零知识身份认证
基于零知识证明身份认证与部分盲签名的电子货币支付模型
息安全体系。该体系所 包含 的 内容主要 有以下几 个层 次: 基本加密算法 、 安全认证手段和 安全 应用协 议。其 中所 用 的安全技术通 常有 : 加密 技术 算法 ( 密密 钥、 秘
公开密钥 ) 公开密 钥 系统基础 设 施 ( I、 、 P) 各种 认证 技
道客户 的身份 , 因为有 时由于交易匿名性 的需要 , 不能 确认客 户 的准 确 身份 , 应能做 到保证 是在 与 一个可 但
靠的对象通信 。
( )不可 否认 性。一 旦交 易 结束 , 易各 方都 不 4 交
能否认 自己参 与过这次 事务。 为 了保证上述 电子 商 务活 动的 安全性 , 须 有一 必 套有效 的安全 机制作 为保证 , 这就 要建 立 电子 商 务信
成果。其主要 满足下列四个基本要求 : ()保 密性 。在实际 的交易环 境 中必 须保 护 用户 1
订 购信息 及支付信 息 的安全 , 得只 有特 定 的接收 方 使 可访问这些信息。 ( )完整 性。在 实际 交易 过 程 中, 2 接收 到 的消 息 确实是 实际发送 的信息 , 不可能 在传输过 程 中被 非 法
韩 建 叶 琳 洪志全 ( 成都理工大学 信 息工程学院 60 5 )10 9
摘要 : 电子 商务是通过 I en f n re 网所进行的 商务 活动 , 于电子 商务一 个非常 关键 的要 求就是 要有 一 个安 全高效 t 对
的电子货 币 系统 。本 文简要 分析 了电子货 币在 网络安 全方 面的 需求。 同时, 安全 电子 交 易提 出了一 个具有 并 就
行零知识证 明身份认证 系统 以及部 分盲签 名技 术的电子 货 币安全 支付模型 。并对此 支付模 型进行 了详 细分析 和
基于椭圆曲线零知识的RFID双向身份认证
l i p t i c c u r v e c r y p t o g r a p h y a n d z e r o k n o wl e d g e a u t h e n t i c a t i o n ,a n d p r o p o s e s a d y n a mi c t a g — I D t e c h n o l o g y ,s o l vi n g t h e s n i in f g,
W ANG Xi a o me i , Z HANG Qi u j i a n . Mu t u a l a u t h e n t i c a t i o n f o r RF I D b a s e d o n e l l i p t i c c u r v e a n d z e r o k n o wl e d g e . Co mp u t -
t r a c k i n g a t t a c k s a n d o t h e r i s s u e s e ic f i e n t l y .
Ke y wo r d s :e l l i p t i c c u r v e c r y p t o g  ̄ a p h y ; z e r o k n o wl e d g e a u t h e n t i c a t i o n ; Ra d i o F r e q u e n c y I De n t i f i c a t i o n( R F I D) ; d y n a mi c I D;
t h us t h e s y s t e m wi l l c r e a t e a c r e d i b l e c o m mu n i c a t i o n c h a n n e 1 . T hi s p a p e r p r o po s e s a mu t u a l a u t h e n t i c a t i o n p r o t o c o l b a s e d o n e l —
身份认证
第七讲 认证
不安全的口令则有如下几种情况: (1)使用用户名(帐号)作为口令。 (2)使用用户名(帐号)的变换形式作为口令。 将用户名颠倒或者加前后缀作为口令,比如说 著名的黑客软件John,如果你的用户名是fool, 那么它在尝试使用fool作为口令之后,还会试 着使用诸如fool123、loof、loof123、lofo等作为 口令,只要是你想得到的变换方法,John也会 想得到。
18
4)主体特征认证 ) 目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。 例如:系统中存储了他的指纹,他接入网络时, 就必须在连接到网络的电子指纹机上提供他的 指纹(这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式。
身份认证
1
一、认证的基本原理 二、认证协议 1)基于口令的认证 2) 基于密码的身份认证 基于对称密码的认证--KDC 基于非对称密码的认证—CA
3) 零知识的身份证明
三、典型的认证应用
2
认证的基本原理
认证的方法 认证的机制
3
一、认证的基本原理
在现实生活中,我们个人的身份主要是通过各 种证件来确认的,比如:身份证、户口本等。 认证是对网络中的主体进行验证的过程,用户 必须提供他是谁的证明,他是某个雇员,某个 组织的代理、某个软件过程(如交易过程)。 认证( authentication )是证明一个对象的身份的 过程。与决定把什么特权附加给该身份的授权 ( authorization )不同。
15
时间同步身份认证 优点: 易于使用。 缺点: 1. 时间同步困难,可能造成必须重新输入新密 码。软体认证卡采用PC的时刻,很可能随时 被修改。常常需要与服务器重新对时。 2.不如Challenge/Response认证更安全
基于零知识证明的身份识别体制探讨
的 身 份 识 J 体 制 , 基 于 零 知 识 证 明 的 身 份 识 别 体 制 的 构 建进 行 了探 讨 . t l j 对 关 键 词 : 零 知 识 ; 份 i,4 协 议 ; 建 身 TJ ;  ̄ 构
中 图 分 类 号 : T 3 文 献 标 识 码 : A 文 章 编 号 : 10 —92 (0 2 0 P 08 18 20 )4一O6 OO一0 5
正 确 的 , 又 不 向验 证 者 提 供 任 何 有 用 的信 息 . 却
身份 . 讯 和 数 据 系 统 的 安 全 性 也 取 决 于 能 否 通 正 确验 证 用 户 或 终 端 的个 人 身 份 . 如 , 行 的 例 银 自动 出纳 机 A M 可 将 现 款 发 给 经 它 识 别 的 帐 T 号持 卡人 , 而 大 大 提 高 工 作 效 率 和 服 务 质 量 . 从
Q i u t —C io us a r ul u曾用 一 个 关 于洞 穴 的故 事 来 q e l
解 释 零 知 识 . 穴 如 图 , 面 有 一 个 秘 密 , 有 洞 里 只
知 道 咒 语 的 人 才 能 打 开 C和 D 之 间 的 秘 密 之
对于 计 算 机 的 访 问 和 使 用 、 全 区 域 的 出 入 都 安 是 以精 确 的 身 份 验 证 为 基 础 的 . 统 的 身 份 证 传
秘 密之门 .
() 2 B将 随 机 比特 b送 给 A ; ( ) b=0 3若 ,则 A 将 r 给 B 若 b=l 送 ; ,则
A 将 Y s送 给 B ; =r
() 6 P和 V 重 复 步 骤 () () 1至 5 n次 .
上 面 的 P向 V证 明是 通 过 交 互 作 用 协 议 来
基于零知识证明的身份认证解决方案
在下面 的方 案 中 ,假 定存 在一 个可 以信 任 的机 构 ,该 机构 的作 用是 公开一 个模数 n,其 中 n是两 个大 素数 P和 q的
库 中 ,带来 了数据 的非 法 泄 漏 ,删 除 , 修 改等 必须 正视 的 问题 , 同时 由于信 息
乘积 ,但这 两个 素数 是 保密 的 ,由于 数 不 能 向别人 证 明该 定理 ,除非 他 自己偶 学上的原 因假定这两个素数 同余 3 4 模 。P 然 碰巧 证 明 了该 定 理 。实 际上 ,只要某 的秘密身份证i )由k ( q 个数C , 一, C C 组 人相信 一 个定 理能 成立 ,则他 一 定对该 . 成 , 其中 1 C <n 他 的公开 身份证 p() ≤ 。 i p 定 理有 了较 深 的认 识 。 例如: 考虑一个 NP 完全 问题 , 即在一 个 图中构造一 个 Ha l n圈。按照定义 , mio t 当切仅当一 个圈通过每个节点刚好一次时 , 一 图 G中的这个 圈 ( 即起始节 点和终止 节点 由k4 数d ,∥ 一, 。 成 , " d d组 其中 1 。 ≤d<n
是 共享 的 ,任何 人都 可 以使 用 ,那 么信 息 的丢 失就 不 易被发现 ,所 以保 护信 息
的 安全无疑 是十 分重要 的 。
而 且每 个 d
满 足 同 余方 程式 :
密码 技术 正被 有效 地 应用 于信 息 鉴 别 、数 字签 名 、身份 认证 等 ,以 防止 电 子 欺骗 ,这 对信 息的 安全 起到 非 常重要
y u T n Y
,
锁到盒子中,进一步, P准备} 个锁着的 }
盒子 B 1≤ i <j 。如果在盒子 B 和 ≤t B 中锁着 的节 点之 间有一条图 G的边 ,则 盒子 B.包含数 1,否 则 ,B 包 含数 1 。
零知识证明协议的研究及应用
零知识证明协议的研究及应用随着互联网虚拟世界日益发展,保护个人隐私和数据安全问题变得愈加紧迫。
而在这一背景下,零知识证明协议逐渐受到人们的关注,成为保障个人隐私及数据安全的重要工具。
零知识证明协议在金融、安全、隐私保护等领域都有广泛的应用,具有很大的研究和发展前景。
一、什么是零知识证明协议?零知识证明协议(Zero-Knowledge Proof)是一种密码学协议,它可以证明某个命题在不泄露其他相关信息的情况下是正确的。
零知识证明协议的基本思想是:证明者拥有某些私有信息,但不想直接透露这些信息,而只是想证明这些信息的某些性质。
零知识证明协议的证明结果不包含证明者的任何实际信息,仅包含证明的正确性。
零知识证明协议具有不可伪造性、保密性和可验证性等特点,在保护个人隐私和数据安全方面具有广阔的应用前景。
二、零知识证明协议的研究进展零知识证明协议的研究起源于20世纪80年代,目前已经发展为一个庞大的研究领域。
在零知识证明协议的研究中,最为重要的是设计高效率的算法、构建安全的协议及分析协议的安全性等方面。
一方面,设计高效率的算法是保证零知识证明协议顺利进行的关键。
随着技术的不断发展,研究者们在零知识证明算法的设计方面前赴后继地探索,不断提升算法的效率和安全性,例如目前主流的零知识证明协议ZK-SNARK就是一种高效可信的证明系统。
另一方面,构建安全的零知识证明协议也是研究的重要任务。
在构建安全的协议时,需要考虑到潜在的攻击类型,并针对这些攻击类型进行相应的安全保护。
例如,在对零知识证明协议进行形式化安全证明时,研究者们往往会采用模拟游戏等形式,模拟攻击者可能采取的各种策略,从而保证协议的安全性。
此外,分析零知识证明协议的安全性也是一个研究热点。
研究者们通常会考虑以下几个方面:1. 随机性:在设计零知识证明协议时,随机性是非常重要的,攻击者如果能够获得较多的随机数,就可能得到有用的信息,造成破坏。
2. 误差:由于协议中存在计算误差,因此攻击者可能通过利用计算误差发现有效信息。
《零知识证明》PPT课件
过程中,B始终不能看到钥匙的样子,从而避
免了钥匙的泄露。
精选PPT
3
❖ 零知识证明实质上是一种涉及两方或更多 方的协议,即两方或更多方完成一项任务 所需采取的一系列步骤。零知识证明必须 包括两个方面,一方为证明者P,另一方 为验证者V。证明者试图向验证者证明某 个论断是正确的,或者证明者拥有某个知 识,却不向验证者透露任何有用的消息。 零知识证明目前在密码学中得到了广泛的 应用,尤其是在认证协议、数字签名方面。
精选PPT
14
❖ Goldwasser等人提出的零知识证明是交 互式的,也就是证明者和验证者之间必 须进行双向对话,才能实现零知识性, 因而称为交互零知识证明。
精选PPT
15
❖ 在交互零知识证明的研究中,目前受到关注的
有两种基本模型。一种是GMR模型,在这种模
型中,证明者具有无限的计算能力,验证者具
中心 TA 签名的有效性;
3、 验证者 B 选择一个随机整数 e Zb ,并将其发给识别者 A;
4、 识别者 A 计算 y rme mod n ,并将其发送给验证者 B;
5、 验证者 B 通过计算 X ve yb mod n 来验证身份信息的有效性。
可以看出,Guillou-Quisquater 身份认证协议的安全性与 RSA 公钥密码体
精选PPT
10
Hamilton回路零知识协议
❖ 许多计算上困难的问题可以用来构造零知识 协议。
❖ 在图论中,图 G中的回路是指始点和终点相 重合的路径,若回路通过图的每个顶点一次 且仅一次,则称图 G为哈密尔顿回路,构造 图 G的哈密尔顿回路是 NPC 问题。
精选PPT
11
❖ 假定 P知道图 G的哈密尔顿回路,并希望向 V证明这一事实,可采用如下协议:
零知识证明与身份识别技术changwei
单向函数的零知识证明
假 定 : P的秘密是x<q,存在一个单向函数f,满足条件
:f(x*y)=f(x)f(y),V可以知道X=f(x)
重复以下步骤m次:
1. P选取某一个k,计算commit=f(k),发送commit给V 2. V通过抛硬币的方式选择challenge是0或1发送给P 3. 如cRheas果plleocnnhgsaeel给=le1nVg,e=0P ,计P算计R算esRpeosnpsoen=ske*=xk,; 发如 果送 4. 如c否o是m果cmocimht;amll如eitn*果gXech=a0ll,engVe验=1证, fV(R验es证pof(nRsees)p是ons否e)是是 如果m)m次检验都成功,则V接受证明(被欺骗的概率是2-
Feige-Fiat-Shamir身份鉴别方案
协议如下:
(1) P选随机数r(r < m),计算x = r2 mod n并发送 给验证方V;
(2) V选k比特随机二进制串b1, b2, …, bk传送给P;
(3) P计算y = r 并送给V;
×
(s1b1
×
s2b2
×
…
×
skbk
)
mod
n,
(4) V验证x = y2 × (v1b1 × v2b2 × … × vkbk ) mod n。
零知识证明的图论示例
设P知道咒语, 可 打开C和D之间的 秘密门,不知道者 都将走向死胡同中
零知识证明的图论示例
(1) V站在A点; (2) P进入洞中任一点C或D; (3) 当P进洞之后,V走到B点; (4) V叫P:(a)从左边出来,或(b)从右边出来; (5) P按要求实现(以咒语,即解数学难题帮助); (6) P和V重复执行(1)~(5)共n次。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.零知识身份认证
零知识证明(zero-knowledge proof)的思想是:证明者Peggy拥有某些知识(如某些长期没有解决的难问题的解决方法),零知识证明就是在不将该知识的内容泄露给验证者Victor的前提下,Peggy向Victor证明自己拥有该知识。
首先,我们看下面Peggy和Victor之间的一段对话:
Peggy:“我可以对密文为C的消息进行解密。
”
Victor:“我不相信。
请证明。
”
Peggy(糟糕的回答):“密钥是K,您可以看到消息解密成了M。
”
Victor:“哈哈!现在我也知道了密钥和消息。
”
这里,Peggy虽然证明了自己拥有某些知识(密钥K及明文M),却向Victor 泄露了这些知识。
一个更好的对话是:
Peggy:“我可以对加密为C的消息进行解密。
”
Victor:“我不相信。
请证明。
”
Peggy(好的回答):“让我们使用一个零知识协议,我将以任意高的概率证明我的知识(但是不会将关于消息的任何情况泄露给您)。
”
Victor:“好”。
Peggy 和 Victor 通过该协议……
可以使用洞穴例子来解释零知识,C和D之间存在一个密门,并且只有知道咒语的人才能打开。
Peggy知道咒语并想对Victor证明,但证明过程中不想泄露咒语。
图7.13 零知识洞穴
步骤如下:
(1)Victor站在A点;
(2)Peggy一直走进洞穴,到达C点或者D点;
(3)在Peggy消失在洞穴中之后,Victor走到B点;
(4)Victor随机选择左通道或者右通道,要求Peggy从该通道出来;
(5)Peggy从Victor要求的通道出来,如果有必要就用咒语打开密门;
(6)Peggy和Victor重复步骤(1)至(5)n次。
如果Peggy不知道这个咒语,那么只能从进去的路出来,如果在协议的每一轮中Peggy都能按Victor要求的通道出来,那么Peggy所有n次都猜中的概率是1/2n。
经过16轮后,Peggy只有65536分之一的机会猜中。
于是Victor可以假定,如果所有16次Peggy的证明都是有效的,那么她一定知道开启C点和D 点间的密门的咒语。
我们来看一个零知识证明的例子。
图是否同构是NP完全问题,对于一个非
常大的图,判断两个图是否同构是非常困难的。
对于图G
1和G
2
,如果存在一个
一一对应的函数F:F的定义域是G
1的顶点集。
F的值域是G
2
的顶点集。
当且仅
当[g1,g2]是G
1中的一条边,[F(g1),F(g2)]才是G
2
中的一条边,称G
1
和G
2
同构
的。
假设Peggy知道图G
1和G
2
之间同构,Peggy使用下面的协议将使Victor相
信G
1和G
2
同构:
(1)Peggy随机置换G
1
产生另一个图H,并且H和G
1
同构。
因为Peggy知
道G
1和H同构,也就知道了H和G
2
同构。
(2)Peggy把H送给Victor。
(3)对如下两个问题Victor选择其中的一个,要求Peggy证明。
但是,Victor
不要求两者都证明。
证明G
1
和H同构,或者
证明G
2
和H同构。
(4)Peggy按Victor的要求证明。
(5)Peggy和Victor重复步骤(1)至(4)n次。
如果Peggy不知道G
1和G
2
之间的同构性,Peggy就只能创造一个图或者与
G 1同构或者与G
2
同构。
每一轮中Peggy只有50%的机会猜中Victor的选择。
又
因为Peggy在协议的每一轮都产生一个新图H,故不管经过多少轮协议Victor
也得不到任何信息,他不能从Peggy的答案中了解G
1和G
2
的同构性。
图同构的
零知识证明只具有理论意义,从实现来看,是不实用的。
这里我们介绍著名的Feige-Fiat-shamir零知识身份认证协议的一个简化
方案。
可信赖仲裁选定一个随机模数n,n为两个大素数乘积,实际中至少为为512位或长达1024位。
仲裁方产生随机数v,使x2=v mod n,即v为模n的平方剩余,且有v-1mod n存在。
以v作为Peggy的公钥,而后计算最小的整数s:s=sqrt(v-1) mod n作为Peggy的私钥。
实施身份证明的协议如下:
(1)用户Peggy取随机数r,这里r<m,计算x= r2mod m,把x送给Victor;
(2)Victor把一个随机位b送给Peggy;
(3)若b=0,则Peggy将r送给Victor;若b=1,则Peggy将y=rs 送给Victor;
(4)若b=0,则Victor验证x=r2 mod m ,从而证实Peggy知道sqrt(x);若b=1,则Victor验证x=y2.v mod m,从而证实Peggy知道s。
这是一轮鉴定,Peggy和Victor可将此协议重复t 次,直到Victor相信Peggy知道s为止。