基于可验证秘密分享的口令共享认证方案
第3卷第5期2OO3年10月
1671.1815(2003)05.0457-03
科学技术与工程
ScienceTechnologyandEngineefing
V o1.3No.5October,2OO3
⑥2OO3Sei.Teeh.Engng.
基于可验证秘密分享的口令共享认证方案关于猪的笑话
王莉于秀源吴铤沈忠华
(杭州师范学院数学系,杭州310012;杭州电子工业学院',杭州310037)
摘要对一个口令共享认证方案进行了分析,指出其安全性方面的问题.利用可验证秘密分享技术,提出了一个基
于离散对数问题的可验证秘密分享的口令共享认证方案,该方案具有防止认证中心,用户和管理员欺骗的功能.
关键词口令共享认证离散对数可验证秘密分享
中图法分类号TP309;文献标识码A
chang和Liao在文献[1]中首次提出了基于数字签
名的口令认证方案,将口令认证系统的安全性和数字
签名的安全性巧妙地结合起来.文献[2]利用Ham提
出的门限共享验证数字签名方案L3J提出了口令共享认
证的概念,但是由于Ham方案是全局可伪造的,所以文
献[2]中的方案是不安全的,攻击者可以根据一个用户
的口令伪造其他任何用户的口令.文献[4]提出的口
令共享认证方案是EIGamal方案和Shamirf-1限方案的
结合,在该方案中,it/,个认证者中任意t个可以认证口
令的正确性,而t一1个或更少的认证者不能认证口令
的正确性.本文指出,文献[4]的口令共享认证方案也
是不完全的,无法防止内部成员提供假份额的欺诈行
为和外部人员的替换攻击;同时给出了相应的改进方
理员的秘密份额后,用随机选取的整数替换发
给系统管理员,当管理员收到后,无法识别这一秘
盐水浮鸡蛋的原理
密份额是否遭到了替换攻击.
大便黑色是什么原因引起的(2)在共享认证阶段,口令验证组无法识别某一管
理员是否提供了假的秘密份额.一旦某个管理员恶
意提供假的秘密份额,就会阻止合法用户访问系统.
音乐教程
(3)用户无法验证收到的口令P=(ri,sj)是否
正确.如果用户不掌握系统的秘密密钥,他就不可
能利用方程')y5(—nodP)检验所收到口令是
否正确,但是一旦他知道了,他就可以和任何一个管
理员合谋,达到非法访问系统的目的.反之,用户根本
无法识别所给口令的有效性,从而给PGC的恶意欺骗
和外部的替换攻击提供了机会.
案,并讨论了新方案的安全性.
1对一个口令共享认证方案缺陷的分析2基于可验证秘密分享的口令共享认证方案
口令共享认证的作用不仅在于防止系统内部个别
管理人员对认证数据的截留和滥用,而且对涉及多个
团体和行业的敏感数据的访问,必须经过若干管理人
员的同意方可实施,从而可以控制和提高系统的安全
等级.从这个角度讲,文献[4]中的方案在安全性方面
存在以下问题:
(1)在共享密钥阶段,管理员无法识别PGC(口令
产生中心)所给秘密份额的正确性;如果PGC恶意
地向管理员提供假的秘密份额,那么会造成正确口令
的认证失败.另外,如果攻击者在截获PGC发送给管
2O113年6月26日收到国家自然科学基金(10271037)资助
以下,我们以charIg.Liao口令认证方案【l为基础,
利用可验证秘密分享[5--7]技术,提出一个基于离散对数的可验证秘密分享的口令共享认证方案,以克服文献[4]中方案的上述缺陷,更好地实现口令共享认证的作用.
2.1系统参数
P,q为大素数,q=(P一1)/2,g是GF(p)中的本
原元(其中P,q,g公开),PGC的私钥为∈z:且
gcd(x,P一1):1,假定系统管理员是P.,P2ooo,.
2.2P(的公钥在系统管理员中的分享
PGC选取GF(P)的本原元h.选择(P)'中一
/卜jE零列向量口=(0l,02,…,)及GF(P)上tx11,
的阶型秘密分享矩阵G=(G.,G2,…,)(G的任
458科学技术与工程3卷
意t列线性无关,任意t一1列不能线性表示a,其中为G的第k列向量,G的第-『行第k列的元素记为),在
U(h)={(sl,s2,…,sI)l(sl,s2,…,sI)a=
∑s=h(modq)}
:l
中随机选取一个t维行向量(bl,b2,…,b)∈GF(g),
计算(l,2,…,):(bl,b2,…,b)G,PCC发给的
秘密份额为(1nodq),=1,2,…,n,并公开a,G,
(1nodP),日,:(1nodP),-『=1,2,…,t,Cj=
g~(moaP),=1,2,…,n.在这些信息公布后,系统的
每一个管理员及任何其他人均可通过(modP)=
Ⅱ日(roodp)及cj=Ⅱ(roodp)来验证秘密份=1I=1
额分发过程的正确性,而系统管理员可通过C
(modP)来验证自己收到秘密份额的有效性.
2.3口令
用户向PGC提交并注册,PGC选取GF(P)
的本原元p,g.,使得Y:(modP),然后随机选
取整数∈,计算ry--,sj(~日())×
后厂(rlq);则P=(0,)即为用户口令,同时公布
:g'?'P'.dq(IlP),-『=1,2,…n;并对h,Y
保密.可信中心根据用户提供的和PGC提供的秘
密Y,利用方程:');~(moaP)验证口令的
正确性,然后通过秘密通道将P传送给用户.
2.4用户访问
用户访问系统时,先用智能卡计算A=,B=
+(A,),其中∈^Zq,T是用户访问系统的时
间,然后将墨=(f,rf,A,日,)送系统认证.
2.5共享认证
在收到PGC分发的秘密份额,及E后,任意t
个管理成员,设为P.,P2,…,,可合作验证是否有
效.具体过程如下:设是系统收到的时间,如果
AT=—T不超过规定值,则Pl,P2,…,同意后求
小孩子拉肚子怎么办出(cl,c2,…,ct),使得(Gl,G2,…,)(cl,c2,…,c'):
a.然后,计算一(r,p),-『=1,2,…,t,并向
其他合作者广播;其他任何一个合作者可通过检验D『=g'''(moap)是否成立来识别P『广播的
信息是否正确.当所有zJ都通过检验后,就可恢
复出公钥Y:g々(r,p)=Ⅱ~(modp);最后
系统验证A(p一')一',(rlp)是否成立,
若成立,则系统接受用户的访问要求.
2.6正确性证明
定理1假设在GF(p)中计算g,gl,p为底的离
散对数是困难的,则PGC给系统管理员分发秘密份额的过程正确的充要条件是:
理的笔画顺序(roodp):Ⅱ日(modp)
』=1
=
Ⅱ(roodp):g~(modp),:1,2,…,n.:
1
证明必要性显然.
'
I
充分性若(roodp):Ⅱ日(modp),则有
j=1
女女(roodp):g善(mp),于是:h*(mod
』=1
g),即(bl,b2,…,b)∈U(),说明(bl,b2,…,b)的
选择是正确的.
由:Ⅱ(roodp)可知;g~(modp):』=1
g吾'3~(modp),-『:1,2,…,n.从而吩6蛳(modg),-『=1,2,…,/7,,即(l,2,…)=(bl,b2,
故事英语怎么读…
)G,说明(.,2ooo)的计算是正确的.
定理2当系统的管理员中的任何t位合作,设为
Pl,P2,…,Pc,都提供正确的z』一g~(modp)时,就可
有效地恢复出公钥Y=;(roodp)=Ⅱ~i(mod』=1 P).
证明根据公开信息,P.,P2,…,可求出(c.,
c2,…,c),使得
(Gl,G2,…,)(cl,2,…,cf)=a,
于是
=
