CN105763333B

CN105763333B - 一种非对称密钥的协商方法

Info

Publication number: CN105763333B
Application number: CN201610060246.7A
Authority: CN
Inventors: 闫鸣生; 安刚; 王金贵
Original assignee: BEIJING JN TASS TECHNOLOGY Co Ltd
Current assignee: BEIJING JN TASS TECHNOLOGY Co Ltd
Priority date: 2016-01-28
Filing date: 2016-01-28
Publication date: 2019-05-24
Anticipated expiration: 2036-01-28
Also published as: CN105763333A

Abstract

本发明涉及一种非对称密钥的协商方法及系统，其方法包括：步骤1：协商双方通过密钥协商获得一个对称密钥作为初始密钥；步骤2：确定初始杂凑因子为当前杂凑因子；步骤3：根据当前杂凑因子及初始密钥计算获得一个或多个中间密钥；步骤4：根据所得中间密钥计算获得一个或多个私钥；步骤5：基于所得私钥和基点计算获得一个或多个公钥；步骤6：对所得公钥依次进行验证，所有公钥全部验证通过，则返回成功，协商双方均获得相同的一个或多个密钥对，结束；否则，返回不成功，按照约定的方法改变杂凑因子作为当前杂凑因子，执行步骤3。本发明具备与对称密钥协商相同的灵活性，可用于产生临时密钥对，节省大量存储空间和免去安全存储的麻烦。

Description

一种非对称密钥的协商方法

技术领域

本发明涉及一种基于椭圆密码公钥算法的非对称密钥的协商方法及系统，属于密码学和信息安全领域。

背景技术

密钥是密码算法中的关键数据，分为对称密钥和非对称密钥。对称密钥通常应用数据的加密和解密，即解决数据的私密性。而非对称密钥通常用于数据的签名和验证，主要用于数据内容的完整、不可抵赖性及信息发送者身份的合法性检验。

密码学中经常会用到临时密钥，通常是通过密钥协商协议(也称密钥交换协议)来获得只有协商双方才知道的密钥，这种协商的密钥通常是对称密钥，主要用于数据的加解密等运算。

其主要优点是：

协商过程公开，通过若干步骤，协商双方可以获得相同的密钥K，而第三方即便知道了双方交流的全过程，但却无法获得双方的协商的密钥K，因此再后期双方的通信中，由于使用只有他们双方才知道的密钥对通信数据进行了加密，有效地避免了第三方获取通信内容的可能。

同时，由于协商密钥是临时双方经过密钥协商协议过程得到的，也无需长期保存，节省了密钥存储的空间和避免了保存密钥的麻烦。对于众多平等通信对象的场合，为避免两者之间的通信被其它方知道，可以通过密钥协商获得双方的临时通信密钥，无需保存对每一个通信方通信所需的密钥。

发明内容

传统密钥协商协议的结果为对称密钥，而对称密钥在实际使用中，收到很多限制，但不具备公钥(非对称)算法的很多优点，如用一方使用私钥签名，另一方使用公钥进行验证等，在实际使用中，往往需要存贮很多的公钥，以便对对方私钥签名的数据进行公钥验证。

本发明所要解决的技术问题是，针对传统的密钥协商结果均为对称密钥算法使用的对称密钥，对于公钥密码体系中使用的非对称密钥对，尚无通过密钥协商方式获取的补充，提供一种ECC公钥密码体系中使用的，协商的结果是双方各自获得一对或多对密钥对，可作为临时密钥对进行双方进行的信息内容相互进行签名和签证，也可用于相互通信的数据加密和解密的非对称密钥的协商方法及系统。

本发明解决上述技术问题的技术方案如下：一种非对称密钥的协商方法，具体包括以下步骤：

步骤1：协商双方通过密钥协商获得一个对称密钥作为初始密钥；

步骤2：确定初始杂凑因子为当前杂凑因子；

步骤3：根据当前杂凑因子及初始密钥计算获得一个或多个中间密钥；

步骤4：根据所得中间密钥计算获得一个或多个私钥；

步骤5：基于所得私钥和基点计算获得一个或多个公钥；

步骤6：对所得公钥依次进行验证，所有公钥全部验证通过，则返回成功，协商双方均获得相同的一个或多个密钥对，结束；否则，返回不成功，按照约定的方法改变杂凑因子作为当前杂凑因子，执行步骤3。

本发明的有益效果是：具备与对称密钥协商相同的灵活性，即可以双方临时协商来获得一个或多个密钥对，同时该方法具有与对称密钥协商同样的优点，如由于是临时协商产生的，所以无需保存，可以节省大量存储空间和免去安全存储的麻烦，同时安全性也得到保证，即便第三方监控了双方的所有协商过程，但仍然无法知道协商的密钥对结果。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述公钥验证具体包括以下步骤：

步骤6.1：验证公钥是否是无穷远点O；如果是，验证失败，结束；否则，执行步骤6.2；

步骤6.2：验证公钥在x轴和y轴的坐标x_p和y_p是否属于域Fp中的元素；如果是，执行步骤6.3；否则，验证失败，结束；

步骤6.3：验证y_P ²≡x_P ³+ax_P+b(mod p)是否成立，如果是，执行步骤6.4；否则，验证失败，结束；

其中，Fp是椭圆函数y_P ²＝x_P ³+ax_P+b(由参数a，b确定的椭圆曲线) 包含p个元素组成的素域或有限域；

步骤6.4：验证[n]P＝O是否成立，如果是，验证成功；否则验证失败。

进一步，所述步骤6中未全部验证通过时，返回不成功，按照协商双方约定的方法改变杂凑因子，返回执行步骤3。

进一步，所述步骤3具体包括：初始密钥附加已知的杂凑因子进行杂凑运算获得一个中间密钥。

进一步，所述步骤3中中间密钥ZK的计算公式如下：

ZK＝Hash(IK||ZF) 公式(1)

其中，IK为初始密钥，ZF为已知的杂凑因子。

进一步，所述步骤4中私钥ds的计算公式如下：

ds＝mod(ZK,n) 公式(2)

其中，n为基点G的阶。

进一步，所述步骤5中公钥Ps的计算公式如下：

Ps＝(x_P；y_P)＝[ds]G 公式(3)

其中，G为基点，ds为私钥，计算结果Ps＝(x_P；y_P)为公钥。

进一步，所述步骤3具体包括以下步骤：初始密钥附加已知的杂凑因子和M个事先约定的密钥对标识ID值进行杂凑运算得到M个中间密钥。

进一步，在双方同时协商M个密钥对时，所述步骤3中可以产生多个中间密钥ZK_i，i∈(0，M-1):

ZK_i＝Hash(IK||ID_i||ZF)，i∈(0，M-1) 公式(4)

其中，IK为初始密钥，ZF为已知的杂凑因子，ID_i为M个事先约定的密钥对标识ID值。

进一步，所述步骤4中计算多个私钥ds(i)的计算公式如下：：

ds(i)＝mod(ZK_i，n)，i∈(0，M-1) 公式(5)

其中，n为基点G的阶。

进一步，所述步骤5中计算多个公钥Ps(i)的计算公式如下：

Ps(i)＝[ds(i)]G，i∈(0，M-1) 公式(6)

其中，G为基点，ds(i)为第i个私钥，Ps(i)为第i个公钥，(ds(i)，Ps(i)) 为第i个密钥对。

本发明解决上述技术问题的技术方案如下：一种基于椭圆公钥密码算法非对称密钥的协商方法，包括初始密钥模块、中间密钥模块、私钥模块、公钥模块和验证模块；

所述初始密钥模块用于协商双方通过密钥协商获得一个对称密钥作为初始密钥；

所述中间密钥模块用于根据初始密钥和杂凑因子计算获得一个或多个中间密钥；

所述私钥模块用于根据所有中间密钥计算获得一个或多个私钥；

所述公钥模块用于基于所有私钥和基点计算获得一个或多个公钥；

所述验证模块用于对所有公钥依次进行验证，所有公钥全部验证通过，则返回成功，协商双方均获得相同的一个或多个密钥对；否则，返回不成功，并改变杂凑因子，触发中间密钥模块。

椭圆密码算法：ECC(Elliptic curve cryptography)，基于椭圆曲线的密码算法，公钥密码算法的一种密码算法，中国SM2算法也属于ECC算法的一种。

非对称密钥对：密钥对是(d；P)，其中d为私钥，P为公钥。

通过传统及常用的密钥协商办法实现协商对称密钥对并不限定对称密钥协商的方法，均可获得协商密钥对，使得该方法可以在原对称密钥协商的基础上进行非对称密钥的协商。

私钥分散后增加杂凑因子并进行杂凑运算获得中间密钥，以提高密钥分散的成功概率；

计算中间密钥的杂凑运算的数据包括多个事先约定的密钥对ID来获取各自的中间密钥；

密钥计算步骤：通过密钥计算，去掉非法私钥，提高密钥分散的成功概率，减少运算量；

通过椭圆曲线常用的点乘(也称作n倍点加运算)运算获取公钥。

附图说明

图1为本发明实施例1所述的一种非对称密钥的协商方法流程图；

图2为本发明实施例1所述的一种非对称密钥的协商系统结构框图。

附图中，各标号所代表的部件列表如下：

1、初始密钥模块，2、中间密钥模块，3、私钥模块，4、公钥模块，5、验证模块。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图1所示，为本发明实施例1所述的一种非对称密钥对的协商方法，具体包括以下步骤：

步骤2：确定初始杂凑因子为当前杂凑因子；

步骤4：根据所得中间密钥计算获得一个或多个私钥；

步骤5：基于所得私钥和基点计算获得一个或多个公钥；

如图2所示，为本发明实施例1所述的一种非对称密钥对的协商系统，包括初始密钥模块1、中间密钥模块2、私钥模块3、公钥模块4和验证模块 5；

所述初始密钥模块1用于协商双方通过密钥协商获得一个对称密钥作为初始密钥；

所述中间密钥模块2用于根据初始密钥和杂凑因子计算获得一个或多个中间密钥；

所述私钥模块3用于根据所有中间密钥计算获得一个或多个私钥；

所述公钥模块4用于基于所有私钥和基点计算获得一个或多个公钥；

所述验证模块5用于对所有公钥依次进行验证，所有公钥全部验证通过，则返回成功，协商双方均获得相同的一个或多个密钥对；否则，返回不成功，并按照约定的方法改变杂凑因子，触发中间密钥模块2。

单个密钥对协商步骤：本发明实施例2所述的一种非对称密钥的协商方法，已知：ECC曲线参数，分散私钥、分散函数、分散因子及杂凑因子；双方按照如下过程协商密钥对。

步骤1：对称密钥协商：

首先通过传统的密钥协商(密钥交换)方法协商一个对称密钥，作为初始密钥IK。

步骤2：中间密钥运算：

初始密钥IK附加杂凑因子ZF并进行杂凑运算得到中间密钥ZK

ZK＝Hash(IK||ZF)；

杂凑运算选用与ECC运算长度匹配的杂凑算法，如SHA-192，SHA-256 或SM3等。

步骤3：私钥计算：

n为基点G的阶，则私钥ds＝mod(ZK,n)；

步骤4：公钥计算：

G为基点，ds为私钥，计算点Ps＝(x_P；y_P)＝[ds]G，结果Ps＝(x_P；y_P) 为公钥；

步骤5：公钥验证：

a)验证Ps不是无穷远点O；

b)验证公钥Ps的坐标x_P和y_P是域Fp中的元素；

c)验证y_P ²≡x_P ³+ax_P+b(mod p)；

d)验证[n]P＝O；

如成功，则返回成功及产生密钥对(ds；Ps)，如不成功，则返回错误。

如密钥协商成功，通过密钥协商过程1至过程5,双方获得相同的密钥对 (ds；Ps)。

更进一步，如果步骤5验证不成功，则按照双方事先制定的方法改变杂凑因子，如杂凑因子ZF加一，重新从步骤2开始，直至公钥验证通过，而按照事先协商的顺序，第一次通过公钥验证的密钥对，即为双方协商的密钥对。

本发明的主要特点是，不限定对称密钥协商的方法，这样，使用者可以继续使用熟悉或认为更安全的对称密钥协商方法进行第一步骤的初始密钥协商，在得到协商的初始密钥后，协商双方不再通信，而是各自通过步骤2 至步骤5的计算获得相同的密钥对。

2个密钥对协商步骤：本发明实施例3所述的一种非对称密钥的协商方法，已知：ECC曲线参数，分散私钥、分散函数、分散因子及杂凑因子，同时预先知道密钥协商双方的ID，ID可以是名称、编号、邮箱及其它标明身份的数据，该ID通常可以使用对称密钥协商中相同的用户ID。

双方按照如下过程协商密钥对。

步骤1：对称密钥协商：

采用双方确认的密钥协商内容进行对称密钥协商，作为初始密钥IK

步骤2：中间密钥运算：

2.1自身中间密钥运算

初始密钥IK附加杂凑因子ZF及自己的ID_A并进行杂凑运算得到中间密钥ZK

ZK_A＝Hash(IK||ID_A||ZF)；

2.1对方中间密钥运算

初始密钥IK附加杂凑因子ZF及对方的ID_B并进行杂凑运算得到中间密钥ZK

ZK_B＝Hash(IK||ID_B||ZF)；

步骤3：私钥计算：

n为基点G的阶，则

A方的私钥：ds(A)＝mod(ZK_A，n)；

B方的私钥：ds(B)＝mod(ZK_B，n)；

步骤4：公钥计算：

G为基点，ds为私钥，计算椭圆曲线点Ps＝(x_P；y_P)＝[ds]G；

A方的公钥：Ps(A)＝[ds(A)]G；

B方的公钥：Ps(B)＝[ds(B)]G；

步骤5：公钥验证：

分别验证Ps(A)及Ps(B)是否合法，即:

a)验证Ps不是无穷远点O；

b)验证公钥Ps的坐标xP和yP是域Fp中的元素；

c)验证y_P ²≡x_P ³+ax_P+b(mod p)；

d)验证[n]Ps＝O；

如Ps(A)及Ps(B)全部验证成功，则返回成功，如任何一个不成功，则返回不成功。

如密钥协商成功，通过密钥协商过程1至过程5,双方均获得带有A、B 属性的两个密钥对(ds(A),Ps(A))和(ds(B),Ps(B))。

更进一步，如果步骤5验证不成功，则按照双方事先制定的方法改变杂凑因子，如杂凑因子加一，重新从步骤2开始，直至两个公钥均验证通过，而按照事先协商的顺序，第一次通过两个公钥验证的密钥对，即停止协商，结果为双方协商的密钥对。

以下以具体示例进行说明：

假设A、B为密钥对协商的两方，双方ID分别为ID_A和ID_B，密钥对协商中使用的参数为256比特的SM2算法规定的基点G，G的阶n及SM2规定的曲线y_P ²≡x_P ³+ax_P+b。杂凑算法采用256比特的SM3算法。其中，A方为发起方，具体密钥对协商过程如下：

步骤1：对称密钥对协商：

按照行业标准GM/T 003.3-2012《SM2椭圆曲线公钥密码算法第三部分：密钥交换协议》规定的步骤进行密钥协商(设密钥长度Klen＝256)，A、B 双方得到256比特长度的初始密钥IK。

步骤2：中间密钥运算：

设ZF＝0，取杂凑函数采用GM/T 0004-2012《SM3密码杂凑算法》规定的杂凑算法，做如下运算得到中间密钥：

ZK＝Hash(SK||ZF)；公式(1)

其中||为GM/T 003.3-2012《SM2椭圆曲线公钥密码算法第三部分：密钥交换协议》定义的拼接运算。

步骤3：私钥计算：

通过公式(2)运算的到私钥ds：

ds＝mod(ZK，n)；公式(2)

其中mod()为GM/T 003.3-2012《SM2椭圆曲线公钥密码算法第三部分：密钥交换协议》定义的模运算。

步骤4：公钥计算：

G为SM2曲线的基点，ds为公式(2)得到的私钥，通过公式(3)运算得到公钥Ps＝(x_P；y_P)：

Ps＝(x_P；y_P)＝[ds]G 公式(3)

其中[ds]G为G点的ds倍加运算。

步骤5：公钥验证：

分别验证Ps是否合法，采用GM/T 0003.1-2012《SM2椭圆曲线公钥密码算法第一部分：总则》规定的公钥合法性验证方法，即：

a)验证Ps不是无穷远点O；

b)验证公钥Ps的坐标xP和yP是域Fp中的元素；

c)验证y_P ²≡x_P ³+ax_P+b(mod p)；

d)验证[n]Ps＝O；

如验证通过，即上述a)至d)全部通过，则密钥对协商成功，密钥对(ds， Ps)即为A、B双方协商的非对称密钥对，即SM2密钥对。

如验证不通过，即上述a)至d)有任何一项没有通过，则令ZF＝ZF+1，当 ZF等于2²⁵⁶-1时，密钥协商失败。只要ZF小于2²⁵⁶-1，则至步骤2。

至密钥对协商成功或失败。

步骤1双方密钥协商，得到256比特对称密钥，步骤2至步骤5，均是 A、B双方各自运算至密钥对协商成功或失败。

由于是双方一样的数学运算，所以A、B双方将得到相同的结果，要么成功，得到相同的密钥对(ds，Ps)，要么共同得到密钥对协商失败的结果。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种非对称密钥的协商方法，其特征在于，具体包括以下步骤：

步骤2：确定初始杂凑因子为当前杂凑因子；

步骤4：根据所得中间密钥计算获得一个或多个私钥；

步骤5：基于所得私钥和基点计算获得一个或多个公钥；

2.根据权利要求1所述的一种非对称密钥的协商方法，其特征在于，初始密钥附加已知的杂凑因子进行杂凑运算获得一个中间密钥，所述中间密钥ZK的计算公式如下：

ZK＝Hash(IK||ZF)

其中，IK为初始密钥，ZF为已知的杂凑因子。

3.根据权利要求2所述的一种非对称密钥的协商方法，其特征在于，根据中间秘钥ZK计算私钥，其中所述私钥ds的计算公式如下：

ds＝mod(ZK,n)

其中，n为基点G的阶。

4.根据权利要求3所述的一种非对称密钥的协商方法，其特征在于，根据私钥计算公钥，所述公钥Ps的计算公式如下：

Ps＝(x_P；y_P)＝[ds]G

其中，G为基点，ds为私钥，计算结果Ps＝(x_P；y_P)为公钥。

5.根据权利要求1所述的一种非对称密钥的协商方法，其特征在于，所述步骤3具体包括以下步骤：初始密钥附加已知的杂凑因子和M个事先约定的密钥对标识ID值进行杂凑运算得到M个中间密钥。

6.根据权利要求5所述的一种非对称密钥的协商方法，其特征在于，在双方同时协商M个密钥对时，所述步骤3中可以产生多个中间密钥ZK_i，i∈(0，M-1)；

ZK_i＝Hash(IK||ID_i||ZF)，i∈(0，M-1)

7.根据权利要求6所述的一种非对称密钥的协商方法，其特征在于，所述步骤4中计算多个私钥ds(i)的计算公式如下：

ds(i)＝mod(ZK_i，n)，i∈(0，M-1)

其中，n为基点G的阶。