許城洲,王 晨,張文濤
(1.中國航天系統科學與工程研究院,北京 100037;
2.中國航天科技集團有限公司,北京 100048)
云技術為用戶提供了便捷的共享途徑和廉價的存儲成本。希捷預測,到2025年,全球數據的增長量將達到163 ZB,將數據上傳至云存儲服務器成為越來越多的人選擇。然而,將數據上傳至云端會降低用戶對數據的控制,有數據泄漏的風險。研究人員提出了很多加密方案[1 - 3]。在基于云技術的數據共享應用中,安全的數據保護和便捷的數據共享成為云環境中需要達成的目標。密文策略屬性基加密CP-ABE(Ciphertext-Policy Attribute-Based Encryption)支持“一對多”的訪問模式和細粒度的訪問控制,被認為是云環境中實現數據安全共享的理想途徑。研究人員針對云環境中不同應用場景的數據安全共享,提出了許多CP-ABE方案,使屬性基加密機制在高效性、安全性和訪問結構表達性等方面有了較大的提升。然而這些方案在前后向安全、用戶追蹤和撤銷等方面仍有較多需解決的問題。
在云環境的應用中,用戶撤銷和用戶屬性撤銷是CP-ABE方案需要解決的重要問題。例如,用戶屬性時間到期、用戶密鑰被盜用和濫用時,方案需要安全撤銷機制以維護系統正常運行。撤銷分為直接撤銷[4 - 6]和間接撤銷[7 - 9]2種形式。直接撤銷通過證書撤銷列表、證書撤銷樹等實現撤銷,間接撤銷通過定期發布更新密鑰實現撤銷。撤銷也分為用戶撤銷[4,10,11]、用戶屬性撤銷[12,13]和系統屬性撤銷[14]。用戶撤銷、用戶屬性撤銷后,需要防止惡意用戶使用撤銷前的密鑰對密文進行解密,即方案需要具有前向安全性。Boldyreva等[15]首次提出了可撤銷ABE方案,授權機構維護一個撤銷列表,周期性對系統用戶密鑰進行更新,通過不更新撤銷用戶密鑰實現用戶撤銷。文獻[16]利用時間戳為每個屬性設定有效時間,通過服務器周期性更新用戶密鑰實現用戶屬性撤銷。文獻[17]通過服務器代理進行屬性撤銷,在撤銷屬性時,通過重加密技術生成重加密密鑰對用戶密鑰和密文進行更新。文獻[18]提出的支持撤銷屬性基加密方案完善了撤銷方案的前向安全性,訪問策略支持“與門”和“或門”,但是在撤銷階段,用戶計算開銷較大。文獻[19]提出了基于屬性組的支持屬性撤銷的屬性基加密方案,方案可以抗合謀攻擊,但是用戶和屬性授權機構存儲開銷較大。文獻[20]將用戶信息與二叉樹相關聯,并基于二叉樹的管理實現用戶撤銷和追蹤。文獻[21]同樣基于與用戶信息相關聯的二叉樹實現了方案的可撤銷和可追蹤功能,并通過將用戶屬性名和屬性特征值分離實現了隱私保護功能,但計算效率較低。
現有的CP-ABE方案中,訪問策略一般限定判斷用戶是否擁有某種屬性組合,從而實現訪問控制。這些方案無法限定用戶擁有屬性的時間,即不同用戶在不同時間擁有同一屬性在訪問策略的限定中同樣有效。云環境的訪問控制應用中,用戶可能希望設定某一時間點之前或之后擁有特定屬性的人群能夠訪問自己的數據,因此在該應用場景需求下,需要對用戶擁有屬性的時間進行區分,即方案需要具有后向安全性。文獻[22]設置時間周期樹結構管理用戶密鑰,在用戶解密階段驗證用戶密鑰是否在有效期內,從而實現基于時間的訪問控制。文獻[23]在其基礎上增加了可追蹤功能并通過外包降低了本地計算開銷,然而方案均基于系統整體時間限定用戶密鑰有效期,無法在文件中對單個屬性進行時間限制。群元素運算計算開銷較大,結合時間因子的屬性基加密方案解密階段包含時間認證和屬性認證2個階段,與多因素認證在流程上相似,汪定等[24,25]提出的多因素認證方案使用哈希運算和邏輯位運算實現參數加解密和驗證,方案計算開銷較低。
為了同時實現CP-ABE方案前后向安全、用戶追蹤和撤銷功能,本文提出一種基于時間因子的可撤銷可追蹤屬性基加密方案。該方案具有用戶追蹤、用戶撤銷和用戶屬性撤銷功能,且具有前后向安全性,主要研究工作如下:
(1)提出了一種基于時間因子的屬性基加密方案。該方案在生成用戶密鑰時,根據用戶獲取屬性時間生成時間因子并標記用戶密鑰中的屬性特征值,數據擁有者上傳數據時對用戶擁有屬性時間進行限定,從而實現基于時間和屬性的訪問控制,豐富了系統訪問策略并實現了方案的后向安全性。
(2)實現了快速的用戶撤銷和用戶屬性撤銷。時間認證服務器保留用戶屬性時間參數,在用戶解密時,基于屬性時間參數進行屬性時間認證。用戶屬性撤銷時,時間認證服務器更改屬性時間參數值并更新用戶其他屬性時間因子;
用戶撤銷時,時間認證服務器刪除屬性時間參數即可。方案降低了撤銷計算開銷,且避免了撤銷時對其他用戶造成干擾。
(3)實現了對惡意泄露密鑰用戶的高效追蹤和屬性時間認證外包。將用戶唯一標識uid加密后所得ruid融入用戶密鑰中,用戶密鑰泄露時通過分離并解密ruid實現用戶追蹤。采用認證外包技術將屬性時間認證外包給時間認證服務器,降低了用戶解密時的本地計算開銷。
2.1 雙線性映射
設循環乘法群G和GT的階為素數q,群G上的一個生成元為g,存在雙線性映射e:G×G→GT,該雙線性映射具有以下性質:
(2)非退化性:?g1,g2∈G,滿足e(g1,g2)≠1。
(3)可計算性:?g1,g2∈G,e(g1,g2)可在多項式時間內計算得到。
2.2 困難假設
設G是以g為生成元、階為素數q的循環乘法群,e為雙線性映射,a,b,c是Zq中的隨機元素,R是G中的隨機元素。判定性雙線性Diffie-Hellman DBDH(Decision Bilinear Diffie-Hellman)問題假設定義如下:
給定2個元組:(g,ga,gb,gc,e(g,g)abc)和(g,ga,gb,gc,R)。如果在任意多項式時間內算法A解決G中的DBDH問題的優勢為:
ε=|Pr[A(g,ga,gb,gc,Z=e(g,g)abc)=0]
-Pr[A(g,ga,gb,gc,Z=R)=0]|
定理1若對于任何多項式時間算法解決DBDH困難問題的優勢ε是可以忽略的,DBDH問題假設成立。
2.3 安全模型
本節給出所提CP-ABE方案的安全模型。該安全模型由攻擊者A和挑戰者B之間的交互性游戲定義。攻擊者以不可忽略的優勢攻破DBDH困難問題。
初始化:A選擇2個挑戰訪問結構W0和W1,并發送給B。
系統建立:B運行設置算法,生成系統公開參數MPK,并將其發送給A。
猜測:攻擊者輸出對τ的猜測結果τ′,如果τ=τ′則A贏得該游戲。
A在該游戲中的優勢定義為:adv=|Pr[τ=τ′]-1/2|。
定理2如果在任何多項式時間內,A贏得該游戲的優勢可以被忽略,則該CP-ABE方案被認為是選擇性CPA安全的。
3.1 系統形式化描述
本文方案中包含5類實體:屬性授權終端AA(AttributeAccess),負責初始化系統并為每個用戶生成用戶密鑰,接收用戶撤銷請求或向用戶和時間認證服務器發出屬性撤銷指令;
數據擁有者DO(DataOwner),為數據設置訪問策略并根據訪問策略對數據進行加密,最后將密文上傳至云存儲服務器CSS(CloudStorageServer);
CSS,負責存儲DO上傳的密文和響應用戶數據下載需求;
數據使用者DU(DataUser),從授權中心獲取用戶密鑰,從CSS下載密文后將屬性密鑰時間參數上傳至時間驗證服務器TVS(TimeVerificationServer)進行驗證,用戶屬性和時間均滿足訪問策略即可對密文解密;
TVS,接收DU上傳的用戶和密文屬性時間參數,進行時間驗證并返回驗證結果。方案的形式化定義描述如下:
(1)系統建立:AA根據安全參數ρ和系統屬性集生成系統公鑰MSK和系統私鑰MPK。
(2)密鑰生成:AA為用戶分配屬性集,并生成用戶唯一身份標識uid、用戶唯一時間參數Tr和屬性密鑰,將Tr發送給TVS,將uid和屬性密鑰發送給用戶。
(3)加密:DO設置訪問策略P,使用加密算法對數據m進行加密,生成密文c。
(4)屬性時間認證:DU將自己密鑰中屬性時間因子和密文中屬性時間因子上傳至TVS,TVS進行屬性時間認證并將認證結果返回給DU。
(5)解密:若TVS返回認證結果表明DU的屬性集滿足P,DU可以進行解密并恢復數據m,否則解密失敗。
(6)用戶屬性撤銷:TVS為用戶選擇新的時間參數Tr′,對用戶密鑰時間參數進行重加密,用戶刪除該屬性相關參數。
(7)用戶撤銷:TVS刪除本地存儲的用戶時間參數Tr。
(8)追蹤:對用戶密鑰進行驗證,并根據用戶中參數解密用戶uid從而追蹤用戶。
3.2 方案概述
基于時間因子的可撤銷可追蹤的屬性基加密方案通過時間因子差異化不同用戶的同一屬性,豐富了訪問策略,同時使方案具有前向安全性和后向安全性,另外方案也支持用戶撤銷和用戶屬性撤銷,具體構造如下:
(1)系統建立階段。
令A={A1,A2,…,An}為系統屬性空間,ρ為安全參數,循環乘法群G和GT的階為素數q,群G上的一個生成元為g,雙線性映射e:G×G→GT,隨機值α∈Zq,計算Y=e(g,g)α,為系統中每個屬性Ai選擇隨機值ki∈Zq(i∈[1,n]),計算Ki=gki。選擇2個單向抗碰撞的哈希函數H1:{0,1}*→{0,1}lT,H2:{0,1}*→{0,1}ρ,其中lT為時間因子長度。選擇對稱加密算法Eu(ku,id),其中ku為系統加密用戶身份標識id密鑰。選擇非對稱加解密算法Ep(kY,m)和Dp(kx,c),其中kY和kx分別代表加密公鑰和私鑰,系統公鑰和私鑰分別為:
MPK=(H1,H2,g,Y,kY,{Ki})
MSK=(α,{ki},ku,kx)
(2)密鑰生成。
系統為每個用戶分配唯一身份標識uid,選擇隨機值作為Tr并由AA和TVS保存,計算ruid=Eu(ku,uid),D0,1=ruid,D0,2=uid,選擇隨機值vuid∈Zq,計算D1=gα+vuid,授權中心為用戶屬性集Uid中每個屬性Ai選擇隨機值λi∈Zq,計算D2,i=gλi,標記用戶獲取屬性Ai的時間為Ti,1,計算D3,i=gkiλi+vuidruid,計算D4,i,1=H1(ruid‖uid‖atti‖Tr)⊕Ti,1,其中atti為屬性Ai的名稱,D4,i,2=H1(uid‖ruid‖Tr‖Ti,1),用戶密鑰為(D0,1,D0,2,D1,{D2,i},{D3,i},{D4,i,1,D4,i,2})。
(3)加密。
(4)屬性時間認證。
DU將密文中的{C3,i}和密鑰中的{D4,i,1,D4,i,2}上傳至TVS,TVS計算:
ai‖Ti,2‖attm‖BA=Dp(kx,C3,i)
ht′i=H1(r′uid‖uid′‖att′i‖Tr)
T′i,1=D4,i,1⊕ht′i
TVS根據標記BA比較Ti,2和T′i,1,如果BA標記為前向,Ti,2≥Ti,1; 當用戶屬性集中所有屬性滿足訪問策略屬性時間要求時,TVS返回用戶{TVi}。 (5)解密。 DU的屬性集時間認證成功會從TVS處返回{TVi},DU計算: ∏e(g,g)si vuid ruid DU可以通過計算Cm=H2(c‖m)來判斷是否解密成功。如果解密成功,則輸出明文m,如果解密失敗,返回⊥。 (6)用戶屬性撤銷。 當系統中用戶uid需要撤銷屬性Ai時,AA向TVS發送屬性撤銷指令,TVS暫停對用戶uid的屬性時間認證,用戶上傳自己密鑰中的{D4,j,1,D4,j,2|Aj∈Uid}。TVS為用戶重新選擇Tr′,計算: ht′j=H1(ruid‖uid‖attj‖Tr) Tj,1=D4,j,1⊕htj D′4,j,1=H1(ruid‖uid‖attj‖Tr′)⊕Tj,1 D′4,j,2=H1(ruid‖uid‖Tr′‖Tj,1) TVS向用戶返回{D′4,j,1,D′4,j,2},更新用戶時間參數Tr為Tr′。用戶收到TVS返回的消息后,更新本地密鑰中的{D4,j,1,D4,j,2}并刪除(D2,i,D3,i,D4,i,1,D4,i,2)。 (7)用戶撤銷。 當系統需要撤銷用戶uid時,AA向TVS發送用戶撤銷指令,TVS刪除本地用戶時間參數Tr即可。 (8)用戶追蹤。 首先對用戶進行以下檢查: D0,1,D0,2∈Zp D1,{D2,i},{D3,i}∈G e(D2,i,Ki)e(D1g-α,gD0,1)=e(g,D3,i)≠1 如果用戶私鑰通過檢查,計算uid=Du(ku,ruid),根據uid得到對應用戶; CP-ABE方案能夠抵抗串謀攻擊,是為了避免多個屬性集不滿足訪問策略的用戶,通過相互交換信息,從而得到滿足訪問策略的用戶屬性集。用戶對密文進行解密時,須計算得到e(g,g)αs,得到e(g,g)αs需要對密文中的{C1,i}和用戶D1進行雙線性配對運算:∏e(C1,i,D1)=e(g,g)αs+vuids。vuid是隨機生成的,不同的用戶的vuid不相等,用戶無法通過D1=gα+vuid計算得到α+vuid,因為這是離散對數問題DLP(DiscreteLogarithmProblem)困難的。在用戶密鑰中vuid同時存在于D3,i=gkiλi+vuidruid中,用戶可得gki和gλi,但是無法計算得到gkiλi,這是判定性Diffie-HellmanDDH(DecisionDiffie-Hellmam)困難的。在用戶撤銷和用戶屬性撤銷時,通過更新或刪除用戶密鑰中的時間參數Tr實現,參數中不包含vuid,用戶撤銷過程不會造成參數泄露。綜上,用戶之間合謀也無法突破盲化因子vuid對密文的保護,因此本文方案可以抵抗合謀攻擊。 本節采用文獻[26]中的安全證明方法證明所提方案在DBDH假設下是選擇性CPA安全的。 證明若攻擊者A可以以一個不可忽略的優勢ε>0在多項式時間內**本文方案,那么存在一個模擬器β可以在多項式時間內以不可忽略的優勢ε/2解決DBDH問題。 循環乘法群G和GT的階為素數q,群G上的一個生成元為g,雙線性映射e:G×G→GT,a,b,c是Zq中的隨機元素,R是GT中的隨機元素。挑戰者D拋擲一枚硬幣τ1∈{0,1},選擇四元組(ga,gb,gc,Z)發送給β,模擬器β在之后的步驟中扮演挑戰者的角色。當τ1=0時,四元組(ga,gb,gc,Z)=(ga,gb,gc,e(g,g)abc);當τ1=1時,四元組(ga,gb,gc,Z)=(ga,gb,gc,R)。 (1) 初始化。 A首先提交2個挑戰訪問結構W0和W1,并將其發送給β,β隨機拋擲一枚硬幣選取隨機數τ1∈{0,1}。 (2) 系統建立。 計算Y=e(ga,gb)=e(g,g)ab,為系統中每個屬性Ai選擇隨機值ki∈Zq,計算Ki=gki。選擇2個哈希函數H1:{0,1}*→{0,1}lT,H2:{0,1}*→{0,1}ρ。選擇對稱加密算法Eu(ku,id),選擇非對稱加解密算法Ep(kY,m)和Dp(kx,c)。 β將參數(H1,H2,g,Y,kY,{Ki})發送給攻擊者A。 (3) 查詢階段1。 (4) 挑戰。 A隨機選擇2個等長的數據M0和M1,并將它們提交給β。β隨機選擇數τ∈{0,1}對數據Mτ進行加密計算:C1,i=gsi,C2,i=gkisi+aiTi,2,C3,i=Ep(kY,ai‖Ti,2‖attm‖BA),c=MτV,Cm=H2(c‖Mτ)并發送給A。生成加密密文CT=(c,Cm,{C1,i},{C2,i},{C3,i}),β將密文返回給A。 (5) 查詢階段2。 A重復查詢階段1的詢問,限制條件與階段1相同,β如查詢階段1一樣回應A。 (6) 猜測。 A提交一個對τ的猜測值τ′。如果τ=τ′,則τ1=0; 當Z=e(g,g)abc時,由DBDH問題,A猜測到τ=τ′的優勢為ε,此時: Pr[τ=τ′|V=e(g,g)abc]≥1/2+ε 當τ=τ′時,β提交對τ1的猜想τ′1=0,此時: Pr[τ1=τ′1|V=e(g,g)abc]=1/2+ε 當Z=R時,由DBDH問題假設,V是選擇的隨機數,A無法得到關于τ的任何消息,當τ≠τ′時,A無法區分τ1,此時有Pr[τ≠τ′|V=R]=1/2。當τ≠τ′時,β提交對τ1的猜想τ′1=1,此時有Pr[τ1=τ′1|V=R]=1/2。 綜上,挑戰者β**DBDH困難問題的優勢為: Pr[τ1=τ′1|V=R])-1/2≥ε/2 不存在攻擊者在多項式時間內可以以不可忽略的優勢**DBDH困難問題,因此不存在以不可忽略的優勢打破本文方案,本文方案是選擇性CPA安全的。 本節將文獻[8]方案、文獻[20]方案、文獻[21]方案、文獻[23]方案和本文方案在功能和計算開銷2個方面進行分析比較。方案中雙線性配對運算、橢圓曲線標量乘法和群元素冪運算的運算開銷較大,因此忽略其他運算開銷較小的運算,如哈希運算、邏輯位運算和加減運算等。部分方案采用計算外包的方式降低本地計算開銷,方案計算代價分析時僅考慮本地計算開銷。表1中列舉了在進行方案性能對比時所用到的符號和說明,其中文獻[20,21,23]使用密鑰加密密鑰KEK(KeyEncryptionKey)樹結構。 Table 1 Symbol explanation表1 符號說明 表2給出了本文方案和文獻[8,20,21,23]方案的功能對比,本文方案同時實現了用戶撤銷和用戶屬性撤銷,其余方案僅實現用戶撤銷或者用戶屬性撤銷。本文方案在撤銷用戶屬性時,僅需要更新用戶密鑰中的時間標記因子,不需要更新所有密文,降低了運算開銷。本文方案在撤銷用戶時,僅需要刪除用戶時間參數Tr,從而實現快速撤銷; Table 2 Comparison of functions表2 功能比較 表3給出了本文方案和文獻[8,20,21,23]方案的性能對比。本文方案對用戶獲取屬性時間進行標記,解密時進行時間驗證,從而實現了方案的前后向安全并豐富了系統的訪問策略; Table 3 Comparison of computing overhead表3 計算代價比較 本文對表2中方案進行了實驗仿真,實驗運行環境為Intel(R) Core(TM) i5-8259U CPU @3.2 GHz,8.00 GB內存,MacOS Big Sur 11.3操作系統。仿真程序采用Python(版本3.8),基于PyPBC庫(版本0.2)和PyCharm開發環境編寫。 圖1展示了5個方案密鑰生成時間對比。由圖1可知,本文方案密鑰生成階段時間計算開銷低于對比方案的,隨著用戶屬性數量的增加,本文方案所需密鑰生成時間增長低于對比方案的。 Figure 1 Comparison of key generation time 圖1 密鑰生成時間對比 圖2展示了5個方案加密時間對比。由圖2可知,本文方案加密階段時間計算開銷總體低于對比方案的,隨著訪問策略中屬性數量的增加,本文方案所需加密時間與其他方案增長速度接近。 Figure 2 Comparison of encryption time圖2 加密時間對比 圖3展示了方案的解密時間對比。由圖3可知,本文解密時間高于文獻[8,20,23]方案的,本文方案為每個屬性生成一個隨機值,并添加參數實現追蹤功能,解密階段所需消除的參數較多,方案僅將時間認證外包給服務器,本地解密階段計算開銷較大。 Figure 3 Comparison of decryption time圖3 解密時間對比 圖4展示了方案的用戶撤銷時間對比。由圖4可知,本文用戶撤銷時間遠低于其他方案的,這是因為文獻[21,23]需要維護一個撤銷列表,在撤銷用戶時,更新撤銷列表并對密文進行重加密,本文方案在用戶撤銷時,僅需要TVS刪除用戶時間參數Tr即可,計算量可忽略。 Figure 4 Comparison of user revocation time圖4 用戶撤銷時間對比 圖5和圖6分別展示了5個方案密文大小和用戶密鑰大小對比。由圖中可知,本文方案的用戶密鑰大小隨著屬性數量增加,增長較快,存儲開銷高于其他方案的,這是因為本文為用戶屬性和訪問策略中屬性增加了時間因子相關的標記和時間因子驗證項,增加了存儲開銷。密文存儲開銷稍低于其他方案的,但增長速度與其他方案的相近。 Figure 5 Comparison of ciphertext size圖5 密文大小對比 Figure 6 Comparison of user key size圖6 用戶密鑰大小對比 為了解決CP-ABE方案中存在的前后向安全、用戶追蹤和撤銷等問題,本文提出了一種基于時間因子的可撤銷可追蹤的屬性基加密方案,通過為屬性添加時間標記因子,實現了方案基于時間因子的細粒度訪問控制,豐富了系統訪問控制策略,實現了方案前后向安全。對于系統中存在用戶泄露密鑰的風險,增加了可追蹤功能。設計了高效的用戶屬性撤銷和用戶撤銷機制,系統僅需要更新用戶密鑰,不會對其他用戶造成干擾和不需要對系統中文件進行重加密,相比已有的方案,方案撤銷效率更高,更適合在用戶和系統數據較多的應用場景。本文方案可抗合謀攻擊,且在DBDH假設下是選擇性CPA安全的。但是,本文方案仍存在一些待優化的問題,如解密階段用戶計算量較大,密鑰存儲開銷和密文存儲開銷較大,未來工作中希望能夠研究并解決。
如果BA標記為后向,Ti,2
否則,返回⊥。4.1 抗串謀攻擊
4.2 安全證明
否則τ≠τ′,則τ1=1。
文獻[20,21,23]需要更新系統密文;
文獻[8]需要通過額外設置系統版本標簽和更新用戶密鑰實現。本文方案同時實現了可追蹤和可驗證功能,文獻[8,20,21]中部分實現該功能。本文方案通過為用戶每個屬性標記屬性獲取時間,并在解密時與密文中時間標記進行比較,增加了訪問策略中對用戶擁有屬性時間限制功能,實現了方案的后向安全,文獻[23]通過標記用戶屬性有效期實現了方案的后向安全,但是方案沒有細化標記用戶屬性時間;
本文方案通過用戶密鑰更新和Tr標識管理,保證撤銷屬性用戶和撤銷用戶無法繼續解密密文,實現了方案的前向安全性,計算開銷基于用戶撤銷和用戶屬性撤銷。最后方案通過將認證流程外包給時間認證服務器,降低了用戶本地計算開銷。
在密鑰生成階段和加密階段為每個屬性生成隨機因子,增加了系統抗串謀攻擊的能力和提升了密文的安全性;
將時間因子相關計算采用哈希運算,降低了因添加訪問功能導致的加密階段和密鑰生成階段計算開銷。本文方案通過關鍵參數控制的方式實現用戶撤銷和用戶屬性撤銷,不需要通過KEK樹實現,不需要進行文獻[20,21,23]中與KEK樹相關的計算,且方案中使用群元素乘法較少,所以方案中的加密時間和密鑰生成時間少于其他方案的。在解密階段,由于本文方案加密和密鑰生成階段為每個屬性生成隨機值,解密時需要逐個配對和消解,帶來一定的計算開銷,本文方案解密開銷低于文獻[8,21]方案的,高于文獻[20,23]方案的。在用戶屬性撤銷階段,由于僅需要更新撤銷用戶密鑰中屬性時間標記,且撤銷過程中運算為哈希運算和邏輯位運算,計算均由TVS執行,本地計算開銷可忽略不計,文獻[20,21,23]需要更新系統中密文實現,用戶屬性撤銷開銷低于其他開銷,當系統撤銷用戶時,僅需要刪除用戶時間參數Tr即可,計算開銷忽略不計。
