基于策略的加密方案及其在Ad-Hoc社区建立中的应用

理论计算机科学电子笔记171（2007）107-120www.elsevier.com/locate/entcs基于策略密码学的Ad-Hoc社区建立Walid Bagga1Eurecom企业传播2229，routedesC révétesB.P.19306904索菲娅·安提波利斯（法国）Stefano Crosta，Pietro Pastiardi，Refik MolvaEurecom企业传播2229，routedesC révétesB.P.19306904索菲娅·安提波利斯（法国）摘要基于策略的加密方案允许根据基于凭证的策略来加密消息，该基于凭证的策略被形式化为以标准范式编写的单调布尔表达式。 加密是为了能够访问策略的合格凭证集的用户能够解密消息。 在本文首先对基于策略的加密进行了形式化的定义，并利用双线性对描述了一个基于策略的加密方案。我们的方案改进了[2]中提出的方案，在保持计算效率的同时，在密文大小方面。然后，我们描述了一个应用程序的ad-hoc网络的背景下，基于策略的加密。更确切地说，我们展示了如何基于策略的加密原语可以用来实现一个隐私增强的安全建立特设社区。保留字：双线性对、凭据、临时社区1引言基于策略的密码学的概念，首先在[2]中正式化，提供了一个框架，用于执行与以标准范式编写的单调布尔表达式形式化的策略相关的密码操作。特别地，基于策略的加密方案允许以这样的方式相对于策略对消息进行加密，使得只有符合策略的用户才能够加密消息。1电子邮件：walid. eurecom.fr1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2006.11.013108W. Bagga等人理论计算机科学电子笔记171（2007）107解密信息基本上，策略由条件的合取（逻辑与操作）和析取（逻辑或操作）组成，其中每个条件由表示特定证书颁发者对某个断言的签名的数字证书填充。 因此，当且仅当以下情况时，用户才符合策略他已被发给该策略的合格证书集，即满足该策略所定义的条件组合的证书集。更一般地，基于策略的加密属于新兴的加密方案家族，其共享将加密与基于凭证的访问结构集成的能力。这种能力允许在不同的上下文中的几个有趣的应用，包括但不限于不经意访问控制[2，7，18]，信任协商[6，11，17]和加密工作流程[1]。在本文的第一部分（第2节）中，我们对[2]给出的基于策略的加密原语的形式化进行了进一步的改进。 然后，我们描述 一种基于策略的双线性对加密方案。我们的方案改进了[2]中提出的方案，在保持计算效率的同时，在密文大小方面。此外，与[2]中提供的启发式、相当直观的安全分析相比，我们的方案得到了形式化安全论证的支持。由于篇幅所限，我们的安全性分析的细节在附录中给出。在[14]中，ad-hoc网络被认为是相互提供服务和资源的互连辅助设备的社区。 这些设备通常属于来自不同安全域的用户，这些安全域没有预先存在的信任关系。因此，需要一个安全框架，以确保在这种社区内进行值得信赖的互动。在[14]中提出了一个全面的基于策略的安全框架，支持ad-hoc网络的建立、演进和管理。在本文的第二部分（第3节）中，我们利用这个框架，并展示了如何基于策略的加密原语可以用来实现一个隐私增强的安全建立的ad-hoc社区。2基于策略的加密在本节中，我们首先为基于策略的加密原语设置上下文，包括术语、符号和策略模型。 然后，我们提供了一个精确的定义，基于策略的加密方案，并描述了我们的配对为基础的计划。在附录中，我们在基于策略的加密上下文中提供了消息机密性的正式定义。在随机预言模型下证明了方案2.1把所述语境基于策略的密码学的概念考虑了来自不同安全域的实体之间可能发生交互的环境，而无需预先存在彼此的知识。这种相互作用可能涉及敏感资源的交换，在这种情况下，需要通过明确的W. Bagga等人理论计算机科学电子笔记171（2007）107109我我∈ I⟨⟩联系我们我{ }∈ {} ∈ I⟨⟩∧∨i=1j=1k=1i，j，ki，j，k简明的政策。 在所考虑的环境中，用户的身份很少对确定用户是否可以被信任或被授权进行通信感兴趣。进行一些敏感的交易相反，关于用户的陈述，如属性、属性、能力和/或特权更相关。这些声明的有效性由称为证书颁发者的可信实体通过数字签名程序进行检查和认证。希望使用基于策略的加密原语的每个用户定义一个信任基础结构，该基础结构由一组凭证颁发者组成： I1，...，IN，在哪里I κ的公钥，对于κ 1，...，N表示为Rκ，而对应的主密钥表示为sκ。 用户可以要求任何凭证发布者Ik所请求的凭证基本上是凭证颁发者对表示为A的断言的数字签名，该断言包含语句集以及诸如凭证的有效期之类的附加信息集。请注意，术语在接收到用于生成关于断言A的凭证的请求时，凭证发布者I首先检查断言的有效性。如果它是有效的，那么Iκ执行凭证生成算法并返回表示为R κ（Rκ，A）的凭证否则，Iκ返回错误消息。在接收到凭证Rk（Rk，A）时，请求者可以使用Rk的公钥Rk来检查其完整性检查关于某个实体的一组语句的有效性的过程超出了本文的范围请注意，这里隐含地假设最终用户知道中包含的每个凭证颁发者的公钥的可信此外，由于断言的表示超出了本文的范围，请注意，它们将被简单地编码为二进制字符串。我们认为，基于凭证的政策正式单调布尔表达式，涉及合取（AND/）和析取（OR/）的凭证为基础的条件。基于凭证的条件是通过一对Iκ，A来定义的，它指定断言A0， 1κ和一个凭证颁发者Iκ，该颁发者被信任来检查和证明A的有效性。用户满足条件Iκ，A当且仅当他已被颁发凭证Iκ（Rκ，A）。我们考虑以标准范式编写的策略，即以合取范式（CNF）或析取范式（DNF）编写。 为了解决这两个标准范式，我们使用[18]中引入的合取范式（CDNF）因此，表示为Pol的策略写为如下：mi，jP ol=<$m[<$mi[<$mIκ ，Ai，j，k<$]]，其中Iκ ∈I且Ai，j，k∈{0，1}在CDNF表示法下，用CNF编写的策略对应于以下情况：{mi，j= 1} i，j，而用DNF编写的策略对应于m = 1的情况。注.以标准范式编写策略使我们能够在计算成本和带宽消耗方面提高基于策略的加密的性能，如2.3小节所示。110W. Bagga等人理论计算机科学电子笔记171（2007）107Pi=1κi，ji，ki，ji，k}k=1i=1i=11让我们（Pol）表示凭证集合{{Pol（R）}，（A）mi，ji}m对于一些{ji∈ {1，.，mi}}m.那么，阿吉，... J（Pol）是Pol的合格凭证。2.2正式定义基于策略的加密方案由五种算法指定：Setup，Issuer-Setup，CredGen，PolEnc和PolDec，我们在下面描述。Setup.在输入安全参数k时，该算法生成一组公共参数，指定将由后续算法引用的不同参数，组和公共函数。此外，它指定了一个消息空间M和一个密文空间C。发行人设置。该算法为证书颁发者I κ ∈ I生成一个随机主密钥sκ和相应的 公钥Rκ。信贷生成在输入证书颁发者Iκ∈I的公钥Rκ和断言A∈ {0， 1}时，该算法返回证书Iκ（Rκ，A）。PolEnc.在输入消息M∈ M和策略Pol时，该算法返回密文C∈ C，表示M相对于策略Pol的加密。波尔德克在输入密文C ∈ C时，策略Pol和合格的凭证集合Poj1，.，jm（Pol），该算法返回消息M ∈ M或（表示“error”）。上述算法必须满足标准一致性约束，即，C=PolEnc（M，Pol）PolDec（C，Pol，Polj1，.，jm（Pol））= M，对于某些{ji∈ {1，.， mi}}m在下文中，我们描述了使用椭圆曲线上的双线性对2.3基于策略的加密方案在描述我们的基于策略的加密方案之前，我们将算法BDH- Setup定义如下：BDH-设置。在输入安全参数k时，生成元组（q，G1，G2，e，P），其中映射e：G1×G1→G2是双线性对，（G1，+）和（G2，n）是两个相同阶q的群，P是G1的随机生成元。所生成的参数使得双线性Difference-Hellman问题（表示为BDHP）是困难的。注-1. 我们记得双线性对满足以下三个性质：(i) 双线性：对Q，QJ∈G1和a，b∈Z<$q，e（a·Q，b·QJ）=e（Q，QJ）ab(ii) 非退化：e（P，P）1，因此它是G2的生成元(iii) 可计算的：存在一个有效的算法来计算e（Q，QJ），Q，QJ∈G1.j1，.，JMMW. Bagga等人理论计算机科学电子笔记171（2007）107111∈i=1··∈·k=1i=1i =1k=1ǁ注-2. BDHP定义如下：在输入元组（P，a·P，b·P，c·P）时，对于随机选择的a，b，cZq，计算（P，P）ab c的值。 通过在有限域上的超奇异椭圆曲线或超椭圆曲线上选择群，并从Weil或Tate对中导出双线性对，可以保证BDHP的困难性.BDHP的困难性意味着所谓的计算迪-赫尔曼问题（表示为CDHP）的困难性，其定义如下：在输入元组（P，aP，bP）f或随机选择a，b时，扎克，计算一下P的值。在本文中，我们简单地应用这些数学原语，我们参考例如[12，19]以获得进一步的细节。我们的基于策略的加密方案由下面描述的算法组成Setup. 在输入安全参数k时，执行以下操作：(i) 运行算法BDH-Setup以获得元组（q，G1，G2，e，P）(ii) 设M ={0， 1}n−n0且C=G1×（{0， 1}n）（对于某个n，n0∈N使得n0的 n）的(iii) 定义了三个哈希函数：H0：{0，1}→G1，H1：{0，1}→Zq且H2：{0，1}n → {0， 1}n(iv) 设I =（q，G1，G2，e，P，n，n0，H0，H1，H2）发行人设置。令I= {I1，...，IN}是凭证颁发者的集合。每个证书发布者Iκ∈Ipic随机地发布秘密主密钥sκ∈Zpicq，并且发布对应的公钥Rκ=sκ·P。信贷生成该算法以签发者Iκ∈I和断言A∈ {0， 1}<$N为输入，输出证书<$N（Rκ，A）=sκ·H0（A）.PolEnc. 在输入消息M∈ M和策略Pol时，执行以下操作：(i) 随机选取Mi∈ {0，1} n− n0（对于i= 1，.，m− 1），则计算Mm=M（m−1Mi）(ii) 随机选取ti∈ {0，1} n0（对于i= 1，.，米）的(iii) 计算r = H1（M1）. 你好，我是... tm），则计算U=r·P(iv) 计算πi，j=mi，je（Rκi、ji，j，k，H0（Ai，j，k））（对于j = 1，.，mi且i =1，...， 米）的(v) 计算μi，j=H2（πr<$i <$j），然后计算vi，j=（Mi<$ti）<$μi，j（对于j=一，mi且i = 1，...， 米）的(vi) 返回C=（U，[[vi，j]mi]m）加密算法PolEnc背后的直觉如下：条件为：<$mi，j<$Iκ i，j，k，Ai，j，k首先与掩码μi，j相关联，该掩码μi，j取决于与特定条件相关的不同凭证加密的消息M被分成m个随机份额[Mi]m，则对于每个索引i ∈ {1，.， m}，该值i=1mimi，j得双曲余切值.是一Mi<$ti与析取式<$j=1<$k=1<$Iκi，j，k，Ai，j，k<$ti随机选择的中间密钥。使用掩码μ i，j中的每一个将每个值Mi，i加密mi次。 这样，计算掩码μi，j中的任何一个以便能够检索Mi，ji是足够的。 为了能够恢复加密的112W. Bagga等人理论计算机科学电子笔记171（2007）107i=1i =1i=1Σ≥i，ji≥k=1κi，ji，ki，ji，k我我i，ji消息，实体需要使用策略Pol的一组合格凭证来检索所有份额以及所有中间密钥ti。PolDec. 在密文tC=（U，[[vi，j]mi]m）、策略P o1和合格的凭证集合nj1，.，jm（Pol），执行以下操作：(i) 计算π=e（U，mi，ji（R， A））（对于i=1， . （m）(ii) 计算μi，ji=H2（πi，jiiji），然后计算（Miti）=vi，jiμi，ji(iii) 计算r = H1（M1）. 你好，我是... （m）(iv) 如果U=r·P，则返回消息M=mMi，否则返回上述算法满足标准一致性约束。事实上，由于双线性对的双线性性质，以下成立πi，jmi，ji=e（r·P，sκ·H0（Ai，j，k））=mi，jie（sκ·P，H0（Ai，j，k））r=πrk=1k=1配对密码学的基本运算是配对计算。在表1中，我们提供了我们的加密和解密算法在配对计算方面的计算成本以及所得密文的大小注意，l1表示群G1的元素的双线性表示的位长度。加密解密密文大小我们的方案Pm Pmimi，ji=1j =1Ml1+（Pmmi）.ni=1的方案[2]Pm Pmimi，ji=1j =1Ml1+（Pm n+ni=1方案[6]Pm Pmimi，ji=1j =1Pmmi，ji=1il1+（PmPmimi，j）.n+ni=1j =1表1与文献[2]和[6]中的方案相比，我们的方案的性能在表1中，我们包括与[2]中描述的加密方案和[6]中描述的加密方案相关的成本事实上，后者是一种基于策略的加密方案，适用于按照第2节定义的符号以标准范式编写的策略。虽然这三种加密算法需要相同数量的配对计算，但我们的解密算法和[ 2 ]中描述的算法比[6]中描述的算法更有效，因为mi，ji1， i=1， .，M.此外，我们的方案比文[2]的方案得到的密文更紧凑。 最后，注意到因为mi，j对于j=1，...，mi且i=1，...，m时，由[ 2 ]的方案产生的密文的大小至少与由[6]的方案产生的密文的大小一样短。注-1.对于标准的非对称加密方案，基于策略的加密方案的效率远低于对称加密方案。在实践中，它们应该用于交换对称（会话）密钥，批量加密注-2.在一些场景中，策略可以根据（k，n）阈值结构（对于1

下载后可阅读完整内容，剩余1页未读，立即下载