可更新身份可追查的虛擬企業(yè)動態(tài)認證方案

周 萍，何大可，蘭青青

（1.西南交通大學 信息科學與技術學院，四川 成都　610031；2.四川城市職業(yè)學院 汽車與信息工程學院，四川 成都　610101）

可更新身份可追查的虛擬企業(yè)動態(tài)認證方案

周 萍1，2，何大可1，蘭青青2

（1.西南交通大學 信息科學與技術學院，四川 成都610031；2.四川城市職業(yè)學院 汽車與信息工程學院，四川 成都610101）

現(xiàn)有虛擬企業(yè)信任認證方案都沒有定期更新功能，且有些不具備身份可追查性，有些不能抵抗合謀攻擊，安全性較差。為此，在（t，n）門限秘密共享的基礎上提出了一個可定期更新、身份可追查、抗合謀攻擊、部分簽名可驗證的安全性更高的虛擬企業(yè)動態(tài)認證方案，進行了安全性分析。方案無需可信中心，由群內(nèi)所有成員共同生成群私鑰；可以動態(tài)增減成員而無需改變?nèi)核借€，減小了方案實施的代價；引入成員的固有公私鑰對，實現(xiàn)了抗合謀攻擊；通過構(gòu)建身份追查表、y值吊銷表及有效的身份追查協(xié)議，實現(xiàn)了簽名成員身份的可追查性；方案還能對部分簽名進行驗證，防止簽名成員的不誠實行為。

虛擬企業(yè)；可定期更新；合謀攻擊；身份可追查性

在公鑰密碼體制的技術框架下，虛擬企業(yè)（Virtual Enterprise，VE）各成員企業(yè)認證中心 （Certificate Authority，CA）間的信任交互是VE所有安全問題的基礎和前提［1-3］。在此基礎上建立的動態(tài)信任關系必須具有動態(tài)決策屬性。如同密碼應該定期更換一樣，每個企業(yè)成員CA的權(quán)限值應該是可變的，其密鑰和認證證書也應該定期更新［4-6］。同時，當有成員企業(yè)加入或退出時，VE成員間的信任關系將發(fā)生改變，此時各企業(yè)成員所基于的身份信息也應進行相應調(diào)整。

對于虛擬企業(yè)CA間的認證交互問題，Li等人［7］首次提出了基于虛擬認證中心VCA（Virtual CA）的安全交互模型。在此基礎上，劉端陽等人［8］給出了一個突出了盟主地位的改進VCA方案，但因權(quán)限分配方式過于固定 （盟主CA分配t-1份，盟員CA分配1份），方案只能適用于一主多從合作模式，且安全性和效率較差。在這兩種VCA模型方案的基礎上，又有一些改進的虛擬企業(yè)交互認證方案被提出。如張文芳等人［9］于2007年提出了基于可變權(quán)限集的廣義交互認證方案，張亞玲等［10］提出了抗聯(lián)盟攻擊廣義虛擬企業(yè)認證方案，蔣李等［11］于2010年提出了基于動態(tài)信任值的DAA跨域認證機制，張文芳等［12］提出了基于門限RSA簽名的安全交互方案，以及方案［13-15］等。

但是，這些方案都沒有動態(tài)更新功能，即各成員企業(yè)CA的子密鑰和認證證書一旦生成就永遠不變。另外，絕大部分方案也不具備身份可驗證性，不能識別某些成員的欺詐認證；有些方案則不能抵抗合謀攻擊；有些方案需要盟主CA參加認證，但盟主CA掌握著系統(tǒng)私鑰，極易導致權(quán)威欺騙，或形成安全性瓶頸和效率瓶頸；有些方案只能適用于一種VE組織模式；有些方案則效率較低。

針對這些缺陷，本文提出了一種可定期更新的、簽名者身份可追查的、基于VCA模型的動態(tài)交互認證方案。相比于其他方案，本方案不需要盟主CA或可信中心參加；可實現(xiàn)每個成員企業(yè)CA的密鑰影子和認證證書的定期更新；成員企業(yè)可動態(tài)加入或退出；具有簽名者身份可追查性；可抵抗合謀攻擊。方案因此具有更高的安全性能。

1　新的可更新身份可追查的VE動態(tài)認證方案

新方案包含VCA創(chuàng)建、VCA更新、證書頒發(fā)、成員加入或退出、身份追查和VCA終結(jié)6個階段。

1.1相關定義

p，q分別為1 024位，160位安全大素數(shù)，q|（p-1）。g為GF（p）的q階生成元。

將虛擬企業(yè)VE當前可見的合作期限，根據(jù)需要劃分為T個等長的時間周期，分別為第0，1，…，T-1周期。更新密鑰影子和證書的時間點設置為每個周期的開始時刻。

設VE共有m個成員企業(yè)（以下簡稱成員），記第i個成員為Pi（1≤i≤m），約定盟主為P1。

設VE密鑰影子的個數(shù)為n個（m＜n），t為門限值。

記Ceri，j（τ）為第τ周期的認證證書，i為證書主體，j為證書頒發(fā)者。

H：Z*q→Z*q是一個強安全單向散列函數(shù)，選擇散列種子β∈Z*q，使用遞歸運算Hk（β）=H（Hk-1（β）），可得到一個單向散列數(shù)列H（β），H2（β），…HT（β）。在不知道β的情況下，從Hk（β）無法得到Hk-1（β）的值（計算上不可行）。

記VE的y值吊銷數(shù)據(jù)表為DT。

1.2VCA創(chuàng)建

VCA的創(chuàng)建在第0周期的開始時刻完成。過程如下：

1）所有成員企業(yè)共同選擇系統(tǒng)參數(shù)：安全大素數(shù)p，q，滿足q|（p-1），g為有限域GF（p）上的階為q的生成元，h：｛0，1｝*→ Z*q為單向抗強碰撞Hash函數(shù)。要求在GF（p）上求解離散對數(shù)問題是計算上不可行的。

2）所有成員根據(jù)自身的特定組織模式，共同協(xié)商確定每個成員Pi（1≤i≤m）的權(quán)限集Si的大小|Si|。

盟主建立兩個表：y值吊銷數(shù)據(jù)表DT、身份追查數(shù)據(jù)表DB。初始時兩個表均為空。

3）每個成員Pi生成自己的公私鑰對（yi，xi）和Si：

Pi再隨機選擇|Si|個身份信息｛IDk｝，要求任意成員Pi和Pj的身份信息互不相同。Pi公布自己的Si。

4）Pi任選隨機數(shù)ai∈Z*q，計算自己的單向散列鏈｛H（αi），H2（αi），…，HT（αi）｝并秘密保存。

5）全部成員使用分布式密鑰生成協(xié)議，生成VCA密鑰：

①每個成員 Pi任選隨機數(shù) f（0）i0，f（1）i1…，f（0）i（t-1）∈Z*q，構(gòu)造一個t-1次多項式f（0）i（x）：

②Pi計算｛（IDk，f（0）i（IDk））|IDk∈Sj｝并秘密發(fā)送給Pj（j≠i），為自己計算｛（IDk，f（0）i（IDk））|IDk∈Sj｝。Pj收到后進行有效性驗證：

若等式不成立，要求Pi重新發(fā)送，否則進行下一步。

其中｛（IDk，d（0）k）|IDk∈Sj｝是 Pi在第 0周期的密鑰影子集合，v（0）k是對d（0）k的承諾值。YVCA是VCA公鑰，顯然f（0）（0）是對應的VCA私鑰。Pi公布v（0）k，秘密保存d（0）k。

1.3VCA更新

為了提高系統(tǒng)安全性，防止入侵者有足夠時間和樣本進行攻擊，需要經(jīng)常地、定期地更新密鑰影子和證書。系統(tǒng)更新的目標是：①重構(gòu)所有成員在新周期內(nèi)的密鑰影子和證書；②保持VCA公鑰和私鑰不變。

假設在第τ周期（1≤τ≤T-1）的起始時刻，要對所有成員的密鑰影子和證書進行更新。過程如下：

1）VE每位成員企業(yè)Pi從自己的單向散列鏈上提取散列值HT-τ（αi），并任選t-2個隨機數(shù)cik∈Z*q（2≤k≤t-1），構(gòu)造常數(shù)項為0的t-1次多項式：

Pi廣播 δ（τ）i（x）的系統(tǒng)承諾值 gHT-τ（αi），gci2，…，gCi（r-1）。

2）每個成員Pi為其他成員Pj（1≤j≤n，j≠i）計算｛δ（τ）i（IDk）| IDk∈Sj｝，并秘密發(fā)送給Pj。

3）Pj利用下式對收到的每個δ（τ）i（IDk）進行有效性驗證：

若等式成立，接受δ（τ）i（IDk），否則拒絕，要求Pi重新計算。

4）當Pj收到所有成員的有效δ（τ）i（IDk）后，自己也計算δ（τ）j（IDk），再生成新的第 τ周期內(nèi)的密鑰影子｛（IDk，d（τ）k，v（τ）k）| IDk∈Sj｝，公布v（τ）k：

5）VE所有成員Pi用新生成的密鑰影子，啟動1.4節(jié)的證書簽發(fā)算法，生成所有成員在新周期內(nèi)的證書。

下面證明VCA公鑰和私鑰并沒有發(fā)生變化：

使用數(shù)學歸納法，同樣可以證明：f（τ）（IDk）=f（τ-1）（IDk）+δ（τ）（IDk）modq

多項式都是t-1次的，而IDk有n個，于是有：f（τ）（x）=f（τ-1）（x）+δ（τ）（x）modq

因此，VCA私鑰f（τ）（0）和公鑰ff（τ）（0）modp不變，而所有成員的密鑰影子d（τ）k=f（τ）（IDk）都已改變。

1.4證書簽發(fā)

在第τ周期（0≤τ≤T≤-1）的起始時刻，各成員企業(yè)Pi分別簽發(fā)本時間段內(nèi)的VCA證書和CA證書。

1.4.1VCA證書的簽發(fā)

VE各成員Pi（也包括盟主）分別簽發(fā)對VCA的認證證書CerVCA，i（τ）。該證書由VE主要信息、VCA公鑰、所有成員的權(quán)限集Si等內(nèi)容組成，保存在Pi的CA的證書庫中。

1.4.2CA證書的簽發(fā)

VCA為各成員Pi頒發(fā)證書Ceri，VCA的過程如下：

2）B中所有成員Pu任意選擇一個隨機數(shù)ru∈Z*q，計算Ru=grumodp并在B中廣播Ru，將ru秘密保存。

Pi再將｛Mi||h（Mi）｝發(fā)送給B的所有其他成員Pu（u≠i），Mi包括Pi認證中心CA的證書公鑰及主體信息。

4）Pu（u≠i）收到后，首先用hash函數(shù)h（Mi）驗證Mi是否完整，如果不完整，要求Pi重新發(fā)送。

Pu用自己的固有私鑰xu和密鑰影子集 ｛（IDk，d（τ）k）|IDk∈Su｝，生成對Mi的部分簽名：

Pu向Pi發(fā)送部分簽名sigu（Mi）。

5）Pi收到后，用（9）式驗證sigu（Mi）的有效性：

如果上式不成立，要求Pu重新簽名。

6）如果所有部分簽名都驗證通過，Pi生成自己的部分簽名：

Pi利用B中所有成員的部分簽名，合成自己的證書Ceri，VCA并公示一段時間：

7）在公示時間段內(nèi)，VE內(nèi)所有其它成員均可以用下式驗證證書的有效性：

如果驗證等式成立，且證書中的y值不在DT表中，則認為該證書有效，否則認為無效并發(fā)布一個證書無效質(zhì)詢。如果在公示時間內(nèi)沒有人發(fā)布此質(zhì)詢，則為Pi頒發(fā)證書Ceri，VCA= ｛Mi‖（y，R，sig（Mi））｝，否則，只要收到一個無效質(zhì)詢，就重新啟動Pi證書的簽發(fā)過程。

1.5成員的動態(tài)加入和退出

1.5.1成員加入

當有新成員加入時，只需要為新加入成員生成密鑰影子和證書，VE內(nèi)所有已有成員的密鑰影子和證書不需要改變。此時須滿足：①VCA公私鑰對不會因為新成員的加入而改變；②已有成員的密鑰影子不會被泄露；③新成員可以得到自己的密鑰影子，并能和已有成員合作生成自己的證書。

當新成員Pu加入時，所有成員共同協(xié)商Pu的權(quán)限值|Su|。Pu再選擇|Su|個不同于已有 IDk的屬于自己的身份信息IDul（l=1，2，…，|Su|），以此生成權(quán)限集Su=｛IDul｝并公布。

2）針對每個IDul∈Su，重復進行如下操作：

①每個原VE成員Pi任選t個隨機數(shù)biv∈Zq（0≤v≤t-1）構(gòu)造一個t-1次多項式：

滿足θi（IDul）=0。Pi計算｛θi（IDul）|IDk∈Sj｝并安全地發(fā)送給Pj（1≤j≤m，j≠i），同時公布 θi（x）的系數(shù)承諾值gbiv（0≤v≤t-1）。

③當來自所有其他成員的θi（IDk）都驗證通過后，加上自己的｛θj（IDk）|IDk∈Sj｝，Pj計算臨時份額（注：為簡單起見，此處略去了時間周期標識τ）：

將｛f′（IDk）|IDk∈Sj｝發(fā)送給新成員Pu。

進行了第（1）～（4）步后，Pu得到自己的和IDul相對應的密鑰影子dul，公布dul的承諾vul。

3）Pu從其他成員那里得到VCA公鑰YVCA。

4）接下來，按照1.3節(jié)證書簽發(fā)算法，為Pu生成證書，并按1.5節(jié)VCA更新算法，和大家一起，定期更新Pu的密鑰影子和證書。

因此，當有新成員Pu加入時，VE的原所有成員Pi（1≤i≤m），針對Pu的所有IDul，依次進行第2步，得到與IDul對應的密鑰影子dul=f（IDul），其他成員的密鑰影子仍保持為dk=f （IDk），而不是f′（IDk）。

1.5.2成員退出

當成員Pu退出時（盟主不能退出），需要吊銷Pu的證書CerVCA，u、Ceru，VCA，同時將身份追查表DB中的所有包含Pu成員的記錄（y，Pu，Pi1，…，Pil）刪除，并全部添加到y(tǒng)值吊銷數(shù)據(jù)表DT中。其他成員的密鑰影子和證書不受影響。

如果退出成員Pu利用自己掌握的密鑰影子，偽造和破壞其他成員間的認證交互，從DT中就可以發(fā)現(xiàn)Pu身份，從而在證書公示階段就被發(fā)現(xiàn)證書無效。

1.6身份追查

當證書出Ceri，VCA現(xiàn)問題，有效性被懷疑時，可以追查參與簽發(fā)Ceru，VCA的所有簽名成員的身份：

從證書Ceri，VCA=｛Mi‖（y，R，sig（Mi））｝中得到該證書的y，根據(jù)y查找表DB，找到唯一一組簽名成員的身份，從而實現(xiàn)了證書的身份可追查性。

1.7VCA終結(jié)

虛擬企業(yè)終止運行前，各成員Pi（1≤i≤m）只需要分別吊銷屬于自己的證書Ceri，VCA，CerVCA，i。VCA完成使命，隨VE終結(jié)。

2　正確性證明和安全性分析

2.1正確性證明

定理1CA證書簽發(fā)算法中，若成員Pu（Pu∈B且u≠i）正確地生成了Mi的子簽名sigu（Mi），則 sigu（Mi）可以通過驗證等式（9）。

定理2CA證書簽發(fā)算法中，如果B中所有成員都生成了有效的部分簽名［16］，則由這些部分簽名合成的CA證書也是正確的，即可以通過驗證等式（12）。

證明由于：

2.2方案的安全性分析

本小節(jié)從可定期更新、身份可追查性、抗合謀攻擊、抗偽造性、部分簽名可驗證性幾個方面展開對方案的安全性分析。

從方案和離散對數(shù)難題出發(fā)，易證方案的各項安全性：

定理3方案可實現(xiàn)密鑰影子和證書的定期更新。

定理4當事后發(fā)生糾紛時，參與簽發(fā)CA證書的簽名成員的身份可以準確地被追查出來，方案因此具有可追查性。

證明 從方案的身份追查算法可知：從證書Ceri，VCA=｛Mi‖（y，R，sig（Mi））｝中可以得到簽名組公鑰之積y，而表DB中y的值都是唯一的，從DB只能找到與y相對應的唯一一組簽名成員的身份，從而實現(xiàn)證書的可追查性。當有成員加入或退出時，表DB也同步更新，因此證書的可追查性不受影響。證畢。

定理5任何攻擊者不能假冒成VE成員或其它VE成員提交可通過驗證等式（9）的部分簽名，也不能假冒簽名群B直接生成可通過驗證等式（12）的虛假CA證書。

定理6即使擁有t份或更多份密鑰影子的惡意成員們合謀（可以是退出成員或非退出成員，包括盟主），也不能偽造其他成員的合法部分簽名，同時也不能假冒其他簽名群生成有效的CA證書簽名。方案因此具有抗合謀攻擊性。

定理7方案具有部分簽名可驗證性

3　結(jié)束語

文中提出了一個可更新身份可追查的抗合謀攻擊虛擬企業(yè)交互認證方案。方案通過定期更新密鑰［17］影子和證書，實現(xiàn)了認證的定期更新；通過在部分簽名等式中增加成員的固有私鑰xi，增強了方案的安全性，實現(xiàn)了抗合謀攻擊；通過設立身份追查表DB、y值吊銷表DT及有效的身份追查協(xié)議，實現(xiàn)了認證成員的身份可追查性；方案還能對部分簽名進行驗證，防止成員企業(yè)的不誠實行為；可以很方便地實現(xiàn)成員企業(yè)的動態(tài)加入或退出，而其他成員的密鑰影子保持不變；方案不要求盟主必須參加，突破了必須由盟主參與帶來的效率瓶頸和安全瓶頸。分析表明，新方案具有多種安全優(yōu)勢，可應用在各種不同VE組織模式和對安全性要求更高的領域中。

［1］Davulcu H，Kifer M，et al.Modeling and Analysis of Interactions in Virtual Enterprises：Proceedings of the 9th International Workshop on Research Issues on Data Engineering，Information Technology for Virtual Enterprises，1999［C］// California：IEEE Computer Society Press，1999：12-18.

［2］CHEN Jian，F(xiàn)ENG Wei-dong.The construction and management of virtual enterprises［M］.Beijing：Tsinghua University Press，2002.

［3］ZHANG Xumei，HUANG He，LIU Fei.Agile virtual enterprise：the advanced enterprises operation pattern in the 21s century［M］.Beijing：Science Press，2003.

［4］Weise J.Public key infrastructure overview［M］.Santa Clara， California，USA：Sun Microsystems Inc.，2001.

［5］Turnbull J.Cross certification and PKI policy networking. Version 1.1［EB/OL］.（2008）http：//www.entrust.com/resources/ pdf/cross_certification.pdf.

［6］POLK W T.Bridge certification authorities：connecting B2B public key infrastructures［EB/OL］.（2008）http：//csrc.nist.gov/ groups/ST/crypto_apps_infra/docu-ments.

［7］LI B，DAI K Y，ZHANG S S.Virtual Certificate Authority for Virtual Enterprises：Proceedings of the 3rd International Workshop on Advanced Issues of E-commerce and Web-Based Information Systems（WECWIS'01），2001［C］//California：IEEE Computer Society Press，2001：222-224.

［8］劉端陽，潘雪增.虛擬企業(yè)的安全交互模型［J］.計算機研究與發(fā)展，2003，40（9）：1307-1311.

［9］張文芳，何大可，王小敏.基于可變權(quán)限基的廣義虛擬企業(yè)信任交互方案［J］.計算機集成制造系統(tǒng)，2007，13（5）：1001-1007.

［10］張亞玲，張璟，王曉峰.抗聯(lián)盟攻擊的虛擬企業(yè)安全交互認證方案［J］.計算機集成制造系統(tǒng)，2008，14（7）：1410-1416.

［11］蔣李，吳振強，王海燕，等.基于動態(tài)信任值的DAA跨域認證機制［J］.計算機工程，2010，36（11）：156-158.

［12］張文芳，王小敏，何大可.一個改進的基于門限RSA簽名的虛擬企業(yè)安全交互模型［J］.計算機研究與發(fā)展，2012，49 （8）：1662-1667.

［13］顏海龍，喻建平，胡強，等.基于信任列表的可信第三方跨域認證模型［J］.信號處理，2012，28（9）：1279-1283.

［14］徐珂，雷聚超，趙建超.抗合謀攻擊的多策略虛擬企業(yè)交互認證方案［J］.計算機應用研究，2014，31（6）：1856-1859，1873.

［15］張文芳，王小敏，何大可.身份可追查的抗合謀攻擊廣義虛擬企業(yè)信任交互方案［J］.計算機集成制造系統(tǒng)，2010，16 （7）：1558-1567.

［16］嚴琳，盧忱.基于快速標量乘算法的橢圓曲線數(shù)字簽名方案［J］.電子科技，2014（4）：23-26.

［17］王世志，馬紫寧.基于混合密鑰數(shù)字簽名在移動OA系統(tǒng)的研究［J］.電子科技，2016（2）：167-168.

Updatable and identity traceable interactive authentication scheme for virtual enterprises

ZHOU Ping1，2，HE Da-ke1，LAN Qing-qing2
（1.College of Information Science&Technology，Southwest Jiaotong University，Chengdu 610031，China；2.College of Automobile and Information Engineering，Urban Vocational College of Sichuan，Chengdu 610101，China）

There were several interactive authentication schemes for Virtual Enterprise（VE），but none of them could regularly update，and some couldn't trace the members'identities，some couldn't resist conspiracy attacks，so their safety were low.Based on（t，n）threshold secret sharing，a regular updatable conspiracy attack immune interactive authentication scheme for VE with identity traceability and partial signatures verifiability was proposed，and its security analysis had been done.In the new scheme，all of the group members generate together the group's private key and at least t members can generate certificate，members are allowed to join or leave without changing the group's private key which reduces the implementation cost，the conspiracy attack immune property was obtained by introducing signers'inherent public keys and private keys，and the traceability was realized by constructing identity tracking table and effective identity tracking protocol，meanwhile the new scheme could verify partial signatures'correctness which can prevent the signers dishonesty.

virtual enterprise；regular updatable；conspiracy attack；identity traceable

TN393.08

A

1674－6236（2016）09-0088-05

2015-12-14稿件編號：201512152

國家自然科學基金（61003245，60903202）；四川省教育廳2013年度科研項目（13ZB0483）；四川省教育廳2014年度科研項目（14ZA0346，SCJG2014-741）

周萍（1968—），女，湖北宜都人，博士，教授。研究方向：信息安全、密碼學。