网络安全教程 教学课件 田园 第15章 高级的安全协议及应用.pptVIP

第15章 高级的安全协议及应用 ;15.1 承诺协议; （3）绑定性质 设A是P.P.T.算法，考虑对TDC的攻击模型ExpTDCA(k)： (pk,sk)←K(k); (y, (m0, r0),(m1, r1))←A(pk); if Vf(pk, y, c0||r0)=Vf(pk, y, c1||r1)=1 且m0≠m1 then 输出1 else 输出0; 定义AdvTDCA(k)≡P[ExpTDCA(k)=1]。若对任何P.P.T.算法A，AdvTDCA(k)都是k的速降函数，则TDC定义做满足绑定性质。 （4）隐藏性质 对任何P.P.T.算法B和所有长度相同的消息m0、m1，以下表达式 |P[(pk,sk)←K(k); b←${0,1}; y←Cmt(pk, mb, r): B(pk,y)=b]-1/2|;15.2 零知识证明协议 ; （3）零知识性质。V无法从协议本身的消息有效推断出关于w的任何信息。 考虑下面某个已知素阶群G上的线性指数型方程组 i=1,…,m （1） 其中Bij和hi是G上的已知元素、xi是未知的整数值对象（方程组相当于关系R、其中所有已知元素的总和相当于x、所有未知对象的总和相当于w）。; 为行文简捷但又不失一般性，如图15-2所示仅给出特殊情况，即χ00=Ωs∧ξ0=的Σ型零知识证明协议，由此可直接推广到任意情况下的一般性构造。 所有这些构造都具有常数轮[3轮]消息。 P(χ00||Ω||ξ0||g0||g1,s||t) V(χ00||Ω||ξ0||g0||g1);图15-2 关系为χ00=Ωs∧ξ0= 的Σ型零知识证明协议; Ω型零知识证明协议除了满足前述所有性质（1）～（3）外，还有一种有趣的性质：如果（不论什么原因）出现了两次协议会话，其3轮消息分别为(Θ||U ||e11||e12||e21||e22, c, z11||z12 ||z21||z22)和(Θ||U ||e11||e12||e21||e22, c, z11||z12 ||z21||z22)、c≠c （即第二条消息不同但第一条消息在两论会话中完全相同）且V接受所有这两次协议会话，即 ; s均成立，则这时可以从以上任何一次会话的消息中有效计算出P的秘密s||t，具体做法是首先在协议开始之前进行以下计算;图15-3 关系为 χ00=Ωs∧ξ0= 的Ω型零知识证明协议;随机生成RSA素数p1, p2q且q不整除p1-1和p2-1; N←p1p2; σ←N; τ←φ(N) /*φ是Euler函数*/ return(σ,τ); /*τ是陷门*/; 然后P和V基于以上生成的参数进行协议会话，如果出现前面描述过的两次会话，知识提取算法利用公开的参数N、陷门τ(=φ(N))和其中一次会话的消息如(Θ||U||e11||e12||e21||e22, c, z11||z12 ||z21||z22)进行以下计算 计算d: qd = 1 mod φ(N); α1←e11d mod N; ←((α1- qe11 -1)mod N2) / N; α2←e21d mod N; ←((α2- qe21 -1)mod N2) / N; return(,); 通过直接计算即可验证以上算法给出的结果正确（习题15-2和15-3）。;15.3 健忘传输协议 ; 解决方案是健忘传输协议。这类协议有许多构造方法，在此给出一个独特的基于IBE的方案，它用到IBE方案Π=(Setup,UKG, E,D)、带陷门的承诺方案TDC=(KG, Cmt, Vf,Fake)和上一节讨论过的零知识证明方案，以及一个抗冲突的散列函数H。; 符号νρ表示生成随机数ρ，E(mpk, i, xi; ri)表示以i为身份标识（身份公钥）对数据项xi进行IBE加密计算、ri为加密算法中的随机数；ZPoK ((xi,ri): ξi=E(mpk, i, xi; ri),i=1,…,N)表示零知识证明协议，证明方为数据发送方P1、验证方为数据接收方P2，(xi,ri)是仅由P1持有的秘密信息，所有（不在括号中的）其他变量都表示证明/验证方共享的公开信息，ξi=E(mpk, i, xi; ri),i=1,…,N则是这些公开及秘密变量所满足的数学关系。 ; 方框中的ΔПBlind-UKG 是IBE方案Π的用户私钥盲生成协议，直观地讲就是一方向另一方提供正确的身份私钥usk(a)，而另一方却不向提供方泄露自己的身份标识a。 该协议的理想模型FПBlind-UKG可以刻画如下，其中P1、P2是参与方，sid表示会话号、ssid表示子会话号;图15-4 基于IB