[发明专利]高效、不可锻造、不需数字签名的SSH运输层认证协议

摘要

本发明属于密码协议技术领域，具体为一种高效、不可锻造、不需数字签名的SSH运输层认证协议。本发明协议基于服务器具有适于数字签名标准的离散对数公钥B＝g^b。会话密钥由X^db+ey＝B^dxY^ex导出，其中e承诺绑定与协议运行相关的公开信息，d为1或其输入不包含Y；或者，会话密钥由(g^xy，g^xb)导出。本发明协议提供比目前SSH运输层认证协议工业标准更优的(在线)计算复杂性和通讯复杂性。

主权项

1.一种高效、不可锻造、不需数字签名的SSH运输层认证协议，其特征在于：系统工作环境为：(1).系统参数：(p，q，g，H，HK，MAC)，其中p和q为大素数，并且q能整除p-1，g是一个Z* p中阶为q的元素，使得在Z* p中由g定义的子群上离散对数DL及计算Diffie-Hellman CDH问题是难的；MAC是一个消息认证码算法；所有的指数运算及不在指数上的乘法运算是mod p运算，加法及指数上的乘法为mod q运算；这里，Z* p＝{1，2，…，p-1}；H是{0，1}*→{0，1，2，…，(q-1)/2}的哈西函数，HK是{0，1}*→{0，1}k的哈西函数，k是会话密钥的长度；对于字符串s1，…，sm，m＞1，H(s1，s2，…，sm)表示的是：将s1，…，sm用二进制0-1串来表示，然后将所有的0-1串顺序连接串联起来，最后将串联后得到的0-1串作为H的输入；(2).系统运行在分布式的客户-服务器网络中；除非有特别说明，具有身份ID IA的用户“A”代表一个客户，客户不一定有公钥；具有ID IB的用户“B”代表服务器，服务器“B”有一个基于离散对数的公钥记为B＝gb modp，其中私钥b由服务器“B”从Zq＝{0，1，…，q-1}中随机选取；假设客户“A”已经通过某种方式获取了服务器“B”的公钥；(3).协议基于Diffie-Hellman密钥交换协议；记X＝gxmod p为客户“A”的DH密钥成分，x为DH密钥成分X的离散对数，x由客户“A”从Zq＝{0，1，…，q-1}中随机选取；记Y＝gy mod p为服务器“B”的DH密钥成分，y为DH密钥成分Y的离散对数，y由服务器“B”从Zq＝{0，1，…，q-1}中随机选取；假设客户“A”为协议的发起者，服务器“B”为协议的响应者；即：客户“A”在第一轮发送X；在收到X后服务器“B”检查X为Z* p中的非1元素并在第二轮发送Y；收到Y后，客户“A”检查Y为Z* p中的非1元素；(4).假定协议的每一次执行有一个标示号：sid；sid是一个字符串，用于标记并发运行的协议执行；sid的制定和协商可随协议的运行环境不同而有所变化；sid包含在协议运行之前用户交换的信息或交换信息的哈西值；(5).与协议执行相关的其它信息pub：pub是一个字符串，是协议版本、协议执行之前用户所交换信息或交换信息的哈西值、用户的IP地址、时间戳的串联；协议实现方法为：根据会话密钥的不同计算方式，有两种协议实现方法：(1).协议实现方法-1：客户“A”在第一轮发送X＝gx mod p；在收到X后，服务器“B”检查X为Z* p中的阶为q的非1元素；检查成功，服务器“B”在第二轮发送B、Y＝gymodp、计算KB＝Xdb+ey和Km＝HK(e，KB)，并通过发送MACKm(0)来向客户“A”证明其知道b及y；其中，d＝H(sid，IA，IB，B，X，pub)或1，e＝H(sid，IA，IB，B，X，Y，pub)；服务器“B”计算会话密钥K＝HK(KB，e)；收到服务器“B”发送的第二轮信息后，客户“A”计算KA＝BdxYex及Km＝HK(e，KA)，并验证第二轮信息的有效性；客户“A”计算会话密钥K＝HK(KA，e)；为了进一步确认客户“A”知道会话密钥，客户“A”在第三轮发送MACKm(1)或EK(w)，其中E为一个私钥加密算法，w为客户与服务器事先建立的秘密口令；(2).协议实现方法-2：客户“A”在第一轮发送X＝gx mod p及HK(sid，IA，IB，B，X，Bx)；客户“A”事先计算X及Bx；服务器“B”检查X为Z* p中的非1元素并利用Xb检查是否HK(sid，IA，IB，B，X，Bx，pub)＝HK(sid，IA，IB，B，X，Xb，pub)；验证不成功，服务器“B”中止协议运行或返回一个随机数；验证成功，服务器“B”在第二轮发送HK(sid，IB，B，IA，Y，X，Xy，Xb)；会话密钥K由HK(gxy)或HK(gxy，gxb)导出；为了进一步确认客户“A”知道会话密钥，客户“A”可在第三轮发送HK(sid，IA，IB，B，X，Y，Yx)或EK(w)，其中E为一个私钥加密算法，w为客户与服务器事先建立的秘密口令。