Al-Riyami和Paterson于2003年提出了无证书公钥密码体制^[1]，解决了基于身份的密码体制的密钥托管问题. Huang等^[2]提出的无证书签名的安全模型定义了普通攻击者、强攻击者、超级攻击者. 对普通攻击者来说，只能得到目标签名者在原始公钥下的消息签名对. 对强攻击者来说，若能在替换用户公钥时，提交替换公钥所对应的秘密值，则能够得到替换公钥下的消息签名对. 对超级攻击者来说，在替换用户公钥时即使不提交替换公钥所对应的秘密值，也能够得到替换公钥下的消息签名对，这表示存在一个实体，能够从攻击者选择的替换公钥里提取出秘密值，并用此秘密值和用户的部分私钥产生签名，但并不确定在现实世界里存在这样的攻击者.

在无证书签名方面，自Al-Riyami和Paterson^[3]提出第1个无证书签名方案以来，已有大量的基于双线性对的无证书签名方案被提出. 曹雪菲等^[4]对一个高效的无证书签名方案进行了替换公钥攻击，进而提出一个安全的改进方案，在随机预言机模型下给出了安全性证明. 由于双线性对运算比较昂贵，使用双线性对的签名方案普遍存在计算效率不高的问题，因此设计不依赖双线性对的无证书签名方案成为近几年的研究热点. 2012年，Gong等^[5]基于椭圆曲线提出一个不使用双线对的无证书签名方案，并声称该方案是可证明安全的，但Yeh等^[6]指出其方案不能抵抗第Ⅰ类超级攻击者的攻击，并给出了补救机制. 王圣宝等^[7]提出一个新的高效的无证书签名方案，并基于离散对数困难假设证明了方案的安全性. 王亚飞等^[8]指出文献^[7]的方案是完全不安全的，并基于椭圆曲线数字签名算法和Schnorr提出一个改进方案，其方案在随机预言机模型下是可证明安全的. 樊爱宛等^[9]针对文献^[8]的签名方案提出一个改进方案，并声称该方案在自适应选择消息攻击下是存在性不可伪造的，其效率较高. 2014年，Kim等^[10]基于格困难问题提出一个无证书签名方案，该方案对于恶意但被动的密钥生成中心(KGC，key generation center)是可证明安全的.

笔者对文献^[9]的签名方案进行了安全性分析，发现其不能抵抗第Ⅰ类强攻击者的伪造攻击. 为改进其安全性，提出一类可证明安全的无证书签名方案，方案的安全性基于椭圆曲线离散对数困难假设，在文献^[2]的安全模型下给出了严谨的安全性证明.

椭圆曲线离散对数问题(ECDLP，elliptic curve discrete logarithm problem)： 给定椭圆曲线E(F_P)上阶为n的点P及O∈〈P〉,确定整数l∈[0,n-1]，使得O=[l]P成立. 假设C是一多项式时间算法，算法C解决ECDLP的优势定义为 α_C^ECDLP=Pr[C(P,O)=l,l∈Z_q^*].

椭圆曲线离散对数困难假设：若不存在多项式时间算法C能在多项式时间内以至少ε的优势解决ECDLP，则称ECDLP困难假设成立.

对文献^[9]的方案进行安全性分析，发现文献^[9]的方案不能抵抗第Ⅰ类强攻击者T的攻击. 攻击过程如下：

1) 攻击者T通过签名询问得到用户A的一个有效签名对(M,K,v)((K,v)是消息M的签名结果)，攻击者T通过秘密值询问得到用户的秘密值z_ID，计算Z_ID=z_IDP.

2) 攻击者T为任意一个消息M′产生伪造的签名：

①计算h′=H₂(ID,M′,Z_ID,R_ID,K)；

②计算h=H₂(ID,M,Z_ID,R_ID,K)；

③计算v′=v-hz_ID+h′z_ID；

④得到消息M′的一个消息签名对(M′,K,v′). 其中R_ID为用户的部分公钥.

3) 接收者B收到(M′,K,v′)后，计算h′=H₂(ID,M′，Z_ID，R_ID,K), h₁=H₁(ID,R_ID),计算U=v′P，U′=h′Z_ID+R_ID+h₁P_PUB，计算U-U′=(v-hz_ID+ h′z_ID)P-(h′Z_ID+R_ID+h₁P_PUB)=K，接收者认为(M′,K,v′)是来自用户A的有效签名对.

通过上述步骤攻击者T能够成功伪造任意用户对任意消息的有效签名，文献^[9]的方案不能抵抗第Ⅰ类强攻击者的攻击，当然也就不能抵抗第Ⅰ类超级攻击者的攻击.

分析上述攻击能够成功的原因：虽然文献^[9]的方案在签名时选取了随机数k，但在签名公式中k并没有与消息M关联起来，从而使攻击者能够利用截获的消息签名对为任意的消息产生伪造的签名.

本节提出一类可证明安全的无证书签名方案.

1) 生成系统参数：输入安全参数k，选择两个大素数p、q，满足q|p-1. 设P为循环群G中一个阶为q的生成元. 选择两个安全的Hash函数：H₁:{0,1}^*→Z_q^*，H₂：{0,1}^*→Z_q^*. KGC选择系统主密钥s,计算系统公钥P_PUB=sP，公开系统参数params={p,q,G,P,P_PUB,H₁,H₂}，秘密保存系统主密钥s.

2) 部分私钥生成：用户向KGC提交用户身份标识I，KGC选取随机数r_I∈Z_q^*，计算R_I=r_IP，D_I=r_I+sH₁(I,R_I)，D_I作为用户的部分私钥，R_I作为用户的部分公钥，KGC把部分私钥D_I、部分公钥R_I安全地传送给用户.

用户验证D_IP=R_I+P_PUBH₁(I,R_I)是否成立，若成立，则判定D_I是有效的用户部分私钥；否则，判定D_I无效.

3) 生成秘密值：用户随机选择秘密值x_I∈Z_q^*.

4) 生成私钥：生成用户的完整私钥W_I=(D_I,x_I).

5) 生成公钥：计算X_I=x_IP，用户的公钥P_I=(R_I,X_I). 用户通过可靠方式将其公钥P_I公布.

6) 签名：假定A为签名者，签名过程如下.

① A选取随机数z∈Z_q^*，计算Z_A=zP.

② 计算h₂=H₂ (M,I,Z_A,R_I,X_I).

③ 根据表1的公式计算u，表1共给出9个有效的签名方案，对消息M的签名为σ=(Z_A,u).

在签名阶段，对u的计算公式如表1所示共给出9种；在验证阶段，对Z′ _A的计算公式对应的也有9种.

7) 验证：假定B为消息的接收者，B收到消息M及M的签名σ以后，计算h₁=H₁ (I,R_I)，h₂=H₂ (M,I,Z_A,R_I,X_I)，按表1的公式计算Z′ _A，验证Z_A=Z′ _A是否成立. 若成立，则σ为A对消息M的有效签名；否则，此签名无效.

表1

表1 签名与验证表 签名方案 签名阶段，计算u的值 验证阶段，计算Z′ A的值 1 u=xI+DI+zh2 Z′ A=h2-1(uP-XI-RI-h1PPUB) 2 u=xI+DI+zh2-1 Z′ A=h2(uP-XI-RI-h1PPUB) 3 u=z-1(h2xI+DI) Z′ A=u-1(h2XI+RI+h1PPUB) 4 u=z-1(xI+h2DI) Z′ A=u-1(XI+h2RI+h1h2PPUB) 5 u=z-1h2(xI+DI) Z′ A=u-1h2(XI+RI+h1PPUB) 6 u=z(xIh2+DI)-1 Z′ A=u(h2XI+RI+h1PPUB) 7 u=z(xI+DIh2)-1 Z′ A=u(XI+h2RI+h1h2PPUB) 8 u=z(h2xI+h2DI)-1 Z′ A=uh2(XI+RI+h1PPUB) 9 u=zh2(xI+DI)-1 Z′ A=h2-1u(XI+RI+h1PPUB)

表1 签名与验证表

改进后的签名方案将签名时选取的随机数z与消息M相关的Hash函数值h₂进行了绑定，虽然攻击者能够计算出伪造消息的Hash函数值h₂，但因不知道随机数z，攻击者无法利用所截获的消息签名对伪造消息的签名.

第1、2种方案针对第Ⅰ类超级攻击者、第Ⅱ类超级攻击者在适应性选择消息和身份攻击下是存在性不可伪造的. 下面给出第1种签名方案的安全性证明.

定理1 在随机预言模型下,假设在多项式时间内，攻击者A_Ⅰ(设A_Ⅰ为第Ⅰ类超级攻击者)最多能做q_c次用户生成询问、q_ppk次部分私钥询问，若A_Ⅰ能够在多项式时间内以一个不可忽略的概率β_AⅠ,super^cma,cida成功攻破所提方案，那么存在一个算法C在多项式时间内能够以α_C^ECDLP≥${1 \over {{q_{\rm{C}}}}}\left( {1 - {1 \over {{q_{\rm{C}}}}}} \right)$q_ppkβ_AⅠ,super^cma,cida的概率解决ECDLP的一个实例.

证明 假定用算法C来解决ECDLP的一个实例(P,aP)，目标是求取a的值. 算法C利用A_Ⅰ(A_Ⅰ为第Ⅰ类超级攻击者)作为子程序来解决这个ECDLP，算法C随机选择J∈[1,q_C]作为这次游戏的挑战身份.

算法C运行系统参数生成算法，输出系统参数和系统主密钥. 算法C将系统主密钥保密，将系统参数发送给A_Ⅰ.

A_Ⅰ可以适应性地进行多项式数量级次数的以下询问.

用户生成询问：创建列表L_c，初始化为空，元组的格式为(I,R_I,D_I,x_I,X_I). 对用户I进行用户生成询问时，若L_c中存在对应元组(I,R_I,D_I,x_I,X_I)，则返回P_I给A_Ⅰ，否则按以下步骤生成用户.

1) 若I≠J，随机选择x_I∈Z_q^*，计算X_I=x_IP，随机选择h₁,D_I∈Z_q^*，计算R_I=D_IP-P_PUB h₁，在列表L_c中添加元组(I,R_I,D_I,x_I,X_I)，并在列表L_H1中添加元组(I,R_I,h₁)，返回P_I=(R_I,X_I)给A_Ⅰ.

2) 若I=J，随机选择x_I∈Z_q^*，计算X_I=x_I P，令D_I=⊥，随机选择h₁,r_I∈Z_q^*，计算R_I=r_IP，在列表L_c中添加元组(I,R_I,D_I,x_I,X_I)，并在列表L_H1中添加元组(I,R_I,h₁)，返回P_I=(R_I,X_I)给A_Ⅰ.

H₁询问：算法C模拟H₁随机预言机，维护列表L_H1，列表初始化为空，列表元组的格式为(I,R_I,h₁). 当算法C收到A_Ⅰ对H₁ (I,R_I)的询问时，查看列表L_H1中是否存在对应项(I,R_I,h₁). 若存在，返回h₁给A_Ⅰ；若不存在，则选取随机数h₁∈Z_q^*，返回h₁给A_Ⅰ，并在L_H1中添加元组(I,R_I,h₁).

H₂询问：算法C模拟H₂随机预言机，创建列表L_H2，列表初始化为空，列表元组的格式为(M,I,Z_A,R_I,X_I,h₂). 当算法C收到A_Ⅰ对H₂ (M,I,Z_A,R_I,X_I)询问时，查看列表L_H2中是否存在对应项(M,I,Z_A,R_I,X_I,h₂). 若存在，返回h₂给A_Ⅰ；若不存在，算法C随机选择h₂∈Z_q^*，返回h₂给A_Ⅰ，并在L_H2中添加元组(M,I,Z_A,R_I,X_I,h₂).

部分私钥询问：算法C收到A_Ⅰ对用户I的部分私钥询问时，若I=J，则算法C终止；否则，查看列表L_c中是否存在对应项(I,R_I,D_I,x_I,X_I)，若存在，返回D_I给A_Ⅰ，若不存在，则先进行用户生成询问，再返回D_I给A_Ⅰ.

公钥替换询问：算法C收到A_Ⅰ对用户I的公钥替换询问(I,X′ _I)时，算法C检索L_c找到对应项(I,R_I,D_I,x_I,X_I)，将X_I替换为X′ _I，并设置x_I=⊥.

秘密值询问：算法C收到A_Ⅰ对用户I的秘密值询问时，算法C检索L_c找到对应项(I,R_I,D_I,x_I,X_I)，若x_I=⊥，表明用户I的公钥已被替换，因此算法C无法回答A_Ⅰ的秘密值询问，算法C返回⊥；否则，算法C返回x_I.

签名询问：算法C随机选择h₂,u∈Z_q^*，计算Z_A=h₂^-1 (uP-X_I-R_I-h₁P_PUB)，返回σ=(Z_A,u)给A_Ⅰ，并将(M,I,Z_A,R_I,X_I,h₂)添加到列表L_H2中.

伪造：最后，A_Ⅰ输出一个有效的消息签名对(I^*,M,σ=(Z_A,u)),若I^*≠J，算法C终止；否则，根据二叉引理^[11]，选择不同的Hash函数H₁，可以得到另外一个z值相同的消息签名对(I^*,M,σ′=(Z_A,u′))，则有以下等式成立.

由式(1)和式(2)得

A_Ⅰ不询问I^*部分私钥的概率至少${\left( {1 - {1 \over {{q_{\rm{C}}}}}} \right)^{q{\rm{ppk}}}}$. 又A_Ⅰ输出的是I=I^*的伪造签名的概率至少为${{1 \over {{q_{\rm{C}}}}}}$，则有

若β_AⅠ,super^cma,cida为不可忽略的，又${1 \over {{q_{\rm{C}}}}}{\left( {1 - {1 \over {{q_{\rm{C}}}}}} \right)^{q{\rm{ppk}}}}$为常数，则算法C成功解决ECDLP的概率α_C^ECDLP为不可忽略的.

定理2 在随机预言模型下,假设在多项式时间内，攻击者A_Ⅱ(设A_Ⅱ为第Ⅱ类超级攻击者)最多能做q_C次用户生成询问、q_s次秘密值询问，若A_Ⅱ能够在多项式时间内以一个不可忽略的概率β_AⅡ,super^cma,cida成功攻破所提方案，那么存在一个算法C在多项式时间内能够以α_C^ECDLP≥${1 \over {{q_{\rm{C}}}}}{\left( {1 - {1 \over {{q_{\rm{C}}}}}} \right)^{q{\rm{s}}}}$β_AⅡ,super^cma,cida的概率解决ECDLP的一个实例.

定理2的证明与定理1的证明类似，这里不再赘述.

第3～9种方案针对第Ⅰ类强攻击者、第Ⅱ类超级攻击者在适应性选择消息和身份攻击下是存在性不可伪造的. 以第3种签名方案为例，挑战者与攻击者之间模拟上述游戏，在游戏的最后，A_Ⅰ输出一个有效的消息签名对(I^*,M,σ=(Z_A,u)). 若I^*≠J，算法C终止；否则，根据二叉引理，选择2个不同的Hash函数H₂，可以得到另外1个z值相同的消息签名对(I^*,M,σ′=(Z_A,u′))，从而得到2个z值相同的有效的伪造，则有以下等式成立.

由式(3)和式(4)得

通过秘密值询问得到x_I，求得D_I=${{\left( {u'{h_2} - uh{'_2}} \right){x_{\rm{I}}}} \over {u - u'}}$，则算法C利用A_Ⅰ作为子程序成功地解决了ECDLP的一个实例.

同样地，在游戏的最后，A_Ⅱ输出一个有效的消息签名对(I^*,M,σ=(Z_A,u)),若I^*≠J，算法C终止；否则，根据二叉引理，选择不同的Hash函数H₂，可以得到另外1个z值相同的伪造(I^*,M,σ′=(Z_A,u′))，则有以下等式成立.

由式(5)和式(6)得

从上述方案的公钥求取秘密值，相当于求解离散对数难题，而众所周知，离散对数问题是难解的，目前，在现实世界里并不存在拥有第Ⅰ类超级攻击者能力的攻击者，所提的第3～9种签名方案是安全的.

把所提的无证书签名方案与已有的具有代表性的无证书签名方案进行比较，如表2所示，用S表示标量乘运算，N表示逆运算.

表2

表2 所提的签名方案与已有签名方案的比较 签名方案 签名效率 验证效率 安全性 文献[8]方案 1S+N 4S+N 超级攻击者 文献[9]方案 1S 3S 第Ⅰ类普通攻击者、第Ⅱ类超级攻击者 所提第1种方案 1S 4S+N 超级攻击者 所提第2种方案 1S+N 4S 超级攻击者 所提第3、4、5、9种方案 1S+N 3S+N 第Ⅰ类强攻击者、第Ⅱ类超级攻击者 所提第6、7、8种方案 1S+N 3S 第Ⅰ类强攻击者、第Ⅱ类超级攻击者

表2 所提的签名方案与已有签名方案的比较

1)所提出的第1、2种签名方案与文献^[8]方案均能够抵抗第Ⅰ类超级攻击者、第Ⅱ类超级攻击者的攻击，文献^[9]方案只能抵抗第Ⅰ类普通攻击者、第Ⅱ类超级攻击者的攻击. 所提出的第1种无证书签名方案相比文献^[8]方案在签名阶段减少了一个逆运算，所提出的第2种无证书签名方案相比文献^[8]方案在验证阶段减少了一个逆运算.

2)所提出的第3～9种无证书签名方案能够抵抗第Ⅰ类强攻击者、第Ⅱ类超级攻击者的攻击，在签名阶段只需要1个点乘，在验证阶段只需要3个点乘，针对现实世界的攻击者是安全的，而文献^[9]方案针对现实世界的攻击者是不安全的.

对文献^[9]的无证书签名方案进行了安全性分析，指出其方案不能抵抗第Ⅰ类强攻击者的伪造攻击，对于现实世界的攻击者是不安全的. 为此，提出了改进方案，改进方案克服了原方案的安全缺陷，具有更高的安全性.