劉 艷，王 丹+，汪祖民，段 茹

(1.大連大學 大連市環(huán)境感知與智能控制重點實驗室，遼寧 大連 116622；2.大連大學 信息工程學院，遼寧 大連 116622)

0 引 言

隨著社會的進步和科技的不斷發(fā)展，可穿戴可植入等監(jiān)測小型設備在給人們帶來高質(zhì)量醫(yī)療服務的同時，也存在傳輸過程中身份數(shù)據(jù)信息被泄露及非法篡改的危險。數(shù)字簽名[1]可以有效地解決數(shù)據(jù)在傳輸過程中的完整性問題，以及確定是合法用戶傳輸。傳統(tǒng)的公鑰密碼學存在著復雜證書管理問題。身份加密的簽名機制[2-6]仍存在密鑰托管問題，且無法抵抗惡意的KGC攻擊。無證書簽名方案被提出[7]，但沒有進行安全性證明。近年來，無證書簽名方案被廣泛研究，但存在著一定的安全漏洞。其中，撤銷機制的提出是解決簽名安全問題的主要方法。文獻[8]和文獻[9]都采用半可信的安全媒介(security mediator, SEM)實現(xiàn)簽名的撤銷，但增加了系統(tǒng)的不安全因素。隨后，基于時間密鑰的可撤銷無證書簽名方案被提出[10-13]，在這些方案中，都存在用戶私密信息泄露的危險。同時，方案采用大量的雙線性對運算，增加系統(tǒng)的計算代價，不適用于云環(huán)境中資源受限的小型設備。

為此，本文方案采用橢圓曲線簽名算法代替雙線性對算法，在保證安全性的基礎上降低了計算復雜度。KGC維護一個撤銷時間表，當檢測到用戶密鑰泄漏或過期時，KGC立即給所有未被撤銷的用戶更新最新時刻的時間密鑰，已撤銷的用戶無法獲取新時刻下的時間密鑰，簽名驗證不成功，從而實現(xiàn)簽名的即時撤銷，并在隨機語言模型下證明安全性。

1 基礎知識

1.1 橢圓曲線加密

橢圓曲線的曲線方程與計算橢圓周長的方程相似。一般橢圓曲線方程形式即y2=x3+ax3+bx2+cx+d， 它是由方程全部解 (x,y) 加上一個無窮遠點O構成的一個集合。橢圓曲線離散對數(shù)解的困難性(ECDLP)定義請參見文獻[14]。

1.2 無證書簽名方案的定義

無證書簽名方案算法構成如下：

(1)系統(tǒng)建立：輸入安全參數(shù)k，返回系統(tǒng)公共參數(shù)params及系統(tǒng)主密鑰s，建立一個無證書系統(tǒng)，同時s由KGC秘密地保存。

(2)秘密值生成：隨機選取該用戶的秘密值xID。

(3)部分密鑰生成：此算法是KGC利用已知用戶的身份標識ID，系統(tǒng)公共參數(shù)params，系統(tǒng)主密鑰，生成用戶的部分私鑰dID，并通過公共信道發(fā)給相應的用戶，由用戶保存。

(4)用戶私鑰生成：輸入系統(tǒng)公共參數(shù)params，用戶的身份標識ID，部分私鑰dID和秘密值xID，輸出該用戶的完整私鑰SKID。

(5)用戶公鑰生成：輸入用戶的身份標識ID，系統(tǒng)公共參數(shù)params、部分私鑰dID和秘密值xID，生成用戶的公鑰PKID。

(6)簽名：輸入用戶身份標識ID、系統(tǒng)參數(shù)params、待簽名消息m、公鑰PKID以及用戶私鑰SKID，執(zhí)行簽名算法生成簽名σ。

(7)驗證：驗證者輸入系統(tǒng)安全參數(shù)params、身份為ID的簽名者、用戶公鑰PKID以及消息m，對簽名σ進行有效性驗證。若通過驗證，則返回“1”，否則，返回“0”。

2 方案的具體構造

本文以老年居家無線遠程醫(yī)療監(jiān)護系統(tǒng)為例闡述方案的具體構造，如圖1所示。

圖1 系統(tǒng)模型

用戶代表病人及患者，用戶將數(shù)據(jù)發(fā)送給醫(yī)療客戶端，需要雙方進行身份的認證，確定用戶身份的合法性以及發(fā)送信息的完整性。KGC分別向用戶與遠程客戶端發(fā)送部分私鑰進行簽名的認證，KGC一般是由半可信的盈利組織擔任，存在KGC系統(tǒng)因為牟利偽造合法用戶身份的弊端。遠程醫(yī)療端一般是由醫(yī)院等醫(yī)療服務中心擔任，用戶及醫(yī)療客戶端簽名認證成功后，醫(yī)療客戶端提供相關醫(yī)療服務。

本文方案在傳統(tǒng)無證書簽名方案的基礎上，采用橢圓曲線加密算法進行完整的簽名。由KGC新生成時間密鑰，并維護一個撤銷時間表，見表1。

表1 即時撤銷過程

當檢測到用戶身份過期或私鑰泄露時，KGC給所有未被撤銷的用戶更新最新時刻t2的時間密鑰st2，已撤銷的用戶還停留在t1時刻的時間密鑰st1，無法得到最新的時間密鑰，簽名驗證不成功，從而實現(xiàn)簽名的即時撤銷性。方案的具體構造為：

(1)建立系統(tǒng)：KGC選擇安全參數(shù)k，選取有限域為Fq(q為大于3的素數(shù))的橢圓曲線E∶y2=x3+ax+b， 基點為G，P是G的一個生成元，s是系統(tǒng)主密鑰，并由KGC秘密保存s。KGC計算系統(tǒng)公鑰Ppub=s·P， KGC選擇兩個免碰撞的哈希函數(shù)：H1、H2。其中

KGC公布系統(tǒng)參數(shù)如下

params={q,G,P,Ppub,H1,H2,H3}

(2)生成秘密值：由身份為IDi的用戶隨機選取秘密值xi作為組成簽名私鑰的一部分。

(4)生成用戶公鑰：用戶計算PKi=xi·P, 并把PKi作為用戶的公鑰。

Ri=ri·P

(1)

h′i=(IDi,Ri,Ppub,t)

(2)

st=ri+h′i·s

(3)

其中，t是系統(tǒng)初始時間。將時間密鑰(Ri,st)通過公共信道發(fā)送給用戶。用戶收到時間密鑰(Ri,st)后驗證等式stP=Ri+hi·Ppub是否成立，若成立，則接受其作為時間密鑰，否則返回上級。

Ti=ti·P

(4)

σi=ti+ki·xi+di+st

(5)

其中，ki=H2(IDi,m,Ti,PKi,Ri,Ppub)， 所以簽名方輸出消息m的簽名為 (Ri,Ti,σi)。

(7)驗證簽名：遠程醫(yī)療客戶端驗證簽名以確定消息發(fā)送客戶端為合法客戶端，需做如下操作：驗證等式σi·P=Ti+ki·PKi+di+st是否成立，若等式成立，則接受該簽名，否則輸出⊥并返回上級。

3 方案證明

3.1 正確性

σi·P=ti·P+kixi·P+di·P+st·P=
Ti+ki·PKi+2ri·P+his·P+h′is·P=
Ti+kiPKi+2Ri+hiPpub+h′iPpub

可得出等式左右兩邊相等，則證明本撤銷簽名方案是正確的。

3.2 安全性

一般的無證書簽名系統(tǒng)，通常可劃分為兩類：第一類是惡意不誠實的用戶，第二類是惡意但誠實的KGC，具體描述如下：

類型一敵手：A1可以替換任意用戶公鑰，但其不知道系統(tǒng)的主密鑰與用戶的部分私鑰。

類型二敵手：A2不能替換任意用戶的公鑰，但其掌握了系統(tǒng)主密鑰和用戶的私鑰。

考慮到已撤銷的用戶仍可對密鑰進行攻擊，本文增設類型三敵手，即已撤銷的用戶：A3無法獲得新的時間密鑰，但可以替換用戶攻擊。

隨機預言模型中，攻擊者1、2類型[10-13]中已有許多詳細的證明，此處不再闡述，本文通過如下證明驗證攻擊類型3的安全性。

證明：假定給算法S一個ECDLP的實例，給定{P,aP}，利用S解決ECDLP問題。設Ppub=aP， 其中，a是系統(tǒng)主密鑰，A3是攻擊者，即已撤銷的用戶，知道用戶的秘密值和部分私鑰。S維護列表L1,L2,Ld,Lt,LPK， 初始狀態(tài)下列表為空。A3可以執(zhí)行以下詢問：

H1詢問：收到A對 {IDi,PKi,di,hi} 的列表L1詢問后，B執(zhí)行以下操作：

(1)若表L1中存在 {IDi,PKi,di,hi}， 則返回hi給A3。

H2詢問：收到A3對 {IDi,PKi,Ri,ki} 的H2詢問后，S進行以下操作：

(1)若列表L2中存在 {IDi,PKi,Ri,ki}， 則返回ki給A3。

部分私鑰詢問：收到A3對 {IDi,PKi} 的列表Ld詢問之后，S執(zhí)行以下操作：

(1)當列表Ld中存在 {IDi,PKi,Ri,di}， 則返回 {di,Ri} 給A3；

時間密鑰詢問：收到A3對 {IDi,PKi,t} 的列表Lt詢問后，S執(zhí)行以下操作：

用戶公鑰詢問：收到A3對IDi的公鑰詢問后，S執(zhí)行以下操作：

簽名詢問：收到A3對 {IDi,m} 的列表LS詢問，S執(zhí)行以下操作：

(2)若 (IDi,t)=(ID*,t*) 或公鑰已經(jīng)被替換，S失敗并終止游戲。

σiP=Ti+kiPKi+2Ri+hiPpub+h′iPpub

(6)

σi1P=Ti1+ki1PKi+2Ri+hiPpub+h′iPpub

(7)

(8)

可知上述等式中有3個未知數(shù)σ,Ti,ki， 聯(lián)立式(6)～式(8)，可求解出來這3個未知數(shù)，從而解決橢圓曲線離散對數(shù)問題。

4 方案評估

4.1 效率評估

為方便接下來的評估，定義S表示一個標量乘運算，P表示一個雙線性對運算，H表示一個散列運算。M代表一個點乘運算。本方案與滿足簽名的可撤銷性，且具有高安全性的文獻[10]與文獻[12]進行的效率對比分析見表2。

表2 效率對比

雙線性對運算P分別是標量乘S、點乘運算M與散列函數(shù)運算H的21倍[15]。因此，由表2可知，本文方案等同于進行了7次標量乘運算，而文獻[10]相當于進行70次標量乘運算，文獻[12]相當于進行了111次標量乘運算，本方案簽名效率明顯提高。

4.2 運算復雜度評估

設模乘運算的數(shù)據(jù)規(guī)模是n，一次雙線性對運算的運算復雜度是O(21n2)，一次標量乘及點乘的運算復雜度是O(n2log2n)，本文方案計算復雜度為7n2log2n，而文獻[10]、文獻[12]則包含了較多運算，計算復雜度分別為(7log2n+63)n2、(6log2n+105)n2。如圖2為在相同數(shù)據(jù)規(guī)模下3種方案運算復雜度對比，當n為10×105時，文獻[10]和文獻[12]的方案簽名復雜度分別為2×1014與2.2×1014，本方案復雜度為1×1014，簽名復雜度相比文獻[10]、文獻[12]分別提高了50%與45.5%。

圖2 簽名復雜度對比

5 實驗驗證與分析

實驗平臺采用Windows10、i7處理器模擬醫(yī)療云客戶端與云端硬件環(huán)境對數(shù)據(jù)進行簽名與驗證操作，客戶端使用JDK1.8對醫(yī)療數(shù)據(jù)進行簽名與驗證。對于橢圓曲線簽名算法，為了達到其安全級別，選擇橢圓曲線標準推薦的有限域為P,素數(shù)域為256 bit的橢圓曲線方程，即：y2=x3+ax+b， 其中P=FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFFa=FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFCb=28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93為了真實模擬中小型手腕佩戴式數(shù)據(jù)采集設備與醫(yī)療云之間信息傳輸?shù)暮灻^程，本文對UCI數(shù)據(jù)庫(University of California Irvine，UCI)真實數(shù)據(jù)集中小型設備采集的一段數(shù)據(jù)進行簽名。數(shù)據(jù)M為 {"ID":"0005","age":"45",:"gender":"girl","heartBeat":"80","bloodPressure":"140/100","step":"5000","time":"2006-03-24"}。 控制主機需要對采集的數(shù)據(jù)進行簽名操作，云端對簽名進行驗簽操作，簽名生成階段與驗證階段的仿真如圖3和圖4所示。

圖3 簽名生成階段結(jié)果

圖4 驗證生成階段結(jié)果

用戶對消息M進行簽名，簽名及驗證過程所用時間分別為0.105 s和0.008 s，以方案運行50次的平均簽名時間為基準進行對比，本文方案平均總簽名耗時0.11 s，文獻[10]和文獻[12]平均總耗時分別為0.156 s和0.166 s，本文簽名方案用時更短，適用于當前云環(huán)境下的簽名方案。

6 結(jié)束語

本文提出了一種基于橢圓曲線加密算法的無證書簽名方案，即時更新密鑰技術的引入有效解決了用戶因撤銷不即時導致的隱私泄露。KGC維護一個時間撤銷表，密鑰泄露或身份過期的用戶獲取不到最新的時間密鑰，避免了惡意第三方偽造成合法用戶，并已在隨機預言模型下證明其具有抗簽名密鑰泄露的安全性。本方案簽名用時時間為113 ms，比現(xiàn)有方案縮短了50 ms左右，更適合于當前云環(huán)境下資源受限的小型設備。