專利名稱:用于在不泄露身份的情況下建立信任的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明的各種實(shí)施方案一般屬于安全通信領(lǐng)域�。更具體地����,至少本發(fā)明的一種實(shí)施方案涉及使得第一設(shè)備能夠向第二設(shè)備證明它具有合法的簽名,而不必泄露所述簽名����。
背景技術(shù):
在很多現(xiàn)代通信系統(tǒng)中,包括計(jì)算機(jī)網(wǎng)絡(luò)在內(nèi)�����,被交換信息的可靠性和安全性是一件很重要的事情。
例如�����,在可信(trusted)計(jì)算平臺(tái)聯(lián)盟(TCPA)模型中��,每臺(tái)計(jì)算機(jī)(PC)都具有被稱為可信平臺(tái)模塊(TPM)的可信硬件設(shè)備��。在一種實(shí)現(xiàn)方案中����,TPM可以記錄有關(guān)PC的軟件和硬件環(huán)境的信息���。每個(gè)TPM都具有唯一的背書(shū)密鑰(EK)����。有一個(gè)證書(shū)被發(fā)給EK����,它包含了有關(guān)TPM和平臺(tái)的信息。當(dāng)一個(gè)外部方(此后被稱為挑戰(zhàn)者(challenger))想要了解PC的軟件和/或硬件環(huán)境時(shí)�����,該挑戰(zhàn)者可以讓TPM給出報(bào)告。挑戰(zhàn)者想要確信所述報(bào)告真的來(lái)自合法的TPM�。PC的所有者想要保持盡可能多的保密性(privacy)。具體地說(shuō)�����,PC的所有者想要能夠向兩個(gè)不同的挑戰(zhàn)者給出報(bào)告�,而這些挑戰(zhàn)者又不能確定這些報(bào)告來(lái)自同一個(gè)TPM。
由TCPA提出的一種解決方案是建立可信第三方(TTP)��。TPM將會(huì)創(chuàng)建一個(gè)證明身份密鑰(AIK)����,并將會(huì)把由EK簽名的證書(shū)請(qǐng)求中的密鑰的公共部分發(fā)送到TTP。TTP將會(huì)檢查EK是合法的�����,簽名是完好的��,并且將會(huì)為AIK發(fā)出證書(shū)�����。TPM然后將會(huì)在從挑戰(zhàn)者接收到請(qǐng)求后使用AIK和TTP的證書(shū)���。這些都將和EK無(wú)關(guān)���,因此挑戰(zhàn)者不會(huì)獲得有關(guān)EK的任何信息���。這種方法的問(wèn)題在于它需要建立TTP�。實(shí)際中,識(shí)別可用作TTP的各方以及用于這種方法的可行商業(yè)模型已經(jīng)證明是實(shí)質(zhì)性的障礙���。
因此�����,在TCPA體系結(jié)構(gòu)中需要TTP一直是個(gè)問(wèn)題���。然而,尚未有人提出一種無(wú)需使用TTP而實(shí)現(xiàn)匿名和安全要求的密碼協(xié)議�。
圖1圖示了根據(jù)本發(fā)明的實(shí)施方案可以實(shí)現(xiàn)直接證明方案的系統(tǒng)。
圖2是圖示了根據(jù)本發(fā)明的一種實(shí)施方案包括可信平臺(tái)模塊的平臺(tái)的一種實(shí)施方案的框圖���。
圖3圖示了根據(jù)本發(fā)明的一種實(shí)施方案����,在制造過(guò)程中建立TPM的過(guò)程。
圖4圖示了為根據(jù)本發(fā)明的一種實(shí)施方案而制造的每個(gè)平臺(tái)所執(zhí)行的建立過(guò)程�����。
圖5圖示了根據(jù)本發(fā)明的一種實(shí)施方案����,供一個(gè)平臺(tái)(證明者(prover))向挑戰(zhàn)者證明它知道驗(yàn)證信息,而不用泄露這一信息的交互證明方法�。
圖6是圖示了在挑戰(zhàn)者和平臺(tái)之間實(shí)現(xiàn)圖5的交互證明(IP1)的一種方法的流程圖。
圖7是圖示了在挑戰(zhàn)者和平臺(tái)之間實(shí)現(xiàn)圖5的交互證明(IP2)的一種方法的流程圖�����。
圖8圖示了根據(jù)本發(fā)明的一種實(shí)施方案�����,如何在有限數(shù)量的輪次中實(shí)現(xiàn)直接證明���,從而加速驗(yàn)證過(guò)程�。
具體實(shí)施例方式
在對(duì)本發(fā)明各實(shí)施方案的以下詳細(xì)描述中��,闡述了很多具體的細(xì)節(jié),以提供對(duì)本發(fā)明一種或多種實(shí)施方案的各個(gè)方面的完整理解����。然而,在沒(méi)有具體細(xì)節(jié)的情況下也可以實(shí)現(xiàn)本發(fā)明的一種或多種實(shí)施方案�����。此外�����,沒(méi)有詳細(xì)描述公知的方法�、過(guò)程和/或組件�����,以免不必要地模糊了本發(fā)明的各個(gè)實(shí)施方案����。
在以下描述中,使用某些術(shù)語(yǔ)來(lái)描述本發(fā)明的一種或多種實(shí)施方案的某些特征����。例如,“平臺(tái)”包括任何類型的設(shè)備、計(jì)算機(jī)����、處理單元等。術(shù)語(yǔ)“挑戰(zhàn)者”是指在向請(qǐng)求者透露或者提供所請(qǐng)求的信息之前��,向所述請(qǐng)求者請(qǐng)求對(duì)可靠性或權(quán)限進(jìn)行某種檢驗(yàn)的任何個(gè)人�����、平臺(tái)��、系統(tǒng)�����、軟件和/或設(shè)備���。術(shù)語(yǔ)“證明者”(例如證明者設(shè)備)是指已被請(qǐng)求對(duì)其權(quán)限(authority)����、合法性(validity)和/或身份(identity)提供某種證明的任何個(gè)人���、平臺(tái)�����、系統(tǒng)�����、軟件和/或設(shè)備���。術(shù)語(yǔ)“設(shè)備制造者”(例如設(shè)備制造者C)是指制造或者配置一個(gè)設(shè)備或平臺(tái)(例如可信平臺(tái)模塊)的任何個(gè)人���、平臺(tái)、系統(tǒng)����、實(shí)體���、軟件和/或設(shè)備����。術(shù)語(yǔ)“設(shè)備制造者”可以與術(shù)語(yǔ)“證實(shí)(verifying)制造者”互換使用����。術(shù)語(yǔ)“HASH”是指任何散列函數(shù)或算法或其等同物。
在下面討論的對(duì)本發(fā)明各種實(shí)施方案的描述和圖示中,系數(shù)���、變量以及其他符號(hào)用相同的標(biāo)號(hào)或名稱來(lái)表示���。因此,當(dāng)一個(gè)符號(hào)(例如h)出現(xiàn)在不同的解釋部分中時(shí)�����,在全篇中指的是同一符號(hào)��。
本發(fā)明的一種實(shí)施方案的一個(gè)方面提供了在不使用可信第三方(TTP)的情況下�,向驗(yàn)證系統(tǒng)提供設(shè)備的匿名的方式。
本發(fā)明的一種實(shí)施方案的一個(gè)方面提供了向挑戰(zhàn)者證明一個(gè)證實(shí)平臺(tái)或設(shè)備具有來(lái)自設(shè)備制造者的簽名�,而不用向挑戰(zhàn)者泄露所述簽名的方法、系統(tǒng)和設(shè)備�。
本發(fā)明的一種實(shí)施方案的另一方面提供了向挑戰(zhàn)者提供證明者設(shè)備(例如,發(fā)出請(qǐng)求的設(shè)備)所持有的秘密的單向函數(shù)(one-wayfunction)的結(jié)果���,并且向挑戰(zhàn)者證明在所述單向函數(shù)中使用的秘密已經(jīng)被簽上了設(shè)備簽名���,而不用將所述秘密或簽名泄露給挑戰(zhàn)者的方法、系統(tǒng)和設(shè)備�����。
使用在這里,“證明(prove)”或者“使挑戰(zhàn)者相信”證明者具有或者知道簽名或秘密意味著基于透露給挑戰(zhàn)者的信息和證明����,非常在概率上有可能(probabilistically likely)證明者具有所述簽名或秘密。向挑戰(zhàn)者證明這一情況����,而不用向挑戰(zhàn)者“泄露”或“透露”簽名或秘密意味著基于透露給挑戰(zhàn)者的信息,要確定所述簽名或秘密在計(jì)算上是不可行的(computationally infeasible)�����。
這樣的證明此后被稱為直接證明����。術(shù)語(yǔ)“直接證明”是指交互證明和/或零知識(shí)證明,這些類型的證明在本領(lǐng)域中是公知的���。
圖1圖示了其中可以實(shí)現(xiàn)根據(jù)本發(fā)明一種實(shí)施方案的直接證明方案的系統(tǒng)。平臺(tái)A102(挑戰(zhàn)者)請(qǐng)求平臺(tái)B 104(證明者)提供有關(guān)其自身的一些信息��,并且平臺(tái)B 104提供所述所請(qǐng)求的信息�����。然而,平臺(tái)A 102想要確認(rèn)所請(qǐng)求的信息是來(lái)自由設(shè)備制造者C制造的設(shè)備�。因此,平臺(tái)A 102對(duì)平臺(tái)B 104發(fā)出挑戰(zhàn)����,讓平臺(tái)B 104表明它具有設(shè)備制造者C所生成的簽名。平臺(tái)B 104通過(guò)提供使平臺(tái)A 102相信平臺(tái)B 104具有設(shè)備制造者C所生成的簽名來(lái)對(duì)這樣的請(qǐng)求做出應(yīng)答�,而不用泄露所述簽名的信息。
在本發(fā)明的一種實(shí)施方案中�,平臺(tái)B 104可以包括可信平臺(tái)模塊(TPM)106。它是由設(shè)備制造者所制造的���,使得它執(zhí)行這一發(fā)明所需的功能�,并且遵守這里所描述的協(xié)議的操作����。總地來(lái)說(shuō)����,TPM應(yīng)當(dāng)被制造為保持這里所描述的安全特性。例如�����,在下面進(jìn)行描述并且在圖6中圖示的協(xié)議IPl中,TPM使用指定的值來(lái)執(zhí)行指定的功能���。TPM應(yīng)當(dāng)被制造或配置為使用不會(huì)在協(xié)議中產(chǎn)生安全缺陷(例如����,使得設(shè)備的身份有可能被確定�����,等等)的值(例如��,上面所指定的值)�����。
圖2是圖示了根據(jù)本發(fā)明一種實(shí)施方案的�����、具有可信平臺(tái)模塊(TPM)204的設(shè)備或平臺(tái)200(例如平臺(tái)B 104)的一種實(shí)施方案的框圖����。設(shè)備200可以包括耦合到TPM 204的處理單元202。在一種實(shí)現(xiàn)方式中��,存儲(chǔ)設(shè)備206也可以被包括在設(shè)備200中���,從而允許存儲(chǔ)有關(guān)設(shè)備200的信息(例如硬件信息��、軟件信息等)����。在本發(fā)明的各種實(shí)現(xiàn)方式中�,平臺(tái)或設(shè)備200可以是諸如計(jì)算機(jī)、移動(dòng)設(shè)備等的電子設(shè)備����。
圖3圖示了根據(jù)本發(fā)明的一種實(shí)施方案,為每個(gè)平臺(tái)類(platform class)所執(zhí)行的建立過(guò)程��。一個(gè)平臺(tái)類可由設(shè)備制造者定義為包括一種或多種類型的平臺(tái)或設(shè)備���。例如���,一個(gè)平臺(tái)類可以是具有相同的安全相關(guān)信息的所有平臺(tái)的集合。每個(gè)平臺(tái)都具有一組有關(guān)該平臺(tái)的安全相關(guān)信息���。這一信息可能包含了被包括在TCPA模型中的EK或AIK證書(shū)中的信息的一部分�。它還可能包括特定平臺(tái)或設(shè)備的制造者號(hào)和型號(hào)。
對(duì)于每個(gè)平臺(tái)類��,設(shè)備制造者都創(chuàng)建該制造者為這一平臺(tái)類所使用的密碼參數(shù)����。設(shè)備制造者創(chuàng)建一個(gè)簽名密鑰(signature key),它使用該簽名密鑰來(lái)簽名它所制造的設(shè)備(例如設(shè)備200)的秘密����。
在本發(fā)明的一種實(shí)施方案中,設(shè)備制造者采用RSA算法(由Ronald Rivest����、Adi Shamir和Leonard Adelman定義的公鑰密碼系統(tǒng)),利用公共模數(shù)n�����、公共指數(shù)d和私有指數(shù)e來(lái)創(chuàng)建RSA公鑰����、私鑰(public key,private key)對(duì)(在302中)。這可以使用公知的方法來(lái)創(chuàng)建���,例如在由Bruce Schneier,John Wiley & Sons出版的《應(yīng)用密碼學(xué)》第2版(1995年10月18日��,ISBN0471117099)中所描述的方法�����。模數(shù)n應(yīng)當(dāng)被選定得足夠大��,使得它對(duì)因數(shù)n在計(jì)算上是不可行的����。
在304中設(shè)備制造者指定參數(shù)Z,這是一個(gè)位于0和n之間的整數(shù)���。
在306中設(shè)備制造者指定安全參數(shù)W����,這是一個(gè)位于0和n之間的整數(shù)�。然而,將W挑選得過(guò)小或過(guò)大都會(huì)導(dǎo)致安全性問(wèn)題�。在一種實(shí)現(xiàn)方式中,可以建議將W選定在2160和n/2160之間。因此����,將W選定為約等于 可能是一個(gè)合理的選擇。
在本發(fā)明的一種實(shí)施方案中��,設(shè)備制造者計(jì)算出一個(gè)質(zhì)數(shù)P��,使得P=u*n+1(在308中)�。除了u*n+1是一個(gè)質(zhì)數(shù)外,u的值沒(méi)有什么特殊的�����。例如���,可以使用最小的這種u值�����。一般地����,P值應(yīng)當(dāng)足夠大�,使得計(jì)算離散的對(duì)數(shù)mod P在計(jì)算上是不可行的�。
設(shè)備制造者生成平臺(tái)類證書(shū)���,該證書(shū)包括密碼參數(shù)e�、n�����、u��、P���、Z、W�,該平臺(tái)類的安全相關(guān)信息,以及所述設(shè)備制造者的名稱(在310中)��。在一種實(shí)施方案中���,參數(shù)u和P兩者不會(huì)全都包括進(jìn)來(lái)�,這是因?yàn)榻o定了n和這兩個(gè)參數(shù)之一后�����,另一個(gè)參數(shù)可以通過(guò)P=u*n+1計(jì)算出來(lái)。
在本發(fā)明的一種實(shí)施方案中���,設(shè)備制造者對(duì)幾個(gè)不同的平臺(tái)類使用相同的e�����、n�����、u�、P����、W,針對(duì)不同的平臺(tái)只是改變Z值而已���。在這種情形下���,Z的值應(yīng)當(dāng)被選定為相差至少4W。
一旦生成了平臺(tái)類證書(shū)��,設(shè)備制造者就將所述類證書(shū)提供給它所制造的�����、屬于那一特定平臺(tái)類的設(shè)備(在312中)。
在不偏離本發(fā)明的一種或多種實(shí)施方案的情況下����,可以用多種方式完成平臺(tái)類證書(shū)從證明者設(shè)備或平臺(tái)(例如圖1中的平臺(tái)A)到挑戰(zhàn)者的分發(fā)。這些密碼參數(shù)(即平臺(tái)類證書(shū))應(yīng)當(dāng)以下列方式被分發(fā)給挑戰(zhàn)者�����,所述方式要使得挑戰(zhàn)者相信所述類證書(shū)是由設(shè)備制造者生成的��。有多種廣為采用的標(biāo)準(zhǔn)方法來(lái)通過(guò)直接向挑戰(zhàn)者分發(fā)所述參數(shù)�,或者通過(guò)讓證實(shí)機(jī)構(gòu)來(lái)簽名所述平臺(tái)類證書(shū)而完成這項(xiàng)工作����。在后一種情形中,證實(shí)機(jī)構(gòu)的公鑰必須被分發(fā)給挑戰(zhàn)者����,并且已簽名的平臺(tái)類證書(shū)可被提供給所述平臺(tái)類中的每個(gè)設(shè)備或平臺(tái)(例如證明者設(shè)備)。然后所述設(shè)備可以將已簽名的平臺(tái)類證書(shū)提供給挑戰(zhàn)者�。
圖4圖示了為根據(jù)本發(fā)明的一種實(shí)施方案而制造的證明者平臺(tái)或設(shè)備所執(zhí)行的建立過(guò)程。證明者設(shè)備選定一個(gè)隨機(jī)數(shù)m���,使得0<m-Z<W(在402中)�����。證明者設(shè)備可以在將這個(gè)隨機(jī)數(shù)m發(fā)送給證實(shí)制造者以獲得簽名前�,將它隱蔽起來(lái)(在404中)。在這種情形下��,證明者設(shè)備在1和n-1之間選定一個(gè)隨機(jī)數(shù)B(在406中)�����,并且計(jì)算A=Bemodn(在408中)���。證明者設(shè)備計(jì)算m′=m*A mod n(在410中)�。
如果所述設(shè)備沒(méi)有將m隱蔽起來(lái)��,則該設(shè)備使用m′=m和A=1(在412中)���。
證明者設(shè)備將m′發(fā)送給證實(shí)制造者(在414中)�����。證實(shí)制造者計(jì)算c′=m′dmod n(在416中)�,并且將c′提供給所述設(shè)備(在418中)。所述設(shè)備計(jì)算c=c′*B-1mod n(在420中)����。注意,這意味著c=mdmod n�����。然后數(shù)字c和m被存儲(chǔ)在TPM中(在422中)�����。c和m構(gòu)成的對(duì)被稱為設(shè)備制造者的簽名�。
圖5圖示了根據(jù)本發(fā)明的一種實(shí)施方案,證明者設(shè)備向挑戰(zhàn)者證明它具有來(lái)自證實(shí)制造者的簽名��,而不用泄露所述簽名的方法�����。挑戰(zhàn)者(例如平臺(tái)A 102)可以發(fā)送消息���,向具有TPM的證明者設(shè)備索要(seeking)合法性(例如,確認(rèn)該設(shè)備的合法性)(在502中)�。這個(gè)消息可以包含挑戰(zhàn)者的名稱��。證明者設(shè)備將包括數(shù)字n的設(shè)備證書(shū)(例如平臺(tái)類證書(shū))發(fā)送給挑戰(zhàn)者(在504中)�。證明者設(shè)備中的TPM創(chuàng)建AIK私鑰-公鑰對(duì)(在506中)�����。所述私鑰-公鑰對(duì)包括公鑰和私鑰���。在一種實(shí)施方案中,TPM可能已在早些時(shí)候創(chuàng)建了AIK私鑰-公鑰對(duì)�����。TPM創(chuàng)建或生成值h(在508中)����。可以用多種方式來(lái)確定值h,包括隨機(jī)地生成值h���,以及按照確定的方式來(lái)生成值h���。h值應(yīng)當(dāng)具有以下性質(zhì),即hn=1 mod P��,并且TPM為每個(gè)挑戰(zhàn)者使用不同的h值���。
在本發(fā)明的一種實(shí)施方案中���,可以以隨機(jī)或偽隨機(jī)的方式生成值h。例如���,TPM可以在1和n-1之間選擇一個(gè)隨機(jī)數(shù)j����,并且計(jì)算h=j(luò)umod P���。
TPM計(jì)算k值,k=hmmod P(在510中)����。證明者設(shè)備然后向挑戰(zhàn)者發(fā)送計(jì)算出的值h和k以及AIK公鑰(在512中)�����。
在本發(fā)明的另一種實(shí)施方案中�,可以用確定的方式生成值h����。例如,TPM可以由挑戰(zhàn)者的名稱�,以確定的方式來(lái)計(jì)算h。這樣做的一種方法就是針對(duì)幾個(gè)值計(jì)算Hi=HASH(i�,挑戰(zhàn)者的名稱),其中的幾個(gè)值例如是i=1��,2��,3…��,10的10個(gè)值�����,然后令j=H1‖H2‖H3…‖H10的級(jí)聯(lián)(concatenation)����。然后����,如上所述�,TPM計(jì)算h=j(luò)umod P,其中u如前面定義的u=(P-1)/n����。TPM計(jì)算k值,k=hmmod P��。證明者設(shè)備然后向挑戰(zhàn)者發(fā)送計(jì)算出的值k以及AIK公鑰���。TPM的用戶想要確保單個(gè)h不由多方使用��,因?yàn)檫@將會(huì)破壞這個(gè)TPM與這些多方之間的匿名關(guān)系�����。因此����,TPM或者證明者設(shè)備可能會(huì)保存它已使用的所有h值的列表��,從而它能夠禁止重復(fù)使用����,或者至少能通知用戶一個(gè)值是否被重復(fù)。在本發(fā)明的一種實(shí)現(xiàn)方式中��,證明者設(shè)備還可以顯示挑戰(zhàn)者的名稱���,使得證明者設(shè)備的用戶將會(huì)知道該名稱��。在這種實(shí)施方案中����,挑戰(zhàn)者確信對(duì)于每個(gè)TPM密鑰�����,TPM在證明中所能具有的只有一個(gè)k=hmmod P����。所以如果挑戰(zhàn)者連同AIK一起存儲(chǔ)了k,那么挑戰(zhàn)者可以確信單個(gè)TPM未曾創(chuàng)建一個(gè)以上的AIK���。這種方法可以被稱為每個(gè)挑戰(zhàn)者單個(gè)h的方法�。
單個(gè)服務(wù)提供者可能建立多個(gè)挑戰(zhàn)者,每一個(gè)都具有自己的名稱��,因而具有自己的h�。不同的挑戰(zhàn)者將無(wú)法將來(lái)自一個(gè)TPM的多個(gè)AIK關(guān)聯(lián)起來(lái)。是否在其事務(wù)內(nèi)允許有多個(gè)挑戰(zhàn)者�,這是由服務(wù)提供者在實(shí)現(xiàn)當(dāng)中來(lái)決定的。
然后���,證明者設(shè)備進(jìn)行和挑戰(zhàn)者之間的交互證明(IPl)(在514中)�����,該證明IPl的內(nèi)容是它知道一對(duì)值c和m�����,這對(duì)值滿足m=cemod n和k=hmmod P�����。證明者設(shè)備還進(jìn)行在第二交互證明(IP2)中與挑戰(zhàn)者之間的交互證明�,所述第二交互證明指示出以h為底k的離散對(duì)數(shù)值位于Z和Z+W之間(在516中)����。圖6和7給出了這兩個(gè)交互證明IP1和IP2的示例性實(shí)施方案��。
圖6是圖示了在挑戰(zhàn)者和證明者設(shè)備之間根據(jù)本發(fā)明的一種實(shí)施方案實(shí)現(xiàn)圖5的交互證明IP1的一種方法的流程圖�����。IP1可被用來(lái)證明TPM知道c和m值,其滿足m=cemod n和k=hmmod P����,而不用TPM(證明者設(shè)備的一部分)泄露c或m。挑戰(zhàn)者向證明者設(shè)備提供保證參數(shù)(AP)����,例如在10和40之間的值(在602中)。然后TPM隨機(jī)地選擇一個(gè)值x mod n(在604中)����。TPM計(jì)算y值,使得x*y=c mod n�����,并且計(jì)算v值���,使得v=h(xe mod n)mod P(在608中)����。TPM將v值發(fā)送給挑戰(zhàn)者(在610中)。TPM計(jì)算HASH(AIK公鑰����,x)和HASH(AIK公鑰,y)的值(在611中)���。然后挑戰(zhàn)者選擇接收x或y之一(在612中)�。如果挑戰(zhàn)者選擇接收x����,則TPM將x發(fā)送給挑戰(zhàn)者(在614中)。挑戰(zhàn)者檢驗(yàn)v=h(xe mod n)mod P并且檢驗(yàn)HASH(AIK公鑰���,x)已被正確發(fā)送(在616中)��。否則��,如果挑戰(zhàn)者選擇接收y(在618中)����,則TPM將y發(fā)送給挑戰(zhàn)者�,并且挑戰(zhàn)者檢驗(yàn)k=h(ye mod n)mod P并且檢驗(yàn)HASH(AIK公鑰�����,y)已被正確發(fā)送(在620中)���。在本發(fā)明的一種實(shí)施方案中,這個(gè)檢驗(yàn)方案被執(zhí)行AP次(在622中)�。
圖7是圖示了在挑戰(zhàn)者和證明者設(shè)備之間根據(jù)本發(fā)明的一種實(shí)施方案實(shí)現(xiàn)圖5的交互證明IP2的一種方法的流程圖����。IP2可被用來(lái)證明TPM知道m(xù)值,滿足Z-W<m<Z+2*W以及k=hmmod P�����,而無(wú)需TPM泄露m���。
挑戰(zhàn)者向證明者設(shè)備提供保證參數(shù)(AP)���,例如在10和40之間的值(在701中)。TPM(證明者設(shè)備的一部分)隨機(jī)地選擇一個(gè)數(shù)t�,滿足0<t<W(在702中)。TPM計(jì)算g0=htmod P(在704中)以及g1=g0*h(-w)mod P(在706中)�。TPM生成兩個(gè)隨機(jī)的160位值R0和R1(在708中)�,計(jì)算H0=HASH(AIK公鑰��,g0����,R0)以及H1=HASH(AIK公鑰,g1�,R1)(在710中),并且按隨機(jī)順序?qū)0和H1發(fā)送給挑戰(zhàn)者(在712中)����。
挑戰(zhàn)者從兩個(gè)選擇中挑選一個(gè),例如0或1選擇�。
如果挑戰(zhàn)者挑選0選擇,則TPM將t��、R0��、R1以及H0和H1的排序發(fā)送給挑戰(zhàn)者(在716中)��。挑戰(zhàn)者計(jì)算g0=htmod P和g1=h(t-W)mod P(在718中)�����。挑戰(zhàn)者檢查0<t<W(在720中)。挑戰(zhàn)者還檢查H0=HASH(AIK公鑰���,g0��,R0)以及H1=HASH(AIK公鑰�,g1��,R1)(在722中)��。如果所有這些檢查都通過(guò)的話��,挑戰(zhàn)者接受(在724中)����。
如果挑戰(zhàn)者挑選1選擇�,那么如果m+t處于Z和Z+W之間的話(在726中),則TPM發(fā)送m′=m+t�、g0和R0(在728中),并且通知挑戰(zhàn)者使用H0�。挑戰(zhàn)者檢查H0=HASH(AIK公鑰,g0����,R0),m′處于Z和Z+W之間的區(qū)間中,以及g0*k=hm′mod P(在730中)�。如果m+t>Z+W,則TPM發(fā)送m′=m-W+t����、g1和R1(在732中),并且通知挑戰(zhàn)者使用H1�。挑戰(zhàn)者檢查H1=HASH(AIK公鑰,g1�,R1),Z<m′<Z+W�,以及g1*k=hm′mod P(在734中)。如果以上檢查全都通過(guò)的話����,挑戰(zhàn)者接受(在724中)。
在IP2的一種實(shí)施方案中���,以上過(guò)程被重復(fù)AP次(在723中)����。注意�,如圖6中的標(biāo)號(hào)622處一樣重復(fù)IP1的過(guò)程,和/或如圖7中的標(biāo)號(hào)723處一樣重復(fù)IP2的過(guò)程����,將使得未經(jīng)授權(quán)的或欺騙性的證明者成功地向挑戰(zhàn)者提供充分證明的可能性更低����。也就是說(shuō)��,重復(fù)證明(例如IP1或IP2)AP次迫使證明者在每一輪都要成功��,這只有2AP分之一的機(jī)會(huì)����。
在TPM已經(jīng)成功地完成上述IP1和IP2過(guò)程后,挑戰(zhàn)者相信證明者設(shè)備/TPM知道m(xù)和c值���,這兩個(gè)值滿足Z-W<m<Z+2*W并且c=mdmod n�����。換言之,c是m的簽名����。對(duì)于所述區(qū)間中給定的值計(jì)算出m的簽名,這等同于破壞了RSA��。在不知道模數(shù)n的因數(shù)分解的情況下計(jì)算出所述區(qū)間中的任何值的簽名,這是一項(xiàng)困難的計(jì)算問(wèn)題����。
在圖6和7中描述的協(xié)議具有以下不足,即在TPM(證明者設(shè)備)和挑戰(zhàn)者之間需要多輪次通信�����。然而����,在本發(fā)明的另一種實(shí)施方案中,這些協(xié)議可以被轉(zhuǎn)換成有限輪次的協(xié)議����。
圖8圖示了根據(jù)本發(fā)明的一種實(shí)施方案,如何在有限數(shù)量的通信中實(shí)現(xiàn)直接證明����,從而加速驗(yàn)證過(guò)程。TPM生成AIK私鑰-公鑰對(duì)�����,其包括AIK公鑰和AIK私鑰�,并且將AIK公鑰(或者只是AIK公鑰的HASH)發(fā)送給挑戰(zhàn)者(在802中)��。挑戰(zhàn)者選擇保證參數(shù)(AP)(在804中)���,選擇一組2*AP個(gè)隨機(jī)位(CHOICES)(在806中),并且選擇320個(gè)隨機(jī)位的附加隨機(jī)填充位(在808中)���。然后����,挑戰(zhàn)者設(shè)置RAND=CHOICES‖隨機(jī)填充位(在810中)�����,計(jì)算出Commitment=(AIK公鑰‖RAND)���,并且將Commitment的HASH發(fā)送給TPM��,TPM將該值存儲(chǔ)起來(lái)(在812中)���。
TPM使用上述方法之一來(lái)確定與這個(gè)挑戰(zhàn)者之間使用的h值,即或者使用隨機(jī)方法生成h�,或者在每個(gè)挑戰(zhàn)者單個(gè)h的方法中由挑戰(zhàn)者的名稱生成h(在818中)�����。
不再如圖6和7中所示地一次串行地計(jì)算出一個(gè)循環(huán)的值,TPM現(xiàn)在對(duì)于兩個(gè)交互證明(IP1和IP2)生成所述方法所有輪次(循環(huán))的所有計(jì)算結(jié)果�����,并且將為所有輪次計(jì)算出的所有值都發(fā)送給挑戰(zhàn)者(在820中)�����。這組計(jì)算出的值將包括k���,h��;由每一輪次的IP1得到的v�,HASH(AIK公鑰�,x)和HASH(AIK公鑰,y)���;以及由每一輪次的IP2得到的H0和H1�。然后��,挑戰(zhàn)者將RAND的值發(fā)送給TPM(在822中)���。TPM檢驗(yàn)Commitment的初始位是AIK公鑰的hash�����,并且將RAND的初始2*AC位用作挑戰(zhàn)者在協(xié)議期間的選擇(在824中)����。TPM基于這些選擇準(zhǔn)備所有輪次的響應(yīng),然后將所有這些響應(yīng)發(fā)送回挑戰(zhàn)者��。
在有限通信版本的一種實(shí)施方案中�,HASH(AIK公鑰,x)和HASH(AIK公鑰�����,y)不被發(fā)送給挑戰(zhàn)者�����。類似地��,H0的值是H0=HASH(g0��,R0)而不是H0=HASH(AIK公鑰���,g0����,R0)���,并且H1的值是H1=HASH(g1�,R1)而不是H1=HASH(AIK公鑰�����,g1��,R1)���。
在某些實(shí)現(xiàn)方式中�,如果確定或懷疑TPM或其密鑰已被損害(compromised)�,則可能期望允許挑戰(zhàn)者廢止該TPM。
挑戰(zhàn)者可以確定證明者設(shè)備的TPM已被損害的一個(gè)實(shí)例是用于受損害TPM的密鑰(c和m)可能被廣泛地散步����,例如萬(wàn)維網(wǎng)上的公布(posting)。在這種情況下��,挑戰(zhàn)者可以廢止該TPM。例如�����,假設(shè)c0和m0是受損害TPM的已被公布的密鑰����。無(wú)論何時(shí)挑戰(zhàn)者看到了h值,挑戰(zhàn)者都要計(jì)算k0=hm0modP.]]>如果這與證明者所給出的k值匹配�����,則挑戰(zhàn)者得知由證明者使用的m與受損害TPM的m0相匹配�����,因而挑戰(zhàn)者將不會(huì)接受它�。
在廢止的另一種實(shí)施方案中,假設(shè)挑戰(zhàn)者一直與AIK值一起存儲(chǔ)著h和k值���。那么當(dāng)挑戰(zhàn)者接收到受損害的密鑰c0和m0時(shí)����,挑戰(zhàn)者可以進(jìn)行檢查,以發(fā)現(xiàn)已收到的h和k值中是否有使用所述受損害的密鑰c0和m0而計(jì)算出的值����。挑戰(zhàn)者通過(guò)計(jì)算k0=hm0modP,]]>并且進(jìn)行檢查以發(fā)現(xiàn)這個(gè)值是否與他從TPM接收到的k值相匹配,從而完成上述操作�。如果是的,則他廢止對(duì)應(yīng)的AIK值�。如果正在使用每個(gè)挑戰(zhàn)者單個(gè)h的方法�,則由挑戰(zhàn)者完成的計(jì)算要容易一些,這是因?yàn)樘魬?zhàn)者只需計(jì)算出k0并且發(fā)現(xiàn)這個(gè)值是否與挑戰(zhàn)者接收到的任何k值相匹配即可���。
在挑戰(zhàn)者可以確定密鑰已被損害的另一個(gè)實(shí)例中����,挑戰(zhàn)者可以檢測(cè)TPM的使用模式�,該模式指示出已受到損害。例如�,從不同證明者設(shè)備同時(shí)到挑戰(zhàn)者的兩個(gè)連接可以指示出一個(gè)受損害的密鑰。如果使用的是每個(gè)挑戰(zhàn)者單個(gè)h的方法�����,則挑戰(zhàn)者將會(huì)得知兩個(gè)連接使用了相同的m��,因?yàn)榕c兩個(gè)連接相關(guān)聯(lián)的是相同的k=hmmod P。挑戰(zhàn)者可以判定秘密值可能已受到損害�,因而挑戰(zhàn)者將不再接受使用該k值的任何直接證明。然后����,來(lái)自所述TPM的秘密值可以不再與所述挑戰(zhàn)者一起使用。然而�����,由于這個(gè)挑戰(zhàn)者不知道m(xù)的值�,所以該挑戰(zhàn)者不能告訴任何其他挑戰(zhàn)者不要使用來(lái)自所述TPM的秘密值,在本發(fā)明的另一種實(shí)施方案中�,如果一組挑戰(zhàn)者中有一個(gè)挑戰(zhàn)者判定某一TPM的秘密值可能已被損害,那么這組挑戰(zhàn)者可以決定他們?nèi)枷胍軌驈U止這些秘密值�。要實(shí)現(xiàn)這一特性,需要對(duì)前面已經(jīng)描述的本發(fā)明的實(shí)施方案進(jìn)行修改��。修改包括如何確定h的值����。形成一個(gè)可信廢止機(jī)構(gòu)(TRA)。TRA具有公共檢驗(yàn)�、私有簽名密鑰對(duì)(例如標(biāo)準(zhǔn)RSA密鑰對(duì))。使用某種安全的分發(fā)方法將TRA公鑰提供給TPM����,所述方法例如是讓制造者在制造期間將所述密鑰放入TPM中��。
TRA生成g值����,使得gn=1 mod P����。TRA可以通過(guò)生成1和P之間的g′值,然后計(jì)算g=g′umod P而生成g值�����。然后對(duì)于所述組的每一個(gè)挑戰(zhàn)者���,TRA將在1和n之間隨機(jī)地挑選一個(gè)指數(shù)(EXP),并且計(jì)算h=gEXPmod P��。然后�����,TRA用這個(gè)挑戰(zhàn)者的名稱以及這個(gè)h值在證書(shū)中為該證書(shū)簽名���。TRA安全地存儲(chǔ)用來(lái)為每個(gè)挑戰(zhàn)者創(chuàng)建h的EXP����。
當(dāng)TPM與所述組的某個(gè)挑戰(zhàn)者之間發(fā)起直接證明時(shí),所述挑戰(zhàn)者發(fā)送對(duì)于所述h值的這個(gè)證書(shū)�����。TPM通過(guò)檢查TRA的簽名來(lái)驗(yàn)證這個(gè)證書(shū)�。如果合法,則TPM使用這個(gè)h值����,而不用像在先前實(shí)施方案中所描述的那樣生成一個(gè)h值。直接證明的其他方面保持不變���。
當(dāng)將h1作為其h值的挑戰(zhàn)者1宣告它想要廢止創(chuàng)建了k1=h1mmodP]]>的TPM時(shí)�,TRA獲取EXP值EXP1���,該值被用來(lái)計(jì)算h1=gEXP1modP]]>���。注意,挑戰(zhàn)者1和TRA都不會(huì)知道挑戰(zhàn)者1想要廢止的TPM中的m值�����。為了告訴挑戰(zhàn)者i將廢止的k值,TRA計(jì)算b1=EXP1(-1)modn,]]>然后計(jì)算ki=k1(EXPi*b1)modP.]]>注意�����,ki=himmodP.]]>注意��,TRA在這一計(jì)算過(guò)程中沒(méi)有計(jì)算m����;ki然后被發(fā)送給挑戰(zhàn)者i,然后挑戰(zhàn)者i可以廢止ki�����,如果它想要這么做的話�。
雖然在附圖中已經(jīng)示出并且描述了本發(fā)明的某些示例性的實(shí)施方案��,但是可以理解的是��,這些實(shí)施方案對(duì)于本發(fā)明各種實(shí)施方案的寬廣方面而言僅僅是示例性的而非限制性的��,這些實(shí)施方案不被限制在所示出并描述的具體解釋和布置中���,因?yàn)楦鞣N其他修改都是可能的����。可以用硬件���、可編程器件��、固件�����、軟件或它們的組合來(lái)實(shí)現(xiàn)本發(fā)明的多種實(shí)施方案或者它們的某些特征���。
權(quán)利要求
1.一種方法,包括從挑戰(zhàn)者設(shè)備接收驗(yàn)證請(qǐng)求��;以及從證明者設(shè)備向所述挑戰(zhàn)者設(shè)備發(fā)送信息��;以及使所述挑戰(zhàn)者設(shè)備相信所述證明者設(shè)備知道合法的簽名���,而無(wú)需向所述挑戰(zhàn)者設(shè)備泄露所述簽名��。
2.如權(quán)利要求1所述的方法�,其中,被發(fā)送到所述挑戰(zhàn)者設(shè)備的信息包括用于所述證明者設(shè)備的設(shè)備證書(shū)���。
3.如權(quán)利要求1所述的方法�,進(jìn)一步包括基于單向函數(shù)生成k值����;以及在所述證明者設(shè)備中生成私鑰-公鑰對(duì),所述私鑰-公鑰對(duì)包括私鑰和公鑰����,其中k值和所述公鑰被包括在發(fā)送給所述挑戰(zhàn)者設(shè)備的所述信息中。
4.如權(quán)利要求3所述的方法�,其中,所述k值被定義為k=hmmod P�����,其中h是由所述證明者設(shè)備生成的獨(dú)有數(shù)字���,m是隨機(jī)生成的數(shù)字,并且P是一個(gè)大的質(zhì)數(shù)�����。
5.如權(quán)利要求1所述的方法,其中����,“使所述挑戰(zhàn)者設(shè)備相信所述證明者設(shè)備知道合法的簽名,而無(wú)需向所述挑戰(zhàn)者設(shè)備泄露所述簽名”的步驟包括向所述挑戰(zhàn)者設(shè)備發(fā)送所述證明者設(shè)備知道所述簽名的交互證明��,而無(wú)需向所述挑戰(zhàn)者設(shè)備泄露所述簽名��。
6.如權(quán)利要求1所述的方法�����,進(jìn)一步包括使所述挑戰(zhàn)者設(shè)備相信所述證明者設(shè)備知道所述合法簽名��,而無(wú)需泄露所述證明者設(shè)備的身份���。
7.如權(quán)利要求1所述的方法���,其中,使所述挑戰(zhàn)者設(shè)備相信所述證明者設(shè)備所知道的簽名不是在受損害設(shè)備簽名的廢止列表中�����,而無(wú)需泄露所述證明者設(shè)備所知道的簽名����。
8.一種方法�,包括使挑戰(zhàn)者相信證明者具有已知實(shí)體的合法簽名���,而無(wú)需泄露所述簽名�����;以及使所述挑戰(zhàn)者相信所述簽名不是在受損害簽名的廢止列表中�����,而無(wú)需泄露所述簽名�����。
9.如權(quán)利要求8所述的方法��,其中“使挑戰(zhàn)者相信證明者具有已知實(shí)體的合法簽名�,而無(wú)需泄露所述簽名”的步驟包括基于單向函數(shù)生成k值����;以及在所述證明者設(shè)備中生成私鑰-公鑰對(duì)����,所述私鑰-公鑰對(duì)包括私鑰和公鑰��,其中所述k值和所述公鑰被包括在發(fā)送給所述挑戰(zhàn)者的信息中��。
10.如權(quán)利要求8所述的方法��,其中“使挑戰(zhàn)者相信證明者具有已知實(shí)體的合法簽名��,而無(wú)需泄露所述簽名”的步驟包括向所述挑戰(zhàn)者發(fā)送所述證明者知道所述合法簽名的交互證明���,而無(wú)需向所述挑戰(zhàn)者泄露所述簽名。
11.如權(quán)利要求8所述的方法�,其中“使所述挑戰(zhàn)者相信所述簽名不是在廢止列表中”的步驟包括保存一個(gè)廢止列表,該列表中的信息對(duì)應(yīng)于被認(rèn)為受到損害的一個(gè)或多個(gè)證明者��,以及將所述證明者的信息與所述廢止列表中的信息進(jìn)行比較�。
12.如權(quán)利要求8所述的方法,其中使挑戰(zhàn)者相信證明者具有已知實(shí)體的合法簽名意味著在概率上有可能所述證明者知道所述簽名��,并且不向所述挑戰(zhàn)者泄露所述簽名意味著對(duì)于所述挑戰(zhàn)者而言�����,基于所述證明者所泄露的信息計(jì)算出所述簽名在計(jì)算上是不可行的。
13.一種方法�����,包括使第一挑戰(zhàn)者設(shè)備相信第二設(shè)備具有合法簽名�,而無(wú)需將所述簽名透露給所述第一設(shè)備;以及使第三挑戰(zhàn)者設(shè)備相信所述第二設(shè)備具有合法簽名�,而無(wú)需將所述簽名透露給所述第三設(shè)備,其中由所述第二挑戰(zhàn)者設(shè)備提供給所述第一挑戰(zhàn)者設(shè)備和所述第三挑戰(zhàn)者設(shè)備的信息不足以讓所述第一挑戰(zhàn)者設(shè)備和所述第三挑戰(zhàn)者設(shè)備確定它們正在與相同的第二設(shè)備進(jìn)行通信����。
14.如權(quán)利要求13所述的方法,其中“使所述第一挑戰(zhàn)者相信所述第二設(shè)備具有合法的簽名�����,而無(wú)需透露所述簽名”的步驟包括基于單向函數(shù)生成k值�;以及在所述證明者設(shè)備中生成私鑰-公鑰對(duì),所述私鑰-公鑰對(duì)包括私鑰和公鑰���,其中所述k值和所述公鑰被包括在發(fā)送給所述挑戰(zhàn)者的信息中���。
15.如權(quán)利要求13所述的方法,其中由所述第二設(shè)備提供給所述第一挑戰(zhàn)者設(shè)備的信息中至少有一部分是不同于由所述第二設(shè)備提供給所述第三挑戰(zhàn)者設(shè)備的信息���。
16.一種方法��,包括向第一挑戰(zhàn)者平臺(tái)泄露由證明者平臺(tái)持有的秘密的單向函數(shù)的結(jié)果�;以及向所述第一挑戰(zhàn)者平臺(tái)證明所述秘密具有合法的簽名��,而無(wú)需向所述第一挑戰(zhàn)者平臺(tái)泄露所述秘密�����。
17.如權(quán)利要求16所述的方法���,進(jìn)一步包括向第二挑戰(zhàn)者平臺(tái)泄露由所述證明者平臺(tái)持有的所述秘密的單向函數(shù)的結(jié)果����;以及向所述第二挑戰(zhàn)者平臺(tái)證明所述秘密具有所述合法的簽名�����,而無(wú)需向所述第二挑戰(zhàn)者平臺(tái)泄露所述秘密�,并且使得所述第一挑戰(zhàn)者和第二挑戰(zhàn)者無(wú)法確定它們正在與相同的證明者平臺(tái)進(jìn)行通信。
18.如權(quán)利要求16所述的方法���,進(jìn)一步包括向所述第一挑戰(zhàn)者平臺(tái)發(fā)送所述證明者平臺(tái)知道所述合法的簽名的交互證明����,而無(wú)需向所述挑戰(zhàn)者泄露所述簽名。
19.如權(quán)利要求16所述的方法�����,進(jìn)一步包括使所述第一挑戰(zhàn)者平臺(tái)相信所述證明者平臺(tái)的未泄露的簽名不在廢止列表中��。
20.如權(quán)利要求16所述的方法���,其中向所述第一挑戰(zhàn)者平臺(tái)證明所述秘密具有合法的簽名意味著在概率上有可能所述證明者平臺(tái)知道所述秘密�,并且向所述第一挑戰(zhàn)者平臺(tái)證明此情況�,而無(wú)需向所述第一挑戰(zhàn)者平臺(tái)泄露所述秘密意味著對(duì)于所述第一挑戰(zhàn)者平臺(tái)而言,基于所述證明者平臺(tái)所泄露的信息計(jì)算出所述秘密在計(jì)算上是不可行的�����。
21.一種方法���,包括第一次使挑戰(zhàn)者相信證明者具有已知實(shí)體的合法簽名����,而無(wú)需泄露所述簽名��;以及第二次使同一挑戰(zhàn)者相信所述證明者具有已知實(shí)體的合法簽名,而無(wú)需泄露所述簽名����,其中所述挑戰(zhàn)者不能確定在所述第一次和第二次期間使用的是相同的簽名。
22.如權(quán)利要求21所述的方法�,進(jìn)一步包括向所述挑戰(zhàn)者發(fā)送所述證明者知道所述合法簽名的交互證明,而無(wú)需向所述挑戰(zhàn)者泄露所述簽名��。
23.如權(quán)利要求21所述的方法����,進(jìn)一步包括使所述挑戰(zhàn)者相信所述證明者的簽名不在廢止列表中���。
24.一種方法���,包括在第一設(shè)備中生成第一簽名密鑰對(duì),所述第一簽名密鑰對(duì)包括公共簽名密鑰和私有簽名密鑰��;向第一挑戰(zhàn)者提供所述第一公共簽名密鑰����;以及向所述第一挑戰(zhàn)者證明所述第一設(shè)備具有已簽名的秘密,而無(wú)需泄露被用來(lái)簽名所述秘密的簽名或者泄露所述私有簽名密鑰�����。
25.如權(quán)利要求24所述的方法,進(jìn)一步包括向所述第一挑戰(zhàn)者發(fā)送所述第一設(shè)備知道所述已簽名的秘密的交互證明�����,而無(wú)需向所述第一挑戰(zhàn)者泄露所述已簽名的秘密��。
26.如權(quán)利要求24所述的方法���,其中向所述第一挑戰(zhàn)者證明所述第一設(shè)備具有被用來(lái)簽名所述秘密的簽名意味著在概率上有可能所述證明者設(shè)備知道所述秘密����,并且向所述第一挑戰(zhàn)者證明此情況����,而無(wú)需向所述第一挑戰(zhàn)者泄露被用來(lái)簽名所述秘密的簽名或者泄露所述私有簽名密鑰意味著對(duì)于所述第一挑戰(zhàn)者而言,基于所述證明者設(shè)備所泄露的信息來(lái)計(jì)算出所述秘密�、被用來(lái)簽名所述秘密的簽名、或者所述私有密鑰在計(jì)算上是不可行的����。
27.如權(quán)利要求24所述的方法,進(jìn)一步包括向所述第一挑戰(zhàn)者證明所述第一設(shè)備具有已簽名的秘密��,而無(wú)需泄露所述設(shè)備的身份。
28.一種設(shè)備��,包括通信端口��;以及處理單元����,所述處理單元被配置來(lái)通過(guò)所述通信端口與挑戰(zhàn)者平臺(tái)進(jìn)行通信,以及使所述挑戰(zhàn)者平臺(tái)相信所述設(shè)備知道秘密����,而無(wú)需泄露所述設(shè)備的身份����。
29.如權(quán)利要求28所述的設(shè)備,其中“使所述挑戰(zhàn)者平臺(tái)相信所述設(shè)備知道秘密�,而無(wú)需泄露所述設(shè)備的身份”包括向所述挑戰(zhàn)者平臺(tái)證明它具有已知實(shí)體的合法簽名,而無(wú)需泄露所述簽名���,以及將與所述秘密相關(guān)的值綁定到與所述挑戰(zhàn)者平臺(tái)之間的通信�,使得在不違背所述證明的情況下��,不同的值無(wú)法被替換�����。
30.如權(quán)利要求28所述的設(shè)備,其中向所述挑戰(zhàn)者證明所述設(shè)備知道所述秘密意味著在概率上有可能所述證明者設(shè)備知道所述秘密����。
31.一種系統(tǒng),包括挑戰(zhàn)者設(shè)備����;以及通信地耦合到所述挑戰(zhàn)者設(shè)備的證明者設(shè)備,所述證明者設(shè)備被配置來(lái)使所述挑戰(zhàn)者相信所述證明者設(shè)備具有已知實(shí)體的合法簽名����,而無(wú)需泄露所述簽名。
32.如權(quán)利要求31所述的系統(tǒng)���,其中“使所述挑戰(zhàn)者設(shè)備相信所述證明者設(shè)備具有已知實(shí)體的合法簽名����,而無(wú)需泄露所述簽名”包括向所述挑戰(zhàn)者設(shè)備泄露所述證明者設(shè)備所持有的秘密的單向函數(shù)的結(jié)果���,以及向所述挑戰(zhàn)者設(shè)備證明所述秘密具有合法簽名��,而無(wú)需向所述挑戰(zhàn)者設(shè)備泄露所述秘密�。
33.如權(quán)利要求31所述的系統(tǒng),其中所述證明者設(shè)備被進(jìn)一步配置來(lái)使所述挑戰(zhàn)者設(shè)備相信所述簽名不是在受損害簽名的廢止列表中�����,而無(wú)需泄露所述簽名��。
34.如權(quán)利要求33所述的系統(tǒng)���,其中“使所述挑戰(zhàn)者設(shè)備相信所述簽名不是在廢止列表中”包括保存一個(gè)廢止列表��,該列表中的信息對(duì)應(yīng)于被認(rèn)為受到損害的一個(gè)或多個(gè)證明者設(shè)備���,以及將所述證明者設(shè)備的信息與所述廢止列表中的信息進(jìn)行比較。
全文摘要
本發(fā)明的實(shí)施方案的一個(gè)方面提供了向挑戰(zhàn)者證明證明者設(shè)備具有來(lái)自設(shè)備制造者的簽名��,而無(wú)需向所述挑戰(zhàn)者泄露所述簽名的方法����、系統(tǒng)和設(shè)備�。根據(jù)一種實(shí)施方式,向挑戰(zhàn)者提供了由證明者設(shè)備持有的秘密的單向函數(shù)的結(jié)果�����。在證明者設(shè)備和挑戰(zhàn)者之間利用交互證明來(lái)向挑戰(zhàn)者證明在所述單向函數(shù)中使用的秘密已經(jīng)被簽上了設(shè)備簽名,而無(wú)需向挑戰(zhàn)者泄露所述秘密或者所述設(shè)備簽名或者證明者設(shè)備的身份�。
文檔編號(hào)H04L9/32GK1717895SQ200380104208
公開(kāi)日2006年1月4日 申請(qǐng)日期2003年11月6日 優(yōu)先權(quán)日2002年11月27日
發(fā)明者厄尼·布里克爾 申請(qǐng)人:英特爾公司