車聯網中支持直接撤銷的外包屬性簽名方案

徐智宇 王亮亮

收稿日期：2023-05-29；修回日期：2023-08-10? 基金項目：國家自然科學基金資助項目（U1936213）；浙江省密碼技術重點實驗室開放研究基金資助項目（ZCL21017）

作者簡介：徐智宇（1997—），男，上海人，碩士研究生，主要研究方向為應用密碼學與車聯網隱私保護認證；王亮亮（1984—），男（通信作者），河北滄州人，副教授，碩導，博士，主要研究方向為應用密碼學與信息安全（llwang@shiep.edu.cn）．

摘? 要：數字簽名在應對車聯網中數據竄改威脅時扮演著重要作用，然而現有的簽名方案在靈活性、效率、隱私保護、用戶密鑰管理等方面存在諸多問題，難以在車聯網中釋放其潛力。針對這些問題，提出了一個面向車聯網的直接可撤銷外包屬性簽名方案。該方案使用了基于線性秘密分享的簽名策略機制，賦予車聯網用戶在簽名生成和驗證方面的靈活性和隱私保護。此外，設計了一種高效的用戶密鑰直接撤銷機制，以提供對用戶的實時撤權。所提方案還構造了一種外包驗證方法，從而顯著降低了驗證者的計算和存儲開銷。安全性分析結果表明，所提方案在選擇消息攻擊下具有不可偽造性，并且能夠抵抗合謀攻擊。實驗結果表明了該方案相較于其他方案的優勢及其在車聯網中的實用性。

關鍵詞：車聯網； 基于屬性簽名； 線性秘密共享方案； 直接撤銷機制

中圖分類號：TP309??? 文獻標志碼：A

文章編號：1001-3695（2024）02-038-0569-07

doi：10.19734/j.issn.1001-3695.2023.05.0264

Outsourced attribute-based signature scheme with direct revocationsupport for vehicular Ad hoc network

Xu Zhiyu1， Wang Liangliang1，2

（1.College of Computer Science & Technology， Shanghai University of Electric Power， Shanghai 201306， China; 2.Zhejiang Key Laboratory of Cryptography， Hangzhou Normal University， Hangzhou 311121， China）

Abstract：Digital signatures play a critical role in addressing the threat of data tampering in VANET. However， existing signature solutions face numerous challenges， including flexibility， efficiency， privacy preservation， and user key management， which restrict their potential in VANET. To address these issues， this paper proposed a VANET-oriented directly revocable outsourced attribute-based signature scheme. The scheme employed a signature-policy mechanism based on the linear secret sharing scheme（LSSS） ， endowing VANET users with flexibility and privacy preservation in signature generation and verification. Furthermore， the proposed scheme designed an efficient direct revocation mechanism to provide real-time revocation of users and their keys. This scheme also constructed an outsourced verification approach for significantly reducing computational and storage overhead for verifiers. The security analysis results show that the proposed scheme is unforgeable under chosen message attacks and is resistant to collusion attacks. Experimental results demonstrate the advantages of the proposed scheme over other related schemes and its practicality for VANET.

Key words：vehicular Ad-hoc network（VANET）; attribute-based signature; linear secret-sharing scheme; direct revocation mechanism

0? 引言

隨著智能交通系統和物聯網技術的不斷發展，車聯網（VANET）作為新興的智能交通網絡，受到了越來越多的關注和研究。在智能交通系統中，車聯網通過實時的交通信息共享和交通流控制，可以改善道路擁堵和交通事故等問題，從而提高道路通行效率和駕駛體驗［1］。典型的車聯網體系結構包括可信任機構（trust authority，TA）、路邊單元（road side unit，RSU）和搭載車載單元（vehicle with on-board unit，OBU）的車輛三個組成部分。在車聯網環境中，專用短距離通信（dedicated short-range communications，DSRC）協議用于車輛與車輛之間（V2V）以及車輛與基礎設施（V2I）之間的無線通信。車聯網的信息傳輸速度范圍在6～27 Mbps，傳輸范圍可達1 km［2，3］。

車聯網具有改善交通狀況、提升駕駛體驗的優勢，但是其面臨著諸多安全和隱私保護問題。由于其開放的通信環境，敵手可以輕易地竊聽、刪除、竄改或重放在車聯網內傳輸的消息，從而導致交通事故［4］。為確保傳輸消息的不可否認性、完整性和不可鏈接性，對于車聯網中傳輸的消息進行認證是至關重要的。車輛的隱私保護問題同樣值得被關注，一旦違法人員截獲車輛的身份標識，就可以通過監聽車輛發送的消息來獲取其行車軌跡，從而威脅駕駛員的人生安全［5］。針對上述車聯網數據完整性和用戶隱私問題，主流的解決方法是對傳輸的數據進行簽名。這樣攻擊者即使竄改了數據，也會因為無法偽造出對應的合法簽名而被察覺。目前，最新的IEEE 1609.2：2021車輛通信安全國際標準規定使用ECDSA算法來實現車聯網中數據的簽名，但該算法的應用局限于嚴格的點對點通信場景，不僅在強調范圍內多用戶通信的車聯網應用中暴露出效率和靈活性缺陷，而且給用戶帶來了被識別、追蹤等隱私泄露風險。因此，亟待一種靈活、高效、隱私保護的簽名算法，用于滿足車聯網應用中的數據完整性和用戶隱私保護需求。

基于屬性簽名（attribute-based signature，ABS）［6］以其一對多的匿名簽名的特點，成為車聯網中實現數據完整性和用戶隱私保護的一個頗具前景的解決方案。在ABS方案中，可信的第三方機構TA為簽名者分發一批與其屬性相關的密鑰，只有當簽名者的屬性滿足特定的訪問策略時，才能使用密鑰對消息進行簽名。在驗證簽名有效后，驗證者只知道簽名者的屬性滿足特定的訪問策略，但不知道簽名者的真實身份，從而實現了對于簽名者身份隱私的保護。相比基于身份的簽名體制和基于無證書的簽名體制［7，8］，基于屬性的簽名體制在訪問控制方面則更具靈活性和可擴展性。受益于ABS的巨大應用潛力，近年來學術界從功能、算法和安全性等多維度對ABS進行了深入探究，但現有的ABS原型方案難以在車聯網應用中得到直接部署，主要因為ABS算法與車聯網應用之間的以下沖突尚未得到解決：

a）ABS沉重的計算開銷與車載終端資源受限的沖突。ABS通?；跈E圓曲線密碼體制構造，其中簽名生成和驗證算法不可避免地涉及大量的配對和模指數操作，這些操作通常隨著屬性數量或訪問結構規模的增加呈線性增長［9，10］。盡管有一些改進方案［11～14］提出外包簽名和外包驗證思想來降低終端計算開銷，但它們在車聯網應用背景下仍然面臨著一些實際問題。例如，何業鋒等人［7］將云計算中的可驗證外包計算技術結合基于屬性簽名，提高了計算效率，同時實現了外包計算的可驗證性，但是該方案的外包過程又產生了大量的額外計算開銷。 Xiong等人［12］提出了一種在物聯網環境下具有靈活訪問控制策略的外包屬性簽名方案，該方案不僅實現了細粒度訪問控制與高效的計算效率，還可以抵抗簽名者與外包服務商之間的合謀攻擊，但由于該方案基于密鑰策略屬性簽名（key policy attribute-based signature，KP-ABS）構造，所以更適用于靜態的場景而非動態的車聯網場景；此外，該方案容易造成用戶密鑰膨脹等問題。Li等人［13］設計了一個物聯網環境下支持外包技術的簽名策略屬性簽名（signature policy attribute-based signature，SP-ABS），雖然與文獻［12］相比，它更適用于車聯網環境，但是該方案僅支持門限訪問策略， 難以滿足車聯網場景下訪問策略靈活性的實際需求。

b）ABS中缺乏有效密鑰管理機制與車聯網中用戶群體不可控之間的沖突?，F有ABS方案大多為云計算和具有固定部署傳感器和穩定網絡的物聯網系統等靜態應用場景而設計，這些場景中的用戶易于監管，因此僅考慮了密鑰生成與分發。然而，在車聯網應用中，由于車輛的高機動、行為不可控的特征，以及設備服務范圍的限制，一些惡意用戶可能會惡意出售自己的密鑰或使用自己的密鑰發布消息，進而對車聯網系統的安全造成破壞。例如，Chen等人［14］雖然提出了一種車聯網環境下高效的外包抗合謀SP-ABS方案，并且使用線性秘密共享方案（linear secret-sharing scheme，LSSS）來實現靈活的訪問控制策略，但并沒有考慮到車輛長時間棄用或者車輛私鑰泄露等問題所帶來的隱患，缺乏有效的撤銷方案。然而，現有具有撤銷功能的屬性簽名方案主要采用間接撤銷機制，需要頻繁更新密鑰，這將帶來巨大的計算和存儲開銷［15］。最近，Zhao等人［16］提出了一種支持直接撤銷的外包屬性加密方案，只要用戶的身份信息在撤銷列表中，那么系統就拒絕他的解密請求，避免更新未撤銷用戶密鑰，減少了計算和存儲開銷，但該方案只是實現了一種訪問控制機制，并不能保護數據完整性。

針對上述ABS算法與車聯網應用之間尚未解決的沖突，本文設計了一種車聯網環境下支持直接撤銷的外包屬性簽名方案。具體而言，本文的主要貢獻有以下四點：

a）提出了一種面向車聯網環境的可撤銷外包屬性簽名方案，該方案使用外包計算技術，將復雜的計算轉移到云服務器上，從而減輕了簽名驗證的計算負擔。此外，本文方案使用簽名策略屬性簽名體制，同時使用線性秘密共享方案來實現細粒度訪問控制，在保護車輛隱私的同時提升了簽名的靈活性。

b）所提方案使用了直接撤銷機制，通過將被撤銷車輛的ID加入撤銷列表并拒接其服務請求，提升了撤銷效率，節省了計算資源。

c）通過形式化的安全性證明，論證了該方案在隨機預言機模型下，具有抗選擇消息攻擊的不可偽造性（existential unforgeability under a chosen message attack，EU-CMA）。同時證明了所提方案可以抵抗簽名者與簽名者之間的合謀攻擊，以及簽名者與外包服務器之間的合謀攻擊。

d）通過從計算開銷、通信開銷兩個方面進行理論及實驗仿真分析，相較其他相關方案，所提方案在滿足安全性與功能性的前提下擁有良好的性能效率，可較好地應用于高密度的車聯網環境。

1? 相關知識

1.1? 雙線性映射

假設G1、G2代表兩個素數階q的乘法循環群，設定g為G1的一個生成元，雙線性映射e：G1×G1→G2具有以下三個基本性質：

a）雙線性。對于g1，g2∈G1，a，b∈Z*q，滿足e（ga1，gb2）=e（g1，g2）ab。

b）可計算性。對于g1，g2∈G1，都可以在多項式時間內計算出e（g1，g2）∈G2。

c）非退化性。e（g，g）≠1。

1.2? 困難問題

計算型q并行雙線性Diffie-Hellma問題（computational q-parallel bilinear Diffie-Hellman problem，q-PBDH）：給定以下的基本參數bp=（G1，G2，q，g，e），并選擇一組隨機數（α，γ，β1，β2，…，βq）∈Z*q，然后，給任意的多項式敵手以下參數：

g，gα，gα2，…，gαq，gαq+2，gαq+3，…，g2q，h=gγ

1≤j≤qgγβj，gα/βj，…，gα/βj，gαq+2/βj，…，gα2q/βj

1≤j，k≤q，k≠jgαγβk/βj，…，gαqγβk/βj

則，敵手很難計算出e（g，h）αq+1。

1.3? 訪問結構與線性秘密共享

a）訪問結構。令P={P1，P2，P3，…，Pn}為所有參與方的集合，設置集合F=2{P1，P2，…，Pn}，如果集合A是集合F的非空子集，那么就認為A是P上的一個訪問結構。當且僅當B，C，存在B∈A且B∈C，可以得到C∈A，那么稱訪問結構A是單調的。

b）線性秘密共享。所提方案采用基于線性秘密共享方案構造基于屬性的簽名方案。一個LSSS訪問結構可以表示為（Ml×n，ρ），其中Ml×n表示一個l行n列的矩陣，ρ定義了矩陣Ml×n的每一行與屬性的對應關系。使用ρ（i）來表示與Ml×n的第i行相關聯的屬性。

對訪問結構A（Ml×n，ρ）以及秘密值s，使用線性秘密共享方案可以在滿足訪問結構A的條件下分享秘密值s，具體實現包括以下算法：

（a）秘密值分發。定義一個向量z=（s，z1，z2，…，zk），其中s表示需要分享的秘密值，z1，z2，…，zk∈Z*q為隨機選擇的隨機數。令λ=Miz=（λ1，λ2，…，λl），其中，Mi表示矩陣Ml×k的第i行，則λi（1≤i≤l）為ρ（i）所對應的秘密值份額。

（b）秘密值重構。令S∈A是一個授權集合，并設置索引集合I={i|ρ（i）∈S}，存在一組常量{wi}i∈I，可以使得∑i∈IwiMi=（1，0，…，0），那么可以通過s=∑i∈Iwiλi來還原秘密值s。

2? 系統模型和安全模型

2.1? 系統模型

本文方案的系統模型如圖1所示，包括車聯網中的可信第三方機構（trust authority，TA）、車輛（vehicle with on-board unit，OBU）、路邊單元（road side unit，RSU）、云服務提供商（cloud server provider，CSP）四個實體。TA主要負責系統的參數設置，生成系統公共參數與主密鑰以及車輛的簽名密鑰，初始化撤銷列表，并將被撤銷車輛的ID添加到撤銷列表中。車輛OBU通過其車載單元與車聯網中的其他實體進行通信，只有其屬性滿足給定的訪問結構且未被撤銷，才可以使用簽名密鑰對消息進行簽名。

RSU主要負責對來自車輛的簽名進行轉換，生成轉換簽名，并將其轉發給CSP，然后對來自CSP的輔助計算結果進行驗證。CSP提供存儲服務和部分外包計算功能，主要負責對來自RSU的轉換簽名進行外包計算得到輔助計算結果，并將其轉發給RSU。

2.2? 算法定義

本文方案包括以下六個算法：

a）setup（κ，U）→（PK，SK）系統建立算法。該算法由TA執行，TA輸入安全參數κ以及屬性全集U，輸出系統的公共參數PP以及系統主密鑰SK，并初始化撤銷列表。

b）KeyGen（PK，SK，V，ID）→（KV）密鑰生成算法。該算法由TA執行。TA以車輛的屬性集V、車輛的身份ID、系統的公共參數PP以及系統密鑰SK為輸入，輸出車輛的簽名密鑰KV。

c）Sign（PK，V，KV，Γ，m，ID）→（σ）簽名算法。該算法由OBU執行。OBU輸入系統公共參數PP，車輛的屬性集V、車輛的身份ID、簽名密鑰KV、訪問結構Γ、撤銷列表L以及一條消息m，輸出一條在屬性V下的簽名σ。

d）Signature transformed（PK，σ，Γ）→（σts，s）簽名轉換算法。該算法由RSU執行。RSU輸入系統公共參數PP、簽名σ以及訪問結構Γ，輸出轉換簽名σts以及驗證密鑰s。

e）Outsourced computing（PK，σts）→（SI）服務器外包計算算法。該算法由CSP執行。CSP輸入系統公共參數PP和轉換簽名σts，輸出輔助計算結果SI。

f）Verify（PK，SI，σ，s）→“1/0”驗證算法。該算法由RSU執行。RSU輸入系統的公共參數PP、輔助計算結果SI、簽名σ以及驗證密鑰s，簽名有效時輸出“1”，簽名無效時輸出“0”。

2.3? 安全模型

通過構造挑戰者Euclid Math OneBAp與敵手Euclid Math OneAAp之間的交互式博弈游戲來描述所提方案的安全模型。

a）初始化。Euclid Math OneAAp選擇挑戰訪問結構Γ*，挑戰屬性集V*，以及挑戰撤銷列表L*，并將Γ*和L*發送給Euclid Math OneBAp。

b）系統建立。挑戰者Euclid Math OneBAp通過運行系統建立算法生成系統的公共參數PP以及系統主密鑰SK，并將PP發送給敵手Euclid Math OneAAp，同時秘密保存主密鑰SK。

c）密鑰查詢。敵手Euclid Math OneAAp可以對屬性集V和身份ID進行重復的密鑰查詢，挑戰者Euclid Math OneBAp通過調用密鑰生成算法生成KV，并將其發送給Euclid Math OneAAp，但是敵手所提交的V和ID至少應滿足以下一個限制條件。

條件1? 敵手Euclid Math OneAAp提交的V不滿足挑戰訪問結構Γ*。

條件2?Euclid Math OneAAp所提交的ID屬于挑戰撤銷列表L*。

d）簽名查詢。敵手Euclid Math OneAAp可以對屬性集V下的消息m和身份ID對挑戰者Euclid Math OneBAp進行簽名查詢，Euclid Math OneBAp生成相關的簽名σ并發送給Euclid Math OneAAp，但是Euclid Math OneAAp提交的屬性集V不能滿足挑戰訪問結構Γ*，ID不屬于挑戰撤銷列表L*。

e）簽名驗證查詢。敵手Euclid Math OneAAp可以對一條消息m的簽名σ進行簽名驗證詢問，Euclid Math OneBAp運行簽名轉換算法并將轉換簽名σts發送給Euclid Math OneAAp，并在本地存儲（σts，s），然后Euclid Math OneAAp生成輔助計算結果SI并將其發送給Euclid Math OneAAp，Euclid Math OneAAp運行簽名驗證算法并返回輸出結果。

f）偽造階段。Euclid Math OneAAp生成一條消息m*的偽造簽名σ*，其中包含了挑戰訪問結構Γ*以及挑戰屬性集V*。如果滿足下列三個條件， 那么稱Euclid Math OneAAp贏得游戲。

（a）敵手Euclid Math OneAAp沒有對滿足挑戰訪問結構的屬性V*以及屬于挑戰撤銷列表的ID進行任何簽名詢問。

（b）敵手Euclid Math OneAAp在進行密鑰查詢階段，至少滿足上述兩個條件中的一個。

（c）σ*是一條有效簽名。

定義1? 如果沒有敵手能夠在多項式時間內以不可忽略的優勢贏得上述游戲，那么稱該方案在選擇消息攻擊下具有不可偽造性。

3? 本文方案

3.1? 系統建立

本文算法由TA完成系統的初始化，TA輸入安全參數κ以及屬性空間集合U={u1，u2，…，un}， 設定最大撤銷用戶數為R-1，并進行如下操作：

a）選擇p階的兩個循環群（G1，G2），其中p＞2κ，g是G1的一個生成元，設定e是一個雙線性映射G1×G1→G2，選擇一個抗碰撞的哈希函數H1：G*1×{0，1}*→G*1。

b）為U中的每一個屬性ui（1≤i≤n）選擇隨機數（f1，f2，…，fn）∈Z*q，計算Fi=gfi，選取兩個隨機數（a，b）∈Z*q，計算ga和E=e（g，g）b。

c）選擇R個隨機數（c1，c2，…，cR）∈Z*q，并設置C=（gc1，gc2，…，gcR）=（d1，d2，…，dR），初始化撤銷列表L為空。

d）輸出系統公共參數PP=（e，{Fi}i∈［1，n］，ga，E，C），并秘密保存主密鑰SK=（{fi}i∈［1，n］，{ci}i∈［1，n］，a，b）。

3.2? 密鑰生成

當某一車輛將其屬性集V以及其ID發送給TA，TA判斷屬性集與ID無誤后，輸入系統的公共參數PP、系統主密鑰SK、車輛的屬性集V以及車輛的ID，算法輸出簽名密鑰KV，具體步驟如下：

a）選擇一個隨機數r∈Z*q，計算K1=gbgargc1和K2=gr。

b）對于屬性集V的每一個屬性，計算K3i? = Fri （1≤i≤k），其中k為V中屬性的個數。

c）最后計算Di=d-IDi-11di（2≤i≤R）。輸出簽名密鑰KV={K1，K2，{K3i}i∈［1，k］，{Di}i∈［2，R］}。

3.3? 簽名

給定一個撤銷列表L={ID1，ID2，…，IDv}，其中v是撤銷的車輛數目，并且d＜R。OBU輸入公共參數PP、一個屬性集V、簽名密鑰KV、消息m、車輛的ID以及一個訪問結構Γ=（Ml×k，ρ），簽名算法首先判斷屬性集V是否滿足訪問結構Γ，且ID不在撤銷列表L內，如果滿足，輸出簽名σ。設置最小授權屬性集V^V，索引集合I={i|ρ（i）∈V^}，具體的算法步驟如下：

a）選擇兩個隨機數t1，t2∈Z*p，并計算以下參數σ0=gt1，P1=K1（ga）t2=gbga（r+t2）gc1，以及σ1=K2gt2=gr+t2。

b）對于每一個索引i∈I，計算σ2i=K3ρ（i）Ft2ρ（i），并設置σ2={σ2i}i∈I，然后計算σ3=P1H1（σ0，σ1，σ2，Γ，m）t1。

c）令FR（Z）=∏vi=1（Z-IDi）=y1+y2Z+…+yvZv-1+yv+1Zv，為了防止v+1＜R，令yv+2，…，yR=0。

d）設置兩個向量X=（1，ID，…，IDR-1）T，Y=（y1，y2，…，yR）T，它們的內積為〈X，Y〉=y1+y2ID+…+yv+1IDv=FR（ID），為了防止v+1＜R，令yv+2，…，yR=0。

e）如果ID∈L，此時〈X，Y〉=0，算法輸出⊥，否則，計算以下兩個參數：

D=∏Ri=2Dt1yii=（d-〈X，Y〉1·∏Ri=1dyii）t1，σ4=t1〈X，Y〉

最后輸出簽名σ=（σ0，σ1，σ2，σ3，σ4，D，V^，Γ）。

3.4? 簽名轉換

當RSU收到來自車輛簽名σ=（σ0，σ1，σ2，σ3，σ4，D，V^，Γ）、RSU輸入公共參數PP、在屬性集V下消息m的簽名σ以及訪問結構Γ，輸出一個轉換簽名σts以及驗證密鑰s。具體操作步驟如下：

a）選擇一個隨機數s∈Z*q作為驗證密鑰并計算3=σs3=gsbgsa（r+t2）gc1sH1（σ0，σ1，σ2，Γ，m）t1s。

b）隨機選擇一組向量z=（s，z1，z2，…，zk）T，其中s為驗證密鑰，隨機數z1，…，zk∈Z*q。令λ=Miz=（λ1，λ2，…，λl），其中λ為秘密值s分享向量，Mi表示矩陣Ml×k的第i行。

c）對于每一個i∈I，選取一個隨機數μi，并計算MI1i=gaλiF-μiρ（i），MI2i=gμi，設置MI={MI1i，MI2i}i∈I。

d）選取一組常量{wi}i∈I，使∑i∈IwiMi=（1，0，…，0），可還原秘密值s=∑i∈Iwiλi。

e）輸出轉換簽名σts=（σ1，σ2，3，MI，{wi}i∈I），并秘密保存驗證密鑰s。

3.5? 服務器外包計算

當CSP收到轉換簽名σts后，輸入公共參數PP以及轉換簽名σts，輸出輔助計算結果SI。

SI=e（3，g）∏i∈I（e（MI1i，σ1）e（MI2i，σ2i））wi=

e（gsbgsa（r+t2）gc1s，g）e（H（σ0，σ1，σ2，Γ，m）t1s，g）∏i∈I（e（gaλρ（i）F-μiρ（i），gr+t2）e（gμi，Fr+t2ρ（i）））wi=

e（gsbgsa（r+t2）gc1s，g）e（H1（σ0，σ1，σ2，Γ，m）t1s，g）∏i∈I（e（gaλρ（i），gr+t2））wi=

e（g，g）sbe（g，g）c1se（H（σ0，σ1，σ2，Γ，m）t1s，g）

3.6? 簽名驗證

當RSU收到來自CSP的輔助計算結果SI后，輸入公共參數PP、輔助計算結果SI、屬性簽名σ以及一個驗證密鑰s。如果簽名是有效的，RSU接收簽名，輸出“1”，否則，RSU拒絕接收σ，并輸出“0”。具體的算法步驟如下：

a）計算。

Δ= （e（D，g）e（（dy11dy22…dyRR），σ0））-1σ4=e（g，g）c1

RSU可以從撤銷列表L中還原出dy11，…，dyRR，然后計算以下參數：

E*=SI1se（H1（σ0，σ1，σ2，Γ，m），σ0）·Δ=

（e（g，g）sbe（g，g）sc1e（H1（σ0，σ1，σ2，Γ，m）st1）1se（H1（σ0，σ1，σ2，Γ，m），σ0）·Δ=

e（g，g）be（g，g）c1e（H1（σ0，σ1，σ2，Γ，m）t1e（H1（σ0，σ1，σ2，Γ，m），gt1）·e（g，g）c1=e（g，g）b

b）驗證等式E=E*是否成立，如果成立則接收簽名σ，并輸出“1”；否則，RSU拒絕接受σ，并輸出“0”。

3.7? 方案的實際應用介紹

本節通過描述一個部署本文方案的實際應用場景來論述所提方案的實用性。假設某一地區部署了本文方案，初始化階段車聯網可信第三方運行系統建立算法生成主密鑰對（PK，SK），并秘密保存主私鑰SK，然后要求車聯網中的其他實體（車輛，路邊單元，云服務商）存儲公共參數PP，同時建立一個空的撤銷列表。

車輛Vi將自己的身份信息（車牌號，駕駛證信息）以及屬性信息發送給車聯網可信第三方進行注冊，這里假定Vi的屬性信息為高度（height）、寬度（width）和重量（weight），可信第三方對車輛的身份信息進行審核，審核通過后，運行密鑰生成算法生成相關的簽名密鑰{K1，K2.Kheight，Kwidth，Kweight}并發送給Vi。

當車輛想知道其能否通過一座帶有傳感器的大橋，并且橋上裝載的傳感器中提前裝載了關于重量與寬度的訪問策略Γ1={weight≤50 t∧width≤6 m}，或者車輛想獲悉其能否通過一條部署了路邊單元的隧道，且路邊單元提前裝載了訪問策略Γ2={height≤3 m∧width≤3 m}，此時車輛可以通過運行簽名算法生成兩個屬性簽名（σ1，σ2），并將它們發送給驗證者（傳感器或者路邊單元），如果車輛的身份信息在可信第三方的撤銷名單中，由于本文方案使用了直接撤銷機制，車輛將無法生成簽名。

當收到來自車輛的簽名后，大橋的傳感器或者路邊單元運行簽名轉換算法與驗證算法來驗證簽名的正確性，CSP需要運行服務器外包計算算法，轉移一些驗證的計算開銷。如果驗證失敗則說明車輛屬性并不滿足可以通過大橋或者隧道的條件，驗證者會向車輛發出警告；否則驗證者放行車輛。

顯然，在上述認證過程中，由于車輛在通信過程中一直使用其屬性進行通信，攻擊者無法獲取其真實的身份信息，所以所提方案可以實現匿名性。除此以外，所提方案還可用于實現其他安全目標，如細粒度訪問控制、身份驗證，可撤銷性等。

4? 安全性證明

4.1? 不可偽造性

定理1? 在隨機預言機模型下，如果存在一個敵手Euclid Math OneAAp可以在多項式時間內以一個不可忽略的概率攻破本文方案，那么可以構造一個挑戰者Euclid Math OneBAp能夠以一個不可忽略的概率來解決q-PBDH問題。

證明? 給定一個q-PBDH問題的實例，構造一個挑戰者Euclid Math OneBAp與敵手Euclid Math OneAAp之間的交互游戲來描述本文方案在選擇消息攻擊下的不可偽造性安全模型。

a）初始化。挑戰者Euclid Math OneBAp設置屬性全集U={u1，u2，…，uq}，敵手Euclid Math OneAAp選擇一個挑戰訪問結構Γ*=（M*l×k，ρ*）（l，k≤q），并設置挑戰屬性集V*U為滿足訪問結構Γ*的目標屬性集以及挑戰撤銷列表L*（|L*|≤q-2），并將（Γ*，R*）發送給Euclid Math OneBAp。

b）系統建立。挑戰者Euclid Math OneBAp設置基本參數PP={G1，G2，g，q，e}，隨機預言機H1，并進行以下操作：

（a）選擇一個隨機數b′∈Z*p，并秘密設置b=b′+αq+1，計算E=e（g，g）b=e（g，g）b′e（gα，gαq）。

（b）對于U中的每一個ux∈U（1≤x≤n），Euclid Math OneBAp選擇一個隨機數fx∈Z*p，設置Ω={1，…，l}為索引i∈Ω的集合且滿足ρ*（i）=ux，然后Euclid Math OneBAp計算

Fx=gfx∏i∈ΩgαM*i，1gαM*i，2…gαkM*i，k

如果Ω=，則令Fx=gfx。

（c）令挑戰撤銷列表L*={ID1，ID2，…，IDv}（v≤q-2），設置向量（X1，X2，…，Xv），其中Xk={1，ID1k，…，IDq-2k}（1≤k≤v），對于所有k∈［1，v］，設置一個矩陣

MXk=-IDk-ID2k…-IDq-2kIq-2

其中：身份矩陣Iq-2的規模為（q-2）×（q-2）；Euclid Math OneBAp隨機選取由q-1個隨機數組成的向量φk∈Zq-1P（1≤k≤q-1），使其滿足φkMXk=0。對于k∈［v+1，q-1］，令φk=0。

（d）定義一個q-2階的矩陣φ=（φ1|φ2|…|φv|0|…|0）。Euclid Math OneBAp設置向量=（1，2，…，q-1）T，其中i=αq+1-i（1≤i≤q-1），然后定義g=（g1，g2，…，gq-1）T=（gαq，…，gα2）T，秘密設置參數c=φ·+δ，其中δ∈Zq-1p是由q-1個隨機數所組成的向量，之后Euclid Math OneBAp令C=gc=（gc1，…，gcR）T=（d1，…，dR）T。

（e）最后Euclid Math OneBAp將公共參數PP=（e，Fx（1≤x≤q），gα，E，C）發送給Euclid Math OneAAp，并秘密保存主密鑰SK=（{fx}x∈［1，q］，c，b′）。

c）H1詢問。在這個階段Euclid Math OneAAp可以向Euclid Math OneBAp詢問哈希函數H1的值，Euclid Math OneBAp設置一個列表LH1，并將其初始設置為空。

當Euclid Math OneAAp將元組（σ0，σ1，σ2，Γ，m）發送給Euclid Math OneBAp時，如果列表LH1中存在（σ0，σ1，σ2，Γ，m），Euclid Math OneBAp將H1的值返回給Euclid Math OneAAp，否則Euclid Math OneBAp選擇一個隨機數η∈Z*q，并計算H1（σ0，σ1，σ2，Γ，m）=gη，將gη返回給Euclid Math OneAAp，然后將元組（σ0，σ1，σ2，Γ，m，η，gη，1）添加到LH中，其中1表示此元組已經被詢問。

d）簽名密鑰查詢。在此階段，敵手Euclid Math OneAAp可以通過提交屬性集V，以及身份ID，來向挑戰者Euclid Math OneBAp問簽名密鑰，但是必須至少滿足以下兩個條件中的一個才可以進行簽名密鑰詢問。

條件1? 敵手Euclid Math OneAAp提交的屬性集V={V1，…，Vl}不滿足挑戰訪問結構Γ*=（M*l×k，ρ*）。

條件2?Euclid Math OneAAp所提交的ID屬于挑戰撤銷列表L*。

情形1?Euclid Math OneAAp提交的屬性集V不滿足挑戰訪問結構Γ*=（M*l×k，ρ*）。Euclid Math OneBAp選擇一個向量w′=（-1，w′1，…，w′k）∈Z*p，滿足w′M*i=0，其所有的索引i∈［1，k］滿足ρ*（i）∈V，然后Euclid Math OneBAp選擇一個隨機數t∈Z*p，并秘密設置

r=t+w1αq+w2αq1+…+wkαq-k+1

并計算

K1=gbgαrgc1=gb′gαtgc1∏i∈2，…，k（gαq+2-i）wi

K2=gr=gt∏i=1，…，k（gαq+1-i）wi

對于每一個屬性Vx∈V（1≤x≤l），存在兩種情況：（a）如果不存在索引i∈［1，k］，滿足ρ*（i）=Vx，Euclid Math OneBAp計算K3x=（gr）fx；（b）如果存在索引i∈［1，k］，滿足ρ*（i）=Vx，令Χ為所有滿足ρ*（i）=Vx的索引i的集合，之后Euclid Math OneBAp計算

K3x=（Fx）r=（gr）fx∏i∈Χ∏j∈［1，k］（gαjt∏n∈［1，k］∧（n≠j）（gαq+1+j-n）wn）M*i，j

最后，Euclid Math OneBAp再計算Di=d-IDi-11di（2≤i≤|R*|），之后將簽名密鑰KV={K1，K2，{K3x}x∈［1，l］，{Di}i∈［2，R*］}發送給Euclid Math OneAAp。

情形2?Euclid Math OneAAp所提交的ID屬于挑戰撤銷列表L*。在這種情況下，令IDk∈R*（k∈［1，v］）為Euclid Math OneAAp詢問的挑戰者身份，Euclid Math OneBAp設置以下參數：

c1=δ1+∑vj=1j=δ1+∑vj=1αq+1-j（δ1∈δ）

r=t+w1αq+w2αq1+…+wkαq-k+1

并和情形1同樣計算K1，K2，{K3x}x∈［1，l］，之后Euclid Math OneBAp計算Di。

Di=gMTXkc=g-IDi-1kc1+ci=d-IDi-1ki·di? 2≤i≤|R*|

然后，Euclid Math OneBAp將簽名密鑰KV={K1，K2，{K3x}x∈［1，l］，{Di}i∈［2，R*］}發送給敵手Euclid Math OneAAp。

e）簽名查詢。在此階段，Euclid Math OneBAp設置列表LS，并將其初始設置為空，敵手Euclid Math OneAAp可以通過提交一條在屬性集V下的消息m以及一個訪問結構Γ來向挑戰者Euclid Math OneBAp詢問簽名，如果表LS中存在元組（σ0，σ1，σ2，σ3，σ4，Γ，m，η，gη，gαq+1gη，t1，r，t2，1），其中1表示此元組已經被查詢，Euclid Math OneBAp用此元組生成簽名，否則，Euclid Math OneBAp進行以下操作：

（a）選擇四個隨機數η，r，t1，t2∈Z*q，并計算σ0=gt1-α=gt′1，σ1=gr+t2，對于每一個i∈I，計算σ2i=Fr+t2ρ（i），令σ2={σ2i}i∈I。

設置H1（σ0，σ1，σ2，Γ，m）=gαqgη，并計算

σ3=gb′gα（r+t2）H1（σ0，σ1，σ2，Γ，m）t1（gα）-η=

gb′+αq+1gα（r+t2）（gαqgη）t1g-αq+1（gα）-η=

gbgα（r+t2）H1（σ0，σ1，σ2，Γ，m）t′1

（b）令FR*（Z）=∏vi=1（Z-IDi）=y1+y2Z+…+yvZv-1+yv+1Zv，為了防止v+1＜R，令yv+2，…，yR=0，設置Y=（y1，y2，…，yR）T，其滿足〈Xk，Y〉=0（k∈［1，v］），然后Euclid Math OneBAp計算

D=∏Ri=2Dt1yii=（gt1）〈Y，δ〉，σ4=t1〈Y，δ〉

最后，Euclid Math OneBAp將簽名σ=（σ0，σ1，σ2，σ3，σ4，D，V^，Γ）發送給Euclid Math OneAAp，并將元組（σ0，σ1，σ2，σ3，σ4，Γ，m，η，gη，gαq+1gη，t1，r，t2，1）存儲在表LS中。

f）簽名驗證查詢。在此階段敵手Euclid Math OneAAp可以向Euclid Math OneBAp進行簽名驗證查詢，具體的查詢步驟如下：Euclid Math OneAAp首先生成一條消息m上的簽名σ，并將其發送給Euclid Math OneBAp，然后Euclid Math OneBAp運行簽名轉換算法生成轉換簽名σts，并持有驗證密鑰s。一旦收到σts，Euclid Math OneAAp運行服務器外包計算算法，并輸出輔助計算結果SI。最后Euclid Math OneBAp運行簽名驗證算法，并根據算法結果判斷接收或者拒絕簽名σ，并輸出驗證結果“1”或“0”。

g）偽造階段。 敵手Euclid Math OneAAp輸出一條消息m*上的偽造簽名σ*，其中包含了偽造簽名的滿足挑戰訪問結構Γ*的挑戰屬性集V*。令σ*=（σ*0，σ*1，σ*2，σ*3，σ*4，D*，V*，Γ*），Euclid Math OneAAp選擇一個隨機數s∈Z*q作為共享密鑰，取k-1個隨機數（s′2，s′3，…，s′k）∈Z*q，并秘密設置如下向量：

θ=（s，sα+s′2，sα2+s′3，…，sαk-1+s′k）

然后對于所有i∈［1，l］，Euclid Math OneBAp隨機選擇l個隨機數，并定義Ri為所有索引k≠i，且滿足ρ（i）=ρ（k）的集合。然后Euclid Math OneBAp秘密設置參數ui=-t′i-γβi并計算

MI1i=gα（M*iθ）F-uiρ*（i）=gα（M*iθ）Ft′i+γβiρ*（i）=Ft′iρ*（i）（∏j∈［2，k］（gα）M*i，js′j）（gβiγ）-tρ*（i）（∏n∈Ri∏j∈［1，k］（gαjγ（βi/βk））M*n，j）

MI2i=gui=g-t′i-γβi=g-t′ig-γβi

由以上計算可知，MI=（MI1i，MI2i）是一條有效的轉換簽名，如果Euclid Math OneAAp生成的偽造簽名σ*是有效的，那么挑戰者Euclid Math OneBAp可以利用這個偽造簽名進行以下計算，最終得到q-PBDH困難問題的解e（g，g）αq+1s。

Δ s = （e（D*，g）e（（d1y1d2y2…dRyR），σ*0））-sσ*4= e（g，g）sc1

SI=e（σ*3，g）i∈I（e（MI1i，σ1）e（MI2i，σ2i））wi=

e（g，g）sbe（g，g）c1se（H（σ*0，σ*1，σ*2，Γ*，m*），g）t*1s

e（g，g）αq+1s=SIe（gb′，gs）e（（σ*0）η，gs）·Δs=

e（g，g）s（b′+αq+1）e（gη，g）st*1e（g，g）c1se（gb′，gs）e（（gt*1）η，gs）·Δs

其中：σ*3、σ*0是偽造簽名；η能從表LH1中還原出來。

綜上可知，Euclid Math OneBAp可以通過計算e（g，g）αq+1s來解決q-PBDH困難問題。然而這一結論與q-PBDH問題公認的困難性相矛盾。因此在隨機預言機模型下，本文方案具有抗選擇明文攻擊的不可偽造性。

4.2? 抗合謀攻擊

對于抵抗不同簽名者之間的合謀攻擊，本文方案中的簽名是基于簽名者屬性集相關聯的簽名密鑰生成的。在生成簽名密鑰階段，每個簽名者的屬性集都與一個隨機數r結合在一起，來自不同簽名密鑰的不同隨機數不能在驗證階段被抵消掉，因此不同的簽名者不能通過組合他們的簽名密鑰來偽造一個有效的簽名。

對于抵抗簽名者與云服務器之間的合謀攻擊，產生虛假信息m*簽名的簽名者可以指示云服務器對m*的簽名進行服務器外包計算。但是，云服務商仍然聲稱它用正常的消息m生成了中間簽名。因此，該方案中在簽名驗證算法中涉及消息m的驗證是由用戶執行的，簽名者和云服務器之間的合謀攻擊就無法實現。

5? 性能分析

5.1? 性能比較

如表1所示，本節將該方案與其他四個相關方案在功能性和安全性兩個方面進行性能比較，結果表明本文方案在保障安全性的同時擁有更全面的功能性，因此本文方案可以滿足車聯網對于安全性以及功能性的需求。

本文方案所用的撤銷方式為直接撤銷，當車輛被撤銷后，TA將其ID加入撤銷列表，由于〈X，Y〉=0，在簽名階段，持有此ID的用戶將無法生成有效的簽名，相比于使用間接撤銷機制的ABS方案，本文方案無須頻繁地對未撤銷的車輛進行密鑰更新，提升了方案的效率。

5.2? 計算開銷與通信開銷對比

設群G1和G2中的元素長度為|G1|和|G2|，n表示屬性全集U中的屬性個數，l表示用戶屬性集中屬性的個數，d表示訪問結構中屬性個數，k表示用戶屬性集中滿足訪問結構的屬性個數，R表示被撤銷車輛的數量，它們的數量關系滿足n＞l＞d＞k，E1表示在乘法群G1上的一次指數運算，E2表示在群G2上的一次指數運算，P表示一次雙線性映射運算，由于乘法與加法運算的計算開銷相對較小，所以不進行統計。

在表2中列舉了本文方案與文獻［10，13］在簽名密鑰生成、簽名生成和簽名驗證過程中的計算開銷，本文方案在簽名密鑰生成階段與屬性數量相關的計算開銷為（k+4）E1，相比于文獻［10，13］，本文方案在屬性層面的計算開銷更小。為了實現直接撤銷，本文方案在該階段還需要額外的計算開銷為RE1。在簽名生成階段，本文方案在屬性層面上的計算開銷為（d+5）E1，相比于文獻［10，13］，本文方案在屬性層面的計算開銷更小。在該階段中，本文方案需要額外的計算開銷為RE1。在簽名驗證階段中，本文方案在屬性層面上的計算開銷為2E2+3P，相比于文獻［10］，本文方案在屬性層面的計算開銷明顯更少，但略多于文獻［13］，本文方案在該階段需要額外消耗RE1的計算開銷來實現直接撤銷。雖然本文方案需要額外的計算開銷來實現高效的撤銷機制，但是這兩個方案并沒有實現直接撤銷機制，因此在功能性上本文方案更有優勢。

在表3中，本文方案與文獻［10，13］在公鑰長度和簽名長度兩個方面進行通信開銷比較，本文方案的公鑰長度為（n+1）|G1|+|G2|+R|G1|，相比于文獻［10，13］，本文方案傳輸公鑰時的通信開銷隨屬性的增長趨勢更緩慢，本文方案在傳輸公鑰時還需要額外的開銷為R|G1|。本文方案的簽名長度為（k+4）|G1|，相比于文獻［10，13］，本文方案在傳輸簽名時的通信開銷更小。

綜上所述，本文方案在兼顧方案性能效率的同時保證了安全性與功能性，因此本文方案更適用于實際的車聯網環境。

5.3? 實驗分析

為了更準確地評估在車聯網中的實際性能，在不同的安全級別下模擬仿真了本文方案以及文獻［10，13］，實驗環境為Windows 64位操作系統，處理器型號為i7-1165G7 CPU，內存為32 GB。實驗代碼使用C++語言編寫代碼，同時使用MIRACL庫［17］進行密鑰生成時間、簽名生成時間和簽名驗證時間的實驗模擬。選用了一條超奇異曲線y2=x3-3，其中曲線的階數為2159+217+1和2255+217+1，分別對應了安全等級AES-80與AES-128。在本實驗中，用戶屬性集中滿足訪問結構的屬性個數k被設為變量，同時d、l、n分別被設定為k+1、d+1、l+1。此外，設定撤銷的數量R為5。

實驗結果由圖2～4所示。在AES-80安全等級下本文方案與文獻［10，13］在簽名密鑰生成、簽名生成以及簽名驗證階段所需的時間成本進行比較。在簽名密鑰生成階段，所有方案的時間成本都與屬性的數量呈線性關系，而本文方案隨著屬性個數增加，密鑰生成所需的時間增長速度最小。當屬性個數d≤7時，由于本文方案實現直接撤銷機制需要額外的時間，所以簽名密鑰生成所需要的時間與文獻［13］相當，且明顯優于文獻［10］；當d＞7時，本文方案密鑰生成的時間要明顯優于文獻［10，13］。當屬性d固定為30，本文方案需要143.555 ms生成簽名密鑰，而文獻［13］需要311.248 ms，文獻［10］需要427.289 ms。在簽名生成階段，本文方案隨著屬性數量的增加，時間成本增加的速度最慢。當屬性個數d≤7時，該簽名所需的時間與文獻［10］相當；當屬性個數d＞7的時候，本文方案的簽名生成時間明顯優于文獻［10，13］。當屬性d被設定為30時，本文方案只需要142.513 ms來生成簽名密鑰，而文獻［13］需要457.004 ms，文獻［10］需要222.426 ms。在驗證階段，文獻［10］的時間成本隨著屬性個數增加而增加。這是由于文獻［10］并沒有使用外包技術來減少簽名驗證的時間成本，所以本文方案與文獻［13］在該階段的時間成本要明顯少于文獻［10］。當屬性個數d固定為30時，本文方案需要51.882 ms來進行簽名驗證，而文獻［10］需要627.115 ms。盡管該方案需要額外的時間成本來實現直接撤銷，導致在該階段的時間成本略高于文獻［13］，但是文獻［13］沒有實現撤銷機制。

另外，考慮了不同的安全級別，測試了每個方案在AES-128安全級別下的時間成本。如圖5～7所示，每種方案的時間成本與AES-80安全級別下的趨勢相似，但所需時間大約增加了10倍。例如，在簽名密鑰生成階段，當屬性d被設定為30時，本文方案需要1 714.560 ms來生成簽名密鑰，而文獻［13］需要3 508.902 ms，文獻［10］需要4 774.408 ms。在簽名生成階段，當屬性d固定為30時，本文方案需要1 776.56 ms來生成簽名，而文獻［13］需要5 364.930 ms，文獻［10］需要2 790.072 ms。在簽名驗證階段，本文方案需要782.908 ms來生成簽名密鑰，而文獻［10］需要8 454.280 ms。

綜上所述，本文方案在滿足安全性和功能性的前提下具有良好的性能效率，可較好地適用于車聯網環境。

6? 結束語

針對現有外包屬性簽名方案存在靈活的細粒度訪問控制難以實現、缺乏高效撤銷機制等問題，提出了一種車聯網中支持直接撤銷的外包屬性簽名方案。通過使用線性秘密分享方案以及簽名策略框架實現了靈活的訪問控制以及較小的存儲開銷，同時引入撤銷列表，實現了直接撤銷機制，提升了撤銷效率。經過形式化的安全性證明，本文方案在選擇消息攻擊下具有不可偽造性，并且能夠抵抗合謀攻擊。性能分析結果表明，相比于其他相關方案，本文方案在滿足安全性與功能性的前提下擁有良好的性能效率，可較好地適用于實際的車聯網環境。下一步工作的重點是引入可追蹤機制，以便在發生事故時可以及時追溯到惡意車輛。

參考文獻：

［1］Engoulou R G， Bellache M， Pierre S， et al. VANET security surveys［J］. Computer Communications， 2014，44：1-13.

［2］Kenney J B. Dedicated short-range communications（DSRC） stan-dards in the United States［J］. Proceedings of the IEEE， 2011，99（7）： 1162-1182.

［3］Abboud K， Omar H A， Zhuang Weihua. Interworking of DSRC and cellular network technologies for V2X communications： a survey［J］. IEEE Trans on Vehicular Technology， 2016，65（12）： 9457-9470.

［4］劉輝， 張磊， 李晶. 基于車聯網的隱私保護數據聚合研究綜述［J］. 計算機應用研究， 2022，39（12）： 3546-3554. （Liu Hui， Zhang Lei， Li Jing. Review of data aggregation research based on privacy protection of internet of vehicles［J］. Application Research of Computers， 2022，39（12）： 3546-3554.）

［5］鄧雨康， 張磊， 李晶. 車聯網隱私保護研究綜述［J］. 計算機應用研究，2022，39（10）：2891-2906. （Deng Yukang，Zhang Lei，Li Jing. Overview of research on privacy protection of Internet of Vehicles［J］. Application Research of Computers， 2022，39（10）： 2891-2906.）

［6］Li Jin， Au M H， Susilo W， et al. Attribute-based signature and its applications［C］//Proc of the 5th ACM Symposium on Information， Computer and Communications Security. New York：ACM Press， 2010： 60-69.

［7］何業鋒， 李國慶， 劉繼祥. 車聯網中基于霧計算和多TA的條件隱私保護認證方案［J］. 計算機應用研究， 2023，40（6）： 1845-1849. （He Yefeng， Li Guoqing， Liu Jixiang. Conditional privacy-preserving authentication scheme based on fog computing and multi TA in VANET［J］. Application Research of Computers， 2023，40（6）： 1845-1849.）

［8］朱棟， 殷新春， 寧建廷. 車聯網中具有強隱私保護的無證書簽名方案［J］. 計算機應用， 2022，42（10）： 3091-3101. （Zhu Dong， Yin Xinchun， Ning Jianting. Certificateless signature scheme with strong privacy protection for Internet of Vehicles［J］. Journal of Computer Applications， 2022，42（10）： 3091-3101.）

［9］Cui Hui， Deng R H， Wang Guilin. An attribute-based framework for secure communications in vehicular Ad-hoc networks［J］. IEEE/ACM Trans on Networking， 2019，27（2）： 721-733.

［10］Liu Xuejiao， Chen Wei， Xia Yingjie， et al. TRAMS： a secure vehicular crowdsensing scheme based on multi-authority attribute-based signature［J］. IEEE Trans on Intelligent Transportation Systems， 2021， 23（8）： 12790-12800.

［11］韓益亮， 陳飛， 楊曉元. 可驗證的外包屬性簽名方案［J］. 密碼學報， 2017，4（2）： 151-164. （Han Yiliang， Chen Fei， Yang Xiaoyuan. Verifiable outsourcing attribute-based signature scheme［J］. Journal of Cryptologic Research， 2017，4（2）： 151-164.）

［12］Xiong Hu， Bao Yangyang， Nie Xuyun， et al. Server-aided attribute-based signature supporting expressive access structures for industrial Internet of Things［J］. IEEE Trans on Industrial Informatics， 2019，16（2）： 1013-1023.

［13］Li Jiguo， Chen Yu， Han Jinguang， et al. Decentralized attribute-based server-aid signature in the Internet of Things［J］. IEEE Internet of Things Journal， 2021，9（6）： 4573-4583.

［14］Chen Biwen， Xiang Tao， Li Xiaoguo， et al. Efficient attribute-based signature with collusion resistance for Internet of Vehicles［J］. IEEE Trans on Vehicular Technology， 2023，72（6）： 7844-7856.

［15］Su Qianqian， Zhang Rui， Xue Rui， et al. Revocable attribute-based signature for blockchain-based healthcare system［J］. IEEE Access， 2020， 8： 127884-127896.

［16］Zhao Yanan， Wang Yunpeng， Cheng Xiaochun， et al. RFAP：a revocable fine-grained access control mechanism for autonomous vehicle platoon［J］. IEEE Trans on Intelligent Transportation Systems， 2021，23（7）： 9668-9679.

［17］Konstantinou E， Stamatiou Y， Zaroliagis C. A software library for elliptic curve cryptography［M］//Mhring R， Raman R. Algorithms. Berlin：Springer， 2002： 625-637.