(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110351272A(43)申请公布日2019.10.18(21)申请号201910623906.1(22)申请日2019.07.11(71)申请人北京电子科技学院地址100070北京市丰台区富丰路7号(72)发明人杨亚涛黄洁润赵阳韩新光王安琦(51)Int.Cl.H04L29/06(2006.01)H04L9/32(2006.01)H04L9/30(2006.01)H04L9/08(2006.01)权利要求书2页说明书3页附图1页(54)发明名称一种通用的抗量子双向认证密钥协商方法（LAKA）(57)摘要LAKA(Lattice-BasedAuthenticationKeyAgreement)方案实际上是基于格理论的抗量子攻击密钥协商方法，经过2轮交互来进行双向认证与密钥协商，同时可以实现用户的身份隐私保护。本发明公开了一种通用的抗量子双向认证密钥协商方法(LAKA)，描述了通信双方经过2轮交互进行双方身份认证后进行密钥协商的新模式，该模式的第一轮采用加解密模块、签名验签进行身份认证，第二轮采用哈希运算进行认证；引入了掩盖因子对传输信息进行保护。本方案与已有方案相比，计算开销和通信开销较低，抗攻击能力和安全性明显增强。CN110351272ACN110351272A权利要求书1/2页1.一种通用的抗量子双向认证密钥协商方法(LAKA)，其特征在于，描述了一种通用的抗量子攻击的基于格的2轮身份认证密钥协商算法的方法与系统，该模式依据设计原理对传统的密钥协商算法进行了一定的改进。通信双方Alice和Bob分别生成公私钥对(pk，sk)，并对身份ID进行隐藏。初始计算后进行2轮的身份认证来确保方案的安全性，只需经过2轮数据交互就能进行最后的密钥协商，该方案能够抵抗量子攻击，具有很高的效率与安全性。2.根据权利要求1所述的2轮身份认证密钥协商算法新模式，其特征在于，在2轮身份认证之前对通信双方的身份IDA和IDB进行哈希运算，得到身份隐藏值MA和MB，即MA＝H(IDA)，MB＝H(IDB)，其中，H()可以是摘要长度为256比特的任意哈希函数，身份隐藏值MA和MB长度均为256比特，对通信双方的身份进行了隐私保护。3.根据权利要求1所述的2轮身份认证密钥协商算法新模式，其特征在于，在第1轮身份认证过程之前，Alice生成了认证标识VerA，即其中，pkB是Bob的公钥。Alice对自己的身份隐藏值MA及密码系统的部分参数进行哈希运算，再用Alice的私钥对该哈希值、Alice的身份隐藏值及其他参数进行签名，然后用Bob的公钥对签名进行加密，即得到Alice的认证标识VerA。之后进入第1轮身份认证，Alice将认证标识VerA发送给Bob。4.根据权利要求1所述的2轮身份认证密钥协商算法新模式，其特征在于，在第1轮身份认证过程中，Bob验证Alice的身份，其中：(1)Bob收到VerA后，先用自身私钥skB对Alice的认证标识VerA进行解密，得到Alice的签名，即SIG←VA(VerA)；(2)用Alice的公钥进行验签。验签成功，则Bob成功认证Alice的身份，然后进行接下来的认证与密钥协商；否则，认证失败，停止密钥协商算法。5.根据权利要求1所述的2轮身份认证密钥协商算法新模式，其特征在于，在第2轮身份认证过程之前，Bob对自身的身份隐藏值MB及其他必要信息进行哈希运算生成了认证标识VerB，即VerB←H(MB...)，之后进入第2轮身份认证，Bob将自身的认证标识VerB及一些其他密文信息发送给Alice。6.根据权利要求1所述的2轮身份认证密钥协商算法新模式，其特征在于，在第2轮认证过程中，Alice验证Bob的身份，其中：(1)Alice对Bob的身份隐藏值MB及其他信息进行哈希运算，即HA←H(MB...)，得到Alice端的哈希值HA；2CN110351272A权利要求书2/2页(2)Alice将运算得到的哈希值HA与Bob发来的认证标识VerB进行比对。若一致，则Alice成功验证Bob的身份；否则，认证失败，停止密钥协商算法。7.根据权利要求1所述的2轮身份认证密钥协商算法新模式，其特征在于，在Alice与Bob双方进行密钥协商过程中，他们分别得到密钥k和k′。通过对Alice和Bob的身份隐藏值MA/MB和密钥k/k′进行哈希运算，Alice和Bob分别得到会话密钥ss和ss′，即ss←H(MA，MB...)ss′←H(MA，MB...)8.根据权利要求5所述的第2轮身份认证过程，其特征在于，Bob向Alice发送的信息除Bob的认证标识VerB以外，还有身份隐藏标记M及其他加密信息。其中，身份隐藏标记M是引入的一个掩盖因