可更新身份可追查的虚拟企业动态认证方案

周 萍，何大可，兰青青

（1.西南交通大学 信息科学与技术学院，四川 成都　610031；2.四川城市职业学院 汽车与信息工程学院，四川 成都　610101）

可更新身份可追查的虚拟企业动态认证方案

周 萍1，2，何大可1，兰青青2

（1.西南交通大学 信息科学与技术学院，四川 成都610031；2.四川城市职业学院 汽车与信息工程学院，四川 成都610101）

现有虚拟企业信任认证方案都没有定期更新功能，且有些不具备身份可追查性，有些不能抵抗合谋攻击，安全性较差。为此，在（t，n）门限秘密共享的基础上提出了一个可定期更新、身份可追查、抗合谋攻击、部分签名可验证的安全性更高的虚拟企业动态认证方案，进行了安全性分析。方案无需可信中心，由群内所有成员共同生成群私钥；可以动态增减成员而无需改变群私钥，减小了方案实施的代价；引入成员的固有公私钥对，实现了抗合谋攻击；通过构建身份追查表、y值吊销表及有效的身份追查协议，实现了签名成员身份的可追查性；方案还能对部分签名进行验证，防止签名成员的不诚实行为。

虚拟企业；可定期更新；合谋攻击；身份可追查性

在公钥密码体制的技术框架下，虚拟企业（Virtual Enterprise，VE）各成员企业认证中心 （Certificate Authority，CA）间的信任交互是VE所有安全问题的基础和前提［1-3］。在此基础上建立的动态信任关系必须具有动态决策属性。如同密码应该定期更换一样，每个企业成员CA的权限值应该是可变的，其密钥和认证证书也应该定期更新［4-6］。同时，当有成员企业加入或退出时，VE成员间的信任关系将发生改变，此时各企业成员所基于的身份信息也应进行相应调整。

对于虚拟企业CA间的认证交互问题，Li等人［7］首次提出了基于虚拟认证中心VCA（Virtual CA）的安全交互模型。在此基础上，刘端阳等人［8］给出了一个突出了盟主地位的改进VCA方案，但因权限分配方式过于固定 （盟主CA分配t-1份，盟员CA分配1份），方案只能适用于一主多从合作模式，且安全性和效率较差。在这两种VCA模型方案的基础上，又有一些改进的虚拟企业交互认证方案被提出。如张文芳等人［9］于2007年提出了基于可变权限集的广义交互认证方案，张亚玲等［10］提出了抗联盟攻击广义虚拟企业认证方案，蒋李等［11］于2010年提出了基于动态信任值的DAA跨域认证机制，张文芳等［12］提出了基于门限RSA签名的安全交互方案，以及方案［13-15］等。

但是，这些方案都没有动态更新功能，即各成员企业CA的子密钥和认证证书一旦生成就永远不变。另外，绝大部分方案也不具备身份可验证性，不能识别某些成员的欺诈认证；有些方案则不能抵抗合谋攻击；有些方案需要盟主CA参加认证，但盟主CA掌握着系统私钥，极易导致权威欺骗，或形成安全性瓶颈和效率瓶颈；有些方案只能适用于一种VE组织模式；有些方案则效率较低。

针对这些缺陷，本文提出了一种可定期更新的、签名者身份可追查的、基于VCA模型的动态交互认证方案。相比于其他方案，本方案不需要盟主CA或可信中心参加；可实现每个成员企业CA的密钥影子和认证证书的定期更新；成员企业可动态加入或退出；具有签名者身份可追查性；可抵抗合谋攻击。方案因此具有更高的安全性能。

1　新的可更新身份可追查的VE动态认证方案

新方案包含VCA创建、VCA更新、证书颁发、成员加入或退出、身份追查和VCA终结6个阶段。

1.1相关定义

p，q分别为1 024位，160位安全大素数，q|（p-1）。g为GF（p）的q阶生成元。

将虚拟企业VE当前可见的合作期限，根据需要划分为T个等长的时间周期，分别为第0，1，…，T-1周期。更新密钥影子和证书的时间点设置为每个周期的开始时刻。

设VE共有m个成员企业（以下简称成员），记第i个成员为Pi（1≤i≤m），约定盟主为P1。

设VE密钥影子的个数为n个（m＜n），t为门限值。

记Ceri，j（τ）为第τ周期的认证证书，i为证书主体，j为证书颁发者。

H：Z*q→Z*q是一个强安全单向散列函数，选择散列种子β∈Z*q，使用递归运算Hk（β）=H（Hk-1（β）），可得到一个单向散列数列H（β），H2（β），…HT（β）。在不知道β的情况下，从Hk（β）无法得到Hk-1（β）的值（计算上不可行）。

记VE的y值吊销数据表为DT。

1.2VCA创建

VCA的创建在第0周期的开始时刻完成。过程如下：

1）所有成员企业共同选择系统参数：安全大素数p，q，满足q|（p-1），g为有限域GF（p）上的阶为q的生成元，h：｛0，1｝*→ Z*q为单向抗强碰撞Hash函数。要求在GF（p）上求解离散对数问题是计算上不可行的。

2）所有成员根据自身的特定组织模式，共同协商确定每个成员Pi（1≤i≤m）的权限集Si的大小|Si|。

盟主建立两个表：y值吊销数据表DT、身份追查数据表DB。初始时两个表均为空。

3）每个成员Pi生成自己的公私钥对（yi，xi）和Si：

Pi再随机选择|Si|个身份信息｛IDk｝，要求任意成员Pi和Pj的身份信息互不相同。Pi公布自己的Si。

4）Pi任选随机数ai∈Z*q，计算自己的单向散列链｛H（αi），H2（αi），…，HT（αi）｝并秘密保存。

5）全部成员使用分布式密钥生成协议，生成VCA密钥：

①每个成员 Pi任选随机数 f（0）i0，f（1）i1…，f（0）i（t-1）∈Z*q，构造一个t-1次多项式f（0）i（x）：

②Pi计算｛（IDk，f（0）i（IDk））|IDk∈Sj｝并秘密发送给Pj（j≠i），为自己计算｛（IDk，f（0）i（IDk））|IDk∈Sj｝。Pj收到后进行有效性验证：

若等式不成立，要求Pi重新发送，否则进行下一步。

其中｛（IDk，d（0）k）|IDk∈Sj｝是 Pi在第 0周期的密钥影子集合，v（0）k是对d（0）k的承诺值。YVCA是VCA公钥，显然f（0）（0）是对应的VCA私钥。Pi公布v（0）k，秘密保存d（0）k。

1.3VCA更新

为了提高系统安全性，防止入侵者有足够时间和样本进行攻击，需要经常地、定期地更新密钥影子和证书。系统更新的目标是：①重构所有成员在新周期内的密钥影子和证书；②保持VCA公钥和私钥不变。

假设在第τ周期（1≤τ≤T-1）的起始时刻，要对所有成员的密钥影子和证书进行更新。过程如下：

1）VE每位成员企业Pi从自己的单向散列链上提取散列值HT-τ（αi），并任选t-2个随机数cik∈Z*q（2≤k≤t-1），构造常数项为0的t-1次多项式：

Pi广播 δ（τ）i（x）的系统承诺值 gHT-τ（αi），gci2，…，gCi（r-1）。

2）每个成员Pi为其他成员Pj（1≤j≤n，j≠i）计算｛δ（τ）i（IDk）| IDk∈Sj｝，并秘密发送给Pj。

3）Pj利用下式对收到的每个δ（τ）i（IDk）进行有效性验证：

若等式成立，接受δ（τ）i（IDk），否则拒绝，要求Pi重新计算。

4）当Pj收到所有成员的有效δ（τ）i（IDk）后，自己也计算δ（τ）j（IDk），再生成新的第 τ周期内的密钥影子｛（IDk，d（τ）k，v（τ）k）| IDk∈Sj｝，公布v（τ）k：

5）VE所有成员Pi用新生成的密钥影子，启动1.4节的证书签发算法，生成所有成员在新周期内的证书。

下面证明VCA公钥和私钥并没有发生变化：

使用数学归纳法，同样可以证明：f（τ）（IDk）=f（τ-1）（IDk）+δ（τ）（IDk）modq

多项式都是t-1次的，而IDk有n个，于是有：f（τ）（x）=f（τ-1）（x）+δ（τ）（x）modq

因此，VCA私钥f（τ）（0）和公钥ff（τ）（0）modp不变，而所有成员的密钥影子d（τ）k=f（τ）（IDk）都已改变。

1.4证书签发

在第τ周期（0≤τ≤T≤-1）的起始时刻，各成员企业Pi分别签发本时间段内的VCA证书和CA证书。

1.4.1VCA证书的签发

VE各成员Pi（也包括盟主）分别签发对VCA的认证证书CerVCA，i（τ）。该证书由VE主要信息、VCA公钥、所有成员的权限集Si等内容组成，保存在Pi的CA的证书库中。

1.4.2CA证书的签发

VCA为各成员Pi颁发证书Ceri，VCA的过程如下：

2）B中所有成员Pu任意选择一个随机数ru∈Z*q，计算Ru=grumodp并在B中广播Ru，将ru秘密保存。

Pi再将｛Mi||h（Mi）｝发送给B的所有其他成员Pu（u≠i），Mi包括Pi认证中心CA的证书公钥及主体信息。

4）Pu（u≠i）收到后，首先用hash函数h（Mi）验证Mi是否完整，如果不完整，要求Pi重新发送。

Pu用自己的固有私钥xu和密钥影子集 ｛（IDk，d（τ）k）|IDk∈Su｝，生成对Mi的部分签名：

Pu向Pi发送部分签名sigu（Mi）。

5）Pi收到后，用（9）式验证sigu（Mi）的有效性：

如果上式不成立，要求Pu重新签名。

6）如果所有部分签名都验证通过，Pi生成自己的部分签名：

Pi利用B中所有成员的部分签名，合成自己的证书Ceri，VCA并公示一段时间：

7）在公示时间段内，VE内所有其它成员均可以用下式验证证书的有效性：

如果验证等式成立，且证书中的y值不在DT表中，则认为该证书有效，否则认为无效并发布一个证书无效质询。如果在公示时间内没有人发布此质询，则为Pi颁发证书Ceri，VCA= ｛Mi‖（y，R，sig（Mi））｝，否则，只要收到一个无效质询，就重新启动Pi证书的签发过程。

1.5成员的动态加入和退出

1.5.1成员加入

当有新成员加入时，只需要为新加入成员生成密钥影子和证书，VE内所有已有成员的密钥影子和证书不需要改变。此时须满足：①VCA公私钥对不会因为新成员的加入而改变；②已有成员的密钥影子不会被泄露；③新成员可以得到自己的密钥影子，并能和已有成员合作生成自己的证书。

当新成员Pu加入时，所有成员共同协商Pu的权限值|Su|。Pu再选择|Su|个不同于已有 IDk的属于自己的身份信息IDul（l=1，2，…，|Su|），以此生成权限集Su=｛IDul｝并公布。

2）针对每个IDul∈Su，重复进行如下操作：

①每个原VE成员Pi任选t个随机数biv∈Zq（0≤v≤t-1）构造一个t-1次多项式：

满足θi（IDul）=0。Pi计算｛θi（IDul）|IDk∈Sj｝并安全地发送给Pj（1≤j≤m，j≠i），同时公布 θi（x）的系数承诺值gbiv（0≤v≤t-1）。

③当来自所有其他成员的θi（IDk）都验证通过后，加上自己的｛θj（IDk）|IDk∈Sj｝，Pj计算临时份额（注：为简单起见，此处略去了时间周期标识τ）：

将｛f′（IDk）|IDk∈Sj｝发送给新成员Pu。

进行了第（1）～（4）步后，Pu得到自己的和IDul相对应的密钥影子dul，公布dul的承诺vul。

3）Pu从其他成员那里得到VCA公钥YVCA。

4）接下来，按照1.3节证书签发算法，为Pu生成证书，并按1.5节VCA更新算法，和大家一起，定期更新Pu的密钥影子和证书。

因此，当有新成员Pu加入时，VE的原所有成员Pi（1≤i≤m），针对Pu的所有IDul，依次进行第2步，得到与IDul对应的密钥影子dul=f（IDul），其他成员的密钥影子仍保持为dk=f （IDk），而不是f′（IDk）。

1.5.2成员退出

当成员Pu退出时（盟主不能退出），需要吊销Pu的证书CerVCA，u、Ceru，VCA，同时将身份追查表DB中的所有包含Pu成员的记录（y，Pu，Pi1，…，Pil）删除，并全部添加到y值吊销数据表DT中。其他成员的密钥影子和证书不受影响。

如果退出成员Pu利用自己掌握的密钥影子，伪造和破坏其他成员间的认证交互，从DT中就可以发现Pu身份，从而在证书公示阶段就被发现证书无效。

1.6身份追查

当证书出Ceri，VCA现问题，有效性被怀疑时，可以追查参与签发Ceru，VCA的所有签名成员的身份：

从证书Ceri，VCA=｛Mi‖（y，R，sig（Mi））｝中得到该证书的y，根据y查找表DB，找到唯一一组签名成员的身份，从而实现了证书的身份可追查性。

1.7VCA终结

虚拟企业终止运行前，各成员Pi（1≤i≤m）只需要分别吊销属于自己的证书Ceri，VCA，CerVCA，i。VCA完成使命，随VE终结。

2　正确性证明和安全性分析

2.1正确性证明

定理1CA证书签发算法中，若成员Pu（Pu∈B且u≠i）正确地生成了Mi的子签名sigu（Mi），则 sigu（Mi）可以通过验证等式（9）。

定理2CA证书签发算法中，如果B中所有成员都生成了有效的部分签名［16］，则由这些部分签名合成的CA证书也是正确的，即可以通过验证等式（12）。

证明由于：

2.2方案的安全性分析

本小节从可定期更新、身份可追查性、抗合谋攻击、抗伪造性、部分签名可验证性几个方面展开对方案的安全性分析。

从方案和离散对数难题出发，易证方案的各项安全性：

定理3方案可实现密钥影子和证书的定期更新。

定理4当事后发生纠纷时，参与签发CA证书的签名成员的身份可以准确地被追查出来，方案因此具有可追查性。

证明 从方案的身份追查算法可知：从证书Ceri，VCA=｛Mi‖（y，R，sig（Mi））｝中可以得到签名组公钥之积y，而表DB中y的值都是唯一的，从DB只能找到与y相对应的唯一一组签名成员的身份，从而实现证书的可追查性。当有成员加入或退出时，表DB也同步更新，因此证书的可追查性不受影响。证毕。

定理5任何攻击者不能假冒成VE成员或其它VE成员提交可通过验证等式（9）的部分签名，也不能假冒签名群B直接生成可通过验证等式（12）的虚假CA证书。

定理6即使拥有t份或更多份密钥影子的恶意成员们合谋（可以是退出成员或非退出成员，包括盟主），也不能伪造其他成员的合法部分签名，同时也不能假冒其他签名群生成有效的CA证书签名。方案因此具有抗合谋攻击性。

定理7方案具有部分签名可验证性

3　结束语

文中提出了一个可更新身份可追查的抗合谋攻击虚拟企业交互认证方案。方案通过定期更新密钥［17］影子和证书，实现了认证的定期更新；通过在部分签名等式中增加成员的固有私钥xi，增强了方案的安全性，实现了抗合谋攻击；通过设立身份追查表DB、y值吊销表DT及有效的身份追查协议，实现了认证成员的身份可追查性；方案还能对部分签名进行验证，防止成员企业的不诚实行为；可以很方便地实现成员企业的动态加入或退出，而其他成员的密钥影子保持不变；方案不要求盟主必须参加，突破了必须由盟主参与带来的效率瓶颈和安全瓶颈。分析表明，新方案具有多种安全优势，可应用在各种不同VE组织模式和对安全性要求更高的领域中。

［1］Davulcu H，Kifer M，et al.Modeling and Analysis of Interactions in Virtual Enterprises：Proceedings of the 9th International Workshop on Research Issues on Data Engineering，Information Technology for Virtual Enterprises，1999［C］// California：IEEE Computer Society Press，1999：12-18.

［2］CHEN Jian，FENG Wei-dong.The construction and management of virtual enterprises［M］.Beijing：Tsinghua University Press，2002.

［3］ZHANG Xumei，HUANG He，LIU Fei.Agile virtual enterprise：the advanced enterprises operation pattern in the 21s century［M］.Beijing：Science Press，2003.

［4］Weise J.Public key infrastructure overview［M］.Santa Clara， California，USA：Sun Microsystems Inc.，2001.

［5］Turnbull J.Cross certification and PKI policy networking. Version 1.1［EB/OL］.（2008）http：//www.entrust.com/resources/ pdf/cross_certification.pdf.

［6］POLK W T.Bridge certification authorities：connecting B2B public key infrastructures［EB/OL］.（2008）http：//csrc.nist.gov/ groups/ST/crypto_apps_infra/docu-ments.

［7］LI B，DAI K Y，ZHANG S S.Virtual Certificate Authority for Virtual Enterprises：Proceedings of the 3rd International Workshop on Advanced Issues of E-commerce and Web-Based Information Systems（WECWIS'01），2001［C］//California：IEEE Computer Society Press，2001：222-224.

［8］刘端阳，潘雪增.虚拟企业的安全交互模型［J］.计算机研究与发展，2003，40（9）：1307-1311.

［9］张文芳，何大可，王小敏.基于可变权限基的广义虚拟企业信任交互方案［J］.计算机集成制造系统，2007，13（5）：1001-1007.

［10］张亚玲，张璟，王晓峰.抗联盟攻击的虚拟企业安全交互认证方案［J］.计算机集成制造系统，2008，14（7）：1410-1416.

［11］蒋李，吴振强，王海燕，等.基于动态信任值的DAA跨域认证机制［J］.计算机工程，2010，36（11）：156-158.

［12］张文芳，王小敏，何大可.一个改进的基于门限RSA签名的虚拟企业安全交互模型［J］.计算机研究与发展，2012，49 （8）：1662-1667.

［13］颜海龙，喻建平，胡强，等.基于信任列表的可信第三方跨域认证模型［J］.信号处理，2012，28（9）：1279-1283.

［14］徐珂，雷聚超，赵建超.抗合谋攻击的多策略虚拟企业交互认证方案［J］.计算机应用研究，2014，31（6）：1856-1859，1873.

［15］张文芳，王小敏，何大可.身份可追查的抗合谋攻击广义虚拟企业信任交互方案［J］.计算机集成制造系统，2010，16 （7）：1558-1567.

［16］严琳，卢忱.基于快速标量乘算法的椭圆曲线数字签名方案［J］.电子科技，2014（4）：23-26.

［17］王世志，马紫宁.基于混合密钥数字签名在移动OA系统的研究［J］.电子科技，2016（2）：167-168.

Updatable and identity traceable interactive authentication scheme for virtual enterprises

ZHOU Ping1，2，HE Da-ke1，LAN Qing-qing2
（1.College of Information Science&Technology，Southwest Jiaotong University，Chengdu 610031，China；2.College of Automobile and Information Engineering，Urban Vocational College of Sichuan，Chengdu 610101，China）

There were several interactive authentication schemes for Virtual Enterprise（VE），but none of them could regularly update，and some couldn't trace the members'identities，some couldn't resist conspiracy attacks，so their safety were low.Based on（t，n）threshold secret sharing，a regular updatable conspiracy attack immune interactive authentication scheme for VE with identity traceability and partial signatures verifiability was proposed，and its security analysis had been done.In the new scheme，all of the group members generate together the group's private key and at least t members can generate certificate，members are allowed to join or leave without changing the group's private key which reduces the implementation cost，the conspiracy attack immune property was obtained by introducing signers'inherent public keys and private keys，and the traceability was realized by constructing identity tracking table and effective identity tracking protocol，meanwhile the new scheme could verify partial signatures'correctness which can prevent the signers dishonesty.

virtual enterprise；regular updatable；conspiracy attack；identity traceable

TN393.08

A

1674－6236（2016）09-0088-05

2015-12-14稿件编号：201512152

国家自然科学基金（61003245，60903202）；四川省教育厅2013年度科研项目（13ZB0483）；四川省教育厅2014年度科研项目（14ZA0346，SCJG2014-741）

周萍（1968—），女，湖北宜都人，博士，教授。研究方向：信息安全、密码学。