CN104868993A - 一种基于证书的两方认证密钥协商方法及系统 - Google Patents

Abstract

本发明公开了一种基于证书的两方认证密钥协商方法，包括以下步骤：生成证书中心CA的主密钥和系统公开参数集；根据所述系统公开参数集和用户的身份信息生成用户的公钥和私钥，所述用户包括会话发起方和会话响应方；根据所述系统公开参数集、证书中心CA的主密钥、用户的身份信息以及用户的公钥，生成用户的证书；根据所述系统公开参数集，会话发起方和会话响应方的身份信息、公钥、私钥、证书，生成两方共享的会话密钥。本发明还公开了一种基于证书的两方认证密钥协商系统，本发明所述技术方案不仅简化了用户证书的管理过程，提供了高效的隐认证机制，而且不存在密钥分发和密钥托管的问题，适用于开放网络环境。

Description

一种基于证书的两方认证密钥协商方法及系统

技术领域

本发明涉及信息安全中的密钥协商技术领域，特别是一种基于证书的两方认证密钥协商方法及系统。

背景技术

密钥协商作为一个重要的密码学原语，它可以保证两个或多个用户在公开网络环境中通过交互信息建立一个共享的会话密钥，参与通信的用户通过共享的会话密钥来加解密通信数据从而保证网络通信的安全。认证密钥协商是一种带有认证功能的密钥协商，它能够对参与密钥协商双方的身份进行认证，从而能有效抵抗中间人攻击。认证密钥协商为开放网络环境下用户间的安全通信提供了认证性、机密性和完整性保护，进而能被用于构造更复杂的高层协议。国内外学者对认证密钥协商方法进行了深入的探讨和研究。但已有方法大多是在传统公钥密码体制下或基于身份密码体制下所提出的，因此这些方法要么存在复杂的证书管理问题，要么存在密钥分发和密钥托管的问题。而近期所提出的无证书认证密钥协商方法尽管有效解决了复杂的证书管理和密钥托管问题，但仍存在密钥分发的问题。因此，现有的认证密钥协商方法在开放网络环境下的应用将会受到限制。

基于证书密码体制是Gentry在2003年所提出的一种新型公钥密码体制，该体制有机结合了基于身份密码体制和传统公钥密码体制的优点，并有效克服了这两种密码体制中存在的缺陷。基于证书密码体制的一个最大的特点是提供了一种高效的隐证书机制，即用户证书仅发送给证书持有人，并与其私钥相结合产生最终的解密密钥或签名密钥。基于该特点，基于证书密码体制不仅消除了证书状态的第三方查询问题，简化了传统公钥密码体制中复杂的证书管理过程，而且克服了基于身份密码体制中固有的密钥分发问题和密钥托管问题。因此，基于证书密码体制是一个性能优良，便于开放网络环境中应用的新型公钥密钥体制。

发明内容

本发明所要解决的技术问题是克服现有技术的不足而提供一种基于证书的两方认证密钥协商方法及系统，本发明将基于证书密码体制和认证密钥协商相结合，不仅简化了证书的管理过程，而且不存在密钥分发和密钥托管的问题，便于在开放网络环境中应用。

本发明为解决上述技术问题采用以下技术方案：

根据本发明提出的一种基于证书的两方认证密钥协商方法，包括以下步骤：

步骤A、生成证书中心CA的主密钥和系统公开参数集；

步骤B、根据所述系统公开参数集和用户的身份信息生成用户的公钥和私钥，所述用户包括会话发起方和会话响应方；

步骤C、根据所述系统公开参数集、证书中心CA的主密钥、用户的身份信息以及用户的公钥，生成用户的证书；

步骤D、根据所述系统公开参数集，会话发起方和会话响应方的身份信息、公钥、私钥、证书，生成两方共享的会话密钥。

作为本发明所述的一种基于证书的两方认证密钥协商方法进一步优化方案，所述步骤A具体过程如下：

步骤101、证书中心CA根据设定的安全参数k∈Z⁺，选择一个k比特的大素数q，并生成一个q阶加法循环群G₁、一个q阶乘法循环群G₂以及定义在群G₁和群G₂上的双线性对e:G₁×G₁→G₂；其中：Z⁺是正整数集合，双线性对e:G₁×G₁→G₂是群G₁与自身的笛卡尔积G₁×G₁到群G₂的映射，即双线性对e:G₁×G₁→G₂是指函数z＝e(P₁,P₂)，其中P₁,P₂∈G₁为自变量，z∈G₂为因变量；

步骤102、从加法循环群G₁中选择一个生成元P并在集合中随机选择一个整数s，计算P_pub＝sP，其中，集合

步骤103、定义三个哈希函数H₁:{0,1}^*×G₁→G₁、H₃:{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³→{0,1}^k；其中，H₁是笛卡尔积{0,1}^*×G₁到G₁的密码学哈希函数，H₂是笛卡尔积到的密码学哈希函数，H₃是笛卡尔积{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³到{0,1}^k的密码学哈希函数，{0,1}^*表示长度不确定的二进制串的集合，{0,1}^k表示长度为k比特的二进制串的集合，(G₁)³和(G₁)⁶分别表示3个群G₁的笛卡尔积和6个群G₁的笛卡尔积，{0,1}^*×G₁表示{0,1}^*和群G₁的笛卡尔积，表示{0,1}^*、{0,1}^*、群G₁和集合的笛卡尔积，{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³表示{0,1}^*、{0,1}^*、(G₁)⁶、群G₂和(G₁)³的笛卡尔积；

步骤104、根据步骤101至步骤103，生成证书中心CA秘密保存的主密钥为msk＝s和系统公开参数集params＝{k,q,G₁,G₂,e,P,P_pub,H₁,H₂,H₃}。

作为本发明所述的一种基于证书的两方认证密钥协商方法进一步优化方案，所述步骤B具体过程如下：

身份为ID_U的用户U在集合中随机选择一个整数x_U作为自己的私钥，SK_U＝x_U；然后计算并获得自己的公钥PK_U＝x_UP。

作为本发明所述的一种基于证书的两方认证密钥协商方法进一步优化方案，所述步骤C具体过程如下：

身份为ID_U的用户U把自己的身份信息ID_U和公钥PK_U提交给证书中心CA，证书中心CA计算Q_U＝H₁(ID_U,PK_U)，生成用户U的证书Cert_U＝mskQ_U＝sQ_U，并把证书Cert_U发送给用户U。

作为本发明所述的一种基于证书的两方认证密钥协商方法进一步优化方案，所述步骤D的具体过程如下：

步骤401、会话发起方A在集合中随机选择一个整数a，计算R_A＝aP和W_A＝H₂(ID_A,ID_B,Cert_A,SK_A)P，其中，ID_A是会话发起方A的身份信息，SK_A是会话发起方A的私钥，Cert_A是会话发起方A证书，ID_B是会话响应方B的身份信息；然后将(ID_A,R_A,W_A)发送给会话响应方B；

步骤402、会话响应方B收到(ID_A,R_A,W_A)后，会话响应方B在集合中随机选择一个整数b，计算R_B＝bP和W_B＝H₂(ID_A,ID_B,Cert_B,SK_B)P，其中，SK_B是会话响应方B的私钥，Cert_B是会话响应方B的证书；然后将(ID_B,R_B,W_B)发送给会话发起方A；

步骤403、会话发起方A收到(ID_B,R_B,W_B)后，会话发起方A依次计算 $K_{A_1}=e(R_B+Q_B,{\mathrm{aP}}_{\mathrm{pub}}+{\mathrm{Cert}}_A),K_{A_2}={\mathrm{SK}}_A{\mathrm{PK}}_B+H_2({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{Cert}}_A,{\mathrm{SK}}_A)W_B,K_{A_3}={\mathrm{aPK}}_B+$ ${\mathrm{SK}}_A{R}_B$ 和其中，Q_B＝H₁(ID_B,PK_B)；然后计算并获得会话密钥 $K_{\mathrm{AB}}=$ $H_3({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{PK}}_A,{\mathrm{PK}}_B,R_A,R_B,W_A,W_B,K_{A_1},K_{A_2},K_{A_3},K_{A_4}),$ 其中，PK_A是会话发起方A的公钥，PK_B是会话响应方B的公钥；

步骤404、会话响应方B依次计算 $K_{B_2}={\mathrm{SK}}_B{\mathrm{PK}}_A+H_2({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{Cert}}_B,{\mathrm{SK}}_B)W_A,K_{B_3}={\mathrm{bPK}}_A+{\mathrm{SK}}_B{R}_A$ 和 $K_{B_4}={\mathrm{bR}}_A,$ 其中，Q_A＝H₁(ID_A,PK_A)；然后计算并获得会话密钥 $K_{\mathrm{BA}}=H_3({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{PK}}_A,{\mathrm{PK}}_B,R_A,$ $R_B,W_A,W_B,K_{B_1},K_{B_2},K_{B_3},K_{B_4}).$

一种基于证书的两方认证密钥协商系统，包括：

系统参数生成模块，用于根据输入的安全参数生成证书中心CA的主密钥以及密码系统的公开参数集；

用户密钥生成模块，用于根据系统参数生成模块生成的公开参数集，以及用户的身份信息，生成用户的公钥和私钥，所述用户包括会话发起方和会话响应方；

证书生成模块，用于根据系统参数生成模块生成的公开参数集和证书中心CA的主密钥、用户的身份信息和公钥，生成用户的证书；

密钥协商模块，用于根据系统参数生成模块生成的公开参数集、会话发起方和响应方的身份信息、用户密钥生成模块生成的会话发起方和响应方的公钥和私钥以及证书生成模块生成的会话发起方和响应方的证书，生成会话两方共享的会话密钥。

作为本发明所述的一种基于证书的两方认证密钥协商系统进一步优化方案，所述密钥协商模块包括会话发起方单元和会话响应方单元；其中，

所述会话发起方单元用于会话发起方计算会话密钥；

所述会话响应方单元用于会话响应方计算会话密钥。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

(1)本发明方法将基于证书密码体制和认证密钥协商相结合，提供了高效的隐证书机制，有效克服了已有认证密钥协商方法中存在的问题，是一种非常适合于开放网络环境中应用的新型认证密钥协商方法；

(2)由于用户仅在获得证书的情况下才能进行密钥协商，因此会话发起者也就无须在发送会话消息前获取响应者的最新证书状态信息，因此本发明不仅消除了基于传统PKI证书的认证密钥协商方法中对证书状态的第三方询问问题，同时也简化了证书的撤销问题；

(3)由于CA无法获知用户的私钥，所以该方法解决了基于身份认证密钥协商方法中固有的密钥托管问题；

(4)由于证书只是为了绑定用户公钥与用户身份之间的对应关系，可以公开地发送给用户，所以该方法也有效克服了基于身份认证密钥协商方法和无证书认证密钥协商方法中存在的密钥分发问题。

附图说明

图1是本发明所述的一种基于证书的两方认证密钥协商方法的流程图。

图2是依照本发明方法的基于证书的两方认证密钥协商系统执行的操作流程图。

图3是本发明所述的基于证书的两方认证密钥协商系统的示意图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

本发明所述基于证书的两方认证密钥协商方法可基于双线性对来实现，下面首先简要介绍双线性对的基本定义和它满足的性质。

设G₁是一个阶为q的加法循环群，G₂是一个阶为q的乘法循环群，并且P是群G₁的生成元，其中q是一个大素数。假设G₁和G₂这两个群上的BDH问题都是困难问题。如果定义在群G₁和群G₂上一个映射e:G₁×G₁→G₂满足下面的三条性质，则称该映射为有效的双线性对。双线性对e:G₁×G₁→G₂是群G₁与自身的笛卡尔积G₁×G₁到群G₂的映射，即双线性对e:G₁×G₁→G₂是指函数z＝e(P₁,P₂)，其中P₁,P₂∈G₁为自变量，z∈G₂为因变量。

双线性对应满足的三条性质为：

(1)双线性.对于任意的P₁,P₂∈G₁和有e(aP₁,bP₂)＝e(P₁,P₂)^ab。

(2)非退化性.其中是群G₂的单位元。

(3)可计算性.对于任意的P₁,P₂∈G₁，存在有效的算法计算e(P₁,P₂)。

其中，大素数q对于BDH问题而言不低于二进制表示的160比特，而对于大整数分解问题而言不低于二进制表示的1024比特。循环群的概念为：设H为群，如果存在一个元素P∈H使得H＝{kP|k∈Z}，则称H为加法循环群，称P是H的生成元；如果存在一个元素u∈H使得H＝{u^k|k∈Z}，则称H为乘法循环群，称u是H的生成元。若H为加法(乘法)循环群且生成元P(u)的阶为n,即n是使得P(u)的幂等于群H的单位元的最小正整数，则称H为n阶加法(乘法)循环群。简单来说，加法循环群是指该循环群的生成元能够以加法运算生成群中的所有元素，而乘法循环群是指该循环群的生成元能够以乘幂的方法生成群中的所有元素。此外，其中Z_q是指整数模素数q的剩余类，即Z_q＝{1,2,...,q-1}。

根据以上双线性对的描述，下面结合附图和实现例对本发明提出的一种基于证书的两方认证密钥协商方法进行进一步说明，但并不作为对本发明的限定。

本发明所述方法设计的实体如下：

(1)证书中心CA：负责系统参数生成，即证书中心CA主密钥和系统公开参数集，并签发证书的可信第三方；

(2)会话发起方：会话的原始发起实体；

(3)会话响应方：会话的响应实体。

参照图附图1和附图2，图1是本发明所述的一种基于证书的两方认证密钥协商方法的流程图，图2是依照本发明方法的基于证书的两方认证密钥协商系统执行的操作流程图。

本发明所述方法的步骤具体描述如下：

步骤A，生成证书中心CA的主密钥和系统公开参数集；具体步骤如下：

步骤101：证书中心CA根据设定的安全参数k∈Z⁺，选择一个k比特的大素数q，并生成一个q阶加法循环群G₁和一个q阶乘法循环群G₂以及定义在群G₁和群G₂上的双线性对e:G₁×G₁→G₂；其中：Z⁺是正整数集合，双线性对e:G₁×G₁→G₂是群G₁与自身的笛卡尔积G₁×G₁到群G₂的映射，即双线性对e:G₁×G₁→G₂是指函数z＝e(P₁,P₂)，其中P₁,P₂∈G₁为自变量，z∈G₂为因变量；

步骤102：从加法循环群G₁中选择一个生成元P并在集合中随机选择一个整数，并计算P_pub＝sP，其中：集合

步骤103：定义三个哈希函数H₁:{0,1}^*×G₁→G₁、H₃:{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³→{0,1}^k；其中：H₁是笛卡尔积{0,1}^*×G₁到G₁的密码学哈希函数，H₂是到的密码学哈希函数，H₃是{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³到{0,1}^k的密码学哈希函数，整数k>0，k表示系统安全参数的比特长度，{0,1}^*表示长度不确定的二进制串的集合，{0,1}^k表示长度为k比特的二进制串的集合，(G₁)³和(G₁)⁶分别表示3个群G₁的笛卡尔积和6个群G₁的笛卡尔积，{0,1}^*×G₁表示{0,1}^*和群G₁的笛卡尔积，表示{0,1}^*、{0,1}^*、群G₁和集合的笛卡尔积，{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³表示{0,1}^*、{0,1}^*、(G₁)⁶、群G₂和(G₁)³的笛卡尔积。

步骤104：根据步骤101、步骤102及步骤103的执行结果，生成CA秘密保存的主密钥为msk＝s和系统公开参数集params＝{k,q,G₁,G₂,e,P,P_pub,H₁,H₂,H₃}。

步骤B，根据所述系统公开参数集，用户身份信息，生成用户的公钥和私钥对，所述用户包括会话发起方和会话响应方；具体步骤如下：

步骤105：身份为ID_U的用户U在集合中随机选择一个整数x_U作为自己的私钥SK_U＝x_U。

步骤106：计算并获得自己的公钥PK_U＝x_UP。

步骤C，根据所述系统公开参数集，证书中心CA的主密钥，用户的身份信息，用户的公钥，生成用户的证书；具体步骤如下：

步骤107：身份为ID_U的用户U把身份信息ID_U和公钥PK_U提交给CA。

步骤108：CA计算Q_U＝H₁(ID_U,PK_U)，生成用户U的证书Cert_U＝mskQ_U＝sQ_U。

步骤109：CA把证书Cert_U＝sQ_U发送给用户U。

步骤D，根据所述系统公开参数集，会话发起方和会话响应方的身份信息、公钥、私钥、证书，生成两方共享的会话密钥；具体步骤如下：

步骤110：会话发起方A在集合中随机选择一个整数a，计算R_A＝aP和W_A＝H₂(ID_A,ID_B,Cert_A,SK_A)P，其中ID_A、SK_A和Cert_A分别是会话发起方A的身份信息、私钥和证书，ID_B是会话响应方B的身份信息。

步骤111：A发送(ID_A,R_A,W_A)给会话响应方B。

步骤112：收到(ID_A,R_A,W_A)后，会话响应方B在集合中随机选择一个整数b，计算R_B＝bP和W_B＝H₂(ID_A,ID_B,Cert_B,SK_B)P，其中SK_B和Cert_B分别是会话响应方B的私钥和证书。

步骤113：B发送(ID_B,R_B,W_B)给会话发起方A。

步骤114：收到(ID_B,R_B,W_B)后，会话发起方A依次计算 $K_{A_2}={\mathrm{SK}}_A{\mathrm{PK}}_B+H_2({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{Cert}}_A,{\mathrm{SK}}_A)W_B,K_{A_3}={\mathrm{aPK}}_B+{\mathrm{SK}}_A{R}_B$ 和 $K_{A_4}={\mathrm{aR}}_B,$ 其中，Q_B＝H₁(ID_B,PK_B)；然后计算并获得会话密钥 其中PK_A和PK_B分别是会话发起方A和会话响应方B的公钥。

步骤115：会话响应方B依次计算 $K_{B_2}={\mathrm{SK}}_B{\mathrm{PK}}_A+H_2({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{Cert}}_B,{\mathrm{SK}}_B)W_A,K_{B_3}={\mathrm{bPK}}_A+{\mathrm{SK}}_B{R}_A$ 和 $K_{B_4}={\mathrm{bR}}_A,$ 其中，Q_A＝H₁(ID_A,PK_A)；然后计算并获得会话密钥 $K_{\mathrm{BA}}=H_3({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{PK}}_A,{\mathrm{PK}}_B,R_A,R_B,$ $W_A,W_B,K_{B_1},K_{B_2},K_{B_3},K_{B_4}).$

如附图3所示，本发明还提供了一种基于证书的两方认证密钥协商系统，所述系统包括：系统参数生成模块、用户密钥生成模块、证书生成模块、密钥协商模块；

系统参数生成模块，用于根据输入的安全参数生成证书中心CA的主密钥以及密码系统的公开参数集；

用户密钥生成模块，用于根据系统参数生成模块生成的公开参数集，以及用户的身份信息，生成用户的公钥和私钥，所述用户包括会话发起方和会话响应方；

证书生成模块，用于根据系统参数生成模块生成的公开参数集和证书中心CA的主密钥、用户的身份信息和公钥，生成用户的证书；

密钥协商模块，用于根据系统参数生成模块生成的公开参数集、会话发起方和响应方的身份信息、用户密钥生成模块生成的会话发起方和响应方的公钥和私钥以及证书生成模块生成的会话发起方和响应方的证书，生成会话两方共享的会话密钥。

所述密钥协商模块包括会话发起方单元和会话响应方单元；其中，所述会话发起方单元用于会话发起方计算会话密钥；所述会话响应方单元用于会话响应方计算会话密钥。

以上只是对本发明的优选实施方式进行了描述。对该技术领域的普通技术人员来说，根据以上实施方式可以很容易地联想到其它的优点和变形。因此，本发明并不局限于上述实施方式，其仅仅作为例子对本发明的一种形态进行详细、示范性的说明。在不背离本发明宗旨的范围内，本领域普通技术人员在本发明技术的方案范围内进行的通常变化和替换，都应包含在本发明的保护范围之内。

Claims (7)

1.一种基于证书的两方认证密钥协商方法，其特征在于，包括以下步骤：

步骤A、生成证书中心CA的主密钥和系统公开参数集；

步骤B、根据所述系统公开参数集和用户的身份信息生成用户的公钥和私钥，所述用户包括会话发起方和会话响应方；

步骤C、根据所述系统公开参数集、证书中心CA的主密钥、用户的身份信息以及用户的公钥，生成用户的证书；

步骤D、根据所述系统公开参数集，会话发起方和会话响应方的身份信息、公钥、私钥、证书，生成两方共享的会话密钥。

2.根据权利要求1所述的一种基于证书的两方认证密钥协商方法，其特征在于，所述步骤A具体过程如下：

步骤101、证书中心CA根据设定的安全参数k∈Z⁺，选择一个k比特的大素数q，并生成一个q阶加法循环群G₁、一个q阶乘法循环群G₂以及定义在群G₁和群G₂上的双线性对e:G₁×G₁→G₂；其中：Z⁺是正整数集合，双线性对e:G₁×G₁→G₂是群G₁与自身的笛卡尔积G₁×G₁到群G₂的映射，即双线性对e:G₁×G₁→G₂是指函数z＝e(P₁,P₂)，其中P₁,P₂∈G₁为自变量，z∈G₂为因变量；

步骤102、从加法循环群G₁中选择一个生成元P并在集合中随机选择一个整数s，计算P_pub＝sP，其中，集合

步骤103、定义三个哈希函数H₁:{0,1}^*×G₁→G₁、H₃:{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³→{0,1}^k；其中，H₁是笛卡尔积{0,1}^*×G₁到G₁的密码学哈希函数，H₂是笛卡尔积到的密码学哈希函数，H₃是笛卡尔积{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³到{0,1}^k的密码学哈希函数，{0,1}^*表示长度不确定的二进制串的集合，{0,1}^k表示长度为k比特的二进制串的集合，(G₁)³和(G₁)⁶分别表示3个群G₁的笛卡尔积和6个群G₁的笛卡尔积，{0,1}^*×G₁表示{0,1}^*和群G₁的笛卡尔积，表示{0,1}^*、{0,1}^*、群G₁和集合的笛卡尔积，{0,1}^*×{0,1}^*×(G₁)⁶×G₂×(G₁)³表示{0,1}^*、{0,1}^*、(G₁)⁶、群G₂和(G₁)³的笛卡尔积；

步骤104、根据步骤101至步骤103，生成证书中心CA秘密保存的主密钥为msk＝s和系统公开参数集params＝{k,q,G₁,G₂,e,P,P_pub,H₁,H₂,H₃}。

3.根据权利要求2所述的一种基于证书的两方认证密钥协商方法，其特征在于，所述步骤B具体过程如下：

身份为ID_U的用户U在集合中随机选择一个整数x_U作为自己的私钥，SK_U＝x_U；然后计算并获得自己的公钥PK_U＝x_UP。

4.根据权利要求3所述的一种基于证书的两方认证密钥协商方法，其特征在于，所述步骤C具体过程如下：

身份为ID_U的用户U把自己的身份信息ID_U和公钥PK_U提交给证书中心CA，证书中心CA计算Q_U＝H₁(ID_U,PK_U)，生成用户U的证书Cert_U＝mskQ_U＝sQ_U，并把证书Cert_U发送给用户U。

5.根据权利要求4所述的一种基于证书的两方认证密钥协商方法，其特征在于，所述步骤D的具体过程如下：

步骤401、会话发起方A在集合中随机选择一个整数a，计算R_A＝aP和W_A＝H₂(ID_A,ID_B,Cert_A,SK_A)P，其中，ID_A是会话发起方A的身份信息，SK_A是会话发起方A的私钥，Cert_A是会话发起方A证书，ID_B是会话响应方B的身份信息；然后将(ID_A,R_A,W_A)发送给会话响应方B；

步骤402、会话响应方B收到(ID_A,R_A,W_A)后，会话响应方B在集合中随机选择一个整数b，计算R_B＝bP和W_B＝H₂(ID_A,ID_B,Cert_B,SK_B)P，其中，SK_B是会话响应方B的私钥，Cert_B是会话响应方B的证书；然后将(ID_B,R_B,W_B)发送给会话发起方A；

步骤403、会话发起方A收到(ID_B,R_B,W_B)后，会话发起方A依次计算 $K_{A_1}=e(R_B+Q_B,{\mathrm{aP}}_{\mathrm{pub}}+{\mathrm{Cert}}_A),K_{A_2}={\mathrm{SK}}_A{\mathrm{PK}}_B+H_2({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{Cert}}_A,{\mathrm{SK}}_A)W_B,K_{A_3}={\mathrm{aPK}}_B+$ ${\mathrm{SK}}_A{R}_B$ 和其中，Q_B＝H₁(ID_B,PK_B)；然后计算并获得会话密钥 $K_{\mathrm{AB}}=$ $H_3({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{PK}}_A,{\mathrm{PK}}_B,R_A,R_B,W_A,W_B,K_{A_1},K_{A_2},K_{A_3},K_{A_4}),$ 其中，PK_A是会话发起方A的公钥，PK_B是会话响应方B的公钥；

步骤404、会话响应方B依次计算 $K_{B_1}=e(R_A+Q_A,{\mathrm{bp}}_{\mathrm{pub}}+{\mathrm{Cert}}_B),$ $K_{B_2}={\mathrm{SK}}_B{\mathrm{PK}}_A+H_2({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{Cert}}_B,{\mathrm{SK}}_B)W_A,K_{B_3}={\mathrm{bPK}}_A+{\mathrm{SK}}_B{R}_A$ 和 $K_{B_4}={\mathrm{bR}}_A,$ 其中，Q_A＝H₁(ID_A,PK_A)；然后计算并获得会话密钥 $K_{\mathrm{BA}}=H_3({\mathrm{ID}}_A,{\mathrm{ID}}_B,{\mathrm{PK}}_A,{\mathrm{PK}}_B,R_A,$ $R_B,W_A,W_B,K_{B_1},K_{B_2},K_{B_3},K_{B_4}).$

6.一种基于证书的两方认证密钥协商系统，其特征在于，包括：

系统参数生成模块，用于根据输入的安全参数生成证书中心CA的主密钥以及密码系统的公开参数集；

用户密钥生成模块，用于根据系统参数生成模块生成的公开参数集，以及用户的身份信息，生成用户的公钥和私钥，所述用户包括会话发起方和会话响应方；

证书生成模块，用于根据系统参数生成模块生成的公开参数集和证书中心CA的主密钥、用户的身份信息和公钥，生成用户的证书；

密钥协商模块，用于根据系统参数生成模块生成的公开参数集、会话发起方和响应方的身份信息、用户密钥生成模块生成的会话发起方和响应方的公钥和私钥以及证书生成模块生成的会话发起方和响应方的证书，生成会话两方共享的会话密钥。

7.根据权利要求6所述的一种基于证书的两方认证密钥协商系统，其特征在于，所述密钥协商模块包括会话发起方单元和会话响应方单元；其中，

所述会话发起方单元用于会话发起方计算会话密钥；

所述会话响应方单元用于会话响应方计算会话密钥。