面向云服務(wù)的輕量級(jí)匿名訂閱系統(tǒng)
2022-01-01 00:00:00柳欣張波張斌孫世文
計(jì)算機(jī)應(yīng)用研究 2022年4期
摘要:針對(duì)已有匿名訂閱系統(tǒng)訂閱方式不靈活、用戶(hù)端運(yùn)算量大以及用戶(hù)訪問(wèn)次數(shù)不受限制等缺陷,在Canard等人系統(tǒng)的基礎(chǔ)上,提出一個(gè)面向云服務(wù)的輕量級(jí)匿名訂閱系統(tǒng)。新系統(tǒng)的構(gòu)造過(guò)程使用了關(guān)于掌握Au-Susilo-Mu簽名的知識(shí)證明、改進(jìn)的集合成員證明以及雙線(xiàn)性對(duì)運(yùn)算的性能優(yōu)化技術(shù)。與已有系統(tǒng)相比,新系統(tǒng)同時(shí)滿(mǎn)足以下性質(zhì):允許用戶(hù)一次性訂閱多種服務(wù)類(lèi)型;對(duì)用戶(hù)的訪問(wèn)次數(shù)作出限制;不允許用戶(hù)與他人共享使用電子錢(qián)包;為用戶(hù)提供了較強(qiáng)的隱私保護(hù)等級(jí)。該系統(tǒng)可證能安全地實(shí)現(xiàn)匿名訂閱的功能。仿真實(shí)驗(yàn)表明,當(dāng)被證明的秘密值在50~1 050內(nèi)變化時(shí),用戶(hù)在Access協(xié)議中的運(yùn)行效率較同類(lèi)系統(tǒng)提高了79.5%~83.2%。
關(guān)鍵詞:云服務(wù);隱私保護(hù);匿名訂閱;知識(shí)證明;集合成員證明
中圖分類(lèi)號(hào):TP309文獻(xiàn)標(biāo)志碼:A
文章編號(hào):1001-3695(2022)04-046-1228-09
doi:10.19734/j.issn.1001-3695.2021.08.0328
Lightweight anonymous subscription system for cloud services
Liu Xin1a,1b,Zhang Bo2,Zhang Bin1a,1b,Sun Shiwen1a,1b
(1.a.School of Information Engineering,b.Key Laboratory of Information Security amp; Intelligent Control in Universities of Shandong,Shandong Youth University of Political Science,Jinan 250103,China;2.School of Information Science amp; Engineering,University of Jinan,Jinan 250022,China)
Abstract:As many existing anonymous subscription systems suffer from defects(such as inflexible ordering,a large amount of client computation,and unlimited user access),this paper extended Canard et al.’s system so as to obtain a lightweight anonymous subscription system for cloud services.The construction of the new system adopted the zero-knowledge proof for proving possession of an Au-Susilo-Mu signature,improved set membership proof,and computational performance optimization techniques for bilinear operations.The new system had the following advantages over the existing schemes:allowing users to order multiple service types at one time,putting restrictions on the number of times users can access,precluding sharing of e-wallets,providing stronger privacy protection.The security analysis shows that the new system could safely realize the functionalities of anonymous subscription systems.The simulation results show that when the proved secret value varies from 50 to 1 050,the operation efficiency of users in Access protocol increases by 79.5% to 83.2% compared with similar systems.
Key words:cloud services;privacy protection;anonymous subscription;proof of knowledge;set membership proof
0引言
訂閱(subscription)是一種現(xiàn)代商業(yè)模式,該模式要求用戶(hù)周期性地付款,從而獲得資源(商品或服務(wù))的使用權(quán)限[1]。對(duì)于資源所有者而言,需要解決以下的棘手問(wèn)題,即如何對(duì)資源實(shí)施有效管理,以及如何對(duì)訪問(wèn)資源的行為實(shí)施準(zhǔn)入控制。顯然,為了降低資源管理產(chǎn)生的存儲(chǔ)要求、運(yùn)算成本以及為用戶(hù)提供便捷的訪問(wèn)方式,將資源外包給云是一種理想的解決方案[2]。目前,已經(jīng)提出許多面向云服務(wù)(研究類(lèi)期刊的訂閱服務(wù)、基于位置的服務(wù)等)的訂閱系統(tǒng)。匿名訂閱(anonymous subscription,AS)系統(tǒng)是一種云身份認(rèn)證[3]技術(shù),其設(shè)計(jì)目標(biāo)是在用戶(hù)訪問(wèn)行為的準(zhǔn)入控制和隱私保護(hù)之間尋求平衡,使得授權(quán)用戶(hù)能匿名地訪問(wèn)各類(lèi)在線(xiàn)資源,同時(shí)防止服務(wù)提供商(service provider,SP)對(duì)用戶(hù)行為進(jìn)行識(shí)別和畫(huà)像,以及對(duì)用戶(hù)喜好進(jìn)行分析和預(yù)測(cè)。
文獻(xiàn)[4]提出一個(gè)AS系統(tǒng),該系統(tǒng)的特點(diǎn)是允許為用戶(hù)的訪問(wèn)令牌設(shè)置過(guò)期日期,并且可以阻止用戶(hù)與他人共享令牌。然而,為了證明令牌尚未過(guò)期,用戶(hù)需要執(zhí)行低效的區(qū)間證明運(yùn)算。Canard等人[5]提出多服務(wù)訂閱的概念,并且構(gòu)造了多個(gè)具體的系統(tǒng)。然而,多數(shù)系統(tǒng)要求以犧牲用戶(hù)的無(wú)關(guān)聯(lián)性或要求SP保持誠(chéng)實(shí)作為代價(jià),盡管最后一個(gè)系統(tǒng)滿(mǎn)足無(wú)關(guān)聯(lián)性和匿名性,但用戶(hù)每次僅能訂閱一種服務(wù)。Vasco等人[6]提出面向在線(xiàn)服務(wù)的AS系統(tǒng)框架,該框架允許用戶(hù)匿名地支付費(fèi)用并且請(qǐng)求訪問(wèn)由多個(gè)SP提供的服務(wù),而且考慮了令牌過(guò)期與用戶(hù)申請(qǐng)退款的問(wèn)題。Pirker等人[7]提出一個(gè)支持用戶(hù)利用資源受限制設(shè)備匿名消費(fèi)云資源的系統(tǒng),該系統(tǒng)支持用戶(hù)執(zhí)行對(duì)支付令牌的分割和余額轉(zhuǎn)移操作,但是,用戶(hù)需要在匿名訪問(wèn)過(guò)程中執(zhí)行大量的雙線(xiàn)性對(duì)運(yùn)算。Lee等人[8]提出一個(gè)高效的AS系統(tǒng),為了防止克隆攻擊,該系統(tǒng)僅允許用戶(hù)在同一個(gè)時(shí)間周期內(nèi)執(zhí)行一次登錄,同時(shí),為了方便用戶(hù)在連續(xù)的時(shí)間周期內(nèi)快速登錄,該系統(tǒng)提供了一個(gè)特殊的Re-Up子協(xié)議,但是需要以犧牲用戶(hù)的無(wú)關(guān)聯(lián)性為代價(jià)。Zhu等人[9]提出一個(gè)隱私保護(hù)的視頻訂閱系統(tǒng),該系統(tǒng)是在Lee等人[8]系統(tǒng)基礎(chǔ)上擴(kuò)展得到的,即通過(guò)引入?yún)^(qū)間證明技術(shù)實(shí)現(xiàn)了用戶(hù)證書(shū)的過(guò)期。Ogawa等人[10]基于群簽名技術(shù)構(gòu)造了一個(gè)AS系統(tǒng),該系統(tǒng)允許視頻內(nèi)容提供商對(duì)用戶(hù)的觀看歷史進(jìn)行分析并提供推薦的電視節(jié)目,但代價(jià)是用戶(hù)的訪問(wèn)行為是可關(guān)聯(lián)的。Kumar等人[11]提出基于直接匿名證明技術(shù)構(gòu)造的AS系統(tǒng),該系統(tǒng)借助TPM(trusted platform module)芯片阻止用戶(hù)共享密鑰。最近,Yi等人[1]提出與Kumar等人類(lèi)似的AS系統(tǒng)設(shè)計(jì)路線(xiàn),即要求使用防竄改設(shè)備阻止用戶(hù)共享密鑰的行為。同時(shí),引入廣播加密技術(shù)廢除不再繳費(fèi)的用戶(hù)。
需要指出的是,上述AS系統(tǒng)支持的服務(wù)類(lèi)型較為廣泛。除此之外,研究者們還提出許多在特定服務(wù)場(chǎng)景下為用戶(hù)提供隱私保護(hù)的解決方案,Liu等人[12]提出一個(gè)隱私保護(hù)的電動(dòng)汽車(chē)預(yù)約充電方案,除了為用戶(hù)個(gè)人信息提供保護(hù),該方案還能保護(hù)用戶(hù)的位置隱私。Han等人[13]提出一個(gè)隱私保護(hù)的電子車(chē)票方案,該方案的特點(diǎn)是允許不同的乘客根據(jù)票據(jù)銷(xiāo)售政策以不同的價(jià)格購(gòu)買(mǎi)車(chē)票,同時(shí),不允許乘客將車(chē)票轉(zhuǎn)讓給他人。Huang等人[14]提出一個(gè)為自治車(chē)輛預(yù)約停車(chē)位的方案,與AS系統(tǒng)相比,該方案額外考慮了多個(gè)安全性質(zhì),諸如地理位置的不可分辨性以及抗重復(fù)預(yù)約攻擊等。Yi等人[15]利用位置隱私保護(hù)技術(shù)對(duì)Lee等人[8]的AS系統(tǒng)進(jìn)行擴(kuò)展,實(shí)現(xiàn)了隱私保護(hù)的空間眾包服務(wù)。Shen等人[2]構(gòu)造了一個(gè)支持會(huì)話(huà)密鑰更新的無(wú)線(xiàn)廣播系統(tǒng),該系統(tǒng)允許廣播公司通過(guò)更新節(jié)目吸引用戶(hù),同時(shí)支持用戶(hù)根據(jù)興趣靈活地訂閱和退訂節(jié)目。此外,江澤濤等人[16]提出一個(gè)面向云環(huán)境的混合跨域認(rèn)證方案,滿(mǎn)足了用戶(hù)在不同密碼體系之間的跨域訪問(wèn)需求。綜上所述,上述方案在安全模型和業(yè)務(wù)流程方面與標(biāo)準(zhǔn)的AS系統(tǒng)相差較大,因此無(wú)法直接用于解決本文考慮的問(wèn)題。
本文的研究目標(biāo)是設(shè)計(jì)一個(gè)高效的面向云服務(wù)的AS系統(tǒng)。在為用戶(hù)提供隱私保護(hù)的同時(shí),支持服務(wù)類(lèi)型的多樣性并且對(duì)用戶(hù)的訪問(wèn)次數(shù)作出合理限制。
本文的主要貢獻(xiàn)體現(xiàn)在以下方面:
a)提出完整的AS系統(tǒng)安全定義,具體包括AS系統(tǒng)的語(yǔ)法定義以及基于模擬的安全模型定義。同時(shí),在該模型下為新系統(tǒng)提供了嚴(yán)格的安全性證明。
b)在Canard等人[5]系統(tǒng)的基礎(chǔ)上,提出面向云服務(wù)的輕量級(jí)AS系統(tǒng)。在新系統(tǒng)的構(gòu)造過(guò)程中,引入改進(jìn)的關(guān)于掌握Au-Susilo-Mu簽名[17]的知識(shí)證明以及改進(jìn)的集合成員證明技術(shù)等,同時(shí)對(duì)系統(tǒng)執(zhí)行過(guò)程中涉及的零知識(shí)證明進(jìn)行優(yōu)化,使得用戶(hù)在各子協(xié)議中均無(wú)須執(zhí)行低效的雙線(xiàn)性對(duì)運(yùn)算。
c)與已有的同類(lèi)系統(tǒng)相比,新系統(tǒng)首次同時(shí)滿(mǎn)足以下性質(zhì),即:(a)允許用戶(hù)一次性訂閱多種服務(wù)類(lèi)型,而且能在今后追加訂閱新服務(wù);(b)通過(guò)引入電子錢(qián)包充值機(jī)制,實(shí)現(xiàn)了對(duì)用戶(hù)訪問(wèn)次數(shù)的限制,因此適合于按次付費(fèi)的應(yīng)用場(chǎng)景;(c)為用戶(hù)提供了較強(qiáng)的隱私保護(hù)等級(jí),即用戶(hù)的訪問(wèn)行為同時(shí)滿(mǎn)足完全匿名性和無(wú)關(guān)聯(lián)性。
d)對(duì)新系統(tǒng)與相關(guān)系統(tǒng)進(jìn)行了安全性質(zhì)與執(zhí)行效率的深入比較。
1預(yù)備知識(shí)
本文使用了非對(duì)稱(chēng)的雙線(xiàn)性群環(huán)境(G1,G2,GT,p,),其中:G1,G2,GT表示素?cái)?shù)p階循環(huán)群;表示雙線(xiàn)性映射,使得:G1×G2→GT。
1.1復(fù)雜性假設(shè)
令g、h分別為群G1、G2的生成元。q-SDH(the q-strong Diffie-Hellman)假設(shè)表明,給定元組(g,gγ,…,gγq,h,hγ),難以計(jì)算數(shù)對(duì)(x,g1/(γ+x)),其中x∈*p。
1.2零知識(shí)證明
關(guān)系的Sigma協(xié)議[18] (P,V)是一類(lèi)三輪交互式零知識(shí)的知識(shí)證明協(xié)議,其中P與V分別表示證明者與驗(yàn)證者。P可以利用此類(lèi)協(xié)議向V證明以下事實(shí),即自己擁有秘密證據(jù)w,使得(x,w)∈,其中x表示共同輸入。本文將使用非交互的Sigma協(xié)議,記為π=ZKPoK{(w):(x,w)∈},并將此類(lèi)協(xié)議簡(jiǎn)稱(chēng)為零知識(shí)證明。
1.3Au-Susilo-Mu簽名及其相關(guān)協(xié)議
令g0,g1,…,gn+1為群G1的生成元,令h0為群G2的生成元。簽名者私鑰為γ∈p,公鑰為w=hγ0。給定待簽名的消息元組(m1,…,mn),所產(chǎn)生的Au-Susilo-Mu方案簽名為(A,e,s),滿(mǎn)足A=(g0gm11…gmnngsn+1)1/(γ+e),s,e∈p。為了證明掌握該簽名,需構(gòu)造零知識(shí)證明π=PKZoK{(A,e,m1,…,mn,s):(A,whe0)=(g0gm11…gmnngsn+1,h0)}[17]。然而,證明者P需要執(zhí)行低效的雙線(xiàn)性對(duì)運(yùn)算以及群GT上的指數(shù)運(yùn)算。Arfaoui等人[19]提出以下改進(jìn)技術(shù):P選取α∈p,計(jì)算=Aα,=gα0gαm11…gαmnngαsn+1-e,并且產(chǎn)生零知識(shí)證明π=PKZoK{(α,αm1,…,αmn,αs,e):=gα0gαm11…gαmnngαsn+1-e}。除了驗(yàn)證π是否有效,V還需驗(yàn)證是否滿(mǎn)足(,h0)=(,w)以及≠1G1。此外,該簽名的驗(yàn)證等式為(A,whe0)=(g0gm11…gmnngsn+1,h0)。Canard等人[20]指出,為了避免驗(yàn)證者執(zhí)行雙線(xiàn)性對(duì)運(yùn)算,可以要求簽名者額外提供零知識(shí)證明π=ZKPoK{(γ):g0gm11…gmnngsn+1A-e=Aγ∧w=hγ0},使得V只需對(duì)π進(jìn)行驗(yàn)證,即可判定簽名的有效性。
1.4基于簽名的集合成員身份證明技術(shù)
Camenisch等人[21]提出一種形式為π=ZKPoK{(i):i∈Φ}的集合成員身份證明技術(shù)。具體實(shí)現(xiàn)方法如下:首先,驗(yàn)證者V產(chǎn)生密鑰對(duì)(w=gγ,γ)。對(duì)于集合Φ={1,2,…,n}中的每個(gè)元素i,V計(jì)算oi=g1/(γ+i),公開(kāi)發(fā)布集合Σ={o1,o2,…,on}={g1/(γ+1),g1/(γ+2),…,g1/(γ+n)},其中的每個(gè)元素都是Boneh-Boyen方案簽名[22]。于是,可以將證明π細(xì)化為π′=ZKPoK{(oi):oi=g1/(γ+i)∧oi∈Σ}。
2AS系統(tǒng)的安全定義
本章引入多個(gè)符號(hào),具體含義如表1所示。
2.1AS系統(tǒng)的語(yǔ)法定義
AS由七個(gè)算法/協(xié)議構(gòu)成,其中CASetup表示CA的系統(tǒng)建立算法,SPRegistration表示SP的注冊(cè)協(xié)議,URegistration表示U的注冊(cè)協(xié)議,Subscribe表示U以匿名方式訂閱服務(wù)類(lèi)型的協(xié)議,Access表示U以匿名方式訪問(wèn)某類(lèi)服務(wù)的協(xié)議,AddSubscribe表示U以匿名方式追加訂閱服務(wù)類(lèi)型的協(xié)議,Recharge表示U以匿名方式對(duì)電子錢(qián)包進(jìn)行充值的協(xié)議。符號(hào)表示參與方之間的交互;符號(hào)←表示算法的輸出;符號(hào)→表示兩方交互協(xié)議的輸出,并且用逗號(hào)將兩個(gè)參與方的輸出隔開(kāi);符號(hào)⊥表示無(wú)效輸出。具體定義如下:
a)(params,skCA)←CASetup(1λ)。
b)SPRegistration(CA(skCA,params)SP(pkSP,skSP,params))→(pkSP,credSP/⊥)。
c)URegistration(CA(skCA,params)U(pkU,skU,params))→(pkU,credU/⊥)。
d)Subscribe(SP(pkSP,skSP,params)U(pkSP,pkU,skU,I,certU,params))→(I,W(U)0/⊥)。
e)Access(SP(pkSP,skSP,params)U(pkSP,pkU,skU,typek,W(U)i,params))→((typek,seri),W(U)i+1/⊥)。
f)AddSubscribe(SP(pkSP,skSP,params)U(pkSP,pkU,skU,I′,W(U)i,params))→((seri,I′),W(U)i+1/⊥) 。
g)Recharge(SP(pkSP,skSP,params)U(pkSP,pkU,skU,W(U)i,m,params))→((seri,m),W(U)i+1/⊥)。
2.2AS系統(tǒng)的安全模型定義
本節(jié)提出AS系統(tǒng)的安全性定義,該定義采用了文獻(xiàn)[13,23]中基于模擬的安全定義和證明技術(shù)。本質(zhì)上講,該定義是根據(jù)現(xiàn)實(shí)世界實(shí)驗(yàn)與理想世界實(shí)驗(yàn)間的不可分辨性得出的。令ε(λ)表示關(guān)于λ的可忽略函數(shù)。同時(shí),令Real,
(λ)表示環(huán)境通過(guò)與現(xiàn)實(shí)世界攻擊者
交互而輸出1的概率。令I(lǐng)deal,(λ)表示環(huán)境通過(guò)與理想世界攻擊者交互而輸出1的概率。對(duì)于某個(gè)AS系統(tǒng),若|Real
(λ)-Ideal,(λ)|≤ε(λ)成立,則稱(chēng)該系統(tǒng)安全地實(shí)現(xiàn)了此類(lèi)系統(tǒng)的功能。
2.2.1AS系統(tǒng)的現(xiàn)實(shí)世界實(shí)驗(yàn)定義
在現(xiàn)實(shí)世界實(shí)驗(yàn)中,存在CA、SP、U三類(lèi)參與方。此外,環(huán)境的作用體現(xiàn)在以下方面:a)向誠(chéng)實(shí)參與方提供輸入;b)接收誠(chéng)實(shí)參與方的輸出;c)采用任意方式與攻擊者進(jìn)行交互。在以下的定義中,b表示協(xié)議執(zhí)行結(jié)果,其中b=1表示“成功”,b=0表示“失敗”。
a)CASetup算法。當(dāng)接收到來(lái)自的消息(“Setup”),CA產(chǎn)生私鑰skCA和公開(kāi)參數(shù)params,并且將params發(fā)送給SP和U。
b)SPRegistration協(xié)議。當(dāng)接收到來(lái)自的消息(“Registration”),SP自行產(chǎn)生(pkSP,skSP)并且與CA執(zhí)行SPRegistration協(xié)議。若SP最終輸出證書(shū)credSP≠⊥,SP向返回b=1;否則,SP向返回b=0。
c)URegistration協(xié)議。當(dāng)接收到來(lái)自的消息(“Registration”),U自行產(chǎn)生(pkU,skU)并且與CA執(zhí)行URegistration協(xié)議。若U最終輸出證書(shū)credU≠⊥,U向返回b=1;否則,U向返回b=0。
d)Subscribe協(xié)議。當(dāng)接收到來(lái)自的消息(“Subscribe,I”),U與SP執(zhí)行Subscribe協(xié)議。若U最終輸出W(U)0≠⊥,U向返回b=1;否則,U向返回b=0。
e)Access協(xié)議。當(dāng)接收到來(lái)自的消息(“Access,typek”),U檢查是否滿(mǎn)足k∈I,若是,U與SP執(zhí)行Access協(xié)議。若U最終輸出W(U)i+1≠⊥,U向返回b=1;否則,U向返回b=0。
f)AddSubscribe協(xié)議。當(dāng)接收到來(lái)自的消息(“AddSubscribe,I′”)。U檢查是否滿(mǎn)足I′∩I=。若是,U與SP執(zhí)行AddSubscribe協(xié)議。若U最終輸出W(U)i+1≠⊥,U向返回b=1;否則,U向返回b=0。
g)Recharge協(xié)議。當(dāng)接收到來(lái)自的消息(“Recharge,m”)。U檢查是否滿(mǎn)足bi+m≤max。若是,U與SP執(zhí)行Recharge協(xié)議。若U最終輸出W(U)i+1≠⊥,U向返回b=1;否則,U向返回b=0。
2.2.2AS系統(tǒng)的理想世界實(shí)驗(yàn)定義
在理想世界實(shí)驗(yàn)中,存在CA′、SP′、U′、四類(lèi)參與方。其中,表示可信參與方,它的作用體現(xiàn)在以下方面:a)接收其他參與方的輸入;b)誠(chéng)實(shí)地執(zhí)行方案定義的各項(xiàng)功能;c)將執(zhí)行結(jié)果返回給其他參與方。最初,建立以下數(shù)據(jù)結(jié)構(gòu),即UCL(U的證書(shū)列表)、SPCL(SP的證書(shū)列表)、Type[](保存用戶(hù)申請(qǐng)的服務(wù)類(lèi)型下標(biāo)集合)以及W[](保存用戶(hù)錢(qián)包余額)。此外,環(huán)境的作用與上一節(jié)相同。
a)CASetup算法。在接收到CA′的請(qǐng)求(“setup”)后,產(chǎn)生params,并將params發(fā)送給SP′和用戶(hù)U′j (j=1,…,user_num)。
b)SPRegistration協(xié)議。在接收到SP′的請(qǐng)求(“Registration”)后,向CA′轉(zhuǎn)發(fā)請(qǐng)求(SP′,“Registration”),并且收到CA′的應(yīng)答b。若b=1,設(shè)置SPCL←SPCL∪{SP′}。同時(shí),將b轉(zhuǎn)發(fā)給SP′。
c)URegistration協(xié)議。在接收到U′j的請(qǐng)求(“Registration”)后,向CA′轉(zhuǎn)發(fā)請(qǐng)求(U′j,“Registration”),并且收到CA′的應(yīng)答b。若b=1,設(shè)置UCL←UCL∪{U′j}。同時(shí),將b轉(zhuǎn)發(fā)給U′j。
d)Subscribe協(xié)議。在接收到U′j的請(qǐng)求(“Subscribe”,I)后,檢查是否滿(mǎn)足Type[j]=⊥,若否,向U′j返回⊥。否則,向SP′轉(zhuǎn)發(fā)請(qǐng)求(“Subscribe”,I),并且收到SP′的應(yīng)答b。若b=1,T設(shè)置Type[j]←I,W[j]←max。同時(shí),將b轉(zhuǎn)發(fā)給U′j。
e)Access協(xié)議。在接收到U′j的請(qǐng)求(“Access”,pricek)后,檢查是否滿(mǎn)足W[j]≥pricek且k∈Type[j],若否,向U′j返回⊥。否則,向SP′轉(zhuǎn)發(fā)請(qǐng)求“Access”,并且收到SP′的應(yīng)答b。若b=1,設(shè)置W[j]←W[j]-pricek。同時(shí),將b轉(zhuǎn)發(fā)給U′j。
f)AddSubscribe協(xié)議。在接收到U′j的請(qǐng)求(“AddSubscribe”,I′)后,檢查是否滿(mǎn)足I′∩Type[j]=⊥,若否,向U′j返回⊥。否則,向SP′轉(zhuǎn)發(fā)請(qǐng)求(“AddSubscribe”,I′),并且收到SP′的應(yīng)答b。若b=1,設(shè)置Type[j]←Type[j]∪I′。同時(shí),將b轉(zhuǎn)發(fā)給U′j。
g)Recharge協(xié)議。在接收到U′j的請(qǐng)求(“Recharge”,m)后,檢查是否滿(mǎn)足W[j]≠⊥且W[j]+m≤max,若否,向U′j返回⊥。否則,向SP′轉(zhuǎn)發(fā)請(qǐng)求(“Recharge”,m),并且收到SP′的應(yīng)答b。若b=1,設(shè)置W[j]←W[j]+m。同時(shí),將Recharge轉(zhuǎn)發(fā)給U′j。
3新的匿名訂閱系統(tǒng)
3.1設(shè)計(jì)思想
本文系統(tǒng)的執(zhí)行過(guò)程共涉及以下的參與方,即CA、SP和U。其中,CA是唯一的可信參與方,它負(fù)責(zé)產(chǎn)生系統(tǒng)的公開(kāi)參數(shù)。假設(shè)SP可以對(duì)外提供service_num種類(lèi)型的服務(wù),在對(duì)外發(fā)布服務(wù)類(lèi)型標(biāo)志{type1,type2,…,typeservice_num,type2,type2,…,typeservice_num}之前,SP需要向CA進(jìn)行注冊(cè),并獲得證書(shū)credSP。相應(yīng)地,U需要先向CA注冊(cè),才能憑借證書(shū)credU向SP訂閱所需要的服務(wù)。在Subscribe協(xié)議中,U可以一次性地向SP訂閱多種服務(wù)類(lèi)型(這些服務(wù)類(lèi)型的下標(biāo)構(gòu)成集合I),并且獲得SP為其產(chǎn)生的初始電子錢(qián)包W(U)0。假設(shè)所有用戶(hù)的電子錢(qián)包初始余額均為b0。在Access協(xié)議中,U向SP提供希望訪問(wèn)的服務(wù)類(lèi)型標(biāo)識(shí)typek,若U能向SP證明自己已經(jīng)訂閱該類(lèi)型的服務(wù)(即滿(mǎn)足k∈I)且自己的電子錢(qián)包余額bi足以支付本次服務(wù)的費(fèi)用pricek,SP允許U對(duì)該服務(wù)進(jìn)行訪問(wèn)。此外,允許U通過(guò)執(zhí)行AddSubscribe協(xié)議向SP追加訂閱更多的服務(wù)類(lèi)型(這些服務(wù)類(lèi)型的下標(biāo)構(gòu)成集合I′且滿(mǎn)足I∩I′=)以及通過(guò)執(zhí)行Recharge協(xié)議,使得電子錢(qián)包可以反復(fù)使用。每當(dāng)利用電子錢(qián)包W(U)i支付服務(wù)費(fèi)用,U需要向SP提供一次性序列號(hào)seri。同時(shí),SP需要為U提供更新后的電子錢(qián)包W(U)i+1。這種機(jī)制可以有效阻止惡意用戶(hù)與他人共享電子錢(qián)包的行為。各參與方之間的交互情況如圖1所示。圖1表明,CA僅負(fù)責(zé)產(chǎn)生系統(tǒng)參數(shù),并且通過(guò)執(zhí)行兩方協(xié)議接受U與SP的注冊(cè)。本文系統(tǒng)的其他執(zhí)行過(guò)程(訂閱、訪問(wèn)、追加訂閱和充值)都是通過(guò)U與SP執(zhí)行兩方協(xié)議而實(shí)現(xiàn)的。
3.2符號(hào)約定
在本文系統(tǒng)的描述中,新增以下的符號(hào)定義:(γCA,)表示CA在底層區(qū)間證明協(xié)議中的公/私鑰對(duì);πiCA、πiSP、πiU分別表示由CA、SP、U產(chǎn)生的第i項(xiàng)零知識(shí)證明;typek表示第k項(xiàng)服務(wù)已被訂閱;typek表示第k項(xiàng)服務(wù)未被訂閱。
3.3具體描述
3.3.1CA系統(tǒng)建立
為了產(chǎn)生系統(tǒng)參數(shù),CA執(zhí)行以下步驟:
a)以安全性參數(shù)1λ為輸入,產(chǎn)生雙線(xiàn)性群參數(shù)par=(p,G1,G2,GT,),滿(mǎn)足:G1×G2→GT且G1、G2、GT均為p階循環(huán)群。
b)選取h0,h1,h2∈RG2,選取g0,g1,g2,g3,1,2…,service_num,1,2∈RG1。定義抗碰撞散列函數(shù)H:{0,1}*→p。
c)產(chǎn)生公鑰pkCA=hskCA0,其中skCA∈Rp。選取γCA∈Rp,計(jì)算=hγCA0,0=1/γCA2,1=1/(γCA+1)2,…,q-1=1/(γCA+q-1)2,其中q表示底層區(qū)間證明協(xié)議要求將待證明的秘密元素表示為q進(jìn)制形式。
d)公開(kāi)參數(shù)params=(par;g0,g1,g2,g3,1,2,…,service_num,1,2;h0,h1,h2;H;pkCA,h,0,1,…,q-1),并且秘密保存skCA。
3.3.2SP注冊(cè)
在對(duì)外提供在線(xiàn)服務(wù)之前,SP需要與CA執(zhí)行以下步驟:
a)SP產(chǎn)生公鑰pkSP=hskSP1,其中skSP∈Rp。SP選取r′SP∈Rp,計(jì)算com=gr′SP1gskSP2,并且產(chǎn)生π1SP=ZKPoK{(skSP):pkSP=hskSP1∧com=gr′SP1gskSP2}。SP向CA發(fā)送pkSP、com、π1SP,并且秘密保存skSP。
b)若π1SP有效,CA選取sSP,r″SP∈Rp, 計(jì)算ASP=(g0·com·gr″SP1)1/(skCA+sSP),產(chǎn)生π1CA=ZKPoK{(skCA):g0·com·gr″SP1·A-sSPSP=AskCASP∧pkCA=hskCA0},并且向SP返回(ASP,sSP,r″SP)、π1CA。
c)若π1CA有效,SP保存credSP=(ASP,sSP,rSP=r′SP+r″SP),并且公開(kāi)常量集合{type1,type2,…,typeservice_num,type2,type2,…,typeservice_num}。
3.3.3用戶(hù)注冊(cè)
在向SP訂閱在線(xiàn)服務(wù)之前,U需要與CA執(zhí)行以下步驟:
a)U產(chǎn)生公鑰pkU=hskU2,其中skU∈Rp。U選取r′U∈Rp,計(jì)算com=gr′U1gskU2,并且產(chǎn)生π1U=ZKPoK{(skU,r′U):pkU=hskU2∧com=gr′U1gskU2}。U向CA發(fā)送pkU、com、π1U,并且秘密保存skU。
b)若π1U有效,CA選取sU,r″U∈Rp,計(jì)算AU=(g0·com·gr″U1)1/(skCA+sU),產(chǎn)生π2CA=ZKPoK{(skCA):g0·com·gr″U1·A-sUU=AskCAU∧pkCA=hskCA0},并且向U返回(AU,sU,r″U)、π2CA。
c)若π2CA有效,U保存credU=(AU,sU,rU=r′U+r″U)。
3.3.4服務(wù)訂閱
假設(shè)U希望訂閱的服務(wù)類(lèi)型下標(biāo)集合為I[1,service_num],U與SP執(zhí)行以下步驟:
a)SP向U提供π2SP=ZKPoK{(ASP,sSP,rSP):ASP=(g0grSP1gskSP2)1/(skCA+sSP)}。
b)若π2SP有效,U選取ser0,r′0∈Rp,計(jì)算com0=gser01gskU2·gr′03∏t∈Itypett∏t∈[1,service_num]\Itypett,產(chǎn)生π2U=ZKPoK{(skU,AU,sU,rU,ser0, r′0):AU=(g0grU1gskU2)1/(skCA+sU)∧com0·∏t∈I-typett·∏t∈[1,service_num]\I-typett=gser01gskU2gr′03},并且向SP發(fā)送I、com0、π2U。
c)若π2U有效,SP選取s0,r″0∈Rp,計(jì)算A0=(g0·com0·gr″03·gb04)1/(skSP+s0),產(chǎn)生π3SP=ZKPoK{(skSP):g0·com0·gr″03·gmax4·A-s00=AskSP0∧pkSP=hskSP1},并且向U返回(A0,s0,r″0)、π3SP。
d)若π3SP有效,U保存電子錢(qián)包W(U)0=(A0,s0,r0=r′0+r″0,ser0,I,b0),其中b0表示錢(qián)包的初始余額。
3.3.5服務(wù)訪問(wèn)
假設(shè)U希望訪問(wèn)類(lèi)型為typek(k∈I)的服務(wù)且該服務(wù)的價(jià)格為pricek。同時(shí),U擁有電子錢(qián)包W(U)i=(Ai,si,ri,seri,I,bi)。為此,U與SP執(zhí)行以下步驟:
a)U選取seri+1,r′i+1∈Rp,計(jì)算comi+1=gseri+11gskU2gr′i+13gbi4·∏t∈Itypett∏t∈[1,service_num]\Itypett,產(chǎn)生π3U=ZKPoK{(Ai,skU,ri,bi,si,seri+1,r′i+1,{typet}t∈I\{k},{typet}t∈[1,service_num]\I):Ai=(g0gseri1gskU2gri3gbi4∏t∈Itypett∏t∈[1,service_num]\Itypett)1/(skSP+si)∧comi+1·-typekk=gseri+11gskU2gr′i+13gbi4∏t∈I\{k}typett∏t∈[1,service_num]\Itypett∧bi-pricek≥0},并且向SP發(fā)送seri、typek、comi+1、π3U。
b)若π3U有效且seri未曾使用,SP選取si+1,r″i+1∈Rp,計(jì)算Ai+1=(g0·comi+1·gr″i+13·g-pricek4)1/(skSP+si+1),產(chǎn)生π4SP= ZKPoK{(skSP):g0·comi+1·gr″i+13·g-pricek4·A-si+1i+1=AskSPi+1∧pkSP=hskSP1},并且向U返回(Ai+1,si+1,r″i+1)、π4SP。
c)若π4SP有效,U保存W(U)i+1=(Ai+1,si+1,ri+1,seri+1,I,bi+1=bi-pricek),且SP保存seri。
3.3.6追加訂閱
假設(shè)U已經(jīng)訂閱服務(wù){(diào)typet}t∈I且擁有電子錢(qián)包W(U)i=(Ai,si,ri,seri,I,bi)。假設(shè)U希望追加訂閱服務(wù),它們的下標(biāo)構(gòu)成集合I′,使得I∩I′=且I′[1,service_num]。為此,U與SP執(zhí)行以下步驟:
a)U選取seri+1,r′i+1∈Rp,計(jì)算comi+1=gseri+11gskU2gr′i+13gbi4·∏t∈Itypett ∏t∈[1,service_num]\Itypett,產(chǎn)生π4U=ZKPoK{(Ai,skU,ri,bi,si,seri+1,r′i+1,{typet}t∈I,{typet}t∈[1,service_num]\I):Ai=(g0gseri1gskU2gri3gbi4·∏t∈Itypett∏t∈[1,service_num]\Itypett)1/(skSP+si)∧comi+1=gseri+11gskU2gr′i+13gbi4·∏t∈Itypett∏t∈[1,service_num]\Itypett},并且向SP發(fā)送seri、I′、comi+1、π4U。
b)若π4U有效且seri未曾使用,SP選取si+1,r″i+1∈Rp,計(jì)算Ai+1=(g0·comi+1·gr″i+13·∏t∈I′typet-typett)1/(skSP+si+1),產(chǎn)生π5SP=ZKPoK{(skSP):g0·comi+1·gr″i+13·∏t∈I′typet-typett·A-si+1i+1=AskSPi+1∧pkSP=hskSP1},并且向U返回(Ai+1,si+1,r″i+1)、π5SP。
c)若π5SP有效,U保存W(U)i+1=(Ai+1,si+1,ri+1,seri+1,I∪I′,bi+1=bi),且SP保存seri。
3.3.7充值
假設(shè)U擁有電子錢(qián)包W(U)i=(Ai,si,ri,seri,I,bi)。現(xiàn)在,U希望通過(guò)充值使得W(U)i的余額增加m,使得bi+m≤max。為此,U與SP執(zhí)行以下步驟:
a)U選取seri+1,r′i+1∈Rq,計(jì)算comi+1=gseri+11gskU2gr′i+13gbi4·∏t∈Itypett∏t∈[1,service_num]\Itypett,產(chǎn)生π5U=ZKPoK{(Ai,skU,ri,bi,si,seri+1,r′i+1,{typet}t∈I,{typet}t∈[1,service_num]\I):Ai=(g0gseri1gskU2gri3gbi4·∏t∈Itypett∏t∈[1,service_num]\Itypett)1/(skSP+si)∧comi+1=gseri+11gskU2gr′i+13gbi4·∏t∈Itypett∏t∈[1,service_num]\Itypett},并且向SP發(fā)送m、seri、comi+1、π5U。
b)若π5U有效且seri未曾使用,SP選取si+1,r″i+1∈Rp,計(jì)算Ai+1=(g0·comi+1·gr″i+13·gm4)1/(skSP+si+1),產(chǎn)生π6SP=ZKPoK{(skSP):g0·comi+1·gr″i+13·gm4·A-si+1i+1=AskSPi+1∧skSP=hskSP1},并且向U返回(Ai+1,si+1,r″i+1)、π6SP。
c)若π6SP有效,U保存W(U)i+1=(Ai+1,si+1,ri+1,seri+1,I,bi+1=bi+m),且SP保存seri。
4安全性分析
定理1若q-SDH假設(shè)在群(G1,G2)上成立,則本文系統(tǒng)安全地實(shí)現(xiàn)了第2章定義的功能。
證明在現(xiàn)實(shí)世界/理想世界模型下,存在稱(chēng)為環(huán)境的PPT(probabilistic polynomial time)算法。有能力對(duì)各參與方的操作進(jìn)行調(diào)度。為了證明定理中的結(jié)論,需要定義一個(gè)安全游戲序列并且構(gòu)造PPT模擬器。負(fù)責(zé)參與現(xiàn)實(shí)世界/理想世界的協(xié)議交互過(guò)程,并且為提供觀察結(jié)果,使得無(wú)法分辨究竟是在現(xiàn)實(shí)世界中與攻
進(jìn)行交互,還是在理想世界中與進(jìn)行交互。
5性能分析
首先,在表2中對(duì)本文系統(tǒng)與已有同類(lèi)系統(tǒng)[1,4~11]實(shí)現(xiàn)的主要性質(zhì)進(jìn)行比較。可以看出,只有本文系統(tǒng)和文獻(xiàn)[5]的兩個(gè)系統(tǒng)允許用戶(hù)同時(shí)訂閱多種類(lèi)型的服務(wù),并且允許用戶(hù)在此后追加訂閱新服務(wù)。本文系統(tǒng)的Access協(xié)議要求用戶(hù)的電子錢(qián)包余額足以支付本次服務(wù)的費(fèi)用,從而實(shí)現(xiàn)了對(duì)用戶(hù)訪問(wèn)次數(shù)的限制。相反,除文獻(xiàn)[6,7]之外,剩余的系統(tǒng)并未考慮對(duì)用戶(hù)訪問(wèn)次數(shù)作出任何限制。除了文獻(xiàn)[5,10]之外,其余系統(tǒng)都能抵抗惡意用戶(hù)共享令牌或私鑰的行為,但實(shí)現(xiàn)機(jī)制并不相同。其中,文獻(xiàn)[4,9]通過(guò)限制用戶(hù)在同一個(gè)時(shí)間周期內(nèi)的登錄次數(shù)實(shí)現(xiàn)了該性質(zhì);本文和文獻(xiàn)[7]通過(guò)不允許用戶(hù)與他人共享使用電子錢(qián)包實(shí)現(xiàn)了該性質(zhì);文獻(xiàn)[6]的用戶(hù)令牌是單次使用的,因此滿(mǎn)足該性質(zhì);此外,文獻(xiàn)[1,11]借助抗竄改的硬件實(shí)現(xiàn)了該性質(zhì)。在匿名性方面,文獻(xiàn)[5]要求用戶(hù)在Subscribe協(xié)議中提供個(gè)人公鑰或者偽名,從而僅實(shí)現(xiàn)了較弱的匿名性。其他系統(tǒng)均滿(mǎn)足較強(qiáng)的匿名性。文獻(xiàn)[5,10]不滿(mǎn)足無(wú)關(guān)聯(lián)性。原因在于,文獻(xiàn)[5]允許SP將同一個(gè)用戶(hù)執(zhí)行的Subscribe協(xié)議和AddSubscribe協(xié)議關(guān)聯(lián)起來(lái)。文獻(xiàn)[10]允許SP利用偽名將同一個(gè)用戶(hù)執(zhí)行的所有Access協(xié)議關(guān)聯(lián)起來(lái)。此外,文獻(xiàn)[8,9]提供了可選的Re-Up協(xié)議。該協(xié)議允許用戶(hù)在連續(xù)時(shí)間周期內(nèi)執(zhí)行高效的登錄過(guò)程,但需要以犧牲無(wú)關(guān)聯(lián)性作為代價(jià)。最后,在計(jì)算平臺(tái)方面,多數(shù)系統(tǒng)都是在標(biāo)準(zhǔn)PC平臺(tái)上實(shí)現(xiàn)的。但是,文獻(xiàn)[1]要求增加抗竄改設(shè)備,且文獻(xiàn)[11]要求在可信計(jì)算平臺(tái)上實(shí)現(xiàn)。
為了分析本文系統(tǒng)與上述相關(guān)系統(tǒng)的運(yùn)行效率,搭建了如下的仿真實(shí)驗(yàn)環(huán)境:處理器為Intel Pentium CPU G3220@3.00 GHz,操作系統(tǒng)為Windows XP,內(nèi)存為6 GB,硬盤(pán)容量為500 GB。將C語(yǔ)言作為開(kāi)發(fā)語(yǔ)言并且編寫(xiě)了基于PBC(pairing-based cryptography)庫(kù)[24]中的仿真程序。選取文獻(xiàn)[1,4,5,7,8,10]作為性能比較對(duì)象,其中文獻(xiàn)[1]是在類(lèi)型為A的配對(duì)環(huán)境下實(shí)現(xiàn)的,其他系統(tǒng)是在類(lèi)型為D159的配對(duì)環(huán)境下實(shí)現(xiàn)的。文獻(xiàn)[5]提出多個(gè)系統(tǒng),選取有代表性的兩個(gè)作為比較對(duì)象(分別記為[5]I和[5]II系統(tǒng))。文獻(xiàn)[8]為用戶(hù)提供了在訪問(wèn)資源期間的兩種可選登錄方式,分別記為[8]I和[8]II系統(tǒng)。本文并未將文獻(xiàn)[6,9,11]系統(tǒng)作為比較對(duì)象的原因在于:文獻(xiàn)[11]不是在標(biāo)準(zhǔn)PC平臺(tái)下實(shí)現(xiàn)的,文獻(xiàn)[6]只是一個(gè)理論框架,而文獻(xiàn)[9]并未提供底層區(qū)間證明的實(shí)現(xiàn)細(xì)節(jié)。
在通信耗費(fèi)方面,對(duì)各系統(tǒng)作出如下比較:在類(lèi)型為A的配對(duì)環(huán)境下,群G1、GT上的元素長(zhǎng)度均為1 024 bit。在類(lèi)型為D159的配對(duì)環(huán)境下,域p上的元素長(zhǎng)度為160 bit,群G1、G2、GT上的元素長(zhǎng)度分別為320、960和960 bit。表3展示了本文系統(tǒng)與同類(lèi)系統(tǒng)在通信耗費(fèi)方面的比較結(jié)果。本文系統(tǒng)與文獻(xiàn)[4,7]都使用了區(qū)間證明技術(shù),區(qū)別體現(xiàn)在以下方面:本文系統(tǒng)要求將待證明的秘密(即用戶(hù)電子錢(qián)包余額)轉(zhuǎn)換為q進(jìn)制形式(qgt;2),符號(hào)n1表示該余額在q進(jìn)制下的位數(shù);文獻(xiàn)[4]要求將待證明的秘密(即用戶(hù)令牌過(guò)期日期與當(dāng)前日期之差)轉(zhuǎn)換為二進(jìn)制形式,符號(hào)n2表示該差值在二進(jìn)制下的位數(shù);文獻(xiàn)[7]要求將待證明的秘密(即用戶(hù)尚未消費(fèi)的資源數(shù)量)轉(zhuǎn)換為二進(jìn)制形式,符號(hào)n3表示該數(shù)量在二進(jìn)制下的位數(shù);在Access協(xié)議中,這三個(gè)系統(tǒng)的用戶(hù)端通信耗費(fèi)都與n1(或n2、n3)呈線(xiàn)性關(guān)系,遵循文獻(xiàn)[21]的建議,設(shè)置q=4,這使得n1的取值比n2、n3小得多;此外,在文獻(xiàn)[10]系統(tǒng)中,用戶(hù)在Access協(xié)議中的通信耗費(fèi)與被簽名消息(即所提服務(wù)請(qǐng)求)的比特長(zhǎng)度有關(guān),但并未提供該長(zhǎng)度的建議取值,符號(hào)n4表示消息的比特長(zhǎng)度。根據(jù)表3容易得出,在Access協(xié)議的用戶(hù)通信耗費(fèi)方面,本文系統(tǒng)優(yōu)于文獻(xiàn)[4,7]。
為了對(duì)各系統(tǒng)的運(yùn)算耗費(fèi)進(jìn)行比較,進(jìn)行了多項(xiàng)仿真實(shí)驗(yàn)。需要指出的是,圖2~5中的數(shù)據(jù)都是在未對(duì)代碼進(jìn)行性能優(yōu)化和未采用預(yù)計(jì)算的條件下得出的,而且所得測(cè)試時(shí)間是對(duì)相關(guān)協(xié)議反復(fù)執(zhí)行30次后計(jì)算得出的平均時(shí)間。在所有系統(tǒng)中,只有本文系統(tǒng)和文獻(xiàn)[5]支持多服務(wù)訂閱。在實(shí)驗(yàn)中,假設(shè)SP能提供的服務(wù)類(lèi)型數(shù)量為5,且在Subscribe協(xié)議中,用戶(hù)一次性向SP訂閱三種類(lèi)型的服務(wù)。圖2展示了本文系統(tǒng)與其他系統(tǒng)在Subscribe協(xié)議中的運(yùn)行效率比較結(jié)果。容易看出,本文系統(tǒng)的優(yōu)勢(shì)體現(xiàn)在用戶(hù)端的執(zhí)行效率方面。文獻(xiàn)[1]的運(yùn)算耗費(fèi)與系統(tǒng)中未被廢除的用戶(hù)數(shù)量有關(guān),在實(shí)驗(yàn)中,將這個(gè)數(shù)量設(shè)置為100。文獻(xiàn)[10]并未提供Access階段被簽名消息長(zhǎng)度的建議取值,而這個(gè)長(zhǎng)度直接影響了用戶(hù)端的在線(xiàn)運(yùn)算效率。在實(shí)驗(yàn)中,將該長(zhǎng)度設(shè)置為48 bit以取得較高的運(yùn)算效率。圖3展示了本文系統(tǒng)與其他系統(tǒng)在Access協(xié)議中的運(yùn)行效率比較結(jié)果。容易看出,本文系統(tǒng)用戶(hù)端的運(yùn)算效率接近于最高效的文獻(xiàn)[1,8,10]。
為了限制用戶(hù)訪問(wèn)次數(shù),本文系統(tǒng)和文獻(xiàn)[4,7]采用了區(qū)間證明技術(shù),而區(qū)間證明的運(yùn)算耗費(fèi)直接影響著Access協(xié)議的執(zhí)行效率。下面著重分析這幾個(gè)系統(tǒng)中待證明秘密值的取值變化對(duì)Access協(xié)議執(zhí)行效率的影響程度。圖4、5分別展示了當(dāng)秘密值的取值從50增長(zhǎng)到1 050的情況下,用戶(hù)與SP的執(zhí)行時(shí)間變化情況。容易看出,與另外兩個(gè)系統(tǒng)相比,本文系統(tǒng)在用戶(hù)端的運(yùn)行效率方面具有明顯優(yōu)勢(shì)。具體地,在被證明的秘密值在50~1 050內(nèi)變化情況下,用戶(hù)在Access協(xié)議中的運(yùn)行效率較同類(lèi)的文獻(xiàn)[4,7]提高了79.5%~83.2%。同時(shí),在待證明的秘密值取值逐漸增長(zhǎng)的情況下,用戶(hù)端的運(yùn)行時(shí)間變化不大。本質(zhì)上講,本文系統(tǒng)引入了1.3和1.4節(jié)中多項(xiàng)旨在消除用戶(hù)在線(xiàn)執(zhí)行雙線(xiàn)性對(duì)運(yùn)算的技術(shù),從而將大部分的運(yùn)算任務(wù)轉(zhuǎn)移至SP端。另一方面,在待證明的秘密值取值逐漸增長(zhǎng)的情況下,盡管本文系統(tǒng)中SP端的運(yùn)行時(shí)間呈增長(zhǎng)趨勢(shì),但整體效率接近于較為高效的文獻(xiàn)[4]。
6結(jié)束語(yǔ)
針對(duì)在云服務(wù)訪問(wèn)過(guò)程中保護(hù)用戶(hù)隱私以及實(shí)現(xiàn)云資源準(zhǔn)入控制與授權(quán)用戶(hù)匿名性平衡的問(wèn)題,提出新的面向云服務(wù)的匿名訂閱系統(tǒng),并且在理想世界/現(xiàn)實(shí)世界模型下提供了安全性證明。新系統(tǒng)的特點(diǎn)是同時(shí)滿(mǎn)足支持多種服務(wù)訂閱和追加訂閱、允許限制用戶(hù)訪問(wèn)次數(shù)等安全性質(zhì),而且不要求用戶(hù)以在線(xiàn)方式執(zhí)行低效的雙線(xiàn)性對(duì)運(yùn)算。仿真實(shí)驗(yàn)表明,新系統(tǒng)在增加多個(gè)性質(zhì)的情況下,仍然在用戶(hù)端執(zhí)行效率方面較同類(lèi)系統(tǒng)有明顯優(yōu)勢(shì)。此外,盡管在Access階段使用了區(qū)間證明技術(shù),但用戶(hù)端的執(zhí)行效率在待證明的秘密值取值變化的情況下并未受到明顯的影響。今后的研究?jī)?nèi)容包括為所設(shè)計(jì)的訂閱系統(tǒng)增加用戶(hù)廢除機(jī)制、通過(guò)搭建實(shí)際環(huán)境對(duì)基于抗竄改設(shè)備的系統(tǒng)性能進(jìn)行測(cè)量與分析等。
附錄
1)底層零知識(shí)證明的具體實(shí)現(xiàn)
在本文系統(tǒng)的執(zhí)行過(guò)程中,參與方之間需要執(zhí)行多個(gè)零知識(shí)證明,其中以Access協(xié)議中的π3U最為復(fù)雜。需要指出的是,π3U不是采用標(biāo)準(zhǔn)的零知識(shí)證明構(gòu)造方法產(chǎn)生的。在具體構(gòu)造過(guò)程中,使用了1.3和1.4節(jié)所述的改進(jìn)技術(shù),從而消除了用戶(hù)端的雙線(xiàn)性對(duì)運(yùn)算。限于篇幅,本節(jié)僅提供該協(xié)議的具體實(shí)現(xiàn)細(xì)節(jié)。利用與π3U類(lèi)似的技術(shù),不難構(gòu)造其他的零知識(shí)證明。第3章提供了π3U的定義方式,但這僅僅是一種便于理解的抽象定義方式。為了具體實(shí)現(xiàn)π3U,需要將它細(xì)化為如下的形式:
π3U=ZKPoK{(α,α·seri,α·skU,α·ri,α·bi,{α·typet}t∈I,{α·typet}t∈[1,service_num]\I,si·seri+1,skU,r′i+1,bi,{typet}t∈I\{k},{typet}t∈[1,service_num]\I,r,{ωι}n-1ι=0,β,{ι}n-1ι=0):i=gα0gα·seri1gα·skU2gα·ri3gα·bi4·∏t∈Iα·typett·∏t∈[1,service_num]\Iα·typett(-1i)si∧comi+1·-typekk=gseri+11gskU2gr′i+13gbi4·∏t∈I\{k}typett∏t∈[1,Service_num]\Itypett∧Z=r1bi2∧Z-pricek2=r1∏n-1ι=0qι2ωι∧{ωι=β2H-ιωι}n-1ι=0}
π3U的產(chǎn)生方式如下:
a)U將秘密值bi-pricek轉(zhuǎn)換為n位q進(jìn)制數(shù),即(ωn-1ωn-2…ω0)q。U選取r,β∈Rp,并且計(jì)算Z=r1bi2。對(duì)于ι=0,…,n-1,U計(jì)算Hωι=βωι,ωi=β2H-ιωι。
b)U選取α∈Rp,并且計(jì)算i=Aαi,i=gα0·gα·seri1gα·skU2gα·ri3gα·bi4(∏t∈Iα·typett)(∏t∈[1,service_num]\Iα·typett)-sii。
c)U選取ρα,ρα·seri,ρα·skU,ρα·ri,ρα·bi,{ρα·typet}t∈I,{ρα·typet}t∈[1,service_num]\I,ρsi,ρseri+1,ρskU,ρr′i+1,ρbi,{ρtypet}t∈I\{k},{ρtypet}t∈[1,Service_num]\I,ρr,{ρωι}n-1ι=0,ρβ,{ρι}n-1ι=0∈p,并且計(jì)算
R1=gρα0gρα·seri1gρα·skU2gρα·ri3gρα·bi4∏t∈Iρα·typett∏t∈[1,service_num]\Iρα·typett·-ρsii,R2=gρseri+11gρskU2gρr′i+13gρbi4∏t∈I\{k}ρtypett·∏t∈[1,service_num]\Iρtypett,R3=ρr1ρbi2,R4=ρr1∏n-1ι=0qι2ρωι,{R5,ι=ρβ2(H-1ωι)ρι}n-1ι=0。
d)U設(shè)置c=H(i‖i‖comi+1‖Z‖{Hωι}n-1ι=0‖{ωι}n-1ι=0‖R1‖…‖{R5,ι}n-1ι=0),并且在p上計(jì)算:
ξα=ρα+c·α,ξα·seri=ρα·seri+c·α·seri,ξα·skU=ρα·skU+c·α·skU,ξα·ri=ρα·ri+c·α·ri,ξα·bi=ρα·bi+c·α·bi,{ξα·typet=ρα·typet+c·α·typet}t∈I,{ξα·typet=ρα·typet+c·α·typet}t∈[1,service_num]\I,ξsi=ρsi+c·si,ξseri+1=ρseri+1+c·seri+1,ξskU=ρskU+c·skU,ξr′i+1=ρr′i+1+c·r′i+1,ξbi=ρbi+c·bi,{ξtypet=ρtypet+c·typet}t∈I\{k},{ξtypet=ρtypet+c·typet}t∈[1,service_num]\I,ξr=ρr+c·r,{ξωι=ρωι+c·ωι}ι∈[0,n-1],ξβ=ρβ+c·β,{ξι=ρι+cι}n-1ι=0。
e)U向SP發(fā)送(seri,typek,i,i,comi+1,Z,{Hωι}n-1ι=0, {ωι}n-1ι=0,c,ξα,ξα·seri,…,ξβ,{ξι}n-1ι=0)。
π3U的驗(yàn)證方式如下:
a)SP計(jì)算。
R^1=gξα0gξα·ser1gξα·skU2gξα·ri3gξα·bi4(∏t∈Iξα·typett)·(∏t∈[1,service_num]\Iξα·typett)(-1i)ξsi(i)-c,R^2=gξseri+11gξskU2gξr′i+13gξbi4(∏t∈I\{k}ξtypett)(∏t∈[1,service_num]\Iξtypett)·(comi+1·-typekk)-c,R^3=ξr1ξbi2Z-c,R^4=ξr1(∏n-1ι=0(qι2)ξωι)·(Z-pricek2)-c,{R^5,ι=ξβ2H-ξιωι-cωι}n-1ι=0。
b)SP驗(yàn)證是否滿(mǎn)足c=H(i‖i‖comi+1‖Z‖{Hωι}n-1ι=0‖{ωι}n-1ι=0‖R^1‖…‖{R^5,ι}n-1ι=0)。
c)SP驗(yàn)證是否滿(mǎn)足(i,h1)=(i,pkSP)以及i≠1G1。同時(shí),對(duì)于ι=0,…,n-1,SP驗(yàn)證是否滿(mǎn)足(ωι,h0)=(Hωι,)。
d)若上述檢查均通過(guò),SP接受U的證明。
2)定理1的證明在本節(jié)采用文獻(xiàn)[13,23]的證明技術(shù)為定理1提供證明。在本節(jié)的安全性分析過(guò)程中,假設(shè)CA是完全可信的,其他參與方均有可能是惡意的。現(xiàn)在,引入以下的多個(gè)符號(hào):表示環(huán)境,
表示現(xiàn)實(shí)世界攻擊者,Simi表示現(xiàn)實(shí)世界模擬器,表示理想世界攻擊者,表示理想世界可信參與方。CA、SP、U分別表示現(xiàn)實(shí)世界中的CA、服務(wù)提供商和用戶(hù),CA′、SP′、U′分別表示理想世界中的對(duì)應(yīng)角色。為了證明現(xiàn)實(shí)世界與理想世界的不可分辨性,需要定義游戲序列Game0,…,Gamen。在Gamei中,Simi代表誠(chéng)實(shí)參與方與進(jìn)行交互,并且向提供觀察結(jié)果。
在證明過(guò)程中,根
、Simi、各自對(duì)參與方的控制能力,分以下情況進(jìn)行討論:
情況1在當(dāng)前情況下,
充當(dāng)現(xiàn)實(shí)世界的惡意SP。Simi充當(dāng)現(xiàn)實(shí)世界的誠(chéng)實(shí)CA和誠(chéng)實(shí)U。充當(dāng)現(xiàn)實(shí)世界的誠(chéng)實(shí)CA和誠(chéng)實(shí)U,以及理想世界的惡意SP′。
引理1對(duì)于所有的環(huán)境以及所有的現(xiàn)實(shí)世界攻擊者
,可以構(gòu)造理想世界攻擊者,使得|Real,
(λ)-Ideal,(λ)|≤2-λ。
證明
Game0:在當(dāng)前游戲中,Sim0執(zhí)行以下操作:
a)以誠(chéng)實(shí)CA的身份執(zhí)行現(xiàn)實(shí)世界CASetup算法。
b)以誠(chéng)實(shí)CA的身份與
執(zhí)行現(xiàn)實(shí)世界SPRegistration協(xié)議。
c)自行模擬現(xiàn)實(shí)世界URegistration協(xié)議。
d)以誠(chéng)實(shí)U的身份與
執(zhí)行現(xiàn)實(shí)世界Subscribe協(xié)議。
e)以誠(chéng)實(shí)U的身份與
執(zhí)行現(xiàn)實(shí)世界Access協(xié)議。
f)以誠(chéng)實(shí)U的身份與
執(zhí)行現(xiàn)實(shí)世界AddSubscribe協(xié)議。
g)以誠(chéng)實(shí)U的身份與
執(zhí)行現(xiàn)實(shí)世界Recharge協(xié)議。
顯然,Real,
(λ)=Hybrid,Sim0(λ)。
Game1:在當(dāng)前游戲中,Sim1執(zhí)行的操作與Sim0存在如下區(qū)別。在
執(zhí)行現(xiàn)實(shí)世界SPRegistration協(xié)議過(guò)程中,Sim1
提供的π1SP執(zhí)行知識(shí)提取操作。若提取失敗,Sim1向返回⊥,表示失敗;否則,Sim1繼續(xù)執(zhí)行剩余的協(xié)議。由于知識(shí)提取器的失敗概率為2-λ,所以得出|Hybrid,Sim0(λ)-Hybrid,Sim1(λ)|≤2-λ。
Game2:在當(dāng)前游戲中,Sim2執(zhí)行的操作與Sim1存在如下區(qū)別。在與
執(zhí)行現(xiàn)實(shí)世界SPRegistration協(xié)議過(guò)程中,Sim2向
提供模擬產(chǎn)生的π1CA。根據(jù)π1CA的零知識(shí)性質(zhì)得出,|Hybrid,Sim1(λ)-Hybrid,Sim2(λ)|=0。
Game3:在當(dāng)前游戲中,Sim3執(zhí)行的操作與Sim2存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Subscribe協(xié)議過(guò)程中,Sim3對(duì)
提供的π2SP執(zhí)行知識(shí)提取操作,若提取失敗,Sim3向返回,否則,Sim3繼續(xù)執(zhí)行剩余的協(xié)議。由于知識(shí)提取器的失敗概率為2-λ,所以得出|Hybrid,Sim2(λ)-Hybrid,Sim3(λ)|≤2-λ。
Game4:在當(dāng)前游戲中,Sim4執(zhí)行的操作與Sim3存在如下區(qū)別。在與
執(zhí)行現(xiàn)實(shí)世界Subscribe協(xié)議過(guò)程中,Sim4向
提供模擬產(chǎn)生的π2U。根據(jù)π2U的零知識(shí)性質(zhì)得出|Hybrid,Sim3(λ)-Hybrid,Sim4(λ)|=0。
Game5:在當(dāng)前游戲中,Sim5執(zhí)行的操作與Sim4存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Access協(xié)議過(guò)程中,Sim5向
提供模擬產(chǎn)生的π3U。根據(jù)π3U的零知識(shí)性質(zhì)得出,|Hybrid,Sim4(λ)-Hybrid,Sim5(λ)|=0。
Game6:在當(dāng)前游戲中,Sim6執(zhí)行的操作與Sim5存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界AddSubscribe協(xié)議過(guò)程中,Sim6向
提供模擬產(chǎn)生的π4U。根據(jù)π4U的零知識(shí)性質(zhì)得出,|Hybrid,Sim5(λ)-Hybrid,Sim6(λ)|=0。
Game7:在當(dāng)前游戲中,Sim7執(zhí)行的操作與Sim6存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Recharge協(xié)議過(guò)程中,Sim7向
提供模擬產(chǎn)生的π5U。根據(jù)π5U的零知識(shí)性質(zhì)得出,|Hybrid
,Sim6(λ)-Hybrid
,Sim7(λ)|=0。
Game8:在當(dāng)前游戲中,在Sim7的基礎(chǔ)上構(gòu)造理想世界攻擊者
。
執(zhí)行的操作與Sim7存在如下區(qū)別:
a)
接收由
轉(zhuǎn)發(fā)的params。
執(zhí)行現(xiàn)實(shí)世界CASetup算法產(chǎn)生params,并將其發(fā)送給
。
b)在理想世界SPRegistration協(xié)議中,
以SP′的身份借助
與CA′進(jìn)行交互。當(dāng)
返回b=1,
在現(xiàn)實(shí)世界SPRegistration協(xié)議中為
產(chǎn)生credSP。
c)在理想世界Subscribe協(xié)議中,當(dāng)接收到
發(fā)送的請(qǐng)求(“Subscribe”,I),
以誠(chéng)實(shí)U的身份與
執(zhí)行現(xiàn)實(shí)世界Subscribe協(xié)議。若
最終能獲得有效的電子錢(qián)包W(U)0,
向
返回b=1;否則,
向
返回b=0。
d)在理想世界Access協(xié)議中,當(dāng)接收到
發(fā)送的請(qǐng)求(“Access”,pricek),
以誠(chéng)實(shí)
的身份與
執(zhí)行現(xiàn)實(shí)世界Access協(xié)議。若
最終能獲得有效電子錢(qián)包W(U)i+1,
向
返回b=1;否則,
向
返回b=0。
e)在理想世界AddSubscribe協(xié)議中,當(dāng)接收到
發(fā)送的請(qǐng)求(“AddSubscribe”,I′),
以誠(chéng)實(shí)U的身份與
執(zhí)行現(xiàn)實(shí)世界AddSubscribe協(xié)議。若
最終能獲得有效電子錢(qián)包W(U)i+1,
向
返回b=1;否則,
向
返回b=0。
f)在理想世界Recharge協(xié)議中,當(dāng)接收到
發(fā)送的請(qǐng)求(“Recharge”,m),
以誠(chéng)實(shí)U的身份與
執(zhí)行現(xiàn)實(shí)世界Recharge協(xié)議。若
最終能獲得有效電子錢(qián)包W(U)i+1,
向
返回b=1;否則,
向
返回b=0。
顯然,
無(wú)法對(duì)Sim7與
進(jìn)行分辨。于是,|Hybrid
,Sim7(λ)-Ideal
,
(λ)|=0。綜上得出,|Real
,
(λ)-Ideal
,
(λ)|≤|Hybrid
,Sim0(λ)-Hybrid
,Sim1(λ)|+|Hybrid
,Sim1(λ)-Hybrid
,Sim2(λ)|+…+|Hybrid
,Sim7(λ)-Ideal
,
(λ)|≈2-λ
情況2在當(dāng)前情況下,
充當(dāng)現(xiàn)實(shí)世界的惡意U。Simi充當(dāng)現(xiàn)實(shí)世界的誠(chéng)實(shí)CA和誠(chéng)實(shí)SP。
充當(dāng)現(xiàn)實(shí)世界的誠(chéng)實(shí)CA和誠(chéng)實(shí)SP,以及理想世界的惡意U′。
引理2對(duì)于所有的環(huán)境
以及所有的現(xiàn)實(shí)世界攻擊者
,可以構(gòu)造理想世界攻擊者
,使得|Real
,
(λ)-Ideal
,
(λ)|≤(qU+qS+qA+qAdd+qR)·2-λ+AdvqU-SDH
(λ)+3Advq′-SDH
(λ)+Advq-SDH
(λ)。
證明
Game0:在當(dāng)前游戲中,Sim0執(zhí)行以下操作。
a)以誠(chéng)實(shí)CA的身份執(zhí)行現(xiàn)實(shí)世界CASetup算法。
b)自行模擬現(xiàn)實(shí)世界SPRegistration協(xié)議。
c)以誠(chéng)實(shí)CA的身份與
執(zhí)行現(xiàn)實(shí)世界URegistration協(xié)議。
d)以誠(chéng)實(shí)SP的身份與
執(zhí)行現(xiàn)實(shí)世界Subscribe協(xié)議。
e)以誠(chéng)實(shí)SP的身份與
執(zhí)行現(xiàn)實(shí)世界Access協(xié)議。
f)以誠(chéng)實(shí)SP的身份與
執(zhí)行現(xiàn)實(shí)世界AddSubscribe協(xié)議。
g)以誠(chéng)實(shí)SP的身份與
執(zhí)行現(xiàn)實(shí)世界Recharge協(xié)議。
顯然,Real
,
(λ)=Hybrid
,Sim0(λ)。
Game1:在當(dāng)前游戲中,Sim1執(zhí)行的操作與Sim0存在如下區(qū)別。在與
執(zhí)行現(xiàn)實(shí)世界URegistration協(xié)議過(guò)程中,Sim1對(duì)
提供的π1U執(zhí)行知識(shí)提取操作。若提取失敗,Sim1向
返回⊥;否則,Sim1繼續(xù)執(zhí)行剩余的協(xié)議。由于知識(shí)提取器的失敗概率為2-λ,所以得出|Hybrid
,Sim0(λ)-Hybrid
,Sim1(λ)|≤qU·2-λ,其中:qU表示
提出URegistration詢(xún)問(wèn)的次數(shù)。
Game2:在當(dāng)前游戲中,Sim2執(zhí)行的操作與Sim1存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Subscribe協(xié)議過(guò)程中,Sim2對(duì)
提供的π2U執(zhí)行知識(shí)提取操作。若提取失敗,Sim2向
返回⊥;否則,Sim2繼續(xù)執(zhí)行剩余的協(xié)議。由于知識(shí)提取器的失敗概率為2-λ,所以得出|Hybrid
,Sim1(λ)-Hybrid
,Sim2(λ)|≤qS·2-λ,其中:qS表示
提出Subscribe詢(xún)問(wèn)的次數(shù)。
Game3:在當(dāng)前游戲中,Sim3執(zhí)行的操作與Sim2存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Subscribe協(xié)議過(guò)程中,Sim3從
提供的π2U中提取出證據(jù)(skU,AU,sU,rU,n0,r′0),其中(AU,rU,sU)構(gòu)成關(guān)于用戶(hù)私鑰skU的Au-Susilo-Mu方案簽名。若該簽名并非Sim2此前在URegistration協(xié)議中為
產(chǎn)生的,則必定為偽造簽名。Hybrid
,Sim2(λ)與Hybrid
,Sim3(λ)之間的差別可以根據(jù)以下聲明得出。
聲明1以下關(guān)系成立,即|Hybrid
,Sim2(λ)-Hybrid
,Sim3(λ)|≤AdvqU-SDH
(λ),其中qU表示
提出的URegistration詢(xún)問(wèn)次數(shù)。
聲明1的證明:假設(shè)攻擊者
可以對(duì)Game2和Game3進(jìn)行分辨。給定元組(g,gγ,…,gγqU,h0,hγ0)∈GqU+11×G22,Euclid Math OneBAp
的目標(biāo)是輸出(s*,g1/(γ+s*)1),使得s*∈Euclid Math TwoZAp
p且s*≠-γ。對(duì)于i=1,…,qU,Euclid Math OneBAp
選取sUi∈Euclid Math TwoZAp
*p,定義F(γ)=∏qUi=1(γ+sUi)=∑qUl=0αlγl。Euclid Math OneBAp
選取r1,r2∈Euclid Math TwoZAp
*p,設(shè)置g0=gF(γ)=g∑qUl=0αlγl=∏qUl=0(gγl)αl,g1=gr10,g2=gr20,pkCA=hγ0。Euclid Math OneBAp
向
發(fā)送params=(g0,g1,g2,h0,pkCA,…)。在對(duì)第i次URegistration協(xié)議的模擬過(guò)程中,Euclid Math OneBAp
從
提供的π1U中提取出秘密證據(jù)(skUi,r′Ui)。Euclid Math OneBAp
定義Fm(γ)=F(γ)·(γ+sUi)-1=∑qU-1l=0βlγl。Euclid Math OneBAp
選取rUi∈Euclid Math TwoZAp
*p,計(jì)算:
AUi=(g0grUi1gskUi2)1/(γ+sUi)=(∏qUl=0(gγl)αl·∏qUl=0(gγl)αl·r1·rUi·∏qUl=0(gγl)αl·r2·skUi)1/(γ+sUi)=(∏qUl=0(gγl)αl)(1+r1·rUi+r2·skUi)/(γ+sUi)=g(F(γ)(1+r1·rUi+r2·skUi))/(γ+sUi)=(g∑qU-1l=0βlγl)1+r1·rUi+r2·skUi=∏qU-1l=0(gγi)βl(1+r1·rUi+r2·skUi)
假設(shè),Euclid Math OneBAp
最終能從
提供的π2U提取出證據(jù)(sk*,A*,s*,r*),使得(A*,s*,r*)為關(guān)于sk*的偽造Au-Susilo-Mu方案簽名,且滿(mǎn)足A*=(g0gr*1gsk*2)1/(γ+s*)=g(F(γ)(1+r1·r*+r2·sk*))/(γ+s*)。現(xiàn)在,令F(γ)(1+r1·r*+r2·sk*)=(γ+s*)Fd(γ)+d*。其中,F(xiàn)d(γ)= ∑qU-1l=0dlγl,d*∈Euclid Math TwoZAp
*p。可以得出,A*=g((γ+s*)Fd(γ)+d*)/(γ+s*) =gFd(γ)gd*/(γ+s*)。Euclid Math OneBAp
最終得出g1/(γ+s*)=(A*g-Fd(γ))1/d*=(A*g-∑qU-1l=0dlγl)1/d*=(A*∏qU-1l=0(gγl)-dl)1/d*。顯然,Euclid Math OneBAp
借助
攻破了底層的q-SDH假設(shè)。
Game4:在當(dāng)前游戲中,Sim4執(zhí)行的操作與Sim3存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Access協(xié)議過(guò)程中,Sim4對(duì)
提供的π3U執(zhí)行知識(shí)提取操作。若提取失敗,Sim4向
返回⊥;否則,Sim4繼續(xù)執(zhí)行剩余的協(xié)議。由于知識(shí)提取器的失敗概率為2-λ,所以得出|Hybrid
,Sim3(λ)-Hybrid
,Sim4(λ)|≤qA·2-λ,其中qA表示
提出Access詢(xún)問(wèn)的次數(shù)。
Game5:在當(dāng)前游戲中,Sim5執(zhí)行的操作與Sim4存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Access協(xié)議過(guò)程中,Sim5從
提供的π3U中提取出證據(jù)(Ai,skU,ri,bi,si,seri+1,r′i+1,{typet}t∈I,{typet}t∈[1,service_num]\I),其中(Ai,ri,si)構(gòu)成關(guān)于用戶(hù)元組(seri,skU,bi,{typet}t∈I,{typet}t∈[1,service_num]\I)的Au-Susilo-Mu方案簽名。若該簽名并非Simi此前在Subscribe/Access/AddSubscribe/Recharge協(xié)議中為
產(chǎn)生的,則必定為偽造簽名。假設(shè)Advq′-SDH
(λ)表示
偽造簽名的概率,采用聲明1的證明方法得出,|Hybrid
,Sim4(λ)-Hybrid
,Sim5(λ)|≤Advq′-SDH
(λ)。
Game6:在當(dāng)前游戲中,Sim6執(zhí)行的操作與Sim5存在如下區(qū)別。在與
執(zhí)行現(xiàn)實(shí)世界Access協(xié)議過(guò)程中,Sim6對(duì)
提供的π3U中提取出證據(jù)(Ai,skU,ri,bi,si,seri+1,r′i+1,{typet}t∈I,{typet}t∈[1,service_num]\I),若滿(mǎn)足bilt;pricek,則表明
通過(guò)偽造Boneh-Boyen方案簽名而攻破了底層區(qū)間證明協(xié)議的可靠性。Hybrid
,Sim5(λ)與Hybrid
,Sim6(λ)之間的差別可以根據(jù)以下聲明得出。
聲明2以下關(guān)系成立,即|Hybrid
,Sim5(λ)-Hybrid
,Sim6(λ)|≤Advq-SDH
(λ),其中Advq-SDH
(λ)表示
偽造Boneh-Boyen簽名的概率。
聲明2的證明:假設(shè)攻擊者
可以對(duì)Game5和Game6進(jìn)行分辨。給定元組(g1,gγ1,…,gγq1,h0,hγ0)∈Gq+11×G22,Euclid Math OneBAp
的目標(biāo)是輸出數(shù)對(duì)(x,g1/(γ+x)1),使得x∈Euclid Math TwoZAp
p且x≠-γ。當(dāng)接收到
提供的q條消息mi=i-1(i=1,…,q)之后,Euclid Math OneBAp
設(shè)置f(γ)=∏qi=1(γ+mi)=∑qi=0αiγi,αi∈Euclid Math TwoZAp
p。Euclid Math OneBAp
選取ρ∈Euclid Math TwoZAp
*p,定義2=gρf(γ)1=gρ∑qi=0αiγi1=(∏qi=0(gγi1)αi)ρ。對(duì)于i=1,…,q,Euclid Math OneBAp
設(shè)置fi(γ)=f(γ)·(γ+mi)-1=∑q-1j=1βi,jγj,定義i-1=1/(γ+mi)2=gρf(γ)/(γ+mi)1= gρ∑q-1j=1βi,jγj1=∏q-1j=1(gγj1)βi,jρ。然后,Euclid Math OneBAp
向
提供(=hγ0,2,0,…,q-1)。根據(jù)附錄1)零知識(shí)證明實(shí)現(xiàn)過(guò)程可知,由于π3U是有效的,所以Euclid Math OneBAp
可以提取出證據(jù)ι*、β,且滿(mǎn)足ωι*=β2(H-1ωι*)ι*,(ωι*,h0)=(Hωι*,)。根據(jù)(ωι*,h0)=(Hωι*,)可以得出,ωι*=Hγωι*。將該關(guān)系代入等式ωι*=β2(H-1ωι*)ι*,可以得出Hγ+ι*ωι*=β2。這等價(jià)于Hωι*=(1/(γ+ι*)2)β。結(jié)合關(guān)系Hωι*=βωι*,最終得出ωι*=1/(γ+ι*)2= gρf(γ)/(γ+ι*)1。當(dāng)ι*[0,q-1]時(shí),令f(γ)=s(γ)(γ+ι*)+t,其中s(γ)為q-1階多項(xiàng)式,滿(mǎn)足s(γ)=∑q-1i=0φiγi,φi∈Euclid Math TwoZAp
*p。于是,ωι*=gρ(s(γ)(γ+ι*)+t)/(γ+ι*)1=gρs(γ)1gρt/(γ+ι*)1=gρ∑q-1i=0φiγi1·gρt/(γ+ι*)1=∏q-1i=0(gγi1)ρφi·gρt/(γ+ι*)1。最終得出,g1/(γ+ι*)1=(1/ρωι*∏q-1i=0(gγi1)-φi)1/t。顯然,Euclid Math OneBAp
借助
攻破了底層的q-SDH假設(shè)。
Game7:在當(dāng)前游戲中,Sim7執(zhí)行的操作與Sim6存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界AddSubscribe協(xié)議過(guò)程中,Sim7對(duì)
提供的π4U執(zhí)行知識(shí)提取操作。若提取失敗,Sim7向
返回⊥;否則,Sim7繼續(xù)執(zhí)行剩余的協(xié)議。由于知識(shí)提取器的失敗概率為2-λ,所以得出|Hybrid
,Sim6(λ)-Hybrid
,Sim7(λ)|≤qAdd·2-λ,其中qAdd表示
提出的AddSubscribe詢(xún)問(wèn)次數(shù)。
Game8:在當(dāng)前游戲中,Sim8執(zhí)行的操作與Sim7存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界AddSubscribe協(xié)議過(guò)程中,Sim8對(duì)
提供的π4U中提取出證據(jù)(Ai,skU,ri,bi,si,seri+1,r′i+1,{typet}t∈I,{typet}t∈[1,service_num]\I),其中(Ai,ri,si)構(gòu)成關(guān)于用戶(hù)元組(seri,skU,bi,{typet}t∈I,{typet}t∈[1,service_num]\I)的Au-Susilo-Mu方案簽名。若該簽名并非Simi此前在Subscribe/Access/AddSubscribe/Recharge協(xié)議中為
產(chǎn)生的,則必定為偽造簽名。與Game5類(lèi)似,可以得出|Hybrid
,Sim7(λ)-Hybrid
,Sim8(λ)|≤Advq′-SDH
(λ)。
Game9:在當(dāng)前游戲中,Sim9執(zhí)行的操作與Sim8存在如下區(qū)別。在與
執(zhí)行現(xiàn)實(shí)世界Recharge協(xié)議過(guò)程中,Sim9對(duì)
提供的π5U執(zhí)行知識(shí)提取操作。若提取失敗,Sim9向
返回⊥;否則,Sim9繼續(xù)執(zhí)行剩余的協(xié)議。由于知識(shí)提取器的失敗概率為2-λ,所以得出|Hybrid
,Sim8(λ)-Hybrid
,Sim9(λ)|≤qR·2-λ,其中qR表示
提出Recharge詢(xún)問(wèn)的次數(shù)。
Game10:在當(dāng)前游戲中,Sim10執(zhí)行的操作與Sim9存在如下區(qū)別:在與
執(zhí)行現(xiàn)實(shí)世界Recharge協(xié)議過(guò)程中,Sim10對(duì)
提供的π5U中提取出證據(jù)(Ai,skU,ri,bi,si,seri+1,r′i+1,{typet}t∈I,{typet}t∈[1,service_num]\I),其中(Ai,ri,si)構(gòu)成關(guān)于用戶(hù)元組(seri,skU,bi,{typet}t∈I,{typet}t∈[1,service_num]\I)的Au-Susilo-Mu方案簽名。若該簽名并非Simi此前在Subscribe/Access/AddSubscribe/Recharge協(xié)議中為
產(chǎn)生的,則必定為偽造簽名。與Game5類(lèi)似,可以得出|Hybrid
,Sim9(λ)-Hybrid
,Sim10(λ)|≤Advq′-SDH
(λ)。
Game11:在當(dāng)前游戲中,在Sim10的基礎(chǔ)上構(gòu)造理想世界攻擊者
。
執(zhí)行的操作與Sim10存在如下區(qū)別:
a)在現(xiàn)實(shí)世界CASetup算法中,
產(chǎn)生params,并將其發(fā)送給
。在理想世界CASetup算法中,
接收由
轉(zhuǎn)發(fā)的params。
b)在現(xiàn)實(shí)世界URegistration協(xié)議中,當(dāng)接收到
發(fā)送的(pkU,com,π1U),
就向理想世界的
發(fā)出請(qǐng)求(“Registration”)。若
返回b=1,
產(chǎn)生(AU,sU,r″U),π2CA,并將它們返回給
。
c)在現(xiàn)實(shí)世界Subscribe協(xié)議中,當(dāng)接收到
發(fā)送的(I,com0,π2U),
就向理想世界的
發(fā)出請(qǐng)求(“Subscribe”,I)。若
返回b=1,
產(chǎn)生(A0,s0,r″0),π3SP,并將它們返回給
。
d)在現(xiàn)實(shí)世界Access協(xié)議中,當(dāng)接收到
發(fā)送的(seri,typek,comi+1,π3U),
就向理想世界的
發(fā)出請(qǐng)求(“Access”,pricek)。若
返回b=1,
產(chǎn)生(Ai+1,si+1,r″i+1),π4SP,并將它們返回給
。
e)在現(xiàn)實(shí)世界AddSubscribe協(xié)議中,當(dāng)接收到
發(fā)送的(seri,I′,comi+1,π4U),
就向理想世界的
發(fā)出請(qǐng)求(“AddSubscribe”,I′)。若
返回b=1,
產(chǎn)生(Ai+1,si+1,r″i+1),π5SP,并將它們返回給
。
f)在現(xiàn)實(shí)世界Recharge協(xié)議中,當(dāng)接收到
發(fā)送的(m,seri,comi+1,π5U),
就向理想世界的
發(fā)出請(qǐng)求(“Recharge”,m)。若
返回b=1,則
產(chǎn)生(Ai+1,si+1,r″i+1),π6SP,并將它們返回給
。
顯然,
無(wú)法對(duì)Sim10與
進(jìn)行分辨。于是,|Hybrid
,Sim10(λ)-Ideal
,
(λ)|=0。綜上得出
|Real
,
(λ)-Ideal
,
(λ)|≤|Hybrid
,Sim0(λ)-Hybrid
,Sim1(λ)|+
|Hybrid
,Sim1(λ)-Hybrid
,Sim2(λ)|+…+|Hybrid
,Sim10(λ)-
Ideal
,
(λ)|=(qU+qS+qA+qAdd+qR)·2-λ+AdvqU-SDH
(λ)+3Advq′-SDH
(λ)+Advq-SDH
(λ)
根據(jù)引理1和2,可以得出以下結(jié)論:
定理1若q-SDH假設(shè)在群(G1,G2)上成立,則本文系統(tǒng)安全地實(shí)現(xiàn)了第2章定義的功能。
參考文獻(xiàn):
[1]Yi Xun,Paulet R,Bertino E,et al.Practical anonymous subscription with revocation based on broadcast encryption[C]//Proc of the 36th IEEE International Conference on Data Engineering.Piscataway,NJ:IEEE Press,2020:241-252.
[2]Shen Jian,Miao Tiantian,Lai Jinfeng,et al.IMS:an identity-based many-to-many subscription scheme with efficient key management for wireless broadcast systems[J/OL].IEEE Trans on Services Computing.(2020-07-21)[2021-06-20].http://doi.org/10.1109/TSC.2020.3010547.
[3]魯金鈿,肖睿智,金舒原.云數(shù)據(jù)安全研究進(jìn)展[J].電子與信息學(xué)報(bào),2021,43(4):881-891.(Lu Jintian,Xiao Ruizhi,Jin Shuyuan.A survey for cloud data security[J].Journal of Electronics and Information Technology,2021,43(4):881-891.)
[4]Blanton M.Online subscriptions with anonymous access[C]//Proc of the 3rd ACM Symposium on Information,Computer amp; Communication Security.New York:ACM Press,2008:217-227.
[5]Canard S,Jambert A.Untraceability and profiling are not mutually exclusive[C]//Proc of the 7th International Conference on Trust,Privacy and Security in Digital Busines.Berlin:Springer,2010:117-128.
[6]Vasco M I G,Heidarvand S,Villar J L.Anonymous subscription schemes-a flexible construction for on-line services access[C]//Proc of International Conference on Security and Cryptography.Piscataway,NJ:IEEE Press,2010:120-131.
[7]Pirker M,Slamanig D,Winter J.Practical privacy preserving cloud resource-payment for constrained clients[C]//Proc of the 12th International Conference on Privacy Enhancing Technologies.Berlin:Sprin-ger,2012:201-220.
[8]Lee M Z,Dunn A M,Katz J,et al.Anon-Pass:practical anonymous subscriptions[C]//Proc of the 34th IEEE Symposium on Security and Privacy.Piscataway,NJ:IEEE Press,2013:319-333.
[9]Zhu Liehuang,Chen Mingxin,Zhang Zijian,et al.A privacy-preserving video subscription scheme with the limitation of expire date[J].Science China Information Sciences,2017,60(9):98-101.
[10]Ogawa K,Ohtake G,F(xiàn)ujii A,et al.Weakened anonymity of group signature and its application to subscription services[J].IEICE Trans on Fundamentals of Electronics,Communications and Compu-ter Sciences,2014,97(6):1240-1258.
[11]Kumar V,Li He,Luther N,et al.Direct anonymous attestation with efficient verifier-local revocation for subscription system[C]//Proc of the 13th ACM Symposium on Information,Computer amp; Communication Security.New York:ACM Press,2018:567-574.
[12]Liu J K,Susilo W,Yuen T H,et al.Efficient privacy-preserving charging station reservation system for electric vehicles[J].The Compu-ter Journal,2016,59(7):1040-1053.
[13]Han Jinguang,Chen Liqun,Schneider S,et al.Privacy-preserving electronic ticket scheme with attribute-based credentials[J].IEEE Trans on Dependable and Secure Computing,2021,18(4):1836-1849.
[14]Huang Cheng,Lu Rongxing,Lin Xiaodong,et al.Secure automated valet parking:a privacy-preserving reservation scheme for autonomous vehicles[J].IEEE Trans on Vehicular Technology,2018,67(11):11169-11180.
[15]Yi Xun,Rao Fangyu,Ghinita G,et al.Privacy-preserving spatial crowdsourcing based on anonymous credentials[C]//Proc of the 19th IEEE International Conference on Mobile Data Management.Pisca-taway,NJ:IEEE Press,2018:187-196.
[16]江澤濤,時(shí)晨,張少欽,等.云環(huán)境下基于混合密碼體系的跨域控制方案[J].計(jì)算機(jī)應(yīng)用研究,2020,37(11):3387-3391.(Jiang Zetao,Shi Chen,Zhang Shaoqin,et al.Cross-domain control scheme based on hybrid cryptosystem in cloud environment[J].Application Research of Computers,2020,37(11):3387-3391.)
[17]Au M H,Susilo W,Mu Yi,et al.Constant-size dynamic k-times anonymous authentication[J].IEEE Systems Journal,2013,7(2):249-261.
[18]Ciampi M,Parisella R,Venturi D.On adaptive security of delayed-input sigma protocols and Fiat-Shamir NIZKs[C]//Proc of the 12th International Conference on Security and Cryptography for Networks.Berlin:Springer,2020:670-690.
[19]Arfaoui G,Lalande J F,Traoré J,et al.A practical set-membership proof for privacy-preserving NFC mobile ticketing[J].Proceedings on Privacy Enhancing Technologies,2015,2015(2):25-45.
[20]Canard S,Coisel I,Jambert A,et al.New results for the practical use of range proofs[C]//Proc of the 10th European Workshop on Public Key Infrastructures,Services and Applications.Berlin:Springer,2014:47-64.
[21]Camenisch J,Chaabouni R,Shelat A.Efficient protocols for set membership and range proofs[C]//Proc of the 14th International Confe-rence on the Theory and Application of Cryptology and Information Security.Berlin:Springer,2008:234-252.
[22]Boneh D,Boyen X.Short signatures without random oracles and the SDH assumption in bilinear groups[J].Journal of Cryptology,2008,21(2):149-177.
[23]Han Jinguang,Susilo W,Mu Yi,et al.AAC-OT:accountable oblivious transfer with access control[J].IEEE Trans on Information Forensics and Security,2015,10(12):2502-2514.
[24]Lynn B.The pairing-based cryptography library[EB/OL].(2013-06-14)[2019-09-10].https://crypto.stanford.edu/pbc/.
收稿日期:2021-08-02;修回日期:2021-09-17基金項(xiàng)目:山東省高等教育本科教改項(xiàng)目(M2018X245);山東省高等學(xué)校科學(xué)技術(shù)計(jì)劃資助項(xiàng)目(J17KA081);山東青年政治學(xué)院科研培育項(xiàng)目(XJPY2021);山東青年政治學(xué)院教學(xué)改革研究項(xiàng)目(JG201905)
作者簡(jiǎn)介:柳欣(1978-),男(通信作者),山東廣饒人,教授,博士,主要研究方向?yàn)樾畔踩c密碼學(xué)(lxonne@163.com);張波(1981-),男,山東德州人,副教授,博士,主要研究方向?yàn)樾畔踩c密碼學(xué);張斌(1975-),男,山東濟(jì)南人,副教授,博士,主要研究方向?yàn)樾畔踩c密碼學(xué);孫世文(1992-),男,山東濟(jì)南人,助教,碩士,主要研究方向?yàn)樾畔踩?
