CN113572603A

CN113572603A - 一种异构的用户认证和密钥协商方法

Info

Publication number: CN113572603A
Application number: CN202110825825.7A
Authority: CN
Inventors: 金春花; 朱辉辉; 许永亮; 金鹰; 于长辉
Original assignee: Huaiyin Institute of Technology
Current assignee: Huaiyin Institute of Technology
Priority date: 2021-07-21
Filing date: 2021-07-21
Publication date: 2021-10-29
Anticipated expiration: 2041-07-21
Also published as: CN113572603B

Abstract

本发明公开了一种异构的用户认证和密钥协商方法，包括：系统初始化步骤；基于身份的密钥生成步骤；基于无证书的密钥生成步骤；用户认证和密钥建立步骤；密钥确立步骤；密钥生成通过注册中心RC来实现。发送端利用自己的私钥，身份信息、接收端的公钥以及选定的密钥K，通过点乘、哈希函数、异或等运算输出密文σ；给定密文σ，发送端的公钥和接收端的私钥，接收端通过点乘运算、异或运算、双线性对等运算验证等式并恢复密钥K。若验证通过，则接收密钥K，密钥协商完成；否则，拒绝发送端发送的密钥并输出错误符号⊥。本发明为通信双方提供用户认证功能，允许通信双方协商出共同的安全密钥，适用于客户服务器的应用场景，具有切实可行的应用价值。

Description

一种异构的用户认证和密钥协商方法

技术领域

本发明涉及信息安全领域，特别涉及一种异构的用户认证和密钥协商方法。

背景技术

用户认证和密钥协商是安全通信的重要环节，在现有的通信环境中，用户认证可以保证消息的真实性，密钥协商可以保证消息的机密性。由于网络环境的原因，很多通信信息需要在公开信道中传输，密钥协商可以确保消息在传输过程中的安全性。目前已经有一些用户认证和密钥协商的相关研究，但已有的方案大都是同构的，即通信双方处在同一种密码体制下，这与实际应用需求不太符合，因此，异构的用户认证和密钥协商方法能够更好的契合到实际应用中。

公钥密码系统根据公钥认证的方式可以分为三类：PKI(Public KeyInfrastructure：公钥基础设施)，IBC(Identity-Based Cryptosystem：基于身份的密码系统)，和SCC(Self-Certified Cryptosystem：自认证密码系统)三种密码体制。在PKI密码体制中，需要使用公钥证书，这个证书是CA(Certificate Authority)对公钥和公钥持有者的身份信息进行签名的结果。公钥的使用者可以通过验证证书合法性(CA)的签名来认证公钥。在PKI密码体制中，用户的公钥由证书权威机构颁发并且认证，公钥证书的管理过程复杂且代价极高，因此，基于PKI的密码体制不适用于通信开销较小的通信系统。在IBC密码体制中，由于用户的公私钥都是由PKG(Private Key Generator：私钥生成中心)生成的，因此存在着密钥托管问题。在SCC密码体制中，用户的私钥由两部分构成，首先KGC(KeyGenerator Center：密钥生成中心)根据用户的身份计算出用户的部分私钥，然后将部分私钥以一种安全的方式发送送给用户，用户根据自己选择的秘密值再结合部分私钥计算出完整的私钥。SCC消除了证书管理问题和密钥托管问题，同时SCC具有强大的功能，可以适配在大型网络中。

2003年AIRiyami等人基于无证书密码体制提出了第一个无证书两方密钥协商协议[AI-RIYAMI S,PATERSON KG.Certificateless public key cryptography[C].In:Advances in Cryptology-ASIACRYPT 2003.Springer Berlin Heidelberg,2003:452–473.]。2006年Mandet等人指出AIRiyami等人提出的方案不能抵抗临时密钥泄露攻击并提出了新的协议方案[MANDT T K,TAN C H.Certificateless authenticated two-partykey agreement protocols[C].In:Advances in Computer Science-ASIAN2006.Springer Berlin Heidelberg,2006:37–44.]。2010年，wu和Tseng等人提出了一种安全的用户认证和密钥交换协议，该协议可以抵御假冒攻击、已知会话密钥攻击、身份攻击和部分前向安全性攻击[Tsu-Yang Wu；Yuh-Min Tseng(2010).An efficient userauthentication and key exchange protocol for mobile client–serverenvironment.54(9),1520–1530.]。2016年，Lin H Y等人提出了一种短消息双方认证的无证书密钥协商协议[Lin H Y.Secure certificateless two-party key agreement withshort message.Information Technology and Control，2016，45(1):71－76]，同年，Xie等人根据Lin H Y等人的协议提出了具有更强安全性的密钥协商协议[Xie Y，Wu L B，Zhang Y B，et al.Strongly secure two-party certiflcateless key agreementprotocol with short message.Provable Security:Proceedings of the 10thInternational Conference on Provable Security(ProvSec16)，Nov 10－12，2016，Nanjing，China.LNCS 10005.Berlin，Germany:Springer-Verlag，2016:244－254]，虽然该种方案具有较强的安全性，但是由于其复杂的计算导致了其效率低下，因此在实际中并不适用。2020年张金辉,黄加成等人针对Kumar A和Tripathi S提出的无双线性对的匿名无证书群组密钥协商协议提出质疑，指出该协议是不安全的，并且给出了相应的攻击方法，最后给出了相应的算法改进。2020年，许盛伟等人针对WU T等人的基于无证书的两方用户认证和密钥协商方法[WU T,JING X J.Two-party certificateless authenticated keyagreement protocol with enhanced security[J].The Journal of ChinaUniversities of Posts and Telecommunications,2019,26(1):12–20.[DOI:10.19682/j.cnki.1005-8885.2019.0003]]提出了一种可证安全的无证书两方认证密钥协商协议，解决了密钥托管的问题和方案中存在的KCI((Key Compromise Impersonation)攻击问题。

上述基于无证书的用户认证和密钥协商协议都或多或少存在安全或计算复杂等问题，所有用户认证和密钥协商协议都是同构的，处于同一种密码体制下，该算法难以切入到实际运用中。因此，设计出一种既高效、又安全、同时还能解决密钥托管和证书颁发困难等问题的异构的用户认证和密钥协商方法很有必要。

发明内容

发明目的：本发明的目的是提供一种异构的用户认证和密钥协商方法，能够实现发送端处于基于身份密码体制，接收端处于无证书密码体制，并且通信双方能够在异构的系统下协商出共同的会话密钥。

技术方案：一种异构的用户认证和密钥协商方法，包括以下步骤：

S1：系统初始化：给定一个安全参数k，注册中心RC选择一个加法群G₁、乘法群G₂，两个群有相同的阶p，p为素数，P是群G₁的生成元；

G₁×G₁→G₂为一个双线性映射，定义四个安全的哈希函数：

H₁：{0，1}^*→G₁，{0，1}^*表示任意长度的0，1字符串，

H₂：(G₁)²×G₂×{0，1}^*→{0，1}ⁿ，{0，1}ⁿ表示长度为n的0，1字符串，

H₃：(G₁)²×{0，1}ⁿ×{0，1}ⁿ→G₁，

H₄：

表示不包括0的整数群；

RC随机选择主密钥

并且计算出相应的主公钥P_pub＝sP；

RC公开系统参数

并保密主密钥s，其中，

S2：基于IBC的密钥生成：发送端向RC发送身份ID_s，RC计算发送端的公钥Q_IDs＝H₁(ID_s)和私钥S_IDs＝sQ_IDs，并将私钥S_IDs发送给发送端；

S3：基于无证书的密钥生成；

S4：用户认证和密钥建立；

S5：接收端接收到密文后，给定发送端身份ID_s、公钥Q_IDs和接收端私钥S_IDr，建立发送端和接收端会话密钥。

进一步地，所述步骤S3具体包括：

S3.1：部分私钥生成：接收端向RC发送身份ID_r，RC计算出哈希值Q_IDr＝H₁(ID_r)和部分私钥D_IDr＝sQ_IDr，公开Q_IDr并将D_IDr以安全的方式发送给接收端，Q_IDr表示接收端的部分公钥；

S3.2：完全私钥生成：接收端随机选择一个秘密值

再结合部分私钥D_IDr，计算出完整的私钥S_IDr＝(x_IDr，D_IDr)；

S3.3：公钥生成：接收端根据秘密值x_IDr计算出完整的公钥Pk_IDr＝x_IDrP。

进一步地，所述步骤S4具体包括：

S4.1：给定接收端身份ID_r、公钥Pk_IDr和发送端私钥S_IDs，发送端执行以下步骤：

S4.2：发送端随机选择一个会话密钥K∈{0，1}ⁿ，随机数

计算盲化值U＝rP，双线性对

S4.3：发送端计算哈希值h＝H₂(U，rPk_IDr，T，ID_r)，用哈希值h对密钥K进行加密，得到密钥K的密文

其中H₂是一个哈希运算，

是异或运算；

S4.4：发送端计算哈希值X＝H₃(U，Q_IDs，C，ID_s)，

哈希值y＝H₄(U，Q_IDs，C，ID_s)，其中H₃，H₄均为哈希运算；

S4.5：发送端计算签名V＝rX+yS_IDs；

S4.6：最后生成密文σ＝(U，C，V)。

进一步地，所述步骤S5具体包括：

S5.1：接收端计算出X和y值，X＝H₃(U，Q_IDs，C，ID_s)，y＝H₄(U，Q_IDs，C，ID_s)；

S5.2：检查

是否成立；如果等式不成立，拒绝该密文；否则继续执行步骤S5.3；

S5.3：计算

h＝H₂(U，T，x_IDrU，ID_r)；

S5.4：恢复密钥K，

发送端和接收端会话密钥成功建立；

S5.5：最终会话密钥为K。

进一步地，所有公钥在初始化阶段全部公开。

进一步地，选择密钥K∈{0，1}ⁿ，表示密钥K是0，1字符串，其长度为n。

有益效果：本发明利用基于身份的密码体制和基于无证书的密码体制实现了一种安全的异构的用户认证和密钥协商方法，该方案在随机预言模型下被证明是安全的，且该方案运算简单，容易在网络信道中传输，是一个较为理想的用户认证和密钥协商方法。

附图说明

图1为本发明中客户端注册图；

图2为本发明中服务器端注册图；

图3为本发明中客户端流程图；

图4为本发明中服务器端流程图。

具体实施方式

下面结合附图和具体实施例，进一步阐明本发明。

系统初始化：给定一个安全参数k，RC选择一个加法群G₁、乘法群G₂，两个群有相同的阶p且p为素数，P是群G₁的生成元。

H₁：{0，1}^l3×{0，1}^l4→G₁，

H₂：(G₁)²×G₂×{0，1}^l3→{0，1}^l1+l2+l3+l4，

H₃：(G₁)²×{0，1}^l1+l2+l3+l4×{0，1}^l3→G₁

H₄：

RC随机选择主密钥

并且计算出相应的主公钥P_pub＝sP。RC公开系统参数

并且保密主密钥s。

注册阶段：客户端和服务器的注册阶段都经过RC。如图1所示，客户端注册时向RC提供一个身份ID_s∈{0，1}^l3，RC选择一个截止日期ED∈{0，1}^l4，计算出相应的公钥Q_IDs＝H₁(ID_s||ED)，私钥S_IDs＝sQ_IDs，然后以一种安全的方式将(S_IDs，ED)发送给客户端，对此我们可以采用离线方式或在线传输层安全(TLS)的方式来传递该密钥。

如图2所示，服务器端注册时，服务器端随机选取一个身份ID_r∈{0，1}^l3，然后将选取的身份ID_r发送给RC，RC计算出哈希值Q_IDr＝H₁(ID_r||ED)和部分私钥D_IDr＝sQ_IDr，然后RC将部分私钥以一种安全的方式发送给服务器。服务器接收到部分私钥后再结合所选取的秘密值

计算出完整的私钥S_IDr＝(x_IDr，D_IDr)。服务器根据秘密值x_IDr计算出公钥Pk_IDr＝x_IDrP。

对于该方案实施过程中使用的主要符号说明详见表1：

表1

当客户端和服务器端共同协商建立密钥时，执行以下步骤：

如图3所示，客户端随机选择一个会话密钥K∈{0，1}ⁿ和随机数

客户端计算盲化值U＝rP，双线性对

哈希函数h＝H₂(U，rPk_IDr，T，ID_r)，密文

哈希函数值X＝H₃(U，Q_IDs，C，ID_s)，哈希函数值y＝H₄(U，Q_IDs，C，ID_s)和签名V＝rX+yS_IDs。其中TS是为了抵抗重放攻击增加的时间戳。计算完成后，客户端将密文σ＝(U，C，V)发送给服务器。

如图4所示，服务器接收到密文σ＝(U，C，V)后进行用户认证和密钥建立，具体步骤如下：

服务器计算X＝H₃(U，C，ID_s，Q_IDs)，y＝H₄(U，C，ID_s，Q_IDs)，检查

是否成立，如果不成立则返回错误符号⊥。否则计算双线性对T＝e(U，D_IDr)和哈希函数值h＝H₂(U，T，x_IDrU，ID_r)，恢复密钥K，

至此，客户端和服务器端成功的建立了会话密钥K。K只有客户端和服务器知道，这保证了接下来客户端和服务器之间通信的机密性。上述过程中若等式

验证不成功，服务器将拒绝客户端所传输的密文，会话密钥建立失败。