基于属性的前向安全数字签名研究

上海交通大学硕士学位论文 摘 要 第 I 页 基于属性的前向安全数字签名研究 摘 要 在数字化、信息化飞速发展的浪潮中，数字签名作为信息安全领域的关键技术之一， 在身份认证 、 数据完整性 、 不可否认 和 匿名性等方面 得到了 广泛的应用 。 2005 年，基于属性的密码体制被提出之后，基于属性的数字签名在 2007 年被提出。在 基于属性的密码体制 中，身份 被 看作是一系列属性的集合， 因此， 相 对于 基于身份的密码体制在很多方面有着更为广泛 、 灵活的应用。 基于属性的前向安全数字签名是基于属性签名中 具有更高安全性 的一种 签名方案，基于属性的前向安全数字签名的概念 2012 年才被首次提出，具有很 强 的 前沿 研究价值 。 本文的研究方法 主要 是运用可证明安全理论，深入研究已有方案，在已有方案的基础上提出新的 方案 。 本文研究了 基于属性的数字签名和前向安全数字签名 的 概念定义 、安全模型 。并在已有的前向安全签名方案基础上 ， 提出了新的无周期限制的前向安全签名方案 ;在 基于属性的数字签名的基础上 提出新的基于属性的 前向安全 数字签名 方案，给出安全性证明。 最后 ， 本文对基于属性的 前向安全 数字签名 的 发展提出展望并指出 可能的 研究方向。 关键词 ： 属性签名 前向安全 双线性对 可证明安 全 上海交通大学硕士学位论文 n of is of in To at is to to in of In is to is in or to of a in of a of of In In of 海交通大学硕士学位论文 is of of 海交通大学硕士学位论文 目 录 第 目 录 基于属性的前向安全数字签名研究 . 要 . 录 . 一章 引 言 . 1 究的背景和意义 . 1 内外研究的现状 . 2 字签名技术的发展 . 2 于属性的密码体制的发展 . 4 向安全数字签名的发展 . 6 文主要工作 . 8 文章节安排 . 8 第二章 基础数学知识和密码学理论 . 10 础数学知识 . 10 率论基础知识 . 10 杂性理论基础 . 10 码学基础理论 . 可证明安全的基本概念 . 数（ . 13 O 模型（ . 14 码学困难性问题 . 16 难性问题 . 16 线性对 . 17 叉引理（ . 18 字签名攻击 . 19 问结构 . 20 章小结 . 22 第三章 基于属性的数字签名 . 23 于属性数字签名的概念 . 23 于属性私钥策略的签名方案介绍 . 24 于属性公开参数策略的数字签名方案介绍 . 26 义及安全模型 . 26 案描述 . 29 确性和效率分析 . 32 章小结 . 33 第四章 前向安全数字签名 . 34 向安全数字签名的定义 . 34 向安全数字签名 安全模型 . 35 种前向安全数字签名方案 . 37 上海交通大学硕士学位论文 目 录 第 方案 (案 ). 37 案的改进 . 38 周期限制前向安全签名的构造 . 38 章小结 . 41 第五章 基于属性的前向安全 数字签名方案 . 42 于属性的前向安全数字签名定义 . 42 于属性的前向安全数字签名方案设计 . 43 确 性和效率分析 . 46 谋攻击下的安全性分析 . 47 案具有前向安全性 . 48 全性证明 . 48 章小结 . 53 第六章 总结和展望 . 54 要工作总结 . 54 续研究工作 . 54 参 考 文 献 . 56 致 谢 . 60 攻读硕士学位期间已发表或录用的论文 . 61 上海交通大学硕士学位论文 第一章 引 言 第 1 页 第一章 引 言 究的背景和意义 在传统的工作和生活模式中，签名是一项十分重要的规则和制度，许多事务和交易都需要由当事人签名来确认其合法性和有效性。比如，在传统的民间交易中，古代常常使用签字画押的方式，而现代更多的采用指纹、印章和手写签名等方式作为收据、借条等的签名。人们通过各种形式的签名，表达对以书面载体为主的合同、契约等的认同，同时保证这些书面载体所表达的内容涵义能在法律上得到认证、核准和生效。 现代，计算机与网络技术的发展速度飞快，数字化与信息化的浪潮已经波及到社会生活的方方面面，包括商业贸易、金融贸易等经济活动在内的人与人之间的许多交往活动，都已经由传统的方式转为数字信息的形式来完成的。然而，在数字化的信息世界里，怎么去保护信息不受到非法授权的修改、删除和伪造、重放等恶意攻击，已经成为迫切需要解决的问题。正是在这种背景下，作为公钥密码体制 1中的一种重要应用，数字签名 1技术被提出来，并得到了飞速的发展。数字签名技术是对以数字信息形式存在的电子文档等数字内容进行签名的一种方法。数字签名区别于 书面签名的特点是：书面签名的形式是固定的，每个人或单位都有自己独有的签名，但同一个签名在不同的文件上不会随着文件内容的不同而不同；数字签名的形式是数字串，签名会随所签消息内容的变化而变化，所签文件的内容一旦发生变化签名结果也一定会会发生变化。从数字签名对比于传统书面签名的特点可以看出，传统文件的传统书面签名可能被攻击者复制到不同的文件之上，而任一文件的数字签名因文件的不同而不同，所以不可能被复制到其他文件上。因而可以说，数字签名与书面签名相比具有更高的安全性。依托于计算机网络技术的迅速发展，对数据信息传递的 安全、完整和高效的要求变得越来越高，数字签名作为数字信息领域中的重要工具，为身份认证、信息安全性、数据完整性、匿名性以及不可否认性等方面提供了非常重要的保证，已成为当今电子政务、商务和网络安全的关键技术支柱之一。 基于属性的数字签名概念 2是在基于身份的数字签名概念 3和基于属性的密码体制 4提出后才提出的，与后两者之间具有一脉相承的联系。基于属性的密码体制又是在基于身份密码体制 5之上发展而来的，主要是把身份这个概念给细分成各种属性。在基于属性的密码体制中，将身份分解为一系列属性的集合，在很多应 用上相对于基于身份的密码体制更为灵活。 上海交通大学硕士学位论文 第一章 引 言 第 2 页 在实际应用中，对数字签名方案威胁最大的是密钥泄漏问题。对于一个使用从数学上证明安全的签名算法的签名方案来说，单纯依靠当前计算机运算速度攻破签名方案是不可行的；然而，一旦某方案中用于签名的私钥泄漏，不只是该方案的安全性不可再维持，就连在私钥泄露之前已经完成的签名也受到影响，整个签名系统趋于崩溃，基于属性的数字签名方案同样受到的这样的威胁。 为解决 这个 问题 ，密码学界提出了“ 前向安全数字签名 ”思想 。 在 这种新的签名思想 中 ，整个 签名的有效 存活 时间被分成若干周期 ，签名使用的私钥随着 周期的变化而变化， 验证签名的公钥 则 在整个有效 存活 时间内保持不变 。在 每个周期 即将结束的时候，通 过私钥更新算法利用该周期的私钥产生下 一个周期的私 钥 。 这样 一旦 某个周期内 发生 私钥泄露 问题，该周期之前的所有周期内与私钥相关的密码操作都不会 受到 影响 。 因此，本文 在研究 基于属性的签名 基础上 ，尝试将前向安全数字签名与基于属性的签名结合起来构造出一种 具有前向安全性的基于属性的数字签名方案，使其拥有更强的安全性和更灵活、广泛的应用前景 。 内外研究 的 现状 字签名技术的发展 1976 年 ， 文密码学的新方向 一文中 提出的公钥密码体制（ 称 中首次提出了数字签名的 概念 ， 为信息安全 领域奠定了 全新的理论和技术 基石 ， 同时 也为密码学 指明了全新的 发展方向 。 第一个数字签名方案 签名方案 是由 1978 年提出的 ，其方案是 基于大整数分解困难 问题 。 其后 ， 互联网技术 和电子商务发展 的势头越来越 迅猛 ， 数字签名 技术 已成为 网络技术 和电子商务 等应用中不可缺少 的安全技术 之一， 新的签名方案不断 被提出 ，其中 比较著名的有 字 签名方案 7、 字 签名方案 89、 字 签名方案10等签名方案。 1984 年 首次 提出 了 基于身份的密码体制 (简称 11。在基于身份的密码体制中，用户的公钥 取自于 他的公开身份 ，方法是 由他的公开身份通过 某种 简单的 公开 算法计算得出 ； 用户的私钥则一般由 一个可信第三方 生成 ， 这个可信的第三方 通常 被 称为密钥生成中心（ 简称 在 基于身份的密码体制 中， 用户身份 可以被当作 公钥 ， 这种公钥 的表示方法 简单明了，用户不再需要公钥证书 来绑定 公钥，基于证书密码 的 系统 中 的 复杂 密钥管理过程 被极大地简化了 ， 使得 通信双方交换上海交通大学硕士学位论文 第一章 引 言 第 3 页 密钥 不再需要保证通信信道的安全 。 在 数字签名理论的 不断 完善 的前提下，数字签名在 电子政务、电子商务、移动通信等 方面的 应用 需 求不断增加 。 为满足 更多 对数字签名的 实际应用 需 求 ，对数字签名的研究 已经 从早期的 研究 一般 性、通用性 的数字签名方案 全面 扩展到 研究 具备特殊性质 的 、满足特殊要求 的 、 能 适 用于 特殊环境 的各种 数字签名 方案 。 982 年的时候提出了盲签名概念 1213。盲签名在本质上是一个双方协议，同时也是一种特殊的数字签名。一般数字签名协议中，签名者需要知道所签署的消息内容，但是在盲签名协议中，签名者不能够知道原始消息的内容。盲签名的过程是接收者先对原始消息进行盲化，之后盲化后的信息被发送给签名者进行签名操作；而后再返还给接收者；接收者通过去盲化操作得到签名者对原始信息的签名。盲签名已经在电子投票系统、电子支付系统上的得到广泛的应用。 群签名概念由 1991年首次提出 14。 在 一个 群签名方案中，群体中的 任何 成员 都 可以 以匿名的方式 用自己的私钥 代表整个群体对消息签名 ，验证者使用 唯 一的 群公钥来验证 。一旦 发生纠纷， 此时， 只有受信任的群管理员可以打开签名 以确认 具体是那一个成员执行的签名操作 。 群签名最大的特点是它的匿名性和可追踪性。一个群由群中成员的全体组成，群中的所有成员在某个属性上具有相同的特征，比如这个属性为某个班级的任课教师，那么这个班级的所有任课教师可以组成一个群。对于这个群之外的人来说，这个群中的成员的签名具有相同的效力，是不可区分的 。 任意一个 属于该群中的 成员可以代表该群做签名操 作， 而 不会暴露 具体是 哪 一个成员执行的签名操作。 在 政治、 军事 和 经济等多个 领域， 群签名 均 得到 了 广泛的应用。 尤其 是 在 公共资源 的管理，重要军事情报的签发 与签收 ，重要领导人的选举 投票 ，电子商务 信息 的发布， 经济 合同的签署等事务中，群签名都可以发挥重要作用。 群签名发展到现在，又提出了 分级群签名，群盲签名，多群签名等 概念，对这些新的 群 签名方案 的研究 至今 还不多 ，是一个较为前沿的领域 。 人 在 2001年首次提出了 环签名 的概念 15。环签名 因签名 方案 中参数Ci(i=1,2,n) 按照 一定的规则首尾相接组成环状而得名。 在实际应用中，真正 的签名者用其他可能 存在的 签 名 者的公钥 生成 一个带有断口的环， 接着 用私钥将断口 补齐，使之 连成一个完整的环。 在验证的时候， 任何验证人 使 用环 中 成员的公钥都可以 通过 验证 算法得出 一个环签名是否由 环中的 某个 成员 生成。 环签名与群签名的概念类似，但是环签名的匿名性比群签名更强，环签名中的管理员也不能追踪签名是由哪个用户做出的。 1996年提出了代理签名（ 概念。在代理签名中， 原始签名人 把他的 签名权 授权 给代理签名人，然后让代理上海交通大学硕士学位论文 第一章 引 言 第 4 页 签名人代表原始签名人 做出 有效的签名。 代理签名解决了数字签名中签名权以委托的方式转移的问题。代理签名方案必须满足 不可伪造性 、 可验证性 、 可识别性 、不可否认性 等多种性质 1617。 在代理签名的某些性质上， 人给出了更强的定义 1819，主要有强可识别性、 强不可伪造性 以及 强不可否认性等 方面 。 之后，人 提出 了 代理签名 的分类 ：完全代理签名、部分代理签名 以及 具 有授权证书的代理签名。 另一方面，在追求更高的效率和安全性这一发展方向上， 主要 是 研究新的数字签名算法 。在这些新的算法中，追求 更好的安全强度 、 更高的运行效率 、 简单且 易于实现的算法过程 和 较短的传输 带宽、数据总量等 。当前 ， 这方面的研究 主要 集中在 研究 利用椭圆曲线 以及 离散对数等 困难问题 设计 的公钥加密算法 和 签名算法方面。 椭圆曲线密码体制 在这方面的研究较多 。 椭圆曲线密码体制 是 以椭圆曲线上的有理 数 点构成的阿贝尔群为基础 ， 建立的一种基于代数曲线的公钥密码体制。 椭圆曲线密码体制 具有 “ 短密钥 ， 高安全性 ” 的特点 。 这 一特性 使 得 椭圆曲线密码体制 与其它密码体制相比 ， 在同等安全强度下可以使用 比 其它密码体制 小得多的密钥 长度 及 密码 分组长度。 因为 椭圆曲线密码体制 的数学理论基础 不是建立在超大整数分解 和 素域乘法群离散对数问题等数学 困难问题 之上 ， 转 而是建立在更难的椭圆曲线离散对数 困难 问题之上 ， 这一优越基础条件使得基于 椭圆曲线密码体制 的加密算法和 数字签名算法引起了 密码学领域众多学者 广泛的兴趣 ， 成为研究的热点。 为了解决密钥泄漏问题，向前安全的思想被提出 20，结合数字签名密码体制，具有向前安全性的数字签名方案被提出。通过结合数字签名密码体制的各 个分支后，又提出了很多新的概念，比如前向安全群签名、前向安全盲签名以及前向安全环签名等。 于属性的密码体制的发展 基于属性的加密体制是对基于身份密码体制 (称21的泛化和发展 22。 2005 年， 3首次 提出模糊基于身份加密体制的概念。 他们的论文中 引入属性的概念 ， 直接将 用户 生物学特性作为身份信息应用于加密方案 中。他们在论文中 提供了 两种供选 方案 。这两个方案都 是 在 双线性对 基础上 构建的， 并 假定 双线性判定 题 在多项式时间内 是困难的，并 提供了 在标准模型下 的 安全证明。 2006 年， 确 提出了基于属性的加密（ 称 24方案。 与基于身份的加密相比， 基于模糊身份的加密 的特点在于容错特性，而 基于属性的加密则更加重视 访问控制。 在论文中 第一章 引 言 第 5 页 策略的基于属性的加密（ 称 形式化安全定义。这里的密钥策略一般指的是访问控制结构，即可以是线性密钥共享 25（ 简称 也可以是访问树（ 构。在过使用访问树的形式，构造了普通和全域两种加密方案。 2007 年，密文策略的基于属性加密（ 称 26方案 首次由 人提出 。其方法是用 一个属性集合 来表示 用户的身份 ， 加密的消息 与访问控制结构相关 。 密文策略的基于属性的加密 方案 允许加密方决定解密访问结构， 有且仅有能 满足此访问结构的 用户 可以 解密。 近年来， 基于属性的加密领域 得到了 很大发展 2728293031。 为了防止权威机构盗用私 ， 2提出了多权威机构基于属性的加密方案 。 多权威机构基于属性的加密 方案中 存在多个 权威机构 ， 而 每个权威机构 只 控制一部分属性 。 之后，3实现了一个基于属性的系统 ，这是一个证明了安全的系统方案。4也 提出了一个可证明安全的 方案 案 。 在 案中 ， 生成访问控制的权力 被 交给加密者，这样做的一个好处是 加密者 可以 拥有更多的选择权限 ， 也就是 对用户更 加 友好 ， 加密者可以 在加密文件时 自由地 决定 哪些属性 拥有 者 可以解密 该 文件。 基于属性的加密体制思想 同样可以 被 应用到数字签名领域，并 形成了基于属性的数字签名 （ 称 概念。在 签名人的私钥 与 属性 的 集合 相对应 ，一个签名者 可以 用一个属性集合来 表示， 由请求签名者 来设置访问控制结构 。这样， 签名必须能够 满足 指定的 访问 控制结构 才能通过验证 。目前，基于属性签名的相关研究工作主要 集中在 基于属性 群签名和 基于属性 环签名等 3637。 相 对于 基于属性的加 密体制 来说 ，基于属性的签名 研究成果还不多。 2006 年， 35提出了模糊身份签名的概念， 并作了 基于模糊身份签名的探索 和 研究 。 基于模糊身份签名 可以看作是基于身份签名的发展，而 基于属性的数字签名 又可以看作 是 基于模糊身份签名的 发展 。 2007 年， 基于属性签名的研究 过程 中 2，对基于属性的签名 作 了更详细的描述 和说明 。在这篇文章中， 出了 声明 签名（ 的 新 方法，避免了零知识证明 过程 ，提高了 方案设计的 效率。这篇文章 还 列 出了基于属性签名 应该满足的 三 个条件： 1）不可伪造性。一个不 能 满足签名者声明的属性 的 个体 ，无法伪造出 具有签名者声明 的 属性 的 签名。 2） 隐私权保护。隐私保护指的是 ： 一方面， 用户除了打开签名 所需要暴露的 属性 ，其他属性不泄露；另一方面，即使是 可以暴露的 公共属性，也 能 提供一上海交通大学硕士学位论文 第一章 引 言 第 6 页 定程度 上 的保护。如 果 使用多个个人属性 进行 签名， 那么 系统中 每一个人可能 都已经发布了这个签名 ， 并不能由此确定签名发布者。 3） 抗合谋攻击。 基于属性签名方案的一个弱点是合谋攻击。 抗 “ 合谋攻击 ”要求 基于属性签名方案具备 这样一种安全性： 多个 不同 的 签名者即使 “ 合谋 ”（把多个 签名者 所具有的属性拼在一起） 也不能伪造出一个他们 “ 合谋 ” 之前都不能独自 生成的签名。 在 基于属性 加密或签名方案设计中， 具有抵抗 “ 合谋攻击 ” 的安全性是基于属性加密 方案和签名方案 的一般要求。 639和 7分别提出了基于属性的群签名与基于属性的环签名，这两种方案 的相同特色是他们 都具有用户匿名性。 这两种 类型 签名方案 之间最大的区别在于是否具有可追踪性 。在 基于属性 群签名 方案中， 如果签名出现纠纷，权威机构可以 打开签名得到 真正的签名人 ，而 基于属性的环签名 方案则不能实现这一点 。 2008 年 ， 借用了 出的相关定义 ， 郭山清 、 曾英佩提出了第一个基于属性的签名方案 40。 在他们的 这篇 论文中 还用到了 24基于属性的加密体制中 构造 属性树的概念。 郭山清 、 曾英佩 的 基于属性的签名 方案 允许签名 者使用 自身拥有的 特定属性进行签名 。他们的方案 使用 了 双线性对和 设。但是 ， 他们只 是 简单地提出了基于属性的签名方案， 而 没有 提出 相关的 概念 定义和 安全模型，也没有对提出的方案 作 安全性证明。作为 基于属性密码体制 的 重要组成部分， 基于属性的数字签名 仍有 很 大的研究余地 41。 2009 年， 论文 41中 提出基于属性的公开参数策略的数字签名 41，给出了完整的定义和安全模型 。 论文中的 方案具有用户身份匿名性和可追踪性41。 论文中还 提出了第一个可行的基于属性公开参数策略的全域数字签名方案，具有较大的理论价值和意义 。 论文中也 提出了第一个基于属性的代理签名方案 ，该 代理签名方案能够抵抗类型 类型 击 41，具有较强的安全性。 向安全数字签名的发展 基于身份的会话密钥交换协议一文 42中首次提出“前向安全”的概念。随后， 身份认证和密钥交换这篇 论文 20中用到前向安全 的概念 。该文的基本思想是 某个时间段 私钥的丢失并不影响过去的会话密钥，这意味着当前私钥的丢失泄漏 将 不会影响到 私钥丢失 之前的行为。 在数字签名领域， 议 上 首次明确提出前向安全数字签名思想和概念 。前向安全数字签名 方案 与普通的数字签名 方案十分 类似，但 前向安全数字签名方案钟 包含了私钥更新 (法 ，普通的数字签名方案不具备这一算法 。在前向安全签名 方案 中， 签名 系统的 总 运行时间 t，每个签名密钥仅使用一个周期 ，也 就是说一个签名秘钥只上海交通大学硕士学位论文 第一章 引 言 第 7 页 能在该周期生效，过了该周期应该被销毁 。 在秘钥更新 过程 中 ，必须具备两个性质： 1、 第 i 个周期所使用的密钥由第 周期的 密钥 通过 密钥 更新算法得到 ；2、 由第 i 个周期的私 钥得到第 周期的 私 钥 在理论上是不可能的 。 通过第二个性质，可以知道 ： 无论哪个 周期 的 私 钥丢失， 都 不会影响到该周期之前所有周期的签名。 该次 会议 上 还提出了一个开放性问题： 应该 如何寻找 能够 满足前向安全 性 的数字签名方案？ A 43文章 中 回答 问题并给出了更多结论。 4 和 5提出了新的安全认证思想 ， 他们在文章中利用整数分解 困难问题 和 型 设计了具有前向安全性的数字签名方案， 证明了方案具有前向安全性质。 前向安全方案的安全性证明分为 以下 两步： 1、 将签名方案转化为认证方案， 然后 证明转化后的认证方案是 具有 前向安全 性 的 。 2、 利用认证方案的安全性 来 证明签名方案是 具有 向前 安全 性质 的。 前向安全 方案存在一个问题 是 ：签名私钥太 长 ，不适于实际应用，尤其是 在 窄带宽应用场景 下 。 在 研究 基础上， 46中提出了一个 新的前向安全签名方案 ,该方案是 A 47中介绍的签名方案的变型，该方案 同样 利用了 认证转化为签名的思想。 相 比 于 方案， 方案签名密钥长度 较短， 安全性证明直接、简洁，且具有更紧的安全上界。 在上述的多个前向安全签名方案中 都 存在 同 一个问题：总周期数 T 是预先已经设定好的，设定好就不能更改 ， 而且 公私钥与 T 相关 。然而，在某些实际应用环境中，存在不能预先设定 T 或者在方案应用过程中需要增加周期 T 的情况。 针对该问题， 出了总周期数无限制 (of 简称 想 )的前向安全数字签名方案 49。 该签名方案中 ， 将两个前向安全数字签名方案 通过“加法” 合成 出 一个新的前向安全数字签名方案，得到的 新方案的总周期数是原来两方案 周期 之和。在此基础上，他们提出了 名 思想和签名 方案 49。 名方案的思想： 一个普通的数字签名方案， 可以 通过 不断进行自身的 “加法” 来 合成 具有更长周期数的 新方案 。理论 上， 名方案的总周期数最大可为 2n ，而 n 可以取很大的数 ， 所以名方案的总周期数 T 可以无穷大。 近年来， 随着前向安全签名研究的不断 向前 发展 和深入 ， 所谓 “混合”前向安全签名 成为研究的热点方向 。“混合”前向安全签名 是把 其它类型 签名与 前向安全 签名 相 融合 ，得到许多新的签名类型， 比 如 前向安全代理签名、 前向安全门上海交通大学硕士学位论文 第一章 引 言 第 8 页 限签名 50和 前向安全群签名等。 的前向安全的概念很早就已经被提出， 基于身份的前向安全的数字签名(案直到 2006 年才提出来。 在 2006 年亚洲密码学 年 会上 首先提出了 概念。在 案中， 整个系统生存时间被分为若干小周期 时间段 ， 在每一个周期内， 签名者的身份保持不变， 而 其密钥每个周期 都不 一样 ， 初始密钥 由 管理员 产生 和分发 ，每个周期内 使用的 签名密钥 由签名者自己生 成。 在 论 文中 ， 出了一种 可以 构造 具有 任意周期 数 的 基于身份前向安全 数字 签名的通用方法 ，并证明了安全性。这种方法 可以描述如下：任意 前向安全的数字签名方案和 一个 标准数字签名方案 相 结合 可以构造出 基于身份前向安全数字签名 方案。 这种 方法 的 不足 之处 ： 1、 通过该方法构造出的方案的 签名长度 接近于 是标准签名方案长度的 2 倍， 而这 会给通信信道带来极大 压力 和 负担 ，在效率和带宽有限的情况下价值不大 ； 2、 通过该方法构造出的方案的 签名验证过程 十分复杂 和难以实现 ， 这是 因为签名验证 过程 需要 分别 验证两个数字签名方案。 在 础上， 2012 年， 人首次提出了具有向前安全性的基于属性签名的概念，给出了具体的签名