1 引言

网络技术及其应用的发展为用户间的通信提供了多样的选择，用户可以将消息发送给多个指定的接收者，也可以收到来自多个用户的消息。此时就需要考虑多发送者与多接收者间的安全通信。2000年,Bellare等人[1]首次提出了一个多接收者的公钥加密方案，这种一对多的加密方案为网络中拥有多接收者的广播通信提供了安全保障。随后，Duan等人通过多接收者加密方案[2]及多接收者签名方案[3]给出了一个在签密阶段只需要一个对运算、可实现公开验证的多接收者签密方案。2009年，Lal等人[4]通过应用环签名的概念提出了一个基于身份的多接收者签密方案，签密后的消息不会泄露接收者的身份信息。2013年,Pang等人[5]利用拉格朗日插值公式提出了一个基于身份公平的匿名多接收者签密方案，方案满足接收者身份匿名性和解密公平性，但后续的安全性分析显示：前面所提方案的任何合法接收者都可以获知其他用户是否为合法接收者，无法真正实现匿名。为了解决上述问题，2015年Pang等人[6]提出了一个新的多接收者签密方案。更多有关多接收者的签密方案还有文献[7 - 9]。聚合技术可将多个发送者产生的多个消息聚合为单个消息且验证者能验证该消息签名的合法性。聚合技术极大地减少了签名验证的次数，可广泛地用于诸多实际应用。2009年Selvi等人[10]首先提出了基于身份的密码体制IBC (Identity-Based Cryptography)中的聚合签密的安全模型和安全证明，并给出了具体的方案。关于聚合的研究文献还有[11 - 14]。异构签密为采用不同密码技术进行通信的系统提供了安全保障。2000年，Sun等人[15]为PKI(Public Key Infrastructure)与IBC提出了两种类型的异构签密方案，但后续证明显示方案只满足外部安全性不能提供否认性。2011年，Huang等人[16]提出了一个满足内部安全的IBC到PKI的签密方案。2013年，Li等人[17]为PKI与IBC系统提出了两个均满足内部安全的签密方案。国内有关异构签密的文献较少，作者可以查到的文献有文献[18 - 20]，且主要为PKI到IBC或无证书密码体制CLC (Certificateless Cryptography)之间的通信。基于实际应用，He等人[21]为车载自组织网络VANET (Vehicular Ad-hoc NETwork) 在IBC中提出了一个可实现相互认证及隐私保护的方案，同样Kamat等人[22]的方案也讨论了IBC中VANET各实体间的通信安全。Zhang等人[23]讨论了CLC中移动自组织网络的加密，Horng等人[24]在CLC中为VANET提出了一个可实现有条件隐私保护的聚合签名方案。

基于VANET的实际情况，本文为可用于VANET中各实体间安全通信的CLC到IBC的可实现隐私保护的多接收者聚合签密方案。采用典型的VANET结构：服务中心为信任机构TA (Trusted Authority)，拥有最高管理权限负责系统的初始化与维护,对车载通信单元OBU (On Board Unit) 和路边单元RSU (Road Side Unit) 进行登记管理及私钥的生成与分发，是一个完全可信的机构。交通管理中心及部署在道路两侧或十字路口的RSU等可为IBC中用户，负责对收到的消息解密后进行判断处理；同时，也能将有效消息聚合后转交上级服务器做处理。众多OBU则为CLC中的用户。其中，TA不但可以验证聚合签密密文的有效性，同时若有需要还可追溯CLC中车辆的真实身份。

方案的创新点如下：(1)提出了一个从CLC到IBC的异构聚合签密算法。(2)该算法为每个发送者生成一个伪随机序列，通信过程中发送者始终使用该伪随机序列为自己的身份信息进行通信，只允许信任机构追踪发送者的真实身份。同时，通过应用拉格朗日插值公式防止了向未授权接收者泄露合法接收者的身份信息，实现了用户隐私保护。(3)该方案允许多个发送者与多个接收者之间进行安全通信，有效提高了通信系统的效率。

网络媒介打破由传播者传输的单向模式，交互性是最大的特点。弹幕的优势在于:①传播的实时性，评论不再是放到评论区单独查看，而是及时的反馈到屏幕上方，只要看到此视频就可以实时互动；②传播的针对性，弹幕是由时间轴控制的，针对某段时间发表的评论；③传播的互动性，发表评论是对当前内容的反馈，可通过弹幕相互讨论，营造互动的学习氛围。

2 基础知识及困难问题假设

这部分将介绍方案所用到的基础知识及困难问题假设。

攻击阶段：F适应性执行多项式有界的询问。在签密询问中，F提交一个接收者的身份IDri和一个消息Mj给B。B运行签密预言机并返回密文σj。

双线性性：对任意P,Q,R∈G1和及e(aP,bQ)=e(P,Q)ab成立；

(2)用户钥提取：发送者选择一个秘密值XSj为自己的私钥，其公钥为PSj=XSj·P。

SIFT(Scale Invariant Feature Transform)全称尺度不变特征变换，是一种检测和描述图像中局部特征的算法，由David Lowe于1999年提出[文献]，原理是在不同的尺度空间寻找极值点(特征点)，计算位置、尺度、方向等信息，并把特征点用一个128维的特征向量进行描述。由于SIFT特征可以较好地描述目标的局部特性且对平移、旋转等变换保持不变，可以应用在视频图像的关键帧特征区域检测。

可计算性：对P,Q∈G1，存在有效算法计算e(P,Q)。

定义2(计算Diffie-Hellman问题CDHP(Computational Diffie-Hellman Problem))：G为素数阶q的循环加法群，P是群G的一个生成元，CDHP是给定P,aP,bP∈G，计算abP。

定义3(判定双线性Diffie-Hellman问题DBDHP(Decisional Bilinear Diffie-Hellman Problem))：给定两个阶为素数q的循环加法群G与循环乘法群GΤ，一个双线性映射e:G×G→GΤ，P是群G的一个生成元，DBDHP是给定(P,aP,bP,cP)和T∈GΤ，判断T=e(P,P)abc。

3 形式化定义

本节对算法进行形式化的定义并给出算法的安全模型。方案的安全性包括机密性和不可伪造性两个方面。

3.1 算法形式化定义

方案包括7个阶段：系统初始化、私钥生成 (CLC-KG)、密钥提取 (IBC-KG)、签密、解签密、聚合及聚合解签密。

系统初始化：输入安全参数k，返回系统公开参数及系统主密钥s。

CLC-KG：输入系统参数、主密钥s、用户身份信息(RIDj,IDj,1)及秘密值XSj，返回用户部分私钥DSj及用户公钥PSj。

IBC-KG：输入用户身份信息IDri，返回用户钥Dri。

签密： 输入消息Mj、身份IDSj、私钥(DSj,XSj)、接收者IDri及其公钥Qri和系统参数，输出对Mj的签密密文σj。

e(QSj,Ppub)e(PSj+hjRj,Q)

聚合：输入m个签密密文及其对应的发送者的身份输出聚合后的消息σ。

在机械工业产品的制造过程中，往往需要把各种各样加工好的零件按设计要求连接起来制作为成品，其中焊接就是将这些零件连接起来的一种常用的加工方法。目前，金属焊接作为机械设备制造与维修中一种基本的工艺方法，广泛应用于各工业部门。在焊接生产过程中，焊接设备是保证焊接生产过程顺利进行的基本条件，不同的焊接方法需要借助不同的焊接设备来实现。

聚合解签密：输入σ、发送者的身份及可用则进行解签密，否则输出⊥。

第一，施工单位要根据施工的综合要求合理配置人力资源，保证人尽其用，激发每一个施工人员的积极性和主动性，切实提高施工效率，维护施工进度。

3.2 安全模型

机密性定义为适应性选择密文攻击下的不可区分性 IND-CCA2 (Indistinguishability against Adaptive Chosen Ciphertext Attack)；不可伪造性定义为适应性选择消息攻击下的存在性不可伪造 EUF-CMA (Existential UnForgeability against Chosen Message Attack)。同时，本文方案的存在性不可伪造为单个消息的不可伪造及聚合消息的不可伪造。考虑到CLC系统中的密钥生成中心KGC (Key Generating Center)在VANET中充当TA的角色，是一个完全可信的机构，因此定义CLC系统中的攻击者为第一类攻击者，即不知道系统主密钥但是可以任意替换用户的公钥。现将文献[5,17,25]中多接收者签密、异构签密、无证书签密的安全模型进行扩展后，应用于该方案。

游戏1(机密性)该算法的适应性选择密文攻击游戏由3个阶段组成，是一个挑战者B与攻击者A间的游戏。

初始阶段：B运行系统初始化算法，将产生的系统参数发给攻击者A,输出n个挑战的身份

在嫁接之后要对嫁接苗利用拱棚覆盖进行温度管理，头3天白天保持28-30℃，夜间18-20℃，土温25℃左右。3天后逐渐降低温度，白天在25-27℃，夜间17-20℃。6天后可把小拱棚的薄膜掀开一部分，逐渐扩大，逐步降低空气相对湿度，8天后去掉小拱棚。

阶段1 攻击者A适应性地进行以下询问：

（3）地图内容复杂，按图面设计要素分为：点、线、面、文字等，其间的压盖关系按优先级遵循小压盖大，主要压盖次要，专题内容压盖地理地图内容的原则，点压线、线压面、面面之间小压大，文字注记保持完整，影像置于底层。由于地图大多线划精细、文字细小，色彩丰富，因此相互叠印关系复杂，CTP 技术的应用对多色套印的限制也较手工制版时大为降低，获得更完美的印刷效果。

密钥提取询问：A询问IDi(i∈{1,2,…,n})的密钥。如果则计算其私钥Di返回给A。

签密询问：攻击者A发送和消息Mj给B，B运行签密算法得到签密密文σj返回给A。

解签密询问：当时，B检查σj是否可用。可用则恢复消息Mj，否则输出⊥。

挑战阶段：A产生两个长度相同的明文Mj0,Mj1，将发送者IDSj的私钥DSj,接收者的公钥发送给不能是已经执行过密钥提取询问的身份。B随机选择β∈{0,1}签密Mjβ。最终B输出σ*返回给A。

第一，跟生产条件相联系，明确施肥量。在近些年来，各地有效开展测土配方施肥项目，深入研究小麦测土配方技术，掌握了在不同生态条件下小麦的施肥规律、供肥性能和肥料效应等参数，应按照不同的环境和条件，科学测量施肥量。

阶段2 A像阶段1一样发起一系列多项式有界的适应性询问。但是，这一阶段A不能进行L*的密钥提取询问及σ*的解签密询问。

猜测阶段：最后A输出β′∈{0,1}。如果β′=β，则B赢得游戏。

游戏2(不可伪造性)该异构签密算法的适应性选择消息攻击游戏由3个阶段组成，是一个挑战者B与攻击者F间的游戏。

初始阶段：B运行系统初始化算法，将产生的系统参数发给攻击者F，挑战身份为

定义1(双线性对) G1和G2分别是两个阶为素数q的循环加法群与循环乘法群，P是G1的一个生成元，定义一个双线性映射e:G1×G1→G2满足如下性质：

伪造阶段：F产生一个签密密文满足对于和IDri是一个合法的密文，且F没有询问过及某个接收者IDri的签密询问。

游戏3(不可伪造性)该异构聚合签密算法的适应性选择消息攻击游戏由3个阶段组成，是一个挑战者B与攻击者F1间的游戏。

初始阶段、攻击阶段：如游戏 2，挑战的身份为

伪造阶段：F产生一个聚合签密密文σ*。σ*满足对于和是一个合法的聚合签密密文，且F没有询问过及接收者的签密询问。

4 具体方案

(1)计算QSj=H1(IDSj)，hj=H4(Cj,Rj,PSj,IDSj)。

从图2可知：三江平原北部平原地区的径流深小于100.0 mm(多年平均降水量的17.5%)，大部分地区小于75.0 mm(多年平均降水量的13.2%)。根据表1，安邦河、挠力河、同抚和萝北地区多年平均降水量为574.0 mm,按最小值521.7 mm计算，至少有446.7 mm的降水处于蒸发和渗漏状态。通常降水期间渗漏量是大于蒸发量的；再者图2是根据蓄满产流模型计算的，因此，该地区的入渗降水量应当大于230.0 mm。

系统初始化：输入安全参数k，G1、G2分别是阶为素数q的循环加法群和循环乘法群，P、Q是G1中两个不同的生成元，e为一个可用的双线性映射。KGC随机选取计算Ppub=sP，选择四个安全的Hash函数为消息长度。公开系统参数〈q,G1,G2,e,P,Q,Ppub,H1,H2,H3,H4〉，保密s。

CLC-KG： CLC系统中的发送者Sj(j∈{1,2,…,m})通过以下方式产生IDSj及其对应的私钥，后续过程中发送者始终使用IDSj进行匿名通信。由于IDSj是在用户自己选取的秘密值与KGC的共同作用下生成的，所以只允许KGC追踪发送者的真实身份，实现了发送者的隐私保护。

(1)匿名及部分私钥提取：发送者随机选取计算IDj,1=kjP，将(RIDj,IDj,1)通过安全信道发送给KGC，其中RIDj为发送者的真实身份。KGC选择一个安全的Hash函数计算IDj,2=RIDj⊕H0(sIDj,1)，将IDSj=(IDj,1,IDj,2)作为发送者的身份KGC为其计算部分私钥DSj=sQSj，其中QSj=H1(IDSj)。将DSj通过安全信道发送给该用户。

非退化性：存在P,Q∈G1，使得e(P,Q)≠1；

为此对焊枪进行定位，将焊枪(定位套筒)固定，如图3示意。定位套筒与焊枪螺纹连接，定位套筒通过C型爪，固定于气动导轨上。焊枪通过气压作用，在垂直方向上，仅可以通过导轨活动，焊接时，仅需提供在垂直方向的下压力，以此保证焊枪与工件的垂直关系。

IBC-KG：KGC为IBC系统中的接收者IDri( i=1,2,…,n)计算公私钥Qri=H1(IDri)，Dri=s·Qri。

签密：发送者Sj通过以下方式签密消息Mj后发送给多个接收者

采用机械挖土将基坑开挖至水层约-1.5m处，测量确定井点位置，然后在井位挖一个土坑，深度约为0.5m，以利于冲击孔时集水、埋管和灌砂，并将小坑之间用水沟与集水坑连接排水[2]。

(1)随机选取计算Rj=rjP，ωj=e(Ppub,Pj)rj，Cj=H2(ωj)⊕Mj。

3.认识困境。在网络反恐国际合作进程中，不容忽视的一个阻碍为国家之间意识形态差异导致的认识困境。每个国家都有自己的文化和价值体系，在此基础上形成不同的意识形态，反映在网络反恐中，表现为对打击恐怖主义的方式、策略、手段等的不同，部分国家对恐怖主义的看法和对打击恐怖主义方式上存异，是难以形成反恐合力的现实因素。这也符合构建主义合作观下对文化认同的基本界定。

(2)对i=1,2,…,n，计算其中ai,1,ai,2,…,ai,n∈Zq。

(3)对i=1,2,…,n，计算令Tj=(T1j,T2j,…,Tnj)。

(4)计算hj=H4(Cj,Rj,PSj,IDSj)，Sj=DSj+(XSj+hjrj)·Q。

(5)则Sj签密后的消息为σj=(Rj,Cj,Tj,Sj)。

解签密：接收者IDri(i∈{1,2,…,n})收到发送者Sj(j∈{1,2,…,m})用身份IDSj进行签密的密文σj(j∈{1,2,…,m})后执行以下解签密步骤：

(1)计算QSj=H1(IDSj)，hj=H4(Cj,Rj,PSj,IDSj)。

(2)检查等式e(Sj,P)=e(QSj,Ppub)e(PSj+hjRj,Q)是否成立。如果成立则接受σj进行下列计算;否则输出⊥结束解签密。

(3)计算

(4)计算

(5)消息Mj=H2 (ωj′)⊕Cj。

聚合：此外，每个接收者可对收到的多个消息进行聚合亦可验证聚合消息的正确性。本文考虑m个发送者，其身份、对应的公钥及签密后的消息分别为接收者计算则聚合后的消息为

聚合解签密：每个接收者可验证聚合消息是否有效。

给出一个多发送者到多接收者的异构聚合签密方案，允许m个CLC中的发送者与n个IBC中的接收者进行安全通信。

(2)检查等式是否成立。如果成立则消息可用，接收者通过解签密的步骤恢复消息Mj，否则输出⊥丢弃σ。

在上述方案中，主密钥s仅为KGC所有，因此KGC可以通过IDSj=(IDj,1,IDj,2)计算RIDj=IDj,2⊕H0(sIDj,1)来追踪发送者Sj(j∈{1,2,…,m})的真实身份。

e(DSj,P)e((XSj+hjrj)·Q,P)=

签名可以正确验证，接收者可以正确解密。

(1)签名验证：

有QSj=H1(IDSj)，hj=H4(Cj,Rj,PSj,IDSj)，则

定干能减少树体对营养和水分的消耗，能集中营养，促进剪口下芽子的萌发，明显提高成活率。苹果树根据树形要求及苗木质量进行定干，一般高度为80～100厘米。选择迎风方向，并且在饱满芽位置上方适当距离定干，剪口距离饱满芽0.5厘米，定干之后应注意剪口的保护，可以涂抹愈伤膏等药剂保护伤口。

e(Sj,P)= e(DSj+(XSj+hjrj)·Q,P)=

正确性证明：

e(DSj,P)e((XSj+hjrj)·P,Q)=

解签密： 输入签密密文σj、接收者IDri的用户钥Dri、身份IDSj的公钥PSj和系统参数，输出Mj或⊥。

(2)解密验证：

(a1,1 +a1,2 xi+…+a1,n xin-1)×rj(Pj+Qr1 )+(a2,1 +a2,2 xi+…+a2,n xin-1)×rj(Pj+Qr2 )+…+(ai,1 +ai,2 xi+…+ai,n xin-1)×rj(Pj+Qri)+…+(an,1 +an,2 xi+…+an,n xin-1)×rj(Pj+Qrn )=rj(Pj+Qri)

因此,

 

e(Ppub,rj(Pj+Qri))e(Rj,Dri)-1=

e(Ppub,rjPj)e(Ppub+rjQri)e(Rj,Dri)-1=

如果一个穷小子冒充有钱人和你恋爱，然后被你发现。你会如何反应？据某网络调查：90%的人选项是：坚决断绝关系，诚实是最重要的品质之一。这个网站又出了一道题：如果一个有钱人冒充穷人和你恋爱，然后被你发现，你会如何反应？90%的人选项是：继续交往，我爱的是他的人，又不是他的钱。

e(Ppub,Pj)rje(Rj,Dri)e(Rj,Dri)-1=

e(Ppub,Pj)rj

有：⊕Cj。

5 安全性分析

下面分析所提算法的安全性。其中，Hi(i=1,2,3,4)为随机预言机，攻击者最多能进行qHi次Hi的询问，qs次签密询问，qd次解签密询问，qppk次部分钥提取询问，qsk次私钥提取询问，qpk次公钥询问及qpkr次公钥替换。

5.1 机密性

定理1 在随机预言模型中，如果一个敌手A能以ε的优势在所提IND-CCA2游戏1中成功攻击文中方案，则存在一个算法B能以ε′≥ε-(nqH1qd)/2k的优势解决DBDHP。

证明 下面描述B如何利用A来解决一个随机的DBDHP实例(P,aP,bP,cP)。

初始阶段：B为身份IDSj,j∈{1,2,…,m}，运行系统初始化算法将系统参数〈G1,G2,e,P,Ppub,Pj,H1,H2,H3,H4〉发送给A，其中为n个目标身份。

阶段1 A发起一系列询问。B为了回答A的询问保持四张表Hi-list(i=1,2,3,4)，用于跟踪A对随机预言机Hi(i=1,2,3,4)的询问。

H1询问：输入IDi，如果(IDi,ti,Qi)在表H1-list中，直接返回Qi。若不在表中：当时，随机选取否则Qi=tiP-Pj。在表H1-list中插入(IDi,ti,Qi)，返回Qi。

Hi(i=2,3,4)询问：当收到Hi(i=2,3,4)询问时，若相关询问在表Hi-list(i=2,3,4)中则直接返回给A。否则，随机选取一个数返回给A并将询问插入到表Hi-list(i=2,3,4)中。

密钥提取询问：A询问IDi的密钥。如果IDi≠则在H1-list中查找(IDi,ti,Qi)，计算其私钥为Di=tiPpub并返回给A；否则输出⊥。

签密询问：收到一个(Mj,IDSj,L)的签密询问。当时，B通过密钥提取询问得到IDSj的私钥并以如下步骤得到σj：

(1)随机选取计算Rj=rjP，ωj=e(Ppub,Pj)rj，Cj=H2(ωj)⊕Mj。

(2)对i=1,2,…,n，计算其中ai,1,ai,2,…,ai,n∈Zq。

(3)对i=1,2,…,n，计算令Tj=(T1j,T2j,…,Tnj)。

(4)B随机选取将记为随机预言机H4(Cj,Rj,PSj,IDSj)的输出。计算

(5)最后B得到PSj=vjP，σj=(Rj,Cj,Tj,Sj)返回给A。

解签密询问：收到关于(σj,IDSj,IDri) 的解签密询问。当时,B可以计算hj=H4(Cj,Rj,PSj,IDSj)并检查等式e(Sj,P)=e(QSj,Ppub)e(PSj+hjRj,Q)是否成立。如果成立则接受σj进行下列计算，否则输出⊥。

(1)通过查找H1-list计算得到IDri的私钥Dri。

(2)计算

(3)计算得到⊕Cj。

挑战阶段：A输出两个长度相同的明文Mj0,Mj1及发送者的私钥DSj给B，B随机选择β∈{0,1}来签密Mjβ。首先B通过查找H1-list得到的公钥及然后计算得到最终输出其中将σ*返回给A。

阶段2 A像阶段1一样发起一系列多项式有界的适应性询问。但是，这一阶段A不能进行的密钥提取询问及σ*的解签密询问。

猜测阶段：最后A输出一个β′∈{0,1}。如果β′=β，那么则B成功解决了DBDHP。因为

下面分析B成功解决DBDHP的优势。对于qd次解签密询问，拒绝一个合法签密的概率不超过nqd/2k。如果A赢得IND-CCA2游戏，则算法B解决DBDHP的优势为ε′≥ε-(nqH1qd)/2k。

□

5.2 不可伪造性

根据本文3.2节所定义的安全模型，方案中CLC系统的攻击者均为第一类攻击者，即不知道系统主密钥但可以替换用户的公钥。不可伪造性考虑为单个消息的不可伪造及聚合消息的不可伪造。

定理2 在随机预言模型中，假设CDHP是困难的，文中所提聚合异构签密方案是EUF-CMA安全的。

证明 这个定理是由引理1和引理2得到的。

□

引理1 在随机预言模型中，如果一个敌手F能以ε的优势在所提EUF-CMA游戏2中为文中所提方案的单个消息成功伪造一个签密，则存在一个算法B能以ε′≥(ε-qs/2k)(1-1/qppk)qppk的优势解决CDHP。

证明 下面描述B如何利用F来解决一个随机的CDHP实例(P,aP,bP)。

初始阶段：B运行系统初始化算法，随机选取将系统参数〈G1,G2,e,P,Ppub,Q,H1(i=1,2,3,4)〉发送给F，要挑战的身份为

攻击阶段：F发起一系列询问。B为了回答F的询问保持四张表Hi-list(i=1,2,3,4)，用于跟踪F对随机预言机Hi(i=1,2,3,4)的询问。此外，B还需要维护PK-list列表，用于存储公钥信息。

H1询问：收到一个(IDSj,w1j,QSj)询问。如果(IDSj,w1j,QSj)在表H1-list中，直接返回QSj。若不在表中：当时，随机选取否则QSj=w1jbP。将(IDSj,w1j,QSj)插入表H1-list中，返回QSj。

H2询问：收到一个H2询问时，B随机选取作为哈希函数H2的值返回。

Hi(i=3,4)询问：当收到Hi(i=3,4)询问时，若相关询问在表Hi-list(i=3,4)中则直接返回给F。否则，随机选取一个数返回给F并将询问插入到表Hi-list(i=3,4)中。

部分私钥提取询问：收到关于身份IDSj的部分私钥提取询问时，B可在表H1-list中查找(IDSj,w1j,QSj)，计算DSj=w1jPpub返回给F。

公钥询问：收到一个(IDSj,xj,PSj)询问。如果(IDSj,xj,PSj)在表PK-list中，直接返回PSj。否则随机选取将(IDSj,xj,PSj)插入表PK-list中，返回PSj。

私钥提取询问：收到IDSj的私钥提取询问。如果IDSj的公钥已被替换，输出⊥。否则在表PK-list中查找(IDSj,xj,PSj)，将 xj作为输出。

公钥替换：当F想将IDSj的公钥PSj替换为时，B在表PK-list中查找(IDSj,xj,PSj)将其换为即

签密询问：收到一个(Mj,IDSj,L)的签密询问，其中若 则B执行算法的签密步骤，因为B知道发送者的私钥。否则，以如下步骤得到σj:

(1)随机选取计算⊕Mj。

(2)对i=1,2,…,n，计算其中ai,1,ai,2,…,ai,n∈Zq。

(3)对i=1,2,…,n，计算令Tj=(T1j,T2j,…,Tnj)，Sj=PSj+hjrjQ。

(4)最后B得到σj=(Rj,Cj,Tj,Sj)返回给F。

伪造阶段：F输出若输出⊥。否则根据分叉引理，B选择一个不同的哈希函数h'*与F以同样的方式进行互交得到另一个则有与分别满足等式：与可以计算最后输出为CDHP实例的解。

下面分析F成功解决CDHP的优势。签密询问阶段B失败的概率至多为qs/2k，部分私钥提取询问阶段B停止的概率至多为1/qppk。如果F赢得EUF-CMA游戏，则算法B解决CDHP的优势为ε′≥(ε-qs/2k)(1-1/qppk)qppk。

□

引理2 在随机预言模型中，如果一个敌手F1能以ε的优势在所提EUF-CMA游戏3中为文中聚合签密方案成功伪造一个聚合签密，则存在一个算法B能以ε′≥(ε-qs/2k)(1-1/(qsk+m))qsk+m-1的优势解决CDHP。

证明 下面描述B如何利用F1来解决一个随机的CDHP实例(P,aP,bP)。

初始阶段、攻击阶段：与引理1中相同。

伪造阶段：F1输出及其对应的公钥个消息及聚合后的消息则聚合后的消息σ*一定满足聚合解签密验证等式：其中最后B输出为CDHP实例的解。

下面分析F1成功解决CDHP的优势。签密询问阶段B失败的概率至多为qs/2k，私钥提取询问阶段B失败的概率至多为1/(qsk+m)。如果F1赢得EUF-CMA游戏，则算法B解决CDHP的优势为ε′≥(ε-qs/2k)(1-1/(qsk+m))qsk+m-1。

□

6 数值实验

本节主要说明所提方案的计算效率。在Linux操作系统下利用双线性对包(pairing-based cryptography library)[26] ,用C语言编程实现Pang等人[8]的多接收者方案、Eslami等人[14]的多发送者方案及本文所提方案。在2.9 GHz CPU，4 GB RAM PC机上运行。实验结果如图1和图2所示(所使用的椭圆曲线基域为512 bits)：

首先，对比所提方案与Pang等人[8]的多接收者方案的解签密效率。设置发送者个数为m=1，接收者个数n=10,50,100,200,500时，实验结果如图1a所示。设置发送者个数为m=50，接收者个数n=10,50,100,200,500时，实验结果如图1b所示。从图1a可以看出，当只有单个发送者时，文献[8]所提方案效率优于本文所提方案。但是，当需要传输的消息较多时，从图1b可以看出本文所提方案效率明显优于文献[8]所提方案 。

  

Figure 1 De-signcryption time图1 解签密所用时间

其次，将所提方案与Eslami等人[14]的多发送者方案进行对比。设置接收者个数为n=50，发送者或消息个数为m=10,50,100,200,500。由图2可以看出，本文方案在签密及解签密阶段的效率均优于文献[14]所提方案。

  

Figure 2 Signcryption and De-signcryption time图2 签密、解签密所用时间

7 结束语

本文提出了一个多用户隐私保护的异构签密方案并在此基础上同时实现了多个消息的聚合。方案保留了CLC及聚合签密的优点，在随机预言模型下证明了方案的安全性基于CDHP和DBDHP。对比已有方案，所提算法有效地提高了计算效率，更适合于大数据时代下的网络环境。

参考文献:

[1] Bellare M,Boldyreva A,Micali S.Public-key encryption in a multi-user setting:Security proofs and improvements[C]∥Proc of EUROCRYPT 2000,2000:259-274.

[2] Duan Shan-shan,Cao Zhen-fu.Efficient and provably secure multi-receiver identity-based signcryption[C]∥Proc of ASIACRYPT 2005, 2005:195-206.

[3] Zheng Yu-liang.Digital signcryption or how to achieve cost(signature & encryption)≪cost(signature)+cost(encryption)[C]∥Proc of CRYPTO’97,1997:165-179.

[4] Lal S,Kushwah P.Anonymous id based signcryption scheme for multiple receivers:report 2009/345[S.l]:Cryptology Eprint Archive,2009.

[5] Pang Liao-jun,Gao Lu,Pei Qing-qi,et al.Fair and anonymous id-based multi-receiver signcryption[J].Journal on Communications,2013,34(8):161-168.(in Chinese)

[6] Pang Liao-jun,Gao Lu,Li Hui-xian,et al.Anonymous multi-receiver id-based signcryption scheme[J].IET Information Security,2015,9(3):194-201.

[7] Li Hui-xian,Ju Long-fei.Security analysis and improvement of an anonymous multi-receiver signcryption scheme[J].Acta Electronica Sinica,2015,43(11):2187-2193.(in Chinese)

[8] Pang Liao-jun,Li Hui-xian,Gao Lu,et al.Completely anonymous multi-recipient signcryption scheme with public verification[J].Plos One,2013,8(5):e63562.

[9] Chen Ming. Identity-based multi-recipient signcryption key encapsulation in the standard model[J].Computer Engineering & Science,2015,37(4):719-725.(in Chinese)

[10] Selvi S S D,Vivek S S,Shriram J,et al.Identity based aggregate signcryption schemes[C]∥Proc of Cryptology—Indocrypt 2009,2009:378-397.

[11] Zhang Lei,Zhang Fu-tai.A new certificateless aggregate signature scheme[J].Computer Communications,2009,32(6):1079-1085.

[12] Xiong Hu,Guan Zhi,Chen Zhong,et al.An efficient certificateless aggregate signature with constant pairing computations[J].Information Sciences,2013,219(10):225-235.

[13] Han Yi-liang,Chen Fei.The multilinear maps based certificateless aggregate signcryption scheme[C]∥Proc of International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery,2015:92-99.

[14] Eslami Z, Pakniat N.Certificateless aggregate signcryption[J].Journal of King Saud University—Computer and Information Sciences,2014,26(3):276-286.

[15] Sun Yin-xia,Li Hui.Efficient signcryption between tpkc and idpkc and its multi-receiver construction[J].Science China Information Sciences,2010,53(3):557-566.

[16] Huang Qiong, Wong D S,Yang Guo-min.Heterogeneous signcryption with key privacy[J].The Computer Journal,2011,54(4):525-536.

[17] Li Fa-gen,Zhang Hui,Takagi T.Efficient signcryption for heterogeneous systems[J].IEEE Systems Journal,2013,7(3):420-429.

[18] Lu Xiu-hua,Wen Qiao-yan,Wang Li-cheng.A lattice-based heterogeneous signcryption[J].Journal of University of Electronic Science and Technology of China,2016,45(3):458-462.(in Chinese)

[19] Zhang Yu-lei,Zhang Ling-gang,Zhang Yong-jie,et al.CLPKC-to-TPKI heterogeneous signcryption scheme with anonymity[J].Acta Electronica Sinica,2016,44(10):2432-2439.(in Chinese)

[20] Liu Jing-wei,Zhang Li-huan,Sun Rong.Mutual signcryption schemes under heterogeneous systems[J].Journal of Electronics & Information Technology,2016,38(11):2948-2953.(in Chinese)

[21] He De-biao,Zeadally S,Xu Bao-wen,et al.An efficient identity-based conditional privacy-preserving authentication scheme for vehicular ad hoc networks[J].IEEE Transactions on Information Forensics & Security,2015,10(12):1.

[22] Kamat P,Baliga A,Trappe W.Secure,pseudonymous,and auditable communication in vehicular ad hoc,networks[J].Security & Communication Networks,2008,1(3):233-244.

[23] Zhang Zhen-fei,Susilo W,Raad R.Mobile ad-hoc network key management with certificateless cryptography[C]∥Proc of International Conference on Signal Processing and Communication Systems,2009:1-10.

[24] Horng S J,Tzeng S F,Huang P H,et al.An efficient certificateless aggregate signature with conditional privacy-preserving for vehicular sensor networks[J].Information Sciences,2015,317(C):48-66.

[25] Barbosa M, Farshim P.Certificateless signcryption[C]∥Proc of ACM Symposium on Information,Computer and Communications Security,2008:369-372.

[26] The pairing-based cryptography library[EB/OL].[2015-02-01].http://crypto.stanford.edu/pbc/.

附中文参考文献：

[5] 庞辽军,高璐,裴庆祺,等.基于身份公平的匿名多接收者签密方案[J].通信学报,2013,34(8):161-168.

[7] 李慧贤,巨龙飞.对一个匿名多接收者签密方案的安全性分析与改进[J].电子学报,2015,43(11):2187-2193.

[9] 陈明.标准模型下基于身份的多接收者签密密钥封装[J].计算机工程与科学,2015,37(4):719-725.

[18] 路秀华,温巧燕,王励成.格上的异构签密[J].电子科技大学学报,2016,45(3):458-462.

[19] 张玉磊,张灵刚,张永洁,等.匿名CLPKC-TPKI异构签密方案[J].电子学报,2016,44(10):2432-2439.

[20] 刘景伟,张俐欢,孙蓉.异构系统下的双向签密方案[J].电子与信息学报,2016,38(11):2948-2953.