工業(yè)物聯(lián)網(wǎng)中服務(wù)器輔助且可驗(yàn)證的屬性基簽名方案

張應(yīng)輝 賀江勇 郭 瑞 鄭 東,3

1(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121) 2(無線網(wǎng)絡(luò)安全技術(shù)國家工程實(shí)驗(yàn)室(西安郵電大學(xué)) 西安 710121) 3(衛(wèi)士通摩石實(shí)驗(yàn)室 北京 100070)

工業(yè)物聯(lián)網(wǎng)(industrial Internet of things, IIoT)作為新一代信息技術(shù)的重要組成部分，它按照約定的信息交換協(xié)議通過傳感器設(shè)備連接各種網(wǎng)絡(luò)，以實(shí)現(xiàn)智能識別、跟蹤、監(jiān)視、定位和管理[1-2].隨著IIoT的普及，其安全問題也越來越受到研究者的關(guān)注[3].由于IIoT環(huán)境的開放性，數(shù)據(jù)經(jīng)過公共信道傳輸時可能被惡意的敵手偽造或篡改.另外，涉及IIoT情況的數(shù)據(jù)包含用戶身份的敏感信息，容易造成用戶身份隱私的泄露.因此，如何確保IIoT系統(tǒng)的數(shù)據(jù)安全和用戶身份隱私非常具有挑戰(zhàn)性[4].屬性基簽名(attribute-based signature， ABS)既可以保護(hù)用戶身份隱私，又可以實(shí)現(xiàn)數(shù)據(jù)認(rèn)證.近年來，大多數(shù)國內(nèi)外學(xué)者基于ABS，圍繞其簽名和驗(yàn)證階段的計算開銷、靈活的訪問結(jié)構(gòu)、服務(wù)器輔助(server-aided， SA)簽名和驗(yàn)證階段的安全性等問題進(jìn)行了研究，形成了較為豐富的理論成果.在減小簽名者和驗(yàn)證者的計算開銷方面，一個可行的方法是采用SA技術(shù)[5]將繁重的計算委托給服務(wù)器.但是針對SA簽名產(chǎn)生和驗(yàn)證階段安全性的研究，大多數(shù)學(xué)者只是通過抵抗簽名者和服務(wù)器的共謀攻擊保證了SA驗(yàn)證階段的安全性.如何抵抗服務(wù)器對部分簽名的偽造，保證SA簽名產(chǎn)生階段的安全性具有重要的研究意義，需進(jìn)一步研究.

本文的主要貢獻(xiàn)包括3個方面：

1) 提出了一種服務(wù)器輔助且可驗(yàn)證的ABS(server-aided and verifiable ABS， SA-VABS)方案，通過對服務(wù)器產(chǎn)生的部分簽名進(jìn)行有效性驗(yàn)證，抵抗了服務(wù)器對部分簽名的偽造；

2) 提出的SA-VABS方案可以抵抗簽名者和服務(wù)器的共謀攻擊，即簽名者勾結(jié)服務(wù)器并指導(dǎo)服務(wù)器產(chǎn)生一個無效的中介簽名去欺騙驗(yàn)證者；

3) 對提出的SA-VABS方案進(jìn)行了嚴(yán)格的安全性分析，并在理論上和實(shí)驗(yàn)上評估了其性能,最后通過對比分析說明了SA-VABS方案是安全高效的.

1 相關(guān)工作

ABS的概念是從屬性基加密(attribute-based encryption， ABE)演變而來的[6]，正式定義首先由Maji等人[7]提出，該方案僅能在一般的群模型下給出安全性證明.為了提高方案的安全性,Li等人[8]提出兩種支持門限訪問結(jié)構(gòu)的ABS方案，并且在隨機(jī)預(yù)言模型和標(biāo)準(zhǔn)模型下分別證明了方案的不可偽造性;為了減小系統(tǒng)的存儲負(fù)擔(dān)，Ge等人[9]在標(biāo)準(zhǔn)模型下提出一種高效的ABS方案，該方案的簽名長度是恒定的，不會隨著屬性的數(shù)量發(fā)生變化;為了實(shí)現(xiàn)更靈活的訪問結(jié)構(gòu)，Su等人[10]在2014年提出一種支持樹形訪問結(jié)構(gòu)的ABS方案.然而，這5種ABS方案的一個共同問題是簽名者和驗(yàn)證者的計算開銷隨著屬性的數(shù)量呈線性增長.

外包計算基于云計算[11]，最早是由Hohenberger等人[12]提出;由于現(xiàn)有ABS方案中簽名生成算法需要大量的指數(shù)運(yùn)算，Chen等人[13]首先提出外包ABS(outsourced ABS， OABS)方案，將簽名產(chǎn)生算法的主要計算開銷委托給服務(wù)器;Ren等人[14]在2018年提出另一種可以驗(yàn)證外包簽名有效性的OABS方案;最近，Mo等人[15]也提出了一種應(yīng)用于醫(yī)療系統(tǒng)中的OABS方案，該方案支持更靈活的訪問結(jié)構(gòu);在2019年Sun等人[16]提出一種外包的分散式多屬性機(jī)構(gòu)ABS(outsourced decentralized multi-authority，ODMA-ABS)方案，該方案相關(guān)的公私鑰由多個屬性機(jī)構(gòu)交互來生成，提高了OABS方案的安全性.然而，這些OABS方案只減小了簽名產(chǎn)生階段的計算開銷，并沒有減小簽名驗(yàn)證階段的計算開銷.

為了提高ABS方案簽名驗(yàn)證的效率，Matsumoto等人[17]首次提出SA的概念，可以將驗(yàn)證者的繁重計算委托給服務(wù)器.2014年Wang等人[18]首先提出SA驗(yàn)證的ABS(attribute-based server-aided verifi-cation signature， ABSAVS)方案，借助服務(wù)器減輕了驗(yàn)證者的計算開銷.最近，Cui等人[19]第1次提出可撤銷的SA-ABS(server-aided ABS with revoca-tion， SA-ABSR)方案，該方案借助服務(wù)器同時減小了簽名者和驗(yàn)證者的計算開銷，而且支持用戶撤銷的功能，但是不能抵抗簽名者和服務(wù)器的共謀攻擊.基于此，Xiong等人[20]提出另一種SA-ABS方案，不僅抵抗簽名者和服務(wù)器的共謀攻擊，而且實(shí)現(xiàn)了更靈活的LSSS訪問結(jié)構(gòu).但是，他們提出的SA-ABS方案都不能驗(yàn)證部分簽名(即服務(wù)器產(chǎn)生的簽名)的有效性，因此不能抵抗服務(wù)器對部分簽名的偽造.

綜上，現(xiàn)有的SA-ABS方案中，對于計算開銷的研究比較理想的技術(shù)是SA技術(shù).而對于SA階段的安全性問題，大多數(shù)學(xué)者主要是圍繞SA驗(yàn)證階段的安全性研究，通過抵抗簽名者和服務(wù)器的共謀攻擊來保證SA驗(yàn)證階段的安全性.如何抵抗服務(wù)器對部分簽名的偽造，確保SA簽名產(chǎn)生階段的安全性還存在許多問題，成為本文的主要研究工作之一.

2 基礎(chǔ)理論

本節(jié)介紹了文中用到的主要符號和基礎(chǔ)知識.

2.1 符號說明

文中所用到的主要符號及解釋說明如表1所示：

Table 1 The Main Notations and Description表1 主要符號及說明

2.2 基礎(chǔ)知識

定義1.雙線性映射.給定G，G1為2個階為大素數(shù)p的乘法循環(huán)群，g是G的生成元，Zp為有限域.一個映射e:G×G→G1如果滿足3個特性，則稱該映射為雙線性映射：

2) 非退化性.e(g,g)≠1.

3) 可計算性.對任意g1,g2∈G，存在可以計算e(g1,g2)的高效算法.

定義2.n-DHE問題.對任意a∈Zp，g∈G，給定g,ga,ga2,…,gan,gan+2,…,ga2n，計算gan+1的值.如果不存在能夠以不可忽略的概率優(yōu)勢解決n-DHE問題的多項(xiàng)式時間算法，則稱n-DHE問題是困難的.

定義3.拉格朗日插值.設(shè)p(x)是有限域Zp上n-1階多項(xiàng)式，定義Ω∈{1,2,…,n}，計算p(x)：

定義4.門限訪問結(jié)構(gòu).門限訪問結(jié)構(gòu)是一個單調(diào)的布爾函數(shù)，可以描述為

其中,A是用戶的屬性集，S是訪問結(jié)構(gòu)的屬性集，k是訪問結(jié)構(gòu)中所指定的門限值.當(dāng)Γk,S(A)=1時，我們認(rèn)為屬性集A滿足訪問結(jié)構(gòu)Γk,S(A).

3 系統(tǒng)模型及安全模型

本節(jié)介紹了SA-VABS方案的系統(tǒng)模型和安全性模型，包括正確性、不可偽造性、抗共謀攻擊以及匿名性.

3.1 系統(tǒng)模型

我們提出的SA-VABS方案包含4個實(shí)體：屬性機(jī)構(gòu)、簽名者、驗(yàn)證者以及服務(wù)器.系統(tǒng)結(jié)構(gòu)圖如圖1所示:

Fig. 1 The system architecture圖1 系統(tǒng)結(jié)構(gòu)圖

Setup.屬性機(jī)構(gòu)將安全參數(shù)λ作為輸入，輸出公共參數(shù)par和主私鑰msk.

KeyGen.屬性機(jī)構(gòu)將公共參數(shù)par、主私鑰msk以及用戶屬性集A作為輸入，分別為服務(wù)器和簽名者輸出部分簽名鑰psk和簽名鑰sk.

SSign.服務(wù)器將公共參數(shù)par、部分簽名鑰psk、消息m以及訪問結(jié)構(gòu)Γk,S作為輸入，輸出部分簽名σ′和相應(yīng)的驗(yàn)證信息W1及W2.

USign.簽名者將公共參數(shù)par、簽名鑰sk、驗(yàn)證信息W1及W2、部分簽名σ′作為輸入，如果部分簽名σ′驗(yàn)證有效則輸出完整的簽名σ.

3.2 安全模型

提出的SA-VABS方案的安全性需要滿足正確性、不可偽造性、抗共謀攻擊以及匿名性.

1) 正確性.SA-VABS方案的正確性是指對任意消息m，任何滿足訪問結(jié)構(gòu)Γk,S的屬性集A，運(yùn)行算法Setup,KeyGen,SSign,USign,Transform以及SVerify，最后UVerify算法輸出的結(jié)果為true，則說明方案SA-VABS滿足正確性.

3) 抗共謀攻擊.簽名者和服務(wù)器的共謀攻擊是指簽名者使用一個偽造的消息m*產(chǎn)生簽名，然后勾結(jié)服務(wù)器基于m*執(zhí)行SVerify算法去產(chǎn)生中介簽名，但是服務(wù)器欺騙驗(yàn)證者中介簽名是基于m產(chǎn)生的.這樣就可能導(dǎo)致驗(yàn)證者將一個無效的簽名通過UVerify算法.因此，包含消息m的驗(yàn)證部分不能由服務(wù)器來驗(yàn)證，如果這部分驗(yàn)證由驗(yàn)證者來完成，則可以有效抵抗簽名者和服務(wù)器的共謀攻擊.

4 服務(wù)器輔助且可驗(yàn)證的屬性基簽名方案

本節(jié)我們給出SA-VABS方案的具體構(gòu)造，包括7個算法：Setup，KeyGen，SSign，USign，Transform，SVerify，UVerify.

Setup.該算法用于產(chǎn)生系統(tǒng)公共參數(shù)和主私鑰，輸入安全參數(shù)λ，算法運(yùn)行步驟為：

1) 定義U為系統(tǒng)中的屬性集合，M定義為長度最大為m的明文空間.Ω為默認(rèn)屬性集，其中|Ω|=n.假設(shè)U∪Ω中的每一個屬性都是Zp中的元素.

2) 設(shè)G，G1為p階乘法循環(huán)群，定義一個雙線性映射e:G×G→G1,其中g(shù)是G的生成元.隨機(jī)選取α∈Zp，計算Z=e(g,g)α.

最多可以說，這些橘紅色的生物數(shù)量太多，整體場景給人帶來一種驚恐感受——似乎金魚們誤闖了一個本不屬于它們的空間。這間房間更容易理解，其中擺放的都是一間典型的臥室應(yīng)有的東西：床、梳妝臺、臺燈、鏡子、格子窗戶。所有物品顯然都曾在綠色染料中浸泡過——整個場景使人聯(lián)想到一個超大的金魚缸。

4) 從Zp中選取n個元素,令D={d1,d2,…,dn}作為虛擬屬性集.

因此，系統(tǒng)的主私鑰為msk=α，公共參數(shù)為par=(g,G,G1,e,p,Z,h0,h1,…,hN,u0,u1,…,unm).

1) 對虛擬屬性d∈AUD，隨機(jī)選擇rd∈Zp，計算：

Pd,2=grd,

2) 對屬性w∈A∪Ω,隨機(jī)選擇rw∈Zp，計算：

Pw,2=grw,

因此，屬性機(jī)構(gòu)為服務(wù)器和用戶產(chǎn)生的部分簽名鑰以及簽名鑰分別是

psk={Pd,1,Pd,2,{Pd,i}i∈{1,2,…,N-1}}，
sk={gα-β,Pw,1,Pw,2,{Pw,i}i∈{1,2,…,N-1}}.

SSign.該算法用于將簽名過程的繁重計算委托給服務(wù)器.輸入公共參數(shù)par、部分簽名鑰psk、消息m以及訪問結(jié)構(gòu)Γk,S,算法運(yùn)行為：

2) 定義一個向量b=(b1,b2,…,bN)，計算多項(xiàng)式：

當(dāng)|S∪D′|+2≤i≤N時，設(shè)置bi=0.

3) 對每一個虛擬屬性d∈S′∪D′，計算：

4) 隨機(jī)選擇s0,s1∈Zp，計算：

5) 另外，計算相應(yīng)的驗(yàn)證信息W1和W2：

USign.輸入公共參數(shù)par、簽名鑰sk以及部分簽名σ′，算法運(yùn)行為：

1) 計算：Z1=e(g,gα-β).

2) 驗(yàn)證下列等式是否成立：

Z1×W1=W2.

3) 如果等式成立，計算：

4) 隨機(jī)選擇s∈Zp，計算：

最終，消息m的簽名為σ={m,Γk,S,σ0,σ1,σ2}.

Transform.輸入公共參數(shù)par和簽名σ，算法運(yùn)行如下：

1) 隨機(jī)選擇t∈Zp.

5 安全性分析

本節(jié)主要參考文獻(xiàn)[20-21]，對提出的SA-VABS的正確性、不可偽造性、抗共謀攻擊以及匿名性進(jìn)行了詳細(xì)的安全性分析.

5.1 正確性

SA-VABS方案的正確性證明：

5.2 不可偽造性

Setup.首先選擇一個包含n個元素的虛擬屬性集D以及一個子集D′?D，其中|D′|=n-k*.

Pw,2=grw,

第2步，因?yàn)?

其中k1，k2都是可計算的，分別為

3) 簽名詢問(signing oracle).對每個消息m，C定義函數(shù)：

通過以上函數(shù)，對于一個消息m，存在：

① 如果J(M)=0，C中止游戲.

② 如果J(M)≠0,C隨機(jī)選擇r，rw，s0，s1，s以及s2∈Zp，使得：

簽名可以模擬為：

δ1=gr×gs0×grw=gr+s0+rw,

所以C可以計算出

如果用abort表示C在模擬過程中終止，定義事件Ei:J(Mi)≠0,i∈[q]，E*:J(M*)=0，則C成功的概率為

5.3 抗共謀攻擊

由于我們所提出的SA-VABS方案在執(zhí)行簽名驗(yàn)證算法時包含消息m的部分是由驗(yàn)證者來執(zhí)行，m不參與中介簽名的產(chǎn)生，所以簽名者就無法勾結(jié)服務(wù)器基于消息m*執(zhí)行SVerify算法去產(chǎn)生中介簽名，指導(dǎo)服務(wù)器欺騙驗(yàn)證者慌稱中介簽名是基于m產(chǎn)生的.因此，我們所提出的SA-VABS方案有效地抵抗了簽名者和服務(wù)器的共謀攻擊，保證了SA驗(yàn)證階段的安全性.

5.4 匿名性

在SA-VABS方案中，消息m的簽名為

從式中可以看出簽名的產(chǎn)生只是通過選擇隨機(jī)數(shù)r,rw,s,s0,s1并沒有泄露用戶的屬性及訪問結(jié)構(gòu)的任何信息.所以我們提出的SA-VABS方案實(shí)現(xiàn)了匿名性.

6 性能評估

本節(jié)主要將提出的SA-VABS方案與其他的3種方案從功能和計算開銷方面進(jìn)行對比，最后對方案進(jìn)行了性能分析.

6.1 功能對比

表2將提出的SA-VABS方案與方案OABS-II[13]，SA-ABSR[19]，SA-ABS[20]進(jìn)行了功能對比.在表2中，SAS Secure和SAV Secure分別表示在SA簽名產(chǎn)生階段和SA驗(yàn)證階段是否滿足安全性.SA-Sign和SA-Verify分別表示方案在簽名和驗(yàn)證階段是否運(yùn)用SA技術(shù).空白代表方案沒有涉及.方案OABS-II[13]只是在簽名產(chǎn)生階段運(yùn)用SA技術(shù)，雖然方案SA-ABSR[19]和SA-ABS[20]在簽名產(chǎn)生和驗(yàn)證階段都用到了SA技術(shù)，但是它們不能對部分簽名的有效性進(jìn)行驗(yàn)證，因此不能抵抗服務(wù)器對部分簽名的偽造，而且方案SA-ABSR[19]不能抵抗簽名者和服務(wù)器的共謀攻擊.從表2可以看出SA-VABS方案在簽名產(chǎn)生和驗(yàn)證階段都運(yùn)用了SA技術(shù)，而且可以抵抗簽名者和服務(wù)器的共謀攻擊，最重要的是可以對部分簽名的有效性進(jìn)行驗(yàn)證，從而抵抗了服務(wù)器對部分簽名的偽造.因此我們的方案保證了SA簽名產(chǎn)生和驗(yàn)證階段的安全性，所以我們的方案有更好的安全性.

Table 2 The Functional Comparison of Four Schemes

Note: “√” means that the requirement is met; “×” means that the requirement is not met.

6.2 計算開銷對比

表3將提出的SA-VABS方案與OABS-II[13]，SA-ABSR[19]，SA-ABS[20]進(jìn)行了計算開銷的對比.Key.Gen，Sig.Gen，Verify分別表示簽名鑰產(chǎn)生、簽名產(chǎn)生以及用戶驗(yàn)證的計算開銷.n和d分別表示默認(rèn)的屬性集合和用戶的屬性集合.E,P,H分別表示指數(shù)運(yùn)算、雙線性對運(yùn)算以及Hash運(yùn)算的時間消耗.對于計算開銷，從表3可以看出我們的方案在簽名鑰產(chǎn)生方面優(yōu)于其他方案；在簽名驗(yàn)證方面，我們的方案與最新的方案SA-ABS[20]持平.

Table 3 The Computational Overheads Comparison表3 計算開銷對比

6.3 性能分析

在實(shí)驗(yàn)中，我們使用JPBC(Java pairing based cryptography)庫[22]在裝有Intel Core i5-7440HQ 2.8 GHz處理器和8 GB內(nèi)存的WINDOWS系統(tǒng)上進(jìn)行仿真實(shí)驗(yàn).使用typeA類型的雙線性對在域Fp上構(gòu)建橢圓曲線y2=x3+x.

Fig. 2 Time comparison of signature key generation圖2 簽名鑰產(chǎn)生的時間對比

在圖2中，將我們提出的SA-VABS方案和方案OABS-II[13]，SA-ABSR[19]，SA-ABS[20]對簽名鑰產(chǎn)生所消耗的時間進(jìn)行了對比.默認(rèn)的屬性集合大小設(shè)置為n=10，橫坐標(biāo)表示用戶的屬性數(shù)量，縱坐標(biāo)表示簽名鑰產(chǎn)生的時間.可以看出SA-VABS方案與方案SA-ABSR[19]的簽名鑰產(chǎn)生時間是恒定的，不會隨著用戶屬性的數(shù)量發(fā)生變化,而方案OABS-II[13]和SA-ABS[20]簽名鑰產(chǎn)生的時間隨著屬性的數(shù)量呈線性增長.因此，SA-VABS方案的簽名鑰產(chǎn)生效率有著明顯的優(yōu)勢.圖3表示簽名產(chǎn)生所消耗時間的對比，這4個方案簽名產(chǎn)生的時間都保持不變，由于我們的SA-VABS方案在部分簽名生成時進(jìn)行了有效性驗(yàn)證，因此消耗的時間略高于方案SA-ABS[20].同樣，圖4表示簽名驗(yàn)證所消耗時間的對比，不可否認(rèn)的是SA-VABS的簽名驗(yàn)證時間與最新方案SA-ABS[20]持平，略高于方案SA-ABSR[19]，但是我們的SA-VABS方案有更好的安全性.總之，在我們的方案中，簽名鑰生成、簽名生成以及簽名驗(yàn)證的時間消耗都是是恒定的，不會隨著用戶屬性的數(shù)量而增加.因此，我們的方案適用于資源受限的IIoT場景中.

Fig. 3 Time comparison of signature generation圖3 簽名產(chǎn)生的時間對比

Fig. 4 Time comparison of signature verification圖4 簽名驗(yàn)證的時間對比

7 總 結(jié)

對于物聯(lián)網(wǎng)中資源受限的設(shè)備，普通ABS方案存在的挑戰(zhàn)是計算開銷過高.方案SA-ABSR[19]和SA-ABS[20]通過將簽名和驗(yàn)證階段的主要計算委托給服務(wù)器來克服這種挑戰(zhàn).但是這些方案都不能對服務(wù)器產(chǎn)生的部分簽名進(jìn)行有效性驗(yàn)證，可能造成服務(wù)器對部分簽名的偽造.基于此，我們提出一種SA-VABS方案，該方案不僅可以減小簽名和驗(yàn)證階段的計算開銷，而且可以抵抗簽名者和服務(wù)器的共謀攻擊，最重要的是可以驗(yàn)證部分簽名的有效性，防止服務(wù)器對部分簽名的偽造.最后，通過具體的安全性分析表明所提出的SA-VABS方案是安全的，并且通過仿真實(shí)驗(yàn)和對比分析表明該方案是高效的.