CN105897416B

CN105897416B - 一种基于标识密码系统的前向端到端安全即时通信方法

Info

Publication number: CN105897416B
Application number: CN201610494970.0A
Authority: CN
Inventors: 邓月霞
Original assignee: Individual
Current assignee: Individual
Priority date: 2016-06-29
Filing date: 2016-06-29
Publication date: 2019-03-05
Anticipated expiration: 2036-06-29
Also published as: CN105897416A

Abstract

本发明公开了一种基于标识密码系统的前向端到端安全即时通信方法，涉及安全即时通信领域。该方法具体包括以下步骤：步骤1)注册部分，PKG生成系统参数，为本域内的每台主机生成并分发对应私钥；步骤2)建立会话通道，由通信的任意一方发送第一个消息，发起加密通道的建立；另一方回复消息后，完成认证过程，并完成临时密钥和会话密钥的初始化；步骤3)双方正式通信。通信过程中，会话密钥按照本协议所阐述的策略更新临时密钥和会话密钥。基于标识的密码系统，使用双线性对、ECDH和H2相结合的方式进行密钥协商，在最初的两个即使消息中，完成通信双方身份认证的同时，建立加密通道，不需额外的通信进行密钥协商。

Description

一种基于标识密码系统的前向端到端安全即时通信方法

技术领域

本发明涉及即时通信领域，尤其涉及一种基于标识密码系统的前向端到端安全即时通信方法。

背景技术

移动即时通信技术及其用途的飞速发展。自智能手机发明以来，移动即时通信迅速发展，已成为最不可或缺的通信工具。其不但使用频率高，且被开发出各种用途，成功用于各种不同领域。

各种企业的员工、政府公务员以及其他各种组织团队都越来越倾向于通过移动IM(Instant Message)交流、办公及商务。其使用方便和不受时间地形限制的特性，极大地方便了员工之间的沟通，帮助企业提高效率；其速度快、通信代价小的特点，则在商务活动中，帮助用户快速响应，减少时间成本，这对于变化莫测的市场是不可缺少的。

正是由于即时通信的作用越来越大，用途越来越广，其安全性、认证性需求也越来越强。各种隐私机密资料，在IM网络中传递，一旦泄露，对于个人和企业，都是难以承受的损失。商务型需求则要求交流双方身份的真实；而由于即时通信的特点，更要求身份认证应不局限于会话开始，而必须贯穿整个对话过程的每条消息。

为解决以上问题，许多即时通信软件加入加密功能，如QQ、Skype和微信等，在传统IM系统基础上，加入客户端到服务器的加密通道。但这仍存在如下3个问题：1.消息的独立认证问题，身份的真实性由服务器保证，用户不能独立验证消息的发送方身份；2.端端安全通信问题，消息经服务器中时转重新加密，因此内容不对服务提供商保密，即不是端端安全。3.前向安全通信问题，QQ和Skype的会话密钥是永久性密钥，一旦泄露，将危及所有通信内容，即缺少前向安全。

针对以上问题，本发明提出一种基于标识密码系统的前向端到端安全的即时通信协议。主要涉及到的技术原理有：

○ECDH算法：

假设a，b是随机数，P是一椭圆曲线生成元，ECDH(a,bP)＝ECDH(b,aP)。

○双线性映射性质：

设q是一大素数，G₁是q阶加法群，G₂是q阶乘法群，映射e:G₁×G₁→G₂为双线性映射，则对任意Q,R∈G₁，a,b∈Z,有e(aQ,bR)＝e(Q,R)^ab。

○密钥生成函数KDF及其链式认证：

密钥生成函数(KDF，key derivation function)，可从上一个密钥推导出下一密钥：k'＝KDF₂(k₁,k₂,...)。假设，k₁为使用某种认证方式证过的临时密钥，k₂为新随机产生的临时密钥，使用KDF产生新的临时密钥k'＝KDF₂(k₁,k₂)，可认为k'也已经被认证，且具有随机性——在不知k₂的情况下，不能计算得到k'。

发明内容

为了克服现有技术存在的技术缺陷，本发明提出了一种基于标识密码系统的前向端到端安全即时通信方法，其基于标识密码系统，利用双线性对完成身份自认证的密钥协商，达到端端安全；使用ECDH算法和KDF函数的链式认证特性，达到一次一密安全，并保证每条信息的认证性，以及前向安全性。

本发明的具体技术方案如下：

一种基于标识密码系统的前向端到端安全即时通信方法，该方法具体包括以下步骤：

步骤1)注册部分，PKG生成系统参数，为本域内的每台主机生成并分发对应私钥；

步骤2)建立会话通道，由通信的任意一方发送第一个消息，发起加密通道的建立；另一方回复消息后，完成认证过程，并完成临时密钥和会话密钥的初始化；

步骤3)双方正式通信。通信过程中，更新临时密钥和会话密钥。

作为本发明的优选技术方案，所述步骤1)注册部分，还包括：PKG进行初始化，选择某条特定的椭圆曲线，并由其上的点构成q阶加法循环群G₁，其中q为一大素数，生成元为P。随机选择作为PKG的主密钥,计算P_pub＝sP。再根据群G₁选择双线性映射e，使得e:G₁×G₁→G₂。最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂×G₁×G₂→{0,1}ⁿ。完成初始化后，公布系统的公共参数列表＜G₁,G₂,P,P_pub,H₁,H₂,e＞；

其中H₂是结合双线性映射和ECDH算法的密钥协商算法，有如下性质：H₂(e(S_B,X₀),y₀X₀,e(Q_A,y₀P_pub))＝H₂(e(H₁(B),x₀P_Pub),x₀Y₀,e(S_A,Y₀))；用户A计算主公钥Q_A＝H₁(A)，发送并请求注册，得到私钥S_A＝sQ_A；用户A计算主公钥Q_B＝H₁(B)，发送并请求注册，得到私钥S_B＝sQ_B。

作为本发明的优选技术方案，所述步骤2)建立会话通道，还包括：当通信双方均注册成功后，任意一方可发送第一个消息，开始建立会话通道；设A是通信发起方，B是通信接收方；

2.1)A计算共享秘密secret＝e(S_A,H₁(B))，计算主齿轮密钥和副齿轮密钥(k_master,k_pinion)＝KDF₁(secret,1)；计算加密密钥和认证密钥(k_Enc,k_MAC)＝KDF₂(k_pinion)，使用k_MAC计算认证码，k_Enc加密消息；生成临时密钥对(X₀,x₀)；序列号index记录当前副齿轮所用齿数，初始化为0；发送密文、临时公钥X₀和index；

2.2)B接收到消息后，利用双线性对可以计算一个与A相同的共享秘密：secret＝e(H₁(A),S_B)，然后利用与步骤2.1)中A一样的公式，计算主、副齿轮密钥，加密密钥，认证密钥，并用加密密钥解密消息，认证密钥验证消息；

2.3)B生成临时密钥对(Y₀,y₀)，使用以下公式

secret＝H₂(e(S_B,X₀),y₀X₀,e(Q_A,y₀P_pub))计算新共享秘密，使用KDF₁、新共享秘密secret和之前的主齿轮密钥k_master可以计算新的主、副齿轮密钥：

(k_master,k_pinion)＝KDF₁(secret,k_master)，使用KDF₂计算新的加密密钥，认证密钥：

(k_Enc,k_MAC)＝KDF₂(k_pinion)，用k_MAC计算认证码，k_Enc加密消息；初始化序列号index为0；发送密文、临时公钥Y₀和index；

2.4)A接收到回复的消息后，使用以下公式

secret＝H₂(e(H₁(B),x₀P_Pub),x₀Y₀,e(S_A,Y₀))计算和B一致的共享秘密，接着计算和B一致的主、副齿轮密钥，加密密钥，认证密钥，使用加密密钥、认证密钥解读并验证消息；至此，加密通道建立完成。

作为本发明的优选技术方案，所述步骤3)双方正式通信，包括有两种通信方式，追加消息和恢复消息；具体内容如下：

3.1)追加消息

当一方发送消息后，在没有收到回信前，再次追加消息，此时保持主齿轮不变，利用KDF₃和副齿轮密钥计算新副齿轮密钥：k_pinion＝KDF₃(k_pinion)；接着，使用新副齿轮密钥生成加密密钥和认证密钥对消息进行认证加密；接收方收到消息时，用消息中的临时公钥和本地存储的使用过的临时公钥比较，可判断出接收到的是追加消息，同样对副齿轮密钥更新，计算新的加密密钥和认证密钥，并解读验证消息；

每发送一个追加消息，序列号index加1；接收方通过index来判断是否有遗漏的消息：若消息是超前的消息，即本地存储的index＝i，而接收到的消息包中的index＞i+1，连续使用KDF₃更新副齿轮密钥，直到本地index与接收的index相等为止，用最后计算出的副齿轮密钥计算加密、认证密钥，对消息解读、验证；中间产生的副齿轮密钥，将在计算出对应的加密、认证密钥后删除，仅保存中间产生的加密密钥和认证密钥，以供遗漏的消息到达时进行解读、验证。

3.2)回复消息

当一方收到消息，需要回复消息时，将使用新的主齿轮密钥。假设B为回复消息的发出者，发送回复消息步骤如下：

生成新的临时密钥对(Y_j,y_j)其中，j＝j+1，使用ECDH计算新的共享秘密：secret＝ECDH(y_j,X_i)，接着使用新的共享秘密和旧的主齿轮密钥，更新主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)；使用新的副齿轮密钥生成新的加密、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)，并认证、加密消息；由于启用新的副齿轮，将序列号index重置为0；

接收方接收到消息，接收到的消息中含有的临时密钥是不同于之前使用的，即消息时回复消息；使用新的临时密钥计算共享秘密：secret＝ECDH(Y_j,x_i)，然后同样地生成新的主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)，生成家密钥、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)；之后，可解读验证消息。

与现有技术相比，本发明的有益效果在于：

一)、除第一个消息外的所有消息达到完全的端到端安全；

二)、基于标识的密码系统，使用双线性对、ECDH和H2相结合的方式进行密钥协商，在最初的两个即使消息中，完成通信双方身份认证的同时，建立加密通道，不需额外的通信进行密钥协商；

三)、使用KDF函数，使用上一次密钥对当次密钥进行链式认证，加速认证过程；

四)、加密通道建立后，在追加消息和回复消息时，利用ECDH和KDF函数更新相关密钥，做到一次一密安全；

五)、使用过的主、副齿轮密钥不保留，实现完全的前向安全。

附图说明

图1是本发明总框图；

图2是本发明协议中注册阶段流程图；

图3是本发明协议中建立会话通道流程图；

图4是本发明协议中追加消息流程图；

图5是本发明协议中回复消息流程图。

具体实施方式

下面结合附图具体描述前向端到端安全即时通信方法。

本发明的目的在于提出一种基于标识密码系统的前向端到端安全即时通信方法，保证即时通信的可信性和机密性。

以下将结合同域内一个用户Alice(以下简称为用户A)向用户Bob(以下简称为用户B)发送数据报文的具体实施例对本发明进行说明；本实施例中，由域内一个可信的自信任机构(Self-Trust Authority，STA)来完成密钥分发的任务。

本发明的前向端到端安全即时通信方法具体包括以下步骤：

步骤1)注册部分，由STA为全局选定一条特定的椭圆曲线，例如选定椭圆曲线为：y²＝x³-3x，选定的椭圆曲线在有限域上的点构成了q(q为一大素数)阶群G₁，其中P为该群的生成元。再根据群G₁利用椭圆曲线上的weil对或者Tate对，构造双线性映射e，使得e:G₁×G₁→G₂。由STA选择随机作为主密钥，其他机构无法获知；计算P_pub＝sP，STA公布系统公共参数列表：＜G₁,G₂,P,P_pub,H₁,H₂,e＞。

其中H₂是结合双线性映射和ECDH算法的密钥协商算法，有性质如下：；H₂(e(S_B,X₀),y₀X₀,e(Q_A,y₀P_pub))＝H₂(e(H₁(B),x₀P_Pub),x₀Y₀,e(S_A,Y₀))。

网络内的主机启动后，由STA根据每个用户的身份信息采用基于椭圆曲线的映射规则生成对应私钥S，具体实现方法为：将身份信息采用基于椭圆曲线的映射规则映射为椭圆曲线上的一点Q；将STA自己的主密钥s与映射点Q相乘的结果sQ作为对应的私钥S。将用户身份信息以字符串的形式直接映射为椭圆曲线上点的实现方法即为STA公共参数列表中的H₁，其中H₁:{0,1}^*→G₁。

本实施例中，作为源主机的用户Alice启动后，PKG计算Q_A＝H₁(A)，计算其私钥S_A＝sQ_A；作为目的主机的用户Bob启动后，PKG计算Q_B＝H₁(B)，计算其私钥为S_B＝sQ_B。

在其他实施例中，更为具体的私钥生成方法还可采用例如申请号为CN201310300284.1发明中公开的方法。

步骤2)建立会话通道，当通信双方均注册成功后，任意一方可发送第一个消息，开始建立会话通道；源主机Alice向目的主机Bob主动发起会话，即Alice为通信发起方，Bob为通信接收方。

2.1)Alice计算共享秘密secret＝e(S_A,H₁(B))，计算主齿轮密钥和副齿轮密钥(k_master,k_pinion)＝KDF₁(secret,1)；计算加密密钥和认证密钥(k_Enc,k_MAC)＝KDF₂(k_pinion)，对消息m₀进行认证加密：初始化副齿轮序列号index为0；生成随机数x₀作为临时私钥，计算临时公钥X₀＝x₀P。将(c₀、index、X₀)封装并发送给Bob。

2.2)Bob收到消息(c₀、index、X₀)，使用双线性对计算一个与Alice相同的共享秘密：secret＝e(H₁(A),S_B)，计算主齿轮密钥和副齿轮密钥(k_master,k_pinion)＝KDF₁(secret,1)；计算加密密钥和认证密钥(k_Enc,k_MAC)＝KDF₂(k_pinion)；使对消息进行解密并验证消息摘要。如果验证不成功，则丢包；反之，认为对Alice认证成功；

2.3)Bob生成随机数y₀作为临时私钥，计算临时公钥Y₀＝y₀P。计算新的共享秘密secret＝H₂(e(S_B,X₀),y₀X₀,e(Q_A,y₀P_pub))，其中H₂:G₂×G₁×G₂→{0,1}ⁿ；使用KDF₁、新的共享秘密secret和之前的主齿轮密钥k_master可以计算新的主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)，使用KDF₂计算新的加密密钥，认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)。加密认证消息m₁，初始化副齿轮序列号index为0。将(c₁、index、Y₀)发送给Alice；

2.4)Alice收到消息(c₁、index、Y₀)，计算和Bob一致的新共享秘密：

secret＝H₂(e(S_B,X₀),y₀X₀,e(Q_A,y₀P_pub))；使用KDF₁、新共享秘密secret和之前的主齿轮密钥k_master可以计算和B一致的新的主、副齿轮密钥：

(k_Enc,k_MAC)＝KDF₂(k_pinion)；解密消息：验证消息摘要，成功则认为Bob身份认证成功。

步骤3)当Bob发送消息后，不待Alice回复，继续追加消息。

3.1)保持主齿轮不变，利用KDF₃和副齿轮密钥计算新副齿轮密钥，Bob对k_pinion进行更新：k_pinion＝KDF₃(k_pinion)；

接着，使用新副齿轮密钥生成加密密钥和认证密钥对消息进行认证加密；计算新的加密、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)；对消息m₂进行认证加密：更新序列号index＝index+1。将(c₂、index、Y_j)发送给Alice；

3.2)接收方Alice收到消息(c₂、index、Y_j)，首先分析消息中的临时公钥Y_j：若消息的临时公钥Y_j和最近一次收到的临时公钥Y_j相等，则判断出是一个追加消息，再比较消息中的index与本地index：

若消息的index＝本地index+1，则更新k_pinion＝KDF₃(k_pinion)；计算新的加密、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)；解密消息并认证；更新序列号index＝index+1；

若消息的index>本地index+1，

则连续使用KDF₃更新副齿轮密钥k_pinion＝KDF₃(k_pinion)、(k_master,k_pinion)＝KDF₁(secret,k_master)和本地index＝index+1，直到本地index＝消息的index，将中间产生的(k_master,k_pinion)存储，使用最后一次的(k_master,k_pinion)解密并验证消息。

若index<本地index，从之前存储的(k_master,k_pinion)中找到对应的密钥解密并验证消息。

步骤4)Alice收到Bob消息后准备回复消息。

4.1)生成新的临时密钥对(X_i,x_i)其中，i＝i+1，使用ECDH计算新的共享秘密：secret＝ECDH(Y_j,x_i)，接着使用新的共享秘密和旧的主齿轮密钥，更新主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)；

使用新的副齿轮密钥生成新的加密、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)，认证加密消息：重置index为0；

将(c₃、index、X_i)封装并发送给Bob。

4.2)Bob收到消息(c₃、index、X_i)，分析X_i发现与之前收到的X_i不同，认为消息是回复消息。使用新的临时密钥计算共享秘密：secret＝ECDH(y_j,X_i)，然后同样地生成新的主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)，生成加密钥、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)；解密消息：

并验证消息摘要；重置index为0。

以上仅是本发明的优选实施例，并非对本发明作任何形式上的限制。虽然本发明已以优选实施例揭露如上，然而并非用以限定本发明。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围的情况下，都可利用上述揭示的技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均应落在本发明技术方案保护的范围内。

Claims

1.一种基于标识密码系统的前向端到端安全即时通信方法，其特征在于，该方法具体包括以下步骤：

步骤1)注册部分，PKG生成系统参数，为本域内的每台主机生成并分发对应私钥,具体包括：

PKG进行初始化，选择某条特定的椭圆曲线，并由其上的点构成q阶加法循环群G₁，其中q为一大素数，生成元为P；随机选择作为PKG的主密钥，计算P_pub＝sP；再根据群G₁选择双线性映射e，使得e:G₁×G₁→G₂；最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂×G₁×G₂→{0,1}ⁿ；完成初始化后，公布系统的公共参数列表<G₁,G₂,P,P_pub,H₁,H₂,e>；

其中，H₂是结合双线性映射和ECDH算法的密钥协商算法，有如下性质：H₂(e(S_B,X₀),y₀X₀,e(Q_A,y₀P_pub))＝H₂(e(H₁(B),x₀P_pub),x₀Y₀,e(S_A,Y₀))；用户A计算主公钥Q_A＝H₁(A)，发送并请求注册，得到私钥S_A＝sQ_A；用户A计算主公钥Q_B＝H₁(B)，发送并请求注册，得到私钥S_B＝sQ_B；

其中，设A是通信发起方，B是通信接收方，则步骤2)具体包括如下子步骤：

2.3)B生成临时密钥对(Y₀,y₀)，使用以下公式secret＝H₂(e(S_B,X₀),y₀X₀,e(Q_A,y₀P_pub))计算新共享秘密，使用KDF₁、新共享秘密secret和之前的主齿轮密钥k_master可以计算新的主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)，使用KDF₂计算新的加密密钥，认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)，用k_MAC计算认证码，k_Enc加密消息；初始化序列号index为0；发送密文、临时公钥Y₀和index；

2.4)A接收到回复的消息后，使用以下公式secret＝H₂(e(H₁(B),x₀P_Pub),x₀Y₀,e(S_A,Y₀))计算和B一致的共享秘密，接着计算和B一致的主、副齿轮密钥，加密密钥，认证密钥，使用加密密钥、认证密钥解读并验证消息；至此，加密通道建立完成；

步骤3)双方正式通信；通信过程中，更新临时密钥和会话密钥。

2.根据权利要求1所述的基于标识密码系统的前向端到端安全即时通信方法，其特征在于，所述步骤3)双方正式通信，包括有两种通信方式，追加消息和恢复消息；具体内容如下：

3.1)追加消息

每发送一个追加消息，序列号index加1；接收方通过index来判断是否有遗漏的消息：若消息是超前的消息，即本地存储的index＝i，而接收到的消息包中的index>i+1，连续使用KDF₃更新副齿轮密钥，直到本地index与接收的index相等为止，用最后计算出的副齿轮密钥计算加密、认证密钥，对消息解读、验证；中间产生的副齿轮密钥，将在计算出对应的加密、认证密钥后删除，仅保存中间产生的加密密钥和认证密钥，以供遗漏的消息到达时进行解读、验证；

3.2)回复消息

当一方收到消息，需要回复消息时，将使用新的主齿轮密钥；假设B为回复消息的发出者，发送回复消息步骤如下：

生成新的临时密钥对(Y_j,y_j)其中，j＝j+1，使用ECDH算法计算新的共享秘密：secret＝ECDH(y_j,X_i)，接着使用新的共享秘密和旧的主齿轮密钥，更新主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)；使用新的副齿轮密钥生成新的加密、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)，并认证、加密消息；由于启用新的副齿轮，将序列号index重置为0；

接收方接收到消息，接收到的消息中含有的临时密钥是不同于之前使用的，即消息是回复消息；使用新的临时密钥计算共享秘密：secret＝ECDH(Y_j,x_i)，然后同样地生成新的主、副齿轮密钥：(k_master,k_pinion)＝KDF₁(secret,k_master)，生成家密钥、认证密钥：(k_Enc,k_MAC)＝KDF₂(k_pinion)；之后，可解读验证消息。