[发明专利]一种增强保护的混合密钥协商方法

摘要

一种增强保护的混合密钥协商方法属于信息安全领域。用于通信网络中两个节点之间共享密钥的协商。本发明在密钥协商发起阶段利用增强签密技术保护共享密钥生成元素，在密钥协商应答阶段利用对称密钥加密技术保护共享密钥生成元素，利用哈希函数实现密钥源的认证，以尽可能少的计算资源和通信资源为代价，换取密钥协商安全强度的增加，以解决基于签密技术的对称密钥协商方法安全强度的技术问题。

主权项

1.一种增强保护的混合密钥协商方法，其特征在于，该方法是基于离散对数签密技术的技术方案或者基于椭圆曲线签密技术的技术方案；基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；a1密钥协商发起阶段密钥协商发起阶段包括以下具体步骤：a1.1密钥协商的发起者随机选择整数x和v，满足x，v∈[1，…，q-1]；整数x和v是取自乘法群的随机数，q是p-1的素因子，p是一个大素数；a1.2密钥协商的发起者计算临时加密密钥和临时公钥R＝g^vmodp；hash是强无碰撞的单向哈希函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，q-1]，密钥协商的应答者相应的公钥g是乘法群中的一个q阶元素，p是一个大素数，mod是代数模运算；a1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素g^x，得到c＝E_k(g^x，ID_a，ID_b，TQ_a)；E_k是采用密钥k的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号；a1.4密钥协商的发起者计算签名r＝hash(g^x，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))modq；密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，q-1]，密钥协商的发起者相应的公钥a1.5密钥协商的发起者发送签密密文消息{c，R，s}给密钥协商的应答者；a2密钥协商应答阶段密钥协商应答阶段包括以下具体步骤：a2.1密钥协商的应答者利用{R，p，x_b}恢复临时加密密钥a2.2密钥协商的应答者利用临时加密密钥k解密密文消息c，得到(g^x，ID_a，ID_b，TQ_a)＝D_k(c)；D_k是采用密钥k的对称密钥解密算法，与采用密钥k的对称密钥加密算法E_k相对应；a2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(g^x，ID_a，ID_b，TQ_a)的计算结果r满足则密钥协商的应答者接受g^x作为密钥协商的发起者产生的共享密钥生成元素，继续步骤a2.4，否则，密钥协商的应答者放弃签密密文消息{c，R，s}，终止密钥协商过程；a2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；a2.5密钥协商的应答者计算密钥源认证消息r^*＝hash(g^y，ID_b，ID_a，TQ_b，σ)；TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；a2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素g^y和密钥源认证消息r^*，得到加密密文c^*＝E_k(g^y，ID_b，ID_a，TQ_b，r^*)；a2.7密钥协商的应答者发送加密密文消息{c^*}给密钥协商的发起者；a3密钥确认阶段密钥确认阶段包括以下具体步骤：a3.1密钥协商的发起者利用临时加密密钥k解密密文消息c^*，得到(g^y，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；a3.2密钥协商的发起者计算共享密钥σ^*＝(g^y)^x；a3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(g^y，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则密钥协商的发起者接受σ^*＝(g^y)^x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝(g^y)^x，继续步骤a3.4，否则，密钥协商的发起者放弃加密密文消息{c^*}，终止密钥协商过程；a3.4密钥协商的发起者利用共享密钥σ^*＝(g^y)^x产生密钥确认消息将密钥确认消息{u}发送给密钥协商的应答者；是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；a3.5密钥协商的应答者利用共享密钥σ＝(g^x)^y解密密钥确认消息u，得到(ID_a，ID_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*；D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应；基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；b1密钥协商发起阶段密钥协商发起阶段包括以下具体步骤：b1.1密钥协商的发起者随机选择整数x和v，满足x，v∈[1，…，n-1]；整数x和v是取自乘法群的随机数，n是一个大素数，n的安全长度约等于|p|，p是一个大素数，满足p＞2¹⁶⁰；b1.2密钥协商的发起者计算临时加密密钥k＝hash((vP_b)modp)和临时公钥R＝(vG)modp；hash是强无碰撞的单向哈希函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，n-1]，密钥协商的应答者相应的公钥P_b＝(x_bG)modp，G是有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点，有限域F_p＝[0，…，p-1]上的椭圆曲线E是满足E：y²≡(x³+ax+b)modp的所有解与无穷远点O的并集，椭圆曲线方程参数a和b满足a，b∈F_p且n是基点G在椭圆曲线E上的一个素数阶，x_bG＝x_b·G，vP_b＝v·P_b，vG＝v·G，x_bG、vP_b和vG是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，mod是代数模运算；b1.3密钥协商的发起者利用临时加密密钥k加密共享密钥生成元素xG，得到c＝E_k(xG，ID_a，ID_b，TQ_a)；E_k是采用密钥k的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号，xG＝x·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b1.4密钥协商的发起者计算签名r＝hash(xG，ID_a，ID_b，TQ_a)和s＝(v/(r+x_a))modn；密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，n-1]，密钥协商的发起者相应的公钥P_a＝(x_aG)modp，x_aG＝x_a·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b1.5密钥协商的发起者发送签密密文消息{c，R，s}给密钥协商的应答者；b2密钥协商应答阶段密钥协商应答阶段包括以下具体步骤：b2.1密钥协商的应答者利用{R，p，x_b}恢复临时加密密钥k＝hash((x_bR)modp)；x_bR＝x_b·R＝x_b·v·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b2.2密钥协商的应答者利用临时加密密钥k解密密文消息c，得到(xG，ID_a，ID_b，TQ_a)＝D_k(c)；D_k是采用密钥k的对称密钥解密算法，与采用密钥k的对称密钥加密算法E_k相对应；b2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且hash(xG，ID_a，ID_b，TQ_a)的计算结果r满足srG+sP_a＝R，则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素，继续步骤b2.4，否则，密钥协商的应答者放弃签密密文消息{c，R，s}，终止密钥协商过程；srG＝s·r·G，sP_a＝s·P_a，srG和sP_a是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y(xG)；y(xG)＝y·(x·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b2.5密钥协商的应答者计算密钥源认证消息r^*＝hash(yG，ID_b，ID_a，TQ_b，σ)；yG＝y·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；b2.6密钥协商的应答者利用临时加密密钥k加密共享密钥生成元素yG和密钥源认证消息r^*，得到加密密文c^*＝E_k(yG，ID_b，ID_a，TQ_b，r^*)；b2.7密钥协商的应答者发送加密密文消息{c^*}给密钥协商的发起者；b3密钥确认阶段密钥确认阶段包括以下具体步骤：b3.1密钥协商的发起者利用临时加密密钥k解密密文消息c^*，得到(yG，ID_b，ID_a，TQ_b，r^*)＝D_k(c^*)；b3.2密钥协商的发起者计算共享密钥σ^*＝x(yG)；x(yG)＝x·(y·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且hash(yG，ID_b，ID_a，TQ_b，σ^*)的计算结果等于r^*，则密钥协商的发起者接受σ^*＝x(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝x(yG)，继续步骤b3.4，否则，密钥协商的发起者放弃加密密文消息{c^*}，终止密钥协商过程；b3.4密钥协商的发起者利用共享密钥σ^*＝x(yG)产生密钥确认消息将密钥确认消息{u}发送给密钥协商的应答者；是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；b3.5密钥协商的应答者利用共享密钥σ＝y(xG)解密密钥确认消息u，得到(ID_a，ID_b，TQ′_a)＝D_σ(u)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝y(xG)＝x(yG)＝σ^*；D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。