[发明专利]一种增强保护的非对称密钥协商方法

权利要求书

1.一种增强保护的非对称密钥协商方法，其特征在于，该方法是基于离散对数签密技术的技术方案或者基于椭圆曲线签密技术的技术方案；

基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；

a1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

a1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，q-1]；

整数x是取自乘法群 的随机数，q是p-1的素因子，p是一个大素数；

a1.2密钥协商的发起者计算临时密钥 将临时密钥k按照步骤a1.3和a1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，q-1]，密钥协商的应答者相应的公钥 g是乘法群 中的一个q阶元素，mod是代数模运算；

a1.3密钥协商的发起者利用临时加密密钥k₁加密共享密钥生成元素g^x，得到 

是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a1.4密钥协商的发起者计算签名 和s＝x/(r+x_a)；

是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，q-1]，密钥协商的发起者相应的公钥 

a1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者；

a2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

a2.1密钥协商的应答者利用{r，s，g，p，q，y_a，x_b}计算u＝(s·x_b)mod q，恢复临时密钥k＝hash((y_a·g^r)^umodp)，并将临时密钥k按照步骤a2.2和a2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

a2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到 

是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法 相对应；

a2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且 的计算结果等于r，则密钥协商的应答者接受g^x作为密钥协商的发起者产生的共享密钥生成元素，继续步骤a2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；

a2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；

a2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素g^y，得到加密密文 

TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

a2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息 

a2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；

a3密钥确认阶段

密钥确认阶段包括以下具体步骤：

a3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到 

a3.2密钥协商的发起者计算共享密钥σ^*＝(g^y)^x；

a3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且 的计算结果等于r^*，则密钥协商的发起者接受σ^*＝(g^y)^x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝(g^y)^x，继续步骤a3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；

a3.4密钥协商的发起者利用共享密钥σ^*＝(g^y)^x产生密钥确认消息 将密钥确认消息{v}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法 相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

a3.5密钥协商的应答者利用共享密钥σ＝(g^x)^y解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥 σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应；

基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；

b1密钥协商发起阶段

密钥协商发起阶段包括以下具体步骤：

b1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，n-1]；

整数x是取自乘法群 的随机数，n是一个大素数，n的安全长度约等于|p|，p是一个大素数，满足p＞2¹⁶⁰；

b1.2密钥协商的发起者计算临时密钥k＝hash((xP_b)mod p)，将临时密钥k按照步骤b1.3和b1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_n∈[1，…，n-1]，密钥协商的应答者相应的公钥P_b＝(x_bG)modp，G是有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点，有限域F_p＝[0，…，p-1]上的椭圆曲线E是满足E：y²≡(x³+ax+b)modp的所有解与无穷远点O的并集，椭圆曲线方程参数a和b满足a，b∈Fp且 n是基点G在椭圆曲线E上的一个素数阶，x_bG＝x_b·G和xP_b＝x·P_b是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，mod是代数模运算；

b1.3密钥协商的发起者利用临时加密密钥K₁加密共享密钥生成元素xG，得到 

是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号，xG＝x·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.4密钥协商的发起者计算签名 和s＝x/(r+x_a)；

是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，n-1]，密钥协商的发起者相应的公钥P_a＝(x_aG)mod p，x_aG＝x_a·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者； 

b2密钥协商应答阶段

密钥协商应答阶段包括以下具体步骤：

b2.1密钥协商的应答者利用{r，s，G，p，n，P_a，x_b}计算u＝(s·x_b)mod n，恢复临时密钥k＝hash((u·P_a+u·r·G)modp)，并将临时密钥k按照步骤b2.2和b2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；

u·P_a和u·r·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，(u·P_a+u·r·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点加；

b2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到 

是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法 相对应；

b2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且 的计算结果等于r，则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素，继续步骤b2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；

b2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y·(xG)；

y·(xG)＝y·(x·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；

b2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素yG，得到加密密文 

yG＝y·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；

b2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息 

b2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；

b3密钥确认阶段

密钥确认阶段包括以下具体步骤：

b3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到 

b3.2密钥协商的发起者计算共享密钥σ^*＝x·(yG)；

x·(yG)＝x·(y·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘； 

b3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且 的计算结果等于r^*，则密钥协商的发起者接受σ^*＝x·(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝x·(yG)，继续步骤b3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；

b3.4密钥协商的发起者利用共享密钥σ^*＝x·(yG)产生密钥确认消息 将密钥确认消息{v}发送给密钥协商的应答者；

是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法 相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；

b3.5密钥协商的应答者利用共享密钥σ＝y·(xG)解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*；

D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。