支持属性立即撤销的可复用属性基签名及其密钥协商方案

为了解决后台分布式微服务-前端反向代理网络架构中统一细粒度访问控制和数据安全通信的问题,提出了可撤销属性的认证方策略属性基签名,基于Type-3配对的属性基签名及其互认证密钥协商方案。在所提方案签名算法中,无须关联访问策略,生成的签名只和用户部分属性有关,访问策略在验证算法中输入,来校验与签名相关联的用户属性是否真实合法并满足访问策略,所以签名与访问策略实现了解耦,使得一个签名可复用于多个访问策略的认证过程。另外,提出了属性哈希过滤算法,并基于该算法实现了属性的立即撤销机制,使得签名者不能用过期无效的属性继续用于策略认证。并在选择策略模型下严格地验证了所提属性基签名方案的存在不可伪造性。进一步地,为了实现数据的安全通信,提出了与所提属性基签名方案配套的满足扩展Canetti-Krawczyk安全模型的认证密钥协商方案。最后,通过理论和实验对比分析得知,在安全级别为128 bit高级加密标准的要求下,所提方案中的微服务器端的认证算法比其他属性认证算法消耗更少的时间,因此所提方案更加适用于复合微服务请求的场景。