CN102594569A - 一种建立Tor匿名通道时所采用的无证书密钥协商方法 - Google Patents

Abstract

本发明公开了一种建立Tor匿名通道时所采用的无证书密钥协商方法，该方法既可满足Tor系统中的用户认证问题，又能在多个洋葱路由器间实现密钥协商，由于采用的是无证书密码体制，因此既没有基于证书的公钥密码体制的证书管理问题，又没有基于身份公钥密码体制的密钥托管问题，从而可简化Tor匿名通信系统的管理程序，提高效率，并避免产生新的安全问题。

Description

一种建立Tor匿名通道时所采用的无证书密钥协商方法

技术领域

本发明涉及一种密钥协商方法，特别是建立Tor匿名通道时所采用的基于无证书的密钥协商方法。

背景技术

现有网络协议存在的安全漏洞使得攻击者只要发动简单的窃听或流量分析，就可以获得通信双方的身份信息，从而推断出一些有用的信息，给用户带来巨大的损失，匿名通信技术正是基于这种保护通信实体身份信息的需求而产生的。匿名通信的一个重要作用就是隐藏通信双方的身份或通信关系，从而实现对网络用户个人隐私及涉密通信的保护。其中一种著名的匿名通信技术叫做洋葱路由技术(The onion routing，Tor)，在洋葱路由网络中，来自发送者的消息通过一连串代理，最后到达目的接收端，这些中间代理被称为洋葱路由器。

Tor系统在用户通信前，首先要建立一条通过公开网络的虚电路，虚电路中的转发节点只知道自己的直接前驱和直接后继，而不知道路径中的其它节点，外部观测者看到的IP数据包中的地址并不是通信发起者和接收者的地址，而是路径中前后节点的地址，由此通信发起者和接收者被匿名。虚电路中数据流以固定大小的数据包传输，数据包用各个转发节点的对称密钥加密，对称密钥由连接建立的时候通过密钥协商协议生成。

在Tor系统中存在两套密码体制，一套是基于证书的公钥密码体制，用于认证系统中洋葱路由器的身份，在连接建立过程中，使用下一跳洋葱路由器的公钥加密建立连接的信息；另一套是通过密钥协商协议生成的对称密码，由于对称密钥在加密的速度上比非对称密钥具有明显的优势，因此被选择用来加密传输过程中大量的数据。

基于证书的公钥密码体制必然会牵涉到证书管理问题，因此必须引入可信的第三方作为证书管理机构，此机构本身也存在着如何获取足够的大家一致公认的威信及可信认证等问题，更重要的是，由于需要引入证书，由此必然会带来证书申请、审核、颁发、撤销、证书密钥管理与协商、用户认证等等复杂的一系列问题，由于参与通信的主体过多，因此管理复杂、手续繁琐，效率自然要打折扣，并且还会带来新的安全问题，如：怎么防范钓鱼机构非法冒充证书管理结构？

基于上述原因，需要对现有Tor匿名通信系统的基于证书的密钥协议进行改进，改用无证书、自我认证的方式来实现，由此引出本发明。

发明内容

本发明的目的在于提供一种建立Tor匿名通道时所采用的基于无证书的密钥协商方法。

本发明基于Tor匿名通信系统上的无证书密钥协议，所述无证书密钥协仪包括：

(1)系统参数设置：设置系统的公开参数q，、G，、g，、y、H₁、H₂，

所述q为素数且长度为L比特位，L≥1024；

所述G为阶为q的群；

所述g为群G的生成元；

所述y＝g^x，x是在Z_q内随机选取的一个数；

所述H₁是满足{0，1}^*→Z_q的哈希函数，Z_q为有限域；

所述H₂是满足Z_q×Z_q →{0，1}^L的哈希函数，Z_q为有限域；

系统主密钥为x；

(2)部分私钥提取：令任一用户A的身份信息为ID_A，密钥生成中心在验证了用户A的身份信息后按如下算法提取用户的部分私钥s_A：

在Z_q内随机选取一个数k，计算r＝g^k，利用系统主密钥x计算s＝k+H₁(ID_A，r)x，用户A的部分私钥s_A包含r和s信息，记为s_A＝(r，s)，密钥生成中心用一个安全方式将s_A发送给A；

(3)秘密值设定：用户A在Z_q内随机选取一个数t作为其秘密值；

(4)私钥设定：用户A组合其从密钥生成中心获取的部分私钥s_A＝(r，s)和他自己的秘密值t得到其私钥信息sk_A，记为sk_A＝(s_A，t)；

(5)公钥设定：用户A利用其秘密值t计算u＝g^t，加入从密钥生成中心获取的部分私钥s_A，就得到其公钥pk_A，记为pk_A＝(r_A，u_A)；

基于上述密钥协议建立Tor匿名通道时，客户端依次与每个想要连接的洋葱路由器协商会话密钥，其与任何一个洋葱路由器OR_i协商会话密钥的方法如下，在此之前客户端按同样的密钥协商方法已与第一至第i-1个洋葱路由器建立了连接，

(1)客户端从系统的目录服务器上获取第i个洋葱路由器OR_i的公钥信息

及身份信息

在Z_q内随机选取一个数w_i，计算

计算会话密钥K_i＝H₂(Z₁，Z₂)的散列值H(K_i)，所述H₂为哈希函数，Z₁、Z₂为有限域Z_q上的数，其中

将

虚电路序列号C_i、第i个洋葱路由器OR_i的地址组合成一个create数据包，用已与其建立连接关系的各洋葱路由器的会话密钥依次加密后放入relay数据包中发送给OR_i-1；

(2)所发送的relay数据包依次通过第一个洋葱路由器OR₁至第i-1个洋葱路由器OR_i-1后发送给第i个洋葱路由器OR_i，每个洋葱路由器收到relay数据包后，用其与客户端协商好的会话密钥解开，然后再将create数据包发送给下一个洋葱路由器，当第i-1个洋葱路由器OR_i-1收到relay数据包后，用会话密钥K_i-1解开加密的relay数据包，并把create数据包发送给第i个洋葱路由器OR_i；OR_i收到create数据包中的

后计算K_i＝H₂(Z₁，Z₂)，所述H₂为哈希函数，Z₁、Z₂为有限域Z_q上的数，其中 $Z_1={p_i}^{s_{{\mathrm{OR}}_i}},$ $Z_2=g^{w_i{t}_{{\mathrm{OR}}_i}},$

和来自OR_i的私钥信息

OR_i回复一个create数据包，包含虚电路序列号C_i以及它所计算出来的会话密钥K_i＝H₂(Z₁，Z₂)的散列值H(K_i)，该create数据包依次通过第i-1个洋葱路由器OR_i-1至第一个洋葱路由器OR₁的加密后发送至客户端；

(3)客户端收到OR_i的create数据包后用和各洋葱路由器协商好的会话密钥解开，然后将自己计算出的共享密钥K_i＝H₂(Z₁，Z₂)的散列值H(K_i)与从OR_i收到的散列值H(K_i)对比，如果相同则第i个链路建立成功，否则返回错误信息。

本发明所提供的基于无证书的密钥协商方法，既可满足Tor系统中的用户认证问题，又能在多个洋葱路由器间实现密钥协商，由于采用的是无证书密码体制，因此既没有基于证书的公钥密码体制的证书管理问题，又没有基于身份公钥密码体制的密钥托管问题，从而可简化Tor匿名通信系统的管理程序，提高效率，并避免产生新的安全问题。

具体实施方式

下面以通过Tor系统请求HTTP(超文本传送协议)数据的过程为例对本发明作进一步详细说明。为方便说明，设虚电路包含三个洋葱路由器。

(1)客户端与第一个洋葱路由器OR₁建立连接的过程

客户端从系统的目录服务器上获取第一个洋葱路由器OR₁的公钥信息及身份信息在Z_q内随机选取一个数w₁，计算

计算会话密钥K₁＝H₂(Z₁，Z₂)及其散列值，其中 $Z_1={\left(r_{{\mathrm{OR}}_1}{y}^{H_1({\mathrm{ID}}_{{\mathrm{OR}}_1},r_{{\mathrm{OR}}_1})}\right)}^{w_1},$

客户端创建create数据包，包含第一个序列号C₁以及计算好的

第一个洋葱路由器OR₁在收到客户端的

后计算K₁＝H₂(Z₁，Z₂)的散列值H(K₁)；，其中

和来自OR₁的私钥信息

OR₁向客户端回复一个create数据包，包含虚电路序列号C₁以及它所计算出来的会话密钥K₁＝H₂(Z₁，Z₂)的散列值H(K₁)；

客户端将从OR₁收到的会话密钥K₁＝H₂(Z₁，Z₂)的散列值H(K₁)与自己计算得到的散列值H(K₁)对比，如果相同则第一个链路建立成功，否则返回出错信息；

(2)客户端通过第一个洋葱路由器OR₁与第二个洋葱路由器OR₂建立连接的过程

客户端从系统的目录服务器上获取第二个洋葱路由器OR₂的公钥信息及身份信息

在Z_q内随机选取一个数w₂，计算

计算会话密钥K₂＝H₂(Z₁，Z₂)及其散列值，其中 $Z_1={\left(r_{{\mathrm{OR}}_2}{y}^{H_1({\mathrm{ID}}_{{\mathrm{OR}}_2},r_{{\mathrm{OR}}_2})}\right)}^{w_2},$ $Z_2={u_{{\mathrm{OR}}_2}}^{w_2};$ 将 $p_2=g^{W_2}$ 和想要连接的第二个洋葱路由器OR₂的地址及第二个序列号C₂组合成一个create数据包，用和第一个洋葱路由器OR₁协商好的会话密钥K₁加密后放入relay数据包中发送给第一个洋葱路由器OR₁；

第一个洋葱路由器OR₁收到数据包后，用会话密钥K₁解开加密的relay数据包，并把create数据包发送给第二个洋葱路由器OR₂；OR₂收到create数据包中的

后计算K₂＝H₂(Z₁，Z₂)，其中 $Z_1={p_2}^{s_{{\mathrm{OR}}_2}},$ $Z_2=g^{w_2{t}_{{\mathrm{OR}}_2}},$

和

来自OR₂的私钥信息

OR₂向OR₁回复一个create数据包，包含虚电路序列号C₂以及它所计算出来的会话密钥K₂＝H₂(Z₁，Z₂)的散列值H(K₂)；

OR₁把从OR₂收到的create数据包用它与客户端之间的会话密钥K₁加密后发送给客户端；

客户端收到OR₁的数据包后用和OR₁协商好的会话密钥解开，并将自己计算出的会话密钥K₂＝H₂(Z₁，Z₂)的散列值H(K₂)与从OR₂收到的散列值H(K₂)对比，如果相同则第二个链路建立成功，否则返回错误信息；

(3)客户端通过第一个洋葱路由器OR₁、第二个洋葱路由器OR₂与第三个洋葱路由器OR₃建立连接的过程

客户端从系统的目录服务器上获取第三个洋葱路由器OR₃的公钥信息

及身份信息

在Z_q内随机选取一个数w₃，计算

计算会话密钥K₃＝H₂(Z₁，Z₂)及其散列值，其中 $Z_1={\left(r_{{\mathrm{OR}}_3}{y}^{H_1({\mathrm{ID}}_{{\mathrm{OR}}_3},r_{{\mathrm{OR}}_3})}\right)}^{w_3},$ $Z_2={u_{{\mathrm{OR}}_3}}^{w_3};$ 将 $p_3=g^{W_3}$ 和想要连接的第三个洋葱路由器OR₃的地址及第三个序列号C₃组合成一个create数据包，依次用与第二个洋葱路由器OR₂协商好的会话密钥K₂、与第一个洋葱路由器OR₁协商好的会话密钥K₁加密后放入relay数据包中发送给第一个洋葱路由器OR₁；

第一个洋葱路由器OR₁收到数据包后，用会话密钥K₁解开加密的relay数据包，并把create数据包发送给第二个洋葱路由器OR₂；第二个洋葱路由器OR₂收到数据包后，用会话密钥K₂解开加密的relay数据包，并把create数据包发送给第三个洋葱路由器OR₃，OR₃收到create数据包中的

后计算K₃＝H₂(Z₁，Z₂)及其散列值，其中

$Z_2=g^{w_3{t}_{{\mathrm{OR}}_3}},$

和

来自OR₃的私钥信息 ${\mathrm{sk}}_{{\mathrm{OR}}_3}=(s_{{\mathrm{OR}}_3},t_{{\mathrm{OR}}_3});$ OR₃回复一个create数据包，包含虚电路序列号C₃以及它所计算出来的会话密钥K₃＝H₂(Z₁，Z₂)的散列值H(K₃)；

该数据包依次通过K₃、K₂、K₁加密后发送给客户端；

客户端收到OR₃的数据包后用K₁、K₂、K₃和OR₁解开，并将自己计算出的会话密钥K₃＝H₂(Z₁，Z₂)的散列值H(K₂)与从OR₃收到的散列值H(K₃)对比，如果相同则第三个链路建立成功，否则返回错误信息；

(4)客户端在建立好的虚连接上与服务器建立TCP连接

由于建立了包含三个洋葱路由器的虚电路，客户端发出去的数据首依次用OR₃的会话密钥加密、OR₂的会话密钥加密、OR₁的会话密钥加密，OR₁在收到客户端的数据后用其会话密钥K₁解密后发送给OR₂，OR₂收到OR₁的数据后用会话密钥K₂解密后发送给OR₃，OR₃用会话密钥K₃解密后得到的就是客户端原来想要发送的明文数据，可以与HTTP服务器建立正常的连接；

(5)在Tor建立的虚连接上请求HTTP数据

从客户端加密之后发送出来的数据在经过OR₁、OR₂、OR₃的逐层解密后就是明文信息，可正常加载HTTP信息。

Claims (1)

1.一种建立Tor匿名通道时所采用的无证书密钥协商方法，其特征在于该方法基于Tor匿名通信系统上的无证书密钥协议，

所述无证书密钥协仪包括：

(1)系统参数设置：设置系统的公开参数q，、G，、g，、y、H₁、H₂，

所述q为素数且长度为L比特位，L≥1024；

所述G为阶为q的群；

所述g为群G的生成元；

所述y＝g^x，x是在Z_q内随机选取的一个数；

所述H₁是满足{0，1}^*→Z_q的哈希函数，Z_q为有限域；

所述H₂是满足Z_q×Z_q→{0，1}^L的哈希函数，Z_q为有限域；

系统主密钥为x；

(2)部分私钥提取：令任一用户A的身份信息为ID_A，密钥生成中心在验证了用户A的身份信息后按如下算法提取用户的部分私钥s_A：

在Z_q内随机选取一个数k，计算r＝g^k，利用系统主密钥x计算s＝k+H₁(ID_A，r)x，用户A的部分私钥s_A由r和s构成，记为s_A＝(r，s)，密钥生成中心用一个安全方式将s_A发送给A；

(3)秘密值设定：用户A在Z_q内随机选取一个数t作为其秘密值；

(4)私钥设定：用户A组合其从密钥生成中心获取的部分私钥s_A＝(r，s)和他自己的秘密值t得到其私钥信息sk_A，记为sk_A＝(s_A，t)；

(5)公钥设定：用户A利用其秘密值t计算u＝g^t，加入从密钥生成中心获取的部分私钥s_A，就得到其公钥pk_A，记为pk_A＝(r_A，u_A)；

基于上述密钥协议建立Tor匿名通道时，客户端依次与每个想要连接的洋葱路由器协商会话密钥，其与任何一个洋葱路由器OR_i协商会话密钥的方法如下，在此之前客户端按同样的密钥协商方法已与第一至第i-1个洋葱路由器建立了连接，

(1)客户端从系统的目录服务器上获取第i个洋葱路由器OR_i的公钥信息

及身份信息在Z_q内随机选取一个数w_i，计算

计算会话密钥K_i＝H₂(Z₁，Z₂)及其散列值H(K_i)，所述H₂为哈希函数，Z₁、Z₂为有限域Z_q上的数，其中

将

虚电路序列号C_i、第i个洋葱路由器OR_i的地址组合成一个create数据包，用已与其建立连接关系的各洋葱路由器的会话密钥依次加密后放入relay数据包中发送给OR_i-1；

(2)所发送的relay数据包依次通过第一个洋葱路由器OR₁至第i-1个洋葱路由器OR_i-1后发送给第i个洋葱路由器OR_i，每个洋葱路由器收到relay数据包后，用其与客户端协商好的会话密钥解开，然后再将create数据包发送给下一个洋葱路由器，当第i-1个洋葱路由器OR_i-1收到relay数据包后，用会话密钥K_i-1解开加密的数据包，并把create数据包发送给第i个洋葱路由器OR_i；OR_i收到create数据包中的

后计算K_i＝H₂(Z₁，Z₂)，所述H₂为哈希函数，Z₁、Z₂为有限域Z_q上的数，其中 $Z_1={p_i}^{s_{{\mathrm{OR}}_i}},$ $Z_2=g^{w_i{t}_{{\mathrm{OR}}_i}},$ 和

来自OR_i的私钥信息OR_i回复一个create数据包，包含虚电路序列号C_i以及它所计算出来的会话密钥K_i＝H₂(Z₁，Z₂)的散列值H(K_i)，该create数据包依次通过第i-1个洋葱路由器OR_i-1至第一个洋葱路由器OR₁的加密后发送至客户端；

(3)客户端收到OR_i的create数据包后用和各洋葱路由器协商好的会话密钥解开，然后将自己计算出的共享密钥K_i＝H₂(Z₁，Z₂)的散列值H(K_i)与从OR_i收到的散列值H(K_i)对比，如果相同则第i个链路建立成功，否则返回错误信息。