魏 亮，黃振杰，陳群山

(1.福建省粒計算及其應(yīng)用重點實驗室(閩南師范大學(xué))，福建 漳州 363000; 2.閩南師范大學(xué)計算機(jī)學(xué)院，福建 漳州 363000)

1 引言

基于屬性密碼學(xué)，簡稱屬性密碼學(xué)，可提供細(xì)粒度和靈活的訪問控制，因而受到廣泛關(guān)注，成為近年來密碼學(xué)研究的熱點之一[1]?；趯傩院灻鸄BS(Attribute-based Signature)，簡稱屬性簽名，是屬性密碼學(xué)的重要組成部分。屬性簽名除了與屬性加密一樣可以進(jìn)行細(xì)粒度訪問控制之外，還具有通常數(shù)字簽名所不具備的隱私性(Privacy)[2]。

2005年,Sahai等[3]開始研究屬性加密，之后2008年,Maji等[2]開始研究屬性簽名，他們給出了屬性簽名的概念和安全模型。Maji等[2]提出的屬性簽名方案是針對單調(diào)訪問結(jié)構(gòu)的，2014年Okamoto等[4]提出了非單調(diào)謂詞的屬性簽名方案，并在標(biāo)準(zhǔn)模型下證明是安全的。2016年，Sakai等[5]提出一般邏輯電路謂詞的屬性簽名方案，可適用于任意訪問結(jié)構(gòu)。2019年，Datta等[6]提出了簽名策略為無界算術(shù)分支程序的屬性簽名方案。還有一些增加了額外性質(zhì)的屬性簽名方案，如基于屬性的外包[7]、可鏈接[8]、層次[9]、可撤銷[10]、代理[11]和動態(tài)門限[12]簽名方案等。

在一般的屬性簽名方案中，存在一個唯一的屬性權(quán)威中心。一旦權(quán)威中心出現(xiàn)腐敗，整個系統(tǒng)就沒有安全性可言了。作為一種解決方案，學(xué)者們提出了多權(quán)威機(jī)構(gòu)屬性簽名MAABS(Multi-Authority Attribute-Based Signature)[13]的概念。在MAABS中，系統(tǒng)將屬性交由不同的權(quán)威機(jī)構(gòu)管理，大大減輕了單個權(quán)威中心的負(fù)擔(dān)，但依然存在一個特殊的權(quán)威中心負(fù)責(zé)給其它權(quán)威機(jī)構(gòu)發(fā)放密鑰，如果這個權(quán)威中心出現(xiàn)腐敗，仍將威脅整個系統(tǒng)的安全性。Okamoto等[14]更進(jìn)一步提出去中心屬性簽名DABS(Decentralized Attribute-Based Signature)的概念。在DABS中，不再有特殊的權(quán)威中心，多個權(quán)威機(jī)構(gòu)地位平等，獨立為用戶分發(fā)自己管理的屬性密鑰。一個權(quán)威機(jī)構(gòu)出現(xiàn)腐敗，只影響相應(yīng)屬性的安全性，其他屬性的安全性仍不受威脅。2013年，Okamoto等[14]提出了第1個去中心屬性簽名方案，并在標(biāo)準(zhǔn)模型下證明了該方案的安全性。2014年，Kaafarani等[15]提出去中心可追蹤屬性簽名方案，對安全模型進(jìn)行了重新定義，增強(qiáng)了安全性。在文獻(xiàn)[15]的基礎(chǔ)上，2015年,Ghadafi[16]提出了更高效的去中心可追蹤屬性簽名方法。2017年，Sun等[17]提出安全的去中心外包屬性簽名，大大降低了簽名過程中的計算量。2018年,Sun等[18]將去中心屬性簽名應(yīng)用于構(gòu)建醫(yī)療區(qū)塊鏈。

通常的數(shù)字簽名是公開可驗證的，任何人都可以使用公開信息來驗證簽名的真?zhèn)?，這對某些文件的簽署與發(fā)布是非常有利的。但是，在某些場合，簽名人并不希望其簽名被任意傳播，比如對敏感消息的簽名。為解決這個問題，1989年，Chaum等[19]提出了不可否認(rèn)簽名(Undeniable Signature)的概念。不可否認(rèn)簽名的特點是如果沒有簽名人的參與，其他人無法單獨驗證簽名，也無法向第三方證實簽名是真的。不可否認(rèn)簽名的經(jīng)典應(yīng)用場景是正版軟件銷售[19]，軟件供應(yīng)商在銷售軟件時需同時發(fā)放正版證書。如果正版證書是用通常簽名算法簽發(fā)的，那么惡意的客戶就能私自復(fù)制出售附有正版證書的軟件。如果正版證書改用不可否認(rèn)簽名算法簽發(fā)，那么雖然惡意客戶仍能復(fù)制軟件和證書，但卻不能向第三方證實證書的有效性(即不能證明軟件是正版的)。2004年，Libert等[20]研究了基于身份不可否認(rèn)簽名；2008年，Duan[21]研究了無證書不可否認(rèn)簽名。雖然屬性簽名的研究已有十多年，但據(jù)作者所知，至今未見基于屬性不可否認(rèn)簽名的研究報道。文獻(xiàn)[22,23]雖稱研究“基于屬性的不可否認(rèn)簽名協(xié)議”，實則研究的是如何追蹤屬性簽名的簽名人，使其不能否認(rèn)簽名行為，令其對簽名負(fù)責(zé)，這與可追蹤性(Traceability)比較接近[24]，與Chaum等[19]提出的不可否認(rèn)簽名是完全不同的。

本文將基于屬性、不可否認(rèn)和去中心3個概念相結(jié)合，研究去中心基于屬性不可否認(rèn)簽名。引進(jìn)基于屬性和去中心的性質(zhì)，可以很大程度擴(kuò)展不可否認(rèn)簽名的應(yīng)用范圍。仍以正版軟件銷售為例，使用基于屬性不可否認(rèn)簽名可以讓軟件生產(chǎn)商對軟件代銷商進(jìn)行細(xì)粒度控制，為每個軟件指定代銷商的資質(zhì)要求，使得只有滿足資質(zhì)要求并且得到授權(quán)的代銷商才能簽發(fā)正版證書。使用去中心系統(tǒng)則可以做到不同的資質(zhì)由不同的管理機(jī)構(gòu)來頒授，而且這些管理機(jī)構(gòu)可以不是軟件生產(chǎn)商。

本文給出去中心基于屬性不可否認(rèn)簽名的定義和安全模型，并構(gòu)造一個去中心基于屬性不可否認(rèn)簽名方案。該方案主要基于Cramer等[25]的證據(jù)隱藏零知識證明協(xié)議。本文選擇Schnorr協(xié)議[26]作為其基礎(chǔ)Σ協(xié)議，使用Shamir(t,n)門限方案[27]作為其秘密分享方案；再使用Fiat-Shamir轉(zhuǎn)換[28]得到一個基礎(chǔ)(t,n)門限簽名BTS(Basic Threshold Signature)方案;然后再對BTS方案進(jìn)行不可否認(rèn)、防共謀和去中心化處理；最后得到一個去中心基于屬性不可否認(rèn)簽名方案。在去中心屬性密碼中，防共謀的通常做法是引入用戶全局標(biāo)識，本文沿用這個做法。

2 預(yù)備知識

2.1 困難性問題

(1)離散對數(shù)問題DL(Discrete Logarithm problem)：假設(shè)G為大素數(shù)p階循環(huán)群，g為G的生成元(下同)。給定群G中的隨機(jī)元素A，計算a∈Zp，滿足ga=A。記a為DL(A,g)，稱A為關(guān)于g的離散對數(shù)。

2.2 拉格朗日插值多項式

已知某個函數(shù)φ(x)在t個互不相同點xi(i=1,…,t)的函數(shù)值φ(xi)(i=1,…,t)，可構(gòu)造t-1次拉格朗日插值多項式：

2.3 (t,n)門限簽名方案

(t,n)門限簽名方案是由文獻(xiàn)[25]中Cramer等給出的一個用Σ協(xié)議構(gòu)造證據(jù)隱藏零知識證明協(xié)議的方法構(gòu)造而來的。如果選擇Shamir(t,n)門限方案[27]作為其秘密分享方案，使用Schnorr協(xié)議[26]作為其基礎(chǔ)Σ協(xié)議，再使用Fiat-Shamir轉(zhuǎn)換[28]即可得到此簽名方案。

基礎(chǔ)門限簽名BTS方案如下所示：

(3) Sign:不妨假設(shè)簽名人擁有前t個私鑰,對消息m∈{0,1}*進(jìn)行簽名：

③計算c=H2(m,R1,…,Rn)；

④用n-t+1個點(0,c),(t+1,ct+1),…,(n,cn)構(gòu)造n-t次拉格朗日插值多項式Pn-t(x)；

⑤計算ci=Pn-t(i)，di=ti-cisi，i=1,…,t；

⑥輸出簽名：σ=(ci,di,Ri)(i=1,2,…,n)和多項式Pn-t(x)。

注：其中多項式也可不傳，可根據(jù)簽名中的參數(shù)重構(gòu)，但會增加驗證者的計算量。

(4) Verify:

①驗證多項式Pn-t(x)是否為n-t次多項式；

②驗證ci=Pn-t(i)，其中i=1,…,n，是否都滿足；

③驗證c=H2(m,R1,…,Rn)是否滿足；

④驗證Ri=gdiYici，其中i=1,…,n，是否都滿足；

⑤如果上述條件都滿足，則驗證人接受此簽名，否則不接受。

因為Schnorr協(xié)議和Shamir (t,n)門限方案滿足文獻(xiàn)[25]定理8的條件，所以由文獻(xiàn)[25]定理8和Fiat-Shamir轉(zhuǎn)換定理(文獻(xiàn)[28]的定理4)，可得到如下引理：

引理1如果離散對數(shù)問題是困難的，則上述基礎(chǔ)門限簽名方案是存在不可偽造的。

引理2在上述基礎(chǔ)門限簽名方案中，簽名所使用的私鑰(證據(jù))是隱藏的，也是不可區(qū)分的。

2.4 離散對數(shù)零知識證明

2.4.1 離散對數(shù)相等零知識證明[29]

EDLZKP(Equal Discrete Logarithm Zero Knowledge Proof)協(xié)議：

(3)P收到c后，計算d=r+cumodp，將d發(fā)送給T。

(4)T收到d后，檢查gd=z1Uc和Vd=z2Wc是否成立。如果成立，則T接受P知道秘密值u，且DL(U,g)=DL(W,V)。

引理3上述協(xié)議具有如下性質(zhì)：

(1)如果DL(U,g)=DL(W,V)，則驗證人接受此證明有效。

(2)如果DL(U,g)≠DL(W,V)，則驗證人接受此證明有效的概率是可忽略的。

(3)協(xié)議是零知識的，即通過此仿真算法任何人都可產(chǎn)生一個仿真副本，此副本與真實副本(按協(xié)議執(zhí)行產(chǎn)生的)不可區(qū)分。

2.4.2 離散對數(shù)不相等零知識證明[29]

假設(shè)證明人P知道秘密值u=DL(U,g)，可使用下面的交互協(xié)議向驗證人T證明DL(U,g)≠DL(W,V)。

NEDLZKP(No Equal Discrete Logarithm Zero Knowledge Proof)協(xié)議:

(3)P收到c后，計算d1=α+c(ur)modp，d2=β+crmodp，然后將(d1,d2)發(fā)送給驗證人T。

(4)T收到(d1,d2)后，檢查Vd1/Wd2=z1Ac，gd1/Ud2=z2是否成立。如果成立，則驗證人T接受此證明。

引理4上述協(xié)議具有如下性質(zhì)：

(1)如果DL(U,g)≠DL(W,V)，則驗證人接受此證明有效。

(2)如果DL(U,g)=DL(W,V)，則驗證人接受此證明有效的概率是可忽略的。

(3)協(xié)議是零知識的，即任何人都可通過仿真算法產(chǎn)生一個與真實副本不可區(qū)分的仿真副本。

3 去中心基于屬性不可否認(rèn)簽名

3.1 去中心基于屬性不可否認(rèn)簽名定義

1個去中心基于屬性不可否認(rèn)簽名方案包含5個算法和2個交互式協(xié)議:

(1) Setup:輸入系統(tǒng)安全參數(shù)1k，初始化系統(tǒng)公開參數(shù)gparam(下面各算法和協(xié)議都需要輸入公開參數(shù)gparam，為簡潔起見將其省略)。

(2) AAGen:每個屬性權(quán)威機(jī)構(gòu)Ai生成各自的公私鑰對(pki,ski),ski為保密私鑰，pki為公開公鑰。

(3) UGen:用戶產(chǎn)生自己的全局標(biāo)識IDu。

(4) UAGen:屬性權(quán)威機(jī)構(gòu)Ai為用戶生成關(guān)于屬性Ai的私鑰。輸入用戶全局標(biāo)識ID、屬性權(quán)威機(jī)構(gòu)的私鑰ski和屬性Ai，輸出用戶私鑰skID,Ai。

(5) Sign:輸入簽名人的私鑰集{skID,Ai}、消息m和訪問結(jié)構(gòu)T，輸出簽名σ。

(6) Confirm:是驗證人和簽名人之間的交互協(xié)議。驗證人輸入四元組(ID,m,σ,T),簽名人輸入其私鑰或某秘密值。如果簽名是有效的，那么協(xié)議結(jié)束時，驗證人接受該簽名有效。

(7) Denial:與驗證協(xié)議相似，驗證人同樣輸入四元組(ID,m,σ,T),簽名人輸入其私鑰或某秘密值。如果簽名是無效的，那么協(xié)議結(jié)束時，驗證人接受該簽名為無效。

3.2 安全模型

去中心基于屬性不可否認(rèn)簽名應(yīng)具有正確性(Correctness)、不可偽造性(Unforgeability)、隱藏性(Invisibility)、屬性隱私性(Attributes Privacy)和不可傳遞性(Non-transferability)等性質(zhì)。

正確性是指，如果按方案給定的算法和協(xié)議執(zhí)行，那么都將得到正確的結(jié)果。其定義比較平凡，限于篇幅，此處省略詳細(xì)描述。下面給出其他性質(zhì)的形式化定義。

3.2.1 不可偽造性

不可偽造性是指，如果沒有獲得滿足訪問結(jié)構(gòu)所需的私鑰，任何人都不能偽造有效的簽名。其形式化定義通過如下的GAME 1給出。

GAME 1：

(1)挑戰(zhàn)者C初始化系統(tǒng)，并公開公共參數(shù)gparam。

(2)C為各權(quán)威機(jī)構(gòu)Ai生成公私鑰對(aski,apki)，保留其私鑰aski，并將公鑰apki發(fā)送給敵手F。

(3)在多項式時間內(nèi)，允許F適應(yīng)性地進(jìn)行以下詢問：

①用戶全局標(biāo)識詢問：F提交請求，C返回一個全局標(biāo)識ID。

②用戶秘密值詢問：F提交IDu，C返回對應(yīng)的秘密值su或⊥。

③密鑰詢問：F提交(Ai,ID)，C返回關(guān)于(Ai,ID)的密鑰。

④簽名詢問：F提交(ID,m,T)，C返回關(guān)于(ID,m,T)的簽名σ。

⑤驗證詢問：F提交(ID,m,T,σ)，C與之執(zhí)行驗證協(xié)議。

⑥否認(rèn)詢問：F提交(ID,m,T,σ)，C與之執(zhí)行否認(rèn)協(xié)議。

(4)最后，F(xiàn)輸出(ID*,m*,T*,σ*)。

F贏得游戲，如果：

①(ID*,m*,T*,σ*)不能被否認(rèn)。

②F沒有對(ID*,m*,T*)進(jìn)行過簽名詢問。

③F就ID*進(jìn)行過密鑰詢問的屬性集A*不滿足T*。

定義1如果任意敵手F在多項式時間內(nèi)贏得上述游戲的概率都是可忽略的，則一個去中心基于屬性不可否認(rèn)簽名方案稱為選擇消息存在不可偽造的。

3.2.2 隱藏性

隱藏性是指，除了簽名人外，任何其他人均不能判定簽名的有效性。其形式化定義通過如下的GAME 2給出。

GAME 2

(1)系統(tǒng)初始化、權(quán)威機(jī)構(gòu)公私鑰生成同GAME 1。

(2)敵手F可以請求如同GAME 1的所有詢問，挑戰(zhàn)者C的響應(yīng)也同GAME 1。

(3)F選擇一條消息m*、訪問結(jié)構(gòu)T*和一個全局標(biāo)識ID*，并提交給C。

(4)C接收(ID*,m*,T*)后，隨機(jī)選擇b∈{0,1}。當(dāng)b=1時，計算(ID*,m*,T*)的有效簽名σ*；當(dāng)b=0時，從簽名空間中隨機(jī)選擇σ*。將σ*發(fā)送給F。

(5)F得到挑戰(zhàn)簽名σ*后，還可進(jìn)行預(yù)言機(jī)詢問，但不能對(ID*,m*,T*,σ*)進(jìn)行驗證詢問和否認(rèn)詢問，且就ID*進(jìn)行過密鑰詢問的屬性集A*不滿足T*。

(6)最后，F(xiàn)輸出其猜測b′。

如果b′=b，則稱敵手贏得此游戲。

定義2如果任意敵手F在多項式時間內(nèi)贏得上述游戲的概率是可忽略的，則稱一個去中心基于屬性不可否認(rèn)簽名方案具有隱藏性。

3.2.3 屬性隱私性

本文沿用文獻(xiàn)[14]的屬性隱私性：由簽名不能知道簽名人擁有哪些屬性。其形式化定義通過如下的GAME 3給出。

GAME 3：

(1)系統(tǒng)初始化、權(quán)威機(jī)構(gòu)公私鑰生成同GAME 1。

(2)預(yù)言機(jī)服務(wù)同GAME 1。

(3)敵手F選擇目標(biāo)明文m*、身份標(biāo)識ID*、訪問結(jié)構(gòu)T*和2個滿足T*的屬性集(B0,B1)，將五元組(ID*,m*,T*,B0,B1)作為挑戰(zhàn)目標(biāo)提交給挑戰(zhàn)者C。

(4)挑戰(zhàn)者C收到(ID*,m*,T*,B0,B1)后,隨機(jī)選擇b∈{0,1}，然后用Bb的屬性密鑰產(chǎn)生簽名σ*，并發(fā)送給F。

(5)F得到簽名σ*后，還可以進(jìn)行一系列詢問。

(6)最后，F(xiàn)輸出其猜測b′∈{0,1}。

如果b′=b，則稱F贏得此游戲。

定義3如果任意敵手F在多項式時間內(nèi)贏得上述游戲的概率是可忽略的,則稱一個去中心基于屬性不可否認(rèn)簽名方案具有屬性隱私性。

3.2.4 不可傳遞性

不可傳遞性是指，在簽名人向驗證人證實或否認(rèn)簽名之后，驗證人仍然不能向任何第三方證實或否認(rèn)簽名，但驗證和否認(rèn)協(xié)議的證據(jù)是不可傳遞的，即他不能從中得到任何知識以向第三方證實或否認(rèn)簽名。其形式化定義通過如下的GAME 4給出。

GAME 4：

(1)系統(tǒng)初始化、權(quán)威機(jī)構(gòu)公私鑰生成與GAME 1相同。

(2)預(yù)言機(jī)服務(wù)同GAME 1。

(3)敵手F向挑戰(zhàn)者C提交挑戰(zhàn)(ID*,m*,σ*,T*)。挑戰(zhàn)者C隨機(jī)選取b∈{0,1}。當(dāng)b=0時，根據(jù)簽名的有效性，C用仿真器(Simulator)產(chǎn)生一個驗證或否認(rèn)協(xié)議的副本；當(dāng)b=1時，根據(jù)簽名的有效性，C執(zhí)行驗證或否認(rèn)協(xié)議得到一個副本。C將得到的副本返回給敵手F。

(4)敵手F可重復(fù)進(jìn)行步驟(2)的詢問。

(5)最后，F(xiàn)輸出其猜測b′∈{0,1}。

如果b′=b，則稱F贏得此游戲。

定義4如果任意敵手F贏得GAME 4的優(yōu)勢是可忽略的,則稱一個去中心基于屬性不可否認(rèn)簽名方案具有不可傳遞性。

4 去中心基于屬性不可否認(rèn)簽名方案

本節(jié)提出一個去中心基于屬性不可否認(rèn)簽名方案，其訪問結(jié)構(gòu)為(t,n)門限，具體如下所示：

(5) Sign:不妨假設(shè)簽名人S擁有的屬性集為{A1,A2,…,At}。

ei=H1(Ai,ri,IDs,yi)

Ri=gdiYici

③計算:

c=H2(m,T1,T2,…,Tn,IDs)

④用n-t+1個點(0,c),(t+1,ct+1),…,(n,cn)構(gòu)造n-t次拉格朗日插值多項式Pn-t(x)。

⑤計算ci=Pn-t(i)，di=ti-cisi，i=1,…,t。

⑥輸出簽名：σ=(ci,di,Ti,ri,IDs)(i=1,2,…,n)和多項式Pn-t(x)。

(6) Confirm:

①驗證人T驗證Pn-t(x)是否為n-t次多項式。

②驗證是否有Pn-t(i)=ci，i=1,…,n。

③驗證是否有Pn-t(0)=H2(m,T1,T2,…,Tn,IDs)。

④驗證人T與簽名人S進(jìn)行交互驗證。使用秘密值ss，簽名人通過2.4節(jié)的EDLZKP協(xié)議向驗證人驗證DL(Ti,Ri)=DL(IDs,g)，其中Ri=gdiYici，Yi=riyiei，ei=H1(Ai,ri,IDs,yi)，i=1,…,n。

⑤以上全通過，則簽名為有效簽名。

(7) Denial:

①驗證人T驗證Pn-t(x)是否為n-t次多項式；

②驗證是否有Pn-t(i)=ci，i=1,…,n；

③驗證是否有Pn-t(0)=H2(m,T1,T2,…,Tn,IDs)；

④以上有一個不通過，則簽名為無效簽名。

驗證人T與簽名人S進(jìn)行交互驗證。使用秘密值ss，簽名人通過2.4節(jié)的NEDLZKP協(xié)議向驗證人證明存在某個i,使得DL(Ti,Ri)≠DL(IDs,g)，其中Ri=gdiYici，Yi=riyiei，ei=H1(Ai,ri,IDs,yi)。

注：上述方案是去中心的，方案中的每個權(quán)威機(jī)構(gòu)都各自獨立隨機(jī)選取自己的私鑰，然后計算自己的公鑰，因此各權(quán)威機(jī)構(gòu)的私鑰是統(tǒng)計獨立的。各權(quán)威機(jī)構(gòu)都只知道自己的私鑰，不知道其他權(quán)威機(jī)構(gòu)的私鑰，不存在掌握系統(tǒng)全部私鑰的特別權(quán)威中心。如果某個權(quán)威機(jī)構(gòu)被攻破或腐敗，只影響相對應(yīng)的一個屬性的安全性，不會致使整個系統(tǒng)崩潰。

5 安全性與效率分析

5.1 安全性分析

定理1本文方案是正確的。

證明本定理可通過如下簡單驗算得到:

gtig-ci(ki+eiri)(gkigxiei)ci=

gti=Ri

□

定理2如果離散對數(shù)問題是困難的，那么本文方案是存在不可偽造的。

證明本文方案的不可偽造性可歸約到預(yù)備知識2.3給出的基礎(chǔ)門限簽名方案(BTS)。詳細(xì)證明過程如下所示：

如果存在一個敵手F能以εF的優(yōu)勢偽造本文方案的簽名，那么存在敵手F′能以εF′=εF/q的優(yōu)勢偽造基礎(chǔ)門限簽名方案的簽名，其中q為F請求用戶全局標(biāo)識的最多個數(shù)。記C為基礎(chǔ)門限簽名方案的挑戰(zhàn)者。

(2)F′為所有權(quán)威機(jī)構(gòu)Ai生成公私鑰對(xi,yi=gxi)，將公鑰yi和(G,p,g)發(fā)送給F，i=1,…,n。

(3)假設(shè)F最多請求q個全局標(biāo)識，F(xiàn)′隨機(jī)選取j,1≤j≤q。

(4)F′為F提供如下預(yù)言機(jī)服務(wù)：

②當(dāng)F對IDu進(jìn)行秘密值詢問時，如果IDu在IDlist中，F(xiàn)′返回su；否則，返回⊥。

⑦當(dāng)F對(ci,di,Ti,ri,IDs)(i=1,…,n)和多項式Pn-t(x)進(jìn)行簽名人驗證或否認(rèn)詢問時，F(xiàn)′用ss與F進(jìn)行驗證或否認(rèn)協(xié)議。

□

注：本定理的證明雖然是自適應(yīng)選擇屬性和全局標(biāo)識的，但也有個限制，即敵手攻擊的全局標(biāo)識是請求過全局標(biāo)識詢問的。因此，準(zhǔn)確地講，本方案是限制性自適應(yīng)選擇全局標(biāo)識、自適應(yīng)選擇屬性和自適應(yīng)選擇消息不可偽造的?！跋拗菩宰赃m應(yīng)選擇全局標(biāo)識”還是要強(qiáng)于某些文獻(xiàn)的“選定身份”或“選定屬性”的。

定理3如果SDDH問題是困難的，那么本文方案具有隱藏性。

□

定理4本文方案具有屬性隱私性。

證明在知識證明系統(tǒng)中，證據(jù)隱藏性是指在證明過程中，如果證明人等概率地使用證據(jù)w1或證據(jù)w2來進(jìn)行證明，那么驗證者猜中其所使用證據(jù)的優(yōu)勢是可忽略的。在屬性簽名方案中，屬性隱私性是指，如果簽名人等概率地使用屬性集B0或?qū)傩约疊1的私鑰進(jìn)行簽名，那么驗證者猜中其所使用私鑰的優(yōu)勢是可忽略的。簽名方案是一種特殊的非交互證明系統(tǒng)，屬性隱私性與證據(jù)隱藏性兩者的安全模型在本質(zhì)上是一致的。本文方案是由Cramer等[25]的證據(jù)隱藏零知識證明協(xié)議經(jīng)Fiat-Shamir轉(zhuǎn)換[28]得到的，因此方案保持了證據(jù)隱藏的性質(zhì)，用戶所擁有的屬性私鑰就是其所使用的證據(jù)，從而具有屬性隱私性。

□

定理5本文方案具有不可傳遞性。

證明根據(jù)定義4，如果存在能仿真出不可區(qū)分副本的仿真器則本定理成立。下面是分別給出證實協(xié)議和否認(rèn)協(xié)議的仿真器。

(1)證實協(xié)議仿真器。

(2)證實協(xié)議仿真不可區(qū)分性：

從上述的仿真算法可知仿真副本的分布為：

從證實協(xié)議可知真實副本的分布為：

上述2個分布是相同的、不可區(qū)分的。

(3)否認(rèn)協(xié)議仿真器。

(4)與否認(rèn)協(xié)議真實副本不可區(qū)分：

否認(rèn)協(xié)議仿真副本的分布如下所示：

否認(rèn)協(xié)議真實副本分布如下所示：

上述2個分布是相同的、不可區(qū)分的。

□

5.2 效率分析

本文所提出的方案是基于屬性不可否認(rèn)簽名方案，因目前未見同類方案的公開報道，因此只能與基于屬性簽名(不具有不可否認(rèn)性)方案進(jìn)行效率上的比較。目前，已有的基于屬性簽名方案大多是基于雙線性對或多線性對的，只有文獻(xiàn)[30，31，32]中的方案不是基于線性對的，其中文獻(xiàn)[30]提出的是一種一般性構(gòu)造方法，沒有具體方案，無法進(jìn)行效率比較；文獻(xiàn)[31]所提出的方案不具有屬性隱私性這一重要性質(zhì)，從嚴(yán)格意義上說不能算是屬性簽名方案，因此也不具有可比性。文獻(xiàn)[32]的方案與本文方案具有相同屬性隱私性，也都不是基于線性對的，因此將本文方案與文獻(xiàn)[32]方案作簡單的效率比較，結(jié)果見表1，其中n為總體屬性個數(shù)，t為簽名人所擁有屬性的個數(shù)，計算開銷是指冪指數(shù)運算的次數(shù)，私鑰、公鑰、簽名長度是指組成的元素個數(shù)。

可見，本文方案在簽名計算、驗證計算、簽名長度、私鑰長度方面都優(yōu)于文獻(xiàn)[32]方案。注意到文獻(xiàn)[32]方案是基于RSA問題的，作者建議安全參數(shù)為1 024，而本文方案是基于離散對數(shù)問題，可以在橢圓曲線上實現(xiàn)，同等安全的安全參數(shù)為160，因此在數(shù)據(jù)長度方面的優(yōu)勢就更加明顯了。在公鑰長度方面，由于文獻(xiàn)[32]方案是中心化的，所以只有1個權(quán)威中心的公鑰，8個元素，約8×1024比特，而本文方案是去中心化的，n個屬性就有n個屬性機(jī)構(gòu)，有n個屬性機(jī)構(gòu)就需要n個不同的公鑰，約160n比特，在屬性總體個數(shù)n小于50時，本文方案仍然具有優(yōu)勢。

Table 1 Comparision of efficiency and properties表1 效率性質(zhì)對比

6 結(jié)束語

對基于屬性簽名的研究已有十多年，但仍未有真正基于屬性不可否認(rèn)簽名的研究報道。本文將基于屬性、不可否認(rèn)和去中心3個概念相結(jié)合，研究去中心基于屬性不可否認(rèn)簽名，給出了其定義和安全模型，并構(gòu)造了一個去中心基于屬性不可否認(rèn)簽名方案。這只是基于屬性不可否認(rèn)簽名研究的初步探索，未來還需在功能更全、安全性更強(qiáng)、效率更高和簽名長度更短等方面進(jìn)一步努力。