抗密鑰委托濫用的可追蹤屬性基加密方案

閆璽璽，何旭，劉濤，葉青，于金霞，湯永利

（河南理工大學計算機科學與技術學院，河南 焦作 454003）

1 引言

云計算的推廣和應用方便了人們生活。無論用戶的地理位置如何變化，都可以遠程訪問云端，獲取資源和計算服務。云服務提供商可能在云端部署多個計算節點以響應不同的請求，例如分別處理和發布交通路況信息、天氣預報信息和物價信息等不同資源信息的多個服務器。云端計算節點如圖1 所示。云服務提供商不希望用戶沒有限制地訪問其經營的計算節點，如果用戶要獲得某個節點上的服務，就需要付費購買相應的訪問權限。實際中，如何控制終端用戶對計算節點的訪問權限是一個重要的研究課題。屬性基加密（ABE,attribute-based encryption）[1]特別是密文策略屬性基加密（CP-ABE,ciphertext-policy attribute based encryption）[2]，允許數據擁有者為加密數據制定靈活的訪問策略并且不需要預先獲知接收方的具體身份，可以實現細粒度訪問控制和支持一對多通信模式。因此，ABE 被視為實現終端用戶對計算節點訪問控制的一個理想途徑。

圖1 云端計算節點

然而，ABE 本身存在的一些安全問題制約了其在訪問控制方面的應用。大多數關于ABE 的文獻[1-5]主要關注并且可以保證抗串謀攻擊。如圖1 所示，假設用自然數表示屬性，用戶 Alice 擁有屬性{1,3,5}，用戶Bob 擁有屬性{2,4,6}，節點C 上的訪問策略為“1 ∧4 ∧6”。顯然無論Alice 還是Bob都不能單獨訪問節點C，但是如果Alice 和Bob 獲得他們屬性集合的超集{1,2,3,4,5,6}，那么他們就可以訪問節點C。為了避免這種情況，ABE 需要保證抗串謀，也就是要保證“用戶不能派生超集”。然而，派生超集的逆過程派生子集在已有的關于ABE 的文獻中缺少充分的關注[6-7]。為了更好地說明“用戶派生子集”問題對ABE 安全性的影響，可以考慮下面一個具體的場景。

如圖1 所示，假設一個云服務提供商P 經營4 個云計算節點A、B、C 和D，其中每個節點的接入服務售價是7 元/月。用戶Alice 支付28 元給P從而購得A、B、C 和D 的訪問權限，訪問權限對應的屬性集合為S=SA∪SB∪SC∪SD。其中，SA、SB、SC和SD是S的子集，并且可以分別用于訪問節點A、B、C 和D。此時若允許“用戶派生子集”，Alice 就可以從中謀取利益。例如Alice 分別生成關聯屬性集合SA、SB、SC和SD的4 個用戶私鑰，并且以5 元/月銷售每個用戶私鑰；Alice 又分別生成關聯屬性集合SA∪SB，SB∪SC和SC∪SD的3 個用戶私鑰，并且以10 元/月銷售每個用戶私鑰。注意，Alice 派生S的子集可以是SA、SB、SC和SD中的單個，也可以是其中任意2 個的并集、任意3 個的并集或者全部4 個的并集，因此S的子集不只限于以上的例子。當Alice 成功出售這7 個用戶私鑰時，她將獲得50 元的收入。顯然與Alice 最初購買訪問權限所支付的28 元相比，她得到了非正常的經濟利益。另外，由于Alice 比P 的售價低，更易獲得潛在用戶的青睞，使Alice 會對合法的服務提供商P 造成嚴重的競爭威脅。因此，ABE 不僅要保證“用戶不能派生超集”，還應保證“用戶不能派生子集”。文獻[7]將“用戶不能派生子集”正式定義為抗密鑰委托濫用（key-delegation abuse resistance）。

除了抗串謀和抗密鑰委托濫用外，可追蹤性也是ABE 需要實現的安全保障。由于ABE 中用戶私鑰僅與用戶持有的屬性有關，而不同的用戶可能持有相同的屬性，當發生用戶私鑰泄露時，如何確定泄露用戶私鑰的惡意用戶就成為ABE 中重要的可追蹤問題[8]。繼續考慮上述場景，假使Alice“不能派生子集”，但是如果其可以直接泄露關聯屬性集合S的用戶私鑰而不被追蹤發現，那么仍然能夠通過直接泄露自己的私鑰給非授權用戶來獲得非法利益。因此，實現ABE 的可追蹤性是十分必要的。

當前研究工作缺乏對既支持抗密鑰委托濫用又具有可追蹤功能的ABE 方案的關注。一方面，現有可追蹤ABE 方案不具備上述場景要求的“抗用戶派生子集”的能力。他們聲稱的抗密鑰濫用能力大多是利用追蹤功能對泄露自己部分或全部解密密鑰的用戶起到威懾作用。實際上，用戶仍然能將自己屬性集合的一部分（即子集）所關聯的部分解密密鑰泄露給非授權的第三方，部分解密密鑰只有完整解密密鑰中的部分組件，但仍然可以完成正確的解密操作。因此，通過追蹤功能而附帶產生的抗密鑰濫用能力是不完備的，只能起到威懾和事后追責的作用，而不能在事前避免“用戶派生子集”。

文獻[7]擴展方案提出了一種霧計算中抗密鑰委托濫用且可追蹤的CP-ABE 方案，但是該方案效率不高。具體而言，文獻[7]擴展方案的追蹤方法如下。將用戶的身份標識編碼成虛擬屬性，并將虛擬屬性加入真實的屬性集合中。當用戶泄露自己的私鑰時，用戶私鑰所關聯的虛擬屬性連同真實屬性會被一起泄露，從而可以通過解析虛擬屬性得到其對應的用戶身份標識，實現對惡意用戶的可追蹤。然而，該追蹤方法導致文獻[7]擴展方案的公共參數大小、密文大小、用戶私鑰大小及加密和解密計算量都與用戶身份標識編碼后的長度線性相關，制約了文獻[7]擴展方案的執行效率。

綜上所述，為了克服現有可追蹤ABE 方案在抗密鑰委托濫用上的不足，以及改善文獻[7]擴展方案效率不高的問題，本文從改進文獻[7]擴展方案性能出發，在繼承其抗密鑰委托濫用優點的基礎上，采用一種更為高效的追蹤方法，提出一種新的抗密鑰委托濫用的可追蹤屬性基加密方案。本文的主要創新點如下。

1)為了同時支持抗密鑰委托濫用和可追蹤，本文方案借鑒文獻[9]中“粘合”屬性層和秘密分享層的思想，將抗密鑰委托濫用功能和可追蹤功能視為2 個分離的層，即抗密鑰委托濫用層和可追蹤層，并且設計了2 個獨立的參數α和β。將α嵌入抗密鑰委托濫用層，將β嵌入可追蹤層。最終，通過α和β之間的運算，實現抗密鑰委托濫用層和可追蹤層之間的“粘合”，從而使本文方案同時獲得了抗密鑰委托濫用和可追蹤2 個重要的功能。

2)本文方案采用文獻[8]中基于短簽名[10]結構的追蹤方法，與文獻[7]擴展方案相比，公共參數、密文和用戶私鑰的尺寸更短，加密和解密的計算量更小，從而獲得了更高效的性能。

3)本文方案的可追蹤性證明基于標準模型上的安全游戲，比文獻[7]擴展方案基于一般雙線性群模型（generic bilinear group model）的可追蹤性證明更加嚴格，安全性更高。

2 相關工作

正如前文場景所述，抗密鑰委托濫用和可追蹤是ABE 需要實現的重要安全保證。在可追蹤ABE方面，Liu 等[8]利用一種短簽名結構保護用于追蹤的參數，提出了一種支持任意單調訪問結構的白盒可追蹤CP-ABE方案。Liu等[8]指出ABE中存在2種類型的追蹤：白盒追蹤和黑盒追蹤。白盒追蹤中追蹤算法根據被泄露的用戶私鑰進行追蹤；黑盒追蹤中追蹤算法只能根據解密設備進行追蹤，而參與構造解密設備的用戶私鑰和解密算法是隱藏的，因此解密設備也被稱為黑盒。Ning等[11]采用與文獻[8]相似的追蹤結構，提出了一種支持大屬性集且追蹤存儲開銷為常數級的白盒可追蹤CP-ABE 方案。在抗密鑰濫用ABE 方面，現有相關文獻[12-18]大多利用追蹤方法來解決密鑰濫用問題，因此它們也屬于可追蹤ABE 的研究范疇。但是，可追蹤性對于想要泄露用戶私鑰的用戶來說只能起到威懾作用，實際上，用戶仍然具有派生子集的能力。為了真正實現抗用戶派生子集，Jiang 等[6]設計了一個新的CP-ABE 方案，其中解密操作要求全部屬性的共同參與，如果只擁有全部屬性的一部分（即子集），則不能完成正確的解密操作，從而真正達到抗用戶派生子集的目的。Jiang等[7]進一步將他們實現的抗用戶派生子集CP-ABE 方案應用到霧計算中，并且正式將這種性質定義為抗密鑰委托濫用。用抗密鑰濫用來表達文獻[12-18]的工作是為了與Jiang 等[6-7]所實現的抗密鑰委托濫用進行區分。此外，Qiao 等[19]提出了一個霧計算中支持黑盒追蹤的CP-ABE 方案，但他們解決權限濫用（即密鑰濫用）問題的方式仍然依賴于方案的可追蹤性。

3 預備知識

3.1 訪問結構

本文定義的訪問結構A由與門（用符號“∧”表示）構成，即，其中，W表示屬性全集的一個子集，i表示一個屬性。給定一個屬性集合S，S滿足A當且僅當W?S。

文獻[7]實現抗用戶派生子集的方法依賴于與門訪問結構，本文方案沿用了文獻[7]的技術思路，所以本文方案僅支持與門訪問結構。

3.2 判定性雙線性Diffie-Hellman 假設

假設1設G是階為素數p的雙線性群，g是G的一個生成元，e是G上雙線性映射。判定性雙線性 Diffie-Hellman（DBDH,decisional bilinear Di ffie-Hellman）假設是指挑戰者隨機選取a,b,c,z∈Zp，Zp為模p的剩余類集，不存在多項式時間的攻擊者能以不可忽略的優勢正確區分下面2 個元組。

3.3l-SDH 假設

假設2設G是階為素數p的雙線性群，g是G的一個生成元。G上的l-強 Diffie-Hellman（l-SDH,l-strong Diffie-Hellman）問題定義為：給定(l+1)元組作為輸入，輸出。算法A 可以優勢ε攻破G上的l-SDH 假設，如果Pr[A(g,gx,，其中x是從中隨機選取的元素。

定義1G上的(l,t,ε)-SDH 假設成立，如果不存在t-時間的算法可以至少ε的優勢解決G上的l-SDH 問題。

4 算法與安全模型定義

4.1 算法定義

本文方案由5 個算法組成，分別是系統初始化算法setup、加密算法encrypt、用戶私鑰生成算法KeyGen、解密算法decrypt 和追蹤算法trace。具體算法定義如下。

1)setup(κ,U)→(PK,MK)。ABE 系統的建立者執行初始化算法setup。算法以安全參數κ和屬性全集U 作為輸入，輸出公共參數PK 和主密鑰MK，并初始化追蹤表T=?，?為空集。MK 和T由機構（authority）持有和維護。

2)encrypt(PK,A,m)→CT 。加密方執行加密算法encrypt。算法以公共參數PK、屬性全集U 上的訪問結構A和消息m作為輸入，輸出密文CT。其中訪問結構A包含在CT 中。

3)KeyGen(PK,MK,id,S)→SK。機構執行用戶私鑰生成算法KeyGen。算法以公共參數PK、主密鑰MK、用戶身份id 和用戶屬性集合S作為輸入，輸出用戶私鑰SK。

4)decrypt(PK,CT,SK)→mor ⊥。用戶執行解密算法decrypt。算法以公共參數PK、密文CT 和用戶私鑰SK 作為輸入。如果SK 關聯的用戶屬性滿足CT 中的訪問結構，則算法輸出消息m；否則輸出⊥，表示解密失敗。

4.2 方案安全模型定義

本文采用文獻[7]定義的方案安全模型，該模型定義為挑戰者與攻擊者之間交互的安全游戲，該游戲是選擇明文攻擊（CPA,chosen plaintext attack）下的不可區分性（IND,indistinguishability）游戲，即IND-CPA 游戲。具體描述如下。

1)初始化前，攻擊者將欲挑戰的訪問結構A*傳遞給挑戰者。

2)初始化，挑戰者運行初始化算法，將公共參數PK 傳遞給攻擊者。

3)階段1，攻擊者向挑戰者詢問(id1,S1),…,(i dq1,Sq1)關聯的用戶私鑰，其中，id 為用戶身份，S為該用戶的屬性集合。

4)挑戰，攻擊者向挑戰者提交2 個等長的消息m0和m1。挑戰者擲一枚均勻的硬幣η∈{0,1}，并在A*下加密mη生成挑戰密文CT*。挑戰者將CT*傳遞給攻擊者。

6)猜測，攻擊者輸出對η的猜測η'。

如果η'=η并且用于詢問的用戶屬性集合S1,…,Sq不能滿足訪問結構A*，攻擊者贏得上述游戲。攻擊者贏得上述游戲的優勢定義為。

定義2如果所有多項式時間的攻擊者在上述安全游戲中至多有可忽略的優勢，則本文方案是選擇性安全和IND-CPA 安全的。

4.3 可追蹤性模型定義

本文采用文獻[8]定義的可追蹤性模型，其中可追蹤性定義為挑戰者與攻擊者之間交互的安全游戲。具體描述如下。

1)初始化。挑戰者運行初始化算法，將公共參數PK 傳遞給攻擊者。

2)密鑰詢問。攻擊者向挑戰者詢問(id1,S1),…,(idq,Sq)關聯的用戶私鑰。

3)密鑰偽造。攻擊者輸出一個用戶私鑰SK*。

如果trace(PK,SK*,T)≠（即SK*是格式良好的），并且trace(PK,SK*,T)?{id1,…,idq}，其中idi為用于詢問的用戶身份（i=1,…,q），攻擊者贏得上述游戲。攻擊者贏得上述游戲的優勢定義為。

定義3如果所有多項式時間的攻擊者在上述可追蹤性游戲中至多有可忽略的優勢，則本文方案是可追蹤的。

可追蹤性模型之所以沒有考慮“實際惡意用戶是idm，但追蹤到的是idn（m,n∈{1,…,q}且m≠n）”的情況，是因為本文方案的具體構造保證攻擊者不能采用這種方式抗追蹤，具體原因如下。由第5 節可知，追蹤算法利用參數r追蹤用戶id，對應關系(r,id)存儲于追蹤表T。假設用戶idm的私鑰為

用戶idn的私鑰為

如果攻擊者用idn代替idm，則會輸出私鑰

顯然，SK*中發生了參數t不匹配的情況，即K中是t(n)，而K0和{Ki}中是t(m)（{Ki}中隱含參數t，參見第5 節）。這樣SK*就不能用于正常的解密，SK*也就失去了被追蹤的意義。實際上，設置參數t是為了保證SK 中組件的“配套”，防止用戶串謀。

由上述分析可知，攻擊者不能采用“用idn代替idm”的抗追蹤方式，因此可追蹤性模型沒有考慮這種情況。

5 方案構造

本節主要展示方案的具體構造并對相關參數進行說明，其中每種算法的執行者已經在4.1 節中明確指出。具體方案如下。

1)初始化setup(κ,U)→(PK,MK)

首先，運行群生成算法(p,g,G,GT,e)←G(κ)，輸入安全參數κ，輸出循環群的描述。其中，G和GT是階為素數p的循環群，e:G×G→GT是雙線性映射，g是群G的生成元。屬性全集U={1,…,n}。

隨機選取α,β,δ←RZp，，。計算，…，，。輸出公共參數，主密鑰。初始化追蹤表T=?。

2)加密encrypt(PK,A,m)→CT

消息m∈GT，訪問結構，其中，W為加密者指定的U 的一個子集，i表示一個屬性。隨機選取s←RZp，s為欲分享的秘密。輸出密文

3)用戶私鑰生成KeyGen(PK,MK,id,S)→SK

4)解密decrypt(PK,CT,SK)→mor ⊥

5)追蹤trace(PK,SK,T)→id or

如果SK 同時滿足下述2 個用戶私鑰格式檢查條件，則SK 是格式良好的；否則，SK 不是格式良好的，算法輸出。

用戶私鑰格式檢查條件如下。

①K'∈Zp，K,K0,Ki∈G。

當SK 格式良好時，算法在T中查詢r（K'=r），如果r存在，則輸出對應的id；否則，輸出特殊的符號id?（表示在T中沒有存儲）。

6 方案分析

6.1 方案安全性證明

定理1如果DBDH 假設成立，則本文方案在4.2節的安全模型中是選擇性安全和IND-CPA 安全的。

證明假設存在一個概率多項式時間敵手A可以以不可忽略的優勢ε攻破本文方案，那么能夠構造一個概率多項式時間算法B 可以以不可忽略的優勢攻破DBDH 假設。

挑戰者設置階為素數p的群G和GT,雙線性映射e:G×G→GT,G的一個生成元g，隨機選取a,b,c,z←RZp。挑戰者擲一枚隨機均勻的硬幣μ∈{0,1}，如 果μ=0，則設置；否則，設置。設屬性全集。模擬者B 收到四元組(A,B,C,Z)后，與敵手A 進行下面的游戲。

初始化B隨機選取，λ1,…,λn←RZp，γ1,…,γn←RZp。B計算和，其中對i∈U，令ti=λi；對i∈W*，令；對；令α=ab，β=b+θ（注意，這里在模擬β時令β=b+θ，通過加上隨機數θ，使盡管α和β的模擬中都含有參數b，但它們仍然滿足真實方案中的獨立隨機性）。然后B 將公共參數傳遞給A，初始化追蹤表T=?。

階段1A向B 提交(id,S)，詢問關聯的用戶私鑰，并且要求W*?S。B 隨機選取，計算，K'=r，其中表示(d+r)模p下的逆元，當“r已經在T中”發生時，隨機選取新的并重復上述操作。

因為W*?S，所以必定存在一個屬性k∈W*使k?S，B 選擇這樣一個屬性k。B 隨機選取，令t=bt'，計算。B 隨機選取,…,，并計算。對i∈U{k}，令；對i=k，令。B按以下4 種情況進行計算。

B傳遞給A用戶私鑰

最后將對應關系(r,id)存入T中。

這里指出B 對xi（i∈U）模擬的正確性，具體如下。

挑戰A 將2 個等長的消息m0、m1提交給B。B 隨機選取η←R{0,1}，然后傳遞給A 挑戰密文，具體如下。

其中，令秘密s=c。

階段2A 與B 的交互過程同階段1。

猜測 A 將對η的猜測η'提交給B。如果η'=η，則B 輸出μ'=0，表示B 收到四元組(A,B,C,Z)=(ga,gb,gc,e(g,g)abc)；如果η'≠η，則 B 輸出μ'=1，表示B收到四元組(A,B,C,Z)=(ga,gb,gc,e(g,g)z)。

B 模擬的公共參數、用戶私鑰和挑戰密文與實際方案中的分布是相同的。下面分析B 的優勢。

當μ=1時，A 不能獲得mη的有效密文，A 只能純粹猜測η的值，因此。而當η'≠η時，B 輸 出μ'=1，所 以。

當μ=0時，A 可以獲得mη的有效密文，由前面的假設可知，A 攻破本文方案（即解密）的優勢是ε，因此。而當η'=η時，B 輸出μ'=0，所以。

μ=1發生的概率為，μ=0發生的概率為，B 純粹猜測μ'（使μ'=μ）的概率為。綜上所述，B 攻破DBDH 假設的優勢為

證畢。

6.2 可追蹤性證明

定理2如果l-SDH 假設成立，則本文方案是可追蹤的（q＜l，q是敵手詢問的次數）。

證明假設存在一個概率多項式時間敵手A在進行q次（不妨設l=q+1）密鑰詢問后可以以不可忽略的優勢ε贏得4.3 節給出的可追蹤游戲，那么能夠構造一個概率多項式時間算法B 可以以不可忽略的優勢攻破l-SDH 假設。

設置G和GT是階為素數p的循環群，是雙線性映射，。給出實例，B 的目標是輸出并滿足，從而解決l-SDH 假設。B 設置，i=0,1,…,l。B 將作為輸入與A 進行可追蹤游戲。

初始化B 隨機選取q個不同值r1,…,。令多項式。展開f(y)，可以得到形式如的表達式，其中是多項式f(y)展開式中各項的系數。B 計算g和gd。

密鑰詢問A 提交(idi,Si)給B，詢問關聯的用戶私鑰SKi。假設這是A 的第i次詢問（i≤q）。令多項式。展開fi(y)，可以得到形式如的表達式，其中β0,β1,…,βq-1∈Zp是多項式fi(y)展開式中各項的系數。B 計算

B 將對應關系(ri,idi)存入T中，并將用戶私鑰SKi=(K,K',K0,{Kk}k∈Si,{Kk}k∈USi)傳遞給A 。SKi表示A 第i次詢問得到的用戶私鑰。

密鑰偽造A 將用戶私鑰SK*提交給B。

注意到，可追蹤游戲中B 模擬的公共參數和用戶私鑰與實際方案中的分布是相同的。

令EA表示A 贏得可追蹤游戲，即SK*滿足第5 節中用戶私鑰格式檢查的2 個條件，并且SK*中的K'?{r1,…,rq}。由證明開始時的假設，有Pr[EA]=ε。下面討論EA的發生對B 解決l-SDH假設的幫助。

當EA發生時，B 做多項式除法，商為，余項，因為，即(y+K')不能整除f(y)），進而f(y)可以寫作。因為p為素數且，所以與p互素，即它們的最大公約數。因此在模p下存在逆元。此時B 可以按照以下方式計算。

綜上可知，B 攻破l-SDH 假設的概率為

其中，在沒有任何幫助的情況下B 解決l-SDH 假設的概率被認為是可以忽略的，為方便計算，設其為0。則B 攻破l-SDH 假設的優勢為

因此，B 可以以不可忽略的優勢ε攻破l-SDH假設。

證畢。

6.3 抗密鑰委托濫用性證明

本文方案中，只有當敵手可以不利用全部屬性而采用其他的方法重構出秘密參數α時，敵手才能實現密鑰委托。但是，用戶私鑰中與α有關的參數只有，并且只有全部的Ki共同參與才能重構出α。這意味著敵手不能僅由全部屬性的子集或者其他不利用全部屬性的方法將α重構出來，也就是說敵手不能實現密鑰委托，所以抗密鑰委托濫用性成立。本文僅給出了證明抗密鑰委托濫用性的基本思路，嚴格的證明過程見文獻[7]。

6.4 性能分析

將本文方案與相關方案從性質和性能兩方面進行比較。功能和安全性等性質對比如表1 所示，通信代價和計算代價等性能對比如表2 所示。為表述方便，將文獻[7]中只實現抗密鑰委托濫用性的方案稱為基礎方案，將文獻[7]中同時實現抗密鑰委托濫用性和可追蹤性的方案稱為擴展方案。

從表1 可以看出，本文方案和文獻[7]的2 個方案建立在素數階群上，而文獻[8]方案建立在合數階群上，有文獻指出，素數階群上的方案比合數階群上的方案具有更好的執行效率[19]。在功能上，文獻[8]方案僅支持可追蹤，文獻[7]基礎方案僅支持抗密鑰委托濫用，而本文方案和文獻[7]擴展方案既支持抗密鑰委托濫用又支持可追蹤，因此本文方案和文獻[7]擴展方案實現的功能更加全面。然而，本文方案與文獻[7]擴展方案實現可追蹤性的方法不同，一方面影響方案的性能（具體參見關于表2 的分析）；另一方面也影響方案的安全性，主要體現在可追蹤性證明上。文獻[7]擴展方案的可追蹤性證明基于一般雙線性群模型，而本文方案的可追蹤性證明利用標準模型上的安全游戲，相較而言，基于標準模型的證明比基于一般雙線性群模型的證明更加嚴格，因此本文方案比文獻[7]擴展方案在可追蹤性證明上更具優勢。

表1 不同方案性質對比

表2 相關方案性能對比

結合表1 的性質對比，從表2 可以看出，本文方案與文獻[8]方案相比，雖然通信代價和計算代價更大，但是這些開銷是為了使本文方案獲得文獻[8]方案所不具備的抗密鑰委托濫用性，從而實現更好的安全保障，因此本文方案做出這樣的性能犧牲是合理的。本文方案與文獻[7]基礎方案相比，公共參數大小增加了2，密文大小增加了2，用戶私鑰大小增加了3；加密計算量中群G上指數運算增加了2，解密計算量中雙線性運算增加了1 并增加了一個群G上指數運算，而功能上本文方案比文獻[7]基礎方案增加了可追蹤性。也就是說與文獻[7]基礎方案相比，本文方案在獲得可追蹤性的同時雖然增加了性能開銷，但是增加的性能開銷僅僅是常數量。本文方案與文獻[7]擴展方案相比，公共參數大小減小了2ρ-2，密文大小減小了2ρ-2，用戶私鑰大小減小了ρ-3，加密計算量中群G上指數運算減小了2ρ-2；解密計算量中雙線性運算減小了ρ-1，同時增加了一個群G上指數運算。顯然在既支持抗密鑰委托濫用又支持可追蹤的方案中，本文方案具有比文獻[7]擴展方案更好的性能。

此外，本文還通過實驗仿真對表2 中方案進行了性能評估。實驗運行環境為Intel(R)Core(TM)i5-7200U CPU @ 2.50 GHz，8.00 GB 內存，Windows10 操作系統。實驗程序采用Java 語言編寫，基于JPBC（Java pairing based cryptography）類庫[20]實現雙線性運算。由于文獻[8]方案建立在合數階群上，本文方案和文獻[7]的2 種方案建立在素數階群上，通常在滿足相同安全強度時，合數階方案運行速度慢于素數階方案運行速度[19]，因此實驗只測試了本文方案和文獻[7]的2 種方案在加密和解密過程中的時間開銷。實驗中給定?=10和ρ=20，主要關注各方案計算時間開銷隨屬性全集中屬性數量增加的變化趨勢。具體實驗結果如圖2 和圖3 所示。

圖2 不同方案加密時間開銷對比

圖3 不同方案解密時間開銷對比

從圖2 可以看出，隨著屬性全集中屬性數量的增加，各方案加密時間開銷基本呈線性增長。本文方案實驗曲線位于文獻[7]擴展方案實驗曲線的下方，而與文獻[7]基礎方案實驗曲線在多個節點處幾乎重疊，這表明本文方案的加密時間開銷小于文獻[7]擴展方案的加密時間開銷，而與文獻[7]基礎方案的加密時間開銷大體相當。

從圖3 可以看出，隨著屬性全集中屬性數量的增加，各方案解密時間開銷也基本呈線性增長。其中本文方案實驗曲線明顯低于文獻[7]擴展方案實驗曲線，整體略高于文獻[7]基礎方案實驗曲線。例如當時，文獻[7]擴展方案、本文方案和文獻[7]基礎方案的解密時間開銷分別為401.45 ms、275.1 ms 和255.4 ms。此時，本文方案的解密時間開銷比文獻[7]擴展方案減小了126.35 ms，但只比文獻[7]基礎方案增加了19.7 ms。這表明，本文方案的解密效率明顯優于文獻[7]擴展方案的解密效率，而稍弱于文獻[7]基礎方案的解密效率。圖2 和圖3 的實驗結果與表2 的理論分析結果是一致的。

綜上所述，本文方案同時具備抗密鑰委托濫用性和可追蹤性，并且可追蹤性證明基于嚴格的標準模型。與同功能特點的文獻[7]擴展方案相比，本文方案具有明顯的性能優勢。

7 結束語

屬性基加密的推廣和應用面臨著密鑰委托濫用和惡意用戶追蹤2 個重要的安全問題，然而現有屬性基加密方案對于同時解決這2 個問題缺少充分的關注。為此本文結合文獻[7]基礎方案和文獻[8]追蹤方法，提出了一種新的抗密鑰委托濫用的可追蹤屬性基加密方案。該方案與同樣支持抗密鑰委托濫用和可追蹤的文獻[7]擴展方案相比，在性能上更加高效，并且可追蹤性證明基于更嚴格的標準模型。目前，本文方案僅支持由與門構成的訪問結構，未來將進一步改進本文方案，使其能夠支持任意的單調訪問結構，從而表達更加靈活的訪問策略。