Page 440 - 《软件学报》2025年第4期
P. 440
1846 软件学报 2025 年第 36 卷第 4 期
(1) 基于 ZebraLancer [21] 提出了一种去中心化可问责属性认证方案, 在其匿名性和可链接性的基础上实现了去
中心化属性认证和可追踪性.
(2) 通过使用门限秘密分享技术, 使得属性权威和追踪组均可以由多个用户构成, 增加了方案的容错性, 同时
允许追踪组成员动态加入和退出.
(3) 将本文提出的去中心化可问责属性认证方案与区块链相结合, 设计了一种新型众包方案, 请求者能对工作
者进行筛选, 在保护工作者身份隐私的同时可以防止工作者重复提交的行为, 并能够对恶意工作者进行追踪.
(4) 本文的众包方案在无需仲裁中心的情况下就能实现请求者和工作者之间的公平交换.
本文第 1 节介绍本文所需的基础知识. 第 2 节介绍本文提出的去中心化属性匿名认证方案. 第 3 节详细介绍
本文基于第 2 节中提出的匿名认证与区块链结合设计的众包方案. 第 4 节对本文的方案进行分析, 包括正确性、
安全性与公平性分析. 第 5 节通过实验与分析比较了本文方案与现有方案, 同时通过实验仿真验证了方案在时间
和存储开销上符合实际应用需求. 最后总结全文.
1 基础知识
化解密和分发密钥的局限性, 去中心属性密码被提出
1.1 双线性映射
设 G 1 ,G T 为 p 阶循环群, p 为素数. 若存在映射 e : G 1 ×G 1 → G T 满足如下性质, 则称 e 为双线性对.
a
b
(1) 双线性: 对 ∀g,h ∈ G 1 ,∀a,b ∈ Z p , 都有 e(g ,h ) = e(g,h) ab .
(2) 非退化性: 存在 g ∈ G 1 , 使得 e(g,g) , 1 .
(3) 可计算性: 对 ∀g,h ∈ G 1 , 存在一个有效的算法来计算 e(g,h) .
1.2 门限秘密分享
门限秘密分享可以增加多方之间的容错, 使得恶意攻击者需要付出更大的代价攻击更多的节点来得到秘密,
同时还增加了诚实节点可能发生宕机的容错性. 1979 年, Shamir [24] 和 Blakey [25] 分别通过拉格朗日插值法和多维空
间点的性质实现了秘密分享协议. Pedersen [26] 根据 Shamir 的方案提出了一种无需可信第三方的门限秘密分享算
法, 该算法的流程如下.
id i . 假设最终要协
首先考虑一个要分享秘密的群组, 参与者为 P i , i = 1,2,...,n , 每个参与者拥有唯一的标识
∑ n
作分享的秘密为 S, 这个秘密由各参与者随机生成的秘密 S i 组成, 即 S = S i .
i=1
∑ n
.
接下来, 每个参与者 P i 随机生成一个 t −1 阶多项式 f i (x) , 其中 f i (0) = S i , 定义 F(x) = f i (x) P i 计算 f i (id j ) ,
i=1
并将这个值发送给参与者 P j . 当参与者 P i 接收到其他 n−1 个参与者分享的值时, 可以结合自己生成的 f i (id i ) 计算
∑
n
F(id i ) = t −1 阶多项式, 因此可以通过拉格朗日插值法最终计算
出自己的部分秘密 f j (id i ) . 由于 F(x) 是一个
j=1
F(0) = S .
出
本文将门限秘密分享算法与属性密码相结合实现了属性权威组织, 同时还将其应用于构造追踪组来分散信任、
提供容错性, 并进一步实现了成员动态变化的算法.
1.3 属性密码
Goyal 等人 [27] 在 2006 年提出了基于属性的加密算法, 其中在基于密文策略的加密算法 (ciphertext-policy
attribute-based encryption, CPABE) 中密钥和属性集绑定, 密文和访问控制策略绑定. 因为基础的 CPABE 存在中心
[28,29] , 任何用户都可以声明属性成为授权机构, 适用于分布式
体系. Rouselakis 等人提出的去中心属性密码 [28] 的基本构造和过程如下.
(1) GlobalSetup(λ) → GP : 传入安全参数 λ 计算输出全局参数 GP .
(2) AuthSetup(GP,aid) → PK,SK : 以 GP 和权威机构的标识符 aid 为输入生成公私钥对 SK = {OSK = α,ASK = y} ,
α
PK = {OPK = e(g,g) ,APK = g } .
y
(3) KeyGen(GID,aid, x,SK,GP) → K x,GID ,K ′ : 属性密钥生成算法通过请求者的身份标识符 GID 、全局参数
x,GID
