陳建能，岳昊，黃振杰

閩南師范大學計算機科學與工程系，福建漳州 363000

◎網(wǎng)絡(luò)、通信、安全◎

一個可證安全的基于證書聚合簽名方案

陳建能，岳昊，黃振杰

閩南師范大學計算機科學與工程系，福建漳州 363000

1 引言

以公鑰基礎(chǔ)設(shè)施為核心的傳統(tǒng)公鑰密碼體制采用公開驗證證書的方式來保證用戶公鑰的真實性，可是，對于證書的管理是傳統(tǒng)公鑰密碼體制比較難克服的弱點之一。1984年，在Shamir提出的基于身份的公鑰密碼體制中，用戶的公鑰直接從用戶身份信息中生成，每一個用戶私鑰的生成都依靠一個可信的第三方，稱為私鑰生成器（Private Key Generater，PKG），基于身份的公鑰密碼體制雖然避免了使用證書帶來的問題，實現(xiàn)了用戶公鑰和身份的綁定，但無法徹底解決用戶密鑰托管問題，而且需要一個安全信道來傳輸密鑰。

在2003年Eurocrypt會議上，Gentry[1]首先提出基于證書的公鑰密碼體制，在該公鑰密碼體制中每一個簽名者都擁有自己的公私鑰對和一個由權(quán)威認證機構(gòu)頒發(fā)的證書。在對消息加密或者簽名時，簽名者必須使用自己證書和私鑰。因為簽名私鑰是簽名者自己挑選的，所以不存在密鑰托管問題。不久，Kang[2]等人提出基于證書數(shù)字簽名的安全性定義和兩個具體的簽名方案。2007年，Li[3]等人提出了基于證書的安全模型和一種新的攻擊稱為替換公鑰攻擊。在2008年，Liu[4]等人提出了兩個基于證書的數(shù)字簽名方案，其中一個方案沒有用到雙線性對，另外一個方案是在標準模型下證明其安全性的。不久，Zhang[5]證明了方案的不安全性并提出改進方案。2009年，Wu[6]等人提出了基于證書數(shù)字簽名的一種新的安全模型。2011年，Li[7]等人提出了高效的基于證書短簽名方案。

聚合簽名這個概念最早是由Boneh，Gentry，Lynn和Shacham[8]在2003年的Eurocrypt國際會議上提出來的。隨后，Lysyanskaya[9]等人用認證陷門排列（certified trapdoorpermutations）構(gòu)造了一個聚合簽名方案，但他們的方法只能構(gòu)造有序的聚合方案，即第n個簽名者必須等第n-1個簽名者簽名完成之后才能繼續(xù)自己的簽名。2004年，Cheon[10]等人首次用基于身份的思想構(gòu)造了一個聚合簽名方案，隨后，Cheng[11]，Xu[12]、Gentry與Ramzan[13]等人分別提出了各自的基于身份的聚合簽名方案，其中，以Gentry與Ramzan所提出的方案效率最高，只用到3個雙線性對運算。2006年，Steve Lu[14]提出了一個無預言機的聚合簽名方案。2007年，Liu等人[15]提出了一個在標準模型下可證明安全的無證書聚合簽名方案。同年，Huang等人[16]重新構(gòu)造無證書的聚合簽名安全模型，并介紹了兩個具體的構(gòu)造方案。2009年，Zhang[17]等人提出了一個安全高效的無證書聚合簽名方案。2010年，一個韓國的學者Kyung-Ah Shim[18]提出了一個基于身份的聚合簽名方案，該方案在聚合簽名驗證過程中只用到兩次雙線性對運算，具有較高的效率。

在聚合簽名中，消息被分成n個部分，由n個簽名者分別對其簽名，再把n個簽名合成為一個聚合簽名，驗證者只要驗證聚合簽名即可，大大提高了簽名的驗證效率。具有附加性質(zhì)的聚合簽名在現(xiàn)實生活中已經(jīng)得到廣泛應(yīng)用，例如代理聚合簽名在電子商務(wù)和電子政務(wù)中用于簽名的授權(quán)，盲聚合簽名具有不可追蹤性，應(yīng)用于電子貨幣，順序聚合簽名應(yīng)用于網(wǎng)絡(luò)傳輸中等。

可是，國內(nèi)外文獻中基于證書的聚合簽名方案據(jù)作者所知目前還沒有，本文利用基于證書數(shù)字簽名的思想和雙線性對的特殊性質(zhì)，提出了一個可證明安全的基于證書聚合簽名方案。

2 預備知識

2.1 雙線性對

設(shè)G1，G2是階為素數(shù)q的加法循環(huán)群，P是G1的生成元，e：G1×G1→G2是雙線性映射，并且滿足：

（1）雙線性：給定元素P、Q、a、b∈G1，有：e（aP，bQ）= e（abP，Q）=e（P，abQ）。

（2）非退化性：存在元素Q、P∈G1，使得e（Q，P）≠1G2，其中1G2是群G2的單位元。

（3）可計算性：對于所有元素Q、P∈G1，存在一個有效的算法可計算e（Q，P）。

2.2 數(shù)學問題

CDH問題（Computational Diffie-Hellman Problem，CDHP）。

定義1設(shè)G是階為素數(shù)q的群，對任意a、b∈Z*q、P∈G，給定（P，aP，bP），計算abP稱為CDH問題。在本文中假定CDHP是難解的。

3 基于證書聚合簽名安全模型

基于證書聚合簽名方案中一般包含系統(tǒng)參數(shù)建立（setup），詢問（Queries）和結(jié)果輸出（Output）等算法，其中Queries還包含公私鑰詢問UserKeyGen Query，哈希值詢問Hash Query，證書詢問CertGen Query，替換公鑰詢問ReplacePublicKey Query，和簽名詢問Sign Query等過程。

下面定義基于證書聚合簽名方案的不可偽造性：

基于證書聚合簽名存在兩類攻擊者AI和AII，AI知道用戶私鑰但不知道對應(yīng)公鑰的證書，AII知道系統(tǒng)的主私鑰，可以產(chǎn)生證書但不知道用戶私鑰。

基于證書聚合簽名方案的不可偽造性通過攻擊者A（AI，AII）與挑戰(zhàn)者C之間的游戲（Game1，Game2）來定義：

Game1：攻擊者AI和挑戰(zhàn)者C1一起參加下面的游戲：

（1）Setup：挑戰(zhàn)者C1運行簽名方案的Setup算法得到系統(tǒng)公開參數(shù)params和系統(tǒng)主私鑰，并發(fā)送params給攻擊者AI保存。

（2）Queries：在多項式時間里，攻擊者AI可以適應(yīng)性地向挑戰(zhàn)者C1提出一定數(shù)量的詢問：

①UserKeyGen Query攻擊者AI可以選擇任意一個聚合簽名用戶ΙDi，其中(1≤i≤N)，詢問其公私鑰對（PKi，SKi），C1返回相應(yīng)的公私鑰對（PKi，SKi）給AI，并把該公私鑰對（PKi，SKi）保存在列表UK-list中。

②Hash Query AI可以對任意輸入進行Hash值詢問，C1返回相應(yīng)的Hash值。

③CertGen Query AI可以詢問任意聚合簽名用戶ΙDi的證書，接收到ΙDi和PKi后，C1返回相應(yīng)的證書。

④ReplacePublicKey Query AI可以替換任意用戶ΙDi的公鑰，此時，AI提供一個新的公鑰，C1用新公鑰替換用戶ΙDi原來的公鑰。

⑤Sign Query AI可詢問任意消息mi對應(yīng)于任意聚合簽名用戶ΙDi的單個簽名，C1檢查該用戶是否已經(jīng)在列表中創(chuàng)建，若是則返回簽名σi，否則返回⊥（“⊥”表示值為空）。

（3）Output：最后，AI輸出包含身份ΙDi及其公鑰PKi關(guān)于消息mi的聚合簽名σ*，其中(1≤i≤N)，并且滿足下面兩個條件：至少有一個用戶的（ΙDi，PKi）沒有被詢問過CertGen Query；（ΙDi，PKi，mi）沒有被詢問過Sign Query。

如果攻擊者AI在Game1中輸出的聚合簽名σ*能夠通過驗證算法，則稱攻擊者AI贏得Game1。

Game2：攻擊者AII和挑戰(zhàn)者C2一起參加下面的游戲：

（1）Setup：對給定的安全參數(shù)1k，AII運行簽名方案的Setup算法得到系統(tǒng)公開參數(shù)params和系統(tǒng)主私鑰，并發(fā)送params給挑戰(zhàn)者C2保存。

（2）Queries：在多項式時間里，攻擊者AII可以適應(yīng)性地向挑戰(zhàn)者C2提出一定數(shù)量的詢問：

①UserKeyGen Query攻擊者AII可以選擇任意一個聚合簽名用戶ΙDi，其中(1≤i≤N)，詢問其公鑰PKi，C2運行UserKeyGen算法，返回給AII相應(yīng)的公鑰，并把該公私鑰對（PKi，SKi）保存在列表UK-list中。

②Extract Query AII可以詢問任意聚合簽名用戶ΙDi的公鑰PKi所對應(yīng)的私鑰，當C2收到詢問時，先檢驗PKi是否是由UserKeyGen算法產(chǎn)生，若是則返回相應(yīng)的私鑰，若不是，則返回⊥（“⊥”表示值為空）。

③Sign Query，Hash Query和Game1中定義的相同。

（3）Output：最后，AII輸出包含身份ΙDi和其公鑰PKi關(guān)于消息mi的聚合簽名σ*，其中(1≤i≤N)，并且滿足下面兩個條件：至少有一個用戶身份為ΙD*的公鑰PK*i是C2運行UserKeyGen算法產(chǎn)生，并且PK*i沒有被詢問過私鑰。

如果攻擊者AII在Game2中輸出的聚合簽名σ*能夠通過驗證算法，則稱攻擊者AII贏得Game2。

定義2稱一個聚合簽名偽造者A（t，qH1，qH2，qE，qS，N，ε）能攻破一個N個用戶的聚合簽名方案，如果A能在時間t內(nèi)，提出至多qHi（i=1，2）次Hash函數(shù)詢問，至多qE次私鑰詢問（或證書詢問），至多qS次簽名詢問，以不低于ε的概率偽造簽名。如果沒有聚合簽名偽造者（t，qH1，qH2，qE，qS，N，ε）能夠攻破它，那么稱一個基于證書的聚合簽名方案是（t，qH1，qH2，qE，qS，N，ε）抗存在性偽造安全的。

4 簽名方案

本方案中有以下的參與者及其主要職責：

（1）證書生成中心：負責系統(tǒng)參數(shù)的建立和簽名者的證書生成。

（2）簽名者：用其持有的證書和私鑰對消息進行簽名。

（3）簽名聚合者：負責對相關(guān)消息的分發(fā)，單個簽名的驗證，并將通過驗證的簽名聚合成一個對整體消息的聚合簽名。

（4）簽名驗證者：負責驗證聚合簽名是否有效。

4.1 系統(tǒng)建立

證書生成中心（CA）選擇2.1節(jié)中定義的雙線性對e，G1和G2，P是G1的一個生成元。隨機選取s∈Z*q作為系統(tǒng)的私鑰，計算系統(tǒng)的公鑰PKc=sP。CA選擇一個公開無碰撞的Hash函數(shù)，H1：{0，1}*→G1。CA公開系統(tǒng)參數(shù)（G1，G2，e，q，P，PKc，H1），并且保密系統(tǒng)私鑰s，不讓CA以外的任何人知道。

4.2 簽名者公私鑰生成

簽名者是擁有某一特殊身份的個體，并且這個身份是唯一的。任意一個簽名者身份信息用ΙDi表示，每個簽名者都隨機選取一個秘密值αi∈Z*q作為自己的私鑰SKi，計算PKi=αiP作為自己的公鑰，其中(1≤i≤N)，N為聚合簽名者總?cè)藬?shù)。

4.3 簽名者證書生成

簽名者把包含ΙDi和PKi的信息提交給證書生成中心（CA），CA驗證其信息的真實性以及ΙDi沒有重復之后，計算Qi=H1（PKc，PKi，ΙDi），certi=sQi，把certi發(fā)送給簽名者i作為其私有的證書，簽名者i在簽名時只要把certi的值直接帶入算法中計算即可。

4.4 單個簽名

簽名聚合者把n個不同的消息，分別記為m1，m2，…，mn，并且使之與簽名者的身份ΙD1，ΙD2，…，ΙDn一一對應(yīng)，即擁有身份ΙDi的簽名者負責對消息mi簽名。簽名者ΙDi對消息mi的簽名過程如下：

隨機選擇一個數(shù)ri∈Z*q，計算Ri=riP，hi=H2（mi，Ri，PKi），其中H2（x）是一個Hash函數(shù)，H2:{0，1}*×G1×G1→G1，Ti= αihi+certi+riQi，σi=(Ti，Ri)就是簽名者ΙDi對消息mi的簽名。

4.5 單個簽名驗證

簽名聚合者收到簽名（Ti，Ri）后驗證等式e（Ti，P）= e（hi，Pki）e（Qi，PKc+Ri）是否成立，若不成立則拒絕接受該簽名。若成立則接受該簽名為有效簽名。

4.6 簽名的聚合

簽名聚合者收齊n個有效的簽名后，通過以下兩個等式進行聚合：

σ=(U，V1，V2，…，Vn)即為該整體消息m的聚合簽名。

4.7 聚合簽名的驗證

簽名驗證者如果希望對某個聚合簽名σ=（U，V1，V2，…，Vn）進行驗證的話，只要驗證下面的等式是否成立即可

若等式成立，則簽名σ=（U，V1，V2，…，Vn）是有效的聚合簽名，反之，為無效的聚合簽名。

5 安全性證明

5.1 方案的正確性

下面對聚合簽名方案正確性進行證明：

定理1上述的基于證書聚合簽名方案是正確的。

5.2 方案的安全性證明

引理1對于上述的基于證書聚合簽名方案，在隨機預言機模型下，如果一個攻擊者AI能夠贏得Game1，那么存在攻擊者C1能解G1上的CDH問題。

證明假設(shè)AI是第一類攻擊者，（P，aP，bP）是CDH問題的一個隨機實例，構(gòu)造如下的C1可以利用AI計算出abP。首先，C1令PKc=aP，下面C1開始模擬預言機服務(wù)，記為UserKeyGen，H1，H2，CertGen，ReplacePublicKey，Sign。C1要維護UK-list（ΙDi，PKi，SKi）列表來保存用戶的身份和公私鑰對，Cert-list（ΙDi，certi）列表來保存用戶的身份ΙDi和相應(yīng)的公鑰證書certi，H1-list（PKc，PKi，ΙDi，xi，Qi，ci）列表來保存Hash函數(shù)H1的值，H2-list（mi，Ri，PKi，hi）列表來保存Hash函數(shù)H2的值。在下面的證明過程中*表示通配符，⊥表示值為空。

（1）UserKeyGen詢問：當AI詢問身份為ΙDi的用戶公私鑰對時，C1先檢查是否有（ΙDi，*，*）∈UK-list：

①若存在，則C1返回（PKi，SKi）給AI。

②否則，C1隨機選取SKi=αi∈Z*q滿足（*，*，SKi）?UK-list，令PKi=αiP返回（PKi，SKi）給AI，并把（ΙDi，PKi，SKi）記錄到UK-list中，這時稱該用戶已被創(chuàng)建。

（2）H1詢問：當AI詢問H1（PKc，PKi，ΙDi）時。C1先查詢H1-list中是否已經(jīng)存在詢問的值，如果存在則直接返回給AI。否則C1拋硬幣ci∈{0，1}并計算如下：

其中xi∈Z*q是隨機選擇的，且pr[ci=0]=1/（qE+N），計算結(jié)束后將（PKc，PKi，ΙDi，xi，Qi，ci）值存入H1-list中。

（3）H2詢問：當AI詢問任意（mi，Ri，PKi）對應(yīng)的hi值時，C1先查詢H2-list看（mi，Ri，PKi）是否被詢問過，如果詢問過則返回相應(yīng)的值hi，否則隨機選擇hi∈Z*q且hi不存在于H2-list中，返回hi給AI，并將（mi，Ri，PKi，hi）存入H2-list。

（4）CertGen詢問：當AI詢問ΙDi對應(yīng)公鑰的證書時，C1查詢Cert-list中是否存在相應(yīng)的值，如存在則返回給AI。否則C1查詢UK-list列表看ΙDi是否已被創(chuàng)建，如未創(chuàng)建，按照UserKeyGen詢問中定義的方法創(chuàng)建；如果已經(jīng)創(chuàng)建，而且Ci=1，則令certi=xiPKc，并且將（ΙDi，certi）保存到Cert-list中。如果Ci=0，C1返回⊥。

（5）ReplacePublicKey詢問：當AI發(fā)送（ΙDi，PK'i）給C1，表示AI向C1請求用PK'i替換用戶ΙDi的公鑰時，C1檢查（ΙDi，*，*）是否已經(jīng)存在UK-list中，若已經(jīng)存在，則C1用（ΙDi，PK'i）替換已有記錄；否則，C1向UK-list增加記錄（ΙDi，PK'i）。

（6）Sign詢問：當AI輸入（ΙDi，PKi，mi）請求簽名時，C1先判斷ΙDi是否已經(jīng)在UK-list中創(chuàng)建，如果沒有，則C1添加該用戶于UK-list中。否則，C1按如下方式應(yīng)答：

①ΙDi=ΙD*時，C1返回⊥。

②當ΙDi≠ΙD*時，隨機選取ri，hi=βiP∈G1，計算Ri=riP，Ti=βiPKi+xiPKc+xiRi。檢查（mi，Ri，PKi，hi）是否在H2-list中出現(xiàn)，如果均未出現(xiàn)，則將（mi，Ri，PKi，hi）加入H2-list；否則，重新選值和計算，最后C1返回給AI一個簽名σi=（Ti，Ri）。

（7）輸出結(jié)果：AI輸出一個包含（ΙD*，PK*）的聚合簽名σ=（U，V1，V2，…，Vn），并且滿足以下三個條件：（ΙD*，PK*）沒有進行過證書詢問，（ΙD*，PK*，mi）沒有詢問過簽名，發(fā)生ci=0事件。

下面分析C1解決給定的CDH問題的概率。首先分析算法C1成功的4個事件：

E1：C1沒有因為AI的CertGen Queries而失敗退出。

E2：C1沒有因為AI的Sign Queries而失敗退出。

E3：AI偽造生成一個有效的聚合簽名。

E4：事件E3發(fā)生，同時發(fā)生ci=0事件，這里ci為H1-list六元組中的值。

當所有這4個事件發(fā)生時，C1獲得成功：

（1）C1沒有因為AI的CertGen Queries而失敗退出的概率至少為Pr[E1]≥(1-1/(qE+N))qE。

證明：由Pr[ci=0]=1/(qE+N)可知，對于一個證書詢問，C1不失敗退出的概率是1-1/(qE+N)。因敵手AI至多進行qE次證書詢問，所以事件E1的概率至少為(1-1/(qE+N))qE。

（2）C1沒有因為AI的Sign Queries而失敗退出的概率為1。

證明：只有在AI的CertGen Queries下C1沒有失敗退出，該過程才是可以模擬的，因此，Pr[E2|E1]=1。

（3）如果C1沒有因AI的證書詢問和簽名詢問而退出，那么攻擊者AI的視圖與真實世界里的攻擊是一致的，因此，Pr[E3|E1^E2]≥ε。

（4）C1在敵手AI輸出一個有效的偽造簽名后而沒有失敗退出的概率為：

Pr[E4|E1^E2^E3]≥(1-1/(qE+N))qE·1/(qE+N)

綜上所述，C1解決CDH問題的概率為：

(1－1/(qE+N))qEε·(1－1/(qE+N))qE·1/(qE+N)≥ε/e2(qE+N)

引理2對于上述基于證書聚合簽名方案，在隨機預言機模型下，如果一個攻擊者AII能夠贏得Game2，那么存在攻擊者C2能解G1上的CDH問題。

AII型攻擊的安全性證明與AI型證明類似，這里不再贅述。

定理2上述基于證書聚合簽名方案在適應(yīng)性選擇消息，選擇身份以及替換公鑰攻擊下是存在不可偽造的。

證明直接由引理1，引理2可得。

定理3上述基于證書數(shù)字簽名方案是安全的。

證明直接由定理1，定理2可得。

5.3 效率分析

對于n個用戶簽名的驗證，原本需要3n次雙線性對運算；采用了聚合簽名方案之后的驗證過程只需要（n+2）次的雙線性對運算，大大節(jié)省了驗證時間。表1把新方案與同類聚合簽名方案進行了比較。

其中，Pa表示雙線性對運算，Pm表示群G上的點乘，AD表示群G上的加法，MΤP表示映射到G中的點的Map Τo Point的Hash函數(shù)，Pz表示群上的指數(shù)運算。

文獻[8]需要構(gòu)造一個安全的Map Τo Point的Hash函數(shù)，這個計算比較復雜并且運算效率低，雖然在聚合的過程中只用到加法運算，但在聚合簽名的驗證過程中需要的運算量仍然很大，新方案在簽名和聚合驗證過程中都不需要用到Map Τo Point的Hash函數(shù)。文獻[19]中的簽名方案多次使用指數(shù)運算，相比新方案其聚合的過程運算量比較小，但其聚合驗證過程的運算量比新方案多出了4次的雙線性對運算和2n次的乘法運算。

表1 同類方案效率比較

6 結(jié)束語

基于證書的密碼體制（CB-PKC）是新近提出的一類新型公鑰密碼體制，它克服了傳統(tǒng)公鑰密碼體制的證書管理問題和基于身份的密碼體制固有的密鑰托管問題。在聚合簽名中，消息被分成n個部分，由n個簽名者分別對其簽名，再把n個簽名合成為一個聚合簽名，驗證者只要驗證聚合簽名即可，極大地提高了簽名的驗證效率。本文利用雙線性對提出了一個基于證書的聚合簽名方案。最后利用計算性Diffie-Hellman問題的困難性證明了該方案在隨機預言模型下的安全性。

[1]Gentry C.Certificate-based encryption and the certificate revocation problem[C]//Lecture Notes in Computer Science：EUROCRYPΤ 2003，2003，2656：272-293.

[2]Kang B，Park J，Hahn S.A certificate-based signature scheme[C]// Lecture Notes in Computer Science：CΤ-RSA2004，2004：99-111.

[3]Li J，Huang X，Mu Y，et al.Certificate-based signature：security model and efficient construction[C]//Lecture Notes in Computer Science，EuroPKI 2007.Berlin：Springer-Verlag，2007：110-125.

[4]Liu J，Baek J，Susilo W.Certificate-based signature schemes without pairings or random oracles[C]//Lecture Notes in Computer Science：ISC2008.Berlin：Springer-Verlag，2008，5222：285-297.

[5]Zhang J.On the security of a certificate-based signature scheme and its improvement with pairings[C]//Lecture Notes in Computer Science：ISPEC2009.Berlin：Springer-Verlag，2009，5451：47-58.

[6]Shao Z.Certificate-based fair exchange pr-otocol of signatures from pairings[J].Computer Networks，2008，52：3075-3084.

[7]Li J G，Huang X Y，Zhang Y C.An efficient short certificate-based signature scheme[J].Τhe Journal of Systems and Software，2012，85：314-322.

[8]Boneh D，Gentry C，Lynn B.Aggregate and verifiably encrypted signatures frombilinear maps[C]//Cryptology-Eurocrypt’03. Berlin：SpringerVerlag，2003：416-432.

[9]Lysyanskaya A，Micali S，Reyzin L.Sequential aggregate signatures from trapdoor permutations[C]//EUROCR YPΤ 2004，Interlaken，Switzerland，2004：74-90.

[10]Cheon J，Kim Y，Yoon H.A new ID-based signature with batch verification[R].Cryptology ePrint Archive，2004.

[11]Cheng X，Liu J，Guo L.Identity-based mul-tisignature and aggregate signature schemes from m-torsion groups[J].Journal of Electronics（China），2006，23：569-573.

[12]Xu J，Zhang Z，F(xiàn)eng D.ID-based aggregate signatures from bilinear pairings[C]//CANS 2005，Shenzhen，China，2005：110-119.

[13]Gentry C，Ramzan Z.Identity-based aggregate signatures[D]. 2006：257-273.

[14]Lu S，Ostrovsky R，Sahai A.Sequential aggregate signatures and multisignatures without random oracles[C]//Proc of EUROCRYPΤ’06，2006：465-485.

[15]Liu J，Au M，Susilo W.Self-generated certificate public key cryptography and certificateless signature encryption scheme in the standard model[C]//ASIACCS’07.Singapore：ACM Press，2007：273-283.

[16]Huang X，Mu Y，Susilo W，et al.Certificateless signature revisited[C]//ACISP 2007，Τownsville，Australia，2007：308-322.

[17]Zhang L，Zhang F Τ.A new certificateless aggregate signature scheme[J].Computer Communications，2009，32：1079-1085.

[18]Kyung A HS.An ID-based aggregate signature scheme with constant pairing computations[J].Τhe Journal of Systems and Software，2010，83：1873-1880.

[19]袁玉敏，朱海山，田麗文.無需隨機預言的無證書聚合簽名方案[J].計算機工程與應(yīng)用，2011，47（7）：103-106.

CHEN Jianneng,YUE Hao,HUANG Zhenjie

Department of Computer Science and Engineering,Minnan Normal University,Zhangzhou,Fujian 363000,China

Certificate-based public key cryptography overcomes the certificate management problem in traditional public key system and the key escrow problem in the identity-based public key cryptography.An aggregate signature scheme can aggregate signatures on distinct messages from distinct users into a single signature.Based on bilinear pairings and the hardness of Computational Diffie-Hellman problem,a secure certificate-based aggregate signature scheme is proposed and its security is proven in the random oracle model.

certificate-based signature;aggregate signature;bilinear pairings;Computational Diffie-Hellman（CDH）problem

基于證書公鑰密碼體制是新近提出的一類新型公鑰密碼體制，它克服了傳統(tǒng)公鑰密碼體制的證書管理問題和基于身份的密碼體制固有的密鑰托管問題。聚合簽名是一種可將不同簽名者對不同消息的簽名聚合成一個單一簽名的數(shù)字簽名技術(shù)。利用雙線性對和Computational Diffie-Hellman困難性問題提出了一個基于證書的聚合簽名方案，并在隨機預言機模型下證明其安全性。

基于證書簽名；聚合簽名；雙線性對；計算Diffie-Hellman問題

A

ΤP309

10.3778/j.issn.1002-8331.1207-0443

CHEN Jianneng,YUE Hao,HUANG Zhenjie.Secure certificate-based aggregate signature scheme.Computer Engineering and Applications,2013,49（21）：60-64.

國家自然科學基金（No.61170246）；福建省自然科學基金（No.2012J01295）；福建省教育廳項目（No.JA12219）；漳州師范學院杰青項目（No.SJ1116）。

陳建能（1980—），男，講師，主要研究方向：密碼學；岳昊（1980—），男，博士，副教授，主要研究方向：密碼學；黃振杰（1964—），男，博士，教授，主要研究方向：密碼學。E-mail：cjn610@163.com

2012-07-30

2012-12-03

1002-8331（2013）21-0060-05

CNKI出版日期：2012-12-13http://www.cnki.net/kcms/detail/11.2127.ΤP.20121213.1629.004.html