基于属性签名的属性远程证明方案.DOC

资源描述

1、收稿日期：基金项目: 国家自然科学基金“物联网环境下信任机制的研究” （61402530）；国家自然科学基金“身份类加密体制的双线性对主线和格主线类比设计”（61272492）。作者简介：张鑫（1991-），男，硕士研究生，研究方向：信息安全，可信计算，可信网络连接 .E-mail: ；杨晓元（1959-），男，教授，研究方向：信息安全，可信计算，密码学 .E-mail: ；*通信联系人 E-mail: 基于属性签名的属性远程证明方案杨晓元 1,2，张鑫 1,* (1, 武警工程大学电子技术系网络与信息安全武警部队重点实验室，陕西西安 710086；2, 武警工程大学信息安全研

2、究所，西安 710086)摘要: 可信计算中的远程二进制平台完整性证明方式存在平台（软，硬件）配置泄露问题，导致针对性攻击、差别化服务和匿名性破坏。提出利用属性基签名（attribute based signature，ABS）构造可信计算中远程证明中的属性证明方案（property based attestation，PBA ）。将属性签名中的签名策略（属性树）映射到远程证明中的安全属性。将属性签名中的签名策略（属性树）同远程属性证明中的安全属性进行映射。利用由于属性签名的匿名性的特点，验证者无法得知证明方的具体配置，方案中仅能得知证明者是否满足签名策略也就是安全属性，无法得知证明方的

3、具体配置，达到验证属性证明目的。方案中无需使用属性证书，由不同授权机构管理平台配置，共同生成属性签名。在标准模型下对方案进行了安全性证明，满足正确性、不可伪造性和隐私性。关键词: 可信计算；远程证明；属性证明；属性基签名中图分类号:TP 309.7 文献标志码: ATrusted property Remote Attestation Based on ABSYANG Xiao yuan 1,2,ZHANG Xin 1,*, DU Wei dong1(1. Department of Electronic Technology, Engineering University of People

4、s Armed Police, Xian 710086, China;2. The Institute of Information Security, Engineering University of Peoples Armed Police, Xian 710086, China)Abstract: In trusted computing, the binary attestation scheme has some shortcomings that it reveals the information about the configuration of a platform wh

5、ich may lead to privacy issues such as discrimination services, anonymity violations and targeted attacks, etc. A property remote attestation based on attribute-based signature is was proposed. The attribute signature policy (attribute tree) is was mapped to security property in trusted remote attes

6、tation. As anonymity of ABS, the verifier cant could not know the specific configuration and .the The signature reveals revealed no more than the fact that prover with some set of attributes satisfying the predicate(security property) has which had attested to the message. Multi authorities managed

7、the platform configurations and generated attribute signature together without using property certificates. We prove the security of our scheme under standard model, that the scheme satisfies the correctness, unforgeability and configuration privacy.The security analysis showed that the scheme satis

8、fies the correctness, unforgeability and configuration privacy under standard model.Keywords: trusted computing; remote attestation; property based attestation; attribute based signature 引言可信计算组织（Trusted Computing Group， TCG）提出利用可信平台模块和远程证明协议，验证平台身份和平台配置等信息，为网络中的实体提供基于硬件的可信证据。在进行安全操作前，利用远程证明协议验证网络中各

9、个实体的平台身份和平台配置，有效防范攻击的发生。因此远程证明协议可用于构建安全支付，可信网络接入，可信云服务等安全系统。在安全支付中，用户可以向金融机构证明终端的软件配置满足安全要求；可信网络接入中，可以验证待接入网络终端是否满足安全要求；在可信云服务中用户可以验证云节点的身份和完整性状态，确保数据的计算和储存在可信的云节点上，因此远程证明协议拥有广泛的应用。现有远程证明方案主要有二进制证明和基于属性证明，二进制证明方案存在验证者负担大，差别化服务和隐私泄露的问题，现有的属性证明方案多是利用属性证书进行证明，存在属性证书管理问题。基于以上问题，本文利用属性基签名，结合远程证明中的属性证明的思想

10、提出了一种高效的多授权中心的属性证明方案，本方案较以上证明方案具有以下的优点：1）属性基签名满足不可追踪性和匿名性，签名者利用自身拥有的属性进行签名，验证者仅能验证该签名满足特定的访问结构，无法得知用户的具体属性。在证明中利用属性基签名可以避免用户平台的配置隐私泄露。2）方案中无需使用属性证书进行证明，避免了证书颁发，撤销等管理问题。3）单个属性中心的容易成为系统瓶颈和平台配置分属于由不同制造商生产的原因，本文采用多授权中心方案，用户的配置由不同可信属性授权机构管理，提高系统效率和安全性。1. 背景知识在平台配置证明方面，TCG 1组织提出了二进制的直接远程证明方案，用户平台的 TPM

11、对平台软硬件进行度量，将度量出来的二进制的 Hash 值和 SML，发送给验证方。验证方利用度量的 Hash值，以及 SML 验证平台的安全性状态。该方案简单，安全，无需第三方的参与。但其存在缺点，是验证者校验完整性报告负担大，无法保证平台的隐私性，敌手可以获取平台的配置信息进行有针对性的攻击。针对二进制方案中存在的隐私泄露问题，Proitz 等人 2和 Sadeghi 等人 3 提出了基于属性的远程证明，用户平台只需要对向验证方证明，其平台满足提出的验证方的安全属性要求，不需要无需提供具体的配置信息。Chen 等人提出了基于属性的远程证明协议 PBA(property based attes

12、tation)4。通过定义可信计算平台的安全属性，用将可信的第三方将多种配置完整性信息映射到安全属性，颁发属性证书从而保证平台的配置信息的隐私性。之后Chen 等人利用环签名提出了无需第三方的属性证明协议 5。文献 6提出了细粒度的基于组件属性的远程证明方法，但参与者计算代价较大。文献7利用证明代理和验证代理，提出了终端运行环境远程证明在 Windows 上给出了实例。近些年云服务的兴起，大量研究提出构建可信云计算环境 8-12，同样也提出了云环境下的远程证明和接入问题。文献11为保护用户数据在传输和云端运行中的安全，利用可信计算技术在云端和用户之间建立了端到端的信任连接。文献12基于可信计

13、算技术思想，在移动设备上利用 TrustZone 技术设计云服务的安全接入程序。现有文献的基于属性的验证方案远程证明方案（PBA ）大多是利用属性证书证明，而证书的撤销和维护成为困难。属性基签名是由基于模糊身份加密体制的概念发展而来。签名者可以声称签名满足某组属性或者指定的访问控制结构，验证者能够验证签名是否满足相应的属性或者访问结构。Maji 等人 13给出了属性签名概念和安全性定义，属性签名具有更强的匿名性，验证者仅仅只能验证消息是否是由满足属性策略的人产生的，无法获得签名者的属性和身份信息。同时属性签名还有不可链接性和抗合谋性，同传统的匿名签名方案（群签名，环签名）相比属性签名提供了更加

14、丰富的签名策略。这些性质极好的满足了远程证明中对于平台匿名性和配置隐私性的要求，因此本文利用属性签名构造属性证明协议。较少的工作讨论了多机构环境下的 ABS 机制 14-16。2. 预备知识2.1 双线性对设，是两个有限循环群，阶为，1G2 pZ，为，的生成元，满足如下三条性质的1g2映射成为双线性对：12:e1）双线性，，对所有1212(,)(,)ababegg均成立；*,qbZ2）非退化性，；12(,)3）可计算性，存在有效的算法计算。1(,)eg2.2 密码学假设计算性 Diffie-Hellman 问题（ computational Diffie-Hellma

15、n, CDH）：给定（未知），求解。在概率多,xygG*,qxZxyg项式时间算法 B 解决 CDH 问题的概率为，若可()(,)ababCDHAdvPrg()CDHAdvB以忽略则 CDH 问题是困难的。3. 本文 PBA 模型远程证明中的属性（property）主要是指一种具体的安全需求（specific security requirement） 2；属性密码学是由基于模糊身份的加密方案演变过来，基于属性签名中的属性（attribute）是指用户的身份特征信息被特征化为属性，所以两者提到的属性大致相同但是在定义理解上存在一定的区别。属性密码学中的属性安全协议，证明方通过协议交互向验

16、证方证明自己的属性满足某种条件或策略，从而完成认证，一定程度上实现了身份和属性隐私的安全保护。在远程证明中的属性协议同样也是向验证方证明平台的配置满足验证方的要求，两者的思路是相似的。以文献7中的例子，讨论如何将安全属性要求同属性基签名的策略相结合。远程证明中的安全属性对应多种平台配置信息。在网上银行P(P),icI交易中，用户需要满足金融机构的安全属性要求（主要有浏览器，网银控件，系统补丁），设 IE浏览器配置为，Firefox 浏览器配置为，opera,1ic,2ic浏览器配置为，都能达到金融机构的安全属性,3i。同时还要求网银控件达到安全属性，1pcj 2pWindows

17、系统必须达到有 SP2 补丁达到属性。k3因此，网银的属性证明要求可以表示为P的范式形式，具体到组件级123PARpp别就可表示为的形,1,2,3()ciiijkCAcp式，表示为用访问树形式如图 1 所示。同样将这种安全属性映射到如图的访问树形式。若验证者能够证明自身平台的配置满足该访问树则说明平台配置满足验证方的安全需求。具体来说满足图 2 的访问树结构，也就证明了验证方满足金融机构提出的安全需求。具体来说，本方案中属性签名就是将平台配置信息当做签名中的属性对消息进行签名，验证方检查签名的正确性与否，也就验证了平台配置是否满足签名策略，最终达到了验证了平台是否达到了所规定的安全属性

18、。I E F i r e f o x O p e r aO RA N DS P 2 补丁网银客户端控件,1ic,2,3icjkc3.1 模型描述本文提出的基于属性签名的远程证明方案中，方案有个实体：证明方（Prover，P）、验证方（Verifier，V）、认证中心（Central Authority，CA）、属性授权中心（ Attribute Authority，AA）。为了防止不同用户间的共谋攻击，将可信计算中的 AIK 公钥同证明方的属性绑定。我们假定有个属性授权中心，证明方 P 拥有属性集合，K,kPw分别来自属性授权中心。kAPBA 模型主要由，Setup，，， 5 种算法

19、组成。CentralGtrnigVrifyP r o v e r 1,.csnpCSH o s t1. . . . .nAkV e r i f i e rS e e d 1sS e e d 3sS e e d 2sCAa c c e p tr e j e c t3.2 安全模型定义 1 正确性：签名者生成有效签名，验证者的验证算法一定接受，验证成功的概率为 1。定义 2 不可伪造性在适应性选择消息攻击下，若多项式时间攻击者 A 成功的概率可以忽略，则本 PBA 方案满足不可伪造性。初始化阶段：A 选择和输出一个挑战策略 *建立阶段：挑战者 C 收到挑战策略，选择一个安全参数，运行算法产生

20、公共参数kSetup，种子和主密钥，将发parms1,.ksMKparms送给 A。质询阶段：敌手 A 使用私钥提取预言机和签名预言机分别对和执行有限次的多,1KkPw(,)项式查询。伪造阶段：A 输出签名和消息。*M如果是消息的有效签名，对于满足*的属性集，敌手没有进行私钥询问，*()1ww对于没有进行签名询问，则敌手获胜。*,M3.3 具体方案：双线性映射选择生成元，随机Setup1gG选取，令，为个属性授权中心选择*qZ1gK伪随机函数的种子。随机选择元素，,.ks21计算，。选择两个安全的哈希函数1/2R12()e。系统的公共参数为*1,:0,HG

21、，121212,)parmsqgYRH主密钥为。： CA 发送作为私Centl ,12KkPyCAdg钥给证明方 P。其中由伪随机函数、种子和,kPyF证明方 P 的 AIK 公钥值确定，即。,()kkPsyICA 根据属性树产生验证密钥。对于访gp问树中的每个结点，采取自顶向下的方法从根结x点开始生成一个次方的多项式，为1dkxk门限值。根结点，设，并随机选择其他r(0)rp个点，生成多项式。其他结点，rd，并随机选择其他个点()(0)xparentxidxd用来生成。多项式生成后，属性树的验证密钥为：，。gk(0)(0)1,xxppiDghH()iat

22、：属性授权中心为证明方 P 的属性产AtrGen生密钥。P 首先生成属性密钥基，发1,/2KjkykTg送给。属性授权中心，计算，kA,()kPsFAI对于每一个属性，选择，计算,kPiwkiqrZ，。每个属性授权中心,01()kPiyrkidTRH1iidg将返回给证明方 P。最后证明方得到,kiw的属性公钥为。PSK,P011,kikiikiwKd：证明方进行对消息签名，安全属性ignM的签名。证明自身属性满足属性树PBA,1KkP，也就是用自身平台配置满足验证方的安全要求。随机选择，计算，qsZ02()sCAHd。若代表与的叶节点相关的属性。对0sg*w于

23、每一个，选择，计算iiqr，*0111(),()i irii iwdHd 。证明方 P 最后的属*/i iri g性签名输出为，将发*010(,)PBAiiwBA送给验证方。：验证方收到，首先定义一个递归VerifyPBA算法，为属性树的结点，输出为Nod(,)gpkx上的一个元素中或。设，如果为叶2G()iatx子结点时： 0101(,)/(,)if(,)/(,)xxiieDheDhotrwsVrd若 *i,101(0) (0)1/2(,/,(,)ixixKkPixirprpiyedHgedH 若 */iw01(0) (0)11(,/,ixixirprpeDhHgeH 如

24、果为非叶子结点，的孩子结点执行z，得到的结果为，为以VerNod(,)kzFxS的个孩子结点集合。如果不存在这样的zFxz结点集合则验证失败，返回。否则执行以下操作：,P, ,1Parent(z),1,P ,P,1 1/(0)(0) ()2idx)(0)2/(i) /(0)2(,),Kkzis isx xKisk xxK Kkx kxsx ypxzSSyzypypzSFgegg A AA，inde(inde():xxSzS最后验证者为了证明的有效性。先计算，PBArF验证，若成立则验证成功，?0122(,)(,)rgFgeHMA证明方的配置满足安全属性要求，否则失败。4.

25、安全性分析34.1 正确性当，根据拉格朗日差值多项式得到()1w,1, ,1 1/(0)2/2(),KkprotKkp kpyrot yFegeg 所以 ,1,p,11,p,11022222222221(,)(,)(,)(,)(,),)()(,KkpKKk kpKKkkpysrot CAsyyssyyssegHMdegeeggegHA2Y34.2 不可伪造性如果敌手运行时间至多为，最多询问t次随机预言机模型，最多进行私12,Hq12,Kq钥查询，询问签名的次数最多次，敌手优势概率Sq为。是在中求幂的最大时间，算法 B 能够expt1G在时间内以12exp(34)HKSqt概

26、率攻破 CDH 问题。2/证明：假定敌手 A 能以不可忽略的概率优势攻破方案，那么就意味着能够构造一个算法 B 解决 CDH 问题。B 对实例，则1(,)gXYgG能够得到。g进行如下游戏，A 输出一个挑战策略，也就是属性树，属性集为其叶子节点关联的属性。*w询问阶段： B 令，。保存随2gY2C机预言机的询问结果列表。另外选择12,H1,L随机整数，是询问随机预言机的消息。2qiM挑战者 B 对询问，检查列表。被发送给11i查询结果，若在列表中。挑战者将对应的相同1i答案返回 A，否则进行两种选择（1）如果，挑战者随机选择，*iwiqA()iHg（2）

27、如果，挑战者随机选择*，,iqA1()iig挑战者 B 对询问，检查列表。如果询问22L的消息在在列表中，挑战者将对应的相同答案iM返回给敌手，否则进行两种选择（1）如果，挑战者随机选择i，,iqA21()iiiHg（2）如果，挑战者随机选择，iqA()iiMg假定 A 能够最多进行次私钥提取询问。 AKq能够对进行私钥询问，。B 为所以属性w*()1w权威随机选择值，假设。因1,.ks 12KksCAdg为，所以。若属*()*()性集满足，并且是由管理的SSkk属性集则。私钥，如下生成：1Kk0id1i当时，，，i1/02()Kkki

28、srigHkiridg随机选择；kiprZ当时，，，S1/02()Kkkisrkid1kiri但；0,()/kkiiirrA签名预言机询问：若，则 B 模拟2()HMg签名：，1 1 */222(),(),KKk kiissrs swgHMgg ，。,iqrZ/2iii/i若，则 B 模拟签名：2()1 /212()Kk iiisssggg 1/2issg。签名伪造：敌手输出的签名，若*M*模拟器退出。否则，满足验证等式2()HMg即。11 * *01022/2,)(),()KkKkii sssrswgHB 先模拟递归函数 ,若为中叶*()ReNodx*子结点。令，

29、由于，则()iatx1ig。1/(0)*2(,KkxspReNodgA为的叶子节点相关的属性集，若非叶子w结点，的所有子节点，用，输xz*(,)ReNodx出为。令，，计zinex()in:xsSzS算 , 1(),1,1 1/(0)(0)2/index()2/() /(0)02Kkzisis xxKkparetzisxKKkx kxisx spxzSSszs spzSRFggg AAAA所以 1 11/(0)/222KKKkparent kks ssrRgg 由于，则 B 可得到*()HM，所以敌手概率成功，解决0/rgCDH 难题的概率为。2/Hq34.3 签名者隐

30、私性任意两个满足访问结构的属性集，即1w2，，消息和签名。若任何敌1()w2()1m手都不能确定哪个属性集，产生签名，则12该方案满足签名者隐私要求（attribute signer privacy）。具体到属性远程证明中就是满足验证方的属性安全需求的不同配置集，都能产出合法的签名。验证方则无法得知证明平台的具体配置情况，达到配置隐私的目的。CA 运行算法，输出公共参数，Setupparms系统主密钥，发送给敌手。敌手输出两个满足MK的属性集，。方案中的公钥都是相同。假1w2设挑战者或者敌手已经产生的私钥1w和的私钥1 2,P10,kwikiiki Kkdd2

31、。对于每个2 ,211iiii，，。其中,kPi,0()kPkiyrkiTRH0kirig，。对于挑战者用属性集，的qrZ1w2密钥和对消息进行签名。挑战者选择一1ws2*m个随机位，用私钥对消息进行签名，,bbskSign输出签名，其中*010(,)iiw，02)sCAHMd，*111(,()i irrii iwH ，，。*0 /)i iri g0sg,iprZ基于树中的拉格朗日插值，签名从得到。如果签名可以从的私钥中得12,wsk 11wk到，那么同样也可以从的私钥中得到。因此，方2案满足签名者隐私性。5. 效率分析效率分析中主要讨论证明方和验证方所需的

32、计算量。代表双线性配对，表示群中的幂运算，PE为与属性树叶节点相关的属性集合，满足树*w|S必须计算的最小节点集合，为环签名列表中|csN成员个数，为属性证书撤销列表的表项。|CRL方案 2 中有证书的检查步骤一并算入验证时间当中。本方案同文献4和文献17 相比较。文献4 采用环签名的 PBA-BM 方案和 ,文献17 为采用本地验证者撤销技术的 PBAVLR 方案进行比较。在*w本方案中为证明方的平台配置则为固定值且较*|小，而 PBA-BM 中为所有满足属性的配置，由csN于现在同一种配置由多个制造商生成，因此的csN大小通常要比大。同样文献17PBA-*2(|1)wV

34、配置的隐私性。先构造满足安全属性要求的访问结构（逻辑范式（与、或），。若平台中的多种配置若满足访问结构则可以证明平台满足安全属性要求。由于平台配置属于不同可信授权机构管理，之后所以由多个可信授权管理机构共同生成属性基签名。方案中无需使用属性证书，摆脱了证书的颁发、维护和管理的问题。，方案的安全性分析表明方案满足正确性、不可伪造性和平台配置隐私性。参考文献 1 Trusted Computing Group. TPM main specification, version1.2, revision 116. Trusted Computing Group, Incorporated, 2011.

35、http:/www.trustedcomputinggroup.org2 Poritz J, Schunter M, Herreweghen E, et atProperty attestation scalable and privacy-Friendly security assessment of peer computers， RZ3548 RZurich ：IBM Research，20043 Sadeghi A, Stuble C. Property-based attestation for computing platforms: Caring about properties

36、, not mechanismsC. Proc of the 2004 Workshop on New Security ParadigmsNew York：ACM，2004:67-774 Liqun Chen, Hans Lohr, Mark Manulis. Property-Based Attestation without a Trusted Third Party G. LNCS 5222：Proc of the llth Int Conf on Information Security. Berlin:Springer,2008：31465 Liqun Chen, Landferm

37、ann R, Lohr H, et alA protocol For propertybased attestationC.Proc of the 1st ACM Workshop on Scalable Trusted ComputingNew York：ACM, 2006：7-166 秦宇,冯登国.基于组件属性的远程证明J.软件学报, 2009,20(6):162516417 谭良,陈菊.一种可信终端运行环境远程证明方案 J. 软件学报, 2014(6):1273-1290.8 Berger S, Caceres R, Goldman KA, Perez R, Sailer R, Door

38、n L. vTPM: Virtualizing the trusted platform module. In: Proc. of 2006USENIX Security, 2006,15:305-320.9 Santos N, Gummadi KP, Rodrigues R. Towards trusted cloud computing. Hotcloud, 2009. Santos N, Gummadi KP, Rodrigues R. Towards trusted cloud computing. Hotcloud, 2009. 10 Zhao B, Yan F, Zhang LQ,

39、 Wang J. Build trusted cloud computing environment. Communications of CCF (China ComputerFederation), 2012,8(7):28-34.11 John M, Tom R, Fred S. The CloudProxy Tao for trusted vomputing. Technical Report No. UCB/EECS-2013-135, University ofCalifornia at Berkeley, 2013. http:/www.eecs.berkeley.edu/Pub

40、s/TechRpts/2013/EECS-2013-135.html12 杨波,冯登国,秦宇,张英骏.基于 TrustZone 的可信移动终端云服务安全接入方案J.软件学报,2016,26(6):a4. 13 Maji H K, Prabhakaran M, Rosulek M. Attribute-based signaturesC/ Proceedings of the 11th international conference on Topics in cryptology: CT-RSA 2011. Springer-Verlag, 2010:376-392.14 Maji H K,

41、Prabhakaran M, Rosulek M. Attribute-Based Signatures: Achieving Attribute-Privacy and Collusion-Resistance.J. Iacr Cryptology Eprint Archive, 2008, 2008(2008).15 Cao D, Zhao B, Wang X, et al. Flexible multi-authority attribute-based signature schemes for expressive policyJ. Mobile Information Systems, 2012, 8(8):255-274.16 孙昌霞, 马文平, 陈和风. 可证明安全的无中心授权的多授权属性签名J. 电子科技大学学报, 2012, 41(4):552-556.17 周福才, 岳笑含, 白红波, 徐剑.一种高效的具有灵活属性证书状态校验机制的 PBA 方案J. 计算机研究与发展,2013,50(10):2070-2081.

展开阅读全文