1、 我们表示知识的零知识证明是一个证明者通过使一个论述的 P 满足于PoK(a1,a2.an)|P(a1,.an)使得一个核实者信服。这个概念是从 Camenish 和 Stadler 上汲取过来的(修改他们的理论使得 PoK 代替 PK) 。B、主要的架构我们把知识的零知识证明当做是在构造块以及以单独的模块来描述它们。知识的零知识证明显示这里的非交互式证明在随机预言模块是安全的。在这个安全的证明里,我们表示这些协议的交互式模式的使用是不需要依靠随机预言模块并且能够使零知识使用协议的正常执行,这也就意味着零知识证明的顺序执行。当交互式的知识的零知识证明用 Fiat-Shamir 启发式理论在随机
2、预言模式下实例化和协议在同时执行时,我们的证明就因为技术的原因被瓦解了,但是我们任然将我们的证明当做是为了执行的安全儿做的启发式的证明。构建(spk,ssk,)服务器在 Zq 集合中选择 x,y,z 以及使得 X=gx,Y=gy,Z=gz.这个服务公共秘钥是 spk=(q,G,GT,g, X,Y ,Z) ,服务的私有秘钥是ssk=(x,y,z).服务器的状态 是由一对集合组成。它们初始化状态下是为 NULL。就像这样 =(, ) 。我们把第一个组件成为 .cur 以及第二个组件称为 .next.在所有的组件中,cur=|.cur|,next=| .next|。注册:(,sk)1、客户端选择从
3、Zq 处选择 d,r.用它们来构建 M=(gd)*(Zr)并且将他们送到服务器端。2、这个客户端以证明着的角色以及服务器端以核实者的角色存在与知识的零知识证明。PoK(d,r)|M=(gd)*(Zr).如果上述证明失败,则注册失败。3、服务器端从 Zq*产生一个 a 值,并且使得 A=ga.然后它形成了这个注册号 s=(A,B=Ay,Zb=Zay(=Bz),C=(Ax)*(Maxy)并且将产生的注册号返回给客户端。4、客户端通过以下公式验证收到的是否是为合法的注册号:A!=1,e(g,B)=e(Y,A),e(g,ZB)=e(Z,B),e(g,C)=e(X,A)*e(X,B)d*e(X,ZB)r
4、.否则,RegC 输出。5.客户端设置 sk=(s,d,r).登陆(,cur ),)1、客户端利用它的私有秘钥(s=(A,B,ZB,C),d,r )来创建一个不知情的注册号。这个客户端选择从 Zq*中选择 r1,r2,并且创建盲注册名s=(A,B,ZB,C),使得 A=Ar1,B=Br1,ZB=ZBr1,C=Cr1r2.2、客户端利用 Yd(t)=gT(1/(d+t)创建登录号。3、客户端提交 s,Yd(t)到服务器端。4、如果 Yd(t).cur,则登录失败。5.否则,服务器通过如下方程进行验证:e(g,B)=e(Y,A),e(g,ZB)=e(Z,B)如果不符合上述等式,则登录失败。6.服务
5、器端和客户端分别进行如下计算:v=e(g,C)vx=e(X,A)vxy=e(X,B)vxy=e(X,ZB)7、客户端以证明者的身份并且服务器端以核实者的身份存在于知识的零知识证明当中。PoK=(d,r,r)|vr=(vx)(vxy)d(vxy)rYd(t)=gT(1/(d+t).(这个客户端利用的 r=1/r2)如果证明失败,则登录失败。8、服务器端设置 =(.curYd(t), .next).连接:(,next) ,) (Re-UpS(ssk,next,t),Re-UpC(sk,spk,t)1、客户端利用 sk=(s,d,r)提交 Yd(t)=gT(1/(d+t),Yd(t+1)=gT(1/
6、(d+t+1)到服务器端。2、服务器端验证收到的 Yd(t).cur 并且 Yd(t+1).next.如果不是,则连接失败。3、客户端以证明者的身份并且服务器端以核实者的身份存在于知识的零知识证明当中。PoKd|Yd(t)=gT(1/(d+t)Yd(t+1)=gT(1/(d+t+1).如果证明失败,则连接失败4、这个服务器端增加 Yd(t+1)到 .next.。下一个响应时间:( ,cur,next)EndEpoch(,cur,next)=(.next,).接下来的证明能够在这个论文的全部的版本下找到。理论(健全性):如果 LRSW 的假设支持 G,那么上面的构建方法是健全的。理论(匿名性):
7、如果 DDHI 的假设支持 G,那么上面的构建方法是匿名的。C、有效的改进我们的协议包含了几个已经进行了有效改进的基础原始协议,它用到的方法是:改进了的 CL 注册:这个基础的 CL 注册包含了第五个元素:Az=ZA 在我们的概念中,这个 A 是客户端 sk 的一部分和 zssk.ZA,一个盲版本的 ZA 是客户把它发送到注册的知识的证明当中,能够减少注册有效性的再次构建的检查。所以不再需要下面的等式进行验证:e(A,Z)=e(g,ZA),e(ZA,Y)=e(g,ZB)上述等式用来证明 ZA 和 ZB 是正确的形成的,我们排除了 ZA 和前者的检查,对于后者我们检查e(B ,Z ) =e(g,
8、ZB)上式用来证明 ZB 的正确形成,去除这些元素减少了两对的操作,这两对操作分别是服务器验证对这个元素正确形成的的检查。这两对操作占登陆的主要计算代价,所以这些删除时非常重要的。一个服务器的登陆操作包括八对以及 GT 的六个指数。经过测量我们知道了一对操作平均需要 1950s,一个 GT 指数操作平均需要 232s(从第五章中可以看到完整的关于对数以及指数的计算所需要的时间的介绍) ,这样,我们理想状态下在服务器中登陆可以通过减少 1.2s 的时间以提高效率。同步登陆和连接:一些我们的应用程序涉及到在当前时间点进行连接的时候能够迅速的连接到下一个时间点。在这种情况下我们改变了这个协议以提高效
9、率。我们能够减少在不同的连接中出现的重复的指数计算所造成的代价:一个登陆使用的 Y(t)以及在不同的登陆下连接序列Y(t)To Y(t+1),Y(t+1) to Y(t+2),Y(t+n-1) to Y(t+n )以及连接操作重复Y(t+1).Y(t+n-1) 的指数操作,这两个操作的时间在客户端从2566s 减少到 1393s 而在服务器端从 1412s 减少到 921s。这是分别是 1.8和 1.5的改进。但是这个全部时间仍然是以登陆的书剑占主要。D、知识的零知识证明我们展示的知识的零知识证明是在随机预言模式下是安全的,这个协议在匿名协议下被执行:注册 PoK:PoK(d,r)|M=(gd
10、)*Zr证明者:1、 在 Zq 中选择 rd,rr,计算 R=Grd*Zrr.2、 使得 c=H(g,Z,M,R)3、 发送(R,ad=cd+rd,ar=cr+rr)至核实者核实者:1、 计算 c=H(g,Z,M,R)2、 检查 McR=gad*Zar登陆 PoK: PoK(d,r,r)|vr=(vx)(vxy)d(vxy)rY(t)=gT(1/(d+t)我们重写PoK( d,r,r)|vr=(vx)(vxy)d(vxy)rY(t)=gT*Y(t)(-t)证明者:1、 在 Zq 中选择 rd,rr,rr,然后计算 R1=vrr*(vxy)rd*(vxy)rr 以及R2=Y(t)rd2、 设置
11、c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)3、 发送(R1,ar=c*r+rr,ad=-cd+rd,ar=-cr+rr,R2)给验证者验证者:1、 计算 c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)2、 检查vxcR1=var*vxyad*vxyar 和(gT*Y(t)(-t)(-c)*R2=Y(t)ad连接 PoK: PoKd|Y(t)=gT(1/d+t) Y(t+1)= gT(1/d+t+1)我们重写上式得到:PoKd|Y(t)d=gT*Y(t)(-t) Y(t+1)d= gT*Y(t+1)(-t-1)证明者:1、 在 Zq 中选择 r,设置 Rt=Y
12、(t)r 以及 R(t+1)=Y(t+1)r2、 设置 c=H(gT,Y(t),Y(t+1),Rt,R(t+1)3、 发送(a=cd+r)给核实者核实者:1、 计算 c=H(gT,Y(t),Y(t+1),Rt,R(t+1)2、 检测(gT*Y(t)(-t))c*Rt=Y(t)a 以及(gT*Y(t+1)(-t-1))c*R(t+1)=Y(t+1)a四、设计这个模块描述了匿名协议系统的设计。这个系统是用来在我们在部署的实践中使我们的协议实例化。我们在这个系统的各个功能室分隔开的系统里呈现我们的概念上的框架。在匿名协议系统里有三个主要的块:客户认证管理,服务器认证管理以及服务提供者传输控制。在我们
13、的这个设计里,我们把这些模块分别叫做客户使用者代理,认证服务器以及资源通道。这个客户使用者代理和认证服务器在密码学协议里相当于客户端以及服务器。这是资源通道使得潜在的服务用了通道,潜在的服务指的是那些给那些身份没有被认证的用户而被拒绝的服务。在匿名协议系统中的会话是时间点的序列,它开始于登陆,结束于用户停止在此进入。数字 1 显示了匿名协议系统的主要组件。我们从存在的服务里面描述分布式设置,在这个设置里面三个功能是分别实现的,即使是一个配置能够合并这些功能。举个例子,资源通道可能会被卷人早已存在的会话管理的组件当中。我们的系统支持内部和外部的认证服务器。一个内部的认证服务器和一个给自己提供匿名
14、的通道的服务提供者一致。比如说,这个美国时间网站可能以额外的费用提供匿名的通道。一个外部的认证服务器和数字 1 一致。这个在认证服务器,资源通道,以及在用户代理之间的交流是关于客户和服务的。这个交流被用户代理发动,而由认证服务器正是这个身份。这个认证服务器证实成功了这个身份之后又返回一个签名记号给用户代理。这个用户代理传送这个签名记号到通道上并传送这个信息给客户应用软件得以应用。这个应用软件把这个记号作为一个包含它正常请求的 cookie。这个通道检查目前的这个签名记号在当前的时间点上是不是没有被使用,接下来代理人将这个链接到应用服务器上。这个应用服务器返回请求内容以及通过证实这个连接在返回给
15、客户端之前是否有效。对于一个实体提供匿名访问的通道到早已经存在的网络服务。举个例子来说,一个商业的匿名网络代理(像 or )可能提供匿名的服务。我们的系统尽管不是以数字的形式描述,但是系统也完成了注册。我们不讨论注册支付部分的协议。匿名的支付是独立的和正交的问题。可能的解决办法是以电子现金和少量的硬币的时候支付。一个可能会允许在很短的时间内多次进入。如果一个用户应用指导它不需要在短时间的从原来的动作中分割开它的目前的动作,它将会分批次处理这些有价值的能够再次进入的操作的时间点。这个服务器必须要允许分批处理的功能,但是可能就会使得这些请求在队列中等待下一个时间点的响应。我们想要允许服务在没有修改的情况下使用我们的认证方案,这样我们就可以提供一个简单的接口了:经授权的客户在一个时间段内能够允许和这个服务进行交流并且在这个会话无效的时候中断这个服务。服务可能会调节这个匿名访问控制的局限性。举个例子说,一个流线行的媒体服务可能想要在一个给定的时间点内有多少的数据可以被缓冲。这个服务的提供者失去了增强通道控制缓冲数据的能力。
