蘇靖楓 柳菊霞

摘要：已有的無證書簽密方案大都存在安全性及通信效率等方面的問題。通過對現(xiàn)有研究成果的分析，該文提出了一種安全高效的無證書簽密方案。新方案無須借助安全信道生成秘鑰，通信復(fù)雜度較低。安全性分析表明，在隨機(jī)預(yù)言模型下，新方案可以抵抗兩類敵手的偽造攻擊。性能分析表明，新方案在簽密和解簽密算法中僅需要九次點(diǎn)乘運(yùn)算，具有較高的效率。

關(guān)鍵詞：無證書;簽密;隨機(jī)預(yù)言模型

中圖分類號：TP309 ? ? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）13-0024-04

在公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）中，為了保證用戶網(wǎng)上交易的安全性，用戶必須擁有自己的數(shù)字證書，而數(shù)字證書的生成、發(fā)放和管理由第三方機(jī)構(gòu)（證書機(jī)構(gòu)）負(fù)責(zé)完成。一旦用戶量增大，證書管理將會消耗大量的系統(tǒng)資源。1984年，Shamir提出了一種基于身份的密碼體制[1]，用戶的公鑰由標(biāo)識用戶身份的信息實(shí)現(xiàn)。然而，由于KGC（Key Generation Center）生成用戶的私鑰，用戶的簽名很容易被惡意的KGC偽造。為了解決上述問題，2003年，AI-riyami等人[2]第一次提出了一種無證書公鑰密碼系統(tǒng)，KGC僅生成用戶的部分私鑰，用戶的私鑰由部分私鑰和用戶自己隨機(jī)選擇的秘密值共同組成。這樣不僅解決了基于身份的密碼體制存在的密鑰托管問題，而且克服了傳統(tǒng)公鑰密碼體制存在的證書管理問題。

在具體應(yīng)用中，為了實(shí)現(xiàn)保密和認(rèn)證兩個安全目標(biāo)，傳統(tǒng)方式通常會對消息先簽名后加密。1997年，簽密的概念與具體的簽密方案被Zheng[3]首次提出，簽密方案具有計(jì)算量少、效率高的優(yōu)勢。2008年，Barbosa等人[4]提出了第一個無證書簽密方案，該方案同時具有無證書密碼體制和簽密方案的優(yōu)點(diǎn)，但存在可擴(kuò)展偽造攻擊威脅。隨后，兩種不同的無證書簽密方案相繼被Aranha等人[5]和Wu等人[6]分別提出，但兩種方案都存在安全保密性問題[7]。在2010年，一種標(biāo)準(zhǔn)模型下的無證書簽密方案被Liu等人[8]提出，但面對惡意且被動的KGC時，方案存在安全風(fēng)險[9]。

分析表明，以上提到的無證書簽密機(jī)制存在各種安全問題，并且都使用了雙線性對操作。因此，安全高效的無證書簽密機(jī)制成為新的研究熱點(diǎn)。文獻(xiàn)[10-11]指出進(jìn)行一次雙線性對操作花費(fèi)的時間大約是橢圓曲線上點(diǎn)乘運(yùn)算的21倍。因此，無雙線性配對的無證書簽密方案更有效。一種無雙線性對操作的無證書簽密方案被Barreto等人[12]提出，但文獻(xiàn)[13]指出該方案不能抵抗類型I敵手的攻擊。為改進(jìn)性能，Xie等人[14]提出了一種不含雙線性對運(yùn)算的無證書簽密方案，盡管與Barreto等人[12]提出的方案相比，具有較高的效率，但該方案需要驗(yàn)證用戶公鑰，違背了無證書密碼體制的思想。隨后，幾種新的無雙線性對的無證書簽密方案相繼被提出[15-19]。但文獻(xiàn)[18]指出文獻(xiàn)[15]中的方案不能抵抗類型I敵手的偽造攻擊，而文獻(xiàn)[16]中的方案在面對不誠實(shí)的KGC時存在安全風(fēng)險，并且在秘鑰生成階段，已有的無證書簽密方案均需要借助安全信道。因此，有必要設(shè)計(jì)出安全高效的無證書簽密方案以適應(yīng)目前網(wǎng)絡(luò)環(huán)境下對簽密算法的需求。

在文獻(xiàn)[15]方案的基礎(chǔ)上，本文提出一種安全高效的無證書簽密方案。該方案基于無證書簽密模型[20]，在隨機(jī)預(yù)言模型下，被證明是安全的，并且秘鑰生成無須借助安全信道，性能效率分析較為理想。

1計(jì)算困難問題

1）計(jì)算Diffie-Hellman困難問題（ComputationalDiffie-Hellman Problem，CDHP）：設(shè)G是一個階為q的加法循環(huán)群，P是它的一個生成元，給定[aP，bP∈G]，對任意未知的[a，b∈z?q]，計(jì)算[abP]。

2）離散對數(shù)問題（Discrete Logarithm Problem，DLP）：設(shè)G是一個循環(huán)群，階為q，P是它的一個生成元，給定[P，aP∈G]，對任意未知的[a∈z?q]，計(jì)算a。

2無雙線性對的無證書簽密方案

本文提出一個無雙線性對的無證書簽密方案，具體實(shí)現(xiàn)過程如下。

1） 系統(tǒng)參數(shù)的建立

輸入一個安全參數(shù)k，生成大素數(shù)p和q，且兩者滿足q∣p-1。G是橢圓曲線上的一個循環(huán)群，P是G中任意一個階為q的生成元，選擇[H1：0，1?×G→Z?q]，[H2：0，1?→Z?q]和[H3：G→Z?q]三個安全的哈希函數(shù)，明文可為任意比特長度的消息m， KGC隨機(jī)選擇[z∈Z?q]作為主密鑰秘密保存，并計(jì)算系統(tǒng)公鑰[Ppub=zP]，最后公開系統(tǒng)參數(shù)[（p，q，Ppub，H1，H2，H3）]。

2）生成用戶密鑰

用戶[IDi]隨機(jī)選取一個秘密值[xi∈Z?q]，并計(jì)算[Xi=xiP]，然后將[Xi]發(fā)送給KGC。KGC收到[Xi]后，隨機(jī)選擇[ri∈Z?q]，并計(jì)算[Ri=riP]、[di=ri+zH1（IDi，Ri，Xi）+H3（zXi）]，然后將[（Ri，di）]發(fā)送給[IDi]，此階段用戶和KGC通信無須借助安全信道。

用戶[IDi]收到[（Ri，di）]后，首先通過驗(yàn)證等式[Ri+PpubH1（IDi，Ri，Xi）+PH3（xiPpub）=diP]是否成立，確保接收的信息是有效的。然后計(jì)算自己的部分私鑰[Di=di-H3（xiPpub）]。另外，KGC可以計(jì)算出用戶[IDi]的部分私鑰[Di=ri+zH1（IDi，Ri，Xi）]，而其他任何人要想通過[Ppub=zP]和[Xi=xiP]計(jì)算出[zxiP]，則要面臨CDHP困難問題。

這樣，用戶A的私鑰為[SKA=（DA，xA）]，公鑰為[PKA=（RA，XA）]，用戶B的私鑰為[SKB=（DB，xB）]，公鑰為[PKB=（RB，XB）]。

3）簽密

用戶A選取隨機(jī)數(shù)[a∈Z?q]，計(jì)算[TA=aXB/xA]、[h=H2（TA，IDA，IDB，m）]和[s=a/（xA（xA+DA+h））]得到簽名[（h，s）]，接著計(jì)算[h1=H1（IDB，RB，XB）]、[VA=a（XB+RB+h1Ppub）/xA]和[C=H3（VA）⊕m]，發(fā)送簽密消息[σ=（h，s，C）]給用戶B。

4） 解密驗(yàn)證

收到密文[σ]后，用戶B計(jì)算[h1′=H1（IDA，RA，XA）]，[VB=s（xB+DB）（XA+RA+h1′Ppub+hP）]，恢復(fù)出消息[m=H3（VB）⊕C]。然后驗(yàn)證等式（1）是否成立，如果等式成立，用戶B就接受消息m 。

[h=H2（sxB（XA+RA+h1′Ppub+hP），IDA，IDB，m）] ? ?（1）

3方案分析

3.1 正確性

1） 驗(yàn)證簽名的正確性

[sxB（XA+RA+h1′Ppub+hP）]

[=（a/（xA（xA+DA+h）））×（xA+rA+h1′z+h）XB]

[=（a/（xA（xA+DA+h）））×（xA+DA+h）XB]

[=aXB/xA]

[=TA]

因此，等式（1）成立，簽名驗(yàn)證通過。

2） 驗(yàn)證消息的正確性

[VB=s（xB+DB）（XA+RA+h1′Ppub+hP）]

[=（a/（xA（xA+DA+h）））（xB+DB）（xA+rA+h1′z+h）P]

[=（a（xB+DB）P）/xA]

[=（a（XB+RB+h1Ppub））/xA]

[=VA]

已知有[C=H3（VA）⊕m]，因此可由[H3（VB）⊕C]恢復(fù)出消息[m]。

3.2 安全性分析

接下來在隨機(jī)預(yù)言模型下給出本文方案的安全性證明。

定理1（類型[Ι]攻擊下的方案保密性）假設(shè)存在一個敵手[A1]能夠在概率多項(xiàng)式時間內(nèi)以優(yōu)勢[ε]在定義1[15]中的游戲中獲勝（最多[qi]次[Hi]詢問（i=1，2，3），[qs]次簽密詢問，[qun]次解簽密詢問），挑戰(zhàn)者Q則能夠在概率多項(xiàng)式時間內(nèi)以[AdυIND-CCA2（A1）]≥[（ε/q13）（1-qs（2q2+q3+2qs）/2k）（1-qun/2k）]的優(yōu)勢解決CDH問題。

證明：假設(shè)Q是挑戰(zhàn)者，其通過輸入（uP， vP），利用[A1]解決CDH問題，即計(jì)算出uvP。Q設(shè)置[y=uP]，遵照游戲規(guī)則，Q需要發(fā)送信息[（p，q，P，y，H1，H2，H3）]給[A1]。Q保存列表[L=（L1，L2，L3，LD，LSK，LPK，LS，LU）]，用來存儲[A1]對預(yù)言機(jī)[H1]、[H2]、[H3]、部分私鑰、私鑰、公鑰、簽密及解簽密等的詢問，列表L初始化為空。

[H1]詢問：列表[L1]的格式為[（ID，R，X，h1，c）]，當(dāng)收到[A1]對[H1（IDi，Ri，Xi）]的詢問時，如果列表中存在[（ID，R，X，h1）]，Q就將相應(yīng)的值返回給[A1];否則，Q將隨機(jī)選擇[c∈{0，1}]，其中[Pr[c=1]=δ]，當(dāng)[c=0]時，Q隨機(jī)選擇[h1∈Zq?]，在列表[L1]中加入[（ID，R，X，h1，c）]，并返回[h1]給[A1];當(dāng)[c=1]時，令[h1=k]，并返回[k]給[A1]。

[H2]詢問：列表[L2]的格式為[（IDA，IDB，T，m，h2）]，當(dāng)收到[A1]對[H2（IDA，IDB，T，m）]的詢問時，如果列表中存在[（IDA，IDB，T，m，h2）]，Q就將相應(yīng)的值返回給[A1];否則，Q隨機(jī)選擇[h2∈Zq?]，在列表[L2]中加入[（IDA，IDB，T，m，h2）]，并返回[h2]給[A1]。

[H3]詢問：列表[L3]的格式為[（V，h3）]，當(dāng)收到[A1]對[H3（V）]的詢問時，如果列表中存在[（V，h3）]，Q就將相應(yīng)的值返回給[A1];否則，Q隨機(jī)選擇[h3∈Zq?]，在列表[L3]中加入[（V，h3）]，并返回[h3]給[A1]。

部分私鑰提取詢問：如果列表[LD]中存在[（ID，D，R）]，就將相應(yīng)的值返回給[A1];否則，Q隨機(jī)選擇[D，h1∈Zq?]，計(jì)算[R=DP-h1y]，在列表[LD]中加入[（ID，D，R）]，列表[L1]中加入[（ID，R，h1）]，并返回[（R，D）]給[A1]。

私鑰提取詢問：如果列表[LSK]中存在[（ID，D，x）]，就返回給[A1];否則，Q從列表[LD]中獲取[D]，并隨機(jī)選擇[x∈Zq?]，然后在列表[LSK]中加入[（ID，D，x）]。

公鑰提取詢問：列表[LPK]的格式為[（ID，R，X，c）]，當(dāng)收到[A1]對[（ID，R，X）]的詢問時，如果列表中存在[（ID，R，X）]，Q就將相應(yīng)的值返回給[A1];否則，Q查詢列表[LD]和[LSK]，計(jì)算[Xi=xiP]，在列表[LPK]中加入[（ID，R，X）]，并將[R，X]返回給[A1]。如果列表[LD]和[LSK]中不存在，Q就查詢列表[L1]：若[c=1]，Q隨機(jī)選擇[r，x∈Z?q]，計(jì)算[R=rP]，[X=xP]，在列表[LPK]中加入[（ID，R，X，c）]，并返回[R，X];若[c=0]，則執(zhí)行部分私鑰提取詢問，獲得[R，D]，Q隨機(jī)選擇[x∈Zq?]，在列表[LSK]中加入[（ID，D，x）]，列表[LPK]中加入[（ID，R，X，c）]，并返回[（R，X）]。

公鑰替換詢問：[A1]可以選擇一個新公鑰將簽名者[ID]的公鑰替換。

簽密詢問： Q從列表[LPK]中查詢[（IDB，RB，XB，c）]，若[c=1]，則放棄;否則，Q首先查詢列表[（IDA，DA，xA）]，接著隨機(jī)選擇[a∈Zq?]，然后計(jì)算[TA=aXB/xA]，[h1=H1（IDB，RB，XB）]，[h=H2（TA，IDA，IDB，m）]，[s=a/（xA（xA+DA+h））]，[V=a（XB+RB+h1Ppub）/xA]，完成簽密[C=H3（V）⊕m]，最后將簽密消息[σ=（h，s，C）]返回給用戶[A1]。

解簽密詢問：Q在列表[LPK]中查詢[IDA]：①如果[IDA]存在且[c=0]，Q就接著在列表[LSK]中查詢[（IDB，DB，xB）]的值，在列表[L1]中查詢[（IDA，RA，XA，h1′）]的值，并利用掌握的信息計(jì)算[V=s（xB+DB）（XA+RA+h1′Ppub+hP）]，[T=sxB（XA+RA+h1′Ppub+hP）]，[m=H3（V）⊕C]，若等式[H2（T，IDA，IDB，m）=h]成立，則返回[m]，否則終止模擬;②如果[IDA]存在且[c=1]，Q就接著在[L1]中查詢[（IDA，RA，XA，h1′）]是否存在，若存在[（m，IDA，IDB，T，h2）∈L2]，[（V，h3）∈L3]，則返回[m]，否則終止模擬;③如果列表[LPK]中不存在[IDA]（即公鑰被替換掉），Q就從列表[L1]中查詢[（IDA，RA，XA，h1′）]，若存在[（m，IDA，IDB，T，h2）∈L2]和[（V，h3）∈L3]，則返回[m]，否則終止模擬。

對上述詢問過程執(zhí)行概率多項(xiàng)式次數(shù)之后，[A1]確定希望接受挑戰(zhàn)的兩個身份[（IDA，IDB）]和長度相同的兩個不同明文[（m0，m1）]。若[c=0]，則終止模擬;否則，Q隨機(jī)選擇[a，h?∈Zq?]，[b∈{0，1}]，設(shè)[T=υP]，接著計(jì)算[h1=H1（IDB，RB，XB）]，[h=H2（T，IDA，IDB，m）]，偽造出挑戰(zhàn)密文[σ?=（h?，s?，C?）]，然后發(fā)送給[A1]。執(zhí)行第一階段相同的詢問，[A1]經(jīng)過概率多項(xiàng)式次數(shù)查詢后，輸出[b]作為對[b]的猜測。如果[b=b]，由于Q知道替換過的公鑰，那么Q可以輸出[（V-XBT-RBT）×（1/k）=uυp]，其中[V=T（RB+XB+（h1y）/P）]，作為CDH問題的答案;否則，Q沒能解決CDH問題。

若[A1]對[IDB]執(zhí)行過部分私鑰詢問或私鑰詢問，則Q挑戰(zhàn)失敗，[A1]不執(zhí)行這種查詢的概率不少于[1q21];如果[A1]對[V]執(zhí)行過[H1]詢問，那么Q挑戰(zhàn)失敗，[A1]不執(zhí)行這種查詢的概率大于[1q1];考慮到[H2]、[H3]存在的碰撞問題，在執(zhí)行簽密詢問時，Q終止其行為的概率為Pr1≤[qs（2q2+q3+2qs）/2k];Q拒絕有效密文的概率為Pr2≤[Pr2qun/2k]。據(jù)此，可計(jì)算得出Q能以[AdυIND-CCA2（A1）]≥[（ε/q13）（1-qs（2q2+q3+2qs）/2k）（1-qun/2k）]的優(yōu)勢解決CDH困難問題。

定理2（類型[ΙΙ]攻擊下的方案保密性）假設(shè)存在一個敵手[A2]可以在概率多項(xiàng)式時間內(nèi)以優(yōu)勢[ε]在定義2[15]中的游戲中獲勝（設(shè)最多[qi]次[Hi]詢問（i=1，2，3）），挑戰(zhàn)者Q則能夠在概率多項(xiàng)式時間內(nèi)以[ε/q13]的優(yōu)勢解決CDH困難問題。

證明：假設(shè)Q是挑戰(zhàn)者，其通過輸入（uP， vP），利用[A2]解決CDH問題，即計(jì)算出uvP。敵手[A2]知道定理1中給定的所有條件和系統(tǒng)主密鑰[z]。[A2]僅僅不能執(zhí)行定理1中的公鑰替換詢問和部分私鑰提取詢問，并且除公鑰提取詢問之外，其他詢問的方法同定理1。

公鑰提取詢問：列表[LPK]的格式為[（ID，R，X）]，收到[A2]對[（ID，R，X）]的詢問時，如果列表中存在[（ID，R，X）]，Q就將相應(yīng)的值返回給[A2];否則，Q查詢列表[LD]和[LSK]，則可以得到R和x，計(jì)算[X=xP]，將[（ID，R，X）]加入列表[LPK]中，并將[R，X]返回給[A2]。如果列表[LD]和[LSK]中不存在，Q就查詢列表[L1]：若[c=1]， Q隨機(jī)選擇[x∈Z?q]，設(shè)[R=uP]，計(jì)算[X=xP]，在列表[LPK]中加入[（ID，R，X）]，并返回[R，X];若[c=0]，則執(zhí)行部分私鑰提取詢問，獲得[R，D]，Q隨機(jī)選擇[x∈Zq?]，在列表[LSK]中加入[（ID，D，x）]，計(jì)算[X=xP]，在列表[LPK]中加入[（ID，R，X）]，返回[（R，X）]給[A2]。

對上述詢問過程執(zhí)行概率多項(xiàng)式次數(shù)之后，敵手[A2]輸出希望接受挑戰(zhàn)的兩個身份[（IDA，IDB）]和長度相同的兩個不同明文[（m0，m1）]。Q首先在表[L1]中查詢[（IDB，RB）]，若[c=0]，終止模擬;否則，Q將對[IDB]執(zhí)行公鑰提取詢問，確保[xB]已被保存，然后選擇隨機(jī)數(shù)[a，h?∈Zq?]，[b∈{0，1}]，設(shè)[T=υP]，接著計(jì)算[h1=H1（IDB，RB，XB）]和[h=H2（T，IDA，IDB，m）]，從而偽造出挑戰(zhàn)密文[σ?=（h?，s?，C?）]，并發(fā)送給[A2]。執(zhí)行第一階段相同的詢問，[A2]經(jīng)過概率多項(xiàng)式次數(shù)查詢后，輸出[b]作為對[b]的猜測。如果[b=b]，由于Q知道系統(tǒng)主密鑰z，那么Q可以輸出[V-xBT?kzT=uυp]，其中[V=（T（RB+XB+（h1y））/P]，作為CDH困難問題的答案;否則，Q沒能解決CDH問題。

若[A2]對[IDB]執(zhí)行過部分私鑰詢問或私鑰提取詢問，則Q挑戰(zhàn)失敗，敵手[A2]不執(zhí)行這種詢問的概率不少于[1q21];如果[A2]對[V]執(zhí)行過[H1]詢問，那么Q挑戰(zhàn)失敗，[A2]不執(zhí)行這種查詢的概率不少于[1q1]。因此，可計(jì)算得出Q能夠以[AdυIND-CCA2（A2）]≥[ε/q13]的優(yōu)勢解決CDH困難問題。

定理3（類型[Ι]，[ΙΙ]攻擊下的方案不可偽造性）假設(shè)存在一個敵手[A1]（或者[A2]）可以在概率多項(xiàng)式時間內(nèi)以優(yōu)勢[ε]≥[10（qs+1）（qs+q2）/2k]在定義3[15]或定義4[15]中的游戲中獲勝（設(shè)最多[qi]次的[Hi]詢問（i=1，2，3），[qs]次的簽密提問），挑戰(zhàn)者Q則能夠在概率多項(xiàng)式時間內(nèi)以1/9[q1]的優(yōu)勢解決DL問題。

證明：假設(shè)Q是挑戰(zhàn)者，其通過輸入（P， uP），利用[A1]（或[A2]）解決DL困難問題，即計(jì)算出u。對于類型[Ι]攻擊者[A1]，Q設(shè)置[y=uP]，對于類型[ΙΙ]攻擊者[A2]，Q設(shè)置[y=zP]（[z]的值已知）。

對于類型[Ι]敵手[A1]，執(zhí)行的詢問同定理1;對于類型[ΙΙ]敵手[A2]，執(zhí)行的詢問同定理2。

對上述詢問過程執(zhí)行概率多項(xiàng)式次數(shù)之后，敵手[A1]（或[A2]）隨機(jī)選擇兩個數(shù)[a，s?∈Z?q]，計(jì)算[T?=aP]，[h1′=H1（IDB，RB，XB）]，[h=H2（T?，IDA，IDB，m）]，從而得到一個偽造的簽密消息[σ?=（h?，s?，C?）]，這里假設(shè)[IDA]為發(fā)送者，[IDB]為接收者，[m?]為消息。Q首先在列表[LPK]中查詢[IDA]，若c=0，終止模擬;否則，Q接著計(jì)算[VB?=s?（xB+DB）（XA+RA+h1′Ppub+hP）]（Q能獲得[IDB]的完整私鑰），對[VB?]作[H3]詢問獲得[h3?]，使用[h3?]解密[C?]獲得[m?]，如果敵手[A1]（或[A2]）的偽造是正確的，那么由分叉引理可獲得兩個合法的簽名[（m?，IDA，IDB，T?，h，s1）]和[（m?，IDA，IDB，T?，h，s2）]，其中[h≠h]，進(jìn)而可以計(jì)算獲得：[T?=aP=s1xA（xA+DA+h）P]和[P=s2xA（xA+DA+h）P]，得到等式[s1（xA+DA+h）=s2（xA+DA+h）]。

對于類型[Ι]敵手即是：

[s1（xA+rA+uk+h）=s2（xA+rA+uk+h）]，其中，[k=h1=H1（IDA，RA，XA）]，此式中只有[u]未知，于是可求出[u]。

對于類型[ΙΙ]敵手即是：

[s1（xA+rA+zk+h）=s2（xA+rA+zk+h）]，其中，[k=h1=H1（IDA，RA，XA）]，由于此式中只有[rA]是未知的，并且在公鑰提取詢問中設(shè)置有[R=rAP=uP]，因此只要求出[rA]即可得到[u]的值。

選擇[IDA]為挑戰(zhàn)身份的概率為[1q1]，使用預(yù)言重放技術(shù)產(chǎn)生不少于兩個的有效密文時，Q失敗的概率小于1/9。因此，挑戰(zhàn)者Q解決DL困難問題的優(yōu)勢為1/9[q1]。

4性能分析

盡管國內(nèi)外學(xué)者針對雙線性對運(yùn)算的復(fù)雜性問題做了大量研究工作，但是目前雙線性對運(yùn)算效率仍然比較低。文獻(xiàn)[10-11]中的實(shí)驗(yàn)結(jié)果表明，進(jìn)行一次雙線性對操作耗時約為20ms，分別約為指數(shù)運(yùn)算、點(diǎn)乘運(yùn)算和模冪運(yùn)算7倍、21倍和2倍。在表1中，針對方案簽密階段和解密驗(yàn)證階段的計(jì)算量及方案安全性兩方面，對本文方案和現(xiàn)有的典型方案進(jìn)行了比較。其中，指數(shù)運(yùn)算標(biāo)識為E、模冪運(yùn)算標(biāo)識為ME、點(diǎn)乘運(yùn)算標(biāo)識為M、雙線性對運(yùn)算標(biāo)識為P。與前面四種運(yùn)算相比，雜湊函數(shù)運(yùn)算和異或運(yùn)算的耗時較少，對方案整體性能的影響可以忽略不計(jì)。

從表1可以看出，文獻(xiàn)[4-5]的方案需要進(jìn)行復(fù)雜的雙線性對運(yùn)算，文獻(xiàn)[13]的方案需要進(jìn)行較多的指數(shù)運(yùn)算，文獻(xiàn)[15]的方案和本文方案僅僅需要進(jìn)行點(diǎn)乘運(yùn)算。綜合以上方案的比較，本文方案是可以證明安全的，并且與現(xiàn)有最優(yōu)無證書簽密方案的效率相當(dāng)。

5 結(jié)論

無證書簽密方案在簽密階段將傳統(tǒng)的簽名和加密兩個步驟進(jìn)行了合并，并借助于無證書密碼體制的優(yōu)勢，大大降低了計(jì)算復(fù)雜度和通信代價。本文設(shè)計(jì)了一個安全高效的無證書簽密方案。方案不僅不需要進(jìn)行復(fù)雜的雙線性對運(yùn)算和指數(shù)運(yùn)算，而且基于CDHP困難假設(shè)，在隨機(jī)語言模型下方案被證明能夠抵抗兩類敵手下的偽造攻擊，同時私鑰的生成過程不需要借助安全信道。基于以上優(yōu)勢，該方案適用于計(jì)算資源和網(wǎng)絡(luò)帶寬受限的簽密應(yīng)用環(huán)境。

參考文獻(xiàn)：

[1] Shamir A. Identity-based cryptosystems and signature schemes [C] // Proceeding of Crypto84， LNCS，Berlin： Springer-verlag， 1984，196：47-53.

[2] Al-riyami S， Paterson K. Certificateless public key cryptography [C] // Proceedings of the Asiacrypt03，LNCS，Berlin： Springer-verlag， 2003，2894：452-473.

[3] Zheng Y. Digital signcryption or how to achieve cost （signature & encryption） << cost （signature） + cost （encryption） [C] // Proceedings of Advances in Crypto97，LNCS.1294， Berlin： Springer-verlag，1997：165-179.

[4] Barbosa M， Farshim P. Certificatelesssigncryption[C] //Proceeding of ASIACCS2008.ACM， 2008：369-372.

[5] Aranha D，Castro R， Lopez J， et al. Efficient certificatelesssigncryption[EB/OL].[2015-10-10].http： //sbseg 2008.inf. ufrgs. br/ proceeding gs/data/pdf/st03_01_resumo.pdf.

[6] Wu C， Chen Z. A new efficient certificatelesssigncryption scheme[C]//2008 International Symposium on Information Science and Engineering， 2008： 661-664.

[7] Sharmila D S， Vivek S S， Pandu R C. On the security of certificatelesssigncryption schemes[EB/OL].[2015-10-10].http：//epri nt. iacr. org/2009/ 298. pdf.

[8] Liu Z H， Hu Y P，Zhang X S， et al. Certificatelesssigncryption scheme in the standard model[J]. Information Sciences， 2010， 180（3）：452-464.

[9] Weng J， Yao G， Deng R H， et al. Cryptanalysis of a certificateless signcryption scheme in the standard model[J]. Information Sciences， 2011， 181（3）： 661-667.

[10] Cao X， Kou W， Du X. A pairing-free identity-based authenticated key agreement scheme with minimal message exchanges [J]. Information sciences， 2010，180 （6）：2895-2903.

[11] Chen L， Cheng Z， Smart N P. Identity-based key agreement protocols from pairings[J]. International Journal of Information Security， 2007， 6（4）： 213-241.

[12] Barreto P S， Deusajute A M， Cruz E S， et al. Toward efficient certificateless signcryption from （and without） Bilinear pairings [EB/OL]. [2008-10-1]. http：/ /sbseg 2008. Inf . ufrgs. Br/anais/data/pdf/st03_03_artigo.pdf.

[13] Selvi S D， Vivek S S， Ragan C P. Cryptanalysis of certificateless signcryption schemes and an efficient construction without pairing [C] // Inscrypt 2009. 2010：75-92.

[14] Xie W J，Zhang Z. Certificateless signcryption without pairing. Cryptology eprint archive： Report 2010/187 [EB/OL]. [2015-10-10]. http：// eprint.iacr.org/2010/187.pdf.

[15] 劉文浩，許春香.無雙線性配對的無證書簽密方案[J].軟件學(xué)報，2011，22（8）：1918-1926.

[16] 夏昂，張龍軍.一種新的無雙線性對的無證書安全簽密方案[J].計(jì)算機(jī)應(yīng)用研究，2014，31（2）：532-535.

[17] 趙振國.無證書簽密機(jī)制的安全性分析與改進(jìn)[J].通信學(xué)報，2015，36（3）：129-134.

[18] 何德彪.無證書簽密機(jī)制的安全性分析[J].軟件學(xué)報，2013，24（3）：618-622.

[19] 周彥偉，楊波，張文政.可證安全的高效無證書廣義簽密方案[J].計(jì)算機(jī)學(xué)報，2016，39（3）：543-551.

[20] 柳菊霞，蘇靖楓.一個無證書簽密方案的密碼學(xué)分析[J].科技通報，2017，33（6）：174-178，241.

【通聯(lián)編輯：代影】