1、2015年第5期 文章编号:10092552(2015)05011004 DOI:1013274jcnkihdzj201505029 基于访问树的属性基签名算法安全性研究 郭俊,石岳蓉 (河海大学计算机与信息学院,南京211100) 摘要:2013年马春光等人发表了一篇基于访问树的属性基签名算法并声称他们的算法在标准 模型下基于判定性BDH问题相对于适应性选择消息攻击存在不可伪造性。利用部分密钥替换攻 击方法构造了一种针对该方案的攻击方式,通过替换方案的公钥和私钥的部分信息,使得伪造 的签名成功地通过了验证,导致方案在一定条件下安全性受到破坏,为以后的属性基签名方案 提供了一些研究思路。 关键
2、词:密钥替换;属性基;签名;访问树 中图分类号:TP309 文献标识码:A Research on the security of an attribute-based signature with AT GU0 JunSHI Yuerong (School of Computer Science and Information,Hohai University,Nanling 211100,China) Abstract:An attributebased signature with access tree(ABS with AT)scheme was presented by MA Ch
3、un-guang etcin 2013They claimed that their ABS with AT scheme is existentially unforgeable under adaptive chosenmessage attack based on the Decisional Bilinear DiffieHellman assumption(BDH)in the standard mode1This paper shows that the ABS with AT scheme is vulnerable to the partial key replacement
4、attack,and after that it constructs a scheme to break the security by taking place some information about the user public key and private key in which the forgery signature could be verified successfully by the verifierThis could provide some approach to build new attributebased signature scheme Key
5、 words:key replacement;attributebased;signature;access tree 0 引言 1984年Shamir提出基于身份的密码体制 IBC(IdentityBased Cryptography)。在基于身份密码 体制中,可以唯一确定用户身份的信息都可以用来 作为公钥,比如身份证号,驾驶证号,社保号等。而 在实际应用中,并不是所有接收者都愿意将自己的 身份信息公布出去,于是在2005年,ASahai和 BWatersl2 在欧密会上提出基于模糊身份的密码体 制,这可以看成是属性基密码体制的雏形。在这个 密码体制中,每一个用户的身份和一个描述属性的 集合
6、相关联(例如职位,级别,性别等),密文也与这 个描述属性的集合关联起来,并且只有用户的属性 匹配密文所关联的属性,那么该用户的私钥则可以 一110一 解密密文。这样加密者仅需要根据相关属性要求来 加密消息,无需关注用户数量和具体身份,降低了数 据加密的开销并保护了用户的隐私,实现了真正的 “多对多”密码策略。具体来说,在ASahai和 BWaterL2 设计的密码体制中,每个用户的身份用 一个属性集合来描述,而这个集合 既可以作为 公钥去加密消息,也可以转化为私钥去解密消息,当 两个用户的身份足够接近的时候,也就是表述为 n d的时候,用户 加密的消息就可以被用户 解密,这个参数d被称为错误容
7、忍度。而不同的 收稿日期:20140610 作者简介:郭俊(1990一),男,硕士研究生,研究方向为密码学、信 息安全。 用户得到的私钥都是通过随机多项式计算生成的, 这样保证了部分用户无法合谋通过组合各自私钥的 某些部分来解密密文。 1 相关研究 为了提高访问控制策略的灵活性,2006年 VGoyal_3 等根据策略施加的位置,首次将属性基 加密体制分为密钥策略属性基加密体制(KPABE) 和密文策略的属性基加密体制(CPABE)。两者的 区别在于,KPABE中密钥与访问结构相对应,而密 文与一个属性集合相结合,当密文的属性集合满足 密钥的访问结构时就可以解密。此外,该文献中还 提出了一个细
8、粒度的访问控制的结构,此结构支持 “与(AND)”“或(OR)”门限操作。相对于粗粒度 访问控制,细粒度的访问控制结构能将访问权限授 权给用户变得更加容易同时也使得指定用户个体的 访问权限更加灵活,与基于模糊身份的加密体制 的简单访问结构相比,将原来的简单门限操作改进 成更加详细的单调逻辑操作,丰富了属性基加密体 制的性质和适用范围,大大加速了属性基加密体制 的发展。 2006年,PYang等 提出了模糊身份签名 的概念,并作了基于模糊身份签名的探索和研究。 基于模糊身份签名可以看作是基于身份签名的发 展,而基于属性的数字签名又可以看作是基于模 糊身份签名的发展。2007年,MHemanta在
9、基于 属性签名的研究过程中 ,对基于属性的签名做 了更详细的描述和说明。在这篇文章中,MHe manta提出了声明一签名(ClaimEndorse)的新方 法,避免了零知识证明过程,提高了方案设计的效 率。另外,这篇文章还提出属性基签名应满足三 个重要性质:不可为造型,隐私权保护以及抗合谋 攻击。2008年,借用了DKhaderl6 提出的相关 定义,SGuo和YZeng提出了第一个基于属性 的签名方案 。在他们的方案中用到了VGoyal 等-3 属性基加密体制中的构造属性树概念,允许 签名者使用自身拥有的特定属性进行签名。2013 年马春光等 构造了一种基于访问树的属性基签 名算法,有效地解
10、决了门限属性基签名方案中阈 值对签名算法的限制。 本文通过对基于访问树的属性基签名算法 研究,分析算法的安全模型,构造了一种通过部分替 换密钥来破坏算法安全性的方法。具体来说,本文 展示了在算法的安全模型下,存在一类敌手可以创 建和替换用户的部分公钥和私钥来生成任何消息的 在验证者看是有效的签名。 2 基础知识 21秘密分享 秘密分享方案(SSS)是将秘密分散到多方,每 一方的秘密称为子秘密。简单说来,一个(tn)门 限秘密分享方案,其中凡是参与者的个数,t是门限 值。只有不少于t个参与者将自己所持有的子秘密 集中并按照密钥管理中心发布的算法才能恢复出要 保护的秘密,而少于t个参与者则得不到任
11、何关于 原秘密的信息。 22双线性映射 设G和G 是两个有限循环群,阶均为N 。 如果映射e:GGG ,具有如下性质: (1)双线性:VgG,Va,b Jv,e(g。g )= e(g,g)。 (2)非退化性:j gG,使得e(g,g)1。 (3)可计算性:对所有的gG,存在有效的算 法计算e(g,g)。 23判定双线性DiffieHellman问题 随机选择a,b,c,。,其中,a,b,c, 。,g是 G 的生成元,判定BDH问题是指不存在多项式时 间内以不可忽略的概率区分元组 (g。,g ,g ,e(g,g)。 )和(g。,g ,g ,e(g,g) )。 24拉格朗日插值 设q()为一个随机
12、的d一1阶多项式并且 g( )=s ,那么这个多项式q()可以用d个点的值 来唯一确定: d一1 g()=s s(),其中S=( i, i ) “ O 定义拉格朗日算子为: ( )= 。 25访问树(Access Tree)结构 设 是一棵访问树,树中每个非叶子结点表示 由其子结点和阈值所描述的门限。设num 表示结 点 的子结点数目,i 表示结点X的阈值,有 0 m 。当|i =1时,门限表示“OR”门,当 = um 时,它表示“AND”门。树中的叶子结点 表示一个属性且其阈值 =1。 为简化访问树的操作,通常需要定义一些函数。 函数parent( )表示结点 的父结点。函数 att( )表
13、示与叶子结点 关联的属性值。访问树 对每个结点的子结点进行编号,将子结点从1至 num编号,函数index( )返回结点 的编号。 假设r为访问树 的根结点,而 表示访问树 中以X为根结点的子树,因此 也可以表示为 。 一1 1 1 如果属I生集合 满足访问树 ,表示为 ( )=1。 可以通过以下方式递归计算 1,)的值: (1)如果X是一个非叶子结点,计算 的所有子 结点 的 ( ),当且仅当至少 个子结点返回1 时, ( )返回1。 (2)如果X是叶子结点,当且仅当att( ) , ( )返回1。 3 基于访问树的签名方案研究 由于属性基密码体制是基于身份的密码体制的 扩展,因此属I生基密
14、码体制如同基于身份密码体制 一样是不需要一个密钥管理中心来管理用户的密 钥,正如同基于身份的密码体制那样用户的身份信 息就是用户的公钥。正因如此,属性基签名方案中 验证者难以确定验证过程中的公钥是否是一个有效 的公钥,极易遭受替换密钥类型的攻击。 31马春光等方案-9 建立阶段:定义属性集合U:1,2, ),对 每一个屙陛iU,从 中随机选择t ,然后随机选 择Y 。,则系统公共参数P 为T =g“,g , T l u=g I ,Y=e(g,g) ,主密钥MK为t1,t2, t I U I,Y。 私钥提取阶段:用户属性集合为 ,当且仅当 满足访问树,即 ()=1时,该算法生成用户相应 的私钥。
15、私钥提取过程如下:对访问树 中每一个 结点X,用自顶向下的方法从根节点开始生成一个 多项式q 。其中q 的阶d 为每个结点的门限值减 1,即d =k 一1。对于根节点r,设q r(0):Y,并随 机选择其他的d 个点,生成多项式q,。对于其他的 结点 ,设q (0)=q (index( ),并随机选择 其他d 个点用来生成 。多项式生成后,对于每个 叶结点生成如下的私钥D =g吼OYti,i=att( )。 签名阶段:该算法对输入消息M ,生成有 效的签名。随机选择 ,并对每个属性随机选 择r ,iU,并生成签名 = , , ),其中, 0“2= 2 : ) ,or3 :MF, 1 = 】 =
16、D , =att( )。 验证阶段:首先定义一个递归算法 Verify( , , ),该算法输入 、or:和树的结点 ,输出G:中的元素或者上。 设i=art( ),如果X为叶结点时,有: Venh( ): ” (g “” 【 j- otherwise 当 是非叶结点时,首先对X的所有子结点 执 一11 2一 行Verify( , ,z),并把得到的结果记为F:,然后 选择 上的k 个孩子结点集合S 。如果不存在 这样的集合则验证算法失败,否则执行如下运算: F =兀 =n(eg,g)Sqx(0) , = 。 ES 兀(eg,g)Sqparent(x)( )Ai,S = ES n eg,g)
17、=eg,g) 。 ES 其中,i=index(。),S =index(z):zS ) 定义了上述算法后,就可以进行签名的验证。 验证是否成立,则有: 一M Verify( 1, ,r) 如果成立则验证成功,否则验证失败。 32安全性分析 在这个基于访问树的属性基签名方案中,主私 钥可以看成由两部分组成: ) ,和Y,但是这两 部分没有相应的绑定,也就是说,用户的公钥l,与用 户的属性集合没有任何联系。这样的问题就导致方 案容易受到部分密钥替换攻击,也就是将要展示的 攻击方案。构造了一个敌手 通过替换系统公共参 数T1=g“,g“, I,l=g I 。,Y=e(g,g) 来仓4 建一个新的公私钥
18、对(或者说替换用户的原公私钥 对)就可以产生任何消息的有效签名。当然,如果 验证者是运行系统建立阶段的用户则此攻击方案就 失效了。 敌手 通过新建一个用户来攻击该方案。它首 先为新用户选择一个合适的属性集,然后创建该用 户的相关公私钥对。显然,属性集 是最好的属性 集合,因为它包含了系统的所有属性。之后, 随机 选择W 并计算用户的公钥Y=e(g,g) 。之 所以可以这样做是因为公钥中y并没有和用户的属 性绑定。接着 就可以构造出一个0阶的随机多项 月 式g()来表示门限值k=1,并设置g(0)=W,W 。 对每个iU选择index( )并计算q (index( ) 来构造访问树结构 。g()
19、的设置 使得访问树71 的根节点如同一层使用“OR”门限的 访问结构。到目前为止, 持有一个用户的伪造公 钥l,和一个伪造的访问树结构 接下来,敌手 可以开始对消息 进行伪造签 名了。 计算: = l =g O)ti,i=att( ), 2= o-2 = ) ,0“3:MF 其中,s,r ,iU。这样 就可以发布出这个 伪造的签名。在这个例子中敌手 对已存在的用户 的公私钥对进行部分替换操作,也就是进行了部分 密钥替换攻击。不难看出签名 对于拥有属性集 C U的验证者来说永远是有效的。验证过程如下: 一 丝 一 丝 Verify(or1,or2,r) e(g,g) r。 e(g,g) : 正确
20、性: Verify( , 2, ): (orli,,or2i)=eg,g 。 L上omerwxse F =n ,i=index( ),S = index( ):z E S = 兀(e g,g)tiqx(0)Ai,S = e g,g) 。 =e g,g)嘶。 S 最终验证者可以成功验证该签名,也就是说敌 手一4成功地伪造了消息 的签名or。相应的,如果 方案想要克服部分密钥替换攻击的话,必须在保证 主密钥的完整性上做一定的工作,保证Y与用户的 属性集合绑定,这样伪造签名便难以通过验证阶段。 4 结束语 本文展示一种通过部分密钥替换攻击基于属性 树的属性基签名方案。原方案的缺点在于主密钥的 两个部
21、分没有绑定在一起以至于用户的公钥和私钥 相互独立没有关联,为以后的属性基签名方案的改 进提供了一些研究思路。 参考文献: 1Shamir AIdentitybased Cryptosystems and Signature SchemesJ Advances in CryptologyCRYPTO84,SpringerVerlag,Santa Bar- bara,1984,LNCS(196):4753 2Sahai A,Waters BFuzzy Identitybased EncryptionJAdvances in CryptologyEUROCRYPT 2005,Berlin,Sprin
22、ger-Verlag,Aar- hus,Denmark,2005,LNCS(3497):457473 3Goyal V,Pandey O,Sahai AAttribute Based Encryption for Fine- grMned Access Conrol of Encrypted DataCProceedings of the l3 th ACM conference on Computer and communications security 2006Alexandria,Virginia,USA,2006:8998 4Yang P,Cao ZF,Dong XFuzzy Ide
23、ntity Based SignatureEB OLCryptology ePrint Archive Repo2008002,http:eprint iacrorg2008002 5Hemanta M,Manoj P,Mike RAttributeBased Signatures,Achie ving Attribute-Privacy and CollusionResistanceEBOLCrypto logy ePrint Archive Repo2008328http:eprintia-crors 2007328 6Khader DAttributeBased Group Signat
24、uresEBOLCryptology ePrint archive,Repo2007159,http:epintiacrors2007 159 7Khader DAttributeBased Group Signature with RevocationEB OLCryptology ePrint Archive,Repo2007241,http:eprint iacrorg2007241 8Guo S,Zeng YPAttributeBased Signature SchemeJ2008 In- ternational Conference on Information Security a
25、nd Assurance(ISA 2008),2008,509511 9马春光,石岚,汪定基于访问树的属性基签名算法J电子 科技大学学报,2013,42(3):410414 责任编辑:么丽苹 (上接第109页) 6 提供学科化信息推送,开展学科馆 员服务 学科化服务依照学科、专业、项目等组建灵活的 学科单元,将资源采集、加工处理、重组、开发与利用 等工作融入每个学科单元之中,将图书馆职能部门 进行重新组合,组织开展学科化信息服务工作 。 利用微信的一对多的推送功能,图书馆可以将学科 专家信息、学科信息资源、数据库资源等以学科知识 单位的形式推送到学科用户手中,真正实现用户随 时随地获得并利用图
26、书馆的学科信息资源,对广大 师生的学术科研工作进行有力的支撑。 7 结束语 对于高校而言,移动互联网的迅速兴起,以及智 能手机在读者群中的日渐普及,促使微信在校园里 的受众人数不断增加。如果高校图书馆可以利用微 信公众平台展开信息服务,不但可以更加轻松地融 入读者群,更加方便、及时地推送各种信息资讯和解 答各种问题,而且可以让用户在移动社交网络里随 时随地地充分利用图书馆资源。 参考文献: 1百度百科一腾讯EBOLhttp:baikebaiducornview 1591htm 2百度百科:微信EBOLHttp:baikebaidueomview 51 17297htm 3腾讯微信公众平台成功案例EBOLhttps:mpweixin qqcorn 4艾瑞咨询集团2013年中国智能终端规模数据EBOL http t f wirelessiresearchcnothers201401 14224843shtm1 5百度移动云事业部2012年Q4百度移动互联网发展趋势报 告z 6茆意宏面向用户需求的图书馆移动信息服务J中国图书馆 学报,2012(1):7686 7陈锦波基于微信的图书馆信息资源推送研究J四川图书馆 学报,2013(4):71O 责任编辑:张荣香 一ll3一