北京邮电大学：《现代密码学基础》课程教学资源（PPT课件讲稿）第12章 身份识别方案

第12章身份识别方案

第12章 身份识别方案

识别( identification)和身份验证 ( authentication)区别: ●当说到身份验证时,通常存在一些承载信息的 消息在通信双发之间交换,其通信的一方或双 方需要被验证。 ●识别(有时称为实体验证)是对一个用户身份 的实时验证,它不需要交换承载信息的消息

识别（identification）和身份验证 （authentication）区别： ⚫ 当说到身份验证时，通常存在一些承载信息的 消息在通信双发之间交换，其通信的一方或双 方需要被验证。 ⚫ 识别（有时称为实体验证）是对一个用户身份 的实时验证，它不需要交换承载信息的消息

个安全的识别协议至少应该满足以下两个条件: 证明者A能向验证者B证明他的确是A; 在证明者A向验证者B证明他的身份后,验证者 B没有获得任何有用的信息,B不能模仿A向第 三方证明他是A

一个安全的识别协议至少应该满足以下两个条件： ⚫ 证明者A能向验证者B证明他的确是A； ⚫ 在证明者A向验证者B证明他的身份后，验证者 B没有获得任何有用的信息，B不能模仿A向第 三方证明他是A

无线网络中通常使用质询-响应识别( challenge response identification)或强识别方案: A通过密码和用户名向B登记。 ●B发给A一个随机号码(质询) A用一个随机号码的加密值答复,其中使用 了A的密码作为密钥完成加密(响应) ●B证明A确实拥有密钥(密码)

无线网络中通常使用质询-响应识别（challenge￾response identification）或强识别方案： ⚫ A通过密码和用户名向B登记。 ⚫ B发给A一个随机号码（质询） ⚫ A用一个随机号码的加密值答复，其中使用 了A的密码作为密钥完成加密（响应）。 ⚫ B证明A确实拥有密钥（密码）

121 Schnorr身份识别方案 用户A将其身份名及公开密钥送交验证者B。验证者 根据TA的数字签名来验证用户A的公开密钥 用户A任选一整数r,1rq1计算X= a modp,并将 X送给验证者B; 验证者B任选一整数e∈[0,…,2-1,送给用户A 用户A送给验证者B:y=+ semo q 验证者B验证:X=a× v mod p

12.1 Schnorr身份识别方案 ⚫ 用户A将其身份名I及公开密钥送交验证者B。验证者 根据TA的数字签名来验证用户A的公开密钥； ⚫ 用户A任选一整数r，1≤ r≤q-1计算X=αrmodp，并将 X送给验证者B； ⚫ 验证者B任选一整数e∈[0,…,2t -1]，送给用户A； ⚫ 用户A送给验证者B：y=r+semod q； ⚫ 验证者B验证： X v p 。 y e =  mod

安全性分析 针对一般交互式用户身份证明协议,都必须满足以下三种性质。 完全性( Completeness):若用户与验证者双方都是诚实地执 行协议,则有非常大的概率(趋近于1),验证者将接受用户的 身份。 健全性或合理性( Soundness):若用户根本不知道与用户名 字相关的密钥,且验证者是诚实的,则有非常大的概率,验证者 将拒绝接受用户的身份。 隐藏性( Witness hiding):若用户是诚实的,则不论协议进 行了多少次以及不论任何人(包括验证者)都无法从协议中推出 用户的密钥,并且无法冒充用户的身份

安全性分析 ⚫ 针对一般交互式用户身份证明协议，都必须满足以下三种性质。 ⚫ 完全性（Completeness）：若用户与验证者双方都是诚实地执 行协议，则有非常大的概率（趋近于1），验证者将接受用户的 身份。 ⚫ 健全性或合理性（Soundness）：若用户根本不知道与用户名 字相关的密钥，且验证者是诚实的，则有非常大的概率，验证者 将拒绝接受用户的身份。 ⚫ 隐藏性（Witness hiding）：若用户是诚实的，则不论协议进 行了多少次以及不论任何人（包括验证者）都无法从协议中推出 用户的密钥，并且无法冒充用户的身份

122 Okamoto身份识别方案 A随机选择两个数20≤,n≤q-1,并计算;X=a"a2°modp A将他的证书CA=mAVX发送给B B通过检测vD,n真来验证TA的签名; B随机选择一个数el≤e≤2,并将e发送给A; A计算=(+m)m=(+mmg并将y1,y2 发给B; B验证X=a1a2""modp

12.2 Okamoto身份识别方案 ⚫ A随机选择两个数 ，并计算； ⚫ A将他的证书 和X发送给B； ⚫ B通过检测 真来验证TA的签名； ⚫ B随机选择一个数 ，并将e发送给A； ⚫ A计算 并将y1，y2 发给B； ⚫ B验证 。 r1 ,r2 ,0  r1 ,r2  q −1 X p r r mod 1 2 = 1  2 C(A) = (ID(A), v,s) VerTA（ID，v,s) = t e,1 e  2 y1 = (r1 + m1 e)mod q, y2 = (r2 + m2 e)mod q X v p y y e mod 1 2 1  2

12.3Gu|lou- Quisquater身份识别方案 A随机选择一个整数r:0≤r≤n-1并计算:X=r2modn ●A将他的证书C(A)=(DAvS)和X发送给B; B通过检测rnD,vs=真来验证TA的签名; B随机选择一个数≤≤b,1并将e发送给A; A计算y= rm mod n并将y发送给B; B验证X=y2y2modn

12. 3 Guillou-Quisquater身份识别方案 ⚫ A随机选择一个整数 并计算； ⚫ A将他的证书 和X发送给B； ⚫ B通过检测 真来验证TA的签名； ⚫ B随机选择一个数 ，并将e发送给A； ⚫ A计算 并将y发送给B； ⚫ B验证 。 r,0  r  n −1 X r n b = mod C(A) = (ID(A), v,s) VerTA（ID，v,s) = e,0  e  b −1 y rm n e = mod X v y n e b = mod

124基于身份的身份识别方案 124.1 Shamir的基于身份的密码方案的基本思想 安全性主要依赖于以下几个方面: 所使用的密码变换(诸如加密变换、签名变换等)的安全性; 存储在密钥产生中心的特权信息的保密性 在密钥产生中心给用户颁布 Smart-卡之前所完成的识别检测的严 格性(要求用户 提供的身份确实能唯一确定用户,而且用户不能否认); 为了阻止用户的Smat卡的丢失、复制或未授权的使用,用户所 采取的措施

12.4 基于身份的身份识别方案 12.4.1 Shamir的基于身份的密码方案的基本思想 ⚫ 安全性主要依赖于以下几个方面： ⚫ 所使用的密码变换（诸如加密变换、签名变换等）的安全性； ⚫ 存储在密钥产生中心的特权信息的保密性； ⚫ 在密钥产生中心给用户颁布Smart卡之前所完成的识别检测的严 格性（要求用户 ⚫ 提供的身份确实能唯一确定用户，而且用户不能否认）； ⚫ 为了阻止用户的Smart卡的丢失、复制或未授权的使用，用户所 采取的措施

公钥签名方案和基于身份的签名方案之间 的差别 径的产生上mn后道→名的验证一→合法棒法 密钥的产生 公钥号码薄 随机种子k (a)公钥签名方案 口心警名的产生]道 m、s.+签名的验证 合法/非法 密钥的产生 签名者身份 随机种子k (b)基于身份的签名方案 图122公钥签名方案和基于身份的签名方案之间的差别

公钥签名方案和基于身份的签名方案之间 的差别 签名的产生 消息 m 信道 公钥号码薄 g k m,s 随机种子 k 合法/非法 (a) 公钥签名方案 v k 密钥的产生 签名的验证 (b) 基于身份的签名方案 图 12.2 公钥签名方案和基于身份的签名方案之间的差别 签名的产生 消息 m 信道 g k m,s,I 随机种子 k 合法/非法 签名者身份 v k 密钥的产生 签名的验证 I I