选定聚合者的聚合签名方案.docVIP

选定聚合者的聚合签名方案 　　摘 要： 针对如何降低聚合签名的通信开销并同时提高计算效率的问题，提出一个新的聚合者在每次签名前选定的聚合签名方案。系统可以选择任意用户为聚合者发起签名协议，该方案具有无证书的特点，且聚合后的签名长度固定，与签名用户的数量增减无关，能够快速地实现用户组成员的动态变化。证明了方案在随机预言模型下的安全性，并分析了方案的计算效率。 　　关键词： 选定聚合者； 常数长度； 无证书签名； 随机预言模型 　　中图分类号： TN915.08?34； TP409.2 文献标识码： A 文章编号： 1004?373X（2016）15?0058?04 　　Abstract： In order to reduce the communication overhead of aggregate signature and improve the computation efficiency， a new aggregate signature scheme is proposed， which is designated before each signature of the aggregator. The system can select the arbitrary user to initiate the signature protocol for the aggregator. The scheme has the certificateless characteristic. The aggregated signature length is constant， and is independent of the quantity of signature users. The scheme can realize the dynamic changes of the users group members. The security of the scheme was proved under the random oracle model. The computation efficiency of the scheme is analyzed. 　　Keywords： designated aggregator； constant length； certificateless signature； random oracle model 　　0 引 言 　　Al?Riyami等人在2003年的亚密会上介绍了无证书密码概念[1]，该密码机制既避免了公钥证书管理及验证问题，又很好地解决了密钥托管问题，成为近期研究的一个热点。为提高数字签名的效率，Boneh等人提出了能有效压缩签名长度的聚合签名[2]。在一个聚合签名方案中，一个验证者仅需进行一次验证就能确定多个签名是否全部合法。因此，聚合签名能够缩短签名的长度，减少签名验证的计算时间和降低签名方案的通信开销。 　　文献[2]在BLS签名的基础上构建了第一个聚合签名方案后，许多新的聚合签名方案[3?9]被提出。Lysyanskaya基于陷门置换假设构建了一个顺序聚合签名方案[9]，各个签名者依次将自己的签名聚合到由它前面的签名者产生的聚合签名中，形成新的聚合签名。陈虎等人提出的无证书聚合签名方案在随机预言模型下是可证安全的[8]，但其签名长度随签名人数的增加而线性增加。Cheng等人提出了基于身份的聚合签名方案[10]，该方案仍然存在签名长度非常数长度的问题。文献[3，7]提出的聚合签名方案解决了这个问题，但是文献[3]要求所有的签名人员在每次签名前都要传输相关信息以确定一个状态信息，文献[7]要求所有签名者在签名时互相传输数据，因此这两种聚合签名方案是以增加通信开销为代价来实现签名长度的降低。 　　本文构造了一种新的选定聚合者的无证书聚合签名方案，在每次签名前系统预先选定一个聚合者，由聚合者发起签名协议。该方案既无需用户在签名前协商状态信息，也无需所有签名者互相传输数据，有效地降低了通信开销，同时保留了聚合后签名长度为常数长度的优点。在随机预言模型下对方案的安全性进行了形式化分析，证明了方案能够抵抗适应性选择消息和身份的存在性伪造攻击。 　　3.3 效率分析 　　从计算和通信代价两个方面考察方案的效率。用[L]表示群[G1]中元素的比特长度；BP表示双线性运算的时间；[H]表示杂凑函数计算的时间；[G1]中标量乘法的时间记为[M。]无证书聚合签名方案效率比较，如表1所示。 　　4 结 语 　　本文利用双线性映射构造了一种选定聚合者的聚合签名方案，系统可在每次签名前指定任意用户为聚合者，由指定的聚合者发起签名协议。该方