网络工程密码学课程论文［毕业设计，精品论文］推荐.doc

ANYANG INSTITUTE OF TECHNOLOGY 密码学课程设计 F-F-S身份鉴别算法研究 身份鉴别，也叫做实体鉴别，是证明或者确认某一实体（如人，设备，计算机系统，应用和进程等）所声称的身份的过程。 在信息时代，当一个用户A要进入自己的e-mail信箱或在自动出纳取款机（ATM）中取款时，传统的做法是输入自己的密码。用户A和计算机都知道这个密码。由于A每次进入计算机时都要键入这个密码，而能够访问用户A的数据通道的任何人或能访问计算系统存储器的任何人都可以看到用户A的密码，因此这样的系统存在严重的安全问题。如何设计一种方案或协议使用户A既能进入计算机又不泄露用户A的任何识别信息（即身份零知识证明）呢?这便是识别协议所要解决的问题。 一个安全的识别协议至少应满足以下两个条件： (1) 用户A能向验证者B证明他的确是A； (2) 用户A向验证者B证明自己的身份时，没有让验证者B获得任何有用的信息，B不能模仿A向其他人证明他是用户A。 目前已有很多满足这两个条件的识别协议。从实用角度讲，一个安全识别协议的设计应该越简单越好，而且需要的计算量和储存量都要尽可能小，最好能在一个智能卡上实现。智能卡本质上是一个装有能完成代数运算的芯片的信用卡，显然，用这种卡代替自动取款机卡将是更安全的做法。下面介绍最有代表性的FFS识别协议。 Feige-Fiat-Shamir身份鉴别方案 该方案又简称F-F-S身份鉴别方案，同许多零知识证明方案一样，F-F-S身份鉴别方案的基本思想是由验证者给出质询，声称者应答，验证者通过验证答案的正确性证实真伪。F-F-S方案的安全性假设给予不知道证书m的因子分解时求模m的二次方根的困难性，这实质上等价于分解m，即大整数难分解问题。 Fiat和Shamir在1986年基于零知识证明提出了一种新型的识别协议，后经Feige，Fiat和Shamir的改进成为身份的零知识证明身份鉴别方案。这是最著名的零知识证明。1986年7月9日，上述三位设计者向美国专利局提交他们的身份识别协议申请专利。由于其在军事上的潜在应用，申请由美国国防部审阅。在6个月期限到达的前3天，即1987年1月6日，美国专利局终于有了结论，但不是专利，而是按美国国防部的要求下达了命令： “……泄露或公布关键内容……将危害国家安全……” 并命令设计者通知所有得到该成果的美国人，未经授权泄露此项研究将处以两年监禁；而且设计者必须通知已获取该情报的外国专利局的官员。 令美国国防部难堪的是，设计者不是美国公民，所有的设计工作都是在以色列进行的，而且三位设计者在1986年下半年在以色列、欧洲和美国的学术会议上宣布了此项研究成果。1987年1月8日，美国国防部取消命令。这就是众所周知的“零知识证明与美国国防部”事件。这个事件充分证明了该协议的价值。 识别协议一般是由数字签名方案改进而成的，相反，每一个识别协议都可派生一个数字签名方案。Feige-Fiat-Shamir识别协议是由一个属于仲裁数字签名方案改进而成的。具体鉴别方案如下： （一）、初始化阶段 可信第三方随机选取一个自然数n，n必须是两个不同的大素数的乘积，为了确保安全，n至少为512位长，最好接近1024位长。这个作为模数的n可以在一组证明者之间共享。 （二）、注册阶段 可信第三方再选取一个自然数v，它必须是模n的平方剩余，即x2≡v（mod n）有小于n的整数解x, 而且v-1（mod n）存在。用v作为用户A（证明者）的公开密钥，再计算： 则S作为用户A的秘密密钥。 （三）、鉴别阶段 (1) 用户A随机选一个数r，rn，计算： x≡r2（mod n） 并将x发送给验证者； (2) 验证者在0与1两个数中任选一个数a发送给用户A，若a=0，则用户A将r发送给验证者；若a=1，则用户A计算： y=rs（mod n） 并将y发送给验证者； (3) 如果a=0，则验证者验证同余式： x≡r2（mod n） 是否成立，若成立，则证实用户A知道；如果a=1，则验证者验证同余式： x≡vy2（mod n） 是否成立，如果成立，则证实用户A知道。 如果用户A知道或，则验证者认为用户A为真，否则为假。这个协议是一次签定合格协议。用户A与验证者可以重复这个协议t次，直到验证者确信用户A知道S。 经过算法的分析我们会发现，如果用户A欺骗验证者，连续t次受骗的概率为2的-t次方，而验证者伪装用户A的可能性也一样大。安全性是比较高的。 方案中，虽然用户A知道可信第三方的弓腰v，但是要推出秘密信息s，他必须求解模m的二次方根问题，而这等价于证书m因式分解的难题。 另外，在方案中，增加验证次数显然可以增强安全性，但却增加了用户A与验证者之间的传送数据次数，为了减少数据交换次数，可以增加每