CN101499908A - 一种身份认证及共享密钥产生方法 - Google Patents

Abstract

本发明涉及一种身份认证和密钥协商方法。本发明针对现有技术的认证方法安全性不高的缺点，公开了一种身份认证及共享密钥产生方法。本发明的技术方案中，密钥颁发机构为每台设备颁发一对配套的公钥和私钥，并设定关联系数k、偏移向量、回归系数a、模数m；以及、、。并且，如果设备i、设备j为任意两台设备，其配对公钥和私钥满足条件： ，其中，为的转置向量；为的转置向量；为的转置向量。假定设备A为认证发起方，其配对公钥为、私钥为；设备B为认证参与方，其配对公钥为，私钥为。设备A和设备B认证成功的条件为：

Description

一种身份认证及共享密钥产生方法

技术领域

本发明涉及加密技术，特别涉及一种身份认证和密钥协商方法。

背景技术

在通信、电子商务、金融、数据传送、内容保护等领域，身份认证和密钥协商是安全的基础。认证的目的是确认参与双方的身份，从而为后续的安全通信、赋予相关权限做准备。

身份认证从技术上可以分为三类：基于口令的认证、基于对称密钥的认证以及基于公钥体制的认证。从实现方式上可以分为：有第三方参与的认证和没有第三方参与的认证。基于口令的认证目前在互联网、金融等方面由于其简单性还在广泛使用，比如电子邮箱账户的密码登陆、银行卡的密码等。基于对称密钥的认证目前也在广泛使用，比如IC卡内部认证和外部认证方式。这两种方式的特点就是简单实用，但是安全性不高，很容易被破解，只能在安全性要求不高的场合，或者在安全性要求高的场合辅之以其它的方法进行安全保证才能实用。随着对安全性要求的增加，目前在安全性要求高的场合一般都采用了公钥体制的认证，典型的就是PKI(Public Key Infrastructure)机制，目前在互联网、金融、电子商务等领域已经得到了大量的使用。基于公钥体制的认证，目前大量采用的公钥算法是RSA和ECC，特点是安全性高，缺点是运算复杂，耗用资源多，结果芯片实现则规模大，成本高。这也是ECC算法已经出现多年但是目前并未得到芯片大规模支持的原因之一。此外，公钥的认证一般采用数字证书的方式来确认对方身份，在认证的过程中需要交换证书，并且需要对对方的证书的合法性进行验证，这将耗费一定的数据带宽，也耗用较大的计算资源，在某写场合，可能已经没有办法实现。比如对IC卡的认证。中国专利公开号CN101064610A公开了一种身份认证技术和密钥协商(共享)技术，该技术主要实现方法如下：

1)密钥颁发机构从自己的密钥库中给每个主体产生一对公钥/私钥，每个设备的公钥/私钥对均不一样，这样可以实现对某个指定设备的吊销。令设备的公钥为 $\stackrel{\→}{p}=\left(\begin{array}{cccc}p1& p2& ---& p_n\end{array}\right)$ ，私钥为 $\stackrel{\→}{S}=\left(\begin{array}{cccc}s1& s2& ---& \mathrm{sn}\end{array}\right)$ ，其中，

和均为1×n的向量；

2)每个设备将公钥/私钥对均保存在设备中，其中私钥要求秘密保存，不允许其它设备访问，公钥可以让其它的设备访问；

3)假定认证发起方的公钥为

，私钥为

，认证参与方的公钥

，私钥为

。认证发起方发起认证请求，首先产生一个随机数R，并和其公钥一起传送给认证参与方。认证参与方获得认证请求，在接收到认证发起方的随机数R和和公钥

后，将自己的公钥

传送给认证发起方；

4)认证参与方开始计算 $K_2={\stackrel{\→}{p}}_1\×{{\stackrel{\→}{S}}_2}^T,$ 由于

为1×n向量，

为

的转置向量，即为n×1向量，所以两者之积K₂为一个常标量。然后认证参与方计算y₂＝f(K₂，R)，并将结果传送给认证发起方；

5)认证发起方计算 $K_1={\stackrel{\→}{p}}_2\×{\stackrel{\→}{S}}_1$ ，由于

为1×n向量，

为n×1向量，所以两者之积K₁为一个常标量。然后认证发起方计算y₁＝f(K₁，R)，并将结果传送给认证参与方；

6)认证双方将y₁与y₂进行比较，如果两者相等，则认为认证通过，否则认证失败；

7)y＝f(K，R)一般事先约定，并采用密码学领域的单向算法，如HASH算法、加密等；

8)由于每对公钥

/私钥均是配对的，因此本***中同样可以使用黑名单功能，即将公钥

定义为黑名单的成员，就可以达到数字证书黑名单的功能。

该算法应用于密钥协商的方法如下：

1)可信管理机构TA为每台设备各分配两个指数向量

$\stackrel{\→}{\mathrm{\α}}={\left(\begin{array}{cccc}{\mathrm{\α}}_1& {\mathrm{\α}}_2& ---& {\mathrm{\α}}_n\end{array}\right)}_{1\×n},\stackrel{\→}{\mathrm{\β}}={\left(\begin{array}{cccc}{\mathrm{\β}}_1& {\mathrm{\β}}_2& ---& {\mathrm{\β}}_n\end{array}\right)}_{1\×n},$ 其中 ${\mathrm{\α}}_i\∈\mathrm{Zp}$ ，为公开参数， $\mathrm{\β}\∈\mathrm{Zp}$ ，为秘密参数；要求对于任意的两个设备U和V，均有 ${\stackrel{\→}{\mathrm{\α}}}_V\×{{\stackrel{\→}{\mathrm{\β}}}_U}^T\mathrm{mod}p={\stackrel{\→}{\mathrm{\α}}}_U\×{{\stackrel{\→}{\mathrm{\β}}}_V}^T\mathrm{mod}p$ ；

2)设参与通信的双方为U和V，则双方各有自己的指数向量、

、

、

；

3)U首先产生一个随机数R₁，并将R₂和

传送给V；

4)V接收到R₁和

后，将

传送给U；

5)U开始计算：

$K_{V,U}={\stackrel{\→}{\mathrm{\α}}}_V\×{{\stackrel{\→}{\mathrm{\β}}}_U}^T\mathrm{mod}p$

然后计算：

K＝f(K_V，U，R₁)；

6)V开始计算：

$K_{U,V}={\stackrel{\→}{\mathrm{\α}}}_U\×{{\stackrel{\→}{\mathrm{\β}}}_V}^T\mathrm{mod}p$

然后计算：

K＝f(K_U，V，R₁)；

以上两步中，f()为事先约定的一个函数，可以是hash函数、加密函数或者其它的不可逆函数以及他们的组合。

7)U再次产生一个随机数R_U，并将R_U传送给V；随后计算C_U，V＝E(R_U，K)；

8)V同时也产生一个随机数R_V，并将R_V传送给U；随后计算C_V，U＝E(R_V，K)；

9)U使用自己计算出的K作为加密的密码，对R_V进行加密C_U＝E(Rv，K)；

然后将结果C_U传送给V；

10)V使用自己计算出的K作为加密的密码，对R_U进行加密C_V＝E(R_U，K)；

然后将结果C_V传送给U；

11)U接收到V传送的C_V后，将C_V与C_U，V进行比较，如果相同则认为对方已经产生了与自己相同的密钥；

12)V接收到U传送的C_U后，将C_U与C_V，U进行比较，如果相同则认为对方已经产生了与自己相同的密钥；

以上过程全部通过，则双方采用K作为共同密钥进行后续通信。或者使用K来加密传送后续通信的密钥。

上述方法在实现上虽然非常简单，但是，在理论上，该方法存在一定的安全问题。即理论上，如果获得了足够多的公钥和私钥(已经有相关文献报导)，则第三方可以自有产生与原***完全兼容的公钥和私钥。

发明内容

本发明所要解决的技术问题，就是针对现有技术的上述缺点，提供一种身份认证方法及其共享密钥产生方法。

本发明解决所述技术问题，采用的技术方案是，一种身份认证方法及其共享密钥产生方法，包括密钥颁发机构，用于向设备颁发公钥和私钥；每个设备至少具有一对公钥

和私钥

；所述密钥颁发机构设定关联系数k、回归系数a、模数m及偏移向量

；其中，k、a为自然数，且k≠0；

均为1×n的向量，n为≥2的自然数；设认证发起方的公钥为

私钥为

认证参与方的公钥为

私钥为

其特征在于，包括以下步骤：

a、认证发起方发起认证请求，并将其公钥

传送给认证参与方；

b、认证参与方获得认证请求后，将其公钥

传送给认证发起方；

c、认证发起方计算： $M_A=k\×(\stackrel{}{p_B}\×\stackrel{\→}{s_A^T}+\stackrel{\→}{p_B}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m;$

认证参与方计算： $M_B=k\×(\stackrel{\→}{p_A}\×\stackrel{\→}{s_B^T}+\stackrel{\→}{p_A}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m;$

其中，

为

的转置向量；

为

的转置向量；

为

的转置向量；

d、以M_A、M_B作为认证的根据，两者相同则认证成功，否则认证失败。

本发明的有益效果是：

(1)设备可以获取的公钥和私钥对无法直接组成线性方程组，因此没有办法直接破解本***，安全性高；

(2)公钥

和私钥

的选取，可以采取一定的措施，比如保持一定的线性相关性，则本发明理论上很难破解；

(3)方案的参数如果选择适当，则乘法可以转换为加法，实现简单，芯片规模小，非常有利于降低成本，比如，n维向量中的每个成员选为2bit，则M_A、M_B通过加法运算即可得到。

具体实施方式

下面结合实施例，详细描述本发明的技术方案。

首先，成立一个密钥颁发机构，向设备颁发公钥和私钥。每个设备除了有一对配套的公钥

和私钥

外，还可以保存有其他设备的公钥，作为合法身份名单。其中，私钥要求持有方秘密保存，不可向外泄露。密钥颁发机构设定关联系数k、偏移向量

、回归系数a、模数m；k、a为自然数，且k≠0。这些参数仅向软件开发商或者芯片开发商授权，不对外公开均为1×n的向量，n为≥2的自然数。n一般应大于等于20，维数越大保密性越强，但计算也会越复杂。作为芯片应用，去n＝20就可以了。如果设备i、设备j为任意两台设备，其配对公钥和私钥满足条件：

$k\×(\stackrel{\→}{p_i}\×\stackrel{\→}{s_j^T}+\stackrel{\→}{p_i}\×\stackrel{\→}{e^T}+a)\≡k\×(\stackrel{\→}{p_j}\×\stackrel{\→}{s_i^T}+\stackrel{\→}{p_j}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m$ ，其中，

为

的转置向量；

为

的转置向量；

为的转置向量。假定设备A为认证发起方，其配对公钥为

、私钥为

；设备B为认证参与方，其配对公钥为

，私钥为

。设备A和设备B(统称为认证双方)认证成功的条件为下述同余式成立：

$k\×(\stackrel{\→}{p_A}\×\stackrel{\→}{s_B^T}+\stackrel{\→}{p_A}\×\stackrel{\→}{e^T}+a)\≡k\×(\stackrel{\→}{p_B}\×\stackrel{\→}{s_A^T}+\stackrel{\→}{p_B}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m---\left(1\right)$

其中，

为

的转置向量；

为

的转置向量；

为

的转置向量；

实施例1

本发明应用于单向认证和密钥协商。

单向认证是指设备A认证设备B，而设备B不需要认证设备A的情况。

首先，密钥颁发机构从自己的密钥库中给每个主体(设备)分配一对公钥

和私钥

，密钥颁发机构的密钥库必须保密，认证主体的私钥也必须保密。每个设备的公钥/私钥对均不一样，这样可以实现对某个指定设备的吊销。每个设备将公钥/私钥对均保存在设备中，其中私钥要求秘密保存，不允许其它设备访问。公钥可以让其它的设备访问；

第二步，假定认证发起方的配对公钥为

、私钥为认证参与方的配对公钥私钥为

认证发起方发起认证请求，首先产生一个随机数R_A，并与其公钥

一起传送给认证参与方；

第三步，认证参与方获得认证请求，在接收到认证发起方的随机数R_A和公钥

后，产生一个随机数R_B，并与自己的公钥

一起传送给认证发起方；

第四步，认证发起方和认证参与方在收到对方发送的公钥信息后，检查其公钥是否在自身黑名单中，如果在黑名单中，则中止后续过程，否则继续；

第五步，认证发起方计算M_A；

$M_A=k\×(\stackrel{\→}{p_B}\×\stackrel{\→}{s_A^T}+\stackrel{\→}{p_B}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m---\left(2\right)$

计算认证数据K_M_A：

K_M_A＝B_E(M_A，R_A‖R_B)mod m           (3)

计算认证码C_A：

C_A＝B_E₁(K_M_A，R_A‖R_B)mod m          (4)

认证参与方计算M_B

$M_B=k\×(\stackrel{\→}{p_A}\×\stackrel{\→}{s_B^T}+\stackrel{\→}{p_A}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m---\left(5\right)$

计算认证数据K_M_B：

K_M_B＝B_E(M_B，R_A‖R_B)mod m           (6)

计算认证码C_B：

C_B＝B_E₁(K_M_B，R_A‖R_B)mod m          (7)

认证参与方将C_B发送给认证发起方。认证发起方等待对方返回C_B，如果规定时间没有收到，则认证失败。

认证发起方将收到的C_B与自己计算所得的C_A进行比较，如果相同则认为对方身份合法，并且产生了共同的密钥K_M_A，认证成功。如果不相同，则认证失败。

认证成功后，认证双方以K_M_A作为共享密钥的初始值，以此产生认证双方通信密钥，或直接以K_M_A作为后续通信的密钥。

这里根据情况，认证发起方或者认证参与方可以只有一方产生和传送随机数，而另外一方可以不需要产生和传送。假设设备B不产生随机数，则以上运算中R_A‖R_B变为R_A，如：K_M_A＝B_E(M_A，R_A)C_A＝B_E₁(K_M_A，R_A)。

上式中，R_A‖R_B表示R_A和R_B两个数直接串联组合为一个数，比如R_A＝10234，R_B＝88756，则R_A‖R_B＝1023488756。

如果仅作认证，则不需要进行公式(4)、(7)的运算，可以直接对认证数据K_M_A、K_M_B进行比较，相同则认证成功。

上式中，B_E()定义为一种运算，比如加密运算、HASH运算、HMAC运算等。B_E()和B_E₁()可以相同，也可以不同。公式(3)、(4)、(5)、(6)、(7)的运算，都是为了增加数据传送过程中的安全性。

实施例2

该方案应用于双向认证和密钥协商。

双向认证是指设备A和设备B需要相互确认对方身份的情况。

(1)假定认证发起方(设备A)的公钥为

私钥为

认证参与方(设备B)的公钥

私钥为

(2)认证发起方发起认证请求，首先产生一个随机数R_A，并与其公钥

一起传送给认证参与方；

(3)认证参与方获得认证请求，在接收到认证发起方的随机数R_A和和公钥

后，产生一个随机数R_B，并与自己的公钥

一起传送给认证发起方；

(4)认证发起方和认证参与方在收到对方发送的公钥后，检查其公钥是否在自身黑名单中，如果在黑名单中，则中止后续过程，否则继续；

(5)认证发起方计算M_A；

$M_A=k\×(\stackrel{\→}{p_B}\×\stackrel{\→}{s_A^T}+\stackrel{\→}{p_B}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m---\left(8\right)$

计算认证数据K_M_A：

K_M_A＝B_E(M_A，R_A)mod m                (9)

计算认证码C_A、C_B

C_A＝B_E₁(K_M_A，R_A)mod m              (10)

C_B＝B_E₁(K_M_A，R_B)mod m              (11)

认证参与方计算M_B

$M_B=k\×(\stackrel{\→}{p_A}\×\stackrel{\→}{s_B^T}+\stackrel{\→}{p_A}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m---\left(13\right)$

计算认证数据K_M_B：

K_M_B＝B_E(M_B，R_A)mod m                (14)

计算认证码

$C_A^{\′}=B\_E_1(K\_M_B,R_A)\mathrm{mod}m---\left(15\right)$

$C_B^{\′}=B\_E_1(K\_M_B,R_B)\mathrm{mod}m---\left(16\right)$

(6)认证参与方将

发送给认证发起方，并在规定时间等待对方返回C_B，如果规定时间没有收到，则认证失败；

(7)认证发起方将收到的

与自己计算的C_A进行比较，如果相等则认为对方身份合法，并且产生了共同的密钥(K_M_A或K_M_B)，否则认证失败；

(8)认证发起方将C_B发送给认证参与方，等待对方返回

，如果规定时间没有收到，则认证失败；

(9)认证参与方将接收到的C_B与自己计算的

进行比较，如果相等则认为对方身份合法，并且产生了共同的密钥(K_M_A或K_M_B)，否则认证失败；

(10)认证成功后，认证双方以K_M_A作为共享密钥的初始值，以此产生认证双方通信密钥，或直接以K_M_A作为后续通信的密钥。

Claims (10)

1. 【权利要求1】一种身份认证及共享密钥产生方法，包括密钥颁发机构，用于向设备颁发公钥和私钥；每个设备至少具有一对公钥

   

   和私钥

   

   所述密钥颁发机构设定关联系数k、回归系数a、模数m及偏移向量

   

   其中，k、a为自然数，且k≠0；

   

   均为1×n的向量，n为≥2的自然数；设认证发起方的公钥为

   

   私钥为

   

   认证参与方的公钥为

   

   私钥为

   

   其特征在于，包括以下步骤：

   a、认证发起方发起认证请求，并将其公钥传送给认证参与方；

   b、认证参与方获得认证请求后，将其公钥

   

   传送给认证发起方；

   c、认证发起方计算： $M_A=k\×(\stackrel{\→}{p_B}\×\stackrel{\→}{s_A^T}+\stackrel{\→}{p_B}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m;$

   认证参与方计算： $M_B=k\×(\stackrel{\→}{p_A}\×\stackrel{\→}{s_B^T}+\stackrel{\→}{p_A}\×\stackrel{\→}{e^T}+a)\mathrm{mod}m;$

   其中，

   

   为

   

   的转置向量；

   

   为的转置向量；

   

   为

   

   的转置向量；

   d、以M_A、M_B作为认证的根据，两者相同则认证成功，否则认证失败。
2. 【权利要求2】根据权利要求1所述的一种身份认证及共享密钥产生方法，其特征在于，所述n≥20。
3. 【权利要求3】根据权利要求1或2所述的一种身份认证及共享密钥产生方法，其特征在于，步骤a和b中，收到对方公钥后，判断其是否合法，是则继续后续步骤，否则终止后续步骤。
4. 【权利要求4】根据权利要求1、2或3所述的一种身份认证及共享密钥产生方法，其特征在于，所述公钥和私钥

   

   具有线性相关性。
5. 【权利要求5】根据权利要求1、2、3或4所述的一种身份认证及共享密钥产生方法，其特征在于，认证成功则以M_A作为认证双方共享密钥的初始值，以此产生认证双方通信密钥。
6. 【权利要求6】根据上述任意一项权利要求所述的一种身份认证及共享密钥产生方法，其特征在于，

   步骤a还包括，认证发起方产生一个随机数R_A，并传送给认证参与方；

   步骤c还包括：

   认证发起方对R_A、M_A进行运算得到B_E(M_A、R_A)；

   认证参与方对R_A、M_B进行相同的运算得到B_E(M_B、R_A)；

   步骤d为：以B_E(M_A、R_A)、B_E(M_B、R_A)作为认证的根据，两者相同则认证成功，否则认证失败。
7. 【权利要求7】根据权利要求6所述的一种身份认证及共享密钥产生方法，其特征在于，认证成功则以B_E(M_A、R_A)作为认证双方共享密钥的初始值，以此产生认证双方通信密钥。
8. 【权利要求8】根据权利要求6所述的一种身份认证及共享密钥产生方法，其特征在于，

   步骤b进一步包括，认证参与方产生一个随机数R_B，并传送给认证发起方；

   步骤c中，认证发起方对M_A、R_A、R_B进行运算得到B_E(M_A、R_A、R_B)；认证参与方对M_B、R_A、R_B进行相同的运算得到B_E(M_B、R_A、R_B)；

   步骤d为：以B_E(M_A、R_A、R_B)、B_E(M_B、R_A、R_B)作为认证根据，两者相同则认证成功，否则认证失败。
9. 【权利要求9】根据权利要求8所述的一种身份认证及共享密钥产生方法，其特征在于，认证成功则以B_E(M_A、R_A、R_B)作为认证双方共享密钥的初始值，以此产生认证双方通信密钥。
10. 【权利要求10】根据上述任意一项权利要求所述的一种身份认证及共享密钥产生方法，其特征在于，该方法可以用于认证发起方对认证参与方的单向认证，也用于认证发起方和认证参与方的相互认证。