[发明专利]一种基于格的口令认证密钥交换方法及系统

说明书

本发明公开了一种基于格的口令认证密钥交换方法及系统。本发明通过使用错误协调机制AKC，当两个参与方交换完信息seed,y_C和y_S，并根据这些信息分别计算出两个近似的值σ_C和σ_S时，可以从中协调出相同的协调值，用于后续的验证和会话密钥的派生。AKC生成的信号值独立于协调值，且协调值均匀分布，即使敌手获取到信号值，也无法从中推断出协调值的信息，保证了方案的安全性。本发明大大提高了服务器的响应效率，使方案能更适用于大量客户端同时连接服务器的高并发情况。

技术领域

本发明属于密码技术领域，涉及一种基于格的口令认证密钥交换方法及系统。

背景技术

由于大部分公钥密码算法都比对称密码算法速度慢，因此密钥交换仍然是保密通信过程中的重要问题。同时，在通信过程中需要使用认证来防止假冒、篡改、否认等攻击。将认证与密钥交换结合在一起，就产生了认证密钥交换协议，先对通信方的身份进行认证，在成功认证的基础上，为下一步的安全通信生成所使用的会话密钥。

口令认证密钥交换是指协议的参与方通过共享一个低熵、易于记忆的口令，来建立一个共同的会话密钥，以实现在不安全的信道上进行安全保密通信。口令作为协议参与方的长期密钥，在没有泄露或被窃取的情况下，用于双方的相互认证，以及会话密钥的建立。由于在身份验证过程中使用低熵口令，口令认证密钥交换避免了使用额外的设备和公钥基础设施，不需要与受信任的第三方通信，而是基于服务器和客户端之间的直接信任，认证过程更加灵活简单。这是一类非常实用的密钥交换协议，有着广阔的应用前景。

随着量子计算机的发展，许多密码原语可能受到量子敌手的威胁。这使得能够抵抗量子计算机攻击的密码协议成为研究热点，称为后量子密码。格是构建后量子密码系统的最常用数学技巧之一。相较于其他的困难性假设，理想格上的Ring-LWE问题更加通用和高效。定义整系数多项式环其中n表示多项式的维度，取值为2的幂，q为正整数，令χ为R_q上的分布，从R_q中随机选取a，根据分布χ选取秘密s和错误e，Ring-LWE问题的一个实例为(a,b＝as+e)∈R_q×R_q。

Ring-LWE问题引入了错误项，通信双方只能计算得到近似相等的值，因此对错误的处理成为基于格的密码方案需要解决的重要问题。其中一种方式就是使用错误协调机制，思想类似于模糊提取器，能够从近似相等的值中提取出相同的协调值。而非对称密钥共识AKC就是一种错误协调机制，其包含两个函数(k₁,v)←Con(σ₁，params)和k₂←Rec(σ₂,v,params)，其中params＝(q,t,g,d,aux)表示相关参数，(q,t,g,d)都是正整数且满足2≤t,g≤q和aux是由(q,t,g,d)确定的辅助参数，可以置为空，是辅助协调的信号值，是协调值，当|σ₁-σ₂|_q≤d时，k₁＝k₂。如果AKC的参数满足(2d+1)tq(1-t/g)，则AKC是正确且安全的，并且v独立于k₁。其具体过程如下，通过将Con和Rec函数分别应用于多项式的每个系数，可以将它们扩展到多项式上：

Con(σ₁，params)：输入σ₁和params，从中随机选取k₁，计算输出v。

Rec(σ₂,v,params)：输入σ₂和params，计算输出k₂。