[发明专利]基于椭圆曲线密码的传感器网络密钥管理方法

权利要求书

1.一种基于椭圆曲线密码的传感器网络密钥管理方法，其特征是包括如下步骤：

（1）在全局初始化阶段确定以下参数，即

①一个选择好的全局的阶为大素数q的椭圆曲线密码群<G,+>及其生成元g；

②全局的哈希函数H和一个全局的对称加密算法E；

③每个节点都预存储一个全局可信任证书中心的公钥P_CA；

④节点A的公私钥对(x_A∈_RZ_q^*,y_A=x_Ag),用Cert_A表示包含节点A公钥的证书，该证书由证书中心颁发；

⑤节点B的公私钥对(x_B∈_RZ_q^*,y_B=x_Bg),用Cert_B表示包含节点B公钥的证书，该证书由证书中心颁发；

上述符号_RZ_q^*表示从集合Z_q^*中随机选取一个数；

（2）节点A随机选取一个整数k_A∈_RZ_q^*，并计算u=k_Ag；再选择一个随机数R_A；然后将消息R_A||Cert_A||u发送给节点B；

（3）节点B接收到消息后，首先使用公钥P_CA验证Cert_A并提取节点A的公钥y_A；若验证失败，则拒绝通信，协议失败；

（4）若验证成功，节点B随机选取一个整数k_B∈_RZ_q^*，并计算v=k_Bg，再选择一个随机数R_B；然后依次计算K_BA2=k_By_A、K_AB2=x_Bu、v=k_Bgr_B=H(R_A||R_B||K_BA2||K_AB2||v)、w_B=r_B mod q、以及s_B=k_B+w_Bx_Bmod q；

（5）节点B将消息R_A||R_B||Cert_B||v||S_B发送给节点A；

（6）节点A接收到消息以后，首先使用公钥P_CA验证Cert_A并提取A的公钥y_A；若验证失败，则拒绝通信，协议失败；

（7）若验证成功，则节点A比较接收到的R_A与先前自己发送的R_A是否相同；若不相同，则拒绝通信，协议失败；

（8）若相同，则节点A计算K_BA1=x_Av、K_AB1=k_Ay_B、r_B=H(R_A||R_B||K_BA1||K_AB1||v)、w_B=r_B mod q、以及v'=s_Bg-w_By_B，然后比较v'=v是否成立；若不成立，则拒绝通信，协议失败；

（9）若成立，则节点A将K=K_BA1||K_AB1作为双方共享的根密钥；然后节点A以K为密钥，将加密消息HMAC_K(R_B||u)发送给节点B；

（10）节点B接收到消息后，先使用K’=K_BA2||K_AB2，并同样计算HMAC_K'(R_B||u)；后比较HMAC_K'(R_B||u)和自己接收到的HMAC_K(R_B||u)两个结果是否相等；若不相等，则拒绝通信，协议失败；

（11）若相等，则将K’=K_BA2||K_AB2作为双方协商共享的根密钥；协议完成。

2.一种基于椭圆曲线密码的传感器网络密钥管理方法，其特征是包括如下步骤：

（1）在全局初始化阶段确定以下参数，即

①一个选择好的全局的阶为大素数q的椭圆曲线密码群<G,+>及其生成元g；

②全局的哈希函数H和一个全局的对称加密算法E；

③每个节点都预存储一个全局可信任证书中心的公钥P_CA；

④节点A的公私钥对(x_A∈_RZ_q^*,y_A=x_Ag),用Cert_A表示包含节点A公钥的证书，该证书由证书中心颁发；

⑤节点B的公私钥对(x_B∈_RZ_q^*,y_B=x_Bg),用Cert_B表示包含节点B公钥的证书，该证书由证书中心颁发；

上述符号_RZ_q^*表示从集合Z_q^*中随机选取一个数；

（2）节点A随机选取一个整数k_A∈_RZ_q^*，并计算u=k_Ag；再选择一个随机数R_A；然后将消息R_A||Cert_A||u发送给节点B；

（3）节点B接收到消息后，首先使用公钥P_CA验证Cert_A并提取节点A的公钥y_A；若验证失败，则拒绝通信，协议失败；

（4）若验证成功，节点B随机选取一个整数k_B∈_RZ_q^*，并计算v=k_Bg，再选择一个随机数R_B；然后依次计算K_BA2=k_By_A、K_AB2=x_Bu、v=k_Bgr_B=H(R_A||R_B||K_BA2||K_AB2||v)、w_B=r_B mod q、以及s_B=k_B+w_Bx_Bmod q；

（5）节点B将消息R_A||R_B||Cert_B||v||S_B发送给节点A；

（6）节点A接收到消息以后，首先使用公钥P_CA验证Cert_A并提取A的公钥y_A；若验证失败，则拒绝通信，协议失败；

（7）若验证成功，则节点A比较接收到的R_A与先前自己发送的R_A是否相同；若不相同，则拒绝通信，协议失败；

（8）若相同，则节点A计算K_BA1=x_Av、K_AB1=k_Ay_B、r_B=H(R_A||R_B||K_BA1||K_AB1||v)、w_B=r_B mod q、以及v'=s_Bg-w_By_B，然后比较v'=v是否成立；若不成立，则拒绝通信，协议失败；

（9）若成立，则节点A将K=K_BA1||K_AB1作为双方共享的根密钥；然后节点A以K为根密钥，衍生出一个机密性保护密钥K_C和完整性保护密钥K_I，将加密消息发送给节点B；

（10）节点B接收到消息后，先使用K’=K_BA2||K_AB2，并同样计算以K’为根密钥，衍生出的一个机密性保护密钥K’_C和完整性保护密钥K’_I；后计算，并比较和自己接收到的是否相等；若不相等，则拒绝通信，协议失败；若相等，节点B用机密性保护密钥K’_C解密得到(R_A||R_B||u)'，比较(R_A||R_B||u)'和自己存储下来的(R_A||R_B||u)是否完全一致，若不一致，则拒绝通信，协议失败；若一致，节点B计算并组织消息发送给节点A；此时节点B认为协议成功，将在后续通信中使用机密性保护密钥K’_C和完整性保护密钥K’_I保护双方通信数据；

（11）节点A接收到消息后，计算，并比较和自己接收到的是否相等；若不相等，则拒绝通信，协议失败；若相等，节点A用机密性保护密钥K_C解密得到(R_B||R_A||u)'，并比较(R_B||R_A||u)'和自己存储下来的(R_B||R_A||u)是否完全一致，若不一致，则拒绝通信，协议失败；若一致，则节点A认为协议成功，将在后续通信中使用机密性保护密钥K'_C和完整性保护密钥K'_I保护双方通信数据。