標準模型下安全的高效單輪三方密鑰交換方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計算機領(lǐng)域����,尤其涉及一種新型標準模型下安全的高效單輪三方密鑰 交換方法����。
【背景技術(shù)】
[0002] 單輪三方密鑰交換算法(One-round tripartite key exchange-ORTKE)是一種 為三個以內(nèi)的用戶僅用單輪通信建立共享密鑰的密碼學原語。每個參與者可以在密鑰協(xié)商 過程中可以同時發(fā)送并且僅僅發(fā)送一個消息��。ORTKE作為一個密碼學組件����,可以通過一定的 方法擴展成為安全的群組(超過三方)的密鑰交換算法。因此�����,ORTKE在多用戶機密通信 的相關(guān)應用中有非常大的實際需求���,例如機密的在線視頻會議和消息廣播等應用�����。在安全 性方面����,本發(fā)明設計的單輪三方密鑰交換算法具有較強的安全目標,能夠防御大多數(shù)已知 的密碼學攻擊�����,包括:選擇消息攻擊�����,長期密鑰泄露的模仿攻擊���,已知會話密鑰攻擊����,未知密 鑰共享攻擊�,臨時密鑰泄露攻擊,以及弱完善的前向安全攻擊等���。本發(fā)明通常把能模擬以上 安全攻擊的安全模型稱為強安全模型��,包括以下類型:
[0003] 標準模型(Standard Model):標準模型更接近真實協(xié)議的實現(xiàn)��,并不假定理想隨 機函數(shù)或者理想加密函數(shù)的存在�,而是使用密碼學性質(zhì)較好的安全的抗碰撞哈希函數(shù)或者 偽隨機置換。
[0004] 隨機預言模型(Random Oracle Model�,ROM):該模型將一個密碼學原語假定為理 想化的隨機均勾函數(shù)(隨機預言),所有的協(xié)議參與者����,都可以通過查詢(Query)來訪問,對 于任意長度的輸入��,在輸出域中均勾選擇一個確定性長度的值作為對查詢的回答����。算法的 安全性證明在這種理想假定下完成����。
[0005] 在文南犬[1、Mark Manulis�,Koutarou Suzuki,and Berkant Ustaoglu. Modeling leakage of ephemeral secrets in tripartite/group key exchange. ICISC 2009��, volume5984of Lecture Notes in Computer Science�����,pages 16-33. Springer, DeCember2009]中提出了一個強安全的模型g-eCK,該模型能模擬以上提到的安全攻擊和 屬性�。作者同時提出了一個在g-eCK模型下安全的單輪三方密鑰交換算法(以下簡稱MSU 算法)。但是該算法僅僅能在隨機預言模型下被證明安全���,因此不能反映其在真實環(huán)境下的 安全性��。
[0006] 還有一種強安全的單輪三方密鑰交換算法(簡稱為LY算法)�����,LY算法是第一個能 在標準模型下(即不基于隨機預言模型)被證明強安全的三方密鑰交換算法��。但是LY算 法的執(zhí)行效率比較低下����,如何提高該算法的執(zhí)行效率���,是一個需要解決的主要問題�����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明旨在至少解決現(xiàn)有技術(shù)中存在的技術(shù)問題�����,特別創(chuàng)新地提出了一種標準模 型下能證明強安全的單輪三方密鑰交換方法����。
[0008] 為了實現(xiàn)本發(fā)明的上述目的,本發(fā)明提供了一種標準模型下安全的高效單輪三方 密鑰交換方法��,其包括如下步驟:
[0009] 步驟1���,設置多接收者密鑰封裝輸入的安全參數(shù)�����,根據(jù)系統(tǒng)初始化模塊產(chǎn)生雙線性 群����,從所述雙線性群中選取元素��,生成系統(tǒng)參數(shù)���;
[0010] 步驟2,根據(jù)生成的系統(tǒng)參數(shù),從正整數(shù)乘法群中選取每個接收者的私鑰��,根據(jù)選 取的私鑰計算公鑰�����;
[0011] 步驟3,根據(jù)生成的系統(tǒng)參數(shù),每個用戶生成臨時公鑰對和私鑰對�����,并且將臨時公 鑰對發(fā)送給其它兩個用戶��;
[0012] 步驟4,每個接收者使用自己的長期和臨時私鑰�����,并根據(jù)接收到的臨時公鑰計算最 終的會話密鑰��。
[0013] 所述的標準模型下安全的高效單輪三方密鑰交換方法��,優(yōu)選的�,所述步驟1包括:
[0014] 生成系統(tǒng)參數(shù)的步驟為:
[0015] 輸入安全參數(shù)Γ,其中�����,Γ表示μ個連續(xù)的1�����,所述μ為正整數(shù);
[0016] 產(chǎn)生雙線性群〇=(6^�����,61���,����?�,6),其中����,其中?是一個足夠大的素數(shù)��,(6,61)為以 P為秩的群��,g為群G的生成元素���,e為對稱雙線性運算e :GXG - Gt,所述下標T為目標的 縮寫��;
[0017] 從群 G 中隨機選取元素(u。���,U1, u2, u3) e RG���,并計算(U。����,U1, U2, U3) := (e(u。����,g), e (U1, g)�����,e (u2, g)����,e (u3, g),e (g��,g)),所述 Uq-U3S雙線性映射運算值����;
[0018] 生成偽隨機函數(shù)PRF( ·,·):GTX {0, lK- Kake����,其中Kake為會話密鑰分布空間;
[0019] 隨機產(chǎn)生一個抗目標沖突的哈希函數(shù)的公鑰hk e R KTeRHF���,其中所述下 標R為均勻隨機選取���,Ktcrhf為一個哈希密鑰分布空間;抗目標沖突的哈希函數(shù)為 TCRHFQik, ·) :KTCRHFXG - Zp��,其中Zp為正整數(shù)乘法群�;返回系統(tǒng)參數(shù)pmssys:= (Q,hk��,u�。, Ul���,U2,U3����,U〇����,Ui����,U2,U3) O
[0020] 所述的標準模型下安全的高效單輪三方密鑰交換方法����,優(yōu)選的,所述步驟2包括:
[0021] 輸入系統(tǒng)參數(shù)pmssys;
[0022] 每一個用戶ID e UD1, ID2,1?}���,從不包含0的正整數(shù)乘法群中選取一個隨機 的長期私鑰
[0023] 計算長期公鑰
[0024]
[0025] 其中其中 hID為 pk ID,^哈希值 h ID:= TCRHF(pk IDa)���。
[0026] 所述的標準模型下安全的高效單輪三方密鑰交換方法,優(yōu)選的�,所述步驟3還包 括:
[0027] 輸入系統(tǒng)參數(shù)pmssys,
[0028] 步驟3-1��,選取一個隨機臨時私鑰數(shù)M
[0029] 步驟3-2,計算臨時公鑰為
[0030]
heID:= TCRHF (epk ID>1)���;
[0031] 步驟3-3,設置密文CID:= (ID����,pk ID,印kID)�����,并將該密文廣播給其它兩個用戶���。
[0032] 所述的標準模型下安全的高效單輪三方密鑰交換方法�,優(yōu)選的��,所述步驟4包括:
[0033] 給定系統(tǒng)參數(shù)�,密文 CID: = (ID,pk ID���,epkID)
[0034] 步驟 4-1��,計算 hID:= TCRHF(pk IDa)和 heID:= TCRHF(epk m)���,如果
止運算;
[0035] 步驟4-2�����,計算會話密鑰
[0036]
為會話標識符,它由所有參與者的身份標識符ID和相關(guān)長期和臨時公鑰組成����,即 [0039]
[0040] 綜上所述�����,由于采用了上述技術(shù)方案���,本發(fā)明的有益效果是:
[0041] 本發(fā)明的密鑰生成算法效率最高���,對于使用者來說,在特定群體環(huán)境中能夠保證 該特定群體通信和交流的安全性���,防止外界攻擊和破解該特定群體的通信交流活動����。
[0042] 本發(fā)明的附加方面和優(yōu)點將在下面的描述中部分給出��,部分將從下面的描述中變 得明顯�����,或通過本發(fā)明的實踐了解到。
【附圖說明】
[0043] 本發(fā)明的上述和/或附加的方面和優(yōu)點從結(jié)合下面附圖對實施例的描述中將變 得明顯和容易理解���,其中:
[0044] 圖1是本發(fā)明標準模型下安全的高效單輪三方密鑰交換方法流程圖�。
【具體實施方式】
[0045] 下面詳細描述本發(fā)明的實施例����,所述實施例的示例在附圖中示出,其中自始至終 相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件����。下面通過參考附 圖描述的實施例是示例性的,僅用于解釋本發(fā)明�����,而不能理解為對本發(fā)明的限制�。
[0046] 在本發(fā)明的描述中,需要理解的是����,術(shù)語"縱向"、"橫向"����、"上"�、"下"���、"前"�����、"后"、 "左"��、"右"�、"豎直"、"水平"���、"頂"��、"底" "內(nèi)"��、"外"等指示的方位或位置關(guān)系為基于附圖所 示的方位或位置關(guān)系�����,僅是為了便于描述本發(fā)明和簡化描述����,而不是指示或暗示所指的裝 置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作�����,因此不能理解為對本發(fā)明的限 制�����。
[0047] 在本發(fā)明的描述中���,除非另有規(guī)定和限定�����,需要說明的是�,術(shù)語"安裝"����、"相連"、 "連接"應做廣義理解���,例如����,可以是機械連接或電連接,也可以是兩個元件內(nèi)部的連通��,可 以是直接相連����,也可以通過中間媒介間接相連,對于本領(lǐng)域的普通技術(shù)人員而言��,可以根據(jù) 具體情況理解上述術(shù)語的具體含義�。
[0048] 如圖1所示�,本發(fā)明提供了一種標準模型下安全的高效單輪三方密鑰交換方法, 其關(guān)鍵在于��,包括如下步驟:
[0049] 步驟1�,設置多接收者密鑰封裝輸入的安全參數(shù),根據(jù)系統(tǒng)初始化模塊產(chǎn)生雙線性 群���,從所述雙線性群中選取元素����,生成系統(tǒng)參數(shù)��;
[0050] 步驟2,根據(jù)生成的系統(tǒng)參數(shù),從正整數(shù)乘法群中選取每個接收者的長期私鑰�,根 據(jù)選取的長期私鑰計算長期公鑰;
[0051] 步驟3,根據(jù)系統(tǒng)參數(shù)�����,計算臨時公鑰私鑰對��;
[0052] 步驟4,每個接收者使用自己的長期和臨時私鑰�,對收到的臨時公鑰進行密碼學運 算,從而計算最終的會話密鑰���。
[0053] 一����、符號說明���。
[0054] 本發(fā)明首先簡要介紹一下必要的基本概念�。本發(fā)明用正整數(shù)μ表示安全參數(shù)以 及Γ表示由μ個連續(xù)的1��。本發(fā)明用[η] = {1�,...,η}來表示1到η之間所有的正整數(shù)。 假設S為一個集合�����,那么本發(fā)明用公式a e R S來表示從集合S