信息安全-知識(shí)的零知識(shí)證明.doc

我們表示知識(shí)的零知識(shí)證明是一個(gè)證明者通過(guò)使一個(gè)論述的P 滿足于 PoK(a1,a2.an)|P(a1,.an)使得一個(gè)核實(shí)者信服。這個(gè)概念是從Camenish和Stadler上汲取過(guò)來(lái)的（修改他們的理論使得PoK代替PK）。B、主要的架構(gòu)我們把知識(shí)的零知識(shí)證明當(dāng)做是在構(gòu)造塊以及以單獨(dú)的模塊來(lái)描述它們。知識(shí)的零知識(shí)證明顯示這里的非交互式證明在隨機(jī)預(yù)言模塊是安全的。在這個(gè)安全的證明里，我們表示這些協(xié)議的交互式模式的使用是不需要依靠隨機(jī)預(yù)言模塊并且能夠使零知識(shí)使用協(xié)議的正常執(zhí)行，這也就意味著零知識(shí)證明的順序執(zhí)行。當(dāng)交互式的知識(shí)的零知識(shí)證明用Fiat-Shamir 啟發(fā)式理論在隨機(jī)預(yù)言模式下實(shí)例化和協(xié)議在同時(shí)執(zhí)行時(shí)，我們的證明就因?yàn)榧夹g(shù)的原因被瓦解了，但是我們?nèi)稳粚⑽覀兊淖C明當(dāng)做是為了執(zhí)行的安全兒做的啟發(fā)式的證明。構(gòu)建（spk,ssk,）服務(wù)器在Zq集合中選擇x,y,z以及使得X=gx,Y=gy,Z=gz.這個(gè)服務(wù)公共秘鑰是spk=(q，G，GT，g, X，Y，Z)，服務(wù)的私有秘鑰是ssk=(x,y,z).服務(wù)器的狀態(tài)是由一對(duì)集合組成。它們初始化狀態(tài)下是為NULL。就像這樣=（，）。我們把第一個(gè)組件成為.cur以及第二個(gè)組件稱為.next.在所有的組件中，cur=|.cur|,next=|.next|。注冊(cè)：（，sk）1、 客戶端選擇從Zq處選擇d,r.用它們來(lái)構(gòu)建M=(gd)*(Zr)并且將他們送到服務(wù)器端。2、 這個(gè)客戶端以證明著的角色以及服務(wù)器端以核實(shí)者的角色存在與知識(shí)的零知識(shí)證明。 PoK（d,r）|M=(gd)*(Zr). 如果上述證明失敗，則注冊(cè)失敗。3、服務(wù)器端從Zq*產(chǎn)生一個(gè)a值，并且使得A=ga.然后它形成了這個(gè)注冊(cè)號(hào)s=(A,B=Ay,Zb=Zay(=Bz),C=(Ax)*(Maxy)并且將產(chǎn)生的注冊(cè)號(hào)返回給客戶端。4、客戶端通過(guò)以下公式驗(yàn)證收到的是否是為合法的注冊(cè)號(hào)： A！=1，e(g,B)=e(Y,A),e(g,ZB)=e(Z,B),e(g,C)=e(X,A)*e(X,B)d*e(X,ZB)r.否則，RegC輸出。5. 客戶端設(shè)置sk=(s,d,r).登陸（，cur）,）1、客戶端利用它的私有秘鑰（s=(A,B,ZB,C),d,r）來(lái)創(chuàng)建一個(gè)不知情的注冊(cè)號(hào)。這個(gè)客戶端選擇從Zq*中選擇r1,r2,并且創(chuàng)建盲注冊(cè)名s=(A,B,ZB,C),使得A=Ar1,B=Br1,ZB=ZBr1,C=Cr1r2.2、客戶端利用Yd(t)=gT(1/(d+t)創(chuàng)建登錄號(hào)。3、客戶端提交s,Yd(t)到服務(wù)器端。4、如果Yd(t).cur，則登錄失敗。5.否則，服務(wù)器通過(guò)如下方程進(jìn)行驗(yàn)證： e(g,B)=e(Y,A),e(g,ZB)=e(Z,B)如果不符合上述等式，則登錄失敗。6. 服務(wù)器端和客戶端分別進(jìn)行如下計(jì)算： v=e(g,C) vx=e(X,A) vxy=e(X,B) vxy=e(X,ZB)7、客戶端以證明者的身份并且服務(wù)器端以核實(shí)者的身份存在于知識(shí)的零知識(shí)證明當(dāng)中。PoK=（d,r,r）|vr=(vx)(vxy)d(vxy)rYd(t)=gT(1/(d+t).(這個(gè)客戶端利用的r=1/r2)如果證明失敗，則登錄失敗。8、 服務(wù)器端設(shè)置=（.curYd(t),.next）. 連接：（,next）,） (Re-UpS(ssk,next,t),Re-UpC(sk,spk,t) 1、客戶端利用sk=(s,d,r)提交Yd(t)=gT(1/(d+t),Yd(t+1)=gT(1/(d+t+1)到服務(wù)器端。 2、服務(wù)器端驗(yàn)證收到的Yd(t).cur并且Yd(t+1).next.如果不是，則連接失敗。 3、客戶端以證明者的身份并且服務(wù)器端以核實(shí)者的身份存在于知識(shí)的零知識(shí)證明當(dāng)中。PoKd|Yd(t)=gT(1/(d+t)Yd(t+1)=gT(1/(d+t+1).如果證明失敗，則連接失敗 4、這個(gè)服務(wù)器端增加Yd(t+1)到.next.。下一個(gè)響應(yīng)時(shí)間：（，cur,next）EndEpoch(,cur,next)=(.next,). 接下來(lái)的證明能夠在這個(gè)論文的全部的版本下找到。 理論（健全性）：如果LRSW的假設(shè)支持G,那么上面的構(gòu)建方法是健全的。 理論（匿名性）：如果DDHI的假設(shè)支持G，那么上面的構(gòu)建方法是匿名的。 C、有效的改進(jìn)我們的協(xié)議包含了幾個(gè)已經(jīng)進(jìn)行了有效改進(jìn)的基礎(chǔ)原始協(xié)議，它用到的方法是：改進(jìn)了的CL注冊(cè)：這個(gè)基礎(chǔ)的CL注冊(cè)包含了第五個(gè)元素：Az=ZA在我們的概念中，這個(gè)A是客戶端sk的一部分和zssk.ZA,一個(gè)盲版本的ZA是客戶把它發(fā)送到注冊(cè)的知識(shí)的證明當(dāng)中，能夠減少注冊(cè)有效性的再次構(gòu)建的檢查。所以不再需要下面的等式進(jìn)行驗(yàn)證：e(A,Z)=e(g,ZA),e(ZA,Y)=e(g,ZB)上述等式用來(lái)證明ZA和ZB是正確的形成的，我們排除了ZA和前者的檢查，對(duì)于后者我們檢查 e（B，Z）=e(g,ZB)上式用來(lái)證明ZB的正確形成，去除這些元素減少了兩對(duì)的操作,這兩對(duì)操作分別是服務(wù)器驗(yàn)證對(duì)這個(gè)元素正確形成的的檢查。這兩對(duì)操作占登陸的主要計(jì)算代價(jià)，所以這些刪除時(shí)非常重要的。一個(gè)服務(wù)器的登陸操作包括八對(duì)以及GT的六個(gè)指數(shù)。經(jīng)過(guò)測(cè)量我們知道了一對(duì)操作平均需要1950s,一個(gè)GT指數(shù)操作平均需要232s（從第五章中可以看到完整的關(guān)于對(duì)數(shù)以及指數(shù)的計(jì)算所需要的時(shí)間的介紹），這樣，我們理想狀態(tài)下在服務(wù)器中登陸可以通過(guò)減少1.2s的時(shí)間以提高效率。同步登陸和連接：一些我們的應(yīng)用程序涉及到在當(dāng)前時(shí)間點(diǎn)進(jìn)行連接的時(shí)候能夠迅速的連接到下一個(gè)時(shí)間點(diǎn)。在這種情況下我們改變了這個(gè)協(xié)議以提高效率。我們能夠減少在不同的連接中出現(xiàn)的重復(fù)的指數(shù)計(jì)算所造成的代價(jià)：一個(gè)登陸使用的Y(t)以及在不同的登陸下連接序列Y(t)To Y(t+1),Y(t+1) to Y(t+2),Y(t+n-1) to Y(t+n )以及連接操作重復(fù)Y（t+1）.Y(t+n-1)的指數(shù)操作，這兩個(gè)操作的時(shí)間在客戶端從2566s減少到1393s 而在服務(wù)器端從1412s減少到921s。這是分別是1.8和1.5的改進(jìn)。但是這個(gè)全部時(shí)間仍然是以登陸的書(shū)劍占主要。 D、知識(shí)的零知識(shí)證明 我們展示的知識(shí)的零知識(shí)證明是在隨機(jī)預(yù)言模式下是安全的，這個(gè)協(xié)議在匿名協(xié)議下被執(zhí)行： 注冊(cè)PoK：PoK（d,r）|M=(gd)*Zr 證明者：1、 在Zq中選擇rd,rr,計(jì)算R=Grd*Zrr.2、 使得c=H(g,Z,M,R)3、 發(fā)送（R，ad=cd+rd,ar=cr+rr）至核實(shí)者核實(shí)者：1、 計(jì)算c=H(g,Z,M,R)2、 檢查McR=gad*Zar登陸PoK：PoK（d,r,r）|vr=(vx)(vxy)d(vxy)rY(t)=gT(1/(d+t)我們重寫(xiě)PoK（d,r,r）|vr=(vx)(vxy)d(vxy)rY(t)=gT*Y(t)(-t) 證明者：1、 在Zq中選擇rd,rr,rr,然后計(jì)算R1=vrr*(vxy)rd*(vxy)rr以及R2=Y（t）rd2、 設(shè)置c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)3、 發(fā)送（R1，ar=c*r+rr,ad=-cd+rd,ar=-cr+rr,R2）給驗(yàn)證者驗(yàn)證者：1、 計(jì)算c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)2、 檢查vxcR1=var*vxyad*vxyar和(gT*Y(t)(-t)(-c)*R2=Y(t)ad 連接PoK：PoKd|Y(t)=gT(1/d+t) Y(t+1)= gT(1/d+t+1) 我們重寫(xiě)上式得到： PoKd|Y(t)d=gT*Y(t)(-t) Y(t+1)d= gT*Y(t+1)(-t-1)證明者：1、 在Zq中選擇r,設(shè)置Rt=Y(t)r以及R(t+1)=Y(t+1)r2、 設(shè)置c=H(gT,Y(t),Y(t+1),Rt,R(t+1)3、 發(fā)送（a=cd+r）給核實(shí)者核實(shí)者:1、 計(jì)算c=H(gT,Y(t),Y(t+1),Rt,R(t+1)2、 檢測(cè)（gT*Y(t)(-t)）c*Rt=Y(t)a以及（gT*Y(t+1)(-t-1)）c*R（t+1）=Y(t+1)a 四、設(shè)計(jì) 這個(gè)模塊描述了匿名協(xié)議系統(tǒng)的設(shè)計(jì)。這個(gè)系統(tǒng)是用來(lái)在我們?cè)诓渴鸬膶?shí)踐中使我們的協(xié)議實(shí)例化。我們?cè)谶@個(gè)系統(tǒng)的各個(gè)功能室分隔開(kāi)的系統(tǒng)里呈現(xiàn)我們的概念上的框架。在匿名協(xié)議系統(tǒng)里有三個(gè)主要的塊：客戶認(rèn)證管理，服務(wù)器認(rèn)證管理以及服務(wù)提供者傳輸控制。在我們的這個(gè)設(shè)計(jì)里，我們把這些模塊分別叫做客戶使用者代理，認(rèn)證服務(wù)器以及資源通道。這個(gè)客戶使用者代理和認(rèn)證服務(wù)器在密碼學(xué)協(xié)議里相當(dāng)于客戶端以及服務(wù)器。這是資源通道使得潛在的服務(wù)用了通道，潛在的服務(wù)指的是那些給那些身份沒(méi)有被認(rèn)證的用戶而被拒絕的服務(wù)。在匿名協(xié)議系統(tǒng)中的會(huì)話是時(shí)間點(diǎn)的序列，它開(kāi)始于登陸，結(jié)束于用戶停止在此進(jìn)入。數(shù)字1顯示了匿名協(xié)議系統(tǒng)的主要組件。我們從存在的服務(wù)里面描述分布式設(shè)置，在這個(gè)設(shè)置里面三個(gè)功能是分別實(shí)現(xiàn)的，即使是一個(gè)配置能夠合并這些功能。舉個(gè)例子，資源通道可能會(huì)被卷人早已存在的會(huì)話管理的組件當(dāng)中。我們的系統(tǒng)支持內(nèi)部和外部的認(rèn)證服務(wù)器。一個(gè)內(nèi)部的認(rèn)證服務(wù)器和一個(gè)給自己提供匿名的通道的服務(wù)提供者一致。比如說(shuō)，這個(gè)美國(guó)時(shí)間網(wǎng)站可能以額外的費(fèi)用提供匿名的通道。一個(gè)外部的認(rèn)證服務(wù)器和數(shù)字1一致。這個(gè)在認(rèn)證服務(wù)器，資源通道，以及在用戶代理之間的交流是關(guān)于客戶和服務(wù)的。這個(gè)交流被用戶代理發(fā)動(dòng)，而由認(rèn)證服務(wù)器正是這個(gè)身份。這個(gè)認(rèn)證服務(wù)器證實(shí)成功了這個(gè)身份之后又返回一個(gè)簽名記號(hào)給用戶代理。這個(gè)用戶代理傳送這個(gè)簽名記號(hào)到通道上并傳送這個(gè)信息給客戶應(yīng)用軟件得以應(yīng)用。這個(gè)應(yīng)用軟件把這個(gè)記號(hào)作為一個(gè)包含它正常請(qǐng)求的cookie。這個(gè)通道檢查目前的這個(gè)簽名記號(hào)在當(dāng)前的時(shí)間點(diǎn)上是不是沒(méi)有被使用，接下來(lái)代理人將這個(gè)鏈接到應(yīng)用服務(wù)器上。這個(gè)應(yīng)用服務(wù)器返回請(qǐng)求內(nèi)容以及通過(guò)證實(shí)這個(gè)連接在返回給客戶端之前是否有效。對(duì)于一個(gè)實(shí)體提供匿名訪問(wèn)的通道到早已經(jīng)存在的網(wǎng)絡(luò)服務(wù)。舉個(gè)例子來(lái)說(shuō)，一個(gè)商業(yè)的匿名網(wǎng)絡(luò)代理(像 or )可能提供匿名的服務(wù)。我們的系統(tǒng)盡管不是以數(shù)字的形式描述，但是系統(tǒng)也完成了注冊(cè)。我們不討論注冊(cè)支付部分的協(xié)議。匿名的支付是獨(dú)立的和正交的問(wèn)題?？赡艿慕鉀Q辦法是以電子現(xiàn)金和少量的硬幣的時(shí)候支付。 一個(gè)可能會(huì)允許在很短的時(shí)間內(nèi)多次進(jìn)入。如果一個(gè)用戶應(yīng)用指導(dǎo)它不需要在短時(shí)間的從原來(lái)的動(dòng)作中分割開(kāi)它的目前的動(dòng)作，它將會(huì)分批次處理這些有價(jià)值的能夠再次進(jìn)入的操作