[发明专利]一种应用于客户-服务器环境的认证密钥协商方法

说明书

技术领域

本发明涉及密码技术领域，具体地说，涉及一种应用于客户-服务器环境的的认证 密钥协商方法。

背景技术

认证密钥协商是密码理论及应用的核心内容，其中TLS协议(传输层协议)是目前 应用最广泛的认证密钥协商协议的国际标准。TLS目前的最新版本是TLS1.2，已经标准化和 应用多年。为了适应网络安全的新挑战和新需求，目前IETF国际标准化组织正在制订最新 的TLS1.3标准。

目前的TLS1.3钥协商协议大致运行过程如下：

第一轮：第一用户(客户端)发送参数X＝g^x至第二用户，其中，g表示有限群G′的循 环子群G的生成元，x表示第一用于的DH-指数；

第二轮：第二用户(服务器)发送参数Y＝g^y至第一用户，第二用户还计算参数K＝X^y和参数C_B＝AE(K，(I_B，B，CERT_B，Finish_B))，其中B＝g^b，Finish_B＝KDF(X^b，H(X，Y))，第二用户 将(Y，C_B)发送至第一用户。

第三轮：第一用户计算参数K＝Y^x和参数C_A＝AE(K，(I_A，A，CERT_A，Sig_A，Finish_A))， 其中Sig_A是第一用户利用其私钥对(X，Y，C_B)的数字签名，Finish_B＝KDF(B^x，H(X，Y，C_B))。第 一用户将C_B发送至用户B，并运行KDF(X^y，X^b)，第二用户检查Sig_A签名的有效性并运行KDF (X^y，X^b)导出会话密钥。

密码算法的主要计算单元是模指数运算。国际数字签名标准DSA算法需要1个模指 数运算进行签名生成，签名验证需要2个模指数运算。而对于上述基于DSA数字签名的 TLS1.3协议，第二用户(服务器)共计需运行4.5个模指数运算，第一用户(客户端)共计需运 行4个模指数运算。这使得TLS1.3难以在计算受限的设备(例如手机、智能卡等移动设备)上 的配置和应用。

因此，在移动互联大规模普及和应用的背景下，亟需一种更为高效的应用于客户 端-服务器环境的新型的高效认证密钥协商方法。

发明内容

为解决上述问题，本发明提供了一种应用于客户-服务器环境的的认证密钥协商 方法，所述方法包括：

第一设备根据其生成的DH-指数x和第一设备的公钥A＝g^a，确定第一参数X′＝Ag^x∈G或X′＝A^x∈G，并将所述第一参数X′以及第一辅助信息aux_A发送给第二设备，其中，g表示 有限群G′的循环子群G的阶为q的生成元，x∈Z_q，A∈G，a∈Z_q是第一设备的私钥，aux_A是可为 空的数据集合；