湯永利，王菲菲，葉　青，閆璽璽

河南理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南 焦作 454000

高效可證明安全的無(wú)證書代理簽名方案*

湯永利+，王菲菲，葉青，閆璽璽

河南理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南 焦作 454000

無(wú)證書密碼體制；代理簽名；橢圓曲線離散對(duì)數(shù)難題；隨機(jī)預(yù)言機(jī)模型

1　引言

Al-Riyami和Paterson[1]于2003年提出了無(wú)證書公鑰密碼體制，繼承了基于身份密碼體制無(wú)需公鑰證書的優(yōu)點(diǎn)，同時(shí)解決了基于身份密碼體制的密鑰托管問(wèn)題。

Mambo等人[2-3]于1996年提出代理簽名，簽名人在無(wú)法行使簽名權(quán)時(shí)，將簽名權(quán)力委托給信任的代理人，由代理人代表原始簽名人行使簽名權(quán)。

無(wú)證書代理簽名結(jié)合了無(wú)證書密碼體制與代理簽名的優(yōu)點(diǎn)，既不需要證書來(lái)認(rèn)證用戶公鑰的真實(shí)性，節(jié)約了管理證書所需的各種資源，又可使簽名人在不方便行使簽名權(quán)力時(shí)，將簽名權(quán)轉(zhuǎn)交給信任的代理人。無(wú)證書代理簽名的種種優(yōu)點(diǎn)，使它廣泛應(yīng)用于電子商務(wù)、分布式共享系統(tǒng)、網(wǎng)格計(jì)算、移動(dòng)代理系統(tǒng)、全球分布網(wǎng)絡(luò)等場(chǎng)合[4]。

2005年，Li等人[5]提出了首個(gè)基于雙線性對(duì)的無(wú)證書代理簽名方案。2007年，Lu等人[6]指出Li[5]的方案不安全，并提出了改進(jìn)方案。文獻(xiàn)[5]與文獻(xiàn)[6]均沒(méi)有給出方案的形式化安全性證明。2009年，陳虎等人[7]提出了無(wú)證書代理簽名方案的安全模型，并基于計(jì)算Diffie-Hellman問(wèn)題提出了一個(gè)無(wú)證書代理簽名方案，給出了針對(duì)超級(jí)攻擊者的安全性證明。之后，為提高方案的計(jì)算效率與安全性，文獻(xiàn)[8]、文獻(xiàn)[9]、文獻(xiàn)[10]相繼提出了基于雙線性對(duì)的無(wú)證書代理簽名方案，給出了形式化安全性證明。其中，文獻(xiàn)[10]方案計(jì)算效率最優(yōu)。

由于雙線性對(duì)運(yùn)算比較耗時(shí)，提出了不依賴雙線性對(duì)的無(wú)證書代理簽名方案。2010年，許春根等人[11]提出了一個(gè)不使用雙線性對(duì)的無(wú)證書代理簽名方案，其安全性基于離散對(duì)數(shù)困難問(wèn)題，計(jì)算效率較高。最近，Deng等人[12]基于RSA提出了一個(gè)無(wú)證書代理簽名方案，給出了針對(duì)超級(jí)攻擊者的安全性證明，方案的計(jì)算效率主要依賴于模冪運(yùn)算。

為了提高無(wú)證書代理簽名方案的計(jì)算效率，在王亞飛等人[13]的無(wú)證書簽名方案的基礎(chǔ)上，本文提出一個(gè)高效的無(wú)證書代理簽名方案，方案的安全性基于橢圓曲線離散對(duì)數(shù)問(wèn)題（elliptic curve discrete logarithm problem，ECDLP）。在陳虎等人[7]提出的安全模型下給出了針對(duì)超級(jí)攻擊者的安全性證明，方案的安全性是抗存在性偽造的。本文方案在計(jì)算效率上有很大提高。

2　預(yù)備知識(shí)

2.1數(shù)學(xué)困難問(wèn)題

橢圓曲線離散對(duì)數(shù)問(wèn)題：給定橢圓曲線E(Fq)，G 為E(Fq)的一個(gè)循環(huán)子群，P為G的一個(gè)生成元，P的階為n，給定Q∈G，求滿足Q=[x]P的唯一整數(shù)x。

2.2無(wú)證書代理簽名及安全模型

無(wú)證書代理簽名方案中，設(shè)原始簽名人的身份標(biāo)識(shí)為A，公鑰為PKA。代理簽名人的身份標(biāo)識(shí)為B，公鑰為PKB。A將授權(quán)許可信息mw和部分代理鑰θ發(fā)送給B，B生成消息m的代理簽名σ。

無(wú)證書代理簽名方案包括系統(tǒng)參數(shù)生成、部分私鑰生成、秘密值生成、用戶私鑰生成、用戶公鑰生成、部分代理鑰生成、部分代理鑰驗(yàn)證、代理鑰生成、代理簽名及驗(yàn)證10個(gè)算法。

陳虎等人[7]提出的無(wú)證書代理簽名安全模型中，第一類攻擊者α1具備的能力是：不知道系統(tǒng)主密鑰，能夠?qū)τ脩艄€進(jìn)行替換；第二類攻擊者α2具備的能力是：知道系統(tǒng)主密鑰，無(wú)法對(duì)用戶公鑰進(jìn)行替換。

挑戰(zhàn)者D和攻擊者α1、攻擊者α2進(jìn)行如下游戲。

初始化：運(yùn)行系統(tǒng)參數(shù)生成算法，輸入安全參數(shù)，輸出系統(tǒng)參數(shù)和系統(tǒng)主密鑰。將系統(tǒng)參數(shù)發(fā)送給α1，系統(tǒng)主密鑰對(duì)α1嚴(yán)格保密；將系統(tǒng)參數(shù)和系統(tǒng)主密鑰發(fā)送給α2。

α1或α2可以適應(yīng)性地進(jìn)行多項(xiàng)式次數(shù)的用戶生成詢問(wèn)、部分私鑰詢問(wèn)、公鑰替換詢問(wèn)、秘密值詢問(wèn)、部分代理鑰詢問(wèn)、代理鑰詢問(wèn)、代理簽名詢問(wèn)。

偽造：最后攻擊者輸出元組(mw,A,PKA,θ)或(m,mw,A,PKA,B,PKB,σ)作為它的偽造。若能滿足下列情況之一，說(shuō)攻擊者贏得了這個(gè)游戲。

情況1元組(mw,A,PKA,θ)滿足：

（1）(params,mw,A,PKA,θ)是有效的部分代理鑰；

（2）若攻擊者為α1，不曾詢問(wèn)原始簽名人A的部分私鑰，若攻擊者為α2，不曾詢問(wèn)A的秘密值；

（3）(mw,A,PKA)沒(méi)有進(jìn)行過(guò)部分代理鑰詢問(wèn)。

情況2元組(m,mw,A,PKA,B,PKB,σ)滿足：

（1）(params,m,mw,A,PKA,B,PKB,σ)是有效的代理簽名；

（2）若攻擊者為α1，不曾詢問(wèn)原始簽名人A的部分私鑰；若攻擊者為α2，不曾詢問(wèn)A的秘密值；

（3）(mw,A,PKA)沒(méi)有進(jìn)行過(guò)部分代理鑰詢問(wèn)；

（4）(m,mw,A,PKA,B,PKB,σ)沒(méi)有進(jìn)行過(guò)代理鑰詢問(wèn)；

（5）(m,mw,A,PKA,B,PKB,σ)沒(méi)有進(jìn)行過(guò)簽名詢問(wèn)。

情況3元組(m,mw,A,PKA,B,PKB,σ)滿足：

（1）(params,m,mw,A,PKA,B,PKB,σ)是有效的代理簽名；

（2）若攻擊者為α1，不曾詢問(wèn)代理簽名人B的部分私鑰；若攻擊者為α2，不曾詢問(wèn)B的秘密值；

（3）(m,mw,A,PKA,B,PKB,σ)沒(méi)有進(jìn)行過(guò)代理鑰詢問(wèn)；

（4）(m,mw,A,PKA,B,PKB,σ)沒(méi)有進(jìn)行過(guò)簽名詢問(wèn)。

定義1一個(gè)無(wú)證書代理簽名方案在適應(yīng)性選擇身份和消息攻擊下是存在性不可偽造的，當(dāng)且僅當(dāng)在多項(xiàng)式時(shí)間內(nèi)，任何攻擊者均不能以不可忽略的概率贏得以上游戲。

3　無(wú)證書代理簽名方案

本文提出一種新的無(wú)證書代理簽名方案，由系統(tǒng)參數(shù)生成、用戶密鑰生成、代理密鑰生成、代理簽名和驗(yàn)證幾個(gè)算法構(gòu)成。

（1）系統(tǒng)參數(shù)生成

輸入安全參數(shù)k，選擇兩個(gè)大素?cái)?shù)p、q，滿足q|p-1。P為循環(huán)群G中一個(gè)階為q的生成元，選擇安全的Hash函數(shù)：。KGC選擇系統(tǒng)主密鑰s，計(jì)算系統(tǒng)公鑰PPUB=sP公開(kāi)系統(tǒng)參數(shù)params={p,q,G,P,PPUB, H1,H2,H3,H4}，秘密保存系統(tǒng)主密鑰s。

（2）用戶密鑰生成

②KGC把部分私鑰DID和部分公鑰RID安全地傳送給用戶，用戶收到后，驗(yàn)證DIDP=RID+PPUBH1(ID,RID)是否成立，若成立，則DID是有效的用戶部分私鑰，否則，判定DID無(wú)效。

（3）代理密鑰生成

假定原始簽名人的身份標(biāo)識(shí)為A，代理簽名人的身份標(biāo)識(shí)為B，A委托B進(jìn)行代理簽名，A產(chǎn)生授權(quán)許可信息mw，此授權(quán)信息包含A的身份信息以及A和B的授權(quán)關(guān)系，也包含該代理簽名的使用限制等內(nèi)容。

②部分代理鑰驗(yàn)證：B收到θ后，計(jì)算 h1=，驗(yàn)證SPP=RA+PPUBh1+ XAh2+I是否成立，若成立，則θ是有效的部分代理鑰，否則，判定θ無(wú)效。③代理鑰SW=(SP,I,SKB)。

（4）代理簽名

①B選取隨機(jī)數(shù)z∈Zq*，計(jì)算Z=zP。

②計(jì)算h3=H3(B,RB,XB)。

③計(jì)算h4=H4(m,mw,Z,I,A,B,RA,XA,RB,XB)。

④計(jì)算u=z+SP+DBh3+xBh4。

⑤對(duì)消息m的簽名為σ=(I,Z,u)。

（5）驗(yàn)證

假定R為消息的接受者，R收到消息m和m的簽名σ以后：

①計(jì)算h0=H1(B,RB)。

②計(jì)算h1=H1(A,RA)。

③計(jì)算h2=H2(I,mw,A,RA,XA)。

④計(jì)算h3=H3(B,RB,XB)。

⑤計(jì)算h4=H4(m,mw,Z,I,A,B,RA,XA,RB,XB)。

⑥計(jì)算Z′=uP-(RA+PPUBh1+XAh2+I+RBh3+PPUBh0h3+XBh4)。

⑦驗(yàn)證Z=Z′是否成立。若成立，則簽名σ為有效的；否則，簽名無(wú)效。

4　安全性證明

定理1在隨機(jī)預(yù)言模型下，若第一類超級(jí)攻擊者α1能夠在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率成功攻破本文方案，那么存在一個(gè)算法C在多項(xiàng)式時(shí)間內(nèi)能夠以的概率解決ECDLP的一個(gè)實(shí)例。

證明 假設(shè)C是解決ECDLP問(wèn)題的一個(gè)有效算法，其輸入為（P,aP），目標(biāo)是求取a的值。C利用α1（α1為第一類超級(jí)攻擊者）作為子程序試圖解決ECDLP問(wèn)題。假設(shè)α1最多能做qC次用戶生成詢問(wèn)，C隨機(jī)選擇

α1適應(yīng)性地進(jìn)行多項(xiàng)式次數(shù)的以下詢問(wèn)。

用戶生成詢問(wèn)：C創(chuàng)建列表LC，列表元組定義為(ID,RID,DID,xID,XID)。對(duì)某一ID進(jìn)行用戶生成詢問(wèn)，若LC中已存在對(duì)應(yīng)元組(ID,RID,DID,xID,XID)，則返回PKID給α1。否則，按以下步驟生成用戶：

H1詢問(wèn)：C維護(hù)列表LH1，當(dāng)C收到α1對(duì)H1(ID,RID)的查詢時(shí)查看列表LH1中是否存在對(duì)應(yīng)元組(ID,RID, h1)，若存在，返回h1給α1；若不存在，C選取隨機(jī)數(shù)，返回h1給α1，并在LH1中添加元組(ID,RID,h1)。

H2詢問(wèn)：C模擬H2隨機(jī)預(yù)言機(jī)，創(chuàng)建列表LH2，初始化為空，列表元組定義為(I,mw,ID,RID,XID,h2)。C收到α1對(duì)H2(I,mw,ID,RID,XID)的查詢時(shí)，查看列表LH2中是否存在對(duì)應(yīng)元組(I,mw,ID,RID,XID,h2)，若存在，返回h2給α1；若不存在，C選取隨機(jī)數(shù)h2∈，返回h2給α1，并在LH2中添加元組(I,mw,ID,RID,XID,h2)。

H3詢問(wèn)：C模擬H3隨機(jī)預(yù)言機(jī)，創(chuàng)建列表LH3，初始化為空，列表元組定義為(ID,RID,XID,h3)。當(dāng)C收到α1對(duì)H3(ID,RID,XID)的查詢時(shí)查看LH3中是否存在對(duì)應(yīng)元組(ID,RID,XID,h3)，若存在，返回h3給α1；若不存在，C選取隨機(jī)數(shù)h3∈，返回h3給α1，并在LH3中添加元組(ID,RID,XID,h3)。

H4：C模擬H4隨機(jī)預(yù)言機(jī)，創(chuàng)建列表LH4，初始化為空，列表元組定義為(m,mw,Z,I,A,B,RA,XA, RB,XB,h4)。當(dāng)C收到α1的H4詢問(wèn)時(shí)，查看在LH4中是否存在對(duì)應(yīng)元組(m,mw,Z,I,A,B,RA,XA,RB,XB,h4)，若存在，返回h4給α1；若不存在，C選取隨機(jī)數(shù)h4∈，返回h4給α1，并在LH4中添加元組(m,mw,Z,I,A, B,RA,XA,RB,XB,h4)。

部分私鑰詢問(wèn)：C收到α1對(duì)某一ID的部分私鑰詢問(wèn)，若ID=J，則C終止，否則，查看在列表LC中是否存在對(duì)應(yīng)的元組(ID,RID,DID,xID,XID)，若存在，返回DID給α1；若不存在，則先進(jìn)行用戶生成詢問(wèn)，再返回DID給α1。

公鑰替換詢問(wèn)：C收到α1對(duì)某一ID的公鑰替換詢問(wèn)(ID,XID')，檢索列表LC找到對(duì)應(yīng)元組(ID,RID, DID,xID,XID)，將XID替換為XID'，令xID=⊥。

秘密值詢問(wèn)：C收到α1對(duì)某一ID的秘密值詢問(wèn)，檢索列表 LC找到對(duì)應(yīng)元組(ID,RID,DID,xID,XID)，若xID=⊥，表明此ID的公鑰已被替換，因此C無(wú)法回答α1的秘密值詢問(wèn)，C返回⊥；否則，C返回xID。

部分代理鑰詢問(wèn)：C收到α1的某一部分代理鑰詢問(wèn)(mw,A)，隨機(jī)選擇SP,h2∈，計(jì)算h1=H1(A,RA)，I=SPP-(RA+PPUBh1+XAh2)。將部分代理鑰θ=(I,SP)返回給α1，并在列表LH2中添加元組(I,mw,ID,RID,XID,h2)。代理鑰詢問(wèn)：C收到α1的某一代理鑰詢問(wèn)(mw,A,B)，先對(duì)(mw,A)進(jìn)行部分代理鑰詢問(wèn)，得到θ=(I,SP)。若B=J，則C終止，否則，查詢列表LC找到B的對(duì)應(yīng)元組返回代理鑰 SW= (SP,I,SKB)給代理簽名詢問(wèn)：C收到α1的某一代理簽名詢問(wèn)(m,mw,A,B)，查詢列表 LC找到A、B的對(duì)應(yīng)元組(A,RA,DA,xA,XA)和(B,RB,DB,xB,XB)。隨機(jī)選擇，計(jì)算I=SPP-(RA+PPUBh1+XA，返回簽名最后，α1輸出元組(mw,A,PKA,θ)或(m,mw,A,PKA, B,PKB,σ)作為它的偽造。

（1）偽造的有效元組(mw,A,PKA,θ=(I,SP))滿足2.2節(jié)定義的情況1。若A≠J，則C終止；否則，根據(jù)分叉引理[14]，在選擇相同的隨機(jī)數(shù)的情況下，選擇不同的Hash函數(shù)H1，可以得到另外一個(gè)有效的偽造(mw,A,PKA,θ′=(I,SP'))，則有以下等式成立：聯(lián)立上面兩個(gè)式子求得（2）偽造的有效元組Z,u))滿足2.2節(jié)定義的情況2。若A≠J，則C終止；否則，根據(jù)分叉引理，在選擇相同的隨機(jī)數(shù)的情況選擇不同的Hash函數(shù)H1，可以得到另外一個(gè)有效的偽造，則有以下等式成立：聯(lián)立上面兩個(gè)式子求得（3）偽造的有效元組Z,u))滿足2.2節(jié)定義的情況3。若B≠J，則C終止；否則，根據(jù)分叉引理，在選擇相同的隨機(jī)數(shù)的情況下，選擇不同的Hash函數(shù)H3，可以得到另外一個(gè)有效的偽造，則有以下等式成立：聯(lián)立上面兩個(gè)式子求得。C利用α1作為子程序成功地解決了ECDLP問(wèn)題。概率分析：分析能導(dǎo)致C成功的3個(gè)事件。

E1：C沒(méi)有在進(jìn)行部分私鑰詢問(wèn)或代理鑰詢問(wèn)時(shí)終止。

E2：α1能夠偽造一個(gè)有效的部分代理鑰或代理簽名。

E3：E2發(fā)生，并滿足以下條件中的一個(gè)：

（1）輸出的有效元組(mw,A,PKA,θ)滿足A=J；（2）輸出的有效元組滿足A=J；

（3）輸出的有效元組(m,mw,A,PKA,B,PKB,σ)滿足B=J。

假設(shè)α1在多項(xiàng)式時(shí)間內(nèi)至多可進(jìn)行qC次用戶生成詢問(wèn)，qppk次部分私鑰詢問(wèn)，qprok次代理鑰詢問(wèn)，則有：那么C解決ECDLP的概率為：

定理2在隨機(jī)預(yù)言模型下，若第二類超級(jí)攻擊者α2能夠在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率成功攻破本文方案，那么存在一個(gè)算法C在多項(xiàng)式時(shí)間內(nèi)能夠以

證明 假設(shè)C是解決ECDLP問(wèn)題的一個(gè)有效算法，其輸入為(P,aP)，目標(biāo)是求取a的值。C利用α2（α2為第二類超級(jí)攻擊者）作為子程序試圖解決ECDLP問(wèn)題。假設(shè)α2最多能做qC次用戶生成詢問(wèn)，C隨機(jī)選擇J∈[1,qC]作為這次游戲的挑戰(zhàn)身份。

α2適應(yīng)性地進(jìn)行多項(xiàng)式數(shù)次數(shù)的以下詢問(wèn)。

用戶生成詢問(wèn)：C創(chuàng)建列表LC，列表的元組定義為(ID,RID,DID,xID,XID)，對(duì)某一若列表LC中存在對(duì)應(yīng)元組(ID,RID,DID,xID,XID)，則返給α2，否則，按以下步驟生成用戶：

H1詢問(wèn)、H2詢問(wèn)、H3詢問(wèn)、H4詢問(wèn)、公鑰替換詢問(wèn)、部分代理鑰詢問(wèn)、代理鑰詢問(wèn)、代理簽名詢問(wèn)同定理1。

部分私鑰詢問(wèn)：C收到α2對(duì)某一ID的部分私鑰詢問(wèn)，查看列表 LC中是否存在對(duì)應(yīng)元組(ID,RID, DID,xID,XID)，若存在，返回DID給α2；若不存在，則先進(jìn)行用戶生成詢問(wèn)，再返回DID給α2。

秘密值詢問(wèn)：C收到α2對(duì)某一ID的秘密值詢問(wèn)，若ID=J，則C終止；否則，查看列表LC中是否存在對(duì)應(yīng)元組(ID,RID,DID,xID,XID)，若存在，返回xID給α2；若不存在，則先進(jìn)行用戶生成詢問(wèn)，再返回xID給α2。

最后，α2輸出元組(mw,A,PKA,θ)或(m,mw,A,PKA, B,PKB,σ)作為它的偽造。

（1）偽造的有效元組(mw,A,PKA,θ=(I,SP))滿足2.2節(jié)定義的情況1。若A≠J，C終止；否則，根據(jù)分叉引理，在選擇相同的隨機(jī)數(shù)的情況下，選擇不同的Hash函數(shù)H2，可以得到另外一個(gè)有效的偽造(mw,A, PKA,θ′=(I,SP'))，則有以下等式成立：

（2）偽造的有效元組(m,mw,A,PKA,B,PKB,σ=(I, Z,u))滿足2.22。若A≠J，C終止；否則，根據(jù)分叉引理，在選擇相同的隨機(jī)數(shù)的情況下，選擇不同的Hash函數(shù)H2，可以得到另外一個(gè)有效的偽造，則有以下等式成立：

概率分析：分析能導(dǎo)致C成功的3個(gè)事件。

E1：C沒(méi)有在進(jìn)行秘密值詢問(wèn)或代理鑰詢問(wèn)時(shí)終止。

E2：α2能夠偽造一個(gè)有效的部分代理鑰或代理簽名。

E3：E2發(fā)生，并滿足以下條件中的一個(gè)：

（1）輸出的有效元組(mw,A,PKA,θ)滿足A=J；

（2）輸出的有效元組(m,mw,A,PKA,B,PKB,σ)滿足A=J；

（3）輸出的有效元組(m,mw,A,PKA,B,PKB,σ)滿足B=J。

假設(shè)α2在多項(xiàng)式時(shí)間內(nèi)至多可進(jìn)行qC次用戶生成詢問(wèn)，qsv次秘密值詢問(wèn)，則有

Table 1　Efficiency comparison of this paper scheme with other schemes表1　本文簽名方案與已有簽名方案的比較

那么C解決ECDLP的概率為：

5　效率對(duì)比分析

把本文方案與目前效率最高的無(wú)證書代理簽名方案進(jìn)行效率對(duì)比，結(jié)果如表1所示。

用P表示一個(gè)雙線性對(duì)運(yùn)算，G表示一個(gè)基于雙線性對(duì)的點(diǎn)乘運(yùn)算，E表示一個(gè)模冪運(yùn)算，S表示一個(gè)標(biāo)量乘運(yùn)算。參考文獻(xiàn)[12]的實(shí)驗(yàn)數(shù)據(jù)，計(jì)算一個(gè)雙線性對(duì)運(yùn)算所消耗的時(shí)間為20.01 ms，計(jì)算一個(gè)基于雙線性對(duì)的點(diǎn)乘運(yùn)算所消耗的時(shí)間為6.38 ms，計(jì)算一個(gè)模冪運(yùn)算所消耗的時(shí)間為11.20 ms，計(jì)算橢圓曲線上一個(gè)標(biāo)量乘運(yùn)算所消耗的時(shí)間為0.83 ms。根據(jù)文獻(xiàn)[12]的方法估算各個(gè)方案的計(jì)算效率[12]在代理簽名階段需要一個(gè)標(biāo)量乘運(yùn)算和兩個(gè)模冪運(yùn)算，計(jì)算所需時(shí)間為0.83+2×11.20=23.23ms。

在代理簽名階段，本文方案的計(jì)算量是文獻(xiàn)[10]方案的13.0%，文獻(xiàn)[11]方案的7.4%，文獻(xiàn)[12]方案的3.6%。本文方案的計(jì)算量是文獻(xiàn)[10]方案的5.3%，文獻(xiàn)[11]方案的8.8%，文獻(xiàn)[12]方案的20.7%。本文方案在計(jì)算效率上有很大的提高。

6　結(jié)束語(yǔ)

本文提出了一種新的無(wú)證書代理簽名方案，方案的安全性基于橢圓曲線離散對(duì)數(shù)困難問(wèn)題，計(jì)算效率明顯優(yōu)于現(xiàn)有的無(wú)證書代理簽名方案，且簽名長(zhǎng)度較短。本文方案能夠抵抗第一類超級(jí)攻擊者、第二類超級(jí)攻擊者的適應(yīng)性選擇消息攻擊，具有很強(qiáng)的安全性。

本文方案擁有很高的計(jì)算效率，需要很少的存儲(chǔ)空間，適用于對(duì)計(jì)算和存儲(chǔ)等資源有嚴(yán)格限制的場(chǎng)合。例如，在移動(dòng)代理系統(tǒng)中，經(jīng)常使用代理簽名，但由于終端的存儲(chǔ)能力和計(jì)算能力有限，證書的存儲(chǔ)要占用存儲(chǔ)資源，證書的驗(yàn)證也要花費(fèi)通信代價(jià)，這些對(duì)能力有限的系統(tǒng)終端都是很大的負(fù)擔(dān)。使用無(wú)證書代理簽名，無(wú)需證書的存儲(chǔ)與驗(yàn)證，能很好地滿足他們的需求。

References:

[1]Al-Riyami S S,Paterson K G.Certificateless public key cryptography[C]//LNCS 2894:Proceedings of the 9th International Conference on the Theory andApplication of Cryptology and Information Security,Taipei,China,Nov 30-Dec 4,2003.Berlin,Heidelberg:Springer,2003:452-473.

[2]Mambo M,Usuda K,Okamoto E.Proxy signatures for delegating signing operation[C]//Proceedings of the 1996 ACM Conference on Computer and Communications Security, New Delhi,India,Mar 1996.New York:ACM,1996:48-57.

[3]Mambo M,Usuda K,Okamoto E.Proxy signatures:delegation of the power to sign messages[J].IEICE Transactions on Fundamentals of Electronics Communications and Computer Sciences,1996,E79-A(9):1338-1354.

[4]Shi Wenbo,He Debiao,Gong Peng.On the security of a certificateless proxy signature scheme with message recovery[J].Mathematical Problems in Engineering,2013,57(9/10): 2510-2518.

[5]Li X,Chen K,Sun L.Certificateless signature and proxy signature schemes from bilinear pairings[J].Lithuanian Mathematical Journal,2005,45(1):76-83.

[6]Lu Rongbo,He Dake,Wang Changji.Cryptanalysis and improvement of a certificateless proxy signature scheme from bilinear pairings[C]//Proceedings of the 8th ACIS International Conference on Software Engineering,Artificial Intelligence,Networking,and Parallel/Distributed Computing, Qingdao,China,Jul 30-Aug 1,2007.Washington:IEEE Computer Society,2007:285-290.

[7]Chen Hu,Zhang Futai,Song Rushun.Certificateless proxy signature scheme with provable security[J].Journal of Software,2009,20(3):692?701.

[8]Xiong Hu,Li Fagen,Qin Zhiguang.A provably secure proxy signature scheme in certificateless cryptography[J].Informatica,2010,21(2):277-294.

[9]Zhang Lei,Zhang Futai,Wu Qianhong.Delegation of signing rights using certificateless proxy signatures[J].Information Sciences,2012,184(1):298-309.

[10]Seo S H,Choi K Y,Hwang J Y,et al.Efficient certificateless proxy signature scheme with provable security[J].Information Sciences,2012,188:322-337.

[11]Xu Chungen,Zhang Aohong,Han Mu,et al.Certificateless proxy signature scheme based on discrete logarithm problem[J].Journal of Nanjing University of Science and Technology:Natural Science,2010,34(6):733-737.

[12]Deng Lunzhi,Zeng Jiwen,Qu Yunyun.Certificateless proxy signature from RSA[J].Mathematical Problems in Engineering,2014(9).doi:10.1155/2014/373690.

[13]Wang Yafei,Zhang Ruizhe.Strongly secure certificateless signature scheme without pairings[J].Journal on Communications,2013,34(2):94-100.

[14]Pointcheval D,Stern J.Security arguments for digital signatures and blind signatures[J].Journal of Cryptology,2000, 13(3):361-396.

附中文參考文獻(xiàn)：

[11]許春根,張傲紅,韓牟,等.一種基于離散對(duì)數(shù)問(wèn)題的無(wú)證書代理簽名方案[J].南京理工大學(xué)學(xué)報(bào):自然科學(xué)版, 2010,34(6):733-737.

[13]王亞飛,張睿哲.強(qiáng)安全無(wú)對(duì)的無(wú)證書簽名方案[J].通信學(xué)報(bào),2013,34(2):94-100.

TANG Yongli was born in 1972.He received the Ph.D.degree in cryptology from Beijing University of Posts and Telecommunications in 2008.Now he is an associate professor at Henan Polytechnic University.His research interests include information security and cryptology,etc.

湯永利（1972—），男，河南孟州人，2008年于北京郵電大學(xué)獲得博士學(xué)位，現(xiàn)為河南理工大學(xué)副教授，主要研究領(lǐng)域?yàn)樾畔踩艽a學(xué)等。

WANG Feifei was born in 1991.She is an M.S.candidate at Henan Polytechnic University.Her research interest is cryptology.

王菲菲（1991—），女，河南滑縣人，河南理工大學(xué)碩士研究生，主要研究領(lǐng)域?yàn)槊艽a學(xué)。

YE Qing was born in 1981.She received the Ph.D.degree in cryptology from Beijing University of Posts and Telecommunications in 2014.Now she is a lecturer at Henan Polytechnic University.Her research interest is cryptology.

葉青（1981—），女，遼寧營(yíng)口人，2014年于北京郵電大學(xué)獲得博士學(xué)位，現(xiàn)為河南理工大學(xué)講師，主要研究領(lǐng)域?yàn)槊艽a學(xué)。

YAN Xixi was born in 1985.She received the Ph.D.degree in cryptology from Beijing University of Posts and Telecommunications in 2012.Now she is a lecturer at Henan Polytechnic University.Her research interest is cryptology.

閆璽璽（1985—），女，河南靈寶人，2012年于北京郵電大學(xué)獲得博士學(xué)位，現(xiàn)為河南理工大學(xué)講師，主要研究領(lǐng)域?yàn)槊艽a學(xué)。

Provably Secure Efficient Certificateless Proxy Signature Scheme?

TANG Yongli+,WANG Feifei,YE Qing,YAN Xixi
College of Computer Science and Technology,Henan Polytechnic University,Jiaozuo,Henan 454000,China
+Corresponding author:E-mail:yltang@hpu.edu.cn

TANG Yongli,WANG Feifei,YE Qing,et al.Provably secure efficient certificateless proxy signature scheme. Journal of Frontiers of Computer Science and Technology,2016,10(9):1282-1289.

To improve the computational efficiency,this paper proposes an efficient provably secure certificateless proxy signature scheme based on elliptic curve discrete logarithm problem,avoiding bilinear pairing.The proposed scheme is more computationally efficient than the existing schemes.Its generate-partial-proxy-key algorithm needs one scalar multiplication,its validate-partial-proxy-key algorithm needs two scalar multiplications,and its signing algorithm only needs one scalar multiplication,its validation algorithm only needs six scalar multiplications.Furthermore, its signature length is shorter.The proposed scheme is existentially unforgeable in adaptive chosen message and identity for super adversary,and is particularly suitable for practical applications with limited bandwidth and powerconstrained devices.

certificateless public key cryptography;proxy signature;elliptic curve discrete logarithm problem;random oracle model

為提高無(wú)證書代理簽名方案的計(jì)算效率，提出了一個(gè)高效的無(wú)證書代理簽名方案。該方案的安全性基于橢圓曲線離散對(duì)數(shù)難題，不使用雙線性對(duì)，其效率比現(xiàn)有的無(wú)證書代理簽名方案有很大提高。在部分代理鑰生成階段只需1個(gè)標(biāo)量乘，在部分代理鑰驗(yàn)證階段只需2個(gè)標(biāo)量乘，在代理簽名階段只需1個(gè)標(biāo)量乘，在代理簽名驗(yàn)證階段只需6個(gè)標(biāo)量乘，且簽名長(zhǎng)度較短。所提方案對(duì)于超級(jí)攻擊者在適應(yīng)性選擇消息與身份下是存在性不可偽造的，適用于對(duì)計(jì)算和存儲(chǔ)等資源有嚴(yán)格限制的實(shí)際應(yīng)用場(chǎng)合。

2016-04,Accepted 2016-06.

*The National Natural Science Foundation of China under Grant No.61300216(國(guó)家自然科學(xué)基金);the International Science and Technology Cooperation Program of Science and Technology Office of Henan Province under Grant No.152102410048(河南省科技廳國(guó)際科技合作計(jì)劃);the Research of Basic and Advanced Technology of Henan Province under Grant No.142300410147(河南省基礎(chǔ)與前沿技術(shù)研究);the Natural Science Research Project of Education Department of Henan Province under Grant Nos.12A520021, 16A520013(河南省教育廳自然科學(xué)研究項(xiàng)目).

CNKI網(wǎng)絡(luò)優(yōu)先出版:2016-06-23,http://www.cnki.net/kcms/detail/11.5602.TP.20160623.1401.022.html

A

TP309