WO2010105479A1 - 一种身份认证及共享密钥产生方法 - Google Patents

Description

一种身份认证及共享密钥产生方法 技术领域

本发明涉及加密技术， 特别涉及一种身份认证和密钥协商方法。

背景技术

在通信、 电子商务、 金融、 数据传送、 内容保护等领域， 身份认证和密 钥协商是安全的基础。 认证的目的是确认参与双方的身份， 从而为后续的安 全通信、 赋予相关权限做准备。

身份认证从技术上可以分为三类： 基于口令的认证、 基于对称密钥的认 证以及基于公钥体制的认证。 从实现方式上可以分为： 有第三方参与的认证 和没有第三方参与的认证。 基于口令的认证目前在互联网、 金融等方面由于 其简单性还在广泛使用， 比如电子邮箱账户的密码登陆、 银行卡的密码等。 基于对称密钥的认证目前也在广泛使用，比如 IC卡内部认证和外部认证方式。 这两种方式的特点就是简单实用， 但是安全性不高， 很容易被破解， 只能在 安全性要求不高的场合， 或者在安全性要求高的场合辅之以其它的方法进行 安全保证才能实用。 随着对安全性要求的增加， 目前在安全性要求高的场合 一般都采用了公钥体制的认证，典型的就是 PKI (Public Key Infrastructure) 机制， 目前在互联网、 金融、 电子商务等领域已经得到了大量的使用。 基于 公钥体制的认证， 目前大量采用的公钥算法是 RSA和 ECC, 特点是安全性高， 缺点是运算复杂， 耗用资源多， 结果芯片实现则规模大， 成本高。 这也是 ECC 算法已经出现多年但是目前并未得到芯片大规模支持的原因之一。 此外， 公 钥的认证一般采用数字证书的方式来确认对方身份， 在认证的过程中需要交 换证书， 并且需要对对方的证书的合法性进行验证， 这将耗费一定的数据带 宽， 也耗用较大的计算资源， 在某写场合， 可能已经没有办法实现。 比如对

IC卡的认证。中国专利公开号 CN101064610A公开了一种身份认证技术和密钥 协商 （共享） 技术， 该技术主要实现方法如下：

1) 密钥颁发机构从自己的密钥库中给每个主体产生一对公钥 /私钥， 每 个设备的公钥 /私钥对均不一样， 这样可以实现对某个指定设备的吊销。 令设 备的公钥为 ^P2 K Pn) , 私钥为 S = ^S2 L ^)，其中， 和 均为 1

Xn的向量；

2) 每个设备将公钥 /私钥对均保存在设备中， 其中私钥要求秘密保存， 不允许其它设备访问， 公钥可以让其它的设备访问；

3) 假定认证发起方的公钥为 ^， 私钥为 ，认证参与方的公钥 ^， 私钥 为^。认证发起方发起认证请求， 首先产生一个随机数 R, 并和其公钥一起传 送给认证参与方。认证参与方获得认证请求， 在接收到认证发起方的随机数 R 和和公钥 后， 将自己的公钥 传送给认证发起方；

4)认证参与方开始计算 ^K2 = X^， 由于 为 ΙΧη向量， 为 的转 置向量， 即为 nXl向量， 所以两者之积 为一个常标量。 然后认证参与方计 算 =/^₂，R)，并将结果传送给认证发起方；

5)认证发起方计算 = ^χ^^τ， 由于 ^为 ΙΧη向量， ^为 nXl向量， 所以两者之积 为一个常标量。然后认证发起方计算 = ， ，并将结果传 送给认证参与方；

6) 认证双方将 A与 ^进行比较， 如果两者相等， 则认为认证通过， 否则 认证失败； 7) ^{y =} ( ' 一般事先约定， 并采用密码学领域的单向算法， 如 HASH 算法、 加密等；

8) 由于每对公钥 私钥 ^均是配对的， 因此本系统中同样可以使用黑名 单功能，即将公钥 定义为黑名单的成员，就可以达到数字证书黑名单的功能。

该算法应用于密钥协商的方法如下：

1 ) 可信管理机构 TA 为每台设备各分配两个指数向量

^=(«1 «2 Κ „)_1χ„， ^二 (Α βι Κ A)lx„ , 其中" ， 为公开参数， β^ ^ζΡ , 为秘密参数； 要求对于任意的两个设备 υ 和 V， 均有

2)设参与通信的双方为 U和 V，则双方各有自己的指数向量 、 和 、

I,

3) U首先产生一个随机数 ，并将 和 传送给 V；

4) V接收到 和 后， 将 传送给 U;

5) U开始计算:

然后计算：

K = f{K_vu,R,)^

6) V开始计算:

K_uy =^_υ x modp

然后计算：

K = f{K_uv,R,)^ 以上两歩中， /0为事先约定的一个函数， 可以是 hash 函数、 加密函数 或者其它的不可逆函数以及他们的组合。

7) U再次产生一个随机数 ^，并将 ^传送给 V； 随后计算^ ^{= £}( ^ _;

8) V同时也产生一个随机数 ，并将 传送给 U;随后计算 ^{= £}( ^)；

9) U使用自己计算出的 Κ作为加密的密码， 对 进行加密 ^{= £}(^，^)； 然后将结果 传送给 V；

10) V使用自己计算出的 Κ作为加密的密码，对 进行加密 ^ ^{= E(R} ； 然后将结果 传送给 U;

11 ) U接收到 V传送的 后， 将 与 ^e^进行比较， 如果相同则认为对 方已经产生了与自己相同的密钥；

12 ) V接收到 U传送的 后， 将 与 进行比较， 如果相同则认为对 方已经产生了与自己相同的密钥；

以上过程全部通过， 则双方采用 K作为共同密钥进行后续通信。 或者使 用 K来加密传送后续通信的密钥。

上述方法在实现上虽然非常简单， 但是， 在理论上， 该方法存在一定的 安全问题。 即理论上， 如果获得了足够多的公钥和私钥 （已经有相关文献报 导）， 则第三方可以自有产生与原系统完全兼容的公钥和私钥。

发明内容

本发明所要解决的技术问题， 就是针对现有技术的上述缺点， 提供一种 身份认证方法及其共享密钥产生方法。

本发明解决所述技术问题， 采用的技术方案是， 一种身份认证方法及其 共享密钥产生方法， 包括密钥颁发机构， 用于向设备颁发公钥和私钥； 每个 设备至少具有一对公钥 和私钥 所述密钥颁发机构设定关联系数 k、 回归 系数 a、 模数 m及偏移向量 ;其中， k、 a为自然数， 且 k≠0; 、 、 均 为 ΙΧη的向量， 1 为 2的自然数； 设认证发起方的公钥为 PA， 私钥为 ^sA， 认证参与方的公钥为 ^Pb， 私钥为 ^Sb; 其特征在于， 包括以下歩骤：

a、 认证发起方发起认证请求， 并将其公钥^传送给认证参与方； b、 认证参与方获得认证请求后， 将其公钥 ^传送给认证发起方； c、 认证发起方计算： M_A =kx(p_Bxs +p_Bxe^T + a) _mod«¾； 认证参与方计算： M_B =kx(p_Axs + p_Axe^T + a) _mod«¾ . 其中， 为 ^SA的转置向量； ^为 的转置向量； 为 的转置向量； d、 以 ^MA、 ^MB作为认证的根据， 两者相同则认证成功， 否则认证失败。 本发明的有益效果是：

(1) 设备可以获取的公钥和私钥对无法直接组成线性方程组， 因此没有 办法直接破解本系统， 安全性高；

(2) 公钥 和私钥 ^的选取， 可以采取一定的措施， 比如保持一定的线 性相关性， 则本发明理论上很难破解；

(3) 方案的参数如果选择适当， 则乘法可以转换为加法， 实现简单， 芯 片规模小， 非常有利于降低成本， 比如， n维向量中的每个成员选为 2bit， 则 M_A、 M_B通过加法运算即可得到。 具体实施方式

下面结合实施例， 详细描述本发明的技术方案。

首先， 成立一个密钥颁发机构， 向设备颁发公钥和私钥。 每个设备除了 有一对配套的公钥 和私钥 外， 还可以保存有其他设备的公钥， 作为合法 身份名单。 其中， 私钥要求持有方秘密保存， 不可向外泄露。 密钥颁发机构 设定关联系数 k、偏移向量 ^、 回归系数&、 模数 m; k、 a为自然数， 且1^≠0。 这些参数仅向软件开发商或者芯片开发商授权， 不对外公开。 、 均为 ΙΧη的向量， 1 为 2的自然数。 n—般应大于等于 20，维数越大保密性越强， 但计算也会越复杂。 作为芯片应用， 去 n = 20就可以了。 如果设备：[、 设备 j 为 任 意 两 台 设 备 ， 其 配 对 公 钥 和 私 钥 满 足 条 件 ： kx(pxs_J ^T + pxe^T + a)_≡kx(p^xs₁ ^T + p_jxe^T + a)_modw¾ ^ 其中， 为 的转置向量；

^为 的转置向量； 为 ^sj的转置向量。 假定设备 A为认证发起方， 其配对 公钥为 ^Pa、 私钥为 ^Sa; 设备 B为认证参与方， 其配对公钥为 PB， 私钥为 ^SB 。 设备 A和设备 B (统称为认证双方） 认证成功的条件为下述同余式成立：

→ → → → → → → →

kx(p_Axs + p_Axe^T + a)≡kx<;p_Bxs + p_Bxe^T + a) _{modm (1}) 其中， 为 ^SA的转置向量； ^为 的转置向量； 为 的转置向量。 实施例 1 本发明应用于单向认证和密钥协商。

单向认证是指设备 A认证设备 B, 而设备 B不需要认证设备 A的情况。 首先， 密钥颁发机构从自己的密钥库中给每个主体 （设备） 分配一对公 钥 和私钥 ， 密钥颁发机构的密钥库必须保密， 认证主体的私钥也必须保 密。每个设备的公钥 /私钥对均不一样，这样可以实现对某个指定设备的吊销。 每个设备将公钥 /私钥对均保存在设备中， 其中私钥要求秘密保存， 不允许其 它设备访问。 公钥可以让其它的设备访问； 第二歩， 假定认证发起方的配对公钥为^、 私钥为 ^，认证参与方的配 对公钥 、 私钥为 ^。 认证发起方发起认证请求， 首先产生一个随机数 ， 并与其公钥 A一起传送给认证参与方；

第三歩， 认证参与方获得认证请求， 在接收到认证发起方的随机数 和 公钥^后， 产生一个随机数 ， 并与自己的公钥 一起传送给认证发起方； 第四歩， 认证发起方和认证参与方在收到对方发送的公钥信息后， 检查 其公钥是否在自身黑名单中， 如果在黑名单中， 则中止后续过程， 否则继续; 第五歩， 认证发起方计算

计算认证数据

K_M_A =B_E(M_A,R_A HR^ mod^ (3)

计算认证码 ^CA :

C_A =B_E_l(K_M_A,R_A \\R_B) _mod m (4)

认证参与方计算 ^MB B =kx(p_Axs^ + p_Axe^T + a) mod m (5) 计算认证数据 - ^MB :

K_M_B =B_E(M_B,R_A \\R_B) _{mod m} (₆) 计算认证码 ^CB :

C_B =B_E_l(K_M_B,R_A II R_B) _{mod m (7}) 认证参与方将 发送给认证发起方。认证发起方等待对方返回 C_B，如果规 定时间没有收到， 则认证失败。

认证发起方将收到的 与自己计算所得的 ^进行比较， 如果相同则认为 对方身份合法， 并且产生了共同的密钥 -^Λ^， 认证成功。 如果不相同， 则认 证失败。

认证成功后，认证双方以 -^M^作为共享密钥的初始值， 以此产生认证双 方通信密钥， 或直接以 -^Λ ^作为后续通信的密钥。

这里根据情况， 认证发起方或者认证参与方可以只有一方产生和传送随 机数， 而另外一方可以不需要产生和传送。 假设设备 B不产生随机数， 则以 上运算中 ¹¹ 变为 ， 如： K_M_A =B_E(M_A,R_A)_f C_A =B_E_l(K_M_A,R_A)_o 上式中， ii^表示 和 两个数直接串联组合为一个数， 比如 =10234， ^RB =88756,则 ^ 11^=1023488756。

如果仅作认证， 则不需要进行公式 （4)、 (7) 的运算， 可以直接对认证 数据 -^MA、 -^MB进行比较， 相同则认证成功。

上式中， _ 0定义为一种运算， 比如加密运算、 HASH运算、 HMAC运算 等。 S_£0和 _ 0可以相同， 也可以不同。 公式（3)、 (4)、 (5)、 （6)、 (7) 的运算， 都是为了增加数据传送过程中的安全性。

实施例 2

该方案应用于双向认证和密钥协商。

双向认证是指设备 A和设备 B需要相互确认对方身份的情况。

(1) 假定认证发起方（设备 A)的公钥为 ^， 私钥为 ^，认证参与方（设 备 B) 的公钥 ^， 私钥为

(2) 认证发起方发起认证请求，首先产生一个随机数 ^，并与其公钥 ^ 一起传送给认证参与方；

(3) 认证参与方获得认证请求，在接收到认证发起方的随机数 和和公 钥^后， 产生一个随机数 ， 并与自己的公钥 一起传送给认证发起方；

(4) 认证发起方和认证参与方在收到对方发送的公钥后， 检查其公钥 否在自身黑名单中， 如果在黑名单中， 则中止后续过程， 否则继续；

(5) 认证发起方计算 ^MA :

M_A =kx(p_Bxs +p_Bxe^T + a) _modm (8) 计算认证数据 -^M

K_M_A =B_E(M_A,R_A) _modm (9)

计算认证码 、 ^CB

C_A =B_E_l(K_M_A,R_A) _modm (10)

C_B =B_E_l(K_M_A,R_B) _m0dm (11)

认证参与方计算 ^MB

M_B

+ p_Axe^T + a) _modm (13)

计算认证数据 -^Ms :

K_M_B =B_E(M_B,R_A) _modm (14)

计算认证码 G、 ^CB'

C_A =B_E_l(K_M_B,R_A) _m0dm (15)

C_B =B_E_l(K_M_B,R_B) _mod n, (16)

(6) 认证参与方将 发送给认证发起方， 并在规定时间等待对方返回 B, 如果规定时间没有收到， 则认证失败；

(7) 认证发起方将收到的 与自己计算的 ^进行比较， 如果相等则认 为对方身份合法， 并且产生了共同的密钥 ^Κ-^ΜΑ ^Κ-^ΜΒ ~)，否则认证失败; (8) 认证发起方将 ^发送给认证参与方， 等待对方返回 如果规定时 间没有收到， 则认证失败；

(9) 认证参与方将接收到的 ^与自己计算的 进行比较， 如果相等则 认为对方身份合法， 并且产生了共同的密钥 ί ^Κ-^ΜΑ ^^Κ—^ΜΒ、, 否则认证失 败；

(10)认证成功后， 认证双方以 -^M^作为共享密钥的初始值， 以此产生 认证双方通信密钥， 或直接以 ^K 作为后续通信的密钥。

Claims

权 利 要 求 书

1、 一种身份认证及共享密钥产生方法， 包括密钥颁发机构， 用于向设备 颁发公钥和私钥； 每个设备至少具有一对公钥 和私钥^ ; 所述密钥颁发机 构设定关联系数 回归系数&、 模数 m及偏移向量 ^ 其中， k、 a为自然数， 且1^≠0； 、 均为 Ι Χ η的向量， 1 为 2的自然数； 设认证发起方的 公钥为 P!， 私钥为 S^→ _a， 认证参与方的公钥为 ¾， 私钥为 S^→ _{b ;} 其特征在于， 包 括以下歩骤：

a、 认证发起方发起认证请求， 并将其公钥 ^传送给认证参与方； b、 认证参与方获得认证请求后， 将其公钥 ^传送给认证发起方； c、 认证发起方计算： M_A = kx (p_Bx s^+ p_Bxe^T + a) mo d «¾ ；

认证参与方计算： M_B = kx(p_Ax Sg + p_Axe^T + a) mo d «¾ ；

其中， 为 s^→ _A的转置向量； i e^→的转置向量； s 为 的转置向量； d、 以 M_A、 M_B作为认证的根据， 两者相同则认证成功， 否则认证失败。

2、 根据权利要求 1所述的一种身份认证及共享密钥产生方法， 其特征在 于， 所述 n 20。

3、 根据权利要求 1或 2所述的一种身份认证及共享密钥产生方法， 其特 征在于， 歩骤 a和 b中， 收到对方公钥后， 判断其是否合法， 是则继续后续 歩骤， 否则终止后续歩骤。

4、 根据权利要求 1、 2或 3所述的一种身份认证及共享密钥产生方法， 其特征在于， 所述公钥 ;和私钥 ^具有线性相关性。

5、根据权利要求 1、 2、 3或 4所述的一种身份认证及共享密钥产生方法， 其特征在于， 认证成功则以 M_A作为认证双方共享密钥的初始值， 以此产生认 证双方通信密钥。

6、 根据上述任意一项权利要求所述的一种身份认证及共享密钥产生方 法， 其特征在于，

歩骤 a还包括， 认证发起方产生一个随机数 R_A， 并传送给认证参与方； 歩骤 c还包括：

认证发起方对 R_A、 M_A进行运算得到 B_E(M_A,R_A) _;

认证参与方对 R_A M_B进行相同的运算得到 B_E(M_B,R_A)；

歩骤 d为： 以 B_E(M_A,R_A)、 B_E(M_B,R_A)作为认证的根据， 两者相同则认证 成功， 否则认证失败。

7、 根据权利要求 6所述的一种身份认证及共享密钥产生方法， 其特征在 于，认证成功则以 B_E(M_A,R_A)作为认证双方共享密钥的初始值， 以此产生认证 双方通信密钥。

8、 根据权利要求 6所述的一种身份认证及共享密钥产生方法， 其特征在 于，

歩骤 b进一歩包括， 认证参与方产生一个随机数 R_B， 并传送给认证发起 方；

歩骤 c中， 认证发起方对 M_A、 R_A、 R_B进行运算得到 B_E(M_A,R_A，R_B) ; 认 证参与方对 M_B、 R_A、 R_B进行相同的运算得到 B_E(M_B,R_A，R_B) _;

歩骤 d为： 以 B_E(M_A,R_A，R_B)、 B_E(M_B,R_A，

认证根据， 两者相同则 认证成功， 否则认证失败。

9、 根据权利要求 8所述的一种身份认证及共享密钥产生方法， 其特征在 于， 认证成功则以 B_E(M_A,R_A,R_B)作为认证双方共享密钥的初始值， 以此产生 认证双方通信密钥。

10、 根据上述任意一项权利要求所述的一种身份认证及共享密钥产生方 法， 其特征在于， 该方法可以用于认证发起方对认证参与方的单向认证， 也 用于认证发起方和认证参与方的相互认证。