張應(yīng)輝 賀江勇 郭 瑞 鄭 東,3

1(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121) 2(無(wú)線(xiàn)網(wǎng)絡(luò)安全技術(shù)國(guó)家工程實(shí)驗(yàn)室(西安郵電大學(xué)) 西安 710121) 3(衛(wèi)士通摩石實(shí)驗(yàn)室 北京 100070)

工業(yè)物聯(lián)網(wǎng)(industrial Internet of things, IIoT)作為新一代信息技術(shù)的重要組成部分，它按照約定的信息交換協(xié)議通過(guò)傳感器設(shè)備連接各種網(wǎng)絡(luò)，以實(shí)現(xiàn)智能識(shí)別、跟蹤、監(jiān)視、定位和管理[1-2].隨著IIoT的普及，其安全問(wèn)題也越來(lái)越受到研究者的關(guān)注[3].由于IIoT環(huán)境的開(kāi)放性，數(shù)據(jù)經(jīng)過(guò)公共信道傳輸時(shí)可能被惡意的敵手偽造或篡改.另外，涉及IIoT情況的數(shù)據(jù)包含用戶(hù)身份的敏感信息，容易造成用戶(hù)身份隱私的泄露.因此，如何確保IIoT系統(tǒng)的數(shù)據(jù)安全和用戶(hù)身份隱私非常具有挑戰(zhàn)性[4].屬性基簽名(attribute-based signature， ABS)既可以保護(hù)用戶(hù)身份隱私，又可以實(shí)現(xiàn)數(shù)據(jù)認(rèn)證.近年來(lái)，大多數(shù)國(guó)內(nèi)外學(xué)者基于ABS，圍繞其簽名和驗(yàn)證階段的計(jì)算開(kāi)銷(xiāo)、靈活的訪問(wèn)結(jié)構(gòu)、服務(wù)器輔助(server-aided， SA)簽名和驗(yàn)證階段的安全性等問(wèn)題進(jìn)行了研究，形成了較為豐富的理論成果.在減小簽名者和驗(yàn)證者的計(jì)算開(kāi)銷(xiāo)方面，一個(gè)可行的方法是采用SA技術(shù)[5]將繁重的計(jì)算委托給服務(wù)器.但是針對(duì)SA簽名產(chǎn)生和驗(yàn)證階段安全性的研究，大多數(shù)學(xué)者只是通過(guò)抵抗簽名者和服務(wù)器的共謀攻擊保證了SA驗(yàn)證階段的安全性.如何抵抗服務(wù)器對(duì)部分簽名的偽造，保證SA簽名產(chǎn)生階段的安全性具有重要的研究意義，需進(jìn)一步研究.

本文的主要貢獻(xiàn)包括3個(gè)方面：

1) 提出了一種服務(wù)器輔助且可驗(yàn)證的ABS(server-aided and verifiable ABS， SA-VABS)方案，通過(guò)對(duì)服務(wù)器產(chǎn)生的部分簽名進(jìn)行有效性驗(yàn)證，抵抗了服務(wù)器對(duì)部分簽名的偽造；

2) 提出的SA-VABS方案可以抵抗簽名者和服務(wù)器的共謀攻擊，即簽名者勾結(jié)服務(wù)器并指導(dǎo)服務(wù)器產(chǎn)生一個(gè)無(wú)效的中介簽名去欺騙驗(yàn)證者；

3) 對(duì)提出的SA-VABS方案進(jìn)行了嚴(yán)格的安全性分析，并在理論上和實(shí)驗(yàn)上評(píng)估了其性能,最后通過(guò)對(duì)比分析說(shuō)明了SA-VABS方案是安全高效的.

1 相關(guān)工作

ABS的概念是從屬性基加密(attribute-based encryption， ABE)演變而來(lái)的[6]，正式定義首先由Maji等人[7]提出，該方案僅能在一般的群模型下給出安全性證明.為了提高方案的安全性,Li等人[8]提出兩種支持門(mén)限訪問(wèn)結(jié)構(gòu)的ABS方案，并且在隨機(jī)預(yù)言模型和標(biāo)準(zhǔn)模型下分別證明了方案的不可偽造性;為了減小系統(tǒng)的存儲(chǔ)負(fù)擔(dān)，Ge等人[9]在標(biāo)準(zhǔn)模型下提出一種高效的ABS方案，該方案的簽名長(zhǎng)度是恒定的，不會(huì)隨著屬性的數(shù)量發(fā)生變化;為了實(shí)現(xiàn)更靈活的訪問(wèn)結(jié)構(gòu)，Su等人[10]在2014年提出一種支持樹(shù)形訪問(wèn)結(jié)構(gòu)的ABS方案.然而，這5種ABS方案的一個(gè)共同問(wèn)題是簽名者和驗(yàn)證者的計(jì)算開(kāi)銷(xiāo)隨著屬性的數(shù)量呈線(xiàn)性增長(zhǎng).

外包計(jì)算基于云計(jì)算[11]，最早是由Hohenberger等人[12]提出;由于現(xiàn)有ABS方案中簽名生成算法需要大量的指數(shù)運(yùn)算，Chen等人[13]首先提出外包ABS(outsourced ABS， OABS)方案，將簽名產(chǎn)生算法的主要計(jì)算開(kāi)銷(xiāo)委托給服務(wù)器;Ren等人[14]在2018年提出另一種可以驗(yàn)證外包簽名有效性的OABS方案;最近，Mo等人[15]也提出了一種應(yīng)用于醫(yī)療系統(tǒng)中的OABS方案，該方案支持更靈活的訪問(wèn)結(jié)構(gòu);在2019年Sun等人[16]提出一種外包的分散式多屬性機(jī)構(gòu)ABS(outsourced decentralized multi-authority，ODMA-ABS)方案，該方案相關(guān)的公私鑰由多個(gè)屬性機(jī)構(gòu)交互來(lái)生成，提高了OABS方案的安全性.然而，這些OABS方案只減小了簽名產(chǎn)生階段的計(jì)算開(kāi)銷(xiāo)，并沒(méi)有減小簽名驗(yàn)證階段的計(jì)算開(kāi)銷(xiāo).

為了提高ABS方案簽名驗(yàn)證的效率，Matsumoto等人[17]首次提出SA的概念，可以將驗(yàn)證者的繁重計(jì)算委托給服務(wù)器.2014年Wang等人[18]首先提出SA驗(yàn)證的ABS(attribute-based server-aided verifi-cation signature， ABSAVS)方案，借助服務(wù)器減輕了驗(yàn)證者的計(jì)算開(kāi)銷(xiāo).最近，Cui等人[19]第1次提出可撤銷(xiāo)的SA-ABS(server-aided ABS with revoca-tion， SA-ABSR)方案，該方案借助服務(wù)器同時(shí)減小了簽名者和驗(yàn)證者的計(jì)算開(kāi)銷(xiāo)，而且支持用戶(hù)撤銷(xiāo)的功能，但是不能抵抗簽名者和服務(wù)器的共謀攻擊.基于此，Xiong等人[20]提出另一種SA-ABS方案，不僅抵抗簽名者和服務(wù)器的共謀攻擊，而且實(shí)現(xiàn)了更靈活的LSSS訪問(wèn)結(jié)構(gòu).但是，他們提出的SA-ABS方案都不能驗(yàn)證部分簽名(即服務(wù)器產(chǎn)生的簽名)的有效性，因此不能抵抗服務(wù)器對(duì)部分簽名的偽造.

綜上，現(xiàn)有的SA-ABS方案中，對(duì)于計(jì)算開(kāi)銷(xiāo)的研究比較理想的技術(shù)是SA技術(shù).而對(duì)于SA階段的安全性問(wèn)題，大多數(shù)學(xué)者主要是圍繞SA驗(yàn)證階段的安全性研究，通過(guò)抵抗簽名者和服務(wù)器的共謀攻擊來(lái)保證SA驗(yàn)證階段的安全性.如何抵抗服務(wù)器對(duì)部分簽名的偽造，確保SA簽名產(chǎn)生階段的安全性還存在許多問(wèn)題，成為本文的主要研究工作之一.

2 基礎(chǔ)理論

本節(jié)介紹了文中用到的主要符號(hào)和基礎(chǔ)知識(shí).

2.1 符號(hào)說(shuō)明

文中所用到的主要符號(hào)及解釋說(shuō)明如表1所示：

Table 1 The Main Notations and Description表1 主要符號(hào)及說(shuō)明

2.2 基礎(chǔ)知識(shí)

定義1.雙線(xiàn)性映射.給定G，G1為2個(gè)階為大素?cái)?shù)p的乘法循環(huán)群，g是G的生成元，Zp為有限域.一個(gè)映射e:G×G→G1如果滿(mǎn)足3個(gè)特性，則稱(chēng)該映射為雙線(xiàn)性映射：

2) 非退化性.e(g,g)≠1.

3) 可計(jì)算性.對(duì)任意g1,g2∈G，存在可以計(jì)算e(g1,g2)的高效算法.

定義2.n-DHE問(wèn)題.對(duì)任意a∈Zp，g∈G，給定g,ga,ga2,…,gan,gan+2,…,ga2n，計(jì)算gan+1的值.如果不存在能夠以不可忽略的概率優(yōu)勢(shì)解決n-DHE問(wèn)題的多項(xiàng)式時(shí)間算法，則稱(chēng)n-DHE問(wèn)題是困難的.

定義3.拉格朗日插值.設(shè)p(x)是有限域Zp上n-1階多項(xiàng)式，定義Ω∈{1,2,…,n}，計(jì)算p(x)：

定義4.門(mén)限訪問(wèn)結(jié)構(gòu).門(mén)限訪問(wèn)結(jié)構(gòu)是一個(gè)單調(diào)的布爾函數(shù)，可以描述為

其中,A是用戶(hù)的屬性集，S是訪問(wèn)結(jié)構(gòu)的屬性集，k是訪問(wèn)結(jié)構(gòu)中所指定的門(mén)限值.當(dāng)Γk,S(A)=1時(shí)，我們認(rèn)為屬性集A滿(mǎn)足訪問(wèn)結(jié)構(gòu)Γk,S(A).

3 系統(tǒng)模型及安全模型

本節(jié)介紹了SA-VABS方案的系統(tǒng)模型和安全性模型，包括正確性、不可偽造性、抗共謀攻擊以及匿名性.

3.1 系統(tǒng)模型

我們提出的SA-VABS方案包含4個(gè)實(shí)體：屬性機(jī)構(gòu)、簽名者、驗(yàn)證者以及服務(wù)器.系統(tǒng)結(jié)構(gòu)圖如圖1所示:

Fig. 1 The system architecture圖1 系統(tǒng)結(jié)構(gòu)圖

Setup.屬性機(jī)構(gòu)將安全參數(shù)λ作為輸入，輸出公共參數(shù)par和主私鑰msk.

KeyGen.屬性機(jī)構(gòu)將公共參數(shù)par、主私鑰msk以及用戶(hù)屬性集A作為輸入，分別為服務(wù)器和簽名者輸出部分簽名鑰psk和簽名鑰sk.

SSign.服務(wù)器將公共參數(shù)par、部分簽名鑰psk、消息m以及訪問(wèn)結(jié)構(gòu)Γk,S作為輸入，輸出部分簽名σ′和相應(yīng)的驗(yàn)證信息W1及W2.

USign.簽名者將公共參數(shù)par、簽名鑰sk、驗(yàn)證信息W1及W2、部分簽名σ′作為輸入，如果部分簽名σ′驗(yàn)證有效則輸出完整的簽名σ.

3.2 安全模型

提出的SA-VABS方案的安全性需要滿(mǎn)足正確性、不可偽造性、抗共謀攻擊以及匿名性.

1) 正確性.SA-VABS方案的正確性是指對(duì)任意消息m，任何滿(mǎn)足訪問(wèn)結(jié)構(gòu)Γk,S的屬性集A，運(yùn)行算法Setup,KeyGen,SSign,USign,Transform以及SVerify，最后UVerify算法輸出的結(jié)果為true，則說(shuō)明方案SA-VABS滿(mǎn)足正確性.

3) 抗共謀攻擊.簽名者和服務(wù)器的共謀攻擊是指簽名者使用一個(gè)偽造的消息m*產(chǎn)生簽名，然后勾結(jié)服務(wù)器基于m*執(zhí)行SVerify算法去產(chǎn)生中介簽名，但是服務(wù)器欺騙驗(yàn)證者中介簽名是基于m產(chǎn)生的.這樣就可能導(dǎo)致驗(yàn)證者將一個(gè)無(wú)效的簽名通過(guò)UVerify算法.因此，包含消息m的驗(yàn)證部分不能由服務(wù)器來(lái)驗(yàn)證，如果這部分驗(yàn)證由驗(yàn)證者來(lái)完成，則可以有效抵抗簽名者和服務(wù)器的共謀攻擊.

4 服務(wù)器輔助且可驗(yàn)證的屬性基簽名方案

本節(jié)我們給出SA-VABS方案的具體構(gòu)造，包括7個(gè)算法：Setup，KeyGen，SSign，USign，Transform，SVerify，UVerify.

Setup.該算法用于產(chǎn)生系統(tǒng)公共參數(shù)和主私鑰，輸入安全參數(shù)λ，算法運(yùn)行步驟為：

1) 定義U為系統(tǒng)中的屬性集合，M定義為長(zhǎng)度最大為m的明文空間.Ω為默認(rèn)屬性集，其中|Ω|=n.假設(shè)U∪Ω中的每一個(gè)屬性都是Zp中的元素.

2) 設(shè)G，G1為p階乘法循環(huán)群，定義一個(gè)雙線(xiàn)性映射e:G×G→G1,其中g(shù)是G的生成元.隨機(jī)選取α∈Zp，計(jì)算Z=e(g,g)α.

最多可以說(shuō)，這些橘紅色的生物數(shù)量太多，整體場(chǎng)景給人帶來(lái)一種驚恐感受——似乎金魚(yú)們誤闖了一個(gè)本不屬于它們的空間。這間房間更容易理解，其中擺放的都是一間典型的臥室應(yīng)有的東西：床、梳妝臺(tái)、臺(tái)燈、鏡子、格子窗戶(hù)。所有物品顯然都曾在綠色染料中浸泡過(guò)——整個(gè)場(chǎng)景使人聯(lián)想到一個(gè)超大的金魚(yú)缸。

4) 從Zp中選取n個(gè)元素,令D={d1,d2,…,dn}作為虛擬屬性集.

因此，系統(tǒng)的主私鑰為msk=α，公共參數(shù)為par=(g,G,G1,e,p,Z,h0,h1,…,hN,u0,u1,…,unm).

1) 對(duì)虛擬屬性d∈AUD，隨機(jī)選擇rd∈Zp，計(jì)算：

Pd,2=grd,

2) 對(duì)屬性w∈A∪Ω,隨機(jī)選擇rw∈Zp，計(jì)算：

Pw,2=grw,

因此，屬性機(jī)構(gòu)為服務(wù)器和用戶(hù)產(chǎn)生的部分簽名鑰以及簽名鑰分別是

psk={Pd,1,Pd,2,{Pd,i}i∈{1,2,…,N-1}}，
sk={gα-β,Pw,1,Pw,2,{Pw,i}i∈{1,2,…,N-1}}.

SSign.該算法用于將簽名過(guò)程的繁重計(jì)算委托給服務(wù)器.輸入公共參數(shù)par、部分簽名鑰psk、消息m以及訪問(wèn)結(jié)構(gòu)Γk,S,算法運(yùn)行為：

2) 定義一個(gè)向量b=(b1,b2,…,bN)，計(jì)算多項(xiàng)式：

當(dāng)|S∪D′|+2≤i≤N時(shí)，設(shè)置bi=0.

3) 對(duì)每一個(gè)虛擬屬性d∈S′∪D′，計(jì)算：

4) 隨機(jī)選擇s0,s1∈Zp，計(jì)算：

5) 另外，計(jì)算相應(yīng)的驗(yàn)證信息W1和W2：

USign.輸入公共參數(shù)par、簽名鑰sk以及部分簽名σ′，算法運(yùn)行為：

1) 計(jì)算：Z1=e(g,gα-β).

2) 驗(yàn)證下列等式是否成立：

Z1×W1=W2.

3) 如果等式成立，計(jì)算：

4) 隨機(jī)選擇s∈Zp，計(jì)算：

最終，消息m的簽名為σ={m,Γk,S,σ0,σ1,σ2}.

Transform.輸入公共參數(shù)par和簽名σ，算法運(yùn)行如下：

1) 隨機(jī)選擇t∈Zp.

5 安全性分析

本節(jié)主要參考文獻(xiàn)[20-21]，對(duì)提出的SA-VABS的正確性、不可偽造性、抗共謀攻擊以及匿名性進(jìn)行了詳細(xì)的安全性分析.

5.1 正確性

SA-VABS方案的正確性證明：

5.2 不可偽造性

Setup.首先選擇一個(gè)包含n個(gè)元素的虛擬屬性集D以及一個(gè)子集D′?D，其中|D′|=n-k*.

Pw,2=grw,

第2步，因?yàn)?

其中k1，k2都是可計(jì)算的，分別為

3) 簽名詢(xún)問(wèn)(signing oracle).對(duì)每個(gè)消息m，C定義函數(shù)：

通過(guò)以上函數(shù)，對(duì)于一個(gè)消息m，存在：

① 如果J(M)=0，C中止游戲.

② 如果J(M)≠0,C隨機(jī)選擇r，rw，s0，s1，s以及s2∈Zp，使得：

簽名可以模擬為：

δ1=gr×gs0×grw=gr+s0+rw,

所以C可以計(jì)算出

如果用abort表示C在模擬過(guò)程中終止，定義事件Ei:J(Mi)≠0,i∈[q]，E*:J(M*)=0，則C成功的概率為

5.3 抗共謀攻擊

由于我們所提出的SA-VABS方案在執(zhí)行簽名驗(yàn)證算法時(shí)包含消息m的部分是由驗(yàn)證者來(lái)執(zhí)行，m不參與中介簽名的產(chǎn)生，所以簽名者就無(wú)法勾結(jié)服務(wù)器基于消息m*執(zhí)行SVerify算法去產(chǎn)生中介簽名，指導(dǎo)服務(wù)器欺騙驗(yàn)證者慌稱(chēng)中介簽名是基于m產(chǎn)生的.因此，我們所提出的SA-VABS方案有效地抵抗了簽名者和服務(wù)器的共謀攻擊，保證了SA驗(yàn)證階段的安全性.

5.4 匿名性

在SA-VABS方案中，消息m的簽名為

從式中可以看出簽名的產(chǎn)生只是通過(guò)選擇隨機(jī)數(shù)r,rw,s,s0,s1并沒(méi)有泄露用戶(hù)的屬性及訪問(wèn)結(jié)構(gòu)的任何信息.所以我們提出的SA-VABS方案實(shí)現(xiàn)了匿名性.

6 性能評(píng)估

本節(jié)主要將提出的SA-VABS方案與其他的3種方案從功能和計(jì)算開(kāi)銷(xiāo)方面進(jìn)行對(duì)比，最后對(duì)方案進(jìn)行了性能分析.

6.1 功能對(duì)比

表2將提出的SA-VABS方案與方案OABS-II[13]，SA-ABSR[19]，SA-ABS[20]進(jìn)行了功能對(duì)比.在表2中，SAS Secure和SAV Secure分別表示在SA簽名產(chǎn)生階段和SA驗(yàn)證階段是否滿(mǎn)足安全性.SA-Sign和SA-Verify分別表示方案在簽名和驗(yàn)證階段是否運(yùn)用SA技術(shù).空白代表方案沒(méi)有涉及.方案OABS-II[13]只是在簽名產(chǎn)生階段運(yùn)用SA技術(shù)，雖然方案SA-ABSR[19]和SA-ABS[20]在簽名產(chǎn)生和驗(yàn)證階段都用到了SA技術(shù)，但是它們不能對(duì)部分簽名的有效性進(jìn)行驗(yàn)證，因此不能抵抗服務(wù)器對(duì)部分簽名的偽造，而且方案SA-ABSR[19]不能抵抗簽名者和服務(wù)器的共謀攻擊.從表2可以看出SA-VABS方案在簽名產(chǎn)生和驗(yàn)證階段都運(yùn)用了SA技術(shù)，而且可以抵抗簽名者和服務(wù)器的共謀攻擊，最重要的是可以對(duì)部分簽名的有效性進(jìn)行驗(yàn)證，從而抵抗了服務(wù)器對(duì)部分簽名的偽造.因此我們的方案保證了SA簽名產(chǎn)生和驗(yàn)證階段的安全性，所以我們的方案有更好的安全性.

Table 2 The Functional Comparison of Four Schemes

Note: “√” means that the requirement is met; “×” means that the requirement is not met.

6.2 計(jì)算開(kāi)銷(xiāo)對(duì)比

表3將提出的SA-VABS方案與OABS-II[13]，SA-ABSR[19]，SA-ABS[20]進(jìn)行了計(jì)算開(kāi)銷(xiāo)的對(duì)比.Key.Gen，Sig.Gen，Verify分別表示簽名鑰產(chǎn)生、簽名產(chǎn)生以及用戶(hù)驗(yàn)證的計(jì)算開(kāi)銷(xiāo).n和d分別表示默認(rèn)的屬性集合和用戶(hù)的屬性集合.E,P,H分別表示指數(shù)運(yùn)算、雙線(xiàn)性對(duì)運(yùn)算以及Hash運(yùn)算的時(shí)間消耗.對(duì)于計(jì)算開(kāi)銷(xiāo)，從表3可以看出我們的方案在簽名鑰產(chǎn)生方面優(yōu)于其他方案；在簽名驗(yàn)證方面，我們的方案與最新的方案SA-ABS[20]持平.

Table 3 The Computational Overheads Comparison表3 計(jì)算開(kāi)銷(xiāo)對(duì)比

6.3 性能分析

在實(shí)驗(yàn)中，我們使用JPBC(Java pairing based cryptography)庫(kù)[22]在裝有Intel Core i5-7440HQ 2.8 GHz處理器和8 GB內(nèi)存的WINDOWS系統(tǒng)上進(jìn)行仿真實(shí)驗(yàn).使用typeA類(lèi)型的雙線(xiàn)性對(duì)在域Fp上構(gòu)建橢圓曲線(xiàn)y2=x3+x.

Fig. 2 Time comparison of signature key generation圖2 簽名鑰產(chǎn)生的時(shí)間對(duì)比

在圖2中，將我們提出的SA-VABS方案和方案OABS-II[13]，SA-ABSR[19]，SA-ABS[20]對(duì)簽名鑰產(chǎn)生所消耗的時(shí)間進(jìn)行了對(duì)比.默認(rèn)的屬性集合大小設(shè)置為n=10，橫坐標(biāo)表示用戶(hù)的屬性數(shù)量，縱坐標(biāo)表示簽名鑰產(chǎn)生的時(shí)間.可以看出SA-VABS方案與方案SA-ABSR[19]的簽名鑰產(chǎn)生時(shí)間是恒定的，不會(huì)隨著用戶(hù)屬性的數(shù)量發(fā)生變化,而方案OABS-II[13]和SA-ABS[20]簽名鑰產(chǎn)生的時(shí)間隨著屬性的數(shù)量呈線(xiàn)性增長(zhǎng).因此，SA-VABS方案的簽名鑰產(chǎn)生效率有著明顯的優(yōu)勢(shì).圖3表示簽名產(chǎn)生所消耗時(shí)間的對(duì)比，這4個(gè)方案簽名產(chǎn)生的時(shí)間都保持不變，由于我們的SA-VABS方案在部分簽名生成時(shí)進(jìn)行了有效性驗(yàn)證，因此消耗的時(shí)間略高于方案SA-ABS[20].同樣，圖4表示簽名驗(yàn)證所消耗時(shí)間的對(duì)比，不可否認(rèn)的是SA-VABS的簽名驗(yàn)證時(shí)間與最新方案SA-ABS[20]持平，略高于方案SA-ABSR[19]，但是我們的SA-VABS方案有更好的安全性.總之，在我們的方案中，簽名鑰生成、簽名生成以及簽名驗(yàn)證的時(shí)間消耗都是是恒定的，不會(huì)隨著用戶(hù)屬性的數(shù)量而增加.因此，我們的方案適用于資源受限的IIoT場(chǎng)景中.

Fig. 3 Time comparison of signature generation圖3 簽名產(chǎn)生的時(shí)間對(duì)比

Fig. 4 Time comparison of signature verification圖4 簽名驗(yàn)證的時(shí)間對(duì)比

7 總 結(jié)

對(duì)于物聯(lián)網(wǎng)中資源受限的設(shè)備，普通ABS方案存在的挑戰(zhàn)是計(jì)算開(kāi)銷(xiāo)過(guò)高.方案SA-ABSR[19]和SA-ABS[20]通過(guò)將簽名和驗(yàn)證階段的主要計(jì)算委托給服務(wù)器來(lái)克服這種挑戰(zhàn).但是這些方案都不能對(duì)服務(wù)器產(chǎn)生的部分簽名進(jìn)行有效性驗(yàn)證，可能造成服務(wù)器對(duì)部分簽名的偽造.基于此，我們提出一種SA-VABS方案，該方案不僅可以減小簽名和驗(yàn)證階段的計(jì)算開(kāi)銷(xiāo)，而且可以抵抗簽名者和服務(wù)器的共謀攻擊，最重要的是可以驗(yàn)證部分簽名的有效性，防止服務(wù)器對(duì)部分簽名的偽造.最后，通過(guò)具體的安全性分析表明所提出的SA-VABS方案是安全的，并且通過(guò)仿真實(shí)驗(yàn)和對(duì)比分析表明該方案是高效的.