（计算机科学与技术专业论文）基于共享信任技术的身份认证的研究.pdf

一 c ，l? 己： 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：五豳豳 日期：鱼鱼：笸! ! 兰 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学问论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：王豳函 导师签名： 摘要 摘要 随着社会的信息化发展，人们可以通过网络获得大量的信息资源和服务，人 类进入信息化社会，这使得社会的开发程度进一步加大，与之俱来的是信息安全 问题，信息安全已成为人们在信息空间中生存与发展的重要保证条件。作为信息 安全的第一道屏障的身份认证技术，是现代密码学发展的重要分支。在一个安全 系统设计中，用户在访问所有系统之前，首先应该经过身份认证系统识别身份， 然后由安全系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。 传统的身份认证系统是由可信的认证中心为用户颁发证书以作为用户身份 验证的凭证，但是这样的认证系统存在很大的缺陷，其安全性存在很大的隐患， 隐患的根源就在于传统的认证中心是由一个部门或者一个权威充当，其保密性依 赖于可信中心的正常工作，在参与者较多的情况下则很难进行证书的管理，可能 会成为性能的瓶颈，造成可扩展性差的问题。基于上述情况，网络中通信的实体 可以采用共享信任的思想，即单个参与者不可信，参与者集合可信。 本文重点对身份认证中的共享信任身份认证及无可信中心的身份认证进行 了系统，深入的研究并给出了共享信任身份认证方案的分类方案，主要的工作及 创新如下： ( 1 ) 在e l g 锄a l 密码体制的基础上，提出了一种基于e l g a m a l 密码体制的共 享信任身份认证方案，详细描述了初始化阶段、密钥生成阶段、子证书生成阶段、 证书合成阶段和证书验证阶段，并在标准模型下对各个阶段进行了正确性和安全 性分析，表明该方案是健壮、安全的。 ( 2 ) 针对在开放的网络环境中可信中心可能受到攻击，为防止网络欺骗，可 信中心发来的证书需要可验证性。运用共享信任的思想，在可信c a 的参与下， 提出一种安全性既不完全依赖于c a ，又不完全依赖于认证参与者的身份认证方 案。详细阐述了从初始化到证书颁发过程，并对方案进行了安全性分析。 ( 3 ) 针对可信中心参与的身份认证过程可能造成功能和性能瓶颈的问题，提 出一种无可信中心的共享信任身份认证方案，并分析其正确性和安全性。 关键词离散对数；双线性对；身份认证：共享信任；门限 北京工业大学工学硕士学位论文 i i a b s t f a c t a b s t r a c t w i mt 1 1 er a p i dd e v e l o l n l 锶to ft h es o c i e t ) ，si i l f o m a t i o l l i z a d o 玛p p l ec 趾g e t p l e i i t i m li 1 1 f o 肋a d o n 阳s 叫r c 懿锄ds e r v i c ct h r a l l l g hi n t e m e ta n dw eh a 、，es t r i d d e n 内n 旧r dm ei i l 如瑚舶n i 蜀i ：t i o n c i e t y i th 嬲i i l c r e 弱e dt 坨e x p l o 诹虹o na 【t e n ta r l d i l 】南m a t i o ns e c 耐t ye m e r g 筇勰t i m er e q u i r 鹤a sw eh o w ；m 向姗a d o ns 训t ) ，h 嬲 b c c o m et l l e 、，i t a l 罂l a ：阳n t q u a l i f i c a t i o no fs u r v i v o r s l l i p锄d d e v e l o p m 饥t i i l i i l 妣a ：t i o ns p a c 鹤i d 髓l t i 锣a u t l l 训c a ：t i o n 勰也ej e i r s tb a m 盯o fi l l a t i o 咀默：c i 嫡锣 i s 趾i l l l p o r t 锄tj e i l i a 缸。鸺o ft l l em o d e mc r t o l o g 弘w h i l ed e s i 霉l i i 玛as a f b 哆s y s t e m ， b e f 0 r ea c c 销s i i l gm ee 嘶坞s y s t e 矾w em 吣ti d 印d 矽o u r 矗g u r em r o l l 曲m ei d 础锣 趴l m 嘶c a t i o ns y s t e m a f t 贯也a t m es a l e 哆s y s t e mw md o c i d ew h e m 贫i tc a n 、r i s i t c e r t a i nr 鹤0 u r c ea c c o r d i i l gt 0t 1 1 el 玛e r si d 铋t i 哆觚dt h ed e c i s i o no fa u m o r i z a t i o n d a t a b a s e t h e 位l d i t i o n a li d e n t i 哆籼m t i c 砸0 ns y s t e mw o f k sl i k e 妇1 a ti t e da 缸u s t e d c 髓l t 贯t oa w a r dc 硎f i c a t et 0t l l eu s 贸嬲c r e 【l e n i ：eo fm el 玛e r t h e r ci s 霉e a tw e m m e 辎 i nt l l i ss y s t e m i tl 地sh i d d 饥咖i u b l ei ni t ss e c 嘶戗t h er c ko f i ti st 1 1 e 缸培t e d c e n t e ri sa c t 弱o d 印a 血n t0 r ea u m o r i 哆i t ss e yb 部e d m em l s t e d c 吼t 日si l lg p a r i t sh a r dt 0m 龇蛾g et i 坞c e n i 丘c a t ew l l i l et h e f ea s om 觚yp a m l 粥 觚d 诵l lr e a c ht h eb 0 仕l e - n e c ko fp e r 如咖锄锄dm a yb ed i 伍c u l t 幻e x t d a c c o r d i n gt 0t l l i sc i l 粥，w 它c 姐l l s em em l s tp a r t a ：l ( i n gi d e o l o g mw l l i c hi sas i n 西e p m n e ri s 1 l i k c l i h 0 0 也b 眦m eu l l i o no fp a m l e 稻i s 口司i b l e t h et e x tf o c i l s 馏o n 也er 懿e a r c l l i n go ft f l l s tp 砒t 姚g 雅di d 训t ) ，a u l h 训c a t i o n 谢血0 u tas i n 西e 觚t 酣c e n t 瓯n l em a i l lw o r ki nn l i sn l 髓i si s 弱f o l l o w s ： ( 1 ) b 鹳e do nm ee l g 锄a lc r y p t o l o g ys y s t 锄，m et h 铺i sp r o p o s 锱吼e l g 锄a l c r y p t o l o g y - b 嬲e d 缸懈tp 础a k i n gi d e 娟锣卸廿l 训c a t i o ns c h 锄ea n dd 懿c 曲锶 m ei i l i t i a l i z a 五o np h 鹊c ，k e yg e 芏l e r a 晒o np h 嬲e ，吼l b c 酬f i c a t e 孵l e 掰呖o n p t 吼s e ，c e r t i l f i c a 把c ( 胁p o s i t i o np h 弱ei nd i 缘m a f t c rm a ：t ，i t2 宣v 销t l l e c o n e c t n 鹤s 锄ds e c 嘶t ya n a l y s i su n d 盯s t 龇d 莉p a t t 锄ni sp r o v e dt 0b e r o b u s ta n ds a f b ( 2 ) 触廿l e 蜘则c e n t e rm a y b ea t t a c k e dl l l l d e rm eo p 础i n t e m e ta 幽n m 饥t ， t ok e 印盘0 mn e 啊o r ks p o o 矗i l 舀m ec e n i f i c a t e 丘d mm e 仃i l s t e dc 眦e rn e e d s w 晒6 c a t i o n b yu s i r 培t r u s tp a r t a k i i 培i d e o l o g 蜘w i mm ep 矾i c i p a t i o no f 慨t e dc a ，t l l em e s i sp r o p o s 鹪跣i d e n t i 锣踟m 铋t i c a t i o ns c h e m e m o s e c i l r i t y d o e s n t d e p e l l d o nc ac o m p l e t e l ya n dd o 懿n t d e p a l d 0 n a u m e n t i c a t i o n p 枷c i p a n tc o m p l e t e l y i td e s c r i b e sd e t a i l 仔o mm e i l l i t i a l i z a t i o np h 弱et 0c e r t i l e i c a t e 唧o s i t i o np h 嬲e 觚d 舀v e s l es e c u r i t y a i l a l y s i so ft l l es c h e m e ( 3 ) a sw ek n o w ，i f l e r ei s at 1 1 j s t e dc 锄t i tm a yc a u s eb o t t l e - n e c ki i li t s 如n c t i o na r l d p c r f o 肌a i l c e t h em e s i sp r o p o s e s an s tp a n a ：l ( i n gi d e n t i 哆 i i i 北京工业大学工学硕士学位论文 a u t t l e n t i c a t i o ns c h e m ea n d 西v e s l ea l l a l y s i so fi t sc o n - e c t l l e s sa n ds e c 耐坝 k e y w o r d sd i s c r e t el o g 撕t h m ；b i l i n e a rp a i r i n 笋；i d e n t i t ya u m e l l t i c a t i o n ；t n 塔tp 矧 a k i n g ； t l l r e s h o l d 目录 目录 摘要i a b s t r a c t ! i i i 第1 章绪论l 1 1 课题背景与意义1 1 2 研究现状一3 1 3 论文研究内容一5 1 4 论文组织结构”5 第2 章基础知识7 2 1 数学基础7 2 1 1 单向散列函数7 2 1 2 群和域8 2 1 3 椭圆曲线与离散对数难题。9 2 1 4 双线性配对1 2 2 1 5g d h 假设1 2 2 2 秘密共享”：13 2 3 身份认证技术”1 4 2 4 本章小结：1 9 第3 章基于e l c h n a l 密码体制共享信任身份认证2 l 3 1 概j 盎2l 3 1 1 基本概念2 l 3 1 2 研究现状2 2 3 2 基于e l g a m a l 密码体制共享信任身份认证设计2 2 3 2 1 初始化阶段2 4 3 2 2 密钥生成阶段“2 5 3 2 3 子证书的生成”2 5 3 2 4 证书的合成2 6 3 2 5 证书的验证2 6 3 3 协议分析2 7 3 3 1 密钥生成阶段2 7 3 3 2 子证书生成阶段2 8 3 3 3 证书合成阶段2 8 3 4 本章小结2 8 v 北京工业大学工学硕士学位论文 第4 章可信c a 下的共享信任身份认证3l 4 1 概述31 4 2 研究现状3 2 4 3 基于证书的认证机制3 2 4 4 认证授权者( c a ) 3 4 4 5 可信c a 下的共享信任身份认证设计3 5 4 5 1 初始化部分”3 7 4 5 2 子证书生成阶段”3 7 4 5 3 证书的合成和验证”3 8 4 5 4 安全性分析”3 8 4 6 本章小结4 0 第5 章无可信中心的共享信任身份认证4 1 5 1 概述4 l 5 2 研究现状41 5 3 吕鑫等人的身份认证方案4 2 5 4 无可信中心的共享信任身份认证设计4 4 5 4 1 系统参数初始化4 4 5 4 2 密钥生成阶段4 4 5 4 3 子证书的生成与验证4 5 5 4 4 证书的合成与验证4 5 5 4 5 安全性分析4 7 5 5 本章小结4 7 结论4 9 参考文献51 攻读硕士学位期间发表的学术论文5 5 致谢”5 7 第l 章绪论 t 世| 曼喜鼍量曼皇曼鼍舅舅曼量曼量暑置| 皇皇皇曼舅置量量曼皇量曼曼置笪曼皇曼奠皇曼舅曼量量量曼皇喜量皇皇曼鲁曼鼍量皇舅暑曼笪舅- ； 第l 章绪论 随着计算机网络技术的发展，各种网络应用的发展，人们可以获得大量的信 息资源和服务，互联网的发展促使信息网络化的不断深入和扩展，人类进入信息 化社会，这使得社会的开发程度进一步加大，与之带来的是信息安全问题，信息 安全已成为人们在信息空间中生存与发展的重要保证条件。著名未来学家托夫勒 曾说过，在信息时代“谁掌握了信息，控制了网络，谁就将拥有整个世界【1 1 。 因此密码学与信息安全技术越来越受到人们的重视，世界各国都在积极研究并应 用信息安全技术来保障信息的安全性。其中身份认证技术由于其广泛而迫切的应 用需求已成为信息安全领域的重要研究方向。 1 1 课题背景与意义 计算机网络的发展和网络的开放性、共享性及互联程度的扩大，使得网络成 为信息交换的主要手段，越来越多的单位和个人利用网络来处理银行事务、购物、 传送文件以及收发信函等事务，电子商务也逐渐走入千家万户。事物是一分为二 的，网络也不例外，在网络给我们带来巨大的经济利益和便利的同时，由于网络 与生俱有的开放性、交互性和分散性特征，而且目前所使用的t c p 婵协议族 潜在着的安全漏洞以及安全机制并不健全，人们在得益于互联网这把“双刃剑 带来的巨大机遇的同时，不得不面对网络信息安全问题带来的严峻考验，使得信 息安全问题显得非常突出。 网络技术的不断发展与应用，信息安全的内涵也在不断的延伸，从最初的信 息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为攻、 防、测、控、管、评等多方面的基础理论和实施技术。信息安全是一个综合、交 叉学科领域，它要综合利用数学、物理、通信和计算机等诸多学科的长期知识累 积和最新发展成果，进行自主创新研究，提出系统的、完整的、协同的解决方案。 信息安全技术涉及到多个方面，包括身份认证、访问控制、数据加密、保密通信、 消息摘要、数字签名、鉴别等，其中最重要的是身份认证和加密这两个分支。身 份认证是保护信息系统安全的第一道关卡，加密是信息安全体系的核心，而且高 度安全的身份认证技术必须建立在密码学的基础上。身份认证作为一切安全应用 的基石，在保护信息安全中起着举足轻重的作用。大部分的黑客攻击方法仅仅是 阻塞线路和服务，并不会攻入计算机内部，信息之所以被窃取、破坏，很大程度 北京工业大学工学硕士学位论文 上归因于认证系统的脆弱性。基于互联网络的大量业务如电子商务、电子银行、 电子证券等的飞速发展都以信息安全为保障，一般来说，电子商务安全中普遍存 在着以下几种安全隐患：身份认证和访问控制、信息传输是机密性、信息传输的 完整性、信息传输的不可抵赖性【2 】。 以上的安全隐患中，身份认证在安全中占据着十分重要的位置，用户在访问 网络系统之前，首先必须经过身份认证系统识别身份，然后根据用户身份和授权 信息决定此用户是否能够访问某个资源。要进入一个拥有安全机制的系统获取资 料，首先必须向系统证实用户的合法身份，才能够获得访问资源的授权。在网络 环境中，验证身份的双方一般都是非直接交互，并且在广域网环境中涉及到大量 公用网络的传输链路和设备，这必然带来了许多不安全的因素。我们知道在计算 机网络系统中，加密是为了保证信息传输的安全，即防止被动攻击；报文的完整 性鉴别，是为了防止主动攻击。除了这些还不能保证数据传输的安全性。因为除 了这些，为了防止被非法用户欺骗，造成信息的误传，所以在传送过程中必须先 进行身份认证。大量黑客随时随地都可能尝试向网络的传输渗透，截获合法用户 的口令并冒名项替以合法身份访问网络资源，这给网络环境下的身份认证带来了 许多安全威胁【3 】。身份认证往往是双向的，相互认证协议主要功能是满足参与网 络通信的各方相互识别和交换会话密钥，在认证过程中必须要考虑两个问趔4 】： 1 ) 为了防止黑客得到基本的标识和会话密钥，必须对此以加密的形式传输； 2 ) 在线时间这个条件很重要，它可以防止被动攻击的重放。重放可以使黑 客得到会话密钥，而获得一些必要的信息，更糟糕的是它可中断正常操作。 身份认证是最基本的安全服务，其它的安全服务，如访问控制、审计系统都 要依赖于它。尤其是在开放的网络环境下，为了防止非法用户的恶意访问，需要 对某些信息进行授权访问，实际情况中受攻击最多，得手最多的也是身份认证系 统。认证是系统安全性的关键，其脆弱性可能导致整个业务系统的崩溃。在日常 生活中经常需要进行身份认证，如参加各种重要的出入境、登机等。在网络环境 下需要进行身份认证的场合很多，如在银行的自动取款机( 触m ) 上取款、登陆 电子邮件系统、f 1 1 p 服务等。如果身份认证环节出现问题，后果不堪设想，因此， 提出一种安全高效的身份认证方案非常重要。 计算能力是密码算法的最大的威胁。随着计算能力地高速发展，现代密码算 法的不足越来越明显。对密码学的研究并不是新课题。作为信息安全体系的核心， 密码学是安全身份认证技术的理论基础，利用密码算法可以设计出高度安全的认 证技术。随着技术的进步，对身份认证的安全性要求越来越高，这就要求必须研 究新的密码机制和算法，以设计出更高安全强度的身份认证系统。 第1 章绪论 1 2 研究现状 身份认证理论是一门新兴的理论，是现代密码学发展的重要分支。在一个安 全系统设计中，身份认证是第一道关卡，用户在访问所有系统之前，首先应该经 过身份认证系统识别身份，然后由安全系统根据用户的身份和授权数据库决定用 户是否能够访问某个资源。 身份认证是指用户向系统出示自己身份的证明过程，通常是获得系统服务所 必需的第一步。身份认证的本质是被认证者有一些信息，如秘密的信息、个人持 有的特殊硬件、个人特有的生物信息，除被认证方自己外，该信息不能被任何第 三方伪造。如果被认证方能采用某些方法，是认证方相信他确实拥有那些秘密， 则他的身份就得到了认证。现在竞争激烈的现实社会中，为了获得非法利益，各 种身份欺诈活动很繁琐，因此在很多情况下我们需要证明个人的身份。通信和系 统的安全性也取决于能否验证用户或终端的个人身份。 在现实世界中，验证一个人的身份主要通过3 种方式判定，黾根据你所知 道的信息来证明你的身份，假设某些信息只有某个人知道，比如暗号等，通过询 问这个信息就可以确认这个人的身份；二是根据你所拥有的东西来证明你的身 份，假设某一个东西只有某个人有，比如印章等，通过出示这个东西也可以确认 个人的身份：三是直接根据你独一无二的身体特征来证明你的身份，比如指纹、 面貌。 身份识别( i d e l l ：c i j f i c a l i o n 踟崃m t i c a t i o n ) 又称身份认证，通俗地讲，身份识 别的目的就是要证实实体用户或主体( 包括各种终端) 的真实身份是否与其声称 的身份相符的过程。通常情况下，各种系统为用户或实体设定一个用户名或标识 符的索引值。身份识别就是后续交互中用户对其标识符的一个证明过程，通常用 交互式协议实现。身份认证体制是保护系统免遭恶意攻击者破坏的第一道屏障。 所以如何设计有效的身份认证协议受到了广泛的关注。由许多学者设计了自己的 协议，例如h 锄协议【5 】、p u r d y 协议【6 】和s c h l l o i r 协议【刀等等。但是这些协议 仅仅适用于单服务的网络环境，即该网络中只有一个服务提供者。假如网络中有 多个服务提供者，那么用户必须存放大量秘密信息，以便对不同的服务提供者完 成身份认证。 1 基于物理形式的身份认证技术： 基于物理形式的身份认证技术可以分3 种用户所知道的：通常用的是口令 ( p 猫s w o r d ) 验证方提示证明方输入口令，证明方输入后由验证方进行真伪鉴别。 基于口令的身份认证系统存在口令泄漏、口令猜测、口令重放以及线路窃听等弱 点。为了克服这些弱点，可采用口令定期改变( 或一次性口令机制) 、一用户一 口令、输入的口令不出现在显示器上、限制非法登陆次数、限制口令最小长度等 措施。黄淑宽，林柏钢【8 】就静态口令和三种动态口令进行了分析比较；k w o l l ， 北京工业大学工学硕士学位论文 t a e k y o u l l g 和s o n j 0 0 s k 【9 】提出了一种高效安全的防止猜测用户密码的认证和 密钥交换协议；r f c l7 6 0 和r f c 2 2 8 9 介绍了动态口令系统【l o ，1 1 】，h a l l n m 【1 0 】 提出了一种一次性口令原型软件系统，该系统可以防止攻击者偷听合法用户的用 户名和密码，因为当用户需要用户名和口令进行身份认证时，其秘密密码信息不 会在网络上传输；黄叶珏【1 2 】等中的一个可抵御劫取连接攻击的新的动态口令认 证方案，原方案中由于对关键信息，删p w 的保护不够，尽管方案中的口令是动 态的，但实际上原方案不能抵抗冒充服务器攻击。用户所拥有的：身份证，护 照、i c 卡等拥有物的识别协议。用户的特征：如手写签名、指纹、虹膜、声 纹或d n a 等生物特征。s e m ag a r c i a - s a l i c e t t i 【1 3 】等给出了用户生物特征得多种形 态( 包括五种不同特征，分别是脸部、声音、指纹、手和签名在内的) 资料集， 并给出了每个特征的获取协议。 2 基于密码技术的身份认证协议： 基于密码技术，可以构造出多种身份识别协议，如挑战应答协议、零知识 证明协议( s c h n o f r 身份识别协议、f i a t _ - s h 锄i r 身份识别协议以及o k 锄a t 0 身 份识别协议等) ，各种数字签名识别协议、k t 拍e r o s 认证协议、x 5 0 9 认证协议。 2 0 世纪7 0 年代公钥密码体制思想的提出，出现了基于p ( p u b l i ck c y i n 劬s 伽】c t l 聃) 和数字证书等的公钥体制身份认证方案，虽然这些方案可以很好的 解决身份认证中的诸多问题，但伴随密钥管理带来的成本开销问题很突出，尤 其是对于一些小型的应用系统，要维护一套p l ( i 机构和设施就显得有些得不偿 失。胡斌，王永红【1 4 j 提出，基于椭圆曲线上的双线性映射设计的远程用户认证方 案，近年来成为了研究的热点。m 觚像提出了一种基于双线性映射的远程用户认 证方案，随后c h o u 等指出其方案针对假冒攻击是不安全的，并给出了一种改进 方案，但，n l u l 鹬i 指出该改进方案仍是不安全的。该文对已有的攻击方法进行了 简单分析，提出了一种新的改进方案，并对其安全性进行了分析，新的方案针对 已有的攻击方法是安全的，从而解决了基于双线性映射的远程用户认证方案的安 全问题。谭良，周明天【1 5 1 提出了基于可信平台模块的用户登录可信认证。该认证 方式克服了操作系统用户登录传统认证方式的缺陷，支持双向认证，为计算机获 得更高的安全保障，进一步建立可信计算环境提供了基础。廖红梅【1 6 】结合了现有 身份认证和行为信任认证，运用到网格中。y u l l m i l lt s d r 7 】改进了a k a p 认证 和密钥协议，减少了在防止d o s 攻击方面的计算开销。r o n a l dl 黜v e s t 【1 8 】等在 认证基于拥有什么，是什么，知道什么的认证三元素的基础上，提出了第四元素， 知道什么人。s u s 龇w i e d 钮b e c k 【1 9 】等设计了一种基于图形容忍度和图形错误边界 的认证方法。m 撕od ir a i l n o n d o 【2 0 j 等提出了一种带前向“记忆功能”的拒否认 认证策略。a 衄n d s s e i r 【z l j 等在一种智能环境收集上下文来设计关于问题的认证 策略。在组播通信中，存在着大量数据的传输及认证问题，而m c d d e 可信树的 优势正是能够通过一次签名实现对大量数据的认证，于是学者们提出了一系列的 第1 章绪论 基于m e d d e 树的源组播认证协议【2 2 】【2 3 】【2 4 1 。艇r z b e r ga t z e n gw 俨6 】等提 出无需可信第三方，由组中每个成员平等地提供秘密份额的值，协商生成共同的 组密钥的协商协议。 1 3 论文研究内容 本文所做的主要工作有： ( 1 ) 深入研究e l g 锄a l 密码体制，提出一种安全性基于离散对数的共享信任 身份认证方案，并分析其正确性和安全性。 ( 2 ) 深入研究基于双线对的身份认证协议，在可信中心c a 参与下，提出一 种安全性既不完全依赖于c a ，又不完全依赖于认证参与者的共享信任 身份认证方案。 ( 3 ) 深入研究无可信中心的身份认证方案，运用双线性对的知识，提出一种 无可信中心的共享信任身份认证方案，并分析其正确性和安全性。 1 4 论文组织结构 本人在阅读了国内外大量文献资料的基础上，围绕着基于共享信任技术的身 份认证技术的各个方面，提出了几种身份认证方案，分别是存在可信中心和无可 信中心的情况，并逐一分析了它们的安全性。论文共分5 章，其组织结构如下： 第1 章为绪论，介绍了课题的研究背景与意义、研究现状、论文所作的工作 和论文的结构与内容； 第2 章为基本知识部分，包括数学基础和身份认证技术，主要介绍了文章中 用到的单向散列函数，群和域的概念，椭圆曲线及其上的离散对数难题，双线性 对等数学基础知识，并对当今的身份的认证技术做了简单介绍： 第3 章为基于e l g 锄a l 密码体制的共享信任身份认证方案，介绍了e l g 锄a l 密码体制及研究现状，详细描述了初始化、密钥生成、子证书生成、证书合成和 证书验证的各个阶段，分析了协议的正确性，并在标准模型下对各个阶段的安全 性进行了分析，证明协议是安全的，健壮的。 第4 章为可信c a 下的共享信任身份认证方案，介绍了基于双线性对的身份 认证方案的研究现状，详细描述了初始化阶段到证书申请，再到子证书生成和证 书合成及验证过程中，待验证者，可信中心c a ，认证参与者三者之间的交互关 系，方案中证书的安全性既不完全依赖于可信中心c a ，也不完全依赖于认证参 与者，每一步的信息交互都提出了相应的验证公式，能够及时的发现攻击者和恶 意的参与者并终止协议。方案最后对安全性进行了分析。 第5 章为无可信中心的共享信任身份认证方案，在无可信中心的情况下，从 北京工业大学工学硕士学位论文 n 个认证参与者中选取t 个来给待验证者颁发证书，详细描述了初始化阶段，密 钥生成阶段，子证书生成，证书的合成和证书的验证阶段信息的交互，并在每一 步对协议参与者收到信息后都提供了验证方法，方案最后对协议的正确性和安全 性进行了分析，证明协议是正确的，安全的。 最后为结论，对本文的工作进行了总结，并提出了进一步的研究工作。 第2 章基础知识 2 1 数学基础 2 1 1 单向散列函数 第2 章基础知识 单向散列函数也叫m 峪h 函数( 哈希函数) 。它是一种单向密码体制，即它 是一个从明文到密码的不可逆映射，只有加密过程，不能解密。同时，h a s h 函 数可以将任意长度的输入经过变换以后得到固定长度的输出。h a s h 函数的这种 单向性特征和输出数据的长度固定的特性使得它可以生成消息或其他数据块的 “数字指纹 ( 也称消息摘要，或散列值) ，因此在数据完整性、数字签名等领域 有广泛的应用。 h a s h 函数一般满足以下几个基本要求： ( 1 ) 输入x 可以为任意长度； ( 2 ) 输出数据长度固定； ( 3 ) 容易计算，给定任何x ，容易计算出x 的h a s h 值h ( x ) ，反之从h ( x ) 很难计算x ； ( 4 ) 单向函数，即给出一个h a s h 值，很难反向计算出原始输入； ( 5 ) 唯一性，即难以找到两个不同的输入会得到相同的h a s h 输出值( 在计 算上是不可行的) 。 h a s h 函数的应用主要是以下三个领域： l 、数字签名 消息摘要是通过单向函数将需要加密的任意长度的明文“摘要 成一串固定 长度的密文。且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘 要必定一致。这样摘要便成为明文是否完整的“指纹 。 由于消息摘要通常比消息本身小得多，因此对消息摘要进行数字签名在处理 上比消息本身签名高效的多，所以数字签名通常都是对消息摘要进行操作。 基于h a s h 函数的数字签名，其优点是： 对h a s h 值进行签名可以取得更短的签名； 计算更快； 更容易管理签名，签名集中在一个分组中，不会形成多个分组的签名。 2 、报文完整性鉴别 生成程序或文档的“数字指纹”，h a s h 函数可以将任意长度的输入变换为 固定长度的输出，不同的输入对应着不同的输出，因此，可以基于h a s h 函数 北京工业大学工学硕士学位论文 变换得到程序或文档的散列值输出，即“数字指纹 。可与放在安全地方的原有 “指纹 进行对比，这样可以发现病毒或者入侵者对程序或文档的修改。即使用 散列函数的生成数据的散列值，并与保存的数值进行比较，如果相等，说明数据 是完整的，否则，表明数据已经被篡改过。这是为了保证数据的完整性，实现消 息认证，保证消息不被未经授权地非法篡改。 3 、用于安全存储口令 如果基于h a s h 函数生成口令的散列值，然后在系统中保存用户的d 和他 的口令的散列值，而不是口令本身，这有助于改善系统的安全性。因为此时系统 保存的是口令的散列值，当用户进入系统时要求输入口令，系统重新计算用户输 入口令的散列值并与系统中保存的数值做比较，当两者相等时，说明用户的口令 是正确的，允许用户进入系统，否则将被系统拒绝。 目前典型的h a s h 算法有：m d 2 、m d 4 、m d 5 、s h a 1 、p 坤e m d 1 6 0 等。 2 1 2 群和域 定义2 1 ：一个非空的集合g 上定义了一个二元运算“ ，如果满足下列性 质 ( 1 ) 有封闭性：对任意的口，6 g ，有口6 g ； ( 2 ) 结合律成立：对任何的吼6 ，c g ，有口6 c = 0 6 ) c = 口p 力； ( 3 ) 有单位元e ： 对任意口g ，有g g ，使口p = p 口= 口； ( 4 ) 存在逆元： 对任意口g ，有口- 1 g ，使得口口一= 口一口= e ； 如果对于非空集合g ，上述条件成立，则g 构成一个群。 对于任意的口，6 g ，有：口6 = 6 口，即如果群满足交换律，则成其为交换 群( a b e l 群) 。 定义2 2 ：域是一个代数系统，它由一个非空集合f ( 至少包括两个元素) 组成， 在集合f 上定义有两个二元运算：“+ ”( 加法) 和“，( 乘法) ，并满足下列条 件。 ( 1 ) f 关于加法“+ 是一个交换群，其单位元为“o ”，称为域的零元，元 素a 的逆元为- a ；与加法对应的逆运算( 减法) 定义为：口一6 = 口+ ) ； ( 2 ) f o ) 关于乘法“是一个交换群，其单位元为“l ”，仍称为域的单 位元或么元，元素a 的逆元为口；与乘法对应的逆运算除法定义为：口6 = 口6 一； ( 3 ) 乘法在加法上满足分配律：对任意口，6 ，c f ，有 第2 苹基础知识 口( 6 + c ) = ( 6 + c ) 口= 口6 + 口c ( 2 1 ) 把满足上面性质的代数系统称为域f ，记为 。 定义2 3 ：如果域f 只包含有限个元素，则称域f 为有限域，也称为伽罗华 域或者g a l o i s 域。有限域中元素的个数称为有限域的阶。 2 1 3 椭圆曲线与离散对数难题 1 9 8 5 年，m i l l e r 【2 7 】和l ( o b l i t z 【2 8 】分别提出将椭圆曲线用于公钥密码学，从 而形成了椭圆曲线密码体制( c l l i 埘cc i l r v e 啪g r a 】p h y ，e c c ) 。e c c 利用有限 域上的椭圆曲线的点构成的有限群实现离散对数算法。目前，椭圆曲线密码体制 的安全性引起了密码学界的高度重视。椭圆曲线密码体制是建立在椭圆曲线离散 对数问题( e c d l p ：e m 砸cc u cd i s c r e 吒ek g 耐缸np r o b l 锄) 求解困难性的基础 之上的，它比基于有限域乘法群上的离散对数问题的密码体制有着明显的优越 性，所以椭圆曲线密码体制可以用更短小的密钥，保持较高的安全性。 令g 为群g 的生成元，g 矿= l i = 1 ，2 ，) ，给定g 和i ，通过重复求平方 可以很容易计算出g l ，离散对数难题即：给定a g ，找到x 使得矿= 口是困难的。 在当今数学中，离散对数求解是一个困难问题，也就是说：如果知道a 和g ， 而它们的值又都比较大，那么求解x 是很困难的，可以说在计算上是不可行的。 离散对数求解难题是一直存在的问题，它为密码协议的设计提供了坚实的基础。 许多性能良好的密码算法都基于这一难题设计的，例如著名的s c h 舯r r 数字签名 方案和e l g a m a l 数字签名方案。 椭圆曲线原来是代数几何中的难题，对椭圆曲线的研究最早开始于1 9 世纪， 至今已经有1 5 0 多年的历史了。1 9 8 5 年，k 0 b l 池和m i l l 盯各自将椭圆曲线引入 到公钥密码学中，形成了椭圆曲线密码体制。椭圆曲线密码体制是利用有限域上 的椭圆曲线的有限群代替基于离散对数问题密码体制中的有限循环群所得到的 一类密码体制。本章主要介绍椭圆曲线的定义，椭圆曲线上的离散对数难题及其 上的运算。 a 椭圆曲线的定义 椭圆曲线不是通常指的椭圆，而是指亏格为1 的平面代数曲线，一般可以用 维尔斯特拉( w d c r s 缸獭s ) 方程表示 j ，2 + 口i 砂+ 口2 y = ，+ 口3 x 2 + 口4 x + 口5 ( 2 2 ) 维尔斯特拉( w 葫e r s 鼢s ) 方程所确定的平面曲线e ，即满足方程的所有点 的集合，外加一个零点和无穷远点o 。其中，儡，f 是一个域，可以是有理 北京工业太学工学硕士学位论文 数域、复数域，还可以是有限域卯( p 7 ) 。本文采用的是有限域上的椭圆曲线， 使用有限域，而不使用实数域，是因为用实数计算是产生截断误差，而密码算法 要求精确计算，另外实数运算很慢。基于有限域的计算，在计算机处理时间上可 以大大提高处理速度，所以密码学偏爱于使用有限域。椭圆曲线在密码学中的应 用在于椭圆曲线可以提供无数个有限a b e l 群。这样的群的结构丰富，易于实际 计算，从而可以用于构造密码算法。 在密码学中，常把椭圆曲线改写为： y 2 = ，+ 戤+ 6 ( m o d p ) ( 2 - 3 ) 的形式，并要求判别式= 4 口3 + 2 7 6 2 o ，确保椭圆曲线e 是“光滑”的，即椭 圆曲线上的所有点都没有两个或两个以上不同的切线。 有限域上的椭圆曲线，对于固定的a 和b ，满足形如方程 y 2 = ，+ 口x + 6 ( m o d p ) ( 2 - 4 ) 的所有点( x ，y ) 的集合，外加一个零点或无穷远点o ，其中a ，b ，x 和y 均在 有限域g f ( p ) 上取值，即在p ，l ，2 ，p 1 ) 上取值。p 是素数。 定义2 4 ：零点的概念 如果直线l 通过点r 及其对称点r ( 其中直线l 与y 轴平行) ，如果直线l 与椭圆曲线没有第三个交点，则规定r + ( r ) = o ，称为零点。零点的意义：表 示此时直线l 在无穷远处与曲线有交点，o 也就等价于加法群中的单位元一零元。 定义2 5 ：椭圆曲线上点的阶 设p 是椭圆曲线e 上的一点，如果存在最小的整数n ，使得i l p = o ，其中o 表示无穷远点( 零点) ，那么称p 点的阶为n 。椭圆曲线上的某些点不一定存在 有有限阶n ，但是我们关心的是曲线e 上有有限阶的点。 定义2 6 ：群的阶 椭圆曲线e ( ) 的点的个数称为域上椭圆曲线e 的阶，记为撑e ( ) 。因 为韦尔斯特拉( w 葫e s 协s ) 方程对于每个x 兄最多有两个解，所以 稃e ( ) 【1 ，2 9 + l 】。h 弱s e 定理给出了撑e ( ) 更精确的界。 定理h a s s e ： 圳n 提出猜想i 群e ( ) 一( g + 1 ) 卜2 孑，该猜想被h 髂s e 证明，并称为h a s s e 定理。h a s s e 定理的另一种描述为：设e 是定义在域e 上的椭圆曲线，