基于商密SM9的属性基在线_离线签名方案_朱留富.pdf

基于商密 SM9 的属性基在线/离线签名方案朱留富1李继国1,2赖建昌3黄欣沂4张亦辰1,21（福建师范大学计算机与网络空间安全学院福州350117）2（福建省网络安全与密码技术重点实验室（福建师范大学）福州350007）3（东南大学网络空间安全学院南京211189）4（香港科技大学（广州）信息枢纽广州511458）（）Attribute-Based Online/Offline Signature Scheme Based on SM9ZhuLiufu1,LiJiguo1,2,LaiJianchang3,HuangXinyi4,andZhangYichen1,21（College of Computer and Cyber Security,Fujian Normal University,Fuzhou 350117）2（Fujian Provincial Key Laboratory of Network Security and Cryptology(Fujian Normal University),Fuzhou 350007）3（School of Cyber Science and Engineering,Southeast University,Nanjing 211189）4（Information Hub,Hong Kong University of Science and Technology(Guangzhou),Guangzhou 511458）AbstractTheattribute-basedsignature(ABS)schemeusesasetofattributestoidentifyusers.Theusercangenerateavalidsignatureonlywhentheattributessatisfytheaccesspolicy.Comparedwiththetraditionaldigitalsignaturescheme,theABSschemenotonlyutilizesasetofattributestohidetherealidentityofuserstoobtainanonymity,butalsorealizesfine-grainedaccesscontrolbyaccesspolicy.InABSschemesbasedonellipticcurve,alargenumberofgroupexponentiationoperationsorpairingoperationsareusuallyrequired,whicharecomputationallyexpensive,resultinginhighcomputationaloverheadinthesignatureprocess.Theonline/offlinesignaturetechnologycanpre-compute expensive operations offline before knowing message,thereby reducing the online computing cost oflightweightdevices.AsacommercialcipherindependentlydesignedbyChina,theSM9identity-basedcryptographicalgorithmhasbeenstandardizedbyISO/IECandiswidelyused.BasedontheSM9identity-basedcryptographicalgorithm,weproposeanattribute-basedonline/offlinesignature(ABOOS)schemebasedontheSM9byusingtheonline/offlinesignaturetechnologyinthispaper.Notonlyine-grainedaccesscontrolcanbeachieved,butalsoitissuitableforlightweightdevices.Intherandomoraclemodel,thesecurityoftheproposedschemeisreducedtotheq-strong Diffie-Hellman(q-SDH)hard problem.Theoretical analysis and experimental simulation show that theproposedschemeeffectivelyreducesthecomputationalcostofthesigningprocess,andissuitableforapplicationenvironmentssuchastheinternetofthings.Key wordsSM9；online/offlinesignature；attribute-basedsignature；randomoraclemodel；q-SDHproblem摘要属性基签名（attribute-basedsignature,ABS）方案利用属性集标识用户.只有当属性集满足访问策略时用户才能产生有效签名.与传统数字签名方案相比，属性基签名方案不仅利用属性集隐藏用户的真实身份从而获得匿名性，而且通过制定访问策略实现了细粒度访问控制.在基于椭圆曲线的属性基签名方案中通常需要使用大量的群指数运算或配对操作，这些操作计算代价高昂，导致签名过程计算开销较收稿日期：20220611；修回日期：20220909基金项目：国家自然科学基金项目（62072104,61972095,U21A20465,62032005,61902191）；福建省自然科学基金项目（2020J01159）ThisworkwassupportedbytheNationalNaturalScienceFoundationofChina(62072104,61972095,U21A20465,62032005,61902191)andtheNaturalScienceFoundationofFujianProvince(2020J01159).通信作者：李继国（）计 算 机 研 究 与 发 展DOI：10.7544/issn1000-1239.202220530JournalofComputerResearchandDevelopment60（2）：362370，2023大.在线/离线签名技术可以在未知消息之前将高昂的操作通过离线预计算，从而降低了轻量级设备在线计算代价.SM9标识密码算法作为我国自主设计的商用密码，已由 ISO/IEC 标准化并被广泛使用.以商密SM9标识密码算法为基础，利用在线/离线签名技术，构造了一种基于商密 SM9 的属性基在线/离线签名（attribute-basedonline/offlinesignature,ABOOS）方案.不仅可以实现细粒度访问控制，同时也适用于轻量级设备.在随机谕言机模型下，方案的安全性可以规约到 q-SDH（q-strongDiffie-Hellman）困难问题.理论分析和实验仿真表明提出的方案有效降低了签名阶段的计算代价，适用于物联网等应用环境.关键词SM9；在线/离线签名；属性基签名；随机谕言机模型；q-SDH 问题中图法分类号TP391物联网技术的发展和普及使得现代生活环境更加友好和便捷，对人们的生活方式产生了重要影响.物联网将电子设备与互联网连接，能够使互联网连接对象使用嵌入式传感器、射频识别、激光扫描器等信息传感设备进行数据的采集和交换.通过网络接入，实现物与物、物与人的连接，从而达到智能化感知、识别和管理.由于采用无线网络通信，使得物联网更容易遭受各种攻击.身份认证技术能避免非授权用户非法访问数据，为物联网数据提供了可靠的安全保障.数字签名能提供数据的完整性和真实性，并且可以实现签名者身份认证功能.在签名时通常涉及椭圆曲线群中的指数运算或配对运算，这些运算往往计算代价高昂，使得轻量级设备无法承受.在线/离线签名（online/offlinesignature,OOS）1方案将签名过程分为在线和离线部分，在未知消息之前，通过将高昂的计算分配给离线阶段而仅保留一些轻量级计算给在线阶段的方式，使得原本无法部署在轻量级设备的签名方案也能适用于物联网环境.传统的公钥密码体制不具有细粒度访问控制功能.为了解决这一问题，2005 年，Sahai 等人2提出模糊身份加密方案，定义了属性基密码概念.在属性基加密方案3-5中，用户的身份由一个属性集表示，密文或者密钥与一个访问策略相关联，当用户的属性满足指定的访问策略时，用户可以成功解密密文.属性基加密体制不仅实现了细粒度访问控制而且具有一对多加密功能，可以很好地解决云计算中的访问控制、数据安全和隐私保护等关键技术问题，得到了国内外学术界和工业界的高度重视.过去，国内商用密码方案大都是基于国外的密码技术标准，不符合国家网络空间安全自主可控的发展战略.SM96是中国商用标识密码标准，包含数字签名、加密、密钥交换和密钥封装.2018 年，SM9标识签名算法已被采纳为国际标准 ISO/IEC 的一部分，并于 2020 年成为中国国家标准 GM/T38635.22020.2020 年，SM9标识算法成为国际标准.由于 SM9标识密码算法是通过椭圆曲线上的配对运算实现的，因此高昂的计算代价成为了其在轻量级设备中应用的瓶颈.同时，原始的 SM9标识密码算法无法高效地实现 1 对多的数据共享和访问控制功能.综上所述，如何将SM9标识密码算法应用于轻量级设备和实现 1 对多的数据共享和访问控制是亟待解决并具有挑战的研究方向.1相关工作属性基密码主要包括属性基加密和属性基签名.在属性基加密方案中，根据访问策略部署的位置不同可分为密文策略7-9和密钥策略10的属性基加密.密文策略的属性基加密方案中，访问策略与密文关联，属性集与密钥关联.当属性集满足密文中的访问策略时，用户可以正确解密.在密钥策略的属性基加密方案中，访问策略与密钥关联，属性集嵌入在密文中，当且仅当密文中的属性集满足密钥中的访问策略时，用户可以正确解密.属性基加密方案提供了数据的细粒度访问控制功能并且实现了保密性，但无法提供数据完整性和认证性.2011 年，Maji 等人11提出了属性基签名方案，实现了细粒度访问控制并能够确保数据的完整性和认 证 性，在 一 般 群 模 型 中 证 明 了 方 案 的 安 全 性.2012 年，Okamoto 等人12提出支持非单调访问策略的高效属性基签名（attribute-basedsignature,ABS）方案，并在标准模型下给出了方案的安全性证明.在文献 1112 中，签名过程需要使用群中的指数运算和配对运算，这些计算代价高昂，使得方案无法适用于轻量级设备.为了降低签名算法中高昂的计算代价，1989 年，Even 等人1提出在线/离线签名方案，在线/离线签名通过将签名算法分为在线、离线阶段，在知道签名消息之前，将高昂的计算在离线阶段完成.而在在线阶段运行一些轻量级计算.2010 年，Liu 等人13提出基于身份的在线/离线签名方案，并给出了方案朱留富等：基于商密 SM9 的属性基在线/离线签名方案363的安全性证明.为了解决文献 13 中密钥托管问题，2017 年，Liu 等人14基于无证书思想提出无密钥托管的身份基在线/离线签名方案.基于身份的在线/离线签名方案虽然降低了在线签名的计算代价，但无法实现访问控制和用户身份隐私保护.为了解决上述问题，Rao15在 2017 年提出了属性基在线/离线签密方案，利用属性集代替用户身份，只有当用户属性集满足访问策略时才能产生有效签名.为了降低签名客户端的计算代价，张应辉等人16提出可验证的服务 器 辅 助 属 性 基 签 名 方