无双线性对的无证书聚合签密方案

无证书聚合签名方案明洋;赵祥模;王育民【期刊名称】《电子科技大学学报》【年(卷),期】2014(000)002【摘要】聚合签名通过聚合n个签名(n个不同签名者对n个不同消息生成)为一个签名，节省带宽和提高签名验证效率。

无证书公钥密码体制解决了传统公钥密码体制中的证书管理问题以及基于身份密码体制中的密钥托管问题。

该文基于双线性对提出一个新的高效的无证书聚合签名方案。

分析表明，在随机预言机模型中计算性Diffie-Hellman假设下，所提方案能够抵抗适应性选择消息攻击下的存在性伪造攻击，同时所提方案签名长度独立于签名者的数量仅为2个群元素，签名验证中仅需要4个对和n个标量乘运算，因此该方案更加适合资源受限网络环境中的应用。

%Aggregate signatures allow an efficient algorithm to aggregate n signatures of n distinct messages from n different signers into one single signature. Aggregate signature is useful to save bandwidth and improve the efficiency in verification phase. Certificateless public key cryptography overcomes the complicated certificate management in traditional public key cryptography and key escrow problem in identity based cryptography. In this paper, we present a new efficient certificateless aggregate signature scheme based on the bilinear pairing. The analysis shows that the proposed scheme is proven existentially unforgeable against adaptive chosen message attacks under the computational Diffie-Hellman assumption in the random oracle model. The signature length is only twogroup elements, which is independent of the number of signers, and the signature needs only four pairings and n scalar multiplications computations in verification phase. Thus, the proposed scheme is more suitable for the applications, in resource-constrained environment.【总页数】6页(P188-193)【作者】明洋;赵祥模;王育民【作者单位】长安大学信息工程学院西安 710064;长安大学信息工程学院西安710064;西安电子科技大学综合业务网理论与关键技术国家重点实验室西安710071【正文语种】中文【中图分类】TN918.1【相关文献】1.VANET中隐私保护的无证书聚合签名方案 [J], 赵楠; 章国安; 谷晓会2.一种可证安全的车联网无证书聚合签名改进方案 [J], 谢永; 李香; 张松松; 吴黎兵3.无证书聚合签名方案的分析 [J], 魏爽4.面向IoV的无证书聚合签名方案 [J], 汪五义;张文波5.无证书聚合签名方案的分析 [J], 魏爽因版权原因，仅展示原文概要，查看原文内容请购买。

收稿日期:2019-12-09 修回日期:2020-04-10基金项目:国家自然科学基金(61073188)作者简介:李　晨(1995-),男,硕士研究生,研究方向为网络与信息安全;祁正华,副教授,博士研究生,研究方向为网络与信息安全㊂高效安全的无证书聚合签密方案李　晨,祁正华(南京邮电大学计算机学院㊁软件学院,江苏南京210003)摘　要:无证书聚合签密是多个加密方分别签密不同的消息然后聚合成一个签密进行传输,保证安全性的同时提高了传输和验证的效率,并且采用了低繁琐度㊁无密钥托管问题的无证书方式㊂在物联网蓬勃发展的今天,聚合签密具有可观的应用场景㊂以往的聚合签密方案需要多次群内双线性运算和指数运算,计算效率较低㊂对无证书签密方案进行了研究,在不降低签密算法的复杂性和混乱性的前提下,聚合并优化了前人的无证书签密方案,提出了一种安全高效的无证书无双线性对运算的聚合签密方案,分析了随机预言模型下的安全性和效率㊂理论分析表明,此方案避免了密钥的线性化,在所需的应用场景下,强抗碰撞性的Hash 函数条件下,具有机密性和不可伪造性,并且具有更高的计算效率㊂关键词:聚合签密;无证书;无双线性对;随机预言模型;离散对数问题中图分类号:TP 3 文献标识码:A 文章编号:1673-629X (2020)10-0117-06doi :10.3969/j.issn.1673-629X.2020.10.022An Efficient and Safe Certificateless Signcryption SchemeLI Chen ,QI Zheng -hua(School of Computer Science and Technology ,School of Software ,Nanjing University ofPosts and Telecommunications ,Nanjing 210003,China )Abstract :Certificateless aggregate signcryption is that multiple encryptors signcrypt different messages and then aggregate them into a signcryption for transmission ,improving the efficiency of transmission and verification securely ,and adopt a certificateless method with low complexity and no key escrow.Today ,with the rapid development of the IoT ,aggregate signcryption has considerable application scenarios.The previous aggregation signcryption schemes required multiple bilinear operations in the group and exponential operations ,which leads to the low calculation efficiency.For this reason ,aggregating and optimizing the previous certificateless signcryption schemes without reducing the complexity and chaos of the signcryption algorithm ,we propose a secure and efficient aggregated signcryption scheme without certificate and bilinear pairing operation ,and analyze the security and efficiency with the random oracle model.Theoretical analysis shows that the proposed scheme avoids linearization of the key.Under the required application scenarios and Hash function with strong collision resistance ,this scheme is confidential and unforgeable ,and has higher computing efficiency.Key words :aggregate signcryption ;certificateless ;no -bilinear pairing ;random oracle model ;discrete logarithm problem0　引　言Shamir 开创了基于身份的公钥密码体制[1],降低了因交换公钥产生的泄密风险㊂文献[2]提出了签密的概念,同时完成了签名和加密的操作,大大提高了效率㊂Al -Riyami 又于2003年[3]提出无证书的签密方案,解决了公钥证书管理及验证问题,同时因为抗密钥托管的优点而被广泛关注㊂Barbosa 等[4]在Al -Riyami 的基础上提出了新的无证书签密方案并给出了安全模型㊂Qi [5]提出了一种可证安全的无证书环签密方案,展现了无证书签密体制的优势㊂同时Qi [6]又设计了两种可证明安全的聚合签密方案[7]㊂聚合签密能将多个密文进行聚合且提供批量验证,提升了传输效率,聚合简化了多个消息的验证㊂适用在大规模分布式通信的多对一模式下,尤其伴随着5G 的推广使用,可穿戴设备和智能家居所生成的记录,都需要各个相应的实体进行签密,映射为多对一的情况,也就是聚合签密,它非常适用于带宽和计算资源有限的物联网应用㊂2010年,Zhu [8]优化了签密过程并给出了一种新的无证书签密方案,因其无双线性对,大大提高了效率,但是被Zhou [9]证明不满足不可伪造性和机密性㊂2017年,Wang [10]在此基础上提出了一个更安全的不第30卷　第10期2020年10月 计算机技术与发展COMPUTER TECHNOLOGY AND DEVELOPMENT Vol.30　No.10Oct.　2020使用双线性对的无证书签密方案㊂这一点给了文中签密方案一定的启示㊂2017年,Wang[11]提升了计算效率,利用了Zhou[9]的安全模型进行证明,优化并给出了一个高效的签密方案,文中签密方案利用了同样的安全证明模型,在随机预言机模型下同样满足不可伪造性㊂1　相关基础1.1　困难问题假设定义1:离散对数问题㊂令q(q>2k,k为安全参数)为某大素数,循环群G的阶为q,P是群G的生成元;对于任意未知的b∈Z*q,bP∈Z*q离散对数问题的目标是计算b㊂1.2　聚合签密聚合签密[4]是一种类似于聚合签名的概念,即:给定n个用户ID i∈U(1≤i≤n,U为用户集合),一一对应于消息m i∈M(M为消息集合)的n个签密,各自签密完成后交给一个信任的聚合签密角色,将这些签密聚合并成一条签密㊂接收方收到这个聚合的签密时,只需要验证一次就可以确定签密的安全性,然后可以按照需要单独解密某一用户的密文㊂这样更具灵活性而且缩短了签密的长度,扩展了聚合签名的实用性㊂聚合签密在低带宽低效率的多发送者环境中应用广泛㊂1.3　算法定义将无证书的聚合签密简化为五个部分,如下: (1)初始化(Setup)㊂给定一个安全的参数k, PKG计算出系统的公开参数params和系统的主密钥s㊂(2)用户密钥生成(private-Key-Extract)㊂根据用户的身份ID i,用户设置私钥x i,计算出对应的公钥Xi,并发送给KGC㊂(3)部分私钥生成(partial-Key-Extract)㊂输入身份信息ID i,PKG利用主密钥s计算出相应身份的公钥Y i和私钥y i,并通过安全信道传送给用户㊂(4)聚合签密(Signcryption)㊂聚合签密由n个用户组成,输入公开参数params,用户身份信息和对应的公钥对和私钥对,相应对应的信息m i,计算聚合签密㊂(5)解签密(un-Signcryption)㊂输入聚合签密,公开参数params,用户身份信息和对应的公钥对和私钥对,进行验证和解签密㊂1.4　安全模型无证书聚合签密方案将面临两类敌手的攻击㊂(1)若敌手无法掌握系统的主密钥,但其具有替换合法用户公钥的能力,则此类敌手为恶意用户,记为A1㊂(2)若敌手可掌握系统的主密钥,但其不具有替换合法用户公钥的能力,则此类敌手为恶意KGC,记为A2㊂2　改进的无证书聚合签密方案无证书聚合签密包含5个算法:(1)初始化㊂对于KGC:定义阶为素数q(q>2k)的循环群G,生成元为P,三个安全的抗碰撞的Hash函数H1: {0,1}*→{0,1}l,H1:{0,1}l×G×G→Z*q,H2: {0,1}l×{0,1}l×G→Z*q,H3:{0,1}l×G×G →Z*q(l1为用户表示ID的比特长度);随机选择s∈Z*q作为主密钥,计算P pub=sP,安全保存主密钥s㊂则系统公开参数params:{G,q,P,P pub,H0,H1, H2,H3}㊂(2)用户密钥生成㊂对于用户U i:随机选取秘密值x iÎZ*q,计算X i= xiP,将身份标识IDi和公开参数X i返回给KGC㊂(3)部分私钥生成㊂KGC收到Ui的<ID i,X i>,KGC随机选取r i∈Z*q,Y i=r i P,h1i=H1(ID i,X i,Y i),y i=r i+sh1i,安全地将y i和Y i发送给用户ID i,用户可以通过等式yiP=Yi+P pub H1(ID i,X i,Y i)来验证KGC所分配的密钥的正确性㊂验证成功后用户私钥为(x i,y i),公钥为(X i,Y i)㊂(4)聚合签密㊂用户U i对发送给ID B的消息m i进行签密,然后发送给聚合签密者(U Agg)㊂①用户U i执行以下操作:随机选择a i∈Z*q,计算R i=a i P;将R i发送给其他n-1个用户,当U i收到其他n-1个用户的R i后,计算R=∑n i=1R i;计算h1b=H1(ID b,X b,Y b)和k i=x i(X b+Y b+ P pub h1b);计算h2i=H2(ID i,ID b,R i)和S i=(a i h2i)-1(x i+ yi);加密Wi=(IDi‖m i)⊕H3(ID b,a i X b,k i),生成U i 对ID B的消息m i的签密σi=(R,R i,S i,W i)㊂②聚合签密者U Agg收到n个用户ID i∈U(1≤i≤n,U为用户集合)的n个签密σi=(R,R i, Si,W i);计算R'=∑n l=1R i,验证R'=R,成立则计算S=∑n i=1S i,聚合签密为σ=<{R i,W i},S>(1≤i≤n)㊂㊃811㊃ 计算机技术与发展 第30卷(5)解签密㊂接收者ID B 对接收到的σ=<{R i ,W i },S >进行解签密,步骤如下:计算k 'i =X i (x b +y b );计算h '2i =H 2(ID i ,ID b ,R i )和h 1i =H 1(ID i ,X i ,Y i );解密ID i ‖m i =H 3(ID b ,x b R i ,k 'i)⊕W i ;验证S =∑n i =1[(X i +Y i +P pub h 1i )(h '2iR i )-1]是否成立,正确则输出对应的ID i ‖m i (i =1,2, ,n ),否则签密无效㊂3　安全性分析3.1　正确性(1)验证正确性㊂k i =x i (X b +Y b +P pub h 1b )=x i (x b P +r b P +sPh 1b )=X i (x b +r b +sh 1b )=X i (x b +y b )=k 'iID i ‖m i =H 3(ID b ,x b R i ,k i )⊕W i =H 3(ID b ,x b R i ,k i )⊕H 3(ID b ,a i X b ,k 'i )⊕ID i ‖m i(2)验证合法性㊂S =∑n i =1[(X i +Y i +P pub h 1i )(h '2i R i )-1]=∑ni =1[(x i P +r i P +sPh 1i )(h '2i a i P )-1]=∑ni =1[(xi+r i +sh 1i )(h '2i a i P )-1]=∑ni =1[(xi+y i )(h '2ia i )-1]=∑n i =1Si3.2　安全性定理1:文中的无证书聚合签密方案在随机预言模型且离散问题难解的情况下,在适应性选择消息攻击下具有不可伪造性(EUF -CMA )㊂引理1:随机预言模型下,存在算法T 1成功解决离散对数问题且概率为ε㊂假设进行过最多q s 次签密询问,q k 次部分密钥生成询问和q sk 次私钥生成询问,那么能进行伪造性攻击的概率为:Adv(T 1)≥(1-q k 2k )(1-q sk 2k )εne (q s +n )㊂证明:假设算法T 1作为离散对数问题的解决者,输入的(P ,bP )中b ∈Z *q 是未知,目的得到b ㊂T 1为挑战者,运行Setup ,生成params =<G ,q ,P ,P pub ,H 1,H 2,H 3>,令P pub =bP ,将params 发送给敌手A 1;生成Hash 表(起始为空)L 1,L 2,L 3,L k ,L sk ,L rep ,L pk ,一一对应于H 1,H 2,H 3,部分密钥生成,私钥生成,公钥替换,公钥生成的询问,将这些表的操作跟踪下来㊂T 1选择身份ID j 作为其猜测的挑战身份,则T 1选择其猜测的身份ID j 的概率为ζ∈[1q s +n ,1q s +1]㊂(1)询问阶段㊂H 1查询:对于h 1i =H 1(ID i ,X i ,Y i )输入ID i ,X i ,Y i 查询h 1i ,如果不存在相应的数据,T 1随机选取h 1i ÎZ *q 使表L 1中不存在相应的数据<ID i ,X i ,Y i ,h 1i >,并添加<ID i ,X i ,Y i ,h 1i >到表L 1,同时返回h 1i 给A 1㊂H 2查询:对于H 2i =H 2(ID i ,ID b ,R i )输入ID i ,ID b ,R i 查询H 2i ,如果不存在相应的数据,T 1随机选取x i ÎZ *q ,计算X i =x i P ,通过对ID i 和X i 进行部分密钥生成询问得到其对应的<ID i ,y i ,Y i >,添加<ID i ,y i ,Y i >到L sk ,返回SK i =(x i ,y i )给A 1并且添加<ID i ,X i ,Y i >到列表L pk ㊂H 3查询:对于h 3=H 3(ID b ,a i X b ,k i )输入ID b ,a i X b ,k i 查询h 3,如果不存在相应的数据,T 1随机选取h 3ÎZ *q ,进行私钥生成查询和公钥生成查询,获得x i ,X b 和Y b ,计算k i =x i (X b +Y b +P pub h 1b ),使得表L 3中不存在相应的<ID b ,a i X b ,k i ,h 3>,并添加相应的<ID b ,a i X b ,k i ,h 3>到表L 3,同时返回h 3给A 1㊂部分密钥生成询问:对于<ID i ,y i ,Y i >输入ID i 查询y i ,Y i ,如果不存在相应的数据,如果ID i ≠ID j ,T 1随机选取y i ,h 1i ÎZ *q ,计算Y i =y i P -P pub h 1i ,添加<ID i ,y i ,Y i >到表L k ,返回(y i ,Y i )给A 1,如果表L 1中不存在相应的数据,则添加<ID i ,X i ,Y i ,h 1i >到表L 1中;如果ID i =ID j ,T 1随机选取y i ,h 1i ÎZ *q ,令Y j =r know P (r know ÎZ *q 是已知的随机数),添加<ID j ,y j ,Y j >到表L k ,返回(y j ,Y j )给A 1,如果表L 1中不存在相应的数据,则添加<ID i ,X i ,Y i ,h 1i >到表L 1㊂私钥生成询问:对于<ID i ,x i ,y i >输入ID i 查询x i ,y i ,如果不存在相应的数据,T 1随机选取x i ÎZ *q ,计算X i =x i P ,通过对ID i 和X i 进行部分密钥生成询问,得到对应的<ID i ,y i ,Y i >,添加<ID i ,x i ,y i >到表L sk ,返回SK i =(x i ,y i )给A 1㊂公钥生成询问:对于<ID i ,X i ,Y i >输入ID i 查询X i ,Y i ,如果不存在相应的数据,T 1随机选取x i ÎZ *q ,计算X i =x i P ,通过对ID i 和X i 进行部分密钥生成询问获知相应的<ID i ,y i ,Y i >,添加<ID i ,X i ,Y i >到表L pk ,返回PK i =(X i ,Y i )给A 1,同时添加<ID i ,x i ,y i >到表L sk ㊂公钥替换询问:A 1伪造一个新的公钥PK 'i =(X 'i ,Y 'i )代替原始公钥PK i ㊂㊃911㊃　第10期 李　晨等:高效安全的无证书聚合签密方案签密询问:输入<ID i ,m i ,ID B >,如果存在某一个ID i =ID j ,则T 1结束,终止游戏;否则,T 1对每一个ID 都随机选取a i ÎZ *q ,计算R i =a i P ,S i =(a i h 2i )-1(x i +y i )按照签密算法进行签密,构造签密集合σi =(R ,R i ,S i ,W i ),聚合S =∑n i =1Si,生成签密σ=<{R i ,W i },S >返回给A 1㊂解签密查询:输入σ=<{R i ,W i },S >,T 1查询表L 1:①如果表L pk 中存在ID i 所对应的数据且ID i ≠ID j ,运行解签密算法,其中签密询问中得到的S i ,验证S i =(X i +Y i +P pub h 1i )(h '2iR i )-1是否成立,若成立T 1返回True 给A 1,否则返回False ;②如果表L pk 中存在ID i 所对应的数据且ID i =ID j ,则当表L 2中存在ID i 相对应的<ID i ,ID b ,R i ,H 2i >时,T 1返回True 给A 1,否则返回False ;③如果表L pk 中不存在ID i 所对应的数据,则当表L 2中存在ID i 对应的<ID i ,ID b ,R i ,H 2i >时,T 1返回True 给A 1,否则返回False ㊂(2)伪造阶段㊂敌手对每一个发送者的身份i 都有相同的概率㊂进行有界多项式次上述询问后,A 1输出聚合签密σ=<{R i ,W i },S >,其中至少包含一个ID i 未进行部分密钥生成询问和私钥生成询问和一个m i 未进行签密询问㊂①如果所有的ID i (1≤i ≤n )中都不包含ID j ,游戏停止㊂②否则,T 1在表L 1,L 2,L 3,L sk ,L pk 中查找身份ID i (1≤i ≤n )对应的记录,并检验等式S =∑n i =1[(X i +Y i +P pub h 1i )(h '2i R i )-1]是否成立:如等式成立,b =h -11i a j h 2i [S -∑ni =1;1≠j(a i h 2i )-1(x i +y i )-(a j h 2j )-1(x j +r know )]作为离散对数问题的有效解;否则T 1没有解决离散对数问题㊂(3)分析㊂假设事件ε1表明在询问过程中满足至少存在一个ID f (1≤f ≤n )未进行部分密钥生成询问和私钥生成询问;假设事件ε2表明T 1在询问时未终止,那么:Pr[ε1]≥1n (1-q k 2k )(1-q sk 2k ),Pr[ε2|ε1]≥(1-γ)q ,因此T 1在询问阶段不终止的概率为:Pr[ε2∧ε1]=Pr[ε2|ε1]Pr[ε1]≥1n (1-q k 2k )(1-q sk 2k)(1-γ)q ㊂假设事件ε3表示T 1在挑战阶段未中止并且概率为Pr[ε3]=ζ㊂那么T 1两个阶段不中止概率至少为ζ㊃1n (1-q k 2k )(1-q sk 2k )(1-γ)q ,由于ζ∈[1q s +n ,1q s +1],则当q s 足够大时,(1-γ)q 趋向于e -1,因此游戏过程中T 1不终止的概率至少为(1-q k 2k )(1-q sk2k)1ne (q s +n )㊂由以上说明可知,在游戏不停止的前提下,如果存在算法T 1成功解决离散对数问题且概率为ε,那么能进行伪造性攻击的概率为Adv(T 1)≥(1-q k2k)(1-q sk 2k)εne (q s +n )㊂引理2:随机预言模型下,存在算法T 2成功解决离散对数问题且概率为ε,那么能进行伪造性攻击的概率为Adv(T 2)≥(1-q k 2k )(1-q sk 2k )εne (q s +n )㊂证明:假设算法T 2作为离散对数问题的解决者,输入的(P ,bP )中b ÎZ *q 是未知的,目的是得到b ,T 2作为游戏的挑战者,运行Setup 算法,生成公开参数params =<G ,q ,P ,P pub ,H 1,H 2,H 3>,令P pub =bP ,将params 发送给敌手A 2,维护的表和引理1里T 2维护的表大体一致(除去公钥替换)㊂T 2选择身份ID j 作为其猜测的挑战身份,则T 2选择其猜测的身份ID j 的概率为ζ∈[1q s +n ,1q s +1]㊂(1)询问阶段与引理1中的相应询问相同除了部分密钥生成询问和解签密查询㊂部分密钥生成询问:对于<ID i ,y i ,Y i >输入ID i 查询y i ,Y i ,如果不存在相应的数据,如果ID i ≠ID j ,T 2随机选取y i ,h 1i ÎZ *q ,计算Y i =y i P -P pub h 1i ,添加<ID i ,y i ,Y i >到表L k ,返回(y i ,Y i )给A 2,同时添加<ID i ,X i ,Y i ,h 1i >到表L 1中;如果ID i =ID j ,T 2随机选取y i ,h 1i ÎZ *q ,令Y j =bP ,添加<ID j ,y j ,Y j >到表L k ,返回(y j ,Y j )给A 2,同时添加<ID i ,X i ,Y i ,h 1i >到表L 1㊂解签密查询:输入σ=<{R i ,W i },S >,T 2查询表L 1:①如果表L pk 中存在ID i 所对应的且ID i ≠ID j ,按照解签密算法进行解密,其中签密询问中得出的S i ,验证S i =(X i +Y i +P pub h 1i )(h '2i R i )-1是否成立,若成立T 2返回True 给A 2,否则返回False ;②如果表L pk 中存在ID i 所对应的且ID i =ID j ,则当表L 2中存在ID i 相对应的<ID i ,ID b ,R i ,H 2i >时,㊃021㊃ 计算机技术与发展 第30卷T 2返回True 给A 2,否则返回False ㊂(2)伪造阶段㊂敌手对每一个发送者的身份i 都有相同的概率㊂进行多项式次上述询问后,A 1输出聚合签密σ=<{R i ,W i },S >,其中至少包含一个ID i 未进行部分密钥生成询问和私钥生成询问和一个m i 未进行签密询问㊂①如果对于所有的ID i (1≤i ≤n ),都有ID i ≠ID j ,就将游戏中止㊂②否则(至少存在一个ID i (1≤i ≤n )与ID j 相等),T 2在表L 1,L 2,L 3,L sk ,L pk 中查找身份ID i (1≤i ≤n )对应的记录,并检验等式S =∑ni =1[(X i +Y i +P pub h 1i )(h '2iR i )-1]是否成立:如果等式成立,b =a j h 2i [S -∑ni =1;1≠j(a i h 2i )-1(x i +y i )-(a j h 2j )-1(x j +sh 1j )]作为离散对数问题的有效解;否则T 2没有解决离散对数问题㊂(3)分析㊂类似于引理1的证明,可以得到游戏过程中T 2不终止的概率至少为(1-q k 2k )(1-q sk 2k )1ne (q s +n )㊂由以上说明可知,在游戏不停止的前提下,如果存在算法T 1成功解决离散对数问题且概率为ε,那么能进行伪造性攻击的概率为Adv(T 1)≥(1-q k 2k )(1-qsk 2k)εne (q s +n )㊂定理2:文中的无证书聚合签密方案在随机预言模型且离散问题难解的情况下,在适应性选择密文攻击下具有不可区分性(IND -CCA 2)㊂引理3:在随机预言模型下,若不存在敌手A 1在下面的游戏中能以不可忽略优势获胜,那么称该方案具有不可区分性㊂证明:初始化和Hash 表的游戏都和引理1类似,T 3为离散对数问题的解决者并选择身份ID j 作为其猜测的挑战者身份㊂询问:敌手A 1询问过程与引理1相似㊂阶段一:询问阶段结束之后,A 1随机选择生成两个长度相等的消息m 1和m 2来接受挑战㊂T 3随机选择η∈{0,1}并将m η作为输入生成挑战签密σ*,返回给敌手A 1㊂阶段二类似阶段一,不同的是A 1不能对σ*进行解签密询问,也不许对ID b 进行H 1询问和私钥询问㊂在游戏的最后,敌手A 1输出η'作为对η的猜测,如果η'=η,在敌手A 1被拒绝对T 3中的解签密㊁H 1和私钥询问,那么在对H 1和H 2的询问中可以得到y b =r know +bh 1b ,k i =x i (X b +Y b +P pub h 1b )=X i (x b +y b ),b =h -11b (y b -r know )=h -11b (k i X i -a i X bR i-r know )㊂在T 3解决DL问题的基础上返回True ,否则返回False ㊂引理4:在随机预言模型下,若不存在敌手A 2在下面的游戏中能以不可忽略优势获胜,那么称该方案具有不可区分性㊂证明:初始化和Hash 表的游戏都和引理1类似,T 4为离散对数问题的解决者并选择身份ID j 作为其猜测的挑战者身份㊂询问:敌手A 2询问过程与引理2相似㊂在第一阶段和第二阶段同引理3㊂其中,y b =b +sh 1b ,k i =x i (X b +Y b +P pub h 1b )=X i (x b +y b ),b =y b -sh 1b =k i X i -a i X bR i-sh 1b ㊂在T 4解决DL 问题的基础上返回True ,否则返回False ㊂3.3　性能分析3.3.1　公开验证性任何可信的第三方都可以利用用户的身份信息通过验证S =∑ni =1[(X i +Y i +P pub h 1i )(h '2i R i )-1]等式是否成立来得出密文的合法性结论㊂3.3.2　不可否认性由以上证明可以得出文中的聚合签密方案具有不可伪造性和公开验证性,可以得出该方案同样具有不可否认性㊂3.3.3　无需密钥托管密钥托管又称密钥恢复,因为部分私钥由用户单独生成,信任方需要解决DL 问题才能获取到用户的秘密值㊂无证书的签密方案中的KGC 不存在类似PKG 的密钥托管问题,这一点是无证书签密方案的优点之一㊂3.4　效率分析计算开销和密文长度是影响算法效率的两个主要因素㊂在聚合签密中,密文中绝大部分的存储空间占用都是用户的身份信息和密文,参与验证的参数空间占用并不多㊂文中方案的密文中除去每一个用户的{R i ,W i }(其中包含身份信息,密文长度)之外,参与验证的参数只有一个|G |,所以只对比签密和解签密的计算开销㊂影响计算开销效率的主要运算是椭圆曲线点乘运算㊁双线性对运算和指数运算,分别用字母S ,P 和E 表示㊂表1给出了新方案与当前效率较高的其他聚合签密方案的比较情况㊂表1分析了5种聚合签密方案的计算效率㊂其中S ㊁P ㊁E 三种运算中,双线性对运算和指数运算复杂程㊃121㊃　第10期 李　晨等:高效安全的无证书聚合签密方案度都有点乘运算的几十倍之多㊂聚合签密中,因大量的信息需要签密,每增加一次对运算或者指数运算都将大大增加计算负担㊂方案[12-16]无论在签密或者解签的过程中都有至少n倍的对运算,因此计算负载较大㊂文中方案相较于表中列出的其他四种方案,没有双线性对和指数的运算,但是在解签密中的验证过程中点乘次数稍多㊂运算方案对比于表中的几个聚合签密方案更为高效㊂表1　无证书聚合签密方案的比较方案 签　密 解签密 S P E S P E方案[12]4n0n n n+20方案[13]3n0n n2n0方案[14]3n003n-3n+10方案[15]2n n0n n0文中方案3(n+1)004n00 文中方案的解密运算中,参与验证的计算量为3n,还原密文只需要n,所以接收方在验证安全性之后,可以根据需要还原某一所需的发送方的密文㊂虽然文中方案在群上的点加和点乘运算上与参与聚合的发送方呈线性增加的关系,但是其运算效率还是远远高于对运算㊂4摇结束语提出了一个新的无证书无双线性对的聚合签密方案㊂从机密性㊁不可伪造性㊁公开验证性㊁不可否认性和密钥托管问题这五个方面进行了安全性分析,并将该方案与目前计算效率较高的无证书聚合签密方案进行了比较,结果表明该方案是一个安全高效的无证书聚合签密签密方案㊂参考文献:[1]　SHAMIR A.Identity-based cryptosystems and signatureschemes[C]//Proceedings of advances in cryptology-CRYPTO’1984.Heidelbery:Springer-Verlag,1985:47-53.[2]　ZHENG Y L.Digital signcryption or how to achieve cost(signature&encryption)<<cost(signature)+cost(en⁃cryption)[C]//Lecture notes in computer science1294.Berlin:Springer-Verlag,1997:165-179.[3]　RIYAMI S A,PATERSON K.Certificatless public key cryp⁃tography[C]//Proceedings of the ASIACRYPT.Berlin: Springer-Verlag,2003:452-473.[4]　BARBOSA M,FARSHIM P.Certificateless signcryption[C]//Proceedings of ASIACCS2008.New York:ACM,2008:369-372.[5]　QI Zhenghua,YANG Geng,REN Xunyi.Provably securecertificateless ring signcryption scheme[J].China Communi⁃cations,2011,8(3):99-106.[6]　QI Zhenghua,REN Xunyi,YANG Geng.Provably securegeneral aggregate signcryption scheme in the random oracle model[J].China Communications,2012,9(11):107-116.[7]　REN Xunyi,QI Zhenghua,YANG Geng.Provably secure ag⁃gregate signcryption scheme[J].ETRI Journal,2012,34(3):421-428.[8]　朱　辉,李　晖,王育民.不使用双线性对的无证书签密方案[J].计算机研究与发展,2010,47(9):1587-1594. [9]　周彦伟,杨　波,张文政.不使用双线性映射的无证书签密方案的安全性分析及改进[J].计算机学报,2016,39(6): 1257-1266.[10]王　翔,祁正华,黄　海.不使用双线性对的无证书签密方案[J].计算机技术与发展,2017,27(7):106-110. [11]王梦殊,祁正华.无双线性对的无证书聚合签密方案[J].计算机技术与发展,2017,27(8):115-120. [12]牛淑芬,牛　灵,王彩芬,等.一种可证安全的异构聚合签密方案[J].电子与信息学报,2017,39(5):1213-1218. [13]张玉磊,王　欢,李臣意,等.可证安全的紧致无证书聚合签密方案[J].电子与信息学报,2015,37(12):2838-2844.[14]苏爱东,张永翼.密文长度固定的全聚合签密方案[J].计算机应用研究,2015,32(9):2820-2822.[15]王大星,滕济凯.可证明安全的基于身份的聚合签密方案[J].计算机应用,2015,35(2):412-415. [16]吴振国,祁正华,王　翔.标准模型下一种高效的基于身份的多签密方案[J].计算机技术与发展,2018,28(7):108-112.㊃221㊃ 计算机技术与发展 第30卷。

无证书的聚合签名方案刘纯璐; 游林【期刊名称】《《杭州电子科技大学学报》》【年(卷),期】2019(039)006【总页数】6页(P12-17)【关键词】聚合签名; 无证书; 双线性对; Diffie-Hellman问题【作者】刘纯璐; 游林【作者单位】杭州电子科技大学通信工程学院浙江杭州 310018; 杭州电子科技大学网络空间安全学院浙江杭州 310018【正文语种】中文【中图分类】TP3090 引言2003年，S.S.AI-Riyami等[1]首次提出无证书公钥密码体制。

用户随机选择秘密值，并与密钥生成中心(Key Generation Center，KGC)和用户生成的部分密钥相结合生成相应的私钥，有效简化了传统公钥密码体制的证书管理问题，同时也避免了基于身份的公钥密码体制的密钥托管问题。

同年，D.Boneh等[2]提出聚合签名，将来自n个用户对n条不同消息的n个签名聚合到单个短签名中，并且对n个签名的验证简化为一次验证，有效降低了签名验证和通信开销，减少了签名长度。

无证书的聚合签名方案由Gong Z.等[3]首次提出，从此，对无证书的聚合签名的研究不断深入并取得优秀成果。

Xiong H.等[4]提出一个具有恒定双线性对运算的无证书的聚合签名方案，但是文献[5-6]指出该方案会遭受多种攻击，并且给出了改进方案。

Kang B.Y.等[7]提出一个无证书的聚合签名，但该方案具有较高的运算成本。

Chen H.等[8]通过引入状态信息来加强方案安全性，但降低了运算效率。

本文结合高安全性和低运算成本的特性，提出一个新的无证书的聚合签名方案，在保证高效率的基础上，实现了安全模型下的可证安全。

1 无证书的聚合签名方案在随机预言机模型下，本文基于双线对计算提出一个无证书的聚合签名方案，并且在计算Diffie-Hellman假设前提下证明了方案的不可伪造性。

1.1 双线性对和困难假设G1是循环加法群，G2为循环乘法群，阶为素数q。

新的可证明安全的无证书聚合签名方案李艳平;聂好好;周彦伟;杨波【期刊名称】《密码学报》【年(卷),期】2015(0)6【摘要】聚合签名可以把n个不同签名者对n个不同消息的n个签名聚合成一个签名,通过验证这一个签名就可以实现对n个签名的验证,即使得n个签名的验证等式减少为一个验证等式,从而实现了对消息签名的批量验证.无证书公钥密码体制解决了传统公钥密码体制中的证书管理问题以及基于身份密码体制中的密钥托管问题,由于聚合签名和无证书公钥密码体制的优点,无证书聚合签名方案成为了一个研究热点.本文基于双线性对构造了一个高效的无证书公钥密码体制下的聚合签名方案.在计算性Diffie-Hellman困难性假设下,无需分叉引理可在随机预言机模型中证明本文方案在类型Ⅰ和类型Ⅱ敌手的适应性选择消息攻击下是存在性不可伪造的.此外,本文方案签名长度仅有两个群元素,签名验证中仅需4个对运算(常数数量级)和n个标量乘运算.与已有的无证书聚合签名相比,本文方案具有快速的签名验证算法和较快的传输效率,适合带宽、存储和计算资源受限网络环境中的应用.【总页数】10页(P526-535)【作者】李艳平;聂好好;周彦伟;杨波【作者单位】陕西师范大学数学与信息科学学院,西安710119;陕西师范大学数学与信息科学学院,西安710119;陕西师范大学计算机科学学院,西安710119;陕西师范大学计算机科学学院,西安710119【正文语种】中文【中图分类】TP309【相关文献】1.高效的可证明安全的无证书聚合签名方案 [J], 杜红珍;黄梅娟;温巧燕2.新的无证书广义指定验证者聚合签名方案 [J], 许芷岩;吴黎兵;李莉;何德彪3.一种新的无证书聚合签名方案 [J], 曹素珍;戴文洁;孙晗;王秀娅4.可证明安全的高效有序聚合签名方案 [J], 王大星;滕济凯5.可证明安全的时钟同步聚合签名方案 [J], 王大星;滕济凯因版权原因，仅展示原文概要，查看原文内容请购买。

无证书的可公开验证聚合签密方案作者：张雪枫魏立线王绪安来源：《计算机应用》2013年第07期文章编号摘要：聚合签密的研究多以基于身份密码体制下提供机密性与认证性，提高验证的效率为目标，存在对证书管理以及密钥托管问题，因此需要设计新的聚合签密算法，在解决证书管理以及密钥托管问题的同时兼顾机密性与高效性。

分析了当前主流的聚合签密算法及其发展，利用Zhang等(ZHANG L, ZHANG F T. A new certificateless aggregate signature scheme. Computer Communications, 2009,32(6)：1079-1085)方案，并考虑上述需求，提出了一种新的无证书的聚合签密方案。

方案基于双线性和计算性问题，证明了方案的机密性和不可伪造性。

实验结果表明，所提方案在聚合解签密运算量上减少了－(n+2)p。

与其他方案持平或降低；同时，新的方案还满足了可公开验证性，消除了公钥证书的使用，并且解决了基于身份密码体制中的密钥托管问题。

关键词：聚合签密；无证书；可公开验证；双线性对中图分类号：TP391; TN918.1文献标志码:A英文标题Certificateless aggregate signcryption scheme with public ver英文作者名英文地址(1. Key Laboratory of Network and Information Security under Chinese Armed Police Force,Shaanxi 710086, China英文摘要Abstract:ased encryption to provide confidentiality and authentication, thus improving efficiency. But aggregate signcryption has the problem in certificate management and key escrow. Therefore, it needs to design new aggregate signcryption schemes, which not only solve the problem of certificate management and key escrow, but also guarantee the confidentiality and authentication of the scheme. This paper analyzed the main stream aggregate signcryption schemes and their development. Combined with the scheme of ZhangCommunications, 2009,32(6)：1079-1085) and the needs mentioned above, this article designed a certificateless aggregate signcryption scheme, and proved its confidentiality and unforgeability basedproblem. The experimental results show that the proposed scheme is more efficient and the amount of computation is equal or lower in compariso-certificate and solves the problem in key escrow.Research on aggregate signcryption is mostconfidentiality, authentication, and to improve efficiency. But aggregate signcryption has the problem in certificate management and key escrow. So it need to design new aggregate signcryption schemes, which not only solve the problem of certificate management and key escrow, but also guarantee the confidentiality and authentication of the scheme. This paper analyzed the main stream aggregate signcryption schemes and their development. Combined with the scheme of Zhang et al. (ZHANG L, ZHANG F T. A new certificateless aggregate signature scheme. Computer Communications, 2009,32(6)：certificateless aggregate signcryption scheme, and proved its confidentiality and unforgeability basedexperimental results show that the proposed scheme is more efficient and the amount of computations is reduced by 3ne-(n+2)p. What’s more, the new scheme is publicly verifiable, and it eliminates the use of public key certificate and solves the problem in key escrow.。