第12章身份识别方案
第12章 身份识别方案
识别( identification)和身份验证 ( authentication)区别: ●当说到身份验证时,通常存在一些承载信息的 消息在通信双发之间交换,其通信的一方或双 方需要被验证。 ●识别(有时称为实体验证)是对一个用户身份 的实时验证,它不需要交换承载信息的消息
识别(identification)和身份验证 (authentication)区别: ⚫ 当说到身份验证时,通常存在一些承载信息的 消息在通信双发之间交换,其通信的一方或双 方需要被验证。 ⚫ 识别(有时称为实体验证)是对一个用户身份 的实时验证,它不需要交换承载信息的消息
个安全的识别协议至少应该满足以下两个条件: 证明者A能向验证者B证明他的确是A; 在证明者A向验证者B证明他的身份后,验证者 B没有获得任何有用的信息,B不能模仿A向第 三方证明他是A
一个安全的识别协议至少应该满足以下两个条件: ⚫ 证明者A能向验证者B证明他的确是A; ⚫ 在证明者A向验证者B证明他的身份后,验证者 B没有获得任何有用的信息,B不能模仿A向第 三方证明他是A
无线网络中通常使用质询-响应识别( challenge response identification)或强识别方案: A通过密码和用户名向B登记。 ●B发给A一个随机号码(质询) A用一个随机号码的加密值答复,其中使用 了A的密码作为密钥完成加密(响应) ●B证明A确实拥有密钥(密码)
无线网络中通常使用质询-响应识别(challengeresponse identification)或强识别方案: ⚫ A通过密码和用户名向B登记。 ⚫ B发给A一个随机号码(质询) ⚫ A用一个随机号码的加密值答复,其中使用 了A的密码作为密钥完成加密(响应)。 ⚫ B证明A确实拥有密钥(密码)
121 Schnorr身份识别方案 用户A将其身份名及公开密钥送交验证者B。验证者 根据TA的数字签名来验证用户A的公开密钥 用户A任选一整数r,1rq1计算X= a modp,并将 X送给验证者B; 验证者B任选一整数e∈[0,…,2-1,送给用户A 用户A送给验证者B:y=+ semo q 验证者B验证:X=a× v mod p
12.1 Schnorr身份识别方案 ⚫ 用户A将其身份名I及公开密钥送交验证者B。验证者 根据TA的数字签名来验证用户A的公开密钥; ⚫ 用户A任选一整数r,1≤ r≤q-1计算X=αrmodp,并将 X送给验证者B; ⚫ 验证者B任选一整数e∈[0,…,2t -1],送给用户A; ⚫ 用户A送给验证者B:y=r+semod q; ⚫ 验证者B验证: X v p 。 y e = mod
安全性分析 针对一般交互式用户身份证明协议,都必须满足以下三种性质。 完全性( Completeness):若用户与验证者双方都是诚实地执 行协议,则有非常大的概率(趋近于1),验证者将接受用户的 身份。 健全性或合理性( Soundness):若用户根本不知道与用户名 字相关的密钥,且验证者是诚实的,则有非常大的概率,验证者 将拒绝接受用户的身份。 隐藏性( Witness hiding):若用户是诚实的,则不论协议进 行了多少次以及不论任何人(包括验证者)都无法从协议中推出 用户的密钥,并且无法冒充用户的身份
安全性分析 ⚫ 针对一般交互式用户身份证明协议,都必须满足以下三种性质。 ⚫ 完全性(Completeness):若用户与验证者双方都是诚实地执 行协议,则有非常大的概率(趋近于1),验证者将接受用户的 身份。 ⚫ 健全性或合理性(Soundness):若用户根本不知道与用户名 字相关的密钥,且验证者是诚实的,则有非常大的概率,验证者 将拒绝接受用户的身份。 ⚫ 隐藏性(Witness hiding):若用户是诚实的,则不论协议进 行了多少次以及不论任何人(包括验证者)都无法从协议中推出 用户的密钥,并且无法冒充用户的身份
122 Okamoto身份识别方案 A随机选择两个数20≤,n≤q-1,并计算;X=a"a2°modp A将他的证书CA=mAVX发送给B B通过检测vD,n真来验证TA的签名; B随机选择一个数el≤e≤2,并将e发送给A; A计算=(+m)m=(+mmg并将y1,y2 发给B; B验证X=a1a2""modp
12.2 Okamoto身份识别方案 ⚫ A随机选择两个数 ,并计算; ⚫ A将他的证书 和X发送给B; ⚫ B通过检测 真来验证TA的签名; ⚫ B随机选择一个数 ,并将e发送给A; ⚫ A计算 并将y1,y2 发给B; ⚫ B验证 。 r1 ,r2 ,0 r1 ,r2 q −1 X p r r mod 1 2 = 1 2 C(A) = (ID(A), v,s) VerTA(ID,v,s) = t e,1 e 2 y1 = (r1 + m1 e)mod q, y2 = (r2 + m2 e)mod q X v p y y e mod 1 2 1 2
12.3Gu|lou- Quisquater身份识别方案 A随机选择一个整数r:0≤r≤n-1并计算:X=r2modn ●A将他的证书C(A)=(DAvS)和X发送给B; B通过检测rnD,vs=真来验证TA的签名; B随机选择一个数≤≤b,1并将e发送给A; A计算y= rm mod n并将y发送给B; B验证X=y2y2modn
12. 3 Guillou-Quisquater身份识别方案 ⚫ A随机选择一个整数 并计算; ⚫ A将他的证书 和X发送给B; ⚫ B通过检测 真来验证TA的签名; ⚫ B随机选择一个数 ,并将e发送给A; ⚫ A计算 并将y发送给B; ⚫ B验证 。 r,0 r n −1 X r n b = mod C(A) = (ID(A), v,s) VerTA(ID,v,s) = e,0 e b −1 y rm n e = mod X v y n e b = mod
124基于身份的身份识别方案 124.1 Shamir的基于身份的密码方案的基本思想 安全性主要依赖于以下几个方面: 所使用的密码变换(诸如加密变换、签名变换等)的安全性; 存储在密钥产生中心的特权信息的保密性 在密钥产生中心给用户颁布 Smart-卡之前所完成的识别检测的严 格性(要求用户 提供的身份确实能唯一确定用户,而且用户不能否认); 为了阻止用户的Smat卡的丢失、复制或未授权的使用,用户所 采取的措施
12.4 基于身份的身份识别方案 12.4.1 Shamir的基于身份的密码方案的基本思想 ⚫ 安全性主要依赖于以下几个方面: ⚫ 所使用的密码变换(诸如加密变换、签名变换等)的安全性; ⚫ 存储在密钥产生中心的特权信息的保密性; ⚫ 在密钥产生中心给用户颁布Smart卡之前所完成的识别检测的严 格性(要求用户 ⚫ 提供的身份确实能唯一确定用户,而且用户不能否认); ⚫ 为了阻止用户的Smart卡的丢失、复制或未授权的使用,用户所 采取的措施
公钥签名方案和基于身份的签名方案之间 的差别 径的产生上mn后道→名的验证一→合法棒法 密钥的产生 公钥号码薄 随机种子k (a)公钥签名方案 口心警名的产生]道 m、s.+签名的验证 合法/非法 密钥的产生 签名者身份 随机种子k (b)基于身份的签名方案 图122公钥签名方案和基于身份的签名方案之间的差别
公钥签名方案和基于身份的签名方案之间 的差别 签名的产生 消息 m 信道 公钥号码薄 g k m,s 随机种子 k 合法/非法 (a) 公钥签名方案 v k 密钥的产生 签名的验证 (b) 基于身份的签名方案 图 12.2 公钥签名方案和基于身份的签名方案之间的差别 签名的产生 消息 m 信道 g k m,s,I 随机种子 k 合法/非法 签名者身份 v k 密钥的产生 签名的验证 I I
