李繼國(guó) 朱留富 劉成東 陸 陽(yáng) 韓金廣 王化群 張亦辰

1(福建師范大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院 福州 350117) 2(福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室(福建師范大學(xué)) 福州 350007) 3(北京市信息技術(shù)應(yīng)用研究所 北京 100091) 4(南京師范大學(xué)計(jì)算機(jī)與電子信息學(xué)院/人工智能學(xué)院 南京 210023) 5(江蘇省電子商務(wù)重點(diǎn)實(shí)驗(yàn)室(南京財(cái)經(jīng)大學(xué)) 南京 210003) 6(南京郵電大學(xué)計(jì)算機(jī)學(xué)院 南京 210023)

隨著云計(jì)算等新型計(jì)算模式的推廣，越來越多的重要數(shù)據(jù)信息被外包存儲(chǔ)在云服務(wù)器，此外，大量的外包計(jì)算服務(wù)也將由云服務(wù)器統(tǒng)一完成.然而，云計(jì)算服務(wù)運(yùn)行在第三方云平臺(tái)提供商，用戶與云平臺(tái)提供商之間無法建立可信關(guān)系，這將可能造成數(shù)據(jù)信息和用戶隱私的泄露，并由此產(chǎn)生諸多安全問題.面對(duì)云服務(wù)提供商不斷爆出的安全事故，人們對(duì)云計(jì)算環(huán)境中的用戶數(shù)據(jù)安全性和隱私性的憂慮與日俱增[1-2].解決這些問題的一種常規(guī)做法是，在上傳數(shù)據(jù)到云端之前先對(duì)數(shù)據(jù)進(jìn)行加密，再將數(shù)據(jù)以密文的形式存儲(chǔ)到云端.但是傳統(tǒng)的訪問控制模型、敏感數(shù)據(jù)保護(hù)方法和理論的局限性已不能滿足用戶對(duì)數(shù)據(jù)的安全性、機(jī)密性與細(xì)粒度訪問控制的要求.用戶將數(shù)據(jù)以密文的形式存儲(chǔ)到云端后，很可能還需要對(duì)密文進(jìn)行控制.而傳統(tǒng)的公鑰加密體制僅支持一對(duì)一的加密，并不能有效地實(shí)現(xiàn)這種數(shù)據(jù)分享.為解決這一問題，2005年Sahai和Waters在歐密會(huì)上首次提出屬性基加密(attribute-based encryption, ABE)的概念[3].在屬性基加密體制中，用戶的身份由一個(gè)描述性屬性集標(biāo)識(shí)，密文或者密鑰與一個(gè)訪問結(jié)構(gòu)相關(guān)聯(lián)，當(dāng)用戶的屬性滿足指定的訪問結(jié)構(gòu)的時(shí)候，用戶可以成功解密密文.屬性基加密體制可以實(shí)現(xiàn)一對(duì)多的加密以及細(xì)粒度的訪問控制，可以很好地解決云計(jì)算中的訪問控制、數(shù)據(jù)安全和隱私等關(guān)鍵問題，得到了國(guó)內(nèi)外學(xué)術(shù)界和工業(yè)界的高度重視.

屬性基簽名方案的匿名性能保護(hù)簽名者的隱私不被泄露，但惡意的簽名者可能濫用簽名而無法被追蹤，因此追蹤惡意簽名者的身份是一個(gè)富有挑戰(zhàn)性的問題.同時(shí)在特定的應(yīng)用場(chǎng)景中，需要傳輸?shù)奈募糠置舾行畔?，因此如何在?shù)據(jù)傳輸中保證這些信息不被泄露也亟待解決.

本文的主要貢獻(xiàn)包括3個(gè)方面:

1) 提出了標(biāo)準(zhǔn)模型下安全的可追蹤屬性基凈化簽名(traceable attribute-based sanitizable signature, T-ABSS)方案.

2) 提出的方案不僅保護(hù)了簽名者的隱私、提供細(xì)粒度訪問控制，避免惡意簽名者濫用簽名，同時(shí)還解決了數(shù)據(jù)傳輸中的敏感信息隱藏問題.

3) 在標(biāo)準(zhǔn)模型下證明了方案的安全性，其安全性可規(guī)約到CDH問題的困難性假設(shè).

1 相關(guān)工作

根據(jù)訪問策略部署位置的不同，ABE[4]可以劃分為密鑰策略屬性基加密(KP-ABE)和密文策略屬性基加密(CP-ABE).在KP-ABE[5-7]中，密文和一個(gè)描述性屬性集合相關(guān)聯(lián)，用戶的私鑰是由描述用戶解密權(quán)限的訪問結(jié)構(gòu)生成.當(dāng)且僅當(dāng)密文的屬性集合滿足用戶的訪問結(jié)構(gòu)時(shí)，用戶才可以解密密文.在CP-ABE[8-14]方案中，密文與一個(gè)訪問結(jié)構(gòu)相關(guān)聯(lián)，密鑰由一個(gè)描述性屬性集合標(biāo)記，當(dāng)且僅當(dāng)密鑰的屬性集合滿足密文的訪問結(jié)構(gòu)時(shí)用戶才能成功解密.

雖然ABE提供數(shù)據(jù)的保密性并且支持細(xì)粒度訪問控制，但是不支持完整性和認(rèn)證性.屬性基簽名(attribute-based signature, ABS)是解決這一問題的重要密碼技術(shù).2011年Maji等人首次提出ABS方案[15]，給出了ABS方案的通用構(gòu)造方法并在一般群模型中證明了方案的安全性.2011年Okamoto等人提出一種支持非單調(diào)訪問結(jié)構(gòu)的高效ABS簽名方案[16]，并在標(biāo)準(zhǔn)模型下給出了方案的安全性證明.2020年張應(yīng)輝等人[17-18]提出服務(wù)器輔助且可驗(yàn)證的屬性基簽名方案，并應(yīng)用于工業(yè)物聯(lián)網(wǎng)中.屬性基簽名方案具有匿名性，可以隱藏簽名者的真實(shí)身份，但惡意的簽名者卻能利用這一特性濫用簽名而無法被追蹤.為了解決這一問題，2011年Alex等人[19]提出了可追蹤身份的ABS方案.一旦惡意情況發(fā)生，私鑰生成中心(Private Key Generator, PKG)可以使用追蹤密鑰確定簽名者的真實(shí)身份.由于方案使用自同構(gòu)簽名并多次使用非交互證據(jù)不可區(qū)分，從而導(dǎo)致方案效率較低.2012年張秋璞等人[20]基于緊致群簽名方案，提出一種可追蹤身份的ABS方案，減少了非交互證據(jù)不可區(qū)分的使用次數(shù)且無須使用自同構(gòu)簽名，提高了方案的計(jì)算效率.由于這些方案使用單一密鑰授權(quán)機(jī)構(gòu)，存在密鑰托管問題.2014年Kaafarani等人[21]提出一種可追蹤身份的分布式屬性基簽名方案.由于用戶私鑰由多授權(quán)機(jī)構(gòu)共同產(chǎn)生，因此減輕了密鑰托管問題.可追蹤身份的屬性基簽名方案不僅可以確保數(shù)據(jù)的完整性，而且可以防止惡意簽名者濫用簽名，能夠應(yīng)用于不需要完全匿名的應(yīng)用場(chǎng)景，如電子金融交易、工程項(xiàng)目審批等.但在一些特殊的應(yīng)用場(chǎng)景(電子商務(wù)或者是電子醫(yī)療系統(tǒng))中，因?yàn)榭蛻糍Y金轉(zhuǎn)賬細(xì)節(jié)不能公開或是病患的診療結(jié)果要求保密等，需要對(duì)簽名數(shù)據(jù)中的一些敏感信息進(jìn)行修改使隱私部分不再公開可見，這樣的方法稱為“凈化”.可凈化數(shù)字簽名(sanitizable signature)允許凈化者在不知道原始簽名者私鑰的前提下修改已簽名數(shù)據(jù)的部分內(nèi)容，并為凈化后的數(shù)據(jù)生成有效簽名[22].2005年Ateniese等人[23]利用變色龍哈希函數(shù)提出一種可凈化簽名方案并在隨機(jī)預(yù)言模型下給出了方案的安全性證明，該方案具有不變性和強(qiáng)透明性.2011年Ming等人[24]提出了基于身份的可凈化簽名方案并在標(biāo)準(zhǔn)模型下證明了方案的安全性.由于該方案在驗(yàn)證過程中需要使用簽名者身份作為公鑰，因此無法提供匿名性.為了實(shí)現(xiàn)簽名者的匿名性，2013年Liu等人[25-26]提出了屬性基可凈化簽名方案，在解決敏感信息隱藏的同時(shí)也保證了簽名者的匿名性.2020年Samelin等人[27]提出了一個(gè)屬性基可凈化簽名方案，可以實(shí)現(xiàn)對(duì)凈化者的完全審計(jì)功能.

2 預(yù)備知識(shí)

本節(jié)介紹文中用到的相關(guān)知識(shí)，包括雙線性映射、拉格朗日插值、CDH困難問題.

2.1 雙線性映射

假設(shè)G和GT是n階乘法循環(huán)群，其中n=pq,p和q是大素?cái)?shù).g是G的生成元.一個(gè)雙映射e:G×G→GT具有3個(gè)性質(zhì)：

1) 雙線性.對(duì)任意a,b∈Zn,有e(ga,gb)=e(g,g)ab.

2) 非退化性.e(g,g)≠1.

3) 可計(jì)算性.對(duì)所有u,v∈G，存在多項(xiàng)式時(shí)間算法計(jì)算e(u,v).

2.2 拉格朗日插值

其中，|S|=d.

2.3 CDH問題和困難問題假設(shè)

CDH困難問題假設(shè)：若不存在多項(xiàng)式時(shí)間算法以不可忽略的概率ε解決群G上的CDH問題，則稱CDH問題在群G上是(t,ε)困難的.

3 可追蹤屬性基凈化簽名方案形式化定義和安全模型

基于文獻(xiàn)[19]中屬性基簽名的形式化定義，我們提出了可追蹤的屬性基凈化簽名的形式化定義.

3.1 T-ABSS方案的形式化定義

T-ABSS方案包含6個(gè)部分：

1) 設(shè)置.給定安全參數(shù)λ，生成公共參數(shù)params、主密鑰msk和追蹤密鑰TK.

2) 密鑰生成.該算法輸入為用戶身份u、屬性集合ωa、公共參數(shù)params和主密鑰msk，輸出用戶私鑰Du,ωa.

3) 簽名.該算法輸入消息m、簽名者屬性集合ωa與私鑰Du,ωa、凈化者屬性集合ωb和公共參數(shù)params，輸出消息m的簽名σ.簽名者將消息m和簽名σ以及秘密值集合SI發(fā)送給凈化者.

4) 凈化.簽名者聲明可凈化的消息索引集合IS?{1,2,…,l}.凈化者輸入消息m、公共參數(shù)params、m的簽名σ、凈化者的屬性集合ωb和簽名者發(fā)送的秘密值集合SI進(jìn)行凈化操作.算法輸出凈化消息m′和凈化簽名σ′.

5) 驗(yàn)證.該算法由驗(yàn)證者運(yùn)行，輸入凈化的消息簽名對(duì)(m′,σ′)、公開參數(shù)params、簽名者屬性集合ωa和凈化者屬性集合ωb.若為有效簽名，則算法輸出accept；否則輸出reject.

6) 追蹤.該算法由PKG執(zhí)行，輸入簽名σ和追蹤密鑰TK，輸出簽名者的身份u.

T-ABSS系統(tǒng)模型如圖1所示.私鑰生成中心PKG收到簽名者發(fā)送的屬性集合ωa和身份u后，為簽名者產(chǎn)生私鑰Du,ωa.利用簽名算法，簽名者產(chǎn)生關(guān)于消息m的簽名σ，并將(m,σ)發(fā)送給凈化者.凈化者對(duì)可凈化范圍內(nèi)的敏感信息進(jìn)行修改，并重新生成關(guān)于凈化后消息m′的簽名σ′.凈化者將凈化簽名(m′,σ′)發(fā)送給驗(yàn)證者，驗(yàn)證者運(yùn)行驗(yàn)證算法判斷簽名是否有效.若有效，則輸出accept；否則輸出reject.最后，當(dāng)發(fā)生簽名者濫用簽名行為時(shí)，PKG可以執(zhí)行追蹤算法計(jì)算出惡意簽名者的身份u.

Fig. 1 The framework of T-ABSS圖1 T-ABSS方案框架

3.2 安全模型

3.2.1 不可偽造性

本文可追蹤屬性基凈化簽名方案使用門限簽名策略(ω,d,Y)，其中ω表示包含n個(gè)屬性的集合，門限為d，則Y={A?ω:|A|≥d}，其含義為簽名者至少擁有屬性集合ω中的d個(gè)屬性.基于文獻(xiàn)[18]中的安全模型，定義本文的不可偽造性游戲.

1) 初始化.敵手A首先聲明將要挑戰(zhàn)的簽名策略(ω*,d,Y*).

2) 設(shè)置.挑戰(zhàn)者B執(zhí)行設(shè)置算法，輸入安全參數(shù)λ，輸出公開參數(shù)params和主密鑰msk，并將公開參數(shù)params發(fā)送給A，自己保留主密鑰msk.

3) 詢問.A自適應(yīng)地進(jìn)行有限次詢問操作，其中包括密鑰詢問、簽名詢問.

4) 密鑰詢問.A自適應(yīng)地向B詢問簽名者屬性集合ωa對(duì)應(yīng)的私鑰Du,ωa，對(duì)于所有的ωa都必須滿足|ωa∩ω*|

5) 簽名詢問.A自適應(yīng)地選擇簽名者屬性集合ωa和凈化者屬性集合ωb，通過密鑰生成算法生成簽名者私鑰Du,ωa，B利用簽名者的私鑰、簽名者的屬性集合、凈化者的屬性集合以及消息m的每一位，通過簽名算法生成簽名并發(fā)送給A.

定義1.如果任意概率多項(xiàng)式時(shí)間t的敵手進(jìn)行至多qk次私鑰詢問和至多qs次簽名詢問，并且以不超過ε的優(yōu)勢(shì)贏得不可偽造游戲，則T-ABSS方案是(t,qk,qs,ε)—不可偽造的.

3.2.2 不可區(qū)分性

基于文獻(xiàn)[19]中的安全模型，定義本文的不可區(qū)分性游戲.不可區(qū)分性游戲可以通過挑戰(zhàn)者B和敵手A之間的交互來刻畫.

1) 設(shè)置.B執(zhí)行設(shè)置算法，輸出公開參數(shù)params和主密鑰msk，然后將公開參數(shù)params發(fā)送給A，自己保留主密鑰msk.

2) 階段1.同不可偽造游戲中的詢問操作，A適應(yīng)性地進(jìn)行有限次密鑰和簽名詢問.

4) 階段2.同階段1中執(zhí)行的詢問操作，A可以自適應(yīng)地進(jìn)行有界次密鑰生成詢問和簽名詢問.

5) 猜測(cè).最終，A輸出一個(gè)值b′，若b=b′則贏得游戲.其中,A贏得游戲的優(yōu)勢(shì)可以定義為Adv(A)=|Pr[b=b′]-1/2|.

定義2.如果任意概率多項(xiàng)式時(shí)間t的敵手進(jìn)行至多qk次私鑰詢問和至多qs次簽名詢問，并且以不超過ε的優(yōu)勢(shì)贏得不可區(qū)分游戲，那么T-ABSS方案是(t,qk,qs,ε)—安全的.

3.2.3 不變性

不變性要求凈化者只能對(duì)凈化范圍內(nèi)的數(shù)據(jù)進(jìn)行凈化，而禁止對(duì)凈化范圍之外的數(shù)據(jù)進(jìn)行任何修改.可追蹤身份的屬性基凈化簽名方案的不變性可以通過敵手A和挑戰(zhàn)者B之間的游戲來刻畫.

2) 設(shè)置.B執(zhí)行設(shè)置算法，輸出公開參數(shù)params和主密鑰msk，將公開參數(shù)params發(fā)送給敵手A，自己保留主密鑰msk.

3) 詢問.同不可偽造游戲中的詢問操作，A自適應(yīng)地進(jìn)行有界次密鑰詢問和簽名詢問.在簽名詢問中，B將秘密值集合SI發(fā)送給A.

①σ*是一個(gè)有效簽名.

定義3.如果任意概率多項(xiàng)式時(shí)間t的敵手進(jìn)行至多qk次私鑰詢問和至多qs次簽名詢問，并且以不超過ε的優(yōu)勢(shì)贏得不變性游戲，則T-ABSS方案是(t,qk,qs,ε)—不變的.

4 方案構(gòu)造

給出方案的具體構(gòu)造.T-ABSS方案包含6個(gè)算法：設(shè)置、密鑰生成、簽名、凈化、驗(yàn)證和追蹤.

則σ=(σ0,σ1,σai,σbi,c,c1,…,cv,π1,…,πv)為簽名.

4) 驗(yàn)證.驗(yàn)證者通過等式驗(yàn)證簽名的正確性為

若等式成立，則簽名有效.驗(yàn)證算法不僅適用于非凈化消息簽名對(duì)，同時(shí)也適用于凈化后的消息簽名對(duì).

為凈化簽名.

6) 追蹤.輸入σ(或是σ′)和追蹤密鑰q，返回簽名者的身份u，首先驗(yàn)證簽名是否有效.若簽名有效，則PKG對(duì)每一個(gè)ci計(jì)算(ci)q，若(ci)q=g0,則u[i]=0；若(ci)q=(ui)q，則u[i]=1，從而可以恢復(fù)出簽名者身份u.

5 正確性和安全性分析

5.1 正確性分析

通過證明等式成立表明T-ABSS方案滿足正確性要求.

通過分析可知凈化簽名的分布和原始簽名的分布是一樣的，因此凈化簽名也能通過驗(yàn)證等式.

5.2 安全性分析

5.2.1 不可偽造性

定理1.在選擇簽名策略和選擇消息攻擊模型下，如果敵手A以不可忽略的概率ε攻方案，那么挑戰(zhàn)者B以不可忽略的優(yōu)勢(shì)：

解決CDH問題.

2) 設(shè)置.B接收到(g,gα,gβ)，令g1=gα，g2=gβ.隨機(jī)選擇k次多項(xiàng)式f(X)，計(jì)算k次多項(xiàng)式φ(X)：當(dāng)X∈ω*時(shí)，令φ(X)=-Xk；否則，令φ(X)≠-Xk.所以當(dāng)且僅當(dāng)X∈ω*時(shí)，有φ(X)=-Xk.

對(duì)任意消息m和身份u都有：

對(duì)于用戶u，B隨機(jī)選取s∈Zp，計(jì)算Du,0=gs，Du,1=hs；

4) 簽名詢問.假設(shè)A最多進(jìn)行qs次簽名詢問，其中簽名者的身份為u，屬性集合為ωa，簽名策略為(ω，d，Y).若|ωa∩ω|

模擬簽名為σ=(σ0,σ1,σai,σbi,c,c1,…,cv,π1,…,πv).

5) 追蹤詢問.B直接按原方案運(yùn)算并返回相關(guān)結(jié)果給A.

若F(u*)≠0 modp或者K(m*)≠0 modp，則模擬終止.因此，當(dāng)F(u*)=0 modp，K(m*)=0 modp時(shí)，有W(u*)=gJ(u*)，c*=gJ(u*)hθ.

B計(jì)算輸出：

其中

因此，如果A能夠偽造一個(gè)消息的有效簽名，那么B就能成功地解決CDH問題.

證畢.

5.2.2 概率分析

分析在5.2.1節(jié)模擬中挑戰(zhàn)者B沒有發(fā)生終止的概率.若B不發(fā)生終止，需要以下事件成立.在簽名詢問時(shí)詢問了qm個(gè)不同的消息.

1)E1i：K(mi)≠0 modlm，其中，i=1,2,…,qm；

2)E2：K(m*)≠0 modp；

3)E3：F(u*)≠0 modp.

則B不發(fā)生終止的概率為

同時(shí)，對(duì)于所有的i=1,2,…,qm，事件E1i和事件E2是相互獨(dú)立的，因此有：

因此解決CDH問題的概率為

5.2.3 不可區(qū)分性

定理2.提出的T-ABSS方案在適應(yīng)性選擇消息攻擊下是不可區(qū)分的.

通過敵手A和挑戰(zhàn)者B的交互游戲給出不可區(qū)分性證明：

1) 設(shè)置.B選擇與不可偽造游戲中相同的系統(tǒng)參數(shù)params，并隨機(jī)選擇u′,u1,…,uk∈Gp，將系統(tǒng)參數(shù)params發(fā)送給A；

2) 階段1.B知道主密鑰，因此它可以運(yùn)行密鑰生成算法、簽名算法來回應(yīng)A的密鑰詢問和簽名詢問.

4) 階段2.當(dāng)接收到消息簽名對(duì)后，A仍可以進(jìn)行密鑰詢問和簽名詢問.

通過計(jì)算分析可知下面2個(gè)分布是相同的，因此可以表明2個(gè)凈化簽名是不可區(qū)分的.

綜上所述，2個(gè)分布的概率是相同的，因此A能區(qū)分2個(gè)簽名的優(yōu)勢(shì)也是可以忽略的，所以提出的方案具有不可區(qū)分性.

證畢.

5.2.4 不變性

定理3.如果ε′-CDH假設(shè)在群G中成立，則提出的T-ABSS方案具有ε-不變性，其中ε<ψε′，ψ為一常數(shù).

證明.假設(shè)可凈化集合為IS?{1,2,…,l}，凈化者在已知秘密值{SIi:i∈IS}的情況下無法對(duì)可凈化集合之外的數(shù)據(jù)進(jìn)行修改.可以通過證明下面關(guān)于不變性的引理1來證明定理3.

引理1.如果對(duì)于任何概率多項(xiàng)式時(shí)間的敵手A1可以對(duì)凈化部分IS中的k長(zhǎng)度消息進(jìn)行凈化，并且能夠以εb的優(yōu)勢(shì)贏得游戲，那么就存在一個(gè)概率多項(xiàng)式敵手A能夠以εa≥εb的優(yōu)勢(shì)在不可偽造游戲中對(duì)l-k長(zhǎng)度的消息偽造一個(gè)有效簽名.根據(jù)文獻(xiàn)[28]給出證明過程.

證明.假設(shè)存在敵手A1在不變性游戲中可以對(duì)l長(zhǎng)度的消息可凈化部分IS中的k長(zhǎng)度進(jìn)行凈化，并且能夠以εb的優(yōu)勢(shì)進(jìn)行游戲.我們考慮敵手A對(duì)l-k長(zhǎng)度的消息進(jìn)行不可偽造游戲.下面我們可以將A模擬成挑戰(zhàn)者與A1交互從而使得A在不可偽造游戲中獲得εa≥εb的優(yōu)勢(shì).在設(shè)置階段，A和A1以及在不可偽造游戲中的挑戰(zhàn)者B進(jìn)行交互：

1) 首先A1將可凈化索引集合IS發(fā)送給A，為了簡(jiǎn)化表述我們令I(lǐng)S={l-k+1,l-k+2,…,l}，其中l(wèi)表示消息的長(zhǎng)度，k=|IS|.

2)B將公開參數(shù)params={d,g,g1,g2,h,t1,…,tk+1,e,u′,U,w′,w1,…,wl-k}發(fā)送給A.

模擬階段中，在j=1,2,…,qs次詢問中，A通過與B的交互來回答A1的簽名詢問：

1)A1向A進(jìn)行關(guān)于消息mj=mj,1,mj,2,…,mj,l的簽名詢問.

2)A向B進(jìn)行關(guān)于消息mj=mj,1,mj,2,…,mj,l-k的簽名詢問.

在挑戰(zhàn)階段，如果A1能成功偽造一個(gè)消息m*′的簽名σ*′，那么A就能通過以下方法獲得一個(gè)有效簽名：

引理1證畢.

從定理1中可知，在CDH困難問題假設(shè)下敵手贏得不可偽造游戲的概率是可以忽略的.通過證明引理1可得，在CDH困難問題假設(shè)下，任何概率多項(xiàng)式時(shí)間算法贏得不變性游戲的優(yōu)勢(shì)也是可以忽略的.

定理3證畢.

6 方案分析

為了解決特定應(yīng)用場(chǎng)景中的敏感信息隱藏、用戶隱私保護(hù)以及簽名者身份追蹤問題，我們提出了可追蹤身份的屬性基凈化簽名方案(T-ABSS).本節(jié)我們將T-ABSS與已有的文獻(xiàn)相比較,分析方案優(yōu)勢(shì).文獻(xiàn)[29]給出了標(biāo)準(zhǔn)模型下安全的基于身份的簽名方案，該方案避免了公鑰證書的產(chǎn)生和分發(fā)但不能保護(hù)簽名者的隱私和細(xì)粒度訪問控制，同時(shí)該方案不具有可凈化性.文獻(xiàn)[20]給出了一種標(biāo)準(zhǔn)模型下安全的屬性基可追蹤簽名方案，該方案在提供簽名者身份隱私保護(hù)和細(xì)粒度訪問控制功能的同時(shí)也能追蹤簽名者的身份，但是該方案不具有可凈化性.文獻(xiàn)[24]方案給出了標(biāo)準(zhǔn)模型下安全的基于身份的可凈化簽名方案，實(shí)現(xiàn)了敏感信息的隱藏，但由于使用簽名者公開信息作為公鑰不能保護(hù)身份隱私同時(shí)也不具有細(xì)粒度訪問控制.文獻(xiàn)[25]給出了標(biāo)準(zhǔn)模型下安全的屬性基凈化簽名方案，但是不能追蹤簽名者的身份防止簽名者濫用簽名.我們提出的T-RABS不僅實(shí)現(xiàn)了簽名者隱私保護(hù)和細(xì)粒度訪問控制，同時(shí)也提供了敏感信息隱藏和簽名者身份追蹤功能，在標(biāo)準(zhǔn)模型下我們給出了方案的安全性證明.方案對(duì)比如表1所示：

Table 1 Comparison of Schemes表1 方案比較

7 性能分析

基于Ubuntu 18.4，我們?cè)贑harm0.5框架下實(shí)現(xiàn)了提出的方案.使用Intel?CoreTMi5-3230M CPU@2.60 GHz，4 GB RAM性能計(jì)算機(jī)，利用Charm庫(kù)中的超奇異橢圓曲線(SS1024)測(cè)試方案.實(shí)驗(yàn)中群G的階為n，其中n=pq,p和q為512 b的大素?cái)?shù).在實(shí)驗(yàn)計(jì)算機(jī)上測(cè)試主要密碼學(xué)操作開銷，經(jīng)過1 000次測(cè)量取平均值后得到實(shí)驗(yàn)中計(jì)算雙線對(duì)所需時(shí)間為0.053 s，在群G和GT中執(zhí)行指數(shù)運(yùn)算所需時(shí)間分別為0.028 s和0.002 s.實(shí)驗(yàn)結(jié)果表明在T-ABSS方案中，簽名長(zhǎng)度隨著簽名者屬性數(shù)量的增加而增加，密鑰生成、簽名產(chǎn)生、驗(yàn)證簽名和凈化所需時(shí)間也與簽名者屬性數(shù)量線性相關(guān).T-ABSS方案及其比較實(shí)驗(yàn)結(jié)果如圖2～4所示.

Table 2 Computation Cost of T-ABSS表2 T-ABSS方案計(jì)算開銷

Table 3 Comparison of Computation Cost表3 計(jì)算開銷比較

Fig. 2 Analysis of T-ABSS圖2 T-ABSS方案性能分析

Fig. 3 Analysis of signing algorithm圖3 簽名算法性能分析

Fig. 4 Analysis of verifying algorithm圖4 驗(yàn)證算法性能分析

分析結(jié)果表明：提出的T-ABSS方案由于增加了凈化功能，所以隨著簽名者屬性數(shù)量的線性增長(zhǎng)，在簽名產(chǎn)生和簽名驗(yàn)證過程所需要的時(shí)間高于張秋璞等人[20]提出的可追蹤屬性基簽名方案所需時(shí)間.接下來，我們將對(duì)如何提高方案的效率做出進(jìn)一步研究.

8 結(jié)束語(yǔ)

本文在屬性基簽名方案的基礎(chǔ)上提出了一種可追蹤身份的屬性基凈化簽名方案，不僅解決了敏感信息隱藏問題，同時(shí)還避免了簽名者濫用簽名.在現(xiàn)有安全模型的基礎(chǔ)上，我們給出了方案的安全模型和詳細(xì)構(gòu)造，并在標(biāo)準(zhǔn)模型下給出了方案的安全性證明.通過與現(xiàn)有方案的對(duì)比分析可知，我們的方案更適用于電子醫(yī)療、電子政務(wù)等特殊應(yīng)用場(chǎng)景中.