無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名

杜紅珍，溫巧燕

?

無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名

杜紅珍1，溫巧燕2

(1. 寶雞文理學(xué)院數(shù)學(xué)與信息科學(xué)學(xué)院，陜西寶雞 721013；2. 北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100876)

為了滿足在司法行政、電子政務(wù)等領(lǐng)域的應(yīng)用需求，提出了無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名的概念和敵手模型，利用雙線性對(duì)構(gòu)造了第一個(gè)無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名方案，在計(jì)算雙線性Diffie-Hellman問(wèn)題和計(jì)算Diffie-Hellman問(wèn)題假設(shè)下證明了該方案是存在性不可偽造的，而且該方案滿足強(qiáng)指定驗(yàn)證者簽名和多重簽名應(yīng)具備的性質(zhì)。方案執(zhí)行效率高，生成的指定驗(yàn)證者多重簽名長(zhǎng)度僅為160 bit，簽名驗(yàn)證時(shí)需要的雙線性對(duì)運(yùn)算個(gè)數(shù)是固定的，僅需一個(gè)雙線性對(duì)。所以，即使在計(jì)算資源與網(wǎng)絡(luò)帶寬受限的無(wú)線網(wǎng)絡(luò)中方案也非常實(shí)用。

無(wú)證書公鑰密碼學(xué)；指定驗(yàn)證者多重簽名；不可偽造性；雙線性對(duì)

1 引言

2003年，Al-Riyami等[1]提出了無(wú)證書公鑰密碼學(xué)（CL-PKC, certificateless public key cryptography），CL-PKC性能優(yōu)良，汲取了傳統(tǒng)公鑰密碼體制和基于ID的密碼體制的優(yōu)點(diǎn)，因?yàn)樗恍枰綆ёC書來(lái)認(rèn)證用戶的公鑰，從而去掉了維護(hù)證書的費(fèi)用，同時(shí)又不存在密鑰托管問(wèn)題，所以對(duì)CL-PKC的研究很有理論意義和實(shí)際應(yīng)用價(jià)值。目前已有很多的無(wú)證書加密、簽名方案[2~8]被提出。

普通數(shù)字簽名的驗(yàn)證權(quán)是不可控的，即只要有簽名人的公鑰就可以檢驗(yàn)簽名的有效性，但在有些環(huán)境如電子投招標(biāo)、電子購(gòu)物、電子拍賣和知識(shí)產(chǎn)權(quán)保護(hù)等應(yīng)用中，簽名人希望由自己指定簽名驗(yàn)證者，從而控制簽名的驗(yàn)證權(quán)。為了滿足這種應(yīng)用，Jakobsson等[9]提出了指定驗(yàn)證者簽名（DVS, designated verifier signature）的概念。在文獻(xiàn)[9]中，Jakobsson等還提出了強(qiáng)指定驗(yàn)證者簽名（SDVS, strong designated verifier signature）。在一個(gè)SDVS方案中，簽名驗(yàn)證時(shí)要用到指定驗(yàn)證者的私鑰，所以除了簽名人指定的驗(yàn)證者以外，其他人都不能驗(yàn)證簽名的有效性。2003年，Steinfeld等[10]提出了廣義指定驗(yàn)證者簽名（UDVS, universal designated verifier signature）的概念，UDVS與SDVS的主要區(qū)別是：前者允許任何一個(gè)（普通）簽名持有者（不一定是簽名者本人）根據(jù)自己的意愿來(lái)指定簽名驗(yàn)證者，再將該（普通）簽名轉(zhuǎn)化為指定驗(yàn)證者簽名。而后者是簽名人自己確定簽名的驗(yàn)證者，再直接生成指定驗(yàn)證者簽名。

目前，在CL-PKC下研究指定驗(yàn)證者簽名的成果頗豐。2006年，Huang等[11]利用雙線性對(duì)提出了第一個(gè)無(wú)證書SDVS方案。2008年，Chen等[12]構(gòu)造了一個(gè)無(wú)證書SDVS方案，生成的簽名長(zhǎng)度可壓縮到160 bit。He等[13]構(gòu)造了一個(gè)無(wú)需雙線性對(duì)的無(wú)證書SDVS方案。李繼國(guó)等[14]提出了一個(gè)基于證書的SDVS方案，簽名的長(zhǎng)度僅160 bit。Ming等[15]給出了無(wú)證書UDVS的概念。Du等[16]提出了第一個(gè)高效的無(wú)證書指定驗(yàn)證者代理簽名方案。Hafizul等[17]在CL-PKC下提出了一個(gè)廣義指定驗(yàn)證者多重簽名方案，然而，該方案缺陷較多，比如作者概念不清，誤稱他們提出了一個(gè)無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名方案，且方案不能抵抗惡意但被動(dòng)KGC的攻擊。2015年，張玉磊等[18]在CL-PKC下提出了一個(gè)廣義指定驗(yàn)證者聚合簽名方案，該方案生成的聚合簽名長(zhǎng)度為320 bit，簽名驗(yàn)證需要的雙線性對(duì)個(gè)數(shù)固定，僅需4個(gè)對(duì)，所以方案執(zhí)行效率較高。

多重簽名（MS, multi-signature）的概念由Itakura等[19]提出，MS是一種多方參與的特殊簽名，允許多個(gè)簽名人在同一個(gè)消息上進(jìn)行簽署，生成的多重簽名的長(zhǎng)度遠(yuǎn)小于每個(gè)人對(duì)的普通簽名的長(zhǎng)度之和，且的驗(yàn)證代價(jià)同樣大大低于驗(yàn)證多個(gè)所需計(jì)算量。多重簽名在電子政務(wù)、電子病歷、蜂窩電話、電子射頻技術(shù)、傳感器等領(lǐng)域應(yīng)用廣泛。

隨著新型網(wǎng)絡(luò)形態(tài)和網(wǎng)絡(luò)服務(wù)的出現(xiàn)，研究多方參與的特殊簽名已成為密碼學(xué)界一個(gè)新熱點(diǎn)。本文在CL-PKC下將指定驗(yàn)證者簽名與多重簽名結(jié)合，提出了一種特殊簽名——無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名（CL-SDVMS, certificateless strong designated verifier multi-signature），它允許多個(gè)用戶對(duì)同一個(gè)消息生成多重簽名，且該多重簽名的有效性只有這多個(gè)用戶指定的驗(yàn)證者才能驗(yàn)證，其他第三方都無(wú)法驗(yàn)證簽名。與強(qiáng)指定驗(yàn)證者簽名類似，一個(gè)安全的CL-SDVMS方案應(yīng)該具備強(qiáng)壯性（第三方不可驗(yàn)證性）、不可偽造性、不可傳遞性和簽名源的隱匿性?，F(xiàn)實(shí)生活中，CL-SDVMS有很多應(yīng)用場(chǎng)景，比如多個(gè)目擊者想要向法官揭發(fā)某個(gè)犯罪嫌疑人，但為了防止遭到報(bào)復(fù)，目擊者們就指定該法官為簽名驗(yàn)證者，采用CL-SDVMS方案來(lái)檢舉犯罪嫌疑人，這樣，只有該法官可以驗(yàn)證簽名的有效性，從而相信簽名的真實(shí)性。同時(shí)CL-SDVMS的不可傳遞性也使目擊者得到保護(hù)，因?yàn)槠渌瞬粫?huì)相信簽名是目擊者生成而不是法官生成的。CL-SDVMS在司法行政如呈報(bào)減刑、假釋等工作和電子政務(wù)等領(lǐng)域有很好的應(yīng)用前景。

本文首先提出了CL-SDVMS的定義和安全模型，接著利用雙線性對(duì)構(gòu)造了第一個(gè)CL-SDVMS方案，該方案滿足強(qiáng)壯性、不可偽造性、不可傳遞性和簽名源的隱匿性。方案執(zhí)行效率高，因?yàn)樗欠墙换サ?，且簽名的?yàn)證僅需一個(gè)雙線性對(duì)，另外，生成的指定驗(yàn)證者多重簽名長(zhǎng)度固定，不會(huì)隨簽名人數(shù)的增加而增長(zhǎng)。

2 預(yù)備知識(shí)

1) 雙線性對(duì)

2) 計(jì)算Diffie-Hellman(CDH)問(wèn)題

3) 計(jì)算雙線性Diffie-Hellman(CBDH)問(wèn)題

迄今為止，CDH問(wèn)題和CBDH問(wèn)題仍是困難的。

3 CL-SDVMS方案的形式化定義和安全模型

3.1 CL-SDVMS方案的形式化定義

定義1 CL-SDVMS方案的參與實(shí)體：一個(gè)私鑰生成中心（KGC），個(gè)簽名用戶和一個(gè)由這個(gè)用戶指定的驗(yàn)證者。CL-SDVMS方案由以下6個(gè)算法構(gòu)成。

1) 系統(tǒng)建立（Setup）算法：輸入一個(gè)安全參數(shù)，輸出系統(tǒng)主密鑰和系統(tǒng)參數(shù)，該算法由KGC執(zhí)行。

2) 部分私鑰生成(Partial-Private-Key-Extract)算法：由KGC執(zhí)行，輸入、和身份, 返回用戶的部分私鑰。

3) 用戶密鑰生成(User-Key-Generate)算法：由用戶執(zhí)行，輸入、，輸出該用戶的秘密值和公鑰（x,Pk）。

6) 簽名模擬(Simulation)算法：該算法由指定驗(yàn)證者執(zhí)行，輸入，,set=，，，指定驗(yàn)證者的部分私鑰/秘密值（D,x），輸出一個(gè)與個(gè)簽名人生成的不可區(qū)分的簽名副本。

3.2 CL-SDVMS方案的安全模型

在一個(gè)CL-SDVMS方案中，存在2種具備不同攻擊力的敵手A1和A2。第一種敵手A1模擬惡意用戶，他掌握用戶的秘密值，可以替換任意用戶的公鑰，但不知道系統(tǒng)主密鑰和用戶的部分私鑰。第2種敵手A2模擬的是惡意但被動(dòng)（malicious-but- passive）KGC，他擁有系統(tǒng)主密鑰并可以求出用戶的部分私鑰，但不知道用戶的秘密值，且不能替換用戶的公鑰。

下面通過(guò)引入挑戰(zhàn)者X?和敵手A（A1或A2）之間的Game來(lái)模擬CL-SDVMS的不可偽造性安全模型。

1) Setup：X?運(yùn)行Setup算法生成系統(tǒng)主密鑰和公開參數(shù)，秘密保存，將發(fā)送給A。如果A是第2種敵手A2，則發(fā)送和給A2。

2) Query：A可以適應(yīng)性詢問(wèn)以下預(yù)言機(jī)。

Hash詢問(wèn)：當(dāng)A詢問(wèn)任意一個(gè)散列函數(shù)值時(shí)，X輸出相應(yīng)的散列值給A。

Partial-Private-Key-Extract詢問(wèn)：輸入，X返回部分私鑰給A（此預(yù)言機(jī)僅針對(duì)A1，A2不需要詢問(wèn)該預(yù)言機(jī)，因?yàn)樗烙脩舻牟糠炙借€）。

Sign詢問(wèn)：A輸入簽名者/指定驗(yàn)證者身份（ID,ID），公鑰(Pk,Pk), 消息，身份集set，X?運(yùn)行Sign算法生成相應(yīng)的部分簽名，再返回給A。

Verify 詢問(wèn)：A輸入簽名者/指定驗(yàn)證者身份（ID,ID），公鑰(Pk,Pk)，消息/簽名（，），身份集set，X運(yùn)行Verify算法判斷的有效性，再輸出“1”或“0”給A。

①如果A是第一種敵手A1，中至少有一個(gè))和指定驗(yàn)證者沒(méi)有提交給Partial-Private-Key-Extract預(yù)言機(jī)，且（，，）沒(méi)有提交給Sign預(yù)言機(jī)，則A獲勝；

②如果A是第2種敵手A2，中至少有一個(gè))和指定驗(yàn)證者沒(méi)有提交給Secret-Value-Extract預(yù)言機(jī)，且（，，）沒(méi)有提交給Sign預(yù)言機(jī)，則A獲勝。

定義2 如果不存在概率多項(xiàng)式時(shí)間敵手A(A1或A2)在以上Game中能以不可忽略的優(yōu)勢(shì)獲勝，則一個(gè)CL-SDVMS方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的（EUF-CL-SDVMS-CMA2安全）。

4 一個(gè)高效的無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名方案

4.1 基本方案

本節(jié)構(gòu)造了一個(gè)無(wú)證書強(qiáng)指定驗(yàn)證者多重簽名方案，由下面6個(gè)算法組成。

5) 驗(yàn)證算法：輸入，，，指定驗(yàn)證者ID(其部分私鑰D=sQ，秘密值x)計(jì)算如下。

6) 簽名模擬算法：對(duì)消息，指定驗(yàn)證者ID可以生成有效的指定驗(yàn)證者多重簽名副本。

下面給出方案正確性的證明。

4.2 方案的安全性分析

4.2.1 不可偽造性

定理1 在Random Oracle模型和CBDH及CDH難題假設(shè)下，本文的CL-SDVMS方案在2類敵手A1和A2的攻擊下是EUF-CL-SDVMS-CMA2安全的。

定理1由引理1和引理2推出。

引理1 在Random Oracle模型下，假定有敵手A1在概率多項(xiàng)式時(shí)間內(nèi)以優(yōu)勢(shì)攻破了本文CL-SDVMS方案，記A1最多詢問(wèn)Create-User，Partial-Private-Key-Extract，Sign和Verify的次數(shù)分別為、、和，則存在一個(gè)算法X，使用A1為黑盒子，在時(shí)間內(nèi)，以的優(yōu)勢(shì)解決CBDH難題，是1群上一個(gè)標(biāo)量乘時(shí)間，是一個(gè)雙線性對(duì)運(yùn)算時(shí)間，inv是計(jì)算Z*上一個(gè)求逆時(shí)間。

證明 本CL-SDVMS方案涉及個(gè)簽名用戶和一個(gè)由這個(gè)用戶指定的驗(yàn)證者ID，不妨假設(shè)除用戶以外，其余?1個(gè)用戶都被敵手A1賄賂（本文賦予了敵手更強(qiáng)的攻擊能力，此處模擬的是一種極端情形，實(shí)際場(chǎng)景中一般不少于一個(gè)誠(chéng)實(shí)者）。設(shè)X為挑戰(zhàn)者，給定群上CBDH問(wèn)題的任意實(shí)例，其中，,,未知，X最終目的是輸出值。

Create-user：A1輸入，X調(diào)出列表查看，如果用戶已被創(chuàng)立，X只需將的公鑰Pk返回給A1；否則，X執(zhí)行如下。

Partial-Private-Key-Extract：當(dāng)A1輸入（以下默認(rèn)用戶已被創(chuàng)立），X調(diào)出列表，如果，則返回、；否則，停止模擬，輸出failure。

Public-Key-Replace：當(dāng)A1輸入()進(jìn)行公鑰替換詢問(wèn)，X調(diào)出列表，用替換Pk，即Pk=再替換對(duì)應(yīng)的秘密值。

Secret-Value-Extract：A1輸入，X調(diào)出列表,返回給A1。

Sign：A1輸入簽名者/指定驗(yàn)證者的身份（ID,ID）和公鑰(Pk,Pk), 消息，身份集set，X執(zhí)行如下。

1) 如果ID≠ ID,ID時(shí)，X調(diào)出列表list()、列表list和列表list，計(jì)算，返回指定驗(yàn)證者簽名給A1。

Verify：A1輸入簽名者/指定驗(yàn)證者的身份（ID,ID）和公鑰(Pk,Pk)、消息/指定驗(yàn)證者簽名（，）、身份集set，驗(yàn)證如下。

Forgery：最后，敵手A1偽造了一個(gè)在消息上關(guān)于的有效指定驗(yàn)證者多重簽名*，其中，個(gè)簽名者的身份/公鑰為（）），指定驗(yàn)證者身份/公鑰為（）。若和，則X停止模擬，輸出failure；否則，，且，下面不妨假設(shè)I=。

從而，X可以計(jì)算???

即X可以解決CBDH難題，但目前CBDH問(wèn)題是困難的，所以規(guī)約出本文方案是EUF-CL-SDVMS- CMA2安全的。

下面計(jì)算X成功的概率。用E1、E2、E3、E4、E5表示5個(gè)事件如下。

1) E1：X回答A1的詢問(wèn)時(shí)沒(méi)有失敗。

2) E2：X回答A1的詢問(wèn)時(shí)沒(méi)有失敗。

3) E3：X回答A1的詢問(wèn)時(shí)沒(méi)有失敗。

4) E4：A1成功地偽造了1個(gè)在消息上的指定驗(yàn)證者多重簽名*，其中，個(gè)簽名者的身份為，指定驗(yàn)證者身份為。

5) E5：在發(fā)生情況下，有和。

顯然，

則

當(dāng)事件E1、E2、E3、E4、E5都發(fā)生時(shí)，X獲勝，其概率為。

將X在Game中每次應(yīng)答時(shí)進(jìn)行的運(yùn)算時(shí)間加起來(lái)可得

引理2 在Random Oracle模型下，假定有敵手A2在概率多項(xiàng)式時(shí)間內(nèi)以優(yōu)勢(shì)攻破了本文CL-SDVMS方案，記A2最多詢問(wèn)Create-User、Secret-Value-Extract、Sign和Verify的次數(shù)分別為、、和，則存在一個(gè)算法X，使用A2為黑盒子，在時(shí)間內(nèi)，以的優(yōu)勢(shì)解決CDH難題，是G1群上一個(gè)標(biāo)量乘時(shí)間，是一個(gè)雙線性對(duì)運(yùn)算時(shí)間。

Create-user：A2輸入，X調(diào)出列表查看，如果用戶已被創(chuàng)立，A只需將的公鑰Pk返回給A2；否則，X選2個(gè)隨機(jī)數(shù)，計(jì)算，，用戶的部分私鑰，。接著計(jì)算用戶的公鑰如下。

Secret-Value-Extract：A2輸入，如果，X調(diào)出列表，返回給A2；否則，輸出failure。

Sign：A2輸入簽名者/指定驗(yàn)證者的身份（ID,ID）和公鑰(Pk,Pk), 消息，身份集set，X調(diào)出列表()、列表和列表list，計(jì)算，返回指定驗(yàn)證者簽名給A2。

Verify：A2輸入簽名者/指定驗(yàn)證者的身份（ID,ID）和公鑰(Pk,Pk), 消息/指定驗(yàn)證者簽名（，）、身份集set，X調(diào)出列表()、列表和列表list，檢驗(yàn)，如果等式成立則返回“1”，表示簽名有效；否則，返回“0”，說(shuō)明簽名無(wú)效。

Forgery：最后，敵手A2偽造了一個(gè)在消息上關(guān)于的有效指定驗(yàn)證者多重簽名，其中，個(gè)簽名者的身份/公鑰為（）），指定驗(yàn)證者身份/公鑰為（），若和，則X停止模擬，輸出failure；否則，，且，下面不妨假設(shè)ID=。X調(diào)出列表或list，查看記錄或，如果或list中沒(méi)有這樣的記錄，則失敗退出；否則，就有，從而X得到值，即X可以解決CDH難題，但目前CDH問(wèn)題仍是困難的，所以，可規(guī)約為本文方案在A2攻擊下是EUF-CL- SDVMS-CMA2安全的。另外，X成功的概率計(jì)算方法與引理1的相同，此處不再贅述。

4.2.2 強(qiáng)壯性（第三方不可驗(yàn)證性）

4.2.3 簽名源隱匿性

簽名源隱匿性是指給定一個(gè)消息/指定驗(yàn)證者多重簽名對(duì)（,），即使第三方Coral知道個(gè)簽名人和指定驗(yàn)證者ID的私鑰，也不能判斷出是ID還是ID生成的。

本文CL-SDVMS方案滿足簽名源隱匿性，下面對(duì)Coral賦予不同的攻擊能力，分以下2種情況證明該性質(zhì)。

1) Coral模擬敵手A：A擁有系統(tǒng)參數(shù)，簽名人和指定驗(yàn)證者ID的公鑰，且掌握?1個(gè)簽名人ID的私鑰（即部分私鑰和秘密值。

2) Coral模擬敵手T：T除了具備A的攻擊能力外，他還掌握所有簽名人和指定驗(yàn)證者ID的私鑰。

但是，如果用ID的私鑰可以計(jì)算，其中，，。

綜上，本文的CL-SDVMS方案滿足簽名源隱匿性。

4.2.4 不可傳遞性

不可傳遞性是指指定驗(yàn)證者ID雖然可以驗(yàn)證多重簽名的有效性，但他不能使任何第三方相信就是個(gè)簽名人所簽，因?yàn)?i>ID可以通過(guò)簽名模擬算法生成與不可區(qū)分的簽名副本。

顯然，由簽名源隱匿性可推出CL-SDVMS方案滿足不可傳遞性。因?yàn)榻o定簽名，即使第三方知道個(gè)簽名人和指定驗(yàn)證者ID的私鑰，也不能判斷出是ID還是ID生成的，所以，如果指定驗(yàn)證者ID給他出示時(shí)，他不能相信就是所簽。

4.3 方案的性能分析

Hafizul Islam SK方案[17]是一個(gè)無(wú)證書廣義指定驗(yàn)證者多重簽名方案，與本文方案最為接近，所以將本文CL-SDVMS方案與文獻(xiàn)[17]方案進(jìn)行了比較，如表1所示。其中，Sm、Pr分別表示群G1上1次標(biāo)量乘計(jì)算、1次雙線性對(duì)計(jì)算，其他運(yùn)算耗時(shí)較短，此處忽略不計(jì)。

表1 方案性能比較（共n個(gè)簽名用戶）

4.3.1 效率分析

由于雙線性對(duì)計(jì)算最昂貴，1次雙線性對(duì)計(jì)算耗時(shí)至少是標(biāo)量乘計(jì)算時(shí)間的20倍以上[20],即1（、分別表示一個(gè)雙線性對(duì)運(yùn)算與一個(gè)標(biāo)量乘運(yùn)算時(shí)間），則本文方案簽名和驗(yàn)證的計(jì)算總時(shí)間量為，文獻(xiàn)[17]方案的計(jì)算總時(shí)間量為。顯然，，如取簽名人數(shù)=5，則本文方案的簽名和驗(yàn)證總耗時(shí)是文獻(xiàn)[17]方案的56.1%。

另外，本文生成的簽名長(zhǎng)度為160 bit，文獻(xiàn)[17]方案為320 bit，即本文方案?jìng)鬏敽灻膸挶任墨I(xiàn)[17]方案節(jié)省了50%。

綜上，本文方案的計(jì)算與通信代價(jià)大大低于文獻(xiàn)[17]方案。

4.3.2 安全性分析

1) 本文方案滿足不可偽造性，但文獻(xiàn)[17]方案不能抵抗惡意但被動(dòng)的KGC的偽造攻擊。

2) 本文方案是非交互的，即簽名前或簽名過(guò)程中都不需要參與方交互信息來(lái)生成簽名。文獻(xiàn)[17]方案是交互的，在簽名生成過(guò)程中需要每個(gè)簽名人給其他簽名人廣播信息，且只有收到其他簽名人的廣播信息后才可以繼續(xù)實(shí)施簽名，這種交互的方案實(shí)用性不好。

由1)和2)可見，本文方案是一個(gè)性能良好的安全高效的CL-SDVMS方案。

5 結(jié)束語(yǔ)

CL-SDVMS在司法行政如呈報(bào)減刑、假釋等工作和電子政務(wù)等領(lǐng)域有很好的應(yīng)用前景。本文提出了第一個(gè)非交互、緊湊的CL-SDVMS方案，經(jīng)證明方案滿足強(qiáng)壯性、不可偽造性、不可傳遞性和簽名源隱匿性。另外，該方案的實(shí)施所需計(jì)算量與通信量都很小，非常適合計(jì)算資源、網(wǎng)絡(luò)帶寬受限的新型無(wú)線網(wǎng)絡(luò)環(huán)境。接下來(lái)的工作是構(gòu)造無(wú)需雙線性對(duì)的高效CL-SDVMS方案。

[1] AL-RIYAMI S, PATERSON K G. Certificateless public key cryptography[C]//ASIACRYPT 2003, LNCS 2894, Springer-Verlag.c2003: 452-473.

[2] YUM D H, LEE P J. Generic construction of certificateless encryption[C]//ICCSA 2004. LNCS 3043, Springer-Verlag, c2004:802-811.

[3] HE D B, HUANG B, CHEN J H. New certificateless short signature scheme[J]. Information Security IET, 2013, 7(2):113-117.

[4] YUAN Y, WANG C. Certificateless signature scheme with security enhanced in the standard model [J]. Information Processing Letters, 2014, 114, 492-499.

[5] DU H Z, WEN Q Y. Security analysis of two certificateless short signature schemes [J]. IET Information Security, 2014, 8(4): 230-233.

[6] CHEN Y C, TSO R, HORNG G, et al. Strongly secure certificateless signature: cryptanalysis and improvement of two schemes [J]. Journal of Information Science and Engineering, 2015, 31: 297-314.

[7] YEH K H, TSAI K Y, FAN C Y. An efficient certificateless signature scheme without bilinear pairings[J]. Multimed Tools Appl. Doi: 10.1007/s11042-014-2154-4.

[8] SEO S H, NABEEL M, DING X Y, et al. An efficient certificateless encryption for secure data sharing in public clouds[J]. IEEE Transactions on Knowledge and Data Engineering, 2014, 26(9):2107-2119.

[9] JAKOBSSON M, SAKO K, IMPAGLIAZZO R. Designated verifier proofs and their applications[C]//Advances in Cryptology-Eurocrypt 1996. LNCS 1070, Berlin, Springer-Verlag, c1996: 142-154.

[10] STEINFELD R, BULL L, WANG H, PIEPRZYK J .Universal designated verifier signatures[C]//Advanced in Asiacrypt’03, Berlin: Springer-Verlag, c2003: 523-542.

[11] HUANG X Y, SUSILO W, MU Y and ZHANG F T. Certificateless designated verifier signature schemes[C]//SNDS 2006, IEEE Computer, c2006: 15-19.

[12] CHEN H, SONG R S, ZHANG F T, et al. An efficient certificateless short designated verifier signature scheme[C]//WiCOM, IEEE, c2008: 1-6.

[13] HE D B, CHEN J H. An efficient certificateless designated verifier signature scheme[J]. International Arab Journal of Information Technology, 2013, 10(4): 389-396.

[14] 李繼國(guó), 錢娜, 黃欣沂, 等. 基于證書強(qiáng)指定驗(yàn)證者簽名方案[J]. 計(jì)算機(jī)學(xué)報(bào), 2012, 35(8): 1579-1587.

LI J G, QIAN N, HUANG X Y，et al. Certificate-based strong designated verifier signature scheme[J]. Chinese Journal of Comupters, 2012, 35(8): 1579-1587.

[15] MING Y, SHEN X Q, WANG Y M. Certificateless universal designated verifier signature schemes[J]. The Journal of China Universities of Posts and Telecommunications, 2007,14(3): 85-90.

[16] DU H Z, WEN Q Y. Efficient certificateless designated verifier signatures and proxy signatures[J]. Chinese Journal of Electronics, 2009, 18(1): 95-100.

[17] HAFIZUL I S, BISWAS G P. Certificateless strong designated verifier multisignature scheme using bilinear pairings[C]//International Conference on Advances in Computing, Communications and Informatics. c2012: 540-546.

[18] 張玉磊, 周冬瑞, 李臣意, 等. 高效的無(wú)證書廣義指定驗(yàn)證者聚合簽名方案[J]. 通信學(xué)報(bào), 2015, 36(2): 1-8.

ZHANG Y L, ZHOU D R, LI C Y, et al. Efficient certificateless aggregate signature scheme with universal designated verifier[J]. Journal on Communications, 2015, 36(2): 1-8.

[19] ITAKURA K and NAKAMURA K. A public-key cryptosystem suitable for digital multisignatures[J]. NEC Research and Development, 1983, (71):1-8.

[20] CHEN L, CHENG Z, SMART N P. Identity-based key agreement protocols from pairings[J]. International Journal of Information Security, 2007, 6(4): 213-241.

Certificateless strong designated verifier multi-signature

DU Hong-zhen1, WEN Qiao-yan2

(1. School of Mathematics and Information Science, Baoji University of Arts and Sciences, Baoji 721013, China; 2. State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications, Beijing 100876, China）

In order to satisfy the application requirements in the fields of judicial administration, e-government, etc., the definition and security model for certificateless strong designated verifier multi-signature were proposed. Then, the first certificateless strong designated verifier multi-signature scheme from bilinear pairings was constructed and it was proved that the scheme is existentially unforgeable under the computational bilinear Diffie-Hellman assumption and the computational Diffie-Hellman assumption. Moreover, the scheme meets the properties of both strong designated verifier signatures and multi-signatures. The scheme achieves high efficiency since the length of designated verifier multi-signature generated by the scheme is only 160 bits and the computational cost of bilinear pairings necessary for verification algorithm is constant, i.e., one bilinear pairing. So, it can be applied in wireless networks of the limited computing resources and network bandwidth.

certificateless public key cryptography, designated verifier multi-signature, unforgeability, bilinear pairing

TP309

A

10.11959/j.issn.1000-436x.2016112

2015-12-27；

2016-05-11

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61402015, No.61402275）；陜西省教育廳專項(xiàng)科研基金資助項(xiàng)目（No.15JK1022）；陜西省自然科學(xué)基礎(chǔ)研究基金資助項(xiàng)目（No.2015JM6263）

The National Natural Science Foundation of China (No.61402015, No.61402275), The Scientific Research Project of Shaanxi Provincial Educations Department (No.15JK1022), The Basic Research Project of Natural Science in Shaanxi Province (No.2015JM6263)

杜紅珍（1978-），女，陜西扶風(fēng)人，博士，寶雞文理學(xué)院副教授，主要研究方向?yàn)槊艽a學(xué)、物聯(lián)網(wǎng)安全和數(shù)字簽名技術(shù)。

溫巧燕（1959-），女，陜西西安人，北京郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)與信息安全。