發(fā)布時(shí)間：2019-09-10 21:51

【摘要】：當(dāng)前,互聯(lián)網(wǎng)上的各類應(yīng)用已經(jīng)成為現(xiàn)實(shí)生活中無所不在的事物,致使如何實(shí)現(xiàn)以匿名方式代表所屬群體進(jìn)行簽名或者對群成員身份進(jìn)行匿名認(rèn)證成為一項(xiàng)具有挑戰(zhàn)性的任務(wù)。在許多基于網(wǎng)絡(luò)的應(yīng)用中,經(jīng)常需要為合法用戶(即注冊的群成員)授予某種特權(quán)。當(dāng)行使權(quán)力時(shí),用戶需要通過展示簽名或者與群權(quán)威執(zhí)行認(rèn)證協(xié)議來證明自己的合法身份。另一方面,用戶開始對敏感的個(gè)人信息予以關(guān)注,并且逐漸地意識到隱私保護(hù)的重要性。因此,用戶需要能用于將其真實(shí)身份隱匿在群體之中的有效機(jī)制。 在現(xiàn)代密碼學(xué)的研究中,為了解決上述問題,要求以知識證明協(xié)議、分布式密碼協(xié)議等為核心技術(shù)手段,同時(shí)以數(shù)字簽名、公鑰加密、群簽名、匿名認(rèn)證等本原為基本模塊,從而構(gòu)造各類面向群體的安全協(xié)議。本論文圍繞面向群體的匿名協(xié)議的設(shè)計(jì)以及所得協(xié)議安全性的形式化分析展開了研究,并且在特殊群簽名、k次匿名認(rèn)證以及多重息票系統(tǒng)的研究領(lǐng)域取得了多項(xiàng)成果。 在面向群體的密碼學(xué)中,群簽名方案是一類有用的秘密認(rèn)證工具。在此類本原的定義中,群成員能以匿名方式代表群體產(chǎn)生對任意消息的簽名。任何人都能驗(yàn)證給定簽名的有效性,但無法獲得有關(guān)原始簽名者的任何信息。此外,在計(jì)算上難以斷定兩個(gè)或多個(gè)群簽名是否源自同一個(gè)群成員。負(fù)責(zé)為新成員頒發(fā)證書的群權(quán)威(GA)享有對群體的管理權(quán)。在特殊情況下(如捕獲了非法行為),指定的追蹤權(quán)威(TA)通過打開可疑簽名實(shí)現(xiàn)對惡意簽名者的身份追蹤。當(dāng)前,傳統(tǒng)群簽名的定義已經(jīng)得到深入地研究并加以推廣,提出了許多更為實(shí)用的變體,諸如層次群簽名,自組群簽名,隱匿的基于身份的簽名,數(shù)據(jù)挖掘群簽名,表達(dá)性子群簽名,匿名代理簽名,等等。 標(biāo)準(zhǔn)群簽名方案通常采用以下兩種方式打開簽名：即(ⅰ)TA能獨(dú)立地打開簽名,但要求GA公開用戶列表,即成員身份目錄。(ⅱ)GA負(fù)責(zé)維護(hù)用戶列表,TA必須在GA的協(xié)助下打開簽名。最近,Kiayias等人指出群簽名方案無法直接應(yīng)用于匿名證書系統(tǒng)。原因在于,在情況(ⅰ)下,打開操作要求GA公開用戶列表,而這顯然將嚴(yán)重地?fù)p害用戶的隱私。在情況(ⅱ)下,TA無法向服務(wù)供應(yīng)商提供自己能打開爭議簽名的保證,從而導(dǎo)致后者對匿名系統(tǒng)的限制性使用。為此,Kiayias等人引入了稱為隱匿的基于身份的簽名(簡稱HIDS)的新穎概念。在此類方案中,TA能以獨(dú)立于身份管理員IM(對應(yīng)于GA)的方式打開簽名,且IM無需公開匿名系統(tǒng)的用戶列表。Kiayias等人設(shè)計(jì)了第一個(gè)利用雙線性對構(gòu)造的HIDS方案,但是容易遭受陷害攻擊和選擇密文攻擊。同時(shí),原始方案并未解決聯(lián)合共享追蹤私鑰的問題。利用基于判定線性假設(shè)的Shacham加密方案,聯(lián)合的隨機(jī)可驗(yàn)證的秘密分享協(xié)議,聯(lián)合的零知識的知識證明等技術(shù),構(gòu)造了兩個(gè)改進(jìn)方案。除了滿足不可陷害性和選擇密文攻擊下的匿名性,第二個(gè)方案還支持對分布式追蹤服務(wù)器的部署,并且能有效地抵抗具有較強(qiáng)攻擊能力的動(dòng)態(tài)攻擊者。為此,首先利用Canetti-Goldwasser范例和Jarecki等人的無擦除門限技術(shù)設(shè)計(jì)了底層Shacham加密方案的門限版本。功能及效率分析可知,新方案滿足更好的實(shí)用性和安全性。 典型的匿名認(rèn)證方案允許用戶在不泄露真實(shí)身份的情況下認(rèn)證自己的身份。為此,匿名用戶需要證明自己擁有成員證書。此外,在許多基于互聯(lián)網(wǎng)的應(yīng)用(如試用瀏覽,云存儲(chǔ)服務(wù)等)中,應(yīng)用提供者需要限制用戶的訪問次數(shù)。在ASIACRYPT2004會(huì)議上,Teranishi等人首次提出k次匿名認(rèn)證(簡稱k-TAA)的概念。k-TAA方案中的實(shí)體包括群管理員,多個(gè)用戶以及多個(gè)服務(wù)供應(yīng)商(SP)。最初,用戶應(yīng)當(dāng)與群管理員執(zhí)行注冊協(xié)議。然后,每個(gè)AP宣布用戶能訪問其應(yīng)用或資源的最大次數(shù)。在執(zhí)行匿名的訪問過程之前,注冊用戶應(yīng)當(dāng)向AP認(rèn)證自己的身份。需要強(qiáng)調(diào)的是,與群簽名方案相比,k-TAA方案實(shí)現(xiàn)了更強(qiáng)的匿名性等級。換句話說,在k-TAA方案中,即使擁有很大權(quán)力的群管理員也無法撤銷誠實(shí)用戶的匿名性,條件是用戶認(rèn)證并訪問服務(wù)的次數(shù)不超過預(yù)先設(shè)定的次數(shù)k。在AP看來,k-TAA方案實(shí)現(xiàn)了更強(qiáng)的可追蹤性,因?yàn)槿魏螌?shí)體都能根據(jù)公開的認(rèn)證日志實(shí)現(xiàn)對不誠實(shí)用戶(企圖超過所允許的次數(shù)進(jìn)行訪問)的追蹤,而在群簽名方案下,只有群管理員擁有這種追蹤能力。在ACNS2005會(huì)議上,Nguyen等人指出AP實(shí)際上希望能自行建立用戶群體并對群體進(jìn)行管理,即自己有能力授予或撤銷用戶的訪問權(quán)利。為此,Nguyen等人引入了一個(gè)新的概念,即動(dòng)態(tài)k-TAA方案。然而,Teranishi等人以及Nguyen等人方案的主要缺點(diǎn)是認(rèn)證階段的運(yùn)算耗費(fèi)為O(k)。此后,Nguyen與Teranishi等人又分別提出了認(rèn)證協(xié)議的復(fù)雜度獨(dú)立于k的改進(jìn)方案。盡管實(shí)現(xiàn)了更為高效的認(rèn)證過程,但為此付出的代價(jià)是使得AP公鑰的存儲(chǔ)耗費(fèi)為O(k),而且要求AP必須保持誠實(shí)。在SCN2006會(huì)議上,Au等人提出了認(rèn)證耗費(fèi)為O(log(k))的動(dòng)態(tài)k-TAA方案。最近,Emura等人強(qiáng)調(diào),在已有的k-TAA方案中,k為固定的參數(shù),這表明AP為所有用戶設(shè)置了相同的最大訪問次數(shù)。在某些應(yīng)用中,若能根據(jù)用戶支付的費(fèi)用為其設(shè)置不同的訪問次數(shù)上界則更為可取。為此,Emura等人提出了所謂的k-TRAA方案,即k次放寬的匿名認(rèn)證。然而,該方案并不滿足典型k-TAA方案要求的匿名性,因?yàn)榕c相同的AP產(chǎn)生的兩個(gè)認(rèn)證協(xié)議副本是可以相互關(guān)聯(lián)的。 在已有的k次匿名方案中,尚存在以下兩個(gè)未決問題：1)如何實(shí)現(xiàn)允許服務(wù)供應(yīng)商為每個(gè)用戶設(shè)置不同的訪問次數(shù)上界,同時(shí)不能以損失用戶的匿名性作為代價(jià)。2)如何防止惡意用戶發(fā)動(dòng)大規(guī)模的克隆攻擊。為此,提出一個(gè)實(shí)用的改進(jìn)方案。新方案使用了多個(gè)關(guān)鍵技術(shù),包括關(guān)于“一個(gè)被承諾元素小于另一個(gè)被承諾元素”的知識證明,雙線性群上的動(dòng)態(tài)累加器和基于n次可展示令牌的克隆攻擊檢測技術(shù)等。改進(jìn)方案在擴(kuò)展的Teranishi-Furukawa-Sako模型下滿足此類方案要求的全部性質(zhì),即正確性、可檢測性、匿名性、用戶的可開脫性、GM的可開脫性以及AP的可開脫性。此外,新方案的成員注冊協(xié)議是并發(fā)安全的,因而適合于實(shí)際的異步網(wǎng)絡(luò)環(huán)境(如互聯(lián)網(wǎng))。 息票通常是由制造商或銷售商發(fā)布的,它們經(jīng)常出現(xiàn)在報(bào)紙、雜志或傳單中。息票是一種有效的廣告和促銷手段,方法是通過提供折扣或禮品以促使顧客購買某種商品。最近,互聯(lián)網(wǎng)成為傳統(tǒng)息票的發(fā)布媒介,即顧客可以自由下載并打印位于商家網(wǎng)站上的息票,并且采用與其他紙質(zhì)息票類似的方式兌現(xiàn)商品。多重息票(簡稱MC)是新興的電子息票的特殊形式,它是由多張普通電子息票構(gòu)成的。在實(shí)際應(yīng)用中,發(fā)布一張價(jià)值為m的MC遠(yuǎn)比獨(dú)立地發(fā)布m張普通電子息票高效得多。實(shí)用的多重息票系統(tǒng)(MCS)必須滿足兩個(gè)重要性質(zhì),即不可分割性和無關(guān)聯(lián)性。前者旨在保護(hù)商家的利益,即不允許兩個(gè)顧客將一張MC分成多份,從而能以獨(dú)立方式使用這些份額。后者的含義是,無論是在發(fā)布階段,還是在兌現(xiàn)階段,顧客都能保持匿名。需要強(qiáng)調(diào)的是,MCS并不等同于電子現(xiàn)金方案,因?yàn)榍罢邿o需提供銀行參與以及追蹤惡意用戶的機(jī)制。 當(dāng)前,MCS設(shè)計(jì)中的主要困難是如何設(shè)計(jì)能自由設(shè)置息票價(jià)值的發(fā)布協(xié)議且所得協(xié)議的復(fù)雜性并不依賴于該價(jià)值,以及如何為兌現(xiàn)協(xié)議提供高效、多樣的兌現(xiàn)機(jī)制。為此,提出兩個(gè)具備改進(jìn)的效率與功能的系統(tǒng)。新系統(tǒng)分別利用Chaabouni等人的離散對數(shù)區(qū)間證明技術(shù)和Canard等人的關(guān)于被承諾元素的知識證明技術(shù)實(shí)現(xiàn)了對息票價(jià)值的靈活設(shè)置,并且利用Peng等人的批量零知識證明與驗(yàn)證技術(shù)對兌現(xiàn)協(xié)議的運(yùn)算復(fù)雜度進(jìn)行了優(yōu)化。新系統(tǒng)在Nguyen的形式化模型下滿足可證安全,而且首次滿足了實(shí)際應(yīng)用中的所有理想特性,即并發(fā)發(fā)布、緊湊性、成批兌現(xiàn)以及支持設(shè)置息票對象和過期日期。性能分析表明,新系統(tǒng)的通信與運(yùn)算耗費(fèi)顯著低于已有的同類系統(tǒng)。 已有的MCS并未明確地考慮并發(fā)執(zhí)行的情況,而且它們都是在隨機(jī)預(yù)言模型下設(shè)計(jì)的。此外,已有系統(tǒng)的底層簽名方案都是基于q-SDH (the q-Strong Diffie-Hellman)假設(shè)或SRSA (the Strong RSA)假設(shè)。然而,q-SDH假設(shè)存在安全隱患,且基于SRSA假設(shè)的系統(tǒng)通信效率不高。為此,提出兩個(gè)并發(fā)安全的改進(jìn)系統(tǒng)。第一個(gè)系統(tǒng)是利用關(guān)于兩個(gè)被承諾值的準(zhǔn)確區(qū)間證明和2輪并發(fā)零知識論證的Sigma協(xié)議編譯器對底層的Blanton方案進(jìn)行擴(kuò)展得到的。第二個(gè)系統(tǒng)(即前一個(gè)系統(tǒng)的增強(qiáng)版本)利用直線提取技術(shù)實(shí)現(xiàn)了更為高效的安全性歸約過程,并借助基于同態(tài)加密的非交互零知識論證避免了對隨機(jī)預(yù)言機(jī)的使用。與其他的同類系統(tǒng)相比,第一個(gè)系統(tǒng)具有更高的通信效率,且第二個(gè)系統(tǒng)的安全性并不依賴于隨機(jī)預(yù)言機(jī)。
【學(xué)位授予單位】：山東大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2012
【分類號】：TN918.1

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 劉文遠(yuǎn);張江霄;胡慶華;谷秀芝;;可直接計(jì)算的高效的可分電子現(xiàn)金系統(tǒng)[J];電子學(xué)報(bào);2009年02期

2 陳愷,張玉清,肖國鎮(zhèn);基于概率驗(yàn)證的可分電子現(xiàn)金系統(tǒng)[J];計(jì)算機(jī)研究與發(fā)展;2000年06期

3 柳欣;徐秋亮;;實(shí)用的匿名訂購協(xié)議[J];計(jì)算機(jī)工程與應(yīng)用;2009年04期

4 徐秋亮;改進(jìn)門限RSA數(shù)字簽名體制[J];計(jì)算機(jī)學(xué)報(bào);2000年05期

5 魯榮波;宣恒農(nóng);何大可;;對一種高效群簽名方案的安全性分析[J];通信學(xué)報(bào);2007年04期

6 徐國勝;谷利澤;楊義先;李忠獻(xiàn);;新的可轉(zhuǎn)移電子現(xiàn)金方案[J];通信學(xué)報(bào);2008年05期

，

本文編號：2534251