密鑰隔離的無(wú)證書聚合簽名

尋甜甜,于　佳,2,楊光洋,江秀秀,郝　蓉

(1.青島大學(xué)信息工程學(xué)院，山東青島 266071；2.山東省科學(xué)院山東省計(jì)算機(jī)網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室，山東濟(jì)南 250014)

?

密鑰隔離的無(wú)證書聚合簽名

尋甜甜1,于佳1,2,楊光洋1,江秀秀1,郝蓉1

(1.青島大學(xué)信息工程學(xué)院，山東青島 266071；2.山東省科學(xué)院山東省計(jì)算機(jī)網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室，山東濟(jì)南 250014)

無(wú)證書的聚合簽名的提出是為了解決密鑰托管問(wèn)題以及復(fù)雜的證書管理問(wèn)題.然而在無(wú)證書的聚合簽名中，一旦某一簽名者的密鑰發(fā)生泄漏，所有由此簽名者參與生成的聚合簽名都將不再安全.為了減小無(wú)證書的聚合簽名中密鑰泄漏帶來(lái)的危害，本文首次將密鑰隔離安全機(jī)制嵌入到無(wú)證書的聚合簽名中，提出了密鑰隔離的無(wú)證書聚合簽名的概念和安全模型，并給出了一個(gè)實(shí)用的方案，通過(guò)與協(xié)助器的交互，實(shí)現(xiàn)了對(duì)簽名者密鑰的定時(shí)更新.同時(shí)證明了方案在隨機(jī)預(yù)言機(jī)模型下是安全的，即，滿足密鑰隔離安全、強(qiáng)密鑰隔離安全和安全密鑰更新的性質(zhì).

聚合簽名；密鑰隔離；無(wú)證書簽名；密鑰托管；雙線性配對(duì)

1　引言

2003年，Boneh等人[1]提出了聚合簽名的概念，并給出了第一個(gè)基于雙線性配對(duì)的聚合簽名方案.在此方案中，n個(gè)簽名者對(duì)n個(gè)不同消息的簽名可以被壓縮成單個(gè)簽名，而驗(yàn)證方只需對(duì)合成的單個(gè)簽名進(jìn)行一次驗(yàn)證就能夠判斷簽名是否來(lái)自這些簽名者.為了解決聚合簽名中復(fù)雜的證書管理問(wèn)題，Gentry等[2]提出了基于身份的聚合簽名方案，在該方案中，簽名者的身份可以替代它的公鑰，驗(yàn)證者僅使用簽名者的身份就可驗(yàn)證簽名是否有效，從而簡(jiǎn)化了證書管理的過(guò)程.由于聚合后的簽名和單個(gè)簽名的長(zhǎng)度是相同的，因此該方案驗(yàn)證時(shí)所需總的信息量較少，可應(yīng)用于無(wú)線網(wǎng)絡(luò)等領(lǐng)域.Ah Shim等[3]提出了另外一個(gè)基于身份的聚合簽名方案，該方案具有更高的效率.

然而，在基于身份的聚合簽名方案中，存在密鑰托管問(wèn)題，即私鑰生成中心(PKG)知道每個(gè)用戶的私鑰.用戶私鑰是由PKG跟據(jù)用戶的身份生成的，也就是說(shuō)不誠(chéng)實(shí)的PKG可以偽造任何用戶的簽名，因此密鑰托管問(wèn)題嚴(yán)重威脅到基于身份的密碼系統(tǒng)的安全.為了解決這個(gè)問(wèn)題，Al-Riyami和Paterson[4]最先提出了無(wú)證書的公鑰密碼體制，密鑰生成中心(KGC)生成用戶的部分私鑰，用戶使用部分私鑰和自己選取的秘密值獨(dú)立生成自己的公私鑰，因此，KGC無(wú)法偽造用戶的簽名，從而解決了基于身份的密碼系統(tǒng)中的密鑰托管問(wèn)題.由于既能解決密鑰托管問(wèn)題，又能簡(jiǎn)化公鑰證書的管理，無(wú)證書密碼體制近些年來(lái)受到密碼學(xué)界的廣泛關(guān)注.Zheng等[5]首次提出無(wú)證書聚合簽名方案，安全性只在一個(gè)較弱的模型下得到了證明，隨后文獻(xiàn)[6]強(qiáng)化了無(wú)證書聚合簽名的安全性模型，并給出了高效的無(wú)證書簽名方案.Xiong等[7]提出了具有常數(shù)個(gè)配對(duì)的無(wú)證書聚合簽名方案，并稱方案在隨機(jī)預(yù)言機(jī)模型下是可證安全的.文獻(xiàn)[8～15]給出了一些其他的無(wú)證書簽名方案.

然而，在無(wú)證書聚合簽名中密鑰泄露問(wèn)題是亟待解決的問(wèn)題，如果一個(gè)簽名者密鑰發(fā)生泄漏，由此簽名者參與的所有聚合簽名將不再安全.Dodis等[16]提出的密鑰隔離機(jī)制，可以定時(shí)對(duì)私鑰進(jìn)行更新并保證用戶公鑰不變.某一時(shí)間段的私鑰泄露不會(huì)影響其他時(shí)間段系統(tǒng)的安全性，有效地降低了密鑰泄露帶來(lái)的危害.萬(wàn)中美提出的標(biāo)準(zhǔn)模型下的無(wú)證書密鑰隔離簽名[17]方案和無(wú)證書的強(qiáng)密鑰隔離簽名[18]方案，減小了無(wú)證書簽名中的密鑰泄漏問(wèn)題.

密鑰隔離的無(wú)證書聚合簽名方案目前尚未被提出，一個(gè)重要的原因是密鑰隔離的無(wú)證書聚合簽名的構(gòu)造需要滿足：聚合簽名的長(zhǎng)度應(yīng)與單個(gè)簽名的長(zhǎng)度相同.這需要構(gòu)造的無(wú)證書簽名方案同時(shí)具有可聚合性和密鑰隔離性.本文的主要貢獻(xiàn)是解決了上述問(wèn)題.首先，給出了密鑰隔離的無(wú)證書聚合簽名的概念；然后，給出了其具體的安全性模型；最后，設(shè)計(jì)了一個(gè)高效的密鑰隔離的無(wú)證書聚合簽名方案，并給出了具體的安全性證明和相關(guān)效率分析.在提出的方案中，公鑰始終不變，簽名者通過(guò)與協(xié)助器的交互，定時(shí)對(duì)其私鑰進(jìn)行更新.某一簽名者密鑰即使發(fā)生了泄漏，不會(huì)影響到其他未發(fā)生密鑰泄漏時(shí)間段有此簽名者參與的聚合簽名的安全性，從而減少了密鑰泄漏帶來(lái)的危害.本方案生成的聚合簽名的長(zhǎng)度和單個(gè)簽名的長(zhǎng)度相同，與簽名者人數(shù)無(wú)關(guān).驗(yàn)證時(shí)只需要常數(shù)個(gè)雙線性配對(duì)，效率較高.本文提出的方案在給出的安全模型下是可證安全的，滿足密鑰隔離安全，強(qiáng)密鑰隔離安全和安全密鑰更新的性質(zhì).

2　預(yù)備知識(shí)

2.1雙線性映射

2.2CDH困難問(wèn)題假設(shè)

定義2(CDH假設(shè))若對(duì)于敵手A，在多項(xiàng)式時(shí)間t內(nèi)，其攻破群G上的CDH問(wèn)題的概率均小于ε，則稱群G上的(t,ε)-CDH假設(shè)成立.

3　密鑰隔離的無(wú)證書聚合簽名的定義和安全模型

3.1密鑰隔離的無(wú)證書聚合簽名的定義

定義3一個(gè)密鑰隔離的無(wú)證書聚合簽名方案包括以下8個(gè)算法：

(1)Setup(k，N)：系統(tǒng)建立算法.輸入給定安全參數(shù)k和總時(shí)間段數(shù)N，輸出KGC的主密鑰s和公開參數(shù)param.

(2)PartialKey(s，IDi，param)：部分私鑰生成算法.輸入KGC的主密鑰s，簽名者身份IDi(1≤i≤n)和公開參數(shù)param，輸出簽名者IDi的部分私鑰PSKi,j.

(3)KeyGen(PSKi,j，IDi，param)：密鑰生成算法.輸入給定簽名者身份IDi和公開參數(shù)param，輸出簽名者IDi的初始私鑰USKi,j,0，公鑰UPKi，生成協(xié)助器的私鑰HSK，公鑰HPK.

(4)UpdateM(t，IDi，HSK，param)：更新消息生成算法.輸入簽名者身份IDi，時(shí)間段t，協(xié)助器私鑰HSK和公開參數(shù)param，輸出t時(shí)間段的更新消息UKi,j,t.

(5)UpdateU(t，IDi，USKi,j,t-1，UKi,j,t，param)，簽名者臨時(shí)密鑰更新算法.輸入簽名者身份IDi，時(shí)間段t時(shí)的更新消息UKi,j,t，t-1時(shí)間段簽名者的臨時(shí)私鑰USKi,j,t-1和公開參數(shù)param，輸出簽名者IDi在t時(shí)間段的臨時(shí)私鑰USKi,j,t.

(6)Sign(t，IDi，mi，USKi,j,t，param)：簽名算法.輸入時(shí)間段t，簽名者身份IDi，消息mi，簽名者IDi在t時(shí)間段的臨時(shí)私鑰USKi,j,t和公開參數(shù)param，輸出簽名者IDi在t時(shí)間段對(duì)消息mi的簽名(t，σi).

3.2密鑰隔離的無(wú)證書聚合簽名的安全模型

密鑰隔離的無(wú)證書聚合簽名應(yīng)該抵御兩種類型的攻擊者.第Ⅰ類攻擊者可以替換其選擇用戶的公鑰(身份)，可以得到任意簽名者的部分私鑰，某些時(shí)間段的臨時(shí)私鑰，但是不能得到KGC的主密鑰.第Ⅱ類攻擊者可以得到KGC的主密鑰，因此它可以計(jì)算用戶的部分私鑰，也可以得到用戶的某些時(shí)間段的臨時(shí)私鑰，但是不能替換用戶公鑰.

定義4如果沒(méi)有攻擊者A在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率贏得以下游戲，我們稱方案是密鑰隔離安全的.

系統(tǒng)建立階段挑戰(zhàn)者C運(yùn)行setup生成公共參數(shù)，并給定用戶ID1,ID2,…,IDk，將ID2,…,IDk的私鑰和公共參數(shù)發(fā)送給攻擊者A.如果是第I類攻擊者，C自己保存主密鑰，如果是第Ⅱ類攻擊者，C將主密鑰發(fā)送給A.

查詢階段敵手A自適應(yīng)的向挑戰(zhàn)者進(jìn)行以下查詢.

(1)部分私鑰提取查詢：當(dāng)A查詢用戶IDi的部分私鑰時(shí)，C運(yùn)行Setup，PartialKey算法生成部分私鑰PSKi,j返回給A.(只用于第一類攻擊者)

(2)公鑰提取查詢：當(dāng)A查詢用戶IDi的公鑰時(shí)，C運(yùn)行KeyGen算法生成用戶公鑰UKPi返回給A.

(3)秘密值提取查詢：當(dāng)A查詢用戶IDi的秘密值時(shí)，C運(yùn)行KeyGen算法生成秘密值xi返回給A.第一類攻擊者查詢時(shí)，當(dāng)公鑰已被替換則返回⊥.

(5)密鑰提取查詢：當(dāng)A查詢用戶IDi的初始密鑰和協(xié)助器密鑰時(shí)，C運(yùn)行KeyGen算法生成USKi,j,0,HPK,HSK返回給A.

(6)臨時(shí)簽名密鑰提取查詢：當(dāng)A查詢用戶IDi的t時(shí)間段的臨時(shí)簽名密鑰時(shí)，C運(yùn)行UpdateU算法生成USKi,j,t返回給A.

(7)簽名查詢：當(dāng)A查詢t時(shí)間段用戶IDi對(duì)消息mi的簽名時(shí)，C運(yùn)行Sign算法生成(t，σi)返回給A.

當(dāng)且僅當(dāng)以下條件成立時(shí)，我們說(shuō)算法A贏得了這個(gè)游戲：

(2)如果是第一類攻擊者，沒(méi)有查詢ID1的部分私鑰.

(3)如果是第二類攻擊者，沒(méi)有查詢ID1的秘密值.

(4)沒(méi)有查詢t*時(shí)間段ID1臨時(shí)簽名密鑰.

定義5如果沒(méi)有敵手A在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率贏得以下游戲，我們稱方案是強(qiáng)密鑰隔離安全的.

其中系統(tǒng)建立階段，部分私鑰提取查詢，公鑰提取查詢，秘密值提取查詢，公鑰替換查詢，簽名查詢同定義4.

當(dāng)且僅當(dāng)以下條件成立時(shí)，我們說(shuō)算法A贏得了這個(gè)游戲：

(2)如果是第一類攻擊者，沒(méi)有查詢ID1的部分私鑰.

(3)如果是第二類攻擊者，沒(méi)有查詢ID1的秘密值.

定義6當(dāng)用戶i在時(shí)間段t將臨時(shí)私鑰從USKi,j,t-1更新到USKi,j,t時(shí)，若敵手對(duì)用戶設(shè)備進(jìn)行攻擊，敵手會(huì)獲得USKi,j,t-1，USKi,j,t和UKi,j,t，這與直接將USKi,j,t-1和USKi,j,t交給敵手相比，敵手獲得的用戶私鑰信息等同，我們稱方案滿足安全密鑰更新.

4　本文提出的方案

本文提出的密鑰隔離的無(wú)證書聚合簽名方案具體算法描述如下：

(1)系統(tǒng)建立算法Setup(k，N)，輸入安全參數(shù)k和總時(shí)間段數(shù)N，該算法按如下步驟生成KGC的主密鑰s和公開參數(shù)param：

(b)選擇群G的任意生成元P∈G.

(2)部分私鑰生成算法PartialKey(s，IDi，param)，輸入KGC的主密鑰s和簽名者身份IDi(1≤i≤n)，KGC按如下方式生成部分私鑰：

(a)計(jì)算Pi,j=H1(IDi,j)∈G，其中j∈{0,1}，PSKi,j=s·Pi,j.

(b)KGC將部分私鑰PSKi,j發(fā)送給簽名者IDi.

(3)密鑰生成算法KeyGen(PSKi,j，IDi，param)，輸入給定簽名者身份IDi，按如下方式生成簽名者的初始私鑰，簽名者公鑰和協(xié)助器的公私鑰：

(d)計(jì)算UPKi=xi·Q.

(e)算法輸出簽名者IDi的初始私鑰USKi,j,0，簽名者公鑰UPKi，協(xié)助器公鑰HPKi，協(xié)助器私鑰HSKi.

(4)更新消息生成算法UpdateM(t，IDi，HSKi，param)，協(xié)助器根據(jù)簽名者身份IDi計(jì)算并輸出t時(shí)間段的更新消息：

UKi,j,t=HSKi·(bi,t-bi,t-1)，發(fā)送給簽名者IDi.

(5)簽名者臨時(shí)私鑰更新算法UpdateU(t，IDi，USKi,j,t-1，UKi,j,t，param)，簽名者IDi根據(jù)更新消息和t-1時(shí)間段的臨時(shí)私鑰，計(jì)算其在t時(shí)間段的臨時(shí)私鑰：

USKi,j,t=USKi,j,t-1+UKi,j,t

=xi·Pi,j+HSKi·bi,t-1+HSKi·(bi,t-bi,t-1)

=xi·Pi,j+HSKi·bi,t

(6)簽名算法Sign(t，IDi，mi，USKi,j,t，param)，在t時(shí)間段，簽名者IDi按如下步驟對(duì)其對(duì)應(yīng)消息mi進(jìn)行簽名：

(a)與文獻(xiàn)[2]的思想類似，第一個(gè)簽名者選擇一個(gè)字符串w并廣播給其他簽名者，保證w是唯一的.

(b)計(jì)算Pw=H3(w)∈G.

當(dāng)?shù)仁匠闪r(shí)，該算法輸出1，等式不成立時(shí)，該算法輸出0.

5　方案的正確性和安全性分析

5.1方案的正確性

方案的正確性由以下推導(dǎo)可知：

+ci·(xi·s·Pi,1+x′·s·bi,t·QH)),P)

5.2方案的安全性

下面介紹方案的5個(gè)安全性定理，考慮篇幅的原因，安全性定理的詳細(xì)證明見文獻(xiàn)[19].

定理1假設(shè)群G中的CDH問(wèn)題成立，則我們所提出的方案在隨機(jī)預(yù)言模型下是密鑰隔離安全的.若敵手AI可以在時(shí)間t內(nèi)通過(guò)qHi(i=1,2,3,4)次Hi預(yù)言查詢，qP次部分私鑰提取查詢，qPK次公鑰提取查詢，qK次密鑰提取查詢，qT次臨時(shí)簽名密鑰提取查詢，qS次簽名查詢，以至少概率ε攻破所示方案的密鑰隔離安全，則就存在(t′,ε′)算法B可以攻破CDH假設(shè)，其中

t≤t′-cG(2qH1+qH3+2qH4+2qP+qPK+6qSK+4qT+12qS+2N+3).

定理2假設(shè)群G中的CDH問(wèn)題成立，則我們所提出的方案在預(yù)言模型下是強(qiáng)密鑰隔離安全的.若敵手AI可以在時(shí)間t內(nèi)通過(guò)qHi(i=1,2,3,4)次Hi預(yù)言查詢，qP次部分私鑰提取查詢，qPK次公鑰提取查詢，qH次協(xié)助器密鑰提取查詢，qS次簽名查詢，以至少概率ε攻破所示方案的強(qiáng)密鑰隔離安全，則就存在(t′,ε′)算法B可以攻破CDH假設(shè)，其中，

t≤t′-cG(2qH1+qH3+2qH4+2qP+qPK+6qSK+3qH+10qS+2N+3).

定理3本文提出的方案在兩類攻擊者的攻擊下是滿足安全密鑰更新的.

定理4假設(shè)群G中的CDH問(wèn)題成立，則我們所提出的方案在預(yù)言機(jī)模型下是強(qiáng)密鑰隔離安全的.若敵手AII可以在時(shí)間t內(nèi)通過(guò)qHi(i=1,2,3,4)次Hi預(yù)言查詢，qP次部分私鑰提取查詢，qPK次公鑰提取查詢，qH次協(xié)助器密鑰提取查詢，qS次簽名查詢，以至少概率ε攻破所示方案的強(qiáng)密鑰隔離安全，則就存在(t′,ε′)算法B可以攻破CDH假設(shè)，其中，

t≤t′-cG(2qH1+qH3+2qH4+qPK+5qSK+4qT+12qS+2N+3).

定理5假設(shè)群G中的CDH問(wèn)題成立，則我們所提出的方案在預(yù)言機(jī)模型下是強(qiáng)密鑰隔離安全的.若敵手AI可以在時(shí)間t內(nèi)通過(guò)qHi(i=1,2,3,4)次Hi預(yù)言查詢，qP次秘密值提取查詢，qPK次公鑰提取查詢，qH次協(xié)助器密鑰提取查詢，qS次簽名查詢，以至少概率ε攻破所示方案的強(qiáng)密鑰隔離安全，則就存在(t′,ε′)算法B可以攻破CDH假設(shè)，其中

6　方案性能分析與比較

本節(jié)將提出的無(wú)證書密鑰隔離聚合簽名同另外幾個(gè)簽名方案在性能方面的比較見表1.

表1　本方案與其他方案的比較

從表1中可以看出，本方案同時(shí)滿足無(wú)證書，聚合和密鑰隔離等性質(zhì)，這是其他方案所沒(méi)有的.文獻(xiàn)[2,18]是基于身份的簽名方法，具有密鑰托管問(wèn)題，本方案和文獻(xiàn)[5]不存在這個(gè)問(wèn)題.在安全性方面，本方案和文獻(xiàn)[18]可以提供前向安全性和后向安全性，而文獻(xiàn)[2,5]的方案均沒(méi)有提供這些安全性質(zhì)，它們不能抵御密鑰泄露問(wèn)題.

表2中，n表示聚合簽名中簽名者的個(gè)數(shù)，Pairing表示一次群G中的配對(duì)運(yùn)算，MUL表示一次群G中的乘法運(yùn)算，忽略群G中的加法運(yùn)算.一般來(lái)說(shuō)，群中的加法運(yùn)算耗時(shí)可以忽略，配對(duì)運(yùn)算耗時(shí)最多.本方案在生成聚合簽名的整個(gè)過(guò)程中，只需要群G中的乘法運(yùn)算；而驗(yàn)證階段只需要4次配對(duì)運(yùn)算和乘法運(yùn)算，因此，本方案具有較高的效率.

表2　本方案的效率分析

7　結(jié)論

為了解決無(wú)證書的聚合簽名中密鑰泄漏的問(wèn)題，將密鑰隔離安全機(jī)制嵌入到無(wú)證書的聚合簽名中，首次提出了密鑰隔離的無(wú)證書聚合簽名的概念和安全模型，并給出第一個(gè)具體的方案.本文提出的無(wú)證書密鑰隔離聚合簽名不需要私用公鑰證書，并且不存在密鑰托管的問(wèn)題；同時(shí)，運(yùn)用密鑰隔離機(jī)制，減少了密鑰泄漏帶來(lái)的危害；方案滿足密鑰隔離安全，強(qiáng)密鑰隔離安全和安全密鑰更新等性質(zhì)，具有很高的安全性；聚合后的簽名長(zhǎng)度與單個(gè)簽名長(zhǎng)度相同，與簽名者人數(shù)無(wú)關(guān).

[1]Boneh D,Gentry C,Lynn B,et al.Aggregate and verifiably encrypted signatures from bilinear maps[A].Proceedings of Cryptology-EUROCRYPT 2003[C].Berlin:Springer-Verlag,2003.416-432.

[2]Craig G,Zulfikar R.Identity-based aggregate signatures[A].Proceedings of Public Key Cryptography 2006[C].Berlin:Springer-Verlag,2006.257-273.

[3]Kyung A S.An ID-based aggregate signature scheme with constant pairing computations[J].Journal of Systems and Software,2010,83(10):1873-1880.

[4]Al-Riyami S S,Paterson K.Certificateless public key cryptography[A].Proceedings of Cryptology-ASIACRYPT 2003[C].Berlin:Springer-Verlag,2003.452-473.

[5]Zheng G,Yu L,Xuan H,Chen K.Practical Certificateless aggregate signatures from bilinear maps[J].Journal of Information Science and Engineering,2008,26(6):2093-2106.

[6]Zhang L,Zhang F T.Security model for certificateless aggregate signature schemes[A].Proceedings of Computational Intelligence and Security 2008[C].Suzhou:IEEE,2008.2.364-368.

[7]Xiong H,Guang Z,Chen Z,Li F G.An Efficient certificateless aggregate signature with constant pairing computations[J].Information Science,2013,219(10):225-235.

[8]Chen Y,Horng G,Liu C,et al.Efficient certificateless aggregate signature scheme[J].J.Electronic Science and Technology,2012,10(3):209-214.

[9]Zhou M,Zhang M,Wang C,et al.CCLAS:A practical and compact certificateless aggregate signature with share extraction[J].International Journal of Network Security,2014,16(2):157-164.

[10]Zhang F,Shen L,Wu G.Notes on the security of certificateless aggregate signature schemes[J].Information Sciences,2014,287(10):32-37.

[11]Zhang L,Qin B,Wu Q H,Zhang F T.Novel efficient certificateless aggregate signatures[A].Proceedings of Applied Algebra,Algebraic Algorithms and Error-Correcting Codes[C].Berlin:Springer-Verlag,2009.235-238.

[12]Zhang L,Zhang F T.A new certificateless aggregate signature scheme[J].Computer Communications,2009,32(6):1079-1085.

[13]Zhang J,Mao J.An efficient RSA-based certificateless signature scheme[J].Journal of Systems and Software,2012,85(3):638-642.

[14]Chen H,Song W G,Zhao B.Certificateless aggregate signature scheme[A].Proceedings of International Conference on E-Business and E-Government[C].Guangzhou:IEEE,2010.3790-3793.

[15]Gong Z,Long Y,Hong X,Chen K F.Practical certificateless aggregate signatures from bilinear maps[J].Journal of Information Science and Engineering,2010,26(6):2093-2106.

[16]Dodis Y,Katz J,et al.Key-insulated public-key cryptosystems[A].Proceedings of Cryptology-Eyrocrypt 2002[C].Berlin:Springer-Verlag,2002.65-82.

[17]Wan Z,Lai X,Weng J,et al.Certificateless key-insulated signature without random oracles[J].Journal of Zhejiang University Science A,2009,10(2):1790-1800.

[18]Wan Z M,Lai X J,Weng J,Li J G.Certificateless strong key-insulated signature[A].Proceedings of Information Science and Technology [C].Nanjing:IEEE,2011.270-276.

[19]尋甜甜.密鑰隔離的聚合簽名的研究[D].青島:青島大學(xué)碩士論文,2015.34-51.

尋甜甜女，1988年出生于山東濟(jì)寧.青島大學(xué)碩士，現(xiàn)為山東外事翻譯職業(yè)學(xué)院助教，主要研究方向信息安全.

于佳(通信作者)男，1976年生于山東青島.青島大學(xué)教授，信息安全系主任，研究生導(dǎo)師.主要研究方向?yàn)槊艽a學(xué)與信息安全.

E-mail:qduyujia@gmail.com

Key-Insulated Certificateless Aggregate Signature

XUN Tian-tian1,YU Jia1,2,YANG Guang-yang1,JIANG Xiu-xiu1,HAO Rong1

(1.CollegeofInformationEngineering,QingdaoUniversity,Qingdao,Shandong266071,China；2.ShandongProvincialKeyLaboratoryofComputerNetwork,ShandongAcademyofSciences,Jinan,Shandong250014,China)

Certificateless aggregate signature is proposed to solve the key escrow problem and the complex certificate management problem.If the private key of any signer is exposed,the certificateless aggregate signature generated by the users including this signer will no longer be secure.To mitigate the damages of key-exposure in certificateless aggregate signature,we firstly integrate the key isolation mechanism into certificateless aggregate signature,and proposed the definition of key-insulated certificateless aggregate signature and its security model.We give a practical scheme,which achieves the periodical update of the signer′s secret key by the interaction with the helper.We prove the proposed scheme is secure in the random oracle model,i.e.,the scheme has key insulated security,strong key insulated security and secure key updates.

aggregate signature;key insulation;certificateless signature;key escrow;bilinear pairings

2014-10-20;

2015-07-01；責(zé)任編輯：馬蘭英

國(guó)家自然科學(xué)基金(No.61272425,No.61572267);山東省計(jì)算機(jī)網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室開放課題(No.SDKLCN-2013-03);青島市建設(shè)事業(yè)發(fā)展項(xiàng)目(No.JK2015-26)

TP309

A

0372-2112 (2016)05-1111-06

電子學(xué)報(bào)URL:http://www.ejournal.org.cn10.3969/j.issn.0372-2112.2016.05.014