CN108234129A

CN108234129A - 一种基于格密码的双向认证密钥协商方法与系统

Info

Publication number: CN108234129A
Application number: CN201710815182.1A
Authority: CN
Inventors: 杨亚涛; 梁斓; 李子臣; 刘博雅; 杨薇; 张亚泽; 谢婷
Original assignee: BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Current assignee: BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Priority date: 2017-09-12
Filing date: 2017-09-12
Publication date: 2018-06-29

Abstract

本发明公开了一种基于格密码的双向认证密钥协商方法与系统。该方法按照以下步骤实施：首先设计了一种基于格密码的数字证书。其次，初始化参与密钥协商双方的格证书以及双方的参数。然后互相交换对方的证书并认证，若认证失败，则直接退出，不进行下一步操作。若认证成功，互相交换参数，根据自己的参数与对方的参数计算出会话密钥。本发明所公开的方法，不仅设计了一种格证书，让格证书参与了认证过程。更重要的是，设计了一种基于格密码的密钥协商方法，使本方法与系统更加高效、安全、实用。

Description

一种基于格密码的双向认证密钥协商方法与系统

技术领域

本发明涉及格密码领域，特别是一种基于格密码的双向认证密钥协商方法与系统。

背景技术

基于格理论的公钥密码被认为是目前最有前途的抵抗量子计算机攻击的公钥密码体制，目前对格公钥密码的研究主要集中在基于格的公钥密码方案的设计、格上困难问题的求解算法以及格基规约算法对其他密码体制的攻击。对于基于格的公钥密码方案的设计主要集中在设计基于格的公钥加密算法、数字签名算法和密钥协商算法三个方面。

人们对格理论的关注始于Ajtai开创性的证明。1996年，Ajtai证明给定合适的参数，一般情况下小整数解问题的困难性，等价于最坏情况下某类特定情况的困难性。并且证明了格上困难问题在一般情况下的困难性等价于最差情况下的困难性。这个结论为格理论密码体制的构造打下了坚实的基础。随后，基于格理论的密码方案便如雨后春笋般开始发展。很多基于格上最差情况下困难问题的公钥密码算法，包括著名的抗碰撞的hash函数的GGH算法， NTRU加密算法等等。

在格理论上设计认证密钥协商方案具有以下几个显著优势：(1)格上困难问题在任意随机实例下的困难度都与最坏实例的看难度是等价的，因此可选取随机实例，这样便于方案的使用与普及；(2)基于格设计的认证及密钥协商算法更简单高效。其中涉及的运算通常是矩阵、向量的线性求和运算以及模运算，相对于基于大数分解的公钥密码体制来说，基于格理论的公钥密码体制计算非常简单、高效；(3)至今没有有效的量子算法破解格上的困难的问题。量子计算机天然的并行性赋予了它超强的计算能力，但是由于格与量子计算机的结构完全不一样，所以是格理论一种有效抵抗量子计算机攻击的技术。

密钥协商协议是在开放网络中实现安全通信的重要手段。借助协商协议，一个或多个参与者通过利用其长期私钥和开放网络中交换的临时消息能够生成一个共享会话密钥。此共享会话密钥被用于后续的安全通信。不严格的说，就是在消息处理环节采用了若干密码算法，它是在密码算法的基础上为各种实际应用系统而设计的基于密码算法的交互方案。密码协议云星宇计算机网络、分布式系统等应用环境中，通过一系列的步骤并借助密码算法来达到密钥分配、身份认证、安全交易等目的。

最初的密钥协商过程中，参与者之间不能互相进行身份认证。因此，协商过程中容易遭受中间人攻击。随着密码学的不断发展，参与密钥协商协议的用户都可以对对方的身份进行确认，从而避免了未经授权的用户破坏协商过程。

如果协议的参与者可以确信，除了指定的实体之外，其它任何参与者都不能得到秘密的会话密钥，我们称此类密钥协商协议为认证密钥协商协议。认证密钥协商协议就是在密钥协商的过程中增加了通信方的认证机制。认证密钥协商协议不仅允许建立起共享会话密钥，而且确保协议涉及参与者的认证性。认证密钥协商协议可以在多种密钥体制下实现。目前，基于证书的认证密钥协商协议获得了深入研究，并且取得了广泛地应用。

专利号[CN 104868993 A]中一种基于证书的两方认证密钥协商方法及系统中使用的是基于证书的密码体制。本发明中证书的生成和协商密钥的过程都是基于格密码的。总结来说，基于格的密码体制有以下优点(1)格上困难问题在任意随机实例下的困难度都与最坏实例的看难度是等价的，因此可选取随机实例，这样便于方案的使用与普及；(2)基于格设计的认证及密钥协商算法更简单高效。其中涉及的运算通常是矩阵、向量的线性求和运算以及模运算，相对于基于大数分解的公钥密码体制来说，基于格理论的公钥密码体制计算非常简单、高效；(3)至今没有有效的量子算法破解格上的困难的问题。量子计算机天然的并行性赋予了它超强的计算能力，但是由于格与量子计算机的结构完全不一样，所以是格理论一种有效抵抗量子计算机攻击的技术。

专利号[CN 106411528 A]中一种基于证书的轻量级认证密钥协商方法中需要较多的交互过程，在实际应用中不易于工程实现。本发明系统中的实体之间交互较少更利于工程实现，并且有着基于格理论的更强的安全性能。

现有的基于格的密钥协商协议没有认证的部分，由于在实际应用中，存在着多种类型的攻击者，其攻击方式可以是数学的，也可以是物理的。它们可以利用通信上的缺陷，也可以利用协议本身的漏洞，敌手可以随意处置通信信息，敌手攻击的隐蔽性和多样性决定了有必要设计认证密钥协商协议来抵抗这些攻击。方案的的整个交互过程过于复杂，难以实现。并且现有的基于格密码的密钥协商方案中庞大的系统参数以及复杂繁琐的交互过程，很难对这些进行工程实现。

发明内容

为了克服上述现有技术的不足，本发明设计了一种基于格密码的数字证书(格证书)，并且提供了一种基于格密码的双向认证密钥协商方法与系统。

符号说明：

矩阵：黑体大写字母

向量：黑体小写字母

对于任意向量v，它的范数为||v||_p，其中||v||_p＝(∑_i|v_i|^p)^1/p，对向量的每个分量的模取p次方后相加，最后取1/p次幂。为了方便，当p＝2时，||v||₂为欧几里得范数，直接记为||v||。

本发明所采用的技术方案是：

(1)设计了一种基于格密码的数字证书(格证书)；

用户将自己需绑定的公钥发送到证书认证机构——CA，按照X.509的格式生成相关字段信息。CA对该证书所有域的信息进行哈希运算，得到哈希摘要。然后对该摘要运行签名算法，得到签名值并输出。将签名值附加在用户的数字证书内并返回给用户，用户Alice得到CA签发的数字证书后，即可对外宣称自己合法拥有该公钥。若Bob想要给Alice发送消息，需要验证Alice的证书。提取Alice证书中的CA签名，以及从CA自身的证书中获取验证密钥，对Alice证书的CA签名进行验证。首先对Alice证书的部分域进行哈希运算，得到哈希摘要，然后对Alice证书中的CA签名运行验签算法。若验证成功，证明Alice的证书是可信的。

证书中使用的签名验签算法基于格理论设计。相较于其他基于格的数字签名算法，密钥与签名值尺寸更短。该算法安全性基于小整数解困难问题SIS。与其他证书方案比较，不仅可以抵抗量子攻击，而且在安全比特相同的情况下，具有较高的运行效率。

(2)参与密钥协商的双方Alice和Bob的数字证书的初始化， cert＝{ID，A，lifetime，s_CA}。假设参与协商的Alice和Bob的证书格式分别为 cert_Alice＝{ID_Alice，A_Alice，lifetime，s_CA}和cert_Bob＝{ID_Bob，A_Bob，lifetime，s_CA}。其中，ID_X为参与者X的身份信息，A_X为参与者X的公钥，lifetime为参与者证书的有效日期，s_CA为CA 中心对该参与者证书的签名；

(3)Alice和Bob的参数初始化。Alice随机选取矩阵根据错误分布χ选取M，Bob根据错误分布χ选取M′，和

(4)Alice和Bob互相交互证书cert_Alice＝{ID_Alice，A_Alice，lifetime，s_CA}和 cert_Bob＝{ID_Bob，A_Bob，lifetime，s_CA}，进行身份认证。若认证失败，直接退出；

(5)Alice和Bob互相交互参数，根据参数计算出会话密钥。

进一步地，如上所述的基于格密码的双向认证密钥协商方法与系统，所述步骤(2)按照以下步骤进行，如附图1：

(2A)Alice(Bob)将自己的信息与公钥发送给CA；

(2B)CA为Alice(Bob)生成证书中的一些必要信息，例如版本号，序列号和有效期等；

(2C)CA对上述信息进行签名；

(2D)CA为Alice和Bob颁发证书cert_Alice＝{ID_Alice，A_Alice，lifetime，s_CA}， cert_Bob＝{ID_Bob，A_Bob，lifetime，s_CA}。

进一步地，如上所述的基于格密码的双向认证密钥协商方法与系统，所述步骤(2C) 按照以下步骤进行：

(a)输入待签消息μ，公钥私钥并且满足 AS＝A(-S)＝qI_n(mod2q)，矩阵A分别与矩阵±S相乘，模2q后，得到的结果是q倍的单位矩阵I_n；

(b)选取计算u＝Ay₁+y₂。其中是标准偏差为分布在上的离散高斯分布；

(c)计算c←H(Au mod 2q，μ)，其中哈希函数H取自输出分布在上的随机预言机。其中是长度为n，重量为k的二进制向量集；

(d)选取随机比特b∈{0，1}，计算z←u+(-1)^bSc；

(e)以概率输出(z，c)，否则返回(a)。从集合{0，1}中随机抽取比特b，并计算z←u+(-1)^bSc，因此z是分布在离散高斯分布上的向量。以概率输出签名(z，c)，其中M是固定值，确保概率总是接近于1，若没有成功输出签名值作为返回(a)。签名算法的迭代期望值是M。exp是指数函数，cosh是余弦函数，〈a，b〉表示对向量a与向量b进行点乘运算；

(f)输出签名值(z，c)。

进一步地，如上所述的基于格密码的双向认证密钥协商方法与系统，所述步骤(4)按照以下步骤进行，如附图2：

(4A)Alice(Bob)收到Bob(Alice)的证书后，提取Alice(Bob)证书中的CA签名(z，c)；

(4B)Alice(Bob)从CA自身的证书中获取验证密钥A；

(4C)Alice(Bob)对Bob(Alice)证书的CA签名进行验证；

(4D)若验证失败，直接退出。

进一步地，如上所述的基于格密码的双向认证密钥协商方法与系统，所述步骤(4C) 按照以下步骤进行：

(a)待签消息μ，公钥签名值(z，c)；

(b)若||z||＞B₂，直接输出“Reject”；

(c)若||z||≥q/4，直接输出“Reject”；

(d)c′＝H(Az+qc mod 2q，μ)，若c＝c′，输出“Aceppt”并验证完毕。签名者输出的签名值(z，c)，z是根据分布的向量，所以的(a)接受界限B₂应高于定义通过改变η的值，使得||z||≤B₂的概率为1-2^-λ(λ为安全参数)。对于(d)： Az+qc＝A(u+(-1)^bSc)+qc＝Au+(qI_n)c+qc＝Au mod 2q，因此该步骤可验证签名有效性。

进一步地，如上所述的基于格密码的双向认证密钥协商方法与系统，所述步骤(5)按照以下步骤进行，如附图3：

(5A)Alice计算B←UM+E，将参数U传给Bob；

(5B)Bob计算B′←M′U+E′，V←M′B+E″；

(5C)Bob计算将参数B′，C传送给Alice。定义为对v进行乘法操作后取整并模2。根据第(B+1)个比特，将分成两个子集；

(5D)Alice计算与B′M距离最近的V′，使得则会话密钥为K←H(V′)；

(5E)Bob计算K←H(V)。

V′是V分布在格上距离最近的矩阵，由于其都是V′，并且都满足在格上通过这样哈希算法，可以得到在格上分布相同的两个矩阵。也就是说，Alice和Bob可以得到两个相同的会话密钥K。

本发明旨在设计一个易于实现并且安全的基于格理论的认证密钥协商方案。该方案采取基于格密码的数字证书的认证方式。其中证书使用的签名验签算法基于格理论，具有较高的签名验签速率。同时，该算法安全性基于SIS困难问题。密钥协商部分的设计基于差错学习问题(Learning With Error，LWE)，是工程可实现的。

相较于与其它的AKA方案(例如，基于格的密钥协商方案)，具有高安全性，高运算效率，并且可工程实现。该方案的认证和密钥协商都是基于格理论设计的，因此在实际应用中不用惧怕量子算法的攻击。认证中使用的签名验签算法，相较于RSA，ECDSA来说，安全性和效率都有提高。并且相较于其他基于格的签名算法，该算法的签名值尺寸有所改善，更适合在实际中应用。基于LWE的密钥协商协议是一种实用的密钥协商方案，其安全性也基于LWE。在协商密钥的过程中，每次都会重新生成公开矩阵U，这样避免使用其他参数引来的预计算攻击，而且节省了带宽。

附图说明

图1格证书的产生具体流程。

图2为验证格证书的具体流程。

图3为基于格密码的AKA协议的具体流程

图4基于格密码的双向认证密钥协商过程

具体实施方式

下面结合附图对本发明进一步说明。

符号说明：

矩阵：黑体大写字母

向量：黑体小写字母

对于任意向量v，它的范数为||v||_p，其中||v||_p＝(∑_i|v_i|^p)^1/p。为了方便，当p＝2 时，||v||₂为欧几里得范数，直接记为||v||。

本发明的方案的整个过程如下：

(1)参与密钥协商的双方Alice和Bob的数字证书的初始化， cert＝{ID，A，lifetime，s_CA}，本步骤具体如下：

(1A)Alice(Bob)将自己的信息与公钥发送给CA；

(1B)CA为Alice(Bob)生成证书中的一些必要信息，例如版本号，序列号和有效期等；

(1C)CA对上述信息进行签名。本步骤具体如下：

(a)输入待签消息μ，公钥私钥并且满足 AS＝A(-S)＝qI_n(mod2q)；

(b)选取y₁，计算u＝Ay₁+y₂。其中是标准偏差为分布在上的离散高斯分布；

(c)计算c←H(Au mod 2q，μ)；

(d)选取随机比特b∈{0，1}，计算z←u+(-1)^bSc；

(e)以概率输出(z，c)，否则返回(a)；

(f)输出签名值(z，c)。

(1D)CA为Alice和Bob颁发证书cert_Alice＝{ID_Alice，A_Alice，lifetime，s_CA}， cert_Bob＝{ID_Bob，A_Bob，lifetime，s_CA}。

(2)Alice和Bob的参数初始化。Alice随机选取矩阵根据错误分布χ选取M，Bob根据错误分布χ选取M′，和

(3)Alice和Bob互相交互证书cert_Alice＝{ID_Alice，A_Alice，lifetime，s_CA}和 cert_Bob＝{ID_Bob，A_Bob，lifetime，s_CA}，进行身份认证。若认证失败，直接退出。本步骤具体如下：

(3A)Alice(Bob)收到Bob(Alice)的证书后，提取Alice(Bob)证书中的CA签名(z，c)；

(3B)Alice(Bob)从CA自身的证书中获取验证密钥A；

(3C)Alice(Bob)对Bob(Alice)证书的CA签名进行验证。本步骤具体如下：

(a)待签消息μ，公钥签名值(z，c)；

(b)若||z||＞B₂，直接输出“Reject”；

(c)若||z||≥q/4，直接输出“Reject”；

(d)c′＝H(Az+qc mod 2q，μ)，若c＝c′，输出“Aceppt”并验证完毕。

(3D)若验证失败，直接退出。

(4)Alice和Bob互相交互参数，根据参数计算出会话密钥，本步骤具体如下：

(4A)Alice计算B←UM+E，将参数U传给Bob；

(4B)Bob计算B′←M′U+E′，V←M′B+E″；

(4C)Bob计算将参数B′，C传送给Alice；

(4D)Alice计算与B′M距离最近的V′，使得则会话密钥为 K←H(V′)；

(4E)Bob计算K←H(V)

以上只是对本发明的优选实施方式进行了描述，并不局限于上述的实施方式，仅仅作为例子对本发明的一种形态进行详细、示范性的说明。另外，凡根据本发明精神实质所做的等价物或扩展，都应涵盖在本发明的保护范围内。

Claims

1.一种基于格密码的双向认证密钥协商(Authority Key Agreement，AKA)方法与系统，其特征在于：

该方法主要包括四个部分：设计一种基于格密码的数字证书(格证书)，初始化参与密钥协商双方的格证书；初始化双方的参数；交换双方的格证书并认证，若认证失败，则直接退出，不进行下一步操作；若认证成功，互相交换参数，并根据自己的参数和对方的参数，通过摘要算法计算会话密钥。

2.根据权利要求1所述的基于格密码的双向认证密钥协商方法与系统，其特征在于：

所述设计基于格密码的数字证书使用基于格理论的数字签名算法，其安全性基于最小整数解困难问题(Small Integer Solution，SIS)，是不可伪造的。并且签发验签效率相比其他方案，有显著的提高。

3.根据权利要求1所述的一种基于格密码的双向认证密钥协商方法与系统，其特征在于：

所述的认证过程中使用基于格密码的签名算法，证书授权中心(CertificateAuthority，CA)可以使用本签名算法工作，可以大大提高工作效率。而在以往基于格的签名方案中，因为其签名值尺寸过大而难以在实际中应用，但该问题在本方案中得到了改善。

4.根据权利要求1所述的一种基于格密码的双向认证密钥协商方法与系统，其特征在于：

所述的协商会话密钥过程是基于格密码的密钥协商算法。双方协商会话密钥时，使用常规摘要算法，能显著提升计算会话密钥的效率。在格理论上设计认证密钥协商方案具有以下几个显著优势：

(1)本方案基于格密码设计的认证及密钥协商算法简单高效。其中涉及的运算通常是矩阵、向量的线性求和运算以及模运算，相对于基于大数分解的公钥密码体制来说，基于格密码的公钥密码体制计算比较简单、高效；

(2)本方案系统方便实用。格上困难问题在任意随机实例下的困难度都与最坏实例的困难度是等价的，因此可选取随机实例，这样便于方案的使用与普及；

(3)本方法与系统具有很强的安全性。至今没有有效的量子算法破解格上的困难的问题。量子计算机天然的并行性赋予了它超强的计算能力，但是由于格与量子计算机的结构完全不一样，所以是一种有效抵抗量子计算机攻击的方案。