CN108667606B

CN108667606B - 一种抗泄漏的群组用户认证密钥协商方法及系统

Info

Publication number: CN108667606B
Application number: CN201810395902.8A
Authority: CN
Inventors: 阮鸥; 王子豪; 周靖; 廖雅晴; 杨阳; 黄雄波
Original assignee: Hubei University of Technology
Current assignee: Hubei University of Technology
Priority date: 2018-04-27
Filing date: 2018-04-27
Publication date: 2021-01-15
Anticipated expiration: 2038-04-27
Also published as: CN108667606A

Abstract

本发明公开了一种抗泄漏的群组用户认证密钥协商方法及系统，系统是由n个用户成员组成的群组，每个用户各自有一对公私钥；系统具有公钥加密算法，它满足适应性选择明文事后泄漏攻击安全，具体包括密钥生成算法、加密算法和解密算法。方法包括五个部分：系统初始化；第一次交互，生成消息参数；第二次交互，生成公用参数；第三次交互，生成密钥参数；认证密钥协商，验证密钥参数，生成系统通信密钥。本发明已经达到了密码学上的可证明安全性，安全性高，在泄漏环境下仍能安全稳定的执行，具有很高的实用性；结合公钥加密算法提出了抗泄漏的群组认证密钥协商协议，提高了方案的效率。

Description

一种抗泄漏的群组用户认证密钥协商方法及系统

技术领域

本发明属于信息安全技术领域，涉及一种抗泄漏的群组用户认证密钥协商方法及系统。特别涉及在实际环境的群组成员交互过程中，针对通信可能受到攻击者泄漏攻击的特点，结合密码学工具的一种群组通信中抵抗泄漏攻击的认证密钥协商方法及系统。

背景技术

随着物联网、移动互联网、工业互联网以及云计算的迅猛发展，越来越多的群组通信方式在人们生活中普及，例如语音或者视频会议、网络电视点播、群聊、在线教学、直播等等面向群组的网络应用。从一方面看，这样的交互方式使得人们的联络更加方便快捷，促进了众多新兴产业的崛起与社会经济的高速发展；另一方面，由于人们随时随地进行多方通信的需求越来越多，由此引发的群组通信安全性问题也越来越突出，已经受到学术界的广泛关注。如何在开放的网络环境中，使得群组用户之间能够安全高效的进行认证密钥协商，是面向群组通信技术和网络应用进一步发展的关键技术要素。

当群组通信在实际环境中运行时，通常会受到以测信道攻击为代表的一大类物理攻击，在这样的情况下，敌手可以额外的获取关于系统内部执行状态的泄漏信息，例如电子设备在运行过程中的时间消耗、功率消耗或电磁辐射等等。尤其是在公共环境下，例如，在物联网、移动互联网或Ad Hoc网络中，由于大多数节点都暴露在公共环境中，很容易受到测信道攻击。这类新型攻击的有效性有时远高于密码分析，因为其不需要复杂的数学计算也不需要昂贵的特殊设备，从而给设备或系统安全带来了严重的威胁。

在传统的群组认证密钥交换(Group Authenticated Key Exchange，AGKE)方案中，研究者们并没有考虑这类泄漏攻击，与之相反，他们假设密码系统的内部状态信息完全保密，并在此假设下进行的方案设计，因此，在此意义下的AGKE方案并不能在真实的泄漏环境中保持方案的安全性，甚至已经遭受到了一些实际的攻击。目前，针对上述问题，工程师们通常会采用一些物理手段，如掩码技术、隐藏技术等，来消除这类泄漏攻击，并假设此时真实环境与理论的环境接近，但是由于无法进行精确的定义和理论的分析，这种假设的合理性无法得到很好的论证。因此，近几年来，密码学家们更倾向于使用理论的手段解决这一实际问题，即扩展密码学的安全模型，使得敌手可以额外获得一些泄漏的信息。然后在改进后的安全模型下提出新的抗泄漏的密码方案。

发明内容

为了解决上述的技术问题，本发明提供了一种抗泄漏的群组用户认证密钥协商方法及系统。

本发明的方法所采用的技术方案是：一种抗泄漏的群组用户认证密钥协商方法，其特征在于，包括以下步骤：

步骤1：系统初始化，根据用户身份生成公私钥对；

步骤2：第一次交互，每个用户利用其他成员的公钥计算消息参数；

步骤3：第二次交互，每个用户利用相邻成员的消息参数计算公用参数；

步骤4：第三次交互，用户根据之前得到的参数各自计算密钥参数；

步骤5：认证密钥协商，验证密钥参数，生成通信密钥。

本发明的系统所采用的技术方案是：一种抗泄漏的群组用户认证密钥协商系统，所述系统是由n个用户成员组成的群组，每个用户拥有各自的身份；其特征在于：包括公私钥生成模块、消息参数计算模块、公用参数计算模块、密钥参数计算模块、通信密钥生成模块；

所述公私钥生成模块，根据用户身份生成公私钥对；

所述消息参数计算模块，用于每个用户利用其他成员的公钥计算消息参数；

所述公用参数计算模块，用于每个用户利用相邻成员的消息参数计算公用参数；

所述密钥参数计算模块，用于根据之前得到的参数用户各自计算密钥参数；

所述通信密钥生成模块，用于认证密钥协商，验证密钥参数，生成通信密钥。

本发明方法与现有的技术相比有如下的优点和有益效果：

(1)传统的群组认证密钥协商方案中，并没有考虑真实的泄漏攻击，一旦存在泄漏攻击，可能会给整个系统带来严重的威胁。本发明结合满足适应性选择明文事后泄漏攻击安全(Security Against Adaptively Chosen Plaintext After-the-fact LeakageAttacks,CPLA2-secure)的公钥加密算法，提出了抗泄漏攻击的系统模型。

(2)本发明已经达到了密码学上的可证明安全性，安全性高，在泄漏环境下仍能安全稳定的执行。

(3)本发明结合公钥加密算法(Public Key Encryption,PKE)提出了抗泄漏的群组认证密钥协商协议，具有效率高、无需要硬件支持等优点。

附图说明

图1：本发明实施例的方法流程图；

图2：本发明实施例的系统模型图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实例化对本发明做进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种抗泄漏的群组用户认证密钥协商方法，具体包括以下步骤：

步骤1：系统初始化，根据用户身份生成公私钥对；

步骤1.1：系统是由n个用户组成的群组，每个用户定义为U₁,...,U_n,n＝poly(κ)，每个用户U_i计算(sk_i,pk_i)＝KeyGen(1^κ)生成各自的公钥和私钥(sk_i,pk_i)；其中n代表系统用户的个数，κ代表系统安全参数，poly(κ)代表一个关于κ的多项式，它的值是有限的，表示系统用户个数有限；KeyGen(1^κ)是PKE中的密钥生成算法，用来生成用户的一对公私钥。

步骤1.2：每个用户U_i保存好自己的私钥sk_i，并且将自己的公钥pk_i广播给系统的其他用户。

步骤2：第一次交互，每个用户利用其他成员的公钥计算消息参数c_i,j；

步骤2.1：系统的每个用户U_i(1≤i≤n)选择一个随机数r_i∈_R Z_q，计算用户参数

g代表群G的生成元，q代表大素数。

步骤2.2：系统的每个用户U_i(1≤i≤n)利用其他用户U_j(1≤j≤n∧j≠i)的公钥pk_j计算消息参数c_i,j＝Enc(pk_j,z_i)；其中Enc(pk,z)是PKE中的加密算法，c_i,j是用户对各自参数z_i进行计算生成的一系列参数，利用不同用户U_j(1≤j≤n∧j≠i)的公钥生成对应的参数c_i,j。

步骤2.3：每个用户U_i将各自的消息(U_i,c_i,j(1≤j≤n∧j≠i))广播到系统。

步骤3：第二次交互，每个用户利用相邻成员的消息参数计算公用参数X_i；

步骤3.1：系统的每个用户U_i(1≤i≤n)结合各自的私钥sk_i，利用相邻两个用户的广播消息计算参数z_i+1＝Dec(sk_i,c_i+1,i)，z_i-1＝Dec(sk_i,c_i-1,i)；其中Dec(sk,c)是PKE中的解密算法；假设n个用户构成一个环，请见图2，用户U_i前后分别是U_i-1和U_i+1。c_i+1,i是下一个用户U_i+1利用U_i的公钥pk_i计算出的消息参数，同理c_i-1,i是上一个用户U_i-1计算出的消息参数，具体见步骤2.2。

步骤3.2：每个用户U_i(1≤i≤n)计算公用参数

并且将各自的消息(U_i,X_i)广播到系统；其中mod是取模运算，目的是确保计算的结果在群G里面。

步骤4：第三次交互，根据之前得到的参数用户各自计算密钥参数K_i；

步骤4.1：每个用户U_i计算

假设n个用户构成一个环，下标从i到i-1构成一个环，同理，下标从i-1到i-2构成一个环，其中...代表省略的算式，省略部分算式下标的规律是从i-1到i-2的环。

步骤4.2：每个用户U_i计算验证参数σ_i＝h(U₁||...||U_n,K_i)，然后将消息(U_i,σ_i)广播到系统；其中h表示无碰撞的哈希算法。

步骤5：认证密钥协商，验证密钥参数K_i，生成系统通信密钥k_G。

步骤5.1：每个用户U_i(1≤i≤n)计算h(U₁||...||U_n,K_i)，对于每一个验证参数σ_j(1≤j≤n∧j≠i)都进行验证σ_j与h(U₁||...||U_n,K_i)是否相等。

步骤5.2：如果步骤5.1验证通过，则计算通信密钥k_G＝KDF(U₁||...||U_n,K_i)，其中KDF代表密钥生成函数；通过协商，所有用户都得到了共同的系统通信密钥k_G；如果步骤5.1验证不通过，则此次协商失败。

请见图2，本发明提供的一种抗泄漏的群组用户认证密钥协商系统，所述系统是由n个用户成员组成的群组；包括公私钥生成模块、消息参数计算模块、公用参数计算模块、密钥参数计算模块、通信密钥生成模块；公私钥生成模块，根据用户身份生成公私钥对；消息参数计算模块，用于每个用户利用其他成员的公钥计算消息参数；公用参数计算模块，用于每个用户利用相邻成员的消息参数计算公用参数；密钥参数计算模块，用于根据之前得到的参数用户各自计算密钥参数；通信密钥生成模块，用于认证密钥协商，验证密钥参数，生成通信密钥。

系统具有公钥加密算法，它满足适应性选择明文事后泄漏攻击安全，具体包括密钥生成算法、加密算法和解密算法；所述密钥生成算法提供给每个用户根据身份产生一对公私钥，将其中公钥pk予以公开，私钥sk进行保密；所述加密算法是用户使用其他用户的公钥对需要保密的消息进行计算得到的消息参数；所述解密算法是用户接收到其他用户传来的消息参数后，使用自己的私钥进行计算，得到对应的保密信息。

本发明利用CPLA2-secure的公钥加密算法PKE实现了群组用户认证密钥协商，它可以在泄漏环境下保证群组用户通信的安全性。在传统的群认证密钥协商方案中，研究者们并没有考虑泄漏攻击，一旦存在泄漏攻击，可能会给系统安全带来了严重的威胁。本方案针对泄漏环境，结合公钥加密算法PKE，有效的解决了敌手在获得泄漏信息的情况下的群密钥协商问题，并且仍能确保计算执行的高效性。

应当理解的是，本说明书未详细阐述的部分属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求书所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims

1.一种抗泄漏的群组用户认证密钥协商方法，其特征在于，所述方法包括以下步骤：

步骤1：系统初始化，根据用户身份生成公私钥对；

系统是由n个用户组成的群组，每个用户定义为U₁,...,U_n,n＝poly(κ)，每个用户U_i计算(sk_i,pk_i)＝KeyGen(1^κ)生成各自的公钥和私钥(sk_i,pk_i)；其中n代表系统用户的个数，κ代表系统安全参数，poly(κ)代表一个关于κ的多项式，它的值是有限的，表示系统用户个数有限；KeyGen(1^κ)是公钥加密算法(PKE)中的密钥生成算法，用来生成用户的一对公私钥；

每个用户U_i通过KeyGen(1^κ)生成各自的公钥和私钥(sk_i,pk_i)，将公钥pk_i广播给系统的其他用户；

每个用户U_i选择一个随机数r_i，计算用户自身参数z_i，并通过其他用户U_j的公钥pk_j计算消息参数c_i,j＝Enc(pk_j,z_i)，其中Enc()是PKE中的加密算法，c_i,j是用户对各自参数z_i进行计算生成的一系列参数，利用不同用户U_j(1≤j≤n∧j≠i)的公钥生成对应的参数c_i,j；将消息参数c_i,j广播给系统的其他用户；

每个用户U_i结合各自的私钥sk_i，利用从相邻两个用户收到的广播消息c_i+1,i，c_i-1,i生成用户自身参数z_i+1＝Dec(sk_i,c_i+1,i)，z_i-1＝Dec(sk_i,c_i-1,i)，并利用z_i+1和z_i-1计算公用参数

将公用参数X_i广播给系统的其他用户，其中Dec()是公钥加密算法的解密过程算法；

每个用户U_i利用公用参数X_i到X_i-2以及用户自身参数z_i-1计算密钥参数

然后用户U_i生成密钥的验证参数σ_i＝h(U₁||...||U_n,K_i)，将验证参数σ_i广播给系统的其他用户，其中h()表示无碰撞的哈希算法；

步骤5：认证密钥协商，验证密钥参数K_i，生成系统通信密钥k_G；

每个用户首先通过计算h(U₁||...||U_n,K_i)是否与验证参数σ_j相等来判断密钥是否验证成功；若验证失败，则认证密钥协商失败；若验证成功，则通过密钥参数K_i，生成系统通信密钥k_G＝KDF(U₁||...||U_n,K_i)；其中KDF()代表密钥生成函数。

2.根据权利要求1所述的抗泄漏的群组用户认证密钥协商方法，其特征在于，其中步骤2的具体实现包括以下子步骤：

步骤2.1：系统的每个用户U_i选择一个随机数r_i∈_R Z_q，计算用户参数

g代表群G的生成元，q代表大素数；其中，1≤i≤n；

步骤2.2：系统的每个用户U_i利用其他用户U_j的公钥pk_j计算消息参数c_i,j＝Enc(pk_j,z_i)；其中Enc()是PKE中的加密算法，c_i,j是用户对各自参数z_i进行计算生成的一系列参数，利用不同用户U_j的公钥生成对应的参数c_i,j；其中，1≤j≤n∧j≠i；

步骤2.3：每个用户U_i将各自的消息(U_i,c_i,j)广播到系统。

3.根据权利要求2所述的抗泄漏的群组用户认证密钥协商方法，其特征在于，其中步骤3的具体实现包括以下子步骤：

步骤3.1：系统的每个用户U_i结合各自的私钥sk_i，利用相邻两个用户的广播消息计算参数z_i+1＝Dec(sk_i,c_i+1,i)，z_i-1＝Dec(sk_i,c_i-1,i)；其中Dec()是PKE中的解密算法；假设n个用户构成一个环，用户U_i前后分别是U_i-1和U_i+1，c_i+1,i是下一个用户U_i+1利用U_i的公钥pk_i计算出的消息参数，同理c_i-1,i是上一个用户U_i-1计算出的消息参数；其中，1≤i≤n；

步骤3.2：每个用户U_i计算公用参数

4.根据权利要求3所述的抗泄漏的群组用户认证密钥协商方法，其特征在于，其中步骤4的具体实现包括以下子步骤：

步骤4.1：每个用户U_i计算

假设n个用户构成一个环，下标从i到i-1构成一个环，同理，下标从i-1到i-2构成一个环，其中...代表省略的算式，省略部分算式下标的规律是从i-1到i-2的环；

步骤4.2：每个用户U_i计算验证参数σ_i＝h(U₁||…||U_n,K_i)，然后将消息(U_i,σ_i)广播到系统；其中h()表示无碰撞的哈希算法。

5.根据权利要求4所述的抗泄漏的群组用户认证密钥协商方法，其特征在于，其中步骤5的具体实现包括以下子步骤：

步骤5.1：每个用户U_i计算h(U₁||...||U_n,K_i)，对于每一个验证参数σ_j都进行验证σ_j与h(U₁||...||U_n,K_i)是否相等；其中，1≤j≤n∧j≠i；

步骤5.2：如果步骤5.1验证通过，则计算通信密钥k_G＝KDF(U₁||...||U_n,K_i)，其中KDF()代表密钥生成函数；通过协商，所有用户都得到了共同的系统通信密钥k_G；如果步骤5.1验证不通过，则此次协商失败。