支持部分隱藏訪問(wèn)控制策略的屬性認(rèn)證方案

崔榮濤 柳欣 寧文龍 韓芳 朱德寶

摘要：相對(duì)于傳統(tǒng)的群簽名技術(shù)，屬性認(rèn)證方案可以更好地解決云資源的細(xì)粒度準(zhǔn)入控制和用戶(hù)隱私保護(hù)問(wèn)題。然而，在多數(shù)的已有方案中，用戶(hù)需要在認(rèn)證階段執(zhí)行大量的在線運(yùn)算。而且，已有方案并未考慮云服務(wù)提供商對(duì)訪問(wèn)控制策略中的屬性值進(jìn)行隱藏的問(wèn)題。在Yang等方案基礎(chǔ)上提出改進(jìn)的屬性認(rèn)證方案，新方案可以更好地保護(hù)誠(chéng)實(shí)用戶(hù)的隱私，支持對(duì)訪問(wèn)控制策略的部分隱藏，而且用戶(hù)在認(rèn)證階段的運(yùn)算效率更高。

關(guān)鍵詞： 云計(jì)算安全;隱私保護(hù);屬性認(rèn)證;訪問(wèn)控制策略

中圖分類(lèi)號(hào)：TP309.7? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）13-0006-03

Abstract：Compared with traditional group signatures， attribute-based authentication schemes can better solve the problems of fine-grained access control on cloud resources and the protection of user privacy. However， in most existing schemes， users need to perform a large amount of online computation during the authentication phase. Furthermore， the existing solutions do not address the issue of allowing cloud service providers to hide attribute values in access control policies. Based on Yang et al.s attribute-based authentication scheme， an improved scheme was proposed. The new scheme provides stronger privacy protection for honest users and supports hidden access structures. In addition， users computing burden is alleviated during the authentication phase.

Key words：cloud computing security; privacy-preserving; attribute-based authentication; access control policy

1 引言

在云計(jì)算環(huán)境下，對(duì)資源的授權(quán)訪問(wèn)和用戶(hù)隱私保護(hù)是最重要的兩個(gè)問(wèn)題。群簽名[1]技術(shù)提供了最初的解決方案，即用戶(hù)通過(guò)執(zhí)行注冊(cè)過(guò)程成為合法的群成員，并且在訪問(wèn)階段通過(guò)產(chǎn)生群簽名實(shí)現(xiàn)匿名身份認(rèn)證。此外，SP（SP， Service Provider）負(fù)責(zé)充當(dāng)群簽名的驗(yàn)證者。然而，這種認(rèn)證方式存在以下弊端，即群管理員（GM， Group Manager）的權(quán)限過(guò)大。所有用戶(hù)的訪問(wèn)權(quán)限都是相同的，即不支持對(duì)資源的細(xì)粒度訪問(wèn)控制。為了解決這個(gè)問(wèn)題，屬性認(rèn)證（ABA， Attribute-based Authentication）技術(shù)應(yīng)運(yùn)而生。ABA的基本思路是，除了U（User），GM和SP之外，再增加一個(gè)屬性權(quán)威（AA， Attribute Authority）的角色。AA負(fù)責(zé)為U頒發(fā)與個(gè)人屬性相對(duì)應(yīng)的屬性私鑰。為了實(shí)現(xiàn)對(duì)資源的細(xì)粒度訪問(wèn)控制，SP可以定義基于屬性的訪問(wèn)控制策略W。在認(rèn)證過(guò)程中，U需要向SP證明自己的屬性集合L能滿(mǎn)足W。同時(shí)，為了保護(hù)個(gè)人隱私，U并不需要直接向SP提供自己的屬性值。

在文獻(xiàn)[2]中，Yang等提出基于一次性屬性樹(shù)的ABA方案，從而滿(mǎn)足屬性經(jīng)常發(fā)生變化的動(dòng)態(tài)應(yīng)用環(huán)境的需要。在文獻(xiàn)[3]中，Li等提出面向企業(yè)計(jì)算的ABA方案。該方案將所有用戶(hù)劃分為多個(gè)用戶(hù)群體。在認(rèn)證階段，同一群體中的所有用戶(hù)必須對(duì)所掌握的屬性私鑰進(jìn)行合并。在文獻(xiàn)[4]中，Kaaniche等提出基于屬性簽名技術(shù)構(gòu)造ABA方案的一般性方法。最近，文獻(xiàn)[5]提出支持LSSS（Linear Secret Sharing Schemes）訪問(wèn)控制策略的ABA方案，而且可以在可信計(jì)算平臺(tái)上進(jìn)行部署。然而，上述方案的缺點(diǎn)是W是以明文形式提供的，SP無(wú)法對(duì)W中的屬性進(jìn)行隱藏，從而無(wú)法防止競(jìng)爭(zhēng)對(duì)手推斷出自己的商業(yè)策略。此外，多數(shù)方案的認(rèn)證階段效率不高，即用戶(hù)的在線運(yùn)算量受到W規(guī)模的影響。

在本文中，我們對(duì)Yang等的方案做出改進(jìn)，得到性能更優(yōu)的ABA方案。新方案的優(yōu)點(diǎn)是：①削弱了GM的權(quán)限，即使GM與SP串通，也無(wú)法推斷出誠(chéng)實(shí)用戶(hù)的身份。②引入了Nishide等[6]的密文策略屬性加密（CP-ABE， Ciphertext Policy Attribute-based Encryption）技術(shù)，從而支持SP對(duì)W中的屬性值部分地進(jìn)行隱藏。③利用外包解密技術(shù)減輕了用戶(hù)在認(rèn)證階段的運(yùn)算量。

2 預(yù)備知識(shí)

2.1 非對(duì)稱(chēng)的雙線性群環(huán)境

令[FG=（G1，G2，GT，G1，G2，p，e）]表示非對(duì)稱(chēng)的雙線性群環(huán)境[7]，其中[G1，G2]表示素?cái)?shù)[p]階橢圓曲線群，[GT]表示素?cái)?shù)[p]階乘法群。[G1]與[G2]分別表示群[G1]和[G2]的生成元。[e]表示雙線性映射，且滿(mǎn)足以下性質(zhì)：①對(duì)于所有的[U∈G1，V∈G2]以及[a，b∈?p]，[e（aU，bV）=e（U，V）ab]成立。②[e（G1，G2）]為群[GT]的生成元。③對(duì)于所有的[U∈G1，] [V∈G2]，存在可以有效計(jì)算[e（U，V）]的算法。

2.2 安全假設(shè)

DDH（the Decisional Diffie-Hellman）假設(shè)[7]：該假設(shè)表明不存在能在不可忽略概率下對(duì)元組[（G1，aG1，bG1，abG1）]和[（G1，aG1，] [bG1，zG1）]進(jìn)行分辨的概率多項(xiàng)式時(shí)間算法，其中[a，b，z]為在域[?*p]中隨機(jī)選取的元素。

2.3 知識(shí)簽名

知識(shí)簽名是一種特殊的數(shù)字簽名，使得驗(yàn)證者既能獲得得到簽名的消息，也可以確信簽名者掌握了某個(gè)滿(mǎn)足特定數(shù)學(xué)關(guān)系的秘密[8]。最簡(jiǎn)單的知識(shí)簽名可以表示為[π=SPK{（x）：Y=xG}（m）]。

2.4 部分隱藏訪問(wèn)控制策略的CP-ABE

在文獻(xiàn)[7]中，Nishide等提出可以對(duì)訪問(wèn)控制策略進(jìn)行部分隱藏的CP-ABE方案。假設(shè)屬性全集為[{A1，A2，...，An}]，且每個(gè)屬性[Ai]可以取子集[Si={vi，1，vi，2，...，vi，ni}]中的任何值。用戶(hù)屬性列表[L=[L1，...，Ln]]滿(mǎn)足[Li∈Si]。加密方定義訪問(wèn)控制策略[W=[W1，...，Wn]]，其中[Wi?Si]。[L]滿(mǎn)足[W]等價(jià)于對(duì)于[i=1，...，n]，滿(mǎn)足[Li∈Wi]。在加密階段，對(duì)于[i=1，...，n]，加密方產(chǎn)生密文元素[Ci，1，] [Ci，ti，21≤ti≤ni]，其中，[Ci，1]的取值與[Wi]無(wú)關(guān)。[Ci，ti，21≤ti≤ni]的取值與[Wi]有關(guān)。對(duì)于用戶(hù)，只要[L]滿(mǎn)足[W]，就能利用解密私鑰[SKL]對(duì)有意義的密文[（Ci，ti，1，Ci，ti，2）]執(zhí)行解密，從而恢復(fù)明文。若[L]不滿(mǎn)足[W]，當(dāng)利用[SKL]對(duì)隨機(jī)密文[（Ci，ti，1，Ci，ti，2）]執(zhí)行解密時(shí)，只能遭遇失敗。

3 新方案的具體描述

Setup.以安全性參數(shù)[κ]為輸入，[GM]執(zhí)行以下操作：

（1）定義雙線性群環(huán)境[FG]，對(duì)于該環(huán)境，要求：①DDH（the Decisional Diffie-Hellman）問(wèn)題在群[G1]上是困難的。②不存在可以有效計(jì)算的同態(tài)[ψ：G1→G2]。定義抗碰撞的散列函數(shù)[H：{0，1}*→?p]。選取[G，G0，G1∈G1，G2∈G2]，公開(kāi)系統(tǒng)參數(shù)[params=（p，G1，G2，GT，] [e，G，G0，G1，G2）]。選取[γ∈?*p]，設(shè)置[PKGM=M=γG2]。

（2）公開(kāi)[PKGM，params]，秘密保存[SKGM=γ]。

AASetup.[AA]執(zhí)行以下操作：

（1）定義屬性全集[A={A1，A2，...，An}]，每個(gè)屬性[Ai]的所有可能取值構(gòu)成集合[Si=]? [{vi，1，vi，2，...，vi，ni}]且[ni=|Si|]。選取[w，β∈?*p]，計(jì)算[Y=e（G1，G2）w，B=βG1]。對(duì)于[i=1，...，n]，選取[{ai，ti∈?*p}1≤ti≤ni]，設(shè)置[{Ai，ti=ai，tiG1}1≤ti≤ni]。

（2）公開(kāi)[PKAA=（Y，B，{Ai，ti}1≤ti≤ni1≤i≤n）]，秘密保存[MKAA=（w，β，{ai，ti}1≤ti≤ni1≤i≤n）]。

Registration. [U]與[GM]執(zhí)行以下操作：

（1）[U]選取[y，x∈?p]，計(jì)算[C=yG0+][xG1]，并且向[GM]提供[C，π1=SPK{（y，x）：] [C=yG0+xG1}（req）]，[req]表示注冊(cè)請(qǐng)求。

（2）若[π1]通過(guò)驗(yàn)證，[GM]選取[y，e∈?p]，計(jì)算[A=（γ+e）-1（G+C+yG0）]，然后向[U]返回[（A，y，e）]。

（3）[U]設(shè)置[y=y+ymodp]，檢查是否滿(mǎn)足[e（A，+eG2）=e（G+yG0+][xG1，G2）]。若滿(mǎn)足，則保存[certU=（A，y，e）]。

AKeyGen. [U]與[AA]執(zhí)行以下操作：

（1）[U]向[AA]提供[C，π2=SPK{（A，] [x，y，e）：A=（γ+e）-1（G+yG0+][xG1）}（L）]，申請(qǐng)的屬性集合[L=[v1，t1，v2，t2，...，vn，tn]]以及證據(jù)，使得對(duì)于[i=1，...，n]，滿(mǎn)足[vi，ti∈Si]。

（2）若[π2]有效且[AA]確信[U]的確擁有屬性集合[L]，[AA]為[U]產(chǎn)生對(duì)應(yīng)的屬性解密私鑰[SKL=（D0，{Di，1，Di，2}1≤i≤n）]。具體步驟如下：選取[s∈?p]，計(jì)算[D0=（w+s）β-1G2]。對(duì)于[i=1，...，n]，選取[λi∈?p]，設(shè)置[Di，1=] [（s+ai，tiλi）G2，Di，2=λiG2]，其中[Li=vi，ti]。

4 方案的安全性分析

在本節(jié)，我們證明新方案滿(mǎn)足正確性和多個(gè)理想的安全性質(zhì)。

（1）正確性：該性質(zhì)可以根據(jù)以下兩個(gè)命題直接得出。

命題1. 給定服務(wù)器返回的運(yùn)算結(jié)果[K′p]，[U]可以據(jù)此恢復(fù)得到[Kp=e（g1，g2）wr]。

命題2.只要[Kp]和[π3]是采用誠(chéng)實(shí)方式產(chǎn)生的，[π3]必然能通過(guò)[SP]的驗(yàn)證。

（2）匿名性與無(wú)關(guān)聯(lián)性：在認(rèn)證過(guò)程中，U僅向SP提供盲化后的元素[A]、承諾[A1]以及知識(shí)簽名[π3]。顯然，SP無(wú)法從這些元素中提取出有關(guān)用戶(hù)真實(shí)身份的有用信息，無(wú)法對(duì)同一個(gè)用戶(hù)的兩次認(rèn)證過(guò)程進(jìn)行關(guān)聯(lián)，也無(wú)法將同一個(gè)用戶(hù)執(zhí)行的認(rèn)證過(guò)程與注冊(cè)過(guò)程或?qū)傩运借€產(chǎn)生過(guò)程關(guān)聯(lián)起來(lái)。

（3）不可偽造性：根據(jù)底層簽名方案的不可偽造性和底層CP-ABE方案的選擇CPA（Chosen Plaintext Attack）安全性，非法用戶(hù)無(wú)法通過(guò)偽造成員證書(shū)而獲得申請(qǐng)屬性私鑰的資格，也無(wú)法通過(guò)直接偽造知識(shí)簽名[π3]通過(guò)與SP間的認(rèn)證過(guò)程。

（4）抗聯(lián)合攻擊：根據(jù)屬性私鑰[SKL=（D0，{Di，1，Di，2}1≤i≤n）]的產(chǎn)生過(guò)程，AA在元素[D0]中嵌入了隨機(jī)數(shù)[s]，在元素[{Di，1，Di，2}1≤i≤n]中嵌入了隨機(jī)數(shù)[λi1≤i≤n]。同時(shí)，AA在為不同的用戶(hù)產(chǎn)生屬性私鑰的過(guò)程中選取不同的隨機(jī)數(shù)[s，λi1≤i≤n]。因此，合謀的用戶(hù)無(wú)法通過(guò)對(duì)各自擁有的屬性私鑰進(jìn)行合并，從而在L不滿(mǎn)足W的情況下，通過(guò)聯(lián)合攻擊實(shí)現(xiàn)對(duì)SP的欺騙。

5 結(jié)論

針對(duì)已有屬性認(rèn)證方案的GM權(quán)限過(guò)大、不支持隱藏的訪問(wèn)策略以及用戶(hù)在認(rèn)證階段運(yùn)算量大的缺陷，提出一個(gè)性能更優(yōu)的改進(jìn)方案。同時(shí)，證明改進(jìn)方案滿(mǎn)足匿名性、無(wú)關(guān)聯(lián)性、不可偽造性等安全性質(zhì)。今后的工作將集中于以下方面，為所設(shè)計(jì)的方案提供形式化的安全性分析，通過(guò)仿真實(shí)驗(yàn)對(duì)方案的性能進(jìn)行深入分析等。

參考文獻(xiàn)：

[1] 柳欣，徐秋亮，張波.滿(mǎn)足可控關(guān)聯(lián)性的合作群簽名方案[J].山東大學(xué)學(xué)報(bào)（理學(xué)版），2016，51（9）：18-35.

[2] Yang H H，Oleshchuk V A. An efficient traceable attribute-based authentication scheme with one-time attribute trees[C].Proceedings of NordSec 2015， Switzerland： Springer International Publishing， 2015： 123-135..

[3] Li M T，Huang X Y，Liu J K，et al.Cooperative attribute-based access control for enterprise computing system[J].International Journal of Embedded Systems，2015，7（3/4）：191-202.

[4] Kaaniche N，Laurent M.Attribute-based signatures for supporting anonymous certification[C].Proceedings of ESORICS 2016， Cham： Springer，2016， 279-300.

[5] 柳欣，徐秋亮，張斌，等.基于直接匿名證明的k次屬性認(rèn)證方案[J].通信學(xué)報(bào)，2018，39（12）：113-133.

[6] Nishide T，Yoneyama K，Ohta K.Attribute-based encryption with partially hidden encryptor-specified access structures[C].Proceedings of ACNS 2008， Berlin： Springer， 2008，111-129.

[7] Guo F C，Susilo W，Mu Y.Introduction to security reduction[M].Cham：Springer International Publishing，2018.

[8] Bichsel P，Camenisch J，Neven G，et al.Get shorty via group signatures without encryption[C]. Proceedings of SCN 2010， Berlin： Springer，2010：381-398.

[9] Au M H，Susilo W，Mu Y.Constant-size dynamic k-TAA[C]. Proceedings of SCN 2006， Berlin： Springer，2006：111-125.

[10] Green M， Hohenberger S， Waters B. Outsourcing the decryption of abe ciphertexts[C]. Proceedings of SEC 2011， Berkeley： USENIX Association， 2011：34-34.

【通聯(lián)編輯：代影】