CN1717895B - 用于在不泄露身份的情况下建立信任的系统和方法 - Google Patents

Abstract

本发明的实施方案的一个方面提供了向挑战者证明证明者设备具有来自设备制造者的签名，而无需向所述挑战者泄露所述签名的方法、系统和设备。根据一种实施方式，向挑战者提供了由证明者设备持有的秘密的单向函数的结果。在证明者设备和挑战者之间利用交互证明来向挑战者证明在所述单向函数中使用的秘密已经被签上了设备签名，而无需向挑战者泄露所述秘密或者所述设备签名或者证明者设备的身份。

Description

用于在不泄露身份的情况下建立信任的系统和方法

技术领域

本发明的各种实施方案一般属于安全通信领域。更具体地，至少本发明的一种实施方案涉及使得第一设备能够向第二设备证明它具有合法的签名，而不必泄露所述签名。

背景技术

在很多现代通信系统中，包括计算机网络在内，被交换信息的可靠性和安全性是一件很重要的事情。

例如，在可信(trusted)计算平台联盟(TCPA)模型中，每台计算机(PC)都具有被称为可信平台模块(TPM)的可信硬件设备。在一种实现方案中，TPM可以记录有关PC的软件和硬件环境的信息。每个TPM都具有唯一的背书密钥(EK)。有一个证书被发给EK，它包含了有关TPM和平台的信息。当一个外部方(此后被称为挑战者(challenger))想要了解PC的软件和/或硬件环境时，该挑战者可以让TPM给出报告。挑战者想要确信所述报告真的来自合法的TPM。PC的所有者想要保持尽可能多的保密性(privacy)。具体地说，PC的所有者想要能够向两个不同的挑战者给出报告，而这些挑战者又不能确定这些报告来自同一个TPM。

由TCPA提出的一种解决方案是建立可信第三方(TTP)。TPM将会创建一个证明身份密钥(AIK)，并将会把由EK签名的证书请求中的密钥的公共部分发送到TTP。TTP将会检查EK是合法的，签名是完好的，并且将会为AIK发出证书。TPM然后将会在从挑战者接收到请求后使用AIK和TTP的证书。这些都将和EK无关，因此挑战者不会获得有关EK的任何信息。这种方法的问题在于它需要建立TTP。实际中，识别可用作TTP的各方以及用于这种方法的可行商业模型已经证明是实质性的障碍。

因此，在TCPA体系结构中需要TTP一直是个问题。然而，尚未有人提出一种无需使用TTP而实现匿名和安全要求的密码协议。

附图说明

图1图示了根据本发明的实施方案可以实现直接证明方案的系统。

图2是图示了根据本发明的一种实施方案包括可信平台模块的平台的一种实施方案的框图。

图3图示了根据本发明的一种实施方案，在制造过程中建立TPM的过程。

图4图示了为根据本发明的一种实施方案而制造的每个平台所执行的建立过程。

图5图示了根据本发明的一种实施方案，供一个平台(证明者(prover))向挑战者证明它知道验证信息，而不用泄露这一信息的交互证明方法。

图6是图示了在挑战者和平台之间实现图5的交互证明(IP1)的一种方法的流程图。

图7是图示了在挑战者和平台之间实现图5的交互证明(IP2)的一种方法的流程图。

图8图示了根据本发明的一种实施方案，如何在有限数量的轮次中实现直接证明，从而加速验证过程。

具体实施方式

在对本发明各实施方案的以下详细描述中，阐述了很多具体的细节，以提供对本发明一种或多种实施方案的各个方面的完整理解。然而，在没有具体细节的情况下也可以实现本发明的一种或多种实施方案。此外，没有详细描述公知的方法、过程和/或组件，以免不必要地模糊了本发明的各个实施方案。

在以下描述中，使用某些术语来描述本发明的一种或多种实施方案的某些特征。例如，“平台”包括任何类型的设备、计算机、处理单元等。术语“挑战者”是指在向请求者透露或者提供所请求的信息之前，向所述请求者请求对可靠性或权限进行某种检验的任何个人、平台、系统、软件和/或设备。术语“证明者”(例如证明者设备)是指已被请求对其权限(authority)、合法性(validity)和/或身份(identity)提供某种证明的任何个人、平台、系统、软件和/或设备。术语“设备制造者”(例如设备制造者C)是指制造或者配置一个设备或平台(例如可信平台模块)的任何个人、平台、系统、实体、软件和/或设备。术语“设备制造者”可以与术语“证实(verifying)制造者”互换使用。术语“HASH”是指任何散列函数或算法或其等同物。

在下面讨论的对本发明各种实施方案的描述和图示中，系数、变量以及其他符号用相同的标号或名称来表示。因此，当一个符号(例如h)出现在不同的解释部分中时，在全篇中指的是同一符号。

本发明的一种实施方案的一个方面提供了在不使用可信第三方(TTP)的情况下，向验证系统提供设备的匿名的方式。

本发明的一种实施方案的一个方面提供了向挑战者证明一个证实平台或设备具有来自设备制造者的签名，而不用向挑战者泄露所述签名的方法、系统和设备。

本发明的一种实施方案的另一方面提供了向挑战者提供证明者设备(例如，发出请求的设备)所持有的秘密的单向函数(one-wayfunction)的结果，并且向挑战者证明在所述单向函数中使用的秘密已经被签上了设备签名，而不用将所述秘密或签名泄露给挑战者的方法、系统和设备。

使用在这里，“证明(prove)”或者“使挑战者相信”证明者具有或者知道签名或秘密意味着基于透露给挑战者的信息和证明，非常在概率上有可能(probabilistically likely)证明者具有所述签名或秘密。向挑战者证明这一情况，而不用向挑战者“泄露”或“透露”签名或秘密意味着基于透露给挑战者的信息，要确定所述签名或秘密在计算上是不可行的(computationally infeasible)。

这样的证明此后被称为直接证明。术语“直接证明”是指交互证明和/或零知识证明，这些类型的证明在本领域中是公知的。

图1图示了其中可以实现根据本发明一种实施方案的直接证明方案的系统。平台A102(挑战者)请求平台B 104(证明者)提供有关其自身的一些信息，并且平台B 104提供所述所请求的信息。然而，平台A 102想要确认所请求的信息是来自由设备制造者C制造的设备。因此，平台A 102对平台B 104发出挑战，让平台B 104表明它具有设备制造者C所生成的签名。平台B 104通过提供使平台A 102相信平台B 104具有设备制造者C所生成的签名来对这样的请求做出应答，而不用泄露所述签名的信息。

在本发明的一种实施方案中，平台B 104可以包括可信平台模块(TPM)106。它是由设备制造者所制造的，使得它执行这一发明所需的功能，并且遵守这里所描述的协议的操作。总地来说，TPM应当被制造为保持这里所描述的安全特性。例如，在下面进行描述并且在图6中图示的协议IPl中，TPM使用指定的值来执行指定的功能。TPM应当被制造或配置为使用不会在协议中产生安全缺陷(例如，使得设备的身份有可能被确定，等等)的值(例如，上面所指定的值)。

图2是图示了根据本发明一种实施方案的、具有可信平台模块(TPM)204的设备或平台200(例如平台B 104)的一种实施方案的框图。设备200可以包括耦合到TPM 204的处理单元202。在一种实现方式中，存储设备206也可以被包括在设备200中，从而允许存储有关设备200的信息(例如硬件信息、软件信息等)。在本发明的各种实现方式中，平台或设备200可以是诸如计算机、移动设备等的电子设备。

图3图示了根据本发明的一种实施方案，为每个平台类(platform class)所执行的建立过程。一个平台类可由设备制造者定义为包括一种或多种类型的平台或设备。例如，一个平台类可以是具有相同的安全相关信息的所有平台的集合。每个平台都具有一组有关该平台的安全相关信息。这一信息可能包含了被包括在TCPA模型中的EK或AIK证书中的信息的一部分。它还可能包括特定平台或设备的制造者号和型号。

对于每个平台类，设备制造者都创建该制造者为这一平台类所使用的密码参数。设备制造者创建一个签名密钥(signature key)，它使用该签名密钥来签名它所制造的设备(例如设备200)的秘密。

在本发明的一种实施方案中，设备制造者采用RSA算法(由Ronald Rivest、Adi Shamir和Leonard Adelman定义的公钥密码系统)，利用公共模数n、公共指数d和私有指数e来创建RSA公钥、私钥(public key，private key)对(在302中)。这可以使用公知的方法来创建，例如在由Bruce Schneier，John Wiley & Sons出版的《应用密码学》第2版(1995年10月18日，ISBN：0471117099)中所描述的方法。模数n应当被选定得足够大，使得它对因数n在计算上是不可行的。

在304中设备制造者指定参数Z，这是一个位于0和n之间的整数。

在306中设备制造者指定安全参数W，这是一个位于0和n之间的整数。然而，将W挑选得过小或过大都会导致安全性问题。在一种实现方式中，可以建议将W选定在2¹⁶⁰和n/2¹⁶⁰之间。因此，将W选定为约等于可能是一个合理的选择。

在本发明的一种实施方案中，设备制造者计算出一个质数P，使得P＝u*n+1(在308中)。除了u*n+1是一个质数外，u的值没有什么特殊的。例如，可以使用最小的这种u值。一般地，P值应当足够大，使得计算离散的对数mod P在计算上是不可行的。

设备制造者生成平台类证书，该证书包括密码参数e、n、u、P、Z、W，该平台类的安全相关信息，以及所述设备制造者的名称(在310中)。在一种实施方案中，参数u和P两者不会全都包括进来，这是因为给定了n和这两个参数之一后，另一个参数可以通过P＝u*n+1计算出来。

在本发明的一种实施方案中，设备制造者对几个不同的平台类使用相同的e、n、u、P、W，针对不同的平台只是改变Z值而已。在这种情形下，Z的值应当被选定为相差至少4W。

一旦生成了平台类证书，设备制造者就将所述类证书提供给它所制造的、属于那一特定平台类的设备(在312中)。

在不偏离本发明的一种或多种实施方案的情况下，可以用多种方式完成平台类证书从证明者设备或平台(例如图1中的平台A)到挑战者的分发。这些密码参数(即平台类证书)应当以下列方式被分发给挑战者，所述方式要使得挑战者相信所述类证书是由设备制造者生成的。有多种广为采用的标准方法来通过直接向挑战者分发所述参数，或者通过让证实机构来签名所述平台类证书而完成这项工作。在后一种情形中，证实机构的公钥必须被分发给挑战者，并且已签名的平台类证书可被提供给所述平台类中的每个设备或平台(例如证明者设备)。然后所述设备可以将已签名的平台类证书提供给挑战者。

图4图示了为根据本发明的一种实施方案而制造的证明者平台或设备所执行的建立过程。证明者设备选定一个随机数m，使得0＜m-Z＜W(在402中)。证明者设备可以在将这个随机数m发送给证实制造者以获得签名前，将它隐蔽起来(在404中)。在这种情形下，证明者设备在1和n-1之间选定一个随机数B(在406中)，并且计算A＝B^e modn(在408中)。证明者设备计算m′＝m*A mod n(在410中)。

如果所述设备没有将m隐蔽起来，则该设备使用m′＝m和A＝1(在412中)。

证明者设备将m′发送给证实制造者(在414中)。证实制造者计算c′＝m′^d mod n(在416中)，并且将c′提供给所述设备(在418中)。所述设备计算c＝c′*B^-1mod n(在420中)。注意，这意味着c＝m^dmod n。然后数字c和m被存储在TPM中(在422中)。c和m构成的对被称为设备制造者的签名。

图5图示了根据本发明的一种实施方案，证明者设备向挑战者证明它具有来自证实制造者的签名，而不用泄露所述签名的方法。挑战者(例如平台A 102)可以发送消息，向具有TPM的证明者设备索要(seeking)合法性(例如，确认该设备的合法性)(在502中)。这个消息可以包含挑战者的名称。证明者设备将包括数字n的设备证书(例如平台类证书)发送给挑战者(在504中)。证明者设备中的TPM创建AIK私钥-公钥对(在506中)。所述私钥-公钥对包括公钥和私钥。在一种实施方案中，TPM可能已在早些时候创建了AIK私钥-公钥对。TPM创建或生成值h(在508中)。可以用多种方式来确定值h，包括随机地生成值h，以及按照确定的方式来生成值h。h值应当具有以下性质，即hⁿ＝1 mod P，并且TPM为每个挑战者使用不同的h值。

在本发明的一种实施方案中，可以以随机或伪随机的方式生成值h。例如，TPM可以在1和n-1之间选择一个随机数j，并且计算h＝j^u mod P。

TPM计算k值，k＝h^m mod P(在510中)。证明者设备然后向挑战者发送计算出的值h和k以及AIK公钥(在512中)。

在本发明的另一种实施方案中，可以用确定的方式生成值h。例如，TPM可以由挑战者的名称，以确定的方式来计算h。这样做的一种方法就是针对几个值计算H_i＝HASH(i，挑战者的名称)，其中的几个值例如是i＝1，2，3…，10的10个值，然后令j＝H₁‖H₂‖H₃…‖H₁₀的级联(concatenation)。然后，如上所述，TPM计算h＝j^u mod P，其中u如前面定义的u＝(P-1)/n。TPM计算k值，k＝h^m mod P。证明者设备然后向挑战者发送计算出的值k以及AIK公钥。TPM的用户想要确保单个h不由多方使用，因为这将会破坏这个TPM与这些多方之间的匿名关系。因此，TPM或者证明者设备可能会保存它已使用的所有h值的列表，从而它能够禁止重复使用，或者至少能通知用户一个值是否被重复。在本发明的一种实现方式中，证明者设备还可以显示挑战者的名称，使得证明者设备的用户将会知道该名称。在这种实施方案中，挑战者确信对于每个TPM密钥，TPM在证明中所能具有的只有一个k＝h^m mod P。所以如果挑战者连同AIK一起存储了k，那么挑战者可以确信单个TPM未曾创建一个以上的AIK。这种方法可以被称为每个挑战者单个h的方法。

单个服务提供者可能建立多个挑战者，每一个都具有自己的名称，因而具有自己的h。不同的挑战者将无法将来自一个TPM的多个AIK关联起来。是否在其事务内允许有多个挑战者，这是由服务提供者在实现当中来决定的。

然后，证明者设备进行和挑战者之间的交互证明(IPl)(在514中)，该证明IPl的内容是它知道一对值c和m，这对值满足m＝c^e mod n和k＝h^m mod P。证明者设备还进行在第二交互证明(IP2)中与挑战者之间的交互证明，所述第二交互证明指示出以h为底k的离散对数值位于Z和Z+W之间(在516中)。图6和7给出了这两个交互证明IP1和IP2的示例性实施方案。

图6是图示了在挑战者和证明者设备之间根据本发明的一种实施方案实现图5的交互证明IP1的一种方法的流程图。IP1可被用来证明TPM知道c和m值，其满足m＝c^e mod n和k＝h^m mod P，而不用TPM(证明者设备的一部分)泄露c或m。挑战者向证明者设备提供保证参数(AP)，例如在10和40之间的值(在602中)。然后TPM随机地选择一个值x mod n(在604中)。TPM计算y值，使得x*y＝c mod n，并且计算v值，使得v＝h^(xe mod n) mod P(在608中)。TPM将v值发送给挑战者(在610中)。TPM计算HASH(AIK公钥，x)和HASH(AIK公钥，y)的值(在611中)。然后挑战者选择接收x或y之一(在612中)。如果挑战者选择接收x，则TPM将x发送给挑战者(在614中)。挑战者检验v＝h^(xe mod n) mod P并且检验HASH(AIK公钥，x)已被正确发送(在616中)。否则，如果挑战者选择接收y(在618中)，则TPM将y发送给挑战者，并且挑战者检验k＝h^(ye mod n) mod P并且检验HASH(AIK公钥，y)已被正确发送(在620中)。在本发明的一种实施方案中，这个检验方案被执行AP次(在622中)。

图7是图示了在挑战者和证明者设备之间根据本发明的一种实施方案实现图5的交互证明IP2的一种方法的流程图。IP2可被用来证明TPM知道m值，满足Z-W＜m＜Z+2*W以及k＝h^m mod P，而无需TPM泄露m。

挑战者向证明者设备提供保证参数(AP)，例如在10和40之间的值(在701中)。TPM(证明者设备的一部分)随机地选择一个数t，满足0＜t＜W(在702中)。TPM计算g₀＝h^t mod P(在704中)以及g₁＝g₀*h^(-w) mod P(在706中)。TPM生成两个随机的160位值R₀和R₁(在708中)，计算H₀＝HASH(AIK公钥，g₀，R₀)以及H₁＝HASH(AIK公钥，g₁，R₁)(在710中)，并且按随机顺序将H₀和H₁发送给挑战者(在712中)。

挑战者从两个选择中挑选一个，例如0或1选择。

如果挑战者挑选0选择，则TPM将t、R₀、R₁以及H₀和H₁的排序发送给挑战者(在716中)。挑战者计算g₀＝h^t mod P和g₁＝h^(t-W) mod P(在718中)。挑战者检查0＜t＜W(在720中)。挑战者还检查H₀＝HASH(AIK公钥，g₀，R₀)以及H₁＝HASH(AIK公钥，g₁，R₁)(在722中)。如果所有这些检查都通过的话，挑战者接受(在724中)。

如果挑战者挑选1选择，那么如果m+t处于Z和Z+W之间的话(在726中)，则TPM发送m′＝m+t、g₀和R₀(在728中)，并且通知挑战者使用H₀。挑战者检查H₀＝HASH(AIK公钥，g₀，R₀)，m′处于Z和Z+W之间的区间中，以及g₀*k＝h^m′mod P(在730中)。如果m+t＞Z+W，则TPM发送m′＝m-W+t、g₁和R₁(在732中)，并且通知挑战者使用H₁。挑战者检查H₁＝HASH(AIK公钥，g₁，R₁)，Z＜m′＜Z+W，以及g₁*k＝h^m′mod P(在734中)。如果以上检查全都通过的话，挑战者接受(在724中)。

在IP2的一种实施方案中，以上过程被重复AP次(在723中)。注意，如图6中的标号622处一样重复IP1的过程，和/或如图7中的标号723处一样重复IP2的过程，将使得未经授权的或欺骗性的证明者成功地向挑战者提供充分证明的可能性更低。也就是说，重复证明(例如IP1或IP2)AP次迫使证明者在每一轮都要成功，这只有2^AP分之一的机会。

在TPM已经成功地完成上述IP1和IP2过程后，挑战者相信证明者设备/TPM知道m和c值，这两个值满足Z-W＜m＜Z+2*W并且c＝m^d mod n。换言之，c是m的签名。对于所述区间中给定的值计算出m的签名，这等同于破坏了RSA。在不知道模数n的因数分解的情况下计算出所述区间中的任何值的签名，这是一项困难的计算问题。

在图6和7中描述的协议具有以下不足，即在TPM(证明者设备)和挑战者之间需要多轮次通信。然而，在本发明的另一种实施方案中，这些协议可以被转换成有限轮次的协议。

图8图示了根据本发明的一种实施方案，如何在有限数量的通信中实现直接证明，从而加速验证过程。TPM生成AIK私钥-公钥对，其包括AIK公钥和AIK私钥，并且将AIK公钥(或者只是AIK公钥的HASH)发送给挑战者(在802中)。挑战者选择保证参数(AP)(在804中)，选择一组2*AP个随机位(CHOICES)(在806中)，并且选择320个随机位的附加随机填充位(在808中)。然后，挑战者设置RAND＝CHOICES‖随机填充位(在810中)，计算出Commitment＝(AIK公钥‖RAND)，并且将Commitment的HASH发送给TPM，TPM将该值存储起来(在812中)。

TPM使用上述方法之一来确定与这个挑战者之间使用的h值，即或者使用随机方法生成h，或者在每个挑战者单个h的方法中由挑战者的名称生成h(在818中)。

不再如图6和7中所示地一次串行地计算出一个循环的值，TPM现在对于两个交互证明(IP1和IP2)生成所述方法所有轮次(循环)的所有计算结果，并且将为所有轮次计算出的所有值都发送给挑战者(在820中)。这组计算出的值将包括k，h；由每一轮次的IP1得到的v，HASH(AIK公钥，x)和HASH(AIK公钥，y)；以及由每一轮次的IP2得到的H0和H1。然后，挑战者将RAND的值发送给TPM(在822中)。TPM检验Commitment的初始位是AIK公钥的hash，并且将RAND的初始2*AC位用作挑战者在协议期间的选择(在824中)。TPM基于这些选择准备所有轮次的响应，然后将所有这些响应发送回挑战者。

在有限通信版本的一种实施方案中，HASH(AIK公钥，x)和HASH(AIK公钥，y)不被发送给挑战者。类似地，H₀的值是H₀＝HASH(g₀，R₀)而不是H₀＝HASH(AIK公钥，g₀，R₀)，并且H₁的值是H₁＝HASH(g₁，R₁)而不是H₁＝HASH(AIK公钥，g₁，R₁)。

在某些实现方式中，如果确定或怀疑TPM或其密钥已被损害(compromised)，则可能期望允许挑战者废止该TPM。

挑战者可以确定证明者设备的TPM已被损害的一个实例是用于受损害TPM的密钥(c和m)可能被广泛地散步，例如万维网上的公布(posting)。在这种情况下，挑战者可以废止该TPM。例如，假设c₀和m₀是受损害TPM的已被公布的密钥。无论何时挑战者看到了h值，挑战者都要计算 $k_0=h^{m_0}\mathrm{mod}P.$ 如果这与证明者所给出的k值匹配，则挑战者得知由证明者使用的m与受损害TPM的m₀相匹配，因而挑战者将不会接受它。

在废止的另一种实施方案中，假设挑战者一直与AIK值一起存储着h和k值。那么当挑战者接收到受损害的密钥c₀和m₀时，挑战者可以进行检查，以发现已收到的h和k值中是否有使用所述受损害的密钥c₀和m₀而计算出的值。挑战者通过计算 $k_0=h^{m_0}\mathrm{mod}P,$ 并且进行检查以发现这个值是否与他从TPM接收到的k值相匹配，从而完成上述操作。如果是的，则他废止对应的AIK值。如果正在使用每个挑战者单个h的方法，则由挑战者完成的计算要容易一些，这是因为挑战者只需计算出k₀并且发现这个值是否与挑战者接收到的任何k值相匹配即可。

在挑战者可以确定密钥已被损害的另一个实例中，挑战者可以检测TPM的使用模式，该模式指示出已受到损害。例如，从不同证明者设备同时到挑战者的两个连接可以指示出一个受损害的密钥。如果使用的是每个挑战者单个h的方法，则挑战者将会得知两个连接使用了相同的m，因为与两个连接相关联的是相同的k＝h^m mod P。挑战者可以判定秘密值可能已受到损害，因而挑战者将不再接受使用该k值的任何直接证明。然后，来自所述TPM的秘密值可以不再与所述挑战者一起使用。然而，由于这个挑战者不知道m的值，所以该挑战者不能告诉任何其他挑战者不要使用来自所述TPM的秘密值，

在本发明的另一种实施方案中，如果一组挑战者中有一个挑战者判定某一TPM的秘密值可能已被损害，那么这组挑战者可以决定他们全都想要能够废止这些秘密值。要实现这一特性，需要对前面已经描述的本发明的实施方案进行修改。修改包括如何确定h的值。形成一个可信废止机构(TRA)。TRA具有公共检验、私有签名密钥对(例如标准RSA密钥对)。使用某种安全的分发方法将TRA公钥提供给TPM，所述方法例如是让制造者在制造期间将所述密钥放入TPM中。

TRA生成g值，使得gⁿ＝1 mod P。TRA可以通过生成1和P之间的g′值，然后计算g＝g^′u mod P而生成g值。然后对于所述组的每一个挑战者，TRA将在1和n之间随机地挑选一个指数(EXP)，并且计算h＝g^EXP mod P。然后，TRA用这个挑战者的名称以及这个h值在证书中为该证书签名。TRA安全地存储用来为每个挑战者创建h的EXP。

当TPM与所述组的某个挑战者之间发起直接证明时，所述挑战者发送对于所述h值的这个证书。TPM通过检查TRA的签名来验证这个证书。如果合法，则TPM使用这个h值，而不用像在先前实施方案中所描述的那样生成一个h值。直接证明的其他方面保持不变。

当将h₁作为其h值的挑战者1宣告它想要废止创建了 $k_1=h_1^m\mathrm{mod}P$ 的TPM时，TRA获取EXP值EXP₁，该值被用来计算 $h_1=g^{\mathrm{EX}{P}_1}\mathrm{mod}P$ 。注意，挑战者₁和TRA都不会知道挑战者1想要废止的TPM中的m值。为了告诉挑战者_i将废止的k值，TRA计算 $b_1={\mathrm{EXP}}_1^{(-1)}\mathrm{mod}n,$ 然后计算 $k_i=k_1^{({\mathrm{EXP}}_i*b_1)}\mathrm{mod}P.$ 注意， $k_i=h_i^m\mathrm{mod}P.$ 注意，TRA在这一计算过程中没有计算m；k_i然后被发送给挑战者i，然后挑战者i可以废止k_i，如果它想要这么做的话。

虽然在附图中已经示出并且描述了本发明的某些示例性的实施方案，但是可以理解的是，这些实施方案对于本发明各种实施方案的宽广方面而言仅仅是示例性的而非限制性的，这些实施方案不被限制在所示出并描述的具体解释和布置中，因为各种其他修改都是可能的。可以用硬件、可编程器件、固件、软件或它们的组合来实现本发明的多种实施方案或者它们的某些特征。

Claims (6)

1.一种使挑战者设备(102)相信证明者设备(104)知道已知实体的合法签名的方法，包括：

从证明者设备接收交互证明中的第一值k和第二值h，以使所述挑战者设备相信所述证明者设备知道所述合法签名(514)，其中所述交互证明没有向所述挑战者设备泄露所述合法签名，所述第一值k是在所述证明者设备中基于单向函数生成的(510)，而第二值h是由所述证明者设备生成的独有数字；

其特征在于，

从所述证明者设备接收公钥(512)，其中所述公钥是在所述证明者设备中生成的私钥-公钥对中的一部分(506)；

保存废止列表，该废止列表中的信息对应于被认为受到损害的一个或多个证明者设备，所述信息包含受损害签名；

用所述第二值h和来自所述废止列表的信息m₀计算第三值k₀；以及

将来自所述证明者设备的交互证明的第一值k与所述第三值k₀进行比较，以便无需泄露所述签名，就使所述挑战者设备相信所述证明者设备所知道的签名没有在受损害签名的废止列表中，

其中，所述k值被定义为k＝h^m mod P，m是随机生成的数字，并且P是一个大的质数，并且

所述k₀值被定义为

2.如权利要求1所述的方法，其特征在于，所述挑战者设备还接收用于所述证明者设备的设备证书(504)。

3.如权利要求1或2所述的方法，其特征在于，所述交互证明没有向所述挑战者设备泄露所述证明者设备的身份。

4.一种使挑战者设备(102)相信证明者设备(104)知道已知实体的合法签名的设备，包括：

用于从证明者设备(104)接收交互证明中的第一值k和第二值h，以使所述挑战者设备相信所述证明者设备知道合法签名(514)的装置，其中所述交互证明没有向所述挑战者设备泄露所述合法签名，所述第一值k是在所述证明者设备中基于单向函数生成的(510)，而第二值h是由所述证明者设备生成的独有数字；

用于从所述证明者设备接收公钥(512)的装置，其中所述公钥是在所述证明者设备中生成的私钥-公钥对中的一部分(506)；

用于保存废止列表的装置，其中所述废止列表中的信息对应于被认为受到损害的一个或多个证明者设备，所述信息包含受损害签名；

用所述第二值h和来自所述废止列表的信息m₀计算第三值k₀的装置；以及

用于将来自所述证明者设备的交互证明的第一值h与所述第三值k₀进行比较，以便无需泄露所述签名，就使所述挑战者设备相信所述证明者设备所知道的签名没有在受损害签名的废止列表中的装置，

其中，所述k值被定义为k＝h^m mod P，m是随机生成的数字，并且P是一个大的质数，并且

所述k₀值被定义为

5.如权利要求4所述的设备，其特征在于，进一步包括：用于接收用于所述证明者设备的设备证书(504)的装置。

6.如权利要求4或5所述的设备，其特征在于，所述交互证明没有向所述挑战者设备泄露所述证明者设备的身份。

Images