零知識證明與身份識別技術(shù) changwei課件

零知識證明與身份識別技術(shù)安全協(xié)議概述協(xié)議(Protocol)基本概念兩個或兩個以上的參與者為完成某項特定任務而采取的一系列步驟。三層含義協(xié)議是有序的過程，每一步必須依次執(zhí)行協(xié)議至少需要兩個參與者通過執(zhí)行協(xié)議必須能夠完成某項任務安全協(xié)議概述協(xié)議(Protocol)特點協(xié)議的參與方必須了解協(xié)議，明確協(xié)議執(zhí)行的所有步驟協(xié)議的參與方都承諾按協(xié)議步驟執(zhí)行協(xié)議協(xié)議必須清楚、完整，對每種可能的情況必須規(guī)定明確、具體的動作基本要求有效性公平性完整性零知識證明Alice:“我知道聯(lián)邦儲備系統(tǒng)計算機的口令”Bob:“不，你不知道”Alice：我知道Bob：你不知道Alice：我確實知道Bob：請你的證實這一點Alice：好吧，我告訴你。（她悄悄說出了口令）Bob：太有趣了！現(xiàn)在我也知道了。我要告訴《華盛頓郵報》Alice：啊呀！零知識證明的概念 設P(Prover)表示掌握某些信息，并希望證實這一事實的實體，設V(Verifier)是驗證這一事實的實體。某個協(xié)議向V證明P的確掌握某些信息，但V無法推斷出這些信息是什么，我們稱P實現(xiàn)了最小泄露證明(MinimumDisclosureproof)。如果V除了知道P能夠證明某一事實外，不能夠得到其他任何知識，我們稱P實現(xiàn)了零知識證明(ZeroKnowledgeproof)，相應的協(xié)議稱作零知識協(xié)議。零知識證明的概念在最小泄露協(xié)議中滿足下述兩個性質(zhì)：(1)完備性(Completeness)：如果P的聲明是真的，則V以絕對優(yōu)勢的概率接受P的結(jié)論；(2)有效性(Soundness)：如果P的聲明是假的，則V以絕對優(yōu)勢的概率拒絕P的結(jié)論；(正確性)在零知識協(xié)議中，除滿足上述兩個條件以外，還滿足下述性質(zhì)：(3)零知識性(Zero-knowledge)：無論V采取任何手段，當P的聲明是真的，P不違背協(xié)議時，V除了接受P的結(jié)論以外，得不到其他額外的信息。設P知道咒語，可打開C和D之間的秘密門，不知道者都將走向死胡同中零知識證明的圖論示例10交互式零知識證明

證明者和驗證者共享輸入

(函數(shù)或者是值)如果驗證者檢查，對于每一個挑戰(zhàn)的響應都是正確的，這個協(xié)議才輸出Accept，否則，輸出RejectP證明者V驗證者承諾挑戰(zhàn)響應Repeatstrounds輸入輸入平方根問題的零知識Fiat-Shamir識別方案(Fiat,Shamir,1986)Fiat-Shamir協(xié)議性質(zhì)完備性：如果P和V遵守協(xié)議，且P知道s，則應答rs應是模n下xv的平方根，V接收P的證明，所以協(xié)議是完備的。有效性：P不知道s，他也可取r，發(fā)送x給V，V發(fā)送b給P。P可將r送出，當b=0時則V可通過檢驗而受騙，當b=1時，則V可發(fā)現(xiàn)P不知s，B受騙概率為1/2，但連續(xù)t次受騙的概率將僅為2t。V無法知道P的秘密。完備性如果P和V遵守協(xié)議，且P知道x，很容易證明V可以接收P的證明，所以協(xié)議是完備的。正確性P不知道x，他可以猜測Challenge，如果為0，則一開始就發(fā)送commit=pkmodq給V；如果為1，則一開始就發(fā)送commit=(pkmodq)/b給V。之后總是在第三步發(fā)送k給V。每次受騙概率為1/2，但連續(xù)m次受騙的概率將僅為2-mV無法知道P的秘密，因為V沒有機會產(chǎn)生(0,1）以外的信息，根據(jù)離散對數(shù)的單向性質(zhì)可以推斷V無法獲知新的信息。離散對數(shù)問題的零知識證明假定：P的秘密是x<q，存在一個單向函數(shù)f，滿足條件：f(x*y)=f(x)f(y),V可以知道X=f(x)重復以下步驟m次：P選取某一個k，計算commit=f(k)，發(fā)送commit給VV通過拋硬幣的方式選擇challenge是0或1發(fā)送給P如果challenge=0，P計算Response=k；如果challenge=1，P計算Response=k*x，發(fā)送Response給V如果challenge=0，V驗證f(Response)是否是commit；如果challenge=1，V驗證f(Response)是否是commit*X如果m次檢驗都成功，則V接受證明（被欺騙的概率是2-m）單向函數(shù)的零知識證明完備性如果P和V遵守協(xié)議，且P知道x，顯然P可以任意給出k或者k*x，而在f(x*y)=f(x)f(y)條件下，驗證確實也總是成功的，所以協(xié)議是完備的。正確性P不知道x，他可以猜測Challenge，如果為0，則一開始就發(fā)送commit=f(k)給V；如果為1，則一開始就發(fā)送commit=f(k)/X給V。之后總是在第三步發(fā)送k給V。每次受騙概率為1/2，但連續(xù)m次受騙的概率將僅為2-mV無法知道P的秘密，因為V沒有機會產(chǎn)生(0,1）以外的信息，只要f(x)這一函數(shù)的單向性能夠保證即可。單向函數(shù)的零知識證明身份鑒別方案在一個安全的身份認證協(xié)議中，我們希望被認證者P能向驗證者V電子地證明他的身份，而又不向P泄露他的認證信息Feige-Fiat-Shamir身份鑒別方案Guillo-Quisquater身份鑒別方案Schnorr身份鑒別方案簡化的Feige-Fiat-Shamir身份鑒別方案可信賴仲裁方選定一個隨機模數(shù)n=p1×p2，p1、p2為兩個大素數(shù)。實際中n至少為512比特，盡量長達1024比特。仲裁方可實施公鑰和私鑰的分配。他產(chǎn)生隨機數(shù)v（v為對模n的二次剩余）。換言之，選擇v使得x2=vmodn有一個解并且v–1modn存在。以v作為被驗證方的公鑰，而后計算最小的整數(shù)s：s≡sqrt(v–1)modn，將它作為被驗方P的私人密鑰而分發(fā)給他。BA簡化的Feige-Fiat-Shamir身份鑒別方案簡化的Feige-Fiat-Shamir身份鑒別方案安全性討論如下：P欺騙V的可能性。P不知道s，他也可選取隨機數(shù)r，將x=r2modn發(fā)給V，V發(fā)送隨機比特b給P，P可將r送出。當b=0時，則V讓P通過檢驗而受騙；當b=1時，則V可發(fā)現(xiàn)P不知道s。V受騙的概率為1/2，但連續(xù)t次受騙的概率將僅為2–1。V偽裝P的可能性。V和其他驗證者W開始一個協(xié)議。第一步他可用P用過的隨機數(shù)r，若W所選的b值恰與以前V發(fā)給P的一樣，則V可將在第(3)步所發(fā)的r或y重發(fā)給W，從而可成功的偽裝P。但W可能隨機地選b為0或1，故這種工具成功的概率為1/2，執(zhí)行t次，則可使其將為2–t。Feige-Fiat-Shamir身份鑒別方案協(xié)議如下：(1)P選隨機數(shù)r（r<m），計算x=r2modn并發(fā)送給驗證方V；(2)V選k比特隨機二進制串b1,b2,…,bk傳送給P；(3)P計算y=r×(s1b1×s2b2×…×skbk

)modn，并送給V；(4)V驗證x=y2×(v1b1×v2b2×…×vkbk

)modn。此協(xié)議可執(zhí)行t次，直到V相信P知道s1,s2,…,sk，P欺騙V的機會為2–kt。Feige-Fiat-Shamir身份鑒別方案ABGuillo-Quisquater身份鑒別方案單輪（t=1）GQ協(xié)議三次傳輸?shù)南椋?1)A→B：IA，x=remodn，其中r是A選擇的秘密隨機數(shù)；(2)B→A：B選隨機數(shù)u，u≥1；(3)A→B：y=r·SA

umodn。具體協(xié)議描述如下：(1)A選擇隨機數(shù)r，1≤r≤n–1，計算x=remodn，A將(IA,x)送給B；(2)B選擇隨機數(shù)u，1≤u≤e，將u送給A；(3)A計算y=r·SA

umodn，送給B；(4)B收到y(tǒng)后，從IA計算JA=H(IA)，并計算JA

u

·Yemodn。若結(jié)果不為0且等于x，則可確認A的身份；否則拒絕A。Guillo-Quisquater身份鑒別方案BASchnorr身份鑒別方案以上方案有一定的缺陷：實時計算量、消息交換量和所需存儲量較大，Schnorr提出的一種安全性基于計算離散對數(shù)的困難性的鑒別方案，可以做預計算來降低實時計算量，所需傳送的數(shù)據(jù)量亦減少許多，特別適用于計算能力有限的情況。ClausSchnorr的認證方案的安全性建立在計算離散對數(shù)的難度上。為了產(chǎn)生密鑰對，首先選定系統(tǒng)的參數(shù)：素數(shù)p及素數(shù)q，q是p–1的素數(shù)因子。p21024，q>2160，元素g為q階元素，l≤g≤p–1。令a為GF(p)的生成元，則得到g=a(p–1)/qmodq。由可信賴的第三方T向各用戶分發(fā)系統(tǒng)參數(shù)(p,q,g)和驗證函數(shù)（即T的公鑰），用此驗證T對消息的簽字。Schnorr身份鑒別方案BA身份識別技術(shù)

基本概念幾種常見的身份識別系統(tǒng)通行字(口令)認證系統(tǒng)個人特征的身份證明基于零知識證明的識別技術(shù)智能卡在個人身份證明中的作用身份識別基本概念

身份識別定義指定用戶向系統(tǒng)出示自己身份的證明過程，通常是獲得系統(tǒng)服務所必需的第一道關(guān)卡。身份識別技術(shù)能使識別者識別到自己的真正身份，確保識別者的合法權(quán)益。是社會責任制的體現(xiàn)和社會管理的需要。

常用身份識別技術(shù)

一類是基于密碼技術(shù)的各種電子ID身份識別技術(shù)；基于這種技術(shù)的數(shù)字證書和密碼都存在被人盜竊、拷貝、監(jiān)聽獲取的可能性解決辦法：數(shù)字證書的載體可以采用特殊的、不易獲取或復制的物理載體，如指紋、虹膜等。另一類是基于生物特征識別的識別技術(shù)。

電子ID身份識別技術(shù)的常用方式

一種是使用通行字的方式

通行字是使時最廣泛的一種身份識別方式，比如中國古代調(diào)兵用的虎符和現(xiàn)代通信網(wǎng)的撥入?yún)f(xié)議等。

另一種是使用持證的方式

持證（token）是一種個人持有物，它的作用類似于鑰匙，用于啟動電子設備。

通行字技術(shù)通行字一般由數(shù)字、字母、特殊字符、控制字符等組成的長為5--8的字符串。選擇規(guī)則為:易記，難于被別人猜中或發(fā)現(xiàn)，抗分析能力強，還需要考慮它的選擇方法、使用期、長度、分配、存儲和管理等。

通行字技術(shù)識別辦法識別者A先輸入他的通行字，然后計算機確認它的正確性。A和計算機都知道這個秘密通行字，A每次登錄時，計算機都要求A輸入通行字。要求計算機存儲通行字，一旦通行字文件暴露，就可獲得通行字。為了克服這種缺陷，人們建議采用單向函數(shù)。此時，計算機存儲通行字的單項函數(shù)值而不是存儲通行字。

通行字技術(shù)認證過程

1.A將他的通行字傳送給計算機2.計算機完成通行字的單向函數(shù)值的計算

3.計算機把單向函數(shù)值和機器存儲的值比較

持證（token）一種嵌有磁條的塑料卡，磁條上記錄有用于機器識別的個人信息。這類卡通常和個人識別號(PIN)一起使用

這類卡易于制造，而且磁條上記錄的數(shù)據(jù)也易于轉(zhuǎn)錄，因此要設法防止仿制。為了提高磁卡的安全性，人們建議使用一種被稱作“智能卡”的磁卡來代替普通的磁卡，智能卡與普通的磁卡的主要區(qū)別在于智能卡帶有智能化的微處理器和存儲器。

安全的身份識別協(xié)議要求一個安全的身份識別協(xié)議至少應滿足以下兩個條件：

1.識別者A能向驗證者B證明他的確是A。

2.在識別者A向驗證者B證明他的身份后，驗證者B沒有獲得任何有用的信息，B不能模仿A向第三方證明他是A。

識別協(xié)議

詢問-應答驗證者提出問題（通常是隨機選擇一些隨機數(shù)，稱作口令），由識別者回答，然后驗證者驗證其真實性。另一類比較重要的識別協(xié)議是零知識身份識別協(xié)議。零知識稱為證明者的一方試圖使被稱為驗證者的另一方相信某個論斷是正確的，卻又不向驗證者提供任何有用的信息。

幾種常見的身份識別系統(tǒng)

1.通行字（口令）認證系統(tǒng)

2.個人特征的身份證明

3.基于零知識證明的識別技術(shù)

4.智能卡在個人身份證明中的作用1通行字認證系統(tǒng)：（1）基本概念

通行字（口令）是一種根據(jù)已知事物驗證身份的方法，也是一種最為廣泛研究和使用的身份識別方法。

在實際的安全系統(tǒng)中，還要考慮和規(guī)定口令的選擇方法、使用期限、字符長度、分配和管理以及在計算機系統(tǒng)中的安全保護等。不同安全水平的計算機系統(tǒng)要求也不相同。

示例在一般非保密的聯(lián)機系統(tǒng)中，多個用戶可共用一個口令，這樣的安全性很低了?？梢越o每個用戶分配不同的口令，以加強這種系統(tǒng)的安全性。但這樣的簡單口令系統(tǒng)的安全性始終是不高的。在安全性要求比較高的系統(tǒng)中，可以要求口令隨時間的變化而變化，這樣每次接入系統(tǒng)時都是一個新的口令，即實現(xiàn)動態(tài)口令。這樣可以有效防止重傳攻擊。還有通常的口令保存都采取密文的形式，即口令的傳輸和存儲都要加密，以保證其安全性

通?？诹畹倪x擇原則

1、易記2、難以被別人發(fā)現(xiàn)和猜中3、抗分析能力強

通?？诹畹倪x擇原則為防止口令被猜中以通行短語（Passphrass）代替口令，通過密鑰碾壓（KeyCrunching）技術(shù)，如雜湊函數(shù)，可將易于記憶足夠長的口令變換為較短的隨機性密鑰?？诹罘职l(fā)的安全也是口令系統(tǒng)安全的重要環(huán)節(jié)，通常采用郵寄方式，安全性要求較高時須派可靠的信使傳遞。為了安全常常限定輸入口令的次數(shù)以防止猜測的攻擊等。

（2）口令的控制措施1/3（1）系統(tǒng)消息。一般系統(tǒng)在聯(lián)機和脫機時都顯示一些禮貌性用語，而成為識別該系統(tǒng)的線索，因此這些系統(tǒng)應當可以控制這類消息的顯示。而口令是一定不能被現(xiàn)實出來的。（2）限制試探次數(shù)。不成功口令的發(fā)送一般限制3至6次，超過限定次數(shù)，系統(tǒng)將對該用戶的身份ID進行鎖定，直到重新授權(quán)才再開啟。（3）口令的使用設定有效期。一旦某個口令的使用超過有效期將作廢，重新設定新口令。（2）口令的控制措施2/3（4）雙口令系統(tǒng)。允許聯(lián)機是一個口令，允許接觸敏感信息還需要另外一個口令。（5）規(guī)定最小長度。限制口令至少為6到8個字節(jié)以上，為防止猜測成功概率過高，還可采用摻雜或采用通行短語等加長和隨機化。（6）封鎖用戶系統(tǒng)?？梢詫﹂L期未聯(lián)機用戶或口令超過使用期限的用戶ID封鎖。直到用戶重新被授權(quán)。（2）口令的控制措施3/3（7）根口令的保護。根（root）口令一般是系統(tǒng)管理員訪問系統(tǒng)所用口令，由于系統(tǒng)管理員被授予的權(quán)力遠大于一般用戶，因此它自然成為攻擊的目標。從而在選擇和使用中要倍加保護。要求必須采用16進制字符串、不能通過網(wǎng)絡傳送、要經(jīng)常更換等。（8）系統(tǒng)生成口令。有些系統(tǒng)不允許用戶自己選定口令，而由系統(tǒng)生成、分配口令。系統(tǒng)如何生成易于記憶又難以猜中的口令是要解決的一個關(guān)鍵問題。如果口令難以記憶，則用戶要寫下來，則增加了暴露的危險；另一危險是若口令生成算法被竊，則危及整個系統(tǒng)的安全。

（3）口令的檢驗-支持法用戶先自行選一個口令，當用戶第一次使用時，系統(tǒng)利用一個程序檢驗其安全性，如果它是易于猜中的，則拒絕并請用戶重新選一個新的。程序通過準則要考慮可猜中性與安全性之間的折衷，算法若太嚴格，則造成用戶所選用口令屢遭拒絕而招致?lián)碜o抱怨。另一方面如果很易猜中的口令也能通過，則影響系統(tǒng)的安全性。

（4）口令的安全存儲

對于用戶的口令多以加密的形式存儲，入侵者要得到口令，必須知道加密算法和密鑰。算法可能是公開的，但密鑰應當只有管理者才能知道。許多系統(tǒng)可以存儲口令的單向雜湊值，入侵者即使得到此雜湊值也難以獲得真正的口令。利用智能卡來保存口令。這種口令本質(zhì)上是一個隨機數(shù)生成器，可以用安全服務器以軟件方法生成。驗證碼主要作用：防止身份欺騙WEB站有時會碰到客戶機惡意攻擊,其中一種很常見的攻擊手段就是身份欺騙，它通過在客戶端腳本寫入一些代碼,然后利用這些代碼,用客戶機在網(wǎng)站(論壇)反復登陸,或者攻擊者創(chuàng)建一個HTML窗體,其窗體如果包含了用戶注冊窗體或發(fā)帖窗體等相同的字段,然后利用“http-post”傳輸數(shù)據(jù)到服務器,服務器會執(zhí)行相應的創(chuàng)建帳戶,提交垃圾數(shù)據(jù)等操作,如果服務器本身不能有效驗證并拒絕此非法操作,它會很嚴重耗費其系統(tǒng)資源,降低網(wǎng)站性能甚至使程序崩潰。驗證碼驗證碼的防護原理：“字符校驗”技術(shù)用戶必須讀取這些字符串,然后隨登陸窗體或者發(fā)帖窗體等用戶創(chuàng)建的窗體一起提交；使用者可以較易讀出圖片中的數(shù)字,而對于一段客戶端攻擊代碼,通過一般手段是很難識別驗證碼，這樣可以確保當前訪問是來自一個人而非機器攻擊驗證碼驗證碼：就是將一串隨機產(chǎn)生的數(shù)字或符號，生成一幅圖片，圖片里加上一些干擾象素（防止OCR），由用戶肉眼識別其中的驗證碼信息，輸入表單提交網(wǎng)站驗證，驗證成功后才能使用某項功能。作用：驗證碼一般是防止有人利用機器人自動批量注冊、對特定的注冊用戶用特定程序暴力破解方式進行不斷的登陸、灌水。因為驗證碼是一個混合了數(shù)字或符號的圖片，人眼看起來都費勁，機器識別起來就更困難。一般注冊用戶ID的地方以及各大論壇都要要輸入驗證碼2.個人特征的身份證明

生物統(tǒng)計學正在成為自動化世界所需要的自動化個人身份認證技術(shù)中最簡單而安全的方法。它是利用個人的生理特征來實現(xiàn)。因人而已、隨身攜帶，不會丟失且難以偽造，極適用于個人身份認證。

身份識別技術(shù)主要的幾種情況（1）手寫簽名識別技術(shù)（2）指紋識別技術(shù)（3）語音識別技術(shù)（4）視網(wǎng)膜圖樣識別技術(shù)（5）虹膜圖樣識別技術(shù)（6）臉型識別（1）手寫簽名識別技術(shù)(1/3)傳統(tǒng)的協(xié)議和契約等都以手寫簽名生效。發(fā)生爭執(zhí)時則由法庭判決，一般都要經(jīng)過專家鑒定。由于簽名動作和字跡具有強烈的個性而可作為身份驗證的可靠依據(jù)。

（1）手寫簽名識別技術(shù)(2/3)機器自動識別手寫簽名成為模式識別中的重要研究之一。進行機器識別要做到：一簽名的機器含義，二手寫的字跡風格（對于身份驗證尤為重要）可能的偽造簽名有兩種情況：一是不知道真跡，按得到的信息隨手簽名；二是已知真跡時模仿簽名或影描簽名。（1）手寫簽名識別技術(shù)(3/3)自動的簽名系統(tǒng)作為接入控制設備的組成部分時，應先讓用戶書寫幾個簽名進行分析，提取適當參數(shù)存檔備用。

（2）指紋識別技術(shù)

指紋作為身份驗證的準確而可靠的手段指紋相同的概率不到形狀不隨時間變化提取方便將指紋作為接入控制的手段大大提高了其安全性和可靠性。缺憾通常和犯罪聯(lián)系在一起，人們一般都不愿接受這種方式機器識別指紋成本很高。

（3）語音識別技術(shù)

每個人說話的聲音都有自己的特點，人對語音的識別能力是特別強的。在商業(yè)和軍事等安全性要求較高的系統(tǒng)中，常?？咳说恼Z音來實現(xiàn)個人身份的驗證。機器識別語音的系統(tǒng)可提高系統(tǒng)安全，并在個人的身份驗證方面有廣泛的應用?，F(xiàn)在美國、德國等已經(jīng)開發(fā)出了基于語音的識別系統(tǒng)，用于防止黑客進入語音函件和電話服務系統(tǒng)。

（4）視網(wǎng)膜圖樣識別技術(shù)

人的視網(wǎng)膜血管的圖樣具有良好的個人特征。基本方法用光學和電子儀器將視網(wǎng)膜血管圖樣紀錄下來，一個視網(wǎng)膜血管的圖樣可壓縮為小于35字節(jié)的數(shù)字信息?？筛鶕?jù)對圖樣的節(jié)點和分支的檢測結(jié)果進行分類識別。要求被識別人要合作允許進行視網(wǎng)膜