摘 要:  无证书密码系统既解决了密钥托管问题,又不涉及公钥证书;而聚合签名可以有效地减少计算代价和通信开销.结合二者的优点构造无证书聚合签名是很有意义的.尽管无证书聚合签名方案的构造已经取得了重要进展,但是现有的方案仍然不能同时达到既可抵抗两类超级攻击者又具有运算的高效性.使用双线性映射并引入状态信息来设计具有强安全性的无证书聚合签名方案.在随机预言模型中,该状态信息被用于嵌入给定困难问题的部分信息.结果显示,该方案的安全性基于计算 Diffie-Hellman 问题的困难性并可以抵抗超级攻击者的攻击.同时,由于充分利用公开信息和双线性映射的性质,它在个体签名和聚合签名验证过程只需4个双线性映射.另外,在该方案中,用户知道状态信息后可独立完成个体签名而无需交换信息,所以它允许用户动态地加入聚合签名.故它可应用于多对一的通信系统中.

关键词:  无证书密码系统;聚合签名;计算 Diffie-Hellman 问题;双线性映射;随机预言模型

2003 年,Al-Riyami 等人 [1] 首次提出无证书密码体制.该体制不但成功地解决了密钥托管问题,而且不涉及公钥证书.这使它成为近期一个研究热点,似雨后春笋般地涌出众多满足不同需求的无证书签名方案 [26] ,如无证书代理签名方案 [3] 、无证书群签名方案 [4] 、无证书聚合签名方案 [59] .聚合签名 [10] 是把来自n个不同签名者对n条不同消息的签名通过一种有效的算法压缩成单个签名.持有聚合签名的验证人可通过确定的验证算法检验其有效性,以此判定 n 个签名人对这 n 条消息的分别认可.故而,聚合签名可以有效地减少签名验证的计算代价和通信开销.近年来,各具特色的无证书聚合签名方案 [59] 陆续被提出来,其中,文献[6,9]中方案的聚合签名验证计算量和聚合签名的长度均与聚合人数无关,但前者每次都要协商新的状态信息,后者完成个体签名时需要用户之间互相传递必须的数据,这些都会引起额外的通信开销致使方案低效.另外,上述除文献[8]以外的无证书聚合签名方案所给出的安全模型中的攻击者 [1] 能力相对较弱.虽然文献[8]中的攻击者能力得以加强,使之成为超级攻击者 [2] ,但是签名验证计算量很大.

本文提出一个在聚合签名验证阶段只需 4 个双线性运算的无证书聚合签名方案.它在保证较高效率的基础上,实现了在最强安全模型(即,赋予攻击者最强的攻击能力)下是可证安全的.受文献[6]的启发,我们的方案也选择使用一个共同的状态信息,以实现强安全性的聚合签名方案的设计.与文献[9]中方案的显著区别是,在我们的方案中,参与聚合的用户之间独立地完成个体签名,无需交换彼此的数据.因此,我们的聚合方案可方便地实现系统内的用户动态地加入完成聚合签名.本文第 1 节给出无证书聚合签名的概念和安全模型.第 2 节提出一个无证书聚合签名方案.第 3 节分析方案的安全性和效率.最后总结全文.

1 有关的概念和安全模型

无证书聚合签名方案包含了 n 个用户、一个密钥生成中心(KGC)和一个聚合者,它由系统参数生成、部分私钥提取、设置公/私钥、个体签名、聚合和聚合签名验证等 6 个算法组成.各算法的定义参见文献[5].无证书聚合签名中存在两类攻击者,即第一类攻击者A I 和第二类攻击者A II .文献[1]最初赋予攻击者的能力为“A I 不能获知系统主密钥,但可在公钥空间随意取值以替代任何用户的公钥;A II 可获知系统主密钥,但不能替换任何用户的公钥.”后来,文献[2]不仅对 A II 能力作了增强——“可获知系统主私钥,可替换除了目标用户之外的任何用户的公钥”,而且对安全模型中所定义的签名预言器按能力强弱分为正常、强和超级这 3 种签名预言器.进而,每种类型的攻击者依据被允许访问签名预言器的类型进一步分为正常、强和超级攻击者.具体细节见表 1 和表 2. 为了方便下面方案之间安全性的比较,本文把具有文献[1]所赋予的攻击能力并且只允许访问正常签名预言器的攻击者称为弱正常攻击者.无证书聚合签名的不可伪造性是通过一个解决困难问题的挑战者 Q 和一个攻击者 A{A I ,A II }之间的游戏来定义.本文考虑的攻击者为超级攻击者,对其他类型攻击者,只需相应地修改签名询问过程.  设置系统参数:Q 初始化系统,以安全参数  作为输入,输出参数列表 List.若 A 是 A I ,则 Q 把 List 给 A;否则,Q 把 List{系统主密钥}给 A.  攻击:A 被允许受限次地访问受控于 Q 的预言器(和可能存在的 hash 函数预言器).另外,Q 要维护和 A交互过程中涉及到的数据所形成的一些列表,这些列表初始均为空表:  生成用户询问:输入 List,一个身份 ID,它输出该用户的公钥 P ID 和身份 ID 的哈希值 Q ID .  部分私钥询问(仅对 A I 有效):输入 List 和一个用户的身份 ID,它输出其部分私钥 D ID .  公钥替换询问:输入 List,一个用户的身份 ID 和新公钥IDP,它把身份 ID 的公钥置为 .IDP  秘密值询问:输入 List,一个用户的身份 ID,它输出其秘密值 x ID .  个体签名询问:输入 List、消息 m、状态信息  、签名者的身份 ID 和公钥 P ID ,它输出有效的个体签名  .若公钥已被替换,攻击者不必提供相应的秘密值.  伪造:攻击者 A 输出在相同状态信息  * 下,公钥集是* * * *1 2{ , ,..., }PK nL P P P  、身份集是* * *ID 1 2{ , ,..., L ID ID * }nID 的 n 个用户对消息* * *1 2, ,...,nm m m 的聚合签名* * * * *1 2( , ,..., , )nR R R K   作为伪造 .A 在游戏中获胜 , 当且仅当同时满足如下两个条件 :(1)* * * * * *1 ID1 ( , , ,..., , , , ).n PKverify List m m L L   (2) 至少存在一个身份* *ID jID L  未对* * * *( , , , )j j jm ID P  做个体签名询问 . 同时 , 当 A 是 A I 时 , 则未曾做*jID 的部分私钥询问 ; 否则 , 未曾做*jID 的秘密值询问 , 也未曾做*jID 公钥替换询问 .在游戏中 , 若任何多项式有界的攻击者 A{A I ,A II } 获胜的概率是可忽视的 , 则称此无证书聚合签名方案是自适应选择消息和身份攻击存在不可伪造的 .另外 , 因攻击者获得个体签名后可以自己生成聚合签名 , 故我们的安全模型无需进行聚合签名询问 .

2 无证书聚合签名方案

受文献 [6] 的启发 , 我们在构造聚合签名方案时也引入了状态信息 , 为了增强方案的安全性以抵抗超级攻击者的攻击 . 聚合者在个体签名前随机选取并广播状态信息 , 这里状态信息可选择随机长度的比特串 . 系统参数的生成 : 设安全参数为  , 素数 2 , q≥ (G 1 ,+) 和 (G 2 ,) 是循环群 , 其阶均为 q. 双线性映射 e:G 1 G 1 G 2 .* * * *1 2 3 1 4 5, , :{0,1} ; , :{0,1}qH H H G H H    是 5 个抗碰撞的哈希函数 .P 是 G 1 的一个生成元 ,KGC 设置系统主密钥* ,R qs  系统公钥为 P 0 =sP, 消息空间  ={0,1} * , 公开参数 :List={G 1 ,G 2 ,e,q,P,P 0 ,H 1 ,H 2 ,H 3 ,H 4 ,H 5 }. 部分私钥提取 :KGC 对用户所提交的身份 ID i {0,1} * 认证后 , 为其计算部分私钥 D i =sQ i =sH 1 (ID i ), 并安全地传 D i 给该用户 . 设置公 / 私钥 : 用户 ID i 选* ,i R qx   计算 P i =x i P. 这里 ,P i 为公钥 ,(x i ,D i ) 为私钥 ,x i 作为其秘密值 . 个体签名 : 聚合者随机选择一个状态信息  并广播 . 公钥和身份分别为 P i 与 ID i 的用户 , 用其私钥(x i ,D i ), 按如下步骤对消息 m i 签名 , 其中 ,i=1,2,…,n:① 任选* ,i R qr   计算 R i =r i P,h i =H 4 (m i ||  ||R i ||ID i ) 和 g i =H 5 (m i ||  ||R i ||P i );② 计算 W i =g i D i +x i h i U+r i V, 其中 ,U=H 2 (  ||P),V=H 3 (  ||P 0 );③ 输出  i =(R i ,W i ) 为个体签名 . 聚合 : 设 L ID ={ID 1 ,ID 2 ,…,ID n } 是参与聚合的 n 个用户的身份集 , 公钥集是 L PK ={P 1 ,P 2 ,…,P n }. 当收齐这n 个用户在相同状态信息  下的消息 - 签名对 (m 1 ,  1 ),(m 2 ,  2 ),...,(m n ,  n ) 后 , 聚合者计算 W=W 1 +W 2 +…+W n 并输出聚合签名  =(R 1 ,R 2 ,…,R n ,W). 聚合签名验证 : 在状态信息  下 , 欲验证身份集是 L ID ={ID 1 ,ID 2 ,…,ID n }, 公钥集是 L PK ={P 1 ,P 2 ,…,P n } 的n 个用户对消息 m 1 ,m 2 ,...,m n 的聚合签名  =(R 1 ,R 2 ,…,R n ,W), 验证者按如下步骤进行检验 :① 计算 U=H 2 (  ||P),V=H 3 (  ||P 0 ),h i =H 4 (m i ||  ||R i ||ID i ),g i =H 5 (m i ||  ||R i ||P i ),Q i =H 1 (ID i ),i=1,2,…,n;② 验证      01 1 1( , ) , , ,n n ni i i i ii i ie W P e g Q P e hP U e R V    是否为真 : 若真 , 则接受  ; 否则 , 拒绝  .

3 安全性和效率

3.1 正确性下面证明方案是正确的 .            111 1 101 1 1( , ) ,( ),, , ,, , , .niini i i i iin n ni i i i ii i in n ni i i i ii i ie W P e W Pe g D x hU rV Pe g D P e xhU P e rV Pe g Q P e hP U e R V          

3.2 不可伪造性符号1 2 3 4 5 6 7 8 9( , , , , , , , , )tAQuery x x x x x x x x x 表示在时间 t 内 , 攻击者 A 被允许至多做 x 1 次生成用户询问、 x 2 次H 2 询问、 x 3 次 H 3 询问、 x 4 次 H 4 询问、 x 5 次 H 5 询问、 x 6 次部分私钥询问、 x 7 次公钥替换询问、 x 8 次秘密值询问、 x 9 次个体签名询问 . 上述 9 种询问中 , 每种询问一次的耗时依次记为 t 1 ,t 2 ,t 3 ,t 4 ,t 5 ,t 6 ,t 7 ,t 8 和 t 9 . 符号 A(n,m) 表示从 m 个不同事物中选出 n 个物体的排列数 , 其中 n ≤ m 且 n,m  . 用 (t,  )-CDH 表示给定的 CDH 问题可在 t 时间内以概率  解决 .定理1 .  在随机预言模型下 , 如果 A I 是第一类超级攻击者 , 做自适应选择消息和身份攻击询问I1 2( , ,tAQuery q qq 3 ,q 4 ,q 5 ,q 6 ,q 7 ,q 8 ,q 9 ) 后 , 以不可忽略的概率57 ( , ) 2 A n q ≥ 攻破所提出的方案,那么存在一个(t,  )-CDH 算法 Q,其中,691 2 1 25 1 112 2 , [66 ( , )] (1 ) .qi iit t qt A n q q q          ≤ ≥证明 :若有(G 1 ,+)上的 CDH 问题的一个随机实例(P,P 1 =aP,P 2 =bP),该困难问题的解决者是 Q,则其目标是算出 abP.下证凭借 A I 的能力,Q 是一个(t,  )-CDH 的挑战者. 设置系统参数:Q 置 P 0 =P 1 =aP 并把 List={G 1 ,G 2 ,e,q,P,P 0 ,H 1 ,H 2 ,H 3 ,H 4 ,H 5 }给 A I . 攻击:抗碰撞的哈希函数 H 1 ~H 5 受控于 Q,它们被作为随机预言器.为简单,假设 A I 的询问都是不同的.Q 维护 H 1 ~H 5 和 L 等列表,它们初始都为空.这些列表中每项的格式依次为(ID i ,Q i ,P i ,D i ,  i ,x i ),(  i ,U i ,  i ),(  i ,V i ,  i ),(m i ,  i ,R i ,ID i ,h i ),(m i ,  i ,R i ,P i ,g i ),(m i ,  i ,ID i ,P i ,R i ,r i ,h i ,g i ,W i ). 生成用户询问:Q随机选择 k{1,2,…,q 1 }.当 A I 询问 Create(ID i )时,Q选择*,i i R qx    满足(*,*,*,*,  i ,*)以前未出现在 H 1 列表.当 i=k 时,置 Q k =  k P+P 2 ,D k =(符号表示该值未知,下同),P k =x k P;当 ik 时,置Q i =  i P,P i =x i P,D i =  i P 1 .Q 将(ID i ,Q i ,P i ,D i ,  i ,x i )添加到 H 1 列表,并把 P i ,Q i 返给 A I .不失一般性,下面 A I 询问所涉及的 ID i 均已生成. 部分私钥询问:当A I 询问 PPKey(ID i )时,Q执行:当i=k时,终止协议;否则,检查 H 1 列表寻找元组(ID i ,Q i ,P i ,D i ,  i ,x i ),将 D i 返给 A I . 公钥替换询问:当 A I 询问 Replace( , )i iID P 时,Q 据 ID i 检查 H 1列表,把元组(ID i ,Q i ,P i ,D i ,  i ,x i )替换为( , , , , , )i i i i iID Q P D    . 秘密值询问:当 A I 询问 Value(ID i )时,Q 据 ID i 检查 H 1 列表:若 x i ,则返回 x i 给 A I ;否则,输出. H 2 哈希询问:当 A I 询问 H 2 (  ||P)时,Q 选择*,i i R qx    满足(*,*,  i )未出现在 H 2 列表,将 U i =  i P 返给 A I并把(  i ,U i ,  i )添入 H 2 列表. H 3 哈希询问:当 A I 询问 H 3 (  i ||P 0 )时,Q 选择*i R q   满足(*,*,  i )未出现在 H 3 列表,将 V i =  i PP 1 返给A I 并添(  i ,V i ,  i )到 H 3 列表. H 4 哈希询问:当 A I 询问 H 4 (m i ||  ||R i ||ID i )时,Q 选择*i R qh   满足(*,*,*,*,h i )未出现在 H 4 列表,将 h i 返给A I 并添(m i ,  i ,R i ,ID i ,h i )到 H 4 列表. H 5 哈希询问:当 A I 询问 H 5 (m i ||  ||R i ||P i )时,Q 选择*i R qg   满足(*,*,*,*,g i )未出现在 H 5 列表,将 g i 返给A I ,并把(m i ,  i ,R i ,P i ,g i )添入 H 5 列表. 个体签名询问:当 A I 询问 Sign(m i ,  i ,ID i ,P i )时,Q 查询 H 2 ,H 3 列表以分别获得 U i =  i P 和 V i =  i PP 1 .Q 执行如下步骤:(1) 任选*, ,i i i R qr h g   满足(*,*,*,*,h i )和(*,*,*,*,g i )分别未出现在 H 4 和 H 5 列表.(2) 计算 R i =r i P+g i Q i ,并置 H 4 (m i ||  ||R i ||ID i )=h i 和 H 5 (m i ||  ||R i ||P i )=g i .(3) 计算 W i =h i  i P i +  i g i Q i +  i r i Pr i P 1 .Q 把(m i ,  i ,ID i ,P i ,R i ,r i ,h i ,g i ,W i )添入 L 列表并以 R i ,W i 作答.由设定 P 0 =P 1 和个体签名验证算法可知,该返回值(R i ,W i )是关于(m i ,  i ,ID i ,P i )的一个有效签名,因为0 1 11( , ) ( , ) ( , ) ( , ) ( , ) ( , )( , )( , ).i i i i i i i i i i i i i ii i i i i i i i iie g Q P e hP U e R V e g Q P e hP P e rP g Q P Pe h P g Q r P rP Pe W P         伪造:A I 输出公钥集是* * * *1 2{ , ,..., }PK nL P P P  、 身份集是* * * *1 2{ , ,..., }ID nL ID ID ID  的 n 个用户在相同状态信息  * 下对消息* * *1 2, ,...,nm m m 的聚合签名* * * * *1 2( , ,..., , )nR R R W   ,且同时满足如下条件:(1)     * * * * * * * *01 1 1( , ) , , , .n n ni i i i ii i ie W P e g Q P e h P U e R V    (2) 至少存在一个身份* *,j IDID L  既未对它做部分私钥询问,也未对* * * *( , , , )j j jm ID P  做个体签名询问.Q 只把哈希函数 H 5 替换为5 ,H其余保持不变.重复上述交互过程.由 Forking lemma [11] 可知:在不大于2t 时间内,借助 A I 的能力以不低于  2 [66A(n,q 5 )] 1 的概率,获得一个新的有效的伪造元组* * * * *1 2( , ,..., , ),nR R R W   其中存在 s{1,2,…,n},当 i{1,2,…,n}\{s}时,总有* *;i ig g   但当 i=s 时,有:* * * * * * * * * *5 5( || || || ) ( || || || ).s s s s s s s sH m R P g g H m R P     于是,Q 得到方程组:          * * * * * * * *01 1 1* * * * * * * *01 1 1, , , ( , )., , , ( , )n n ni i i i ii i in n ni i i i ii i ie g Q P e h P U e R V e W Pe g Q P e h P U e R V e W P          两式相除,得到:* * * * *0(( ) , ) ( , ).s s se g g Q P e W W P     若* * ,j k sID ID ID   则*2 , s k kQ Q P P     解出* * 1 * *1( ) ( ) ;s s kabP g g W W P       否则,Q 终止协议. 成功概率:Q 成功解决给定的 CDH 问题可转化为以下 3 个事件的发生:  S 1 :协议未终止于部分私钥询问.  S 2 :聚合签名被 A I 成功地伪造且 Forking Lemma 应用成功.  S 3 :满足* * .j k sID ID ID  Q 解决 CDH 问题的概率是 P(S 1 S 2 S 3 )=P(S 1 )P(S 2 |S 1 )P(S 3 |S 1 S 2 ),其中,61 1P( ) (1 1/ ) ,qS q  ≥ P(S 2 |S 1 )≥2 [66A(n,q 5 )] 1 且23 1 2 1P( | ) , S S S q   ≥ 即,61 2 1 25 1 1[66 ( , )] (1 ) .qA n q q q         ≥ □定理 2 . 在随机预言模型下,如果 A II 是第二类超级攻击者,做自适应选择消息和身份攻击询问II1( ,tAQuery qq 2 ,q 3 ,q 4 ,q 5 ,q 6 ,q 7 ,q 8 ,q 9 )后,以不可忽略的概率57 ( , ) 2 A n q ≥ 攻破提出的方案,那么存在一种(t,  )-CDH 算法 Q,其中, 7 85 91 2 1 24 1 11 72 , [66 ( , )] (1 ) .q qi i i ii it t qt qt A n q q q            ≤ ≥证明 :Q 选择系统主密钥* ,R qs  计算 P 0 =sP,把{G 1 ,G 2 ,e,q,P,P 0 ,H 1 ,H 2 ,H 3 ,H 4 ,H 5 }{s}给 A II .Q 仍然将 H 1 ~H 5作为随机预言器,维护 H 1 ~H 5 和 L 等列表,Q 的目标是由(P,P 1 =aP,P 2 =bP)计算出 abP. 生成用户询问:Q 随机选择 k{1,2,…,q 1 }.当 A II 询问 Create(ID i )时,Q 选择*,i i R qx    满足(*,*,*,  i ,*)以前未出现在 H 1 列表.当 ik 时,置 Q i =  i P,P i =x i P;当 i=k 时,置 Q k =  k P,P k =x k P+P 2 .Q 把(ID i ,Q i ,P i ,  i ,x i )添入到 H 1 列表,并把 P i 和 Q i 返给 A II . 公钥替换询问:当 A II 询问 Replace( , )i iID P 时,Q 执行:当 i=k 时,终止协议;当 ik 时,Q 检查 H1 列表,把元组(ID i ,Q i ,P i ,  i ,x i )更新为 ( , , , , ).i i i iID Q P    秘密值询问:当 A II 询问 Value(ID i )时,Q 遍历 H 1 列表.当 i=k 时,终止协议.当 ik 且 x i 时,则为 A II 输出 x i ;否则,返回. H 2 哈希询问:当 A II 询问 H 2 (  ||P)时,Q 选择*i R q   满足(*,*,  i )未出现在 H 2 列表,把 U i =  i P+P 1 返给A II 并添(  i ,U i ,  i )到 H 2 列表.H 3 ,H 4 和 H 5 哈希询问与定理 1 的证明过程相同. 个体签名询问:当A II 询问Sign(m i ,  i ,ID i ,P i )时,Q查询H 2 ,H 3 列表以分别获得U i =  i P+P 1 和V i =  i PP 1 .Q执行如下步骤:(1) 任选*, ,i i i R qr h g   满足(*,*,*,*,h i )和(*,*,*,*,g i )分别未出现在 H 4 和 H 5 列表;(2) 计算 R i =r i P+h i P i 并置 H 4 (m i ||  ||R i ||ID i )=h i 和 H 5 (m i ||  ||R i ||P i )=g i ;(3) 计算 W i =h i (  i +  i )P i +sg i Q i +  i r i Pr i P 1 .Q 把(m i ,  i ,ID i ,P i ,R i ,r i ,h i ,g i ,W i )添入 L 列表并以 R i ,W i 作答.根据 P 0 =sP 和个体签名验证算法知:该返回值(R i ,W i )是关于(m i ,  i ,ID i ,P i )的一个有效签名,因为0 1 11 1 11( , ) ( , ) ( , ) ( , ) ( , ) ( , )( , ) ( , ) ( , ) ( , ) ( , ) ( , )( , )( , ).i i i i i i i i i i i i i ii i i i i i i i i i i i i i ii i i i i i i i i i iie g Q P e hP U e R V e g Q sP e hP P P e rP hP P Pe sg Q P e h P P e hP P e rP hP P e rP P e hP Pe h P hP sg Q rP rP Pe W P                伪造:类似与定理 1 相应过程,只是 Q 选择不同的哈希函数4H并应用 Forking lemma [11] ,进而构造出一个方程组:          * * * * * * * *01 1 1* * * * * * * *01 1 1, , , ( , )., , , ( , )n n ni i i i ii i in n ni i i i ii i ie g Q P e h P U e R V e W Pe g Q P e h P U e R V e W P          两式相除,得出:* * * * * *(( ) , ) ( , ).s s se h h P U e W W P     若* *j k sID ID ID   ,则 U * =  k P+P 1 ,*2 s k kP P x P P    .Q 可以解出:* * 1 * *2 1( ) ( ) ;s s k k k kabP h h W W P x P x P          否则,Q 终止协议. 成功概率:类似于定理 1 中相应的部分.  □表 3 列举了几个在随机预言模型下可证安全的无证书聚合签名方案.数据显示,只有文献[8]和本文的方案给出了能够抵抗两类超级攻击者形式化的证明,而文献[57,9]中的方案给出了只能抵抗弱正常攻击者 A II 的

3.3 效 率

方案的效率从两个方面考察:计算和通信代价.为了方便,用 L 表示群 G 1 中元素的比特长度,pairing 运算用BP 表示,* *1{0,1} G  上的 hash 运算记为 H,群 G 1 中标量乘运算为 SM.这 3 种运算代价较大,尤其是 BP.故比较时只考虑它们.文献[7]包含两个聚合签名方案,我们用[7]-1 和[7]-2 加以区别.表 3 数据显示:本文方案的聚合验证运算量明显小于文献[58],稍大于文献[9].虽然我们的聚合签名长度比文献[9]大,但是文献[9]中每个个体签名时必须所有参与成员互相传递数据后才能完成,最后再聚合产生聚合签名.因需要成员间交互信息而加大了通信代价,这必将极大地降低方案的效率,故在通信代价上,文献[9]并不比我们的方案占优势.另外,由于文献[9]涉及交换数据,所以在个体签名之前需要确定参与的成员.而我们的方案却没有这种限制,故它可以方便地实现系统中成员动态地加入每次的聚合签名.

4 结 论

本文利用双线性映射提出一个无证书聚合签名方案.该方案具有效率高、安全性强等优点.另外,方案中用户个体签名只使用公共信息和用户自己的信息,阻断了用户间的耦合性,可以方便实现系统中用户动态加入聚合签名,这使得方案具有应用的灵活性.鉴于该方案安全、高效和无证书管理的优点,它可应用于多对一的通信系统中对消息的认证.致谢 我们向给予支持和提出宝贵建议的同行深表感谢.

References :[1] Al-Riyami SS, Paterson KG. Certificateless public key cryptography. In: Laih CS, ed. Proc. of the ASIACRYPT 2003. LNCS 2894,Berlin: Springer-Verlag, 2003. 452-473. [doi: 10.1007/978-3-540-40061-5_29][2] Huang XY, Mu Y, Susilo W, Wong DS, Wu W. Certificateless signature revisited. In: Pieprzyk J, Ghodosi H, Dawson E, eds. Proc.of the ACISP 2007. LNCS 4586, Heidelberg: Springer-Verlag, 2007. 308-322. [doi: 10.1007/978-3-540-73458-1_23][3] Chen H, Zhang FT, Song RS. Certificateless proxy signature scheme with provable security. Ruan Jian Xue Bao/Journal ofSoftware, 2009,20(3):692-701 (in Chinese with English abstract). http://www.jos.org.cn/1000-9825/574.htm [doi: 10.3724/SP.J.1001.2009.00574][4] Chen H, Zhu CJ, Song RS. Efficient certificateless signature and group signature schemes. Journal of Computer Research andDevelopment, 2010,47(2):231-237 (in Chinese with English abstract).[5] Zhang L, Zhang FT. A new certificateless aggregate signature scheme. Computer Communications, 2009,32(6):1079-1085. [doi:10.1016/j.comcom.2008.12.042][6] Zhang L, Qin B, Wu QH, Zhang FT. Efficient many-to-one authentication with certificateless aggregate signatures. ComputerNetworks, 2010,54(14):2482-2491. [doi: 10.1016/j.comnet.2010.04.008] [7] Gong Z, Long Y, Hong X, Chen KF. Practical certificateless aggregate signatures from bilinear maps. Journal of InformationScience and Engineering. 2010,26:2093-2106.[8] Chen H, Song WG, Zhao B. Certificateless aggregate signature scheme. In: Xie S, et al., eds. Proc. of the 2010 Int’l Conf. onE-Business and E-Government (ICEE). IEEE Computer Society, 2010. 3790-3793. [doi: 10.1109/ICEE.2010.950][9] Lu HJ, Yu XY, Xie Q. Provably secure certificateless aggregate signature with constant length. Journal of Shanghai JiaotongUniversity, 2012,46(2):259-263 (in Chinese with English abstract).[10] Boneh D, Gentry C, Lynn B, Shacham H. Aggregate and verifiably encrypted signatures from bilinear maps. In: Biham E, ed. Proc.of the EUROCRPYT 2003. LNCS2656, Heidelberg: Springer-Verlag, 2003. 416-432. [doi: 10.1007/3-540-39200-9_26][11] Herranz J, Saez G. New identity-based ring signature schemes. In: Lopez J, Qing S, Okamoto E, eds. Proc. of the ICICS 2004.LNCS 3269, Heidelberg: Springer-Verlag, 2004. 27-39. [doi: 10.1007/978-3-540-30191-2_3]