專利名稱：一種用戶計(jì)算機(jī)之間交換密鑰的方法
技術(shù)領(lǐng)域：
本發(fā)明屬于信息安全領(lǐng)域中密鑰交換管理技術(shù)，具體地講是一種用戶計(jì)算機(jī)之間交換密鑰的方法。
背景技術(shù)：
在信息安全系統(tǒng)中，密鑰是合法訪問(wèn)的唯一憑證。在Kerckhoff密碼安全性分析假設(shè)下，一個(gè)信息安全系統(tǒng)的安全性取決于對(duì)密鑰本身的保護(hù)，而不是對(duì)系統(tǒng)或者通信硬件的安全保護(hù)。在這一前提下，密碼體制和算法本身可以被公開，訪問(wèn)策略可以公布，密碼設(shè)備可能丟失，但信息安全系統(tǒng)仍然可以繼續(xù)正常運(yùn)轉(zhuǎn)，不受影響。但是，密鑰一旦泄漏，則安全系統(tǒng)將被破壞不但合法用戶不能訪問(wèn)系統(tǒng)、提取信息，而且系統(tǒng)中的信息將會(huì)被非法用戶所竊取，危害到整個(gè)系統(tǒng)的安全。由此可見，安全的密鑰管理方法在通信系統(tǒng)的安全中是十分關(guān)鍵和極其重要的。它不僅影響著系統(tǒng)的安全性，而且還將涉及系統(tǒng)的可靠性、有效性和經(jīng)濟(jì)性等內(nèi)容。密鑰交換方法(Key Distribution)是這樣一種機(jī)制通信的一方先選擇一個(gè)秘密的會(huì)話密鑰，然后將它傳送給通信的另一參與方，從而實(shí)現(xiàn)在系統(tǒng)中的不同成員之間實(shí)現(xiàn)密鑰安全傳送。
傳統(tǒng)的的密鑰交換方法是通過(guò)郵遞、信使或者專用保密信道傳送密鑰。密鑰可用打印、穿孔紙帶或數(shù)字形式記錄。這類方法一般可以保證密鑰傳送的及時(shí)性，而其安全性則完全取決于信使的忠誠(chéng)和素質(zhì)或者專用信道的安全性，因而使用和維護(hù)的成本極高。
目前，網(wǎng)絡(luò)通信中已經(jīng)出現(xiàn)了一些基于某一類數(shù)學(xué)難題的密鑰交換方法，它們具有計(jì)算安全性，足以應(yīng)付在可預(yù)見的一段時(shí)期內(nèi)的各種安全需求，與傳統(tǒng)密鑰交換方法相比，這類基于某一數(shù)學(xué)難題的密鑰交換方法簡(jiǎn)單經(jīng)濟(jì)，方便實(shí)用，具有很強(qiáng)的生命力。
目前已經(jīng)出現(xiàn)的密鑰交換方法有Blom方法、Diffie-Hellman方法、MQV方法和Kerboros方法等幾種方法。
其中，Blom方法基于線性空間的不可逆問(wèn)題，具有可證明的安全性，但其會(huì)話密鑰固定，需要專用的安全保密信道，因此很不實(shí)用；Diffie-Hellman方法基于有限乘法群上的離散對(duì)數(shù)問(wèn)題DLP，具有計(jì)算安全性，但由于其會(huì)話密鑰固定，故難以抵抗“中間人”攻擊，具有安全性問(wèn)題；MQV方法基于橢圓曲線有限群上的離散對(duì)數(shù)問(wèn)題ECDLP，具有較好的計(jì)算安全性，并被列入IEEE組織制定的國(guó)際標(biāo)準(zhǔn)(IEEE 1363-2000)，但其步驟繁瑣，操作復(fù)雜，需要兩個(gè)密鑰對(duì)，以及兩次握手和身份鑒別過(guò)程，數(shù)據(jù)通信量較大，通信成本較高。Kerboros 5方法能夠在線為每個(gè)用戶交換新的臨時(shí)會(huì)話密鑰，是目前比較普及的密鑰交換方法之一，但由于該方法需要完全的同步時(shí)鐘及專用時(shí)戳服務(wù)器，以確保臨時(shí)會(huì)話密鑰的新鮮性(Key Freshness)，因而在實(shí)際實(shí)施過(guò)程中是非常困難的，甚至于是不可行的。
所有這些密鑰交換方法所存在的問(wèn)題，都使得密鑰交換的成本大大增加，過(guò)于復(fù)雜的密碼交換方法還會(huì)留下許多難于覺(jué)察的安全隱患。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于Abel有限群上離散對(duì)數(shù)問(wèn)題的求解困難性，通過(guò)引入可信第三方權(quán)威認(rèn)證機(jī)構(gòu)，實(shí)現(xiàn)一種簡(jiǎn)單實(shí)用的高效用戶計(jì)算機(jī)之間密鑰交換方法。
為了實(shí)現(xiàn)上述目的，本發(fā)明的方法是通信的雙方為A和B，他們的私鑰分別為SKA和SKB，公鑰分別為
PKA和PKB，并存放在可信第三方認(rèn)證中心CA處；由A(B)負(fù)責(zé)產(chǎn)生密鑰，并向通信方B(A)交換該密鑰，則本發(fā)明的操作步驟如下①A(B)產(chǎn)生一個(gè)隨機(jī)數(shù)k為待交換的密鑰，A(B)從認(rèn)證中心CA處獲取B(A)的公鑰PKB(PKA)，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，并發(fā)送給B(A)；②B(A)對(duì)于從A(B)處收到的R，用從認(rèn)證中心CA處獲取A(B)的公鑰PKA(PKB)和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算，即可獲得由A(B)交換的密鑰K。
本發(fā)明的優(yōu)點(diǎn)在于沒(méi)有握手過(guò)程，發(fā)送者可以利用對(duì)方公鑰，只需要一次數(shù)據(jù)發(fā)送過(guò)程即可直接完成快捷的密鑰交換任務(wù)。與之前的各種類似方法相比，該協(xié)議無(wú)需繁瑣的身份鑒別認(rèn)證，也不需要引入時(shí)戳服務(wù)器，能夠抵抗各種已知的攻擊方法，安全性很高，而且操作簡(jiǎn)單、高效，能夠應(yīng)用于計(jì)算機(jī)、通信網(wǎng)絡(luò)、智能卡、手機(jī)等各種軟硬件環(huán)境中。


附圖為本發(fā)明密鑰交換過(guò)程的圖形示意圖。
具體實(shí)施例方式
下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步的說(shuō)明。但下述實(shí)施例不應(yīng)理解為對(duì)本發(fā)明的限制。
本發(fā)明的具體過(guò)程如下設(shè)通信的雙方為A和B。設(shè)他們的私鑰分別為SKA和SKB，公鑰分別為PKA和PKB，并存放在可信第三方認(rèn)證中心。其中，PK＝SK-1×G。
現(xiàn)假設(shè)由A負(fù)責(zé)產(chǎn)生密鑰，并向通信方B交換該密鑰。則本發(fā)明的操作步驟如下①A隨機(jī)選擇一整數(shù)k，則K＝kG為待交換的密鑰；A從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；②B對(duì)于從A處收到的S，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K＝SKB×R，即可獲得由A交換的密鑰K。
實(shí)施例1有限乘法群上的實(shí)施方式系統(tǒng)參數(shù)隨機(jī)選定大素?cái)?shù)p，生成元g為一個(gè)小于p的正整數(shù)。私鑰SKA和SKB為小于p-1的隨機(jī)正整數(shù)。則公鑰PKA和PKB按如下方式得到 密鑰交換過(guò)程a)A隨機(jī)選擇小于p-1的正整數(shù)k，則K＝gkmodp為待交換密鑰；A從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝(PKB)kmodp，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；b)B對(duì)于從A處收到的S，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K=RSKBmodp,]]>即可獲得由A交換的密鑰K。
實(shí)施例2橢圓曲線有限群上的實(shí)施方式系統(tǒng)參數(shù)隨機(jī)選定大素?cái)?shù)p，橢圓曲線E(GF(p))y3＝x3+ax+b(modp)是定義在有限域GF(p)上的一條安全橢圓曲線，其上隨機(jī)選取的基點(diǎn)為G，設(shè)n＝#E(GF(p))是橢圓曲線E的階，r是n的一個(gè)大素?cái)?shù)因子。私鑰SKA和SKB為小于r-1的隨機(jī)正整數(shù)。則公鑰PKA和PKB按如下方式得到 密鑰交換過(guò)程a)A隨機(jī)選擇一整數(shù)k∈[1，r-1]，則K＝k×G為待交換密鑰；并從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；b)B對(duì)于從A處收到的S，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K＝SKB×R，即可獲得由A交換的密鑰K。
實(shí)施例3超橢圓曲線有限群上的實(shí)施方式系統(tǒng)參數(shù)隨機(jī)選定大素?cái)?shù)p，超橢圓曲線Cy2+h(x)y＝f(x)modp是定義在有限域GF(p)上的一條虧格為g的安全超橢圓曲線，其中f(x)是次數(shù)為2g+1的首一多項(xiàng)式，h(x)是次數(shù)至多為g的多項(xiàng)式。設(shè)該超橢圓曲線C的Jacobian群J(C；GF(p))的階#J(C；GF(p))為n，r是n的一個(gè)大素?cái)?shù)因子。在該超橢圓曲線C上隨機(jī)選取基點(diǎn)D∈J(C；GF(p))。私鑰SKA和SKB為小于r-1的隨機(jī)正整數(shù)。則公鑰PKA和PKB按如下方式得到 密鑰交換過(guò)程如下
a)A隨機(jī)選擇一整數(shù)k∈[1，r-1]，則K＝k×D為待交換密鑰；并從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；b)B對(duì)于從A處收到的S，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K＝SKB×R，即可獲得由A交換的密鑰K。
實(shí)施例4多方密鑰交換當(dāng)通信方不只兩個(gè)時(shí)，這時(shí)的密鑰交換機(jī)制將是由其中的一個(gè)通信方產(chǎn)生密鑰，并通過(guò)密鑰交換協(xié)議將所產(chǎn)生的這個(gè)臨時(shí)會(huì)話密鑰分發(fā)給其余的通信方，使得所有的成員共享本次會(huì)議的臨時(shí)密鑰。顯然，該模式實(shí)際上是由多個(gè)點(diǎn)對(duì)點(diǎn)密鑰交換模式復(fù)合而成的。
具體實(shí)施方式
如下設(shè)由通信主體A負(fù)責(zé)產(chǎn)生和分發(fā)密鑰密鑰，并稱A為會(huì)議主席。會(huì)議的各參與會(huì)員為M1，M2，L Mn，記為Mi。他們的密鑰對(duì)均根據(jù)PK＝SK-1×G產(chǎn)生?，F(xiàn)設(shè)會(huì)議主席的密鑰對(duì)為(PKA，SKA)，各會(huì)員的密鑰對(duì)為(PKi，SKi)，則工作過(guò)程如下a)會(huì)議主席A隨機(jī)選擇一整數(shù)k∈[1，r-1]，則本次會(huì)議通信的待交換密鑰為K＝kG；b)對(duì)于會(huì)議的各參與方M1，M2，L Mn，會(huì)議主席依次執(zhí)行上述的點(diǎn)對(duì)點(diǎn)型密鑰交換方法，向所有其它會(huì)員分發(fā)Si＝SigA(k×PKi)。
c)會(huì)員Mi在收到會(huì)議主席A發(fā)來(lái)的Si后，驗(yàn)證A的數(shù)字簽名，確保Si的真實(shí)性和完整性，并用自己的私鑰SKi計(jì)算K＝SKi×Ri，既可得出由會(huì)議主席A分發(fā)的本次會(huì)議通信密鑰K＝kG。
本說(shuō)明書中未作詳細(xì)描述的內(nèi)容屬于本領(lǐng)域技術(shù)人員公知的現(xiàn)有技術(shù)。
權(quán)利要求
1.一種用戶計(jì)算機(jī)之間交換密鑰的方法，其通信的雙方為A和B，他們的私鑰分別為SKA和SKB，公鑰分別為PKA和PKB，并存放在可信第三方認(rèn)證中心CA處；由A(B)負(fù)責(zé)產(chǎn)生密鑰，并向通信方B(A)交換該密鑰，則本發(fā)明的操作步驟如下①A(B)產(chǎn)生一個(gè)隨機(jī)數(shù)k為待交換的密鑰，A(B)從認(rèn)證中心CA處獲取B(A)的公鑰PKB(PKA)，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，并發(fā)送給B(A)；②B(A)對(duì)于從A(B)處收到的R，用從認(rèn)證中心CA處獲取A(B)的公鑰PKA(PKB)和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算，即可獲得由A(B)交換的密鑰K。
2.如權(quán)利要求1所述的用戶計(jì)算機(jī)之間交換密鑰的方法，具體過(guò)程如下設(shè)通信的雙方為A和B。設(shè)他們的私鑰分別為SKA和SKB，公鑰分別為PKA和PKB，并存放在可信第三方認(rèn)證中心。其中，PK＝SK-1×G?，F(xiàn)假設(shè)由A負(fù)責(zé)產(chǎn)生密鑰，并向通信方B交換該密鑰。則本發(fā)明的操作步驟如下①A隨機(jī)選擇一整數(shù)k，則K＝kG為待交換的密鑰；A從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；②B對(duì)于從A處收到的5，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K＝SKB×R，即可獲得由A交換的密鑰K。
3.如權(quán)利要求1或2所述的用戶計(jì)算機(jī)之間交換密鑰的方法，具體過(guò)程如下隨機(jī)選定大素?cái)?shù)p，生成元g為一個(gè)小于p的正整數(shù)。私鑰SKA和SKB為小于p-1的隨機(jī)正整數(shù)。則公鑰PKA和PKB按如下方式得到 密鑰交換過(guò)程a)A隨機(jī)選擇小于p-1的正整數(shù)k，則K＝gkmodp為待交換密鑰；A從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝(PKB)kmodp，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；b)B對(duì)于從A處收到的S，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K=RSKBmodp,]]>即可獲得由A交換的密鑰K。
4.如權(quán)利要求1或2所述的用戶計(jì)算機(jī)之間交換密鑰的方法，具體過(guò)程如下隨機(jī)選定大素?cái)?shù)p，橢圓曲線E(GF(p))y2＝x3+ax+b(modp)是定義在有限域GF(p)上的一條安全橢圓曲線，其上隨機(jī)選取的基點(diǎn)為G，設(shè)n＝#E(GF(p))是橢圓曲線E的階，r是n的一個(gè)大素?cái)?shù)因子。私鑰SKA和SKB為小于r-1的隨機(jī)正整數(shù)。則公鑰PKA和PKB按如下方式得到 密鑰交換過(guò)程a)A隨機(jī)選擇一整數(shù)k∈[1，r-1]，則K＝k×G為待交換密鑰；并從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；b)B對(duì)于從A處收到的S，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K＝SKB×R，即可獲得由A交換的密鑰K。
5.如權(quán)利要求1或2所述的用戶計(jì)算機(jī)之間交換密鑰的方法，具體過(guò)程如下隨機(jī)選定大素?cái)?shù)p，超橢圓曲線Cy2+h(x)y＝f(x)modp是定義在有限域GF(p)上的一條虧格為g的安全超橢圓曲線，其中f(x)是次數(shù)為2g+1的首一多項(xiàng)式，h(x)是次數(shù)至多為g的多項(xiàng)式。設(shè)該超橢圓曲線C的Jacobian群J(C；GF(p))的階#J(C；GF(p))為n，r是n的一個(gè)大素?cái)?shù)因子。在該超橢圓曲線C上隨機(jī)選取基點(diǎn)D∈J(C；GF(p))。私鑰SKA和SKB為小于r-1的隨機(jī)正整數(shù)。則公鑰PKA和PKB按如下方式得到 密鑰交換過(guò)程如下a)A隨機(jī)選擇一整數(shù)k∈[1，r-1]，則K＝k×D為待交換密鑰；并從認(rèn)證中心CA處獲取B的公鑰PKB，計(jì)算R＝k×PKB，然后用自己的私有密鑰SKA對(duì)R進(jìn)行數(shù)字簽名，得S＝SigA(R)，并將S發(fā)送給B；b)B對(duì)于從A處收到的S，首先從S中析出R，然后用從認(rèn)證中心CA處獲取A的公鑰PKA和數(shù)字簽名驗(yàn)證算法對(duì)R的真實(shí)性和完整性進(jìn)行驗(yàn)證，最后再用自己的私鑰SKB計(jì)算K＝SKB×R，即可獲得由A交換的密鑰K。
6.如權(quán)利要求1或2所述的用戶計(jì)算機(jī)之間交換密鑰的方法，具體過(guò)程如下當(dāng)通信方不只兩個(gè)時(shí)，設(shè)由通信主體A負(fù)責(zé)產(chǎn)生和分發(fā)密鑰密鑰，并稱A為會(huì)議主席。會(huì)議的各參與會(huì)員為M1，M2，L Mn，記為Mi。他們的密鑰對(duì)均根據(jù)PK＝SK-1×G產(chǎn)生?，F(xiàn)設(shè)會(huì)議主席的密鑰對(duì)為(PKA，SKA)，各會(huì)員的密鑰對(duì)為(PKi，SKi)，則工作過(guò)程如下a)會(huì)議主席A隨機(jī)選擇一整數(shù)k∈[1，r-1]，則本次會(huì)議通信的待交換密鑰為K＝kG；b)對(duì)于會(huì)議的各參與方M1，M2，L Mn，會(huì)議主席依次執(zhí)行上述的點(diǎn)對(duì)點(diǎn)型密鑰交換方法，向所有其它會(huì)員分發(fā)Si＝SigA(k×PKi)。c)會(huì)員Mi在收到會(huì)議主席A發(fā)來(lái)的Si后，驗(yàn)證A的數(shù)字簽名，確保Si的真實(shí)性和完整性，并用自己的私鑰SKi計(jì)算K＝SKi×Ri，既可得出由會(huì)議主席A分發(fā)的本次會(huì)議通信密鑰K＝kG。
全文摘要
本發(fā)明涉及一種用戶計(jì)算機(jī)之間交換密鑰的方法，其通信的雙方為A和B，他們分別私鑰和公鑰并存放在可信第三方認(rèn)證中心，①A(B)產(chǎn)生一個(gè)隨機(jī)數(shù)k為待交換的密鑰，A(B)從認(rèn)證中心處獲取B(A)的公鑰，計(jì)算，然后用自己的私有密鑰進(jìn)行數(shù)字簽名，并發(fā)送給B(A)；②B(A)用從認(rèn)證中心處獲取A(B)的公鑰和數(shù)字簽名驗(yàn)證算法對(duì)其的真實(shí)性和完整性進(jìn)行驗(yàn)證，再用自己的私鑰計(jì)算，即可獲得由A(B)交換的密鑰K。本發(fā)明的優(yōu)點(diǎn)在于沒(méi)有握手過(guò)程，發(fā)送者可以利用對(duì)方公鑰，只需要一次數(shù)據(jù)發(fā)送過(guò)程即可直接完成快捷的密鑰交換任務(wù)。本發(fā)明安全性很高，而且操作簡(jiǎn)單、高效，能夠應(yīng)用于計(jì)算機(jī)、通信網(wǎng)絡(luò)、智能卡、手機(jī)等各種軟硬件環(huán)境中。
文檔編號(hào)H04L9/00GK1456993SQ0312807
公開日2003年11月19日 申請(qǐng)日期2003年5月30日 優(yōu)先權(quán)日2003年5月30日
發(fā)明者肖攸安, 李臘元 申請(qǐng)人:武漢理工大學(xué)