王圣寶，劉文浩，謝琪

（1. 杭州師范大學(xué) 信息科學(xué)與工程學(xué)院，浙江 杭州 310012；2. 北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，北京 100876；3. 合肥新星應(yīng)用技術(shù)研究所，安徽 合肥 230031）

1 引言

公鑰密碼學(xué)自 1976年誕生以來，用戶的公鑰如何才能得到高效認(rèn)證始終是一個(gè)熱點(diǎn)研究問題。在基于傳統(tǒng)公鑰證書的密碼方案中，證書的管理過程十分復(fù)雜。而在身份基公鑰密碼體制中不存在公鑰證書，但卻不可避免地存在密鑰托管問題。鑒于此，Al-Riyami和 Paterson[1]于 2003年首次提出了無證書公鑰密碼學(xué)的全新概念。在文獻(xiàn)[1]中提出了第一個(gè)無證書簽名方案，但沒有證明其安全性。

近年來，無證書簽名方案的研究受到廣泛重視，出現(xiàn)了許多新的方案。但是，這些方案或者存在安全漏洞，或者存在計(jì)算效率不高的問題。其中，導(dǎo)致計(jì)算效率不高的問題主要是因?yàn)樗鼈兌家噪p線性配對作為設(shè)計(jì)工具。2004年，Yum等[2]首次提出不使用雙線性配對來設(shè)計(jì)無證書簽名方案。然而，Hu等[3]指出文獻(xiàn)[2]中的方案不能抵抗密鑰替換攻擊，并提出了一個(gè)改進(jìn)的無需雙線性配對的無證書簽名方案。2005年，Huang等[4]提出了針對文獻(xiàn)[1]中簽名方案的密鑰替換攻擊，提出了避免此類攻擊的改進(jìn)方案，并詳細(xì)證明了他們新方案的安全性。同年，Corantla等[5]提出了一個(gè)在ROM模型下安全的無證書簽名方案，其安全性基于CDH假設(shè)。該方案中，簽名時(shí)不需要計(jì)算無雙線性配對，但在簽名的驗(yàn)證過程中則需要 3次雙線性配對運(yùn)算。2006年，Cao等[6]指出Corantla等[5]的簽名方案仍然不能抵抗密鑰替換攻擊，并給出一個(gè)驗(yàn)證簽名需要 4次雙線性配對運(yùn)算的改進(jìn)方案。同年，Zhang等[7]提出了一個(gè)無證書簽名方案，其簽名過程無需雙線性配對，但驗(yàn)證過程則需要4次雙線性配對運(yùn)算。Choi等[8]于2007年所提出的2個(gè)方案在簽名過程中沒有用到雙線性配對，但在簽名驗(yàn)證過程中至少需要進(jìn)行1次配對運(yùn)算。2008年，Duan等[9]提出了無證書不可否認(rèn)簽名方案，其簽名過程需要2次雙線性配對運(yùn)算。Liu等[10]提出了標(biāo)準(zhǔn)模型下安全的無證書簽名方案，其驗(yàn)證過程需要進(jìn)行多達(dá)6次配對運(yùn)算。Xiong等[11]針對Liu[10]的方案提出了惡意 KGC攻擊，并提出了改進(jìn)方案，改進(jìn)方案在驗(yàn)證階段仍然需要 3次配對運(yùn)算。同時(shí)，Shim[12]指出了 Xiong等[11]的方案不能抗密鑰替換攻擊。2009年，Yuan等[13]提出了標(biāo)準(zhǔn)模型下的無證書簽名方案，其簽名過程無雙線性配對運(yùn)算，驗(yàn)證過程需要2次雙線性配對運(yùn)算。Du等[14]所提出的無證書短簽名方案在簽名的過程沒有用到配對，而且驗(yàn)證過程只需1次配對運(yùn)算。

在各種無證書簽名方案的變體類型中，則往往需要更多次數(shù)的配對運(yùn)算。2010年，Jin等[15]提出了無證書多重代理簽名方案，其簽名過程需要4n+4次配對運(yùn)算。Guo等[16]提出了無證書代理重簽名方案，其簽名過程無需配對運(yùn)算，但驗(yàn)證過程需要 6次配對運(yùn)算。Yang等[17]給出了無證書可轉(zhuǎn)換加密簽名的模型，并提出了具體方案，其簽名階段沒有用到配對，而驗(yàn)證階段需進(jìn)行4次配對運(yùn)算。2011年，Zhang等[18]首次定義了無證書盲簽名方案，其簽名過程需要進(jìn)行2次配對運(yùn)算，驗(yàn)證過程需要3次配對運(yùn)算。同年，Yang等[19]設(shè)計(jì)了可追蹤的無證書門限代理簽名方案，其簽名過程需進(jìn)行 7n次配對運(yùn)算，而驗(yàn)證階段要進(jìn)行10次配對運(yùn)算。

本文提出了無雙線性配對運(yùn)算的高效無證書簽名新方案，并基于離散對數(shù)（DL, discrete logarithm）困難假設(shè)，在隨機(jī)預(yù)言模型（ROM）下證明了所提新方案的安全性。與同類方案相比，本文的新方案具有更好的計(jì)算效率。

2 預(yù)備知識

2.1 困難問題及假設(shè)

離散對數(shù)問題（DLP, discrete logarithm problem）：設(shè)循環(huán)群G的階為q，P是它的一個(gè)生成元。給定隨機(jī)元素Q∈G，計(jì)算a∈Zq*，使其滿足Q=aP。

在概率多項(xiàng)式時(shí)間內(nèi)算法A在解決 DLP的優(yōu)勢定義如下：

離散對數(shù)假設(shè)：對任意概率多項(xiàng)式時(shí)間算法A，AdvDLP(A) 是可以忽略的。

2.2 無證書簽名方案

在無證書簽名方案中，存在3個(gè)合法參與者，它們分別是密鑰生成中心（KGC）、簽名者IDi和驗(yàn)證者IDj。一個(gè)無證書簽名方案由如下7個(gè)算法構(gòu)成。

1) 系統(tǒng)建立

輸入安全參數(shù)k，輸出系統(tǒng)公開參數(shù)params和系統(tǒng)主密鑰。然后，公開params，由密鑰生成中心（KGC）秘密地保管主密鑰。

2) 部分密鑰生成

此算法輸入給定用戶的身份標(biāo)識IDi、系統(tǒng)參數(shù)params和主密鑰，KGC輸出身份該用戶的部分私鑰Di，并通過秘密信道將Di返回給用戶IDi。

3) 秘密值生成

此算法輸入用戶身份標(biāo)識IDi，系統(tǒng)參數(shù)params，輸出該用戶的秘密值xi∈Zq*。

4) 用戶私鑰生成

輸入用戶身份標(biāo)識IDi、系統(tǒng)參數(shù)params、用戶部分私鑰Di及其長期秘密值xi，算法輸出該用戶的私鑰SKi= (xi,Di)。

5) 用戶公鑰生成

輸入用戶身份標(biāo)識IDi、參數(shù)params、部分私鑰Di和長期私鑰xi，輸出用戶公鑰PKi。

6) 簽名

輸入系統(tǒng)參數(shù)params、待簽名消息m、簽名者用戶身份標(biāo)識IDi、其公鑰PKi以及簽名私鑰SKi，最終輸出該用戶針對消息m的簽名σ。

7) 驗(yàn)證

輸入系統(tǒng)參數(shù)params、簽名σ、消息m、簽名者身份標(biāo)識IDi及其公鑰PKi，若驗(yàn)證通過，輸出1；否則，輸出0。

2.3 安全模型

本節(jié)給出由文獻(xiàn)[13]所定義的關(guān)于無證書簽名方案的形式化安全模型，在該模型中，攻擊者被分為AI和AII兩類。

AI：此類攻擊者不掌握系統(tǒng)主密鑰，但它可以替換合法用戶的公鑰。

AII：此類攻擊者可得到系統(tǒng)主密鑰，但是它被禁止替換合法用戶的公鑰。

定義1 在AI類攻擊者攻擊下的不可偽造性：在多項(xiàng)式時(shí)間內(nèi)，若AI攻擊者不能以不可忽略的優(yōu)勢在如下游戲中獲勝，則稱該無證書簽名方案在適應(yīng)性選擇消息攻擊下具有不可偽造性(EUF-CLSC-CMA)。

1) 挑戰(zhàn)者C輸入安全參數(shù)k，運(yùn)行系統(tǒng)建立算法，獲得系統(tǒng)主密鑰x和系統(tǒng)參數(shù)params，保密主密鑰并將系統(tǒng)參數(shù)params交給攻擊者AI。

2) 查詢階段，攻擊者AI執(zhí)行如下操作。

Hash查詢：AI可以針對任意輸入查詢Hash值。

部分私鑰生成查詢：AI選擇一個(gè)身份標(biāo)識ID，根據(jù)參數(shù)params和系統(tǒng)主密鑰x，C計(jì)算用戶部分私鑰DID，并將其發(fā)送給攻擊者AI。

私鑰生成查詢：攻擊者AI選擇一個(gè)身份標(biāo)識ID，挑戰(zhàn)者C根據(jù)用戶密鑰生成算法生成用戶ID的私鑰SKID，并將其發(fā)送給AI。

公鑰生成查詢：攻擊者AI選擇一個(gè)用戶身份標(biāo)識ID，挑戰(zhàn)者C根據(jù)用戶公鑰生成算法生成該用戶的公鑰PKID，并將其發(fā)送給AI。

用戶公鑰替換：針對任意身份標(biāo)識ID，攻擊者AI可以選擇一個(gè)新的公鑰來替換原公鑰PKID。

簽名生成查詢：攻擊者AI選擇身份標(biāo)識IDi和明文m，挑戰(zhàn)者C對IDi進(jìn)行私鑰生成查詢，然后，計(jì)算簽名σ=Sign(IDi,m,SKi)，并將σ發(fā)送給AI。

3) 簽名偽造階段：攻擊者AI輸出一個(gè)四元組(m*,σ*,ID*,PK*)。定義AI在這個(gè)游戲中獲勝，當(dāng)且僅當(dāng)：

②攻擊者AI沒有查詢過身份標(biāo)識為ID*的用戶的部分私鑰；

③攻擊者AI沒有查詢過身份標(biāo)識為ID*，公鑰為PK*的用戶對消息m*的簽名。

定義2 在AII攻擊者攻擊下的不可偽造性：若在多項(xiàng)式時(shí)間內(nèi)攻擊者AII不能以不可忽略的優(yōu)勢在如下游戲中獲勝，則稱無證書簽名方案在適應(yīng)性選擇消息攻擊下具有不可偽造性。

1) 建立階段：挑戰(zhàn)者C輸入安全參數(shù)k，運(yùn)行“系統(tǒng)參數(shù)建立”算法，獲得系統(tǒng)主密鑰x和params，并發(fā)送x和params給攻擊者AII。

2) 查詢階段：攻擊者AII執(zhí)行的操作同定義1中的階段2)。

3) 簽名偽造階段：攻擊者AII輸出一個(gè)四元組(m*,σ*,ID*,PK*)。定義攻擊者AII在這個(gè)游戲中獲勝，當(dāng)且僅當(dāng)：

①σ*的身份標(biāo)識為ID*，公鑰為PK*的用戶對m*的一個(gè)有效簽名；

如何解決傳統(tǒng)安全監(jiān)督檢查工作中的突出問題，構(gòu)建更加高效、更有質(zhì)量的安全監(jiān)督工作模式，不只是單純管理變革的問題，也不是單純應(yīng)用某項(xiàng)新科技或新技術(shù)的問題，應(yīng)該從管理體系構(gòu)建、企業(yè)應(yīng)用場景分析、信息技術(shù)應(yīng)用三個(gè)方面出發(fā)進(jìn)行系統(tǒng)分析，形成三位一體構(gòu)建新的工作模式。

②攻擊者AII沒有查詢過身份標(biāo)識為ID*用戶的長期秘密值xi，并且它也沒有替換過該用戶的公鑰；

③攻擊者AII沒有詢問過身份標(biāo)識為ID*，公鑰為PK*的用戶對m*的簽名。

定義3 一個(gè)無證書簽名方案在適應(yīng)性選擇消息攻擊下滿足不可偽造的安全屬性，當(dāng)且僅當(dāng)任何多項(xiàng)式時(shí)間攻擊者贏得上述2個(gè)游戲的概率都是可忽略的。

3 新的無證書簽名方案

本節(jié)給出新提出的無證書簽名方案。在本方案中，無論是簽名者還是驗(yàn)證者都不需要進(jìn)行相對費(fèi)時(shí)的雙線性配對運(yùn)算。

1) 系統(tǒng)建立階段

輸入安全參數(shù)k，輸出2個(gè)大素?cái)?shù)p、q，滿足q|p-1。設(shè)P為循環(huán)群G1中任意一個(gè)階為q的生成元。選擇安全Hash函數(shù)：H1:{0,1}*×G1→Zq*，

H2:{0,1}*→Zq*，KGC隨機(jī)選擇主密鑰z∈Zq*，然后計(jì)算y=zP，并公開系統(tǒng)參數(shù) (p,q,P,y,H1,H2)，保密系統(tǒng)主密鑰z。

2) 用戶密鑰生成

給定用戶身份標(biāo)識IDi，KGC隨機(jī)選取ri∈Zq*，然后計(jì)算Ri=riP，Di=ri+zH1(IDi,Ri)，通過安全信道將Di發(fā)給用戶。用戶將其作為部分私鑰，將Ri=riP作為他的部分公鑰。

該用戶隨機(jī)選取xi∈Zq*作為其長期私鑰，并生成相應(yīng)私鑰(xi,Di) ，接著計(jì)算Xi=xiP，生成公鑰(Xi,Ri) 。用戶可以通過等式Ri+H1(IDi,Ri)y=DiP是否成立來判斷 KGC發(fā)送的部分私鑰是否有效。

3) 簽名

假定用戶A為簽名者，隨機(jī)選擇整數(shù)a∈Zq*，然后計(jì)算TA=aP，h=H2(TA||XA||IDA||m)，s1=a/(xA+DA+h)，s2=xA/(xA+DA+h)，從而得到簽名σ= (h,s1,s2)，并將其與部分公鑰RA一道傳遞給用戶B。

4) 簽名驗(yàn)證

假定B為簽名驗(yàn)證者，當(dāng)收到簽名σ和RA后，B計(jì)算h1=H1(IDA,RA)，

4 安全證明

在隨機(jī)預(yù)言模型下，利用2.3節(jié)所描述的安全模型，證明前面所提新方案的安全性。

定理 1 （相對AI的不可偽造性）在隨機(jī)預(yù)言模型下，若存在一個(gè)(EUF-CLSC-CMA)攻擊者AI能在多項(xiàng)式時(shí)間內(nèi)以ε的優(yōu)勢在定義1中的游戲中獲勝（假設(shè)它最多進(jìn)行qi次Hi查詢，其中，i= 1 ,2），則存在一個(gè)算法Q能在多項(xiàng)式時(shí)間內(nèi)以的優(yōu)勢成功解決離散對數(shù)問題。

證明 假設(shè)Q是一個(gè)關(guān)于 DLP問題的有效算法，其輸入為(vP,P)，目標(biāo)是計(jì)算出v。Q設(shè)置y=vP，然后利用AI作為子程序試圖解決 DLP問題，并且充當(dāng)(EUF-CLSC-CMA)游戲中的挑戰(zhàn)者。游戲開始后，挑戰(zhàn)者Q發(fā)送 (p,q,P,y,H1,H2)給攻擊者AI，并維持列表L1,L2,LD,LSK,LPK,LS,LV分別用于跟蹤AI對預(yù)言機(jī)H1,H2、部分私鑰提取、私鑰提取、公鑰提取、簽名和驗(yàn)證簽名的查詢。注意，每個(gè)列表最初被設(shè)置為空。

H1查詢：列表L1的格式為 (ID,R,h1)，當(dāng)Q收到攻擊者AI針對H1(IDi,Ri) 的查詢時(shí)，若 (ID,R,h1)已經(jīng)存在于列表L1中，則返回列表中相應(yīng)的值給AI。否則，挑戰(zhàn)者Q隨機(jī)選取h1∈Zq*，并將(ID,R,h1)加入到列表L1中。

H2查詢：此列表的格式為 (m,ID,X,T,h2,c)，假使挑戰(zhàn)者Q收到AI針對H2(m||ID||T||X)的查詢，Q查找 (m,ID,X,T,h2)是否存在于列表L2之中，若存在則返回相應(yīng)值給AI。否則，隨機(jī)選取c∈{0,1}，設(shè)Pr[c=1]=δ。若c=0，隨機(jī)選取h2∈Zq*

，并將h2返回給A1，然后將(m,ID,X,T,h2,c)加入列表L2中；若c=1，則令h1=⊥，返回⊥給AI表示終止游戲。

部分私鑰查詢：若(ID,D,R)存在于列表LD中，則返回其中相應(yīng)的值給AI。否則，挑戰(zhàn)者Q隨機(jī)選擇D,h1∈Zq*，并計(jì)算R=DP-yh1，然后將(ID,D,R)加入列表LD中，將 (ID,R,h1)加入列表L1中，最后將(R,D)返回給攻擊者AI。

私鑰查詢：若(ID,D,x)在列表LSK中存在，則將列表中相應(yīng)的值返回給AI。否則，Q查找列表LD得到D，并隨機(jī)選擇x∈Zq*，最后將(ID,D,x)插入列表LSK。

公鑰查詢：若(ID,R,X)存在列表LPK中，則將列表中相應(yīng)的值返回給AI。否則，Q先查找列表LD和LSK，計(jì)算X=xP，將(ID,R,X)加入列表LPK中，并將(R,X) 返回給AI；若在列表LD和LSK中不存在，則查找列表L2。若c= 1 ，則Q隨機(jī)選取r,x∈Zq*

，并計(jì)算R=rP,X=xP，然后將(ID,R,X,c)插入列表LPK，并返回(R,X)；若c= 0 ，則運(yùn)行部分私鑰查詢獲得(R,D)，然后Q隨機(jī)選擇x∈Zq*，并將(ID,D,x)插入列表LSK，接著將(ID,R,X,c)插入列表LPK，并返回(R,X) 。

公鑰替換查詢：假設(shè)簽名者的身份標(biāo)識為ID，攻擊者AI可以任意選取一個(gè)新的x′替換掉原先的x，并以新的公鑰R′替換原公鑰R。

簽名生成查詢：挑戰(zhàn)者Q在列表LPK查找若c=1，則放棄；否則，查找列表并隨機(jī)選a∈Zq*，計(jì)算T=aP，，最后返回簽名σ= (h,s1,s2)給AI。

驗(yàn)證簽名查詢：Q在列表LPK查詢IDA：①若存在且c= 0 ，則在列表L1中查詢，接著計(jì) 算和XA+h1y+hP)；若H2(T'||X'||IDA||m) =h成立，則輸出 1，表示“通過驗(yàn)證”，否則終止模擬游戲；②若存在且c= 1 ，則在列表L1中查找若存在則輸出 1，表示“通過驗(yàn)證”，否則終止模擬游戲；③若列表LPK中不存在，則表示公鑰已被替換，則在列表L1中查找，若發(fā)現(xiàn)(m,IDA,T',X',h)∈L2，則輸出1，表示“通過驗(yàn)證”，否則終止模擬游戲。

經(jīng)過多項(xiàng)式次數(shù)的上述查詢之后，AI隨機(jī)選取計(jì)算然后輸出對m的偽造簽名σ*= (h*,s*)。注意，挑戰(zhàn)者Q掌握被攻擊者替換掉的公鑰。若偽造的簽名有效，則Q輸出v= (a-s*作為DLP問題的答案；否則，Q無法解決 DLP問題。若AI對IDA進(jìn)行過部分私鑰或私鑰查詢，則Q失敗退出，而AI不進(jìn)行這2種查詢的概率至少是 1 /q12；如果AI對T'進(jìn)行過H2查詢，則Q失敗退出，而AI不進(jìn)行這種查詢的概率大于1/q2。因此，挑戰(zhàn)者Q解決 DLP問題的優(yōu)勢至少為

定理 2 （相對AII攻擊下的不可偽造性）。在隨機(jī)預(yù)言模型下，若存在一個(gè)(EUF-CLSC-CMA)攻擊者AII能在多項(xiàng)式時(shí)間內(nèi)以優(yōu)勢ε在定義2中的游戲中獲勝（假設(shè)攻擊者最多進(jìn)行qi次Hi查詢，i= 1 ,2），則存在一個(gè)算法Q能在多項(xiàng)式時(shí)間內(nèi)以優(yōu)勢解決DLP問題。

證明 給定一個(gè)隨機(jī) DLP問題實(shí)例(p,q,P,aP)，算法Q的目標(biāo)是計(jì)算獲得a。同定理 1的證明，Q試圖以AII為子程序解決 DLP問題，并充當(dāng)(EUF-CLSC-CMA)游戲中的挑戰(zhàn)者。游戲開始后，Q將系統(tǒng)參數(shù) (p,q,P,y,H1,H2)發(fā)送給AII。根據(jù)定義，攻擊者AII掌握系統(tǒng)主私鑰z，但不能進(jìn)行公鑰替換攻擊，其他條件及目標(biāo)同定理1。

在此攻擊游戲中，AII可以進(jìn)行定理1證明過程中的除驗(yàn)證簽名之外的所有查詢。

驗(yàn)證簽名查詢：Q在列表LPK查找IDA：①若存在且c= 0 ，則在列表L1中查找并計(jì)算；若H2(T'||IDA||m)=h成立，則返回“通過”，否則終止游戲模擬；②若存在且c=1，則在L1中查找，若存在則返回“通過”，否則終止游戲模擬；③若列表LPK中不存在該公鑰，則在列表L1中查找，若存在則返回“通過”，否則終止游戲模擬。

在游戲的某個(gè)階段，攻擊者AII隨機(jī)選取，并計(jì)算最后輸出對消息m的偽造簽名σ*= (h*,s*)。若偽造簽名能通過驗(yàn)證，則挑戰(zhàn)者Q輸出rA= (a-s*(vh1+xA+h*) )/s*作為 DLP問題實(shí)例的解；否則，Q不能解決DLP問題。若AII對IDA進(jìn)行過部分私鑰或私鑰查詢，則Q失敗退出。AII不進(jìn)行這 2種查詢的概率至少為 1 /q12；若AII對T'進(jìn)行過H2查詢，則Q失敗退出，AII不進(jìn)行這種查詢的概率大于 1 /q2。所以，挑戰(zhàn)者Q解決 DLP問題的優(yōu)勢至少為

5 效率分析

數(shù)字簽名方案的效率包括簽名階段和驗(yàn)證階段的計(jì)算量以及簽名長度等。表 1將新方案與已有的具有代表性方案的效率進(jìn)行了比較。其中，P表示一個(gè)雙線性配對運(yùn)算，S表示群G1中的標(biāo)量乘法運(yùn)算，E表示群G2中的指數(shù)運(yùn)算，H表示一個(gè)散列運(yùn)算。另外，P1表示G1中一個(gè)元素的長度，P2表示G2元素的長度，而Z1表示Zq*中的整數(shù)的長度。

表1 計(jì)算量和簽名長度的比較

根據(jù)文獻(xiàn)[20]所給出的分析結(jié)果，雙線性配對、指數(shù)運(yùn)算與散列運(yùn)算的計(jì)算量分別是標(biāo)量乘運(yùn)算的約21倍、3倍及1倍。從表1可以看到，在簽名及其驗(yàn)證簽名階段，只有文獻(xiàn)[2,3]中的方案與所提出的新方案一樣都沒有用到雙線性配對。但是，它們已被證明是不安全的。而其他所有方案至少需要進(jìn)行1次雙線性配對運(yùn)算。在本文所提出的新方案中，簽名為σ= (h,s1,s2)。在計(jì)算h時(shí)，簽名者需要先計(jì)算TA=aP，即1次點(diǎn)乘計(jì)算。另外計(jì)算h時(shí)還需進(jìn)行一次散列操作，即計(jì)算因此計(jì)算量總計(jì)為1S+1H。類似地，可以計(jì)算出簽名驗(yàn)證階段所需的計(jì)算量，即2S+1H。新方案的簽名長度與表1中其他方案相比也具有較大優(yōu)勢。

6 結(jié)束語

本文提出了一個(gè)新的無雙線性配對運(yùn)算的無證書簽名方案?；陔x散對數(shù)問題假設(shè)，在隨機(jī)預(yù)言模型下證明了其安全性。通過分析表明，新方案的計(jì)算效率和簽名長度都優(yōu)于已有方案。因此，它更適合應(yīng)用于計(jì)算能力和帶寬都受限的場景，例如無線傳感器網(wǎng)絡(luò)和ad hoc網(wǎng)絡(luò)。

[1] AL-RIYAMI S S, PATERSON, K G. Certificateless public key cryptography[A]. Proc of Asiacrypt 2003[C]. Springer-Verlag, Berlin,2003. 452-473.

[2] YUM D H, LEE P J. Generic construction of certificateless signature[A]. In Information Security and Privacy: 9th Australasian Conference, ACISP 2004[C]. Springer-Verlag, 2004. 200-211.

[3] HU B, WONG D, ZHANG Z,et al. Key replacement attack against a generic construction of certificateless signature[A]. Proc of 11th Australasian Conference on Information Security and Privacy[C]. Melbourne, Australia, 2006. 235-246.

[4] HUANG X, SUSILO, W, MU Y, ZHANG F. On the security of certificateless signature schemes[A]. Asiacrypt 2003[C]. 2005.13-25.

[5] GORANTLA M C, SAXENA A. An efficient certificateless signature scheme[A]. Proc of CIS’05[C]. Springer-Verlag, 2005. 110-116.

[6] CAO X, PATERSON K G, KOU W. An Attack on a Certificateless Signature Scheme[R]. Cryptology ePrint Archive, 2006.

[7] ZHANG Z, WONG D, XU J,et al. Certificateless public-key signature[A]. Security Model and Efficient Construction, ACNS 2006[C].Springer-Verlag, 2006. 293-308.

[8] CHOI K Y, PARK J H, HWANG J,et al. Efficient certificateless signature schemes[A]. Proc of ACNS’07[C]. Springer-Verlag, 2007.443-458.

[9] DUAN S. Certificateless undeniable signature scheme[J]. Information Sciences, 2008, 178 (3): 742-755.

[10] LIU J, AU M, SUSILO W. Self-generated-certificate public key cryptography and certificateless signature/encryption scheme in the standard model[A]. Proc of ACM 2007 ACM Symposium on Information,Computer and Communications Security[C]. Singapore, 2007. 273-283.

[11] XIONG H, QIN Z, LI F. An improved certificateless signature scheme secure in the standard model[J]. Funda Info, 2008, 88: 193-206.

[12] SHIM K A. Breaking the short certificateless signature scheme[J].Information Sciences, 2009, 179 (3): 303-306.

[13] YUAN Y, LI D, TIAN L, ZHU H. Certificateless signature scheme without random oracles[A]. ISA 2009[C]. 2009. 31-40.

[14] DU H, WEN Q. Efficient and provably-secure certificateless short signature scheme from bilinear pairings[J]. Computer Standards and Interfaces, 2009, 31(2): 390-394.

[15] JIN Z, WEN Q. Certificateless multi-proxy signature[J]. Comput Commun, 2011, 34(3): 344-352.

[16] GUO D, WEI P, YU D,et al. A certificateiess proxy re-signature scheme[A]. Proc of Computer Science and Information Technology(ICCSIT)[C]. 2010. 157-161.

[17] YANG B, XIAO Z, LI S. Certificateiess verifiably encrypted signature scheme[A]. Proc of IC-NIDC[C]. 2010. 783-788.

[18] ZHANG L, ZHANG F, QIN B,et al. Provably-secure electronic cash based on certificateless partially-blind signatures[J]. Electron Comm Res, 2011, 10(5): 545-552.

[19] YANG T, XIONG H, HU J. A traceable certificateless threshold proxy signature scheme from bilinear pairings[A]. Proc of APWeb’11[C].2011. 376-381.

[20] CHEN L, CHENG Z, SMART N P. Identity-based key agreement protocols from pairings[J]. Int J Inf Secur, 2007, 6(4):213-241.