基于區塊鏈與國密SM9的抗惡意KGC無證書簽名方案

唐飛，甘寧，陽祥貴，王金洋

基于區塊鏈與國密SM9的抗惡意KGC無證書簽名方案

唐飛1，甘寧1，陽祥貴2，王金洋1

（1. 重慶郵電大學網絡空間安全與信息法學院，重慶 400065；2. 江西昌河航空工業有限公司工程技術部，江西 景德鎮 333002）

無證書密碼體制能同時解決證書管理和密鑰托管問題，但其安全模型中總是假設TypeⅡ敵手（惡意密鑰生成中心（KGC））不會發起公鑰替換攻擊，這一安全性假設在現實應用中具有一定的局限性。國密SM9簽名方案是一種高效的標識密碼方案，它采用了安全性好、運算速率高的R-ate雙線性對，但需要KGC為用戶生成和管理密鑰，存在密鑰托管問題。針對以上問題，基于區塊鏈和國密SM9簽名方案提出一種抗惡意KGC無證書簽名方案。所提方案基于區塊鏈的去中心化、不易篡改等特性，使用智能合約將用戶秘密值對應的部分公鑰記錄在區塊鏈上，在驗簽階段，驗證者通過調用智能合約查詢用戶公鑰，從而保證用戶公鑰的真實性。用戶私鑰由KGC生成的部分私鑰和用戶自己隨機選取的秘密值構成，用戶僅在首次獲取私鑰時由KGC為其生成部分私鑰來對其身份標識符背書。隨后可以通過更改秘密值及其存證于區塊鏈的部分公鑰實現私鑰的自主更新，在此過程中身份標識保持不變，為去中心化應用場景提供密鑰管理解決方法。區塊鏈依靠共識機制來保證分布式數據的一致性，用戶部分公鑰的變更日志存儲在區塊鏈中，基于區塊鏈的可追溯性，可對惡意公鑰替換攻擊行為進行溯源，從而防止惡意KGC發起替換公鑰攻擊?；趯嶒灧抡婧桶踩宰C明結果，所提方案簽名與驗簽的總開銷僅需7.4 ms，與同類無證書簽名方案相比，所提方案能有效抵抗公鑰替換攻擊，且具有較高的運算效率。

無證書簽名方案；抗惡意KGC；區塊鏈；SM9簽名

0 引言

數字簽名具有不可偽造、不可否認和保護消息完整性等特點，可對數據內容的完整性和數據源的真實性進行檢測，是保證數據安全的核心技術之一，在電子政務、電子商務、數字化醫療等領域有廣泛用途。傳統數字簽名需要證書機構（CA，certification authority）為用戶公鑰頒發證書，以確保公鑰的真實性，從而存在復雜的公鑰證書管理問題?；谏矸莸暮灻桨笇⒚荑€生成中心（KGC，key generation center）視為可信中心，雖然解決了證書管理的問題，但存在單點故障和密鑰托管問題。

Al-Riyami等[1]在2003年提出了由KGC和用戶聯合生成用戶密鑰的無證書公鑰密碼體制。無證書公鑰密碼體制能同時解決證書管理和密鑰托管問題，增強系統的安全性，這使得它成為密碼學研究的熱點之一。夏峰等[2]提出一種公鑰不可替換無證書簽名方案；王圣寶等[3]提出一個無雙線性配對的無證書簽名方案；王亞飛等[4]指出文獻[3]提出的方案是不安全的并提出改進方案；但樊愛宛等[5]和李艷瓊等[6]對文獻[4]進行分析后指出其所提方案難以抵抗惡意但被動的KGC（MKGC，malicious-but-passive KGC）攻擊，并針對此安全缺陷提出了新方案；湯永利等[7]給出針對文獻[5]的公鑰替換攻擊的偽造流程，并提出了9個新方案；王菁等[8]分析湯永利等[7]提出的9個無證書簽名方案，發現其中5個簽名方案不能抵抗公鑰替換攻擊。Hung等[9]設計了一個強不可偽造的無證書簽名方案；吳濤等[10]指出文獻[9]無法抵抗MKGC攻擊，并提出改進方案；楊小東等[11]發現文獻[10]的方案不滿足不可偽造性且不能抵抗MKGC攻擊。文獻[12]指出文獻[13]中的無證書簽名方案不安全，并提出了一種抗MKGC攻擊的安全無證書簽名方案。

分析現有無證書方案不難發現，用戶私鑰包括KGC生成的部分私鑰和用戶隨機選取的秘密值。然而，在實際應用中，惡意KGC只需隨機選取一個新的秘密值，再結合先前為用戶生成的部分私鑰，就能偽造出該用戶的一對有效公私鑰，這使得惡意KGC具備發起公鑰替換攻擊的能力。但是，在傳統無證書公鑰密碼方案的安全模型中，總是假設TypeⅡ敵手（惡意KGC）不會發起公鑰替換攻擊，這一安全性假設在現實應用中具有一定的局限性。針對無證書公鑰密碼這一局限性，文獻[2,5,7,12]做了相關研究。文獻[2]提出由KGC為用戶公鑰簽名，只要同一個用戶有兩對有效公私鑰，就能證明KGC是惡意的，但在無證書簽名方案中，驗證者并不能判斷簽名者當前是否擁有兩個有效公鑰。文獻[5]采用公告板公示用戶公鑰，但這個公告板僅由KGC維護，所以KGC仍然可以更改用戶公鑰，這樣并不能有效約束KGC。文獻[7]指出文獻[5]的方案存在安全性問題并給出改進方案，但文獻[7]提出的方案中用戶公鑰與KGC公鑰間存在線性關系，普通敵手可通過消去KGC公鑰來實現公鑰替換攻擊。文獻[12]通過校驗用戶公鑰信息的哈希值驗證用戶公鑰的有效性，由于哈希值是可公開計算的，惡意KGC能偽造出可以通過驗證的用戶公鑰，所以并不能及時發現惡意KGC的攻擊行為。上述分析表明，現有無證書簽名方案不能及時發現并阻止惡意KGC的公鑰替換攻擊行為。

針對上述問題，本文主要工作如下。

1) 基于區塊鏈技術和SM9標識密碼算法[14]提出了一個抗惡意KGC公鑰替換攻擊的簽名方案。

2) 基于可證明安全理論，證明了所提方案在適應性選擇消息和標識攻擊模型下具有不可偽造性；基于區塊鏈的不易篡改性，采用區塊鏈存證用戶部分公鑰，保證用戶公鑰的真實性，并且能夠及時發現惡意KGC的公鑰替換攻擊行為。

3) 實驗結果表明，采用區塊鏈存證用戶部分公鑰的本文方案是可行的，方案簽名與驗簽總開銷約為7.4 ms；與同類無證書簽名方案對比，所提方案能更好地抵抗惡意KGC發起的公鑰替換攻擊，且具有更高的計算效率和較短的簽名長度。

1 預備知識

1.1 雙線性對與復雜性假設

若ECDL問題在多項式時間內可解的概率是可忽略的，則稱ECDL假設成立；同理，若-SDH問題在多項式時間內可解的概率是可忽略的，則稱-SDH假設成立。

1.2 國密SM9

作為基于身份的密碼方案，SM9受到越來越多的關注。近年來，國內學者基于SM9密碼方案開展大量研究工作，證明了SM9簽名具有EUF- CMIA安全性[15]，基于SM9提出了聚合簽名[16]、可搜索加密[17]、聚合簽名[18]、部分盲簽名[19]、環簽名[20]、可追蹤屬性簽名[21]以及群簽名[22]等方案，另外，SM9廣泛應用于區塊鏈、電子郵件、物聯網、車聯網和跨域協同等場景中的隱私保護[23-24]、身份認證[25-26]、密鑰管理[27-29]等方向。

1.3 無證書簽名方案的形式化定義

圖1 無證書密碼方案中用戶完整密鑰對的結構

Figure 1 User complete key pair structure in certificateless signature scheme

一個無證書簽名方案由以下7個算法構成。

1.4 區塊鏈

區塊鏈是比特幣的底層技術[30]，以數據區塊為單位存儲數據，每個區塊中記錄一批交易信息，其本質是一個無中心的賬本數據庫。區塊結構如圖2所示。

區塊鏈結合共識算法、密碼學等相關技術，能讓分布式節點達成數據一致性共識，使得賬本信息不被惡意篡改。區塊鏈具有去中心化、不易篡改、維護成本低、安全性強等特性，適用于解決信任管理、可靠溯源與可信監管等問題。

1.5 KGC信任等級

Girault[31]在1991年把可信中心（本文指KGC）劃分為3個信任等級。

圖2 區塊結構

Figure 2 block structure

等級1：KGC知道任意合法用戶的密鑰，即KGC可以偽造任意用戶對任意消息的簽名而不被發現。

等級2：KGC不知道任意合法用戶的密鑰，但可以偽造出“合法”的假密鑰，且能使用假密鑰偽造簽名而不被發現。

等級3：KGC不知道任意合法用戶的密鑰，且若KGC偽造密鑰，用戶可以發現且提供證據證明該密鑰是偽造的。

滿足等級3的無證書簽名方案意味著方案中的KGC不能通過改變為用戶生成的部分私鑰來模擬用戶，即KGC不能為同一個公鑰提供不同的部分私鑰。

2 抗惡意KGC無證書簽名方案

2.1 基于區塊鏈的無證書簽名定義

基于區塊鏈的KGC無證書簽名方案由以下一系列算法構成。

2.2 方案構造

本節給出基于區塊鏈與SM9的抗惡意KGC無證書簽名方案的具體構造。方案設計采用SM9標識密碼算法中的符號，具體描述如下。

2) 區塊鏈系統初始化。先初始化區塊鏈節點公私鑰及區塊鏈系統參數；然后事先部署智能合約——全局管理智能合約（GMSC，global manage smart contract）并將其作為區塊鏈中的全局合約，記錄區塊鏈中部署的智能合約，包括身份記錄智能合約（IRSC，identity record smart contract）、身份查詢智能合約（IQSC，identity query smart contract），從而實現上鏈和查詢功能。智能合約框架如圖3所示。

圖3 智能合約框架

Figure 3 Smart contract framework

算法1 部分私鑰生成

算法2 秘密值證明查詢

執行智能合約：

2.3 正確性與可驗證性分析

（1）正確性

（2）可驗證性

2.4 安全性分析

（1）抗公鑰替換攻擊

本文的無證書簽名方案滿足可驗證性，簽名者可以通過式(1)驗證KGC生成的部分私鑰，使得攻擊者無法通過改變部分私鑰的方式實現公鑰替換攻擊，削弱了攻擊者替換公鑰的能力。另外，本文方案將簽名者選取秘密值放在KGC生成部分私鑰之前，使簽名者設置的秘密值成為KGC產生部分私鑰的前置條件，有效地約束了KGC的行為。

簽名者所選秘密值對應的部分公鑰（用戶秘密值證明）由區塊鏈存證，且簽名者更換秘密值時的日志由區塊鏈記錄。區塊鏈存儲與傳統的分布式存儲不同，區塊鏈的每個節點都按照塊鏈式結構存儲完整的數據，且每個節點存儲都是獨立且地位等同的。區塊鏈依靠共識機制保證存儲的一致性，沒有任何一個節點可以單獨記錄賬本數據，有效避免出現記假賬的行為?；趨^塊鏈數據存儲去中心化、不易篡改、可追溯的特性，如果敵手用偽造秘密值證明替換用戶原本的秘密值證明，惡意替換的行為就會暴露；一旦惡意KGC偽造密鑰，用戶就能及時發現并提供證據證明該密鑰是偽造的。

因此，本文方案屬于KGC信任等級3，不僅可以很好地抵御惡意KGC的公鑰替換攻擊，還能保證簽名者秘密值的確定性，進而有效保證簽名的不可抵賴性。

（2）不可偽造性

本文方案在自適應選擇消息攻擊下具有不可偽造性。下面在隨機預言機模型下進行不可偽造性的證明。

2.5 對比分析

（1）區塊鏈存證開銷

本文基于Hyperledger Fabric 2.2.5，在Ubuntu 22.04中借助Docker搭建了本地測試環境，并用go語言編寫鏈碼，進行上鏈和查詢的測試，時間消耗如表1所示。

表1 上鏈與查詢時間

（2）效率分析與安全性比較

表2 基本運算效率對比

表4 基于區塊鏈的方案安全性比較

從表3可知，本文方案具有更短的簽名長度和更高的效率，更重要的是，結合表4的比較分析，本文方案滿足可信中心信任等級3且能抵抗惡意KGC公鑰替換攻擊，具有更高安全性。

3 結束語

本文提出一種基于區塊鏈和SM9的抗惡意KGC的無證書簽名方案，并證明了其安全性。通過區塊鏈記錄用戶部分公鑰，可保證用戶部分公鑰的真實有效性，有效防止用戶公鑰被惡意替換，可以抵抗惡意KGC公鑰替換攻擊。

[1] Al-RIYAMI S S, PATERSON K G. Certificateless public key cryptography[C]//Proceedings of 9th International Conference on the Theory and Application of Cryptology. 2003: 452-473.

[2] 夏峰, 楊波. 公鑰不可替換無證書簽名方案[J]. 計算機科學, 2012, 39(8): 92-95.

XIA F, YANG B. Certificateless signature scheme without public key replaced[J]. Computer Science, 2012, 39(8): 92-95.

[3] 王圣寶, 劉文浩, 謝琪. 無雙線性配對的無證書簽名方案[J]. 通信學報, 2012, 33(4): 93-98.

WANG S B, LIU W H, XIE Q. Certificateless signature scheme without bilinear pairings[J]. Journal on Communications, 2012, 33(4): 93-98.

[4] 王亞飛, 張睿哲. 強安全無對的無證書簽名方案[J]. 通信學報, 2013, 34(2): 94-99.

WANG Y F, ZHANG R Z. Strongly secure certificateless signature scheme without pairings[J]. Journal on Communications, 2013, 34(2): 94-99.

[5] 樊愛宛, 楊照鋒, 謝麗明. 強安全無證書簽名方案的安全性分析與改進[J]. 通信學報, 2014, 35(5): 118-123.

FAN A W, YANG Z F, XIE L M. Security analysis and improvement of strongly secure certificate less signature scheme[J]. Journal on Communications, 2014, 35(5): 118-123.

[6] 李艷瓊, 李繼國, 張亦辰. 標準模型下安全的無證書簽名方案[J]. 通信學報, 2015, 36(4): 189-198.

LI Y Q, LI J G, ZHANG Y C. Certificateless signature scheme without random oracles[J]. Journal on Communications, 2015, 36(4): 189-198.

[7] 湯永利, 王菲菲, 葉青, 等. 改進的可證明安全無證書簽名方案[J]. 北京郵電大學學報, 2016, 39(1): 112-116.

TANG Y L, WANG F F, YE Q, et al. Improved provably secure certificateless signature scheme[J]. Journal of Beijing University of Posts and Telecommunications, 2016, 39(1): 112-116.

[8] 王菁, 李祖猛. 幾個無證書簽名方案的偽造攻擊[J]. 網絡與信息安全學報, 2020, 6(3): 108-112.

WANG J, LI Z M. Forgery attacks on several certificate lesssignature schemes[J]. Chinese Journal of Network and Information Security, 2020, 6(3): 108-112.

[9] HUNG Y H, HUANG S S, TSENG Y M, et al. Certificateless signature with strong unforgeability in the standard model[J]. Informatica, 2015, 26(4): 663-684.

[10] 吳濤, 景曉軍. 一種強不可偽造無證書簽名方案的密碼學分析與改進[J]. 電子學報, 2018, 46(3): 602-606．

WU T, JING X J. Cryptanalysis and improvement of a certificateless signature scheme with strong unforgeability[J]. Acta Electronica Sinica, 2018, 46(3): 602-606.

[11] 楊小東, 王美丁, 裴喜禎, 等. 一種標準模型下無證書簽名方案的安全性分析與改進[J]. 電子學報, 2019, 47(9): 1972-1978.

YANG X D, WANG M D, PEI X Z, et al. Security analysis and improvement of a certificateless signature scheme in the standard model[J]. Acta Electronica Sinica, 2019, 47(9): 1972-1978.

[12] YANG W, WANG S, WU W, et al. Top-level secure certificateless signature against malicious-but-passive KGC[J]. IEEE Access, 2019, 7: 112870-112878.

[13] SHIM K A. A new certificateless signature scheme provably secure in the standard model[J]. IEEE Systems Journal, 2019, 13(2): 1421-1430.

[14] 國家市場監督管理總局, 國家標準化管理委員會. GB/T38635.2-2020 信息安全技術 SM9標識密碼算法第2部分: 算法[S]. 中國標準出版社, 2020.

State Administration of Market Supervision and State Standardization Administration Committee. GM/T 38635.2-2020 Information security technology—Identity-based cryptographic algorithms SM9—Part 2: algorithms[S]. China Standards Press, 2020.

[15] 賴建昌, 黃欣沂, 何德彪, 等. 國密 SM9 數字簽名和密鑰封裝算法的安全性分析. 中國科學: 信息科學, 2021, 51: 1900-1913.

LAI J C, HUANG X Y, HE D B, et al. Security analysis of SM9 digital signature and key encapsulation (in Chinese). Scientia Sinica Informations, 2021, 51: 1900-1913.

[16] 唐飛, 凌國瑋, 單進勇. 基于國密SM2和SM9的加法同態加密方案[J]. 密碼學報, 2022, 9(3): 535-549.

TANG F, LING G W, SHAN J Y. Additive homomorphic encryption schemes based on SM2 and SM9[J]. Journal of Cryptologic Research, 2022, 9(3): 535-549.

[17]張超, 彭長根, 丁紅發, 等. 基于國密SM9的可搜索加密方案[J]. 計算機工程, 2022: 1-10.

ZHANG C, PENG C G, DING H F, et al. Searchable encryption scheme based on china state cryptography standard SM9[J]. Computer Engineering, 2022: 1-10.

[18] 安濤, 馬文平, 劉小雪. VANET中基于SM9密碼算法的聚合簽名方案[J]. 計算機應用與軟件, 2020, 37(12): 280-284.

AN T, MA W P, LIU X X. Aggregate signature scheme based on SM9 cryptographic algorithm in VANET[J]. Computer Applications and Software, 2020, 37(12): 280-284.

[19] 呂堯, 侯金鵬, 聶沖, 等. 基于SM9算法的部分盲簽名方案[J]. 網絡與信息安全學報, 2021, 7(4): 147-153.

LYU Y, HOU J P, NIE C, et al. Partial blind signature algorithm based on SM9[J]. Chinese Journal of Network and Information Security, 2021, 7(4): 147-153.

[20]彭聰, 何德彪, 羅敏, 等. 基于SM9標識密碼算法的環簽名方案[J].密碼學報, 2021, 8(4): 724-734.

PENG C, HE D B, LUO M, et al. An identity-based ring signature scheme for SM9 algorithm[J]. Journal of Cryptologic Research, 2021, 8(4): 724-734.

[21] 唐飛, 凌國瑋, 單進勇. 基于國產密碼算法SM9的可追蹤屬性簽名方案[J]. 電子與信息學報, 2022, 44: 1-8.

TANG F, LING G W, SHAN J Y. Traceable attribute-based signature scheme based on domestic cryptographic SM9 algorithm[J]. Journal of Electronics and Information, 2022, 44: 1-8.

[22] 楊亞濤, 蔡居良, 張筱薇, 等. 基于SM9算法可證明安全的區塊鏈隱私保護方案[J]. 軟件學報, 2019, 30(6): 1692-1704.

YANG Y T, CAI J L, ZHANG X W, et al. Privacy preserving scheme in block chain with provably secure based on SM9 algorithm[J]. Journal of Software, 2019, 30(6): 1692-1704.

[23] 郭陽楠, 蔣文保, 葉帥. 可監管的區塊鏈匿名交易系統模型[J]. 計算機應用, 2022: 1-10.

GUO Y N, JIANG W B, YE S. Supervisable blockchain anonymous transaction system model[J]. Computer Applications, 2022: 1-10.

[24] 聞慶峰, 楊文捷, 張永強. SM9及其PKI在電子政務郵件系統中的應用[J]. 計算機應用與軟件, 2017, 34(4): 105-109.

WEN Q F, YANG W J, ZHANG Y Q. Application of SM9 and PKI in e-government e-mail system[J]. Computer Applications and Software, 2017, 34(4): 105-109.

[25] 馬曉婷, 馬文平, 劉小雪. 基于區塊鏈技術的跨域認證方案[J]. 電子學報, 2018, 46(11): 2571-2579.

MA X T, MA W P, LIU X X. A cross domain authentication scheme based on blockchain technology[J]. Acta electronica Sinica, 2018, 46(11): 2571-2579.

[26] 邱帆, 胡凱雨, 左黎明, 等. 基于國密SM9的配電網分布式控制身份認證技術[J]. 計算機應用與軟件, 2020, 37(9): 291-295.

QIU F, HU K Y, ZUO L M, et al. Distributed control identity authentication technology based on SM9[J]. Computer Applications and Software, 2020, 37(9): 291-295.

[27] 姚英英, 常曉林, 甄平. 基于區塊鏈的去中心化身份認證及密鑰管理方案[J]. 網絡空間安全, 2019, 10(6): 33-39.

YAO Y Y, CHANG X L, ZHEN P. Decentralized identity authentication and key management scheme based on blockchain[J]. Cyberspace Security, 2019, 10(6): 33-39.

[28] 許盛偉, 任雄鵬, 袁峰, 等. 一種關于SM9的安全密鑰分發方案[J].計算機應用與軟件, 2020, 37(1): 314-319.

XU S W, REN X P, YUAN F, et al. A secure key issuing scheme for SM9[J]. Computer Applications and Software, 2020, 37(1): 314-319.

[29] 吳俊青, 彭長根, 譚偉杰, 等. FaceEncAuth: 基于FaceNet和國密算法的人臉識別隱私安全方案[J]. 計算機工程與應用, 2022: 1-7.

WU J Q, PENG C G, TAN W J, et al. FaceEncAuth: face recognition privacy security scheme based on FaceNet and SM algorithms[J]. Computer engineering and application, 2022: 1-7.

[30] NAKAMOTO S. Bitcoin: A peer-to-peer electronic cash system[J]. Decentralized Business Review, 2008: 21260.

[31] GIRAULT M. Self-certified public keys[C]//Workshop on the Theory and Application of Cryptographic Techniques. Springer, 1991, 547(1): 490-497.

[32] POINTCHEVAL D, STERN J. Security arguments for digital signatures and blind signatures[J]. Journal of Cryptology, 2000, 13(3): 361-396.

[33] 葉勝男, 陳建華. 一個強安全的無證書簽名方案的分析和改進[J].計算機科學, 2021, 48(10): 272-277.

YE S N, CHEN J H. Security Analysis and improvement of strongly secure certificateless digital signature Scheme[J]. Computer Science, 2021, 48(10): 272-277.

[34] LIU J, LI X, YE L, et al. BPDS: a blockchain based privacy-preserving data sharing for electronic medical records[C]//Proceedings of 2018 IEEE Global Communications Conference (GLOBECOM). 2018: 1-6.

[35] ALI I, GERVAIS M, AHENE E, et al. A blockchain-based certificateless public key signature scheme for vehicle-to-infrastructure communication in VANETs[J]. Journal of Systems Architecture, 2019, 99: 101636.

[36] BENIL T, JASPER J. Cloud based security on outsourcing using blockchain in E-health systems[J]. Computer Networks, 2020, 178: 107344.

Anti malicious KGC certificateless signature scheme based on blockchain and domestic cryptographic SM9

TANG Fei1, GAN Ning1, YANG Xianggui2, WANG Jinyang1

1. School of Cyber Security and Information Law, Chongqing University of Posts and Telecommunications, Chongqing 400065, China 2. Department of Engineering Technology, Jiangxi Changhe Aviation Industry CO.,LTD, Jingdezhen 333002, China

The certificateless cryptosystem can solve the problems of certificate management and key escrow at the same time, but its security model always assumes that Type II adversary (named malicious KGC) will not launch public key replacement attacks. This security assumption has certain limitations in real-world applications. As an efficient identity-based cryptographic scheme, SM9 signature scheme adopts R-ate bilinear pairing which has good security and high computational efficiency. However, it requires KGC to generate and manage keys for users, so it has the problem of key escrow. In view of the above problems, a certificateless signature scheme against malicious KGC was constructed based on blockchain and SM9 signature algorithm. Based on the properties of decentralization and tamper-proof of blockchain, the proposed scheme used the smart contract to record part of the public key corresponding to the user’s secret value on the blockchain. Then, the verifier can revoke the smart contract to query the user’s public key during the signature verification stage. Therefore, the proposed scheme ensured the authenticity of the user’s public key. The user’s private key consisted of the partial private key generated by KGC and a secret randomly chosen by the user. The user required the partial private key generated by KGC to endorse his identity identifier when the user generates the private key for the first time. Subsequently, the private key can be independently updated by changing the secret and the corresponding partial public key. During this process, the identity remains unchanged, which provided a viable solution for key management in decentralized application scenarios. The blockchain relied on the consensus mechanism to ensure the consistency of the distributed data. Based on the traceability of the blockchain, the change log of user’s partial public key was stored in the blockchain, which can trace the source of malicious public key replacement attacks and thereby prevent malicious KGC from launching public key replacement attacks. According to the experimental simulation and security proof results, the total overhead of signature and verification of the proposed scheme is only 7.4ms. Compared with similar certificateless signature schemes, the proposed scheme can effectively resist public key replacement attacks and has higher computational efficiency.

certificateless signature, anti malicious KGC, blockchain, SM9 signature

TP309

A

10.11959/j.issn.2096?109x.2022073

2022?07?20；

2022?09?30

唐飛，tangfei@cqupt.edu.cn

國防基礎科研計劃（JCKY2020205C013）

The National Defense Basic Research Program (JCKY2020205C013)

唐飛, 甘寧, 陽祥貴, 等. 基于區塊鏈與國密SM9的抗惡意KGC無證書簽名方案[J]. 網絡與信息安全學報, 2022, 8(6): 9-19.

TANG F, GAN N, YANG X G, et al. Anti malicious KGC certificateless signature scheme based on blockchain and domestic cryptographic SM9[J]. Chinese Journal of Network and Information Security, 2022, 8(6): 9-19.

唐飛（1986?），男，重慶墊江人，博士，重慶郵電大學副教授、博士生導師，主要研究方向為公鑰密碼、隱私保護、區塊鏈等。

甘寧（1998?），女，重慶綦江人，重慶郵電大學碩士生，主要研究方向為區塊鏈、公鑰密碼。

陽祥貴（1985?），男，江西宜春人，江西昌河航空工業有限公司高級工程師，主要研究方向為信息化、數字化、智能制造。

王金洋（1998?），男，重慶渝北人，重慶郵電大學碩士生，主要研究方向為區塊鏈、公鑰密碼。