零知识身份认证

篡改 ， 也不可能是一条伪造消息。
息安全体系。该体系所 包含 的 内容主要 有以下几 个层 次： 基本加密算法 、 安全认证手段和 安全 应用协 议。其 中所 用 的安全技术通 常有 ： 加密 技术 算法 （ 密密 钥、 秘
公开密钥 ） 公开密 钥 系统基础 设 施 （ Ｉ、 、 Ｐ） 各种 认证 技
道客户 的身份 ， 因为有 时由于交易匿名性 的需要 ， 不能 确认客 户 的准 确 身份 ， 应能做 到保证 是在 与 一个可 但
靠的对象通信 。
（ ）不可 否认 性。一 旦交 易 结束 ， 易各 方都 不 ４ 交
能否认 自己参 与过这次 事务。 为 了保证上述 电子 商 务活 动的 安全性 ， 须 有一 必 套有效 的安全 机制作 为保证 ， 这就 要建 立 电子 商 务信
成果。其主要 满足下列四个基本要求 ： （）保 密性 。在实际 的交易环 境 中必 须保 护 用户 １
订 购信息 及支付信 息 的安全 ， 得只 有特 定 的接收 方 使 可访问这些信息。 （ ）完整 性。在 实际 交易 过 程 中， ２ 接收 到 的消 息 确实是 实际发送 的信息 ， 不可能 在传输过 程 中被 非 法
韩 建 叶 琳 洪志全 （ 成都理工大学 信 息工程学院 ６０ ５ ）１０ ９
摘要 ： 电子 商务是通过 Ｉ ｅｎ ｆ ｎ ｒｅ 网所进行的 商务 活动 ， 于电子 商务一 个非常 关键 的要 求就是 要有 一 个安 全高效 ｔ 对
的电子货 币 系统 。本 文简要 分析 了电子货 币在 网络安 全方 面的 需求。 同时， 安全 电子 交 易提 出了一 个具有 并 就
行零知识证 明身份认证 系统 以及部 分盲签 名技 术的电子 货 币安全 支付模型 。并对此 支付模 型进行 了详 细分析 和

ｌ ｉ ｐ ｔ ｉ ｃ ｃ ｕ ｒ ｖ ｅ ｃ ｒ ｙ ｐ ｔ ｏ ｇ ｒ ａ ｐ ｈ ｙ ａ ｎ ｄ ｚ ｅ ｒ ｏ ｋ ｎ ｏ ｗｌ ｅ ｄ ｇ ｅ ａ ｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ａ ｔ ｉ ｏ ｎ ，ａ ｎ ｄ ｐ ｒ ｏ ｐ ｏ ｓ ｅ ｓ ａ ｄ ｙ ｎ ａ ｍｉ ｃ ｔ ａ ｇ — Ｉ Ｄ ｔ ｅ ｃ ｈ ｎ ｏ ｌ ｏ ｇ ｙ ，ｓ ｏ ｌ ｖｉ ｎ ｇ ｔ ｈ ｅ ｓ ｎ ｉ ｉｎ ｆ ｇ，
Ｗ ＡＮＧ Ｘｉ ａ ｏ ｍｅ ｉ ， Ｚ ＨＡＮＧ Ｑｉ ｕ ｊ ｉ ａ ｎ ． Ｍｕ ｔ ｕ ａ ｌ ａ ｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ａ ｔ ｉ ｏ ｎ ｆ ｏ ｒ ＲＦ Ｉ Ｄ ｂ ａ ｓ ｅ ｄ ｏ ｎ ｅ ｌ ｌ ｉ ｐ ｔ ｉ ｃ ｃ ｕ ｒ ｖ ｅ ａ ｎ ｄ ｚ ｅ ｒ ｏ ｋ ｎ ｏ ｗｌ ｅ ｄ ｇ ｅ ． Ｃｏ ｍｐ ｕ ｔ －
ｔ ｒ ａ ｃ ｋ ｉ ｎ ｇ ａ ｔ ｔ ａ ｃ ｋ ｓ ａ ｎ ｄ ｏ ｔ ｈ ｅ ｒ ｉ ｓ ｓ ｕ ｅ ｓ ｅ ｉｃ ｆ ｉ ｅ ｎ ｔ ｌ ｙ ．
Ｋｅ ｙ ｗｏ ｒ ｄ ｓ ：ｅ ｌ ｌ ｉ ｐ ｔ ｉ ｃ ｃ ｕ ｒ ｖ ｅ ｃ ｒ ｙ ｐ ｔ ｏ ｇ ￣ ａ ｐ ｈ ｙ ； ｚ ｅ ｒ ｏ ｋ ｎ ｏ ｗｌ ｅ ｄ ｇ ｅ ａ ｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ａ ｔ ｉ ｏ ｎ ； Ｒａ ｄ ｉ ｏ Ｆ ｒ ｅ ｑ ｕ ｅ ｎ ｃ ｙ Ｉ Ｄｅ ｎ ｔ ｉ ｆ ｉ ｃ ａ ｔ ｉ ｏ ｎ（ Ｒ Ｆ Ｉ Ｄ） ； ｄ ｙ ｎ ａ ｍｉ ｃ Ｉ Ｄ；
ｔ ｈ ｕｓ ｔ ｈ ｅ ｓ ｙ ｓ ｔ ｅ ｍ ｗｉ ｌ ｌ ｃ ｒ ｅ ａ ｔ ｅ ａ ｃ ｒ ｅ ｄ ｉ ｂ ｌ ｅ ｃ ｏ ｍ ｍｕ ｎ ｉ ｃ ａ ｔ ｉ ｏ ｎ ｃ ｈ ａ ｎ ｎ ｅ １ ． Ｔ ｈｉ ｓ ｐ ａ ｐ ｅ ｒ ｐ ｒ ｏ ｐｏ ｓ ｅ ｓ ａ ｍｕ ｔ ｕ ａ ｌ ａ ｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ａ ｔ ｉ ｏ ｎ ｐ ｒ ｏ ｔ ｏ ｃ ｏ ｌ ｂ ａ ｓ ｅ ｄ ｏ ｎ ｅ ｌ —

22
第七讲 认证
不安全的口令则有如下几种情况： (1)使用用户名（帐号）作为口令。 (2)使用用户名（帐号）的变换形式作为口令。 将用户名颠倒或者加前后缀作为口令，比如说 著名的黑客软件John，如果你的用户名是fool， 那么它在尝试使用fool作为口令之后，还会试 着使用诸如fool123、loof、loof123、lofo等作为 口令，只要是你想得到的变换方法，John也会 想得到。
18
4）主体特征认证 ） 目前已有的设备包括：视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。 例如：系统中存储了他的指纹，他接入网络时， 就必须在连接到网络的电子指纹机上提供他的 指纹（这就防止他以假的指纹或其它电子信息 欺骗系统），只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别， 原理与指纹识别相同，声波纹识别也是商业系 统采用的一种识别方式。
身份认证
1
一、认证的基本原理 二、认证协议 1）基于口令的认证 2) 基于密码的身份认证 基于对称密码的认证--KDC 基于非对称密码的认证—CA
3) 零知识的身份证明
三、典型的认证应用
2
认证的基本原理
认证的方法 认证的机制
3
一、认证的基本原理
在现实生活中，我们个人的身份主要是通过各 种证件来确认的，比如：身份证、户口本等。 认证是对网络中的主体进行验证的过程，用户 必须提供他是谁的证明，他是某个雇员，某个 组织的代理、某个软件过程（如交易过程）。 认证( authentication )是证明一个对象的身份的 过程。与决定把什么特权附加给该身份的授权 ( authorization )不同。
15
时间同步身份认证 优点： 易于使用。 缺点： 1. 时间同步困难，可能造成必须重新输入新密 码。软体认证卡采用PC的时刻，很可能随时 被修改。常常需要与服务器重新对时。 2.不如Challenge/Response认证更安全

的 身 份 识 Ｊ 体 制 ， 基 于 零 知 识 证 明 的 身 份 识 别 体 制 的 构 建进 行 了探 讨 ． ｔ ｌ ｊ 对 关 键 词 ： 零 知 识 ； 份 ｉ，４ 协 议 ； 建 身 ＴＪ ； ￣ 构
中 图 分 类 号 ： Ｔ ３ 文 献 标 识 码 ： Ａ 文 章 编 号 ： １０ —９２ （０ ２ ０ Ｐ ０８ １８ ２０ ）４一Ｏ６ ＯＯ一０ ５
正 确 的 ， 又 不 向验 证 者 提 供 任 何 有 用 的信 息 ． 却
身份 ． 讯 和 数 据 系 统 的 安 全 性 也 取 决 于 能 否 通 正 确验 证 用 户 或 终 端 的个 人 身 份 ． 如 ， 行 的 例 银 自动 出纳 机 Ａ Ｍ 可 将 现 款 发 给 经 它 识 别 的 帐 Ｔ 号持 卡人 ， 而 大 大 提 高 工 作 效 率 和 服 务 质 量 ． 从
Ｑ ｉ ｕ ｔ —Ｃ ｉｏ ｕｓ ａ ｒ ｕｌ ｕ曾用 一 个 关 于洞 穴 的故 事 来 ｑ ｅ ｌ
解 释 零 知 识 ． 穴 如 图 ， 面 有 一 个 秘 密 ， 有 洞 里 只
知 道 咒 语 的 人 才 能 打 开 Ｃ和 Ｄ 之 间 的 秘 密 之
对于 计 算 机 的 访 问 和 使 用 、 全 区 域 的 出 入 都 安 是 以精 确 的 身 份 验 证 为 基 础 的 ． 统 的 身 份 证 传
秘 密之门 ．
（） ２ Ｂ将 随 机 比特 ｂ送 给 Ａ ； （ ） ｂ＝０ ３若 ，则 Ａ 将 ｒ 给 Ｂ 若 ｂ＝ｌ 送 ； ，则
Ａ 将 Ｙ ｓ送 给 Ｂ ； ＝ｒ
（） ６ Ｐ和 Ｖ 重 复 步 骤 （） （） １至 ５ ｎ次 ．
上 面 的 Ｐ向 Ｖ证 明是 通 过 交 互 作 用 协 议 来

在下面 的方 案 中 ，假 定存 在一 个可 以信 任 的机 构 ，该 机构 的作 用是 公开一 个模数 ｎ，其 中 ｎ是两 个大 素数 Ｐ和 ｑ的
库 中 ，带来 了数据 的非 法 泄 漏 ，删 除 ， 修 改等 必须 正视 的 问题 ， 同时 由于信 息
乘积 ，但这 两个 素数 是 保密 的 ，由于 数 不 能 向别人 证 明该 定理 ，除非 他 自己偶 学上的原 因假定这两个素数 同余 ３ ４ 模 。Ｐ 然 碰巧 证 明 了该 定 理 。实 际上 ，只要某 的秘密身份证ｉ ）由ｋ （ ｑ 个数Ｃ ， 一， Ｃ Ｃ 组 人相信 一 个定 理能 成立 ，则他 一 定对该 ． 成 ， 其中 １ Ｃ ＜ｎ 他 的公开 身份证 ｐ（） ≤ 。 ｉ ｐ 定 理有 了较 深 的认 识 。 例如： 考虑一个 ＮＰ 完全 问题 ， 即在一 个 图中构造一 个 Ｈａ ｌ ｎ圈。按照定义 ， ｍｉｏ ｔ 当切仅当一 个圈通过每个节点刚好一次时 ， 一 图 Ｇ中的这个 圈 （ 即起始节 点和终止 节点 由ｋ４ 数ｄ ，∥ 一， 。 成 ， ＂ ｄ ｄ组 其中 １ 。 ≤ｄ＜ｎ
是 共享 的 ，任何 人都 可 以使 用 ，那 么信 息 的丢 失就 不 易被发现 ，所 以保 护信 息
的 安全无疑 是十 分重要 的 。
而 且每 个 ｄ
满 足 同 余方 程式 ：
密码 技术 正被 有效 地 应用 于信 息 鉴 别 、数 字签 名 、身份 认证 等 ，以 防止 电 子 欺骗 ，这 对信 息的 安全 起到 非 常重要
ｙ ｕ Ｔ ｎ Ｙ
，
锁到盒子中，进一步， Ｐ准备｝ 个锁着的 ｝
盒子 Ｂ １≤ ｉ ＜ｊ 。如果在盒子 Ｂ 和 ≤ｔ Ｂ 中锁着 的节 点之 间有一条图 Ｇ的边 ，则 盒子 Ｂ．包含数 １，否 则 ，Ｂ 包 含数 １ 。

过程中，B始终不能看到钥匙的样子，从而避
免了钥匙的泄露。
精选PPT
3
❖ 零知识证明实质上是一种涉及两方或更多 方的协议，即两方或更多方完成一项任务 所需采取的一系列步骤。零知识证明必须 包括两个方面，一方为证明者P，另一方 为验证者V。证明者试图向验证者证明某 个论断是正确的，或者证明者拥有某个知 识，却不向验证者透露任何有用的消息。 零知识证明目前在密码学中得到了广泛的 应用，尤其是在认证协议、数字签名方面。
精选PPT
14
❖ Goldwasser等人提出的零知识证明是交 互式的，也就是证明者和验证者之间必 须进行双向对话，才能实现零知识性， 因而称为交互零知识证明。
精选PPT
15
❖ 在交互零知识证明的研究中，目前受到关注的
有两种基本模型。一种是GMR模型，在这种模
型中，证明者具有无限的计算能力，验证者具
中心 TA 签名的有效性；
3、 验证者 B 选择一个随机整数 e Zb ，并将其发给识别者 A；
4、 识别者 A 计算 y rme mod n ，并将其发送给验证者 B；
5、 验证者 B 通过计算 X ve yb mod n 来验证身份信息的有效性。
可以看出，Guillou-Quisquater 身份认证协议的安全性与 RSA 公钥密码体
精选PPT
10
Hamilton回路零知识协议
❖ 许多计算上困难的问题可以用来构造零知识 协议。
❖ 在图论中，图 G中的回路是指始点和终点相 重合的路径，若回路通过图的每个顶点一次 且仅一次，则称图 G为哈密尔顿回路，构造 图 G的哈密尔顿回路是 NPC 问题。
精选PPT
11
❖ 假定 P知道图 G的哈密尔顿回路，并希望向 V证明这一事实，可采用如下协议：

单向函数的零知识证明
假 定 ： P的秘密是x<q，存在一个单向函数f，满足条件
：f(x*y)=f(x)f(y),V可以知道X=f(x)
重复以下步骤m次：
1. P选取某一个k，计算commit=f(k)，发送commit给V 2. V通过抛硬币的方式选择challenge是0或1发送给P 3. 如cRheas果plleocnnhgsaeel给=le1nVg，e=0P ，计P算计R算esRpeosnpsoen=ske*=xk，； 发如 果送 4. 如c否o是m果cmocimht；amll如eitn*果gXech=a0ll，engVe验=1证， fV(R验es证pof(nRsees)p是ons否e)是是 如果m）m次检验都成功，则V接受证明（被欺骗的概率是2-
Feige-Fiat-Shamir身份鉴别方案
协议如下：
(1) P选随机数r（r < m），计算x = r2 mod n并发送 给验证方V；
(2) V选k比特随机二进制串b1, b2, …, bk传送给P；
(3) P计算y = r 并送给V；
×
(s1b1
×
s2b2
×
…
×
skbk
)
mod
n，
(4) V验证x = y2 × (v1b1 × v2b2 × … × vkbk ) mod n。
零知识证明的图论示例
设P知道咒语， 可 打开C和D之间的 秘密门，不知道者 都将走向死胡同中
零知识证明的图论示例
(1) V站在A点； (2) P进入洞中任一点C或D； (3) 当P进洞之后，V走到B点； (4) V叫P：(a)从左边出来，或(b)从右边出来； (5) P按要求实现(以咒语，即解数学难题帮助)； (6) P和V重复执行(1)～(5)共n次。

ｎｄ ａ ｉ ｎ ｃ ｒ ｅ ａ ｓ ｅ ｓ ｔ ｈ ｅ ｓ ｅ ｃ ｕ ｒ ｉ ｔ ｙ ．
Ｋｅ ｙ ｗｏ ｒ ｄ ｓ Ａｎ ｏ ｎ ｍ ｏ ｙ ｕ ｓ ， Ａｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ａ ｔ ｉ ｏ ｎ， Ｄｉ ｇ ｉ ｔ ａ ｌ ｓ ｉ ｇ ｎ ａ ｔ ｕ ｒ ｅ ， Ｚ ｅ ｒ ｏ － ｋ ｎ ｏ ｗｌ ｅ ｄ ｇ ｅ ｐ ｒ ｏ ｏ ｆ
关键词 匿名 ， 身份认证 ， 数 字签 名， 零知识证 明
中图法分 类号 ＴＰ ３ ９ ３ 文献标识码 Ａ
Ａｎ ｏ ｎｙ ｍｏ ｕ ｓ Ａｕｔ ｈｅ ｎｔ ｉ ｃ ａｔ ｉ ｏ ｎ Ｍｅ ｃ ｈａ ｎｉ ｓ ｍｓ Ｂａ ｓ ｅ ｄ Ｏ ｉ ｌ Ｚｅ ｒ ｏ－ ｋ ｎｏ ｗｌ ｅ ｄｇ ｅ Ｐｒ ｏ ｏ ｆ ＬＩ Ｌ ｉ ｎ ＹＵＥ Ｊ ｉ ａ ｎ － ｈ ｕ ａ ￣
基于零知识证明的匿名身份认证机制李琳1岳建华2中国矿业大学计算机科学与技术学院徐州2211161中国矿业大学资源与地球科学学院徐州2211162摘要近年来随着互联网的快速发展匿名身份认证对保护用户的隐私和信息安全发挥着越来越重要的作用
第 ４ ０卷 第 １ ２ 期 ２ ０ １ ３年 １ ２ 月
计 算 机 科 学
摘 要 近 年来 ， 随着互联 网的快速发展 ， 匿名身份认证对保护 用户的隐私和信息安全发挥 着越来越重要 的作 用。对
现有 身份认 证机制进行 了分析 ， 指 出其存在 的缺 点， 并在此基础上 ， 提 出了改进 方法， 给 出了基 于 Ｗａ ｎ ｇ的使用数 字签
名 的零知识证 明的 匿名 身份认证 方案。该 方案既降低 了通信流量 ， 又具有更 高级 别的安全性 。
（ Ｓ ｃ ｈ ｏ ｏｌ ｏｆ Ｒｅ ｓ ｏ ｕ ｒ ｃ ｅ ｓ ａ ｎ ｄ Ｅａ ｒ ｔ ｈ Ｓ ｃ ｉ ｅ ｎ ｃ ｅ， Ｃｈ ｉ ｎ ａ Ｕｎ ｉ ｖ ｅ ｒ ｓ ｉ ｔ ｙ ｏ ｆ Ｍｉ ｎ ｉ ｎ ｇ ａ ｎ ｄ Ｔｅ ｃ ｈ ｎ ｏ ｌ ｏ ｇ ｙ， Ｘｕ ｚ ｈ ｏｕ ２ ２１ １ １ ６， Ｃｈ ｉ ｎ ａ ） ０

外 ， 能够得 到其他 任何 知识 ， 称 Ｐ实 现 了零知 识 （ 不 则 Ｐ一１ （ ） Ｐ ， ）；３ 仅ＥＺ 阶为 ｑ；４ 安 全参数 ｔ２ ＜ （） ，‘
证 明 Ｊ 。身份认证 是 目前零 知识 证 明的最 基本 的应 ｑ； ５ １ 安 全 的签 名 方 案 ， 密 签 名 算 法 为 Ｓｇ ， （） 个 秘 ｉ ｒ 用 ， 型 的是 Ｆｉ —Ｆａ Ｓａ ｒ 份 认 证 方 案 典 ｅ ｅ ｉ— ｈｍｉ身 ｇ ｔ 公 开验证 算 法 为 Ｖ ｒ ；６ １ 安全 散 列 函数 。其 ｅＴ （ ） 个 和 Ｓｈｏｒ ｃｎｒ身份 认 证 方 案 Ｊ前 者 同 Ｒ Ａ 有 一 些类 中 ， 数 Ｐ ｑ ，ｅ， 散列 函数 都是 公 开 的。．执 ， Ｓ 参 ， ， Ｖｒ 和 ｓ
Ｊ １２ １ ｕ． ０ ０
具 有 零 知 识 特 性 的 身 份 认 证 方 案 的 设 计 及 分 析
杨建平
（ 内蒙古机 电职业技术学院招生就业处 ， 呼和浩特 ００７ ） １０ ０
摘 要 ： 提 出了 １种基 于 Ｒ Ａ算法的新的具有零知识特性 的身份认 证方案。分析 表明 ， 方案原理 简单、 Ｓ 该 交互次数 少、 欺骗 的可能性小， 只需要 １次交互就 可以满足别的零知识证 明需要 多次交互才能保 证的安全 性要求。 关键 词： 零知识证明； Ｒ Ａ算法 ； 身份认证 Ｓ 中图分类号 ： Ｔ３３０ Ｐ９ ．８ 文献标 识码 ： Ａ 文章编号 ：０ ９— ５ ５ ２ １ ） ３— ２ ９— ３ １０ ３ ７ （００ ０ ０ ８ ０
ｍｏ ｄＰ
查 看 收到 的 Ｃ是 否 为 初始 阶段 自己随 机 生成 的代
Ａ ＤＥＮＴＩ ＡＵＴＨＥＮＪ ＣＡＴｌ ｌ ＴＹ Ｉ ＯＮ ＳＣＨＥＭＥ Ｗ 几。 Ｈ ｌ ＥＲＯ —ＫＮＯＷ Ｌ ＥＯＧＥ ＣＨＡＲＡＣＴＥＲＩ Ｃ ＳＴＩ

证中 ￣Ｆ ａ — ｈ ｍ ｒ ｉ ｔ ｓ ａ ｉ身份认 证协议的过程 进行分析 ，并 对此 协议的完备性 、合理性和零知 识性进行证 明。最 后 ，介绍零 知识证 明在其他 方面的应用 。
关键词 ： 零知识 ：零 知识证明 ；零 知识身份认证 ；Ｆ ａ — ｈ ｍ ｒ ｉ ｔＳ ａ ｉ
中图分类 号：Ｔ ３ 文献标 识码：Ａ 文 章编号 ：１ ７ —７ ９ （０ ０ ８ ０ ３ －０ Ｐ ６ １ ５ ７ ２ １ ）０ ２ ０ ６ ２
３ 安全 性 依 赖 于 未 解 决 的 数 学 难 题 ， 如 离 散 对 数 ， 大 整数 因子 分 ）
解 ，平方 根等 。
Ｖ ｃ ｏ重 复 上述 过程 很 多 次 ，直 到 他相 信Ｐ ｇ ｙ 实 知道 打 开密 门的 ｉｔｒ ｅ ｇ确
咒语 为止 。
４ ）许 多零 知 识 证 明相 关 的技 术避 免 了直 接 使用 有 政府 限制 的加 密算 法 ，这就 给相 关产 品的 出 口带来 了优 势。
图１ 洞 穴例 子 Ｅ］ ２
零 知识证 明及 其有 关 的协议 主要 有 以下优 点 ［ ］ ３：
Ｒ Ｓ 间存 在 一道 密 门 ，并 且只 有 知 道咒 语 的人 才 能打 开 。Ｐ ｇｙ ｌ 和 之 ｅ ｇ￣ ｌ 道咒语 并想 对Ｖ ｃｏ 证 明，但 证 明过 程 中不想 泄 露咒语 。他 该怎 么办 呢 ？ ｉｔｒ １ ）首先 Ｖｃｏ 走 到Ｐ ｅ ｇ走 到Ｒ ｉｔｒ ，Ｐ ｇｙ 或者 Ｓ 。 ２ ｉｔｒ 到Ｑ ）Ｖ ｃ ｏ走 ，然 后让 Ｐｇ ｙ 洞 穴的一 边或 者另 一边 出来 。 ｅｇ从
Ｖ Ａ
鼹 【新术业展 魏 高技产发 】 磬
浅 析 零知 识 证 明
赵 晓 柯

①
基础上 ， 用生物特征作为用户的私钥进行认证 ， 实 现用 户和服 务 器之 间的 双 向认 证 。整 个认 证 系统
收稿 日期 ： ２ ０ １ ６— ０ ９—１ ５ 基金项 目： 福建省教育厅科技项 目（ Ｊ Ｂ １ ４ １ ３ ２ ） ； 福建师范大学福清分校科研创新基金项 目（ Ｋ Ｙ ２ ０ １ ４ ０ ２ ２ ） 。 作者简介 ： 陈泗盛（ １ ９ ８ １ 一） ， 男， 福建泉州人 ， 讲师 ， 硕士， 主要从事 网络与信息安全方 向研究。
识 别技术暴露 出 的生物 特征 模板 的安 全性 问题 ， 使 人们 需往更深层 次方 面考虑 。国内外 的一些研 究 为 了解决生物特 征模 板 的安全 问题 ， 提 出 了基 于生 物
将０ 与ｋ ｅ ｙ的哈希函数值 Ｈ （ ｋ ｅ ｙ ） 一起存储智能 卡中， 并 丢弃 ｋ ｅ ｙ 。 用户 用重新 采 集 的生 物数 据 ０ …
且用 户也 无需记 任 何 秘钥 的情 况下 实 现 双 方之 间 的双 向身 份认证 。方案 将应 用 Ｈ ａ ｏ等 人 提 出 的 基 于生物 特征 的秘 钥 保护 机 制 将 生物 特 征 和基 于 零 知识证 明 的 Ｇ Ｐ Ｓ协 议 ’ 进 行 融合 设 计 用 户 和
服 务器之 间 的双 向认 证协议 。
否 则拒 绝 。
根据系统安全需求 ， 服务器 ． ｓ 要求用户 重复 ｚ 次上述认证过程。 一般在选取合适的参数 情况 下， 可 以认证 过程 只需 要一 次 的认证 确认 。
９ ２ ２
佳 木 斯 大 学 学 报 （自然 科 学 版 ）
２ ０ １ ６年
３ 协议 分 析
然后进行如下操作 ： 从［ ０ ， Ａ ） 中随机选一个数 ｒ ， 并

维普资讯
２０ ０ ７年第 ９期 文章编号 ：０６２７ （ ０Байду номын сангаас ０ －０４０ １０ ．４ ５ ２ ０ ）９０ ２ －３
计 算 机 与 现 代 化 Ｊ Ｕ Ｎ ＩＹ Ｉ Ｎ Ａ Ｈ Ａ Ｉ Ａ Ｊ Ｕ ＸＡ Ｄ ＩＵ Ｓ
总第 １５期 ４
一
０ 引 言
自 １８ ９６年 Ｆａ 等人提 出零知 识身份 识别 方案 以 ｉ ｔ
来， 零知 识身份 认证 成 为当代密码研 究 的一个 引人 入
胜 的 问题 ， 究 人员 提 出 了基 于不 同数 学难 题 的 研
１ 基础 知识
Ｉ Ｉ零 知识证 明 ．
所谓 零知 识证 明 ， 简要 地说 就是 ， 有 秘 密 ， Ａ拥 在
不泄露 该秘 密 的前 提 下让 Ｂ知 道 他 已拥 有 该 秘 密 。
零 知识 身份认 证方 案 。相 比较 于其它难 题 ， 圆 曲线 椭
其 中 ，秘密 ” 以是解 决某 项难题 的解 法或 者证 明 。 “ 可
１２ 零 知识身 份认证 ．
密码体制 具 有 更 高 的 安 全 性 ， 用 前 景 可 观 。但 应
ａ ｔ ｅ ｔ ａｉｎ ｓ ｅ ｄ ｏ ｅ ｙ ｔ ｍ ｃ ｍｐｉ ａｉｎ ａ ｄ ｐ ｗｅ ｏ ｕ ｔ ｎ，ｍｏ ｅ ｖ ｒ ｆ ｒ ｇ ｅ ｅ ｕ ｔ ． ｕ ｈ ｎ ｉ ｔ ｐ ｅ ，ｌ ｗ ｒｓ ｓｅ ｏ ｌ ｔ ｏ ｒｃ ｎ ｍｐ ｉ ｃ ｏ ｃ ｏ ｎ ｓ ｏ ｒ ｏ ｅ ，ｏ ｅ ｓ ｈ ｈ ｒｓ ｃ ｒ ｙ ｉ ｉ Ｋｅ ｒ ｓ ｅ ｉｔ ｕ ｖ ；ｚ ｒ — ｎ ｗ ｅ ｇ ｔｔ ｓａ ｔ ｅ ｔ ａ ｏ ｙ ｗｏ ｄ ： ｌ ｐ ｉ ｃ ｒ ｅ ｅ ｏ ｋ ｏ ｌｄ ｅ ｓ ｕ ｕ ｈ ｎ ｉ ｔ ｎ ｌ ｃ ａ ｃｉ

关键 词 ： 身份认 证 ； 知 识证 明； Ｓ Ｋ ｙＷｅＯ 零 Ｕ Ｂ ｅ； ｂ Ａ
Ｋｅ ｗｏ ｄ ：ｓａｕ ｕｔｅ ｔｃ ｔｏ ； ｅ ｏ ｋ ｗｌｄｇ ｒｏ ； ＢＫｅ Ｗ ｅ ｙ ｒ ｓ ｔｔ ｓａ ｈ ｎ ｉａｉｎ ｚ ｒ — ｎｏ ｅ ｅ ｐ ｏ ｆ ＵＳ ｙ； ｂＯＡ
中 图分 类 号 ： Ｐ ０ Ｔ ３
Ｖａｕｅ Ｅｎ ｉ ｅ ｒｎ ｌ ｇｎ ｅｉｇ
・１７ ・ ６
基 于零 知 识 证 明 的身 份 认 证 系统 的研 究
Ｒ ｅ ｅ ｒ ｈ ｆＡｕｔ ｎｔｃ ｔｏ ｙ ｔ ｍ ｓ ｄ ｏ Ｚｅ ｏ ｓａ ｃ ｏ ｈｅ ｉ ａ ｉ ｎ Ｓ ｓ ｅ Ｂａ ｅ ｎ ｒ －ｋｎｏ ｌｄｇ ｏ ｗ ｅ ｅ Ｐｒ ｏｆ
文 献 标 识 码 ： Ａ
文 章 编 号 — １７ ０
２ Ｗ ｅ ＯＡ 的 认 证 系统 的设 计 ｂ 办 公 自动 化 系统 （ 称 Ｏ 系统 ）是将 现 代 化 办 公 和 计 算 机 网 简 Ａ ， ２１体 系结 构 认 证 系 统 体 系结 构 的 核 心 在 于 Ｕ Ｂ ｅ ． Ｓ Ｋ ｙ体 系 结 以交 互 式 零 知 识证 明 为 基 础 ， 用 公钥 加 密体 制 ， 采 以增 加 络 技 术 结 合 起 来 的 一种 新 型 的办 公 方式 。 Ｏ Ａ于 ２ ０世 纪 ５ ０年 代 提 构 的 设 计 ， 出， ２ 从 ０世 纪 ８ 代 开 始 ， 到 飞 速 的 发 展 。 在 这 三 十 年 里 ， 内 安 全 性 。 Ｏ年 得 国 办 公 自动 化 共 经 历 了三 个 发展 阶段 ： ２２关 键 模 块 设 计 整 个 体 系结 构 分 为 ３个 大 的模 块 ： 答 器 、 ＿ 应 第一阶段 ， 以数 据 为 其 处 理 中心 的 ＭＩ 统 ； 二 阶段 ， Ｓ系 第 以工 作 时 钟 和 存 储 器 。 流 为 中 心 的 办 公 自动 化 系 统 ； 三 阶 段 ， 第 以知 识 为 为 核 心 的办 公 自 ｎ ， 模 块 采 用 心 跳 机 制 ，以 使 服 务 器 实 时 感 受 到 用 户 是 否 在 －￣ ， ｊ － 线 ， 旦 失 去 心跳 连 接 ， 即 中断 服 务 。 为 了保 证 检 测 结 果 的可 靠 一 立 动 化， 强调 如 何 获 得 分布 于 各 地 的信 息 。 然 而 ， 享 受着 Ｗｅ 术 带 给 我们 的 巨 大 实 惠 的 同时 ， ｂ Ａ 性 ， 在 ｂ技 Ｗｅ Ｏ 实现 上 采 用 多 心 跳 检 测 机 制 。 所 面 临 的 安 全 方 面 的挑 战 也 是 不 容 忽 视 的 ，尤 其 是 在 访 问控 制 方 存 储 器 模块 是 一 个 可 擦 写 的 Ｒ Ｍ 存储 芯 片 ，用 于 存 储 用 户 的 Ｏ 面 ： 布式 的应 用 ， 我们 所 面 临 的 潜在 的 非 法 用 户 更 多 ， 于 用 户 个 人 信 息 ： 户 唯 一 标 识 、 户 身份 信 息 和 相 关 的 个 人 信 息 。 信 息 分 使 对 用 用 该 在分 发 Ｕ Ｂ ｅ Ｓ Ｋ ｙ时 固 化 在 芯 片 里 ， 用 加 密 的 方 式 存 储 ， 能 由服 采 只 的 身份 控 制 和 权 限 控 制 更 是 不容 易 。 １ 身 份 认证 技术 务器端读取。 １１ 口令 认 证 密码 是最 简 单 也 是 最 直 观 的认 证 方 式 ，一 般 选 ． 应 答 器 模 块 是 Ｕ Ｂ ｅ 的 认 证 核 心 ， 若 干 轮 数 的交 互 式 零 Ｓ Ｋ ｙ中 以 取 易记 、 猜 、 分 析 能 力 强 的 字 符 串做 口令 。口令 机 制 存在 对 外 泄 知 识 问答 为基 础 ， 用 公 钥 密 码 体 制 。应 答 器 中保 存 了 分 配 给该 用 难 抗 采 露、 口令 猜 测 、 理 线 路窃 听 、 放 攻 击 及 可 能 危 及 验 证 着 等 诸 多 弱 户 的私 钥 Ｋ（ 于 验 证 用 户 身 份 的 合 法 性 ） Ｋ ’用 户 验 证 用 户 的 物 重 。用 和 。（ 点。 角 色 ）应 答 器 所 执 行 的 轮 数 由 服 务 器 所 发 出的 提 问次 数 决 定 ， ， 而服 认 １ 基 于 地 址 的 认 证 基 于 地 址 的认 证 一 般 将 声 称 者 的 Ｉ 务 器 的提 问次 数 取 决 于 从 存 储 器 中读 取 的 用 户身 份 的角 色 信 息 。 ． ２ Ｐ地 址 或者 ＭＡ Ｃ地 址 作 为 可 信 任 的 地 址 源 ，一 般 作 为 其 他 认 证 方式 的 证过 程如 下（ Ｒ Ａ算法 为例 ）①服务器 首 先读 取用户 的唯一标 以 Ｓ ： 补 充 。 认 证 方式 的最 大缺 陷 在 于 Ｉ 址 和 ＭＡ 该 Ｐ地 Ｃ地址 很容 易被 假 识 ， 以判断该 Ｕ Ｂ ｅ Ｓ Ｋ ｙ是否停用 ； ②读取 用户身份信息 ， 取得 用户的 冒。 角 色 ， 决 定 提 问次 数 ｎ ，２和 获 取 用 户 对 应 的 公 钥 ； 服 务 器 选 以 １ｎ ③ １３基 于 个 人 特 征 的认 证 又 称 为 生物 特 征 认 证 方 式 ，是 指 通 择两 个 大质 数 Ｐ ｑ ． ， ，使用 公钥 Ｋ加 密 ，将 密 文传 给 Ｕ Ｂ ｅ ； Ｓ Ｋ ｙ ④ 过计算机利用人体 固有的物理特征或行为特征鉴别个人身份 。 现在 Ｕ Ｂ ｅ 得 到 的 密 文 用 Ｋ 解 密 传 给 服 务 器 ； ３和 ４循 环 ， 到 Ｓ Ｋ ｙ将 ⑤ 直 很 多 企 业 都 采 用 了 该 种 认 证 方式 （ 集 指 纹 、 音 、 膜 等 信 息 ） 采 声 虹 应 出错或者达 到 ｎ ， １ 以决定 是否通过 身份认证 ； ⑥若 通过身 份认证 ， ’ｑ ， 用 于 门 禁 系统 。 虽然 该 种 方式 没 有 明显 的缺 陷 ， 应 用 于 基 于 Ｗｅ 服 务 器 再 选 择 两 个 大 质 数 Ｐ ， ’ 使 用 Ｋ’加 密 ， 将 密 文 传 给 若 ｂ 的 分 布 式 系统 中却 不 是 一 个 优 良 的解 决 方案 。 Ｕ Ｂ ｅ ； Ｓ Ｋ ｙ 得到 的密 文用 Ｋ ’ Ｓ Ｋ ｙ ⑦Ｕ Ｂ ｅ 将 。解密传给 服务器 ； ⑧５和 ６ １４基 于 智 能 卡 的认 证 智 能 卡又 称 为 Ｉ ． Ｃ卡 ， 由一 个 或 多 个 循环 ， 到 出错 或 者 达 到 ｎ ， 是 直 ２ 以决 定 是 否通 过 角 色 认 证 。 集 成 电 路 芯 片 组 成 的设 备 ， 以 安 全 地 存 储 密钥 、 书和 用 户 数 据 可 证 ３ 结 束 语 等敏感信息 ， 防止 硬 件 级 别 的 篡 改 。 该 方 式 一 般 作 为辅 助认 证 结 合 基 于 Ｗｅ ｂ的 Ｏ 系 统 实 现 了 随 时 随地 办 公 ，共 享 信 息 的 目的 。 Ａ Ａ 时 其他认证 方式 ， 供 以中被称为 “ 认证 ” 提 双 的认 证 机 制 ， 早 就 被 应 身 份 认 证 是 Ｏ 系统 能 否 很 好 的 应 用 于 网 络 的 一 个 关 键 。 然 而 ， 很 用 于 银 行 卡 存 储 业 务 以及 伴 随 电子 商 务 的 飞 速 发 展 所 兴 起 的 网 上 下 普 遍 的 实 现 方 式 在 认 证 的 同 时 也 将 属 于 个 人 的 机 密 性 的 信 息 发 布 到 了网 络 中 ， 无 疑 带 来 了安 全 的 隐患 。 本 文 在 对 该 问题 分析 的 这 银行业务。 提 并 １５零 知 识 证 明认 证 零 知 识 证 明 （ｅｏ ｋ ｏ ｌ ｇ ｒｏ ） 指 同时 ， 出 了基 于 零 知 识 证 明 的解 决 方 案 ， 对 其 实现 做 了 较 详 细 ． ｚｒ— ｎｗｅ ｅｐｏｆ是 ｄ 证 明者 能 够 在 不 向验 证者 提供 任 何 有 用 信 息 的情 况 下 ， 验 证 者 相 的阐 述 。 使 ��

3 零知识证明的种类
零知识证明是由Ca】 dw翅e: 5 珑ca s， ， l i Rack。 c 于198 年提出.它是指一种 任 5 协 这种协议的一方称为证明者， 议， 他总是 试图使称为 验证者的另 一方相信某个论 断是正 确的， 却不向验证者提供任何有用的 信息。 所谓零知识证明也是密 码学中的 一个基本方法是指证明者使验证者确信证明者 拥有某一个秘密 值而证明者没有 向 验证者泄礴关于该秘密值的 任何有用信息。其具体思想是 证明者为一种定理找 到一 种方法， 并且希望在不泄尽证法的 情况下， 让验证者知 道此证 验证者可提 法。 出一个要求回答“ 或“ 的问题， 是” 否” 如果证明者不知道此证法， 那么他每次只有
的 过程。 两个图灵 机有一些用于 进行操作运算和用于进行相互通信的 纸带。 是正 L
则 言， 于 的 人，欲 确信 明 掌 断 语 对 相同 翰 p 使v 其 确 握的 言。 了 让v 确 这 为 能 信 一 言 p和v 进 一 列 通 证 过 。 断 ， 行 系 的 信 明 程 p和v 在 成 互 用 程 如 完 交 作 过 后，果
科学研究
【 要 身 认 是 息 全 重 容，文 先 绍 零 识 明 基 思 及 实 接 探 基 零 识 明 身 认 机制 摘 』 份 证 信 安 的 要内 本 首 介 了 知 证 的 本 想 其 现， 着 讨了 于 知 证 的 份 证 。 【挂翻 零知 证明 身 认 ; 协 关 」 识 ; 份 证 议
， 那么v 在高 概率条件下相信这是事实， 这一条称为完备 但如果 ， 性。 那么在高概
断 正 是 确的， 不 验 者 供 何 用 息。 却又 向 证 提 任 有 信 J二一 q阴 和L 曲G曰o 用 c a o u 一 于 个关 洞穴的 事来 释 故 解 零知识， 见零知识 洞穴图。 里面有一 秘密 洞穴 个 .知道