现代密码学原理与应用第8章 .pptVIP

8.3.1 Schnorr身份识别方案 Schnorr身份识别方案由Schnorr1991年提出，它是一种计算量、通信量都很少的识别方案。该识别方案的安全性基于计算离散对数的困难性，它特别适用于在智能卡（Smart Card）上使用。 1．选择参数 Schnorr识别方案需要一个可信任的验证中心TA，且选择参数如下： ? p、q是两个大素数，且q|(p-1)，q至少为140bit，而p至少512bit。 ? α∈ ，为q阶元。 ? h(x)是输出为t bit的单向函数，t是一个安全参数（t=40bit或t =72bit）。 ?选择签名生成算法Sigta和签名验证算法Verta 2．TA向示证者P颁发证书 (1) TA为P建立身份信息IDP ，一般为512bit。 (2) P选取随机数x作为自己的私钥x∈［1,q-1］，计算出公钥y≡α-x (mod p) ，P到TA处注册其公钥。 (3) TA计算签名S=Sigta(IDP,y)，将身份证书CertP=( IDP,y,S)发送给P 。 3．示证者P向验证者V证明自己的身份 (1) P将自己的身份证书CertP交给验证者V。 (2) V通过检查证书CertP，来验证TA的签名。 (3) P任意选择一整数r，r∈［1,q-1］，计算β≡αr (mod p)发给V。 (4) V任选取一整数e∈［1,2t］作为询问值发送给P。 (5) P计算w≡(r+xe) mod q，把w作为对V的应答值发送给V。 (6) V验证αwye (mod p) ，判断其是否等于β，若相等，则V相信对方就是P。 实际上，若双方都诚实，则 αwye≡αr+xe(α-x)e≡αr (mod p)≡β 针对一般交互式身份识别协议，有三方面要求： (1)完全性：对于诚实的合法示证者和验证者，验证成功的概率几乎百分之百。 (2)合理性：当不知道示证者信息和私钥时，验证通过的概率几乎为零。 (3)隐蔽性：若示证者是诚实的，无论协议执行多少次，任何人（包括验证者）都无法推知示证者的密钥，无法冒充这个示证者。 然而，一个满足完全性和合理性的协议，未必是安全的。比如P可以把私钥有意泄露给C，从而C能够冒充P，使协议变得不安全。但完全性和合理性却不受影响。 8.3.2 Okamoto身份识别方案 Okamoto协议是Schnorr协议的改进，在假设计算中的一个特定的离散对数是难解的条件下，能够证明这个方案是安全的。 1．选择参数 Okamoto识别方案同样需要一个可信任的验证中心TA，且选择参数如下： ? p、q是两个大素数，且q|(p-1)。 ? α1，α2∈ ，都为q阶元，且计算是困难的。 ? h(x)是输出为t bit的单向函数，t是一个安全参数。 ?选择签名生成算法Sigta和签名验证算法Verta。 2．TA向示证者P颁发证书 1) TA为P建立身份信息，并颁发一个身份识别串IDP。 2) P选取随机数x1和x2作为自己的私钥，x1,x2∈［1,q-1］，计算出公钥 ，P到TA处注册其公钥。 3) TA计算签名S=Sigta(IDP,y)，将身份证书CertP=( IDP,y,S)发送给P。 3．示证者P向验证者V证明自己的身份 (1) P选择随机数r1和 r2，且r1, r2∈［1,q-1］，计算。 (2) P发送自己的身份证书CertP和β给V。 (3) V通过检查证书CertP，来验证TA的签名。 (4) V任选取一整数e∈［1,2t］作为询问值发送给P。 (5) P计算w1≡r1+x1e(mod q)，w2≡r2+x2e (mod q)把w1 ,w2作为对V的应答值发送给V。 (6) V验证 ，判断其是否等于β，若相等，则V相信对方就是P。 实际上，若双方都诚实，则  8.3.3 Guillou-Quisguater身份识别方案 Guillou-Quisguater身份识别方案由L.C.Guillou-Quisquater于1988年提出，它是一种基于RSA体制的安全识别方案，简称为G-Q识别方案。 1．选择参数 G-Q识别方案需要一个可信任的验证中心TA，且选择参数如下： ? p、q是两个大素数，且n=pq，保留p和q，公开n。 ? b是一个长为40bit的素数作为公钥（也是安全参数）。 ? h(x)是一个安全的Hash函数。 ? 选择签名生成算法Sigta和签名验证算法Verta。 2．TA向示证者P颁发证书 (1) TA为P建立身份信息，并颁发一个身份识别串IDP。 (2) P秘密地选择了一个整数x∈(1,n-1)，且gcd(x,n)=1，P计算y≡(x-1)b (mod n)，并将y发给TA，这里x为私有信息，y为公开信息。