陳建能

（閩南師范大學(xué) 計算機學(xué)院，福建 漳州 363000）

1 引言

在2003年的歐洲密碼學(xué)國際會議上，Gentry[1]第一個提出了基于證書加密的密碼學(xué)體制，在該密碼學(xué)體制下，每一個簽名者都會有自己的公鑰、私鑰、一個證書.該證書必須是由權(quán)威機構(gòu)認證并且頒發(fā)的.證書和私鑰在生成簽名時必需使用，而公鑰在對簽名進行驗證時必需使用.在生成用戶私鑰時，簽名者自己挑選一個隨機值作為自己的秘密私鑰，所以不會存在基于身份秘密學(xué)體制下的密鑰托管問題.第二年，Kang，Park和Hahn[2]等人一起提出了基于證書簽名的概念并用兩個具體的簽名方案進行說明.到了2007年，Li，HUANG,MU,SUSILO[3]等最先提出基于證書的替換公鑰攻擊并定義了相關(guān)的安全模型.第二年，Liu，BAEK和SUSILO[4]提出一個沒有雙線性對的基于證書簽名方案和一個在標準模型下證明其安全性的方案.過后不久，Zhang在文獻[5]中證明了Liu等人方案是不安全的，并提出了一個改進方案.第三年，Wei Wu和Yi Mu[6]提出了一種新的基于證書數(shù)字簽名的安全結(jié)構(gòu)，該結(jié)構(gòu)基于證書和無證書都通用.2011年，JiGuo Li[7]等人提出了一個高效的基于證書短簽名方案，在該方案中證書需要保密.2013年，陳建能[8]等人提出了一個可證明安全的基于證書簽名方案，并在隨機預(yù)言機模型下證明其安全性.

Boneh，Gentry和Lynn在文獻[9]中首先提出聚合簽名的思想.第二年，Lysyanskaya，Micali,Reyzin,和 Shacham[10]提出了一個有順序的聚合簽名方法，第一個簽名者生成簽名之后，第二個簽名者必需在第一個簽名的基礎(chǔ)上才能聚合.過了兩年，Lu,Ostrovsky和Sahai[11]提出了沒有使用隨機預(yù)言機模型下的聚合簽名方法.到了2009年,Liu[12]首先提出了一個基于證書的有序聚合簽名方案.2013年,Lee等人[13]提出了一個有序聚合簽名方案具有較短的公鑰，并且在標準模型下證明了其安全性.本文根據(jù)基于證書聚合簽名思想結(jié)合指定驗證者簽名的優(yōu)點，構(gòu)造了一個新的基于證書指定驗證者聚合簽名方案.

2 困難性問題

計算性Diffie-Hellman問題（CDHP:Computational Diffie-Hellman Problem）：在的加法循環(huán)群G1中，其生成元為大素數(shù)P，已知aP，bP，計算出abP的值，我們稱之為計算性Diffie-Hellman困難問題.

離散對數(shù)問題：對于已知的整數(shù)b和素數(shù)P，q,求一個整數(shù)a，使得等式b=aP mod q成立.

在本文中我們假設(shè)要解計算性Diffie-Hellman問題是困難的.解離散對數(shù)問題也是困難的.

3 具體的簽名方案

3.1 系統(tǒng)參數(shù)的建立

選擇一個雙線性對e，兩個加法循環(huán)群G1和G2，大素數(shù)P是加法循環(huán)群G1的一個生成元.認證中心在整數(shù)域上選取一個隨機值s作為認證系統(tǒng)的私鑰，認證系統(tǒng)的公鑰通過等式PKc=sP來計算.認證中心再選擇三個公開無碰撞的雜湊函數(shù)，

H1：{0,1}*→G1，H2：{0,1}*×G1→G1，

H3：{0,1}*×G1→Zq*，認證中心公開所有系統(tǒng)參數(shù)(G1,G2,e,q,P,PKc,H1,H2,H3).

3.2 簽名密鑰的生成

每一個簽名者具有唯一的一個身份，我們用IDi來表示該身份信息，下標i大于等于1，小于等于n，n是所有參與聚合簽名的總?cè)藬?shù).簽名者首先要整數(shù)域上選取一個隨機值xi作為自己的私鑰，然后通過等式PKi=xiP計算出自己的公鑰PKi.

3.3 證書頒發(fā)過程

每一個參與聚合的簽名者都要把跟自己身份的相關(guān)信息，例如公鑰，身份等，提交給認證中心，認證中心首先驗證簽名者發(fā)送來的信息的是否真實，如果信息是真實的，再驗證身份有沒有重復(fù)，如果沒有，則把用戶公鑰，系統(tǒng)公鑰和用戶身份信息輸入雜湊函數(shù)，計算出Qi=H1(PKc,PKi,IDi)和certi=sQi,然后把證書certi發(fā)送給對應(yīng)的簽名者.

3.4 簽名的生成

對于某個具體的消息mi，簽名者首先在整數(shù)域中隨機選擇一個ri，并計算以下數(shù)值：

然后把簽名結(jié)果σi=(U,σi)發(fā)送給簽名聚合者,簽名聚合者收到第i個簽名之后，對等式e(P,σi)=e(Ui+PKi,h2i)e(h1iQi,PKc)是否成立進行驗證，若等式成立則認為該簽名是合法的，否則是不合法的.所有用戶把各自的簽名發(fā)送給聚合者，聚合者都驗證通過之后，聚合者才計算σ=H3(e(σ1,Y),e(σ2,Y)…e(σn,Y))其中Y是聚合簽名所指定的那個驗證者對應(yīng)的公鑰,并生成最后的聚合簽名結(jié)果(U1,U2,…Un,σ)并發(fā)布該聚合簽名.

3.5 簽名的驗證過程

簽名的指定驗證者收到簽名之后驗證等式

σ=H3成不成立，如果等式不成立，驗證者就認為該簽名是一個不合法的聚合簽名.如果等式成立就認為該簽名是n個用戶對消息的聚合簽名.

4 正確性和不可偽造性分析

4.1 正確性分析

根據(jù)以上的簽名驗證過程，我們可以得出下面的結(jié)果：

所以我們可以判斷驗證等式是正確的.

4.2 不可偽造性分析

在基于證書簽名中，存在兩類敵手，第一類型敵手AⅠ，知道所有簽名用戶的公鑰和對應(yīng)的私鑰，唯一的限制是他不能知道目標身份所對應(yīng)的簽名者的證書，所以在通過正常途徑生成該目標用戶簽名時，敵手AⅠ就得偽造一個證書certi，如果敵手AⅠ能成功偽造一個證書certi，我們就能解離散對數(shù)困難問題.而對于第二類型的敵手AⅡ，所有簽名者的證書他都知道，唯一的限制是他不能知道目標身份用戶的私鑰，這樣他要偽造聚合簽名就等同于偽造單個簽名σi.如果敵手想通過破解出某個簽名者的私鑰來生成簽名，則需要破解CDHP問題.所以，該指定驗證者聚合簽名方案是不可偽造的.

5 結(jié)束語

基于證書的數(shù)字簽名方案沒有基于身份簽名的秘鑰托管問題，也少了傳統(tǒng)公鑰密碼體制下的證書管理問題.本文結(jié)合了基于證書的聚合簽名思想和指定驗證者數(shù)字簽名優(yōu)點，提出了一個新的基于證書的指定驗證者聚合簽名方案.

〔1〕GENTRY C.Certificate-based encryption and the certificate revocation problem[A].EUROCR-YPT 2003[C].Lecture Notes in C-omputer Science,vol.2656,Springer-Verlag,Berlin,2003.272-293.

〔2〕KANG B,PARK J,HAHN S.A certificate-based signature scheme[A].CT-RSA2004[C].Lecture Notes in Computer Science,vol.29-64,Springer-Verlag,Berlin,2004.99-111.

〔3〕LI J,HUANG X,MU Y,SUSILO W.Certificatebased signature:security model and efficient construction[A].EuroPKI2007[C],Lecture Notes in Computer Science,vol.4582,Springer-Verlag,Berlin,2007.110-125.

〔4〕LIU J,BAEK J,SUSILO W.Certificate-based signature schemeswithout pairings or random Oracles[A].ISC2008[C],Lecture Notes in Computer Science,vol.5222,Springer-Verlag,Berlin,2008.285-297.

〔5〕ZHANG J.On the Security of a Certificate-based signature scheme and its improvement with pairings[A].ISPEC2009[C],Lecture Notes in Computer Science,vol.5451,Springer-Verlag,Berlin,2009.47-58.

〔6〕SHAO Z.Certificate-based fair exchange protocolof signatures from pairings[J].Computer Network s 52(2008):3075-3084.

〔7〕LI J G,HUANG X Y,ZHANG Y C.Anefficient short certificate-based signature sc-heme[J].The Journal of Systems and Softw-are.85(2012):314-322.

〔8〕陳建能,岳昊,黃振杰.一個可證安全的基于證書聚合簽名方案[J].計算機工程與應(yīng)用,2013(21):60-64.

〔9〕BONEH D，GENTRY C，Lynn B.Aggregate and verifiably encrypted signaturesfro-m bilinear maps[A].Cryptology-Eurocrypt’03[C].Berlin:SpringerVerlag，2003.416-432.

〔10〕A.Lysyanskaya,S.Micali,L.Reyzin,H.Shacham,Sequential aggregate signaturesfrom trapdoor permutations,in:C.Cachin,J.Camenisch(Eds.),Eurocrypt 2004,LNCS3027,Springer-Verlag,Interlaken,Switzerland,2004:74–90.

〔11〕Lu S,Ostrovsky R,Sahai A,et al.Sequential Aggregate Signatures and Multisignatures Without Random Oracles[C]//Proc.of EURO-CRYPT’06.Berlin,Germany:Springer-Verlag,2006:465-485.

〔12〕Liu J K，Back J，Zhou J．Certificate-based Sequentialaggregate Signature [C]//Proceedings of WiSec’09．New York：ACM，2009：21—28.

〔13〕Kwangsu Lee,Dong Hoon Lee,Moti Yung. Sequential Aggregate Signatures with Short Public Keys:Design,Analysis and Implementation Studies.Public-Key Cryptography–PKC2013.Lecture Notes in Computer ScienceVolume7778,2013,pp 423-442.