零知识证明论文阅读---Blockchain-Assisted Transparent Cross-Domain Authorization and Authentication for Smart-Toy模板网

这篇具有很好参考价值的文章主要介绍了零知识证明论文阅读---Blockchain-Assisted Transparent Cross-Domain Authorization and Authentication for Smart。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

零知识证明论文阅读—Blockchain-Assisted Transparent Cross-Domain Authorization and Authentication for Smart City

System Model

系统由五类实体组成：Identity committee members (ICMs), Identity issuers (IIs), Identity holders (IHs), Identity verifiers (IVs), Identity auditor (IA)。详细的介绍可以阅读这篇论文 Blockchain-Assisted Transparent Cross-Domain Authorization and Authentication for Smart City

零知识证明论文阅读---Blockchain-Assisted Transparent Cross-Domain Authorization and Authentication for Smart,零知识证明,区块链,论文阅读

Service Entity Registration

Identity Issuers Registration

在此阶段, identity issuers, identity verifiers, 和 identity auitor 将会在系统生成私钥，发布公钥

每一个 identity issuers, $II_i \in \{II_1,II_2,...,\}$ ，选取 $K_i + 3$ 个随机数 $(x_i,y_{i0},y_{i1},...,y_{iK_i},z_i) \in Z_p^{K_i+3}$ ，其中 $K_i$ 是身份属性类别的最大值（最多有多少个身份属性类别）。

Identity issuers 生成公私钥对 $pk_i',sk_i')$ ，其中

$pk_i' = (Y_{i0} = g_1^{y_{i0}},Y_{i1} = g_1^{y_{i1}},...,Y_{iK_i} = g_1^{y_{iK_i}},Z_i = g_1^{z_i},X_i' = g_2^{x_i},Y_{i0}'=g_2^{y_{io}},Y_{i1}'=g_2^{y_{i1}},...,Y_{iK_i}'=g_2^{y_{i}K_i},Z_i'=g_2^{z_i})$

User Registration and Credential Authorization

用户注册和凭证授权阶段，identity holder 或者是 user，可以向某个 identity issuers 注册自己的身份凭证。

identity holder 选择一个随机数 $t_i \in Z_p^*$ ，选择一个唯一序列号 $u_i \in Z_p^*$ ，计算承诺
$Com_i = g_1^{t_i} Y_{i0}^{u_i}\prod_{j=1}^{K_i} Y_{ij}^{a_{ij}}$
其中， $a_{ij}$ 是用户的属性值， $j$ 是属性类别标号 $1,K_i)$ ， $attrs_i = (a_{i1},a_{i2},...,a_{iK_i})$ ，如果 identity holder 不持有该属性类别，可以将该属性类别值设置为 $0$ 。后续，holder 发送 $(Com_i, attrs_i, \pi_{Com_i})$ 给 identity issuer。

Identity issuer 为用户生成一个唯一的身份标识符 $UID_i = H(pk_i'\parallel ts \parallel ind)$ ， $t s$ 是时间戳， $I n d$ 是注册用户的索引值。选择一个随机数 $v_i$ ，计算 $\sigma_i' = (\sigma_{i1}' = g_1^{v_i},\sigma_{i2}' = (X_i\cdot Com_i\cdot Z_i^{UID_i})^{v_i})$ ，返回 $(\sigma_i',UID_i)$ 给 holder。

Identity issuer unblinds $\sigma_i = (\sigma_{i1} = g_1^{v_i},\sigma_{i2} = \sigma_{i2}'/\sigma_{i1}')$ ，验证：
$e(\sigma_{i1},X_i') \cdot e(\sigma_{i1},Y_{i0}')^{u_i}\cdot \prod_{j=1}^{K_i}e(\sigma_{i1},Y_{ij}'^{a_{ij}})\cdot e(\sigma_{i1},Z_i')^{UID_i}= e(\sigma_{i2},g_2)$
推导：
$\sigma_{i1}' = g_1^{v_i}, \sigma_{i2}' = (g_1^{x_i} \cdot g_1^{t_i}g_1^{y_{i0}u_i}\cdot \prod_{j=1}^{K_i}g_1^{y_{ij}a_{ij}}\cdot g_1^{z_i \cdot UID_i})^{v_i}$
解密后的 $(\sigma_{i1},\sigma_{i2})$ ：
$\sigma_{i1} = g_1^{v_i}, \sigma_{i2} = \frac{\sigma_{i2}'}{\sigma_{i1}^{t_i}}= \frac{(g_1^{x_i} \cdot g_1^{t_i}g_1^{y_{i0}u_i}\cdot \prod_{j=1}^{K_i}g_1^{y_{ij}a_{ij}}\cdot g_1^{z_i \cdot UID_i})^{v_i}}{g_1^{v_it_i}}= (g_1^{x_i} \cdot g_1^{y_{i0}u_i}\cdot \prod_{j=1}^{K_i}g_1^{y_{ij}a_{ij}}\cdot g_1^{z_i \cdot UID_i})^{v_i}$
验证的等式展开：
$e(g_1^{v_i},g_2^{x_i})\cdot e(g_1^{v_i},g_2^{y_{i0}})^{u_i}\cdot \prod_{j=1}^{K_i} e(g_1^{v_i},g_2^{y_{ij}})^{a_{ij}}\cdot e(g_1^{v_i},g_2^{z_i})^{UID_i} = e(\sigma_{i2},g_2)$
那么身份颁发者 $II_i$ 给用户的颁发的凭证是 $Cred_{i} = (u_i,UID_i,attrs_i,\sigma_i)$

Authentication Policy Generation

一个 Identity verifier 可能需要认证不同属性 $A_{11},A_{22},...,)$ 满足某个身份策略 $(A_{11} \wedge A_{21}) \vee A_{31} \wedge ...)$ 。此外， $A_{11},A_{21},...,)$ 可能属于不同的身份属性 $(\Lambda _1,\Lambda _2,...,)$ ，其中 $A_{11} \in \Lambda_1，A_{21} \in \Lambda_2$ 。

在我们的框架中，一个认证策略 $P$ 被加密成一个认证策略列表，这个策略列表中充满了 $P_1,P_2,...,P_{K'})$ ，K’ 是策略列表中所有策略的个数（其实是一个认证策略被加密成一个策略列表，然后列表中由 K’ 个策略，属性只要匹配到一个策略就匹认证成功）。对于每一个属性类别，都分配一个假属性 $\rho_j$ 。为了压缩认证策略的存储成本和确保认证策略的机密性，我们使用 Elgamal 加密来聚合和加密创建一个隐藏的认证策略。

Identity verifier 首先为认证策略计算加密基 $B$ 。这个加密基可以被任何 Identity holder 使用根据认证策略生成加密属性。Identity verifier 选择两个随机数 $\beta \in Z_p^*$ 和 $\gamma \in Z_p^*$ 并且计算：
$(B_0,B_1)= (g_1^\beta,spk^\beta\cdot g_1^\gamma)=(g_1^{\beta},g_1^{s\beta+\gamma})$
之后，为了加密认证策略列表中的一个策略 $P_k = (A_{11},A_{21},...,)$ ， $k = 1, 2, .., K^{'}$ ，Identity Verifier 聚合身份策略为： $\Xi_k = \sum_{A\in P_k} A=A_{11}+A_{21}+$ ，选择一个随机数 $\eta_k \in Z_p^*$ ，并且加密这个认证策略：
$C_k = Enc(P_k)=Enc(\Xi_k)=(C_{k0},C_{k1})=(B_0^{\Xi_k}\cdot g_1^{\eta_k}, B_1^{\Xi_k}\cdot spk^{\eta_k}) = (g_1^{\alpha_k},spk^{\alpha_k}\cdot g_1^{\gamma\Xi_k})$
展开：
$C_{k0} = g_1^{\beta\Xi_k+\eta_k}=g_1^{\alpha_k},C_{k_1}=g_1^{(s\beta+\gamma)\Xi_k+s\eta_k}=g_1^{s\beta\Xi_k+\gamma\Xi_k+s\eta_k}=g_1^{s(\beta\Xi_K+\eta_k)+\gamma\Xi_k}=spk^{\alpha_k}\cdot g_1^{\gamma\Xi_k}$
Identity verifier 使用加密基 $B$ ，对每个认证策略 $P_k = (A_{11},A_{21},...,)$ 加密，对 $P_k$ 加密得到 $C_k，k = 1,...,K'$ ，最终得到 $C=(C_1,C_2,...,C_k')$

On-Chain Authentication

Request Generation

Identity holders 使用身份凭证 $Cred_i$ 和身份属性 $attr_i$ ，生成链上认证请求。

加密身份属性
$attr_i = (a_{i1},a_{i2},...,a_{iK_i}) \rightarrow attr_i' = (U_{i1},U_{i2},...,U_{iK_i})$
加密过程为使用随机数 $\epsilon$ 和基元 $B$ 加密，得到：
$U_{ij} = (U_{ij0},U_{ij1})=(B_{0}^{\epsilon a_{ij}}\cdot g_1^{r_j},B_{1}^{\epsilon a_{ij}}\cdot spk^{r_j})=(g_1^{\beta \epsilon a_{ij}+r_j},g_1^{(s\beta+\gamma)\epsilon a_{ij}}\cdot g_1^{sr_{j}})=(g_1^{\beta \epsilon a_{ij}+r_j},g_1^{s\beta\epsilon a_{ij}+\gamma\epsilon a_{ij}+sr_{j}})=(g_1^{\beta \epsilon a_{ij}+r_j},g_1^{\gamma\epsilon a_{ij}}spk^{\beta\epsilon a_{ij}+r_{j}})$
聚合加密属性 $U_{ij}$ 得到 $W_{i}$ ， $j = 1,...,K_i$
$W_i = (W_{i0},W_{i1})=(\prod_{j=1}^{K_i}U_{ij0},\prod_{j=1}^{K_i}U_{ij1})=(g_1^{\sum_{j=1}^{K_i}(\beta\epsilon a_{ij}+r_j)},g_1^{s\beta\epsilon a_{ij}+\gamma\epsilon a_{ij}+sr_{j}})=(g_1^{\beta \epsilon a_{ij}+r_j},g_1^{\gamma\epsilon \sum_{j=1}^{K_i}a_{ij}}spk^{\sum_{j=1}^{K_i}(\beta\epsilon a_{ij}+r_{j})})$
$C^{'}$ 是被随机化和加密后的认证策略，同样也是由随机数 $\epsilon$ 随机化，其中：
$C_k' = (C_{k0}',C_{k1}')=(C_{k0}^{-\epsilon},C_{k1}^{-\epsilon})=(g_1^{-\epsilon \alpha_k},spk^{-\epsilon\alpha_k}\cdot g_1^{-\epsilon \gamma \Xi_k})$
加密身份属性和认证策略，得到 $V$ ，可以在不需要解密 $V$ 的情况下匹配结果： $V_k =(V_{k0},V_{k1})=(W_{i0}\cdot C_{k0}',W_{i1}\cdot C_{k1}')$
$V_{k0} = g_1^{\sum_{j=1}^{K_i}(\beta\epsilon a_{ij}+r_j)-\epsilon \alpha_k};V_{k1}=g_1^{\gamma\epsilon \sum_{j=1}^{K_i}a_{ij}-\epsilon\gamma\Xi_k}spk^{\sum_{j=1}^{K_i}(\beta\epsilon a_{ij}+r_{j}-\epsilon \alpha_k)})$
总共有 K’ 个匹配结果。如果 holder 身份属性匹配到了身份策略，那么至少会有 1 个对应的匹配结果，例如，明文状态下是 $\gamma\epsilon \sum_{j=1}^{K_i}a_{ij}-\epsilon\gamma\Xi_k = 0$ ，密文情况是 $g_1^{0}=1^{G_1}$ 。此外，为了保证更高的安全性，我们使用随机因子 $\theta_k$ 来洗牌加密 $V$ 。
$V_k =(V_{k0},V_{k1})=(\Psi(V_{k0}\cdot g_1^{\theta_k}),\Psi(V_{k1}\cdot spk^{\theta_k}))$
之后生成一个零知识证明，该证明声明了五个属性：

Identity holder 拥有一个有效的身份凭证 $Cred_i$ ，属性 $attr_i$ ，并且是由一个有效的 Identity issuers 颁发;
身份凭证没有被有效的 issuers 撤销;
属性被加密成 Elgamal 密文 $attr_i'$ ;
匹配算法通过 Identity verifier 的认证策略正确匹配了 holder 的属性， $C^{'}, V^{'}$ 这些中间结果也是被正确生成的;
真实身份可以被 auditor 正确追踪审计;

Request Verification

系统初始化过程中，有 $N$ 个 Identity committee members ${ICM_1,ICM_2,...,ICM_N\}$ ，每个委员共享私钥 $sk_i \in Z_p^*$ ，生成公钥 $spk = g_1^s$ ，多项式为 $sk_i = f(i) = s + \sum_{j=1}^{T-1} coff_j \cdot (i)^j$ mod p。并且每个委员生成 auxiliary 信息， $aux_i = g^{sk_i}$ 。

Identity committee members 验证 holder 产生的证明，如果验证通过，则计算（对验证结果的一个背书）：
$T_{ik} = e(V_{k0}',H_2(spk||ts))^{sk_i}$
其中， $i$ 是第几个委员， $\in 1,...,N$ ， $\in 1,...,K'$ 。后续，Identity committee members 进行投票，如果通过，合约会为其生成一个临时链上访问令牌 $\Delta$ 。文章来源地址https://www.toymoban.com/news/detail-792990.html

到了这里，关于零知识证明论文阅读---Blockchain-Assisted Transparent Cross-Domain Authorization and Authentication for Smart的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！