全安全的属性基认证密钥交换协议

全安全的属性基认证密钥交换协议要:因在细粒度访问控制、定向广播等方面的广泛应用，基于属性的密码机制逐渐受到关注。以一个全安全的属性基加密(abe)机制为基本构件，结合naxos技巧，提出了一个全安全的属性基认证密钥交换协议，并利用可证明安全理论在基于属性的eck模型中进行了严格的形式化证明。相比已有的同类协议，提出的协议具有更高的安全性，并在提供丰富的属性认证策略的同时，减小了通信开销。:属性基加密；访问结构；密钥交换；abeck模型:tp309.2文献标志码:aabstract:attributebasedencryption(abe)schemehasbeendrawingattentionforhavingabroadapplicationintheareaoffinegrainedaccesscontrol,directedbroadcast,andsoon.combinedwithnaxostechnique,thispaperproposedafullysecureattributebasedauthenticatedkeyexchange(abake)protocolbasedonanabescheme,andgaveadetailedsecurityproofintheattributebasedeck(abeck)modelbyprovablesecuritytheory.comparedwithothersimilarprotocols,theproposedprotocolobtainsstrongersecurityandflexibleattributeauthenticationpolicy,whiledecreasingcommunicationscost.keywords:attributebasedencryption(abe);accessstructure;keyexchange;attributebasedeck(abeck)model0引言在开放网络环境中，认证密钥交换(authenticatedkeyexchange,ake)协议可以为参与通信的用户建立安全的会话密钥，保证所传递信息的机密性、完整性。但传统基于公钥的ake协议都通过用户身份实现认证，而在分布式环境中，身份泄露会损害到用户隐私。因此，有学者提出基于属性的ake(attributebasedake,abake)，使得用户通过自身属性集构造的认证策略便可实现对彼此的认证，然后建立会话密钥。2007年ateniese等［1］提出了一个基于属性的秘密握手机制，该机制可看作是abake协议的雏形，其所能处理的认证条件也仅限于匹配的属性数目是否超过某个预先设定的门限。wang等［2］提出了一个abake的变体，把用户属性看作用来进行认证的一种身份串，没有实现基于属性的认证策略。2010年birkett等［3］利用基于断言的签名机制提出一个三轮abake协议，但其安全性证明是在bellarerogaway模型中进行的，在短期密钥泄露的情况下是不安全的。基于waters［4］的一个密文策略属性基加密(ciphertextpolicyabe,cpabe)机制，yoneyama［5］提出了一个两轮abake协议，用线性秘密共享机制(linearsecretsharingscheme,lsss)设计访问结构，能够表达丰富的属性认证策略，并在基于属性的eck(attributebasedextendedcanettikrawczyk,abeck)模型中证明了其安全性，但其所基于的cpabe机制是选择安全的，因此该协议也是选择安全的，并且传输表示访问结构的lsss矩阵带来了较高的通信开销。本文以lekwo等［6］提出的一个cpabe机制为基本组件，结合naxos技巧［7］，设计了一个两轮全安全的abake协议，在abeck模型中证明是安全的，并利用布尔函数传输访问结构，显著地降低了通信代价。1预备知识1.1访问结构1访问结构［8］。假设在实体集合p={p1,p2,…,pn}上共享了一个秘密，能恢复该秘密的实体子集称为授权子集，而不能恢复该秘密的实体子集称之为非授权子集。所有授权子集构成的集族a因排版软件中无法显示word中的字体，所以用现在这个字体符合表达。，称为对该秘密的一个访问结构。一个访问结构称为单调的，是指幂集2p中所有包含授权子集的集合也是授权子集，即若a∈a,abp则b∈a。1.2线性秘密共享机制2lsss8］。一个实体集p上的秘密共享机制π在zn上是线性的，是指：1)所有实体的共享组成zn上的一个向量；2)存在一个l×n的π的共享生成矩阵m{1,2,…,l}到p的映射ρ，对于行向量v=(s,v2,…,vn)，其中s∈zn是要共享的秘密，vj∈zn,j=2,…,n是随机选取的，则mvts的l个共享组成的向量，其中共享(mvt)i属于实体ρ(i)。授权用户集之所以能重构共享秘密，是因为授权集中的所有用户对应着lsssmi，而i所对应的行向量集能线性生成目标向量，即存在{wi∈zn,i∈i}，使得∑i∈iwimi=(1,0,…,0)，从而∑i∈iwimivt=∑i∈i(wimi)vt=s。而对于非授权用户集，存在行向量w∈znn使得w(1,0,…,0)t=－1，并且wmti=0,i∈i。1.3困难性假设结合文献［4］中提出的dpbdhe(decisionalqparallelbilineardiffiehellmanexponent)假设和okamoto等［10］给出的gap类问题构造方法，本节给出gpbdhe(gapqparallelbilineardiffiehellmanexponent)假设的定义。对阶为n的循环群g和gt，以及双线性映射e:g×g→gt，首先定义函数pbdhe(v)=e(g,g)aq+1s向量v为：v=(g,gs,ga,…,gaq,gaq+2,…,ga2q,这个公式是否可以写为v=后面的这个式子?因现在的表达式不规范，缺少运算符号。后面的式子是否为其条件？是否可用“逗号”进行分隔？请明确。(gsbi,ga/bi,…,gaq/bi,g(aq+2/bi),…,g(a2q/bi))1≤i≤q,(gasbk/bj,…,gaqsbk/bj)1≤j,k≤q,k≠j)这个“jg之间是否应该有个逗号？请明确。”其中：a,s,b1,…,bq∈zn。再定义谕示函数dpbdhe(v,r∈gt)：若r=pbdhe(v)，则函数输出1；否则输出0。定义攻击者m在能访问喻示函数dpbdhe(,)的条件下计算出pbdhe(v)的优势为：advgpbdhe(m)=prmdpbdhe(,)(v)=pbdhe(v)］定义3gpbdhegpbdhe项式时间攻击者m，advgpbdhe(m)是可忽略的。2安全模型本章对eck模型［7］进行扩展，使之能适应abake协议的安全性分析，称扩展后的eck模型为abeck模型。每一个协议实体u都被视为概率多项式时间的图灵机，具有属性集su，并且每个实体可以并行地执行多个会话实例。若一个由a发起的与b之间的会话产生了消息m1,…,mn，则该会话被a标识为sid=(i,sa,sb,m1,…,mn)，被b标识为sid=(r,sb,sa,m1,…,mn)。一个会话是完成的，是指通信双方在会话中计算出了一个会话密钥。而一个完成会话(i,sa,sb,m1,…,mn)的匹配会话是(r,sb,sa,m1,…,mn)；反之亦然。攻击者模型攻击者m被视为控制了协议实体间所有通信的概率多项式时间的图灵机。攻击者可以进行下述形式的喻示询问。1)send(m)。攻击者通过发送消息m激活会话，并得到相应的输出消息。2)sessionreveal(sid)。若会话sid已完成，则返回给攻击者会话密钥，否则返回一个错误标识。3)ephemeralreveal(sid)。攻击者得到会话sid的短期密钥。4)staticreveal(su)。攻击者得到相应于属性集su的私钥。5)masterreveal系统的主密钥。6)establish(u,su)。该询问允许攻击者在系统中以u的身份用属性集su注册。对一个协议实体u，如果攻击者进行了establish(u,su)询问，则说它是不诚实实体；否则称其为诚实实体。定义4新鲜性。记sid*=(i,sa,sb,m1,…,mn)或者(r,sb,sa,m1,…,mn)是一个具有属性集sa的诚实实体a和具有属性集sb的诚实实体b之间的已完成会话，若sid*存在匹配会话，记作sid*sid*是新鲜的，是指下面的条件都不成立。1)攻击者进行了询问sessionreveal(sid*)，或者在sid*sessionreveal(sid*)。2)sid*①staticreveal(s)和ephemeralreveal(sid*)，其中s∈ab②staticreveal(s)和ephemeralreveveal(sid*)，其中s∈aa3)sid*①staticreveal(s)和ephemeralreveal(sid*)，其中s∈ab②staticreveal(s)，其中s∈aa其中，若攻击者进行masterrevealstaticreveal(s),s∈aastaticreveal(s),s∈ab安全性游戏初始时刻，攻击者被给予一个诚实协议实体集，并做任何上述询问。在游戏过程中，攻击者进行下述询问。test(sid*)：其中sid*是一个新鲜会话。接收到询问后，进行一次结果为b的抛币实验。若b=0则返回给攻击者会话sid*的密钥；否则返回一个与密钥等长的随机值。进行询问后游戏继续，直到攻击者输出一个比特b′作为对b的猜测。如果攻击者猜测正确，并且会话sid*仍然是新鲜的，则称攻击者赢得了安全性游戏。定义攻击者m在上述安全性游戏中的优势为：advabake(m)=prmwins12定义5abeck安全性。一个abake协议abeck模型下是安全的，是指下述条同时件成立：1)属性集满足彼此的访问结构，并完成了相应匹配会话的两个诚实协议实体，除了一个可忽略概率，最后计算出相同的会话密钥；2)对任一个多项式时间的攻击者m，advabake(m)是可忽略的。3协议描述本章给出基于lewko等［6］的全安全abe机制所构造的两轮全安全的abake协议，由系统建立阶段、私钥生成阶段和密钥交换阶段3个部分组成。1)系统建立阶段。给定安全参数k，选择阶为n=p1p2p3（三个不同素数）的循环群g和gt，以及双线性映射e:g×g→gt。随机选择α,a∈zn,g∈gp1hashh1:{0,1}*→gp1,h2:{0,1}*→zn,h3:{0,1}*→{0,1}k。令系统公钥为：n,g,ga,e(g,g)钥为：α以及gp3x3。2)私钥生成阶段。对于用户属性集su，随机选择t∈zn,r0,r′0,{ratt}att∈sugp3sku=〈ku=ggatr0,lu=gtr′0,kuatt=h1(att)trattatt∈su〉3)密钥交换阶段。①用户a推导一个用户b的属性集sb所能满足的访问结构，用布尔函数表示为fac－alsss((ma)la×n,ρa)，随机选择短期密钥1,…,n∈zn以及ri∈zn,1≤i≤la，并计算xj=h2(ska,j),1≤j≤n。然后计算短期公钥epka={x,ma}，其中：x=gx1,ma={ci=gaaixth1(ρa(i))ri,di=gri,1≤i≤la}。a将epka和fac－ab，并销毁xj(1≤j≤n)。②用户b推导一个a的属性集sa所能满足的访问结构，用布尔函数表示为fac－blsss((mb)lb×n,ρb)，随机选择短期密钥1,…,n∈zn以及δi∈zn,1≤i≤lb，并计算yj=h2(skb,j),1≤j≤n。然后计算短期公钥epkb={y,mb}，其中：y=gy1,mb={c′i=gabiyth1(ρb(i))i,d′i=gi1≤i≤lb}。b将epkb和fac－ba