随着云计算等新型计算模式的推广,越来越多的重要数据信息被外包存储在云服务器,此外,大量的外包计算服务也将由云服务器统一完成.然而,云计算服务运行在第三方云平台提供商,用户与云平台提供商之间无法建立可信关系,这将可能造成数据信息和用户隐私的泄露,并由此产生诸多安全问题.面对云服务提供商不断爆出的安全事故,人们对云计算环境中的用户数据安全性和隐私性的忧虑与日俱增[1-2].解决这些问题的一种常规做法是,在上传数据到云端之前先对数据进行加密,再将数据以密文的形式存储到云端.但是传统的访问控制模型、敏感数据保护方法和理论的局限性已不能满足用户对数据的安全性、机密性与细粒度访问控制的要求.用户将数据以密文的形式存储到云端后,很可能还需要对密文进行控制.而传统的公钥加密体制仅支持一对一的加密,并不能有效地实现这种数据分享.为解决这一问题,2005年Sahai和Waters在欧密会上首次提出属性基加密(attribute-based encryption, ABE)的概念[3].在属性基加密体制中,用户的身份由一个描述性属性集标识,密文或者密钥与一个访问结构相关联,当用户的属性满足指定的访问结构的时候,用户可以成功解密密文.属性基加密体制可以实现一对多的加密以及细粒度的访问控制,可以很好地解决云计算中的访问控制、数据安全和隐私等关键问题,得到了国内外学术界和工业界的高度重视.
属性基签名方案的匿名性能保护签名者的隐私不被泄露,但恶意的签名者可能滥用签名而无法被追踪,因此追踪恶意签名者的身份是一个富有挑战性的问题.同时在特定的应用场景中,需要传输的文件包含部分敏感信息,因此如何在数据传输中保证这些信息不被泄露也亟待解决.
本文的主要贡献包括3个方面:
1) 提出了标准模型下安全的可追踪属性基净化签名(traceable attribute-based sanitizable signature, T-ABSS)方案.
2) 提出的方案不仅保护了签名者的隐私、提供细粒度访问控制,避免恶意签名者滥用签名,同时还解决了数据传输中的敏感信息隐藏问题.
3) 在标准模型下证明了方案的安全性,其安全性可规约到CDH问题的困难性假设.
1 相关工作
根据访问策略部署位置的不同,ABE[4]可以划分为密钥策略属性基加密(KP-ABE)和密文策略属性基加密(CP-ABE).在KP-ABE[5-7]中,密文和一个描述性属性集合相关联,用户的私钥是由描述用户解密权限的访问结构生成.当且仅当密文的属性集合满足用户的访问结构时,用户才可以解密密文.在CP-ABE[8-14]方案中,密文与一个访问结构相关联,密钥由一个描述性属性集合标记,当且仅当密钥的属性集合满足密文的访问结构时用户才能成功解密.
虽然ABE提供数据的保密性并且支持细粒度访问控制,但是不支持完整性和认证性.属性基签名(attribute-based signature, ABS)是解决这一问题的重要密码技术.2011年Maji等人首次提出ABS方案[15],给出了ABS方案的通用构造方法并在一般群模型中证明了方案的安全性.2011年Okamoto等人提出一种支持非单调访问结构的高效ABS签名方案[16],并在标准模型下给出了方案的安全性证明.2020年张应辉等人[17-18]提出服务器辅助且可验证的属性基签名方案,并应用于工业物联网中.属性基签名方案具有匿名性,可以隐藏签名者的真实身份,但恶意的签名者却能利用这一特性滥用签名而无法被追踪.为了解决这一问题,2011年Alex等人[19]提出了可追踪身份的ABS方案.一旦恶意情况发生,私钥生成中心(Private Key Generator, PKG)可以使用追踪密钥确定签名者的真实身份.由于方案使用自同构签名并多次使用非交互证据不可区分,从而导致方案效率较低.2012年张秋璞等人[20]基于紧致群签名方案,提出一种可追踪身份的ABS方案,减少了非交互证据不可区分的使用次数且无须使用自同构签名,提高了方案的计算效率.由于这些方案使用单一密钥授权机构,存在密钥托管问题.2014年Kaafarani等人[21]提出一种可追踪身份的分布式属性基签名方案.由于用户私钥由多授权机构共同产生,因此减轻了密钥托管问题.可追踪身份的属性基签名方案不仅可以确保数据的完整性,而且可以防止恶意签名者滥用签名,能够应用于不需要完全匿名的应用场景,如电子金融交易、工程项目审批等.但在一些特殊的应用场景(电子商务或者是电子医疗系统)中,因为客户资金转账细节不能公开或是病患的诊疗结果要求保密等,需要对签名数据中的一些敏感信息进行修改使隐私部分不再公开可见,这样的方法称为“净化”.可净化数字签名(sanitizable signature)允许净化者在不知道原始签名者私钥的前提下修改已签名数据的部分内容,并为净化后的数据生成有效签名[22].2005年Ateniese等人[23]利用变色龙哈希函数提出一种可净化签名方案并在随机预言模型下给出了方案的安全性证明,该方案具有不变性和强透明性.2011年Ming等人[24]提出了基于身份的可净化签名方案并在标准模型下证明了方案的安全性.由于该方案在验证过程中需要使用签名者身份作为公钥,因此无法提供匿名性.为了实现签名者的匿名性,2013年Liu等人[25-26]提出了属性基可净化签名方案,在解决敏感信息隐藏的同时也保证了签名者的匿名性.2020年Samelin等人[27]提出了一个属性基可净化签名方案,可以实现对净化者的完全审计功能.
2 预备知识
本节介绍文中用到的相关知识,包括双线性映射、拉格朗日插值、CDH困难问题.
2.1 双线性映射
假设G和GT是n阶乘法循环群,其中n=pq,p和q是大素数.g是G的生成元.一个双映射e:G×G→GT具有3个性质:
1) 双线性.对任意a,b∈Zn,有e(ga,gb)=e(g,g)ab.
2) 非退化性.e(g,g)≠1.
3) 可计算性.对所有u,v∈G,存在多项式时间算法计算e(u,v).
2.2 拉格朗日插值
假设p为素数,集合S⊆Zp.首先定义拉格朗日系数
给定Zp中的d个点(1,q1),(2,q2),…,(d,qd),d-1次多项式q(x)可以重构为
其中,|S|=d.
2.3 CDH问题和困难问题假设
CDH问题:令G是阶为n的乘法循环群,其中n=pq,p和q是大素数.g是G的生成元.CDH问题为对任意的
已知(g,ga,gb),计算gab.
CDH困难问题假设:若不存在多项式时间算法以不可忽略的概率ε解决群G上的CDH问题,则称CDH问题在群G上是(t,ε)困难的.
3 可追踪属性基净化签名方案形式化定义和安全模型
基于文献[19]中属性基签名的形式化定义,我们提出了可追踪的属性基净化签名的形式化定义.
3.1 T-ABSS方案的形式化定义
T-ABSS方案包含6个部分:
1) 设置.给定安全参数λ,生成公共参数params、主密钥msk和追踪密钥TK.
2) 密钥生成.该算法输入为用户身份u、属性集合ωa、公共参数params和主密钥msk,输出用户私钥Du,ωa.
3) 签名.该算法输入消息m、签名者属性集合ωa与私钥Du,ωa、净化者属性集合ωb和公共参数params,输出消息m的签名σ.签名者将消息m和签名σ以及秘密值集合SI发送给净化者.
4) 净化.签名者声明可净化的消息索引集合IS⊆{1,2,…,l}.净化者输入消息m、公共参数params、m的签名σ、净化者的属性集合ωb和签名者发送的秘密值集合SI进行净化操作.算法输出净化消息m′和净化签名σ′.
5) 验证.该算法由验证者运行,输入净化的消息签名对(m′,σ′)、公开参数params、签名者属性集合ωa和净化者属性集合ωb.若为有效签名,则算法输出accept;否则输出reject.
6) 追踪.该算法由PKG执行,输入签名σ和追踪密钥TK,输出签名者的身份u.
T-ABSS系统模型如图1所示.私钥生成中心PKG收到签名者发送的属性集合ωa和身份u后,为签名者产生私钥Du,ωa.利用签名算法,签名者产生关于消息m的签名σ,并将(m,σ)发送给净化者.净化者对可净化范围内的敏感信息进行修改,并重新生成关于净化后消息m′的签名σ′.净化者将净化签名(m′,σ′)发送给验证者,验证者运行验证算法判断签名是否有效.若有效,则输出accept;否则输出reject.最后,当发生签名者滥用签名行为时,PKG可以执行追踪算法计算出恶意签名者的身份u.
Fig. 1 The framework of T-ABSS
图1 T-ABSS方案框架
3.2 安全模型
3.2.1 不可伪造性
本文可追踪属性基净化签名方案使用门限签名策略(ω,d,Y),其中ω表示包含n个属性的集合,门限为d,则Y={A⊆ω:|A|≥d},其含义为签名者至少拥有属性集合ω中的d个属性.基于文献[18]中的安全模型,定义本文的不可伪造性游戏.
1) 初始化.敌手A首先声明将要挑战的签名策略(ω*,d,Y*).
2) 设置.挑战者B执行设置算法,输入安全参数λ,输出公开参数params和主密钥msk,并将公开参数params发送给A,自己保留主密钥msk.
3) 询问.A自适应地进行有限次询问操作,其中包括密钥询问、签名询问.
4) 密钥询问.A自适应地向B询问签名者属性集合ωa对应的私钥Du,ωa,对于所有的ωa都必须满足|ωa∩ω*|<d.B执行密钥生成算法产生私钥并发送给A.
5) 签名询问.A自适应地选择签名者属性集合ωa和净化者属性集合ωb,通过密钥生成算法生成签名者私钥Du,ωa,B利用签名者的私钥、签名者的属性集合、净化者的属性集合以及消息m的每一位,通过签名算法生成签名并发送给A.
6) 伪造.A输出关于消息m*,属性集合
的签名σ*.若满足条件①~③,则A成功伪造一个有效签名:
① 将
以及σ*输入验证算法,算法输出accept.
② 没有对
进行私钥询问.
③ 没有对
和
进行签名询问.
定义1. 如果任意概率多项式时间t的敌手进行至多qk次私钥询问和至多qs次签名询问,并且以不超过ε的优势赢得不可伪造游戏,则T-ABSS方案是(t,qk,qs,ε)—不可伪造的.
3.2.2 不可区分性
基于文献[19]中的安全模型,定义本文的不可区分性游戏.不可区分性游戏可以通过挑战者B和敌手A之间的交互来刻画.
1) 设置.B执行设置算法,输出公开参数params和主密钥msk,然后将公开参数params发送给A,自己保留主密钥msk.
2) 阶段1.同不可伪造游戏中的询问操作,A适应性地进行有限次密钥和签名询问.
3) 挑战.A执行完相关询问后,输出2个关于挑战属性集合ω*和允许净化索引集
的消息签名对
并发送给B.B随机选择一个位b∈{0,1},若b=0,B执行净化算法并将
发送给A;若b=1,B执行净化算法并将
发送给A.
4) 阶段2. 同阶段1中执行的询问操作,A可以自适应地进行有界次密钥生成询问和签名询问.
5) 猜测.最终,A输出一个值b′,若b=b′则赢得游戏.其中,A赢得游戏的优势可以定义为Adv(A)=|Pr[b=b′]-1/2|.
定义2. 如果任意概率多项式时间t的敌手进行至多qk次私钥询问和至多qs次签名询问,并且以不超过ε的优势赢得不可区分游戏,那么T-ABSS方案是(t,qk,qs,ε)—安全的.
3.2.3 不变性
不变性要求净化者只能对净化范围内的数据进行净化,而禁止对净化范围之外的数据进行任何修改.可追踪身份的属性基净化签名方案的不变性可以通过敌手A和挑战者B之间的游戏来刻画.
1) 初始化.A将挑战索引集合发送给
表示净化者被允许净化的消息索引集合.
2) 设置.B执行设置算法,输出公开参数params和主密钥msk,将公开参数params发送给敌手A,自己保留主密钥msk.
3) 询问.同不可伪造游戏中的询问操作,A自适应地进行有界次密钥询问和签名询问.在签名询问中,B将秘密值集合SI发送给A.
4) 伪造.A输出消息
属性集合以及签名σ*,满足:
① σ*是一个有效签名.
② 没有对进行私钥询问.
③ 对于任何j∈{1,2,…,qs},存在
使得
定义3. 如果任意概率多项式时间t的敌手进行至多qk次私钥询问和至多qs次签名询问,并且以不超过ε的优势赢得不变性游戏,则T-ABSS方案是(t,qk,qs,ε)—不变的.
4 方案构造
给出方案的具体构造.T-ABSS方案包含6个算法:设置、密钥生成、签名、净化、验证和追踪.
1) 设置.设p,q为大素数,n=pq,G和GT是2个阶为n的乘法循环群.e:G×G→GT是双线性映射,Gp,Gq分别为G的阶为p,q的子群.PKG选择d-1个缺省属性,记为集合Ω={ω1,ω2,…,ωd-1},其中,d为门限值,ωi∈Zn.设S⊆Zn,且i∈S,定义拉格朗日系数
随机选取
计算g1=gα,其中g是G的生成元;此外PKG随机选取G中的元素g2,Gq的生成元h,G的生成元u′,一个元素为v的集合U={ui},其中ui是G的生成元;定义K={1,2,…,k,k+1},对i∈K,PKG随机选取ti∈G,定义T(x)=
最后,PKG随机选取y′∈Zn以及yi,其中
计算w′=gy′,W=(w1,w2,…,wl)=(gy1,gy2,…,gyl).则主密钥msk为α,追踪密钥TK为q,params=(d,g,g1,g2,h,t1,…,tk+1,e,u′,w′,U,W,T(x))为公共参数.在本文中,用户身份u用长为v的二进制字符串表示,令u[i]表示u的第i个位,定义U⊂{1,2,…,v}为满足u[i]=1的序号的集合,定义
2) 密钥生成.算法输入签名者身份u及其对应的属性集合ωa,主密钥α和公共参数params.PKG首先选取一个d-1次多项式q(x),满足q(0)=α .然后每个用户u随机选取s∈Zn,计算Du,0=gs,Du,1=hs对于i∈ωa,PKG随机选择ri∈Zn,计算Di,0=
×T(i)ri×W(u)s,Di,1=gri.签名者私钥为Du,ωa={s,Du,0,Du,1,Di,0,Di,1}.
3) 签名.输入签名者私钥Du,ωa,消息m的比特mi,签名者属性集合ωa,净化者属性集合ωb,其中i∈{1,2,…,l}.首先,签名者随机选择
再随机选择一个默认子集
令
其
中
对所有
签名者随机选取
对净化者属性集合ωb进行类似扩展得到
对所有
签名者随机选取
进行2项操作:
① 对任意u[i](i=1,2,…,v),签名者随机选取θi∈Zn,计算
hθ=W(u) hθ.
签名者随机选取
令
计算秘密值SIi=
,其中i∈Is.用SI表示秘密值集合,即SI={SI1,SI2,…,SI|Is|},|Is|表示集合Is中元素的个数,Is表示签名者允许净化者净化的消息索引集合.
② 签名者计算
则σ=(σ0,σ1,σai,σbi,c,c1,…,cv,π1,…,πv)为签名.
4) 验证.验证者通过等式验证签名的正确性为
若等式成立,则签名有效.验证算法不仅适用于非净化消息签名对,同时也适用于净化后的消息签名对.
5) 净化.净化者获得签名σ和从签名者获得的秘密值SIi=,其中i∈Is.净化者首先运行验证算法来检查签名是否有效.若是有效签名,净化者定义需要净化的消息索引集合I⊆Is.令集合
净化者选择随机数
计算:
为净化签名.
6) 追踪.输入σ(或是σ′)和追踪密钥q,返回签名者的身份u,首先验证签名是否有效.若签名有效,则PKG对每一个ci计算(ci)q,若(ci)q=g0,则u[i]=0;若(ci)q=(ui)q,则u[i]=1,从而可以恢复出签名者身份u.
身份u的每一个比特u[i],有
e(h,πi)成立.由h∈Gq,则e(h,πi)在GT中的阶为q,因此有ci∈Gq或
若ci∈Gq,有(ci)q=g0;若ci∉Gq,有
可表示为
其中θi未知.此时,(ci)q=(uihθi)q=(ui)q.因此,追踪算法能够确定签名者的身份.
5 正确性和安全性分析
5.1 正确性分析
通过证明等式成立表明T-ABSS方案满足正确性要求.
净化性.当获得净化签名
后,当i∈I1时,
记为1;当i∈I2时,
记为0.因此有:
通过分析可知净化签名的分布和原始签名的分布是一样的,因此净化签名也能通过验证等式.
5.2 安全性分析
5.2.1 不可伪造性
定理1. 在选择签名策略和选择消息攻击模型下,如果敌手A以不可忽略的概率ε攻方案,那么挑战者B以不可忽略的优势:
解决CDH问题.
证明. 如果存在一个敌手A可以伪造签名,则挑战者B可以通过与敌手A交互解决CDH困难问题假设.令p,q为2个大素数,n=pq,G和GT是2个阶为n的乘法循环群,e:G×G→GT为双线性映射.Gp,Gq分别为G的阶为p,q的子群,h为Gq的生成元.给定一个CDH困难问题实例:(g,gα,gβ),其中g是Gp的生成元,
若A可以攻破方案,则B可以利用与A的交互解决Gp子群中的CDH问题.
1) 初始化.A选择要挑战的签名策略
2) 设置.B接收到(g,gα,gβ),令g1=gα,g2=gβ.随机选择k次多项式f(X),计算k次多项式φ(X):当X∈ω*时,令φ(X)=-Xk;否则,令φ(X)≠-Xk.所以当且仅当X∈ω*时,有φ(X)=-Xk.
对i=1,2,…,k+1,令
此时有
假设A最多进行qk次密钥询问,qs次签名询问.令lu=2(qs+qk),lm=2qs,有lu(v+1)<p,lm(l+1)<p.B随机选择整数ku和km,其中0≤ku≤v,0≤km≤l;B随机选择x′∈Zlu和一个v维向量X=(xi),其中xi∈Zlu;B随机选择z′∈Zlm以及一个k维向量Z=(zi),其中zi∈Zlm;B随机选择μ′∈Zp和一个v维向量Y=(μi),其中μi∈Zp;B随机选择η′∈Zp以及一个l维向量η=(ηi),其中ηi∈Zp.关于身份u和消息m的函数定义为
设置参数:
并发送给A.
对任意消息m和身份u都有:
3) 密钥询问.A最多进行qk次密钥生成询问.对于用户u,令其属性为ωa.若
则终止;否则,A对属性ωa询问,在不知道主密钥的情况下B模拟私钥方式为:
B首先定义3个集合Γ,Γ′,S,令
令集合S=Γ′∪{0}.
对于用户u,B随机选取s∈Zp,计算Du,0=gs,Du,1=hs;
对于属性i∈Γ′,B随机选取ri,ηi∈Zp,计算Di,0=
T(i)ri W(u)s,Di,1=gri;即当属性i∈Γ′时,PKG选取d-1次多项式q(x)上的d-1个点q(i)=ηi,此外多项式q(x)满足q(0)=α .
对于属性i∈ωa-Γ′,B随机选取
计算:
令
因为q(i)
所以有Di,0= T(i)ri W(u)s,Di,1=gri.因此,对于敌手而言模拟的私钥与真实的私钥不可区分.
4) 签名询问.假设A最多进行qs次签名询问,其中签名者的身份为u,属性集合为ωa,签名策略为(ω,d,Y).若|ωa∩ω|<d,则不满足签名策略,模拟终止;否则,模拟签名方式为:
当
时,挑战者使用模拟的私钥按原方案步骤生成签名;
当
时,若K(m)=0 mod p,则模拟终止;否则进行计算:
对u的每一个位u[i](i=1,2,…,v),B随机选取θi∈Zp,s1∈Zp,计算
W(u) hθ;计算σ1=gs1;然后B随机选择
计算为
模拟签名为σ=(σ0,σ1,σai,σbi,c,c1,…,cv,π1,…,πv).
5) 追踪询问.B直接按原方案运算并返回相关结果给A.
6) 伪造.若B在上述过程中没有终止,A将伪造消息m*的签名σ*.B知道追踪密钥TK并通过追踪算法计算出u*,检查A没有询问过u*和的私钥以及没有对消息m*进行签名询问.由φ(x)的构造,对所有i∈ω*,有ik+φ(i)=0,此时,T(i)=
若F(u*)≠0 mod p或者K(m*)≠0 mod p,则模拟终止.因此,当F(u*)=0 mod p,K(m*)=0 mod p时,有W(u*)=gJ(u*),c*=gJ(u*)hθ.
B计算输出:
其中
因此,如果A能够伪造一个消息的有效签名,那么B就能成功地解决CDH问题.
证毕.
5.2.2 概率分析
分析在5.2.1节模拟中挑战者B没有发生终止的概率.若B不发生终止,需要以下事件成立.在签名询问时询问了qm个不同的消息.
1) E1i:K(mi)≠0 mod lm,其中,i=1,2,…,qm;
2) E2:K(m*)≠0 mod p;
3) E3:F(u*)≠0 mod p.
则B不发生终止的概率为
Pr(E2)=1/lm(l+1), Pr(E3)=1/lu(v+1).
同时,对于所有的i=1,2,…,qm,事件E1i和事件E2是相互独立的,因此有:
因此解决CDH问题的概率为
5.2.3 不可区分性
定理2. 提出的T-ABSS方案在适应性选择消息攻击下是不可区分的.
通过敌手A和挑战者B的交互游戏给出不可区分性证明:
1) 设置.B选择与不可伪造游戏中相同的系统参数params,并随机选择u′,u1,…,uk∈Gp,将系统参数params发送给A;
2) 阶段1. B知道主密钥,因此它可以运行密钥生成算法、签名算法来回应A的密钥询问和签名询问.
3) 挑战.在该阶段中,A对挑战属性集生成2个签名
以及
其中
对应消息
的签名;
对应消息
的签名.此外,A选择一个被允许净化消息索引的集合IS={l-k+1,l-k+2,…,l},其中|I*|=k.令
有
随机选择τ∈{0,1}.
若τ=0,B随机选择
令
计算,
令
若τ=1,B随机选择
令
计算:
令
最终B将
发送给A.
4) 阶段2.当接收到消息签名对后,A仍可以进行密钥询问和签名询问.
通过计算分析可知下面2个分布是相同的,因此可以表明2个净化签名是不可区分的.
综上所述,2个分布的概率是相同的,因此A能区分2个签名的优势也是可以忽略的,所以提出的方案具有不可区分性.
证毕.
5.2.4 不变性
定理3. 如果ε′-CDH假设在群G中成立,则提出的T-ABSS方案具有ε-不变性,其中ε<ψε′,ψ为一常数.
证明. 假设可净化集合为IS⊆{1,2,…,l},净化者在已知秘密值{SIi:i∈IS}的情况下无法对可净化集合之外的数据进行修改.可以通过证明下面关于不变性的引理1来证明定理3.
引理1. 如果对于任何概率多项式时间的敌手A1可以对净化部分IS中的k长度消息进行净化,并且能够以εb的优势赢得游戏,那么就存在一个概率多项式敌手A能够以εa≥εb的优势在不可伪造游戏中对l-k长度的消息伪造一个有效签名.根据文献[28]给出证明过程.
证明. 假设存在敌手A1在不变性游戏中可以对l长度的消息可净化部分IS中的k长度进行净化,并且能够以εb的优势进行游戏.我们考虑敌手A对l-k长度的消息进行不可伪造游戏.下面我们可以将A模拟成挑战者与A1交互从而使得A在不可伪造游戏中获得εa≥εb的优势.在设置阶段,A和A1以及在不可伪造游戏中的挑战者B进行交互:
1) 首先A1将可净化索引集合IS发送给A,为了简化表述我们令IS={l-k+1,l-k+2,…,l},其中l表示消息的长度,k=|IS|.
2) B将公开参数params={d,g,g1,g2,h,t1,…,tk+1,e,u′,U,w′,w1,…,wl-k}发送给A.
3) A随机选择δi∈Zp,i=l-k+1,l-k+2,…,l.A计算
4) A将公开参数:
发送给A1.
模拟阶段中,在j=1,2,…,qs次询问中,A通过与B的交互来回答A1的签名询问:
1) A1向A进行关于消息mj=mj,1,mj,2,…,mj,l的签名询问.
2) A向B进行关于消息mj=mj,1,mj,2,…,mj,l-k的签名询问.
3) B将签名σ=(σj,0,σj,1,σj,a,σj,b,c,c1,…,cv,π1,…,πv)发送给A.A计算
4) A将签名
以及秘密值{
|i=l-k+1,l-k+2,…,l}发送给A1.
在挑战阶段,如果A1能成功伪造一个消息m*′的签名σ*′,那么A就能通过以下方法获得一个有效签名:
1) A1将成功伪造的消息签名对
发送给A.可以看出
2) 令消息
当i=1,2,…,l-k,有
计算:
3) A将有效的消息签名对
发送给B.易知∀j∈{1,2,…,qs},∃i∈{l-k+1,l-k+2,…,l}:
如果A1伪造的签名能通过验证,那么A计算生成的签名也能通过验证.因此敌手A赢得不可伪造游戏的优势εa≥εb,其中εb是敌手A1赢得不变性游戏的优势.
引理1证毕.
从定理1中可知,在CDH困难问题假设下敌手赢得不可伪造游戏的概率是可以忽略的.通过证明引理1可得,在CDH困难问题假设下,任何概率多项式时间算法赢得不变性游戏的优势也是可以忽略的.
定理3证毕.
6 方案分析
为了解决特定应用场景中的敏感信息隐藏、用户隐私保护以及签名者身份追踪问题,我们提出了可追踪身份的属性基净化签名方案(T-ABSS).本节我们将T-ABSS与已有的文献相比较,分析方案优势.文献[29]给出了标准模型下安全的基于身份的签名方案,该方案避免了公钥证书的产生和分发但不能保护签名者的隐私和细粒度访问控制,同时该方案不具有可净化性.文献[20]给出了一种标准模型下安全的属性基可追踪签名方案,该方案在提供签名者身份隐私保护和细粒度访问控制功能的同时也能追踪签名者的身份,但是该方案不具有可净化性.文献[24]方案给出了标准模型下安全的基于身份的可净化签名方案,实现了敏感信息的隐藏,但由于使用签名者公开信息作为公钥不能保护身份隐私同时也不具有细粒度访问控制.文献[25]给出了标准模型下安全的属性基净化签名方案,但是不能追踪签名者的身份防止签名者滥用签名.我们提出的T-RABS不仅实现了签名者隐私保护和细粒度访问控制,同时也提供了敏感信息隐藏和签名者身份追踪功能,在标准模型下我们给出了方案的安全性证明.方案对比如表1所示:
Table 1 Comparison of Schemes
表1 方案比较
方案匿名净化追踪透明安全访问控制文献[29]√×√×CDH×文献[20]××√×CDH√文献[24]×√√√CDH×文献[25]√√×√CDH√本文方案√√√√CDH√
注:“√”表示满足该性质;“×”表示不满足该性质.
7 性能分析
令
分别表示签名者和净化者属性数量,
为用户非缺省属性集,l表示消息长度,v表示用户身份长度,I表示需要净化消息索引集合.BP表示双线性对运算,EXP表示指数运算.T-ABSS方案计算开销如表2所示.与方案[20]可追踪属性基签名(T-ABS)比较开销如表3所示.
基于Ubuntu 18.4,我们在Charm0.5框架下实现了提出的方案.使用Intel® CoreTM i5-3230M CPU@2.60 GHz,4 GB RAM性能计算机,利用Charm库中的超奇异椭圆曲线(SS1024)测试方案.实验中群G的阶为n,其中n=pq,p和q为512 b的大素数.在实验计算机上测试主要密码学操作开销,经过1 000次测量取平均值后得到实验中计算双线对所需时间为0.053 s,在群G和GT中执行指数运算所需时间分别为0.028 s和0.002 s.实验结果表明在T-ABSS方案中,签名长度随着签名者属性数量的增加而增加,密钥生成、签名产生、验证签名和净化所需时间也与签名者属性数量线性相关.T-ABSS方案及其比较实验结果如图2~4所示.
Table 2 Computation Cost of T-ABSS
表2 T-ABSS方案计算开销
设置密钥生成签名验证净化追踪(1+l)EXP(3+3|^ωa|)EXP(2|^ωa|+2|^ωb|+|ω'a|+l+4v+6)EXP(|^ωa|+|^ωb|+3)BP+lEXP(|^ωa|+|^ωb|+|I|+l+4)EXPvEXP
Table 3 Comparison of Computation Cost
表3 计算开销比较
方案签名验证T-ABSS(2|^ωa|+2|^ωb|+|ω'a|+l+4v+6)EXP(|^ωa|+|^ωb|+3)BP+lEXPT-ABS(2|^ωa|+|ω'a|+4v+5)EXP(|^ωa|+3)BP
Fig. 2 Analysis of T-ABSS
图2 T-ABSS方案性能分析
Fig. 3 Analysis of signing algorithm
图3 签名算法性能分析
Fig. 4 Analysis of verifying algorithm
图4 验证算法性能分析
分析结果表明:提出的T-ABSS方案由于增加了净化功能,所以随着签名者属性数量的线性增长,在签名产生和签名验证过程所需要的时间高于张秋璞等人[20]提出的可追踪属性基签名方案所需时间.接下来,我们将对如何提高方案的效率做出进一步研究.
8 结束语
本文在属性基签名方案的基础上提出了一种可追踪身份的属性基净化签名方案,不仅解决了敏感信息隐藏问题,同时还避免了签名者滥用签名.在现有安全模型的基础上,我们给出了方案的安全模型和详细构造,并在标准模型下给出了方案的安全性证明.通过与现有方案的对比分析可知,我们的方案更适用于电子医疗、电子政务等特殊应用场景中.
[1]Feng Dengguo, Zhang Min, Zhang Yan, et al. Study on cloud computing security[J]. Journal of Software, 2011, 22(1): 71-83 (in Chinese)(冯登国, 张敏, 张妍, 等. 云计算安全研究[J]. 软件学报, 2011, 22(1): 71-83)
[2]Zhang Lei, Xiong Hu, Huang Qiong, et al. Cryptographic solutions for cloud storage: Challenges and research opportunities[J]. IEEE Transactions on Services Computing. doi:10.1109/TSC.2019.2937764
[3]Sahai A, Waters B. Fuzzy identity-based encryption[C] //Proc of Advances in Cryptology-EUROCRYPT 2005. Berlin: Springer, 2005: 457-473
[4]Su Jinshu, Cao Dan, Wang Xiaofeng, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011, 22(6): 1299-1315 (in Chinese)(苏金树, 曹丹, 王小峰, 等. 属性基加密机制[J].软件学报, 2011, 22(6): 1299-1315)
[5]Goyal V, Pandey O, Saha A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C] //Proc of the 13th ACM Conf on Computer and Communications Security. New York: ACM, 2006: 89-98
[6]Han Jinguang, Susilo W, Mu Yi, et al. Privacy-preserving decentralized key-policy attribute-based encryption[J]. IEEE Transactions on Parallel and Distributed Systems, 2012, 3(11): 2150-2162
[7]Li Jiguo, Yu Qihong, Zhang Yichen. Key-policy attribute-based encryption against continual auxiliary input leakage[J]. Information Sciences, 2019, 470: 175-188
[8]Bethencourt J, Sahai A, Waters B. Ciphertext-policy attribute-based encryption[C] //Proc of the 2007 IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2007: 321-334
[9]Li Jiguo, Yu Qihong, Zhang Yichen. Hierarchical attribute based encryption with continuous leakage-resilience[J]. Information Sciences, 2019, 484: 113-134
[10]Li Jiguo, Yao Wei, Zhang Yichen, et al. Flexible and fine-grained attribute-based data storage in cloud computing[J]. IEEE Transactions on Services Computing, 2017, 10(5): 785-796
[11]Li Jiguo, Yao Wei, Zhang Yichen, et al. Full verifiability for outsourced decryption in attribute based encryption[J], 2020, 13(3): 478-487
[12]Li Jiguo, Chen Ningyu, Zhang Yichen. Extended file hierarchy access control scheme with attribute based encryption in cloud computing[J]. IEEE Transactions on Emerging Topics in Computing, 2021, 9(2): 983-993
[13]Li Jiguo, Zhang Yichen, Ning Jianting, et al. Attribute based encryption with privacy protection and accountability for cloudIoT[J]. IEEE Transactions on Cloud Computing, doi:10.1109/TCC.2020.2975184
[14]Chen Ningyu, Li Jiguo, Zhang Yichen. Efficient CP-ABE scheme with shared decryption in cloud storage[J]. IEEE Transactions on Computers, doi:10.1109/TC.2020.3043950
[15]Maji K, Prabhakaran M, Rosulek M. Attribute-based signatures[C] //Proc of Cryptographers’ Track at the RSA Conf. Berlin: Springer, 2011: 376-392
[16]Okamoto T, Takashima K. Efficient attribute-based signatures for non-monotone predicates in the standard model[C] //Proc of Public Key Cryptography. Berlin: Springer, 2011: 409-421
[17]Zhang Yinghui, He Jiangyong, Guo Rui, et al. Server-aided and verifiable attribute-based signature for industrial internet of things[J]. Journal of Computer Research and Development, 2020, 57(10): 2177-2187 (in Chinese)(张应辉, 贺江勇, 郭瑞, 等. 工业物联网中服务器辅助且可验证的属性基签名方案[J]. 计算机研究与发展, 2020, 57(10): 2177-2187)
[18]Chen Yu, Li Jiguo, Liu Chengdong, et al. Efficient attribute-based server-aided verification signature[J]. IEEE Transactions on Services Computing, doi:10.1109/TSC. 2021.3096420
[19]Alex E, Javier H, Paz M. Revocable attribute-based signatures with adaptive security in the standard model[C] //Proc of the 4th Int Conf on Progress in Cryptology in Africa. Berlin: Springer, 2011: 224-241
[20]Zhang Qiupu, Xu Zhen, Ye Dingfeng. Identity traceable attribute-based signature scheme[J]. Journal of Software, 2012, 23(9): 2449-2464 (in Chinese)(张秋璞, 徐震, 叶顶锋. 一个可追踪身份的基于属性签名方案[J]. 软件学报, 2012, 23(9): 2449-2464)
[21]Kaafarani A E, Ghadafi E, Khader D. Decentralized traceable attribute-based signatures[C] //Proc of Cryptographers’ Track at the RSA Conf. Berlin: Springer, 2014: 327-348
[22]Ma Jinhua, Liu Jianghua, Wu Wei, et al. Survery on redactable signatures[J]. Journal of Computer Research and Development, 2017, 54(10): 2144-2152 (in Chinese)(马金花, 刘江华, 伍玮, 等. 可修订数字签名研究综述[J]. 计算机研究与发展, 2017, 54(10): 2144-2152)
[23]Ateniese G, Chou D H, De Medeiros B, et al. Sanitizable signatures[C] //Proc of European Symp on Research in Computer Security. Berlin: Springer, 2005: 159-177
[24]Ming Yang, Shen Xiaoqin, Peng Yamian. Provably security identity-based sanitizable signature scheme without random oracles[J]. Journal of Software, 2011, 6(10): 1890-1897
[25]Liu Ximeng, Ma Jianfeng, Xiong Jinbo, et al. Attribute based sanitizable signature scheme[J]. Journal on Communications, 2013, 34(S1): 148-155 (in Chinese)(刘西蒙, 马建峰, 熊金波, 等. 基于属性的可净化签名方案[J]. 通信学报, 2013, 34(增1): 148-155)
[26]Mo Ruo, Ma Jianfeng, Liu Ximeng, et al. An attribute- based sanitizable signature supporting dendritic access structure[J]. Acta Electronica Sinica, 2017, 45(11): 2715-2720 (in Chinese)(莫若, 马建峰, 刘西蒙, 等. 一种支持树形访问结构的属性基可净化签名方案[J]. 电子学报, 2017, 45(11): 2715-2720)
[27]Samelin K, Slamanig D. Policy-based sanitizable signatures[C] //Proc of Cryptographers’ Track at the RSA Conf. Berlin: Springer, 2020: 538-563
[28]Agrawal S, Kumar S, Shareef A, et al. Sanitizable signatures with strong transparency in the standard model[C] //Proc of Information Security and Cryptology. Berlin: Springer, 2009: 93-107
[29]Paterson K G, Schuldt J C N. Efficient identity-based signatures secure in the standard model[C] //Proc of Australasian Conf on Information Security and Privacy. Berlin: Springer, 2006: 207-222
