CN108400867A

CN108400867A - 一种基于公钥加密体制的认证方法

Info

Publication number: CN108400867A
Application number: CN201710067602.2A
Authority: CN
Inventors: 于金刚; 赵治刚
Original assignee: Shenyang Institute of Computing Technology of CAS
Current assignee: Shenyang Institute of Computing Technology of CAS
Priority date: 2017-02-07
Filing date: 2017-02-07
Publication date: 2018-08-14
Anticipated expiration: 2037-02-07
Also published as: CN108400867B

Abstract

本发明涉及一种基于公钥加密体制的认证方法，应用于即时消息通信、网络电话等环境中，包括身份认证、共享会话秘钥生成。主要由三种角色构成：发送方A、接收方B、秘钥分发中心。协议执行过程中，发送方A、接收方B通过与秘钥分发中心的交互，完成与秘钥分发中心之间相互的身份认证及发送方A和接收方B之间相互的身份认证，并在此期间，发送方A、接收方B分别接收到由秘钥分发中心生成的共享会话秘钥，并认证对方也已收到该共享会话秘钥，以便在下阶段的信息交互中，使用该共享会话秘钥加解密通信内容。本发明完全满足认证协议的安全性要求，能够防止旧消息重放，并且抵抗身份冒充攻击。

Description

一种基于公钥加密体制的认证方法

技术领域

本发明涉及信息安全、网络安全技术领域，特别是涉及一种基于公钥加密体制的认证方法，适用于基于公钥密码体制的身份认证并在此基础上通过共享会话秘钥进行安全通信。

背景技术

身份认证的目的是在不可靠的通信环境下实现参与者的安全通信，由于网络环境的不可靠性，存在着多种多样的攻击方式，如身份冒充、旧消息重放等，从而导致了分析与设计身份认证协议的复杂性。现有的身份认证方法，为防止消息重放和身份冒充攻击，通常是通过使用时间戳、双方互发随机数、添加发送方身份标示等方式，但时间戳存在时间同步的困难，需要额外的代价；互发随机数通常导致消息交互的次数增多，增加了协议的复杂性。

发明内容

为了克服上述现有技术的不足，本发明提供了一种基于公钥加密体制的认证方法。为了防止旧消息重放及身份冒充等常见认证协议的缺陷，本发明所采用的技术方案是：

一种基于公钥加密体制的认证方法，包括以下步骤：

1)客户端A和客户端B分别向秘钥分发中心发送随机数N_A、N_B；随机数N_A、N_B分别使用客户端A、客户端B各自的私钥K_SA、K_SB签名并使用秘钥分发中心的公钥K_PS加密，分别构成客户端A的消息和客户端B的消息；客户端A的消息通过客户端B转发；

2)秘钥分发中心收到消息后，使用自身私钥K_SS解密消息，并使用客户端A、客户端B的公钥K_PA、K_PB分别对随机数N_A、N_B进行解密、验签，完成对客户端A、客户端B的身份认证；

3)秘钥分发中心产生共享会话秘钥K_AB，将双方的随机数N_A和N_B、客户端B的身份标示B、共享会话秘钥K_AB使用秘钥分发中心的私钥K_SS签名，并用客户端A的公钥K_PA加密构成消息体1；将该消息体1与双方随机数N_A和N_B、客户端A身份标示A、共享会话秘钥K_AB一起，使用秘钥分发中心的私钥K_SS签名并用客户端B的公钥K_PB加密后构成消息体2，发送给客户端B；

4)客户端B收到消息体2后，使用自身私钥K_SB解密消息体2，并使用秘钥分发中心公钥K_PS解密、验签，完成对秘钥分发中心的身份认证；

5)客户端B将解密出的消息体1转发给客户端A的同时，将客户端A的随机数N_A使用共享会话秘钥K_AB加密后作为消息体3，一起发送给客户端A；

6)客户端A收到消息体1和消息体3后，使用自身私钥K_SA解密消息体1，并使用秘钥分发中心公钥K_PS验签，完成对秘钥分发中心的身份认证；使用共享秘钥K_AB解密消息体3，确认客户端B已经收到共享秘钥K_AB；

7)客户端A将客户端B随机数N_B使用函数处理，并使用共享会话秘钥K_AB加密后发送给客户端B；

8)客户端B收到消息后，使用共享会话秘钥K_AB解密消息，同时使用函数对消息体进行反处理得到客户端B随机数，当该随机数与步骤1)中的随机数N_B一致时，认为该消息新鲜并认为客户端A已经收到该共享秘钥。

所述共享会话秘钥K_AB通过对称秘钥算法得到。

步骤4)包括以下步骤：

客户端B解密消息2后、取出共享会话秘钥K_AB、客户端B随机数、客户端A随机数、客户端A的身份标示A、消息体1；

将客户端B随机数与步骤1)中发送的随机数N_B比较是否一致；若一致，则认为该消息新鲜，存储共享会话秘钥K_AB到本地；否则，终止本次会话。

步骤6)包括以下步骤：

客户端A解密消息1后、取出共享会话秘钥K_AB、客户端A随机数、客户端B随机数、客户端B的身份标示B；

将客户端A随机数与步骤1)中发送的随机数N_A对比是否一致；若一致，则认为该消息新鲜，存储共享会话秘钥K_AB到本地；否则终止本次会话；

客户端A使用共享会话秘钥K_AB解密消息3，解密出客户端A随机数，将该随机数与步骤1)中发送的随机数N_A对比是否一致；若一致，则认为该消息新鲜，同时认为接收方B已经收到该共享秘钥；否则终止本次会话。

步骤7)中的函数为客户端A和客户端B共同知晓。

步骤7)中的函数为减1。

步骤8)中反处理为加1。

本发明具有以下有益效果及优点：

1)在不增加通信次数的基础上，完成了发送方A、接收方B、秘钥分发中心相互之间的身份认证。

2)秘钥分发中心通过在返回给发送方A、接收方B的消息中添加双方的随机数，使得双方都能验证消息的新鲜性，抵抗重放攻击。避免了使用时间戳时需要时间同步的困难。

3)秘钥分发中心通过在返回给发送方A、接收方B的消息中添加双方身份标示，使得双方都能确认对方的身份，防止入侵者对双方身份的冒充。

4)接收方B通过使用共享秘钥加密发送方A的随机数并发送给发送方A，使得发送方A确认接收方B已经收到该共享会话秘钥。同理接收方B也确认发送方A已经收到共享会话秘钥。

附图说明

图1是本发明的方法流程示意图；

图2是实施例的方法流程示意图。

具体实施方式

下面结合实施例对本发明做进一步的详细说明。

如图1所示，发送方A、接收方B分别表示客户端A、客户端B，一种基于公钥加密体制的认证方法，包括身份认证和共享会话秘钥两项功能：

1)发送方A和接收方B分别向秘钥分发中心发送(本地)随机数N_A、N_B。随机数使用发送方A、接收方B各自的私钥K_SA、K_SB签名并使用秘钥分发中心的公钥K_PS加密，其中A发送的消息为{A、B、((N_A)K_SA)K_PS}，B发送的消息为{A、B、(((N_A)K_SA)K_PS、(N_B)K_SB)K_PS}即A的消息通过B转发。

2)秘钥分发中心收到消息后，使用自身私钥K_SS解密消息，并使用发送方A、接收方B的公钥K_PA、K_PB对随机数进行解密、验签，完成对发送方A、接收方B的身份认证。

3)秘钥分发中心调用对称秘钥生成器产生共享会话秘钥K_AB，将双方的随机数N_A和N_B、接收方B的身份标示B、共享会话秘钥K_AB使用秘钥分发中心的私钥K_SS签名并用发送方A的公钥K_PA加密构成消息体1即{((N_A、B、K_AB、N_B)K_SS)K_PA}，将该消息体1与双方随机数N_A和N_B、发送方A身份标示A、共享会话秘钥K_AB一起，使用秘钥分发中心的私钥K_SS签名并用接收方B的公钥K_PB加密后构成消息体2即{((((N_A、B、K_AB、N_B)K_SS)K_PA，N_B、A、K_AB、N_A)K_SS)K_PB}，发送给接收方B。

秘钥生成器用于得到秘钥，本实施例采用对称秘钥算法，是通过将秘钥及待加密数据作为参数，来对数据进行解密或者加密用。

4)接收方B收到消息后，使用自身私钥K_SB解密消息体2，并使用秘钥分发中心公钥K_PS验签，完成对秘钥分发中心的身份认证。取出共享会话秘钥K_AB、接收方B随机数N_B、发送方A随机数N_A、发送方A的身份标示A、消息体1，将接收方B随机数N_B与本地随机数即1)中发送的随机数N_B比较是否一致，完成对消息新鲜性验证即证明消息体2是本次会话相关的消息体，同时完成对发送方A的身份认证，存储共享会话秘钥K_AB到本地。

5)接收方B将解密出的消息体1直接转发给发送方A的同时，将发送方A的随机数N_A使用共享会话秘钥K_AB加密后作为消息3即{(N_A)K_AB}，一起发送给发送方A。以便使发送方A确认接收方B已经收到共享秘钥K_AB。

6)发送方A收到消息后，使用自身私钥K_SA解密消息体1，并使用秘钥分发中心公钥K_PS验签，完成对秘钥分发中心的身份认证，取出共享会话秘钥K_AB、发送方A随机数N_A、接收方B随机数N_B、接收方B的身份标示B。将发送方A随机数N_A与本地随机数即1)中发送的随机数N_A对比是否一致，完成对消息新鲜性验证及接收方身份的认证，存储共享会话秘钥K_AB到本地。使用共享会话秘钥解密消息3，解密出发送方A随机数N_A，将该随机数与本地随机数N_A对比是否一致，确认消息新鲜性并同时确认接收方B已经收到该共享秘钥。

7)发送方A将接收方B随机数N_B使用函数(该函数为发送方A和接收方B共同知晓)处理(此处为直接减1)，并使用共享会话秘钥K_AB加密后发送给接收方B。

8)接收方B收到消息后，使用共享会话秘钥K_AB解密消息，同时使用函数对消息体进行反处理(此处为加1)得到接收方B随机数，将该随机数与本地随机数N_B对比是否一致，确认消息新鲜性并同时确认发送方A已经收到该共享秘钥。

其中，A、B为用户身份标示；N_A、N_B为用户生成的随机数；K_SA、K_PA为用户A的私钥和公钥，K_SB、K_PB和K_SS、K_PS分别为用户B和秘钥分发中心的私钥及公钥；((N_A)K_SA)K_PS表示通过公钥加密算法用A的私钥K_SA签名后，再使用秘钥分发中心的公钥K_PS加密。其他同理。(N_B-1)K_AB表示通过对称加密算法用K_AB加密N_B-1。

1)通过较少的信息交互次数，使得发送方A、接收方B、在与秘钥分发中心完成身份认证的同时，彼此也完成相互的身份认证；并且在自身收到共享会话秘钥的同时，确认对方也收到该共享会话秘钥。

2)通过在图1中的第二次消息交互即接收方B发送消息{A、B、(((N_A)K_SA)K_PS、(N_B)K_SB)K_PS}到秘钥分发中心，即接收方B在转发发送方A随机数的同时，将自身的随机数也发送给秘钥分发中心，为下阶段的消息新鲜性验证及防止消息重放做准备。

3)通过在图1中的第四次消息交互即接收方B发送消息{((N_A、B、K_AB、N_B)K_SS)K_PA，(N_A)K_AB}给发送方A。在第一部分消息体((N_A、B、K_AB、N_B)K_SS)K_PA中增加接收方B的身份标示，使得发送方A可以确认接收方B的身份，抵御了身份冒充攻击；在第二部分消息(N_A)K_AB中增加使用共享秘钥K_AB加密的发送方A随机数N_A的消息，使得发送方A在收到消息的同时完成对接收方B身份的认证，也确认接收方B已经收到了该新共享会话秘钥。有效防止了攻击者对接收方B身份的冒充。

本发明的特点如下：

(1)为防止重放攻击，在图1第2次信息交互中，由接收方B给秘钥分发中心发送签名并加密的随机数N_A、N_B即消息{A、B、(((N_A)K_SA)K_PS、(N_B)K_SB)K_PS}；第3次信息交互中，由秘钥分发中心返回给B的消息{((((N_A、B、K_AB、N_B)K_SS)K_PA，N_B、A、K_AB、N_A)K_SS)K_PB}，经过接收方B进行解密、验签后提取出随机数N_B，与保存在本地的随机数即第2次交互中用到的随机数N_B比较是否一致，即可证明该消息为本次会话相关的新鲜消息，使得接收方B验证了共享秘钥K_AB的新鲜性。在图1的第3次信息交互中，由秘钥分发中心发送给发送方A的消息{((N_A、B、K_AB、N_B)K_SS)K_PA}中添加随机数N_A，该消息经由接收方B转发后，由发送方A解密、验签，提取出该随机数N_A，与保存在本地的随机数即第1次交互中用到的随机数N_A比较是否一致，即可证明本消息的新鲜性，从而使发送方A确认共享秘钥K_AB的新鲜性。

(2)为避免身份冒充缺陷，在图1的第3次信息交互中即秘钥分发中心发送消息{((((N_A、B、K_AB、N_B)K_SS)K_PA，N_B、A、K_AB、N_A)K_SS)K_PB}给接收方B，由秘钥分发中心发送给发送方A的消息{((N_A、B、K_AB、N_B)K_SS)K_PA}中，添加接收方的身份标示B，保证本次会话的接收方为用户B，由此当接收方B转发该消息后，发送方A解密、验签该消息，可以对本次会话的接收方B进行身份确认，从而避免了身份冒充；同理接收方B也通过此方式确认发送方A的身份。

如图2所示，本发明是一种基于公钥加密体制的认证方法，分为身份认证和获取共享秘钥两项功能：

1.准备阶段：

发送方A、接收方B，首先激活本地证书和私钥(证书与私钥存储在硬件中，对外提供激活接口)，并将本方证书上传到秘钥分发中心同时获取秘钥分发中心的证书存储到本地，其次需要本地硬件或者软件实现对称加密算法(如SM4)、摘要算法(如SM3)及公钥加密算法(如SM2)；秘钥分发中心也需要同时激活本地证书和私钥，能够提供存储证书、对称秘钥生成器(用于生成共享会话秘钥)、公钥加密算法(如SM2)、摘要算法(如SM3)等功能。

2.身份认证及获取共享秘钥阶段：

1).发送方A调用本地随机数生成器生成随机数N_A并保存到本次会话环境中。通过SM3算法生成该随机数的摘要，使用己方私钥K_SA通过公钥加密算法SM2签名，并使用秘钥分发中心公钥K_PS通过公钥加密算法SM2加密构成消息1{A、B、((N_A)K_SA)K_PS}，经由业务服务器转送给接收方B。业务服务器在收到消息时，检测通信双方业务状态是否正常，并转发该消息给接收方B。

2).接收方B收到消息1后，不进行任何处理，调用本地随机数生成器生成随机数N_B并保存到本次会话环境中。通过SM3算法生该成随机数的摘要，使用己方私钥K_SB通过公钥加密算法SM2签名后，与消息1一起使用秘钥分发中心公钥K_PS通过SM2算法加密构成消息2{A、B、(((N_A)K_SA)K_PS、(N_B)K_SB)K_PS}，发送至秘钥分发中心。

3).秘钥分发中心收到消息2后，使用本方私钥K_SS通过公钥加密算法SM2解密，并使用发送方A、接收方B的公钥K_PA、K_PB通过公钥加密算法SM2进行解密得到各自随机数的摘要。通过SM3算法对各自随机数明文取摘要与解密后的随机数摘要对比是否一致，确定消息完整性的同时完成对发送方A、接收方B的身份认证。调用本地对称秘钥生成器生成对称秘钥作为通信双方通信时的共享会话秘钥K_AB。将双方的随机数N_A及N_B、接收方身份标示B、共享会话秘钥K_AB一起使用先使用SM3算法获取摘要，再只用秘钥分发中心私钥K_SS通过公钥加密算法SM2签名，最后使用发送方公钥K_PA通过公钥加密算法SM2加密，构成消息体((N_A、B、K_AB、N_B)K_SS)K_PA。将以上消息体与双方随机数N_A及N_B、发送方的身份标示A、共享会话秘钥K_AB，先通过SM3算法生成摘要，再使用秘钥分发中心私钥K_SS通过公钥加密算法SM2签名，最后使用接收方公钥K_PB通过公钥加密算法SM2加密后构成消息3{((((N_A、B、K_AB、N_B)K_SS)K_PA，N_B、A、K_AB、N_A)K_SS)K_PB}，发送给接收方B。

4).接收方B收到消息后，使用己方私钥K_SB、秘钥分发中心公钥K_PS通过公钥算法SM2解密消息3为{((N_A、B、K_AB、N_B)K_SS)K_PA，N_B、A、K_AB、N_A}，通过SM3算法获取消息3的摘要，将摘要与签名内容对比是否一致，完成对消息完整性的验证。提取接收方B的随机数N_B与本次会话环境中的随机数N_B进行对比，验证该消息的新鲜性；提取共享会话秘钥K_AB保存到本次会话环境中；同时提取发送方A的身份标示A，确认发送方A的身份。将消息3中剩余的部分{((N_A、B、K_AB、N_B)K_SS)K_PA}及使用共享会话秘钥K_AB通过对称加密算法SM4加密的发送方随机数N_A一起构成消息4{((N_A、B、K_AB、N_B)K_SS)K_PA，(N_A)K_AB}，一起发送给发送方A。

5).发送方A接收消息4，首先使用己方私钥K_SA及秘钥分发中心公钥K_PS通过公钥加密算法SM2解密消息4的前半部分{((N_A、B、K_AB、N_B)K_SS)K_PA}，通过SM3算法获取消息4的摘要，与签名内容进行对比是否一致，验证消息完整性。提取发送方随机数N_A与本次会话环境中的随机数N_A对比是否一致，验证该消息的新鲜性后，提取共享会话秘钥K_AB保存到本次会话环境中；同时提取接收方B的身份标示B，确认接收方B的身份。提取接收方B的随机数并使用函数处理(如循环左移)后，使用共享会话秘钥K_AB通过对称加密算法SM4加密，构成消息5{(N_B ^#)K_AB}。使用共享会话秘钥K_AB通过对称加密算法SM4解密消息4的后半部分{(N_A)K_AB}，提取其中发送方随机数N_A与本次会话环境中的随机数N_A对比是否一致，验证接收方B已经收到该共享会话秘钥K_AB。

6).将消息5发送给接收方B，接收方B收到消息后，使用本次会话环境中的共享会话秘钥K_AB通过对称加密算法SM4解密消息并使用函数反处理(如循环右移)得到接收方随机数N_B，与本次会话环境中的随机数N_B对比是否一致，确认发送方已收到该共享会话秘钥K_AB。

7).双方都收到共享会话秘钥K_AB后，使用该共享会话秘钥通过对称加密算法SM4加密消息，将密文借助于业务服务器进行交互。至此完成整个加密通信过程。

Claims

1.一种基于公钥加密体制的认证方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于公钥加密体制的认证方法，其特征在于所述共享会话秘钥K_AB通过对称秘钥算法得到。

3.根据权利要求1所述的一种基于公钥加密体制的认证方法，其特征在于步骤4)包括以下步骤：

4.根据权利要求1所述的一种基于公钥加密体制的认证方法，其特征在于步骤6)包括以下步骤：

5.根据权利要求1所述的一种基于公钥加密体制的认证方法，其特征在于步骤7)中的函数为客户端A和客户端B共同知晓。

6.根据权利要求1所述的一种基于公钥加密体制的认证方法，其特征在于步骤7)中的函数为减1。

7.根据权利要求1所述的一种基于公钥加密体制的认证方法，其特征在于步骤8)中反处理为加1。