本發(fā)明涉及數(shù)據(jù)加密與身份認(rèn)證技術(shù)領(lǐng)域,具體地說是一種面向客戶/服務(wù)器網(wǎng)絡(luò)安全實(shí)用的匿名認(rèn)證方法。
背景技術(shù):
一般的客戶/服務(wù)器系統(tǒng)模型主要由兩方構(gòu)成:客戶端(即用戶)與服務(wù)器�。用戶向服務(wù)器請(qǐng)求服務(wù)時(shí)��,服務(wù)器需要先確認(rèn)用戶的身份�,如果用戶身份合法�����,服務(wù)器才會(huì)為其提供服務(wù)�����。而在一些客戶/服務(wù)器(Client/Server)網(wǎng)絡(luò)應(yīng)用中用戶的身份是私密的���,涉及用戶的隱私���,所以實(shí)現(xiàn)身份認(rèn)證的同時(shí)保護(hù)用戶匿名性至關(guān)重要����。例如在遠(yuǎn)程醫(yī)療輔助系統(tǒng)或遠(yuǎn)程醫(yī)療查詢系統(tǒng)中,一些患有敏感疾病的患者希望在查詢或輔助治療的同時(shí)能夠保護(hù)自身的身份隱私�。相關(guān)研究中用戶的匿名性可以分為兩個(gè)方面:一方面��,請(qǐng)求服務(wù)的用戶只對(duì)網(wǎng)絡(luò)中其他用戶匿名�����,服務(wù)器能夠知曉用戶身份��;另一方面����,不僅網(wǎng)絡(luò)中其他用戶不知道請(qǐng)求服務(wù)的用戶的身份���,并且服務(wù)器也不知道該用戶身份�。實(shí)際上�,在現(xiàn)實(shí)生活中多數(shù)情況下服務(wù)器并不關(guān)心用戶的身份,而且服務(wù)器還存在泄露用戶身份信息和相關(guān)隱私數(shù)據(jù)的風(fēng)險(xiǎn)����,所以在這些應(yīng)用中,用戶需要對(duì)服務(wù)器完全匿名��,即讓服務(wù)器不僅無法知道用戶的身份而且無法判斷兩條請(qǐng)求消息是否來自同一用戶�����,實(shí)現(xiàn)用戶身份的匿名性和請(qǐng)求消息的不可鏈接性。
匿名認(rèn)證能夠在認(rèn)證用戶身份的同時(shí)實(shí)現(xiàn)用戶匿名性�。目前存在一些匿名認(rèn)證方法,例如基于假名�����、群簽名等技術(shù)����,能夠在認(rèn)證用戶身份的同時(shí)保護(hù)用戶的身份隱私,從而達(dá)到匿名性���。然而這些方案存在以下不足之處:
(1)基于假名的匿名認(rèn)證方案:客戶端需要存儲(chǔ)和維護(hù)一個(gè)假名池以及與每個(gè)假名相關(guān)的參數(shù)�����,增加了客戶端的存儲(chǔ)代價(jià)��,而客戶端的存儲(chǔ)能力和計(jì)算能力往往較低�。此外��,每次請(qǐng)求服務(wù)均需要消耗掉一個(gè)假名����。而假名的個(gè)數(shù)有限,所以需要定期更新假名池��。但更新假名池需要消耗大量的系統(tǒng)資源����,從而導(dǎo)致該類方案很難應(yīng)用于大規(guī)模的客戶/服務(wù)器網(wǎng)絡(luò)中,尤其是大規(guī)模的無線移動(dòng)客戶/服務(wù)器網(wǎng)絡(luò)����。
(2)基于群簽名的匿名認(rèn)證方案:此類匿名認(rèn)證方案的計(jì)算與通信開銷通常與客戶/服務(wù)器網(wǎng)絡(luò)中客戶端的數(shù)量有關(guān),其計(jì)算與通信開銷隨著客戶端數(shù)量呈線性增長(zhǎng)�,很難應(yīng)用于大規(guī)模客戶/服務(wù)器網(wǎng)絡(luò)����,尤其是大規(guī)模的無線移動(dòng)客戶端-服務(wù)器網(wǎng)絡(luò)。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明為了解決上述現(xiàn)有技術(shù)存在的不足之處�����,提供一種高效實(shí)用的面向客戶/服務(wù)器網(wǎng)絡(luò)的匿名認(rèn)證方法�����,以期能有效的解決現(xiàn)有客戶/服務(wù)器網(wǎng)絡(luò)中客戶端匿名認(rèn)證過程中存儲(chǔ)代價(jià)和計(jì)算代價(jià)高以及認(rèn)證效率低的問題,同時(shí)提高客戶端的隱私性��、以及服務(wù)器的安全性��。
本發(fā)明為解決技術(shù)問題所采用的技術(shù)方案是:
本發(fā)明一種面向客戶/服務(wù)器網(wǎng)絡(luò)的匿名認(rèn)證方法���,所述客戶/服務(wù)器網(wǎng)絡(luò)包括:一個(gè)可信中心KGC�、一個(gè)服務(wù)器以及若干個(gè)客戶端���,所述可信中心KGC用于生成和管理密鑰��;記任意一個(gè)客戶端為U�;其特點(diǎn)是�,在所述服務(wù)器S的網(wǎng)關(guān)處設(shè)置一個(gè)安全硬件SH,并基于所述安全硬件SH按如下步驟進(jìn)行匿名認(rèn)證:
步驟1�����、所述可信中心KGC生成并公布系統(tǒng)參數(shù)�,同時(shí),生成所有客戶端����、服務(wù)器和安全硬件的私鑰和公鑰��,以及為所述安全硬件SH生成n-1個(gè)虛擬客戶端的有效簽名���;
步驟2�����、所述任意一個(gè)客戶端U根據(jù)所述系統(tǒng)參數(shù)��、自身的私鑰以及所述服務(wù)器S的公鑰生成簽名σU�����;
步驟3��、所述客戶端U根據(jù)密鑰協(xié)商協(xié)議和所述系統(tǒng)參數(shù)生成與所述安全硬件SH共享的密鑰k��,并利用所述密鑰k對(duì)驗(yàn)證所述簽名σU所必需的輔助消息C加密����,形成密文Ek(C),并把所述簽名σU及所述密文Ek(C)發(fā)送給所述安全硬件SH�����;
步驟4、所述安全硬件SH根據(jù)所述密鑰協(xié)商協(xié)議和所述系統(tǒng)參數(shù)生成與所述客戶端U共享的密鑰k��,并利用所述密鑰k對(duì)所述密文Ek(C)進(jìn)行解密�,得到所述輔助消息C;
步驟5����、所述安全硬件SH將所述簽名σU和n-1個(gè)已存儲(chǔ)的有效簽名進(jìn)行聚合,得到聚合簽名并結(jié)合所述輔助消息C生成最終聚合簽名消息M后����,發(fā)送給所述服務(wù)器S;
步驟6�、所述服務(wù)器S利用自身的私鑰以及所述聚合簽名消息M對(duì)所述聚合簽名進(jìn)行驗(yàn)證;當(dāng)驗(yàn)證通過時(shí)�����,表示所述客戶端U的簽名σU為有效簽名�,則所述服務(wù)器S根據(jù)所述密鑰協(xié)商協(xié)議得到與所述客戶端U共享的會(huì)話密鑰key,并利用所述會(huì)話密鑰key生成認(rèn)證碼MACkey及相關(guān)消息后發(fā)給所述安全硬件SH��;
步驟7����、所述安全硬件SH轉(zhuǎn)發(fā)所述認(rèn)證碼MACkey及相關(guān)消息給所述客戶端U����;并將所述客戶端U的有效簽名σU覆蓋所述n-1個(gè)已存儲(chǔ)的任意一個(gè)有效簽名�����,從而更新所述n-1個(gè)已存儲(chǔ)的有效簽名��;
步驟8���、所述客戶端U根據(jù)所述系統(tǒng)參數(shù)和所述相關(guān)消息得到所述會(huì)話密鑰key,并利用所述會(huì)話密鑰key對(duì)所述認(rèn)證碼MACkey進(jìn)行驗(yàn)證�����;當(dāng)驗(yàn)證通過時(shí)�����,進(jìn)而能利用所述會(huì)話密鑰key得到所述服務(wù)器S的后繼服務(wù)��。
與現(xiàn)有技術(shù)相比�,本發(fā)明具有以下優(yōu)點(diǎn):
1.本發(fā)明引入了安全硬件,安全硬件將客戶端簽名與其存儲(chǔ)的其他虛擬或已認(rèn)證過的客戶端的有效簽名聚合��,使得服務(wù)器只能驗(yàn)證聚合后的簽名;另外客戶端將驗(yàn)證其簽名的輔助消息先加密后傳輸��,只允許安全硬件SH解密���,保證了服務(wù)器無法直接驗(yàn)證客戶端簽名�,保護(hù)了客戶端的身份隱私�,實(shí)現(xiàn)了匿名性。
2.本發(fā)明通過引入安全硬件�����,能承擔(dān)客戶端的部分運(yùn)算工作��,且客戶端不用維護(hù)假名池����,從而有效的降低了客戶端的存儲(chǔ)代價(jià)和計(jì)算開銷,客戶端簽名時(shí)只需做少量的加法循環(huán)群上的點(diǎn)乘運(yùn)算���,降低了客戶端計(jì)算開銷�,進(jìn)而提高了認(rèn)證效率����。
3.本發(fā)明客戶端將自身公鑰和固定參數(shù)先加密后傳輸����,保證客戶端每次生成的簽名和相關(guān)消息都是隨機(jī)的���,無關(guān)聯(lián)的��,實(shí)現(xiàn)了消息的不可鏈接性���。
4.本發(fā)明客戶端利用了自身的私鑰和服務(wù)器的公鑰對(duì)請(qǐng)求消息進(jìn)行簽名,使得服務(wù)器在驗(yàn)證簽名的有效性時(shí)必須使用相對(duì)應(yīng)的私鑰���,也即只有指定服務(wù)器能夠驗(yàn)證簽名,加強(qiáng)了系統(tǒng)的安全性�����。
5.本發(fā)明中每個(gè)參與方的計(jì)算及通信開銷與客戶端的數(shù)量無關(guān)�,因此特別適宜應(yīng)用于大規(guī)模的客戶/服務(wù)器網(wǎng)絡(luò),尤其是大規(guī)模的無線移動(dòng)客戶端-服務(wù)器網(wǎng)絡(luò)��。
附圖說明
圖1為本發(fā)明系統(tǒng)模型圖�����。
具體實(shí)施方式
如圖1所示,本實(shí)施例是基于一個(gè)可信中心KGC��、一個(gè)服務(wù)器S����、一個(gè)安全硬件SH以及若干個(gè)客戶端構(gòu)成的客戶/服務(wù)器網(wǎng)絡(luò)?�?尚胖行腒GC:對(duì)系統(tǒng)進(jìn)行初始化��,并為各參與方生成和管理密鑰���;服務(wù)器S:為系統(tǒng)中合法用戶提供遠(yuǎn)程服務(wù)�����;安全硬件:部署在服務(wù)器的網(wǎng)關(guān)處����,只執(zhí)行事先燒制的程序���,任何人不能對(duì)其進(jìn)行修改����;相當(dāng)于一個(gè)黑盒??蛻舳艘话銥榻K端設(shè)備如PC,也可以是移動(dòng)智能設(shè)備如智能手機(jī)等���,計(jì)算和存儲(chǔ)能力有限����。一種面向客戶/服務(wù)器網(wǎng)絡(luò)的匿名認(rèn)證方法是按如下步驟進(jìn)行:
步驟1���、可信中心KGC生成并公布系統(tǒng)參數(shù)��,同時(shí)�,生成所有客戶端�����、服務(wù)器和安全硬件的私鑰和公鑰���,以及為安全硬件SH生成n-1個(gè)虛擬客戶端的有效簽名;
1.1)KGC生成系統(tǒng)參數(shù)����;
1.1.1)為了達(dá)到與1024比特RSA相同的安全等級(jí)��,可信中心KGC選取一個(gè)512比特的大素?cái)?shù)p=12ql-1�,其中q=2159+217+1���,即160比特的Solinas素?cái)?shù)����;
1.1.2)選取一個(gè)定義在有限域Fp上的超奇異橢圓曲線E/Fp:y2=x3+x�����,并在此基礎(chǔ)上定義一個(gè)Tate配對(duì)e:G1×G1→G2���。其中G1�����、G2都為q階的加法循環(huán)群��;
1.1.3)選擇四個(gè)安全單向哈希函數(shù)H4:G1→G1�����;
1.2)KGC選擇秘密值并計(jì)算QKGC=sP作為公鑰����。服務(wù)器S的公鑰為QS=sSP,安全硬件SH的公鑰為QSH=sSHP��;
步驟1.2)中密鑰安全性基于離散對(duì)數(shù)問題(discrete logarithm problem����,DLP),即給定aP,P∈G1��,計(jì)算
1.3)客戶端U將自己的真實(shí)身份IDU提交給可信中心KGC��,經(jīng)檢驗(yàn)合法后�����,KGC選擇隨機(jī)數(shù)并計(jì)算YU=y(tǒng)UP���,hU=H1(IDU,YU)�,dU=y(tǒng)U+hUs����。KGC通過安全信道將(YU,dU,hU)傳輸給客戶端,dU作為部分私鑰�����,YU作為部分公鑰��。安全套接字協(xié)議(Secure Sockets Layer����,SSL)和傳輸層安全協(xié)議(Transport Layer Security,TLS)可以確保消息在網(wǎng)絡(luò)中安全的傳送���,可以使用其中一個(gè)來建立安全信道�����;
1.4)客戶端U收到(YU,dU)后�,選擇隨機(jī)數(shù)計(jì)算XU=xUP��,(XU,YU)作為公鑰�����、(xU,dU)作為私鑰����。
1.5)可信中心KGC生成安全硬件SH���,KGC使用公開的簽名算法生成n-1個(gè)虛擬客戶端的有效簽名(σj,Vj)(j=1,...,n-1)及相關(guān)消息(Xj,Yj,hj,mj)(j=1,2,...n-1)交給安全硬件保存,這里n是一個(gè)小整數(shù)��,與客戶端的個(gè)數(shù)無關(guān)��,例如n=6���。KGC為安全硬件加載聚合客戶端簽名的算法�����,并且公開系統(tǒng)參數(shù)(G1,G2,e,q,P,QKGC,QS,QSH,H1,H2,H3,H4)�。
步驟2��、任意一個(gè)客戶端U根據(jù)系統(tǒng)參數(shù)��、自身的私鑰以及服務(wù)器S的公鑰生成簽名σU��;
客戶端U生成請(qǐng)求消息mU����,選擇隨機(jī)數(shù)計(jì)算Q=H4(QKGC)�����。利用式(1)、式(2)和式(3)生成對(duì)請(qǐng)求消息mU的簽名:
wU=H2(mU,XU,YU,QKGC) (1)
VU=vUQS (2)
σU=(wUxU+dU+vU)Q (3)
(σU,VU)即是客戶端對(duì)請(qǐng)求消息mU所做的簽名�。
步驟2中簽名的不可偽造性基于計(jì)算性Diffie-Hellman問題(computation Diffie-Hellman problem,CDH問題)����,即給定aP,bP∈G1,計(jì)算abP∈G1����。在隨機(jī)預(yù)言模型下,以某種不可忽略的概率���,攻擊者偽造兩個(gè)有效簽名(mU,σU,wU,VU),(mU',σU',wU',VU)�����,進(jìn)而可以得到式(4)
所以�����,使用(TU,dU)�,挑戰(zhàn)者可以為請(qǐng)求消息mU任意產(chǎn)生有效的簽名(σU,wU,VU),其中wU=H2(mU,XU,YU,QKGC),等同于真實(shí)簽名者使用(xU,dU)對(duì)mi進(jìn)行簽名�����。也即挑戰(zhàn)者可以以式(4)解決CDH問題:
所以該方法中簽名具有不可偽造性����。
步驟3、客戶端U根據(jù)密鑰協(xié)商協(xié)議和系統(tǒng)參數(shù)生成與安全硬件SH共享的密鑰k�,并利用密鑰k對(duì)驗(yàn)證簽名σU所必需的輔助消息C加密,形成密文Ek(C)��,并把簽名σU及密文Ek(C)發(fā)送給安全硬件SH����;
3.1)客戶端U選擇隨機(jī)數(shù)利用式(6)、式(7)和式(8)生成與安全硬件共享密鑰:
E=eUP (6)
E′=eUQSH (7)
k=H3(tc,E,E') (8)
其中tc為時(shí)間戳���,k為客戶端與安全硬件共享的密鑰�����;
步驟3.1)中共享密鑰k安全基于計(jì)算性Diffie-Hellman問題(computation Diffie-Hellman problem��,CDH問題)�,即給定aP,bP∈G1,計(jì)算abP∈G1���。
3.2)輔助消息C是客戶端的公鑰和固定參數(shù)hU的集合����,C=(XU,YU,hU)�����,使用密鑰k加密消息C生成密文Ek(C)�����,其中Ek(·)是常用的對(duì)稱加密操作���,例如AES??蛻舳税押灻凹用芎蟮南嚓P(guān)消息(σU,VU,Ek(C),E,tc,mU)發(fā)送給安全硬件。
步驟4�����、安全硬件SH根據(jù)密鑰協(xié)商協(xié)議和系統(tǒng)參數(shù)生成與客戶端U共享的密鑰k,并利用密鑰k對(duì)密文Ek(C)進(jìn)行解密��,得到輔助消息C�;
安全硬件SH收到簽名及其他相關(guān)消息(σU,VU,Ek(C),E,tc,mU)后,先檢驗(yàn)時(shí)間戳tc����,若tc滿足t-tC≤Δt則通過檢驗(yàn)。然后安全硬件利用式(9)(10)獲得共享密鑰:
E′=sSH·E (9)
k=H3(tc,E,E') (10)
SH使用密鑰k解密密文Ek(C)��,獲得輔助信息C=(XU,YU,hU)�。
步驟5、安全硬件SH將簽名σU和n-1個(gè)已存儲(chǔ)的有效簽名進(jìn)行聚合����,得到聚合簽名結(jié)合輔助消息C生成最終聚合簽名消息M,并發(fā)送給服務(wù)器S��;
5.1)安全硬件利用式(11)(12)將客戶端U的簽名(σU,VU)與n-1個(gè)已存儲(chǔ)的有效簽名(σj,Vj)(j=1,2,…,n-1)進(jìn)行聚合:
(σ,V)即為聚合簽名����。然后安全硬件計(jì)算wU=H2(mU,XU,YU,QKGC)、WU=wUXU+YU+hUQKGC���;
5.2)安全硬件SH利用輔助消息C���、系統(tǒng)參數(shù)以及存儲(chǔ)的有效簽名消息分別計(jì)算式(13)(14):
wj=H2(mj,Xj,Yj,QKGC)(j=1,2,…,n-1) (13)
Wj=wjXj+Yj+hjQKGC(j=1,2,…,n-1) (14)
安全硬件將(σ,V,E,WU,W1…Wn-1)發(fā)送給服務(wù)器��。
步驟6�、服務(wù)器S利用自身的私鑰以及聚合簽名消息M對(duì)聚合簽名進(jìn)行驗(yàn)證�;當(dāng)驗(yàn)證通過時(shí),表示客戶端U的簽名σU為有效簽名�,則服務(wù)器S根據(jù)密鑰協(xié)商協(xié)議得到與客戶端U共享的會(huì)話密鑰key,并利用會(huì)話密鑰key生成認(rèn)證碼MACkey及相關(guān)消息后發(fā)給安全硬件SH��;
6.1)服務(wù)器S利用式(15)驗(yàn)證聚合簽名:
若驗(yàn)證通過���,則服務(wù)器為客戶端計(jì)算會(huì)話密鑰key;
步驟6.1)中等式(15)的正確性如式(16)所示:
6.2)服務(wù)器選擇隨機(jī)數(shù)計(jì)算R=rP�,利用式(17)計(jì)算與客戶端U共享的會(huì)話密鑰key:
key=rE=eurP (17)
服務(wù)器利用key生成消息認(rèn)證碼MACkey,發(fā)送(MACkey,R)給安全硬件���。
步驟7�、安全硬件SH轉(zhuǎn)發(fā)認(rèn)證碼MACkey及相關(guān)消息給客戶端U����;并將客戶端U的有效簽名σU覆蓋n-1個(gè)已存儲(chǔ)的任意一個(gè)有效簽名,從而更新n-1個(gè)已存儲(chǔ)的有效簽名����;
安全硬件接受(MACkey,R)后�����,轉(zhuǎn)發(fā)消息(MACkey,R)給客戶端U�,并將客戶端U的有效簽名(σU,VU)覆蓋n-1個(gè)已存儲(chǔ)的有效簽名中的任意一個(gè)��,更新有效簽名池�����,經(jīng)過一定次數(shù)的更新后���,安全硬件中存儲(chǔ)的簽名均為真實(shí)用戶的有效簽名���。
步驟8、客戶端U根據(jù)系統(tǒng)參數(shù)和相關(guān)消息得到會(huì)話密鑰key�,并利用會(huì)話密鑰key對(duì)認(rèn)證碼MACkey進(jìn)行驗(yàn)證;當(dāng)驗(yàn)證通過時(shí)�����,進(jìn)而能利用會(huì)話密鑰key得到服務(wù)器S的后繼服務(wù)�。
客戶端U接收消息(MACkey,R)后��,根據(jù)式(18)計(jì)算得到會(huì)話密鑰key:
key=eUR=eurP (18)
并利用key驗(yàn)證MACkey��,若驗(yàn)證通過���,客戶端利用key得到服務(wù)器S的相關(guān)服務(wù)。
步驟8中會(huì)話密鑰安全性基于離散對(duì)數(shù)問題(discrete logarithm problem�����,DLP)�����,即給定aP,P∈G1����,計(jì)算