（应用数学专业论文）基于daa的无线局域网认证机制的构造与仿真.pdf

河南大学研究生硕士学位论文第1 页 摘要 无线局域网经过不断的发展，在技术上已经逐渐成熟，应用也更加广泛，而 安全问题一直是无线局域网应用的一个主要障碍。从无线局域网应用的第一天起 就引入了相应的安全方案，其中认证技术是整个安全方案的基础。但是当前无线 局域网认证机制并不对用户身份等隐私信息进行保护。另一方面，在2 0 0 3 年，可 信计算组织为解决如何实现在可信计算中t p m 认证时的隐私保护的问题，发布了 直接匿名证言方案，但该方案只适合于小型可信计算网络。 本文为了解决无线局域网中身份认证的用户隐私保护问题，对直接匿名证言 方案进行了改进，构造了适合无线局域网的匿名身份认证机制。该机制可以在实 现网络用户的身份认证、防止非法用户假冒合法用户身份占用网络资源、删除或 篡改用户存储的数据的同时，保障合法用户的隐私。同时对改进的无线局域网认 证机制使用o p n e tm o d e l e r 进行了仿真，这不仅为机制的进一步应用打下基础， 同时也为基于无线局域网的个性化信息服务隐私保护机制研究提供了理论基础。 本文主要工作如下： 首先，针对直接匿名证言( d a a ，d i r e c ta n o n y m o u sa t t e s t a t i o n ) 方案中提 到的一种特殊的h a s h 函数进行研究和构造，该h a s h 函数的算法设计原理与如系 列算法和s h a 算法设计原理相似，主要是利用非线性运算和逻辑函数实现。算法 运行速度符合d a a 机制的要求，并满足h a s h 函数所要求的单向性和抗冲突性等安 全性要求。 之后，为了实现无线局域网中身份认证的隐私保护，对直接匿名证言机制按 无线局域网的要求进行改进，构造了无线局域网中可扩展认证协议支持的认证机 制。构造过程中使用一个客户端软件来实现t p m 的相关功能，并通过减少客户端 和发布者之间的交互次数来提高认证的效率。该机制和d a a 机制一样都是基于零 知识证明和群签名的，从而保持了认证的匿名性。另外还从理论上使用了b a n 类 逻辑w k 证明了机制的安全性。 最后，为了降低研究的成本，提高研究的有效性和精确性，使用o p n e tm o d e l e r 教育版对改进的认证机制进行了仿真，并将改进后的认证模型与开放系统认证模 型在全局延迟、全局负载及全局吞吐量等方面进行对比分析。在具体仿真中，对 o p n e tm o d e l e r 教育版提供的模型进行修改，按照采用自下而上的方式进行构造。 第1 i 页河南大学研究生硕士学位论文 关键词：身份认证；h a s h 函数；直接匿名证言；网络仿真 河南大学研究生硕士学位论文第1 i i 页 a b s t r a c t w i t ht h ed e v e l o p m e n to fw l a n ( w i r e l e s sl o c a la r e an e t w o r k ) ，i t sw i d e l ya p p l i e d i nf i e l d so fl i f e ，e c o n o m ya n ds c i e n t i f i cr e s e a r c h b u tt h ee x p o s e ds e c u r i t yp r o b l e m si sa n m a j o ro b s t a c l et ot h ea p p l i c a t i o no fw l a n i th a ss e tu pt h es e c u r i t ys c h e m ei nt h e b e g i n n i n go fw l a n ，a n d t h ea u t h e n t i c a t i o nt e c h n o l o g yi st h eb a s i so ft h es c h e m e b u t t h ea u t h e n t i c a t i o nt e c h n o l o g ya d o p t e db yw l a nc a n n tp r o t e c tt h eu s e r sp r i v a c y e f f e c t i v e l y i n2 0 0 3 ，t oe n s u r e t h e a n o n y m i t yi n t h et p ma u t h e n t i c a t i o n ，t r u s t e d c o m p u t i n gg r o u pi s s u e dd a a ( d i r e c ta n o n y m o u sa t t e s t a t i o n ) s c h e m e h o w e r e ，t h e s c h e m ei so n l ys u i t a b l ef o rs m a l lt r u s t e dc o m p u t i n gn e t w o r k t o p r o t e c t t h eu s e r s p r i v a c y i na u t h e n t i c a t i o n ，t h i sa r t i c l ei n t r o d u c e s a l l a n t h e n t i c a t o ns c h e m es u i t a b l ef o rw l a nb a s e do nd a a t h es c h e m ec o u l di d e n t i f i e s t h eu s e r sa u t h e n t i c a t i o n ，a n dp r e v e n t su n a n t h o r i z e du s e r sf r o mo c c u p y i n gr e s o u r c eo f n e t w o r k ，d e l e t i n g ，o rt a m p e r i n g d a t a i nt h e m e a n w h i l e ，i tp r o t e c t s t h e p r i v a c y o f l e g i t i m a t eu s e r s t h er e a l i z a t i o no ft h es i m u l a t i o no ft h ei m p r o v e ds c h e m en o to n l yl a y s t h ef o u n d a t i o nf o rt h ef u r t h e ra p p l i c a t i o n ，b u ta l s op r o v i d e sat h e o r e t i c a lb a s i sf o rt h e r e a r c ho np r i v a c yp r o t e c i t o no fp e r s o n a l i z e di n f o r m a t o ns e r v i c ew h i c hb a s e do nw l a n t h em a i nw o r k so ft h i sp a p e ra r ea sf o l l o w s ： f i r s t l y , as p e c i a l h a s hf u n c t i o n a l g o r i t h mf o r d i r e c ta n o n y m o u sa t t e s t a t i o n s c h e m ei ss t u d i e da n dp r e s e n t e d t h ed e s i g np r i n c i p l eo ft h i sa l g o r i t h mi ss a m ea st h e m da n ds h aa l g o r i t h m s s i m p l en o n l i n e a rt r a n s f o r ma n dl o g i s t i cf u n c t i o na r eu s e di n t h i sa l g o r i t h m t h ea l g o r i t h m ss p e e do f e x e c u t i o ni sv e r ys u i t ef o rd a a s c h e m e f u r t h e r m o r e t l l ea l g o r i t h mc a ns a t i s f yt h er e q u i r e ds e c u r i t yp e r f o r m a n c e ，s u c ha so n e 。w a ya n d c o l l i s i o nr e s i s t a n c e s e c o n d l y , i no r d e rt o a c h i e v et h ea n o n y m i t y , t h i sa r t i c l em a i n l yp r o p o s e sa n a n o n y m o u sa u t h e n t i c a t i o no fw i r e l e s sl o c a la r e an e t w o r kb a s e do nt h ed a a i nt h e c o n s t r u c t i o n ，i ta c h i e v e st h ef u n c t i o no ft p mb yac l i e n ts o f t w a r e ，a n dp t o m o t e st h e e f f i c i e n c yb yr e d u c i n ga l t e r n a t i o nb e t w e e nc l i e n ta n di s s u e r t h es c h e m ei s b a s e do n z e r o - k n o w l e d g ea n dg r o u ps i g n a t u r e ，s o i tk e e p st h ea n o n y m i t yo fa u t h e n t i c a t i o n i n a d d i t i o n ，i tp r o v e st h es e c u r i t yo ft h es c h e m ei nt h e o r yw i t hb a n l i k el o g i c 第f v 页河南大学研究生硕士学位论文 f i n a l l y , i no r d e rt or e d u c et h ec o s t ，i m p r o v et h ev a l i d i t ya n da c c u r a c yo fr e s e a r c h ， w er e a l i z et h es i m u l a t i o no ft h ei m p r o v e ds c h e m eb y o p n e tm o d e l e re d u c a t i o n v e r s i o n ，c o m p a r ei tw i t ht h eo p e ns y s t e mm o d e lo nt h ee s s e n t i a lp a r a m e t e r s ，s u c ha s g l o b a ld e l a y , g l o b a l l o a da n dg l o b a lt h r o u g h p u t i nt h es i m u l a t i o n ，w ec o n s t r u c tt h e i m p r o v e dm o d e lb a s eo nt h ee x i s t i n gm o d e l si no p n e t i nt h ep a t t e r no f b o t t o m - u p k e y w o r d s ：a u t h e n t i c a t i o n ；h a s hf u n c t i o n ；d i r e c ta n o n y m o u sa t t e s t a t i o n ；n e t w o r k s i m u i a t i o n 关于学位论文独立完成和内容创新的声明 本人向河南大学提出硕士学位中请。本人郑重声明：所呈交的学位论文是 本人在导师的指导下独立完成的，对所研究的课题有新的见解。据我所知，除 文中特别加以说明、标注和致谢的地方外，论文中不包括其他人已经发表或撰 写过的研究成果，也不包括其他人为获得任何教育、科研机构的学位或证书而 使用过酌材料。与我一同工作的同事对本研究所做的任何贡献均已在论文中作 了明确酌说明并表示了谢意。i 咎；：。”_ ， 学位中鬏“僻位篇美t 墨些学位申请人，e 学位论克作者) - 釜名：墨型竺鱼兰 ：0 + 。，。一：一1 形。：j ：。_ tj ：，r 。二j 。 ? 爹：0 j j ：_ 。，j 荔j 。汹诉衫碉? 目 考蠢二搿。参墨i 移嚣；嘉7 鸯嘭。瓷 ， 。；1 _ 7 ，? 一? 。f |冀 ： j j “ 矿。 篓l ! ? 鬈等量：彰髻，；j 。一，童警 t n- ， ，-， 、c j ， ，、o 0 蕤j 。，关- t 学位论文著作权使用授权书，5 笏 ；之。如，茹。：锄：如，囊，囊；。， 7 = 。警 本人经河南大学审核批准授子硕士学位。作为学位论文酌作者，本人完全 了解并同意河南大学有关保留、。使庵学位论囊：酌要求，即河】| 毒j 大学有权向国家 图书馆、科研信息机构、数据收集机构和本校图书馆等提供学位论文( 纸质文 本和电子文本) 以供公众检索、聋阅。? 本 授权河惫大学出于宣扬、展览学校 学术发展和进行学术交流等静钠“可蝶采取影印j 缩印、扫描和拷贝等复制手 段保存、汇编学位论文( 纸质文本和电子文本) 。 ( 涉及保密内容的学位论文在解密后适用本授权书) 学位获得者( 学位论文作者) 签名：墨堕 2 0 町年月 日 学位论文指导教师签名： 河南大学研究生硕士学位论文第l 页 第1 章绪论 1 1 课题来源 本课题是导师主持的河南省科技厅重点攻关计划项目一个性化服务系统的隐 私保护机制研究( 项目编号：0 8 2 1 0 2 2 4 0 0 3 8 ) 工作的一部分。个性化服务是一种 体现个性化特性、满足个性化需求、培养个性化趋势的信息服务方式。但在提供 个性化信息服务过程中，服务提供者可以确定用户的身份，跟踪用户的个人信息， 存在用户隐私泄漏的可能。因此需要对个性化服务系统的隐私保护机制进行研究， 解决个性化处理与匿名认证之间的矛盾，提出满足个性化服务需求的匿名认证方 案，设计具有隐私保护机制的个性化服务系统，并对系统的安全性、匿名性和性 能进行分析、测试与验证。 1 2 课题背景及意义 无线局域网因其特有的灵活性、移动性及较低的投资成本等优点，得到了快 速而广泛的应用。但无线局域网采用公共的电磁波作为载体，非授权用户很容易 在无线局域网中窃听信息或者非法接入，因此安全问题一直是无线局域网应用的 一个主要障碍。从无线局域网应用的第一天起就引入了相应的安全方案，其中认 证技术是整个安全方案的基础。认证主要包括：数据源认证、实体身份认证和认 证的密钥建立。最初i e e e 8 0 2 1 1 【i 】为无线局域网提供了两种认证方式：开放系统认 证和共享密钥认证。而i e e e 8 0 2 1 1 默认的是采用开放系统认证，这等于没有认证。 当前无线局域网大多采用i e e e 8 0 2 1 x 协议【2 j 中的e a p t l s 协议进行用户身份 认证。i e e e 8 0 2 1 x 是基于端口的网络访问控制方案，它的核心是e a p 可扩展认证 协议，e a p 封装的具体认证协议很多，现在最常用的是e a p - t l s 协议【3 】，该协议 可以有效的实现用户的身份认证，但在每次的身份认证过程中，用户必须先将自 己的身份信息提交给接入点a p ，接入点a p 再将身份信息转交给认证服务器，认 证服务器通过查询用户身份信息数据库来验证用户身份的合法性。认证的前提是 已经建立了用户的身份信息数据库，可见该协议认证过程中并不对用户身份进行 保护。然而，在无线通信环境下，用户当前所处的位置等身份信息对攻击者来说 可能有特殊的价值( 如实施跟踪) ，所以对用户的身份进行保护就十分必要。 同时随着计算机系统与网络安全研究的深入，可信计算( t r u s t e dc o m p u t i n g ) t 4 习逐渐成为人们关注的焦点。1 9 9 9 年，可信计算平台联盟( t c p a ，t r u s t e dc o m p u t i n g 第2 页河南大学研究生硕士学位论文 p l a t f o r ma l l i a n c e ) 成立，并于2 0 0 3 年更名为可信计算组织( t c g ，t r u s t e dc o m p u t i n g g r o u p ) 。目前t c g 制定了基于可信平台模块( t p m t r u s t e d p l a t f o r mm o d u l e ) 的安全 架构标准。在可信计算网络中，平台内部各实体之间和t p m 之间都需要进行可信 认证，但认证的同时容易造成平台用户的行为被跟踪，导致隐私泄露。而可信计 算技术能被用户广泛使用的关键在于其在实现t p m 相互认证的同时，提供了身份 隐私保护。 为了解决t p m 之间相互认证的隐私保护问题，可信计算组织先后采用了隐私 认证机构( p r i v a c yc a ) 方案 4 】和直接匿名证言( d a a ，d i r e c ta n o n y m o u s a t t e s t a t i o n ) 孓6 j 方案。其中的直接匿名证言方案可以对可信网络中进行身份认证的 t p m 进行隐私保护。但d a a 方案是为可信计算环境设计的，适合于小型可信计 算网络，并不适合普通的非可信计算网络。 本文对直接匿名证言方案进行了改进，构造了适合无线局域网的身份认证机 制，可以在实现网络用户的身份认证、防止非法用户假冒合法用户身份占用网络 资源、删除或篡改用户存储的数据的同时，保障合法用户的隐私。同时对改进的 无线局域网认证机制使用o p n e tm o d e l e r 进行了仿真，以验证改进机制的性能， 为机制的进一步应用打下基础，同时也为个性化信息服务隐私保护机制研究提供 了理论基础。 1 3 研究现状 随着无线局域网的迅速发展，其安全问题日益受到人们的关注。 1 9 9 7 年i e e e 提出了8 0 2 1 1 技术标准，标准中规定了用户身份认证的有关措 施。但是i e e e8 0 2 1 l 的认证形同虚设，因为i e e e8 0 2 1 1 默认的是采用开放系统 认证，开放系统认证由s t a 发起请求，认证算法标识为开放系统认证，如果对方 s t a 认证算法也标识为开放系统认证，即应答成功，该认证机制可以让任何认证 请求者通过认证，从本质上讲，它提供了一个空的认证过程；而i e e e8 0 2 1 1 采用 的另一种认证机制一共享密钥认证则存在重大漏洞。 2 0 0 1 年6 月，i e e e 标准委员会提出8 0 2 1 x 协议用于用户身份认证，并于2 0 0 4 年批准8 0 2 1 x 协议成为8 0 2 1 l i 的最终规范。目前8 0 2 1 x 协议中使用的认证方案 是8 0 2 1 x e a p 协议中的t l s 协议。e a p t l s 是一种基于t l s 的认证方式，认证 服务器与客户端采用t l s 协议协商会话密钥。该协议要求双方都要有公钥证书， 服务器与客户的双向认证是通过公钥证书进行t l s 建立会话密钥的。 河南大学研究生硕士学位论文第3 页 我国在2 0 0 3 年5 月就提出了无线局域网的国家标准g b l 5 6 2 9 1 1 【7 1 ，这是目前 我国在这一领域唯一批准的协议。标准中包含了w a p i 安全机制，该机制由认证 基础设施w a l 和保密基础设施w p i 组成，其中w a i 用于对用户身份的鉴别。但 w a p i 与先行标准i e e e 系列差异较大，存在漫游及设备兼容等问题。该标准于2 0 0 4 年确定推迟强制执行。 现在国内外有关无线局域网身份认证的研究大多是集中于8 0 2 1 x e a p 协议如 何减少消息的交互轮数、降低计算的复杂度和提高认证效率等方面，而很少涉及 认证的匿名性研究。 文献 8 撷 出了一种对t l s 协议的改进方案，主要是弥补t l s ( t r a n s p o r tl a y e r s e c u r i t y ) 协议在“抗抵赖”安全特性上的缺陷。在保持t l s 协议原有安全性的前提 下，对t l s 协议中两个子协议一握手协议和记录协议进行了扩展与改进，在其内 部引入了验证及数字签名机制，并且支持在握手协议中对数字签名及验证功能进 行动态协商，同时与原有的t l s 协议兼容。 直接匿名证言方案【6 】主要是为解决如何实现t p m 相互认证时的身份隐私保护 的问题而提出的。现阶段对该方案的研究主要集中在加入协议中用户的认证参数 b a s e n a m e s 的产生方法、消息交互次数的减少、非法用户的识别等方面，而没有涉 及方案与实际的应用的结合。 其中，文献【9 的方案主要解决固定基名对匿名性的影响问题，提出了可变基 名。 文献【l o 的方案主要解决时间开销问题，提高了方案的效率。 文献【11 】分析了直接匿名证言方案的实现机制，指出了使用直接匿名证言方案 可能存在的问题，如匿名丧失、时间开销和跨域认证等问题，最后探讨了解决这 些问题的一些思路，为正在研究的新方案奠定基础。 文献【1 2 分析了可信平台模块身份认证方案的匿名性机制，在修改直接匿名证 言方案的基础上，提出了一个称为t o s s 的可信在线服务系统设计方案。该系统是 基于用户等级的，支持匿名访问、服务分级和时限控制，具有更好的安全性和服 务进化功能。 文献 1 3 1 根据可信计算环境下直接匿名证言方案的可变假名机制，设计了一个 面向通用网络环境下个性化服务的匿名认证方案，并针对付费系统的匿名保持问 题做了进一步改进。 第4 页河南大学研究生硕士学位论文 1 4 本文主要工作 本文主要研究直接匿名证言机制的改进及其在无线局域网中应用，并对构造 的认证机制进行证明和仿真，主要工作如下： 第一，针对直接匿名证言( d a a ，d i r e c ta n o n y m o u sa t t e s t a t i o n ) 方案中提 到的一种特殊的h a s h 函数进行研究和构造，该h a s h 函数的算法设计原理与佃系 列算法和s h a 算法设计原理相似，主要是利用非线性运算和迭代函数实现。算法 运行速度符合d a a 机制的要求，并满足h a s h 函数所要求的单向性和抗冲突性等安 全性要求。 第二，为了实现无线局域网中身份认证的隐私保护，对直接匿名证言协议按 无线局域网的要求进行改进，构造了无线局域网中可扩展认证协议支持的认证机 制。构造过程中使用一个客户端软件来实现t p m 的相关功能，并通过减少客户端 和发布者之间的交互次数来提高认证的效率。该机制和d a a 机制一样都是基于零 知识证明和群签名的，从而保持了认证的匿名性。另外还从理论上使用了b a n 类 逻辑w k h 】证明了机制的安全性。 第三，为了降低研究的成本，提高研究的有效性和精确性，使用o p n e tm o d e l e r 教育版对改进的认证机制进行了仿真，并将改进后的认证模型与开放系统认证模 型在全局延迟、全局负载及全局吞吐量等方面进行对比分析。在具体仿真中，对 o p n e tm o d e l e r 教育版提供的模型进行修改，按照采用自下而上的方式进行构造。 1 5 论文结构 本文共分五章，具体的章节结构安排如下： 第l 章主要介绍研究课题的来源、背景、意义及现状，并引出本文的主要工 作。 第2 章首先介绍可信计算的相关概念及其公布的两种身份认证方案：p r i v a c y c a 方案和直接匿名证言方案。然后重点对直接匿名证言方案进行分析，主要分析 其实现机制，并针对机制中提到的一种特殊的h a s h 函数进行研究和构造。 第3 章探讨了无线局域网中身份认证的必要性，并分析了现有i e e e 8 0 2 1 1 中 的开放系统认证机制，i e e e 8 0 2 1 x 中的e a p t l s 认证机制和中国无线局域网的国 家标准中的认证机制，指出了这些认证机制能够保证身份认证的安全性，但是无 法满足保护认证用户隐私的要求。 第4 章在第2 章和第3 章的基础上提出了基于直接匿名证言方案的无线局域 河南大学研究生硕士学位论文第5 页 网的身份认证机制，并从理论上证明了协议的匿名性和安全性。其中安全性的证 明使用b a n 类逻辑w k 。 第5 章首先介绍网络仿真工具o p n e tm o d e l e r ，然后利用o p n e t 提供的无线 局域网模块进行基于d a a 的无线局域网的身份认证机制的仿真，另外还将基于 d a a 的无线局域网的身份认证机制的仿真模型与开放系统认证仿真模型在全局时 延、全局负载和全局吞吐量等方面进行了对比分析。 第6 页河南大学研究生硕士学位论文 第2 章直接匿名证言方案及其h a s h 函数的构造 直接匿名证言机制是由i b m 苏黎世研究院的c a m e n i s c h 、惠普的l i q u nc h e n 和英特尔的b r i c k e i i 共同提出的，主要是为了实现可信计算中t p m 之间的匿名认 证。在直接匿名证言机制中使用了长度为1 7 1 2 位的h a s h 函数，但方案中并未给 出相关的h a s h 算法。本章参照s h a 和h a 、，a l 的构造原理，对d a a 方案中的1 7 1 2 位的h a s h 函数进行了研究构造 2 1 可信计算概论 随着网络安全问题的不断增多，如何构建适应信息发展要求的可信计算网络 逐渐成为信息技术领域最重要的课题之一。 2 1 1可信计算的发展 随着计算机系统与网络安全研究的不断深入，可信计算逐步成为人们关注的 隹占【1 5 】。 、j u 在2 0 世纪7 0 年代初，a n d e r s o nj p 第一次提出了可信系统的概念。人们早期 对可信系统的研究主要集中在操作系统自身安全机制以及支撑它的硬件环境等方 面。 1 9 8 3 年美国国防部发布了可信计算机系统评估标准，并对可信计算机进行了 定义。这一阶段的研究主要集中在通过对数据的访问权限进行控制及保持最小可 信组件集合来实现系统可信的目的等方面。 1 9 9 9 年，m i c r o s o f t 、c o m p a q 、i n t e l 、i b m 、h p 等公司成立了可信计算平台联 盟t c p a ，后改名为可信计算组织t c g 。该组织主要致力于新一代具有信任、安 全能力的硬件运算平台的开发。 2 1 2 可信计算的基本概念 可信性指的是一个实体行为总是以期望的意图和方式进行，且行为是可控的。 可信计算主要通过可信计算平台( t c p ) 和可信网络环境实现的【l5 1 。 t c g 定义了可信计算的三个属性： 1 私有性：系统有能力保证信息的私有性； 2 认证性：用户可以确定与之进行通信的对象的身份； 3 完整性：用户可以正确传输信息。 河南大学研究生硕士学位论文第7 页 可信计算平台在安全计算机的基础上扩展而成，实现基础是安全应用、安全 o s 和安全芯片，理论基础是认证理论和密码学。 2 1 3 可信计算平台结构 t c g 采用软件加硬件的方法，在b i o s 、硬件、操作系统、系统软件等层次上 增强系统的可信性。可信计算平台在传统的主板上增加了可信构造模块( t b b ) 以及与平台相关的硬件。而可信构造模块又由可度量的核心信任源( c r t m ) 和可 信平台模块( t p m ) 组成，并作为主板上惟一的可信组件。 可信计算平台的工作原理是把b i o s 引导块作为完整性测量的信任根，t p m 作为完整性报告的信任根，通过对b i o s 、操作系统进行完整性测量来确保可信性。 图2 1 是可信计算平台的结构图。 图2 - 1可信计算平台结构 2 1 4 可信计算的隐私保护问题 在可信计算网络中，平台内部各实体之间和t p m 之间在认证的同时容易造成 平台用户的行为被跟踪，导致隐私泄露。而可信计算技术能被广泛应用的关键在 于其在实现t p m 相互认证的同时，提供了身份隐私保护。目前，可信计算组织发 布的t p m 身份认证方案包括隐私认证机构方案和直接匿名证言方案。 2 2 p riv a c yc a 方案 为提供隐私保护，t c g 采用的第一种方案是隐私认证机构方案( p r i v a c yc a ) 。 第8 页河南大学研究生硕士学位论文 2 2 1 priv a c yc a 方案概述 p r i v a c yc a 方案通过一次一密的签名方式来实现认证的匿名性。t p m 在每次 认证时产生一对不同的r s a 签名密钥，同时引入p r i v a c yc a 对公钥进行证明。t p m 在每次认证时只要将用公钥签名的p c r 和p r i v a c yc a 对公钥的证明发送给验证者 即可。其中验证者负责验证t p m 的身份。在每次认证时，每个t p m 出示的a i k i 公钥都不相同，因而验证者无法辨别对方是否是同一t p m ，就无法跟踪平台用户 的行为。 这种方案有两种检测假冒t p m 的可能性：一是p r i v a c yc a 可以保留假冒t p m 的e k 的列表，并通过查询列表来拒绝假冒t p m 的认证要求；二是p r i v a c yc a 若 频繁收到一个特殊的e k 发出的请求，它也会拒绝。p r i v a c yc a 方案的认证流程如 图2 2 所示。 图2 - 2p r iv a c yc a 方案的认证流程图 2 2 2 p riv a c yc a 方案的缺点 p r i v a c yc a 方案虽然可以有效的验证t p m 的身份、保护用户隐私，但是该方 案也存在比较明显的缺点。第一，每个t p m 的每次认证时均要向p r i v a c yc a 申请 认证证书，p r i v a c yc a 任务繁重，成为提高认证效率的瓶颈，不适合大范围或大规 模的网络应用。第二，谁来建立p r i v a c yc a 也是一个问题，如果p r i v a c yc a 与用 户关联，则证明的合法性就得不到保证；如果p r i v a c yc a 与验证者关联，由于t p m 在申请每个a i k i 的证明时要使用自己的公钥，这时t p m 的匿名性又无法保障。 2 3 直接匿名证言( d a a ) 方案 在p r i v a c yc a 方案中，每次交互时都要申请一个t p m 身份证书，会给认证中 心带来很大的负担，同时也可能造成隐私泄漏和被跟踪。为此，可信计算组织采 用了直接匿名证言方案( d a a ) 。 河南大学研究生硕士学位论文第9 页 2 3 1直接匿名证言( d a a ) 方案概述 直接匿名证言方案可以在不暴露或少暴露信息的情况下提供可信平台的身份 证言。该方案主要基于零知识证明和群签名密码技术，能做到“你知道我是可信 的，但你不知道我是谁”，且不存在p r i v a c yc a 方案那样的瓶颈问题。 在这种方案中，t p m 同样拥有密钥对e k ，并可以产生d a a 密钥，首先t p m 将e k 和d a a 发送给d a ai s s u e r ，并从d a ai s s u e r 处获得d a a 签名。为了验证 t p m 的身份，t p m 将a i k 、使用a i k 加密的签名及d a a 签名等发送给v e r i f i e r 验证。下图2 3 给出了d a a 方案的认证流程图： 图2 - 3d a a 方案的认证流程图 2 ，3 2d a a 方案的实现机制 以下为d a a 方案的实现机锘u t 4 , 5 1 ： 1 d a a 发布者计算并公布其公钥p k l = ( ，z ，g 。，g ，h ，s ，z ，r ，r l ，厂，f ，p ) 。 2 t p m 产生将拆分为( 五，z ) ，并选择一个随机整数v ，计算u 和， 之后将e k 公钥u 和，发送给d a a 发布者。其中：u = 鼢尉s m o d n ； n 。= m o d f = 孝 + 斤。m o d f ，i f = 1 0 4 位：f = ( h r ( 1 | lb s n f ) ) r - 州pm o d f 。 3 d a a 发布者先检验t p m 公钥的合法性，并使用m 检查该t p m 是否在黑 名单中，其次通过知识证明判定申请者使用( ( 五，；，1 ，。) 计算了u 和m 。 4 d a a 发布者产生随机素数e 和随机整数v ，并计算么，之后将似，v ”，0 发送给t p m 。 二= 离卜幽 5 t p m 检验a 的正确性，并将( a ，e ，y = v + v ”) 作为关于( f o ，f 1 ) 的d a a 证明， 同时将( 五，z ，1 ，) 作为密钥。在每次进行身份认证时，首先计算弓，v ，然后计算 正，疋，n ，和c ，最后形成的d a a 签名。t p m 将d a a 签名和a i k i 公钥发送给验证 第1 0 页河南大学研究生硕士学位论文 者。 6 验证者使用参数c 检查t p m 的公钥是否与d a a 签名中的公钥一致且不被 重放，通过知识证明来判定t p m 是否拥有关于( 厶，工) 的d a a 证明且用( 五，z ) 计 算了n v ，用n v 检查该t p m 是否在黑名单中。 和p r i v a c yc a 方案一样，t p m 在向d a a 发布者申请时也使用公钥。但是在 d a a 方案中，验证者无法获得t p m 的磊，f ，v ，a 和e ，而且随着每次认证时 w ，r 的不同t 1 ，t 2 的值又不断变化，而只要乒，并非一个固定值，验证者就无法 获得能唯一对应于被认证者的值，这时即使发布者与验证者串通，也无法确定具 体是t p m 的身份，从而保证了匿名性；同时t p m 只需向发布者申请一次d a a 证 明，这样发布者也不会成为认证效率的瓶颈。 2 4d a a 方案中一种特殊h a s h 函数的构造 在d a a 方案中提到了两个抗碰撞攻击的h a s h 函数：日，( ) ： 0 ，1 ) 。叫 o ，l o 和 ，( ) ： 0 ，l + - - - - - 专 o ，1 ) ”l 。其中，0 ，乙都是安全参数，表示在f i a t s h a m i r 启 发式方法使用的h a s h 函数的长度为1 6 0 位；i 表示模型r 的长度为1 6 3 2 位：厶表 示用来控制零知识证明特性的安全参数的长度为8 0 位。也就是说日( ) 的输出长度 位t 6 0 位，使用s h a 算法就可以实现。但是日，( ) 的输出长度为1 7 1 2 位，现有的 一些著名的h a s h 函数算法如m d 系列( 包括m d 2 ，m d 4 ，m d 5 ) ，s h a 算法，f f t 算法和h a v a l 1 9 1 算法等都无法达到这个要求。本节介绍了一个可以满足输出 1 7 1 2 位的安全h a s h 函数【l 6 1 。 2 4 1 h a s h 函数简介 身份的验证、信息的完整及保密已经成为目前数据安全的三大问题。而身份 验证主要使用h a s h 函数来实现。h a s h 函数是一种可以把任意长度的输入变换成固 定输出的压缩映射算法。h a s h 函数的输出称作散列值，该值一般远小于输入空间。 使用h a s h 函数不可能唯一的确定输入，但不同输入却可能得到相同的散列值。 h a s h 函数的定义为h ：d 一尺，令d = i di 表示定义域的大小，刀爿rl 表示值 域的大小，且d n ，即h a s h 函数的定义域与值域要大得多。同时，h a s h 函数必 须满足以下特性【1 7 】： 高效性：对于给定消息m ，必须能快速的计算出h ( m ) 。 分布均匀性：要使输出结果中出现l b i t 的变化，则在输入时至少要有一半的 b i t 发生变化。 河南大学研究生硕士学位论文第1 1 页 单向性：无法在计算构造一个散列函数，并使其散列结果为一个特定的散列 值，也就是说构造相应的m = h 一( 厅) 不可行。 映射分布均匀性：在散列值中，o ，1 的总数应该大致相等，输入中若有l b i t 变化，则在散列值中将有一半以上的b i t 发生改变，也称做雪崩效应，即必须使输 入中每一个b i t 的信息尽量均匀的反映到输出的每一个b i t 上。 抗冲突性：不能构造出可以产生两个相同散列值的h a s h 函数。 2 4 2h a s h 函数的构造算法 1 消息填充 对消息进行填充，使得填充后的消息长度为5 1 2 位的整数倍。消息的长度为k i ， 蚓2 6 4 1 。表示矧的二进制，其长度最多为6 4 位。h a s h 函数的填充算法如下： c o m m e n t ：l x l 、 2 6 4 1 ： d - - - ( 4 3 8 一i x ) m o d51 2 ； 一防l 的二进制表示，l l l = 6 4 ； 办一散列长度的二进制表示，i h l = 9 ； y x lll 1 0 4 纠陋。 2 消息扩展 用下面的方法把5 1 2 位的消息分组从1 6 个3 2 位( m o m t 5 ) 扩展为8 0 个3 2 位( - m 7 9 ) 。 瞰= 必，f o rt = 0t o1 5 ； 职= 暇4o 暇5o 既1 3o 职1 6 和厂f = 1 6t o7 9 。 3 初始变量 算法共需要1 2 个3 2 位常量，其中8 个为初始变量，4 个为主循环中要用到的 常量。这1 2 个初始变量是利用圆周率的兀产生的，取法如下：以( 兀3 ) 木2 3 2 作为初 始值，取其整数部分为4 4 2 表示其小数部分，彳表示彳j 的十六进制表示。然后 b ，表示a 2 2 3 2 的小数部分，b 2 表示a 2 2 3 2 的整数部分，同样b 表示彪的十六进 制。同理一直这样直到得到全部的1 2 个变量。其中8 个3 2 位初始变量的初始值 为： a = 0 x 1 5 e d 5 6 c 8b = - 0 x 4 f d 3 6 c 7 5c = 0 x e c l 9 a 3 6 bd = 0 x 4 8 3 9 2 5 d e e = 0 x o e 5 f 6 8 a 2f = 0 x 6 2 d f a 8 5 e g = 0 x 6 39 0 c e1f 月三o x 8 2 2 9 e 7 2 a 主循环中用到的4 个常量初始为： 第1 2 页河南大学研究生硕士学位论文 k t = 0 x 6 3 6 f b c 2 a ，t 0 ，1 9 】；k = 0 x c 4 b f e s l b ，t 2 0 ，3 9 】； k t = 0 x 8 2 4 3 0 e 8 8 ，t 4 0 ，5 9 ；k 2 0 x 8 6 7 9 4 c 38 ，t 【6 0 ，7 9 】。 4 算法中非线性函数的设计 主循环算法中采用的非线性函数关系整个算法的安全性和有效性，本文使用 以下函数： f l ( 彳，b ，c ，d ，e ，f ，) 刊e a b oc fob eoa d ，t e 0 ，1 9 】； f 2 ( 爿，b ，c ，d ，e ，f ，) 利o a c o d e 国c e o b f o a d o b c o b d e o a b c ，t 【2 0 ，3 9 ； 凡( 彳，8 ，c ，d ，e ，f ，) 刊o a d o e f o b f o a d o a b c , t e 4 0 ，5 9 】； 凡( 爿，b ，c ，d ，e ，f ，) 刊oa e od eoc foc eoc dob f ob doc d eo b d eob c d ，te 6 0 ，7 9 】 以上四个非线性函数符合主循环算法的要求，具有良好的o 1 平衡性，雪崩性， 不等价性和非线度性。 5 主循环算法 算法的一般性描述：消息中5 1 2 位分组的数目为循环的次数，循环有四轮， 分别对【o ，1 9 “2 0 ，3 9 】，【4 0 ，5 9 】， 6 0 ，7 9 】这四轮进行2 0 次操作，每次操作对 8 个3 2 位初始变量进行线性变换，并使用相同的轮常数对其中6 个变量进行一次 非线性变换。 f o ri = 1t on ( n 为分组的个数) 初始化口，b ，c ，d ，e