第12章身份识别方案-PPT精品
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
发给B; B验证X1y12y2vemopd 。
12. 3 Guillou-Quisquater身份识别方案
A随机选择一个整数 r,0rn1并计算;Xrbmond A将他的证书 C(A ) (ID(vAs,和), X发送给B; B通过检测VT ( eA IrD , v,s)真来验证TA的签名; B随机选择一个数 e,0eb,1并将e发送给A; A计算 yrme mond 并将y发送给B; B验证 Xveybmond 。
证明者A能向验证者B证明他的确是A;
在证明者A向验证者B证明他的身份后,验证者 B没有获得任何有用的信息,B不能模仿A向第 三方证明他是A。
无线网络中通常使用质询-响应识别(challengeresponse identification)或强识别方案:
A通过密码和用户名向B登记。
B发给A一个随机号码(质询)
12.2 Okamoto身份识别方案
A随机选择两个数r1,r2,0r1,r2q1 ,并计算;X1r12r2 mopd A将他的证书 C(A ) (ID(vAs,和),X发送给B; B通过检测 VT ( eA IrD , v,s) 真来验证TA的签名; B随机选择一个数 e,1e2t,并将e发送给A; A计算y 1 ( r 1 m 1 e )m q ,y 2 o ( r 2 d m 2 e )m q 并o 将d y1,y2
A随机选择一个整数 r,0rn1并计算 Xrbmond A把ID(A)和X发送给B; B计算 vH(ID (A);) B随机选择一个数 e,0eb1,并将e发送给A; A计算 yrue modn并将y发送给B; B验证 Xveybmond 。
12.5 转换身份识别为签名方案
第12章 身份识别方案
识别(identification)和身份验证 (authentication)区别:
当说到身份验证时,通常存在一些承载信息的 消息在通信双发之间交换,其通信的一方或双 方需要被验证。
识别(有时称为实体验证)是对一个用户身份 的实时验证,它不需要交换承载信息的消息。
一个安全的识别协议至少应该满足以下两个条件:
12.4 基于身份的身份识别方案
12.4.1 Shamir的基于身份的密码方案的基本思想 安全性主要依赖于以下几个方面: 所使用的密码变换(诸如加密变换、签名变换等)的安全性; 存储在密钥产生中心的特权信息的保密性; 在密钥产生中心给用户颁布Smart卡之前所完成的识别检测的严
格性(要求用户 提供的身份确实能唯一确定用户,而且用户不能否认); 为了阻止用户的Smart卡的丢失、复制或未授权的使用,用户所
一个(秘密的)随机数r ∈Zq*,定义对消息m的签名
Sk i(g m ,r)(X,y),其中Xr modp,y(rsH (m ,X)。m ) q od
对m,X ∈Zp*和y ∈Zq,定义V(m e ,X ,r y ) Tr X u e y v H 。(m ,X )mp
Okamoto签名方案
健全性或合理性(Soundness):若用户根本不知道与用户名 字相关的密钥,且验证者是诚实的,则有非常大的概率,验证者 将拒绝接受用户的身份。
隐藏性(Witness hiding):若用户是诚实的,则不论协议进 行了多少次以及不论任何人(包括验证者)都无法从协议中推出 用户的密钥,并且无法冒充用户的身份。
图 12.2 公钥签名方案和基于身份的签名方案之间的差别
要实现shamir的基于身份的密码方案的思想,我 们需要一个具有下列两个附加条件的公钥密码 体制:
当知道种子时,秘密密码能从公钥中很容易地 求出。
从一对特定的公开密钥和秘密密钥求出它们的 种子是困难的。
12.4.2 Guillou-Quisquater的基于身份的 识别协议
Schnorr签名方案
设p及q是一个大素数,且q|(p-1),在Zp上离散对数问
题是难处理的。设α ∈Zp*是一个阶为q的元素。H是
一个Hash函数。
P
Z
p
,AZ*p
Zq
,K ( p ,q ,,s ,v )| sm po 。 d
值 p,q,,v是公开的,s是保密的。对 k(p,q,,s,v)和
当A对消息签名m时,首先随机选择两个数
r1,r2,0r1,r2q1,然后计算:
X r1 r2 12
mopd,eH(X,m)
,
, y 1 ( r 1 m 1 e )m q ,y 2 o ( r 2 d m 2 e )m qod
A对消息m的签名是三重组(e,y1,y2)。
在识别协议中,有两类协议是特别诱人的,一类是零 知识识别协议,另一类是基于身份的识别协议。有关 零知识识别协议的典型代表是Feige-Fiat-Shamir识别 协议。有关基于身份的识别协议是Shamir首次提出的 一种观点。
Brickell及McCurley将Schnorr协议中的参数略做修改, 发展出一种美国Sandia国家实验室所用的协议。该协 议数学理论上较Schnorr协议更完整。
采取的措施。
公钥签名方案和基于身份的签名方案之间 的差别
消息 m
签名的产生
kg
密钥的产生
信道
m, s
签名的验证
kv
公钥号码薄
随机种子 k
(a) 公钥签名方案
合法/非法
消息 m
签名的产生
kg 密钥的I产生
信道
m, s, I
签名的验证
kv 签名者I 身份
合法/非法
随机种子 k
(b) 基于身份的签名方案
验证者B任选一整数e∈[0,…,2t-1],送给用户A; 用户A送给验证者B:y=r+semod q;
验证者B验证:Xyvemopd 。
安全性分析
针对一般交互式用户身份证明协议,都必须满足以下三种性质。
完全性(Completeness):若用户与验证者双方都是诚实地执 行协议,则有非常大的概率(趋近于1),验证者将接受用户的 身份。
A用一个随机号码的加密值答复,其中使用 了A的密码作为密钥完成加密(响应)。
B证明A确实拥有密钥(密码)。
Hale Waihona Puke 12.1 Schnorr身份识别方案
用户A将其身份名I及公开密钥送交验证者B。验证者 根据TA的数字签名来验证用户A的公开密钥;
用户A任选一整数r,1≤ r≤q-1计算X=α rmodp,并将 X送给验证者B;
接收者B验证签名的过程为:
获得A的公钥n,b,v;
计算
和
;
验证是X'否有veyeb=me’o,nd如果e' e=He(’X,',则m)B接受A的签名,否则,
拒绝。
小结
本章主要介绍了三类身份识别方案:Schnorr身份识别 方案、Okamoto身份识别方案、Guillou-Quisquater身 份识别方案。这些方案都是较实用的识别方案。
当接收者B收到签名(e,y1,y2)时,B计算
X1y12y2vemop,d并验证 eH(X,m)
。
Guillou-Quisquater签名方案
A对消息的签名过程为:
随机选择一个整数 r,0rn1并计算;Xrbmond 计算 eH(X,m) ;
计算yrue modn,A对消息m的签名是对(e,y)。
12. 3 Guillou-Quisquater身份识别方案
A随机选择一个整数 r,0rn1并计算;Xrbmond A将他的证书 C(A ) (ID(vAs,和), X发送给B; B通过检测VT ( eA IrD , v,s)真来验证TA的签名; B随机选择一个数 e,0eb,1并将e发送给A; A计算 yrme mond 并将y发送给B; B验证 Xveybmond 。
证明者A能向验证者B证明他的确是A;
在证明者A向验证者B证明他的身份后,验证者 B没有获得任何有用的信息,B不能模仿A向第 三方证明他是A。
无线网络中通常使用质询-响应识别(challengeresponse identification)或强识别方案:
A通过密码和用户名向B登记。
B发给A一个随机号码(质询)
12.2 Okamoto身份识别方案
A随机选择两个数r1,r2,0r1,r2q1 ,并计算;X1r12r2 mopd A将他的证书 C(A ) (ID(vAs,和),X发送给B; B通过检测 VT ( eA IrD , v,s) 真来验证TA的签名; B随机选择一个数 e,1e2t,并将e发送给A; A计算y 1 ( r 1 m 1 e )m q ,y 2 o ( r 2 d m 2 e )m q 并o 将d y1,y2
A随机选择一个整数 r,0rn1并计算 Xrbmond A把ID(A)和X发送给B; B计算 vH(ID (A);) B随机选择一个数 e,0eb1,并将e发送给A; A计算 yrue modn并将y发送给B; B验证 Xveybmond 。
12.5 转换身份识别为签名方案
第12章 身份识别方案
识别(identification)和身份验证 (authentication)区别:
当说到身份验证时,通常存在一些承载信息的 消息在通信双发之间交换,其通信的一方或双 方需要被验证。
识别(有时称为实体验证)是对一个用户身份 的实时验证,它不需要交换承载信息的消息。
一个安全的识别协议至少应该满足以下两个条件:
12.4 基于身份的身份识别方案
12.4.1 Shamir的基于身份的密码方案的基本思想 安全性主要依赖于以下几个方面: 所使用的密码变换(诸如加密变换、签名变换等)的安全性; 存储在密钥产生中心的特权信息的保密性; 在密钥产生中心给用户颁布Smart卡之前所完成的识别检测的严
格性(要求用户 提供的身份确实能唯一确定用户,而且用户不能否认); 为了阻止用户的Smart卡的丢失、复制或未授权的使用,用户所
一个(秘密的)随机数r ∈Zq*,定义对消息m的签名
Sk i(g m ,r)(X,y),其中Xr modp,y(rsH (m ,X)。m ) q od
对m,X ∈Zp*和y ∈Zq,定义V(m e ,X ,r y ) Tr X u e y v H 。(m ,X )mp
Okamoto签名方案
健全性或合理性(Soundness):若用户根本不知道与用户名 字相关的密钥,且验证者是诚实的,则有非常大的概率,验证者 将拒绝接受用户的身份。
隐藏性(Witness hiding):若用户是诚实的,则不论协议进 行了多少次以及不论任何人(包括验证者)都无法从协议中推出 用户的密钥,并且无法冒充用户的身份。
图 12.2 公钥签名方案和基于身份的签名方案之间的差别
要实现shamir的基于身份的密码方案的思想,我 们需要一个具有下列两个附加条件的公钥密码 体制:
当知道种子时,秘密密码能从公钥中很容易地 求出。
从一对特定的公开密钥和秘密密钥求出它们的 种子是困难的。
12.4.2 Guillou-Quisquater的基于身份的 识别协议
Schnorr签名方案
设p及q是一个大素数,且q|(p-1),在Zp上离散对数问
题是难处理的。设α ∈Zp*是一个阶为q的元素。H是
一个Hash函数。
P
Z
p
,AZ*p
Zq
,K ( p ,q ,,s ,v )| sm po 。 d
值 p,q,,v是公开的,s是保密的。对 k(p,q,,s,v)和
当A对消息签名m时,首先随机选择两个数
r1,r2,0r1,r2q1,然后计算:
X r1 r2 12
mopd,eH(X,m)
,
, y 1 ( r 1 m 1 e )m q ,y 2 o ( r 2 d m 2 e )m qod
A对消息m的签名是三重组(e,y1,y2)。
在识别协议中,有两类协议是特别诱人的,一类是零 知识识别协议,另一类是基于身份的识别协议。有关 零知识识别协议的典型代表是Feige-Fiat-Shamir识别 协议。有关基于身份的识别协议是Shamir首次提出的 一种观点。
Brickell及McCurley将Schnorr协议中的参数略做修改, 发展出一种美国Sandia国家实验室所用的协议。该协 议数学理论上较Schnorr协议更完整。
采取的措施。
公钥签名方案和基于身份的签名方案之间 的差别
消息 m
签名的产生
kg
密钥的产生
信道
m, s
签名的验证
kv
公钥号码薄
随机种子 k
(a) 公钥签名方案
合法/非法
消息 m
签名的产生
kg 密钥的I产生
信道
m, s, I
签名的验证
kv 签名者I 身份
合法/非法
随机种子 k
(b) 基于身份的签名方案
验证者B任选一整数e∈[0,…,2t-1],送给用户A; 用户A送给验证者B:y=r+semod q;
验证者B验证:Xyvemopd 。
安全性分析
针对一般交互式用户身份证明协议,都必须满足以下三种性质。
完全性(Completeness):若用户与验证者双方都是诚实地执 行协议,则有非常大的概率(趋近于1),验证者将接受用户的 身份。
A用一个随机号码的加密值答复,其中使用 了A的密码作为密钥完成加密(响应)。
B证明A确实拥有密钥(密码)。
Hale Waihona Puke 12.1 Schnorr身份识别方案
用户A将其身份名I及公开密钥送交验证者B。验证者 根据TA的数字签名来验证用户A的公开密钥;
用户A任选一整数r,1≤ r≤q-1计算X=α rmodp,并将 X送给验证者B;
接收者B验证签名的过程为:
获得A的公钥n,b,v;
计算
和
;
验证是X'否有veyeb=me’o,nd如果e' e=He(’X,',则m)B接受A的签名,否则,
拒绝。
小结
本章主要介绍了三类身份识别方案:Schnorr身份识别 方案、Okamoto身份识别方案、Guillou-Quisquater身 份识别方案。这些方案都是较实用的识别方案。
当接收者B收到签名(e,y1,y2)时,B计算
X1y12y2vemop,d并验证 eH(X,m)
。
Guillou-Quisquater签名方案
A对消息的签名过程为:
随机选择一个整数 r,0rn1并计算;Xrbmond 计算 eH(X,m) ;
计算yrue modn,A对消息m的签名是对(e,y)。