一种基于标识密码系统的前向端到端安全即时通信方法

一种基于标识密码系统的前向端到端安全即时通信方法
【专利摘要】本发明公开了一种基于标识密码系统的前向端到端安全即时通信方法，涉及安全即时通信领域。该方法具体包括以下步骤：步骤1)注册部分，PKG生成系统参数，为本域内的每台主机生成并分发对应私钥；步骤2)建立会话通道，由通信的任意一方发送第一个消息，发起加密通道的建立；另一方回复消息后，完成认证过程，并完成临时密钥和会话密钥的初始化；步骤3)双方正式通信。通信过程中，会话密钥按照本协议所阐述的策略更新临时密钥和会话密钥。基于标识的密码系统，使用双线性对、ECDH和H2相结合的方式进行密钥协商，在最初的两个即使消息中，完成通信双方身份认证的同时，建立加密通道，不需额外的通信进行密钥协商。
【专利说明】
一种基于标识密码系统的前向端到端安全即时通信方法
技术领域
[0001] 本发明涉及即时通信领域，尤其涉及一种基于标识密码系统的前向端到端安全即 时通?目方法。
【背景技术】
[0002] 移动即时通信技术及其用途的飞速发展。自智能手机发明以来，移动即时通信迅 速发展，已成为最不可或缺的通信工具。其不但使用频率高，且被开发出各种用途，成功用 于各种不同领域。
[0003] 各种企业的员工、政府公务员以及其他各种组织团队都越来越倾向于通过移动ΙΜ (Instant Message)交流、办公及商务。其使用方便和不受时间地形限制的特性，极大地方 便了员工之间的沟通，帮助企业提高效率;其速度快、通信代价小的特点，则在商务活动中， 帮助用户快速响应，减少时间成本，这对于变化莫测的市场是不可缺少的。
[0004] 正是由于即时通信的作用越来越大，用途越来越广，其安全性、认证性需求也越来 越强。各种隐私机密资料，在IM网络中传递，一旦泄露，对于个人和企业，都是难以承受的损 失。商务型需求则要求交流双方身份的真实;而由于即时通信的特点，更要求身份认证应不 局限于会话开始，而必须贯穿整个对话过程的每条消息。
[0005] 为解决以上问题，许多即时通信软件加入加密功能，如QQ、Skype和微信等，在传统 頂系统基础上，加入客户端到服务器的加密通道。但这仍存在如下3个问题：1.消息的独立 认证问题，身份的真实性由服务器保证，用户不能独立验证消息的发送方身份;2.端端安全 通信问题，消息经服务器中时转重新加密，因此内容不对服务提供商保密，即不是端端安 全。3.前向安全通信问题，QQ和Skype的会话密钥是永久性密钥，一旦泄露，将危及所有通信 内容，即缺少前向安全。
[0006] 针对以上问题，本发明提出一种基于标识密码系统的前向端到端安全的即时通信 协议。主要涉及到的技术原理有：
[0007] 〇ECDH 算法：
[0008] 假设a，b是随机数，P是一椭圆曲线生成元，ECDH(a，bP)=ECDH(b，aP)。
[0009] ?双线性映射性质：
[001 0]设q是一大素数，G^q阶加法群，G2是q阶乘法群，映射e : Gi X G"G2为双线性映射， 则对任意 0，1?已61，&，13￡2，有6(&0々1〇 = 6(0，1?严。
[0011] ?密钥生成函数KDF及其链式认证：
[0012] 密钥生成函数(KDF，key derivation function)，可从上一个密钥推导出下一密 钥:k' zKDFsG^h，...）。假设，h为使用某种认证方式证过的临时密钥，1?为新随机产生的 临时密钥，使用KDF产生新的临时密钥k ' = KDF2(h，k2)，可认为k '也已经被认证，且具有随 机性 在不知1?的情况下，不能计算得到k'。

【发明内容】

[0013] 为了克服现有技术存在的技术缺陷，本发明提出了一种基于标识密码系统的前向 端到端安全即时通信方法，其基于标识密码系统，利用双线性对完成身份自认证的密钥协 商，达到端端安全;使用E⑶Η算法和KDF函数的链式认证特性，达到一次一密安全，并保证每 条信息的认证性，以及前向安全性。
[0014] 本发明的具体技术方案如下：
[0015] -种基于标识密码系统的前向端到端安全即时通信方法，该方法具体包括以下步 骤：
[0016] 步骤1)注册部分，PKG生成系统参数，为本域内的每台主机生成并分发对应私钥；
[0017] 步骤2)建立会话通道，由通信的任意一方发送第一个消息，发起加密通道的建立； 另一方回复消息后，完成认证过程，并完成临时密钥和会话密钥的初始化；
[0018] 步骤3)双方正式通信。通信过程中，更新临时密钥和会话密钥。
[0019] 作为本发明的优选技术方案，所述步骤1)注册部分，还包括:PKG进行初始化，选择 某条特定的椭圆曲线，并由其上的点构成q阶加法循环群Gi，其中q为一大素数，生成元为Ρ。 随机选择代 <，作为PKG的主密钥，计算Ppub = sP。再根据群&选择双线性映射e，使得e: & X G!-G2。最后选择相关哈希函数出：{0，1 G!，H2:G2 XG! XG2- {0，1 }n。完成初始化后，公布 系统的公共参数列表〈GiGhPJp-He〉；
[0020] 其中H2是结合双线性映射和E⑶Η算法的密钥协商算法，有如下性质:H2(e(S B，Xo)， yoXo，e(QA，yoPpub))=H2(e(Hi(B)，x〇Ppub)，xoYo，e(SA，Y()));用户A计算主公钥Qa=Hi(A)，发送 并请求注册，得到私钥Sa=sQ A;用户A计算主公钥QbiHKB)，发送并请求注册，得到私钥SB = sQb〇
[0021] 作为本发明的优选技术方案，所述步骤2)建立会话通道，还包括：当通信双方均注 册成功后，任意一方可发送第一个消息，开始建立会话通道;设A是通信发起方，B是通信接 收方；
[0022] 2.1)A计算共享秘密secretieUAjKB))，计算主齿轮密钥和副齿轮密钥(kmaster， kpinion) =KDFl(Secret，1);计算加密密钥和认证密钥(kEnc，kMAC) =KDF2(kpini〇n)，使用 kMAci十 算认证码，kEn。加密消息；生成临时密钥对(X〇，XQ);序列号index记录当前副齿轮所用齿数， 初始化为〇;发送密文、临时公钥X〇和index;
[0023] 2.2)B接收到消息后，利用双线性对可以计算一个与A相同的共享秘密:Secret = e (HKAKSb)，然后利用与步骤2.1)中A-样的公式，计算主、副齿轮密钥，加密密钥，认证密 钥，并用加密密钥解密消息，认证密钥验证消息；
[0024] 2.3)B生成临时密钥对(Yo，yo)，使用以下公式
[0025] 86(^的=出（6%，乂()）， 7(^()，6他，7疋_))计算新共享秘密，使用1(0?1、新共享秘密 secret和之前的主齿轮密钥kmaster可以计算新的主、副齿轮密钥：
[0026] (kmaster，kpinion) =KDFl ( secret，kmaster)，使用KDF2计算新的加密密钥，认证密钥：
[0027] (kEnck·) =KDF2( kpinion )，用kMAc计算认证码，kEnc加密消息；初始化序列号index 为0;发送密文、临时公钥Υο和index;
[0028] 2.4)A接收到回复的消息后，使用以下公式
[0029] secret = H2(e(Hi(B)，x〇Ppub)，x〇Y()，e(SA，Y()))计算和B-致的共享秘密，接着计算 和B-致的主、副齿轮密钥，加密密钥，认证密钥，使用加密密钥、认证密钥解读并验证消息； 至此，加密通道建立完成。
[0030] 作为本发明的优选技术方案，所述步骤3)双方正式通信，包括有两种通信方式，追 加消息和恢复消息;具体内容如下：
[0031] 3.1)追加消息
[0032] 当一方发送消息后，在没有收到回信前，再次追加消息，此时保持主齿轮不变，利 用KDF3和副齿轮密钥计算新副齿轮密钥:1^加。 11 = 1^3(1^1^);接着，使用新副齿轮密钥生 成加密密钥和认证密钥对消息进行认证加密;接收方收到消息时，用消息中的临时公钥和 本地存储的使用过的临时公钥比较，可判断出接收到的是追加消息，同样对副齿轮密钥更 新，计算新的加密密钥和认证密钥，并解读验证消息；
[0033]每发送一个追加消息，序列号index加 1;接收方通过index来判断是否有遗漏的消 息:若消息是超前的消息，即本地存储的index=i，而接收到的消息包中的index>i + l，连 续使用KDF3更新副齿轮密钥，直到本地index与接收的index相等为止，用最后计算出的副 齿轮密钥计算加密、认证密钥，对消息解读、验证；中间产生的副齿轮密钥，将在计算出对应 的加密、认证密钥后删除，仅保存中间产生的加密密钥和认证密钥，以供遗漏的消息到达时 进行解读、验证。
[0034] 3.2)回复消息
[0035] 当一方收到消息，需要回复消息时，将使用新的主齿轮密钥。假设B为回复消息的 发出者，发送回复消息步骤如下：
[0036]生成新的临时密钥对(Yj，yj)其中，j = j+Ι，使用ECDH计算新的共享秘密:secret = ECDH(yj，Xi)，接着使用新的共享秘密和旧的主齿轮密钥，更新主、副齿轮密钥：（kmaster， kpinion) =KDFi( secret，kmaster);使用新的副齿轮密钥生成新的加密、认证密钥：（kEnc；，kMAC) =KDF2 (kpinicin)，并认证、加密消息；由于启用新的副齿轮，将序列号index重置为0;
[0037] 接收方接收到消息，接收到的消息中含有的临时密钥是不同于之前使用的，即消 息时回复消息;使用新的临时密钥计算共享秘密:Secret = ECDH(Yj，Xi)，然后同样地生成新 的主、副齿轮密钥：（kmaster，kpini〇 n) =KDFl(Secret，kmaster)，生成家密钥、认证密钥：（kEnc, kMAc) =KDF2(kPini〇n);之后，可解读验证消息。
[0038] 与现有技术相比，本发明的有益效果在于：
[0039] -）、除第一个消息外的所有消息达到完全的端到端安全；
[0040] 二）、基于标识的密码系统，使用双线性对、ECDH和H2相结合的方式进行密钥协商， 在最初的两个即使消息中，完成通信双方身份认证的同时，建立加密通道，不需额外的通信 进行密钥协商；
[0041 ] 三）、使用KDF函数，使用上一次密钥对当次密钥进行链式认证，加速认证过程； [0042]四）、加密通道建立后，在追加消息和回复消息时，利用E⑶Η和KDF函数更新相关密 钥，做到一次一密安全；
[0043] 五）、使用过的主、副齿轮密钥不保留，实现完全的前向安全。
【附图说明】
[0044] 图1是本发明总框图；
[0045] 图2是本发明协议中注册阶段流程图；
[0046] 图3是本发明协议中建立会话通道流程图；
[0047] 图4是本发明协议中追加消息流程图；
[0048] 图5是本发明协议中回复消息流程图。
【具体实施方式】
[0049] 下面结合附图具体描述前向端到端安全即时通信方法。
[0050] 本发明的目的在于提出一种基于标识密码系统的前向端到端安全即时通信方法， 保证即时通信的可信性和机密性。
[0051] 以下将结合同域内一个用户Alice(以下简称为用户A)向用户Bob(以下简称为用 户B)发送数据报文的具体实施例对本发明进行说明；本实施例中，由域内一个可信的自信 任机构(Self-Trust Authority，STA)来完成密钥分发的任务。
[0052]本发明的前向端到端安全即时通信方法具体包括以下步骤：
[0053] 步骤1)注册部分，由STA为全局选定一条特定的椭圆曲线，例如选定椭圆曲线为： y2 = x3-3x，选定的椭圆曲线在有限域上的点构成了 q(q为一大素数)阶群Gi，其中P为该群的 生成元。再根据群Gi利用椭圆曲线上的wei 1对或者Tate对，构造双线性映射e，使得e: Gi X Gi -G2。由STA选择随机s e 乍为主密钥，其他机构无法获知;计算Ppub = sp，STA公布系统公 共参数列表：<Gi，G2，P，PPub，Hi ,?，e>。
[0054] 其中H2是结合双线性映射和ECDH算法的密钥协商算法，有性质如下：；H2(e(SB， Xo)，yoXo, e(QA，yoPpub)) = H2(e(Hi(B)，x〇Ppub)，xoYo，e(SA，Yo)) 〇
[0055] 网络内的主机启动后，由STA根据每个用户的身份信息采用基于椭圆曲线的映射 规则生成对应私钥S，具体实现方法为:将身份信息采用基于椭圆曲线的映射规则映射为椭 圆曲线上的一点Q;将STA自己的主密钥s与映射点Q相乘的结果sQ作为对应的私钥S。将用户 身份信息以字符串的形式直接映射为椭圆曲线上点的实现方法即为STA公共参数列表中的 Hi，其中H 1: {OJP-Gu
[0056] 本实施例中，作为源主机的用户Alice启动后，PKG计算QazHKA)，计算其私钥SA= sQa;作为目的主机的用户Bob启动后，PKG计算QbzHKB)，计算其私钥为Sb = sQb。
[0057] 在其他实施例中，更为具体的私钥生成方法还可采用例如申请号为 CN201310300284.1发明中公开的方法。
[0058] 步骤2)建立会话通道，当通信双方均注册成功后，任意一方可发送第一个消息，开 始建立会话通道;源主机A1 ice向目的主机Bob主动发起会话，即A1 i ce为通信发起方，Bob为 通信接收方。
[0059] 2.1)Alice计算共享秘密secretieUAjKB))，计算主齿轮密钥和副齿轮密钥 (kmaster，kPini〇n) =KDFi(secret，1);计算加密密钥和认证密钥（kEm；，k·) =KDF2(kPini〇n)，对 消息_进行认证加密:= ("V ;初始化副齿轮序列号index为0;生 成随机数xo作为临时私钥，计算临时公钥Xq = xqP。将(c〇、index、X〇)封装并发送给Bob。
[0000] 2.2)13〇13收到消息（(3()、;[11(161、乂()），使用双线性对计算一个与41;^6相同的共享秘 密：secret = e(Hi(A)，Sb)，计算主齿轮密钥和副齿轮密钥(kmaster，kPini0n) = KDFi(secret， 1 );计算加密密钥和认证密钥（kEn。，kMAC) = KDF2 ( kPini。" );使对消息进行解密 = 并验证消息摘要。如果验证不成功，则丢包;反之，认为 对Alice认证成功；
[0061 ] 2.3)Bob生成随机数yo作为临时私钥，计算临时公钥YQ = yoP。计算新的共享秘密 秘密secret和之前的主齿轮密钥kmaster可以计算新的主、副齿轮密钥：（k master , kpinion)= KDFi(secret，kmaster)，使用KDF2计算新的加密密钥，认证密钥：（kEnC，kMAc)=KDF2(k Pini。!!）。加 密认证消息m= ((A ):> ;初始化副齿轮序列号index为0。将（C1、 index、Yo)发送给 Alice;
[0062] 2·4)Alice收到消息（Cl、index、Yo)，计算和Bob-致的新共享秘密：
[0063] secret = H2(e(SB，Xo)，y〇X()，e(QA，y()Ppub));使用KDFi、新共享秘密secret和之前的 主齿轮密钥k master可以计算和B-致的新的主、副齿轮密钥：
[0064] (kmaster，kpinion) =KDFl ( secret，kmaster )，使用KDF2计算新的加密密钥，认证密钥：
[0065] (kEnc，k·) =KDF2(kpinion);解密消息：("?丨，M4C):(m丨)）=D?Vi/> (c山 摘要，成功则认为Bob身份认证成功。
[0066] 步骤3)当Bob发送消息后，不待Alice回复，继续追加消息。
[0067] 3.1)保持主齿轮不变，利用KDF3和副齿轮密钥计算新副齿轮密钥，Bob对k pinicin进 行更新：1^加。11 = 1(0卩3(1^加。11);
[0068]接着，使用新副齿轮密钥生成加密密钥和认证密钥对消息进行认证加密;计算新 的加密、认证密钥：（k Ε η。，k M A C ) = K D F 2 ( k p i n i。η );对消息m 2进行认证加密： 9 = E/7Q& (/?2, Λ，/双).' (/w2));丨更新序列号 index = index+1。将（C2、index、Yj)发送给 Alice ；
[0069] 3.2)接收方A1 ice收到消息（C2、index、Yj)，首先分析消息中的临时公钥Yj:若消息 的临时公钥乃和最近一次收到的临时公钥乃相等，则判断出是一个追加消息，再比较消息中 的index与本地index:
[0070] 若消息的index =本地index+Ι，则更新kPini〇n = KDF3(kpinion);计算新的加密、认证 密钥：（kEnc，kMAc) =KDF2(kpiniM);解密消息(叫，舰仏）ν?κ.(叫））=ΙΛυ·、（η >并认证；更新 序列号 index = index+Ι;
[0071 ]若消息的 index〉本地index+1，
[0072]则连续使用 KDF3 更新副齿轮密钥 kPinicm = KDF3(kPinicm)、（kmaster，k Pinicm)=KDF1 (secret，kmaster)和本地index = index+1，直到本地index =消息的index，将中间产生的 (kmaster，kpinion)存储，使用最后一次的(kmaster，kpinion)解密并验证消息。
[0073] 若index〈本地index，从之前存储的（kmaster, kpinion)中找到对应的密钥解密并验证 消息。
[0074] 步骤4)Alice收到Bob消息后准备回复消息。
[0075] 4.1)生成新的临时密钥对(Xi，χ〇其中，i = i + Ι，使用ECDH计算新的共享秘密： secret = ECDH(Yj，Xi)，接着使用新的共享秘密和旧的主齿轮密钥，更新主、副齿轮密钥： (kmaster , kpinion )-KDFl ( Secret，kmaster );
[0076] 使用新的副齿轮密钥生成新的加密、认证密钥：（kEnc，kMAC)=KDF 2(kpinicin)，认证加 密消息
重置index为0;
[0077] 将(C3、index、Xi)封装并发送给 Bob。
[0078] 4.2)B〇b收到消息（(33、化(1^、乂1)，分析乂1发现与之前收到的乂 1不同，认为消息是回 复消息。使用新的临时密钥计算共享秘密：secret = ECDH(yj，Xi )，然后同样地生成新的主、 副齿轮密钥：（kmaster，kpini〇n) =KDFl(Secret，kmaster)，生成加密钥、认证密钥：（kEnckMAC)= KDF2(kPinicin);解密消息：
[0079]
I，并验证消息摘要;重置index为0。
[0080] 以上仅是本发明的优选实施例，并非对本发明作任何形式上的限制。虽然本发明 已以优选实施例揭露如上，然而并非用以限定本发明。任何熟悉本领域的技术人员，在不脱 离本发明技术方案范围的情况下，都可利用上述揭示的技术内容对本发明技术方案做出许 多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案 的内容，依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均应落 在本发明技术方案保护的范围内。
【主权项】
1. 一种基于标识密码系统的前向端到端安全即时通信方法，其特征在于，该方法具体 包括以下步骤： 步骤1)注册部分，PKG生成系统参数，为本域内的每台主机生成并分发对应私钥； 步骤2)建立会话通道，由通信的任意一方发送第一个消息，发起加密通道的建立;另一 方回复消息后，完成认证过程，并完成临时密钥和会话密钥的初始化； 步骤3)双方正式通信;通信过程中，更新临时密钥和会话密钥。2. 根据权利要求1所述的基于标识密码系统的前向端到端安全即时通信方法，其特征 在于，所述步骤1)注册部分，还包括:PKG进行初始化，选择某条特定的椭圆曲线，并由其上 的点构成q阶加法循环群G 1，其中q为一大素数，生成元为P;随机选择se Zf，作为PKG的主密 钥，计算Ppub = sP;再根据群Gi选择双线性映射e，使得e: Gi X Gi-G2 ;最后选择相关哈希函数 H1: ((UT^GhH2 = G2XG1XG2^IOJln;完成初始化后，公布系统的公共参数列表SGhG 2, P，Ppub，Hi，H2，e > ; 其中H2是结合双线性映射和ECDH算法的密钥协商算法，有如下性质:H2(e(Sb，Xo)，yoXo， e(QA，y〇Ppub))=H2(e(Hi(B)，x〇Ppub)，x〇Y()，e(SA，Y()));用户 A 计算主公钥 Qa=Hi(A)，发送并请 求注册，得到私钥Sa=SQa;用户A计算主公钥Qb = H1(B),发送并请求注册，得到私钥Sb = sQb。3. 根据权利要求2所述的基于标识密码系统的前向端到端安全即时通信方法，其特征 在于，所述步骤2)建立会话通道，还包括：当通信双方均注册成功后，任意一方可发送第一 个消息，开始建立会话通道;设A是通信发起方，B是通信接收方； 2.1) A计算共享秘密secret = WSiH1(B))，计算主齿轮密钥和副齿轮密钥（kmaster， kpinion) =KDFl(Secret，1);计算加密密钥和认证密钥(kEnc，kMAC) =KDF2(kpini〇n)，使用 kMAci十 算认证码，kEn。加密消息；生成临时密钥对(X〇，XQ);序列号index记录当前副齿轮所用齿数， 初始化为〇;发送密文、临时公钥Xo和index; 2.2) B接收到消息后，利用双线性对可以计算一个与A相同的共享秘密：secret = e(Hi (A)，SB)，然后利用与步骤2.1)中A-样的公式，计算主、副齿轮密钥，加密密钥，认证密钥， 并用加密密钥解密消息，认证密钥验证消息； 2.3) B生成临时密钥对(Yo，yQ)，使用以下公式 SeCret = H2(e(SB，X〇)，y()X()，e(Q A，y()Ppub))计算新共享秘密，使用KDF1、新共享秘密 secret和之前的主齿轮密钥kmaster可以计算新的主、副齿轮密钥：（kmaster ,kpinion) = KDFl (Secret ,kmaster)，使用KDF2 计算新的加密密钥，认证密钥：（kEm;，k·) =KDF2( kpinion)，用kMAC 计算认证码，kEn。加密消息;初始化序列号index为0;发送密文、临时公钥Yo和index; 2.4) A接收到回复的消息后，使用以下公式 secret = H2(e(Hi(B)，xoPpub)，x〇Y()，e(SA，Y()))计算和B-致的共享秘密，接着计算和B- 致的主、副齿轮密钥，加密密钥，认证密钥，使用加密密钥、认证密钥解读并验证消息；至此， 加密通道建立完成。4. 根据权利要求3所述的基于标识密码系统的前向端到端安全即时通信方法，其特征 在于，所述步骤3)双方正式通信，包括有两种通信方式，追加消息和恢复消息；具体内容如 下： 3.1)追加消息 当一方发送消息后，在没有收到回信前，再次追加消息，此时保持主齿轮不变，利用KDF3 和副齿轮密钥计算新副齿轮密钥:1^1。"=1^3〇^1。11);接着，使用新副齿轮密钥生成加密 密钥和认证密钥对消息进行认证加密;接收方收到消息时，用消息中的临时公钥和本地存 储的使用过的临时公钥比较，可判断出接收到的是追加消息，同样对副齿轮密钥更新，计算 新的加密密钥和认证密钥，并解读验证消息； 每发送一个追加消息，序列号index加1;接收方通过index来判断是否有遗漏的消息： 若消息是超前的消息，即本地存储的index = i，而接收到的消息包中的index>i+l，连续使 用KDF3更新副齿轮密钥，直到本地index与接收的index相等为止，用最后计算出的副齿轮 密钥计算加密、认证密钥，对消息解读、验证；中间产生的副齿轮密钥，将在计算出对应的加 密、认证密钥后删除，仅保存中间产生的加密密钥和认证密钥，以供遗漏的消息到达时进行 解读、验证； 3.2)回复消息 当一方收到消息，需要回复消息时，将使用新的主齿轮密钥;假设B为回复消息的发出 者，发送回复消息步骤如下： 生成新的临时密钥对(Yj，yj)其中，j = j+Ι，使用E⑶H算法计算新的共享秘密:secret = ECDH(yj，Xi)，接着使用新的共享秘密和旧的主齿轮密钥，更新主、副齿轮密钥：（kmaster， kpinion) =KDFl (secret ,kmaster);使用新的副齿轮密钥生成新的加密、认证密钥：（kEnc；，kMAC) =KDF2 (kpinicin)，并认证、加密消息；由于启用新的副齿轮，将序列号index重置为0; 接收方接收到消息，接收到的消息中含有的临时密钥是不同于之前使用的，即消息时 回复消息；使用新的临时密钥计算共享秘密：S e C r e t = E C D H (Y j，X i )，然后同样地生成新的 主、副齿轮密钥：（kmaster，kpini〇n) =KDFl(Secret ,kmaster)，生成家密钥、认证密钥：（kEnckMAC) =KDF2(kPini〇n);之后，可解读验证消息。
【文档编号】H04L29/06GK105897416SQ201610494970
【公开日】2016年8月24日
【申请日】2016年6月29日
【发明人】邓月霞
【申请人】邓月霞