[发明专利]一种基于格的身份基认证密钥协商方法

说明书

本发明提出了一种基于格的身份基认证密钥协商方法，步骤为：客户端和服务器端的通信实体的注册及信息初始化，实现客户端与服务端地稳定连接；TLS协议握手的协议发起者生成临时公私钥对，并根据消息生成密文，使用Client Hello把密文和临时公钥发送至协议响应者；协议响应者接收到消息后进行身份认证并生成密文，通过Server Hello发送给协议发起者；协议发起者收到消息后对密文进行解密和身份验证，如果身份验证通过，协议发起者计算出会话密钥并与协议响应者进行密钥导出；否则，协议发起者拒绝消息并直接终止密钥协商。本发明的安全性基于格上困难问题，能够抵抗量子计算攻击，在安全性和执行效率上具有更多优势。

技术领域

本发明涉及通信安全的技术领域，尤其涉及一种基于格的身份基认证密钥协商方法。

背景技术

当前，网络信息系统(如因特网等公共网络基础设施)中广泛部署的绝大多数安全协议是利用Diffie-Hellman、RSA、ECC等传统公钥密码体制来实现的，这些传统公钥密码体制的安全性往往建立在大整数分解问题、离散对数问题等经典数论难题基础之上。近年来量子计算技术的飞速发展及其在解决大规模计算难题方面的巨大潜能，已经对上述传统公钥密码体制的安全性带来了前所未有的冲击，由此设计和部署可抗量子计算攻击的后量子安全协议方案势在必行。传输层安全(Transport Layer Security，TLS)协议是因特网上一个非常重要的基础性安全协议，其应用非常广泛，包括Web浏览、FTP文件下载、SMTP协议的电子邮件等，其握手子协议主要是一个认证密钥协商协议，用于实现服务器和客户端的相互认证，并生成两端间的共享密钥，该共享密钥后续会用于应用数据的加密与认证，为互联网通信提供端到端的安全服务。

TLS协议因为其应用的广泛性，一直受到相关业界和学术界的关注，对于此类实用性网络安全协议，不仅要考虑其安全性，而且还要考虑其执行效率及其在实践中是否易于部署。近些年，已有很多关于TLS协议的研究。尤其，作为其重要组成部分的握手子协议，由于承担了客户端和服务器端之间的认证密钥建立这一极其重要的任务，更是受到了重点关注，其相关一些典型研究举例如下。Bentahar等提出了可适用于TLS握手过程的基于椭圆曲线配对的密钥封装机制(Key Encapsulation Mechanism，KEM)，该方案的计算效率较高，易于实施；Banerjee等给出了基于传统椭圆曲线公钥密码方案且依赖于公钥证书系统的TLS具体握手过程，通过重构密码加速器和硬件执行等方式节约了握手成本。尽管上述Bentahar等的方案和Banerjee等的方案执行较为高效，但都是基于传统的经典椭圆曲线密码体制构造而成，因而不能抗量子攻击。Bos等提出了适用于TLS握手、安全性基于环上带误差的学习问题的格上密钥协商协议，为了实现认证，该方案将格上密钥协商协议与使用RSA或椭圆曲线数字签名的传统身份验证方式结合在了一起，但这种混合形式的方案并非是完全的量子安全方案。最近，Banerjee等研究了使用格上基于身份的认证密钥协商协议来构造后量子TLS握手方案的方法，并将其应用于TLS最新的协议版本---TLS 1.3，以减少通信开销，但其实际所使用的格上认证密钥协商协议实例却是由一个格上基于身份的KEM/加密方案和一个NewHope KEM构建的；最近，Schwabe等也提出了无签名的后量子TLS 1.3握手方案，通过采用KEM而不是调用公钥签名算法来进行服务器身份验证，相对于使用公钥签名机制的显式认证方案，该隐式认证的方案不需要会话密钥的确认，减少了通信规模，缩短了通信时间。

Diffie-Hellman、RSA、ECC等经典公钥密码在当前网络安全体系中仍然占据主导地位，因而在实践中仍然缺乏完善的后量子公钥基础设施(Public Key Infrastructure，PKI)支持。尽管目前也有一些通用基础性后量子认证密钥协商协议提出且原则上可将其应用于TLS等实用性网络安全协议方案，但这些基础性协议在实践中的部署大都必须要依赖PKI，所以在当下还不能作为后量子密钥协商的完整解决方案。

近年来量子计算技术的飞速发展已对当前安全性高度依赖Diffie-Hellman、RSA、ECC等经典公钥密码体系的公共网络基础设施带来前所未有的挑战，实践量子安全保障已具现实意义。