基于证书的聚合签名方案的分析与改进

基于证书的聚合签名方案的分析与改进
陈群山;黄振杰;黄茹芬;郝艳华
【摘要】The analysis of the certificated-based aggregate signature schemes proposed by Peng et al. shows that the scheme is insecure.In Peng;s scheme,an adversary could forge a single signature and an aggregate signature,and the adversary also could replace user;s public key.We propose an improved certif-icated-based aggregate signature schemes,which is provably secure in the random oracle model assuming
the intractability of the computational Diffie-Hellman problem.%分析了已有的基于证书的聚合签名方案，指出该方案是不安全的，因为攻击者可以伪造单个签名和聚合签名，并且可以替换用户公钥。

提出一个改进的基于证书的聚合签名方案，并在随机预言机模型下，证明了改进方案在计算性 Diffie-Hellman 困难性假设下是安全的。

【期刊名称】《内蒙古师范大学学报（自然科学汉文版）》
【年(卷),期】2014(000)004
【总页数】7页(P483-489)
【关键词】基于证书签名;聚合签名;计算性 Diffie-Hellman 问题;双线性对
【作者】陈群山;黄振杰;黄茹芬;郝艳华
【作者单位】闽南师范大学计算机学院，福建漳州 363000;闽南师范大学计算机学院，福建漳州 363000;闽南师范大学计算机学院，福建漳州 363000;闽南师范大学计算机学院，福建漳州 363000
【正文语种】中文
【中图分类】TP309.7
基于证书公钥密码体制是由Gentry［1］在2003年Eurocrypt会议上提出的，在该密码体制中，用户在密文解密或消息签名时，需要使用自己的私钥和认证机构颁发的证书.基于证书公钥密码体制既具有传统公钥密码体制中PKI公钥证书的功能，又克服了PKI公钥证书管理问题，同时又避免了基于身份公钥密码体制的密钥托管问题.基于证书公钥密码体制一提出便成为国内外学者的研究热点，目前已有一系列的研究成果［2－4］.聚合签名的概念是Boneh等［5］在2003年提出的，在聚合签名方案中，签名聚合者将n个签名者对n个不同消息的签名聚合成一个签名结果，签名验证者只需对聚合签名结果进行验证，就能确认签名是否为这n个签名者的有效签名.聚合签名可以有效地缩短签名的长度与签名的验证时间，提高签名验证的效率.对于聚合签名也有大量的研究成果［6－8］.
2009年Liu等［9］结合基于证书密码体制与聚合签名的优点，利用知识证明提出了基于证书的聚合签名方案，在此之后，Peng等［10］和Chen等［11］分别在2011年和2013年构造了基于证书的聚合签名方案，其中Peng方案可以实现无序聚合和有序聚合两种方式.本文对Peng方案进行了分析，发现该方案的安全性证明并不是在基于证书密码体制的安全模型下进行的，因此无法保证方案的安全性，在该方案中，攻击者可以伪造单个签名和聚合签名，且该方案无法抵抗攻击者对公钥的替换攻击.针对Peng方案的缺陷，本文构造了一个改进的基于证书聚合签名方案，并证明在随机预言机模型和计算性Diffie－Hellman困难性假设下，改进方案是存在性不可伪造的，且效率要高于文献［11］中的方案.
1 预备知识
1.1 双线性对
设（G1，＋）和（G2，·）是阶为素数q的循环群，称满足以下条件的映射e：
G1×G1→G2为双线性对：
（1）双线性.对任意P，Q ∈G1，α，β∈Zq，有e（αP，βQ）＝e（P，Q）αβ；（2）非退化性.若P是群G1的生成元，则e（P，P）是群G2的生成元；
（3）可计算性.对任意P，Q∈G1，总存在一个计算e（P，Q）的有效算法.
1.2 困难性假设
计算性Diffie－Hellman问题（CDH问题）：设G1是素数阶q的循环群，P 是
G1的生成元，对于未知的a，b∈Z＊q，给定P，aP，bP，计算abP.
2 基于证书的聚合签名的定义及安全模型
2.1 基于证书的聚合签名的定义
定义1 一个基于证书的聚合签名方案CBAS由6个算法构成：系统建立Setup，
用户密钥生成UserKeyGen，证书生成CertGen，基于证书签名CBSign，签名聚合Aggregate，聚合签名验证Verify.算法的参与者包括密钥生成中心KGC，n个用户Ui（i＝1，2，…，n），签名聚合者及聚合签名验证者.
Setup：由KGC执行，KGC输入安全参数k，生成系统主私钥s与系统参数params.
UserKeyGen：由用户Ui（i＝1，2，…，n）执行，输入系统参数params、身份IDi，输出用户的公私钥对（PKi，SKi）.Ui 将身份IDi 和公钥PKi 等信息发送给KGC.
CertGen：由KGC执行，输入系统参数params、主私钥s、用户Ui的身份IDi
和公钥PKi等信息，生成用户Ui 的证书Certi，并将其发送给Ui（i＝1，2，…，n）.
CBSign：用户Ui（i＝1，2，…，n）输入系统参数params、私钥SKi、证书
Certi以及消息mi，生成消息mi的签名结果σi.
Aggregate：由签名聚合者执行，输入系统参数params、用户身份（ID1，
ID2，…，IDn）及其公钥（PK1，PK2，…，PKn）、消息（m1，m2，…，mn）及其签名结果（σ1，σ2，…，σn），签名聚合者首先验证n 个签名是否有效，若有效则运行算法输出聚合签名σ.
Verify：验证者输入系统参数params、用户身份（ID1，ID2，…，IDn）及其公钥（PK1，PK2，…，PKn）、消息（m1，m2，…，mn）及其聚合签名σ，如果签名有效，算法输出“是”，否则输出“否”.
2.2 基于证书的聚合签名的安全模型
基于证书的公钥密码系统有两种攻击类型［1］，由此可以定义基于证书的聚合签名的两类攻击者AⅠ和AⅡ.其中攻击者AⅠ知道用户的私钥但是不知道其所对应公钥的证书，同时攻击者可以替换用户的公钥；攻击者AⅡ知道系统的主私钥，但不知道用户私钥，攻击者不能替换用户的公钥.可由攻击者AⅠ和AⅡ与挑战者C 之间的游戏（Game 1，Game 2）来定义基于证书的聚合签名方案的安全性. Game 1 挑战者C输入安全参数k，运行Setup算法，生成系统参数params和系统主私钥s，将params发送给AⅠ，AⅠ可以进行如下询问：
Hash询问：AⅠ可以对方案中的所有Hash预言机进行询问，C返回相应的Hash 值.
UserKeyGen询问：AⅠ可以选择并询问任意用户IDi的公私钥对（PKi，SKi），C运行UserKeyGen算法生成IDi的公私钥对（PKi，SKi）返回给AⅠ. CertGen询问：AⅠ可以询问用户IDi的证书，收到IDi及其公钥PKi后，C运行CertGen算法生成IDi的证书Certi并返回给AⅠ，若IDi的公钥已被替换，则输出“⊥”（“⊥”表示为空）.
ReplacePublicKey询问：AⅠ可以用自己选择的公钥PK′i代替任意用户IDi的公
钥PKi.
CBSign询问：AⅠ可以输入用户IDi，公钥PKi和消息mi询问签名结果，C运行CBSign算法生成签名σi并返回给AⅠ.
最后，AⅠ输出包含身份IDi及其公钥PKi关于消息mi的聚合签名σ＊（i＝1，2，…，n），若满足以下条件，则AⅠ获胜：（1）至少有一个ID＊I∈｛ID1，ID2，…，IDn｝没有进行ReplacePublicKey询问和CertGen询问；（2）（ID ＊I，PK＊I，m＊I）没有进行过CBSign询问.
Game 2 挑战者C输入安全参数k，运行Setup算法，生成系统参数params和系统主私钥s，将params和s发送给AⅡ，AⅡ可以进行如下询问：
Hash询问，UserKeyGen询问，CBSign询问：这些询问与Game 1中的定义相同.
RevealPrivateKey询问：AⅡ可以询问用户IDi的公钥PKi所对应的私钥，当C 收到询问时检查PKi是否为UserKeyGen算法的输出，如果是则返回对应的私钥SKi，否则输出“⊥”.
最后，AⅡ输出包含身份IDi及其公钥PKi关于消息mi的聚合签名σ＊（i＝1，2，…，n），若满足以下条件，则AⅡ获胜：（1）至少有一个ID＊I∈｛ID1，ID2，…，IDn｝的公钥PK＊I是由C运行UserKeyGen算法产生的，且PK＊I没有进行过RevealPrivateKey询问；（2）（ID＊I，PK＊I，m＊I）没有进行过CBSign询问.
定义2 如果攻击者AⅠ和AⅡ在上述的Game中获胜的概率是可忽略的，那么基于证书的聚合签名方案CBAS在适应性选择消息攻击下是存在性不可伪造的.
3 Peng方案简述
Peng方案［10］由5个部分组成.假定有n 个用户（U1，U2，…，Un），身份信息为（ID1，ID2，…，IDn），对n个消息（m1，m2，…，mn）进行签名.本
文只介绍Peng方案中无序聚合签名的形式.
CBAS.Setup：KGC选择安全参数k，生成阶为q的群G1和G2，并构造双线性
对e：G1×G1→G2.在G1中选择生成元P，在Zq中选择秘密值sC∈Zq，令
PKC＝sCP ∈G1.构造哈希函数H1：｛0，1｝＊→G1，H2：｛0，1｝＊→Zq.
公开参数为（G1，G2，e，P，PKC，H1，H2），KGC 的主私钥为sC ∈Zq，公钥为PKC.
CBAS.Cert：用户Ui（i＝1，2，…，n）随机选择si∈Zq作为秘密值，计算PKi
＝siP ∈G1作为部分公钥；Ui将自己的身份信息（包括IDi，PKi和其他必要的认证信息）发送给KGC；KGC认证用户身份的有效性，计算Pi＝H1（τ，PKC，PKi，IDi）∈G1，Certi＝sCPi，将Certi 作为用户证书发送给Ui.
Ui的私钥为Si＝Certi＋siPi＝sCPi＋siPi＝（sC＋si）Pi，公钥为SPi＝sCP＋siP. CBASns.Sign：用户Ui 随机选取ri ∈Zq，计算Wi＝riPi，hi＝H2（mi，Wi），Vi＝rihi（sC ＋si）Pi，则Ui 对消息mi 的签名为σi＝［Wi，Vi］（i＝1，2，…，n），Ui 将σi 发送给KGC.
CBASns.Agg：KGC获得所有用户的签名（σ1，σ2，…，σn），计算合签名为σ
＝［W1，W2，…，Wn，V］.
CBASns.Verify：用户收到消息（m1，m2，…，mn，σ）的聚合签名（σ＝［W1，W2，…，Wn，V］），验证等式是否成立.若等式成立，则签名验证通过；否则签名验证失败.
4 对Peng方案的分析
本节对Peng方案中的无序聚合签名的形式进行安全性分析，给出两种攻击方法，这两种攻击方法同样适用于该方案中的有序聚合签名的形式.
攻击1 该方案无法阻止对签名的伪造攻击.若已知用户Ui对消息mi的签名σi＝［Wi，Vi］，则攻击者A无需Ui的私钥Si便可伪造任意其他消息m′i的有效签
名.A计算hi＝H2（mi，Wi），随机选取ti∈Z＊q，令W′i＝tihiWi，h′i＝H2（m′i，W′i），V′i＝tih′iVi，则σ′i＝［W′i，V′i］是消息m′i的一个有效签名.事实上，e（P，V′i）＝e（P，tih′iVi）＝e（P，tih′irihi（sC ＋si）Pi）＝e（（sC ＋si）P，tih′ihiWi）＝e（SPi，h′iW′i）.根据Peng方案中签名的聚合方式，显然攻击者A 容易由此伪造用户U1，U2，…，Un对任意消息m′1，m′2，…，m′n的聚合签名σ′＝［W′1，W′2，…，W′n，V′］.
攻击2 该方案无法抵抗公钥替换攻击.由于Peng方案是构建在Kang［2］的基于证书签名方案的基础上，而在Kang方案中，攻击者可以替换用户的公钥，因此Peng方案也面临着替换公钥攻击.攻击者A可以替换用户Ui的公钥，无需Ui的私钥Si便可伪造任意消息mi的有效签名.A随机选取ti∈Z＊q，将用户Ui的公钥替换为PKi＝tiP－PKC.A任取ri∈Z＊q，计算Wi＝riPi，hi＝H2（mi，Wi），Vi＝tirihiPi，则σi＝［Wi，Vi］为mi 的有效签名.事实上，e（P，Vi）＝e（P，tirihiPi）＝e（tiP，hiWi）＝e（tiP－PKC ＋PKC，hiWi）＝e（PKi＋PKC，hiWi）＝e（SPi，hiWi）.
因此，Peng方案是不安全的.
5 改进方案及其安全性证明
5.1 改进的方案
改进后的方案由6个部分组成.
Setup：与Peng方案相同，但修改原方案中的哈希函数H2为｛0，1｝＊→G1. UserKeyGen：用户Ui（i＝1，2，…，n）随机选择si∈Z＊q作为私钥，并计算PKi＝siP∈G1作为公钥.Ui将身份IDi，公钥PKi和其他必要的认证信息发送给KGC.
CertGen：KGC认证用户Ui（i＝1，2，…，n）身份的有效性，若用户的身份信息通过验证，则KGC计算Pi＝H1（PKC，PKi，IDi）∈G1，用户证书为Certi＝
sCPi，将Certi 发送给Ui.
CBSign：用户Ui（i＝1，2，…，n）对消息mi进行签名的过程如下：（1）计算hi＝H2（mi），Vi＝Certi＋sihi；（2）Vi为Ui对消息mi的签名，Ui将Vi发送给签名聚合者.
Aggregate：签名聚合者获得用户Ui对消息mi的签名Vi（i＝1，2，…，n），
按照如下步骤进行聚合：（1）计算Pi＝H1（PKC，PKi，IDi），hi＝H2（mi），验证e（P，Vi）＝e（PKC，Pi）e（PKi，hi）是否成立；（2）若验证通过，计
算
Verify：验证者收到（m1，m2，…，mn，V），验证等式若等式成立，则签名验证通过；否则签名验证失败.
5.2 方案的正确性
（1）单个签名的正确性.
（2）聚合签名的正确性.
5.3 方案的安全性分析
定理1 在随机预言机模型下，如果攻击者AⅠ在经过qU次UserKeyGen预言机
询问，qH1次H1预言机询问，qC次CertGen预言机询问，qS次CBSign预言
机询问后，可以在时间t内以不可忽略的优势ε对5.1的基于证书聚合签名方案进行存在性伪造，那么存在一个算法C，能以间t′＜t＋（qU＋qH1＋qC＋qS＋2n）ts＋ti内解决CDH 问题，其中ts表示计算群G1上一个标量乘所用的时间，ti是Zq＊上一个求逆的时间.
证明设（P，aP，bP）是群G1上的任意一个CDH 问题的实例，C可作为AⅠ的挑战者进行如下Game，从而计算出abP.
C运行算法Setup，定义系统公钥PKC＝aP，生成系统参数params，并将params发送给AⅠ.同时C维护列表UK－list（IDi，PKi，SKi）保存用户的身份
和公私钥对，Cert－list（IDi，PKi，Certi）保存用户的证书，H1－list（IDi，PKi，Pi，ti，ci）保存 Hash函数H1 的值，H2－list（mi，hi）保存 Hash函数
H2 的值.AⅠ 执行如下询问：
UserKeyGen询问：当询问身份IDi的公私钥对时，C调出列表UK－list，若列表中已有相应记录，则返回以前定义的公私钥对；否则随机选择xi∈Zq＊，令SKi
＝xi，PKi＝xiP，返回（PKi，SKi）给AⅠ，添加（IDi，PKi，SKi）到 UK－list 中，这时称用户已被创建.
H1询问：AⅠ输入IDi和PKi进行H1询问时，C查询H1－list中是否已存在相
应询问的值，若存在则直接将结果返回给AⅠ；否则C任选ti∈Zq＊，抛掷偏心
硬币ci∈ ｛0，1｝（Pr［ci＝0］＝δ，Pr［ci＝1］＝1－δ，0＜δ＜1），若ci＝0，定义Pi＝tiP，否则Pi＝ti（bP），添加（IDi，PKi，Pi，ti，ci）到H1－list，返回Pi给AⅠ.
H2询问：当AⅠ输入mi进行H2询问时，C先查询H2－list中是否已经存在询
问的值，若存在则直接将结果返回AⅠ；否则C任选hi∈G1且hi不在H2－list 中，返回hi给AⅠ并添加（mi，hi）到H2－list.
CertGen询问：当询问身份IDi的公钥PKi的证书时，C查询列表Cert－list是否存在相应的值，若存在则返回结果给AⅠ；否则C查询列表UK－list判断IDi是
否已被创建，如未创建，则按UserKeyGen询问中定义的方法创建，同时C查询
H1－list判断是否已对IDi和PKi进行H1询问，若无相关记录，则C按H1询问中的方法生成询问结果.之后，C 从H1－list列表调出相应的记录（IDi，PKi，Pi，ti，ci），若ci＝1，则失败退出；否则计算Certi＝ti（aP），返回Certi 给AⅠ
并添加（IDi，PKi，Certi）到Cert－list.
ReplacePublicKey询问：当AⅠ发送（IDi，PK′i）给C，表示AⅠ请求用PK′i替换用户IDi的公钥PKi.C 检查（IDi，＊，＊）是否已存在 UK－list中，若存在，则用（IDi，PK′i，⊥）替换已有记录；否则在UK－list中增加记录（IDi，PK′i，⊥）.
CBSign询问：当AⅠ输入身份－公钥－消息（IDi，PKi，mi）询问签名结果时，
C查询列表H1－list，找出相应的记录（IDi，PKi，Pi，ti，ci），若ci ＝0，C 查询列表 UK－list，Cert－list，H2－list，找到相应的记录（IDi，PKi，SKi），（IDi，PKi，Certi）和（mi，hi），计算Vi＝Certi ＋SKihi ＝ti（aP）＋xihi，返回Vi 给AⅠ；否则C失败退出.
最后，AⅠ 停止模拟，输出有效的n（n≤qH1）个身份－公钥－消息（IDi＊，
PKi＊，mi＊）（1≤i≤n）的聚合签名V＊，且签名满足2.2中AⅠ在Game获胜的两个条件.C查询列表H1－list，找出相应的n个记录（ID＊i，PK＊i，P＊i，t
＊i，c＊i）（1≤i≤n），如果这n个记录中所有c＊i＝0，则失败退出；否则n个记录中至少有1个c＊i＝1，不妨设（ID＊I，PK＊I，P＊I，t＊I，c＊I）中的c＊I ＝1，C查询列表UK－list找到（ID＊i，PK＊i，SK＊i），H2－list找出（m＊i，h＊i）（1≤i≤n），根据等式e（P，V＊）
下面分析C在Game中成功的概率.定义C成功需满足的4个事件E1，E2，E3，
E4.E1表示C在CertGen询问时没有失败退出；E2表示C在CBSign询问时没有失败退出；E3表示AⅠ成功伪造了一个聚合签名；E4表示n个记录（ID＊i，PK
＊i，P＊i，t＊i，c＊i）（1≤i≤n）中至少有1个c＊i＝1.显然有
Pr［E1］≥δqC，Pr［E2｜E1］≥δqS，Pr［E3｜E1∧E2］≥ε，Pr［E4｜E1 ∧E2 ∧E3］≥1－δn，从而可得
Pr［E1 ∧ E2 ∧ E3 ∧ E4］＝Pr［E1］Pr［E2｜E1］Pr［E3｜E1 ∧ E2］Pr［E4｜
E1 ∧ E2 ∧ E3］≥
由于当可取到最大值，因此，C成功的概率，显然C 所用的时间t′＜t＋（qU＋
qH1＋qC＋qS＋2n）ts＋ti.
定理2 在随机预言机模型下，如果攻击者AⅡ在经过qU次UserKeyGen预言机
询问，qH1次H1预言机询问，qH2次H2预言机询问，qS次CBSign预言机询问后，可以在时间t内以不可忽略的优势ε对5.1的基于证书的聚合签名方案进行存在性伪造，那么存在一个算法C，能以＋（qU＋qH1＋qH2＋2qS＋2n）ts＋ti 内解决CDH 问题，其中ts表示计算群G1上一个标量乘所用的时间，ti是Z＊q
上一个求逆的时间.
证明设（P，aP，bP）是群G1上的任意一个CDH 问题的实例，C可作为AⅡ的挑战者进行如下的Game，从而计算出abP.
C运行算法Setup，定义系统公钥PKC＝sP，生成系统参数params，将params 和系统主私钥s发送给AⅡ .C 维护 UK－list（IDi，PKi，SKi，xi，ci）保存用户
的身份和公私钥对，H1－list（IDi，PKi，Pi，ti）保存Hash函数 H1 的值，H2
－list（mi，li，hi）保存 Hash函数 H2 的值.AⅡ 执行如下询问：UserKeyGen询问：当AⅡ询问身份IDi的公私钥对时，C调出列表UK－list，若列表中已有相应记录，则返回以前定义的公私钥对；否则C随机选择xi∈Z＊q，
抛掷偏心硬币ci∈｛0，1｝（Pr［ci＝0］＝δ，Pr［ci＝1］＝1－δ，0＜δ＜1），若ci＝0，定义PKi＝xiP，SKi＝xi，否则令PKi＝xi（aP），SKi＝“⊥”，返回（PKi，SKi）给AⅡ，添加（IDi，PKi，SKi，xi，ci）到 UK－list中，这时称用
户已被创建.
H1询问：当AⅡ输入IDi和PKi进行H1询问时，C先查询H1－list中是否已存
在询问的值，若存在则直接将结果返回AⅡ；否则C任选ti∈Z＊q，定义Pi＝tiP，添加（IDi，PKi，Pi，ti）到H1－list中，返回Pi给AⅡ.
H2询问：当AⅡ输入mi进行H2询问时，C先查询H2－list中是否已经存在询
问的值，若存在则直接将结果返回AⅡ；否则C任选li∈Z＊p且li不在H2－list 中，计算hi＝li（bP），返回hi给AⅡ并添加（mi，li，hi）到 H2－list. RevealPrivateKey询问：AⅡ询问用户IDi的公钥PKi所对应的私钥，当C收到
询问时查找列表UK－list，检查（IDi，PKi）是否已在列表中，如果是则返回对应的私钥SKi，否则输出“⊥”.
CBSign询问：AⅡ输入身份－公钥－消息（IDi，PKi，mi）请求签名，C查询列
表UK－list，找出相应的记录（IDi，PKi，SKi，xi，ci），若ci＝0，C 查询列表
H1－list和 H2－list，找到相应的记录（IDi，PKi，Pi，ti）以及（mi，li，hi），计算Vi＝Certi＋SKihi＝sPi＋xihi＝s（tiP）＋xi（libP），并返回Vi 给AⅡ；否
则C 失败退出.
最后，AⅡ 输出有效的n（n≤qH1）个身份－公钥－消息（IDi＊，PKi＊，mi＊）（1≤i≤n）的聚合签名V＊，且签名结果满足2.2中AⅡ在Game获胜的两个条件.C查询列表UK－list，找出相应的n个记录（ID＊i，PK＊i，SK＊i，x＊i，c＊i）（1≤i≤n），如果这n个记录中所有的c＊i＝0，则失败退出；否则n个记录
中至少有1个c＊i＝1，不妨设（ID＊I，PK＊I，SK＊I，x＊I，c＊I）中的c＊I＝1，C查询列表H1－list找到（ID＊i，PK＊i，P＊i，t＊i），H2－list找出（m＊i，l＊i，h＊i）（1≤i≤n），根据等式
如同定理1中的证明，容易分析得C成功的概率为，且C在Game中所用的时间t′＜t＋（qU＋qH1＋qH2＋2qS＋2n）ts＋ti.
5.4 效率分析
下面将本文的方案与已有同类方案［11］从效率上进行比较，结果如表1所示.表
1中符号定义如下：Pa表示对运算，Pm表示G1上的点乘，Ad表示G1上的加
法，MTP表示映射到G1中的点的MapToPoint的Hash函数，Mu表示G2上
的乘法.从表1可以看出，本方案中签名结果的长度是固定的，而且方案运行效率
较高，因此本方案的性能优于文献［11］中的方案.
表1 同类方案效率比较Tab.1Comparison of Efficiency for Similar Schemes签名长度签名验证聚合聚合验证文献［11］（n＋1）G13Pm＋2Ad＋1 MTP
3nPa＋nAd＋2nMTP nPa＋nAd （n＋2）Pa＋2nMTP＋nAd＋（2n＋1）Mu
本文 G11Pm＋1Ad＋1 MTP 3nPa＋2nMTP nAd （n＋1）Pa＋2nMTP＋nAd
＋（n＋1）Mu
6 结束语
本文对一个基于证书的聚合签名方案进行密码学分析，给出该方案的两个攻击方法，并对该方案进行了改进，构造了一个新的基于证书的聚合签名方案，证明了改进方案在随机预言机模型下是抗存在性伪造攻击的，且改进方案在性能上优于相关同类方案.基于证书公钥密码系统克服了传统公钥密码系统公钥验证以及基于身份的公
钥密码系统密钥托管的缺点，因此设计安全高效的基于证书的数字签名方案是一个很具有研究意义的课题.
参考文献：
［1］ Gentry C.Certificate－Based Encryption and the Certificate Revocation Problem ［C］／／Advances in Cryptology－EUROCRYPT 2003，LNCS 2656.Berlin：Springer－Verlag，2003：272－293.
［2］Kang B，Park J，Hahn S.A Certificate－Based Signature Scheme［C］／／Topics in Cryptology－CT－RSA 2004，LNCS 2964.Berlin：Springer－Verlag，2004：99－111.
［3］ Al－Riyami S，Paterson K.CBE from CL－PKE：A Generic Construction and Efficient Schemes［C］／／PKC 2005，LNCS 3386.Berlin：
Springer－Verlag，2005：398－415.
［4］ Li Jiguo，Huang Xinyi，Zhang Yicheng，et al.An Efficient Short Certificate－based Signature Scheme［J］.The Journal of Systems and Software，2012，85（2）：314－322.
［5］ Boneh D，Gentry C，Lynn B，et al.Aggregate and Verifiably Encrypted Signatures from Bilinear Maps［C］／／Advances in Cryptology －EUROCRYPT 2003，LNCS 2656.Berlin：Springer－Verlag，2003：416－432.
［6］ Lysyanskaya A，Micali S，Reyzin L.Sequential Aggregate Signatures from Trapdoor Permutations［C］／／Advances in Cryptology－EUROCRYPT 2004，LNCS 3027.Berlin：Springer－Verlag，2004：74－90. ［7］ Yu Yike，Zheng Xuefeng，Sun Hua.An Identity Based Aggregate Signature from Pairings［J］.Journal of Networks，2011，6（4）：631－637.
［8］杜红珍，黄梅娟，温巧燕.高效的可证明安全的无证书聚合签名方案［J］.电子学报，2013，41（1）：72－76.
［9］ Liu J K，Baek J，Zhou J.Certificate－based Sequential Aggregate Signature［C］／／Proceeding of Wisec’09.New York：ACM，2009：21－28.
［10］彭延国，彭长根，冯蕾，等.一个基于证书的聚集签名方案［J］.计算机科学，2011，38（12）：57－60.
［11］陈建能，岳昊，黄振杰.一个可证安全的基于证书聚合签名方案［J］.计算机工程与应用，2013，49（21）：60－64.。