基于非中心化网络的匿名认证模型自动化设计

姜 参

（渤海大学 电子商务系，锦州 121000）

0 引言

随着人类活动日益网络化，人们更加依赖计算机化的社会结构，更加依赖P2P网络来共享信息、表达观点和交换数据。这就需要一个匿名的体系来更好的保护用户的个人隐私。

无需考虑到相关责任而一味的追求用户隐私的保密性是不切实际的。用户节点没有对被辨认出来的担心，就很难规范其行为。已有的责任认定已经可以通过传统的认证机制(访问控制或者身份验证)来核实请求服务的用户身分。在密码学的经典例子中有Kerberos和标准公共密钥基础设施(PKI)，而这里客户必须放弃他们个人信息的保密性来通过验证。

传统的匿名证书系统假设只有客户端而非服务器关心其隐私保密性。在P2P系统中客户端和服务器是地位同等的，这就使得现有的证书系统都不能恰当的直接平衡私密性和对应的问责。而双重身份对等节点的隐私保护和问责机制，恰恰是如今蓬勃发展的非中心化网络所必须具备的安全手段。

1 基于匿名认证模型背景

现有的k-Times匿名认证只能在结点来自同一个服务器的时候用标签唯一的标示对方。秘密握手(SHSs)也只允许相同组的成员之间不暴露各自的组属性的前提下共享一个会话密钥。这些都不具备如今P2P网络的多服务器多角色的全局识别能力。

2 基于匿名认证体系框架的提出

基于已有的匿名认证体系，结合点对点网络特点提出改进的初步方案。

2.1 将“可链接内容”引入认证方案

可链接内容（以下简称LC）是确定认证可链接性的运行于框架中的属性集聚。特别指的是当只有两个认证同时进行的时候是可链接，或者当可链接内容的属性都来自相同的约束前提的时候。

在k-TAA中，只有来自同一个客户端且同时运行的认证是可链接的。k-TAA的可链接内容是LC =(client-ID，time）即身份和时间的聚集[1]。

PPAA中的可链接内容 正确的选择可链接内容是建立PPAA的第一步。在本次设计中PPAA可链接内容是客户端和服务器端身份的无序对和对应事件，这里PPAA中也是需要执行认证的前提。

LC ={{client-ID，server-ID}，event-ID}。

2.2 PPAA（Peer-to-Peer Anonymous Authentication）设计的核心观点

面向事件的可关联组的签名环以及K-TAA是不能作为PPAA框架的安全手段的,原因是服务器端的验证不在其可链接的内容中。但是可以通过映射一个事件(例如时间)进入服务器验证的方法使其成为面向事件可链接组或认证环（K-TTA）的可链接内容[2]。

因此，LC成为(client-ID,server-ID)而由同一用户运行的到不同的服务器变认证得不可链接。具体地，带有加密xi的客户端i针对服务器j形成ti,j=gxi j,其中gj是服务器端参数。于是同一个节点的标签对于不同服务器来讲是绝对不可链接的。

3 非中心化网络的匿名认证模型设计

3.1 基本的PPAA

假设已知有Diffie-Hellman协议描述下的组G1，使H：{0，1}*→G1作为秘密密钥的哈希函数,事件识别码是任意长度的字符串。每一个用户由GM颁发一个数字证书cred=(A,x,y)∈G1×Z2p，其中x,y∈RZp，A值在所有的证书中不同。在基本框架中，标签是函数f的输出，同时作为节点初始化证书ced1=(A,x1,y1)的输入，回应节点cre2=(A2,x2,y2)并且事件ID为eid[3]。函数定义如下：

f:(ced1,crd2,eid) →tag={τ1,τ2},其中τ1=Ax2 1H(eid)y1 ,τ2=Ax1 2H(eid)y2

协议框架 以初始节点Alice（crd1=(A1,x1,y1)）和回应节点Bob（crd2=(A2,x2,y2)）在事件（eid）中为例，协议完成后他们各自输出一个标签。

3.2 详细的协议模型

为了进一步保证协议参与结点的规范行为需要引入必要的机制，例如采用SPK[4]框架来进一步约束协议中每一步的正确性。这里，我们引入同G1同样描述的G2，使（G1,G2）成为被q-SDH（q-Strong Diffie-Hellman）假定约束平行的一对组。让l成为多项式中使λ足够大的安全参数。使g1,…,g5∈G1成为G1的原始构成，这样就使相关的在g1,…,g5和g0间的离散对数未知。使H:{0，1}*→Z作为秘密密钥算法的哈希函数。H可以被体系中的各个SPK使用。

设定 GM随机选择γ∈RZp并计算ω=hγ 0∈G2。组密钥是gsk=(γ)，组公钥是是gpk=(ω)

注册 当用户Alice和GM的协议成功完成，Alice由cred=(A,e,x,y,z)∈G1×Z4p得到一个证书cred，并且Ae+r=g0gx1gy2gz3 。向GM输入的私钥是所管辖组的秘密密钥gsk。协议运行如下：

1）GM向Alice发送＜N0＞,其中N0∈R{0,1}l是随机的。

2）Alice发送＜C,Ⅱ0＞给GM，其中C= gx1gy 2gz3∈G1是（x,y,z）∈RZ3P的委托，Ⅱ0是消息M=N0‖C SPK{（x,y,z）：C=gx 1gy2gz3}(M)的数字签名依据。这可以证明C的正确与否，同时参照上面的SPK作为SPK0。

3）如果Ⅱ0的认证返回无效那么GM会在失败处终止。否则GM向Alice发送＜A,e,z2＞，其中e,z2∈RZp并且A=（g0Cgz23）1/e+γ∈G1

4）Alice的计算机中z=z1+z2，如果ê(A，whe o)≠ê(g0gx1gy2gz3,h0)她也终止于这个失败。否则她输出的cred=(A,e,x,y,z)就作为她的证书。

考虑系统的安全需要，不允许两个注册协议的实例同时运行，GM逐个注册用户。

验证 爱丽丝（作为发起人）和鲍勃（作为响应）在一个带有标识符 eid∈(0,1)*的事件中要相互验证彼此。Alice和Bob共同的输入是eid，不同的输入是Alice和Bob他们自己的私有证书,分别是（A1,e1,x1,y1,z1）和（A2,e2,x2,y2,z2）[5]。下面描述了4轮的身份验证协议的步骤：

1）Alice 发送＜N1,U1, V1,Π1＞ 给Bob, 其中:

N1∈R{0,1}l,r1∈RZp

U1=Ar11∈G1,V1=H(eid)r1∈G1

Π1是对于消息M=m1=eid‖N1‖U1‖V1∈{0,1}*时

SPK｛（A,e,x,y,z,r）：Ae+r=g0gx1gy2gz 300000∧U1=Ar∧V1=H(eid)r｝(M)的签名， Alice由已知的（A1,e1,x1,y1,z1）产生。上面的SPK作为SPK1。

2）如果Π1的认证返回无效Bob也终止于这个失败。否则他发送＜N2,U2, V2,Π2＞给Alice，其中

N2∈R{0,1}l,r2∈RZp

U2=Ar2 2∈G1,V2=H(eid)r2∈G1,W2=Ux2 1Vy2 1,

Π2是在M=m2=m1‖Π1‖N2‖U2‖V2‖W2‖∈{0,1}*时

Ae+r=g0gx 1gy 2gz 3 ∧

SPK｛（A,e,x,y,z,r）:V2= H(eid)r∧U2=Ar∧｝(M)

W2=Ux1Vy1的签名, Bob由已知的（A2,e2,x2,y2,z2,r2）产生。将上面的SPK作为SPK2。

3）如果Π2的认证返回无效Alice也终止于这个失败。否则她发送＜W1，r1, Π3＞给Bob,其中

W1=Ux12Vy12∈G1,r1=W1/r12∈G1

Π3是M=m3=m2‖Π2‖W1‖t1∈{0,1}*时

Ae+r=g0gx 1gy 2gz 3 ∧

SPK{（A,e,x,y,z,r）:U1=Ar∧V1=H(eid)r∧}(M)

W1=Ux 2Vy 2∧W2=tr 1的签名,这里Alice可以用她已知的（A1,e1,x1,y1,z1,r1）产生。把上面的SPK作为SPK3。

4）如果ΠA的认证返回无效Bob也终止于这个失败。否则她发送＜ r2, Π4＞给Alice,其中

τ2=W1/r21,

Π4是在M=m4=m3‖Π3‖t2∈{0,1}*的前提下

SPK{（r）:W1=τr 2∧V2=H(eid)r}(M)的签名，Bob可以用已知的r2来产生。把上面的SPK作为SPK4。

Bob计算出tag2={τ1,τ2},终止。

5）如果Π4的认证返回无效Alice也终止于这个失败。否则她计算出tag1={τ1,τ2},终止。

连接验证 输入标签tag1,tag2，如果他们相等，算法返回已连接，否者告知未连接。

4 结论

本文提出的对等节点匿名身份验证（PPAA）较好地平衡了对等用户的网络隐私保护和对应的问责，使这种非中心网络中的结点也具有了双向的对等身份，并提供较高的安全保证和较好的运行效率。

[1] Giuseppe Ateniese,Marina Blanton,and Jonathan Kirsch.Secret Hands hakes with Dynamic and Fuzzy Matching [J].NDSS.The Internet Society,2007.

[2] Man Ho Au,Willy Susilo,and Yi Mu.Constant-size dynamic-taa [J].SCN.volume 4 116 of LNCS.2006:111-125.

[3] Man Ho Au,Willy Susilo,and Siu-Ming Yiu.Event-oriented k-times revocable-if-linked group signatures[M].ACISP，volume 4058 of LNCS.2006：223-234

[4] Mihir Bellare and Phillip Rogaway.Random oracles are practical:a paradigm for designing efficient protocols.In Proceeding of the1st ACM conference on Computer and communications security[M],ACM ,1993:62-73.

[5] Jan Camenisch, Susan Rosenberger,Mark Ulf Kohl Weiss,Anna Lysyanskaya,and Mira Meyerovich.How to win the clone wars:effcient periodicn-times anonymous authentication[J].Computer and Communications Security,2006:201-210.

[6] Maxim Raya and Jean-Pierre Hubaux.Securing vehicular ad hoc networks[J].Journal of Computer Security.2007,15(1):39-68.

[7] TPM Work Group.TCG TPM Speciffcation Version 1.2 Revision103[J].Trusted Computing Group,2007.

[8] Patrick P.Tsang and Sean W.Smith.PPAA:Peer-to-peer anonymous authentication[J]ACNS,LNCS.Springer,2008.