基于零知識(shí)的多實(shí)體聯(lián)合身份認(rèn)證算法

麻付強(qiáng),徐 崢,宋桂香

(1.浪潮(北京)電子信息產(chǎn)業(yè)有限公司,北京 100085;2.高效能服務(wù)器和存儲(chǔ)技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室,北京 100085;3.浪潮集團(tuán)有限公司,山東 濟(jì)南 250101)

0 引 言

當(dāng)前,云計(jì)算技術(shù)快速發(fā)展[1],但云計(jì)算平臺(tái)仍然面臨著很多關(guān)鍵性的安全問(wèn)題,并且已經(jīng)成為制約其發(fā)展的重要因素,其中身份認(rèn)證安全尤其突出。身份認(rèn)證是云計(jì)算安全的基礎(chǔ)[2-3],為用戶和云服務(wù)提供商的訪問(wèn)控制提供保證,防止非法用戶進(jìn)入云系統(tǒng),并限制非法用戶訪問(wèn)云資源。

身份認(rèn)證[4-5]在整個(gè)信息安全中占據(jù)著很重要的位置,是其他安全機(jī)制的基礎(chǔ),進(jìn)而保證安全審計(jì)、訪問(wèn)控制、入侵防范等安全機(jī)制的有效實(shí)施。目前身份認(rèn)證技術(shù)己經(jīng)廣泛應(yīng)用于信息安全中的數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)管理等領(lǐng)域。但是隨著應(yīng)用場(chǎng)景的不斷擴(kuò)展,特定的身份認(rèn)證協(xié)議[6]不可能對(duì)所有的應(yīng)用場(chǎng)景都適用,需要針對(duì)不同的應(yīng)用環(huán)境設(shè)計(jì)相應(yīng)的身份認(rèn)證協(xié)議。

目前,主流的身份認(rèn)證方案分為以下3種:(1)基于靜態(tài)口令[7]的身份認(rèn)證,利用用戶所知道的信息來(lái)證明身份;(2)基于動(dòng)態(tài)口令的身份認(rèn)證[8],依據(jù)用戶所擁有的知識(shí)來(lái)證明身份;(3)基于生物特征的身份認(rèn)證[9],利用人臉、虹膜等獨(dú)一無(wú)二的生物特征來(lái)證明身份。

針對(duì)身份認(rèn)證系統(tǒng)中信任中心權(quán)利過(guò)大的問(wèn)題,研究者提出了門(mén)限簽名的身份認(rèn)證方案。門(mén)限簽名算法[10-11]是一種基于秘密共享的技術(shù)。(t,n)秘密共享是指將一個(gè)秘密信息利用密碼學(xué)原理分割成n個(gè)子秘密信息,只有至少t個(gè)合法成員合作才可以恢復(fù)原始秘密。劉洋宇等人[12]將證書(shū)中心分成多個(gè),利用門(mén)限簽名技術(shù)實(shí)現(xiàn)對(duì)用戶證書(shū)的頒發(fā)。林香等人[13]利用門(mén)限盲簽名實(shí)現(xiàn)了聯(lián)合身份認(rèn)證,可以由多個(gè)在線的證書(shū)生產(chǎn)者進(jìn)行簽名,有效地降低了證書(shū)生產(chǎn)者的信任程度。上述門(mén)限簽名方案均降低了信任中心的權(quán)利,尚未研究基于門(mén)限簽名降低認(rèn)證實(shí)體登錄權(quán)利集中的問(wèn)題。

針對(duì)身份認(rèn)證系統(tǒng)中傳輸信道不安全、信任中心易受攻擊等問(wèn)題,研究者提出利用機(jī)密計(jì)算技術(shù)來(lái)增強(qiáng)其安全性[14]。機(jī)密計(jì)算[15-16]將代碼和數(shù)據(jù)置入到可信執(zhí)行環(huán)境,實(shí)現(xiàn)“數(shù)據(jù)的可用不可見(jiàn)”。Yoon等人[17]利用Intel SGX構(gòu)建了高效的可搜索加密技術(shù),提高了數(shù)據(jù)安全性和搜索效率。Bao等人[18]分析了機(jī)密計(jì)算在區(qū)塊鏈中的應(yīng)用方案,全面提升了區(qū)塊鏈共識(shí)算法、智能合約的安全性。Kim等人[19]利用Intel SGX增強(qiáng)了Tor網(wǎng)絡(luò)的安全性和隱私性。零知識(shí)證明也可以實(shí)現(xiàn)安全的身份認(rèn)證而不泄露用戶隱私信息[20-21]。零知識(shí)證明是指證明者能夠在不向驗(yàn)證者提供任何有用信息的情況下,使驗(yàn)證者相信某個(gè)知識(shí)是正確的?；诹阒R(shí)證明的身份認(rèn)證機(jī)制的研究主體為服務(wù)器和用戶。服務(wù)器不知道用戶的登錄密鑰或者私鑰信息,而能夠驗(yàn)證用戶身份的過(guò)程,從而降低身份信息在服務(wù)器上的泄露風(fēng)險(xiǎn),同時(shí)還能夠減少用戶直接發(fā)送密碼或者私鑰的風(fēng)險(xiǎn)。Fiat等人[22]第一次提出了交互式零知識(shí)證明協(xié)議,服務(wù)器在不獲取用戶隱私身份信息情況下就能驗(yàn)證用戶身份,但是Fiat-Shamir只針對(duì)單一實(shí)體的身份驗(yàn)證。Jelle等人[23]基于Fiat-Shamir變換理論研究了抗量子攻擊的零知識(shí)證明協(xié)議。汪存燕等人[24]提出了基于橢圓曲線的零知識(shí)證明,運(yùn)算過(guò)程簡(jiǎn)單,但是認(rèn)證實(shí)體也是單用戶,無(wú)法降低實(shí)體的登錄權(quán)限。

上述身份認(rèn)證都是針對(duì)單一實(shí)體的訪問(wèn)場(chǎng)景,缺少關(guān)注多實(shí)體同時(shí)聯(lián)合身份認(rèn)證問(wèn)題。針對(duì)安全級(jí)別較高的系統(tǒng),例如云計(jì)算中的安全管理系統(tǒng)、云密碼服務(wù)器的后臺(tái)配置系統(tǒng),需要多人同時(shí)在線進(jìn)行認(rèn)證,相互監(jiān)督,才能夠進(jìn)行操作。如果由單一實(shí)體持有重要信息系統(tǒng)的登錄權(quán)限,則系統(tǒng)會(huì)面臨兩個(gè)危險(xiǎn):一是該實(shí)體權(quán)利過(guò)大,一旦成為惡意節(jié)點(diǎn),整個(gè)系統(tǒng)將受到攻擊;二是一旦該實(shí)體失效,整個(gè)系統(tǒng)中的服務(wù)將無(wú)法正常運(yùn)行。聯(lián)合身份認(rèn)證可以保證系統(tǒng)的訪問(wèn)權(quán)限不是單獨(dú)集中在某一個(gè)實(shí)體上,從而保證安全。但是目前的多人在線認(rèn)證只是靜態(tài)口令認(rèn)證的一種,需要后臺(tái)單獨(dú)判斷每個(gè)實(shí)體的身份信息,沒(méi)有有效實(shí)現(xiàn)聯(lián)合認(rèn)證。

針對(duì)需要多實(shí)體操作的強(qiáng)安全云計(jì)算系統(tǒng)的身份認(rèn)證問(wèn)題,該文提出了一種基于零知識(shí)的多實(shí)體聯(lián)合身份認(rèn)證算法。采用秘密共享技術(shù)將私鑰拆分成多個(gè)私鑰份額,并分發(fā)給多個(gè)實(shí)體。基于零知識(shí)證明協(xié)議,實(shí)體無(wú)需傳輸私鑰份額到身份認(rèn)證中心,降低了傳輸過(guò)程中的泄露風(fēng)險(xiǎn)。采用門(mén)限簽名算法構(gòu)造零知識(shí)證明協(xié)議,每次身份認(rèn)證需要多個(gè)實(shí)體參與。同時(shí),身份認(rèn)證中心無(wú)需存儲(chǔ)實(shí)體的私鑰份額,降低了私鑰份額的存儲(chǔ)泄露風(fēng)險(xiǎn)。進(jìn)一步,身份認(rèn)證中心運(yùn)行在機(jī)密計(jì)算環(huán)境中,每個(gè)實(shí)體可以對(duì)身份認(rèn)證中心的真實(shí)性進(jìn)行認(rèn)證。

1 零知識(shí)證明協(xié)議

零知識(shí)證明協(xié)議包括驗(yàn)證者和證明者[24]。驗(yàn)證者設(shè)定算法參數(shù)。以橢圓曲線算法為例,包括p、q、E和G,其中p是大素?cái)?shù),E是定義在有限域Fp上的橢圓曲線,G=(x,y)是橢圓曲線E上q階的基點(diǎn)。

(1)驗(yàn)證者產(chǎn)生零知識(shí)證明私鑰d,對(duì)應(yīng)公鑰為P=dG。將私鑰d發(fā)送給證明者。同時(shí)生成一個(gè)隨機(jī)數(shù)k,并發(fā)送給證明者。

(2)證明者產(chǎn)生臨時(shí)私鑰r,并計(jì)算對(duì)應(yīng)臨時(shí)公鑰rG,將rG發(fā)送給驗(yàn)證者。證明者計(jì)算h=r-kd,發(fā)送h到驗(yàn)證者。

(3)驗(yàn)證者驗(yàn)證rG是否等于kP+hG,確認(rèn)證明者具有登錄系統(tǒng)的私鑰信息,從而實(shí)現(xiàn)零知識(shí)身份認(rèn)證。

2 基于零知識(shí)的多實(shí)體聯(lián)合身份認(rèn)證算法

該文方案主要針對(duì)強(qiáng)安全云計(jì)算系統(tǒng)中實(shí)體訪問(wèn)控制場(chǎng)景,基于橢圓曲線算法設(shè)計(jì)了零知識(shí)的身份認(rèn)證。如圖1所示,該方案由客戶端和身份認(rèn)證中心組成,包括身份認(rèn)證中心機(jī)密部署階段、實(shí)體私鑰份額生成階段、零知識(shí)認(rèn)證階段。身份認(rèn)證中心的部分重要代碼運(yùn)行在由Intel SGX構(gòu)成的可信執(zhí)行環(huán)境中,執(zhí)行機(jī)密計(jì)算。身份認(rèn)證中心包括基于SGX的自簽名證書(shū)模塊、安全信道生成模塊、系統(tǒng)參數(shù)生成模塊、私鑰份額生成模塊、聯(lián)合認(rèn)證模塊?？蛻舳税▽?shí)體子集合選取模塊、安全信道建立模塊、零秘密分享模塊、臨時(shí)秘密分享模塊、零知識(shí)份額計(jì)算模塊。

圖1 系統(tǒng)模塊

2.1 身份認(rèn)證中心機(jī)密部署

為了降低對(duì)身份認(rèn)證中心權(quán)威性的依賴,該方案將身份認(rèn)證中心的相關(guān)負(fù)載運(yùn)行在Intel SGX構(gòu)建的機(jī)密計(jì)算環(huán)境中,可以有效保護(hù)身份認(rèn)證過(guò)程中私鑰份額生成的機(jī)密性,以及聯(lián)合身份認(rèn)證過(guò)程的真實(shí)性。

客戶端的實(shí)體在與身份認(rèn)證中心構(gòu)建安全通信信道時(shí),首先必須驗(yàn)證身份認(rèn)證中心的工作負(fù)載是否在真實(shí)的可行執(zhí)行環(huán)境中運(yùn)行,并且運(yùn)行的代碼是符合預(yù)期的。因此,身份認(rèn)證中心引入了自簽名的X.509證書(shū)機(jī)制[25],并將Intel SGX的遠(yuǎn)程證明數(shù)據(jù)Quote作為證書(shū)對(duì)象擴(kuò)展標(biāo)識(shí)的一部分。

圖2 基于SGX的自簽名證書(shū)

如圖2所示,遠(yuǎn)程證明數(shù)據(jù)Quote含有公鑰Hash值,實(shí)現(xiàn)證書(shū)與遠(yuǎn)程證明數(shù)據(jù)相互綁定?？蛻舳说膶?shí)體通過(guò)驗(yàn)證遠(yuǎn)程證明數(shù)據(jù)Quote來(lái)確認(rèn)身份認(rèn)證中心的工作負(fù)載確實(shí)運(yùn)行在可信執(zhí)行環(huán)境中,并通過(guò)Quote中的相關(guān)證據(jù)驗(yàn)證運(yùn)行的代碼符合預(yù)期,沒(méi)有惡意代碼。進(jìn)而,通過(guò)自簽名的X.509證書(shū)與身份認(rèn)證中心可以隨時(shí)建立TLS安全信道。

2.2 實(shí)體私鑰份額生成

身份認(rèn)證中心在可信執(zhí)行環(huán)境中基于系統(tǒng)參數(shù)生成模塊設(shè)定橢圓曲線上的公開(kāi)參數(shù),實(shí)現(xiàn)系統(tǒng)的初始化,包括p、q、E和G,其中p是大素?cái)?shù),E是定義在有限域Fp上的橢圓曲線,G=(x,y)是橢圓曲線E上q階的基點(diǎn)。身份認(rèn)證中心將多實(shí)體聯(lián)合身份認(rèn)證的訪問(wèn)控制私鑰設(shè)置為d,公鑰為P=dG。

身份認(rèn)證中心執(zhí)行Shamir門(mén)限秘密共享,設(shè)定(t,n)門(mén)限簽名算法的實(shí)體集合。根據(jù)私鑰為實(shí)體的集合中的每個(gè)實(shí)體各自生成相應(yīng)的私鑰份額,并安全刪除私鑰。將公鑰保存在身份認(rèn)證中心。身份認(rèn)證中心將訪問(wèn)控制私鑰d拆分成n份,分發(fā)給n個(gè)有訪問(wèn)權(quán)限的實(shí)體U1,U2,…,Un。任意t個(gè)或者以上的實(shí)體可以執(zhí)行零知識(shí)身份認(rèn)證方案,從而登錄強(qiáng)安全云計(jì)算系統(tǒng),實(shí)現(xiàn)重要任務(wù)或者數(shù)據(jù)操作行為。任意t-1個(gè)或者少于t-1個(gè)實(shí)體均不能實(shí)現(xiàn)強(qiáng)安全云計(jì)算系統(tǒng)的有效登錄。具體生成過(guò)程如下:

(2)身份認(rèn)證中心計(jì)算di=f(i),1≤i≤n,每個(gè)實(shí)體Ui的私鑰份額為di。

基于TLS安全信道,身份認(rèn)證中心將每個(gè)客戶端實(shí)體對(duì)應(yīng)的私鑰份額分別發(fā)送給每個(gè)實(shí)體。實(shí)體各自安全存儲(chǔ)私鑰份額,可以將私鑰份額存儲(chǔ)在安全的硬件介質(zhì)中,例如U盾等。

2.3 零知識(shí)身份認(rèn)證

實(shí)體首先協(xié)商零知識(shí)身份認(rèn)證的子集合,子集合中的實(shí)體都是實(shí)體集合中的成員。根據(jù)Shamir門(mén)限秘密共享設(shè)定的門(mén)限參數(shù),至少有t個(gè)實(shí)體參與多實(shí)體聯(lián)合身份認(rèn)證,才能有效登錄強(qiáng)安全云計(jì)算系統(tǒng)。

子集合中的實(shí)體開(kāi)始聯(lián)合構(gòu)造基于零知識(shí)的多實(shí)體聯(lián)合身份認(rèn)證方案。假設(shè)某次登錄由t個(gè)實(shí)體U1,U2,…,Ut組成的集合C登錄多實(shí)體聯(lián)合認(rèn)證系統(tǒng)。此時(shí),每個(gè)實(shí)體Ui∈C。

子集合的實(shí)體在臨時(shí)秘密分享模塊執(zhí)行Shamir隨機(jī)門(mén)限秘密共享。每個(gè)實(shí)體獲得臨時(shí)秘密分享份額ri和臨時(shí)秘密分享份額公鑰riG。具體生成過(guò)程如下:

(3)實(shí)體Ui∈C(1≤i≤t)計(jì)算臨時(shí)秘密分享份額ri對(duì)應(yīng)的臨時(shí)秘密分享份額公鑰riG。實(shí)體臨時(shí)秘密分享份額公鑰riG發(fā)送到身份認(rèn)證中心。

身份認(rèn)證中心的聯(lián)合認(rèn)證模塊產(chǎn)生一個(gè)隨機(jī)數(shù)k,并將隨機(jī)數(shù)通過(guò)TLS信道發(fā)送給子集合中的實(shí)體。

子集合中的實(shí)體分別在零秘密分享份額模塊執(zhí)行Shamir零秘密門(mén)限秘密共享方案,子集合中的實(shí)體各自獲得零秘密分享份額ui。

子集合中的實(shí)體根據(jù)零秘密分享份額ui、臨時(shí)秘密分享份額ri、私鑰份額di在零知識(shí)份額計(jì)算模塊中計(jì)算零知識(shí)身份認(rèn)證份額hi=ri-kdi+ui(1≤i≤t)。并分別將零知識(shí)身份認(rèn)證份額hi發(fā)送給身份認(rèn)證中心。

3 性能分析

(1)完備性:若方案是完備的,則公式rG=hG+kP成立。

完備性可以轉(zhuǎn)換為證明:hG+kP=hG+kdG=(h+kd)G=(r-kd+kd)G=rG

因此,公式rG==hG+kP成立。

(2)正確性:若公式rG=hG+kP成立,則身份認(rèn)證中心相信t個(gè)實(shí)體的身份,即身份認(rèn)證中心相信t個(gè)實(shí)體各自知道(ri,ui)(1≤i≤t)并具有對(duì)應(yīng)私鑰份額di(1≤i≤t)。若t個(gè)實(shí)體不具有對(duì)應(yīng)私鑰份額di(1≤i≤t),那么假定t個(gè)實(shí)體和身份認(rèn)證中心按照協(xié)議完成全部步驟,接受t個(gè)實(shí)體證明的概率是2-p。

證明:假設(shè)t個(gè)實(shí)體能夠在較高概率情況下欺騙身份認(rèn)證中心。由于t個(gè)實(shí)體不知道各自的di,且不能在多項(xiàng)式時(shí)間內(nèi)通過(guò)P=dG計(jì)算d或者di,進(jìn)而無(wú)法利用di來(lái)計(jì)算hi=ri-kdi+ui;為了能欺騙成功,對(duì)于一個(gè)k,必須從hG=rG-kP中求解出h,進(jìn)而推導(dǎo)hi。但是,從hG中推導(dǎo)h是一個(gè)離散對(duì)數(shù)問(wèn)題,是無(wú)法求解h的,進(jìn)而無(wú)法構(gòu)造hi。

若實(shí)體對(duì)于隨機(jī)數(shù)k可預(yù)測(cè),可以通過(guò)先選擇一個(gè)隨機(jī)數(shù)hi,并將hiG+kdiG作為riG發(fā)送給身份認(rèn)證中心,則身份認(rèn)證中心接受t個(gè)實(shí)體的身份證明過(guò)程。但是預(yù)測(cè)隨機(jī)數(shù)k的概率為2-p。

(3)零知識(shí)性:基于離散對(duì)數(shù)困難問(wèn)題,riG,rG的公開(kāi)不會(huì)泄露任何關(guān)于ri,r的信息;實(shí)體i僅知道自己的ri,無(wú)法獲得其他的rj(1≤j≤t,j≠i)。同時(shí)任何實(shí)體也無(wú)法獲得r。由于身份證明過(guò)程中使用了t個(gè)實(shí)體的秘密值(ri,ui),只有實(shí)體可以構(gòu)造此身份證明,而其他人如果想要構(gòu)造此身份證明,則必須在不知道用戶私鑰的情況下,構(gòu)造公式hi=ri-kdi+ui,這是困難的;由于離散對(duì)數(shù)難解,身份認(rèn)證中心無(wú)法得到用戶選擇的ri,r,即使驗(yàn)證者獲取hi,也無(wú)法獲取h=r-kd+u。同時(shí)如果實(shí)體少于t,那么也無(wú)法構(gòu)造h=r-kd+u,故該方案是零知識(shí)的。綜上所述,在離散對(duì)數(shù)難解的假設(shè)下,該方案是安全的。

4 安全性分析

4.1 私鑰安全性

私鑰是在身份認(rèn)證中心的可信執(zhí)行環(huán)境中生成的,在生成過(guò)程中不存在泄露風(fēng)險(xiǎn)。同時(shí),身份認(rèn)證中心不存儲(chǔ)私鑰和私鑰份額,不存在存儲(chǔ)泄露風(fēng)險(xiǎn)。每個(gè)實(shí)體保存自己的私鑰份額,只要泄露不超過(guò)t個(gè),私鑰就是安全的,進(jìn)而無(wú)法進(jìn)行零知識(shí)認(rèn)證。

4.2 零知識(shí)身份認(rèn)證份額安全性

在構(gòu)造零知識(shí)身份認(rèn)證份額hi=ri-kdi+ui過(guò)程中,增加零秘密分享份額ui,增加零知識(shí)身份認(rèn)證份額的安全性。

4.3 不可偽造性

攻擊者即使獲取隨機(jī)數(shù)k,也無(wú)法獲得有效的零知識(shí)身份認(rèn)證份額hi=ri-kdi+ui,因?yàn)闊o(wú)法破解ri,di,ui。

4.4 抗重放攻擊

基于零知識(shí)的身份認(rèn)證每次認(rèn)證過(guò)程都會(huì)隨機(jī)產(chǎn)生一個(gè)新的隨機(jī)數(shù)k,并僅使用一次,因此可以抗重放攻擊。

5 效 率

5.1 通信量

在實(shí)體私鑰份額生成階段,需要將私鑰份額和公鑰發(fā)送給n個(gè)實(shí)體,私鑰份額長(zhǎng)度為|q|及公鑰2|q|,其中|q|為對(duì)應(yīng)數(shù)據(jù)的比特位數(shù)。

在零知識(shí)身份認(rèn)證階段,實(shí)體間交換t(t-1) 個(gè)臨時(shí)秘密分享份額的fi(j),1≤j≤t,其長(zhǎng)度均為|q|。實(shí)體間交換t(t-1)個(gè)零秘密分享份額的fi(j),1≤j≤t,其長(zhǎng)度均為|q|。身份認(rèn)證中心接收t個(gè)臨時(shí)秘密分享份額公鑰riG,其長(zhǎng)度均為2|q|。身份認(rèn)證中心發(fā)送給t個(gè)實(shí)體隨機(jī)數(shù)k,其長(zhǎng)度均為|q|。身份認(rèn)證中心接收t個(gè)零知識(shí)身份認(rèn)證份額hi,其長(zhǎng)度均為|q|。

整體通信發(fā)送的數(shù)據(jù)長(zhǎng)度為(2t2+2t+3n)|q|。不同階段的通信量如表1所示。

表1 不同階段的通信量

5.2 計(jì)算量

該文以橢圓曲線上點(diǎn)加、點(diǎn)乘運(yùn)算的計(jì)算量來(lái)估計(jì)零知識(shí)身份認(rèn)證的計(jì)算復(fù)雜度。相比上述運(yùn)算,零知識(shí)身份認(rèn)證其他運(yùn)算的計(jì)算量都很小。并與汪存燕的基于橢圓曲線的零知識(shí)身份認(rèn)證方案進(jìn)行了比較[24]。

在實(shí)體私鑰份額生成階段,計(jì)算實(shí)體公鑰執(zhí)行了1次點(diǎn)乘運(yùn)算。

在零知識(shí)身份認(rèn)證階段,計(jì)算臨時(shí)秘密分享份額公鑰時(shí)執(zhí)行了t次點(diǎn)乘運(yùn)算。計(jì)算整體臨時(shí)秘密分享公鑰執(zhí)行了t次點(diǎn)加運(yùn)算。計(jì)算聯(lián)合認(rèn)證時(shí)執(zhí)行了1次點(diǎn)加運(yùn)算、2次點(diǎn)乘運(yùn)算。

總體計(jì)算復(fù)雜度為t+3次點(diǎn)乘運(yùn)算,t+1次點(diǎn)加運(yùn)算。不同階段的點(diǎn)加計(jì)算量和點(diǎn)乘計(jì)算量分別如表2和表3所示。

表2 不同階段的點(diǎn)加計(jì)算量

表3 不同階段的點(diǎn)乘計(jì)算量

在實(shí)體私鑰份額生成階段,文中算法和傳統(tǒng)的基于橢圓曲線的零知識(shí)證明在點(diǎn)加和點(diǎn)乘運(yùn)算上具有相同的運(yùn)算量。在零知識(shí)證明階段,文中算法和傳統(tǒng)的基于橢圓曲線的零知識(shí)證明相比,點(diǎn)加運(yùn)算多了t次,點(diǎn)乘運(yùn)算多了t-1次。主要是文中算法采用秘密共享技術(shù),增加了相關(guān)運(yùn)算量,但是降低了每個(gè)實(shí)體的登錄權(quán)限。

6 結(jié)束語(yǔ)

該文提出了一種基于零知識(shí)的多實(shí)體聯(lián)合身份認(rèn)證算法,可以有效解決多實(shí)體同時(shí)聯(lián)合身份認(rèn)證問(wèn)題。將門(mén)限簽名技術(shù)應(yīng)用到零知識(shí)身份認(rèn)證過(guò)程中。基于零知識(shí)證明協(xié)議,實(shí)體無(wú)需傳輸私鑰份額到身份認(rèn)證中心,降低了傳輸過(guò)程中的泄露風(fēng)險(xiǎn)。采用門(mén)限簽名算法構(gòu)造零知識(shí)證明協(xié)議,每次身份認(rèn)證需要多個(gè)實(shí)體參與。同時(shí),身份認(rèn)證中心無(wú)需存儲(chǔ)實(shí)體的私鑰份額,降低了私鑰份額的存儲(chǔ)泄露風(fēng)險(xiǎn)。進(jìn)一步,身份認(rèn)證中心運(yùn)行在機(jī)密計(jì)算環(huán)境中,每個(gè)實(shí)體可以對(duì)身份認(rèn)證中心的真實(shí)性進(jìn)行認(rèn)證。該方案降低了單一實(shí)體對(duì)系統(tǒng)的訪問(wèn)權(quán)限,能夠容忍少量不可用或惡意實(shí)體。未來(lái)將可驗(yàn)證技術(shù)應(yīng)用到零知識(shí)身份認(rèn)證中,提高系統(tǒng)的安全性。