一种基于格的身份基认证密钥协商方法技术

本发明专利技术提出了一种基于格的身份基认证密钥协商方法，步骤为：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接；TLS协议握手的协议发起者生成临时公私钥对，并根据消息生成密文，使用Client Hello把密文和临时公钥发送至协议响应者；协议响应者接收到消息后进行身份认证并生成密文，通过Server Hello发送给协议发起者；协议发起者收到消息后对密文进行解密和身份验证，如果身份验证通过，协议发起者计算出会话密钥并与协议响应者进行密钥导出；否则，协议发起者拒绝消息并直接终止密钥协商。本发明专利技术的安全性基于格上困难问题，能够抵抗量子计算攻击，在安全性和执行效率上具有更多优势。在安全性和执行效率上具有更多优势。在安全性和执行效率上具有更多优势。

【技术实现步骤摘要】
一种基于格的身份基认证密钥协商方法


[0001]本专利技术涉及通信安全的
，尤其涉及一种基于格的身份基认证密钥协商方法。

技术介绍

[0002]当前，网络信息系统(如因特网等公共网络基础设施)中广泛部署的绝大多数安全协议是利用Diffie
‑
Hellman、RSA、ECC等传统公钥密码体制来实现的，这些传统公钥密码体制的安全性往往建立在大整数分解问题、离散对数问题等经典数论难题基础之上。近年来量子计算技术的飞速发展及其在解决大规模计算难题方面的巨大潜能，已经对上述传统公钥密码体制的安全性带来了前所未有的冲击，由此设计和部署可抗量子计算攻击的后量子安全协议方案势在必行。传输层安全(Transport Layer Security，TLS)协议是因特网上一个非常重要的基础性安全协议，其应用非常广泛，包括Web浏览、FTP文件下载、SMTP协议的电子邮件等，其握手子协议主要是一个认证密钥协商协议，用于实现服务器和客户端的相互认证，并生成两端间的共享密钥，该共享密钥后续会用于应用数据的加密与认证，为互联网通信提供端到端的安全服务。
[0003]TLS协议因为其应用的广泛性，一直受到相关业界和学术界的关注，对于此类实用性网络安全协议，不仅要考虑其安全性，而且还要考虑其执行效率及其在实践中是否易于部署。近些年，已有很多关于TLS协议的研究。尤其，作为其重要组成部分的握手子协议，由于承担了客户端和服务器端之间的认证密钥建立这一极其重要的任务，更是受到了重点关注，其相关一些典型研究举例如下。Bentahar等提出了可适用于TLS握手过程的基于椭圆曲线配对的密钥封装机制(Key Encapsulation Mechanism，KEM)，该方案的计算效率较高，易于实施；Banerjee等给出了基于传统椭圆曲线公钥密码方案且依赖于公钥证书系统的TLS具体握手过程，通过重构密码加速器和硬件执行等方式节约了握手成本。尽管上述Bentahar等的方案和Banerjee等的方案执行较为高效，但都是基于传统的经典椭圆曲线密码体制构造而成，因而不能抗量子攻击。Bos等提出了适用于TLS握手、安全性基于环上带误差的学习问题的格上密钥协商协议，为了实现认证，该方案将格上密钥协商协议与使用RSA或椭圆曲线数字签名的传统身份验证方式结合在了一起，但这种混合形式的方案并非是完全的量子安全方案。最近，Banerjee等研究了使用格上基于身份的认证密钥协商协议来构造后量子TLS握手方案的方法，并将其应用于TLS最新的协议版本
‑‑‑
TLS 1.3，以减少通信开销，但其实际所使用的格上认证密钥协商协议实例却是由一个格上基于身份的KEM/加密方案和一个NewHope KEM构建的；最近，Schwabe等也提出了无签名的后量子TLS 1.3握手方案，通过采用KEM而不是调用公钥签名算法来进行服务器身份验证，相对于使用公钥签名机制的显式认证方案，该隐式认证的方案不需要会话密钥的确认，减少了通信规模，缩短了通信时间。
[0004]Diffie
‑
Hellman、RSA、ECC等经典公钥密码在当前网络安全体系中仍然占据主导地位，因而在实践中仍然缺乏完善的后量子公钥基础设施(Public Key Infrastructure，
PKI)支持。尽管目前也有一些通用基础性后量子认证密钥协商协议提出且原则上可将其应用于TLS等实用性网络安全协议方案，但这些基础性协议在实践中的部署大都必须要依赖PKI，所以在当下还不能作为后量子密钥协商的完整解决方案。
[0005]近年来量子计算技术的飞速发展已对当前安全性高度依赖Diffie
‑
Hellman、RSA、ECC等经典公钥密码体系的公共网络基础设施带来前所未有的挑战，实践量子安全保障已具现实意义。

技术实现思路

[0006]针对现有密钥协商方法的安全性较差的技术问题，本专利技术提出一种基于格的身份基认证密钥协商方法，适用于最新1.3版本传输层安全(Transport Layer Security，TLS)协议握手过程的格上基于身份认证密钥协商，方案的安全性依赖于格上困难问题的难解性，可以抵抗量子计算攻击。
[0007]为了达到上述目的，本专利技术的技术方案是这样实现的：一种基于格的身份基认证密钥协商方法，其步骤如下：
[0008]步骤一：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接；
[0009]步骤二：TLS协议握手的协议发起者A生成临时公私钥对(pk*,sk*)，并根据消息生成密文c
A
，使用Client Hello把密文c
A
和临时公钥pk*组成的消息(c
A
,pk*)发送至协议响应者B；sk*为临时私钥；
[0010]步骤三：协议响应者B接收到消息(c
A
,pk*)后进行身份认证并生成密文c
B
和c
B
*，通过Server Hello发送给协议发起者A；
[0011]步骤四：协议发起者A收到消息(c
B
,c
B
*)后对密文c
B
,c
B
*进行解密和身份验证，如果身份验证通过，协议发起者A计算出会话密钥并与协议响应者B进行密钥导出；否则，协议发起者A拒绝消息(c
B
,c
B
*)并直接终止密钥协商。
[0012]所述步骤一中注册及信息初始化的实现方法为：
[0013]S1：建立PKG系统需要的密钥生成算法Key Generation(n,q)和密钥提取算法Extract(mpk,msk,ID)，并选择合适的相关散列函数H；其中，n为正整数，q为素数，mpk,msk分别为系统主公钥和主私钥，ID为通信实体的身份标识；
[0014]S2：通信实体将自己的身份标识ID发送给PKG系统，进行实体记录及密钥申请；
[0015]S3：PKG系统收到通信实体的身份标识ID，使用密钥生成算法Key Generation(n,q)产生并发布系统主公私钥(mpk,msk)；
[0016]S4：PKG系统将系统主公私钥(mpk,msk)及通信实体的身份标识利用密钥提取算法Extract(mpk,msk,ID)生成通信实体的身份私钥sk；
[0017]S5：通信实体获得身份信息和身份私钥组成的信息(ID,sk)，注册及初始化成功。
[0018]所述步骤二中协议发起者A生成临时公私钥对(pk*,sk*)，并根据消息生成密文c
A
的方法为：协议发起者A调用加密算法Keygen生成一个随机的临时公私钥对(pk*,sk*)，即(pk*,sk*):＝Keygen(n,q,ID
A
)；协议发起者A随机选取一个消息并调用加密算法Enc'生成密文c
A
:＝Enc'(mpk,ID
B
,m<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于格的身份基认证密钥协商方法，其特征在于，其步骤如下：步骤一：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接；步骤二：TLS协议握手的协议发起者A生成临时公私钥对(pk
*
,sk
*
)，并根据消息生成密文c
A
，使用Client Hello把密文c
A
和临时公钥pk
*
组成的消息(c
A
,pk
*
)发送至协议响应者B；sk
*
为临时私钥；步骤三：协议响应者B接收到消息(c
A
,pk
*
)后进行身份认证并生成密文c
B
和c
B*
，通过Server Hello发送给协议发起者A；步骤四：协议发起者A收到消息(c
B
,c
B*
)后对密文c
B
,c
B*
进行解密和身份验证，如果身份验证通过，协议发起者A计算出会话密钥并与协议响应者B进行密钥导出；否则，协议发起者A拒绝消息(c
B
,c
B*
)并直接终止密钥协商。2.根据权利要求1所述的基于格的身份基认证密钥协商方法，其特征在于，所述步骤一中注册及信息初始化的实现方法为：S1：建立PKG系统需要的密钥生成算法Key Generation(n,q)和密钥提取算法Extract(mpk,msk,ID)，并选择合适的相关散列函数H；其中，n为正整数，q为素数，mpk,msk分别为系统主公钥和主私钥，ID为通信实体的身份标识；S2：通信实体将自己的身份标识ID发送给PKG系统，进行实体记录及密钥申请；S3：PKG系统收到通信实体的身份标识ID，使用密钥生成算法Key Generation(n,q)产生并发布系统主公私钥(mpk,msk)；S4：PKG系统将系统主公私钥(mpk,msk)及通信实体的身份标识利用密钥提取算法Extract(mpk,msk,ID)生成通信实体的身份私钥sk；S5：通信实体获得身份信息和身份私钥组成的信息(ID,sk)，注册及初始化成功。3.根据权利要求1或2所述的基于格的身份基认证密钥协商方法，其特征在于，所述步骤二中协议发起者A生成临时公私钥对(pk
*
,sk
*
)，并根据消息生成密文c
A
的方法为：协议发起者A调用加密算法Keygen生成一个随机的临时公私钥对(pk
*
,sk
*
)，即(pk
*
,sk
*
):＝Keygen(n,q,ID
A
)；协议发起者A随机选取一个消息并调用加密算法Enc'生成密文c
A
:＝Enc'(mpk,ID
B
,m
A
)；所述步骤三中协议响应者B进行身份认证并生成密文c
B
和c
B*
的方法为：调用解密算法Dec'对密文c
A
进行解密得到m
A
':＝Dec'(sk
B
,c
A
)，协议响应者B进行验证操作，即：若m
A
'＝
⊥
，则验证不通过，协议发起者B拒绝消息并直接终止协商过程；若m
A
'≠
⊥
，则验证通过，协议响应者B进行以下操作：随机选取消息调用加密算法Enc'分别生成密文c
B
:＝Enc'(mpk,ID
A
,m
B
)，c
B*
:＝Enc'(pk
*
,ID
A
,m
B*
)，协议响应者B计算出会话密钥K
B
＝H(m
A
',m
B
,m
B*
,pk
*
,ID
A
,ID
B
)；所述协议发起者A对密文c
B
,c
B*
进行解密和身份验证的方法为：协议发起者A调用解密算法Dec'分别对密文c
B
,c
B*
进行解密得到消息m
B
':＝Dec'(sk
A
,c
B
)，m
B*
':＝Dec'(sk
*
,c
B*
)，接着协议发起者A进行验证操作，即：若m
B
'＝
⊥
或者m
B*
'＝
⊥
，则验证不通过，协议发起者A拒绝消息并直接终止协...

【专利技术属性】
技术研发人员：倪亮，高丽平，单芳芳，谷威力，周恒昇，张亚伟，
申请(专利权)人：中原工学院，
类型：发明
国别省市：