[发明专利]一种椭圆曲线上的共享密钥产生方法

说明书

技术领域

本发明是一种共享密钥的产生方法，具体地说是基于椭圆曲线密码体系的一种密钥交换 方法。

背景技术

信息安全一直是各国政府、企事业单位以及个人在信息传递过程中所关注的焦点问题。 例如在军事通信中要对所传送的信息内容进行加密，以防止敌方窃取重要信息；在银行系统 中要保证交易双方的秘密信息不被泄漏，要保证对方身份的真实有效性等；在知识产权领域， 需要通过对知识产权内容进行加密、签名等手段保证不被非法窃取。对于高带宽的数字内容 传输要求，只能采用分组密码或者流密码等对称密码体制进行加密，加密与解密设备使用相 同的密钥。对于对称密码体制，通信双方必须就密钥的秘密性和真实性达成一致。在密钥的 分发上存在着诸多不便，有时也是不现实的，例如在消费电子领域，不可能任何两个设备都 拥有相同的密钥，或者一个设备拥有其他所有设备的密钥，这样也是不安全的。从而需要在 任何两个进行密文传送的设备之间现场生成共享密钥，以供通信双方对称加解密所用。

1976年Diffie和Hellman在“密码学的新方向”提出了公钥密码的思想，开创了公钥密 码学的新纪元。公钥密码体制中的DH密钥交换可以有效地解决共享密钥的产生问题，克服 了对称密码系统的不足。通信双方通过交换一个参数值，双方就可以产生一个相同的共享密 钥。公钥密码体制的安全性都是基于求解某个数学难题的，其中的椭圆曲线密码算法具有多 方面的优点。椭圆曲线的求解难度是指数级的，高于以往任何一种密码算法；在相同安全强 度下椭圆曲线具有最短的密钥长度，这样就使其减少对存储空间的要求；在数字签名与验证、 加解密等算法中，椭圆曲线的计算量小，处理速度快；当应用于短消息加密时，椭圆曲线密 码系统的带宽要求要低得多。

目前有多种共享密钥的产生算法，比如基于RSA的DH密钥交换算法和基于ECC的DH 密钥交换算法等。基于RSA的DH密钥交换算法的安全强度以及运算速度、运算量等明显不 如基于ECC的DH密钥交换算法。前述的基于ECC的DH密钥交换算法只要求整数x、y是 保密的，而其他的参数都是公开的，其交换的参数是现场计算的标量乘结果xG和yG，如图 1所示。如果选取的整数值x、y比较小，通过椭圆曲线基点G和xG或者yG就可能计算出 x、y的值，从而降低共享密钥的安全性。

本方法提出了一种崭新的密钥交换思路，预计算xG和yG的值，并保密椭圆曲线基点G 和xG或者yG等信息，通过交换整数值x、y产生共享密钥xyG。这种方法减少了通信双方 的通信量和密钥交换时的计算量，同时仅仅通过x、y的值也根本无法求解椭圆曲线点G、xG 和yG，因此具有更高的安全强度。

发明内容

本方法的目的是利用公钥密码体制中的椭圆曲线算法和DH交换算法，通过交换两个整 数值x、y产生一个用于对称密码系统的共享密钥。该方法如下：

1、首先选定椭圆曲线参数(p，a，b，G，n，h)等；

其中需要公开的参数为：

p为素域F_p的阶，a、b为椭圆曲线y²＝x³+ax+b的系数；

需要严格保密的参数为：

G为椭圆曲线上的一个点，n为点G的阶，h为余因子。

2、分别为设备A和B选择两个参数：x、y，要求x、y∈[1，n—1]，并计算椭圆曲线 标量乘xG和yG。将x和xG分配给设备A，将y和yG分配给设备B，并严格保密 xG和yG。

3、设备A发送x给设备B，设备B发送y给设备A。在x与y值的位宽选择上，因为 x、y∈[1，n—1]，所以可以选择与n同宽。

4、设备A计算标量乘y·xG得到共享密钥xyG；设备B计算标量乘x·yG，得到共享密 钥xyG。

5、设备A和设备B分别检查计算出的xyG是否为无穷远点，若是则返回第2步重新 选择密钥交换参数x、y，如图2所示。

由于信道干扰等原因导致出现误码，通信双方生成的共享密钥不一定相同，可以执行以 下步骤检测其共享密钥是否一致。

6、设备A和设备B分别用数字摘要函数计算共享密钥xyG的哈希值h1和h1’，并由 一方将计算出哈希值发送给对方。

7、另一方将接收到哈希值同自己计算的哈希值进行比较，若h1＝h1’，则密钥交换成 功；否则，返回第3步重新执行密钥交换，如图3所示。