基于認證信息的密鑰交換系統(tǒng)及方法
【技術領域】
[0001] 本發(fā)明涉及一種網(wǎng)絡上的安全技術。
【背景技術】
[0002] 基于認證信息的密鑰交換協(xié)議（口令認證密鑰交換（PAKE : Pas sword Authenticated Key Exchange))是指參與通信的兩個以上的主體共享用于如下的通信的 密鑰的過程，即該通信基于其中一個以上的主體所知道的密碼（Password)而被加密。PAKE 可根據(jù)其實現(xiàn)方式而分為基于公鑰證書的PAKE及基于非公鑰證書的PAKE。
[0003] 對于基于公鑰證書的PAKE而言，為了交換密鑰常常需要執(zhí)行公鑰認證的步驟，對 于基于非公鑰證書的PAKE(相關聯(lián)的標準：IEEE P1363. 2及IS0/IEC 11770-4)而言，因通 過直接指數(shù)乘密碼來存儲的認證者（verifier)構成方式而發(fā)生了難以更新現(xiàn)有系統(tǒng)的遷 移（migration)及參數(shù)（parameter)的新問題。此外，由于這種方式需要將密碼與成組參 數(shù)（group parameter)直接結合，因此為了應對針對此的離線分析需要相對多的實時計算 量并且無法靈活地交換協(xié)議的消息流。

【發(fā)明內容】

[0004] 本發(fā)明的實施例旨在提供一種將基于ID(身份標識號碼）的加密技術應用于現(xiàn)有 的基于認證信息的密鑰交換協(xié)議而同時具有基于公鑰證書的PAKE的優(yōu)點及基于非公鑰證 書的PAKE的優(yōu)點的高效的認證及密鑰交換協(xié)議。
[0005] 此外，本發(fā)明的實施例旨在最小化認證及密鑰交換所需的通信次數(shù)。
[0006] 根據(jù)示例性實施例，提供一種基于用戶認證信息的密鑰交換系統(tǒng)，包括：終端，利 用終端側隨機數(shù)及服務器ID來生成與所述終端用戶的認證信息對應的基于ID的密文；月艮 務器，利用與所述服務器ID對應的服務器側私鑰來對從所述終端接收的所述基于ID的密 文進行解密以恢復所述認證信息，并利用恢復的所述認證信息來認證所述終端，并且生成 與認證的所述終端對應的服務器側會話密鑰。
[0007] 所述終端可由所述終端側隨機數(shù)計算第一會話密鑰元素，并由所述服務器ID及 所述終端側隨機數(shù)生成終端側加密化元素，并且結合所述認證信息和所述終端側加密化元 素而生成加密化字符串。
[0008] 所述終端側加密化元素可通過如下的數(shù)學式來計算。
[0009] D = (H(IDS))X
[0010] (其中，D為終端側加密化元素，IDS為服務器ID，x為終端側隨機數(shù)，H為單向哈 希值）
[0011] 所述加密化字符串可通過所述認證信息及所述終端側加密化元素的異或運算 (X0R)來計算。
[0012] 所述服務器可從所述終端接收包含所述第一會話密鑰元素及所述加密化字符串 的基于ID的密文，并通過所述服務器側私鑰及所述第一會話密鑰元素來計算服務器側加 密化元素，并且利用所述服務器側加密化元素而從所述加密化字符串恢復所述認證信息。
[0013] 所述服務器側加密化元素可通過如下的數(shù)學式來計算。
[0014] D' = XKs
[0015] (其中，D'為服務器側加密化元素，X為第一會話密鑰元素，Ks為服務器側私鑰）
[0016] 所述認證信息可通過接收到的所述加密化字符串及所述服務器側加密化元素之 間的異或運算（X0R)來恢復。
[0017] 所述服務器可根據(jù)恢復的所述認證信息和已存儲于所述服務器的所述終端的認 證信息的相同與否來認證所述終端。
[0018] 所述服務器在所述終端得到認證時，可由通過服務器側隨機數(shù)計算第二會話密鑰 元素，并且由所述服務器側隨機數(shù)及所述第一會話密鑰元素來生成服務器側第三會話密鑰 元素。
[0019] 所述服務器側第三會話密鑰元素可通過將所述第一會話密鑰元素作為底數(shù)，并將 所述服務器側隨機數(shù)作為指數(shù)的乘方來計算。
[0020] 所述終端可從所述服務器接收所述第二會話密鑰元素，并由所述第二會話密鑰元 素生成終端側第三會話密鑰元素及終端側會話密鑰。
[0021] 所述終端側第三會話密鑰元素可通過將所述第二會話密鑰元素作為底數(shù)并將所 述終端側隨機數(shù)作為指數(shù)的乘方來計算。
[0022] 所述終端側會話密鑰（sk)可以是包含所述終端ID、所述服務器ID、所述加密化字 符串、所述第一會話密鑰元素、所述第二會話密鑰元素、所述終端側加密化元素及所述終端 側第三會話密鑰元素中的一個以上的字符串的哈希值。
[0023] 所述服務器側會話密鑰可以是包含所述終端ID、所述服務器ID、所述加密化字符 串、所述第一會話密鑰元素、所述第二會話密鑰元素、所述服務器側加密化元素及所述服務 器側第三會話密鑰元素中的一個以上的字符串的哈希值。
[0024] 根據(jù)另一個示例性實施例，提供一種基于用戶認證信息的密鑰交換方法，包括如 下步驟：在終端中，利用終端側隨機數(shù)及服務器ID來生成與所述終端用戶的認證信息對應 的基于ID的密文；在服務器中，通過與所述服務器ID對應的服務器側私鑰來對從所述終端 接收的所述基于ID的密文進行解密以恢復所述認證信息；在所述服務器中，利用恢復的所 述認證信息來認證所述終端；在所述終端得到認證時，生成與認證的所述終端對應的服務 器側會話密鑰。
[0025] 生成所述基于ID的密文的步驟還可包括如下步驟：由所述終端側隨機數(shù)計算第 一會話密鑰元素；由所述服務器ID及所述終端側隨機數(shù)生成終端側加密化元素；結合所述 認證信息和所述終端側加密化元素而生成加密化字符串。
[0026] 所述終端側加密化元素可通過如下的數(shù)學式來計算。
[0027] D = (H(IDS))X
[0028] (其中，D為終端側加密化元素，IDS為服務器ID，x為終端側隨機數(shù)，H為單向哈 希值）
[0029] 所述加密化字符串可通過所述認證信息及所述終端側加密化元素的異或運算 (X0R)來計算。
[0030] 恢復所述認證信息的步驟還可包括如下步驟：從所述終端接收包含所述第一會話 密鑰元素及所述加密化字符串的基于ID的密文；通過所述服務器側私鑰及所述第一會話 密鑰元素來計算服務器側加密化元素；利用所述服務器側加密化元素而從所述加密化字符 串恢復所述認證信息。
[0031] 所述服務器側加密化元素可通過如下的數(shù)學式來計算。
[0032] D' = XKs
[0033] (其中，D'為服務器側加密化元素，X為第一會話密鑰元素，Ks為服務器側私鑰）
[0034] 從所述加密化字符串恢復所述認證信息的步驟可被構成為：通過接收到的所述加 密化字符串及所述服務器側加密化元素之間的異或運算（X0R)來恢復所述認證信息。
[0035] 認證所述終端的步驟可被構成為：根據(jù)恢復的所述認證信息和已存儲于所述服務 器的所述終端的認證信息的相同與否來認證所述終端。
[0036] 生成所述服務器側會話密鑰的步驟還可包括如下步驟：由服務器側隨機數(shù)計算所 述第二會話密鑰元素；由所述服務器側隨機數(shù)及所述第一會話密鑰元素生成服務器側第三 會話密鑰元素。
[0037] 所述服務器側第三會話密鑰元素可通過將所述第一會話密鑰元素作為底數(shù)，并將 所述服務器側隨機數(shù)作為指數(shù)的乘方來計算。
[0038] 所述終端可從所述服務器接收所述第二會話密鑰元素，并由所述第二會話密鑰元 素生成終端側第三會話密鑰元素及終端側會話密鑰。
[0039] 所述終端側第三會話密鑰元素可通過將所述第二會話密鑰元素作為底數(shù)，并將所 述終端側隨機數(shù)作為指數(shù)的乘方來計算。
[0040] 所述終端側會話密鑰（sk)可以是包含所述終端ID、所述服務器ID、所述加密化字 符串、所述第一會話密鑰元素、所述第二會話密鑰元素、所述終端側加密化元素及所述終端 側第三會話密鑰元素中的一個以上的字符串的哈希值。
[0041] 所述服務器側會話密鑰（sk'）可以是包含所述終端ID、所述服務器ID、所述加密 化字符串、所述第一會話密鑰元素、所述第二會話密鑰元素、所述服務器側加密化元素及所 述服務器側第三會話密鑰元素中的一個以上的字符串的哈希值。
[0042] 根據(jù)另一個示例性實施例，提供一種計算機程序，該計算機程序為了與硬件結合 而執(zhí)行如下的步驟而存儲于介質：利用終端側隨機數(shù)及服務器ID來生成與所述終端用戶 的認證信息對應的基于ID的密文；利用與所述服務器ID對應的服務器側私鑰來對從所述 終端接收的所述基于ID的密文進行解密以恢復所述認證信息；利用恢復的所述認證信息 來認證所述終端；在所述終端得到認證時，生成與認證的所述終端對應的服務器側會話密 鑰。
[0043] 根據(jù)本發(fā)明的實施例，可利用用戶的認證信息來有效且安全地認證終端，尤其是 在初期由服務器執(zhí)行針對終端的認證，從而可有效地應對分布式