答者;
b2密钥协商应答阶段
密钥协商应答阶段包括以下具体步骤:
b2.1密钥协商的应答者利用{R,p,xb}恢复临时加密密钥k=hash((xbR)modp);
xbR=xb·R=xb·v·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b2.2密钥协商的应答者利用临时加密密钥k解密密文消息c,得到(xG,IDa,IDb,TQa)=Dk(c);
Dk是采用密钥k的对称密钥解密算法,与采用密钥k的对称密钥加密算法Ek相对应;
b2.3如果TQa是新鲜的,IDa和IDb是有效的,并且hash(xG,IDa,IDb,TQa)的计算结果r满足srG+sPa=R,则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素,继续步骤b2.4,否则,密钥协商的应答者放弃签密密文消息{c,R,s},终止密钥协商过程;
srG=s·r·G,sPa=s·Pa,srG和sPa是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b2.4密钥协商的应答者随机选择整数y,满足y∈[1,…,n-1],计算共享密钥σ=y(xG);
y(xG)=y·(x·G)是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b2.5密钥协商的应答者计算密钥源认证消息r*=hash(yG,IDb,IDa,TQb,σ);
yG=y·G是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘,TQb是密钥协商的应答者采用的保持消息新鲜性的新鲜值,TQb是一个时间戳,或者是一个随机数,或者是一个序列号;
b2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素yG和密钥源认证消息r*,得到加密密文c*=Ek(yG,IDb,IDa,TQb,r*);
b2.7密钥协商的应答者发送加密密文消息{c*}给密钥协商的发起者;
b3密钥确认阶段
密钥确认阶段包括以下具体步骤:
b3.1密钥协商的发起者利用临时加密密钥k解密密文消息c*,得到(yG,IDb,IDa,TQb,r*)=Dk(c*);
b3.2密钥协商的发起者计算共享密钥σ*=x(yG);
x(yG)=x·(y·G)是有限域Fp=[0,…,p-1]上椭圆曲线E的点乘;
b3.3如果TQb是新鲜的,IDa和IDb是有效的,并且hash(yG,IDb,IDa,TQb,σ*)的计算结果等于r*,则密钥协商的发起者接受σ*=x(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥,密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ*=x(yG),继续步骤b3.4,否则,密钥协商的发起者放弃加密密文消息{c*},终止密钥协商过程;
b3.5密钥协商的应答者利用共享密钥σ=y(xG)解密密钥确认消息u,得到(IDa,IDb,TQ′a)=Dσ(u),如果TQ′a是新鲜的,IDa和IDb是有效的,密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ=y(xG)=x(yG)=σ*,否则,密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ=y(xG)=x(yG)=σ*;
Dσ是采用密钥σ的对称密钥解密算法,与采用密钥σ的对称密钥加密算法Eσ相对应。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010606230 CN102035646B (zh) | 2010-12-24 | 2010-12-24 | 一种增强保护的混合密钥协商方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010606230 CN102035646B (zh) | 2010-12-24 | 2010-12-24 | 一种增强保护的混合密钥协商方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102035646A CN102035646A (zh) | 2011-04-27 |
CN102035646B true CN102035646B (zh) | 2012-12-26 |
Family
ID=43888022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010606230 Expired - Fee Related CN102035646B (zh) | 2010-12-24 | 2010-12-24 | 一种增强保护的混合密钥协商方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102035646B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546650A (zh) * | 2012-01-19 | 2012-07-04 | 北京工业大学 | 无线传感器网络与因特网互联通信的端到端安全保障方法 |
CN103260155B (zh) * | 2013-05-15 | 2015-09-16 | 兰州交通大学 | 一种轻量级隐私增强的群组消息传送方法 |
CN103716162B (zh) * | 2013-12-06 | 2015-04-01 | 长安大学 | 一种在标准模型下安全的基于身份广义签密方法 |
CN105162585B (zh) * | 2015-08-25 | 2018-06-15 | 清华大学 | 一种隐私保护的会话密钥协商方法 |
CN107426521A (zh) * | 2016-05-24 | 2017-12-01 | 中兴通讯股份有限公司 | 一种视频通话方法及终端 |
CN112740733B (zh) * | 2020-12-24 | 2022-08-26 | 华为技术有限公司 | 一种安全接入方法及装置 |
CN113242121B (zh) * | 2021-04-15 | 2023-07-25 | 哈尔滨工业大学 | 一种基于组合加密的安全通信方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0639907A1 (en) * | 1993-08-17 | 1995-02-22 | R3 Security Engineering AG | Digital signature method and key agreement method |
US7062044B1 (en) * | 2002-06-28 | 2006-06-13 | The United States Of America As Represented By The National Security Agency | Method of elliptic curve cryptographic key agreement using coefficient splitting |
CN101399660A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 协商组群密钥的方法和设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8243919B2 (en) * | 2007-03-07 | 2012-08-14 | Research In Motion Limited | Method and apparatus for performing elliptic curve scalar multiplication in a manner that counters power analysis attacks |
CN102035647B (zh) * | 2010-12-24 | 2013-10-23 | 北京工业大学 | 一种增强保护的非对称密钥协商方法 |
-
2010
- 2010-12-24 CN CN 201010606230 patent/CN102035646B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0639907A1 (en) * | 1993-08-17 | 1995-02-22 | R3 Security Engineering AG | Digital signature method and key agreement method |
US7062044B1 (en) * | 2002-06-28 | 2006-06-13 | The United States Of America As Represented By The National Security Agency | Method of elliptic curve cryptographic key agreement using coefficient splitting |
CN101399660A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 协商组群密钥的方法和设备 |
Non-Patent Citations (4)
Title |
---|
一种用椭圆曲线密码构建的传感网络密钥管理方案;丁勇;《西安电子科技大学学报》;20080820(第04期);第739-742页 * |
丁勇.一种用椭圆曲线密码构建的传感网络密钥管理方案.《西安电子科技大学学报》.2008,(第04期), |
基于Rabin和DH协议的身份验证和密钥协商方案;张兴等;《信息安全与通信保密》;19960331(第03期);第33-38页 * |
张兴等.基于Rabin和DH协议的身份验证和密钥协商方案.《信息安全与通信保密》.1996,(第03期), |
Also Published As
Publication number | Publication date |
---|---|
CN102035646A (zh) | 2011-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102035647B (zh) | 一种增强保护的非对称密钥协商方法 | |
CN102035646B (zh) | 一种增强保护的混合密钥协商方法 | |
CN101079701B (zh) | 高安全性的椭圆曲线加解密方法和装置 | |
US6697488B1 (en) | Practical non-malleable public-key cryptosystem | |
CN102523093B (zh) | 一种带标签的基于证书密钥封装方法及系统 | |
CN105099672A (zh) | 混合加密方法及实现该方法的装置 | |
CN104270249A (zh) | 一种从无证书环境到基于身份环境的签密方法 | |
WO2009026771A1 (fr) | Procédé pour négocier une clé, chiffrer et déchiffrer des informations, signer et authentifier les informations | |
CN105025474B (zh) | 一种面向无线传感网的轻量级数字签名方法 | |
CN103155481A (zh) | 具有消息恢复的数字签名的认证加密 | |
CN104301108A (zh) | 一种从基于身份环境到无证书环境的签密方法 | |
CN1277365C (zh) | 一种高效快捷的公钥加密方法 | |
CN103095459A (zh) | 公钥密码体制中模幂运算方法、设备和服务器 | |
CN108055134B (zh) | 椭圆曲线点数乘及配对运算的协同计算方法及系统 | |
Bhadada et al. | Montgomery implantation of ECC over RSA on FPGA for public key cryptography application | |
Sui et al. | An improved authenticated key agreement protocol with perfect forward secrecy for wireless mobile communication | |
US20100150343A1 (en) | System and method for encrypting data based on cyclic groups | |
CN103260155B (zh) | 一种轻量级隐私增强的群组消息传送方法 | |
Mehibel et al. | A new algorithm for a public key cryptosystem using elliptic curve | |
US7356140B2 (en) | Encrypting device, decrypting device, cryptosystem including the same devices, encrypting method, and decrypting method | |
Tahat | Convertible multi-authenticated encryption scheme with verification based on elliptic curve discrete logarithm problem | |
Wang et al. | Signature schemes based on two hard problems simultaneously | |
CN109787772B (zh) | 基于对称密钥池的抗量子计算签密方法和系统 | |
Singh et al. | A lightweight signcryption scheme based on elliptic curve cryptography | |
Zhang et al. | A novel authenticated encryption scheme and its extension |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121226 Termination date: 20151224 |
|
CF01 | Termination of patent right due to non-payment of annual fee |