可信網(wǎng)絡(luò)匿名連接方案

莊俊璽,公 備

(北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院,北京 100124)

可信網(wǎng)絡(luò)匿名連接方案

莊俊璽,公 備

(北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院,北京 100124)

在開放式網(wǎng)絡(luò)連接環(huán)境中,可信網(wǎng)絡(luò)終端在進(jìn)行身份證明時(shí)不希望暴露自己的身份,本文提出了一種基于環(huán)簽名的可信網(wǎng)絡(luò)連接客戶端匿名認(rèn)證方案,引入環(huán)管理員機(jī)制以保證環(huán)成員都是合法的可信網(wǎng)絡(luò)連接客戶端,本方案的安全性基于CDH假設(shè)和強(qiáng)單向函數(shù),且參數(shù)較短,易于實(shí)現(xiàn).

環(huán)簽名;雙線性映射;強(qiáng)單向函數(shù);CDH假設(shè)

國(guó)際上可信計(jì)算聯(lián)盟(TCG)提出了基于可信計(jì)算的可信網(wǎng)絡(luò)連接架構(gòu)(TNC)[1],它通過提供一個(gè)由多種協(xié)議規(guī)范組成的框架來實(shí)現(xiàn)一套網(wǎng)絡(luò)接入標(biāo)準(zhǔn).

國(guó)內(nèi)在沈昌祥院士的主導(dǎo)下,提出了采用三元對(duì)等鑒別協(xié)議的網(wǎng)絡(luò)訪問層,利用該協(xié)議實(shí)現(xiàn)終端和策略執(zhí)行點(diǎn)的雙向身份認(rèn)證.

在開放式網(wǎng)絡(luò)連接環(huán)境中,可信網(wǎng)絡(luò)終端在進(jìn)行身份證明時(shí)不希望暴露自己的身份,僅使網(wǎng)絡(luò)接入端知道自己是一個(gè)合法用戶即可,因此,本文提出了網(wǎng)絡(luò)匿名連接方案,不僅保證接入的終端是合法的同時(shí)保證連接的匿名性.對(duì)于匿名連接方案,TCG提出了可信平臺(tái)控制模塊的直接匿名證明方案(DAA),DAA方案基于Camenisch-Lysysanskaya群簽名[2-6],通過向第三方證明自己的身份得到信任證書,再通過證書產(chǎn)生簽名向驗(yàn)證者證明自己的身份.但是DAA的證明過程過于繁瑣,計(jì)算過程過于復(fù)雜,本文提出了基于環(huán)簽名的證明方案.傳統(tǒng)的環(huán)簽名沒有認(rèn)證中心,雖然可以保證匿名性,但是不能保證安全性.本文的環(huán)簽名方案加入了一個(gè)環(huán)管理者,這樣既可以實(shí)現(xiàn)匿名證明又可以防止無賴的可信網(wǎng)絡(luò)終端,從而保證了匿名性和安全性.

1 預(yù)備知識(shí)

1.1 環(huán)簽名

由Rivest等[7]在2001年提出,它能實(shí)現(xiàn)簽名者無條件匿名的簽名,環(huán)簽名的構(gòu)成算法分為3種.

1)密鑰生成算法Gen 環(huán)簽名的密鑰生成算法都是概率多項(xiàng)式時(shí)間復(fù)雜度(PPT)的算法,當(dāng)給出安全參數(shù)即密鑰長(zhǎng)度,由密鑰生成算法生成私有密鑰和公開密鑰.

2)簽名算法Sign 環(huán)簽名的簽名算法也是概率多項(xiàng)式時(shí)間復(fù)雜度的算法(PPT),當(dāng)輸入消息m和n個(gè)環(huán)成員的公開密鑰{PK1,PK2,…,PKn}以及其中的一個(gè)成員的私鑰SK后,對(duì)消息m產(chǎn)生一個(gè)簽名 σ,其中簽名 σ中的某個(gè)參數(shù)根據(jù)一定的規(guī)則呈環(huán)狀.

3)驗(yàn)證算法Verify 確定性算法,輸入(m,σ)后,若 σ為m的環(huán)簽名則輸出“True”,否則為“False”.

1.2 基本概念

定義1 雙線性映射 下設(shè)群G1=〈g1〉和群 G2=〈g2〉是2個(gè)q階循環(huán)群,q是一個(gè)大素?cái)?shù),群G1和G2之間存在同構(gòu)映射記做g1=φ(g2)(其中 φ是群G1和群G2之間的同構(gòu)映射),而且滿足

1)可計(jì)算的雙線性 存在可計(jì)算的映射e∶G1×G2→G3(G3也是一個(gè)階為q的循環(huán)群)使得任意的η∈G1,γ∈G2,都存在 e(ηa,γb)=e(η,γ)ab.

2)非退化性 對(duì)于任意的群上的非零元 η∈G1,γ∈G2,e(η,γ)≠1.

定義2 計(jì)算性Diffie-Hellman假設(shè) 對(duì)于給定的安全參數(shù)k,g是符合安全參數(shù)的長(zhǎng)度群G的一個(gè)元素,給定(g,ga,gb)∈G,a,b是秘密參數(shù),a,b∈Zp,p為素?cái)?shù),那么對(duì)于不知道a,b的情形下計(jì)算gab,在多項(xiàng)式時(shí)間內(nèi)是不可行的.

定義3[8]強(qiáng)單向函數(shù) 如果一個(gè)函數(shù)f∶{0,1}*→{0,1}*滿足

1)易于計(jì)算 存在一個(gè)確定性的多項(xiàng)式算法A,使得輸入為x時(shí),算法A的輸出為f(x),亦即A(x)=f(x).

2 可信網(wǎng)絡(luò)連接匿名認(rèn)證方案

本方案增加一個(gè)環(huán)管理員與群管理員,不同的是環(huán)管理員只驗(yàn)證成員的合法性,不打開簽名的權(quán)限,從而保證了簽名的匿名性.選定一個(gè)階為素?cái)?shù)p的群G,以及整環(huán)Zp,G為以g為生成元的乘法循環(huán)群,GT為以g′為生成元的乘法循環(huán)群,定義2個(gè)散列函數(shù)Hid∶{0,1}lid→G,Hm∶{0,1}lm→Zp(Hid和Hm均為無碰撞的強(qiáng)單向函數(shù)),選擇g1=gx(x∈Zp),g2∈G,定義e∶G×G→GT為從G到GT的雙線性映射,整個(gè)系統(tǒng)的公開參數(shù)為(G,GT,e,p,g,g1,g2,Hid,Hm).

2.1 環(huán)成員的加入

環(huán)簽名的成員不能是無賴的可信網(wǎng)絡(luò)連接終端.對(duì)每個(gè)可信網(wǎng)絡(luò)連接終端的IDi做 γi=Hid(IDi),生成一個(gè)序列 R={γ1,γ2,…,γn}.

可信網(wǎng)絡(luò)連接終端向環(huán)管理員證明自己的合法性,同時(shí)生成自己的簽名密鑰.

2)可信網(wǎng)絡(luò)連接終端用AIK私有密鑰解密nc,選擇ra,rb∈Zp,計(jì)算,然后,將可信網(wǎng)絡(luò)連接終端將計(jì)算結(jié)果 (v1,v2,σa,σb,Ra,Rb,v3,σ′)發(fā)送給環(huán)管理員.

3)環(huán)管理員首先驗(yàn)證v3是否與無賴可信網(wǎng)絡(luò)連接終端列表中的某個(gè)值匹配,如果匹配則拒絕可信網(wǎng)絡(luò)連接終端的加入申請(qǐng),否則驗(yàn)證是否成立,如果成立則說明可信網(wǎng)絡(luò)連接終端擁有正確的AIK私鑰,并且這個(gè)可信網(wǎng)絡(luò)連接終端是合法的可信網(wǎng)絡(luò)連接終端.

4)環(huán)管理員使用AIK的公開密鑰加密每個(gè)v′∈Zp給申請(qǐng)加入的環(huán)成員.

2.2 簽名過程

1)當(dāng)通過環(huán)管理員驗(yàn)證之后,申請(qǐng)加入的可信網(wǎng)絡(luò)連接終端成為第i個(gè)環(huán)成員,其收到v′之后計(jì)算v=v′+x1+x2.

2)對(duì)消息M進(jìn)行簽名,計(jì)算m=Hm(M),環(huán)成員計(jì)算其私鑰di=(g2xγiv,gv).

2.3 驗(yàn)證過程

3 安全性分析

3.1 正確性

根據(jù)雙線性群的性質(zhì),可以推導(dǎo)出

根據(jù)雙線性映射的性質(zhì),可得

從而得出簽名和驗(yàn)證方案正確.

3.2 無條件匿名性

定理1 可信平臺(tái)控制模塊在申請(qǐng)成為環(huán)成員過程中是匿名的.

證明:因?yàn)?γi=Hid(IDi),所以,可信網(wǎng)絡(luò)連接終端向環(huán)管理員認(rèn)證階段的匿名性取決于Hid∶{0,1}lid→G的強(qiáng)度,由于Hid∶{0,1}lid→G是強(qiáng)單向函數(shù),設(shè)A′(Hid(IDi))為求逆算法,則有

2)設(shè)A′(Hid(IDi))是固定輸出算法,對(duì)于給定 γi=Hid(IDi),A′(Hid(IDi))都輸出固定的序列,因此固定輸出算法A′的求逆概率為

由此可知,單向函數(shù)求逆的概率最差為2-n,所以對(duì)于強(qiáng)單向函數(shù) γi=Hid(IDi),求逆的概率滿足

那么,γi=Hid(IDi)求逆的概率為2-n≤Pr[A′(Hid(IDi))]＜1/p(n),因此,如果想知道可信網(wǎng)絡(luò)連接終端的身份信息,幾乎等同于暴力破解,所以,可信網(wǎng)絡(luò)連接終端在申請(qǐng)成為環(huán)成員的過程中是匿名的.

定理1得證.

定理2 可信平臺(tái)控制模塊在簽名過程中是匿名的.

定理2得證.

3.3 簽名不可偽造

只有合法的環(huán)成員才能通過環(huán)管理員的驗(yàn)證,才能收到v′,才可以計(jì)算v=v′+x1+x2,進(jìn)而生成簽名密鑰本文提出的簽名方案是基于CDH假設(shè)的,在多項(xiàng)式時(shí)間內(nèi)從 σ=(S,f1,f2,…,fn)簽名中不能得到簽名密鑰的任何信息,從工程角度來看,簽名在有效時(shí)間內(nèi)是不可偽造的.

4 結(jié)論

本文提出的可信網(wǎng)絡(luò)匿名身份認(rèn)證方案的安全性基于強(qiáng)單向函數(shù)及CDH假設(shè),該方案滿足正確性、匿名性,以及簽名不可偽造,本文提出的認(rèn)證方案是安全的,而且該方案有著較短的參數(shù),效率較高,易于實(shí)現(xiàn).

[1]Trusted Computing Group.TCGTNC Arthitecture for Interoperability Specification Version 1.3[S].Released 6 Phoniex:TCG Published,2008.7.

[2]CAMENISCH J,STADLER M.Efficient group signature schemes for large groups[C]∥Advances in Cryp tology-CRYPTO'97,California:Springer Verlag,1997:410-424.

[3]CAMENISCH J,MICHELS M.A group signature scheme with im proved efficiency[C]∥Pei,editors,Advances in Cryptology-ASIACRYPT'98.Beijing:Springer-Verlag,1998:160-174.

[4]CAMENISCH J,MICHELSM.Separability and efficiency for generic group signature schemes[C]∥Advances in Cryptology-CRYPTO'99 California:Springer-Verlag,1999:413-430.

[5]CAMENISCH J,LYSYANSKAYSA.Dynam ic accumulators and application to efficient revocation of anonymous credentials[C]∥Advances in Cryptology-CRYPTO 2002,California:Springer-Verlag,2002:61-76.

[6]CAMENISCH J,LYSYANSKAYA A.A signature scheme with efficient protocols[C]∥Security in Communication Networks,Third InternationalConference,SCN 2002 Berlin,New York:Springer-Verlag,2003:268-289.

[7]RIVEST R L,SHAMIRA,TAUMAN Y.How to leak a secret[C]∥In Asia Crypt2001.Berlin:Springer-Verlag,2001:552-565.

[8]GOLDREICH O.Foundations of Cryptography[M].London:Cambridge University Press,2001:35-36.

(責(zé)任編輯 張士瑛)

The Connection Anonymous Scheme of Trusted Network

ZHUANG Jun-xi,GONG Bei
(College of Computer Science,Beijing University of Technology,Beijing 100124,China)

In an open network access environment,the trusted network clients do not want to expose their identity.In this paper a new trusted network connection anonymous authentication scheme is presented,which is based on ring signature.By adding a ring administrator,it can be ensure the members of the ring to be the legitimate trusted network clients.The safety of the scheme is based on the CDH assumption and strong one-way function.It is suitable for engineering because of shorter public parameter size.

ring signature;bilinearmap;strong one-way function;CDH assumption

TP309

A

0254-0037(2010)05-0597-04

2009-12-10.

國(guó)家“八六三”計(jì)劃基金項(xiàng)目資助(2006AA01Z440,2009AA012437);國(guó)家 “九七三”計(jì)劃項(xiàng)目資助(2007CB311100);核安全與仿真技術(shù)國(guó)防重點(diǎn)學(xué)科實(shí)驗(yàn)室開放課題基金資助(HEUFN0801).

莊俊璽(1981—),女,河南新鄉(xiāng)人,講師.