（应用数学专业论文）隐藏证书认证协议的研究.pdf

摘要 论文题目：隐藏证书认证协议的研究 学科专业：应用数学 研究生：杨春霞( 签名) 垄垄歪盔 指导教师：王尚平教授( 签名) 涩盔 1 1 摘要 身份认证研究用户的物理身份和数字身份相对应的问题，给权限管理提供依据。身份 认证是整个信息安全体系的基础，密码学中的身份认证主要通过公钥证书( 数字签名) 实 现。目前人们所关注的是身份识别方案与具体应用环境的有机结合。一个合法用户从证书 机构得到一个签名作为证书后，为从服务提供商那里得到服务，同时为防止攻击者截获并 违法利用该证书，或者为防止攻击者和服务提供商串通来陷害自己，该用户向服务提供商 证明他她有该证书而不把原始证书给服务提供商，这种证明自己身份的方法称为隐藏签 名的认证。 本文重点研究了隐藏签名的认证，在此过程中对不可否认性认证也进行了关注，主要 研究成果包括： ( 1 ) 从身份认证过程中证书的使用情况和身份的公开情况将认证分为了三类：不可 否认性认证、隐藏证书( 签名) 的认证和匿名认证 ( 2 ) 在z h a n g 和k m 方案的基础上提出了三个隐藏证书的身份认证方案，并对这些 方案的安全性进行了分析。方案在用户具有秘密值的情况下利用b l s 签名方案签发证书， 然后当用户和服务提供商交互时把证书隐藏起来进行身份认证。新方案在避免用户的证书 在开放网络中被不怀好意者恶意利用的同时，还能避免c a 冒充合法用户。第一个方案是 单向认证方案，第二个是双向认证方案，第三个也是双向认证方案，但在c a 不勾结的情 况下能部分抵抗拒绝服务攻击。 ( 3 ) 提出了一个s c s 方案下的透明恢复的不可否认协议，该方案把s c s 方案和g s p 签名方案结合应用在不可否认协议中，使得双方在验证消息签名的同时能对签名者的公钥 证书进行验证，减少了查找、存储、验证证书的步骤，提高了身份认证的效率，特别是多 个证书需要验证时效率更高，方案还对o m a r k o w i t c h 和s k r c m c r 的不可否认协议进行了 改进，使可信第三方不再具有获知消息明文的权利，使参与方的声誉得到了更好的保护。 关键词：数字签名；身份认证；隐藏签名的认证；不可否认性认证 本课题得到国家自然科学基金( 6 0 2 7 3 0 8 9 ) 、陕西省教育厅自然科学研究计划资助 项目( 0 3 j k l 6 5 1 0 8 2 2 0 3 1 3 ) 、陕西省自然科学基础研究计划项目 ( 2 0 0 5 f 0 2 1 0 8 2 2 0 6 0 8 ) 、陕西省教育厅专项科学研究计划资助项目( 0 6 j k 2 1 3 ) 、西 安理工大学科技创新基金( 1 0 8 2 1 0 4 0 2 ) 、国际合作项目( 日本) 京通株式会社 ( 1 0 8 2 3 0 5 0 1 ) 、企业项目( 西安) 西安瑞日电子发展有限公司( 1 0 8 2 3 0 6 0 8 ) 的资助 摘要 1 i t i e ：r e s e a r c ho nc e r t i f i c a t e - m a s k e da u t h e n t i c j 盯i o n p r o t o c a l m a j o r ：a p p l i e dm a t h e m a t i c s n a m e ：c h u n x i ay a n g s i g n a t u r e ：2 1 笔( 丕! ! ! 吠f a s u p e r v i s o r ：p r o f s h a n g p i n gw a n g s ；g n a t u r e 衅n r 才 a b s t r a c t i d e n t i t ya u t h e n t i c a t i o ni sa c t u r a l l yt or e s o l v et h ec o r r e s p o n d e n c eb e t w e e nt h eu s e r s p h y s i c a li d e n t i t y a n dh i s h e rd i g i t a li d e n t i t ya n dg i v eg r o u n df o rp o w e rm a n a g e m e n t i d e n t i t ya u t h e n t i c a t i o ni st h eb a s i so fi n f o r m a t i o ns e c u r i t ys y s t e m w i t ht h ea p p e a r a n c eo f p u b l i c k e yc r y p t o s y s t e m ，i d e n t i t y a u t h e n t i c a t i o ni s a l w a y si m p l e t m e n t e db yd i g i t a l c r e d e n t i a li e d i 百t a ls i g n a t u r e a tp r e s e n tt h ec o n s t r u c to fi d e n t i t ya u t h e n t i c a t i o ns c h e m e w i t ht a k i n ga c c o u n to fd i f f e r e n tr e a l i t yc i r c u m s t a n c eh a sd r e wm o r ea n dm o r ei n t e r e s to f r e s o a c h e r s o n eo fs u c hi n s t a n c ei sc a l l e ds i g n a t u r e m a s k e da u t h e n t i c a t i o n i tm e a n si na c e r t a i ns c e n e ，a f t e ra na u t h e n t i c a t e du s e rr e c e i v ead i g i t a ls i g n a t u r ea sh i sc r e d e n t i a l ，t og e t s e r v i c ef r o mt h es e r v i c ep r o v i d e ra n d p r e v e n th i s h e rc r e d e n t i a lf r o mi n t e r c e p t i n gb yh o s t i l e p e o p l eo rf r o mf r a m i n gb yt h ea l l i a n c eo ft h ep r o v i d e ra n da t t r a c k e r a ，h e s h ew o u l da d a p tt o p r o v eh i s h e rv a l i d i t yw i t h o u tt r a n s m i t t i n gt h ec r e d e n t i a ld i r e c t l y t h i sp a p e rm a i n l ys t u d y o na u t h e n t i c a t i o ns c h e m ew i t hc r e d e n t i a lm a s k e d ，b yt h ew a ys o m ea t t e n t i o ni sp a i do n n o n - r e p u d i a t i o na u t h e n t i c a t i o np r o t o c 0 1 t h em a i nw o r k sa r ea sf o l l o w s ： ( 1 ) t h ea p p l i c a t i o nb a c k g r o u n da n dp r e s e n td e v e l o p m e n to fi d e n t i t ya u t h e n t i c a t i o ni s a n a l y z e d , a n dw ec l a s s i f yi n d e n f i t ya u t h e n t i c a t i o nf o rt h r e ec a t e g o r i e s ：n o n r e p u d i a b e l a u t h e n t i c a t i o n , s i g n a t u r e m a s k e da u t h e n t i c a t i o na n da n o n y m o u sa u t h e n t i c a t i o nb a s e do nt h e a p p l i c a t i o nc i r c u m s t a n c ea n dp u b l i cc o n d i t i o no ft h ec r e d e n t i a la n di n d e t i t y ( 2 ) t h r e es i g n a t u r e m a s k e da u t h e n t i c a t i o ns c h e m e sa r ep r e s e n t e di nt h ep a p e f t h e f i r s ti sas i m p l eu n i l a t e r a la u t h e n t i c a t i o ns c h e m e t h es e c o n dr e a l i z e dm u t u a la u t h e n t i c a t i o n b e t w e e nt h eu s e ra n dt h es e r v i c ep r o v i d e ru n d e rt h ec o n d i t i o nt h a tt h eu s e rh a sac e r t a i np o w e r o fc o m p u t a t i o na n ds t o r a g e t h et h i r dc a na l s op a r t i a l l yr e a l i z et h er e s i s t a n c et od o sa t t a c k b e s i d e sr e a l i z i n gm u t u a la u t h e n t i c a t i o n t h es e c u r i t yo fa l lt h e s et h r e es c h e m e si sa n a l y z e d u n d e rt h ea s s u m p t i o nt h a tt h et w oc a sa r en o tc o l l u d e d ( 3 ) at r a n s p a r e n tn o n - r e p u d i a b l ea u t h e n t i c a t i o np r o t o c o lb a s e do ns c s ( s e f f - c e a i f i e d s i g n a t u r e ) i sg i v e n w i t ht h ec o m b i n a t i o no fg s ps i g n a t u r es c h e m ea n ds c ss c h e m ea n dt h e m 西安理工大学硕士学位论文 a p p l i c a t i o ni nn o n - r e p u d i a t i o np r o t o c o l ，t h es c h e m er e a l i z e dt h es i m u l t a n e o u s l yv e r i f i c a t i o no f m e s s a g es i g n a t u r ea n dt h ec r e d e n t i a l ，a n dt h ep r o c e s so fs e a r c h i n g ，s t o r i n ga n dv e r i f y i n g c r e d e n t i a li sl e a v eo u t ，a n dt h ee f f i c i e n to ft h ep r o t o c o li sg r e a t l yi m p r o v e de s p e c i a l l yu n d e rt h e c o n d i t i o nt h a tm o r et h a no n ec r e d e n t i a lt ob ev e r i f i e d t h o u g ht h en e wp r o t o c o li si m p r o v e d f x o mt h es c h e m eo f0 m a r k o w i t c ha n ds k r e m c r , i tn o to n l ya v o i d st h ep l a i n t e x tk n o w nb yt h e t r u s t e dt h i r dp a r t yb u tp r o t e c tt h er e p u d i a t i o no ft h eb a r g a i n e r sb e t t e r k e yw o r d s ：d i g i t a ls i g n a t u r e ；i d e n t i t ya u t h e n t i c a t i o n ；s i g n a t u r e m a s k e da u t h e n t i c a t i o n ； n o n - r e p u d i a t i o na u t h e n t i c a t i o n i v 独创性声明 秉承祖国优良道德传统和学校的严谨学风郑重申明：本人所呈交的学位论文是我个 人在导师指导下进行的研究工作及取得的成果。尽我所知，除特别加以标注和致谢的地 方外，论文中不包含其他人的研究成果。与我一同工作的同志对本文所论述的工作和成 果的任何贡献均已在论文中作了明确的说明并已致谢。 本论文及其相关资料若有不实之处，由本人承担一切相关责任 论文作者签名：蕴丕盔叠彬产弓月归日 学位论文使用授权声明 本人盘盔嚣在导师的指导下创作完成毕业论文。本人已通过论文的答辩，并 已经在西安理工大学申请博士硕士学位。本人作为学位论文著作权拥有者，同意授权 西安理工大学拥有学位论文的部分使用权，即：1 ) 已获学位的研究生按学校规定提交 印刷版和电子版学位论文，学校可以采用影印、缩印或其他复制手段保存研究生上交的 学位论文，可以将学位论文的全部或部分内容编入有关数据库进行检索；2 ) 为教学和 科研目的，学校可以将公开的学位论文或解密后的学位论文作为资料在图书馆、资料室 等场所或在校园网上供校内师生阅读、浏览。 本人学位论文全部或部分内容的公布( 包括刊登) 授权西安理工大学研究生部办 理。 ( 保密的学位论文在解密后，适用本授权说明) 论文作者签名：燃翩签名：玉缉印年；月印日 绪论 1 绪论 现在信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计 算机及网络系统中的数据只能够被有权操作的人访问，所有未被授权的人无法访问到这些 数据。这里说的是对“人”的权限的控制，即对操作者物理身份的权限控制。不论安全性 要求多高的数据，它存在就必然要有相对应的授权人可以访问它，否则，保存一个任何人 都无权访问的数据有什么意义? 然而，如果没有有效的身份认证手段，这个有权访问者的 身份就很容易被伪造，那么，不论投入再大的资金，建立的再坚固安全防范体系都形同虚 设。就好像建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁一样。 所以身份认证是整个信息安全体系的基础，是信息安全的第一道关隘。 大家熟悉的如防火墙，入侵检测、v p n 、安全网关、安全目录等，与身份认证系统有 什么区别和联系呢? 从这些安全产品实现的功能来分析就明白了：防火墙保证了未经授权 的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现未经授权用户攻击 系统的企图：v p n 在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使 用；安全网关保证了用户无法进入未经授权的网段，安全目录保证了授权用户能够对存储 在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管 理，他们解决了哪个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和 数字身份相对应的问题，给他们提供了权限管理的依据。 如果把信息安全体系看作一个木桶，那么这些安全产品就是组成木桶的一块块木板， 则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的 用户访问系统，这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶 底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没 有用。因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。 w d i f f i e 和m e h e l l m a n 在“n e wd i r e c t i o n si nc r y p t o g r a p h y 棚1 一文的第四节中写道： 身份认证问题与密钥的分发问题相比是商业事务在全球电子通讯应用的更严重的障碍。 1 1 身份认证的概念 身份认证的本质是指被认证方有一些消息( 无论是一些秘密的信息还是一些个人特有 的生物特征信息) ，除被认证者自己外，该信息不能被任何攻击者伪造如果能采用某种 方法，使认证者相信它确实拥有那些秘密，则他的身份就得到了认证。 密码学中，身份认证和其他的一些认证方法结合在一起考虑的，统称为认证。认证“1 就是对某个实体所声称的某种属性进行证实。如果要对认证作个简短的描述，可以说认证 是个过程，通过这个过程，一个实体向另一个实体证明了他所声称的某种属性。比如，一 个实体声称拥有某种合法权利，可以进入另一实体的系统或者使用后者的服务，通过认证， 西安理工大学硕士学位论文 后者确认该实体确实拥有这种权利。由此可以看出，认证至少涉及到两个独立的通信实体， 按照协议的习惯性定义，即，协议是指两方或互相协作的多方之间进行通信的过程，所以 一个认证过程也是一个认证协议。 认证这一概念可以分为三个子概念：数据源认证、实体认证、认证密钥的建立第一 个概念主要涉及验证消息的某个声称属性；第二个概念则更多地涉及验证消息发送者所声 称的身份，也就是身份认证；第三个概念则进一步致力于产生一个安全通道，用于后继的 应用层安全通信会话。而我们通常所说的认证协议实际指的是实体认证，密钥交换和密钥 协商协议则归类于认证密钥的建立 常用的认证技术有：证明消息的新鲜性和主体活现性的标准机制：双方认证和单方认 证；包含可信第三方的认证。 1 2 身份认证技术的研究现状 随着科学的不断发展和技术的不断进步，特别是计算机的出现和网络技术的飞速发 展，各种各样的身份识别技术也不断出现，总的来看，常见的身份认证方法有三种，分别 是基于口令的身份认证方法、基于生物特征的身份认证方法和基于密码学的身份认证方 法。随着现代密码理论的发展，利用密码学知识进行身份认证成为越来越广泛的身份认证 方式。 1 2 1 基于口令的认证方法 由于认证是确定一个实体是否是他本身或者具有他所声称的属性的过程，所以在早期 的个人计算机和公开网络中是通过使用登陆口令来实现认证的。每个用户第一次登陆的时 候使用一个分配的或者默认的口令，在随后的每一次使用，用户必须使用自己知道的那个 先前声明过的口令来登陆。或者每个用户的密码是由这个用户自己设定的，只有他自己才 知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。现在的很多应用中， 这种基于口令的认证方法仍然是人们习惯的认证方法。由于许多用户为了防止忘记密码， 经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密 码，或者把密码抄在一个自己认为安全的地方，这都存在着许多安全隐患，极易造成密码 泄露。即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中需要在 计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易驻留在 计算机内存中的木马程序或网络中的监听设备截获。因此用户名密码方式一种是极不安 全的身份认证方式。可以说基本上没有任何安全性可言 目前市场上已经出现了与密码技术结合的新的基于口令的认证方法或者它的一些变 形，如动态口令身份认证系统、i c 卡认证、u s bk e y 等等动态口令身份认证系统是基 于密钥和时问的双因素身份识别软件，根据时间不同，产生的口令也不同，每个密码只使 2 绪论 用一次。它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密 码生成芯片运行专门的密码算法，根据当前时1 日j 或使用次数生成当前密码并显示在显示屏 上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显 示的当前密码输入客户端计算机，即可实现身份的确认。由于每次使用的密码必须由动态 令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身 份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这 个密码来仿冒合法用户的身份。这样就可以很好的防止泄露和重放攻击。i c 卡是一种内 置集成电路的卡片，卡片中存有与用户身份相关的数据，i c 卡由专门的厂商通过专门的 设备生产，可以认为是不可复制的硬件。l c 卡由合法用户随身携带，登录时必须将i c 卡 插入专用的读卡器读取其中的信息，以验证用户的身份。i c 卡认证是基于 w h a t y o uh a v e ” 的手段，通过i c 卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从i c 卡中读 取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证 信息。因此，静态验证的方式还是存在根本的安全隐患。基于u s bk e y 的身份认证方式 是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一 密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。u s bk e y 是一种u s b 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用 u s b k e y 内置的密码学算法实现对用户身份的认证。基于u s bk e y 身份认证系统主要有 两种应用模式：一是基于冲击，响应的认证模式，二是基于p k i 体系的认证模式。 1 2 2 基于生物特征的认证方法 由于人体特征的唯一性，人们很自然地想到用这些唯一的特征作为身份识别的手段。 由于这种来自人自身的生物特征不存在遗忘或丢失或伪造的可能性，使得它在身份认证过 程中发挥着巨大的作用。目前出现的生物测量法有虹膜扫描、指纹检查、人脸图像识别、 掌纹识别、声纹识别、脑波识别等等。从理论上说，生物特征认证是最可靠的身份认证方 式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特 征的可能性可以忽略不计，因此几乎不可能被仿冒。但是受到现在的生物特征识另玎技术成 熟度的影响，并且由于这种识别所需的设备成本较高，并且对于部分特殊人群的注册和识 别难度较大( 如手纹识别对于一些手上老茧较多的体力劳动者来说比较困难) 所以这种 方法虽然准确率较高，目前只适合于一些安全性要求非常高的场合如银行、部队等使用， 还不能普及。 1 2 3 密码学的认证方法 密码学的发展历史可大致划分为三个阶段：1 ) 1 9 4 9 年以前是科学密码学的前夜时期， 3 西安理工大学硕士学位论文 这个时期的密码学专家常常是凭直觉和信念来进行密码设计和分析，而不是靠推理证明； 2 ) 1 9 4 9 年s h a n n o n 发表的“保密系统的信息理论”一文为私钥密码系统( 对称密码体制) 建立了理论基础，从此密码学成为一门科学；3 ) 1 9 7 6 年d i f f i e 和h c l l m a n 韬e “n e w d i r e c t i o n s i nc r y p t o g r a p h y ”n 1 一文中首次提出了。公开密钥密码体制”，导致了密码学上的一场革 命，同时r m e r l d e 于1 9 7 8 年也独立提出了r s a “1 公钥密码体制，这一体制的出现在密 码史上是个划时代的时间，它为解决计算机信息网络中的安全提供了新的理论和技术基 础。 总的来说，在密码学发展过程中形成了两种密码体制，一种是对称密码体制，加密密 钥和解密密钥是同一个密钥；一种是公钥密码体制，加密和解密用的秘密钥是不同的两个 密钥，所以认证方式上也有所不同。其中，公钥加密认证机制采用得最多的是x 5 0 9 “1 ， x 5 0 9 是由国际电信联盟( u - t ) 制定的数字证书标准，是现代网络认证系统的核心。 对称加密认证机制中最典型的应用是k o r b e r o s ”1 认证系统，k o f b e m s 最初是由麻省理工 学院( m r r ) 为a t h e n a 项目开发的，它的模型是基于n e e d h a m 、s c l l r o c d c r 的可信第三方 协议。这两种主要的认证方式将在第二章中作为本文的基础详细介绍。还有一次一密加密 认证机制，它是根据一次一密的不同产生方式，又可以分为请求，应答方式和时钟同步方 式，它们的共同特点是加密和解密的两端都需要产生相同密钥，此外，他们每一次产生的 密钥都不相同而且没有明显的规律。 随着科学技术的不断发展，基于密码学的身份认证技术得到了飞速发展，并在现代网 络技术中得到了广泛的应用。 1 3 密码学身份认证方法的分类及研究现状 网络技术的不断发展使得现实生活的很多工作和交流都可以通过网络实现，如电子商 务、电子政务等等，同时密码学研究的热潮迭起也使得这些应用环境下的认证和安全问题 得到了深入的研究。密码学中的身份认证主要通过公钥证书( 数字签名) 实现。人们从认 证过程的不同方面对身份认证的实现进行了分类从认证的实体上分，可分为单向认证、 双向认证和三向认证从认证的技术实现上分，认证可分为软件认证和硬件认证。从认证 需要验证的条件来看，可以分为单因子认证和双因子认证，等等。目前人们所关注的是身 份识别方案与具体应用环境的有机结合n ，本文根据实际的应用环境，从身份认证过程 中证书的使用情况和身份的公开情况将认证分为了三类；不可否认性认证、隐藏证书( 签 名) 的认证和匿名认证。不可否认协议中，证书和用户身份都可以公开，关键是通信双方 都能得到不可否认证据，谁也不能抵赖在通信过程中的参与和所作出的行为。隐藏证书的 认证过程中，关键是对证书进行保密，身份可以公开来完成身份认证匿名认证则是把证 书和身份都隐藏起来，但是还要证明自己是合法用户。 4 绪论 1 3 1 不可否认认证 假定j o i n 给m a r y 发送了一条认证消息。考虑下面两种情况： ( 1 ) m a r y 可以伪造一条消息并声称该消息发自j o i n 。m a r y 只需产生一条消息，用j o i n 和m a r y 共享的密钥产生认证码，并将认证码附于消息。 ( 2 ) j o i n 可以否认曾发送过某条消息。因为m a r y 可以伪造消息，所以无法证明j o i n 确实发送过该消息。 这两种情形都是法律关注的。例如，对于第一种情形，在进行电子资金转帐时，接收 方可以增加转帐资金，并声称这是来自发送方的转帐资金额；对于第二种情形，股票经纪 人收到有关电子邮件消息，要他进行一笔交易，而这笔交易后来失败了，但是发送方可以 伪称从未发送过这条消息。在收发双方不能完全信任的情况下，a l i c e 当然希望这条消息 的来源能有所保证，并且j o i n 不能否认他曾经给自己发送过这条消息，这种认证称为消 息的不可否认性认证。不可否认性认证必须保证：当a l i c e 通过网络发送消息给b o b 时， a l i c e 和b o b 谁也不能否认曾参与了部分的或全部的通讯过程。因此不可否认协议必须能 为b o b 生成发方不可否认证据，为a i i c e 生成收方不可否认证据。一旦出现争议( 比如 a l i c e 否认曾发送过某一条特定的消息，或b o b 否认曾接收到这条消息) 仲裁者就可以根 据这些证据毫无偏袒的做出公正的判决。为了保证不可否认证据的正确交换，协议必须是 公平的所谓公平性是指，当a l i c e 通过网络发送消息给b o b ，在协议运行结束时，要么一 方得到收方不可否认证据且b o b 得到发方不可否认证据，要么双方谁也得不到有效的证 据。随着人们安全意识的不断提高，通讯中要求用户之间以公平的不可否认的方式交换信 息的应用越来越多，支付系统、认证邮件、合同签订等都是例子。 在收发双方不能完全信任的情况下，数字签名技术是解决这个问题的好方法。它可以 在保证信息完整性，身份真实性与不可否认性的同时，通过结合加密技术及审计日志来迸 一步保证信息的机密性和可审查性。如今，数字签名已广泛应用于电子商务、电子政务、 电子银行、电子证券等应用领域人们自然而然的想到用数字签名来作为收发双方的通信 不可否认证据，由此构造出了很多不可否认协议。 早期的不可否认协议主要借助于一个可信第三方r r p 来实现交互的不可否认性和公 平性。它的作用就在于防止或解决交易方可能出现的问题。为了减少由于使用r r p 而带 来的计算和通讯开销，出现了离线的t r p ：当交易方都按协议运行且网络正常时，t r p 不必参与协议；一旦出现问题就激活t r p 来完成协议在基于身份的签名方案出现后， 出现了基于身份的不可否认协议的构造，其中使用了多个可信第三方。 在这样的协议中，出现问题时，r r p 能够把用户等待的项目发给用户，把用户的签名 或把它自己的签名作为与用户签名具有相同法律价值的证据发给提供者。由于r r p 生成 的不可否认证据和参与方生成的证据不同，很容易从最终的证据中看出r r p 参与了协议， 从而给某一参与方声誉造成不良影响。由此有人提出使用透明的1 1 甲，即在协议结束时， 5 西安理工大学硕士学位论文 仅从生成的签名看，并不能区别协议是交易方正常完成的还是由r r p 完成的。因为t r p 的参与可能是由于网络失败而不是一方欺骗，这样透明t r p 在电子商务环境中非常有用， 可以避免对提供者和用户的信用造成负面影响。 在实现公平性和不可否认性的同时，效率也是需要考虑的一个重要因素，因此，设计 高效的透明恢复的不可否认协议是目前密码学研究的另一个热点 1 3 2 隐藏签名的认证 一个合法用户从证书机构得到一个签名作为证书后，为了从服务提供商那里得到服 务，同时为了防止攻击者截获并违法利用该证书，或者为了防止攻击者和服务提供商串通 来陷害自己，该用户向服务提供商证明他有这个证书而不把原始证书给服务提供商。这种 证明自己身份的方法叫做隐藏签名的认证。 早期的隐藏签名的认证方案主要应用于数字置顶盒( d i g i t a ls e t - t o p - b o x ) 之间以及 数字视频广播( d i g i t a l v i d e ob r o a d c a s t i n g ) 服务系统中的智能卡之间的身份认证。1 9 8 8 年，有人利用r s a 签名和g u i u o u - o u i s q u a t e r 的身份认证协议“1 提出了一个隐藏签名的认 证方案。2 0 0 2 年，z h a n g 和k i m 提出了一个基于身份的隐藏签名的认证方案“” 目前，隐藏认证方案的实现通常和访问控制策略相结合。如2 0 0 3 年，b r a d s h a w “ 等人给出了隐藏证书的一般化描述和证书不可区分性概念，指出在请求资源服务时，资源 所有者a l i c e 可以采用一种特殊方式加密资源，只有资源请求者b o b 拥有合法证书，并且 满足a l i c e 的访问控制策略时才可以打开，此时b o b 无需交互，不需要出示其证书而且 a l i c e 也没有必要知道他的证书该文还在f r a n k l i n 和b o n e h 的基于身份的加密方案n 钉 基础上实现了隐藏证书的认证。2 0 0 4 年，r o b e r t b r a d s h a w 等人提出了隐藏证书的同时隐 藏多个策略的方案 1 3 1 02 0 0 5 年，洪帆等给出了一个利用隐藏证书实现复杂策略隐藏的高 效率方案 1 4 1 02 0 0 6 年，张春咀在不经意属性证书和隐藏证书的基础上提出了隐藏认证的 有条件不经意传输n ”，利用双线性对构造了一个具体方案，解决了不经意属性证书可能 暴露资源接收者的某些敏感信息的问题。该方案中，只有持有特定属性证书的资源接收者 才能打开与其属性值相对应的消息，而资源接收者不需要向资源发送者提供任何证书资 源发送者不能确定接收者是否能够打开消息也不能确定接收者打开的是哪个消息。 根据这种特殊环境下身份认证的需要，构造符合实际情况并具有应用价值的隐藏认证 协议也将极大地促进密码学的发展和应用进程。 1 3 3 匿名认证7 1 一般地，签名的验证是身份认证的一种重要途径在公钥密码体制中，数字签名的验 证一般是通过签名者的公钥证书中的公钥进行验证，而公钥证书里一般包含诸如序列号、 6 绪论 签名者的身份、发布者的身份、公钥、证书的有效期、扩展等信息。这样，只要验证者验 证签名者的签名，就可以从其公钥证书中知道签名者的身份，因此签名者的身份对验证者 来说其实是公开的 但是这种签名对未来的计算机发展可信任计算平台来说是显然不能胜任的。可信 任计算平台是一个计算设备，它和一个称为可信任的平台模块( t r u s t e dp l a t f o r mm o d u l e t p 蛐的密码学芯片整合在一起。t p m 是信任的基础。t p m 的设计和生产方式很特殊， 所有其他的远程参与方相信来自这个t im 的一些密码学计算结果。可信任平台实现了许 多和t p m 的特点有关的安全，比如，安全导入，封装式的存储，软件完整性的证实、更 安全的在线业务活动和在线电子交易等等。 考虑一个可信任硬件模块，它被整合进如笔记本电脑或移动电话这样的平台中。假设 使用这种平台的用户与一个验证者交互，验证者想要确信用户确实使用了包含这样一个可 信任硬件模块的平台，即验证者想要t p m 认证它自己。但是，用户要保护他的隐私，因 而就要求验证者只能知道他使用了一个t p m ，但不知道具体是哪一个否则他所有的 交易将可以彼此链接。 这个问题是在t c g ( t r u s t e dc o m p u t a t i o ng r o u p ) 的文章中提出的。t c g 是一个工业 标准实体，旨在对有关可信任计算的硬件和软件构建( b u i l d i n g ) 模块研究和制定一个公开的 工业标准，以便在保护隐私和个人权利的同时，能实现更安全的数据存储、在线业务活动 和在线的电子交易。t o g 是可信任计算平台联盟的后继机构。； 对t p m 的配置引起了对隐私权的考虑。在交易中，如果一个远程服务器知道某个t p m 的唯一的识别码，那么不同的服务器可以相互合作来使同一个t p m 参与过的交易得到连 接。为了保护t p m 所有者的隐私，理想的方法是实现匿名认证，也就是说，t p m 可以向 远程服务器证明它的真实性而不泄漏它的真实身份，这就是匿名证实的思想的来源。因此， 匿名证实就是一方在不泄漏自己的身份的同时向另一方证明自己身份的真实性 2 0 0 3 年，t c g 提出了t p m 规范的1 1 版本，可参见文献【1 8 1 。t p mv 1 1 是基于一 个称为隐私c a ( p r i v a c yc a ) 的g 信的第三方t p m 生成另一个r s a 密钥，称为证实身份 密钥a i k ( a t t e s t a t i o ni d e n t i t yk e y ) 。t p m 把a k 发送给隐私c a 来申请有关a i k 的证书。 当t p m 证明它拥有一个有效的e k 后，隐私c a 颁发一个有关a i k 的证书。稍后，t p m 把有关a i k 的证书发送给验证者，并向它证明自己有这个证书这样，t p m 就可以在交 易时隐藏它的身份。很明显，这并不是一个令人满意的解决方法，因为每次交易都需要隐 私c a 的参与，隐私c a 的泄漏将导致所有a i k 和e k 之间的对应关系被泄漏。 2 0 0 5 年，t c g 制定了t p m 规范版本1 2 ，可参见文献【1 9 。t p mv 1 2 直接采纳了 b r i c k d l 等人提出的直接匿名证实( d i r e c ta n o n y m o u sa t t e s t a t i o n , 下称d a a ) 方案1 “。e r n i e b r i c k d l ，j a nc a m e n i s c h ，l i q u nc h e n 利用c a m e n i s c h l y s y a n s k a y 签名方案伽1 和和各自 的基于离散对数的证据来证明在强r s a 假设下证书的拥有、证书的不可伪造性是成立的， 匿名性在判定性d h 假设下也得到保证。而且，还利用f i a t s h a m i r 启发式“”把证明转化 7 西安理工大学硕士学位论文 为签名，并在随机神喻模型下进行了安全性证明。在i b m 的t h i n k p a dt 4 1 ，1 7 g h z 的i n t e l m o b i l ep e n t i u mm 处理器。1 g b y t e 的r a m 的配置下，l i n u x 和i b mj a v a1 4 2 的运行环 境下，该方案已经得到实现n “。 匿名证实是未来计算机设计和发展的基础，因而将成为计算机领域、通信领域，密码 学等领域研究的热点。 事实上，认证的实现方式和它所应用的背景有很大的关系，背景不同，需要的认证方 式也不同。随着计算机与数据通信网络的高速发展和广泛应用，社会对计算机和数据通信 网络的依赖越来越大，其应用已经涉及到政府、军事、文教、商业、金融等诸多领域。如 果能针对不同的应用场景如a t m 、智能卡，安全电子商务交易，安全办公通信。安全 视频监视系统，数字机顶盒，高清晰度电视( h d t v ) 等设计实现出合适的认证方式以 实现其安全服务，那么对经济乃至整个社会的发展都有重大的意义。 1 4 论文的研究内容及章节安排 根据本文对密码学认证方法的分类，本文着重关注了一般的隐藏签名的认证协议的构 造，并考虑了认证的双向性，分析了认证过程所抵抗的攻击。同时对不可否认协议也进行 了相应的分析，探索了提高协议效率的方式。 为了更清楚地阐述本文的研究思路，特安排章节如下： 第一章绪论。在了解身份认证的研究意义，回答了什么是身份认证后，对目前身份 认证的发展状况进行了分析，重点介绍了本文根据身份认证使用的背景不同对身份认证实 现方法的分类，在该分类的基础上，叙述了本文的主要研究内容。 第二章密码学中的身份认证对本文研究的理论基础做出介绍，讲述了密码理论中 已形成的较为成熟和完善的身份认证体系，并对身份认证过程中的重要部分数字签名 进行了介绍 第三章相关的密码学基础知识密码学方案和协议的安全性是建立在一定的数学知 识上的或者是从已有方案或协议的安全性推导出来的，该章主要介绍了本文研究中涉及的 数学知识和用到的重要的方案。 第四章隐藏证书( 签名) 的认证协议介绍了本文的主要研究成果，首先是一个能 保护用户隐私的隐藏签名方案，然后在该方案的基础上给出实现了双向认证的方案，最后 一个方案在第二个方案的基础上能部分抵抗拒绝服务攻击。 第五章不可否认协议这是本文的另一个研究成果，在分析已有透明恢复的不可否 认协议n ”1 基础上，利用s c s ( s e l f - c e r t i f i e ds i g n a t u r e ) 方案的方法，实现了能一次验证 多个证书的不可否认协议的构造。 第六章结论。总结了本文的工作并对未来的研究进行了展望 3 绪论 1 5 本章小结 本章结合身份认证研究的背景和重要意义，分析了身份认证的概念和发展现状，根据 现代密码学的广泛应用，从认证需要的场景出发，对身份认证方法进行了分类，确定本文 的研究内容为隐藏证书的认证和不可否认性认证，并分析了这两种认证方式的研究现状 9 密码擘中的身伪认证 2 密码学中的身份认证 密码学的发展形成了两大密码体制，一个是对称密码体制，第二个是非对称密码体制 ( 公钥密码体制) 。因此密码学中的身份认证也分为两个方面，一方面是对称密码学中的 身份认证，另一方面是非对称密码学中的身份认证。本章将把这些内容作为本文的理论基 础作一介绍。 2 1 对称密码体制中的认证 对称密码体制中，加密和解密用的是相同的密钥，也就是消息的发送方和接收方必须 拥有一个相同的密钥才能进行通讯。当发送方和接收方获得该密钥后，可以通过网络进行 身份认证，即在客户机和网络服务器两端，分别设置一对相同的对称密码算法，用客户端 的加密算法，对一组有限长的明文进行加密生成密文，将该密文作为认证码，与用户号、 时间戳和随机码一并经网络传给服务器，且密钥采用组合生成方式，达到一次一密，服务 器端以相同的密钥和加密算法对相同的明文进行加密，生成同长度的认证码，将两组认证 码进行比较，从而，实现网络身份认证。但是这种方法要求通讯双方必须事先交互得到密 钥后再在网络中认证。 在企业环境中，用户( 员工或消费者) 通