基于非中心化網絡的匿名認證模型自動化設計

姜 參

（渤海大學 電子商務系，錦州 121000）

0 引言

隨著人類活動日益網絡化，人們更加依賴計算機化的社會結構，更加依賴P2P網絡來共享信息、表達觀點和交換數據。這就需要一個匿名的體系來更好的保護用戶的個人隱私。

無需考慮到相關責任而一味的追求用戶隱私的保密性是不切實際的。用戶節點沒有對被辨認出來的擔心，就很難規范其行為。已有的責任認定已經可以通過傳統的認證機制(訪問控制或者身份驗證)來核實請求服務的用戶身分。在密碼學的經典例子中有Kerberos和標準公共密鑰基礎設施(PKI)，而這里客戶必須放棄他們個人信息的保密性來通過驗證。

傳統的匿名證書系統假設只有客戶端而非服務器關心其隱私保密性。在P2P系統中客戶端和服務器是地位同等的，這就使得現有的證書系統都不能恰當的直接平衡私密性和對應的問責。而雙重身份對等節點的隱私保護和問責機制，恰恰是如今蓬勃發展的非中心化網絡所必須具備的安全手段。

1 基于匿名認證模型背景

現有的k-Times匿名認證只能在結點來自同一個服務器的時候用標簽唯一的標示對方。秘密握手(SHSs)也只允許相同組的成員之間不暴露各自的組屬性的前提下共享一個會話密鑰。這些都不具備如今P2P網絡的多服務器多角色的全局識別能力。

2 基于匿名認證體系框架的提出

基于已有的匿名認證體系，結合點對點網絡特點提出改進的初步方案。

2.1 將“可鏈接內容”引入認證方案

可鏈接內容（以下簡稱LC）是確定認證可鏈接性的運行于框架中的屬性集聚。特別指的是當只有兩個認證同時進行的時候是可鏈接，或者當可鏈接內容的屬性都來自相同的約束前提的時候。

在k-TAA中，只有來自同一個客戶端且同時運行的認證是可鏈接的。k-TAA的可鏈接內容是LC =(client-ID，time）即身份和時間的聚集[1]。

PPAA中的可鏈接內容 正確的選擇可鏈接內容是建立PPAA的第一步。在本次設計中PPAA可鏈接內容是客戶端和服務器端身份的無序對和對應事件，這里PPAA中也是需要執行認證的前提。

LC ={{client-ID，server-ID}，event-ID}。

2.2 PPAA（Peer-to-Peer Anonymous Authentication）設計的核心觀點

面向事件的可關聯組的簽名環以及K-TAA是不能作為PPAA框架的安全手段的,原因是服務器端的驗證不在其可鏈接的內容中。但是可以通過映射一個事件(例如時間)進入服務器驗證的方法使其成為面向事件可鏈接組或認證環（K-TTA）的可鏈接內容[2]。

因此，LC成為(client-ID,server-ID)而由同一用戶運行的到不同的服務器變認證得不可鏈接。具體地，帶有加密xi的客戶端i針對服務器j形成ti,j=gxi j,其中gj是服務器端參數。于是同一個節點的標簽對于不同服務器來講是絕對不可鏈接的。

3 非中心化網絡的匿名認證模型設計

3.1 基本的PPAA

假設已知有Diffie-Hellman協議描述下的組G1，使H：{0，1}*→G1作為秘密密鑰的哈希函數,事件識別碼是任意長度的字符串。每一個用戶由GM頒發一個數字證書cred=(A,x,y)∈G1×Z2p，其中x,y∈RZp，A值在所有的證書中不同。在基本框架中，標簽是函數f的輸出，同時作為節點初始化證書ced1=(A,x1,y1)的輸入，回應節點cre2=(A2,x2,y2)并且事件ID為eid[3]。函數定義如下：

f:(ced1,crd2,eid) →tag={τ1,τ2},其中τ1=Ax2 1H(eid)y1 ,τ2=Ax1 2H(eid)y2

協議框架 以初始節點Alice（crd1=(A1,x1,y1)）和回應節點Bob（crd2=(A2,x2,y2)）在事件（eid）中為例，協議完成后他們各自輸出一個標簽。

3.2 詳細的協議模型

為了進一步保證協議參與結點的規范行為需要引入必要的機制，例如采用SPK[4]框架來進一步約束協議中每一步的正確性。這里，我們引入同G1同樣描述的G2，使（G1,G2）成為被q-SDH（q-Strong Diffie-Hellman）假定約束平行的一對組。讓l成為多項式中使λ足夠大的安全參數。使g1,…,g5∈G1成為G1的原始構成，這樣就使相關的在g1,…,g5和g0間的離散對數未知。使H:{0，1}*→Z作為秘密密鑰算法的哈希函數。H可以被體系中的各個SPK使用。

設定 GM隨機選擇γ∈RZp并計算ω=hγ 0∈G2。組密鑰是gsk=(γ)，組公鑰是是gpk=(ω)

注冊 當用戶Alice和GM的協議成功完成，Alice由cred=(A,e,x,y,z)∈G1×Z4p得到一個證書cred，并且Ae+r=g0gx1gy2gz3 。向GM輸入的私鑰是所管轄組的秘密密鑰gsk。協議運行如下：

1）GM向Alice發送＜N0＞,其中N0∈R{0,1}l是隨機的。

2）Alice發送＜C,Ⅱ0＞給GM，其中C= gx1gy 2gz3∈G1是（x,y,z）∈RZ3P的委托，Ⅱ0是消息M=N0‖C SPK{（x,y,z）：C=gx 1gy2gz3}(M)的數字簽名依據。這可以證明C的正確與否，同時參照上面的SPK作為SPK0。

3）如果Ⅱ0的認證返回無效那么GM會在失敗處終止。否則GM向Alice發送＜A,e,z2＞，其中e,z2∈RZp并且A=（g0Cgz23）1/e+γ∈G1

4）Alice的計算機中z=z1+z2，如果ê(A，whe o)≠ê(g0gx1gy2gz3,h0)她也終止于這個失敗。否則她輸出的cred=(A,e,x,y,z)就作為她的證書。

考慮系統的安全需要，不允許兩個注冊協議的實例同時運行，GM逐個注冊用戶。

驗證 愛麗絲（作為發起人）和鮑勃（作為響應）在一個帶有標識符 eid∈(0,1)*的事件中要相互驗證彼此。Alice和Bob共同的輸入是eid，不同的輸入是Alice和Bob他們自己的私有證書,分別是（A1,e1,x1,y1,z1）和（A2,e2,x2,y2,z2）[5]。下面描述了4輪的身份驗證協議的步驟：

1）Alice 發送＜N1,U1, V1,Π1＞ 給Bob, 其中:

N1∈R{0,1}l,r1∈RZp

U1=Ar11∈G1,V1=H(eid)r1∈G1

Π1是對于消息M=m1=eid‖N1‖U1‖V1∈{0,1}*時

SPK｛（A,e,x,y,z,r）：Ae+r=g0gx1gy2gz 300000∧U1=Ar∧V1=H(eid)r｝(M)的簽名， Alice由已知的（A1,e1,x1,y1,z1）產生。上面的SPK作為SPK1。

2）如果Π1的認證返回無效Bob也終止于這個失敗。否則他發送＜N2,U2, V2,Π2＞給Alice，其中

N2∈R{0,1}l,r2∈RZp

U2=Ar2 2∈G1,V2=H(eid)r2∈G1,W2=Ux2 1Vy2 1,

Π2是在M=m2=m1‖Π1‖N2‖U2‖V2‖W2‖∈{0,1}*時

Ae+r=g0gx 1gy 2gz 3 ∧

SPK｛（A,e,x,y,z,r）:V2= H(eid)r∧U2=Ar∧｝(M)

W2=Ux1Vy1的簽名, Bob由已知的（A2,e2,x2,y2,z2,r2）產生。將上面的SPK作為SPK2。

3）如果Π2的認證返回無效Alice也終止于這個失敗。否則她發送＜W1，r1, Π3＞給Bob,其中

W1=Ux12Vy12∈G1,r1=W1/r12∈G1

Π3是M=m3=m2‖Π2‖W1‖t1∈{0,1}*時

Ae+r=g0gx 1gy 2gz 3 ∧

SPK{（A,e,x,y,z,r）:U1=Ar∧V1=H(eid)r∧}(M)

W1=Ux 2Vy 2∧W2=tr 1的簽名,這里Alice可以用她已知的（A1,e1,x1,y1,z1,r1）產生。把上面的SPK作為SPK3。

4）如果ΠA的認證返回無效Bob也終止于這個失敗。否則她發送＜ r2, Π4＞給Alice,其中

τ2=W1/r21,

Π4是在M=m4=m3‖Π3‖t2∈{0,1}*的前提下

SPK{（r）:W1=τr 2∧V2=H(eid)r}(M)的簽名，Bob可以用已知的r2來產生。把上面的SPK作為SPK4。

Bob計算出tag2={τ1,τ2},終止。

5）如果Π4的認證返回無效Alice也終止于這個失敗。否則她計算出tag1={τ1,τ2},終止。

連接驗證 輸入標簽tag1,tag2，如果他們相等，算法返回已連接，否者告知未連接。

4 結論

本文提出的對等節點匿名身份驗證（PPAA）較好地平衡了對等用戶的網絡隱私保護和對應的問責，使這種非中心網絡中的結點也具有了雙向的對等身份，并提供較高的安全保證和較好的運行效率。

[1] Giuseppe Ateniese,Marina Blanton,and Jonathan Kirsch.Secret Hands hakes with Dynamic and Fuzzy Matching [J].NDSS.The Internet Society,2007.

[2] Man Ho Au,Willy Susilo,and Yi Mu.Constant-size dynamic-taa [J].SCN.volume 4 116 of LNCS.2006:111-125.

[3] Man Ho Au,Willy Susilo,and Siu-Ming Yiu.Event-oriented k-times revocable-if-linked group signatures[M].ACISP，volume 4058 of LNCS.2006：223-234

[4] Mihir Bellare and Phillip Rogaway.Random oracles are practical:a paradigm for designing efficient protocols.In Proceeding of the1st ACM conference on Computer and communications security[M],ACM ,1993:62-73.

[5] Jan Camenisch, Susan Rosenberger,Mark Ulf Kohl Weiss,Anna Lysyanskaya,and Mira Meyerovich.How to win the clone wars:effcient periodicn-times anonymous authentication[J].Computer and Communications Security,2006:201-210.

[6] Maxim Raya and Jean-Pierre Hubaux.Securing vehicular ad hoc networks[J].Journal of Computer Security.2007,15(1):39-68.

[7] TPM Work Group.TCG TPM Speciffcation Version 1.2 Revision103[J].Trusted Computing Group,2007.

[8] Patrick P.Tsang and Sean W.Smith.PPAA:Peer-to-peer anonymous authentication[J]ACNS,LNCS.Springer,2008.