Page 446 - 《软件学报》2025年第4期

P. 446

1852 软件学报 2025 年第 36 卷第 4 期

义之前, 给出一个预言机服务.

假设有挑战者 C 与敌手 A,C 初始化系统, 设定权威机构和追踪组的门限值为 (t,n) , 按第 3.1 节所述步骤将
GP,PK,TPK 等信息公开. C 向 A 提供以下服务.
(1) 用户的 GID 询问: A 询问用户 i, C 返回对应用户的 GID i .
(2) 属性权威公私钥询问: A 询问任一属性权威的公私钥, C 返回 PK,SK .
GID 关于属性的属性密钥
x
(3) 属性密钥询问: A 提交 < x,GID >, C 执行属性密钥生成算法返回用户
K x,GID , K ′ .
x,GID
(4) 认证询问: A 提交 < GID,tid,m,{K x,GID ,K ′ },(A,ρ) >, C 执行匿名认证生成算法返回对应的认证 η=(t 1 ,t 2 ,σ,π) .
x,GID
(5) 认证验证询问: A 提交 < tid,m,η,(A,ρ) >, C 执行验证算法返回验证结果.
< M, M ,η,η >, C 执行链接算法返回结果.
′
′
(6) 链接询问: A 提交
(7) 追踪询问: A 提交 η, C 执行追踪算法返回 GID .
(8) 用户秘密值询问: A 提交 GID, C 返回对应的 S u .

4.2.1 匿名性
GID i , M i , 访问控制策略
请求者和工作者在发布和执行任务时可以使用新的地址, 防止地址被链接. 匿名性要求工作者的回应过程及
数据不泄露其身份信息, 在本方案中只有匿名认证部分与工作者的身份信息相关. 假设敌手 A 可以控制 t −1 个追
踪者, 匿名性的形式化定义如下.
游戏 1.0: 挑战者 C 构造身份为 GID 0 和 GID 1 的用户. 敌手 A 选取 GID, M i = {tid i ,m i } 和访问控制策略 A i 提交
给 C , 询问认证 η . 同时 A 可以询问属性权威公私钥, A 可以询问 C 不多于 p(λ) 次且可以与控制的 t −1 个追踪者
* * * η b 返回
交互. A 选择 (M ,A ) < {(M i ,A i )} 且 M 和 {M i } 的 tid 不能相同, C 选一个随机 b ∈ {0,1} , 使用 GID i 生成认证
′
′ b = b .
.
给 A, A 输出 b ∈ { 0,1} A 赢得游戏如果
方案满足匿名性如果对所有 PPT 敌手, |Pr[Awins]−1/2| ⩽ negl(λ) , 其中 negl 为可忽略函数, λ 为安全参数.
定理 1. 当 ZK 满足零知识性, 哈希函数 H 1 ,H 2 是随机预言机且 ElGamal 算法和 Pedersen 门限秘密分享算法满
足安全性时, 方案满足匿名性.
证明: C 回应的认证为 η b = (t 1 ,t 2 ,σ,π) , 考虑游戏 1.1, 游戏 1.1 与游戏 1.0 的区别在于认证中 π 被一模拟器所
*
模拟. ZK 的零知识性保证该模拟器可在无 ⃗ w 的情况下模拟 π 使得模拟器的输出 π 和 π 不可区分. 因此, 游戏 1.1
*
将证明换成 π 后, A 在游戏中的胜率不会发生不可忽略的变化. 现考虑游戏 1.2, 游戏 1.2 与游戏 1.1 的区别在于
R
z t −1 个追踪者, 因此由 A 无法解
.
以 g (z←G) 替代 σ 中的 Ex 1 A 至多控制 Pedersen 门限秘密分享算法的安全性,
密 σ , 由于 ElGamal 算法在 DDH 假设下满足选择明文攻击下的不可区分性 (IND-CPA), Ex 1 在 G 中均匀分布, 与
g 不可区分. 因此, 游戏 1.2 将 σ 换成 σ 后, 与游戏 1.1 相比 A 的胜率不会发生不可忽略的变化. 游戏 1.2 中, C 给
*
z
* * A 在游戏
A 的回应 η b = (t 1 ,t 2 ,σ ,π ) , 因此除 t 1 , t 2 外的所有信息都与 b 无关. 由于 H 1 ,H 2 是随机预言机, 因此 1.2
′ b = b . 又因为游戏和游戏 A 在
′
中没有优于猜测的算法来选择 b 使得 1.2 1.0 中 A 的胜率的差异可被忽略, 所以
游戏 1.0 1/2+negl(λ) , 因此方案满足匿名性.
中的胜率为
4.2.2 属性隐私性
属性隐私性要求无法通过匿名认证得知用户的属性, 从而避免攻击者利用属性集定位到具体的用户来分析该
用户的行为. 属性隐私性形式化定义如下.
游戏 2.0: 敌手 A 选取 A i 和满足策略的属性集合 Ω i , 提交给 C, 询问认证 η i , 可以询
* * * * C. C 选一个随机
问不多于 p(λ) 次. A 选择 (GID , M ,A ) < {(GID i , M i ,A i )} 和两个满足 A 的属性集 Ω 0 , Ω 1 发给
* ′ ′
b ∈ {0,1} , 使用 Ω i 的属性私钥生成认证 η 返回给 A, A 输出 b ∈ {0,1} A 赢得游戏如果 b = b .
.
方案满足属性隐私如果对所有 PPT 敌手 A, |Pr[Awins]−1/2| ⩽ negl(λ) , 其中 negl 为可忽略函数, λ 为安全
参数.
定理 2. 当 ZK 满足零知识性时, 方案满足属性隐私性.

441 442 443 444 445 446 447 448 449 450 451