（计算机系统结构专业论文）无线环境中身份匿名认证机制的研究.pdf

论文摘要 随着无线网络的逐步普及，用户可移动性成为信息安全领域的一个研究热 点，并由此引入了许多新的安全课题。其中之一就是移动用户在认证过程中的真 实身份的暴露。用户真实身份的暴露可能导致用户的行踪被非法跟踪，在一些特 定情况下造成对用户隐私的侵犯。 如何既保护用户身份不被随意暴露，又能够有效地进行用户身份认证。一个 基本的解决方案就是使用假名或者化名。 本文回顾和总结以往使用假名或者化名的手段来保护用户身份信息的几类 认证方法，并介绍了无线网络环境下匿名身份要求的分类标准。 本文着重对于基于零知识证明系统的假名认证机制进行了比较完整和深入 的探讨和研究，针对原有机制的不足之处，提出了自己的协议实现，并给予了完 整的证明。 关键词无线网络身份识别匿名认证假名系统零知识协议 知识证明协议可追踪性身份可关联性可多次使用的保证书 a b s t r a c t n o w a d a y sm o b i l es e r v i c e sa r eb e c o m i n gm o r ea n dm o r ec l o s et o o u ro r d i n a r y l i f e u s e rm o b i l i t y b r i n g sm u c h a t t e n t i o ni nt h ei n f o r m a t i o ns e c u r i t yf i e l da n dm a n y n e ws e c u r i t yi s s u e sa r eu n d e rr e s e a r c h o n eo ft h em o s ti m p o r t a n tt h r e a ti nt h e w i r e l e s s a p p l i c a t i o n s i st h ed i s c l o s u r eo ft h er e a l i d e n t i t yd u r i n g t h ew i r e l e s s a u t h e n t i c a t i o np r o c e s s e s t h ed i s c l o s u r eo fam o b i l et i g e r s i d e n t i t ym a yl e a dt ot h e i l l e g a lt r a c ko f h i sa c t i o n sa n dm a yc o m p r i s e h i s p e r s o n a lp r i v a c y a b a s i cs o l u t i o nf o rt h ep m v i s i o no f u s e ra n o n y m i t yi st ou s ep s e u d o n y mo ra l i a s ， a t e m p o r a r yi d e n t i t yo f a m o b i l eu s e ri n s t e a do f h i sr e a li d e n t i t y i n t h i sp a p e r , w er e v i e w e da n ds u m m a r i z e d t h ea u t h e n t i c a t i o ns c h e m e s w h i c h p r o v i d e t h eu s e r s i d e n t i t yi n f o r m a t i o n p m t e c f i o nb y t h em e a n so f p s e u d o n y mo ra l i a s w ea l s oi n t r o d u c e dac l a s s i f i c a t i o nl e v e lo ft h er e q u i r e m e n t so ft h ea n o n y m i t yi nt h e w i r e l e s se n v i r o n m e n t t h i sp a p e rf o c u s e do nt h er e s e a r c ho ft h ep s e u d o n y ms y s t e mb a s e do nt h ez e r o k n o w l e d g es y s t e ma n dw ep r o p o s e dap s e u d o n y ms y s t e mw i t hm u l t i u s ec r e d e n t i a l s a n d p r o v e t h es e c u r i t y p r o p e r t i e so n t h er e v i s e ds y s t e m k e y w o r d s w i r e l e s se n v i r o n m e n t ，a n o n y m i t y , a u t h e n t i c a t i o n ，t r a c e a b i l i t y , p s e u d o n y ms y s t e m ，z e r o k n o w l e d g ep r o t o c o l ，k n o w l e d g ep r o o f , i d e n t i t yl i n k a b l e ， m u l t i u s ec r e d e n f i a l 无线环境中身份匿名认i l 机制的研究 第一章引言 1 1 身份认证的基本概念 认证技术是信息安全理论与技术的一个重要方面。首先让我们来区分一下两个基 本概念：身份识别和身份认证。 身份识别通常被理解为对机器接收到的对用户的描述的认知过程。一般而占，可 以通过唯一的机器可读的名字来识别用户的身份。身份认证是指肯定程度较高的身份 识别，该识别足以允许被识别的人或者事物执行某种权利或者享受某种特权。更简单 的说，身份认证就是确认人或者设备的身份与其所声称的一致。在日常生活中的电话 联系中，彼此通过对方熟悉的声音来识别对方。在我们使用信用卡时，需要输入密码， 上飞机时需要出示身份证等等，这些都是身份认证的具体实例【1 。 在信息世界中，身份认证是网络安全系统的第一道防线，也是最重要的一道防线。 网络中的各种应用和计算机系统都需要通过身份认证来确认一个用户的合法性，然后 确定这个用户的个人数据和特定权限。 通常，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监 控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安 全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入 侵检测系统实时检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统 的提供的”信息”一用户的身份。由此可见身份认证在安全系统中的地位极其重要，是最 基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系 统的所有安全措施将形同虚设。 2 1 2 身份认证常用技术 身份认证系统的目的在于防止合法用户的身份被别人冒充。在信息世界中用来认 证身份的方法技术和现实世界中用来认证人类的技术非常类似。用于判断的认证信息 被分为4 类： 你所知道的例如口令或者暗语 你所做的嘲i 如一个人签名的独特笔体或者说话的习惯 你所是的人的脸或者指纹等生物特性 你所拥有的令牌，诸如密钥或者证书之类 无线环境中身份匿名认让机制的埘f 究 最简单的身份认证手段通过采用验证口令的方式来确认用户的合法性，其安全性 仅依赖于口令，口令一旦泄露，用户即可被冒充。然而用户的口令可能由于各种原因 被其他人得到，包括网络窃听，侵入用户主机窃听，猜测攻击等等。这种认证手段即 属于“你所知道的”类型。 目前，通常使用基于智能卡的认证方式。该方式是一种双重安全因素的认证方式 ( p 斟+ 智能卡) ，即使p i n 或智能卡被窃取，用户仍不会被冒充。智能卡提供硬件保 护措施和加密算法，可以利用这些功能加强安全性能，例如可以把智能卡设置成用户 只能得到加密后的某个秘密信息，从而防止秘密信息的泄露。这种认证手段即属于“你 所知道的”和“你所拥有的”的类型结合。 近年来，人们正在积极研究将生物特征识别技术普遍应用到计算机网络的身份识 别系统中。因为通过用户的脸、声音、指纹等生物特征的组合识别，非法用户想要冒 充别人将是极其困难的。同时生物特征识别技术还彻底解决了用户口令过多、难以记 忆等一系列问题。然而生物特征识别技术的普及应用并不能完全解决身份认证的问题， 因为它有可能涉及用户的隐私。这种认证手段即属于“你所做的”和“你所是的”类 型。 1 3 无线网络中的身份认证 随着现代信息技术的飞速进步，近年来，无线通信和移动计算伴随着互联网的蓬 勃发展而快速发展，逐渐呈现出不受时间地域限制不受设备限制地为人们日常生活提 供服务和应用的趋势。无线网络的应用越来越深入地融入到我们的社会生活中，诸如 无线个人网络( 例如蓝牙b l u e t o o t h ) ，端到端( p e e rt op e e r ) 的实时移动网络( a dh o c n e t w o r k ) ，无线局域网( 例如i e e e8 0 2 1 l b 和w i - f i ) ，无线广域网( 以g p r s 为代表的 2 。5 g 以u m t s 为代表的3 g ) 等等。 无线网络中的一个重要的安全课题在于设计一个认证协议，该协议在建立无线呼 叫的最初阶段里被执行。通过经过精心设计的认证协议，通讯各方互相认证，协商用 于后续会话的秘密的会话钥匙。 当设计一个无线认证协议时，我们应该考虑各种因素，诸如协议运行环境的特点 和协议中实体资源情况。 3 】移动通信系统存在如下几个特点：由于无线网络环境高度 开放性，用户和服务网络之间的无线连接比有线网络更容易遭到攻击；移动终端本身 的计算能力和其他网络设备相比较也很有限等等。【4 光线环境中身份匿名认“e 机制的 i j f 究 同时，我们还必须考虑那些在设计无线网络认证协议中必须衡量的安全特征，包 括双向认汪( m u t u a le n t i t ya u t h e n t i c a t i o n ) ，双向认证的密钥协商( m u t u a la u t h e n t i c a t e dk e y a g r e e m e n t ) ，密钥新鲜度的双向确认( m u t u a l a s s u r a n c eo f k e y f r e s h n e s s ) ，用户身份的保 密( c o n f i d e n t i a l i t yo f u s e ri d e n t i t y ) ，有关记帐信息的不可抵赖性( n o n r e p u d i a t i o n ) 等 等【5 ，6 ，7 。 本文将集中论述匿名性( a n o n y m i t y ) ，即用户身份的保密性。 1 4 本文的工作 无线网络安全保障有着丰富的内容，本文主要关注和研究的是无线网络环境下的 匿名身份识别和认证的问题。 本文首先回顾了以往无线网络环境下实现匿名身份认证的几类手段，并且介绍了 身份匿名需求分类的标准。论文重点关注了假名系统一种实现身份匿名认证的机 制，该系统特别适合应用于无明确域结构的无线实时网络环境。 本文提出了新的协议构造，实现了一个新的假名系统，在新系统中用户可自主更 新保证书，从而实现了一种可多次使用的保证书。并对改进后的系统的安全性质给予 了完整的分析和证明。 1 5 论文的结构安排 论文的第二章是对于已有的无线网络身份匿名认证机制的回顾与总结。在对这些 机制的回顾和总结的基础上，论文引入了假名系统的概念。 论文的第三、四章全面深入地介绍了假名系统的定义和模型，并介绍了现有的假 名系统的协议实现方案。 论文的第五章给出了对原有的协议实现方案的改进思路，同时提出了一个新的协 议实现方案，实现了保证书的自主更新。 论文的第六章讨论了改进后的协议实现方案的安全性质，并给予了完整的证明。 最后，是对于已有工作的总结指出了可以继续探索的方向。 无线环境中身份匿名认证机制的研究 第二章以往无线网络身份匿名认证方案的回顾和总结 2 1 身份匿名认证的基本解决方案 用户可移动性成为信息安全领域和密码研究领域关注的一个热点，并由此引入了 许多新的安全课题。其中之一就是移动用户在认证过程中的真实身份的暴露。用户真 实身份的暴露可能导致用户的行踪被非法跟踪，在一些特定情况下造成对用户隐私的 侵犯。 保护用户身份不被暴露和用户身份认证之间看起来是一对自相矛盾的要求：匿名 性和不可跟踪性要求隐藏用户身份；而认证过程要求揭示并加以证明用户的身份。为 了同时满足上述两个要求，一个基本的解决方案就是使用假名( p s e u d o n y m ) 或者化名 ( a l i a s ) 。使用假名( 化名) 来实现隐藏用户的真实身份以及用户与其交互方的关系。 2 2 区分身份匿名需求程度的标准 1 9 9 5 年，d i d i e rs a m f a t 和r e f i km o l v a 在【8 中提出了用以区分匿名性( 不可追踪 性) 需求程度的分类标准。d i d i e rs a m f a t 和r e f i km o l v a 将用户的匿名程度按照两个不 同参数来定义：与用户识别相关的信息、能够访问这些信息的实体。 如果一个实体类能够知道( 或者能够在协议执行过程中从交互消息中推断出) 某 一信息，则在表格的对应空格中记为1 。否则记为0 。 在移动网络环境中，不同的实体类被划分为：用户( u ) ，归属域( h ) ，远程域( 外 部域) ( r ) ，合法网络用户( l ) ( 包括被授权的相关第三方) 和窃听者( e ) ( 未被授权 的第三方) 。因为用户定知道所有的自身信息，因此我们在随后的讨论中省略了它。 实体可以访问的信息包括：用户的身份信息厂， 归属域的身份信息h ，远程域的 身份信息，。 下面我们按照实体和识别信息之间的关系将用户身份的匿名性划分为5 大类。 8 九线h 、境r i t 身份匿私c 凡机制的 i j | _ 究 c 1 ：对窃听者隐藏用户身份。其匿名程度对应下表。 i hrle 1l10 ll11 ，1l11 在全球移动通信系统( g s m ) 中，通过使用临时移动系统识别符( t m s i ) 实现了 c 1 要求。当用户首次访问远程域时，与远程域管理中心建立一个临时身份，并在访问 期间被分配给一个长期的别名。 由于用户在远程域中的所有的活动均与该别名有关，因此可以通过流量分析的方 法发现该别名和用户归属域之间的关系。此外，需要注意避免在用户移动过程中被分 配的别名之间的相互关联性以免泄漏真实身份。通常，为了隐蔽用户在远程域中的活 动，用户的别名将定期得到更新。 c 2 ：对远程域隐藏用户身份 某些情况下( 例如无线网络游戏或者无线公共信息查询) ，远程域无须知道用户的 真实身份，它只需证实访问服务的用户具备支付能力和足以向该用户的归属域索帐的信 息即可。其匿名程度对应下表。 hrle 1ooo hlll l lll 1 c 3 ：( 对除远程域以外的第三方) 隐藏用户与其归属域关系 由于无线网络环境的开放性，用户与网络之间的交换信息可能会被监听。监听者 可以通过分析用户、远程域和归属域之间的信息交换来判断出用户的实际身份。也就 是说，每次用户访问网络，如果其归属网络能够被识别出来的话，用户的实际身份也 可以被推断出来。其匿名程度对应下表。 尤线环境中身份匿名认证机制的研究 hrle 1o oo h1l 0o rll1l c 4 ：对远程域隐藏归属域信息 当需要在远程域中认证移动用户时，远程域需要联系用户的归属域以核实用户的 资格。因此远程域可以知道用户与其归属域的关系，即使它不知道用户的实际身份。 但可以采取其他方法来证实用户的支付能力从而避免远程域知道归属域的身份。其匿 名程度对应下表。 hrle 1o0o h1ooo lil1 c 5 ：对归属域隐藏用户的行踪 某些时候移动用户需要隐藏他离开归属域后的行踪。如果系统要求实现用户行踪 完全保密，即除了用户之外无人知道他的位置，就需要对归属域隐藏用户的行踪。其 匿名程度对应下表。 hrle o00o 100o r011 1 我们可以看到c 1 至c 5 的对身份匿名的要求是逐渐升高，并且其是向前兼容的。 对于诸如3 g 的全球移动通讯系统，一般要求达到c 3 或者c 4 即可。对于无线局域网 访问而言，往往要求达到c 4 甚至c 5 。这就对身份匿名认证协议的设计提出了更高的 要求。 七线环境中身份匿名认e 帆制的研究 2 3 以往无线网络身份匿名认证机制的总结和分类 接下来我们回顾一下无线网络设计中考虑匿名性的认证协议。提供用户匿名性的 一个基本方法就是使用移动用户的临时身份( t i d ) 来代替用户的真实身份。t i d 也被 称为别名( a l i a s ) 9 】，或者小名( s u b l i m i n a li d e n t i t y ) 1 0 。 下表中是无线通信协议中常用的标记。本节以后的讨论中均采用下表的标记。 t i d a实体a 的临时身份 x ) k使用密钥k 加密信息x k a ba 和b 之间的共享密钥 p k a ，s k aa 的公开密钥和私有密钥对 m移动用户( 真实身份) h 移动用户的归属网络 v 移动用户访问的网络 t a实体a 生成的时戳 2 _ 3 1 用事先设定的t i d 实现身份匿名性 归属网络分配给用户事先设定的t i d ，移动用户存储t i d 以备使用。只有用户和 其归属网络知道用户的真实身份，他们使用相同t i d 并映射到用户的真实身份。 当长期使用t i d 时，用户及其归属网络应该定期更换别名，因为协议执行过程的 监听者可能会推断出来t i d 和它映射的真实身份的关系。因此用户及其归属网络需要 运行一个额外的安全协议来产生个新的t i d 供下一时段使用。 移动通信全球系统( g s m ) 就采取了使用事先设好的短期t i e ) 的方法。在g s m 中使用临时身份t m s i 代替真实身份i m s i ，并且我们假设归属网络和访问网络之间 的有线部分是安全的。当用户m 进入新访问的网络v 时，他发送当前临时身份t m s i 让访问网络识别自己。在成功识别和认证后，网络赋予他一个新的临时身份t m s i 。 图1 说明了这一过程。向量 用于认证用户和计算秘密的会话密钥。 r a n d 是一个随机挑战。使用认证算法a 3 产生s r e s = r a n d ，使用密钥生成算法 a 8 产生秘密的会话密钥k 。，= r a n d 。 1 1 】。 光线环境中身份匿名认“机制的研究 ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) ( 6 ) t m s i i m s f y 向量组 尼4 d s r e s t m s r 图1 ：g s m 的身份识别和认证机制 但是，如果出现t m s i 在同步过程中被丢失的情况，m 将不得不以明文的形式无 线传送自己的真实身份i m s i ，从而暴露了自己的行踪。因此可以认为g s m 只是提供 了一个较弱的用户匿名保护机制。 2 _ 3 2 使用归属网络的公开密钥加密真实身份 另一个实现用户身份匿名的方法是在认证过程中利用加密真实身份来构造 t i d 8 ，1 2 。移动用户使用其归属网络的公开密钥来加密自己的真实身份，并使用诸如 随机数和时戳等来掩蔽加密结果。 1 9 9 5 年，s a m f a t 提出了一个基于共享密钥密码系统的认证协议 8 】。该协议使用了 公开密钥加密机制来实现用户身份的匿名保护。用户使用其归属网络的公开密钥对自 己的真实身份加密产生l | 缶时身份t i d 。协议过程见图2 。a u t h 用作发送者和接收者之 间的传递消息的认证令牌。t i c k 用来传递用于以后安全通信的共享秘密会话密钥。 图2 ：s a m f a t 协议 在s a m f a t 协议中，用户的临时身份t i d m ，r mom 。，这里”o ”指位异或操作。 1 0 y h 矿 斗 嘲 h j ， 斗 卜 m 矿m m m 尤线环境中身份匿名b k i i e * al , $ q 的q f 究 为了提供匿名性，真实身份m 和随机数用归属网络的公钥麒。加密，其中随机数 在每次会话中均重新生成以刷新t i d 。当用户和访问网络之间成功的建立起临时身 份t i d 。后，用户可以通知访问网络其新的临时身 分t i d u = ，r u o t i d 。) 。，供下 一个会话过程使用。 我们可以看到s a m f a t 协议中归属网络始终可以知道用户的身份，只是对访问网络隐 藏了用户的身份，因此s a m f a t 协议是属于c 2 类的身份匿名认证协议。 2 3 3 不同体制密钥系统相结合实现用户匿名 类似于前面所述的加密实现隐藏用户真实身份的认证协议，近年来，人们提出了 另一种身份匿名认证的协议。这类协议基于公开密钥系统和对称密钥系统，其对称密 钥系统使用用户和网络协商达成的密钥来实现用户的匿名性。1 9 9 8 年，g h o r n 和b p r e n e e l 提出的a s p e c t 协议 1 3 即为该类协议。2 0 0 1 年j a e s e u n gg o 和k w a n g j ok i m 则根据上述思想提出了一个可以保护用户身份匿名性的无线认证协议。 1 4 图3 ：g & k 无线匿名认证协议 该协议利用协商密钥世。= g 。来加密用户m 的真实身份，从而生成最初的临 时身份t i d u = ( h ( m ) o g 。) 利用导出密钥k 。= h l ( g “，9 1 “”) 来加密v 和h 之间的消息通信。 利用导出密钥k 。，= h l ( g 。，g “r 。) 用来加密v 和h 之间的消息通信。 认证协议完成后，用户和访问网络得到相同的会话密钥0 = h 2 ( g ”，g 渐。) 。 在g & k 无线匿名认证协议中，分两步来使用和计算临时身份t i d 。首先归属网络 光线环境中身份匿名认证机制的| c j j f 究 可以通过最初的临时身份册。= 即( m ) o g 。) 。来识别用户。归属网络因此可以证明 在访问网络中的用户是合法用户。t i d 。则是m 和v 之f a j 新建立的临时身份，以供在 以后的会话中使用。该临时身份可以在以后的会话过程中被更新： t i d u = h ( g 。， ( m ) ) 2 3 4 利用群签名方案实现用户身份匿名认证 如同数字签名可以用来实现认证协议一样，群签名( g r o u ps i g n a t u r e ) 方案也是实 现无关联的匿名认证( u n l i n k a b l ya n o n y m o u sa u t h e n t i c a t i o n ) 的有力手段之一。 群签名最早由d c h a u m 和e v a nh e y s t 在1 9 9 1 年提出 1 5 。群签名体制允许群成 员代表群匿名地签署消息。并且，同一个签名者产生的签名是互不关联的，即判断两 个( 或者两个以上) 的签名是否由同一个群成员产生是困难的。为防止出现争议，群 控制者可以“打开”一个签名，并可以令人信服地揭示产生该签名的签名者的身份。 同时，群中所有的成员( 包括) 群控制者无法伪造其他成员的签名。 我们可以将群签名机制运用于诸如电子支付系统或者证书传递系统等对用户隐私 有较高要求的环境中。但是，随着群成员数目的不断增多，群的规模也越来越大，这 样一来如何使群公开密钥长度和群签名长度不依赖于群成员的数目，成为群签名的重 要研究课题。2 0 0 0 年，g a t e n i e s e 等人1 6 1 提出了基于r s a 体制的群签名方案，该方 案的群公开密钥和群签名为常数长度。但是该方案要求群控制者知道r s a 模数的分解 因子，因此存在伪造群成员签名可能的隐患，对协议的安全性构成了威胁。2 0 0 2 年， g i u s e p p e 等人提出了不暴露陷门的有效群签名方案。 1 7 有关的群签名方案的详细内容已经超出了本文主题的范畴，故不再展开，读者可以 参阅给出的参考文献。 2 3 5 通过假名系统实现用户身份匿名认证 1 9 8 5 年，c h a u m 1 8 提出了假名系统的概念，该系统可以允许用户与多个机构有效 地进行匿名工作。每一个机构通过不同的假名( n y m ) 来识别同一个用户，这些假名互 不联系( u n l i n k a b l e ) ：两个机构不能合作起来给用户建立档案来追踪用户的行踪。不过， 光线叫、境中身份匿名认证机制的研究 用户可以使用假名从一个机构获得保证书( c r e d e n t i a l ) ，他可以向另一个机构证明其拥 有该证书，同时无须向该机构透露自己的第一个假名。可信中心( c a ) 则扮演保证用 户信用( 即用户可以被相信) 的角色。 1 9 8 6 年，c h a u m 和e v e r t s e 1 9 提出了一个假名系统的模型并给出了基于r s a 的一 个实现方案。在该模型中，由可信中心负责把用户的保证书从一个机构转移到另个 机构。该模型中的假名是无条件互不关联的。但其模型的弱点是可信中心必须承担很 重的负载。 d a m g a r d 2 0 构造了一个不过多依赖可信第三方的假名系统。他的方案基于多方计 算和位提交。该方案的优点在于可以确保机构免遭恶意用户利用可信中心伪造保证书， 并且无条件保证了用户身份的机密性。可信中心的作用仅限于负责证实假名确实属于 合法用户所有。 参照d a m g a r d 模型，c h e nf 2 1 提出了个基于离散对数的方案。在该方案中，可 信中心负责证实所有假名的合法性，但可信中心不参与保证书的转移过程。该方案的 不足之处在于它要求c a 的绝对诚实：一个恶意的c a 可以在用户中转移保证书。 1 9 9 9 年，a n n al y s y a n s k a y a ，r o n a l dl r i v e s t 和a m i ts a h a i 2 2 扩展了d a m g a r d 的理 论模型，并在c h e n 的实现方案基础上提出了一个良好定义( w e l ld e f i n e d ) 的假名系统 模型。并且提出了一个实际可行的基于离散对数合理假设的构造方案。但是a n n a l y s y a n s k a y a 等人只提出了如何颁布和移交一次性使用的保证书的构造方案，本文则在 a n l l a l y s y a n s k a y a 等人方案的基础上给出了可多次使用的保证书的方案。 无线i f = 境中身份匿名认证机制的研究 第三蕈假名系统模型 假名系统( p s e u d o n y ms y s t e m ) 允许用户使用假名实现与他人的匿名交互。所有的 假名之间没有关联，但用户可以通过假名向对方来证明用户与其他人之间的关系。我 们把用户与其他人之间关系的声明称为保证书( c r e d e n t i a l ) 。假名系统应用的环境要求 用户之间不使用相同的假名和保证书，即用户之间不共享相同的身份。同时一个有效 的假名系统也应尽量减少对可信第三方介入的依赖。a l y s y a n s k a y a 等人给出的方案 2 2 1 给出了一个比较完整的假名系统的模型和一个实际的解决方案，该方案对可信第三方 的介入依赖程度很小。 下面将介绍假名系统的基本模型和相关概念与定义。 3 1 交互协议的概念和定义1 概念1 交互图灵机( i n t e r a c t i v et u r i n gm a c h i n e ) ：指除了一条输入( 计算) 带 还包括一条读取交互输入带和一条写交互输出带的图灵机。 概念2 概率图灵机( p r o b a b i l i s t i ct u r i u gm a c h i n e ) ：除了一条输入计算带，还有 一条带( 称为随机带) 的图灵机。随机带包含从 o ，1 ) 中均匀独立选取的随机位。 概念3 多项式时间图灵机( p o l y n o m i a l t i m e t u r i n gm a c h i n e ) ：在执行多项式步后 停机的图灵机。 概念4 非一致图灵机簇( n o n - u n i f o r mf a m i l yo f t u r i n gm a c h i n e ) m ) ：由图灵 机m 和字符串集合( 吼) 组成，字符串n 。的长度是的多项式次。当输入长度为女的字 符串w ，图灵机m 则对( w , a k ) 进行计算。 概念5 可忽略函数( n e g l i g i b l ef u n c t i o n ) ：记为n e g ( k 1 ，对于所有的多项式p 对于足够大的k ，满足n 曙( | ) l ( p ( k ) 1 定义1 安全的交互过程：一个交互过程由概率多项式图灵机a 和概率多项式图灵 机b 组成，其中概率多项式图灵机a 输入为d ，随机带为月。，输出为口，概率多项式图 灵机b 输入为b ，随机带为尺。，输出为b ，该交互过程的公共输入为x ，产生交互副本 ，。我们说该交互过程是一个安全的交互过程2 ( as e c u r e t w o p a r t y i n t e r a c t i v e p r o c e d u r e ) ，如果满足下列两个条件的话： 1 对于任意的概率多项式图灵机a ，存在一个概率多项式图灵机( 模拟器) s 。： 当输入，a ，a ，a 1 ) 时，s 。产生一个随机带r 。和副本b 。对于任意函数 f ( x ，a ，口，口，b ，b ，b ) 和任意非一致( n o n u n i f o r m ) 的概率多项式图灵机簇c ，都满足： lp r c ( x ，a ，a ，a i , r ，t ) = f ( x ，a ，a ，b ，b ，b ) 】一 p r c ( x ，a ，a ，口。，r j ，嚣) = f ( x ，a ，8 ，口，b ，b ，b ) h o g ( k ) ( 其中r 是概率多项式图灵机b 在与图灵机4 执行交互协议后的输出) 2 对于任意的概率多项式图灵机b ，存在一个概率多项式图灵机( 模拟器) s 。： 当输入( x ，b ，b ，b 1 ) 时，s 。产生一个副本瓦和一条随机带r s 。对于任意函数 f ( x ，a ，a ，口。，b ，b ，b ) 和任意非一致( n o n - u n i f o r m ) 的概率多项式图灵机簇c ，如果概率， 都满足： i p r c ( x ，b ，b ，b ，r 。，t ) = f ( x ，a ，口，口，b ，6 ，b ) 卜 p r c ( x ，b ，b ，”r s ，瓦) = f ( x ，a ，a ，aw , b ，b ，b ) pn e g ( k ) ( 其中丁是概率多项式图灵机a 在与图灵机b 执行交互协议后的输出) 定义2 我们称图灵机m 可环绕的( r e w i n d a b l e ) 访问图灵机a ，如果： 1 4 有一条特殊带t ，a 可以根据m 的指示访问r ，m 不能直接访问r 带 2 在a 计算过程的任意步，吖都可以命令a 将其此刻状态存储在r 带上 3 在a 计算过程的任意步，m 都可以命令a 返回存储在丁带上的任意以前的状态。 3 2 假名系统的安全性质 每个被认证的假名对应唯一的用户 要求被假名掩盖的身份是固定不可变的。假名系统需要存在这样一个图灵机 2 安全的交互过程由o d e d g o l d r e i c h 在s e c u r e m u l t i p a r t yc o m p u t a t i o n 中定义，这里使用了它的非正式定义。 无线环境中身份匿名认证机制的研究 我们将其称为身份揭示机( i d e n t i t ye x t r a c t o r ) ：对于任何合法的假名，只要能够可环 绕的访问图灵机m ，该图灵机吖能够以不可忽略的概率成功证明自己是假名对应的用 户，i d ( n ，m ) 都能以很高的概率输出合法的主控公开密钥私钥对，并且我们要求该公 开密钥私钥对是唯一的。 用户的主控私有密钥是安全的 用户拥有公开密钥私有密钥对( 兄，品) ，要求用户u 的主控私有密钥s 。不会被其 公开密钥昂泄漏。 保证书的共享导致主控私有密钥的泄漏 拥有合法保证书的用户a l i c e 也许想要帮助朋友b o b 获得保证书的特权。除非她把 自己的主控私有密钥透露给b o b ，否则b o b 无法使用a l i c e 的保证书。换句话说，只要 a l i c e 透露有助于b o b 使用她的证书或者假名的信息，b o b 就有办法获得a l i c e 的主控 私有密钥。 假名的互不关联性 除了猜测，没有更好的办法把同一个用户的不同假名联系起来。 3 3 假名系统面临的主要攻击手段 假名系统面临以下两种主要类型的攻击。 伪造保证书：用户在其他机构的协助下未经授权制造某一机构颁发的证书 用户身份暴露( 假名关联) ：机构相互合作试图获取有关用户身份的信息，包括获 取用户主控公开密钥私有密钥对，或者识别不同的假名属于相同的用户。 3 4 假名系统的模型 a n n a l y s y a n s k a y a 等人提出的假名系统模型 2 2 由以下6 个过程组成。 1 主控密钥生成( m a s t e rk e yg e n e r a t i o n ) ：该过程产生用户和机构的主控密钥对。 定义3 非对称密钥生成算法g ：g 是一个概率多项式时间算法。输入1 ( k 为安 尤线环境中身份匿名队证机制的埘究 全参数，l 为长度为k 的单位串) ，g 生成主控公开密钥私有密钥对( p ，s ) 并且满足下 列条件： 生成的公开密钥p 包含对图灵机v 的描述，v 接受输入s 。 对于任意非一致的多项式时间图灵机簇 m 0 ，对于足够大的k ，对于任意 ( 尸，s ) g ( 1 ) ，有： 搬( p ) = s ：矿( s ) = a c c e p t 2 h 曙( 女) 成立 用户u 使用非对称密钥生成算法g 生成主控密钥对( 昂，品) g ( 1 ) ，机构d 使用 非对称密钥生成算法g 生成主控密钥对( 晶，s o ) g ( 1 ) 。 2 用户向证书中心( c e r t i f i c a t i o na u t h o r i t y ) 注册身份：证书中心( c a ) 是个特 殊的机构，c a 知道每个用户的身份，即该用户的主控公开密钥。用户与c a 交互时所 使用的假名是该用户的主控公开密钥。c a 向该用户颁发保证书( c r e d e n t i a l ) ，以此保 证参与假名系统的用户都是合法用户。 3 用户向机构注册身份：用户和机构通过安全的交互协议n g 交互产生该用户与 该机构联络时所用的假名。 定义4 假名生成协议n g ：指拥有主控密钥对( 昂，s 。) 的用户和拥有主控密钥对 ( p o ，s 。) 的机构之间进行的一个安全的交互协议。n g 的公共输入为( 晶) ，u 的秘密输 入为( 兄，品) ，0 的秘密输入为( 品) 。n g 的公共输出为用户u 和机构达成的假名n 。 用户的秘密输出记为蹦。，机构的秘密输出记为跚。 论文中我们把用户u 和机构0 之间的建立的假名集合记为n ( u ，0 ) 。 4 用户与机构的通信：用户在建立假名以后，可以使用假名通过安全的假名认证 协议与机构通信。 定义5 安全的假名认证协议：用户u 和机构0 之间进行的安全的交互协议。协议 的公共输入为n n ( u ，0 ) 。机构以1 一n e g ( k ) 的概率接受，如果用户能够证明其知道 ( 巴，品，蹦。) 并且证明s 。和昂对应以及是由协议j g 产生的，其中用户的秘密信息 输入为( 0 ，品) 和秘密信息输出为口：。否则，机构以1 - n e g ( 女) 的概率拒绝。 光线环境中身份匿名认证机制的究 5 颁发保证书：机构0 首先通过假名认证协议要求用户u 证明自己是假名 n n ( n ，d ) 的拥有者，随后机构0 和用户u 共同执行交互协议凹，协议执行完毕后 用户u 获得保证书。 定义6 颁发保证书协议c i ：指拥有主控密钥对( 昂，s 。) 以及假名生成协议秘密输出 s i 。u 的用户和拥有主控密钥对( 易，s 。) 以及假名生成协议秘密输出踞。的机构之间进 行的一个安全的交互协议。在协议凹中，公共输入为( ，昂) ，用户秘密输入 ( 昂，s 。，莎。) ，机构秘密输入( ，盯：。) ，协议a 执行完毕后，用户秘密输出保证书 g 。，机构秘密输出保证书秘密信息c 研：。 保证书( c r e d e n t i a l s ) 通常包括下列两种形式： 一次性保证书( s i n g l e - u s ec r e d e n t i a l s ) ：一次性保证书指用户可以安全的使用一次， 但是如果再次使用，机构就可以将用户的不同假名联系起来。 可多次使用的保证书( m u l t i p l e u s ec r e d e n t i a l s ) ：一个可多次使用的保证书能够被 用户安全的多次移交给不同的机构，而无需颁布保证书的机构参与。 6 证书的移交：用户u 拥有机构0 颁发的保证书，在不暴露个人其他信息的前提 下通过安全的交互协议c t 向机构0 证明他确实拥有该保证书。 定义7 ：保证书移交协议c t ：指在用户u 和机构0 。之间进行的一个安全的交互 协议，其中用户u 拥有主控公开密钥私有密钥对( 只，s 。，) ，假名n n ( n ，0 ) 和 n n ( n ，0 ) 以及对应的假名生成协议秘密输出信息口：，。和盯孑。，保证书巳。；机 构0 拥有主控公开密钥私有密钥对( 只，最) 和假名生成协议的秘密输出口：叫。协议 c t 的公共输入为( | v ，p o ) ，u 秘密输入( 昂，品，c 如，n ，踟，。，蹦d ) ，其中n 是u 和0 达 成的假名；0 秘密输入出曼。如果u 的输入均为合法输入，0 接受，否则0 以 l n e g ( k 1 的概率拒绝。 以上过程构成了假名系统模型。我们要求所有假名系统的协议实现都要求符合上 面的假名系统模型，并应该满足假名系统模型的安全性质。 厄线环境中身份匿名认“机制的州究 第四章基于单向函数的假名系统实现( 一次性保证书) a n n a l y s y a n s k a y a 等人提出了基于单向函数( o n e w a y f u n c t i o n ) 存在的前提如何 构造假名系统的方法。需要指出的是，在他们的方案中只实现一次性保证书( s i n g l e u s e c r e d e n t i a l s ) 。 4 1 预备知识3 4 1 1 单向函数 单向函数是否存在至今仍是密码学领域和复杂性领域中未解决的问题之一。 定义8 函数f ： 0 ，1 ) 一 0 ，1 ) 是单向( o n e w a y ) 的，如果满足下列条件： 存在一个概率多项式i f i j 算法m ，使得m ( x ) = 厂( z ) 对于任何非致的概率多项式时间图灵机簇 4 ，对于足够大的l y p r 4 _ ( y ) = 工：厂( x ) ：卅= n e g ( i y i ) ，其概率分布取自概率图灵机a 的随机位- 定理1 ：如果假名系统存在，则单向函数存在。 证明：如果存在前面第2 章中所论述的假名系统，那么我们可以从假名系统中的 非对称密钥生成算法g 中构造一个单向函数。 因为g 是一个概率多项式时间算法，输入为1 + ，在随机带上的随机位字符串记为 r o ，1 ) “，p ( k ) 是g 的运行时间，其输出为( p ，s ) 。我们把随机带内容为只时，g 的 输出记为g 。( 1 ) ，把g 。( 1 ) 的公开部分记为p ( g 。( 1 ) ) ，把所有p ( g 。( 1 ) ) 的可能值集 合记为以g ( i ) ) 。 下面证明函数厂： 0 ，1 ) 肿一 p ( g ( 1 ) ) ，即f ( r ) = p ( g 。( 1 ) ) ，是单向函数。 首先，存在一个多项式时间算法计算厂值。 其次，假设存在一个( 非一致) 多项式时间算法a ，输入j p 时，a 以不可忽略的 概率输出r ：p = p ( g 。( 1 ) ) 。我们把r 作为随机带内容运行g ( 1 ) ，得到s ，s 可以被 以p 为描述的验证者矿接受。这与非对称密钥生成算法g 的第二条性质矛盾。因此， 不存在( 非一致) 多项式时间算法a 能够计算厂的原象。所以，构造的函数厂为单向 函数。定理证毕。 3 预备知识中的定义均引1 刍 2 2 l 光线环境c i 身份胜名认“f 机制的 i j f 究 4 1 2 位提交方案 定义9 位提交方案( b i tc o m m i t m e n ts c h e m e ) 是一个多项式时间算法，满足如下 性质： 1 月和b 是提交方案的输入，r 是长度为p ( k ) 的随机串，p 是一个多项式，b 是 一个长