10.7　APKAS-5

10.7　APKAS-5

DL,EC}APKAS-5-{CLIENT,SERVER}是{離散對數，橢圓曲線}口令鑒別密鑰協商方案，包含參與方{CLIENT,SERVER}。
{DL,EC}APKAS-5-{CLIENT,SERVER}使用優化的Diffie-Hellman交換在兩個參與方直接建立共享密鑰。客戶擁有基于口令的八進制值π，服務器擁有使用PVDGP函數根據客戶的口令生成的口令驗證數據。

10.7.1　方案選項

客戶和服務器應該建立或者協商確定公開密鑰產生原語和秘密值產生原語和相關的參數。可選項：PVDGP-1,PEPKGP-2,SVDP-7-CLIENT,SVDP-7-SERVER；客戶和服務器應該使用相同的散列函數參數。
a) 口令相關秘密和驗證數據；
1) 適用于客戶：基于口令的八位位組串π，可以包含“鹽”和單方或者雙方的身份信息；
2) 適用于服務器：使用{DL,EC}PVDGP-1產生口令驗證生成元gπ和口令限制的公開密鑰vπ；{DL,EC}PVDGP-1的輸入值和參數應和客戶口令協商中使用的應相同。
b) 和π，gπ，vπ相關的{DL,EC}域參數；以及密鑰s,wc,ws；
c) 密鑰產生函數Kdf，可選項為：KDF1,KDF2；
d) 一個或者多個密鑰產生參數八位位組串{P1,P2…}；

10.7.2　密鑰協商操作

10.7.2.1　客戶密鑰協商

a) 使用{DL,EC}PVDGP-1(π) 計算生成元gπ；
b) 使用{DL,EC}PVDGP-1(π) 計算受限于口令的私鑰uπ；
c) 隨機選擇一個整數s∈[1,r-1],作為私鑰；
d) 計算口令相關的公鑰wc={DL,EC}PEPKGP-2(s, gπ)；
e) 發送wc給服務器；
f) 從服務器接收口令相關的公開密鑰ws；
1) 如果ws不是群的有效元素，則輸出“invalid”并停止；
2) 如果ws的階過小不能接受，則輸出“invalid”并停止；
3) （可選）如果ws不是有效的公鑰，則輸出“invalid”并停止；
g) 計算域元素z ={DL,EC}SVDP-7-CLIENT(s, uπ,ws)；
h) 計算八位位組串Z=FE2OSP(z)；
i) 對每一個密鑰產生參數Pi，根據共享秘密八位位組串Z，產生一個共享秘密私鑰Ki=Kdf(Z, Pi)；

10.7.2.2　服務器密鑰協商

a) 隨機選擇一個整數s∈[1,r-1],作為私鑰；
b) 計算口令相關的公鑰ws={DL,EC}PEPKGP-2(s, gπ)；
c) 發送ws給服務器；
d) 從客戶接收口令相關的公開密鑰wc；
1) 如果wc不是群的有效元素，則輸出“invalid”并停止；
2) 如果wc的階過小不能接受，則輸出“invalid”并停止；
3) （可選）如果wc不是有效的公鑰，則輸出“invalid”并停止；
e) 計算域元素z ={DL,EC}SVDP-7-SERVER(s, uπ, wc, ws)；
f) 計算八位位組串Z=FE2OSP(z)；
g) 對每一個密鑰產生參數Pi，根據共享秘密八位位組串Z，產生一個共享秘密私鑰Ki=Kdf(Z, Pi)；

10.7.3　密鑰證實操作

APKAS-5方案中客戶可以選擇是否在使用Z或者K1,K2…Kt之前確認服務器正確獲得了Z。對于服務器而言該步驟同樣是可選的。

10.7.3.1　服務器密鑰證實

a) 可選項
1) 計算oπ=GE2OSP(gπ)；
2) 計算os=KCF1(hex(03), wc,ws,Z, oπ)；
3) 發送os給客戶。
b) 可選項
4) 從客戶接收八位位組串oc；
5) 計算oπ=GE2OSP(gπ)；
6) 計算o4=KCF1(hex(04), wc,ws,Z, oπ)；

10.7.3.2　客戶密鑰證實

a) 可選項
1) 從服務器接收八位位組串os；
2) 計算oπ=GE2OSP(gπ)；
3) 計算o3=KCF1(hex(03), wc,ws,Z, oπ)；
4) 如果o3≠os，輸出“invalid”并停止。
b) 可選項
5) 計算oπ=GE2OSP(gπ)；
6) 計算oc=KCF1(hex(04), wc,ws,Z, oπ)；