[发明专利]一种建立Tor匿名通道时所采用的无证书密钥协商方法

摘要

本发明公开了一种建立Tor匿名通道时所采用的无证书密钥协商方法，该方法既可满足Tor系统中的用户认证问题，又能在多个洋葱路由器间实现密钥协商，由于采用的是无证书密码体制，因此既没有基于证书的公钥密码体制的证书管理问题，又没有基于身份公钥密码体制的密钥托管问题，从而可简化Tor匿名通信系统的管理程序，提高效率，并避免产生新的安全问题。

主权项

1.一种建立Tor匿名通道时所采用的无证书密钥协商方法，其特征在于该方法基于Tor匿名通信系统上的无证书密钥协议，所述无证书密钥协仪包括：(1)系统参数设置：设置系统的公开参数q，、G，、g，、y、H₁、H₂，所述q为素数且长度为L比特位，L≥1024；所述G为阶为q的群；所述g为群G的生成元；所述y＝g^x，x是在Z_q内随机选取的一个数；所述H₁是满足{0，1}^*→Z_q的哈希函数，Z_q为有限域；所述H₂是满足Z_q×Z_q→{0，1}^L的哈希函数，Z_q为有限域；系统主密钥为x；(2)部分私钥提取：令任一用户A的身份信息为ID_A，密钥生成中心在验证了用户A的身份信息后按如下算法提取用户的部分私钥s_A：在Z_q内随机选取一个数k，计算r＝g^k，利用系统主密钥x计算s＝k+H₁(ID_A，r)x，用户A的部分私钥s_A由r和s构成，记为s_A＝(r，s)，密钥生成中心用一个安全方式将s_A发送给A；(3)秘密值设定：用户A在Z_q内随机选取一个数t作为其秘密值；(4)私钥设定：用户A组合其从密钥生成中心获取的部分私钥s_A＝(r，s)和他自己的秘密值t得到其私钥信息sk_A，记为sk_A＝(s_A，t)；(5)公钥设定：用户A利用其秘密值t计算u＝g^t，加入从密钥生成中心获取的部分私钥s_A，就得到其公钥pk_A，记为pk_A＝(r_A，u_A)；基于上述密钥协议建立Tor匿名通道时，客户端依次与每个想要连接的洋葱路由器协商会话密钥，其与任何一个洋葱路由器OR_i协商会话密钥的方法如下，在此之前客户端按同样的密钥协商方法已与第一至第i-1个洋葱路由器建立了连接，(1)客户端从系统的目录服务器上获取第i个洋葱路由器OR_i的公钥信息及身份信息在Z_q内随机选取一个数w_i，计算计算会话密钥K_i＝H₂(Z₁，Z₂)及其散列值H(K_i)，所述H₂为哈希函数，Z₁、Z₂为有限域Z_q上的数，其中将虚电路序列号C_i、第i个洋葱路由器OR_i的地址组合成一个create数据包，用已与其建立连接关系的各洋葱路由器的会话密钥依次加密后放入relay数据包中发送给OR_i-1；(2)所发送的relay数据包依次通过第一个洋葱路由器OR₁至第i-1个洋葱路由器OR_i-1后发送给第i个洋葱路由器OR_i，每个洋葱路由器收到relay数据包后，用其与客户端协商好的会话密钥解开，然后再将create数据包发送给下一个洋葱路由器，当第i-1个洋葱路由器OR_i-1收到relay数据包后，用会话密钥K_i-1解开加密的数据包，并把create数据包发送给第i个洋葱路由器OR_i；OR_i收到create数据包中的后计算K_i＝H₂(Z₁，Z₂)，所述H₂为哈希函数，Z₁、Z₂为有限域Z_q上的数，其中Z1=pisORi,]]>Z2=gwitORi,]]>和来自OR_i的私钥信息OR_i回复一个create数据包，包含虚电路序列号C_i以及它所计算出来的会话密钥K_i＝H₂(Z₁，Z₂)的散列值H(K_i)，该create数据包依次通过第i-1个洋葱路由器OR_i-1至第一个洋葱路由器OR₁的加密后发送至客户端；(3)客户端收到OR_i的create数据包后用和各洋葱路由器协商好的会话密钥解开，然后将自己计算出的共享密钥K_i＝H₂(Z₁，Z₂)的散列值H(K_i)与从OR_i收到的散列值H(K_i)对比，如果相同则第i个链路建立成功，否则返回错误信息。