CN1186580A

CN1186580A - 在用户计算机设备u和网络计算机设备n之间计算机辅助交换密钥的方法

Info

Publication number: CN1186580A
Application number: CN96194437A
Authority: CN
Inventors: G·霍恩; K·马勒; V·凯斯勒
Original assignee: Siemens AG
Current assignee: Siemens AG
Priority date: 1995-04-13
Filing date: 1996-04-03
Publication date: 1998-07-01
Also published as: JPH10510692A; US6064741A; WO1996032791A1; KR19980703838A; DE19514084C1; EP0820670A1; RU2175465C2

Abstract

本发明涉及一种交换密钥的方法,在这种方法中,基本上减小了传输消息的长度并且相对于已经公开的方法显著扩大了方法的安全特性。在网络计算机设备和用户计算机设备中,依赖于产生的随机数,构成第一个中间密钥和第二个中间密钥。以位的方式在第一个中间密钥和第二个中间密钥之间进行异或运算以计算会话密钥。密钥不再以明文传输。通过使用函数的方法,例如函数可以是对称的加密函数、Hash函数或者单向函数,网络计算机设备和用户计算机设备互相进行鉴定。

Description

在用户计算机设备U和网络计算机设备N之间计算机辅助交换密钥的方法

信息技术系统受到各种威胁。例如传输的信息可能被未经授权的第三方监听并被其改变。当两个通信方通信时，另一个危险存在于使用通信方的错误标志符进行欺骗。

通过不同的安全机制预见这种和另外一种威胁，在威胁前，安全机制保护信息技术系统。为安全使用的安全机制是对传输的数据加密。因此，可以加密两个用户方之间通信关系的数据，但必须在传输实际数据前，首先进行准备加密这一步骤。例如该步骤可能包括通信双方在加密算法上取得一致和在必要时公共密钥协调一致。

在移动无线通信系统中，安全机制加密具有特别意义，因为在这个系统中，传输的数据可以被每个第三方监听，而第三方不需要特别的费用。

这将导致选择已知安全机制、将这些安全机制适合组合以及规定通信协议的要求，由此保证信息系统的安全。

这里公开了计算机辅助交换密钥的不同的非对称方法。非对称方法适合于移动无线通信系统，它们是A.Aziz，W.Diffie，＂Privacv andAuthentication for Wireless Loeal Area Networks＂(无线局域网的保密和签别)，IEEE Personal Communieations，1994，25页至31页和(M.Beller，＂Proposed Authentication and Key Agreement Protocol forPCS＂(对PCS建议的签别和密钥协定协议)，关于个人通信的保密和签别的联合专家会议，P&A JEM 1993，1993，1页至11页。

在A.Aziz，W.Diffiie，＂Privaey and Authentication for Wireless LocalArea Networks＂(无线局域网的保密和签别)，IEEE PersonalCommunieations，1994，25页至31页中说明的方法明确涉及局域网并且在密钥交换期间对通信方的计算机设备的计算性能提出较高要求。此外在这个方法中，比根据本发明的方法需要更多的传输容量，因为消息长度比根据本发明的方法的长度长。

在M.Beller，＂Proposed Authentication and Key Agreement Protoeolfor PCS＂(对PCS建议的签别和密钥协定协议)，关于个人通信的保密和签别的联合专家会议P&A JEM 1993，1993，1页至11页)没有集成一些基本的安全机制。没有通过用户实现网络的明确授权。此外，在用户端不验证一个从用户传输到网络的密钥。对于网络也没有预先规定保证密钥的适时性。这个方法的另外的缺点是在通过用户对密钥的隐含鉴定时对拉宾算法的限制。它限制了方法的灵活应用。此外，没有预先规定一个安全机制，这个安全机制保证数据传输的不可否认性。首先在建立用于移动无线电系统不可撤消的计费结算时，这是一个明显的缺点。这种国家标准组织在技术中作为数字符号标准使用的限制签名功能的方法(NIST DSS)限制了该方法的普遍应用性。

本发明的问题在于说明一种计算机辅助交换密钥的方法，它避免了上述缺点。

通过根据权利要求1的方法解决了上述问题。

通过根据本发明方法实现的优点首先是该方法比已经公开的方法具有更高的安全范围并且显著降低了传输消息长度。根据本发明的方法实现了下面的安全机制：

-用户和网络相互明确的鉴定，即相互确认声明的标识，

-使用双方隐含的鉴定，协议用户和网络间密钥，也就是通过本发明在结束这个过程后，一个公开秘密会话密钥可供使用，每个通信方从中得知仅鉴定的对方可同样拥有秘密的会话密钥，

-保证用户和网络会话密钥更新，

-用户和网络双方确认会话密钥，即验证对方实际拥有协议的秘密会话密钥，

-用户匿名，即对于第三方，用户标识的机密性，

-在用户方对由用户向网络发送的数据的不可否认性，

-从网络向用户发送网络公开密钥的证书，

-经确认权限向网络发送用户公开密钥的证书。

另外根据本发明方法与对称加密算法相比显著的优点是：计算强度高的模块取幂运算仅必须在双方执行两次，这能有很高地协议处理速度。

根据本发明权利要求3的方法另外的改进附加实现了另外的安全机制，在用户和网络之间交换公开密钥的证书。

此外根据本发明的方法可以很容易地适用于不同要求，因为它不局限于确定的加密算法。

在从属权利要求中给出本发明的另外改进。

图示说明了本发明优选的实施例，在下面将对它详细说明。

图中：

图1a、b说明根据本发明权利要求1的方法的流程图，

图2a、b说明根据本发明权利要求3的方法的简图。

根据图1a、b和图2a、b进一步说明本发明。

图1a、b通过简图说明根据权利要求1的根据本发明方法的流程。这个方法在用户计算机设备U中预先规定一个可用的值得信任的公开网络密钥g^s。此外在网络计算机设备N中还预先规定一个可用的值得信任的公开用户密钥g^u。

在开始时，图1a、b说明的根据本发明的方法在网络计算机设备N中生成一个随机数t。通过在网络计算机设备N中有限数组中生成的元素g，第一个随机数t构成第一个值g^t。

对称算法基本上基于复杂理论的两个问题，即有效地对合数因子分解和离散对数问题(DLP)。DLP是在一个适合的计算结构中可以有效地执行幂运算，然而这个运算的逆运算即对数运算却没有一个已知的有效算法。在上面说明的有限数组中可以理解这个计算结构。例如这是有限域的乘法数组(例如乘数p，其中p是一个大质数)或者是所谓的“椭圆曲线”。因为在相同的安全级别上，椭圆曲线允许短得多的安全参数，所以对椭圆曲线特别感兴趣。这关系到公开密钥的长度、证书的长度、在协议会话密钥中交换消息的长度以及数字符号的长度，它们将在以下分别说明。这是基于用于椭圆曲线已经公开的对数方法与用于有限域已经公开的对数方法相比效率低得多。在这个关系中，大质数意味着必须选择使取对数运算费时的质数数值，以致于不能在合理时间内完成这个运算。在这个关系中，合理意味着根据安全策略对于信息系统的时间从几年到十几年或更长。

在计算第一个值g^t后形成第一个消息M1，它至少具有第一个值g^t。在网络计算机设备N中对第一个消息M1编码，并且传输到用户计算机设备U。在用户计算机设备U第一条消息M1被解码。

此外，在用户计算机设备U中生成第二个随机数r。第二个随机数r，通过根据已选择的在以上已经说明的计算结构生成的元素g计算第二个值g^r。

对一个在用户计算机设备U中可用的公共密钥用第二个随机数r取幂并且因此生成第一个中间密钥K1。

使用第一个中间密钥K1，应用一个加密算法Enc，加密用户计算机设备U的一个标识IMUI。被加密的标识说明IMUI构成第一个加密项VT1。

此外，通过对第一个值g^t用秘密用户密钥u取幂的方法，在用户计算机设备U计算第二个中间密钥K2。

以位方式对第一个中间密钥K1和第二个中间密钥K2使用异或函数，计算一个会话密钥K。用户常数constu不仅对用户计算机设备U是已知的而且对于网络计算机设备N也是已知的。使用会话密钥K，应用函数f，通过加密用户常数Constu生成第一个应答A。

函数f例如可以是一个对称加密算法或一个哈希算法或者一个单向函数。在这个关系上，单向函数是一个不可能已知函数值计算适合输入值的函数。哈希函数是一个压缩单向函数，其中在一个哈希函数中，一个任意长度的输入字符序列在输出字符序列中都映射成固定长度。另外在这个关系中对于单向函数或哈希函数都要求免冲突，也就是一定不可能发现给出相同输出字符序列的两个不同的输入字符序列。已知的哈希函数例如是MD2算法或MD5算法。

接下来在用户计算机设备U中生成第二条消息M2，这里第二条消息至少包括第二个值g^r、第一个加密项VT1和第一个应答A。在用户计算机设备U中第二条消息M2编码并且传输到网络计算机设备N。

通过在第二条消息M2中传输的第二个值g^r，网络计算机设备可能独自形成第一个中间密钥K1，而不需要一定传输第一个中间密钥K1，这之所以被实现，是因为仅仅用户计算机设备U和网络计算机设备N拥有第一个中间密钥K1。

第一个应答A用于验证会话密钥，这个密钥也可以由网络计算机设备N类似于下面说明的方法生成，而不需要一定必须传输会话密钥K。

在接收第二个消息M2后，在网络计算机设备N中第二条消息M2被编码。接下来通过对第二个值g^r用秘密网络密钥s取幂的方法，在网络计算机设备N中计算第一个中间密钥K1。因此网络计算机设备N可能使用以上已经计算的第一个中间密钥K1对要传输的第一个加密项VT1加密。

对第一个加密项VT1解密并因此鉴定第二条消息M2的发送者是用户计算机设备U。在网络计算机设备N中，在值得信任的方法中，用户密钥g^u是可用的，用第一个随机数t对公开密钥g^u取幂，在网络计算机设备N中生成第二个中间密钥K2。

同样，在网络计算机设备N中，以类似于用户计算机设备U中的方法，通过第一个中间密钥K1和第二个中间密钥K2位方式的异或运算得出会话密钥K。

借助于会话密钥K，应用函数f，可以根据函数是何种方式，使用不同的方法检验第一个应答A。通过第一个应答(A)可以实现对用户计算机设备U明确鉴定，因为除了网络计算机设备(N)，仅有用户计算机设备(U)知道会话密钥(K)。

如果用对称加密算法函数实现函数f，那么可以有两种方式传输第一个应答：

可使用会话密钥K，应用函数f，在网络计算机设备N中加密网络计算机设备N已知的用户常数constu，并且其结果可以直接和第一个应答A比较。如果结果和第一个应答A一致，那么保证密钥K的正确性。

然而还可能使用在网络计算机设备N中计算得到的会话密钥K对应答解密，并且一个因此得到的解密用户常数constu′和已知的用户常数constu比较。当用户常数constu和解密后的用户常数constu′一致时，那么同样保证会话密钥的正确性。

如果函数f通过一个哈希函数实现，那么当然不可能对第一个应答A解密。因此在同样条件下，仅仅可能如此设计检验：应用函数f，用户常数constu和会话密钥K提供一个和第一个应答A比较的结果。

接下来在网络计算机设备N中，应用函数f，使用检验后的会话密钥K加密网络函数constn并且生成第二个应答B。

在网络计算机设备N中生成第三条消息M3，M3至少包括第二个应答B。第三条消息M3在网络计算机设备N中被编码并且传输到用户计算机设备U中。

在用户计算机设备U中对第三条消息M3解码，并且接下来以类似于以上说明的用于用户第一个应答A的方法检验第二个应答B。

对于在用户计算机设备U中不知道公共密钥g^s的情况下和在网络计算机设备N中不知道公共用户密钥g^u或不存在值得信任方法的情况下，应用根据本发明方法的权利要求3的另外改进。这个发明的另外改进在图2a、b中说明。

如果为交换公开网络密钥g^s和公开用户密钥g^u，预先规定使用用户证书CertU和网络证书CertN，那么如果当已存在若干个值得信任的确认权限时，用户计算机设备U通知网络从它的确认权限中用户计算机设备U可以优先地验证网络证书CertN。

例如这些可以通过下面内容实现：在开始根据本发明的方法时，一条确认消息从用户计算机设备U传输网络计算机设备N。证书消息在这个关系上至少具有一个确认计算机设备的标识说明。从这个确认计算机设备中，网络计算机设备N可以得到网络证书CertN，它可以由用户计算机设备U验证。

在网络计算机设备N从确认计算机设备CA得到网络证书后，网络证书CertN被传输到用户计算机设备U。

这通过以下办法实现：在第一条消息M1中附上网络证书CertN。在用户计算机设备U中，在第一条消息M1被解码后，在这种情况下验证网络证书CertN，并因此用户计算机设备U得到一个值得信任的公开网络密钥g^s。

在用户计算机设备U中依次确定用户证书CertU，并且在应用生成第一个加密项VT1的加密函数Enc时，代替第一个中间密钥K1对用户计算机设备U的标识说明IMUI加密。因此可能在传输第二条消息M2时，不需要向未被授权的第三方公开用户计算机设备U的标识的情况下，传输用户证书CertU。在网络计算机设备N中对第一项VT1解密后，由网络计算机设备验证因此得到的用户证书CertU。使用这些方法实现了值得信任的网络证书CertN和用户证书CertU的交换。

Claims

1、在用户计算机设备(U)和网络计算机设备(N)之间计算机辅助交换密钥的方法，

-其中在网络计算机设备(N)中生成第一个随机数(t)，

-其中在网络计算机设备(N)，从第一个随机数(t)中借助于一个有限数组中产生的元素(g)，计算得出第一个值(g^t)，

-其中在网络计算机设备(N)中，构造第一个消息(M1)，这个消息至少具有第一个值(g^t)，

-其中第一个消息(M1)从网络计算机设备(N)传输到用户计算机设备(U)，

-其中在用户计算机设备(U)中生成第二个随机数(r)，

-其中在用户计算机设备(U)中，第二个随机数(r)借助于有限数组中产生的元素(g)计算得出第二个值(g^r)，

-其中在用户计算机设备(U)中以下面说明的方法计算第一个密钥(K1)：对一个公开网络密钥(g^s)用第二个随机数(r)取幂，

-其中在用户计算机设备(U)中以下面说明的方法计算第二个密钥(K2)：对第一个值(g^t)用一个保密的用户密钥(u)取幂，

-其中在用户计算机设备(U)中，通过第一个中间密钥(K1)和第二个中间密钥(K2)的逻辑运算，计算会话密钥(K)，

-其中在用户计算机设备(U)中，形成第二个消息(M2)，这个消息至少具有第二个值(g^r)，

-其中第二个消息(M2)从用户计算机设备(U)传输到网络计算机设备(N)，

-其中网络计算机设备(N)中，通过下面方法计算第一个中间密钥(K1)：对第二个值(g^r)用一个保密的网络密钥s取幂，

-其中在网络计算机设备(N)中，通过对一个公开用户密钥(g^u)用第一个随机数(t)取幂的方法，计算第二个中间密钥(K2)，并且

-其中在网络计算机设备(N)中，通过第一个中间密钥(K1)和第二个中间密钥(K2)的逻辑运算，计算会话密钥(K)。

2、根据权利要求1的方法，

-其中在用户计算机设备(U)中，应用加密函数(Enc)，使用第一个中间密钥(K1)对用户计算机设备(U)的标识说明(IMUI)加密，计算第一个加密项(VT1)，

-其中第二个消息(M2)至少附加具有第一个加密项(VT1)，

-其中在用户计算机设备(U)中，加密第一个加密项(VT1)，并且

-其中在网络计算机设备(N)中检查用户计算机设备(U)的标识说明(IMUI)。

3、根据权利要求1或2的方法，

-其中在用户计算机设备(U)中，通过第一个中间密钥(K1)和第二个中间密钥(K2)位方式的异或运算计算会话密钥，和

-其中在网络计算机设备(N)中，通过第一个中间密钥(K1)和第二个中间密钥(K2)位方式的异或运算计算会话密钥。

4、根据权利要求1至3之一的方法，

-其中在用户计算机设备(U)中，通过一个用户常数(constu)和会话密钥(K)构成的函数(f)，形成第一个应答(A)，

-其中第二条消息(M2)至少附加具有第一个应答(A)，

-其中在网络计算机设备(N)中检查第一个应答(A)。

5、根据权利要求1至4之一的方法，

-其中在网络计算机设备(N)中，通过应用网络常数(constn)和会话密钥(K)的构成的函数(f)，计算第二个应答(B)，

-其中第三个消息(M3)从网络计算机设备(N)传输到用户计算机设备(U)，其中第三个消息(M3)至少包含第二个应答(B)，

-其中在用户计算机设备(U)中检查第二个应答(B)。

6、根据权利要求1至5之一的方法，

其中在开始本方法时，一条确认消息从用户计算机设备(U)发送到网络计算机设备(N)，这里确认消息至少包括一个确认计算机设备的标志说明，该设备提供网络证书(CertN)，该标志可以由用户计算机设备(U)确认。

7、根据权利要求1至6之一的方法，

-其中第一条消息(M1)附加具有用户计算机设备(U)的公开网络密钥(g^s)的网络证书(CertN)，

-其中在用户计算机设备(U)验证网络证书(CertN)，

-其中在用户计算机设备(U)中通过应用一个加密函数(Enc)，使用第一个中间密钥(K1)加密用户计算机设备(U)公开的用户密钥(g^u)的用户证书(CertU)以构成第一个加密项(VT1)，

-其中在用户计算机设备(N)中，验证用户证书(CertU)。

8、根据权利要求1至7之一的方法，

-其中函数(f)说明一个对称的加密算法、一个哈希算法或者一个单向(einweg)函数。

-其中在网络计算机设备(N)中对第一个应答(A)的检查包括应用于用户常数(constu)和在网络计算机设备(N)中计算得出的会话密钥(K)的函数(f)，并且检查该结果和第一个应答(A)是否一致，和

-其中在用户计算机设备(U)中对第二个应答(B)的检查包括应用于网络常数(constn)和在用户计算机设备(U)中计算得出的会话密钥(K)的函数(f)，并且检查该结果和第二个应答(B)是否一致。

9、根据权利要求1至8之一的方法，

-其中函数(f)表示一个对称的加密算法，

-其中在网络计算机设备(N)中对第一个应答(A)的检查包括在网络计算机设备(N)中使用在网络计算机设备(N)中计算得出的会话密钥(K)解密第一个应答(A)，并且解密后的用户常数(constu′)和用户常数(constu)比较，和

-其中在用户计算机设备(U)中对第二个应答(B)的检查包括在用户计算机设备(U)中使用在用户计算机设备(U)中计算得出的会话密钥(K)解密第二个应答(B)，并且解密后的网络常数(constn′)和网络常数(constn)比较。