闫玺玺，何旭，刘涛，叶青，于金霞，汤永利

（河南理工大学计算机科学与技术学院，河南 焦作 454003）

1 引言

云计算的推广和应用方便了人们生活。无论用户的地理位置如何变化，都可以远程访问云端，获取资源和计算服务。云服务提供商可能在云端部署多个计算节点以响应不同的请求，例如分别处理和发布交通路况信息、天气预报信息和物价信息等不同资源信息的多个服务器。云端计算节点如图1 所示。云服务提供商不希望用户没有限制地访问其经营的计算节点，如果用户要获得某个节点上的服务，就需要付费购买相应的访问权限。实际中，如何控制终端用户对计算节点的访问权限是一个重要的研究课题。属性基加密（ABE,attribute-based encryption）[1]特别是密文策略属性基加密（CP-ABE,ciphertext-policy attribute based encryption）[2]，允许数据拥有者为加密数据制定灵活的访问策略并且不需要预先获知接收方的具体身份，可以实现细粒度访问控制和支持一对多通信模式。因此，ABE 被视为实现终端用户对计算节点访问控制的一个理想途径。

图1 云端计算节点

然而，ABE 本身存在的一些安全问题制约了其在访问控制方面的应用。大多数关于ABE 的文献[1-5]主要关注并且可以保证抗串谋攻击。如图1 所示，假设用自然数表示属性，用户 Alice 拥有属性{1,3,5}，用户Bob 拥有属性{2,4,6}，节点C 上的访问策略为“1 ∧4 ∧6”。显然无论Alice 还是Bob都不能单独访问节点C，但是如果Alice 和Bob 获得他们属性集合的超集{1,2,3,4,5,6}，那么他们就可以访问节点C。为了避免这种情况，ABE 需要保证抗串谋，也就是要保证“用户不能派生超集”。然而，派生超集的逆过程派生子集在已有的关于ABE 的文献中缺少充分的关注[6-7]。为了更好地说明“用户派生子集”问题对ABE 安全性的影响，可以考虑下面一个具体的场景。

如图1 所示，假设一个云服务提供商P 经营4 个云计算节点A、B、C 和D，其中每个节点的接入服务售价是7 元/月。用户Alice 支付28 元给P从而购得A、B、C 和D 的访问权限，访问权限对应的属性集合为S=SA∪SB∪SC∪SD。其中，SA、SB、SC和SD是S的子集，并且可以分别用于访问节点A、B、C 和D。此时若允许“用户派生子集”，Alice 就可以从中谋取利益。例如Alice 分别生成关联属性集合SA、SB、SC和SD的4 个用户私钥，并且以5 元/月销售每个用户私钥；Alice 又分别生成关联属性集合SA∪SB，SB∪SC和SC∪SD的3 个用户私钥，并且以10 元/月销售每个用户私钥。注意，Alice 派生S的子集可以是SA、SB、SC和SD中的单个，也可以是其中任意2 个的并集、任意3 个的并集或者全部4 个的并集，因此S的子集不只限于以上的例子。当Alice 成功出售这7 个用户私钥时，她将获得50 元的收入。显然与Alice 最初购买访问权限所支付的28 元相比，她得到了非正常的经济利益。另外，由于Alice 比P 的售价低，更易获得潜在用户的青睐，使Alice 会对合法的服务提供商P 造成严重的竞争威胁。因此，ABE 不仅要保证“用户不能派生超集”，还应保证“用户不能派生子集”。文献[7]将“用户不能派生子集”正式定义为抗密钥委托滥用（key-delegation abuse resistance）。

除了抗串谋和抗密钥委托滥用外，可追踪性也是ABE 需要实现的安全保障。由于ABE 中用户私钥仅与用户持有的属性有关，而不同的用户可能持有相同的属性，当发生用户私钥泄露时，如何确定泄露用户私钥的恶意用户就成为ABE 中重要的可追踪问题[8]。继续考虑上述场景，假使Alice“不能派生子集”，但是如果其可以直接泄露关联属性集合S的用户私钥而不被追踪发现，那么仍然能够通过直接泄露自己的私钥给非授权用户来获得非法利益。因此，实现ABE 的可追踪性是十分必要的。

当前研究工作缺乏对既支持抗密钥委托滥用又具有可追踪功能的ABE 方案的关注。一方面，现有可追踪ABE 方案不具备上述场景要求的“抗用户派生子集”的能力。他们声称的抗密钥滥用能力大多是利用追踪功能对泄露自己部分或全部解密密钥的用户起到威慑作用。实际上，用户仍然能将自己属性集合的一部分（即子集）所关联的部分解密密钥泄露给非授权的第三方，部分解密密钥只有完整解密密钥中的部分组件，但仍然可以完成正确的解密操作。因此，通过追踪功能而附带产生的抗密钥滥用能力是不完备的，只能起到威慑和事后追责的作用，而不能在事前避免“用户派生子集”。

文献[7]扩展方案提出了一种雾计算中抗密钥委托滥用且可追踪的CP-ABE 方案，但是该方案效率不高。具体而言，文献[7]扩展方案的追踪方法如下。将用户的身份标识编码成虚拟属性，并将虚拟属性加入真实的属性集合中。当用户泄露自己的私钥时，用户私钥所关联的虚拟属性连同真实属性会被一起泄露，从而可以通过解析虚拟属性得到其对应的用户身份标识，实现对恶意用户的可追踪。然而，该追踪方法导致文献[7]扩展方案的公共参数大小、密文大小、用户私钥大小及加密和解密计算量都与用户身份标识编码后的长度线性相关，制约了文献[7]扩展方案的执行效率。

综上所述，为了克服现有可追踪ABE 方案在抗密钥委托滥用上的不足，以及改善文献[7]扩展方案效率不高的问题，本文从改进文献[7]扩展方案性能出发，在继承其抗密钥委托滥用优点的基础上，采用一种更为高效的追踪方法，提出一种新的抗密钥委托滥用的可追踪属性基加密方案。本文的主要创新点如下。

1)为了同时支持抗密钥委托滥用和可追踪，本文方案借鉴文献[9]中“粘合”属性层和秘密分享层的思想，将抗密钥委托滥用功能和可追踪功能视为2 个分离的层，即抗密钥委托滥用层和可追踪层，并且设计了2 个独立的参数α和β。将α嵌入抗密钥委托滥用层，将β嵌入可追踪层。最终，通过α和β之间的运算，实现抗密钥委托滥用层和可追踪层之间的“粘合”，从而使本文方案同时获得了抗密钥委托滥用和可追踪2 个重要的功能。

2)本文方案采用文献[8]中基于短签名[10]结构的追踪方法，与文献[7]扩展方案相比，公共参数、密文和用户私钥的尺寸更短，加密和解密的计算量更小，从而获得了更高效的性能。

3)本文方案的可追踪性证明基于标准模型上的安全游戏，比文献[7]扩展方案基于一般双线性群模型（generic bilinear group model）的可追踪性证明更加严格，安全性更高。

2 相关工作

正如前文场景所述，抗密钥委托滥用和可追踪是ABE 需要实现的重要安全保证。在可追踪ABE方面，Liu 等[8]利用一种短签名结构保护用于追踪的参数，提出了一种支持任意单调访问结构的白盒可追踪CP-ABE方案。Liu等[8]指出ABE中存在2种类型的追踪：白盒追踪和黑盒追踪。白盒追踪中追踪算法根据被泄露的用户私钥进行追踪；黑盒追踪中追踪算法只能根据解密设备进行追踪，而参与构造解密设备的用户私钥和解密算法是隐藏的，因此解密设备也被称为黑盒。Ning等[11]采用与文献[8]相似的追踪结构，提出了一种支持大属性集且追踪存储开销为常数级的白盒可追踪CP-ABE 方案。在抗密钥滥用ABE 方面，现有相关文献[12-18]大多利用追踪方法来解决密钥滥用问题，因此它们也属于可追踪ABE 的研究范畴。但是，可追踪性对于想要泄露用户私钥的用户来说只能起到威慑作用，实际上，用户仍然具有派生子集的能力。为了真正实现抗用户派生子集，Jiang 等[6]设计了一个新的CP-ABE 方案，其中解密操作要求全部属性的共同参与，如果只拥有全部属性的一部分（即子集），则不能完成正确的解密操作，从而真正达到抗用户派生子集的目的。Jiang等[7]进一步将他们实现的抗用户派生子集CP-ABE 方案应用到雾计算中，并且正式将这种性质定义为抗密钥委托滥用。用抗密钥滥用来表达文献[12-18]的工作是为了与Jiang 等[6-7]所实现的抗密钥委托滥用进行区分。此外，Qiao 等[19]提出了一个雾计算中支持黑盒追踪的CP-ABE 方案，但他们解决权限滥用（即密钥滥用）问题的方式仍然依赖于方案的可追踪性。

3 预备知识

3.1 访问结构

本文定义的访问结构A由与门（用符号“∧”表示）构成，即，其中，W表示属性全集的一个子集，i表示一个属性。给定一个属性集合S，S满足A当且仅当W⊆S。

文献[7]实现抗用户派生子集的方法依赖于与门访问结构，本文方案沿用了文献[7]的技术思路，所以本文方案仅支持与门访问结构。

3.2 判定性双线性Diffie-Hellman 假设

假设1设G是阶为素数p的双线性群，g是G的一个生成元，e是G上双线性映射。判定性双线性 Diffie-Hellman（DBDH,decisional bilinear Di ffie-Hellman）假设是指挑战者随机选取a,b,c,z∈Zp，Zp为模p的剩余类集，不存在多项式时间的攻击者能以不可忽略的优势正确区分下面2 个元组。

3.3l-SDH 假设

假设2设G是阶为素数p的双线性群，g是G的一个生成元。G上的l-强 Diffie-Hellman（l-SDH,l-strong Diffie-Hellman）问题定义为：给定(l+1)元组作为输入，输出。算法A 可以优势ε攻破G上的l-SDH 假设，如果Pr[A(g,gx,，其中x是从中随机选取的元素。

定义1G上的(l,t,ε)-SDH 假设成立，如果不存在t-时间的算法可以至少ε的优势解决G上的l-SDH 问题。

4 算法与安全模型定义

4.1 算法定义

本文方案由5 个算法组成，分别是系统初始化算法setup、加密算法encrypt、用户私钥生成算法KeyGen、解密算法decrypt 和追踪算法trace。具体算法定义如下。

1)setup(κ,U)→(PK,MK)。ABE 系统的建立者执行初始化算法setup。算法以安全参数κ和属性全集U 作为输入，输出公共参数PK 和主密钥MK，并初始化追踪表T=∅，∅为空集。MK 和T由机构（authority）持有和维护。

2)encrypt(PK,A,m)→CT 。加密方执行加密算法encrypt。算法以公共参数PK、属性全集U 上的访问结构A和消息m作为输入，输出密文CT。其中访问结构A包含在CT 中。

3)KeyGen(PK,MK,id,S)→SK。机构执行用户私钥生成算法KeyGen。算法以公共参数PK、主密钥MK、用户身份id 和用户属性集合S作为输入，输出用户私钥SK。

4)decrypt(PK,CT,SK)→mor ⊥。用户执行解密算法decrypt。算法以公共参数PK、密文CT 和用户私钥SK 作为输入。如果SK 关联的用户属性满足CT 中的访问结构，则算法输出消息m；否则输出⊥，表示解密失败。

4.2 方案安全模型定义

本文采用文献[7]定义的方案安全模型，该模型定义为挑战者与攻击者之间交互的安全游戏，该游戏是选择明文攻击（CPA,chosen plaintext attack）下的不可区分性（IND,indistinguishability）游戏，即IND-CPA 游戏。具体描述如下。

1)初始化前，攻击者将欲挑战的访问结构A*传递给挑战者。

2)初始化，挑战者运行初始化算法，将公共参数PK 传递给攻击者。

3)阶段1，攻击者向挑战者询问(id1,S1),…,(i dq1,Sq1)关联的用户私钥，其中，id 为用户身份，S为该用户的属性集合。

4)挑战，攻击者向挑战者提交2 个等长的消息m0和m1。挑战者掷一枚均匀的硬币η∈{0,1}，并在A*下加密mη生成挑战密文CT*。挑战者将CT*传递给攻击者。

6)猜测，攻击者输出对η的猜测η'。

如果η'=η并且用于询问的用户属性集合S1,…,Sq不能满足访问结构A*，攻击者赢得上述游戏。攻击者赢得上述游戏的优势定义为。

定义2如果所有多项式时间的攻击者在上述安全游戏中至多有可忽略的优势，则本文方案是选择性安全和IND-CPA 安全的。

4.3 可追踪性模型定义

本文采用文献[8]定义的可追踪性模型，其中可追踪性定义为挑战者与攻击者之间交互的安全游戏。具体描述如下。

1)初始化。挑战者运行初始化算法，将公共参数PK 传递给攻击者。

2)密钥询问。攻击者向挑战者询问(id1,S1),…,(idq,Sq)关联的用户私钥。

3)密钥伪造。攻击者输出一个用户私钥SK*。

如果trace(PK,SK*,T)≠（即SK*是格式良好的），并且trace(PK,SK*,T)∉{id1,…,idq}，其中idi为用于询问的用户身份（i=1,…,q），攻击者赢得上述游戏。攻击者赢得上述游戏的优势定义为。

定义3如果所有多项式时间的攻击者在上述可追踪性游戏中至多有可忽略的优势，则本文方案是可追踪的。

可追踪性模型之所以没有考虑“实际恶意用户是idm，但追踪到的是idn（m,n∈{1,…,q}且m≠n）”的情况，是因为本文方案的具体构造保证攻击者不能采用这种方式抗追踪，具体原因如下。由第5 节可知，追踪算法利用参数r追踪用户id，对应关系(r,id)存储于追踪表T。假设用户idm的私钥为

用户idn的私钥为

如果攻击者用idn代替idm，则会输出私钥

显然，SK*中发生了参数t不匹配的情况，即K中是t(n)，而K0和{Ki}中是t(m)（{Ki}中隐含参数t，参见第5 节）。这样SK*就不能用于正常的解密，SK*也就失去了被追踪的意义。实际上，设置参数t是为了保证SK 中组件的“配套”，防止用户串谋。

由上述分析可知，攻击者不能采用“用idn代替idm”的抗追踪方式，因此可追踪性模型没有考虑这种情况。

5 方案构造

本节主要展示方案的具体构造并对相关参数进行说明，其中每种算法的执行者已经在4.1 节中明确指出。具体方案如下。

1)初始化setup(κ,U)→(PK,MK)

首先，运行群生成算法(p,g,G,GT,e)←G(κ)，输入安全参数κ，输出循环群的描述。其中，G和GT是阶为素数p的循环群，e:G×G→GT是双线性映射，g是群G的生成元。属性全集U={1,…,n}。

随机选取α,β,δ←RZp，，。计算，…，，。输出公共参数，主密钥。初始化追踪表T=∅。

2)加密encrypt(PK,A,m)→CT

消息m∈GT，访问结构，其中，W为加密者指定的U 的一个子集，i表示一个属性。随机选取s←RZp，s为欲分享的秘密。输出密文

3)用户私钥生成KeyGen(PK,MK,id,S)→SK

4)解密decrypt(PK,CT,SK)→mor ⊥

5)追踪trace(PK,SK,T)→id or

如果SK 同时满足下述2 个用户私钥格式检查条件，则SK 是格式良好的；否则，SK 不是格式良好的，算法输出。

用户私钥格式检查条件如下。

①K'∈Zp，K,K0,Ki∈G。

当SK 格式良好时，算法在T中查询r（K'=r），如果r存在，则输出对应的id；否则，输出特殊的符号id∅（表示在T中没有存储）。

6 方案分析

6.1 方案安全性证明

定理1如果DBDH 假设成立，则本文方案在4.2节的安全模型中是选择性安全和IND-CPA 安全的。

证明假设存在一个概率多项式时间敌手A可以以不可忽略的优势ε攻破本文方案，那么能够构造一个概率多项式时间算法B 可以以不可忽略的优势攻破DBDH 假设。

挑战者设置阶为素数p的群G和GT,双线性映射e:G×G→GT,G的一个生成元g，随机选取a,b,c,z←RZp。挑战者掷一枚随机均匀的硬币μ∈{0,1}，如 果μ=0，则设置；否则，设置。设属性全集。模拟者B 收到四元组(A,B,C,Z)后，与敌手A 进行下面的游戏。

初始化B随机选取，λ1,…,λn←RZp，γ1,…,γn←RZp。B计算和，其中对i∈U，令ti=λi；对i∈W*，令；对；令α=ab，β=b+θ（注意，这里在模拟β时令β=b+θ，通过加上随机数θ，使尽管α和β的模拟中都含有参数b，但它们仍然满足真实方案中的独立随机性）。然后B 将公共参数传递给A，初始化追踪表T=∅。

阶段1A向B 提交(id,S)，询问关联的用户私钥，并且要求W*⊄S。B 随机选取，计算，K'=r，其中表示(d+r)模p下的逆元，当“r已经在T中”发生时，随机选取新的并重复上述操作。

因为W*⊄S，所以必定存在一个属性k∈W*使k∉S，B 选择这样一个属性k。B 随机选取，令t=bt'，计算。B 随机选取,…,，并计算。对i∈U{k}，令；对i=k，令。B按以下4 种情况进行计算。

B传递给A用户私钥

最后将对应关系(r,id)存入T中。

这里指出B 对xi（i∈U）模拟的正确性，具体如下。

挑战A 将2 个等长的消息m0、m1提交给B。B 随机选取η←R{0,1}，然后传递给A 挑战密文，具体如下。

其中，令秘密s=c。

阶段2A 与B 的交互过程同阶段1。

猜测 A 将对η的猜测η'提交给B。如果η'=η，则B 输出μ'=0，表示B 收到四元组(A,B,C,Z)=(ga,gb,gc,e(g,g)abc)；如果η'≠η，则 B 输出μ'=1，表示B收到四元组(A,B,C,Z)=(ga,gb,gc,e(g,g)z)。

B 模拟的公共参数、用户私钥和挑战密文与实际方案中的分布是相同的。下面分析B 的优势。

当μ=1时，A 不能获得mη的有效密文，A 只能纯粹猜测η的值，因此。而当η'≠η时，B 输 出μ'=1，所 以。

当μ=0时，A 可以获得mη的有效密文，由前面的假设可知，A 攻破本文方案（即解密）的优势是ε，因此。而当η'=η时，B 输出μ'=0，所以。

μ=1发生的概率为，μ=0发生的概率为，B 纯粹猜测μ'（使μ'=μ）的概率为。综上所述，B 攻破DBDH 假设的优势为

证毕。

6.2 可追踪性证明

定理2如果l-SDH 假设成立，则本文方案是可追踪的（q＜l，q是敌手询问的次数）。

证明假设存在一个概率多项式时间敌手A在进行q次（不妨设l=q+1）密钥询问后可以以不可忽略的优势ε赢得4.3 节给出的可追踪游戏，那么能够构造一个概率多项式时间算法B 可以以不可忽略的优势攻破l-SDH 假设。

设置G和GT是阶为素数p的循环群，是双线性映射，。给出实例，B 的目标是输出并满足，从而解决l-SDH 假设。B 设置，i=0,1,…,l。B 将作为输入与A 进行可追踪游戏。

初始化B 随机选取q个不同值r1,…,。令多项式。展开f(y)，可以得到形式如的表达式，其中是多项式f(y)展开式中各项的系数。B 计算g和gd。

密钥询问A 提交(idi,Si)给B，询问关联的用户私钥SKi。假设这是A 的第i次询问（i≤q）。令多项式。展开fi(y)，可以得到形式如的表达式，其中β0,β1,…,βq-1∈Zp是多项式fi(y)展开式中各项的系数。B 计算

B 将对应关系(ri,idi)存入T中，并将用户私钥SKi=(K,K',K0,{Kk}k∈Si,{Kk}k∈USi)传递给A 。SKi表示A 第i次询问得到的用户私钥。

密钥伪造A 将用户私钥SK*提交给B。

注意到，可追踪游戏中B 模拟的公共参数和用户私钥与实际方案中的分布是相同的。

令EA表示A 赢得可追踪游戏，即SK*满足第5 节中用户私钥格式检查的2 个条件，并且SK*中的K'∉{r1,…,rq}。由证明开始时的假设，有Pr[EA]=ε。下面讨论EA的发生对B 解决l-SDH假设的帮助。

当EA发生时，B 做多项式除法，商为，余项，因为，即(y+K')不能整除f(y)），进而f(y)可以写作。因为p为素数且，所以与p互素，即它们的最大公约数。因此在模p下存在逆元。此时B 可以按照以下方式计算。

综上可知，B 攻破l-SDH 假设的概率为

其中，在没有任何帮助的情况下B 解决l-SDH 假设的概率被认为是可以忽略的，为方便计算，设其为0。则B 攻破l-SDH 假设的优势为

因此，B 可以以不可忽略的优势ε攻破l-SDH假设。

证毕。

6.3 抗密钥委托滥用性证明

本文方案中，只有当敌手可以不利用全部属性而采用其他的方法重构出秘密参数α时，敌手才能实现密钥委托。但是，用户私钥中与α有关的参数只有，并且只有全部的Ki共同参与才能重构出α。这意味着敌手不能仅由全部属性的子集或者其他不利用全部属性的方法将α重构出来，也就是说敌手不能实现密钥委托，所以抗密钥委托滥用性成立。本文仅给出了证明抗密钥委托滥用性的基本思路，严格的证明过程见文献[7]。

6.4 性能分析

将本文方案与相关方案从性质和性能两方面进行比较。功能和安全性等性质对比如表1 所示，通信代价和计算代价等性能对比如表2 所示。为表述方便，将文献[7]中只实现抗密钥委托滥用性的方案称为基础方案，将文献[7]中同时实现抗密钥委托滥用性和可追踪性的方案称为扩展方案。

从表1 可以看出，本文方案和文献[7]的2 个方案建立在素数阶群上，而文献[8]方案建立在合数阶群上，有文献指出，素数阶群上的方案比合数阶群上的方案具有更好的执行效率[19]。在功能上，文献[8]方案仅支持可追踪，文献[7]基础方案仅支持抗密钥委托滥用，而本文方案和文献[7]扩展方案既支持抗密钥委托滥用又支持可追踪，因此本文方案和文献[7]扩展方案实现的功能更加全面。然而，本文方案与文献[7]扩展方案实现可追踪性的方法不同，一方面影响方案的性能（具体参见关于表2 的分析）；另一方面也影响方案的安全性，主要体现在可追踪性证明上。文献[7]扩展方案的可追踪性证明基于一般双线性群模型，而本文方案的可追踪性证明利用标准模型上的安全游戏，相较而言，基于标准模型的证明比基于一般双线性群模型的证明更加严格，因此本文方案比文献[7]扩展方案在可追踪性证明上更具优势。

表1 不同方案性质对比

表2 相关方案性能对比

结合表1 的性质对比，从表2 可以看出，本文方案与文献[8]方案相比，虽然通信代价和计算代价更大，但是这些开销是为了使本文方案获得文献[8]方案所不具备的抗密钥委托滥用性，从而实现更好的安全保障，因此本文方案做出这样的性能牺牲是合理的。本文方案与文献[7]基础方案相比，公共参数大小增加了2，密文大小增加了2，用户私钥大小增加了3；加密计算量中群G上指数运算增加了2，解密计算量中双线性运算增加了1 并增加了一个群G上指数运算，而功能上本文方案比文献[7]基础方案增加了可追踪性。也就是说与文献[7]基础方案相比，本文方案在获得可追踪性的同时虽然增加了性能开销，但是增加的性能开销仅仅是常数量。本文方案与文献[7]扩展方案相比，公共参数大小减小了2ρ-2，密文大小减小了2ρ-2，用户私钥大小减小了ρ-3，加密计算量中群G上指数运算减小了2ρ-2；解密计算量中双线性运算减小了ρ-1，同时增加了一个群G上指数运算。显然在既支持抗密钥委托滥用又支持可追踪的方案中，本文方案具有比文献[7]扩展方案更好的性能。

此外，本文还通过实验仿真对表2 中方案进行了性能评估。实验运行环境为Intel(R)Core(TM)i5-7200U CPU @ 2.50 GHz，8.00 GB 内存，Windows10 操作系统。实验程序采用Java 语言编写，基于JPBC（Java pairing based cryptography）类库[20]实现双线性运算。由于文献[8]方案建立在合数阶群上，本文方案和文献[7]的2 种方案建立在素数阶群上，通常在满足相同安全强度时，合数阶方案运行速度慢于素数阶方案运行速度[19]，因此实验只测试了本文方案和文献[7]的2 种方案在加密和解密过程中的时间开销。实验中给定ℓ=10和ρ=20，主要关注各方案计算时间开销随属性全集中属性数量增加的变化趋势。具体实验结果如图2 和图3 所示。

图2 不同方案加密时间开销对比

图3 不同方案解密时间开销对比

从图2 可以看出，随着属性全集中属性数量的增加，各方案加密时间开销基本呈线性增长。本文方案实验曲线位于文献[7]扩展方案实验曲线的下方，而与文献[7]基础方案实验曲线在多个节点处几乎重叠，这表明本文方案的加密时间开销小于文献[7]扩展方案的加密时间开销，而与文献[7]基础方案的加密时间开销大体相当。

从图3 可以看出，随着属性全集中属性数量的增加，各方案解密时间开销也基本呈线性增长。其中本文方案实验曲线明显低于文献[7]扩展方案实验曲线，整体略高于文献[7]基础方案实验曲线。例如当时，文献[7]扩展方案、本文方案和文献[7]基础方案的解密时间开销分别为401.45 ms、275.1 ms 和255.4 ms。此时，本文方案的解密时间开销比文献[7]扩展方案减小了126.35 ms，但只比文献[7]基础方案增加了19.7 ms。这表明，本文方案的解密效率明显优于文献[7]扩展方案的解密效率，而稍弱于文献[7]基础方案的解密效率。图2 和图3 的实验结果与表2 的理论分析结果是一致的。

综上所述，本文方案同时具备抗密钥委托滥用性和可追踪性，并且可追踪性证明基于严格的标准模型。与同功能特点的文献[7]扩展方案相比，本文方案具有明显的性能优势。

7 结束语

属性基加密的推广和应用面临着密钥委托滥用和恶意用户追踪2 个重要的安全问题，然而现有属性基加密方案对于同时解决这2 个问题缺少充分的关注。为此本文结合文献[7]基础方案和文献[8]追踪方法，提出了一种新的抗密钥委托滥用的可追踪属性基加密方案。该方案与同样支持抗密钥委托滥用和可追踪的文献[7]扩展方案相比，在性能上更加高效，并且可追踪性证明基于更严格的标准模型。目前，本文方案仅支持由与门构成的访问结构，未来将进一步改进本文方案，使其能够支持任意的单调访问结构，从而表达更加灵活的访问策略。