無證書線性同態(tài)聚合簽名方案研究

茅 磊

（江蘇建筑職業(yè)技術學院信電工程學院，江蘇徐州 221116）

0 引言

隨著計算機和互聯(lián)網(wǎng)技術的不斷發(fā)展，大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等新興技術步入人們生活。云存儲是云計算在概念上的延伸與發(fā)展。云存儲是通過集群應用、網(wǎng)絡技術和分布式文件系統(tǒng)，將網(wǎng)絡中大量不同類型的存儲設備通過軟件集合到一起，共同對外提供數(shù)據(jù)存儲和業(yè)務訪問功能的一個系統(tǒng)。目前，云存儲已逐步實現(xiàn)商業(yè)化，走進了人們的日常生活中，國內(nèi)已涌現(xiàn)出一批云存儲服務提供商，如百度云、阿里云等。越來越多的企事業(yè)單位也習慣將數(shù)據(jù)搬至云端存儲，實現(xiàn)數(shù)據(jù)外包，不僅可以節(jié)約自身存儲空間，降低數(shù)據(jù)維護管理代價，還可以在任何時間、任何地點通過任何可接入互聯(lián)網(wǎng)的設備高效便捷地訪問云端數(shù)據(jù)。隨著云存儲的不斷商業(yè)化，云中數(shù)據(jù)完整性的保護越來越受到用戶關注。基于此，本文采用密碼學中的數(shù)字簽名技術，設計出一種適用于云存儲的高效安全文件完整性審計方案。

1 相關研究

數(shù)字簽名是公鑰密碼學的重要研究方向，其可對被簽名文件數(shù)據(jù)提供真實性、完整性以及不可否認性的技術服務。隨著研究的不斷深入，許多適用于不同使用環(huán)境的特殊數(shù)字簽名，如同態(tài)簽名、聚合簽名、無證書體制下的數(shù)字簽名等應運而生。這些數(shù)字簽名既有普通簽名的功能，也有自身獨有的特點，若將其有機組合并加以靈活使用，在云存儲環(huán)境中可起到事半功倍的效果。

1.1 同態(tài)簽名

同態(tài)簽名由Johnson 等提出。設數(shù)字簽名的消息空間

M

和簽名空間∑上的二元運算符分別為⊕和?，有兩個來自

M

和∑上的消息簽名對(

m

,

σ

)和(

m

,

σ

)，其中

σ

=

f

(

m

)，

σ

=

f

(

m

)，若簽名算法

f

是代數(shù)系統(tǒng)（

M

，⊕）到（∑，?）上的同態(tài)映射，則有

f

(

m

⊕

m

)=

f

(

m

)?

f

(

m

)=

σ

?

σ

成立。從這一點不難看出，同態(tài)簽名在一定程度上放寬了數(shù)字簽名的安全性。一般數(shù)字簽名方案在安全性上要求達到在適應性選擇消息下的存在性不可偽造，而同態(tài)簽名則要求在同一數(shù)據(jù)集中，各消息的簽名可以由其他已知的消息簽名導出，不必再使用復雜的簽名算法生成。但在該數(shù)據(jù)集外，即在不同數(shù)據(jù)集中的消息簽名不能由其他數(shù)據(jù)集中的消息簽名導出，只能由數(shù)字簽名算法生成。根據(jù)目前密碼學界的觀點，上述同態(tài)簽名可以分為線性同態(tài)簽名、多項式同態(tài)簽名以及全同態(tài)簽名3 類，以線性同態(tài)簽名使用最多最廣。線性同態(tài)簽名是針對一個線性子空間基中的各個向量進行簽名，是一種高效快捷的輕量級同態(tài)簽名方案。例如，Wu 等使用無證書線性同態(tài)簽名設計了一種抵抗網(wǎng)絡編碼污染的簽名方案，并探討了該方案在物聯(lián)網(wǎng)上的應用；Lin 等研究了標準模型下基于格的線性同態(tài)簽名方案，該方案具有較短的公鑰。同態(tài)簽名在云存儲中也可發(fā)揮重要作用。云存儲環(huán)境中生成的數(shù)據(jù)文件往往是動態(tài)增長的，如果采用普通數(shù)字簽名保證動態(tài)增長數(shù)據(jù)的完整性并實現(xiàn)數(shù)據(jù)的可公開驗證效果必然不理想。如圖1 所示，假設用戶

A

租用云服務器存儲自身每天產(chǎn)生的數(shù)據(jù)，第1 天用戶

A

產(chǎn)生數(shù)據(jù)塊

m

，第2 天產(chǎn)生的數(shù)據(jù)塊記為

m

，以此類推。如果采用一般的數(shù)字簽名保障數(shù)據(jù)的可公開驗證，該用戶需每天對產(chǎn)生的數(shù)據(jù)進行簽名，并將數(shù)據(jù)和簽名均存儲在云服務器上。而在驗證數(shù)據(jù)完整性時，又要從云服務器上依次下載這些數(shù)據(jù)及其對應的簽名。若需驗證3個數(shù)據(jù)塊的完整性，則要分別下載3個數(shù)據(jù)塊和3個簽名，并進行3 次驗證運算。采用同態(tài)簽名時，每產(chǎn)生一部分新數(shù)據(jù)就要使用簽名算法產(chǎn)生對應的簽名并將其存儲在云端，而驗證時又要下載所有數(shù)據(jù)塊及其對應的簽名，還要進行與數(shù)據(jù)塊相同數(shù)量級的驗證運算，勢必會在用戶端產(chǎn)生大量驗證運算，消耗更多云存儲空間，而且下載數(shù)據(jù)和簽名時也會占用更多網(wǎng)絡帶寬。

Fig.1 Using ordinary digital signature to verify data integrity圖1 使用普通數(shù)字簽名驗證數(shù)據(jù)完整性

1.2 聚合簽名

聚合簽名概念由Boneh 等于2003 年提出，旨在提高驗證大量單個簽名的效率。使用普通數(shù)字簽名方案進行簽名合法性驗證時，需要對每個簽名逐個驗證，在云存儲中進行數(shù)據(jù)審計時使用該種方案的繁瑣程度和運算存儲代價難以承受。如果采用聚合簽名，則可將來自不同用戶的數(shù)字簽名壓縮成一個簽名，驗證聚合后的簽名等同于驗證所有聚合前單個用戶的簽名。使用聚合簽名不僅可以保證云存儲中數(shù)據(jù)的完整性，還可實現(xiàn)在云端數(shù)據(jù)審計工作的公開批量驗證。隨著對聚合簽名研究的深入，Zhang 等發(fā)現(xiàn)了來自聚合簽名者內(nèi)部的合謀攻擊，并在此基礎上提出新的聚合簽名安全模型，認為當且僅當每個被聚合的單個簽名是合法簽名時，最后的聚合簽名才是合法的；曹素珍等提出無證書高效聚合簽名方案，雖然效率較高，但仍不能抵抗合謀攻擊；吳戈設計了能抵抗合謀攻擊的基于身份與無證書的聚合簽名。

1.3 無證書密碼體制

無證書密碼體制是Al-Riyami 等針對身份密碼體制的不足所提出的改進方案。基于身份的密碼體制往往需要假定密鑰生成中心完全可信，這是由于用戶密鑰完全掌握在密鑰生成中心（KGC）手中。但在云存儲中通常認為云服務器是不可靠的，云服務商存在有意無意損害用戶存儲在云端數(shù)據(jù)的行為（如不可抗的自然災害、云服務器本身的物理損害、黑客攻擊等）。如果使用基于身份的數(shù)字簽名，當用戶數(shù)據(jù)發(fā)生損壞時，云服務商可能會使用身份系統(tǒng)中的用戶完整私鑰逃避責任，這是由于云服務商掌握用戶的簽名私鑰，當發(fā)生數(shù)據(jù)損壞時，“不誠實”的云存儲服務商可能會使用用戶簽名私鑰對損壞后的數(shù)據(jù)重新簽名，而用戶卻全然不知。無證書密碼系統(tǒng)不僅可以方便地搭建在云存儲服務系統(tǒng)中，還能克服身份密碼系統(tǒng)中密鑰管理中心權利過于集中的缺點。

2 方案設計思路

上述3 種密碼學技術各有所長：無證書密碼體制可以保障用戶簽名私鑰的安全，抵抗不誠實的KGC；同態(tài)簽名可以壓縮同一數(shù)據(jù)集內(nèi)部動態(tài)增長的各數(shù)據(jù)簽名；聚合簽名可以將不同數(shù)據(jù)集中的數(shù)字簽名進一步壓縮。因此，本文結(jié)合以上3 種技術設計出一種適用于云存儲中數(shù)據(jù)審計的無證書線性同態(tài)聚合簽名。

如圖1 所示，首先將無證書密碼體制搭建在云存儲系統(tǒng)上，由云服務商生成無證書密碼系統(tǒng)的相關參數(shù)，并產(chǎn)生用戶簽名時的部分私鑰。將私鑰通過安全信道傳送給用戶，用戶自己生成并掌握簽名的秘密值。用戶的簽名完整私鑰由部分私鑰和秘密值組成，除用戶以外，沒有任何人再能掌握完整的簽名私鑰。因此，將無證書密碼體制部署在云存儲系統(tǒng)中可避免云服務商逃避責任。

Fig.2 Deploying certificateless system on cloud server圖2 在云服務器上部署無證書系統(tǒng)

Fig.3 Using homomorphic signature to verify data integrity圖3 使用同態(tài)簽名驗證數(shù)據(jù)完整性

最后，基于聚合簽名的特點，將來自不同數(shù)據(jù)集的同態(tài)簽名進一步聚合壓縮。將同態(tài)簽名與聚合簽名結(jié)合起來形成同態(tài)聚合簽名，可解決在云存儲中多方數(shù)據(jù)公開批驗證的問題。如圖4 所示，假設需要驗證N個用戶數(shù)據(jù)，只需使用聚合簽名算法

Aggregate

將這N個用戶數(shù)據(jù)生成的同態(tài)組合簽名聚合成一個簽名然后驗證一次即可。因此，使用無證書線性同態(tài)聚合簽名可以在保障云存儲中數(shù)據(jù)塊完整的前提下減少簽名驗證次數(shù)，提高審計效率。

Fig.4 Multi user data integrity verification using aggregate signature圖4 使用聚合簽名驗證多用戶數(shù)據(jù)完整性

3 無證書線性同態(tài)聚合簽名的形式化定義

無證書線性同態(tài)聚合簽名系統(tǒng)由以下9個概率多項式算法組成，分別為：

（1）

Setup

：密鑰生成中心（KGC）輸入為系統(tǒng)的安全參數(shù)1，產(chǎn)生系統(tǒng)的公開參數(shù)params 和系統(tǒng)主私鑰msk。（2）

PartialPrivateKeyExtract

：輸入用戶身份ID，KGC 生成身份為ID 用戶的部分私鑰

D

。（3）

ProduceSecretValue

：用戶運行生成秘密值

r

。（4）

ProducePublicKey

：用戶運行生成公鑰

PK

。

4 無證書線性同態(tài)聚合簽名的安全模型

聚合簽名的作用是將若干簽名者生成的單個簽名壓縮成一個簽名，因此只有當每個參與聚合的無證書線性同態(tài)簽名合法時，生成的無證書同態(tài)聚合簽名才合法。無證書同態(tài)聚合簽名的特性可分為無證書同態(tài)簽名方案的安全性和聚合算法的安全性兩部分。

4.1 無證書同態(tài)簽名的安全模型

對于無證書密碼體制的安全模型而言，一般有兩類攻擊者：第一類攻擊者可以替換系統(tǒng)的公鑰，但不能訪問主私鑰；第二類攻擊者則可以訪問主私鑰，但不能替換系統(tǒng)的公鑰，通常又被稱為“誠實而又好奇”的攻擊者。同態(tài)簽名的基本安全性要求為在適應性選擇數(shù)據(jù)集下的存在性不可偽造，因此無證書同態(tài)簽名方案在適應性選擇身份、適應性選擇數(shù)據(jù)集下存在性不可偽造的安全模型可以通過挑戰(zhàn)者C 和攻擊者（A或A）之間的游戲來刻畫。

4.1.1 游戲1（第一類攻擊者A）

（1）系統(tǒng)建立。挑戰(zhàn)者C 獲得系統(tǒng)的安全參數(shù)1后，生成公開參數(shù)

params

、系統(tǒng)主私鑰

msk

、保密主私鑰

msk

，將公開參數(shù)

params

發(fā)送給攻擊者A。（2）詢問。攻擊者A可向挑戰(zhàn)者C 進行創(chuàng)建用戶詢問（CU）、部分私鑰提取詢問（PPK）、秘密值詢問（SVK）、公鑰詢問（PK）、替換用戶公鑰詢問（PKR）、簽名詢問（Sign）。挑戰(zhàn)者C 需要模擬隨機預言器，給出上述方案中各算法的正確回答。在簽名詢問時，挑戰(zhàn)者C 要模擬超級簽名預言器，即攻擊者A只提供用戶身份

ID

和消息向量

m

，而不提供替換公鑰后對應的秘密值，挑戰(zhàn)者C 需要產(chǎn)生當前用戶公鑰（一般是被A替換后的公鑰）下該數(shù)據(jù)集中消息向量

m

的合法簽名

σ

，并發(fā)送給攻擊者A。（3）偽造輸出。攻擊者A輸出一個偽造（ID*，pk，τ*，m*，

σ

*），在以下情況成立時攻擊者A在游戲中獲勝：①

σ

*是在挑戰(zhàn)身份ID*和對應公鑰pk下，由τ*標記的數(shù)據(jù)集中消息m*的合法簽名；②攻擊者A沒有詢問過挑戰(zhàn)身份ID*的部分私鑰；③

τ

* ≠

τ

，即攻擊者A沒有詢問過身份為ID*、公鑰pk下由

τ

*標記的數(shù)據(jù)集m*上消息的簽名。

4.1.2 游戲2（第二類攻擊者A）

（1）系統(tǒng)建立。

C

獲得系統(tǒng)的安全參數(shù)1后，生成公開參數(shù)

params

、系統(tǒng)主私鑰

msk

、保密主私鑰

msk

，將公開參數(shù)

params

發(fā)送給攻擊者A。（2）詢問。攻擊者A可向挑戰(zhàn)者C 進行創(chuàng)建用戶詢問（

CU

）、秘密值詢問（

SVK

）、公鑰詢問（

PK

）、替換用戶公鑰詢問（

PKR

）以及簽名詢問（

Sign

）。挑戰(zhàn)者C 需要模擬隨機預言器，給出上述方案中各算法的正確回答。在簽名詢問時，挑戰(zhàn)者C 仍然要模擬超級簽名預言器。（3）偽造輸出。攻擊者A輸出一個偽造（ID*，pk，τ*，η*，

σ

*，f*），在以下情況成立時A贏得游戲2：①

σ

*是在挑戰(zhàn)身份ID*和相應的公鑰pk下，由τ*標記的數(shù)據(jù)集中消息m*的合法簽名；②

τ

* ≠

τ

，即A沒有詢問過身份為ID*、公鑰pk下由τ*標記的數(shù)據(jù)集m*上消息的簽名；③A沒有詢問過挑戰(zhàn)身份ID*對應的秘密值；④A沒有替換過挑戰(zhàn)身份對應的公鑰。將攻擊者在上述兩個游戲中獲勝的概率稱為攻擊者的優(yōu)勢。無證書同態(tài)簽名方案在超級攻擊者適應性選擇身份、適應性選擇數(shù)據(jù)集攻擊下是存在性不可偽造（

EUFCLHS-ID-CDA

）的，任何概率多項式時間內(nèi)的超級攻擊者贏得兩個游戲的優(yōu)勢是可以忽略的。

4.2 聚合算法的安全模型

張一名提出一種來源于聚合簽名者內(nèi)部的合謀攻擊，其認為聚合簽名安全模型中攻擊者的能力有限，并在原基礎上將攻擊者的攻擊目標修改為攻擊者使用一系列單個簽名偽造一個合法的聚合簽名，在這些單個簽名中包含至少一個非法簽名。因此，聚合算法的安全模型可描述為：

（1）系統(tǒng)建立。挑戰(zhàn)者獲得安全參數(shù)后生成系統(tǒng)的各項參數(shù)

params

，以及驗證聚合簽名的公私鑰對，然后將公鑰

PK

和參數(shù)發(fā)送給攻擊者。（2）詢問階段（

Query

）。詢問階段包括私鑰詢問（

SKRQ

）和聚合驗證詢問（

AVRQ

）兩種。私鑰詢問為當攻擊者進行私鑰詢問時，挑戰(zhàn)者根據(jù)具體用戶的ID 運行部分私鑰提取算法和秘密值設置算法，將用戶ID 的私鑰返回給攻擊者；聚合驗證詢問為當攻擊者進行聚合驗證詢問時，挑戰(zhàn)者通過運行聚合簽名驗證算法，回答攻擊者所給的聚合簽名是否合法。

（3）偽造輸出。攻擊者輸出一個偽造（待聚合的消息，最后的聚合簽名），如果滿足以下條件，則認為攻擊者在上述游戲中獲勝：①攻擊者輸出的最后聚合簽名是合法的；②在攻擊者進行聚合的單個簽名序列中，至少有一個簽名是非法的。

從上述模型可以看出，攻擊者在游戲中獲勝實際上是使用一系列不完全合法的單個簽名產(chǎn)生了一個合法的聚合簽名。一個無證書同態(tài)聚合簽名方案對于上述攻擊者是安全的，在任何概率多項式時間內(nèi)偽造最多

n

個用戶聚合簽名的超級攻擊者在上述游戲中獲勝的優(yōu)勢是可以忽略的。

5 無證書線性同態(tài)聚合簽名方案

5.1 無證書同態(tài)聚合簽名算法描述

（4）Produce-Public-Key：輸入身份

ID

和秘密值

x

，產(chǎn)生用戶的公鑰

PK

=

g

。

式中，k=1，2，…，

l

。如果

t

=

t

'，則該算法輸出1，否則輸出0。

5.2 無證書線性同態(tài)聚合簽名的安全性

無證書線性同態(tài)聚合簽名的安全性證明可分為兩部分。

（1）本文省略無證書線性同態(tài)簽名方案在適應性選擇身份、適應性選擇數(shù)據(jù)集中含有超級攻擊者的證明方法，具體證明過程可參考文獻［20］。

另一方面，

t

=

t

'成立，可得：

6 無證書線性同態(tài)聚合簽名方案性能實驗

在仿真實驗過程中使用文獻［20］的無證書線性同態(tài)簽名方案（CLLHS）作為比較對象，對本文提出的無證書同態(tài)聚合簽名方案的性能進行驗證。對5 組實驗中數(shù)據(jù)的完整性進行比較，結(jié)果如表1、圖5 所示。

Table 1 Comparison of signature scheme simulation experimental data表1 簽名方案仿真實驗數(shù)據(jù)比較 單位：s

可以看出，無證書線性同態(tài)聚合簽名方案在驗證大量文件的完整性時所花費的時間遠小于CLLHS。當驗證數(shù)據(jù)塊達到50個時，其驗證速度較CLLHS 提高了近10 倍。原因在于對N個用戶或?qū)徲嬚哌M行數(shù)據(jù)完整性公開驗證時，如果使用CLLHS，則需要獲得所有用戶數(shù)據(jù)塊的簽名，并對簽名逐一驗證。隨著待驗證文件數(shù)據(jù)塊個數(shù)的不斷增加，用戶在驗證時的計算代價也會越來越大。而使用無證書線性同態(tài)聚合簽名方案可極大減少驗證時的計算代價。當用戶或?qū)徲嬚呦腧炞CN個用戶文件時，只需將每個用戶數(shù)據(jù)對應的同態(tài)組合簽名進行聚合，然后驗證聚合簽名的合法性即可。通過驗證一個同態(tài)聚合簽名是否有效，便可判定N個用戶文件數(shù)據(jù)塊是否保存完好。由此可見，使用無證書線性同態(tài)聚合簽名方案對大量數(shù)據(jù)的完整性進行驗證時，計算代價不隨驗證文件數(shù)據(jù)塊數(shù)量的增加而顯著增大，簽名驗證效率大大提高。

Fig.5 Comparison between CLLHS and scheme of this paper圖5 CLLHS 方案與本文方案性能比較

7 結(jié)語

本文提出一種安全高效的無證書線性同態(tài)聚合簽名方案，并給出了方案的安全證明。結(jié)果表明，該方案可以抵抗來自聚合簽名者內(nèi)部的“合謀攻擊”。然而，云存儲中還存在許多安全技術瓶頸需要解決，如多用戶共享數(shù)據(jù)的權限問題、用戶數(shù)據(jù)審計權限分配問題、各種側(cè)信道攻擊、密鑰泄露等。這些問題對云存儲系統(tǒng)的安全性是一個新挑戰(zhàn)，對于密碼學也是一個新課題，需要深入細致研究，才能充分保障用戶云端數(shù)據(jù)的安全性。