两种签密方案的密码学分析与改进

两种签密方案的密码学分析与改进 两种签密方案的密码学分析与改进 第31卷第8期 2011年8月 计算机应用 JournalofComputerApplications V01.31No.8 Aug.2011 文章编号:1001—9081(2011)08—02196—05doi:10.3724/SP.J.1087.2011.02196 两种签密方案的密码学分析与改进 范函l,,张少武 (1.许昌许继昌南通信设备有限公司质控部,河南许昌461000;2.信息工程大学电子技术学院,郑州450004) (han__2lst@yahoo.con.ca) 摘要:对一种无证书签密方案和一种基于离散对数难题(DLP)的自认证代理签密方案进行了分析.发现在无 证书签密方案中,除了Selvi等人(SELVISSD,VIVEKSS,RANGANCP.Securityweaknessesintwocertifieateless signeryptionschemes.)提出的一种类型I的攻击外,还存在着伪造攻击,该伪造攻 击能够成功地伪造签密并使之通过签密验证,并且不具有公开可验证性.在基于DLP的自认证代理签密方案中,由 于"孤悬因子"的存在,一个不诚实的接收者能够以任意发送者的身份伪造对消息的签密并通过验证.给出了攻击方 法,并针对两种方案的缺陷,提出了改进方案.通过安全性分析,证明了改进方案是安全的,能有效克服原方案的缺 陷. 关键词:签密;无证书;代理签密;双线性映射;离散对数问题;孤悬因子 中图分类号:TP309.7文献标志码:A Cryptanalysisandimprovementoftwosigncryptionschemes FANHan一.ZHANGSha0.wu (1.QualityControlDepartment,XuchangChangnanCommunicationEquipmentCompanyLimi~d,XuchangHenan461000,China; 2.J,"ofElectronicTechnology,InformationEngineeringUniversity,ZhengzhouHenan450004.China) Abstract:Acertificatelesssigncryptionschemeandaself-certifiedproxysigncryptionschemebasedonDiscrete LogarithmProblem(DLP)wereanalyzed.Itwaspointedoutthat,inthiscertificatelesssigncryptionscheme,besidesthetype IattackproposedbySelvieta1.(SELVISSD,VIVEKSS,RANGANCP.Securityweaknessesintwocertificateless signeryptionschemes.),therewasanotherforgeryattackwhichcouldsuccessfullyforge asigneryptionpassingtheverificationprocedureanddidnothavepublicverifiability.Intheserf-certifiedproxysigncryption schemebasedonDiscreteLogarithmProblem(DLP),becauseoftheexistenceofsuspending—factor,anydishonestreceiver couldforgeasigncryptionpassingtheverificationprocedure.Theattackmethodsandtheimprovementmethodswere presented.Theexperimentalresultsprovethattheproposedschemeissecureandeffective,anditovercomestheflawinthe originalschemes. Keywords:signcryption;certificateless;proxysigncryption;bilinearmapping;DiscreteLogarithmProblem(DLP); suspending—factor 0引言 保密和认证是密码学中两个重要的安全目标,在许多密 码应用中,需同时达到这两个安全目标.传统方法是利用带 加密的数字签名,即对消息先签名后加密.但这种方法需要 消耗特别大的计算量和通信带宽.为此,1997年Zheng_1提 出了称为签密(Signcryption)的密码原语,在一个逻辑步骤内 同时完成数字签名和公钥加密,在计算量和通信代价上都要 低于传统的"先签名后加密". Xie等人提出了一个高效的可证安全的基于双线性对 的无证书签密方案.本文对此方案在第1种攻击类型下,给 出了一种伪造攻击,通过这个攻击,一个不诚实的接收者可以 用任意发送者的身份伪造出对消息的有效签密文.同时此方 案还不具有公开可验证性.另外,Selvi等人对此方案提出 了另一种类型I的攻击.针对文献[2]的不足,本文提出了 与原方案相比不增加对运算的改进方案.俞惠芳等人提 出了一个基于离散对数问题(DiscreteLogarithmProblem, DLP)的自认证代理签密方案,由于"孤悬因子"的存在而 造成伪造攻击,通过这个攻击,一个不诚实的接收者能够以任 意发送者的身份伪造对消息的签密并通过验证.针对这个缺 陷,提出了改进方案. 1预备知识 1.1双线性映射 设G为循环加法群,G为循环乘法群,G.,G2的阶均为 素数g.假定在G,,G2中计算离散对数问题是困难的.e:G,× G一G2为一个双线性映射,它满足以下三个性质. 1)双线性性.对任意的P.,P2,Q.,Q:?G有: e(PI+P2,Q1)=e(Pl,Q1)e(P2,Q1) e(P1,Ql+Q2)=e(P.,Q)e(PI,Q2) 对于所有的P,Q?G和所有的口,bE,e(aP,bQ)= e(P,Q). 2)非退化性.存在P?G满足e(P,P)?1. 3)可计算性.如果P,Q?G.,则e(P,Q)可以在多项式时 收稿日期:2011—02—25;修回日期:2011—04—18. 作者简介:范函(1963一),男,河南许昌人,工程师,硕士研究生,主要研究方向:密码学, 数字签名;张少武(1964一),男,河南洛阳人,教 授,主要研究方向:密码学,信息安全. 第8期范函等:两种签密方案的密码学分析与改进 问内有效计算出来. 1.2数学难题 1)离散对数难题. a)在G中的DLP.设是一个阶为素数q的循环加法 群,P为G.中的生成元,对任意的QG,求o,满足 Q=aP. b)在G:中的DLP.设G是一个阶为素数q的循环乘法 群,g为G中的生成元,对于任意的Y?Gz,求b?Zq,满足 b Ygo 2)Diffie—Hellman难题. a)计算性Diffie—Hellman难题(ComputationalDiffie— HellmanProblem,CDHP).设G是一个阶为素数q的循环加 法群,P为G.中的生成元,对于任意的.,b,给定nP, bP?G,计算abP是困难的. b)判定性Diffie—Hellman难题(DecisionDiffie-Hellman Problem,DDHP).设G.是一个阶为素数q的循环加法群,P为 G中的生成元,对于任意的.,b,c?z,aP,bP,cP?G,要 判定c:abmodq是否成立是困难的. c)间隙Diffie?Hellman难题(GapDiffie—HellmanProblem, GDHP).如果在群G中,判定Diffie—Hellman问题是可行的, 而计算Diffie—Hellman问题是难解的,那么群G.称为GDH群. GDH群可由有限域上的椭圆曲线产生. 2文献[2]中无证书签密方案与攻击分析 2.1无证书签密及其安全模型 为了克服基于身份的公钥系统所固有的密钥托管问题, 同时保持其不需要使用公钥证书的优点,A1一Riyami等人提出 了无证书公钥密码系统的概念.在此基础上,Barbosa等 人"给出了第1个无证书签密方案,随后无证书签密体制得 到了迅速发展,一些方案相继提出. 无证书签密方案可定义为6个多项式时间算法715:1)系 统参数生成;2)部分私钥生成;3)用户公钥生成;4)用户私钥 生成;5)签密;6)解签密. 无证书公钥密码系统的安全模型将攻击者定义为两种类 型:第1类攻击者A.,不能获得系统主密钥,但可以任意替 换用户的公钥,这种攻击者是指私钥产生中心(PrivateKey Generator,PKG)之外的攻击者;第?类攻击者A?,能够获 得系统主密钥,但不能替换用户的公钥,这种攻击者是指恶意 的PKG. 无证书签密方案必须在上述两种类型的攻击下都满足机 密性和不可伪造性. 2.2文献[2]的无证书签密方案原理 Xie等人的无证书签密方案如下. 1)系统初始化算法(Setup). 给定安全参数k,算法步骤如下. a)设(G.,G,G)为素数阶P>2的双线性映射组. b)任选Q为G的生成元,设P=(Q)?G.,g=e(P, Q)?Gr. c)随机选择sez并计算P.=sQ,分别作为主密钥和 系统公钥. d)定义三个不同的密码哈希函数H:{0,1}一,: {0,1}×G2×Gr×一,H3:G×Gz一{0,1},n是要进 行签密的消息长度. !l97 e)公开系统参数params:=(G】,G2,GnP,,,./.rJ../Jcl, e,,H,,H3). 2)部分私钥生成算法(Partial—Private—Ke)一HI】 给定参数params,身份ID?{0,l.乃:川 1 Q,oHI()和dmP,迎过安个j盟把r/m发 送给身份为的用户,作为他的部分私钏JIJ迎过舱 式:e(d,P.+QQ)=g是否成立来判断其J确性为r力' 便起见,定义=P.+H.(/D)Q. 3)设置秘密值算法(Set—Secret—Value). 输入参数params和用户身份ID.选择随机值, 输出作为用户的秘密值. 4)设置公钥算法(Set—Public—Key). 给定参数params,用户身份,D和用户的秘密值,该算 法计算出用户的公钥pk=(P+H(/D)Q). 5)设置私钥算法(Set—Private—Key). 给定参数params,用户的部分私钥d,用户身份,输出 对(d,)作为用户的私钥s. 6)签密算法(Signcrypt). 为了把消息m{0,1}发送给具有身份和公钥pk的 Bob,Alice用私钥s执行以下步骤: a)随机选择,,?Z/并计算=r.(Pp+(B)Q)和 c=m?H3(g,rlpk日); b)计算h2:H2(m,",g,kB,P,pk8),:dA ,1 和w=9cAh2+r1; c)签密密文为or=(C,U,,W). 7)解签密算法(Unsigncrypt). 为了解出具有身份A和公钥p的Alice的签密密文: (c,u,",w),具有私钥s的Bob执行以下步骤: a)计算g=e(dB,")和m=coH3(g,ycBu). b)计算h2=(m,u,g,xBu,pk^,pk日)和r.= — hzpkA. c)如果e(,r.)=g成立,则接受m;否则输出无 效符号j_. 2.3对文献[2】方案的攻击分析 1)经分析发现,此无证书签密方案存在着伪造攻击,通 过这个攻击,一个不诚实的接收者Bob作为类型I的攻击 者,可以用任意发送者Alice的身份伪造出对消息m的有效签 密文.执行步骤如下: a)设为用户Alice的身份; b)Bob随机选择?Zq和A?,设置=AQ并计 算pk==AQ,随机选择r?并计算: r.(P.+(B)Q),再任意选择一个消息m来计算c:m? H3(g,qpk); c)Bob计算h2=(m,u,g",rIpkB,pk^,pkB),口= ?P和:.,l^ 最终,Bob伪造出了签密文=(c,,,w),他就可以声 称身份为的Alice向自己发出了消息m的签密文. 具有私钥s的Bob声称他能够通过以下步骤来恢复消 息m,并且该签密文满足验证式e(,r)=gg. a)计算g'=e(dB,?)和m=c?H3(g,3cB). 2198计算机应用第31卷 b)计算h2=(m,M,g,XBu,pkd,pkB)和r= 一 h2pkA. 最后Bob可验证其伪造的签密文=(c,,,)满足验 证式. 正确性证明如下: g:e(d,u)=e(;—P,r-(sq+QQ))g; B=XBrI(sQ+Q日Q)=rlpk日; e(,一2p^)=e(,rl)= e (1p…r-Q)g 这就证明了Bob的伪造是有效的. 2)文献[3]中对此方案提出了另一种类型I的攻击.在 不可伪造性游戏中,类型I的攻击者可以知道接收者的完整 私钥.在训练阶段,类型I的伪造攻击者询问签密算法预言 机并获得一个签密密文:(c,,,W),把作为发送者 发送给接收者,D的签密密文,这里攻击者知道接收者的私 钥(d,%).攻击者执行以下步骤计算发送者的部分私钥: a)已知=h+r.(已知类型I的攻击者能够替换公 钥,因此可以获得发送者的秘密值); b)计算g=e(dB,M)和m=coH3(g',XBu); c)计算h2=(m,u,g,XBu,pkA,pk8); d)计算rl=一h2; e)即可计算出d:f二1.,,I, 这样,一个类型I的攻击者可以找出系统里的任意合法 用户的部分私钥,导致对系统的完全破解.但在文献[2]中, 针对这个攻击,重新定义了一个比Barbosa等人提出的原 始模型要弱一些的安全模型,在这个安全模型中,假设从签密 预言机返回的密文在发送者原公钥下是有效的. 3)此签密方案不具有公开可验证性.验证式e(v, r.)-~gr'lg中,只有接收者Bob才能计算g=e(,u)及 h=(m,,g,XBu,pk,pk),因此不满足公开可验证性. 2.4对文献[2]方案的改进 为了克服原方案的缺陷,本文提出了与原方案相比不增 加过多运算量的改进方案.具体如下. 1)系统初始化算法:与原方案基本相同,只是改为: }0,1}×G2×G;一,H3:Gr一{0,1}. 2)部分私钥生成算法:与原方案基本相同,只是取消对 的设置. 3)设置秘密值算法:与原方案相同. 4)设置公钥算法:给定参数p.mms,用户身份,D和用户 的秘密值加,该算法计算pk廊=G作为用户的公钥. 5)设置私钥算法:与原方案相同. 6)签密算法:为了把消息m{0,1}发送给具有身份曰 和公钥pk的Bob,Alice用私钥s执行以下步骤: a)随机选择rez并计算=r(PDub+H(B)Q)和 c=m?H3(础); b)计算h2:H2(c,u,pkA,pk口),把改为口=(h2++ ),把改为W=g; c)签密密文为=(C,u,,). 7)解签密算法.为了解出具有身份和公钥p的Alice的 签密密文:(c,"),具有私钥的Bob执行以下步骤: a)计算m:c?(e(d,")). b)计算h2=H2(c,M,pk^,pk8). c)把原方案的验证式e(,r.)=gelg改为e(, P.+q)w=pkg,如果验证式成立,则接受m;否则输出 无效符号上. 以上算法的正确性可以按以下步骤验证: e(,)e(P,(Q+QQ))pk 和 e(,Pb+O)w=e((h2+rl+A)dA,PPub+q)g= ,1, e((z+)P,(sQ+qAq))ge((^:+r1 )P,q)g=pk^gh 2.5对改进方案的安全性分析 1)机密性. 显然,攻击者如果要解密得到消息,他必须要能计算p 或e(d,XBU).而要计算p,攻击者必须要从u=r.(P.+ 疗.(B)Q),口=(h:+r,+)d或W=g'中解出r来,这就 要面临解DLP;~I1果攻击者要计算e(d,XBu),他必须得到接 收者Bob的私钥(,%),这也是不可能的.因此改进方案具 有机密性. 2)不可伪造性. 定理1改进方案在CDHP和DLP困难性假设的前提 下,不可被第1类攻击者A伪造. 证明按2.1节中描述,第1类攻击者A能够替换用 户的公钥,但是不知道系统的主密钥s.假设攻击者A能将 Alice公钥中隐藏的秘密值替换为他自己选择的秘密值 .,但是他不能获得Alice的部分私钥d. 攻击者AI可以伪造出c,,u和.,但是在伪造的 时候,由于其不知道用户部分私钥以及系统主密钥s,故而 敌手只能自己伪造一个系统主私钥s,进而伪造出用户部 分私钥dl,伪造出签名I,并将(cI,I,I,I)发送 给接收者Bob解签密.在Bob解签密的时候,由于伪造签密 所用到伪造部分私钥中的系统主私钥不是系统公 钥Ppub中的5,因而不能通过验证式e(,Ppub+Q)= . 肚^g验证 因此改进方案,在CDHP和DLP困难性假设的前提下,不 可被攻击者A.伪造. 由此即不会出现原方案中接收者作为第1类攻击者的 伪造攻击.另外,把W改为=g,使攻击者无法从中计算出 ,即可避免Selvi等人提出的类型I攻击.这就不需要针 对Selvi等人的攻击,重新定义一个比Barbosa等人的原始 模型要弱一些的安全模型. 定理2改进方案在CDHP和DLP困难性假设的前提 下,不可被攻击者A?伪造. 证明攻击者A?拥有系统的主私钥s,但是没有替换用 户公钥的能力.由于攻击者拥有系统的主密钥s,所以他就拥 有了用户Alice的部分私钥. 要伪造出消息的合法签密,攻击者?需要获得Alice的 秘密值.如果攻击者A?从用户Alice的公钥p=g中求 解,则攻击者A?面临在G中求解DLP;~I果攻击者?从 = (h2+r.)d求解,因为密码哈希函数h2=(c, u,g,Jp)的单向性和G,中的DIP,也是不可行的. 如果攻击者A?伪造一个秘密值,并伪造出签密 第8期范函等:两种签密方案的密码学分析与改进2199 ,并将签密发送给Bob.Bob在解签密的时候,由于伪造签 密时用到的与用户Alice公钥pk中隐含的秘密值 不一致,所以不能通过验证式e(,Puuh+QQ):pkg的 验证. 因此改进方案能抵抗攻击者A的攻击. 综上所述,改进方案能够抵抗2.1节中定义的两类攻击 者的攻击,因此改进方案具有不可伪造性. 3)前向安全性. 假设攻击者获得了签密者Alice的私钥(,da),但是如 果他想从U=rl(PDub+日l(B)Q),=(h2+r1+)dA或 =g中解出随机值r.来,就要面临解DLP,进而无法计算 p,这样,攻击者就不能利用m:c?(p)来恢复出签 密消息来.因此改进方案具有前向安全性. 4)公开可验证性. 当签密和解签密双方发生矛盾时候,就需要第三方来进 行协调.第三方在得到签密方Alice发送给解签密方Bob的签 密=(c,u,,)后,可以计算出h2=H2(c,I1,,pk^,pkB),通 过验证e(,PDub+QQ)1,0=pkg是否成立来验证签密的正 确性.在这个过程中,不需要签密方和解签密方的任何帮助, 也不需要恢复出签密的消息,第三方就可以确定签密是否由 Alice所签发.因此改进方案具有公开可验证性. 2.6对改进方案的效率分析 签密方案因为可预先完成除签密与解签密以外的过程, 因此其效率主要与签密与解签密时的计算量有关.在一般情 况下,衡量无证书签密方案效率优劣主要参照双线性对的运 算量.尽管许多文献都在论述怎样提高对的运算速度,但对 运算仍然是比较耗时的.改进方案的签密算法与原方案一样 仍不需要双线性对,其解签密算法并没有增加对运算,所以改 进后的方案仍可以保持原方案的高效率,仍然是只需要解签 密时的两个对运算. 3文献[4]中自认证代理签密方案及攻击分析 Gamage等人提出了第一个代理签密方案,代理签密 方案允许一个原始签密人将他的签密权力授权给一个代理签 密人,代理签密人可以代表原始签密人对授权消息生成有效 的代理签密. 3.1文献[4]中方案原理 文献[4]中基于DLP的自认证代理签密方案如下. 1)系统初始化. a)权威机构(SystemAuthority,SA)选择两个大素数P. 和q.,并满足P=2p+1,qI:2q+1,其中P和q也是大 素数.sA计算P=P.q,随机选取的一个阶为P,q的生成 元g. b)选取密码学上安全的哈希函数: h:{0,1}×z—z;1:{0,1}—z;h2:t0,1}× Z:一Z:h:z:一\0,1\;h4:z一z:. c)sA选择一个秘密值?R,Y=gmodP. d)SA保密(P.,q1,P',q,),公开(P,g,h,hl,h2,h3,h4, Y),其中n是明文消息的比特长度. 2)用户密钥提取. 身份为d的用户u选择一个秘密值?z,计算Y= groodpo然后用户U发送(d,Y)给sA.SA收到(d,Y)以 后,计算Q=h(d,Y)和=g",并将(Q,)发给用户 ".用户M收到(Q,)以后,通过Y=modP验证的合 法性.如果等式成立,则用户u就计算S=ruh()modP作 为自己的私钥,Y作为自己的公钥.原始签密者A,代理签密 者B和接收者C相应的公私钥对分别简记为(Y,S),(Y, 5)和(.,S.). 3)代理密钥提取. A建立一个授权许可证m,用以明确A和的身份信息, 授权关系和授权关系的使用限制等 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 .然后,A计算0A= h(m)SmodP,并将(m,OA)发给B.B检查等式 (YA)hl(mw)h4(yfgA)=gmodP是否成立.如果成立,则B计算代 理签密密钥=0A+h(m)Smodp;否则,要求A重发. 4)代理签密. B执行以下步骤:引遁机选择k?,计算R:gmodP, 计算V=ymodP,计算c=h3()om,计算S=h2(m, R)gkgOpmodP,最后输出密文:(m,R,c,S). 5)解签密. c收到密文以后,计算V=RmodP,恢复消息m= co(),检查以下验证式是否成立: RS=h2(m,R)4(y~A)hl(mw),,'MmodP. 如果以上验证等式成立,密文(m,R,S)和用户公钥 (y,Y.)同时被认证,Bob接受(m,R,S),否则,验证失败,认 为(m,R,S)是不合法的. 3.2对文献[4】方案的攻击分析 经分柝发现,此签密方案存在伪造攻击,通过这个攻击, 一 个不诚实的接收者C可以用任意代理签密人B的身份伪造 出对消息m的有效签密文.执行步骤如下: 1)C计算R=YAh4'l'modP和S=h2(m, R)y'y)l')modP; 2)然后计算V=RCmodP; 3)随机选择一个消if,m来计算c:h()om. 最后伪造出的消息m的签密文为o-=(m,R,c,S).C就 可以声称向自己发出了消息m的签密文. C声称他能够通过以下步骤来恢复消息m,并且该签密 文满足验证式. C恢复消息m=c?h().最后C验证签密文:(m,R, s)是否满足验证式RS=h2m,R)4(yqA)hl(mw)y''wmod P: RS=('modp)X(2m,R)y~4"mod p):h2(m,R)(y~A)hl(mw)y'modP 显然,伪造的签密文满足了验证式RS=h(m, )4(y~a)hl(mw)ymodP,这就证明了C的伪造是有 效的. 3.3对文献[4]的改进 曹正军等人指出,要设计一个签名方案,对签名数据 在验证等式中出现的位置有一定要求,必须处于底数或指数 位置,否则是不安全的.如果签名数据在验证等式中既不处 于底数位置也不处于指数位置,则称为孤悬因子.由于文 献[4]的方案验证式中及Js均为孤悬因子,因此为伪造者提 供了可乘之机.为此,可考虑改进原方案,使签名数据R及s 在验证式中处于底数和指数位置.改进方案如下. 在代理签密阶段,把代理签密人曰计算的Js修改为S= 2200计算机应用第31卷 h(m,)TtipmodP把验证式改为: n R=gh2(m,n)(yQA)hl(mw)+l yroodP 正确性证明如下: Rgkh2(m,)modPgh2(m,R)g.modP g2(?)g(w)modP g2(')ghl(mw)Sag')roodP gh2(m,R)y(y~A)hl(mw)y"modP 其他部分保持原方案不变. 改进方案消除了原方案因为孤悬子的fn造成的缺 陷,同时因为除上述改进部分以外,改进办案其他部分原方 案保持一致,因此改进方案的安全性分析【Jj原方案的安伞性 分析完全一致,证明改进方案具有一个安全的签密方案所应 有的安全特性,又保持了原方案的其他特点. 4结诸 对一种无证书签密方案和一种基于DLP的自认证代理 签密方案进行了安全性分析,发现都存在着安全缺陷,并给出 了攻击方法.在无证书签密方案中,除了文献[3]中对此方 案提出的一种类型I的攻击外,还存在不诚实的接收者作为 类型I的攻击者的伪造攻击,且不具有公开可验证性.由于 孤悬因子的存在,此基于DLP的自认证代理签密方案存在伪 造攻击,通过这个攻击,一个不诚实的接收者可以用任意代理 签密人的身份伪造出对消息的有效签密文.对这两种签密方 案提出了改进方案,对改进方案进行了安全性分析,证明了改 进方案是安全的,能够有效地克服原方案的缺陷. 参考文献: [1]ZHENGY.Digitalsigncryptionorhowtoachievecost(signature& encryption),S~eost(signature)+cost(encryption)encryption)【C】// CRYPTO'97:Proceedingsofthe17thAnnualInternationalCryptolo— gYConferenceonAdvancesinCryptology,LNCS1294.Berlin: Springer—Verlag,1997:165—179. [2】XIEWENJIAN,ZHANGZHANG.Efficientandprovablysecure certifieatelesssigncryptionfrombilinearmaps【C】//WCNIS2010: 2010IEEEInternationalConferenceonWirelessCommunications, NetworkingandInformationSecurity.Washington,DC:IEEECom— puterSociety,2010:558—562. [3】SELVISSD,VIVEKSS,RANGANCP.Securityweaknessesin twocertificatelesssigncryptionschemes【EB/OL】.[2011一Ol一 11】. 【41俞惠芳,赵海兴,王之仓,等.基于DLP的自认证代理签密方案 【J】.计算机科学,2010,37(5):66—67. 【5】曹正军,刘木兰.数字签名方案中的孤悬因子和冗余数据【J].计 算机,2006,29(2):249—255. 【6】AL—RIYAMISS,PATERSONKG.Certifieatelesspublickeycryp- tography【C】//ASIACRYFF2003:Proceedingsofthe9thInterna— tionalConferenceontheTheoryandApplicationofCryptologyand InformationSecurity,LNCS2894.Berlin:Springer?Verlag,2003: 452—473. f7】BARBOSAM,FARSHIMP.Certifieatelesssigncryption【C]//Pro— ceedingsofthe2008ACMSymposiumonInformation,Computer andCommunicationsSecurity.NewYork:ACMPress,2008:369 — 372. [8]WUCHENHUANG,CHENZHIXIONG.Anewefficientcertificate— lesssigneryptionscheme[C]//ISISE'08:Proceedingsofthe2008 InternationalSymposiumonInformationScienceandEngieering. Washington,DC:IEEEComputerSociety,2008:661—664. [9]LIUZHENHUA,HUYUPU,ZHANGXIANGSONG,eta1.Certifi— catelesssigneryptionschemeinthestandardmodel【J】.Information Sciences,2010,180(3):452—464. 【10】BARRETOPSLM,KIMHY,LYNNB,eta1.Efficientalgo— rithmsforpairing—basederyptosystems[C】//CRYPTO'02:Pro— eeedingsofthe22ndAnnualInternationalCryptologyConferenceon AdvancesinCryptology,LNCS2442.Berlin:Springer—Verlag, 2002:354—368. [11】GAMAGEC,LEIWOJ,ZHENGY.Anefficientschemeforsecure messagetransmissionusingproxysigncryption【C】//Proceedingsof the22ndAustralasianComputerScienceConference.Berlin: Springer—Verlag,1999:420—431. (上接第2191页) 【8]MAKITAT,MANABEY,OKAMOTOT.Shortgroupsignatures withefficientflexiblejoin【C】//SCIS2006:Proceedingsofthe 2006SymposiumonCryptographyandInformationSecurity.Tokyo: IEICE.2006:l7—20. [9JAKAGIN,MANABEY,OKAMOTOT.Anefficientanonymousere— dentialsystem【C]//FinancialCryptography2008:Proceedingsofthe 12thInternationalConferenceonFinancialCryptographyandDataSecu— rity,LNCS5143.Berlin:Springer—Verlag,2008:272-286. [10]ZHOUSUJING,LINDONGDAI.Shorterverifier—localrevocation groupsignaturesfrombilinearmaps[C]//CANS2006:Proceed— ingsofthe5thInternationalConferenceonCryptologyandNetwork Security,LNCS4301.Berlin:Springer—Verlag,2006:126—143. [11】CANARDS,GOUGETA,HUFSCHMITI"E.Ahandymulti—COU— ponsystem[C】//ACNS2006:Proceedingsofthe4thInternation— alConferenceonAppliedCryptographyandNetworkSecurity, LNCS3989.Berlin:Springer—Verlag,2006:66—81. 【12]CHIDAK,YAMAMOTOG.Batchprocessingforproofsofpartial knowledgeanditsapplicationsfJ].IEICETransactionsonFunda— mentalsofElectronics,CommunicationsandComputerSciences, 2008,E91一A(1):150—159. [13] [14】 【l5】 [16] [17] ARITAS.Astraight-lineextractablenon—malleablecommitment scheme【J】.IEICETransactionsonFundamentalsofElectronics, CommunicationsandComputerSciences,2007,E90一A(7):1384 — 1394. OKAMOTOT.Efficientblindandpartiallyblindsignatureswithout randomoracles【C】//TCC2006:ProceedingsoftheThirdTheory ofCryptographyConference,LNCS3876.Berlin:Springer—Verlag, 2oo6:80—99. CRAMERR,SHOUPV.Apracticalpublickeycryptosystemprovably secuIeagainstadaptivechosenciphertextattack[C]//CRYPTO 1998:Proceedingsofthe18thAnnualInternationalCryptologyConfer- ence,Ics1462,Berlin:Springer—Verlag,1998:13—25. KIAYIASA,YUNGM.Groupsignatureswithefficientconcurrentjoin [C]//EUROCR?yr2o05:Preeeodingsofthe24t}IAnnualInterna. tionalConferenceontheTheoryandApplicationsofCryptographic Techniques,LNCS3494.Berlin:Springer—Verlag.20晒:198—214. BICHSELP,CAMENISCHJ,NEVENG.eta1.Getshortyvia groupsignatureswithoutencryptionfC】//SCN2010:Proceedings 0fthe7thConferenceonSecurityandCryptographyforNetworks. LNCS6280.Berlin:Springer-Verlag,2010:381—398.