摘 要：隱私保護技術(shù)主要有屬性基加密、同態(tài)加密、多方安全計算等。針對屬性基加密的訪問控制中雙線性映射耗時問題、同態(tài)加密難以非公開地驗證明文計算的結(jié)果問題以及多方安全計算需要可信第三方等問題，提出了一種基于屬性訪問策略的批量零知識身份認證方案。該方案是基于Aurora 協(xié)議提出的，具有良好的抗量子攻擊計算潛力；所提方案引入合成證明者，其作用是將各個用戶生成的證明合成一個證明以減輕證明者和驗證者計算開銷，且設(shè)計了找出未通過認證用戶的查找算法。最后對所提方案進行了安全分析、可行性分析并與其他方案進行了對比分析。經(jīng)過分析該方案中驗證者的時間復(fù)雜度可維持在O（n）。

關(guān)鍵詞：抗量子密碼； 屬性訪問策略； 零知識證明； 身份認證

中圖分類號：TP309.7文獻標(biāo)志碼：A

文章編號：1001-3695（2023）08-039-2487-06

doi：10.19734/j.issn.1001-3695.2022.10.0633

Batch zero-knowledge identity authentication scheme based onattribute access strategy

Zhou Yuwei， Xue Qingshui， Sun Chenxi， Ma Haifeng， Ju Xingzhong， Cui Moxiang

（School of Computer Science amp; Information Engineering， Shanghai Institute of Technology， Shanghai 201418， China）

Abstract：Privacy protection technologies mainly include attribute-based encryption， homomorphic encryption， multi-party security computing， etc. Among them， in the access control of attribute-based encryption， bilinear mapping is time-consuming， homomorphic encryption is difficult to verify the results of plaintext computation in a non-public way， and multi-party security computation requires a trusted third party. To solve these problems， this paper proposed a batch zero-knowledge identity authentication scheme based on attribute access strategy. This scheme was based on the Aurora protocol and had good computing potential against quantum attacks. The proposed scheme introduced a synthetic prover， which synthesized the proof generated by each user to a proof， to reduce the computational cost of the prover and the verifier， and designed a search algorithm to find out unauthenticated users. Finally， this paper carried out safety analysis， feasibility analysis， and comparative analysis with other schemes. After analysis， the verification time complexity of this scheme can be maintained in O（n）.

Key words：post-quantum cryptography; attribute access strategy; zero-knowledge proof; identification

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全越來越受到人們的關(guān)注，尤其是身份認證技術(shù)在網(wǎng)絡(luò)空間中的使用，用戶期待認證通過的同時又需保證個人信息不被泄露，因而，對身份認證技術(shù)的要求越來越高。身份認證方案是證明者與驗證者之間的一種交互過程，證明者向驗證者證明其合法身份。身份認證方案的概念由Fiat等人［1］提出，該方案需要具備一個可信中心來為用戶生成私鑰以及驗證用戶身份的合法性。在可信中心的基礎(chǔ)上，傳統(tǒng)身份認證基于證書認證的方式實現(xiàn)用戶的身份認證，或是基于傳統(tǒng)密碼學(xué)概念，將身份信息作為公鑰，其共同點在于皆需一個可信中心管理證書或生成用戶密鑰。可信中心存在權(quán)力過于集中的問題，例如Shamir［2］提出了基于身份的密碼方案概念；Chin等人［3］提出了一種在標(biāo)準(zhǔn)模型下可證明安全的身份認證方案。隨著Shamir［4］秘密分享技術(shù)和基于屬性加密技術(shù)［5，6］的發(fā)展，一個可信中心也由此演變?yōu)槎鄠€可信中心或授權(quán)中心的分布式方案，漸漸形成弱中心化方案，例如Chase［7］提出了多授權(quán)中心屬性加密方案；Lin等人［8］提出了一種不依賴任何可信中心的門限多授權(quán)中心屬性加密方案；唐飛等人［9］基于屬性身份認證方案和分布式密鑰生成技術(shù)［10］提出了基于屬性的多授權(quán)中心身份認證方案，其驗證方案采用了雙線性映射配對，加大了驗證者的計算復(fù)雜度。

區(qū)塊鏈技術(shù)［11，12］和零知識證明［13］也取得了很大的進展。研究人員對其安全性的關(guān)注不僅局限于傳統(tǒng)的數(shù)論困難問題，如大整數(shù)因子分解和有限域上的離散對數(shù)問題，但其不具備抗量子攻擊，其中使用以上問題的典型協(xié)議有FS［14］協(xié)議、GQ［15］協(xié)議以及 Schnorr［16］協(xié)議等?，F(xiàn)今隨著量子計算機概念的提出，密碼學(xué)領(lǐng)域越來越重視抗量子計算密碼的研究與探索，一些國家或組織正在為量子時代的到來做準(zhǔn)備，一定程度上推動了量子密碼的發(fā)展［17］。

目前，抗量子密碼學(xué)主要基于格問題、編碼、散列等方向進行研究［18，19］。Stern［20］基于 Syndrome decoding問題構(gòu)造了抗量子身份認證方案；Ames等人［21］提出的Ligero協(xié)議以及Ben-Sasson等人［22］提出的Aurora協(xié)議都是基于散列抗量子攻擊的；王后珍等人［23］提出了基于矩陣填充問題的零知識身份認證。針對用戶隱私易泄露以及零知識證明在現(xiàn)實中計算量大、在大量用戶同時注冊系統(tǒng)時對大量用戶重復(fù)驗證所產(chǎn)生的耗時問題，本文基于Aurora協(xié)議提出了一種基于屬性訪問策略的批量零知識身份認證方案，目前批量驗證零知識證明的技術(shù)為RSA累加器［24］，本文則是引入合成證明者。本文主要貢獻如下：

a）定義了基于屬性訪問策略的批量零知識身份認證方案，對用戶信息采用分布式管理，只要有一個誠實的管理中心，用戶的信息就不會泄露；并且利用Aurora協(xié)議隱藏屬性訪問結(jié)構(gòu)，用戶則無法從其他用戶處獲取有效屬性從而通過身份認證，也就防止了用戶之間的合謀攻擊。b）引入合成證明者，減少了驗證者大量重復(fù)驗證用戶合法身份計算時間。該合成過程是通過控制所有用戶的屬性數(shù)量相同，屬性訪問結(jié)構(gòu)可以不同，利用Aurora協(xié)議中的Sumcheck思想實現(xiàn)的，則驗證者只需驗證一個等式即可，將驗證者的挑戰(zhàn)值映射到屬性的索引，通過保持索引的一致性來驗證所有用戶該索引對應(yīng)的屬性的正確性。在批量驗證之后，給出了找出不能通過身份認證的用戶算法。最后給出了本文方案與其他方案的對比分析，指出了本文方案所具備的優(yōu)點以及其安全性分析。

1 預(yù)備知識

1.1 Aurora協(xié)議

Aurora協(xié)議是使用透明中心（參數(shù)公開）的零知識證明協(xié)議，將要證明的問題規(guī)約到算術(shù)電路的NP完全問題，也就是rank-1約束滿足（R1CS），驗證者驗證約束是否成立，若成立則通過驗證；反之則不通過。在向驗證者傳輸過程中，證明者對要驗證的數(shù)據(jù)使用里德—所羅門碼（Reed-Solomon code）［25］加密數(shù)據(jù)。驗證者想要多次發(fā)起挑戰(zhàn)驗證數(shù)據(jù)時，使用交互式預(yù)言證明，證明者無須多次為挑戰(zhàn)值發(fā)送證明。

1.1.1 rank-1約束滿足（R1CS）

1.1.2 里德—所羅門碼（Reed-Solomon code）

1.1.3 交互式預(yù)言證明（interactive oracle proof）

1.2 零知識證明

2 方案定義

3 安全模型

4 方案實施

4.1 方案流程

4.2 正確性分析

5 方案分析

5.1 安全性分析

5.2 性能分析

5.2.1 效率分析

5.2.2 仿真分析

5.3 方案對比分析

6 結(jié)束語

本文從方案定義、安全模型、方案分析等方面對所提方案進行了闡述，定義了基于屬性訪問策略的批量零知識身份認證的概念，并設(shè)計了具體方案，分析了所提方案的安全性、不可仿冒性和匿名性，對其效率和可行性也進行了分析，且該方案去中心化，具備抗用戶之間的合謀攻擊。該方案可應(yīng)用在電子投票、醫(yī)療等領(lǐng)域，當(dāng)有大量用戶參與投票，注冊進行身份驗證時，可節(jié)省驗證者時間。另外，該方案具備抗量子攻擊潛力。本文的不足之處在于，驗證者對所有參與的用戶均是隨機選用的同一挑戰(zhàn)值，未來的方向包括驗證者可對不同用戶選取不同的挑戰(zhàn)值并保持驗證時間不變。

參考文獻：

［1］Fiat A， Shamir A. How to prove yourself： practical solutions to identification and signature problems［C］//Proc of Conference on Theory and Application of Cryptographic Techniques. Berlin： Springer， 1986： 186-194.

［2］Shamir A. Identity-based cryptosystems and signature schemes［C］//Proc of Conference on Theory and Application of Cryptographic Techniques. Berlin： Springer， 1984： 47-53.

［3］Chin J J， Heng S H， Goi B M. An efficient and provable secure identity-based identification scheme in the standard model［C］//Proc of the 5th European PKI Workshop： Theory and Practice. Berlin： Springer， 2008： 60-73.

［4］Shamir A. How to share a secret［J］. Communications of the ACM， 1979， 22（11）： 612-613.

［5］Goval V， Pandey O， Sahai A， et al. Attribute-based encryption for fine-grained access control of encrypted data［C］//Proc of the 13th ACM Conference on Computer and Communications Security. New York： ACM Press， 2006： 89-98.

［6］Bethencourt J， Sahai A， Waters B. Cipher-text-policy attribute-based encryption［C］//Proc of IEEE Symposium on Security and Privacy. Washington DC： IEEE Computer Society， 2007： 321-334.

［7］Chase M. Multi-authority attribute based encryption［C］//Proc of the 4th Theory of Cryptography Conference. Berlin： Springer， 2007： 515-534.

［8］Lin Huang， Cao Zhenfu， Liang Xiaohui， et al. Secure threshold multi authority attribute based encryption without a central authority［J］. Information Sciences， 2010，180（13）： 2618-2632.

［9］唐飛， 包佳立， 黃永洪， 等. 基于屬性的多授權(quán)中心身份認證方案［J］. 通信學(xué)報， 2021，42（3）： 220-228. （Tang Fei， Bao Jiali， Huang Yonghong， et al. Multi-authority attribute-based identification scheme［J］. Journal on Communications， 2021，42（3）： 220-228.）

［10］Anada H， Arita S， Handa S， et al. Attribute-based identification： definitions and efficient constructions［C］//Proc of the 18th Australasian Conference on Information Security and Privacy. Berlin： Sprin-ger， 2013： 168-186.

［11］Huang Yiting， Yu Yong， Li Huilin， et al. Blockchain-based conti-nuous data integrity checking protocol with zero-knowledge privacy protection［J］. Digital Communications and Networks， 2022，8（5）： 604-613.

［12］Yu Yong， Zhao Yanqi， Li Yannan， et al. Blockchain-based anonymous authentication with selective revocation for smart industrial applications［J］. IEEE Trans on Industrial Informatics， 2019，16（5）： 3290-3300.

［13］Goldwasser S， Micali S， Rackoff C. The knowledge complexity of interactive proof systems［J］. SIAM Journal on Computing， 1989，18（1）： 186-208.

［14］Feige U， Fiat A， Shamir A. Zero-knowledge proofs of identity［J］. Journal of Cryptology， 1988，1（2）： 77-94.

［15］Guillou L C， Quisquater J J. A “paradoxical”indentity-based signature scheme resulting from zero-knowledge［C］//Proc of Conference on Theory and Application of Cryptography. New York： Springer， 1990： 216-231.

［16］Schnorr C P. Efficient signature generation by smart cards［J］. Journal of Cryptology， 1991，4（1）： 161-174.

［17］Alagic G， Alperinsheriff J， Apon D， et al. Status report on the first round of the NIST post-quantum cryptography standardization process， NISTIR-8240［R/OL］. （2019-01-30）［2023-01-29］. https：//doi. org/10. 6028/NIST. IR. 8240.

［18］Beullens W， Danvers J P， Hulsing A T， et al. Post-quantum cryptography： current state and quantum mitigation［EB/OL］. （2021-02-09）. https：//doi.org/10.6028/NIST.IR.8240.

［19］Fritzmann T， Van B M， Basu R D， et al. Masked accelerators and instruction set extensions for post-quantum cryptography［J］. IACR Trans on Cryptographic Hardware and Embedded Systems， 2022， 2022（1）： 414-460.

［20］Stern J. A new identification scheme based on syndrome decoding［C］//Proc of the 13th Annual International Cryptology Conference. Berlin： Springer， 1994： 13-21.

［21］Ames S， Hazay C， Ishai Y， et al. Ligero： lightweight sublinear arguments without a trusted setup［C］//Proc of ACM SIGSAC Conference on Computer and Communications Security. New York： ACM Press， 2017： 2087-2104.

［22］Ben-Sasson E， Chiesa A， Riabzev M， et al. Aurora： transparent succinct arguments for R1CS［C］//Proc of the 38th Annual International Conference on Theory and Applications of Cryptographic Techniques. Cham： Springer， 2019： 103-128.

［23］王后珍， 蔡鑫偉， 郭巖， 等. 基于矩陣填充問題的五輪零知識身份認證方案［J］. 通信學(xué)報， 2021，42（11）： 79-86. （Wang Houzhen， Cai Xinwei， Guo Yan， et al. 5-pass zero-knowledge identity authentication scheme based on matrix completion problem［J］. Journal on Communications， 2021， 42（11）： 79-86.）

［24］Campanelli M， Fiore D， Han S， et al. Succinct zero-knowledge batch proofs for set accumulators［C］//Proc of ACM SIGSAC Conference on Computer and Communications Security. New York： ACM Press， 2022： 455-469.

［25］Ben-Sasson E， Bentov I， Horesh Y， et al. Fast Reed-Solomon interactive oracle proofs of proximity［C］//Proc of the 45th International Colloquium on Automata， Languages， and Programming. Wadern： Leibniz-Zentrum für Informatik， 2018： article No.14.

［26］Ben-Sasson E， Chiesa A， Spooner N. Interactive oracle proofs［C］//Proc of the 14th International Conference on Theory of Cryptography. Berlin： Springer， 2016： 31-60.