第8章身份鑒別技術(shù)

第8章身份鑒別技術(shù)本章學(xué)習(xí)目標(biāo)：掌握身份鑒別的基本原理了解基于口令的身份鑒別了解生物特征鑒別技術(shù)了解零知識(shí)證明原理了解零知識(shí)證明在身份鑒別中的應(yīng)用8.1身份鑒別原理

鑒別（Authentication）分為實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別。實(shí)體鑒別也叫身份鑒別，是證明或確認(rèn)某一實(shí)體（如，人、設(shè)備、計(jì)算機(jī)系統(tǒng)、應(yīng)用和進(jìn)程等）所聲稱的身份的過(guò)程。身份鑒別的基本的原理是把聲稱者提供的信息與某些保存下來(lái)的可以代表其的信息進(jìn)行比對(duì)，以達(dá)到鑒別的目的。數(shù)據(jù)原發(fā)鑒別用于證明數(shù)據(jù)的出處或來(lái)源。身份鑒別的方式8.1身份鑒別原理根據(jù)鑒別信息的不同，身份鑒別有多種方式：（1）驗(yàn)證實(shí)體已知什么，如口令或通行短語(yǔ)（Password）。（2）驗(yàn)證實(shí)體擁有什么，如通行證、智能IC卡。（3）驗(yàn)證實(shí)體不可改變的特性，如指紋、聲音等生物學(xué)測(cè)定得來(lái)的標(biāo)識(shí)特征。（4）相信可靠的第三方建立的鑒別（遞推）。（5）環(huán)境（如主機(jī)地址）。身份鑒別的要素

8.1身份鑒別原理

各種實(shí)系統(tǒng)的實(shí)體在很多情況下需要鑒別與被鑒別。某一實(shí)體偽稱是另一實(shí)體的行為被稱作假冒。鑒別機(jī)制可用來(lái)對(duì)抗假冒威脅。身份鑒別涉及兩類實(shí)體——聲稱者（被鑒別方）和驗(yàn)證者（鑒別方）。身份鑒別通過(guò)鑒別雙方在鑒別過(guò)程對(duì)鑒別信息進(jìn)行驗(yàn)證而完成。身份鑒別是保證信息系統(tǒng)安全的重要措施。實(shí)體鑒別與數(shù)據(jù)原發(fā)鑒別8.1身份鑒別原理

在實(shí)體鑒別中，身份鑒別信息由參加通信連接或會(huì)話的遠(yuǎn)程參與者提交。在數(shù)據(jù)原發(fā)鑒別中，身份信息和數(shù)據(jù)項(xiàng)一起被提交，并且聲稱數(shù)據(jù)項(xiàng)來(lái)源于身份所代表的主體。身份鑒別的方向

8.1身份鑒別原理

身份鑒別可以是單向的也可以是雙向的。所謂單向鑒別是指通信雙方中只有一方鑒別另一方，而雙向鑒別是指通信雙方相互鑒別。在單向身份鑒別中，一個(gè)實(shí)體充當(dāng)聲稱者；另一個(gè)實(shí)體充當(dāng)驗(yàn)證者。對(duì)于雙向身份鑒別，每個(gè)實(shí)體同時(shí)充當(dāng)聲稱者和驗(yàn)證者。雙向鑒別可在兩個(gè)方向上使用相同或不同的鑒別機(jī)制。身份鑒別的分類

8.1身份鑒別原理依據(jù)鑒別信息是否共享：-對(duì)稱鑒別，如口令和使用對(duì)稱密碼技術(shù)加密的質(zhì)詢；-非對(duì)稱鑒別，如使用非對(duì)稱密碼技術(shù)和在不暴露任何信息情況下對(duì)信息所有者的信息進(jìn)行驗(yàn)證的技術(shù)。依據(jù)鑒別過(guò)程是否采用密碼技術(shù)-使用密碼技術(shù)的鑒別：使用加密來(lái)保護(hù)傳輸期間的口令-使用非密碼技術(shù)的鑒別：口令或質(zhì)詢－響應(yīng)表對(duì)稱的、非對(duì)稱的或混合的密碼技術(shù)，可用于鑒別信息的完整性保護(hù)和機(jī)密性保護(hù)。基本口令鑒別協(xié)議

8.2基于口令的身份鑒別技術(shù)

系統(tǒng)事先保存每個(gè)用戶的二元組信息，即用戶身份信息和口令。這種口令信息是明文的或僅經(jīng)過(guò)簡(jiǎn)單加密的。當(dāng)被鑒別方收到口令信息后，將其與系統(tǒng)中存儲(chǔ)的用戶口令進(jìn)行比較，以確認(rèn)用戶是否為合法的訪問(wèn)者。這種鑒別方式叫口令鑒別協(xié)議（passwordauthenticationprotocol,PAP）鑒別。

PAP鑒別一般在通信連接建立階段進(jìn)行，在數(shù)據(jù)傳輸階段不進(jìn)行PAP鑒別。

基本口令鑒別協(xié)議的優(yōu)缺點(diǎn)

8.2基于口令的身份鑒別技術(shù)優(yōu)點(diǎn)：簡(jiǎn)單有效，實(shí)用方便，費(fèi)用低廉，使用靈活。一般的系統(tǒng)（如Unix，WindowsNT，NetWare等）都提供了對(duì)口令鑒別的支持。然而，基于簡(jiǎn)單口令的鑒別方法有許多脆弱性，最主要的是口令容易向外部泄露和易于猜測(cè)的弱口令。另外還有線路竊聽(tīng)和重放等威脅。基本口令鑒別協(xié)議的改進(jìn)

8.2基于口令的身份鑒別技術(shù)

為了減少口令鑒別協(xié)議的脆弱性，可以采用多種方式對(duì)口令鑒別協(xié)議進(jìn)行改進(jìn)，如引入散列函數(shù)、Salt機(jī)制和一次性口令（OTP）等。驗(yàn)證者聲稱者消息比較是或不是引入散列函數(shù)的口令鑒別協(xié)議8.2基于口令的身份鑒別技術(shù)引入散列函數(shù)

由于散列函數(shù)具有單向性，即從輸入變量值計(jì)算出函數(shù)值容易，而從函數(shù)值逆向計(jì)算出輸入變量的值計(jì)算不可行，因此常常通過(guò)該類函數(shù)對(duì)口令進(jìn)行（單向）加密，驗(yàn)證方只保存口令加密后的信息。8.2基于口令的身份鑒別技術(shù)引入散列函數(shù)

鑒別時(shí)將口令加密后的信息進(jìn)行對(duì)比驗(yàn)證。p’是聲稱者輸入的口令信息，id是聲稱者的標(biāo)識(shí)，h是散列函數(shù)。p’經(jīng)過(guò)h的計(jì)算得到q’。q和id是驗(yàn)證者保留的散列之后的口令和對(duì)應(yīng)的聲稱者標(biāo)識(shí)。聲稱者輸入p’和id，經(jīng)過(guò)散列函數(shù)h計(jì)算得到q’。q’連同聲稱者標(biāo)識(shí)id傳給驗(yàn)證者，驗(yàn)證者驗(yàn)證q’是否與q相同。如相同，則鑒別通過(guò)；否則，鑒別不通過(guò)

。8.2基于口令的身份鑒別技術(shù)引入散列函數(shù)

該方案的主要缺陷是：利用已知的散列函數(shù)，攻擊者很容易構(gòu)造一張p與q對(duì)應(yīng)的表（稱為口令字典），表中的p是猜測(cè)的口令，盡可能包含各種可能的口令值，q是p的散列值。然后攻擊者通過(guò)攔截鑒別信息q，利用口令字典就能以很高的概率獲得聲稱者的口令，這種攻擊方式稱為字典攻擊。8.2基于口令的身份鑒別技術(shù)引入散列函數(shù)

Salt機(jī)制稱為加鹽機(jī)制（salt稱為鹽，實(shí)際上是一串隨機(jī)字符串）。加鹽就是在進(jìn)行散列運(yùn)算時(shí)，增加salt字符串的輸入，通過(guò)salt和口令混合加密得出散列值?？梢钥闯?，加入隨機(jī)字符串（鹽）后，將使得字典攻擊的實(shí)施變得困難（請(qǐng)思考為什么？）8.2基于口令的身份鑒別技術(shù)加salt機(jī)制Salt驗(yàn)證者聲稱者消息比較是或不是加salt機(jī)制的鑒別交互示意圖

在Unix/Linux下有多種散列算法，可以通過(guò)庫(kù)函數(shù)crypt()調(diào)用這些算法。crypt()有key（口令）和salt（鹽）兩個(gè)輸入?yún)?shù)，輸出相應(yīng)的散列值。salt是簡(jiǎn)單的字符串，長(zhǎng)度取決于所使用的算法。不同的散列算法有不同的取值范圍。由于salt參與散列運(yùn)算，即使是相同的散列算法，相同的口令，使用不同的salt，也會(huì)得到不同的加密口令。當(dāng)使用passwd命令修改密碼時(shí)，會(huì)隨機(jī)選擇一個(gè)salt。salt使得使用字典攻擊變得更困難。8.2基于口令的身份鑒別技術(shù)加salt機(jī)制OTP（One-TimePassword）是一次性口令機(jī)制，主要目的是確保在每次鑒別中所使用的加密口令不同，以對(duì)付重放攻擊。OTP主要的實(shí)現(xiàn)方式有3種：第一種是質(zhì)詢－響應(yīng)方式。鑒別時(shí)，系統(tǒng)隨機(jī)給出一個(gè)信息，用戶將該信息連同其鑒別信息（可能經(jīng)過(guò)計(jì)算處理）提交系統(tǒng)進(jìn)行鑒別；第二種方法采用時(shí)鐘同步機(jī)制，與質(zhì)詢－響應(yīng)方式的差異是隨機(jī)信息是同步時(shí)鐘信息。第三種方法是采用S/KEY一次性口令身份鑒別協(xié)議。這里主要介紹質(zhì)詢－響應(yīng)方式和S/KEY一次性口令身份鑒別協(xié)議。8.2基于口令的身份鑒別技術(shù)OTP機(jī)制

基于質(zhì)詢—響應(yīng)的身份鑒別在鑒別時(shí)，由驗(yàn)證者給聲稱者發(fā)送一個(gè)確定的值（質(zhì)詢消息），該值參與鑒別信息的運(yùn)算。產(chǎn)生的非重復(fù)質(zhì)詢消息完全由驗(yàn)證者決定，使得每次傳輸?shù)蔫b別信息不同。這能很好地防止口令竊聽(tīng)和重放，但需要額外的通信花銷。8.2基于口令的身份鑒別技術(shù)基于質(zhì)詢－響應(yīng)的身份鑒別技術(shù)8.2基于口令的身份鑒別技術(shù)基于質(zhì)詢－響應(yīng)的身份鑒別技術(shù)質(zhì)詢-響應(yīng)身份鑒別技術(shù)示意圖應(yīng)答消息驗(yàn)證者聲稱者質(zhì)詢消息n

h比較是或不是

r

當(dāng)聲稱者想讓驗(yàn)證者進(jìn)行鑒別時(shí)，聲稱者向驗(yàn)證者發(fā)出鑒別要求，驗(yàn)證者發(fā)給聲稱者一個(gè)自己產(chǎn)生的隨機(jī)質(zhì)詢消息n。聲稱者輸入口令p’，p’和id經(jīng)過(guò)雜湊函數(shù)f計(jì)算的結(jié)果（等于q）再和n通過(guò)雜湊函數(shù)h計(jì)算得到r’，r’發(fā)送至驗(yàn)證者。驗(yàn)證者將保存的q和生成n的通過(guò)雜湊函數(shù)h計(jì)算得到r，通過(guò)比較r和r’是否相等來(lái)確定鑒別是否通過(guò)。8.2基于口令的身份鑒別技術(shù)基于質(zhì)詢－響應(yīng)的身份鑒別技術(shù)

產(chǎn)生非重復(fù)值的能力完全掌握在驗(yàn)證者手中。提供了一種很好的重放檢測(cè)能力。附加的復(fù)雜協(xié)議意味著這種機(jī)制不能與傳統(tǒng)的簡(jiǎn)單口令協(xié)議結(jié)合使用。質(zhì)詢—響應(yīng)的身份鑒別，其安全性一方面取決于散列函數(shù)的安全性；另一方面，由于是單向鑒別，還存在著驗(yàn)證者的假冒和重放攻擊。這可以通過(guò)雙向鑒別或時(shí)間戳來(lái)解決。例如，在系統(tǒng)每次輸出的密文信息中附加日期與時(shí)間信息，鑒別雙方都可以根據(jù)密文中的日期時(shí)間來(lái)判斷消息是否是當(dāng)前的。如果是前面的消息重放，用戶則拒絕給出回答。8.2基于口令的身份鑒別技術(shù)基于質(zhì)詢－響應(yīng)的身份鑒別技術(shù)8.2基于口令的身份鑒別技術(shù)S/Key一次性口令身份鑒別協(xié)議聲稱者U計(jì)算hM(pw||seed)驗(yàn)證者AS驗(yàn)證ID有效性查找相應(yīng)種子seed和當(dāng)前迭代值M計(jì)算h(OTPM－1)，并與存儲(chǔ)的OTPM比較，若通過(guò)則：OTPM←OTPM－1，M←M－1鑒別請(qǐng)求，IDseed，MS/Key一次性口令交互示意圖OTPM－1＝hM(pw||seed)8.2基于口令的身份鑒別技術(shù)S/Key一次性口令身份鑒別協(xié)議初始化與注冊(cè)階段選擇散列函數(shù)h(·)，如MD5或SHA-1。用戶U注冊(cè)時(shí)，驗(yàn)證者的鑒別服務(wù)器（AS，AuthenticationServer）為他創(chuàng)建一個(gè)用戶信息條目，并生成一個(gè)隨機(jī)種子seed發(fā)給用戶U的客戶端，客戶端選擇一個(gè)整數(shù)N（稱為迭代值），并將種子seed連同口令pw進(jìn)行N次散列運(yùn)算，記為。這里符號(hào)“||”標(biāo)識(shí)連接，并將散列結(jié)果傳給鑒別服務(wù)器AS，AS保存：用戶身份標(biāo)識(shí)ID、種子seed、當(dāng)前迭代值M（初始值為N－1）和當(dāng)前鑒別口令OTPM（初始鑒別口令為OTPN-1=）。

8.2基于口令的身份鑒別技術(shù)S/Key一次性口令身份鑒別協(xié)議身份鑒別階段用戶U登錄服務(wù)器AS時(shí)，輸入其身份標(biāo)識(shí)ID提交給AS。AS在接收到用戶U的登錄請(qǐng)求報(bào)文后，(1)驗(yàn)證ID的有效性。(2)AS查找種子seed和當(dāng)前迭代值M，并傳送給用戶客戶端。(3)聲稱者U輸入口令pw，并由客戶端計(jì)算一次性口令OTPM－1=，并將結(jié)果傳給AS。(4)AS將客戶端傳來(lái)的一次性口令進(jìn)行一次散列，即計(jì)算h(OTPM－1)=并將h(OTPM－1)與存儲(chǔ)的當(dāng)前鑒別口令OTPM進(jìn)行比較。如果相同，則鑒別通過(guò)，并用新的一次性口令OTPM－1更新當(dāng)前鑒別口令OTPM，M也相應(yīng)減1當(dāng)鑒別次數(shù)達(dá)到N－1時(shí)（即M=0），終止鑒別，用戶重新注冊(cè)，并生成新的迭代值N及初始鑒別口令。

用戶U與鑒別服務(wù)器AS之間的鑒別交換信息中，沒(méi)有直接傳輸口令的任何信息，而只是口令信息的散列結(jié)果。依據(jù)散列函數(shù)的單向性，攻擊者通過(guò)攔截通信信道獲取到當(dāng)前鑒別口令（OTPM－1），但不能導(dǎo)出下次的鑒別口令（OTPM－2）,甚至攻擊者攻破了AS，瀏覽了用戶的口令記錄，也無(wú)法知曉用戶的真正口令。S/Key利用告知服務(wù)器M次散列結(jié)果，并逐次減少散列迭代次數(shù)，從而得到N-1個(gè)可用的鑒別口令序列。而每一個(gè)鑒別口令僅使用一次，即使暴露第i次鑒別口令，并不影響后續(xù)口令的安全性。S/Key成功地防范了口令竊聽(tīng)并重放的攻擊。8.2基于口令的身份鑒別技術(shù)S/Key一次性口令身份鑒別協(xié)議S/KEY系統(tǒng)不能防止小數(shù)攻擊。

S/Key缺乏完整性保護(hù)機(jī)制。不能保護(hù)用戶鑒別過(guò)程受到各種主動(dòng)攻擊：包括注入虛假信息，修改傳輸過(guò)程中的鑒別數(shù)據(jù)，修改口令文件等。

S/Key系統(tǒng)在實(shí)際應(yīng)用時(shí)還需進(jìn)一步完善。S/Key一次性口令身份鑒別協(xié)議8.2基于口令的身份鑒別技術(shù)

依據(jù)每個(gè)人的唯一生物特征鑒別,包括指紋、聲音、筆跡、虹膜、掌型、臉型長(zhǎng)相和DNA等。①指紋鑒別；②聲音鑒別；③手跡鑒別；④虹膜掃描；⑤手形及掌紋；⑥面相；⑦DNA等。

基于生物特征的身份鑒別技術(shù)8.3基于生物特征的身份鑒別技術(shù)

在許多實(shí)際應(yīng)用中，要讓彼此互不相識(shí)的雙方預(yù)先共享秘密并不是件容易的事，有沒(méi)有不需要事先共享秘密的交互式用戶身份鑒別協(xié)議呢？回答當(dāng)然是肯定的，這就是基于零知識(shí)證明的身份鑒別技術(shù)。

零知識(shí)證明8.4零知識(shí)證明與身份鑒別技術(shù)交互式用戶身份鑒別協(xié)議必須滿足：（1）完全性（Completeness）:若雙方都誠(chéng)實(shí)的執(zhí)行協(xié)議，則驗(yàn)證者能以非常大的概率確信對(duì)方的身份。

（2）健全性（Soundness）：若聲稱者不知道與他所聲稱的用戶身份相關(guān)聯(lián)的秘密信息，且驗(yàn)證者是誠(chéng)實(shí)的，則驗(yàn)證者將以非常大的概率拒絕接受聲稱者的身份。（3）隱藏性（WitnessHiding）：若聲稱者是誠(chéng)實(shí)的，則不論協(xié)議進(jìn)行了多少次，任何人（包括驗(yàn)證者）都無(wú)法從協(xié)議中推出聲稱者的秘密信息。

一個(gè)滿足完全性和健全性的協(xié)議并不能保證協(xié)議是安全的。三個(gè)性質(zhì)都滿足的身份鑒別是否安全？零知識(shí)證明身份鑒別8.4零知識(shí)證明與身份鑒別技術(shù)

向別人證明知道某種事物或者擁有某種物品有直接證明和間接證明兩種方法。直接證明就是出示或說(shuō)出該事物，使別人知道和相信，從而得到證明。但這會(huì)使別人也知道或掌握這一秘密，是最大泄漏證明；另一種方法是用一種有效的數(shù)學(xué)方法證明其知道秘密，而又不泄漏信息給別人，這就是零知識(shí)證明問(wèn)題。

證明方法8.4零知識(shí)證明與身份鑒別技術(shù)洞穴問(wèn)題：在C和D之間存在一個(gè)暗門(mén)，知道咒語(yǔ)的人才能打開(kāi)，否則洞穴就是一個(gè)死胡同。假設(shè)P知道咒語(yǔ)并想對(duì)V證明自己知道，但要求證明過(guò)程中不能泄露咒語(yǔ)。洞穴問(wèn)題8.4零知識(shí)證明與身份鑒別技術(shù)圖8.5零知識(shí)證明的洞穴問(wèn)題證明的步驟如下：（1）V站在A點(diǎn)；（2）P一直走進(jìn)洞穴，到達(dá)C點(diǎn)或者D點(diǎn)；（3）在P消失在洞穴中之后，V走到B點(diǎn)；（4）V隨機(jī)選擇左通道或者右通道，要求P從該通道出來(lái)；（5）P從V要求的通道出來(lái)，如果有必要就用咒語(yǔ)打開(kāi)暗門(mén)；（6）P和V重復(fù)步驟（1）至（5）n次。洞穴問(wèn)題8.4零知識(shí)證明與身份鑒別技術(shù)

如果P不知道這個(gè)打開(kāi)暗門(mén)的咒語(yǔ)，那么只能從進(jìn)去的通道出來(lái)。如果在協(xié)議的每一輪中P都能按V要求的通道出來(lái)，那么P所有n次都猜中的概率是1/2n。經(jīng)過(guò)16輪后，P只有65536分之一的機(jī)會(huì)猜中。于是V可以判定，如果所有16次P的證明都是有效的，那么P一定知道開(kāi)啟洞穴C點(diǎn)和D點(diǎn)間暗門(mén)的咒語(yǔ)，而V卻未能從證明過(guò)程獲取到該咒語(yǔ)。

洞穴問(wèn)題安全性分析8.4零知識(shí)證明與身份鑒別技術(shù)零知識(shí)證明示例8.4零知識(shí)證明與身份鑒別技術(shù)設(shè)n＝p×q。用戶A知道n的因子，想向用戶B證明他知道n的因子，但不想向用戶B泄漏n的因子：1、用戶B隨機(jī)選取一個(gè)大整數(shù)x，計(jì)算y≡x4modn。用戶B將計(jì)算結(jié)果y

告訴用戶A。2、用戶A計(jì)算，并將結(jié)果z

告訴用戶B。3、用戶B驗(yàn)證z≡x2modn

是否成立。上述協(xié)議重復(fù)多次，若用戶A每次都能正確地計(jì)算，則用戶B就可以相信用戶A知道

n的因子p

和q。反之，若第(3)步驗(yàn)證失敗，則表明用戶A并不真正知道

n

的因子。不知道n的因子p和q，計(jì)算是一個(gè)困難問(wèn)題（稱為二次方根問(wèn)題）

Fiege-Fiat-Shamir身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)聲稱者A驗(yàn)證者BF-F-S身份鑒別方案交互示意圖

隨機(jī)比特b若b=0，驗(yàn)證：若b=0，r；若b=1，y=rs若b=1，驗(yàn)證：Fiege-Fiat-Shamir身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)初始化階段由可信第三方機(jī)構(gòu)TA隨機(jī)選定兩個(gè)相異素?cái)?shù)的乘積作為模：為512位或1024位，m公開(kāi)，并生成隨機(jī)數(shù)v，使v為模m的平方剩余，即有小于m的解，且有（即v有模m的逆元）。注冊(cè)階段可信第三方機(jī)構(gòu)TA以v作為公鑰，然后計(jì)算整數(shù)s，使?jié)M足，s2v≡1modm，并將s作為秘密信息分發(fā)給聲稱者A。

Fiege-Fiat-Shamir身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)鑒別階段（1）聲稱者A取隨機(jī)數(shù)，計(jì)算，并將x發(fā)送給驗(yàn)證者B；（2）驗(yàn)證者B將一隨機(jī)比特b發(fā)送給A；（3）若b=0，A將r發(fā)送給B；若b=1，A將發(fā)送給B；（4）若b=0，則B驗(yàn)證，從而證明聲稱者A知道；若b=1，則B驗(yàn)證，從而證明聲稱者A知道。Fiege-Fiat-Shamir身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)一次鑒定合格協(xié)議如果聲稱者A知道或，則驗(yàn)證者B認(rèn)為聲稱者A為真；否則為假。這個(gè)協(xié)議是一次鑒定（accreditation）合格協(xié)議。聲稱者A與驗(yàn)證者B可以重復(fù)這個(gè)協(xié)議t次，直到驗(yàn)證者確信聲稱者A知道s。

Fiege-Fiat-Shamir身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)安全性分析（1）聲稱者A欺騙驗(yàn)證者B的可能性。聲稱者A不知道s，他也可取r，送給驗(yàn)證者B。當(dāng)B送隨機(jī)比特b給聲稱者A。A可將r送出，當(dāng)b=0時(shí)，則驗(yàn)證者B可通過(guò)檢驗(yàn)而受騙；當(dāng)b=1時(shí)，則B可發(fā)現(xiàn)聲稱者A不知s，B受騙概率為1/2，但連續(xù)t次受騙的概率將僅為。Fiege-Fiat-Shamir身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)安全性分析（2）驗(yàn)證者B偽裝聲稱者A的可能性。B和其他驗(yàn)證者C開(kāi)始一個(gè)協(xié)議，第1步可用聲稱者A用過(guò)的隨機(jī)數(shù)r，若C所選的b值恰與以前發(fā)給聲稱者A的一樣，則B可將在第（3）步發(fā)的r重發(fā)給C，從而可成功地偽裝聲稱者A，但C隨機(jī)選b為0或1，故這種攻擊成功概率僅為1/2，執(zhí)行t次，則可使其降為。

Fiege-Fiat-Shamir身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)安全性分析

雖然聲稱者A知道可信第三方TA的公鑰v，但要從s2v≡1

modm推出秘密信息s，需要求解模m的二次方根問(wèn)題，等價(jià)于整數(shù)m因式分解的難題。另外，在F-F-S方案中，增加驗(yàn)證次數(shù)顯然可以增強(qiáng)安全性，但卻增加了用戶A與驗(yàn)證者之間傳送數(shù)據(jù)的次數(shù)。為了減少數(shù)據(jù)交換次數(shù)，可增加每輪驗(yàn)證的數(shù)量。為此，F(xiàn)eige，F(xiàn)iat和Shamir提出F-F-S增強(qiáng)方案。F-F-S身份鑒別增強(qiáng)方案8.4零知識(shí)證明與身份鑒別技術(shù)F-F-S增強(qiáng)方案的基本思想仍是F-F-S方案，但采用了并行結(jié)構(gòu)增加每輪鑒別次數(shù)，即在每一輪的鑒別中，產(chǎn)生多個(gè)位，相當(dāng)于b是一個(gè)多維向量，減少了攻擊成功的概率，從而增強(qiáng)了安全性。

Guillon-Quisquater身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)F-F-S方案是第一個(gè)實(shí)用的零知識(shí)身份鑒別協(xié)議，通過(guò)增加輪次來(lái)增強(qiáng)安全性和增加每輪的鑒別次數(shù)來(lái)減少計(jì)算量。但對(duì)于智能卡這樣的應(yīng)用，該算法不甚理想，與外部的交互很耗時(shí)間，同時(shí)每次鑒別存儲(chǔ)量也較大。

8.4零知識(shí)證明與身份鑒別技術(shù)1988年由Guillou和Quisquater提出的基于RSA密碼體制實(shí)現(xiàn)的方案（簡(jiǎn)稱G-Q方案）可能更適于這些應(yīng)用，將每次的信息交換和并行鑒別都控制到最少，每次證明只進(jìn)行一次鑒別信息交換，但計(jì)算量比F-F-S方案大。安全性基于RSA體制的安全性。Guillon-Quisquater身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)Schnorr提出的身份鑒別方案的安全性基于計(jì)算離散對(duì)數(shù)的困難性。這是Schnorr在1991年提出的一種計(jì)算量少，通信量少，特別適用于智能卡的身份鑒別方案。該方案融合多個(gè)身份鑒別協(xié)議的思想，是最實(shí)用的身份鑒別協(xié)議之一，在許多國(guó)家申請(qǐng)了專利。

Schnorr身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)Schnorr身份鑒別方案聲稱者A驗(yàn)證者Be圖8.9Schnorr方案交互示意圖驗(yàn)證驗(yàn)證證書(shū)CA簽名Sig計(jì)算y≡(se+r)

modq8.4零知識(shí)證明與身份鑒別技術(shù)系統(tǒng)初始化選定素?cái)?shù)p，q，。為q階元素，，α為GF(p)的生成元，則；和可信第三方機(jī)構(gòu)TA的簽名算法SigTA(·)，對(duì)應(yīng)簽名驗(yàn)證算法記為VerTA(·)。選定安全參數(shù)，且。Schnorr身份鑒別方案8.4零知識(shí)證明與身份鑒別技術(shù)TA向用戶A頒發(fā)身份證書(shū)（1）TA為用戶A建立唯一身份標(biāo)識(shí)信息IDA；（2）用戶A秘密選定隨機(jī)數(shù)s作為其秘密信息，，計(jì)算；并將IDA和v發(fā)送給TA；（3）TA計(jì)算簽名Sig＝SigTA(IDA，v)，并將證書(shū)CA＝（ID