CN117394995A - 一种无证书的密钥协商方法、系统、设备及介质 - Google Patents

Abstract

本发明公开了一种无证书的密钥协商方法、系统、设备及存储介质。该方法包括：密钥生成中心分别与第一用户协同生成第一用户私钥和第一声明公钥，与第二用户协同生成第二用户私钥和第二声明公钥；所述第一用户和所述第二用户分别根据从所述密钥生成中心获取的对方的第二/第一声明公钥确定对方的第二/第一实际公钥；所述第一用户和所述第二用户分别根据对方的第二/第一实际公钥和自己的第一用户私钥/第二用户私钥进行无证书密钥协商，得到协商会话密钥。本发明实施例可以在保证协商所需公钥足够安全的情况下，提高用户之间的通信效率。

Description

一种无证书的密钥协商方法、系统、设备及介质

技术领域

本发明涉及密码协议技术领域，尤其涉及一种无证书的密钥协商方法、系统、设备及介质。

背景技术

1976年，由Diffie和Hellman提出的公钥密码学(publickeycryptography)的概念引起了密码学历史上的一次巨大变革，开创了密码学和网络信息安全发展的新纪元。公钥密码学能够很好地解决经典的对称密码体制所固有的密钥管理困难以及不能为不可否认性(non-repudiation)提供理想的解决方法等问题，不仅使对称密码体制的使用更加方便和可靠，而且使密码学在网络和信息安全中发挥的作用更加广泛和突出。公钥密码体制自提出开始就受到了广泛关注，并被应用到政治、经济、军事等诸多领域，为各类信息系统的安全性发挥着不可或缺的保障作用。

在传统公钥密码系统中，使用公钥基础设施PKI(publickeyinfrastructure)签发的公钥证书来保证用户公钥的真实性和有效性。证书中通常包含用户的身份信息、公钥和其他必要的信息，如所使用的加密和签名算法、证书的有效期等。PKI维护着一个动态变化的证书库(或叫证书目录)，该证书库向网络中的所有用户开放。用户进行通信时，通常需要从PKI中获取对方的公钥证书或者将自己的公钥证书随同消息一同发送给对方。公钥证书较好地解决了公钥的真实性和有效性问题，使得PKI能够为网络用户提供较好的安全服务。但是，公钥证书库的管理和维护需要巨大的计算、通信和存储代价。

在传统公钥密码系统中，CA(CertificateAuthority)，或证书权威中心，是一种基于数字证书的高度中心化的数字身份认证体系。作为互联网通讯中标志通讯各方身份信息的标识，CA数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构—CA机构发行，通过公私钥密码体系验证机构签名。证书中通常包含用户的身份信息、公钥和其他必要的信息，如所使用的加密和签名算法、证书的有效期等。CA的权威性是它的核心优势，但随着数字化转型的不断深入，越来越多的数字化场景出现，CA体系也逐渐暴露出了它的一些弱点。一是在便捷性方面，CA证书的申请和保管都意味着业务流程的复杂化，在一些CA认证场景，往往会使用事件型证书来代替身份证书来提升便捷度。事件型证书由机构托管用户私钥，签名本身不能严格体现用户意愿，存在法律风险和滥用风险。二是在安全性上，中心化的数字证书系统存在单点失效风险，数据安全高度依赖CA中心机构的安全防护能力。

无论是PKI还是CA，其所代表的有证书密钥方案，均难以适应当前对通信效率要求比较高的物联网应用场景。

发明内容

本发明提供了一种无证书的密钥协商方法、系统、设备及介质，以在保证协商所需公钥足够安全的情况下，提高用户之间的通信效率。

根据本发明的一方面，提供了一种无证书的密钥协商方法，包括：

密钥生成中心分别与第一用户协同生成第一用户私钥和第一声明公钥，与第二用户协同生成第二用户私钥和第二声明公钥；

所述第一用户和所述第二用户分别根据从所述密钥生成中心获取的对方的第二/第一声明公钥确定对方的第二/第一实际公钥；

所述第一用户和所述第二用户分别根据对方的第二/第一实际公钥和自己的第一用户私钥/第二用户私钥进行无证书密钥协商，得到协商会话密钥。

根据本发明的另一方面，提供了一种无证书的密钥协商系统，包括密钥生成中心、第一用户和第二用户；所述密钥协商系统用于执行本发明任意实施例所提供的无证书的密钥协商方法。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的无证书的密钥协商方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的无证书的密钥协商方法。

本发明实施例通过利用密钥生成中心生成协商双方的声明公钥，并告知双方，使协商双方在不依靠公钥证书背书的情况下，自己计算出对应的实际密钥，由于无需使用公钥证书也能保证公钥的安全性，提高了密钥协商时的通信效率和协商效率。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明一实施例提供的一种无证书的密钥协商方法的流程图；

图2是根据本发明又一实施例提供的一种无证书的密钥协商方法的流程图；

图3是根据本发明又一实施例提供的一种无证书的密钥协商系统的结构示意图；

图4是实现本发明实施例的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在介绍本发明的实施例之前，对现有技术的具体问题所在，以及本发明技术效果的实现原理做出如下说明：

首先，在无证书公钥密码方案中，设备之间通过协商密钥，就可以建立安全通信，这种方式减少了证书的管理，大大简化了安全通信的流程，从而降低了系统的复杂度，提高了通信效率。相反的，在传统的证书公钥密码方案中，每个设备都需要拥有独立的证书和私钥，并且需要经过证书确认和密钥配对等多个繁琐的步骤才能进行安全通信。

其次，无证书公钥密码方案通过基于Diffie-Hellman密钥协商算法的安全通信方式，可以大大提高通信速度。在物联网应用场景下，往往需要实现大量的设备之间的安全通信。如果采用传统的证书公钥密码方案，需要较长时间进行证书确认和密钥配对等操作。而无证书公钥密码方案的协商密钥的花费时间会更短，可以快速建立安全通信，提高通信速度。同时，本密钥协商方案建立的安全通信具有随机性、实时性和低耗能等特点，能够适应物联网无线传输中功耗较低、带宽较窄等变化剧烈的环境需求。

最后，本密钥协商方案不需要任何可信第三方的介入，减少了中间人攻击等诸多安全问题，并且在安全性方面与传统的有证书公钥密码方案不相上下。基于Diffie-Hellman的密钥协商算法，可以保证通信双方的密钥只在通信时才存在于内存中，保护密钥安全性。

图1为本发明一实施例提供的一种无证书的密钥协商方法的流程图，本实施例可适用于双方基于Diffie-Hellman密钥协商算法开展安全通信方式，可以在不预先传输密码的情况下，协商密钥并建立安全通信，提高了通信效率和安全性，减少证书管理、提高通信速度、降低系统复杂的情况，该方法可以由无证书的密钥协商系统来执行。如图1所示，该方法包括：

S110、密钥生成中心分别与第一用户协同生成第一用户私钥和第一声明公钥，与第二用户协同生成第二用户私钥和第二声明公钥。

其中，本发明在计算过程的中使用的相关信息和规范如下，这些相关信息和规范在密钥生成中心(KGC)、第一用户和第二用户运算前均已统一明确：

(1)机制参数：椭圆曲线系统参数包括有限域Fq的规模q(当q＝2m时，还包括元素表示法的标识和约化多项式)；定义椭圆曲线E(Fq)的方程的两个元素a、b∈Fq；E(Fq)上的基点G＝(x_G,y_G)(G≠O)，其中x_G和y_G是Fq中的两个元素；G的阶n及其他可选项(如n的余因子等)。椭圆曲线系统参数及其验证应符合GB/T32918.1-2016第5章的规定。

(2)辅助函数：本部分规定的无证书公钥机制中涉及以下辅助函数：密码杂凑算法、密钥派生函数、随机数发生器、数字签名生成算法SIGN和数字签名验证算法VERIFY。密码杂凑算法：本部分规定使用国家密码管理局批准的密码杂凑算法,如杂凑密码算法。密钥派生函数：本部分规定使用的密钥派生函数遵循GB/T32918.4-2016第5章规定的密钥派生函数定义。随机数发生器：本部分规定使用国家密码管理局批准的随机数发生器。数字签名生成和验证算法：本部分规定使用的数字签名生成算法SIGN和数字签名验证算法VERIFY为自主优化设计的算法机制。

(3)用户标识信息：用户A具有长度为ENTL_A比特的可辨别标识ID_A，记ENTL_A是由整数ENTL_A转换而成的两个字节。

在本部分规定的密钥生成机制的KGC、数字签名机制的签名者和验证者的发送者都需要用密码杂凑算法求得第一用户用户的杂凑值H_A。按GB/T32918.1-2016中4.2.6和4.2.5给出的方法，将椭圆曲线方程参数a、b、G的坐标x_G、y_G和P_pub的坐标x_Pub、y_Pub的数据类型转换为比特串，计算H_A＝HASH(ENTL_A‖ID_A‖a‖b‖x_G‖y_G‖x_Pub‖y_Pub)。

本部分规范的密钥生成机制是基于《H.PetersenandP.Horster.Self-certifiedKey–ConceptsandApplications.InProc.ofCommunicationsandMultimediaSecurity,pp.102–116IFIPAdvancesinInformationandCommunicationTechnology,Springer,1997》中的方法并结合GB/T32918.2-2016第5.5节规定的用户A的杂凑值Z_A的计算方法形成的。无证书的数字签名机制分别基于标准的基础数字签名算法(SIGN和VERIFY)构造。

具体的，密钥生产中心产生随机数ms∈[1,n-1]作为系统主私钥。计算系统主公钥P_pub＝[ms]G。KGC随机选取的长度至少为256的比特串ks。

第一用户(也称用户A)产生随机数，并自行根据随机数计算第一部分公钥，并将自己的第一用户标识和第一部分公钥提交给密钥生成中心。

密钥生成中心根据第一用户标识和第一部分公钥，计算第一用户的第一声明公钥和第一部分私钥，并下发给所述第一用户；

所述第一用户根据所述第一声明公钥和第一部分私钥生成第一实际公钥和第一用户私钥。密钥生成中心仅知道第一用户的第一声明密钥，不知道其第一用户私钥。

基于相同的流程，第二用户(也称用户B)也与密钥生成中心协同生成第二用户私钥和第二声明公钥。同样的，密钥生成中心仅知道第二用户的第二声明密钥，不知道其第二用户私钥。

S120、所述第一用户和所述第二用户分别根据从所述密钥生成中心获取的对方的第二/第一声明公钥确定对方的第二/第一实际公钥。

其中，实际公钥可用来计算协商密钥，声明公钥是实际公钥的一种保护手段，避免任何用户不经KGC允许就可以计算出对方的实际公钥。

具体的，当第一用户和第二用户要进行密钥协商时，第一用户首先从KGC获取第二用户的第二声明密钥和第二用户标识，并根据第二声明密钥和第二用户标识计算出第二用户的第二实际密钥。同时，第二用户首先从KGC获取第一用户的第一声明密钥和第一用户标识，并根据第一声明密钥和第一用户标识计算出第一用户的第一实际密钥。

S130、所述第一用户和所述第二用户分别根据对方的第二/第一实际公钥和自己的第一用户私钥/第二用户私钥进行无证书密钥协商，得到协商会话密钥。

具体的，密钥协商的原理决定了协商参与双方(即本发明中的第一用户和第二用户)都需要获取对方公开的公钥，用来计算双方都可以使用的协商密钥。由于公开的公钥容易被第三方恶意篡改，因此传统的密钥协商方案中，对方公钥的安全性需要有相应的公钥证书来背书，只有双方根据公钥证书确保对方公钥足够安全后，后续才会进行密钥协商，并计算出协商会话密钥。

而在本申请中，用于计算协商会话密钥的公钥是实际公钥，实际公钥是用户自己计算出的，不是对方发送的，不存在被第三方恶意篡改的可能性。至于计算实际公钥所需的声明公钥，是用户自己从密钥生成中心获取的，也不存在被第三方恶意篡改的可能性。因此，本申请无需使用公钥证书对公钥进行背书，也能保证公钥的安全性，实现无证书的密钥协商。

本发明实施例通过利用密钥生成中心生成协商双方的声明公钥，并告知双方，使协商双方在不依靠公钥证书背书的情况下，自己计算出对应的实际密钥，由于无需使用公钥证书也能保证公钥的安全性，提高了密钥协商时的通信效率和协商效率。

可选的，所述密钥生成中心与第一用户协同生成第一用户私钥和第一声明公钥包括：

第一用户将第一用户标识和第一部分公钥发送至所述密钥生成中心；

所述密钥生成中心根据第一用户标识和所述第一部分公钥按照随机算法生成第一声明公钥和第一部分私钥，并将所述第一声明公钥和第一部分私钥下发给所述第一用户；

所述第一用户根据所述第一声明公钥和第一部分私钥生成第一实际公钥和第一用户私钥。

具体的，第一用户将将第一用户标识ID_A和第一部分公钥U_A提交给KGC，KGC计算H_A＝HASH(ENTL_A‖ID_A‖a‖b‖x_G‖y_G‖x_Pub‖y_Pub)，并根据H_A、KGC生成的随机数w₁,来计算出第一用户的第一声明公钥W_A1以及其第一部分私钥t_A1。第一用户自行根据第一部分私钥t_A1和第一随机数d'_A计算得到第一用户私钥d_A1。

可选的，所述根据所述第一声明公钥和第一部分私钥生成第一实际公钥和第一用户私钥包括：

根据所述第一部分私钥和第一随机数计算得到第一用户私钥；

将第一用户标识和系统主公钥的坐标值进行拼接得到第一拼接值，并将所述第一拼接值输入至密码杂凑算法中生成第一参数；

根据所述第一参数、第一声明公钥和系统主公钥生成第一实际公钥；

相应的，所述方法还包括：

根据所述第一用户私钥和椭圆曲线系统参数中的椭圆曲线上基点G计算得到第一验证公钥；

若所述第一验证公钥和所述第一实际公钥相同，则确定所述第一实际公钥有效。

具体的，基于秘密参数K_A，用户A和KGC一起协同生成第一用户的密钥对。以A表示第一用户，A1、A2、…表示由A执行的运算步骤，K1、K2、…表示由KGC执行的运算步骤，对第一用户私钥和第一声明公钥的运算过程进行如下说明：

A1：用户A产生随机数d'_A∈[1,n-1]；

A2：用户A计算第一部分公钥U_A＝[d'_A]G，并将第一用户标识ID_A和U_A提交KGC；

K1：KGC计算H_A＝HASH(ENTL_A‖ID_A‖a‖b‖x_G‖y_G‖x_Pub‖y_Pub)；

K2：KGC产生随机数w₁∈[1,n-1]；

K3：KGC计算第一声明公钥W_A1＝[w₁]G+U_A；

K4：KGC按GB/T32918.1-2016中4.2.6和4.2.5给出的方法将W_A1的坐标x_WA1、y_WA1的数据类型转换为比特串，计算λ₁＝HASH(x_WA1‖y_WA1‖H_A||K_A||1)modn，按GB/T32918.1-2016中4.2.4和4.2.3给出的方法将λ₁的数据类型转换为整数λ₁；

K5：KGC计算第一部分私钥t_A1＝(w₁+λ₁*ms)modn，并KGC向用户A返回t_A1、W_A1；

A3：用户A计算第一用户私钥d_A1＝(t_A1+d'_A)modn；

A4：如果d_A1＝0，则返回A1，重选选个随机数继续算；否则输出(d_A1,W_A1)。

可选地，步骤A1中用户A设置d'_A＝0，步骤A2中用户A设置U_A＝O。

可选地，步骤K2中KGC按GB/T32918.1-2016中4.2.6和4.2.5给出的方法将U_A的坐标x_U、y_U的数据类型转换为比特串，计算产生其中KDF的输出需按GB/T32918.1-2016中4.2.4和4.2.3给出的方法转换为整数再进行模运算，若w＝0则运算终止。当U_A＝O时，x_U、y_U均为空串。

注3：(d_A1,W_A1)对应签名密钥。秘密参数K_A为某个密钥生存周期时所对应的秘密值。该秘密值由KGC采用HASH链的方式生成，即K_i＝HASH(K_i-1,i-1)。该控制方式确保，系统具有用户撤销功能，但其它用户可验证用户以前的签名值。KA为某个密钥生存周期时所对应的秘密值。该秘密值由KGC采用HASH链的方式生成，即Ki＝HASH(Ki-1,i-1)。该控制方式确保，系统具有用户撤销功能，但其它用户可验证用户以前的签名值。

为了验证生成的密钥对(d_A1,W_A1)的正确性，在校验环节中，用户A应实现以下运算步骤，来对该密钥进行校验：

A1：计算H_A＝HASH(ENTL_A‖ID_A‖a‖b‖x_G‖y_G‖x_Pub‖y_Pub)；

A2：按GB/T32918.1-2016中4.2.6和4.2.5给出的方法将W_A1的坐标x_WA1、y_WA1的数据类型转换为比特串，计算λ₁＝HASH(x_WA1‖y_WA1‖H_A||K_A||j)modn(j＝1or2)，按GB/T32918.1-2016中4.2.4和4.2.3给出的方法将λ₁的数据类型转换为整数λ₁；

A3：计算第一实际公钥P_A1＝W_A1+[λ₁]P_pub；

A4：计算第一验证公钥P'_A1＝[d_A1]G；

A5：检查P_A1＝P'_A1是否成立，若成立则验证通过；否则验证不通过。

可选的，所述第二用户根据从所述密钥生成中心获取的对方第一声明公钥确定对方的第一实际公钥包括：

根据第一用户的第一用户标识从所述密钥生成中心获取对方第一声明公钥；

根据所述第一声明公钥、第一用户标识、秘密参数、系统主公钥确定对方的第一实际公钥。

具体的，用户B以下述运算步骤，来根据从KGC获取到的第一声明公钥W_A1计算出第一实际公钥P_A1：

B1：计算H_A＝HASH(ENTL_A‖ID_A‖a‖b‖x_G‖y_G‖x_Pub‖y_Pub)；

B2：按GB/T32918.1-2016中4.2.6和4.2.5给出的方法将W_A1的坐标x_WA1、y_WA1的数据类型转换为比特串，计算λ₁＝HASH(x_WA1‖y_WA1‖H_A||K_A||j)modn(j＝1or2)，按GB/T32918.1-2016中4.2.4和4.2.3给出的方法将λ₁的数据类型转换为整数λ₁；

B3：计算第一实际公钥P_A1＝W_A1+[λ₁]P_pub。

需要说明的，第二用户与KGC协同生成第二用户私钥和第二声明公钥，自行计算/校验第二实际公钥的过程，与上述运算步骤相同，仅是在运算中使用的数据有一定出入，此处不再赘述。同理，第一用户计算第二用户私钥的过程，也不再赘述。

图2为本发明又一实施例提供的一种无证书的密钥协商方法的流程图，本实施例在上述实施例的基础上进行了优化改进。如图2所示，该方法包括：

S210、密钥生成中心分别与第一用户协同生成第一用户私钥和第一声明公钥，与第二用户协同生成第二用户私钥和第二声明公钥；

S220、所述第一用户和所述第二用户分别根据从所述密钥生成中心获取的对方的第二/第一声明公钥确定对方的第二/第一实际公钥；

S230、所述第一用户将第一椭圆曲线点发送给所述第二用户；

S240、所述第二用户在确定所述第一椭圆曲线点满足椭圆曲线方程时，根据所述第一椭圆曲线点、第二椭圆曲线点、第二用户私钥和第一实际公钥生成协商会话密钥，并向所述第一用户发送所述第二椭圆曲线点；

S250、所述第一用户在确定所述第二椭圆曲线点满足椭圆曲线方程时，根据第二椭圆曲线点、第一椭圆曲线点、第一用户私钥和第二实际公钥生成协商会话密钥。

具体的，第一用户和第二用户分别自行选取第一随机数和第二随机数，并生成第一椭圆曲线点和第二椭圆曲线点发送给对方，以配合之前已运算得到的私钥和公钥，来计算协商会话密钥。

可选的，所述根据所述第一椭圆曲线点、第二椭圆曲线点、第二用户私钥和第一实际公钥生成协商会话密钥包括：

分别从第一椭圆曲线点和第二椭圆曲线点中取出第一阈元素和第二阈元素；

将所述第一阈元素和第二阈元素转换为第一整数和第二整数；

根据所述第一整数、第二整数、第一椭圆曲线点、第二椭圆曲线点对应的第二随机数、第二用户私钥和第一实际公钥生成协商会话密钥。

其中，所述协商会话密钥通过下述公式计算生成：

Q₂＝Q₁+R_A

Q₃＝[u_B]Q3

Key_B＝HASH(ENTL_A‖Q₃‖ID_A‖ID_B‖x₁‖x₂)

其中，r_B为第二椭圆曲线点对应的第二随机数，为第二整数，/>为第一整数，d_B为第二用户私钥，n为椭圆曲线系统参数中椭圆曲线上基点G的阶数，P_A为第一实际公钥；第一用户具有长度为ENTL_A比特的第一用户标识ID_A，ENTL_A为由整数ENTL_A转换而成的两个字节，ID_B为第二用户的用户标识，x₁为第一椭圆曲线点对应的横坐标；x₂为第二椭圆曲线点对应的横坐标，key_B为协商会话密钥。

具体的，设用户A和用户B协商获得数据的长度为KLEN比特，用户A为协商发起方，用户B为协商响应方。

用户A和B双方为了获得相同的协商会话密钥，应实现如下运算步骤：

记

用户A：

A1：用随机数发生器产生随机第一随机数r_A∈[1，n-1]；

A2：计算第一椭圆曲线点R_A＝[r_A]G＝(x₁，y₁)；

A3：将R_A发送给用户B；

用户B：

B1：用随机数发生器产生第二随机数r_B∈[1，n-1]；

B2：计算第二椭圆曲线点R_B＝[r_B]G＝(x₂，y₂)；

B3：从R_B中取出第二域元素x₂，按GM/T0003.1-20124.2.8给出的方法将x₂的数据类型转换为整数,计算第二整数

B4：验证R_A是否满足椭圆曲线方程,若不满足则协商失败；否则从R_A中取出第一域元素x₁，按GM/T0003.1-20124.2.8给出的方法将x₁的数据类型转换为整数，计算第一整数

B5：计算

B6：计算倍点

B7：计算加法Q₂＝Q₁+R_A；

B8：计算倍点Q₃＝[u_B]Q₂；

B9：计算会话密钥key_B＝HASH(ENTL_A‖Q₃‖ID_A‖ID_B‖x₁‖x₂)；

用户A：

A4：从R_A中取出域元素x₁,按GM/T0003.1-20124.2.8给出的方法将x₁的数据类型转换为整数,计算

A5：验证R_B是否满足椭圆曲线方程，若不满足则协商失败；否则从R_B中取出域元素x₂，按GM/T0003.1-20124.2.8给出的方法将x₂的数据类型转换为整数，计算

A6：计算

A7：计算倍点

A8：计算加法Q₂＝Q₁+R_B；

A9：计算倍点Q₃＝[u_A]Q₂；

A10：计算会话密钥key_A＝HASH(ENTL_A‖Q₃‖ID_A‖ID_B‖x₁‖x₂)；

注：在上述过程中，可基于预制密钥方案如BLOM密钥基方案，构造端端密钥，在最后导出密钥时融入预制密钥，可形成抗量子特性的协商方案。

本发明实施例通过实际公钥而非是声明公钥来计算会话协商密钥，在无证书的应用场景下，提高会话协商密钥的安全性。

图3为本发明又一实施例提供的一种无证书的密钥协商系统的结构示意图。如图3所示，该系统包括密钥生成中心31、第一用户32和第二用户33；所述密钥协商系统用于执行本发明任意实施例所所述的无证书的密钥协商方法。

图4示出了可以用来实施本发明的实施例的电子设备40的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图4所示，电子设备40包括至少一个处理器41，以及与至少一个处理器41通信连接的存储器，如只读存储器(ROM)42、随机访问存储器(RAM)43等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器41可以根据存储在只读存储器(ROM)42中的计算机程序或者从存储单元48加载到随机访问存储器(RAM)43中的计算机程序，来执行各种适当的动作和处理。在RAM43中，还可存储电子设备40操作所需的各种程序和数据。处理器41、ROM42以及RAM43通过总线44彼此相连。输入/输出(I/O)接口45也连接至总线44。

电子设备40中的多个部件连接至I/O接口45，包括：输入单元46，例如键盘、鼠标等；输出单元47，例如各种类型的显示器、扬声器等；存储单元48，例如磁盘、光盘等；以及通信单元49，例如网卡、调制解调器、无线通信收发机等。通信单元49允许电子设备40通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器41可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器41的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器41执行上文所描述的各个方法和处理，例如无证书的密钥协商方法。

在一些实施例中，无证书的密钥协商方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元48。在一些实施例中，计算机程序的部分或者全部可以经由ROM42和/或通信单元49而被载入和/或安装到电子设备40上。当计算机程序加载到RAM43并由处理器41执行时，可以执行上文描述的无证书的密钥协商方法的一个或多个步骤。备选地，在其他实施例中，处理器41可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行无证书的密钥协商方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims (10)

1.一种无证书的密钥协商方法，其特征在于，包括：

密钥生成中心分别与第一用户协同生成第一用户私钥和第一声明公钥，与第二用户协同生成第二用户私钥和第二声明公钥；

所述第一用户和所述第二用户分别根据从所述密钥生成中心获取的对方的第二/第一声明公钥确定对方的第二/第一实际公钥；

所述第一用户和所述第二用户分别根据对方的第二/第一实际公钥和自己的第一用户私钥/第二用户私钥进行无证书密钥协商，得到协商会话密钥。

2.根据权利要求1所述的方法，其特征在于，所述第一用户和所述第二用户分别根据对方的第二/第一实际公钥和自己的第一用户私钥/第二用户私钥进行无证书密钥协商，得到协商会话密钥包括：

所述第一用户将第一椭圆曲线点发送给所述第二用户；

所述第二用户在确定所述第一椭圆曲线点满足椭圆曲线方程时，根据所述第一椭圆曲线点、第二椭圆曲线点、第二用户私钥和第一实际公钥生成协商会话密钥，并向所述第一用户发送所述第二椭圆曲线点；

所述第一用户在确定所述第二椭圆曲线点满足椭圆曲线方程时，根据第二椭圆曲线点、第一椭圆曲线点、第一用户私钥和第二实际公钥生成协商会话密钥。

3.根据权利要求2所述的方法，其特征在于，所述根据所述第一椭圆曲线点、第二椭圆曲线点、第二用户私钥和第一实际公钥生成协商会话密钥包括：

分别从第一椭圆曲线点和第二椭圆曲线点中取出第一阈元素和第二阈元素；

将所述第一阈元素和第二阈元素转换为第一整数和第二整数；

根据所述第一整数、第二整数、第一椭圆曲线点、第二椭圆曲线点对应的第二随机数、第二用户私钥和第一实际公钥生成协商会话密钥。

4.根据权利要求3所述的方法，其特征在于，所述协商会话密钥通过下述公式计算生成：

Q₂＝Q₁+R_A

Q₃＝[u_B]Q3

Key_B＝HASH(ENTL_A‖Q₃‖ID_A‖ID_B‖x₁‖x₂)

其中，r_B为第二椭圆曲线点对应的第二随机数，为第二整数，/>为第一整数，d_B为第二用户私钥，n为椭圆曲线系统参数中椭圆曲线上基点G的阶数，P_A为第一实际公钥；第一用户具有长度为ENTL_A比特的第一用户标识ID_A，ENTL_A为由整数ENTL_A转换而成的两个字节，ID_B为第二用户的用户标识，x₁为第一椭圆曲线点对应的横坐标；x₂为第二椭圆曲线点对应的横坐标，key_B为协商会话密钥。

5.根据权利要求1所述的方法，其特征在于，所述密钥生成中心与第一用户协同生成第一用户私钥和第一声明公钥包括：

第一用户将第一用户标识和第一部分公钥发送至所述密钥生成中心；

所述密钥生成中心根据第一用户标识和所述第一部分公钥按照随机算法生成第一声明公钥和第一部分私钥，并将所述第一声明公钥和第一部分私钥下发给所述第一用户；

所述第一用户根据所述第一声明公钥和第一部分私钥生成第一实际公钥和第一用户私钥。

6.根据权利要求5所述的方法，其特征在于，所述第二用户根据从所述密钥生成中心获取的对方第一声明公钥确定对方的第一实际公钥包括：

根据第一用户的第一用户标识从所述密钥生成中心获取对方第一声明公钥；

根据所述第一声明公钥、第一用户标识、秘密参数、系统主公钥确定对方的第一实际公钥。

7.根据权利要求5所述的方法，其特征在于，所述根据所述第一声明公钥和第一部分私钥生成第一实际公钥和第一用户私钥包括：

根据所述第一部分私钥和第一随机数计算得到第一用户私钥；

将第一用户标识和系统主公钥的坐标值进行拼接得到第一拼接值，并将所述第一拼接值输入至密码杂凑算法中生成第一参数；

根据所述第一参数、第一声明公钥和系统主公钥生成第一实际公钥；

相应的，所述方法还包括：

根据所述第一用户私钥和椭圆曲线系统参数中的椭圆曲线上基点G计算得到第一验证公钥；

若所述第一验证公钥和所述第一实际公钥相同，则确定所述第一实际公钥有效。

8.一种无证书的密钥协商系统，包括密钥生成中心、第一用户和第二用户；所述密钥协商系统用于执行权利要求1-7任一项所述的无证书的密钥协商方法。

9.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的无证书的密钥协商方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的无证书的密钥协商方法。