基于區(qū)塊鏈與國(guó)密SM9的抗惡意KGC無證書簽名方案

唐飛，甘寧，陽(yáng)祥貴，王金洋

基于區(qū)塊鏈與國(guó)密SM9的抗惡意KGC無證書簽名方案

唐飛1，甘寧1，陽(yáng)祥貴2，王金洋1

（1. 重慶郵電大學(xué)網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶 400065；2. 江西昌河航空工業(yè)有限公司工程技術(shù)部，江西 景德鎮(zhèn) 333002）

無證書密碼體制能同時(shí)解決證書管理和密鑰托管問題，但其安全模型中總是假設(shè)TypeⅡ敵手（惡意密鑰生成中心（KGC））不會(huì)發(fā)起公鑰替換攻擊，這一安全性假設(shè)在現(xiàn)實(shí)應(yīng)用中具有一定的局限性。國(guó)密SM9簽名方案是一種高效的標(biāo)識(shí)密碼方案，它采用了安全性好、運(yùn)算速率高的R-ate雙線性對(duì)，但需要KGC為用戶生成和管理密鑰，存在密鑰托管問題。針對(duì)以上問題，基于區(qū)塊鏈和國(guó)密SM9簽名方案提出一種抗惡意KGC無證書簽名方案。所提方案基于區(qū)塊鏈的去中心化、不易篡改等特性，使用智能合約將用戶秘密值對(duì)應(yīng)的部分公鑰記錄在區(qū)塊鏈上，在驗(yàn)簽階段，驗(yàn)證者通過調(diào)用智能合約查詢用戶公鑰，從而保證用戶公鑰的真實(shí)性。用戶私鑰由KGC生成的部分私鑰和用戶自己隨機(jī)選取的秘密值構(gòu)成，用戶僅在首次獲取私鑰時(shí)由KGC為其生成部分私鑰來對(duì)其身份標(biāo)識(shí)符背書。隨后可以通過更改秘密值及其存證于區(qū)塊鏈的部分公鑰實(shí)現(xiàn)私鑰的自主更新，在此過程中身份標(biāo)識(shí)保持不變，為去中心化應(yīng)用場(chǎng)景提供密鑰管理解決方法。區(qū)塊鏈依靠共識(shí)機(jī)制來保證分布式數(shù)據(jù)的一致性，用戶部分公鑰的變更日志存儲(chǔ)在區(qū)塊鏈中，基于區(qū)塊鏈的可追溯性，可對(duì)惡意公鑰替換攻擊行為進(jìn)行溯源，從而防止惡意KGC發(fā)起替換公鑰攻擊?；趯?shí)驗(yàn)仿真和安全性證明結(jié)果，所提方案簽名與驗(yàn)簽的總開銷僅需7.4 ms，與同類無證書簽名方案相比，所提方案能有效抵抗公鑰替換攻擊，且具有較高的運(yùn)算效率。

無證書簽名方案；抗惡意KGC；區(qū)塊鏈；SM9簽名

0 引言

數(shù)字簽名具有不可偽造、不可否認(rèn)和保護(hù)消息完整性等特點(diǎn)，可對(duì)數(shù)據(jù)內(nèi)容的完整性和數(shù)據(jù)源的真實(shí)性進(jìn)行檢測(cè)，是保證數(shù)據(jù)安全的核心技術(shù)之一，在電子政務(wù)、電子商務(wù)、數(shù)字化醫(yī)療等領(lǐng)域有廣泛用途。傳統(tǒng)數(shù)字簽名需要證書機(jī)構(gòu)（CA，certification authority）為用戶公鑰頒發(fā)證書，以確保公鑰的真實(shí)性，從而存在復(fù)雜的公鑰證書管理問題?；谏矸莸暮灻桨笇⒚荑€生成中心（KGC，key generation center）視為可信中心，雖然解決了證書管理的問題，但存在單點(diǎn)故障和密鑰托管問題。

Al-Riyami等[1]在2003年提出了由KGC和用戶聯(lián)合生成用戶密鑰的無證書公鑰密碼體制。無證書公鑰密碼體制能同時(shí)解決證書管理和密鑰托管問題，增強(qiáng)系統(tǒng)的安全性，這使得它成為密碼學(xué)研究的熱點(diǎn)之一。夏峰等[2]提出一種公鑰不可替換無證書簽名方案；王圣寶等[3]提出一個(gè)無雙線性配對(duì)的無證書簽名方案；王亞飛等[4]指出文獻(xiàn)[3]提出的方案是不安全的并提出改進(jìn)方案；但樊愛宛等[5]和李艷瓊等[6]對(duì)文獻(xiàn)[4]進(jìn)行分析后指出其所提方案難以抵抗惡意但被動(dòng)的KGC（MKGC，malicious-but-passive KGC）攻擊，并針對(duì)此安全缺陷提出了新方案；湯永利等[7]給出針對(duì)文獻(xiàn)[5]的公鑰替換攻擊的偽造流程，并提出了9個(gè)新方案；王菁等[8]分析湯永利等[7]提出的9個(gè)無證書簽名方案，發(fā)現(xiàn)其中5個(gè)簽名方案不能抵抗公鑰替換攻擊。Hung等[9]設(shè)計(jì)了一個(gè)強(qiáng)不可偽造的無證書簽名方案；吳濤等[10]指出文獻(xiàn)[9]無法抵抗MKGC攻擊，并提出改進(jìn)方案；楊小東等[11]發(fā)現(xiàn)文獻(xiàn)[10]的方案不滿足不可偽造性且不能抵抗MKGC攻擊。文獻(xiàn)[12]指出文獻(xiàn)[13]中的無證書簽名方案不安全，并提出了一種抗MKGC攻擊的安全無證書簽名方案。

分析現(xiàn)有無證書方案不難發(fā)現(xiàn)，用戶私鑰包括KGC生成的部分私鑰和用戶隨機(jī)選取的秘密值。然而，在實(shí)際應(yīng)用中，惡意KGC只需隨機(jī)選取一個(gè)新的秘密值，再結(jié)合先前為用戶生成的部分私鑰，就能偽造出該用戶的一對(duì)有效公私鑰，這使得惡意KGC具備發(fā)起公鑰替換攻擊的能力。但是，在傳統(tǒng)無證書公鑰密碼方案的安全模型中，總是假設(shè)TypeⅡ敵手（惡意KGC）不會(huì)發(fā)起公鑰替換攻擊，這一安全性假設(shè)在現(xiàn)實(shí)應(yīng)用中具有一定的局限性。針對(duì)無證書公鑰密碼這一局限性，文獻(xiàn)[2,5,7,12]做了相關(guān)研究。文獻(xiàn)[2]提出由KGC為用戶公鑰簽名，只要同一個(gè)用戶有兩對(duì)有效公私鑰，就能證明KGC是惡意的，但在無證書簽名方案中，驗(yàn)證者并不能判斷簽名者當(dāng)前是否擁有兩個(gè)有效公鑰。文獻(xiàn)[5]采用公告板公示用戶公鑰，但這個(gè)公告板僅由KGC維護(hù)，所以KGC仍然可以更改用戶公鑰，這樣并不能有效約束KGC。文獻(xiàn)[7]指出文獻(xiàn)[5]的方案存在安全性問題并給出改進(jìn)方案，但文獻(xiàn)[7]提出的方案中用戶公鑰與KGC公鑰間存在線性關(guān)系，普通敵手可通過消去KGC公鑰來實(shí)現(xiàn)公鑰替換攻擊。文獻(xiàn)[12]通過校驗(yàn)用戶公鑰信息的哈希值驗(yàn)證用戶公鑰的有效性，由于哈希值是可公開計(jì)算的，惡意KGC能偽造出可以通過驗(yàn)證的用戶公鑰，所以并不能及時(shí)發(fā)現(xiàn)惡意KGC的攻擊行為。上述分析表明，現(xiàn)有無證書簽名方案不能及時(shí)發(fā)現(xiàn)并阻止惡意KGC的公鑰替換攻擊行為。

針對(duì)上述問題，本文主要工作如下。

1) 基于區(qū)塊鏈技術(shù)和SM9標(biāo)識(shí)密碼算法[14]提出了一個(gè)抗惡意KGC公鑰替換攻擊的簽名方案。

2) 基于可證明安全理論，證明了所提方案在適應(yīng)性選擇消息和標(biāo)識(shí)攻擊模型下具有不可偽造性；基于區(qū)塊鏈的不易篡改性，采用區(qū)塊鏈存證用戶部分公鑰，保證用戶公鑰的真實(shí)性，并且能夠及時(shí)發(fā)現(xiàn)惡意KGC的公鑰替換攻擊行為。

3) 實(shí)驗(yàn)結(jié)果表明，采用區(qū)塊鏈存證用戶部分公鑰的本文方案是可行的，方案簽名與驗(yàn)簽總開銷約為7.4 ms；與同類無證書簽名方案對(duì)比，所提方案能更好地抵抗惡意KGC發(fā)起的公鑰替換攻擊，且具有更高的計(jì)算效率和較短的簽名長(zhǎng)度。

1 預(yù)備知識(shí)

1.1 雙線性對(duì)與復(fù)雜性假設(shè)

若ECDL問題在多項(xiàng)式時(shí)間內(nèi)可解的概率是可忽略的，則稱ECDL假設(shè)成立；同理，若-SDH問題在多項(xiàng)式時(shí)間內(nèi)可解的概率是可忽略的，則稱-SDH假設(shè)成立。

1.2 國(guó)密SM9

作為基于身份的密碼方案，SM9受到越來越多的關(guān)注。近年來，國(guó)內(nèi)學(xué)者基于SM9密碼方案開展大量研究工作，證明了SM9簽名具有EUF- CMIA安全性[15]，基于SM9提出了聚合簽名[16]、可搜索加密[17]、聚合簽名[18]、部分盲簽名[19]、環(huán)簽名[20]、可追蹤屬性簽名[21]以及群簽名[22]等方案，另外，SM9廣泛應(yīng)用于區(qū)塊鏈、電子郵件、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和跨域協(xié)同等場(chǎng)景中的隱私保護(hù)[23-24]、身份認(rèn)證[25-26]、密鑰管理[27-29]等方向。

1.3 無證書簽名方案的形式化定義

圖1 無證書密碼方案中用戶完整密鑰對(duì)的結(jié)構(gòu)

Figure 1 User complete key pair structure in certificateless signature scheme

一個(gè)無證書簽名方案由以下7個(gè)算法構(gòu)成。

1.4 區(qū)塊鏈

區(qū)塊鏈?zhǔn)潜忍貛诺牡讓蛹夹g(shù)[30]，以數(shù)據(jù)區(qū)塊為單位存儲(chǔ)數(shù)據(jù)，每個(gè)區(qū)塊中記錄一批交易信息，其本質(zhì)是一個(gè)無中心的賬本數(shù)據(jù)庫(kù)。區(qū)塊結(jié)構(gòu)如圖2所示。

區(qū)塊鏈結(jié)合共識(shí)算法、密碼學(xué)等相關(guān)技術(shù)，能讓分布式節(jié)點(diǎn)達(dá)成數(shù)據(jù)一致性共識(shí)，使得賬本信息不被惡意篡改。區(qū)塊鏈具有去中心化、不易篡改、維護(hù)成本低、安全性強(qiáng)等特性，適用于解決信任管理、可靠溯源與可信監(jiān)管等問題。

1.5 KGC信任等級(jí)

Girault[31]在1991年把可信中心（本文指KGC）劃分為3個(gè)信任等級(jí)。

圖2 區(qū)塊結(jié)構(gòu)

Figure 2 block structure

等級(jí)1：KGC知道任意合法用戶的密鑰，即KGC可以偽造任意用戶對(duì)任意消息的簽名而不被發(fā)現(xiàn)。

等級(jí)2：KGC不知道任意合法用戶的密鑰，但可以偽造出“合法”的假密鑰，且能使用假密鑰偽造簽名而不被發(fā)現(xiàn)。

等級(jí)3：KGC不知道任意合法用戶的密鑰，且若KGC偽造密鑰，用戶可以發(fā)現(xiàn)且提供證據(jù)證明該密鑰是偽造的。

滿足等級(jí)3的無證書簽名方案意味著方案中的KGC不能通過改變?yōu)橛脩羯傻牟糠炙借€來模擬用戶，即KGC不能為同一個(gè)公鑰提供不同的部分私鑰。

2 抗惡意KGC無證書簽名方案

2.1 基于區(qū)塊鏈的無證書簽名定義

基于區(qū)塊鏈的KGC無證書簽名方案由以下一系列算法構(gòu)成。

2.2 方案構(gòu)造

本節(jié)給出基于區(qū)塊鏈與SM9的抗惡意KGC無證書簽名方案的具體構(gòu)造。方案設(shè)計(jì)采用SM9標(biāo)識(shí)密碼算法中的符號(hào)，具體描述如下。

2) 區(qū)塊鏈系統(tǒng)初始化。先初始化區(qū)塊鏈節(jié)點(diǎn)公私鑰及區(qū)塊鏈系統(tǒng)參數(shù)；然后事先部署智能合約——全局管理智能合約（GMSC，global manage smart contract）并將其作為區(qū)塊鏈中的全局合約，記錄區(qū)塊鏈中部署的智能合約，包括身份記錄智能合約（IRSC，identity record smart contract）、身份查詢智能合約（IQSC，identity query smart contract），從而實(shí)現(xiàn)上鏈和查詢功能。智能合約框架如圖3所示。

圖3 智能合約框架

Figure 3 Smart contract framework

算法1 部分私鑰生成

算法2 秘密值證明查詢

執(zhí)行智能合約：

2.3 正確性與可驗(yàn)證性分析

（1）正確性

（2）可驗(yàn)證性

2.4 安全性分析

（1）抗公鑰替換攻擊

本文的無證書簽名方案滿足可驗(yàn)證性，簽名者可以通過式(1)驗(yàn)證KGC生成的部分私鑰，使得攻擊者無法通過改變部分私鑰的方式實(shí)現(xiàn)公鑰替換攻擊，削弱了攻擊者替換公鑰的能力。另外，本文方案將簽名者選取秘密值放在KGC生成部分私鑰之前，使簽名者設(shè)置的秘密值成為KGC產(chǎn)生部分私鑰的前置條件，有效地約束了KGC的行為。

簽名者所選秘密值對(duì)應(yīng)的部分公鑰（用戶秘密值證明）由區(qū)塊鏈存證，且簽名者更換秘密值時(shí)的日志由區(qū)塊鏈記錄。區(qū)塊鏈存儲(chǔ)與傳統(tǒng)的分布式存儲(chǔ)不同，區(qū)塊鏈的每個(gè)節(jié)點(diǎn)都按照塊鏈?zhǔn)浇Y(jié)構(gòu)存儲(chǔ)完整的數(shù)據(jù)，且每個(gè)節(jié)點(diǎn)存儲(chǔ)都是獨(dú)立且地位等同的。區(qū)塊鏈依靠共識(shí)機(jī)制保證存儲(chǔ)的一致性，沒有任何一個(gè)節(jié)點(diǎn)可以單獨(dú)記錄賬本數(shù)據(jù)，有效避免出現(xiàn)記假賬的行為?；趨^(qū)塊鏈數(shù)據(jù)存儲(chǔ)去中心化、不易篡改、可追溯的特性，如果敵手用偽造秘密值證明替換用戶原本的秘密值證明，惡意替換的行為就會(huì)暴露；一旦惡意KGC偽造密鑰，用戶就能及時(shí)發(fā)現(xiàn)并提供證據(jù)證明該密鑰是偽造的。

因此，本文方案屬于KGC信任等級(jí)3，不僅可以很好地抵御惡意KGC的公鑰替換攻擊，還能保證簽名者秘密值的確定性，進(jìn)而有效保證簽名的不可抵賴性。

（2）不可偽造性

本文方案在自適應(yīng)選擇消息攻擊下具有不可偽造性。下面在隨機(jī)預(yù)言機(jī)模型下進(jìn)行不可偽造性的證明。

2.5 對(duì)比分析

（1）區(qū)塊鏈存證開銷

本文基于Hyperledger Fabric 2.2.5，在Ubuntu 22.04中借助Docker搭建了本地測(cè)試環(huán)境，并用go語(yǔ)言編寫鏈碼，進(jìn)行上鏈和查詢的測(cè)試，時(shí)間消耗如表1所示。

表1 上鏈與查詢時(shí)間

（2）效率分析與安全性比較

表2 基本運(yùn)算效率對(duì)比

表4 基于區(qū)塊鏈的方案安全性比較

從表3可知，本文方案具有更短的簽名長(zhǎng)度和更高的效率，更重要的是，結(jié)合表4的比較分析，本文方案滿足可信中心信任等級(jí)3且能抵抗惡意KGC公鑰替換攻擊，具有更高安全性。

3 結(jié)束語(yǔ)

本文提出一種基于區(qū)塊鏈和SM9的抗惡意KGC的無證書簽名方案，并證明了其安全性。通過區(qū)塊鏈記錄用戶部分公鑰，可保證用戶部分公鑰的真實(shí)有效性，有效防止用戶公鑰被惡意替換，可以抵抗惡意KGC公鑰替換攻擊。

[1] Al-RIYAMI S S, PATERSON K G. Certificateless public key cryptography[C]//Proceedings of 9th International Conference on the Theory and Application of Cryptology. 2003: 452-473.

[2] 夏峰, 楊波. 公鑰不可替換無證書簽名方案[J]. 計(jì)算機(jī)科學(xué), 2012, 39(8): 92-95.

XIA F, YANG B. Certificateless signature scheme without public key replaced[J]. Computer Science, 2012, 39(8): 92-95.

[3] 王圣寶, 劉文浩, 謝琪. 無雙線性配對(duì)的無證書簽名方案[J]. 通信學(xué)報(bào), 2012, 33(4): 93-98.

WANG S B, LIU W H, XIE Q. Certificateless signature scheme without bilinear pairings[J]. Journal on Communications, 2012, 33(4): 93-98.

[4] 王亞飛, 張睿哲. 強(qiáng)安全無對(duì)的無證書簽名方案[J]. 通信學(xué)報(bào), 2013, 34(2): 94-99.

WANG Y F, ZHANG R Z. Strongly secure certificateless signature scheme without pairings[J]. Journal on Communications, 2013, 34(2): 94-99.

[5] 樊愛宛, 楊照鋒, 謝麗明. 強(qiáng)安全無證書簽名方案的安全性分析與改進(jìn)[J]. 通信學(xué)報(bào), 2014, 35(5): 118-123.

FAN A W, YANG Z F, XIE L M. Security analysis and improvement of strongly secure certificate less signature scheme[J]. Journal on Communications, 2014, 35(5): 118-123.

[6] 李艷瓊, 李繼國(guó), 張亦辰. 標(biāo)準(zhǔn)模型下安全的無證書簽名方案[J]. 通信學(xué)報(bào), 2015, 36(4): 189-198.

LI Y Q, LI J G, ZHANG Y C. Certificateless signature scheme without random oracles[J]. Journal on Communications, 2015, 36(4): 189-198.

[7] 湯永利, 王菲菲, 葉青, 等. 改進(jìn)的可證明安全無證書簽名方案[J]. 北京郵電大學(xué)學(xué)報(bào), 2016, 39(1): 112-116.

TANG Y L, WANG F F, YE Q, et al. Improved provably secure certificateless signature scheme[J]. Journal of Beijing University of Posts and Telecommunications, 2016, 39(1): 112-116.

[8] 王菁, 李祖猛. 幾個(gè)無證書簽名方案的偽造攻擊[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(3): 108-112.

WANG J, LI Z M. Forgery attacks on several certificate lesssignature schemes[J]. Chinese Journal of Network and Information Security, 2020, 6(3): 108-112.

[9] HUNG Y H, HUANG S S, TSENG Y M, et al. Certificateless signature with strong unforgeability in the standard model[J]. Informatica, 2015, 26(4): 663-684.

[10] 吳濤, 景曉軍. 一種強(qiáng)不可偽造無證書簽名方案的密碼學(xué)分析與改進(jìn)[J]. 電子學(xué)報(bào), 2018, 46(3): 602-606．

WU T, JING X J. Cryptanalysis and improvement of a certificateless signature scheme with strong unforgeability[J]. Acta Electronica Sinica, 2018, 46(3): 602-606.

[11] 楊小東, 王美丁, 裴喜禎, 等. 一種標(biāo)準(zhǔn)模型下無證書簽名方案的安全性分析與改進(jìn)[J]. 電子學(xué)報(bào), 2019, 47(9): 1972-1978.

YANG X D, WANG M D, PEI X Z, et al. Security analysis and improvement of a certificateless signature scheme in the standard model[J]. Acta Electronica Sinica, 2019, 47(9): 1972-1978.

[12] YANG W, WANG S, WU W, et al. Top-level secure certificateless signature against malicious-but-passive KGC[J]. IEEE Access, 2019, 7: 112870-112878.

[13] SHIM K A. A new certificateless signature scheme provably secure in the standard model[J]. IEEE Systems Journal, 2019, 13(2): 1421-1430.

[14] 國(guó)家市場(chǎng)監(jiān)督管理總局, 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì). GB/T38635.2-2020 信息安全技術(shù) SM9標(biāo)識(shí)密碼算法第2部分: 算法[S]. 中國(guó)標(biāo)準(zhǔn)出版社, 2020.

State Administration of Market Supervision and State Standardization Administration Committee. GM/T 38635.2-2020 Information security technology—Identity-based cryptographic algorithms SM9—Part 2: algorithms[S]. China Standards Press, 2020.

[15] 賴建昌, 黃欣沂, 何德彪, 等. 國(guó)密 SM9 數(shù)字簽名和密鑰封裝算法的安全性分析. 中國(guó)科學(xué): 信息科學(xué), 2021, 51: 1900-1913.

LAI J C, HUANG X Y, HE D B, et al. Security analysis of SM9 digital signature and key encapsulation (in Chinese). Scientia Sinica Informations, 2021, 51: 1900-1913.

[16] 唐飛, 凌國(guó)瑋, 單進(jìn)勇. 基于國(guó)密SM2和SM9的加法同態(tài)加密方案[J]. 密碼學(xué)報(bào), 2022, 9(3): 535-549.

TANG F, LING G W, SHAN J Y. Additive homomorphic encryption schemes based on SM2 and SM9[J]. Journal of Cryptologic Research, 2022, 9(3): 535-549.

[17]張超, 彭長(zhǎng)根, 丁紅發(fā), 等. 基于國(guó)密SM9的可搜索加密方案[J]. 計(jì)算機(jī)工程, 2022: 1-10.

ZHANG C, PENG C G, DING H F, et al. Searchable encryption scheme based on china state cryptography standard SM9[J]. Computer Engineering, 2022: 1-10.

[18] 安濤, 馬文平, 劉小雪. VANET中基于SM9密碼算法的聚合簽名方案[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2020, 37(12): 280-284.

AN T, MA W P, LIU X X. Aggregate signature scheme based on SM9 cryptographic algorithm in VANET[J]. Computer Applications and Software, 2020, 37(12): 280-284.

[19] 呂堯, 侯金鵬, 聶沖, 等. 基于SM9算法的部分盲簽名方案[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(4): 147-153.

LYU Y, HOU J P, NIE C, et al. Partial blind signature algorithm based on SM9[J]. Chinese Journal of Network and Information Security, 2021, 7(4): 147-153.

[20]彭聰, 何德彪, 羅敏, 等. 基于SM9標(biāo)識(shí)密碼算法的環(huán)簽名方案[J].密碼學(xué)報(bào), 2021, 8(4): 724-734.

PENG C, HE D B, LUO M, et al. An identity-based ring signature scheme for SM9 algorithm[J]. Journal of Cryptologic Research, 2021, 8(4): 724-734.

[21] 唐飛, 凌國(guó)瑋, 單進(jìn)勇. 基于國(guó)產(chǎn)密碼算法SM9的可追蹤屬性簽名方案[J]. 電子與信息學(xué)報(bào), 2022, 44: 1-8.

TANG F, LING G W, SHAN J Y. Traceable attribute-based signature scheme based on domestic cryptographic SM9 algorithm[J]. Journal of Electronics and Information, 2022, 44: 1-8.

[22] 楊亞濤, 蔡居良, 張?bào)戕? 等. 基于SM9算法可證明安全的區(qū)塊鏈隱私保護(hù)方案[J]. 軟件學(xué)報(bào), 2019, 30(6): 1692-1704.

YANG Y T, CAI J L, ZHANG X W, et al. Privacy preserving scheme in block chain with provably secure based on SM9 algorithm[J]. Journal of Software, 2019, 30(6): 1692-1704.

[23] 郭陽(yáng)楠, 蔣文保, 葉帥. 可監(jiān)管的區(qū)塊鏈匿名交易系統(tǒng)模型[J]. 計(jì)算機(jī)應(yīng)用, 2022: 1-10.

GUO Y N, JIANG W B, YE S. Supervisable blockchain anonymous transaction system model[J]. Computer Applications, 2022: 1-10.

[24] 聞慶峰, 楊文捷, 張永強(qiáng). SM9及其PKI在電子政務(wù)郵件系統(tǒng)中的應(yīng)用[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2017, 34(4): 105-109.

WEN Q F, YANG W J, ZHANG Y Q. Application of SM9 and PKI in e-government e-mail system[J]. Computer Applications and Software, 2017, 34(4): 105-109.

[25] 馬曉婷, 馬文平, 劉小雪. 基于區(qū)塊鏈技術(shù)的跨域認(rèn)證方案[J]. 電子學(xué)報(bào), 2018, 46(11): 2571-2579.

MA X T, MA W P, LIU X X. A cross domain authentication scheme based on blockchain technology[J]. Acta electronica Sinica, 2018, 46(11): 2571-2579.

[26] 邱帆, 胡凱雨, 左黎明, 等. 基于國(guó)密SM9的配電網(wǎng)分布式控制身份認(rèn)證技術(shù)[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2020, 37(9): 291-295.

QIU F, HU K Y, ZUO L M, et al. Distributed control identity authentication technology based on SM9[J]. Computer Applications and Software, 2020, 37(9): 291-295.

[27] 姚英英, 常曉林, 甄平. 基于區(qū)塊鏈的去中心化身份認(rèn)證及密鑰管理方案[J]. 網(wǎng)絡(luò)空間安全, 2019, 10(6): 33-39.

YAO Y Y, CHANG X L, ZHEN P. Decentralized identity authentication and key management scheme based on blockchain[J]. Cyberspace Security, 2019, 10(6): 33-39.

[28] 許盛偉, 任雄鵬, 袁峰, 等. 一種關(guān)于SM9的安全密鑰分發(fā)方案[J].計(jì)算機(jī)應(yīng)用與軟件, 2020, 37(1): 314-319.

XU S W, REN X P, YUAN F, et al. A secure key issuing scheme for SM9[J]. Computer Applications and Software, 2020, 37(1): 314-319.

[29] 吳俊青, 彭長(zhǎng)根, 譚偉杰, 等. FaceEncAuth: 基于FaceNet和國(guó)密算法的人臉識(shí)別隱私安全方案[J]. 計(jì)算機(jī)工程與應(yīng)用, 2022: 1-7.

WU J Q, PENG C G, TAN W J, et al. FaceEncAuth: face recognition privacy security scheme based on FaceNet and SM algorithms[J]. Computer engineering and application, 2022: 1-7.

[30] NAKAMOTO S. Bitcoin: A peer-to-peer electronic cash system[J]. Decentralized Business Review, 2008: 21260.

[31] GIRAULT M. Self-certified public keys[C]//Workshop on the Theory and Application of Cryptographic Techniques. Springer, 1991, 547(1): 490-497.

[32] POINTCHEVAL D, STERN J. Security arguments for digital signatures and blind signatures[J]. Journal of Cryptology, 2000, 13(3): 361-396.

[33] 葉勝男, 陳建華. 一個(gè)強(qiáng)安全的無證書簽名方案的分析和改進(jìn)[J].計(jì)算機(jī)科學(xué), 2021, 48(10): 272-277.

YE S N, CHEN J H. Security Analysis and improvement of strongly secure certificateless digital signature Scheme[J]. Computer Science, 2021, 48(10): 272-277.

[34] LIU J, LI X, YE L, et al. BPDS: a blockchain based privacy-preserving data sharing for electronic medical records[C]//Proceedings of 2018 IEEE Global Communications Conference (GLOBECOM). 2018: 1-6.

[35] ALI I, GERVAIS M, AHENE E, et al. A blockchain-based certificateless public key signature scheme for vehicle-to-infrastructure communication in VANETs[J]. Journal of Systems Architecture, 2019, 99: 101636.

[36] BENIL T, JASPER J. Cloud based security on outsourcing using blockchain in E-health systems[J]. Computer Networks, 2020, 178: 107344.

Anti malicious KGC certificateless signature scheme based on blockchain and domestic cryptographic SM9

TANG Fei1, GAN Ning1, YANG Xianggui2, WANG Jinyang1

1. School of Cyber Security and Information Law, Chongqing University of Posts and Telecommunications, Chongqing 400065, China 2. Department of Engineering Technology, Jiangxi Changhe Aviation Industry CO.,LTD, Jingdezhen 333002, China

The certificateless cryptosystem can solve the problems of certificate management and key escrow at the same time, but its security model always assumes that Type II adversary (named malicious KGC) will not launch public key replacement attacks. This security assumption has certain limitations in real-world applications. As an efficient identity-based cryptographic scheme, SM9 signature scheme adopts R-ate bilinear pairing which has good security and high computational efficiency. However, it requires KGC to generate and manage keys for users, so it has the problem of key escrow. In view of the above problems, a certificateless signature scheme against malicious KGC was constructed based on blockchain and SM9 signature algorithm. Based on the properties of decentralization and tamper-proof of blockchain, the proposed scheme used the smart contract to record part of the public key corresponding to the user’s secret value on the blockchain. Then, the verifier can revoke the smart contract to query the user’s public key during the signature verification stage. Therefore, the proposed scheme ensured the authenticity of the user’s public key. The user’s private key consisted of the partial private key generated by KGC and a secret randomly chosen by the user. The user required the partial private key generated by KGC to endorse his identity identifier when the user generates the private key for the first time. Subsequently, the private key can be independently updated by changing the secret and the corresponding partial public key. During this process, the identity remains unchanged, which provided a viable solution for key management in decentralized application scenarios. The blockchain relied on the consensus mechanism to ensure the consistency of the distributed data. Based on the traceability of the blockchain, the change log of user’s partial public key was stored in the blockchain, which can trace the source of malicious public key replacement attacks and thereby prevent malicious KGC from launching public key replacement attacks. According to the experimental simulation and security proof results, the total overhead of signature and verification of the proposed scheme is only 7.4ms. Compared with similar certificateless signature schemes, the proposed scheme can effectively resist public key replacement attacks and has higher computational efficiency.

certificateless signature, anti malicious KGC, blockchain, SM9 signature

TP309

A

10.11959/j.issn.2096?109x.2022073

2022?07?20；

2022?09?30

唐飛，tangfei@cqupt.edu.cn

國(guó)防基礎(chǔ)科研計(jì)劃（JCKY2020205C013）

The National Defense Basic Research Program (JCKY2020205C013)

唐飛, 甘寧, 陽(yáng)祥貴, 等. 基于區(qū)塊鏈與國(guó)密SM9的抗惡意KGC無證書簽名方案[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(6): 9-19.

TANG F, GAN N, YANG X G, et al. Anti malicious KGC certificateless signature scheme based on blockchain and domestic cryptographic SM9[J]. Chinese Journal of Network and Information Security, 2022, 8(6): 9-19.

唐飛（1986?），男，重慶墊江人，博士，重慶郵電大學(xué)副教授、博士生導(dǎo)師，主要研究方向?yàn)楣€密碼、隱私保護(hù)、區(qū)塊鏈等。

甘寧（1998?），女，重慶綦江人，重慶郵電大學(xué)碩士生，主要研究方向?yàn)閰^(qū)塊鏈、公鑰密碼。

陽(yáng)祥貴（1985?），男，江西宜春人，江西昌河航空工業(yè)有限公司高級(jí)工程師，主要研究方向?yàn)樾畔⒒?、?shù)字化、智能制造。

王金洋（1998?），男，重慶渝北人，重慶郵電大學(xué)碩士生，主要研究方向?yàn)閰^(qū)塊鏈、公鑰密碼。