朱留富 李继国,2 赖建昌 黄欣沂 张亦辰,2

1（福建师范大学计算机与网络空间安全学院 福州 350117）

2（福建省网络安全与密码技术重点实验室（福建师范大学）福州 350007）

3（东南大学网络空间安全学院 南京 211189）

4（香港科技大学（广州）信息枢纽 广州 511458）

物联网技术的发展和普及使得现代生活环境更加友好和便捷，对人们的生活方式产生了重要影响.物联网将电子设备与互联网连接，能够使互联网连接对象使用嵌入式传感器、射频识别、激光扫描器等信息传感设备进行数据的采集和交换.通过网络接入，实现物与物、物与人的连接，从而达到智能化感知、识别和管理.由于采用无线网络通信，使得物联网更容易遭受各种攻击.身份认证技术能避免非授权用户非法访问数据，为物联网数据提供了可靠的安全保障.数字签名能提供数据的完整性和真实性，并且可以实现签名者身份认证功能.在签名时通常涉及椭圆曲线群中的指数运算或配对运算，这些运算往往计算代价高昂，使得轻量级设备无法承受.在线/离线签名（online/offline signature,OOS）[1]方案将签名过程分为在线和离线部分，在未知消息之前，通过将高昂的计算分配给离线阶段而仅保留一些轻量级计算给在线阶段的方式，使得原本无法部署在轻量级设备的签名方案也能适用于物联网环境.传统的公钥密码体制不具有细粒度访问控制功能.为了解决这一问题，2005 年，Sahai 等人[2]提出模糊身份加密方案，定义了属性基密码概念.在属性基加密方案[3-5]中，用户的身份由一个属性集表示，密文或者密钥与一个访问策略相关联，当用户的属性满足指定的访问策略时，用户可以成功解密密文.属性基加密体制不仅实现了细粒度访问控制而且具有一对多加密功能，可以很好地解决云计算中的访问控制、数据安全和隐私保护等关键技术问题，得到了国内外学术界和工业界的高度重视.过去，国内商用密码方案大都是基于国外的密码技术标准，不符合国家网络空间安全自主可控的发展战略.SM9[6]是中国商用标识密码标准，包含数字签名、加密、密钥交换和密钥封装.2018 年，SM9 标识签名算法已被采纳为国际标准ISO/IEC 的一部分，并于2020 年成为中国国家标准GM/T 38 635.2—2020.2020 年，SM9标识算法成为国际标准.由于SM9 标识密码算法是通过椭圆曲线上的配对运算实现的，因此高昂的计算代价成为了其在轻量级设备中应用的瓶颈.同时，原始的SM9 标识密码算法无法高效地实现1 对多的数据共享和访问控制功能.综上所述，如何将SM9 标识密码算法应用于轻量级设备和实现1 对多的数据共享和访问控制是亟待解决并具有挑战的研究方向.

1 相关工作

属性基密码主要包括属性基加密和属性基签名.在属性基加密方案中，根据访问策略部署的位置不同可分为密文策略[7-9]和密钥策略[10]的属性基加密.密文策略的属性基加密方案中，访问策略与密文关联，属性集与密钥关联.当属性集满足密文中的访问策略时，用户可以正确解密.在密钥策略的属性基加密方案中，访问策略与密钥关联，属性集嵌入在密文中，当且仅当密文中的属性集满足密钥中的访问策略时，用户可以正确解密.

属性基加密方案提供了数据的细粒度访问控制功能并且实现了保密性，但无法提供数据完整性和认证性.2011 年，Maji 等人[11]提出了属性基签名方案，实现了细粒度访问控制并能够确保数据的完整性和认证性，在一般群模型中证明了方案的安全性.2012 年，Okamoto 等人[12]提出支持非单调访问策略的高效属性 基签名（attribute-based signature,ABS）方案，并在标准模型下给出了方案的安全性证明.在文献[11−12]中，签名过程需要使用群中的指数运算和配对运算，这些计算代价高昂，使得方案无法适用于轻量级设备.为了降低签名算法中高昂的计算代价，1989 年，Even 等人[1]提出在线/离线签名方案，在线/离线签名通过将签名算法分为在线、离线阶段，在知道签名消息之前，将高昂的计算在离线阶段完成.而在在线阶段运行一些轻量级计算.2010 年，Liu 等人[13]提出基于身份的在线/离线签名方案，并给出了方案的安全性证明.为了解决文献[13]中密钥托管问题，2017 年，Liu 等人[14]基于无证书思想提出无密钥托管的身份基在线/离线签名方案.基于身份的在线/离线签名方案虽然降低了在线签名的计算代价，但无法实现访问控制和用户身份隐私保护.为了解决上述问题，Rao[15]在2017 年提出了属性基在线/离线签密方案，利用属性集代替用户身份，只有当用户属性集满足访问策略时才能产生有效签名.为了降低签名客户端的计算代价，张应辉等人[16]提出可验证的服务器辅 助属性 基签名方案.2021 年，Li 等 人[17-18]利用服务器辅助技术，提出了具有服务器辅助的属性基签名方案，将大量计算外包给服务器从而降低了计算开销.为了解决属性基签名方案中的用户身份追踪和敏感消息隐藏问题，2021 年，李继国等人[19]提出可追踪的属性基净化签名方案，实现了恶意签名者身份追踪和数据脱敏.目前，大多数密码方案基于国外密码技术标准设计，不符合国家网络空间安全自主可控的发展战略.SM9[6]是中国商用标识密码标准，包含数字签名、加密和密钥交换.2018 年，Cheng 等人[20]分析了SM9 加密算法和密钥协商协议的安全性，并给出了安全性证明.由于SM9 标识密码算法是通过椭圆曲线上的指数运算和配对运算实现，因此计算代价高昂，无法在轻量级设备上使用.为了提高SM9 标识签名计算性能，王松等人[21]提出了SM9 标识签名及其验证算法快速实现方案，但无法降低签名过程中的计算代价.2021 年，Lai 等人[22]利用在线/离线签名技术，提出了基于商密SM9 的在线/离线签名方案，在知道签名消息之前，它将指数运算和配对运算在离线阶段完成，而在线阶段只运行Hash 运算或乘法运算，从而有效降低了在线阶段的计算代价.为了实现1 对多的数据通信，2021 年，文献[23]提出了基于商密SM9 的高效标识广播加密方案.文献[17−23]仅实现签名或加密功能，为了同时实现数字签名和数据加密，文献[24]提出了基于商密SM9 的高效标识签密，仅执行1 次操作就能完成签名和加密计算，有效降低了计算开销.

本文贡献主要有：

本文首次提出基于商密SM9 的属性基在线/离线签名方案（attribute-based online/offline signature,ABOOS），提出的方案不仅可以获得细粒度访问控制功能，并且通过将指数运算和配对运算在离线阶段完成，降低了在线阶段的计算代价，能够适用于物联网等应用环境.本文在随机谕言机模型下证明了ABOOS 的安全性，安全性可规约到q-SDH 困难问题假设.通过Charm 平台，实例化提出的方案并给出性能分析.

2 预备知识

本节介绍文中用到的相关知识，包括双线性映射、分叉引理、q-SDH 困难问题.

2.1 双线性映射

给定安全参数κ，生成1 个双线性元组BP=(G1,G2,GT,e,p).其 中G1,G2,GT是素数p阶的 循环群.令P是G1的1 个生成元，Q是G2的1 个生成元，1 个双线性映射e:G1×G2→GT具有3 个性质.

1）双线性.对任意P∈G1，Q∈G2和任意a,b∈Z∗p，有e(aP,bQ)=e(P,Q)ab.

2）非退化性.对任意P∈G1，Q∈G2，有e(P,Q)≠1.

3）可计算性.对任意P∈G1，Q∈G2，e(P,Q)可以被有效计算.

此外，在G1和G2之间存在1 个有效且能公开计算的同构映射ψ:G2→G1，即ψ(Q)=P，其中P,Q分别是G1,G2的生成元.

2.2 q-SDH(q-strong Diffie-Hellman)困难问题和困难问题假设

q-SDH 困难问题.令P，Q分别为G1，G2的生成元，在(G1,G2)群上的q-SDH 问题可表述为：给定q+2个元素的元组(P,Q,aQ,a2Q,…,aqQ)，找到1 对元素

(t,ε)−q-SDH 困难问题假设：若不存在概率多项式时间t的算法至少以不可忽略的概率 ε解决(G1,G2)上的q-SDH 问题，则称q-SDH 问题在(G1,G2)是(t,ε)困难的.

2.3 分叉引理

本文使用分叉引理[25]证明方案的安全性.为了便于描述，简单回顾如下.令 T为一个输入仅包含公共信息的概率多项式时间的图灵机，在进行qs次签名询问和qh次随机谕言机询问后，敌手A可以在概率多项式时间t内，以ε ≥10(qs+1)(qs+qh)/2κ的概率产生1个有效消息签名元组(M,σ1,h,σ2)，其中M表示消息，h是关于元组(M,σ1)的Hash 值，σ2表示仅与M,σ1,h相关的值.若元组(σ1,h,σ2)能够在不知道签名密钥的情况下以不可区分的分布概率进行模拟，那么就存在另一台概率多项式时间的图灵机 T′能够在理想时间t′≤120686qht/ε时，通过控制敌手A模拟替换与签名者的交互并产生2 个有效消息签名元组(M,σ1,h,σ2)和使得h≠h′.

3 形式化定义和安全模型

本节给出ABOOS 方案的形式化定义和安全模型.图1 给出了方案的系统框架，其中包括3 个实体：属性授权机构、轻量级签名设备和验证设备.属性授权机构为签名设备产生密钥skωj，签名设备在未知消息之前先通过离线阶段进行预计算产生离线签名σoff，然后再通过在线阶段产生在线签名 σon，最终将在线签名σon和消息M发送给验证设备.若签名有效，验证设备返回accept；否则，返回reject.

3.1 ABOOS 方案的形式化定义

在线/离线属性基签名方案由4 个阶段构成.

1）设置.该算法输入安全参数 κ，输出公开参数params和主密钥msk.属性授权机构保留主密钥msk.

2）密钥生成.算法输入公开参数params、主密钥msk和访问策略 A，输出签名密钥

3）签名.该阶段分为离线签名和在线签名2 个阶段.具体算法为：

①离线签名.算法输入公开参数params和签名者密钥输出离线签名σoff；

②在线签名.算法输入公开参数params、签名者属性集ωj、离线签名σoff、签名者密钥和消息M，输出在线签名 σon.

4）验证.算法输入公开参数params，消息M和在线签名 σon.若签名有效，则输出accept；否则，输出reject.

3.2 安全模型

借鉴文献[22]的思想，本节定义在选择消息和选择策略下的存在不可伪造游戏，算法B和敌手A的具体交互为：

初始化.A首先声明将要挑战的访问策略 A∗和A∗中的一个属性集发送给B.

设置.B执行设置算法，输入安全参数 κ，输出公开参数params和主密钥msk，将公开参数params发送给A，自己保留主密钥msk.

密钥询问.A询问关于访问策略 A和属性集 ωj的密钥，其中ωj∉A∗.B执行密钥生成算法生成密钥并发送给A.

签名询问.A询问关于属性集 ωj和消息M的签名，B首先执行离线签名算法生成离线签名σoff，再执行在线签名算法生成在线签名 σon.最后，将在线签名σon发送给A.

Fig.1 The framework of ABOOS scheme图1 ABOOS 方案框架

定义 1.如果对于所有概率多项式时间t的敌手进行至多qk次密钥生成询问和至多qs次签名询问它赢得上述不可伪造性游戏的概率是可忽略的，那么提出的方案在选择消息和策略下具有存在性不可伪造.，

4 方案构造

借鉴文献[26]的思想，可以从基于身份（identity based signature,IBS）方案构造ABS 方案，再利用原始的SM9 标识签名方案构造基于商密SM9 的属性基在线/离线签名方案.在方案中，令系统属性域为U={att1,att2,…,attu}，访问策略A={A1,A2,…,An}表示1 组授权属性集，其中Ai=ωj={attj1,attj2,…,attjd}表示签名者属性集，其中u=|U| ，n=|A|，1 ≤si≤u且1 ≤d≤u.若ωj∈A，称属性集 ωj满足访问策略 A.设置算法ϕ(ω,U)将属性集 ω转换为1 个二进制标识IDω，ϕ(ω,U)定义为：首先输入属性集 ω，系统属性域U，令IDω[i]表示IDω的第i位，若atti∈ω，令IDω[i]=1；否则，令IDω[i]=0.其 中1 ≤i≤u，u=|U|.然后算法输出IDω.最后调用算法ϕ(ω,U)将访问策略A={A1,A2,…,An}转换成一个二进制标识集合I=

ABOOS 方案包含5 个算法：设置、密钥生成、在线签名、离线签名和验证.

5）验证.当验证者获得消息签名对(M,σon)=(M,(h,τ,y,S))，可以通过执行算法验证签名.1）计算t=gh；2）计算P=yP2+Ppub；3）计算β=e(τ·S,P)；4）计算w′=β·t；5）计算h2=H2(M||w′,p).检查等式h2=h是否成立.若成立，则签名有效，输出accept；否则，输出reject.

5 正确性和安全性分析

5.1 正确性分析

若签名者产生1 个有效签名，那么该签名可以通过验证算法.正确性分析为：

因此h2=H2(M||w′,p)=H2(M||w,p)=h.所以提出的方案满足正确性要求.

5.2 安全性分析

本节给出ABOOS 方案的安全性证明，基于q-SDH 困难问题假设提出的方案在选择消息和选择策略下具有存在性不可伪造.

6 方案分析

为了解决物联网环境中轻量级设备计算受限而无法执行高昂的计算和用户隐私保护问题，本文提出了基于商密SM9 的属性基在线/离线签名方案（ABOOS），提出的方案同时具有细粒度访问控制功能.通过与已有工作[12,17,27-28]相比，分析本文方案优势.文献[12]给出了支持非单调访问策略的属性基签名方案，方案具有匿名性并且实现了细粒度访问控制，但签名和验证阶段需要大量的指数运算和配对运算，计算开销大.为了提高签名和验证算法的效率，文献[27−28]提出了高效的属性基签名方案，它通过减少运算中使用的配对运算提高了算法的效率，但仍无法高效地适用于轻量级设备.为进一步降低验证过程的计算开销，文献[17]提出了具有服务器辅助验证的属性基签名方案，它通过将大量计算外包给云服务器降低了本地的计算开销.文献[12,17,27−28]的方案是基于国外密码技术标准设计的，不符合国家网络空间安全自主可控的发展战略.本文提出的基于商密SM9 的属性基在线/离线签名方案，不仅具有签名者匿名性和细粒度访问控制，并且有效降低了轻量级设备的签名计算代价.而且方案是在商密SM9 标识签名算法标准下设计的，符合国家核心技术自主创新的发展战略.方案性能对比如表1 所示.

Table 1 Performance Comparison of Schemes表1 方案性能比较

7 性能分析

本方案与文献[27−28]的计算开销和通信开销比较如表2 和 表3 所 示.基于Ubuntu 18.4，本文在Charm0.5 框架下实现了所提的方案.使用Intel(R)Core(TM) i5-3230M CPU @2.60GHz，4GB RAM 性能计算机，利用Charm 库中的超奇异椭圆曲线(SS512)测试方案.实验中群的阶p为512b 的大素数.在计算机上测试主要密码学操作开销，经过1 000 次测量取平均值后得到实验中配对运算所需时间为12.58 ms，在群G1和G2中执行指数运算所需时间分别为4.97 ms和5.02 ms，在群GT执行指数运算的时间为8.37 ms，在群中执行乘法运算的时间为0.24 ms，执行Hash运算的时间为0.02 ms.实验结果如图2 所示.

Table 2 Comparison of Computation Cost of Schemes表2 方案计算开销比较

Table 3 Comparison of Communication Cost of Schemes表3 方案通信开销比较

Fig.2 Computation cost comparison of schemes in different phases图2 方案在各阶段的计算开销比较

实验仿真分析结果表明提出的ABOOS 方案采用在线/离线签名技术使得签名过程的各计算开销均低于文献[27−28]提出的高效属性基签名方案的.在签名验证过程中，本文提出的方案使用固定数量的配对运算和指数运算验证计算开销也远小于文献[27−28] .

8 结束语

本文在SM9 标识签名方案的基础上首次提出基于商密SM9 的属性基在线/离线签名方案（ABOOS）.该方案不仅适用于物联网环境，同时还实现了细粒度访问控制功能.基于q-SDH 困难问题，本文在随机谕言机模型下证明了该方案的安全性.通过与现有属性基签名方案的对比分析可知，提出的方案更适用于物联网环境.

作者贡献声明：朱留富负责提出初步方案，实验设计、论文初稿撰写和修改；李继国负责论文思路构建、理论指导、方案分析和论文修改；赖建昌、黄欣沂和张亦辰负责论文方案分析、论文润色和修改.