[发明专利]基于椭圆曲线码的用户身份相互认证方法

摘要

本发明涉及基于椭圆曲线密码的用户身份相互认证方法。本发明考虑了Ad Hoc 网络存储能力、计算能力和带宽受限的特点，利用自认证公钥系统和椭圆曲线离散对数问题难解性，减少了用户身份认证过程的交互次数、加快认证速度。本发明方法包括系统初始化、用户注册阶段和用户身份相互认证阶段。本发明方法保证用户身份相互认证的同时也实现了会话密钥协商的功能，存储开销、通信开销与计算开销都很少，可以抵抗重放攻击、中间人攻击、伪装与篡改攻击、抗密钥泄露伪装攻击，生成的一次性会话密钥具有前向安全和后向安全性，具有更高的安全性。

主权项

基于椭圆曲线码的用户身份相互认证方法，其特征在于，该方法的具体步骤是：步骤1、系统初始化：首先认证中心CA选取一条基于素数域GF(p)上密钥长度为160bit椭圆曲线E(GF(p))，椭圆曲线方程为：y2＝(x3+ax+b)(modp)，a,b∈GF(p)，且(4a3+27b2)modp≠0；x、y为方程变量，椭圆曲线域参数为T＝(p,a,b,G,n,h)，a和b为椭圆曲线方程的参数，p为素数，h为余因子，n为基点G的阶；认证中心CA随机选取一个整数作为认证中心私钥sCA，且sCA∈[2,n‑2]，得到认证中心公钥PCA，PCA＝sCA·G；步骤2、用户注册阶段：用户通过向认证中心CA注册产生其公/私钥对；用户U的私钥由用户U和认证中心CA共同生成，同时认证中心CA不能获知用户U的私钥，并且认证中心CA将签名信息嵌入在用户U的公钥中；具体过程如下：(1)用户U用随机数发生器产生一个临时交互号N1，并随机选取一个整数r′U，且r′U∈[2,n‑2]，得到用户U的注册信息R'U和w，R'U＝r'U·G，IDU为用户U的身份标识符，SHA表示安全单向散列函数；然后将消息(N1,R'U,w)发送给认证中心CA；(2)认证中心CA收到消息(N1,R'U,w)后核实IDU：其中SHA(sCA·R'U)＝SHA(sCA·r'U·G)＝SHA(r'U·PCA)；如果认证中心CA的注册文件中包含IDU，表示为已经注册用户，未包含IDU表示未注册的新用户；如果是新用户，认证中心CA随机选取另一个整数且得到用户U的签名信息RU和其中RU·x表示RU的横坐标值；认证中心CA用随机数发生器产生另一个临时交互号N2，将明文信息发送给用户U；(3)用户U收到明文信息后，得到用户U的私钥sU，同时，若sU·G＝PCA·[(SHA(IDU,RU·x))modn]+RU，则用户U的公钥为PU，PU＝sU·G；(4)用户U将消息SHA(r'U·PCA,N2)发送给认证中心CA；(5)认证中心CA收到消息后，将消息SHA(sCA·R'U,N2)与接收到的消息SHA(r'U·PCA,N2)进行对比，如果相等，则说明消息来自于用户U且用户已成功验证用户的公钥；认证中心CA将用户U的IDU等注册信息保存在一个注册文件中；用户U存储认证中心CA的PCA和参数RU、sU、IDU信息，其他用户通过PCA、RU和IDU得到用户U的公钥，PU＝PCA·[(SHA(IDU,RU))modn]+RU；步骤3、用户身份相互认证，具体步骤如下：①发送者首先用随机数发生器产生临时交互号Nt，并随机选取整数r1，且r1∈[2,n‑2]，得到信息C1,C1＝r1·G，利用SHA函数将信息Nt、C1、IDt、Rt生成摘要SHA(Nt,C1,IDt,Rt)，IDt为发送者的身份标识符，Rt为发送者的签名参数；加密后得到签名信息signT,signT＝(r1+st·SHA(Nt,C1,IDt,Rt))modn，级连上Nt、C1、IDt、Rt发送给接收者；②接收者收到消息后，首先需要利用PCA、IDt、Rt，重构出发送者的公钥Pt，Pt＝PCA·[(SHA(IDt,Rt·x))modn]+Rt，并验证数字签名，如果signT·G＝C1+Pt·[(SHA(Nt,C1,IDt,Rt))modn]，则表明发送者身份是合法的，接收者用随机数发生器产生临时交互号Nr，并随机选取整数r2，且r2∈[2,n‑2]，得到信息C2,C2＝r2·G；会话密钥Krt＝SHA(C1·sr+r2·Pt)，利用SHA函数将信息Krt、Nt、Nr、C2、IDr、Rr生成摘要SHA(Krt,Nt,Nr,C2,IDr,Rr)，级连上Nt、Nr、C2、IDr、Rr发送给发送者，IDr为接收者的身份标识符，Rr为接收者的签名参数；③发送者收到消息后，由临时交互号Nt确定是当前协议回合，然后利用PCA、IDr、Rr，重构出接收者的公钥Pr，Pr＝PCA·[(SHA(IDr,Rr·x))modn]+Rr，计算会话密钥Ktr＝SHA(C2·st+r1·Pr)，如果SHA(Ktr,Nt,Nr,C2,IDr,Rr)与SHA(Krt,Nt,Nr,C2,IDr,Rr)相等，则表明验证用户接收者身份是合法的，同时表明用户接收者已经验证用户发送者身份的真实性，然后生成SHA(Ktr,Nr)返回给用户接收者；④接收者收到消息SHA(Ktr,Nr)后进行验证，如果消息SHA(Krt,Nr)与收到的消息SHA(Ktr,Nr)相等，则确定是当前协议回合，而不是重放的，同时也表明发送者已验证接收者身份的真实性，会话密钥协商成功。