南邮外文翻译一范例.doc

1、南京邮电大学毕业设计(论文)外文资料翻译学院(系)： 通达学院 专 业 ： 计算机科学与技术（信息安全）学生姓名： 张樯 班级学号： 1000905 外文出处：Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol 附件：1.外文资料翻译译文；2.外文原文指导教师评价：1翻译内容与课题的结合度： 优 良 中 差2翻译内容的准确、流畅： 优 良 中 差3专业词汇翻译的准确性： 优 良 中 差4翻译字符数是否符合规定要求： 符合 不符合 指导教师签名：年月日6附件：1.外文资料翻译译文基于DAA-SIGA协议的匿名身份

2、认证的密钥交换李江涛 Jesse Walker摘要：匿名的数字签名，如直接匿名认证（DAA）和群签名的匿名认证的基本构建块。在本文中，我们展示了如何将DAA方案在密钥交换协议的两个实体之间实现匿名认证和获得这两个实体之间的一个共享密钥。我们修改了用于在Internet密钥交换（IKE）标准的西格玛密钥交换协议，而支持采用DAA匿名认证。我们的密钥交换协议也延伸到支持群签名方案取代DAA匿名认证。我们提出的安全的匿名认证密钥交换模型来源于Canetti-Krawczyk key-exchange安全模型。我们证明了daa-sigma协议在我们的安全模型下是安全的。1 介绍匿名数字签名，如群签名2

3、2，2，5，6，直接匿名认证（DAA）7，8，23，24，14，以及匿名凭据15-17 在隐私增强技术领域发挥重要作用。它们允许一个实体（例如，用户，计算机平台或硬件设备）来创建一个不透露身份的签名，匿名签名也启用匿名实体认证。群签名方案的概念最早是由Chaum和van Heyst22在1991年提出来的。在一个群签名方案，所有组成员共享一组公钥，但每个成员都有一个唯一的私有密钥。由一组成员创建的群签名是匿名的所有实体，除了受信任组管理。许多群签名方案被提出，例如，在2，5，6，29。直接匿名认证（DAA）最早是由Brickell, Camenisch,和Chen 7引入到受信任的平台模块（T

4、PM）的远程匿名身份验证。DAA可以看作是没有“开”功能的一个特殊群体签名方案。DAA已经在可信计算社区收到了很多关注，许多DAA方案最近已开发，例如，在8，23，25，24，14。匿名数字签名，最近吸引了不少业界关注。例如，可信计算组（TCG）是一家全球性的工业标准体35，采用原 DAA方案7，规范其在TCG TPM规范v1.234。同样的DAA方案最近已通过了ISO / IEC作为国际标准1。DAA已落实并已运出数百万的TPM。英特尔已实施的DAA的延伸，在英特尔P55为Ibex Peak芯片组13所谓的增强隐私的ID1012。近日，ISO / IEC开始开发两个新的国际标准：一种是使用匿

5、名的数字签名，包括群签名方案和DAA方案，其他的为使用匿名数字签名的匿名实体认证。DAA可以通过一个直截了当的方式使用匿名身份验证：通过验证发送询问消息包括随机数的一组成员;组成员可以使用自己的私钥对消息创建一个DAA签名验证的验证匿名。验证DAA签名后，验证者相信，该组成员是一个有效的DAA签名者，但他不知道谁创建的签名。TPM才能使用此方法进行匿名身份验证，从发行人获得一个证明身份密钥认证。这种身份验证方法是受限的，因为组成员未验证验证的凭证，也没有从认证而得共享密钥。请考虑以下情形：一个可信计算平台想从互联网服务器下载一些受保护的资源，还可以上传它的一些敏感数据到服务器。该平台想要在发送

6、的数据出来之前验证服务器。在同一时间内服务器要确保这个平台确实是值得信赖的，例如，确保平台能够保护服务器的资源。DAA可以在这个例子中使用，如果该平台要匿名验证服务器。但是，第一段的验证方案在这种情况下会因以下的原因的不能良好的工作： 1、该平台和服务器需要同时验证对方。 2、它是理想的具有相互认证之后得到的会话密钥，当每次从服务器获得一些资源时，这样的平台无需反复向服务器验证。DAA的匿名验证的自然延伸是嵌入DAA的Diffie-Hellman密钥交换协议，使两个实体可以验证对方而为未来的通信派生出一个共享的会话密钥。已经有一些建议，把DAA进入密钥交换协议。 Balfe等，3通过使用TLS

7、和IPsec嵌入DAA在点对点等网络提出了匿名身份验证。梁和Mitchell32提出了一个基于DAA的匿名认证协议。最近，切塞纳等，20提出了一种基于TLS和DAA包含引用实现匿名认证协议。1.1我们的贡献很容易设计出简单的Diffie-Hellman（DH）的密钥交换协议，但它更容易得到错误的协议。例如，许多基于DH的密钥交换协议许多DH-based密钥交换协议很容易受到中间人攻击或身份misbinding攻击。虽然已经有几个在文献中的提议，在Diffie-Hellman密钥交换协议3，32，20中使用DAA，尽我们所知，没有提供正式的安全模型并且这些协议没有正式的安全证明来证明这些协议的安

8、全性。这是本文的动机，本文还有两个贡献。我们简要描述每个贡献如下。安全模型与匿名认证密钥交换。我们给出一个严格的处理，以匿名身份验证和引入匿名认证密钥交换一个新的安全模型。我们的安全模型源于卡内蒂-Krawczyk密钥交换的安全模型18，19。在卡内蒂-Krawczyk安全模型中，身份在安全性证明中起着重要作用。然而，在匿名身份验证，想要匿名的实体的身份不能透露，在密钥交换。这将创建的安全模型的定义和密钥交换协议的设计提供了显著的挑战。一个安全的密钥交换协议进行匿名身份验证。我们开发了一个新的基于DAA和SIGMA系列遵循IPsec的31密钥交换协议匿名认证密钥交换协议和Internet密钥交

9、换（IKE）标准30。我们称我们的协议为daa-sigma协议。我们基于安全模型提出DAA-协议的一个正式的安全分析。1.2 相关工作除了在密钥交换协议使用DAA的匿名身份验证3，32，20，其他的匿名身份验证的机制近来已经提出。崔和曹提出了一种基于环签名26匿名认证和密钥交换协议。Viet等人提出了一种基于密码的匿名认证密钥交换协议36。杨和张等改进viet等人的计划与另一个匿名的基于密码的密钥交换协议37。 Chai等人建议保留用户隐私21一个高效的基于口令的认证方案。除了Canetti-Krawczyk密钥交换模型18的密钥交换协议，其他模型和工具的安全分析已经在文献中提出。例如，Mea

10、dows使用一个自动化的协议分析仪，研究了密钥交换协议33的安全性。 Datta等人开发了一个象征性的逻辑分析仪来证明密钥交换协议27的安全性。Bellare和Rogaway在并发会话的现实环境中形式化密钥交换协议的安全性 4。在本文中，我们选择使用卡内蒂-Krawczyk密钥交换为基础的模型，因为这种模式已经非常成熟，并已用于分析SIGMA密钥交换协议的安全性。1.3本文的组织本文的其余部分安排如下。我们先介绍我们的符号，并简要回顾了DAA方案和第2节的SIGMA密钥交换协议。然后，我们提出的密钥交换协议的安全模型与匿名身份验证在第3节介绍。我们在第4节提出DAA-sigma协议，并在第5节

11、安全性防护。我们将在第6节讨论DAA-sigma协议的一些扩展。我们得出结论：第7节是论文。2 背景和构建模块在本节中，我们首先回顾我们的符号和术语，然后简要回顾DAA的基本概念。接下来我们回顾SIGMA密钥交换协议。2.1标记法我们在本文中用下面的符号。设P和Q是密钥交换协议的两个实体。-麦克（M）：用密钥k计算m的消息认证码。 -SIGP（米）：m个由实体P创建一个签名。 -IDP：实体P的身份。 -certP：实体P的公开密钥证书。 -PRF：一个伪随机函数。2.2 DAA的审查在本节中，我们将回顾DAA的9提出了规范和安全模式。在安全模型9，比原来的DAA定义简单的7，更容易理解DAA

12、的安全属性。有四种类型的玩家在DAA方案：发行人我，一个TPM米，主机喜和检验VJ。宓和Hi形成在可信计算环境的平台，分享DAA签名Si的作用。为了简化我们的符号，我们对待DAA签名者在本文的其余部分一个单一的实体。一个DAA方案有以下多项式算法或交互协议（安装，注册，登录，验证，链接）：安装：在一个安全参数1k的输入，我使用这个随机算法产生一对（ GPK ， ISK ），其中ISK为发行人的秘密密钥， GPK是公钥，包括全球公众参数。加入：签名者Si和发行人运行一个交互式的加入协议。在协议结束时，硅输出一个密钥ski和一所颁发的会员证书CREI我们表示滑雪和CREI对作为Si的签名密钥。注意

13、，ski的值是未知的1。注册：在GPK ，ski， CREI ，一个基本名bsnj和消息m的输入，硅使用该算法来产生对m的签名 。基名bsnj可以是验证VJ或特殊符号的任意名称的字符串并且被用于控制联性。验证：在GPK ， bsnj ，M ， M上的候选人签名和撤销清单RL的输入， VJ使用这个确定性的算法来确定是否有效。撤销超出了本文的范围。链接：关于两个签名0和1输入， VJ使用该确定的算法返回链接，断开链接，或无效的签名。DAA的正式的安全定义中可以找到7,9。对于本文的完整性，我们回顾DAA的正式的安全模型9在附录A，通俗地说，一个DAA方案是安全的，如果下面的性质成立：- 正确性。使

14、用有效的签名密钥创建的签名可以被任何验证程序正确进行验证。 - 匿名。不拥有密钥sk则无法学习使用SK创建签名的签名者的身份。 - 不可伪造性。如果他没有一个签名密钥或他的签名密钥已全部撤销，攻击者无法伪造有效签名- 用户控制联性。如果BSN=，由同一组的SK创建的签名，CRE，BSN可以链接。然而如果他们使用不同的BSN创建或链接，如果BSN=，签名不能。如果一个签名是用BSN=创建的，那么我们称随机基于签名，否则，我们称之为一个基于名称签名。因为DAA-sigma协议，我们首先着眼于随机的签名。我们在第6节将讨论如何采用基于名字的签名。设I为DAA发行人，设P是谁拥有了I所签发的有效签名密

15、钥的DAA签名者，我们使用下面的本文的其余部分的符号：- IDI：发行人I为简单的身份，我们假设我只创建一个群公钥GPK。人们可以计算出从IDI相应的GPK。如发行人建立多个组公钥，我们可以用IDG表示了DAA组的身份。- CERTI：I是由证书颁发机构颁发的公钥证书，以证明该群公钥GPK。 - DAA-SIGP（米）：由实体P创建的消息米DAA签名。让SKP为P的密钥和CREP为P的会员资格证书，然后DAA-SIGP（m）表示符号（GPK，SKP，CREP，BSN，m），其中如果BSN不提供作为输入，则BSN=。2.3 SIGMA密钥交换协议的回顾我们现在回顾SIGMA密钥交换协议。这个密钥

16、交换协议是Internet密钥交换（IKE）协议之一30 在internet协议安全（IPsec）标准31下用于建立秘密共享密钥。sigma密钥交换协议使用的是结合在一起的Diffie-Hellman密钥交换与“sign-and-mac”的机制。据介绍如下：设P和Q是密钥交换协议的两个实体，其中P是激活会话Q的协议发起者并且是会议预期的对等体。设G是一个循环群素数阶q，其中决策性的Diffie-Hellman（DDH）问题是困难的和g是G的生成。设S是由P，Q，或两者都选择的一个唯一的会话标识符。对SIGMA协议具有以下的消息。消息1（PQ）：S，GX 消息2（PQ）：S，GY，IDQ，mac

17、k1（S，IDQ），sigQ（S，GX，GY） 消息3（PQ）：S，IDP，mack1（S，IDP），SIGP（S，GY，GX）在上述协议，P随机选择一个整数x和计算短暂DH公钥GX。类似地，Q随机选择一个整数y和计算其短暂的DH公钥GY。通过交换GX和GY，两个实体可以计算GXY，但“中间人”攻击者就不可能。两个实体然后从GXY得出一个会话密钥K0和 MAC密钥K0。在消息2，Q使用其签名密钥使用k1和标志短暂的DH公钥（GX，GY）计算其身份的Mac。P能验证签名来保证消息2确实是来自实体Q和验证MAC，以确保Q知道K1，从而也知道了会话密钥K0。同样，P计算其身份和消息3的DH公钥签名的

18、MAC。之后Q验证消息3，两个实体已经建立的会话密钥K0，并可以使用K0为进一步传播。3 安全模型 在本节中，我们先回顾一下Canetti-Krawczyk密钥交换模型18，19，然后描述如何扩展这个密钥交换模式，来支持匿名身份验证。3.1回顾Canetti-Krawczyk密钥交换模型本节回顾了为验证的密钥建立Protocols（协议）的Canetti-Krawczyk模型18。A是会话密钥的对手，或SK-对手，A是一个概率多项式时间算法，控制使用设置在下面的表1中规定的查询任何双方之间的所有通信。一个SK-对手通过发出查询到一组的签名操作系统，P来完成这个控制。一个签名 操作系统中，P代表

19、确定由主体P发起的S中的协议实例。该通信实例称为一个会话。每个数据库响应查询，而所有的数据库操作系统，P代表集体协议的历史输出。在SK-对手接收所有输出，并使用该输出来决定哪些数据库来激活下一个。表1. 对抗性查询询问描述发送（P，Q，s，m）数据库操作系统，根据协议规范P响应消息m到Q，并决定是否接受，拒绝或继续。接受意味着已完成与合作伙伴Q，会话id s，会话密钥K，和操作系统的协议。P表示通过包括公共输出信号的（P，s，Q）的接受。拒绝表示协议失败。继续意味着数据库正在等待它的下一个协议的步骤。 操作系统，P返回其决定对A。会话密钥 - 显示（P ， Q，S ）如果数据库的操作系统，P已

20、接受并持有一个会话密钥K，则数据库返回K到SK-对手A。否则，P忽略此查询。这种查询，比如密钥强制泄露，密码分析，密钥的不小心处理之类。声明 - 显示（ P）如果数据库的操作系统，P已接受或持有一个会话密钥，它会忽略此查询。否则，数据库返回其内部短暂的会话状态，但没有永久的秘密。这个查询类似单个会话的妥协。摧毁（P ）P通过整个内部状态的让步对此查询做出响应，包括所有数据库操作系统所执行的状态，P和任何长期钥匙。随后，SK-对手控制P的行动。过期 - 会话（P ， Q，s ）这个查询会导致数据库操作系统，P删除其会话状态和数据库操作系统，P今后将忽略任何后续的会话密钥，显示的查询，因为它不再具

21、有针对性的会话密钥。检验（P ， Q，s）一个SK-对手A可以使用测试查询一次。该查询被用来测量该对手的功效在从一个随机生成的会话密钥来区分真正的会话密钥。如果输出端P已经接受了一个会话密钥K，那么它选择一个比特值b随机;若b= 0，则它返回K和否则产生一个随机值K时，它返回来代替。如果数据库接受会话密钥或不具有会话密钥，它不响应的测试查询。会话被称为暴露如果SK-对手发出反对它的Oracle会话密钥泄露查询或对会话的负责人之一的国有揭示或损坏的查询。附件2.外文原文Key Exchange with Anonymous Authentication using DAA-SIGMA Proto

22、col-Jesse Walker and Jiangtao LiAbstract. Anonymous digital signatures such as Direct Anonymous Attestation (DAA) and group signatures have been a fundamental building block for anonymous entity authentication. In this paper,we show how to incorporate DAA schemes into a key exchange protocol between

23、 two entities to achieve anonymous authentication and to derive a shared key between them. We propose amodication to the SIGMA key exchange protocol used in the Internet Key Exchange (IKE) standards to support anonymous authentication using DAA. Our key exchange protocol can be also extended to supp

24、ort group signature schemes instead of DAA. We present a secure model for key exchange with anonymous authentication derived from the Canetti-Krawczyk key-exchange security model. We prove that our DAA-SIGMA protocol is secure under our security model.1 Introduction Anonymous digital signatures such

25、 as group signatures 22, 2, 5, 6, Direct Anonymous Attestation (DAA) 7, 8, 23, 24, 14, and anonymous credentials 1517 play an important role in privacy enhanced technologies. They allow an entity (e.g., a user, a computer platform, or a hardware device) to create a signature without revealing its id

26、entity. Anonymous signatures also enable anonymous entity authentication.The concept of group signature scheme was rst introduced by Chaum and van Heyst 22 in 1991. In a group signature scheme, all the group members share a group public key, yet each member has a unique private key. A group signatur

27、e created by a group member is anonymous to all the entities except a trusted group manager. Many group signature schemes have been proposed, e.g., in 2, 5, 6, 29. Direct Anonymous Attestation (DAA) was rst introduced by Brickell, Camenisch, and Chen 7 for remote anonymous authentication of a Trusted Platform Module (TPM). DAA can be seen as a special group signature scheme without the “open” feature. DAA has received a lot of attentions in the trusted computing community, and many DAA schemes have been developed recently, e.g., in 8, 23, 25, 24, 14.