CN103634104A - 基于证书的三方认证密钥协商协议产生方法 - Google Patents

Abstract

本发明涉及一种基于证书的三方认证密钥协商协议产生方法，应用于无线网络系统，包括（1）通信三方A、B、C分别将各自的证书发给另外两方；（2）A在接收到B和C发的证书后，随机选择x作为临时私钥；计算：M_A＝(g^b*g^c)^a*g^x，N_A1＝(g^b)^x，N_A2＝(g^c)^x；然后，A将M_A和N_A1发给B，将M_A和N_A2发给C；B、C的处理方式同A；（3）通信方A在接收到通信方B和通信方C发来的消息后，计算验证

若不成立，则协议终止运行；若成立，则计算会话密钥；B、C计算会话密钥的方式同A；（4）协商完成。本发明的基于证书的三方认证密钥协商协议产生方法，只使用了模指运算和hash函数，运算效率较高；本协议能够抵御中间人攻击、未知密钥共享攻击、密钥泄露伪装攻击，安全性高。

Description

基于证书的三方认证密钥协商协议产生方法

技术领域

本发明涉及密码学领域，特别涉及一种新的基于证书的三方认证密钥协商协议产生方法,适用于无线网络中三方安全的通信。

背景技术

密钥协商协议（Key Agreement Protocols，简称为KAP）是一种保护网络安全的重要手段，它可以在通信过程中，使得通信双方或多方确认对方的身份，并在确认对方的真实身份后，协商出一个只有通信双方或多方知晓的秘密会话密钥。

1976年，Diffie和Hellman开创性地提出了公钥密码学的概念和第一个密钥协商协议——Diffie-Hellman协议，随后许多学者对此展开了研究。2000年，Joux利用椭圆曲线上双线性提出了第一个三方密钥协商协议。此后，许多三方密钥协商协议陆续被提出。但是这些协议不管是基于身份的还是基于证书的，大部分仍然沿袭了Joux的思想，设计时利用了椭圆曲线上的双线性，而双线性对的计算复杂度远远大于模指运算，因此协议的运算效率较低。

目前比较热门的无线网络由于自身的特点，不仅对协议的安全性有要求，而且对协议的运算效率也有很高的要求。然而现有的三方认证协议大多使用双线性对，运算效率较低，不适用于无线网络。

发明内容

本发明要解决的技术问题是：为了克服目前三方认证协议大多使用双线性对，造成运算效率较低，不适用于无线网络的缺点，本发明提供一种基于证书的三方认证密钥协商协议产生方法，只使用模指运算和hash函数，运算效率高；能够抵御中间人攻击、未知密钥共享攻击、密钥泄露伪装攻击。

本发明解决其技术问题所采用的技术方案是：本发明的基于证书的三方认证密钥协商协议产生方法，应用于包括通信三方A、B和C的无线网络系统，通信三方A、B、C各有一对密钥（PK_A，SK_A）、（PK_B，SK_B）和（PK_C，SK_C），其中PK_A、PK_B、PK_C是A、B、C的公钥，SK_A、SK_B、SK_C是A、B、C的私钥。密钥的可信度由证书权威机构颁发的证书证明。A、B、C三方的证书形式分别为：

Cert(A)＝＜ID_A,g,p,q,g^a,{ID_A,g,p,q,g^a}_sigCA＞，其中a是通信方A的长期秘密，即A的私钥，＜g,p,q,g^a＞为公钥；

Cert(B)＝＜ID_B,g,p,q,g^b,{ID_B,g,p,q,g^b}_sigCB＞，其中b是通信方B的长期秘密，即B的私钥，＜g,p,q,g^b＞为公钥；

Cert(C)＝＜ID_C,g,p,q,g^c,{ID_C,g,p,q,g^c}_sigCB＞，其中c是通信方C的长期秘密，即C的私钥，＜g,p,q,g^c＞为公钥；

其中，Cert()表示证书，g,p,q,是全局参数，sig表示数字签名。

包括以下步骤：

（1）通信三方A、B、C分别将各自的证书发给另外两方；

（2）通信方A在接收到通信方B和通信方C发的证书后，随机选择x作为临时私钥；

计算：M_A＝(g^b*g^c)^a*g^x，N_A1＝(g^b)^x，N_A2＝(g^c)^x，其中，g^b和g^c从通信方B和通信方C的证书中获得，*表示乘法；

然后，通信方A将M_A和N_A1发给通信方B，将M_A和N_A2发给通信方C；

（3）通信方B在接收到通信方A和通信方C发的证书后，随机选择y作为临时私钥；

计算：M_B＝(g^a*g^c)^b*g^y，N_B1＝(g^a)^y，N_B2＝(g^c)^y，其中，g^a和g^c从通信方A和通信方C的证书中获得；

然后，通信方B将M_B和N_B1发给通信方A，将M_B和N_B2发给通信方C；

（4）通信方C在接收到通信方A和通信方B发的证书后，随机选择z作为临时私钥；

计算：M_C＝(g^a*g^b)^c*g^z，N_C1＝(g^a)^z，N_C2＝(g^b)^z，其中，g^a和g^b从通信方A和通信方B的证书中获得；

然后，通信方C将M_C和N_C1发给通信方A，将M_C和N_C2发给通信方B；

（5）通信方A在接收到通信方B和通信方C发来的消息后，计算

验证 $\frac{M_B*N_{B1}^{-\stackrel{\‾}{a}}}{M_C*N_{C1}^{-\stackrel{\‾}{a}}}=g^{(b-c)a};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{ABC}}=h\left({\left(\frac{M_B*N_{B1}^{-\stackrel{\‾}{a}}}{{\left(g^b\right)}^a}\right)}^a\right|\left|g^x\right|\left|g^y\right|\left|g^z\right),$ 其中，h表示单向抗碰撞的哈希函数，||表示比特连接运算；

（6）通信方B在接收到通信方A和通信方C发来的消息后，计算

验证 $\frac{M_A*N_{A1}^{-\stackrel{\‾}{b}}}{M_C*N_{C2}^{-\stackrel{\‾}{b}}}=g^{(a-c)b};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{BAC}}=h\left({\left(\frac{M_A*N_{A1}^{-\stackrel{\‾}{b}}}{{\left(g^a\right)}^b}\right)}^b\right|\left|g^x\right|\left|g^y\right|\left|g^z\right);$

（7）通信方C在接收到通信方A和通信方B发来的消息后，计算

验证 $\frac{M_A*N_{A2}^{-\stackrel{\‾}{c}}}{M_B*N_{B2}^{-\stackrel{\‾}{c}}}=g^{(a-b)c};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{CAB}}=h\left({\left(\frac{M_A*N_{\mathrm{Ac}}^{-\stackrel{\‾}{c}}}{{\left(g^a\right)}^c}\right)}^c\right|\left|g^x\right|\left|g^y\right|\left|g^z\right);$

（8）sk_ABC＝sk_BAC＝sk_CAB＝sk，则三方协商出安全的会话密钥sk。

其中，随机数x、y和z为一定长度的二进制串，根据实际安全性和能源需求选择二进制串的长度，一般可取1024。

本发明的有益效果是，本发明的基于证书的三方认证密钥协商协议产生方法，只使用了模指运算和hash函数，运算效率较高；本协议能够抵御中间人攻击、未知密钥共享攻击、密钥泄露伪装攻击，安全性高。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1是本发明的协议执行过程中第一轮消息传递的示意图。

图2是本发明的协议执行过程中第二轮消息传递的示意图。

图3是本发明的协议安全性证明中抗中间人攻击的第二轮消息传递中交互信息示意图。

图4是本发明的协议安全性证明中抗密钥泄露伪装攻击的交互信息示意图。

图5是本发明的协议安全性证明中抗未知密钥共享攻击的交互信息示意图。

图6是本发明的协议安全性证明中抗未知密钥共享攻击的交互信息示意图。

具体实施方式

现在结合附图对本发明作进一步详细的说明。这些附图均为简化的示意图，仅以示意方式说明本发明的基本结构，因此其仅显示与本发明有关的构成。

本发明的基于证书的三方认证密钥协商协议产生方法中，通信三方A、B、C各有一对密钥（PK_A，SK_A）、（PK_B，SK_B）和（PK_C，SK_C），其中PK_A、PK_B、PK_C是A、B、C的公钥，SK_A、SK_B、SK_C是A、B、C的私钥。密钥的可信度由证书权威机构颁发的证书证明。A、B、C三方的证书形式分别为：

Cert(A)＝＜ID_A,g,p,q,g^a,{ID_A,g,p,q,g^a}_sigCA＞

Cert(B)＝＜ID_B,g,p,q,g^b,{ID_B,g,p,q,g^b}_sigCB＞

Cert(C)＝＜ID_C,g,p,q,g^c,{ID_C,g,p,q,g^c}_sigCB＞

其中，Cert()表示证书，sig表示数字签名。

本协议的执行过程如图1、图2所示。

（1）通信三方A、B、C分别将各自的证书发给另外两方；

（2）通信方A在接收到通信方B和通信方C发的证书后，随机选择x作为临时私钥；

计算：M_A＝(g^b*g^c)^a*g^x，N_A1＝(g^b)^x，N_A2＝(g^c)^x，其中，g^b和g^c从通信方B和通信方C的证书中获得，*表示乘法；

然后，通信方A将M_A和N_A1发给通信方B，将M_A和N_A2发给通信方C；

（3）通信方B在接收到通信方A和通信方C发的证书后，随机选择y作为临时私钥；

计算：M_B＝(g^a*g^c)^b*g^y，N_B1＝(g^a)^y，N_B2＝(g^c)^y，其中，g^a和g^c从通信方A和通信方C的证书中获得；

然后，通信方B将M_B和N_B1发给通信方A，将M_B和N_B2发给通信方C；

（4）通信方C在接收到通信方A和通信方B发的证书后，随机选择z作为临时私钥；

计算：M_C＝(g^a*g^b)^c*g^z，N_C1＝(g^a)^z，N_C2＝(g^b)^z，其中，g^a和g^b从通信方A和通信方B的证书中获得；

然后，通信方C将M_C和N_C1发给通信方A，将M_C和N_C2发给通信方B；

（5）通信方A在接收到通信方B和通信方C发来的消息后，计算

验证 $\frac{M_B*N_{B1}^{-\stackrel{\‾}{a}}}{M_C*N_{C1}^{-\stackrel{\‾}{a}}}=g^{(b-c)a};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{ABC}}=h\left({\left(\frac{M_B*N_{B1}^{-\stackrel{\‾}{a}}}{{\left(g^b\right)}^a}\right)}^a\right|\left|g^x\right|\left|g^y\right|\left|g^z\right),$ 其中，h表示单向抗碰撞的哈希函数，||表示比特连接运算；

（6）通信方B在接收到通信方A和通信方C发来的消息后，计算

验证 $\frac{M_A*N_{A1}^{-\stackrel{\‾}{b}}}{M_C*N_{C2}^{-\stackrel{\‾}{b}}}=g^{(a-c)b};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{BAC}}=h\left({\left(\frac{M_A*N_{A1}^{-\stackrel{\‾}{b}}}{{\left(g^a\right)}^b}\right)}^b\right|\left|g^x\right|\left|g^y\right|\left|g^z\right);$

（7）通信方C在接收到通信方A和通信方B发来的消息后，计算

验证 $\frac{M_A*N_{A2}^{-\stackrel{\‾}{c}}}{M_B*N_{B2}^{-\stackrel{\‾}{c}}}=g^{(a-b)c};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{CAB}}=h\left({\left(\frac{M_A*N_{\mathrm{Ac}}^{-\stackrel{\‾}{c}}}{{\left(g^a\right)}^c}\right)}^c\right|\left|g^x\right|\left|g^y\right|\left|g^z\right);$

（8）sk_ABC＝sk_BAC＝sk_CAB＝sk，则三方协商出安全的会话密钥sk。

显然，sk_ABC＝sk_BAC＝sk_CAB＝sk。

其中，随机数x、y和z为一定长度的二进制串，根据实际安全性和能源需求选择二进制串的长度，一般可取1024。

本发明的性能分析：

1、安全性证明

由于三方协议的安全性证明没有一个统一的安全模型，本协议的安全性证明采用了攻击列表法，在该方法下证明协议的安全性具有一定的实际意义。

（1）抗中间人攻击（The-Man-In-Middle Attack）

假设攻击者E选择的三个随机数x’、y’、z’，在第二轮消息传递中进行如图3所示的攻击；

显然：sk_ABC＝g^abc||g^x||g^y'||g^z'

sk_BAC＝g^abc||g^x'||g^y||g^z'

sk_CAB＝g^abc||g^x'||g^y'||g^z

sk_ABC≠sk_BAC≠sk_CAB

所以本协议能够抵御中间人攻击。

（2）抗密钥泄露伪装攻击（The-Key-Compromise Impersonation Attack）

假设攻击者E获得了A的长期私钥后，试图在A、C面前伪装成诚实用户B，向A、C发送如图4所示的消息；

由图4可知，即使攻击者E知道诚实用户B的临时私钥，也无法计算出会话密钥，无法在A、C面前伪装成诚实用户B。

（3）抗未知密钥共享攻击（The Unkown Key-Share Attack）

假设攻击者E拥有自己的证书，进行如图5、图6所示的攻击后，计算会话密钥。

由于攻击者E无法获知A的临时私钥，也无法获知B、C的长期私钥，因此，无法计算出和B、C相同的会话密钥。

所以本协议能够抵御未知密钥共享攻击。

综上，本发明产生的协议是一个安全的密钥协商协议。

本发明产生的协议只使用了单向抗碰撞的hash函数和模指运算，和同类型的基于双线性对协议相比，运算效率显著提高。

以上述依据本发明的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项发明技术思想的范围内，进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容，必须要根据权利要求范围来确定其技术性范围。

Claims (1)

1.一种基于证书的三方认证密钥协商协议产生方法，应用于包括通信三方A、B和C的无线网络系统，其特征在于，

包括以下步骤：

（1）通信三方A、B、C分别将各自的证书发给另外两方；A、B、C三方的证书形式分别为：

Cert(A)＝＜ID_A,g,p,q,g^a,{ID_A,g,p,q,g^a}_sigCA＞，其中a是通信方A的长期秘密，即A的私钥，＜g,p,q,g^a＞为公钥；

Cert(B)＝＜ID_B,g,p,q,g^b,{ID_B,g,p,q,g^b}_sigCB＞，其中b是通信方B的长期秘密，即B的私钥，＜g,p,q,g^b＞为公钥；

Cert(C)＝＜ID_C,g,p,q,g^c,{ID_C,g,p,q,g^c}_sigCB＞，其中c是通信方C的长期秘密，即C的私钥，＜g,p,q,g^c＞为公钥；

其中，Cert()表示证书，g,p,q,是全局参数，sig表示数字签名；

（2）通信方A在接收到通信方B和通信方C发的证书后，随机选择x作为临时私钥；

计算：M_A＝(g^b*g^c)^a*g^x，N_A1＝(g^b)^x，N_A2＝(g^c)^x，其中，g^b和g^c从通信方B和通信方C的证书中获得，*表示乘法；

然后，通信方A将M_A和N_A1发给通信方B，将M_A和N_A2发给通信方C；

（3）通信方B在接收到通信方A和通信方C发的证书后，随机选择y作为临时私钥；

计算：M_B＝(g^a*_g ^c)^b*g^y，N_B1＝(g^a)^y，N_B2＝(g^c)^y，其中，g^a和g^c从通信方A和通信方C的证书中获得；

然后，通信方B将M_B和N_B1发给通信方A，将M_B和N_B2发给通信方C；

（4）通信方C在接收到通信方A和通信方B发的证书后，随机选择z作为临时私钥；

计算：M_C＝(g^a*g^b)^c*g^z，N_C1＝(g^a)^z，N_C2＝(g^b)^z，其中，g^a和g^b从通信方A和通信方B的证书中获得；

然后，通信方C将M_C和N_C1发给通信方A，将M_C和N_C2发给通信方B；

（5）通信方A在接收到通信方B和通信方C发来的消息后，计算验证 $\frac{M_B*N_{B1}^{-\stackrel{\‾}{a}}}{M_C*N_{C1}^{-\stackrel{\‾}{a}}}=g^{(b-c)a};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{ABC}}=h\left({\left(\frac{M_B*N_{B1}^{-\stackrel{\‾}{a}}}{{\left(g^b\right)}^a}\right)}^a\right|\left|g^x\right|\left|g^y\right|\left|g^z\right),$ 其中，h表示单向抗碰撞的哈希函数，||表示比特连接运算；

（6）通信方B在接收到通信方A和通信方C发来的消息后，计算

验证 $\frac{M_A*N_{A1}^{-\stackrel{\‾}{b}}}{M_C*N_{C2}^{-\stackrel{\‾}{b}}}=g^{(a-c)b};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{BAC}}=h\left({\left(\frac{M_A*N_{A1}^{-\stackrel{\‾}{b}}}{{\left(g^a\right)}^b}\right)}^b\right|\left|g^x\right|\left|g^y\right|\left|g^z\right);$

（7）通信方C在接收到通信方A和通信方B发来的消息后，计算

验证 $\frac{M_A*N_{A2}^{-\stackrel{\‾}{c}}}{M_B*N_{B2}^{-\stackrel{\‾}{c}}}=g^{(a-b)c};$

若不成立，则协议终止运行；

若成立，则计算会话密钥 ${\mathrm{sk}}_{\mathrm{CAB}}=h\left({\left(\frac{M_A*N_{\mathrm{Ac}}^{-\stackrel{\‾}{c}}}{{\left(g^a\right)}^c}\right)}^c\right|\left|g^x\right|\left|g^y\right|\left|g^z\right);$

（8）sk_ABC＝sk_BAC＝sk_CAB＝sk，则三方协商出安全的会话密钥sk。

Images