[发明专利]一种三方口令认证密钥交换方法

说明书

本发明公开了一种三方口令认证密钥交换方法，本发明设计了隐式三方认证的方法，相对目前常用的需要多次进行哈希运算、消息传输量大的显式认证方法，本发明的方案简化了认证结构，减少了哈希的次数以及通信量的大小。其次，本发明考虑了两个多项式模乘的情况，对此进行了更加收敛的参数分析方式，平衡了方差、模、维数、采样参数和误差率，大大降低了模数，从而使密钥交换更加高效。由于参数为d的中心二项分布，在安全上与标准差为的离散高斯分布相似，且能防止计时攻击，因此，采样时，本发明选择能更高效的在硬件、软件上实现的中心二项分布。这种采样方式更为简单，并且不需要引入大的表格和高精度计算，采样效率更高。

技术领域

本发明属于密码技术领域，涉及一种基于RLWE(Ring Learning with Errors，环上错误学习)的三方口令认证密钥交换方法。

背景技术

密钥交换允许两个或多个通信实体在不安全的信道中共享一个公共密钥。不支持身份验证的密钥交换只能提供被动攻击安全，而认证的密钥交换可以在抵抗主动攻击的情况下，确保会话中的参与者能够与另一个诚实的参与者共享会话密钥。与其他密钥交换方式对比，基于口令的认证密钥交换既不需要公钥基础设施，也不需要用户存储长对称密钥，而是让各方共享一个简单、低熵、易于记忆的口令，具有数据量小、速度快等优点，被广泛应用。

现有的密钥交换大都只针对双方通信的的情形，而在互联网实际场景中，随着业务参与方数目不断增加，如手机终端、本地服务器、远程服务器之间的通信，以及电子商务中买家、卖家、第三方平台之间的交涉，这些应用场景的不安全性，使得三方密钥交换的研究很有必要。当通信实体数量增加，整个网络需要预存储的口令数量也越来越多，2PAKE(Password Authenticated Key Exchange，基于口令的密钥交换)的密钥协商方式不适用于用户-用户的通信场景。具体来说，如果网络中有n个用户参与通信，每两个用户协商并分享一个会话密钥，则整个通信网络中共需要预存储n(n-1)/2个口令。为了解决2PAKE的局限性，密码学者提出了三方口令认证密钥交换(3PAKE，Three-party PasswordAuthenticated Key Exchange)，引入了一个可信服务器，每个客户端只需要与服务器共享自己的口令，不用预存储其他客户端的信息，减少了口令存储、管理和更新的问题。服务器存储了所有客户端的口令哈希值，对通信双方进行身份验证，并帮助他们生成会话密钥。

目前，3PAKE协议的安全性主要依赖于大整数分解和离散对数等经典数学问题的困难性。随着量子计算的发展，大多数经典难题都可以通过量子计算在多项式时间内求解，这给传统公钥密码体制下的3PAKE带来了挑战。因此，设计一个具有后量子安全性的认证密钥交换协议就显得尤为重要。其中，基于格的密码算法在灵活性、安全性和计算量等方面有着卓越的性能，是后量子密码算法最常见的数学基础之一。由于在基于理想格的RLWE困难问题构造的密钥协商中，各参与者都会随机引入小错误项来保证后量子安全，因此需要一个误差协调机制将包含误差的近似密钥恢复成一致的会话密钥。在Peikert误差协调机制中，定义了舍入函数[x]₂:＝[2x/q]mod2、交叉舍入函数随机加倍函数和恢复函数其中，模数q为素数，Z为整数集，区间I₀＝{0,1,...,[q/4]-1}，I₁＝{-[q/4],...,-1}，误差区间E＝[-q/8,q/8)∩Z(modq)，是独立于v的均匀随机值。结合以上函数，可定义：

·协调函数(k,ω)＝HelpRec(v):计算辅助协调的信号值协调值返回(k,ω)。

·恢复函数k′＝Rec(2w,ω)：输入w和ω，返回协调值k′。