支持一般电路的高效安全基于属性签名_黄振杰.pdf
《支持一般电路的高效安全基于属性签名_黄振杰.pdf》由会员分享,可在线阅读,更多相关《支持一般电路的高效安全基于属性签名_黄振杰.pdf(11页珍藏版)》请在咨信网上搜索。
1、支持一般电路的高效安全基于属性签名黄振杰1林志伟1,21(福建省粒计算及其应用重点实验室(闽南师范大学)福建漳州363000)2(交通运输部东海航海保障中心厦门通信中心福建厦门361026)()Efficient and Secure Attribute-Based Signatures for General CircuitsHuangZhenjie1andLinZhiwei1,21(Fujian Key Laboratory of Granular Computing and Application(Minnan Normal University),Zhangzhou,Fujian 36
2、3000)2(Xiamen Communication Center,Donghai Navigation Safety Administration of Ministry of Transport,Xiamen,Fujian 361026)AbstractAttribute-basedsignatureisanimportantcryptographicprimitiveandhasattractedtheattentionofmanyscholars.Becauseofitsgoodproperties,attribute-basedsignaturehasfoundsignifican
3、tapplicationsinmanyfields,such as message delivery,anonymous authentication,leaking secrets,trust negotiations,private access control,anonymouscredentials,etc.Toimprovethesecurity,expressiveness,andefficiencyofattribute-basedsignature,anefficientandsecureattribute-basedsignatureschemewithperfectpriv
4、acyforgeneralcircuitsisproposedbyusingmulti-linear mapping.By introducing the concept of node weight and adopting the top-down recursive,thecomputationcostofsignaturegenerationisreduced.Thesizesofthekeysofthegatenodesarereducedbyusingthesymmetryoftheleftandrightchildnodes.Comparedwiththeprevioussche
5、me,theproposedschemeimprovestheunforgeabilityfromexistentialunforgeableunderselectivemessageandselectiveattributeattacktoexistentialunforgeableunderadaptivechosenmessagebutselectiveattributeattack.Theproposedschemeextendstheaccessstructurefromspecialcircuitstogeneralcircuits,whichcansupportarbitrary
6、accessstructuresandachievearbitraryaccesscontrolgranularity.Theproposedschemekeepsthesignatureasonlyonegroupelement,shortensthesizesofthemasterpublickey,masterprivatekey,andsigningkeymarkedly,andreducesthecomputationoverheadsofsigningkeygeneration,signaturegeneration,andsignatureverificationsignific
7、antly.Theanalysisshowsthattheproposedschemehasobviousadvantagesinperformanceandefficiencyandispractical.Key wordsattribute-basedsignature;generalcircuit;multi-linearmapping;perfectprivacy;key-policy摘要基于属性签名(attribute-basedsignature,ABS)是一种重要的密码原语,具有广泛的应用背景,得到众多学者的关注,是密码学的研究热点.为了提高基于属性签名的安全性、表达力和效率,使
8、用多线性映射作为工具,提出一个支持一般电路的具有完善隐私性的基于属性签名方案.引入节点权重概念并采用“从上到下”递归,显著减少生成签名的计算开销;利用左右孩子节点的对称性,缩短门节点的密钥长度.所提出的方案将不可伪造性从“选定消息且选定属性攻击下存在不可伪造”提升到更强的“自适应选择消息但选定属性攻击下存在不可伪造”;将访问结构从特殊电路拓展到一般电路,可以支持任意访问结构,达到任意的访问控制粒度;在保持签名仅为 1 个群元素的前提下,显著缩短主公钥、主私钥和签名钥的大小和显著降低签名密钥生成、签名生成和验证的计算开销.分析表明:所提出的方案在性能和效率方面均有明显优势,是一个实用的方案.收稿
9、日期:20210909;修回日期:20220419基金项目:福建省自然科学基金项目(2019J01750,2019J01752,2020J01814)ThisworkwassupportedbytheNaturalScienceFoundationofFujianProvince(2019J01750,2019J01752,2020J01814).计 算 机 研 究 与 发 展DOI:10.7544/issn1000-1239.202110920JournalofComputerResearchandDevelopment60(2):351361,2023关键词基于属性签名;一般电路;多线性映
10、射;完善隐私性;密钥策略中图法分类号TP309基 于 属 性 签 名(attribute-basedsignature,ABS)1是一种特殊数字签名体制,可以为用户提供细粒度的隐私保护,在多个领域有重要应用,因此成为密码学的研究热点.ABS 的隐私保护控制是通过属性和属性集上定义的访问结构实现的.根据访问结构使用位置的不同,基于属性签名分为密钥策略 ABS(key-policyattribute-basedsignature,KP-ABS)和签名策略 ABS(signature-policyattribute-basedsignature,SP-ABS).在 KP-ABS 中,用户从属性机构(
11、attributeauthority,AA)处获得其所拥有的访问结构所对应的签名密钥,之后可用其对属性满足其访问结构的消息进行签名.签名可以确保消息是由拥有能被指定属性满足的访问结构的用户签发的(不可伪造性),但不能辨认出签名人所拥有的具体访问结构,更不能辨认出签名人的身份(隐私性).SP-ABS 则相反,用户从属性机构处获得其所拥有的属性所对应的签名密钥,然后对具有其属性所满足的访问结构的消息进行签名.举个简单的说明性例子:ABS 可为教学管理系统提供匿名评价功能.假设每个课程都表示为“课程名称、开课教师姓名、开课年份、开课学期”,那么每位学生所选的课程组可以表示成(C1T1Y1S1)(C2
12、T2Y2S2)(CkTkYkSk),其中 Ci,Ti,Yi,Si分别表示课程名称、开课教师姓名、开课年份和开课学期.在学生选定其课程组后,系统根据其所选课程组所对应的访问结构为其发放签名密钥,此后,学生可以使用其签名密钥匿名发表课程评价.ABS 的不可伪造性保证只有选修的学生才能对课程进行评价,其隐私性保证任何人都不能辨认出评价出自哪位学生.不可伪造性保证评价来源的合法性,隐私性保障评价者的隐私权.由于其良好的性质,ABS 在许多领域有重要的应用,如匿名凭证(anonymouscredentials)、消息传递(messagedelivery)、匿名认证(anonymousauthentica
13、-tion)、秘密泄露(leakingsecrets)、信任协商(trustnego-tiations)、隐私接入控制(privateaccesscontrol)等等1-2.自 ABS 被提出以来,众多学者先后提出许多支持各种不同访问结构的方案.Shahandashti 等人2、Li等人3、Herranz 等人4和 Gagne 等人5各自提出支持门限(threshold)访问结构的 ABS 方案;Maji 等人1和Gu 等人6-7各自提出支持单调(monotone)访问结构的 ABS 方案;Okamoto 等人8-9提出支持非单调(non-monotone)访 问 结 构 的 ABS 方 案;
14、Tang 等 人10和Sakai 等 人11各 自 提 出 电 路(circuits)访 问 结 构 的ABS 方案;Kaafarani 等人12提出无界电路(unboundedcircuits)访问结构的 ABS 方案;Zhang 等人13提出支持内积(inner-product)访问结构的 ABS 方案;Datta 等人14提出无界算术分支程序(unboundedarithmeticbranchingprograms)访问结构的 ABS 方案.为了克服 ABS 单个属性机构带来的瓶颈和信任过度集中的问题,Maji 等人1和 Okamoto 等人15分别 提 出 多 属 性 机 构(mult
15、i-authority)ABS 和 去 中 心(decentralized)ABS.为了克服 ABS 计算开销过大,不适用于资源受限场景的缺点,学者们将外包技术引入到 ABS 中来,Chen 等人16提出外包(outsourced)ABS,Mo 等人17和 Sun 等人18分别提出新的外包ABS 方案.Huang 等人19指出已有外包 ABS 方案的隐私性缺陷,进而提出具有完善隐私性的外包 ABS方案.Ren 等人20进一步提出可验证(verifiable)外包ABS;Cui 等人21和 Xiong 等人22研究了服务器辅助(server-aided)ABS;Wang 等人23提出服务器辅助验
16、证(server-aidedverification)ABS.此外,学者们还研究了具有附加性质的 ABS,如基于属性环签名(attribute-basedringsignature)24、基于属性代理签名(attribute-basedproxysignature)25、基于属性签密(attribute-basedsigncryption)26、基于属性净化签名(attribute-basedsanitizablesignature)27等.ABS 研究的主要目标是更高的安全性、更高的效率和更强的访问结构表达力.电路是最富表达力的访问结构之一.目前已知有 3 个 ABS 方案支持电路访问结构:
17、Tang 等人10的方案、Sakai 等人11的方案和Kaafarani 等人12的方案.文献 1112 方案的效率都很低,签名的长度都与电路的输入成线性关系.Tang等人10的方案的签名仅为 1 个群元素,效率最高,但在安全性和访问结构表达力方面却比较弱:1)Tang 等人10方案的不可伪造性是很弱的,只是在选定消息和选定属性攻击下存在不可伪造,只能防止敌手伪造特定消息的签名.2)Tang 等人10的方案仅支持特殊电路,要求兄弟节点的深度必须相同,且都是其父节点的深度加 1;要求所有输入节点的深度相同.本文改进了 Tang 等人10的方案,提高了安全性、352计算机研究与发展2023,60(
18、2)丰富了访问结构表达力、缩短了数据长度并降低了计算开销.本文的主要贡献包括 3 个方面:1)增强方案的安全性.从“选定消息和选定属性攻击下存在不可伪造(existentiallyunforgeableunderselectivemessageattackandselectiveattribute,EUF-sA-sMA)”提升到“自适应选择消息但选定属性攻击下存在不可伪造(existentiallyunforgeableunderadaptivechosen message but selective attribute attack,EUF-sA-CMA)”.EUF-sA-CMA 比 EUF
19、-sA-sMA 强很多,能防止敌手伪造任何自适应选择消息的签名.2)丰富了访问结构表达力,将访问结构从特殊电路拓展到一般电路.去掉原有的所有限制,允许兄弟节点的深度不同;允许孩子节点的深度比其父节点的深度大于 1,即可以跳层;允许输入节点的深度不同.另外,任意电路都可以通过德摩根(DeMorgan)定律转换成非叶子节点为“或门”或“与门”,“非门”只出现在叶子节点的电路.如果将带“非门”的叶子节点定义为 1 个新属性(比如“不是教授”)作为 1 个新的输入,就可以支持非单调电路.一般电路的极强表达能力使得方案可支持任意访问结构,达到任意的访问控制粒度.3)缩短了数据长度并降低了计算开销.在保持
20、签名大小仅为 1 个群元素的前提下,将主公钥、主私钥和签名钥的大小都显著缩短;将签名密钥生成、签名生成和签名验证的计算开销都显著降低.1预备知识 1.1符号说明本文使用的符号和参数的含义如表 1 所示.1.2多线性映射与困难性假设G(1,k)kpG1,G2,Gkg1,g2,gkei,j:GiGj Gi+j1 i k1 1 j k1,i+j k,多线性映射.为群生成算法,输入安全参数 和多线性映射级数,输出素数阶群序列和相应的生成元,以及双线性映射序列,,满足ei,j(gai,gbj)=gabi+j:a,b Zp.多线性映射定义为e(a1,a2,an)=e(a1,e(a2,e(an1,an),e
21、i,j其中右侧的 e 为其输入所对应的双线性映射.p,G1,G2,Gk,e,gc1,gc2,gckgki=1cik1c1,c2,ckRZpk-MCDH(k-multilinear computational Diffie-Hell-man)问题.给定(),计算,其中.Ak-MCDH 假设.任意概率多项式时间算法成功解 k-MCDH 问题的概率都是可忽略的.1.3电路nqG=wn+1,wn+2,wn+qN=IGwtop=wn+qwL(w)R(w)GT(w)wf=(n,q,L,R,GT)假设电路有 个输入节点,个门节点,记输入节点集合为 I=1,2,n,门节点集合为,所 有 节 点 集 合 为,其
22、 中为头部节点.门节点的左、右孩子节点分别记为和.表示门节点的类型,即“AND”或“OR”.电路记为.Table 1Symbols Interpretation表 1 符号释义符号含义系统安全参数k多线性映射的级数p(21,2)中的素数Zpp模素数的整数集aRAAa从集合中随机选取Gi乘法循环群giGi乘法循环群的生成元e多线性映射(含双线性映射)e(A)输入为 A 时多线性映射 e 的值f电路n电路的输入数q电路的门节点数电路的最大深度I电路的输入节点集G电路的门节点集N电路的节点集L(w)w门节点的左孩子R(w)w门节点的右孩子GT(w)w门节点类型函数,输出的门类型D(w)=iww节点的
23、深度电路的输入f()f输入为时电路的输出fw()fw输入为时中门节点的输出Ww()fw输入为时中节点的权重1,n1,2,n表示集合0,1n长度为 n 的比特串集合0,1任意长度比特串的集合M消息签名黄振杰等:支持一般电路的高效安全基于属性签名353D(w)wf()0,1nff()=1fffw()fw表示节点的深度.头部节点的深度为 0,其他节点的深度为其到头部节点的最长路的长度.表示输入为时,电路的输出.当时,称 满足;否则,称不满足.类似地,表示输入为 时,电路 中门节点 的输出.Ww()为了有效降低计算开销,本文为电路引入节点权重的概念,用表示在输入为时节点 w 的权重,其计算方法如 1)
24、3):1)输入节点.Ww()=n1输入为 1 的节点,;Ww()=输入为 0 的节点,.2)或门.fw()=0Ww()=如果,则;Ww()=minWL(w)(),WR(w)()+2否则.3)与门.fw()=0Ww()=如果,则;否则:D(L(w)=D(R(w)如果,则Ww()=WL(w)()+WR(w)()+2;D(L(w)D(R(w)如果,则Ww()=WL(w)()+WR(w)()+3.这样定义的节点权重其实就是使用本文方案生成签名时,使用该节点所需要计算的对运算的数量.对运算越少,效率就越高.图 1 给出一个一般电路的说明性例子:65552512111111113n=6,q=7,I=1,2
25、,3,4,5,6,G=w7,w8,w9,w10,w11,w12,w13L(w9)=1,R(w9)=2,GT(w9)=AND,D(w9)=2=(1,1,0,1,1,0),f()=fw13()=1,fw9()=1,Ww9()=13节点左侧为其编号,右侧为其权重,线上的数为节点的输出,叶子节点下方的数为其输入.40111717150013521w8w10w11wtop=w13w12w9w7深度 0深度 1深度 2深度 3深度 4Fig.1Exampleofgeneralcircuit图1一般电路示例 2电路访问结构密钥策略 ABS本节给出访问结构为电路的密钥策略 ABS 的定义和安全模型.2.1算法
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 支持 一般 电路 高效 安全 基于 属性 签名 黄振杰
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。