（应用数学专业论文）可信计算平台的匿名认证研究.pdf

摘要 论文题目：可信计算平台的匿名认证研究 学科专业：应用数学 研究生：丁如意 指导教师：王尚平教授 摘要 签名： 签名： 随着信息技术的迅猛发展，信息安全问题同趋复杂。可信计算平台作为解决信息安全 隐患的计算机软硬件实体，引起了人们越来越多的关注。匿名认证是可信计算平台的重要 功能，旨在解决个人隐私的保密问题。论文深入研究了可信计算平台的匿名认证，主要工 作如下： 深入了解了可信计算平台的结构及其功能，重点研究了典型的可信计算平台匿名认证 方案中的方法、假设条件、认证模型以及安全性等方面，分析了各种方案的优缺点。 利用知识签名提出了一个简单有效的可信计算平台匿名认证方案，并解决了h eg e 2 0 0 5 年所提方案的不足。方案可看作不具有揭开能力的群签名方案，但它可以鉴别无效的 可信平台模块。方案在强r s a 假设和判定性d i f f i e h e l l m a n 假设下满足不可伪造性，匿名 性和撤销性。 通过研究匿名认证相关理论知识和分布式系统，构造了可应用于星型分布式系统中的 可信计算平台匿名认证方案。方案将授权服务请求与无效可信平台模块检测分开，从而极 大的提高了匿名认证效率。如果无效可信平台模块检测者与可信平台模块勾结，授权服务 请求验证者可通过他提供的匿名认证信息和签名证明其违法行为。最后分析了方案的安全 性。 关键词：匿名认证；可信计算平台；可信平台模块；分布式系统 本研究得到以下基金资助： 国家自然科学基金( 6 0 2 7 3 0 8 9 ) 陕西教育厅专项科研计划项目( 0 6 j k 2 11 ) 陕西省自然科学基础研究计划项目( 2 0 0 6 f 3 7 ) a b st r a g t t i t l e ：r e s e a r c ho na n o n y m o u sa u t he n t l c a t i o no ft r u s t e d c o mp u t lngp l a t f o r m m a j o r - a p p l i e dm a t h e m a t i c s n a m e - r u y id i n g s u p e r v i s o r p r o f s h a n g p i n gw a n g a b s t r a c t s i g n a t u r e s i g n a t u r e 吣彬 ( w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , t h ep r o b l e mo fi n f o r m a t i o ns e c u r i t y b e c o m e sm o r ea n dm o t ec o m p l i c a t e d t r u s t e dc o m p u t i n gp l a t f o r mi sac o m p u t e rs o rh a r d w a r e e n t i t yt os o l v et h eh i d d e nt r o u b l eo fi n f o r m a t i o ns e c u r i t y ，w h i c hm a k e sp e o p l ep a ym o r ea n d m o r ea t t e n t i o nt oi t a n o n y m i t ya u t h e n t i c a t i o ni sa ni m p o r t a n tf u n c t i o no ft r u s t e dc o m p u t i n g p l a t f o r m ，a n di ti su s e dt od e a lw i t ha l li s s u eo fp e r s o n a lp r i v a c y i nt h i sp a p e r ，a n o n y m i t y a u t h e n t i c a t i o no f t r u s t e dc o m p u t i n gp l a t f o r mi ss t u d i e dd e e p l ya n dt h em a i nw o r ki sa sf o l l o w s ： t h es t r u c t u r ea n df u n c t i o n so ft r u s t e dc o m p u t i n gp l a t f o r mi su n d e r s t o o dd e e p l y e s p e c i a l l y , m e t h o d s ，s u p p o s e dc o n d i t i o n s ，a u t h e n t i c a t i o nm o d e l s ，s e c u r i t ya n ds oo nw h i c ha r eu s e di n t y p i c a la n o n y m o u sa u t h e n t i c a t i o ns c h e m e sf o rt r u s t e dc o m p u t i n gp l a t f o r ma r es t u d i e d a n d t h e nt h e i ra d v a n t a g e sa n dd i s a d v a n t a g e sa r ea l s oa n a l y z e d b a s e do nr e l a t e dm a t h e m a t i c sk n o w l e d g e ，n u m b e rt h e o r y a s s u m p t i o na n dc r y p t o r a g r a p h k n o w l e d g e ，as i m p l ea n dh i g h e f f i c i e n ta n o n y m o u sa u t h e n t i c a t i o ns c h e m ef o rt r u s t e dc o m p u t i n gp l a t f o r mi sp r o p o s e dw i t hk n o w l e d g es i g n a t u r e a n dd e f i c i e n c i e so ft h es c h e m ew h i c hh e g ep r o p o s e di n2 0 0 5a r es o l v e d t h i ss c h e m ec a l lb es e e na sa g r o u ps i g n a t u r ew i t h o u to p e n i n g c a p a b i l i t y ，b u tc a ni d e n t i f y st h er o g u et r u s t e dp l a t f o r mm o d e l s t h i ss c h e m es a t i s f i e sf o r g e r y - r e s i s t a n c e ，a n o n y m i t ya n dr e v o c a t i o nu n d e rs t r o n gr s aa s s u m p t i o na n dd d ha s s u m p t i o n a f t e rs t u d y i n gr e l a t e dk n o w l e d g ef o ra n o n y m o u sa u t h e n t i c a t i o na n dd i s t r i b u t e ds y s t e m ，a n a n o n y m o u sa u t h e n t i c a t i o ns c h e m ef o rt r u s t e dc o m p u t i n gp l a t f o r mi sc o n s t r u c t e d ，w h i c hc a nb e u s e di ns t a rd i s t r i b u t e ds y s t e m r e q u e s tf o rs e r v i c ea u t h o r i z e di sd i v i d e df r o md e t e c t i o nf o r r o g h et p mi nt h i ss c h e m e ，s oa n o n y m o u sa u t h e n t i c a t i o ne f f i c i e n c yi si m m e n s er i s e d i fad e t e c t o r f o rr o g u et p mc o l l u d e sw i t ht p m ，t h ev e r i f i e ro f r e q u e s tf o rs e r v i c ea u t h o r i z e dw i l lp r o v eh i s i l l e g a lb e h a v i o ru n d e rh i ss i g n a t u r ea n da n o n y m o u sa u t h e n t i c a t i o ni n f o r m a t i o n s e c u r i t i e so f t h i ss c h e m ea r ea n a l y s e df i n a l l y 。 k e y w o r d s ：a n o n y m o u sa u t h e n t i c a t i o n ；t r u s t e dc o m p u t i n gp l a t f o r m ：t r u s t e dp l a t f o r i l l 西安理工大学硕士学位论文 m o d e l ；d i s t r i b u t e ds y s t e m 独创性声明 秉承祖国优良道德传统和学校的严谨学风郑重申明f 本人所呈交的学位论文是我个 人在导师指导下进行的研究工作及取得的成臬o - 尽我所知：，一除特别加以标注和致谢的地 方外，- ! 论文中不包含其他人的研究成果；与我一同工作的同志对本文所论述的工作和成 果的任何贡献均已在论文中作了明确的说明并已致谢黟 本论文及其相关资料若有不实之处，1 由本人承担切相关责任 论文作者签名：j 二_ 啄腓多月珥自! 学位论文使用授权声明 本人王鱼! 逡在导师的指导下创作完成毕业论文文本人已通过论文的答辩，并 已经在西安理工大学申请博士t l i 士学位口本人作为学位论文著作权拥有者，t 同意授权 西安理工大学拥有学位论文的部分使用权；l 即：1 ) 已获学位的研究生按学校规定提交 印刷版和电子版学位论文，学校可以采用影印、缩印或其他复制手段保存研究生上交的 学位论文可以将学位论文的全部或部分内容编入有关数据库进行检索；2 ) 、为教学和 科研目的，学校可以将公开的学位论文或解密后韵学位论文作为资料在图书馆、资料室 等场所或在校园网上供校内师生阅读、浏览a 本人学位论文全部或部分内容的公布一( 包括刊登) 授权西安理工大学研究生部办 理o ( 保密的学位论文在解密后，适用本授权说明) 论文作者签名，磷、导师签名：妒缉3 用辱b 第一章绪论 1 绪论 1 1 引言 随着计算机科学的迅猛发展，社会已经进入以数字化、网络化、信息化为特征的信息 时代，信息安全成为人们关注的焦点。当前信息安全的主要技术是防火墙，入侵检测和杀 毒软件。当防火墙越砌越高，入侵检测越做越复杂，病毒库也越来越庞大时，整个信息安 全状况依旧存在着日趋复杂和混乱的趋向：误报率增多、安全投入不断增加、维护与管理 更加复杂和难以实施、信息系统的使用效率大大降低、对新的攻击入侵毫无防御能力( 如 冲击波) ，尤其是对内部没有任何防范( 据统计，绝大多数的信息安全事件是由于内部人 员或者是内外勾结所为) 。造成这种同趋复杂和混乱的局面主要原因是：首先，由“老三 样( 防火墙、入侵监测和病毒防范) 为主要构成的传统信息安全系统，是以防外为重点， 只能在系统外部被动地抵抗攻击，并不能在根本上解决系统的安全问题，与目前信息安全 主要“威胁 ，即源自内部的实际状况不相符合。其次，从组成信息系统的服务器、网络、 终端三个层面上来看，现有的保护手段是逐层递减的。人们往往把过多的注意力放在对服 务器和网络设备的保护上，而由于对客户端缺乏足够的重视，形成易被攻击者利用的弱点。 最后，恶意攻击手段变化多端，而“老三样 是采取封堵的办法，例如，在网络层( i p ) 设防，在外围对非法用户和越权访问者进行封堵。而封堵的办法是捕捉黑客攻击和病毒入 侵的特征信息，但其特征是已发生过的滞后信息，并不能科学预测未来的攻击和入侵。因 此“老三样”面对信息安全事故只能被动的防范，这将导致：p c 软、硬件结构简化，资 源可任意使用，尤其是执行代码可被修改，恶意程序可以被植入；病毒程序利用操作系统 对执行代码不检查一致性的弱点，将病毒代码嵌入到执行代码中实现病毒传播；黑客利用 被攻击系统的漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏；更为严重的是对合 法的用户没有进行严格的访问控制，可以越权访问，造成不安全事故。因此，终端的体系 结构和操作系统作为整个信息系统安全的基础，单纯依靠软件来构筑系统的安全性是远远 不够的，只有从信息系统的软硬件的底层采取安全措施，才能有效的确保整个信息系统的 安全。可信计算的兴起正是以此为出发点。可信计算作为一种软硬件相结合的技术，它能 够通过在平台内部引入可信硬件设备作为可信根，为建立安全可靠的终端环境提供有效的 途径。这一安全策略，无疑为计算机安全以及网络安全的发展提供了新思路。可信计算平 台t c p ( t r u s t e dc o m p u t i n gp l a t f o r m ) 是提供可信计算服务的计算机软硬件实体，它通过 信任链传递将单个的可信计算平台扩张到网络中，并形成网络的可信任域n 1 。可信平台 模块t p m ( t r u s t e dp l a t f o r mm o d e l ) 作为可信计算平台的信任根，使得可信计算平台实现 了许多与其的特点有关的安全，比如，安全导入、封装式的存储、软件完整性的证实、更 安全的在线业务活动和在线电子交易等等。然而这样的安全并不是百分之百的，由于t p m 西安理工大学硕士学位论文 的制造原因，用户的隐私受到了极大的安全挑战，那么，用户如何才能在不暴露自己任何 身份信息的同时向验证者证明自己的合法有效性呢? 匿名认证便能很好的解决了这一问 题。目前，安全高效的匿名认证方案是可信计算平台的研究热点。 1 2 可信计算平台简介 1 2 1 可信计算概念 上个世纪7 0 年代初期，a n d e r s o n j p 首次提出可信系统( t r u s t e ds y s t e m ) 的概念。 1 9 9 1 年，西欧四国( 英国，法国，德国，荷兰) 提出信息技术安全评价准则 i t s e c ( i n f o r m a t i o nt e c h n o l o g ye v a l u a t i o nc r i t e r i a ) ，首次提出了信息安全的保密性、完整 性和可用性概念，把可信计算机的概念提高到可信信息技术的高度。 1 9 9 3 年1 月，美国公布了融合i t s e c 的可信计算机安全评价准则之联邦准则。 1 9 9 9 年1 0 月，由国际几大i t 巨头h p ，毋m 和m i c r o s o f t 等共同发起成立了“可信计算机平 台联盟t c p a ( t r u s t e dc o m p u t i n gp l a t f e l l 1 1a l l i a n c e ) ”。t c p a 定义了具有安全存储和加密功 能的t p m 。 2 0 0 2 年1 月，比尔盖茨在致微软全体员工的一封信中称，公司未来的重点将从致力于 产品的功能和特性转向重点解决安全问题。同年微软发布了代号为p a l l a d i u m 的“高可信 计算( t r u s t w o r t h yc o m p u t i n g ) 白皮书，并提出了微软的高可信计算战略。p a l l a d i u m 计 划在p c 硬件中增加安全芯片，同时在w i n d o w s 操作系统核心中增加新的安全模块。2 0 0 3 年，微软将p a l l a d i u m 更名为n g s c b ( n e x t g e n e r a t i o ns e c u r ec o m p u t i n gb a s e ) “1 。 2 0 0 3 年3 月，t c p a 改组为t c g ( t r u s t e dc o m p u t i n gg r o u p ) ，成员迅速扩大至i u 2 0 0 家，可 信计算迅速遍及全球。t c g 提出的可信计算主要目的之一就是在计算和通信系统中广泛使 用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。 由此可见，在对可信计算多年的研究过程中，可信计算的含义不断地拓展，由侧重于 硬件的可靠性、可用性到针对硬件平台、软件系统、服务的综合可信，适应了网络应用不 断拓展的发展需要d “1 。 目前对可信计算的概念比较有代表性的是i s 0 i e c l 5 4 0 8 的标准中给出的定义1 ：参与 计算的组件、操作或计算过程在任意条件下是可预测的，并能够很好的抵抗应用程序软件、 病毒和物理干扰所造成的破坏。当然我们也可以从以下四个方面来理解“1 可信计算： ( 1 )用户的身份认证：体现了对使用者的信任。 ( 2 )平台软硬件配置的j 下确性：体现了使用者对平台运行环境的信任。 ( 3 )应用程序的完整性和合法性：体现了应用程序运行的可信。 ( 4 )平台之间的可验证性：指网络环境下平台之间的相互信任。这样所有平台就 组成了可信域。 2 第一章绪论 由于可信计算是一个十分敏感的问题，可信计算的应用会对政策、法律、社会框架、 国家安全、个人隐私、计算发展等诸多方面产生深远的影响。因此，有必要对可信计算进 行深入的研究。 1 2 2 可信计算平台概念 目前，t c g 已经发布了基于硬件系统的可信计算平台标准。该标准通过在计算机系统 中嵌入一个可抵制篡改的独立计算引擎，使得非法用户无法对其内部的数据进行更改，从 而保证了身份认证和数据加密的安全性。可信计算平台是提供可信计算服务的计算机软硬 件实体，它基于t p m ，以密码技术为支持，安全操作系统为核心，实现了一个能够进行 系统完整性数据收集与度量的可信终端系统，在不明显降低系统效率的前提下，获得了更 高的安全保障，为进一步建立可信网络环境提供了基础。由此可见，可信计算平台必将拥 有广阔的发展前景。 1 2 3 可信计算平台结构 可信计算平台是可信计算机系统的基础。它由主板、中央处理器( c p u ) 、存储器和一 些主要的外围设备以及基本输入输出系统( b 1 0 s ) 、t p m 等共同构成n 1 ，见图1 - 1 。可信计 算平台的一个主要特征就是在主板上嵌有t p m 作为可信计算平台的信任根，平台的可信 就是建立在该信任根部件之上的。 图1 1 可信计算平台结构 f i g l 一1s t r u c t u r eo ft r u s t e dc o m p u t i n gp l a t f o r m t p m 是可信计算平台的核心，它是整个可信计算平台的信任基础。它是一个含有数 字签名、身份认证、信息加密、内部资源的授权访问、信任链的建立和完整性测量、直接 3 詈 西安理工大学硕士学位论文 匿名访问机制、证书和密钥管理等一系列可信计算所必须的基础模块。它基于对用户身份、 应用环境和网络环境等不同底层认证，彻底防止恶意盗取信息和病毒侵害，从根本上解决 底层硬件设施的安全问题。 t p m 通过总线与p c 芯片集结合在一起，并且提供一系列密码处理功能，如密钥生成 器、h m a c 引擎、随机数发生器、s h a - 1 算法引擎以及密钥协处理器等。这些功能都 在t p m 硬件内部执行，t p m 外部的硬件和软件代理不能干预t p m 内部的密码函数的执行。 一般来讲，t p m 的体系结构8 1 中包括的部件如图卜2 所示。 图卜2t p m 的体系结构 f i g l - 2s t r u c t u r eo ft p m 其中： i o 部件：负责管理通信总线，主要任务包括执行内部总线和外部总线之间进行 转换的通信协议，执行对t p m 进行操作的安全策略等。 密码协处理器：负责将加密操作植入t p m 中。t p m 运用传统的加密算法对数据进 行加密，这些算法包括：r s a 非对称密钥生成器、r s a t 对称a n 解密、哈希函数( s h a 1 ) 和随机数生成器( r n g ) 。t p m 用这些功能来实现生成随机数和非对称密钥，签名和保密存 储数据。 密钥生成器：负责生成r s a 密钥对和对称密钥对，t p m 可以无限制地生成密钥。 h m a c 引擎：通过确认报文数据是否正确的方式为t p m 提供信息，它可以发现数 据或者命令错误或者被篡改的情况。h m a c 引擎仅提供运算功能，不负责管理数据或命 令传输机制。 随机数发生器：负责产生各种运算所需要的随机数，它通过一个内部的状态机和 单向散列函数将一个小预测的输入变成3 2 字节长度的随机数，其输入数据源可以是时钟、 噪音等，该数据源对外不可见。 s h a 1 引擎：负责完成一种基本的h a s h 运算，其h a s h 接口对外暴露，可以被 调用，它的输出是1 6 0 位二进制位。 4 第一章绪论 电源检测：t p m 要求能够感应任何电源状态的变化，t p m 电源与可信计算平台电 源关联在一起，电源检测帮助t p m 在电源状态发生变化的时候采取适当的限制措施。 选项控制器：提供了对t p m 功能开启与关闭的机制，通过改变一些永久性的可变 标志位，可以设t p m 的功能选项，但这种设置必须是t p m 的所有者或者经所有者授权的 情况下才能进行，原则上不允许远程进行设置改变。 执行部件：负责执行经过i 0 传送给t p m 的命令，在执行命令之前应确信命令执 行环境是隔离的和安全的。 非挥发性的存储器：用于存放一些永久性的数据。 挥发性的存储器：用于存放t p m 临时信息。 以上若干部件构成一个有机统一的安全执行环境，作为嵌入式的芯片部件，它们高度 集成，并且功能非常强大。 由于t p m 的独特设计，所有其他的远程服务器都相信来自这个t p m 的一些密码学计 算结果。 1 2 4 可信计算平台的特点 可信计算平台具有如下两个特点： ( 1 ) 在可信计算平台上的操作必须是经过授权和认证的，任何不合法的用户都不能 使用该平台进行工作。可信计算平台对用户的鉴别是与硬件中b i o s 9 1 相结合，通过b i o s 提取用户的身份信息，让用户身份认证不再依赖操作系统，确保用户身份的真实性。 ( 2 ) 可信计算平台会对系统的一致性进行检查，平台内部各元素之间存在严密的互 相认证，系统的启动从一个可信信任源开始，依次将验证b i o s 、操作系统再到应用程序， 从而会形成一条信任链来保证系统平台没有被改动或攻击过。 1 2 5 可信计算平台的主要功能 可信计算技术的核心是基于t p m 的安全芯片，i 扫t s s ( t r u s t e ds o f t w a r es t a c k ) “们配合 t p m 对可信计算平台提供支持，在它们共同作用下，可信计算平台提供基于硬件保护的 安全存储和各种密码运算等功能。以t p m 为基础，可信计算平台的可信机制主要通过三 个方面来体现： ( 1 ) 保护功能( p r o t e c t e dc a p a b i l i t i e s ) ：以可信的方式执行计算和安全的存储数据。保 护能力是唯一被许可访问保护区域的一组命令，而保护区域是能够安全操作敏感数据的地 方( 比如内存，寄存器等) 。t p m 通过实现保护能力和被保护区域来保护和报告完整性度量 ( 称作平台配置寄存器：p c r s ，这种寄存器位于t p m 内部，仅仅用来装载对模块的度量值， 大小为1 6 0 1 ：匕特) 。除此之外，t p m 保护能力还有许多的安全和管理功能，比如密钥管理、 西安理工大学硕士学位论文 随机数生成、将系统状态值封印( s e a l ) 到数据等。这些功能使得系统的状态任何时候都处 于可知，同时可以将系统的状态与数据绑定起来。由于t p m 的物理防篡改性，这也就起 到了保护系统敏感数据的功能。 ( 2 ) 完整性度量( i n t e g r i t ym e a s u r e m e n t ) ：可信的度量描述平台配置的度量值。完整 性的度量是一个过程，包括：获得一个关于平台的影响可信度的特征的值，存储这些值， 然后将这些值的摘要放入p c r s 中。通过计算某个模块的摘要同期望值的比较，我们就可 以维护这个模块的完整性。在t c g 的体系中，所有模块( 软件和硬件) 都被纳入保护范围内， 假如有任何模块被恶意感染，它的摘要值必然会发生改变，使我们可以知道它出现了问题， 虽然还不能知道问题是什么。通过这种方式，就可以保护所有已经建立p c r 保护的模块。 ( 3 ) 证实能力( a t t e s t a t i o n ) ：能够证明信息是真实的能力。证实是确认信息正确性的 过程。通过这个过程，外部实体可以确认保护区域、保护能力和信任源，而本地调用则不 需要证明。通过证明，可以完成网络通信中身份的认证，而且由于引入了p c r 值，在身份 认证的同时还鉴别了通讯对象的平台环境配置。这大大提高了通信的安全性。这些特征， 意味着可信平台应该抵抗窜改攻击、能够证实平台代码和数据的完整性和真实性、能够安 全的执行代码、保护敏感数据的机密性。为了建立信任，可信平台能够可靠的测量任何关 于自身的度量，并证实它。用户获得这些度量值并把它和从可靠环境下获得的度量值比较， 就能判断平台是否可信。拥有以上能力的平台能够产生许多新的应用。 1 3 研究背景和科学意义 目i j 可信计算已经成为世界信息安全领域的一个新潮流，t p m 作为一种行之有效的 信息安全技术，它极大的提高了信息的安全性，但是这样的安全并不是百分之百的，由于 t p m 的制造原因，对于用户隐私的保护面临如下问题：在一次事务处理过程中，t p m 的 用户与一个验证者进行通信，验证者想要确信用户确实使用了包含这样一个t p m 的平台， 即验证者想要t p m 证实它自己，但是，用户要保护他的隐私，因而就要求验证者只能知 道他使用了一个t p m ，但不知道具体是哪一个，也就是t p m 要求在不暴露其真实身份的 情况下向验证者证明其合法性。因此，匿名认证作为解决用户隐私保密问题的重要手段， 成为密码学领域研究的热点。特别是，随着网上服务授权、网格计算等领域的应用范围不 断扩展，用户信息的保密需求越来越迫切，可信计算平台的匿名认证的研究在理论和现实 上的意义不言而喻。 另外，我国在可信计算领域起步不晚，成果可喜，水平不低。匿名认证作为实现可信 计算的重要环节，它的发展对建立我国的信息安全体系，确保信息安全有着异常重要的意 义。 6 第一章绪论 1 4 匿名认证研究 原则上，我们可以通过一个标准的公钥认证方案( 数字签名) 来实现可信计算平台的 匿名认证：制造方生成一个公密钥对，然后将其植入到每一个t p m 中。t p m 通过验证 协议向验证者证明其身份的真实性。由于所有的t p m 都使用相同的密钥对，这使得验证 者无法区分究竟是那一个t p m 和它交互。然而，这就产生一个问题：只要一个t p m 泄 露其密钥，验证者就无法区别t p m 的真实合法性，所以这种方法在实际中是无法运用的。 随着匿名签名研究的深入，匿名签名为实现可信计算平台匿名认证提供了更多选择。 目前，对匿名签名方案的研究包括两个方面。一种是可追踪签名人身份的匿名签名方案。 在这种情形下，签名人身份的匿名性是可控制的，即管理员能够通过自己的陷门信息和验 证者提供的信息来计算得出证明者的具体身份。另一种是无条件匿名签名方案。这种签名 方案中的签名人身份的匿名性是无条件安全的，没有任何方法可用来揭示签名人的身份。 代理签名和群签名可用来实现可追踪签名人身份的匿名签名方案，而环签名可用于实现无 条件匿名签名方案。在现实生活中，人们常常根据印章的可传递性，把自己的( 印签) 签 名权力委托给代理人( 可信第三方) ，让代理人代表他们在文件上盖章( 签名) 。例如，一 个公司的经理在外出度假期间，需要让他的秘书代替他处理公司的业务，包括以公司的名 义在一些文件上签名。为此，这个经理可以将公司的公章交给秘书，让秘书能够代表公司 在文件上盖章。容易看出，生成印签的印章可以在不同的用户之间方便的传递，只要是相 同的一枚印章，则不论其使用者是谁，都可以生成相同的印签。在数字化的信息社会里， 代理签名就起到了印签的作用。代理签名是指原始签名人将他的签名权授权给代理签名 人，然后代理签名人代表原始签名人对消息生成签名。然而代理签名的长度、生成和验证 所需的工作量以及如何设计一个有效的代理签名都是困扰人们的问题。在一个群签名方案 中，一个可信任的群管理员预先定义了固定了用户的群，并分配特殊设计的私钥给他们的 成员。然后每一个成员都能用自己的私钥代表他们的群匿名的对消息签名。由不同的群成 员产生的签名对验证者来说是不可区分的，但在群签名中，群管理员可以通过打开签名的 方法来追踪真实签名者的身份。例如某俱乐部的专用停车场关卡，车主要想进入停车，就 必须向关卡验证身份，以证实自己确实是俱乐部的注册会员。但车主在验证身份的同时会 面临个人隐私泄露的危险。因此车主往往希望通过验证时，关卡只知道自己是会员，但个 人的身份信息不会泄漏。只有在特殊情况下，如停车场内有犯罪事件发生时，通过关卡的 车主的身份才能由第三方来揭示。在这类匿名认证方案中，一方通过公认的第三方来向验 证方证明自己身份的合法性，而不用泄漏自己的身份，且有的认证过程具有相关性，即验 证者可以判断两次认证是否是由同一个用户进行的；有的则不具有非相关性，即多次认证 之间是不相关的。但有时被认证者希望可以自行控制认证的相关性。然而，群签名的效率 以及群成员的删除问题仍然是人们亟待解决的问题。环签名是一种具有典型代表意义的无 条件匿名技术。一个环签名是一个没有管理员的简化的群签名。它保护签名者的匿名性。 7 西安理工大学硕士学位论文 环签名允许一个可能的签名者的集合中的用户能验证并使之确信签名者属于这个集合，但 是签名的身份不会暴露。因为验证者只知道签名来自于环中的一个成员，但不知道签名者 的真实身份，且没有办法可以撤消签名者的匿名性。尽管无条件匿名认证在对信息需要长 期保护的一些特殊环境中却非常有用。例如，密码学的一个重要应用方面一电子投票。但 是对于目前可信计算平台并不合适，其安全问题得不到有效保障，因为大量的无条件匿名 认证业务的开展必然会给违法犯罪分子提供有力条件。 对于匿名签名，环签名的安全性得不到保障，代理签名又没有群签名的效率高，因此 目前研究的可信计算平台的匿名认证方案都可看作是不具有揭开签名者真实身份能力( 匿 名性撤消) 的群签名方案，但是方案具有鉴别无效的t p m 的机制。我们将在第三章重点 介绍有代表性的几个方案。 1 5 主要研究内容 本论文主要研究内容如下： ( 1 ) 深入了解了可信计算平台的结构及其功能，重点研究了典型的可信计算平台匿 名认证方案中的方法、假设条件、认证模型以及安全性等方面，分析了各种方案的优缺点。 ( 2 ) 利用知识签名提出了一个简单有效的可信计算平台匿名认证方案，并解决了h e g 62 0 0 5 年所提方案的不足。方案可看作不具有揭开台旨力的群签名方案，但它可以鉴别无 效的可信平台模块。方案在强r s a 假设和判定性d i f f i e h e l l m a n 假设下满足不可伪造性， 匿名性和撤销性。 ( 3 ) 通过研究匿名认证相关理论知识和分布式系统，构造了可应用于星型分布式系 统中的可信计算平台匿名认证方案。方案将授权服务请求与无效可信平台模块检测分开， 从而极大的提高了匿名认证效率。如果无效可信平台模块检测者与可信平台模块勾结，授 权服务请求验证者可通过他提供的匿名认证信息和签名证明其违法行为。最后分析了方案 的安全性。 1 i6 本论文的章节安排 第二章首先介绍了方案中涉及到的基础理论，包括数学知识、数论假设等。其次介绍 了群签名、代理签名、环签名和知识签名。最后介绍了分布式系统。 第三章研究了目前国际上提出的典型可信计算平台匿名认证方案，分析了这些方案的 认证模型，总结了方案的优点和不足。 第四章提出了一个简单高效的匿名认证方案，给出了方案的认证模型，证明了方案的 安全性，并与相关方案做了比较。 第五章针对星型分布式系统提出了一个匿名认证方案，给出了方案的认证模型，对方 第一章绪论 案的效率和安全性进行了分析。 第六章总结全文，给出了进一步要做的工作。 9 西安理工大学硕士学位论文 2 基本概念和基本理论 密码学有两个显著的特点：一是历史悠久，它的起源可以追溯到大约几千年前的古埃 及、古罗马和古希腊；二是数学性强，几乎所有的密码体制都不同程度地使用了数学方法， 例如数论、代数和几何方法等。本章主要介绍在可信计算平台的匿名认证方案中广泛运用 的相关数学知识、数论假设等密码学知识，最后介绍了分布式系统。 2 1 数学知识 2 1 1 整数因子分解问题 定义2 1 整数因子分解问题n ：给定整数n ，对n 进行因子分解 n = 磷l 磷1 群i 只是不同的素数，e i 是正整数。 在现有计算能力下，已知若干不同的素数p 。，p ：p 。，求这些素数的乘积 n = p ，? p ：一p 。计算上是容易的，是一个多项式时间算法：但是反之，已知，求 其素因子却是困难的，目前没有多项式时间算法可以求解。 2 1 2 安全r s a 模数 定义2 2 安全r s a 模数1 2 1 ：，z 是一个r s a 模数，其中 = p q ，且p = 2 p + 1 ， q = 2 q + 1 ，p ，q 都是素数。 2 1 3 二次剩余群鲫。 定义2 3 二次剩余：如果存在一个元素a z 。，满足a 2 三x ( m o d n ) ，其中x z ：， 那么x 就是一个模n 下的二次剩余。 定义2 4 1 二次剩余群鲫。：所有模疗下的二次剩余的集合。 二次剩余群q r 。有如下性质： 性质1 ：如果n 是安全r s a 模数，p ，g ，p ，g7 如上一节所定义，那么我们可知 i 鲫。| _ p q ，o r 。有( p 一1 ) ( g 一1 ) 个生成员。 性质2 ： 如果g 是鲫。的一个生成元，那么当且仅当a 与i 飒i 互素时，才有9 4 是 q r 。的一个生成元。 性质3 ： 如果a z ：是乏上的正态分布，那么a2 ( m o d n ) 是鲫。上的正态分布。 1 0 第二章基本概念和基本理论 2 1 4 离散对数问题 定义2 5 离散对数1 3 j 钉：设g 是一个有限循环群且g 是g 的一个生成元。元素a g 的离散对数是指唯一的整数x ( o x 1 ， ，。= u ( m o d n ) 。 假设2 1 强r s a 假设n 毛1 6 1 ：不存在概率多项式时间算法可以以不可忽略的概率解决 f l e x i b l er s a 问题。 2 2 2 判定性d i 仟i e - h e i i m a n 假设 假设2 2 鲫。上的判定性d i f f i e h e ll m a n 假设n ：设以是一个安全的r s a 模数， 设g 是q r 。的一个生成元。任给两个四元组( g ，g x , g y , g 砂) 、( g ，g x , g y , 9 2 ) ，其中 x ，y ，z e r z ：，不存在概率多项式时间算法可以以不可忽略的概率区分它们。k i a y i a s 等人 已经研究了鳓的子集上的判定性d i f f i e h e l l m a n 假设，他们说明了当x ，y ，z 是从鳃的 一些子集中任意选取的元素， q r 月的子集的大小最多降至i 鲫。降时，这个子集上的判 定性d i f f i e h e l l m a n 假设仍是成立的。 西安理工大学硕士学位论文 2 3 哈希函数 h a s h 函数也称为哈希函数、杂凑函数或散列函数，是密码学中一个重要的元素， 是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。用厅表示h a s h 函数， 肘表示要进行变换的数字串，则称h = 五( m ) 为哈希值，也称杂凑值，有人也形象的说 成是数字指纹。因为哈希函数是多对一的函数，所以定是将某些不同的输入变化成 相同的输出。这就要求给定一个哈希值，求其逆是比较难的，但对给定的输入计算其 哈希值必须是很容易的，因此也称哈希函数为单向哈希函数。 根据哈希函数的安全水平人们将哈希函数分成两大类：一类是强抗碰撞的哈希函 数；另一类是弱抗碰撞的哈希函数。 一个强抗碰撞的函数是满足下列条件的一个函数办： ( 1 ) h 的输入可以是任意长度的任何消息或文件m ； ( 2 ) h 的输出的长度是固定的( 该长度必须足够长以抵抗所谓的生日攻击，根据今 天的计算技术和能力，至少为1 2 8 比特长) ； ( 3 ) 给定 和m ，计算而( m ) 是容易的； ( 4 ) 给定h 的描述，找两个不同的消息m 。和m ：，使得h ( m ，) = 五( m ) ：是计算上不 可行的。 一个强抗碰撞的哈希函数暗含着单向性，所以强抗碰撞的哈希函数又称强单向哈 希函数。 一个弱抗碰撞的哈希函数与一个强抗碰撞的哈希函数的前三个条件完全一样，不 同的只是第( 4 ) 个条件：给定h 的描述和一个随机选择的消息m ，找另一个消息m ：， 且m ，m ：，使得h ( m 。) = 乃( m ) ：是计算上不可行的。 经过学者们的研究，目前已经设计出了大量的哈希函数，诸如m d 。1 1 8 1m d 。“盯、s h a l 呦1 等等。 2 4 二次剩余群鲫。上的离散对数零知识证明 零知识证明不仅是现代密码学中一个十分引人入胜的问题，而且有着重要的应用价 值，它已发展成为计算复杂性理论的一个重要分支。零知识证明是一种交互式协议。它是 通信双方在交互的过程中，一方在不向对方泄露信息具体内容的情况下，证明自己知道这 些知识。零知识证明技术，可以防止重放攻击。即：一个攻击者即使获得某一用户和验证 者的所有通信信息，他也无法使用这些信息来模仿该用户通过验证。因为在零知识证明的 过程中，将使用随机数进行多次重复证明。 协议2 1 一定区间上的离散对数知识：n 是一个安全的r s a 模数。g 是二次剩余群o r 。 的一个生成元。a ，z ，是大于1 的安全参数。x 是一个常量。a l i c e 矢1 道正在基g 下的离散 1 2 第二章基本概念和基本理论 对数x 在特定的区间x x 一2 。，x + 2 。】，a l i c e 通过如下协议向b o b 证明x 的知识。 s t e p l ：a l i c e 任选一个随机数t o ，1 。( “t o ) ，计算 互= g 。( m o d n ) 疋= g ( m o d n ) a l i c e 向b o b 发送( 互，正) 。 s t e p 2 ：b o b 任选一个随机数c 0 , 1 t c ，并发送给a l i c e s t e p 3 ：a l i c e 核实c 0 , 1 t c ，并计算 w = t c ( x x ) 其中w o ，1 “( “t o ) + 1 ，并且向b o b 发送w 。 s t e p 4 ：b o b 核实w o ，1 “( “) + 1 并验证 g ”烈互。= 互( m o d n ) 如果等式成立a 1 i c e 就向b o b 证明t a l i c e 9 1 道互在基g 下的离散对数x 在扩展的区间 x 一2 矾u ，x + 2 印+ ，c 】。该零知识证明“b2 2 1 在强r s a 假设的诚实验证者模型中是安全的。 协议2 2 不同基下的离散对数相等知识：n 是一个安全的r s a 模数。g 是二次剩余群 鲫。的一个生成元。a ，t 是大于l 的安全参数。x 是一个常量。a l i c e 矢h 道互在基g 下的离 散对数与正在基乃下的离散对数相等。a l i c e 通过如下协议向b o b 证明不同基下两离散对数 相等的知识。 s t e p l a l i c e 任选一个随机数t 0 ，1 “u ，计算 互= g x ( m o d n ) 正= h x ( m o d n ) 正= g t ( m o d n ) 互= h ( m o d n ) a l i c e 向b o b 发送( 互，正，五，7 4 ) 。 s t e p 2 ：b o b 任选一个随机数c 0 ，1 ) ，并发送给a l i c e s t e p 3 ：a l i c e 核实c 0 ，1 ) ，并计算 w = t c ( x x ) 其中w o ，1 “( “) ”，并且向b o b 发送w 。 s t e p 4 ：b o b 核实w 0 ，1 ) “( “，c ) + 1 并验证 g ”“互。= 五( m o d n )