CN103001957A - 一种密钥生成方法、设备及服务器 - Google Patents

Abstract

本发明涉及密钥协商相关技术领域，特别是涉及一种密钥生成方法、设备及服务器。该密钥生成方法包括：第一设备和第二设备分别选择多个随机数，计算多个相关数；发送一部分的随机数和一部分的相关数到第一服务器，以及发送另一部分的随机数和相关数到第二服务器；第一服务器和第二服务器分别根据接收到的随机数和相关数进行计算得到服务器参数；第一设备、第二设备通过第一服务器和第二服务器执行安全多方计算协议进行模指数运算得到设备参数；第一设备和第二设备采用服务器参数和设备参数的组合作为密钥。本发明的密钥生成方法，使得两个计算能力很弱的设备，在服务器不可信的情形下，也能借助服务器实现模指数的外包计算，得到一个共同的密钥。

Description

一种密钥生成方法、设备及服务器

技术领域

本发明涉及密钥协商相关技术领域，特别是涉及一种密钥生成方法、设备及服务器。

背景技术

密钥协商是一个基本的密码学协议，最早的有效密钥协商协议是Diffie-Hellman协议。Diffie和Hellman已经在不安全的信道上研究了密钥交换的问题。密钥协商的目标是在两个具有计算能力的参与者中间安全交换一个密钥，该密钥能够用来作为一个密码系统的加密和解密密钥。

Diffie-Hellman密钥协商协议在离散对数问题是难处理的假设下，这个方案是安全的。方案在Z_p中运行，其中p是一个素数。假设g是Z_p的一个生成元，g,p都是公开的。在这个协议中，因为A和B都有较强的计算能力，所以他们能够自己计算模指数。Diffie-Hellman密钥协商协议

a）A随机选择一个数α∈[0,p-2]；

b）A计算g^αmodp，并把它发送给B;

c）B随机选择一个数β∈[0,p-2]；

d）B计算g^βmodp，并把它发送给A;

e）A计算K＝(g^β)^αmodp，B计算K＝(g^α)^βmodp。

则A与B获得相同的密钥K，并采用该密钥K对A与B之间的通信进行加密。

然而在不安全的环境，特别是在云计算环境中，如果A和B的计算能力太弱而无法实现模指数的计算，它们不得不求助于云计算服务器来计算模指数。把计算任务外包给一个不诚实的云计算服务商，则用户可能得到不诚实的外包服务。在一个外包计算任务的方案中，安全性应该由如下的两个方面构成：（1）私有性。一旦用户提供一个询问，服务器能使用该询问计算一个结果。对于服务器和外部攻击者，询问和结果都是在加密或隐藏的形式。（2）正确性。服务器为用户需求所计算的结果是正确的，而且用户能够有效地验证服务器返回的计算结果的正确性。除此之外，用户正确的验证应该比直接地计算结果更有效。

但是，云计算服务器执行Diffie-Hellman密钥协商协议要求A和B把他们的密钥α，β以及密钥K泄露给云计算服务器。如果用户对于抵抗内部和外部攻击者的安全性非常敏感，则在云计算中执行传统的Diffie-Hellman密钥协商协议是不可行的。

发明内容

基于此，有必要针对两个计算能力很弱的用户在服务器不诚实的情形下无法安全实现密钥协商的技术问题，提供一种密钥生成方法。

一种密钥生成方法，包括：

获取一个随机数作为第一根随机数，获取多个随机数作为第一随机数，得到包括多个第一随机数的第一随机数组；

计算多个第一相关数，得到包括多个第一相关数的第一相关数组，其中，所述每个第一相关数由一个第一随机数与第一根随机数计算得到；

根据第一随机数计算得到第一设备中间参数，并发送给第二设备；

接收第二设备发送的第二设备中间参数，所述第二设备中间参数由第二设备随机获取的多个第二随机数计算得到；

将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，将第一随机数组第一部分和第一相关数组第二部分发送给第一服务器，将第一随机数组第二部分和第一相关数组第一部分发送给第二服务器；

接收第一服务器发送的第一服务器参数，其中，所述第一服务器参数由第一服务器对第一随机数组第一部分、第一相关数组第二部分进行计算得到；

接收第二服务器发送的第二服务器参数，其中，所述第二服务器参数由第二服务器对第一随机数组第二部分和第一相关数组第一部分进行计算得到；

通过第一服务器和第二服务器根据第一相关数及第二设备中间参数执行安全多方计算协议进行模指数运算得到第一设备参数，并发送到第二设备；

接收第二设备发送的第二设备参数，其中，所述第二设备参数由第二设备通过第一服务器和第二服务器根据第二相关数及第一设备中间参数执行安全多方计算协议进行模指数运算得到，所述第二相关数由第二设备根据第二随机数与第二根随机数计算得到，所述第二根随机数由第二设备随机选择；

采用第一服务器参数、第二服务器参数、第一设备参数及第二设备参数生成密钥。

在其中一个实施例中，第一相关数组第一部分中的任意一个第一相关数，由第一根随机数及第一随机数组第一部分中的一个第一随机数计算得到；第一相关数组第二部分中的任意一个第一相关数，由第一根随机数及第一随机数组第二部分中的一个第一随机数计算得到。

在其中一个实施例中，具体包括：

初始化选择一个有限域Z_p，其中，p是一个素数，从Z_p中选择一个生成元g；

获取一个随机数α作为第一根随机数，获取两个随机数α₁和α₁'作为第一随机数，得到包括α₁和α₁'的第一随机数组，其中，α，α₁，α₁'∈[0,p-2]；

计算两个第一相关数α₂和α₂'，得到包括α₂和α₂'的第一相关数组，其中，α₂＝α-α₁mod(p-1)，α₂'＝α-α₁'mod(p-1)；

计算两个第一设备中间参数

和

把

和

发给第二设备；

接收第二设备发送的两个第二设备中间参数

和

其中，β₁和β₁'为第二设备随机获取的两个第二随机数，β₁，β₁'∈[0,p-2]；

将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，第一随机数组第一部分为α₁，第一随机数组第二部分为α₁'，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，第一相关数组第一部分为α₂，第一相关数组第二部分为α₂'，将α₁和α₂'发送给第一服务器，将α₂和α₁'发送给第二服务器；

接收由第一服务器发送的第一服务器参数K₁₁和K₂₂'，其中，K₁₁由第一服务器根据

得到，K₂₂'由第一服务器根据

计算得到，其中，β₂'由第二设备根据β₂'＝β-β₁'mod(p-1)得到，β为第二设备随机获取的第二根随机数,β∈[0,p-2]；

接收由第二服务器发送的第二服务器参数K₁₁'和K₂₂，其中，K₁₁'由第二服务器根据

计算得到，K₂₂由第二服务器根据

计算得到，其中，β₂由第二设备根据β₂＝β-β₁mod(p-1)得到；

与第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算，分别得到两个第一设备参数K₂₁和K₂₁'，其中，

并发送K₂₁和K₂₁'给第二设备；

接收第二设备发送的两个第二设备参数K₁₂和K₁₂'，K₁₂和K₁₂'由第二设备、第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算得到，其中， $K_{12}={\left(g^{{\mathrm{\α}}_1}\right)}^{{\mathrm{\β}}_2}\mathrm{mod}p,$ ${K_{12}}^{\′}={\left(g^{{{\mathrm{\α}}_1}^{\′}}\right)}^{{{\mathrm{\β}}_2}^{\′}}\mathrm{mod}p;$

如果K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'，则采用K＝K₁₁K₁₂K₂₁K₂₂作为密钥。

一种密钥生成设备，包括随机数选择模块、相关数计算模块、第一设备中间参数计算模块、第二设备中间参数接收模块、服务器发送模块、第一服务器参数接收模块、第二服务器参数接收模块、设备安全多方计算协议执行模块、第二设备参数接收模块和密钥生成模块：

随机数选择模块，用于获取一个随机数作为第一根随机数，获取多个随机数作为第一随机数，得到包括多个第一随机数的第一随机数组；

相关数计算模块，用于计算多个第一相关数，得到包括多个第一相关数的第一相关数组；其中，所述每个第一相关数由一个第一随机数与第一根随机数计算得到；

第一设备中间参数计算模块，用于根据第一随机数计算得到第一设备中间参数，并发送给第二设备；

第二设备中间参数接收模块，用于接收第二设备发送的第二设备中间参数，所述第二设备中间参数由第二设备随机获取的多个第二随机数计算得到；

服务器发送模块，用于将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，将第一随机数组第一部分和第一相关数组第二部分发送给第一服务器，将第一随机数组第二部分和第一相关数组第一部分发送给第二服务器；

第一服务器参数接收模块，用于接收第一服务器发送的第一服务器参数，其中，所述第一服务器参数由第一服务器对第一随机数组第一部分、第一相关数组第二部分进行计算得到；

第二服务器参数接收模块，用于接收第二服务器发送的第二服务器参数，其中，所述第二服务器参数由第二服务器对第一随机数组第二部分和第一相关数组第一部分进行计算得到；

设备安全多方计算协议执行模块，用于通过第一服务器和第二服务器根据第一相关数及第二设备中间参数执行安全多方计算协议进行模指数运算得到第一设备参数，并发送到第二设备；

第二设备参数接收模块，用于接收第二设备发送的第二设备参数，其中，所述第二设备参数由第二设备通过第一服务器和第二服务器根据第二相关数及第一设备中间参数执行安全多方计算协议进行模指数运算得到，所述第二相关数由第二设备根据第二随机数与第二根随机数计算得到，所述第二根随机数由第二设备随机选择；

密钥生成模块，用于采用第一服务器参数、第二服务器参数、第一设备参数及第二设备参数生成密钥。

一种密钥生成方法，包括：

接收由第一设备生成的第一随机数组第一部分和第一相关数组第二部分；

接收由第二设备生成的第二随机数组第一部分和第二相关数第二部分组；

对接收到的第一随机数第一部分、第一相关数第二部分、第二随机数第一部分和第二相关数第二部分进行计算得到第一服务器参数，并发送给第一设备和第二设备；

与第一设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第一设备参数，所述第一设备参数与第一服务器参数用于第一设备生成密钥；

与第二设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第二设备参数，所述第二设备参数与第一服务器参数用于第二设备生成密钥。

在其中一个实施例中，具体包括：

选择一个有限域Z_p，其中，p是一个素数，从Z_p中选择一个生成元g；

接收由第一设备生成的第一随机数组第一部分α₁和第一相关数组第二部分α₂'；

接收由第二设备生成的第二随机数组第一部分β₁和第二相关数组第二部分β₂'；

计算第一服务器参数

和

并把K₁₁和K₂₂'发送给第一设备和第二设备；

与第一设备和第二服务器共同执行安全多方计算协议进行模指数运算，以生成两个第一设备参数K₂₁和K₂₁'，其中，

其中，

和

为第一设备从第二设备接收的两个第二设备中间参数，α₂和α₂'由第一设备根据α₂＝α-α₁mod(p-1)和α₂'＝α-α₁'mod(p-1)计算得到，α₁和α₁'为第一设备随机选择的第一随机数，α为第一设备随机选择的第一根随机数，α，α₁，α₁'∈[0,p-2]；

与第二设备和第二服务器共同执行安全多方计算协议进行模指数运算，以生成两个第二设备参数K₁₂和K₁₂'，其中，

其中，

和

为第二设备从第一设备接收的两个第一设备中间参数，β₂和β₂'由第二设备根据β₂＝β-β₁mod(p-1)和β₂'＝β-β₁'mod(p-1)得到，β₁和β₁'为第二设备随机选择的第二随机数，β为第二设备随机选择的第二根随机数，β₁，β₁'∈[0,p-2]。

一种密钥生成服务器，包括第一设备接收模块、第二设备接收模块、第一服务器参数生成模块、协调第一设备安全多方计算协议执行模块和协调第二设备安全多方计算协议执行模块：

第一设备接收模块，用于接收由第一设备生成的第一随机数组第一部分和第一相关数组第二部分；

第二设备接收模块，用于接收由第二设备生成的第二随机数组第一部分和第二相关数组第二部分；

第一服务器参数生成模块，用于对接收到的第一随机数组第一部分、第一相关数组第二部分、第二随机数组第一部分和第二相关数组第二部分进行计算得到第一服务器参数，并发送给第一设备和第二设备；

协调第一设备安全多方计算协议执行模块，用于与第一设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第一设备参数，所述第一设备参数与第一服务器参数用于第一设备生成密钥；

协调第二设备安全多方计算协议执行模块，用于与第二设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第二设备参数，所述第二设备参数与第一服务器参数用于第二设备生成密钥。

一种密钥生成方法，包括：

第一设备获取一个随机数作为第一根随机数，获取多个随机数作为第一随机数，得到包括多个第一随机数的第一随机数组；

计算多个第一相关数，得到包括多个第一相关数的第一相关数组，其中，所述每个第一相关数由一个第一随机数与第一根随机数计算得到；

第二设备获取一个随机数作为第二根随机数，获取多个随机数作为第二随机数，得到包括多个第二随机数的第二随机数组；

计算多个第二相关数，得到包括多个第二相关数的第二相关数组，其中，所述每个第二相关数由一个第二随机数与第二根随机数计算得到；

第一设备将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，将第一随机数组第一部分和第一相关数组第二部分发送给第一服务器，将第一随机数组第二部分和第一相关数组第一部分发送给第二服务器；

第二设备将第二随机数组分为第二随机数组第一部分和第二随机数组第二部分，将第二相关数组分为第二相关数组第一部分和第二相关数组第二部分，将第二随机数组第一部分和第二相关数组第二部分发送给第一服务器，将第二随机数组第二部分和第二相关数组第一部分发送给第二服务器；

第一服务器对接收到的第一随机数组第一部分、第一相关数组第二部分、第二随机数组第一部分和第二相关数组第二部分进行计算得到第一服务器参数，并发送给第一设备和第二设备；

第二服务器对接收到的第一随机数组第二部分、第一相关数组第一部分、第二随机数组第二部分和第二相关数组第一部分进行计算得到第二服务器参数，并发送给第一设备和第二设备；

第一设备通过第一服务器和第二服务器执行安全多方计算协议进行模指数运算得到第一设备参数，并发送给第二设备；

第二设备通过第一服务器和第二服务器执行安全多方计算协议进行模指数运算得到第二设备参数，并发送给第一设备；

第一设备和第二设备采用第一服务器参数、第二服务器参数、第一设备参数及第二设备参数的组合作为密钥。

在其中一个实施例中：

第一相关数组第一部分中的任意一个第一相关数，由第一根随机数及第一随机数组第一部分中的一个第一随机数计算得到，第一相关数组第二部分中的任意一个第一相关数，由第一根随机数及第一随机数组第二部分中的一个第一随机数计算得到；

第二相关数组第一部分中的任意一个第二相关数，由第二根随机数及第二随机数组第一部分中的一个第二随机数计算得到，第二相关数组第二部分中的任意一个第二相关数，由第二根随机数及第二随机数第二部分中的一个第二随机数计算得到。

在其中一个实施例中，具体包括：

初始化选择一个有限域Z_p，其中，p是一个素数，从Z_p中选择一个生成元g；

第一设备获取一个随机数α作为第一根随机数，获取两个随机数α₁和α₁'作为第一随机数，得到包括α₁和α₁'的第一随机数组，其中，α，α₁，α₁'∈[0,p-2]，计算两个第一相关数α₂和α₂'，得到包括α₂和α₂'的第一相关数组，其中，α₂＝α-α₁mod(p-1)，α₂'＝α-α₁'mod(p-1)，计算两个第一设备中间参数

和

把

和

发给第二设备；

第二设备获取一个随机数β作为第二根随机数，获取两个随机数β₁和β₁'作为第二随机数，得到包括β₁和β₁'的第二随机数组，其中，β，β₁，β₁'∈[0,p-2]，计算两个第二相关数β₂和β₂'，得到包括β₂和β₂'的第二相关数组其中，β₂＝β-β₁mod(p-1)，β₂'＝β-β₁'mod(p-1)，计算两个第二设备中间参数

和把

和发给第一设备；

第一设备将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，第一随机数组第一部分为α₁，第一随机数组第二部分为α₁'，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，第一相关数组第一部分为α₂，第一相关数组第二部分为α₂'，将α₁和α₂'发送给第一服务器，将α₂和α₁'发送给第二服务器；

第二设备将第二随机数组分为第二随机数组第一部分和第二随机数组第二部分，第二随机数组第一部分为β₁，第二随机数组第二部分为β₁'，将第二相关数组分为第二相关数组第一部分和第二相关数组第二部分，第二相关数组第一部分为β₂，第二相关数组第二部分为β₂'，将β₁和β₂'发送给第一服务器，将β₂和β₁'发送给第二服务器；

第一服务器计算第一服务器参数和

第二服务器计算第二服务器参数

和

然后第一服务器将K₁₁和K₂₂'发送给第一设备和第二设备，第二服务器将K₁₁'和K₂₂发送给第一设备和第二设备；

第一设备、第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算，得到两个第一设备参数K₂₁和K₂₁'，其中，

${K_{12}}^{\′}={\left(g^{{{\mathrm{\β}}_1}^{\′}}\right)}^{{{\mathrm{\α}}_2}^{\′}}\mathrm{mod}p;$

第二设备、第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算，得到两个第二设备参数K₁₂和K₁₂'，其中，

${K_{12}}^{\′}={\left(g^{{{\mathrm{\α}}_1}^{\′}}\right)}^{{{\mathrm{\β}}_2}^{\′}}\mathrm{mod}p;$

第一设备发送K₂₁和K₂₁'给第二设备，第二设备发送K₁₂和K₁₂'给第一设备；

第一设备验证如果K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'，则采用K＝K₁₁K₁₂K₂₁K₂₂作为密钥；

第二设备验证如果K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'，则采用K＝K₁₁K₁₂K₂₁K₂₂作为密钥。

在其中一个实施例中，所述第一服务器与第二服务器通信隔断。以避免第一服务器与第二服务器之间互相通信交互第一设备与第二设备的安全信息。

上述的安全多方计算协议可以使用S.Hohenberger和A.Lysyanskaya提出的模指数外包计算协议。

本发明的密钥生成方法，在密钥生成的过程中，两个不诚实的服务器只能获得密钥生成过程中的部分信息，两个服务器的任何一方都不可能获得完整的秘密信息，从而保证密钥生成的安全性。因此两个计算能力很弱的设备用户，即使在服务器不可信的情形下，也能借助服务器实现模指数的外包计算，得到一个共同的密钥用于信息的加密和解密。

附图说明

图1为本发明的密钥生成系统100的方框示意图；

图2为由本发明的密钥生成设备和密钥生成服务器执行的密钥生成方法的流程图；

图3为本发明的密钥生成设备300的方框示意图；

图4为本发明的密钥服务器400的方框示意图；

图5为由本发明的密钥生成设备和密钥生成服务器执行的密钥生成方法的信息交互图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细的说明。

如图1示出了根据本发明的密钥生成系统100的方框示意图。如图1所示，所述密钥生成系统100包括第一设备101、第二设备102、第一服务器103和第二服务器104。

这里要说明的是，所述第一设备101、第二设备102、第一服务器103和第二服务器104应该包括本文中所公开的各种变型。

如图2示出了根据本发明的由本发明的密钥生成设备和密钥生成服务器执行的密钥生成方法的流程图。

如图2所示，结合图2的密钥生成系统100

在步骤S201，初始化选择一个有限域Z_p，其中，p是一个素数，从Z_p中选择一个生成元g，p,g是公开的，设定一个离线的快速计算指数算法Rand1，然后转到步骤S102；

算法Rand1被一个素数p，一个生成元

和一些其他的值初始化，它的每一次运算都产生一个独立的、随机的对(b,g^bmodp)，其中b∈[0,p-2]。一个可以替换的方法是使用一个可信任的服务器去提前多次执行算法Rand1，得到一个由独立、随机的对组成的表格，然后嵌入到要调用的设备的内存中。设备每一次运行Rand1，都输出表中的一个值。

在步骤S202，第一设备101选择一个随机数α作为第一根随机数，选择两个随机数α₁和α₁'作为第一随机数，得到包括α₁和α₁'的第一随机数组，其中α，α₁，α₁'∈[0,p-2]，计算两个第一相关数α₂和α₂'，得到包括α₂和α₂'的第一相关数组，其中α₂＝α-α₁mod(p-1)，α₂'＝α-α₁'mod(p-1)，然后运行Rand1两次，计算

和

把

和

发给第二设备102；

在步骤S203，第二设备102选择一个随机数β作为第二根随机数，选择两个随机数β₁和β₁'作为第二随机数，得到包括β₁和β₁'的第二随机数组，其中β，β₁，β₁'∈[0,p-2]，计算两个第二相关数β₂和β₂'，得到包括β₂和β₂'的第二相关数组，其中β₂＝β-β₁mod(p-1)，β₂'＝β-β₁'mod(p-1)，计算

和

把

和

发给第一设备101；

在步骤S204，第一设备101把两个第一随机数组分为第一随机数组第一部分α₁和第一随机数组第二部分α₁'，把两个第一相关数组分为第一相关数组第一部分α₂和第一相关数组第二部分α₂'，把第一随机数组第一部分α₁和第一相关数组第二部分α₂'发送给第一服务器103，把第一随机数组第二部分α₁'和第一相关数组第一部分α₂发送给第二服务器104，由于α₂'仅与α₁'及α有关，α₂仅与α₁及α有关，且第一服务器103和第二服务器104均不知道α，因此，第一服务器103和第二服务器104分别拿到第一设备101的部分秘密信息；

在步骤S205，第二设备102把两个第二随机数组分为第二随机数组第一部分β₁和第二随机数组第二部分β₁'，把两个第二相关数组分为第二相关数组第一部分β₂和第二相关数组第二部分β₂'，把第二随机数组第一部分β₁和第二相关数组第二部分β₂'发送给第一服务器103，把第二随机数组第二部分β₁'和第二相关数组第一部分β₂发送给第二服务器104，由于β₂'仅与β₁'及β有关，β₂仅与β₁及β有关，由于第一服务器103和第二服务器104均不知道β，因此，第一服务器103和第二服务器104分别拿到第二设备104的部分秘密信息；

在步骤S206，第一服务器103计算第一服务器参数

和

第二服务器104计算第二服务器参数

和

然后第一服务器103把K₁₁和K₂₂'发送给第一设备101和第二设备102，第二服务器104把K₁₁'和K₂₂发送给第一设备101和第二设备102；

在步骤S207，第一设备101、第一服务器103和第二服务器104共同执行安全多方计算协议进行模指数运算两次，分别得到两个第一设备参数K₂₁和K₂₁'，其中K₂₁根据α₂和

生成，K₂₁'根据α₂'和

生成；

在步骤S208，第二设备102、第一服务器103和第二服务器104共同执行安全多方计算协议进行模指数运算两次，分别得到两个第二设备参数K₁₂和K₁₂'，其中K₁₂根据β₂和

生成，K₁₂'根据β₂'和

生成；

在步骤S209，第一设备101验证K₂₁和K₂₁'的正确性，第二设备102验证K₁₂和K₁₂'的正确性。如果任何一个验证出错，则输出“错误”。否则，第一设备101发送K₂₁和K₂₁'给第二设备102，第二设备102发送K₁₂和K₁₂'给第一设备101；

在步骤S210，第一设备101和第二设备102各自验证K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'是否成立，如果不成立，输出“错误”，否则，第一设备101和第二设备102得到密钥K＝K₁₁K₁₂K₂₁K₂₂。

在后续第一设备101与第二设备102之间的通信，均采用各自的密钥进行加密和解密，由于两个设备的密钥相同，则第一设备101和第二设备102能实现正常通信。

必须指出的是，在上述步骤S202和S203中，采用两个第一随机数作为第一随机数组、采用两个第一相关数作为第一相关数组、采用两个第二随机数作为第二随机数组以及采用两个第二相关数作为第二相关数组均是出于算法简单的考虑，实际上可以采用多于两个的第一随机数、第一相关数、第二随机数和第二相关数进行组合，只要满足以下条件，即：“第一相关数组第一部分中的任意一个第一相关数，由第一根随机数及第一随机数组第一部分中的一个第一随机数计算得到，第一相关数组第二部分中的任意一个第一相关数，由第一根随机数及第一随机数组第二部分中的一个第一随机数计算得到；第二相关数组第一部分中的任意一个第二相关数，由第二根随机数及第二随机数组第一部分中的一个第二随机数计算得到，第二相关数组第二部分中的任意一个第二相关数，由第二根随机数及第二随机数第二部分中的一个第二随机数计算得到。”则第一服务器和第二服务器仅获得第一设备和第二设备的部分信息，从而保证安全性。当采用多于两个的第一随机数、第一相关数、第二随机数和第二相关数时，需要对后续步骤做相应的修改。本领域技术人员在经过有限次计算后可以得到相应的修改步骤。

在上述步骤S207和S208中，安全多方计算协议可以使用S.Hohenberger和A.Lysyanskaya提出的模指数外包计算协议，即

${K_{21}}^{\′}\←\mathrm{EXP}({{\mathrm{\α}}_2}^{\′},g^{{{\mathrm{\β}}_1}^{\′}}),K_{12}\←\mathrm{EXP}({\mathrm{\β}}_2,g^{{\mathrm{\α}}_1}),{K_{12}}^{\′}\←\mathrm{EXP}({{\mathrm{\β}}_2}^{\′},g^{{{\mathrm{\α}}_1}^{\′}}).$ 该模指数外包计算协议具体如下：

通过使用快速的离线指数计算和不可信的辅助服务器计算的预处理过程，S.Hohenberger和A.Lysyanskaya提出了一个使用不信任指数计算盒子U'＝(U₁',U₂')去计算和检测模指数运算的外包计算协议，其中一旦协议开始，则U₁'和U₂'就不能交互。

在这个不信任的程序模型中，攻击者E为U₁'和U₂'写好代码，并把它们给诚实的用户T。如果是云计算环境中，U₁'和U₂'就是两个不信任的云计算服务器，而T就是一个用户。在本实施例中，第一服务器103和第二服务器104即所述的两个不可信的云计算服务器U₁'和U₂'，而第一设备101和第二设备102即所述的诚实的用户T。

在该协议中，假设存在一个算法Rand1计算(b,g^bmodp)。算法Rand1被一个素数p，一个生成元

和一些其他的值初始化，它的每一次都产生一个独立的、随机的(b,g^bmodp)，其中b∈[0,p-2]。一个可以替换的方法是使用一个可信任的服务器去提前计算一个由独立、随机的对组成的表格，然后嵌入到T的内存中。每一次激活Rand1，它都输出表中的一个值。对于Rand1，至关重要的是它的输出与真实的随机数应该是不可区分的。

模指数外包计算算式：EXP(a,u)→u^amodp，该算式表示，输入两个参数(a,u)，经过运算后，输出u^amodp，具体算法如下：

初始化：p,q是两个大素数，Z_p ^*的阶是q。

1：T运行Rand1两次，输出(α,g^αmodp),(β，g^βmodp)，其中v＝g^α,v^b＝g^β，且b＝β/α。

2：T进行两次分解，一个分解是u^α＝(vw)^α＝v^αw^α＝v^bv^cw^α，其中w＝u/v，c＝α-b；另一个分解是v^bv^cw^α＝v^b(fh)^cw^d+e＝v^bf^ch^cw^dw^e，其中h＝v/f，e＝α-d。

3：对于每个程序，T固定两个测试询问运行Rand1得到

第一次测试询问，T询问U₁，U₁(d,w)→w^d，U₁(c,f)→f^c，

$U_1(t_2/r_2,g^{r_2})\→g^{t_2}.$

第二次测试询问，T询问U₂，U₂(e,w)→w^e，U₂(c,h)→h^c，

$U_2(t_2/r_2,g^{r_2})\→g^{t_2}.$

4：T检查给U₁和U₂的测试询问是不是产生正确的输出（即

和

）。如果不成立，则输出“错误”，否则，他通过如下等式计算出u^α，

v^bf^ch^cw^dw^e＝v^b+cw^d+e＝v^αw^α＝(vw)^α＝u^α。

作为一个例子，一种密钥协商协议：

初始化：Z_p是一个有限域，p是一个素数，g是Z_p的一个生成元。p,g是公开的。

1：用户A选择随机数α，α₁，α₁'∈[0,p-2]，计算α₂＝α-α₁mod(p-1)，α₂'＝α-α₁'mod(p-1)，然后运行Rand1两次，得到并送

给用户B；

2：用户B选择随机数β，β₁，β₁'∈[0,p-2]，计算β₂＝β-β₁mod(p-1)，β₂'＝β-β₁'mod(p-1)，然后运行Rand1两次，得到

并送

给用户A；

3：用户A送(α₁,α₂')给U1，(α₂,α₁')给U₂；

4：用户B送(β₁,β₂')给U₁，(β₂,β₁')给U₂；

5：U₁计算 $K_{11}=g^{{\mathrm{\α}}_1{\mathrm{\β}}_1}\mathrm{mod}p$ 和 ${K_{22}}^{\′}=g^{{{\mathrm{\α}}_2}^{\′}{{\mathrm{\β}}_2}^{\′}}\mathrm{mod}p,$ U₂计算 ${K_{11}}^{\′}=g^{{{\mathrm{\α}}_1}^{\′}{{\mathrm{\β}}_1}^{\′}}\mathrm{mod}p$ 和

然后U₁送K₁₁，K₂₂'给A和B，U₂送K₁₁',K₂₂给A和B。

6：用户A和U₁,U₂运行模指数的外包计算两次，分别得到K₂₁和K₂₁'，其中 $K_{21}\←\mathrm{EXP}({\mathrm{\α}}_2,g^{{\mathrm{\β}}_1}),{K_{21}}^{\′}\←\mathrm{EXP}({{\mathrm{\α}}_2}^{\′},g^{{{\mathrm{\β}}_1}^{\′}}).$

7：用户B和U₁,U₂运行模指数的外包计算两次，分别得到K₁₂和K₁₂'，其中 $K_{12}\←\mathrm{EXP}({\mathrm{\β}}_2,g^{{\mathrm{\α}}_1}),{K_{12}}^{\′}\←\mathrm{EXP}({{\mathrm{\β}}_2}^{\′},g^{{{\mathrm{\α}}_1}^{\′}}).$

8：A验证K₂₁和K₂₁'的正确性，B验证K₁₂和K₁₂'的正确性。如果任何一个验证出错，则输出“错误”。否则，A发送K₂₁和K₂₁'给B，B发送K₁₂和K₁₂'给A。

9：A和B各自验证K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'是否成立，如果不成立，输出“错误”，否则双方得到一个共同的密钥K＝K₁₁K₁₂K₂₁K₂₂。

图3示出了根据本发明的密钥生成设备300的方框示意图。如图3所示，密钥生成设备300包括随机数选择模块301、相关数计算模块302、第一设备中间参数计算模块303、第二设备中间参数接收模块304、服务器发送模块305、第一服务器参数接收模块306、第二服务器参数接收模块307、设备安全多方计算协议执行模块308、第二设备参数接收模块309和密钥生成模块310：

随机数选择模块301，用于选择一个随机数作为第一根随机数，选择多个随机数作为第一随机数，得到包括多个第一随机数的第一随机数组；

相关数计算模块302，用于计算多个第一相关数，得到包括多个第一相关数的第一相关数组，所述每个第一相关数由一个第一随机数与第一根随机数计算得到；

第一设备中间参数计算模块303，用于根据第一随机数计算得到第一设备中间参数，并发送给第二设备；

第二设备中间参数接收模块304，用于接收第二设备发送的第二设备中间参数，所述第二设备中间参数由第二设备随机选择的多个第二随机数计算得到；

服务器发送模块305，用于把第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，把第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，把第一随机数组第一部分和第一相关数组第二部分发送给第一服务器，把第一随机数组第二部分和第一相关数组第一部分发送给第二服务器；

第一服务器参数接收模块306，用于接收第一服务器发送的第一服务器参数，所述第一服务器参数由第一服务器对接收到的第一随机数组第一部分、第一相关数组第二部分进行计算得到；

第二服务器参数接收模块307，用于接收第二服务器发送的第二服务器参数，所述第二服务器参数由第二服务器对接收到的第一随机数组第二部分和第一相关数组第一部分进行计算得到；

设备安全多方计算协议执行模块308，用于通过第一服务器和第二服务器根据第一相关数及第二设备中间参数执行安全多方计算协议进行模指数运算得到第一设备参数，并发送到第二设备；

第二设备参数接收模块309，用于接收第二设备发送的第二设备参数，所述第二设备参数由第二设备通过第一服务器和第二服务器根据第二相关数及第一设备中间参数执行安全多方计算协议进行模指数运算得到，所述第二相关数由第二设备根据第二随机数与第二根随机数计算得到，所述第二根随机数由第二设备随机选择；

密钥生成模块310，用于采用第一服务器参数、第二服务器参数、第一设备参数及第二设备参数的组合作为密钥。

图4示出了根据本发明的密钥生成服务器400的方框示意图。

一种密钥生成服务器400，包括第一设备接收模块401、第二设备接收模块402、第一服务器参数生成模块403、协调第一设备安全多方计算协议执行模块404和协调第二设备安全多方计算协议执行模块405：

第一设备接收模块401，用于从第一设备接收由第一设备生成的第一随机数组第一部分和第一相关数组第二部分；

第二设备接收模块402，用于从第二设备接收由第二设备生成的第二随机数组第一部分和第二相关数组第二部分；

第一服务器参数生成模块403，用于对接收到的第一随机数组第一部分、第一相关数组第二部分、第二随机数组第一部分和第二相关数组第二部分进行计算得到第一服务器参数，并发送给第一设备和第二设备；

协调第一设备安全多方计算协议执行模块404，用于与第一设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第一设备参数，所述第一设备参数与第一服务器参数用于第一设备生成密钥；

协调第二设备安全多方计算协议执行模块405，用于与第二设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第二设备参数，所述第二设备参数与第一服务器参数用于第二设备生成密钥。

如图5示出了根据本发明的由本发明的密钥生成设备和密钥生成服务器执行的密钥生成方法的信息交互图。

步骤S510：第一设备101给第二设备102信息

步骤S520：第二设备102给第一设备101信息

步骤S531：第一设备101给第一服务器103信息(α₁,α₂')；

步骤S532：第一设备101给第二服务器104信息(α₂,α₁')；

步骤S541：第二设备102给第一服务器103信息(β₁,β₂')；

步骤S542：第二设备102给第二服务器104信息(β₂,β₁')；

步骤S551：第一服务器103给第一设备101信息K₁₁,K₂₂'；

步骤S552：第一服务器103给第二设备102信息K₁₁,K₂₂'；

步骤S553：第二服务器104给第一设备101信息K₁₁',K₂₂；

步骤S554：第二服务器104给第二设备102信息K₁₁',K₂₂；

步骤S560：在第一设备101、第一服务器103和第二服务器104中执行模指数的外包计算两次。第一服务器103和第二服务器104之间的虚线表示两个服务器没有交互；

步骤S570：在第二设备102、第一服务器103和第二服务器104中执行模指数的外包计算两次。第一服务器103和第二服务器104之间的虚线表示两个服务器没有交互；

步骤S581：第一设备101给第二设备102信息K₂₁和K₂₁'；

步骤S582：第二设备102给第一设备101信息K₁₂和K₁₂'；

步骤S590：第一设备101计算K₁＝K₁₁K₁₂K₂₁K₂₂，第二设备102各自计算K₂＝K₁₁K₁₂K₂₁K₂₂。

对于第一服务器103和第二服务器104来说，第一服务器103缺少K₁₁',K₂₂，而第二服务器104缺少K₁₁，K₂₂'，因此均无法计算出K₁或者K₂，从而保证了密钥生成的安全性。

作为一种具体的应用，两个服务器103和104可以为云服务器，云服务器的计算能力较强，但具有不安全性，特别适合本发明所提供的密钥生成方法。本发明提供的密钥生成方法，使得计算能力很弱的第一设备和第二设备得到一个公共的密钥K，但是云服务器没有得到K的任何信息。在密钥生成的过程中，两个不可信的服务器只能获得密钥生成过程中的部分信息，在两个服务器不能串通，即两个服务器隔绝通信的条件下，任何一方都不可能获得完整的秘密信息，从而保证密钥生成的安全性。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种密钥生成方法，其特征在于，包括：

获取一个随机数作为第一根随机数，获取多个随机数作为第一随机数，得到包括多个第一随机数的第一随机数组；

计算多个第一相关数，得到包括多个第一相关数的第一相关数组，其中，所述每个第一相关数由一个第一随机数与第一根随机数计算得到；

根据第一随机数计算得到第一设备中间参数，并发送给第二设备；

接收第二设备发送的第二设备中间参数，所述第二设备中间参数由第二设备随机获取的多个第二随机数计算得到；

将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，将第一随机数组第一部分和第一相关数组第二部分发送给第一服务器，将第一随机数组第二部分和第一相关数组第一部分发送给第二服务器；

接收第一服务器发送的第一服务器参数，其中，所述第一服务器参数由第一服务器对第一随机数组第一部分、第一相关数组第二部分进行计算得到；

接收第二服务器发送的第二服务器参数，其中，所述第二服务器参数由第二服务器对第一随机数组第二部分和第一相关数组第一部分进行计算得到；

通过第一服务器和第二服务器根据第一相关数及第二设备中间参数执行安全多方计算协议进行模指数运算得到第一设备参数，并发送到第二设备；

接收第二设备发送的第二设备参数，其中，所述第二设备参数由第二设备通过第一服务器和第二服务器根据第二相关数及第一设备中间参数执行安全多方计算协议进行模指数运算得到，所述第二相关数由第二设备根据第二随机数与第二根随机数计算得到，所述第二根随机数由第二设备随机选择；

采用第一服务器参数、第二服务器参数、第一设备参数及第二设备参数生成密钥。

2.根据权利要求1所述的密钥生成方法，其特征在于，第一相关数组第一部分中的任意一个第一相关数，由第一根随机数及第一随机数组第一部分中的一个第一随机数计算得到；第一相关数组第二部分中的任意一个第一相关数，由第一根随机数及第一随机数组第二部分中的一个第一随机数计算得到。

3.根据权利要求1所述的密钥生成方法，其特征在于，具体包括：

初始化选择一个有限域Z_p，其中，p是一个素数，从Z_p中选择一个生成元g；

获取一个随机数α作为第一根随机数，获取两个随机数α₁和α₁'作为第一随机数，得到包括α₁和α₁'的第一随机数组，其中，α，α₁，α₁'∈[0,p-2]；

计算两个第一相关数α₂和α₂'，得到包括α₂和α₂'的第一相关数组，其中，α₂＝α-α₁mod(p-1)，α₂'＝α-α₁'mod(p-1)；

计算两个第一设备中间参数

和把

和

发给第二设备；

接收第二设备发送的两个第二设备中间参数

和

其中，β₁和β₁'为第二设备随机获取的两个第二随机数，β₁，β₁'∈[0,p-2]；

将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，第一随机数组第一部分为α₁，第一随机数组第二部分为α₁'，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，第一相关数组第一部分为α₂，第一相关数组第二部分为α₂'，将α₁和α₂'发送给第一服务器，将α₂和α₁'发送给第二服务器；

接收由第一服务器发送的第一服务器参数K₁₁和K₂₂'，其中，K₁₁由第一服务器根据

得到，K₂₂'由第一服务器根据计算得到，其中，β₂'由第二设备根据β₂'＝β-β₁'mod(p-1)得到，β为第二设备随机获取的第二根随机数,β∈[0,p-2]；

接收由第二服务器发送的第二服务器参数K₁₁'和K₂₂，其中，K₁₁'由第二服务器根据

计算得到，K₂₂由第二服务器根据

计算得到，其中，β₂由第二设备根据β₂＝β-β₁mod(p-1)得到；

与第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算，分别得到两个第一设备参数K₂₁和K₂₁'，其中，

并发送K₂₁和K₂₁'给第二设备；

接收第二设备发送的两个第二设备参数K₁₂和K₁₂'，K₁₂和K₁₂'由第二设备、第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算得到，其中， $K_{12}={\left(g^{{\mathrm{\α}}_1}\right)}^{{\mathrm{\β}}_2}\mathrm{mod}p,$ ${K_{12}}^{\′}={\left(g^{{{\mathrm{\α}}_1}^{\′}}\right)}^{{{\mathrm{\β}}_2}^{\′}}\mathrm{mod}p;$

如果K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'，则采用K＝K₁₁K₁₂K₂₁K₂₂作为密钥。

4.一种密钥生成设备，其特征在于，包括随机数选择模块、相关数计算模块、第一设备中间参数计算模块、第二设备中间参数接收模块、服务器发送模块、第一服务器参数接收模块、第二服务器参数接收模块、设备安全多方计算协议执行模块、第二设备参数接收模块和密钥生成模块：

随机数选择模块，用于获取一个随机数作为第一根随机数，获取多个随机数作为第一随机数，得到包括多个第一随机数的第一随机数组；

相关数计算模块，用于计算多个第一相关数，得到包括多个第一相关数的第一相关数组；其中，所述每个第一相关数由一个第一随机数与第一根随机数计算得到；

第一设备中间参数计算模块，用于根据第一随机数计算得到第一设备中间参数，并发送给第二设备；

第二设备中间参数接收模块，用于接收第二设备发送的第二设备中间参数，所述第二设备中间参数由第二设备随机获取的多个第二随机数计算得到；

服务器发送模块，用于将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，将第一随机数组第一部分和第一相关数组第二部分发送给第一服务器，将第一随机数组第二部分和第一相关数组第一部分发送给第二服务器；

第一服务器参数接收模块，用于接收第一服务器发送的第一服务器参数，其中，所述第一服务器参数由第一服务器对第一随机数组第一部分、第一相关数组第二部分进行计算得到；

第二服务器参数接收模块，用于接收第二服务器发送的第二服务器参数，其中，所述第二服务器参数由第二服务器对第一随机数组第二部分和第一相关数组第一部分进行计算得到；

设备安全多方计算协议执行模块，用于通过第一服务器和第二服务器根据第一相关数及第二设备中间参数执行安全多方计算协议进行模指数运算得到第一设备参数，并发送到第二设备；

第二设备参数接收模块，用于接收第二设备发送的第二设备参数，其中，所述第二设备参数由第二设备通过第一服务器和第二服务器根据第二相关数及第一设备中间参数执行安全多方计算协议进行模指数运算得到，所述第二相关数由第二设备根据第二随机数与第二根随机数计算得到，所述第二根随机数由第二设备随机选择；

密钥生成模块，用于采用第一服务器参数、第二服务器参数、第一设备参数及第二设备参数生成密钥。

5.一种密钥生成方法，其特征在于，包括：

接收由第一设备生成的第一随机数组第一部分和第一相关数组第二部分；

接收由第二设备生成的第二随机数组第一部分和第二相关数第二部分组；

对接收到的第一随机数第一部分、第一相关数第二部分、第二随机数第一部分和第二相关数第二部分进行计算得到第一服务器参数，并发送给第一设备和第二设备；

与第一设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第一设备参数，所述第一设备参数与第一服务器参数用于第一设备生成密钥；

与第二设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第二设备参数，所述第二设备参数与第一服务器参数用于第二设备生成密钥。

6.根据权利要求5所述的密钥生成方法，其特征在于，具体包括：

选择一个有限域Z_p，其中，p是一个素数，从Z_p中选择一个生成元g；

接收由第一设备生成的第一随机数组第一部分α₁和第一相关数组第二部分α₂'；

接收由第二设备生成的第二随机数组第一部分β₁和第二相关数组第二部分β₂'；

计算第一服务器参数和

并把K₁₁和K₂₂'发送给第一设备和第二设备；

与第一设备和第二服务器共同执行安全多方计算协议进行模指数运算，以生成两个第一设备参数K₂₁和K₂₁'，其中，

其中，和

为第一设备从第二设备接收的两个第二设备中间参数，α₂和α₂'由第一设备根据α₂＝α-α₁mod(p-1)和α₂'＝α-α₁'mod(p-1)计算得到，α₁和α₁'为第一设备随机选择的第一随机数，α为第一设备随机选择的第一根随机数，α，α₁，α₁'∈[0,p-2]；

与第二设备和第二服务器共同执行安全多方计算协议进行模指数运算，以生成两个第二设备参数K₁₂和K₁₂'，其中，

其中，

和

为第二设备从第一设备接收的两个第一设备中间参数，β₂和β₂'由第二设备根据β₂＝β-β₁mod(p-1)和β₂'＝β-β₁'mod(p-1)得到，β₁和β₁'为第二设备随机选择的第二随机数，β为第二设备随机选择的第二根随机数，β₁，β₁'∈[0,p-2]。

7.一种密钥生成服务器，其特征在于，包括第一设备接收模块、第二设备接收模块、第一服务器参数生成模块、协调第一设备安全多方计算协议执行模块和协调第二设备安全多方计算协议执行模块：

第一设备接收模块，用于接收由第一设备生成的第一随机数组第一部分和第一相关数组第二部分；

第二设备接收模块，用于接收由第二设备生成的第二随机数组第一部分和第二相关数组第二部分；

第一服务器参数生成模块，用于对接收到的第一随机数组第一部分、第一相关数组第二部分、第二随机数组第一部分和第二相关数组第二部分进行计算得到第一服务器参数，并发送给第一设备和第二设备；

协调第一设备安全多方计算协议执行模块，用于与第一设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第一设备参数，所述第一设备参数与第一服务器参数用于第一设备生成密钥；

协调第二设备安全多方计算协议执行模块，用于与第二设备、第二服务器共同执行安全多方计算协议进行模指数运算，以生成第二设备参数，所述第二设备参数与第一服务器参数用于第二设备生成密钥。

8.一种密钥生成方法，其特征在于，包括：

第一设备获取一个随机数作为第一根随机数，获取多个随机数作为第一随机数，得到包括多个第一随机数的第一随机数组；

计算多个第一相关数，得到包括多个第一相关数的第一相关数组，其中，所述每个第一相关数由一个第一随机数与第一根随机数计算得到；

第二设备获取一个随机数作为第二根随机数，获取多个随机数作为第二随机数，得到包括多个第二随机数的第二随机数组；

计算多个第二相关数，得到包括多个第二相关数的第二相关数组，其中，所述每个第二相关数由一个第二随机数与第二根随机数计算得到；

第一设备将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，将第一随机数组第一部分和第一相关数组第二部分发送给第一服务器，将第一随机数组第二部分和第一相关数组第一部分发送给第二服务器；

第二设备将第二随机数组分为第二随机数组第一部分和第二随机数组第二部分，将第二相关数组分为第二相关数组第一部分和第二相关数组第二部分，将第二随机数组第一部分和第二相关数组第二部分发送给第一服务器，将第二随机数组第二部分和第二相关数组第一部分发送给第二服务器；

第一服务器对接收到的第一随机数组第一部分、第一相关数组第二部分、第二随机数组第一部分和第二相关数组第二部分进行计算得到第一服务器参数，并发送给第一设备和第二设备；

第二服务器对接收到的第一随机数组第二部分、第一相关数组第一部分、第二随机数组第二部分和第二相关数组第一部分进行计算得到第二服务器参数，并发送给第一设备和第二设备；

第一设备通过第一服务器和第二服务器执行安全多方计算协议进行模指数运算得到第一设备参数，并发送给第二设备；

第二设备通过第一服务器和第二服务器执行安全多方计算协议进行模指数运算得到第二设备参数，并发送给第一设备；

第一设备和第二设备采用第一服务器参数、第二服务器参数、第一设备参数及第二设备参数的组合作为密钥。

9.根据权利要求8所述的密钥生成方法，其特征在于：

第一相关数组第一部分中的任意一个第一相关数，由第一根随机数及第一随机数组第一部分中的一个第一随机数计算得到，第一相关数组第二部分中的任意一个第一相关数，由第一根随机数及第一随机数组第二部分中的一个第一随机数计算得到；

第二相关数组第一部分中的任意一个第二相关数，由第二根随机数及第二随机数组第一部分中的一个第二随机数计算得到，第二相关数组第二部分中的任意一个第二相关数，由第二根随机数及第二随机数第二部分中的一个第二随机数计算得到。

10.根据权利要求8所述的密钥生成方法，其特征在于，具体包括：

初始化选择一个有限域Z_p，其中，p是一个素数，从Z_p中选择一个生成元g；

第一设备获取一个随机数α作为第一根随机数，获取两个随机数α₁和α₁'作为第一随机数，得到包括α₁和α₁'的第一随机数组，其中，α，α₁，α₁'∈[0,p-2]，计算两个第一相关数α₂和α₂'，得到包括α₂和α₂'的第一相关数组，其中，α₂＝α-α₁mod(p-1)，α₂'＝α-α₁'mod(p-1)，计算两个第一设备中间参数

和

把

和

发给第二设备；

第二设备获取一个随机数β作为第二根随机数，获取两个随机数β₁和β₁'作为第二随机数，得到包括β₁和β₁'的第二随机数组，其中，β，β₁，β₁'∈[0,p-2]，计算两个第二相关数β₂和β₂'，得到包括β₂和β₂'的第二相关数组其中，β₂＝β-β₁mod(p-1)，β₂'＝β-β₁'mod(p-1)，计算两个第二设备中间参数

和

把

和发给第一设备；

第一设备将第一随机数组分为第一随机数组第一部分和第一随机数组第二部分，第一随机数组第一部分为α₁，第一随机数组第二部分为α₁'，将第一相关数组分为第一相关数组第一部分和第一相关数组第二部分，第一相关数组第一部分为α₂，第一相关数组第二部分为α₂'，将α₁和α₂'发送给第一服务器，将α₂和α₁'发送给第二服务器；

第二设备将第二随机数组分为第二随机数组第一部分和第二随机数组第二部分，第二随机数组第一部分为β₁，第二随机数组第二部分为β₁'，将第二相关数组分为第二相关数组第一部分和第二相关数组第二部分，第二相关数组第一部分为β₂，第二相关数组第二部分为β₂'，将β₁和β₂'发送给第一服务器，将β₂和β₁'发送给第二服务器；

第一服务器计算第一服务器参数和

第二服务器计算第二服务器参数

和

然后第一服务器将K₁₁和K₂₂'发送给第一设备和第二设备，第二服务器将K₁₁'和K₂₂发送给第一设备和第二设备；

第一设备、第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算，得到两个第一设备参数K₂₁和K₂₁'，其中，

${K_{21}}^{\′}={\left(g^{{{\mathrm{\β}}_1}^{\′}}\right)}^{{{\mathrm{\α}}_2}^{\′}}\mathrm{mod}p;$

第二设备、第一服务器和第二服务器共同执行安全多方计算协议进行模指数运算，得到两个第二设备参数K₁₂和K₁₂'，其中，

${K_{12}}^{\′}={\left(g^{{{\mathrm{\α}}_1}^{\′}}\right)}^{{{\mathrm{\β}}_2}^{\′}}\mathrm{mod}p;$

第一设备发送K₂₁和K₂₁'给第二设备，第二设备发送K₁₂和K₁₂'给第一设备；

第一设备验证如果K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'，则采用K＝K₁₁K₁₂K₂₁K₂₂作为密钥；

第二设备验证如果K₁₁K₁₂K₂₁K₂₂＝K₁₁'K₁₂'K₂₁'K₂₂'，则采用K＝K₁₁K₁₂K₂₁K₂₂作为密钥。

Images