CN102291396B - 可信平台远程证明的匿名认证算法 - Google Patents

Abstract

本发明提供一种可信平台远程证明的匿名认证算法，采用本发明所述方法，匿名性好，并且既验证了发送方的身份信息，又保障了发送方的隐私信息，而且采用的幂指计算，其计算次数为常数，减少了加密、解密运算的次数，不会随着签名环的规模增大影响方案效率，具有相对来说可信平台能够接受的算法复杂度，综上，基本可以满足可信平台之间直接、匿名的身份验证。

Description

可信平台远程证明的匿名认证算法

技术领域：

本发明涉及信息安全领域，具体讲是一种可信平台远程证明的匿名认证算法。

背景技术：

远程证明是可信计算的基本特征之一。可信计算可以通过远程证明实现对接入终端的安全性检验。按照可信计算组织(Trusted Computing Group)提出的规范文档，服务端通过检测远程计算机平台的完整性实现证明从而确定信任。但服务端在进行安全检测时，接入终端必须提供平台的各种配置信息，这样很容易侵犯到终端用户的隐私。出于这一点的考虑，可信计算组织引入了身份验证密钥AIK(Attestation Identity Keys)来保护可信平台模块的签名密钥EK(Endorsement Key)从而隐藏平台的身份信息。AIK的引入保护了可信平台内部的EK身份安全，但是仍没有考虑平台配置信息的隐私暴露问题。

目前现有的解决方案大致有如下两种：基于第三方认证模型和零知识证明。

基于第三方认证模型具体实施过程如下：

(1)首先建立一个安全中心，安全中心掌握所有合法的可信平台密钥。

(2)当一个可信平台需要向另一方证明自己的可信性与真实性时，就产生AIK密钥对，并将之发送给安全中心。

(3)安全中心在密钥列表中查询是否有需要的签名密钥，若有，则在AIK上发放证书，并使用EK加密。

(4)只有可信平台拥有正确的EK私钥，才可以解密出安全中心发放的证书，从而用证书证明自己。

第三方认证模型存在两个明显的缺点和不足。首先，它难以避免恶意攻击者发起的拒绝服务攻击。出于安全角度考虑，可信平台每次需要证明自己身份时，都不得不重新向安全中心发起AIK认证申请。因此，安全中心不能拒绝短时间内的连续认证请求，而如果有攻击者连续发送大量垃圾AIK证书申请时，就会造成安全中心无法正常工作。并且，第三方认证模型还有一个难题，就是安全中心的运营问题。对于用户来说，安全中心不能由服务提供商运营，否则个人隐私难以得到保证；对于服务提供商而言，安全中心不能由用户运营，否则合法身份不能得到认证。

而另一种解决方案零知识证明，则是基于了Camenisch-Lysyanskaya签名方案，吸收了群签名、身份托管等技术的优点，在实现验证用户身份的同时，又保护了用户隐私，其根本思想是运用了零知识证明(Zero Knowledge Proof)。在零知识证明中，一个人无需揭开某个秘密也可以向其他人证明自己知道这个秘密，其具体实施步骤如下：

(1)、发行商公布其公钥n，a，b，d，其中n是RSA算法的模数，a、b、c为信息上的签名。满足：c^e＝a^xb^sd mod n；

(2)、可信平台模块签署公钥DAA＝a^x mod n，x是可信平台模块的密钥；

(3)、可信平台模块取随机数s′，计算c′＝cb^s′mod n，将c′发送给验证方；

(4)、验证方计算s+es′＝s″，并代入d＝c′^ea^-xb^-s′mod n，如果等式成立，则说明可信平台模块掌握c，e，s″的内容，即请求方存在可信平台，是安全的，否则，平台身份不安全。

这种零知识证明认证方案很好的满足了可信计算的认证要求以及用户信息的保密要求，但由于其计算过程相当复杂，有大量的模幂运算，并且涉及到很多远超1024位的大数运算，然而，可信平台模块资源有限、计算能力有限，一般只能支持最高到1024×1024的计算。即使采用一些加速签名或解密的算法，也依然很难将大数全部降到1024位以下，就目前的技术水平来看，在可信平台模块硬件芯片没有突破发展的情况下，基于零知识认证的方案几乎难以实现。

综上所述，目前现有的认证技术都难以满足可信平台之间的匿名认证要求。

发明内容：

本发明要解决的一个技术问题是，克服现有技术的缺陷，提供一种算法复杂度较低，能够满足可信平台之间的匿名认证要求的可信平台远程证明的匿名认证算法。

本发明的技术解决方案是，提供一种可信平台远程证明的匿名认证算法，它包括以下步骤：

(1)、参数初始化：涉及验证双方的可信平台选择两个互异的大素数PR₁、PR₂，设定参数n_A＝PR₁PR₂，e_A＝(PR₁-1)(PR₂-1)，设定公共参数g_A，g_A为不超过n_A的正整数，同时通过可信平台的密钥生成器及参数e_A生成公私钥对(e_A，d_A)，其中e_A为私钥，d_A为生成的公钥，设定安全单向累加器H，随机序列X(x₁，x₂...x_s-1，x_s+1...，x_t)，其中x₁，x₂...x_s-1，x_s+1....x_t为数值或字符，抗碰撞散列函数h；

(2)、发送方平台选择任意t-1个可信平台的公钥，与自身的公钥p_s构成公钥序列{p₁，p₂.......p_t}，其中t为匿名等级参数，由发送方平台自行设定t的值；

(3)、选择抗碰撞散列函数h，令h＝{0，1}^＊→{0，1}^I，I＝rd，其中r为指定散列化后的比特数，d为块长，l为序列长度，计算y_i＝h(x_i)，i≠s，得出序列Y1(y₁，y₂...y_s-1，y_s+1....y_t)；

(4)、将序列Y1中的y_i按每d位一组，划分为r组，得y_i1，y_i2...y_ir，逐个计算

上述公式是指将y_ij与值为0、长度为d的比特块做异或运算，若其结果不为零，则将之置为1，反之则为0，重新计算 $y_i=y_{i1}*2^{r-1}+y_{i2}*2^{r-2}+......+y_{\mathrm{ir}}*2^0=\underset{j=1}{\overset{r}{\mathrm{\Σ}}}{y}_{\mathrm{ij}}*2^{r-i},$ 获得散列后位长为r的序列Y2(y₁，y₂...y_s-1，y_s+1....y_t)，

为逐比特异或运算；

(5)、发送方平台由密钥生成器生成一个身份验证密钥，记为δ，并选择一个私有信息s_A，计算y_A＝(g_A ^-δ)，x_A＝(g_A ^sA)^δ，则待发送的签名信息m＝(n_A，e_A，y_A，x_A)；

(6)、选择一个环签名函数，并将序列Y2带入环签名方程c_k(y₁，.......y_n，m)＝v，v为数字签名，k为对称加密算法，k＝H(p₁，p₂，...p_t)，其对应的验证方程σ＝vf(p1，p2，...pt；m，v)；

(7)、发送方平台发送验证方程σ、数字签名v和签名信息m＝(n_A，e_A，y_A，，x_A)到验证方平台，开始验证；

(8)、验证方平台在接收到发送方平台发送的签名信息m和验证方程σ、数字签名v之后，首先验证身份的合法性，若身份非法，则拒绝请求，若合法，则进行下一步骤；

(9)、验证方平台随机选择一个私有信息s_B，并计算k₁＝(x_A)^sBmod n_A，同时返回e_A(s_B)给发送方平台；

(10)、发送方平台在接收到验证方平台的返回信息之后，计k₂＝(δd_A(e_A(s_B))+s_A))^sB并返回计算结果k₂给验证方平台；

(11)、验证方平台接收到发送方平台返回的k₂，计算k₃＝(g_A ^k2y_A ^sB)^sB mod n_A与k₁比较，y_A＝(g_A ^-δ)，如果k₁＝k₃，则表明发送方平台拥有可信平台模块的密钥，反之则判定发送方平台无法提供由可信平台模块产生的身份认证密钥。

采用本发明所述的可信平台远程证明的匿名认证算法，具有以下优点：

本发明所述的可信平台远程证明的匿名认证算法，

发送方采用环签名的方法进行身份认证密钥的生成，在环签名的生成过程中，因为x₁，x₂...x_s-1，x_s+1...x_t序列是随机选择的，因而y_i＝h(x_i)，i≠s，得到得y₁，y₂...y_s-1，y_s+1....y_t也是随机的，由于签名环内的任意一个成员都可以生成这样的签名，因此除了签名发起人之外，任何人都无法确定真正的签名者。就算存在攻击者非法获取了所有签名环内的成员的私钥信息，也依然难以确定签名人，其理论概率不超过1/n，n为环内成员的个数，因此匿名性好。

发送方需要向验证方证明自身可信，就需要出示相关信息，但同时为了保护发送方隐私，将信息验证转化为等式验证，k₁与k₃实际为参数不同但结果相同的算式，发送方提供的签名信息经过验证方处理之后返回给发送方，只有发送方确实掌握可信平台模块，才能解出与验证方相同的结果，而验证方只需比较发送方是否能计算出正确结果即可，既验证了发送方的身份信息，又保障了发送方的隐私信息。

本发明中采用的幂指计算，其计算次数为常数，减少了加密、解密运算的次数，不会随着签名环的规模增大影响方案效率，具有相对来说可信平台能够接受的算法复杂度，基本可以满足可信平台之间直接、匿名的身份验证。

具体实施方式：

下面结合具体实施方式对本发明作进一步详细的说明。

本发明提供一种可信平台远程证明的匿名认证算法，本算法基于公钥加密体系理论假设RSA Assumption，由于公钥加密体系理论假设为信息安全领域内公知技术，故不再赘述，本发明包括以下步骤：

(1)、参数初始化：涉及验证双方的可信平台选择两个互异的大素数PR₁、PR₂，设定参数n_A＝PR₁PR₂，e_A＝(PR₁-1)(PR₂-1)，设定公共参数g_A，g_A为不超过n_A的正整数，同时通过可信平台的密钥生成器及参数e_A生成公私钥对(e_A，d_A)，其中e_A为私钥，d_A为生成的公钥，设定安全单向累加器H，随机序列X(x₁，x₂...x_s-1，x_s+1...，x_t)，其中x₁，x₂...x_s-1，x_s+1....x_t为数值或字符，抗碰撞散列函数h；

(2)、发送方平台选择任意t-1个可信平台的公钥，与自身的公钥p_s构成公钥序列{p₁，p₂.......p_t}，其中t为匿名等级参数，由发送方平台自行设定t的值，t越大匿名等级越高，但是计算的复杂度越高，t越小，匿名等级越低，但是计算的复杂程度也越低，发送方平台可根据需求自行设定；

(3)、选择抗碰撞散列函数h，令h＝{0，1}^＊→{0，1}^I，上述公式是指任意长度的比特块由函数h处理后将转化为定长为l的比特块，I＝rd，其中r为指定散列化后的比特数，d为块长，l为序列长度，计算y_i＝h(x_i)，i≠s，得出序列Y1(y₁，y₂...y_s-1，y_s+1....y_t)；

(4)、将序列Y1中的y_i按每d位一组，划分为r组，得y_i1，y_i2...y_ir，逐个计算

上述公式是指将y_ij与值为0、长度为d的比特块做异或运算，若其结果不为零，则将之置为1，反之则为0，重新计算 $y_i=y_{i1}*2^{r-1}+y_{i2}*2^{r-2}+......+y_{\mathrm{ir}}*2^0=\underset{j=1}{\overset{r}{\mathrm{\Σ}}}{y}_{\mathrm{ij}}*2^{r-i},$ 获得散列后位长为r的序列Y2(y₁，y₂...y_s-1，y_s+1....y_t)，

为逐比特异或运算；

(5)、发送方平台由密钥生成器生成一个身份验证密钥，记为δ，并选择一个私有信息s_A，计算y_A＝(g_A ^-δ)，x_A＝(g_A ^sA)^δ，则待发送的签名信息m＝(n_A，e_A，y_A，x_A)；

(6)、选择一个环签名函数，并将序列Y2带入环签名方程c_k(y₁，.......y_n，m)＝v，v为数字签名，k为对称加密算法，k＝H(p₁，p₂，...p_t)，其对应的验证方程σ＝vf(p1，p2，...pt；m，v)；

(7)、发送方平台发送验证方程σ、数字签名v和签名信息m＝(n_A，e_A，y_A，，x_A)到验证方平台，开始验证；验证时将步骤(2)中的公钥序列带入，同时输入签名信息m和数字签名v，若该签名信息m的数字签名v确实由该环签名产生，则带入验证方程返回true，否则返回false；验证方法为目前常规验证方法，故不再详述；

(8)、验证方平台在接收到发送方平台发送的签名信息m和验证方程σ、数字签名v之后，首先验证身份的合法性，若身份非法，则拒绝请求，若合法，则进行下一步骤；

(9)、验证方平台随机选择一个私有信息s_B，并计算k₁＝(x_A)^sBmod n_A，同时返回e_A(s_B)给发送方平台；e_A(s_B)是指将采用私钥e_A对s_B进行加密；

(10)、发送方平台在接收到验证方平台的返回信息之后，计k₂＝(δd_A(e_A(s_B))+s_A))^sB并返回计算结果k₂给验证方平台；

(11)、验证方平台接收到发送方平台返回的k₂，计算k₃＝(g_A ^k2y_A ^sB)^sB mod n_A与k₁比较，y_A＝(g_A ^-δ)，将y_A带入到k₃式子中即可得出k₃＝(g_A ^k2y_A ^sB)^sB mod n_A＝(g_A ^sBδ+sAg_A ^-sA)^sB mod n_A＝(g_A ^sA)^δ)^sB mod n_A＝((x_A)^sB mod n_A＝k₁，因此如果k₁＝k₃，则表明发送方平台拥有可信平台模块的密钥，反之则判定发送方平台无法提供由可信平台模块产生的身份认证密钥。

上述过程中可信平台远程证明的匿名认证算法进行三次交互验证完身份信息的核对，分别为发送方平台发送身份数字签名v，方程σ和签名信息m到验证方平台，验证方返回e_A(g_A ^sB)给发送方平台，发送方返回计算结果k₂给验证方平台，安全程度高。接下来，就本方案的匿名性、不可伪造性题展开分析论证，如下：

第一、在环签名的生成过程中，因为x₁，x₂...x_s-1，x_s+1....x_t序列是随机选择的，因而y_i＝h(x_i)，i≠s，得到的y₁，y₂...y_s-1，y_s+1....y_t也是随机的，由于签名环内的任意一个成员都可以生成这样的签名，因此除签名发起人之外，任何人都无法确定真正的签名者。就算存在攻击者非法获取了所有环内成员的私钥信息，也依然难以确定签名人，其理论概率不超过1/n，这里的n为环内成员的个数。

第二、通过反证法，可以证明上述匿名认证算法是不可伪造的。假设有一个攻击者成功攻破了本认证方案，换言之，攻击者有能力伪造签名者的身份验证密钥信息，也就是攻击者利用签名消息m＝(n_A，e_A，y_A，x_A)根据y_A＝(g_A ^-δ)，x_A＝(g_A ^sA)^δ，e_A(s_B)和k₂＝(δd_A(e_A(s_B))+s_A))^sB计算并得出了δ的值，那么攻击者也就解决了分解g_A，n_A这两个大数，这与我们的前提条件，即公钥加密体系理论假设矛盾，因此假设不成立，不可伪造性得证。

Claims (1)

1.一种可信平台远程证明的匿名认证算法，其特征在于：它包括以下步骤： 

（1）、参数初始化：涉及验证双方的可信平台选择两个互异的大素数PR₁、PR₂，设定参数n_A=PR₁PR₂，e_A=(PR₁-1)(PR₂-1)，设定公共参数g_A，g_A为不超过n_A的正整数，同时通过可信平台的密钥生成器及参数e_A生成公私钥对(e_A,d_A),其中e_A为私钥，d_A为生成的公钥，设定安全单向累加器H，随机序列X(x₁,x₂…x_s-1,x_s+1…，x_t),其中x₁,x₂…x_s-1,x_s+1… - ，x_t为数值或字符，抗碰撞散列函数h； 

（2）、发送方平台选择任意t-1个可信平台的公钥，与自身的公钥p_s构成公钥序列{p₁,p₂…… - ，p_t}，其中t为匿名等级参数，由发送方平台自行设定t的值； 

（3）、选择抗碰撞散列函数h，令h={0,1}^*→{0,1}^l，l=rd，其中r为指定散列化后的比特数，d为块长，l为序列长度，计算y_i=h(x_i)，i≠s，得出序列Y1（y₁,y₂…y_s-1,y_s+1…，y_t）； 

（4）、将序列Y1中的y_i按每d位一组，划分为r组，得y_i1,y_i2…y_ir，逐个计算

,上述公式是指将y_ij与值为0、长度为d的比特块做异或运算，若其结果不为零，则将之置为1，反之则为0，重新计算

获得散列后位长为r的序列Y2(y₁,y₂…y_s-1,y_s+1… ，y_t)，为逐比特异或运算； 

（5）、发送方平台由密钥生成器生成一个身份验证密钥，记为δ，并选择一个私有信息s_A，计算y_A=(g_A ^-δ),x_A=(g_A ^sA)^δ，则待发送的签名信息m=(n_A,e_A,y_A,x_A)； 

（6）、选择一个环签名函数，并将序列Y2带入环签名方程c_k(y₁,…… ，y_n,m)=v，v为数字签名，k为对称加密算法，k=H(p₁,p₂,…p_t),其对应的验证方程σ=vf(p1,p2,…pt;m,v)； 

（7）、发送方平台发送验证方程σ、数字签名v和签名信息m=(n_A,e_A,y_A, x_A)到验证方平台，开始验证； 

（8）、验证方平台在接收到发送方平台发送的签名信息m和验证方程σ、数字签名v之后，首先验证身份的合法性，若身份非法，则拒绝请求，若合法，则进行下一步骤； 

（9）、验证方平台随机选择一个私有信息s_B，并计算k₁=(x_A)^sBmodn_A，同时返回e_A(s_B)给发送方平台； 

（10）、发送方平台在接收到验证方平台的返回信息之后，计k₂=(δd_A(e_A(s_B))+s_A))^sB并返回计算结果k₂给验证方平台； 

（11）、验证方平台接收到发送方平台返回的k₂,计算k₃=(g_A ^k2y_A ^sB)^sBmodn_A与k₁比较，y_A=(g_A ^-δ)，如果k₁=k₃，则表明发送方平台拥有可信平台模块的密钥，反之则判定发送方平台无法提供由可信平台模块产生的身份认证密钥。