一種無證書聚合簽名方案的改進

摘 要： 通過對無證書聚合簽名方案進行安全性分析，發(fā)現(xiàn)此方案無法抵抗TypeⅡ下的偽造性攻擊。針對此類問題，提出一個改進的方案。方案在簽名過程中改變了參數(shù)的組合方式，在聚合簽名驗證中加強了對主密鑰和公鑰的約束。安全分析表明，在計算CDHP困難和隨機諭言模型的假設下，方案在適應性選擇消息攻擊下具有不可偽造性。效率分析表明，該方案在簽名與驗證過程中，只需要4個雙線性對運算，簽名的長度是固定的，與同類安全的無證書聚合簽名方案相比，效率較高。

關鍵詞： 無證書密碼體制； 聚合簽名； 雙線性對； 隨機諭言模型

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2015）09?0083?04

Abstract： The security analysis is proceeded by certificateless aggregation signature scheme， which can′t resist forgeable attack under TypeⅡ. To solve the problem， an improved scheme is proposed. Parameter combination mode is changed in the process of signature， the restrain of master key and public key is strengthened in aggregation signature verification. Security analysis shows that the scheme is unforgeable under attacking of adaptive selection message， base on difficult calculation of CDHP and random oracle model assumption. Efficiency analysis shows that in proceeding of signature and verification， the proposed scheme requires only 4 bilinear pairings calculation， the length of the signature is fixed， and the efficiency of certificateless aggregation signature scheme is higher than congener security schemes.

Keywords： certificateless cryptosystem； aggregation signature； bilinear pairing； random oracle model

0 引 言

為了降低公鑰證書管理的復雜性和解決密碼托管的安全性等問題，AlRiyami等人首次提出無證書的密碼系統(tǒng)[1]。無證書密碼系統(tǒng)利用密鑰生成中心KGC（Key Generation Center）產(chǎn)生用戶的部分私鑰，與用戶隨機選擇的秘密值共同組成用戶公鑰與私鑰。為解決簽名效率偏低的問題，Boneh等人提出聚合簽名的思想[2]。聚合簽名是多個用戶對多個消息分別簽署的簽名， 能夠合成一個短的簽名， 而驗證者只需對聚合后的短的簽名進行驗證， 便可以確信多個用戶分別進行了簽名。

由于無證書與聚合簽名在節(jié)約計算和通信成本方面的優(yōu)勢，第一個無證書聚合簽名的安全模型和聚合簽名方案在2007年由Gong等人提出[3]。此后，一些無證書聚合簽名方案又被相繼提出。文獻[4]以文獻[5]為基礎，構建了一種無證書聚合簽名方案，但是由于涉及到兩個群的計算，效率偏低。文獻[6]提出一種有效的無證書聚合簽名方案，方案采用常量對運算，極大地提高了簽名驗證時的效率。但是文獻[7]指出其不能抵抗無證書攻擊模型中類型Ⅱ敵手的攻擊。從目前無證書聚合簽名研究狀況分析，大部分方案存在不能抵抗兩類攻擊和計算效率偏低的問題。為此，侯紅霞等人構造了一種改進的無證書聚合簽名方案（以下簡稱HZD方案）[8]，由于采用常量對運算，能夠在保證安全的基礎上，提高簽名驗證時的效率。然而，本文針對HZD方案進行安全性分析，發(fā)現(xiàn)這種方案不能抵抗Type Ⅱ攻擊者A2的偽造攻擊。因此，提出一種改進方案，在隨機預言模型下，證明該改進方案在適應性選擇消息攻擊下是具有不可偽造性的。

1 預備知識

1.1 數(shù)學難解問題

定義1 計算Diffle?Hellman問題（CDHP）：已知G是階為q的循環(huán)群，P是群G的生成元，給定P，aP，bP∈G，其中a，b∈Zq*未知，計算abP是困難的。

1.2 無證書聚合簽名的定義與安全模型

一個無證書聚合簽名系統(tǒng)由7個算法組成，分別是系統(tǒng)建立、部分密鑰生成、設置秘密值、設置私鑰與公鑰、簽名、簽名聚合和聚合簽名驗證。

無證書聚合簽名系統(tǒng)存在2種攻擊者。

Type I：攻擊者A1無法獲取KGC的主密鑰[s，]但是可以任意替換公鑰。此類型主要是模仿非法用戶進行的攻擊。

TypeⅡ：攻擊者A2可以獲取KGC的主密鑰[s，]但是不可以任意替換公鑰。此類型主要是模仿能夠為用戶生成部分密鑰的KGC進行的攻擊。

如果無證書聚合簽名方案在適應性選擇消息攻擊下是存在性不可偽造的，就需要通過與Type I和TypeⅡ攻擊者進行博弈游戲。假設挑戰(zhàn)者C是方案的防守方，攻擊者A1和A2是方案的攻擊方，則博弈游戲有2種：Game 1是攻擊者A1與挑戰(zhàn)者C關于偽造性攻擊的游戲；Game 2是攻擊者A2與挑戰(zhàn)者C關于偽造性攻擊的游戲。

2 HZD方案的安全性分析

HZD方案是一個標準的無證書聚合簽名方案，主要的7個算法可見文獻[8]。HZD方案針對2個攻擊類型的適應性選擇消息、選擇身份以及公鑰替換攻擊下是存在不可偽造的[8]。本節(jié)采用TypeⅡ攻擊者A2對HZD方案進行偽造攻擊，以證明其方案具有可偽造的安全缺陷。攻擊者A2通過以下步驟進行消息的偽造。

3 改進方案的描述

本文的改進方案仍然是由7個算法構成：系統(tǒng)建立、部分密鑰生成、設置秘密值、設置私鑰與公鑰、簽名、聚合簽名和聚合簽名驗證。其中，系統(tǒng)建立中添加一個哈希函數(shù)H3：{0，1}*→G1，部分密鑰生成、設置秘密值、設置私鑰與公鑰等3個算法與原方案相同。本文僅對簽名、聚合簽名和聚合簽名驗證算法進行描述。

4.2 改進方案安全性分析

在隨機諭言模型環(huán)境下，改進方案具有存在性不可偽造的安全性。

定理1 在計算CDHP困難和隨機諭言模型的假設下，改進方案在適應性選擇消息攻擊下是存在性不可偽造的。

引理1 假設一個Type I攻擊者A1在[t]時間內以不可忽略的概率[ε]贏得了Game 1的勝利，則存在一個算法[C，]在[t]時間內以一個不可忽略的概率[ε]解決CDHP難題。其中，[qH1，][qE，][qpk，][qs]分別表示對[H1]詢問的次數(shù)、對部分密鑰生成詢問、對公鑰詢問的次數(shù)和對簽名詢問的次數(shù)，[tm]和[tinv]分別為1個標量乘時間和1個逆運算時間。

4.3 改進方案效率分析

假設m表示群G1上1次標量乘計算，e表示l個雙線性對的計算，l表示G1群元素的長度。本文簽名長度僅為2l， 簽名與驗證總計算量為[6nm+4e。]

（1） 文獻[5]中方案的簽名長度2l，總計算量[7nm+][5e。]本文改進方案的運算效率比此方案少了1個標量乘和雙線對運算。

（2） 文獻[9]方案的簽名長度2l，總計算量[6nm+5e。]雖然與本文改進方案的聚合簽名長度相同，但是比改進方案多了1個雙線性對運算。

（3） 文獻[10]的簽名與改進方案相同，總計算量也比改進方案小。但是，存在與HZD方案相同的可偽造性攻擊。由此可見，本文方案在聚合簽名的長度和計算量方面，其效率明顯高于現(xiàn)有方案。

5 結 語

本文分析了文獻[8]的無證書聚合簽名方案，指出此方案存在TypeⅡ攻擊者A2的偽造攻擊。本文在此基礎上，提出了一個改進方案。在計算CDHP困難和隨機諭言模型的假設下，證明改進方案在適應性選擇消息攻擊下具有不可偽造性。改進方案在簽名與驗證過程中，只需要6個標量乘和4個雙線性對運算，與同類安全的無證書聚合簽名方案相比，效率較高。

參考文獻

[1] AL RIYAMI S S， PATERSON K G. Certificateless public key cryptography [C]// Advances in CryptologyASIACRYPT 2003. Taibei， China： Springer Berlin Heidelberg， 2003： 452?473.

[2] BONEH D， GENTRY C， LYNN B， et al. Aggregate and verifiably encrypted signatures from bilinear maps [C]// Advances in CryptologyEUROCRYPT 2003. Warsaw： Springer Berlin Heidelberg， 2003： 416?432.

[3] ZHANG Lei， ZHANG Fu?tai. A new certificateless aggregate signature scheme [J]. Computer Communications， 2009， 32（6）： 1079?1085.

[4] ZHANG Lei， QIN Bo， WU Qian?hong， et al. Efficient many?to?one authentication with certificateless aggregate signatures [J]. Computer Networks， 2010， 54（14）： 2482?2491.

[5] XIONG Hu， GUAN Zhi， CHEN Zhong， et al. An efficient certificateless aggregate signature with constant pairing computations [J]. Information Science， 2013， 219（10）： 225?235.

[6] SHEN Li?min， SUN Yin?xia. On the security of a certificateless aggregate signature scheme [J]. International Journal of Advancements in Computing Technology， 2013， 5（3）： 358?367.

[7] 杜紅珍，黃梅娟，溫巧燕，等.高效的可證明安全的無證書聚合簽名方案[J].電子學報，2013，41（1）：73?76.

[8] 侯紅霞，張雪鋒，董曉麗，等.改進的無證書聚合簽名方案[J]. 山東大學學報：理學版，2013，48（9）：29?34.

[9] 喻琇瑛，何大可.一個新的無證書聚合簽名[J].計算機應用研究，2014，31（8）：2485?2487.

[10] 孫華，郭磊，鄭雪峰，等.一種有效可證安全的基于身份代理聚合簽名方案[J].計算機科學，2012，39（1）：44?47.