可公開驗證的高效無證書聚合簽密方案

陳虹，侯宇婷，郭鵬飛，周沫，趙菊芳，肖成龍

（1.遼寧工程技術(shù)大學(xué) 軟件學(xué)院，遼寧 葫蘆島 125105；2.汕頭職業(yè)技術(shù)學(xué)院 計算機系，廣東 汕頭 515078；3.汕頭大學(xué) 工學(xué)院，廣東 汕頭 515063）

0 概述

簽名和加密技術(shù)能夠保證數(shù)據(jù)傳輸?shù)陌踩耘c可靠性，但其開銷較大且效率較低。文獻［1］對傳統(tǒng)的“先簽名后加密”的方式進行優(yōu)化，并提出簽密，即加密和簽名同時實現(xiàn)，能夠保證信息安全傳輸，減少計算量和傳輸開銷。在密碼領(lǐng)域，研究人員對簽密進行研究，提出基于身份的簽密［2］、無證書簽密［3-5］、聚合簽密［6-8］、多接收者簽密［9-10］、廣義簽密［11］等具有特殊屬性的簽密方案。文獻［3］在無證書密碼環(huán)境下提出簽密方案，提高了計算效率和安全性。文獻［4］提出一種無證書簽密方案并驗證其安全性，在方案的設(shè)計中未涉及雙線性映射運算，具有較高的計算效率。但文獻［5］證明上述方案不滿足安全性，并給出具體的攻擊方案。

認證的消息越多，簽名方案的運算效率越低。聚合簽名［12-13］能夠?qū)Υ罅亢灻M行同步驗證。其中，基于無證書密碼環(huán)境設(shè)計的聚合簽名算法［14-16］，在計算量和通信開銷方面更具優(yōu)勢。文獻［16］提出一種無證書聚合簽名方案，為了降低用戶間的耦合度，該簽名方案僅使用公共參數(shù)和個人信息，使得在多對一的通信系統(tǒng)中，用戶可靈活地認證消息。與文獻［14］的簽名方案相比，文獻［16］的運算量約減少了1/2，有效應(yīng)用在資源有限的網(wǎng)絡(luò)環(huán)境中。文獻［17］提出一個高效的簽密方案，該方案將多個密文消息相聚合，提高傳輸效率。聚合簽密方案在實際應(yīng)用中對運算效率有很高的要求，但大多數(shù)方案都存在運算復(fù)雜［18-19］、效率低［20-21］的問題。文獻［22］將無證書簽密與聚合技術(shù)相結(jié)合提出一種無證書聚合簽密（CLASC）方案，具有較高的可靠性。文獻［23］提出更加高效的CLASC 方案，該方案采用雙線性映射運算，運算效率較高，但是安全性較低。文獻［24］提出高安全性的常數(shù)對CLASC 方案，并對文獻［23］的高效算法進行改進，在保證運算效率的前提下提高了安全性。文獻［25］將多接收者簽密應(yīng)用于異構(gòu)密碼體制中，設(shè)計一個異構(gòu)環(huán)境下的聚合簽密算法，雖然滿足隱私保護的需求，但是存在安全問題。文獻［26］指出文獻［25］方案存在的問題并對其算法進行優(yōu)化，提供了詳細的安全證明。文獻［27］將聚合簽名與加密技術(shù)應(yīng)用于全匿名區(qū)塊鏈中，解決了在比特幣區(qū)塊鏈系統(tǒng)中的隱私保護問題。文獻［28-30］提出聚合簽密的相關(guān)方案［31］，其性能滿足車載系統(tǒng)的需求，但運算效率還存在較大的提升空間。

本文在上述簽名方案基礎(chǔ)上，提出一種可公開驗證的高效CLASC 方案。在無證書的密碼環(huán)境中，采用雙線性映射運算將雙方身份信息隱藏在簽名和密文中，在保證簽密安全和提高效率的同時，能夠有效保護用戶隱私。基于隨機預(yù)言模型（Random Oracle Model，ROM）驗證本文方案同時滿足適應(yīng)性選擇密文攻擊下的不可區(qū)分性以及適應(yīng)性選擇消息攻擊下的不可偽造性。

1 相關(guān)基礎(chǔ)

1.1 雙線性映射

加法、乘法循環(huán)群分別表示為G1、G2，階都是素數(shù)q，P表示G1的生成元。雙線性映射e：（G1·G1）→G2的特性主要有以下3 個：1）雙線性，對于任意的Q∈G1，存在a、b∈，使e(aP，bQ)=e(P，Q)ab；2）非退化性，e(P，P)≠1；3）可計算性，對于任何的Q、R∈G1，e(Q，R)皆可計算。

1.2 困難問題

本文提出的簽密方案依賴以下數(shù)學(xué)困難問題，并且攻擊者無法在多項式時間內(nèi)攻破這些問題。

定義1（計算雙線性Diffie-Hellman（CBDH）問題）給定任意參數(shù)P、aP、bP、cP∈G1(a，b，c∈)，得出e(P，P)abc是困難的。

定義2（計算性Diffie-Hellman（CDH）問題）給定任意參數(shù)P、aP、bP∈G1(a，b∈)，得出a、b、P是困難的。

1.3 無證書聚合簽密方案

無證書聚合簽密方案的ui表示發(fā)送者，uj表示接收者，主要有9 個步驟：1）系統(tǒng)初始化，由密鑰生成中心（Key Generation Center，KGC）執(zhí)行，輸入初始化所需參數(shù)k，選擇系統(tǒng)參數(shù)parameters（公開）、主密鑰θ（不公開）；2）生成部分私鑰，由KGC 執(zhí)行，輸入身份信息ui，計算用戶部分私鑰Di，并將Di秘密傳送給用戶ui；3）生成秘密值，由用戶執(zhí)行，輸入身份信息ui，輸出秘密值xi∈；4）生成用戶私鑰，由用戶執(zhí)行，輸入身份信息ui、秘密值xi、用戶部分私鑰Di，輸出用戶私鑰ski；5）生成用戶公鑰，由用戶執(zhí)行，輸入身份信息ui、秘密值xi、系統(tǒng)公開參數(shù)parameters，輸出用戶公鑰pki；6）簽密，由用戶執(zhí)行，輸入ui、uj、parameters、私 鑰ski、公 鑰pkj、明文mi，輸出密文σi；7）聚合簽密，由聚合者執(zhí)行，輸入身份信息ui(1 ≤i≤n)的n個密文σi(1 ≤i≤n)，輸出聚合密文σ；8）解簽密，由用戶執(zhí)行，輸入uj、parameters、私 鑰skj、公 鑰pki、密文σi，得到明文mi并對mi進行驗證，若驗證成功，則將mi輸出，否則操作失敗；9）聚合解簽密，由用戶執(zhí)行，輸入聚合密文σ、系統(tǒng)參數(shù)parameters、用戶私鑰skj、用戶公鑰pki(1 ≤i≤n)，得到明文mi(1 ≤i≤n)并對mi(1 ≤i≤n)進行驗證，若驗證成功，則將mi(1 ≤i≤n)輸出，否則操作失敗。

1.4 無證書聚合簽密安全模型

根據(jù)文獻［15］刻畫的敵手類型，CLASC 系統(tǒng)將面臨敵手A1和敵手A2的攻擊。敵手A1扮演特殊的用戶，不能獲知系統(tǒng)主密鑰，但可調(diào)換用戶公鑰。敵手A2扮演不可靠的KGC，能獲知系統(tǒng)主密鑰，但不能更換用戶公鑰。CLASC 方案的游戲攻擊模型結(jié)構(gòu)如圖1 所示。

圖1 無證書聚合簽密方案的游戲攻擊模型結(jié)構(gòu)Fig.1 Structure of game attack model of certificateless aggregate signcryption scheme

定義3（機密性）在適應(yīng)性選擇密文攻擊下CLASC 具有密文不可區(qū)分性。在ROM 中，只有在多項式時間內(nèi)不存在任何攻擊者時，敵手以不可忽略的優(yōu)勢在游戲1（針對第一類攻擊者的機密性）和游戲2（針對第二類攻擊者的機密性）中取勝。

1.4.1 游戲1

A1與挑戰(zhàn)者C通過以下方式進行信息交互：

1）初始化階段。由KGC 進行系統(tǒng)初始化，公開parameters。

2）問詢階段。A1向C進行問詢并發(fā)送任意的輸入，C將其傳送給ROM，ROM給C輸出相應(yīng)的結(jié)果，由C將結(jié)果返回給A1。A1執(zhí)行以下問詢：（1）Hash 問詢，A1對所有Hash 隨機問詢，并將相關(guān)信息發(fā)送給C，C將結(jié)果傳送給A1；（2）部分私鑰問詢，A1能詢問ui的部分私鑰，C通過執(zhí)行相關(guān)算法得到Di并返回給A1；（3）私鑰問詢，A1能詢問ui的私鑰，C通過執(zhí)行相關(guān)算法得到sk，并返回給A1；（4）公鑰問詢，A1能詢問ui的公鑰，C通過執(zhí)行相關(guān)算法得到pki，并返回給A1；（5）公鑰替換問詢，A1能對ui的公鑰進行替換，C收到問詢后，將原來的公鑰pki替換成新公鑰pk′i；（6）簽密問詢，A1選擇兩個用戶ua、ub分別作為發(fā)送方和接收方，并選擇一個消息ma進行簽密問詢，C收到相應(yīng)的問詢后，輸入?yún)?shù)，執(zhí)行簽密算法，將生成的密文σa返回給A1；（7）聚合簽密問詢，A1選擇用戶ui(1 ≤i≤n)、ub分別作為發(fā)送方和接收方，并選擇消息mi(1 ≤i≤n)進行聚合簽密問詢，C收到問詢后，輸入?yún)?shù)，執(zhí)行聚合簽密算法，將生成的密文σ返回給A1；（8）解簽密問詢，A1利用兩個用戶ua、ub和密文σa向C進行解簽密問詢，C收到問詢后，輸入?yún)?shù)，執(zhí)行解簽密算法，并將生成的明文ma返回給A1；（9）聚合解簽密問詢，A1利用用戶ui(1 ≤i≤n)、ub和密文σ向C進行聚合解簽密問詢，C收到相應(yīng)的問詢后，輸入?yún)?shù)，執(zhí)行聚合解簽密算法，并將生成的明文mi(1 ≤i≤n)返回給A1。

3）挑戰(zhàn)階段。A1選擇用戶ui、uj分別作為發(fā)送方和接收方，并選擇兩個長度相同的明文m0和m1，要求ui、uj執(zhí)行過私鑰問詢，同時ui不能既執(zhí)行過公鑰替換問詢又執(zhí)行過部分私鑰問詢，uj沒有執(zhí)行過部分私鑰問詢。C隨機選取b∈{0，}1，輸入相關(guān)參數(shù)并執(zhí)行簽密算法，將生成的密文σ*返回給A1。

4）第二階段問詢。A1進行的問詢與問詢階段相似，但不允許對ui、uj問詢私鑰，如果ui、uj在挑戰(zhàn)階段之前進行過公鑰替換問詢，則不能再問詢其部分私鑰。A1也不能對密文σ*進行解簽密問詢。

5）猜測階段。A1輸出b′，若b′=b，則A1贏得游戲。

1.4.2 游戲2

A2與挑戰(zhàn)者C通過以下方式進行信息交互：

1）初始化階段。由KGC 進行系統(tǒng)初始化，公開parameters，并將θ傳給A2。

2）問詢階段。與游戲1 的問詢階段相似，但沒有公鑰替換問詢以及部分私鑰問詢。根據(jù)刻畫的敵手類型可知，因為敵手A2不能替換用戶公鑰，所以無需執(zhí)行公鑰替換問詢，且A2可以得到系統(tǒng)主密鑰，能夠計算出用戶的部分私鑰，也無需執(zhí)行部分私鑰問詢。

3）挑戰(zhàn)階段。A2選擇用戶ui、uj分別作為發(fā)送方和接收方，并任意選擇兩個明文m0和m1。m0和m1的長度相等，且要求不能對ui、uj進行私鑰問詢。C隨機選取b∈{0，}1，輸入相關(guān)參數(shù)并執(zhí)行簽密算法，將生成的密文σ*返回給A2。

4）第二階段問詢。A2進行的問詢與問詢階段相似，但不允許對ui、uj進行私鑰問詢（若對ui、uj執(zhí)行私鑰問詢得到其私鑰，則可對密文進行解密得到明文，游戲終止）。A2也不能對密文σ*進行解簽密問詢。

5）猜測階段。A2輸出b'，若b'=b，則A2贏得游戲。

在游戲1 和游戲2 中，挑戰(zhàn)者與敵手之間關(guān)于密文機密性的交互示意圖如圖2 所示。

圖2 密文機密性交互的示意圖Fig.2 Schematic diagram of ciphertext confidentiality interaction

定義4（不可偽造性）CLASC 在適應(yīng)性選擇消息攻擊下具有消息不可偽造性，在ROM 中，只有當不存在任何多項式有界的攻擊者時，以不可忽略的優(yōu)勢在游戲3（針對第一類攻擊者的不可偽造性）和游戲4（針對第二類攻擊者的不可偽造性）中取勝。

1.4.3 游戲3

A1與挑戰(zhàn)者C通過以下方式進行信息交互：1）初始化階段，執(zhí)行相關(guān)操作，公開parameters；2）問詢階段，與游戲1 的問詢階段相似；3）偽造階段，A1輸出用戶的身份信息ui、uj和明文mi的密文σ*，若A1沒有對uj進行過部分私鑰問詢和私鑰問詢，沒有對密文σ*進行過簽密問詢，且密文σ*有效，則A1贏得游戲。

1.4.4 游戲4

A2與挑戰(zhàn)者C通過以下方式進行信息交互：1）初始化階段，由KGC 進行系統(tǒng)初始化，公開parameters，并將θ傳給A2；2）問詢階段，與游戲2 的問詢階段相似；3）偽造階段，與游戲3 的偽造階段相似；若A2沒有對uj進行過私鑰問詢，沒有對密文σ*進行過簽密問詢，且密文σ*有效，則A2贏得游戲。

在游戲3 和游戲4 中挑戰(zhàn)者與敵手之間關(guān)于簽名不可偽造性交互的示意圖如圖3 所示。

圖3 簽名不可偽造性交互的示意圖Fig.3 Schematic diagram of signature unforgeability interaction

2 本文方案

2.1 方案描述

本文設(shè)安全參數(shù)為k，生成大素數(shù)p、q（q|p-1）。(G1，+)和(G2，·)為循環(huán)群，其階均為q，P是G1的一個生成元。雙線性映射e：(G1·G1) →G2，3 個安全的哈希函數(shù)分別為H1：{0，1}*→G1，H2：{0，1}*×{0，1}*×G1→G2，H3：{0，1}*→{0，1}lm（lm 表示消息比特長度）。本文構(gòu)造的CLASC 方案主要分為以下8 個步驟：

1）系統(tǒng)初始化。由KGC 進行系統(tǒng)初始化，隨機選取θ∈為系統(tǒng)主密鑰并保密，計算Ppub=θP，公開系統(tǒng)參數(shù)parameters={G1，G2，e，P，Ppub，H1，H2，H3}。

2）生成部分私鑰。由KGC 生成部分私鑰，計算Qi=H1(ui)，Di=θQi，并將Di秘密傳送給用戶ui。

3）生成用戶私鑰。用戶私鑰由用戶參與生成，驗證等式e(Qi，Ppub)=e(Di，P)，若等式成立，則表示部分私鑰合法。用戶ui隨機選取秘密值xi∈，產(chǎn)生用戶私鑰對ski=(xi，Di)。

4）生成用戶公鑰。用戶私鑰由用戶參與生成，計算公鑰pki=xi P。

5）簽密。發(fā)送方ui向接收方uB發(fā)送明文mi，發(fā)送方ui的執(zhí)行步驟主要有以下5 個：（1）隨機選取ri∈，Ri=ri P，Ui=riQi；（2）αi=e(QB，ri Ppub)，Ti=H3(uB，αi，Ri，pkB，ripkB)；（3）ci=(mi||ui)⊕Ti；（4）hi=H2(ci||Ui||uB)；（5）vi=(ri+hi)(xiQi+Di)，輸出密文σi=(Ri，Ui，ci，vi)。

6）聚合簽密。由聚合者進行聚合簽密，主要有以下4個步驟：（1）發(fā)送方ui(1 ≤i≤n)對明文mi(0 ≤i≤n)執(zhí)行上述步驟1～步驟5 的簽密操作；（2）將簽密結(jié)果發(fā)送給聚合者（任意用戶均可為聚合者）；（3）聚合者接收密文σi(0 ≤i≤n)，計算V=；（4）輸出聚合密文σ=

用戶的密鑰生成過程如圖4 所示。

圖4 用戶密鑰生成過程Fig.4 Generation process of user secret key

在初始化階段中，KGC 生成θ和Ppub，并公開參數(shù)parameters。在生成部分私鑰階段中，KGC 根據(jù)用戶身份計算部分私鑰，并將其安全地傳送給用戶。在用戶密鑰生成階段中，用戶通過等式e(Qi，Ppub)=e(Di，P)驗證部分私鑰的合法性，如果合法，則任取秘密值xi∈，并將收到的部分私鑰與秘密值相結(jié)合得到用戶的私鑰對ski=(xi，Di)，使得用戶私鑰更加安全。在生成用戶公鑰階段中，用戶將秘密值與生成元相結(jié)合，生成用戶的公鑰pki。

本文提出的CLASC 方案流程如圖5 所示。在簽密階段，n個用戶根據(jù)公開參數(shù)parameters 和用戶密鑰，使用雙線映射αi=e(QB，ri Ppub)將明文mi(1 ≤i≤n)加密成密文ci(1 ≤i≤n)，在保證加密過程安全性的同時提高了效率，當每個用戶簽密后對密文進行聚合，形成聚合密文σ發(fā)送給接收方。接收方收到密文σ后，根據(jù)公開參數(shù)parameters 和用戶密鑰，使用雙線性映射=e(DB，Ri)將密文σ求解出明文mi，然后驗證等式是否成立，進而證明聚合簽名是否合法，如果合法，接收方接收明文mi，否則將丟棄接收到的信息。

圖5 本文無證書聚合簽密方案流程Fig.5 Procedure of the proposed certificateless aggregate signcryption scheme

2.2 正確性證明

本文方案的正確性分析包括密鑰正確性、密文可恢復(fù)性和發(fā)送者合法性。

1）密鑰正確性，用戶密鑰由KGC 的部分私鑰和用戶手中的秘密值組成，為了保證KGC 傳來密鑰的可靠性，通過等式e(Qi，Ppub)=e(Qi，θP)=e(θQi，P)=e(Di，P)驗證KGC 傳遞的部分私鑰的正確性。

3 本文方案的安全性分析

CLASC 方案結(jié)合加密技術(shù)與數(shù)字簽名，加密技術(shù)負責(zé)保證機密性，數(shù)字簽名負責(zé)保證認證性，兩者獨立存在，共同滿足消息的安全需求。因此，本文主要從機密性、不可偽造性和可公開驗證性對方案進行安全性分析。

3.1 機密性

機密性是指除指定接收方以外，其他任何人或機構(gòu)均不能成功破解密文，并獲取明文消息。

定理1在ROM 中的CBDH 問題下，在概率多項式時間內(nèi)，若存在敵手A1進行H1、H2、H3、公鑰、部分私鑰、聚合簽密、解簽密的問詢次數(shù)至少為，能夠以不可忽略的優(yōu)勢ε贏得游戲IND-CCA2，則可能存在挑戰(zhàn)者C以概率≥ε/q1q2q3(1-qun/2k)解決CBDH 問題。

證明假定敵手A1能以不可忽略的優(yōu)勢ε贏得游戲IND-CCA2，則挑戰(zhàn)者C在敵手A1的協(xié)助下解決CBDH 困難問題，即挑戰(zhàn)者C擁有CBDH 實例{P，aP，bP，cP}，求解e(P，P)abc的值。C與A1進行如下交互：

1）初始化階段。由挑戰(zhàn)者C執(zhí)行，設(shè)置Ppub=aP，并公 開parameters={G1，G2，e，P，Ppub，H1，H2，H3}。在 以下的問詢過程中可以將ROM 與挑戰(zhàn)者C看作1 個實體。

2）問詢階段。初始化列表L1、L2、L3、LK均為空，A1進行以下多項式有界次問詢：

（1）H1問詢。C維護列表L1={ui，Qi，πi，Di，gi}，當A1對H1(ui)進行問詢時，若該問詢已存在列表L1中，則給A1返回對應(yīng)的Qi；否則C丟硬幣選擇gi∈{0，1}，（其中，取0 的概率為δ，取1 的概率為1-δ），并隨機選取πi∈。若gi=0，C返回Qi=πibP；若gi=1，C給A1返回Qi=πi P，并將Qi添加到列表L1中。

（2）H2問詢。C維護列表L2={uB，ci，Ui，ri，hi}，當A1對H2(uB||ci||Ui)進行問詢時，若該問詢已存在列表L2中，則給A1返回對應(yīng)的hi；否則C隨機選取ri∈(1 ≤i≤n)并進行H1問詢得到Qi，計算Ui=riQi，任取hi∈G2返回給A1，并將其添加到列表L2中。

（3）H3問詢。C維護列表L3={uB，αi，Ri，pkB，ripkB，Ti}，當A1對H3(uB，αi，Ri，pkB，ripkB)進行問詢時，若該問詢已存在列表L3中，則給A1返回對應(yīng)的Ti；否則任取Ti∈{0，1}lm返回給A1，并將其添加到列表L3中。

（4）部分私鑰問詢。當A1輸入ui進行問詢時，C查詢列表L1，若該問詢已存在列表L1中，則給A1返回對應(yīng)的部分私鑰Di；否則，若gi=0，則游戲終止；若gi=1，C返回Di=πiap給A1，并將其添加到 列表L1中。

（5）秘密值問詢。C維護列表Lk={ui，βi，pki，Yi}，當A1輸入ui進行問詢時，若該問詢已存在列表LK中，則給A1返回對應(yīng)的βi；否則，若Yi=0，則取消問詢；若Yi=1，C隨機選取βi∈返回給A1，并將其添加到LK中。

（6）公鑰問詢。當A1輸入ui進行問詢時，C查詢列表LK，若該問詢已存在列表LK中，則給A1返回對應(yīng)的公鑰pki；否則，若βi存在，計算pki=βi P并返回給A1，并將其添加到列表LK中；若βi不存在，C隨機選取βi∈，計算pki=βi P返回給A1，并設(shè)置Yi=1，將其添加到LK中。

（7）公鑰替換問詢。當A1輸入進行問詢時，C查詢列表。若pki存在列表LK中，則用pki'替換pki，并設(shè)置Yi=0；否則將新的pki'添加到LK中，并設(shè)置Yi=0。

（8）簽密問詢。當A1輸入(ui，uB，mi)進行問詢時，C查詢列表L1中的gB。若gB=0，則取消問詢；若gB=1，按照原簽密算法對明文mi進行簽密，并返回簽密結(jié)果σi=(Ri，Ui，ci，vi)。

（9）聚合簽密問詢。當A1輸入(u1，u2，…，un，uB，m1，m2，…，mn)進行問詢時，C對(ui，mi，uB)(1 ≤i≤n)進行簽密問詢得到簽密結(jié)果σi=(Ri，Ui，ci，vi)(1 ≤i≤n)，然后計算，最后返回

4）第二階段問詢。在該階段，A1進行的問詢同問詢階段相似，但不允許對uB部分私鑰問詢，A1也不能對σ*執(zhí)行聚合解簽密問詢。

5）猜測階段。在進行足夠多的問詢以后，A1輸出b'，若b'=b，則A1贏得游戲；否則游戲失敗。C可以從L3對應(yīng)的數(shù)組中得到αi，C從L1對應(yīng)的數(shù)組中得到πB，這樣的數(shù)組必定存在（否則在解簽密問詢中游戲終止）。其中，Ri=cP，最后作為CBDH 問題的解。證明如下：

在問詢階段中，如果A1對uB進行過部分私鑰問詢，以及H2、H3問詢，則C失敗。A1未進行過部分私鑰以及H2、H3問詢的概率至少為1/q1、1/q2、1/q3。在解簽密問詢中，C拒絕一個有效簽密的概率為qun/2k。因此，C解決CBDH 問題的概率為ε/q1q2q3(1-qun/2k)。因為A1是以不可忽略的優(yōu)勢贏得游戲，與定義3 相悖，所以在多項式時間內(nèi)，挑戰(zhàn)者C不能解決CBDH 問題。因此，本文方案具有機密性。

定理2在ROM 中的CDH 問題下，在概率多項式時間內(nèi)若存在敵手A2進行H1、H2、H3、公鑰、秘密值、聚合簽密、解簽密的問詢次數(shù)至少為qk、qs、qE、qun，能夠以不可忽略的優(yōu)勢ε贏得游戲IND-CCA2，則可能存在挑戰(zhàn)者C以概率ε/q1q2q3(1-qun/2k)解決CDH 問題。

證明假定敵手A2能以不可忽略的優(yōu)勢ε贏得游戲IND-CCA2，則挑戰(zhàn)者C在敵手A2的協(xié)助下解決CDH 困難問題，即挑戰(zhàn)者C擁有CDH 實例{P，aP，cP}，求解a、c、P的值。C將與A2進行如下交互：

3.2 不可偽造性

不可偽造性是指只有發(fā)送方的簽名能通過驗證。

定理3在ROM 中的CDH 問題下，在概率多項式時間內(nèi)若存在敵手A1進行H1、H2、H3、公鑰、部分私鑰、聚合簽密、解簽密的問詢次數(shù)至少為、qk、qs、qE、qun，能夠以不可忽略的優(yōu)勢ε取得游戲EUF-CMA 的勝利，則可能存在挑戰(zhàn)者C以概率≥ε(1-δ)qs+n-1δ解決CDH 問題。

證明假定敵手A1能以不可忽略的優(yōu)勢ε贏得游戲EUF-CMA，則挑戰(zhàn)者C能在敵手A1的協(xié)助下解決CDH 困難問題，即挑戰(zhàn)者C擁有CDH 實例{P，aP，bP}，求解a、b、P的值。C與A1進行如下交互：

因此，C成功解決了CDH 問題。

如果A1在問詢階段進行部分私鑰問詢，在偽造階段偽造出的簽密無效，且g1=0，gi=1(2 ≤i≤n)，則C失敗。上述事件的概率分別為、ε和δ(1-δ)n-1，因此，C解決CDH 問題的概率為。因為A1是以不可忽略的優(yōu)勢贏得游戲，與定義4 相悖，所以在多項式時間內(nèi)，挑戰(zhàn)者C不能解決CDH 問題。因此，本文方案具有不可偽造性。

定理4在ROM 中的CDH 問題下，在概率多項式時間內(nèi)若存在敵手A2進行H1、H2、H3、公鑰、秘密值、聚合簽密、解簽密的問詢次數(shù)至少為qk、qs、qE、qun，能夠以不可忽略的優(yōu)勢ε取得游戲EUF-CMA 的勝利，則可能存在挑戰(zhàn)者C以概率解決CDH 問題。

證明假定敵手A2能以不可忽略的優(yōu)勢ε贏得游戲EUF-CMA，則挑戰(zhàn)者C在敵手A2的協(xié)助下解決CDH 困難問題，即挑戰(zhàn)者C擁有CDH 實例{P，aP，bP}，求解a、b、P的值。C與A2進行如下交互：

因此，C成功解決了CDH 問題。

如果A2在問詢階段進行秘密值問詢，在偽造階段偽造出的簽密無效，且g1=0，gi=1(2 ≤i≤n)，則C失敗。上述事件的概率分別為、ε和δ(1-δ)n-1，因此，C解決CDH 問題的概率為因為A2是以不可忽略的優(yōu)勢贏得游戲，與定義4 相悖，所以在多項式時間內(nèi)，挑戰(zhàn)者C不能解決CDH 問題。因此，本文方案具有不可偽造性。

3.3 可公開驗證性

4 性能分析

CLASC 方案的主要性能是通信效率、計算代價和存儲開銷。與其他方案相比，一個簽密方案具有更少的計算量或更高安全性，則稱該方案的性能更優(yōu)。計算量主要包括發(fā)送者和接收者的計算量以及計算過程中的操作總量，其操作包括雙線性映射運算、點乘運算和指數(shù)運算等。安全性主要包括機密性、不可偽造性。

本文方案與文獻［16，26，28-30］方案的安全性和可公開驗證性的對比如表1 所示，其中，√表示具有安全性和可公開驗證性，×表示沒有這兩種性質(zhì)。

表1 不同方案的性能對比Table 1 Performance comparison among different schemes

不同方案的運算量對比如表2 所示。據(jù)文獻［7］可知，p（雙線性對運算）的運算代價為20.01 ms，e（指數(shù)運算）的運算代價為11.20 ms，s（點乘運算）的運算代價為0.83 ms，如哈希、異或等運算相對于無證書聚合密碼體制的計算成本可以忽略。假設(shè)參與聚合簽密的用戶有n個，本文方案的簽密階段包括2 個運算：1）4n次點乘運算，Ri=ri·P(1 ≤i≤n)，Ui=ri·Qi，αi=e(QB，ri·Ppub)，Ti=H3(uB，αi，Ri，pkB，ri·pkB)；2）n次雙線性映射運算，αi=e(QB，ri·Ppub)。簽密階段的運算代價為(p+4s)n≈(20.01+4×0.83)n=23.33nms。解簽密階段包括（n+2）次雙線性映射運算：′=e(DB，Ri)，e(V，P)=2n次點乘運算：。解簽密階段的運算代價為(p+2s)n+2p≈(20.01+2×0.83)n+2×20.01=21.67n+40.02 ms。因此，本文方案的總運算代價為(2p+6s)n+2p≈(2× 20.01+6× 0.83)n+2× 20.01=45n+40.02ms。

表2 不同方案的運算量對比Table 2 Computation comparison among different schemes

從表1 和表2 可以看出，對數(shù)量相同的消息執(zhí)行聚合簽密操作，與文獻［26，28-30］方案相比，本文方案運算代價大幅降低。文獻［28］是關(guān)于道路狀況的車載系統(tǒng)簽密方案，簽密階段未使用雙線性映射運算，運算效率在所比較的文獻中最高，但是聚合驗證和解簽密階段均使用了2n次雙線性映射運算，且在聚合驗證階段需使用接收者的私鑰信息vskj，1、vskj，2，因此，不滿足可公開驗證性。本文方案與文獻［26，30］方案相比，解簽密階段均減少了2n次雙線性映射運算。文獻［29］方案是關(guān)于車載系統(tǒng)的匿名異構(gòu)簽密方案，本文方案的解簽密階段相較于文獻［29］方案減少了n次雙線性映射運算，且文獻［29］方案在聚合驗證階段需要用到kj的值，kj=H2(Rsj)，Rsj=e(Uj，1，Sr)，Sr=。若通過Sr計算kj需要系統(tǒng)主密鑰，系統(tǒng)主密鑰不能被任意第三方得知。因此，文獻［29］方案不滿足可公開驗證性。文獻［26，28-30］方案在聚合驗證階段需要的雙線性映射運算次數(shù)均與用戶的數(shù)量有關(guān)，而本文方案僅需2 次雙線性映射運算，與用戶數(shù)量無關(guān)。因此，本文方案具有較高的運算效率。

與文獻［16］方案相比，本文方案增加了加密的功能，并在簽名階段將接收者的身份信息隱藏其中，能夠有效保護用戶隱私。在運算代價方面，本文方案與文獻［16］方案在聚合驗證階段均需2 次雙線性映射運算。由于文獻［16］方案不具備加密功能，因此其他階段的運算代價不做對比。在安全性方面，文獻［16］方案不滿足機密性，僅滿足簽名方案所需的不可偽造性。因此，本文方案的性能更優(yōu)。

以上是通過理論推導(dǎo)得到的性能分析，本文還通過仿真實驗驗證運算效率。仿真實驗環(huán)境：Intel Core i5-5200@2.20 GHz CPU，4 GB RAM PC，Ubuntu 18.04.5 操作系統(tǒng)，Python3.6.9，pypbc 庫。

在本文方案的仿真實驗核心偽代碼中，明文|m|長度隨機

系統(tǒng)初始化階段是生成公開參數(shù)，關(guān)鍵代碼如下：

由上述理論推導(dǎo)得到的性能分析可知，本文方案性能的影響因素是運算代價、安全性及可公開驗證性。其中，運算代價是指方案在整個計算過程中，雙線性映射運算、點乘運算和指數(shù)運算操作所花費的時間。本文方案的簽密總時間隨消息個數(shù)的變化曲線如圖6 所示。在簽密階段，當消息數(shù)m分別為200、400、600、800、1 000、1 200 時，簽密時間分別約為5.084 s、10.164 s、17.345 s、25.329 s、35.345 s、45.499 s。

圖6 本文方案的簽密時間隨消息個數(shù)的變化曲線Fig.6 Change curve of signcryption time of the proposed scheme with the number of messages

在解簽密階段，本文方案使用和未使用聚合簽密技術(shù)的總解簽密時間對比如圖7 所示。

圖7 本文方案使用和未使用聚合簽密技術(shù)的解簽密時間對比Fig.7 Decryption time comparison of the proposed scheme with and without aggregate signcryption technology

當消息數(shù)m分別為200、400、600、800、1 000 和1 200 時，本文方案使用聚合簽密技術(shù)的解簽密時間分別約為2.192 s、4.328 s、6.487 s、8.654 s、10.898 s、13.089 s。若未使用聚合簽密技術(shù)，m個簽密消息逐條進行解密驗證所需的時間分別約為10.154 s、20.288 s、30.378 s、40.630 s、50.430 s、61.073 s。從圖6 和圖7可以看出，消息的簽密時間比解簽密時間高出約1 倍。當消息數(shù)量呈倍數(shù)增長時，簽密總時間和解簽密總時間也以倍數(shù)增長。因此，本文方案在解簽密階段使用的運算代價為2 次雙線性映射運算的聚合驗證技術(shù)，能夠大幅提高解簽密的運算效率。

5 應(yīng)用場景設(shè)計

本文方案可應(yīng)用在物聯(lián)網(wǎng)（Internet Of Things，IOT）中，IOT 經(jīng)過既定的協(xié)議，依賴互聯(lián)網(wǎng)實現(xiàn)信息共享，將物與物、人與物之間的信息進行交換，達到相互連通的效果。IOT 主要由感知節(jié)點（Sensory Node，SNi，1 ≤i≤n）、網(wǎng)關(guān)節(jié)點（Gateway Node，GN）、云平臺服務(wù)器（Cloud Platform Server，CPS）和應(yīng)用終端（Application Terminal，AT）組成。IOT 結(jié)構(gòu)如圖8 所示。

圖8 IOT 結(jié)構(gòu)Fig.8 IOT structure

SN 將收集的數(shù)據(jù)發(fā)送到GN，GN 自動保存收集的數(shù)據(jù)，在一定的時間間隔內(nèi)將數(shù)據(jù)周期性地傳輸至CPS，CPS 將得到的數(shù)據(jù)進行管理和分析，并發(fā)送給AT，以供AT 使用。其中，GN 與GN、CPS 與GN、GN 與SN 之間為無線通信。使用無線傳輸?shù)臄?shù)據(jù)容易受到網(wǎng)絡(luò)攻擊，如惡意假冒、竊聽、數(shù)據(jù)篡改等，安全方面存在漏洞，導(dǎo)致其發(fā)展緩慢。簽密技術(shù)能夠滿足IOT 中數(shù)據(jù)傳輸所需的機密性和不可偽造性。

在IOT 中，1 個GN 通常需要連接多個SN，GN 將收到的信息進行聚合并通過CPS 傳送給AT，要求AT 在短時間內(nèi)驗證大量簽密消息，對AT 的配置、成本要求較高，需要安全、高效、可靠的驗證技術(shù)用于大批量密文的驗證。本文提出的CLASC 方案應(yīng)用在IOT 環(huán)境中，能夠降本增效，保證信息的完整性和安全性。在本文方案中n個簽密者對應(yīng)IOT 中的n個SN，接收者對應(yīng)AT，n個SN 產(chǎn)生n個明文消息并發(fā)送給GN，GN 將接收到的消息進行聚合并通過CPS 發(fā)送給AT，由AT 進行驗證并解簽密，有效防止篡改消息、假冒消息及泄露消息等。

6 結(jié)束語

本文構(gòu)造可公開驗證的高效無證書聚合簽密方案。基于無證書密碼體制解決密鑰托管的問題，并且在ROM 下驗證該方案的安全性，在對數(shù)據(jù)的真實性產(chǎn)生質(zhì)疑時，通過信任第三方公開驗證發(fā)送者的合法性。分析結(jié)果表明，本文方案具有較高的運算效率，僅使用固定次數(shù)的雙線性映射運算，在保證傳輸數(shù)據(jù)安全的同時提高傳輸效率，使其適用于移動支付、車載系統(tǒng)和電子銀行等場景中。下一步將在無證書聚合簽密方案中通過隨機數(shù)重用的方法，減少解密階段的冗余信息，從而降低系統(tǒng)的存儲開銷和運算量。