湯永利，王菲菲，葉　青，閆璽璽

河南理工大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，河南 焦作 454000

高效可證明安全的無證書代理簽名方案*

湯永利+，王菲菲，葉青，閆璽璽

河南理工大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，河南 焦作 454000

無證書密碼體制；代理簽名；橢圓曲線離散對數(shù)難題；隨機預(yù)言機模型

1　引言

Al-Riyami和Paterson[1]于2003年提出了無證書公鑰密碼體制，繼承了基于身份密碼體制無需公鑰證書的優(yōu)點，同時解決了基于身份密碼體制的密鑰托管問題。

Mambo等人[2-3]于1996年提出代理簽名，簽名人在無法行使簽名權(quán)時，將簽名權(quán)力委托給信任的代理人，由代理人代表原始簽名人行使簽名權(quán)。

無證書代理簽名結(jié)合了無證書密碼體制與代理簽名的優(yōu)點，既不需要證書來認證用戶公鑰的真實性，節(jié)約了管理證書所需的各種資源，又可使簽名人在不方便行使簽名權(quán)力時，將簽名權(quán)轉(zhuǎn)交給信任的代理人。無證書代理簽名的種種優(yōu)點，使它廣泛應(yīng)用于電子商務(wù)、分布式共享系統(tǒng)、網(wǎng)格計算、移動代理系統(tǒng)、全球分布網(wǎng)絡(luò)等場合[4]。

2005年，Li等人[5]提出了首個基于雙線性對的無證書代理簽名方案。2007年，Lu等人[6]指出Li[5]的方案不安全，并提出了改進方案。文獻[5]與文獻[6]均沒有給出方案的形式化安全性證明。2009年，陳虎等人[7]提出了無證書代理簽名方案的安全模型，并基于計算Diffie-Hellman問題提出了一個無證書代理簽名方案，給出了針對超級攻擊者的安全性證明。之后，為提高方案的計算效率與安全性，文獻[8]、文獻[9]、文獻[10]相繼提出了基于雙線性對的無證書代理簽名方案，給出了形式化安全性證明。其中，文獻[10]方案計算效率最優(yōu)。

由于雙線性對運算比較耗時，提出了不依賴雙線性對的無證書代理簽名方案。2010年，許春根等人[11]提出了一個不使用雙線性對的無證書代理簽名方案，其安全性基于離散對數(shù)困難問題，計算效率較高。最近，Deng等人[12]基于RSA提出了一個無證書代理簽名方案，給出了針對超級攻擊者的安全性證明，方案的計算效率主要依賴于模冪運算。

為了提高無證書代理簽名方案的計算效率，在王亞飛等人[13]的無證書簽名方案的基礎(chǔ)上，本文提出一個高效的無證書代理簽名方案，方案的安全性基于橢圓曲線離散對數(shù)問題（elliptic curve discrete logarithm problem，ECDLP）。在陳虎等人[7]提出的安全模型下給出了針對超級攻擊者的安全性證明，方案的安全性是抗存在性偽造的。本文方案在計算效率上有很大提高。

2　預(yù)備知識

2.1數(shù)學(xué)困難問題

橢圓曲線離散對數(shù)問題：給定橢圓曲線E(Fq)，G 為E(Fq)的一個循環(huán)子群，P為G的一個生成元，P的階為n，給定Q∈G，求滿足Q=[x]P的唯一整數(shù)x。

2.2無證書代理簽名及安全模型

無證書代理簽名方案中，設(shè)原始簽名人的身份標(biāo)識為A，公鑰為PKA。代理簽名人的身份標(biāo)識為B，公鑰為PKB。A將授權(quán)許可信息mw和部分代理鑰θ發(fā)送給B，B生成消息m的代理簽名σ。

無證書代理簽名方案包括系統(tǒng)參數(shù)生成、部分私鑰生成、秘密值生成、用戶私鑰生成、用戶公鑰生成、部分代理鑰生成、部分代理鑰驗證、代理鑰生成、代理簽名及驗證10個算法。

陳虎等人[7]提出的無證書代理簽名安全模型中，第一類攻擊者α1具備的能力是：不知道系統(tǒng)主密鑰，能夠?qū)τ脩艄€進行替換；第二類攻擊者α2具備的能力是：知道系統(tǒng)主密鑰，無法對用戶公鑰進行替換。

挑戰(zhàn)者D和攻擊者α1、攻擊者α2進行如下游戲。

初始化：運行系統(tǒng)參數(shù)生成算法，輸入安全參數(shù)，輸出系統(tǒng)參數(shù)和系統(tǒng)主密鑰。將系統(tǒng)參數(shù)發(fā)送給α1，系統(tǒng)主密鑰對α1嚴格保密；將系統(tǒng)參數(shù)和系統(tǒng)主密鑰發(fā)送給α2。

α1或α2可以適應(yīng)性地進行多項式次數(shù)的用戶生成詢問、部分私鑰詢問、公鑰替換詢問、秘密值詢問、部分代理鑰詢問、代理鑰詢問、代理簽名詢問。

偽造：最后攻擊者輸出元組(mw,A,PKA,θ)或(m,mw,A,PKA,B,PKB,σ)作為它的偽造。若能滿足下列情況之一，說攻擊者贏得了這個游戲。

情況1元組(mw,A,PKA,θ)滿足：

（1）(params,mw,A,PKA,θ)是有效的部分代理鑰；

（2）若攻擊者為α1，不曾詢問原始簽名人A的部分私鑰，若攻擊者為α2，不曾詢問A的秘密值；

（3）(mw,A,PKA)沒有進行過部分代理鑰詢問。

情況2元組(m,mw,A,PKA,B,PKB,σ)滿足：

（1）(params,m,mw,A,PKA,B,PKB,σ)是有效的代理簽名；

（2）若攻擊者為α1，不曾詢問原始簽名人A的部分私鑰；若攻擊者為α2，不曾詢問A的秘密值；

（3）(mw,A,PKA)沒有進行過部分代理鑰詢問；

（4）(m,mw,A,PKA,B,PKB,σ)沒有進行過代理鑰詢問；

（5）(m,mw,A,PKA,B,PKB,σ)沒有進行過簽名詢問。

情況3元組(m,mw,A,PKA,B,PKB,σ)滿足：

（1）(params,m,mw,A,PKA,B,PKB,σ)是有效的代理簽名；

（2）若攻擊者為α1，不曾詢問代理簽名人B的部分私鑰；若攻擊者為α2，不曾詢問B的秘密值；

（3）(m,mw,A,PKA,B,PKB,σ)沒有進行過代理鑰詢問；

（4）(m,mw,A,PKA,B,PKB,σ)沒有進行過簽名詢問。

定義1一個無證書代理簽名方案在適應(yīng)性選擇身份和消息攻擊下是存在性不可偽造的，當(dāng)且僅當(dāng)在多項式時間內(nèi)，任何攻擊者均不能以不可忽略的概率贏得以上游戲。

3　無證書代理簽名方案

本文提出一種新的無證書代理簽名方案，由系統(tǒng)參數(shù)生成、用戶密鑰生成、代理密鑰生成、代理簽名和驗證幾個算法構(gòu)成。

（1）系統(tǒng)參數(shù)生成

輸入安全參數(shù)k，選擇兩個大素數(shù)p、q，滿足q|p-1。P為循環(huán)群G中一個階為q的生成元，選擇安全的Hash函數(shù)：。KGC選擇系統(tǒng)主密鑰s，計算系統(tǒng)公鑰PPUB=sP公開系統(tǒng)參數(shù)params={p,q,G,P,PPUB, H1,H2,H3,H4}，秘密保存系統(tǒng)主密鑰s。

（2）用戶密鑰生成

②KGC把部分私鑰DID和部分公鑰RID安全地傳送給用戶，用戶收到后，驗證DIDP=RID+PPUBH1(ID,RID)是否成立，若成立，則DID是有效的用戶部分私鑰，否則，判定DID無效。

（3）代理密鑰生成

假定原始簽名人的身份標(biāo)識為A，代理簽名人的身份標(biāo)識為B，A委托B進行代理簽名，A產(chǎn)生授權(quán)許可信息mw，此授權(quán)信息包含A的身份信息以及A和B的授權(quán)關(guān)系，也包含該代理簽名的使用限制等內(nèi)容。

②部分代理鑰驗證：B收到θ后，計算 h1=，驗證SPP=RA+PPUBh1+ XAh2+I是否成立，若成立，則θ是有效的部分代理鑰，否則，判定θ無效。③代理鑰SW=(SP,I,SKB)。

（4）代理簽名

①B選取隨機數(shù)z∈Zq*，計算Z=zP。

②計算h3=H3(B,RB,XB)。

③計算h4=H4(m,mw,Z,I,A,B,RA,XA,RB,XB)。

④計算u=z+SP+DBh3+xBh4。

⑤對消息m的簽名為σ=(I,Z,u)。

（5）驗證

假定R為消息的接受者，R收到消息m和m的簽名σ以后：

①計算h0=H1(B,RB)。

②計算h1=H1(A,RA)。

③計算h2=H2(I,mw,A,RA,XA)。

④計算h3=H3(B,RB,XB)。

⑤計算h4=H4(m,mw,Z,I,A,B,RA,XA,RB,XB)。

⑥計算Z′=uP-(RA+PPUBh1+XAh2+I+RBh3+PPUBh0h3+XBh4)。

⑦驗證Z=Z′是否成立。若成立，則簽名σ為有效的；否則，簽名無效。

4　安全性證明

定理1在隨機預(yù)言模型下，若第一類超級攻擊者α1能夠在多項式時間內(nèi)以不可忽略的概率成功攻破本文方案，那么存在一個算法C在多項式時間內(nèi)能夠以的概率解決ECDLP的一個實例。

證明 假設(shè)C是解決ECDLP問題的一個有效算法，其輸入為（P,aP），目標(biāo)是求取a的值。C利用α1（α1為第一類超級攻擊者）作為子程序試圖解決ECDLP問題。假設(shè)α1最多能做qC次用戶生成詢問，C隨機選擇

α1適應(yīng)性地進行多項式次數(shù)的以下詢問。

用戶生成詢問：C創(chuàng)建列表LC，列表元組定義為(ID,RID,DID,xID,XID)。對某一ID進行用戶生成詢問，若LC中已存在對應(yīng)元組(ID,RID,DID,xID,XID)，則返回PKID給α1。否則，按以下步驟生成用戶：

H1詢問：C維護列表LH1，當(dāng)C收到α1對H1(ID,RID)的查詢時查看列表LH1中是否存在對應(yīng)元組(ID,RID, h1)，若存在，返回h1給α1；若不存在，C選取隨機數(shù)，返回h1給α1，并在LH1中添加元組(ID,RID,h1)。

H2詢問：C模擬H2隨機預(yù)言機，創(chuàng)建列表LH2，初始化為空，列表元組定義為(I,mw,ID,RID,XID,h2)。C收到α1對H2(I,mw,ID,RID,XID)的查詢時，查看列表LH2中是否存在對應(yīng)元組(I,mw,ID,RID,XID,h2)，若存在，返回h2給α1；若不存在，C選取隨機數(shù)h2∈，返回h2給α1，并在LH2中添加元組(I,mw,ID,RID,XID,h2)。

H3詢問：C模擬H3隨機預(yù)言機，創(chuàng)建列表LH3，初始化為空，列表元組定義為(ID,RID,XID,h3)。當(dāng)C收到α1對H3(ID,RID,XID)的查詢時查看LH3中是否存在對應(yīng)元組(ID,RID,XID,h3)，若存在，返回h3給α1；若不存在，C選取隨機數(shù)h3∈，返回h3給α1，并在LH3中添加元組(ID,RID,XID,h3)。

H4：C模擬H4隨機預(yù)言機，創(chuàng)建列表LH4，初始化為空，列表元組定義為(m,mw,Z,I,A,B,RA,XA, RB,XB,h4)。當(dāng)C收到α1的H4詢問時，查看在LH4中是否存在對應(yīng)元組(m,mw,Z,I,A,B,RA,XA,RB,XB,h4)，若存在，返回h4給α1；若不存在，C選取隨機數(shù)h4∈，返回h4給α1，并在LH4中添加元組(m,mw,Z,I,A, B,RA,XA,RB,XB,h4)。

部分私鑰詢問：C收到α1對某一ID的部分私鑰詢問，若ID=J，則C終止，否則，查看在列表LC中是否存在對應(yīng)的元組(ID,RID,DID,xID,XID)，若存在，返回DID給α1；若不存在，則先進行用戶生成詢問，再返回DID給α1。

公鑰替換詢問：C收到α1對某一ID的公鑰替換詢問(ID,XID')，檢索列表LC找到對應(yīng)元組(ID,RID, DID,xID,XID)，將XID替換為XID'，令xID=⊥。

秘密值詢問：C收到α1對某一ID的秘密值詢問，檢索列表 LC找到對應(yīng)元組(ID,RID,DID,xID,XID)，若xID=⊥，表明此ID的公鑰已被替換，因此C無法回答α1的秘密值詢問，C返回⊥；否則，C返回xID。

部分代理鑰詢問：C收到α1的某一部分代理鑰詢問(mw,A)，隨機選擇SP,h2∈，計算h1=H1(A,RA)，I=SPP-(RA+PPUBh1+XAh2)。將部分代理鑰θ=(I,SP)返回給α1，并在列表LH2中添加元組(I,mw,ID,RID,XID,h2)。代理鑰詢問：C收到α1的某一代理鑰詢問(mw,A,B)，先對(mw,A)進行部分代理鑰詢問，得到θ=(I,SP)。若B=J，則C終止，否則，查詢列表LC找到B的對應(yīng)元組返回代理鑰 SW= (SP,I,SKB)給代理簽名詢問：C收到α1的某一代理簽名詢問(m,mw,A,B)，查詢列表 LC找到A、B的對應(yīng)元組(A,RA,DA,xA,XA)和(B,RB,DB,xB,XB)。隨機選擇，計算I=SPP-(RA+PPUBh1+XA，返回簽名最后，α1輸出元組(mw,A,PKA,θ)或(m,mw,A,PKA, B,PKB,σ)作為它的偽造。

（1）偽造的有效元組(mw,A,PKA,θ=(I,SP))滿足2.2節(jié)定義的情況1。若A≠J，則C終止；否則，根據(jù)分叉引理[14]，在選擇相同的隨機數(shù)的情況下，選擇不同的Hash函數(shù)H1，可以得到另外一個有效的偽造(mw,A,PKA,θ′=(I,SP'))，則有以下等式成立：聯(lián)立上面兩個式子求得（2）偽造的有效元組Z,u))滿足2.2節(jié)定義的情況2。若A≠J，則C終止；否則，根據(jù)分叉引理，在選擇相同的隨機數(shù)的情況選擇不同的Hash函數(shù)H1，可以得到另外一個有效的偽造，則有以下等式成立：聯(lián)立上面兩個式子求得（3）偽造的有效元組Z,u))滿足2.2節(jié)定義的情況3。若B≠J，則C終止；否則，根據(jù)分叉引理，在選擇相同的隨機數(shù)的情況下，選擇不同的Hash函數(shù)H3，可以得到另外一個有效的偽造，則有以下等式成立：聯(lián)立上面兩個式子求得。C利用α1作為子程序成功地解決了ECDLP問題。概率分析：分析能導(dǎo)致C成功的3個事件。

E1：C沒有在進行部分私鑰詢問或代理鑰詢問時終止。

E2：α1能夠偽造一個有效的部分代理鑰或代理簽名。

E3：E2發(fā)生，并滿足以下條件中的一個：

（1）輸出的有效元組(mw,A,PKA,θ)滿足A=J；（2）輸出的有效元組滿足A=J；

（3）輸出的有效元組(m,mw,A,PKA,B,PKB,σ)滿足B=J。

假設(shè)α1在多項式時間內(nèi)至多可進行qC次用戶生成詢問，qppk次部分私鑰詢問，qprok次代理鑰詢問，則有：那么C解決ECDLP的概率為：

定理2在隨機預(yù)言模型下，若第二類超級攻擊者α2能夠在多項式時間內(nèi)以不可忽略的概率成功攻破本文方案，那么存在一個算法C在多項式時間內(nèi)能夠以

證明 假設(shè)C是解決ECDLP問題的一個有效算法，其輸入為(P,aP)，目標(biāo)是求取a的值。C利用α2（α2為第二類超級攻擊者）作為子程序試圖解決ECDLP問題。假設(shè)α2最多能做qC次用戶生成詢問，C隨機選擇J∈[1,qC]作為這次游戲的挑戰(zhàn)身份。

α2適應(yīng)性地進行多項式數(shù)次數(shù)的以下詢問。

用戶生成詢問：C創(chuàng)建列表LC，列表的元組定義為(ID,RID,DID,xID,XID)，對某一若列表LC中存在對應(yīng)元組(ID,RID,DID,xID,XID)，則返給α2，否則，按以下步驟生成用戶：

H1詢問、H2詢問、H3詢問、H4詢問、公鑰替換詢問、部分代理鑰詢問、代理鑰詢問、代理簽名詢問同定理1。

部分私鑰詢問：C收到α2對某一ID的部分私鑰詢問，查看列表 LC中是否存在對應(yīng)元組(ID,RID, DID,xID,XID)，若存在，返回DID給α2；若不存在，則先進行用戶生成詢問，再返回DID給α2。

秘密值詢問：C收到α2對某一ID的秘密值詢問，若ID=J，則C終止；否則，查看列表LC中是否存在對應(yīng)元組(ID,RID,DID,xID,XID)，若存在，返回xID給α2；若不存在，則先進行用戶生成詢問，再返回xID給α2。

最后，α2輸出元組(mw,A,PKA,θ)或(m,mw,A,PKA, B,PKB,σ)作為它的偽造。

（1）偽造的有效元組(mw,A,PKA,θ=(I,SP))滿足2.2節(jié)定義的情況1。若A≠J，C終止；否則，根據(jù)分叉引理，在選擇相同的隨機數(shù)的情況下，選擇不同的Hash函數(shù)H2，可以得到另外一個有效的偽造(mw,A, PKA,θ′=(I,SP'))，則有以下等式成立：

（2）偽造的有效元組(m,mw,A,PKA,B,PKB,σ=(I, Z,u))滿足2.22。若A≠J，C終止；否則，根據(jù)分叉引理，在選擇相同的隨機數(shù)的情況下，選擇不同的Hash函數(shù)H2，可以得到另外一個有效的偽造，則有以下等式成立：

概率分析：分析能導(dǎo)致C成功的3個事件。

E1：C沒有在進行秘密值詢問或代理鑰詢問時終止。

E2：α2能夠偽造一個有效的部分代理鑰或代理簽名。

E3：E2發(fā)生，并滿足以下條件中的一個：

（1）輸出的有效元組(mw,A,PKA,θ)滿足A=J；

（2）輸出的有效元組(m,mw,A,PKA,B,PKB,σ)滿足A=J；

（3）輸出的有效元組(m,mw,A,PKA,B,PKB,σ)滿足B=J。

假設(shè)α2在多項式時間內(nèi)至多可進行qC次用戶生成詢問，qsv次秘密值詢問，則有

Table 1　Efficiency comparison of this paper scheme with other schemes表1　本文簽名方案與已有簽名方案的比較

那么C解決ECDLP的概率為：

5　效率對比分析

把本文方案與目前效率最高的無證書代理簽名方案進行效率對比，結(jié)果如表1所示。

用P表示一個雙線性對運算，G表示一個基于雙線性對的點乘運算，E表示一個模冪運算，S表示一個標(biāo)量乘運算。參考文獻[12]的實驗數(shù)據(jù)，計算一個雙線性對運算所消耗的時間為20.01 ms，計算一個基于雙線性對的點乘運算所消耗的時間為6.38 ms，計算一個模冪運算所消耗的時間為11.20 ms，計算橢圓曲線上一個標(biāo)量乘運算所消耗的時間為0.83 ms。根據(jù)文獻[12]的方法估算各個方案的計算效率[12]在代理簽名階段需要一個標(biāo)量乘運算和兩個模冪運算，計算所需時間為0.83+2×11.20=23.23ms。

在代理簽名階段，本文方案的計算量是文獻[10]方案的13.0%，文獻[11]方案的7.4%，文獻[12]方案的3.6%。本文方案的計算量是文獻[10]方案的5.3%，文獻[11]方案的8.8%，文獻[12]方案的20.7%。本文方案在計算效率上有很大的提高。

6　結(jié)束語

本文提出了一種新的無證書代理簽名方案，方案的安全性基于橢圓曲線離散對數(shù)困難問題，計算效率明顯優(yōu)于現(xiàn)有的無證書代理簽名方案，且簽名長度較短。本文方案能夠抵抗第一類超級攻擊者、第二類超級攻擊者的適應(yīng)性選擇消息攻擊，具有很強的安全性。

本文方案擁有很高的計算效率，需要很少的存儲空間，適用于對計算和存儲等資源有嚴格限制的場合。例如，在移動代理系統(tǒng)中，經(jīng)常使用代理簽名，但由于終端的存儲能力和計算能力有限，證書的存儲要占用存儲資源，證書的驗證也要花費通信代價，這些對能力有限的系統(tǒng)終端都是很大的負擔(dān)。使用無證書代理簽名，無需證書的存儲與驗證，能很好地滿足他們的需求。

References:

[1]Al-Riyami S S,Paterson K G.Certificateless public key cryptography[C]//LNCS 2894:Proceedings of the 9th International Conference on the Theory andApplication of Cryptology and Information Security,Taipei,China,Nov 30-Dec 4,2003.Berlin,Heidelberg:Springer,2003:452-473.

[2]Mambo M,Usuda K,Okamoto E.Proxy signatures for delegating signing operation[C]//Proceedings of the 1996 ACM Conference on Computer and Communications Security, New Delhi,India,Mar 1996.New York:ACM,1996:48-57.

[3]Mambo M,Usuda K,Okamoto E.Proxy signatures:delegation of the power to sign messages[J].IEICE Transactions on Fundamentals of Electronics Communications and Computer Sciences,1996,E79-A(9):1338-1354.

[4]Shi Wenbo,He Debiao,Gong Peng.On the security of a certificateless proxy signature scheme with message recovery[J].Mathematical Problems in Engineering,2013,57(9/10): 2510-2518.

[5]Li X,Chen K,Sun L.Certificateless signature and proxy signature schemes from bilinear pairings[J].Lithuanian Mathematical Journal,2005,45(1):76-83.

[6]Lu Rongbo,He Dake,Wang Changji.Cryptanalysis and improvement of a certificateless proxy signature scheme from bilinear pairings[C]//Proceedings of the 8th ACIS International Conference on Software Engineering,Artificial Intelligence,Networking,and Parallel/Distributed Computing, Qingdao,China,Jul 30-Aug 1,2007.Washington:IEEE Computer Society,2007:285-290.

[7]Chen Hu,Zhang Futai,Song Rushun.Certificateless proxy signature scheme with provable security[J].Journal of Software,2009,20(3):692?701.

[8]Xiong Hu,Li Fagen,Qin Zhiguang.A provably secure proxy signature scheme in certificateless cryptography[J].Informatica,2010,21(2):277-294.

[9]Zhang Lei,Zhang Futai,Wu Qianhong.Delegation of signing rights using certificateless proxy signatures[J].Information Sciences,2012,184(1):298-309.

[10]Seo S H,Choi K Y,Hwang J Y,et al.Efficient certificateless proxy signature scheme with provable security[J].Information Sciences,2012,188:322-337.

[11]Xu Chungen,Zhang Aohong,Han Mu,et al.Certificateless proxy signature scheme based on discrete logarithm problem[J].Journal of Nanjing University of Science and Technology:Natural Science,2010,34(6):733-737.

[12]Deng Lunzhi,Zeng Jiwen,Qu Yunyun.Certificateless proxy signature from RSA[J].Mathematical Problems in Engineering,2014(9).doi:10.1155/2014/373690.

[13]Wang Yafei,Zhang Ruizhe.Strongly secure certificateless signature scheme without pairings[J].Journal on Communications,2013,34(2):94-100.

[14]Pointcheval D,Stern J.Security arguments for digital signatures and blind signatures[J].Journal of Cryptology,2000, 13(3):361-396.

附中文參考文獻：

[11]許春根,張傲紅,韓牟,等.一種基于離散對數(shù)問題的無證書代理簽名方案[J].南京理工大學(xué)學(xué)報:自然科學(xué)版, 2010,34(6):733-737.

[13]王亞飛,張睿哲.強安全無對的無證書簽名方案[J].通信學(xué)報,2013,34(2):94-100.

TANG Yongli was born in 1972.He received the Ph.D.degree in cryptology from Beijing University of Posts and Telecommunications in 2008.Now he is an associate professor at Henan Polytechnic University.His research interests include information security and cryptology,etc.

湯永利（1972—），男，河南孟州人，2008年于北京郵電大學(xué)獲得博士學(xué)位，現(xiàn)為河南理工大學(xué)副教授，主要研究領(lǐng)域為信息安全，密碼學(xué)等。

WANG Feifei was born in 1991.She is an M.S.candidate at Henan Polytechnic University.Her research interest is cryptology.

王菲菲（1991—），女，河南滑縣人，河南理工大學(xué)碩士研究生，主要研究領(lǐng)域為密碼學(xué)。

YE Qing was born in 1981.She received the Ph.D.degree in cryptology from Beijing University of Posts and Telecommunications in 2014.Now she is a lecturer at Henan Polytechnic University.Her research interest is cryptology.

葉青（1981—），女，遼寧營口人，2014年于北京郵電大學(xué)獲得博士學(xué)位，現(xiàn)為河南理工大學(xué)講師，主要研究領(lǐng)域為密碼學(xué)。

YAN Xixi was born in 1985.She received the Ph.D.degree in cryptology from Beijing University of Posts and Telecommunications in 2012.Now she is a lecturer at Henan Polytechnic University.Her research interest is cryptology.

閆璽璽（1985—），女，河南靈寶人，2012年于北京郵電大學(xué)獲得博士學(xué)位，現(xiàn)為河南理工大學(xué)講師，主要研究領(lǐng)域為密碼學(xué)。

Provably Secure Efficient Certificateless Proxy Signature Scheme?

TANG Yongli+,WANG Feifei,YE Qing,YAN Xixi
College of Computer Science and Technology,Henan Polytechnic University,Jiaozuo,Henan 454000,China
+Corresponding author:E-mail:yltang@hpu.edu.cn

TANG Yongli,WANG Feifei,YE Qing,et al.Provably secure efficient certificateless proxy signature scheme. Journal of Frontiers of Computer Science and Technology,2016,10(9):1282-1289.

To improve the computational efficiency,this paper proposes an efficient provably secure certificateless proxy signature scheme based on elliptic curve discrete logarithm problem,avoiding bilinear pairing.The proposed scheme is more computationally efficient than the existing schemes.Its generate-partial-proxy-key algorithm needs one scalar multiplication,its validate-partial-proxy-key algorithm needs two scalar multiplications,and its signing algorithm only needs one scalar multiplication,its validation algorithm only needs six scalar multiplications.Furthermore, its signature length is shorter.The proposed scheme is existentially unforgeable in adaptive chosen message and identity for super adversary,and is particularly suitable for practical applications with limited bandwidth and powerconstrained devices.

certificateless public key cryptography;proxy signature;elliptic curve discrete logarithm problem;random oracle model

為提高無證書代理簽名方案的計算效率，提出了一個高效的無證書代理簽名方案。該方案的安全性基于橢圓曲線離散對數(shù)難題，不使用雙線性對，其效率比現(xiàn)有的無證書代理簽名方案有很大提高。在部分代理鑰生成階段只需1個標(biāo)量乘，在部分代理鑰驗證階段只需2個標(biāo)量乘，在代理簽名階段只需1個標(biāo)量乘，在代理簽名驗證階段只需6個標(biāo)量乘，且簽名長度較短。所提方案對于超級攻擊者在適應(yīng)性選擇消息與身份下是存在性不可偽造的，適用于對計算和存儲等資源有嚴格限制的實際應(yīng)用場合。

2016-04,Accepted 2016-06.

*The National Natural Science Foundation of China under Grant No.61300216(國家自然科學(xué)基金);the International Science and Technology Cooperation Program of Science and Technology Office of Henan Province under Grant No.152102410048(河南省科技廳國際科技合作計劃);the Research of Basic and Advanced Technology of Henan Province under Grant No.142300410147(河南省基礎(chǔ)與前沿技術(shù)研究);the Natural Science Research Project of Education Department of Henan Province under Grant Nos.12A520021, 16A520013(河南省教育廳自然科學(xué)研究項目).

CNKI網(wǎng)絡(luò)優(yōu)先出版:2016-06-23,http://www.cnki.net/kcms/detail/11.5602.TP.20160623.1401.022.html

A

TP309