附　錄　B （資料性附錄） 帶有綁定屬性的信息機制

本附錄解釋了在一些特定環境中使用綁定屬性的必要性以及包含參數選擇的指導。

首先，關于遺漏綁定攻擊的三個例子解釋如下：

例1：在7.3.3的機制4中，實體B向實體A通過發送消息R**B||[Text1]發起鑒別協議。實體A使用消息[Cert**G]||Token**AB進行響應。現在另外一個和實體B在相同群組中的實體B’能夠產生消息[Cert**G’]||Token**BA發送給實體A且沒有被偵測出來。因此，A鑒別出了是B’而不是B發起了鑒別協議。

例2：在7.3.4的機制5中，實體A發送消息RA||[Cert**G]||[Text1]給實體B，與此同時，實體B發送消息R**B||[Cert**G’]||[Text2]給實體A，現在另外一個和實體B在相同群組中的實體B’能夠產生信息TokenBA發送給實體A且沒有被偵測出來。因此，實體A鑒別出是B’而不是B發送了該協議的第一條消息。

例3：在7.3.3的機制4中，群組G’中的實體B通過發送信息R**B||[Text1]向實體A發起鑒別協議。

實體A通過信息[Cert**G]||Token**AB進行響應。如果Token**AB中沒有包含G’，那時，另外一個群組G’’中的實體B’就能夠替換最后的消息并發送[Cert**G’’]||Token**BA給實體A且沒有被偵測出來。因此，A鑒別出是B’而不是B發起的鑒別協議。

在以上例子中，當協議結束，實體B鑒別出實體i，而實體A卻鑒別出了替換發送了第一條信息的實體B的另外一個實體B’。在上面的最后一個例子中，實體可能會考慮B發送的任何信息（基于地址或者B的位置）就像認為它是從群組G’’中成員一樣。然而，事實上實體B卻屬于群組i’，這種遺漏綁定攻擊改變了鑒別協議的完整性。這種攻擊是可能的，因為在一個實體發送的信息之間是沒有綁定的。

在機制4中的其它形式遺漏綁定攻擊如下：

例4：在機制4中，實體B通過發送信息R**B||[Text1]向A發起鑒別協議，實體A通過信息[Cert**G] ||Token**AB進行響應。實體B發送[Cert**G’]||Token**BA作為第一條消息，現在另外一個和B屬于同一群組的實體B’能夠攔截最后的消息并且使用它自己的簽名替換Token**BA中的群組簽名gsS**BG’(R**B||R**A ||[G]||[Text4])。最后，鑒別協議成功。然而，實體A使用實體B’的簽名鑒別出了實體B。這種攻擊在使用傳統簽名的傳統鑒別機制中是不可能的，因為實體A能夠立即偵測出這種替換。

在上述例子中，遺漏綁定攻擊也許不是一個問題，因為實體A并不關心鑒別出的是實體B還是實體B’，實體A也許僅僅關心是否鑒別出了群組G’中的一個成員。然而， 在一些使用場景中，這種遺漏綁定攻擊需要被關注，例如，在鑒別協議中使用的匿名數字簽名具有打開能力，實體A也許會周期的發送它所收集到的全部群組簽名給打開方。如果被允許，實體A可以獲得一些統計，例如，一個實體被鑒別了多少次。實體A可以獲得在這種遺漏綁定攻擊下的全部錯誤統計。

實體鑒別協議的綁定屬性是一種確保一個交互實體所有的信息都被綁定在一起的屬性，如果這些信息中的一個或者一部分被篡改或重放，這種變動能夠被協議偵測出來。因此，綁定屬性在鑒別協議的完整性上提供了高可靠性。一般情況下，為了獲得綁定屬性，需要使用到Diffie-Hellman密鑰管理技術。使用Diffie-Hellman的目標不是為了兩個實體之間的密鑰管理，而是為了確保協議信息的完整性。

在7.5和7.6這些帶有綁定屬性的機制中，階q在循環群G上的DDH問題是困難的，實體A和實體B選擇群G中的生成元g，兩個選擇循環群G的例子如下所示：

——傳統機制：選擇大素數p和q，以致于p-1是i的倍數循環群G是被定義在Zp上的子群。選擇一個數g，該數對p求模的結果是q（更多信息請參考ISO/IEC 11770-3 [6]）。然后，在7.5和7.6的機制中去計算g^a^和g^a^模p*。

——基于橢圓曲線的機制：選擇一個橢圓群G上的大素數p和一個生成點g（更多關于橢圓曲線的信息請參考ISO/IEC 15946-1[7]）。然后，在7.5和7.6的機制中計算g**^a^和點乘運算[a]g。