無(wú)證書(shū)線性同態(tài)聚合簽名方案研究

茅 磊

（江蘇建筑職業(yè)技術(shù)學(xué)院信電工程學(xué)院，江蘇徐州 221116）

0 引言

隨著計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等新興技術(shù)步入人們生活。云存儲(chǔ)是云計(jì)算在概念上的延伸與發(fā)展。云存儲(chǔ)是通過(guò)集群應(yīng)用、網(wǎng)絡(luò)技術(shù)和分布式文件系統(tǒng)，將網(wǎng)絡(luò)中大量不同類(lèi)型的存儲(chǔ)設(shè)備通過(guò)軟件集合到一起，共同對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問(wèn)功能的一個(gè)系統(tǒng)。目前，云存儲(chǔ)已逐步實(shí)現(xiàn)商業(yè)化，走進(jìn)了人們的日常生活中，國(guó)內(nèi)已涌現(xiàn)出一批云存儲(chǔ)服務(wù)提供商，如百度云、阿里云等。越來(lái)越多的企事業(yè)單位也習(xí)慣將數(shù)據(jù)搬至云端存儲(chǔ)，實(shí)現(xiàn)數(shù)據(jù)外包，不僅可以節(jié)約自身存儲(chǔ)空間，降低數(shù)據(jù)維護(hù)管理代價(jià)，還可以在任何時(shí)間、任何地點(diǎn)通過(guò)任何可接入互聯(lián)網(wǎng)的設(shè)備高效便捷地訪問(wèn)云端數(shù)據(jù)。隨著云存儲(chǔ)的不斷商業(yè)化，云中數(shù)據(jù)完整性的保護(hù)越來(lái)越受到用戶(hù)關(guān)注。基于此，本文采用密碼學(xué)中的數(shù)字簽名技術(shù)，設(shè)計(jì)出一種適用于云存儲(chǔ)的高效安全文件完整性審計(jì)方案。

1 相關(guān)研究

數(shù)字簽名是公鑰密碼學(xué)的重要研究方向，其可對(duì)被簽名文件數(shù)據(jù)提供真實(shí)性、完整性以及不可否認(rèn)性的技術(shù)服務(wù)。隨著研究的不斷深入，許多適用于不同使用環(huán)境的特殊數(shù)字簽名，如同態(tài)簽名、聚合簽名、無(wú)證書(shū)體制下的數(shù)字簽名等應(yīng)運(yùn)而生。這些數(shù)字簽名既有普通簽名的功能，也有自身獨(dú)有的特點(diǎn)，若將其有機(jī)組合并加以靈活使用，在云存儲(chǔ)環(huán)境中可起到事半功倍的效果。

1.1 同態(tài)簽名

同態(tài)簽名由Johnson 等提出。設(shè)數(shù)字簽名的消息空間

M

和簽名空間∑上的二元運(yùn)算符分別為⊕和?，有兩個(gè)來(lái)自

M

和∑上的消息簽名對(duì)(

m

,

σ

)和(

m

,

σ

)，其中

σ

=

f

(

m

)，

σ

=

f

(

m

)，若簽名算法

f

是代數(shù)系統(tǒng)（

M

，⊕）到（∑，?）上的同態(tài)映射，則有

f

(

m

⊕

m

)=

f

(

m

)?

f

(

m

)=

σ

?

σ

成立。從這一點(diǎn)不難看出，同態(tài)簽名在一定程度上放寬了數(shù)字簽名的安全性。一般數(shù)字簽名方案在安全性上要求達(dá)到在適應(yīng)性選擇消息下的存在性不可偽造，而同態(tài)簽名則要求在同一數(shù)據(jù)集中，各消息的簽名可以由其他已知的消息簽名導(dǎo)出，不必再使用復(fù)雜的簽名算法生成。但在該數(shù)據(jù)集外，即在不同數(shù)據(jù)集中的消息簽名不能由其他數(shù)據(jù)集中的消息簽名導(dǎo)出，只能由數(shù)字簽名算法生成。根據(jù)目前密碼學(xué)界的觀點(diǎn)，上述同態(tài)簽名可以分為線性同態(tài)簽名、多項(xiàng)式同態(tài)簽名以及全同態(tài)簽名3 類(lèi)，以線性同態(tài)簽名使用最多最廣。線性同態(tài)簽名是針對(duì)一個(gè)線性子空間基中的各個(gè)向量進(jìn)行簽名，是一種高效快捷的輕量級(jí)同態(tài)簽名方案。例如，Wu 等使用無(wú)證書(shū)線性同態(tài)簽名設(shè)計(jì)了一種抵抗網(wǎng)絡(luò)編碼污染的簽名方案，并探討了該方案在物聯(lián)網(wǎng)上的應(yīng)用；Lin 等研究了標(biāo)準(zhǔn)模型下基于格的線性同態(tài)簽名方案，該方案具有較短的公鑰。同態(tài)簽名在云存儲(chǔ)中也可發(fā)揮重要作用。云存儲(chǔ)環(huán)境中生成的數(shù)據(jù)文件往往是動(dòng)態(tài)增長(zhǎng)的，如果采用普通數(shù)字簽名保證動(dòng)態(tài)增長(zhǎng)數(shù)據(jù)的完整性并實(shí)現(xiàn)數(shù)據(jù)的可公開(kāi)驗(yàn)證效果必然不理想。如圖1 所示，假設(shè)用戶(hù)

A

租用云服務(wù)器存儲(chǔ)自身每天產(chǎn)生的數(shù)據(jù)，第1 天用戶(hù)

A

產(chǎn)生數(shù)據(jù)塊

m

，第2 天產(chǎn)生的數(shù)據(jù)塊記為

m

，以此類(lèi)推。如果采用一般的數(shù)字簽名保障數(shù)據(jù)的可公開(kāi)驗(yàn)證，該用戶(hù)需每天對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行簽名，并將數(shù)據(jù)和簽名均存儲(chǔ)在云服務(wù)器上。而在驗(yàn)證數(shù)據(jù)完整性時(shí)，又要從云服務(wù)器上依次下載這些數(shù)據(jù)及其對(duì)應(yīng)的簽名。若需驗(yàn)證3個(gè)數(shù)據(jù)塊的完整性，則要分別下載3個(gè)數(shù)據(jù)塊和3個(gè)簽名，并進(jìn)行3 次驗(yàn)證運(yùn)算。采用同態(tài)簽名時(shí)，每產(chǎn)生一部分新數(shù)據(jù)就要使用簽名算法產(chǎn)生對(duì)應(yīng)的簽名并將其存儲(chǔ)在云端，而驗(yàn)證時(shí)又要下載所有數(shù)據(jù)塊及其對(duì)應(yīng)的簽名，還要進(jìn)行與數(shù)據(jù)塊相同數(shù)量級(jí)的驗(yàn)證運(yùn)算，勢(shì)必會(huì)在用戶(hù)端產(chǎn)生大量驗(yàn)證運(yùn)算，消耗更多云存儲(chǔ)空間，而且下載數(shù)據(jù)和簽名時(shí)也會(huì)占用更多網(wǎng)絡(luò)帶寬。

Fig.1 Using ordinary digital signature to verify data integrity圖1 使用普通數(shù)字簽名驗(yàn)證數(shù)據(jù)完整性

1.2 聚合簽名

聚合簽名概念由Boneh 等于2003 年提出，旨在提高驗(yàn)證大量單個(gè)簽名的效率。使用普通數(shù)字簽名方案進(jìn)行簽名合法性驗(yàn)證時(shí)，需要對(duì)每個(gè)簽名逐個(gè)驗(yàn)證，在云存儲(chǔ)中進(jìn)行數(shù)據(jù)審計(jì)時(shí)使用該種方案的繁瑣程度和運(yùn)算存儲(chǔ)代價(jià)難以承受。如果采用聚合簽名，則可將來(lái)自不同用戶(hù)的數(shù)字簽名壓縮成一個(gè)簽名，驗(yàn)證聚合后的簽名等同于驗(yàn)證所有聚合前單個(gè)用戶(hù)的簽名。使用聚合簽名不僅可以保證云存儲(chǔ)中數(shù)據(jù)的完整性，還可實(shí)現(xiàn)在云端數(shù)據(jù)審計(jì)工作的公開(kāi)批量驗(yàn)證。隨著對(duì)聚合簽名研究的深入，Zhang 等發(fā)現(xiàn)了來(lái)自聚合簽名者內(nèi)部的合謀攻擊，并在此基礎(chǔ)上提出新的聚合簽名安全模型，認(rèn)為當(dāng)且僅當(dāng)每個(gè)被聚合的單個(gè)簽名是合法簽名時(shí)，最后的聚合簽名才是合法的；曹素珍等提出無(wú)證書(shū)高效聚合簽名方案，雖然效率較高，但仍不能抵抗合謀攻擊；吳戈設(shè)計(jì)了能抵抗合謀攻擊的基于身份與無(wú)證書(shū)的聚合簽名。

1.3 無(wú)證書(shū)密碼體制

無(wú)證書(shū)密碼體制是Al-Riyami 等針對(duì)身份密碼體制的不足所提出的改進(jìn)方案?；谏矸莸拿艽a體制往往需要假定密鑰生成中心完全可信，這是由于用戶(hù)密鑰完全掌握在密鑰生成中心（KGC）手中。但在云存儲(chǔ)中通常認(rèn)為云服務(wù)器是不可靠的，云服務(wù)商存在有意無(wú)意損害用戶(hù)存儲(chǔ)在云端數(shù)據(jù)的行為（如不可抗的自然災(zāi)害、云服務(wù)器本身的物理?yè)p害、黑客攻擊等）。如果使用基于身份的數(shù)字簽名，當(dāng)用戶(hù)數(shù)據(jù)發(fā)生損壞時(shí)，云服務(wù)商可能會(huì)使用身份系統(tǒng)中的用戶(hù)完整私鑰逃避責(zé)任，這是由于云服務(wù)商掌握用戶(hù)的簽名私鑰，當(dāng)發(fā)生數(shù)據(jù)損壞時(shí)，“不誠(chéng)實(shí)”的云存儲(chǔ)服務(wù)商可能會(huì)使用用戶(hù)簽名私鑰對(duì)損壞后的數(shù)據(jù)重新簽名，而用戶(hù)卻全然不知。無(wú)證書(shū)密碼系統(tǒng)不僅可以方便地搭建在云存儲(chǔ)服務(wù)系統(tǒng)中，還能克服身份密碼系統(tǒng)中密鑰管理中心權(quán)利過(guò)于集中的缺點(diǎn)。

2 方案設(shè)計(jì)思路

上述3 種密碼學(xué)技術(shù)各有所長(zhǎng)：無(wú)證書(shū)密碼體制可以保障用戶(hù)簽名私鑰的安全，抵抗不誠(chéng)實(shí)的KGC；同態(tài)簽名可以壓縮同一數(shù)據(jù)集內(nèi)部動(dòng)態(tài)增長(zhǎng)的各數(shù)據(jù)簽名；聚合簽名可以將不同數(shù)據(jù)集中的數(shù)字簽名進(jìn)一步壓縮。因此，本文結(jié)合以上3 種技術(shù)設(shè)計(jì)出一種適用于云存儲(chǔ)中數(shù)據(jù)審計(jì)的無(wú)證書(shū)線性同態(tài)聚合簽名。

如圖1 所示，首先將無(wú)證書(shū)密碼體制搭建在云存儲(chǔ)系統(tǒng)上，由云服務(wù)商生成無(wú)證書(shū)密碼系統(tǒng)的相關(guān)參數(shù)，并產(chǎn)生用戶(hù)簽名時(shí)的部分私鑰。將私鑰通過(guò)安全信道傳送給用戶(hù)，用戶(hù)自己生成并掌握簽名的秘密值。用戶(hù)的簽名完整私鑰由部分私鑰和秘密值組成，除用戶(hù)以外，沒(méi)有任何人再能掌握完整的簽名私鑰。因此，將無(wú)證書(shū)密碼體制部署在云存儲(chǔ)系統(tǒng)中可避免云服務(wù)商逃避責(zé)任。

Fig.2 Deploying certificateless system on cloud server圖2 在云服務(wù)器上部署無(wú)證書(shū)系統(tǒng)

Fig.3 Using homomorphic signature to verify data integrity圖3 使用同態(tài)簽名驗(yàn)證數(shù)據(jù)完整性

最后，基于聚合簽名的特點(diǎn)，將來(lái)自不同數(shù)據(jù)集的同態(tài)簽名進(jìn)一步聚合壓縮。將同態(tài)簽名與聚合簽名結(jié)合起來(lái)形成同態(tài)聚合簽名，可解決在云存儲(chǔ)中多方數(shù)據(jù)公開(kāi)批驗(yàn)證的問(wèn)題。如圖4 所示，假設(shè)需要驗(yàn)證N個(gè)用戶(hù)數(shù)據(jù)，只需使用聚合簽名算法

Aggregate

將這N個(gè)用戶(hù)數(shù)據(jù)生成的同態(tài)組合簽名聚合成一個(gè)簽名然后驗(yàn)證一次即可。因此，使用無(wú)證書(shū)線性同態(tài)聚合簽名可以在保障云存儲(chǔ)中數(shù)據(jù)塊完整的前提下減少簽名驗(yàn)證次數(shù)，提高審計(jì)效率。

Fig.4 Multi user data integrity verification using aggregate signature圖4 使用聚合簽名驗(yàn)證多用戶(hù)數(shù)據(jù)完整性

3 無(wú)證書(shū)線性同態(tài)聚合簽名的形式化定義

無(wú)證書(shū)線性同態(tài)聚合簽名系統(tǒng)由以下9個(gè)概率多項(xiàng)式算法組成，分別為：

（1）

Setup

：密鑰生成中心（KGC）輸入為系統(tǒng)的安全參數(shù)1，產(chǎn)生系統(tǒng)的公開(kāi)參數(shù)params 和系統(tǒng)主私鑰msk。（2）

PartialPrivateKeyExtract

：輸入用戶(hù)身份ID，KGC 生成身份為ID 用戶(hù)的部分私鑰

D

。（3）

ProduceSecretValue

：用戶(hù)運(yùn)行生成秘密值

r

。（4）

ProducePublicKey

：用戶(hù)運(yùn)行生成公鑰

PK

。

4 無(wú)證書(shū)線性同態(tài)聚合簽名的安全模型

聚合簽名的作用是將若干簽名者生成的單個(gè)簽名壓縮成一個(gè)簽名，因此只有當(dāng)每個(gè)參與聚合的無(wú)證書(shū)線性同態(tài)簽名合法時(shí)，生成的無(wú)證書(shū)同態(tài)聚合簽名才合法。無(wú)證書(shū)同態(tài)聚合簽名的特性可分為無(wú)證書(shū)同態(tài)簽名方案的安全性和聚合算法的安全性?xún)刹糠帧?/p>

4.1 無(wú)證書(shū)同態(tài)簽名的安全模型

對(duì)于無(wú)證書(shū)密碼體制的安全模型而言，一般有兩類(lèi)攻擊者：第一類(lèi)攻擊者可以替換系統(tǒng)的公鑰，但不能訪問(wèn)主私鑰；第二類(lèi)攻擊者則可以訪問(wèn)主私鑰，但不能替換系統(tǒng)的公鑰，通常又被稱(chēng)為“誠(chéng)實(shí)而又好奇”的攻擊者。同態(tài)簽名的基本安全性要求為在適應(yīng)性選擇數(shù)據(jù)集下的存在性不可偽造，因此無(wú)證書(shū)同態(tài)簽名方案在適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集下存在性不可偽造的安全模型可以通過(guò)挑戰(zhàn)者C 和攻擊者（A或A）之間的游戲來(lái)刻畫(huà)。

4.1.1 游戲1（第一類(lèi)攻擊者A）

（1）系統(tǒng)建立。挑戰(zhàn)者C 獲得系統(tǒng)的安全參數(shù)1后，生成公開(kāi)參數(shù)

params

、系統(tǒng)主私鑰

msk

、保密主私鑰

msk

，將公開(kāi)參數(shù)

params

發(fā)送給攻擊者A。（2）詢(xún)問(wèn)。攻擊者A可向挑戰(zhàn)者C 進(jìn)行創(chuàng)建用戶(hù)詢(xún)問(wèn)（CU）、部分私鑰提取詢(xún)問(wèn)（PPK）、秘密值詢(xún)問(wèn)（SVK）、公鑰詢(xún)問(wèn)（PK）、替換用戶(hù)公鑰詢(xún)問(wèn)（PKR）、簽名詢(xún)問(wèn)（Sign）。挑戰(zhàn)者C 需要模擬隨機(jī)預(yù)言器，給出上述方案中各算法的正確回答。在簽名詢(xún)問(wèn)時(shí)，挑戰(zhàn)者C 要模擬超級(jí)簽名預(yù)言器，即攻擊者A只提供用戶(hù)身份

ID

和消息向量

m

，而不提供替換公鑰后對(duì)應(yīng)的秘密值，挑戰(zhàn)者C 需要產(chǎn)生當(dāng)前用戶(hù)公鑰（一般是被A替換后的公鑰）下該數(shù)據(jù)集中消息向量

m

的合法簽名

σ

，并發(fā)送給攻擊者A。（3）偽造輸出。攻擊者A輸出一個(gè)偽造（ID*，pk，τ*，m*，

σ

*），在以下情況成立時(shí)攻擊者A在游戲中獲勝：①

σ

*是在挑戰(zhàn)身份ID*和對(duì)應(yīng)公鑰pk下，由τ*標(biāo)記的數(shù)據(jù)集中消息m*的合法簽名；②攻擊者A沒(méi)有詢(xún)問(wèn)過(guò)挑戰(zhàn)身份ID*的部分私鑰；③

τ

* ≠

τ

，即攻擊者A沒(méi)有詢(xún)問(wèn)過(guò)身份為ID*、公鑰pk下由

τ

*標(biāo)記的數(shù)據(jù)集m*上消息的簽名。

4.1.2 游戲2（第二類(lèi)攻擊者A）

（1）系統(tǒng)建立。

C

獲得系統(tǒng)的安全參數(shù)1后，生成公開(kāi)參數(shù)

params

、系統(tǒng)主私鑰

msk

、保密主私鑰

msk

，將公開(kāi)參數(shù)

params

發(fā)送給攻擊者A。（2）詢(xún)問(wèn)。攻擊者A可向挑戰(zhàn)者C 進(jìn)行創(chuàng)建用戶(hù)詢(xún)問(wèn)（

CU

）、秘密值詢(xún)問(wèn)（

SVK

）、公鑰詢(xún)問(wèn)（

PK

）、替換用戶(hù)公鑰詢(xún)問(wèn)（

PKR

）以及簽名詢(xún)問(wèn)（

Sign

）。挑戰(zhàn)者C 需要模擬隨機(jī)預(yù)言器，給出上述方案中各算法的正確回答。在簽名詢(xún)問(wèn)時(shí)，挑戰(zhàn)者C 仍然要模擬超級(jí)簽名預(yù)言器。（3）偽造輸出。攻擊者A輸出一個(gè)偽造（ID*，pk，τ*，η*，

σ

*，f*），在以下情況成立時(shí)A贏得游戲2：①

σ

*是在挑戰(zhàn)身份ID*和相應(yīng)的公鑰pk下，由τ*標(biāo)記的數(shù)據(jù)集中消息m*的合法簽名；②

τ

* ≠

τ

，即A沒(méi)有詢(xún)問(wèn)過(guò)身份為ID*、公鑰pk下由τ*標(biāo)記的數(shù)據(jù)集m*上消息的簽名；③A沒(méi)有詢(xún)問(wèn)過(guò)挑戰(zhàn)身份ID*對(duì)應(yīng)的秘密值；④A沒(méi)有替換過(guò)挑戰(zhàn)身份對(duì)應(yīng)的公鑰。將攻擊者在上述兩個(gè)游戲中獲勝的概率稱(chēng)為攻擊者的優(yōu)勢(shì)。無(wú)證書(shū)同態(tài)簽名方案在超級(jí)攻擊者適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集攻擊下是存在性不可偽造（

EUFCLHS-ID-CDA

）的，任何概率多項(xiàng)式時(shí)間內(nèi)的超級(jí)攻擊者贏得兩個(gè)游戲的優(yōu)勢(shì)是可以忽略的。

4.2 聚合算法的安全模型

張一名提出一種來(lái)源于聚合簽名者內(nèi)部的合謀攻擊，其認(rèn)為聚合簽名安全模型中攻擊者的能力有限，并在原基礎(chǔ)上將攻擊者的攻擊目標(biāo)修改為攻擊者使用一系列單個(gè)簽名偽造一個(gè)合法的聚合簽名，在這些單個(gè)簽名中包含至少一個(gè)非法簽名。因此，聚合算法的安全模型可描述為：

（1）系統(tǒng)建立。挑戰(zhàn)者獲得安全參數(shù)后生成系統(tǒng)的各項(xiàng)參數(shù)

params

，以及驗(yàn)證聚合簽名的公私鑰對(duì)，然后將公鑰

PK

和參數(shù)發(fā)送給攻擊者。（2）詢(xún)問(wèn)階段（

Query

）。詢(xún)問(wèn)階段包括私鑰詢(xún)問(wèn)（

SKRQ

）和聚合驗(yàn)證詢(xún)問(wèn)（

AVRQ

）兩種。私鑰詢(xún)問(wèn)為當(dāng)攻擊者進(jìn)行私鑰詢(xún)問(wèn)時(shí)，挑戰(zhàn)者根據(jù)具體用戶(hù)的ID 運(yùn)行部分私鑰提取算法和秘密值設(shè)置算法，將用戶(hù)ID 的私鑰返回給攻擊者；聚合驗(yàn)證詢(xún)問(wèn)為當(dāng)攻擊者進(jìn)行聚合驗(yàn)證詢(xún)問(wèn)時(shí)，挑戰(zhàn)者通過(guò)運(yùn)行聚合簽名驗(yàn)證算法，回答攻擊者所給的聚合簽名是否合法。

（3）偽造輸出。攻擊者輸出一個(gè)偽造（待聚合的消息，最后的聚合簽名），如果滿(mǎn)足以下條件，則認(rèn)為攻擊者在上述游戲中獲勝：①攻擊者輸出的最后聚合簽名是合法的；②在攻擊者進(jìn)行聚合的單個(gè)簽名序列中，至少有一個(gè)簽名是非法的。

從上述模型可以看出，攻擊者在游戲中獲勝實(shí)際上是使用一系列不完全合法的單個(gè)簽名產(chǎn)生了一個(gè)合法的聚合簽名。一個(gè)無(wú)證書(shū)同態(tài)聚合簽名方案對(duì)于上述攻擊者是安全的，在任何概率多項(xiàng)式時(shí)間內(nèi)偽造最多

n

個(gè)用戶(hù)聚合簽名的超級(jí)攻擊者在上述游戲中獲勝的優(yōu)勢(shì)是可以忽略的。

5 無(wú)證書(shū)線性同態(tài)聚合簽名方案

5.1 無(wú)證書(shū)同態(tài)聚合簽名算法描述

（4）Produce-Public-Key：輸入身份

ID

和秘密值

x

，產(chǎn)生用戶(hù)的公鑰

PK

=

g

。

式中，k=1，2，…，

l

。如果

t

=

t

'，則該算法輸出1，否則輸出0。

5.2 無(wú)證書(shū)線性同態(tài)聚合簽名的安全性

無(wú)證書(shū)線性同態(tài)聚合簽名的安全性證明可分為兩部分。

（1）本文省略無(wú)證書(shū)線性同態(tài)簽名方案在適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集中含有超級(jí)攻擊者的證明方法，具體證明過(guò)程可參考文獻(xiàn)［20］。

另一方面，

t

=

t

'成立，可得：

6 無(wú)證書(shū)線性同態(tài)聚合簽名方案性能實(shí)驗(yàn)

在仿真實(shí)驗(yàn)過(guò)程中使用文獻(xiàn)［20］的無(wú)證書(shū)線性同態(tài)簽名方案（CLLHS）作為比較對(duì)象，對(duì)本文提出的無(wú)證書(shū)同態(tài)聚合簽名方案的性能進(jìn)行驗(yàn)證。對(duì)5 組實(shí)驗(yàn)中數(shù)據(jù)的完整性進(jìn)行比較，結(jié)果如表1、圖5 所示。

Table 1 Comparison of signature scheme simulation experimental data表1 簽名方案仿真實(shí)驗(yàn)數(shù)據(jù)比較 單位：s

可以看出，無(wú)證書(shū)線性同態(tài)聚合簽名方案在驗(yàn)證大量文件的完整性時(shí)所花費(fèi)的時(shí)間遠(yuǎn)小于CLLHS。當(dāng)驗(yàn)證數(shù)據(jù)塊達(dá)到50個(gè)時(shí)，其驗(yàn)證速度較CLLHS 提高了近10 倍。原因在于對(duì)N個(gè)用戶(hù)或?qū)徲?jì)者進(jìn)行數(shù)據(jù)完整性公開(kāi)驗(yàn)證時(shí)，如果使用CLLHS，則需要獲得所有用戶(hù)數(shù)據(jù)塊的簽名，并對(duì)簽名逐一驗(yàn)證。隨著待驗(yàn)證文件數(shù)據(jù)塊個(gè)數(shù)的不斷增加，用戶(hù)在驗(yàn)證時(shí)的計(jì)算代價(jià)也會(huì)越來(lái)越大。而使用無(wú)證書(shū)線性同態(tài)聚合簽名方案可極大減少驗(yàn)證時(shí)的計(jì)算代價(jià)。當(dāng)用戶(hù)或?qū)徲?jì)者想驗(yàn)證N個(gè)用戶(hù)文件時(shí)，只需將每個(gè)用戶(hù)數(shù)據(jù)對(duì)應(yīng)的同態(tài)組合簽名進(jìn)行聚合，然后驗(yàn)證聚合簽名的合法性即可。通過(guò)驗(yàn)證一個(gè)同態(tài)聚合簽名是否有效，便可判定N個(gè)用戶(hù)文件數(shù)據(jù)塊是否保存完好。由此可見(jiàn)，使用無(wú)證書(shū)線性同態(tài)聚合簽名方案對(duì)大量數(shù)據(jù)的完整性進(jìn)行驗(yàn)證時(shí)，計(jì)算代價(jià)不隨驗(yàn)證文件數(shù)據(jù)塊數(shù)量的增加而顯著增大，簽名驗(yàn)證效率大大提高。

Fig.5 Comparison between CLLHS and scheme of this paper圖5 CLLHS 方案與本文方案性能比較

7 結(jié)語(yǔ)

本文提出一種安全高效的無(wú)證書(shū)線性同態(tài)聚合簽名方案，并給出了方案的安全證明。結(jié)果表明，該方案可以抵抗來(lái)自聚合簽名者內(nèi)部的“合謀攻擊”。然而，云存儲(chǔ)中還存在許多安全技術(shù)瓶頸需要解決，如多用戶(hù)共享數(shù)據(jù)的權(quán)限問(wèn)題、用戶(hù)數(shù)據(jù)審計(jì)權(quán)限分配問(wèn)題、各種側(cè)信道攻擊、密鑰泄露等。這些問(wèn)題對(duì)云存儲(chǔ)系統(tǒng)的安全性是一個(gè)新挑戰(zhàn)，對(duì)于密碼學(xué)也是一個(gè)新課題，需要深入細(xì)致研究，才能充分保障用戶(hù)云端數(shù)據(jù)的安全性。