Shamir于1984年提出基于身份的公钥密码体制(ID-PKC)^[1],改进了传统公钥密码体制中公钥证书的管理问题.在ID-PKC体制中,用户的身份信息(如电话号码、姓名、电子邮件等)直接被作为公钥使用,而用户私钥由可信第三方——密钥生成中心(key generation center,简称KGC)提供.由于公钥无需与证书绑定,使得ID-PKC成为密码学领域的研究热点之一,目前已有很多基于身份的加密、签名方案相继被提出.但是由于KGC生成了用户私钥,使得KGC具有伪造任意用户的合法签名或替代任意用户进行签名验证的能力,即:ID-PKC存在密钥托管的不足,该不足制约了ID-PKC在实际生活中的应用.Al-Riyami和Paterson于2003年提出无证书公钥密码系统(CL-PKC)^[2],减少了对KGC的依赖.在CL-PKC中,用户基于KGC计算的部分私钥和自身随机选取的秘密值生成用户完整的私钥;公钥由用户的秘密值、身份和系统参数计算得出.因此,CL-PKC克服了ID-PKC中用户密钥托管的问题,也消除了传统公钥密码学中公钥证书的复杂性管理问题,提高了密码系统的运行效率.

聚合签名的概念是由Boneh等人^[3]在2003年提出的,是一种具有广阔应用前景的关键签名密码技术,对许多应用都有良好的支撑作用.聚合签名可同时给多个消息、多个用户提供不可否认服务,也可把任意多个用户的签名压缩成一个签名.因此,聚合签名既降低了签名的存储空间,也降低了对签名传输网络带宽的要求.同时,将任意多个签名的验证简化为一次验证,也降低了签名验证的工作量^[4].

近年来,国内外学者对聚合签名领域进行了深入研究.在CL-PKC的基础上,已有若干无证书聚合签名(certificateless aggregate signature,简称CLAS)方案^{[5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19]}相继被提出.文献^[5]构造了两个CLAS方案,但在方案I中,聚合签名的长度随签名用户数的增加而变长,并且签名的验证计算量较大;由于签名验证阶段验证者需要计算(n+2)个耗时的双线性运算,导致方案II存在运行效率低的缺点.并且这两个方案的安全性证明均是在较弱的敌手模型假设下进行的,其安全性有待进一步检测.在文献^[6]中,因为验证者需计算(n+3)个双线性运算才能完成签名的合法性验证,致使该方案存在运行效率低的不足.文献^[7]在文献^[6]的基础上提出了相应的改进方案,与文献^[6]中的方案相比较,该方案提高了运行效率,但仍存在下述不足:① 为用户生成部分私钥时,KGC需要额外增加2个群元素;② 为完成签名,需要签名用户维护一个共同的状态信息.文献^{[8, 9]}分别提出基于身份的聚合签名方案和具有常数次双线性运算的聚合签名方案,各方案中均需进行双线性映射运算,具有较高的计算效率.但文献^[10]发现文献^{[8, 9]}中的方案均存在安全性缺陷,在对原始方案进行安全性分析的基础上,文献^[10]分别构造了针对上述方案的攻击算法.文献^[11]提出进行常数次双线性运算,且签名长度固定的无证书聚合签名方案,并证明了方案的安全性.但文献^[12]发现文献^[11]中方案存在安全性缺陷,并在安全性分析的基础上构造了具体的安全性攻击算法.文献^[13]提出新的进行常数次双线性运算的无证书聚合签名方案,同时对方案的安全性进行了证明.但文献^{[14, 15]}均发现文献^[13]中的无证书聚合签名方案无法满足其所声称的安全性,在安全性分析的基础上,分别构造了对文献^[13]方案安全性的具体攻击算法.文献^{[16, 17, 18, 19]}分别基于双线性映射提出了相应的聚合签名方案.

文献^{[5, 6, 7]}分别提出了相应的无证书聚合签名方案,但是各方案中均使用了双线性映射运算,导致相关方案存在计算负载高的不足.虽然文献^{[8, 9, 10, 11, 12, 13]}提出的聚合签名方案具有较高的计算效率,但遗憾的是,上述方案均存在安全性缺陷^{[10, 12, 14, 15]}.相较于文献^{[5, 6, 7]}而言,文献^[16]具有聚合签名长度短和验证效率高的优点,但该方案中,签名合法性验证阶段要进行4次双线性映射运算,由于双线性映射运算具有较高的计算量^[20],所以该方案的高效性是相对而言的.文献^{[17, 18, 19]}中,聚合签名的长度较长,并且计算效率较低.由于现有的聚合签名方案都是基于双线性映射构造,因此在不使用双线性映射的前提下进行聚合签名方案的设计,已成为聚合签名研究领域的热点问题.

针对不同网络环境对消息传输性能的要求,本文提出两种不使用双线性映射的无证书聚合签名方案,在随机预言机模型下,基于离散对数困难问题证明了方案的不可伪造性.相较与现有的无证书聚合签名方案而言,本文方案的签名及签名验证阶段无需进行双线性映射运算,具有更高的计算效率.方案CLAS-I的聚合签名较长,将用于带宽较高的网络环境,方案CLAS-II具有较短的聚合签名长度,且长度与用户数无关,将用于带宽较低的网络环境.

1 基础知识 1.1 困难性假设

定义1(离散对数(discrete logarithm,简称DL)问题). 令q(q>2^k,k为安全参数)是大素数,循环群G的阶为q,P是群G的生成元;给定P,bp∈G,对于任意且未知的$b \in Z_q^ * $,DL困难问题的目标是计算b.

DL假设. 定义概率多项式时间算法A解决DL问题的优势为Adv^DL(A)=Pr[A(P,bp)=b].对于任意的多项式时间算法A,优势Adv^DL(A)都是可忽略的,则称之为满足DL假设.其中,概率来源于b在$Z_q^ * $上的随机选取和算法A的随机选择.

1.2 聚合签名

定义2. 聚合签名^[4]是一种支持聚合特性的数字签名变体,即:给定n个用户${U_{I{D_i}}} \in U$(1≤i≤n,U为用户集合),对消息m_i∈M(M为消息集合)的n个签名,聚合签名的生成者可以将这n个签名聚合成一个唯一的短签名.并且,当给定该聚合签名,参与生成聚合签名用户${U_{I{D_i}}}$的身份标识ID_i及其签名的原始消息m_i等相关信息时,可以使验证者确信是用户${U_{I{D_i}}}$对消息m_i做的签名.

文献^[4]详细介绍了聚合签名的工作原理及特点,并综述了聚合签名领域的研究现状;同时,在研究现状的基础上介绍了未来的研究方向.

1.3 无证书聚合签名方案及安全模型

无证书聚合签名方案^[16]由算法Setup(初始化)、PartialPrivateExtract(部分密钥提取)、UserKeyGen(用户密钥生成)、Sign(签名)、Aggregate(聚合)和Verify(验证)构成.聚合签名方案的合法参与者有KGC、用户${U_{I{D_i}}}$(1≤i≤n)、聚合签名者U_Agg和签名验证者U_Ver,对各算法功能的介绍详见文献^[16].本文方案中将算法PartialPrivateExtract和UserKeyGen的功能集成到算法KeyGen(密钥生成)中实现.

参照文献^[7]所定义的安全模型,无证书聚合签名方案将面临A_I和A_II两类敌手的不可伪造性攻击.

A_I类敌手无法掌握系统的主密钥,但其具有替换合法用户公钥的能力,则A_I类敌手为恶意的用户.本文中,敌手A₁即为A_I类敌手.

A_II类敌手可掌握系统的主密钥,但其不具有替换合法用户公钥的能力,则A_II类敌手为恶意的KGC.本文中,敌手A₂即为A_II类敌手.

文献^[7]详细介绍了无证书聚合签名方案在A_I和A_II两类敌手适应性选择消息攻击下不可伪造性的定义及相应的游戏,本文不再赘述,安全模型及游戏的具体定义见文献^[7].

2 无双线性映射的无证书聚合签名方案 2.1 无证书聚合签名方案I(CLAS-I) 2.1.1 初始化(setup)

KGC执行下述操作:

① 定义阶为素数q(q>2^k,k为安全参数)的循环群G,P为群G的一个生成元;

② 定义抗碰撞的安全哈希函数:${H_1}:{\{ 0,1\} ^{{L_1}}} \times G \times G \to Z_q^ * ,{H_2}:{\{ 0,1\} ^{{L_1}}} \times {\{ 0,1\} ^{{L_2}}} \times G \to Z_q^ * $,其中,L₁为用户身份标识的长度,L₂为消息长度;

③ 随机选取主密钥$s \in Z_q^ * $,计算系统公钥P_Pub=sP,公开参数Params=áq,P,G,P_Pub,H₁,H₂ñ,并秘密保存主密钥s.

2.1.2 密钥生成(KeyGen)

用户${U_{I{D_i}}}$的密钥生成过程如下:

① ${U_{I{D_i}}}$随机选取秘密值${x_{I{D_i}}} \in Z_q^ * $,计算公开参数${X_{I{D_i}}} = {x_{I{D_i}}}P$,发送身份标识ID_i和公开参数${X_{I{D_i}}}$给密钥生成中心KGC;

② 给定用户${U_{I{D_i}}}$的身份标识ID_i及公开参数${X_{I{D_i}}}$,KGC随机选取秘密数${r_{I{D_i}}} \in Z_q^ * $,计算${Y_{I{D_i}}} = {r_{I{D_i}}}P$和${y_{I{D_i}}} = {r_{I{D_i}}} + s{H_1}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$,通过已认证的安全信道将${y_{I{D_i}}}$和${Y_{I{D_i}}}$返回给用户${U_{I{D_i}}}$,其中${y_{I{D_i}}}$为${U_{I{D_i}}}$的部分私钥,${Y_{I{D_i}}}$为${U_{I{D_i}}}$的部分公钥;

③ ${U_{I{D_i}}}$通过验证等式${y_{I{D_i}}}P = {Y_{I{D_i}}} + {P_{Pub}}{H_1}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$是否成立,完成对KGC生成的部分私钥及公钥的正确性验证,则${U_{I{D_i}}}$的公私钥分别为$P{K_{I{D_i}}} = \langle {X_{I{D_i}}},{Y_{I{D_i}}}\rangle $和$S{K_{I{D_i}}} = \langle {x_{I{D_i}}},{y_{I{D_i}}}\rangle $.

2.1.3 聚合签名(aggregate signature)

(1) 用户${U_{I{D_i}}}$(1≤i≤n)对消息m_i进行签名,并将生成的签名${\sigma _{I{D_i}}}$发送给聚合签名者U_Agg;

用户${U_{I{D_i}}}$随机选取秘密数${a_{I{D_i}}} \in Z_q^ * $,计算${V_{I{D_i}}} = {a_{I{D_i}}}P,h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},{V_{I{D_i}}})$和${S_{I{D_i}}} = {a_{I{D_i}}} + ({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2$,生成签名${\sigma _{I{D_i}}} = \langle {V_{I{D_i}}},{S_{I{D_i}}}\rangle $.

(2) U_Agg收到${U_{I{D_i}}}$(1≤i≤n)关于消息m_i的签名${\sigma _{I{D_i}}} = \langle {V_{I{D_i}}},{S_{I{D_i}}}\rangle $后,分别计算$h_{I{D_i}}^1 = {H_2}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$和$h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},{V_{I{D_i}}})$,当且仅当${S_{I{D_i}}}P = {V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)$成立时,U_Agg接收${U_{I{D_i}}}$对m_i的签名${\sigma _{I{D_i}}}$.

因为:${S_{I{D_i}}}P = ({a_{I{D_i}}} + ({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2)P = {V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)$;其中,${y_{I{D_i}}} = {r_{I{D_i}}} + sh_{I{D_i}}^1.$

当用户${U_{I{D_i}}}$(1≤i≤n)关于消息m_i的签名${\sigma _{I{D_i}}}$的合法性验证都通过后,U_Agg生成聚合签名σ:构造集合V={V₁,V₂,…,V_n},并计算$S = \sum\nolimits_{i = 1}^n {{S_{I{D_i}}}} $,则σ=(V,S)是U_Agg关于身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}})(1\le i\le n)$的聚合签名.

2.1.4 聚合签名验证(AS-verify)

给定身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}})(1\le i\le n)$聚合签名σ=(V,S),签名验证者U_Ver进行如下操作:

① 对于每个签名者${U_{I{D_i}}}$(1≤i≤n),计算$h_{I{D_i}}^1 = {H_2}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$和$h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},{V_{I{D_i}}});$

② 验证等式$SP = \sum\nolimits_{i = 1}^n {[{V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} ]$是否成立:若成立,则接收签名σ=(V,S),输出True,表明σ=(V,S)是U_Agg关于身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}})(1\le i\le n)$的聚合签名;否则拒绝,并输出False.

因为:$SP = \sum\nolimits_{i = 1}^n {{S_{I{D_i}}}P} = \sum\nolimits_{i = 1}^n {({a_{I{D_i}}} + ({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2)P} = \sum\nolimits_{i = 1}^n {[{V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} ].$

2.2 无证书聚合签名方案II(CLAS-II)

方案CLAS-II的初始化算法和密钥生成算法与方案CLAS-I的Setup和KeyGen算法相同,并且在该方案中,各参与者基于认证的安全信道进行相关信息的共享.

2.2.1 聚合签名(aggregate signature)

(1) 用户${U_{I{D_i}}}$(1≤i≤n)对消息m_i进行签名,并将生成的签名${\sigma _{I{D_i}}}$发送给聚合者U_Agg;同时,各用户间进行相关信息的共享.

用户${U_{I{D_i}}}$随机选取秘密数${a_{I{D_i}}} \in Z_q^ * ,$计算共享信息${V_{I{D_i}}} = {a_{I{D_i}}}P,$并将${V_{I{D_i}}}$发送给其他的n-1个用户${U_{I{D_j}}}$(1≤j≤n,j≠i);当${U_{I{D_i}}}$收到其他n-1个用户${U_{I{D_j}}}$的共享信息${V_{I{D_j}}}$后,首先计算$V = \sum\nolimits_{i = 1}^n {{V_{I{D_i}}}} ,$然后计算$h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},V)$和${S_{I{D_i}}} = {a_{I{D_i}}} + ({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2,$生成签名${\sigma _{I{D_i}}} = \langle V,{V_{I{D_i}}},{S_{I{D_i}}}\rangle .$

(2) U_Agg收到${U_{I{D_i}}}$(1≤i≤n)关于消息m_i的签名${\sigma _{I{D_i}}} = \langle V,{V_{I{D_i}}},{S_{I{D_i}}}\rangle $后,首先计算$V' = \sum\nolimits_{i = 1}^n {{V_{I{D_i}}}} $,若V¢=V,则U_Agg计算$h_{I{D_i}}^1 = {H_2}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$和$h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},V)$,当且仅当${S_{I{D_i}}}P = {V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)$成立时,U_Agg接收${U_{I{D_i}}}$对消息m_i的签名${\sigma _{I{D_i}}};$否则,${U_{I{D_i}}}$关于消息m_i的签名${\sigma _{I{D_i}}}$在生成过程中出现错误,则U_Agg要求${U_{I{D_i}}}$(1≤i≤n)重新生成对相应消息m_i的签名${\sigma _{I{D_i}}}.$当${U_{I{D_i}}}$(1≤i≤n)关于消息m_i的签名${\sigma _{I{D_i}}}$的合法性验证都通过后,计算$S = \sum\nolimits_{i = 1}^n {{S_{I{D_i}}}} $,则σ=(V,S)是U_Agg关于身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},\langle {{X}_{I{{D}_{i}}}},{{Y}_{I{{D}_{i}}}}\rangle )(1\le i\le n)$的聚合签名.

2.2.2 聚合签名验证(AS-verify)

给定身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}})(1\le i\le n)$及聚合签名σ=(V,S),签名验证者U_Ver进行如下操作:

① 对于每个签名者${U_{I{D_i}}}$(1≤i≤n),计算$h_{I{D_i}}^1 = {H_2}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$和$h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},V)$;

② 验证等式$SP = V + \sum\nolimits_{i = 1}^n {h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} $是否成立:若成立则输出True,表明σ=(V,S)是U_Agg关于身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}})(1\le i\le n)$的聚合签名;否则拒绝,并输出False.

因为:

$\begin{gathered} SP = \sum\nolimits_{i = 1}^n {{S_{I{D_i}}}P} \hfill \\ {\text{ }} = \sum\nolimits_{i = 1}^n {({a_{I{D_i}}} + ({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2)P} \hfill \\ {\text{ }} = \sum\nolimits_{i = 1}^n {{a_{I{D_i}}}P} + \sum\nolimits_{i = 1}^n {({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2P} \hfill \\ {\text{ }} = \sum\nolimits_{i = 1}^n {{V_{I{D_i}}}} + \sum\nolimits_{i = 1}^n {h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} \hfill \\ {\text{ }} = V + \sum\nolimits_{i = 1}^n {h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} . \hfill \\ \end{gathered} $

3 安全性证明

本节在随机预言机模型下,基于离散对数问题对方案CLAS-I和CLAS-II的不可伪造性进行证明.

引理1. 在随机预言机模型下,若存在A_I类敌手A₁能在多项式时间内,以不可忽略的优势ε攻破本文聚合签名方案CLAS-I的不可伪造性(其中,A₁最多进行q_S次签名询问、q_K次部分密钥生成询问和q_SK次私钥生成询问,聚合签名的用户数为n),则存在算法T₁,能在多项式时间内以不可忽略的优势$Adv({{\mathcal{T}}_{1}})\ge \left( 1-\frac{{{q}_{K}}}{{{2}^{k}}} \right)\left( 1-\frac{{{q}_{SK}}}{{{2}^{k}}} \right)$$\frac{\varepsilon }{{ne({q_S} + n)}}$(其中,e是自然对数底数)成功解决离散对数问题.

证明: 假设算法T₁是一个离散对数问题的解决者,输入为元组(P,bP),其中$b \in Z_q^ * $且未知,目标是计算b.T₁以A₁为子程序并充当挑战者,T₁运行Setup算法,生成公开参数Params=áq,P,G,P_Pub,H₁,H₂ñ,令P_Pub=bP,并发送Params给A₁,同时,T₁维护列表L₁,L₂,L_K,L_SK,L_PK,L_S分别用于跟踪A₁对预言机H₁、预言机H₂、部分密钥生成、私钥生成、公钥生成和签名的询问.开始时,各列表均为空.T₁选择身份ID_j(询问阶段对q_S个身份进行签名询问,挑战阶段生成n个用户的聚合签名)作为其猜测的挑战身份,则T₁选择身份ID_j的概率为$\delta \in \left[ {\frac{1}{{{q_S} + n}},\frac{1}{{{q_S} + 1}}} \right]$.

询问阶段:敌手A₁进行下述询问:

H₁查询:当A₁向预言机H₁询问${H_1}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$时,T₁进行下述操作:

① 若列表L₁中存在相应的元组$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}},{h_1}\rangle $,则T₁返回h₁给A₁;

② 否则,T₁随机选取${h_1} \in Z_q^ * $,使得L₁中不存在相应的元组*,*,*,h₁ñ(避免哈希函数H₁碰撞的产生),并添加相应的元组$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}},{h_1}\rangle $到L₁中,同时返回h₁给A₁.

H₂查询:当A₁向预言机H₂询问${H_2}(I{D_i},{m_i},{V_{I{D_i}}})$时,T₁进行下述操作:

① 若列表L₂中存在相应的元组$\langle I{D_i},{m_i},{V_{I{D_i}}},{h_2}\rangle $,则返回h₂给A₁;

② 否则,T₁随机选取${h_2} \in Z_q^ * $,使得列表L₂中不存在元组*,*,*,h₂ñ,并添加元组$\langle I{D_i},{m_i},{V_{I{D_i}}},{h_2}\rangle $到L₂中,同时返回h₂给A₁.

部分密钥生成询问:当收到A₁对ID_i和公开参数${X_{I{D_i}}}$的部分密钥生成询问时,T₁进行下述操作:

① 若列表L_K中存在相应的元组$\langle I{D_i},{y_{I{D_i}}},{Y_{I{D_i}}}\rangle $,则返回相应的值$({y_{I{D_i}}},{Y_{I{D_i}}})$给A₁;

② 否则,若ID_i≠ID_j,T₁随机选取${y_{I{D_i}}},{h_1} \in Z_q^ * $,计算${Y_{I{D_i}}} = {y_{I{D_i}}}P - {P_{Pub}}{h_1}$,添加元组$\langle I{D_i},{y_{I{D_i}}},{Y_{I{D_i}}}\rangle $到L_K中,返回$({y_{I{D_i}}},{Y_{I{D_i}}})$给A₁,若列表L₁中不存在相应的元组,则添加元组$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}},{h_1}\rangle $到L₁中;若ID_i=ID_j,T₁随机选取${y_{I{D_i}}},{h_1} \in Z_q^ * $,令${Y_{I{D_j}}} = {r_{know}}P$(其中,${r_{know}} \in Z_q^ * $是T₁已知的随机数),添加元组$\langle I{D_j},{y_{I{D_j}}},{Y_{I{D_j}}}\rangle $到列表L_K中,返回$({y_{I{D_j}}},{Y_{I{D_j}}})$给A₁,若列表L₁中不存在相应的元组,则添加元组$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}},{h_1}\rangle $到L₁中.

私钥生成询问:当T₁收到A₁对ID_i的私钥生成询问时,T₁进行下述操作:

① 若L_SK中存在元组$\langle I{D_i},{x_{I{D_i}}},{y_{I{D_i}}}\rangle $,则返回相应的值$S{K_{I{D_i}}} = ({x_{I{D_i}}},{y_{I{D_i}}})$给A₁;

② 否则,T₁随机选取${x_{I{D_i}}} \in Z_q^ * $,计算${X_{I{D_i}}} = {x_{I{D_i}}}P$,通过对ID_i和${X_{I{D_i}}}$进行部分密钥生成询问获知相应的元组$\langle I{D_i},{y_{I{D_i}}},{Y_{I{D_i}}}\rangle $,添加元组$\langle I{D_i},{x_{I{D_i}}},{y_{I{D_i}}}\rangle $到列表L_SK中,并返回$S{K_{I{D_i}}} = ({x_{I{D_i}}},{y_{I{D_i}}})$给A₁,同时添加元组$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}}\rangle $到列表L_PK中.

公钥生成查询:当收到A₁对身份ID_i的公钥生成询问时,T₁进行下述操作:

① 若列表L_PK中存在元组$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}}\rangle $,则返回$P{K_{I{D_i}}} = ({X_{I{D_i}}},{Y_{I{D_i}}})$给A₁;

② 否则,T₁随机返选取${x_{I{D_i}}} \in Z_q^ * $,计算${X_{I{D_i}}} = {x_{I{D_i}}}P$,通过对ID_i和${X_{I{D_i}}}$进行部分密钥生成询问获知相应的元组$\langle I{D_i},{y_{I{D_i}}},{Y_{I{D_i}}}\rangle $,添加元组$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}}\rangle $到列表L_PK中,并返回$P{K_{I{D_i}}} = ({X_{I{D_i}}},{Y_{I{D_i}}})$给A₁,同时添加元组$\langle I{D_i},{x_{I{D_i}}},{y_{I{D_i}}}\rangle $到列表L_SK中.

公钥替换询问:A₁可选择一个新的公钥$P{K'_{I{D_i}}} = ({X'_{I{D_i}}},{Y'_{I{D_i}}})$替换任意合法用户的原始公钥$P{K_{I{D_i}}}$.

签名询问:当T₁收到A₁关于身份-消息-公钥$\langle I{D_i},{m_i},P{K_{I{D_i}}}\rangle $的签名询问时,操作如下:

① 若ID_i=ID_j,则T₁放弃,并终止模拟;

② 否则,T₁随机选取秘密数${a_{I{D_i}}} \in Z_q^ * $,计算${V_{I{D_i}}} = {a_{I{D_i}}}P,h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},{V_{I{D_i}}})$和${S_{I{D_i}}} = {a_{I{D_i}}} + ({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2$,生成签名${\sigma _{I{D_i}}} = \langle {V_{I{D_i}}},{S_{I{D_i}}}\rangle $返回给敌手A₁.

聚合签名询问:当T₁收到A₁关于身份-消息-公钥对$\langle I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}}\rangle (1\le i\le n)$的聚合签名询问时,操作如下:

① 若对于所有的ID_i(1≤i≤n),都有ID_i≠ID_j,则T₁对每个用户ID_i(1≤i≤n)随机选取秘密数${a_{I{D_i}}} \in Z_q^ * $,计算${V_{I{D_i}}} = {a_{I{D_i}}}P,h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},{V_{I{D_i}}})$和${S_{I{D_i}}} = {a_{I{D_i}}} + ({x_{I{D_i}}} + {y_{I{D_i}}})h_{I{D_i}}^2$后,构造集合V={V₁,V₂,…,V_n},并计算$S = \sum\nolimits_{i = 1}^n {{S_{I{D_i}}}} $,生成聚合签名σ=(V,S)返回给A₁.

② 否则,T₁放弃,并终止模拟.

签名验证询问:当T₁收到A₁关于身份-消息-签名$\langle I{D_i},{m_i},{\sigma _{I{D_i}}}\rangle $的验证询问时,T₁查询L_PK中是否存在ID_i所对应的元组:

① 若L_PK中存在ID_i所对应的元组且ID_i≠ID_j,则T₁计算$h_{I{D_i}}^1 = {H_2}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$和$h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},{V_{I{D_i}}})$,并验证${S_{I{D_i}}}P = {V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)$是否成立:若成立,则T₁返回True给A₁;否则,返回False给A₁;

② 若L_PK中存在ID_i所对应的元组且ID_i=ID_j,则当L₂中存在ID_i相对应的元组$\langle I{D_i},{m_i},{V_{I{D_i}}},{h_2}\rangle $时,T₁返回True给A₁;否则,返回False给A₁;

③ 若L_PK中不存在ID_i所对应的元组,则当L₂中存在ID_i相对应的元组$\langle I{D_i},{m_i},{V_{I{D_i}}},{h_2}\rangle $时,T₁返回True给A₁;否则,返回False给A₁.

伪造:经过多项式有界次的上述询问后,A₁输出关于身份-消息-公钥对$\langle I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}}\rangle (1\le i\le n)$聚合签名σ=(V,S),其中至少有一个ID_i(i∈[1,n])未进行部分密钥生成询问和私钥生成询问,同时至少有一个m_i(i∈[1,n])未进行签名询问.

① 若对于所有的ID_i(1≤i≤n)都有ID_i≠ID_j,则T₁放弃,并终止模拟;

② 否则(有一个ID_i(1≤i≤n)与ID_j相等),则T₁在列表L_PK,L_SK,L₁和L₂中查询身份ID_i(1≤i≤n)所对应的记录值,并验证等式$SP = \sum\nolimits_{i = 1}^n {[{V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} ]$是否成立:

• 若等式成立,则T₁输出$b = {(h_{I{D_j}}^1h_{I{D_j}}^2)^{ - 1}}\{ S - \sum\nolimits_{i = 1,i \ne j}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] - {a_{I{D_j}}} - h_{I{D_j}}^2({x_{I{D_j}}} + {r_{know}})\} $作为离散对数问题的有效解;

• 否则,T₁没有解决离散对数问题.因为:

$\begin{gathered} S = \sum\nolimits_{i = 1}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] \hfill \\ {\text{ }} = \sum\nolimits_{i = 1,i \ne j}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] + {a_{I{D_j}}} + h_{I{D_j}}^2({x_{I{D_j}}} + {y_{I{D_j}}}) \hfill \\ {\text{ }} = \sum\nolimits_{i = 1,i \ne j}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] + {a_{I{D_j}}} + h_{I{D_j}}^2({x_{I{D_j}}} + {r_{know}} + bh_{I{D_j}}^1). \hfill \\ \end{gathered} $

若A₁在询问阶段对ID_i(1≤i≤n)进行了部分密钥生成询问和私钥生成询问,则T₁会终止模拟.事件ε₁表示至少存在一个ID_f(f∈[1,n])未进行部分密钥生成询问和私钥生成询问,事件ε₂表示T₁在签名询问时未终止.则有:

$\Pr [{{\mathcal{E}}_{1}}]\ge \frac{1}{n}\left( 1-\frac{{{q}_{K}}}{{{2}^{k}}} \right)\left( 1-\frac{{{q}_{SK}}}{{{2}^{k}}} \right),\Pr [{{\mathcal{E}}_{2}}|{{\mathcal{E}}_{1}}]={{(1-\sigma )}^{{{q}_{S}}}}.$

因此,T₁在询问阶段不终止的概率为$\Pr [{{\mathcal{E}}_{1}}\wedge {{\mathcal{E}}_{2}}]=\Pr [{{\mathcal{E}}_{2}}|{{\mathcal{E}}_{1}}]\Pr [{{\mathcal{E}}_{1}}]\ge \frac{1}{n}\left( 1-\frac{{{q}_{K}}}{{{2}^{k}}} \right)\left( 1-\frac{{{q}_{SK}}}{{{2}^{k}}} \right){{(1-\sigma )}^{{{q}_{S}}}}.$

事件ε₃表示算法T₁在挑战阶段未终止,即,A₁在挑战阶段伪造的聚合签名中包含身份ID_j,则T₁在挑战阶段不终止的概率为Pr[ε₃]=δ.

在整个模拟过程中,T₁不终止的概率至少为$\frac{1}{n}\left( {1 - \frac{{{q_K}}}{{{2^k}}}} \right)\left( {1 - \frac{{{q_{SK}}}}{{{2^k}}}} \right){(1 - \sigma )^{{q_S}}}\delta .$由于$\delta \in \left[ {\frac{1}{{{q_S} + n}},\frac{1}{{{q_S} + 1}}} \right],$则当q_S足够大时,${(1 - \sigma )^{{q_S}}}$趋向于e^-1;因此,模拟过程中T₁不终止的概率至少为$\left( {1 - \frac{{{q_K}}}{{{2^k}}}} \right)\left( {1 - \frac{{{q_{SK}}}}{{{2^k}}}} \right)\frac{1}{{ne({q_S} + n)}}.$

综上所述,若T₁在模拟过程中未终止,并且A₁以不可忽略的优势ε攻破了本文聚合签名方案CLAS-I的不可伪造性,则T₁能以不可忽略的优势$Adv({{\mathcal{T}}_{1}})\ge \left( 1-\frac{{{q}_{K}}}{{{2}^{k}}} \right)\left( 1-\frac{{{q}_{SK}}}{{{2}^{k}}} \right)\frac{\varepsilon }{ne({{q}_{S}}+n)}$成功解决离散对数问题.

引理2. 在随机预言机模型下,若存在一个A_II类敌手A₂,能在多项式时间内,以不可忽略的优势ε攻破本文聚合签名方案CLAS-I的不可伪造性(其中,A₂最多进行q_S次签名询问、q_K次部分密钥生成询问和q_SK次私钥生成询问,聚合签名的用户数为n),则存在算法T₂,能在多项式时间内,以不可忽略的优势$Adv({{\mathcal{T}}_{2}})\ge \left( 1-\frac{{{q}_{K}}}{{{2}^{k}}} \right)$ $\left( {1 - \frac{{{q_{SK}}}}{{{2^k}}}} \right)\frac{\varepsilon }{{ne({q_S} + n)}}$(其中,e是自然对数底数)成功解决离散对数问题.

证明:假设算法T₂是一个离散对数问题的解决者,输入为元组(P,bP),其中,$b \in Z_q^ * $且未知,目标是计算b.T₂以A₂为子程序并充当挑战者,T₂运行Setup算法,生成公开参数Params=q,P,G,P_Pub,H₁,H₂ñ和主密钥.发送Params和主密钥给A₂;同时,T₂维持列表L₁,L₂,L_K,L_SK,L_PK,L_S分别用于跟踪A₂对预言机H₁、预言机H₂、部分密钥生成、私钥生成、公钥生成和签名的询问.开始时,各列表均为空.T₂选择身份ID_j作为其猜测 的挑战身份,则T₂选择身份ID_j的概率为$\delta \in \left[ {\frac{1}{{{q_S} + n}},\frac{1}{{{q_S} + 1}}} \right].$

询问:敌手A₂对预言机H₁、预言机H₂、私钥生成、公钥生成、签名和聚合签名询问的执行过程与引理1中的相应询问相同.

部分密钥生成询问:当收到A₂对ID_i和公开参数${X_{I{D_i}}}$的部分密钥生成询问时,T₂进行下述操作:

① 若L_K中存在相应的元组$\langle I{D_i},{y_{I{D_i}}},{Y_{I{D_i}}}\rangle ,$则返回$({y_{I{D_i}}},{Y_{I{D_i}}})$给A₂;

② 否则,若ID_i≠ID_j,T₂随机选取${y_{I{D_i}}},{h_1} \in Z_q^ * ,$计算${Y_{I{D_i}}} = {y_{I{D_i}}}P - {P_{Pub}}{h_1},$添加元组$\langle I{D_i},{y_{I{D_i}}},{Y_{I{D_i}}}\rangle $到列表L_K中,返回$({y_{I{D_i}}},{Y_{I{D_i}}})$给A₂,同时添加$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}},{h_1}\rangle $到L₁中;若ID_i=ID_j,T₂随机选取${y_{I{D_i}}},{h_1} \in Z_q^ * ,$令${Y_{I{D_j}}} = bP,$添加$\langle I{D_j},{y_{I{D_j}}},{Y_{I{D_j}}}\rangle $到L_K中,返回$({y_{I{D_j}}},{Y_{I{D_j}}})$给A₂,同时添加$\langle I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}},{h_1}\rangle $到L₁中.

签名验证询问:当T₂收到A₂关于身份-消息-签名$\langle I{D_i},{m_i},{\sigma _{I{D_i}}}\rangle $的验证询问时,T₂查询L_PK中是否存在ID_i所对应的元组:

① 若L_PK中存在ID_i所对应的元组且ID_i≠ID_j,则T₂计算$h_{I{D_i}}^1 = {H_2}(I{D_i},{X_{I{D_i}}},{Y_{I{D_i}}})$和$h_{I{D_i}}^2 = {H_2}(I{D_i},{m_i},{V_{I{D_i}}}),$并验证${S_{I{D_i}}}P = {V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)$是否成立:若成立,则T₂返回True给A₂;否则,返回False给A₂;

② 若L_PK中存在ID_i所对应的元组且ID_i=ID_j,若L₂中存在ID_i相对应的元组$\langle I{D_i},{m_i},{V_{I{D_i}}},{h_2}\rangle ,$则T₂返回True给A₂;否则,返回False给A₂.

伪造:经过多项式有界次上述询问后,A₂输出关于身份-消息-公钥$\langle I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}}\rangle (1\le i\le n)$的聚合签名σ=(V,S),其中至少有一个ID_i(i∈[1,n])未进行部分密钥生成询问和私钥生成询问.同时也至少有一个m_i(i∈[1,n])未进行签名询问.

① 若对于所有的ID_i(1≤i≤n)都有ID_i≠ID_j,则T₂放弃,并终止模拟;

② 否则(存在一个ID_J(J∈[1,n])与ID_j相等,ID_J=ID_j),则T₂在列表L_PK,L_SK,L₁和L₂中查询身份ID_i(1≤i≤n)所对应的记录值,并验证等式$SP = \sum\nolimits_{i = 1}^n {[{V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} ]$是否成立:

• 若成立,则T₂输出$b = {(h_{I{D_j}}^2)^{ - 1}}\{ S - \sum\nolimits_{i = 1,i \ne j}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] - {a_{I{D_j}}} - h_{I{D_j}}^2({x_{I{D_j}}} + sh_{I{D_j}}^1)\} $作为离散对数问题的有效解;

• 否则,T₂没有解决离散对数问题.因为:

$\begin{gathered} S = \sum\nolimits_{i = 1}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] \hfill \\ {\text{ }} = \sum\nolimits_{i = 1,i \ne j}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] + {a_{I{D_j}}} + h_{I{D_j}}^2({x_{I{D_j}}} + {y_{I{D_j}}}) \hfill \\ {\text{ }} = \sum\nolimits_{i = 1,i \ne j}^n {[{a_{I{D_i}}} + h_{I{D_i}}^2({x_{I{D_i}}} + {y_{I{D_i}}})} ] + {a_{I{D_j}}} + h_{I{D_j}}^2({x_{I{D_j}}} + b + sh_{I{D_j}}^1). \hfill \\ \end{gathered} $

由引理1证明可知:在模拟过程中,T₂不终止的概率至少为$\left( {1 - \frac{{{q_K}}}{{{2^k}}}} \right)\left( {1 - \frac{{{q_{SK}}}}{{{2^k}}}} \right)\frac{1}{{ne({q_S} + n)}},$因此,若T₂在模拟过程中未终止,并且A₂以不可忽略的优势e攻破了本文聚合签名方案CLAS-II的不可伪造性,则T₂能以不可忽略的优势$Adv({{\mathcal{T}}_{2}})\ge \left( 1-\frac{{{q}_{K}}}{{{2}^{k}}} \right)\left( 1-\frac{{{q}_{SK}}}{{{2}^{k}}} \right)\frac{\varepsilon }{ne({{q}_{S}}+n)}$成功解决离散对数问题.

定理1. 在随机预言机模型下,由于离散对数问题是困难的,则本文聚合签名方案CLAS-I在适应性选择消息攻击下是存在性不可伪造的,即,方案CLAS-I的聚合签名是不可伪造的.

证明:由引理1和引理2的证明可知,定理1成立.

定理2. 在随机预言机模型下,由于离散对数问题是困难的,则本文聚合签名方案CLAS-II在适应性选择消息攻击下是存在性不可伪造的,即,方案CLAS-II的聚合签名是不可伪造的.

定理2的证明与定理1相类似,采用相同的方式将困难问题嵌入到对敌手相关询问的应答中,并构造相应的引理证明方案CLAS-II,分别抵抗A_I和A_II类敌手的伪造性攻击.与定理1证明的区别在于应答敌手的聚合签名询问和签名验证询问时部分参数的计算方式不相同,具体的计算过程由CLAS-II中相应的算法所决定.篇幅所限,对于定理2的证明过程本文不再赘述.

4 性能及效率分析 4.1 性能分析 4.1.1 无密钥托管

在本文方案中,KGC基于用户${U_{I{D_i}}}$身份标识ID_i和公开参数${X_{I{D_i}}}$为${U_{I{D_i}}}$生成部分私钥${y_{I{D_i}}}$和部分公钥${Y_{I{D_i}}}.$由于${X_{I{D_i}}} = {x_{I{D_i}}}P$,若KGC欲通过${X_{I{D_i}}}$求解用户${U_{I{D_i}}}$的秘密值${x_{I{D_i}}}$,则其将面临求解离散对数问题,因此,KGC无法掌握用户${U_{I{D_i}}}$的私钥$S{K_{I{D_i}}} = ({x_{I{D_i}}},{y_{I{D_i}}}),$所以,本文方案中不存在密钥托管问题.

4.1.2 公开验证性

本文方案中,当签名发送者和签名接收者关于签名的有效性发生争执,需要公开验证发送者身份时,接收者可发送身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},\langle {{X}_{I{{D}_{i}}}},{{Y}_{I{{D}_{i}}}}\rangle )(1\le i\le n)$及聚合签名σ=(V,S)给任意可信第三方,无需接收者的任何私有信息,可信第三方只需进行相应的验证即可.

对于方案CLAS-I,第三方只需验证等式$SP = \sum\nolimits_{i = 1}^n {[{V_{I{D_i}}} + h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} ]$是否成立即可;对于方案CLAS-II,第三方只需验证等式$SP = V + \sum\nolimits_{i = 1}^n {h_{I{D_i}}^2({X_{I{D_i}}} + {Y_{I{D_i}}} + {P_{Pub}}h_{I{D_i}}^1)} $是否成立即可.由于本文方案中签名具有不可伪造性,所以上述等式成立,则表明σ=(V,S)是U_Agg关于身份-消息-公钥对$(I{{D}_{i}},{{m}_{i}},P{{K}_{I{{D}_{i}}}}=\langle {{X}_{I{{D}_{i}}}},{{Y}_{I{{D}_{i}}}}\rangle )(1\le i\le n)$的聚合签名,因此,本文方案具有公开验证性.

4.1.3 不可否认性

本文方案中,由定理1和定理2可知,本文聚合签名方案对敌手具有不可伪造性,则用户不能否认其对消息进行签名的事实;同时,由公开验证性可知:任何可信第三方均可公开验证签名发送者的身份,因此,本文方案具有不可否认性.

4.2 效率分析

将本文方案与现有相关方案^{[5, 6, 7, 16, 17, 18, 19]}的计算效率和通信效率进行比较,由于文献^{[8, 9, 11, 13]}中的方案存在安全性缺陷,并且文献^{[10, 12, 14, 15]}仅对现有方案进行安全性分析,并未提出相应的新方案,因此上述方案^{[8, 9, 10, 11, 12, 13, 14, 15]}不作为对比方案.效率分析时,计算效率主要以聚合签名合法性验证算法的计算量来衡量,通信效率主要以聚合签名的长度来衡量,具体的效率比较结果见表1.

表1中,相关符号的具体含义为:E_M表示群上的乘法运算,E_B表示双线性映射运算;L_G表示群中元素的长度,L_z表示$Z_q^ * $中元素的长度,|$ \triangleright $|表示用户状态信息的长度.

在计算效率方面,由于双线性映射具有较高的计算量^[20],而文献^{[5, 6, 7, 16, 17, 18, 19]}中的方案均使用了双线性映射,导致其计算效率较低;但是本文聚合签名方案CLAS-I和CLAS-II中无需进行双线性映射运算,仅进行群上的乘法运算,因此相较与现有聚合签名方案^{[5, 6, 7, 16, 17, 18, 19]}而言,本文方案CLAS-I和CLAS-II具有较高的计算效率.

在通信效率方面,本文方案CLAS-I的签名长度高于文献^{[7, 16]},与文献^{[6, 17, 18, 19]}中相关方案的聚合签名长度相同;本文方案CLAS-II的签名长度明显优于文献^{[5, 6, 7, 17, 18, 19]}中的相关方案,与文献^[16]一样具有固定的签名长度.本文方案CLAS-II是目前最短的不使用双线性映射的无证书聚合签名方案之一,即,本文方案CLAS-II与文献^[16]具有较高的通信效率,但文献^[16]中签名验证阶段需进行4次双线性映射运算,导致该方案^[16]的计算效率较低.

5 结束语

由于聚合签名特点突出,已经广泛应用在诸多领域.现有的聚合签名方案多数是基于双线性映射来构建,而双线性映射运算具有较高的计算量,导致现有的聚合签名方案普遍存在计算效率低的不足.针对上述不足,根据不同应用环境对传输效率的需求,本文提出了两种不使用双线性映射的无证书聚合签名方案CLAS-I和CLAS-II,并在随机预言机模型下基于离散对数困难性假设证明了方案的不可伪造性;相较于其他方案而言,本文方案无需进行双线性映射运算,运算量较少,具有更高的计算效率.其中:方案CLAS-I的聚合签名长度较长,将用于带宽较高的网络环境;方案CLAS-II中聚合签名的长度与用户数无关,是固定的,是目前签名长度最短且计算效率较高 的无证书聚合签名方案之一,将用于带宽较低的网络环境.

虽然方案CLAS-I的签名较长,方案CLAS-II中用户需要进行相关信息的共享,但是本文首次对不使用双线性映射的无证书聚合签名方案进行了探索性的研究,并且大幅度提高了聚合签名的计算效率.下一阶段,本文将对方案进行优化,在保证聚合签名方案高计算效率的同时提高其执行效率.