基于线性方程组的门限匿名认证方案

2015-04-14 12:28殷凤梅濮光宁侯整风
计算机工程与应用 2015年1期
关键词:证者线性方程组门限

殷凤梅,濮光宁,张 江,侯整风

1.合肥师范学院,合肥 230601

2.安徽财贸职业学院,合肥 230601

3.合肥工业大学 计算机与信息学院,合肥 230009

1 引言

随着计算机网络的飞速发展,电子商务、电子政务和网上银行得到广泛应用,此类应用中,为了增强系统的安全性能,身份认证技术必不可少,在一些特殊的场合下,认证的身份还需要匿名保护。因此,匿名认证[1]成为了信息安全领域的研究热点,很多无条件匿名认证方案[2-7]应运而生。可对于完备的匿名认证,可追踪的匿名认证可以防止“匿名”特性被滥用。

2001年,Shouichi和Susumu[8]基于随机自规约关系产生了临时的公私钥,实现了移动环境下的可追踪匿名认证方案,但该方案中存在可信中心权利过大的问题。2005年,田子健等[9]借鉴环签名的思想,提出一种动态可追踪的匿名认证方案,该方案既可以由示证人自由选择匿名子集,又可以追踪匿名的身份。2008年,Jung等人[10]提出了A3RP协议,实现可追踪的匿名认证方案。但这两个方案的匿名追踪不是门限追踪,容易导致成员的身份信息被随意的追踪,降低了隐私的安全性。2012年,刘方斌等[11]借助民主签名思想提出了无可信中心的门限追踪Ad Hoc网络匿名认证,有效地解决了Ad Hoc网络中的匿名认证问题,但该方案采用Shamir的Lagrange插值算法计算成员的秘密份额和群公钥,计算和相互通信开销较大,效率较低。

本文借助石润华等人[12]提出的门限秘密共享的思想,提出了一种基于线性方程组的门限匿名认证方案,其安全性依赖于离散对数求解的困难性。与文献[11]相比,秘密份额和群公钥的计算代价较小,匿名认证过程更简单。

2 基于线性方程组的门限匿名认证方案

2.1 系统初始化

本文方案是基于线性方程组的求解理论,当系数矩阵的秩等于t时,可以求出t个未知变量,继而得到每个成员的秘密份额。

方案中存在n个成员Ui(1≤i≤n),可信中心选取参数p、g并公开。其中,p是安全的大素数,q是p-1的素因子,g是GF(p)上的q阶生成元。

定义一个序列如下:

其中,c0是n个成员共享的秘密,c1,c2,…,ct-1是t-1个随机数(要求ci(0≤i≤t-1)之间线性无关),每个si(0≤i≤n)由它前面的t项相加modp得来。即

因此,产生如下线性方程组:

由于s0与共享的秘密c0直接相关,因此对s0保密。将式(3)中每个方程均用ci(0≤i≤t-1)表示,可以得到式(4):

其中,Bn×t成员可以计算得到,即相当于对所有成员公开。将si作为秘密份额分发给用户Ui,公开C0,计算成员Ui的公钥Si并公开。C0、Si可通过式(7)、(8)计算得到:

由于C是t维向量,反过来,共享的秘密c0与t个成员si之间的关系可以用式(9)表示:

而bji′(1≤i≤t)可以由矩阵 B计算得到。

2.2 匿名认证

匿名认证包含两个方面:一要求示证者可以证明自己的身份;二要求在认证中不泄露示证者的身份信息。

示证者Up想证明自己属于组织U,为了不暴露自己的身份,需要其余任意t-1个成员协助,组成认证集合UR={U1,…,Ut-1,Up}。

随机数的详细获取过程可参考文献[13]。

(4)Up根据式(10)计算Kp并公开,根据式(11)计算Ep并公开:

(5)Up秘密地选随机数hp,根据式(12)计算Hp并公开,根据式(13)计算Qp并公开:

(6)认证集合UR中每个成员Ui(i∈UR),根据式(14)计算fi:

(7)根据式(15)联合计算Fp:

(8)若式(16)成立,则证明Up属于组织U:

2.3 匿名追踪

为了防止“匿名”特性被滥用,在某些情况下,需要追踪并揭示示证者的身份信息,即考虑匿名可控问题。如此一来,匿名认证和匿名追踪似乎有些矛盾,为了兼顾两者,匿名追踪不能是随意的追踪,必须是达到门限值t个成员,联合才能追踪示证者的身份,即实现匿名的门限追踪。

(1)t个成员记为Ui(1≤i≤t)组成追踪集合UZ={U1,U2,…,Ut},使用各自的秘密份额根据式(17)计算wi,并根据式(18)联合计算Wp:

(2)根据式(19)可得到示证者的公钥,即示证者的身份:

2.4 实验数据

令n=11,t=5,p=47,根据式(4),si可由ci(0≤i≤4)线性表示,两者之间的线性关系可以使用矩阵表示,如式(20):

假设共享的秘密c0=13,根据文献[14]的证明,取生成元g=5,根据式(7)计算C0=513mod47=43并公开。选取随机数c1=3,c2=7,c3=9,c4=11。

(1)根据式(20)计算可得si序列:

(2)如果U6想证明自己属于组织U,需要组织中的4个成员,假设是U1,U3,U4,U8协助认证,则认证集合UR={U1,U3,U4,U8,U6} 。

以上随机数ci以及p等数据的选择都是一般的整数,主要用来模拟验证方案的正确性,在实际应用中,可以从Miracle大数运算库选择位数较高的大数,提高方案的安全性。

3 方案分析

3.1 正确性

(1)系统初始化的正确性分析

n个成员可通过式(4)获得各自的秘密份额,且成员数n可以任意扩展。

由于每个si(0≤i≤n)由它前面的t项相加modp而得,因此所有的si都可以转换成由ci(0≤i≤t-1)线性表示,即通过式(4)所示的方程组求解。另外,每个si都由它前t项计算得来,因此,式(2)所示的序列可以无限扩展,即n的值不固定。

(2)匿名认证的正确性证明

可通过式(16)认证示证者Up属于组织U。

证明引理[15]gtmodqmodp=gtmodp。由式(11)、(7)、(9)、(14)、(15)可得:

(3)匿名追踪的正确性证明

可通过式(19)追踪示证者Up的身份,即公钥Sp。

证明由式(18)、(17)、(12)、(7)可得:

3.2 安全性

本文方案的安全性基于对离散对数问题的求解,而离散对数的求解在现阶段是非常困难的。

(1)本文方案具备匿名性

在匿名认证过程中,示证者公开的Ep中并不包含示证者的身份信息,因而,Ep的公开不会泄露示证者的身份。另外,示证者提供的fp中虽然隐含秘密份额的身份信息,但如果想非法获得,就必须求解离散对数问题,而离散对数的求解非常困难。因此,在匿名认证中,示证者的身份满足匿名性。

(2)本文方案具备可追踪性

如果t个成员各自提供正确的Wi,按照式(18)联合计算出Wp,根据式(19)便可恢复出示证者的公钥Sp即身份信息。

(3)本文方案具备门限性质

在系统初始化过程中,由于Ct中含有t个未知数,需要t个方程才能求解出成员的秘密份额;在匿名认证和匿名追踪过程中,Fp和Wp都需要t个成员联合才能计算出来,因而本方案具有门限性质。

(4)本文方案具备完备性

所谓的完备性是指外部成员无法通过匿名认证。在匿名认证过程中,外部成员企图通过认证,就必须提供正确的fi,fi是根据成员的秘密份额si计算得来的,由于离散对数的难解性,外部成员不可能获得秘密份额,因此,外部成员无法通过匿名认证。

(5)匿名认证过程抗伪造攻击

匿名认证过程的伪造攻击可以从两个方面来分析。

①抗示证者的伪造攻击

从式(14)可知,认证成员提供的fi需要使用认证成员的随机数ki',虽然开始时认证成员的随机数ki是由示证者选择并提供的,但经过匿名认证集合中全体成员的相互协作,认证成员获得了新的秘密随机数ki',且对示证者是保密的,因此,示证者无法伪造出认证成员的fi。

②抗认证成员的伪造攻击

在匿名认证过程中,由于fi的计算需要使用认证成员自身的秘密份额si,而si是安全保密的,因而认证成员的fi不可能被其他成员伪造出来。

(6)匿名认证过程抗一致性攻击

所谓的一致性攻击是指两次认证是否认证同一个用户。由于每次匿名认证,示证者选择的随机数kp和hp是不固定的,认证成员获得的随机数ki'也是不固定的,因而不能判定两次认证是否是认证同一个用户。

3.3 有效性

(1)协议性质分析

与现有的匿名认证方案进行比较,本文方案同时具有匿名性、门限可追踪性、完备性、抗伪装攻击和一致性攻击,详见表1。

(2)计算代价分析

从表1中可以看出,文献[11]也能实现门限匿名追踪,下面将主要与文献[11]在计算代价上进行比较。为了方便比较,用Tmul代表模乘计算费用,Texp代表模指数计算费用,Th代表哈希函数计算费用,t是门限值,n是成员数,模加/异或运算的时间复杂度相当小,计算费用可以忽略。

文献[11]采用Shamir的Lagrange插值算法计算成员的秘密份额信息,计算的开销是n(t-1)Tmul+n(t-2)Texp,在匿名认证中借鉴民主签名的思想,需要选择2n-1个随机数,计算3n个中间数据xj、yj、zj。本文方案采用线性方程组理论获得成员的秘密份额,计算开销是(t-1)Tmul,在匿名认证中,需要选择t个随机数,计算t个中间数据fi,t个fi进行连乘运算。两种方案的计算代价详见表2。

表2中的数据表明,实现同样功能的情况下,本文方案的计算代价相对较小。

表1 可追踪匿名认证方案性质比较

表2 门限可追踪匿名认证方案计算代价比较

4 结束语

基于线性方程组的求解理论,提出了一种门限匿名认证方案,其安全性依赖于离散对数求解的困难性。与已有的方案相比,本文方案不仅能实现匿名认证,更能实现匿名追踪,且具有门限性质。整个过程中,计算代价相对较小,匿名认证过程相对较简单。在电子商务、移动通信等众多领域,本文方案将具有广阔的应用前景。

[1]Ateniese G,Herzberg A,Krawczyk H,et al.Untraceable mobility orhow to travelincognito[J].ComputerNetworks,1999,31(8):871-884.

[2]Kong J J,Hong X Y,Gerla M.An identity-free and ondemand routing scheme against anonymity threats in mobile Ad Hoc networks[J].IEEE Transactions on Mobile Computing,Frequency,2007,6:888-902.

[3]Lee C H,Deng X T,Zhu H F.Design and sccurity analysis of anonymous group identification protocols[C]//Proceedings of Pulic Key Cryptography,February 2002,Paris,France.Berlin Heidelberg:Springer-Verlag,2002:188-198.

[4]Eliane J,Guillaume P.On the security of homage group authentication protocol[C]//Proceedings of Cayman Islands,British West Indies,Feb 19-22,2001,2339:106-116.

[5]Xu Z M,Tian H,Liu D S,et al.A ring-signature anonymous authentication method based on one-way accumulator[C]//Proceedings of Communication Systems,Networks and Applications Conference,2010:56-59.

[6]周彦伟,吴振强,蒋李.分布式网络环境下的跨域匿名认证机制[J].计算机应用,2010,30(8):2120-2124.

[7]宋成,孙宇琼,彭维平,等.改进的直接匿名认证方案[J].北京邮电大学学报,2011,34(3):62-65.

[8]Hirose S,Yoshida S.A user authentication scheme with identity and location privacy[C]//Proceedings of the 6th Australasian Conference on Information Security and Privacy,Sydney,Australia,July 11-13,2001,2119:235-246.

[9]田子健,王继林,伍云霞.一个动态的可追踪匿名认证方案[J].电子与信息学报,2005,27(11):1737-1740.

[10]Paik J H,Kim B H,Lee D H.A3RP:anonymous and authenticated ad hoc routing protocol[C]//Proceedings of Information Security and Assurance Conference,2008.

[11]刘方斌,张琨,李海,等.无可信中心的门限追踪Ad Hoc网络匿名认证[J].通信学报,2012,33(8):208-213.

[12]石润华,仲红,黄刘生.公开可验证的门限秘密共享方案[J].微电子学与计算机,2008,25(1):29-33.

[13]殷凤梅,濮光宁.允许新成员加入的无可信中心秘密共享方案分析[J].重庆科技学院学报:自然科学版,2011,13(6):173-175.

[14]张清华.基于密钥交换中离散对数生成元的研究[J].重庆邮电学院学报,2002,14(3):90-92.

[15]Harn L.Efficient sharing(broadcasting)of multiple secrets[J].IEE Proc Comput Digit Tech,1995,142(3):237-240.

猜你喜欢
证者线性方程组门限
新生儿异常Hb Q的家系分析*
基于规则的HEV逻辑门限控制策略
地方债对经济增长的门限效应及地区差异研究
求解非线性方程组的Newton迭代与Newton-Kazcmarz迭代的吸引域
随机失效门限下指数退化轨道模型的分析与应用
一个两次多囊肾胎儿孕育史家系的临床分析及遗传咨询
1例肝豆状核变性合并杜兴型肌营养不良症及其家系报道
生产性服务业集聚与工业集聚的非线性效应——基于门限回归模型的分析
线性方程组解的判别
1例AxB血型家系调查遗传方式及血清学特点分析