CN114268439B - 一种基于格的身份基认证密钥协商方法 - Google Patents

Abstract

本发明提出了一种基于格的身份基认证密钥协商方法，步骤为：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接；TLS协议握手的协议发起者生成临时公私钥对，并根据消息生成密文，使用Client Hello把密文和临时公钥发送至协议响应者；协议响应者接收到消息后进行身份认证并生成密文，通过Server Hello发送给协议发起者；协议发起者收到消息后对密文进行解密和身份验证，如果身份验证通过，协议发起者计算出会话密钥并与协议响应者进行密钥导出；否则，协议发起者拒绝消息并直接终止密钥协商。本发明的安全性基于格上困难问题，能够抵抗量子计算攻击，在安全性和执行效率上具有更多优势。

Description

一种基于格的身份基认证密钥协商方法

技术领域

本发明涉及通信安全的技术领域，尤其涉及一种基于格的身份基认证密钥协商方法。

背景技术

当前，网络信息系统(如因特网等公共网络基础设施)中广泛部署的绝大多数安全协议是利用Diffie-Hellman、RSA、ECC等传统公钥密码体制来实现的，这些传统公钥密码体制的安全性往往建立在大整数分解问题、离散对数问题等经典数论难题基础之上。近年来量子计算技术的飞速发展及其在解决大规模计算难题方面的巨大潜能，已经对上述传统公钥密码体制的安全性带来了前所未有的冲击，由此设计和部署可抗量子计算攻击的后量子安全协议方案势在必行。传输层安全(Transport Layer Security，TLS)协议是因特网上一个非常重要的基础性安全协议，其应用非常广泛，包括Web浏览、FTP文件下载、SMTP协议的电子邮件等，其握手子协议主要是一个认证密钥协商协议，用于实现服务器和客户端的相互认证，并生成两端间的共享密钥，该共享密钥后续会用于应用数据的加密与认证，为互联网通信提供端到端的安全服务。

TLS协议因为其应用的广泛性，一直受到相关业界和学术界的关注，对于此类实用性网络安全协议，不仅要考虑其安全性，而且还要考虑其执行效率及其在实践中是否易于部署。近些年，已有很多关于TLS协议的研究。尤其，作为其重要组成部分的握手子协议，由于承担了客户端和服务器端之间的认证密钥建立这一极其重要的任务，更是受到了重点关注，其相关一些典型研究举例如下。Bentahar等提出了可适用于TLS握手过程的基于椭圆曲线配对的密钥封装机制(Key Encapsulation Mechanism，KEM)，该方案的计算效率较高，易于实施；Banerjee等给出了基于传统椭圆曲线公钥密码方案且依赖于公钥证书系统的TLS具体握手过程，通过重构密码加速器和硬件执行等方式节约了握手成本。尽管上述Bentahar等的方案和Banerjee等的方案执行较为高效，但都是基于传统的经典椭圆曲线密码体制构造而成，因而不能抗量子攻击。Bos等提出了适用于TLS握手、安全性基于环上带误差的学习问题的格上密钥协商协议，为了实现认证，该方案将格上密钥协商协议与使用RSA或椭圆曲线数字签名的传统身份验证方式结合在了一起，但这种混合形式的方案并非是完全的量子安全方案。最近，Banerjee等研究了使用格上基于身份的认证密钥协商协议来构造后量子TLS握手方案的方法，并将其应用于TLS最新的协议版本---TLS 1.3，以减少通信开销，但其实际所使用的格上认证密钥协商协议实例却是由一个格上基于身份的KEM/加密方案和一个NewHope KEM构建的；最近，Schwabe等也提出了无签名的后量子TLS 1.3握手方案，通过采用KEM而不是调用公钥签名算法来进行服务器身份验证，相对于使用公钥签名机制的显式认证方案，该隐式认证的方案不需要会话密钥的确认，减少了通信规模，缩短了通信时间。

Diffie-Hellman、RSA、ECC等经典公钥密码在当前网络安全体系中仍然占据主导地位，因而在实践中仍然缺乏完善的后量子公钥基础设施(Public Key Infrastructure，PKI)支持。尽管目前也有一些通用基础性后量子认证密钥协商协议提出且原则上可将其应用于TLS等实用性网络安全协议方案，但这些基础性协议在实践中的部署大都必须要依赖PKI，所以在当下还不能作为后量子密钥协商的完整解决方案。

近年来量子计算技术的飞速发展已对当前安全性高度依赖Diffie-Hellman、RSA、ECC等经典公钥密码体系的公共网络基础设施带来前所未有的挑战，实践量子安全保障已具现实意义。

发明内容

针对现有密钥协商方法的安全性较差的技术问题，本发明提出一种基于格的身份基认证密钥协商方法，适用于最新1.3版本传输层安全(Transport Layer Security，TLS)协议握手过程的格上基于身份认证密钥协商，方案的安全性依赖于格上困难问题的难解性，可以抵抗量子计算攻击。

为了达到上述目的，本发明的技术方案是这样实现的：一种基于格的身份基认证密钥协商方法，其步骤如下：

步骤一：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接；

步骤二：TLS协议握手的协议发起者A生成临时公私钥对(pk*,sk*)，并根据消息生成密文c_A，使用Client Hello把密文c_A和临时公钥pk*组成的消息(c_A,pk*)发送至协议响应者B；sk*为临时私钥；

步骤三：协议响应者B接收到消息(c_A,pk*)后进行身份认证并生成密文c_B和c_B*，通过Server Hello发送给协议发起者A；

步骤四：协议发起者A收到消息(c_B,c_B*)后对密文c_B,c_B*进行解密和身份验证，如果身份验证通过，协议发起者A计算出会话密钥并与协议响应者B进行密钥导出；否则，协议发起者A拒绝消息(c_B,c_B*)并直接终止密钥协商。

所述步骤一中注册及信息初始化的实现方法为：

S1：建立PKG系统需要的密钥生成算法Key Generation(n,q)和密钥提取算法Extract(mpk,msk,ID)，并选择合适的相关散列函数H；其中，n为正整数，q为素数，mpk,msk分别为系统主公钥和主私钥，ID为通信实体的身份标识；

S2：通信实体将自己的身份标识ID发送给PKG系统，进行实体记录及密钥申请；

S3：PKG系统收到通信实体的身份标识ID，使用密钥生成算法Key Generation(n,q)产生并发布系统主公私钥(mpk,msk)；

S4：PKG系统将系统主公私钥(mpk,msk)及通信实体的身份标识利用密钥提取算法Extract(mpk,msk,ID)生成通信实体的身份私钥sk；

S5：通信实体获得身份信息和身份私钥组成的信息(ID,sk)，注册及初始化成功。

所述步骤二中协议发起者A生成临时公私钥对(pk*,sk*)，并根据消息生成密文c_A的方法为：协议发起者A调用加密算法Keygen生成一个随机的临时公私钥对(pk*,sk*)，即(pk*,sk*):＝Keygen(n,q,ID_A)；协议发起者A随机选取一个消息并调用加密算法Enc'生成密文c_A:＝Enc'(mpk,ID_B,m_A)；

所述步骤三中协议响应者B进行身份认证并生成密文c_B和c_B*的方法为：调用解密算法Dec'对密文c_A进行解密得到m_A':＝Dec'(sk_B,c_A)，协议响应者B进行验证操作，即：若m_A'＝⊥，则验证不通过，协议发起者B拒绝消息并直接终止协商过程；若m_A'≠⊥，则验证通过，协议响应者B进行以下操作：随机选取消息m_B,调用加密算法Enc'分别生成密文c_B:＝Enc'(mpk,ID_A,m_B)，c_B*:＝Enc'(pk*,ID_A,m_B*)，协议响应者B计算出会话密钥K_B＝H(m_A',m_B,m_B*,pk*,ID_A,ID_B)；

所述协议发起者A对密文c_B,c_B*进行解密和身份验证的方法为：协议发起者A调用解密算法Dec'分别对密文c_B,c_B*进行解密得到消息m_B':＝Dec'(sk_A,c_B)，m_B*':＝Dec'(sk*,c_B*)，接着协议发起者A进行验证操作，即：若m_B'＝⊥或者m_B*'＝⊥，则验证不通过，协议发起者A拒绝消息并直接终止协议；否则，则验证通过，协议发起者A计算出会话密钥K_A＝H(m_A,m_B',m_B*',pk*,ID_A,ID_B)；

其中，为消息域，ID_A为协议发起者A的身份标识，n为正整数，q为素数，ID_B为协议响应者B的身份标识，mpk表示系统主公钥，sk_B表示协议响应者B的身份私钥，sk_A表示协议发起者A的身份私钥，⊥表示空即失败。

所述加密算法Enc'的加密函数Enc'(mpk,ID,m)的实现方法为：

u＝r·mpk+e₁；

得到密文其中，k＝G₁(m)，r＝G₂(m)，e₁＝G₃(m)，e₂＝G₄(m)，/>表示向下取整；且G₁，G₂，G₃，G₄为哈希函数，且： m为消息，n表示维度，H₁:{0,1}^*→R_q为哈希函数，R_q为多项式环；哈希函数H₂:(0,1)^*→{0,1}^mlen表示将任意输入内容的长度填充为一个固定的长度，/>为异或操作。

所述解密算法Dec'的解密函数Dec'(sk_ID,c)为：根据输入：sk_ID,c＝(u,v,w)，则m'＝Dec(sk_ID,c)；

若m'＝⊥或Enc'(mpk,ID,m')≠c，返回⊥；否者，返回消息m'；

其中，函数Dec(sk_ID,c)的实现方法为：v＝2^l·v，z＝v-u·sk_ID∈R_q，则得到解密消息/>

所述加密算法Keygen的实现方法为：根据输入n、q、ID，计算(mpk*,msk*):＝KeyGeneration(n,q)；sk*:＝Extract(mpk*,msk*,ID)；pk*:＝mpk*；输出(pk*,sk*)。

所述Key Generation(n,q)的实现方法为：(1)(2)f,/>a:＝‖(g,-f)‖，/>m:＝max(a,b)；(3)若/>返回(2)；(4)选取ρ_f,ρ_g∈R_q和R_f,/>使-ρ_f·f＝R_f和-ρ_g·g＝R_g；若GCD(R_f,R_g)≠1或GCD(R_f,q)≠1返回(2)；(5)选取u、/>使u·R_f+v·R_g＝1；F:＝qvρ_g；G:＝-quρ_f；F:＝F-k·f；G:＝G-k·g；(6)则mpk:＝g·f^-1mo_dq；输出(mpk,msk)；

其中，n＝2^k≥1，k为正整数，q为素数，一般n，q要取较大的数值；表示离散高斯分布；/>表示反循环矩阵，/>表示多项式系数_g的转置，/>表示多项式系数f的转置。

所述密钥提取算法Extract(mpk,msk,ID)的实现方法为：计算t:＝H₁(ID)；s₁+s₂·mpk^*＝t；(s₁,s₂):＝(t,0)-Gaussian(msk^*,α,(t,0))；输出sk_ID:＝s₂；

其中，s₁、s₂为较小的多项式，α表示随机抽样的离散高斯分布，Gaussian()表示离散高斯取样本发明的有益效果：基础认证密钥协商(Authenticated Key Agreement，AKA)协议由单一格上基于身份的加密方案转换而成，没有使用执行开销较大的公钥签名算法，实现了隐式认证。由于使用了这个格上基于身份的认证密钥协商协议，所提出的TLS握手认证密钥协商机制消除了公钥证书，避免了一个庞大公钥基础设施(Public KeyInfrastructure，PKI)的部署，更加易于实施。仿真测试表明，所构造的基础AKA协议在执行效率和安全性方面可与现有一些典型的基础性后量子认证密钥协商协议相比，在量子安全强度、通信量等某些具体性能指标方面具有较为明显的优势，安全性基于格上困难问题，能够抵抗量子计算攻击，在安全性和执行效率上具有更多优势；本发明所提出的TLS握手认证密钥协商机制的总体性能也表现良好，与其它相关TLS握手方案相比，在计算开销和通信开销等方面也有着较为明显的优势。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的流程示意图。

图2为图1所示初始化的流程图。

图3为本发明认证密钥协商的示意图。

图4为本发明为仿真实验系统拓扑图。

图5为本发明的握手方案的运行时间的曲线图。

图6为本发明的相关TLS握手方案的通信量对比图。

图7为本发明的相关TLS握手方案的运行时间对比图

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，一种基于格的身份基认证密钥协商方法，基于格上难题构造，可以抗量子攻击，其步骤如下：

步骤一：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接。

如图2所示，构建PKG系统来代替传统的公钥证书颁发机构(CA)，PKG系统进行注册通信实体并对其建立起一套标准的密钥提取流程。主要分为以下步骤：

S1：建立PKG系统需要引进DLP-IBE的相关算法Key Generation(n,q)、Extract(mpk,msk,ID)，并选择合适的相关散列函数H。

S2：通信实体A和B将自己的身份标识ID_A ID_B发送给PKG，进行实体记录及相关密钥申请。

S3：PKG系统收到通信实体的身份标识，首先会使用Key Generation(n,q)产生并发布系统主公私钥(mpk,msk)，用以后续提取实体的身份私钥。

S4：PKG系统将系统主公私钥(mpk,msk)及实体身份标识(ID_A ID_B)结合生成对应实体的身份私钥，即sk_A＝Extract(mpk,msk,ID_A)sk_B＝Extract(mpk,msk,ID_A)。

S5：通信实体A和B获得对应的身份信息和身份私钥(ID_A,sk_A)、(ID_B,sk_B)，注册及初始化成功。

步骤二：TLS协议握手的协议发起者A生成临时公私钥对(pk*,sk*)，并根据消息生成密文c_A，使用Client Hello把密文c_A和临时公钥pk*组成的消息(c_A,pk*)发送至协议响应者B；sk*为临时私钥。作为TLS第一次的真实信息交互。

步骤三：协议响应者B接收到消息(c_A,pk*)后进行身份认证并生成密文c_B和c_B*，协议响应者B将生成的消息(c_B,c_B*)作为第二次真实信息交互，通过Server Hello发送给协议发起者A。

步骤四：协议发起者A收到消息(c_B,c_B*)后对密文c_B,c_B*进行解密和身份验证，如果身份验证通过，协议发起者A计算出会话密钥并与协议响应者B进行密钥导出；否则，协议发起者A拒绝消息(c_B,c_B*)并直接终止密钥协商。

利用图2的初始化流程对TLS客户端A和服务端B进行注册及相关信息的初始化。在TLS A端和B端建立稳定连接之后，图3中协议的A端和B端的相关机制可以直接套进TLS中的客户端A和服务端B，作为一个通用协议，能够用于多种实际协议，如TLS握手。

TLS 1.3是TLS协议的最新版本，相比TLS的前一个版本(TLS 1.2)改进颇多，其具体改进主要包括删除了一些不安全的加密算法、握手时间减半等。TLS 1.3协议只需要一个往返便可以完成握手，相对于低版本的TLS 1.2具有更少的时间成本。首先客户端会向服务端发送ClientHello，主要包括客户端所支持的TLS版本、会话标识符、加密套件列表、压缩算法列表以及随机扩展消息(密钥共享、预共享密钥等)；然后服务端回复SeverHello，主要包括选择的协议版本、加密套件等；服务端发送证书、以及使用对应的私钥对握手消息的签名等；服务端选用客户端发送的随机数生成临时公钥，结合选定的参数计算出共享密钥，并将临时公钥发送给客户端，最后客户端使用证书公钥进行签名认证；获取临时公钥，最终生成共享密钥。

TLS协议是一个高度模块化的复杂协议体系，其模块就是一些嵌入的密码原语(比如具体的加密算法和密钥协商等)。因此，本发明将提出的格上基于身份的认证密钥协商机制作为一个可抗量子攻击的密钥协商模块嵌入到TLS 1.3协议握手过程。虽然，可以去除原TLS握手过程的发送证书、证书认证等步骤，但这里没有改变原TLS基本协议交互流程，与TLS协议标准语义理论上也具有一定的兼容性。

由DLP-IBE方案构造一个格上基于身份的认证密钥协商协议，用以嵌入TLS 1.3握手过程。此基础协议的构造过程实际上是对等在PKC 2020会议上提出的后量子通用认证密钥交换框架(FO_AKE)的实例化。

利用FO_AKE框架可将任意IND-CPA安全的公钥加密(Public Key Encryption，PKE)方案转换为一个认证密钥协商协议，且容许所选用的PKE方案具有非完美正确性(Non-Perfect Correctness)，如像一些基于格的PKE可能存在的解密偏差(Decryption Error)情况。具体来说，在相关认证密钥协商协议构造前可能需要对选定的原始PKE方案进行若干改造，首先判断所选定的具有IND-CPA安全性的原始PKE方案是否具有不相交的可模拟性(Disjoint Simulatability，DS)。直观来说，具有DS性质意味着可以有效地抽样与真PKE密文计算性不可区分(“可模拟性”)的“伪密文”，同时要求可能的伪密文集合与真密文集合(几乎)是不相交的。实际上对于许多基于格的加密方案来说，因其抽样的样本相对稀疏，本身自然就满足DS性质。如果具有DS特性，就可直接按照FO_AKE构建框架进行转换。若不满足DS性质，也可以对PKE方案进行简单改造以使其具有DS性质，其改造的基本方法是“穿刺”消息空间的某处并对其抽样进行消息伪加密，使有效采样的伪密文与真实的PKE密文在计算上无法区分，由此可将任何具有IND-CPA安全性的PKE方案转化为同时具有DS特性的方案。

此外，在具体的实施过程中还需要对PKE方案的加密过程进行去随机化和重加密等操作以便于应对其解密可能出现的正确性偏差(Correctness Error)等某些异常情况，即由原始的公钥加密方案PKE和一个哈希函数G，要构造一个公钥加密方案PKE'，PKE'的加密为：Enc'(pk,m):＝Enc(pk,m；G(m))，Enc表示PKE原来的加密函数。其中，pk为用户长期公钥，m为要加密的消息，G(m)被用作加密函数Enc的随机抛币，致使加密函数Enc'成为确定性算法。在FO_AKE框架中，上述操作又被称为T转换。

如图3所示，在完成通信实体的注册及初始化之后，进行执行相关的密钥协商，主要包括两次的消息交互及最终的密钥导出，具体实现方法为：

step1:为了与B协商建立一个共享的会话密钥K，A首先调用算法Keygen生成一个随机的临时公私钥对(pk*,sk*)，即(pk*,sk*):＝Keygen(n,q,ID_A)；然后，A随机选取一个消息m_A←M，并调用Enc'生成密文c_A:＝Enc'(mpk,ID_B,m_A)。随后A将所生成的(c_A,pk*)发送给B。

step2:B收到A发来的消息(c_A,pk*)后，首先调用Dec'对密文c_A进行解密得到m_A':＝Dec'(sk_B,c_A)，接着B进行验证操作(隐含身份验证机制)，即：若m_A'＝⊥，则验证不通过，B拒绝消息并直接终止协议；若m_A'≠⊥，则验证通过，B进行以下操作：首先随机选取消息m_B,m_B*←M，然后调用Enc'分别生成密文c_B:＝Enc'(mpk,ID_A,m_B),c_B*:＝Enc'(pk*,ID_A,m_B*)，并将(c_B,c_B*)发送给A。

step3：A收到B发来的消息(c_B,c_B*)后，首先调用Dec'分别对密文c_B,c_B*进行解密得到m_B':＝Dec'(sk_A,c_B)，m_B*':＝Dec'(sk*,c_B*)，接着A进行验证操作，即：若m_B'＝⊥orm_B*'＝⊥，则验证不通过，A拒绝消息并直接终止协议；否则，则验证通过。

step4：通信两端计算正确并验证成功，A和B分别计算K_A＝H(m_A',m_B,m_B*,pk*,ID_A,ID_B)和K_B＝H(m_A,m_B',m_B*',pk*,ID_A,ID_B)。

上述通用基础协议可实现通信前在两个通信方间建立共同会话密钥，可以被用于/嵌入多种实际安全协议中。协议参与两方就是通信发起方和通信响应方。

格可以被想象成一个具有很多规律分布、离散点的空间。通常使用基向量来更好的描述格，假设一组基向量B＝{b₁,...,b_n}，则格被定义为基向量的任意线性组合的集合，即其中，/>表示整数集，b_i第i个向量，n为向量个数，x为整数向量。

Lyubashevsky等深入分析Regev等提出的格上带误差的学习(Learning WithErrors，LWE)问题，并在此基上定义了多项式环上带误差的学习(Ring Learning WithErrors，RLWE)问题，当选择合适的参数时，RLWE问题的困难性可以规约为理想格上最短向量问题(Shortest Vector Problem，SVP_γ)的最差情形，其中，参数γ的选择与LWE问题的参数有关。目前格上可以定义许多数学难题，且已经确认几乎所有的经典密码概念都可以在格密码中得以实现。

LWE问题：设χ为上的一个误差分布，选取任意正整数n和q，均匀随机选取误差e←χ，向量/>对于一个秘密的随机向量/>则LWE分布为/>(a,b＝<s，a>+emod q)。

搜索性LWE问题：选取多组LWE分布的抽样求解秘密向量s。

判定性LWE问题：选取多组独立抽样其中的每个抽样或者选自LWE分布或者选自均匀分布U，判断抽样是哪种情况分布。

RLWE问题：在整数集上定义多项式环：其中，n＝2^k≥1，k为正整数。选取任意正整数q，类似的可以定义环/>其中环R_q包含所有次数最多为n-1的多项式，多项式的系数均在整数集/>中。设χ为多项式R_q上的误差分布，均匀随机选取误差e←χ，a∈R_q，对于一个秘密向量s∈R_q，则RLWE分布为A_s,χ∈R_q×R_q:(a,b＝s·a+emod q)。

搜索性RLWE问题：选取多组RLWE分布的抽样(a_i,b_i)∈R_q×R_q，求解秘密向量s。

判定性RLWE问题：选取多组独立抽样(a_i,b_i)∈R_q×R_q，其中的每个抽样或者选自RLWE分布或者选自均匀分布U，判断抽样是哪种情况的分布。

基于身份加密(Identity-Based Encryption，IBE)是一种公钥加密，其用户的公钥来源于用户的身份，如电子邮件、IP地址等。与采用证书方式来获得用户公钥的传统协议不同，IBE的优点在于不需要证书进行验证。它只需要一个可信的第三方—私钥生成方(Private Key Generator，PKG)来生成用户私钥。这里给定相关安全参数λ，则IBE可定义为以下四个算法：

(1)Setup(1^λ)→(mpk,msk)：PKG系统生成主公钥mpk和主私钥msk，然后，将主私钥msk秘密保管，将主公钥mpk公开发布。

(2)Extract(mpk,msk,ID)→sk_ID：PKG系统生成与用户身份标识ID相对应的用户私钥sk_ID，然后，通过一个稳妥保密的途径传给相关用户。

(3)Encrypt(mpk,ID,m)→c：加密者使用主公钥mpk和消息接收方的身份ID所派生出的公钥加密消息m，并输出密文c。

(4)Decrypt(sk_ID,c)→m或⊥：解密者使用自己的秘密私钥sk_ID解密密文c，并输出明文m，若是无效则返回⊥。

上述四个步骤中任何消息和用户ID，若是满足公式Decrypt(sk_ID,Encrypt(mpk,ID,m))＝m，则IBE方案是可行的。

Ducas等提出了一个执行高效的格上基于身份的加密方案(记为DLP-IBE)，该加密方案具有选择明文攻击下不可区分的(Indistinguishability under Chosen-PlaintextAttack，IND-CPA)安全性。与其它相关的格上基于身份的加密方案相比，DLP-IBE的密文长度较为合理，加解密速度较快，被认为是一个性能相当高的格上基于身份的加密方案。

DLP-IBE方案使用NTRU格生成公私钥，加密过程基于RLWE，公钥和密文的空间大小分别为O(n)和O(2n)，n为多项式环R_q的次数。该方案包括生成主密钥对、提取用户私钥、给定用户身份为用户加密消息以及用户使用私钥解密。根据该方案可以推出下式：

其中，q为素数，H₁是一个哈希函数，即H₁:{0,1}^*→R_q，可将任意长度的标识符(如ID)映射到多项式环R_q中。k为{0,1}ⁿ的随机取样，r和e₁为{-1,0,1}ⁿ的随机取样，sk_ID为身份私钥，s＝H₁(ID)-mpk·sk_ID表示为环R_q中的短元素。

这意味着在密钥提取的过程中，主公钥和用户密钥需符合条件：mpk·sk_ID+s＝H₁(ID)，且s为多项式环R_q中短元素，r·s+e₂-e₁·sk_ID的系数在(-q/4,q/4)范围内，便可大概率正确解密。

DLP-IBE是格密码方案，遵循RLWE问题假设，取样的样本相对稀疏，在均匀采样下相交的概率可忽略不计，由此DLP-IBE具备DS特性。

设消息域为设G₁，G₂，G₃，G₄为哈希函数，其定义分别如下：/> m为消息，n表示维度。哈希函数H₁:{0,1}^*→R_q和H₂:(0,1)^*→{0,1}^mlen，H₂可将任意k的长度填充为m的长度。那么，本发明的加密函数Enc'(mpk,ID,m)为：u＝r·mpk+e₁；得到密文/>其中，k＝G₁(m)，r＝G₂(m)，e₁＝G₃(m)，e₂＝G₄(m)，q为素数，/>表示向下取整。

解密函数Dec'(sk_ID,c)为：根据输入：sk_ID,c＝(u,v,w)，则m'＝Dec(sk_ID,c)；

若m'＝⊥或Enc'(mpk,ID,m')≠c，返回⊥；否者，返回m'。

其中，函数Dec(sk_ID,c)的实现方法为：v＝2^l·v，z＝v-u·sk_ID∈R_q，则得到解密消息/>

在具体执行解密函数Dec'(sk_ID,c)时，PKE'首先调用DLP-IBE方案的Dec算法对密文c解密，得到m'；然后再判断m'是否为⊥或者将m'使用Enc'进行重加密后得到的密文与原密文c是否相同以判断是否存在解密偏差等异常情况。若m'＝⊥或者Enc'(mpk,ID,m')≠c，则直接返回⊥；否则，返回m'。

同样依据FO_AKE框架规范，在构建具体的协议时，还需要定义一个新的密钥生成算法Keygen，其目的是在每次AKA协议执行时都生成一对新的随机的临时公私钥。其算法Keygen(n,q,ID)通过调用原DLP-IBE方案中算法Key Generation和Extract来实现：

根据输入n,q,ID，(mpk*,msk*):＝Key Generation(n,q)；sk*:＝Extract(mpk*,msk*,ID)；pk*:＝mpk*；输出(pk*,sk*)。其中，Key Generation(n,q)的实现方法为：

输入:n,q，(1)(2)f,/>a:＝‖(g,-f)‖，m:＝max(a,b)；(3)若/>返回(2)；

(4)选取ρ_f,ρ_g∈R_q和R_f,使-ρ_f·f＝R_f和-ρ_g·g＝R_g；

若GCD(R_f,R_g)≠1或GCD(R_f,q)≠1返回(2)；

(5)选取u、使u·R_f+v·R_g＝1；

F:＝qvρ_g；G:＝-quρ_f；F:＝F-k·f；G:＝G-k·g；

(6)则mpk:＝g·f^-1mod q；输出(mpk,msk)。

其中，n＝2^k≥1，k为正整数，q为素数，一般n，q要取较大的数值。表示离散高斯分布；/>表示反循环矩阵。/>表示多项式系数_g的转置，/>表示多项式系数f的转置。

Extract(mpk*,msk*,ID)的实现方法为：

t:＝H₁(ID)；s₁+s₂·mpk^*＝t；(s₁,s₂):＝(t,0)-Gaussian(msk^*,α,(t,0))；输出sk_ID:＝s₂。

其中，s₁、s₂为较小的多项式，α表示随机抽样的离散高斯分布，Gaussian()表示离散高斯取样。

依据FO_AKE框架，并使用上述经过改造后得到的算法Enc'、Dec'和Keygen构建一个格上身份基认证密钥协商协议，协议的通信双方可以通过两消息的交互协商建立最终的共享会话密钥。

此协议在基于身份的密码系统下运行，PKG按照原DLP-IBE的相关算法完成系统初始化过程，产生并发布了系统主公钥mpk以及其它公开参数(如n,q等)，并且已为系统中各用户产生并分发了静态长期私钥。假设两个用户A和B之间要运行协议，用户A的身份信息和长期私钥分别为(ID_A,sk_A)；用户B的身份信息和长期私钥分别为(ID_B,sk_B)。设l为协议系统安全参数，设消息域为设H:{0,1}^*→{0,1}^l为一个在密码学意义上安全的哈希函数。假定A为协议发起者，B为协议响应者，协议执行具体过程如下：

(1)为了与协议响应者B协商建立一个共享的会话密钥K，协议发起者A首先调用算法Keygen生成一个随机的临时公私钥对(pk*,sk*)，即(pk*,sk*):＝Keygen(n,q,ID_A)；然后，协议发起者A随机选取一个消息并调用加密算法Enc'生成密文c_A:＝Enc'(mpk,ID_B,m_A)。随后，协议发起者A将所生成的(c_A,pk*)发送给协议响应者B。

(2)协议响应者B收到协议发起者A发来的消息(c_A,pk*)后，首先调用解密算法Dec'对密文c_A进行解密得到m_A':＝Dec'(sk_B,c_A)，接着协议响应者B进行验证操作，即：若m_A'＝⊥，则验证不通过，协议发起者B拒绝消息并直接终止协议；若m_A'≠⊥，则验证通过，协议响应者B进行以下操作：首先随机选取消息m_B,然后调用加密算法Enc'分别生成密文c_B:＝Enc'(mpk,ID_A,m_B),c_B*:＝Enc'(pk*,ID_A,m_B*)，并将消息(c_B,c_B*)发送给协议发起者A，最终协议响应者B计算出会话密钥K＝H(m_A',m_B,m_B*,pk*,ID_A,ID_B)。

(3)协议发起者A收到协议响应者B发来的消息(c_B,c_B*)后，首先调用解密算法Dec'分别对密文c_B,c_B*进行解密得到m_B':＝Dec'(sk_A,c_B)，m_B*':＝Dec'(sk*,c_B*)，接着协议发起者A进行验证操作，即：若m_B'＝⊥or m_B*'＝⊥，则验证不通过，协议发起者A拒绝消息并直接终止协议；否则，则验证通过，协议发起者A计算出会话密钥K＝H(m_A,m_B',m_B*',pk*,ID_A,ID_B)。

本发明所提基础AKA协议基于FO_AKE框架构造而成，具体选取具有IND-CPA安全性的格上基于身份的加密方案(DLP-IBE)作为了其中的基本构件。FO_AKE已被其作者证明取得了量子随机预言模型下的安全性，且已被证实在一个类似于CK⁺模型的较强模型下是安全的，由此具有了很多良好的安全性质，如已知会话密钥安全性、(弱的)完美前向保密性、抗密钥泄露伪装攻击性、抗临时秘密泄露攻击性、乃至抗最大程度泄露攻击性等等。以下对协议所具有的主要安全性质进行分析。

假设协议两方A、B所计算的会话密钥K＝H(m_A,m_B,m_B*,pk*,ID_A,ID_B)，设H为密码学意义上安全的哈希函数(可在安全证明中建模为随机预言机)，那么敌手只有取得全部正确的秘密消息(m_A,m_B,m_B*)，才能计算出会话密钥K。由此，可分析协议具有以下安全性质。

①隐式认证：协议选择的秘密消息(m_A,m_B,m_B*)均以加密状态进行传输，正常情况下协议参与者之外的任何实体都无法获得正确的秘密消息，确保了只有协议参与者才可以唯一确定地建立会话密钥。

②已知会话密钥安全：协议每次运行都选择随机的秘密消息(m_A,m_B,m_B*)，产生的会话密钥是动态变化的。这样，其它会话密钥的泄露不会影响到当前会话密钥的安全性。

③(弱的)完美前向保密性和(弱的)PKG前向保密性：在敌手只能被动窃听而不能主动攻击的情况下，协议两方的长期私钥泄露只能够使敌手获得秘密消息(m_A,m_B)，并不能获得临时密钥加密的秘密消息m_B*，因此敌手并不能计算出从前的会话密钥K；另一方面，PKG系统主私钥泄露往往也就意味着所有用户的长期私钥泄露，与前面分析类似，被动攻击的敌手还是无法得到计算会话密钥所需全部秘密消息(m_A,m_B,m_B*)，从而保证了从前会话密钥的安全。

④抗密钥泄露伪装攻击：此性质表明了协议一方的长期私钥泄露不能够使敌手在这一方的参与者面前成功伪装成另外一方的参与者。具体的，即使协议A方的长期私钥sk_A泄露，敌手无法获取秘密消息m_A,因此敌手不能成功伪装成协议参与方B与A建立会话密钥；即使协议B方长期私钥sk_B泄露，敌手无法得到秘密消息m_B，所以敌手也不能成功伪装成协议参与方A与B建立会话密钥。

⑤抗临时秘密泄露攻击：即使敌手知道临时秘密sk*，只要协议两方的长期私钥不泄露，敌手就不能得到秘密消息(m_A,m_B)，也就无法计算出会话密钥K；另外，由于每次会话的秘密消息(m_A,m_B,m_B*)都是动态生成的，当前会话的临时秘密泄露也不会影响到其它会话密钥的安全性。最后，可以看到：协议两方只要有一个秘密不泄露，敌手就不能获得全部的秘密消息(m_A,m_B,m_B*)，这使得敌手不能计算得到会话密钥K，由此，所提基础AKA协议在一定程度上也具有抗最大秘密泄露攻击安全性。

本发明提出的新的后量子格上基于身份的认证密钥协商协议嵌入TLS 1.3协议握手过程，客户端和服务器端分别对应所提协议的发起者A和响应者B，因此，Client Hello和Server Hello中的共享消息分别包含(c_A,pk*)和(c_B,c_B*)。通过引入所构造的格上基于身份认证密钥协商协议，可以去除原TLS握手过程的发送证书、证书认证等步骤。最终，通信双方可以通过两消息的交互协商建立相应的共享密钥K。

为验证所提基础协议及其TLS握手应用方案的可行性和有效性，搭建了相关实验网络环境，进行了模拟实施。相关协议和方案在模拟实现时并没有使用数论变换(NumberTheoretic Transform，NTT)等额外的性能优化方法。实验采用双机模拟测试。客户端：笔记本(惠普Windows 10Professional操作系统、2.6GHz Intel(R)Core(TM)i7-10750H CPU和16.00GB RAM)；服务器端：虚拟机(惠普ubuntu操作系统、2.6GHz i7-10750H CPU和8.00GBRAM)，系统拓扑如图4所示，包括客户端和服务器端，实现数据的接收和传送。使用Python3.7编程，模拟实现了本发明所提协议和方案，设置仿真程序的维度参数n＝1024，模数q＝12289，消息m的尺寸为1024bits，随机抽样的离散高斯分布类似Banerjee等的后量子基于身份密码方案的模拟实施，利用SHA3-256对会话密钥导出哈希函数H进行实例化，并借助SHAKE(基于SHA3的可扩展输出函数)类函数对所提方案中定义的其它哈希函数进行实例化。

Albrecht等提出了当前最为权威的针对基于LWE、RLWE问题的密码方案的安全性测试平台，通过如暴力搜索、格基归约等多种攻击方式来度量格密码系统的(量子)安全强度。在该测试平台上输入给定的实施参数对新构建的格上认证密钥协商协议进行安全性测试，最终得到其基础格上AKA协议的(量子)安全强度为321(bit)。

在仿真测试中，针对本发明基础协议进行了多次稳定模拟实施。下面选取现有一些典型的、具有代表性的格上基本认证密钥协商协议与本发明所提基础格上认证密钥协商协议进行综合性能比较，如表1所示。其中所选取的典型的格密码方案包括BOS等的方案BCNS-[BOS J W,COSTELLO C,NAEHRIG M,et al.Post-quantum key exchange for theTLS protocol from the ring learning with errors problem[C]//Proceedings ofthe 2015IEEE Symposium on Security and Privacy(SP 2015).IEEE ComputerSociety,USA,2015:553-570.]、Zhang等的方案(2-ZZDSD-100和2-ZZDSD-210)-[ZHANG J,ZHANG Z,DING J,et al.Authenticated key exchange from ideal lattices[C]//Proceedings of the 34th Annual International Conference on the Theory andApplications of Cryptographic Techniques.Springer,Berlin,Heidelberg,2015:719-751.]、Peikert等的方案(Peikert-106和Peikert-192)-[PEIKERT C.Latticecryptography for the internet[C]//Proceedings of the 6th InternationalWorkshop on Post-Quantum Cryptography.Springer,Cham,2014:197-219.]、Kyber.AKE-[BOS J,DUCAS L,KILTZ E,et al.CRYSTALS-kyber:a CCA-secure module-lattice-basedKEM[C]//Proceedings of the 2018IEEE European Symposium on Security andPrivacy(EuroS&P 2018).IEEE,London,UK,2018:353-367]、Saber.KE-[D'ANVERS J P,KARMAKAR A,SINHA ROY S,et al.Saber:module-LWR based key exchange,CPA-secureencryption and CCA-secure KEM[C]//Proceedings of the 10th InternationalConference on Cryptology in Africa.Springer,Cham,2018:282-305.]、Frodo-[BOS J,COSTELLO C,DUCAS L,et al.Frodo:take off the ring！practical,quantum-secure keyexchange from LWE[C]//Proceedings of the 2016ACM SIGSAC Conference onComputer and Communications Security.ACM,USA,2016:1006-1018.]和NewHope-[ALKIME,DUCAS L,T,et al.Post-quantum key exchange-a new hope[C]//Proceedings of the 25th USENIX Security Symposium.USENIX Association,USA,2016:327-343.]。除了格密码方案，还引入一个安全性基于超奇异同源(SupersingularIsogenies，SI)问题的SIDH方案和一个安全性基于经典椭圆曲线离散对数(EllipticCurve Discrete Logarithm，ECDL)问题的ECDH-256方案来参与比较。具体比较指标包括协议发起方(Initiator)和响应方(Responder)的平均计算时间(ms)、通信量(bits)、公私钥长度(bits)、量子安全强度、困难问题假设等。在表1中，与本发明的基础协议作比较的上述相关典型格密码方案和经典密码方案(ECDH-256)的测试数据主要来源于文献[NI Liang,WANG Nianping,GU Weili,ZHANG Qian,LIU Jizhao,SHAN Fangfang.Research onlattice-based quantum resistant authenticated key agreement protocols:ASurvey[J].Computer Science,2020,47(9):293-303.](Saber.KE表项中的符号“-”表示Saber方案的作者并没有给出相关测试数据；ECDH-256表项中的符号“×”表示其不具有量子安全性)，SIDH方案的测试数据来源于文献[BOS J,COSTELLO C,DUCAS L,et al.Frodo:take off the ring！practical,quantum-secure key exchange from LWE[C]//Proceedings of the 2016ACM SIGSAC Conference on Computer and CommunicationsSecurity.ACM,USA,2016:1006-1018.]。

参与对比的这些格密码协议的作者在其方案的相关文献中往往给出多个可选择(参数)的方案，本发明选取的是其主要方案或性能表现较好的推荐参数方案(以“recommended”标记)，由于各后量子密码协议的设计基于不同的计算性难题且具有不同程度的量子安全强度，它们的实施又是依托不同的平台，且采用不同程度的优化，因此对于各方案运行性能进行完全公平比较是不可能的。然而，从表1中还是可以清楚地看出所提基础协议的总体性能整体表现良好，在运行时间方面，相比上述大部分协议要短；在公私钥及通信量方面，相比当前一些典型的后量子格上协议要小。尽管表1中非格方案(如SIDH方案和ECDH-256方案)的公私钥及通信量较小，但是SIDH的通信双方计算时间过长，ECDH-256方案则是不能抗量子攻击。综合比较，本发明所提基础协议通信开销较小、运行时间较短、密钥规模适中，且具有较强量子安全性——在给出的参数设置下测试其量子安全强度达到321(bit)。而且，本发明所提基础后量子格上认证密钥协商协议是基于身份的密码方案，消除了公钥证书，从而避免庞大PKI的部署，更加便于实际应用方案(TLS握手子协议)的实施。

表1相关基础认证密钥协商协议的性能对比

/>

在仿真测试中，针对嵌入了所构造的基础AKA协议后得到的TLS 1.3握手过程也进行了多次稳定模拟实施。图5表示(n＝1024)随着所提握手方案实施次数的增加，两端握手运行时间的变化趋势。握手方案的第一次运行需要进行初始化多个参数，所以方案的首次运行时间较长。但随着测试次数的增加，实施过程逐渐趋于稳定，其运行时间可以很好的稳定在60(ms)到70(ms)之间。

下面选取了现有一些典型的、常见的相关TLS握手方案与本发明所构造的新方案进行性能比较。具体如图6的相关TLS握手方案的通信总量(bytes)对比，图7的相关TLS握手方案的运行时间(ms)对比，以及表2中对相关TLS握手方案的量子安全性、所基于的密码体系和是否依赖PKI的对比。其中，BFM表示Bentahar等的方案、BWJ表示Banerjee等的方案、BCNS表示BOS等的方案、BC表示Banerjee等的方案、方案ERRR、ERRR^*、KKDD、KKDD^*、NNFF和NNFF^*来源于文献[SCHWABE P,STEBILA D,WIGGERS T.Post-quantum TLS withouthandshake signatures[C]//Proceedings of the 2020ACM SIGSAC Conference onComputer and Communications Security.ACM,New York,NY,USA,2020:1461–1480.]。方案BFM、BWJ、BCNS、BC的数据指标主要来源于文献[BANERJEE U,CHANDRAKASAN AP.Efficient post-quantum TLS handshakes using identity-based key exchangefrom lattices[C]//Proceedings of the ICC 2020-2020IEEE InternationalConference on Communications(ICC).IEEE,Dublin,Ireland,2020:1-6.]。

从图6、图7、表2可以看出，一些基于传统密码体系(如RSA、ECC等)的TLS握手方案(如BFM、BWJ、ERRR、ERRR^*)的计算和通信开销虽然较小，但这些方案不具有量子安全性。Bos等的BCNS方案则通过传统公钥签名机制的方式来实现显式认证，所以也并不能算是完全的量子安全方案，而且，表2中还指出其方案仍需要使用公钥证书和依赖PKI机制，在执行过程中对公钥证书的传输又将造成一定的通信和处理开销。

表2相关TLS握手方案的其它性能对比

除了上述方案，表2还选择给出了最近Schwabe等提出的若干TLS 1.3握手(实例化)方案，其中包括基于RSA传统密码体制的方案ERRR和ERRR^*(“*”表示已缓存证书)，以及后量子基于格的方案KKDD、KKDD^*、NNFF和NNFF^*，这些方案没有使用签名，在一定程度上减少了通信成本，但是它们仍然需要使用公钥证书和依赖PKI，从图6和图7可以看出相对来说这些方案还是有着不小的运行开销。而且，在目前缺乏后量子PKI支持的情况下，依赖PKI的方案在当下尚无法作为完整的量子安全实践解决方案。而本发明新构造的TLS握手方案使用了格上基于身份的AKA协议，可消除公钥证书，不再需要依赖一个庞大的PKI，在实践中也便于实施。其基础AKA协议又是FO_AKE框架的实例化，由具有IND-CPA安全性的单一的格上基于身份加密方案构造而成，没有使用开销较大的公钥签名算法，实现了隐式认证，运行性能较高，且具有良好的安全性。如图6和图7所示，与现有依赖于PKI的后量子TLS握手方案(表2中Bos等的方案BCNS和Schwabe等的实例化后量子方案)相比，本发明TLS握手方案的通信开销和计算开销更小；与同样采用格上基于身份密码协议所构造的类似后量子TLS握手方案(表2中Banerjee等的方案BC)相比，所提TLS握手方案在通信开销和计算开销方面也有着较为明显的优势。

量子信息技术的突飞猛进，使当前网络安全协议中占主导地位的、安全性基于经典数论难题的公钥密码方案遭受巨大冲击，实践量子安全保障已具现实意义。本发明给出了一个可用于TLS 1.3握手的格上基于身份的认证密钥协商方法，其内在基础AKA协议的构建是对FO_AKE框架的实例化。基础AKA协议由单一格上基于身份的加密方案(DLP-IBE方案)构造而成，没有使用执行开销较大的公钥签名，实现了隐式认证。由于使用了这个格上基于身份的认证密钥协商协议，给出的TLS 1.3握手认证密钥协商机制消除了公钥证书，避免了一个庞大PKI的部署，同时方案的安全性又基于格上困难问题假设，可以抵抗量子攻击。仿真综合测试表明，在推荐参数下，与现有的一些典型的相关基础性协议相比，本发明所构造的基础AKA协议具有较高的执行效率和良好的安全性，在(量子)安全强度、通信量等某些具体性能指标方面具有较为明显的优势；使用了此协议的TLS握手方案的总体性能也表现良好，与现有的一些典型的相关TLS握手方案相比，在通信总量和运行时间等方面也有着较为明显的优势。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于格的身份基认证密钥协商方法，其特征在于，其步骤如下：

步骤一：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接；

所述步骤一中注册及信息初始化的实现方法为：

S1：建立PKG系统需要的密钥生成算法Key Generation(n,q)和密钥提取算法Extract(mpk,msk,ID)，并选择合适的相关散列函数H；其中，n为正整数，q为素数，mpk,msk分别为系统主公钥和主私钥，ID为通信实体的身份标识；

S2：通信实体将自己的身份标识ID发送给PKG系统，进行实体记录及密钥申请；

S3：PKG系统收到通信实体的身份标识ID，使用密钥生成算法Key Generation(n,q)产生并发布系统主公私钥(mpk,msk)；

S4：PKG系统将系统主公私钥(mpk,msk)及通信实体的身份标识利用密钥提取算法Extract(mpk,msk,ID)生成通信实体的身份私钥sk；

S5：通信实体获得身份信息和身份私钥组成的信息(ID,sk)，注册及初始化成功；

步骤二：TLS协议握手的协议发起者A生成临时公私钥对(pk*,sk*)，并根据消息生成密文c_A，使用Client Hello把密文c_A和临时公钥pk*组成的消息(c_A,pk*)发送至协议响应者B；sk*为临时私钥；

步骤三：协议响应者B接收到消息(c_A,pk*)后进行身份认证并生成密文c_B和c_B*，通过Server Hello发送给协议发起者A；

步骤四：协议发起者A收到消息(c_B,c_B*)后对密文c_B,c_B*进行解密和身份验证，如果身份验证通过，协议发起者A计算出会话密钥并与协议响应者B进行密钥导出；否则，协议发起者A拒绝消息(c_B,c_B*)并直接终止密钥协商；

所述步骤二中协议发起者A生成临时公私钥对(pk*,sk*)，并根据消息生成密文c_A的方法为：协议发起者A调用加密算法Keygen生成一个随机的临时公私钥对(pk*,sk*)，即(pk*,sk*):＝Keygen(n,q,ID_A)；协议发起者A随机选取一个消息并调用加密算法Enc'生成密文c_A:＝Enc'(mpk,ID_B,m_A)；

所述步骤三中协议响应者B进行身份认证并生成密文c_B和c_B*的方法为：调用解密算法Dec'对密文c_A进行解密得到m_A':＝Dec'(sk_B,c_A)，协议响应者B进行验证操作，即：若m_A'＝⊥，则验证不通过，协议发起者B拒绝消息并直接终止协商过程；若m_A'≠⊥，则验证通过，协议响应者B进行以下操作：随机选取消息调用加密算法Enc'分别生成密文c_B:＝Enc'(mpk,ID_A,m_B)，c_B*:＝Enc'(pk*,ID_A,m_B*)，协议响应者B计算出会话密钥K_B＝H(m_A',m_B,m_B*,pk*,ID_A,ID_B)；

所述协议发起者A对密文c_B,c_B*进行解密和身份验证的方法为：协议发起者A调用解密算法Dec'分别对密文c_B,c_B*进行解密得到消息m_B':＝Dec'(sk_A,c_B)，m_B*':＝Dec'(sk*,c_B*)，接着协议发起者A进行验证操作，即：若m_B'＝⊥或者m_B*'＝⊥，则验证不通过，协议发起者A拒绝消息并直接终止协议；否则，则验证通过，协议发起者A计算出会话密钥K_A＝H(m_A,m_B',m_B*',pk*,ID_A,ID_B)；

其中，为消息域，ID_A为协议发起者A的身份标识，n为正整数，q为素数，ID_B为协议响应者B的身份标识，mpk表示系统主公钥，sk_B表示协议响应者B的身份私钥，sk_A表示协议发起者A的身份私钥，⊥表示空即失败。

2.根据权利要求1所述的基于格的身份基认证密钥协商方法，其特征在于，所述加密算法Enc'的加密函数Enc'(mpk,ID,m)的实现方法为：

u＝r·mpk+e₁；

得到密文其中，k＝G₁(m)，r＝G₂(m)，e₁＝G₃(m)，e₂＝G₄(m)，/>表示向下取整；且G₁，G₂，G₃，G₄为哈希函数，且：/> m为消息，n表示维度，H₁:{0,1}^*→R_q为哈希函数，R_q为多项式环；哈希函数H₂:(0,1)^*→{0,1}^mlen表示将任意输入内容的长度填充为一个固定的长度，/>为异或操作。

3.根据权利要求2所述的基于格的身份基认证密钥协商方法，其特征在于，所述解密算法Dec'的解密函数Dec'(sk_ID,c)为：根据输入：sk_ID,c＝(u,v,w)，则m'＝Dec(sk_ID,c)；

若m'＝⊥或Enc'(mpk,ID,m')≠c，返回⊥；否者，返回消息m'；

其中，函数Dec(sk_ID,c)的实现方法为：v＝2^l·v，z＝v-u·sk_ID∈R_q，则得到解密消息/>

4.根据权利要求1所述的基于格的身份基认证密钥协商方法，其特征在于，所述加密算法Keygen的实现方法为：根据输入n、q、ID，计算(mpk*,msk*):＝Key Generation(n,q)；sk*:＝Extract(mpk*,msk*,ID)；pk*:＝mpk*；输出(pk*,sk*)。

5.根据权利要求1-4中任意一项所述的基于格的身份基认证密钥协商方法，其特征在于，所述密钥生成算法Key Generation(n,q)的实现方法为：(1)(2)a:＝‖(g,-f)‖，/>m:＝max(a,b)；(3)若/>返回(2)；(4)选取ρ_f,ρ_g∈R_q和/>使-ρ_f·f＝R_f和-ρ_g·g＝R_g；若GCD(R_f,R_g)≠1或GCD(R_f,q)≠1返回(2)；(5)选取u、/>使u·R_f+v·R_g＝1；F:＝qvρ_g；G:＝-quρ_f；F:＝F-k·f；G:＝G-k·g；(6)则mpk:＝g·f^-1mod q；输出(mpk,msk)；

其中，n＝2^k≥1，k为正整数，q为素数，一般n，q要取较大的数值；表示离散高斯分布；/>表示反循环矩阵，/>表示多项式系数g的转置，/>表示多项式系数f的转置。

6.根据权利要求5所述的基于格的身份基认证密钥协商方法，其特征在于，所述密钥提取算法Extract(mpk,msk,ID)的实现方法为：计算t:＝H₁(ID)；s₁+s₂·mpk^*＝t；(s₁,s₂):＝(t,0)-Gaussian(msk^*,α,(t,0))；输出sk_ID:＝s₂；

其中，s₁、s₂为较小的多项式，α表示随机抽样的离散高斯分布，Gaussian()表示离散高斯取样。