朱留富 李繼國,2,3 陸 陽 張亦辰,2

1 （福建師范大學計算機與網(wǎng)絡空間安全學院 福州 350117）

2 （福建省網(wǎng)絡安全與密碼技術重點實驗室（福建師范大學） 福州 350117）

3 （分析數(shù)學及應用教育部重點實驗室（福建師范大學） 福州 350117）

4 （南京師范大學計算機與電子信息學院/人工智能學院 南京 210023）

自2005 年Sahai 等人[1]提出模糊身份基加密方案后，屬性基密碼體制成為研究的熱點.屬性基密碼體制使用一組關聯(lián)屬性代替用戶的身份信息，密文或密鑰與一個事先定義的訪問策略或是謂詞結構相關聯(lián)，當用戶的屬性滿足訪問策略或謂詞結構時就可以進行解密.因此屬性基密碼克服了身份基密碼一對一的通信限制，只要用戶擁有滿足訪問策略或謂詞結構的屬性集就可以進行通信，從而實現(xiàn)了一對多的通信并實現(xiàn)了細粒度的訪問控制[2-3].為了滿足不同的應用需求，一些新型的屬性基加密方案[4-11]和屬性基簽名方案[12-15]相繼被提出.

在屬性基簽名方案中，由于使用一組屬性集代替用戶，隱藏了真實的身份信息從而獲得了匿名性.簽名者根據(jù)屬性授權機構頒發(fā)的屬性密鑰對消息進行簽名，屬性密鑰由屬性授權機構產生并秘密發(fā)送給簽名者，一旦屬性密鑰發(fā)生泄露或密鑰傳輸時遭受主動攻擊被截獲，那么獲得密鑰的任何人都能產生一個有效簽名.與此同時，簽名數(shù)據(jù)中可能包含一些敏感信息，例如身份證號、手機號或者個人金融交易記錄等.這些敏感信息泄露可能會帶來個人隱私泄露甚至是國家機密泄露的極大風險.因此屬性基簽名中的密鑰泄露和敏感信息泄露問題是亟待解決的關鍵問題.

本文的主要貢獻包括3 個方面：

1） 提出了前向安全的高效屬性基可凈化簽名（efficient and forward-secure attribute-based sanitizable signature, FABSS）方案，并在標準模型下證明該方案的安全 性.方案的安 全性可規(guī) 約 到 η - DHE（ η-Diffie-Hellman exponent）困難問題假設.

2） 提出的方案利用屬性集合和謂詞結構提供細粒度訪問控制，保護簽名者的隱私；利用前向安全技術解決了密鑰泄露問題；利用可凈化簽名技術對原始數(shù)據(jù)進行脫敏，解決了敏感數(shù)據(jù)泄露問題.

3） 提出的方案具有固定簽名長度，并且在驗證階段只需要常數(shù)個配對運算，使得通信開銷和計算開銷低，因此提出的方案具有高效性.

1 相關工作

屬性基加密方案根據(jù)訪問策略的不同布置可分為密鑰策略的屬性基加密方案[2]和密文策略的屬性基加密方案[16].在密鑰策略的屬性基加密方案中，用戶訪問策略與密鑰關聯(lián)，一組屬性集與密文相關聯(lián).當密文中的屬性集滿足訪問策略時，用戶可以正確解密該密文.在密文策略的屬性基加密方案中，事先定義的一個訪問策略嵌入到密文中，密鑰由用戶屬性集標識，只有當標識密鑰的屬性集滿足密文中的訪問策略時用戶才能正確解密.

為了解決數(shù)據(jù)完整性、認證性以及用戶細粒度訪問控制問題， Maji 等人[17]在2011 年首次提出屬性基簽名方案，并在一般群模型中證明了該方案的安全性.Okamoto 等人[18]基于CDH （computational Diffie-Hellman）困難問題假設，提出了標準模型下證明安全的屬性基簽名方案.標準模型下證明安全的方案通常需要大量的計算開銷，其中配對運算的代價尤其高昂.為了提高效率，Gagn 等人[19]設計了具有短配對運算的高效屬性基簽名方案.為了進一步提高效率，Anada 等人[20]提出了無配對運算的屬性基簽名方案.然而文獻[19-20]中的方案僅僅考慮性能的提升而沒有考慮密鑰泄露問題.在密鑰頒發(fā)和存儲過程中，可能會遭受主動攻擊或者由于管理不當造成密鑰泄露，惡意攻擊者在獲得密鑰后就能產生任意時間片段簽名.為了解決密鑰泄露問題，在2015 年，Wei 等人[21]提出了門限結構的前向安全屬性基簽名方案，并在標準模型下給出了安全性證明.另一個解決密鑰泄露的方法是密鑰隔離技術，2017 年，Rao[22]提出一個簽名策略的屬性基密鑰隔離簽名，將密鑰分為長期密鑰和短期密鑰，并將長期密鑰保存在一個安全的設備中，從而保證了密鑰的安全.然而在簽名方案中，可能發(fā)生泄露的不僅僅有簽名者密鑰，同時還包括消息中的一些敏感信息，例如個人醫(yī)療記錄信息、金融機構交易信息以及政府部門政務信息等.這些信息一旦發(fā)生泄露將會給個人、金融市場或者政府部門帶來極大的安全風險.因此我們需要對數(shù)據(jù)中的敏感數(shù)據(jù)進行編輯從而隱藏真實信息，這樣的方法可稱之為“凈化”.在可凈化簽名中，凈化者可以在不知道簽名者密鑰的前提下對數(shù)據(jù)進行編輯并重新生成一個有效簽名.Ateniese 等人[23]首次提出可凈化簽名概念，利用變色龍哈希設計了可凈化簽名方案并在隨機預言模型下給出了安全性證明.Agrawal 等人[24]提出了在標準模型下證明安全的可凈化簽名方案，方案的安全性規(guī)約到CDH 困難問題假設.但該方案需要大量的配對運算和指數(shù)運算，具有較高的運算開銷.為了改進效率，P?hls 等人[25]提出了高效的可凈化方案.可審計性要求簽名者可以對凈化者的行為進行追責，2017 年，Beck 等人[26]提出一個具有強審計性的可凈化簽名，不僅實現(xiàn)對凈化者的追責，同時也防止簽名者對凈化者的惡意指責.為了獲得細粒度訪問控制和以及簽名者隱私，劉西蒙等人[27]給出屬性基可凈化簽名方案的構造并在標準模型下給出了方案的安全性證明.文獻[25]利用門限結構作為訪問策略，為了獲得更豐富和靈活的訪問結構，莫若等人[28]和Mo 等人[29]先后給出了基于樹形訪問結構的屬性基可凈化簽名方案和具有靈活訪問結構的屬性基可凈化簽名方案，方案支持與門、或門和門限結構.為了同時獲得訪問控制和可審計性，Samelin 等人[30]提出了屬性基可凈化簽名并實現(xiàn)了對凈化者的追責.為了解決屬性基簽名中簽名者濫用簽名問題，李繼國等人[31]提出了可追蹤的屬性基可凈化簽名方案，不僅實現(xiàn)了惡意用戶追蹤，而且還保證了敏感數(shù)據(jù)的隱私.

2 預備知識

本節(jié)介紹FABSS 方案中使用的相關密碼學知識，其中包括雙線性映射、拉格朗日插值、 η -DHE假設.

2.1 雙線性映射

令G1和G2是 2 個p階 乘 法 循 環(huán) 群，p是 大 素 數(shù).g是G1的 一個生成元.一個雙線性映射e:G1×G1→G2具有3個性質：

1）雙線性.對任意a,b∈Zp， 都有e(ga,gb)=e(g,g)ab.

2） 非退化性.e(g,g)≠1.

3） 可計算性.對所有g1,g2∈G1，存在多項式時間算法計算e(g1,g2).

2.2 拉格朗日插值

設p為 素 數(shù)，S?Zp，拉 格 朗 日 系 數(shù) 定 義 為其中i∈Zp.給定Zp上的d個點(1,q1), (2,q2), …, (d,qd)，d-1次 多 項 式q(x)可 以 重 構為其中 |S|=d.

2.3 η-DHE 問題和困難問題假設

η-DHE 問題.G1是 一個p階群，g是G1的一個生成元，隨機選取a∈Zp.給定元組(g,ga,ga2,…,gaη,gaη+2,…,ga2η)， 計算gaη+1.

ε-(η-DHE)困難問題假設.若不存在多項式時間算法以不可忽略的概率 ε 解 決G1上的η-DHE 困難問題，則稱ε-η-DHE 困難問題假設在群G1上是成立的.

3 形式化定義和安全模型

借鑒文獻[21]中前向安全的屬性基簽名的形式化定義，本節(jié)給出FABSS 方案的形式化定義和安全模型.

3.1 FABSS 方案的形式化定義

FABSS 方案包括設置、密鑰生成、密鑰更新、簽名、凈化和驗證6 個算法，每個算法的定義為：

1）設置.算法輸入安全參數(shù) λ、系統(tǒng)時間片段總數(shù)T、系統(tǒng)門限值d，輸出公共參數(shù)params和主密鑰msk.

2）密鑰生成.該算法由屬性授權中心執(zhí)行.算法輸入公共參數(shù)params、主密鑰msk、簽名者屬性集wa以及初始時間 片段t0， 輸出初始時間片段密鑰SKt0.

3）密鑰更新.該算法由簽名者執(zhí)行.算法輸入公共參數(shù)params、當前時間片段tj的密鑰SKtj以及時間片段tj′，其中tj＜tj′.算法輸出時間片段tj′的密鑰SKtj′.

4）簽名.算法輸入公共參數(shù)params、當前時間片段tj的密鑰SKtj、 消息M、 簽名者屬性集wa、凈化者屬性集wτ以及簽名策略 Γd,S(·).若簽名者屬性集wa滿足簽名策略 Γd,S(·)， 即 |wa∩S|≥d，算法輸出消息M的簽名 σ以及秘密值集合SI.其中d是門限值，S是謂詞結構中的屬性集合.

5）凈化.該算法由凈化者執(zhí)行.簽名者公開聲明允許凈化的消息索引集合IN?{1,2,…,nm}，其中N≤nm.凈化者獲得由簽名者發(fā)送的秘密值集合SI.算法輸入消息M、 簽名 σ 、簽名者屬性集wa、凈化者屬性集wτ以及秘密值集合SI.算法輸出凈化消息M′和凈化簽名 σ′.

6）驗證.算法輸入公共參數(shù)params、當前時間片段tj、消息M′以 及簽名 σ′.若驗證簽 名 有效，輸出accept ；否則，輸出 reject.

FABSS 系統(tǒng)框架如圖1 所示.簽名者將屬性集wa以及初始時間片段t0發(fā)送給屬性授權中心，屬性授權中心為簽名者生成時間片段t0的 密鑰SKt0.簽名者用私鑰SKt0對 消息M進 行簽名獲得 σ，并生成秘密值集合SI，將 (M,σ,SI)通過安全信道發(fā)送給凈化者.凈化者對允許凈化范圍內的消息進行修改，重新生成關于凈化后消息M′的 簽名 σ′.凈化者將 (M′,σ′)發(fā)送給驗證者，驗證者通過驗證算法判斷簽名是否有效.此后，簽名者通過密鑰更新算法生成時間片段t1的密鑰SKt1，并重復上述過程.

Fig.1 The framework of FABSS圖1 FABSS 框架

3.2 安全模型

借鑒文獻[21]的思想，給出FABSS 方案的前向安全性和不變性安全模型.

3.2.1 前向安全性

FABSS 方案滿足傳統(tǒng)ABS 方案不可偽造性的同時達到了前向安全性.FABSS 方案的前向安全性可以通過挑戰(zhàn)者B和敵手A之間的游戲來刻畫.

基于文獻[21]給出的安全模型，定義FABSS 的前向安全性游戲.

1）初始化.A將需要挑戰(zhàn)的簽名策略 Γd*,S*(·)和時間片段tj*發(fā)送給B.

2）設置.B運行設置算法，生成公共參數(shù)params和主密鑰msk，設置初始時間片段t0.挑戰(zhàn)者B將公共參數(shù)params發(fā)送給A，主密鑰msk保密.

3）密鑰生成詢問.A自適應選擇屬性wa和時間片段tj，將wa和tj交給B.通過密鑰生成算法，B生成對應的密鑰SKtj并發(fā)送給A.

4）密鑰更新詢問.A隨機選擇一個新時間片段tj并要求B執(zhí)行密鑰更新算法，此時當前時間片段tj被更新為后一時間片段tj′，B將更新后的密鑰SKtj′發(fā)送給A.

5）簽名詢問.A自適應地選擇簽名者屬性集wa，凈化者屬 性 集wτ，消 息M和 簽 名 策略 Γd,S(·)并發(fā) 送 給B，B通過簽名算法產生當前時間片段tj的簽名 σ，并發(fā)送給A.

6）偽造.A生成關于消息M*={m*1,m*2,…,m*nm}，簽名 策 略 Γd*,S*(·)在 時 間 片 段tj*的 簽 名 σ*.若 滿 足 條 件①～③，則稱A贏得前向安全性游戲.

① σ*是一個有效簽名；

②A沒有對 (wa,tj)進行密鑰生成詢問，其中屬性集wa滿足簽名策略 Γd*,S*(·)并 且tj≤tj*；

③A沒有在時間片段tj*對消息M*={m*1,m*2,…,m*nm}進行簽名詢問.

定義1.對于任意概率多項式時間t的敵手，如果贏得上述游戲的概率 ε是可忽略的，那么就稱FABSS方案滿足前向安全性.

3.2.2 不變性

FABSS 方案的不變性要求凈化者只能對允許凈化范圍內的消息進行修改，無法對凈化范圍之外的消息進行任何操作.不變性可以通過敵手A和挑戰(zhàn)者B之間的游戲來刻畫.

1）初始化.A將挑戰(zhàn)索引集合IN*和簽名策略Γd*,S*(·)發(fā)送給B，其中IN*表示凈化者可以執(zhí)行凈化操作的消息索引集合.

2）設置.B執(zhí)行設置算法產生公開參數(shù)params和主密鑰msk，將公開參數(shù)params發(fā)送給A，主密鑰msk保密.

3）詢問.A自適應地進行多項式次密鑰生成詢問，密鑰更新詢問和簽名詢問.其中A可以進行qs次簽名詢問，在第j次簽名詢問中，A詢問關于消息Mj={mj,1,mj,2,…,mj,nm} 的 簽 名 σj.B將 簽 名 σj和 秘 密 值 集合SI發(fā)送給A.

4）偽造.A輸出關于消息M*={m*1,m*2,…,m*nm}，時間 片 段tj*和 簽 名 策 略 Γd*,S*(·)的 簽 名 σ*，若 滿 足 條 件①～③，則稱A贏得不變性游戲.

① σ*是一個有效簽名；

②A沒有對 (wa,tj)進行密鑰生成詢問，其中屬性集合wa滿 足 簽 名 策 略 Γd*,S*(·)并 且tj≤tj*；

③ 對于任何j∈{1,2,…,qs} ，存在i?IN*使得mj,i≠m*i.

定義2.如果任意概率多項式時間t的敵手進行至多qk次 密鑰詢問和至多qs次簽名詢問，最終贏得不變性游戲的概率 ε是可忽略的，則FABSS 方案具有 ε-不變性.

4 方案構造

根據(jù)文獻[32]給出的二叉樹結構，利用該結構分配時間片段.在二叉樹結構中，如圖2 所示，將完整時間片段T分解為t0,t1,…,tT-1時間片段.每個時間片段對應一個層數(shù)為l的滿二叉樹的葉子節(jié)點.其中根節(jié)點用一個空串 γ 標記，k(1 ≤k≤l)層上的每個節(jié)點v用一個二進制比特串bv∈{0,1}k表 示，bv與節(jié)點v到根節(jié)點的路徑相關，其中0 表示左子節(jié)點，1 表示右子節(jié)點.對每個二進制串b∈{0,1}k，都對應二叉樹第k層上的一個節(jié)點，將這個節(jié)點記為vb，并令bv[i]表 示bv中的第i位.例如初始時間片段t0對 應節(jié)點vt0，bvt0=0l；t1時 間 片 段 的 節(jié) 點 為vt1，bvt1=0l-11.用Pathv表 示 節(jié) 點v到根節(jié)點路徑上包含的所有節(jié)點的集合，R(v) 表示v的右子節(jié)點.對于時間片段tj及其對應的節(jié)點vtj，定義集 合Vtj={R(v)|v∈Pathvt j,R(v)?Pathvtj}∪{vtj}.如 圖2所 示，Pathvt0={γ,v0,v00,vt0}，Vt0={v1,v01,vt1,vt0}.基 于上述構造，可得引理1.

Fig.2 Binary evolutionary tree of time圖2 時間的二叉進化樹

引理1.存 在 時 間tj和tj′， 若tj′＞tj，對 于 每 個 節(jié) 點v′∈Vtj′， 存 在 一 個節(jié)點v∈Vtj， 有bv′=bv||b*.其 中，b*∈{0,1}k，k=|bv′|-|bv|.

1）設置.選取安全參數(shù) λ ，生成p階雙線性群G1和G2， 其中p是大素數(shù)；e:G1×G1→G2是雙線性映射.令T=2l為總時間片段，U={1,2,…,n+d}表示屬性域，其中n為 常數(shù).Ω ={ω1,ω2,…,ωd-1}為 缺省屬性集，ωi∈Zp.設S?Zp，且i∈S， 定 義 拉 格 朗 日 系 數(shù)ΔSi(x)=隨機選取 α ∈Z*p， 計算Z=e(g,g)α，其中g是G1的 生成元.隨機選取群元素fa,fτ和 群元素集合H={h1,h2,…,hl}，W={w1,w2,…,wnm}，F(xiàn)={f1,f2,…,fη}，其中nm是 消 息 長 度， η=n+d-1.則params={G1,G2,e,g,h0,w0,fa,fτ,H,W,F,T,U,Ω,Z}是 公共參數(shù)，主密鑰為 α.

2）密鑰生成.算法輸入簽名者屬性集wa?U，主密鑰 α，公共參數(shù)params和初始時間片段t0.首先選擇 一 個d-1次 多 項 式q(x)， 滿 足q(0)=α.隨 機 選 取ri∈Zp， 其中i∈wa；隨機選取ri,v∈Zp， 其中v∈Vt0.計算因此t0時間片段的密鑰SKt0={μi,φi,{ski,v|v∈Vt0}}， 其中i∈wa.

3）密鑰更新.算法輸入當前時間片段tj的密鑰SKtj， 后續(xù)時間片段tj′和 公共參數(shù)params.將當前時間片段密鑰SKtj表示成：

ski,v={ai,0,ai,1,ai,|bv|+1,…,ai,l} ，SKtj={μi,φi,{ski,v|v∈Vtj}} ，因為tj′＞tj， 由文獻[32]可得，對每個節(jié)點v′∈Vtj′，一 定 存 在 節(jié) 點v∈Vtj， 有b*滿 足bv′=bv||b*.隨 機 選 取ri′∈Zp，其 中i∈wa；隨 機 選 取ri,v′∈Zp， 其 中v′∈Vtj′.計算時間片段tj′的密鑰為刪除當前時間片段tj的密鑰SKtj.

4）簽名.算法輸入消息M={m1,m2,…,mnm}，簽名策略 Γd,S(·)， 簽名者屬性集wa，凈化者屬性集，密鑰SKtj， 要求屬性集wa滿足Γd,S(wa)=1，即|wa∩S|≥d.因此存在屬性w′a?wa∩S，其中||w′a||=d.選取缺省屬性集Ω′?Ω， 滿足w′a∩Ω′=?.令計算r=此時有ra,s,z,rτ∈Zp隨機選取 ，計算； σ1=a1gs； σ2=μ′·gra； σ3=grτ； σ4=gz.因此在當前時間片段tj產生的簽名為σ={σ0,σ1,σ2,σ3,σ4}.簽名者計算秘密值SIi=wzi，其中i∈IN.用SI表示秘密值集合，即SI={SI1,SI2,…,SI|IN|}，IN={1,2,…,N}表 示簽名者允許凈化的消息索引集合，其中N≤nm.

5）凈化.凈化者獲得簽名 σ和秘密值集合SI，首先通過驗證算法判斷簽名是否有效，若是有效簽名，定義此次需要凈化的消息索引集I?IN.令I1={i∈I:mi=0,m′i=1}；I2={i∈I:mi=1,m′i=0}.凈化者隨機選取ra′,凈 化 后 的 簽 名 為σ′={σ′0,σ′1,σ′2,σ′3,σ′4}.

5 安全性分析

本節(jié)將分別給出FABSS 方案的安全性分析.

5.1 正確性

驗證方程既能驗證原始簽名 σ，同時也能驗證凈化簽名 σ′.首先給出對原始簽名 σ的驗證過程，在5.2 節(jié)中給出凈化簽名的凈化性分析.給定簽名σ={σ0,σ1,σ2,σ3,σ4}，通過證明等式（1）成立，表明FABSS 方案滿足正確性要求.下面分別驗證方程中的每一部分.

因此有

綜上所述，方案滿足正確性.

5.2 凈化性

凈 化 者 操 作 后 的 凈 化 簽 名 為σ′={σ′0,σ′1,σ′2,σ′3,σ′4}.當i∈I1時 ，m′i-mi=1， σ′記為1；當i∈I2時 ，m′imi=-1， σ′記為0.σ′0=σ0σ′1=σ1gsa′=gr+s+s′，σ′2=σ2gra′=gra+r′+r′a，σ′3=σ3grτ′=grτ+rτ′，σ′4=σ4gz′=gz+z′.綜 上 所 述， 凈 化 后 的 簽 名σ′={σ′0,σ′1,σ′2,σ′3,σ′4} 與 原 始 簽 名σ={σ0,σ1,σ2,σ3,σ4}有相同的分布.因此簽名 σ′和 σ都能通過驗證方程.

5.3 前向安全性

定理1.在 ε′-(η-DHE)困 難 問 題 假 設 下，提 出 的FABSS 方 案 具 有 (ε,qs)-前向安全性.其 中ε′≥是時間片段總數(shù)，nm是消息的長度，qs是敵手A進行簽名詢問的次數(shù).

證明.通過敵手A和挑戰(zhàn)者B之間的交互游戲證明定理1.

1）初始化.給B一個 η-DHE困難問題的隨機實例{g,g1=ga,g2=ga2,…,gη=gaη,gη+2=gaη+2,…,g2η=ga2η}，其中g是素數(shù)階群G1的 生成元，a∈Zp.A選擇挑戰(zhàn)簽名 謂 詞 Γd*,S*(·)和 時 間 片 段tj*并 發(fā) 送 給B， 其 中0 ≤tj*≤T=2l-1.同時定義屬性域U={1,2,…,n+d}，其中n是常數(shù).選擇缺省屬性集 Ω={ω1,ω2,…,ωd-1}.在以下交互中，B嘗試計算得到gη+1=gaη+1.

2）設置.B通過如下方式生成公共參數(shù)params和主 密 鑰msk.B隨 機 選 取α′,δa,δτ,δ1,…,δη∈Zp，計 算fi=gδigη-i+1，其中 1≤i≤η；選擇缺省屬性子集Ω*′?Ω，計算令wτ?U，計算隨機選取 θ0,θ1,…,θl∈Zp， 計算hk=，h0=其中 1 ≤k≤l； 隨機選取 ζ ∈{0,1,…,nm}以及2 個隨機數(shù) 集 合X={x0,x1,…,xnm}和Y={y0,y1,…,ynm}，其 中xi∈，yi∈Zp；計算wi=，w0=其中1 ≤i≤nm；計算Z=e(g1,gη)e(g,g)α′=最后B設 置params={G1,G2,e,g,fa,fτ,h0,w0,U,Ω,T,H,W,Z}為 公共參數(shù)，主密鑰msk為 α=α′+aη+1.定義2 個函數(shù)，此時

3）密鑰生成詢問.A最多進行qk次密鑰生成詢問.A詢問屬性集wa在時間片段tj的密鑰SKtj，此時必須滿足|wa∩S*|＜d*或者 |wa∩S*|≥d*，tj＞tj*.下面分別討論這2 種情況.

①當 |wa∩S*|＜d*時，B定義3 個屬性集合 Γ , ?！?S，使Γ=(wa∩S*)∪Ω*′，Γ ?Γ′?S， 其 中 |?！鋦=d*-1.令S=Γ′∪{0}.同時隨機選取一個d*-1次 多項式q(x)，滿足q(0)=α=α′+aη+1.

② 當wa∩S*≥d*，tj＞tj*時，根據(jù)時間二進制樹的定義可得，對節(jié)點v∈Vtj，存在索引 β 使 得bv[β]≠bvt j*[β].為簡化分析，令 β為滿足條件的最小索引值.B定義3個屬性集合 Γ ， ?！?，S， 使得 Γ=(wa∩S*)∪Ω*′， Γ ??！?S，其中 | ?！鋦=d*-1.令S=Γ′∪{0}.隨機選取d*-1次多項式q(x)， 滿足q(0)=α=α′+aη+1.

B隨機選取ri， ρi∈Zp， 令q(i)=ρi， 其中i∈?！?隨機選取ri,v∈Zp， 其中v∈Vtj.計算密鑰SKtj={μi,φi,{ski,v|v∈Vtj}} ，其中 μi=ai,|bv|+1,…,ai,l).B隨 機 選 擇ri∈Zp， 其 中i∈(wa∩Ω)/?！?計算隨機選取∈Zp，其中v∈Vtj.令

此時={ai,0,ai,1,ai,|bv|+1, …,ai,l)=此時

最后B隨機選取綜上所述，B成功模擬ty時間片段密鑰SKtj.

4）密鑰更新詢問.為了從當前時間片段tj獲得后續(xù) 時 間 片 段tj′的 密 鑰SKtj′，A向B進 行 密 鑰 更 新 詢 問.B通過原始方案計算更新密鑰SKtj′并發(fā)送給A.

5）簽名詢問.給定消息M={m1,m2,…,mnm}和簽名策略 Γd,S(·) ，若J(M)=0，模擬終止；否則，B隨機選取計算

此時，

綜上所述，模擬簽名與原始簽名有相同的分布，因此B將簽名 σ ={σ0,σ1,σ2,σ3,σ4}發(fā)送給A.

6）偽 造.詢 問 結 束 后，A輸 出 關 于 消 息M*={m*1,m*2,…,m*nm}， 滿 足 簽 名 策 略 Γd*,S*(·)和 時 間 片 段tj’*的 簽 名 σ*={σ*0,σ*1,σ*2,σ*3,σ*4,}.偽 造 過 程 為：選 取w*a?S*以 及 Ω*?Ω ，令=w*a∪Ω*.要求A沒有在tj’*時間 片 段 并 且 滿 足 簽 名 策 略 Γd*,S*(·)的 條 件 下 對M*={m*1,m*2,…,m*nm}進 行簽名詢問.此時B檢查tj’*=tj*是否成立.若不成立，則模擬終止；若成立，B計算J(M*)和K(M*).若J(M*)≠0，模擬終止；否則A輸出偽造簽名B通 過A提 交 的 偽 造 簽 名 計 算gaη+1=gη+1=因此若A能夠偽造一個消息的有效簽名，那么B就能成功解決η-DHE困難問題.證畢.

5.4 概率分析

為了在前向安全性游戲的交互中不發(fā)生終止，需要考慮3 個事件：

1） 事件E1.簽名詢問階段，滿足J(M)≠0，其中i∈{1,2,…,qs}；

2） 事件E2.偽造階段，滿足J(M*)=0；

3）事件E3.敵手猜測的時間tj′*，滿足tj′*=tj*.

易見，B不發(fā)生終止的概率為=同時，對于所有的i=1,2,…,qs，事件E1i和事件E2是相互獨立的.因此，≥

綜上所述，若存在概率多項式時間敵手以不可忽略概率 ε贏得FABSS 的前向安全性游戲，那么挑戰(zhàn)者就能以的概率解決 η-DHE困難問題假設，其中T表示時間片段總數(shù)，qs表示簽名詢問的次數(shù)，nm表示消息的長度.

5.5 不變性

定理2.FABSS 方 案 在 ε′-(η-DHE)困 難 問 題 假 設下具有 ε -不變性， 其中存在常數(shù) ψ ， 滿足 ε ＜ψε′.

假設可凈化集合IN?{1,2,…,nm}，凈化者已知秘密值集合SI，但無法對可凈化集合范圍之外的數(shù)據(jù)進行操作.首先證明引理2.

引理2.若存在多項式時間的敵手A1能夠對可凈化索引集合IN中 的 κ位長度的消息進行操作，其中0 ＜κ ≤nm， 并且以 εA1的優(yōu)勢贏得不變性游戲，那么就存在一個多項式時間敵手A在不可偽造游戲中以εA≥εA1的 優(yōu)勢成功偽造一個長度為nm-κ位消息的有效簽名.

證明.假設A1在 可凈化范圍內對 κ位長度的消息進行操作，此時A對長度為nm-κ位的消息進行前向安全游戲，在游戲中A模仿挑戰(zhàn)者與A1交互.在收到A1提交的相關詢問操作后，A通過與前向安全游戲中的挑戰(zhàn)者B交互并將結果發(fā)送給A1.

1）設置階段，A1獲 得可凈化索引集合IN，其中IN?{1,2,…,nm}.為簡化分 析，令IN={nm-κ+1,nmκ+2,…,nm}， κ=|IN|.B將 公 共 參 數(shù)params={G1,G2,e,g,fa,fτ,h0,w0,U,Ω,T,H,Wnm-κ,Z}發(fā)送給A，其中Wnm-κ={w1,w2,…,wnm-κ}.A隨 機 選 取si∈Zp， 計 算wi′=gsi， 其 中i∈{nm-κ+1,nm-κ+2,…,nm}.令W=Wnm-κ∪Wnm-κ+1，Wnm-κ+1={wnm-κ+1,wnm-κ+2,…,wnm}.A將公共參數(shù)params={G1,G2,e,g,fa,fτ,h0,w0,U,Ω,T,H,W,Z}發(fā) 送給A1.

在j=1,2,…,qs次的簽名詢問中，A通過與B的交互來回 答A1的 詢 問.首先A1向A詢問消 息Mj={mj,1,mj,2,…,mj,nm}的簽名，A收到詢問后向B詢問消息={mj,1,mj,2,…,mj,nm-κ}的 簽 名.B將 簽 名σ={σj,0,σj,1,σj,2,σj,3,σj,4} 發(fā) 送給A，A計算σ′j,1=σj,1，σ′j,2=σj,2，σ′j,3=σj,3，σ′j,4=σj,4.A將簽名(σ′j,0,σ′j,1,σ′j,2,σ′j,3,σ′j,4) 以 及 秘 密 消 息=nm-κ+1,nm-κ+2,…,nm}發(fā) 送給A1.

2）在 偽 造 階 段，若A1能 夠 成 功 偽 造 消 息M*′=的 簽名利用該簽名進行以下計算.對于i=1,2,…,qs，?i?{nmκ+1,nm-κ+2,…,nm} ， 有mj,i≠m*i′.令 消 息M*={m*0,m*1,…,m*nm}， 當i∈{1,2,…,nm-κ}時 ，m*i=m*i′.A計算σ*4′.A將有效簽名 σ*={σ*0,σ*1,σ*2,σ*3,σ*4}發(fā)送給B.此時?j∈{1,2,…,qs}， ?i∈{nm-κ+1,nm-κ+2,…,nm}滿足mj,i≠m*i′.可以發(fā)現(xiàn)，如果A1偽造的簽名能夠通過驗證，那么A生成的簽名也可以通過驗證.因此A贏得前向安全性游戲的優(yōu)勢 εA，滿足 εA≥εA1，其中 εA1表示A1贏得不變性游戲的優(yōu)勢.由定理1 可得，敵手A贏得前向安全游戲的優(yōu)勢是可忽略的.因此由引理2 可知，敵手A1贏得不變性游戲的優(yōu)勢也是可忽略的.證畢.

6 方案分析

FABSS 方案不僅獲得細粒度訪問控制，緩解了密鑰泄露問題，而且具有可凈化性，解決了敏感信息泄露問題.表1 給出FABSS 方案與文獻[21,29,31,33]在匿名性、凈化性、前向安全性、透明性以及訪問控制方面的優(yōu)勢比較分析.其中文獻[33]給出了支持非單調謂詞的高效屬性基簽名方案，提供簽名者的匿名性，同時具有細粒度訪問控制，但無法提供前向性和凈化性.文獻[21]提出具有前向安全的屬性基簽名方案，在獲得細粒度訪問控制的同時緩解了密鑰泄露問題，但無法解決敏感信息泄露問題.文獻[29]構造了具有靈活訪問結構的屬性基可凈化簽名方案，不僅提供靈活細粒度訪問控制，而且還實現(xiàn)了敏感信息隱藏，但無法解決密鑰泄露問題.文獻[31]提出可追蹤的屬性基可凈化簽名方案，提供凈化功能從而實現(xiàn)敏感信息隱藏，同時具有惡意用戶追蹤功能，避免簽名濫用，但無法緩解密鑰泄露問題.本文提出的FABSS 方案，不僅具有細粒度訪問控制，還具有前向安全性和凈化性，而且緩解了密鑰泄露問題并保護了敏感數(shù)據(jù)的隱私.

Table 1 Comparison of Schemes表1 方案比較

7 性能分析

基于Ubuntu 18.4，在Charm0.5 框架下實現(xiàn)了FABSS 方案.利用Charm 庫中的超奇異橢圓曲線（SS512）測試方案.實驗中群G1和G2的 階為p，p為512 b的大素數(shù).在此參數(shù)的計算機上測試主要密碼學操作開銷，經過1 000 次測量取平均值后，得到實驗中計算雙線配對所需時間為1.45 ms，在群G1和G2中執(zhí)行指數(shù)運算所需時間分別為1.998 ms 和0.2 ms.FABSS與文獻[29,31]的通信開銷和計算開銷比較如表2 和表3 所示，其中 |G1|表 示群G1中元素的大小，表示簽名者屬性數(shù)量，表示凈化者屬性數(shù)量，l表示時間二叉樹層數(shù).由表2 可知，提出的FABSS 方案具有固定的簽名長度，減少了通信開銷.由表3 可知，提出的方案在驗證階段和凈化階段的指數(shù)和配對運算與屬性數(shù)量無關，降低了計算開銷.實驗結果如圖3～6所示，由圖3 和圖4 可知，隨著用戶屬性數(shù)量增加，提出的方案在密鑰生成和簽名階段比文獻[29,31]需要更大的計算開銷，但是密鑰生成算法一般只執(zhí)行1 次，所以對方案的性能影響不大；由圖5 和圖6 可知，提出的方案在凈化以及驗證階段所需的計算時間要小于文獻[29,31]，具有較小的計算開銷.

Table 2 Comparison of Communication Cost表2 通信開銷比較

Table 3 Comparison of Computation Cost表3 計算開銷比較

Fig.3 Performance analysis of key generation algorithm圖3 密鑰生成算法性能分析

Fig.4 Performance analysis of signing algorithm圖4 簽名算法性能分析

Fig.5 Performance analysis of verifying algorithm圖5 驗證算法性能分析

Fig.6 Performance analysis of sanitization algorithm圖6 凈化算法性能分析

8 結束語

本文形式化了前向安全的屬性基可凈化簽名安全模型.提出了一種前向安全的高效屬性基可凈化簽名方案，不僅緩解了密鑰泄露問題，而且還實現(xiàn)了敏感信息隱藏功能.基于η-DHE 困難問題假設，在標準模型下證明了本文方案的安全性.通過與現(xiàn)有方案的對比分析可知，提出的方案更適用于電子醫(yī)療、電子政務等特殊應用場景中.

作者貢獻聲明：朱留富提出初步方案、實驗設計，以及論文初稿撰寫和修改；李繼國負責論文思路構建、理論指導、方案分析和論文修改；陸陽和張亦辰負責論文方案分析、論文潤色和修改.