黃旭霞 溫雅敏

(廣東財(cái)經(jīng)大學(xué)統(tǒng)計(jì)與數(shù)學(xué)學(xué)院 廣東廣州 510320)

Balfanz 等人[1]在2003年首次構(gòu)造了可以隱藏組織信息的秘密握手協(xié)議，基本功能是使得同一個(gè)機(jī)構(gòu)的不同用戶間能通過執(zhí)行協(xié)議實(shí)現(xiàn)匿名地雙向認(rèn)證和秘密通信。這類雙向匿名認(rèn)證協(xié)議最典型的應(yīng)用場景是兩個(gè)探員間的秘密交互和認(rèn)證，如果聯(lián)邦調(diào)查局(FBI)的一個(gè)探員Alice嘗試借助互聯(lián)網(wǎng)與另一個(gè)FBI探員(如Bob)取得聯(lián)系。Alice在暴露她自己的組織(FBI)信息之前需要確信另一方Bob也是FBI簽發(fā)的合法探員。對于Bob而言，他也必須確認(rèn)Alice的FBI身份才能進(jìn)一步與之秘密通信。FBI探員間的交互認(rèn)證必須保證是匿名和機(jī)密的，他們的FBI機(jī)構(gòu)信息應(yīng)具備高機(jī)密級(jí)別，不允許被外部用戶識(shí)別。在當(dāng)今大數(shù)據(jù)和云計(jì)算環(huán)境下推廣的電子商務(wù)、社交網(wǎng)絡(luò)和車載網(wǎng)絡(luò)等應(yīng)用服務(wù)系統(tǒng)，對用戶/企業(yè)的敏感信息提出了更高的隱私保護(hù)要求，因此，對組織信息實(shí)施隱私保護(hù)的雙向匿名認(rèn)證協(xié)議(又可稱為秘密握手方案)，是網(wǎng)絡(luò)應(yīng)用安全中重要的密碼技術(shù)之一。

為了提高計(jì)算效率，后繼研究者基于不同數(shù)學(xué)工具提出了一系列新的研究成果，主要分為基于偽名證書實(shí)現(xiàn)的可關(guān)聯(lián)的方案[2-4]以及基于可重用證書的不可關(guān)聯(lián)方案[5-17]兩大類。Castelluccia[2]等人基于“CA-不經(jīng)意公鑰加密”構(gòu)建了一個(gè)效率較高的秘密握手方案。Zhou[3]等人隨后又提出了一個(gè)優(yōu)化的秘密握手方案?；赗SA困難性假設(shè)，Vergnaud進(jìn)一步設(shè)計(jì)了幾個(gè)秘密握手方案[4]。上述研究成果都有相同的特點(diǎn)，即用戶加入到某一個(gè)組織中時(shí)都是從群管理中心(group authority，GA)那獲得偽名及對應(yīng)的可關(guān)聯(lián)的偽名證書。第一個(gè)基于可重用的證書的秘密握手方案是由Xu和Yung[5]設(shè)計(jì)的，限定群證書可使用k次來支持不可關(guān)聯(lián)特性。除了Xu和Yung的方案，可重用證書使用k次的方案近些年的研究成果較少，Tian等人在2017年ACISP國際會(huì)議上提出一個(gè)隱私保護(hù)的k次可認(rèn)證的秘密握手方案[6]，通過限定可重用證書使用次數(shù)來防止組織內(nèi)部用戶惡意攻擊?；跇?biāo)準(zhǔn)模型下的身份加密方案，Ateniese等人提出了第一個(gè)支持動(dòng)態(tài)和模糊匹配的秘密握手方案[7]。該方案也允許用戶重復(fù)使用群證書來實(shí)現(xiàn)不可關(guān)聯(lián)，但是這個(gè)方案類似于群密鑰協(xié)商協(xié)議，具有相同組織名稱和角色的用戶看作是一個(gè)實(shí)體，對單獨(dú)的用戶個(gè)體無法區(qū)分。考慮多個(gè)不同獨(dú)立組織存在的應(yīng)用環(huán)境，溫雅敏等人近幾年陸續(xù)提出了幾個(gè)有效的支持動(dòng)態(tài)匹配或模糊匹配策略的方案[8-11]以及完全不可關(guān)聯(lián)秘密握手方案[12-13]，彌補(bǔ)了Ateniese等人方案的一些不足。通過可重用證書，可實(shí)現(xiàn)效率較高的協(xié)議達(dá)到完全不可關(guān)聯(lián)性，用戶對自身的隱私信息保護(hù)級(jí)別較高的應(yīng)用可采用此協(xié)議實(shí)現(xiàn)。

1預(yù)備知識(shí)

基于偽名證書的可關(guān)聯(lián)雙向匿名認(rèn)證協(xié)議可以實(shí)現(xiàn)群管理中心對群成員的集中管理，很容易實(shí)現(xiàn)群成員的撤銷和追蹤功能，因而較易推廣到通常假設(shè)存在可信的群管理中心的實(shí)際應(yīng)用中。考慮到可關(guān)聯(lián)的性質(zhì)存在一定的應(yīng)用需求，對基于偽名實(shí)現(xiàn)的可關(guān)聯(lián)秘密握手方案及其功能推廣的研究仍然是近幾年的研究熱點(diǎn)。因此，文章設(shè)計(jì)了一個(gè)新型的可關(guān)聯(lián)的雙向匿名認(rèn)證協(xié)議(linkable mutual anonymous authentication，以下簡稱為LMAA)。結(jié)合基于身份的消息恢復(fù)簽名(identity-based message recovery signature，ID-MRS)算法以及密鑰協(xié)商的技巧，LMAA協(xié)議實(shí)現(xiàn)起來更加簡單高效。在隨機(jī)預(yù)言機(jī)模型下，LMAA協(xié)議基于計(jì)算Diffie-Hellman問題(computational diffie-hellman problem，CDHP)[18]的困難性假設(shè)是可證明安全的。

1.1雙線性配對

假定存在素?cái)?shù)階q，G是階為q的一個(gè)橢圓曲線循環(huán)加法群。對于一個(gè)單向映射е：G×G→GT，規(guī)定當(dāng)且僅當(dāng)滿足下列條件時(shí)，即為一個(gè)雙線性對。

(1)雙線性性：任取一個(gè)屬于G的P， 且P為G的生成元，對于a,bZq，使得е(aP,bP)=е(P,P)ab恒成立。

(2)非退化性：е(P,P)≠1。即若有P生成G，則有е(P,P)生成GT。

(3)可計(jì)算性：任取u,vG，都能找到對應(yīng)的算法求得單向映射е(u,v)。

1.2復(fù)雜性假設(shè)

文章提出的可關(guān)聯(lián)的雙向匿名認(rèn)證協(xié)議的設(shè)計(jì)思路主要采用基于身份的消息恢復(fù)簽名方案ID-MRS[19]的方法，協(xié)議的安全性證明也將歸約于ID-MRS算法中的簽名不可偽造性，因此本節(jié)給出安全性證明中涉及到的困難性問題和復(fù)雜性假設(shè)。

(1)計(jì)算Diffie-Hellman問題 (CDHP)[18]。令G是素?cái)?shù)階為q的循環(huán)群，PG是G的一個(gè)生成元。給定(P,aP,bP)作為均勻分布的輸入，要求計(jì)算輸出 。

(2)CDH 假設(shè)。倘若沒有多項(xiàng)式時(shí)間算法實(shí)現(xiàn)以一定的概率解出計(jì)算Diffie-Hellman問題(CDHP)，它則為一個(gè)CDH 困難性假設(shè)。

1.3協(xié)議的定義和安全要求

根據(jù)文獻(xiàn)[1-2]給出的關(guān)于秘密握手的概念，雙向匿名認(rèn)證協(xié)議的定義模型可歸納為以下幾個(gè)算法：

(1)建立系統(tǒng)(setup)。選取安全參數(shù)κ并輸入后，輸出系統(tǒng)公開參數(shù)params，這個(gè)算法生成的系統(tǒng)參數(shù)將被后續(xù)創(chuàng)建的組織所使用。

(2)創(chuàng)建組織(creategroup)。為了創(chuàng)建一個(gè)組織G，群管理中心(group authority， GA)通過輸入公開參數(shù) ，運(yùn)行密鑰生成算法為該組織輸出群的公私鑰對 。

(3)加入成員(addmember)。這是由GA和用戶共同交互實(shí)現(xiàn)的一個(gè)多項(xiàng)式時(shí)間兩方協(xié)議，用戶通過該協(xié)議申請加入某一個(gè)組織。群管理中心首先對用戶的身份進(jìn)行查證，當(dāng)用戶符合進(jìn)入該組織的條件并認(rèn)證成功時(shí)，用戶會(huì)獲得GA簽發(fā)的群證書 ，并成為組織的正式合法成員。

(4)實(shí)現(xiàn)握手(handshake)。這個(gè)是雙向匿名認(rèn)證協(xié)議的主體算法。該協(xié)議由兩個(gè)交互認(rèn)證的用戶 執(zhí)行。A、B同時(shí)在系統(tǒng)中輸入各自的秘密信息以及組織的部分公開信息，輸入完成后，雙向匿名認(rèn)證協(xié)議會(huì)在各自終端進(jìn)行數(shù)據(jù)分析并根據(jù)用戶是否為一個(gè)組織而輸出“1” 或“0”。

(5)追蹤(tracemember)。該過程由GA或者其委托的追蹤機(jī)構(gòu)完成。提交某次秘密握手的執(zhí)行信息腳本并進(jìn)行追蹤，最后輸出提交的握手實(shí)例對應(yīng)的用戶信息。

(6)撤銷(removemember)。由群管理中心進(jìn)行管理和執(zhí)行。GA 為群組織維護(hù)一個(gè)用戶撤銷列表(revocation list， RL)，輸入當(dāng)前的撤銷列表和待撤銷的用戶信息U，撤銷算法將輸出一個(gè)包含最新撤銷記錄的撤銷列表。

因此，一個(gè)安全的可關(guān)聯(lián)雙向匿名認(rèn)證協(xié)議需要達(dá)到的幾個(gè)基本安全要求。

(1) 完全性。匿名握手的A、B雙方，若屬于同一個(gè)組織，都可以認(rèn)證成功。

(3) 無法偵測性(detector resistance， DR)。其他外部用戶(包括攻擊者)無法通過與一個(gè)群成員實(shí)施雙向匿名認(rèn)證協(xié)議而偵測到群組織的信息。

2新型可關(guān)聯(lián)雙向匿名認(rèn)證協(xié)議設(shè)計(jì)

文章利用消息恢復(fù)的特性和秘密握手協(xié)議的密鑰協(xié)商特征，給出一個(gè)在CDHP困難性假設(shè)下設(shè)計(jì)的新型安全的可關(guān)聯(lián)雙向匿名認(rèn)證協(xié)議(linkable mutual anonymous authentication， LMAA)，該協(xié)議是基于偽名證書而實(shí)現(xiàn)。該協(xié)議具體構(gòu)造過程如下：

2.1建立系統(tǒng)

選取安全參數(shù)κ輸入后，GA執(zhí)行Setup(1κ)→params=(q,G,GT,P,e,H0,H1)。其中，G是素?cái)?shù)階為q的橢圓曲線加法循環(huán)群，P是群G的一個(gè)生成元。

2.2創(chuàng)建組織

2.3加入成員

現(xiàn)有用戶U欲加入組織成為組織的合法成員， GA隨機(jī)為該用戶分配一個(gè)偽名IDU{0,1}*，通過計(jì)算匹配出QIDU=H0(IDU)作為該用戶的公鑰，最后GA 使用自己的群私鑰計(jì)算出用戶 的合法群證書credU=SQIDU。

2.4實(shí)現(xiàn)握手

假定A和B是從屬于組織GA和GB的兩個(gè)秘密通信用戶，他們分別持有偽名IDA和IDB，以及對應(yīng)的群證書credA和credB。具體的握手過程如下：

選用于2016年1月至12月期間在本院接受糖尿病治療的100例患者作為研究對象進(jìn)行分析,并根據(jù)其實(shí)施品管圈活動(dòng)前后,將其平均分成兩組,即觀察組(實(shí)施品管圈活動(dòng)后)與對照組(未實(shí)施實(shí)施品管圈活動(dòng))。在觀察組中,患者中,男性27例,女性23例;年齡55~70歲不等,平均年齡68.25±1.05歲,病程1~10年不等,平均年齡5.68±0.67年。在對照組患者中,男性26例,女性24例;年齡56~71歲不等,平均年齡68.52±1.20歲;病程1~11年不等,平均年齡5.57±0.54年。對比兩組的年齡、性別等臨床資料,其差異甚小,存在統(tǒng)計(jì)學(xué)意義(P>0.05),具有可比性。

(1)A→B:{IDA,(rA,SA)}

(b) 然后計(jì)算rA=mA·e(P,P)kA，以及SA=rA·credA+kA·P。

(c) 最后A把IDA以及(rA,SA)發(fā)送給B。

(rA,SA)是A對隨機(jī)生成消息mA的消息恢復(fù)簽名，也可以理解為是對其擁有合法群證書的知識(shí)證明。顯然，只有那些持有正確群證書的用戶才能提供這個(gè)正確的可恢復(fù)消息的簽名。

(2)B→A:{IDB,(rB,SB),VB}

(b) 同理，B也生成對消息mB的簽名(rB,SB)，其中rB=mB·e(P,P)kB，SA=rA·credA+kA·P。

2.5追蹤

當(dāng)糾紛發(fā)生時(shí)，群管理者中心GA 可以從一個(gè)秘密握手實(shí)例的副本中獲取用戶使用的偽名IDA和IDB。通過在管理中心存儲(chǔ)的用戶列表中查詢即可以追蹤到對應(yīng)于偽名的群成員的真實(shí)身份，因此GA 可以識(shí)別出哪些用戶惡意地執(zhí)行了雙向匿名認(rèn)證行為。

2.6撤銷

GA 維護(hù)并負(fù)責(zé)定期更新組織當(dāng)前的用戶撤銷列表RL。如果追蹤到一個(gè)惡意的群成員或者是群成員主動(dòng)申請退出該組織，則GA首先從組織的用戶列表中查詢到這個(gè)成員，然后把這個(gè)成員的信息移入RL中，從而使得這個(gè)成員從該組織中撤銷。為了保證參與秘密握手協(xié)議的用戶是有效的合法成員，GA 通過認(rèn)證的秘密通信信道為他的有效的群成員發(fā)布一個(gè)警告通知，提醒有效的群成員不要和RL中的用戶進(jìn)行通信。

完全性：如果A和B來自于同一個(gè)機(jī)構(gòu)，那意味著他們的群公鑰是相等的，即gpkA=gpkB=sP。這使得A和B都可以用正確的群公鑰從接收到的簽名中恢復(fù)出對方的原始消息，具體可以通過以下公式驗(yàn)證：

B以類似的方式可以驗(yàn)證A返回的響應(yīng)值VA，協(xié)議雙方對各自返回的響應(yīng)值的驗(yàn)證都能通過，從而使得A和B執(zhí)行了一次成功的雙向匿名認(rèn)證協(xié)議。

3安全分析

協(xié)議安全性可以歸約為所運(yùn)用的基于身份的消息恢復(fù)簽名[19](ID-MRS)的安全性，即可歸約為ID-MRS 中對應(yīng)的困難問題。

定理基于CDHP困難假設(shè)，LMAA協(xié)議在隨機(jī)預(yù)言機(jī)模型下證明是安全的。

4結(jié)束語

文章提出了一個(gè)新型可關(guān)聯(lián)的雙向匿名認(rèn)證協(xié)議，核心思想是利用基于身份的消息恢復(fù)簽名及密鑰協(xié)商技術(shù)實(shí)現(xiàn)了有效設(shè)計(jì)，安全性也依賴于所運(yùn)用的基于身份的消息恢復(fù)簽名的安全性。根據(jù)CDHP 困難性假設(shè)，并在隨機(jī)預(yù)言機(jī)模型下簡要給出了新型設(shè)計(jì)協(xié)議的安全性分析。另外，可關(guān)聯(lián)的雙向匿名認(rèn)證協(xié)議可以通過一次性偽名證書的使用轉(zhuǎn)換為不可關(guān)聯(lián)的雙向匿名認(rèn)證協(xié)議，但是一次性偽名證書的使用需要耗費(fèi)群管理中心更多的存儲(chǔ)和通信開銷。而基于可重用證書來實(shí)現(xiàn)不可關(guān)聯(lián)性使得群管理中心無法有效地撤銷和追蹤組織內(nèi)部成員的一些惡意行為。因此，文章設(shè)計(jì)的新型可關(guān)聯(lián)雙向匿名認(rèn)證協(xié)議可以應(yīng)用于存在可信第三方管理中心的更貼近實(shí)際應(yīng)用的網(wǎng)絡(luò)認(rèn)證服務(wù)中。