安全高效的無證書簽密方案

蘇靖楓 柳菊霞

摘要：已有的無證書簽密方案大都存在安全性及通信效率等方面的問題。通過對現有研究成果的分析，該文提出了一種安全高效的無證書簽密方案。新方案無須借助安全信道生成秘鑰，通信復雜度較低。安全性分析表明，在隨機預言模型下，新方案可以抵抗兩類敵手的偽造攻擊。性能分析表明，新方案在簽密和解簽密算法中僅需要九次點乘運算，具有較高的效率。

關鍵詞：無證書;簽密;隨機預言模型

中圖分類號：TP309 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）13-0024-04

在公鑰基礎設施（Public Key Infrastructure，PKI）中，為了保證用戶網上交易的安全性，用戶必須擁有自己的數字證書，而數字證書的生成、發放和管理由第三方機構（證書機構）負責完成。一旦用戶量增大，證書管理將會消耗大量的系統資源。1984年，Shamir提出了一種基于身份的密碼體制[1]，用戶的公鑰由標識用戶身份的信息實現。然而，由于KGC（Key Generation Center）生成用戶的私鑰，用戶的簽名很容易被惡意的KGC偽造。為了解決上述問題，2003年，AI-riyami等人[2]第一次提出了一種無證書公鑰密碼系統，KGC僅生成用戶的部分私鑰，用戶的私鑰由部分私鑰和用戶自己隨機選擇的秘密值共同組成。這樣不僅解決了基于身份的密碼體制存在的密鑰托管問題，而且克服了傳統公鑰密碼體制存在的證書管理問題。

在具體應用中，為了實現保密和認證兩個安全目標，傳統方式通常會對消息先簽名后加密。1997年，簽密的概念與具體的簽密方案被Zheng[3]首次提出，簽密方案具有計算量少、效率高的優勢。2008年，Barbosa等人[4]提出了第一個無證書簽密方案，該方案同時具有無證書密碼體制和簽密方案的優點，但存在可擴展偽造攻擊威脅。隨后，兩種不同的無證書簽密方案相繼被Aranha等人[5]和Wu等人[6]分別提出，但兩種方案都存在安全保密性問題[7]。在2010年，一種標準模型下的無證書簽密方案被Liu等人[8]提出，但面對惡意且被動的KGC時，方案存在安全風險[9]。

分析表明，以上提到的無證書簽密機制存在各種安全問題，并且都使用了雙線性對操作。因此，安全高效的無證書簽密機制成為新的研究熱點。文獻[10-11]指出進行一次雙線性對操作花費的時間大約是橢圓曲線上點乘運算的21倍。因此，無雙線性配對的無證書簽密方案更有效。一種無雙線性對操作的無證書簽密方案被Barreto等人[12]提出，但文獻[13]指出該方案不能抵抗類型I敵手的攻擊。為改進性能，Xie等人[14]提出了一種不含雙線性對運算的無證書簽密方案，盡管與Barreto等人[12]提出的方案相比，具有較高的效率，但該方案需要驗證用戶公鑰，違背了無證書密碼體制的思想。隨后，幾種新的無雙線性對的無證書簽密方案相繼被提出[15-19]。但文獻[18]指出文獻[15]中的方案不能抵抗類型I敵手的偽造攻擊，而文獻[16]中的方案在面對不誠實的KGC時存在安全風險，并且在秘鑰生成階段，已有的無證書簽密方案均需要借助安全信道。因此，有必要設計出安全高效的無證書簽密方案以適應目前網絡環境下對簽密算法的需求。

在文獻[15]方案的基礎上，本文提出一種安全高效的無證書簽密方案。該方案基于無證書簽密模型[20]，在隨機預言模型下，被證明是安全的，并且秘鑰生成無須借助安全信道，性能效率分析較為理想。

1計算困難問題

1）計算Diffie-Hellman困難問題（ComputationalDiffie-Hellman Problem，CDHP）：設G是一個階為q的加法循環群，P是它的一個生成元，給定[aP，bP∈G]，對任意未知的[a，b∈z?q]，計算[abP]。

2）離散對數問題（Discrete Logarithm Problem，DLP）：設G是一個循環群，階為q，P是它的一個生成元，給定[P，aP∈G]，對任意未知的[a∈z?q]，計算a。

2無雙線性對的無證書簽密方案

本文提出一個無雙線性對的無證書簽密方案，具體實現過程如下。

1） 系統參數的建立

輸入一個安全參數k，生成大素數p和q，且兩者滿足q∣p-1。G是橢圓曲線上的一個循環群，P是G中任意一個階為q的生成元，選擇[H1：0，1?×G→Z?q]，[H2：0，1?→Z?q]和[H3：G→Z?q]三個安全的哈希函數，明文可為任意比特長度的消息m， KGC隨機選擇[z∈Z?q]作為主密鑰秘密保存，并計算系統公鑰[Ppub=zP]，最后公開系統參數[（p，q，Ppub，H1，H2，H3）]。

2）生成用戶密鑰

用戶[IDi]隨機選取一個秘密值[xi∈Z?q]，并計算[Xi=xiP]，然后將[Xi]發送給KGC。KGC收到[Xi]后，隨機選擇[ri∈Z?q]，并計算[Ri=riP]、[di=ri+zH1（IDi，Ri，Xi）+H3（zXi）]，然后將[（Ri，di）]發送給[IDi]，此階段用戶和KGC通信無須借助安全信道。

用戶[IDi]收到[（Ri，di）]后，首先通過驗證等式[Ri+PpubH1（IDi，Ri，Xi）+PH3（xiPpub）=diP]是否成立，確保接收的信息是有效的。然后計算自己的部分私鑰[Di=di-H3（xiPpub）]。另外，KGC可以計算出用戶[IDi]的部分私鑰[Di=ri+zH1（IDi，Ri，Xi）]，而其他任何人要想通過[Ppub=zP]和[Xi=xiP]計算出[zxiP]，則要面臨CDHP困難問題。

這樣，用戶A的私鑰為[SKA=（DA，xA）]，公鑰為[PKA=（RA，XA）]，用戶B的私鑰為[SKB=（DB，xB）]，公鑰為[PKB=（RB，XB）]。

3）簽密

用戶A選取隨機數[a∈Z?q]，計算[TA=aXB/xA]、[h=H2（TA，IDA，IDB，m）]和[s=a/（xA（xA+DA+h））]得到簽名[（h，s）]，接著計算[h1=H1（IDB，RB，XB）]、[VA=a（XB+RB+h1Ppub）/xA]和[C=H3（VA）⊕m]，發送簽密消息[σ=（h，s，C）]給用戶B。

4） 解密驗證

收到密文[σ]后，用戶B計算[h1′=H1（IDA，RA，XA）]，[VB=s（xB+DB）（XA+RA+h1′Ppub+hP）]，恢復出消息[m=H3（VB）⊕C]。然后驗證等式（1）是否成立，如果等式成立，用戶B就接受消息m 。

[h=H2（sxB（XA+RA+h1′Ppub+hP），IDA，IDB，m）] ? ?（1）

3方案分析

3.1 正確性

1） 驗證簽名的正確性

[sxB（XA+RA+h1′Ppub+hP）]

[=（a/（xA（xA+DA+h）））×（xA+rA+h1′z+h）XB]

[=（a/（xA（xA+DA+h）））×（xA+DA+h）XB]

[=aXB/xA]

[=TA]

因此，等式（1）成立，簽名驗證通過。

2） 驗證消息的正確性

[VB=s（xB+DB）（XA+RA+h1′Ppub+hP）]

[=（a/（xA（xA+DA+h）））（xB+DB）（xA+rA+h1′z+h）P]

[=（a（xB+DB）P）/xA]

[=（a（XB+RB+h1Ppub））/xA]

[=VA]

已知有[C=H3（VA）⊕m]，因此可由[H3（VB）⊕C]恢復出消息[m]。

3.2 安全性分析

接下來在隨機預言模型下給出本文方案的安全性證明。

定理1（類型[Ι]攻擊下的方案保密性）假設存在一個敵手[A1]能夠在概率多項式時間內以優勢[ε]在定義1[15]中的游戲中獲勝（最多[qi]次[Hi]詢問（i=1，2，3），[qs]次簽密詢問，[qun]次解簽密詢問），挑戰者Q則能夠在概率多項式時間內以[AdυIND-CCA2（A1）]≥[（ε/q13）（1-qs（2q2+q3+2qs）/2k）（1-qun/2k）]的優勢解決CDH問題。

證明：假設Q是挑戰者，其通過輸入（uP， vP），利用[A1]解決CDH問題，即計算出uvP。Q設置[y=uP]，遵照游戲規則，Q需要發送信息[（p，q，P，y，H1，H2，H3）]給[A1]。Q保存列表[L=（L1，L2，L3，LD，LSK，LPK，LS，LU）]，用來存儲[A1]對預言機[H1]、[H2]、[H3]、部分私鑰、私鑰、公鑰、簽密及解簽密等的詢問，列表L初始化為空。

[H1]詢問：列表[L1]的格式為[（ID，R，X，h1，c）]，當收到[A1]對[H1（IDi，Ri，Xi）]的詢問時，如果列表中存在[（ID，R，X，h1）]，Q就將相應的值返回給[A1];否則，Q將隨機選擇[c∈{0，1}]，其中[Pr[c=1]=δ]，當[c=0]時，Q隨機選擇[h1∈Zq?]，在列表[L1]中加入[（ID，R，X，h1，c）]，并返回[h1]給[A1];當[c=1]時，令[h1=k]，并返回[k]給[A1]。

[H2]詢問：列表[L2]的格式為[（IDA，IDB，T，m，h2）]，當收到[A1]對[H2（IDA，IDB，T，m）]的詢問時，如果列表中存在[（IDA，IDB，T，m，h2）]，Q就將相應的值返回給[A1];否則，Q隨機選擇[h2∈Zq?]，在列表[L2]中加入[（IDA，IDB，T，m，h2）]，并返回[h2]給[A1]。

[H3]詢問：列表[L3]的格式為[（V，h3）]，當收到[A1]對[H3（V）]的詢問時，如果列表中存在[（V，h3）]，Q就將相應的值返回給[A1];否則，Q隨機選擇[h3∈Zq?]，在列表[L3]中加入[（V，h3）]，并返回[h3]給[A1]。

部分私鑰提取詢問：如果列表[LD]中存在[（ID，D，R）]，就將相應的值返回給[A1];否則，Q隨機選擇[D，h1∈Zq?]，計算[R=DP-h1y]，在列表[LD]中加入[（ID，D，R）]，列表[L1]中加入[（ID，R，h1）]，并返回[（R，D）]給[A1]。

私鑰提取詢問：如果列表[LSK]中存在[（ID，D，x）]，就返回給[A1];否則，Q從列表[LD]中獲取[D]，并隨機選擇[x∈Zq?]，然后在列表[LSK]中加入[（ID，D，x）]。

公鑰提取詢問：列表[LPK]的格式為[（ID，R，X，c）]，當收到[A1]對[（ID，R，X）]的詢問時，如果列表中存在[（ID，R，X）]，Q就將相應的值返回給[A1];否則，Q查詢列表[LD]和[LSK]，計算[Xi=xiP]，在列表[LPK]中加入[（ID，R，X）]，并將[R，X]返回給[A1]。如果列表[LD]和[LSK]中不存在，Q就查詢列表[L1]：若[c=1]，Q隨機選擇[r，x∈Z?q]，計算[R=rP]，[X=xP]，在列表[LPK]中加入[（ID，R，X，c）]，并返回[R，X];若[c=0]，則執行部分私鑰提取詢問，獲得[R，D]，Q隨機選擇[x∈Zq?]，在列表[LSK]中加入[（ID，D，x）]，列表[LPK]中加入[（ID，R，X，c）]，并返回[（R，X）]。

公鑰替換詢問：[A1]可以選擇一個新公鑰將簽名者[ID]的公鑰替換。

簽密詢問： Q從列表[LPK]中查詢[（IDB，RB，XB，c）]，若[c=1]，則放棄;否則，Q首先查詢列表[（IDA，DA，xA）]，接著隨機選擇[a∈Zq?]，然后計算[TA=aXB/xA]，[h1=H1（IDB，RB，XB）]，[h=H2（TA，IDA，IDB，m）]，[s=a/（xA（xA+DA+h））]，[V=a（XB+RB+h1Ppub）/xA]，完成簽密[C=H3（V）⊕m]，最后將簽密消息[σ=（h，s，C）]返回給用戶[A1]。

解簽密詢問：Q在列表[LPK]中查詢[IDA]：①如果[IDA]存在且[c=0]，Q就接著在列表[LSK]中查詢[（IDB，DB，xB）]的值，在列表[L1]中查詢[（IDA，RA，XA，h1′）]的值，并利用掌握的信息計算[V=s（xB+DB）（XA+RA+h1′Ppub+hP）]，[T=sxB（XA+RA+h1′Ppub+hP）]，[m=H3（V）⊕C]，若等式[H2（T，IDA，IDB，m）=h]成立，則返回[m]，否則終止模擬;②如果[IDA]存在且[c=1]，Q就接著在[L1]中查詢[（IDA，RA，XA，h1′）]是否存在，若存在[（m，IDA，IDB，T，h2）∈L2]，[（V，h3）∈L3]，則返回[m]，否則終止模擬;③如果列表[LPK]中不存在[IDA]（即公鑰被替換掉），Q就從列表[L1]中查詢[（IDA，RA，XA，h1′）]，若存在[（m，IDA，IDB，T，h2）∈L2]和[（V，h3）∈L3]，則返回[m]，否則終止模擬。

對上述詢問過程執行概率多項式次數之后，[A1]確定希望接受挑戰的兩個身份[（IDA，IDB）]和長度相同的兩個不同明文[（m0，m1）]。若[c=0]，則終止模擬;否則，Q隨機選擇[a，h?∈Zq?]，[b∈{0，1}]，設[T=υP]，接著計算[h1=H1（IDB，RB，XB）]，[h=H2（T，IDA，IDB，m）]，偽造出挑戰密文[σ?=（h?，s?，C?）]，然后發送給[A1]。執行第一階段相同的詢問，[A1]經過概率多項式次數查詢后，輸出[b]作為對[b]的猜測。如果[b=b]，由于Q知道替換過的公鑰，那么Q可以輸出[（V-XBT-RBT）×（1/k）=uυp]，其中[V=T（RB+XB+（h1y）/P）]，作為CDH問題的答案;否則，Q沒能解決CDH問題。

若[A1]對[IDB]執行過部分私鑰詢問或私鑰詢問，則Q挑戰失敗，[A1]不執行這種查詢的概率不少于[1q21];如果[A1]對[V]執行過[H1]詢問，那么Q挑戰失敗，[A1]不執行這種查詢的概率大于[1q1];考慮到[H2]、[H3]存在的碰撞問題，在執行簽密詢問時，Q終止其行為的概率為Pr1≤[qs（2q2+q3+2qs）/2k];Q拒絕有效密文的概率為Pr2≤[Pr2qun/2k]。據此，可計算得出Q能以[AdυIND-CCA2（A1）]≥[（ε/q13）（1-qs（2q2+q3+2qs）/2k）（1-qun/2k）]的優勢解決CDH困難問題。

定理2（類型[ΙΙ]攻擊下的方案保密性）假設存在一個敵手[A2]可以在概率多項式時間內以優勢[ε]在定義2[15]中的游戲中獲勝（設最多[qi]次[Hi]詢問（i=1，2，3）），挑戰者Q則能夠在概率多項式時間內以[ε/q13]的優勢解決CDH困難問題。

證明：假設Q是挑戰者，其通過輸入（uP， vP），利用[A2]解決CDH問題，即計算出uvP。敵手[A2]知道定理1中給定的所有條件和系統主密鑰[z]。[A2]僅僅不能執行定理1中的公鑰替換詢問和部分私鑰提取詢問，并且除公鑰提取詢問之外，其他詢問的方法同定理1。

公鑰提取詢問：列表[LPK]的格式為[（ID，R，X）]，收到[A2]對[（ID，R，X）]的詢問時，如果列表中存在[（ID，R，X）]，Q就將相應的值返回給[A2];否則，Q查詢列表[LD]和[LSK]，則可以得到R和x，計算[X=xP]，將[（ID，R，X）]加入列表[LPK]中，并將[R，X]返回給[A2]。如果列表[LD]和[LSK]中不存在，Q就查詢列表[L1]：若[c=1]， Q隨機選擇[x∈Z?q]，設[R=uP]，計算[X=xP]，在列表[LPK]中加入[（ID，R，X）]，并返回[R，X];若[c=0]，則執行部分私鑰提取詢問，獲得[R，D]，Q隨機選擇[x∈Zq?]，在列表[LSK]中加入[（ID，D，x）]，計算[X=xP]，在列表[LPK]中加入[（ID，R，X）]，返回[（R，X）]給[A2]。

對上述詢問過程執行概率多項式次數之后，敵手[A2]輸出希望接受挑戰的兩個身份[（IDA，IDB）]和長度相同的兩個不同明文[（m0，m1）]。Q首先在表[L1]中查詢[（IDB，RB）]，若[c=0]，終止模擬;否則，Q將對[IDB]執行公鑰提取詢問，確保[xB]已被保存，然后選擇隨機數[a，h?∈Zq?]，[b∈{0，1}]，設[T=υP]，接著計算[h1=H1（IDB，RB，XB）]和[h=H2（T，IDA，IDB，m）]，從而偽造出挑戰密文[σ?=（h?，s?，C?）]，并發送給[A2]。執行第一階段相同的詢問，[A2]經過概率多項式次數查詢后，輸出[b]作為對[b]的猜測。如果[b=b]，由于Q知道系統主密鑰z，那么Q可以輸出[V-xBT?kzT=uυp]，其中[V=（T（RB+XB+（h1y））/P]，作為CDH困難問題的答案;否則，Q沒能解決CDH問題。

若[A2]對[IDB]執行過部分私鑰詢問或私鑰提取詢問，則Q挑戰失敗，敵手[A2]不執行這種詢問的概率不少于[1q21];如果[A2]對[V]執行過[H1]詢問，那么Q挑戰失敗，[A2]不執行這種查詢的概率不少于[1q1]。因此，可計算得出Q能夠以[AdυIND-CCA2（A2）]≥[ε/q13]的優勢解決CDH困難問題。

定理3（類型[Ι]，[ΙΙ]攻擊下的方案不可偽造性）假設存在一個敵手[A1]（或者[A2]）可以在概率多項式時間內以優勢[ε]≥[10（qs+1）（qs+q2）/2k]在定義3[15]或定義4[15]中的游戲中獲勝（設最多[qi]次的[Hi]詢問（i=1，2，3），[qs]次的簽密提問），挑戰者Q則能夠在概率多項式時間內以1/9[q1]的優勢解決DL問題。

證明：假設Q是挑戰者，其通過輸入（P， uP），利用[A1]（或[A2]）解決DL困難問題，即計算出u。對于類型[Ι]攻擊者[A1]，Q設置[y=uP]，對于類型[ΙΙ]攻擊者[A2]，Q設置[y=zP]（[z]的值已知）。

對于類型[Ι]敵手[A1]，執行的詢問同定理1;對于類型[ΙΙ]敵手[A2]，執行的詢問同定理2。

對上述詢問過程執行概率多項式次數之后，敵手[A1]（或[A2]）隨機選擇兩個數[a，s?∈Z?q]，計算[T?=aP]，[h1′=H1（IDB，RB，XB）]，[h=H2（T?，IDA，IDB，m）]，從而得到一個偽造的簽密消息[σ?=（h?，s?，C?）]，這里假設[IDA]為發送者，[IDB]為接收者，[m?]為消息。Q首先在列表[LPK]中查詢[IDA]，若c=0，終止模擬;否則，Q接著計算[VB?=s?（xB+DB）（XA+RA+h1′Ppub+hP）]（Q能獲得[IDB]的完整私鑰），對[VB?]作[H3]詢問獲得[h3?]，使用[h3?]解密[C?]獲得[m?]，如果敵手[A1]（或[A2]）的偽造是正確的，那么由分叉引理可獲得兩個合法的簽名[（m?，IDA，IDB，T?，h，s1）]和[（m?，IDA，IDB，T?，h，s2）]，其中[h≠h]，進而可以計算獲得：[T?=aP=s1xA（xA+DA+h）P]和[P=s2xA（xA+DA+h）P]，得到等式[s1（xA+DA+h）=s2（xA+DA+h）]。

對于類型[Ι]敵手即是：

[s1（xA+rA+uk+h）=s2（xA+rA+uk+h）]，其中，[k=h1=H1（IDA，RA，XA）]，此式中只有[u]未知，于是可求出[u]。

對于類型[ΙΙ]敵手即是：

[s1（xA+rA+zk+h）=s2（xA+rA+zk+h）]，其中，[k=h1=H1（IDA，RA，XA）]，由于此式中只有[rA]是未知的，并且在公鑰提取詢問中設置有[R=rAP=uP]，因此只要求出[rA]即可得到[u]的值。

選擇[IDA]為挑戰身份的概率為[1q1]，使用預言重放技術產生不少于兩個的有效密文時，Q失敗的概率小于1/9。因此，挑戰者Q解決DL困難問題的優勢為1/9[q1]。

4性能分析

盡管國內外學者針對雙線性對運算的復雜性問題做了大量研究工作，但是目前雙線性對運算效率仍然比較低。文獻[10-11]中的實驗結果表明，進行一次雙線性對操作耗時約為20ms，分別約為指數運算、點乘運算和模冪運算7倍、21倍和2倍。在表1中，針對方案簽密階段和解密驗證階段的計算量及方案安全性兩方面，對本文方案和現有的典型方案進行了比較。其中，指數運算標識為E、模冪運算標識為ME、點乘運算標識為M、雙線性對運算標識為P。與前面四種運算相比，雜湊函數運算和異或運算的耗時較少，對方案整體性能的影響可以忽略不計。

從表1可以看出，文獻[4-5]的方案需要進行復雜的雙線性對運算，文獻[13]的方案需要進行較多的指數運算，文獻[15]的方案和本文方案僅僅需要進行點乘運算。綜合以上方案的比較，本文方案是可以證明安全的，并且與現有最優無證書簽密方案的效率相當。

5 結論

無證書簽密方案在簽密階段將傳統的簽名和加密兩個步驟進行了合并，并借助于無證書密碼體制的優勢，大大降低了計算復雜度和通信代價。本文設計了一個安全高效的無證書簽密方案。方案不僅不需要進行復雜的雙線性對運算和指數運算，而且基于CDHP困難假設，在隨機語言模型下方案被證明能夠抵抗兩類敵手下的偽造攻擊，同時私鑰的生成過程不需要借助安全信道?；谝陨蟽瀯?，該方案適用于計算資源和網絡帶寬受限的簽密應用環境。

參考文獻：

[1] Shamir A. Identity-based cryptosystems and signature schemes [C] // Proceeding of Crypto84， LNCS，Berlin： Springer-verlag， 1984，196：47-53.

[2] Al-riyami S， Paterson K. Certificateless public key cryptography [C] // Proceedings of the Asiacrypt03，LNCS，Berlin： Springer-verlag， 2003，2894：452-473.

[3] Zheng Y. Digital signcryption or how to achieve cost （signature & encryption） << cost （signature） + cost （encryption） [C] // Proceedings of Advances in Crypto97，LNCS.1294， Berlin： Springer-verlag，1997：165-179.

[4] Barbosa M， Farshim P. Certificatelesssigncryption[C] //Proceeding of ASIACCS2008.ACM， 2008：369-372.

[5] Aranha D，Castro R， Lopez J， et al. Efficient certificatelesssigncryption[EB/OL].[2015-10-10].http： //sbseg 2008.inf. ufrgs. br/ proceeding gs/data/pdf/st03_01_resumo.pdf.

[6] Wu C， Chen Z. A new efficient certificatelesssigncryption scheme[C]//2008 International Symposium on Information Science and Engineering， 2008： 661-664.

[7] Sharmila D S， Vivek S S， Pandu R C. On the security of certificatelesssigncryption schemes[EB/OL].[2015-10-10].http：//epri nt. iacr. org/2009/ 298. pdf.

[8] Liu Z H， Hu Y P，Zhang X S， et al. Certificatelesssigncryption scheme in the standard model[J]. Information Sciences， 2010， 180（3）：452-464.

[9] Weng J， Yao G， Deng R H， et al. Cryptanalysis of a certificateless signcryption scheme in the standard model[J]. Information Sciences， 2011， 181（3）： 661-667.

[10] Cao X， Kou W， Du X. A pairing-free identity-based authenticated key agreement scheme with minimal message exchanges [J]. Information sciences， 2010，180 （6）：2895-2903.

[11] Chen L， Cheng Z， Smart N P. Identity-based key agreement protocols from pairings[J]. International Journal of Information Security， 2007， 6（4）： 213-241.

[12] Barreto P S， Deusajute A M， Cruz E S， et al. Toward efficient certificateless signcryption from （and without） Bilinear pairings [EB/OL]. [2008-10-1]. http：/ /sbseg 2008. Inf . ufrgs. Br/anais/data/pdf/st03_03_artigo.pdf.

[13] Selvi S D， Vivek S S， Ragan C P. Cryptanalysis of certificateless signcryption schemes and an efficient construction without pairing [C] // Inscrypt 2009. 2010：75-92.

[14] Xie W J，Zhang Z. Certificateless signcryption without pairing. Cryptology eprint archive： Report 2010/187 [EB/OL]. [2015-10-10]. http：// eprint.iacr.org/2010/187.pdf.

[15] 劉文浩，許春香.無雙線性配對的無證書簽密方案[J].軟件學報，2011，22（8）：1918-1926.

[16] 夏昂，張龍軍.一種新的無雙線性對的無證書安全簽密方案[J].計算機應用研究，2014，31（2）：532-535.

[17] 趙振國.無證書簽密機制的安全性分析與改進[J].通信學報，2015，36（3）：129-134.

[18] 何德彪.無證書簽密機制的安全性分析[J].軟件學報，2013，24（3）：618-622.

[19] 周彥偉，楊波，張文政.可證安全的高效無證書廣義簽密方案[J].計算機學報，2016，39（3）：543-551.

[20] 柳菊霞，蘇靖楓.一個無證書簽密方案的密碼學分析[J].科技通報，2017，33（6）：174-178，241.

【通聯編輯：代影】