Page 447 - 《软件学报》2025年第4期

P. 447

陶静怡等: 基于区块链和去中心化可问责属性认证的众包方案 1853

η b = (t 1 ,t 2 ,σ,π) , 考虑游戏 2.1, 游戏 2.1 与游戏 2.0 π 被一模拟器所
证明: C 回应的认证为的区别在于认证中
模拟. ZK 的零知识性保证该模拟器可在无 ⃗ w 的情况下模拟 π , 使得模拟器的输出 π 和 π 不可区分. 因此, 游戏 2.0
*
* A 在游戏中的胜率不会发生不可忽略的变化. 游戏 η b = (t 1 ,t 2 ,σ,π ) . 因
*
将证明换成 π 后, 2.1 中, C 给 A 的认证为
A 在游戏 2.1 ′ b = b . 又因为游戏 2.1 和游戏 2.0 A 的胜率的差异可被
′
此, 中没有优于猜测的算法来选择 b 使得中
忽略, 所以 A 在游戏 2.0 中的胜率为 1/2+negl(λ) , 方案满足属性隐私性.

4.2.3 不可伪造性
不可伪造性要求没有符合策略的属性私钥的攻击者不能生成有效认证. 不可伪造性形式化定义如下.
游戏 3: 敌手 A 选取 GID 和属性集 Ω , 询问 C 用户秘密值和属性密钥. A 选取 GID i , M i , 属性集合 Ω i 和访问
*
*
*
* * A 生成认证
控制策略 A i 给 C , 询问认证 η i A 可以询问 C 不多于 p(λ) 次. A 选择 GID , 消息 M , 访问控制策略
.
* ′ * * * * * *
.
η A 赢得游戏如果: A{K x,GID *,K x,GID * } , 1∧(GID , M ,A ) < {(GID i , M i ,A i )}∧Verify(M ,η ,(A ,ρ),GP) → 1 .
方案满足不可伪造性如果对所有 PPT 敌手 A |Pr[Awins]| ⩽ negl(λ) , 其中 negl 为可忽略函数, λ 为安全参数.
,
定理 3. 当 RW 属性加密 [28] 算法满足安全性且 ZK 满足零知识性和知识证明性时, 方案满足不可伪造性.
* A 可以以不可忽略的概率达成至少以下一
*
C 不多于
证明: 假设存在一个敌手 A 能以不可忽略的概率赢得游戏, 代表
*
*
个条件: (a) 在 A{K x,GID *,K ′ x,GID * } , 1 的情况下, A 构造出了合法的属性密钥, 从而生成合法认证; (b) A 使用不合
法的属性密钥生成合法认证. 由 RW 属性加密算法的安全性确保条件 (a) 达成的概率可忽略. 同时, 因为 ZK 满足
* GID i 属性密钥的信息. 且 ⃗ w , 得到合法
零知识性, A 无法得到 ZK 满足知识证明, 因此可以从合法认证中提取出
的属性密钥, 所以条件 (b) 达成的概率可忽略. 因此不存在这样的敌手 A , 方案满足不可伪造性.
*

4.2.4 可链接性
可链接性要求任何有效的敌手都不能对 tid 相同的两个消息生成认证而不被链接. 可链接性形式化定义如下.
游戏 4: 敌手 A 选取 GID 和属性集 Ω , 询问 C 用户秘密值和属性密钥. A 选取 GID i , M i , 属性集合 Ω i 和访问
*
*
*
控制策略 A i 给 C , 询问认证 η i .A 可以询问 C 不多于 p(λ) 次. A 对两个有相同 tid 的信息 M 1 , M 2 , 选择 A 生成认证
* * * * * * * * *
η 和 η . A 赢得游戏如果: Verify(M ,η ,(A ,ρ),GP) → 1 for i = 1,2∧ Link(M , M ,η ,η ) → 0 .
1 2 i i 1 2 1 2
方案满足可链接性如果对所有 PPT 敌手 A,|Pr[Awins]| ⩽ negl(λ) , 其中 negl 为可忽略函数, λ 为安全参数.
定理 4. 当 ZK 满足零知识性和知识证明性, 且 H 1 ,H 2 是随机预言机时, 方案满足可链接性.
* * * tid 的信息
证明: 假设存在敌手 A 能以不可忽略的概率攻破方案的可链接性. A 控制 GID 对两个有相同
*
* * * η . 因为 * GID i 用户
M , M 生成认证 η 和 ZK 满足零知识性且 H 1 ,H 2 是随机预言机, 在 A 询问认证时, 无法得到
1 2 1 2
秘密值和属性密钥的信息. 同时由于 ZK 满足知识证明性, 因此当 η 和 η 通过验证时, A 必须使用 GID 的用户
*
*
*
*
1 2
*
*
*
秘密值和属性密钥来生成认证, 所以 t = H 1 (tid,S ) = t * , 则两个认证可以被链接, 与存在敌手 A 能以不可忽略
11 u 12
的概率攻破方案的可链接性矛盾, 假设不成立.

4.2.5 可追踪性
t 个追踪者的情况下不能避免被追踪者追踪. 可追踪性形式化定义
可追踪性要求任何有效的敌手在控制少于
如下.
*
游戏 5: 敌手 A 选取 GID 和属性集 Ω , 询问 C 用户秘密值和属性密钥. A 选取 GID i , M i , 属性集合 Ω i 和访问
*
* * * A 赢
控制策略 A i 给 C , 询问认证 η i . A 可以询问 p(λ) 次. A 选择消息 M , 访问控制策略 A 生成认证 η .
* * * *
得游戏如果: Verify(M ,η ,(A ,ρ),GP) → 1∧Trace(η ,{TSK i }) → ⊥ 或 GID j ,GID j , GID i .
方案满足可追踪性如果对所有 PPT 敌手 A, |Pr[Awins]| ⩽ negl(λ) , 其中 negl 为可忽略函数, λ 为安全参数.
定理 5. 当 ZK 满足零知识性和知识证明性, 且 H 1 ,H 2 是随机预言机时, 方案满足可追踪性.
* * * * *
证明: 假设存在一个敌手 A 能以不可忽略的概率攻破方案的可追踪性. A 控制 GID 对消息 M 生成认证 η .
因为 ZK 满足零知识性且 H 1 ,H 2 是随机预言机, 在 A 询问认证时, 无法得到 GID i 用户秘密值和属性密钥的信息.
*
由于 ZK 的知识证明性, η 通过验证时, A 必须使用 TPK 正确加密 GID , 因此执行 Trace(η ,{TSK i }) 可得到 GID ,
*
*
*
*
*
假设不成立.

442 443 444 445 446 447 448 449 450 451 452