属性签名（attribute-based signature, ABS）^[1]是一种灵活的密码学工具，能用属性替代身份来标识用户. 在ABS方案中，签名者通过访问策略对消息进行签名，验证者验证该签名可以判断签名者是否满足访问策略但不能确定其身份和具体属性，在访问控制中保障了签名用户的隐私性. 在后续的研究中，可追踪的属性签名^[2]被提出以平衡ABS匿名性的使用.

属性签名和属性加密^[3]类似，也可分为签名策略属性签名（signature-police attribute-based signature, SP-ABS）^[4-5] 和密钥策略属性签名（key-policy attribute-based signature, KP-ABS）^[6]. 对于SP-ABS，属性嵌入在密钥中，访问策略嵌入在签名中，适用于1对多的认证场景，能对不同的访问策略直接提供不同的签名，而无需更新密钥. 现有的SP-ABS方案在验证阶段的配对运算或指数运算大多和属性个数关联，导致计算开销巨大. 其次，访问策略是由验证者直接提供给签名者签名，容易泄露访问策略当中隐私敏感的信息. 因此，设计一个支持策略隐藏且计算高效的SP-ABS方案是有必要的.

SM9是中国商用密码中的标识密码算法标准^[7]，包括数字签名算法、密钥交换协议、密钥封装机制和公钥加密算法. SM9签名算法通过身份标识用户，是一种安全性和效率都很高的签名方案. 基于属性的签名通过属性标识用户，身份也可以看作是属性的一部分，因此SM9签名算法作为基于身份体系下的密码方案，十分适用于属性签名算法的改造. 目前，在面向国家密码算法自主可控的战略需求下，尚未有基于SM9的高效SP-ABS方案.

针对上述问题，本文提出一种基于SM9的支持策略隐藏的可追踪属性签名（policy hidden traceable attribute-based signature, PH-TABS）方案. 本文的贡献主要有3点：

1）通过采用将属性拆分为名和值的线性秘密共享方案（linear secret sharing scheme，LSSS）构造基于SM9的SP-ABS方案，该方案同时具有策略可隐藏和身份可追踪的功能.

2）通过安全性分析，证明本文方案在随机谕言机模型下具有不可伪造性.

3）通过计算开销对比分析，表明本文方案在验证阶段只需要常数量级的配对运算和指数运算，相较于现有方案有更高的计算效率. 其次，实验仿真对比结果也表明本文方案在性能上优于现有方案.

1.   相关工作

基于属性的密码方案为数据的细粒度访问控制提供了支持，其中基于属性的加密在发展^[8-10]中扩展出了基于属性的签名，Maji等人^[1]提出了基于属性的签名定义，但是他们提出的实例很复杂，其中第3个实例被证明是不安全的^[11]. Xiong等人^[12]通过将计算委托给服务器以降低设备的计算开销，使得属性签名可应用于工业物联网. Su等人^[13]结合区块链提出一种可撤销的属性签名方案，用于保护电子病历共享系统中的用户隐私. Li等人^[14]提出一种多权威机构的基于属性的混合签名方案，保障了边缘计算环境下用户的身份隐私和数据可靠性. 张应辉等人^[15]在服务器辅助的基础上提出了可验证的属性签名方案. Yang等人^[16]利用属性加密和属性签名提出一个医疗数据共享方案. 上述基于属性的签名方案着重于解决计算效率和用户隐私等问题，隐藏签名者身份是属性签名的优点，但一些恶意的签名者可以滥用该优点签署任何消息并否认他们的签名行为. 因此，可追踪的基于属性的签名方案被不少人重视并提出. Cui等人^[17]在车辆特设网络中通过可追溯性和可撤销性扩展了标准的属性签名方案，防止车辆通信受到匿名性滥用的影响. Gu等人^[18]在标准模型中提出一种支持单调谓词的可追踪属性签名方案. Belguith等人^[19]提出一个新颖的可追踪的属性签名以实现云中匿名认证. 李继国等人^[20]为防止属性密钥和敏感信息的泄露提出了可追踪的属性基净化签名方案.

在基于属性的访问控制研究中，往往涉及访问策略的使用，然而访问策略在某些情况下可能会包含敏感信息，例如医疗记录中的访问策略“糖尿病 AND （医生 OR 护士）”容易暴露患者可能存在糖尿病相关问题. 因此策略隐私也成为了研究人员们关注的重点. Zhang等人^[21]将属性表示为属性名和属性值，与密码文本相关的访问策略只包括属性名，从而实现了部分策略隐藏. 王悦等人^[22]通过合数阶双线性群提出一种基于包含正负及无关值的“与门”的策略隐藏方案. Han等人^[23]利用属性拆分的LSSS^[21]提出一种可实现撤销和白盒追踪的策略隐藏方案. 在属性基的加密机制中，策略由数据拥有者持有并嵌入在加密密文中，需对数据访问者隐藏，在1对多的认证场景中，策略由验证者持有并提供给签名者签署消息，同样也需要对签名者隐藏.

SM9标识密码算法发展至今已相继成为国际标准和国家标准，但基于SM9构造的属性基签名方案不多. 唐飞等人^[24]构造了基于SM9的可追踪属性签名方案. 朱留富等人^[25]通过在线/离线技术将高昂的操作预计算，实现轻量级的基于SM9的属性签名方案. 然而文献[24−25]方案均是KP-ABS类型的方案，KP-ABS将策略嵌入到密钥中，属性嵌入到签名中，在面对多种不同签名策略的场景时，需要先变更密钥再生成签名，反观SP-ABS能直接生成不同策略的签名.

综上所述，针对1对多的认证场景，现有的属性签名方案大多存在匿名性滥用、计算开销大、策略隐私容易泄露等问题，本文在SM9签名算法的基础上提出一种支持策略隐藏的可追踪属性签名方案，通过将拆分的LSSS矩阵构造访问结构嵌入到签名中，以及将属性嵌入到密钥中，能实现高效安全的细粒度访问控制.

2.   预备知识

本节主要介绍文中用到的相关知识，包括符号约定、双线性映射、q-SDH困难问题、访问结构、线性秘密分享方案和SM9标识签名算法.

2.1   符号约定

本文使用$\vartheta$表示安全参数，N为大素数，${\mathbb{Z}_N}$表示整数集合$\mathbb Z_N=${0, 1, 2, …,$N - 1$}，{0, 1}^*表示任意长度的比特串. 加法群上的标量乘运算用[k]P_i表示，其中P_i是加法群上的生成元，k$\in {\mathbb{Z}_N}$. M是大小为l×n的矩阵，$\rho$是将M的行与属性相关联的函数，M_i表示矩阵M的第i行. $\mathcal{V}$表示与访问结构(M,$\rho$)相关的属性值集合.

2.2   双线性映射

令G₁和G₂是2个N阶加法循环群，G_T是N阶乘法循环群，P₁和P₂分别是G₁, G₂的生成元，$\psi$表示G₁→G₂的映射，即$\psi$(P₂) = P₁，双线性映射e: G₁×G₂→G_T满足3个性质.

1）双线性. 对于任意m，n$\in {\mathbb{Z}_N}$，有以下等式成立：e([m]P₁, [n]P₂) = e([n]P₁, [m]P₂) = e(P₁, P₂)^mn.

2）非退化性. e(P₁, P₂)$\ne$1.

3）可计算性. e(P₁, P₂)是可以用有效方法计算的.

2.3   q-SDH困难问题

q-SDH困难问题^[26]描述如下：令P为G₁的生成元，Q为G₂的生成元，随机选择c$\in {\mathbb{Z}_N}$并给定一个q+2个元素的元组实例(P, Q, [a]Q, [a²]Q, …, [a^q]Q). 如果没有一个多项式时间算法能以不可忽略的优势$\varepsilon$计算$\left(c,\left[\dfrac{1}{{c + a}}\right]P\right)$，则称q-SDH问题是困难的.

2.4   访问结构

设置P = {P₁, P₂, …, P_n}是一组参与实体，如果$\forall$B, C满足B$\in \mathfrak{A}$，B$\subseteq$C则C$\in \mathfrak{A}$，那么集合$\mathfrak{A} \subseteq$2^P是单调的. 如果一个单调的访问结构$\mathfrak{A}$是由P上的非空子集组成的集合，即$\mathfrak{A} \subseteq {2^P}\backslash \varnothing$，那么包含在$\mathfrak{A}$中的集合称为授权集，否则称为非授权集.

2.5   线性秘密共享方案

设A = {A₁, A₂, …, A_n}是属性名集合，n为属性名个数，对于任意A_i$\in$A有属性值A_i={a_i,1, a_i,2, …, a_i,m}，其中m为属性名A_i的属性值个数. 设N是一个大素数，访问结构通过(M, $\rho$)表示，其中M是大小为l×n的矩阵，$\rho$是一个映射函数，将矩阵M的第i行M_i映射到A中的属性名. 定义在N上的线性秘密共享方案由以下算法组成：

1）Share((M, $\rho$), s)→${\{ {\lambda _i}\} _{i \in l}}$：设s是A上需要共享的秘密值，选择随机向量${\boldsymbol{\upsilon}}$=(s,${y_2}$,…,${y_n}$)，其中${y_2}$,…,${y_n} \in {\mathbb{Z}_N}$，计算s上相应属性名$\rho (i)$的秘密份额${\lambda _i} = {\boldsymbol{\upsilon}} \cdot {{\boldsymbol{M}}_i}$.

2）Reconstruction((M, $\rho$), S)→{s}：设S$\in \mathfrak{A}$是一个授权集合，对于索引集$I = \{ i:\rho (i) \in S\} \subset \{ 1,2, …,l\}$，存在常数集合${\{ {\omega _i} \in {\mathbb{Z}_N}\} _{i \in I}}$使得$\displaystyle\sum_{i \in I} {{\omega _i}{{\boldsymbol{M}}_i}}$= (1, 0, …, 0)，因此通过计算$\displaystyle\sum_{i \in I} {{\omega _i}{\lambda _i}}=s$可恢复出秘密.

设Attr = (${I_\mathcal{H}}$,$\mathcal{H}$)为签名者的属性集合，其中${I_\mathcal{H}} \subseteq$A是签名者的属性名集合，$\mathcal{H} = {\{ {h_i}\} _{i \in {I_\mathcal{H}}}}$是签名者的属性值集合，定义线性秘密共享方案的访问结构$\gamma = ({\boldsymbol{M}},\rho , \mathcal{V})$^[23]，其中$\rho$将M_i映射到A中的属性名，每个属性名只出现1次，$\mathcal{V} = {\{ {\nu _{\rho (i)}}\} _{i \in [1,l]}}$是与访问结构(M, $\rho$)相关的属性值集合. 如果存在$I = \{ i:\rho (i) \in S\} \subset \{ 1,2, …,l\}$满足(M, $\rho$)并且对于任意i$\in$I有${h_{\rho (i)}} = {\nu _{\rho (i)}}$，则认为签名者属性集Attr满足访问结构$\gamma$，否则Attr不满足$\gamma$. 设$\overline \gamma = ({\boldsymbol{M}},\,\rho )$为没有属性值集合的不完整访问结构.

2.6   SM9标识签名算法

根据SM9相关标准“GM/T 0044—2016 SM9标识密码算法”^[7]，SM9签名算法可以概括为4个算法：

1）系统初始化算法Setup(). 输入安全参数$\kappa$，选择哈希函数H₁，H₂: {0, 1}^*→${\mathbb{Z}_N}$，密钥生成中心KGC选择hid为公开的签名私钥生成函数识别符，KGC随机选择a$\in {\mathbb{Z}_N}$作为主私钥MSK，计算主公钥MPK = [a]P₂，公开MPK和系统公共参数PP = {G₁, G₂, G_T, P₁, P₂, H₁, H₂, hid}，PP作为以下3个算法的默认输入.

2）密钥生成算法KeyGen(). 输入给定用户A的身份标识ID_A和主私钥MSK，KGC计算用户A的签名私钥$S {K_{{A}}} = \left[\dfrac{a}{{{H_1}(I{D_{{A}}}||hid,N) + a}}\right]{P_1}$.

3）签名算法Sign(). 输入签名消息m、用户A的私钥SK_A和主公钥MPK. 用户A随机选择r$\in {\mathbb{Z}_N}$，计算h = H₂(m ||$e{({P_1},MPK)^r}$, N)，S = [($r - h$)]SK_A，输出签名$\sigma = (h,S)$.

4）验证算法Verify(). 输入系统主公钥MPK、消息m、用户A的身份标识ID_A和签名$\sigma '$. 验证者计算P = [H₁ ($ID_A\| hid, N$)] P₂ + MPK，验证h = H₂($m\|e( S',P )e({P_1}, MPK)^h$, N)是否成立，若成立，则签名$\sigma$合法，否则签名$\sigma$无效.

3.   形式化定义和安全模型

本节主要给出PH-TABS方案的形式化定义和安全模型. 方案的系统框架如图1所示，主要包括可信中心（KGC）、验证者以及签名者3个部分，其中签名者和验证者均属于用户的一部分. KGC负责为用户生成属性私钥SK_Use，并根据用户签名追踪用户的真实身份ID_Use，签名者根据验证者提供的消息m和访问结构$\overline \gamma = ({\boldsymbol{M}},\rho )$执行签名算法生成签名$\sigma$，验证者通过用户的签名验证该用户是否满足访问策略，验证通过返回accept，否则返回reject.

图  1  PH-TABS方案框架

Figure  1.  Framework of PH-TABS scheme

下载: 全尺寸图片 幻灯片

3.1   方案的形式化定义

PH-TABS方案由5个算法组成：

1）设置算法：Setup($\vartheta$,$U$)→{PP, MPK, MSK}. 输入安全参数$\vartheta$和系统属性个数$U$，输出公共参数PP、主公钥MPK和主私钥MSK、KGC秘密保存主私钥MSK.

2）密钥生成算法：KeyGen(PP, MSK, ID_Use, Attr)→{SK_Use}. 输入公共参数PP、主私钥MSK、用户身份ID_Use和用户属性集Attr = (${I_\mathcal{H}}$,$\mathcal{H}$)，输出属性私钥SK_Use.

3）签名算法：Sign(PP, m, SK_Use, $\overline \gamma$)→{$\sigma$}. 输入公共参数PP、消息m、属性私钥SK_Use和访问结构$\overline \gamma = ({\boldsymbol{M}},\rho )$，输出签名$\sigma$.

4）验证算法：Verify(PP, MPK, m, $\sigma '$, $\gamma$)→accept or reject. 输入公共参数PP、主公钥MPK、消息m、签名$\sigma '$和访问结构$\gamma = ({\boldsymbol{M}},\rho ,\mathcal{V})$，若签名验证通过，输出accept，否则输出reject.

5）追踪算法：Trace($\sigma$)→{ID_Use}. 输入签名$\sigma$，输出用户身份ID_Use.

PH-TABS方案的正确性要求对所有的(PP, MPK, MSK)←Setup ($\vartheta$,$U$)、所有属性Attr$\subseteq U$、所有属性私钥SK_Use←KeyGen (PP, MSK, ID_Use, Attr)、所有用户属性满足访问结构$\overline \gamma$(Attr)=1、所有消息m$\in${0,1}^*、所有签名$\sigma$←Sign (PP, m, SK_Use, $\overline \gamma$)，均有accept←Verify (PP, MPK, m, $\sigma$, $\gamma$).

3.2   安全模型

在本节中，定义PH-TABS在选择性签名策略和自适应选择消息攻击（selective signing policy and adaptively chosen message attack, SP-CMA）下存在不可伪造的安全模型如下：

1）设置. 伪造者$\mathcal{F}$声明挑战访问策略${\delta ^*}$并将其发送给算法$\mathcal{B}$. $\mathcal{B}$执行系统初始化算法，公开公共参数PP和主公钥MPK，秘密保存主私钥MSK.

2）密钥询问${\mathcal{O}_{\text{K}}}$. 伪造者$\mathcal{F}$自适应查询关于属性集Attr的属性私钥，其中${\delta ^*}$(Attr)$\ne$1并且Attr$\subseteq U$，算法$\mathcal{B}$执行密钥生成算法输出属性私钥SK_Use并发送给$\mathcal{F}$.

3）签名询问${\mathcal{O}_{\text{S}}}$. 伪造者$\mathcal{F}$询问关于任意访问策略$\delta$和消息m的签名. $\mathcal{B}$执行签名算法，输出$\sigma$并发送给$\mathcal{F}$.

4）伪造. 伪造者$\mathcal{F}$通过挑战访问策略${\delta ^*}$输出关于消息$m^*$的签名${\sigma ^*}$，若满足以下条件，则称$\mathcal{F}$能攻破PH-ABS的存在不可伪造安全模型.

①$\mathcal{F}$没有询问过任何关于属性集Attr^*的密钥，其中${\delta ^*}$( Attr^*) = 1.

②$\mathcal{F}$没有询问过任何关于访问策略${\delta ^*}$和消息$m^*$的签名.

③${\sigma ^*}$是一个关于访问策略${\delta ^*}$和消息$m^*$上的有效签名.

定义1. 如果所有多项式时间伪造者$\mathcal{F}$攻破上述存在不可伪造安全模型的概率是可忽略的，那么PH-ABS在选择性签名策略和自适应选择消息攻击下是存在不可伪造的.

4.   方案构造

本节主要给出PH-TABS方案的具体构造.

1）Setup($\vartheta$,$U$)→{PP, MPK, MSK}. KGC执行该算法，初始化系统参数. 给定安全参数$\vartheta$和系统属性个数$U$，定义系统属性集合A_i = {a_i,1, a_i,2, …, a_i,m}${}_{i \in [1,|U|]}$，其中A_i为属性名，a_i,m为A_i对应的属性值，设置阶均为N的加法循环群G₁, G₂和乘法循环群G_T；P₁, P₂分别是G₁, G₂的生成元，给定密码杂凑函数H₁, H₂: {0, 1}^*→$\mathbb{Z}_N^*$，计算群G_T中的元素$\mathcal{G} = e({P_1},MPK)$.

KGC选定私钥生成函数识别符hid（hid = 0x01），随机选择a$\in {\mathbb{Z}_N}$作为主私钥，计算主公钥$MPK = [a]{P_2}$.

公开公共参数PP=(N, P₁, P₂, G₁, G₂, hid, $\mathcal{G}$, H₁, H₂, ${ {A_i} = \{ {a_{i,1}},{a_{i,2}}, …,{a_{i,m}}\} _{i \in [1,|U|]}}$).

2）KeyGen(PP, MSK, ID_Use, Attr)→{SK_Use}. KGC执行该算法，根据用户属性Attr生成私钥SK_Use. 算法输入主私钥MSK、用户身份ID_Use$\in${0, 1}^*、用户属性集Attr = (${I_\mathcal{H}}$,$\mathcal{H}$)，其中${I_\mathcal{H}} \subseteq$A是用户的属性名集合，$\mathcal{H} = {\{ {h_i}\} _{i \in {I_\mathcal{H}}}}$是用户的属性值集合. KGC计算t₁ = H₁($ID_{\rm Use}\| hid, N$) + a，随机选择t$\in {\mathbb{Z}_N}$，计算t₂ = (a + t)$\cdot t_1^{ - 1}$，最后计算用户的属性私钥：

对于任意i$\in$${I_\mathcal{H}}$，计算

输出SK_Use = (sk₁, sk₂, sk₃, sk₄, { sk_i }$_{i \in {I_\mathcal{H}}}$).

3）Sign(PP, m, SK_Use, $\overline \gamma$)→{$\sigma$}. 验证者给定不完整的访问结构$\overline \gamma = ({\boldsymbol{M}},\rho )$和消息m$\in${0, 1}^*作为输入，签名者执行该算法，继续输入属性私钥SK_Use. 首先判断签名者属性是否满足访问结构，即$\overline \gamma ({I_\mathcal{H}}) = 1$，若不满足，算法输出⊥，表示签名失败；否则，继续如下计算：

随机选择r$\in {\mathbb{Z}_N}$，计算群G_T中的元素w = ${\mathcal{G}^r}$，计算h = H₂($m\|w$, N)，L = ($r - h$) mod N，若L = 0，重新执行该算法；否则，继续计算

令L为访问结构$\overline \gamma = ({\boldsymbol{M}},\rho )$的秘密值，其中M是大小为l×n的矩阵，$\rho$是将M的行与属性相关联的函数，选择2个随机向量${\boldsymbol{\upsilon }}$= y₂, …, y_n$\in {\mathbb{Z}_N}$，${\boldsymbol{\eta}}$= y_n+2, …, y_2n$\in {\mathbb{Z}_N}$. 对于i$\in$[1, l]，计算${\lambda _i} = {\boldsymbol{\upsilon}} \cdot {{\boldsymbol{M}}_i}$（表示每个属性所占秘密值的份额），${\tau _i} = {\boldsymbol{\eta}} \cdot {{\boldsymbol{M}}_i}$，其中M_i表示M的第i行向量. 随机选择d$\in {\mathbb{Z}_N}$，设$I = \{ i:\rho (i) \in {I_\mathcal{H}}\} \subset \{ 1, 2, …,l\}$，计算K = $\displaystyle\sum_{i \in I} {s{k_i}}$，然后计算：

最后，输出签名$\sigma = (h,{\sigma _0},{\sigma _1},{\sigma _2},{\sigma _3},{\{ {\sigma _i}\} _{i \in I}})$.

4）Verify(PP, MPK, m, $\sigma '$, $\gamma$)→accept or reject. 验证者执行该算法，验证签名的有效性. 算法输入主公钥MPK，消息m、签名$\sigma '$以及访问结构$\gamma = ({\boldsymbol{M}},\rho ,\mathcal{V})$，其中$\mathcal{V} = {\{ {v_{\rho (i)}}\} _{i \in [1,l]}}$是与访问结构$({\boldsymbol{M}},\rho )$相关的属性值. 验证者首先验证

若等式不成立，算法输出⊥，表示验证失败；否则计算群G_T中的元素

设$I = \{ i:\rho (i) \in {I_\mathcal{H}}\} \subset \{ 1,2, …,l\}$，如果${I_\mathcal{H}}$满足访问结构$\gamma$，则可以找到一组常数{${\omega _i}$$\in {\mathbb{Z}_N}$}$_{i \in I}$，使得$\displaystyle\sum_{i \in I} {{\omega _i}{\lambda _i}}$= L，$\displaystyle\sum_{i \in I} {{\omega _i}{\tau _i}}$= 1，计算

计算群G_T中的元素

计算h₂ = H₂($m\|w'$, N)，检查等式${h_2} = h'$是否成立，成立则表示签名验证通过，算法输出accept，否则输出reject.

5）Trace($\sigma$)→{ID_Use}. KGC执行该算法，追踪签名用户的真实身份. 由于${\sigma _1}$= [sk₄]P₂ + MPK，因此KGC可以在为用户生成密钥时提前预计算${\sigma _1}$的值，而sk₄ = H₁($ID_{\rm Use}\| hid, N$)包含用户身份ID_Use，KGC可维护二元组列表(ID_Use, ${\sigma _1}$). 算法输入用户签名$\sigma$，KGC通过查表即可得到签名用户的真实身份ID_Use并输出.

5.   正确性分析

若一个诚实用户的属性集满足验证者提出的访问结构，那么该用户的签名有效且可以正确地通过验证算法，正确性分析如下：

当用户的属性集Attr = (${I_\mathcal{H}}$,$\mathcal{H}$)满足访问结构$\gamma = ({{\boldsymbol M}},\,\rho ,\mathcal{V})$，那么该用户的属性名集合${I_\mathcal{H}}$和属性值集合$\mathcal{H} = {\{ {h_i}\} _{i \in {I_\mathcal{H}}}}$能通过验证算法正确计算$w' = {\mathcal{G}^r}$. 设$I = \{ i:\rho (i) \in {I_\mathcal{H}}\} \subset \{ 1,2, …,l\}$，根据LSSS的性质可以计算$\displaystyle\sum_{i \in I} {{\omega _i}{\lambda _i}}$= L，$\displaystyle\sum_{i \in I} {{\omega _i}{\tau _i}}$= 1，然后计算$w'$.

因此，用户的签名有效且能正确通过验证算法，PH-TABS方案满足正确性要求.

6.   安全性分析

6.1   策略隐藏性

PH-TABS方案的策略隐藏性主要体现在签名算法和验证算法中. 在签名算法中，验证者给定签名者不完整的访问结构$\overline \gamma = ({\boldsymbol{M}},\rho )$，该访问结构只能通过矩阵M和函数$\rho$映射到属性名，不包含属性名对应的属性值集合$\mathcal{V} = {\{ {\nu _{\rho (i)}}\} _{i \in [1,l]}}$，因此签名者执行签名算法时无法知道访问结构的具体属性值，也就无法知道完整的访问策略信息. 在验证算法中，验证者自身持有完整的访问结构$\gamma = ({\boldsymbol{M}},\rho ,\mathcal{V})$，其在验证算法中通过完整的访问结构$\gamma$验证签名者提供的属性签名是否合法，只有当签名者的属性名对应的属性值集合$\mathcal{H} = {\{ {h_i}\} _{i \in {I_\mathcal{H}}}}$满足${h_{\rho (i)}} = {\nu _{\rho (i)}}$时，签名验证通过，否则，签名不合法. 因此，PH-TABS方案能实现策略的部分隐藏，保障验证者的策略隐私.

6.2   抗串通攻击性

属性签名中的串通攻击是指多个属性不满足访问结构的用户试图结合他们的密钥来生成一个有效的签名. 在PH-TABS方案的密钥生成算法中，密钥SK_Use当中嵌入了随机数t$\in {\mathbb{Z}_N}$，t相当于盲化因子，这起到了区分用户密钥的作用，使得不同用户的密钥无法结合. 例如一个访问策略需要满足属性A和属性B，用户Alice拥有属性A的密钥$s{k_{{\text{Alice}},i}} = [{t_{{\text{Alice}}}}{a^{ - 1}}{h_A}]{P_1}$，用户Bob拥有属性B的密钥$s{k_{{\text{Bob}},i}} = [{t_{{\text{Bob}}}}{a^{ - 1}}{h_B}]{P_1}$，满足属性A和属性B的密钥$s{k_{AB,i}} = [{t_{AB}}{a^{ - 1}}{h_i}]{P_1}$，而${t_{{\text{Alice}}}} \ne {t_{{\text{Bob}}}} \ne {t_{AB}}$，他们无法通过密钥结合的方式形成一个新的密钥. 因此PH-TABS方案是满足抗串通攻击性的.

6.3   不可伪造性

定理1. 如果q-SDH问题在(G₁, G₂)上成立，那么PH-TABS方案是不可伪造的.

证明. 假设存在一个多项式时间伪造者$\mathcal{F}$能以不可忽略的优势$\varepsilon$攻破存在性不可伪造安全，那么可以构造一个概率多项式时间算法$\mathcal{B}$以不可忽略的优势解决q-SDH问题. $\mathcal{B}$和$\mathcal{F}$的安全游戏如图2所示，其中${\mathcal{C}_{q{\text{-SDH}}}}$表示q-SDH问题，${\mathcal{C}_{{\text{SP-CMA}}}}$表示选择性签名策略和自适应选择消息攻击. 安全游戏具体如下：

图  2  PH-TABS方案安全游戏

Figure  2.  Security game of PH-TABS scheme

下载: 全尺寸图片 幻灯片

1）设置. $\mathcal{F}$选定挑战访问结构${\overline \gamma ^*}$并发送给$\mathcal{B}$，$\mathcal{B}$获得一个q-SDH的随机实例(P, Q, [a]Q, [a²]Q, …, [a^q]Q)，其中P =$\psi$(Q). 令主私钥MSK = a，哈希询问：假设$\mathcal{F}$可以进行${q_{\rm H}}$次哈希询问，$\mathcal{B}$维护一个空列表L₁并记录二元组(ID_i,${\;\beta _i}$)，若$\mathcal{F}$询问关于ID_i的哈希值H₁已在L₁中，$\mathcal{B}$直接返回${\;\beta _i}$，若ID_i未曾被询问，则令H₁ ($ID_i\|hid, N$) =${\;\beta _i}$并记录(ID_i,${\;\beta _i}$)在L₁中. 定义2个多项式：

其中c_i$\in {\mathbb{Z}_N}$. P₁，P₂分别是G₁和G₂上的生成元，令P₁ = P，P₂ = Q，然后$\mathcal{B}$计算MPK = [a]P₂ = [a]Q，$\mathcal{G}$= e(P₁, MPK) = e(P, Q)^a.

2）密钥询问${\mathcal{O}_{\text{K}}}$. 假设$\mathcal{F}$可以进行${q_{\rm K}}$次密钥询问. $\mathcal{F}$向$\mathcal{B}$询问身份标识为ID_i的签名密钥SK_Use[i]，$\mathcal{B}$查询表L₁，若ID_i不在表中，则询问失败，$\mathcal{B}$退出游戏. 否则，设置$t = af\left( a \right)$，$\mathcal{B}$计算SK_Use[i]为：

然后$\mathcal{B}$将ID_i的签名密钥SK_Use[i]发送给$\mathcal{F}$.

3）签名询问${\mathcal{O}_{\text{S}}}$. 假设$\mathcal{F}$可以进行$q - 2$次签名询问且属性Attr_i 一定满足签名策略$\overline \gamma$(Attr_i) = 1. 设置r = h +$\dfrac{1}{a}$，$\mathcal{B}$计算w =${\mathcal{G}^r}$=$e{(P,Q)^{h + \tfrac{1}{a}}}$，h = H₂($m_i\|w,N$)，然后$\mathcal{B}$继续计算L = r – h =$\dfrac{1}{a}$，随机选择d$\in {\mathbb{Z}_N}$，计算签名${\sigma _{[i]}}$如下：

然后$\mathcal{B}$发送消息m_i的签名${\sigma _{[i]}}$给$\mathcal{F}$.

4）挑战. $\mathcal{F}$发送($m_i^*,{\sigma ^*}$)给$\mathcal{B}$，$\mathcal{B}$执行验证算法检查签名是否合法，不合法则挑战失败；否则，可得到$\sigma _0^* = \left[ \dfrac{{1 + f(a)}}{{a + {\beta _i}}} \right]\psi (Q)$，$f(a)$利用长除法可得$f(a) =$$\gamma (a)$($a +{\beta _i}$) + ${\gamma _{ - 1}}$，其中$\gamma (a) = \displaystyle\sum_{i = 0}^{q - 2} {{\chi _i}{a^i}}$，${\gamma _{ - 1}} \in {\mathbb{Z}_N}$，可得

最后，$\mathcal{B}$通过查表L₁获得${\;\beta _i}$，输出$\Bigg({\beta _i},\left[\dfrac{1}{{a + {\beta _i}}}\right]P\Bigg)$作为q-SDH问题的解.

综上所述，若安全游戏完整地进行，则要成功通过各阶段. 通过${q_{\rm K}}$次密钥询问，可得密钥全部成功的概率为${\left(\dfrac{{{q_{\text{K}}}}}{{{q_{\text{H}}}}}\right)^{{q_{\text{K}}}}}$；通过$q - 2$次签名询问，可得签名全部询问成功的概率为${\left(\dfrac{{q - 2}}{{{q_{\text{H}}}}}\right)^{q - 2}}$；在密钥询问、签名询问均成功通过后，挑战成功的概率为$\dfrac{1}{{{q_{\text{H}}}}}$. 综合可得，$\mathcal{B}$获胜的概率为$\dfrac{{{{({q_{\text{K}}})}^{{q_{\text{K}}}}}{{(q - 2)}^{q - 2}}}}{{{{({q_{\text{H}}})}^{{q_{\text{K}}} + q - 1}}}}\varepsilon$. 总结，q-SDH问题是难解的，PH-TABS方案是不可伪造的. 证毕.

7.   方案分析

在本节中，通过与现有工作进行比较，结果如表1所示. 文献[24-25]均给出了KP-ABS类型的基于SM9的属性签名方案，但KP-ABS在1对多认证场景中需要频繁地更新密钥，适用性不足. 文献[16, 19]均给出了SP-ABS类型的属性签名方案，但方案在验证阶段的配对运算均与属性个数相关，且不具备策略隐藏功能. 本文提出的PH-TABS方案，访问策略使用表达性丰富的LSSS，不仅具有策略隐藏和身份可追踪的功能，在验证阶段只需要常数量级的配对运算和指数运算，能支持高效的细粒度访问控制.

表  1  方案比较

Table  1.  Comparison of Schemes

方案	类型	访问结构	可追踪	策略隐藏
文献[24]	KP-ABS	Tree	√	×
文献[25]	KP-ABS	And-Gates	×	×
文献[16]	SP-ABS	LSSS	×	×
文献[19]	SP-ABS	LSSS	√	×
本文方案	SP-ABS	LSSS	√	√
注：“√”表示方案支持该功能；“×”表示方案不支持该功能.

下载: 导出CSV 

| 显示表格

8.   性能分析

本节主要介绍本文方案与文献[16, 19]在计算开销、通信开销以及性能上的比较.

本文方案与文献[16, 19]的计算开销对比如表2所示. 其中T_e为群G_T上的指数运算，T_p为双线性配对运算，T_mul为群G₁或G₂上的标量乘运算，T_add为群G₁或G₂上的加法运算，i为签名者属性个数. 从表2中可以看出，本文方案在各阶段的计算中与属性相关的计算量均少于文献[16, 19]，尤其在签名阶段和验证阶段中，本文方案只需常数量级的配对操作. 因此，随着属性个数的增长，相比文献[16, 19]，本文方案的计算优势将越来越明显. 本文方案与文献[16, 19]的通信开销对比如表3所示. 其中$|G|,|{G_T}|,|{\mathbb{Z}_N}|$分别表示各个群元素的大小. 从表3中可以看出，本文方案在签名阶段和密钥生成阶段的通信开销和文献[19]相当，随着属性个数的增加，本文方案通信开销将远低于文献[16].

表  2  方案计算开销对比

Table  2.  Comparison of Computation Cost of Schemes

方案	设置	密钥生成	签名	验证
文献[16]	$i{T_{\text{p}}} + i{T_{\text{e}}} + i{T_{{\text{add}}}}$	$2i{T_{{\text{add}}}}$	$3i{T_{{\text{mul}}}} + (1 + 4i){T_{\text{p}}} + (1 + i){T_{\text{e}}}$	$i{T_{\text{p}}} + 2i{T_{\text{e}}}$
文献[19]	$(1 + i){T_{{\text{mul}}}} + {T_{\text{e}}}$	$(4 + i){T_{{\text{add}}}} + (6 + 2i){T_{{\text{mul}}}}$	$(7 + i){T_{{\text{add}}}} + (8 + 3i){T_{{\text{mul}}}} + 3{T_{\text{p}}} + {T_{\text{e}}}$	$(1 + i){T_{{\text{add}}}} + (1 + 2i){T_{{\text{mul}}}} + (1 + i){T_{\text{p}}} + {T_{\text{e}}}$
本文方案	${T_{{\text{mul}}}} + {T_{\text{p}}}$	$(3 + i){T_{{\text{mul}}}}$	$(1 + 2i){T_{{\text{add}}}} + (4 + 2i){T_{{\text{mul}}}} + {T_{\text{e}}}$	$i{T_{{\text{add}}}} + (1 + i){T_{{\text{mul}}}} + 5{T_{\text{p}}} + {T_{\text{e}}}$

下载: 导出CSV 

| 显示表格

表  3  方案通信开销对比

Table  3.  Comparison of Communication Cost of Schemes

方案	密钥生成	签名
文献[16]	$2i|G|$	$(1 + i)|{G_T}| + i|G|$
文献[19]	$(2 + i)|G|$	$(3 + i)|G| + 2|{G_T}|$
本文方案	$(3 + i)|G| + |{\mathbb{Z}_N}|$	$(4 + i)|G| + |{\mathbb{Z}_N}|$

下载: 导出CSV 

| 显示表格

本文方案与文献[16, 19]的各阶段性能以及总体性能对比如图3~7所示. 在操作系统64 b Windows11、Intel^® Core^TM i5-11400H CPU、内存16 GB的实验环境下，通过Java编程语言及其JPBC（Java pairing based cryptography）^[27]和BouncyCastle库仿真实现了本文方案与文献[16，19]的方案，椭圆曲线选取256 b的BN曲线，曲线方程为${y^2} = {x^3} + 5$，分别在属性个数为8，16，32，64的情况下测试了各个阶段以及总体方案的运行时间，其中实验数据均取给定属性个数下30次实验结果的平均值，其中文献[16, 19]是对称群下的方案，为保证实验对比条件的一致性，在仿真前均已将文献[16, 19]在通用方式下转换为非对称群下的方案^[28].

图  3  设置算法性能对比

Figure  3.  Performance comparison of setup algorithm

下载: 全尺寸图片 幻灯片

图  4  密钥生成算法性能对比

Figure  4.  Performance comparison of key generation algorithm

下载: 全尺寸图片 幻灯片

图  5  签名算法性能对比

Figure  5.  Performance comparison of signing algorithm

下载: 全尺寸图片 幻灯片

图  6  验证算法性能对比

Figure  6.  Performance comparison of verifying algorithm

下载: 全尺寸图片 幻灯片

性能对比实验结果表明，本文方案各阶段性能以及总体性能均优于文献[16, 19]. 尤其在验证阶段，本文方案只需常数量级的配对运算，随着属性个数的增加，性能优势明显.

图  7  方案总体性能对比

Figure  7.  Performance comparison of overall scheme

下载: 全尺寸图片 幻灯片

9.   结束语

为实现1对多认证场景下安全高效的细粒度访问控制，本文提出一种基于SM9的支持策略隐藏的可追踪属性签名方案，该方案在验证阶段只需常数量级的配对操作和指数操作，同时支持身份追踪和策略隐藏功能. 安全性分析中通过q-SDH难题证明了本文方案在随机谕言机模型下是不可伪造的，从功能、计算开销、通信开销以及性能4个方面的对比实验表明，本文方案有较高的效率.

作者贡献声明：周权负责理论指导、方案分析、论文修改；陈民辉提出初步方案、实验仿真、论文初稿撰写；卫凯俊和郑玉龙负责实验分析、论文修改.