信息安全-知识的零知识证明.doc

我们表示知识的零知识证明是一个证明者通过使一个论述的P 满足于 PoK(a1,a2.an)|P(a1,.an)使得一个核实者信服。这个概念是从Camenish和Stadler上汲取过来的（修改他们的理论使得PoK代替PK）。B、主要的架构我们把知识的零知识证明当做是在构造块以及以单独的模块来描述它们。知识的零知识证明显示这里的非交互式证明在随机预言模块是安全的。在这个安全的证明里，我们表示这些协议的交互式模式的使用是不需要依靠随机预言模块并且能够使零知识使用协议的正常执行，这也就意味着零知识证明的顺序执行。当交互式的知识的零知识证明用Fiat-Shamir 启发式理论在随机预言模式下实例化和协议在同时执行时，我们的证明就因为技术的原因被瓦解了，但是我们任然将我们的证明当做是为了执行的安全儿做的启发式的证明。构建（spk,ssk,）服务器在Zq集合中选择x,y,z以及使得X=gx,Y=gy,Z=gz.这个服务公共秘钥是spk=(q，G，GT，g, X，Y，Z)，服务的私有秘钥是ssk=(x,y,z).服务器的状态是由一对集合组成。它们初始化状态下是为NULL。就像这样=（，）。我们把第一个组件成为.cur以及第二个组件称为.next.在所有的组件中，cur=|.cur|,next=|.next|。注册：（，sk）1、 客户端选择从Zq处选择d,r.用它们来构建M=(gd)*(Zr)并且将他们送到服务器端。2、 这个客户端以证明着的角色以及服务器端以核实者的角色存在与知识的零知识证明。 PoK（d,r）|M=(gd)*(Zr). 如果上述证明失败，则注册失败。3、服务器端从Zq*产生一个a值，并且使得A=ga.然后它形成了这个注册号s=(A,B=Ay,Zb=Zay(=Bz),C=(Ax)*(Maxy)并且将产生的注册号返回给客户端。4、客户端通过以下公式验证收到的是否是为合法的注册号： A！=1，e(g,B)=e(Y,A),e(g,ZB)=e(Z,B),e(g,C)=e(X,A)*e(X,B)d*e(X,ZB)r.否则，RegC输出。5. 客户端设置sk=(s,d,r).登陆（，cur）,）1、客户端利用它的私有秘钥（s=(A,B,ZB,C),d,r）来创建一个不知情的注册号。这个客户端选择从Zq*中选择r1,r2,并且创建盲注册名s=(A,B,ZB,C),使得A=Ar1,B=Br1,ZB=ZBr1,C=Cr1r2.2、客户端利用Yd(t)=gT(1/(d+t)创建登录号。3、客户端提交s,Yd(t)到服务器端。4、如果Yd(t).cur，则登录失败。5.否则，服务器通过如下方程进行验证： e(g,B)=e(Y,A),e(g,ZB)=e(Z,B)如果不符合上述等式，则登录失败。6. 服务器端和客户端分别进行如下计算： v=e(g,C) vx=e(X,A) vxy=e(X,B) vxy=e(X,ZB)7、客户端以证明者的身份并且服务器端以核实者的身份存在于知识的零知识证明当中。PoK=（d,r,r）|vr=(vx)(vxy)d(vxy)rYd(t)=gT(1/(d+t).(这个客户端利用的r=1/r2)如果证明失败，则登录失败。8、 服务器端设置=（.curYd(t),.next）. 连接：（,next）,） (Re-UpS(ssk,next,t),Re-UpC(sk,spk,t) 1、客户端利用sk=(s,d,r)提交Yd(t)=gT(1/(d+t),Yd(t+1)=gT(1/(d+t+1)到服务器端。 2、服务器端验证收到的Yd(t).cur并且Yd(t+1).next.如果不是，则连接失败。 3、客户端以证明者的身份并且服务器端以核实者的身份存在于知识的零知识证明当中。PoKd|Yd(t)=gT(1/(d+t)Yd(t+1)=gT(1/(d+t+1).如果证明失败，则连接失败 4、这个服务器端增加Yd(t+1)到.next.。下一个响应时间：（，cur,next）EndEpoch(,cur,next)=(.next,). 接下来的证明能够在这个论文的全部的版本下找到。 理论（健全性）：如果LRSW的假设支持G,那么上面的构建方法是健全的。 理论（匿名性）：如果DDHI的假设支持G，那么上面的构建方法是匿名的。 C、有效的改进我们的协议包含了几个已经进行了有效改进的基础原始协议，它用到的方法是：改进了的CL注册：这个基础的CL注册包含了第五个元素：Az=ZA在我们的概念中，这个A是客户端sk的一部分和zssk.ZA,一个盲版本的ZA是客户把它发送到注册的知识的证明当中，能够减少注册有效性的再次构建的检查。所以不再需要下面的等式进行验证：e(A,Z)=e(g,ZA),e(ZA,Y)=e(g,ZB)上述等式用来证明ZA和ZB是正确的形成的，我们排除了ZA和前者的检查，对于后者我们检查 e（B，Z）=e(g,ZB)上式用来证明ZB的正确形成，去除这些元素减少了两对的操作,这两对操作分别是服务器验证对这个元素正确形成的的检查。这两对操作占登陆的主要计算代价，所以这些删除时非常重要的。一个服务器的登陆操作包括八对以及GT的六个指数。经过测量我们知道了一对操作平均需要1950s,一个GT指数操作平均需要232s（从第五章中可以看到完整的关于对数以及指数的计算所需要的时间的介绍），这样，我们理想状态下在服务器中登陆可以通过减少1.2s的时间以提高效率。同步登陆和连接：一些我们的应用程序涉及到在当前时间点进行连接的时候能够迅速的连接到下一个时间点。在这种情况下我们改变了这个协议以提高效率。我们能够减少在不同的连接中出现的重复的指数计算所造成的代价：一个登陆使用的Y(t)以及在不同的登陆下连接序列Y(t)To Y(t+1),Y(t+1) to Y(t+2),Y(t+n-1) to Y(t+n )以及连接操作重复Y（t+1）.Y(t+n-1)的指数操作，这两个操作的时间在客户端从2566s减少到1393s 而在服务器端从1412s减少到921s。这是分别是1.8和1.5的改进。但是这个全部时间仍然是以登陆的书剑占主要。 D、知识的零知识证明 我们展示的知识的零知识证明是在随机预言模式下是安全的，这个协议在匿名协议下被执行： 注册PoK：PoK（d,r）|M=(gd)*Zr 证明者：1、 在Zq中选择rd,rr,计算R=Grd*Zrr.2、 使得c=H(g,Z,M,R)3、 发送（R，ad=cd+rd,ar=cr+rr）至核实者核实者：1、 计算c=H(g,Z,M,R)2、 检查McR=gad*Zar登陆PoK：PoK（d,r,r）|vr=(vx)(vxy)d(vxy)rY(t)=gT(1/(d+t)我们重写PoK（d,r,r）|vr=(vx)(vxy)d(vxy)rY(t)=gT*Y(t)(-t) 证明者：1、 在Zq中选择rd,rr,rr,然后计算R1=vrr*(vxy)rd*(vxy)rr以及R2=Y（t）rd2、 设置c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)3、 发送（R1，ar=c*r+rr,ad=-cd+rd,ar=-cr+rr,R2）给验证者验证者：1、 计算c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)2、 检查vxcR1=var*vxyad*vxyar和(gT*Y(t)(-t)(-c)*R2=Y(t)ad 连接PoK：PoKd|Y(t)=gT(1/d+t) Y(t+1)= gT(1/d+t+1) 我们重写上式得到： PoKd|Y(t)d=gT*Y(t)(-t) Y(t+1)d= gT*Y(t+1)(-t-1)证明者：1、 在Zq中选择r,设置Rt=Y(t)r以及R(t+1)=Y(t+1)r2、 设置c=H(gT,Y(t),Y(t+1),Rt,R(t+1)3、 发送（a=cd+r）给核实者核实者:1、 计算c=H(gT,Y(t),Y(t+1),Rt,R(t+1)2、 检测（gT*Y(t)(-t)）c*Rt=Y(t)a以及（gT*Y(t+1)(-t-1)）c*R（t+1）=Y(t+1)a 四、设计 这个模块描述了匿名协议系统的设计。这个系统是用来在我们在部署的实践中使我们的协议实例化。我们在这个系统的各个功能室分隔开的系统里呈现我们的概念上的框架。在匿名协议系统里有三个主要的块：客户认证管理，服务器认证管理以及服务提供者传输控制。在我们的这个设计里，我们把这些模块分别叫做客户使用者代理，认证服务器以及资源通道。这个客户使用者代理和认证服务器在密码学协议里相当于客户端以及服务器。这是资源通道使得潜在的服务用了通道，潜在的服务指的是那些给那些身份没有被认证的用户而被拒绝的服务。在匿名协议系统中的会话是时间点的序列，它开始于登陆，结束于用户停止在此进入。数字1显示了匿名协议系统的主要组件。我们从存在的服务里面描述分布式设置，在这个设置里面三个功能是分别实现的，即使是一个配置能够合并这些功能。举个例子，资源通道可能会被卷人早已存在的会话管理的组件当中。我们的系统支持内部和外部的认证服务器。一个内部的认证服务器和一个给自己提供匿名的通道的服务提供者一致。比如说，这个美国时间网站可能以额外的费用提供匿名的通道。一个外部的认证服务器和数字1一致。这个在认证服务器，资源通道，以及在用户代理之间的交流是关于客户和服务的。这个交流被用户代理发动，而由认证服务器正是这个身份。这个认证服务器证实成功了这个身份之后又返回一个签名记号给用户代理。这个用户代理传送这个签名记号到通道上并传送这个信息给客户应用软件得以应用。这个应用软件把这个记号作为一个包含它正常请求的cookie。这个通道检查目前的这个签名记号在当前的时间点上是不是没有被使用，接下来代理人将这个链接到应用服务器上。这个应用服务器返回请求内容以及通过证实这个连接在返回给客户端之前是否有效。对于一个实体提供匿名访问的通道到早已经存在的网络服务。举个例子来说，一个商业的匿名网络代理(像 or )可能提供匿名的服务。我们的系统尽管不是以数字的形式描述，但是系统也完成了注册。我们不讨论注册支付部分的协议。匿名的支付是独立的和正交的问题。可能的解决办法是以电子现金和少量的硬币的时候支付。 一个可能会允许在很短的时间内多次进入。如果一个用户应用指导它不需要在短时间的从原来的动作中分割开它的目前的动作，它将会分批次处理这些有价值的能够再次进入的操作