為了使認證的密鑰協商過程在確保安全和可靠的基礎上開銷趨于最低，本發明公開了一種基于交叉互鎖機制的認證密鑰協商方法及其實施裝置。利用公鑰基礎困難問題采取交叉互鎖的方式實現互認證，只要攻擊者不能同時獲得一方的長期私鑰和臨時私鑰或不同時獲得兩方的長期私鑰，該方法協商得到的會話密鑰就是安全的，且通過添加密鑰確認環節實現了可靠密鑰協商。基于ECC的實施例表明計算量只有4個標量乘的規模，協商階段(不含確認)每方只需發送一個消息。因而本發明提供了一種安全、可靠、高效的認證會話密鑰協商方法及其實施裝置。

技術領域

本發明屬于網絡安全中的認證密鑰建立技術領域，特別是涉及基于公鑰的無證書認證或自認證的密鑰協商(或分配、分發、交換)方法，可用于分布式網絡中節點間安全高效地協商共享的會話密鑰。

背景技術

隨著信息技術的不斷發展，計算機網絡從局域網、廣域網、互聯網發展到目前的移動互聯網、物聯網等下一代網絡，而這些網絡技術的工業化應用中最重要的是安全問題。特別是隨著無線開放的下一代互聯網絡的研究與應用，安全問題更加突顯。為了實現開放互聯計算機網絡的安全通信，特別是實現無線網絡的安全通信，我們需要在兩個用戶間利用公鑰技術安全地構建一個會話用的對稱密鑰，即需要解決認證密鑰協商(AKA,Authenticated Key Agreement)問題。這方面最近主要有劉勇、涂航、Seung-Hyun Seo、Mutaz Elradi S.Saeed、何德標、周彥偉、孫海燕等人的研究，其中以劉勇等人的專利研究(中國專利公布號：CN107437993A)計算量最小，每一個協商方只需要4個標量乘運算

但其存在如下缺陷：

1)、存在假冒攻擊：攻擊者C可假冒發起方A與用戶B建立共享會話密鑰。具體方法為，攻擊者C(＝A')先取一個假冒A創建T_A′＝t_CP-(P_A+R_A+H₁(ID_A,R_A,P_A)P_pub)，發送M_A′＝(ID_A,R_A,T_A′)給用戶B，依照劉勇等人的方法接收方B也會取并計算響應方會話密鑰元素T_B＝t_BP，將M_B＝(ID_B,R_B,T_B)發給發起方。假冒A的攻擊者C收到后，可先計算W_B＝R_B+H₁(ID_B,R_B,P_B)P_pub，然后計算：

和(這兩項攻擊者按自己的攻擊設計來計算)，

及

而會話響應方B會計算W_A′＝P_A+R_A+H₁(ID_A,R_A,P_A)P_pub+T_A′＝t_CP，此后計算：

和及

顯然，因：

故攻擊者C可假冒A與B建立共享密鑰

2)、沒有密鑰確認環節，易遭干擾(Jamming)攻擊：攻擊者可通過反復生成并發送隨機的M_A來讓被攻擊者B執行協商過程而產生一系列不必要的計算，在沒有確認環節時將無法檢測這類攻擊，這對以電池等方式供電的無線通信用戶是致命的。