摘? 要：通過采用一種基于密碼的匿名驗(yàn)證系統(tǒng)，探討了在匿名驗(yàn)證系統(tǒng)中針對第三方攻擊者的用戶匿名性的有效性。首先，在驗(yàn)證系統(tǒng)方案中展示了第三方攻擊者可以指定哪個(gè)用戶實(shí)際向服務(wù)器發(fā)送了訪問請求，第三方攻擊者可以根據(jù)此次攻擊來鏈接到同一用戶稍后發(fā)送的不同登錄請求。其次，給出了一種有效的對抗這種攻擊的方法，該方法因不需要存儲(chǔ)用戶的密碼保護(hù)憑證，能更有效地保證用戶訪問的匿名性。

關(guān)鍵詞：用戶匿名;密碼;用戶驗(yàn)證;密碼憑證

中圖分類號：TP309.7? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號：2096-4706（2022）02-0107-04

Abstract： By adopting an anonymous authentication system based on password， this paper discusses the effectiveness of user anonymity against third-party attackers in the anonymous authentication system. Firstly， the authentication system scheme shows that the third-party attacker can specify which user actually sent an access request to the server. The third-party attacker can link to different login requests sent by the same user later according to this attack. Secondly， an effective method against this attack is given. This method can more effectively ensure the anonymity of user access because it does not need to store the user’s password protection credentials.

Keywords： user anonymity; password; user authentication; password credential

0? 引? 言

匿名身份驗(yàn)證是確認(rèn)用戶訪問網(wǎng)頁或其他服務(wù)的權(quán)限的過程，可以允許用戶登錄到系統(tǒng)而不暴露其實(shí)際身份[1]。目前基于密碼的匿名驗(yàn)證是應(yīng)用較為廣泛的一種用戶驗(yàn)證技術(shù)，其主要作用是提供基于密碼的匿名性和用戶的匿名性[2]。截至目前已經(jīng)出現(xiàn)幾種方案[3-5]，這些方案的潛在應(yīng)用包括企業(yè)保密人員訪問、對特殊人員進(jìn)行問卷調(diào)查、匿名咨詢等。

在文獻(xiàn)[6]中，作者等人提出了一種基于密碼的匿名認(rèn)證方案，該方案通過以密碼為保護(hù)的憑證為人員的訪問提供匿名性。該方案是基于Camenisch群簽名[7]和Paillier加密算法[8]構(gòu)造的，前者用于實(shí)例化用戶的認(rèn)證證書，后者用于服務(wù)器的同態(tài)加密。認(rèn)證證書的某些元素（即用戶身份上的簽名）是用用戶密碼加密的，而其他元素是用服務(wù)器的公鑰（同態(tài)）加密的。為了提高效率，作者等人提出了另一個(gè)基于密碼的匿名認(rèn)證方案[9]，該方案是基于BBS+SIG-Nature[10]的一種新型方案。為方便論證，以下我們對此方案取名為RT1001。方案中使用新的簽名與加密技術(shù)代替了Camenisch群簽名[7]和Paillier加密算法[8]，同時(shí)通過Knowl-Edge協(xié)議的零知識(shí)證明來限制簽名對服務(wù)器的驗(yàn)證能力。

在本文中，我們主要討論了RT1001方案對被動(dòng)/主動(dòng)第三方攻擊者的用戶匿名性。首先，在第三章中我們展示了在RT1001方案中，第三方攻擊者可以指定哪個(gè)用戶實(shí)際向服務(wù)器發(fā)送了登錄請求。此攻擊還包括攻擊者可以將同一用戶稍后發(fā)送的不同登錄請求鏈接起來。從攻擊中可以清楚地看出，RT1001方案不提供針對第三方攻擊者的用戶匿名性。在第四章中，我們針對第三方攻擊給出了有效的對策。在第五章中，通過驗(yàn)證證明對策中由于不需要任何安全措施來存儲(chǔ)用戶受密碼保護(hù)的憑據(jù)，以此能有效地保證用戶訪問的匿名性。

1? 知識(shí)準(zhǔn)備

1.1? 符號注釋

a∈RS表示a是從S中隨機(jī)選擇的，設(shè)G1，G2，GT是素?cái)?shù)q的循環(huán)群，設(shè)g是G1的生成元，h是G2的生成元。雙線性映射e：G1×G2→GT具有以下性質(zhì)：

（1）雙線性：?u∈G1，v∈G2和x，y∈RZq，e（ux，vy）=e（u，v）xy

（2）非退化性：e（g，h）≠1

1.2? BBS+簽名

BBS+簽名是一種簽名方案，具有在提交值上發(fā)布簽名和在提交值上證明簽名零知識(shí)的有效協(xié)議。BBS+簽名方案的公鑰為（W=hχ，h∈G2，a，b，d∈G1），私鑰是（χ∈Zq）。在消息m上簽名的BBS+簽名定義為（M，k，s），其中k，s∈RZq，M=（am · bs · d）1/（k+χ）∈G1。

BBS+簽名（M，k，s，m）相對于公鑰被驗(yàn)證為e（M，W · hk）=e（a，h）M · e（b，h）s · e（d，h）。該驗(yàn)證可以在用于表示擁有簽名的知識(shí)協(xié)議的零知識(shí)證明中進(jìn)行。

2? RT1001方案

2.1? R-BBS簽名

作為RT1001方案的主要組成部分，R-BBS簽名是BBS+簽名的一個(gè)普遍版本。為便于區(qū)分，以下R-BBS簽名由ΠR-BBS表示。

證明人代替BBS+簽名的（M，k，s），擁有（M，k，γ，e（B，h）），其中M=（au · bs · d）1/（k+χ），u是用戶恒等式，r∈RZq，γ=r-1，并且B=br · s，如下：

設(shè)g0，g1∈G1可以是預(yù)定義的參數(shù)。首先是校準(zhǔn)器選擇α，ru，rk，rγ，rα，r∈RZq，然后計(jì)算Cmt（ΠR-BBS）={T1，T2，R1，R2，R3}，如下：

校準(zhǔn)器發(fā)送Cmt（ΠR-BBS）發(fā)送給驗(yàn)證者，驗(yàn)證人發(fā)送質(zhì)詢c∈RZq。在收到質(zhì)詢后校準(zhǔn)器計(jì)算Res（ΠR-BBS）={su，sγ，sk，sα，s}如下：su=ru+c×u，sγ=rγ+c×γ，sk=rk+c×k，sα=rα+c×α，s=r+c ·，其中=α · k。校準(zhǔn)器發(fā)送Res（ΠR-BBS）提交給驗(yàn)證者，驗(yàn)證者接受以下內(nèi)容保持不變，如下：

根據(jù)文獻(xiàn)[9]，上述R-BBS簽名是一個(gè)數(shù)組（M，k，γ，u）服從e（M，W · hk）=e（a，h）u · e（B，h）γ · e（d，h）知識(shí)的零知識(shí)證明。

2.2? 基本方案部署

這里，我們描述了RT1001方案的一個(gè)基本方案?；痉桨赣上到y(tǒng)設(shè)置、注冊登記和認(rèn)證協(xié)議組成。

2.2.1? 系統(tǒng)設(shè)置

為了設(shè)置系統(tǒng)參數(shù)，服務(wù)器執(zhí)行以下操作：

（1）將BBS+信號的公鑰設(shè)置為（W=hχ，h∈G2，a，b，d∈G1），將私鑰設(shè)置為（χ∈Zq）;

（2）將g，g0，G1∈G1作為公共參數(shù);

（3）為ElGamal加密選擇公鑰/私鑰對，并對其進(jìn)行加解密分別用E（ · ）和D（ · ）表示;

（4）選擇一個(gè)哈希函數(shù)H：{0，1}*→{0，1}k0和MAC：{0，1}k1×G12→{0，1}k1，其中k0，k1是適當(dāng)?shù)臄?shù)字。

2.2.2? 注冊登記

在基本方案中，所有用戶都需要提前向服務(wù)器注冊，每個(gè)用戶都獲得一個(gè)身份驗(yàn)證憑證。服務(wù)器向每個(gè)用戶ui發(fā)放一個(gè)憑證，這是一個(gè)在用戶標(biāo)識(shí)ui上簽名的BBS+簽名（Mi，ki，si）。用戶將密碼保護(hù)的憑證Ci放入他/她的首選存儲(chǔ)目錄，例如，硬盤、手機(jī)、U盤或公共設(shè)施/目錄。

2.2.3? 認(rèn)證協(xié)議流程

假設(shè)用戶ui具有受密碼保護(hù)的憑據(jù)Ci=<ui，[Mi，ki]pwi，E（si）>在登錄時(shí)可用。下面是用戶ui和服務(wù)器之間的身份驗(yàn)證協(xié)議流程。

Step1：用戶ui執(zhí)行以下操作

（1）用戶使用他/她的密碼pwi從[Mi，ki]pwi恢復(fù)（Mi，ki）;

（2）用戶選擇r∈RZq，并通過計(jì)算s*=E（r）· E（si）隨機(jī)化E（si）;

（3）用戶選擇x∈RZq并計(jì)算X=gx;

（4）用戶選擇NA∈R{0，1}k1并計(jì)算=E（NA）;

（5）用戶使用R-BBS信號（Mi，ki，γ=r-1（modq），ui）計(jì)算Cmt（ΠR-BBS）;最后，用戶向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請求。

Step2：在收到登錄請求后，服務(wù)器執(zhí)行以下操作

（1）服務(wù)器計(jì)算r · si=D（s*），由于ElGamal的乘法同態(tài)性質(zhì)，B=br · si;

（2）服務(wù)器選擇y∈RZq并計(jì)算Y=gy;

（3）服務(wù)器計(jì)算NA=D（）及V=MAC（NA，Y，X）;

（4）服務(wù)器選擇NB∈RZq，并將NB、Y、V發(fā)送回用戶。

Step3：用戶ui執(zhí)行以下操作

（1）用戶驗(yàn)證V，如果無效則中止;

（2）以NB為例進(jìn)行質(zhì)詢，用戶計(jì)算并發(fā)送Res（ΠR-BBS）到服務(wù)器;

（3）用戶通過合成共享密鑰sk=H（NA，NB，Y x）來結(jié)束協(xié)議。

Step4：服務(wù)器在驗(yàn)證Res（ΠR-BBS）后計(jì)算sk=H（NA，NB，Xy）。

注意：Step1中的Cmt（ΠR-BBS）可以由用戶ui計(jì)算，用戶ui不知道r · si，因?yàn)橛脩魧（B，h）作為Eq.（1）。在上面，用戶ui通過顯示擁有正確的憑證向服務(wù)器授權(quán)，而服務(wù)器的身份驗(yàn)證依賴于ElGamal加密。

3? 第三方攻擊者的用戶匿名性驗(yàn)證

在文獻(xiàn)[9]中，作者等人聲稱，RT1001方案支持針對服務(wù)器的不可鏈接性，服務(wù)器并不俱怕外部攻擊，因?yàn)榉?wù)器不能鏈接同一個(gè)用戶進(jìn)行的不同登錄。在本節(jié)中，我們將展示第三方攻擊者可以指定是哪個(gè)用戶發(fā)送了登錄請求。實(shí)際上，這足以讓第三方攻擊者鏈接同一用戶發(fā)送的不同登錄請求。

3.1? 第三方攻擊者的可鏈接性

為了清楚起見，假設(shè)只有兩個(gè)用戶u1和u2的密碼保護(hù)憑據(jù)（C1=<u1，[M1，k1]pw1，E（s1）>對于用戶u1和C2=<u2，[M2，k2] pw2，E（s2）>對于用戶u2）委托給公共目錄。

Step1：用戶u1執(zhí)行以下操作

（1）用戶u1用他/她的密碼pw1從[M1，k1]pw1恢復(fù)（M1，k1）;

（2）用戶u1選擇r∈RZq，并通過計(jì)算s*=E（r）· E（s1）· E（t）隨機(jī)化E（s1）· E（t）;

（3）～（4）與第2.2.3節(jié)的Step1步驟相同;

（5）用戶u1使用（M1，k1，γ=r-1，u1）上的R-BBS簽名計(jì)算Cmt（ΠR-BBS）={T1，T2，R1，R2，R3}，最后，用戶u1向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請求。

Step2：在收到登錄請求后，服務(wù)器執(zhí)行以下操作：

（1）由于El-Gamal的乘法同態(tài)性質(zhì)，服務(wù)器計(jì)算r · s1 · t=D（s*）和B′=br · s1 · t;

（2）～（4）這些操作與第2.2.3節(jié)的Step2步驟相同。

Step3：用戶u1執(zhí)行以下操作

（1）這些操作與第2.2.3節(jié)的Step3步驟相同;

（2）通過將NB作為挑戰(zhàn)（即c=NB），用戶u1計(jì)算Res（ΠR-BBS）={su，sγ，sk，sα，s}如下：su=ru+c · u1，sγ=rγ+c · γ，sk=rk+c · k1，sα=rα+c · α，s=r+c · ，其中=α · k1，然后向服務(wù)器發(fā)送Res（ΠR-BBS）;

（3）用戶通過合成共享密鑰sk=H（NA，NB，Yx）來結(jié)束協(xié)議。

Step4：這些操作與第2.2.3節(jié)的Step4步驟相同。

如果服務(wù)器在以上Step4步驟中中止協(xié)議（即，Res（ΠR-BBS）無效），攻擊者就會(huì)知道剛剛發(fā)送登錄請求的用戶是用戶u1。因此，攻擊者就能得出的結(jié)論：剛剛發(fā)送登錄請求的用戶是用戶u1。以上Step4步驟中Res（ΠR-BBS）的無效性可以從以下不相等性中很容易地檢查出來，如下：

注：假設(shè)攻擊者用隨機(jī)值t替換[M1，k1]pw1。在用他/她的傳遞字pw1解密t之后，用戶u1得到一對（M1′，k1′）。如果用戶可以檢查M1′?G1或k1′?Zq的格式，用戶u1可以注意到t不是正確的t并中止身份驗(yàn)證原型。在這種情況下，攻擊者無法破壞用戶匿名性。在上述攻擊中，為了保持各數(shù)值格式的一致性，攻擊者僅利用E（ · ）的同態(tài)性將s1的密文隨機(jī)化為E（s1）· E（t）。此攻擊有1%的概率可以成功，并且用戶u1不能注意到E（s1）的變化，因?yàn)槭苊艽a保護(hù)的憑證不需要任何安全的存儲(chǔ)設(shè)施，并且E（s1）和E（s1）· E（t）同時(shí)具有相同的格式。

3.2? 用戶鏈接性分析

從以上可以看出，第三方攻擊者只需將密碼保護(hù)憑證C1替換為C1′后，竊聽用戶與服務(wù)器之間的通信，就可以以1%的概率指定用戶u1和u2。此攻擊表示攻擊者可以鏈接用戶u1稍后發(fā)送的不同登錄請求。處于第三方攻擊過程中，有可能是用戶無法檢查E（s1）的完整性，同時(shí)服務(wù)器無法從隨機(jī)化的s*中恢復(fù)s1。以上攻擊同樣適用于RT1001方案中的多用戶ui（i>2）。例如，如果|ui|=8，并且用戶執(zhí)行2.2.3的身份驗(yàn)證協(xié)議時(shí)，第三方攻擊者連續(xù)重復(fù)3次攻擊后，可以以1%的概率指定用戶。

從上面可以看出，RT1001方案無法提供針對第三方攻擊者的用戶匿名性。

4? 本文提出的應(yīng)對方案

第三方攻擊者發(fā)起的可鏈接性攻擊，如果使用保持完整性的便攜設(shè)備或公共目錄來存儲(chǔ)用戶受密碼保護(hù)的憑據(jù)，第三方攻擊者可以輕易發(fā)起可鏈接性攻擊。在這一節(jié)中，我們將給出一個(gè)簡單有效的對抗攻擊的對策：不需要任何安全性的用于存儲(chǔ)用戶受密碼保護(hù)的憑據(jù)。

4.1? 系統(tǒng)設(shè)置

為了設(shè)置系統(tǒng)參數(shù)，服務(wù)器執(zhí)行以下操作：

（1）將BBS+信號的公鑰設(shè)置為（W=hχ，h∈G2，a，b，d∈G1），將私鑰設(shè)置為（χ∈Zq）;

（2）將g，g0，G1∈G1作為公共參數(shù);

（3）為ElGamal加密選擇公鑰/私鑰對，并對其進(jìn)行加解密分別用E（ · ）和D（ · ）表示;

（4）選擇一個(gè)哈希函數(shù)H：{0，1}*→{0，1}k0和MAC：{0，1}k1×→{0，1}k1，其中k0，k1是適當(dāng)?shù)臄?shù)字。

4.2? 注冊登記

所有用戶都需要提前向服務(wù)器注冊，每個(gè)用戶都獲得一個(gè)身份驗(yàn)證憑證。服務(wù)器向每個(gè)用戶ui發(fā)放一個(gè)憑證，這是一個(gè)在用戶標(biāo)識(shí)ui上簽名的BBS+簽名（Mi，ki，si）。用戶將密碼保護(hù)的憑證Ci放入他/她的首選存儲(chǔ)目錄，例如，硬盤、手機(jī)、U盤或公共設(shè)施/目錄，服務(wù)器在本地存儲(chǔ)所有用戶ui的密碼保護(hù)憑據(jù)為{Ci}i。

4.3? 認(rèn)證協(xié)議

假設(shè)用戶ui在登錄時(shí)具有受密碼保護(hù)的憑據(jù)Ci=<ui，[Mi，ki]pwi，E（si）>。下面是用戶ui和服務(wù)器之間的身份驗(yàn)證協(xié)議。

Step1：用戶ui執(zhí)行以下操作

（1）用戶使用他/她的密碼pwi從[Mi，ki]pwi恢復(fù)（Mi，ki）;

（2）用戶選擇r∈RZq，并通過計(jì)算s*=E（r）· E（si）隨機(jī)化E（si）;

（3）用戶選擇x∈RZq并計(jì)算X=gx;

（4）用戶選擇NA∈R{0，1}k1并計(jì)算=E（NA）;

（5）用戶使用R-BBS信號（Mi，ki，γ=r-1（modq），ui）計(jì)算Cmt（ΠR-BBS）;最后，用戶向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請求。

Step2：在收到登錄請求后，服務(wù)器執(zhí)行以下操作

（1）服務(wù)器計(jì)算r · si=D（s*），由于ElGamal的乘法同態(tài)性質(zhì)，B=br · si;

（2）服務(wù)器選擇y∈RZq并計(jì)算Y=gy;

（3）服務(wù)器計(jì)算NA=D（）及V=MAC（NA，Y，X）;

（4）服務(wù)器選擇NB∈RZq，并將NB、Y、V發(fā)送回用戶;

（5）服務(wù)器計(jì)算NA=D（）和V=MAC（NA，Y，X，{Ci}i）其中{Ci}i是本地存儲(chǔ)的密碼保護(hù)憑據(jù)（針對所有用戶）。

Step3：用戶ui執(zhí)行以下操作

（1）用戶驗(yàn)證V，如果無效則中止;

（2）以NB為例進(jìn)行質(zhì)詢，用戶計(jì)算并發(fā)送Res（ΠR-BBS）到服務(wù)器;

（3）用戶通過合成共享密鑰s=H（NA，NB，Yx）來結(jié)束協(xié)議。

Step4：服務(wù)器在驗(yàn)證Res（ΠR-BBS）后計(jì)算s=H（NA，NB，Xy）。

5? 方案驗(yàn)證

同樣，我們假設(shè)兩個(gè)用戶u1和u2的密碼保護(hù)憑據(jù)（C1 =<u1，[M1，k1]pw1，E（s1）>對于用戶u1和C2=<u2，[M2，k2]pw2，E（s2）>對于用戶u2）委托給公共目錄。

首先，攻擊者選擇t∈RZq，計(jì)算E（t），然后用C1′=<u1，[M1，k1]pw1，E（s1）· E（t）>替換C1=<u1，[M1，k1]pw1，E（s1）>。下面是服務(wù)器和用戶u1之間的身份驗(yàn)證協(xié)議，用戶u1具有C1′=<u1，[M1，k1]pw1，E（s1）· E（t）>。在身份驗(yàn)證協(xié)議中，第三方攻擊者只是在用戶u1和服務(wù)器之間竊聽通信。當(dāng)然，攻擊者不知道哪個(gè)用戶即將在此協(xié)議中執(zhí)行。

5.1? 驗(yàn)證步驟

Step1：用戶u1執(zhí)行以下操作

（1）用戶u1用他/她的密碼pw1從[M1，k1] pw1恢復(fù)（M1，k1）;

（2）用戶u1選擇r∈RZq，并通過計(jì)算s*=E（r）· E（s1）· E（t）隨機(jī)化E（s1）· E（t）;

（3）用戶u1選擇x∈RZq，計(jì)算X=gx;

（4）用戶u1選擇NA∈R{0，1}k1，計(jì)算=E（NA）;

（5）用戶u1使用（M1，k1，γ=r-1，u1）上的R-BBS簽名計(jì)算Cmt（ΠR-BBS）={T1，T2，R1，R2，R3}，如下：

最后，用戶u1向服務(wù)器發(fā)送s*，X，，Cmt（ΠR-BBS）作為登錄請求。

Step2：在收到登錄請求后，服務(wù)器執(zhí)行以下操作：

（1）由于El-Gamal的乘法同態(tài)性質(zhì)，服務(wù)器計(jì)算r · s1 · t=D（s*）和B′=br · s1 · t;

（2）服務(wù)器選擇y∈RZq并計(jì)算Y=gy;

（3）服務(wù)器計(jì)算NA=D（）和V=MAC（NA，Y，X，{Ci}i）其中{Ci}i是本地存儲(chǔ)的密碼保護(hù)憑據(jù)（針對所有用戶）。

（4）服務(wù)器選擇NB∈RZq，并將NB、Y、V發(fā)送回用戶。

Step3：用戶u1執(zhí)行以下操作

（1）用戶驗(yàn)證V，如果無效則中止;

（2）以NB為例進(jìn)行質(zhì)詢，用戶計(jì)算并發(fā)送Res（ΠR-BBS）到服務(wù)器;

（3）用戶通過合成共享密鑰sk=H（NA，NB，Yx）來結(jié)束協(xié)議。

Step4：服務(wù)器在驗(yàn)證Res（ΠR-BBS）后計(jì)算sk=H（NA，NB，Xy）。

5.2? 用戶匿名的安全性分析

在以上Step2通過對MAC地址使用“用于任意長度消息的安全CBC-MAC”或HMAC，可以獲得其大小與消息大小無關(guān)的固定長度標(biāo)記V。用戶ui可以通過驗(yàn)證V來檢查{Ci}i（包括E（si））的完整性。如果第三方攻擊者對密碼保護(hù)憑據(jù){Ci}i添加任何修改，則用戶ui中止協(xié)議。由于V的無效性（即V≠M(fèi)AC（NA，Y，X，{Ci}i′）不向服務(wù)器發(fā)送Res（ΠR-BBS），因此攻擊者無法在的攻擊中指定用戶ui。

6? 結(jié)? 論

雖然上述對策對第三方攻擊者發(fā)出的可鏈接性攻擊是有效的，但在用戶數(shù)量大時(shí)并不實(shí)用。這就是為什么每個(gè)用戶必須下載所有受密碼保護(hù)的憑據(jù){Ci}i（如果它們被委托給一個(gè)公共目錄），或者必須在本地存儲(chǔ)所有{Ci}i（如果它們被委托給一個(gè)用戶的便攜式設(shè)備）以便驗(yàn)證V。因此，使RT1001方案安全和有效（即獨(dú)立于用戶的數(shù)量）將是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。

參考文獻(xiàn)：

[1] 羅遠(yuǎn)哲，劉瑞景，孟小鈺，等.一種匿名認(rèn)證方法及系統(tǒng)：CN112364331A [P].2021-02-12.

[2] 阮鷗，王子豪，張明武.一種高效的匿名口令認(rèn)證密鑰交換協(xié)議 [J].中南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，37（2）：109-113+127.

[3] 胡如會(huì)，張起榮，賀道德.基于雙線性映射直接匿名認(rèn)證方案的改進(jìn) [J].科學(xué)技術(shù)與工程，2018，18（3）：4.

[4] 王震，范佳，成林，等.可監(jiān)管匿名認(rèn)證方案 [J].軟件學(xué)報(bào)，2019，030（006）：1705-1720.

[5] 曹守啟，何鑫，劉婉榮.一種改進(jìn)的遠(yuǎn)程用戶身份認(rèn)證方案 [J].計(jì)算機(jī)工程與科學(xué)，2021，43（11）：7.

[6] LUO S，HU J，CHEN Z. An Identity-Based One-Time Password Scheme with Anonymous Authentication [C]//2009 International Conference on Networks Security，Wireless Communications and Trusted Computing.Wuhan：IEEE，2009：864-867.

[7] CAMENISCH J，LYSYANSKAYA A. A Signature Scheme with Efficient Protocols [C]//SCN 2002：Security in Communication Networks.Springer，2002：268–289.

[8] YANG Y J，ZHOU J Y，WONG J W，et al. Towards practical anonymous password authentication [C]//ACSAC ‘10：Proceedings of the 26th Annual Computer Security Applications Conference.New York：Association for Computing Machinery，2010：59-68.

[9] PAILLIER P.Public-Key Cryptosystems Based on Composite Degree Residuosity Classes [C]//EUROCRYPT’99.Springer-Verlag，1999：223-238.

[10] AU M H，SUSILO W，MU Y. Constant-size dynamic k –TAA [C]// International Conference on Security and Cryptography for Networks.Springer，2006：111-125.

作者簡介：陳金木（1985—），男，漢族，福建廈門人，信息系統(tǒng)項(xiàng)目管理師，實(shí)驗(yàn)師，本科，主要研究方向：計(jì)算機(jī)科學(xué)、軟件技術(shù)、信息安全。