陳建能，岳昊，黃振杰

閩南師范大學(xué)計(jì)算機(jī)科學(xué)與工程系，福建漳州 363000

◎網(wǎng)絡(luò)、通信、安全◎

一個(gè)可證安全的基于證書聚合簽名方案

陳建能，岳昊，黃振杰

閩南師范大學(xué)計(jì)算機(jī)科學(xué)與工程系，福建漳州 363000

1 引言

以公鑰基礎(chǔ)設(shè)施為核心的傳統(tǒng)公鑰密碼體制采用公開驗(yàn)證證書的方式來(lái)保證用戶公鑰的真實(shí)性，可是，對(duì)于證書的管理是傳統(tǒng)公鑰密碼體制比較難克服的弱點(diǎn)之一。1984年，在Shamir提出的基于身份的公鑰密碼體制中，用戶的公鑰直接從用戶身份信息中生成，每一個(gè)用戶私鑰的生成都依靠一個(gè)可信的第三方，稱為私鑰生成器（Private Key Generater，PKG），基于身份的公鑰密碼體制雖然避免了使用證書帶來(lái)的問題，實(shí)現(xiàn)了用戶公鑰和身份的綁定，但無(wú)法徹底解決用戶密鑰托管問題，而且需要一個(gè)安全信道來(lái)傳輸密鑰。

在2003年Eurocrypt會(huì)議上，Gentry[1]首先提出基于證書的公鑰密碼體制，在該公鑰密碼體制中每一個(gè)簽名者都擁有自己的公私鑰對(duì)和一個(gè)由權(quán)威認(rèn)證機(jī)構(gòu)頒發(fā)的證書。在對(duì)消息加密或者簽名時(shí)，簽名者必須使用自己證書和私鑰。因?yàn)楹灻借€是簽名者自己挑選的，所以不存在密鑰托管問題。不久，Kang[2]等人提出基于證書數(shù)字簽名的安全性定義和兩個(gè)具體的簽名方案。2007年，Li[3]等人提出了基于證書的安全模型和一種新的攻擊稱為替換公鑰攻擊。在2008年，Liu[4]等人提出了兩個(gè)基于證書的數(shù)字簽名方案，其中一個(gè)方案沒有用到雙線性對(duì)，另外一個(gè)方案是在標(biāo)準(zhǔn)模型下證明其安全性的。不久，Zhang[5]證明了方案的不安全性并提出改進(jìn)方案。2009年，Wu[6]等人提出了基于證書數(shù)字簽名的一種新的安全模型。2011年，Li[7]等人提出了高效的基于證書短簽名方案。

聚合簽名這個(gè)概念最早是由Boneh，Gentry，Lynn和Shacham[8]在2003年的Eurocrypt國(guó)際會(huì)議上提出來(lái)的。隨后，Lysyanskaya[9]等人用認(rèn)證陷門排列（certified trapdoorpermutations）構(gòu)造了一個(gè)聚合簽名方案，但他們的方法只能構(gòu)造有序的聚合方案，即第n個(gè)簽名者必須等第n-1個(gè)簽名者簽名完成之后才能繼續(xù)自己的簽名。2004年，Cheon[10]等人首次用基于身份的思想構(gòu)造了一個(gè)聚合簽名方案，隨后，Cheng[11]，Xu[12]、Gentry與Ramzan[13]等人分別提出了各自的基于身份的聚合簽名方案，其中，以Gentry與Ramzan所提出的方案效率最高，只用到3個(gè)雙線性對(duì)運(yùn)算。2006年，Steve Lu[14]提出了一個(gè)無(wú)預(yù)言機(jī)的聚合簽名方案。2007年，Liu等人[15]提出了一個(gè)在標(biāo)準(zhǔn)模型下可證明安全的無(wú)證書聚合簽名方案。同年，Huang等人[16]重新構(gòu)造無(wú)證書的聚合簽名安全模型，并介紹了兩個(gè)具體的構(gòu)造方案。2009年，Zhang[17]等人提出了一個(gè)安全高效的無(wú)證書聚合簽名方案。2010年，一個(gè)韓國(guó)的學(xué)者Kyung-Ah Shim[18]提出了一個(gè)基于身份的聚合簽名方案，該方案在聚合簽名驗(yàn)證過(guò)程中只用到兩次雙線性對(duì)運(yùn)算，具有較高的效率。

在聚合簽名中，消息被分成n個(gè)部分，由n個(gè)簽名者分別對(duì)其簽名，再把n個(gè)簽名合成為一個(gè)聚合簽名，驗(yàn)證者只要驗(yàn)證聚合簽名即可，大大提高了簽名的驗(yàn)證效率。具有附加性質(zhì)的聚合簽名在現(xiàn)實(shí)生活中已經(jīng)得到廣泛應(yīng)用，例如代理聚合簽名在電子商務(wù)和電子政務(wù)中用于簽名的授權(quán)，盲聚合簽名具有不可追蹤性，應(yīng)用于電子貨幣，順序聚合簽名應(yīng)用于網(wǎng)絡(luò)傳輸中等。

可是，國(guó)內(nèi)外文獻(xiàn)中基于證書的聚合簽名方案據(jù)作者所知目前還沒有，本文利用基于證書數(shù)字簽名的思想和雙線性對(duì)的特殊性質(zhì)，提出了一個(gè)可證明安全的基于證書聚合簽名方案。

2 預(yù)備知識(shí)

2.1 雙線性對(duì)

設(shè)G1，G2是階為素?cái)?shù)q的加法循環(huán)群，P是G1的生成元，e：G1×G1→G2是雙線性映射，并且滿足：

（1）雙線性：給定元素P、Q、a、b∈G1，有：e（aP，bQ）= e（abP，Q）=e（P，abQ）。

（2）非退化性：存在元素Q、P∈G1，使得e（Q，P）≠1G2，其中1G2是群G2的單位元。

（3）可計(jì)算性：對(duì)于所有元素Q、P∈G1，存在一個(gè)有效的算法可計(jì)算e（Q，P）。

2.2 數(shù)學(xué)問題

CDH問題（Computational Diffie-Hellman Problem，CDHP）。

定義1設(shè)G是階為素?cái)?shù)q的群，對(duì)任意a、b∈Z*q、P∈G，給定（P，aP，bP），計(jì)算abP稱為CDH問題。在本文中假定CDHP是難解的。

3 基于證書聚合簽名安全模型

基于證書聚合簽名方案中一般包含系統(tǒng)參數(shù)建立（setup），詢問（Queries）和結(jié)果輸出（Output）等算法，其中Queries還包含公私鑰詢問UserKeyGen Query，哈希值詢問Hash Query，證書詢問CertGen Query，替換公鑰詢問ReplacePublicKey Query，和簽名詢問Sign Query等過(guò)程。

下面定義基于證書聚合簽名方案的不可偽造性：

基于證書聚合簽名存在兩類攻擊者AI和AII，AI知道用戶私鑰但不知道對(duì)應(yīng)公鑰的證書，AII知道系統(tǒng)的主私鑰，可以產(chǎn)生證書但不知道用戶私鑰。

基于證書聚合簽名方案的不可偽造性通過(guò)攻擊者A（AI，AII）與挑戰(zhàn)者C之間的游戲（Game1，Game2）來(lái)定義：

Game1：攻擊者AI和挑戰(zhàn)者C1一起參加下面的游戲：

（1）Setup：挑戰(zhàn)者C1運(yùn)行簽名方案的Setup算法得到系統(tǒng)公開參數(shù)params和系統(tǒng)主私鑰，并發(fā)送params給攻擊者AI保存。

（2）Queries：在多項(xiàng)式時(shí)間里，攻擊者AI可以適應(yīng)性地向挑戰(zhàn)者C1提出一定數(shù)量的詢問：

①UserKeyGen Query攻擊者AI可以選擇任意一個(gè)聚合簽名用戶ΙDi，其中(1≤i≤N)，詢問其公私鑰對(duì)（PKi，SKi），C1返回相應(yīng)的公私鑰對(duì)（PKi，SKi）給AI，并把該公私鑰對(duì)（PKi，SKi）保存在列表UK-list中。

②Hash Query AI可以對(duì)任意輸入進(jìn)行Hash值詢問，C1返回相應(yīng)的Hash值。

③CertGen Query AI可以詢問任意聚合簽名用戶ΙDi的證書，接收到ΙDi和PKi后，C1返回相應(yīng)的證書。

④ReplacePublicKey Query AI可以替換任意用戶ΙDi的公鑰，此時(shí)，AI提供一個(gè)新的公鑰，C1用新公鑰替換用戶ΙDi原來(lái)的公鑰。

⑤Sign Query AI可詢問任意消息mi對(duì)應(yīng)于任意聚合簽名用戶ΙDi的單個(gè)簽名，C1檢查該用戶是否已經(jīng)在列表中創(chuàng)建，若是則返回簽名σi，否則返回⊥（“⊥”表示值為空）。

（3）Output：最后，AI輸出包含身份ΙDi及其公鑰PKi關(guān)于消息mi的聚合簽名σ*，其中(1≤i≤N)，并且滿足下面兩個(gè)條件：至少有一個(gè)用戶的（ΙDi，PKi）沒有被詢問過(guò)CertGen Query；（ΙDi，PKi，mi）沒有被詢問過(guò)Sign Query。

如果攻擊者AI在Game1中輸出的聚合簽名σ*能夠通過(guò)驗(yàn)證算法，則稱攻擊者AI贏得Game1。

Game2：攻擊者AII和挑戰(zhàn)者C2一起參加下面的游戲：

（1）Setup：對(duì)給定的安全參數(shù)1k，AII運(yùn)行簽名方案的Setup算法得到系統(tǒng)公開參數(shù)params和系統(tǒng)主私鑰，并發(fā)送params給挑戰(zhàn)者C2保存。

（2）Queries：在多項(xiàng)式時(shí)間里，攻擊者AII可以適應(yīng)性地向挑戰(zhàn)者C2提出一定數(shù)量的詢問：

①UserKeyGen Query攻擊者AII可以選擇任意一個(gè)聚合簽名用戶ΙDi，其中(1≤i≤N)，詢問其公鑰PKi，C2運(yùn)行UserKeyGen算法，返回給AII相應(yīng)的公鑰，并把該公私鑰對(duì)（PKi，SKi）保存在列表UK-list中。

②Extract Query AII可以詢問任意聚合簽名用戶ΙDi的公鑰PKi所對(duì)應(yīng)的私鑰，當(dāng)C2收到詢問時(shí)，先檢驗(yàn)PKi是否是由UserKeyGen算法產(chǎn)生，若是則返回相應(yīng)的私鑰，若不是，則返回⊥（“⊥”表示值為空）。

③Sign Query，Hash Query和Game1中定義的相同。

（3）Output：最后，AII輸出包含身份ΙDi和其公鑰PKi關(guān)于消息mi的聚合簽名σ*，其中(1≤i≤N)，并且滿足下面兩個(gè)條件：至少有一個(gè)用戶身份為ΙD*的公鑰PK*i是C2運(yùn)行UserKeyGen算法產(chǎn)生，并且PK*i沒有被詢問過(guò)私鑰。

如果攻擊者AII在Game2中輸出的聚合簽名σ*能夠通過(guò)驗(yàn)證算法，則稱攻擊者AII贏得Game2。

定義2稱一個(gè)聚合簽名偽造者A（t，qH1，qH2，qE，qS，N，ε）能攻破一個(gè)N個(gè)用戶的聚合簽名方案，如果A能在時(shí)間t內(nèi)，提出至多qHi（i=1，2）次Hash函數(shù)詢問，至多qE次私鑰詢問（或證書詢問），至多qS次簽名詢問，以不低于ε的概率偽造簽名。如果沒有聚合簽名偽造者（t，qH1，qH2，qE，qS，N，ε）能夠攻破它，那么稱一個(gè)基于證書的聚合簽名方案是（t，qH1，qH2，qE，qS，N，ε）抗存在性偽造安全的。

4 簽名方案

本方案中有以下的參與者及其主要職責(zé)：

（1）證書生成中心：負(fù)責(zé)系統(tǒng)參數(shù)的建立和簽名者的證書生成。

（2）簽名者：用其持有的證書和私鑰對(duì)消息進(jìn)行簽名。

（3）簽名聚合者：負(fù)責(zé)對(duì)相關(guān)消息的分發(fā)，單個(gè)簽名的驗(yàn)證，并將通過(guò)驗(yàn)證的簽名聚合成一個(gè)對(duì)整體消息的聚合簽名。

（4）簽名驗(yàn)證者：負(fù)責(zé)驗(yàn)證聚合簽名是否有效。

4.1 系統(tǒng)建立

證書生成中心（CA）選擇2.1節(jié)中定義的雙線性對(duì)e，G1和G2，P是G1的一個(gè)生成元。隨機(jī)選取s∈Z*q作為系統(tǒng)的私鑰，計(jì)算系統(tǒng)的公鑰PKc=sP。CA選擇一個(gè)公開無(wú)碰撞的Hash函數(shù)，H1：{0，1}*→G1。CA公開系統(tǒng)參數(shù)（G1，G2，e，q，P，PKc，H1），并且保密系統(tǒng)私鑰s，不讓CA以外的任何人知道。

4.2 簽名者公私鑰生成

簽名者是擁有某一特殊身份的個(gè)體，并且這個(gè)身份是唯一的。任意一個(gè)簽名者身份信息用ΙDi表示，每個(gè)簽名者都隨機(jī)選取一個(gè)秘密值αi∈Z*q作為自己的私鑰SKi，計(jì)算PKi=αiP作為自己的公鑰，其中(1≤i≤N)，N為聚合簽名者總?cè)藬?shù)。

4.3 簽名者證書生成

簽名者把包含ΙDi和PKi的信息提交給證書生成中心（CA），CA驗(yàn)證其信息的真實(shí)性以及ΙDi沒有重復(fù)之后，計(jì)算Qi=H1（PKc，PKi，ΙDi），certi=sQi，把certi發(fā)送給簽名者i作為其私有的證書，簽名者i在簽名時(shí)只要把certi的值直接帶入算法中計(jì)算即可。

4.4 單個(gè)簽名

簽名聚合者把n個(gè)不同的消息，分別記為m1，m2，…，mn，并且使之與簽名者的身份ΙD1，ΙD2，…，ΙDn一一對(duì)應(yīng)，即擁有身份ΙDi的簽名者負(fù)責(zé)對(duì)消息mi簽名。簽名者ΙDi對(duì)消息mi的簽名過(guò)程如下：

隨機(jī)選擇一個(gè)數(shù)ri∈Z*q，計(jì)算Ri=riP，hi=H2（mi，Ri，PKi），其中H2（x）是一個(gè)Hash函數(shù)，H2:{0，1}*×G1×G1→G1，Ti= αihi+certi+riQi，σi=(Ti，Ri)就是簽名者ΙDi對(duì)消息mi的簽名。

4.5 單個(gè)簽名驗(yàn)證

簽名聚合者收到簽名（Ti，Ri）后驗(yàn)證等式e（Ti，P）= e（hi，Pki）e（Qi，PKc+Ri）是否成立，若不成立則拒絕接受該簽名。若成立則接受該簽名為有效簽名。

4.6 簽名的聚合

簽名聚合者收齊n個(gè)有效的簽名后，通過(guò)以下兩個(gè)等式進(jìn)行聚合：

σ=(U，V1，V2，…，Vn)即為該整體消息m的聚合簽名。

4.7 聚合簽名的驗(yàn)證

簽名驗(yàn)證者如果希望對(duì)某個(gè)聚合簽名σ=（U，V1，V2，…，Vn）進(jìn)行驗(yàn)證的話，只要驗(yàn)證下面的等式是否成立即可

若等式成立，則簽名σ=（U，V1，V2，…，Vn）是有效的聚合簽名，反之，為無(wú)效的聚合簽名。

5 安全性證明

5.1 方案的正確性

下面對(duì)聚合簽名方案正確性進(jìn)行證明：

定理1上述的基于證書聚合簽名方案是正確的。

5.2 方案的安全性證明

引理1對(duì)于上述的基于證書聚合簽名方案，在隨機(jī)預(yù)言機(jī)模型下，如果一個(gè)攻擊者AI能夠贏得Game1，那么存在攻擊者C1能解G1上的CDH問題。

證明假設(shè)AI是第一類攻擊者，（P，aP，bP）是CDH問題的一個(gè)隨機(jī)實(shí)例，構(gòu)造如下的C1可以利用AI計(jì)算出abP。首先，C1令PKc=aP，下面C1開始模擬預(yù)言機(jī)服務(wù)，記為UserKeyGen，H1，H2，CertGen，ReplacePublicKey，Sign。C1要維護(hù)UK-list（ΙDi，PKi，SKi）列表來(lái)保存用戶的身份和公私鑰對(duì)，Cert-list（ΙDi，certi）列表來(lái)保存用戶的身份ΙDi和相應(yīng)的公鑰證書certi，H1-list（PKc，PKi，ΙDi，xi，Qi，ci）列表來(lái)保存Hash函數(shù)H1的值，H2-list（mi，Ri，PKi，hi）列表來(lái)保存Hash函數(shù)H2的值。在下面的證明過(guò)程中*表示通配符，⊥表示值為空。

（1）UserKeyGen詢問：當(dāng)AI詢問身份為ΙDi的用戶公私鑰對(duì)時(shí)，C1先檢查是否有（ΙDi，*，*）∈UK-list：

①若存在，則C1返回（PKi，SKi）給AI。

②否則，C1隨機(jī)選取SKi=αi∈Z*q滿足（*，*，SKi）?UK-list，令PKi=αiP返回（PKi，SKi）給AI，并把（ΙDi，PKi，SKi）記錄到UK-list中，這時(shí)稱該用戶已被創(chuàng)建。

（2）H1詢問：當(dāng)AI詢問H1（PKc，PKi，ΙDi）時(shí)。C1先查詢H1-list中是否已經(jīng)存在詢問的值，如果存在則直接返回給AI。否則C1拋硬幣ci∈{0，1}并計(jì)算如下：

其中xi∈Z*q是隨機(jī)選擇的，且pr[ci=0]=1/（qE+N），計(jì)算結(jié)束后將（PKc，PKi，ΙDi，xi，Qi，ci）值存入H1-list中。

（3）H2詢問：當(dāng)AI詢問任意（mi，Ri，PKi）對(duì)應(yīng)的hi值時(shí)，C1先查詢H2-list看（mi，Ri，PKi）是否被詢問過(guò)，如果詢問過(guò)則返回相應(yīng)的值hi，否則隨機(jī)選擇hi∈Z*q且hi不存在于H2-list中，返回hi給AI，并將（mi，Ri，PKi，hi）存入H2-list。

（4）CertGen詢問：當(dāng)AI詢問ΙDi對(duì)應(yīng)公鑰的證書時(shí)，C1查詢Cert-list中是否存在相應(yīng)的值，如存在則返回給AI。否則C1查詢UK-list列表看ΙDi是否已被創(chuàng)建，如未創(chuàng)建，按照UserKeyGen詢問中定義的方法創(chuàng)建；如果已經(jīng)創(chuàng)建，而且Ci=1，則令certi=xiPKc，并且將（ΙDi，certi）保存到Cert-list中。如果Ci=0，C1返回⊥。

（5）ReplacePublicKey詢問：當(dāng)AI發(fā)送（ΙDi，PK'i）給C1，表示AI向C1請(qǐng)求用PK'i替換用戶ΙDi的公鑰時(shí)，C1檢查（ΙDi，*，*）是否已經(jīng)存在UK-list中，若已經(jīng)存在，則C1用（ΙDi，PK'i）替換已有記錄；否則，C1向UK-list增加記錄（ΙDi，PK'i）。

（6）Sign詢問：當(dāng)AI輸入（ΙDi，PKi，mi）請(qǐng)求簽名時(shí)，C1先判斷ΙDi是否已經(jīng)在UK-list中創(chuàng)建，如果沒有，則C1添加該用戶于UK-list中。否則，C1按如下方式應(yīng)答：

①ΙDi=ΙD*時(shí)，C1返回⊥。

②當(dāng)ΙDi≠ΙD*時(shí)，隨機(jī)選取ri，hi=βiP∈G1，計(jì)算Ri=riP，Ti=βiPKi+xiPKc+xiRi。檢查（mi，Ri，PKi，hi）是否在H2-list中出現(xiàn)，如果均未出現(xiàn)，則將（mi，Ri，PKi，hi）加入H2-list；否則，重新選值和計(jì)算，最后C1返回給AI一個(gè)簽名σi=（Ti，Ri）。

（7）輸出結(jié)果：AI輸出一個(gè)包含（ΙD*，PK*）的聚合簽名σ=（U，V1，V2，…，Vn），并且滿足以下三個(gè)條件：（ΙD*，PK*）沒有進(jìn)行過(guò)證書詢問，（ΙD*，PK*，mi）沒有詢問過(guò)簽名，發(fā)生ci=0事件。

下面分析C1解決給定的CDH問題的概率。首先分析算法C1成功的4個(gè)事件：

E1：C1沒有因?yàn)锳I的CertGen Queries而失敗退出。

E2：C1沒有因?yàn)锳I的Sign Queries而失敗退出。

E3：AI偽造生成一個(gè)有效的聚合簽名。

E4：事件E3發(fā)生，同時(shí)發(fā)生ci=0事件，這里ci為H1-list六元組中的值。

當(dāng)所有這4個(gè)事件發(fā)生時(shí)，C1獲得成功：

（1）C1沒有因?yàn)锳I的CertGen Queries而失敗退出的概率至少為Pr[E1]≥(1-1/(qE+N))qE。

證明：由Pr[ci=0]=1/(qE+N)可知，對(duì)于一個(gè)證書詢問，C1不失敗退出的概率是1-1/(qE+N)。因敵手AI至多進(jìn)行qE次證書詢問，所以事件E1的概率至少為(1-1/(qE+N))qE。

（2）C1沒有因?yàn)锳I的Sign Queries而失敗退出的概率為1。

證明：只有在AI的CertGen Queries下C1沒有失敗退出，該過(guò)程才是可以模擬的，因此，Pr[E2|E1]=1。

（3）如果C1沒有因AI的證書詢問和簽名詢問而退出，那么攻擊者AI的視圖與真實(shí)世界里的攻擊是一致的，因此，Pr[E3|E1^E2]≥ε。

（4）C1在敵手AI輸出一個(gè)有效的偽造簽名后而沒有失敗退出的概率為：

Pr[E4|E1^E2^E3]≥(1-1/(qE+N))qE·1/(qE+N)

綜上所述，C1解決CDH問題的概率為：

(1－1/(qE+N))qEε·(1－1/(qE+N))qE·1/(qE+N)≥ε/e2(qE+N)

引理2對(duì)于上述基于證書聚合簽名方案，在隨機(jī)預(yù)言機(jī)模型下，如果一個(gè)攻擊者AII能夠贏得Game2，那么存在攻擊者C2能解G1上的CDH問題。

AII型攻擊的安全性證明與AI型證明類似，這里不再贅述。

定理2上述基于證書聚合簽名方案在適應(yīng)性選擇消息，選擇身份以及替換公鑰攻擊下是存在不可偽造的。

證明直接由引理1，引理2可得。

定理3上述基于證書數(shù)字簽名方案是安全的。

證明直接由定理1，定理2可得。

5.3 效率分析

對(duì)于n個(gè)用戶簽名的驗(yàn)證，原本需要3n次雙線性對(duì)運(yùn)算；采用了聚合簽名方案之后的驗(yàn)證過(guò)程只需要（n+2）次的雙線性對(duì)運(yùn)算，大大節(jié)省了驗(yàn)證時(shí)間。表1把新方案與同類聚合簽名方案進(jìn)行了比較。

其中，Pa表示雙線性對(duì)運(yùn)算，Pm表示群G上的點(diǎn)乘，AD表示群G上的加法，MΤP表示映射到G中的點(diǎn)的Map Τo Point的Hash函數(shù)，Pz表示群上的指數(shù)運(yùn)算。

文獻(xiàn)[8]需要構(gòu)造一個(gè)安全的Map Τo Point的Hash函數(shù)，這個(gè)計(jì)算比較復(fù)雜并且運(yùn)算效率低，雖然在聚合的過(guò)程中只用到加法運(yùn)算，但在聚合簽名的驗(yàn)證過(guò)程中需要的運(yùn)算量仍然很大，新方案在簽名和聚合驗(yàn)證過(guò)程中都不需要用到Map Τo Point的Hash函數(shù)。文獻(xiàn)[19]中的簽名方案多次使用指數(shù)運(yùn)算，相比新方案其聚合的過(guò)程運(yùn)算量比較小，但其聚合驗(yàn)證過(guò)程的運(yùn)算量比新方案多出了4次的雙線性對(duì)運(yùn)算和2n次的乘法運(yùn)算。

表1 同類方案效率比較

6 結(jié)束語(yǔ)

基于證書的密碼體制（CB-PKC）是新近提出的一類新型公鑰密碼體制，它克服了傳統(tǒng)公鑰密碼體制的證書管理問題和基于身份的密碼體制固有的密鑰托管問題。在聚合簽名中，消息被分成n個(gè)部分，由n個(gè)簽名者分別對(duì)其簽名，再把n個(gè)簽名合成為一個(gè)聚合簽名，驗(yàn)證者只要驗(yàn)證聚合簽名即可，極大地提高了簽名的驗(yàn)證效率。本文利用雙線性對(duì)提出了一個(gè)基于證書的聚合簽名方案。最后利用計(jì)算性Diffie-Hellman問題的困難性證明了該方案在隨機(jī)預(yù)言模型下的安全性。

[1]Gentry C.Certificate-based encryption and the certificate revocation problem[C]//Lecture Notes in Computer Science：EUROCRYPΤ 2003，2003，2656：272-293.

[2]Kang B，Park J，Hahn S.A certificate-based signature scheme[C]// Lecture Notes in Computer Science：CΤ-RSA2004，2004：99-111.

[3]Li J，Huang X，Mu Y，et al.Certificate-based signature：security model and efficient construction[C]//Lecture Notes in Computer Science，EuroPKI 2007.Berlin：Springer-Verlag，2007：110-125.

[4]Liu J，Baek J，Susilo W.Certificate-based signature schemes without pairings or random oracles[C]//Lecture Notes in Computer Science：ISC2008.Berlin：Springer-Verlag，2008，5222：285-297.

[5]Zhang J.On the security of a certificate-based signature scheme and its improvement with pairings[C]//Lecture Notes in Computer Science：ISPEC2009.Berlin：Springer-Verlag，2009，5451：47-58.

[6]Shao Z.Certificate-based fair exchange pr-otocol of signatures from pairings[J].Computer Networks，2008，52：3075-3084.

[7]Li J G，Huang X Y，Zhang Y C.An efficient short certificate-based signature scheme[J].Τhe Journal of Systems and Software，2012，85：314-322.

[8]Boneh D，Gentry C，Lynn B.Aggregate and verifiably encrypted signatures frombilinear maps[C]//Cryptology-Eurocrypt’03. Berlin：SpringerVerlag，2003：416-432.

[9]Lysyanskaya A，Micali S，Reyzin L.Sequential aggregate signatures from trapdoor permutations[C]//EUROCR YPΤ 2004，Interlaken，Switzerland，2004：74-90.

[10]Cheon J，Kim Y，Yoon H.A new ID-based signature with batch verification[R].Cryptology ePrint Archive，2004.

[11]Cheng X，Liu J，Guo L.Identity-based mul-tisignature and aggregate signature schemes from m-torsion groups[J].Journal of Electronics（China），2006，23：569-573.

[12]Xu J，Zhang Z，F(xiàn)eng D.ID-based aggregate signatures from bilinear pairings[C]//CANS 2005，Shenzhen，China，2005：110-119.

[13]Gentry C，Ramzan Z.Identity-based aggregate signatures[D]. 2006：257-273.

[14]Lu S，Ostrovsky R，Sahai A.Sequential aggregate signatures and multisignatures without random oracles[C]//Proc of EUROCRYPΤ’06，2006：465-485.

[15]Liu J，Au M，Susilo W.Self-generated certificate public key cryptography and certificateless signature encryption scheme in the standard model[C]//ASIACCS’07.Singapore：ACM Press，2007：273-283.

[16]Huang X，Mu Y，Susilo W，et al.Certificateless signature revisited[C]//ACISP 2007，Τownsville，Australia，2007：308-322.

[17]Zhang L，Zhang F Τ.A new certificateless aggregate signature scheme[J].Computer Communications，2009，32：1079-1085.

[18]Kyung A HS.An ID-based aggregate signature scheme with constant pairing computations[J].Τhe Journal of Systems and Software，2010，83：1873-1880.

[19]袁玉敏，朱海山，田麗文.無(wú)需隨機(jī)預(yù)言的無(wú)證書聚合簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2011，47（7）：103-106.

CHEN Jianneng,YUE Hao,HUANG Zhenjie

Department of Computer Science and Engineering,Minnan Normal University,Zhangzhou,Fujian 363000,China

Certificate-based public key cryptography overcomes the certificate management problem in traditional public key system and the key escrow problem in the identity-based public key cryptography.An aggregate signature scheme can aggregate signatures on distinct messages from distinct users into a single signature.Based on bilinear pairings and the hardness of Computational Diffie-Hellman problem,a secure certificate-based aggregate signature scheme is proposed and its security is proven in the random oracle model.

certificate-based signature;aggregate signature;bilinear pairings;Computational Diffie-Hellman（CDH）problem

基于證書公鑰密碼體制是新近提出的一類新型公鑰密碼體制，它克服了傳統(tǒng)公鑰密碼體制的證書管理問題和基于身份的密碼體制固有的密鑰托管問題。聚合簽名是一種可將不同簽名者對(duì)不同消息的簽名聚合成一個(gè)單一簽名的數(shù)字簽名技術(shù)。利用雙線性對(duì)和Computational Diffie-Hellman困難性問題提出了一個(gè)基于證書的聚合簽名方案，并在隨機(jī)預(yù)言機(jī)模型下證明其安全性。

基于證書簽名；聚合簽名；雙線性對(duì)；計(jì)算Diffie-Hellman問題

A

ΤP309

10.3778/j.issn.1002-8331.1207-0443

CHEN Jianneng,YUE Hao,HUANG Zhenjie.Secure certificate-based aggregate signature scheme.Computer Engineering and Applications,2013,49（21）：60-64.

國(guó)家自然科學(xué)基金（No.61170246）；福建省自然科學(xué)基金（No.2012J01295）；福建省教育廳項(xiàng)目（No.JA12219）；漳州師范學(xué)院杰青項(xiàng)目（No.SJ1116）。

陳建能（1980—），男，講師，主要研究方向：密碼學(xué)；岳昊（1980—），男，博士，副教授，主要研究方向：密碼學(xué)；黃振杰（1964—），男，博士，教授，主要研究方向：密碼學(xué)。E-mail：cjn610@163.com

2012-07-30

2012-12-03

1002-8331（2013）21-0060-05

CNKI出版日期：2012-12-13http://www.cnki.net/kcms/detail/11.2127.ΤP.20121213.1629.004.html