身份證明技術(shù)

傳統(tǒng)的身份證明：

一般是通過檢驗“物”的有效性來確認(rèn)持該物的的身份?；照?、工作證、信用卡、駕駛執(zhí)照、身份證、護照等，卡上含有個人照片(易于換成指紋、視網(wǎng)膜圖樣、牙齒的X適用的射像等)。

信息系統(tǒng)常用方式：

用戶名和口令現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第1頁!交互式證明兩方參與示證者P(Prover)，知道某一秘密，使V相信自己掌握這一秘密；驗證者V(Verifier)，驗證P掌握秘密；每輪V向P發(fā)出一詢問，P向V做應(yīng)答。V檢查P是否每一輪都能正確應(yīng)答。

現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第2頁!交互證明與數(shù)學(xué)證明的區(qū)別數(shù)學(xué)證明的證明者可自己獨立的完成證明交互證明由P產(chǎn)生證明，V驗證證明的有效性來實現(xiàn)，雙方之間要有通信交互系統(tǒng)應(yīng)滿足完備性：如果P知道某一秘密，V將接收P的證明正確性：如果P能以一定的概率使V相信P的證明，則P知道相應(yīng)的秘密現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第3頁!弱識別是基于非時變的口令或密碼。認(rèn)證過程：（1）A將他的秘密口令傳送給計算機（2）計算機完成口令的單向函數(shù)計算（3）計算機把單向函數(shù)值和機器存儲的值進行比較。弱識別現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第4頁!

暫時號：在同一個目的中只使用一次，它可以消除重發(fā)攻擊。如：隨機號碼、時戳、序列號等。例子（1）A通過密碼和用戶名向B登記；（2）B發(fā)給A一個隨機號碼（詢問）；（3）A用一個隨機號碼的加密值答復(fù)，其中使用了A的密碼作為密鑰完成加密（響應(yīng)）；（4）B證明A確實擁有密鑰（密碼）。詢問-響應(yīng)識別（強識別方案）現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第5頁!證明者A能向驗證者B證明他身份的協(xié)議（Schnorr識別協(xié)議）可描述為：（1）用戶A將其身份名I及公開密鑰送交驗證者B。驗證者根據(jù)TA的數(shù)字簽名來驗證用戶A的公開密鑰。（2）用戶A任選一整數(shù)r，1≤r≤q-1,計算X=αrmodp,并將X送給驗證者B。（3）驗證者B任選一整數(shù)e∈[1,2t],送給用戶A。（4）用戶A送給驗證者B：y=r+semodq;（5）驗證者B驗證X=αy×vemodp.Schnorr身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第6頁!TA將為協(xié)議選擇下列一些參數(shù)：p及q是兩個大素數(shù)，α1,α2∈ZP為q階元,對系統(tǒng)的所有參加者包括A，TA保密c=logα1α2。假定任何人計算c都是不可能的。TA選擇一個簽名方案和一個Hash函數(shù)。Okamoto身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第7頁!（1）A隨機選擇兩個數(shù)r1,r2,0≤r1,r2≤q-1，并計算X=α1r1α2r2

modp;（2）A將他的證書C(A)=(ID(A),v,s)和X發(fā)送給B；（3）B通過檢測VerTA(ID,v)=TURE來驗證TA的簽名。（4）B隨機選擇一個數(shù)e,1≤e≤2t,t為安全參數(shù)并將e發(fā)送給A。（5）A計算y1=(r1+m1e)modq,y2=(r2+m2e)mod，并將y1,

y2發(fā)給B。（6）B驗證X=α1y1α2y2

vemodpOkamoto身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第8頁!TA向A頒布一個證書的協(xié)議為：（1）TA建立A的身份并頒布一個識別串ID(A);（2）A秘密地選擇一個隨機數(shù)m,0≤m≤n-1，A計算v=(m-1)

bmodp,并將v發(fā)送給TA；（3）TA對（ID,v）簽名，s=SigTA(ID,v)。TA將證書C(A)=(ID(A),v,s)發(fā)送給A。Guillou-Quisquater身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第9頁!Shamir的基于身份的密碼方案的基本思想基于身份的身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第10頁!基于身份的身份識別方案簽名的產(chǎn)生簽名的驗證合法/非法密鑰的產(chǎn)生隨機種子k信道m(xù),s,l公鑰號碼本消息mkv簽名的產(chǎn)生簽名的驗證合法/非法密鑰的產(chǎn)生隨機種子k信道m(xù),s,l簽名者的身份消息mkvkgII公鑰簽名方案基于身份的簽名方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第11頁!Guillou-Quisquater的基于身份的識別協(xié)議如下：（1）A隨機選擇一個整數(shù)r,0≤r≤n-1，并計算X=rbmodn;（2）A把ID(A)和X發(fā)送給B；（3）B計算H(ID(A))；（4）B隨機選擇一個數(shù)e,0≤e≤b-1,并將e發(fā)送給A。（5）A計算y=ruemodn,并將y發(fā)給B。（6）B驗證X=veybmodn.Guillou-Quisquater的基于身份的識別協(xié)議現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第12頁!簡化的Fiat-Shamir身份識別方案(1)P取隨機數(shù)r(0<r<n)，計算a=r2modn，送給V；(2)V將一隨機選e∈{0,1},將e發(fā)送給P；(3)P計算b≡ryemodn，若e=0，b=r,則P將b送給V；若e=1，b≡rymodn,則P將b送給V；(4)若b2

≡axemodn，V接受證明。

現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第13頁!零知識證明的基本協(xié)議例[Quisquater等1989]。

設(shè)P知道咒語，可打開C和D之間的秘密門，不知道者都將走向死胡同中。ABCD現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第14頁!零知識證明的基本協(xié)議哈米爾頓回路圖論中有一個著名問題，對有n個頂點的全連通圖G，若有一條通路可通過且僅通過各頂點一次，則稱其為哈米爾頓回路。Blum[1986]最早將其用于零知識證明。當(dāng)n大時，要想找到一條Hamilton回路，用計算機做也要好多年，它是一種單向函數(shù)問題。若A知道一條回路，如何使B相信他知道，且不告訴他具體回路？

現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第15頁!智力撲克A和B通過網(wǎng)絡(luò)進行智力撲克比賽，不用第三方做裁判，發(fā)牌者由任一方擔(dān)任，要求發(fā)牌過程滿足任一副牌是等可能的發(fā)給A，B的牌沒有重復(fù)每人知道自己手中的牌，不知道別人的牌比賽結(jié)束后，每一方都能發(fā)現(xiàn)對方的欺騙行為為滿足要求，A,B方需要加密一些信息，比賽結(jié)束前，這些機密算法都是保密的?，F(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第16頁!擲硬幣協(xié)議某些密碼協(xié)議中要求通信雙方在無第三方協(xié)助情況下，產(chǎn)生一個隨機序列，因為A，B之間不存在信任關(guān)系，因此不能由一方產(chǎn)生在通過網(wǎng)絡(luò)或電話告訴另一方現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第17頁!不經(jīng)意傳輸設(shè)A有一個秘密，想以1/2的概率傳遞給B，即B有50％概率收到該秘密協(xié)議執(zhí)行完后，A不知道B是否收到這個秘密現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第18頁!身份識別方案自行識別是一種重要的安全服務(wù)，在諸如訪問自動出納機、登錄計算機、識別入網(wǎng)蜂窩電話用戶等等都需要用到識別方案。識別和身份驗證是不同的：身份驗證：需要交換承載信息，其通信的一方或雙方需要驗證。識別：不需要交換承載信息，是對一個用戶身份的實時驗證。現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第19頁!

一個安全的識別協(xié)議至少應(yīng)該滿足以下兩個條件：（1）證明者A能向驗證者B證明他的確是A。（2）在證明者A向驗證者B證明他的身份后，驗證者B沒有獲得任何有用的信息，B不能模仿A向第三方證明他是A。識別協(xié)議現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第20頁!Schnorr協(xié)議需要一個可信中心，記為TA.TA將為協(xié)議選擇下列一些參數(shù)：（1）p及q是兩個大素數(shù)，且q|(p-1).q至少140位，而p至少為512位。（2）α∈Z*P為q階元（3）h是一輸出為t位的單向函數(shù)，t為一個安全參數(shù)；（4）公開密鑰v和秘密密鑰s，用作簽名。p,q,h及其公開密鑰都公布。每位用戶自己選定個人秘密密鑰s∈[1,q-1],且計算公開密鑰v=α-smodp。Schnorr身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第21頁!

針對一般的交互式用戶身份證明協(xié)議，都必須滿足以下三種性質(zhì)：（1）完全性（2）健全性或合理性（3）隱藏性Schnorr身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第22頁!TA向A頒布一個證書的協(xié)議為：（1）TA建立A的身份并頒布一個識別串ID(A);（2）A秘密地選擇兩個隨機指數(shù)m1,m2,1≤m1,m2≤q-1，并計算v=α1-m1α2-m2

modp，將v發(fā)送給TA；（3）TA對（ID,v）簽名，s=SigTA(ID,v)。TA將證書C(A)=(ID(A),v,s)發(fā)送給A。Okamoto身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第23頁!

協(xié)議建立過程如下：TA選取兩個大素數(shù)p和q，形成n=pq。保密p和q，公開n。TA選擇一個大素數(shù)b（用作一個安全參數(shù)）和一個公開的RSA加密指數(shù)。TA選擇一個簽名方案和一個Hash函數(shù)。Guillou-Quisquater身份識別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第24頁!（1）A隨機選擇一個整數(shù)r,0≤r≤n-1，并計算X=rb

modn;（2）A將他的證書C(A)=(ID(A),v,s)和X發(fā)送給B；（3）B通過檢測VerTA(ID,v)=TURE來驗證TA的簽名。（4）B隨機選擇一個數(shù)e,0≤e≤b-1,并將e發(fā)送給A。（5）A計算y=rmemodn,并將y發(fā)給B。（6）B驗證X=veybmodn.Guillou-Quisquater識別協(xié)議現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第25頁!基于身份的密碼方案的安全性主要依賴于以下幾個方面:（1）所使用的密碼變換的安全性（2）存儲在密鑰產(chǎn)生中心的特權(quán)信息的保密性（3）在密鑰產(chǎn)生中心給用戶頒布Smart卡之前所完成的識別檢測的嚴(yán)格性。（4）為了阻止用戶的Smart卡的丟失、復(fù)制或未授權(quán)的使用，用戶所采取的措施?；谏矸莸纳矸葑R別方案現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第26頁!TA向A頒布一個值u的過程如下：（1）TA建立A的身份并頒布一個識別串ID(A);（2）TA計算u=(H(ID(A))-1)αmodn,并將u發(fā)送給A。Guillou-Quisquater的基于身份的識別協(xié)議現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第27頁!零知識證明最小泄露證明和零知識證明：以一種有效的數(shù)學(xué)方法，使V可以檢驗每一步成立，最終確信P知道其秘密，而又能保證不泄露P所知道的其他信息。現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第28頁!簡化的Fiat-Shamir身份識別方案完備性如果P和V遵守協(xié)議，且P知道y，則應(yīng)答b≡ryemodn是應(yīng)是模n下axe的平方根，V接收P的證明，所以協(xié)議是完備的。正確性P不知道y，他也可取r，送b=r2modn給V，V送b給P。P可將r送出，當(dāng)b=0時則V可通過檢驗而受騙，當(dāng)b=1時，則V可發(fā)現(xiàn)P不知y，B受騙概率為1/2，但連續(xù)t次受騙的概率將僅為2-tV無法知道P的秘密，因為V沒有機會產(chǎn)生(0,1）以外的信息，P送給V的消息中僅為P知道v的平方根這一事實。現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第29頁!零知識證明的基本協(xié)議

(1)V站在A點；

(2)P進入洞中任一點C或D；

(3)當(dāng)P進洞之后，V走到B點；

(4)V叫P：(a)從左邊出來，或(b)從右邊出來；

(5)P按要求實現(xiàn)(以咒語，即解數(shù)學(xué)難題幫助)；

(6)P和V重復(fù)執(zhí)行(1)～(5)共n次。若A不知咒語，則在B點，只有50%的機會猜中B的要求，協(xié)議執(zhí)行n次，則只有2-n的機會完全猜中，若n=16，則若每次均通過B的檢驗，B受騙機會僅為1/65536現(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第30頁!零知識證明的基本協(xié)議

(1)A將G進行隨機置換，對其頂點進行移動，并改變其標(biāo)號得到一個新的有限圖H。因，故G上的Hamilton回路與H上的Hamilton回路一一對應(yīng)。已知G上的Hamilton回路易于找出H上的相應(yīng)回路；

(2)A將H的交給B；

(3)B向A提出下述問題之一：(a)出示證明G和H同構(gòu)，(b)出示H上的Hamilton回路；

(4)A執(zhí)行下述任務(wù)之一：(a)證明G和H同構(gòu)，但不出示H上的Hamilton回路，(b)出示H上的Hamilton回路但不證明G和H同構(gòu)；

(5)A和B重復(fù)執(zhí)行(1)～(4)共n次?，F(xiàn)代密碼學(xué)74身份識別技術(shù)共34頁，您現(xiàn)在瀏覽的是第31頁!智力撲克A和B的加密解密算法記為EA，EB，DA，DB，滿足EA(

EB(m))=EB(

EA(m)