本發(fā)明涉及信息安全領(lǐng)域，具體將涉及一種基于口令的輕量級(jí)密鑰協(xié)商方法。

背景技術(shù)：

密鑰協(xié)商是一種兩方或者多方通過公開網(wǎng)絡(luò)協(xié)商共享密鑰的方法，協(xié)議的執(zhí)行需要參與各方共同協(xié)作。協(xié)商之前，通常每方都保有一些秘密信息。其中，口令就是一種常用的秘密信息。口令的長度通常較短，一般四至八個(gè)數(shù)字或字母組成，容易記憶，但保密的強(qiáng)度低，容易通過窮舉可能的口令組合被猜測(cè)到。所以，在實(shí)際會(huì)話之前，需要先通過口令協(xié)商出會(huì)話密鑰。由于密鑰通常位數(shù)較長，很難通過窮舉得到，從而提高會(huì)話的保密強(qiáng)度。

發(fā)明專利申請(qǐng)，申請(qǐng)?zhí)枺?01210349976.0中公開了一種基于數(shù)字證書的無線網(wǎng)絡(luò)輕量級(jí)認(rèn)證密鑰協(xié)商協(xié)議，該協(xié)議涉及一種可用于無線網(wǎng)絡(luò)的輕量級(jí)認(rèn)證密鑰協(xié)商協(xié)議,基于“證書私鑰-保護(hù)密鑰”雙重認(rèn)證系統(tǒng)和“保護(hù)密鑰”動(dòng)態(tài)協(xié)商機(jī)制,結(jié)合公鑰密碼與共享動(dòng)態(tài)保護(hù)密鑰對(duì)用戶身份進(jìn)行雙重認(rèn)證,用戶通過交換證書及私鑰簽名證明會(huì)話持有及私鑰擁有性,進(jìn)行第一重認(rèn)證，通過共享保護(hù)密鑰進(jìn)行第二重認(rèn)證。協(xié)議利用上次會(huì)話結(jié)束后雙方共享保護(hù)密鑰保護(hù)重要參數(shù)的交換，并使用本次會(huì)話新計(jì)算的保護(hù)密鑰確認(rèn)密鑰的正確性，每輪通信在交換參數(shù)的同時(shí)即可驗(yàn)證其正確性。密鑰組的協(xié)商及參數(shù)交換均采用簡(jiǎn)單的位運(yùn)算，并通過Finished消息完成密鑰更新的確認(rèn)。協(xié)議設(shè)置會(huì)話ID來動(dòng)態(tài)選擇是否利用已共享的舊參數(shù)計(jì)算本次會(huì)話密鑰，在保證安全高效的同時(shí)增強(qiáng)協(xié)議的靈活性。

發(fā)明專利申請(qǐng)，申請(qǐng)?zhí)枺?01080008115.5中公開了一種基于身份的認(rèn)證密鑰協(xié)商協(xié)議。協(xié)議第一方和第二方之間的密鑰協(xié)商協(xié)議從第一方的角度包括以下步驟。向該第二方發(fā)送加密的第一隨機(jī)密鑰分量，所述第一隨機(jī)密鑰分量根據(jù)基于身份的加密操作使用該第二方的公鑰來加密。從該第二方接收加密的隨機(jī)密鑰分量對(duì)，所述加密的隨機(jī)密鑰分量對(duì)根據(jù)第一隨機(jī)密鑰分量和在該第二方處計(jì)算的第二隨機(jī)密鑰分量形成，并且在該第二方處根據(jù)基于身份的加密操作使用該第一方的公鑰來加密。以加密的形式向該第二方發(fā)送所述第二隨機(jī)密鑰分量，所述第二隨機(jī)密鑰分量使用該第二方的公鑰來加密。在該第一方和該第二方處可根據(jù)所述第一隨機(jī)密鑰分量和所述第二隨機(jī)密鑰分量來計(jì)算用于該第一方和該第二方之間的隨后通信的密鑰。

發(fā)明專利申請(qǐng)，申請(qǐng)?zhí)枺?01310226205.7中公開了一種基于量子密鑰分發(fā)的無線局域網(wǎng) 安全通信方法，該發(fā)明提供一種基于量子密鑰分發(fā)的無線局域網(wǎng)安全通信方法，所述方法包括以下步驟：(1)進(jìn)行基于量子密鑰的身份認(rèn)證；(2)進(jìn)行量子密鑰協(xié)商；(3)開始加密。該發(fā)明的方法避免了偽造接入點(diǎn)和申請(qǐng)者進(jìn)行信息交換，浪費(fèi)系統(tǒng)資源，或造成拒絕服務(wù)攻擊；實(shí)現(xiàn)申請(qǐng)者和認(rèn)證服務(wù)器，以及申請(qǐng)者和認(rèn)證者之間的雙向認(rèn)證，身份認(rèn)證的安全性大大提高；密鑰協(xié)商中的消息驗(yàn)證采用身份認(rèn)證中產(chǎn)生的密鑰進(jìn)行保護(hù)，可防范中間人篡改等攻擊；基于量子技術(shù)的密鑰協(xié)商，其安全性由物理定律保證，具有不可破解性，可抵御計(jì)算能力強(qiáng)的量子計(jì)算機(jī)的破譯，提升了整個(gè)系統(tǒng)的安全性。

發(fā)明專利申請(qǐng)，申請(qǐng)?zhí)枺?01210304387.0中公開了一種無線體域網(wǎng)對(duì)稱密鑰協(xié)商方法。該發(fā)明的無線體域網(wǎng)對(duì)稱密鑰協(xié)商方法，設(shè)由節(jié)點(diǎn)A向B發(fā)起承諾，特征在于，節(jié)點(diǎn)A在時(shí)刻進(jìn)行生理信號(hào)采集，設(shè)為；然后根據(jù)產(chǎn)生共享密鑰，并將以隱藏的形式向節(jié)點(diǎn)B傳送數(shù)據(jù)；節(jié)點(diǎn)B提取時(shí)刻相同的生理信號(hào)，經(jīng)去噪聲處理，并驗(yàn)證取值是否正確；如正確，則求出協(xié)商密鑰；如不正確，則在時(shí)刻附近獲取生理信號(hào)，繼續(xù)求取密鑰。

上述專利申請(qǐng)分別以證書、用戶身份、量子、生理信號(hào)等為基礎(chǔ)，在用戶之間協(xié)商會(huì)話密鑰，密鑰協(xié)商過程中，節(jié)點(diǎn)大部分進(jìn)行數(shù)據(jù)傳送，增加了密鑰協(xié)商過程中的能量消耗。密鑰協(xié)商與信號(hào)的熵相關(guān)，沒有良好的防攻擊性能。

技術(shù)實(shí)現(xiàn)要素：

為解決上述現(xiàn)有技術(shù)中的不足，本發(fā)明的目的是提供一種基于口令的輕量級(jí)密鑰協(xié)商方法，本發(fā)明的密鑰協(xié)商方法，避免了對(duì)時(shí)間必須精準(zhǔn)同步的要求，解決了同步信號(hào)頻繁廣播的高能耗問題；在密鑰協(xié)商過程中，節(jié)點(diǎn)大部分只是進(jìn)行數(shù)據(jù)的處理，不進(jìn)行數(shù)據(jù)傳送，有效地降低了密鑰協(xié)商過程中的能量消耗。本方法協(xié)商與信號(hào)的熵?zé)o關(guān)、采用弱時(shí)間同步方法、采用預(yù)置密鑰技術(shù)，具有良好的防攻擊性能。

本發(fā)明的目的是采用下述技術(shù)方案實(shí)現(xiàn)的：

本發(fā)明提供一種基于口令的輕量級(jí)密鑰協(xié)商方法，包括正向傳遞和反向傳遞兩輪執(zhí)行，其改進(jìn)之處在于，所述密鑰協(xié)商方法包括以下步驟：

A.密鑰協(xié)商初始化；

B.第一輪正向傳遞，數(shù)據(jù)由用戶U₁向用戶U_n傳遞，然后用戶U_n將數(shù)據(jù)發(fā)給可信服務(wù)器S；

C.第二輪反向傳遞，數(shù)據(jù)由可信服務(wù)器S驗(yàn)證后傳遞給用戶U_n，然后數(shù)據(jù)由用戶U_n向傳U₁遞。

進(jìn)一步地，所述步驟A包括下述步驟：

A1.所述密鑰協(xié)商采用密鑰協(xié)商協(xié)議，所述密鑰協(xié)商協(xié)議包括n個(gè)用戶U₁，…，U_n和一個(gè)可信服務(wù)器S；設(shè)用戶U₁為密鑰協(xié)商的發(fā)起者，用戶U_n為最后一個(gè)用戶并與可信服務(wù)器S相鄰；

A2.可信服務(wù)器S向N個(gè)用戶U₁，…，U_n公開自己的公鑰P_pub，保留自己的私鑰P_pri；N個(gè)用戶U₁，…，U_n可向可信服務(wù)器S發(fā)送加密信息，服務(wù)器用自己的私鑰解密；N個(gè)用戶U₁，…，U_n兩兩之間未共享任何信息；

A3.每個(gè)用戶U_i與可信服務(wù)器S之間共享一個(gè)口令pw_i，其中i=1，…，n；

A4.定義p階有限循環(huán)群G，任取p階有限循環(huán)群G上一個(gè)元素g；

A5.定義三個(gè)哈希函數(shù)h₁，h₂，h₃；其中哈希函數(shù)h₁用于生成會(huì)話標(biāo)識(shí)，哈希函數(shù)h₂用于進(jìn)行正確性驗(yàn)證，哈希函數(shù)h₃用于生成會(huì)話密鑰；l₁、l₂、l₃均表示固定的長度；*表示任意長度，l₁、l₂、l₃根據(jù)實(shí)際需要選取512bits，1024bits。

進(jìn)一步地，所述步驟B包括下述步驟：

B1.對(duì)于密鑰協(xié)商發(fā)起者用戶U₁：計(jì)算會(huì)話標(biāo)識(shí)sid=h₁(U₁，…，U_n)，然后選擇兩個(gè)隨機(jī)數(shù)x₁，R₁∈Z_p，Z_p表示以p為模的素?cái)?shù)域；計(jì)算并把(sid，U₁，…，U_n，N₁，M₁)發(fā)給下一個(gè)用戶U₂；x1表示是以p為模的素?cái)?shù)域Z_p中的隨機(jī)數(shù)，E代表加密，是用P_pub為密鑰進(jìn)行加密，N₁、M₁均為計(jì)算的中間結(jié)果；

B2.對(duì)于用戶U_i，i=1，…，n-1：選擇兩個(gè)隨機(jī)數(shù)x_i，R_i，∈Z_p，計(jì)算并把(sid，U₁，…，U_n，N₁，M₁，…，N_i，M_i)發(fā)給下一個(gè)用戶U_i+1；

B3.對(duì)于用戶U_n：與其他n-1個(gè)用戶操作相同，把最終的(sid，U₁，…，U_n，N₁，M₁，…，N_n，M_n)發(fā)送給可信服務(wù)器S。

進(jìn)一步地，所述步驟C包括下述步驟：

C1.對(duì)于可信服務(wù)器S：收到(sid，U₁，…，U_n，N₁，M₁，…，N_n，M_n)后，所述可信服務(wù)器S用自己的私鑰解密得到會(huì)話標(biāo)識(shí)sid到用戶U₁，以及隨機(jī)數(shù)R₁，首先驗(yàn)證會(huì)話標(biāo)識(shí)sid=h₁(U₁，…，U_n)；然后檢查是否等于收到的N₁與會(huì)話標(biāo)識(shí)sid與用戶U₁共享的pw₁相異或的結(jié)果；若相等，所述可信服務(wù)器S繼續(xù)對(duì)N₂，M₂，…，N_n，M_n做相同檢查；若有一項(xiàng)失敗，則程序終止；所有檢查都通過后，所述可信服務(wù)器S確認(rèn)(sid，U₁，…，U_n，N₁，M₁，…，N_n，M_n)合法；并選擇隨機(jī)數(shù)s∈Z_p，計(jì)算i=2，…，n，M′_i＝h₂(sid||U_i||R_i||N)，i=1，…，n，將生成的發(fā)送給用戶U_n；

C2.對(duì)于用戶U_n：收到后，首先驗(yàn)證會(huì)話標(biāo)識(shí)sid=h₁(U₁，…，U_n)，依次計(jì)算和哈希函數(shù)h₂(sid||U_n||R_n||N)并驗(yàn)證哈希函數(shù)h₂(sid||U_n||R_n||N)＝M′_n；若驗(yàn)證通過，依次計(jì)算會(huì)話密鑰K=h₃(sid||N)和i=1，…，n，將發(fā)送給用戶U_n-1；若驗(yàn)證失敗，則發(fā)送錯(cuò)誤信息；

C3.對(duì)于用戶U_i，i=2，…，n-1：收到后，首先驗(yàn)證會(huì)話標(biāo)識(shí)sid=h₁(U₁，…，U_n)，依次計(jì)算和哈希函數(shù)h₂(sid||U_i||R_i||N)并驗(yàn)證哈希函數(shù)若驗(yàn)證通過，依次計(jì)算會(huì)話密鑰K=h₃(sid||N)和將發(fā)送給用戶U_i-1；如驗(yàn)證失敗，則發(fā)送錯(cuò)誤信息；

C4.對(duì)于用戶U₁：收到后，首先驗(yàn)證會(huì)話標(biāo)識(shí)sid=h₁(U₁，…，U_n)，依次計(jì)算和哈希函數(shù)h₂(sid||U₁||R₁||N)，并驗(yàn)證哈希函數(shù)h₂(sid||U₁||R₁||N)＝M′₁；若驗(yàn)證通過，計(jì)算會(huì)話密鑰K=h₃(sid||N)；若驗(yàn)證失敗，則發(fā)送錯(cuò)誤信息；

其中：均為計(jì)算的中間結(jié)果；、x₁，…，x_n均表示是以p為模的素?cái)?shù)域Z_p中的隨機(jī)數(shù)；g表示p階有限循環(huán)群G上一個(gè)元素。

進(jìn)一步地，密鑰協(xié)商協(xié)議N個(gè)用戶的每個(gè)用戶發(fā)送一次數(shù)據(jù)，接收一次數(shù)據(jù)，密鑰協(xié)商協(xié)議在密鑰協(xié)商的發(fā)起者收到傳回的數(shù)據(jù)后結(jié)束。

本發(fā)明提供的技術(shù)方案具有的優(yōu)異效果是：

1、本發(fā)明提供的一種基于口令的輕量級(jí)密鑰協(xié)商方法，密鑰協(xié)商協(xié)議基于用戶容易記憶的口令，協(xié)商出高強(qiáng)度的會(huì)話密鑰。本專利在應(yīng)用時(shí)不要求每個(gè)用戶之間都保持通信連接，一個(gè)通信方只需連接到與它相近的一個(gè)或幾個(gè)通信方即可，特別適合在電力，電信等通過逐點(diǎn)組網(wǎng)通信的場(chǎng)景下使用?？梢缘钟诰€字典攻擊、離線字典攻擊、及中間人攻擊等針對(duì)密 鑰協(xié)商的常見攻擊，具有高安全強(qiáng)度。

2、本發(fā)明的密鑰協(xié)商方法，避免了對(duì)時(shí)間必須精準(zhǔn)同步的要求，解決了同步信號(hào)頻繁廣播的高能耗問題；在密鑰協(xié)商過程中，節(jié)點(diǎn)大部分只是進(jìn)行數(shù)據(jù)的處理，不進(jìn)行數(shù)據(jù)傳送，有效地降低了密鑰協(xié)商過程中的能量消耗。

附圖說明

圖1是本發(fā)明提供的基于口令的輕量級(jí)密鑰協(xié)商方法的流程圖；

圖2是本發(fā)明提供的可應(yīng)用場(chǎng)景的網(wǎng)絡(luò)結(jié)構(gòu)圖；

圖3是本發(fā)明提供的具體實(shí)施例中主要數(shù)據(jù)的交換圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式作進(jìn)一步的詳細(xì)說明。

以下描述和附圖充分地示出本發(fā)明的具體實(shí)施方案，以使本領(lǐng)域的技術(shù)人員能夠?qū)嵺`它們。其他實(shí)施方案可以包括結(jié)構(gòu)的、邏輯的、電氣的、過程的以及其他的改變。實(shí)施例僅代表可能的變化。除非明確要求，否則單獨(dú)的組件和功能是可選的，并且操作的順序可以變化。一些實(shí)施方案的部分和特征可以被包括在或替換其他實(shí)施方案的部分和特征。本發(fā)明的實(shí)施方案的范圍包括權(quán)利要求書的整個(gè)范圍，以及權(quán)利要求書的所有可獲得的等同物。在本文中，本發(fā)明的這些實(shí)施方案可以被單獨(dú)地或總地用術(shù)語“發(fā)明”來表示，這僅僅是為了方便，并且如果事實(shí)上公開了超過一個(gè)的發(fā)明，不是要自動(dòng)地限制該應(yīng)用的范圍為任何單個(gè)發(fā)明或發(fā)明構(gòu)思。

本發(fā)明提供了一種基于口令的輕量級(jí)密鑰協(xié)商協(xié)議，以實(shí)現(xiàn)保密通信。其流程圖如圖1所示，本協(xié)議的所有的運(yùn)算在一個(gè)p階有限循環(huán)群G上進(jìn)行，g是G上任意的一個(gè)元素。是三個(gè)哈希函數(shù)，分別用于生成會(huì)話標(biāo)識(shí)，進(jìn)行正確性驗(yàn)證，和生成會(huì)話密鑰。系統(tǒng)包括N個(gè)用戶U₁，…，U_n和一個(gè)可信服務(wù)器S。S向所有用戶公開自己的公鑰P_pub，保留自己的私鑰P_pri。用戶可向服務(wù)器發(fā)送加密信息，服務(wù)器用自己的私鑰解密。n個(gè)用戶之間未共享任何信息，每個(gè)用戶U_i與S之間共享一個(gè)口令pw_i。不失一般性，我們假設(shè)U₁為密鑰協(xié)商的發(fā)起者，U_n為最后一個(gè)用戶并與服務(wù)器S相鄰。協(xié)議的執(zhí)行分兩輪，第一輪數(shù)據(jù)由U₁向U_n傳遞，第二輪則反向傳遞回U₁。所有用戶發(fā)送一次，接收一次，協(xié)議在U₁收到傳回的數(shù)據(jù)后結(jié)束。l₁、l₂、l₃均表示固定的長度； *表示任意長度，l₁、l₂、l₃根據(jù)實(shí)際需要選取512bits，1024bits。

第一輪如下：

U₁：計(jì)算一個(gè)會(huì)話標(biāo)識(shí)sid=h₁(U₁，…，U_n)，然后選擇兩個(gè)隨機(jī)數(shù)x₁，R₁，∈Z_p，然后計(jì)算并把(sid，U₁，…，U_n，N₁，M₁)發(fā)給下一個(gè)用戶U₂。

U_i，i=1，…，n-1：選擇兩個(gè)隨機(jī)數(shù)x_i，R_i，∈Z_p，然后計(jì)算并把(sid，U₁，…，U_n，N₁，M₁，…，N_i，M_i)發(fā)給下一個(gè)用戶U_i+1。

U_n：與其他用戶操作相同，把最后的(sid，U₁，…，U_n，N₁，M₁，…，N_n，M_n)發(fā)送給可信服務(wù)器S。

第二輪如下：

S：收到(sid，U₁，…，U_n，N₁，M₁，…，N_n，M_n)后，S用自己的私鑰解密M₁得到sid到U₁，以及R₁，首先驗(yàn)證sid=h₁(U₁，…，U_n)。然后S檢查是否等于收到的N₁與自己與U₁共享的pw₁相異或的結(jié)果。如果相等，S繼續(xù)對(duì)N₂，M₂，…，N_n，M_n做相同檢查。如果有一項(xiàng)失敗，程序終止。所有檢查都通過后，S確認(rèn)(sid，U₁，…，U_n，N₁，M₁，…，N_n，M_n)合法。然后S選擇隨機(jī)數(shù)s∈Zp，計(jì)算i=2，…，n，M′_i＝h₂(sid||U_i||R_i||N)，i=1，…，n，將生成的發(fā)送給U_n。

U_n：收到后，首先驗(yàn)證sid=h₁(U₁，…，U_n)，然后計(jì)算再計(jì)算h₂(sid||U_n||R_n||N)并驗(yàn)證如驗(yàn)證通過，計(jì)算會(huì)話密鑰K=h₃(sid||N)。接下來，繼續(xù)計(jì)算i=1，…，n，將發(fā)送給U_n-1。如驗(yàn)證失敗，則發(fā)錯(cuò)誤信息。

U_i，i=2，…，n-1：收到后，首先驗(yàn)證sid=h₁(U₁，…，U_n)，然后計(jì)算再計(jì)算h₂(sid||U_i||R_i||N)并驗(yàn)證h₂(sid||U_i||R_i||N)＝M′_i。如驗(yàn)證通過，計(jì)算會(huì)話密鑰K=h₃(sid||N)。接下來，繼續(xù)計(jì)算將發(fā)送給U_i-1。如驗(yàn)證失敗，則發(fā)錯(cuò)誤信息。

U₁：收到后，首先驗(yàn)證sid=h₁(U₁，…，U_n)，然后計(jì)算再計(jì)算h₂(sid||U₁||R₁||N)并驗(yàn)證h₂(sid||U₁||R₁||N)＝M′₁。如驗(yàn)證通過，計(jì)算會(huì)話密鑰K＝h₃(sid||N)。如驗(yàn)證失敗，則發(fā)錯(cuò)誤信息。

其中：N₁、M₁、N₂，M₂，…，N_n，M_n、M′₁，…，M′_n均為計(jì)算的中間結(jié)果；、x₁·…·x_n均表示是以p為模的素?cái)?shù)域Z_p中的隨機(jī)數(shù)。

實(shí)施例

我們以一個(gè)只有三個(gè)用戶A,B,C和服務(wù)器S的系統(tǒng)為例說明協(xié)議運(yùn)行過程，其應(yīng)用場(chǎng)景結(jié)構(gòu)圖如圖2所示。在例子中，我們忽略簡(jiǎn)單的比較驗(yàn)證。

A：計(jì)算會(huì)話標(biāo)識(shí)sid=h₁(U_a，U_b，U_c)，選擇隨機(jī)數(shù)a，R_a，∈Z_p，計(jì)算N_a=g^a，向B發(fā)送sid，U_a，U_b，U_c，N_a，M_a)。

B：選擇隨機(jī)數(shù)b，R_b，∈Z_p，計(jì)算N_b=(N_a)^b=g^ab向C發(fā)送sid，U_a，U_b，U_c，N_a，M_a，N_b，M_b)。

C：選擇隨機(jī)數(shù)c，R_c，∈Z_p，計(jì)算N_c=(N_b)^c=g^abc，向S發(fā)送sid，U_a，U_b，U_c，N_a，M_a，N_b，M_b，N_c，M_c)。

S：解密得到N_a，M_a，N_b，M_b，N_c，M_c，隨機(jī)選s∈Z_p，計(jì)算N=(N_c)^s=g^abcs，

M′_a＝h₂(sid||A||R_a||g^abcs)，M′_b＝h₂(sid||B||R_b||g^abcs)，M′_c＝h₂(sid||C||R_c||g^abcs)，向C發(fā)送

C：計(jì)算向B發(fā)送

B：計(jì)算向A發(fā)送

A:計(jì)算具體實(shí)施例中主要數(shù)據(jù)的交換圖如圖3所示。

以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其限制，盡管參照上述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，所屬領(lǐng)域的普通技術(shù)人員依然可以對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行修改或 者等同替換，這些未脫離本發(fā)明精神和范圍的任何修改或者等同替換，均在申請(qǐng)待批的本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)。