無證書線性同態(tài)聚合簽名方案研究

茅 磊

（江蘇建筑職業(yè)技術(shù)學(xué)院信電工程學(xué)院，江蘇徐州 221116）

0 引言

隨著計算機(jī)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等新興技術(shù)步入人們生活。云存儲是云計算在概念上的延伸與發(fā)展。云存儲是通過集群應(yīng)用、網(wǎng)絡(luò)技術(shù)和分布式文件系統(tǒng)，將網(wǎng)絡(luò)中大量不同類型的存儲設(shè)備通過軟件集合到一起，共同對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的一個系統(tǒng)。目前，云存儲已逐步實(shí)現(xiàn)商業(yè)化，走進(jìn)了人們的日常生活中，國內(nèi)已涌現(xiàn)出一批云存儲服務(wù)提供商，如百度云、阿里云等。越來越多的企事業(yè)單位也習(xí)慣將數(shù)據(jù)搬至云端存儲，實(shí)現(xiàn)數(shù)據(jù)外包，不僅可以節(jié)約自身存儲空間，降低數(shù)據(jù)維護(hù)管理代價，還可以在任何時間、任何地點(diǎn)通過任何可接入互聯(lián)網(wǎng)的設(shè)備高效便捷地訪問云端數(shù)據(jù)。隨著云存儲的不斷商業(yè)化，云中數(shù)據(jù)完整性的保護(hù)越來越受到用戶關(guān)注。基于此，本文采用密碼學(xué)中的數(shù)字簽名技術(shù)，設(shè)計出一種適用于云存儲的高效安全文件完整性審計方案。

1 相關(guān)研究

數(shù)字簽名是公鑰密碼學(xué)的重要研究方向，其可對被簽名文件數(shù)據(jù)提供真實(shí)性、完整性以及不可否認(rèn)性的技術(shù)服務(wù)。隨著研究的不斷深入，許多適用于不同使用環(huán)境的特殊數(shù)字簽名，如同態(tài)簽名、聚合簽名、無證書體制下的數(shù)字簽名等應(yīng)運(yùn)而生。這些數(shù)字簽名既有普通簽名的功能，也有自身獨(dú)有的特點(diǎn)，若將其有機(jī)組合并加以靈活使用，在云存儲環(huán)境中可起到事半功倍的效果。

1.1 同態(tài)簽名

同態(tài)簽名由Johnson 等提出。設(shè)數(shù)字簽名的消息空間

M

和簽名空間∑上的二元運(yùn)算符分別為⊕和?，有兩個來自

M

和∑上的消息簽名對(

m

,

σ

)和(

m

,

σ

)，其中

σ

=

f

(

m

)，

σ

=

f

(

m

)，若簽名算法

f

是代數(shù)系統(tǒng)（

M

，⊕）到（∑，?）上的同態(tài)映射，則有

f

(

m

⊕

m

)=

f

(

m

)?

f

(

m

)=

σ

?

σ

成立。從這一點(diǎn)不難看出，同態(tài)簽名在一定程度上放寬了數(shù)字簽名的安全性。一般數(shù)字簽名方案在安全性上要求達(dá)到在適應(yīng)性選擇消息下的存在性不可偽造，而同態(tài)簽名則要求在同一數(shù)據(jù)集中，各消息的簽名可以由其他已知的消息簽名導(dǎo)出，不必再使用復(fù)雜的簽名算法生成。但在該數(shù)據(jù)集外，即在不同數(shù)據(jù)集中的消息簽名不能由其他數(shù)據(jù)集中的消息簽名導(dǎo)出，只能由數(shù)字簽名算法生成。根據(jù)目前密碼學(xué)界的觀點(diǎn)，上述同態(tài)簽名可以分為線性同態(tài)簽名、多項式同態(tài)簽名以及全同態(tài)簽名3 類，以線性同態(tài)簽名使用最多最廣。線性同態(tài)簽名是針對一個線性子空間基中的各個向量進(jìn)行簽名，是一種高效快捷的輕量級同態(tài)簽名方案。例如，Wu 等使用無證書線性同態(tài)簽名設(shè)計了一種抵抗網(wǎng)絡(luò)編碼污染的簽名方案，并探討了該方案在物聯(lián)網(wǎng)上的應(yīng)用；Lin 等研究了標(biāo)準(zhǔn)模型下基于格的線性同態(tài)簽名方案，該方案具有較短的公鑰。同態(tài)簽名在云存儲中也可發(fā)揮重要作用。云存儲環(huán)境中生成的數(shù)據(jù)文件往往是動態(tài)增長的，如果采用普通數(shù)字簽名保證動態(tài)增長數(shù)據(jù)的完整性并實(shí)現(xiàn)數(shù)據(jù)的可公開驗證效果必然不理想。如圖1 所示，假設(shè)用戶

A

租用云服務(wù)器存儲自身每天產(chǎn)生的數(shù)據(jù)，第1 天用戶

A

產(chǎn)生數(shù)據(jù)塊

m

，第2 天產(chǎn)生的數(shù)據(jù)塊記為

m

，以此類推。如果采用一般的數(shù)字簽名保障數(shù)據(jù)的可公開驗證，該用戶需每天對產(chǎn)生的數(shù)據(jù)進(jìn)行簽名，并將數(shù)據(jù)和簽名均存儲在云服務(wù)器上。而在驗證數(shù)據(jù)完整性時，又要從云服務(wù)器上依次下載這些數(shù)據(jù)及其對應(yīng)的簽名。若需驗證3個數(shù)據(jù)塊的完整性，則要分別下載3個數(shù)據(jù)塊和3個簽名，并進(jìn)行3 次驗證運(yùn)算。采用同態(tài)簽名時，每產(chǎn)生一部分新數(shù)據(jù)就要使用簽名算法產(chǎn)生對應(yīng)的簽名并將其存儲在云端，而驗證時又要下載所有數(shù)據(jù)塊及其對應(yīng)的簽名，還要進(jìn)行與數(shù)據(jù)塊相同數(shù)量級的驗證運(yùn)算，勢必會在用戶端產(chǎn)生大量驗證運(yùn)算，消耗更多云存儲空間，而且下載數(shù)據(jù)和簽名時也會占用更多網(wǎng)絡(luò)帶寬。

Fig.1 Using ordinary digital signature to verify data integrity圖1 使用普通數(shù)字簽名驗證數(shù)據(jù)完整性

1.2 聚合簽名

聚合簽名概念由Boneh 等于2003 年提出，旨在提高驗證大量單個簽名的效率。使用普通數(shù)字簽名方案進(jìn)行簽名合法性驗證時，需要對每個簽名逐個驗證，在云存儲中進(jìn)行數(shù)據(jù)審計時使用該種方案的繁瑣程度和運(yùn)算存儲代價難以承受。如果采用聚合簽名，則可將來自不同用戶的數(shù)字簽名壓縮成一個簽名，驗證聚合后的簽名等同于驗證所有聚合前單個用戶的簽名。使用聚合簽名不僅可以保證云存儲中數(shù)據(jù)的完整性，還可實(shí)現(xiàn)在云端數(shù)據(jù)審計工作的公開批量驗證。隨著對聚合簽名研究的深入，Zhang 等發(fā)現(xiàn)了來自聚合簽名者內(nèi)部的合謀攻擊，并在此基礎(chǔ)上提出新的聚合簽名安全模型，認(rèn)為當(dāng)且僅當(dāng)每個被聚合的單個簽名是合法簽名時，最后的聚合簽名才是合法的；曹素珍等提出無證書高效聚合簽名方案，雖然效率較高，但仍不能抵抗合謀攻擊；吳戈設(shè)計了能抵抗合謀攻擊的基于身份與無證書的聚合簽名。

1.3 無證書密碼體制

無證書密碼體制是Al-Riyami 等針對身份密碼體制的不足所提出的改進(jìn)方案。基于身份的密碼體制往往需要假定密鑰生成中心完全可信，這是由于用戶密鑰完全掌握在密鑰生成中心（KGC）手中。但在云存儲中通常認(rèn)為云服務(wù)器是不可靠的，云服務(wù)商存在有意無意損害用戶存儲在云端數(shù)據(jù)的行為（如不可抗的自然災(zāi)害、云服務(wù)器本身的物理損害、黑客攻擊等）。如果使用基于身份的數(shù)字簽名，當(dāng)用戶數(shù)據(jù)發(fā)生損壞時，云服務(wù)商可能會使用身份系統(tǒng)中的用戶完整私鑰逃避責(zé)任，這是由于云服務(wù)商掌握用戶的簽名私鑰，當(dāng)發(fā)生數(shù)據(jù)損壞時，“不誠實(shí)”的云存儲服務(wù)商可能會使用用戶簽名私鑰對損壞后的數(shù)據(jù)重新簽名，而用戶卻全然不知。無證書密碼系統(tǒng)不僅可以方便地搭建在云存儲服務(wù)系統(tǒng)中，還能克服身份密碼系統(tǒng)中密鑰管理中心權(quán)利過于集中的缺點(diǎn)。

2 方案設(shè)計思路

上述3 種密碼學(xué)技術(shù)各有所長：無證書密碼體制可以保障用戶簽名私鑰的安全，抵抗不誠實(shí)的KGC；同態(tài)簽名可以壓縮同一數(shù)據(jù)集內(nèi)部動態(tài)增長的各數(shù)據(jù)簽名；聚合簽名可以將不同數(shù)據(jù)集中的數(shù)字簽名進(jìn)一步壓縮。因此，本文結(jié)合以上3 種技術(shù)設(shè)計出一種適用于云存儲中數(shù)據(jù)審計的無證書線性同態(tài)聚合簽名。

如圖1 所示，首先將無證書密碼體制搭建在云存儲系統(tǒng)上，由云服務(wù)商生成無證書密碼系統(tǒng)的相關(guān)參數(shù)，并產(chǎn)生用戶簽名時的部分私鑰。將私鑰通過安全信道傳送給用戶，用戶自己生成并掌握簽名的秘密值。用戶的簽名完整私鑰由部分私鑰和秘密值組成，除用戶以外，沒有任何人再能掌握完整的簽名私鑰。因此，將無證書密碼體制部署在云存儲系統(tǒng)中可避免云服務(wù)商逃避責(zé)任。

Fig.2 Deploying certificateless system on cloud server圖2 在云服務(wù)器上部署無證書系統(tǒng)

Fig.3 Using homomorphic signature to verify data integrity圖3 使用同態(tài)簽名驗證數(shù)據(jù)完整性

最后，基于聚合簽名的特點(diǎn)，將來自不同數(shù)據(jù)集的同態(tài)簽名進(jìn)一步聚合壓縮。將同態(tài)簽名與聚合簽名結(jié)合起來形成同態(tài)聚合簽名，可解決在云存儲中多方數(shù)據(jù)公開批驗證的問題。如圖4 所示，假設(shè)需要驗證N個用戶數(shù)據(jù)，只需使用聚合簽名算法

Aggregate

將這N個用戶數(shù)據(jù)生成的同態(tài)組合簽名聚合成一個簽名然后驗證一次即可。因此，使用無證書線性同態(tài)聚合簽名可以在保障云存儲中數(shù)據(jù)塊完整的前提下減少簽名驗證次數(shù)，提高審計效率。

Fig.4 Multi user data integrity verification using aggregate signature圖4 使用聚合簽名驗證多用戶數(shù)據(jù)完整性

3 無證書線性同態(tài)聚合簽名的形式化定義

無證書線性同態(tài)聚合簽名系統(tǒng)由以下9個概率多項式算法組成，分別為：

（1）

Setup

：密鑰生成中心（KGC）輸入為系統(tǒng)的安全參數(shù)1，產(chǎn)生系統(tǒng)的公開參數(shù)params 和系統(tǒng)主私鑰msk。（2）

PartialPrivateKeyExtract

：輸入用戶身份ID，KGC 生成身份為ID 用戶的部分私鑰

D

。（3）

ProduceSecretValue

：用戶運(yùn)行生成秘密值

r

。（4）

ProducePublicKey

：用戶運(yùn)行生成公鑰

PK

。

4 無證書線性同態(tài)聚合簽名的安全模型

聚合簽名的作用是將若干簽名者生成的單個簽名壓縮成一個簽名，因此只有當(dāng)每個參與聚合的無證書線性同態(tài)簽名合法時，生成的無證書同態(tài)聚合簽名才合法。無證書同態(tài)聚合簽名的特性可分為無證書同態(tài)簽名方案的安全性和聚合算法的安全性兩部分。

4.1 無證書同態(tài)簽名的安全模型

對于無證書密碼體制的安全模型而言，一般有兩類攻擊者：第一類攻擊者可以替換系統(tǒng)的公鑰，但不能訪問主私鑰；第二類攻擊者則可以訪問主私鑰，但不能替換系統(tǒng)的公鑰，通常又被稱為“誠實(shí)而又好奇”的攻擊者。同態(tài)簽名的基本安全性要求為在適應(yīng)性選擇數(shù)據(jù)集下的存在性不可偽造，因此無證書同態(tài)簽名方案在適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集下存在性不可偽造的安全模型可以通過挑戰(zhàn)者C 和攻擊者（A或A）之間的游戲來刻畫。

4.1.1 游戲1（第一類攻擊者A）

（1）系統(tǒng)建立。挑戰(zhàn)者C 獲得系統(tǒng)的安全參數(shù)1后，生成公開參數(shù)

params

、系統(tǒng)主私鑰

msk

、保密主私鑰

msk

，將公開參數(shù)

params

發(fā)送給攻擊者A。（2）詢問。攻擊者A可向挑戰(zhàn)者C 進(jìn)行創(chuàng)建用戶詢問（CU）、部分私鑰提取詢問（PPK）、秘密值詢問（SVK）、公鑰詢問（PK）、替換用戶公鑰詢問（PKR）、簽名詢問（Sign）。挑戰(zhàn)者C 需要模擬隨機(jī)預(yù)言器，給出上述方案中各算法的正確回答。在簽名詢問時，挑戰(zhàn)者C 要模擬超級簽名預(yù)言器，即攻擊者A只提供用戶身份

ID

和消息向量

m

，而不提供替換公鑰后對應(yīng)的秘密值，挑戰(zhàn)者C 需要產(chǎn)生當(dāng)前用戶公鑰（一般是被A替換后的公鑰）下該數(shù)據(jù)集中消息向量

m

的合法簽名

σ

，并發(fā)送給攻擊者A。（3）偽造輸出。攻擊者A輸出一個偽造（ID*，pk，τ*，m*，

σ

*），在以下情況成立時攻擊者A在游戲中獲勝：①

σ

*是在挑戰(zhàn)身份ID*和對應(yīng)公鑰pk下，由τ*標(biāo)記的數(shù)據(jù)集中消息m*的合法簽名；②攻擊者A沒有詢問過挑戰(zhàn)身份ID*的部分私鑰；③

τ

* ≠

τ

，即攻擊者A沒有詢問過身份為ID*、公鑰pk下由

τ

*標(biāo)記的數(shù)據(jù)集m*上消息的簽名。

4.1.2 游戲2（第二類攻擊者A）

（1）系統(tǒng)建立。

C

獲得系統(tǒng)的安全參數(shù)1后，生成公開參數(shù)

params

、系統(tǒng)主私鑰

msk

、保密主私鑰

msk

，將公開參數(shù)

params

發(fā)送給攻擊者A。（2）詢問。攻擊者A可向挑戰(zhàn)者C 進(jìn)行創(chuàng)建用戶詢問（

CU

）、秘密值詢問（

SVK

）、公鑰詢問（

PK

）、替換用戶公鑰詢問（

PKR

）以及簽名詢問（

Sign

）。挑戰(zhàn)者C 需要模擬隨機(jī)預(yù)言器，給出上述方案中各算法的正確回答。在簽名詢問時，挑戰(zhàn)者C 仍然要模擬超級簽名預(yù)言器。（3）偽造輸出。攻擊者A輸出一個偽造（ID*，pk，τ*，η*，

σ

*，f*），在以下情況成立時A贏得游戲2：①

σ

*是在挑戰(zhàn)身份ID*和相應(yīng)的公鑰pk下，由τ*標(biāo)記的數(shù)據(jù)集中消息m*的合法簽名；②

τ

* ≠

τ

，即A沒有詢問過身份為ID*、公鑰pk下由τ*標(biāo)記的數(shù)據(jù)集m*上消息的簽名；③A沒有詢問過挑戰(zhàn)身份ID*對應(yīng)的秘密值；④A沒有替換過挑戰(zhàn)身份對應(yīng)的公鑰。將攻擊者在上述兩個游戲中獲勝的概率稱為攻擊者的優(yōu)勢。無證書同態(tài)簽名方案在超級攻擊者適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集攻擊下是存在性不可偽造（

EUFCLHS-ID-CDA

）的，任何概率多項式時間內(nèi)的超級攻擊者贏得兩個游戲的優(yōu)勢是可以忽略的。

4.2 聚合算法的安全模型

張一名提出一種來源于聚合簽名者內(nèi)部的合謀攻擊，其認(rèn)為聚合簽名安全模型中攻擊者的能力有限，并在原基礎(chǔ)上將攻擊者的攻擊目標(biāo)修改為攻擊者使用一系列單個簽名偽造一個合法的聚合簽名，在這些單個簽名中包含至少一個非法簽名。因此，聚合算法的安全模型可描述為：

（1）系統(tǒng)建立。挑戰(zhàn)者獲得安全參數(shù)后生成系統(tǒng)的各項參數(shù)

params

，以及驗證聚合簽名的公私鑰對，然后將公鑰

PK

和參數(shù)發(fā)送給攻擊者。（2）詢問階段（

Query

）。詢問階段包括私鑰詢問（

SKRQ

）和聚合驗證詢問（

AVRQ

）兩種。私鑰詢問為當(dāng)攻擊者進(jìn)行私鑰詢問時，挑戰(zhàn)者根據(jù)具體用戶的ID 運(yùn)行部分私鑰提取算法和秘密值設(shè)置算法，將用戶ID 的私鑰返回給攻擊者；聚合驗證詢問為當(dāng)攻擊者進(jìn)行聚合驗證詢問時，挑戰(zhàn)者通過運(yùn)行聚合簽名驗證算法，回答攻擊者所給的聚合簽名是否合法。

（3）偽造輸出。攻擊者輸出一個偽造（待聚合的消息，最后的聚合簽名），如果滿足以下條件，則認(rèn)為攻擊者在上述游戲中獲勝：①攻擊者輸出的最后聚合簽名是合法的；②在攻擊者進(jìn)行聚合的單個簽名序列中，至少有一個簽名是非法的。

從上述模型可以看出，攻擊者在游戲中獲勝實(shí)際上是使用一系列不完全合法的單個簽名產(chǎn)生了一個合法的聚合簽名。一個無證書同態(tài)聚合簽名方案對于上述攻擊者是安全的，在任何概率多項式時間內(nèi)偽造最多

n

個用戶聚合簽名的超級攻擊者在上述游戲中獲勝的優(yōu)勢是可以忽略的。

5 無證書線性同態(tài)聚合簽名方案

5.1 無證書同態(tài)聚合簽名算法描述

（4）Produce-Public-Key：輸入身份

ID

和秘密值

x

，產(chǎn)生用戶的公鑰

PK

=

g

。

式中，k=1，2，…，

l

。如果

t

=

t

'，則該算法輸出1，否則輸出0。

5.2 無證書線性同態(tài)聚合簽名的安全性

無證書線性同態(tài)聚合簽名的安全性證明可分為兩部分。

（1）本文省略無證書線性同態(tài)簽名方案在適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集中含有超級攻擊者的證明方法，具體證明過程可參考文獻(xiàn)［20］。

另一方面，

t

=

t

'成立，可得：

6 無證書線性同態(tài)聚合簽名方案性能實(shí)驗

在仿真實(shí)驗過程中使用文獻(xiàn)［20］的無證書線性同態(tài)簽名方案（CLLHS）作為比較對象，對本文提出的無證書同態(tài)聚合簽名方案的性能進(jìn)行驗證。對5 組實(shí)驗中數(shù)據(jù)的完整性進(jìn)行比較，結(jié)果如表1、圖5 所示。

Table 1 Comparison of signature scheme simulation experimental data表1 簽名方案仿真實(shí)驗數(shù)據(jù)比較 單位：s

可以看出，無證書線性同態(tài)聚合簽名方案在驗證大量文件的完整性時所花費(fèi)的時間遠(yuǎn)小于CLLHS。當(dāng)驗證數(shù)據(jù)塊達(dá)到50個時，其驗證速度較CLLHS 提高了近10 倍。原因在于對N個用戶或?qū)徲嬚哌M(jìn)行數(shù)據(jù)完整性公開驗證時，如果使用CLLHS，則需要獲得所有用戶數(shù)據(jù)塊的簽名，并對簽名逐一驗證。隨著待驗證文件數(shù)據(jù)塊個數(shù)的不斷增加，用戶在驗證時的計算代價也會越來越大。而使用無證書線性同態(tài)聚合簽名方案可極大減少驗證時的計算代價。當(dāng)用戶或?qū)徲嬚呦腧炞CN個用戶文件時，只需將每個用戶數(shù)據(jù)對應(yīng)的同態(tài)組合簽名進(jìn)行聚合，然后驗證聚合簽名的合法性即可。通過驗證一個同態(tài)聚合簽名是否有效，便可判定N個用戶文件數(shù)據(jù)塊是否保存完好。由此可見，使用無證書線性同態(tài)聚合簽名方案對大量數(shù)據(jù)的完整性進(jìn)行驗證時，計算代價不隨驗證文件數(shù)據(jù)塊數(shù)量的增加而顯著增大，簽名驗證效率大大提高。

Fig.5 Comparison between CLLHS and scheme of this paper圖5 CLLHS 方案與本文方案性能比較

7 結(jié)語

本文提出一種安全高效的無證書線性同態(tài)聚合簽名方案，并給出了方案的安全證明。結(jié)果表明，該方案可以抵抗來自聚合簽名者內(nèi)部的“合謀攻擊”。然而，云存儲中還存在許多安全技術(shù)瓶頸需要解決，如多用戶共享數(shù)據(jù)的權(quán)限問題、用戶數(shù)據(jù)審計權(quán)限分配問題、各種側(cè)信道攻擊、密鑰泄露等。這些問題對云存儲系統(tǒng)的安全性是一個新挑戰(zhàn)，對于密碼學(xué)也是一個新課題，需要深入細(xì)致研究，才能充分保障用戶云端數(shù)據(jù)的安全性。