1.   引言

在数据传输过程中，不仅要保护数据的机密性，而且还要保证数据的不可伪造性。1997年，Zheng^[1]提出签密的概念。签密可以同时完成“签名和加密”功能，该技术与传统的先加密后签名或者先签名后加密相比具有通信成本低、安全水平高等优点，在很多实际应用场景中受到青睐^{[2, 3]}。2009年Selvi等人^[4]结合了聚合签名和签密的优势，提出了聚合签密概念。

聚合签密可以把多个签密密文聚合为单个签密密文，验证者仅需验证聚合后的密文，就可以实现对多个消息的认证。聚合签密适合于多对一的用户环境，在无线传感器^[5]等领域得到了广泛的使用。随后，Han等人^[6]提出了基于身份的聚合签密的方案，Eslami等人^[7]提出了基于无证书的聚合签密方案。在实际应用环境中，跨平台通信越来越普及，不同系统使用不同的密码系统，为了保证异构密码系统之间数据的机密性和完整性。2010年，Sun等人^[8]首次提出了异构签密方案。随后，Huang等人^[9]提出了一个从传统公钥密码体制(Traditional Public Key Cryptography, TPKC)到身份公钥密码体制(IDentity-based Public Key Cryptographic, IDPKC) TPKI→IDPKC异构签密方案，Li等人^[10]提出了IDPKC→TPKI签密方案。自此，异构签密成为当前密码学研究的一个热点^[11—15]。

2017年，Niu等人^[16]提出了一个具有隐私保护功能的异构聚合签密方案，经过分析，发现该方案不满足签密密文的不可伪造性。恶意密钥生成中心(Key Generating Center, KGC)可以伪造签密密文。为了解决Niu方案^[16]中存在的密文可伪造攻击，本文先提出了一种新的具有系统隐私功能的保护异构聚合签密方案，随后证明了本文方案的安全性。最后对比了本文方案与Niu方案。

2.   Niu方案及安全性分析

限于篇幅，略去对Niu方案的描述，具体算法见文献[16]。

Niu方案是从无证书公钥密码体制到身份公钥密码体制(CLPKC→IDPKC)的异构签密方案。对于机密性，主要考虑IDPKC密码环境；对于不可伪造性，则是CLPKC密码环境。在CLPKC中，主要存在两类敌手A₁和A₂。A₁为不诚实的用户，通过对用户原有公钥的替换实现公钥替换攻击；A₂为恶意的KGC，可以获取系统的主密钥和用户的部分私钥，实现KGC攻击。通过分析，发现Niu方案不满足密文的不可伪造性，即KGC可以伪造单个签密密文和聚合签密密文。

2.1   单个签密密文伪造

${\rm{KGC}}$ 通过以下过程实现单个密文的伪造：

(1)KGC在系统初始化时，选择 $\overline w \in Z_q^{\rm{*}}$ ，计算 $Q = \overline w P$ 作为 ${G_1}$ 的一个生成元。随机选择 $s \in Z_q^{\rm{*}}$ 为系统的主密钥，计算 ${P_{{\rm{pu}}}} = sP$ 为系统公开密钥。

(2) KGC随机选择 $r_j' \in Z_q^{\rm{*}}$ ，计算 $r_j'Q{\rm{ = }}R_j'\overline w$ 和 $h\,'\!\!_{_{j}} = {H_4}({C_{j}},R'_j,{P_{{\rm{sj}}}},{\rm{I}}{{\rm{D}}_{{\rm{sj}}}})$ ，可计算出 ${X_{{\rm{sj}}}}\overline w P = {P_{{\rm{sj}}}}\overline w$ 。

(3)伪造签密密文： ${S_j}{\rm{ = }}{D_{{\rm{sj}}}} + h_j'r_j'\overline w P + {P_{{\rm{sj}}}}\overline w$ ，则伪造的密文为 ${\sigma _j} =$ $({R_j},{C_j},{S_j},{\varGamma _j})$ 。

(4)验证伪造密文的正确性：由于

因此，KGC可以成功伪造单个签密密文。

2.2   聚合签密密文伪造

KGC通过以下过程实现聚合密文的伪造：

(1)按照2.1节步骤伪造单个密文。

(2) $S \!=\! \displaystyle\sum\nolimits_{j = 1}^m {{S_j}} \!=\! \displaystyle\sum\nolimits_{j = 1}^m {({D_{{\rm{sj}}}} \!+\! {X_{{\rm{sj}}}}Q} + h'\!\!_jr\,'\!\!_jQ)$ ，伪造聚合签密密文为 ${\sigma _j} = (\{ {R_j},{C_j},{\varGamma _j}\} _{j{\rm{ = }}1}^m,S)$ 。

(3)验证伪造密文的正确性：由于

因此，KGC可以成功伪造聚合签密密文。

3.   改进的异构签密方案

Niu方案的主要问题在于签密生成环节泄漏了签密者的秘密值信息，即KGC可以容易地得到 ${X_{{\rm{sj}}}}Q$ 和 $r\,'\!\!_jQ$ 。

(1) 系统建立Setup：输入安全参数 $k$ , ${\rm{KGC}}$ 选择两个阶为 $q$ 的循环群 ${G_1}$ 和 ${G_2}$ , ${G_1}$ 为加法群， ${G_2}$ 为循环乘群。 $P$ 为 ${G_1}$ 的生成元。 $e:{G_1} \times {G_1} \to {G_2}$ 为一个双线性映射。 ${\rm{KGC}}$ 随机地选择 $s \in Z_q^{\rm{*}}$ 作为系统的主密钥，保留 $s$ 。计算系统公钥为 ${P_{{\rm{pu}}}} = sP$ 。 ${\rm{KGC}}$ 选择4个哈希函数 ${H_1}:{\{ 0,1\} ^*} \to {G_1}$ , ${H_2}:{G_2} \to$ ${\{ 0,1\} ^{{\rm{lm}}}}$ , ${H_3}:{\{ 0,1\} ^*} \to Z_q^*$ , ${H_4}:{\{ 0,1\} ^{{\rm{lm}}}} \to {G_1}$ 。系统参数 ${\rm{params}} = \{ q,{G_1},{G_2},e,P,{P_{{\rm{pu}}}},{H_1},{H_2},{H_3},{H_4}\}$ 。

(2) 公/私钥生成CLPKC-KG: CLPKC系统中发送者 ${S_i}(i \in \{ 1,2, ·\!·\!· ,n\} )$ 的身份为 ${M_j}$ 。

(3) 密钥提取IDPKC-KG: IDPKC系统中接收者的身份为 ${\rm{I}}{{\rm{D}}_{{\rm{rj}}}}(j \in \{ 1,2, ·\!·\!· ,n\} )$ 。CLPKC-KG和IDPKC-KG里面包含的算法设置同2.1节。

(4) 签密Signcrypt：输入消息 ${M_i}$ 和接收者的身份列表 $L = \{ {\rm{I}}{{\rm{D}}_{{\rm{ri}}}}\} _{i = 1}^n$ ，发送者 ${S_j}$ 执行如下步骤：

(a)随机地选择 ${r_i} \in Z_q^{\rm{*}}$ ，计算 ${R_i} = {r_i}P$ , ${\omega _i} =$ $e{({P_{{\rm{pu}}}},{P_i})^{{r_i}}}{{和}} {C_i}{\rm{ = }}{H_2}({\omega _i}) \oplus {M_i}$ 。

(b)对 $j \!=\! 1,2, ·\!·\!· ,m$ ，计算 ${x_{{\rm{rj}}}} = {H_3}({\rm{I}}{{\rm{D}}_{{\rm{rj}}}})$ , ${f_j}(x) =$ ${\displaystyle\prod\limits_{{\rm{{{\rm{1}} \le j \ne i \le m}}}}} \!\!\!\displaystyle\frac{{x - {x_i}}}{{{x_j} - {x_i}}}{\rm{ = }}{a_{j,1}} \!+\! {a_{j,2}}x \!+\! {a_{j,m}}{x^{m - 1}}$ , ${y_{{\rm{ji}}}} = {r_i}({P_i} +$ ${Q_{{\rm{rj}}}})$ ，其中 ${a_{j,1}},{a_{j,2}}, ·\!·\!· ,{a_{j,m}} \in Z_q^*$ 。

(c)对于 $j \!=\! 1,2, ·\!·\!· ,m$ ，计算 ${T_{ji}}{\rm{ =\! }}\displaystyle\sum\nolimits_{k = 1}^n {{a_k}{,_j}{y_k}{,_i}}$ ，令 ${Γ} = ({T_{1i}},{T_{2i}},·\!·\!·,{T_{mi}})$ 。

(d)计算 ${h_i} \!\!=\!\! {H_3}({C_i},{R_i},{P_{{\rm{si}}}},{\rm{I}}{{\rm{D}}_{{\rm{si}}}})$ 和 ${S_i} \!\!=\!\! {D_{{\rm{si}}}} + ({X_{{\rm{si}}}} \!+\!$ ${h_i}{r_i}){H_4}({P_{{\rm{pu}}}})$ 。

(e)发送者 ${S_i}$ 把密文 ${\sigma _i} = ({R_{_i}},{C_{_i}},{S_i},{{Γ} _i})$ 给接收者。

(5) 单个解签密Individual De-signcrypt：收到密文 ${\sigma _i} = ({R_i},{C_i},{S_i},{{Γ} _i}){\rm{\} }}_{i = 1}^m$ ，接收者利用自己的身份 ${\rm{I}}{{\rm{D}}_{{\rm{rj}}}}(j \in \{ 1,2, ·\!·\!· ,n\} )$ 解密 ${\sigma _i}$ 步骤如下：

(a)计算 ${Q_{{\rm{si}}}} = {H_1}({\rm{I}}{{\rm{D}}_{{\rm{si}}}})$ , ${h_i} = {H_3}({C_i},{R_i},{P_i},{\rm{I}}{{\rm{D}}_i})$ 。

(b)检查 $e({S_i},P) \!=\! e({Q_{{\rm{si}}}},{P_{{\rm{pu}}}})e({P_{{\rm{si}}}} \!+\! {h_i} \!\cdot\! {R_i}, {H_4}(Q))$ 是否成立。如果成立，密文有效；否则，拒绝该密文。

(c)计算 ${x_j} = {H_3}({\rm{I}}{{\rm{D}}_{{\rm{rj}}}})$ 和 $y\,'\!\!_{{\rm{ij}}}\ {\rm{ = }}{T_{1i}} + {x_j}{T_{2i}} + ·\!·\!·$ $+ x_j^{m - 1}{T_{mi}}$ $(i = 1,2, ·\!·\!· ,n)$ 。

(d)计算 $\omega\,'\!\! _i{\rm{ = }}e({P_{{\rm{pu}}}},y\,\,'\!\!_{{\rm{ij}}})e{({R_i},{D_{{\rm{rj}}}})^{ - 1}}$ 。

(e)恢复消息 ${M_i}$ , ${M_i}{\rm{ =\! }}{H_2}({\omega _i}) \oplus {C_i}(i \!=\! 1,2,·\!·\!·,m)$ 。

(6) 聚合签密Aggregate：由聚合者执行产生 $m$ 个用户对 $M$ 个消息的聚合签密过程如下：

(a)输入 $\{ {\rm{I}}{{\rm{D}}_{{\rm{si}}}}\} _{i = 1}^m$ 签密密文 ${\sigma _i} \!=\! ({R_{_i}},{C_{_i}},{S_i},{{Γ} _i})_{i = 1}^m$ 。

(b)计算 $S = \displaystyle\sum\limits_{}^m {_{i = 1}} {S_i}$ 。

(c)输出聚合密文为 $\sigma = (\{ {R_i},{C_i},{{Γ} _i}\} _{i = 1}^m,S)$ 。

(7)聚合验证Aggregate de-signcrypt：验证聚合签密是否有效，步骤如下：

(a)计算 ${Q_{{\rm{si}}}} = {H_1}({\rm{I}}{{\rm{D}}_{{\rm{si}}}}),{h_i} = {H_3}({C_i},{R_i},{P_{{\rm{si}}}},{\rm{I}}{{\rm{D}}_{{\rm{si}}}})$ 。

(b)检查等式 $e(S,P) \!=\! e \left(\displaystyle\sum\limits_{i = 1}^m {{Q_{{\rm{si}}}}} ,{P_{{\rm{pu}}}}\right)\!\!e \Bigg(\displaystyle\sum\limits_{i = 1}^m ({P_{{\rm{si}}}} + {h_i} \cdot {R_i}) ,{H_4}(Q)\Bigg)$ 是否成立。成立则接受；否则，退出算法。

4.   新方案的安全性分析

新方案的机密性证明过程与原方案一致，以下对不可伪造性进行分析。

4.1   单个签密密文不可伪造性

定理 1　假定CDH问题困难，针对敌手A₁，本文异构签密方案在随机预言模型下自适应选择消息攻击下不可伪造。

以下需要引理1和引理2来证明定理1。

引理 1　在随机预言模型下，假设一个敌手A₁在t时间内能以不可忽略的优势 $\varepsilon$ 攻破本文方案，则存在算法B，能以 ${\varepsilon '} \ge (\varepsilon - {q^s}/{2^k}){(1 - 1/{q^{{\rm{pk}}}})^{{q_{{\rm{Pk}}}}}}$ 优势解决 CDH 问题，其中，H₁-Query, H₂-Query, H₃-Query, H₄-Query, Partial-Private-Key-query, Secret-Value-query, Public-key-replave-query, Signcryption-query的访问次数分别为 ${q_{_H_1}}$ , ${q_{_H_2}}$ , ${q_{_H_3}}$ , ${q_{_H_4}}$ , ${q_{{\rm{pk}}}}$ , ${q_{{\rm{Sk}}}}$ , ${q_{{\rm{kr}}}}$ , ${q_s}$ 。

证明　 A₁为攻击者，B为CDH问题的挑战者。B给定 $(P,aP,bP)$ , B的目标是使用A₁解决 CDH问题，即计算 $abP$ 。

(1) 系统建立Setup：挑战者B设 ${P_{{\rm{pu}}}} = aP$ 。返回系统参数 ${\rm{params}}$ 给A₁, B随机选择挑战的伪身份 ${\rm{ID}}_{{\rm{ai}}}^{\rm{*}}$ , A₁执行以下询问：

(2)H₁-query: B维持列表 ${L_1}{\rm{ = }}({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{Q_{{\rm{si}}}},{\alpha _i},{c_i})$ ，初始为空。当A₁对 ${H_1}$ 进行询问时，B首先检查 ${L_1}$ 列表，若列表 ${L_1}$ 中存在 $({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{Q_{{\rm{si}}}},{\alpha _i})$ ，B就返回相应的 ${Q_{{\rm{si}}}}$ ，否则：B随机选择 ${\alpha _i} \in Z_q^{\rm{*}}$ 和 ${c_i} \in \{ 0,1\}$ (其中， ${c_i} = 0$ 的概率为 $\zeta = 1/{q_{{H_1}}}$ 。 ${c_i} = 1$ 的概率为 $1{\rm{ - }}\zeta$ )。当 ${c_i}{\rm{ = }}0$ 时，计算 ${Q_{{\rm{si}}}} = {\alpha _i}P$ 。当 ${c_i}{\rm{ = 1}}$ 时，计算 ${Q_{{\rm{si}}}} = {\alpha _i}bP$ 。返回 ${Q_{{\rm{si}}}}$ 给A₁，并增加 $({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{Q_{{\rm{si}}}},{\alpha _{{i}}},{c_i})$ 到 ${L_1}$ 列表。

(3) H₂-query: B维持 ${L_2}{\rm{ = (}}{\omega _i}{\rm{,}}{\omega _{2i}},{H_2}{\rm{(}}{\omega _i}{\rm{))}}$ ，当B收到对 ${H_2}$ 的询问时，B随机选择 ${\omega _{2i}} \in Z_q^{\rm{*}}$ ，令 ${H_2}{\rm{(}}{\omega _i}{\rm{) = }}{\omega _{2i}}$ ，发送给A₁。

(4) H₃-query: B维持 ${L_3} \!=\! \{ {C_i},{R_i},{P_{{\rm{si}}}},{\rm{I}}{{\rm{D}}_{{\rm{si}}}}{\rm{,}}{h_i}{\rm{,}}{\gamma _i}{\rm{\} }}$ ，初始为空。当A₁询问 ${L_3}$ 列表的元组时，B首先检查列表，若列表中有相应元组，则发送对应的 ${h_i}$ ；否则B随机选择 ${\gamma _i} \in Z_q^{\rm{*}}$ ，令 ${h_i} = {\gamma _i}$ ，增加 $({C_i},{R_i}{P_{{\rm{si}}}},$ ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}{\rm{,}}{h_i}{\rm{,}}{\gamma _i})$ 到列表 ${L_3}$ 中，并返回 ${h_i}$ 。

(5) H₄-query: A₁对 ${H_4}({P_{{\rm{pu}}}})$ 进行询问时，B随机选择 $t \in Z_q^{\rm{*}}$ ，令 ${H_4}({P_{{\rm{pu}}}}){\rm{ = }}tP$ 。

(6) 部分私钥询问Partial-Private-Key-query: B保持列表 $E = \{ {\rm{I}}{{\rm{D}}_{{\rm{si}}}},{D_{{\rm{si}}}},{Q_{{\rm{si}}}}\}$ ，初始为空。A₁询问 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}$ 的部分私钥时，若 $E$ 中已有相应记录，则直接返回 ${D_{{\rm{si}}}}$ 。否则，A₁执行 ${H_1}$ 询问，返回 $({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{Q_{{\rm{si}}}},{\alpha _i},{c_i})$ 。若 ${c_i}{\rm{ = 1}}$ ，则B终止；否则，计算 ${D_{{\rm{si}}}}{\rm{ = }}{\alpha _i}{P_{{\rm{pu}}}} = {\alpha _i}aP$ ，返回 ${D_{{\rm{si}}}}$ 给A₁，并将 $({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{D_{{\rm{si}}}},{Q_{{\rm{si}}}})$ 添加到表 $E$ 。

(7) 公钥询问Public-key-query: B保持列表 $F = ({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{X_i},{P_{{\rm{si}}}})$ ，初始为空。当A₁询问 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}$ 的公钥时，若 $F$ 包含询问内容，返回 ${P_{{\rm{si}}}}$ 给A₁。否则，选择任意 ${X_i} \in Z_q^{\rm{*}}$ , ${P_{{\rm{si}}}}{\rm{ = }}{X_i}P$ ，返回 ${P_{{\rm{si}}}}$ 给A₁将 $({\rm{I}}{{\rm{D}}_{{\rm{si}}}},$ ${X_i},{P_{{\rm{si}}}})$ 加入到 $F$ 表中。

(8) 秘密值询问Secret-Value-query：当A₁询问 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}$ 的秘密值时，如果 ${c_i}{\rm{ = 1}}$ , B终止。否则，B查 $F$ 表，若 $F$ 表中有对应的 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}$ ，则返回相应秘密值；否则B随机选择 ${X_i} \in Z_q^{\rm{*}}$ ，作为相应的秘密值，更新列表并返回 ${X_i}$ 。

(9) 公钥替换询问Public-key-replace-query: A₁对 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}$ 公钥替代询问时，A₁随机选择一个公钥 ${P\,'\!\!_{{\rm{si}}}}$ 代替原公钥 ${P_{{\rm{si}}}}$ 。设置 ${P_{{\rm{si}}}}{\rm{ = }}{P\,'\!\!_{{\rm{si}}}}$ , ${X_i}{\rm{ = }} \bot$ 。

(10) 签密询问Signcryption-query：当A₁对 $({M_i},{\rm{I}}{{\rm{D}}_{{\rm{si}}}},L)$ 里的 $L{\rm{ = }}\{ {\rm{I}}{{\rm{D}}_{{\rm{R}}1}},{\rm{I}}{{\rm{D}}_{{\rm{R}}2}}, ·\!·\!· ,{\rm{I}}{{\rm{D}}_{{\rm{R}}n}}\}$ 进行签密询问时，若 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}} \ne {\rm{ID}}_{{\rm{ai}}}^{\rm{*}}$ ，则运行签密算法得到密文 $\sigma$ 。若 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}{\rm{ = ID}}_{{\rm{ai}}}^{\rm{*}}$ , B模拟算法生成一个签密。

(a)B随机选择 ${r_i} \in Z_q^{\rm{*}}$ , ${h_i} \in Z_q^{\rm{*}}$ 。

(b)计算 ${R_i} \!=\! {r_i}P - h_i^{ - 1}{P_{{\rm{si}}}}$ 和 ${S_i} \!=\! {D_{{\rm{si}}}} \!+\! {h_i}{r_i}{H_4}(Q)$ , B把 ${\sigma _i} = ({R_i},{C_i},{S_i})$ 给A₁。

(11) 输出Output：最后，A₁输出一个元组 $(M_i^*,\sigma _i^*,{\rm{ID}}_{{\rm{si}}}^*,P_{{\rm{si}}}^*)$ 。如果 ${\rm{ID}}_{{\rm{si}}}^* \ne {\rm{ID}}_{{\rm{ai}}}^{\rm{*}}$ , B终止；否则，通过使用分叉引理，在用相同的随机带重放A₁之后的两个不同的 ${h'_i}$ , B在多项式时间内获得两个有效签名 $\sigma _i^* = (M_i^*,h_i^*,{\rm{ID}}_{{\rm{si}}}^*,R_i^*,S_i^*)$ 和 $\sigma^{*}'\!\!_i = (M^{*}'\!\!_i,$ $h^{*}'\!\!_i,{\rm{ID}}_{{\rm{si}}}^{*}'\!\!_i,R^{*}'\!\!_i,S^{*}'\!\!_i)$ 。

根据式(1)和式(2), B通过计算输出 $abP\;$ 作为CDH实例的解决方案 $abP = (S_i^* - S_i^{*}')/(h_{_i}^*r_{_i}^* -$ $h'_{_i}^{*}r_{_i}^*)$ 。

引理 2　在随机预言模型下，假设一个敌手A₂在t时间内能以不可忽略的优势 $\varepsilon$ 攻破本文方案，则存在算法B，能以 ${\varepsilon '} \ge (\varepsilon - {q^s}/{2^k}){(1 - 1/({q^{{\rm{pk}}}} +$ $m))^{{q_{{\rm{P}}k}} + m - 1$ 优势解决 CDH 问题的一个实例。

证明　 A₂为攻击者，B为CDH问题的挑战者。B给定 $(P,aP,bP)$ , B 的目标是使用A₂解决 CDH问题，即计算 $abP$ 。

(1) 系统建立Setup: B运行Setup算法，随机选择 $s \in Z_q^{\rm{*}}$ 作为系统的主密钥，计算 ${P_{{\rm{pu}}}} = sP$ 。B随机选取 ${\rm{ID}}_{{\rm{ai}}}^{\rm{*}}$ 作为挑战身份，B将 ${\rm{params}}$ 和 $s$ 一起传递给A₂。A₂执行以下询问：

(2) H₁-query: B维持列表 ${L_1} = ({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{Q_i},)$ ，初始为空。当A₂对 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}$ 进行询问时，B首先检测 ${L_1}$ 表，若 ${L_1}$ 存在 $({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{Q_i})$ , B就返回相应 ${Q_i}$ ，否则：B随机选择 ${Q_i} \in {G_1}$ ，更新列表，把 ${Q_i}$ 发送给A₂。

(3) H₂-query: B维持列表 ${L_2} = ({\omega _i},{\beta _i},{H_2}({\omega _i}))$ , B收到对 ${\omega _i}$ 的 ${H_2}$ 询问时：

(a)如果 ${H_2}({\omega _i})$ 存在 ${L_2}$ 列表中，就把 ${H_2}({\omega _i})$ 返回给A₂。

(b)否则，随机选择 ${\beta _i} \in Z_q^{\rm{*}}$ ，计算 ${H_2}({\omega _i}){\rm{ = }}{\beta _i}aP$ ，输出 ${H_2}({\omega _i})$ ，添加 $({\omega _i},{\beta _i},{H_2}({\omega _i}))$ 到列表 ${L_2}$ 中。

(4) H₃-query: B维持 ${L_3} \!=\! \{ {C_i},{R_i},{P_{{\rm{si}}}},{\rm{I}}{{\rm{D}}_{{\rm{si}}}}{\rm{,}}{h_i}{\rm{,}}{\gamma _i}{\rm{\} }}$ ，初始为空。当A₂询问 ${L_3}$ 时，B首先检测 ${L_3}$ ，若 ${L_3}$ 存在，则返回 ${h_i}$ ；否则B随机选择 ${\gamma _i} \in Z_q^{\rm{*}}$ ，令 ${h_i} = {\gamma _i}$ ，增加元组到列表 ${L_3}$ 中，并返回 ${h_i}$ 给A₂。

(5) H₄-query: A₂对 ${H_4}({P_{{\rm{pu}}}})$ 进行询问时，B令 ${H_4}({P_{{\rm{pu}}}}){\rm{ = }}aP\;$ ，并返回给A₂。

(6) 公钥询问Public-key-query: B保持列表 $F = ({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{X_i},{P_{{\rm{si}}}})$ ，初始为空。当A₂询问 ${\rm{I}}{{\rm{D}}_{{\rm{si}}}}$ 公钥时，若 $F$ 列表中包含 ${P_{{\rm{si}}}}$ ，则返回 ${P_{{\rm{si}}}}$ 给A₂。否则，随机选择 ${X_i} \in Z_q^{\rm{*}}$ 。若 ${c_i}{\rm{ = 0}}$ ，计算 ${P_{{\rm{si}}}} = {X_i}P$ 。否则计算 ${P_{{\rm{si}}}} = {X_i}bP$ 。返回 ${P_{{\rm{si}}}}$ 给A₂同时更新元组 $({\rm{I}}{{\rm{D}}_{{\rm{si}}}},{X_i},$ ${P_{{\rm{si}}}})$ 到 $F\;$ 表中。

(7) 签密询问Signcryption-query：当A₂对 $({M_i},{\rm{I}}{{\rm{D}}_{{\rm{si}}}},L)$ 这里的 $L{\rm{ = }}\{ {\rm{I}}{{\rm{D}}_{{\rm{R}}1}},{\rm{I}}{{\rm{D}}_{{\rm{R}}2}}, ·\!·\!· ,{\rm{I}}{{\rm{D}}_{{\rm{R}}n}}\}$ 签密询问时，首先B查表。若 ${c_i}{\rm{ = 0}}$ , B随机选择 ${h_i} \in Z_q^{\rm{*}}$ ，计算 ${R_i} = - h_i^{ - 1}{P_{{\rm{si}}}}$ , ${S_i} = {D_{{\rm{si}}}}$ 。最后，B把 ${\sigma _i} = ({R_i},$ ${C_i},{S_i},{T_i})$ 给A₂。

(8) 输出Output: A₂输出一个元组 $(M_i^*,\sigma _i^*,{\rm{ID}}_{{\rm{si}}}^*,$ $P_{{\rm{si}}}^*)$ 。如果 ${\rm{ID}}_{{\rm{si}}}^* \ne {\rm{ID}}_{{\rm{ai}}}^{\rm{*}}$ , B终止；否则，利用分叉引理，在用同样的任意带重放A₂之后得到两个不一样 ${h\,'\!\!_i}$ , B在多项式时间内获得两个有用签名 $\sigma _i^* =$ $(M_i^*,h_i^*,{\rm{ID}}_{{\rm{si}}}^*,R_i^*,S_i^*)$ 和 $\sigma^{*}'\!\!_i \!=\!(M^{*}'\!\!_i,h^{*}'\!\!_i,{\rm{ID}}_{{\rm{si}}}^{*}'\!\!_i,R_i^{*}'\!\!_i,S_i^{*}'\!\!_i)$ 。

4.2   聚合签密密文不可伪造性

定理2　假定CDH问题困难，本文异构聚合签密方案在随机预言模型下自适应选择消息攻击下不可伪造。

这个定理是通过结合引理3和引理4得到的。

引理 3　在随机预言模型下，假设敌手A₁在时间t内能以不可忽略的优势 $\varepsilon$ 攻破本文方案，则存在算法B，能以 ${\varepsilon '} \ge (\varepsilon - {q^s}/{2^k}){(1 - 1/{q^{{\rm{pk}}}})^{{q_{{\rm{P}}k}}}}$ 优势解决 CDH 问题的一个实例。

证明　算法B首先设置在引理1中描述的公共参数。注意，在设置阶段，B设置 ${P_{{\rm{pu}}}} = aP$ 。然后，A₁执行在引理1中描述的模拟询问。挑战者B以与引理1相同的方式回答A₁的查询。

(1)聚合解签密询问Aggregate De-signcryption query: A₁向B提交一个密文集合 $\sigma$ ，发送者的伪身份 $\{ {\rm{I}}{{\rm{D}}_{{\rm{si}}}}\} _{i = 1}^m$ ，接收者的身份集 ${L^*} = \{ {\rm{I}}{{\rm{D}}_{{\rm{rj}}}}\} _{j = 1}^n$ , B使用IBC-KG算法计算接收者的私钥 $\{ {\rm{I}}{{\rm{D}}_{{\rm{rj}}}}\} _{j = 1}^n$ 。如果它是一个有效的密文，A₁首先检查 $\sigma$ 的有效性。之后，A₁返回对密文 $\sigma$ 运行Aggregate de-signcrypt算法的结果。

(2)输出Output: A₁输出 $\{ {\rm{I}}{{\rm{D}}_{{\rm{si}}}}\} _{i = 1}^m$ 和 $\{ {\rm{I}}{{\rm{D}}_{{\rm{rj}}}}\} _{j = 1}^n$ 且对应的公钥 $\{ P_{{\rm{si}}}^*\} _{i = 1}^m$ 和 $\{ {\rm{I}}{{\rm{D}}_{{\rm{rj}}}}\} _{j = 1}^n$ , m个消息 $\{ {M_i}\} _{i = 1}^m$ 和他们的聚合密文 ${\sigma ^*} = \left( {R_i^*,C_i^*,S_i^*} \right)$ 。伪造的聚合密文必须使用聚合解密来验证，即

利用分叉引理我们得到 $\quad\quadabP = \Bigg({S^*} - t \displaystyle\sum\limits_{i = 1}^m {X_i}P +$ $h_i^*R_i^* \Bigg){\Bigg(\displaystyle\sum\limits_{i = 1}^m {{\alpha _i}} \Bigg)^{ - 1}}$

引理 4　在随机预言模型下，假设敌手A₂在时间t内能以不可忽略的优势 $\varepsilon$ 攻破本文方案，则存在算法B，能以 ${\varepsilon '} \!\ge\! (\varepsilon - {q^s}/{2^k}){(1 - 1/({q^{{\rm{pk}}}} + m))^{{q_{{\rm{Pk}}}} + m - 1}}$ 优势解决CDH问题的一个实例。

证明　 B设置与引理2中描述的公共参数。挑战者B以与引理2相同的方式回答A₂的查询。

输出Output: A₂输出 $\{ {\rm{I}}{{\rm{D}}_{{\rm{si}}}}\} _{i = 1}^m$ 和 $\{ {\rm{I}}{{\rm{D}}_{{\rm{rj}}}}\} _{j = 1}^n$ 且对应的公钥 $\{ P_{{\rm{si}}}^*\} _{i = 1}^m$ 和 $\{ Q_{{\rm{rj}}}^*\} _{j = 1}^n$ , m个消息 $\{ {M_i}\} _{i = 1}^m$ 和它们的聚合密文 ${\sigma ^*} = \left( {R_i^*,C_i^*,S_i^*} \right)$ 。伪造的聚合密文必须使用聚合解密来验证。

利用分叉引理我们得到 $abP = \left({S^*} - t\displaystyle\sum\limits_{i = 1}^m {{X_i}P + h_i^*R_i^*} \right){\left(\displaystyle\sum\limits_{i = 1}^m {{\alpha _i}} \right)^{ - 1}}$ 证毕

5.   性能分析

将本文方案和Niu方案进行效率对比。用 ${T_{{\rm{add}}}}$ 代表点加运算耗费的时间， ${T_{{\rm{pm}}}}$ 代表点乘运算耗费的时间， ${T_p}$ 代表双线性对运算耗费的时间， ${T_H}$ 代表Hash函数映射到点耗费的时间， ${T_h}$ 代表一次普通Hash函数耗费的时间。 $\left| m \right|$ 代表消息的长度， $\left| U \right|$ 代表用户身份的长度， $\left| {{G_1}} \right|$ 代表 ${G_1}$ 群中元素长度。

本文方案使用的基本运算耗费的时间如表1所示。实验环境为戴尔笔记本(I7-4700 CPU @3.20 GHz, 16 GB内存和Ubuntu Linux操作系统)。同时使用了密码函数库(Pairing-Based Cryptography, PBC)。

表 1  基本运算耗费的时间(ms)

${T_{{\rm{add}}}}$	${T_{{\rm{pm}}}}$	${T_p}$	${T_H}$	${T_h}$
0.023	3.382	3.711	6.720	1.024

下载: 导出CSV 

| 显示表格

表2分析了两个方案的签密以及解签密效率。从表2可以看出，在签密阶段，本文方案效率略低于Niu^[16]方案，是因为比Niu方案多了一个Hash函数，但是安全性因此略有提高。在解签密阶段，本文方案与Niu方案效率相当。

表 2  签密方案效率比较

方案	签密	解签密	安全性
Niu方案	$(2n + 5){T_{{\rm{pm}}}} + {T_p} + 2{T_H}+ {T_h}$ $+ (n + 3){T_{{\rm{add}}}} \ge 41.849$	$n{T_{{\rm{pm}}}} + 5{T_p} + 3{T_H} + {T_h}$ $+ (n + 1){T_{{\rm{add}}}} \ge 42.143$	低
本文方案	$(2n + 5){T_{{\rm{pm}}}} + {T_p} + {\rm{3}}{T_H} + {T_h}$ $+ (n + 3){T_{{\rm{add}}}} \ge 48.569$	$n{T_{{\rm{pm}}}} + 5{T_p} + 3{T_H} + {T_h}$ $+ (n + 1){T_{{\rm{add}}}} \ge 42.143$	高

下载: 导出CSV 

| 显示表格

以上性能分析表明，新方案在运算效率上与Niu方案相当，这是因为本文的主要工作是提高原方案的安全性，确保方案可以抵抗不可伪造性攻击。

6.   结束语

具有系统隐私保护功能的异构聚合签密方案不仅解决了不同密码系统之间多个签密密文验证困难的问题，同时还具有双重隐私保护功能。本文分析了Niu方案的安全性。指出了该方案存在KGC伪造攻击，并分析了产生KGC被动攻击的原因，描述了KGC伪造攻击的过程。随后对Niu方案进行了改造，给出了新的方案。证明了本文方案满足不可伪造性。本文方案具有较高安全性，未来会进一步地研究降低运算效率。