(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210455320.0 (22)申请日 2022.04.24 (71)申请人 中国民用航空总局第二研究所 地址 610041 四川省成 都市二环路南 二段 17号 (72)发明人 金禹樵　潘相宇　苏卓琳　 (74)专利代理 机构 四川力久律师事务所 512 21 专利代理师 任晓扬 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种异构认证密钥协商方法和系统 (57)摘要 本发明属于信息安全技术领域， 特别涉及一 种异构认 证密钥协商方法， 包括以下步骤： S1、 用 户A将自己的身份信息IDA、 秘密值R1和签名V1发 送给用户B； S2、 用户B利用自己的私钥y恢复出用 户A选择的部分秘密值R1'， 并验证部分秘密值 R1'是否为用户A的选择， 若是， 则用户B将其秘密 值R2和hash值h2发送给用户A； S3、 用户A使用R2 计算第二会话密钥K'， 并通过h2验证对方是否为 用户B， 若是， 用户A和用户B分别获取了本次密钥 协商后确定的密钥K， 本发明的方案将身份认证 和密钥交换结合到了一步， 协议发起方只需要进 行2次标量乘和1次模指数运算就完成了密钥协 商， 降低了 计算成本， 提高了效率。 权利要求书3页 说明书6页 附图3页 CN 114785508 A 2022.07.22 CN 114785508 A 1.一种异构认证密钥协商方法， 其特征在于， 用户A属于基于身份的密码系统， 是认证 密钥协商协 议的发起者， 用户B属于基于公钥基础设施的密码系统， 是认证密钥协商协 议的 另一个参与者， 用户A和用户B之间的密钥协商具体包括以下步骤： S1、 用户A从 中随机选择r1并结合用户B的公钥pkB计算其秘密值R1， 然后用自己的私 钥计算出用户A的签名V1， 并将自己的身份信息IDA、 秘密值R1和签名V1 发送给用户B； S2、 用户B利用自己的私钥 y恢复出用户A选择 的部分秘密值R1'， 并验证部分秘密值R1' 是否为用户A的选择， 若是， 则用户B再从 中随机选择r2并基于r2计算用户B的秘密值R2、 用户B的hash值h2以及第一会话密钥K； 并将用户B的秘密值R2和用户B的hash值h2发送给用 户A； S3、 用户A使用用户B的秘密值R2计算第二会话密钥K'， 并通过用户B的hash值h2验证对 方是否为用户B， 若通过用户B的hash值h2验证对 方是为用户B， 则第二会话密钥K'等于第一 会话密钥K， 用户A和用户B分别获取了 本次密钥协商后确定的密钥K； 表示除去零元 素所得到的q阶整数域， q为大 素数。 2.如权利要求1所述的一种异构认证密钥协商方法， 其特征在于， 在步骤S1之前， 还包 括系统参数设置的步骤： 选择一个大素数q， 一个q阶加法循环群G1， q阶乘法循环群G2， 并选择G1的生成元P， G2的 生成元g， 基于G1和G2设置一个双线性映射 其中 选择三个抗碰 撞的散列函数H0， H1和H2， 其中H0从{0,1}*映射到 H1从{0， 1}*×G1×G1映射到 H2从{0， 1}*×G1×G2×G2映射到 其中{0,1}*表示任意比特长的二进制序列， 表示除去零元素 所得到的q阶整数域； 公开系统参数 3.如权利要 求1所述的一种异构认 证密钥协商方法， 其特征在于， 步骤S1中， 秘密值R1计 算公式为： R1＝r1pkB 其中， r1是用户A从 中随机选择的数， pkB是用户B得到证书后公开的公钥。 4.如权利要求1所述的一种异构认证密钥协商方法， 其特征在于， 步骤S1中， 用户A的签 名V1的计算公式为： 其中， r1是用户A从 中随机选择 的数， h1是用户A计算的hash值， H0是从{0,1}*映射到 的散列函数， IDA是用户A的身份信息， s是身份 的密码系统中的私钥生成中心从 中随 机选择的主密钥， P是G1的生成元， G1是一个q阶加法循环群。 5.如权利要求1所述的一种异构认证密钥协商方法， 其特征在于， 步骤S2中， 部分秘密 值R1'的计算公式为： 权　利　要　求　书 1/3 页 2 CN 114785508 A 2其中， 是基于G1和G2设置一个双线性映射， G1是一个q阶加法循环群， G2是一个q阶乘法循环群， R1是用户A的秘密值， y是用户B  从 中随机选择的私钥， P是G1的 生成元， G1是一个q阶加法循环群。 6.如权利要求1所述的一种异构认证密钥协商方法， 其特征在于， 步骤S2中， 验证部分 秘密值R1'是否为用户A的选择采用验证等式 是否成立 来实现， 其中， 是基于G1和G2设置一个双线性映射， Vi是用户A的签名， H0是从 {0,1}*映射到 的散列函数， IDA是用户A的身份信息， P是G1的生成元， G1是一个q阶加法循 环群， G2是一个q阶乘法循环群， Ppub＝sP， s是身份的密码系统中的私钥生成中心从 中随 机选择的主密钥， P是G 1的生成元， G1是一个q阶加法循环群， R1'是用户A选择的部分秘密值， h1'是用户B计算得到的hash值， h1'＝H1(IDA,R1,pkB)， H1是从{0， 1}*×G1×G1映 射到 pkB是用户B得到证书后公开的公钥， R1是用户A的秘密值。 7.如权利要求1所述的一种异构认证密钥协商方法， 其特征在于， 步骤S2中， 用户B的秘 密值R2计算公式为 用户B的hash值h2计算公式为h2＝H2(IDA,R1,R2,K)以及第一会话 密钥K计算公式为 其中， 是基于G1和G2设置一个双线性映射， G1是一个q阶 加法循环群， G2是一个q阶乘法循环群， P是G1的生成元， r2是用户B从 中随机选择的数， H2 是从{0， 1}*×G1×G2×G2映射到 的散列函数， IDA是用户A的身份信息， R1是用户A的秘密 值， R2是用户B的秘密值， K 是第一会话密钥， R1'是用户A选择的部分秘密值。 8.如权利要求1所述的一种异构认证密钥协商方法， 其特征在于， 步骤S3  中， 第二会话 密钥K'计算公式为： 其中， R2是用户B的秘密值， r1是用户A从 中随机选择的数。 9.如权利要求1所述的一种异构认证密钥协商方法， 其特征在于， 步骤S3 中， 通过用户B 的hash值h2验证对方 是否为用户B采用验证等式 h2＝H2(IDA,R1,R2,K') 是否成立 来实现， 其中， h2是用户B的hash值， H2是从{0， 1}*×G1×G2×G2映射到 的散列函 数， IDA是用户A 的身份信息， R1是用户A的秘密值， R2是用户B的秘密值， K'是第二会话密钥。 10.一种异构认证密钥协商系统， 包括基于身份的密码系统和基于公钥基础设施的密 码系统， 所述身份的密码系统包括私钥生成 中心和用户A， 所述基于公钥基础设施的密码系 统包括证书颁发机构和用户B， 所述私钥生成中心用于根据用户A的身份信息IDA和主密钥s 计算用户A的私钥； 所述证书颁发机构根据用户B的请求， 给用户B颁 发证书， 其特征在于， 用 户A是认证密钥协商协 议的发起者， 用户B是认证密钥协商协 议的另一个参与者， 用户A和用 户B通过如权利要求1 ‑9任一所述的一种异构认证密钥协商方法获取密钥协商后确定的密权　利　要　求　书 2/3 页 3 CN 114785508 A 3