一種在密碼驗(yàn)證系統(tǒng)中保持用戶(hù)匿名的方案

摘? 要：通過(guò)采用一種基于密碼的匿名驗(yàn)證系統(tǒng)，探討了在匿名驗(yàn)證系統(tǒng)中針對(duì)第三方攻擊者的用戶(hù)匿名性的有效性。首先，在驗(yàn)證系統(tǒng)方案中展示了第三方攻擊者可以指定哪個(gè)用戶(hù)實(shí)際向服務(wù)器發(fā)送了訪問(wèn)請(qǐng)求，第三方攻擊者可以根據(jù)此次攻擊來(lái)鏈接到同一用戶(hù)稍后發(fā)送的不同登錄請(qǐng)求。其次，給出了一種有效的對(duì)抗這種攻擊的方法，該方法因不需要存儲(chǔ)用戶(hù)的密碼保護(hù)憑證，能更有效地保證用戶(hù)訪問(wèn)的匿名性。

關(guān)鍵詞：用戶(hù)匿名;密碼;用戶(hù)驗(yàn)證;密碼憑證

中圖分類(lèi)號(hào)：TP309.7? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2096-4706（2022）02-0107-04

Abstract： By adopting an anonymous authentication system based on password， this paper discusses the effectiveness of user anonymity against third-party attackers in the anonymous authentication system. Firstly， the authentication system scheme shows that the third-party attacker can specify which user actually sent an access request to the server. The third-party attacker can link to different login requests sent by the same user later according to this attack. Secondly， an effective method against this attack is given. This method can more effectively ensure the anonymity of user access because it does not need to store the user’s password protection credentials.

Keywords： user anonymity; password; user authentication; password credential

0? 引? 言

匿名身份驗(yàn)證是確認(rèn)用戶(hù)訪問(wèn)網(wǎng)頁(yè)或其他服務(wù)的權(quán)限的過(guò)程，可以允許用戶(hù)登錄到系統(tǒng)而不暴露其實(shí)際身份[1]。目前基于密碼的匿名驗(yàn)證是應(yīng)用較為廣泛的一種用戶(hù)驗(yàn)證技術(shù)，其主要作用是提供基于密碼的匿名性和用戶(hù)的匿名性[2]。截至目前已經(jīng)出現(xiàn)幾種方案[3-5]，這些方案的潛在應(yīng)用包括企業(yè)保密人員訪問(wèn)、對(duì)特殊人員進(jìn)行問(wèn)卷調(diào)查、匿名咨詢(xún)等。

在文獻(xiàn)[6]中，作者等人提出了一種基于密碼的匿名認(rèn)證方案，該方案通過(guò)以密碼為保護(hù)的憑證為人員的訪問(wèn)提供匿名性。該方案是基于Camenisch群簽名[7]和Paillier加密算法[8]構(gòu)造的，前者用于實(shí)例化用戶(hù)的認(rèn)證證書(shū)，后者用于服務(wù)器的同態(tài)加密。認(rèn)證證書(shū)的某些元素（即用戶(hù)身份上的簽名）是用用戶(hù)密碼加密的，而其他元素是用服務(wù)器的公鑰（同態(tài)）加密的。為了提高效率，作者等人提出了另一個(gè)基于密碼的匿名認(rèn)證方案[9]，該方案是基于BBS+SIG-Nature[10]的一種新型方案。為方便論證，以下我們對(duì)此方案取名為RT1001。方案中使用新的簽名與加密技術(shù)代替了Camenisch群簽名[7]和Paillier加密算法[8]，同時(shí)通過(guò)Knowl-Edge協(xié)議的零知識(shí)證明來(lái)限制簽名對(duì)服務(wù)器的驗(yàn)證能力。

在本文中，我們主要討論了RT1001方案對(duì)被動(dòng)/主動(dòng)第三方攻擊者的用戶(hù)匿名性。首先，在第三章中我們展示了在RT1001方案中，第三方攻擊者可以指定哪個(gè)用戶(hù)實(shí)際向服務(wù)器發(fā)送了登錄請(qǐng)求。此攻擊還包括攻擊者可以將同一用戶(hù)稍后發(fā)送的不同登錄請(qǐng)求鏈接起來(lái)。從攻擊中可以清楚地看出，RT1001方案不提供針對(duì)第三方攻擊者的用戶(hù)匿名性。在第四章中，我們針對(duì)第三方攻擊給出了有效的對(duì)策。在第五章中，通過(guò)驗(yàn)證證明對(duì)策中由于不需要任何安全措施來(lái)存儲(chǔ)用戶(hù)受密碼保護(hù)的憑據(jù)，以此能有效地保證用戶(hù)訪問(wèn)的匿名性。

1? 知識(shí)準(zhǔn)備

1.1? 符號(hào)注釋

a∈RS表示a是從S中隨機(jī)選擇的，設(shè)G1，G2，GT是素?cái)?shù)q的循環(huán)群，設(shè)g是G1的生成元，h是G2的生成元。雙線性映射e：G1×G2→GT具有以下性質(zhì)：

（1）雙線性：?u∈G1，v∈G2和x，y∈RZq，e（ux，vy）=e（u，v）xy

（2）非退化性：e（g，h）≠1

1.2? BBS+簽名

BBS+簽名是一種簽名方案，具有在提交值上發(fā)布簽名和在提交值上證明簽名零知識(shí)的有效協(xié)議。BBS+簽名方案的公鑰為（W=hχ，h∈G2，a，b，d∈G1），私鑰是（χ∈Zq）。在消息m上簽名的BBS+簽名定義為（M，k，s），其中k，s∈RZq，M=（am · bs · d）1/（k+χ）∈G1。

BBS+簽名（M，k，s，m）相對(duì)于公鑰被驗(yàn)證為e（M，W · hk）=e（a，h）M · e（b，h）s · e（d，h）。該驗(yàn)證可以在用于表示擁有簽名的知識(shí)協(xié)議的零知識(shí)證明中進(jìn)行。

2? RT1001方案

2.1? R-BBS簽名

作為RT1001方案的主要組成部分，R-BBS簽名是BBS+簽名的一個(gè)普遍版本。為便于區(qū)分，以下R-BBS簽名由ΠR-BBS表示。

證明人代替BBS+簽名的（M，k，s），擁有（M，k，γ，e（B，h）），其中M=（au · bs · d）1/（k+χ），u是用戶(hù)恒等式，r∈RZq，γ=r-1，并且B=br · s，如下：

設(shè)g0，g1∈G1可以是預(yù)定義的參數(shù)。首先是校準(zhǔn)器選擇α，ru，rk，rγ，rα，r∈RZq，然后計(jì)算Cmt（ΠR-BBS）={T1，T2，R1，R2，R3}，如下：

校準(zhǔn)器發(fā)送Cmt（ΠR-BBS）發(fā)送給驗(yàn)證者，驗(yàn)證人發(fā)送質(zhì)詢(xún)c∈RZq。在收到質(zhì)詢(xún)后校準(zhǔn)器計(jì)算Res（ΠR-BBS）={su，sγ，sk，sα，s}如下：su=ru+c×u，sγ=rγ+c×γ，sk=rk+c×k，sα=rα+c×α，s=r+c ·，其中=α · k。校準(zhǔn)器發(fā)送Res（ΠR-BBS）提交給驗(yàn)證者，驗(yàn)證者接受以下內(nèi)容保持不變，如下：

根據(jù)文獻(xiàn)[9]，上述R-BBS簽名是一個(gè)數(shù)組（M，k，γ，u）服從e（M，W · hk）=e（a，h）u · e（B，h）γ · e（d，h）知識(shí)的零知識(shí)證明。

2.2? 基本方案部署

這里，我們描述了RT1001方案的一個(gè)基本方案。基本方案由系統(tǒng)設(shè)置、注冊(cè)登記和認(rèn)證協(xié)議組成。

2.2.1? 系統(tǒng)設(shè)置

為了設(shè)置系統(tǒng)參數(shù)，服務(wù)器執(zhí)行以下操作：

（1）將BBS+信號(hào)的公鑰設(shè)置為（W=hχ，h∈G2，a，b，d∈G1），將私鑰設(shè)置為（χ∈Zq）;

（2）將g，g0，G1∈G1作為公共參數(shù);

（3）為ElGamal加密選擇公鑰/私鑰對(duì)，并對(duì)其進(jìn)行加解密分別用E（ · ）和D（ · ）表示;

（4）選擇一個(gè)哈希函數(shù)H：{0，1}*→{0，1}k0和MAC：{0，1}k1×G12→{0，1}k1，其中k0，k1是適當(dāng)?shù)臄?shù)字。

2.2.2? 注冊(cè)登記

在基本方案中，所有用戶(hù)都需要提前向服務(wù)器注冊(cè)，每個(gè)用戶(hù)都獲得一個(gè)身份驗(yàn)證憑證。服務(wù)器向每個(gè)用戶(hù)ui發(fā)放一個(gè)憑證，這是一個(gè)在用戶(hù)標(biāo)識(shí)ui上簽名的BBS+簽名（Mi，ki，si）。用戶(hù)將密碼保護(hù)的憑證Ci放入他/她的首選存儲(chǔ)目錄，例如，硬盤(pán)、手機(jī)、U盤(pán)或公共設(shè)施/目錄。

2.2.3? 認(rèn)證協(xié)議流程

假設(shè)用戶(hù)ui具有受密碼保護(hù)的憑據(jù)Ci=<ui，[Mi，ki]pwi，E（si）>在登錄時(shí)可用。下面是用戶(hù)ui和服務(wù)器之間的身份驗(yàn)證協(xié)議流程。

Step1：用戶(hù)ui執(zhí)行以下操作

（1）用戶(hù)使用他/她的密碼pwi從[Mi，ki]pwi恢復(fù)（Mi，ki）;

（2）用戶(hù)選擇r∈RZq，并通過(guò)計(jì)算s*=E（r）· E（si）隨機(jī)化E（si）;

（3）用戶(hù)選擇x∈RZq并計(jì)算X=gx;

（4）用戶(hù)選擇NA∈R{0，1}k1并計(jì)算=E（NA）;

（5）用戶(hù)使用R-BBS信號(hào)（Mi，ki，γ=r-1（modq），ui）計(jì)算Cmt（ΠR-BBS）;最后，用戶(hù)向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請(qǐng)求。

Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作

（1）服務(wù)器計(jì)算r · si=D（s*），由于ElGamal的乘法同態(tài)性質(zhì)，B=br · si;

（2）服務(wù)器選擇y∈RZq并計(jì)算Y=gy;

（3）服務(wù)器計(jì)算NA=D（）及V=MAC（NA，Y，X）;

（4）服務(wù)器選擇NB∈RZq，并將NB、Y、V發(fā)送回用戶(hù)。

Step3：用戶(hù)ui執(zhí)行以下操作

（1）用戶(hù)驗(yàn)證V，如果無(wú)效則中止;

（2）以NB為例進(jìn)行質(zhì)詢(xún)，用戶(hù)計(jì)算并發(fā)送Res（ΠR-BBS）到服務(wù)器;

（3）用戶(hù)通過(guò)合成共享密鑰sk=H（NA，NB，Y x）來(lái)結(jié)束協(xié)議。

Step4：服務(wù)器在驗(yàn)證Res（ΠR-BBS）后計(jì)算sk=H（NA，NB，Xy）。

注意：Step1中的Cmt（ΠR-BBS）可以由用戶(hù)ui計(jì)算，用戶(hù)ui不知道r · si，因?yàn)橛脩?hù)將e（B，h）作為Eq.（1）。在上面，用戶(hù)ui通過(guò)顯示擁有正確的憑證向服務(wù)器授權(quán)，而服務(wù)器的身份驗(yàn)證依賴(lài)于ElGamal加密。

3? 第三方攻擊者的用戶(hù)匿名性驗(yàn)證

在文獻(xiàn)[9]中，作者等人聲稱(chēng)，RT1001方案支持針對(duì)服務(wù)器的不可鏈接性，服務(wù)器并不俱怕外部攻擊，因?yàn)榉?wù)器不能鏈接同一個(gè)用戶(hù)進(jìn)行的不同登錄。在本節(jié)中，我們將展示第三方攻擊者可以指定是哪個(gè)用戶(hù)發(fā)送了登錄請(qǐng)求。實(shí)際上，這足以讓第三方攻擊者鏈接同一用戶(hù)發(fā)送的不同登錄請(qǐng)求。

3.1? 第三方攻擊者的可鏈接性

為了清楚起見(jiàn)，假設(shè)只有兩個(gè)用戶(hù)u1和u2的密碼保護(hù)憑據(jù)（C1=<u1，[M1，k1]pw1，E（s1）>對(duì)于用戶(hù)u1和C2=<u2，[M2，k2] pw2，E（s2）>對(duì)于用戶(hù)u2）委托給公共目錄。

Step1：用戶(hù)u1執(zhí)行以下操作

（1）用戶(hù)u1用他/她的密碼pw1從[M1，k1]pw1恢復(fù)（M1，k1）;

（2）用戶(hù)u1選擇r∈RZq，并通過(guò)計(jì)算s*=E（r）· E（s1）· E（t）隨機(jī)化E（s1）· E（t）;

（3）～（4）與第2.2.3節(jié)的Step1步驟相同;

（5）用戶(hù)u1使用（M1，k1，γ=r-1，u1）上的R-BBS簽名計(jì)算Cmt（ΠR-BBS）={T1，T2，R1，R2，R3}，最后，用戶(hù)u1向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請(qǐng)求。

Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作：

（1）由于El-Gamal的乘法同態(tài)性質(zhì)，服務(wù)器計(jì)算r · s1 · t=D（s*）和B′=br · s1 · t;

（2）～（4）這些操作與第2.2.3節(jié)的Step2步驟相同。

Step3：用戶(hù)u1執(zhí)行以下操作

（1）這些操作與第2.2.3節(jié)的Step3步驟相同;

（2）通過(guò)將NB作為挑戰(zhàn)（即c=NB），用戶(hù)u1計(jì)算Res（ΠR-BBS）={su，sγ，sk，sα，s}如下：su=ru+c · u1，sγ=rγ+c · γ，sk=rk+c · k1，sα=rα+c · α，s=r+c · ，其中=α · k1，然后向服務(wù)器發(fā)送Res（ΠR-BBS）;

（3）用戶(hù)通過(guò)合成共享密鑰sk=H（NA，NB，Yx）來(lái)結(jié)束協(xié)議。

Step4：這些操作與第2.2.3節(jié)的Step4步驟相同。

如果服務(wù)器在以上Step4步驟中中止協(xié)議（即，Res（ΠR-BBS）無(wú)效），攻擊者就會(huì)知道剛剛發(fā)送登錄請(qǐng)求的用戶(hù)是用戶(hù)u1。因此，攻擊者就能得出的結(jié)論：剛剛發(fā)送登錄請(qǐng)求的用戶(hù)是用戶(hù)u1。以上Step4步驟中Res（ΠR-BBS）的無(wú)效性可以從以下不相等性中很容易地檢查出來(lái)，如下：

注：假設(shè)攻擊者用隨機(jī)值t替換[M1，k1]pw1。在用他/她的傳遞字pw1解密t之后，用戶(hù)u1得到一對(duì)（M1′，k1′）。如果用戶(hù)可以檢查M1′?G1或k1′?Zq的格式，用戶(hù)u1可以注意到t不是正確的t并中止身份驗(yàn)證原型。在這種情況下，攻擊者無(wú)法破壞用戶(hù)匿名性。在上述攻擊中，為了保持各數(shù)值格式的一致性，攻擊者僅利用E（ · ）的同態(tài)性將s1的密文隨機(jī)化為E（s1）· E（t）。此攻擊有1%的概率可以成功，并且用戶(hù)u1不能注意到E（s1）的變化，因?yàn)槭苊艽a保護(hù)的憑證不需要任何安全的存儲(chǔ)設(shè)施，并且E（s1）和E（s1）· E（t）同時(shí)具有相同的格式。

3.2? 用戶(hù)鏈接性分析

從以上可以看出，第三方攻擊者只需將密碼保護(hù)憑證C1替換為C1′后，竊聽(tīng)用戶(hù)與服務(wù)器之間的通信，就可以以1%的概率指定用戶(hù)u1和u2。此攻擊表示攻擊者可以鏈接用戶(hù)u1稍后發(fā)送的不同登錄請(qǐng)求。處于第三方攻擊過(guò)程中，有可能是用戶(hù)無(wú)法檢查E（s1）的完整性，同時(shí)服務(wù)器無(wú)法從隨機(jī)化的s*中恢復(fù)s1。以上攻擊同樣適用于RT1001方案中的多用戶(hù)ui（i>2）。例如，如果|ui|=8，并且用戶(hù)執(zhí)行2.2.3的身份驗(yàn)證協(xié)議時(shí)，第三方攻擊者連續(xù)重復(fù)3次攻擊后，可以以1%的概率指定用戶(hù)。

從上面可以看出，RT1001方案無(wú)法提供針對(duì)第三方攻擊者的用戶(hù)匿名性。

4? 本文提出的應(yīng)對(duì)方案

第三方攻擊者發(fā)起的可鏈接性攻擊，如果使用保持完整性的便攜設(shè)備或公共目錄來(lái)存儲(chǔ)用戶(hù)受密碼保護(hù)的憑據(jù)，第三方攻擊者可以輕易發(fā)起可鏈接性攻擊。在這一節(jié)中，我們將給出一個(gè)簡(jiǎn)單有效的對(duì)抗攻擊的對(duì)策：不需要任何安全性的用于存儲(chǔ)用戶(hù)受密碼保護(hù)的憑據(jù)。

4.1? 系統(tǒng)設(shè)置

為了設(shè)置系統(tǒng)參數(shù)，服務(wù)器執(zhí)行以下操作：

（1）將BBS+信號(hào)的公鑰設(shè)置為（W=hχ，h∈G2，a，b，d∈G1），將私鑰設(shè)置為（χ∈Zq）;

（2）將g，g0，G1∈G1作為公共參數(shù);

（3）為ElGamal加密選擇公鑰/私鑰對(duì)，并對(duì)其進(jìn)行加解密分別用E（ · ）和D（ · ）表示;

（4）選擇一個(gè)哈希函數(shù)H：{0，1}*→{0，1}k0和MAC：{0，1}k1×→{0，1}k1，其中k0，k1是適當(dāng)?shù)臄?shù)字。

4.2? 注冊(cè)登記

所有用戶(hù)都需要提前向服務(wù)器注冊(cè)，每個(gè)用戶(hù)都獲得一個(gè)身份驗(yàn)證憑證。服務(wù)器向每個(gè)用戶(hù)ui發(fā)放一個(gè)憑證，這是一個(gè)在用戶(hù)標(biāo)識(shí)ui上簽名的BBS+簽名（Mi，ki，si）。用戶(hù)將密碼保護(hù)的憑證Ci放入他/她的首選存儲(chǔ)目錄，例如，硬盤(pán)、手機(jī)、U盤(pán)或公共設(shè)施/目錄，服務(wù)器在本地存儲(chǔ)所有用戶(hù)ui的密碼保護(hù)憑據(jù)為{Ci}i。

4.3? 認(rèn)證協(xié)議

假設(shè)用戶(hù)ui在登錄時(shí)具有受密碼保護(hù)的憑據(jù)Ci=<ui，[Mi，ki]pwi，E（si）>。下面是用戶(hù)ui和服務(wù)器之間的身份驗(yàn)證協(xié)議。

Step1：用戶(hù)ui執(zhí)行以下操作

（1）用戶(hù)使用他/她的密碼pwi從[Mi，ki]pwi恢復(fù)（Mi，ki）;

（2）用戶(hù)選擇r∈RZq，并通過(guò)計(jì)算s*=E（r）· E（si）隨機(jī)化E（si）;

（3）用戶(hù)選擇x∈RZq并計(jì)算X=gx;

（4）用戶(hù)選擇NA∈R{0，1}k1并計(jì)算=E（NA）;

（5）用戶(hù)使用R-BBS信號(hào)（Mi，ki，γ=r-1（modq），ui）計(jì)算Cmt（ΠR-BBS）;最后，用戶(hù)向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請(qǐng)求。

Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作

（1）服務(wù)器計(jì)算r · si=D（s*），由于ElGamal的乘法同態(tài)性質(zhì)，B=br · si;

（2）服務(wù)器選擇y∈RZq并計(jì)算Y=gy;

（3）服務(wù)器計(jì)算NA=D（）及V=MAC（NA，Y，X）;

（4）服務(wù)器選擇NB∈RZq，并將NB、Y、V發(fā)送回用戶(hù);

（5）服務(wù)器計(jì)算NA=D（）和V=MAC（NA，Y，X，{Ci}i）其中{Ci}i是本地存儲(chǔ)的密碼保護(hù)憑據(jù)（針對(duì)所有用戶(hù)）。

Step3：用戶(hù)ui執(zhí)行以下操作

（1）用戶(hù)驗(yàn)證V，如果無(wú)效則中止;

（2）以NB為例進(jìn)行質(zhì)詢(xún)，用戶(hù)計(jì)算并發(fā)送Res（ΠR-BBS）到服務(wù)器;

（3）用戶(hù)通過(guò)合成共享密鑰s=H（NA，NB，Yx）來(lái)結(jié)束協(xié)議。

Step4：服務(wù)器在驗(yàn)證Res（ΠR-BBS）后計(jì)算s=H（NA，NB，Xy）。

5? 方案驗(yàn)證

同樣，我們假設(shè)兩個(gè)用戶(hù)u1和u2的密碼保護(hù)憑據(jù)（C1 =<u1，[M1，k1]pw1，E（s1）>對(duì)于用戶(hù)u1和C2=<u2，[M2，k2]pw2，E（s2）>對(duì)于用戶(hù)u2）委托給公共目錄。

首先，攻擊者選擇t∈RZq，計(jì)算E（t），然后用C1′=<u1，[M1，k1]pw1，E（s1）· E（t）>替換C1=<u1，[M1，k1]pw1，E（s1）>。下面是服務(wù)器和用戶(hù)u1之間的身份驗(yàn)證協(xié)議，用戶(hù)u1具有C1′=<u1，[M1，k1]pw1，E（s1）· E（t）>。在身份驗(yàn)證協(xié)議中，第三方攻擊者只是在用戶(hù)u1和服務(wù)器之間竊聽(tīng)通信。當(dāng)然，攻擊者不知道哪個(gè)用戶(hù)即將在此協(xié)議中執(zhí)行。

5.1? 驗(yàn)證步驟

Step1：用戶(hù)u1執(zhí)行以下操作

（1）用戶(hù)u1用他/她的密碼pw1從[M1，k1] pw1恢復(fù)（M1，k1）;

（2）用戶(hù)u1選擇r∈RZq，并通過(guò)計(jì)算s*=E（r）· E（s1）· E（t）隨機(jī)化E（s1）· E（t）;

（3）用戶(hù)u1選擇x∈RZq，計(jì)算X=gx;

（4）用戶(hù)u1選擇NA∈R{0，1}k1，計(jì)算=E（NA）;

（5）用戶(hù)u1使用（M1，k1，γ=r-1，u1）上的R-BBS簽名計(jì)算Cmt（ΠR-BBS）={T1，T2，R1，R2，R3}，如下：

最后，用戶(hù)u1向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請(qǐng)求。

Step2：在收到登錄請(qǐng)求后，服務(wù)器執(zhí)行以下操作：

（1）由于El-Gamal的乘法同態(tài)性質(zhì)，服務(wù)器計(jì)算r · s1 · t=D（s*）和B′=br · s1 · t;

（2）服務(wù)器選擇y∈RZq并計(jì)算Y=gy;

（3）服務(wù)器計(jì)算NA=D（）和V=MAC（NA，Y，X，{Ci}i）其中{Ci}i是本地存儲(chǔ)的密碼保護(hù)憑據(jù)（針對(duì)所有用戶(hù)）。

（4）服務(wù)器選擇NB∈RZq，并將NB、Y、V發(fā)送回用戶(hù)。

Step3：用戶(hù)u1執(zhí)行以下操作

（1）用戶(hù)驗(yàn)證V，如果無(wú)效則中止;

（2）以NB為例進(jìn)行質(zhì)詢(xún)，用戶(hù)計(jì)算并發(fā)送Res（ΠR-BBS）到服務(wù)器;

（3）用戶(hù)通過(guò)合成共享密鑰sk=H（NA，NB，Yx）來(lái)結(jié)束協(xié)議。

Step4：服務(wù)器在驗(yàn)證Res（ΠR-BBS）后計(jì)算sk=H（NA，NB，Xy）。

5.2? 用戶(hù)匿名的安全性分析

在以上Step2通過(guò)對(duì)MAC地址使用“用于任意長(zhǎng)度消息的安全CBC-MAC”或HMAC，可以獲得其大小與消息大小無(wú)關(guān)的固定長(zhǎng)度標(biāo)記V。用戶(hù)ui可以通過(guò)驗(yàn)證V來(lái)檢查{Ci}i（包括E（si））的完整性。如果第三方攻擊者對(duì)密碼保護(hù)憑據(jù){Ci}i添加任何修改，則用戶(hù)ui中止協(xié)議。由于V的無(wú)效性（即V≠M(fèi)AC（NA，Y，X，{Ci}i′）不向服務(wù)器發(fā)送Res（ΠR-BBS），因此攻擊者無(wú)法在的攻擊中指定用戶(hù)ui。

6? 結(jié)? 論

雖然上述對(duì)策對(duì)第三方攻擊者發(fā)出的可鏈接性攻擊是有效的，但在用戶(hù)數(shù)量大時(shí)并不實(shí)用。這就是為什么每個(gè)用戶(hù)必須下載所有受密碼保護(hù)的憑據(jù){Ci}i（如果它們被委托給一個(gè)公共目錄），或者必須在本地存儲(chǔ)所有{Ci}i（如果它們被委托給一個(gè)用戶(hù)的便攜式設(shè)備）以便驗(yàn)證V。因此，使RT1001方案安全和有效（即獨(dú)立于用戶(hù)的數(shù)量）將是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。

參考文獻(xiàn)：

[1] 羅遠(yuǎn)哲，劉瑞景，孟小鈺，等.一種匿名認(rèn)證方法及系統(tǒng)：CN112364331A [P].2021-02-12.

[2] 阮鷗，王子豪，張明武.一種高效的匿名口令認(rèn)證密鑰交換協(xié)議 [J].中南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，37（2）：109-113+127.

[3] 胡如會(huì)，張起榮，賀道德.基于雙線性映射直接匿名認(rèn)證方案的改進(jìn) [J].科學(xué)技術(shù)與工程，2018，18（3）：4.

[4] 王震，范佳，成林，等.可監(jiān)管匿名認(rèn)證方案 [J].軟件學(xué)報(bào)，2019，030（006）：1705-1720.

[5] 曹守啟，何鑫，劉婉榮.一種改進(jìn)的遠(yuǎn)程用戶(hù)身份認(rèn)證方案 [J].計(jì)算機(jī)工程與科學(xué)，2021，43（11）：7.

[6] LUO S，HU J，CHEN Z. An Identity-Based One-Time Password Scheme with Anonymous Authentication [C]//2009 International Conference on Networks Security，Wireless Communications and Trusted Computing.Wuhan：IEEE，2009：864-867.

[7] CAMENISCH J，LYSYANSKAYA A. A Signature Scheme with Efficient Protocols [C]//SCN 2002：Security in Communication Networks.Springer，2002：268–289.

[8] YANG Y J，ZHOU J Y，WONG J W，et al. Towards practical anonymous password authentication [C]//ACSAC ‘10：Proceedings of the 26th Annual Computer Security Applications Conference.New York：Association for Computing Machinery，2010：59-68.

[9] PAILLIER P.Public-Key Cryptosystems Based on Composite Degree Residuosity Classes [C]//EUROCRYPT’99.Springer-Verlag，1999：223-238.

[10] AU M H，SUSILO W，MU Y. Constant-size dynamic k –TAA [C]// International Conference on Security and Cryptography for Networks.Springer，2006：111-125.

作者簡(jiǎn)介：陳金木（1985—），男，漢族，福建廈門(mén)人，信息系統(tǒng)項(xiàng)目管理師，實(shí)驗(yàn)師，本科，主要研究方向：計(jì)算機(jī)科學(xué)、軟件技術(shù)、信息安全。