高效可證明安全的無證書有序聚合簽名方案

王竹，楊思琦，李鳳華，耿魁，彭婷婷，史夢瑤

（1.中國科學院信息工程研究所，北京 100093；2.中國科學院大學網(wǎng)絡(luò)空間安全學院，北京 100049）

0 引言

聚合簽名是解決多用戶多信息大量認證授權(quán)的一種有效方案，聚合算法可將指定的n個用戶對n個消息的簽名聚合生成一個簽名，簽名在經(jīng)過一系列流轉(zhuǎn)之后，驗證方只需要驗證聚合后的一個簽名為真，便可確認消息是由確定的n個用戶發(fā)送的。Boneh 等[1]提出了第一個簽名聚合方案，并給出了基于BLS（Boneh-Lynn-Shacham）短簽名的簽名構(gòu)造方案。近年來，聚合簽名主要應(yīng)用于車載自組網(wǎng)（VANET,vehicular ad-hoc network）中的安全認證、安全路由協(xié)議、安全交易等眾多領(lǐng)域，用于解決分布式系統(tǒng)中需要批量驗證多個不同用戶對不同信息的簽名問題。

現(xiàn)實中需要不同機構(gòu)對某一個流轉(zhuǎn)消息進行數(shù)字簽名的分布式環(huán)境，該環(huán)境中，企業(yè)需要將經(jīng)過一系列機構(gòu)簽名后的信息交付給用戶，用戶在使用時需要檢驗其真實性。例如電子發(fā)票在開具流程中需要通過不同機構(gòu)對相關(guān)信息進行核驗，用戶在進行報銷時需要對其真?zhèn)芜M行查驗。此時電子發(fā)票的數(shù)字簽名過程涉及信任傳播問題并需要保證其真?zhèn)危m合采用有序聚合簽名的方案。如圖1 所示，當前互聯(lián)網(wǎng)服務(wù)主要分為3 個主體，包括企業(yè)用戶、個人用戶和服務(wù)器端。不同機構(gòu)需要在確認前面節(jié)點信息的真實性之后附加自己的簽名，以保證信任鏈的安全。但是如果沒有安全有效的驗證機制來檢驗信息在傳輸鏈上是否被篡改，就無法防止惡意攻擊者對文件的相關(guān)信息進行篡改和偽造，進而造成經(jīng)濟損失，因此需要采取數(shù)字簽名技術(shù)確保信息的真實性和完整性。有序聚合簽名除了需要作為一個普通的聚合簽名方案保證安全性之外，還必須在簽名者的排序方面強制附加不可偽造性。也就是說，在排列順序安全中，有2 個安全問題值得注意：1) 在得到單個用戶的簽名和已完成聚合簽名的情況下，不能交換用戶的簽名順序來合成新的簽名；2) 在得到多組有序聚合簽名計算結(jié)果的情況下，不能將其結(jié)果合成一個有序聚合簽名[2]。

當前，應(yīng)用于互聯(lián)網(wǎng)服務(wù)中的簽名驗證的一種常用方法是通過簽發(fā)系統(tǒng)將不同機構(gòu)簽署的簽名收集在一起，形成批量的簽名。當需要對其真?zhèn)芜M行判斷時，驗證者可將簽名及相關(guān)信息發(fā)送給查驗系統(tǒng)，查驗系統(tǒng)會匹配相應(yīng)的簽發(fā)機構(gòu)對文件中的簽名進行逐一驗證。但該驗證方法在傳輸過程中體量大、速度慢，考慮到多方參與，對于各參與方的通信和計算要求也是十分苛刻和復(fù)雜的，這對于查驗的效率有很大的影響。

同時，當前查驗系統(tǒng)并沒有考慮到當用戶處于離線狀態(tài)或者處于節(jié)點緩存能力與網(wǎng)絡(luò)資源受限的容遲網(wǎng)絡(luò)（DTN,delay tolerant network）[3]典型應(yīng)用場景時，需要對簽名進行離線驗證。在容遲網(wǎng)絡(luò)的應(yīng)用場景下，無法直接訪問數(shù)據(jù)庫對文件信息查驗要素進行對比來查驗信息的合法性。目前針對信息的離線驗證暫無可行的解決方案。

本文針對電子發(fā)票中存在的問題，設(shè)計了一種高效安全的無證書有序聚合簽名方案。為了解決目前簽名在實際應(yīng)用場景下的不足，本文方案實現(xiàn)了電子發(fā)票的防偽，保證了簽名的安全性，提升了簽名的驗證效率并滿足了離線驗證需求。在安全性方面，本文方案不僅解決了證書分發(fā)和管理以及密碼托管的安全問題，還確保了簽名方案是存在性不可偽造的。在驗證效率方面，本文方案進行簽名和驗證需要的時間比同類方案更少，降低了計算開銷。在應(yīng)用場景方面，本文方案不僅支持在線驗證，也考慮了在容遲網(wǎng)絡(luò)等典型應(yīng)用場景下的離線驗證。

本文的主要貢獻如下。

1) 設(shè)計了一種無證書有序聚合簽名方案，有效地解決了多用戶有序簽名的安全問題，并提高了安全性。

圖1 互聯(lián)網(wǎng)服務(wù)

2) 相比于其他簽名方案，本文方案降低了計算開銷，有效地減少了驗證所需時間，提高了檢驗效率。

3) 當用戶處于離線狀態(tài)或者處于節(jié)點緩存能力與網(wǎng)絡(luò)資源受限的容遲網(wǎng)絡(luò)的應(yīng)用場景時，可以進行離線驗證。

1 相關(guān)工作

從公鑰密碼體制的角度看，聚合簽名主要分為三類：基于公鑰基礎(chǔ)設(shè)施（PKI,public key infrastructure）的聚合簽名[4]、基于身份的聚合簽名[5]和無證書聚合簽名。

對于基于PKI 的聚合簽名，Liu 等[6]引入了第一個基于證書的順序聚合簽名方案，縮短了簽名者發(fā)送消息的總帶寬，此方案在M-LRSW（M-Lysyanskaya-Rivest-Sahai-Wolf）和DH（Diffie-Hellman）假設(shè)下是可證明安全的。2017 年，Verma 等[7]提出了一種適用于分布式系統(tǒng)、應(yīng)用于無線傳感網(wǎng)絡(luò)的基于證書的短聚合簽名方案，此方案為當前基于配對的最短簽名構(gòu)造方案。2020 年，Verma 等[8]提出了應(yīng)用于電子醫(yī)療的基于證書的配對自由聚合簽名方案，保證了生成源的完整性和認證，簡化了基于傳統(tǒng)公鑰基礎(chǔ)設(shè)施的證書管理過程，適用于帶寬和計算受限的環(huán)境。然而，基于PKI 的簽名方案需要大量存儲空間來存放證書，可能存在證書管理問題。

對于基于身份的聚合簽名，Boldyreva 等[2]提出了一種基于身份的有序聚合簽名IBSAS（identity-based sequential aggregate signature）方案，它依賴于第三方可信服務(wù)器密鑰生成中心（KGC,key generation center），用戶通過計算KGC 生成的主私鑰和自己生成的秘密密鑰來計算其完整私鑰。2016 年，Muranaka 等[9]基于IBSAS 方案進行改進，提出針對動態(tài)源路由協(xié)議的基于身份的有序聚合簽名ISDSR（secure DSR with ID-based sequential aggregate signature）方案，相比于IBSAS 方案，該方案有效提高了計算性能。2019年，Kojima 等[10]針對新設(shè)備在加入動態(tài)路由協(xié)議時ISDSR 與集中式KGC 通信可能產(chǎn)生的問題，提出了一種基于身份的公鑰密碼體制，采用分布式密鑰的有序聚合簽名ISDSR+方案，消除了集中式KGC，將分布式KGC 應(yīng)用于基于身份的有序聚合簽名中。基于身份的聚合簽名解決了基于PKI 聚合簽名中證書的發(fā)放管理問題，但因為其密鑰的生成依賴于可信第三方，所以存在密鑰托管問題。

對于無證書聚合簽名，相比于基于PKI 的聚合簽名，其解決了證書的發(fā)放和管理問題；相比于基于身份的聚合簽名，因為無證書聚合簽名只需要半可信的第三方為用戶提供部分私鑰，所以解決了密鑰托管問題，是目前飛速發(fā)展的一類聚合簽名。2015 年，Horng等[11]為車聯(lián)網(wǎng)引入了無證書聚合簽名方案，以防止自適應(yīng)選擇的消息攻擊。然而Gayathri 等[12]提出文獻[11]方案無法抵抗惡意KGC 被動攻擊。2016 年，劉丹等[13]提出一種無線網(wǎng)絡(luò)中基于無證書聚合簽名方案，保證了用戶的隱匿性和不可追蹤性，但該方案不能抵抗單個簽名偽造攻擊。2019 年，Kamil 等[14]提出了一種基于橢圓曲線加密（ECC,elliptic curve cryptography）的無證書聚合簽名方案，以滿足VANET的批量驗證、自治和有條件的隱私保護。Zhao 等[15]提出了一種對文獻[14]方案的攻擊模型，證明了其方案并不安全。Xie 等[16]引入格中困難問題，提出了一種基于NTRU（number theory research unit）的無證書聚合簽名方案，提高了計算復(fù)雜性。Cahyadi 等[17]對目前應(yīng)用于車載自組網(wǎng)中的無證書聚合簽名方案進行了調(diào)研。可以看出，目前應(yīng)用于計算資源受限的環(huán)境提出的聚合簽名方案大部分采用基于橢圓曲線的密碼算法，因為橢圓曲線在相同安全強度下只需要更小的密鑰，從而可以減輕計算負擔。綜合以上方案，本文方案將采用基于橢圓曲線的無證書聚合簽名，支持離線驗證的應(yīng)用場景。

聚合簽名按照聚合的方式主要分為三類：完全聚合簽名[1]、同步聚合簽名[18]和有序聚合簽名[19]。1) 完全聚合簽名允許任何用戶自由聚合不同簽名者的不同簽名，這種聚合方式雖然十分靈活，但不能對聚合步驟進行限制，沒有任何安全約束。2) 同步聚合簽名具有一定的安全約束，允許用戶將具有相同同步信息的不同簽名組合成單個簽名。同步聚合簽名允許所有簽名者共享相同的同步信息，如時鐘或其他共享值。3) 有序聚合簽名是三類聚合簽名中安全性要求最高的一種簽名，有較嚴格的順序要求，每個簽名者必須按照一定的順序?qū)⒆约旱暮灻酆系疆斍暗暮灻校駝t生成的聚合簽名會查驗失敗；每個簽名者都必須在接收到上一個指定用戶的簽名之后，才能對簽名進行聚合簽名的操作，并且將簽名發(fā)送給下一個指定的簽名者。Lysyanskaya 等[19]首次提出有序聚合簽名的概念，并利用隨機預(yù)言模型中的認證陷門置換設(shè)計了一種有序聚合簽名。

本文基于身份的有序聚合簽名[2]，采用三維變量作為聚合簽名；基于BLS 多重簽名[20]，通過構(gòu)造雙線性對形成驗證等式并修改等式，以支持本文的應(yīng)用場景。

2 背景知識

2.1 雙線性對

定義1假設(shè)G1是階為素數(shù)q的加法循環(huán)群，G2為同階的乘法循環(huán)群，P是G1的生成元，則稱映射 e :G1×G1→G2是一個雙線性映射，它滿足以下特性。

2) 非退化性。對?P, Q∈G1，滿足，其中為G2的單位元。

3) 可計算性。對?P ,Q∈G1，存在有效算法可以計算出 e( P ,Q)。

2.2 困難性假設(shè)

CDH（Computational Diffie-Hellman）問題。假設(shè)G是階為素數(shù)q的加法循環(huán)群，對，P∈G，給定(P ,aP ,bP)，計算abP。

CDH 問題困難性假設(shè)是指在多項式時間內(nèi)，不存在一個有效算法以不可忽略的概率解決 CDH問題。

3 無證書有序聚合簽名的定義及安全模型

3.1 無證書有序聚合簽名方案的定義

無證書有序聚合簽名主要由第三方可信機構(gòu)KGC、簽名用戶Ni(i=1,2,…,n)、簽名順序K和驗證者V構(gòu)成，需要執(zhí)行以下5 個算法：Setup（初始化系統(tǒng)參數(shù)的生成算法）、Partial-Private-Key-Extract Phase（部分私鑰生成算法）、KeyGen（密鑰生成算法）、Sign（簽名算法）和Verify（驗證算法）。

1) Setup。該算法由KGC 發(fā)起執(zhí)行。KGC 首先選取隨機正整數(shù)k作為安全參數(shù)，然后向所有簽名用戶Ni(i=1,2,…,n)返回系統(tǒng)公共參數(shù)mpk 并將主私鑰msk 秘密保存在本地。

2) Partial-Private-Key-Extract Phase。該算法由KGC 執(zhí)行。KGC 首先從用戶數(shù)據(jù)庫中獲取簽名用戶身份標識IDi，如果數(shù)據(jù)庫中沒有相關(guān)用戶的數(shù)據(jù)，則數(shù)據(jù)庫先向各個簽名用戶發(fā)送請求，獲取用戶身份標識IDi并保存到數(shù)據(jù)庫中。通過用戶身份標識IDi、系統(tǒng)公共參數(shù)mpk 和主私鑰msk 等參數(shù)計算出部分私鑰并發(fā)送給各個簽名用戶。

3) KeyGen。該算法由各個簽名用戶Ni(i=1,2,…,n)執(zhí)行。簽名用戶選取隨機數(shù)作為秘密值，將秘密值與從KGC 接收的部分私鑰結(jié)合，生成簽名用戶的私鑰，簽名用戶根據(jù)私鑰計算得到公鑰。

5) Verify。該算法由驗證者V執(zhí)行。首先驗證者V需要獲取系統(tǒng)公共參數(shù)mpk、n 個簽名用戶的身份標識IDi、用戶公鑰pki和消息mi的組合順序列表以及最終的完整簽名σn。然后驗證者V進行驗證計算，并以一個判定∈{真,假}作為輸出，當且僅當輸出為真時簽名有效。

3.2 無證書有序聚合簽名方案安全模型

Shim[21]提出一種無證書簽名方案的安全模型，被廣泛用于無證書簽名方案的安全證明。該模型中存在2 種類型的攻擊者：1) 攻擊者A1，其實質(zhì)為惡意的參與用戶，被賦予的能力為可以替換用戶的公鑰，但不能獲知系統(tǒng)主私鑰；2) 攻擊者A2，其實質(zhì)為惡意的KGC，被賦予的能力為可以獲知系統(tǒng)主私鑰，但不能替換用戶的公鑰。本文定義無證書有序聚合簽名方案的安全模型可以通過挑戰(zhàn)者D和攻擊者 A∈(A1,A2)之間的攻擊游戲來定義，其安全模型具體如下。

1) 系統(tǒng)參數(shù)設(shè)置。挑戰(zhàn)者D運行算法Setup，輸出系統(tǒng)公共參數(shù)mpk 和主密鑰msk，得到系統(tǒng)參數(shù)para 和系統(tǒng)主密鑰。如果 A=A1，D將系統(tǒng)公共參數(shù)發(fā)送給攻擊者A；如果 A=A2，D將系統(tǒng)公共參數(shù)和主密鑰發(fā)送給A。

2) 詢問。假設(shè)攻擊者A能攻破k個簽名者，即A能知道k個簽名者的私鑰并能偽造他們的部分簽名。攻擊者A為了獲得未被攻破簽名者的部分簽名，向挑戰(zhàn)者D發(fā)起一系列的詢問，包括散列詢問、密鑰生成詢問（只適用于攻擊者A1）和簽名詢問，并得到輸出。

3) 偽造。攻擊者輸出簽名者集合Ni(i=1,2,…,n)對消息m*的聚合簽名σn，若滿足以下條件，則攻擊成功。

①攻擊者A未對 m*執(zhí)行部分簽名詢問。

若上述條件全部成立，則D挑戰(zhàn)成功，輸出結(jié)果；否則挑戰(zhàn)失敗，不輸出結(jié)果。

通過采用上述安全模型，可以檢驗無證書聚合簽名是否能抵抗兩類攻擊者A1和A2的攻擊，從而確認方案的安全性。Horng 等[11]為車聯(lián)網(wǎng)引入無證書聚合簽名方案，但該方案不能抵抗A2的攻擊。Cui等[22]為車聯(lián)網(wǎng)引入不采用雙曲線配對的無證書聚合簽名方案，但該方案不能抵抗A2的攻擊。Kamil等[14]提出的無證書聚合簽名方案能提供隱私保護，但該方案不能抵抗A1和A2的攻擊。本文提出的無證書有序聚合簽名方案可以同時抵抗A1和A2的攻擊。

4 無證書有序聚合簽名方案

4.1 方案描述

本節(jié)采用橢圓曲線密碼體制提升方案安全性，基于雙線性映射支持方案的計算特性，設(shè)計一種無證書有序聚合簽名方案。設(shè)某條有序聚合簽名在網(wǎng)絡(luò)傳輸路徑上的順序為N1→N2→ …→Nn，其中簽名用戶Ni對傳輸消息mi進行聚合簽名，用戶Ni(1≤i＜n)的身份信息為 IDi∈{0，1}*(1≤ i＜n)。本文方案包含5 個多項式時間算法，具體介紹如下。

1) Setup。該算法由KGC 發(fā)起執(zhí)行。首先選取隨機正整數(shù)k作為安全參數(shù)，返回系統(tǒng)參數(shù)并將主私鑰保存在KGC 中。KGC 執(zhí)行以下步驟。

①選擇由橢圓曲線上的點構(gòu)成的階為素數(shù)p的加法循環(huán)群(G ,+)和階為p的乘法循環(huán)群(GT,×)，雙線性映射 e :G × G →GT。

②g 為G的一個生成元。

2) Partial-Private-Key-Extract Phase。該算法由KGC 執(zhí)行。首先，KGC 從用戶數(shù)據(jù)庫中獲取簽名用戶身份標識IDi，如果數(shù)據(jù)庫中沒有相關(guān)用戶的數(shù)據(jù)，則數(shù)據(jù)庫先向各個簽名用戶發(fā)送請求，獲取用戶身份標識IDi并保存到數(shù)據(jù)庫中。然后，KGC計算并將其作為部分私鑰發(fā)送給各個簽名用戶。

③信任路徑上的節(jié)點N1,N2,…,Nn依次完成對信息m的有序聚合簽名σ，并將簽名用戶的身份標識IDi、用戶公鑰pki、消息mi的組合順序列表以及最后完整簽名σn存儲到文件中，完成此簽名算法。

5) Verify。查詢節(jié)點在收到用戶的查驗請求后，會接收由各個簽名用戶計算完成并在非安全通道中流轉(zhuǎn)的信息。此時，查詢節(jié)點首先會提取存儲文件的相關(guān)信息，包括簽名用戶的身份標識IDi、用戶公鑰pki、消息mi的組合順序列表Ln=以及最后完整簽名σn。若要對聚合簽名的真?zhèn)芜M行驗證，則執(zhí)行以下步驟。

①首先，對查驗環(huán)境進行檢測。若查驗環(huán)境網(wǎng)絡(luò)良好，則將相關(guān)的信息發(fā)送給服務(wù)器，相關(guān)算法在服務(wù)器端進行；若查驗環(huán)境處于節(jié)點緩存能力與網(wǎng)絡(luò)資源受限的容遲網(wǎng)絡(luò)，則根據(jù)相關(guān)的信息在本地終端上進行驗證。

② 然后，確定正確的簽名順序IDi用于驗證。根據(jù)順序列表，判斷列表中每個用戶身份標識IDi是否存在重復(fù)的情況，若存在則停止驗證，簽名驗證失敗。

③計算

若式(1)成立，則可以確認各參與方按照指定的順序進行了信息的傳遞，并且在信息流轉(zhuǎn)的過程中并沒有受到惡意節(jié)點篡改和第三方攻擊。若式(1)不成立，則證明簽名中間過程存在攻擊，簽名驗證失敗。

因為檢驗所需要的信息都存儲在相關(guān)文件中，所以在查驗系統(tǒng)獲取了系統(tǒng)公共參數(shù)后，根據(jù)查驗步驟就可以判斷簽名的合法性，而不需要與其他系統(tǒng)進行交互。在離線狀態(tài)或者處于節(jié)點緩存能力與網(wǎng)絡(luò)資源受限的容遲網(wǎng)絡(luò)時，也可以對簽名的合法性進行驗證。

4.2 正確性證明

證明 假設(shè)基于無證書的有序聚合簽名σn=(σa,σb,σc)是由上述簽名方案得到的，則必然滿足

5 安全性分析

定義2對于無證書有序聚合簽名方案，本文假設(shè)攻擊者A在隨機預(yù)言機模型下能獲知所有n個簽名成員中第 k(1≤k＜n)個簽名者的私鑰。當挑戰(zhàn)者D能以超過ε 的概率在時間t內(nèi)參與攻擊游戲，并在游戲中輸出結(jié)果，則稱A以(ε,qh,qk,qp,qv,qc,qs,(n, k ),t)攻破該方案。其中，A至多做qh次散列詢問、qk次部分私鑰詢問、qp次公鑰詢問、qv次秘密值詢問、qc次公鑰替換詢問和qs次簽名詢問。

定義3一個無證書有序聚合簽名方案在適應(yīng)性選擇消息攻擊下是(ε,qh,qk,qp,qv,qc,qs,(n, k ),t)不可偽造的，當且僅當不存在敵手A時可利用概率多項式時間攻破該方案。

定義4在本文方案中，如果存在敵手A1和A2以不可忽略的概率在游戲1 和游戲2 中獲勝，則該方案在適應(yīng)性選擇消息下不可偽造。

定理1在隨機預(yù)言模型下，如果存在敵手A1能夠在時間t內(nèi)進行H1詢問、H2詢問、H3詢問、密鑰生成詢問和簽名詢問，然后以不可忽略的概率ε 偽造出簽名，那么存在一個算法B能夠在時間內(nèi)，以 ε′≥的優(yōu)勢解決CDH 問題，其中 tsm表示群上標量乘法的計算時間。

證明A1是攻擊者，首先，挑戰(zhàn)者D輸入安全參數(shù)K運行算法Setup，得到系統(tǒng)參數(shù)mpk 和主密鑰s，D保留s，發(fā)送系統(tǒng)參數(shù)給A1。D 需要維護表H1-list、H2-list、H3-list、ID-list、PK-list，并需要對H1、H2、H3進行散列詢問、部分私鑰詢問、公鑰詢問、秘密值詢問、公鑰替換詢問和簽名詢問，各表均初始化為空。D 與A1模擬過程中，A1可以詢問以下預(yù)言機。

因此，D解決了CDH 問題。

進一步，D成功解決CDH 問題的概率可以轉(zhuǎn)化為

為了完善這個證明，接下來對B的成功可能性ε ′進行分析。

詢問過程在以下3 個場景下會失敗退出。1) 在進行部分私鑰詢問時，如果IDi(h)不存在于H1-list 和H2-list中，則失敗退出。2) 在進行簽名詢問時，如果IDi(h)不存在于H1-list和H2-list中，則失敗退出。3) 在輸出階段，有且僅有一個不存在于H1-list和H2-list中，其他都存在于H1-list和H2-list中，否則失敗退出。成功率的計算方式為

證畢。

定理2在隨機預(yù)言模型下，如果存在敵手A2能夠在時間t內(nèi)進行H1詢問、H2詢問、H3詢問、密鑰生成詢問和簽名詢問，然后以不可忽略的概率ε 偽造出簽名，那么存在一個算法B能夠在時間t′＜ t+(qh+qk+qp+qv+qc+qs)tsm內(nèi) 以 ε′≥的優(yōu)勢解決CDH 問題，其中 tsm表示群上標量乘法的計算時間。

證明過程與定理1 相同，此處不再贅述。

6 效率分析

為了更好地評估有序聚合簽名方案，本文還考慮了協(xié)議的計算開銷等效率問題。本文將簽名的生成和查驗分為單個簽名生成、聚合簽名生成和聚合簽名驗證這3 個部分。不同方案計算時間開銷對比如表1 所示。由表1 可知，本文方案在聚合簽名生成部分具有明顯優(yōu)勢。因為本文方案中每個用戶需要在上一輪簽名的基礎(chǔ)上進行計算，簽名的計算開銷也分擔到每個用戶的計算中，為聚合節(jié)點分擔了計算開銷，所以本文方案具有更高的計算效率，并且適合在多用戶參與的應(yīng)用環(huán)境下使用。為了便于比較，本文將雙線性對運算時間記為BP，橢圓曲線G上的標量點乘運算時間記為SM，G上的標量點加運算時間記為P，GT上的乘法運算時間記為E，多個用戶參與時間開銷記為n。

表1 不同方案計算時間開銷對比

為了更加直觀地展示本文方案與多種聚合簽名方案在聚合簽名生成階段和聚合簽名驗證階段的時間開銷問題，本節(jié)對其進行了仿真實驗。實驗環(huán)境為Intel E-2288G CPU，頻率為3.7 GHz，內(nèi)存為128 GB，采用PBC 函數(shù)庫。聚合簽名生成和驗證時間開銷與消息數(shù)量的關(guān)系如圖2 所示。由圖2可知，本文方案在聚合簽名生成和驗證時間開銷方面具有顯著的優(yōu)勢，相比于已有聚合簽名方案，本文方案與文獻[28]方案均大幅降低了聚合簽名和驗證時間開銷。

圖2 聚合簽名生成和驗證時間開銷與消息數(shù)量的關(guān)系

7 結(jié)束語

對于多用戶參與的分布式場景，本文方案在安全性和計算通信開銷方面比普通簽名方案更具優(yōu)勢。在安全性方面，本文方案不僅解決了證書分發(fā)和管理以及密碼托管的安全問題，還確保了簽名方案是存在性不可偽造的，并且添加了順序安全約束，確保消息流轉(zhuǎn)的順序性。在效率方面，相比于完全聚合簽名，有序聚合簽名在每個節(jié)點都是在上一輪簽名的基礎(chǔ)上聚合了本輪簽名，因此每個簽名節(jié)點都分擔了計算開銷，減輕了單個聚合節(jié)點的負擔；與同類的無證書聚合簽名相比，本文方案聚合簽名生成和驗證時間開銷更低，具有明顯的優(yōu)勢。總體來看，本文方案具有可證明安全、通信代價小、計算成本低和驗證時間短等優(yōu)點，并且可在離線狀態(tài)或者處于節(jié)點緩存能力與網(wǎng)絡(luò)資源受限的容遲網(wǎng)絡(luò)中進行查驗，更適合多用戶參與簽名的網(wǎng)絡(luò)環(huán)境。