基于λ同性質(zhì)的秘密組建立信任

基于λ同性質(zhì)的秘密組建立信任

BuildingTrustforλ-CongenialSecretGroups基于λ同性質(zhì)的秘密組建立信任

摘要：

保留隱私的同時(shí)建立信任是具有挑戰(zhàn)性的研究課題。在本文中，我們介紹

λ-同性質(zhì)的秘密組，后者使用戶能夠基于共同的屬性識(shí)別受信任的合作伙伴，同時(shí)保留其匿名和隱私。這種協(xié)議是不同的身份驗(yàn)證協(xié)議，因?yàn)楹笳呋谏矸?，前者基于屬性。在信任建立中介紹屬性雖然帶來(lái)更大的靈活性，但也帶來(lái)了幾個(gè)問(wèn)題。在本文中，通過(guò)提出一些激勵(lì)的例子，我們研究信任問(wèn)題的屬性，分析安全要求和給予非正式定義。我們還調(diào)查一種最相關(guān)技術(shù)，即私人匹配，最后在它的基礎(chǔ)上提出解決方案。1引言社交網(wǎng)絡(luò)和環(huán)球網(wǎng)2.0應(yīng)用程序允許有效的信息共享但是也引起了一些隱私挑戰(zhàn)。因此，在構(gòu)建安全分布式的重要性系統(tǒng)中，保護(hù)私隱身份驗(yàn)證技術(shù)又獲得了引人注目的重要性。在本文中，我們介紹協(xié)議設(shè)置

λ-在兩種或多種腳本情況下同性質(zhì)的秘密組。目標(biāo)是有效建立一個(gè)安全、匿名和難以觀察的交流渠道，在兩個(gè)或更多的互相同性質(zhì)的情況下。對(duì)于同性質(zhì)組，我們指的是一組中所有成員擁有一個(gè)或多個(gè)公共屬性所代表的水平秩、權(quán)威、技能等等。如果所有成員都共享

λ公用屬性，同性質(zhì)組稱為

λ-同性質(zhì)。這些組可能在幾個(gè)域中找到。在本文中，我們定義的同性質(zhì)組系統(tǒng)是成員通過(guò)信任協(xié)議而建立的λ同性質(zhì)組。通過(guò)技術(shù)的組合，包括私人匹配、秘密分享和群密鑰分配，我們的協(xié)議獲得了完整性、匿名性，隱私保護(hù)，反模仿性、非哄騙能力和不可鏈結(jié)性。同時(shí)，較低的計(jì)算開銷使我們的協(xié)議適合一系列腳本，即使資源受設(shè)備的約束，也允許信任建立。文件的其余部分組織如下。第二節(jié)對(duì)主要構(gòu)建塊給出了一個(gè)簡(jiǎn)單的介紹，同時(shí)第三節(jié)提出了對(duì)于λ同性質(zhì)小組信任設(shè)定協(xié)議的安全模型。第四節(jié)給出定義和概述同性質(zhì)組系統(tǒng)并介紹系統(tǒng)的運(yùn)作。第五節(jié)中，我們提出了我們兩方和多方的信任設(shè)置協(xié)議。第六節(jié)分析安全特性，第七節(jié)評(píng)估性能。第八節(jié)對(duì)相關(guān)的工作進(jìn)行了回顧和第九節(jié)結(jié)論。2準(zhǔn)備工作對(duì)于用在秘密信托設(shè)置協(xié)議中的兩個(gè)主構(gòu)建塊，此節(jié)提出了一個(gè)總的概括。A私有匹配私有匹配和隱私保護(hù)的集合交涉及的是計(jì)算機(jī)運(yùn)作普通原理的問(wèn)題，即是指兩個(gè)或多個(gè)私有數(shù)據(jù)的交叉。私有匹配計(jì)劃的目的是要保證參與締約方不會(huì)獲知他們已經(jīng)知道的任何事情，給受信任第三方的數(shù)據(jù)，并且獲得回答。目前提出的私人匹配計(jì)劃分為兩個(gè)類別：那些雇用交換加密方案和那些雇用多項(xiàng)式和同態(tài)加密方案。弗里德曼等人，提出的協(xié)議雙方的私人匹配是基于多項(xiàng)式根的集合的表述。他們的工作不使用超出評(píng)估點(diǎn)的多項(xiàng)式的性能。杰斯等人，探討了多項(xiàng)式多集合表現(xiàn)的力量，使用操作多項(xiàng)式獲取隱私保護(hù)多集合操作[4]。兩個(gè)計(jì)劃假設(shè)集合中的元素是從一個(gè)大型域中被指出，因此在這個(gè)域中被繪制均勻的一個(gè)元素，有微不足道的可能性代表一個(gè)集合中的元素。兩方私人匹配可以擴(kuò)展以支持多方私人匹配。在表1中，我們比較通訊費(fèi)用和多方私人匹配計(jì)劃匹配擴(kuò)展的花費(fèi)

[4]。請(qǐng)注意可以使用霍納的規(guī)則從

O(nk2)到

O(nkloglogk)使成本的計(jì)算最優(yōu)化。表1只是列出了不是最優(yōu)化的結(jié)果。表1比較在通信和計(jì)算在方案中的花費(fèi)，有n>=2個(gè)參與者，c<D是不誠(chéng)實(shí)的密謀。每個(gè)輸入的多重集大小為k，多重集元素的領(lǐng)域是D。B秘密分享秘密分享的基本思想是劃分秘密成片斷并把他們分布在不同的方面中，以便只有當(dāng)分享被聯(lián)合時(shí)，秘密才能被重建。個(gè)人的分享是沒有用的。3安全特性一個(gè)λ-性質(zhì)的秘密組協(xié)議必須是完整的，匿名的，隱私保護(hù)，反模仿性，非欺騙的，與不可鏈接性。①完整性。②匿名性。③隱私保護(hù)。④反模仿性。⑤反欺騙性。⑥不可鏈接性。4系統(tǒng)模型A系統(tǒng)概述一個(gè)同性質(zhì)組系統(tǒng)由一組權(quán)限（GA），和n個(gè)用戶，一個(gè)屬性集X，和一些組構(gòu)成，他們都是X的一個(gè)子集，GA把組屬性分配給I，從而授權(quán)I成為G中的一個(gè)合法用戶，即XG?？紤]到用戶I，我們用Xi表示屬性集合。邏輯上，有同一屬性的用戶在同一組中交往，但是不知道他們屬于什么組，它的大小，和組中其他成員。系統(tǒng)成員可以使用它們屬性的一個(gè)子集去形成一個(gè)同性質(zhì)小組CG，如果|CG|=λ，那么這個(gè)小組將成為λ同性質(zhì)小組。屬性集明確了每個(gè)同性質(zhì)組都可能重疊。在圖1中，每一個(gè)圓指一組。如果Xi?XG，成員I屬于組G。箭頭從G’到G’’意味著G’和G’’重疊。更明確的說(shuō)是G’?G’’。因此G’的成員也屬于G’’。換句話說(shuō)，組G中的成員將會(huì)同任何組中的任何成員建立同性質(zhì)組。隔離組（I）及子樹(B,E,F,G)中的成員只有和同一組中的成員才能建立同性質(zhì)的組。在得到Xi后，一個(gè)合法的成員I可以用Xi的部分屬性作為他所需要的去參與一個(gè)通過(guò)信托協(xié)議的同性質(zhì)組。然而，如果Xi不包含CG，系統(tǒng)中的合法成員I可能沒有權(quán)利去參與CG。為了避免模擬性攻擊，屬性被密鑰組加密。同時(shí)，為了避免欺騙性攻擊，他們也潛藏著不重性。因此，屬性Xi不是直接的應(yīng)用在信任建立協(xié)議中，但是他們可以被加密版本代替，（下面給出了加密的細(xì)節(jié)）。尤其，我們把用戶I的加密屬性歸于Ci

，Ci的元素將被認(rèn)為是秘密。Xi和Ci被保密，當(dāng)I不再是系統(tǒng)的合法用戶時(shí)，后者被撤銷。當(dāng)用戶I想要形成一個(gè)λ同性質(zhì)秘密組時(shí)，他從Ci中選擇λ秘密作為信任建立協(xié)議的輸入。假設(shè)有m個(gè)玩家，

時(shí)協(xié)議會(huì)成功。例如在表1中，來(lái)在于A中的用戶I想要和E中的用戶形成一個(gè)同性質(zhì)秘密組，他可能只需要組E中的秘密集合作為協(xié)議中的輸入。來(lái)自于組A、C、E中的成員都可以參與到同性質(zhì)組中。然而，沒有人能得到其他人所屬于的組的任何信息。換句話說(shuō)，成員對(duì)于組的隸屬關(guān)系，規(guī)模大小，等級(jí)層次等等都不知道。圖1樣本組分配

B系統(tǒng)運(yùn)作同性質(zhì)組系統(tǒng)包括四部分，系統(tǒng)初始化，成員接納，成員撤銷及信任設(shè)置。GA最初只需要三部分就能保持在線聯(lián)系。同性質(zhì)組形成協(xié)議并不需要GA相互作用。在這里我們描述最初的三部分，同時(shí)在下一部分中，我們提出兩方和多方信任設(shè)置協(xié)議。我們的表示方法概括在表2中。5信任設(shè)置協(xié)議

其主要思想是當(dāng)同性質(zhì)組不能建立時(shí)，在不泄漏私人信息的基礎(chǔ)上提高私人匹配協(xié)議。A要么全有要么全無(wú)我們修改私人匹配方案，使我們的信任設(shè)置協(xié)議有“全有或全無(wú)”這一特性。也就是說(shuō)，如果協(xié)議成功，每一個(gè)玩家識(shí)別所有的其他玩家輸入的同一套秘密；如果協(xié)議失敗，沒有玩家知道除這事實(shí)之外的其它事情，這一事實(shí)是指不是所有的人用同一套秘密運(yùn)行協(xié)議。在第二部分的B中，我們改編一個(gè)秘密分享方案去給予要沒全有要么全無(wú)。列舉如下：

在私人匹配方案[3]，[4]，用戶表示為多項(xiàng)式的根。用戶I定義了一個(gè)多項(xiàng)式Pi（），多項(xiàng)式的方根是秘密的集合并且用同形的加密系統(tǒng)加密它的系數(shù)。加密的系數(shù)被發(fā)送到用戶J。對(duì)每個(gè)xk∈Xj，用戶j計(jì)算yk=rk

?Pi(xk)+1，其中rk是一個(gè)隨機(jī)不重性，并將結(jié)果發(fā)送回i。如果xk

∈Xj是Pi的根，當(dāng)解密yk后，用戶i得到“1”，否則，他得到一個(gè)隨機(jī)值。I獲得了Xi和Xj的交集。在本協(xié)議中，每一個(gè)用戶i計(jì)算輸入的屬性。尤其是，用戶j計(jì)算hj=H(xj1,...,xjλ)，用一個(gè)

(λ,λ)秘密分享方案把hj分為λ份：hj1,...,hjλ。其次，對(duì)于每個(gè)ck

∈Cj，用戶j評(píng)估收到的多項(xiàng)式Pi，如rk

?Pi(ckj)+hkj。在兩方的信任設(shè)置協(xié)議中，用戶i得到了所有的加密和解密的評(píng)價(jià)，如果總解密的結(jié)果?hj等于hi，那么輸出“接受”，表明j是被承認(rèn)的同性質(zhì)組的一個(gè)成員。當(dāng)i和j都輸出接收時(shí)，協(xié)議成功；否則，協(xié)議失敗。在多方的信任設(shè)置協(xié)議中，所有玩家一起工作去得到一個(gè)多項(xiàng)式表示P，P是他們輸入的交集，然后他們都去評(píng)估P。如果有m個(gè)玩家，在組解密后，總和結(jié)果是h=h1+???+hm，如果所有玩家使用同一套秘密作為輸入，然后h1=...=hm，玩家i檢查hi是否=h/m,如果方程式成立，輸出“接受”。該協(xié)議的成功時(shí)，所有的玩家輸出“接受”。否則，該協(xié)議失敗。B兩方信任設(shè)置協(xié)議在i和j之間，信任建立協(xié)議在圖2中被描繪。我們假定在進(jìn)行協(xié)議之前，每一方在一個(gè)共同的同型加密系統(tǒng)中計(jì)算一個(gè)新的密鑰對(duì)。運(yùn)算法則SSq,n(·)和Recq,n(·)是根據(jù)一個(gè)（q，n）——閾值，分享和恢復(fù)秘密的算法。用戶i定義一個(gè)多項(xiàng)式，多項(xiàng)式的根是秘密的集合，同時(shí)i在同態(tài)公共中加密它。加密系數(shù)被發(fā)送給其他方。接下來(lái)，用戶i分享他的屬性為λ分享，根據(jù)(λ,λ)——閾值秘密共享方案。收到的多項(xiàng)式是每個(gè)秘密及結(jié)果的評(píng)估。最后，通過(guò)其他方，多項(xiàng)式的結(jié)果評(píng)價(jià)被解密，使用的是同態(tài)密鑰及輸入恢復(fù)算法的（λ，λ）-閾值秘密共享方案。如果輸出的恢復(fù)算法等于hi，那么用戶輸出“接受”，否則輸出“拒絕”。當(dāng)用戶i和用戶j都輸出接受時(shí)，方案成功；否則失敗。C多方信任設(shè)置協(xié)議在多方的方案中，成員合謀是一個(gè)重要的問(wèn)題。一般而言，私人匹配方案，任何成員都被隨意選擇。在同性質(zhì)組系統(tǒng)中，屬性、組是由GA完成。在這種方式中，共謀攻擊被阻礙：串通其他用戶沒有人得利。使用下列規(guī)則組管理：原型的秘密集合比所有后代所擁有的秘密集合嚴(yán)格的大許多。沒有祖先與后代想連接關(guān)系的組應(yīng)該有不相交集合的秘密。雖然在兩方協(xié)議中各方生成公鑰/私鑰對(duì)，在多方的方案中，GA生成廣泛公/私密鑰對(duì)（sk，pk）系統(tǒng)。

雖然密鑰被所有合法用戶用（l，n）秘密分享方案所分享，但是每個(gè)人都知道公共密鑰。共享的方案中

l為閾值，n是同性質(zhì)組系統(tǒng)中的合法成員。為了使組解密可用，這就要求至少

l合法成員參加協(xié)議。作為一種后果，任何一組

l合法成員，即使他們不參加協(xié)議，也可以解密多項(xiàng)式的評(píng)估和了解真實(shí)用戶信息的交集：如果勾結(jié)的用戶涉及到協(xié)議中，并有秘密集合，他們就能獲得交集。要解決此問(wèn)題，我們?cè)诜窒碇刑岢隽穗S機(jī)性，使用Burmester和Desmedt中的隨機(jī)性協(xié)議密鑰分配方案。因此在系統(tǒng)初始化時(shí)，GA設(shè)立會(huì)議的密鑰分配方案界限如下：選擇最初的p=Θ(2cN)，在這里N是一個(gè)安全參數(shù)，c>=1是一個(gè)常數(shù)，選擇一個(gè)元素α∈Zp，令q=Θ(2N)，同時(shí)公布p,α和q。假設(shè)在協(xié)議中有

m(m≥l)方，我們多方協(xié)議如圖

3所示。多方信任設(shè)置協(xié)議啟動(dòng)與運(yùn)行的所有參與的會(huì)議密鑰方案達(dá)成一個(gè)隨機(jī)值Oi。

Oi去隨機(jī)化特性值。它涉及廣播通信的兩個(gè)循環(huán)。之后會(huì)議密鑰協(xié)議方案是多方的秘密匹配方案也涉及到廣播通信的循環(huán)。協(xié)議的成功時(shí)所有玩家輸出"接受"，否則為失敗。6安全分析

A完整性在兩方協(xié)議中，如果i和j用同一屬性集合去完成協(xié)議(i.e.Ci=Cj)。每個(gè)屬于Cj的cjk是Pi的根。因此，對(duì)每個(gè)屬于Cj的cjk，我們得到Epki(rk·Pi(cjk)+hjk)=Epki(hjk)。用戶i接收到λ這種值，用他的密鑰去解密他們，并組裝他們獲得hj。如果hj=H(cj1,···,cjλ)=H(ci1,···,ciλ)=hi,那么i輸出接受，用戶j也有類似的特性。在多方協(xié)議中，在步驟2中，多項(xiàng)式P的結(jié)果是根是所有方輸入的交集的多項(xiàng)式。每方用它輸入的集合去評(píng)估p。如果所有方輸出同一個(gè)秘密集合，即h1=···=hm，那么p在同一點(diǎn)上被評(píng)估m(xù)次。如下，

s=h1+···+hm=m·hi。如果hi=s/m，用戶i輸出接受。B匿名性由于我們的協(xié)議是基于用戶屬性而不是身份，對(duì)于運(yùn)行協(xié)議的任意給定方，沒有獨(dú)特的價(jià)值與他們的身份聯(lián)系。因此，他們的身份是保密的。C隱私性在兩方協(xié)議中，假設(shè)i和j用不同的特性集去運(yùn)行協(xié)議，即(i.e.Ci

不等于Cj)。對(duì)于每個(gè)cjk∈Ci∩Cj，Epki(rk·Pi(cjk)+hjk)=Epki(hjk)。對(duì)于每個(gè)cjk/∈Ci∩Cj，Epki(rk·Pi(cjk)+hjk)=random.由于j隨機(jī)的估計(jì)分享，i不能區(qū)分hjk和隨機(jī)值的分享性。因此i不能去判斷j擁有它的哪一個(gè)特性。J也可以用類似的方法分析。在多方協(xié)議中，被評(píng)估的多項(xiàng)式p的根是所有用戶輸入和分享的交集，這個(gè)交集被所有方隨機(jī)的計(jì)算，沒有人能區(qū)分隨機(jī)值和hjk的分享，此外，沒人可以鏈接任何用戶的分享。D反模仿性這兩個(gè)協(xié)議使用元素取自于C，由于它的領(lǐng)域非常大，對(duì)手有很小的可能性去猜測(cè)這些元素。此外，如果她想在λ同性質(zhì)組中被承認(rèn)，她就得猜測(cè)λ的秘密。自從她漏掉了MKt和不重性，即使對(duì)手找回了所有的秘密，她也不能判斷哪一個(gè)特性被同性質(zhì)組成員所擁有。E反欺騙性讓i和j各自的有特性集Xi和Xj=Xi∪xz，即i有除了j以外的所有特性。假設(shè)他們工作的信任設(shè)置協(xié)議使用他們的所有屬性，設(shè)i假裝有xz。即使i知道MKt和猜想xz，（×域可能是小的），她有小的可能性去猜測(cè)不重性去計(jì)算EMKt。因此她無(wú)法產(chǎn)生所有的ci去加入同性質(zhì)組。F不可鏈接性兩方協(xié)議中，每次，不同的密鑰被用來(lái)去實(shí)現(xiàn)不可連接性。由于語(yǔ)義安全同態(tài)加密方案被使用，合法用戶履行協(xié)議的兩種執(zhí)行將不會(huì)給任何對(duì)手足夠的信息去鏈接任何用戶。在多方的設(shè)置中，隨機(jī)多項(xiàng)式每次使用該協(xié)議的執(zhí)行。再次，沒有足夠的信息給予任何對(duì)手鏈接2執(zhí)行本協(xié)議的任何用戶。

7技術(shù)性能分析

A系統(tǒng)初始化為了均衡的加密系統(tǒng)，只有GA涉及到系統(tǒng)初始化操作時(shí)它選擇隨機(jī)密鑰對(duì)。生成︱X︱不重性，執(zhí)行︱X︱的平衡密鑰加密操作。GA必須為密鑰會(huì)議分配方案設(shè)置參數(shù)。B成員接納GA發(fā)送給密鑰組MK中的新用戶，Xi和相對(duì)應(yīng)的密文Ci。在用戶所提供的一系列特性中，沒有計(jì)算花銷，同時(shí)通信花銷是線性的。C用戶撤銷當(dāng)系統(tǒng)進(jìn)展到一個(gè)新的循環(huán)時(shí)，則先前循環(huán)撤銷時(shí)，惡意的用戶被檢測(cè)到。GA隨機(jī)的選擇一個(gè)密鑰組，并在通過(guò)廣泛編密碼的所有合法用戶中分配。在當(dāng)前循環(huán)中，用X表示被撤銷用戶所擁有的所有特性的集合。對(duì)于X中的每一個(gè)特性，GA計(jì)算一個(gè)散列（在當(dāng)前循環(huán)中獲得不重性）和一個(gè)均衡的編密碼操作。用戶i去計(jì)算Xi中每個(gè)特性的散列和編密碼。D兩方信任設(shè)置部分信任建立協(xié)議可以進(jìn)行離線。在這個(gè)時(shí)候，用戶i（1）通過(guò)插值，定義了一個(gè)多項(xiàng)式的程度λ，（2）加密其系數(shù)利用她新的同態(tài)公鑰，（3）計(jì)算散列λ屬性和（4）打破了計(jì)算散列在λ分享中。在網(wǎng)絡(luò)協(xié)議的一部分，用戶i（1）選擇λ隨機(jī)值，（2）計(jì)算λ公共密鑰加密碼和解密碼，（3）執(zhí)行λ多項(xiàng)式評(píng)估（5）重新組裝λ分享。每個(gè)用戶也需要發(fā)送2λ密文和一個(gè)公鑰。表3顯示通信和計(jì)算開銷的信任建立協(xié)議。在兩方的情況中，在合意組的一些特性中，通信和網(wǎng)絡(luò)計(jì)算是線性的。離線協(xié)議的一部分更是涉及。表3兩方和多方的信任設(shè)置花費(fèi)E多方信任設(shè)置多方的信任建立協(xié)議開始與運(yùn)行會(huì)議密鑰方案的所有方[9]協(xié)定隨機(jī)密鑰。為每個(gè)用戶