CN110971401A - 一种基于交叉互锁机制的认证密钥协商方法及其实施装置 - Google Patents

一种基于交叉互锁机制的认证密钥协商方法及其实施装置 Download PDF

Info

Publication number
CN110971401A
CN110971401A CN201911133340.0A CN201911133340A CN110971401A CN 110971401 A CN110971401 A CN 110971401A CN 201911133340 A CN201911133340 A CN 201911133340A CN 110971401 A CN110971401 A CN 110971401A
Authority
CN
China
Prior art keywords
key
user
public
private
party
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911133340.0A
Other languages
English (en)
Other versions
CN110971401B (zh
Inventor
孙发军
何炎祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN201911133340.0A priority Critical patent/CN110971401B/zh
Publication of CN110971401A publication Critical patent/CN110971401A/zh
Application granted granted Critical
Publication of CN110971401B publication Critical patent/CN110971401B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

为了使认证的密钥协商过程在确保安全和可靠的基础上开销趋于最低,本发明公开了一种基于交叉互锁机制的认证密钥协商方法及其实施装置。利用公钥基础困难问题采取交叉互锁的方式实现互认证,只要攻击者不能同时获得一方的长期私钥和临时私钥或不同时获得两方的长期私钥,该方法协商得到的会话密钥就是安全的,且通过添加密钥确认环节实现了可靠密钥协商。基于ECC的实施例表明计算量只有4个标量乘的规模,协商阶段(不含确认)每方只需发送一个消息。因而本发明提供了一种安全、可靠、高效的认证会话密钥协商方法及其实施装置。

Description

一种基于交叉互锁机制的认证密钥协商方法及其实施装置
技术领域
本发明属于网络安全中的认证密钥建立技术领域,特别是涉及基于公钥的无证书认证或自认证的密钥协商(或分配、分发、交换)方法,可用于分布式网络中节点间安全高效地协商共享的会话密钥。
背景技术
随着信息技术的不断发展,计算机网络从局域网、广域网、互联网发展到目前的移动互联网、物联网等下一代网络,而这些网络技术的工业化应用中最重要的是安全问题。特别是随着无线开放的下一代互联网络的研究与应用,安全问题更加突显。为了实现开放互联计算机网络的安全通信,特别是实现无线网络的安全通信,我们需要在两个用户间利用公钥技术安全地构建一个会话用的对称密钥,即需要解决认证密钥协商(AKA,Authenticated Key Agreement)问题。这方面最近主要有刘勇、涂航、Seung-Hyun Seo、Mutaz Elradi S.Saeed、何德标、周彦伟、孙海燕等人的研究,其中以刘勇等人的专利研究(中国专利公布号:CN107437993A)计算量最小,每一个协商方只需要4个标量乘运算
但其存在如下缺陷:
1)、存在假冒攻击:攻击者C可假冒发起方A与用户B建立共享会话密钥。具体方法为,攻击者C(=A')先取一个
Figure BDA0002278929050000011
假冒A创建TA′=tCP-(PA+RA+H1(IDA,RA,PA)Ppub),发送MA′=(IDA,RA,TA′)给用户B,依照刘勇等人的方法接收方B也会取
Figure BDA0002278929050000012
并计算响应方会话密钥元素TB=tBP,将MB=(IDB,RB,TB)发给发起方。假冒A的攻击者C收到后,可先计算WB=RB+H1(IDB,RB,PB)Ppub,然后计算:
Figure BDA0002278929050000013
Figure BDA0002278929050000014
(这两项攻击者按自己的攻击设计来计算),
Figure BDA0002278929050000015
而会话响应方B会计算WA′=PA+RA+H1(IDA,RA,PA)Ppub+TA′=tCP,此后计算:
Figure BDA0002278929050000016
Figure BDA0002278929050000017
Figure BDA0002278929050000018
显然,因:
Figure BDA0002278929050000019
Figure BDA0002278929050000021
故攻击者C可假冒A与B建立共享密钥
Figure BDA0002278929050000022
2)、没有密钥确认环节,易遭干扰(Jamming)攻击:攻击者可通过反复生成并发送随机的MA来让被攻击者B执行协商过程而产生一系列不必要的计算,在没有确认环节时将无法检测这类攻击,这对以电池等方式供电的无线通信用户是致命的。
3)、不具有对称性而不便实施:对于分布式网络,用户间身份具有等同关系,通常任一方都应既可做发起者又可做响应者。但若两方同时做发起者时,会导致上述协商方法因重复协商而浪费能量,也易导致参与者无法判断自己是发起者还是响应者,从而不利于正确安排计算会话密钥参数的顺序(因发起者和响应者计算最终共享密钥的方法略有不同)。
发明内容
本发明针对申请公布号为CN107437993A中国专利的以上不足,在保证低计算量(使用ECC时只需要4个标量乘)的前提下提供一种更安全可靠的认证密钥协商方法。
本发明的创新性主要体现在密钥协商过程中,假设密钥协商采用的公钥机制所基于的困难问题(集)为Prms,所适用的网络模型如图1所示,网络中有三类实体:KGC(可以离线方式工作)、合法用户、攻击者,共享密钥在任何一对合法用户间建立。假设攻击者控制了整个网络通信,并可以利用他所获得的信息进行任何攻击,包括从网络窃听任何数据包进行分析、向网络弹入任何伪造复制等产生的数据包、修改合法用户间传递的数据包、阻断用户间发送的数据包等,攻击者还具有获得通信用户秘密的能力,除了以下两种情况外:
1)、不能同时获得一个用户的私钥和临时私钥;或者,
2)、不能同时获得两方用户的私钥。
这是本发明的密钥协商方法能抵抗的攻击模型,本密钥协商方法可以在攻击者获得除以上两例以外任何秘密组合情况下仍是安全的。
本发明的密钥协商建立在自证明公钥或无证书公钥的基础上,任何用户(IDi)在KGC为其分派安全参数(至少包括KGC的公钥Ppub)和自证明或无证书认证私/公钥对Pri/Pui(长期私/公钥对,随后文中未说明的地方均指长期)后,会话密钥协商过程
由初始化、用户注册、密钥协商三个阶段组成:
初始化:包括确定安全参数、生成KGC(密钥生成中心)公/私钥对、分发参数;
用户注册:包括用户生成自己的部分公/私钥对、上传部分公钥后由KGC生成另一半公/私钥对、构建全部公/私钥对;
密钥协商:包括用户生成临时公/私钥对并发送协商请求、依收到的协商请求信息计算会话密钥、确认协商是否成功。
在上述的一种基于交叉互锁机制的认证密钥协商方法,密钥协商过程基于自证明或无证书认证技术,用户注册阶段为用户构建的全部公/私钥对是自证明或无证书认证的,且密钥协商阶段包含以下步骤:
步骤1,生成一个临时私/公钥对ti/Ti,其中ti和Ti间的关系由所选用的公钥原语决定,且至少由Ti计算ti因公钥机制所基于的困难问题(集)Prms而不可行,并将自己的身份标识IDi、临时公钥Ti、其他可公开的安全参数Paramsi组成一个消息(IDi,Ti,Paramsi)发给参与协商的另一方,优选地,Paramsi取为自己的长期公钥;
步骤2,每个用户在收到以上消息时都可按以下方法构建与对方共享的会话密钥:
(2a)用其长期私钥基于Prms作用于对方的长期公钥和临时公钥得到K1;
(2b)用其长期私钥和临时私钥基于Prms作用于对方的长期公钥而得到K2,且使得K2与对方的K1呈多项式时间内可计算的关系(优选相等或系数已知的线性关系);
(2c)利用K1和K2进行某一运算(如异或、相加等,确保运算结果与对方的相等)而得到共享密钥K,优选地,可再结合双方用户的其他共享信息进行哈希函数操作来获得共享密钥K;
步骤3,每个用户利用对称密钥K与对方通过对称加/解密及Hash、MAC等操作进行确认;若确认对方已经建立了与自己一样的密钥则保存该共享密钥;否则,可当成攻击者的攻击而舍弃步骤2中计算出的共享密钥。
在上述的一种基于交叉互锁机制的认证密钥协商方法,对于中间值K1、K2,协商过程中发起方和响应方生成K1的公式形式上是相同的,而两方生成K2的公式形式上也是相同的,从而能实现对称性。
在上述的一种基于交叉互锁机制的认证密钥协商方法,在密钥协商阶段,无论实体通过计算一个中间值K来产生共享密钥,还是通过计算两个中间值K1、K2来产生共享密钥,都会具有(以两个中间值K1、K2为例,若为一个中间值时其一定可以分成K1、K2两部分):
1)、交叉性:即一方的K1与另一方的K2呈多项式时间内可计算的关系,优选相等关系;
2)、互锁性:每方的K1在其长期私钥和临时私钥不同时泄漏及两方的长期私钥不同时泄漏的情况下是不可伪造的,并由交叉性(如相等关系)可锁定另一方的K2也是不可伪造的,除非能解出困难问题Prms。
一个基于交叉互锁机制的认证密钥协商方法的实施装置,其特征在于,基于权利要求书1中所提出的认证密钥协商方法,采用ECC原语且使用无证书认证的方式;没有双线性对运算;包括初始化、用户注册、密钥协商三个模块。
在上述一个基于交叉互锁机制的认证密钥协商方法的实施装置,初始化模块中KGC先为自己生成一对私/公钥(s,Ppub=sP),且由KGC将包含有其公钥Ppub的参数params分发给网络内各通信用户或发布于某公布区。
在上述一个基于交叉互锁机制的认证密钥协商方法的实施装置,用户注册模块中,用户自己生成部分私/公钥对为(xi,Pi=xiP),KGC为其生成的部分私/公钥对为
(si=ri+sH1(IDi,Pi,Ri)(modq),Ri=riP),用户最终的长期全部私/公钥对为(xi,si)/(Pi,Ri)。
在上述一个基于交叉互锁机制的认证密钥协商方法的实施装置,密钥协商模块中,密钥协商过程为:
步骤1,A根据公共参数集params取随机数
Figure BDA0002278929050000041
作为其临时私钥,并以公式TA=tAP计算出对应的临时公钥,以身份、长期公钥、临时公钥构建协商消息MA=(IDA,PA,RA,TA),并将该消息发送(广播/单播)给要协商密钥的用户;同样,响应方如B也根据params取随机数
Figure BDA0002278929050000042
作为其临时私钥,并以公式TB=tBP计算出对应的临时公钥,以身份、长期公钥、临时公钥构建协商消息MB=(IDB,PB,RB,TB),并将该消息发送给要与其协商密钥的用户;
步骤2,A、B各自收到以上消息后,先进行如下计算
A用户:SB=RB+H1(IDB,PB,RB)Ppub,B用户:SA=RA+H1(IDA,PA,RA)Ppub
(2a&2b)然后按以下公式计算:
A用户:
Figure BDA0002278929050000043
Figure BDA0002278929050000044
B用户:
Figure BDA0002278929050000045
Figure BDA0002278929050000046
(2c)此后,A、B可分别依公式计算共享密钥:
A的共享密钥计算为:
Figure BDA0002278929050000051
(后两项的加运算也可用
Figure BDA0002278929050000052
)
B的共享密钥计算为:
Figure BDA0002278929050000053
(后两项的加运算也可用
Figure BDA0002278929050000054
)
并可通过以下等式验证:
Figure BDA0002278929050000055
Figure BDA0002278929050000056
也即各用户所得到的K1、K2分别与对方的K1、K2交叉相等;同时,由攻击模型假设可知攻击者不可伪造K1,又因为交叉相等以及K1的不可伪造性,使得K2其实也是不可伪造的,这就是本发明的交叉互锁性;
因此,有:
Figure BDA0002278929050000057
又,
Figure BDA0002278929050000058
TA+TB=TB+TA
也即有,KAB=KBA;故若A与B是合法用户且消息无误地送达,则其一定建立了相同的会话密钥K=KAB=KBA
步骤3,为确保收到的消息不是攻击者发送的垃圾信息或重放消息,确认生成的会话密钥正确以及对方也生成了同样的会话密钥,需要向对方按以下步骤进行会话密钥确认,我们以A为发起者为例(任何用户在建立密钥后都可作为发起者):
(3a)发起方产生一随机数mA,发送
Figure BDA0002278929050000059
(可选
Figure BDA00022789290500000510
)给响应方如B;
(3b)(为方便说明,我们假设B收到A的消息为
Figure BDA00022789290500000511
)响应方B用自己在步骤2产生的共享密钥KBA对收到的消息中的
Figure BDA00022789290500000512
进行解密,得到
Figure BDA00022789290500000513
后计算
Figure BDA00022789290500000514
并判断其是否与收到的消息中后半部分
Figure BDA00022789290500000515
相等,若相等,说明A已经建立了与自己同样的会话密钥,否则可能是传输出错或攻击,这时可向对方发送询问,等一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时,可当成攻击者的攻击或网络状况不佳而舍弃之前计算出的共享密钥;同样B也可作为发起者进行类似的确认过程。本认证密钥协商方法与现有方法相比具有以下优点:
第一,高安全性。首先,在攻击者不知双方用户的任何秘密时,协商的共享密钥是安全的;其次,在攻击者除了不能同时获得一个用户的私钥和临时私钥或两方用户的私钥外可以获得其他任何秘密组合的情况下,方案能确保协商的任何会话密钥都是安全的。特别地,本发明解决了背景技术中所述的假冒攻击问题。
第二,高可靠性。本发明通过设计的密钥确认机制对协商的会话密钥进行了确认,可确保密钥协商的高成功率,从而提高了可靠性。此外,会话密钥确认也提高了用户抗干扰攻击的能力。
第三,低计算量。本密钥协商方法不提倡使用双线性对运算,我们的实施例表明,本方法具有低计算量特性。随后基于ECC的实施例中,密钥协商时使用的公钥计算每方只需要4个标量乘操作,是目前同类方法中最低的。
第四,较低的通信量。协商密钥时每方只需要发送一条消息且确保只发送了必要的信息(用户身份ID、临时公钥、长期公钥),其他通信均为密钥确认环节所需且设计中也使其开销尽可能低。
第五,易实施性。本发明确保通信用户的对称性及收发信息的相互无依赖性,从而使得每个用户装载的协议及其实现是相同的,各用户计算共享密钥时不用考虑消息发送的先后秩序来安排参数的先后,即使一同做发起者启动协商过程也可实现正确的密钥协商。
附图说明
图1是本发明所基于的网络模型。
图2是本发明的主体流程图。
图3是本发明认证密钥协商过程的交叉互锁特征。
图4是本发明实施例的整体流程图。
具体实施方式
本发明主要基于无证书认证/自认证公钥机制,提出了一种基于困难问题通过交叉互锁方式实现两方认证的会话密钥协商方法及其实施装置。本方法充分考虑了防范协商过程中的假冒攻击问题,通过协商后的对称密钥确认阶段确保协商的可靠性。通过本发明进行认证的会话密钥协商更安全、更可靠。
本发明的实施可以分成三个阶段进行(主体流程如图2所示):
阶段一(S1):初始化。
首先根据应用场景的需要选择公钥原语(如ECC、RSA等),并为相应公钥原语配备安全参数,如确定安全密钥长度λ的值,选择所使用的曲线及相关参数(包括曲线参数、大素数等),选择相关安全算法、Hash函数等。
随后生成KGC的私钥s及公钥Ppub,构建系统公开参数集params(至少包括KGC的公钥Ppub)并将其分发给网内各通信用户或发布于某公布区。
阶段二(S2):用户注册。
由各用户依据收到的params生成各自的部分私/公钥对xi/Pi,将公钥Pi及身份信息传给KGC,经KGC确认身份及公钥的有效性后,为其生成KGC端配备的部分私/公钥对Pri/Pui,并将Pri/Pui以及安全参数通过安全通道(实际应用中可据需要不通过安全通道传输)发送给用户,用户可以利用公开信息对Pri/Pui进行有效性验证。验证通过后构建用户自全部私/公钥对(xi,Pri)/(Pi,Pui)。
阶段三(S3):密钥协商。
任何用户(身份标识为IDi)在完成用户注册后,会话密钥协商过程都包含以下步骤:
步骤1,生成一个临时公/私钥对ti/Ti,其中ti和Ti间的关系由所选用的公钥原语决定,且至少由Ti计算ti因公钥机制所基于的困难问题Prms而不可行,并将自己的身份标识IDi、临时公钥Ti、其他可公开的安全参数Paramsi组成一个消息(IDi,Ti,Paramsi)发给参与协商的另一方,优选地,Paramsi取为自己的公钥;
步骤2,每个用户在收到以上消息时都可按以下方法构建与对方共享的会话密钥:
(2a)用其私钥基于Prms作用于对方的公钥和临时公钥得到
K1=F1 Prms(私钥和临时私钥,对方公钥);
(2b)用其私钥和临时私钥基于Prms作用于对方的公钥而得到
K2=F2 Prms(私钥,对方公钥和临时公钥),
且使得K1在前述攻击模型下是不可伪造的,K2与对方的K1呈多项式时间内可计算的关系,优选地,取相等或系数已知的线性关系;
(2c)利用K1和K2进行某一确保运算结果与对方相等的运算,优选地,取异或、加法运算,而得到共享密钥K,也可再结合双方用户的其他共享信息进行哈希函数操作来获得共享密钥K。
这一步中体现了认证密钥协商过程的交叉互锁特征(如图3所示)。
步骤3,每个用户利用对称密钥K与对方通过以下方式进行确认:
(3a)发起方产生一随机数m,发送(m)K||H1(m)(可选(m)K||m)给对方;
(3b)响应方用自己在步骤2产生的共享密钥K对收到的消息中的
Figure BDA0002278929050000081
进行解密,得到m*后计算H1(m*)并判断其是否与收到的消息中后半部分
Figure BDA0002278929050000082
相等,若相等则可确认对方建立了与自己一样的密钥,若不相等或在一定时间内未收到对方的该消息时可向对方发送询问,一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时,可当成攻击者的攻击而舍弃步骤2中计算出的共享密钥。
本发明提供的方法能够适用于各类公钥原语,但优选ECC原语。如图4所示,以基于ECC原语认证密钥协商方法的构建为例对本发明的实施进行一个具体的阐述,如下:
本实施例取Prms={ECDLP,ECDHP},即安全性建立在解ECDLP或ECDHP计算上不可行的基础上,本实施例系统中包括以下实体(以两个通信用户为例,更多通信用户构建方法类似):
1)、KGC:负责系统的初始化、为各用户生成KGC配备的部分公/私钥对并分发部分公/私钥对及参数给会话参与用户;
2)、用户A:代表会话参与的一方,如发起用户;
3)、用户B:代表会话参与的另一方,如响应用户。
此外,还有潜在的攻击者。
阶段一(S1):初始化模块进行初始化。
本实施例使用ECC做为公钥原语,选用的安全参数λ=192(可根据需要取更大的参数),可根据最新SECG/NIST所推荐的安全曲线及参数确定椭圆曲线及相关参数,如我们可取曲线为E:y2=x3+ax+b(a,b为常数,4a3+27b2≠0),选择一个λ比特的大素数p,基于E/Fp构建一个阶为q的加法循环群G,并使q也是一个足够大的λ比特素数,从该循环群可确定一个生成元P;选取合适的哈希函数:
Figure BDA0002278929050000083
为KGC选取随机数
Figure BDA0002278929050000084
作为KGC的私钥,计算KGC公钥为Ppub=sP。构建系统公开参数集为:
Figure BDA0002278929050000085
此后KGC将params分发给网络内各通信用户或发布于某公布区。
阶段二(S2):用户注册模块进行用户注册。
网络中各用户从KGC或公布区获得公共参数params后,根据收到的params中的安全参数先随机选择一个部分私钥
Figure BDA0002278929050000086
(假设用户身份为IDi),并由之计算公钥Pi=xiP,联系KGC向其发送(IDi,Pi)以进行用户注册。KGC确认用户身份后先生成一个
Figure BDA0002278929050000091
按公式si=ri+sH1(IDi,Pi,Ri)(modq)计算而得IDi的公/私钥对Ri/si,并将其发给用户,为描述简便,随后的modq和modp运算都省略,凡点分量间运算都需modp,而点前系数间运算都需进行modq。用户可以通过公式siP=Pi+H1(IDi,Pi,Ri)Ppub对所收到的公/私钥对Ri/si进行检验,检验通过后,用户则以(xi,si)作为其长期全部私钥,以(Pi,Ri)作为其长期全部公钥。这样用户A、B分别可得到他们的长期全部私钥分别为(xA,sA)、(xB,sB),长期全部公钥分别为(PA,RA)、(PB,RB),网络中其他用户类此。
阶段三(S3):密钥协商模块进行密钥协商。
每个用户都可作为密钥协商发起方,为方便说明,我们这里不妨按上面拟定以A为发起方、B为接收方来说明密钥协商过程。
步骤1(S31),A根据公共参数集params取随机数
Figure BDA0002278929050000092
作为其临时私钥,并以公式TA=tAP计算出对应的临时公钥,以身份、长期公钥、临时公钥构建协商消息MA=(IDA,PA,RA,TA,并将该消息发送(广播/单播)给要协商密钥的用户。同样,响应方如B也根据params取随机数
Figure BDA0002278929050000093
作为其临时私钥,并以公式TB=tBP计算出对应的临时公钥,以身份、长期公钥、临时公钥构建协商消息MB=(IDB,PB,RB,TB),并将该消息发送给要与其协商密钥的用户。
步骤2(S32),A、B各自收到以上消息后,先进行如下计算
A用户:SB=RB+H1(IDB,PB,RB)Ppub,B用户:SA=RA+H1(IDA,PA,RA)Ppub,(2a&2b)然后按以下公式计算:
A用户:
Figure BDA0002278929050000094
Figure BDA0002278929050000095
B用户:
Figure BDA0002278929050000096
Figure BDA0002278929050000097
(2c)此后,A、B可分别依公式计算共享密钥:
A的共享密钥计算为:
Figure BDA0002278929050000098
(后两项的加运算也可用
Figure BDA0002278929050000099
)
B的共享密钥计算为:
Figure BDA00022789290500000910
(后两项的加运算也可用
Figure BDA00022789290500000911
)
并可通过以下等式验证:
Figure BDA00022789290500000912
Figure BDA0002278929050000101
也即各用户所得到的K1、K2分别与对方的K1、K2交叉相等。同时,由攻击模型假设可知攻击者不可伪造K1,又因为交叉相等以及K1的不可伪造性,使得K2其实也是不可伪造的,这就是本发明的交叉互锁性。
因此,我们有:
Figure BDA0002278929050000102
又,
Figure BDA0002278929050000103
TA+TB=TB+TA
也即有,KAB=KBA。故若A与B是合法用户且消息无误地送达,则其一定建立了相同的会话密钥K=KAB=KBA
步骤3(S33),为确保收到的消息不是攻击者发送的垃圾信息或重放消息,确认生成的会话密钥正确以及对方也生成了同样的会话密钥,需要向对方按以下步骤进行会话密钥确认,我们以A为发起者为例(任何用户在建立密钥后都可作为发起者):
(3a)发起方产生一随机数mA,发送
Figure BDA0002278929050000104
(可选
Figure BDA0002278929050000105
)给响应方如B;
(3b)(为方便说明,我们假设B收到A的消息为
Figure BDA0002278929050000106
)响应方B用自己在步骤2产生的共享密钥KBA对收到的消息中的
Figure BDA0002278929050000107
进行解密,得到
Figure BDA0002278929050000108
后计算
Figure BDA0002278929050000109
并判断其是否与收到的消息中后半部分
Figure BDA00022789290500001010
相等,若相等,说明A已经建立了与自己同样的会话密钥,否则可能是传输出错或攻击,这时可向对方发送询问,等一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时,可当成攻击者的攻击或网络状况不佳而舍弃之前计算出的共享密钥。同样B也可作为发起者进行类似的确认过程。
该实施例,不但能克服传统认证密钥协商机制中的复杂证书管理和密钥托管问题,不需要复杂的对运算,而且保证了安全性和可靠性。特别适用于计算能力受限的无线移动设备和网络,如车联网、IoT、WSN等。更具体地,在互联网应用中,假设KGC是公安部门,负责进行公民的身份注册等,有两位公民张三、李四想进行大量秘密/隐私数据(如一个视频)的传送时,即可利用本发明协商一或多个会话密钥,从而可实现二人间安全的数据传输。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要仍具有交叉互锁特征,就不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
名词及符号解释
用户:合法的会话实体,网络中进行一次会话的参与主体,或说一次通信的消息发送/接收者,可能是一个进程,一台计算机,一个移动端或一个传感器节点等;
KGC:Key Generation Center,密钥生成中心,负责生成系统公共参数、主公/私钥对、每个用户的部分公/私钥对,为各用户分发公共参数及部分公/私钥对;
ECC:Elliptic Curve Cryptography,椭圆曲线密码学,一种构建椭圆曲线加密技术的理论;
λ:系统安全参数,它由使用本发明的应用者根据安全需求选取,建议至少不小于160;
p,q:两个大素数,由KGC选取,满足p≥2λ-1
Fp:阶(元素个数)为p的有限域;
G:q阶加法循环群,由KGC选取椭圆曲线E后基于E/Fp构建,并得生成元P;
Figure BDA0002278929050000111
小于q的正整数集{1,2,…,q-1};
Figure BDA0002278929050000112
哈希函数;
Figure BDA0002278929050000113
哈希函数;
mod:模余运算;
(m)K:以对称密钥K对m进行加密;
R:属于且为随机选择;
点分量:椭圆曲线上一点的x或y分量;
标量乘:数乘椭圆曲线上一点的操作;
Hash:密码学哈希函数操作,如SHA-2系列函数等;
MAC:消息认证码生成操作。

Claims (8)

1.一种基于交叉互锁机制的认证密钥协商方法,其特征在于,该方法由初始化、用户注册、密钥协商三个阶段组成:
初始化:包括确定安全参数、生成KGC(密钥生成中心)公/私钥对、分发参数;
用户注册:包括用户生成自己的部分公/私钥对、上传部分公钥后由KGC生成另一半公/私钥对、构建全部公/私钥对;
密钥协商:包括用户生成临时公/私钥对并发送协商请求、依收到的协商请求信息计算会话密钥、确认协商是否成功。
2.根据权利要求书1所述的一种基于交叉互锁机制的认证密钥协商方法,其特征在于,密钥协商过程基于自证明或无证书认证技术,用户注册阶段为用户构建的全部公/私钥对是自证明或无证书认证的,且密钥协商阶段包含以下步骤:
步骤1,生成一个临时私/公钥对ti/Ti,其中ti和Ti间的关系由所选用的公钥原语决定,且至少由Ti计算ti因公钥机制所基于的困难问题(集)Prms而不可行,并将自己的身份标识IDi、临时公钥Ti、其他可公开的安全参数Paramsi组成一个消息(IDi,Ti,Paramsi)发给参与协商的另一方,优选地,Paramsi取为自己的长期公钥;
步骤2,每个用户在收到以上消息时都可按以下方法构建与对方共享的会话密钥:
(2a)用其长期私钥基于Prms作用于对方的长期公钥和临时公钥得到K1;
(2b)用其长期私钥和临时私钥基于Prms作用于对方的长期公钥而得到K2,且使得K2与对方的K1呈多项式时间内可计算的关系(优选相等或系数已知的线性关系);
(2c)利用K1和K2进行某一运算(如异或、相加等,确保运算结果与对方的相等)而得到共享密钥K,优选地,可再结合双方用户的其他共享信息进行哈希函数操作来获得共享密钥K;
步骤3,每个用户利用对称密钥K与对方通过对称加/解密及Hash、MAC等操作进行确认;若确认对方已经建立了与自己一样的密钥则保存该共享密钥;否则,可当成攻击者的攻击而舍弃步骤2中计算出的共享密钥。
3.根据权利要求书2中一种基于交叉互锁机制的认证密钥协商方法,其特征在于,对于中间值K1、K2,协商过程中发起方和响应方生成K1的公式形式上是相同的,而两方生成K2的公式形式上也是相同的,从而能实现对称性。
4.根据权利要求书2中所述的一种基于交叉互锁机制的认证密钥协商方法,其特征在于,在密钥协商阶段,无论实体通过计算一个中间值K来产生共享密钥,还是通过计算两个中间值K1、K2来产生共享密钥,都会具有:
1)、交叉性:即一方的K1与另一方的K2呈多项式时间内可计算的关系,优选相等关系;
2)、互锁性:每方的K1在其长期私钥和临时私钥不同时泄漏及两方的长期私钥不同时泄漏的情况下是不可伪造的,并由交叉性可锁定另一方的K2也是不可伪造的,除非能解出困难问题Prms。
5.一个基于交叉互锁机制的认证密钥协商方法的实施装置,其特征在于,基于权利要求书1中所提出的认证密钥协商方法,采用ECC原语且使用无证书认证的方式;没有双线性对运算;包括初始化、用户注册、密钥协商三个模块。
6.根据权利要求书5中所述一个基于交叉互锁机制的认证密钥协商方法的实施装置,其特征在于,初始化模块中KGC先为自己生成一对私/公钥(s,Ppub=sP),且由KGC将包含有其公钥Ppub的参数params分发给网络内各通信用户或发布于某公布区。
7.根据权利要求书5中所述一个基于交叉互锁机制的认证密钥协商方法的实施装置,其特征在于,用户注册模块中,用户自己生成部分私/公钥对为(xi,Pi=xiP),KGC为其生成的部分私/公钥对为(si=ri+sH1(IDi,Pi,Ri)(modq),Ri=riP),用户最终的长期全部私/公钥对为(xi,si)/(Pi,Ri)。
8.根据权利要求书5中所述一个基于交叉互锁机制的认证密钥协商方法的实施装置,其特征在于,密钥协商模块中,密钥协商过程为:
步骤1,A根据公共参数集params取随机数
Figure FDA0002278929040000021
作为其临时私钥,并以公式TA=tAP计算出对应的临时公钥,以身份、长期公钥、临时公钥构建协商消息MA=(IDA,PA,RA,TA),并将该消息发送给要协商密钥的用户;同样,响应方如B也根据params取随机数
Figure FDA0002278929040000022
作为其临时私钥,并以公式TB=tBP计算出对应的临时公钥,以身份、长期公钥、临时公钥构建协商消息MB=(IDB,PB,RB,TB),并将该消息发送给要与其协商密钥的用户;
步骤2,A、B各自收到以上消息后,先进行如下计算
A用户:SB=RB+H1(IDB,PB,RB)Ppub,B用户:SA=RA+H1(IDA,PA,RA)Ppub
(2a&2b)然后按以下公式计算:
A用户:
Figure FDA0002278929040000031
Figure FDA0002278929040000032
B用户:
Figure FDA0002278929040000033
Figure FDA0002278929040000034
(2c)此后,A、B可分别依公式计算共享密钥:
A的共享密钥计算为:
Figure FDA0002278929040000035
B的共享密钥计算为:
Figure FDA0002278929040000036
并可通过以下等式验证:
Figure FDA0002278929040000037
Figure FDA0002278929040000038
也即各用户所得到的K1、K2分别与对方的K1、K2交叉相等;同时,由攻击模型假设可知攻击者不可伪造K1,又因为交叉相等以及K1的不可伪造性,使得K2其实也是不可伪造的,这就是本发明的交叉互锁性;
因此,有:
Figure FDA0002278929040000039
又,
Figure FDA00022789290400000310
TA+TB=TB+TA
也即有,KAB=KBA;故若A与B是合法用户且消息无误地送达,则其一定建立了相同的会话密钥K=KAB=KBA
步骤3,为确保收到的消息不是攻击者发送的垃圾信息或重放消息,确认生成的会话密钥正确以及对方也生成了同样的会话密钥,需要向对方按以下步骤进行会话密钥确认,我们以A为发起者为例(任何用户在建立密钥后都可作为发起者):
(3a)发起方产生一随机数mA,发送
Figure FDA00022789290400000311
(可选
Figure FDA00022789290400000312
)给响应方如B;
(3b)定义B收到A的消息为
Figure FDA00022789290400000313
响应方B用自己在步骤2产生的共享密钥KBA对收到的消息中的
Figure FDA00022789290400000314
进行解密,得到
Figure FDA00022789290400000315
后计算
Figure FDA00022789290400000316
并判断其是否与收到的消息中后半部分
Figure FDA00022789290400000317
相等,若相等,说明A已经建立了与自己同样的会话密钥,否则可能是传输出错或攻击,这时可向对方发送询问,等一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时,可当成攻击者的攻击或网络状况不佳而舍弃之前计算出的共享密钥;同样B也可作为发起者进行类似的确认过程。
CN201911133340.0A 2019-11-19 2019-11-19 一种基于交叉互锁机制的认证密钥协商方法及其实施装置 Active CN110971401B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911133340.0A CN110971401B (zh) 2019-11-19 2019-11-19 一种基于交叉互锁机制的认证密钥协商方法及其实施装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911133340.0A CN110971401B (zh) 2019-11-19 2019-11-19 一种基于交叉互锁机制的认证密钥协商方法及其实施装置

Publications (2)

Publication Number Publication Date
CN110971401A true CN110971401A (zh) 2020-04-07
CN110971401B CN110971401B (zh) 2021-10-22

Family

ID=70030857

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911133340.0A Active CN110971401B (zh) 2019-11-19 2019-11-19 一种基于交叉互锁机制的认证密钥协商方法及其实施装置

Country Status (1)

Country Link
CN (1) CN110971401B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111769937A (zh) * 2020-06-24 2020-10-13 四川大学 面向智能电网高级测量体系的两方认证密钥协商协议
CN112713992A (zh) * 2020-12-22 2021-04-27 湖北工业大学 一种基于无证书的抗泄露认证与密钥协商方法及系统
CN112768018A (zh) * 2020-12-15 2021-05-07 扬州大学 基于集成信用度评估智能合约的电子病历安全共享方法
CN113301520A (zh) * 2021-05-21 2021-08-24 国网四川省电力公司电力科学研究院 一种无线传感器网络安全通信的方法
CN113660233A (zh) * 2021-08-09 2021-11-16 华北电力科学研究院有限责任公司 一种设备交互方法、装置、电子设备和计算机存储介质
CN114007220A (zh) * 2021-10-20 2022-02-01 武汉大学 短期阶段会话密钥生成方法、认证密钥协商方法及系统
CN114024668A (zh) * 2021-10-18 2022-02-08 武汉大学 高效的无双线性对运算的无证书认证密钥协商方法及系统
CN114070570A (zh) * 2021-11-16 2022-02-18 华北电力大学 一种电力物联网的安全通信方法
CN114095151A (zh) * 2020-07-31 2022-02-25 马上消费金融股份有限公司 一种加解密方法、认证方法、装置、设备和存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004098145A1 (en) * 2003-04-28 2004-11-11 Telefonaktiebolaget L M Ericsson (Publ) Security in a communications network
CN101459506A (zh) * 2007-12-14 2009-06-17 华为技术有限公司 密钥协商方法、用于密钥协商的系统、客户端及服务器
CN104487941A (zh) * 2012-07-11 2015-04-01 Arm有限公司 在向量处理过程中控制处理数据元素的顺序
CN104868993A (zh) * 2015-05-15 2015-08-26 河海大学 一种基于证书的两方认证密钥协商方法及系统
CN105187205A (zh) * 2015-08-05 2015-12-23 北京航空航天大学 无证书的基于层次身份基的认证密钥协商方法和协商系统
CN106992866A (zh) * 2017-04-13 2017-07-28 广东工业大学 一种基于nfc无证书认证的无线网络接入方法
JP2017208773A (ja) * 2016-05-20 2017-11-24 日本電信電話株式会社 共有鍵共有システム、方法、クライアント装置、マスタ公開鍵保管サーバ及びプログラム
CN107437993A (zh) * 2016-05-26 2017-12-05 中兴通讯股份有限公司 一种基于无证书两方认证密钥协商方法和装置
WO2018044146A1 (en) * 2016-09-05 2018-03-08 Lg Electronics Inc. Lightweight and escrow-less authenticated key agreement for the internet of things

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004098145A1 (en) * 2003-04-28 2004-11-11 Telefonaktiebolaget L M Ericsson (Publ) Security in a communications network
CN101459506A (zh) * 2007-12-14 2009-06-17 华为技术有限公司 密钥协商方法、用于密钥协商的系统、客户端及服务器
EP2173055A1 (en) * 2007-12-14 2010-04-07 Huawei Technologies Co., Ltd. A method, a system, a client and a server for key negotiating
CN104487941A (zh) * 2012-07-11 2015-04-01 Arm有限公司 在向量处理过程中控制处理数据元素的顺序
CN104868993A (zh) * 2015-05-15 2015-08-26 河海大学 一种基于证书的两方认证密钥协商方法及系统
CN105187205A (zh) * 2015-08-05 2015-12-23 北京航空航天大学 无证书的基于层次身份基的认证密钥协商方法和协商系统
JP2017208773A (ja) * 2016-05-20 2017-11-24 日本電信電話株式会社 共有鍵共有システム、方法、クライアント装置、マスタ公開鍵保管サーバ及びプログラム
CN107437993A (zh) * 2016-05-26 2017-12-05 中兴通讯股份有限公司 一种基于无证书两方认证密钥协商方法和装置
WO2018044146A1 (en) * 2016-09-05 2018-03-08 Lg Electronics Inc. Lightweight and escrow-less authenticated key agreement for the internet of things
CN106992866A (zh) * 2017-04-13 2017-07-28 广东工业大学 一种基于nfc无证书认证的无线网络接入方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HE DEBIAO: ""An ID-based client authentication with key agreement protocol for mobile client-server environment on ECC with provable security"", 《INFORMATION FUSION》 *
周彦伟: ""一种改进的无证书两方认证密钥协商协议"", 《计算机学报》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111769937A (zh) * 2020-06-24 2020-10-13 四川大学 面向智能电网高级测量体系的两方认证密钥协商协议
CN114095151A (zh) * 2020-07-31 2022-02-25 马上消费金融股份有限公司 一种加解密方法、认证方法、装置、设备和存储介质
CN112768018A (zh) * 2020-12-15 2021-05-07 扬州大学 基于集成信用度评估智能合约的电子病历安全共享方法
CN112713992A (zh) * 2020-12-22 2021-04-27 湖北工业大学 一种基于无证书的抗泄露认证与密钥协商方法及系统
CN113301520A (zh) * 2021-05-21 2021-08-24 国网四川省电力公司电力科学研究院 一种无线传感器网络安全通信的方法
CN113301520B (zh) * 2021-05-21 2023-02-28 国网四川省电力公司电力科学研究院 一种无线传感器网络安全通信的方法
CN113660233A (zh) * 2021-08-09 2021-11-16 华北电力科学研究院有限责任公司 一种设备交互方法、装置、电子设备和计算机存储介质
CN114024668A (zh) * 2021-10-18 2022-02-08 武汉大学 高效的无双线性对运算的无证书认证密钥协商方法及系统
CN114024668B (zh) * 2021-10-18 2023-01-31 武汉大学 高效的无双线性对运算的无证书认证密钥协商方法及系统
CN114007220A (zh) * 2021-10-20 2022-02-01 武汉大学 短期阶段会话密钥生成方法、认证密钥协商方法及系统
CN114007220B (zh) * 2021-10-20 2023-12-08 武汉大学 短期阶段会话密钥生成方法、认证密钥协商方法及系统
CN114070570A (zh) * 2021-11-16 2022-02-18 华北电力大学 一种电力物联网的安全通信方法

Also Published As

Publication number Publication date
CN110971401B (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN110971401B (zh) 一种基于交叉互锁机制的认证密钥协商方法及其实施装置
Porambage et al. Group key establishment for enabling secure multicast communication in wireless sensor networks deployed for IoT applications
CN105959269B (zh) 一种基于身份的可认证动态群组密钥协商方法
CN111682938B (zh) 面向中心化移动定位系统的三方可认证密钥协商方法
CN107659395B (zh) 一种多服务器环境下基于身份的分布式认证方法及系统
CN101123501A (zh) 一种wapi认证和密钥协商方法和系统
Yeh et al. A batch-authenticated and key agreement framework for P2P-based online social networks
CN112468490B (zh) 一种用于电网终端层设备接入的认证方法
CN112713997B (zh) 密钥协商方法和系统
CN111049647B (zh) 一种基于属性门限的非对称群组密钥协商方法
CN113572603A (zh) 一种异构的用户认证和密钥协商方法
Wong et al. Repairing the Bluetooth pairing protocol
CN112564923B (zh) 一种基于无证书的安全网络连接握手方法
Kumar et al. Anonymous ID-based Group Key Agreement Protocol without Pairing.
Pal et al. Diffie-Hellman key exchange protocol with entities authentication
CN114021165A (zh) 一种部分私公钥对构建方法、认证密钥协商方法及系统
Ammayappan et al. An ECC-Based Two-Party Authenticated Key Agreement Protocol for Mobile Ad Hoc Networks.
Xia et al. Breaking and repairing the certificateless key agreement protocol from ASIAN 2006
CN114024668B (zh) 高效的无双线性对运算的无证书认证密钥协商方法及系统
Kumari et al. A resilient group session key authentication methodology for secured peer to peer networks using zero knowledge protocol
CN112738038B (zh) 一种基于非对称口令认证的密钥协商的方法和装置
Porambage et al. Public Key Based Protocols–EC Crypto
Lu et al. Certificateless authenticated group key agreement scheme with privacy-preservation for resource-limited mobile devices
Reddi et al. Identity-based signcryption groupkey agreement protocol using bilinear pairing
Singh et al. A Novel Approach towards Mutual Authentication and Key Exchange Protocol based on Elliptic Curve

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant