一種在密碼驗(yàn)證系統(tǒng)中保持用戶匿名的方案

1、PAGE PAGE - 17 -一種在密碼驗(yàn)證系統(tǒng)中保持用戶匿名的方案摘要：通過采用一種基于密碼的匿名驗(yàn)證系統(tǒng)，探討了在匿名驗(yàn)證系統(tǒng)中針對(duì)第三方攻擊者的用戶匿名性的有效性。首先，在驗(yàn)證系統(tǒng)方案中展示了第三方攻擊者可以指定哪個(gè)用戶實(shí)際向服務(wù)器發(fā)送了訪問請(qǐng)求，第三方攻擊者可以根據(jù)此次攻擊來鏈接到同一用戶稍后發(fā)送的不同登錄請(qǐng)求。其次，給出了一種有效的對(duì)抗這種攻擊的方法，該方法因不需要存儲(chǔ)用戶的密碼保護(hù)憑證，能更有效地保證用戶訪問的匿名性。關(guān)鍵詞：用戶匿名;密碼;用戶驗(yàn)證;密碼憑證中圖分類號(hào)：TP309.7文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2096-4706（2022）02-0107-04Abstract：By

2、adoptingananonymousauthenticationsystembasedonpassword，thispaperdiscussestheeffectivenessofuseranonymityagainstthird-partyattackersintheanonymousauthenticationsystem.Firstly，theauthenticationsystemschemeshowsthatthethird-partyattackercanspecifywhichuseractuallysentanaccessrequesttotheserver.Thethird

3、-partyattackercanlinktodifferentloginrequestssentbythesameuserlateraccordingtothisattack.Secondly，aneffectivemethodagainstthisattackisgiven.Thismethodcanmoreeffectivelyensuretheanonymityofuseraccessbecauseitdoesnotneedtostoretheuserspasswordprotectioncredentials.Keywords：useranonymity;password;usera

4、uthentication;passwordcredential0引言匿名身份驗(yàn)證是確認(rèn)用戶訪問網(wǎng)頁或其他服務(wù)的權(quán)限的過程，可以允許用戶登錄到系統(tǒng)而不暴露其實(shí)際身份1。目前基于密碼的匿名驗(yàn)證是應(yīng)用較為廣泛的一種用戶驗(yàn)證技術(shù)，其主要作用是提供基于密碼的匿名性和用戶的匿名性2。截至目前已經(jīng)出現(xiàn)幾種方案3-5，這些方案的潛在應(yīng)用包括企業(yè)保密人員訪問、對(duì)特殊人員進(jìn)行問卷調(diào)查、匿名咨詢等。在文獻(xiàn)6中，作者等人提出了一種基于密碼的匿名認(rèn)證方案，該方案通過以密碼為保護(hù)的憑證為人員的訪問提供匿名性。該方案是基于Camenisch群簽名7和Paillier加密算法8構(gòu)造的，前者用于實(shí)例化用戶的認(rèn)證證書，后者用于

5、服務(wù)器的同態(tài)加密。認(rèn)證證書的某些元素（即用戶身份上的簽名）是用用戶密碼加密的，而其他元素是用服務(wù)器的公鑰（同態(tài)）加密的。為了提高效率，作者等人提出了另一個(gè)基于密碼的匿名認(rèn)證方案9，該方案是基于BBS+SIG-Nature10的一種新型方案。為方便論證，以下我們對(duì)此方案取名為RT1001。方案中使用新的簽名與加密技術(shù)代替了Camenisch群簽名7和Paillier加密算法8，同時(shí)通過Knowl-Edge協(xié)議的零知識(shí)證明來限制簽名對(duì)服務(wù)器的驗(yàn)證能力。在本文中，我們主要討論了RT1001方案對(duì)被動(dòng)/主動(dòng)第三方攻擊者的用戶匿名性。首先，在第三章中我們展示了在RT1001方案中，第三方攻擊者可以指定哪

6、個(gè)用戶實(shí)際向服務(wù)器發(fā)送了登錄請(qǐng)求。此攻擊還包括攻擊者可以將同一用戶稍后發(fā)送的不同登錄請(qǐng)求鏈接起來。從攻擊中可以清楚地看出，RT1001方案不提供針對(duì)第三方攻擊者的用戶匿名性。在第四章中，我們針對(duì)第三方攻擊給出了有效的對(duì)策。在第五章中，通過驗(yàn)證證明對(duì)策中由于不需要任何安全措施來存儲(chǔ)用戶受密碼保護(hù)的憑據(jù)，以此能有效地保證用戶訪問的匿名性。1知識(shí)準(zhǔn)備1.1符號(hào)解釋aRS表示a是從S中隨機(jī)選擇的，設(shè)G1，G2，GT是素?cái)?shù)q的循環(huán)群，設(shè)g是G1的生成元，h是G2的生成元。雙線性映射e：G1G2GT具有以下性質(zhì)：（1）雙線性：uG1，vG2和x，yRZq，e（ux，vy）=e（u，v）xy（2）非退化性：

7、e（g，h）11.2BBS+簽名BBS+簽名是一種簽名方案，具有在提交值上發(fā)布簽名和在提交值上證明簽名零知識(shí)的有效協(xié)議。BBS+簽名方案的公鑰為（W=h，hG2，a，b，dG1），私鑰是（Zq）。在消息m上簽名的BBS+簽名定義為（M，k，s），其中k，sRZq，M=（ambsd）1/（k+）G1。BBS+簽名（M，k，s，m）相對(duì)于公鑰被驗(yàn)證為e（M，Whk）=e（a，h）Me（b，h）se（d，h）。該驗(yàn)證可以在用于表示擁有簽名的知識(shí)協(xié)議的零知識(shí)證明中進(jìn)行。2RT1001方案2.1R-BBS簽名作為RT1001方案的主要組成部分，R-BBS簽名是BBS+簽名的一個(gè)普遍版本。為便于區(qū)分，以下

8、R-BBS簽名由R-BBS表示。證明人代替BBS+簽名的（M，k，s），擁有（M，k，e（B，h），其中M=（aubsd）1/（k+），u是用戶恒等式，rRZq，=r-1，并且B=brs，如下：設(shè)g0，g1G1可以是預(yù)定義的參數(shù)。首先是校準(zhǔn)器選擇，ru，rk，r，r，rRZq，然后計(jì)算Cmt（R-BBS）=T1，T2，R1，R2，R3，如下：校準(zhǔn)器發(fā)送Cmt（R-BBS）發(fā)送給驗(yàn)證者，驗(yàn)證人發(fā)送質(zhì)詢cRZq。在收到質(zhì)詢后校準(zhǔn)器計(jì)算Res（R-BBS）=su，s，sk，s，s如下：su=ru+cu，s=r+c，sk=rk+ck，s=r+c，s=r+c，其中=k。校準(zhǔn)器發(fā)送Res（R-BBS）提交

9、給驗(yàn)證者，驗(yàn)證者接受以下內(nèi)容保持不變，如下：根據(jù)文獻(xiàn)9，上述R-BBS簽名是一個(gè)數(shù)組（M，k，u）服從e（M，Whk）=e（a，h）ue（B，h）e（d，h）知識(shí)的零知識(shí)證明。2.2基本方案部署這里，我們描述了RT1001方案的一個(gè)基本方案?；痉桨赣上到y(tǒng)設(shè)置、注冊(cè)登記和認(rèn)證協(xié)議組成。2.2.1系統(tǒng)設(shè)置為了設(shè)置系統(tǒng)參數(shù)，服務(wù)器執(zhí)行以下操作：（1）將BBS+信號(hào)的公鑰設(shè)置為（W=h，hG2，a，b，dG1），將私鑰設(shè)置為（Zq）;（2）將g，g0，G1G1作為公共參數(shù);（3）為ElGamal加密選擇公鑰/私鑰對(duì)，并對(duì)其進(jìn)行加解密分別用E（）和D（）表示;（4）選擇一個(gè)哈希函數(shù)H：0，1*0，1k

10、0和MAC：0，1k1G120，1k1，其中k0，k1是適當(dāng)?shù)臄?shù)字。2.2.2注冊(cè)登記在基本方案中，所有用戶都需要提前向服務(wù)器注冊(cè)，每個(gè)用戶都獲得一個(gè)身份驗(yàn)證憑證。服務(wù)器向每個(gè)用戶ui發(fā)放一個(gè)憑證，這是一個(gè)在用戶標(biāo)識(shí)ui上簽名的BBS+簽名（Mi，ki，si）。用戶將密碼保護(hù)的憑證Ci放入他/她的首選存儲(chǔ)目錄，例如，硬盤、手機(jī)、U盤或公共設(shè)施/目錄。2.2.3認(rèn)證協(xié)議流程假設(shè)用戶ui具有受密碼保護(hù)的憑據(jù)Ci=ui，Mi，kipwi，E（si）在登錄時(shí)可用。下面是用戶ui和服務(wù)器之間的身份驗(yàn)證協(xié)議流程。Step1：用戶ui執(zhí)行以下操作（1）用戶使用他/她的密碼pwi從Mi，kipwi恢復(fù)（Mi，

11、ki）;（2）用戶選擇rRZq，并通過計(jì)算s*=E（r）E（si）隨機(jī)化E（si）;（3）用戶選擇xRZq并計(jì)算X=gx;（4）用戶選擇NAR0，1k1并計(jì)算=E（NA）;（5）用戶使用R-BBS信號(hào)（Mi，ki，=r-1（modq），ui）計(jì)算Cmt（R-BBS）;最后，用戶向服務(wù)器發(fā)送s*，X，Cmt（R-BBS）作為登錄請(qǐng)求。Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作（1）服務(wù)器計(jì)算rsi=D（s*），由于ElGamal的乘法同態(tài)性質(zhì)，B=brsi;（2）服務(wù)器選擇yRZq并計(jì)算Y=gy;（3）服務(wù)器計(jì)算NA=D（）及V=MAC（NA，Y，X）;（4）服務(wù)器選擇NBRZq，并將NB

12、、Y、V發(fā)送回用戶。Step3：用戶ui執(zhí)行以下操作（1）用戶驗(yàn)證V，如果無效則中止;（2）以NB為例進(jìn)行質(zhì)詢，用戶計(jì)算并發(fā)送Res（R-BBS）到服務(wù)器;（3）用戶通過合成共享密鑰sk=H（NA，NB，Yx）來結(jié)束協(xié)議。Step4：服務(wù)器在驗(yàn)證Res（R-BBS）后計(jì)算sk=H（NA，NB，Xy）。注意：Step1中的Cmt（R-BBS）可以由用戶ui計(jì)算，用戶ui不知道rsi，因?yàn)橛脩魧（B，h）作為Eq.（1）。在上面，用戶ui通過顯示擁有正確的憑證向服務(wù)器授權(quán)，而服務(wù)器的身份驗(yàn)證依賴于ElGamal加密。3第三方攻擊者的用戶匿名性驗(yàn)證在文獻(xiàn)9中，作者等人聲稱，RT1001方案支持針對(duì)

13、服務(wù)器的不可鏈接性，服務(wù)器并不俱怕外部攻擊，因?yàn)榉?wù)器不能鏈接同一個(gè)用戶進(jìn)行的不同登錄。在本節(jié)中，我們將展示第三方攻擊者可以指定是哪個(gè)用戶發(fā)送了登錄請(qǐng)求。實(shí)際上，這足以讓第三方攻擊者鏈接同一用戶發(fā)送的不同登錄請(qǐng)求。3.1第三方攻擊者的可鏈接性為了清楚起見，假設(shè)只有兩個(gè)用戶u1和u2的密碼保護(hù)憑據(jù)（C1=u1，M1，k1pw1，E（s1）對(duì)于用戶u1和C2=u2，M2，k2pw2，E（s2）對(duì)于用戶u2）委托給公共目錄。Step1：用戶u1執(zhí)行以下操作（1）用戶u1用他/她的密碼pw1從M1，k1pw1恢復(fù)（M1，k1）;（2）用戶u1選擇rRZq，并通過計(jì)算s*=E（r）E（s1）E（t）隨機(jī)

14、化E（s1）E（t）;（3）（4）與第2.2.3節(jié)的Step1步驟相同;（5）用戶u1使用（M1，k1，=r-1，u1）上的R-BBS簽名計(jì)算Cmt（R-BBS）=T1，T2，R1，R2，R3，最后，用戶u1向服務(wù)器發(fā)送s*，X，Cmt（R-BBS）作為登錄請(qǐng)求。Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作：（1）由于El-Gamal的乘法同態(tài)性質(zhì)，服務(wù)器計(jì)算rs1t=D（s*）和B=brs1t;（2）（4）這些操作與第2.2.3節(jié)的Step2步驟相同。Step3：用戶u1執(zhí)行以下操作（1）這些操作與第2.2.3節(jié)的Step3步驟相同;（2）通過將NB作為挑戰(zhàn)（即c=NB），用戶u1計(jì)算R

15、es（R-BBS）=su，s，sk，s，s如下：su=ru+cu1，s=r+c，sk=rk+ck1，s=r+c，s=r+c，其中=k1，然后向服務(wù)器發(fā)送Res（R-BBS）;（3）用戶通過合成共享密鑰sk=H（NA，NB，Yx）來結(jié)束協(xié)議。Step4：這些操作與第2.2.3節(jié)的Step4步驟相同。如果服務(wù)器在以上Step4步驟中中止協(xié)議（即，Res（R-BBS）無效），攻擊者就會(huì)知道剛剛發(fā)送登錄請(qǐng)求的用戶是用戶u1。因此，攻擊者就能得出的結(jié)論：剛剛發(fā)送登錄請(qǐng)求的用戶是用戶u1。以上Step4步驟中Res（R-BBS）的無效性可以從以下不相等性中很容易地檢查出來，如下：注：假設(shè)攻擊者用隨機(jī)值t替

16、換M1，k1pw1。在用他/她的傳遞字pw1解密t之后，用戶u1得到一對(duì)（M1，k1）。如果用戶可以檢查M1G1或k1Zq的格式，用戶u1可以注意到t不是正確的t并中止身份驗(yàn)證原型。在這種情況下，攻擊者無法破壞用戶匿名性。在上述攻擊中，為了保持各數(shù)值格式的一致性，攻擊者僅利用E（）的同態(tài)性將s1的密文隨機(jī)化為E（s1）E（t）。此攻擊有1%的概率可以成功，并且用戶u1不能注意到E（s1）的變化，因?yàn)槭苊艽a保護(hù)的憑證不需要任何安全的存儲(chǔ)設(shè)施，并且E（s1）和E（s1）E（t）同時(shí)具有相同的格式。3.2用戶鏈接性分析從以上可以看出，第三方攻擊者只需將密碼保護(hù)憑證C1替換為C1后，竊聽用戶與服務(wù)器之

17、間的通信，就可以以1%的概率指定用戶u1和u2。此攻擊表示攻擊者可以鏈接用戶u1稍后發(fā)送的不同登錄請(qǐng)求。處于第三方攻擊過程中，有可能是用戶無法檢查E（s1）的完整性，同時(shí)服務(wù)器無法從隨機(jī)化的s*中恢復(fù)s1。以上攻擊同樣適用于RT1001方案中的多用戶ui（i2）。例如，如果|ui|=8，并且用戶執(zhí)行2.2.3的身份驗(yàn)證協(xié)議時(shí)，第三方攻擊者連續(xù)重復(fù)3次攻擊后，可以以1%的概率指定用戶。從上面可以看出，RT1001方案無法提供針對(duì)第三方攻擊者的用戶匿名性。4本文提出的應(yīng)對(duì)方案第三方攻擊者發(fā)起的可鏈接性攻擊，如果使用保持完整性的便攜設(shè)備或公共目錄來存儲(chǔ)用戶受密碼保護(hù)的憑據(jù)，第三方攻擊者可以輕易發(fā)起可

18、鏈接性攻擊。在這一節(jié)中，我們將給出一個(gè)簡單有效的對(duì)抗攻擊的對(duì)策：不需要任何安全性的用于存儲(chǔ)用戶受密碼保護(hù)的憑據(jù)。4.1系統(tǒng)設(shè)置為了設(shè)置系統(tǒng)參數(shù)，服務(wù)器執(zhí)行以下操作：（1）將BBS+信號(hào)的公鑰設(shè)置為（W=h，hG2，a，b，dG1），將私鑰設(shè)置為（Zq）;（2）將g，g0，G1G1作為公共參數(shù);（3）為ElGamal加密選擇公鑰/私鑰對(duì)，并對(duì)其進(jìn)行加解密分別用E（）和D（）表示;（4）選擇一個(gè)哈希函數(shù)H：0，1*0，1k0和MAC：0，1k10，1k1，其中k0，k1是適當(dāng)?shù)臄?shù)字。4.2注冊(cè)登記所有用戶都需要提前向服務(wù)器注冊(cè)，每個(gè)用戶都獲得一個(gè)身份驗(yàn)證憑證。服務(wù)器向每個(gè)用戶ui發(fā)放一個(gè)憑證，這是

19、一個(gè)在用戶標(biāo)識(shí)ui上簽名的BBS+簽名（Mi，ki，si）。用戶將密碼保護(hù)的憑證Ci放入他/她的首選存儲(chǔ)目錄，例如，硬盤、手機(jī)、U盤或公共設(shè)施/目錄，服務(wù)器在本地存儲(chǔ)所有用戶ui的密碼保護(hù)憑據(jù)為Cii。4.3認(rèn)證協(xié)議假設(shè)用戶ui在登錄時(shí)具有受密碼保護(hù)的憑據(jù)Ci=ui，Mi，kipwi，E（si）。下面是用戶ui和服務(wù)器之間的身份驗(yàn)證協(xié)議。Step1：用戶ui執(zhí)行以下操作（1）用戶使用他/她的密碼pwi從Mi，kipwi恢復(fù)（Mi，ki）;（2）用戶選擇rRZq，并通過計(jì)算s*=E（r）E（si）隨機(jī)化E（si）;（3）用戶選擇xRZq并計(jì)算X=gx;（4）用戶選擇NAR0，1k1并計(jì)算=E（N

20、A）;（5）用戶使用R-BBS信號(hào)（Mi，ki，=r-1（modq），ui）計(jì)算Cmt（R-BBS）;最后，用戶向服務(wù)器發(fā)送s*，X，Cmt（R-BBS）作為登錄請(qǐng)求。Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作（1）服務(wù)器計(jì)算rsi=D（s*），由于ElGamal的乘法同態(tài)性質(zhì)，B=brsi;（2）服務(wù)器選擇yRZq并計(jì)算Y=gy;（3）服務(wù)器計(jì)算NA=D（）及V=MAC（NA，Y，X）;（4）服務(wù)器選擇NBRZq，并將NB、Y、V發(fā)送回用戶;（5）服務(wù)器計(jì)算NA=D（）和V=MAC（NA，Y，X，Cii）其中Cii是本地存儲(chǔ)的密碼保護(hù)憑據(jù)（針對(duì)所有用戶）。Step3：用戶ui執(zhí)行以下操

21、作（1）用戶驗(yàn)證V，如果無效則中止;（2）以NB為例進(jìn)行質(zhì)詢，用戶計(jì)算并發(fā)送Res（R-BBS）到服務(wù)器;（3）用戶通過合成共享密鑰s=H（NA，NB，Yx）來結(jié)束協(xié)議。Step4：服務(wù)器在驗(yàn)證Res（R-BBS）后計(jì)算s=H（NA，NB，Xy）。5方案驗(yàn)證同樣，我們假設(shè)兩個(gè)用戶u1和u2的密碼保護(hù)憑據(jù)（C1=u1，M1，k1pw1，E（s1）對(duì)于用戶u1和C2=u2，M2，k2pw2，E（s2）對(duì)于用戶u2）委托給公共目錄。首先，攻擊者選擇tRZq，計(jì)算E（t），然后用C1=u1，M1，k1pw1，E（s1）E（t）替換C1=u1，M1，k1pw1，E（s1）。下面是服務(wù)器和用戶u1之間的身

22、份驗(yàn)證協(xié)議，用戶u1具有C1=u1，M1，k1pw1，E（s1）E（t）。在身份驗(yàn)證協(xié)議中，第三方攻擊者只是在用戶u1和服務(wù)器之間竊聽通信。當(dāng)然，攻擊者不知道哪個(gè)用戶即將在此協(xié)議中執(zhí)行。5.1驗(yàn)證步驟Step1：用戶u1執(zhí)行以下操作（1）用戶u1用他/她的密碼pw1從M1，k1pw1恢復(fù)（M1，k1）;（2）用戶u1選擇rRZq，并通過計(jì)算s*=E（r）E（s1）E（t）隨機(jī)化E（s1）E（t）;（3）用戶u1選擇xRZq，計(jì)算X=gx;（4）用戶u1選擇NAR0，1k1，計(jì)算=E（NA）;（5）用戶u1使用（M1，k1，=r-1，u1）上的R-BBS簽名計(jì)算Cmt（R-BBS）=T1，T2，

23、R1，R2，R3，如下：最后，用戶u1向服務(wù)器發(fā)送s*，X，Cmt（R-BBS）作為登錄請(qǐng)求。Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作：（1）由于El-Gamal的乘法同態(tài)性質(zhì)，服務(wù)器計(jì)算rs1t=D（s*）和B=brs1t;（2）服務(wù)器選擇yRZq并計(jì)算Y=gy;（3）服務(wù)器計(jì)算NA=D（）和V=MAC（NA，Y，X，Cii）其中Cii是本地存儲(chǔ)的密碼保護(hù)憑據(jù)（針對(duì)所有用戶）。（4）服務(wù)器選擇NBRZq，并將NB、Y、V發(fā)送回用戶。Step3：用戶u1執(zhí)行以下操作（1）用戶驗(yàn)證V，如果無效則中止;（2）以NB為例進(jìn)行質(zhì)詢，用戶計(jì)算并發(fā)送Res（R-BBS）到服務(wù)器;（3）用戶通過合成

24、共享密鑰sk=H（NA，NB，Yx）來結(jié)束協(xié)議。Step4：服務(wù)器在驗(yàn)證Res（R-BBS）后計(jì)算sk=H（NA，NB，Xy）。5.2用戶匿名的安全性分析在以上Step2通過對(duì)MAC地址使用“用于任意長度消息的安全CBC-MAC”或HMAC，可以獲得其大小與消息大小無關(guān)的固定長度標(biāo)記V。用戶ui可以通過驗(yàn)證V來檢查Cii（包括E（si）的完整性。如果第三方攻擊者對(duì)密碼保護(hù)憑據(jù)Cii添加任何修改，則用戶ui中止協(xié)議。由于V的無效性（即VMAC（NA，Y，X，Cii）不向服務(wù)器發(fā)送Res（R-BBS），因此攻擊者無法在的攻擊中指定用戶ui。6結(jié)論雖然上述對(duì)策對(duì)第三方攻擊者發(fā)出的可鏈接性攻擊是有效的

25、，但在用戶數(shù)量大時(shí)并不實(shí)用。這就是為什么每個(gè)用戶必須下載所有受密碼保護(hù)的憑據(jù)Cii（如果它們被委托給一個(gè)公共目錄），或者必須在本地存儲(chǔ)所有Cii（如果它們被委托給一個(gè)用戶的便攜式設(shè)備）以便驗(yàn)證V。因此，使RT1001方案安全和有效（即獨(dú)立于用戶的數(shù)量）將是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。參考文獻(xiàn)：1羅遠(yuǎn)哲，劉瑞景，孟小鈺，等.一種匿名認(rèn)證方法及系統(tǒng)：CN112364331AP.2022-02-12.2阮鷗，王子豪，張明武.一種高效的匿名口令認(rèn)證密鑰交換協(xié)議J.中南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2022，37（2）：109-113+127.3胡如會(huì)，張起榮，賀道德.基于雙線性映射直接匿名認(rèn)證方案的改進(jìn)J.科學(xué)技術(shù)與工程，2022，18（3）：4.4王震，范佳，成林，等.可監(jiān)管匿名認(rèn)證方案J.軟件學(xué)報(bào)，2022，030（006）：1705-1720.5曹守啟，何鑫，劉婉榮.一種改進(jìn)的遠(yuǎn)程用戶身份認(rèn)證方案J.計(jì)算機(jī)工程與科學(xué)，2