前向安全的高效属性基可净化签名方案

朱留富 李继国,2,3 陆 阳 张亦辰,2

1 （福建师范大学计算机与网络空间安全学院 福州 350117）

2 （福建省网络安全与密码技术重点实验室（福建师范大学） 福州 350117）

3 （分析数学及应用教育部重点实验室（福建师范大学） 福州 350117）

4 （南京师范大学计算机与电子信息学院/人工智能学院 南京 210023）

自2005 年Sahai 等人[1]提出模糊身份基加密方案后，属性基密码体制成为研究的热点.属性基密码体制使用一组关联属性代替用户的身份信息，密文或密钥与一个事先定义的访问策略或是谓词结构相关联，当用户的属性满足访问策略或谓词结构时就可以进行解密.因此属性基密码克服了身份基密码一对一的通信限制，只要用户拥有满足访问策略或谓词结构的属性集就可以进行通信，从而实现了一对多的通信并实现了细粒度的访问控制[2-3].为了满足不同的应用需求，一些新型的属性基加密方案[4-11]和属性基签名方案[12-15]相继被提出.

在属性基签名方案中，由于使用一组属性集代替用户，隐藏了真实的身份信息从而获得了匿名性.签名者根据属性授权机构颁发的属性密钥对消息进行签名，属性密钥由属性授权机构产生并秘密发送给签名者，一旦属性密钥发生泄露或密钥传输时遭受主动攻击被截获，那么获得密钥的任何人都能产生一个有效签名.与此同时，签名数据中可能包含一些敏感信息，例如身份证号、手机号或者个人金融交易记录等.这些敏感信息泄露可能会带来个人隐私泄露甚至是国家机密泄露的极大风险.因此属性基签名中的密钥泄露和敏感信息泄露问题是亟待解决的关键问题.

本文的主要贡献包括3 个方面：

1） 提出了前向安全的高效属性基可净化签名（efficient and forward-secure attribute-based sanitizable signature, FABSS）方案，并在标准模型下证明该方案的安全 性.方案的安 全性可规 约 到 η - DHE（ η-Diffie-Hellman exponent）困难问题假设.

2） 提出的方案利用属性集合和谓词结构提供细粒度访问控制，保护签名者的隐私；利用前向安全技术解决了密钥泄露问题；利用可净化签名技术对原始数据进行脱敏，解决了敏感数据泄露问题.

3） 提出的方案具有固定签名长度，并且在验证阶段只需要常数个配对运算，使得通信开销和计算开销低，因此提出的方案具有高效性.

1 相关工作

属性基加密方案根据访问策略的不同布置可分为密钥策略的属性基加密方案[2]和密文策略的属性基加密方案[16].在密钥策略的属性基加密方案中，用户访问策略与密钥关联，一组属性集与密文相关联.当密文中的属性集满足访问策略时，用户可以正确解密该密文.在密文策略的属性基加密方案中，事先定义的一个访问策略嵌入到密文中，密钥由用户属性集标识，只有当标识密钥的属性集满足密文中的访问策略时用户才能正确解密.

为了解决数据完整性、认证性以及用户细粒度访问控制问题， Maji 等人[17]在2011 年首次提出属性基签名方案，并在一般群模型中证明了该方案的安全性.Okamoto 等人[18]基于CDH （computational Diffie-Hellman）困难问题假设，提出了标准模型下证明安全的属性基签名方案.标准模型下证明安全的方案通常需要大量的计算开销，其中配对运算的代价尤其高昂.为了提高效率，Gagn 等人[19]设计了具有短配对运算的高效属性基签名方案.为了进一步提高效率，Anada 等人[20]提出了无配对运算的属性基签名方案.然而文献[19-20]中的方案仅仅考虑性能的提升而没有考虑密钥泄露问题.在密钥颁发和存储过程中，可能会遭受主动攻击或者由于管理不当造成密钥泄露，恶意攻击者在获得密钥后就能产生任意时间片段签名.为了解决密钥泄露问题，在2015 年，Wei 等人[21]提出了门限结构的前向安全属性基签名方案，并在标准模型下给出了安全性证明.另一个解决密钥泄露的方法是密钥隔离技术，2017 年，Rao[22]提出一个签名策略的属性基密钥隔离签名，将密钥分为长期密钥和短期密钥，并将长期密钥保存在一个安全的设备中，从而保证了密钥的安全.然而在签名方案中，可能发生泄露的不仅仅有签名者密钥，同时还包括消息中的一些敏感信息，例如个人医疗记录信息、金融机构交易信息以及政府部门政务信息等.这些信息一旦发生泄露将会给个人、金融市场或者政府部门带来极大的安全风险.因此我们需要对数据中的敏感数据进行编辑从而隐藏真实信息，这样的方法可称之为“净化”.在可净化签名中，净化者可以在不知道签名者密钥的前提下对数据进行编辑并重新生成一个有效签名.Ateniese 等人[23]首次提出可净化签名概念，利用变色龙哈希设计了可净化签名方案并在随机预言模型下给出了安全性证明.Agrawal 等人[24]提出了在标准模型下证明安全的可净化签名方案，方案的安全性规约到CDH 困难问题假设.但该方案需要大量的配对运算和指数运算，具有较高的运算开销.为了改进效率，Pöhls 等人[25]提出了高效的可净化方案.可审计性要求签名者可以对净化者的行为进行追责，2017 年，Beck 等人[26]提出一个具有强审计性的可净化签名，不仅实现对净化者的追责，同时也防止签名者对净化者的恶意指责.为了获得细粒度访问控制和以及签名者隐私，刘西蒙等人[27]给出属性基可净化签名方案的构造并在标准模型下给出了方案的安全性证明.文献[25]利用门限结构作为访问策略，为了获得更丰富和灵活的访问结构，莫若等人[28]和Mo 等人[29]先后给出了基于树形访问结构的属性基可净化签名方案和具有灵活访问结构的属性基可净化签名方案，方案支持与门、或门和门限结构.为了同时获得访问控制和可审计性，Samelin 等人[30]提出了属性基可净化签名并实现了对净化者的追责.为了解决属性基签名中签名者滥用签名问题，李继国等人[31]提出了可追踪的属性基可净化签名方案，不仅实现了恶意用户追踪，而且还保证了敏感数据的隐私.

2 预备知识

本节介绍FABSS 方案中使用的相关密码学知识，其中包括双线性映射、拉格朗日插值、 η -DHE假设.

2.1 双线性映射

令G1和G2是 2 个p阶 乘 法 循 环 群，p是 大 素 数.g是G1的 一个生成元.一个双线性映射e:G1×G1→G2具有3个性质：

1）双线性.对任意a,b∈Zp， 都有e(ga,gb)=e(g,g)ab.

2） 非退化性.e(g,g)≠1.

3） 可计算性.对所有g1,g2∈G1，存在多项式时间算法计算e(g1,g2).

2.2 拉格朗日插值

设p为 素 数，S⊆Zp，拉 格 朗 日 系 数 定 义 为其中i∈Zp.给定Zp上的d个点(1,q1), (2,q2), …, (d,qd)，d-1次 多 项 式q(x)可 以 重 构为其中 |S|=d.

2.3 η-DHE 问题和困难问题假设

η-DHE 问题.G1是 一个p阶群，g是G1的一个生成元，随机选取a∈Zp.给定元组(g,ga,ga2,…,gaη,gaη+2,…,ga2η)， 计算gaη+1.

ε-(η-DHE)困难问题假设.若不存在多项式时间算法以不可忽略的概率 ε 解 决G1上的η-DHE 困难问题，则称ε-η-DHE 困难问题假设在群G1上是成立的.

3 形式化定义和安全模型

借鉴文献[21]中前向安全的属性基签名的形式化定义，本节给出FABSS 方案的形式化定义和安全模型.

3.1 FABSS 方案的形式化定义

FABSS 方案包括设置、密钥生成、密钥更新、签名、净化和验证6 个算法，每个算法的定义为：

1）设置.算法输入安全参数 λ、系统时间片段总数T、系统门限值d，输出公共参数params和主密钥msk.

2）密钥生成.该算法由属性授权中心执行.算法输入公共参数params、主密钥msk、签名者属性集wa以及初始时间 片段t0， 输出初始时间片段密钥SKt0.

3）密钥更新.该算法由签名者执行.算法输入公共参数params、当前时间片段tj的密钥SKtj以及时间片段tj′，其中tj＜tj′.算法输出时间片段tj′的密钥SKtj′.

4）签名.算法输入公共参数params、当前时间片段tj的密钥SKtj、 消息M、 签名者属性集wa、净化者属性集wτ以及签名策略 Γd,S(·).若签名者属性集wa满足签名策略 Γd,S(·)， 即 |wa∩S|≥d，算法输出消息M的签名 σ以及秘密值集合SI.其中d是门限值，S是谓词结构中的属性集合.

5）净化.该算法由净化者执行.签名者公开声明允许净化的消息索引集合IN⊆{1,2,…,nm}，其中N≤nm.净化者获得由签名者发送的秘密值集合SI.算法输入消息M、 签名 σ 、签名者属性集wa、净化者属性集wτ以及秘密值集合SI.算法输出净化消息M′和净化签名 σ′.

6）验证.算法输入公共参数params、当前时间片段tj、消息M′以 及签名 σ′.若验证签 名 有效，输出accept ；否则，输出 reject.

FABSS 系统框架如图1 所示.签名者将属性集wa以及初始时间片段t0发送给属性授权中心，属性授权中心为签名者生成时间片段t0的 密钥SKt0.签名者用私钥SKt0对 消息M进 行签名获得 σ，并生成秘密值集合SI，将 (M,σ,SI)通过安全信道发送给净化者.净化者对允许净化范围内的消息进行修改，重新生成关于净化后消息M′的 签名 σ′.净化者将 (M′,σ′)发送给验证者，验证者通过验证算法判断签名是否有效.此后，签名者通过密钥更新算法生成时间片段t1的密钥SKt1，并重复上述过程.

Fig.1 The framework of FABSS图1 FABSS 框架

3.2 安全模型

借鉴文献[21]的思想，给出FABSS 方案的前向安全性和不变性安全模型.

3.2.1 前向安全性

FABSS 方案满足传统ABS 方案不可伪造性的同时达到了前向安全性.FABSS 方案的前向安全性可以通过挑战者B和敌手A之间的游戏来刻画.

基于文献[21]给出的安全模型，定义FABSS 的前向安全性游戏.

1）初始化.A将需要挑战的签名策略 Γd*,S*(·)和时间片段tj*发送给B.

2）设置.B运行设置算法，生成公共参数params和主密钥msk，设置初始时间片段t0.挑战者B将公共参数params发送给A，主密钥msk保密.

3）密钥生成询问.A自适应选择属性wa和时间片段tj，将wa和tj交给B.通过密钥生成算法，B生成对应的密钥SKtj并发送给A.

4）密钥更新询问.A随机选择一个新时间片段tj并要求B执行密钥更新算法，此时当前时间片段tj被更新为后一时间片段tj′，B将更新后的密钥SKtj′发送给A.

5）签名询问.A自适应地选择签名者属性集wa，净化者属 性 集wτ，消 息M和 签 名 策略 Γd,S(·)并发 送 给B，B通过签名算法产生当前时间片段tj的签名 σ，并发送给A.

6）伪造.A生成关于消息M*={m*1,m*2,…,m*nm}，签名 策 略 Γd*,S*(·)在 时 间 片 段tj*的 签 名 σ*.若 满 足 条 件①～③，则称A赢得前向安全性游戏.

① σ*是一个有效签名；

②A没有对 (wa,tj)进行密钥生成询问，其中属性集wa满足签名策略 Γd*,S*(·)并 且tj≤tj*；

③A没有在时间片段tj*对消息M*={m*1,m*2,…,m*nm}进行签名询问.

定义1.对于任意概率多项式时间t的敌手，如果赢得上述游戏的概率 ε是可忽略的，那么就称FABSS方案满足前向安全性.

3.2.2 不变性

FABSS 方案的不变性要求净化者只能对允许净化范围内的消息进行修改，无法对净化范围之外的消息进行任何操作.不变性可以通过敌手A和挑战者B之间的游戏来刻画.

1）初始化.A将挑战索引集合IN*和签名策略Γd*,S*(·)发送给B，其中IN*表示净化者可以执行净化操作的消息索引集合.

2）设置.B执行设置算法产生公开参数params和主密钥msk，将公开参数params发送给A，主密钥msk保密.

3）询问.A自适应地进行多项式次密钥生成询问，密钥更新询问和签名询问.其中A可以进行qs次签名询问，在第j次签名询问中，A询问关于消息Mj={mj,1,mj,2,…,mj,nm} 的 签 名 σj.B将 签 名 σj和 秘 密 值 集合SI发送给A.

4）伪造.A输出关于消息M*={m*1,m*2,…,m*nm}，时间 片 段tj*和 签 名 策 略 Γd*,S*(·)的 签 名 σ*，若 满 足 条 件①～③，则称A赢得不变性游戏.

① σ*是一个有效签名；

②A没有对 (wa,tj)进行密钥生成询问，其中属性集合wa满 足 签 名 策 略 Γd*,S*(·)并 且tj≤tj*；

③ 对于任何j∈{1,2,…,qs} ，存在i∉IN*使得mj,i≠m*i.

定义2.如果任意概率多项式时间t的敌手进行至多qk次 密钥询问和至多qs次签名询问，最终赢得不变性游戏的概率 ε是可忽略的，则FABSS 方案具有 ε-不变性.

4 方案构造

根据文献[32]给出的二叉树结构，利用该结构分配时间片段.在二叉树结构中，如图2 所示，将完整时间片段T分解为t0,t1,…,tT-1时间片段.每个时间片段对应一个层数为l的满二叉树的叶子节点.其中根节点用一个空串 γ 标记，k(1 ≤k≤l)层上的每个节点v用一个二进制比特串bv∈{0,1}k表 示，bv与节点v到根节点的路径相关，其中0 表示左子节点，1 表示右子节点.对每个二进制串b∈{0,1}k，都对应二叉树第k层上的一个节点，将这个节点记为vb，并令bv[i]表 示bv中的第i位.例如初始时间片段t0对 应节点vt0，bvt0=0l；t1时 间 片 段 的 节 点 为vt1，bvt1=0l-11.用Pathv表 示 节 点v到根节点路径上包含的所有节点的集合，R(v) 表示v的右子节点.对于时间片段tj及其对应的节点vtj，定义集 合Vtj={R(v)|v∈Pathvt j,R(v)∉Pathvtj}∪{vtj}.如 图2所 示，Pathvt0={γ,v0,v00,vt0}，Vt0={v1,v01,vt1,vt0}.基 于上述构造，可得引理1.

Fig.2 Binary evolutionary tree of time图2 时间的二叉进化树

引理1.存 在 时 间tj和tj′， 若tj′＞tj，对 于 每 个 节 点v′∈Vtj′， 存 在 一 个节点v∈Vtj， 有bv′=bv||b*.其 中，b*∈{0,1}k，k=|bv′|-|bv|.

1）设置.选取安全参数 λ ，生成p阶双线性群G1和G2， 其中p是大素数；e:G1×G1→G2是双线性映射.令T=2l为总时间片段，U={1,2,…,n+d}表示属性域，其中n为 常数.Ω ={ω1,ω2,…,ωd-1}为 缺省属性集，ωi∈Zp.设S⊆Zp，且i∈S， 定 义 拉 格 朗 日 系 数ΔSi(x)=随机选取 α ∈Z*p， 计算Z=e(g,g)α，其中g是G1的 生成元.随机选取群元素fa,fτ和 群元素集合H={h1,h2,…,hl}，W={w1,w2,…,wnm}，F={f1,f2,…,fη}，其中nm是 消 息 长 度， η=n+d-1.则params={G1,G2,e,g,h0,w0,fa,fτ,H,W,F,T,U,Ω,Z}是 公共参数，主密钥为 α.

2）密钥生成.算法输入签名者属性集wa⊆U，主密钥 α，公共参数params和初始时间片段t0.首先选择 一 个d-1次 多 项 式q(x)， 满 足q(0)=α.随 机 选 取ri∈Zp， 其中i∈wa；随机选取ri,v∈Zp， 其中v∈Vt0.计算因此t0时间片段的密钥SKt0={µi,φi,{ski,v|v∈Vt0}}， 其中i∈wa.

3）密钥更新.算法输入当前时间片段tj的密钥SKtj， 后续时间片段tj′和 公共参数params.将当前时间片段密钥SKtj表示成：

ski,v={ai,0,ai,1,ai,|bv|+1,…,ai,l} ，SKtj={µi,φi,{ski,v|v∈Vtj}} ，因为tj′＞tj， 由文献[32]可得，对每个节点v′∈Vtj′，一 定 存 在 节 点v∈Vtj， 有b*满 足bv′=bv||b*.随 机 选 取ri′∈Zp，其 中i∈wa；随 机 选 取ri,v′∈Zp， 其 中v′∈Vtj′.计算时间片段tj′的密钥为删除当前时间片段tj的密钥SKtj.

4）签名.算法输入消息M={m1,m2,…,mnm}，签名策略 Γd,S(·)， 签名者属性集wa，净化者属性集，密钥SKtj， 要求属性集wa满足Γd,S(wa)=1，即|wa∩S|≥d.因此存在属性w′a⊆wa∩S，其中||w′a||=d.选取缺省属性集Ω′⊂Ω， 满足w′a∩Ω′=∅.令计算r=此时有ra,s,z,rτ∈Zp随机选取 ，计算； σ1=a1gs； σ2=µ′·gra； σ3=grτ； σ4=gz.因此在当前时间片段tj产生的签名为σ={σ0,σ1,σ2,σ3,σ4}.签名者计算秘密值SIi=wzi，其中i∈IN.用SI表示秘密值集合，即SI={SI1,SI2,…,SI|IN|}，IN={1,2,…,N}表 示签名者允许净化的消息索引集合，其中N≤nm.

5）净化.净化者获得签名 σ和秘密值集合SI，首先通过验证算法判断签名是否有效，若是有效签名，定义此次需要净化的消息索引集I⊆IN.令I1={i∈I:mi=0,m′i=1}；I2={i∈I:mi=1,m′i=0}.净化者随机选取ra′,净 化 后 的 签 名 为σ′={σ′0,σ′1,σ′2,σ′3,σ′4}.

5 安全性分析

本节将分别给出FABSS 方案的安全性分析.

5.1 正确性

验证方程既能验证原始签名 σ，同时也能验证净化签名 σ′.首先给出对原始签名 σ的验证过程，在5.2 节中给出净化签名的净化性分析.给定签名σ={σ0,σ1,σ2,σ3,σ4}，通过证明等式（1）成立，表明FABSS 方案满足正确性要求.下面分别验证方程中的每一部分.

因此有

综上所述，方案满足正确性.

5.2 净化性

净 化 者 操 作 后 的 净 化 签 名 为σ′={σ′0,σ′1,σ′2,σ′3,σ′4}.当i∈I1时 ，m′i-mi=1， σ′记为1；当i∈I2时 ，m′imi=-1， σ′记为0.σ′0=σ0σ′1=σ1gsa′=gr+s+s′，σ′2=σ2gra′=gra+r′+r′a，σ′3=σ3grτ′=grτ+rτ′，σ′4=σ4gz′=gz+z′.综 上 所 述， 净 化 后 的 签 名σ′={σ′0,σ′1,σ′2,σ′3,σ′4} 与 原 始 签 名σ={σ0,σ1,σ2,σ3,σ4}有相同的分布.因此签名 σ′和 σ都能通过验证方程.

5.3 前向安全性

定理1.在 ε′-(η-DHE)困 难 问 题 假 设 下，提 出 的FABSS 方 案 具 有 (ε,qs)-前向安全性.其 中ε′≥是时间片段总数，nm是消息的长度，qs是敌手A进行签名询问的次数.

证明.通过敌手A和挑战者B之间的交互游戏证明定理1.

1）初始化.给B一个 η-DHE困难问题的随机实例{g,g1=ga,g2=ga2,…,gη=gaη,gη+2=gaη+2,…,g2η=ga2η}，其中g是素数阶群G1的 生成元，a∈Zp.A选择挑战签名 谓 词 Γd*,S*(·)和 时 间 片 段tj*并 发 送 给B， 其 中0 ≤tj*≤T=2l-1.同时定义属性域U={1,2,…,n+d}，其中n是常数.选择缺省属性集 Ω={ω1,ω2,…,ωd-1}.在以下交互中，B尝试计算得到gη+1=gaη+1.

2）设置.B通过如下方式生成公共参数params和主 密 钥msk.B随 机 选 取α′,δa,δτ,δ1,…,δη∈Zp，计 算fi=gδigη-i+1，其中 1≤i≤η；选择缺省属性子集Ω*′⊂Ω，计算令wτ⊆U，计算随机选取 θ0,θ1,…,θl∈Zp， 计算hk=，h0=其中 1 ≤k≤l； 随机选取 ζ ∈{0,1,…,nm}以及2 个随机数 集 合X={x0,x1,…,xnm}和Y={y0,y1,…,ynm}，其 中xi∈，yi∈Zp；计算wi=，w0=其中1 ≤i≤nm；计算Z=e(g1,gη)e(g,g)α′=最后B设 置params={G1,G2,e,g,fa,fτ,h0,w0,U,Ω,T,H,W,Z}为 公共参数，主密钥msk为 α=α′+aη+1.定义2 个函数，此时

3）密钥生成询问.A最多进行qk次密钥生成询问.A询问属性集wa在时间片段tj的密钥SKtj，此时必须满足|wa∩S*|＜d*或者 |wa∩S*|≥d*，tj＞tj*.下面分别讨论这2 种情况.

①当 |wa∩S*|＜d*时，B定义3 个属性集合 Γ , Γ′,S，使Γ=(wa∩S*)∪Ω*′，Γ ⊆Γ′⊆S， 其 中 |Γ′|=d*-1.令S=Γ′∪{0}.同时随机选取一个d*-1次 多项式q(x)，满足q(0)=α=α′+aη+1.

② 当wa∩S*≥d*，tj＞tj*时，根据时间二进制树的定义可得，对节点v∈Vtj，存在索引 β 使 得bv[β]≠bvt j*[β].为简化分析，令 β为满足条件的最小索引值.B定义3个属性集合 Γ ， Γ′，S， 使得 Γ=(wa∩S*)∪Ω*′， Γ ⊆Γ′⊆S，其中 | Γ′|=d*-1.令S=Γ′∪{0}.随机选取d*-1次多项式q(x)， 满足q(0)=α=α′+aη+1.

B随机选取ri， ρi∈Zp， 令q(i)=ρi， 其中i∈Γ′.随机选取ri,v∈Zp， 其中v∈Vtj.计算密钥SKtj={µi,φi,{ski,v|v∈Vtj}} ，其中 µi=ai,|bv|+1,…,ai,l).B随 机 选 择ri∈Zp， 其 中i∈(wa∩Ω)/Γ′.计算随机选取∈Zp，其中v∈Vtj.令

此时={ai,0,ai,1,ai,|bv|+1, …,ai,l)=此时

最后B随机选取综上所述，B成功模拟ty时间片段密钥SKtj.

4）密钥更新询问.为了从当前时间片段tj获得后续 时 间 片 段tj′的 密 钥SKtj′，A向B进 行 密 钥 更 新 询 问.B通过原始方案计算更新密钥SKtj′并发送给A.

5）签名询问.给定消息M={m1,m2,…,mnm}和签名策略 Γd,S(·) ，若J(M)=0，模拟终止；否则，B随机选取计算

此时，

综上所述，模拟签名与原始签名有相同的分布，因此B将签名 σ ={σ0,σ1,σ2,σ3,σ4}发送给A.

6）伪 造.询 问 结 束 后，A输 出 关 于 消 息M*={m*1,m*2,…,m*nm}， 满 足 签 名 策 略 Γd*,S*(·)和 时 间 片 段tj’*的 签 名 σ*={σ*0,σ*1,σ*2,σ*3,σ*4,}.伪 造 过 程 为：选 取w*a⊆S*以 及 Ω*⊆Ω ，令=w*a∪Ω*.要求A没有在tj’*时间 片 段 并 且 满 足 签 名 策 略 Γd*,S*(·)的 条 件 下 对M*={m*1,m*2,…,m*nm}进 行签名询问.此时B检查tj’*=tj*是否成立.若不成立，则模拟终止；若成立，B计算J(M*)和K(M*).若J(M*)≠0，模拟终止；否则A输出伪造签名B通 过A提 交 的 伪 造 签 名 计 算gaη+1=gη+1=因此若A能够伪造一个消息的有效签名，那么B就能成功解决η-DHE困难问题.证毕.

5.4 概率分析

为了在前向安全性游戏的交互中不发生终止，需要考虑3 个事件：

1） 事件E1.签名询问阶段，满足J(M)≠0，其中i∈{1,2,…,qs}；

2） 事件E2.伪造阶段，满足J(M*)=0；

3）事件E3.敌手猜测的时间tj′*，满足tj′*=tj*.

易见，B不发生终止的概率为=同时，对于所有的i=1,2,…,qs，事件E1i和事件E2是相互独立的.因此，≥

综上所述，若存在概率多项式时间敌手以不可忽略概率 ε赢得FABSS 的前向安全性游戏，那么挑战者就能以的概率解决 η-DHE困难问题假设，其中T表示时间片段总数，qs表示签名询问的次数，nm表示消息的长度.

5.5 不变性

定理2.FABSS 方 案 在 ε′-(η-DHE)困 难 问 题 假 设下具有 ε -不变性， 其中存在常数 ψ ， 满足 ε ＜ψε′.

假设可净化集合IN⊆{1,2,…,nm}，净化者已知秘密值集合SI，但无法对可净化集合范围之外的数据进行操作.首先证明引理2.

引理2.若存在多项式时间的敌手A1能够对可净化索引集合IN中 的 κ位长度的消息进行操作，其中0 ＜κ ≤nm， 并且以 εA1的优势赢得不变性游戏，那么就存在一个多项式时间敌手A在不可伪造游戏中以εA≥εA1的 优势成功伪造一个长度为nm-κ位消息的有效签名.

证明.假设A1在 可净化范围内对 κ位长度的消息进行操作，此时A对长度为nm-κ位的消息进行前向安全游戏，在游戏中A模仿挑战者与A1交互.在收到A1提交的相关询问操作后，A通过与前向安全游戏中的挑战者B交互并将结果发送给A1.

1）设置阶段，A1获 得可净化索引集合IN，其中IN⊆{1,2,…,nm}.为简化分 析，令IN={nm-κ+1,nmκ+2,…,nm}， κ=|IN|.B将 公 共 参 数params={G1,G2,e,g,fa,fτ,h0,w0,U,Ω,T,H,Wnm-κ,Z}发送给A，其中Wnm-κ={w1,w2,…,wnm-κ}.A随 机 选 取si∈Zp， 计 算wi′=gsi， 其 中i∈{nm-κ+1,nm-κ+2,…,nm}.令W=Wnm-κ∪Wnm-κ+1，Wnm-κ+1={wnm-κ+1,wnm-κ+2,…,wnm}.A将公共参数params={G1,G2,e,g,fa,fτ,h0,w0,U,Ω,T,H,W,Z}发 送给A1.

在j=1,2,…,qs次的签名询问中，A通过与B的交互来回 答A1的 询 问.首先A1向A询问消 息Mj={mj,1,mj,2,…,mj,nm}的签名，A收到询问后向B询问消息={mj,1,mj,2,…,mj,nm-κ}的 签 名.B将 签 名σ={σj,0,σj,1,σj,2,σj,3,σj,4} 发 送给A，A计算σ′j,1=σj,1，σ′j,2=σj,2，σ′j,3=σj,3，σ′j,4=σj,4.A将签名(σ′j,0,σ′j,1,σ′j,2,σ′j,3,σ′j,4) 以 及 秘 密 消 息=nm-κ+1,nm-κ+2,…,nm}发 送给A1.

2）在 伪 造 阶 段，若A1能 够 成 功 伪 造 消 息M*′=的 签名利用该签名进行以下计算.对于i=1,2,…,qs，∃i∉{nmκ+1,nm-κ+2,…,nm} ， 有mj,i≠m*i′.令 消 息M*={m*0,m*1,…,m*nm}， 当i∈{1,2,…,nm-κ}时 ，m*i=m*i′.A计算σ*4′.A将有效签名 σ*={σ*0,σ*1,σ*2,σ*3,σ*4}发送给B.此时∀j∈{1,2,…,qs}， ∃i∈{nm-κ+1,nm-κ+2,…,nm}满足mj,i≠m*i′.可以发现，如果A1伪造的签名能够通过验证，那么A生成的签名也可以通过验证.因此A赢得前向安全性游戏的优势 εA，满足 εA≥εA1，其中 εA1表示A1赢得不变性游戏的优势.由定理1 可得，敌手A赢得前向安全游戏的优势是可忽略的.因此由引理2 可知，敌手A1赢得不变性游戏的优势也是可忽略的.证毕.

6 方案分析

FABSS 方案不仅获得细粒度访问控制，缓解了密钥泄露问题，而且具有可净化性，解决了敏感信息泄露问题.表1 给出FABSS 方案与文献[21,29,31,33]在匿名性、净化性、前向安全性、透明性以及访问控制方面的优势比较分析.其中文献[33]给出了支持非单调谓词的高效属性基签名方案，提供签名者的匿名性，同时具有细粒度访问控制，但无法提供前向性和净化性.文献[21]提出具有前向安全的属性基签名方案，在获得细粒度访问控制的同时缓解了密钥泄露问题，但无法解决敏感信息泄露问题.文献[29]构造了具有灵活访问结构的属性基可净化签名方案，不仅提供灵活细粒度访问控制，而且还实现了敏感信息隐藏，但无法解决密钥泄露问题.文献[31]提出可追踪的属性基可净化签名方案，提供净化功能从而实现敏感信息隐藏，同时具有恶意用户追踪功能，避免签名滥用，但无法缓解密钥泄露问题.本文提出的FABSS 方案，不仅具有细粒度访问控制，还具有前向安全性和净化性，而且缓解了密钥泄露问题并保护了敏感数据的隐私.

Table 1 Comparison of Schemes表1 方案比较

7 性能分析

基于Ubuntu 18.4，在Charm0.5 框架下实现了FABSS 方案.利用Charm 库中的超奇异椭圆曲线（SS512）测试方案.实验中群G1和G2的 阶为p，p为512 b的大素数.在此参数的计算机上测试主要密码学操作开销，经过1 000 次测量取平均值后，得到实验中计算双线配对所需时间为1.45 ms，在群G1和G2中执行指数运算所需时间分别为1.998 ms 和0.2 ms.FABSS与文献[29,31]的通信开销和计算开销比较如表2 和表3 所示，其中 |G1|表 示群G1中元素的大小，表示签名者属性数量，表示净化者属性数量，l表示时间二叉树层数.由表2 可知，提出的FABSS 方案具有固定的签名长度，减少了通信开销.由表3 可知，提出的方案在验证阶段和净化阶段的指数和配对运算与属性数量无关，降低了计算开销.实验结果如图3～6所示，由图3 和图4 可知，随着用户属性数量增加，提出的方案在密钥生成和签名阶段比文献[29,31]需要更大的计算开销，但是密钥生成算法一般只执行1 次，所以对方案的性能影响不大；由图5 和图6 可知，提出的方案在净化以及验证阶段所需的计算时间要小于文献[29,31]，具有较小的计算开销.

Table 2 Comparison of Communication Cost表2 通信开销比较

Table 3 Comparison of Computation Cost表3 计算开销比较

Fig.3 Performance analysis of key generation algorithm图3 密钥生成算法性能分析

Fig.4 Performance analysis of signing algorithm图4 签名算法性能分析

Fig.5 Performance analysis of verifying algorithm图5 验证算法性能分析

Fig.6 Performance analysis of sanitization algorithm图6 净化算法性能分析

8 结束语

本文形式化了前向安全的属性基可净化签名安全模型.提出了一种前向安全的高效属性基可净化签名方案，不仅缓解了密钥泄露问题，而且还实现了敏感信息隐藏功能.基于η-DHE 困难问题假设，在标准模型下证明了本文方案的安全性.通过与现有方案的对比分析可知，提出的方案更适用于电子医疗、电子政务等特殊应用场景中.

作者贡献声明：朱留富提出初步方案、实验设计，以及论文初稿撰写和修改；李继国负责论文思路构建、理论指导、方案分析和论文修改；陆阳和张亦辰负责论文方案分析、论文润色和修改.