CN106209369A - 基于身份密码系统的单交互认证密钥协商协议 - Google Patents

Abstract

本发明公开了一种基于身份密码系统的单交互认证密钥协商协议，涉及密码学领域，可有效提高密钥协商效率，减少交互次数，其解决的技术方案是，结合对方公钥、己方私钥、自选随机数，通过双线性运算和哈希运算，构建通信双方的会话密钥。包括以下步骤：1)PKG生成系统参数，为本域内的每台主机生成并分发对应私钥；2)客户端向服务端发起密钥协商请求，发送密钥信息，并通过本发明所阐述的算法生成会话密钥并存储。本发明基于身份密码技术，完成身份与公钥自然绑定，避免证书的使用；主密钥与临时密钥相结合，满足满足已知会话密钥安全、部分前向安全、部分抗密钥泄露伪装、抗未知密钥共享、消息独立和已知会话临时秘密信息安全，并且能抵抗中间人攻击；操作简便，计算复杂性低。

Description

基于身份密码系统的单交互认证密钥协商协议

技术领域

本发明涉及密码学技术领域，特指一种基于身份密码系统的单交互认证密钥协商协议。

背景技术

密钥协商协议(Key Agreement Protocol，KAP)在网络安全通信中具有重要的基础性作用，它允许两个实体在开放信道上协商安全的会话密钥，以保证双方通信的安全。

1976年，Diffie和Hellman提出了公钥密码学的概念并提出了第一个密钥协商协议：D-H协议，但该协议不具备认证功能。在传统的公钥基础设施(Public KeyInfrastructure，PKI)中，需要证书来保证体系的安全性，本质上是用具有权威性的第三方可信任机构为用户签名。这种管理体制涉及到很多证书管理的问题：包括生成、签发、备份、撤销等，占用了大量系统相关资源。为简化PKI对证书的管理过程，Shamir在1984年提出了基于身份密码系统(Identity Based Cryptosystem，IBC)，该系统不使用任何证书，直接将用户的身份作为公钥，私钥由可信的私钥生成中心(Private Key Generator，PKG)生成并分发给用户。2002年，Smart提出了第一个基于身份的认证密钥协商协议。此后，相继出现了许多基于身份的密钥协商协议。

大多数基于身份密码系统的密钥协商协议需要两次或两次以上的交互，例如Smart在《An Identity Based Authenticated Key Agreement Protocol Based On TheWeil Paring》提出的方案需要两次交互；王圣宝等在《标准模型下可证安全的身份基认证密钥协商协议》提出的方案需要两次交互；Huang等在《An ID-based Authenticated KeyExchange Protocol Based on Bilinear Diffie-Hellman Problem》提出的方案需要三次交互；Sundaram在申请号为CN 201080008115.5的专利与RFC6539中共同提出IBAKE的思想需要三次交互。

Sammy等在《Zero-configuration Identity-based IP Network Encryptor》中提出的方案只需一次交互，但该方案没有对发送方进行认证，攻击者可以轻易冒充他人与指定用户建立安全连接。

为提高密钥协商效率，减少交互次数，本发明提出一种基于身份密码系统的单交互认证密钥协商协议，其主要涉及到的技术原理有：

○双线性映射性质：

设q是一大素数，G₁是q阶加法群，G₂是q阶乘法群，映射e:G₁×G₁→G₂为双线性映射，则对任意Q,R∈G₁，a,b∈Z,有e(aQ,bR)＝e(Q,R)^ab。

○Blake-Wilson等在《Key agreement protocols and their securityanalysis》中提出的密钥协商协议的安全属性：

①已知会话密钥安全性。已知旧的会话密钥不会影响其他会话密钥安全性。

②前向安全性。如果一方或多方参与实体的长期私钥泄露，攻击者不能有效计算旧的会话密钥，称之为部分前向安全性；如果所有参与实体的长期私钥泄露，攻击者仍然不能有效计算旧的会话密钥，称之为完美前向安全性。

③PKG前向安全性。在基于身份的密钥协商协议中，攻击者即使获得私钥产生中心PKG的主密钥，仍然无法计算参与实体的会话密钥。

④抗密钥泄露伪装。一个参与实体A的长期密密钥泄露将使得攻击者可以伪装A，但不应导致攻击者可以伪装成其他实体与A进行成功的密钥协商。

⑤无密钥控制(密钥完整性)。会话密钥生成后，协议参与方必须对会话有相同的贡献，会话密钥值不受任何一方控制。

⑥抗未知密钥共享。一个参与实体A不应被强迫与一个实体C实现共享会话密钥，而实际上参与实体A却认为他是在和意定参与实体B完成密钥协商。

⑦消息独立性。两方或多方参与会话密钥协商的实体交互的消息应是独立产生并交互的，不受其他方的制约和强迫。

⑧已知会话临时秘密信息安全性。当参与实体在一次会话密钥协商过程中使用的临时秘密信息(临时密钥)泄露后(但长期私钥未泄露)，不应当影响到会话密钥的安全性。

发明内容

针对上述情况，为克服现有技术缺陷，本发明提供一种基于身份密码系统的单交互认证密钥协商协议，可有效提高密钥协商效率，减少交互次数。

本发明的具体技术方案为：提供一种基于身份密码系统的单交互认证密钥协商协议，其特征在于，结合对方公钥、己方私钥、自选随机数，通过双线性运算和哈希运算，构建通信双方的会话密钥，具体包括以下步骤：

1)PKG生成系统参数，为本域内的每台主机生成并分发对应私钥；

2)客户端向服务端发起密钥协商请求，发送密钥信息，并通过双线性运算和哈希运算生成会话密钥并存储。

本发明的进一步细化，所述步骤1)中系统建立的具体实施步骤如下：PKG选择某条特定的椭圆曲线，并由其上的点构成q阶加法循环群G₁，其中q为一大素数，生成元为P。随机选择作为PKG的主密钥,计算P_pub＝sP。再根据群G₁选择双线性映射e，使得e:G₁×G₁→G₂，G₂为q阶群。最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n密钥长度。完成初始化后，公布系统的公共参数列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞。设客户端身份为A，则其公钥和私钥分别为Q_A＝H₁(A)和S_A＝sQ_A；服务端身份为B，则其公钥和私钥分别为Q_B＝H₁(B)和S_B＝sQ_B。

本发明的进一步细化，所述步骤2)的具体步骤如下：

客户端随机选择r∈Z^*，计算R＝rQ_A并发送给服务端，客户端通过K_A＝H₂(e(S_A,rQ_B)·e(Q_A,R))计算并生成会话密钥；服务端收到R后通过K_B＝H₂(e(R,S_B+Q_A))计算并生成会话密钥。

与现有技术相比，本发明的有益效果在于：

(1)采用基于身份的密码技术，完成了身份与公钥的最自然绑定，避免了证书的使用；

(2)主密钥与临时密钥相结合，安全性高，满足已知会话密钥安全、部分前向安全、部分抗密钥泄露伪装、抗未知密钥共享、消息独立和已知会话临时秘密信息安全，并且能抵抗中间人攻击；

(3)协商过程仅需一次交互，延迟小，操作简便；

(4)协商过程中，客户端共用到2次双线性运算、1次G₁上点的叠加、1次G₂上的乘法，1次哈希运算；服务端用到1次双线性运算、1次G₁上点的叠加、1次哈希运算，运算效率高，计算复杂性低。

附图说明

图1是本发明总框图；

图2是本发明协议交互流程图；

图3是本发明协议计算示意图。

具体实施方式

以下结合说明书附图和具体优选的实施例对本发明作进一步描述，但并不因此而限制本发明的保护范围。

为提高密钥协商效率，减少交互次数，本发明提出一种基于身份密码系统的单交互认证密钥协商协议；主要涉及到的技术原理有：

○双线性映射性质：

设q是一大素数，G₁是q阶加法群，G₂是q阶乘法群，映射e:G₁×G₁→G₂为双线性映射，则对任意Q,R∈G₁，a,b∈Z,有e(aQ,bR)＝e(Q,R)^ab。

○Blake-Wilson等在《Key agreement protocols and their securityanalysis》中提出的密钥协商协议的安全属性：

①已知会话密钥安全性。已知旧的会话密钥不会影响其他会话密钥安全性。

②前向安全性。如果一方或多方参与实体的长期私钥泄露，攻击者不能有效计算旧的会话密钥，称之为部分前向安全性；如果所有参与实体的长期私钥泄露，攻击者仍然不能有效计算旧的会话密钥，称之为完美前向安全性。

③PKG前向安全性。在基于身份的密钥协商协议中，攻击者即使获得私钥产生中心PKG的主密钥，仍然无法计算参与实体的会话密钥。

④抗密钥泄露伪装。一个参与实体A的长期密密钥泄露将使得攻击者可以伪装A，但不应导致攻击者可以伪装成其他实体与A进行成功的密钥协商。

⑤无密钥控制(密钥完整性)。会话密钥生成后，协议参与方必须对会话有相同的贡献，会话密钥值不受任何一方控制。

⑥抗未知密钥共享。一个参与实体A不应被强迫与一个实体C实现共享会话密钥，而实际上参与实体A却认为他是在和意定参与实体B完成密钥协商。

⑦消息独立性。两方或多方参与会话密钥协商的实体交互的消息应是独立产生并交互的，不受其他方的制约和强迫。

⑧已知会话临时秘密信息安全性。当参与实体在一次会话密钥协商过程中使用的临时秘密信息(临时密钥)泄露后(但长期私钥未泄露)，不应当影响到会话密钥的安全性。

本发明的基于身份密码系统的单交互认证密钥协商协议，其基于双线性映射协商会话密钥，摆脱证书传递和验证的困扰，简化密钥协商过程的同时，完成通信双方的认证，建立安全会话。

以下将结合同域内一个用户Alice(以下简称为用户A)向用户Bob(以下简称为用户B)发送数据报文的具体实施例对本发明进行说明。本实施例中，由域内一个可信的自信任机构(Self-Trust Authority，STA)来完成PKG的任务。

如图1-3所示，本实施例基于身份的认证密钥协商协议，步骤包括：

步骤1)PKG选择某条特定的椭圆曲线，例如选定椭圆曲线为y²＝x³-3x，并由其上的点构成q(q为素数)阶加法循环群G₁，其中生成元为P。随机选择作为PKG的主密钥,计算P_pub＝sP。再根据群G₁利用椭圆曲线上的weil对或者Tate对，构造双线性映射e，使得e:G₁×G₁→G₂，G₂为q阶乘法群。最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n密钥长度。完成初始化后，公布该域的公共参数列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞。

域内的主机启动后，由PKG根据每个用户的身份信息采用基于椭圆曲线的映射规则生成对应私钥S，具体实现方法为：将身份信息采用基于椭圆曲线的映射规则映射为椭圆曲线上的一点Q，作为公钥；将PKG自己的主密钥s与映射点Q相乘的结果sQ作为对应的私钥S。将用户身份信息以字符串的形式直接映射为椭圆曲线上点的实现方法即为PKG公共参数列表中的H₁。

本实施例中，作为客户端的用户Alice启动后，PKG计算Q_A＝H₁(A)作为公钥，计算S_A＝sQ_A作为私钥；作为服务端的用户Bob启动后，PKG计算Q_B＝H₁(B)作为公约，计算S_B＝sQ_B作为私钥。

在其他实施例中，更为具体的私钥生成方法还可采用例如申请号为CN201310300284.1专利中公开的方法。

步骤2)客户端Alice向服务端Bob主动发起连接，协商会话密钥，这是本发明的核心步骤。

2.1)客户端Alice向服务端Bob发送建立连接的请求，并附带密钥信息R(R＝rQ_A，r∈Z^*)。

2.2)双方计算对称会话密钥：客户端Alice计算K_A＝H₂(e(S_A,rQ_B)·e(Q_A,R))生成会话密钥并保存在本地；服务端Bob计算K_B＝H₂(e(R,S_B+Q_A))生成会话密钥并保存在本地。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则的内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围内。

Claims (3)

1.一种基于身份密码系统的单交互认证密钥协商协议，其特征在于，结合对方公钥、己方私钥、自选随机数，通过双线性运算和哈希运算，构建通信双方的会话密钥，包括以下步骤：

1)PKG生成系统参数，为本域内的每台主机生成并分发对应私钥；

2)客户端向服务端发起密钥协商请求，发送密钥信息，并通过双线性运算和哈希运算生成会话密钥并存储。

2.根据权利要求1所述的一种基于身份密码系统的单交互认证密钥协商协议，其特征在于，

所述步骤1)中系统建立的具体实施步骤如下：PKG选择某条特定的椭圆曲线，并由其上的点构成q阶加法循环群G₁，其中q为一大素数，生成元为P；随机选择作为PKG的主密钥,计算P_pub＝sP；再根据群G₁选择双线性映射e，使得e:G₁×G₁→G₂，G₂为q阶群；最后选择相关哈希函数H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n密钥长度；完成初始化后，公布系统的公共参数列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；设客户端身份为A，则其公钥和私钥分别为Q_A＝H₁(A)和S_A＝sQ_A；服务端身份为B，则其公钥和私钥分别为Q_B＝H₁(B)和S_B＝sQ_B。

3.根据权利要求1所述的一种基于身份密码系统的单交互认证密钥协商协议，其特征在于，

所述步骤2)的具体步骤如下：

客户端随机选择r∈Z^*，计算R＝rQ_A并发送给服务端，客户端通过K_A＝H₂(e(S_A,rQ_B)·e(Q_A,R))计算并生成会话密钥；服务端收到R后通过K_B＝H₂(e(R,S_B+Q_A))计算并生成会话密钥。