面向群體的實用匿名協(xié)議研究.pdf

1、當(dāng)前，互聯(lián)網(wǎng)上的各類應(yīng)用已經(jīng)成為現(xiàn)實生活中無所不在的事物，致使如何實現(xiàn)以匿名方式代表所屬群體進(jìn)行簽名或者對群成員身份進(jìn)行匿名認(rèn)證成為一項具有挑戰(zhàn)性的任務(wù)。在許多基于網(wǎng)絡(luò)的應(yīng)用中，經(jīng)常需要為合法用戶（即注冊的群成員）授予某種特權(quán)。當(dāng)行使權(quán)力時，用戶需要通過展示簽名或者與群權(quán)威執(zhí)行認(rèn)證協(xié)議來證明自己的合法身份。另一方面，用戶開始對敏感的個人信息予以關(guān)注，并且逐漸地意識到隱私保護(hù)的重要性。因此，用戶需要能用于將其真實身份隱匿在群體之中的有效機(jī)

2、制。
　　 在現(xiàn)代密碼學(xué)的研究中，為了解決上述問題，要求以知識證明協(xié)議、分布式密碼協(xié)議等為核心技術(shù)手段，同時以數(shù)字簽名、公鑰加密、群簽名、匿名認(rèn)證等本原為基本模塊，從而構(gòu)造各類面向群體的安全協(xié)議。本論文圍繞面向群體的匿名協(xié)議的設(shè)計以及所得協(xié)議安全性的形式化分析展開了研究，并且在特殊群簽名、k次匿名認(rèn)證以及多重息票系統(tǒng)的研究領(lǐng)域取得了多項成果。
　　 在面向群體的密碼學(xué)中，群簽名方案是一類有用的秘密認(rèn)證工具。在此類本原的定

3、義中，群成員能以匿名方式代表群體產(chǎn)生對任意消息的簽名。任何人都能驗證給定簽名的有效性，但無法獲得有關(guān)原始簽名者的任何信息。此外，在計算上難以斷定兩個或多個群簽名是否源自同一個群成員。負(fù)責(zé)為新成員頒發(fā)證書的群權(quán)威(GA)享有對群體的管理權(quán)。在特殊情況下（如捕獲了非法行為），指定的追蹤權(quán)威(TA)通過打開可疑簽名實現(xiàn)對惡意簽名者的身份追蹤。當(dāng)前，傳統(tǒng)群簽名的定義已經(jīng)得到深入地研究并加以推廣，提出了許多更為實用的變體，諸如層次群簽名，自組群簽

4、名，隱匿的基于身份的簽名，數(shù)據(jù)挖掘群簽名，表達(dá)性子群簽名，匿名代理簽名，等等。
　　 標(biāo)準(zhǔn)群簽名方案通常采用以下兩種方式打開簽名:即(i)TA能獨(dú)立地打開簽名，但要求GA公開用戶列表，即成員身份目錄。(ii)GA負(fù)責(zé)維護(hù)用戶列表，TA必須在GA的協(xié)助下打開簽名。最近，Kiayias等人指出群簽名方案無法直接應(yīng)用于匿名證書系統(tǒng)。原因在于，在情況(i)下，打開操作要求GA公開用戶列表，而這顯然將嚴(yán)重地?fù)p害用戶的隱私。在情況(ii)下

5、，TA無法向服務(wù)供應(yīng)商提供自己能打開爭議簽名的保證，從而導(dǎo)致后者對匿名系統(tǒng)的限制性使用。為此，Kiayias等人引入了稱為隱匿的基于身份的簽名（簡稱HIDS）的新穎概念。在此類方案中，TA能以獨(dú)立于身份管理員IM（對應(yīng)于GA）的方式打開簽名，且IM無需公開匿名系統(tǒng)的用戶列表。Kiayias等人設(shè)計了第一個利用雙線性對構(gòu)造的HIDS方案，但是容易遭受陷害攻擊和選擇密文攻擊。同時，原始方案并未解決聯(lián)合共享追蹤私鑰的問題。利用基于判定線性假設(shè)

6、的Shacham加密方案，聯(lián)合的隨機(jī)可驗證的秘密分享協(xié)議，聯(lián)合的零知識的知識證明等技術(shù)，構(gòu)造了兩個改進(jìn)方案。除了滿足不可陷害性和選擇密文攻擊下的匿名性，第二個方案還支持對分布式追蹤服務(wù)器的部署，并且能有效地抵抗具有較強(qiáng)攻擊能力的動態(tài)攻擊者。為此，首先利用Canetti-Goldwasser范例和Jarecki等人的無擦除門限技術(shù)設(shè)計了底層Shacham加密方案的門限版本。功能及效率分析可知，新方案滿足更好的實用性和安全性。
　　

7、 典型的匿名認(rèn)證方案允許用戶在不泄露真實身份的情況下認(rèn)證自己的身份。為此，匿名用戶需要證明自己擁有成員證書。此外，在許多基于互聯(lián)網(wǎng)的應(yīng)用（如試用瀏覽，云存儲服務(wù)等）中，應(yīng)用提供者需要限制用戶的訪問次數(shù)。在ASIACRYPT2004會議上，Teranishi等人首次提出k次匿名認(rèn)證(簡稱k-TAA)的概念。k-TAA方案中的實體包括群管理員，多個用戶以及多個服務(wù)供應(yīng)商(SP)。最初，用戶應(yīng)當(dāng)與群管理員執(zhí)行注冊協(xié)議。然后，每個AP宣布用戶能

8、訪問其應(yīng)用或資源的最大次數(shù)。在執(zhí)行匿名的訪問過程之前，注冊用戶應(yīng)當(dāng)向AP認(rèn)證自己的身份。需要強(qiáng)調(diào)的是，與群簽名方案相比，k-TAA方案實現(xiàn)了更強(qiáng)的匿名性等級。換句話說，在k-TAA方案中，即使擁有很大權(quán)力的群管理員也無法撤銷誠實用戶的匿名性，條件是用戶認(rèn)證并訪問服務(wù)的次數(shù)不超過預(yù)先設(shè)定的次數(shù)k。在AP看來，k-TAA方案實現(xiàn)了更強(qiáng)的可追蹤性，因為任何實體都能根據(jù)公開的認(rèn)證日志實現(xiàn)對不誠實用戶（企圖超過所允許的次數(shù)進(jìn)行訪問）的追蹤，而在群

9、簽名方案下，只有群管理員擁有這種追蹤能力。在ACNS2005會議上，Nguyen等人指出AP實際上希望能自行建立用戶群體并對群體進(jìn)行管理，即自己有能力授予或撤銷用戶的訪問權(quán)利。為此，Nguyen等人引入了一個新的概念，即動態(tài)k-TAA方案。然而，Teranishi等人以及Nguyen等人方案的主要缺點是認(rèn)證階段的運(yùn)算耗費(fèi)為O(k)。此后，Nguyen與Teranishi等人又分別提出了認(rèn)證協(xié)議的復(fù)雜度獨(dú)立于k的改進(jìn)方案。盡管實現(xiàn)了更為高

10、效的認(rèn)證過程，但為此付出的代價是使得AP公鑰的存儲耗費(fèi)為O(k)，而且要求AP必須保持誠實。在SCN2006會議上，Au等人提出了認(rèn)證耗費(fèi)為O(log(k))的動態(tài)k-TAA方案。最近，Emura等人強(qiáng)調(diào)，在已有的k-TAA方案中，k為固定的參數(shù)，這表明AP為所有用戶設(shè)置了相同的最大訪問次數(shù)。在某些應(yīng)用中，若能根據(jù)用戶支付的費(fèi)用為其設(shè)置不同的訪問次數(shù)上界則更為可取。為此，Emura等人提出了所謂的k-TRAA方案，即k次放寬的匿名認(rèn)證。

11、然而，該方案并不滿足典型k-TAA方案要求的匿名性，因為與相同的AP產(chǎn)生的兩個認(rèn)證協(xié)議副本是可以相互關(guān)聯(lián)的。
　　 在已有的k次匿名方案中，尚存在以下兩個未決問題:1）如何實現(xiàn)允許服務(wù)供應(yīng)商為每個用戶設(shè)置不同的訪問次數(shù)上界，同時不能以損失用戶的匿名性作為代價。2）如何防止惡意用戶發(fā)動大規(guī)模的克隆攻擊。為此，提出一個實用的改進(jìn)方案。新方案使用了多個關(guān)鍵技術(shù)，包括關(guān)于“一個被承諾元素小于另一個被承諾元素”的知識證明，雙線性群上的動態(tài)

12、累加器和基于n次可展示令牌的克隆攻擊檢測技術(shù)等。改進(jìn)方案在擴(kuò)展的Teranishi-Furukawa-Sako模型下滿足此類方案要求的全部性質(zhì)，即正確性、可檢測性、匿名性、用戶的可開脫性、GM的可開脫性以及AP的可開脫性。此外，新方案的成員注冊協(xié)議是并發(fā)安全的，因而適合于實際的異步網(wǎng)絡(luò)環(huán)境（如互聯(lián)網(wǎng)）。
　　 息票通常是由制造商或銷售商發(fā)布的，它們經(jīng)常出現(xiàn)在報紙、雜志或傳單中。息票是一種有效的廣告和促銷手段，方法是通過提供折扣或

13、禮品以促使顧客購買某種商品。最近，互聯(lián)網(wǎng)成為傳統(tǒng)息票的發(fā)布媒介，即顧客可以自由下載并打印位于商家網(wǎng)站上的息票，并且采用與其他紙質(zhì)息票類似的方式兌現(xiàn)商品。多重息票（簡稱MC）是新興的電子息票的特殊形式，它是由多張普通電子息票構(gòu)成的。在實際應(yīng)用中，發(fā)布一張價值為m的MC遠(yuǎn)比獨(dú)立地發(fā)布m張普通電子息票高效得多。實用的多重息票系統(tǒng)(MCS)必須滿足兩個重要性質(zhì)，即不可分割性和無關(guān)聯(lián)性。前者旨在保護(hù)商家的利益，即不允許兩個顧客將一張MC分成多份，

14、從而能以獨(dú)立方式使用這些份額。后者的含義是，無論足在發(fā)布階段，還是在兌現(xiàn)階段，顧客都能保持匿名。需要強(qiáng)調(diào)的是，MCS并不等同于電子現(xiàn)金方案，因為前者無需提供銀行參與以及追蹤惡意用戶的機(jī)制。
　　 當(dāng)前，MCS設(shè)計中的主要困難是如何設(shè)計能自由設(shè)置息票價值的發(fā)布協(xié)議且所得協(xié)議的復(fù)雜性并不依賴于該價值，以及如何為兌現(xiàn)協(xié)議提供高效、多樣的兌現(xiàn)機(jī)制。為此，提出兩個具備改進(jìn)的效率與功能的系統(tǒng)。新系統(tǒng)分別利用Chaabouni等人的離散對數(shù)區(qū)

15、間證明技術(shù)和Canard等人的關(guān)于被承諾元素的知識證明技術(shù)實現(xiàn)了對息票價值的靈活設(shè)置，并且利用Peng等人的批量零知識證明與驗證技術(shù)對兌現(xiàn)協(xié)議的運(yùn)算復(fù)雜度進(jìn)行了優(yōu)化。新系統(tǒng)在Nguyen的形式化模型下滿足可證安全，而且首次滿足了實際應(yīng)用中的所有理想特性，即并發(fā)發(fā)布、緊湊性、成批兌現(xiàn)以及支持設(shè)置息票對象和過期日期。性能分析表明，新系統(tǒng)的通信與運(yùn)算耗費(fèi)顯著低于已有的同類系統(tǒng)。
　　 已有的MCS并未明確地考慮并發(fā)執(zhí)行的情況，而且它們

16、都是在隨機(jī)預(yù)言模型下設(shè)計的。此外，已有系統(tǒng)的底層簽名方案都是基于q-SDH(theq-StrongDiffie-Hellman)假設(shè)或SRSA(theStrongRSA)假設(shè)。然而，q-SDH假設(shè)存在安全隱患，且基于SRSA假設(shè)的系統(tǒng)通信效率不高。為此，提出兩個并發(fā)安全的改進(jìn)系統(tǒng)。第一個系統(tǒng)是利用關(guān)于兩個被承諾值的準(zhǔn)確區(qū)間證明和2輪并發(fā)零知識論證的Sigma協(xié)議編譯器對底層的Blanton方案進(jìn)行擴(kuò)展得到的。第二個系統(tǒng)（即前一個系統(tǒng)的增