《南邮外文翻译一范例》由会员分享,可在线阅读,更多相关《南邮外文翻译一范例(8页珍藏版)》请在金锄头文库上搜索。
1、南京邮电大学毕业设计(论文)外文资料翻译学院(系): 通达学院 专 业 : 计算机科学与技术(信息安全)学生姓名: 张樯 班级学号: 1000905 外文出处:Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol 附件:1.外文资料翻译译文;2.外文原文指导教师评价:1翻译内容与课题的结合度: 优 良 中 差2翻译内容的准确、流畅: 优 良 中 差3专业词汇翻译的准确性: 优 良 中 差4翻译字符数是否符合规定要求: 符合 不符合 指导教师签名:年月日6附件:1.外文资料翻译译文基于DAA-SIGA协议的匿名身份
2、认证的密钥交换李江涛 Jesse Walker摘要:匿名的数字签名,如直接匿名认证(DAA)和群签名的匿名认证的基本构建块。在本文中,我们展示了如何将DAA方案在密钥交换协议的两个实体之间实现匿名认证和获得这两个实体之间的一个共享密钥。我们修改了用于在Internet密钥交换(IKE)标准的西格玛密钥交换协议,而支持采用DAA匿名认证。我们的密钥交换协议也延伸到支持群签名方案取代DAA匿名认证。我们提出的安全的匿名认证密钥交换模型来源于Canetti-Krawczyk key-exchange安全模型。我们证明了daa-sigma协议在我们的安全模型下是安全的。1 介绍匿名数字签名,如群签名2
3、2,2,5,6,直接匿名认证(DAA)7,8,23,24,14,以及匿名凭据15-17 在隐私增强技术领域发挥重要作用。它们允许一个实体(例如,用户,计算机平台或硬件设备)来创建一个不透露身份的签名,匿名签名也启用匿名实体认证。群签名方案的概念最早是由Chaum和van Heyst22在1991年提出来的。在一个群签名方案,所有组成员共享一组公钥,但每个成员都有一个唯一的私有密钥。由一组成员创建的群签名是匿名的所有实体,除了受信任组管理。许多群签名方案被提出,例如,在2,5,6,29。直接匿名认证(DAA)最早是由Brickell, Camenisch,和Chen 7引入到受信任的平台模块(T
4、PM)的远程匿名身份验证。DAA可以看作是没有“开”功能的一个特殊群体签名方案。DAA已经在可信计算社区收到了很多关注,许多DAA方案最近已开发,例如,在8,23,25,24,14。匿名数字签名,最近吸引了不少业界关注。例如,可信计算组(TCG)是一家全球性的工业标准体35,采用原 DAA方案7,规范其在TCG TPM规范v1.234。同样的DAA方案最近已通过了ISO / IEC作为国际标准1。DAA已落实并已运出数百万的TPM。英特尔已实施的DAA的延伸,在英特尔P55为Ibex Peak芯片组13所谓的增强隐私的ID1012。近日,ISO / IEC开始开发两个新的国际标准:一种是使用匿
5、名的数字签名,包括群签名方案和DAA方案,其他的为使用匿名数字签名的匿名实体认证。DAA可以通过一个直截了当的方式使用匿名身份验证:通过验证发送询问消息包括随机数的一组成员;组成员可以使用自己的私钥对消息创建一个DAA签名验证的验证匿名。验证DAA签名后,验证者相信,该组成员是一个有效的DAA签名者,但他不知道谁创建的签名。TPM才能使用此方法进行匿名身份验证,从发行人获得一个证明身份密钥认证。这种身份验证方法是受限的,因为组成员未验证验证的凭证,也没有从认证而得共享密钥。请考虑以下情形:一个可信计算平台想从互联网服务器下载一些受保护的资源,还可以上传它的一些敏感数据到服务器。该平台想要在发送
6、的数据出来之前验证服务器。在同一时间内服务器要确保这个平台确实是值得信赖的,例如,确保平台能够保护服务器的资源。DAA可以在这个例子中使用,如果该平台要匿名验证服务器。但是,第一段的验证方案在这种情况下会因以下的原因的不能良好的工作: 1、该平台和服务器需要同时验证对方。 2、它是理想的具有相互认证之后得到的会话密钥,当每次从服务器获得一些资源时,这样的平台无需反复向服务器验证。DAA的匿名验证的自然延伸是嵌入DAA的Diffie-Hellman密钥交换协议,使两个实体可以验证对方而为未来的通信派生出一个共享的会话密钥。已经有一些建议,把DAA进入密钥交换协议。 Balfe等,3通过使用TLS
7、和IPsec嵌入DAA在点对点等网络提出了匿名身份验证。梁和Mitchell32提出了一个基于DAA的匿名认证协议。最近,切塞纳等,20提出了一种基于TLS和DAA包含引用实现匿名认证协议。1.1我们的贡献很容易设计出简单的Diffie-Hellman(DH)的密钥交换协议,但它更容易得到错误的协议。例如,许多基于DH的密钥交换协议许多DH-based密钥交换协议很容易受到中间人攻击或身份misbinding攻击。虽然已经有几个在文献中的提议,在Diffie-Hellman密钥交换协议3,32,20中使用DAA,尽我们所知,没有提供正式的安全模型并且这些协议没有正式的安全证明来证明这些协议的安
8、全性。这是本文的动机,本文还有两个贡献。我们简要描述每个贡献如下。安全模型与匿名认证密钥交换。我们给出一个严格的处理,以匿名身份验证和引入匿名认证密钥交换一个新的安全模型。我们的安全模型源于卡内蒂-Krawczyk密钥交换的安全模型18,19。在卡内蒂-Krawczyk安全模型中,身份在安全性证明中起着重要作用。然而,在匿名身份验证,想要匿名的实体的身份不能透露,在密钥交换。这将创建的安全模型的定义和密钥交换协议的设计提供了显著的挑战。一个安全的密钥交换协议进行匿名身份验证。我们开发了一个新的基于DAA和SIGMA系列遵循IPsec的31密钥交换协议匿名认证密钥交换协议和Internet密钥交
9、换(IKE)标准30。我们称我们的协议为daa-sigma协议。我们基于安全模型提出DAA-协议的一个正式的安全分析。1.2 相关工作除了在密钥交换协议使用DAA的匿名身份验证3,32,20,其他的匿名身份验证的机制近来已经提出。崔和曹提出了一种基于环签名26匿名认证和密钥交换协议。Viet等人提出了一种基于密码的匿名认证密钥交换协议36。杨和张等改进viet等人的计划与另一个匿名的基于密码的密钥交换协议37。 Chai等人建议保留用户隐私21一个高效的基于口令的认证方案。除了Canetti-Krawczyk密钥交换模型18的密钥交换协议,其他模型和工具的安全分析已经在文献中提出。例如,Mea
10、dows使用一个自动化的协议分析仪,研究了密钥交换协议33的安全性。 Datta等人开发了一个象征性的逻辑分析仪来证明密钥交换协议27的安全性。Bellare和Rogaway在并发会话的现实环境中形式化密钥交换协议的安全性 4。在本文中,我们选择使用卡内蒂-Krawczyk密钥交换为基础的模型,因为这种模式已经非常成熟,并已用于分析SIGMA密钥交换协议的安全性。1.3本文的组织本文的其余部分安排如下。我们先介绍我们的符号,并简要回顾了DAA方案和第2节的SIGMA密钥交换协议。然后,我们提出的密钥交换协议的安全模型与匿名身份验证在第3节介绍。我们在第4节提出DAA-sigma协议,并在第5节
11、安全性防护。我们将在第6节讨论DAA-sigma协议的一些扩展。我们得出结论:第7节是论文。2 背景和构建模块在本节中,我们首先回顾我们的符号和术语,然后简要回顾DAA的基本概念。接下来我们回顾SIGMA密钥交换协议。2.1标记法我们在本文中用下面的符号。设P和Q是密钥交换协议的两个实体。-麦克(M):用密钥k计算m的消息认证码。 -SIGP(米):m个由实体P创建一个签名。 -IDP:实体P的身份。 -certP:实体P的公开密钥证书。 -PRF:一个伪随机函数。2.2 DAA的审查在本节中,我们将回顾DAA的9提出了规范和安全模式。在安全模型9,比原来的DAA定义简单的7,更容易理解DAA
12、的安全属性。有四种类型的玩家在DAA方案:发行人我,一个TPM米,主机喜和检验VJ。宓和Hi形成在可信计算环境的平台,分享DAA签名Si的作用。为了简化我们的符号,我们对待DAA签名者在本文的其余部分一个单一的实体。一个DAA方案有以下多项式算法或交互协议(安装,注册,登录,验证,链接):安装:在一个安全参数1k的输入,我使用这个随机算法产生一对( GPK , ISK ),其中ISK为发行人的秘密密钥, GPK是公钥,包括全球公众参数。加入:签名者Si和发行人运行一个交互式的加入协议。在协议结束时,硅输出一个密钥ski和一所颁发的会员证书CREI我们表示滑雪和CREI对作为Si的签名密钥。注意
13、,ski的值是未知的1。注册:在GPK ,ski, CREI ,一个基本名bsnj和消息m的输入,硅使用该算法来产生对m的签名 。基名bsnj可以是验证VJ或特殊符号的任意名称的字符串并且被用于控制联性。验证:在GPK , bsnj ,M , M上的候选人签名和撤销清单RL的输入, VJ使用这个确定性的算法来确定是否有效。撤销超出了本文的范围。链接:关于两个签名0和1输入, VJ使用该确定的算法返回链接,断开链接,或无效的签名。DAA的正式的安全定义中可以找到7,9。对于本文的完整性,我们回顾DAA的正式的安全模型9在附录A,通俗地说,一个DAA方案是安全的,如果下面的性质成立:- 正确性。使
14、用有效的签名密钥创建的签名可以被任何验证程序正确进行验证。 - 匿名。不拥有密钥sk则无法学习使用SK创建签名的签名者的身份。 - 不可伪造性。如果他没有一个签名密钥或他的签名密钥已全部撤销,攻击者无法伪造有效签名- 用户控制联性。如果BSN=,由同一组的SK创建的签名,CRE,BSN可以链接。然而如果他们使用不同的BSN创建或链接,如果BSN=,签名不能。如果一个签名是用BSN=创建的,那么我们称随机基于签名,否则,我们称之为一个基于名称签名。因为DAA-sigma协议,我们首先着眼于随机的签名。我们在第6节将讨论如何采用基于名字的签名。设I为DAA发行人,设P是谁拥有了I所签发的有效签名密
15、钥的DAA签名者,我们使用下面的本文的其余部分的符号:- IDI:发行人I为简单的身份,我们假设我只创建一个群公钥GPK。人们可以计算出从IDI相应的GPK。如发行人建立多个组公钥,我们可以用IDG表示了DAA组的身份。- CERTI:I是由证书颁发机构颁发的公钥证书,以证明该群公钥GPK。 - DAA-SIGP(米):由实体P创建的消息米DAA签名。让SKP为P的密钥和CREP为P的会员资格证书,然后DAA-SIGP(m)表示符号(GPK,SKP,CREP,BSN,m),其中如果BSN不提供作为输入,则BSN=。2.3 SIGMA密钥交换协议的回顾我们现在回顾SIGMA密钥交换协议。这个密钥交换协议是Internet密钥交换(IKE)协议之一30 在internet协议安全(IPse
