[发明专利]一种应用于客户-服务器环境的认证密钥协商方法

权利要求书

1.一种应用于客户-服务器环境的认证密钥协商方法，其特征在于，所述方法包括：

第一设备根据其生成的DH-指数x和第一设备的公钥A＝g^a，确定第一参数X′＝Ag^x∈G或 X′＝A^x∈G，并将所述第一参数X′以及第一辅助信息aux_A发送给第二设备，其中，g表示有限 群G′的循环子群G的阶为q的生成元，x∈Z_q，A∈G，a∈Z_q是第一设备的私钥，aux_A是可为空的 数据集合；

第二设备根据其生成的DH-指数y∈Z_q和第二设备的公钥B＝g^b∈G以及第二辅助信息 aux_B其是可为空的数据集合，其中b∈Z_q是第二设备的私钥，以及接受到所述第一参数X′及 第一辅助信息aux_A确定第二参数Y′＝BY^e∈G或Y′＝B^eY∈G，其中Y＝g^y∈G，y∈Z_q，e＝h(Y＝ g^y，aux_h)，是一个转换函数，1≤L_h≤|q|，|q|表示q的二进制长度， auxh⊆auxA∪auxB∪{X′,IB,B,CERTB,IA,A,CERTA}∪DataB,,]]>所述第二设备根据(b，y)以 及第二辅助信息aux_B以及接收到的所述第一参数X′及所述第一辅助信息aux_A，确定预先共 享密钥S，根据S以及{X′，Y′，aux_A，aux_B}的一个子集利用密钥导出函数KDF确定第一设备和 第二设备的认证加密密钥K_A和K_B，其中K_A和K_B相等或不等，第二设备利用一个对称加密算法 AE计算C_B＝AE(K_B，(I_B，B，CERT_B，Y，Data_B))，其中CERT_B是第二设备的公钥证书，I_B表示第二 设备的身份，Data_B是第二设备其它需加密传输的可为空的数据集合，CERT_A是第一设备的公 钥证书，I_A表示第一设备的身份，所述第二设备将第二参数Y′和C_B和aux_B发送给所述第一设 备，并导出会话密钥；

所述第一设备根据(a，x)以及所述第一辅助信息aux_A以及接受到的所述第二参数Y′以 及第二辅助信息aux_B确定S，根据S以及{X′，Y′，aux_A，aux_B}的一个子集利用密钥导出函数 KDF确定第一设备和第二设备的认证加密密钥K_A和K_B，然后利用K_B解密接收到的所述C_B得到 (I_B，B，CERT_B，Y)；所述第一设备验证公钥证书CERT_B和第二参数Y′的有效性，若验证结果不 正确则终止运行，若验证结果正确则计算C_A＝AE(K_A，(I_A，A，CERT_A，x，Data_A))，其中I_A表示第 一设备的身份，CERT_A是第一设备的公钥证书，Data_A是第一设备其它需加密传输的可为空的 数据集合；第一设备将C_A发送给第二设备，并导出会话密钥；

所述第二设备利用K_A解密接收到的所述C_A得到(I_A，A，CERT_A，x)，验证公钥证书CERT_A和 第一参数X′的有效性，若验证结果不正确则终止运行，若验证结果正确则导出会话密钥。