一种密钥协商方法、装置及电子设备

1.本发明涉及量子保密通信技术领域，具体涉及一种密钥协商方法、装置及电子设备。


背景技术：

2.密码学己有几千年的历史，在古代，人们在信息传递过程中会对需要保密的信息进行加密。近代密码学融入了大量数论、几何、代数等知识，密码学得到了蓬勃地发展。在现代社会，信息化与数字化不断发展，随着信息化社会的发展，信息安全对于构建和谐与稳定的社会环境至关重要，人们对于信息安全与隐私保护有更多的需求。作为信息安全的核心，密码学研究在现代也变得越来越重要。
3.密码学是信息安全的基础，公钥密码体制是设计和构建安全信息系统的重要基石，大部分现有密钥更新都是基于大整数分解和离散对数问题等传统密码体制。在1994年，shor提出了多项式时间内解决大整数分解和离散对数问题的量子算法，这使得抗量子计算攻击的密码体制研究受到了高度关注。其中，格密码是一种较为实用的后量子密码算法，格密码体制因为在效率、安全性等方面的优势，近几年受到了诸多学者的关注与研究。2008年，gentry等人提出新的密码构造算法，该构造是基于小整数解问题的原像抽样陷门单向函数,该方案提出了一种新的密码原语，称为前原像采样函数，该方案在随机预言模型中被证明是安全的，因为它的安全性可以被规约到求解(small integer solution,sis)困难问题。2010年，agrawal等人提出了一种短格基委派算法，该算法可以保持格的维度不变。
4.当前，专用量子计算机的发展非常迅速，对大整数分解、离散对数等传统数学困难问题的破解时间达到了分秒级，在未来通用量子计算机普及的量子时代，将给基于该类困难问题的经典加密算法带来了巨大的威胁。后量子密码算法在未来通用量子计算机普及的量子时代，对于分布式系统中用户信息的安全保护起着至关重要的作用。


技术实现要素：

5.有鉴于此，本发明提供一种密钥协商方法、装置及电子设备，解决网络安全性低，容易受量子计算攻击的问题。
6.第一方面，本发明实施例提供了一种密钥协商方法，包括：
7.获取通信双方用户的身份标识、主密钥和公共参数；
8.基于高斯参数、所述公共参数和所述主密钥，计算得到通信双方用户的公私秘钥对；
9.基于所述身份标识和所述公私秘钥对，对通信双方用户进行相互认证并协商对称密钥。
10.本发明提供的基于格公钥密码的密钥协商方法，利用格公钥密钥来进行用户的签名和认证，从而提高了网络安全性。该密钥协商方法过程简单，安全性高，效率好，适用于包括各种网络和区块链中使用，其具备抗量子计算，在后量子时代也能保证安全。
11.可选地，所述获取通信双方用户的主密钥，包括：
12.设置抗碰撞哈希算法：
[0013][0014]
h2:{0,1}
*
→
{v:v∈{-1,0,1}k,||v||1≤λ}
[0015]
其中，h1、h2为两个哈希函数；z为随矩阵机，v为哈希运算后的结果，λ为特定参数，q为一个素数且大于等于2，m和n为大于零的整数，n为一个安全参数，满足：m≥6nlgq；
[0016]
利用基于格的陷门生成算法trapgen(1n)生成主密钥：
[0017]
s∈λ
⊥
(a,q)
[0018]
其中，a为随机矩阵
[0019]
利用哈希算法和陷门生成算法生成主密码，不受数据类型的约束，密钥分配中心使用基于格的陷门生成算法，生成具有随机矩阵的主密钥，使主密钥的安全性更高。
[0020]
可选地，所述获取通信双方用户的公共参数包括：
[0021]
随机设置一个独立的向量作为身份标识：
[0022]
idi∈{0,1}
*
,i＝1,2,
…
,l；
[0023]
根据所述随机矩阵、两个哈希函数和身份标识，得到公共参数：
[0024]
pp＝{a,h1,h2,idi∈{0,1}*,i＝1,2,
…
,l}。
[0025]
可选地，所述基于高斯参数、所述公共参数和所述主密钥，计算得到通信双方用户的公私秘钥对的方法为：
[0026]
利用格基委派算法basisidel(a,h1(idi),s,s)，得到通信双方用户的公私秘钥对：
[0027]
(pki,ski)
[0028]
其中，ski为格λ
⊥
(ah1(idi)-1
)的一个格基，是第i个用户的私钥，pki＝ah1(idi)-1
，i＝1,2,
…
,l，是第i个用户的公钥，高斯参数为ta为格基矩阵，ω为大于零的实数，n为安全参数。
[0029]
每个用户开始都被分配有自己的身份标识和一对基于格公钥密码体制的公私密钥，利用中心公钥信息来生成用户私钥，减少了用户身份信息和用户私钥的关联性，即敌手不能从用户公钥信息中获取任何关于用户身份的信息，公私密钥对是预分配的，对用户终端性能要求更低。
[0030]
可选地，所述对通信双方用户进行相互认证包括：
[0031]
通信发起方第i用户根据第i身份标识和第i私钥，得到第i认证消息，并发送给第j用户；
[0032]
通信接收方第j用户根据所述第i身份标识、第i公钥和第i认证消息验证是否认证成功；
[0033]
若认证成功，则第j用户根据第j身份标识和第j私钥，得到第j认证消息，并发送给第i用户；
[0034]
第i用户根据所述第j身份标识、第j公钥和第j认证消息验证是否认证成功；
[0035]
若认证成功，则第i用户和第j用户相互认证成功。
[0036]
该方法中互相通信用户用于认证和签名的公钥和私钥长度更短，认证效率高。通
信之前进行相互认证，并对有效的通信密钥进行加密，保证了通信的安全性。
[0037]
可选地，所述通信双方用户协商对称密钥包括：
[0038]
第i用户和第j用户相互认证成功后，第i用户利用第j用户的公钥加密生成用于通信的第一对称密钥，发送给第j用户；
[0039]
第j用户利用所述第j私钥进行验证，若验证成功，则第i用户和第j用户协商对称密钥成功。
[0040]
互相通信的用户在通信过程中使用对称密码体制，保证网络安全的前提下，提高了通信效率。
[0041]
可选地，所述方法还包括：
[0042]
若所述对称密钥过了有效期，则重新协商新的对称密钥。
[0043]
为减少其他因素影响对称密钥安全性，本方法规定对称密钥的时效，如果超过了规定的时间周期将自动作废，进一步增强了用于通信的对称密钥的安全性。
[0044]
可选地，所述方法还包括：
[0045]
若第i用户和/或第j用户发现所述对称密钥不安全，则第i用户和/或第j用户作为发现方，另一用户作为接收方；
[0046]
发现方利用接收方的公钥和撤销对称密钥信息，得到撤销对称密钥相关信息，并将所述撤销对称密钥相关信息发送给接收方；
[0047]
接收方利用自己的私钥验证，若验证成功，则对称密钥不再使用，重新协商新的对称密钥。
[0048]
互相通信的用户自身具有监测功能，当发现与其他用户通信的对称密钥不安全时，向其他用户发送一条作废当前密钥的信息给该用户，并提示该用户此对称密钥作废，将重新协商新的用于通信的对称密钥，增强了通信的安全性。
[0049]
第二方面，本发明实施例提供了一种密钥协商装置，所述装置包括：
[0050]
获取模块，用于获取通信双方用户的身份标识、主密钥和公共参数；
[0051]
计算模块，用于基于高斯参数、所述公共参数和所述主密钥，计算得到通信双方用户的公私秘钥对；
[0052]
认证协商模块，用于基于所述身份标识和所述公私秘钥对，对通信双方用户进行相互认证并协商对称密钥。
[0053]
本发明提供的基于格公钥密码的密钥协商装置，利用格公钥密钥来进行用户的签名和认证，从而提高了网络安全性。该密钥协商方法过程简单，安全性高，效率好，适用于包括各种网络和区块链中使用，其具备抗量子计算，在后量子时代也能保证安全。
[0054]
第三方面，本发明实施例提供了一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行第一方面，或者第一方面任意一种可选实施方式中所述的方法。
附图说明
[0055]
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的
附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0056]
图1为本发明实施例提供的一种密钥协商方法的流程图；
[0057]
图2为本发明实施例提供的一种密钥协商方法的一个具体实施例的工作过程示意图；
[0058]
图3为本发明实施例提供的一种密钥协商装置的结构示意图；
[0059]
图4为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
[0060]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0061]
在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
[0062]
在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
[0063]
下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
[0064]
本发明实施例提供了一种密钥协商方法，如图1所示，具体包括如下步骤：
[0065]
步骤s1：获取通信双方用户的身份标识、主密钥和公共参数。
[0066]
具体地，在一实施例中，获取通信双方用户的主密钥，包括：
[0067]
设置抗碰撞哈希算法：
[0068][0069]
h2:{0,1}
*
→
{v:v∈{-1,0,1}k,||v||1≤λ}
[0070]
其中，h1、h2为两个哈希函数；z为随矩阵机，v为哈希运算后的结果，λ为特定参数，q为一个素数且大于等于2，m和n为大于零的整数，n为一个安全参数，满足：m≥6nlgq；
[0071]
利用基于格的陷门生成算法trapgen(1n)生成主密钥：
[0072]
s∈λ
⊥
(a,q)
[0073]
其中，a为随机矩阵
[0074]
利用哈希算法和陷门生成算法生成主密码，不受数据类型的约束，密钥分配中心使用基于格的陷门生成算法，生成具有随机矩阵的主密钥，使主密钥的安全性更高。
[0075]
具体地，在一实施例中，获取通信双方用户的公共参数包括：
[0076]
随机设置一个独立的向量作为身份标识：
[0077]
idi∈{0,1}
*
,i＝1,2,
…
,l；
[0078]
根据随机矩阵、两个哈希函数和身份标识，得到公共参数：
[0079]
pp＝{a,h1,h2,idi∈{0,1}
*
,i＝1,2,
…
,l}。
[0080]
步骤s2：基于高斯参数、公共参数和主密钥，计算得到通信双方用户的公私秘钥对。示例性地，首先给每个用户分配身份标识，第i个用户身份标识为idi，其中idi∈{0,1}
*
,i＝1,2,
…
,l。
[0081]
具体地，在一实施例中，基于高斯参数、公共参数和主密钥，计算得到通信双方用户的公私秘钥对的方法为：
[0082]
利用格基委派算法basisidel(a,h1(idi),s,s)，得到通信双方用户的公私秘钥对：
[0083]
(pki,ski)
[0084]
其中，ski为格λ
⊥
(ah1(idi)-1
)的一个格基，是第i个用户的私钥，pki＝ah1(idi)-1
，i＝1,2,
…
,l，是第i个用户的公钥，高斯参数为ta为格基矩阵，ω为大于零的实数，n为安全参数。
[0085]
每个用户开始都被分配有自己的身份标识和一对基于格公钥密码体制的公私密钥，利用中心公钥信息来生成用户私钥，减少了用户身份信息和用户私钥的关联性，即敌手不能从用户公钥信息中获取任何关于用户身份的信息，公私密钥对是预分配的，对用户终端性能要求更低。
[0086]
步骤s3：基于身份标识和公私秘钥对，对通信双方用户进行相互认证并协商对称密钥。每个用户在首次与其他用户通信时，必须先进行相互认证并协商与其通信的对称密钥，如果之前已经协商过可以直接用协商好的对称密钥进行安全通信。如图2所示，为密钥协商方法的一个具体实施例的工作过程示意图。
[0087]
具体地，对通信双方用户进行相互认证的具体步骤包括：
[0088]
步骤s31：通信发起方第i用户根据第i身份标识和第i私钥，得到第i认证消息，并发送给第j用户。其中，第i认证消息是用自己私钥ski签名过的信息。
[0089]
示例性地，输入第i用户的身份信息idi和私钥ski，随机选取e是服从高斯分布的随机高斯参数，计算：
[0090]
z＝h2(a
·
e,h1(idi))
[0091]
c＝ski·
z e
[0092]
以概率输出第i用户签名的第i认证消息(z,c)，其中，z、c为分别为第i用户签名的部分认证消息，是一种特定的表示方法，表示非常非常大的概率(非常接近1)会输出后面的数，第i用户把消息(z,c)发送给第j用户。
[0093]
步骤s32：通信接收方第j用户根据第i身份标识、第i公钥和第i认证消息验证是否
认证成功。
[0094]
示例性地，输入第i用户的身份信息idi，第i公钥pki和第i认证消息(z,c)，计算：
[0095]
pki·
h1(idi)
·
c-h1(idi)
·
z＝a
·
c-h1(idi)
·z[0096]
＝a
·
(ski·
z e)-h1(idi)
·z[0097]
＝a
·
ski·
z a
·
e-h1(idi)
·z[0098]
＝h1(idi)
·
z a
·
e-h1(idi)
·z[0099]
＝a
·e[0100]
验证：
[0101][0102][0103]
如果以上两个式子均成立，则通过验证继续下一步，否则认证终止。
[0104]
步骤s33：若认证成功，则第j用户根据第j身份标识和第j私钥，得到第j认证消息，并发送给第i用户，其中，第j认证消息是用自己的私钥skj签名过的信息。若验证失败，将丢弃第i认证信息并终止相互认证过程。
[0105]
示例性地，第i用户对第j用户的认证，输入第j用户的身份信息idj和私钥skj，随机选取e是服从高斯分布的随机高斯参数，计算：
[0106]
z＝h2(a
·
e,h1(idj))，
[0107]
c＝skjz e
[0108]
以概率输出第j用户签名的第j认证消息(z,c)，第j用户把消息(z,c)发送给第i用户。
[0109]
步骤s34：第i用户根据第j身份标识、第j公钥和第j认证消息验证是否认证成功。
[0110]
示例性地，输入第j用户的身份信息idj，公钥pkj和第j认证消息(z,c)，计算：
[0111]
pkj·
h1(idj)
·
c-h1(idj)
·
z＝a
·e[0112]
验证：
[0113][0114][0115]
如果以上两个式子均成立，则通过验证继续下一步，否则认证终止。
[0116]
步骤s35：若认证成功，则第i用户和第j用户相互认证成功。若验证失败，将丢弃第j认证信息并终止相互认证过程。
[0117]
该方法中互相通信用户用于认证和签名的公钥和私钥长度更短，认证效率高。通信之前进行相互认证，并对有效的通信密钥进行加密，保证了通信的安全性。
[0118]
具体地，在一实施例中，通信双方用户协商对称密钥的具体步骤包括：
[0119]
步骤s36：第i用户和第j用户相互认证成功后，第i用户利用第j用户的公钥加密生成用于通信的第一对称密钥，发送给第j用户.
[0120]
示例性地，第i用户随机生成一个用于通信的对称密钥，加密后发送给第j用户。输入第j用户的公钥pkj，随机生成某个对称密码体制的对称密钥计算：
[0121][0122][0123]
其中，k是运用哈希算法h1对求解的哈希值，c是用第j用户的公钥对对称密钥加密后的密文，第i个用户把消息(k,c)发送给第j用户。
[0124]
步骤s37：第j用户利用第j私钥进行验证，若验证成功，则第i用户和第j用户协商对称密钥成功。
[0125]
示例性地，输入第j用私钥skj，计算：
[0126][0127]
其中，是用第j用户的私钥对密文c解密后获得的对称密钥验证：
[0128][0129]
如果以上式子成立，则第i用户和第j用户整个认证和对称密钥协商过程结束，第i用户和第j用户拥有共同的用于通信的对称密钥。最后，第i用户和第j用户就可以用进行安全通信。
[0130]
互相通信的用户在通信过程中使用对称密码体制，保证网络安全的前提下，提高了通信效率。
[0131]
本发明提供的基于格公钥密码的密钥协商方法，利用格公钥密钥来进行用户的签名和认证，从而提高了网络安全性。该密钥协商方法过程简单，安全性高，效率好，适用于包括各种网络和区块链中使用，其具备抗量子计算，在后量子时代也能保证安全。
[0132]
具体地，在一实施例中，基于格公钥密码的密钥协商方法还包括：
[0133]
步骤s4：若对称密钥过了有效期，则重新协商新的对称密钥。
[0134]
示例性地，如果第i用户和第j用户之前已经认证协商过通信的对称密钥同时设置了该对称密钥的有效期，且对称密钥还在有效期内，就可以直接用之前协商好的对称密钥进行安全通信，否则，要重新协商新的对称密钥来进行安全通信：
[0135]
第i用户和第j用户任意一个用户随机生成一个用于通信的对称密钥，设第i用户随机生成新的对称密钥加密后发送给第j用户。输入第j用户的公钥pkj，随机生成某个对称密码体制的对称密钥计算：
[0136][0137][0138]
其中，k’为运用哈希算法h1对求解的哈希值，c’为用第j个用户的公钥pkj对密钥加密后的密文，第i用户把消息(k',c')发送给第j用户。
[0139]
输入第j个用私钥skj，计算：
[0140][0141]
验证：
[0142][0143]
如果以上式子成立，则第i个用户和第j个用户重新协商好了新的对称密钥最后，第i个用户和第j个用户就可以用重新协商后的新的对称密钥进行安全通信。
[0144]
为减少其他因素影响对称密钥安全性，本方法规定对称密钥的时效，如果超过了规定的时间周期将自动作废，进一步增强了用于通信的对称密钥的安全性。
[0145]
具体地，在一实施例中，该方法还包括：
[0146]
步骤s5：若第i用户和/或第j用户发现对称密钥不安全，则第i用户和/或第j用户作为发现方，另一用户作为接收方。
[0147]
示例性地，设第i用户发现之前的对称密钥不安全，第i用户首先要立即发送一个撤销密钥的信息发送给第j用户，并重新协商新的对称密钥。
[0148]
步骤s6：发现方利用接收方的公钥和撤销对称密钥信息，得到撤销对称密钥相关信息，并将撤销对称密钥相关信息发送给接收方。
[0149]
示例性地，输入第j用户的私钥skj和撤销对称密钥信息计算：
[0150][0151][0152]
其中，k
x
为运用哈希算法h1对求解的哈希值，c
x
为用第j个用户的公钥pkj对密钥加密后的密文，第i用户把撤销密钥相关消息(k
×
,c
×
)发送给第j用户。
[0153]
步骤s7：接收方利用自己的私钥验证，若验证成功，则对称密钥不再使用，重新协商新的对称密钥。
[0154]
示例性地，输入第j用私钥skj，计算：
[0155][0156]
验证：
[0157][0158]
如果以上式子成立，则第i用户和第j用户之前的对称密钥不再使用，需要重新协商新的对称密钥，协商过程如步骤s4中所述，最后，第i用户和第j用户就可以用重新协商后的新的对称密钥进行安全通信。
[0159]
互相通信的用户自身具有监测功能，当发现与其他用户通信的对称密钥不安全时，向其他用户发送一条作废当前密钥的信息给该用户，并提示该用户此对称密钥作废，将重新协商新的用于通信的对称密钥，增强了通信的安全性。
[0160]
第二方面，本发明实施例提供了一种密钥协商装置，如图3所示，该装置包括：
[0161]
获取模块1，用于获取通信双方用户的身份标识、主密钥和公共参数。详细内容参
见上述方法实施例中步骤s1的相关描述，在此不再赘述。
[0162]
计算模块2，用于基于高斯参数、公共参数和主密钥，计算得到通信双方用户的公私秘钥对。详细内容参见上述方法实施例中步骤s2的相关描述，在此不再赘述。
[0163]
认证协商模块3，用于基于身份标识和公私秘钥对，对通信双方用户进行相互认证并协商对称密钥。详细内容参见上述方法实施例中步骤s3的相关描述，在此不再赘述。
[0164]
本发明提供的基于格公钥密码的密钥协商装置，利用格公钥密钥来进行用户的签名和认证，从而提高了网络安全性。该密钥协商方法过程简单，安全性高，效率好，适用于包括各种网络和区块链中使用，其具备抗量子计算，在后量子时代也能保证安全。
[0165]
图4示出了本发明实施例中电子设备的结构示意图，包括：处理器901和存储器902，其中，处理器901和存储器902可以通过总线或者其他方式连接，图4中以通过总线连接为例。
[0166]
处理器901可以为中央处理器(central processing unit，cpu)。处理器901还可以为其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。
[0167]
存储器902作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如上述方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的方法。
[0168]
存储器902可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器901所创建的数据等。此外，存储器902可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器902可选包括相对于处理器901远程设置的存储器，这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0169]
一个或者多个模块存储在存储器902中，当被处理器901执行时，执行上述方法实施例中的方法。
[0170]
上述电子设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解，此处不再赘述。
[0171]
本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，实现的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)、随机存储记忆体(random access memory，ram)、快闪存储器(flash memory)、硬盘(hard disk drive，缩写：hdd)或固态硬盘(solid-state drive，ssd)等；存储介质还可以包括上述种类的存储器的组合。
[0172]
虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。