CN106060070B - 基于身份密码系统的tls握手协议 - Google Patents

Abstract

本发明公开了一种基于身份密码系统的TLS握手协议，具体涉及可信安全网络的基础通信领域，通过定义新的密码套件，来解决传统PKI系统下，TLS握手过程中因证书查找、传递、验证等造成的延迟高、计算量大等问题，在保证安全性的同时，提高握手协议性能。该握手协议包括以下步骤：1、基于身份密码系统的建立和密钥分发；2、握手协商安全参数；本发明的优点在于：(1)不需发送和验证证书，节省网络流量和内存；(2)认证和密钥协商同时完成，减少消息数量，在保证高安全性的同时降低了网络延迟；(3)通过新增可选密码套件，新增扩展选项，与TLS完美兼容。

Description

基于身份密码系统的TLS握手协议

技术领域

本发明涉及可信安全网络的基础通信领域，特别是一种基于身份密码系统的TLS握手协议。

背景技术

传输层安全(Transport Layer Security，TLS)协议处于传输层和应用层之间，在安全套接层(Secure Socket Layer，SSL)协议的基础上发展而来，为信息传输提供认证、机密性和完整性等安全服务；

握手协议是TLS的核心部分，它完成客户端和服务端之间的密码算法协商、认证和会话密钥生成等功能，是通信双方进行数据安全传输的前提；传统的TLS握手协议基于公钥基础设施(Public Key Infrastructure，PKI)颁发的证书实现认证和密钥交换，一方面，证书查询和证书路径构造导致较大的计算开销和时间延迟，另一方面，证书交换带来较大的通信开销，这些问题在一定程度上限制了TLS的部署范围；

1984年,Shamir提出了基于身份密码系统(Identity Based Cryptosystem，IBC)，该系统不使用任何证书，直接将用户的身份作为公钥，私钥由可信的私钥生成中心(Private Key Generator，PKG)生成并分发给用户；IBC在解决了PKI中需要证书生成、签发、备份、撤销等问题的同时，明显降低了系统建立及维护的成本和复杂度，大大节省了存储空间和网络带宽；IBC的应用变得越来越广泛；

赵安军等在《一种快速TLS握手协议分析与实现》中提出在客户端长期缓存服务端端配置及初始会话时建立的各种协商参数的方法，从一定程度上减少了二次握手时的通信流量，但无疑给客户端增加额外负担；

彭长艳等在《基于IBC的TLS握手协议设计与分析》中提出基于IBC的握手协议，完成了握手过程中的无证书认证，提高了协议性能，但对过程的阐述不够详细，没有考虑到与已有TLS兼容的问题；

针对以上问题，本发明提出一种基于身份密码系统的TLS握手协议及部署方法；主要涉及到的技术原理有：

双线性映射性质：

设q是一大素数，G₁是q阶加法群，G₂是q阶乘法群，映射e:G₁×G₁→G₂为双线性映射，则对任意Q,R∈G₁，a,b∈Z,有e(aQ,bR)＝e(Q,R)^ab。

基于身份的认证密钥协商协议(Identity Based Authenticated KeyAgreement，IBAKA)。

在基于身份密码系统中，保证协商得到的会话密钥只有通信双方知道，即在密钥协商的过程中完成双方认证的协议，本发明只是采用IBAKA的一种。

发明内容

针对上述情况，为克服现有技术缺陷，本发明之目的就是提供一种基于身份密码系统的TLS握手协议及部署方法，可有效解决现有的传统PKI系统下，TLS握手过程中因证书查找、传递、验证等造成的延迟高、计算量大等问题，在保证安全性的同时，提高握手协议性能。

本发明的具体技术方案是：

一种基于身份密码系统的TLS握手协议，该基于身份密码系统的TLS握手协议包括以下步骤：

1)基于身份密码系统的建立和密钥分发；

2)握手协商安全参数。

作为本发明的进一步细化，所述步骤1)的具体实施步骤如下：PKG选择某条特定的椭圆曲线，并由其上的点构成q阶加法循环群G₁，其中q为一大素数，生成元为P；随机选择作为PKG的主密钥,计算P_pub＝sP；再根据群G₁选择双线性映射e，使得e:G₁×G₁→G₂，G₂为q阶乘法群；最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂×G₁×G₂→{0,1}ⁿ，n为密钥长度；完成初始化后，公布系统的公共参数列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；PKG生成给定身份ID的公私密钥对，设客户端身份为A，则其公钥和私钥分别为Q_A＝H₁(A)和S_A＝sQ_A；服务端身份为B，则其公钥和私钥分别为Q_B＝H₁(B)和S_B＝sQ_B，将私钥通过安全信道传送给用户。

作为本发明的进一步细化，所述步骤2)具体实施步骤如下：：

(1)客户端发送ClientHello消息，发起会话连接；

ClientHello消息，结构定义如下：

其中：

client_version为客户端的协议版本；

random存放客户端产生的随机信息，其内容包括产生的时钟和随机数；

session_id为会话标识，其值由服务端产生；如果没有可重用的会话标识或希望协商安全参数，该字段应为空，否则表示客户端希望重用该会话；会话标识生成后应一直保持到被超时删除或与这个会话相关的连接遇到致命错误被关闭；

cipher_suites为客户端所支持的密码套件列表，按优先级顺序排列，供服务端选择；每个密码套件包括一个密钥交换算法、一个加密算法和密钥长度、以及一个校验算法；例如TLS_RSA_WITH_AES_128_CBC_SHA256表示密钥交换和认证算法为RSA，对称加密算法为128位AES，加密模式为CBC，完整性校验算法为256位SHA；

使用基于身份密码系统的TLS握手协议提出的握手协议时，需新增密码套件，例如TLS_IBAKA_WITH_AES_CBC_SHA(也可使用其他加密算法和校验算法)，即表示采用IBAKA进行密钥交换和认证，同时采用该基于身份密码系统的TLS握手；

协议提出的握手协议；

compression_methods为客户端所支持的压缩算法列表，按优先级顺序排列，供服务端选择；

extensions存放扩展选项，各个扩展以扩展块的形式并列出现；新增IBC_identity扩展用于存储用户自身的身份信息，新增的密码套件和新增的扩展同时使用；

(2)服务端发送SeverHello消息，完成安全参数的协商；

SeverHello消息，结构定义如下：

其中：

server_version为服务端的协议版本；

random存放服务端产生的随机信息；

session_id为服务端使用的会话标识，如果ClientHello消息中的会话标识不为空，且服务端存在匹配的会话标识，则服务端重用与该会话标识对应的会话建立新连接，并在回应的SeverHello消息中带上与客户端一致的会话标识，否则服务端产生一个新的会话标识，用来建立一个新的会话；

cipher_suite为服务端从ClientHello消息中选取的一个密码套件，基于身份

密码系统的TLS握手协议提出的握手过程中为选择的TLS_IBAKA_WITH_AES_CBC_SHA套件；会话重用时，本字段存放重用会话使用的密码套件；

compression_method为服务端从ClientHello消息中选取的一个压缩算法，会话重用时，本字段存放重用会话使用的压缩算法；

extensions包含IBC_identity选项并存放服务端身份信息；

(3)服务端发送SeverKeyExchange消息，包含服务端产生的密钥交换信息；KeyExchange消息的最后一位为标志位，前面存放密钥交换信息的横坐标值，当纵坐标为正时，标志位为1，当纵坐标为负时，标志位为0；对方在收到消息后凭借横坐标和标志位确定纵坐标从而得到完整的密钥交换信息；当选用不同的密钥生成算法，不需要服务端产生密钥交换信息时，该SeverKeyExchange消息被省略；

(4)服务端发送SeverHelloDone消息，表明握手过程的hello消息阶段完成；

(5)客户端发送ClientKeyExchange消息，包含客户端产生的密钥交换信息；发送完ClientKeyExchange消息后，客户端计算会话密钥并保存；

(6)客户端发送ChangeCipherSpec消息通知密码规格的改变，接下来的数据将使用新协商的安全参数来保护；

(7)客户端使用新协商的算法和密钥，加密并发送Finished消息，用于验证密钥交换过程是否成功，并校验握手过程的完整性；

(8)服务端收到ClientKeyExchange消息并且收到ChangeCipherSpec消息后，计算会话密钥，其中，双方计算得到的密钥相等且具有认证性；收到Finished消息后，对其进行解密并验证校验数据，验证通过后发送ChangeCipherSpec消息通知客户端接下来的数据将使用新协商的安全参数来保护；

(9)服务端使用新协商的算法和密钥，加密并发送Finished消息；客户端收到Finished消息后，对其进行解密并验证校验数据，验证通过后，二者正式建立连接；

以上内容除提到的变动外，其余均与TLS1.2规定的内容相同；握手过程应按照流程顺序进行，否则将会导致致命的错误。

与现有技术相比，本发明的有益效果在于：

(1)不需发送和验证证书，节省网络流量和内存；

(2)认证和密钥协商同时完成，减少消息数量，在保证高安全性的同时降低了网络延迟；

(3)通过新增可选密码套件，新增扩展选项，与TLS完美兼容。

附图说明

图1为本发明实施例总框图；

图2为本发明实施例握手消息流程。

具体实施方式

以下结合附图对本发明的具体实施方式作详细说明；

本发明的目的在于提出一种基于身份的TLS握手协议，摆脱证书传递和验证的困扰，简化握手流程，同时完成双方的认证，建立安全会话。以下将结合同域内用户Alice(简称A)向用户Bob(简称B)发起安全连接的具体实施例对本发明进行说明。本实施例中，由域内一个可信的自信任机构(Self-Trust Authority，STA)来完成PKG的任务。

如图1-2所示，本发明的总流程包括以下步骤：

1)基于身份密码系统的建立和私钥分发；

PKG选择某条特定的椭圆曲线，例如选定椭圆曲线为y²＝x³-3x，并由其上的点构成q(q为一大素数)阶加法循环群G₁，其中生成元为P。随机选择作为PKG的主密钥,计算P_pub＝sP。再根据群G₁利用椭圆曲线上的weil对或者Tate对，构造双线性映射e，使得e:G₁×G₁→G₂，G₂为q阶乘法群。最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂×G₁×G₂→{0,1}ⁿ，n密钥长度。完成初始化后，公布系统的公共参数列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞。PKG生成给定身份ID的公私密钥对，Alice的身份ID_A为Alice@company.com，则其对应的公钥Q_A为H₁(ID_A)，PKG为其生成的私钥S_A为sQ_A。Bob的身份ID_B为Bob@company.com，则其对应的公钥Q_B为H₁(ID_B)，PKG为其生成的私钥S_B为sQ_B，PKG通过安全通道将私钥分发给用户。

2)TLS握手完成互认证和安全参数协商；

如图2所示，握手过程如下：

(1)客户端Alice发送ClientHello消息，发起会话连接。client_version设置为TLS 1.3；产生随机数并放入random；session_id为空；cipher_suites优先排列TLS_IBAKA_WITH_AES_CBC_SHA密码套件并设置合理的压缩算法列表；在扩展选项的IBC_identity中放入Alice@company.com。

SeverHello消息，结构定义如下：

其中：

server_version为服务端的协议版本；

random存放服务端产生的随机信息；

session_id为服务端使用的会话标识，如果ClientHello消息中的会话标识不为空，且服务端存在匹配的会话标识，则服务端重用与该标识对应的会话建立新连接，并在回应的SeverHello消息中带上与客户端一致的会话标识，否则服务端产生一个新的会话标识，用来建立一个新的会话；

cipher_suite为服务端从ClientHello消息中选取的一个密码套件，基于身份

密码系统的TLS握手协议提出的握手过程中为选择的TLS_IBAKA_WITH_AES_CBC_SHA套件；会话重用时，本字段存放重用会话使用的密码套件；

compression_method为服务端从ClientHello消息中选取的一个压缩算法，会话重用时，本字段存放重用会话使用的压缩算法；

extensions包含IBC_identity选项并存放服务端身份信息。

(2)Bob发送SeverHello消息，完成安全参数协商。client_version选择为TLS1.3；产生随机数并放入random；设置合适的session_id；cipher_suites选择TLS_IBAKA_WITH_AES_CBC_SHA密码套件并选择合适的压缩算法；在扩展选项的IBC_identity中放入Bob@company.com。

(3)服务端Bob发送SeverKeyExchange消息。Bob随机选择y∈Z^*，计算Y＝yP，将Y的横坐标放入SeverKeyExchange并设置标记位。

SeverHello消息，结构定义如下：

其中：

server_version为服务端的协议版本；

random存放服务端产生的随机信息；

session_id为服务端使用的会话标识，如果ClientHello消息中的会话标识不为空，且服务端存在匹配的会话标识，则服务端重用与该标识对应的会话建立新连接，并在回应的SeverHello消息中带上与客户端一致的会话标识，否则服务端产生一个新的会话标识，用来建立一个新的会话；

cipher_suite为服务端从ClientHello消息中选取的一个密码套件，基于身份

密码系统的TLS握手协议提出的握手过程中为选择的TLS_IBAKA_WITH_AES_CBC_SHA套件；会话重用时，本字段存放重用会话使用的密码套件；

compression_method为服务端从ClientHello消息中选取的一个压缩算法，会话重用时，本字段存放重用会话使用的压缩算法；

extensions包含IBC_identity选项并存放服务端身份信息。

(4)Bob发送SeverHelloDone消息，表明握手过程的hello消息阶段完成。

(5)Alice收到SeverHelloDone消息后，发送ClientKeyExchange消息。Alice随机选择x∈Z^*，计算X＝xP，将X的横坐标放入ClientKeyExchange并设置标记位。发送完ClientKeyExchange消息后，Alice通过H₂(e(Q_B,xP_pub),xY,e(S_A,Y))计算预主密钥，通过预主密钥和Hello消息中的随机数计算主密钥，通过主密钥和Hello消息中的随机数计算得到会话密钥K_A。

(6)Alice发送ChangeCipherSpec消息通知对方使用刚协商好的安全参数来保护接下来的数据，并按照标准TLS流程变更密码规格。

(7)Alice计算校验数据构造Finished消息，并使用K_A，通过AES算法，在CBC模式下加密，发送给Bob，表明握手阶段结束。

(8)Bob收到ChangeCipherSpec消息后通过H₂(e(S_B,X),yX,e(Q_A,yP_pub))计算预主密钥，通过预主密钥和Hello消息中的随机数计算主密钥，通过主密钥和Hello消息中的随机数计算得到会话密钥K_B。收到finished消息后，用K_B进行解密并对其校验数据进行验证，验证通过后发送ChangeCipherSpec消息通知对方使用刚协商好的安全参数来保护接下来的数据，并按照标准TLS流程变更密码规格。

(9)Bob计算校验数据构造Finished消息，并使用K_B进行加密。Alice收到finished消息后，用K_A进行解密并对其校验数据进行验证，验证通过后，二者正式建立连接。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定；对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动；这里无需也无法对所有的实施方式予以穷举；凡在本发明的精神和原则的内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围内。

Claims (1)

1.一种基于身份密码系统的TLS握手协议方法，其特征在于，所述方法包括以下步骤：

(1)基于身份密码系统的建立和密钥分发，包括

PKG选择某条特定的椭圆曲线，并由其上的点构成q阶加法循环群G₁，其中q为一大素数，生成元为P；随机选择作为PKG的主密钥,计算P_pub＝sP；再根据群G₁选择双线性映射e，使得e:G₁×G₁→G₂，G₂为q阶乘法群；最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂×G₁×G₂→{0,1}ⁿ，n为密钥长度；完成初始化后，公布系统的公共参数列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；PKG生成给定身份ID的公私密钥对，设客户端身份为A，则其公钥和私钥分别为Q_A＝H₁(A)和S_A＝sQ_A；服务端身份为B，则其公钥和私钥分别为Q_B＝H₁(B)和S_B＝sQ_B，客户端和服务端之间私钥通过安全信道进行传送；

(2)握手协商安全参数；

(2.1)客户端发送ClientHello消息，发起会话连接；

ClientHello消息，结构定义如下：

其中：

client_version为客户端的协议版本；

random存放客户端产生的随机信息，其内容包括产生的时钟和随机数；

session_id为会话标识，其值由服务端产生；如果没有可重用的会话标识或希望协商安全参数，相应字段应为空，否则表示客户端希望重用该会话；会话标识生成后应一直保持到被超时删除或与这个会话相关的连接遇到致命错误被关闭；

cipher_suites为客户端所支持的密码套件列表，按优先级顺序排列，供服务端选择；每个密码套件包括一个密钥交换算法、一个加密算法和密钥长度、以及一个校验算法；

使用该基于身份密码系统的TLS握手协议提出的握手协议时，需新增密码套件；

compression_methods为客户端所支持的压缩算法列表，按优先级顺序排列，供服务端选择；

extensions存放扩展选项，各个扩展以扩展块的形式并列出现；新增IBC_identity扩展用于存储用户自身的身份信息，新增的密码套件和新增的扩展同时使用；

(2.2)服务端发送SeverHello消息，完成安全参数的协商；

SeverHello消息，结构定义如下：

其中：

server_version为服务端的协议版本；

random存放服务端产生的随机信息；

session_id为服务端使用的会话标识，如果ClientHello消息中的会话标识不为空，且服务端存在匹配的会话标识，则服务端重用与该会话标识对应的会话建立新连接，并在回应的SeverHello消息中带上与客户端一致的会话标识，否则服务端产生一个新的会话标识，用来建立一个新的会话；

cipher_suite为服务端从ClientHello消息中选取的一个密码套件，握手过程中为选择的TLS_IBAKA_WITH_AES_CBC_SHA套件；会话重用时，本字段存放重用会话使用的密码套件；其中，所述TLS_IBAKA_WITH_AES_CBC_SHA套件表示采用IBAKA(Identity-BasedAuthentication Key Agreement)算法进行密钥交换和认证，同时采用所述TLS握手协议进行握手，加密模式为CBC(Cipher Block Chaining)，对称加密算法为AES(AdvancedEncryption Standard)，完整性校验算法为SHA(Secure Hash Algorithm)；

compression_method为服务端从ClientHello消息中选取的一个压缩算法，会话重用时，本字段存放重用会话使用的压缩算法；

extensions包含IBC_identity选项并存放服务端身份信息；

(2.3)服务端发送SeverKeyExchange消息，包含服务端产生的密钥交换信息；KeyExchange消息的最后一位为标志位，前面存放密钥交换信息的横坐标值，当纵坐标为正时，标志位为1，当纵坐标为负时，标志位为0；服务端随机选择y∈Z^*，计算Y＝yP，将Y的横坐标放入SeverKeyExchange并设置标记位；对方在收到消息后凭借横坐标和标志位确定纵坐标从而得到完整的密钥交换信息；

(2.4)服务端发送SeverHelloDone消息，表明握手过程的hello消息阶段完成；

(2.5)客户端收到SeverHelloDone消息后，发送ClientKeyExchange消息，包含客户端产生的密钥交换信息；客户端随机选择x∈Z^*，计算X＝xP，将X的横坐标放入ClientKeyExchange并设置标记位；发送完ClientKeyExchange消息后，客户端通过H₂(e(Q_B,xP_pub),xY,e(S_A,Y))计算预主密钥，通过预主密钥和Hello消息中的随机数计算主密钥，通过主密钥和Hello消息中的随机数计算得到会话密钥K_A；

(2.6)客户端发送ChangeCipherSpec消息通知密码规格的改变，接下来的数

据将使用新协商的安全参数来保护；

(2.7)客户端使用新协商的算法和密钥，加密并发送Finished消息，用于验证密钥交换过程是否成功，并校验握手过程的完整性；

(2.8)服务端收到ClientKeyExchange消息并且收到ChangeCipherSpec消息后，通过H₂(e(S_B,X),yX,e(Q_A,yP_pub))计算预主密钥，通过预主密钥和Hello消息中的随机数计算主密钥，通过主密钥和Hello消息中的随机数计算得到会话密钥K_B；其中，双方计算得到的密钥相等且具有认证性；收到Finished消息后，用K_A进行解密并验证校验数据，验证通过后发送ChangeCipherSpec消息通知客户端接下来的数据将使用新协商的安全参数来保护；

(2.9)服务端使用新协商的算法和密钥K_A，加密并发送Finished消息；客户端收到Finished消息后，用K_A进行解密并验证校验数据，验证通过后，二者正式建立连接。