崔荣涛 柳欣 宁文龙 韩芳 朱德宝

摘要：相对于传统的群签名技术，属性认证方案可以更好地解决云资源的细粒度准入控制和用户隐私保护问题。然而，在多数的已有方案中，用户需要在认证阶段执行大量的在线运算。而且，已有方案并未考虑云服务提供商对访问控制策略中的属性值进行隐藏的问题。在Yang等方案基础上提出改进的属性认证方案，新方案可以更好地保护诚实用户的隐私，支持对访问控制策略的部分隐藏，而且用户在认证阶段的运算效率更高。

关键词： 云计算安全;隐私保护;属性认证;访问控制策略

中图分类号：TP309.7        文献标识码：A

文章编号：1009-3044（2021）13-0006-03

Abstract：Compared with traditional group signatures， attribute-based authentication schemes can better solve the problems of fine-grained access control on cloud resources and the protection of user privacy. However， in most existing schemes， users need to perform a large amount of online computation during the authentication phase. Furthermore， the existing solutions do not address the issue of allowing cloud service providers to hide attribute values in access control policies. Based on Yang et al.s attribute-based authentication scheme， an improved scheme was proposed. The new scheme provides stronger privacy protection for honest users and supports hidden access structures. In addition， users computing burden is alleviated during the authentication phase.

Key words：cloud computing security; privacy-preserving; attribute-based authentication; access control policy

1 引言

在云計算环境下，对资源的授权访问和用户隐私保护是最重要的两个问题。群签名[1]技术提供了最初的解决方案，即用户通过执行注册过程成为合法的群成员，并且在访问阶段通过产生群签名实现匿名身份认证。此外，SP（SP， Service Provider）负责充当群签名的验证者。然而，这种认证方式存在以下弊端，即群管理员（GM， Group Manager）的权限过大。所有用户的访问权限都是相同的，即不支持对资源的细粒度访问控制。为了解决这个问题，属性认证（ABA， Attribute-based Authentication）技术应运而生。ABA的基本思路是，除了U（User），GM和SP之外，再增加一个属性权威（AA， Attribute Authority）的角色。AA负责为U颁发与个人属性相对应的属性私钥。为了实现对资源的细粒度访问控制，SP可以定义基于属性的访问控制策略W。在认证过程中，U需要向SP证明自己的属性集合L能满足W。同时，为了保护个人隐私，U并不需要直接向SP提供自己的属性值。

在文献[2]中，Yang等提出基于一次性属性树的ABA方案，从而满足属性经常发生变化的动态应用环境的需要。在文献[3]中，Li等提出面向企业计算的ABA方案。该方案将所有用户划分为多个用户群体。在认证阶段，同一群体中的所有用户必须对所掌握的属性私钥进行合并。在文献[4]中，Kaaniche等提出基于属性签名技术构造ABA方案的一般性方法。最近，文献[5]提出支持LSSS（Linear Secret Sharing Schemes）访问控制策略的ABA方案，而且可以在可信计算平台上进行部署。然而，上述方案的缺点是W是以明文形式提供的，SP无法对W中的属性进行隐藏，从而无法防止竞争对手推断出自己的商业策略。此外，多数方案的认证阶段效率不高，即用户的在线运算量受到W规模的影响。

在本文中，我们对Yang等的方案做出改进，得到性能更优的ABA方案。新方案的优点是：①削弱了GM的权限，即使GM与SP串通，也无法推断出诚实用户的身份。②引入了Nishide等[6]的密文策略属性加密（CP-ABE， Ciphertext Policy Attribute-based Encryption）技术，从而支持SP对W中的属性值部分地进行隐藏。③利用外包解密技术减轻了用户在认证阶段的运算量。

2 预备知识

2.1 非对称的双线性群环境

令[FG=（G1，G2，GT，G1，G2，p，e）]表示非对称的双线性群环境[7]，其中[G1，G2]表示素数[p]阶椭圆曲线群，[GT]表示素数[p]阶乘法群。[G1]与[G2]分别表示群[G1]和[G2]的生成元。[e]表示双线性映射，且满足以下性质：①对于所有的[U∈G1，V∈G2]以及[a，b∈?p]，[e（aU，bV）=e（U，V）ab]成立。②[e（G1，G2）]为群[GT]的生成元。③对于所有的[U∈G1，] [V∈G2]，存在可以有效计算[e（U，V）]的算法。

2.2 安全假设

DDH（the Decisional Diffie-Hellman）假设[7]：该假设表明不存在能在不可忽略概率下对元组[（G1，aG1，bG1，abG1）]和[（G1，aG1，] [bG1，zG1）]进行分辨的概率多项式时间算法，其中[a，b，z]为在域[?*p]中随机选取的元素。

2.3 知识签名

知识签名是一种特殊的数字签名，使得验证者既能获得得到签名的消息，也可以确信签名者掌握了某个满足特定数学关系的秘密[8]。最简单的知识签名可以表示为[π=SPK{（x）：Y=xG}（m）]。

2.4 部分隐藏访问控制策略的CP-ABE

在文献[7]中，Nishide等提出可以对访问控制策略进行部分隐藏的CP-ABE方案。假设属性全集为[{A1，A2，...，An}]，且每个属性[Ai]可以取子集[Si={vi，1，vi，2，...，vi，ni}]中的任何值。用户属性列表[L=[L1，...，Ln]]满足[Li∈Si]。加密方定义访问控制策略[W=[W1，...，Wn]]，其中[Wi?Si]。[L]满足[W]等价于对于[i=1，...，n]，满足[Li∈Wi]。在加密阶段，对于[i=1，...，n]，加密方产生密文元素[Ci，1，] [Ci，ti，21≤ti≤ni]，其中，[Ci，1]的取值与[Wi]无关。[Ci，ti，21≤ti≤ni]的取值与[Wi]有关。对于用户，只要[L]满足[W]，就能利用解密私钥[SKL]对有意义的密文[（Ci，ti，1，Ci，ti，2）]执行解密，从而恢复明文。若[L]不满足[W]，当利用[SKL]对随机密文[（Ci，ti，1，Ci，ti，2）]执行解密时，只能遭遇失败。

3 新方案的具体描述

Setup.以安全性参数[κ]为输入，[GM]执行以下操作：

（1）定义双线性群环境[FG]，对于该环境，要求：①DDH（the Decisional Diffie-Hellman）问题在群[G1]上是困难的。②不存在可以有效计算的同态[ψ：G1→G2]。定义抗碰撞的散列函数[H：{0，1}*→?p]。选取[G，G0，G1∈G1，G2∈G2]，公开系统参数[params=（p，G1，G2，GT，] [e，G，G0，G1，G2）]。選取[γ∈?*p]，设置[PKGM=M=γG2]。

（2）公开[PKGM，params]，秘密保存[SKGM=γ]。

AASetup.[AA]执行以下操作：

（1）定义属性全集[A={A1，A2，...，An}]，每个属性[Ai]的所有可能取值构成集合[Si=]  [{vi，1，vi，2，...，vi，ni}]且[ni=|Si|]。选取[w，β∈?*p]，计算[Y=e（G1，G2）w，B=βG1]。对于[i=1，...，n]，选取[{ai，ti∈?*p}1≤ti≤ni]，设置[{Ai，ti=ai，tiG1}1≤ti≤ni]。

（2）公开[PKAA=（Y，B，{Ai，ti}1≤ti≤ni1≤i≤n）]，秘密保存[MKAA=（w，β，{ai，ti}1≤ti≤ni1≤i≤n）]。

Registration. [U]与[GM]执行以下操作：

（1）[U]选取[y，x∈?p]，计算[C=yG0+][xG1]，并且向[GM]提供[C，π1=SPK{（y，x）：] [C=yG0+xG1}（req）]，[req]表示注册请求。

（2）若[π1]通过验证，[GM]选取[y，e∈?p]，计算[A=（γ+e）-1（G+C+yG0）]，然后向[U]返回[（A，y，e）]。

（3）[U]设置[y=y+ymodp]，检查是否满足[e（A，+eG2）=e（G+yG0+][xG1，G2）]。若满足，则保存[certU=（A，y，e）]。

AKeyGen. [U]与[AA]执行以下操作：

（1）[U]向[AA]提供[C，π2=SPK{（A，] [x，y，e）：A=（γ+e）-1（G+yG0+][xG1）}（L）]，申请的属性集合[L=[v1，t1，v2，t2，...，vn，tn]]以及证据，使得对于[i=1，...，n]，满足[vi，ti∈Si]。

（2）若[π2]有效且[AA]确信[U]的确拥有属性集合[L]，[AA]为[U]产生对应的属性解密私钥[SKL=（D0，{Di，1，Di，2}1≤i≤n）]。具体步骤如下：选取[s∈?p]，计算[D0=（w+s）β-1G2]。对于[i=1，...，n]，选取[λi∈?p]，设置[Di，1=] [（s+ai，tiλi）G2，Di，2=λiG2]，其中[Li=vi，ti]。

4 方案的安全性分析

在本节，我们证明新方案满足正确性和多个理想的安全性质。

（1）正确性：该性质可以根据以下两个命题直接得出。

命题1. 给定服务器返回的运算结果[K′p]，[U]可以据此恢复得到[Kp=e（g1，g2）wr]。

命题2.只要[Kp]和[π3]是采用诚实方式产生的，[π3]必然能通过[SP]的验证。

（2）匿名性与无关联性：在认证过程中，U仅向SP提供盲化后的元素[A]、承诺[A1]以及知识签名[π3]。显然，SP无法从这些元素中提取出有关用户真实身份的有用信息，无法对同一个用户的两次认证过程进行关联，也无法将同一个用户执行的认证过程与注册过程或属性私钥产生过程关联起来。

（3）不可伪造性：根据底层签名方案的不可伪造性和底层CP-ABE方案的选择CPA（Chosen Plaintext Attack）安全性，非法用户无法通过伪造成员证书而获得申请属性私钥的资格，也无法通过直接伪造知识签名[π3]通过与SP间的认证过程。

（4）抗联合攻击：根据属性私钥[SKL=（D0，{Di，1，Di，2}1≤i≤n）]的产生过程，AA在元素[D0]中嵌入了随机数[s]，在元素[{Di，1，Di，2}1≤i≤n]中嵌入了随机数[λi1≤i≤n]。同时，AA在为不同的用户产生属性私钥的过程中选取不同的随机数[s，λi1≤i≤n]。因此，合谋的用户无法通过对各自拥有的属性私钥进行合并，从而在L不满足W的情况下，通过联合攻击实现对SP的欺骗。

5 结论

针对已有属性认证方案的GM权限过大、不支持隐藏的访问策略以及用户在认证阶段运算量大的缺陷，提出一个性能更优的改进方案。同时，证明改进方案满足匿名性、无关联性、不可伪造性等安全性质。今后的工作将集中于以下方面，为所设计的方案提供形式化的安全性分析，通过仿真实验对方案的性能进行深入分析等。

参考文献：

[1] 柳欣，徐秋亮，张波.满足可控关联性的合作群簽名方案[J].山东大学学报（理学版），2016，51（9）：18-35.

[2] Yang H H，Oleshchuk V A. An efficient traceable attribute-based authentication scheme with one-time attribute trees[C].Proceedings of NordSec 2015， Switzerland： Springer International Publishing， 2015： 123-135..

[3] Li M T，Huang X Y，Liu J K，et al.Cooperative attribute-based access control for enterprise computing system[J].International Journal of Embedded Systems，2015，7（3/4）：191-202.

[4] Kaaniche N，Laurent M.Attribute-based signatures for supporting anonymous certification[C].Proceedings of ESORICS 2016， Cham： Springer，2016， 279-300.

[5] 柳欣，徐秋亮，张斌，等.基于直接匿名证明的k次属性认证方案[J].通信学报，2018，39（12）：113-133.

[6] Nishide T，Yoneyama K，Ohta K.Attribute-based encryption with partially hidden encryptor-specified access structures[C].Proceedings of ACNS 2008， Berlin： Springer， 2008，111-129.

[7] Guo F C，Susilo W，Mu Y.Introduction to security reduction[M].Cham：Springer International Publishing，2018.

[8] Bichsel P，Camenisch J，Neven G，et al.Get shorty via group signatures without encryption[C]. Proceedings of SCN 2010， Berlin： Springer，2010：381-398.

[9] Au M H，Susilo W，Mu Y.Constant-size dynamic k-TAA[C]. Proceedings of SCN 2006， Berlin： Springer，2006：111-125.

[10] Green M， Hohenberger S， Waters B. Outsourcing the decryption of abe ciphertexts[C]. Proceedings of SEC 2011， Berkeley： USENIX Association， 2011：34-34.

【通联编辑：代影】