面向群体的实用匿名协议研究

摘要

当前，互联网上的各类应用已经成为现实生活中无所不在的事物，致使如何实现以匿名方式代表所属群体进行签名或者对群成员身份进行匿名认证成为一项具有挑战性的任务。在许多基于网络的应用中，经常需要为合法用户（即注册的群成员）授予某种特权。当行使权力时，用户需要通过展示签名或者与群权威执行认证协议来证明自己的合法身份。另一方面，用户开始对敏感的个人信息予以关注，并且逐渐地意识到隐私保护的重要性。因此，用户需要能用于将其真实身份隐匿在群体之中的有效机制。
　　 在现代密码学的研究中，为了解决上述问题，要求以知识证明协议、分布式密码协议等为核心技术手段，同时以数字签名、公钥加密、群签名、匿名认证等本原为基本模块，从而构造各类面向群体的安全协议。本论文围绕面向群体的匿名协议的设计以及所得协议安全性的形式化分析展开了研究，并且在特殊群签名、k次匿名认证以及多重息票系统的研究领域取得了多项成果。
　　 在面向群体的密码学中，群签名方案是一类有用的秘密认证工具。在此类本原的定义中，群成员能以匿名方式代表群体产生对任意消息的签名。任何人都能验证给定签名的有效性，但无法获得有关原始签名者的任何信息。此外，在计算上难以断定两个或多个群签名是否源自同一个群成员。负责为新成员颁发证书的群权威(GA)享有对群体的管理权。在特殊情况下（如捕获了非法行为），指定的追踪权威(TA)通过打开可疑签名实现对恶意签名者的身份追踪。当前，传统群签名的定义已经得到深入地研究并加以推广，提出了许多更为实用的变体，诸如层次群签名，自组群签名，隐匿的基于身份的签名，数据挖掘群签名，表达性子群签名，匿名代理签名，等等。
　　 标准群签名方案通常采用以下两种方式打开签名:即(i)TA能独立地打开签名，但要求GA公开用户列表，即成员身份目录。(ii)GA负责维护用户列表，TA必须在GA的协助下打开签名。最近，Kiayias等人指出群签名方案无法直接应用于匿名证书系统。原因在于，在情况(i)下，打开操作要求GA公开用户列表，而这显然将严重地损害用户的隐私。在情况(ii)下，TA无法向服务供应商提供自己能打开争议签名的保证，从而导致后者对匿名系统的限制性使用。为此，Kiayias等人引入了称为隐匿的基于身份的签名（简称HIDS）的新颖概念。在此类方案中，TA能以独立于身份管理员IM（对应于GA）的方式打开签名，且IM无需公开匿名系统的用户列表。Kiayias等人设计了第一个利用双线性对构造的HIDS方案，但是容易遭受陷害攻击和选择密文攻击。同时，原始方案并未解决联合共享追踪私钥的问题。利用基于判定线性假设的Shacham加密方案，联合的随机可验证的秘密分享协议，联合的零知识的知识证明等技术，构造了两个改进方案。除了满足不可陷害性和选择密文攻击下的匿名性，第二个方案还支持对分布式追踪服务器的部署，并且能有效地抵抗具有较强攻击能力的动态攻击者。为此，首先利用Canetti-Goldwasser范例和Jarecki等人的无擦除门限技术设计了底层Shacham加密方案的门限版本。功能及效率分析可知，新方案满足更好的实用性和安全性。
　　 典型的匿名认证方案允许用户在不泄露真实身份的情况下认证自己的身份。为此，匿名用户需要证明自己拥有成员证书。此外，在许多基于互联网的应用（如试用浏览，云存储服务等）中，应用提供者需要限制用户的访问次数。在ASIACRYPT2004会议上，Teranishi等人首次提出k次匿名认证(简称k-TAA)的概念。k-TAA方案中的实体包括群管理员，多个用户以及多个服务供应商(SP)。最初，用户应当与群管理员执行注册协议。然后，每个AP宣布用户能访问其应用或资源的最大次数。在执行匿名的访问过程之前，注册用户应当向AP认证自己的身份。需要强调的是，与群签名方案相比，k-TAA方案实现了更强的匿名性等级。换句话说，在k-TAA方案中，即使拥有很大权力的群管理员也无法撤销诚实用户的匿名性，条件是用户认证并访问服务的次数不超过预先设定的次数k。在AP看来，k-TAA方案实现了更强的可追踪性，因为任何实体都能根据公开的认证日志实现对不诚实用户（企图超过所允许的次数进行访问）的追踪，而在群签名方案下，只有群管理员拥有这种追踪能力。在ACNS2005会议上，Nguyen等人指出AP实际上希望能自行建立用户群体并对群体进行管理，即自己有能力授予或撤销用户的访问权利。为此，Nguyen等人引入了一个新的概念，即动态k-TAA方案。然而，Teranishi等人以及Nguyen等人方案的主要缺点是认证阶段的运算耗费为O(k)。此后，Nguyen与Teranishi等人又分别提出了认证协议的复杂度独立于k的改进方案。尽管实现了更为高效的认证过程，但为此付出的代价是使得AP公钥的存储耗费为O(k)，而且要求AP必须保持诚实。在SCN2006会议上，Au等人提出了认证耗费为O(log(k))的动态k-TAA方案。最近，Emura等人强调，在已有的k-TAA方案中，k为固定的参数，这表明AP为所有用户设置了相同的最大访问次数。在某些应用中，若能根据用户支付的费用为其设置不同的访问次数上界则更为可取。为此，Emura等人提出了所谓的k-TRAA方案，即k次放宽的匿名认证。然而，该方案并不满足典型k-TAA方案要求的匿名性，因为与相同的AP产生的两个认证协议副本是可以相互关联的。
　　 在已有的k次匿名方案中，尚存在以下两个未决问题:1）如何实现允许服务供应商为每个用户设置不同的访问次数上界，同时不能以损失用户的匿名性作为代价。2）如何防止恶意用户发动大规模的克隆攻击。为此，提出一个实用的改进方案。新方案使用了多个关键技术，包括关于“一个被承诺元素小于另一个被承诺元素”的知识证明，双线性群上的动态累加器和基于n次可展示令牌的克隆攻击检测技术等。改进方案在扩展的Teranishi-Furukawa-Sako模型下满足此类方案要求的全部性质，即正确性、可检测性、匿名性、用户的可开脱性、GM的可开脱性以及AP的可开脱性。此外，新方案的成员注册协议是并发安全的，因而适合于实际的异步网络环境（如互联网）。
　　 息票通常是由制造商或销售商发布的，它们经常出现在报纸、杂志或传单中。息票是一种有效的广告和促销手段，方法是通过提供折扣或礼品以促使顾客购买某种商品。最近，互联网成为传统息票的发布媒介，即顾客可以自由下载并打印位于商家网站上的息票，并且采用与其他纸质息票类似的方式兑现商品。多重息票（简称MC）是新兴的电子息票的特殊形式，它是由多张普通电子息票构成的。在实际应用中，发布一张价值为m的MC远比独立地发布m张普通电子息票高效得多。实用的多重息票系统(MCS)必须满足两个重要性质，即不可分割性和无关联性。前者旨在保护商家的利益，即不允许两个顾客将一张MC分成多份，从而能以独立方式使用这些份额。后者的含义是，无论足在发布阶段，还是在兑现阶段，顾客都能保持匿名。需要强调的是，MCS并不等同于电子现金方案，因为前者无需提供银行参与以及追踪恶意用户的机制。
　　 当前，MCS设计中的主要困难是如何设计能自由设置息票价值的发布协议且所得协议的复杂性并不依赖于该价值，以及如何为兑现协议提供高效、多样的兑现机制。为此，提出两个具备改进的效率与功能的系统。新系统分别利用Chaabouni等人的离散对数区间证明技术和Canard等人的关于被承诺元素的知识证明技术实现了对息票价值的灵活设置，并且利用Peng等人的批量零知识证明与验证技术对兑现协议的运算复杂度进行了优化。新系统在Nguyen的形式化模型下满足可证安全，而且首次满足了实际应用中的所有理想特性，即并发发布、紧凑性、成批兑现以及支持设置息票对象和过期日期。性能分析表明，新系统的通信与运算耗费显著低于已有的同类系统。
　　 已有的MCS并未明确地考虑并发执行的情况，而且它们都是在随机预言模型下设计的。此外，已有系统的底层签名方案都是基于q-SDH(theq-StrongDiffie-Hellman)假设或SRSA(theStrongRSA)假设。然而，q-SDH假设存在安全隐患，且基于SRSA假设的系统通信效率不高。为此，提出两个并发安全的改进系统。第一个系统是利用关于两个被承诺值的准确区间证明和2轮并发零知识论证的Sigma协议编译器对底层的Blanton方案进行扩展得到的。第二个系统（即前一个系统的增强版本）利用直线提取技术实现了更为高效的安全性归约过程，并借助基于同态加密的非交互零知识论证避免了对随机预言机的使用。与其他的同类系统相比，第一个系统具有更高的通信效率，且第二个系统的安全性并不依赖于随机预言机。