南郵外文翻譯一范例

1、南京郵電大學(xué)畢業(yè)設(shè)計(論文)外文資料翻譯學(xué)院(系)： 通達(dá)學(xué)院 專 業(yè) ： 計算機(jī)科學(xué)與技術(shù)（信息安全）學(xué)生姓名： 張檣 班級學(xué)號： 1000905 外文出處：Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol 附件：1.外文資料翻譯譯文；2.外文原文指導(dǎo)教師評價：1翻譯內(nèi)容與課題的結(jié)合度： 優(yōu) 良 中 差2翻譯內(nèi)容的準(zhǔn)確、流暢： 優(yōu) 良 中 差3專業(yè)詞匯翻譯的準(zhǔn)確性： 優(yōu) 良 中 差4翻譯字符數(shù)是否符合規(guī)定要求： 符合 不符合 指導(dǎo)教師簽名：年月日附件：1.外文資料翻譯譯文基于DAA-SIGA協(xié)議的匿名身份認(rèn)

2、證的密鑰交換李江濤 Jesse Walker摘要：匿名的數(shù)字簽名，如直接匿名認(rèn)證（DAA）和群簽名的匿名認(rèn)證的基本構(gòu)建塊。在本文中，我們展示了如何將DAA方案在密鑰交換協(xié)議的兩個實體之間實現(xiàn)匿名認(rèn)證和獲得這兩個實體之間的一個共享密鑰。我們修改了用于在Internet密鑰交換（IKE）標(biāo)準(zhǔn)的西格瑪密鑰交換協(xié)議，而支持采用DAA匿名認(rèn)證。我們的密鑰交換協(xié)議也延伸到支持群簽名方案取代DAA匿名認(rèn)證。我們提出的安全的匿名認(rèn)證密鑰交換模型來源于Canetti-Krawczyk key-exchange安全模型。我們證明了daa-sigma協(xié)議在我們的安全模型下是安全的。1 介紹匿名數(shù)字簽名，如群簽名22

3、，2，5，6，直接匿名認(rèn)證（DAA）7，8，23，24，14，以及匿名憑據(jù)15-17 在隱私增強(qiáng)技術(shù)領(lǐng)域發(fā)揮重要作用。它們允許一個實體（例如，用戶，計算機(jī)平臺或硬件設(shè)備）來創(chuàng)建一個不透露身份的簽名，匿名簽名也啟用匿名實體認(rèn)證。群簽名方案的概念最早是由Chaum和van Heyst22在1991年提出來的。在一個群簽名方案，所有組成員共享一組公鑰，但每個成員都有一個唯一的私有密鑰。由一組成員創(chuàng)建的群簽名是匿名的所有實體，除了受信任組管理。許多群簽名方案被提出，例如，在2，5，6，29。直接匿名認(rèn)證（DAA）最早是由Brickell, Camenisch,和Chen 7引入到受信任的平臺模塊（TP

4、M）的遠(yuǎn)程匿名身份驗證。DAA可以看作是沒有“開”功能的一個特殊群體簽名方案。DAA已經(jīng)在可信計算社區(qū)收到了很多關(guān)注，許多DAA方案最近已開發(fā)，例如，在8，23，25，24，14。匿名數(shù)字簽名，最近吸引了不少業(yè)界關(guān)注。例如，可信計算組（TCG）是一家全球性的工業(yè)標(biāo)準(zhǔn)體35，采用原 DAA方案7，規(guī)范其在TCG TPM規(guī)范v1.234。同樣的DAA方案最近已通過了ISO / IEC作為國際標(biāo)準(zhǔn)1。DAA已落實并已運出數(shù)百萬的TPM。英特爾已實施的DAA的延伸，在英特爾P55為Ibex Peak芯片組13所謂的增強(qiáng)隱私的ID1012。近日，ISO / IEC開始開發(fā)兩個新的國際標(biāo)準(zhǔn)：一種是使用匿名

5、的數(shù)字簽名，包括群簽名方案和DAA方案，其他的為使用匿名數(shù)字簽名的匿名實體認(rèn)證。DAA可以通過一個直截了當(dāng)?shù)姆绞绞褂媚涿矸蒡炞C：通過驗證發(fā)送詢問消息包括隨機(jī)數(shù)的一組成員;組成員可以使用自己的私鑰對消息創(chuàng)建一個DAA簽名驗證的驗證匿名。驗證DAA簽名后，驗證者相信，該組成員是一個有效的DAA簽名者，但他不知道誰創(chuàng)建的簽名。TPM才能使用此方法進(jìn)行匿名身份驗證，從發(fā)行人獲得一個證明身份密鑰認(rèn)證。這種身份驗證方法是受限的，因為組成員未驗證驗證的憑證，也沒有從認(rèn)證而得共享密鑰。請考慮以下情形：一個可信計算平臺想從互聯(lián)網(wǎng)服務(wù)器下載一些受保護(hù)的資源，還可以上傳它的一些敏感數(shù)據(jù)到服務(wù)器。該平臺想要在發(fā)送的

6、數(shù)據(jù)出來之前驗證服務(wù)器。在同一時間內(nèi)服務(wù)器要確保這個平臺確實是值得信賴的，例如，確保平臺能夠保護(hù)服務(wù)器的資源。DAA可以在這個例子中使用，如果該平臺要匿名驗證服務(wù)器。但是，第一段的驗證方案在這種情況下會因以下的原因的不能良好的工作： 1、該平臺和服務(wù)器需要同時驗證對方。 2、它是理想的具有相互認(rèn)證之后得到的會話密鑰，當(dāng)每次從服務(wù)器獲得一些資源時，這樣的平臺無需反復(fù)向服務(wù)器驗證。DAA的匿名驗證的自然延伸是嵌入DAA的Diffie-Hellman密鑰交換協(xié)議，使兩個實體可以驗證對方而為未來的通信派生出一個共享的會話密鑰。已經(jīng)有一些建議，把DAA進(jìn)入密鑰交換協(xié)議。 Balfe等，3通過使用TLS和

7、IPsec嵌入DAA在點對點等網(wǎng)絡(luò)提出了匿名身份驗證。梁和Mitchell32提出了一個基于DAA的匿名認(rèn)證協(xié)議。最近，切塞納等，20提出了一種基于TLS和DAA包含引用實現(xiàn)匿名認(rèn)證協(xié)議。1.1我們的貢獻(xiàn)很容易設(shè)計出簡單的Diffie-Hellman（DH）的密鑰交換協(xié)議，但它更容易得到錯誤的協(xié)議。例如，許多基于DH的密鑰交換協(xié)議許多DH-based密鑰交換協(xié)議很容易受到中間人攻擊或身份misbinding攻擊。雖然已經(jīng)有幾個在文獻(xiàn)中的提議，在Diffie-Hellman密鑰交換協(xié)議3，32，20中使用DAA，盡我們所知，沒有提供正式的安全模型并且這些協(xié)議沒有正式的安全證明來證明這些協(xié)議的安全

8、性。這是本文的動機(jī)，本文還有兩個貢獻(xiàn)。我們簡要描述每個貢獻(xiàn)如下。安全模型與匿名認(rèn)證密鑰交換。我們給出一個嚴(yán)格的處理，以匿名身份驗證和引入匿名認(rèn)證密鑰交換一個新的安全模型。我們的安全模型源于卡內(nèi)蒂-Krawczyk密鑰交換的安全模型18，19。在卡內(nèi)蒂-Krawczyk安全模型中，身份在安全性證明中起著重要作用。然而，在匿名身份驗證，想要匿名的實體的身份不能透露，在密鑰交換。這將創(chuàng)建的安全模型的定義和密鑰交換協(xié)議的設(shè)計提供了顯著的挑戰(zhàn)。一個安全的密鑰交換協(xié)議進(jìn)行匿名身份驗證。我們開發(fā)了一個新的基于DAA和SIGMA系列遵循IPsec的31密鑰交換協(xié)議匿名認(rèn)證密鑰交換協(xié)議和Internet密鑰交換

9、（IKE）標(biāo)準(zhǔn)30。我們稱我們的協(xié)議為daa-sigma協(xié)議。我們基于安全模型提出DAA-協(xié)議的一個正式的安全分析。1.2 相關(guān)工作除了在密鑰交換協(xié)議使用DAA的匿名身份驗證3，32，20，其他的匿名身份驗證的機(jī)制近來已經(jīng)提出。崔和曹提出了一種基于環(huán)簽名26匿名認(rèn)證和密鑰交換協(xié)議。Viet等人提出了一種基于密碼的匿名認(rèn)證密鑰交換協(xié)議36。楊和張等改進(jìn)viet等人的計劃與另一個匿名的基于密碼的密鑰交換協(xié)議37。 Chai等人建議保留用戶隱私21一個高效的基于口令的認(rèn)證方案。除了Canetti-Krawczyk密鑰交換模型18的密鑰交換協(xié)議，其他模型和工具的安全分析已經(jīng)在文獻(xiàn)中提出。例如，Mead

10、ows使用一個自動化的協(xié)議分析儀，研究了密鑰交換協(xié)議33的安全性。 Datta等人開發(fā)了一個象征性的邏輯分析儀來證明密鑰交換協(xié)議27的安全性。Bellare和Rogaway在并發(fā)會話的現(xiàn)實環(huán)境中形式化密鑰交換協(xié)議的安全性 4。在本文中，我們選擇使用卡內(nèi)蒂-Krawczyk密鑰交換為基礎(chǔ)的模型，因為這種模式已經(jīng)非常成熟，并已用于分析SIGMA密鑰交換協(xié)議的安全性。1.3本文的組織本文的其余部分安排如下。我們先介紹我們的符號，并簡要回顧了DAA方案和第2節(jié)的SIGMA密鑰交換協(xié)議。然后，我們提出的密鑰交換協(xié)議的安全模型與匿名身份驗證在第3節(jié)介紹。我們在第4節(jié)提出DAA-sigma協(xié)議，并在第5節(jié)安

11、全性防護(hù)。我們將在第6節(jié)討論DAA-sigma協(xié)議的一些擴(kuò)展。我們得出結(jié)論：第7節(jié)是論文。2 背景和構(gòu)建模塊在本節(jié)中，我們首先回顧我們的符號和術(shù)語，然后簡要回顧DAA的基本概念。接下來我們回顧SIGMA密鑰交換協(xié)議。2.1標(biāo)記法我們在本文中用下面的符號。設(shè)P和Q是密鑰交換協(xié)議的兩個實體。-麥克（M）：用密鑰k計算m的消息認(rèn)證碼。 -SIGP（米）：m個由實體P創(chuàng)建一個簽名。 -IDP：實體P的身份。 -certP：實體P的公開密鑰證書。 -PRF：一個偽隨機(jī)函數(shù)。2.2 DAA的審查在本節(jié)中，我們將回顧DAA的9提出了規(guī)范和安全模式。在安全模型9，比原來的DAA定義簡單的7，更容易理解DAA的

12、安全屬性。有四種類型的玩家在DAA方案：發(fā)行人我，一個TPM米，主機(jī)喜和檢驗VJ。宓和Hi形成在可信計算環(huán)境的平臺，分享DAA簽名Si的作用。為了簡化我們的符號，我們對待DAA簽名者在本文的其余部分一個單一的實體。一個DAA方案有以下多項式算法或交互協(xié)議（安裝，注冊，登錄，驗證，鏈接）：安裝：在一個安全參數(shù)1k的輸入，我使用這個隨機(jī)算法產(chǎn)生一對（ GPK ， ISK ），其中ISK為發(fā)行人的秘密密鑰， GPK是公鑰，包括全球公眾參數(shù)。加入：簽名者Si和發(fā)行人運行一個交互式的加入?yún)f(xié)議。在協(xié)議結(jié)束時，硅輸出一個密鑰ski和一所頒發(fā)的會員證書CREI我們表示滑雪和CREI對作為Si的簽名密鑰。注意，

13、ski的值是未知的1。注冊：在GPK ，ski， CREI ，一個基本名bsnj和消息m的輸入，硅使用該算法來產(chǎn)生對m的簽名 。基名bsnj可以是驗證VJ或特殊符號的任意名稱的字符串并且被用于控制聯(lián)性。驗證：在GPK ， bsnj ，M ， M上的候選人簽名和撤銷清單RL的輸入， VJ使用這個確定性的算法來確定是否有效。撤銷超出了本文的范圍。鏈接：關(guān)于兩個簽名0和1輸入， VJ使用該確定的算法返回鏈接，斷開鏈接，或無效的簽名。DAA的正式的安全定義中可以找到7,9。對于本文的完整性，我們回顧DAA的正式的安全模型9在附錄A，通俗地說，一個DAA方案是安全的，如果下面的性質(zhì)成立：- 正確性。使用

14、有效的簽名密鑰創(chuàng)建的簽名可以被任何驗證程序正確進(jìn)行驗證。 - 匿名。不擁有密鑰sk則無法學(xué)習(xí)使用SK創(chuàng)建簽名的簽名者的身份。 - 不可偽造性。如果他沒有一個簽名密鑰或他的簽名密鑰已全部撤銷，攻擊者無法偽造有效簽名- 用戶控制聯(lián)性。如果BSN=，由同一組的SK創(chuàng)建的簽名，CRE，BSN可以鏈接。然而如果他們使用不同的BSN創(chuàng)建或鏈接，如果BSN=，簽名不能。如果一個簽名是用BSN=創(chuàng)建的，那么我們稱隨機(jī)基于簽名，否則，我們稱之為一個基于名稱簽名。因為DAA-sigma協(xié)議，我們首先著眼于隨機(jī)的簽名。我們在第6節(jié)將討論如何采用基于名字的簽名。設(shè)I為DAA發(fā)行人，設(shè)P是誰擁有了I所簽發(fā)的有效簽名密鑰

15、的DAA簽名者，我們使用下面的本文的其余部分的符號：- IDI：發(fā)行人I為簡單的身份，我們假設(shè)我只創(chuàng)建一個群公鑰GPK。人們可以計算出從IDI相應(yīng)的GPK。如發(fā)行人建立多個組公鑰，我們可以用IDG表示了DAA組的身份。- CERTI：I是由證書頒發(fā)機(jī)構(gòu)頒發(fā)的公鑰證書，以證明該群公鑰GPK。 - DAA-SIGP（米）：由實體P創(chuàng)建的消息米DAA簽名。讓SKP為P的密鑰和CREP為P的會員資格證書，然后DAA-SIGP（m）表示符號（GPK，SKP，CREP，BSN，m），其中如果BSN不提供作為輸入，則BSN=。2.3 SIGMA密鑰交換協(xié)議的回顧我們現(xiàn)在回顧SIGMA密鑰交換協(xié)議。這個密鑰交

16、換協(xié)議是Internet密鑰交換（IKE）協(xié)議之一30 在internet協(xié)議安全（IPsec）標(biāo)準(zhǔn)31下用于建立秘密共享密鑰。sigma密鑰交換協(xié)議使用的是結(jié)合在一起的Diffie-Hellman密鑰交換與“sign-and-mac”的機(jī)制。據(jù)介紹如下：設(shè)P和Q是密鑰交換協(xié)議的兩個實體，其中P是激活會話Q的協(xié)議發(fā)起者并且是會議預(yù)期的對等體。設(shè)G是一個循環(huán)群素數(shù)階q，其中決策性的Diffie-Hellman（DDH）問題是困難的和g是G的生成。設(shè)S是由P，Q，或兩者都選擇的一個唯一的會話標(biāo)識符。對SIGMA協(xié)議具有以下的消息。消息1（PQ）：S，GX 消息2（PQ）：S，GY，IDQ，mack

17、1（S，IDQ），sigQ（S，GX，GY） 消息3（PQ）：S，IDP，mack1（S，IDP），SIGP（S，GY，GX）在上述協(xié)議，P隨機(jī)選擇一個整數(shù)x和計算短暫DH公鑰GX。類似地，Q隨機(jī)選擇一個整數(shù)y和計算其短暫的DH公鑰GY。通過交換GX和GY，兩個實體可以計算GXY，但“中間人”攻擊者就不可能。兩個實體然后從GXY得出一個會話密鑰K0和 MAC密鑰K0。在消息2，Q使用其簽名密鑰使用k1和標(biāo)志短暫的DH公鑰（GX，GY）計算其身份的Mac。P能驗證簽名來保證消息2確實是來自實體Q和驗證MAC，以確保Q知道K1，從而也知道了會話密鑰K0。同樣，P計算其身份和消息3的DH公鑰簽名的M

18、AC。之后Q驗證消息3，兩個實體已經(jīng)建立的會話密鑰K0，并可以使用K0為進(jìn)一步傳播。3 安全模型 在本節(jié)中，我們先回顧一下Canetti-Krawczyk密鑰交換模型18，19，然后描述如何擴(kuò)展這個密鑰交換模式，來支持匿名身份驗證。3.1回顧C(jī)anetti-Krawczyk密鑰交換模型本節(jié)回顧了為驗證的密鑰建立Protocols（協(xié)議）的Canetti-Krawczyk模型18。A是會話密鑰的對手，或SK-對手，A是一個概率多項式時間算法，控制使用設(shè)置在下面的表1中規(guī)定的查詢?nèi)魏坞p方之間的所有通信。一個SK-對手通過發(fā)出查詢到一組的簽名操作系統(tǒng)，P來完成這個控制。一個簽名 操作系統(tǒng)中，P代表確

19、定由主體P發(fā)起的S中的協(xié)議實例。該通信實例稱為一個會話。每個數(shù)據(jù)庫響應(yīng)查詢，而所有的數(shù)據(jù)庫操作系統(tǒng)，P代表集體協(xié)議的歷史輸出。在SK-對手接收所有輸出，并使用該輸出來決定哪些數(shù)據(jù)庫來激活下一個。表1. 對抗性查詢詢問描述發(fā)送（P，Q，s，m）數(shù)據(jù)庫操作系統(tǒng)，根據(jù)協(xié)議規(guī)范P響應(yīng)消息m到Q，并決定是否接受，拒絕或繼續(xù)。接受意味著已完成與合作伙伴Q，會話id s，會話密鑰K，和操作系統(tǒng)的協(xié)議。P表示通過包括公共輸出信號的（P，s，Q）的接受。拒絕表示協(xié)議失敗。繼續(xù)意味著數(shù)據(jù)庫正在等待它的下一個協(xié)議的步驟。 操作系統(tǒng)，P返回其決定對A。會話密鑰 - 顯示（P ， Q，S ）如果數(shù)據(jù)庫的操作系統(tǒng)，P已接

20、受并持有一個會話密鑰K，則數(shù)據(jù)庫返回K到SK-對手A。否則，P忽略此查詢。這種查詢，比如密鑰強(qiáng)制泄露，密碼分析，密鑰的不小心處理之類。聲明 - 顯示（ P）如果數(shù)據(jù)庫的操作系統(tǒng)，P已接受或持有一個會話密鑰，它會忽略此查詢。否則，數(shù)據(jù)庫返回其內(nèi)部短暫的會話狀態(tài)，但沒有永久的秘密。這個查詢類似單個會話的妥協(xié)。摧毀（P ）P通過整個內(nèi)部狀態(tài)的讓步對此查詢做出響應(yīng)，包括所有數(shù)據(jù)庫操作系統(tǒng)所執(zhí)行的狀態(tài)，P和任何長期鑰匙。隨后，SK-對手控制P的行動。過期 - 會話（P ， Q，s ）這個查詢會導(dǎo)致數(shù)據(jù)庫操作系統(tǒng)，P刪除其會話狀態(tài)和數(shù)據(jù)庫操作系統(tǒng)，P今后將忽略任何后續(xù)的會話密鑰，顯示的查詢，因為它不再具有

21、針對性的會話密鑰。檢驗（P ， Q，s）一個SK-對手A可以使用測試查詢一次。該查詢被用來測量該對手的功效在從一個隨機(jī)生成的會話密鑰來區(qū)分真正的會話密鑰。如果輸出端P已經(jīng)接受了一個會話密鑰K，那么它選擇一個比特值b隨機(jī);若b= 0，則它返回K和否則產(chǎn)生一個隨機(jī)值K時，它返回來代替。如果數(shù)據(jù)庫接受會話密鑰或不具有會話密鑰，它不響應(yīng)的測試查詢。會話被稱為暴露如果SK-對手發(fā)出反對它的Oracle會話密鑰泄露查詢或?qū)挼呢?fù)責(zé)人之一的國有揭示或損壞的查詢。附件2.外文原文Key Exchange with Anonymous Authentication using DAA-SIGMA Protoc

22、ol-Jesse Walker and Jiangtao LiAbstract. Anonymous digital signatures such as Direct Anonymous Attestation (DAA) and group signatures have been a fundamental building block for anonymous entity authentication. In this paper,we show how to incorporate DAA schemes into a key exchange protocol between

23、two entities to achieve anonymous authentication and to derive a shared key between them. We propose amodication to the SIGMA key exchange protocol used in the Internet Key Exchange (IKE) standards to support anonymous authentication using DAA. Our key exchange protocol can be also extended to suppo

24、rt group signature schemes instead of DAA. We present a secure model for key exchange with anonymous authentication derived from the Canetti-Krawczyk key-exchange security model. We prove that our DAA-SIGMA protocol is secure under our security model.1 Introduction Anonymous digital signatures such

25、as group signatures 22, 2, 5, 6, Direct Anonymous Attestation (DAA) 7, 8, 23, 24, 14, and anonymous credentials 1517 play an important role in privacy enhanced technologies. They allow an entity (e.g., a user, a computer platform, or a hardware device) to create a signature without revealing its identity. Anonymous sig