CN1144418C

CN1144418C - 用于鉴别第一实体和第二实体的方法和装置

Info

Publication number: CN1144418C
Application number: CNB998144517A
Authority: CN
Inventors: 马丁·尤克纳
Original assignee: Infineon Technologies AG
Current assignee: Infineon Technologies AG
Priority date: 1998-11-03
Filing date: 1999-10-11
Publication date: 2004-03-31
Anticipated expiration: 2019-10-11
Also published as: CN1330820A; JP2003503864A; DE59911205D1; US7007164B1; WO2000027070A1; DE19850665A1; EP1125395B1; EP1125395A1

Abstract

本发明涉及一种用于鉴别第一实体和第二实体的方法和装置，其中，为了在第二实体中鉴别第一实体，依靠非对称加密法生成第一数。对称地编码这个第一数并传输到第二实体。第二实体通过解码第二数来检查第一数，从而鉴别第一实体。

Description

用于鉴别第一实体和第二实体的方法和装置

技术领域

本发明涉及一种用于用第二实体鉴别第一实体和/或反过来用第一实体鉴别第二实体的方法和装置。

在鉴别过程中，第一实体可靠地向第二实体声明它确实是第一实体。在(机密)数据的传输中存在对应的需要，以便保证所述数据确实来源于其实体(whom)。

背景技术

一种对称编码方法是从[1]知道的。在这种对称编码方法中，密钥既用于编码也用于解码。拥有这样的密钥的攻击者可以将纯文本文件(将要编码的信息)变换成编码的文本，反之亦然。这种对称编码方法也称作私有密钥法或使用秘密密钥的方法。对称编码方法所用的公知算法是DES(数据加密标准)算法。它是按照ANSI X3.92-1981在1974年制定的。

一种对称编码方法是从[2]知道的。在这种情况下，不是给用户指定一个密钥，而是包括两个密钥的密钥系统：一个密钥将纯文本映射到被变换的文本，而另一个密钥允许该逆操作并将被变换的文本转换成纯文本。这样的方法被称作非对称的，原因是参与加密操作的双方使用(一个密钥系统的)不同密钥。如果达到下列属性，这两个密钥之一，例如密钥p，可以让公众知道：

--不可能用合理的开销从密钥p驱动该逆操作所需要的秘密密钥s。

--即使纯文本用(公开)密钥p变换，也不可能从那里驱动(秘密)密钥s。

由于这种原因，非对称编码方法也被称作使用可以让公众知道的密钥p的公开密钥法。

理论上说，从公开密钥p驱动秘密密钥s是可能的。但是由于这样的事实而变得特别的复杂，具体地说，这样的事实是：选择基于复杂性理论的问题的算法。这些算法也被说成“单行陷门(one-way trapdoor)”函数。非对称编码方法的著名代表是Diffie-Hellman法[6]。这种方法特别适用于密钥交换(Diffie-Hellman密钥协定，指数密钥交换)。

术语编码意味着加密方法V(x，k)的普通应用。其中规定的输入值x(也称作纯文本)借助秘密k(密钥)转换成编码的文本c：＝V(x，k)。可以使用c和k的知识、借助逆解码方法重建纯文本x。术语编码也被理解为具有无任何逆、可高效计算的解码方法的属性的“单行编码”。加密单行函数或加密散列函数就是这种单行编码法的实例，例如算法SHA-1，参见[4]。

在实际应用中存在这样一个问题：必须保证用于验证电子签名的公开密钥真正是被假定为所传输的数据的发送人的公开密钥(保证发送人的真实性)。因此该公开密钥不需要秘密保持，但必须真实。存在公知的、以高开销保证该真实性可靠的机制(参见[3])。这样的机制是设立享有可信赖性的、被称为信任中心机制，并且以保证普通真实性作为其辅助。但是这种信任中心的设立和这种信任中心的密钥交换非常复杂。例如，在密钥分配期间必须保证它是接收人而不是接收该密钥或这些密钥的潜在攻击者。设立和操作该信任中心的成本相当高。

发明内容

本发明的目的是保证真实性，不存在对认证实体或信任中心投入单独开销。

为了实现该目的，本发明提供了用第二实体鉴别第一实体的方法，在该方法中第一实体在(公开地)规定的已知值g和只对第一实体已知的值x上执行运算A(x，g)。借助第一和第二实体已知的第一密钥编码第一个运算的结果。借助第一密钥编码的第一运算的结果由第一实体传输给第二实体。

为了在其它实体的眼中鉴别一个实体，使用对称方法的情况特别有优势。这种鉴别不用设立单独的认证实体或信任中心就能实现。

一个巧妙之处在于第一运算A(x，g)是非对称的加密方法。特别地，第一运算可以在任何有限和循环群G上执行。

另一个巧妙之处在于第一运算A(x，g)是Diffie-Hellman函数G(g^x)。作为代替，第一运算也可以是RSA函数x^g。

进展在于这种群G为下列群之一：

a)有限体(finite body)F_q的乘法群F_q ^*，特别具有：

指定的素数p的整数模的乘法群Z_p ^*；

在特征2的有限体F_t之上具有t＝2^m的乘法群F_t ^*；

以n作为复合整数的单位群Z_n ^*；

b)在有限体上的椭圆曲线上的点群；以及

c)有限体上的超椭圆曲线的Jacobi变形。

另外的进展在于第一运算的结果是用来授权第一实体对第二实体承担服务的第二密钥。

额外的巧妙之处在于第二密钥为会话密钥或与应用有关的授权。

依靠第二实体用只有它知道的秘密数y执行运算G(g^y)的事实，关于G(g^xy)确定第二密钥也是一个进展。这个第二运算的结果用第一密钥编码并传输到第一实体。

额外的一进展在于使用Diffie-Hellman法生成第二密钥。

另一个巧妙之处在于借助单行函数特别是加密单行函数、用第一密钥执行编码。单行函数的特别之处在于在一个方向上容易计算，但是其逆只能以很大的开销执行，以至于在实践中忽视了这种可能性。这样的单行函数的实例是从输入A生成输出B的加密散列函数。即使在已知散列函数的算法的情况下，输出B也不能用于推断输入A。

另一进展是：用第一密钥执行的编码对应与对称编码方法。

最后，传输的数据是机密数据为一进展。

此外，为了达到该目的，详细说明一个鉴别装置，在该装置中配备以这样的方式设立的处理单元

a)在规定的已知值g和只对第一实体已知的值x上执行第一运算A(x，g)；

b)第一个运算的结果可以借助第一和第二实体已知的第一密钥编码；

c)用第一密钥所编码的第一运算的结果可以由第一实体传输到第二实体；并且

d)第一运算的结果由第二实体用第一密钥解码，从而可以鉴别第一实体。

这种装置特别适合执行根据上述本发明或其进展之一的方法。

附图说明

下面借助附图说明和解释本发明的示范型实施例。

其中：

图1示出关于在每种情况下其各自真实性都被保证的两个实体之间的公用密钥的协定的示意图；

图2示出按照图1和使用DES算法的示意图；和

图3示出处理单元。

具体实施方式

图1是关于在每种情况下其各自真实性都被保证的两个实体之间的公用密钥的协定的示意图。实体A 101在体“模p-1”(参见框103)中选择随机数x。现在实体101给实体102发送具有下列格式的消息104：

g，p，T_A，ID_A，g^xmod p，H(g^x mod p，PW，ID_A，T_A，...)，

其中

x 表示实体A 101的秘密随机值，

y 表示实体B 102的秘密随机值，

g 表示根据Diffie-Hellman法的发生器

p 表示适用于Diffie-Hellman法的素数，

T_A 表示实体A在该消息生成和/或传输期间的时间标记，

T_B 表示实体B在该消息生成和/或传输期间的时间标记，

ID_A 表示实体A的身份特征，

ID_B 表示实体B的身份特征，

g^x mod p 表示实体A的公开Diffie-Hellman密钥，

g^y mod p 表示实体B的公开Diffie-Hellman密钥，

PW 表示示体A和B之间共享的秘密(口令：“shared secret”)，

H(M) 表示参数M之上的加密单行函数(散列函数)，和

KEY 表示两个实体A和B公用的会话密钥。

如果这个消息到达实体102，那里(参见框105)随机数y从体“模p-1”选取，并且公用密钥在框106中取作

KEY＝g^xy mod p。

第二实体102以格式

T_B，ID_B，g^y mod p，H(g^y mod p，PW，ID_B，T_B，...)，传输消息107给第一实体101。第一实体101随即将在步骤108中执行运算

KEY＝g^xy mod p，

这同样产生公用密钥。

在这种情况下可以明了地指出，例如已经选择作为很多可能性之一作为体“模p-1”。此外，在每种情况下，消息104和107将被认作很多可能性之一。特别，该消息中的地址字段依赖于应用和/或所用的传输协议。

在图1中使用加密单行散列函数H。传输这样的单行散列函数的实例是SHA-1算法(比较[4])。在图2中图解了例如DES算法[5]的对称编码法替代单行散列函数H的使用。图2中的框101、102、103、105、106和108与图1的相同。由第一实体101传输给第二实体102的消息201具有格式

g，p，T_A，ID_A，g^x mod p，ENCPW(g^x mod p，PW，ID_A，T_A，...)，

其中

ENC_PW 表示用于以密钥PW编码参数M的对称方法。

在反方向上，实体102发送给图2中的实体101具有下列格式

T_B，ID_B，g^y mod p，ENC_PW(g^y mod p，PW，ID_B，T_B，...)，的信息202。

这里可以特别注意到：在每一种情况下，为了关于第二实体202鉴别第一实体101，一个消息(图1中的消息104和图2中的消息201)就足够了。不管第二实体102，例如在象英特网这样的网络链接承担的服务，也必须鉴别的事实，只要鉴别第一实体101就足够了。这已经在各自的第一消息104和201传输之后获得。特别地，如果第一实体101拨入第二实体102中，则通常假设这个第二实体102也是正确的实体。相反，第二实体102必须能够假设主叫用户(第一实体101)也是正在输出的一个用户。因此在从第一实体101至第二实体102这个方向上检查真实性是重要的。

图3图解了处理器单元PRZE。处理器单元PRZE包括处理器CPU、存储器SPE和输入/输出接口IOS，该接口以各种方式经由接口IFC使用。经由图形接口，在监视器MON上显示输出和/或将输出输出到打印机PRT。输入经由鼠标MAS或键盘TAST执行。处理器单元PRZE也具有一个数据总线BUS，它保证存储器MEM、处理器CPU和输入/输出接口IOS的连接。此外，附加元件，例如附加存储器、数据存储器(硬盘)或扫描仪，可以连在数据总线BUS上。

参考文献表：

[1]Christoph Ruland：Informationssicherheit in Datennetzen[数据网络中的信息保密]，DATACOM-Verlag，Bergheim 1993，ISBN 3-89238-081-3，第42-46页。

[2]Christoph Ruland：Informationssicherheit in Datennetzen[数据网络中的信息保密]，DATACOM-Verlag，Bergheim 1993，ISBN 3-89238-081-3，第73-85页。

[3]Christoph Ruland：Informatiohssicherheit in Datennetzen[数据网络中的信息保密]，DATACOM-Verlag，Bergheim 1993，ISBN 3-89238-081-3，第101-117页。

[4]NIST，FIPS PUB 180-1：安全散列标准，1995年4月；http：//csrc.nist.gov/fips/fip 180-1.ps

[5]NIST，FIPS PUB 81：运算的DES模式，1980年12月；http：//csrc.nist.gov/fips/fip 180-1.ps

[6]A.Menezes，P.V.Oorschot，S.Vanstone：使用加密手册；CRC出版社1996，ISBN 0-8493-8523-7；第12.6章(第515-524页)。

Claims

1.一种鉴别方法，

a)其中，第一实体(101)在规定的已知值g和只对该第一实体已知的值x上执行第一运算A(x，g)以获得第一运算的结果；

b)其中，借助第一和第二实体(102)已知的第一密钥(pw)编码该第一个运算的结果，以获得该第一运算的编码的结果；

c)其中，由第一实体传输给第二实体一消息(104)，其中，该消息包括该第一运算的编码的结果和该第一运算的未编码的结果；和

d)其中，该第一运算的编码的结果由第二实体(102)用第一密钥(pw)解码，从而仅用该消息(104)鉴别第一实体。

2.如权利要求1所述的方法，其中，所述第一运算A(x，g)是非对称的加密方法。

3.如权利要求1或2所述的方法，其中，所述第一运算A(x，g)

a)是Diffie-Hellman函数G(g^x)，其中，G()是任意有限循环群G；

b)是RSA函数x^g。

4.如权利要求1所述的方法，其中，第一运算在群G上执行，这种群G为下列群之一：

a)有限体F_q的乘法群F_q ^*，特别是具有：

指定的素数p的整数模的乘法群Z_p ^*；

在特征2的有限体F_t之上具有t＝2^m的乘法群F_t ^*；

以n作为复合整数的单位群Z_n ^*；

b)在有限体上的椭圆曲线上的点群；以及

c)有限体上的超椭圆曲线的Jacobi变形。

5.如权利要求1所述的方法，其中，所述第一运算的结果是用来授权第一实体对第二实体承担服务的第二密钥。

6.如权利要求1所述的方法，

其中，所述第二密钥为会话密钥或与应用有关的授权。

7.如权利要求5所述的方法，其中，依靠第二实体(102)用只有它知道的秘密数y执行第二运算G(g^y)的事实，同G(g^xy)联系起来确定第二密钥，用第一密钥对这个第二运算的结果进行编码并将其以消息(107)的形式传输到第一实体。

8.如权利要求7所述的方法，其中，所述消息还包括非编码形式的所述第二运算的结果、一标识(ID_B)或一时间标记(T_B)。

9.如权利要求1所述的方法，其中，使用Diffie-Hellman法生成第二密钥。

10.如权利要求1所述的方法，其中，借助单行函数特别是加密单行函数、用第一密钥执行所述编码。

11.如权利要求1所述的方法，其中，借助对称编码方法用第一密钥执行所述编码。

12.如权利要求1所述的方法，其中，传输的数据是机密数据。

13.如权利要求1所述的方法，其中，所述消息还包括未编码形式和编码形式的实体标识(ID_A)或一时间标记(T_A)。

14.一种鉴别装置，其中，配备了一处理器单元(CPU)，其以这样的方式设立：

a)由第一实体(101)在规定的已知值g和只对该第一实体已知的值x上执行第一运算A(x，g)，以获得第一运算的结果；

b)对该第一个运算的结果借助该第一实体和第二实体(102)已知的第一密钥(pw)编码，以获得该第一运算的编码的结果；

c)由第一实体(101)传输到第二实体(102)一消息(104)，其中，该消息包括该第一运算的编码的结果和该第一运算的未编码的结果；并且

d)该第一运算的编码的结果由第二实体(102)用第一密钥(pw)解码，从而可以仅用消息(104)鉴别该第一实体。