35、高效配对短阈值属性基签名方案解析

高效配对短阈值属性基签名方案解析

1. 引言

近年来，基于属性的密码学备受关注，它为实施基于角色和属性的访问策略提供了优雅的密码学解决方案。基于属性的加密（ABE）方案最初被提出，通过将属性附加到密文来控制消息的解密。之后又出现了密文策略 ABE，将策略附加到密文，解密取决于用户是否拥有满足密文策略的属性私钥。

阈值属性基签名（t-ABS）可以看作是基于身份签名的推广，私钥与满足 (t, n) 阈值策略的一组 n 个属性相关联。用户可以使用大小为 n′（t ≤ n′ ≤ n）的属性子集进行签名，签名消息可以根据验证属性集进行验证，当验证属性集中有 t 个属性与签名属性集匹配时，验证成功。t-ABS 允许用户使用其部分属性签名而不泄露其他属性信息，还可用于构建基于属性的匿名凭证系统。

ABS 方案的重要效率指标包括签名长度（通信成本）以及签名和验证所需的计算量。大多数 ABS 方案定义在允许高效双线性配对的群上，配对操作用于签名验证。已知的 ABS 方案签名大小与用于生成签名的属性数量呈线性关系，验证通常需要与验证中使用的属性数量呈线性关系的配对操作。配对操作比基础群中的指数运算成本更高，尽管有研究降低了配对的计算成本，但对内存受限设备来说仍有挑战。

我们专注于签名大小和签名验证所需的配对操作数量作为主要效率指标，这在减少服务器计算和通信带宽的应用中非常重要。选择专注于阈值属性基签名使我们能够获得一个极其高效的方案，同时保留足够的实用功能。

2. 相关工作

基于属性的签名有两种变体：密钥策略 ABS 和签名策略 ABS。前者签名密钥与策略相关联，用满足策略的属性集签名消息；后者签名密钥与属性集相关联，用属性集满足的策略签名消息。

• [9] 中的方案 ：提出了阈值密钥策略 ABS 的正式定义和安全模型，给出了小属性域和大属性域的构造。该方案在选择性消息和选择性属性安全模型下提供存在不可伪造性，签名需要 2(n + 1) 个群元素，验证包括 t 次配对和 3t 次指数运算。作者展示了 ABS 在凭证系统中的应用，并构建了保护隐私的协议。
• Li 等人的方案 ：提出了一种高效的 t-ABS，与 [9] 相比，将签名验证成本降低了 60%，签名大小降低了 50%。签名大小为 |B| + d - k + 2 个群元素，验证需要 (|B| + d - k + 2) 次配对操作，在选择性属性模型下对选择消息攻击具有存在不可伪造性。
• Maji 等人的方案 ：提出了一个构建签名策略 ABS 方案的通用框架，在自适应属性安全模型下完全安全。部分方案在标准模型下使用强 Diffie-Hellman 问题和对称外部 Diffie-Hellman 问题证明安全，但效率较低；第三个方案更高效，但仅在通用群模型下证明安全。
• Okamoto 和 Takashima 的方案 ：提出了一种高效的签名策略 ABS 方案，能适应非单调策略，在标准模型下基于决策线性假设证明安全，但签名长度和验证所需的配对操作数量仍与访问策略大小呈线性关系。

这些方案还提供了属性隐私的额外特性，但不同方案对隐私的定义有所不同。

3. 背景知识

3.1 阈值属性基签名

阈值属性基签名（t-ABS）方案由四个算法组成：
1. Setup ：由可信权威（TA）运行，给定安全参数 κ，输出系统公共参数 params 和主秘密密钥 msk。
2. Extract ：由 TA 运行，给定大小至少为 t 的属性集 ωu ⊂ U，输出私钥 skωu。
3. Sign ：给定消息 m、秘密密钥 skωu 和大小为 t 的属性集 ωs ⊆ ωu，生成消息 m 的签名 σ，证明用户拥有 ωs 中的属性。
4. Verify ：给定消息 m、签名 σ 和大小为 t 的验证属性集 ωv，如果 σ 是关于属性 ωv 的有效签名，则输出 1，否则输出 0。

3.2 基于属性签名的安全概念

• 存在不可伪造性
  • 自适应选择消息攻击下的存在不可伪造性（EUF - CMA） ：通过攻击者 A 和挑战者 C 之间的游戏定义。挑战者 C 选择安全参数 1λ 并运行 Setup，A 可以进行多项式有界数量的 Extract 和 Sign 查询，最后 A 输出签名对 (σ∗, m∗) 和属性集 ω∗s，若满足一定条件则 A 获胜。
  • 选择性选择消息攻击下的存在不可伪造性（EUF - sCMA） ：攻击者需在看到公共参数之前承诺一个选择的消息，伪造必须在该消息上产生。
  • 选择性属性不可伪造性 ：可在自适应选择消息攻击（s - EUF - CMA）或选择性选择消息攻击（s - EUF - sCMA）下考虑。s - EUF - CMA 的攻击游戏中，攻击者先承诺一个选择的属性集 ω∗u，然后进行查询和伪造，满足条件则获胜。
• 隐私性 ：属性基签名方案是私有的，如果签名的分布与用于生成它的密钥无关。对于密钥策略阈值 ABS，隐私性定义为对于任何消息 m、所有由 Setup 算法生成的 (params, msk)、所有属性集 ω1、ω2、所有签名密钥 skω1 和 skω2、所有属性集 ωs（ωs ⊂ ω1 ∩ ω2），Sign(params, skω1, ωs, m) 和 Sign(params, skω2, ωs, m) 的分布相等。

3.3 复杂度假设

计算 Diffie - Hellman 问题：给定值 (g, ga, gb) ∈ G（其中 a, b ∈ Z∗p，g 是 G 的生成元），计算 gab 的值。

4. 我们的贡献

我们构造了具有恒定数量配对操作（3 次）进行验证和恒定大小签名的 t - ABS 方案，有两种变体：一种用于固定验证属性集，另一种用于通用验证属性集和阈值验证。

• (t, t) - ABS 方案
  • 首先为小属性域构造，属性域由整数 1 到 ˆn 组成；然后推广到大型属性域，属性域由任意大小的所有二进制字符串组成。
  • 两种方案的签名大小恒定为 2 个群元素，签名验证需要 3 次配对操作。虽然验证仍需要线性数量的指数运算，但相比其他方案有显著加速，并且是首个签名大小与属性集大小无关的 t - ABS 方案。
  • 两种方案在标准模型下针对选择消息攻击证明安全，依赖于计算 Diffie - Hellman 问题的难度。
• (t, n) - ABS 方案 ：从 (t, t) - ABS 方案构造而来，验证的计算成本保持为 3 次配对操作（和线性数量的指数运算），签名长度与用于签名的属性集大小呈线性增长，这是因为签名需要包含所有用于签名的属性。该方案在相同框架下证明安全。

我们还比较了我们的方案与已知 ABS 方案的效率，特别关注签名大小和验证计算。我们的签名方案保护了签名者的隐私，除了附加到签名的属性集外，无法从签名推断签名者的其他属性信息。最后，我们讨论了在随机预言模型中如何减少系统参数的大小和加强归约，以及如何使用不同技术使方案更通用。

以下是不同方案的比较表格：
| 方案 | 签名大小 | 验证配对操作 | 验证指数运算 | 安全模型 |
| ---- | ---- | ---- | ---- | ---- |
| [9] 方案 | 2(n + 1) 个群元素 | t 次 | 3t 次 | 选择性消息和选择性属性 |
| Li 等人方案 | |B| + d - k + 2 个群元素 | (|B| + d - k + 2) 次 | - | 选择性属性，自适应选择消息 |
| 我们的 (t, t) - ABS 方案 | 2 个群元素 | 3 次 | 线性数量 | 选择性属性，自适应选择消息 |
| 我们的 (t, n) - ABS 方案 | 与属性集大小线性增长 | 3 次 | 线性数量 | 选择性属性，自适应选择消息 |

下面是 t - ABS 方案的流程 mermaid 图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A([开始]):::startend --> B(Setup):::process
    B --> C(Extract):::process
    C --> D(Sign):::process
    D --> E(Verify):::process
    E --> F([结束]):::startend

综上所述，数字签名为认证提供了强大的机制，阈值属性基签名方案允许基于用户属性进行认证，保护用户身份和未用于签名的属性。我们提出的方案验证只需 3 次配对，签名短，安全依赖于计算 Diffie - Hellman 问题的难度，具有高效验证和短签名大小的特点，具有很高的实用性。

高效配对短阈值属性基签名方案解析

5. 隐私性探讨

在 t - ABS 方案中，隐私性是一个重要的考量因素。我们所提出的 t - ABS 方案具备签名者 - 属性隐私性。

对于 (t, t) - ABS 方案和 (t, n) - ABS 方案，它们在隐私性方面有着独特的表现。在签名过程中，除了明确附加到签名的属性集外，签名不会泄露签名者持有的其他属性的任何信息。这意味着签名者可以放心地使用部分属性进行签名，而不用担心其他属性信息的泄露。

例如，在一个基于属性的匿名凭证系统中，用户持有多个属性，如年龄、职业、学历等。当用户使用其中 t 个属性进行签名时，验证者只能得知这 t 个属性的相关信息，而无法推断出用户的其他属性。这种隐私保护机制使得 t - ABS 方案在实际应用中更具吸引力。

下面通过一个表格来对比不同方案的隐私性特点：
| 方案 | 隐私性定义 | 隐私保护程度 |
| ---- | ---- | ---- |
| [9] 方案 | 弱签名者 - 属性隐私和全签名者 - 属性隐私 | 签名不泄露除阈值 t 个属性外的其他属性信息；验证证明除签名有效性外不泄露其他信息 |
| Li 等人方案 | 签名不泄露签名者身份和属性信息，除声明中明确的信息 | 较好的隐私保护 |
| 我们的方案 | 除签名附加属性集外，不泄露签名者其他属性信息 | 有效保护签名者隐私 |

6. 方案的构建与拓展

6.1 (t, t) - ABS 方案构建

• 小属性域情况 ：属性域由整数 1 到 ˆn 组成。首先通过 Setup 算法，TA 根据安全参数 κ 生成系统公共参数 params 和主秘密密钥 msk。然后对于用户的属性集 ωu（大小至少为 t），TA 运行 Extract 算法生成私钥 skωu。当用户要对消息 m 签名时，选择大小为 t 的属性集 ωs ⊆ ωu，使用 Sign 算法生成签名 σ。验证时，Verify 算法使用验证属性集 ωv 进行验证，需要 3 次配对操作和线性数量的指数运算。
• 大属性域情况 ：属性域由任意大小的所有二进制字符串组成。构建过程与小属性域类似，但在处理属性时需要考虑更广泛的范围。同样，签名大小恒定为 2 个群元素，验证需要 3 次配对操作。

6.2 (t, n) - ABS 方案构建

从 (t, t) - ABS 方案构建 (t, n) - ABS 方案。在验证时，计算成本保持为 3 次配对操作（和线性数量的指数运算）。由于签名需要包含所有用于签名的属性，签名长度与用于签名的属性集大小呈线性增长。

6.3 方案拓展

• 随机预言模型下的优化 ：在随机预言模型中，可以减少系统参数的大小和加强归约。通过合理利用随机预言机的特性，对系统参数进行优化，使得方案在实际应用中更加高效。
• 不同技术的应用 ：可以使用不同技术使方案更通用，例如允许灵活的阈值设置。通过调整阈值 t 的大小，可以满足不同场景下的需求。还可以考虑使用不同类型的配对，以适应不同的计算环境和安全要求。

下面是方案构建流程的 mermaid 图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A([开始]):::startend --> B(Setup):::process
    B --> C(Extract):::process
    C --> D{选择方案类型}:::process
    D -->|(t, t) - ABS| E(小属性域构建):::process
    D -->|(t, t) - ABS| F(大属性域构建):::process
    D -->|(t, n) - ABS| G(从 (t, t) - ABS 构建):::process
    E --> H(Sign):::process
    F --> H
    G --> H
    H --> I(Verify):::process
    I --> J([结束]):::startend

7. 方案的实际应用与优势

阈值属性基签名方案在实际应用中有着广泛的用途，特别是在基于属性的匿名凭证系统中。在该系统中，用户的凭证是包含多个属性的消息，由可信权威使用 t - ABS 进行签名。用户可以通过特定协议“准备”和“展示”凭证，使得验证者只能得知凭证与验证属性集有 t 个共同属性，而无法获取其他信息。

我们的方案具有以下优势：
- 高效性 ：验证只需要 3 次配对操作，相比其他方案有显著的计算效率提升。签名大小恒定或与属性集大小线性增长，减少了通信成本。
- 安全性 ：在标准模型下针对选择消息攻击证明安全，依赖于计算 Diffie - Hellman 问题的难度，保证了方案的安全性。
- 隐私性 ：有效保护签名者的隐私，除签名附加属性集外，不泄露其他属性信息。

综上所述，我们提出的 t - ABS 方案在效率、安全性和隐私性方面都有出色的表现，为基于属性的密码学应用提供了一个高效且实用的解决方案。在未来的研究和应用中，可以进一步探索方案的优化和拓展，以满足更多复杂场景的需求。