支持部分隱藏訪問控制策略的屬性認證方案

崔榮濤 柳欣 寧文龍 韓芳 朱德寶

摘要：相對于傳統的群簽名技術，屬性認證方案可以更好地解決云資源的細粒度準入控制和用戶隱私保護問題。然而，在多數的已有方案中，用戶需要在認證階段執行大量的在線運算。而且，已有方案并未考慮云服務提供商對訪問控制策略中的屬性值進行隱藏的問題。在Yang等方案基礎上提出改進的屬性認證方案，新方案可以更好地保護誠實用戶的隱私，支持對訪問控制策略的部分隱藏，而且用戶在認證階段的運算效率更高。

關鍵詞： 云計算安全;隱私保護;屬性認證;訪問控制策略

中圖分類號：TP309.7? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）13-0006-03

Abstract：Compared with traditional group signatures， attribute-based authentication schemes can better solve the problems of fine-grained access control on cloud resources and the protection of user privacy. However， in most existing schemes， users need to perform a large amount of online computation during the authentication phase. Furthermore， the existing solutions do not address the issue of allowing cloud service providers to hide attribute values in access control policies. Based on Yang et al.s attribute-based authentication scheme， an improved scheme was proposed. The new scheme provides stronger privacy protection for honest users and supports hidden access structures. In addition， users computing burden is alleviated during the authentication phase.

Key words：cloud computing security; privacy-preserving; attribute-based authentication; access control policy

1 引言

在云計算環境下，對資源的授權訪問和用戶隱私保護是最重要的兩個問題。群簽名[1]技術提供了最初的解決方案，即用戶通過執行注冊過程成為合法的群成員，并且在訪問階段通過產生群簽名實現匿名身份認證。此外，SP（SP， Service Provider）負責充當群簽名的驗證者。然而，這種認證方式存在以下弊端，即群管理員（GM， Group Manager）的權限過大。所有用戶的訪問權限都是相同的，即不支持對資源的細粒度訪問控制。為了解決這個問題，屬性認證（ABA， Attribute-based Authentication）技術應運而生。ABA的基本思路是，除了U（User），GM和SP之外，再增加一個屬性權威（AA， Attribute Authority）的角色。AA負責為U頒發與個人屬性相對應的屬性私鑰。為了實現對資源的細粒度訪問控制，SP可以定義基于屬性的訪問控制策略W。在認證過程中，U需要向SP證明自己的屬性集合L能滿足W。同時，為了保護個人隱私，U并不需要直接向SP提供自己的屬性值。

在文獻[2]中，Yang等提出基于一次性屬性樹的ABA方案，從而滿足屬性經常發生變化的動態應用環境的需要。在文獻[3]中，Li等提出面向企業計算的ABA方案。該方案將所有用戶劃分為多個用戶群體。在認證階段，同一群體中的所有用戶必須對所掌握的屬性私鑰進行合并。在文獻[4]中，Kaaniche等提出基于屬性簽名技術構造ABA方案的一般性方法。最近，文獻[5]提出支持LSSS（Linear Secret Sharing Schemes）訪問控制策略的ABA方案，而且可以在可信計算平臺上進行部署。然而，上述方案的缺點是W是以明文形式提供的，SP無法對W中的屬性進行隱藏，從而無法防止競爭對手推斷出自己的商業策略。此外，多數方案的認證階段效率不高，即用戶的在線運算量受到W規模的影響。

在本文中，我們對Yang等的方案做出改進，得到性能更優的ABA方案。新方案的優點是：①削弱了GM的權限，即使GM與SP串通，也無法推斷出誠實用戶的身份。②引入了Nishide等[6]的密文策略屬性加密（CP-ABE， Ciphertext Policy Attribute-based Encryption）技術，從而支持SP對W中的屬性值部分地進行隱藏。③利用外包解密技術減輕了用戶在認證階段的運算量。

2 預備知識

2.1 非對稱的雙線性群環境

令[FG=（G1，G2，GT，G1，G2，p，e）]表示非對稱的雙線性群環境[7]，其中[G1，G2]表示素數[p]階橢圓曲線群，[GT]表示素數[p]階乘法群。[G1]與[G2]分別表示群[G1]和[G2]的生成元。[e]表示雙線性映射，且滿足以下性質：①對于所有的[U∈G1，V∈G2]以及[a，b∈?p]，[e（aU，bV）=e（U，V）ab]成立。②[e（G1，G2）]為群[GT]的生成元。③對于所有的[U∈G1，] [V∈G2]，存在可以有效計算[e（U，V）]的算法。

2.2 安全假設

DDH（the Decisional Diffie-Hellman）假設[7]：該假設表明不存在能在不可忽略概率下對元組[（G1，aG1，bG1，abG1）]和[（G1，aG1，] [bG1，zG1）]進行分辨的概率多項式時間算法，其中[a，b，z]為在域[?*p]中隨機選取的元素。

2.3 知識簽名

知識簽名是一種特殊的數字簽名，使得驗證者既能獲得得到簽名的消息，也可以確信簽名者掌握了某個滿足特定數學關系的秘密[8]。最簡單的知識簽名可以表示為[π=SPK{（x）：Y=xG}（m）]。

2.4 部分隱藏訪問控制策略的CP-ABE

在文獻[7]中，Nishide等提出可以對訪問控制策略進行部分隱藏的CP-ABE方案。假設屬性全集為[{A1，A2，...，An}]，且每個屬性[Ai]可以取子集[Si={vi，1，vi，2，...，vi，ni}]中的任何值。用戶屬性列表[L=[L1，...，Ln]]滿足[Li∈Si]。加密方定義訪問控制策略[W=[W1，...，Wn]]，其中[Wi?Si]。[L]滿足[W]等價于對于[i=1，...，n]，滿足[Li∈Wi]。在加密階段，對于[i=1，...，n]，加密方產生密文元素[Ci，1，] [Ci，ti，21≤ti≤ni]，其中，[Ci，1]的取值與[Wi]無關。[Ci，ti，21≤ti≤ni]的取值與[Wi]有關。對于用戶，只要[L]滿足[W]，就能利用解密私鑰[SKL]對有意義的密文[（Ci，ti，1，Ci，ti，2）]執行解密，從而恢復明文。若[L]不滿足[W]，當利用[SKL]對隨機密文[（Ci，ti，1，Ci，ti，2）]執行解密時，只能遭遇失敗。

3 新方案的具體描述

Setup.以安全性參數[κ]為輸入，[GM]執行以下操作：

（1）定義雙線性群環境[FG]，對于該環境，要求：①DDH（the Decisional Diffie-Hellman）問題在群[G1]上是困難的。②不存在可以有效計算的同態[ψ：G1→G2]。定義抗碰撞的散列函數[H：{0，1}*→?p]。選取[G，G0，G1∈G1，G2∈G2]，公開系統參數[params=（p，G1，G2，GT，] [e，G，G0，G1，G2）]。選取[γ∈?*p]，設置[PKGM=M=γG2]。

（2）公開[PKGM，params]，秘密保存[SKGM=γ]。

AASetup.[AA]執行以下操作：

（1）定義屬性全集[A={A1，A2，...，An}]，每個屬性[Ai]的所有可能取值構成集合[Si=]? [{vi，1，vi，2，...，vi，ni}]且[ni=|Si|]。選取[w，β∈?*p]，計算[Y=e（G1，G2）w，B=βG1]。對于[i=1，...，n]，選取[{ai，ti∈?*p}1≤ti≤ni]，設置[{Ai，ti=ai，tiG1}1≤ti≤ni]。

（2）公開[PKAA=（Y，B，{Ai，ti}1≤ti≤ni1≤i≤n）]，秘密保存[MKAA=（w，β，{ai，ti}1≤ti≤ni1≤i≤n）]。

Registration. [U]與[GM]執行以下操作：

（1）[U]選取[y，x∈?p]，計算[C=yG0+][xG1]，并且向[GM]提供[C，π1=SPK{（y，x）：] [C=yG0+xG1}（req）]，[req]表示注冊請求。

（2）若[π1]通過驗證，[GM]選取[y，e∈?p]，計算[A=（γ+e）-1（G+C+yG0）]，然后向[U]返回[（A，y，e）]。

（3）[U]設置[y=y+ymodp]，檢查是否滿足[e（A，+eG2）=e（G+yG0+][xG1，G2）]。若滿足，則保存[certU=（A，y，e）]。

AKeyGen. [U]與[AA]執行以下操作：

（1）[U]向[AA]提供[C，π2=SPK{（A，] [x，y，e）：A=（γ+e）-1（G+yG0+][xG1）}（L）]，申請的屬性集合[L=[v1，t1，v2，t2，...，vn，tn]]以及證據，使得對于[i=1，...，n]，滿足[vi，ti∈Si]。

（2）若[π2]有效且[AA]確信[U]的確擁有屬性集合[L]，[AA]為[U]產生對應的屬性解密私鑰[SKL=（D0，{Di，1，Di，2}1≤i≤n）]。具體步驟如下：選取[s∈?p]，計算[D0=（w+s）β-1G2]。對于[i=1，...，n]，選取[λi∈?p]，設置[Di，1=] [（s+ai，tiλi）G2，Di，2=λiG2]，其中[Li=vi，ti]。

4 方案的安全性分析

在本節，我們證明新方案滿足正確性和多個理想的安全性質。

（1）正確性：該性質可以根據以下兩個命題直接得出。

命題1. 給定服務器返回的運算結果[K′p]，[U]可以據此恢復得到[Kp=e（g1，g2）wr]。

命題2.只要[Kp]和[π3]是采用誠實方式產生的，[π3]必然能通過[SP]的驗證。

（2）匿名性與無關聯性：在認證過程中，U僅向SP提供盲化后的元素[A]、承諾[A1]以及知識簽名[π3]。顯然，SP無法從這些元素中提取出有關用戶真實身份的有用信息，無法對同一個用戶的兩次認證過程進行關聯，也無法將同一個用戶執行的認證過程與注冊過程或屬性私鑰產生過程關聯起來。

（3）不可偽造性：根據底層簽名方案的不可偽造性和底層CP-ABE方案的選擇CPA（Chosen Plaintext Attack）安全性，非法用戶無法通過偽造成員證書而獲得申請屬性私鑰的資格，也無法通過直接偽造知識簽名[π3]通過與SP間的認證過程。

（4）抗聯合攻擊：根據屬性私鑰[SKL=（D0，{Di，1，Di，2}1≤i≤n）]的產生過程，AA在元素[D0]中嵌入了隨機數[s]，在元素[{Di，1，Di，2}1≤i≤n]中嵌入了隨機數[λi1≤i≤n]。同時，AA在為不同的用戶產生屬性私鑰的過程中選取不同的隨機數[s，λi1≤i≤n]。因此，合謀的用戶無法通過對各自擁有的屬性私鑰進行合并，從而在L不滿足W的情況下，通過聯合攻擊實現對SP的欺騙。

5 結論

針對已有屬性認證方案的GM權限過大、不支持隱藏的訪問策略以及用戶在認證階段運算量大的缺陷，提出一個性能更優的改進方案。同時，證明改進方案滿足匿名性、無關聯性、不可偽造性等安全性質。今后的工作將集中于以下方面，為所設計的方案提供形式化的安全性分析，通過仿真實驗對方案的性能進行深入分析等。

參考文獻：

[1] 柳欣，徐秋亮，張波.滿足可控關聯性的合作群簽名方案[J].山東大學學報（理學版），2016，51（9）：18-35.

[2] Yang H H，Oleshchuk V A. An efficient traceable attribute-based authentication scheme with one-time attribute trees[C].Proceedings of NordSec 2015， Switzerland： Springer International Publishing， 2015： 123-135..

[3] Li M T，Huang X Y，Liu J K，et al.Cooperative attribute-based access control for enterprise computing system[J].International Journal of Embedded Systems，2015，7（3/4）：191-202.

[4] Kaaniche N，Laurent M.Attribute-based signatures for supporting anonymous certification[C].Proceedings of ESORICS 2016， Cham： Springer，2016， 279-300.

[5] 柳欣，徐秋亮，張斌，等.基于直接匿名證明的k次屬性認證方案[J].通信學報，2018，39（12）：113-133.

[6] Nishide T，Yoneyama K，Ohta K.Attribute-based encryption with partially hidden encryptor-specified access structures[C].Proceedings of ACNS 2008， Berlin： Springer， 2008，111-129.

[7] Guo F C，Susilo W，Mu Y.Introduction to security reduction[M].Cham：Springer International Publishing，2018.

[8] Bichsel P，Camenisch J，Neven G，et al.Get shorty via group signatures without encryption[C]. Proceedings of SCN 2010， Berlin： Springer，2010：381-398.

[9] Au M H，Susilo W，Mu Y.Constant-size dynamic k-TAA[C]. Proceedings of SCN 2006， Berlin： Springer，2006：111-125.

[10] Green M， Hohenberger S， Waters B. Outsourcing the decryption of abe ciphertexts[C]. Proceedings of SEC 2011， Berkeley： USENIX Association， 2011：34-34.

【通聯編輯：代影】