CN108270572A

CN108270572A - 一种基于位置和口令的密钥交换协议

Info

Publication number: CN108270572A
Application number: CN201711399109.7A
Authority: CN
Inventors: 范佳; 赵伟; 曹云飞; 薛海洋; 李宝; 路献辉
Original assignee: CETC 30 Research Institute
Current assignee: CETC 30 Research Institute
Priority date: 2017-12-22
Filing date: 2017-12-22
Publication date: 2018-07-10
Anticipated expiration: 2037-12-22
Also published as: CN108270572B

Abstract

本发明公开了一种基于位置和口令的密钥交换协议，第一阶段：主验证方发送口令的ElGamal加密，4个验证方计算并发送定位验证信息使得同时到达加入方位置；第二阶段：加入方计算口令信息和位置检验信息；第三阶段：4个验证方验证加入方口令与位置信息，计算会话密钥，回复认证信息；主验证方将哈希值的第一块信息发送给加入方；第四阶段：加入方验证接受信息与哈希值第一部分是否相等，如相等则输出会话密钥，否则终止。本发明通过一个协议的同步执行，实现对于口令和位置的双重认证。敌手无法冒充加入方从与其声明位置不一致的位置进行验证、敌手只能在线猜测口令冒充认证、敌手对位置和口令的任何一项冒充，都将导致认证不通过。

Description

一种基于位置和口令的密钥交换协议

技术领域

本发明涉及一种基于位置和口令的密钥交换协议。

背景技术

口令是一类重要的安全认证方式，而参与者的位置也可以作为对于身份认证的一种方式。其中基于口令的密钥交换形式需要面临从低熵(low-entropy)密钥生成高熵会话密钥的挑战。当前基于口令的密钥交换协议主要使用在服务器客户端的场景，并且主流技术采用选择密文安全(CCA2)安全的加密方案与平滑射影哈希函数(smooth projectivehash function)的结构。在现实生产生活中，位置信息也是一类重要的认证信息，例如无人机控制站，军事基地通信等。通常现有技术可以很容易通过信息流在空气中的传播速度和时间判断距离，并使用4个参与方来定位一个新的参与者的位置。然而现有的对于身份的认证大多使用口令一种形式来进行验证。通过增加对位置信息的认证，增加认证的可靠性同时提高敌手攻击的难度。无线通信中有一些需要对口令和位置进行双重认证的情形，因此发明口令和位置双重认证的密钥交换协议非常有意义。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种基于位置和口令的密钥交换协议，使用更少的通信量，达到对加入者的口令和位置进行双重认证的目的。

本发明解决其技术问题所采用的技术方案是：一种基于位置和口令的密钥交换协议，包括如下内容：

1)预备阶段：所有参与方可访问公共参考串，并维护共同的时钟，4个验证方共享私密的随机数串；

2)第一阶段：主验证方发送口令的ElGamal加密，4个验证方计算并发送定位验证信息使得同时到达加入方位置；

3)第二阶段：加入方计算口令信息和位置检验信息；

4)第三阶段：4个验证方验证加入方口令与位置信息，计算会话密钥，回复认证信息；主验证方将哈希值的第一块信息发送给加入方；

5)第四阶段：加入方验证接受信息与哈希值第一部分是否相等，如相等则输出会话密钥，否则终止。

与现有技术相比，本发明的积极效果是：

本发明通过一个协议的同步执行，实现对于口令和位置的双重认证。现有技术都是从单方面对参与者进行认证，然而本发明通过口令和位置对加入方进行双重认证并协商出共同的会话密钥，为下一步进行私密通信做准备。具体来讲：敌手无法冒充加入方从与其声明位置不一致的位置进行验证、敌手只能在线猜测口令冒充认证、敌手对位置和口令的任何一项冒充，都将导致认证不通过。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1：一种基于位置和口令的密钥交换协议。

图2：主验证者的协议执行过程。

图3：非主验证者的协议执行。

图4：加入者的协议执行过程。

图5：验证方生成发送消息的算法。

图6：加入者的生成验证信息的算法。

图7：加入者的生成验证口令信息的算法。

图8：加入者的生成验证位置信息的算法。

图9：加入者生成验证口令和位置信息的算法。

图10：验证方接收加入者消息后的验证算法。

具体实施方式

本发明需要解决四个验证方同步验证新加入者的位置信息与口令信息，协商生成高熵的会话密钥，为下一步保密通信提供安全密钥的问题。具体需要处理以下几个问题：

1)四个验证者如何判定加入方的位置信息，并同步验证其位置信息；

2)新的加入方如何验证四个验证者的口令信息并同时生成高熵的会话密钥；

3)四个验证者如何在验证加入方的位置和口令信息的同时生成相同的高熵会话密钥。

本发明给出一种在无线通信中结合口令和位置认证加入者，从而生成会话密钥的安全协议。具体来讲，在无线通信中4个验证者利用公共参考串通过共享口令和位置信息对加入者进行认证和初始化加密通信的方法。协议包括ElGamal密文、通用哈希证明函数(universal projective hash function)、密钥封装机制、4-wise独立散列函数和伪随机生成器。

本发明包括验证者发送的第一轮消息，加入者回复的第二轮消息以及验证者回复的第三轮消息。其中第一、第二和第三轮消息包括素数阶循环群G的元素、共享口令的ElGamal加密、散列函数值以及随机串。

如图1所示，本发明通过预备阶段和后续四个阶段对位置和口令的双重认证；

1)预备阶段：所有参与方可访问公共参考串，并维护共同的时钟，4个验证方共享一串随机数，分别为安全定位和加密随机数准备。

2)第一阶段：4个验证方发送口令的ElGamal加密和定位信息。如图5所示，4个验证方中有一个主验证者发送口令的ElGamal加密，所有验证者计算并发送定位验证信息使得同时到达加入者位置。

3)第二阶段：如图6至图9所示，加入方计算口令信息和位置信息。在计算口令信息时，加入方随机计算哈希证明函数的公钥并根据口令加密的ElGamal密文计算哈希值，并将该哈希值按比特值平均分成三块，分别用于检验验证者身份、生成会话密钥、密钥封装并异或口令和位置信息。加入方计算位置检验信息。如图9所示，加入方广播哈希证明函数的公钥、密钥封装以及密钥异或口令和位置检验信息。

4)第三阶段：4个验证方验证加入者口令与位置信息，计算会话密钥，回复认证信息。如图10所示，验证方接收加入方的信息后计算哈希值并验证口令和接收时间与位置的一致性。主验证者将哈希值的第一块信息发送给加入者。

5)第四阶段：加入方检验验证方的认证信息。加入者验证接受信息与哈希值第一部分是否相等，如相等则输出会话密钥，否则终止。

为了使本发明的目的、技术方案和优点更加清晰明白，下面结合具体实施方式并参照附图对本发明进一步详细说明。

本发明在初始状态下，所有参与者都共享公共参考串CRS、维护共同的时钟、4个验证者共享随机数串VRS，本发明目的是对加入方的口令和位置进行认证并协商会话密钥。下面具体阐述：

本发明的系统工作环境为：

1、系统假设：系统的参与方拥有一个同步时钟；所有参与方可以访问公共参考串CRS；验证者共享私密的随机数串VRS；计算时间相对于信息的传输时间可忽略；素数阶群上判定Diffie-Hellman问题是困难的。

2、系统参数：公共参考串CRS＝{G,p,g,h,H,H_cr,PRG,d,e}是协议的参与方共享的参考串。在CRS中，G为一个p阶循环群，一般来说p的长度大于160比特。g和h是群G上的随机元素。H是一个4-wise独立的散列函数。H_cr为抗碰撞散列函数。PRG是一个伪随机生成器。d和e是群G上的元素，具体来说和为密钥封装机制(Key encapsulationmechanisms)的公钥。

3、假设每个验证者V_i(i＝1,…,4)通过安全的通信信道共享随机数串VRS＝(K₁,K₂,K₃,r)，一般K₁,K₂,K₃长度分别大于80比特，r长度大于160比特。

4、t₁,…,t₄分别表示无线电波从验证者V₁,…,V₄传播到加入者位置的时间。

在上述工作环境下，本发明所设计的协议执行如下：

第一阶段：

V₁从VRS中选取r，计算A＝g^r,c′＝h^rg^π，在T-t₁时刻广播(K₁,A||c′)，如图1中的步骤(105)和图2所示。

V₂随机选择X₁，计算在T-t₂时刻广播(X₁,K′₂)，如图1中的步骤(106b)和图3所示。

V₃随机选取X₂，计算在T-t₃时刻广播(X₂,K′₃)，如图1中的步骤(106c)和图3所示。

V₄随机选取X₃，计算在T-t₄时刻广播(X₃,K′₄),如图1中的步骤(106d)和图3所示。

第二阶段：

加入方接收到广播信息后计算其从中随机选择λ₁,λ₂，并计算c＝c′g^-π；计算并令τ_p||sk_p||r_p←σ；计算其中计算并广播(μ||c_kem||δ)；如图1中的步骤(107)和图4所示。

第三阶段：

验证者V_i接收到(μ||c_kem||δ)后，计算哈希值σ＝μ^r，令τ_V||sk_V||r_V＝σ，并验证c_kem是否等于以及δ是否等于其中对于i＝1,2,3，V_i检验接收到(μ||c_kem||δ)的时间是否为T+t_i，若检验均通过，则广播τ_V，如图1中的步骤(108)，并设置与加入者的通信密钥为sk_V；

第四阶段：

加入者验证接收到的τ_V是否等于τ_p，若相等，则sk_P为与验证者的通信密钥。

综上所述，本发明通过口令和位置对加入方进行双重认证并协商出共同的会话密钥，为下一步进行私密通信做准备。本发明在标准模型下可以抵抗主动敌手的攻击。具体来讲：任意可以监听、篡改和发送信息的敌手只能在指定位置进行在线猜测口令的攻击。敌手对位置和口令的任何一项冒充，都无法通过认证。

Claims

1.一种基于位置和口令的密钥交换协议，其特征在于：包括如下内容：

3)第二阶段：加入方计算口令信息和位置检验信息；

2.根据权利要求1所述的一种基于位置和口令的密钥交换协议，其特征在于：所述公共参考串CRS＝{G,p,g,h,H,H_cr,PRG,d,e}，其中：G为一个p阶循环群，p的长度大于160比特；g和h是群G上的随机元素；H是一个4-wise独立的散列函数；H_cr为抗碰撞散列函数；PRG是一个伪随机生成器；d和e是群G上的元素，为密钥封装机制的公钥。

3.根据权利要求2所述的一种基于位置和口令的密钥交换协议，其特征在于：所述随机数串VRS＝(K₁,K₂,K₃,r)，其中：K₁,K₂,K₃长度分别大于80比特，r长度大于160比特。

4.根据权利要求3所述的一种基于位置和口令的密钥交换协议，其特征在于：在第一阶段，主验证方V₁从VRS中选取r，计算A＝g^r,c′＝h^rg^π，在T-t₁时刻广播(K₁,A||c′)；非主验证方V₂随机选择X₁，计算在T-t₂时刻广播(X₁,K′₂)，非主验证方V₃随机选取X₂，计算在T-t₃时刻广播(X₂,K′₃)，非主验证方V₄随机选取X₃，计算在T-t₄时刻广播(X₃,K′₄)。

5.根据权利要求4所述的一种基于位置和口令的密钥交换协议，其特征在于：在第二阶段，计算口令信息时，加入方随机计算哈希证明函数的公钥并根据口令加密的ElGamal密文计算哈希值，并将该哈希值按比特值平均分成三块，分别用于检验验证方身份、生成会话密钥、密钥封装并异或口令和位置信息。

6.根据权利要求5所述的一种基于位置和口令的密钥交换协议，其特征在于：在第二阶段，加入方接收到广播信息后计算直至i＞3时，输出位置认证信息K₄；从中随机选择λ₁,λ₂，并计算计算并令τ_p||sk_p||r_p←σ；计算其中计算并广播(μ||c_<e>||δ)。

7.根据权利要求6所述的一种基于位置和口令的密钥交换协议，其特征在于：在第三阶段，验证方V₍接收到(μ||c_<e>||δ)后，计算哈希值σ＝μ^r，令τ_V||sk_V||r_V＝σ，并验证c_<e>是否等于以及δ是否等于其中对于i＝1,2,3，V₍检验(μ||c_<e>||δ)的时间是否为T+t₍，若检验均通过，则广播τ_V，并设置与加入方的通信密钥为sk_V。

8.根据权利要求7所述的一种基于位置和口令的密钥交换协议，其特征在于：在第四阶段，加入方验证接收到的τ_V是否等于τ_p，若相等，则sk_P为与验证方的通信密钥。