无证书的基于层次身份基的认证密钥协商方法和协商系统

技术领域

本发明涉及无证书的密码体制，具体涉及一种无证书的基于层次身份基的 认证密钥协商方法和协商系统。

背景技术

公钥密码体制是保证网络和信息安全的重要技术。在传统的公钥基础设施 (PKI，PublicKeyInfrastructure)中，需要可信第三方为用户颁发证书来证 明用户的合法身份，因此涉及到很多证书管理的问题，占用了大量系统相关资 源。为了简化传统公钥基础设施对证书的管理过程，Shamir在1984年提出了 一种身份基密码体制(IBC，IdentityBasedCryptosystem)。该体制不使用 证书，直接将用户的身份作为公钥，私钥由可信的私钥生成中心PKG(Public KeyGenerator)生成。

然而在Shamir提出的IBC体制中，用户的私钥完全由PKG生成，若PKG 受到攻击造成信息泄露，则攻击者可以获得用户的长期私钥，以此来假冒用户。 这就是IBC体制固有的密钥托管问题。为了解决这一问题，Al-Riyami和 Paterson在2003年提出了无证书的身份基密码体制(CLIBC， CertificatelessIdentityBasedCryptosystem)。在这一体制中，PKG只为 用户生成部分私钥，完整的私钥由用户结合PKG生成的部分私钥以及自身选定 的私有秘密值共同生成。因此，无证书密码体制既解决了传统公钥密码体制中 的证书管理问题，又解决了身份基密码体制中的密钥托管问题。

在IBE和CLIBE体制中均只含有一个PKG。PKG不仅承担着验证用户身份 及为用户生成私钥的任务，还要承担维护安全信道以便把私钥安全的发送给用 户的任务，同时PKG还要负责用户私钥的更新，撤销等工作。显然，单一PKG 将不能承担起大型系统繁重的工作。为了解决这一问题，密码学家Gentry和 Silverberg与2002年第一次提出了层次身份基密码体制(HIBC， HierarchicalIdentityBasedCryptography)。该体制中包含一个根PKG及 多层的域PKG，根PKG验证域PKG并为其生成私钥，上层域PKG验证下层域PKG 并为其生成私钥，直至用户的上一层域。不过在HIBC体制中仍然存在密钥托 管问题。2008年，Chow、Roth和Rieffel则首次对无证书的分层密码体制(HCLC， HierarchicalCertificatelessCryptography)进行了研究。这一体制既保 留了HIBC体制的优点，又避免了HIBC体制中的密钥托管问题。

密钥协商作为密码学中的基础部分，在安全通信中有至关重要的作用。它 允许两个实体在开放信道上协商安全的会话密钥，以保证双方通信的安全。基 于无证书的身份基密码体制，学者们提出了大量的无证书的身份基认证密钥协 商协议。然而，大多数无证书身份基认证密钥协商协议都是在单一PKG环境下 提出的。同时，椭圆曲线上的双线性对运算耗时大约是点乘运算的20倍，因 此效率较低。针对这一问题，有学者提出了无双线性对运算的无证书的身份基 密钥协商协议，不过这类协议也都是在单一PKG环境下提出的。

椭圆曲线密码(ECC，Ellipticcurvecryptography)与其他公钥密码体 制相比，其主要优势是在相同的安全水平下系统参数更短，因此在身份基密码 体制中运用最为广泛。在无双线性对运算的密钥协商协议中，协议的安全性一 是基于椭圆曲线离散对数困难假设，即为椭圆曲线上的q阶循环加法群，给 定两个元素其中由P，aP计算a是困难的，但由P，a计算aP是 容易的。二是基于计算性Diffie-Hellman困难假设，即为椭圆曲线上的q 阶循环加法群，给定三个元素其中计算abP是困难 的。

发明内容

本发明旨在至少解决上述技术问题之一。

为此，本发明的第一个目的在于提出一种无证书的基于层次身份基的认证 密钥协商方法。

本发明的第二个目的在于提出一种无证书的基于层次身份基的认证密钥 协商系统。

为了实现上述目的，本发明的的实施例公开了一种无证书的基于层次身份 基的认证密钥协商方法，包括以下步骤：A：根据输入的安全常数λ，得出阶数 为q的椭圆曲线循环加法群、其生成元为P，选取主私钥msk，计算公钥P_pub， 选取安全的哈希函数H₁和哈希函数H₂；B：根据第一用户的身份向量 ID＝(I₁，I₂，...，I_t)，可以通过两种算法生成所述第一用户的私钥d：B1：根据所 述主私钥msk、所述第一用户身份向量ID＝(I₁，I₂，...，I_t)和随机选取的 根PKG计算所述第一用户的部分私钥k和部分公钥g₁P，...，g_tP， 所述第一用户验证所述部分私钥k是否满足验证条件，如果所述部分私钥k满 足验证条件，所述第一用户接受所述部分私钥k和部分公钥g₁P，...，g_tP；B2：根 据所述部分私钥k和部分公钥g₁P，...，g_tP及随机选取的生成所述第一用 户的私钥d和公钥pk；或B′1：根据所述第一用户的身份向量ID＝(I₁，I₂，...，I_t)、 所述第一用户的上层用户的身份向量ID_PKG＝(I₁，I₂，...，I_t-1)、所述上层用户的 部分私钥k′、部分公钥{g₁P，...，g_t-1P}和随机选取的所述上层用户的 PKG为所述第一用户生成部分私钥k和部分公钥g₁P，...，g_tP，所述第一用户验证 所述部分私钥k是否满足验证条件，如果所述部分私钥k满足验证条件，所述 第一用户接受所述部分私钥k和部分公钥g₁P，...，g_tP；B′2：根据所述部分私钥k 和部分公钥g₁P，...，g_tP及随机选取的生成所述第一用户的私钥d和公钥 pk。

根据本发明实施例的无证书的基于层次身份基的认证密钥协商方法，基于 无证书的层次身份基密码体制，适用于大型系统，而且方法在运算过程中不含 双线性对运算，因此具有更高的效率。方法的安全性基于椭圆曲线离散对数困 难假设及计算性Diffie-Hellman困难假设，满足密钥协商系统所需的基本安 全需求。

另外，根据本发明上述实施例的无证书的基于层次身份基的认证密钥协商 方法，还可以具有如下附加的技术特征：

进一步地，所述步骤A进一步包括：所述椭圆曲线循环加法群为满足安 全常数λ的阶为q的椭圆曲线循环加法群；所述公钥P_pub＝sP，其中主私钥 msk＝s；所述哈希函数以及所述哈希函数其中为会话密钥空间。

进一步地，所述步骤B1进一步包括：根据所述主私钥msk、所述第一用 户身份向量ID＝(I₁，I₂，...，I_t)和所述根PKG随机选取的计算 r_i＝H₁(I_i||g_iP)，其中1≤i≤t，所述第一用户的部分私钥k为：

$k=s+\underset{i=1}{\overset{t}{\Sigma }}\left(g_i{r}_i\right)$

如果k＝0，则需要重新选取通过安全信道将{g₁P，...，g_tP，k} 发送给所述第一用户，其中g₁P，...，g_tP为所述第一用户的部分公钥，所述第一 用户验证下列等式：

$kP=P_{pub}+\underset{i=1}{\overset{t}{\Sigma }}\left(H_1\right(I_i\left|\right|g_{i}P\left)g_{i}P\right)$

若等式不成立，则拒绝所述部分私钥k和部分公钥g₁P，...，g_tP。

进一步地，所述步骤B2进一步包括：随机选取生成所述第一用 户的的私钥d，

d＝k+x

如果d＝0，重新选取计算所述第一用户的私钥d，所述第一用户的 公钥为pk＝{ID，g₁P，...，g_tP，xP}。

进一步地，所述步骤B′1进一步包括：根据所述第一用户的身份向量 ID＝(I₁，I₂，...，I_t)、所述第一用户上层用户ID_PKG＝(I₁，I₂，...，I_t-1)、所述上层 用户的部分私钥所述上层用户的部分公钥{g₁P，...，g_t-1P} 和随机选取计算r_t＝H₁(I_t||g_tP)，所述上层用户的PKG为所述第一 用户生成所述部分私钥k，所述部分私钥k通过以下公式得到：

$k=k^{\prime }+g_t{r}_t=s+{\Sigma }_{i=1}^{t-1}\left(g_i{r}_i\right)+g_t{r}_t=s+{\Sigma }_{i=1}^t\left(g_i{r}_i\right),$

如果k＝0，则需要重新选取计算所述部分私钥k，通过安全信道将 {g₁P，...，g_tP，k}发送给所述第一用户，其中g₁P，...，g_tP为所述第一用户的部分 公钥，所述第一用户验证下列等式：

$kP=P_{pub}+\underset{i=1}{\overset{t}{\Sigma }}\left(H_1\right(I_i\left|\right|g_{i}P\left)g_{i}P\right)$

若等式不成立，所述第一用户拒绝所述部分私钥k和部分公钥g₁P，...，g_tP。

进一步地，所述步骤B′2进一步包括：随机选取生成所述第一用 户的的私钥d，

d＝k+x

如果d＝0，重新选取计算所述第一用户的私钥d，所述第一用户的 公钥为pk＝{ID，g₁P，...，g_tP，xP}。

进一步地，在步骤B还包括以下步骤：

C：随机选择第二用户A和第三用户B，根据所述第二用户A的身份向量 第二用户私钥d_A、第二用户公钥pk_A和所述第三用户B的身 份向量第三用户私钥d_B、第三用户公钥pk_B，以及第二用 户和第三用户随机选取的和计算所述第二用户A向所述第三用 户B发消息使用的第一会话密钥sk_A和所述第三用户B向所述第二用户A发消 息使用的第二会话密钥sk_B，如果所述第一会话密钥sk_A和所述第二会话密钥 sk_B相同，所述第二用户A和所述第三用户B之间可进行安全通信。

为了实现上述目的，本发明的的实施例公开了一种无证书的基于层次身份 基的认证密钥协商系统，包括：系统建立模块，用于根据输入的安全常数λ， 得出阶数为q椭圆曲线循环加法群其生成元为P，选取主私钥msk，计算公 钥P_pub，选取安全的哈希函数H₁和哈希函数H₂；私钥生成模块，所述私钥生 成模块用于根据所述主私钥msk、所述第一用户身份向量ID＝(I₁，I₂，...，I_t)和 随机选取的计算所述第一用户的部分私钥k和部分公钥 g₁P，...，g_tP，通过验证模块验证后，并根据所述部分私钥k和部分公钥g₁P，...，g_tP 及随机选取的生成所述第一用户的私钥d和公钥pk，其中，表示整数 集合{1，2，...，q-2，q-1}；私钥委托模块，所述私钥委托模块用于根据所述第一用 户的身份向量ID＝(I₁，I₂，...，I_t)、所述第一用户的上层用户ID_PKG＝ (I₁，I₂，...，I_t-1)、所述上层用户的部分私钥k′、部分公钥{g₁P，...，g_t-1P}和随机 选取的生成所述第一用户的部分私钥k和部分公钥g₁P，...，g_tP，通过所述 验证模块验证后，并根据所述部分私钥k和部分公钥g₁P，...，g_tP及随机选取的 生成所述第一用户的私钥d和公钥pk，其中，表示整数集合 {1，2，...，q-2，q-1}；验证模块，所述验证模块用于对所述私钥生成模块生成的所 述部分私钥k和所述私钥委托模块生成的所述部分私钥k进行验证。

根据本发明实施例的无证书的基于层次身份基的认证密钥协商系统，基于 无证书的层次身份基密码体制，适用于大型系统，而且方法在运算过程中不含 双线性对运算，因此具有更高的效率。方法的安全性基于椭圆曲线离散对数困 难假设及计算性Diffie-Hellman困难假设，满足密钥协商系统所需的基本安 全需求。

另外，根据本发明上述实施例的无证书的基于层次身份基的认证密钥协商 系统，还可以具有如下附加的技术特征：

进一步地，还包括：密钥协商模块，所述密钥协商模块用于任意第二用户 A和第三用户B，根据所述第二用户A的身份向量第二用 户私钥为d_A、第二用户公钥pk_A和所述第三用户B的身份向量 第三用户私钥d_B、第三用户公钥pk_B，以及第二用户和第 三用户随机选取的和计算所述第二用户A向所述第三用户B发 送消息使用的第一会话密钥sk_A和所述第三用户B向所述第二用户A发消息使 用的第二会话密钥sk_B，如果所述第一会话密钥sk_A和所述第二会话密钥sk_B相 同，所述第二用户A和所述第三用户B之间可进行安全通信。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描 述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中 将变得明显和容易理解，其中：

图1是本发明一个实施例的无证书的基于层次身份基的认证密钥协商系 统的结构示意图；

图2是本发明一个实施例的密钥协商过程的示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自 始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元 件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能 理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的， 而不能理解为指示或暗示相对重要性。

参照下面的描述和附图，将清楚本发明的实施例的这些和其他方面。在这 些描述和附图中，具体公开了本发明的实施例中的一些特定实施方式，来表示 实施本发明的实施例的原理的一些方式，但是应当理解，本发明的实施例的范 围不受此限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内 涵范围内的所有变化、修改和等同物。

以下结合附图描述根据本发明实施例的无证书的基于层次身份基的认证 密钥协商方法和协商系统。

主要的符号及椭圆曲线选取：

1)p，q：大素数

2)：阶数为p的有限域

3)：有限域上的椭圆曲线E

4)：椭圆曲线E上的点的集合，为q阶的循环加法群

5)P：群G的生成元

6)：整数集合{1，2，...，q-2，q-1}

7)PKG：私钥生成中心

8)H₁：安全的哈希函数，

9)H₂：安全的哈希函数，

10)：会话密钥空间

椭圆曲线可用等式表示为：

y²≡x³+ax+bmodp，其中且4a³+27b²≠0modp 群O为无穷远点 群为循环加法群，群运算为加法运算(点乘运算)，描述如下：

本发明可分为系统建立，部分私钥生成，私钥生成，私钥委托和密钥协商 五个阶段。该方法具体构造如下：

(1)(pp，msk)←Root-Setup(λ)：系统建立算法由根PKG运行，选取满足安 全常数λ的阶为q的椭圆曲线循环加法群即|q|＝λ，的生成元为P。选取 安全的哈希函数：为会话密钥空间。 选取主私钥msk＝s，计算公钥P_pub＝sP。输出共享的全局性系统参数：

(2)(k)←Partial-Private-KeyGen(msk，ID)：部分私钥生成算法由根PKG 运行，给定主私钥msk和任意一个用户身份向量ID＝(I₁，I₂，...，I_t)，PKG随机 选取计算r_i＝H₁(I_i||g_iP)，其中1≤i≤t。输出该用户所对应 的部分私钥k：

$k=s+\underset{i=1}{\overset{t}{\Sigma }}\left(g_i{r}_i\right)$

若k＝0，则需要重新选取通过安全信道将{g₁P，...，g_tP，k} 发送给用户(I₁，I₂，...，I_t)，其中g₁P，...，g_tP为用户ID的部分公钥。用户验证等式：

$kP=P_{pub}+\underset{i=1}{\overset{t}{\Sigma }}\left(H_1\right(I_i\left|\right|g_{i}P\left)g_{i}P\right)$

若等式不成立，则拒绝此部分私钥。

(3)(d)←Set-Private-Key(k，ID)：私钥生成算法由用户ID运行，随机选 取输出该用户的私钥d：

d＝k+x

若d＝0，则需要重新选取并计算用户私钥。该用户的公钥为 pk＝{ID，g₁P，...，g_tP，xP}。

(4)(k)←Partial-Delegate(k′，ID)：部分私钥委托算法由用户 ID＝(I₁，I₂，...，I_t)的上层PKG运行，其中ID_PKG＝(I₁，I₂，...，I_t-1)，PKG的部分私 钥为部分公钥为{g₁P，...，g_t-1P}。随机选取计 算r_t＝H₁(I_t||g_tP)。PKG为用户ID生成部分私钥k：

$k=k^{\prime }+g_t{r}_t=s+\underset{i=1}{\overset{t-1}{\Sigma }}\left(g_i{r}_i\right)+g_t{r}_t=s+\underset{i=1}{\overset{t}{\Sigma }}\left(g_i{r}_i\right)$

若k＝0，则需要重新选取通过安全信道将{g₁P，...，g_tP，k}发送 给用户ID，其中g₁P，...，g_tP为用户的部分公钥。用户验证等式：

$kP=P_{pub}+\underset{i=1}{\overset{t}{\Sigma }}\left(H_1\right(I_i\left|\right|g_{i}P\left)g_{i}P\right)$

若等式不成立，则拒绝此部分私钥。若等式成立，用户可执行 Set-Private-Key算法生成自己的私钥和公钥。

(5)(sk)←Agreement(pk₁，T₁，pk₂，T₂)：密钥协商过程如图2所示。以用户 A和B为例，其中用户A所处的层级为l_A，A的私钥为d_A， 公钥pk_A为$\{{\mathrm{ID}}_A,g_{1}P,...,g_{l_A}P,x_{A}P\}$。用户B所处的层级为l_B，${\mathrm{ID}}_B=\left(I_1^{\prime },I_2^{\prime },\mathrm{...},I_{l_B}^{\prime }\right),$B的私钥为d_B，公钥pk_B为

A随机选取计算T_A＝ad_AP，发送{T_A，pk_A}给B，B随机选取计算T_B＝bd_BP，发送{T_B，pk_B}给A，A与B分别计算会话密钥：

用户A做如下计算：

$\left(\begin{array}{c}{k}_{AB}=d_A(T_B+a(P_{pub}+x_{B}P+\underset{i=1}{\overset{l_B}{\Sigma }}\left(H_1\right({I_i}^{\prime }\left|\right|{g_i}^{\prime }P\left){g_i}^{\prime }P\right)\left)\right)\\ =d_A({\mathrm{bd}}_{B}P+{\mathrm{ad}}_{B}P)=(a+b)d_A{d}_{B}P\\ {\mathrm{ad}}_A{T}_B={\mathrm{abd}}_A{d}_{B}P\end{array}\right)$

会话密钥为：sk_A＝H₂(k_AB||abd_Ad_BP)

用户B做如下计算：

$\left(\begin{array}{c}{k}_{BA}=d_B(T_A+b(P_{pub}+x_{A}P+\underset{i=1}{\overset{l_A}{\Sigma }}\left(H_1\right(I_i\left|\right|g_{i}P\left)g_{i}P\right)\left)\right)\\ =d_B({\mathrm{ad}}_{A}P+{\mathrm{bd}}_{A}P)=(a+b)d_A{d}_{B}P=k_{AB}\\ {\mathrm{bd}}_B{T}_A={\mathrm{abd}}_A{d}_{B}P\end{array}\right)$

会话密钥为：sk_B＝H₂(k_BA||abd_Ad_BP)

用户A与B得到相同的会话密钥，可进行安全通信。

另外，本发明实施例的无证书的基于层次身份基的认证密钥协商方法和协 商系统的其它构成以及作用对于本领域的技术人员而言都是已知的，为了减少 冗余，不做赘述。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、 “具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、 结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中， 对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具 体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适 的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解： 在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、 替换和变型，本发明的范围由权利要求及其等同限定。