[发明专利]一种增强保护的非对称密钥协商方法

摘要

一种增强保护的非对称密钥协商方法属于信息安全领域。本发明用于通信网络中两个节点在事先没有任何秘密约定的条件下协商建立共享密钥。本发明在密钥协商发起阶段利用签密技术增强保护共享密钥生成元素，在密钥协商应答阶段利用对称加密技术增强保护共享密钥生成元素，利用带密钥杂凑函数实现密钥源的认证，以解决基于签密技术的对称密钥协商方法需要较多计算资源和通信资源的技术问题。

主权项

1.一种增强保护的非对称密钥协商方法，其特征在于，该方法是基于离散对数签密技术的技术方案或者基于椭圆曲线签密技术的技术方案；基于离散对数签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；a1密钥协商发起阶段密钥协商发起阶段包括以下具体步骤：a1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，q-1]；整数x是取自乘法群的随机数，q是p-1的素因子，p是一个大素数；a1.2密钥协商的发起者计算临时密钥将临时密钥k按照步骤a1.3和a1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_b∈[1，…，q-1]，密钥协商的应答者相应的公钥g是乘法群中的一个q阶元素，mod是代数模运算；a1.3密钥协商的发起者利用临时加密密钥k₁加密共享密钥生成元素g^x，得到是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号；a1.4密钥协商的发起者计算签名和s＝x/(r+x_a)；是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，q-1]，密钥协商的发起者相应的公钥a1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者；a2密钥协商应答阶段密钥协商应答阶段包括以下具体步骤：a2.1密钥协商的应答者利用{r，s，g，p，q，y_a，x_b}计算u＝(s·x_b)mod q，恢复临时密钥k＝hash((y_a·g^r)^umodp)，并将临时密钥k按照步骤a2.2和a2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；a2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法相对应；a2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r，则密钥协商的应答者接受g^x作为密钥协商的发起者产生的共享密钥生成元素，继续步骤a2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；a2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，q-1]，计算共享密钥σ＝(g^x)^y；a2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素g^y，得到加密密文TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；a2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息a2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；a3密钥确认阶段密钥确认阶段包括以下具体步骤：a3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到a3.2密钥协商的发起者计算共享密钥σ^*＝(g^y)^x；a3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r^*，则密钥协商的发起者接受σ^*＝(g^y)^x作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝(g^y)^x，继续步骤a3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；a3.4密钥协商的发起者利用共享密钥σ^*＝(g^y)^x产生密钥确认消息将密钥确认消息{v}发送给密钥协商的应答者；是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；a3.5密钥协商的应答者利用共享密钥σ＝(g^x)^y解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥 σ＝(g^x)^y＝(g^y)^x＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝(g^x)^y＝(g^y)^x＝σ^*；D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应；基于椭圆曲线签密技术的技术方案包括密钥协商发起阶段、密钥协商应答阶段和密钥确认阶段三个阶段；b1密钥协商发起阶段密钥协商发起阶段包括以下具体步骤：b1.1密钥协商的发起者随机选择整数x，满足x∈[1，…，n-1]；整数x是取自乘法群的随机数，n是一个大素数，n的安全长度约等于|p|，p是一个大素数，满足p＞2¹⁶⁰；b1.2密钥协商的发起者计算临时密钥k＝hash((xP_b)mod p)，将临时密钥k按照步骤b1.3和b1.4采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；hash是强无碰撞的单向杂凑函数，密钥协商的应答者的私钥为x_b，满足x_n∈[1，…，n-1]，密钥协商的应答者相应的公钥P_b＝(x_bG)modp，G是有限域F_p＝[0，…，p-1]上椭圆曲线E的一个基点，有限域F_p＝[0，…，p-1]上的椭圆曲线E是满足E：y²≡(x³+ax+b)modp的所有解与无穷远点O的并集，椭圆曲线方程参数a和b满足a，b∈Fp且n是基点G在椭圆曲线E上的一个素数阶，x_bG＝x_b·G和xP_b＝x·P_b是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，mod是代数模运算；b1.3密钥协商的发起者利用临时加密密钥K₁加密共享密钥生成元素xG，得到是采用密钥k₁的对称密钥加密算法，ID_a是密钥协商的发起者的标识，ID_b是密钥协商的应答者的标识，TQ_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ_a是一个时间戳，或者是一个随机数，或者是一个序列号，xG＝x·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b1.4密钥协商的发起者计算签名和s＝x/(r+x_a)；是带密钥k₂的强无碰撞的单向杂凑函数，密钥协商的发起者的私钥为x_a，满足x_a∈[1，…，n-1]，密钥协商的发起者相应的公钥P_a＝(x_aG)mod p，x_aG＝x_a·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b1.5密钥协商的发起者发送签密密文消息{c，r，s}给密钥协商的应答者； b2密钥协商应答阶段密钥协商应答阶段包括以下具体步骤：b2.1密钥协商的应答者利用{r，s，G，p，n，P_a，x_b}计算u＝(s·x_b)mod n，恢复临时密钥k＝hash((u·P_a+u·r·G)modp)，并将临时密钥k按照步骤b2.2和b2.3采用的解密算法和签名验证算法所需要的密钥长度分成临时加密密钥k₁和临时签名密钥k₂；u·P_a和u·r·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，(u·P_a+u·r·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点加；b2.2密钥协商的应答者利用临时加密密钥k₁解密密文消息c，得到是采用密钥k₁的对称密钥解密算法，与采用密钥k₁的对称密钥加密算法相对应；b2.3如果TQ_a是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r，则密钥协商的应答者接受xG作为密钥协商的发起者产生的共享密钥生成元素，继续步骤b2.4，否则，密钥协商的应答者放弃签密密文消息{c，r，s}，终止密钥协商过程；b2.4密钥协商的应答者随机选择整数y，满足y∈[1，…，n-1]，计算共享密钥σ＝y·(xG)；y·(xG)＝y·(x·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘；b2.5密钥协商的应答者利用临时加密密钥k₁加密共享密钥生成元素yG，得到加密密文yG＝y·G是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘，TQ_b是密钥协商的应答者采用的保持消息新鲜性的新鲜值，TQ_b是一个时间戳，或者是一个随机数，或者是一个序列号；b2.6密钥协商的应答者利用临时签名密钥k₂计算密钥源认证消息b2.7密钥协商的应答者发送密文消息{c^*，r^*}给密钥协商的发起者；b3密钥确认阶段密钥确认阶段包括以下具体步骤：b3.1密钥协商的发起者利用临时加密密钥k₁解密密文消息c^*，得到b3.2密钥协商的发起者计算共享密钥σ^*＝x·(yG)；x·(yG)＝x·(y·G)是有限域F_p＝[0，…，p-1]上椭圆曲线E的点乘； b3.3如果TQ_b是新鲜的，ID_a和ID_b是有效的，并且的计算结果等于r^*，则密钥协商的发起者接受σ^*＝x·(yG)作为密钥协商的发起者和密钥协商的应答者之间的共享密钥，密钥协商的发起者确信密钥协商的应答者已经拥有和密钥协商的发起者之间的共享密钥σ^*＝x·(yG)，继续步骤b3.4，否则，密钥协商的发起者放弃密文消息{c^*，r^*}，终止密钥协商过程；b3.4密钥协商的发起者利用共享密钥σ^*＝x·(yG)产生密钥确认消息将密钥确认消息{v}发送给密钥协商的应答者；是采用密钥σ^*的对称密钥加密算法，与采用密钥σ^*的对称密钥解密算法相对应，TQ′_a是密钥协商的发起者采用的保持消息新鲜性的新鲜值，TQ′_a是一个时间戳，或者是一个随机数，或者是一个序列号；b3.5密钥协商的应答者利用共享密钥σ＝y·(xG)解密密钥确认消息v，得到(ID_a，ID_b，TQ′_a)＝D_σ(v)，如果TQ′_a是新鲜的，ID_a和ID_b是有效的，密钥协商的应答者确信密钥协商的发起者已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*，否则，密钥协商的应答者无法确认密钥协商的发起者是否已经拥有和密钥协商的应答者之间的共享密钥σ＝y·(xG)＝x·(yG)＝σ^*；D_σ是采用密钥σ的对称密钥解密算法，与采用密钥σ的对称密钥加密算法E_σ相对应。