CN102035647A - 一种增强保护的非对称密钥协商方法 - Google Patents

Abstract

一种增强保护的非对称密钥协商方法属于信息安全领域。本发明用于通信网络中两个节点在事先没有任何秘密约定的条件下协商建立共享密钥。本发明在密钥协商发起阶段利用签密技术增强保护共享密钥生成元素，在密钥协商应答阶段利用对称加密技术增强保护共享密钥生成元素，利用带密钥杂凑函数实现密钥源的认证，以解决基于签密技术的对称密钥协商方法需要较多计算资源和通信资源的技术问题。

Description

一种增强保护的非对称密钥协商方法

技术领域

本发明涉及密钥协商，具体是一种利用签密技术增强保护共享密钥生成元素的非对称密钥协商方法，适合于通信网络中两个节点之间共享密钥的协商，属于信息安全领域。

背景技术

密钥协商协议被广泛应用于有线和无线的通信网络环境中，用以提供两个节点或者多个节点在事先没有任何秘密约定的条件下，在完全公开的信道上，建立双方或者多方共享密钥的方法。由W.Diffie和M.Hellman在1976年发明的密钥协商协议是最具有代表性的密钥协商协议(W.Diffie，M.E.Hellman，“New direction in cryptography，”IEEE Trans.，1976，22，644-654)，目前常用的密钥协商方法大都基于Diffie-Hellman密钥协商协议。Y.Zheng在1997年首次提出签密(Signcryption)概念，旨在一个操作步骤内同时完成加密和签名，同时计算复杂性和数据量远小于传统的先签名再加密机制(Y.Zheng，“Digital signcryption or how to achieve cost(signature&encryption)＜＜cost(signature)+cost(encryption)，”Advance in Cryptology，LNCS，1997，1294，165-180)。Y.Zheng在1998年将签密技术应用于密钥协商，发明DKEUTS(Direct Key Exchange Using a Time-Stamp)密钥协商协议(Y.Zheng，“Shortened digital signature，signcryption and compact and unforgeable key agreement schemes，”IEEE P1363a：Standard Specifications for Public-Key Cryptography：Additional Techniques，1998)。

Y.Zheng发明的密钥协商协议DKEUTS是一种利用签密技术增强保护共享密钥生成元素的对称密钥协商方法，即在密钥协商发起阶段和密钥协商应答阶段采用一致的签密技术，需要较多的计算资源和通信资源。

发明内容

本发明的目的在于提供一种增强保护的非对称密钥协商方法，用于通信网络中两个节点在事先没有任何秘密约定的条件下协商建立共享密钥。本发明在密钥协商发起阶段利用签密技术增强保护共享密钥生成元素，在密钥协商应答阶段利用对称加密技术增强保护共享密钥生成元素，利用带密钥杂凑函数实现密钥源的认证，以解决基于签密技术的对称密钥协商方法需要较多计算资源和通信资源的技术问题。

为实现上述目的，本发明采取以下技术方案：

整个技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

首先，在密钥协商发起阶段，密钥协商的发起者将产生的随机数与密钥协商的应答者的公钥结合产生临时加密密钥和临时签名密钥，密钥协商的发起者利用签密技术对密钥协商的发起者产生的共享密钥生成元素进行签密，并将签密密文消息发送给密钥协商的应答者；

然后，在密钥协商应答阶段，密钥协商的应答者利用密钥协商的发起者的公钥和密钥协商的应答者的私钥解签密密文消息，得到临时加密密钥、临时签名密钥和密钥协商的发起者产生的共享密钥生成元素，并验证共享密钥生成元素的有效性，如果共享密钥生成元素被验证无效，则密钥协商的应答者放弃接收到的签密密文消息，终止密钥协商过程，如果共享密钥生成元素被验证有效，则密钥协商的应答者利用密钥协商的应答者产生的共享密钥生成元素和密钥协商的发起者产生的共享密钥生成元素产生密钥协商的发起者和密钥协商的应答者之间的共享密钥，利用对称加密技术对密钥协商的应答者产生的共享密钥生成元素进行加密，利用带密钥杂凑函数将共享密钥与密钥协商的发起者的标识、密钥协商的应答者的标识和保持消息新鲜性的新鲜值相结合产生密钥源认证消息，并将加密密文消息和密钥源认证消息一起发送给密钥协商的发起者；

最后，在密钥确认阶段，密钥协商的发起者利用临时加密密钥解密加密密文消息，得到密钥协商的应答者产生的共享密钥生成元素，密钥协商的发起者利用密钥协商的发起者产生的共享密钥生成元素和密钥协商的应答者产生的共享密钥生成元素产生密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者利用密钥源认证消息验证共享密钥的有效性，如果共享密钥被验证无效，则密钥协商的发起者放弃接收到的密文消息，终止密钥协商过程，如果共享密钥被验证有效，则密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥，密钥协商的发起者利用共享密钥将密钥协商的发起者的标识、密钥协商的应答者的标识和保持消息新鲜性的新鲜值相结合产生密钥确认消息，并将密钥确认消息发送给密钥协商的应答者，密钥协商的应答者利用共享密钥解密密钥确认消息，验证密钥确认消息的有效性，如果密钥确认消息被验证有效，则密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥，如果密钥确认消息被验证无效，则密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥。

本发明技术方案可以是基于离散对数签密技术的技术方案和基于椭圆曲线签密技术的技术方案。

基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

a1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

a1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，q-1]；

整数x是取自乘法群

的随机数，q是p-1的素因子，p是一个大素数；

a1.2密钥协商的发起者计算临时密钥

将临时密钥k按照步骤a1.3和a1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，q-1]，密钥协商的应答者相应的公钥

g是乘法群

中的一个q阶元素，mod是代数模运算；

a1.3密钥协商的发起者利用临时加密密钥k₁加密共享密钥生成元素g^x，得到

是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a1.4密钥协商的发起者计算签名和s＝x/(r+x_a)；

是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，q-1]，密钥协商的发起者相应的公钥

a1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者；

a2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

a2.1密钥协商的应答者利用{r，s，g，p，q，y_a，x_b}计算u＝(s·x_b)modq，恢复临时密钥k＝hash((y_a·g^r)^umodp)，并将临时密钥k按照步骤a2.2和a2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

a2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到

是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法

相对应；

a2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且

的计算结果等于r，则密钥协商的应答者接受g^x作为密钥协商的发起者产生的共享密钥生成元素，继续步骤a2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；

a2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；

a2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素g^y，得到加密密文

TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

a2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息 $r^{*}={\mathrm{KH}}_{k_2}(g^y,{\mathrm{ID}}_b,{\mathrm{ID}}_a,{\mathrm{TQ}}_b,\mathrm{\σ});$

a2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；

a3密钥确认阶段

密钥确认阶段包括以下具体步骤：

a3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到 $(g^y,{\mathrm{ID}}_b,{\mathrm{ID}}_a,{\mathrm{TQ}}_b)=D_{k_1}\left(c^{*}\right);$

a3.2密钥协商的发起者计算共享密钥σ^*＝(g^y)^x；

a3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r^*，则密钥协商的发起者接受σ^*＝(g^y)^x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝(g^y)^x，继续步骤a3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；

a3.4密钥协商的发起者利用共享密钥σ^*＝(g^y)^x产生密钥确认消息

将密钥确认消息{v}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法

相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a3.5密钥协商的应答者利用共享密钥σ＝(g^x)^y解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。

基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

b1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

b1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，n-1]；

整数x是取自乘法群

的随机数，n是一个大素数，n的安全长度约等于|p|，p是一个大素数，满足p＞2¹⁶⁰；

b1.2密钥协商的发起者计算临时密钥k＝hash((xP_b)modp)，将临时密钥k按照步骤b1.3和b1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，n-1]，密钥协商的应答者相应的公钥P_b＝(x_bG)modp，G是有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点，有限域F_p＝[0，…，p-1]上的椭圆曲线E是满足E：y²≡(x³+ax+b)mod p的所有解与无穷远点O的并集，椭圆曲线方程参数a和b满足a，b∈Fp且n是基点G在椭圆曲线E上的一个素数阶，x_bG＝x_b·G和xP_b＝x·P_b是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，mod是代数模运算；

b1.3密钥协商的发起者利用临时加密密钥k₁加密共享密钥生成元素xG，得到

是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号，xG＝x·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.4密钥协商的发起者计算签名

和s＝x/(r+x_a)；

是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，n-1]，密钥协商的发起者相应的公钥P_a＝(x_aG)modp，x_aG＝x_a·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者；

b2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

b2.1密钥协商的应答者利用{r，s，G，p，n，P_a，x_b}计算u＝(s·x_b)modn，恢复临时密钥k＝hash((u·P_a+u·r·G)modp)，并将临时密钥k按照步骤b2.2和b2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

u·P_a和u·r·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，(u·P_a+u·r·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点加；

b2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到 $(\mathrm{xG},{\mathrm{ID}}_a,{\mathrm{ID}}_b,{\mathrm{TQ}}_a)=D_{k_1}\left(c\right);$

是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法

相对应；

b2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r，则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素，继续步骤b2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；

b2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y·(xG)；

y·(xG)＝y·(x·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素yG，得到加密密文

yG＝y·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

b2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息 $r^{*}={\mathrm{KH}}_{k_2}(\mathrm{yG},{\mathrm{ID}}_b,{\mathrm{ID}}_a,{\mathrm{TQ}}_b,\mathrm{\σ});$

b2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；

b3密钥确认阶段

密钥确认阶段包括以下具体步骤：

b3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到 $(\mathrm{yG},{\mathrm{ID}}_b,{\mathrm{ID}}_a,{\mathrm{TQ}}_b)=D_{k_1}\left(c^{*}\right);$

b3.2密钥协商的发起者计算共享密钥σ^*＝x·(yG)；

x·(yG)＝x·(y·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且

的计算结果等于r^*，则密钥协商的发起者接受σ^*＝x·(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝x·(yG)，继续步骤b3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；

b3.4密钥协商的发起者利用共享密钥σ^*＝x·(yG)产生密钥确认消息

将密钥确认消息{v}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法

相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

b3.5密钥协商的应答者利用共享密钥σ＝y·(xG)解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。

本发明提出的一种增强保护的非对称密钥协商方法，在密钥协商发起阶段利用签密技术增强保护共享密钥生成元素，在密钥协商应答阶段利用对称加密技术增强保护共享密钥生成元素，利用带密钥杂凑函数实现密钥源的认证，从而充分利用了签密技术较传统先签名再加密技术计算复杂性低和数据量小的特点，充分利用了杂凑函数较传统数字签名技术需要计算资源少的特点，解决了基于签密技术的对称密钥协商方法需要较多计算资源和通信资源的技术问题。

具体实施方式

本发明基于Diffie-Hellman密钥协商协议，采用签密技术和对称加密技术增强保护共享密钥生成元素，采用带密钥杂凑函数实现密钥源的认证。本发明在保证密钥协商安全性的同时，节省了计算资源和通信资源的需要量。

实施例1

本发明实施例1与本发明基于离散对数签密技术的技术方案相对应。通信双方是通信网络中的节点A和节点B，节点A是密钥协商的发起者，节点B是密钥协商的应答者，在执行密钥协商之前，系统参数已经正确建立，通信双方已经拥有对方的正确公钥和有效标识。

系统参数描述如下：

p：一个大素数；

q：p-1的素因子；

g：乘法群中的一个q阶元素；

hash：强无碰撞的单向杂凑函数，安全长度至少128位；

KH：带密钥的强无碰撞的单向杂凑函数；

(E_k，D_k)：利用密钥k的对称加密算法和解密算法；

ID_a：节点A的标识；

ID_b：节点B的标识；

x_a：节点A的私钥，满足x_a∈[1，…，q-1]；

y_a：节点A的公钥，满足

x_b：节点B的私钥，满足x_b∈[1，…，q-1]；

y_b：节点B的公钥，满足

TQ_a和TQ′_a：节点A采用的保持消息新鲜性的新鲜值；

TQ_b：节点B采用的保持消息新鲜性的新鲜值；

mod：代数模运算；

实施例1包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

pa1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

pa1.1节点A随机选择整数x，满足x∈[1，…，q-1]；

pa1.2节点A计算临时密钥

将临时密钥k按照步骤pa1.3和pa1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

pa1.3节点A利用临时加密密钥k₁加密共享密钥生成元素g^x，得到

pa1.4节点A计算签名

和s＝x/(r+x_a)；

pa1.5节点A发送签密密文消息{c，r，s}给节点B；

pa2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

pa2.1节点B利用{r，s，g，p，q，y_a，x_b}计算u＝(s·x_b)mod q，恢复临时密钥k＝hash((y_a·g^r)umod p)，并将临时密钥k按照步骤pa2.2和pa2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

pa2.2节点B利用临时加密密钥k₁解密密文消息c，得到

pa2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且

的计算结果等于r，则节点B接受g^x作为节点A产生的共享密钥生成元素，继续步骤pa2.4，否则，节点B放弃签密密文消息{c，r，s}，终止密钥协商过程；

pa2.4节点B随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；

pa2.5节点B利用临时加密密钥k₁加密共享密钥生成元素g^y，得到加密密文

pa2.6节点B利用临时签名密钥k₂计算密钥源认证消息

pa2.7节点B发送密文消息{c^*，r^*}给节点A；

pa3密钥确认阶段

密钥确认阶段包括以下具体步骤：

pa3.1节点A利用临时加密密钥k₁解密密文消息c^*，得到

pa3.2节点A计算共享密钥σ^*＝(g^y)^x；

pa3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r^*，则节点A接受σ^*＝(g^y)^x作为节点A和节点B之间的共享密钥，节点A确信节点B已经拥有和节点A之间的共享密钥σ^*＝(g^y)^x，继续步骤pa3.4，否则，节点A放弃密文消息{c^*，r^*}，终止密钥协商过程；

pa3.4节点A利用共享密钥σ^*＝(g^y)^x产生密钥确认消息

将密钥确认消息{v}发送给节点B；

pa3.5节点B利用共享密钥σ＝(g^x)^y解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，节点B确信节点A已经拥有和节点B之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，节点B无法确认节点A是否已经拥有和节点B之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*。

实施例2

本发明实施例2与本发明基于椭圆曲线签密技术的技术方案相对应。通信双方是通信网络中的节点A和节点B，节点A是密钥协商的发起者，节点B是密钥协商的应答者，在执行密钥协商之前，系统参数已经正确建立，通信双方已经拥有对方的正确公钥和有效标识。

系统参数描述如下：

p：一个大素数，满足p＞2¹⁶⁰；

F_p：有限域F_p＝[0，…，p-1]；

E：有限域F_p＝[0，…，p-1]上的椭圆曲线，满足E：y²≡(x³+ax+b)mod p；

a和b：椭圆曲线方程参数，满足a，b∈F_p且

G：有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点；

n：基点G在椭圆曲线E上的一个素数阶；

hash：强无碰撞的单向杂凑函数，安全长度至少128位；

KH：带密钥的强无碰撞的单向杂凑函数；

(E_k，D_k)：利用密钥k的对称加密和解密算法；

ID_a：节点A的标识；

ID_b：节点B的标识；

x_a：节点A的私钥，满足x_a∈[1，…，n-1]；

P_a：节点A的公钥，满足P_a＝(x_aG)mod p，有限域F_p上椭圆曲线E的一个点；

x_b：节点B的私钥，满足x_b∈[1，…，n-1]；

P_b：节点B的公钥，满足P_b＝(x_bG)mod p，有限域F_p上椭圆曲线E的一个点；

TQ_a和TQ′_a：节点A采用的保持消息新鲜性的新鲜值；

TQ_b：节点B采用的保持消息新鲜性的新鲜值；

mod：代数模运算；

实施例2包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段。

pb1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

pb1.1节点A随机选择整数x，满足x∈[1，…，n-1]；

pb1.2节点A计算临时密钥k＝hash((xP_b)modp)，将临时密钥k按照步骤pb1.3和pb1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

pb1.3节点A利用临时加密密钥k₁加密共享密钥生成元素xG，得到 $c=E_{k_1}(\mathrm{xG},{\mathrm{ID}}_a,{\mathrm{ID}}_b,{\mathrm{TQ}}_a);$

pb1.4节点A计算签名和s＝x/(r+x_a)；

pb1.5节点A发送签密密文消息{c，r，s}给节点B；

pb2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

pb2.1节点B利用{r，s，G，p，n，P_a，x_b}计算u＝(s·x_b)mod n，恢复临时密钥k＝hash((u·P_a+u·r·G)mod p)，并将临时密钥k按照步骤pb2.2和pb2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

pb2.2节点B利用临时加密密钥k₁解密密文消息c，得到 $(\mathrm{xG},{\mathrm{ID}}_a,{\mathrm{ID}}_b{,\mathrm{TQ}}_a)=D_{k_1}\left(c\right);$

pb2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且

的计算结果等于r，则节点B接受xG作为节点A产生的共享密钥生成元素，继续步骤pb2.4，否则，节点B放弃签密密文消息{c，r，s}，终止密钥协商过程；

pb2.4节点B随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y·(xG)；

pb2.5节点B利用临时加密密钥k₁加密共享密钥生成元素yG，得到加密密文

pb2.6节点B利用临时签名密钥k₂计算密钥源认证消息 $r^{*}={\mathrm{KH}}_{k_2}(\mathrm{yG},{\mathrm{ID}}_b,{\mathrm{ID}}_a,{\mathrm{TQ}}_b,\mathrm{\σ});$

pb2.7节点B发送密文消息{c^*，r^*}给节点A；

pb3密钥确认阶段

密钥确认阶段包括以下具体步骤：

pb3.1节点A利用临时加密密钥k₁解密密文消息c^*，得到 $(\mathrm{yG},{\mathrm{ID}}_b,{\mathrm{ID}}_a,{\mathrm{TQ}}_b)=D_{k_1}\left(c^{*}\right);$

pb3.2节点A计算共享密钥σ^*＝x·(yG)；

pb3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r^*，则节点A接受σ^*＝x·(yG)作为节点A和节点B之间的共享密钥，节点A确信节点B已经拥有和节点A之间的共享密钥σ^*＝x·(yG)，继续步骤pb3.4，否则，节点A放弃密文消息{c^*，r^*}，终止密钥协商过程；

pb3.4节点A利用共享密钥σ^*＝x·(yG)产生密钥确认消息

将密钥确认消息{v}发送给节点B；

pb3.5节点B利用共享密钥σ＝y·(xG)解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，节点B确信节点A已经拥有和节点B之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*，否则，节点B无法确认节点A是否已经拥有和节点B之间的共享密钥

σ＝y·(xG)＝x·(yG)＝σ^*。

本发明实施例1和实施例2的计算代价和通信代价如表1和表2所示。为讨论问题的方便，我们假设在基于离散对数签密技术的技术方案中，

$\left|\mathrm{KH}(.)\right|\≈\frac{1}{2}\left|q\right|,\left|q\right|\≈\frac{1}{3}\left|p\right|$

即带密钥杂凑函数的安全长度|KH(.)|约等于q的安全长度|q|的一半，q的安全长度|q|约等于p的安全长度|p|的1/3，在基于椭圆曲线签密技术的技术方案中，

$\left|\mathrm{KH}(.)\right|\≈\frac{1}{2}\left|n\right|,$ |n|≈|p|

即带密钥杂凑函数的安全长度|KH(.)|约等于n的安全长度|n|的一半，n的安全长度|n|约等于p的安全长度|p|。

本发明实施例1和实施例2与扩展应用离散对数签密技术和椭圆曲线签密技术的DKEUTS方法进行比较。依据表1中消耗计算资源最多的幂指数模运算和椭圆曲线点乘运算的统计结果，本发明实施例1在计算代价上较DKEUTS方法节省了

$\frac{(8-7)\mathrm{mod}\mathrm{uloexponentiation}}{8\mathrm{mod}\mathrm{uloexponentiation}}=\frac{8-7}{8}=12.5\%$

mod ulo exp onentiation表示幂指数模运算，本发明实施例2在计算代价上较DKEUTS方法节省了

$\frac{(8-7)\mathrm{pointmultiplicative}}{8\mathrm{pointmultiplicative}}=\frac{8-7}{8}=12.5\%$

po int multiplica tive表示有限域上椭圆曲线的点乘运算。本发明实施例1在通信代价上较DKEUTS节省了

$\frac{\left(2\right|\mathrm{KH}(.)|+2|q\left|\right)-\left(2\right|\mathrm{KH}(.)|+|q\left|\right)}{2\left|\mathrm{KH}(.)\right|+2\left|q\right|}=33.3\%$

本发明实施例2在通信代价上较DKEUTS节省了

$\frac{\left(2\right|\mathrm{KH}(.)|+2|n\left|\right)-\left(2\right|\mathrm{KH}(.)|+|n\left|\right)}{2\left|\mathrm{KH}(.)\right|+2\left|n\right|}=33.3\%$

由以上讨论可知，本发明实施例1和实施例2在计算代价上较DKEUTS方法节省了12.5％，在通信代价上较DKEUTS方法节省了33.3％。本发明在保证密钥协商安全性的同时，节省了计算资源和通信资源的需要量。

表1计算代价和通信代价统计

表2计算代价和通信代价符号说明

Claims (1)

1.一种增强保护的非对称密钥协商方法，其特征在于，该方法是基于离散对数签密技术的技术方案或者基于椭圆曲线签密技术的技术方案；

基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；

a1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

a1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，q-1]；

整数x是取自乘法群 

的随机数，q是p-1的素因子，p是一个大素数；

a1.2密钥协商的发起者计算临时密钥 

将临时密钥k按照步骤a1.3和a1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，q-1]，密钥协商的应答者相应的公钥 

g是乘法群 中的一个q阶元素，mod是代数模运算；

a1.3密钥协商的发起者利用临时加密密钥k₁加密共享密钥生成元素g^x，得到 

是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a1.4密钥协商的发起者计算签名 

和s＝x/(r+x_a)；

是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，q-1]，密钥协商的发起者相应的公钥 

a1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者；

a2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

a2.1密钥协商的应答者利用{r，s，g，p，q，y_a，x_b}计算u＝(s·x_b)mod q，恢复临时密钥k＝hash((y_a·g^r)^umodp)，并将临时密钥k按照步骤a2.2和a2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

a2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到 

是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法 

相对应；

a2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且 

的计算结果等于r，则密钥协商的应答者接受g^x作为密钥协商的发起者产生的共享密钥生成元素，继续步骤a2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；

a2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；

a2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素g^y，得到加密密文 

TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

a2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息 

a2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；

a3密钥确认阶段

密钥确认阶段包括以下具体步骤：

a3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到 

a3.2密钥协商的发起者计算共享密钥σ^*＝(g^y)^x；

a3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且 

的计算结果等于r^*，则密钥协商的发起者接受σ^*＝(g^y)^x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝(g^y)^x，继续步骤a3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；

a3.4密钥协商的发起者利用共享密钥σ^*＝(g^y)^x产生密钥确认消息 

将密钥确认消息{v}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法 相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a3.5密钥协商的应答者利用共享密钥σ＝(g^x)^y解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥 σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应；

基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；

b1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

b1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，n-1]；

整数x是取自乘法群 

的随机数，n是一个大素数，n的安全长度约等于|p|，p是一个大素数，满足p＞2¹⁶⁰；

b1.2密钥协商的发起者计算临时密钥k＝hash((xP_b)mod p)，将临时密钥k按照步骤b1.3和b1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_n∈[1，…，n-1]，密钥协商的应答者相应的公钥P_b＝(x_bG)modp，G是有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点，有限域F_p＝[0，…，p-1]上的椭圆曲线E是满足E：y²≡(x³+ax+b)modp的所有解与无穷远点O的并集，椭圆曲线方程参数a和b满足a，b∈Fp且 

n是基点G在椭圆曲线E上的一个素数阶，x_bG＝x_b·G和xP_b＝x·P_b是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，mod是代数模运算；

b1.3密钥协商的发起者利用临时加密密钥K₁加密共享密钥生成元素xG，得到 

是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号，xG＝x·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.4密钥协商的发起者计算签名 和s＝x/(r+x_a)；

是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，n-1]，密钥协商的发起者相应的公钥P_a＝(x_aG)mod p，x_aG＝x_a·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者； 

b2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

b2.1密钥协商的应答者利用{r，s，G，p，n，P_a，x_b}计算u＝(s·x_b)mod n，恢复临时密钥k＝hash((u·P_a+u·r·G)modp)，并将临时密钥k按照步骤b2.2和b2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

u·P_a和u·r·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，(u·P_a+u·r·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点加；

b2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到 

是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法 

相对应；

b2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且 

的计算结果等于r，则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素，继续步骤b2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；

b2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y·(xG)；

y·(xG)＝y·(x·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素yG，得到加密密文 

yG＝y·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

b2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息 

b2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；

b3密钥确认阶段

密钥确认阶段包括以下具体步骤：

b3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到 

b3.2密钥协商的发起者计算共享密钥σ^*＝x·(yG)；

x·(yG)＝x·(y·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘； 

b3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且 

的计算结果等于r^*，则密钥协商的发起者接受σ^*＝x·(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝x·(yG)，继续步骤b3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；

b3.4密钥协商的发起者利用共享密钥σ^*＝x·(yG)产生密钥确认消息 

将密钥确认消息{v}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法 

相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

b3.5密钥协商的应答者利用共享密钥σ＝y·(xG)解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。