CN103634115A - 基于身份的认证密钥协商协议产生方法 - Google Patents

Abstract

本发明涉及一种新的基于身份的认证密钥协商协议产生方法，应用于无线网络，包括系统建立，私钥生成和密钥协商。假设两个用户A和B希望通过本协议协商达成一个会话密钥。在系统建立阶段发布系统参数q，G₁，G₂，

P，P_Enc，s·P_Enc，H₁，H₂，H₃；在私钥生成阶段由私钥生成中心为A和B分别分配公私钥对（PK_A,SK_A）、（PK_B，SK_B）。密钥协商阶段（1）A随机选择x作为临时私钥，计算：T_A1＝x·H₂(x,xP_Enc)P_Enc，

A将T_A1,T_A2发送给B；（2）类似的B计算：T_B1,T_B2发送给A；（3）A计算

B计算

显然，

（4）最终的会话密钥为sk＝PK_A||PK_B||K_AB，协商完成。本发明的基于身份的认证密钥协商协议产生方法，具有PKG前向安全。与同类协议相比更加安全可靠。

Description

基于身份的认证密钥协商协议产生方法

技术领域

本发明涉及密码学领域，特别涉及一种新的基于身份的认证密钥协商协议产生方法,适用于无线网络中双方安全的通信。

背景技术

密钥协商协议（Key Agreement Protocols，简称为KAP）是一种保护网络安全的重要手段，它可以在通信过程中，使得通信双方或多方确认对方的身份，并在确认对方的真实身份后，协商出一个只有通信双方或多方知晓的秘密会话密钥。

随着无线通信技术的发展，通信过程中的安全问题受到越来越多的重视。认证密钥协商协议已经成为一个研究的热点。在通信过程中使用认证密钥协商协议可以使得两个通过不安全信道通信的用户能够协商达成一个共享的会话密钥(session key),还能让这两个用户彼此认证对方的身份。协商得到的会话密钥可以为后续的通信会话提供保密、认证或者完整性等安全服务。

1976年，Diffie和Hellmen提出了公钥密码学的概念并提出了第一个密钥协商协议：D-H协议,但是该协议不具备认证功能。1984年，Shamir提出了身份基密码学的概念。2001年,Boneh和Franklin利用双线性配对(bilinear pairing)给出了第一个可行的身份基加密(Identity-Based Encryption,IBE)方案。Smart在2002年提出第一个基于身份的认证密钥协商协议。此后，出现了许多基于双线性对的身份基密钥认证协议。但是这些协议在完善的前向安全、PKG前向安全、抗中间人攻击、抗密钥泄露伪装攻击等方面存在这一些缺陷。并且大部分协议的安全性的证明是建立在随机预言机模型基础上的。而在随机预言机模型中被证明安全的协议，在真实世界中并不一定安全。2007年，王圣宝等利用Gentry的身份基加密方案提出了带密钥托管的身份基密钥协商协议IBAK-1和无会话密钥托管的身份基密钥协商协议IBAK-2，并在一个不需要利用随机预言假设的标准模型下证明了IBAK-1协议的安全性。随后，汪小芬等指出王圣宝等提出的IBAK-2协议不满足PKG的前向安全并对该协议进行改进。

目前比较热门的无线网络由于自身的特点，不仅对协议的安全性有要求，而且对协议的运算效率也有很高的要求。然而现有的双方认证协议大多使用双线性对，安全性能不高，不适用于无线网络。

发明内容

本发明要解决的技术问题是：为了克服目前双方认证协议大多使用双线性对，造成安全性能较低，不适用于无线网络的缺点，本发明提供一种基于身份的认证密钥协商协议产生方法，利用新的身份基加密方案，设计了一种新的身份基认证密钥协商协议，该协议具有PKG前向安全。并且由于协议的安全性建立在BDDH假设基础上，与同类协议相比更加安全可靠。

本发明解决其技术问题所采用的技术方案是：本发明的基于身份的认证密钥协商协议产生方法，应用于包括通信双方A和B的无线网络系统，包括系统建立阶段，私钥生成阶段和密钥协商阶段。

（1）系统建立阶段

给定一个安全参数k，产生一个素数q，q=2q’+1,其中q’是一个足够大的素数。G₁、G₂是以q为阶的群，

是一个双线性对。P是G₁的生成元。

随机选择

计算

随机选择一个主私钥，计算s·P_Enc。

选择三个安全的Hash函数：H₁：G₂→{0,1}^|q|，H₂：{0,1}^2×|q|→Ζ_q ^*，H3：{0,1}^*→G₁ ^*。

系统参数为q，G₁，G₂，

，P，P_Enc，s·P_Enc，H₁，H₂，H₃

（2）私钥生成阶段

对于一个身份为ID的用户（ID为通信双方A和B），令PK_ID，SK_ID为他的公私钥对（如用户A的公私钥对为PK_A，SK_A）。其中PK_ID=H₃(ID)∈G₁ ^*，SK_ID=s·PK_ID∈G₁ ^*。

①加密阶段：

随机选择σ∈Ζ_q ^*，使用接收者的公钥PK_ID将密文设置成：

$\begin{array}{c}c=<\hat{e}{(P,P)}^{H_2(\mathrm{\&sigma;},m)},H_2(\mathrm{\&sigma;},m)P,H_1(\hat{e}{(P,P)}^{H_2(\mathrm{\&sigma;},m)}\&CenterDot;\hat{e}(H_2(\mathrm{\&sigma;},m){\mathrm{PK}}_{\mathrm{ID}},s\&CenterDot;P_{\mathrm{Enc}}))\\ \&CirclePlus;\mathrm{\&sigma;},H_1\left(\hat{e}(H_2(\mathrm{\&sigma;},m){\mathrm{PK}}_{\mathrm{ID}},s\&CenterDot;\mathrm{\&sigma;}\&CenterDot;P_{\mathrm{Enc}})\right)\&CirclePlus;m>\end{array}$

②解密阶段：

将密文c分解成c₁，c₂，c₃，c₄。解密过程如下：

计算 ${\mathrm{\&sigma;}}^{\&prime;}=H_1(c_1\&CenterDot;\hat{e}({\mathrm{SK}}_{\mathrm{ID}},c_2))\&CirclePlus;c_3,m^{\&prime;}=H_1\left(\hat{e}({\mathrm{SK}}_{\mathrm{ID}},\mathrm{\&sigma;}\&CenterDot;c_2)\right)\&CirclePlus;c_4;$ 如果

不成立，则输出⊥。显然，如果密文c有效，则m=m’。

（3）密钥协商阶段

①A随机选择x作为临时私钥，计算：T_A1＝x·H₂(x,xP_Enc)P_Enc， $T_{A2}=H_1\left(\hat{e}(H_2(x,{\mathrm{xP}}_{\mathrm{Enc}}){\mathrm{PK}}_B,\mathrm{sx}{P}_{\mathrm{Enc}})\right)\&CirclePlus;{\mathrm{xP}}_{\mathrm{Enc}},$ A将T_A1,T_A2发送给B；

②B随机选择y作为临时私钥，计算：T_B1＝y·H₂(y,yP_Enc)P_Enc， $T_{B2}=H_1\left(\hat{e}(H_2(y,y{P}_{\mathrm{Enc}}){\mathrm{PK}}_A,\mathrm{sy}{P}_{\mathrm{Enc}})\right)\&CirclePlus;{\mathrm{yP}}_{\mathrm{Enc}},$ B将T_B1,T_B2发送给A；

③A计算 $K_{\mathrm{AB}}=\hat{e}{((H_1\left(\hat{e}\left({\mathrm{SK}}_A{,T}_{B1}\right)\right)\&CirclePlus;T_{B2}),P)}^x.$ B计算 $K_{\mathrm{BA}}=\hat{e}{((H_1\left(\hat{e}({\mathrm{SK}}_B,T_{A1})\right)\&CirclePlus;T_{A2}),P)}^y.$ 显然， $K_{\mathrm{AB}}\text{=}\hat{e}(P,\mathrm{axyP})=K_{\mathrm{BA}};$

④最终的会话密钥为sk＝PK_A||PK_B||K_AB，协商完成。

本发明的有益效果是，本发明的基于身份的认证密钥协商协议产生方法，具有PKG前向安全。并且由于协议的安全性建立在BDDH假设基础上，与同类协议相比更加安全可靠。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1是本发明的新的身份基密钥协商协议示意图。

具体实施方式

现在结合附图对本发明作进一步详细的说明。附图为简化的示意图，仅以示意方式说明本发明的基本结构，因此其仅显示与本发明有关的构成。

本发明的基于身份的认证密钥协商协议产生方法，应用于包括通信双方A和B的无线网络系统，包括系统建立阶段，私钥生成阶段和密钥协商阶段。

（1）系统建立阶段

给定一个安全参数k，产生一个素数q，q=2q’+1,其中q’是一个足够大的素数。G₁、G₂是以q为阶的群，

是一个双线性对。P是G₁的生成元。

随机选择

计算

随机选择一个主私钥

，计算s·P_Enc。

选择三个安全的Hash函数：H₁：G₂→{0,1}^|q|，H₂：{0,1}^2×|q|→Ζ_q ^*，H3：{0,1}^*→G₁ ^*。

系统参数为q，G₁，G₂，

P，P_Enc，s·P_Enc，H₁，H₂，H₃

（2）私钥生成阶段

对于一个身份为ID的用户，令PK_ID，SK_ID为他的公私钥对。其中PK_ID=H₃(ID)∈G₁ ^*，SK_ID=s·PK_ID∈G₁ ^*。

①加密阶段：

随机选择σ∈Ζ_q ^*，使用接收者的公钥PK_ID将密文设置成：

$\begin{array}{c}c=<\hat{e}{(P,P)}^{H_2(\mathrm{\&sigma;},m)},H_2(\mathrm{\&sigma;},m)P,H_1(\hat{e}{(P,P)}^{H_2(\mathrm{\&sigma;},m)}\&CenterDot;\hat{e}(H_2(\mathrm{\&sigma;},m){\mathrm{PK}}_{\mathrm{ID}},s\&CenterDot;P_{\mathrm{Enc}}))\\ \&CirclePlus;\mathrm{\&sigma;},H_1\left(\hat{e}(H_2(\mathrm{\&sigma;},m){\mathrm{PK}}_{\mathrm{ID}},s\&CenterDot;\mathrm{\&sigma;}\&CenterDot;P_{\mathrm{Enc}})\right)\&CirclePlus;m>\end{array}$

②解密阶段：

将密文c分解成c₁，c₂，c₃，c₄。解密过程如下：

计算 ${\mathrm{\&sigma;}}^{\&prime;}=H_1(c_1\&CenterDot;\hat{e}({\mathrm{SK}}_{\mathrm{ID}},c_2))\&CirclePlus;c_3,m^{\&prime;}=H_1\left(\hat{e}({\mathrm{SK}}_{\mathrm{ID}},\mathrm{\&sigma;}\&CenterDot;c_2)\right)\&CirclePlus;c_4;$ 如果

不成立，则输出⊥。显然，如果密文c有效，则m=m’。

（3）密钥协商阶段

①A随机选择x作为临时私钥，计算：T_A1＝x·H₂(x,xP_Enc)P_Enc， $T_{A2}=H_1\left(\hat{e}(H_2(x,{\mathrm{xP}}_{\mathrm{Enc}}){\mathrm{PK}}_B,\mathrm{sx}{P}_{\mathrm{Enc}})\right)\&CirclePlus;{\mathrm{xP}}_{\mathrm{Enc}},$ A将T_A1,T_A2发送给B；

②B随机选择y作为临时私钥，计算：T_B1＝y·H₂(y,yP_Enc)P_Enc， $T_{B2}=H_1\left(\hat{e}(H_2(y,y{P}_{\mathrm{Enc}}){\mathrm{PK}}_A,\mathrm{sy}{P}_{\mathrm{Enc}})\right)\&CirclePlus;{\mathrm{yP}}_{\mathrm{Enc}},$ B将T_B1,T_B2发送给A；

③A计算 $K_{\mathrm{AB}}=\hat{e}{((H_1\left(\hat{e}\left({\mathrm{SK}}_A{,T}_{B1}\right)\right)\&CirclePlus;T_{B2}),P)}^x.$ B计算 $K_{\mathrm{BA}}=\hat{e}{((H_1\left(\hat{e}({\mathrm{SK}}_B,T_{A1})\right)\&CirclePlus;T_{A2}),P)}^y.$ 显然， $K_{\mathrm{AB}}\text{=}\hat{e}(P,\mathrm{axyP})=K_{\mathrm{BA}};$

④最终的会话密钥为sk＝PK_A||PK_B||K_AB，协商完成。

Claims (1)

1.一种基于身份的认证密钥协商协议产生方法，应用于包括通信双方A和B的无线网络系统，其特征在于，包括系统建立阶段，私钥生成阶段和密钥协商阶段：

（1）系统建立阶段

给定一个安全参数k，产生一个素数q，q=2q’+1,其中q’是一个足够大的素数；G₁、G₂是以q为阶的群，

G₁×G₁→G₂是一个双线性对；P是G₁的生成元；

随机选择

计算

随机选择一个主私钥

，计算s·P_Enc；

选择三个安全的Hash函数：H₁：G₂→{0,1}^|q|，H₂：{0,1}^2×|q|→Ζ_q ^*，H3：{0,1}^*→G₁ ^*；

系统参数为q，G₁，G₂，

P，P_Enc，s·P_Enc，H₁，H₂，H₃；

（2）私钥生成阶段

对于一个身份为ID的用户，令PK_ID，SK_ID为他的公私钥对；其中PK_ID=H₃(ID)∈G₁ ^*，SK_ID=s·PK_ID∈G₁ ^*；

①加密阶段：

随机选择σ∈Ζ_q ^*，使用接收者的公钥PK_ID将密文设置成：

$\begin{array}{c}c=<\hat{e}{(P,P)}^{H_2(\mathrm{\&sigma;},m)},H_2(\mathrm{\&sigma;},m)P,H_1(\hat{e}{(P,P)}^{H_2(\mathrm{\&sigma;},m)}\&CenterDot;\hat{e}(H_2(\mathrm{\&sigma;},m){\mathrm{PK}}_{\mathrm{ID}},s\&CenterDot;P_{\mathrm{Enc}}))\\ \&CirclePlus;\mathrm{\&sigma;},H_1\left(\hat{e}(H_2(\mathrm{\&sigma;},m){\mathrm{PK}}_{\mathrm{ID}},s\&CenterDot;\mathrm{\&sigma;}\&CenterDot;P_{\mathrm{Enc}})\right)\&CirclePlus;m>\end{array}$

②解密阶段：

将密文c分解成c₁，c₂，c₃，c₄；解密过程如下：

计算 ${\mathrm{\&sigma;}}^{\&prime;}=H_1(c_1\&CenterDot;\hat{e}({\mathrm{SK}}_{\mathrm{ID}},c_2))\&CirclePlus;c_3,m^{\&prime;}=H_1\left(\hat{e}({\mathrm{SK}}_{\mathrm{ID}},\mathrm{\&sigma;}\&CenterDot;c_2)\right)\&CirclePlus;c_4;$ 如果

不成立，则输出⊥；显然，如果密文c有效，则m=m’；

（3）密钥协商阶段

①A随机选择x作为临时私钥，计算：T_A1＝x·H₂(x,xP_Enc)P_Enc， $T_{A2}=H_1\left(\hat{e}(H_2(x,{\mathrm{xP}}_{\mathrm{Enc}}){\mathrm{PK}}_B,\mathrm{sx}{P}_{\mathrm{Enc}})\right)\&CirclePlus;{\mathrm{xP}}_{\mathrm{Enc}},$ A将T_A1,T_A2发送给B；

②B随机选择y作为临时私钥，计算：T_B1＝y·H₂(y,yP_Enc)P_Enc， $T_{B2}=H_1\left(\hat{e}(H_2(y,y{P}_{\mathrm{Enc}}){\mathrm{PK}}_A,\mathrm{sy}{P}_{\mathrm{Enc}})\right)\&CirclePlus;{\mathrm{yP}}_{\mathrm{Enc}},$ B将T_B1,T_B2发送给A；

③A计算 $K_{\mathrm{AB}}=\hat{e}{((H_1\left(\hat{e}\left({\mathrm{SK}}_A{T}_{B1}\right)\right)\&CirclePlus;T_{B2}),P)}^x;$ B计算 $K_{\mathrm{BA}}=\hat{e}{((H_1\left(\hat{e}({\mathrm{SK}}_B,T_{A1})\right)\&CirclePlus;T_{A2}),P)}^y.$ 显然， $K_{\mathrm{AB}}\text{=}\hat{e}(P,\mathrm{axyP})=K_{\mathrm{BA}};$

④最终的会话密钥为sk＝PK_A||PK_B||K_AB，协商完成。

Images