的概率定义,隐私属性存在泄露主要取决于n的规模.类化技术[3-4]准身份值被具体值取代,源数据集分成组,每组至少包含k个元素,存在信息损失.摘 要: 单云服务提供者环境下用户随机属性隐私保护包括防范属性集更新泄露与密钥关联属性泄露,主要通过代理认证、零知识证明、可信第三方和匿名签名实现.针对属性保护严重依赖第三方的密钥分配与属性授权,提出了一种密文策略属性基群签密随机属性保护方案.该方案利用无证书群签密的无连接交互验证特性,在用户计算密钥因子时防范云服务提供者获得密钥关联属性信息;利用属性撤销的密钥重构与属性分割的密文重构的相互独立特性,降低了用户签密所需要的最小属性集数量,抵制了攻击者利用属性集更新伪造签名;以密钥服务为中心设计了群签密的身份验证机制以防范其他用户身份伪装.结果表明:该方案实现了保护随机属性安全和消息隐私.
关键词: 密文策略属性基加密; 密钥; 签名; 验证; 不可伪造
云服务提供者(cloud service provider, CSP)、授权者(private key generation, PKG)、用户和数据属主(owner)密切合作,才能有效实施大数据的处理与分析.单CSP环境下,PKG提供身份属性注册、密钥分配和授权服务,存在用户隐私属性和密钥信息泄露.因此,隐私属性安全是单CSP平台的严重威胁之一,现有方案主要是从匿名技术和零知识证明视角保障用户隐私属性安全.
(α,h)-匿名系统,每个准身份QI(quasi-identifiers)至少由h个记录共享,QI是机密的,其关联敏感属性值s不大于门限α.QI值和敏感值分为两个表格[1],元组分为多个桶[2],敏感值随机关联元组桶,这样可以切断QI值和敏感值之间的关联.针对存在隐私属性,Ercan给出了Pr(t∈T|T*)=的概率定义,隐私属性存在泄露主要取决于n的规模.类化技术[3-4]准身份值被具体值取代,源数据集分成组,每组至少包含k个元素,存在信息损失.
零知识证明系统应用于单CSP环境身份认证;个体属性集分布在第三方可信服务器[5];多方计算协商云服务身份管理[6],这些方案均未涉及隐私保护.云服务架构的身份理解和安全隐私限制[7]、QI-属性不分割属性集模糊群签名算法[8]、数据份额和群签名算法[9]、自定义隐私保护策略[10],上述方法将身份泄漏分为存在泄漏和关联泄漏.存在泄漏用于鉴别属性泄露,关联泄漏用于鉴别敏感属性泄漏.身份基群签密隐私保护[11]和群撤销签名隐私保护[12]方案,均实现了部分身份属性保护和密文保护的细粒度访问控制.但是,可信PKG在系统中处于中心地位,已经成为一个最大的系统瓶颈.
上述两种机制的共同特点是,PKG轻负载、关联属性少,身份保护与消息隐私保护相互独立,这也是单CSP系统随机化属性保护的最大难点.因此,设计一种随机化属性保护方案对于单CSP系统的数据安全、密钥安全具有重要价值.
单CSP系统应用场景如图1所示,用户隐私属性保护方案来源于扩展密文策略属性撤销[13]方案与属性分割[14]方案,并且融合无证书群签密[15]方案.用户、Authority和CSP构成群,用户代表群利用一组随机属性签密消息,Authority鉴别其真实身份,其他成员确信签密者来自群,但不知道其具体信息,保护了用户随机属性隐私,用户可以访问云服务.笔者提出的随机化属性基群签密的用户身份属性保护方案,以密钥服务为中心,引入扩展密文策略属性撤销的匿名性方法,可以抵制用户之间共谋、CSP与用户共谋获取身份属性信息;引入属性分割的随机属性集代理密钥重构方法,可以保护随机属性隐私和消息隐私,结合无证书群签密的安全模型和密文公开验证方法,达到抵制群成员身份伪装,实现密文数据的细粒度访问控制的目的.
假设单CSP随机化属性保护系统存在用户之间共谋、CSP与用户共谋及隐私泄露,以图1应用场景为基础构造方案,基本框架如图2所示.具体步骤:第①步,用户向PKG申请属性授权和密钥分配,获得私钥并生成签名上传CSP;第②步,CSP和PKG协商用户的验证密钥,并且验证用户签名,若通过用户可访问云服务;第③步,用户获得CSP密文访问权.群O基于实体成员的属性组成,即O=ω1∪ω2 ∪…∪ωN,其中,ωi为成员属性集.群成员为PKG、用户和CSP,PKG为群管理员.
图1 单CSP系统应用场景
Fig.1 Single cloud service provider system application scenarios
图2 随机化属性保护系统具体运行流程
Fig.2 Operation process of random attribute protection system
定义1 密文策略属性基群签密随机化属性保护方案(ciphertext-policy attribute based group signcryption with randomization attribute protection, CPAGSRAP)是下列算法的一个元组.
Setup(λ):给定安全参数λ,算法输出系统参数params.PKG选择随机整数n=p×q,其中p和q为两个大素数;选择g、h为GF(p)的生成元.PKG定义群O=ω1∪ω2∪…∪ωN,选择字符集ωPKG作为自身属性.
Partial-Private-key(params,ωmsk): PKG选择随机整数msk作为主私钥,计算公共参数mpk=gmsk mod n.
Private-Key(params, mpk, msk, ωPKG):算法输入系统参数params、公共参数mpk、主私钥msk、PKG属性集ωPKG,选择随机数v,计算群公钥GPK和群私钥GSK.
User-Key(params, ωU):算法输入系统参数params、用户属性集ωU,用户随机选择秘密值w,计算ωU=ωPKGw并发送给PKG;PKG选择秘密值x,计算基于(ωU, params, GSK, x)的(σ1, σ2, σ3)并发送给用户;用户通过方程验证参数的真实性.
Signcryption(O, m, ωU, AS, params, σ1, σ2, σ3, GPK):算法输入消息m、群O、用户ωU、访问结构AS、群公钥GPK和σ3,用户选择秘密值y,计算签密文CT发送给CSP.
Delegate-PrivateKey(params, γ, mpk, msk):算法输入系统参数params、更新属性集γ(γ∩ωPKG=∅)、主私钥msk和公共参数mpk,计算新的群公钥
群私钥
和代理密钥Grk.
ReSigncryption(CT,Grk,β):算法输入签密文CT、代理密钥Grk、访问结构AS的一组属性集β,计算重签密文CT′并发送给CSP.
ReKey(GSK,Grk,θ):算法输入群私钥GSK、代理密钥Grk、Grk与GSK的共同属性集θ,输出用户更新私钥SK′.
Unsigncryption(O, CT,GPK):算法由CSP运行,算法输入签密文CT、群O和群公钥GPK,验证CT有效且签密者系O成员,输出“valid”或“Invalid”.
Verify(CT, GSK):算法由PKG运行,输入签密文CT、群私钥GSK,验证签密文CT的正确性.
定义2 一个密文策略属性基群签密随机化属性保护方案(CPAGSRAP)在自适应选择密文攻击下是安全的,条件是所有的多项式时间算法攻击者在IND-CPAGSRAP-CCA2游戏模型中获胜的概率最多具备一个可忽略的优势.
2.1 初始化阶段
系统参数、密钥生成环境的初始化,为用户访问云服务提供认证准备.系统定义多项式群上的拉格朗日插值公式Δi,S,用于密钥分配管理;对任意i∈Zp,假设S是Zp中的d-元素集合,则
Δi,S(x)=∏j∈S,j≠i
.
(1)
系统定义群O=ω1∪ω2∪…∪ωN;PKG选择自身的属性集ωPKG⊂O.给定安全参数λ,PKG选择G加法循环群、GT乘法循环群,两个阶均为素数p;双线性映射e:G×G→GT,g、h是G的一个生成元;系统选择整数n且满足n=p′×q′,其中
和
以及
均为大素数.假设U是通用属性的集合,且|U|=L;Ω={Ω1,…,Ωd-1}是一个d-1缺省属性集合,满足拉格朗日插值公式(1).
系统定义密码学哈希函数H:{0,1}*→{0,1}|n|,|n|表示签密文的长度,用于抵制用户之间共谋.系统选择随机数α、β∈Zp,计算Y=e(g,g)α.系统构造属性树T是由群O属性集构成的访问结构,Tx是某一节点x的T的子树,用户随机属性集ρ满足Tx即Tx(ρ)=1,当且仅当ρ满足访问策略π即Tπ(ρ)是真实用户可验证签名.
系统选择随机数ti∈Zp(1≤i≤3n),计算Ti=gti, 系统生成PK=(e, g, Y,T1,…,T3n)和MK=(α, t1,…,t3n).PKG发布公共参数params={e, O, G,GT, n, g, H, Y,π, h, PK, MK},保存私有参数(α, β, ti).
2.2 密钥服务阶段
2.2.1 部分私钥生成
PKG为用户生成部分密钥因子,用户利用部分参数与PKG交互认证,实现本地密钥的生成.
系统定义用户随机属性集ωu′⊂O并且计算H(ωu′, O),随机选取一个属性子集ωU⊂ωu′并且计算H(ωU,O);用户通过安全通道向PKG发送元组(ωU, H(ωu′,O), H(ωU,O)).
PKG验证ωU⊂G1,可以确认用户是群成员,PKG随机选择私有整数msk,计算公共参数mpk=gmsk mod n,假设
=ωU∪Ω.
PKG选择随机数γS∈Zp,设用户签名属性集ρS⊂
且满足Tπ(ρS)为真,系统计算用户签名私钥部分因子DS=[(α+β)/γS]h.
PKG选择随机数γE∈Zp,设用户加密属性集ρE⊂且ρS∩ρE=Φ且满足Tπ(ρE)为真,系统计算用户加密私钥部分因子DE=[(α+β)/γE]h.
2.2.2 私钥生成
PKG为用户定义CSP成员访问入口,PKG选择随机数v∈Zp,系统计算
其中
为群私钥;
其中
为群公钥.
RSA算法d·e=1 mod n,e是公钥,d是私钥.系统定义参数
为群公钥,参数
为群私钥.
用户选择随机数w∈Zp,系统计算H(
)=H(ωPKG)w mod n,发送给PKG.PKG计算MU=(H())d,(MU, d)为用户访问CSP的成员入口.
2.2.3 用户密钥生成
用户获得系统生成的群公钥和群私钥,系统为用户生成群签名密钥和验证密钥.PKG选择随机数ri∈Zp,i∈U.设
用户计算
其中D=gα-r.如果i∈U,那么
且
;如果i∉U,那么
用户签名私钥为
验证密钥为
2.3 签密与验证服务阶段
2.3.1 用户群签密
用户获得访问CSP的入口,向CSP发送签名消息和加密消息.CSP验证用户系群G1的真实成员,系统计算签密文.
系统选择随机数t,定义签名属性子集ρS⊂,计算H(ρS,O),定义加密属性子集ρE⊂且满足ρS∩ρE=Φ,计算H(ρE,O);系统定义签名策略πS和密文策略πE,定义访问控制树TS和TE;系统计算:C1=gt,C2=m⨁Yt.
系统选择随机数k,系统计算:V=e(C1,h)k,C=H(m, C2, V, πS, πE),T=[C2]ge+[Cd]DS,
系统选择随机数α′、β′,系统计算:
δ1=(H(
))α′ mod n;δ2=α′·T+δ1 mod n;
n.
系统计算MUδ2=δ1T·δ3 mod n成立,系统输出签密文CT=(TS, C1, C2, BS,ω, TE, C, T, δ1, δ2, δ3, C′).
2.3.2 重代理密钥生成
用户委托中间用户生成代理密钥.设i∈γ,γ满足[1, 2n],i的值小于等于n为有效属性;反之,大于等于n时有效值为i-n.
对任意i∈γ,选择随机数
中间用户计算rki=
,对每一个i∈{1,2,…,2n}/γ,rki=1.
用户重代理密钥Grki={rki}1≤i≤2n.系统定义新的群公钥
新的群私钥
2.3.3 重签密
系统定义签密文的访问结构
].重签密签密文算法如下:
对任意
且1≤i≤n;
对任意
且i∉β和i+n∉β.
系统计算重签密文CT′=(AS,C1,C2,C′,
i∈U)并发送给签密CSP.
2.3.4 重密钥生成
系统定义θ∈[1,2n],对任意
且1≤i≤n;如果
对任意
且i∉θ和i+n∉θ,系统计算用户重密钥
′=
i∈U.
2.3.5 解签密与验证
CSP验证重签密文CT′有效性以及用户身份属性的真实性,可以证实用户为群O成员.
如果用户属性为TE叶子节点,系统完成计算和验证:SE=
=e(g,h)H(ωE,O).
如果用户属性为TS叶子节点,系统完成计算和验证:SS=
=e(g,h)H(ωS,O).
用户一部分属性为TE叶子节点,另一部分属性为TS叶子节点,系统完成计算和验证:
SE,S=
·e(g,h)V=e(g,h)α′β′,
m=C2⨁(SE,S)C,并且TE和TS满足访问策略Tπ(ρ).
设|p|表示Zp的元素规模,|g|、|gT|分别表示G、GT的元素规模,na、nu分别表示系统用户属性数、用户总数,Ha表示哈希函数计算,Pa表示双线性对计算,ExpG表示G上的指数运算,ExpGT表示GT上的指数运算,|aG|表示G上的a元素二进制长度.
文献[14]的通信成本是系统参数、用户私钥,私钥规模与|p|相关;文献[15]的通信成本是系统参数、主密钥和签名私钥.本文方案、CSP和用户之间的通信成本主要来自于签密文验证.文献[14-15]的通信成本包括签名和属性集更新树,与属性数量成线性关系;签名规模与|gT|相关,属性集规模与|g|、|p|和na相关.本文方案PKG的通信成本小于文献[14-15],CSP成本大于文献[14-15],比较结果如表1所示.
PKG存储开销包含系统参数、主密钥和群密钥、群私钥,系统参数与nu成线性关系;用户和CSP存储开销包含群密钥,与|g|和|gT|相关.文献[14]中PKG存储开销包含属性集、系统参数、主密钥,系统参数规模与nu成线性关系;CSP和用户存储开销主要是秘密值、密名、密文,密文与nu成线性关系;文献[15]中PKG还增加了撤销属性集,与|g|相关.本文方案PKG存储开销低于文献[14-15],用户开销相当,CSP存储开销高于文献[14-15],比较结果如表2所示.
表1 随机属性保护通信成本比较
Tab.1 Commurication cost comparison of random attribute protection
实体本文方案文献[15]文献[14]用户和PKG2gg+nag2g+2nagCSP和PKGg+gTg+3pg+3p用户和CSPpgT+naggT+2pg2gT+nup
表2 随机属性保护存储开销比较
Tab.2 Storage cost comparison of random attribute protection
实体本文方案文献[15]文献[14]PKGnapnug+2p2nug+p用户(4+na)g2nug+5p3nup+gCSPnug+nugT3gT+g3gT+3nug
系统计算效率主要包含计算时间和计算成本,群签密与解签密验证计算时间主要与用户属性数量相关,计算成本与困难性假设相关.用户属性数量规模增加,系统计算时间增长率决定了签密和验证的效率,通过仿真实验方法测试方案的签密和验证计算时间增长率.仿真实验结果如图3所示,纵轴表示系统计算时间,横轴表示用户属性数量.本文方案密文策略群签密与解签密验证服务系统在用户属性数量为(20,80)时计算时间增长率小于文献[14-15].在双线性映射和标准模型下,密文策略属性基群签密部分属性保护方案在计算成本方面有较大改进.与文献[14-15]相比,本文方案在指数运算、哈希运算方面优于文献[14-15],密文规模运算高于文献[14-15].
在DBDH困难性假设适应性选择密文攻击和选择消息攻击下,方案存在签名强不可伪造性、身份属性匿名性,比较结果如表3所示.
图3 随机属性保护计算时间比较
Fig.3 Calcuated time comparison of random attribute protection
表3 随机属性保护计算成本比较
Tab.3 Calculated costs comparison of random atteribute protection
计算成本指标本文方案文献[15]文献[14]对运算2Pa3Pa4Pa指数运算ExpG+ExpGT4ExpG+ExpGT3ExpG+3ExpGT哈希计算2Ha6Ha3Ha密文规模G+GT3G+3GT2G+2GT采用模型标准RORO
综合单CSP系统通信成本、存储开销和计算效率3个方面,本文方案在PKG通信成本和存储开销以及签密验证计算时间优于文献[14-15],但是密文规模、CSP通信成本和存储开销仍然需要进一步研究和优化.
身份属性安全是单CSP系统安全的焦点,密文策略属性基群签密部分属性保护方案,以双线性映射、DBDH假设标准模型下的无证书签密为基础,对其匿名认证、密钥管理进行了群签密方案相关扩展,融合了密文策略属性基密码机制,解决了用户部分身份属性泄露、身份属性伪造问题.用户在申请密钥服务之前降低了和PKG的交互通信;群签密与验证的方法简化了身份认证的计算复杂度.CPAGSRAP方案简化了群签密的指数运算次数,消除了证书存储负载,降低了群签密算法和解签密算法的运算负载.但增加了群密钥与签密验证的运算次数和CSP综合开销,因此如何降低综合负载将作为进一步的研究方向.
参考文献:
[1] XIAO X, TAO Y. Anatomy: simple and effective privacy preservation[C]//Proc of Very Large Data Base Conference. Seoul: Spring, 2006:139-150.
[2] ZHANG Q, KOUDAS N, SRIVASTAVA D, et al. Aggregate query answering on anonymized tables[C]//Proc of International Conference on Data Engineering.Istanbul: Spring, 2007:116-125.
[3] BAYARDO R J, AGRAWAL R. Data privacy through optimal k-anonymization[C]//Proc of International Conference on Data Engineering. Tokyo: Spring, 2005:217-228.
[4] MEYERSON A, WILLIAMS R. On the complexity of optimal k-anonymity[C]//Proc of ACM International Conference on Principles of Database Systems. Paris: Spring, 2004:223-228.
[5] HUSSAIN M. The design and applications of a privacypreserving identity and trust-management system[D]. Kingston,Ontario,Canada:School of Computing, Queen’s University, 2010.
[6] RANCHAL R, BHARGAVA B K, OTHMANE. Protection of identity information in cloud computing without trusted third party[C]//Proc of IEEE Symposium on Reliable Distributed Systems. Pairs:IEEE, 2010:368-372.
[7] HARALAMBOS M, SHAREEFUL I. A framework to support selection of cloud providers based on security and privacy requirements[J]. Journal of systems and software, 2013, 86(6): 2276-2293.
[8] WANG H. Privacy-preserving data sharing in cloud computing[J]. Journal of computer science and technology, 2010, 25(3): 401-414.
[9] CHUANG I H, LI S H, HUANG K C, et al. An effective privacy protection scheme for cloud computing[C]//2011 13th International Conference on Advanced Communication Technology(ICACT).Seoal,Korea:IEEE,2011:13-16.
[10] CHADWICK D W, FATEMA K. A privacy preserving authorisation system for the cloud[J].Journal of computer and system sciences,2012,78(10):1359-1373.
[11] QIN L, GUO J W. Time-based proxy reencryption scheme for secure data sharing in a cloud environment[J]. Information sciences, 2015, 258(10): 355-370.
[12] XUE R W, JIAN M F. User key revocation method for multi-cloud service providers[J]. Journal of electronics information technology,2015, 37(9): 2225-2231.
[13] YU S, WANG C, REN K, et al. Attribute based data sharing with attribute revocation[C]//ASIACCS’10 Proceeding of the 5th ACM Symposium on Information, Computer and Communications Security. New York: ACM,2010: 261-270.
[14] LIF W, HAO J Z. Security and privacy for storage and computation in cloud computing[J]. Information sciences, 2015, 258(4): 371-386.
[15] MOHANTY S, MAJHI B, DAS S. A secure electronic cash based on a certificateless group signcryption scheme[J].Mathematical and computer modelling, 2013, 58(1/2): 186-195.
Abstract: User randomization attribute privacy protection included attribute set updating leakage and attribute leakage of key in Single-CSP (Cloud Service Provider), which performed mainly through proxy authentication, zero-knowledge proof, the trusted third party and anonymous signature. Focusing on attribute protection heavily dependent on third-party key distribution and attribute authority, this paper presented a ciphertext policy attribute-based group signcryption randomization attribute protection scheme. When a user calculated the key factor, the scheme controled CSP getting key associated attribute information by using certificateless group signcryption connectless cross-validation; it reduced the minimal number of attribute set for signcryption need by using attribute revocation and attribute segmentation to mutual independent with sign key and encryption key, and resisted an attacker forged signatures of attribute set updating. In key service-centric, it designed the identity verifying mechanism of group signcryption, and controls masquerading as other user. The scheme implemented the protection of the randomization attribute security and message privacy.
Key words: CP-ABE(ciphertext policy attribute-based encryption); key; signature; verify; unforgeability
收稿日期:2017-05-15;
修订日期:2017-08-21
基金项目:国家自然科学基金资助项目(U1636107;61373168),河南省自然科学基金资助项目(162300410191),河南省软科学研究计划资助项目(172400410501),河南省科技攻关计划资助项目(152102310245;172102210172)
文章编号:1671-6833(2017)06-0017-06
中图分类号: TP393.08
文献标志码:A
doi:10.13705/j.issn.1671-6833.2017.06.004