徐明明，尹毅峰*，張 晴，劉 揚，王佳星

(1.鄭州輕工業(yè)學(xué)院 計算機與通信工程學(xué)院，鄭州 450001；2.河南機電職業(yè)學(xué)院，鄭州 451191)

?

無證書聚合簽名方案的分析與改進

徐明明1，尹毅峰1*，張 晴1，劉 揚1，王佳星2

(1.鄭州輕工業(yè)學(xué)院 計算機與通信工程學(xué)院，鄭州 450001；2.河南機電職業(yè)學(xué)院，鄭州 451191)

聚合簽名技術(shù)在資源受限的場景下有很好的應(yīng)用，是數(shù)字簽名研究中的熱點.對最近提出的一個無證書聚合簽名方案進行安全性分析，指出方案不能抵抗偽造性攻擊.提出改進的的無證書聚合簽名方案，在隨機預(yù)言模型和Computational Diffie-Hellman(CDH)困難假設(shè)下，證明了改進的方案的不可偽造性，效率分析對比表明，改進的方案更安全高效.

無證書密碼體制；聚合簽名；不可偽造性

2003年，Al-Riyami等[1]提出了無證書公鑰密碼體制，解決了傳統(tǒng)公鑰密碼體制中的證書管理和密鑰存儲問題.Boneh等[2]在2003年首次提出了聚合簽名的概念.聚合簽名把多個不同的簽名壓縮成一個簽名，接收者只需要驗證聚合簽名，就可以驗證簽名的有效性.聚合簽名減少了通信資源和存儲資源的消耗，提高了驗證簽名的效率，在無線通信領(lǐng)域和物聯(lián)網(wǎng)中有著廣泛的應(yīng)用.無證書聚合簽名方案利用了無證書公鑰加密方案和聚合簽名方案兩者的優(yōu)勢，增強安全性，提升效率.近些年，學(xué)者們提出了許多無證書聚合簽名方案[3-13].杜紅珍等[3]利用雙線性對提出了一個可證安全的無證書聚合簽名方案，并認(rèn)為在CDH困難假設(shè)和隨機預(yù)言機模型下，方案是存在性不可偽造的.然而，通過對該方案進行安全分析，發(fā)現(xiàn)敵手可以偽造出有效的簽名，方案不滿足不可偽造性.針對這個缺點，本文提出改進的無證書聚合簽名方案，并在隨機預(yù)言模型和CDH困難假設(shè)下，證明了改進的方案是存在性不可偽造的.

1 背景知識

1.1 雙線性對

設(shè)q是一個大素數(shù)，G1是階為q的加法群，G2是階為q的乘法群.P是G1的一個生成元.存在映射函數(shù)e∶G1×G1→G2，有以下三條性質(zhì)：

1)可計算性：對于任意的P,Q∈G1，存在有效的算法可以計算出來e(P,Q)；

3)非退化性：e(P1,P2)≠1.

1.2 CDH困難問題

CDH困難：對于a,b∈Zq，給定P,aP,bP∈G1，計算abP∈G1.

1.3 無證書聚合簽名方案

根據(jù)文獻[13]的描述，無證書聚合簽名方案通常包括初始化，部分密鑰提出，用戶密鑰生成，簽名，聚合和簽名驗證6個部分.

1)初始化：輸入?yún)?shù)k，輸出系統(tǒng)的主密鑰s和系統(tǒng)參數(shù)params；

2)部分私鑰提取：輸入s，params和用戶的身份IDi，輸出用戶部分私鑰dIDi；

3)用戶密鑰生成：輸入params和用戶的身份IDi，生成用戶秘密值xi和相應(yīng)的用戶公鑰pkIDi；

4)簽名：輸入params和信息mi，用戶秘密值xi，用戶公鑰pkIDi和用戶部分私鑰dIDi，生成相對應(yīng)的簽名δi；

5)聚合：輸入n個用戶的用戶身份IDi，信息mi，用戶公鑰pkIDi和簽名δi，然后生成一個聚合簽名δ；

6)簽名驗證：輸入params，聚合簽名δ和用戶身份IDi，信息mi和用戶公鑰pkIDi，驗證聚合簽名δ是否可用.

1.4 無證書聚合簽名敵手類型

在無證書聚合簽名方案中有兩種類型敵手：敵手AI和敵手AII.敵手AI：可以替換用戶的公鑰，但是不能獲取系統(tǒng)的主密鑰.敵手AII：可以獲取系統(tǒng)的主密鑰，但是不能替換用戶的公鑰.

2 文獻[3]方案安全性分析

最近杜紅珍等[3]提出了一個高效的可證明安全的無證書聚合簽名方案，本節(jié)首先簡要回顧其方案，然后對方案進行安全性分析.

2.1 文獻[3]方案回顧

2)部分私鑰提取：對身份IDi，KGC計算Qi=H1(IDi)和部分私鑰dIDi=sQIDi.

2.2 文獻[3]方案安全性分析

杜紅珍等[3]認(rèn)為方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的，本文分析發(fā)現(xiàn)敵手A可以任意創(chuàng)建出用戶IDi對于消息mi的可用簽名.攻擊的具體過程展示如下：

1)A運行配置算法獲得系統(tǒng)參數(shù)params，系統(tǒng)主密鑰s和系統(tǒng)公鑰Ppub.

2)A分別計算T=H2(Ppub)，W=H3(Ppub)，hi=H4(mi,IDi,pkIDi)，dIDi=sQIDi.

3)A創(chuàng)建用戶獲取公鑰pkIDi.

4)A分別計算Ui=-hipkIDiW/T，Vi=hidIDi.

可以驗證偽造的簽名δi=(Ui,Vi)是有效的簽名，因為

e(Vi,P)=e(hidIDi,P)=e(hisQIDi,P)=

e(Ppub,hiQIDi)e(hipkIDi,W)e(hipkIDi,W)-1=

e(Ppub,hiQIDi)e(hipkIDi,W)e(hipkIDiT/T,W)-1=

e(Ppub,hiQIDi)e(hipkIDi,W)e(-hipkIDiW/T,T)=

e(Ppub,hiQi)e(hipkIDi,W)e(Ui,T)

且敵手A的攻擊滿足三個條件：①簽名(Ui,Vi)有效；②沒有替換公鑰；③沒有詢問部分私鑰.因此A的攻擊是有效的.

3 改進的無證書聚合簽名方案

為了解決上節(jié)中的問題，本節(jié)提出了改進的無證書聚合簽名方案.本方案將Ui置于Hi中，并且調(diào)整了Vi的組成.敵手在構(gòu)造Ui時，要先計算出Hi，而Hi中又包含Ui，不能計算出Ui，Hi.從而使敵手不能使用上節(jié)中的方法偽造簽名.改進方案如下：

2)部分私鑰提取：對身份IDi，KGC計算Qi=H1(IDi)和部分私鑰dIDi=sQIDi.

4 安全性分析

4.1 正確性分析

由下式成立可知，本方案是正確的.

4.2 安全性證明

定理1 在CDH困難假設(shè)和隨機預(yù)言機模型下，改進的無證書聚合簽名方案在敵手AI的適應(yīng)性選擇消息攻擊下是存在性不可偽造的.

證明：設(shè)第一類敵手AI詢問H1，H2，H3，H4和部分私鑰詢問，公鑰詢問和簽名詢問的次數(shù)分別是qH1，qH2，qH3，qH4，qdID，qpsk，qs.假設(shè)敵手AI以不可忽略的優(yōu)勢ε偽造出簽名，則存在一種挑戰(zhàn)S可以利用AI解決CDH難題.

初始化：S運行初始化算法生成系統(tǒng)參數(shù)params={k,e,G1,G2,Ppub,H1,H2,H3,H4}，令Ppub=sP，并把params發(fā)給敵手AI.

執(zhí)行下面的詢問，其中列表L1，L2，L3，L4分別對應(yīng)對H1，H2，H3，H4的詢問：

5)部分私鑰詢問：當(dāng)AI詢問IDi的部分私鑰時，S查詢L1中的記錄(IDi,Qi,ti,c).若c=1，退出.否則，計算dIDi=ti(aP)，返回dIDi并添加(IDi,dIDi)到表Lpsk中.

8)簽名詢問：當(dāng)AI詢問(mi,IDi)的簽名時，S分別查詢記錄(IDi,Qi,ti,c)，(Ppub,l,T)和(P,Ppub,j,W).若c=0，S查詢記錄(mi,IDi,pkIDi,Ui,hi).S選擇隨機數(shù)ri并計算Ui=riP-QIDi)和Vi=riT+hixiW+riPpub.返回δi=(Ui,Vi)給AI.δi是一個可用的簽名，因為

e(Vi,P)=e(riT+hixiW+riPpub,P)=

e(riT+hixiW+risP,P)=

e(riT+hixiW+s(Ui+QIDi),P)=

e(Ui,T)e(Ppub,Qi+Ui)e(hipkIDi,W)

算法S滿足以下條件：S部分簽名詢問沒有失?。籄I以概率ε偽造出了有效的簽名.且算法S成功的概率

Pr(S)≥ε(1-(qdID/(qdID+1))n)(qdID/(qdID+1))qdID+qs

定理2 在CDH困難假設(shè)和隨機預(yù)言機模型下，改進的無證書聚合簽名方案在敵手AII的適應(yīng)性選擇消息攻擊下是存在性不可偽造的.

證明：假設(shè)敵手AII以不可忽略的優(yōu)勢ε偽造出簽名，則存在一種挑戰(zhàn)者S可以利用AII解決CDH難題.

初始化：令Ppub=sP，生成系統(tǒng)參數(shù)params={k,e,G1,G2,Ppub,H1,H2,H3,H4}，將系統(tǒng)參數(shù)params和主密鑰s發(fā)給AII.S執(zhí)行以下詢問：

1)H1詢問：當(dāng)AII輸入IDi是，S查詢列表L1，若L1中有記錄(IDi,Qi,ti)，返回Qi.否則，S選擇隨機數(shù)ti，另Qi=tiP，返回Qi并添加(IDi,ti,Qi)到列表L1中.

5)部分私鑰詢問：當(dāng)詢問IDi的部分私鑰時，S查詢列表L1，并計算dIDi=tisP，返回dIDi并添加(IDi,dIDi)到Lpsk中.

8)簽名詢問：當(dāng)詢問(IDi,mi)的簽名時，S分別查詢記錄(IDi,Qi,ti,c)，(Ppub,l,T)和(P,Ppub,j,W).若c=0，S查詢記錄(mi,IDi,pkIDi,Ui,hi).S選擇隨機數(shù)ri，并計算Ui=riP-hixiW/s，Vi=riT+dIDi+riPpub.返回δi=(Ui,Vi)給AII.δi是一個可用的簽名，因為：

e(Vi,P)=e(riT+dIDi+risP,P)=e(riT+dIDi+s(Ui+hixiW/s),P)

算法S滿足以下條件：①S部分簽名詢問沒有失?。虎贏II以概率ε偽造出了有效的簽名.且算法S成功的概率

Pr(S)≥ε(1-(qdID/(qdID+1))n)(qdID/(qdID+1))qpsk+qs

4.3 效率分析

設(shè)P表示雙線性對運算，M表示標(biāo)量乘運算，n表示簽名用戶的數(shù)量.本文列出了雙線性對運算和標(biāo)量乘運算兩種主要運算，對多個方案的單個簽名和聚合簽名的計算效率作了對比.

表1 效率比較

由表1可見，本文方案的計算量與方案[3,4,5]相當(dāng)，但是可以證明是安全的.而和方案[7]相比較，本文新方案計算量更少.

5 結(jié)束語

聚合簽名減少了通信資源和存儲資源的消耗，提高了驗證的效率，廣泛地應(yīng)用在無線傳感網(wǎng)絡(luò)中.本文對最近提出的文獻[3]方案進行了安全性分析，發(fā)現(xiàn)敵手可以任意偽造出有效的簽名，方案不能抵抗偽造性攻擊.通過調(diào)整簽名過程中的計算公式和參數(shù)，提出了改進的的無證書聚合簽名方案.基于CDH困難問題假設(shè)，證明了在隨機預(yù)言模型下改進的方案具有不可偽造性.

[1] AL-RIYAMI S S,PATERSON K G.Certificateless public key cryptography[J].Advances in Cryptology - Asiacrypt 2003,2003,2894:452-473.

[2] BONEH D,GENTRY C,LYNN B,et al.Aggregate and verifiably encrypted signatures from bilinear maps[J].Advances in Cryptology-Eurocrypt 2003,2003,2656:416-432.

[3] 杜紅珍,黃梅娟,溫巧燕.高效的可證明安全的無證書聚合簽名方案[J].電子學(xué)報,2013，41(1):72-76.

[4] 喻琇瑛,何大可.一種新的無證書聚合簽名[J].計算機應(yīng)用研究,2014(8):2485-2487.

[5] 陳明.改進的簽名長度固定的無證書聚合簽名方案[J].計算機應(yīng)用研究,2016(1):271-275.

[6] 張玉磊,周冬瑞,李臣意,等.高效的無證書廣義指定驗證者聚合簽名方案[J].通信學(xué)報,2015，36(2):52-59.

[7] 湯鵬志,郭紅麗,張婷婷,等.對一種無證書聚合簽名方案的攻擊與改進[J].河南師范大學(xué)學(xué)報(自然科學(xué)版),2017,45(1):71-78.

[8] 胡江紅,杜紅珍,張建中.兩類無證書聚合簽名方案的分析與改進[J].山東大學(xué)學(xué)報(理學(xué)版),2016,51(7):1-8.

[9] 胡江紅,杜紅珍,張建中.一個無證書聚合簽名方案的分析與改進[J].計算機工程與應(yīng)用,2016(10):80-84.

[10] 劉丹,石潤華,張順,等.無線網(wǎng)絡(luò)中基于無證書聚合簽名的高效匿名漫游認(rèn)證方案[J].通信學(xué)報,2016,37(7):182-192.

[11] 湯小超,王斌,楊睛,等.一種無證書的順序聚合簽名方案[J].合肥工業(yè)大學(xué)學(xué)報(自然科學(xué)版),2015,38(6):775-777.

[12] 許艷,黃劉生,田苗苗,等.一種可證安全的緊致無證書聚合簽名方案[J].電子學(xué)報,2016,44(8):1845-1850.

[13] XIONG H,LI F,QIN Z G.Certificateless threshold signature secure in the standard model[J].Information Sciences,2013,237:73-81.

[14] HERRANZ J,SAEZ G.Forking Lemmas for Ring Signature Schemes[J].Journal of Management Studies,2003,2904(2):266-279.

責(zé)任編輯：高 山

Cryptanalysis and Improvement of Certificateless Aggregate Signature Scheme

XU Mingming1,YIN Yifeng1*,ZHANG Qing1,LIU Yang1,WANG Jiaxing2

(1.College of Computer and Communication Engineering, Zhengzhou University of Light Industry, Zhengzhou 450001, China;2.Henan Mechanical and Electrical Vocational College, Zhengzhou 451191, China)

Aggregate signature technology has a good application in resource-constrained scenarios and is a hotspot in digital signature research.The security of the certificateless aggregate signature scheme proposed by Du et al is analyzed,and we find that the scheme can not resist the forgery attack.Based on the Du scheme,an improved scheme of certificateless aggregate signature is proposed.Under the assumption of stochastic prediction model and Computational Diffie-Hellman (CDH) problem,the unforgeability of the improved scheme is proved,and the efficiency analysis shows that the improved scheme is safer and more efficient.

certificateless cryptography;aggregate signature;unforgeability

2017-03-05.

國家自然科學(xué)基金項目(61272038;61572445)

徐明明(1991-)，男，碩士生，主要從事信息安全的研究.*

尹毅峰(1971-)，男，博士，教授，主要從事信息安全與密碼學(xué)的研究.

1008-8423(2017)02-0190-05

10.13501/j.cnki.42-1569/n.2017.06.018

TP309

A