一种新的无证书签密方案

收稿日期:2019-12-09 修回日期:2020-04-10基金项目:国家自然科学基金(61073188)作者简介:李　晨(1995-),男,硕士研究生,研究方向为网络与信息安全;祁正华,副教授,博士研究生,研究方向为网络与信息安全㊂高效安全的无证书聚合签密方案李　晨,祁正华(南京邮电大学计算机学院㊁软件学院,江苏南京210003)摘　要:无证书聚合签密是多个加密方分别签密不同的消息然后聚合成一个签密进行传输,保证安全性的同时提高了传输和验证的效率,并且采用了低繁琐度㊁无密钥托管问题的无证书方式㊂在物联网蓬勃发展的今天,聚合签密具有可观的应用场景㊂以往的聚合签密方案需要多次群内双线性运算和指数运算,计算效率较低㊂对无证书签密方案进行了研究,在不降低签密算法的复杂性和混乱性的前提下,聚合并优化了前人的无证书签密方案,提出了一种安全高效的无证书无双线性对运算的聚合签密方案,分析了随机预言模型下的安全性和效率㊂理论分析表明,此方案避免了密钥的线性化,在所需的应用场景下,强抗碰撞性的Hash 函数条件下,具有机密性和不可伪造性,并且具有更高的计算效率㊂关键词:聚合签密;无证书;无双线性对;随机预言模型;离散对数问题中图分类号:TP 3 文献标识码:A 文章编号:1673-629X (2020)10-0117-06doi :10.3969/j.issn.1673-629X.2020.10.022An Efficient and Safe Certificateless Signcryption SchemeLI Chen ,QI Zheng -hua(School of Computer Science and Technology ,School of Software ,Nanjing University ofPosts and Telecommunications ,Nanjing 210003,China )Abstract :Certificateless aggregate signcryption is that multiple encryptors signcrypt different messages and then aggregate them into a signcryption for transmission ,improving the efficiency of transmission and verification securely ,and adopt a certificateless method with low complexity and no key escrow.Today ,with the rapid development of the IoT ,aggregate signcryption has considerable application scenarios.The previous aggregation signcryption schemes required multiple bilinear operations in the group and exponential operations ,which leads to the low calculation efficiency.For this reason ,aggregating and optimizing the previous certificateless signcryption schemes without reducing the complexity and chaos of the signcryption algorithm ,we propose a secure and efficient aggregated signcryption scheme without certificate and bilinear pairing operation ,and analyze the security and efficiency with the random oracle model.Theoretical analysis shows that the proposed scheme avoids linearization of the key.Under the required application scenarios and Hash function with strong collision resistance ,this scheme is confidential and unforgeable ,and has higher computing efficiency.Key words :aggregate signcryption ;certificateless ;no -bilinear pairing ;random oracle model ;discrete logarithm problem0　引　言Shamir 开创了基于身份的公钥密码体制[1],降低了因交换公钥产生的泄密风险㊂文献[2]提出了签密的概念,同时完成了签名和加密的操作,大大提高了效率㊂Al -Riyami 又于2003年[3]提出无证书的签密方案,解决了公钥证书管理及验证问题,同时因为抗密钥托管的优点而被广泛关注㊂Barbosa 等[4]在Al -Riyami 的基础上提出了新的无证书签密方案并给出了安全模型㊂Qi [5]提出了一种可证安全的无证书环签密方案,展现了无证书签密体制的优势㊂同时Qi [6]又设计了两种可证明安全的聚合签密方案[7]㊂聚合签密能将多个密文进行聚合且提供批量验证,提升了传输效率,聚合简化了多个消息的验证㊂适用在大规模分布式通信的多对一模式下,尤其伴随着5G 的推广使用,可穿戴设备和智能家居所生成的记录,都需要各个相应的实体进行签密,映射为多对一的情况,也就是聚合签密,它非常适用于带宽和计算资源有限的物联网应用㊂2010年,Zhu [8]优化了签密过程并给出了一种新的无证书签密方案,因其无双线性对,大大提高了效率,但是被Zhou [9]证明不满足不可伪造性和机密性㊂2017年,Wang [10]在此基础上提出了一个更安全的不第30卷　第10期2020年10月 计算机技术与发展COMPUTER TECHNOLOGY AND DEVELOPMENT Vol.30　No.10Oct.　2020使用双线性对的无证书签密方案㊂这一点给了文中签密方案一定的启示㊂2017年,Wang[11]提升了计算效率,利用了Zhou[9]的安全模型进行证明,优化并给出了一个高效的签密方案,文中签密方案利用了同样的安全证明模型,在随机预言机模型下同样满足不可伪造性㊂1　相关基础1.1　困难问题假设定义1:离散对数问题㊂令q(q>2k,k为安全参数)为某大素数,循环群G的阶为q,P是群G的生成元;对于任意未知的b∈Z*q,bP∈Z*q离散对数问题的目标是计算b㊂1.2　聚合签密聚合签密[4]是一种类似于聚合签名的概念,即:给定n个用户ID i∈U(1≤i≤n,U为用户集合),一一对应于消息m i∈M(M为消息集合)的n个签密,各自签密完成后交给一个信任的聚合签密角色,将这些签密聚合并成一条签密㊂接收方收到这个聚合的签密时,只需要验证一次就可以确定签密的安全性,然后可以按照需要单独解密某一用户的密文㊂这样更具灵活性而且缩短了签密的长度,扩展了聚合签名的实用性㊂聚合签密在低带宽低效率的多发送者环境中应用广泛㊂1.3　算法定义将无证书的聚合签密简化为五个部分,如下: (1)初始化(Setup)㊂给定一个安全的参数k, PKG计算出系统的公开参数params和系统的主密钥s㊂(2)用户密钥生成(private-Key-Extract)㊂根据用户的身份ID i,用户设置私钥x i,计算出对应的公钥Xi,并发送给KGC㊂(3)部分私钥生成(partial-Key-Extract)㊂输入身份信息ID i,PKG利用主密钥s计算出相应身份的公钥Y i和私钥y i,并通过安全信道传送给用户㊂(4)聚合签密(Signcryption)㊂聚合签密由n个用户组成,输入公开参数params,用户身份信息和对应的公钥对和私钥对,相应对应的信息m i,计算聚合签密㊂(5)解签密(un-Signcryption)㊂输入聚合签密,公开参数params,用户身份信息和对应的公钥对和私钥对,进行验证和解签密㊂1.4　安全模型无证书聚合签密方案将面临两类敌手的攻击㊂(1)若敌手无法掌握系统的主密钥,但其具有替换合法用户公钥的能力,则此类敌手为恶意用户,记为A1㊂(2)若敌手可掌握系统的主密钥,但其不具有替换合法用户公钥的能力,则此类敌手为恶意KGC,记为A2㊂2　改进的无证书聚合签密方案无证书聚合签密包含5个算法:(1)初始化㊂对于KGC:定义阶为素数q(q>2k)的循环群G,生成元为P,三个安全的抗碰撞的Hash函数H1: {0,1}*→{0,1}l,H1:{0,1}l×G×G→Z*q,H2: {0,1}l×{0,1}l×G→Z*q,H3:{0,1}l×G×G →Z*q(l1为用户表示ID的比特长度);随机选择s∈Z*q作为主密钥,计算P pub=sP,安全保存主密钥s㊂则系统公开参数params:{G,q,P,P pub,H0,H1, H2,H3}㊂(2)用户密钥生成㊂对于用户U i:随机选取秘密值x iÎZ*q,计算X i= xiP,将身份标识IDi和公开参数X i返回给KGC㊂(3)部分私钥生成㊂KGC收到Ui的<ID i,X i>,KGC随机选取r i∈Z*q,Y i=r i P,h1i=H1(ID i,X i,Y i),y i=r i+sh1i,安全地将y i和Y i发送给用户ID i,用户可以通过等式yiP=Yi+P pub H1(ID i,X i,Y i)来验证KGC所分配的密钥的正确性㊂验证成功后用户私钥为(x i,y i),公钥为(X i,Y i)㊂(4)聚合签密㊂用户U i对发送给ID B的消息m i进行签密,然后发送给聚合签密者(U Agg)㊂①用户U i执行以下操作:随机选择a i∈Z*q,计算R i=a i P;将R i发送给其他n-1个用户,当U i收到其他n-1个用户的R i后,计算R=∑n i=1R i;计算h1b=H1(ID b,X b,Y b)和k i=x i(X b+Y b+ P pub h1b);计算h2i=H2(ID i,ID b,R i)和S i=(a i h2i)-1(x i+ yi);加密Wi=(IDi‖m i)⊕H3(ID b,a i X b,k i),生成U i 对ID B的消息m i的签密σi=(R,R i,S i,W i)㊂②聚合签密者U Agg收到n个用户ID i∈U(1≤i≤n,U为用户集合)的n个签密σi=(R,R i, Si,W i);计算R'=∑n l=1R i,验证R'=R,成立则计算S=∑n i=1S i,聚合签密为σ=<{R i,W i},S>(1≤i≤n)㊂㊃811㊃ 计算机技术与发展 第30卷(5)解签密㊂接收者ID B 对接收到的σ=<{R i ,W i },S >进行解签密,步骤如下:计算k 'i =X i (x b +y b );计算h '2i =H 2(ID i ,ID b ,R i )和h 1i =H 1(ID i ,X i ,Y i );解密ID i ‖m i =H 3(ID b ,x b R i ,k 'i)⊕W i ;验证S =∑n i =1[(X i +Y i +P pub h 1i )(h '2iR i )-1]是否成立,正确则输出对应的ID i ‖m i (i =1,2, ,n ),否则签密无效㊂3　安全性分析3.1　正确性(1)验证正确性㊂k i =x i (X b +Y b +P pub h 1b )=x i (x b P +r b P +sPh 1b )=X i (x b +r b +sh 1b )=X i (x b +y b )=k 'iID i ‖m i =H 3(ID b ,x b R i ,k i )⊕W i =H 3(ID b ,x b R i ,k i )⊕H 3(ID b ,a i X b ,k 'i )⊕ID i ‖m i(2)验证合法性㊂S =∑n i =1[(X i +Y i +P pub h 1i )(h '2i R i )-1]=∑ni =1[(x i P +r i P +sPh 1i )(h '2i a i P )-1]=∑ni =1[(xi+r i +sh 1i )(h '2i a i P )-1]=∑ni =1[(xi+y i )(h '2ia i )-1]=∑n i =1Si3.2　安全性定理1:文中的无证书聚合签密方案在随机预言模型且离散问题难解的情况下,在适应性选择消息攻击下具有不可伪造性(EUF -CMA )㊂引理1:随机预言模型下,存在算法T 1成功解决离散对数问题且概率为ε㊂假设进行过最多q s 次签密询问,q k 次部分密钥生成询问和q sk 次私钥生成询问,那么能进行伪造性攻击的概率为:Adv(T 1)≥(1-q k 2k )(1-q sk 2k )εne (q s +n )㊂证明:假设算法T 1作为离散对数问题的解决者,输入的(P ,bP )中b ∈Z *q 是未知,目的得到b ㊂T 1为挑战者,运行Setup ,生成params =<G ,q ,P ,P pub ,H 1,H 2,H 3>,令P pub =bP ,将params 发送给敌手A 1;生成Hash 表(起始为空)L 1,L 2,L 3,L k ,L sk ,L rep ,L pk ,一一对应于H 1,H 2,H 3,部分密钥生成,私钥生成,公钥替换,公钥生成的询问,将这些表的操作跟踪下来㊂T 1选择身份ID j 作为其猜测的挑战身份,则T 1选择其猜测的身份ID j 的概率为ζ∈[1q s +n ,1q s +1]㊂(1)询问阶段㊂H 1查询:对于h 1i =H 1(ID i ,X i ,Y i )输入ID i ,X i ,Y i 查询h 1i ,如果不存在相应的数据,T 1随机选取h 1i ÎZ *q 使表L 1中不存在相应的数据<ID i ,X i ,Y i ,h 1i >,并添加<ID i ,X i ,Y i ,h 1i >到表L 1,同时返回h 1i 给A 1㊂H 2查询:对于H 2i =H 2(ID i ,ID b ,R i )输入ID i ,ID b ,R i 查询H 2i ,如果不存在相应的数据,T 1随机选取x i ÎZ *q ,计算X i =x i P ,通过对ID i 和X i 进行部分密钥生成询问得到其对应的<ID i ,y i ,Y i >,添加<ID i ,y i ,Y i >到L sk ,返回SK i =(x i ,y i )给A 1并且添加<ID i ,X i ,Y i >到列表L pk ㊂H 3查询:对于h 3=H 3(ID b ,a i X b ,k i )输入ID b ,a i X b ,k i 查询h 3,如果不存在相应的数据,T 1随机选取h 3ÎZ *q ,进行私钥生成查询和公钥生成查询,获得x i ,X b 和Y b ,计算k i =x i (X b +Y b +P pub h 1b ),使得表L 3中不存在相应的<ID b ,a i X b ,k i ,h 3>,并添加相应的<ID b ,a i X b ,k i ,h 3>到表L 3,同时返回h 3给A 1㊂部分密钥生成询问:对于<ID i ,y i ,Y i >输入ID i 查询y i ,Y i ,如果不存在相应的数据,如果ID i ≠ID j ,T 1随机选取y i ,h 1i ÎZ *q ,计算Y i =y i P -P pub h 1i ,添加<ID i ,y i ,Y i >到表L k ,返回(y i ,Y i )给A 1,如果表L 1中不存在相应的数据,则添加<ID i ,X i ,Y i ,h 1i >到表L 1中;如果ID i =ID j ,T 1随机选取y i ,h 1i ÎZ *q ,令Y j =r know P (r know ÎZ *q 是已知的随机数),添加<ID j ,y j ,Y j >到表L k ,返回(y j ,Y j )给A 1,如果表L 1中不存在相应的数据,则添加<ID i ,X i ,Y i ,h 1i >到表L 1㊂私钥生成询问:对于<ID i ,x i ,y i >输入ID i 查询x i ,y i ,如果不存在相应的数据,T 1随机选取x i ÎZ *q ,计算X i =x i P ,通过对ID i 和X i 进行部分密钥生成询问,得到对应的<ID i ,y i ,Y i >,添加<ID i ,x i ,y i >到表L sk ,返回SK i =(x i ,y i )给A 1㊂公钥生成询问:对于<ID i ,X i ,Y i >输入ID i 查询X i ,Y i ,如果不存在相应的数据,T 1随机选取x i ÎZ *q ,计算X i =x i P ,通过对ID i 和X i 进行部分密钥生成询问获知相应的<ID i ,y i ,Y i >,添加<ID i ,X i ,Y i >到表L pk ,返回PK i =(X i ,Y i )给A 1,同时添加<ID i ,x i ,y i >到表L sk ㊂公钥替换询问:A 1伪造一个新的公钥PK 'i =(X 'i ,Y 'i )代替原始公钥PK i ㊂㊃911㊃　第10期 李　晨等:高效安全的无证书聚合签密方案签密询问:输入<ID i ,m i ,ID B >,如果存在某一个ID i =ID j ,则T 1结束,终止游戏;否则,T 1对每一个ID 都随机选取a i ÎZ *q ,计算R i =a i P ,S i =(a i h 2i )-1(x i +y i )按照签密算法进行签密,构造签密集合σi =(R ,R i ,S i ,W i ),聚合S =∑n i =1Si,生成签密σ=<{R i ,W i },S >返回给A 1㊂解签密查询:输入σ=<{R i ,W i },S >,T 1查询表L 1:①如果表L pk 中存在ID i 所对应的数据且ID i ≠ID j ,运行解签密算法,其中签密询问中得到的S i ,验证S i =(X i +Y i +P pub h 1i )(h '2iR i )-1是否成立,若成立T 1返回True 给A 1,否则返回False ;②如果表L pk 中存在ID i 所对应的数据且ID i =ID j ,则当表L 2中存在ID i 相对应的<ID i ,ID b ,R i ,H 2i >时,T 1返回True 给A 1,否则返回False ;③如果表L pk 中不存在ID i 所对应的数据,则当表L 2中存在ID i 对应的<ID i ,ID b ,R i ,H 2i >时,T 1返回True 给A 1,否则返回False ㊂(2)伪造阶段㊂敌手对每一个发送者的身份i 都有相同的概率㊂进行有界多项式次上述询问后,A 1输出聚合签密σ=<{R i ,W i },S >,其中至少包含一个ID i 未进行部分密钥生成询问和私钥生成询问和一个m i 未进行签密询问㊂①如果所有的ID i (1≤i ≤n )中都不包含ID j ,游戏停止㊂②否则,T 1在表L 1,L 2,L 3,L sk ,L pk 中查找身份ID i (1≤i ≤n )对应的记录,并检验等式S =∑n i =1[(X i +Y i +P pub h 1i )(h '2i R i )-1]是否成立:如等式成立,b =h -11i a j h 2i [S -∑ni =1;1≠j(a i h 2i )-1(x i +y i )-(a j h 2j )-1(x j +r know )]作为离散对数问题的有效解;否则T 1没有解决离散对数问题㊂(3)分析㊂假设事件ε1表明在询问过程中满足至少存在一个ID f (1≤f ≤n )未进行部分密钥生成询问和私钥生成询问;假设事件ε2表明T 1在询问时未终止,那么:Pr[ε1]≥1n (1-q k 2k )(1-q sk 2k ),Pr[ε2|ε1]≥(1-γ)q ,因此T 1在询问阶段不终止的概率为:Pr[ε2∧ε1]=Pr[ε2|ε1]Pr[ε1]≥1n (1-q k 2k )(1-q sk 2k)(1-γ)q ㊂假设事件ε3表示T 1在挑战阶段未中止并且概率为Pr[ε3]=ζ㊂那么T 1两个阶段不中止概率至少为ζ㊃1n (1-q k 2k )(1-q sk 2k )(1-γ)q ,由于ζ∈[1q s +n ,1q s +1],则当q s 足够大时,(1-γ)q 趋向于e -1,因此游戏过程中T 1不终止的概率至少为(1-q k 2k )(1-q sk2k)1ne (q s +n )㊂由以上说明可知,在游戏不停止的前提下,如果存在算法T 1成功解决离散对数问题且概率为ε,那么能进行伪造性攻击的概率为Adv(T 1)≥(1-q k2k)(1-q sk 2k)εne (q s +n )㊂引理2:随机预言模型下,存在算法T 2成功解决离散对数问题且概率为ε,那么能进行伪造性攻击的概率为Adv(T 2)≥(1-q k 2k )(1-q sk 2k )εne (q s +n )㊂证明:假设算法T 2作为离散对数问题的解决者,输入的(P ,bP )中b ÎZ *q 是未知的,目的是得到b ,T 2作为游戏的挑战者,运行Setup 算法,生成公开参数params =<G ,q ,P ,P pub ,H 1,H 2,H 3>,令P pub =bP ,将params 发送给敌手A 2,维护的表和引理1里T 2维护的表大体一致(除去公钥替换)㊂T 2选择身份ID j 作为其猜测的挑战身份,则T 2选择其猜测的身份ID j 的概率为ζ∈[1q s +n ,1q s +1]㊂(1)询问阶段与引理1中的相应询问相同除了部分密钥生成询问和解签密查询㊂部分密钥生成询问:对于<ID i ,y i ,Y i >输入ID i 查询y i ,Y i ,如果不存在相应的数据,如果ID i ≠ID j ,T 2随机选取y i ,h 1i ÎZ *q ,计算Y i =y i P -P pub h 1i ,添加<ID i ,y i ,Y i >到表L k ,返回(y i ,Y i )给A 2,同时添加<ID i ,X i ,Y i ,h 1i >到表L 1中;如果ID i =ID j ,T 2随机选取y i ,h 1i ÎZ *q ,令Y j =bP ,添加<ID j ,y j ,Y j >到表L k ,返回(y j ,Y j )给A 2,同时添加<ID i ,X i ,Y i ,h 1i >到表L 1㊂解签密查询:输入σ=<{R i ,W i },S >,T 2查询表L 1:①如果表L pk 中存在ID i 所对应的且ID i ≠ID j ,按照解签密算法进行解密,其中签密询问中得出的S i ,验证S i =(X i +Y i +P pub h 1i )(h '2i R i )-1是否成立,若成立T 2返回True 给A 2,否则返回False ;②如果表L pk 中存在ID i 所对应的且ID i =ID j ,则当表L 2中存在ID i 相对应的<ID i ,ID b ,R i ,H 2i >时,㊃021㊃ 计算机技术与发展 第30卷T 2返回True 给A 2,否则返回False ㊂(2)伪造阶段㊂敌手对每一个发送者的身份i 都有相同的概率㊂进行多项式次上述询问后,A 1输出聚合签密σ=<{R i ,W i },S >,其中至少包含一个ID i 未进行部分密钥生成询问和私钥生成询问和一个m i 未进行签密询问㊂①如果对于所有的ID i (1≤i ≤n ),都有ID i ≠ID j ,就将游戏中止㊂②否则(至少存在一个ID i (1≤i ≤n )与ID j 相等),T 2在表L 1,L 2,L 3,L sk ,L pk 中查找身份ID i (1≤i ≤n )对应的记录,并检验等式S =∑ni =1[(X i +Y i +P pub h 1i )(h '2iR i )-1]是否成立:如果等式成立,b =a j h 2i [S -∑ni =1;1≠j(a i h 2i )-1(x i +y i )-(a j h 2j )-1(x j +sh 1j )]作为离散对数问题的有效解;否则T 2没有解决离散对数问题㊂(3)分析㊂类似于引理1的证明,可以得到游戏过程中T 2不终止的概率至少为(1-q k 2k )(1-q sk 2k )1ne (q s +n )㊂由以上说明可知,在游戏不停止的前提下,如果存在算法T 1成功解决离散对数问题且概率为ε,那么能进行伪造性攻击的概率为Adv(T 1)≥(1-q k 2k )(1-qsk 2k)εne (q s +n )㊂定理2:文中的无证书聚合签密方案在随机预言模型且离散问题难解的情况下,在适应性选择密文攻击下具有不可区分性(IND -CCA 2)㊂引理3:在随机预言模型下,若不存在敌手A 1在下面的游戏中能以不可忽略优势获胜,那么称该方案具有不可区分性㊂证明:初始化和Hash 表的游戏都和引理1类似,T 3为离散对数问题的解决者并选择身份ID j 作为其猜测的挑战者身份㊂询问:敌手A 1询问过程与引理1相似㊂阶段一:询问阶段结束之后,A 1随机选择生成两个长度相等的消息m 1和m 2来接受挑战㊂T 3随机选择η∈{0,1}并将m η作为输入生成挑战签密σ*,返回给敌手A 1㊂阶段二类似阶段一,不同的是A 1不能对σ*进行解签密询问,也不许对ID b 进行H 1询问和私钥询问㊂在游戏的最后,敌手A 1输出η'作为对η的猜测,如果η'=η,在敌手A 1被拒绝对T 3中的解签密㊁H 1和私钥询问,那么在对H 1和H 2的询问中可以得到y b =r know +bh 1b ,k i =x i (X b +Y b +P pub h 1b )=X i (x b +y b ),b =h -11b (y b -r know )=h -11b (k i X i -a i X bR i-r know )㊂在T 3解决DL问题的基础上返回True ,否则返回False ㊂引理4:在随机预言模型下,若不存在敌手A 2在下面的游戏中能以不可忽略优势获胜,那么称该方案具有不可区分性㊂证明:初始化和Hash 表的游戏都和引理1类似,T 4为离散对数问题的解决者并选择身份ID j 作为其猜测的挑战者身份㊂询问:敌手A 2询问过程与引理2相似㊂在第一阶段和第二阶段同引理3㊂其中,y b =b +sh 1b ,k i =x i (X b +Y b +P pub h 1b )=X i (x b +y b ),b =y b -sh 1b =k i X i -a i X bR i-sh 1b ㊂在T 4解决DL 问题的基础上返回True ,否则返回False ㊂3.3　性能分析3.3.1　公开验证性任何可信的第三方都可以利用用户的身份信息通过验证S =∑ni =1[(X i +Y i +P pub h 1i )(h '2i R i )-1]等式是否成立来得出密文的合法性结论㊂3.3.2　不可否认性由以上证明可以得出文中的聚合签密方案具有不可伪造性和公开验证性,可以得出该方案同样具有不可否认性㊂3.3.3　无需密钥托管密钥托管又称密钥恢复,因为部分私钥由用户单独生成,信任方需要解决DL 问题才能获取到用户的秘密值㊂无证书的签密方案中的KGC 不存在类似PKG 的密钥托管问题,这一点是无证书签密方案的优点之一㊂3.4　效率分析计算开销和密文长度是影响算法效率的两个主要因素㊂在聚合签密中,密文中绝大部分的存储空间占用都是用户的身份信息和密文,参与验证的参数空间占用并不多㊂文中方案的密文中除去每一个用户的{R i ,W i }(其中包含身份信息,密文长度)之外,参与验证的参数只有一个|G |,所以只对比签密和解签密的计算开销㊂影响计算开销效率的主要运算是椭圆曲线点乘运算㊁双线性对运算和指数运算,分别用字母S ,P 和E 表示㊂表1给出了新方案与当前效率较高的其他聚合签密方案的比较情况㊂表1分析了5种聚合签密方案的计算效率㊂其中S ㊁P ㊁E 三种运算中,双线性对运算和指数运算复杂程㊃121㊃　第10期 李　晨等:高效安全的无证书聚合签密方案度都有点乘运算的几十倍之多㊂聚合签密中,因大量的信息需要签密,每增加一次对运算或者指数运算都将大大增加计算负担㊂方案[12-16]无论在签密或者解签的过程中都有至少n倍的对运算,因此计算负载较大㊂文中方案相较于表中列出的其他四种方案,没有双线性对和指数的运算,但是在解签密中的验证过程中点乘次数稍多㊂运算方案对比于表中的几个聚合签密方案更为高效㊂表1　无证书聚合签密方案的比较方案 签　密 解签密 S P E S P E方案[12]4n0n n n+20方案[13]3n0n n2n0方案[14]3n003n-3n+10方案[15]2n n0n n0文中方案3(n+1)004n00 文中方案的解密运算中,参与验证的计算量为3n,还原密文只需要n,所以接收方在验证安全性之后,可以根据需要还原某一所需的发送方的密文㊂虽然文中方案在群上的点加和点乘运算上与参与聚合的发送方呈线性增加的关系,但是其运算效率还是远远高于对运算㊂4摇结束语提出了一个新的无证书无双线性对的聚合签密方案㊂从机密性㊁不可伪造性㊁公开验证性㊁不可否认性和密钥托管问题这五个方面进行了安全性分析,并将该方案与目前计算效率较高的无证书聚合签密方案进行了比较,结果表明该方案是一个安全高效的无证书聚合签密签密方案㊂参考文献:[1]　SHAMIR A.Identity-based cryptosystems and signatureschemes[C]//Proceedings of advances in cryptology-CRYPTO’1984.Heidelbery:Springer-Verlag,1985:47-53.[2]　ZHENG Y L.Digital signcryption or how to achieve cost(signature&encryption)<<cost(signature)+cost(en⁃cryption)[C]//Lecture notes in computer science1294.Berlin:Springer-Verlag,1997:165-179.[3]　RIYAMI S A,PATERSON K.Certificatless public key cryp⁃tography[C]//Proceedings of the ASIACRYPT.Berlin: Springer-Verlag,2003:452-473.[4]　BARBOSA M,FARSHIM P.Certificateless signcryption[C]//Proceedings of ASIACCS2008.New York:ACM,2008:369-372.[5]　QI Zhenghua,YANG Geng,REN Xunyi.Provably securecertificateless ring signcryption scheme[J].China Communi⁃cations,2011,8(3):99-106.[6]　QI Zhenghua,REN Xunyi,YANG Geng.Provably securegeneral aggregate signcryption scheme in the random oracle model[J].China Communications,2012,9(11):107-116.[7]　REN Xunyi,QI Zhenghua,YANG Geng.Provably secure ag⁃gregate signcryption scheme[J].ETRI Journal,2012,34(3):421-428.[8]　朱　辉,李　晖,王育民.不使用双线性对的无证书签密方案[J].计算机研究与发展,2010,47(9):1587-1594. [9]　周彦伟,杨　波,张文政.不使用双线性映射的无证书签密方案的安全性分析及改进[J].计算机学报,2016,39(6): 1257-1266.[10]王　翔,祁正华,黄　海.不使用双线性对的无证书签密方案[J].计算机技术与发展,2017,27(7):106-110. [11]王梦殊,祁正华.无双线性对的无证书聚合签密方案[J].计算机技术与发展,2017,27(8):115-120. [12]牛淑芬,牛　灵,王彩芬,等.一种可证安全的异构聚合签密方案[J].电子与信息学报,2017,39(5):1213-1218. [13]张玉磊,王　欢,李臣意,等.可证安全的紧致无证书聚合签密方案[J].电子与信息学报,2015,37(12):2838-2844.[14]苏爱东,张永翼.密文长度固定的全聚合签密方案[J].计算机应用研究,2015,32(9):2820-2822.[15]王大星,滕济凯.可证明安全的基于身份的聚合签密方案[J].计算机应用,2015,35(2):412-415. [16]吴振国,祁正华,王　翔.标准模型下一种高效的基于身份的多签密方案[J].计算机技术与发展,2018,28(7):108-112.㊃221㊃ 计算机技术与发展 第30卷。

一种新的基于无证书数字签名的认证方案朱燕琼;徐慧;马瑞敏【摘要】针对现有无线网络安全认证过程比较繁琐,认证技术大多只是对硬件的认证而不是对用户本身的认证等问题,提出基于无证书数字签名技术和指纹识别技术相结合的认证方案.通过分级认证降低无证书数字签名认证的时间代价,提出以指纹识别结果的离散值作为身份标志以免去用户口令的设计理念和认证过程.定性分析表明,基于指纹识别和无证书数字签名相结合的认证方案可以为无线网提供更安全高效的认证.%Existing wireless network security authentication technology is mostly for hardware authentication instead of user＇s identity authentication and the authentication process is relatively cumbersome. Aiming at this problem, a new authentication scheme for wireless network security based on certificateless-based signature technology and fingerprint recognition technology is presented. In this scheme, the time cost of certificateless signature authentication by grading the authentication is reduced by taking the discrete values of fingerprint recognition results as user＇s identity, which is free of the use of user password. Qualitative analysis reveals that the introduction of fingerprint identification into certificateless signature can improve the security and efficiency of wireless network security authentication.【期刊名称】《南通大学学报（自然科学版）》【年(卷),期】2012(011)002【总页数】5页(P14-18)【关键词】无证书;数字签名;认证;指纹识别【作者】朱燕琼;徐慧;马瑞敏【作者单位】南通大学计算机科学与技术学院,江苏南通226019;南通大学计算机科学与技术学院,江苏南通226019;南通大学计算机科学与技术学院,江苏南通226019【正文语种】中文【中图分类】TP309.7近年来为了克服传统的基于证书公钥密码体制中证书管理的问题，研究者们先后提出了基于身份和基于无证书的公钥密码体制.由于基于无证书的公钥密码体制克服了传统基于证书公钥密码体制中证书管理的问题和基于身份的公钥密码体制中密钥托管的问题而受到广泛关注，一些与应用需求相应的无证书公钥密码体制的安全模型被提出.基于无证书的数字签名便是其中一种，它比基于身份的数字签名算法安全性高，同时又比传统的数字签名算法效率高.本文提出一种新的基于无证书的数字签名和指纹识别相结合的无线局域网安全认证方案.1 基于无证书的数字签名的原理及产生过程1.1 无证书数字签名简介无证书公钥密码体制[1－2]（Certificateless Public Key Cryptology，CL－PKC）是 Riyami和 Paterson在2003年亚洲密码学会上首次提出的，它是介于基于证书的公钥密码和基于身份的公钥密码之间的一种密码系统.无证书公钥系统需要一个可信的第三方——密钥生成中心（Key Generation Center，KGC），但与基于身份的密码系统不同的是，KGC只是产生部分私钥，用户的私钥是由用户自己选择的秘密值和部分私钥共同产生的，因此用户的私钥只有用户自己知道，从而克服了基于身份密码系统密钥托管的缺点，达到真正的发送方不可否认的目的.无证书数字签名是无证书公钥密码的一种应用，继承了无证书公钥密码的所有优点.无证书数字签名算法从提出就受到广泛关注，研究者陆续提出多种无证书签名方案，如：1）有序双重签名[3]；2）基于双线性对的无证书签名方案[4]；3）带仲裁的无证书签名方案[5]；4）基于环签名的无证书签名方案[6]；5）基于无证书的代理签名方案[7]等.本方案中采用由Gorantla－Saxena提出的基于双线性对的签名方案.1.2 Gorantla－Saxena无证书签名算法过程无证书数字签名由7个步骤和3个实体组成.步骤为：系统初始化（Setup）、部分私钥生成（Partial－Private－Key－Extract）、密钥值生成（Set－Secret－Value）、私钥生成（Set－Private－Key）、公钥生成（Set－Public－Key）、加密（Encrypt）、解密（Decrypt）. 实体为：密钥生成中心（KGC）、签名人、验证人.无证书数字签名的产生过程[8－9]如下：1）系统初始化过程通常由密钥生成中心运行，由主密钥和系统参数生成的算法.首先指定＜G1，G，e＞，任意选择一个随机发生器P∈G，从中21随机选择一个主密钥t，将密钥生成中心的公钥设置为QKGC=tp，选择2个加密哈希函数系统参数为 params=消息空间为 S=（其中，G1和G2分别是关于素数阶q的加法和乘法封闭的群，设P是G1的随机发生器，1个加密的双线性映射为：G1×G1=G2）.2）部分私钥生成通常由KGC运行，输入用户A的身份信息IDA，计算QA=H2（IDA），然后计算部分私钥DA=tQA，最后将部分私钥通过安全通道传送给用户A.3）密钥值生成通常由实体A运行，用户在给定安全参数的基础上选择一个秘密值4）私钥生成通常是由实体A运行的，实体A计算其私钥SA=sDA.5）公钥生成通常在实体A上运行，计算用户公钥PA=sQTA.6）签名利用私钥SA对消息m∈M签名，首先选择一个随机数计算U=IQA+QTA，h=H1（m，u），V=IQA+QTA之后签名，用户将签名＜U，V ＞、消息m和公钥PA传给验证者.7）验证当收到来自用户A的消息m的签名、身份信息和公钥后，首先计算h=H1（m，u），判断e（p， v）e（PA， QTA） =e（PA， U+hQA）是否成立，成立则验证通过，否则不通过.2 数字签名技术和指纹识别结合的安全方案2.1 方案设计基于无证书的数字签名算法安全性比较高，但它是基于双线性映射的，计算比较复杂，使得认证效率不高.指纹识别认证则是基于实体的高效的认证技术，通过分析指纹的局部特征，从中抽取详尽的特征点，从而可靠地确认个人身份.指纹作为人体独一无二的特征，它的复杂度可以提供用于鉴别的足够特征.指纹识别具有极高的安全性，是一种更为理想的身份认证技术.指纹认证过程如图1所示.由于指纹识别认证在指纹受到污染、破损等情况下会引起识别率下降，因此，当用户安全级别较低时选择简单快捷的指纹识别认证，而当用户安全级别较高时采用无证书数字签名技术进行认证.并且基于无证书的数字签名为指纹识别认证提供数据安全保障，而指纹识别认证则可以提高认证效率，因此结合两种方案可以为无线局域网提供更高效和安全的认证.图1 指纹识别认证过程示意图将指纹识别技术融入无证书数字签名技术后，秘密值生成算法中的用户身份信息IDA通过对采集到的指纹特征码进行散列处理得到，这样不需要用户记住任何口令.由于市场上不同指纹识别器得到的指纹特征码大小不尽相同，从几十bit到几百bit，故将长度为n bit的指纹特征码分成32组，Ci=bi1⊕bi2⊕…⊕bi32，其中i为第i比特的散列码，1≤ i≤ n，这样就可以得到一个32位的基于身份的秘密值，使用户密钥本身携带用户的身份信息.基于数字签名和指纹识别的安全认证系统，通过判断用户是否为第一次认证和用户的安全级别将用户认证过程分为以下3种：1）通过基于无证书的数字签名认证，然后录入指纹信息；2）通过基于无证书的数字签名认证；3）直接通过指纹认证.认证流程如图2所示.2.2 认证实现将无证书的数字签名技术和指纹识别技术相结合，其首次接入认证过程如图3所示.其中申请者公钥、私钥分别为PA、SA，认证者的公钥、私钥分别为PS，SS.具体过程如下：①申请者向认证服务器发送认证请求消息，其中包含申请者的用户信息等.②认证服务器响应申请者的认证请求.③申请者产生一个大随机数R和时间戳，并用私钥签名后发送给认证服务器.图2 数字签名与指纹识别结合的认证流程图图3 首次接入的认证过程示意图④认证服务器通过申请者的用户名信息在数据库中找到申请者的公钥，解密数据包得到这个随机数R，随后产生另外一个大随机数R1，将数据R，R1和时间戳用认证服务器的私钥签名后发给申请者.⑤申请者用认证服务器的公钥解密收到的数据包，得到这2个随机数R和R1，和之前发送的数据作比较，若2个随机数一致则服务器通过认证，并发送由申请者私钥加密的大随机数和时间戳.⑥双方通过认证之后，如果申请者需要将指纹信息存入，则向认证服务器发送指纹录入请求.⑦服务器回应认证者的指纹录入请求，包含1个对称密钥KS和时间戳并用申请者的公钥加密.⑧认证者确定服务器的身份后将指纹数据和时间戳的信息用对称密钥KS采用RC2加密算法进行加密后传送给认证服务器.⑨认证服务器解密收到的信息，将得到的指纹数据存入数据库对应的用户信息中，并发送成功信息.当申请者第一次接入时，由于数据库中不存在申请者的指纹信息，申请者只能选择基于无证书的数字签名认证方法接入无线局域网，即图3中认证步骤①～⑤.一旦申请者和认证服务器之间通过了双方的认证之后，申请者可以向服务器请求将自己的指纹信息录入数据库中，即图3中认证步骤⑥～⑨.在以后的认证过程中，对于安全级别高的用户只需要进行认证步骤①～⑤，对于安全级别较低的用户直接采取指纹识别认证方式，如图4所示.此认证系统给不同安全级别的用户提供不同的安全认证方式，提高了网络接入的灵活性，使得用户的扩展更加方便，并为漫游用户提供基于指纹认证的快速重连接.2.3 有效性和安全性分析因为本文中用户私钥的产生采用Gorantla－Saxena高效的签名方案[6]，所以本方案的安全性和有效性是基于不可伪造性的.一个攻击者企图通过计算来得知用户私钥的概率是可以忽略的，因为对于给定的params和QA来计算私钥的概率相当于计算性Diffie－Hellman问题（DHCP）的概率，对于给定的QA，QTA，PA在未知私钥的情况下伪造数字签名的概率也相当于DCHP问题的概率，即是可以忽略的，其中lk为输入，g为的生成元，给出g输出k－bit长的大素数p和g，gx，gy，A为任意多项式时间算法，k为任意充分大的参数，P（·）为任意一多项式，la是安全参数.图4 指纹识别认证过程示意图本设计的安全性和高效性主要体现在以下几个方面：1）抗重放攻击.在认证过程中，用户和服务器都以随机数R和时间戳TA、TS作为挑战码，保证了认证信息的新鲜性.任何截取了认证信息的攻击者都不能通过重放来再次通过认证，即使被攻击者在中途截取了认证信息也无法修改其中的时间戳，重放后认证服务器会通过核对时间戳，如超过了数据传输过程所用的时间则丢弃此数据包.2）防假冒攻击.如果有攻击者要冒充认证实体，那么必须先伪造一个认证者的私钥.但由于认证者的私钥和公钥都需要认证者产生的秘密值，因此伪造一个与公钥匹配的私钥的概率相当于计算性Diffie－Hellman问题的概率，可以忽略.3）抗中间人攻击.假设认证者A和认证服务器S之间正在进行认证，此时攻击者C假冒AP.因为认证者和认证服务器之间要进行双向的认证，所以攻击者可以获得用户的用户名信息，但是攻击者不能伪造认证服务器的私钥获得认证者的认证.私钥只有认证者自己知道，其他人不能构造出正确的签名数据.4）利用RC2对称加密算法对传输中的指纹数据进行加密处理，保持了指纹认证安全高效的特点.利用指纹识别的安全快捷的特点补足了基于无证书签名算法的效率不够高的问题，而且无证书数字签名算法为指纹识别提供传输中的安全保障.5）将本方案与常用的基于802.1X的EAP－TLS认证方案相比，本设计方案要简洁许多.EAP－TLS方案在整个认证过程中从开始到结束一共有10步，其中包括证书的双向认证等步骤[10]，而本方案中，指纹认证过程只需要4步就可以完成，对安全级别较高的用户来说，基于无证书的数字签名认证过程也只需要6步就可以完成，总体上提高了认证效率.3 结语本文提出了对用户分级认证，将无证书数字签名技术和指纹识别技术结合起来用于无线局域网的认证方案.该方案不仅能提高认证的灵活性和适应性，而且改善了单纯依赖基于无证书数字签名算法的认证方案效率不高的问题的同时提高了认证的安全性，能有效抵抗假冒攻击、重放攻击、中间人攻击等，但在计算效率和安全性方面仍然值得继续研究.参考文献：[1]张傲红.基于离散对数的无证书数字签名的研究［D］.南京：南京理工大学理学院，2010.[2]桑永宣.无证书的公钥密码体制的若干问题的研究［D］.厦门：厦门大学数学科学学院，2009.[3]Hu B C， Wong D S， Zhang Zhenfeng， et al.Key replacement attack against a generic construction of certificateless signature［C］//Information Security and Privacy， Proceedings of 11th Australasian Conference， ACISP 2006， Melbourne， Australia， July 3-5， 2006.Berlin：Springer-Verlag， 2006：235-246.[4]Zhang Zhenfeng， Wong D S， Xu Jing， et al.Certificateless public-key signature：security model and effcient construction［C］//Applied Cryptography and Network Security， Proceedings of 4th International Conference， ACNS 2006，Singapore， June 6-9， 2006.Berlin：Springer-Verlag， 2006：293-308.[5]Ju H S，Kim D Y，Lee D H，et al.Efficient revocation of security capability in certificateless public key cryptography［C］//Knowledge-Based Intelligent Information and Engineering Systems，Proceedings of9th International Conference， KES 2005， Melbourne， Australia，September 14-16， 2005.Berlin： Springer-Verlag， 2005：453-459.[6]Herranz J，Sáez G.Ring signature schemes for general access structure s ［C］//Security in Ad-hoc and Sensor Networks， First Eurppeen Workshop， EASA 2004， Heidelberg， Germany， August 6， 2004.Berlin：Springer-Verlag，2004：54-65.[7]Li X，Chen K，Sun L.Certificateless signature and proxy signature schemes from bilinear pairings［J］.Lithuanian Mathematical Journal，2005， 45（1）：76-83.[8]Al-Riyami S S，Paterson K G.Certificateless public key cryptography［C］//Proceedings of 9th International Conference on the Theory and Application of Cryptology and Information Security， Taipei， Taiwan，November 30-December 4， 2003.Berlin：Springer-Verlag， 2003：452-473.[9]Gorantla M C，Saxena A.An efficient certificateless signature scheme［C］//Computational Intelligence and Security，proceeds of International Conference， CIS 2005，xi′an， China， December 15-19， 2005.Berlin：Springer-Verlag， 2005：110-116.[10]雷怀玉，任新华.基于EAP/TLS的无线局域网安全认证系统的研究与实现［J］.太原理工大学学报，2005，36（5）：525-528.。

新的无证书的门限代理签名方案马陵勇;廉玉忠【摘要】Threshold proxy signature is a signature scheme which puts proxy signature and threshold signa-ture together.It has advantages of division of proxy powers and distributing the proxy key.Certificateless pub-lic key cryptography effectively solves the inherent key escrow problem in identity-based public key cryptog-raphy while keeps its certificate free property.This paper proposes a new certificateless threshold proxy signa-ture scheme putting the certificatless signature scheme and threshold proxy together.It is safe and efficient.%门限代理签名是代理签名与门限签名结合产生的签名体制，具有分配代理签名权力和分散代理密钥的优点。

无证书密码体制既保持基于身份的密码体制不需要使用公钥证书的优点，又较好解决基于身份公钥体制所固有的密钥托管问题。

文章将无证书签名方案和门限代理签名方案结合，提出一个新的无证书门限代理签名方案，新方案具有安全、高效的特性。

【期刊名称】《淮北师范大学学报（自然科学版）》【年(卷),期】2014(000)001【总页数】4页(P21-24)【关键词】无证书密码系统;双线性对;计算Diffie-Hellman问题;代理签名;门限代理签名;拉格朗日插值公式【作者】马陵勇;廉玉忠【作者单位】东莞理工学院城市学院计算机与信息科学系，广东东莞 523106;东莞理工学院城市学院计算机与信息科学系，广东东莞 523106【正文语种】中文【中图分类】TP309代理签名的概念首先是由Mambo等［1-2］提出的，在原始签名人与代理签名人之间形成的某种授权协议下，代理签名人可以行使原始签名人的签名权对文件进行有效签名.当代理签名的接收者验证一个代理签名时，需要同时验证签名和原始签名者的授权协议.代理签名的实用性较强，目前仍是数字签名领域研究的热点课题之一.传统的代理签名大多是基于证书的公钥密码系统（PKI）［3］和基于身份的公钥密码系统（ID-PKC）.在基于证书的公钥密码系统中，由于需要验证用户公钥的真实性和有效性，使得基于证书的公钥密码系统的效率不高，为了克服这个缺点，Shamir［4］提出基于身份的公钥密码体制的概念.在该体制中，用户的公钥就是用户的身份信息，因此不必保存公钥证书列表，也不必使用在线的第三方.但是在这种体制中，用户的私钥完全由可信中心（PKG）产生，这就使得该签名体制不可避免地有一个致命的缺陷，就是密钥托管问题.基于这个问题，Al-Riyami和Paterson［5］于 2003年提出无证书的公钥密码系统，该系统同样要用到一个第三方KGC，与基于身份的密码系统不同，基于证书的密码系统中的 KGC 并不是生成用户的完整私钥，而只是生成用户的部分私钥，用户的完整私钥由用户和KGC 通过一定合作产生，因此，无证书密码体制并不是简单的基于身份的密码体制.无证书密码体制一经提出就受到广泛关注，把无证书密码体制的概念加入到代理签名中可以提出非常有效的无证书代理签名方案［6-9］.数字签名的安全性取决于签名所使用的密钥，门限技术可以将签名密钥以门限方式分散给多人管理，由此可以部分解决密钥管理中的密钥泄露和密钥遗失问题.将门限签名引入到代理签名制中，就形成门限代理签名，在一个（t，n）门限代理签名中，原始签名人给n个代理人进行授权，而在签名阶段，只有不少于t个人同意合作，才能生成有效的代理签名，这就实现了对代理签名权力的分配和对代理密钥的分散保管，提高了系统安全性，文献［10-11］分别提出一个高效安全的门限代理签名方案，但都是基于证书的.本文在文献［9］中利用拉格朗日插值公式引入门限思想，提出一个新的高效安全的无证书门限代理签名方案.1 预备知识定义1 双线性对设G1 是一个阶为素数q 的加法循环群，P 是它的一个生成元；G2 是一个阶为q 的乘法循环群.映射e:G1×G2 → G2 满足（1）双线性性：对于任意U,V ∈G1,a,b ∈Z*q，e(aU,bV)=e(U,V)ab；（2）非退化性：存在U,V ∈G1，使得e(U,V)≠1G2；（3）可计算性：对于任意的U,V ∈G1，存在已给高效的算法来计算e(U,V)的值. 则称这个映射为双线性对.定义2 离散对数问题给定一个阶为q 的循环群G，它的一个生成元g 以及h ∈G，找到一个值定义3 计算Difiie-Hellman问题给定一个阶为q 的循环群G，它的一个生成元P 以及aP,bP ∈G且值未知），计算abP ∈G.2 新的无证书的门限代理签名方案2.1 系统参数生成设(G1,+)和(G2,·)均是阶为q的循环群，e:G1×G2→G2是双线性映射，H1,H2：是5个安全的密码学哈希函数.密钥生成中心（KGC）随机选择作为系统主密钥并保密，P是G1 的一个生成元，系统公钥为PPub=tP，设g=e(P,P)，公开参数2.2 代理产生设原始签名者的身份为ID0，秘密值x0,公钥P0,委托证书mw，部分私钥为D0,其中P0=x0P，Q0=H1(ID0‖P),D0=tQ0，私钥为S0=D0+x0T0=D0+x0H2(ID0‖P0).代理产生阶段，原始签名者计算（1）随机选择r0 ∈，计算y0=gr0；（2）计算h0=H3(mw‖y0‖ID0‖P0)，K0=r0P-h0S0；（3）签名 w和mw,σw=(y0,K0)).2.3 代理生成验证代理群管理员DC（是由安全中心选择的可信赖的群组管理员）收到原始签名者的签名w=(mw,σw=(y0,K0))后验证签名的正确性（1）计算：T0=H2(ID0‖P0)，Q0=H1(ID0‖P)；（2）验证等式y0=e(K0,P)e(P0,h0T0)e(PPub,h0Q0)是否成立，若成立，则接收签名，否则拒绝.2.4 代理私钥生成设代理签名者为{B1,B2,…,Bn} ,Bi 的身份为 IDi，秘密值为 xi，公钥为 Pi，部分私钥 Di，其中Pi=xiP，Qi=H1(IDi‖P)，Di=tQi，管理员DC计算则代理私钥为KP=K 0+DP+XPH1(ID0‖P).2.5 代理分享阶段群管理员DC随机选择(t-1)个数ai，构造安全多项式，计算yi=f(i)作为代理私钥，计算ui=e(IDi,yi)为代理公钥，并发送给代理签名者Bi，其中i=1,2,…,n.2.6 代理签名阶段设参与签名的代理者为t 人，其中t≤n,对消息m 进行代理签名，每个参与者各自计算KPi=yiLi，并发送给管理员DC.DC计算（1）（2）随机选择rp ∈,计算RP=rPP；（3）计算hP=H4(m‖mw‖y0‖Rp‖u)，gP=H5(m‖mw‖y0‖RP‖PP)；（4）计算VP=K0+gPDP+(rP+hPXP)QP；（5）代理签名wP=(m,mw,δ=(y0,RP,VP)).2.7 代理签名验证收到代理签名者的签名后验证签名的正确性.（1）消息m 是否在委托证书mw 的范围内，若不是，则拒绝签名；否则，执行（2）.（2）计算Q0=H1(ID0‖P),T0=H2(ID0‖P0)（3）验证等式是否成立，当且仅当等式成立，则验证人接受签名；否则，拒绝签名.3 正确性3.1 代理生成的验证3.2 代理签名阶段的验证因为所以4 性能分析（1）安全性：该门限代理签名方案的安全性可以由文献［9］证明，它是一个可证明安全的、不可抵赖的无证书门限签名方案.（2）门限性：加入了门限思想，可由多个代理签名者共享代理密钥，仅需要t个成员就可以实现签名，这就解决代理签名者如部分成员脱机或有事不能参与时，签名无法顺利完成，增强方案的实用性和灵活性.（3）高效性：该方案利用拉格朗日插值公式实现门限性的共享性，并没有降低方案的高效性，仍具有方案［9］的高效性.5 结论在文献［9］提出的无证书代理签名方案中引入门限思想，提出一个新的无证书门限代理签名方案，新方案具有门限性、安全性和高效性.在该方案中是通过拉格朗日插值公式实现门限方法的，如何把其他实现门限的方法和代理签名方案结合是今后需要研究的一个方向.参考文献：［1］MAMBO M，USUDA K，OKAMOO E.Proxy signature：delegation of the power to sign message［J］.IEICE Transactions on Fundamentals，1996，E79-A：1338-1354.［2］MAMBO M，USUDA K，OKAMOO E.Proxy signature for delgating signing operation［C］//Proc of the 3rd ACM Confer⁃ence on Computer and Communications Security.ACM Press，1996.［3］KIM S J，PARK S J，WON D H.Proxy signatures［C］//Revisited.ICICS’97，LNCS1334［S.L.］：Springer-Verlag，1997：223-232.［4］SHAMIR A.Identity based cryptosystems and signature schemes［C］//BLAKELY G R，CHAUM D.Proceedings of Cryp⁃to 1984，California，USA，1984，196：47-53.［5］AL-RIYAMI S，PATERSON K.Certificateless public key cryptography ［C］//LAIH C S.Proceedings of the Asiacrypt 2003，Taipei，Taiwan，2003，2894：312-323.［6］LI X，CHEN K，SUN L.Certificateless signature and proxy signature schemes from bilinear pairings［J］.Lithuanian Mathematical Journal，2005，45：76-83.［7］CHOI K，LEE D.Certificateless proxy signature schemes［C］//Proceedings of the 3rd International Conference on Multi⁃media，Information Technology and its Applications-MITA2007，Manila，Philippines，2007：437-440.［8］杜红珍，温巧燕，李文敏，等.高效的无证书强代理签名方案［J］.北京邮电大学学报，2008，31（6）：18-21.［9］宋万干，陈虎，张福泰.新的无证书代理签名方案［J］.计算机工程与应用，2011，47（4）：97-101.［10］LEE N Y.Treshold proxy signature［J］.IEEE Trans，on Computer and Digital Techniques，1999，146（5）：259-263.［11］ZHANG K.Threshold proxy signature schemes［C］//InformationSecurity Workshop，Japan,1997：191-197.。