CN103312707B - 属性基签名的云服务器辅助验证方法 - Google Patents

Abstract

本发明提出了属性基签名的云服务器辅助验证方法。所述方法中，验证者事先选择随机整数为秘密信息，并将其利用拉格朗日插值公式部分地隐藏在原签名值中，并将处理后的签名值发送给云服务器；云服务器收到处理后的伪签名，执行大部分的双线性配对运算，并将处理后的中间结果返回给验证者；验证者收到中间结果后，利用先前所选择的秘密信息，完成最终的轻量级验证。本发明方法验证者只需执行2次配对运算，节约了验证者的计算量；解决了不可信云服务器的单独欺骗以及不可信云服务器和签名者合谋攻击的问题。

Description

属性基签名的云服务器辅助验证方法

技术领域

本发明属于信息安全技术领域，涉及属性基签名的云服务器辅助验证方法。

背景技术

随着信息网络的高速发展，云计算环境由于其方便、快捷等优点越来越受到人们的亲睐。但是云计算环境也是开放的，易遭受各种攻击。属性基签名为云计算的访问控制提供了一种较好的选择。在属性基签名方案中，用户首先从一个属性权威机构获取其身份属性集合对应的私钥；然后只要签名谓词满足身份属性集合，用户便可对任何消息进行签名；最后，验证者通过验证签名确信签名者的签名谓词满足身份属性集合。属性基签名的验证过程中，验证者并不知晓签名者的整个身份属性集合，有效的保护了签名者的隐私。

但是，属性基签名非常严重的缺陷是签名和验证的计算量大，且签名长度导致的通信量大。目前已知的大多数属性基签名方案，其签名长度是和签名时的属性集合大小成线性关系，其验证时所需执行的配对计算次数也近似等于属性集合的大小。配对运算对于云计算的智能手机、PDA等瘦终端设备是负担过重了。研究表明，配对运算相对于群上的指数运算是一种非常“昂贵”的运算，因为配对是在q元素域的椭圆曲线上执行的，而配对运算的最后一步相当于在qk元素域执行指数运算，其中k是椭圆曲线的次数。尽管，近来有研究大大降低了配对运算的计算量，但是这种方法需要许多配对并行运算，这对于存储受限的设备来说是不可行的。

属性基签名的计算量分析如下：

部分属性基签名的形式为三元组(σ₀,σ₁,{σ_i}_i∈Ω)，其中Ω为签名的身份属性集合；σ₀为签名值的第一分量；σ₁为签名值得第二分量；{σ_i}_i∈Ω表示下标i在集合Ω中的所有σ_i的集合，为签名值第三分量；验证方程为如下形式：

其中e为双线性配对运算；g为群的生成元；H₁(.),H₂(.)分别是映射到群的哈希函数；||表示两个符号串串联；∏_i∈Ω·表示所有下标i在集合Ω中的项连乘；M为签名消息；为签名谓词；g₁,g₂,e(g₁,g₂)为公钥参数；表示验证方程是否成立，如果成立，则签名合法，否则签名不合法。上述验证方程共需要执行|Ω|+2次配对运算，其中|Ω|表示集合Ω中元素的个数。如果|Ω|的数值很大，则计算量很重；群是一个具有素数阶q的乘法循环群。

在验证者和云服务器的交互过程中，云服务器并不可信，可能欺骗验证者，甚至和签名者合谋欺骗，将非法签名在验证者那里验证通过。目前，对普通签名的服务器辅助验证提出了2个安全模型，即抵抗服务器单独欺骗的模型和抗合谋攻击的模型。但是已提出的大多数普通签名的服务器辅助验证签名方案都不能抵抗合谋攻击。

发明内容

本发明针对上述技术问题，提出属性基签名的云服务器辅助验证方法。所述方法利用云服务器辅助验证者完成签名验证。验证者在收到属性基签名后，进行预处理然后发送给云服务器，由云服务器执行配对计算后返回，验证者执行轻量级计算完成最后验证。

本发明为解决上述技术问题，采用如下技术方案：属性基签名的云服务器辅助验证方法，包括如下步骤：

1.属性基签名的云服务器辅助验证方法，其特征在于，包括如下步骤：

步骤A，参数选择；

步骤A-1，验证者接收签名(σ₀,σ₁,{σ_i}_i∈Ω)，

其中Ω为签名的身份属性集合；σ₀为签名值的第一分量；σ₁为签名值的第二分量；{σ_i}_i∈Ω表示下标i在集合Ω中的所有σ_i的集合，为签名值的第三分量；

步骤A-2，随机选择整数a∈Z_q，

其中q为群的阶，群是具有素数阶q的乘法循环群；Z_q表示模q的余数集合；选取n-1次的多项式函数f(x)＝b_n-1x^n-1+...+b₁x+a，系数b₁,...,b_n-1,a都分别随机选自集合Z_q；Ω为签名的身份属性集合，令属性集元素个数|Ω|＝n，Ω中的身份元素皆用Z_q中的整数表示；

步骤A-3，选择随机数r₁,...,r_n∈Z_q；

步骤B，预处理计算；

验证者选取元素θ∈Ω，计算：

${\widehat{\mathrm{\σ}}}_0=\[{\mathrm{\Π}}_{i\∈\mathrm{\Ω},i\≠\mathrm{\θ}}(g_2^{f\left(i\right)}{H}_1{\left(i\right)}^{r_i}{)}^{{\mathrm{\Δ}}_{i,\mathrm{\Ω}}\left(0\right)}\]\·{\mathrm{\σ}}_0,$

${\widehat{\mathrm{\σ}}}_i=(g^{r_i}{)}^{{\mathrm{\Δ}}_{i,\mathrm{\Ω}}\left(0\right)}\·{\mathrm{\σ}}_i,i\∈\mathrm{\Ω}$

其中，和分别表示签名值分量σ₀和σ_i处理后的值；∏_j∈Ω,j≠i(·)表示所有下标j在集合Ω中但不等于i的项连乘；H₁(.)是映射到群的哈希函数；g,g₂都是群中的生成元，是公钥参数；

验证者将处理过的签名发送给云服务器；

步骤C，云服务器计算；

云服务器收到处理过的伪签名后，计算：

其中，e为双线性配对运算；g为群的生成元；H₂(.)是映射到群的哈希函数；||表示两个符号串串联；M为签名消息；为签名谓词；g₁,g₂,e(g₁,g₂)为公钥参数；

将Z发送给验证者；

步骤D，轻量级验证；

验证者接收到Z后，计算：

V＝e(g,g₂)^a

$W=e{\left(\right(g_2^{f\left(\mathrm{\θ}\right)}{H}_1{\left(\mathrm{\θ}\right)}^{r_{\mathrm{\θ}}})}^{{\mathrm{\Δ}}_{\mathrm{\θ},\mathrm{\Ω}}\left(0\right)},g)$

验证Z·W＝V·e(g₁,g₂)；如果等式Z·W＝V·e(g₁,g₂)成立，则验证通过；如果Z·W＝V·e(g₁,g₂)不成立，则签名非法；

其中，∏_{j∈Ω,j≠θ}(·)表示所有下标j在集合Ω中但不等于θ的项连乘；g,g₁,g₂,e(g₁,g₂)为公钥参数。

本发明的有益效果：本发明提出了属性基签名的云服务器辅助验证方法。所述方法中，验证者事先选择随机整数为秘密信息，并将其利用拉格朗日插值公式部分地隐藏在原签名值中，并将处理后的签名值发送给云服务器；云服务器收到处理后的伪签名，执行大部分的双线性配对运算，并将处理后的中间结果返回给验证者；验证者收到中间结果后，利用先前所选择的的秘密信息，完成最终的轻量级验证。本发明方法验证者只需执行2次配对运算，节约了验证者的计算量；解决了不可信云服务器的单独欺骗以及不可信云服务器和签名者合谋攻击的问题。

具体实施方式

下面结合具体实施例，进一步具体说明本发明提出的属性基签名的云服务器辅助验证方法。

本发明所设计的属性基签名的云服务器辅助验证方法，适用于签名长度和属性集合成线性关系的签名方法，例如JinLi等人在ASIACCS2010上提出的属性基签名方法。Li属性基签名方案的变体如下：

（1）系统参数建立：首先将用户属性定义为Z_q上的元素，其中q为群的阶，Z_q表示模q的余数集合；定义d-1个元素的虚拟属性集合和一个缺省属性α∈Z_q，其中是属性集合名，α为单个属性元素。然后选择群的生成元g和随机数λ，计算g₁＝g^λ；随机选择群中的元素g₂，计算e(g₁,g₂)＝Φ，其中e为双线性配对运算，Φ为e(g₁,g₂)的计算值，再选择2个映射到群上的哈希函数H₁,H₂。最后输出系统公钥参数pk＝(g,g₁,g₂,d,Φ,H₁,H₂)和系统私钥参数sk＝λ。群是一个具有素数阶q的乘法循环群。

（2）用户私钥生成：假设用户的属性集合是Ω，对其中的缺省属性为α∈Z_q，计算和其中随机选择r_α∈Z_q，则用户的私钥为SK＝(d_α0,d_α1)，其中d_α0和d_α1私钥二元组的第一分量和第二分量。

（3）签名：如果签名属性集合Ω^*∩Ω≥k，则谓词＝1，其中k是谓词中的阈值。签名者可以基于签名属性集合Ω^*对任意消息M签名。首先选择k个元素的属性集合然后选择虚拟属性集合并且其中Ω′,Ω^*,Ω,皆为属性集合名，表示属性集合中元素的个数。接下来选择n+d-k个随机数s_i,其中这里|Ω^*|＝n。最后随机选择s,s_α∈Z_q，计算

${\mathrm{\σ}}_{\mathrm{\α}}=d_{\mathrm{\α}1}\·g^{s_{\mathrm{\α}}},{\mathrm{\σ}}_1=g^s$

输出最终签名其中，H₁(.),H₂(.)分别是映射到群的哈希函数；||表示两个符号串串联；·表示所有下标i在集合Ω^*∪Ω′中的项连乘；σ₀为签名值的第一分量；σ₁为签名值的第二分量；表示下标i在集合Ω^*∪Ω′∪{α}中的所有σ_i的集合，为签名值的第三分量；

（4）签名的验证：收到签名后，验证者计算并验证下列等式是否成立：

判断签名是否合法，其中表示等式是否成立。

在Li属性基签名验证中，验证者需要执行|Ω^*∪Ω′∪{α}|+2次配对运算，其中，|Ω^*∪Ω′∪{α}|表示集合Ω^*∪Ω′∪{α}的元素个数。Li等人随后提出了一种服务器辅助验证方案，即验证者随机选择t∈Z_q，计算σ₀′＝g^t·σ₀，将发送给服务器，服务器计算

将Λ返回，验证者验证其中Λ为服务器计算的中间结果。但是他们的服务器辅助验证方案不能抵抗合谋攻击，当服务器和签名者合谋，服务器可以知道原签名由σ₀和σ₀′可计算得g^t，从而获知了e(g,g)^t·Φ。以后，即使是不合法的签名，服务器也能返回正确的Λ，让验证者通过。这会造成严重的安全问题。

如果使用本发明方案，则验证者和云服务器执行如下步骤：

（1）参数选择：验证者收到签名后，随机选择整数a∈Z_q，其中q为群的阶。令属性集|Ω^*∪Ω′∪{α}|＝η，选取η-1次的多项式f(x)，其中f(0)＝a。再选择随机数r₁,,r_η∈Z_q

（2）预处理计算：验证者选取特殊元素θ∈Ω^*∪Ω′∪{α}，计算

${\widehat{\mathrm{\σ}}}_0=\[{\mathrm{\Π}}_{i\∈{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{\mathrm{\α}\right\},i\≠\mathrm{\θ}}(g_2^{f\left(i\right)}{H}_1{\left(i\right)}^{r_i}{)}^{{\mathrm{\Δ}}_{i,{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\}}\left(0\right)}\]\·{\mathrm{\σ}}_0,$

${\widehat{\mathrm{\σ}}}_i=(g^{r_i}{)}^{{\mathrm{\Δ}}_{i,{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{\mathrm{\α}\right\}}\left(0\right)}\·{\mathrm{\σ}}_i,i\∈\mathrm{\Ω}$

验证者将处理过的签名发送给云服务器。其中和表示处理后的签名值分量； ${\mathrm{\Δ}}_{i,{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\}}\left(0\right)={\mathrm{\Π}}_{j\∈{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\},j\≠1}\frac{-j}{i-j};$ ·表示所有下标i在集合Ω^*∪Ω′∪{α}中但不等于θ的项连乘；H₁(.)是映射到群的哈希函数；g,g₂都是群中的元素，是公钥参数；

（3）云服务器计算：云服务器收到处理过的“伪”签名后，计算并将Z发送给验证者。其中，e为双线性配对运算；g为群的生成元，是公钥参数；H₂(.)是映射到群的哈希函数；||表示两个符号串串联；M为签名消息；为签名谓词；g₁,g₂,e(g₁,g₂)为公钥参数；

（4）轻量级验证计算：验证者计算e(g,g₂)^a＝V，和 $e((g_2^{f\left(\mathrm{\θ}\right)}{H}_1{\left(\mathrm{\θ}\right)}^{\mathrm{r\θ}}{)}^{{\mathrm{\Δ}}_{\mathrm{\θ},{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\}}\left(0\right)},g)=W$ 和并验证如果等式成立，则验证通过，否则签名非法。其中，a为步骤1中验证者所选择的的随机数，即为η-1次多项式f(x)的常数项； ${\mathrm{\Δ}}_{\mathrm{\θ},{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\}}\left(0\right)={\mathrm{\Π}}_{j\∈{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\},j\≠\mathrm{\θ}}\frac{-j}{\mathrm{\θ}-j};$ g,g₁,g₂,Φ为公钥参数；表示判断等式是否成立；V,W是双线性配对计算的中间结果。

以上交互过程面临的攻击主要有云服务器的单独欺骗和合谋欺骗：

（1）验证者事先选择整数a∈Z_q，并将其利用拉格朗日插值公式隐藏在签名中，即

${\widehat{\mathrm{\σ}}}_0=\[{\mathrm{\Π}}_{i\∈{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\},i\≠\mathrm{\θ}}(g_2^{f\left(i\right)}{H}_1{\left(i\right)}^{r_i}{)}^{{\mathrm{\Δ}}_{i,{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\}}\left(0\right)}\]\·{\mathrm{\σ}}_0,$ 和 ${\widehat{\mathrm{\σ}}}_i={\left(g^{r_i}\right)}^{{\mathrm{\Δ}}_{i,{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\}}\left(0\right)}\·{\mathrm{\σ}}_{i,}$ i∈Ω云服务器收到经过处理后的签名由于对随机数r₁,,r_η∈Z_q一无所知，所以，它不能从中获知a和e(g,g₂)^a，从而使一个非法签名验证通过。因此，不可信云服务器的单独欺骗是不可行的。

（2）假如云服务器和签名者合谋，它不仅收到验证者处理后的签名甚至知道原签名则云服务器可获取中间值

$\mathrm{\μ}={\mathrm{\Π}}_{i\∈{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\},i\≠\mathrm{\θ}}(g_2^{f\left(i\right)}{H}_1{\left(i\right)}^{r_i}{)}^{{\mathrm{\Δ}}_{i,{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{a\right\}}\left(0\right)}$ 和 $v_i={\left(g^{r_i}\right)}^{{\mathrm{\Δ}}_{i,{\mathrm{\Ω}}^{*}\∪{\mathrm{\Ω}}^{\′}\∪\left\{\mathrm{\α}\right\}}\left(0\right)},$

但是μ缺少θ的对应项由拉格朗日插值公式的条件，云服务器依然不能从μ和ν_i中重构e(g,g₂)^a，从而使得一个非法签名通过。所以云服务器和恶意签名者的合谋欺骗也是不能成功的。

Claims (1)

1.属性基签名的云服务器辅助验证方法，其特征在于，包括如下步骤：

步骤A，参数选择；

步骤A-1，验证者接收签名(σ₀,σ₁,{σ_i}_i∈Ω)，

其中Ω为签名的身份属性集合；σ₀为签名值的第一分量；σ₁为签名值的第二分量；{σ_i}_i∈Ω表示下标i在集合Ω中的所有σ_i的集合，为签名值的第三分量；σ_i为签名值的第i个分量；

步骤A-2，随机选择整数a∈Z_q，

其中q为群的阶，群是具有素数阶q的乘法循环群；Z_q表示模q的余数集合；选取n-1次的多项式函数f(x)＝b_n-1x^n-1+…+b₁x+a，系数b₁,...,b_n-1,a分别随机选自集合Z_q；Ω为签名的身份属性集合，令属性集元素个数|Ω|＝n，Ω中的身份元素皆用Z_q中的整数表示；

步骤A-3，选择随机数r₁,...,r_n∈Z_q；

步骤B，预处理计算；

验证者选取元素θ∈Ω，计算：

${\widehat{\mathrm{\σ}}}_0=\[{\Π}_{i\∈\mathrm{\Ω},i\≠\mathrm{\θ}}{\left(g_2^{f\left(i\right)}{H}_1{\left(i\right)}^{r_i}\right)}^{{\mathrm{\Δ}}_{i,\mathrm{\Ω}}\left(0\right)}\]\·{\mathrm{\σ}}_0,$

${\widehat{\mathrm{\σ}}}_i={\left(g^{r_i}\right)}^{{\mathrm{\Δ}}_{i,\mathrm{\Ω}}\left(0\right)}\·{\mathrm{\σ}}_i,i\∈\mathrm{\Ω}$

其中，和分别表示签名值分量σ₀和σ_i处理后的值；∏_j∈Ω,j≠i(·)表示所有下标j在集合Ω中但不等于i的项连乘；H₁(.)是映射到群的哈希函数；g,g₂都是群中的生成元，是公钥参数；

验证者将处理过的伪签名发送给云服务器；

步骤C，云服务器计算；

云服务器收到处理过的伪签名后，计算：

其中，e为双线性配对运算；g为群的生成元；H₂(.)是映射到群的哈希函数；||表示两个符号串串联；M为签名消息；Υ为签名谓词；g₁,g₂,e(g₁,g₂)为公钥参数；

将Z发送给验证者；

步骤D，轻量级验证；

验证者接收到Z后，计算：

V＝e(g,g₂)^a

$W=e({\left(g_2^{f\left(\mathrm{\θ}\right)}{H}_1{\left(\mathrm{\θ}\right)}^{r_{\mathrm{\θ}}}\right)}^{{\mathrm{\Δ}}_{\mathrm{\θ},\mathrm{\Ω}}\left(0\right)},g)$

验证Z·W＝V·e(g₁,g₂)；如果等式Z·W＝V·e(g₁,g₂)成立，则验证通过；如果Z·W＝V·e(g₁,g₂)不成立，则签名非法；

其中，∏_{j∈Ω,j≠θ}(·)表示所有下标j在集合Ω中但不等于θ的项连乘；g,g₁,g₂,e(g₁,g₂)为公钥参数。