CN1186579A - 计算机支持的在两个计算机之间的密码交换方法 - Google Patents
计算机支持的在两个计算机之间的密码交换方法 Download PDFInfo
- Publication number
- CN1186579A CN1186579A CN96194013A CN96194013A CN1186579A CN 1186579 A CN1186579 A CN 1186579A CN 96194013 A CN96194013 A CN 96194013A CN 96194013 A CN96194013 A CN 96194013A CN 1186579 A CN1186579 A CN 1186579A
- Authority
- CN
- China
- Prior art keywords
- computer unit
- message
- function
- spuious
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Communication Control (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种方法,使用该方法,可以在一个第一计算机单元(U)和一个第二计算机单元(N)之间约定一个会议密码,而不会使一个未经允许的第三者得到关于该密码或者第一计算机单元(U)的身份的有用信息。这是通过把E1格马尔密码交换原理植入本发明的方法,另外通过由第一计算机单元(U)建立的会议密码(K)的杂散值建立一个数字签名而实现的。
Description
信息技术系统会遭受各种危险。例如正在传输的信息可能由未经允许的第三方接听和修改。另一种危险是在两个通信伙伴之间通信时一个通信伙伴伪造身份。
通过各种安全机制来防范这种以及其它危险,这些安全机制应能保证信息系统免遭这些危险。一个为安全使用的安全机制是加密传输的数据。为能够对在两个通信伙伴之间的通信联系的数据加密,必须在实际数据传输之前首先执行准备加密的步骤。这些步骤例如包括两个通信伙伴向一个加密算法统一和必要的话约定一个共同的密码。
移动无线电系统加密的安全机制具有特别的意义,因为在该系统中传输的信息能够由任何第三方不需另外特别的花费接听。
这样就产生了下面的需求,即选择已知的安全机制并将其适当组合和制定专门的通信协议,保证信息技术系统的安全。
已知各种不对称的方法来进行计算机支持的密码交换。对移动无线电系统适宜的非对称方法有A.Ariz,W.Diffie,"Privacy and Authenticationfor wireless Local Area Networks"(无线局域网的保密和鉴别),IEEEPersonal Communications,1994,第25页到31页,和M.Beller,"Proposed Authentication and Key Agreement Protocol for PCS"(对PCS建议的鉴别和密码协定协议),关于个人通信的保密和鉴别的联合专家会议,P&A JEM 1993,1993,第1到11页。
在A.Ariz,W.Diffie,"Privacyand Authentication for wireless LocalArea Networks"(无线局域网的保密和鉴别),IEEE PersonalCommunications,1994,第25页到31页一文中说明的方法明确涉及局域网和在密码交换期间对通信伙伴的计算机单元提出更高的计算功率需求。此外,在该方法中需要比本发明方法更多的传输容量,因为消息长度要比本发明方法中的要长。
在M.Beller,"Proposed Authentication and Key Agreement Protocolfor PCS"(对PCS建议的鉴别和密码协定协议),关于个人通信的保密和鉴别的联合专家会议,P&A JEM 1993,1993,第1到11页一文中说明的方法未实现一些基本的安全目的。不能实现用户对网络的显式鉴别。此外,一个由用户向网络传输的密码不从网络向用户证实。也未提供对网络密码更新的保证。该方法的另一缺点在于由用户对密码隐式鉴别时对拉宾算法的限制。这一点限制了该方法的灵活应用的可能。此外,未提供任何保证正在传输的数据的不可否认性的安全机制。这对于为移动无线电系统建立不可干扰的费用计算来说是极大的缺点。还有该方法对国家标准研究所在技术签名标准作为应用签名功能的限制也制约了该方法的一般应用的可能性。
已经公开了一种在出具证明事件的参与下多个用户之间进行安全数据交换的方法(美国专利说明书US 5214700)。该方法使用的协议具有一个随机数,一个身份参数,一个公开密码和一个会议密码。然而在该方法中未实现基本安全目的。
另外还公开了一种在信托中心的参与下为PC到PC通信方法(DE丛书:Telesec,Telekom,Produktentwicklung Telesec beimFernmeldamt Siegen(Siegen长途电话局Telesec产品开发),第12-13页和图16)。
美国专利说明书US5222140公开了一种方法,其中既使用公开的密码也使用加密的密码以及使用一个随机数而产生一个会议密码。该会议密码与一个公开的密码相连。
另外从美国专利说明书US5153919说明了一种方法,其中相对于网络单元区分一个用户单元。随后使用一个在该用户单元和网络单元之间的杂散函数进行一个鉴别过程。
还公知另外一个未实现重要的基本安全目的的安全通信协议(M.Beller等人所著,Privacy and Authentication on a PortableCommunication System(便携式通信系统的保密和鉴别),IEEE Journalon Selected areas in Communication(IEEE特选通信领域杂志),第11卷,第6期,第821-829页,1993年)。
本发明的目的在于给出一种计算机支持的密码交换的简单方法。
该目的通过本发明的权利要求1解决。本发明的有利改进方案从从属权利要求产生。
从第一随机数借助于在第一计算机单元中一个最终组产生的一个元件建立一个第一值,并从第一计算机单元向第二计算机单元传输一个第一消息,其中第一消息至少具有该第一值。在第二计算机单元中借助于一个第一杂散函数建立一个会议密码,其中第一杂散函数的一个第一输入参数至少具有一个第一项,它由第一值与一个加密的网络密码的乘方构成。在第一计算机单元中借助于第一杂散函数建立会议密码,其中该第一杂散函数的一个第二输入参数至少具有一个第二项,它由一个公开网络密码与第一随机数的乘方建立。此外,在第一计算机单元中借助于一个第二杂散函数或者第一杂散函数建立一个第四输入参数,其中第一杂散函数或者第二杂散函数的一个第三输入参数为建立第四输入参数至少具有所述会议密码。接着在第一计算机单元中使用一个第一签名函数至少从第四输入参数建立一个签名项。从第一计算机单元向第二计算机单元传输一个第三消息,其中第三消息至少具有第一计算机单元的该签名项。在第二计算机单元中验证该签名项。
通过本发明方法得到的优点首先在于极大地缩短了传输消息的长度和实现了另外的安全目的。
通过本发明的方法可以实现下述安全目的。
用户和网络相互显式鉴别,亦即相互鉴别对方声称的身份;
- 用户和网络之间使用相互隐式鉴别的密码约定,亦即通过本方法所达到的、在结束该过程后有一个可用的公共加密会议密码由各方知晓、只有鉴别对方同样可以拥有该加密会议密码;
保证用户会议密码的更新;
- 由用户和网络相互证实该会议密码,亦即证实对方实际拥有约定的密码。
本发明下述有利的改进也涉及这些安全目的。
在本方法按照权利要求2的改进方案中在第一计算机单元中另外使第一计算机单元的一个可靠的公开用户密码例如以一个用户证书的形式可用,并在第二计算机单元中使第二计算机单元的一个可靠的公开网络密码例如以一个网络证书的形式可用。在该改进方案中该公开网络密码不必在第一计算机单元中可用。
通过本方法按照权利要求3的改进方案,公开用户密码不需在第二计算机单元中可用。
在本方法按照权利要求4的改进方案中,在第一计算机单元中不需要第二计算机单元的任何可靠的公开网络密码。在第一计算机单元中有出具证明的计算机单元的一个可靠的公开证明密码。这意味着,第一计算机单元必须自己从一个出具证明的计算机单元“设法得到”以一个网络证书的形式的所述可靠公开网络密码。同样,第二计算机单元从所述出具证书的计算机单元得到以一个用户证书形式的可靠公开用户密码。
通过本发明方法根据权利要求6和12的改进方案,可以实现用户匿名的安全目的,这意味着用户身份相对于第三者的可靠性。
本发明方法根据权利要求8的改进方案允许使用临时用户标识。
通过本方法根据权利要求9的改进方案首先保证对第二计算机单元相对于第一计算机单元一个另外的鉴别。
通过按照权利要求11的改进方案实现了保证网络会议密码更新的安全目的。
通过本发明方法根据权利要求14的改进方案另外实现了从用户向网络发送的数据的不可否认性的安全目的。
此外,本发明的方法非常容易适应不同的需求,因为它不限制信号建立和加密的确定的算法。
附图表示了本发明的优选实施例,后面详细叙述该实施例。
图1表示一个流程图,它表示本发明方法进行一些改进的一个第一实施例;
图2表示一个流程图,它说明本发明方法通过另外实现的安全目的进行一些改进的第一实施例;
图3表示一个流程图,它表示本发明方法进行一些改进的一个第二实施例;
图4表示一个流程图,它说明本发明方法通过另外实现的安全目的进行一些改进的第二实施例;
图5a,b表示一个流程图,它表示本发明方法进行一些改进的一个第三实施例;
图6a、b表示一个流程图,它说明本发明方法通过另外实现的安全目的进行一些改进的第三实施例。
第一实施例
在图1和图2中通过两个草图表示本发明方法的流程。本发明方法涉及在一个第一计算机单元U和一个第二计算机单元N之间的密码的交换,其中,对于第一计算机单元U,理解为一个移动无线电网络的用户的一个计算机单元,对于第二计算机单元N,理解为一个移动无线电系统的网络操作人员的计算机单元。
然而本发明并不局限于一个移动无线通信系统,也不限于一个移动无线通信系统和该网络的一个用户,而可以应用于任何在两个通信伙伴之间需要进行密码交换的领域。这可以例如是在两个以加密形式交换数据的计算机之间通信关系的情况。在不限制一般适用性的前提下,下面把一个第一通信伙伴表示为第一计算机单元U,而把一个第二通信伙伴表示为第二计算机单元N。
按照权利要求1的本发明的方法假定,在第一计算机单元U中有第二计算机单元N的一个可靠公开网络密码gs可用,而在第二计算机单元N中有第一计算机单元U的一个可靠的公开用户密码gu可用,这里,g是一个最终组的一个产生元件。
在第一计算机单元U中产生一个第一随机数t。从该第一随机数t借助于一个最终组的该产生元件g在第一计算机单元U中建立一个第一值gt。
非对称方法基本上是以综合理论的两个问题为基础的,有效因数化组合数的问题和离散对数问题(DLP)。DLP在于,在适宜的计算结构中虽然可以有效地执行乘方运算,但是对其逆运算求对数却不知道任何有效的方法。
这样的计算结构例如可以理解为上面提到的最终组。这例如是一个最终体(endlichen Koerpers)的因数组(例如乘数模p,这里p是一个大质数),或者也称为椭圆曲线。对椭圆曲线首先感兴趣的是因为其在相等的安全水平上允许基本上较短的安全参数。它涉及到公开密码的长度、证书长度、在会议密码约定下的待交换消息的长度以及要在后面说明的数字签名的长度。其理由是已知用于椭圆曲线的对数方法的效率基本上要比用于最终体的要小。
这一关系上的大质数意味着,必须这样选择质数的大小,使得取对数的时间开销不能在一个合理的时间段内执行。在这一关系上合理一词意味着对应于为多年的安全策略直至数十年甚至更长。
在计算第一值gt之后,编码一个第一消息M1,它至少包含该第一值gt。第一消息M1从第一计算机单元U向第二计算机单元N传输。
在第二计算机单元N中解码第一消息M1。第一消息M1也可以通过一个不确定的信道,亦即通过一个空气接口不加密传输,因为第一值gt的取对数不能在合理时间内执行。
如在图2中说明的那样,可以设计为在第二计算机单元N中生成一个第二随机数r。通过这一另外的方法步骤可以实现一个另外的安全目的:对第二计算机单元N保证下面将要说明的会议密码k的更新。
在第二计算机单元N中借助于一个第一杂散函数h1建立一个会议密码k。作为该第一杂散函数h1的一个第一输入参数要至少使用一个第一项。该第一项通过第一值gt用一个秘密网络密码s乘方建立。
在这一关系上下面的杂散函数理解为函数,在该函数中不可能为一个给定的函数值计算配合的输入值。另外,为一个任意长的输入字符序列分配一个定长的输出字符序列。还有对于该杂散函数在这一关系上需要碰撞自由度,这意味着不允许能够找到两个不同的产生同一输出字符序列的输入字符序列。
当使用第二随机数r时,那么第一杂散函数h1的第一输入参数至少另外具有该第二随机数r。
现在在第二计算机单元N中建立一个回答A。为建立该回答A,提供不同的方案。例如可以用会议密码K在使用一个加密函数Enc下加密一个常数const。该常数const既为第一计算机单元U也为第二计算机单元N所知。同样,加密函数Enc既为第二计算机单元N也为第一计算机单元U所知作为在该方法中要使用的加密函数。
建立回答A的另一种可能例如是,使用会议密码K作为一个第三杂散函数h3的输入参数以及该会议密码K的杂散值用作回答A。建立用于检验在第一计算机单元U中的会议密码K的回答A的另外的可能方法为专业人员所熟悉并可以用作所述优选方式的替代方案使用。
第二随机数r、回答A、以及一个可选的第一数据字段dat1的一个彼此级连构成一个第二消息M2。当它们在本发明的方法中提供时,第二随机数r和该可选的第一数据字段dat1仅包含在该第二消息M2中。
第二消息M2在第二计算机单元N中编码并向第一计算机单元U传输。
在第一计算机单元U中解码第二消息M2,使得第一计算机单元U可能的话使用第二随机数r、回答A、以及可能的话使用可选第一数据字段dat1。可选第一数据字段dat1的长度可以任意长,这意味着该可选第一数据字段也可以不存在。
现在在第一计算机单元U中借助于第一杂散函数h1同样建立会议密码K。第一杂散函数h1既为第二计算机单元N也为第一计算机单元U所知。第一杂散函数h1为在第一计算机单元U中建立该会议密码K的一个第二输入参数具有至少一个第二项。该第二项由一个公开网络密码gs用第一随机数t乘方建立。当在本发明的方法中使用第二随机数r时,第一杂散函数h1的第二输入参数具有为在第一计算机单元U中建立会议密码K的第二随机数。
在生成会议密码K时通过使用第一随机数t和第二随机数r保证了该会议密码K的更新,因为第一随机数t和第二随机数r仅为每次的一个会议密码K使用。
由此避免了再次使用一个旧的密码作为会议密码k。会议密码K的更新与问题的提法关联意味着第一随机数t和第二随机数r必须多大。这一点是明确的,因为长度小的随机数使DLP问题也小,也就是说,随机数越短,对数计算越简单,例如从第一值gt得出第一随机数t。但是当为每一新的会议密码K使用另一随机数时,那么所使用的会议密码K从一个未经允许的第三方已经找到的概率小。这样极大地减小了一个消息用会议密码K加密的部分可能由未经允许的第三方解密的危险。
在第一计算机单元U中建立起会议密码K之后,则根据接收到的回答A检验,在该第一计算机单元U中建立起来的会议密码K与在第二计算机单元N中建立起来的会议密码K是否一致。依赖于在前述建立回答A的不同方案,提供几种不同的根据回答A检验会议密码K的可能。
例如一种可能是,当在第二计算机单元N中通过对常数const用会议密码K使用加密函数Enc加密而建立起回答A时,解密该回答A,并由此第一计算机单元U包含一个解密的常数const′,它与已知常数const比较。
也可以根据回答A对会议密码K进行检验,这通过把第一计算机单元U知道的常数const用在第一计算机单元U中建立的会议密码K使用加密函数Enc加密并将结果与回答A检验其一致性实现。这一优选方式例如也使用在第二计算机单元N中的建立回答A的场合,其中对该会议密码K使用第三杂散函数h3。在这一场合,在第一计算机单元U中使用在第一计算机单元U中建立的会议密码K作为第三杂散函数h3的输入参数。然后用在第一计算机单元U中建立的会议密码K的“杂散”值检验与回答A的一致性。以此实现会议密码K加密证实的目的。
通过在计算第二计算机单元N中的会议密码K时使用秘密网络密码s和在计算第一计算机单元U中的会议密码K时使用公开网络密码gs,通过第一计算机单元U鉴别第二计算机单元N。这一点可以实现,前提是第一计算机单元U已知,公开网络密码gs事实上属于第二计算机单元N。
紧接通过检验回答A证实会议密码K,计算一个签名项。为此借助于一个第二杂散函数h2建立一个第四输入参数。该第二杂散函数h2可以,但不必和第一杂散函数h1相同。作为第二杂散函数h2的一个第三输入参数,使用一个至少包含会议密码K的项。另外该第三输入参数可以包含可选第一数据字段dat1或者在本发明的方法中提供使用的话也可包含可选第二数据字段dat2。
以后不能否认,在第一可选数据字段dat1中和在第二可选数据字段dat2中包含的数据由第一计算机单元发送。
在第一可选数据字段dat1和在第二可选数据字段dat2中包含的数据例如可以是电话号码,当前时间或者类似的为此适宜的参数。这些信息可以作为不容置疑的费用计算工具使用。
在使用一个第一签名函数SigU的情况下,至少用第四输入参数建立签名项。为达到更高的安全等级可以将签名项加密。在这种场合下该签名项用会议密码K使用加密函数Enc加密,并建立第一加密项VT1。
此外,如果应该实现“用户慝名”的安全目的的话,则要计算一个第二加密的项VT2,其中第一计算机单元U的一个身份参数IMUI用会议密码K借助于加密函数Enc加密。在使用一个可选第二数据字段dat2时,则在第一计算机单元U中计算一个第三加密项VT3,其中可选第二数据字段dat2用会议密码K使用加密函数Enc加密,该可选第二数据字段dat2也可以不加密传输。
在第一计算机单元U中建立并编码一个第三消息M3,它至少具有第一计算机单元U的签名项和身份参数IMUI。
如果应该保证第一计算机单元U的慝名性,则第三消息M3代替第一计算机单元U的身份参数IMUI具有至少第二加密项VT2,它以加密的形式包含只能由第二计算机单元N解密的关于第一计算机单元U的身份的信息。
当提供使用可选第二数据字段dat2时,第三消息M3另外至少具有第三加密项VT3或者以清楚文本形式的可选第二数据字段dat2。
当第三消息M3包含第一加密项VT1,第二加密项VT2或者第三加密项VT3时,它们在第二计算机单元N中解密。这对于可能存在的第一加密项VT1发生在签名项的证实之前。
第三消息M3从第一计算机单元U向第二计算机单元N传输。
另外,第一计算机单元U相对于第二计算机单元N的鉴别通过签名项保证,通过它的使用,保证了第三消息M3是当前从第一计算机单元U送出的。
在第二计算机单元N中解码第三消息M3,接着根据一个由第二计算机单元N可用的用户证书CertU核实该签名。
当为本发明方法提供临时用户身份时,将对上述说明的方法要扩展一些方法步骤。
首先必须使第二计算机单元N知道,它要给哪一个第一计算机单元U分配一个新的临时身份参数TMUIN。
为此,作为第一消息M1的另外部分把一个旧的临时身份参数TMUIO从第一计算机单元U向第二计算机单元N传输。
在接收第一消息M1之后,第二计算机单元N便知道为哪一个第一计算机单元U要规定一个新的临时身份参数TMUIN。
然后在第二计算机单元N中为第一计算机单元U建立该新的临时身份参数TMUIN。这一点例如可以通过生成一个新的随机数或者通过一个其中存储有可能的身份参数的表格实现。从第一计算机单元U的该新的临时身份参数TMUIN在第二计算机单元N中建立一个第四加密项VT4,这是通过把第一计算机单元U的该新临时身份参数TMUIN与会议密码K使用加密函数Enc加密实现的。
在这种场合下,第二消息M2另外至少具有第四加密项VT4。然后该第四加密项VT4在第一计算机单元U中解密。现在第一计算机单元U的该新临时身份参数TMUIN在第一计算机单元U中可用。
为使第二计算机单元N也能保证第一计算机单元U正确接收该新临时身份参数TMUIN,第一杂散函数h1或者为第二杂散函数h2的第三输入参数至少具有第一计算机单元U的该新临时身份参数TMUIN。
因为在这种场合该新临时身份参数TMUIN的信息包含在签名中,所以第三消息M3不再具有第一计算机单元U的身份参数IMUI。
下面的做法也是可能的,即不把新临时身份参数TMUIN集成在签名项中,而建立第二加密项VT2,通过代替第一计算机单元U的身份参数IMUI把新临时身份参数TMUIN用会议密码K使用加密函数Enc加密。在这种情况下第三消息M3至少具有该第二加密项VT2。
在本发明的方法中使用的杂散函数,即第一杂散函数h1、第二杂散函数h2和第三杂散函数h3可以通过同样的杂散函数,也可以通过不同的杂散函数实现。
第二实施例
在图3和图4中通过两个草图表示了本发明方法的一个第二实施例的流程图。
对本发明的该实施例的前提是:在第一计算机单元U中有一个例如以一个用户证书CertU的形式可用的第一计算机单元U的可靠的公开用户密码gu,而在第二计算机单元N中有一个例如以一个网络证书CertN的形式可用的第二计算机单元N的一个可靠的公开网络密码gs。该公开网络密码gs不必在第一计算机单元U中可用。同样公开用户密码gu不需要在第二计算机单元N中可用。
在第一计算机单元U中生成一个第一随机数t。从该第一随机数t借助于在第一计算机单元U中一个最终组所产生的元素g建立一个第一值gt。
在计算第一值gt后,编码第一消息M1,它至少具有该第一值gt和一个出具证书的计算机单元CA的一个身份参数idCA,出具证书的计算机单元CA提供网络证书CertN,其可由第一计算机单元U证实。第一消息M1从第一计算机单元U向第二计算机单元N传输。
在第二计算机单元N中解码第一消息M1。该第一消息M1也可以通过一个不安全信道例如通过一个空气接口不加密传输,因为对第一值gt的对数运算不能在一个合理的时间内执行。如图4所述,可以设计在第二计算机单元N中生成一个第二随机数r。通过这一附加的方法步骤,实现一个另外的安全目的:保证下面要说明的用于第二计算机单元N的会议密码K的更新。
在第二计算机单元N中借助于一个第一杂散函数h1建立一个会议密码K。使用一个第一项作为该第一杂散函数h1的一个第一输入参数。通过把第一值gt用一个秘密网络密码s乘方,建立该第一项。
当使用第二随机数r时,第一杂散函数h1的该第一输入参数至少另外具有该第二随机数r。现在在第二计算机单元N中建立回答A。为建立该回答A,提供不同的方案。例如可能用会议密码K使用一个加密函数Enc对一个常数const加密。该常数const既为第一计算机单元U也为第二计算机单元N所知。同样,加密函数Enc既为第二计算机单元N也为第一计算机单元U知道作为在本发明的方法中应用的加密函数。
建立回答A的一种另外的可能例如是把会议密码K作为一个第三杂散函数h3的输入参数使用,同时把会议密码K的“杂散”值作为回答使用。建立用于检验在第一计算机单元U中会议密码K的回答A的另外可能的方法为专业人员所熟知,并可以作为本说明的优选方案的替代方案使用。
第二随机数r、网络证书CertN、回答A以及一个可选的第一数据字段dat1的一个彼此级连构成一个第二消息M2。当它们在本发明的方法中提供时,第二随机数r和该可选的第一数据字段dat1仅包含在该第二消息M2中。
第二消息M2在第二计算机单元N中编码并向第一计算机单元U传输。
在第一计算机单元U中解码第二消息M2,使得第一计算机单元可能的话使用第二随机数r、回答A、以及可能的话使用可选第一数据字段dat1。可选第一数据字段dat1的长度可以任意长,这意味着该可选第一数据字段也可以不存在。
接着在第一计算机单元中验证第二消息M2中包含的网络证书CertN。因此该公开网络密码gs在第一计算机单元U中可用。
现在在第一计算机单元U中借助于第一杂散函数h1同样建立会议密码K。第一杂散函数h1既为第二计算机单元N也为第一计算机单元U所知。第一杂散函数h1为在第一计算机单元U中建立该会议密码K的一个第二输入参数至少具有一个第二项。该第二项由一个公开网络密码gs用第一随机数t乘方建立。当在本发明的方法中使用第二随机数r时,第一杂散函数h1的第二输入参数具有为在第一计算机单元U中建立会议密码K的第二随机数r。
在生成会议密码K时通过使用第一随机数t和第二随机数r保证了该会议密码K的更新,因为第一随机数t和第二随机数r仅为每次的一个会议密码K使用。
由此避免了再次使用一个旧的密码作为会议密码k。会议秘码k的更新与问题的关联意味着第一随机数t和第二随机数r必须多大。这一点是明确的,因为长度小的随机数使DLP问题也小,也就是是说,随机数越短,对数计算越简单,例如从第一值gt得出第一随机数t。但是当为每一新的会议密码k使用另一随机数时,那么所使用的会议密码K从一个未经允许的第三方已经找到的概率小。这样极大地减小了一个消息用会议密码K加密的部分可能由未经允许的第三方解密的危险。
在第一计算机单元U中建立起会议密码K之后,根据接收到的回答A检验,在该第一计算机单元U中建立起来的会议密码K与在第二计算机单元N中建立起来的会议密码K是否一致。
依赖于在前述建立回答A的不同方案,提供几种不同的根据回答A检验会议密码K的可能。
例如一种可能是,当在第二计算机单元N中通过对常数const用会议密码K使用加密函数Enc加密建立起回答A时,解密该回答A,由此第一计算机单元U包含一个解密的常数const′,它与已知常数const进行比较。
也可以根据回答A对会议密码K进检验,这通过把第一计算机单元U知道的常数const用在第一计算机单元U中建立的会议密码K使用加密函数加密并将结果与回答A检验其一致性实现。这一优选方式例如也使用在第二计算机单元N中的建立回答A的场合,其中对该会议密码K使用第三杂散函数h3。在这一场合,在第一计算机单元U中使用在第一计算机单元U中建立的会议密码K作为第三杂散函数h3的输入参数。然后用在第一计算机单元U中建立的会议密码K的“杂散”值检验与回答A的一致性。以此实现会议密码K加密证实的目的。
通过在计算第二计算机单元N中的会议密码K时使用秘密网络密码s和在计算第一计算机单元U中的会议密码K时使用公开网络密码gs,由第一计算机单元U鉴别第二计算机单元N。这一点可以实现,前提是第一计算机单元U已知,公开网络密码gs事实上属于第二计算机单元N。
紧接通过检验回答A证实会议密码K计算一个签名项。为此借助于一个第二杂散函数h2建立一个第四输入参数。该第二杂散函数h2可以,但不必和第一杂散函数h1相同。作为第二杂散函数h2的一个第三输入参数,使用一个至少包含会议密码K的项。另外该第三输入参数可以包含可选第一数据字段dat1或者在本发明的方法中提供使用的话也可包含可选第二数据字段dat2。
以后不能否认,在第一可选数据字段dat1中和在第二可选数据字段dat2中包含的数据由第一计算机单元U发送。
在第一可选数据字段dat1和在第二可选数据字段dat2中包含的数据例如可以是电话号码、当前时间或者类似的为此适宜的参数。这些信息可以作为不容置疑的费用计算工具使用。
使用一个第一签名函数SigU,至少用第四输入参数建立所述签名项。为达到更高的安全等级可以将该签名项加密。在这种场合下该签名项用会议密码K使用加密函数Enc加密,并建立第一加密项VT1。
此外,如果应该实现“用户慝名”的安全目的的话,则要计算一个第二加密项VT2,其中第一计算机单元U的一个用户证书CertU用会议密码K借助于加密函数Enc加密。在使用一个可选第二数据字段dat2时,则在第一计算机单元U中计算一个第三加密项VT3,它是通过可选第二数据字段dat2用会议密码K使用加密函数Enc加密实现的。该可选第二数据字段dat2也可以不加密传输。
在第一计算机单元U中建立并编码一个第三消息M3,它至少具有第一计算机单元U的签名项和用户证书CertU。如果应该保证第一计算机单元U的用户慝名性,则第三消息M3代替第一计算机单元的用户证书CertU具有至少第二加密项VT2,它以加密的形式包含只能由第二计算机单元N解密的关于第一计算机单元U的用户证书CertU。
当提供使用可选第二数据字段dat2时,第三消息M3另外至少具有第三加密项VT3。当第三消息M3具有第一加密项VT1、第二加密项VT2或者第三加密项时,它们在第二计算机单元N中解密。这对于可能存在的第一加密项VT1发生在签名项的证实之前。
第三消息M3从第一计算机单元U向第二计算机单元N传输。
另外,第一计算机单元U相对于第二计算机单元N的鉴别通过签名项保证,通过它的使用,保证了第三消息M3是当前从第一计算机单元U送出的。
当为本发明方法提供临时用户身份时,那么这将对上述说明的方法要扩展一些方法步骤。
在第二计算机单元N中为第一计算机单元U建立一个新临时身份参数TMUIN,它另外分配给第一计算机单元U。这可以例如通过生成一个随机数或者通过其中存储有可能身份参数的表格执行。从第一计算机单元U的该新临时身份参数TMUIN在第二计算机单元N中建立一个第四加密项VT4,这是通过把第一计算机单元U的该新临时身份参数TMUIN用会议密码K使用加密函数Enc加密实现的。
在这种场合下,第二消息M2另外至少具有该第四加密项VT4。然后该第四加密项VT4在第一计算机单元U中解密。现在第一计算机单元U的该新临时身份参数TMUIN在第一计算机单元U中可用。
为使第二计算机单元N也能保证第一计算机单元U正确接收该新临时身份参数TMUIN,第一杂散函数h1或者第二杂散函数h2的第三输入参数至少具有第一计算机单元U的该新临时身份参数TMUIN。
下面的做法也是可能的,即不把新临时身份参数TMUIN集成在签名项中,而建立第二加密项VT2,其中第一计算机单元U的新临时身份参数TMUIN用会议密码K使用加密函数Enc加密实现。在这种情况下第三消息M3另外具有该第二加密项VT2。
第三实施例
在图5a和图5b中通过两个草图表示了一个第三实施例的流程图。
对本发明的该实施例的前提是:在第一计算机单元U中不存在有任何第二计算机单元N的可靠公开网络密码gs可供使用。在用户计算机单元U中有一个出具证书的计算机单元CA的一个可靠的公开证书密码gu为可用,其中g表示一个最终组的一个产生元件。这意味着第一计算机单元U必须自身“关心”从一个出具证书的计算机单元CA以网络证书CertN形式提供的可靠公开网络密码gs。同样,第二计算机单元N需要从该出具证书的计算机单元CA以用户证书CertU提供可靠公开用户密码gu。
在第一计算机单元U中生成一个第一随机数t。从该第一随机数t借助于在第一计算机单元U中一个最终组所产生的元素g建立一个第一值gt。
在计算第一值gt后,编码第一消息M1,它至少具有该第一值gt、第一计算机单元U的一个身份参数IMUI和一个出具证书的计算机单元CA的一个身份参数idCA,出具证书的计算机单元提供网络证书CertN,其可由第一计算机单元U验证。这在多个出具证书事件以不同的秘密证书密码提供时是需要的。当应该实现用户慝名的安全目的时,在第一计算机单元U中在建立第一消息M1之前建立一个中间密码L。它通过把公开证书密码gu用第一随机数t乘方实现。接着,在这种场合下把第一计算机单元U的身份参数IMUI用该中间密码L使用一个加密函数Enc加密,而其结果表示一个第四加密项VT4。该第四加密项VT4代替第一计算机单元U的身份参数IMUI集成在第一消息M1中。该第一消息M1从第一计算机单元U向第二计算机单元N传输。
在第二计算机单元N中解码第一消息M1。该第一消息M1也可以通过一个不安全信道例如通过一个空气接口不加密传输,因为对第一值gt的对数运算不能在一个合理的时间内执行。
在第二计算机单元N中解码第一消息M1,并建立一个第四消息M4,它具有一个链接为第二计算机单元N知道的公开网络密码gs、第一值gt和第一计算机单元U的身份参数IMUI以及一个第一签名项的数据链。第一签名项通过在一个第一签名输入项上使用一个第二签名函数SigN而建立。该第一签名输入项至少具有一个第三杂散函数h3的结果,它至少应用于一个公开网络密码gs、第一值gt和第一计算机单元U的身份参数IMUI的链接。在需要实现用户慝名的安全目的的场合,在第四消息M4中代替第一计算机单元U的身份参数IMUI编码第四加密项VT4。在这一场合,第三杂散函数h3使用的链也取代第一计算机单元U的身份参数IMUI而具有该第四加密项VT4。
第二签名函数SigN可以,但不必与第一签名函数SigU相同。
第四消息M4在第二计算机单元N中编码,接着向出具证书的计算机单元CA传输。
在出具证书的计算机单元CA中解码该第四消息M4,并用出具证书的计算机单元CA知道的公开密码gs验证。以此鉴别作为第四消息M4的发送者的第二计算机单元N。
接着,如果要保证用户慝名的话,也就是说要把该第四加密项VT4在第四消息M4中一起发送的话,那么在出具证书的计算机单元CA中计算中间密码L,这通过把第一值gt用该出具证书的计算机单元CA的一个秘密证书密码u乘方实现。
使用中间密码L,应用加密函数Enc解密第四加密项VT4,以此在出具证书的计算机单元CA中获知第一计算机单元U的身份参数IMUI。
然后在出具证书的计算机单元CA中求出CertU。该用户证书CertU可以例如从一个该出具证书的计算机单元CA特有的、包含一个计算机单元所有证书的数据库中查出,出具证书的计算机单元CA为该计算机单元建立起这些证书。
为了对网络证书CertN和用户证书CertU的有效性进行检验,要把一个身份参数idN和在第四消息中一起发送的公开网络密码gs、第一计算机单元U的身份参数IMUI以及得出的用户证书CertU与一个存储有无效证书、密码或者身份参数的撤消表比较。
接着从第二计算机单元N的至少一个第一值gt、公开网络密码gs和身份参数idN的链接建立一个第三项。
该第三项借助于一个第四杂散函数h4“杂散化”并将杂散函数h4的结果使用一个第三签名函数SigCA签名。现在在出具证书的计算机单元CA中建立一个网络证书CertN,其中该网络证书CertN至少具有第三项和第三项签名的杂散值。
接着,例如在出具证书的计算机单元CA中做一个时间印记TS。
此外,在出具证书的计算机单元CA中建立一个第五项,它至少具有一个链接时间印记TS、第二计算机单元N的身份参数idN和用户证书CertU的数据链。
通过在一个第二签名输入项和秘密证书密码u上使用第三签名函数SigCA建立一个第二签名项。该第二签名输入项至少具有第四杂散函数h4的一个结果,该结果至少应用于第五项上。
接着建立一个第六项,它至少具有所述第五项和第五项的签名杂散值。
一个在出具证书的计算机单元CA中建立的第五消息M5具有至少一个由网络证书CertN和该第六项组成的链。
该第五消息M5在出具证书的计算机单元CA中编码并向第二计算机单元N传输。在第五消息在第二计算机单元N中解码后,验证该网络证书CertN和第二签名项。
现在在第二计算机单元N中建立一个第四项,它至少具有一个由公开网络密码gs和该第三项的签名杂散值组成的链。
在第二计算机单元N中借助于一个第一杂散函数h1建立一个会议密码K。使用一个第一项与第二随机数r的级连作为第一杂散函数h1的一个第一输入参数。通过把第一值gt用一个秘密网络密码s乘方,建立该第一项。在这一关系上下面的函数理解为杂散函数,在该函数中不可能为一个给定的函数值计算配合的输入值。另外,为一个任意长的输入字符序列分配一个定长的输出字符序列。还有对于该杂散函数在这一关系上需要碰撞自由度,这意味着不允许能够找到两个不同的、产生同一输出字符序列的输入字符序列。如在图2a、b中说明的那样,当需要为第二计算机单元N实现保证会议密码K更新的安全目的时,第二随机数r找到了应用。如果不需要该安全目的,则在本发明的方法中不使用随机数r。
现在在第二计算机单元N中建立一个回答A。为建立该回答A,提供不同的方案。例如可以用会议密码K在使用一个加密函数Enc下加密一个常数const。该常数const既为第一计算机单元U也为第二计算机单元N所知。同样,加密函数Enc既为第二计算机单元N也为第一计算机单元U知道作为在该方法中要使用的加密函数。
建立回答A的另一种可能例如是,使用会议密码K作为为一个第三杂散函数h3的输入参数以及该会议密码K的“杂散”值作为回答A。建立用于检验在第一计算机单元U中的会议密码K的回答A的另外的可能方法为专业人员所熟悉,并可以用作所述优选方式的替代方案使用。
第二随机数r、回答A的第四项、以及一个可选的第一数据字段dat1的一个彼此级连构成一个第二消息M2。当它们在本发明的方法中提供时,第二随机数r和可选第一数据字段dat1仅包含在该第二消息M2中。
第二消息M2在第二计算机单元N中编码并向第一计算机单元U传输。
在第一计算机单元U中解码第二消息M2,使得第一计算机单元可能的话使用第二随机数r、回答A、以及可能的话使用可选第一数据字段dat1。可选第一数据字段dat1的长度可以任意长,这意味着该可选第一数据字段也可以不存在。
现在在第一计算机单元U中借助于第一杂散函数h1同样建立该会议密码K。第一杂散函数h1既为第二计算机单元N也为第一计算机单元U所知。第一杂散函数h1为在第一计算机单元U中建立该会议密码K的一个第二输入参数具有至少一个第二项。该第二项由一个公开网络密码gs用第一随机数t乘方建立。当在本发明的方法中提供第二随机数r时,第一杂散函数h1的第二输入参数另外具有为在第一计算机单元U中建立会议密码K的第二随机数r。
在生成会议密码K时通过使用第一随机数t和第二随机数r保证了该会议密码K的更新,因为第一随机数t和第二随机数r仅为每次的一个会议密码K使用。
由此避免了再次使用一个旧的密码作为会议密码K。但是当为每一新的会议密码K使用另一随机数时,那么所使用的会议密码K从一个未经允许的第三方已经找到的概率小。这样极大地减小了一个消息用会议密码K加密的部分可能由未经允许的第三方解密的危险。
在第一计算机单元U中建立起会议密码K之后,则根据接收到的回答A检验,在第一计算机单元U中建立起来的会议密码K与在第二计算机单元N中建立起来的会议密码K是否一致。
依赖于前述建立回答A的不同方案提供几种不同的根据回答A检验会议密码K的可能。
例如一种可能是,当在第二计算机单元N中通过对常数const用会议密码K使用加密函数Enc加密而建立起回答A时,解密该回答A,并由此第一计算机单元U包含一个解密的常数const ′,它与已知常数const相比较。
也可以根据回答A对会议密码K进检验,它是通过把第一计算机单元U知道的常数const与在第一计算机单元U中建立的会议密码K使用加密函数加密并将结果与回答A检验其一致性而实现。这一优选方式例如也使用在第二计算机单元N中建立回答A的场合,其中对该会议密码K使用第三杂散函数h3。在这一场合,在第一计算机单元U中使用在第一计算机单元U中建立的会议密码K作为第三杂散函数h3的输入参数。然后把在第一计算机单元U中建立的会议密码K的“杂散”值用回答A检验其一致性。以此实现会议密码K加密证实的目的。
通过在计算第二计算机单元N中的会议密码K时使用秘密网络密码s和在计算第一计算机单元U中的会议密码K时使用公开网络密码gs,由第一计算机单元U证实第二计算机单元N。这一点可以实现,前提是第一计算机单元U已知,公开网络密码gs事实上属于第二计算机单元N。
紧接通过检验回答A证实会议密码K,计算一个签名项。为此借助于一个第二杂散函数h2建立一个第四输入参数。第二杂散函数h2可以,但不必和第一杂散函数h1相同。作为第二杂散函数h2的一个第三输入参数,使用一个至少包含会议密码K的项。另外该第三输入参数可以包含可选第一数据字段dat1或者在本发明的方法中提供使用的话也可包含可选第二数据字段dat2。
以后不能否认,在第一可选数据字段dat1中和在第二可选数据字段dat2中包含的数据由第一计算机单元U发送。
在第一可选数据字段dat1和在第二可选数据字段dat2中包含的数据例如可以是电话号码、当前时间或者类似的为此适宜的参数。这些信息可以作为不容置疑的费用计算工具使用。
使用一个第一签名函数SigU,至少用第四输入参数建立所述签名项。为达到更高的安全等级可以将该签名项加密。在这种场合下该签名项用会议密码K使用加密函数Enc加密,并建立第一加密项VT1。
在使用一个可选第二数据字段dat2时,在第一计算机单元U中计算一个第三加密项VT3,它是通过可选第二数据字段dat2用会议密码K使用加密函数Enc加密而实现的,该可选第二数据字段dat2也可以不加密传输,亦即以清楚文本传输。
在第一计算机单元U中建立并编码一个第三消息M3,它至少由第一加密项VT1和当使用可选第二数据字段时用第三加密项VT3或者可选第二数据字段dat2以清楚文本形式组成。第三消息M3从第一计算机单元U向第二计算机单元N传输。
另外,第一计算机单元U相对于第二计算机单元N的鉴别通过在该第三消息M3中的签名项保证,通过它的使用,也保证了第三消息M3事实上是当前从第一计算机单元U送出的。
在第二计算机单元N中解码第三消息M3,接着解密第一加密项VT1和可能的话解密第三加密项VT3。根据为第二计算机单元N可用的用户CertU证实签名项。
当提供使用可选第二数据字段dat2时,第三消息M3另外至少具有第三加密项VT3,或者当可选第二数据字段应该以清楚文本形式传输时,具有以清楚文本形式的可选第二数据字段dat2。
当第三消息M3具有第一加密项VT1、第二加密项VT2或者第三加密项VT3时,将其在第二计算机单元N中解密。这对于可能存在的第一加密项VT1发生在证实签名之前。
当为本发明的方法提供临时用户身份时,要对上述方法扩展一些方法步骤。
在第二计算机单元N中为第一计算机单元U建立一个新的临时身份参数TMUIN,它另外分配给第一计算机单元U。这一点例如可以通过生成一个新的随机数或者通过一个其中存储有可能的身份参数的表格实现。从第一计算机单元U的该新的临时身份参数TMUIN在第二计算机单元N中建立一个第四加密项VT4,这是通过把第一计算机单元U的该新临时身份参数TMUIN通过会议密码K使用加密函数Enc加密实现的。
在这种场合下,第二消息M2另外至少具有第四加密项VT4。然后该第四加密项VT4在第一计算机单元U中解密。现在第一计算机单元U的该新临时身份参数TMUIN在第一计算机单元U中可用。
为使第二计算机单元N也能保证第一计算机单元U正确接收该新临时身份参数TMUIN,第一杂散函数h1或者第二杂散函数h2的第三输入参数至少具有第一计算机单元U的该新临时身份参数TMUIN。
Claims (21)
1.计算机支持的在一个第一计算机单元(U)和一个第二计算机单元(N)之间交换密码的方法,其中:
- 从一个第一随机数(t)借助于在该第一计算机单元(U)中的一个最终组的一个产生的元件(g)建立一个第一值(gt);
- 一个第一消息(M1)从所述第一计算机单元(U)向所述第二计算机单元(N)传输,其中所述第一消息(M1)至少具有所述第一值(gt);
在所述第二计算机单元(N)中使用一个第一杂散函数(h1)建立一个会议密码(K),其中所述第一杂散函数(h1)的一个第一输入参数至少具有一个第一项,它是通过把所述第一值(gt)用一个秘密网络密码(s)乘方建立的;
在第一计算机单元(U)中使用第一杂散函数(h1)建立会议密码(K),其中所述第一杂散函数(h1)的一个第二输入参数至少具有一个第二项,它是通过把一个公开网络密码(gs)用所述第一随机数(t)乘方建立的;
在第一计算机单元(U)中使用一个第二杂散函数(h2)或者第一杂散函数(h1)建立一个第四输入参数,其中第一杂散函数(h1)或者第二杂散函数(h2)的一个第三输入参数为建立所述第四输入参数至少具有所述会议密码(K);
在第一计算机单元(U)中一个签名项至少由所述第四输入参数使用一个第一签名函数(SigU)建立;
一个第三消息(M3)从第一计算机单元(U)向第二计算机单元(N)传输,其中所述第三消息(M3)至少具有第一计算机单元(U)的所述签名项;
- 在第二计算机单元(N)中证实所述签名项。
2.根据权利要求1的方法,其中:
- 所述第一消息(M1)另外具有一个出具证书的计算机单元(CA)的身份参数(idCA),所述出具证书的计算机单元CA提供一个可由所述第一计算机单元(U)证实的一个网络证书(CertN);
一个第二消息(M2)从所述第二计算机单元(N)向所述第一计算机单元(U)传输,其中所述第二消息(M2)至少具有所述网络证书(CertN);
在所述第一计算机单元(U)中证实所述网络证书(CertN)。
3.根据权利要求2的方法,其中:
- 一个第三消息(M3)从所述第一计算机单元(U)向所述第二计算机单元(N)传输,其中所述第三消息(M3)另外具有一个用户证书(CertU);
在所述第二计算机单元(N)中证实所述用户证书(CertU)。
4.根据权利要求1的方法,其中:
- 所述第一消息(M1)另外具有所述第一计算机单元(U)的一个身份参数(IMUI)和一个出具证书的计算机单元(CA)的一个身份参数
(idCA),所述出具证书的计算机单元(CA)为所述第一计算机单元(U)提供可由所述第一计算机单元(U)证实的一个网络证书(CertN);
- 一个第四消息(M4)从所述第二计算机单元(N)向所述出具证书的计算机单元(CA)传输,其中所述第四消息(M4)至少具有所述公开网络密码(gs)、所述第一值(gt)、作为输入参数的所述第一计算机单元(U)的所述身份参数(IMUI),其中一个输出参数使用一个第二签名函数(SigN)为一个第三杂散函数(h3)签名;
在所述出具证书的计算机单元(CA)中证实所述第一签名项;
- 在所述出具证书的计算机单元(CA)中建立一个第三项,它至少具有所述第一值(gt)、所述公开密码(gs)和所述第二计算机单元(N)的一个身份参数(idN);
- 在所述出具证书的计算机单元(CA)中使用一个第四杂散函数(h4)建立一个关于所述第三项的杂散值;
-在所述出具证书的计算机单元(CA)中所述关于第三项的杂散值使用一个第三签名函数(SigCA)用一个秘密证书密码(U)签名;
- 在所述出具证书的计算机单元(CA)中建立一个网络证书(CertN),它至少具有所述第三项和该第三项的所述签名的杂散值;
在所述出具证书的计算机单元(CA)中,在一个至少具有所述第二计算机单元(N)的所述身份参数(idN)和一个用户证书(CertU)的一个第五项上使用一个第四杂散函数(h4);
所述第五项的所述杂散值通过使用所述第三签名函数
(SigCA)用所述秘密证书密码(cs)签名,其结果表示所述第二签名项;
- 一个至少具有所述网络证书(CertN)、所述第五项和所述第二签名项的第五消息(M5)从所述出具证书的计算机单元(CA)向所述第二计算机单元(N)传输;
- 在所述第二计算机单元(N)中证实所述网络证书(CertN)和所述第二签名项;
- 在所述第二计算机单元(N)中建立至少具有所述公开网络密码(gs)和所述第三项的所述签名的杂散值的一个第四项;
- 一个第二消息(M2)从所述第二计算机单元(N)向所述第一计算机单元(U)传输,其中所述第二消息(M2)至少具有所述第四项;
- 在所述第一计算机单元(U)中证实所述网络证书(CertN)。
5.根据权利要求4的方法,其中所述第五项另外具有一个时间印记(TS)。
6.根据权利要求4或者5的方法,其中:
- 在所述第一计算机单元(U)中在建立所述第一消息(M1)之前建立一个中间密码(L),这是通过把一个公开证书密码(gu)用所述第一随机数(t)乘方实现的;
- 在所述第一计算机单元(U)中在建立所述第一消息(M1)之前从所述第一计算机单元(U)的所述身份参数(IMUI)建立一个第二加密项(VT2),这是通过把所述身份参数(IMUI)用所述中间密码(L)使用一个加密函数(Enc)加密而实现的;
所述第一消息(M1)代替所述第一计算机单元(U)的所述身份参数(IMUI)具有所述第二加密项(VT2);
所述第四消息(M4)代替所述第一计算机单元(U)的所述身份参数(IMUI)具有所述第二加密项(VT2);
在所述出具证书的计算机单元(CA)中,在接收所述第四消息(M4)之后,解密所述第二加密项(VT2)。
7.根据权利要求4到6中任何一个权利要求的方法,其中,在出具证书的计算机单元(CA)中根据一个撤消表至少检验所述第二计算机单元(N)的身份参数(idN)、所述第一计算机单元(U)的身份参数(IMUI)、所述公开网络密码(gs)或者所述用户证书(CertU)这些参数中的一个。
8.根据权利要求1到7中任何一个权利要求的方法,其中:
所述第一消息(M1)另外至少具有所述第一计算机单元(U)的一个旧临时身份参数(TMUIO);
在所述第二计算机单元(N)中,在接收所述第一消息(M1)之后并在建立所述第二消息(M2)之前,为所述第一计算机单元(U)建立一个新临时身份参数(TMUIN);
- 由所述第一计算机单元(U)的所述新临时身份参数(TMUIN)建立一个第四加密项(VT4),它是通过把所述第一计算机单元(U)的所述新临时身份参数(TMUIN)用所述会议密码(K)使用所述加密函数(Enc)加密实现的;
- 所述第二消息(M2)另外至少具有所述第四加密项(VT4);
在所述第一计算机单元(U)中,在接收所述第二消息(M2)之后并在建立所述第四输入参数之前,解密所述第四加密项(VT4)。
所述第一杂散函数(h1)或所述第二杂散函数(h2)的所述第三输入参数为建立所述第四输入参数另外至少具有所述第一计算机单元(U)的所述新临时身份参数(TMUIN);并且
- 所述第三消息(M3)不具有所述第一计算机单元(U)的所述身份参数(IMUI)。
9.根据权利要求1到8中任何一个权利要求的方法,其中:
- 在所述第二计算机单元(N)中建立关于包含所述会议密码(K)的回答(A)的一个信息;
- 一个第二消息(M2)从所述第二计算机单元(N)向所述第一计算机单元(U)传输,其中所述第二消息(M2)至少具有所述回答(A);
- 在所述第一计算机单元(U)中根据所述回答(A)检验所述会议密码(K)。
10.根据权利要求9的方法,其中,所述第三消息(M3)另外具有所述第一计算机单元(U)的一个身份参数(IMUI)。
11.根据权利要求1到10中任何一个权利要求的方法,其中:
- 在所述第二计算机单元(N)中,所述第一杂散函数(h1)的所述第一输入参数另外至少具有一个第二随机数(r);
所述第二消息(M2)另外具有所述第二随机数(r);
- 在所述第一计算机单元(U)中,所述第一杂散函数(h1)的所述第二输入参数另外至少具有所述第二随机数(r)。
12.根据权利要求1到5中任何一个权利要求的方法,其中:
在所述第一计算机单元(U)中,在建立所述第三消息(M3)之前从所述第一计算机单元(U)的所述身份参数(IMUI)建立一个第二加密项(VT2),这是通过把所述身份参数(IMUI)用所述会议密码(K)使用所述加密函数(Enc)加密实现的;
- 所述第三消息(M3)另外具有所述第二加密项(VT2);
- 在所述第二计算机单元(N)中,在接收所述第三消息(M3)之后加密所述第二加密项(VT2)。
13.根据权利要求1到12中任何一个权利要求的方法,其中:
所述第二消息(M2)另外具有一个可选第一数据字段(dat1);
- 所述第一杂散函数(h1)或所述第二杂散函数(h2)的所述第三输入参数为建立所述第四输入参数另外至少具有所述可选第一数据字段(dat1)。
14.根据权利要求1到13中任何一个权利要求的方法,其中:
- 在所述第一计算机单元(U)中在建立所述第三消息(M3)之前建立一个第三加密项(VT3),这是通过把一个可选第二数据字段(dat2)用所述会议密码(K)使用所述加密函数(Enc)加密实现的;
- 所述第三消息(M3)另外至少具有所述第三加密项(VT3);
- 在所述第二计算机单元(N)中,在接收所述第三消息(M3)之后,解密所述第三加密项(VT3)。
15.根据权利要求1到14中任何一个权利要求的方法,其中;
在所述第一计算机单元(U)中,在建立所述第三消息(M3)之前建立一个第一加密项(VT1),这是通过把所述签名用所述会议密码(K)使用所述加密函数(Enc)加密实现的;
- 所述第三消息(M3)另外具有所述第一加密项(VT1);
- 在所述第二计算机单元(N)中,在接收所述第三消息(M3)之后和在证实所述签名之前,加密所述第一加密项(VT1)。
16.根据权利要求1到15中任何一个权利要求的方法,其中,在所述第二计算机单元(N)中建立回答(A),这是通过把一个为所述第二计算机单元(N)和所述第一计算机单元(U)所知的常数(const)用所述会议密码(K)使用所述加密函数(Enc)加密实现的。
17.根据权利要求1到16中任何一个权利要求的方法,其中:
- 在所述第二计算机单元(N)中建立一个回答(A),这是通过在所述会议密码上使用一个第三杂散函数(h3)而实现的;
- 在所述第一计算机单元(U)中检验所述回答(A),这是通过在所述会议密码(K)上使用所述第三杂散函数(h3)并将结果与所述回答(A)比较而实现的。
18.根据权利要求9到15中的任何一个权利要求或者权利要求17的方法,其中,在所述第一计算机单元(U)中检验所述回答(A),这是通过把一个常数(const)用所述会议密码(K)使用所述加密函数(Enc)加密并将结果与所述回答(A)比较而实现的。
19.根据权利要求9到15中的任何一个权利要求或者权利要求17的方法,其中,在所述第一计算机单元(U)中检验所述回答(A),这是通过所述回答(A)用所述会议密码(K)使用所述加密函数(Enc)解密并将一个解密的常数(const′)结果与一个常数(const)比较而实现的。
20.根据权利要求1到19中任何一个权利要求的方法,其中,所述第三消息(M3)另外至少具有一个可选第二数据字段(dat2)。
21.根据权利要求1到20中任何一个权利要求的方法,其中,所述第一计算机单元(U)由一个移动通信发射设备和/或所述第二计算机单元(N)由在一个移动通信网中的一个鉴别单元构成。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE1995118546 DE19518546C1 (de) | 1995-05-19 | 1995-05-19 | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N |
| DE19518545.5 | 1995-05-19 | ||
| DE1995118544 DE19518544C1 (de) | 1995-05-19 | 1995-05-19 | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit |
| DE19518546.3 | 1995-05-19 | ||
| DE19518544.7 | 1995-05-19 | ||
| DE1995118545 DE19518545C1 (de) | 1995-05-19 | 1995-05-19 | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1186579A true CN1186579A (zh) | 1998-07-01 |
| CN1104118C CN1104118C (zh) | 2003-03-26 |
Family
ID=27215136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN96194013A Expired - Fee Related CN1104118C (zh) | 1995-05-19 | 1996-05-13 | 计算机支持的在两个计算机之间的密码交换方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US6526509B1 (zh) |
| EP (1) | EP0872076B1 (zh) |
| JP (1) | JPH11505384A (zh) |
| CN (1) | CN1104118C (zh) |
| AT (1) | ATE235766T1 (zh) |
| DE (1) | DE59610282D1 (zh) |
| ES (1) | ES2196156T3 (zh) |
| WO (1) | WO1996037064A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101238677B (zh) * | 2005-07-19 | 2011-04-13 | 株式会社Ntt都科摩 | 使用以非一次一密加密进行加密的签名密钥的加密认证和/或共享加密密钥的建立、包括(但不限于)对可延展攻击具有改进安全性的技术 |
| CN117574448A (zh) * | 2024-01-16 | 2024-02-20 | 确信信息股份有限公司 | 基于事件的电子签名方法、系统、介质及设备 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19648824A1 (de) * | 1996-11-26 | 1998-05-28 | Alsthom Cge Alcatel | Verfahren zum gesicherten Nachrichtenaustausch bei Massendiensten, sowie Teilnehmereinrichtung und Diensteanbietereinrichtung hierfür |
| US6424712B2 (en) * | 1997-10-17 | 2002-07-23 | Certicom Corp. | Accelerated signature verification on an elliptic curve |
| IL123028A (en) | 1998-01-22 | 2007-09-20 | Nds Ltd | Protection of data on media recording disks |
| DE19822795C2 (de) | 1998-05-20 | 2000-04-06 | Siemens Ag | Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit |
| DE19906450C1 (de) * | 1999-02-16 | 2000-08-17 | Fraunhofer Ges Forschung | Verfahren und Vorrichtung zum Erzeugen eines verschlüsselten Nutzdatenstroms und Verfahren und Vorrichtung zum Entschlüsseln eines verschlüsselten Nutzdatenstroms |
| US6959085B1 (en) * | 1999-05-03 | 2005-10-25 | Ntru Cryptosystems, Inc. | Secure user identification based on ring homomorphisms |
| AU2001237701A1 (en) * | 2000-03-06 | 2001-09-17 | Aplettix Inc. | Authentication technique for electronic transactions |
| US6976162B1 (en) * | 2000-06-28 | 2005-12-13 | Intel Corporation | Platform and method for establishing provable identities while maintaining privacy |
| US20030105966A1 (en) * | 2001-05-02 | 2003-06-05 | Eric Pu | Authentication server using multiple metrics for identity verification |
| US7046992B2 (en) * | 2001-05-11 | 2006-05-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication of termination messages in telecommunications system |
| GB2384392A (en) * | 2002-01-16 | 2003-07-23 | Sure On Sight Ltd | Secure messaging via a mobile telecommunications network |
| US7245902B2 (en) | 2002-01-16 | 2007-07-17 | 2 Ergo Limited | Secure messaging via a mobile communications network |
| ATE416552T1 (de) * | 2002-07-26 | 2008-12-15 | Koninkl Philips Electronics Nv | Sicherung des zugangs zu multimedia-inhalten durch authentifizierte distanzmessung |
| DE10307403B4 (de) * | 2003-02-20 | 2008-01-24 | Siemens Ag | Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem |
| US20040199768A1 (en) * | 2003-04-04 | 2004-10-07 | Nail Robert A. | System and method for enabling enterprise application security |
| US7409370B2 (en) * | 2003-06-30 | 2008-08-05 | Intel Corporation | Secured and selective runtime auditing services using a trusted computing device |
| US7373509B2 (en) * | 2003-12-31 | 2008-05-13 | Intel Corporation | Multi-authentication for a computing device connecting to a network |
| JP2006067412A (ja) * | 2004-08-30 | 2006-03-09 | Chaosware Inc | 暗号伝送システム、送信装置、受信装置、送信方法、受信方法、ならびに、プログラム |
| JP4763726B2 (ja) | 2005-02-04 | 2011-08-31 | クゥアルコム・インコーポレイテッド | 無線通信のための安全なブートストラッピング |
| DE102006060760A1 (de) | 2006-09-29 | 2008-04-10 | Siemens Ag | Authentifikationsverfahren und Kommunikationssystem zur Authentifikation |
| US9443068B2 (en) * | 2008-02-20 | 2016-09-13 | Micheal Bleahen | System and method for preventing unauthorized access to information |
| CA2723185A1 (en) * | 2008-04-22 | 2009-10-29 | Portola Pharmaceuticals, Inc. | Inhibitors of protein kinases |
| US8442218B2 (en) * | 2009-02-27 | 2013-05-14 | Red Hat, Inc. | Method and apparatus for compound hashing via iteration |
| EP4322465A3 (en) * | 2011-12-15 | 2024-04-17 | Daedalus Prime LLC | Method and device for secure communications over a network using a hardware security engine |
| US10904224B2 (en) | 2017-09-29 | 2021-01-26 | Rolls-Royce Corporation | Aircraft engine monitoring system |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4200770A (en) * | 1977-09-06 | 1980-04-29 | Stanford University | Cryptographic apparatus and method |
| EP0307627B1 (de) * | 1987-09-04 | 1992-04-29 | Ascom Radiocom AG | Verfahren zur Erzeugung und Verteilung von Geheimschlüsseln |
| EP0735723B1 (en) * | 1990-06-01 | 2006-01-11 | Kabushiki Kaisha Toshiba | Cryptographic communication method and cryptographic communication device |
| US5153919A (en) | 1991-09-13 | 1992-10-06 | At&T Bell Laboratories | Service provision authentication protocol |
| US5222140A (en) * | 1991-11-08 | 1993-06-22 | Bell Communications Research, Inc. | Cryptographic method for key agreement and user authentication |
-
1996
- 1996-05-13 JP JP8534453A patent/JPH11505384A/ja active Pending
- 1996-05-13 AT AT96919532T patent/ATE235766T1/de not_active IP Right Cessation
- 1996-05-13 WO PCT/DE1996/000835 patent/WO1996037064A1/de active IP Right Grant
- 1996-05-13 US US08/952,155 patent/US6526509B1/en not_active Expired - Lifetime
- 1996-05-13 EP EP96919532A patent/EP0872076B1/de not_active Expired - Lifetime
- 1996-05-13 CN CN96194013A patent/CN1104118C/zh not_active Expired - Fee Related
- 1996-05-13 ES ES96919532T patent/ES2196156T3/es not_active Expired - Lifetime
- 1996-05-13 DE DE59610282T patent/DE59610282D1/de not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101238677B (zh) * | 2005-07-19 | 2011-04-13 | 株式会社Ntt都科摩 | 使用以非一次一密加密进行加密的签名密钥的加密认证和/或共享加密密钥的建立、包括(但不限于)对可延展攻击具有改进安全性的技术 |
| CN117574448A (zh) * | 2024-01-16 | 2024-02-20 | 确信信息股份有限公司 | 基于事件的电子签名方法、系统、介质及设备 |
| CN117574448B (zh) * | 2024-01-16 | 2024-04-09 | 确信信息股份有限公司 | 基于事件的电子签名方法、系统、介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO1996037064A1 (de) | 1996-11-21 |
| JPH11505384A (ja) | 1999-05-18 |
| EP0872076A1 (de) | 1998-10-21 |
| ATE235766T1 (de) | 2003-04-15 |
| DE59610282D1 (de) | 2003-04-30 |
| US6526509B1 (en) | 2003-02-25 |
| EP0872076B1 (de) | 2003-03-26 |
| ES2196156T3 (es) | 2003-12-16 |
| CN1104118C (zh) | 2003-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1104118C (zh) | 计算机支持的在两个计算机之间的密码交换方法 | |
| CN1146184C (zh) | 第一计算机单元和集群计算机单元之间的集群密码管理方法 | |
| CN1185821C (zh) | 密码通信方法 | |
| CN1268088C (zh) | 基于pki的vpn密钥交换的实现方法 | |
| CN1298194C (zh) | 基于漫游密钥交换认证协议的无线局域网安全接入方法 | |
| CN1921384A (zh) | 一种公钥基础设施系统、局部安全设备及运行方法 | |
| CN1299545A (zh) | 使用虚拟专用密钥的用户鉴别 | |
| CN1679271A (zh) | 基于认证的加密和公共密钥基础结构 | |
| CN1701561A (zh) | 基于地址的验证系统及其装置和程序 | |
| CN1969501A (zh) | 安全地产生共享密钥的系统和方法 | |
| CN1717697A (zh) | 压缩安全电子邮件用于与移动通信设备交换的系统和方法 | |
| CN1672380A (zh) | 用于检验数字证书状态的系统和方法 | |
| CN1518825A (zh) | 用于交换数据的设备和认证方法 | |
| CN1503503A (zh) | 数据加密、解密方法及装置 | |
| CN101051898A (zh) | 无线网络端到端通信认证方法及其装置 | |
| CN1767438A (zh) | 用于验证证书上的数字签名的系统和方法 | |
| CN1729646A (zh) | 基于纠错码的消息认证码 | |
| CN1342376A (zh) | 无线通讯装置及无线通讯方法 | |
| CN1921395A (zh) | 提高网络软件安全性的方法和系统 | |
| CN1921387A (zh) | 认证处理方法以及认证处理装置 | |
| CN101064606A (zh) | 一种用于鉴权的系统、装置及方法 | |
| CN1708018A (zh) | 一种无线局域网移动终端接入的方法 | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN1555151A (zh) | 一种嵌入式设备保密通讯的方法 | |
| CN1801705A (zh) | 一种预认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: NOKIA SIEMENS COMMUNICATION CO., LTD. Free format text: FORMER OWNER: SIEMENS AG Effective date: 20071214 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20071214 Address after: Munich, Germany Patentee after: Nokia Siemens Networks GmbH Address before: Munich, Federal Republic of Germany Patentee before: Siemens AG |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20030326 |