認證和訪問控制-認證第三講身份認證-PPT課件

1、1第3講 身份認證協(xié)議與機制華中科技大學計算機學院信息安全研究室21密碼協(xié)議2身份認證協(xié)議3 基于非密碼的認證4 基于密碼算法的認證5 零知識證明協(xié)議第3講 身份認證協(xié)議與機制31密碼協(xié)議2身份認證協(xié)議3 基于非密碼的認證4 基于密碼算法的認證5 零知識證明協(xié)議第3講 身份認證協(xié)議與機制41密碼協(xié)議2身份認證協(xié)議3 基于非密碼的認證4 基于密碼算法的認證5 零知識證明協(xié)議第3講 身份認證協(xié)議與機制52.1 身份認證概念2.2 身份認證的目標2.3 身份認證的分類2.4 身份認證的途徑2 身份認證協(xié)議62.1安全的信息交換應滿足的性質* 保密性（ Confidentiality）* 完整性（In

2、tegrity）數(shù)據(jù)完整性，未被未授權篡改或者損壞 系統(tǒng)完整性，系統(tǒng)未被非授權操縱，按既定的功能運行*可用性（Availability）*鑒別性 （Authenticity） 實體身份的鑒別，適用于用戶、進程、系統(tǒng)、信息等* 不可否認性（Non-repudiation） 防止源點或終點的抵賴72.1 身份認證概述 為了保護網(wǎng)絡資源及落實安全政策。需要提供可追究責任的機制，這里涉及到三個概念：認證、授權及審計。用戶對資源的訪問過程 訪問控制用戶身份認證資源授權數(shù)據(jù)庫審計數(shù)據(jù)庫82.1身份認證概述（續(xù)）認證與以下環(huán)境有關：某一成員（聲稱者）提交一個主體的身份并聲稱他是那個主體，認證能使別的成員（驗

3、證者）獲得對聲稱者所聲稱的事實的信任。身份認證的作用對抗假冒攻擊確保身份，明確責任 鑒別是最重要的安全服務之一。鑒別服務提供了關于某個實體身份的保證。（所有其它的安全服務都依賴于該服務）92.1 實體鑒別的例子* 263的郵件登錄* sina的郵件登錄* Client與Proxy-Server之間的鑒別* Telnet遠程登錄* POP3郵件登錄* Ftp服務102.1 身份認證概述 對身份認證過程中攻擊：數(shù)據(jù)流竊聽(Sniffer)：由于認證信息要通過網(wǎng)絡傳遞，并且很多認證系統(tǒng)的口令是未經(jīng)加密的明文，攻擊者通過竊聽網(wǎng)絡數(shù)據(jù)，就很容易分辨出某種特定系統(tǒng)的認證數(shù)據(jù)，并提取出用戶名和口令?？截?重

4、傳：非法用戶截獲信息，然后再傳送給接收者。修改或偽造：非法用戶截獲信息，替換或修改信息后再傳送給接收者，或者非法用戶冒充合法用戶發(fā)送信息。 112.1 身份認證概念2.2 身份認證的目標2.3 身份認證的分類2.4 身份認證的途徑2 身份認證協(xié)議122.2 實體鑒別的需求和目的某一成員（聲稱者）提交一個主體的身份并聲稱它是那個主體。* 實體鑒別目的：使別的成員（驗證者）獲得對聲稱者所聲稱的事實的信任。132.2實體鑒別的目的和過程* 實體鑒別（身份鑒別）：某一實體確信與之打交道的實體正是所需要的實體。只是簡單地鑒別實體本身的身份，不會和實體想要進行何種活動相聯(lián)系。* 在實體鑒別中，身份由參與某

5、次通信連接或會話的遠程參與者提交。這種服務在連接建立或在數(shù)據(jù)傳送階段的某些時刻提供，使用這種服務可以確信(僅僅在使用時間內(nèi)): 一個實體此時沒有試圖冒充別的實體，或沒有試圖將先前的連接作非授權地重放。142.2實體鑒別與消息鑒別的差別* 實體鑒別一般都是實時的，消息鑒別一般不提供時間性。* 實體鑒別只證實實體的身份，消息鑒別除了消息的合法和完整外，還需要知道消息的含義。* 數(shù)字簽名主要用于證實消息的真實來源。但在身份鑒別中消息的語義是基本固定的，一般不是“終生”的，簽名是長期有效的。152.2實體鑒別實現(xiàn)安全目標的方式 作為訪問控制服務的一種必要支持，訪問控制服務的執(zhí)行依賴于確知的身份（訪問控

6、制服務直接對達到機密性、完整性、可用性及合法使用目標提供支持）； 作為提供數(shù)據(jù)起源認證的一種可能方法（當它與數(shù)據(jù)完整性機制結合起來使用時）； 作為對責任原則的一種直接支持，例如，在審計追蹤過程中做記錄時，提供與某一活動相聯(lián)系的確知身份。162.1 身份認證概念2.2 身份認證的目標2.3 身份認證的分類2.4 身份認證的途徑2 身份認證協(xié)議172.3實體鑒別分類-i* 實體鑒別可以分為本地和遠程兩類。* 本地多用戶鑒別：實體在本地環(huán)境的初始化鑒別（就是說，作為實體個人，和設備物理接觸，不和網(wǎng)絡中的其他設備通信）。 需要用戶進行明確的操作* 遠程用戶鑒別：連接遠程設備、實體和環(huán)境的實體鑒別。 通

7、常將本地鑒別結果傳送到遠程。（1）安全（2）易用182.3實體鑒別分類-i i實體鑒別分類-ii 實體鑒別可以是單向的也可以是雙向的。 單向鑒別是指通信雙方中只有一方向另一方進行鑒別。雙向鑒別是指通信雙方相互進行鑒別。192.1 身份認證概念2.2 身份認證的目標2.3 身份認證的分類2.4 身份認證的途徑2 身份認證協(xié)議202.4實體鑒別系統(tǒng)的組成* 一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。* 另一方為驗證者V（Verifier),檢驗聲稱者提出的證件的正確性和合法性，決定是否滿足要求。* 第三方是可信賴者TP （Trusted third part

8、y) ，參與調(diào)解糾紛。* 第四方是攻擊者，可以竊聽或偽裝聲稱者騙取驗證者的信任。212.4實體鑒別系統(tǒng)的鑒別模型222.4對身份鑒別系統(tǒng)的要求（1）驗證者正確識別合法申請者的概率極大化。（2）不具有可傳遞性（Transferability)（3）攻擊者偽裝成申請者欺騙驗證者成功的概率要小到可以忽略的程度（4）計算有效性（5）通信有效性（6）秘密參數(shù)能安全存儲（7）交互識別（8）第三方的實時參與（9）第三方的可信賴性（10）可證明的安全性232.4實現(xiàn)身份鑒別的途徑* 三種途徑之一或他們的組合（1）所知（Knowledge）:密碼、口令（2）所有（Possesses):身份證、護照、信用卡、鑰匙

9、（3）個人特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個人動作方面的一些特征設計依據(jù)：安全水平、系統(tǒng)通過率、用戶可接受性、成本等241 密碼協(xié)議2 身份認證協(xié)議3 基于非密碼的認證4 基于密鑰的認證5 零知識證明協(xié)議第3講 身份認證協(xié)議與機制253.1 基于口令的機制3.2 一次性口令3.3 詢問-應答機制3.4 基于地址的認證3.5 基于個人特征的認證機制3.6 個人鑒別令牌3 非密碼的身份認證機制263.1.1 常見口令機制3.1.2 基于口令機制的攻擊3.1.3 口令機制的改進方案3.1 基于口令的認證機制273.1.1 常見口令機制口令或通行字機制是最廣泛研究和使用的身

10、份鑒別法。通常為長度為58的字符串。選擇原則：易記、難猜、抗分析能力強?？诹钕到y(tǒng)有許多脆弱點： 外部泄露 口令猜測 線路竊聽 危及驗證者 重放283.1.1對付外部泄露的措施教育、培訓；嚴格組織管理辦法和執(zhí)行手續(xù)；口令定期改變；每個口令只與一個人有關；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫在紙上。293.1.1對付口令猜測的措施教育、培訓；嚴格限制非法登錄的次數(shù)；口令驗證中插入實時延遲；限制最小長度，至少68字節(jié)以上防止用戶特征相關口令，口令定期改變；及時更改預設口令；使用機器產(chǎn)生的口令。303.1.1對付線路竊聽的措施使用保護口令機制：如單向函數(shù)。 q fididq比較是或不是p

11、id聲稱者驗證者消息31服務端的口令安全問題固定口令1）存儲的口令文件以明文形式將用戶口令存儲在系統(tǒng)口令文件中口令文件需讀保護和寫保護2）“加密的”口令文件存儲口令的單向函數(shù)值口令文件需寫保護IDA,PWAB檢查口令和身份竊聽？存儲安全？323.1.2 主要缺陷及對策攻擊者很容易構造一張q與p對應的表，表中的p盡最大可能包含所期望的值。隨機串（Salt）是使這種攻擊變得困難的一種辦法。在口令后使用隨機數(shù)。只能保護在多臺計算機上使用相同口令或在同一計算機上使用同一口令的不同用戶。 防止口令文件中出現(xiàn)相同口令 無須用戶額外記住兩個字符，就能增加口令長度 阻止了用硬件實現(xiàn)DES33服務端的口令安全問

12、題服務器端的字典攻擊：在這種攻擊中，Eve只對找到口令有興趣，并不關心用戶的ID。例如，如果口令是六位數(shù)， Eve可以創(chuàng)建一個六位數(shù)(000000999999)的列表，然后對每一個數(shù)使用散列函數(shù)，結果就是一個一百萬個散列的列表。她就可以得到口令檔案并搜索條目中的第二列，找出一個與之相匹配的。這可以被編程并且在Eve的個人計算機上脫機運行。找到匹配以后，伊夫就可以再上線，用口令來訪問系統(tǒng)。 343.1.3 UNIX系統(tǒng)中的口令存儲(1)Unix系統(tǒng)使用一個單向函數(shù)crypt()來加密用戶的口令。Crypt()是基于DES的加密算法，它將用戶輸入的口令作為密鑰，加密一個64bit的0/1串，加密的

13、結果又使用用戶的口令再次加密；重復該過程，一共進行25次。最后的輸出為一個13byte的字符串，存放在/etc/passwd的PASSWORD域。單向函數(shù)crypt()從數(shù)學原理上保證了從加密的密文得到加密前的明文是不可能的或是非常困難的。當用戶登錄時，系統(tǒng)并不是去解密已加密的口令，而是將輸入的口令明文字符串傳給加密函數(shù)，將加密函數(shù)的輸出與/etc/passwd文件中該用戶條目的PASSWORD域進行比較，若匹配成功，則允許用戶登錄系統(tǒng)。35UNIX系統(tǒng)中的口令存儲(2)UNIX系統(tǒng)使用crypt()保證系統(tǒng)密碼的完整性。 這一函數(shù)完成被稱作單向加密的功能，它可以加密一些明碼，但不能夠將密碼轉

14、換為原來的明碼。363.1.3 添加一個新用戶37服務端的口令安全問題：unix的crypt（）加密過程口令加鹽(Salting Passwords)第一環(huán)節(jié)：口令字段字符串的生成：s = Agen(Dsalt, Dpw) 給口令Dpw撒鹽：Dpw = Asalt (Dsalt，Dpw)； 用撒鹽結果做密鑰：K = Dpw； 用一個64位的全0位串構造一個數(shù)據(jù)塊Dp； 設循環(huán)次數(shù)：i = 0； 對數(shù)據(jù)塊加密：Dc = Acrypt(K, Dp)； Dp = Dc，i = i + 1； 如果i 25，則回到第步； 把數(shù)據(jù)塊變換成字符串：s = Atrans(Dc)； 返回s。38服務端的口令安全

15、問題：unix的crypt（）加密過程第二環(huán)節(jié)：口令字段信息維護： 接收用戶提供的口令Dpw； 生成一個鹽值：Dsalt = Arandom( )； 生成口令信息：s = Agen(Dsalt, Dpw)； 把口令信息s和Dsalt存入數(shù)據(jù)庫的口令字段中。393.1.3 驗證用戶40服務端的口令安全問題：unix的crypt（）驗證過程第三環(huán)節(jié)：身份認證過程： 接收用戶提供的帳戶名Dname和口令Dpw； 在帳戶信息數(shù)據(jù)庫中檢查Dname的合法性，如果合法，則找出其對應的s和Dsalt； 生成臨時口令信息：sr = Agen(Dsalt, Dpw)； 如果sr與s相等，則認證成功，否則，認證失

16、敗。41服務端的口令安全問題：改進分析鹽處理使字典攻擊更為困難。如果原口令是六位數(shù)，鹽是四位數(shù)，那么散列處理的結果就超過十位數(shù)。這就意味著伊夫現(xiàn)在要制作一個有10，000，000個條目的列表，并為每一個條目創(chuàng)建一個散列。這個散列列表也有10，000，000個條目，比較這些條目要花費很長時間。如果鹽是一個很長的隨機數(shù)字，鹽處理是非常有效的。UNIX操作系統(tǒng)運用的就是這種方法的變種。42對付竊聽的改進方案 q id qid比較f是或不是聲稱者驗證者pid消息salt43基本的對付危及驗證者的措施使用單向函數(shù) pididq比較是或不是聲稱者驗證者pid消息fq salt44對付竊聽及危及驗證者的措施

17、 聲稱者fqidgidr比較是或不是pidr驗證者消息saltsalt45對付重放攻擊的措施抵抗對通信線路的主動攻擊重放攻擊。 r idtgfidqg比較是或不是p聲稱者驗證者消息q idtsalt463.1 基于口令的機制3.2 一次性口令3.3 詢問-應答機制3.4 基于地址的認證3.5 基于個人特征的認證機制3.6 個人鑒別令牌3 非密碼的身份認證機制473.2 一次性口令機制一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。確定口令的方法： （1）兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步； （2）使用時戳，兩端維持同步的時鐘。48一次口令一次口令的共享

18、列表用戶和系統(tǒng)都同意一個口令列表。一次使用一個。如果用戶不按次序使用口令，系統(tǒng)就要執(zhí)行一個長的搜索才能找到匹配。這個方案就使竊聽和口令的重復使用毫無用處了。存儲保護不善，會導致所有口令泄露。順序更新一次口令初始口令P1，這個口令僅在第一次訪問時有效。訪問的過程中，用戶用P1作為密鑰對這個口令加密產(chǎn)生新口令P2，作為第二次訪問口令。Pi用來創(chuàng)建Pi+1。如果Eve能夠猜測出第一個口令(P1)，她就可以找出所有這一系列的口令。493.2 SKEY驗證程序Alice輸入隨機數(shù)R，計算機計算x1=f（R）、x2=f（x1）、xn+1=f（xn）。Alice保管x1 ，x2 ，x3 ，。，xn這些數(shù)的列

19、表，計算機在登錄數(shù)據(jù)庫中Alice的名字后面存儲xn+1的值。當Alice第一次登錄時，輸入名字和xn，計算機計算f（xn），并把它和xn+1比較，如果匹配，就證明Alice身份是真的。然后，計算機用xn代替xn+1。Alice將從自己的列表中取消xn。Alice每次登錄時，都輸入她的列表中未取消的最后的數(shù)xI，計算機計算f（xI），并和存儲在它的數(shù)據(jù)庫中的xI+1比較。當Alice用完了列表上面的數(shù)后，需要重新初始化。 503.2 雙因素動態(tài)口令卡* 基于密鑰/時間雙因素的身份鑒別機制；* 用戶登錄口令隨時間變化，口令一次性使用，無法預測，可以有效抵御密碼竊取和重放攻擊行為* RSA等多家安

20、全公司513.2 雙因素動態(tài)口令卡相關產(chǎn)品* 美國RSA SecurID 公司推出的RSA SecurID系統(tǒng)是當前世界領的雙因素身份鑒別系統(tǒng)。形成了硬件令牌、虛擬令牌（軟件令牌）、與智能卡相結合的令牌等系列產(chǎn)品。鑒別服務器可運行于Windows/95/98/2000、Windows/NT、UNIX等環(huán)境。* 美國另一家公司Axend(現(xiàn)被Symantec公司兼并)是較早推出雙因素身份認證系統(tǒng)的公司。Axend的產(chǎn)品不僅可運行于Windows/95/98/2000、Windows/NT、UNIX等環(huán)境，還能運行于Netwarex系統(tǒng)，適應我國證券行業(yè)的需要。* 我國一些信息技術公司也相繼推出了

21、動態(tài)口令認證系統(tǒng)。如網(wǎng)泰金安信息技術公司、北京億青創(chuàng)新信息技術有限公司等。523.2 雙因素動態(tài)口令卡例子533.2 雙因素動態(tài)口令卡原理分析543.2 安全性分析（1）沒有器件而知道口令p，不能導致一個簡單的攻擊；（2）擁有器件而不知道口令p，不能導致一個簡單的攻擊；（3）除非攻擊者也能進行時間同步，否則重放不是一個簡單的攻擊；（4）知道q（例如通過瀏覽驗證者系統(tǒng)文件）而不知道設備安全值dsv，不能導致一個簡單的攻擊。553.3詢問應答機制 詢問應答原理可以擴張基于口令的方案，能大大地提高抵抗重放攻擊的能力，但通常通信代價很高。* 前面所示的對付重放攻擊的機制存在兩個重要的問題。一個是為了兩

22、端都知道nrv值需要維持同步。另一個是驗證者要知道nrv值是否被重復使用過是比較困難的。* 詢問應答方法克服了這些問題。563.3詢問應答機制573.4 基于地址的機制基于地址的機制假定聲稱者的可鑒別性是以呼叫的源地址為基礎的。在大多數(shù)的數(shù)據(jù)網(wǎng)絡中，呼叫地址的辨別都是可行的。在不能可靠地辨別地址時，可以用一個呼叫回應設備來獲得呼叫的源地址。 一個驗證者對每一個主體都保持一份合法呼叫地址的文件。 這種機制最大的困難是在一個臨時的環(huán)境里維持一個連續(xù)的主機和網(wǎng)絡地址的聯(lián)系。地址的轉換頻繁、呼叫轉發(fā)或重定向引起了一些主要問題。 基于地址的機制自身不能被作為鑒別機制，但可作為其它機制的有用補充。583.

23、5 基于個人特征的機制生物特征識別技術主要有： 1）指紋識別； 2）聲音識別； 3）手跡識別； 4）視網(wǎng)膜掃描； 5）手形。這些技術的使用對網(wǎng)絡安全協(xié)議不會有重要的影響。593.6 個人鑒別令牌物理特性用于支持認證“某人擁有某東西” ，但通常要與一個口令或PIN結合使用。這種器件應具有存儲功能，通常有鍵盤、顯示器等界面部件，更復雜的能支持一次性口令，甚至可嵌入處理器和自己的網(wǎng)絡通信設備（如智能卡）。這種器件通常還利用其它密碼鑒別方法。601 身份認證概述2 身份認證協(xié)議與結構3 基于非密碼的認證4 基于密碼算法的認證5 零知識證明協(xié)議第3講 身份認證協(xié)議與機制614 基于密碼算法的 強鑒別協(xié)議

24、* 強鑒別（strong authentication):通過密碼學的詢問-應答(challenge-response)協(xié)議實現(xiàn)的身份鑒別，詢問-應答協(xié)議的思想是一個實體向另一個實體證明他知道有關的秘密知識，但不向驗證者提供秘密本身。這通過對一個時變的詢問提供應答來實現(xiàn)，應答通常依賴于實體的秘密和詢問。詢問通常是一個實體選擇的一個數(shù)（隨機和秘密地）。624 基于密碼算法的 強鑒別協(xié)議631 身份認證概述2 身份認證協(xié)議與結構3 基于非密碼的認證4 基于密碼算法的認證5 零知識證明協(xié)議第3講 身份認證協(xié)議與機制645 零知識證明協(xié)議* 下面是一個故事：* Alice: “我知道聯(lián)邦儲備系統(tǒng)計算的

25、口令”* Bob: “不，你不知道”* Alice：我知道* Bob：你不知道* Alice：我確實知道* Bob：請你的證實這一點* Alice：好吧，我告訴你。（她悄悄說出了口令）* Bob：太有趣了！現(xiàn)在我也知道了。我要告訴華盛頓郵報* Alice：啊呀！655 零知識證明協(xié)議* P為示證者(Prover),V為驗證者，P試圖向V證明自己知道某信息。 P告訴V這一信息使得V相信，這樣V也知道了這一信息，這是基于知識的證明； 通過某種有效的數(shù)學方法，使得V相信P掌握這一信息，卻不泄漏任何有用的信息，這種方法稱為零知識證明問題。* 最小泄漏證明（Minimum Disclosure Proo

26、f)* 零知識證明(Zero Knowledge Proof)665 零知識證明協(xié)議* P幾乎不可能欺騙V：如果P知道證明，他可以使V以極大的概率相信他知道證明；如果P不知道證明，則他使得V相信他知道證明的概率幾乎為零。* V幾乎不可能知道證明的知識，特別是他不可能向別人重復證明過程。* V無法從P那里得到任何有關證明的知識。（零知識證明滿足全部三個條件）675 零知識證明協(xié)議（1）V站在A點；（2）P進入山洞，走到C點或D點；（3）當P消失后，V進入到B點；（4）V指定P從左邊或右邊出來；（5）P按照要求出洞（如果需要通過門，則使用咒語）（6）P和V重復步驟（1）至（5）n次。68挑戰(zhàn)-應答

27、身份鑒別協(xié)議若P不知咒語，則在 B 點，只有50 %的機會猜中 V的要求，協(xié)議執(zhí)行 n 次，則只有 2-n 的機會完全猜中，若 n=16，則若每次均通過 Bob 的檢驗，V受騙機會僅為1/65536。如果V用攝像機記錄下他所看到的一切，他把錄像給Carol看，Carol會相信這是真的嗎？Carol是不會相信這是真的。這說明了兩件事情：其一，V不可能使第三方相信這個證明；其二，它證明了這個協(xié)議是零知識的。V在不知道咒語的情況下，顯然不能從錄像中獲悉任何信息。69挑戰(zhàn)-應答身份鑒別協(xié)議零知識(Zero-knowledge)(ZK)證明:是一種交互式證明系統(tǒng)聲稱者（證明者）和驗證者交換多個信息，這些

28、信息的生成依賴于保密的隨機數(shù)證明者P(Prover)：知道某一秘密s，使V相信自己掌握這一秘密；驗證者V(Verifier)：驗證P掌握秘密s每輪V向P發(fā)出一詢問，P向V作應答（需要有s的知識才能正確應答）。V檢查P是否每一輪都能正確應答。70挑戰(zhàn)-應答身份鑒別協(xié)議交互證明與數(shù)學證明的區(qū)別數(shù)學證明：證明者可自己獨立完成證明(絕對)交互證明：由P產(chǎn)生證明(響應)，V驗證證明(響應）的有效性（概率上）來實現(xiàn)，雙方之間要有通信交互系統(tǒng)應滿足完備性：如果P知道某一秘密，V將接收P的證明正確性：如果P能以一定的概率使V相信P的證明，則P知道相應的秘密（冒充者偽造成功的概率可忽略不計）71挑戰(zhàn)-應答身份鑒

29、別協(xié)議Needham-Schroeder協(xié)議：是基于對稱密鑰加密的挑戰(zhàn)-響應計算模n平方根的困難性Fiat-Shamir身份識別協(xié)議Fiege-Fiat-Shamir身份識別協(xié)議離散對數(shù)的困難性：Schnorr協(xié)議72挑戰(zhàn)-應答身份鑒別協(xié)議參數(shù)的選擇：可信中心T選擇兩個素數(shù)p和q(保密，最好用完丟棄)，計算類似RSA的模數(shù)m=pq、并公開m。證明者選擇與m互素的私鑰s(1sm)，計算v=s2 mod m證明者在可信中心T中注冊公鑰v2 Fiat-Shamir身份識別協(xié)議73挑戰(zhàn)-應答身份鑒別協(xié)議協(xié)議執(zhí)行：迭代t輪(連續(xù)地、獨立地)(1) Alice 取隨機數(shù) r(m)，計算x= r2 mod

30、m，并發(fā)送給Bob；(2) Bob將一隨機比特e=0或1作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計算響應值y并發(fā)給Bob若e=0，則Alice 將y=r送給Bob；若e=1，則Alice將y=rs mod m送給Bob；(4) 若y=0，則Bob拒絕證明；反之，驗證y2xve mod m？若e=0，則Bob 證實y2 =x mod m若e=1，則 Bob 證實 y2 =xv mod m 若t輪都成功，則Bob就接收Alice的身份Fiat-Shamir身份識別協(xié)議74挑戰(zhàn)-應答身份鑒別協(xié)議完備性如果Alice和Bob遵守協(xié)議，且Alice知道s，則響應值 y2=(rse)2 mod m x

31、ve mod m，Bob接收Alice的證明，所以協(xié)議是完備的。正確性Alice不知道s，他也可取r，送y2 =r2 mod m給Bob；Bob送e 給Alice；Alice將r作為響應值；當b=0時則Alice可通過檢驗使得Bob受騙，當b=1時，則Bob可發(fā)現(xiàn)Alice不知s。Bob受騙概率為1/2，但連續(xù)t輪受騙的概率將僅為2-tBob無法知道Alice的秘密(s)，因為s沒有被傳送過，且Bob只能隨機選取一個比特位作為挑戰(zhàn)。75挑戰(zhàn)-應答身份鑒別協(xié)議參數(shù)的選擇：可信中心T選擇兩個素數(shù)p和q(保密，最好用完丟棄)，計算類似RSA的模數(shù)n=pq、并公開n。證明者選擇k個與n互素的隨機整數(shù)作為私鑰s1, s2, ,sk(1sin)證明者選擇k個隨機比特b1, b2, ,