有效的動態(tài)k 次匿名認(rèn)證協(xié)議

劉蓬濤

（山東政法學(xué)院信息科學(xué)與技術(shù)系，山東濟(jì)南250014）

0 引言

k 次匿名認(rèn)證協(xié)議（k-TAA）[1]包括群管理員GM、應(yīng)用提供者AP和用戶. GM 將用戶注冊到群組中，每一個AP 可以決定自己應(yīng)用的訪問次數(shù).一個群組中的成員可以在限定次數(shù)內(nèi)單獨(dú)被AP 匿名認(rèn)證.任何人都無法知道用戶身份， 無法將同一用戶的兩次認(rèn)證過程聯(lián)系起來，但所有人都可以追蹤不誠實(shí)的用戶.在k 次匿名認(rèn)證協(xié)議中，應(yīng)用提供者只能決定為群組中一個用戶提供應(yīng)用服務(wù)的次數(shù)而無法決定向誰提供應(yīng)用服務(wù).為解決這一問題，引入了動態(tài)k 次匿名認(rèn)證協(xié)議[2].目前提出的一些k-TAA 方案[1-2]的認(rèn)證過程的計(jì)算量和通信量線性依賴于k.文獻(xiàn)[3]提出了一個有效的動態(tài)k-TAA 方案，其認(rèn)證過程的計(jì)算量和通信量不依賴于k.

本文提出一個有效的動態(tài)k-TAA 方案， 其認(rèn)證代價(jià)不依賴于k.我們證明方案是安全的，并與[3]中的方案進(jìn)行比較.

1 符號約定

令G1，G2，GT分別為階為素?cái)?shù)p 的乘法循環(huán)群.g1，g2分別是G1，G2的生成元.令e：G1x G2→GT為雙線性映射[4].我們令G1＝G2＝G，g1＝g2＝g.

2 有效的動態(tài)k 次匿名認(rèn)證方案

GKg：設(shè)（p，G，GT，e，g）為系統(tǒng)參數(shù)，e（G，G）→GT，選u0，u1，u2，u3←G，φ←GT，γ∈Zp*，并計(jì)算Ppub＝gγ.群公鑰gpk＝（g，Ppub），群密鑰gsk＝γ.認(rèn)證列表LIST 置為空.H 和H′為Hash 函數(shù).

AKg：AP υ 選擇g1∈G，s，s’∈Zp*， 計(jì)算Qpub＝g1s，Qpub’＝g1s’. υ 的公鑰apkυ＝（g1，Qpub，Qpub’），私鑰apkυ＝（s，s’）. υ 管理認(rèn)證記錄LOGυ以及累加值V.在Grant 和Revoke 后，累加值V 要被更新.公開三元組記錄ARC中第一個元素是可以訪問υ 的用戶公鑰，第二個元素表示該用戶是被Grant 還是被Revoke，第三個元素是Grant 和Revoke 之后的累加值V.初始時V＝V0∈G，LOGυ和ARC 為空.

JoinU，JoinM：用戶Ui可以執(zhí)行如下協(xié)議加入授權(quán)群組中.

1）Ui選擇x’∈Zp*，計(jì)算β＝φ1/x’和C＝gx’，并將（i，β）加入LIST.發(fā)送β 和C 給群管理員GM.

2）GM 檢查（i， β）是LIST 的元素，并驗(yàn)證e（β，C）＝e（φ，g）.如果驗(yàn)證通過，GM 選擇一個不同的a∈Zp，∈Zp*，并計(jì)算S＝（Cgu0）1/（γ+a），發(fā)送（S，a，）給用戶.

3）用戶Ui計(jì)算x＝x’＝，驗(yàn)證e（S，gaPpub）＝e（gxu0，g），如驗(yàn)證通過，則Ui的密鑰mski＝x，公鑰mpki＝（a，S，β）.

Bound：υ 的公開身份為ID， 其應(yīng)用服務(wù)的允許訪問次數(shù)上限為k，對j＝i，…k 計(jì)算tj＝H（ID，k，j），Rj＝g11/（s’+tj）.公開（t1，R1）…（tk，Rk）.

Grant：設(shè)υ（ID，k）的當(dāng)前ARC 中有j 個三元組， υ 的當(dāng)前累加值為Vj. 設(shè)υ 要賦予用戶Ui訪問其應(yīng)用的權(quán)限， 用戶Ui的公鑰為mpki＝（a，S，β）.AP υ 計(jì)算新的累加值Vj+1＝Vjs+a，并將（a，1，Vj+1）加入ARC.用戶可以得到其訪問密鑰mak＝（j，Wj＝Vj）.同時，用戶還保有一個初始化為0 的計(jì)數(shù)器d.

Revoke：設(shè)υ 當(dāng)前ARC 中有j 個三元組， υ 的當(dāng)前累加值為Vj.設(shè)υ 要撤銷用戶Ui訪問其應(yīng)用的權(quán)限，用戶Ui的公鑰為mpki＝（a，S，β）.υ計(jì)算新的累加值Vj+1＝Vj1/（s+a），并將（a，0，Vj+1）加入ARC.

AuthenU， AuthenP：設(shè)應(yīng)用提供者υ（ID，k）的公鑰為apkυ＝（g1，Qpub，Qpub’）， 當(dāng)前累加值為V， 與之認(rèn)證的用戶U 的公鑰和私鑰分別為mpk＝（a，S，β）和msk＝x.認(rèn)證過程如下：

1）用戶U 設(shè)置d＝d+1.如果d＞k，則U 發(fā)送⊥給υ 并結(jié)束認(rèn)證過程.否則U 執(zhí)行如下算法得到其新的訪問密鑰mak＝（j，W＝Wj）. υ 發(fā)送隨機(jī)數(shù)l∈RZp*給U.

該算法與[2]中的算法相同.設(shè)υ 的ARC 當(dāng)前有n 個元素， 用戶U使用其公開的公鑰mpk＝（a，S，β）和mak＝（j，Wj）計(jì)算其新的訪問密鑰mak：

對k＝j(luò)+1，…，n，從ARC 中獲取第k 個元素（u，b，Vk），如果b＝1，則計(jì)算Wk＝Vk-1Wk-1u-a，否則，計(jì)算Wk＝（Wk-1/Vk）1/（u-a）.

2）U 利用沒有用到的（tl，Rl），計(jì)算Γ＝φ（lx+ltl+x）/（x2+xtl），＝φ1/（x+xtl），計(jì)算Γ的知識證明ProofΓ：

（1）用戶U 隨機(jī)選取r1，…，r6，k1，…，k16∈Zp，并計(jì)算U1＝Su3r1；U2＝Wu3r2；U3＝Rlu3r3；U4＝u1r1u2r2u3r4；U5＝u1r3u3r5；U6＝u1x+tlu3r6；T1＝u1k1u2k2u3k4；T2＝u1k7u2k8u3k9u4-k10；T3＝u1k3u3k5；T4＝u1k11u3k12u5-k13；T5＝u1k13+k14u3k6；T6＝u1k15u3k16u6-k14；r1＝Γk15φ-lk13-（l+1）k14；

r2＝e（U1，g）k10e（U3，g）-k7e（U3，Ppub）-k1e（g，g）-k14；

（2）計(jì)算c＝H’（ID||k||l||V||U1||…||U6||T2||…T6||R1||…||R4||R5），并計(jì)算

si＝ki+cri（1≦i≦6）；s7＝k7+cr1a；s8＝k8+cr2a；s9＝k9+cr4a；s10＝k10+ca；s11＝k11+cr3tl；s12＝k12+cr5tl；s13＝k13+ctl；s14＝k14+cx；s15＝k15+c（x+tl）x；s16＝k16+cr6x.

（3）ProofΓ＝（U1，…，U6，c，s1，…，s16），發(fā)送Γ 和ProofΓ給υ.

3 安全性分析及比較

方案的正確性很容易證明.使用其構(gòu)造的敵手模型，我們可以證明在DBDHI 假設(shè)下方案具有匿名性.在SDH 假設(shè)下，Boneh-Boyen 簽名方案保證了我們的方案具有可跟蹤性和GM 的可開脫性.在CBDHI2 假設(shè)下方案具有用戶的可開脫性。

忽略方案中一些預(yù)計(jì)算的部分，我們從認(rèn)證協(xié)議中冪運(yùn)算，標(biāo)量乘運(yùn)算，雙線性運(yùn)算以及傳輸數(shù)據(jù)量方面比較Nguyen[3]的方案和我們的方案.令p 為一個160 比特的大素?cái)?shù).

Nguyen 方案我們的方案

AP 的計(jì)算量21EXs+20SMs+6PAs18EXs+17SMs+6PAs

用戶的計(jì)算量22EXs+27SMs20EXs+25SMs

AP 傳輸?shù)臄?shù)據(jù)字節(jié)數(shù) 2020

用戶傳輸?shù)臄?shù)據(jù)字節(jié)數(shù)585545

4 結(jié)束語

本文提出一個有效的動態(tài)k 次匿名認(rèn)證方案，其認(rèn)證過程的耗費(fèi)與k 無關(guān).我們證明其正確性與安全性，并與Nguyen 提出的方案進(jìn)行比較.方案比Nguyen 的方案需要更少的計(jì)算量和傳輸數(shù)據(jù)量，是有效的動態(tài)k 次匿名認(rèn)證方案.

［1］I. Teranisi， J. Furukawa， and K. Sako. k-Times Anonymous Authentication[M].ASIACRYPT 2004， Springer-Verlag， LNCS 3329， pp. 308-322， 2004.

［2］L. Nguyen and R. Safavi-Naini. Dynamic k-Times Anonymous Authentication.Applied Cryptography and Network Security（ACNS）2005[M].Springer-Verlag,LNCS 3531，2005.

［3］L. Nguyen. Efficient Dynamic k-Times Anonymous Authentication[Z].2007.

［4］Dan Boneh， Ben Lynn， and Hovav Shacham. Short signatures from the Weil pairing[J]. Journal of Cryptology，17（4）：297－319， 2004. Extended abstract in Proceedings of Asiacrypt 2001， LNCS volume 2248.