張玉磊王 歡李臣意張永潔王彩芬*（西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 蘭州 730070）（甘肅衛(wèi)生職業(yè)學(xué)院 蘭州 730000）

可證安全的緊致無(wú)證書聚合簽密方案

張玉磊①王 歡①李臣意①?gòu)堄罎崲谕醪史?①
①（西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 蘭州 730070）②（甘肅衛(wèi)生職業(yè)學(xué)院 蘭州 730000）

無(wú)證書聚合簽密不僅可以保證信息傳輸?shù)臋C(jī)密性和認(rèn)證性，還可以降低密文的驗(yàn)證和通信開銷。分析現(xiàn)有無(wú)證書聚合簽密方案，發(fā)現(xiàn)它們的計(jì)算效率普遍較低。該文提出一個(gè)緊致的無(wú)證書聚合簽密方案，方案聚合驗(yàn)證密文信息需要的雙線性對(duì)個(gè)數(shù)固定，并且與簽密用戶個(gè)數(shù)無(wú)關(guān)。與已有無(wú)證書聚合簽密方案相比，新方案減少了雙線性對(duì)運(yùn)算個(gè)數(shù)，提高了聚合驗(yàn)證效率。同時(shí)，在隨機(jī)預(yù)言模型下，基于雙線性Diffie-Hellman困難問題和計(jì)算Diffie-Hellman困難問題，證明方案滿足機(jī)密性和不可偽造性。

無(wú)證書簽密；聚合簽密；雙線性Diffie-Hellman困難問題；計(jì)算Diffie-Hellman困難問題；公開驗(yàn)證

1 引言

簽密可以同時(shí)實(shí)現(xiàn)加密和簽名操作，保證消息的機(jī)密性和認(rèn)證性，其效率優(yōu)于傳統(tǒng)“先簽名后加密”方法。1997年，Zheng［1］首次提出簽密的概念。2002年，Baek等人［2］首次描述簽密方案的安全模型，并對(duì)文獻(xiàn)［1］方案進(jìn)行了嚴(yán)格的安全性證明。2008年，Barbosa等人［3］提出無(wú)證書簽密概念并提出第1個(gè)無(wú)證書簽密方案。自此，研究者們對(duì)無(wú)證書簽密問題進(jìn)行了一系列的研究［4-8］。

聚合簽名［9］能夠把多個(gè)用戶對(duì)多個(gè)消息的簽名聚合生成一個(gè)簽名，驗(yàn)證者只需要驗(yàn)證聚合后的簽名，就可以實(shí)現(xiàn)對(duì)多個(gè)簽名用戶的認(rèn)證。無(wú)證書聚合簽名［10，11］不僅可以克服傳統(tǒng)公鑰密碼的證書管理問題和身份公鑰密碼的密鑰托管問題，同時(shí)可以降低簽名的驗(yàn)證開銷和通信開銷。為了提高通信效率和計(jì)算效率，需要對(duì)密文進(jìn)行聚合傳輸和驗(yàn)證。2011年，Lu等人［12］提出第 1個(gè)無(wú)證書聚合簽密方案（Certificateless Aggregate SignCryption， CLASC）。隨后，Jiang等人［13］、張等人［14］和Eslami等人［15］分別提出新的CLASC方案。分析現(xiàn)有的4個(gè)CLASC方案，發(fā)現(xiàn)它們的聚合驗(yàn)證效率普遍較低。文獻(xiàn)［12］和文獻(xiàn)［14］的方案聚合驗(yàn)證密文數(shù)據(jù)時(shí)，需要（2n+2）個(gè)雙線性對(duì)運(yùn)算，文獻(xiàn)［13］和文獻(xiàn)［15］的方案聚合驗(yàn)證密文時(shí)，需要（n+3）個(gè)雙線性對(duì)運(yùn)算。

為了提高無(wú)證書聚合簽密方案的驗(yàn)證效率，本文對(duì)文獻(xiàn)［15］方案的簽密算法進(jìn)行了改進(jìn)，提出了一個(gè)可證安全的緊致CLASC方案。與文獻(xiàn)［15］方案相比，新方案不需要同步信息，并且聚合驗(yàn)證密文信息需要的雙線性對(duì)個(gè)數(shù)固定，與簽密用戶個(gè)數(shù)無(wú)關(guān)。同時(shí)，在隨機(jī)預(yù)言模型下，基于雙線性Diffie-Hellman 困難問題和計(jì)算 Diffie-Hellman 困難問題，證明新簽密方案滿足機(jī)密性和不可偽造性。

2 CLASC方案形式化定義和安全模型

一般而言，CLACS方案包括密鑰生成中心（Key Generation Center， KGC）、發(fā)送者 ui（ 1 ≤ i ≤n）、聚合者u和接收者 uB等用戶，其中，聚合者收集用戶ui對(duì)消息 mi的簽密密文 δi并聚合生成聚合密文δ。

2.1 CLASC方案形式化定義

CLASC方案包括以下7個(gè)算法：

（1）系統(tǒng)建立算法：輸入安全參數(shù)k，KGC輸出系統(tǒng)主密鑰s和系統(tǒng)參數(shù)Para。

（2）部分私鑰生成算法：輸入身份IDi、系統(tǒng)參數(shù)Para和主密鑰s，KGC計(jì)算用戶部分私鑰 Di。

（3）用戶密鑰生成算法：用戶選擇秘密值 xi，輸出用戶的完整私鑰和公鑰 Pi。

（4）簽密算法：輸入消息 mi、身份IDi、私鑰 Si、接收者的身份IDR及公鑰 PR和系統(tǒng)參數(shù)Para，輸出用戶對(duì) mi的簽密密文 δi。

（5）聚合簽密算法：輸入發(fā)送者 ui對(duì)消息 mi的簽密密文 δi，輸出聚合密文δ，其中1 ≤ i ≤ n。

（6）聚合簽密驗(yàn)證算法：輸入聚合密文δ、發(fā)送者 ui的身份IDi及公鑰 Pi、接收者的身份IDR及公鑰 PR，驗(yàn)證密文δ的合法性。如果聚合密文正確，則輸出真，否則輸出假，其中1 ≤ i ≤ n。

（7）聚合解簽密算法：若“聚合簽密驗(yàn)證”算法輸出真，則執(zhí)行該算法。輸入聚合密文δ、發(fā)送者 ui的身份IDi及公鑰 Pi、接收者的身份IDR及私鑰 SR，輸出消息 mi，其中1 ≤ i ≤ n。

2.2 CLASC方案安全模型

2014年，文獻(xiàn)［15］提出CLASC安全模型，但是該模型需要使用同步信息。本文方案不使用同步信息。CLASC方案必須考慮兩類攻擊者： AI和 AII。 AI一般指普通用戶，它可以實(shí)現(xiàn)公鑰替換攻擊；AII一般指 KGC，它擁有系統(tǒng)主密鑰可以進(jìn)行偽造攻擊。CLASC方案的安全性包括機(jī)密性和不可偽造性，因此，對(duì)于機(jī)密性和不可偽造性，必須分別考慮 AI攻擊和 AII攻擊。

定義 1如果 CLASC方案在敵手 AI和 AII的適應(yīng)性選擇密文攻擊下是安全的，則該方案在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性［15］。

定義 2如果 CLASC方案在敵手 AI和 AII的適應(yīng)性選擇消息攻擊下是安全的，則該方案在適應(yīng)性選擇消息攻擊下具有存在不可偽造性［15］。

3 具體的CLASC方案

設(shè)安全參數(shù)為 k， q為大素?cái)?shù)，定義生成元P ∈ G1。定義階均為 q的群 G1和 G2，雙線性映射e:G1×G1→ G2。哈希函數(shù)表示消息比特長(zhǎng)度。

（3）用戶密鑰生成算法：用戶 ui選擇隨機(jī)值產(chǎn)生用戶的秘密值 xi。計(jì)算公鑰用戶的私鑰為公鑰為 Pi。

（4）簽密算法：假定發(fā)送者Alice的身份、公鑰和私鑰分別為IDi， Pi，接收者 Bob的身份和公鑰分別為IDR和 PR，其中1 ≤ i ≤ n。用戶Alice執(zhí)行以下步驟：

（c）計(jì)算 φ=H3（PPub）， ψ=H4（PPub）和hi= H5（Ri，

（5）聚合簽密算法：聚合者輸入Para、發(fā)送者 ui對(duì)應(yīng)的身份列表IDi、公鑰列表 Pi、消息 mi對(duì)應(yīng)的簽密密文接收者的身份IDR及接收者公鑰 PR，其中1 ≤ i ≤ n。計(jì)算，則聚合密文為

（6）聚合簽密驗(yàn)證算法：輸入聚合簽密密文δ、發(fā)送者 ui對(duì)應(yīng)的身份列表IDi、公鑰列表 Pi、接收者的身份IDR及接收者公鑰 PR，執(zhí)行以下步驟驗(yàn)證聚合簽密密文的合法性。

（b） 驗(yàn)證下列等式是否成立：

如果等式成立，則輸出“真”否則輸出“假”。

（a）如果“聚合驗(yàn)證”算法輸出為真，則接收者執(zhí)行步驟（b），否則報(bào)錯(cuò)返回。

4 CLASC方案的安全性分析及效率對(duì)比

4.1 正確性

定理1CLASC方案是正確的

證明本文CLASC方案是正確的，當(dāng)且僅當(dāng)無(wú)證書簽密密文 δi= （Ri， Ci，Si）和無(wú)證書聚合簽密密文都是按照簽密算法計(jì)算得到，并且有以下3類驗(yàn)證等式成立。

（1）驗(yàn)證者可以驗(yàn)證簽密密文 δi= （Ri， Ci，Si）的正確性。

（2）驗(yàn)證者可以驗(yàn)證聚合簽密密文 δ=（R1，的正確性。

（3）接收者可以正確解密密文Ci。由于接收者可以計(jì)算：

同時(shí)，由于

4.2 機(jī)密性

定理 2隨機(jī)預(yù)言模型下，假設(shè) BDH問題和CDH問題困難，則本文CLASC方案在適應(yīng)性選擇密文攻擊下不可區(qū)分，即IND-CLASC-CCA2安全。

引理 1隨機(jī)預(yù)言模型下，如果存在一個(gè)概率多項(xiàng)式時(shí)間攻擊者 AI以不可忽略的概率贏得游戲，那么存在一個(gè)算法F能夠解決BDH困難問題。

引理 2隨機(jī)預(yù)言模型下，如果存在一個(gè)概率多項(xiàng)式時(shí)間攻擊者 AII以不可忽略的概率贏得游戲，那么存在一個(gè)算法F能夠解決CDH困難問題。

引理1和引理2的證明過程與文獻(xiàn)［15］方案的機(jī)密性證明過程相似，限于篇幅，略去此部分。

4.3 不可偽造性

定理3隨機(jī)預(yù)言模型下，假設(shè)CDH問題困難，則提出的CLASC方案在選擇消息攻擊下是存在性不可偽造的，即EUF-CLASC-CMA安全。

引理 3隨機(jī)預(yù)言模型下，如果存在一個(gè)概率多項(xiàng)式時(shí)間攻擊者 AI以不可忽略的概率贏得游戲，那么存在一個(gè)算法F能夠解決CDH困難問題。

證明AI是攻擊者，F(xiàn)是CDH問題挑戰(zhàn)者。F給定一個(gè)CDH問題實(shí)例（P，aP，bP）， F的目標(biāo)是使用 AI解決CDH問題，即計(jì)算abP。

初始階段

F設(shè) Ppub= aP， a為系統(tǒng)主密鑰，系統(tǒng)參數(shù)為發(fā)送Para和 PPub給 AI。（F并不知道a的值）

攻擊階段

H1詢問對(duì)于第i次非重復(fù)H1（IDi）詢問：

（2）如果i = l， F計(jì)算 Qi= tib P，增加到表L1并返回Qi值（⊥表示不知道 tib的值）。

H3詢問F保持表初始為空。AI詢問H3預(yù)言機(jī)，若L3中存在詢問項(xiàng)則直接返回，否則，F(xiàn)選擇 θi∈ Z，返回 θiP并將 （PPub，θi）增加到表L3。

H4詢問F保持表初始為空。AI詢問H4預(yù)言機(jī)，若L4中存在詢問項(xiàng)則直接返回，否則，F(xiàn)選擇，返回 ηiP并將 （PPub，ηi）增加到表L4。

H5詢問F保持表初始為空。F收到 AI對(duì)H5詢問時(shí)，若L5已經(jīng)存在相應(yīng)項(xiàng)則直接返回。否則，F(xiàn)隨機(jī)選擇增加到表L5并返回hi值。

部分私鑰詢問對(duì)于第i次非重復(fù)詢問用戶ID的部分私鑰，F(xiàn)運(yùn)行H1詢問并獲得（i， IDi，ti）：i

（1）如果i = l，模擬終止。

公鑰詢問對(duì)于第i次非重復(fù)詢問用戶IDi的公鑰，F(xiàn)隨機(jī)選擇計(jì)算返回Pi給 AI并將添加到L表中。

秘密值詢問AI詢問IDi的秘密值時(shí)，F(xiàn)查表L，若L表包含對(duì)應(yīng)IDi，則返回相應(yīng)值，否則F執(zhí)行“公鑰詢問”詢問，將添加到 L表并返回xi值。

公鑰替換詢問AI對(duì)IDi用新的公鑰 P代替原公鑰Pi。若L表包含身份IDi， F令若L表中未包含身份IDi， B執(zhí)行“公鑰詢問”詢問獲得， F用更新表L。

H2詢問F保持表初始為空。F收到 AI對(duì)（Ri，Ti， Wi， IDR，PR）的H2詢問時(shí)（注意 Wi= riPR），對(duì)于輸入（Ri，Ti， Wi， IDR，PR），F(xiàn)判斷數(shù)據(jù) （Ri，PPub，H1（IDi），Ti）對(duì)于DBDH預(yù)言機(jī)是否返回真，并且測(cè)試 e（Ri，PR）= e（P，Wi）等式是否成立，如果以上條件都成立，則F檢查L(zhǎng)2中是否存在對(duì)應(yīng)條目若存在，則直接返回值Vi，否則F選擇Vi∈ ｛0，1｝lm返回，并將（Ri，Ti，添加到表L2。

簽密詢問對(duì)于每個(gè)新的詢問考慮兩種情況：

（a） 如果IDi的公鑰已經(jīng)被替換，則執(zhí)行過程：

①對(duì)IDi和ID'各自調(diào)用“公鑰詢問”獲得公鑰Pi和P'。

④查表 L3和L4獲得 θP 和 ηPi的值，計(jì)算 hi=

（b）否則F利用xi和Di對(duì)mi正常簽密，必要時(shí)需要進(jìn)行秘密值詢問和部分私鑰詢問。

（a）F對(duì)IDi和ID'各自調(diào)用“公鑰詢問”獲得公鑰Pi和P′。

（c）F檢查表 L2，對(duì)于不同的 Wi尋找條目判斷等式是否存在。如果該等式存在，即對(duì)應(yīng)條目存在，F(xiàn)利用 Vi計(jì)算 Ci= Vi⊕ mi。否則 F隨機(jī)選擇并添加到表L2。

（d）F 檢查表 L5獲得 hi，并利用計(jì)算哈希函數(shù)H3（ ），然后F計(jì)算 Si=uaP其中η源于表L4。最后F返回 δi= （Ri， Ci，Si）。

偽造階段

攻擊者AI提交n個(gè)發(fā)送者的身份及對(duì)應(yīng)的公鑰、接收者的身份及對(duì)應(yīng)的公鑰、消息和偽造的聚合密文n

從攻擊者AI的角度考慮，每個(gè)序號(hào)i有相同的其中1 ≤ i ≤ n。概率。不失一般性，從多個(gè)用戶中選擇一個(gè)作為目標(biāo)用戶，令則得到的聚合簽密密文必須滿足下列“聚合簽密驗(yàn)證”等式。其中：則有

F要以計(jì)算abP：

因此，F(xiàn)成功獲得CDH困難問題的一個(gè)實(shí)例。與文獻(xiàn)［11］相似，F(xiàn)能夠成功解決CDH困難問題的優(yōu)勢(shì)為其中 qPPK

為部分私鑰詢問的次數(shù)。 證畢

引理 4隨機(jī)預(yù)言模型下，如果存在一個(gè)概率多項(xiàng)式時(shí)間攻擊者 AII以不可忽略的概率贏得游戲，那么存在一個(gè)算法F能夠解決CDH困難問題。

證明AII是攻擊者，F(xiàn)是CDH問題挑戰(zhàn)者。F給定一個(gè)CDH問題實(shí)例（P，aP，bP）， F的目標(biāo)是使用 AII解決CDH問題，即計(jì)算abP。

初始階段

F設(shè) PPub= sP， s為系統(tǒng)主密鑰，系統(tǒng)參數(shù)為發(fā)送Para和s給 AII。

攻擊階段

H1詢問對(duì)于第i次非重復(fù)H1（IDi）詢問，F(xiàn)隨機(jī)選擇計(jì)算，增加到表L1并返回Qi值。

H3～H5詢問與引理3相同。

公鑰詢問對(duì)于第i次非重復(fù)詢問用戶IDi的公鑰，執(zhí)行以下過程：

（

1）如果i = l，計(jì)算 Pi= tiaP，返回Pi給 AII將（IDi， ⊥， Pi）添加到L表。

秘密值詢問AII詢問IDi的秘密值時(shí)，F(xiàn)執(zhí)行“公鑰詢問”詢問獲得（IDi，xi， Pi）。如果i ≠ l，則返回 xi；如果i = l，則

H2詢問F保持表初始為空。F收到 AII對(duì)的H2詢問時(shí)（注意Wi= riPR），執(zhí)行以下操作：

（2）若存在，則直接返回值V；否則F隨機(jī)選擇i返回，并將添加到表L2。

注意：F對(duì)攻擊者 AII和 AI關(guān)于H2的詢問判斷是不同的。 AII了解主密鑰s，因此，這里F不需要判斷數(shù)據(jù)對(duì)于DBDH預(yù)言機(jī)是否返回真。

簽密詢問對(duì)于每個(gè)新的詢問（mi， IDi， IDR），考慮兩種情況：

（a）F對(duì)IDR調(diào)用“H1詢問”獲得

（c）F檢查表 L2，對(duì)于不同的 Wi尋找條目是否存在等式e（P，Wi）。如果該等式存在，即對(duì)應(yīng)條目存在，F(xiàn)利用Vi計(jì)算 Ci= Vi⊕ mi。否則F隨機(jī)選擇并添加（Ri，Ti，Wi， IDR，PR，Vi）到表L2。

（d）F 檢查表 L5獲得 hi，并利用·（u P - ψ）計(jì)算哈希函數(shù) H3（ ），然后 F計(jì)算 Si= Di+ uaP，其中 Di= sQi是部分私鑰。最后F返回δi= （Ri， Ci，Si）。

偽造階段攻擊者 AII提交發(fā)送者的身份 ID及對(duì)應(yīng)的公鑰P、接收者的身份 ID及對(duì)應(yīng)的公鑰 PR*、消息 mi*和偽造的聚合密文其中1 ≤ i ≤ n。

從攻擊者 AII的角度考慮，每個(gè)序號(hào)i都有相同的概率。不失一般性，從多個(gè)用戶中選擇一個(gè)作為目標(biāo)用戶，令則得到的聚合簽密密文必須滿足“聚合簽密驗(yàn)證”等式。其中則有

F要以計(jì)算abP：

因此，F(xiàn)成功獲得CDH困難問題的一個(gè)實(shí)例。與文獻(xiàn)［11］相似，F(xiàn)能夠成功解決CDH困難問題的優(yōu)勢(shì)為其中qSV為秘密值詢問的次數(shù)。 證畢

4.4 公開驗(yàn)證性

本文方案和文獻(xiàn)［14，15］方案都支持聚合簽密的公開驗(yàn)證。

而文獻(xiàn)［12，13］方案不具有公開驗(yàn)證性。文獻(xiàn)［12，13］方案驗(yàn)證聚合簽密時(shí)需要使用秘密信息 Ti，但是只有接收者才可以計(jì)算 Ti，即通過 Ti= e（Ri，DR）計(jì)算秘密信息Ti，一般用戶無(wú)法計(jì)算該值。因此，文獻(xiàn)［12，13］方案中第三方無(wú)法驗(yàn)證聚合簽密密文的有效性。

4.5 效率分析

分析現(xiàn)有的無(wú)證書聚合簽密方案，發(fā)現(xiàn)它們的聚合驗(yàn)證效率普遍較低。以P表示雙線性對(duì)運(yùn)算個(gè)數(shù)，n表示參加簽密的用戶數(shù)。

由表1可知，文獻(xiàn)［12～14］方案需要（2n+2）個(gè)雙線性對(duì)運(yùn)算，文獻(xiàn)［15］方案使用“同步信息”將對(duì)運(yùn)算數(shù)減少到（n+3）個(gè)，但是，它們方案的對(duì)運(yùn)算數(shù)和簽密用戶數(shù)相關(guān)，不具有緊致性。本文方案驗(yàn)證聚合簽密密文時(shí)，只需要4個(gè)雙線性對(duì)運(yùn)算，并且，對(duì)運(yùn)算個(gè)數(shù)與簽密用戶數(shù)無(wú)關(guān)，因此，本文方案的效率較高，并且是一個(gè)緊致的無(wú)證書聚合簽密方案。本文方案與文獻(xiàn)［12～15］方案性能對(duì)比如表1所示。

表1 無(wú)證書聚合簽密方案性能對(duì)比

5 結(jié)束語(yǔ)

無(wú)證書聚合簽密CLASC結(jié)合了無(wú)證書簽密和聚合簽名技術(shù)的優(yōu)勢(shì)，能夠?qū)灻苄畔⑦M(jìn)行聚合傳輸和批驗(yàn)證，具有一定的應(yīng)用需求。例如，車載自組織網(wǎng)絡(luò)中數(shù)據(jù)的秘密聚合傳輸。本文提出了一個(gè)緊致的無(wú)證書聚合簽密方案，該方案驗(yàn)證聚合簽密密文時(shí)，只需要4個(gè)雙線性對(duì)運(yùn)算，對(duì)運(yùn)算個(gè)數(shù)與簽密用戶數(shù)無(wú)關(guān)。同時(shí)，在隨機(jī)預(yù)言模型下，基于BDH困難問題和CDH困難問題證明方案滿足機(jī)密性和不可偽造性。

［1］ Zheng Yu-liang. Digital signcryption or how to achieve cost（signature & encryption） ＜＜ cost （signature） + cost（encryption）［C］. Proceedings of the Cryptology-CRYPTO1997， California， USA， 1997: 165-179.

［2］ Baek J， Steinfeld R， and Zheng Yu-liang. Formal proofs for the security of signcryption［C］. Proceedings of the Cryptology-PKC2002， Paris， France， 2002: 81-98.

［3］ Barbosa M and Farshim P. Certificateless signcryption［C］. Proceedings of the ASIACCS2008， New York， USA， 2008: 369-372.

［4］ 孫銀霞， 李暉， 李小青. 無(wú)證書體制下的多接收者簽密密鑰封裝機(jī)制［J］. 電子與信息學(xué)報(bào)， 2010， 32（9）: 2249-2252. Sun Yin-xia， Li Hui， and Li Xiao-qing. Certificateless signcryption KEM to multiple recipients［J］. Journal of Electronics & Information Technology， 2010， 32（9）: 2249-2252.

［5］ Weng Jian， Yao Guo-xiang， Robert Deng， et al.. Cryptanalysis of a certificateless signcryption scheme in the standard model［J］. Information Science， 2011， 181（3）: 661-667.

［6］ 光焱， 顧純祥， 祝躍飛， 等.一種基于LWE問題的無(wú)證書全同態(tài)加密體制［J］. 電子與信息學(xué)報(bào)， 2013， 35（4）: 988-993. Guang Yan， Gu Chun-xiang， Zhu Yue-fei， et al.. Certificateless fully homomorphic encryption based on LWE problem［J］. Journal of Electronics & Information Technology，2013， 35（4）: 988-993.

［7］ Zhou Cai-xue， Zhou Wan， and Dong Xi-wei. Provable Certificateless generalized signcryption scheme［J］. Designs，codes and Cryptography， 2014， 1（2）: 331-346.

［8］ Shi Wen-bo， Kumar N， Gong Peng， et al.. Cryptanalysis and improvement of a certificateless signcryption scheme without bilinear pairing［J］. Frontiers of Computer Science， 2014， 8（4）: 656-666.

［9］ Boneh D， Gentry C， Lynn B， et al.. Aggregate and verifiably encrypted signatures from bilinear maps［C］. Proceedings of the Cryptology-EUROCRYPT2003， Warsaw， Poland， 2003: 416-432.

［10］ 明洋， 趙祥模， 王育民. 無(wú)證書聚合簽名方案［J］. 電子科技大學(xué)學(xué)報(bào)， 2014， 43（2）: 188-193.Ming Yang， Zhao Xiang-mo， and Wang Yu-ming. Certificateless aggregate signature scheme［J］. Journal of University of Electronic Science and Technology of China，2014， 43（2）: 188-193.

［11］ 張玉磊， 周冬瑞， 李臣意， 等. 高效的無(wú)證書廣義指定驗(yàn)證者聚合簽名方案［J］. 通信學(xué)報(bào)， 2015， 36（2）: 2015033. Zhang Yu-lei， Zhou Dong-rui， Li Chen-yi， et al.. Certificateless- based efficient aggregate signature scheme with universal designated verifier［J］. Journal on Communications， 2015， 36（2）: 2015033.

［12］ Lu Hai-jun and Xie Qi. An efficient certificateless aggregate signcryption scheme from pairings［C］. Proceedings of International Conference on the Electronics， Communications and Control （ICECC）， Ningbo， China， IEEE， 2011: 132-135.

［13］ Jiang Yi， Li Jian-ping， and Xiong An-ping. Certificateless aggregate signcryption scheme for wireless sensor network［J］. International Journal of Advancements in Computing Technology， 2013， 5（8）: 456-463.

［14］ 張雪楓， 魏立線， 王緒安. 無(wú)證書的可公開驗(yàn)證聚合簽密方案［J］. 計(jì)算機(jī)應(yīng)用， 2013， 33（7）: 1858-1860. Zhang Xue-feng， Wei Li-xian， and Wang Xu-an. Certificateless aggregate signcryption scheme with public verifiability［J］. Journal of Computer Applications， 2013， 33（7）: 1858-1860.

［15］ Eslami Z and Nasrollah P. Certificateless aggregate signcryption: security model and a concrete construction secure in the random oracle model［J］. Journal of King Saud University Computer and Information Sciences， 2014， 26（3）: 276-286.

張玉磊： 男，1979年生，博士，副教授，研究方向?yàn)槊艽a學(xué)與信息安全.

李臣意： 男，1989年生，碩士生，研究方向?yàn)槊艽a學(xué)與信息安全.

張永潔： 女，1978年生，碩士，副教授，研究方向?yàn)槊艽a學(xué)與信息安全.

王彩芬： 女，1963年生，博士，教授，博士生導(dǎo)師，研究方向?yàn)槊艽a學(xué)與信息安全.

Provable Secure and Compact Certificateless Aggregate Signcryption Scheme

Zhang Yu-lei①Wang Huan①Li Chen-yi①Zhang Yong-jie②Wang Cai-fen①①
①（College of Computer Science and Engineering， Northwest Normal University， Lanzhou 730070， China）②（Gansu Health Vocational College， Lanzhou 730000， China）

Certificateless aggregate signcryption not only can ensure the confidentiality and authentication of information transmission， but also can reduce the cost of data communication and the verification of ciphertexts. Through analyzing some existing certificateless aggregate signcryption schemes， it is found that their efficiencies are much lower. A provable secure certificateless compact aggregate signcryption scheme is proposed in this paper. In the new scheme， the pairing numbers， not depending on the number of signcryption users， are constant when aggregate ciphertexts are verified. Compared with the existing certificateless aggregate signcryption schemes， the new scheme decreases pairing numbers and raise the efficiency of verification. Moreover， based on the assumption of bilinear Diffie-Hellman and computational Diffie-Hellman， in the random oracle model， it is proved that the new scheme satisfies the properties of confidentiality and unforgeability.

Certificateless signcryption； Aggregate signcryption； Bilinear Diffie-Hellman problem； Computational Diffie-Hellman problem； Public verification

s: The National Natural Science Foundation of China （61163038， 61262056， 61262057）； The Higher Education Science Research Foundation of Gamsu Provice（2015B-220）； The Young Teacher’s Scientific Research Ability Promotion Program of Northwest Normal University （NWNU-LKQN-12-32）

TP309

A

1009-5896（2015）12-2838-07

10.11999/JEIT150407

2015-04-08；改回日期：2015-07-03；網(wǎng)絡(luò)出版：2015-08-28 *通信作者：王彩芬 wangcf@nwnu.edu.cn

國(guó)家自然科學(xué)基金（61163038， 61262056， 61262057），甘肅省高等學(xué)?？蒲许?xiàng)目（2015B-220）和西北師范大學(xué)青年教師科研能力提升計(jì)劃項(xiàng)目（NWNU-LKQN-12-32）