[发明专利]一种三方密钥协商产生方法

说明书

技术领域

本发明属于通信技术领域，涉及网络通信的安全问题，特别涉及“用户—服务器—用户”网络结构的基于口令认证的三方密钥交换协议(3PAKE协议)。

背景技术

随着计算机网络技术的不断发展，网络的应用日益广泛，网络通信中的安全问题也受到越来越多的关注。在安全通信领域里，密钥协商协议是其中一种重要的密码学机制。密钥协商协议是两个实体在公共网络上协商通信密钥的协议，协议的最终结果是双方都能确认只有对方才能拥有协商好的通信密钥，而其他第三方均无法获得通信密钥。

2004年，Lee等人提出了两种不需要公钥技术的三方加密密钥交换协议(3PEKE协议)，并声称他们的协议可以抵抗多种攻击，实现多方认证，并提供完美的前向安全性。2005年，Wen等人运用Weil对提出了一种基于口令认证的三方密钥加密协议(3PAKE协议)，并指出他们的协议是具有可证明的安全性的，然而，Nam等人却发现了3PAKE协议并不能抵抗中间人攻击的漏洞。

2006年，Lu等人提出了一种基于CDH假设(即利用离散对数的难解性假设已知g^x与g^y，不能求出g^xy)的S-3PAKE协议，该协议的设计思想是假设两个用户(用户A与用户B)，试图进行一次会话密钥的协商，但在密钥协商之前，他们之间并没有任何共享的信息，因此通信双方都无法对对方的身份进行直接的验证，这就意味着双方都无法直接确认对方的身份是否属实，如果存在用户C试图冒充用户B，与用户A进行通信，而用户A又无法对对方的身份进行认证，那么用户A就会误以为是在和用户B进行通信，显然这次通信是不安全的。在这种情况下，通信双方就需要求助于一个可靠的第三方，即一个可靠的服务器S，来完成此次会话密钥的协商过程。和通信双方不同的是，这个可信的服务器S，与每一个通信方之间都共享了一对用于认证该通信方身份的认证口令。S-3PAKE协议的流程图详见图1。

S-3PAKE协议中使用的符号含义：

(G，g，p)表示有限循环群G，G⊆Zp,]]>Z_p＝[0，p-1]，Z_p是整数模p的一个剩余类，g是Z_p的生成元，p为一个大素数；

M和N分别表示G中的两个元素；

S代表一个可靠的服务器S的身份信息；

用户A和用户B分别表示在一次协议执行过程中的发起者与接收者；

pw_A表示用户A与服务器S之间共享的用于认证用户A身份的口令；

pw_B表示用户B与服务器S之间共享的用于认证用户B身份的口令；

H()表示对任意一个0、1序列进行哈希函数运算，所得到的结果属于Z_p-1的哈希函数；哈希函数具有单向性：即若已知k，能算出H(k)，但已知H(k)，却无法算出k。

其中，G，g，p，M，N都是公开的信息，而pw_A和pw_B是用户与服务器之间共享的。

S-3PAKE协议的具体方案步骤如下：

第一步：用户A选择一个随机数x∈Z_p，并计算X=gx·MpwA,]]>然后将消息A‖X(即将A的身份信息与之前计算得到的X的值连接起来作为一个整体信息)发送给B；