陳 虹，周 沫+，侯宇婷，趙菊芳，肖成龍，郭鵬飛

1.遼寧工程技術(shù)大學(xué) 軟件學(xué)院，遼寧 葫蘆島125105

2.汕頭大學(xué) 計(jì)算機(jī)系，廣東 汕頭515063

簽密是在同一個(gè)操作步驟內(nèi)實(shí)現(xiàn)公鑰加密和數(shù)字簽名兩種功能，并保證消息的機(jī)密性和認(rèn)證性。與簽名和加密先后在兩個(gè)步驟內(nèi)完成的方式相比，簽密的運(yùn)算代價(jià)和通信開(kāi)銷(xiāo)大幅度降低，且安全系數(shù)和效率更高。1997年，Zheng[1]提出了簽密的思想，并給出了具體的方案設(shè)計(jì)，滿(mǎn)足消息的機(jī)密性和不可否認(rèn)性。2002 年，Baek 等[2]提出了安全模型，用于驗(yàn)證簽密方案是否滿(mǎn)足自適應(yīng)選擇密文攻擊下的語(yǔ)義安全性和自適應(yīng)選擇消息攻擊下的不可偽造性。同年，Malone-Lee[3]將簽密技術(shù)應(yīng)用到基于身份的密碼體制中設(shè)計(jì)了一個(gè)簽密方案，但該方案的語(yǔ)義安全性后來(lái)被證明是不滿(mǎn)足的。2005年，Chen等[4]也提出了一個(gè)基于身份密碼體制的簽密方案，并在雙線(xiàn)性Diffie-Hellman假設(shè)下證明了其安全性。將簽密技術(shù)與實(shí)際應(yīng)用環(huán)境相聯(lián)系，研究人員提出了不同種類(lèi)的簽密方案[5-10]。當(dāng)簽密用戶(hù)較多，簽密數(shù)量較大，接收者需要同時(shí)驗(yàn)證多個(gè)密文時(shí)，普通的簽密方案不能達(dá)到理想的運(yùn)算效率。聚合簽密能夠?qū)⒍鄠€(gè)簽密消息合并為一個(gè)，減少密文驗(yàn)證的時(shí)間，非常適用于車(chē)載自組織網(wǎng)絡(luò)、智能電網(wǎng)等計(jì)算資源和帶寬受限的環(huán)境。2009年，Selvi等[11]結(jié)合聚合簽名的思想設(shè)計(jì)了一個(gè)基于身份密碼體制的聚合簽密方案，提高了密文的批驗(yàn)證效率。2020年，Abouelkheir等[12]也提出了一個(gè)基于身份的聚合簽密方案，并在橢圓曲線(xiàn)離散對(duì)數(shù)問(wèn)題的假設(shè)下證明了安全性。但在上述方案中，用戶(hù)私鑰由私鑰生成中心（private key generator，PKG）設(shè)置，存在著安全隱患，在實(shí)際應(yīng)用中顯露弊端。

2003 年，Al-Riyami 等[13]提出了更為安全的無(wú)證書(shū)密碼體制，取消了公鑰證書(shū)，解決了證書(shū)管理的過(guò)程復(fù)雜、代價(jià)高等問(wèn)題，同時(shí)也克服了密鑰托管問(wèn)題，用戶(hù)私鑰不再由PKG統(tǒng)一設(shè)置，而是由密鑰生成中心（key generation center，KGC）和用戶(hù)合作生成。2011 年，Lu 等[14]提出了一個(gè)無(wú)證書(shū)聚合簽密（certificateless aggregate signcryption，CLASC）方案，將聚合的思想應(yīng)用到無(wú)證書(shū)簽密中，凸顯其優(yōu)勢(shì)。就此CLASC 成為研究熱點(diǎn)，如何在保證方案安全性與可行性的同時(shí)，減小運(yùn)算代價(jià)成為設(shè)計(jì)難題。之后，國(guó)內(nèi)外學(xué)者提出了大量的CLASC方案，如Eslami等[15]、張玉磊等[16]和劉建華等[17]提出的CLASC方案。上述方案在簽密及驗(yàn)證階段需要進(jìn)行大量的雙線(xiàn)性對(duì)運(yùn)算和指數(shù)運(yùn)算，這兩種運(yùn)算與點(diǎn)乘運(yùn)算相比，代價(jià)極高。蘇靖楓等[18]和李晨等[19]提出的CLASC 方案，雖沒(méi)有使用效率較低的雙線(xiàn)性對(duì)運(yùn)算，但在解簽密階段需要4n次點(diǎn)乘運(yùn)算，以及胡榮磊等[20]提出的物聯(lián)網(wǎng)環(huán)境下的CLASC 方案，在解簽密階段需要5n+1次點(diǎn)乘運(yùn)算，運(yùn)算效率仍有待提升。將聚合簽密的優(yōu)點(diǎn)應(yīng)用于異構(gòu)網(wǎng)絡(luò)中，牛淑芬等[21]和劉祥震等[22]提出了異構(gòu)聚合簽密方案，實(shí)現(xiàn)了異構(gòu)密碼環(huán)境中的“多對(duì)一”傳輸，但在簽密驗(yàn)證階段使用了雙線(xiàn)性對(duì)運(yùn)算，效率較低。

傳統(tǒng)公鑰密碼體制下的簽密需要證書(shū)機(jī)構(gòu)（certificate authority，CA）頒發(fā)公鑰證書(shū)，證書(shū)管理的成本較高，不適合大規(guī)模應(yīng)用；基于身份的簽密將用戶(hù)的公鑰與身份解綁，消除了公鑰證書(shū)，但存在密鑰托管問(wèn)題，PKG 持有所有用戶(hù)的私鑰；無(wú)證書(shū)簽密既無(wú)CA 也無(wú)密鑰托管問(wèn)題，更安全更高效，現(xiàn)階段對(duì)簽密的研究主要基于無(wú)證書(shū)的密碼體制。簽密的傳輸模式也從最開(kāi)始“一對(duì)一”的傳輸逐漸發(fā)展為“多對(duì)一”的聚合傳輸，聚合簽密可聚合傳輸且能批量驗(yàn)證，大大降低了通信開(kāi)銷(xiāo)。大多數(shù)的聚合簽密方案都使用了雙線(xiàn)性對(duì)運(yùn)算，安全性得到了保證但運(yùn)算速度較慢。基于橢圓曲線(xiàn)離散對(duì)數(shù)的聚合簽密方案雖不含雙線(xiàn)性對(duì)，效率較高，但安全程度略有降低。

為了提高無(wú)證書(shū)聚合簽密的運(yùn)算效率，本文基于Qu 等[23]提出的安全性強(qiáng)且效率較高的簽名方案，構(gòu)造了一個(gè)新的可公開(kāi)驗(yàn)證無(wú)對(duì)運(yùn)算的CLASC 方案。主要工作可分為以下三方面。

（1）構(gòu)造了一個(gè)可公開(kāi)驗(yàn)證無(wú)對(duì)運(yùn)算的CLASC方案，該方案基于無(wú)證書(shū)密碼體制，避免了使用代價(jià)較高的CA，且無(wú)密鑰托管問(wèn)題。未使用雙線(xiàn)性對(duì)運(yùn)算和指數(shù)運(yùn)算，僅使用點(diǎn)乘運(yùn)算。

（2）對(duì)本文方案進(jìn)行了完整的安全性證明，結(jié)果表明，該方案在隨機(jī)預(yù)言模型下滿(mǎn)足安全性，并具有公開(kāi)驗(yàn)證性。

（3）從理論分析方面對(duì)本文方案進(jìn)行了評(píng)估，將該方案與六個(gè)相關(guān)的聚合簽密方案進(jìn)行了比較，結(jié)果表明，該方案在解簽密階段只需要3n次點(diǎn)乘運(yùn)算，運(yùn)算效率較高。并對(duì)該方案進(jìn)行了仿真實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，聚合簽密極大地提高了密文的驗(yàn)證效率。

1 預(yù)備知識(shí)

1.1 困難性問(wèn)題

（1）計(jì)算性Diffie-Hellman（computational Diffie-Hellman，CDH）問(wèn)題：已知G是橢圓曲線(xiàn)上的加法循環(huán)群，G的階為大素?cái)?shù)q，生成元為P，CDH問(wèn)題是指給定元組(P,aP,bP)，其中a,b∈未知，求解abP的值。

（2）離散對(duì)數(shù)（discrete logarithm，DL）問(wèn)題：已知G是橢圓曲線(xiàn)上的加法循環(huán)群，G的階為大素?cái)?shù)q，生成元為P，DL 問(wèn)題是指給定元組(P,aP)，其中a∈未知，求解a的值。

1.2 無(wú)證書(shū)聚合簽密方案定義

CLASC 方案的參與方有三個(gè)，分別為KGC、簽密者IDi(1 ≤i≤n)和接收者IDB。具體算法如下：

（1）系統(tǒng)參數(shù)生成：輸入安全參數(shù)k，KGC 輸出系統(tǒng)主密鑰x和參數(shù)params，保密x，公開(kāi)params。

（5）聚合簽密：輸入n個(gè)簽密密文σi，聚合簽密者計(jì)算并輸出聚合簽密密文σ。

1.3 無(wú)證書(shū)聚合簽密方案的安全模型

CLASC 方案的安全模型存在兩類(lèi)敵手[13]：一類(lèi)模擬惡意的用戶(hù)，可以將用戶(hù)原有的公鑰進(jìn)行替換，但不能得知系統(tǒng)主密鑰；另一類(lèi)模擬惡意的KGC，可以得知系統(tǒng)主密鑰，但不能進(jìn)行替換用戶(hù)公鑰的操作。因此，CLASC 方案的安全性需考慮在兩類(lèi)敵手攻擊下的保密性和不可偽造性。以敵手A1為例，敵手與挑戰(zhàn)者C之間的交互如圖1、圖2所示。

圖1 適應(yīng)性選擇密文攻擊的示意圖（敵手A1）Fig.1 Schematic diagram of adaptive chosen ciphertext attack(adversary A1)

圖2 適應(yīng)性選擇消息攻擊的示意圖（敵手A1）Fig.2 Schematic diagram of adaptive selection message attack(adversary A1)

定義1（敵手A1攻擊下的保密性）如果不存在任何多項(xiàng)式數(shù)量級(jí)的敵手A1能夠在下面的游戲中以不可忽略的優(yōu)勢(shì)獲勝，那么稱(chēng)該方案具有適應(yīng)性選擇密文攻擊下不可區(qū)分的安全屬性（indistinguishability under adaptive chosen ciphertext attack，IND-CCA2）。

系統(tǒng)參數(shù)生成：輸入安全參數(shù)k，挑戰(zhàn)者C運(yùn)行系統(tǒng)參數(shù)生成算法，生成系統(tǒng)參數(shù)params和系統(tǒng)主密鑰，并將params發(fā)送給敵手A1。

第一階段問(wèn)詢(xún)：敵手A1可適應(yīng)性地進(jìn)行以下多項(xiàng)式數(shù)量級(jí)的問(wèn)詢(xún)：

（1）部分私鑰問(wèn)詢(xún)：A1輸入用戶(hù)身份IDi進(jìn)行問(wèn)詢(xún)，C返回IDi的部分私鑰。

（2）公鑰問(wèn)詢(xún)：A1輸入用戶(hù)身份IDi進(jìn)行問(wèn)詢(xún)，C返回IDi的公鑰。

（3）秘密值問(wèn)詢(xún)：A1輸入用戶(hù)身份IDi進(jìn)行問(wèn)詢(xún)，C返回IDi的秘密值。

（4）公鑰替換問(wèn)詢(xún)：A1輸入用戶(hù)身份IDi和新公鑰進(jìn)行問(wèn)詢(xún)，C將IDi現(xiàn)有公鑰進(jìn)行替換并記錄。

（5）簽密問(wèn)詢(xún)：A1輸入消息mi、簽密者身份IDi和接收者身份IDB進(jìn)行問(wèn)詢(xún)，C返回密文σi。

（6）聚合簽密問(wèn)詢(xún)：A1輸入消息mi、簽密者身份IDi和接收者身份IDB進(jìn)行問(wèn)詢(xún)，C返回聚合密文σ。

（7）解簽密問(wèn)詢(xún)：A1輸入簽密σi和接收者身份IDB進(jìn)行問(wèn)詢(xún)，C返回消息mi。

挑戰(zhàn)：經(jīng)過(guò)足夠的問(wèn)詢(xún)后，A1選擇兩個(gè)長(zhǎng)度相等的明文mi(i∈{0,1})和用戶(hù)身份IDi、IDB。C判斷IDB是否為挑戰(zhàn)對(duì)象，若不是則拒絕；否則，C隨機(jī)選擇一個(gè)比特b，對(duì)明文消息mb進(jìn)行簽密得到密文σ*，返回給A1。

第二階段問(wèn)詢(xún)：與第一階段問(wèn)詢(xún)類(lèi)似，不同之處在于不能進(jìn)行IDB的部分私鑰問(wèn)詢(xún)和σ*的解簽密問(wèn)詢(xún)。

猜測(cè)階段：A1給出一個(gè)猜測(cè)值b′，若b′=b，則敵手A1取得游戲勝利。

定義2（敵手A2攻擊下的保密性）如果不存在任何多項(xiàng)式數(shù)量級(jí)的敵手A2能夠在下面的游戲中以不可忽略的優(yōu)勢(shì)獲勝，那么稱(chēng)該方案具有適應(yīng)性選擇密文攻擊下不可區(qū)分的安全屬性（IND-CCA2）。

系統(tǒng)參數(shù)生成：輸入安全參數(shù)k，挑戰(zhàn)者C運(yùn)行系統(tǒng)參數(shù)生成算法，將生成的系統(tǒng)參數(shù)params和主密鑰都發(fā)送給敵手A2。

第一階段問(wèn)詢(xún)與定義1類(lèi)似，不同之處在于不能進(jìn)行公鑰替換問(wèn)詢(xún)和部分私鑰問(wèn)詢(xún)。

第二階段問(wèn)詢(xún)與定義1類(lèi)似，不同之處在于不能進(jìn)行IDB的秘密值問(wèn)詢(xún)。

挑戰(zhàn)階段和猜測(cè)階段與定義1相同。最終，敵手A2取得游戲勝利。

定義3（敵手A1攻擊下的不可偽造性）如果不存在任何多項(xiàng)式數(shù)量級(jí)的敵手A1能在下面的游戲中以不可忽略的優(yōu)勢(shì)獲勝，那么稱(chēng)該方案具有適應(yīng)性選擇消息攻擊下不可偽造的安全屬性（existential unforgeability under adaptive chosen messages attack，EUF-CMA）。

系統(tǒng)參數(shù)生成和問(wèn)詢(xún)階段與定義1相同。

定義4（敵手A2攻擊下的不可偽造性）如果不存在任何多項(xiàng)式數(shù)量級(jí)的敵手A2能夠在下面的游戲中以不可忽略的優(yōu)勢(shì)獲勝，那么稱(chēng)該方案具有適應(yīng)性選擇消息攻擊下不可偽造的安全屬性(EUF-CMA)。

系統(tǒng)參數(shù)生成和問(wèn)詢(xún)階段與定義2 相同。偽造階段與定義3相同。最終，敵手A2取得游戲勝利。

2 本文無(wú)證書(shū)聚合簽密方案

本文構(gòu)造的CLASC 方案包括系統(tǒng)參數(shù)生成、部分密鑰設(shè)置、用戶(hù)密鑰設(shè)置、簽密、聚合簽密、解簽密和聚合解簽密七個(gè)部分。以簽密過(guò)程為例，本文CLASC方案如圖3所示。

圖3 本文CLASC方案Fig.3 CLASC scheme of this paper

方案具體如下：

3 本文方案安全性分析

3.1 正確性

（1）密鑰的正確性

用戶(hù)IDi通過(guò)以下等式驗(yàn)證部分密鑰是否有效：

（2）消息的正確性

接收者IDB通過(guò)以下等式驗(yàn)證消息mi的正確性：

（3）簽名的正確性

接收者IDB通過(guò)以下等式驗(yàn)證簽名的正確性：

若等式成立，則發(fā)送者身份驗(yàn)證成功，消息mi能夠被接收。

3.2 公開(kāi)驗(yàn)證性

3.3 機(jī)密性

若存在敵手A1、A2具有不可忽略的獲勝優(yōu)勢(shì)的情況，則A1、A2具有幫助挑戰(zhàn)者C破解困難問(wèn)題的能力。

引理1（敵手A1攻擊下的保密性）在隨機(jī)預(yù)言模型中且CDH 問(wèn)題難解的情況下，根據(jù)定義1 知敵手A1攻擊成功的優(yōu)勢(shì)是可忽略的。如果在概率多項(xiàng)式時(shí)間內(nèi)，A1能夠以不可忽略的優(yōu)勢(shì)ε（最多經(jīng)過(guò)qi（i=1,2,3）次Hi問(wèn)詢(xún)、qpsk次部分私鑰問(wèn)詢(xún)、qs次簽密問(wèn)詢(xún)、qun次解簽密問(wèn)詢(xún)等）贏得游戲IND-CLSCCCA2，那么就存在挑戰(zhàn)者C在概率多項(xiàng)式時(shí)間內(nèi)以概率的優(yōu)勢(shì)解決CDH困難問(wèn)題。

證明如果A1能夠以不可忽略的優(yōu)勢(shì)贏得游戲IND-CLSC-CCA2，則C能夠在A1的幫助下成功解決CDH 問(wèn)題。其中，C在游戲中的角色為挑戰(zhàn)者，A1為C的子程序。即已知{P,aP,bP}，求abP的值。

（1）系統(tǒng)參數(shù)生成：C運(yùn)行系統(tǒng)參數(shù)生成算法，設(shè)置Ppub=aP，將參數(shù)params發(fā)送給敵手A1。

（2）問(wèn)詢(xún)階段：A1進(jìn)行以下問(wèn)詢(xún)，并將問(wèn)詢(xún)的值記錄在各列表中，所有列表初始化為空。

A1收到σ*后繼續(xù)問(wèn)詢(xún)，與問(wèn)詢(xún)階段類(lèi)似，不同之處在于不能進(jìn)行IDB的部分私鑰問(wèn)詢(xún)和σ*的解簽密問(wèn)詢(xún)。經(jīng)足夠的問(wèn)詢(xún)后，A1輸出對(duì)b的猜測(cè)b′，若b′=b，則C輸出作為CDH問(wèn)題的解，其中，

若A1進(jìn)行過(guò)IDB的部分私鑰問(wèn)詢(xún)，進(jìn)行過(guò)H2問(wèn)詢(xún)，進(jìn)行過(guò)的H3問(wèn)詢(xún)，則游戲失敗。A1未進(jìn)行過(guò)部分私鑰問(wèn)詢(xún)的概率至少為1/q1，未進(jìn)行過(guò)H2問(wèn)詢(xún)的概率至少為1/q2，未進(jìn)行過(guò)的H3問(wèn)詢(xún)的概率至少為1/q3，且挑戰(zhàn)者C未拒絕有效簽密的概率至少為，則C成功解決CDH問(wèn)題的概率為因?yàn)锳1贏得游戲的優(yōu)勢(shì)是可忽略的，所以C成功解決CDH 困難問(wèn)題的前提條件不存在。根據(jù)定義1所述，本文方案具有保密性。證畢。

引理2（敵手A2攻擊下的保密性）在隨機(jī)預(yù)言模型中且CDH 問(wèn)題難解的情況下，根據(jù)定義2 知敵手A2攻擊成功的優(yōu)勢(shì)是可忽略的。如果在概率多項(xiàng)式時(shí)間內(nèi)，A2能夠以不可忽略的優(yōu)勢(shì)ε（最多經(jīng)過(guò)qi（i=1,2,3）次Hi問(wèn)詢(xún)、qpsk次秘密值問(wèn)詢(xún)、qs次簽密問(wèn)詢(xún)、qun次解簽密問(wèn)詢(xún)等）贏得游戲IND-CLSCCCA2，那么就存在挑戰(zhàn)者C在概率多項(xiàng)式時(shí)間內(nèi)以概率的優(yōu)勢(shì)解決CDH困難問(wèn)題。

證明如果A2能夠以不可忽略的優(yōu)勢(shì)贏得游戲IND-CLSC-CCA2，則C能夠在A2的幫助下成功解決CDH 問(wèn)題。其中，C在游戲中的角色為挑戰(zhàn)者，A1為C的子程序。即已知{P,aP,bP}，求abP的值。

（1）系統(tǒng)參數(shù)生成：C運(yùn)行系統(tǒng)參數(shù)生成算法，設(shè)置Ppub=xP，將參數(shù)params和x發(fā)送給敵手A2。

（2）問(wèn)詢(xún)階段：A2進(jìn)行以下問(wèn)詢(xún)，并將問(wèn)詢(xún)的值記錄在各列表中，所有列表初始化為空。

3.4 不可偽造性

引理3（敵手A1攻擊下的不可偽造性）在隨機(jī)預(yù)言模型中且DL 問(wèn)題難解的情況下，根據(jù)定義3 知敵手A1攻擊成功的優(yōu)勢(shì)是可忽略的。如果在概率多項(xiàng)式時(shí)間內(nèi)，A1能夠以不可忽略的優(yōu)勢(shì)ε（最多經(jīng)過(guò)qi（i=1,2,3）次Hi問(wèn)詢(xún)、qpsk次部分私鑰問(wèn)詢(xún)、qs次簽密問(wèn)詢(xún)、qun次解簽密問(wèn)詢(xún)等）贏得游戲EUF-CMA，那么就存在挑戰(zhàn)者C在概率多項(xiàng)式時(shí)間內(nèi)以概率的優(yōu)勢(shì)解決DL困難問(wèn)題。

證明如果A1能夠以不可忽略的優(yōu)勢(shì)贏得游戲EUF-CMA，則C能夠在A1的幫助下成功解決DL 問(wèn)題。其中，C在游戲中的角色為挑戰(zhàn)者，A1為C的子程序。即已知{P,aP}，求a的值。

初始化階段與問(wèn)詢(xún)階段同引理1。

引理4（敵手A2攻擊下的不可偽造性）在隨機(jī)預(yù)言模型中且DL 問(wèn)題難解的情況下，根據(jù)定義4 知敵手A2攻擊成功的優(yōu)勢(shì)是可忽略的。如果在概率多項(xiàng)式時(shí)間內(nèi)，A2能夠以不可忽略的優(yōu)勢(shì)ε（最多經(jīng)過(guò)qi（i=1,2,3）次Hi問(wèn)詢(xún)、qpsk次秘密值問(wèn)詢(xún)、qs次簽密問(wèn)詢(xún)、qun次解簽密問(wèn)詢(xún)等）贏得游戲EUF-CMA，那么就存在挑戰(zhàn)者C在概率多項(xiàng)式時(shí)間內(nèi)以概率的優(yōu)勢(shì)解決DL困難問(wèn)題。

證明如果A2能夠以不可忽略的優(yōu)勢(shì)贏得游戲EUF-CMA，則C能夠在A2的幫助下成功解決DL 問(wèn)題。其中，C在游戲中的角色為挑戰(zhàn)者，A2為C的子程序。即已知{P,aP}，求a的值。

初始化階段與問(wèn)詢(xún)階段同引理2。

因此，C成功解決了DL 問(wèn)題。A2未進(jìn)行過(guò)秘密值問(wèn)詢(xún)的概率至少為，A2偽造的簽密為一個(gè)有效的聚合簽密且z1=0，zi=1(2 ≤i≤n)的概率至少為εδ(1-δ)n-1，則C成功解決DL 問(wèn)題的概率為因?yàn)锳2贏得游戲的優(yōu)勢(shì)是可忽略的，所以C成功解決DL困難問(wèn)題的前提條件不存在。根據(jù)定義4 所述，本文方案具有不可偽造性。證畢。

4 本文方案性能效率分析

4.1 理論分析

將本文方案與聚合簽密方案文獻(xiàn)[12，18-21，24]的運(yùn)算效率和安全性進(jìn)行比較，假設(shè)參與簽密的用戶(hù)共有n個(gè)，e 表示指數(shù)運(yùn)算，s 表示群G上的點(diǎn)乘運(yùn)算，p 表示雙線(xiàn)性對(duì)運(yùn)算。相比較以上三種運(yùn)算，哈希運(yùn)算、異或運(yùn)算和加法運(yùn)算的耗時(shí)對(duì)整體效率的影響可以忽略不計(jì)。方案分析結(jié)果如表1所示。

從表1可以看出，當(dāng)消息個(gè)數(shù)為1個(gè)時(shí)，文獻(xiàn)[21，24]的運(yùn)算總量分別為e+4p+2s 和e+3p+5s，都使用了指數(shù)運(yùn)算、雙線(xiàn)性對(duì)運(yùn)算和點(diǎn)乘運(yùn)算。根據(jù)Cao等[25]的實(shí)驗(yàn)表明，一次雙線(xiàn)性對(duì)運(yùn)算所需要的計(jì)算代價(jià)約為一次點(diǎn)乘運(yùn)算的20 倍，一次指數(shù)運(yùn)算所需要的計(jì)算代價(jià)約為一次點(diǎn)乘運(yùn)算的3 倍。就計(jì)算代價(jià)而言，本文方案的計(jì)算代價(jià)遠(yuǎn)遠(yuǎn)小于以上兩種方案。文獻(xiàn)[12，18-20]和本文方案一樣只使用了點(diǎn)乘運(yùn)算，其中文獻(xiàn)[19-20]在各個(gè)階段的運(yùn)算量都比本文方案大，而文獻(xiàn)[12，18]雖然在簽密階段的運(yùn)算量和本文方案相同，但在解簽密階段的運(yùn)算量分別比本文方案多出一次和兩次點(diǎn)乘運(yùn)算，運(yùn)算代價(jià)仍比本文方案高。

表1 簽密方案運(yùn)算效率與安全性比較Table 1 Comparison of efficiency and security of signcryption schemes

當(dāng)消息個(gè)數(shù)為n個(gè)時(shí)，本文方案的計(jì)算代價(jià)依舊遠(yuǎn)遠(yuǎn)小于使用了復(fù)雜運(yùn)算的文獻(xiàn)[21，24]。文獻(xiàn)[12，19]的運(yùn)算總量分別比本文方案多出2n-1 和2n+2次點(diǎn)乘運(yùn)算，無(wú)論是簽密階段還是解簽密階段，本文方案的運(yùn)算效率都更高。文獻(xiàn)[18，20]雖然在簽密階段的運(yùn)算量和本文方案相同，但在解簽密階段的運(yùn)算量分別比本文方案多出n和2n+1 次點(diǎn)乘運(yùn)算，運(yùn)算代價(jià)仍比本文方案高。文獻(xiàn)[21]在聚合簽密驗(yàn)證階段，需要使用Rsj的值，即根據(jù)接收者的私鑰計(jì)算，任意第三方無(wú)法計(jì)算該值；文獻(xiàn)[24]在聚合簽密驗(yàn)證階段，需要使用ri的值，即根據(jù)接收者的私鑰計(jì)算，任意第三方也無(wú)法計(jì)算該值；文獻(xiàn)[12]在簽密的驗(yàn)證階段雖然不需使用用戶(hù)的私鑰，但需使用明文消息，如果進(jìn)行公開(kāi)驗(yàn)證會(huì)泄露明文消息，因此上述方案均不滿(mǎn)足公開(kāi)驗(yàn)證性。綜上，本文方案具有明顯優(yōu)勢(shì)。

4.2 仿真實(shí)驗(yàn)分析

實(shí)驗(yàn)環(huán)境：Intel Core i5-5200U@2.20 GHz CPU，4 GB RAM，Windows 10操作系統(tǒng)，python 3.6.8。

實(shí)驗(yàn)結(jié)果分析：用戶(hù)身份IDi唯一，明文消息|m|長(zhǎng)度隨機(jī)，消息個(gè)數(shù)n分別取1、5、10、20、50、100、200，實(shí)驗(yàn)結(jié)果包括n個(gè)消息的簽密時(shí)間和解簽密時(shí)間，如圖4、圖5所示。

圖4 簽密效率Fig.4 Signcryption efficiency

圖5 解簽密效率Fig.5 Efficiency of de-signcryption

解簽密用時(shí)分別為1.390s、3.655 s、6.655 s、12.999 s、31.533 s、63.823 s、150.559 s，實(shí)驗(yàn)結(jié)果表明聚合密文解簽密的時(shí)間約為n個(gè)密文分別解簽密時(shí)間的1/2，極大提高了密文的驗(yàn)證效率。

5 案例設(shè)計(jì)

本文方案可以應(yīng)用在智能交通系統(tǒng)中，車(chē)載自組織網(wǎng)絡(luò)（vehicular ad hoc network，VANET）是智能交通系統(tǒng)的基礎(chǔ)。VANET是一種將網(wǎng)絡(luò)節(jié)點(diǎn)建立在汽車(chē)和道路基礎(chǔ)設(shè)施上的分布式、動(dòng)態(tài)變化的無(wú)線(xiàn)自組織通信網(wǎng)絡(luò)。VANET 結(jié)構(gòu)包括服務(wù)中心、車(chē)載單元（on board unit，OBU）和路邊單元（road side unit，RSU）三部分。服務(wù)中心為信任機(jī)構(gòu)，擁有最高的管理權(quán)限，負(fù)責(zé)OBU和RSU的登記管理。OBU安裝在每輛車(chē)上，RSU安裝在道路兩側(cè)或十字路口，OBU與OBU、OBU與RSU之間通過(guò)無(wú)線(xiàn)信道進(jìn)行通信，構(gòu)成一個(gè)無(wú)線(xiàn)自組織通信網(wǎng)絡(luò)。VANET結(jié)構(gòu)如圖6所示。

圖6 VANET結(jié)構(gòu)Fig.6 VANET structure

由于VANET 節(jié)點(diǎn)多、規(guī)模大，且無(wú)線(xiàn)網(wǎng)絡(luò)本身的脆弱性和開(kāi)放性，VANET 很容易受到攻擊，如竊聽(tīng)、篡改、跟蹤和用戶(hù)隱私泄露等，信息安全問(wèn)題嚴(yán)重阻礙其發(fā)展。簽密技術(shù)能夠較好滿(mǎn)足VANET 中信息傳輸?shù)谋Ｃ苄?、認(rèn)證性等安全需求。

智能化交通系統(tǒng)中，1個(gè)RSU通常需要管轄上百輛車(chē)輛，要求RSU在短時(shí)間內(nèi)驗(yàn)證大量簽密消息，對(duì)RSU 的硬件和成本挑戰(zhàn)過(guò)高，需要一種快速高效的驗(yàn)證技術(shù)用于大批量密文驗(yàn)證。本文提出的CLASC方案是能夠進(jìn)行壓縮和批處理的聚合簽密方案，可應(yīng)用于OBU 與RSU 之間通信。方案中的n個(gè)簽密者為VANET 中的n個(gè)OBU，接收者為RSU，n個(gè)OBU 產(chǎn)生n個(gè)簽密消息并進(jìn)行聚合，將聚合簽密消息發(fā)送給RSU，由RSU進(jìn)行驗(yàn)證并解簽密，能夠有效降低計(jì)算與通信開(kāi)銷(xiāo)，確保消息傳遞的安全性及有效防止偽造消息。

6 結(jié)束語(yǔ)

本文基于Qu 等[23]提出的簽名方案，構(gòu)造了一個(gè)可公開(kāi)驗(yàn)證無(wú)對(duì)運(yùn)算的CLASC 方案，與運(yùn)算時(shí)間約為點(diǎn)乘20倍的雙線(xiàn)性對(duì)運(yùn)算相比，效率更高。同時(shí)，在隨機(jī)預(yù)言模型下，該方案被證明滿(mǎn)足安全性，并能夠驗(yàn)證發(fā)送者的身份是否合法。對(duì)比其他6個(gè)方案，該方案性能更佳，可以很好地應(yīng)用于計(jì)算資源和帶寬受限但安全性需求較高的環(huán)境中。聚合簽密提高了用戶(hù)較多情況下的簽密和解簽密的效率，但如何在滿(mǎn)足安全性的前提下，構(gòu)造更為高效的聚合簽密方案仍是日后研究的重點(diǎn)。