第六章 身份证明.ppt

第六章身份证明 一般概念通行字认证询问 应答认证零知识证明 一般概念 传统的身份证明 一般是通过检验 物 的有效性来确认持该物的的身份 徽章 工作证 信用卡 驾驶执照 身份证 护照等 卡上含有个人照片 易于换成指纹 视网膜图样 牙齿的X适用的射像等 身份认证往往是许多应用系统中安全保护的第一道设防 它的失败可能导致整个系统的失败 一般概念 信息系统常用方式 计算机网络信息系统中 各种计算资源 如 文件 数据库 应用系统 也需要认证机制的保护 确保这些资源被应该使用的人使用 身份认证是对网络中的主体进行验证的过程 用户必须提供他是谁的证明 用户名和口令 Challenge responsebysymmetric keytechniques i Challenge responsebasedonsymmetric keyencryption1 unilateralauthentication timestamp based Challenge responsebysymmetric keytechniques 2 unilateralauthentication usingrandomnumbers preventchosen textattacks reflectionattack non repeating Challenge responsebysymmetric keytechniques 3 mutualauthentication usingrandomnumbers rAin 2 servesbothasachallengeandtopreventchosen textattacks Challenge responsebysymmetric keytechniques ii Challenge responsebasedon keyed one wayfunctions AuthenticationBasedonaSharedSecretKey 简化的双向认证协议 AuthenticationBasedonaSharedSecretKey 反射攻击 AuthenticationBasedonaSharedSecretKey AuthenticationusingHMACs Challenge responseAuthentication Challenge responsebypublic keytechniques1 theclaimantdecryptsachallengeencryptedunderitspublickey 2 theclaimantdigitallysignsachallenge Ideally thepublic keypairusedinsuchmechanismsshouldnotbeusedforotherpurposes sincecombinedusagemaycompromisesecurity Asecondcautionisthatthepublic keysystemusedshouldnotbesusceptibletochosen ciphertextattacks Challenge responseAuthentication IdentificationbasedonPKdecryptionandwitness thewitnessx h r xdemonstratesknowledgeofrwithoutdisclosingit Theuseofthewitnessprecludeschosen textattacks Challenge responseAuthentication ModifiedNeedham SchroederPKprotocolforidentification Challenge responseAuthentication ii Challenge responsebasedondigitalsignatures1 unilateralauthenticationwithtimestamps Challenge responseAuthentication 2 unilateralauthenticationwithrandomnumbers Challenge responseAuthentication 3 mutualauthenticationwithrandomnumbers 交互证明系统 参与者示证者 prover 简记为P 和验证者 verifier 简记为V 其中P知道某一秘密 如公钥密码体制的秘密钥 P希望使V相信自己的确掌握这一秘密 交互证明由若干轮组成 在每一轮 P和V可能需根据从对方收到的消息和自己计算的某个结果向对方发送消息 比较典型的方式是在每轮V都向P发出一询问 Challenge P向V做出一应答 Response 所有轮执行完后 V根据P是否在每一轮对自己发出的询问都能正确应答 以决定是否接受P的证明 交互证明系统 交互证明和数学证明的区别是 数学证明的证明者可自己独立地完成证明 而交互证明是由P产生证明 V验证证明的有效性来实现 因此双方之间通过某种信道的通信是必需的 交互证明系统须满足以下要求 完备性 如果P知道某一秘密 V将接受P的证明 正确性 如果P能以一定的概率使V相信P的证明 则P知道相应的秘密 等价地 若P不知道相应的秘密 P使V相信P的证明的概率趋于0 身份的零知识证明技术 零知识证明起源于最小泄露证明 在交互证明系统中 设P知道某一秘密 并向V证明自己掌握这一秘密 但又不向V泄露这一秘密 这就是最小泄露证明 进一步 如果V除了知道P能证明某一事实外 不能得到其他任何信息 则称P实现了零知识证明 相应的协议称为零知识证明协议 零知识证明经典实例 可以使用洞穴例子来解释零知识 C和D之间存在一个密门 并且只有知道咒语的人才能打开 Peggy知道咒语并想对Victor证明 但证明过程中不想泄露咒语 零知识证明经典实例 零知识证明经典实例 零知识证明的基本协议 1 V站在A点 2 P进入洞中任一点C或D 3 当P进洞之后 V走到B点 4 V叫P a 从左边出来 或 b 从右边出来 5 P按要求实现 以咒语 即解数学难题帮助 6 P和V重复执行 1 5 共n次 若A不知咒语 则在B点 只有50 的机会猜中B的要求 协议执行n次 则只有2 n的机会完全猜中 若n 16 则若每次均通过B的检验 B受骗机会仅为1 65536 零知识证明的基本协议 分割和选择 CutandChoose 协议 1 P将东西切成两半 2 V选其中之一 3 P拿剩下的一半 简化F F S识别体制 参数 选定一个随机模m p q 产生随机数v 且使s sqrt 1 v modm 即v为模m的平方剩余 m和v是公开的 s作为P的秘密钥 简化F F S识别体制 1 P取随机数r m 计算x r2modm 送给V 2 V将一随机bitb送给P 3 若b 0 则P将r送给V 若b 1 则P将y rs送给V 4 若b 0 则V证实x r2modm 从而证明P知道sqrt x 若b 1 则V证实x y2 vmodm 从而证明A知道sqrt x v sqrt x sqrt 1 v 这是一轮证明 A和B可将此协议重复t次 直到B相信A知道s为止 简化F F S识别体制 简化F F S识别体制 Fiat Shamir身份识别方案 协议及原理在简化的Fiat Shamir身份识别方案中 验证者V接受假冒的证明者证明的概率是1 2 为减小这个概率 将证明者的秘密改为由随机选择的k个平方根构成的一个向量 F F S识别体制 协议如下 P随机选r 0 r m 计算x r2modm 将x发送给V V随机选b b1 b2 bk 其中bi 0 1 i 1 2 k 将e发送给P P计算 将b发送给V 若 V拒绝P的证明 协议停止 P和V重复以上过程t次 Chaum离散对数的零知识证明 零知识证明应用 ThefirstmethodstodemonstrateaZKPPweretheEncryptedkeyexchangemethods EKE describedbyStevenM BellovinandMichaelMerrittin1992 Password authenticatedkeyagreementmethodsweredevelopedinsubse