身份识别方案

公钥签名方案和基于身份的签名方案之间 的差别
消息 m 签名的产生 信道
kg
密钥的产生 随机种子 k
m, s
公钥号码薄
签名的验证
合法/非法
kv
(a) 公钥签名方案
消息 m
签名的产生
信道
百度文库
kg
密钥的产生 随机种子 k
m, s, I
签名的验证
合法/非法
kv
签名者身份
(b) 基于身份的签名方案 图 12.2 公钥签名方案和基于身份的签名方案之间的差别
用户A将其身份名I及公开密钥送交验证者B。验证者 根据TA的数字签名来验证用户A的公开密钥； 用户A任选一整数r，1≤ r≤q-1计算X=αrmodp，并将 X送给验证者B； 验证者B任选一整数e∈[0,…,2t-1]，送给用户A； 用户A送给验证者B：y=r+semod q； X 验证者B验证： = α y × v e mod p 。
12.2 Okamoto身份识别方案 身份识别方案
r1 , r2 ,0 ≤ r1 , r2 ≤ q − 1，并计算；= α 1 r α 2 r mod p X A随机选择两个数
1 2
A将他的证书 C(A) = (ID(A), v, s)和X发送给B； B通过检测 Ver （ID，v, s) = 真来验证TA的签名； e,1 ≤ e ≤ 2 t ，并将e发送给A； B随机选择一个数 A计算y = (r + m e) mod q, y = (r + m e) mod q并将y1，y2 发给B； y y e B验证X ≡ α 1 α 2 v mod p 。
1 2
1
1
1
2
2
2
1
2
Guillou-Quisquater签名方案 签名方案
A对消息的签名过程为： 随机选择一个整数 r ,0 ≤ r ≤ n − 1 并计算； = r b mod n X 计算 e = H ( X , m) ； 计算 y = ru e mod n，A对消息m的签名是对(e,y)。 接收者B验证签名的过程为： 获得A的公钥n,b,v； 计算 ' e b 和 ' ； ' X = v y mod n e = H ( X , m) 验证是否有e=e’，如果e=e’，则B接受A的签名，否则， 拒绝。
小结
本章主要介绍了三类身份识别方案：Schnorr身份识别 方案、Okamoto身份识别方案、Guillou-Quisquater身 份识别方案。这些方案都是较实用的识别方案。 在识别协议中，有两类协议是特别诱人的，一类是零 知识识别协议，另一类是基于身份的识别协议。有关 零知识识别协议的典型代表是Feige-Fiat-Shamir识别 协议。有关基于身份的识别协议是Shamir首次提出的 一种观点。 Brickell及McCurley将Schnorr协议中的参数略做修改， 发展出一种美国Sandia国家实验室所用的协议。该协 议数学理论上较Schnorr协议更完整。
TA
1
1
1
2
2
2
1
2
12. 3 Guillou-Quisquater身份识别方案 身份识别方案
X A随机选择一个整数 r ,0 ≤ r ≤ n − 1 并计算； = r b mod n A将他的证书 C(A) = (ID(A), v, s)和X发送给B； B通过检测Ver （ID，v, s) =真来验证TA的签名； B随机选择一个数 e,0 ≤ e ≤ b − 1 ，并将e发送给A； y = rm e mod n 并将y发送给B； A计算 B验证 X = v e y b mod n 。
第12章 身份识别方案 章
识别（identification）和身份验证 （authentication）区别： 当说到身份验证时，通常存在一些承载信息的 消息在通信双发之间交换，其通信的一方或双 方需要被验证。 识别（有时称为实体验证）是对一个用户身份 的实时验证，它不需要交换承载信息的消息。
一个安全的识别协议至少应该满足以下两个条件： 证明者A能向验证者B证明他的确是A； 在证明者A向验证者B证明他的身份后，验证者 B没有获得任何有用的信息，B不能模仿A向第 三方证明他是A。
TA
12.4 基于身份的身份识别方案
12.4.1 Shamir的基于身份的密码方案的基本思想 安全性主要依赖于以下几个方面： 所使用的密码变换（诸如加密变换、签名变换等）的安全性； 存储在密钥产生中心的特权信息的保密性； 在密钥产生中心给用户颁布Smart卡之前所完成的识别检测的严 格性（要求用户 提供的身份确实能唯一确定用户，而且用户不能否认）； 为了阻止用户的Smart卡的丢失、复制或未授权的使用，用户所 采取的措施。
Okamoto签名方案 签名方案
当A对消息签名m时，首先随机选择两个数 r1 , r2 ,0 ≤ r1 , r2 ≤ q − 1 ，然后计算： r r e X = α 1 α 2 mod p ， = H ( X , m) ， y = (r + m e) mod q, y = (r + m e) mod q ， A对消息m的签名是三重组(e,y1,y2)。 当接收者B收到签名(e,y1,y2)时，B计算 y y 。 X ≡ α 1 α 2 v e mod p，并验证 e = H ( X , m)
要实现shamir的基于身份的密码方案的思想，我 们需要一个具有下列两个附加条件的公钥密码 体制： 当知道种子时，秘密密码能从公钥中很容易地 求出。 从一对特定的公开密钥和秘密密钥求出它们的 种子是困难的。
12.4.2 Guillou-Quisquater的基于身份的 的基于身份的 识别协议
A随机选择一个整数 r ,0 ≤ r ≤ n − 1并计算 X = r b mod n A把ID(A)和X发送给B； B计算 v = H (ID( A))； B随机选择一个数 e,0 ≤ e ≤ b − 1，并将e发送给A； y = ru e mod n A计算 并将y发送给B； B验证 X = v e y b mod n 。
安全性分析 针对一般交互式用户身份证明协议，都必须满足以下三种性质。 针对一般交互式用户身份证明协议，都必须满足以下三种性质。 完全性（ ）：若用户与验证者双方都是诚实地执 完全性（Completeness）：若用户与验证者双方都是诚实地执 ）： 行协议，则有非常大的概率（趋近于1）， ），验证者将接受用户的 行协议，则有非常大的概率（趋近于 ），验证者将接受用户的 身份。 身份。 健全性或合理性（ ）：若用户根本不知道与用户名 健全性或合理性（Soundness）：若用户根本不知道与用户名 ）： 字相关的密钥，且验证者是诚实的，则有非常大的概率， 字相关的密钥，且验证者是诚实的，则有非常大的概率，验证者 将拒绝接受用户的身份。 将拒绝接受用户的身份。 隐藏性（ ）：若用户是诚实的 隐藏性（Witness hiding）：若用户是诚实的，则不论协议进 ）：若用户是诚实的， 行了多少次以及不论任何人（包括验证者） 行了多少次以及不论任何人（包括验证者）都无法从协议中推出 用户的密钥，并且无法冒充用户的身份。 用户的密钥，并且无法冒充用户的身份。
12.5 转换身份识别为签名方案
Schnorr签名方案 签名方案 设p及q是一个大素数，且q|(p-1)，在Zp上离散对数问 题是难处理的。设α∈Zp*是一个阶为q的元素。H是 一个Hash函数。 −s K A P = Z ∗ ， = Z * × Z q ， = {( p, q,α , s, v) |≡ α mod p} 。 p p 值 p, q, α , v 是公开的，s是保密的。对 k = ( p, q, α , s, v) 和 一个（秘密的）随机数r ∈Zq*，定义对消息m的签名 y Sig k (m, r ) = ( X , y )，其中X = α r mod p ， = ( r + sH ( m, X )) mod q 。 y H ( m, X ) Ver 对m,X ∈Zp*和y ∈Zq，定义 (m, X , y) = True ⇔ X = α × v 。 mod p
无线网络中通常使用质询-响应识别（challengeresponse identification）或强识别方案： A通过密码和用户名向B登记。 B发给A一个随机号码（质询） A用一个随机号码的加密值答复，其中使用 了A的密码作为密钥完成加密（响应）。 B证明A确实拥有密钥（密码）。
12.1 Schnorr身份识别方案 身份识别方案