安全高效的无证书签密方案

苏靖枫 柳菊霞

摘要：已有的无证书签密方案大都存在安全性及通信效率等方面的问题。通过对现有研究成果的分析，该文提出了一种安全高效的无证书签密方案。新方案无须借助安全信道生成秘钥，通信复杂度较低。安全性分析表明，在随机预言模型下，新方案可以抵抗两类敌手的伪造攻击。性能分析表明，新方案在签密和解签密算法中仅需要九次点乘运算，具有较高的效率。

关键词：无证书;签密;随机预言模型

中图分类号：TP309        文献标识码：A

文章编号：1009-3044（2022）13-0024-04

在公钥基础设施（Public Key Infrastructure，PKI）中，为了保证用户网上交易的安全性，用户必须拥有自己的数字证书，而数字证书的生成、发放和管理由第三方机构（证书机构）负责完成。一旦用户量增大，证书管理将会消耗大量的系统资源。1984年，Shamir提出了一种基于身份的密码体制[1]，用户的公钥由标识用户身份的信息实现。然而，由于KGC（Key Generation Center）生成用户的私钥，用户的签名很容易被恶意的KGC伪造。为了解决上述问题，2003年，AI-riyami等人[2]第一次提出了一种无证书公钥密码系统，KGC仅生成用户的部分私钥，用户的私钥由部分私钥和用户自己随机选择的秘密值共同组成。这样不仅解决了基于身份的密码体制存在的密钥托管问题，而且克服了传统公钥密码体制存在的证书管理问题。

在具体应用中，为了实现保密和认证两个安全目标，传统方式通常会对消息先签名后加密。1997年，签密的概念与具体的签密方案被Zheng[3]首次提出，签密方案具有计算量少、效率高的优势。2008年，Barbosa等人[4]提出了第一个无证书签密方案，该方案同时具有无证书密码体制和签密方案的优点，但存在可扩展伪造攻击威胁。随后，两种不同的无证书签密方案相繼被Aranha等人[5]和Wu等人[6]分别提出，但两种方案都存在安全保密性问题[7]。在2010年，一种标准模型下的无证书签密方案被Liu等人[8]提出，但面对恶意且被动的KGC时，方案存在安全风险[9]。

分析表明，以上提到的无证书签密机制存在各种安全问题，并且都使用了双线性对操作。因此，安全高效的无证书签密机制成为新的研究热点。文献[10-11]指出进行一次双线性对操作花费的时间大约是椭圆曲线上点乘运算的21倍。因此，无双线性配对的无证书签密方案更有效。一种无双线性对操作的无证书签密方案被Barreto等人[12]提出，但文献[13]指出该方案不能抵抗类型I敌手的攻击。为改进性能，Xie等人[14]提出了一种不含双线性对运算的无证书签密方案，尽管与Barreto等人[12]提出的方案相比，具有较高的效率，但该方案需要验证用户公钥，违背了无证书密码体制的思想。随后，几种新的无双线性对的无证书签密方案相继被提出[15-19]。但文献[18]指出文献[15]中的方案不能抵抗类型I敌手的伪造攻击，而文献[16]中的方案在面对不诚实的KGC时存在安全风险，并且在秘钥生成阶段，已有的无证书签密方案均需要借助安全信道。因此，有必要设计出安全高效的无证书签密方案以适应目前网络环境下对签密算法的需求。

在文献[15]方案的基础上，本文提出一种安全高效的无证书签密方案。该方案基于无证书签密模型[20]，在随机预言模型下，被证明是安全的，并且秘钥生成无须借助安全信道，性能效率分析较为理想。

1计算困难问题

1）计算Diffie-Hellman困难问题（ComputationalDiffie-Hellman Problem，CDHP）：设G是一个阶为q的加法循环群，P是它的一个生成元，给定[aP，bP∈G]，对任意未知的[a，b∈z?q]，计算[abP]。

2）离散对数问题（Discrete Logarithm Problem，DLP）：设G是一个循环群，阶为q，P是它的一个生成元，给定[P，aP∈G]，对任意未知的[a∈z?q]，计算a。

2无双线性对的无证书签密方案

本文提出一个无双线性对的无证书签密方案，具体实现过程如下。

1） 系统参数的建立

输入一个安全参数k，生成大素数p和q，且两者满足q∣p-1。G是椭圆曲线上的一个循环群，P是G中任意一个阶为q的生成元，选择[H1：0，1?×G→Z?q]，[H2：0，1?→Z?q]和[H3：G→Z?q]三个安全的哈希函数，明文可为任意比特长度的消息m， KGC随机选择[z∈Z?q]作为主密钥秘密保存，并计算系统公钥[Ppub=zP]，最后公开系统参数[（p，q，Ppub，H1，H2，H3）]。

2）生成用户密钥

用户[IDi]随机选取一个秘密值[xi∈Z?q]，并计算[Xi=xiP]，然后将[Xi]发送给KGC。KGC收到[Xi]后，随机选择[ri∈Z?q]，并计算[Ri=riP]、[di=ri+zH1（IDi，Ri，Xi）+H3（zXi）]，然后将[（Ri，di）]发送给[IDi]，此阶段用户和KGC通信无须借助安全信道。

用户[IDi]收到[（Ri，di）]后，首先通过验证等式[Ri+PpubH1（IDi，Ri，Xi）+PH3（xiPpub）=diP]是否成立，确保接收的信息是有效的。然后计算自己的部分私钥[Di=di-H3（xiPpub）]。另外，KGC可以计算出用户[IDi]的部分私钥[Di=ri+zH1（IDi，Ri，Xi）]，而其他任何人要想通过[Ppub=zP]和[Xi=xiP]计算出[zxiP]，则要面临CDHP困难问题。

这样，用户A的私钥为[SKA=（DA，xA）]，公钥为[PKA=（RA，XA）]，用户B的私钥为[SKB=（DB，xB）]，公钥为[PKB=（RB，XB）]。

3）签密

用户A选取随机数[a∈Z?q]，计算[TA=aXB/xA]、[h=H2（TA，IDA，IDB，m）]和[s=a/（xA（xA+DA+h））]得到签名[（h，s）]，接着计算[h1=H1（IDB，RB，XB）]、[VA=a（XB+RB+h1Ppub）/xA]和[C=H3（VA）⊕m]，发送签密消息[σ=（h，s，C）]给用户B。

4） 解密验证

收到密文[σ]后，用户B计算[h1′=H1（IDA，RA，XA）]，[VB=s（xB+DB）（XA+RA+h1′Ppub+hP）]，恢复出消息[m=H3（VB）⊕C]。然后验证等式（1）是否成立，如果等式成立，用户B就接受消息m 。

[h=H2（sxB（XA+RA+h1′Ppub+hP），IDA，IDB，m）]    （1）

3方案分析

3.1 正确性

1） 验证签名的正确性

[sxB（XA+RA+h1′Ppub+hP）]

[=（a/（xA（xA+DA+h）））×（xA+rA+h1′z+h）XB]

[=（a/（xA（xA+DA+h）））×（xA+DA+h）XB]

[=aXB/xA]

[=TA]

因此，等式（1）成立，签名验证通过。

2） 验证消息的正确性

[VB=s（xB+DB）（XA+RA+h1′Ppub+hP）]

[=（a/（xA（xA+DA+h）））（xB+DB）（xA+rA+h1′z+h）P]

[=（a（xB+DB）P）/xA]

[=（a（XB+RB+h1Ppub））/xA]

[=VA]

已知有[C=H3（VA）⊕m]，因此可由[H3（VB）⊕C]恢复出消息[m]。

3.2 安全性分析

接下来在随机预言模型下给出本文方案的安全性证明。

定理1（类型[Ι]攻击下的方案保密性）假设存在一个敌手[A1]能够在概率多项式时间内以优势[ε]在定义1[15]中的游戏中获胜（最多[qi]次[Hi]询问（i=1，2，3），[qs]次签密询问，[qun]次解签密询问），挑战者Q则能够在概率多项式时间内以[AdυIND-CCA2（A1）]≥[（ε/q13）（1-qs（2q2+q3+2qs）/2k）（1-qun/2k）]的优势解决CDH问题。

证明：假设Q是挑战者，其通过输入（uP， vP），利用[A1]解决CDH问题，即计算出uvP。Q设置[y=uP]，遵照游戏规则，Q需要发送信息[（p，q，P，y，H1，H2，H3）]给[A1]。Q保存列表[L=（L1，L2，L3，LD，LSK，LPK，LS，LU）]，用来存储[A1]对预言机[H1]、[H2]、[H3]、部分私钥、私钥、公钥、签密及解签密等的询问，列表L初始化为空。

[H1]询问：列表[L1]的格式为[（ID，R，X，h1，c）]，当收到[A1]對[H1（IDi，Ri，Xi）]的询问时，如果列表中存在[（ID，R，X，h1）]，Q就将相应的值返回给[A1];否则，Q将随机选择[c∈{0，1}]，其中[Pr[c=1]=δ]，当[c=0]时，Q随机选择[h1∈Zq?]，在列表[L1]中加入[（ID，R，X，h1，c）]，并返回[h1]给[A1];当[c=1]时，令[h1=k]，并返回[k]给[A1]。

[H2]询问：列表[L2]的格式为[（IDA，IDB，T，m，h2）]，当收到[A1]对[H2（IDA，IDB，T，m）]的询问时，如果列表中存在[（IDA，IDB，T，m，h2）]，Q就将相应的值返回给[A1];否则，Q随机选择[h2∈Zq?]，在列表[L2]中加入[（IDA，IDB，T，m，h2）]，并返回[h2]给[A1]。

[H3]询问：列表[L3]的格式为[（V，h3）]，当收到[A1]对[H3（V）]的询问时，如果列表中存在[（V，h3）]，Q就将相应的值返回给[A1];否则，Q随机选择[h3∈Zq?]，在列表[L3]中加入[（V，h3）]，并返回[h3]给[A1]。

部分私钥提取询问：如果列表[LD]中存在[（ID，D，R）]，就将相应的值返回给[A1];否则，Q随机选择[D，h1∈Zq?]，计算[R=DP-h1y]，在列表[LD]中加入[（ID，D，R）]，列表[L1]中加入[（ID，R，h1）]，并返回[（R，D）]给[A1]。

私钥提取询问：如果列表[LSK]中存在[（ID，D，x）]，就返回给[A1];否则，Q从列表[LD]中获取[D]，并随机选择[x∈Zq?]，然后在列表[LSK]中加入[（ID，D，x）]。

公钥提取询问：列表[LPK]的格式为[（ID，R，X，c）]，当收到[A1]对[（ID，R，X）]的询问时，如果列表中存在[（ID，R，X）]，Q就将相应的值返回给[A1];否则，Q查询列表[LD]和[LSK]，计算[Xi=xiP]，在列表[LPK]中加入[（ID，R，X）]，并将[R，X]返回给[A1]。如果列表[LD]和[LSK]中不存在，Q就查询列表[L1]：若[c=1]，Q随机选择[r，x∈Z?q]，计算[R=rP]，[X=xP]，在列表[LPK]中加入[（ID，R，X，c）]，并返回[R，X];若[c=0]，则执行部分私钥提取询问，获得[R，D]，Q随机选择[x∈Zq?]，在列表[LSK]中加入[（ID，D，x）]，列表[LPK]中加入[（ID，R，X，c）]，并返回[（R，X）]。

公钥替换询问：[A1]可以选择一个新公钥将签名者[ID]的公钥替换。

签密询问： Q从列表[LPK]中查询[（IDB，RB，XB，c）]，若[c=1]，则放弃;否则，Q首先查询列表[（IDA，DA，xA）]，接着随机选择[a∈Zq?]，然后计算[TA=aXB/xA]，[h1=H1（IDB，RB，XB）]，[h=H2（TA，IDA，IDB，m）]，[s=a/（xA（xA+DA+h））]，[V=a（XB+RB+h1Ppub）/xA]，完成签密[C=H3（V）⊕m]，最后将签密消息[σ=（h，s，C）]返回给用户[A1]。

解签密询问：Q在列表[LPK]中查询[IDA]：①如果[IDA]存在且[c=0]，Q就接着在列表[LSK]中查询[（IDB，DB，xB）]的值，在列表[L1]中查询[（IDA，RA，XA，h1′）]的值，并利用掌握的信息计算[V=s（xB+DB）（XA+RA+h1′Ppub+hP）]，[T=sxB（XA+RA+h1′Ppub+hP）]，[m=H3（V）⊕C]，若等式[H2（T，IDA，IDB，m）=h]成立，则返回[m]，否则终止模拟;②如果[IDA]存在且[c=1]，Q就接着在[L1]中查询[（IDA，RA，XA，h1′）]是否存在，若存在[（m，IDA，IDB，T，h2）∈L2]，[（V，h3）∈L3]，则返回[m]，否则终止模拟;③如果列表[LPK]中不存在[IDA]（即公钥被替換掉），Q就从列表[L1]中查询[（IDA，RA，XA，h1′）]，若存在[（m，IDA，IDB，T，h2）∈L2]和[（V，h3）∈L3]，则返回[m]，否则终止模拟。

对上述询问过程执行概率多项式次数之后，[A1]确定希望接受挑战的两个身份[（IDA，IDB）]和长度相同的两个不同明文[（m0，m1）]。若[c=0]，则终止模拟;否则，Q随机选择[a，h?∈Zq?]，[b∈{0，1}]，设[T=υP]，接着计算[h1=H1（IDB，RB，XB）]，[h=H2（T，IDA，IDB，m）]，伪造出挑战密文[σ?=（h?，s?，C?）]，然后发送给[A1]。执行第一阶段相同的询问，[A1]经过概率多项式次数查询后，输出[b]作为对[b]的猜测。如果[b=b]，由于Q知道替换过的公钥，那么Q可以输出[（V-XBT-RBT）×（1/k）=uυp]，其中[V=T（RB+XB+（h1y）/P）]，作为CDH问题的答案;否则，Q没能解决CDH问题。

若[A1]对[IDB]执行过部分私钥询问或私钥询问，则Q挑战失败，[A1]不执行这种查询的概率不少于[1q21];如果[A1]对[V]执行过[H1]询问，那么Q挑战失败，[A1]不执行这种查询的概率大于[1q1];考虑到[H2]、[H3]存在的碰撞问题，在执行签密询问时，Q终止其行为的概率为Pr1≤[qs（2q2+q3+2qs）/2k];Q拒绝有效密文的概率为Pr2≤[Pr2qun/2k]。据此，可计算得出Q能以[AdυIND-CCA2（A1）]≥[（ε/q13）（1-qs（2q2+q3+2qs）/2k）（1-qun/2k）]的优势解决CDH困难问题。

定理2（类型[ΙΙ]攻击下的方案保密性）假设存在一个敌手[A2]可以在概率多项式时间内以优势[ε]在定义2[15]中的游戏中获胜（设最多[qi]次[Hi]询问（i=1，2，3）），挑战者Q则能够在概率多项式时间内以[ε/q13]的优势解决CDH困难问题。

证明：假设Q是挑战者，其通过输入（uP， vP），利用[A2]解决CDH问题，即计算出uvP。敌手[A2]知道定理1中给定的所有条件和系统主密钥[z]。[A2]仅仅不能执行定理1中的公钥替换询问和部分私钥提取询问，并且除公钥提取询问之外，其他询问的方法同定理1。

公钥提取询问：列表[LPK]的格式为[（ID，R，X）]，收到[A2]对[（ID，R，X）]的询问时，如果列表中存在[（ID，R，X）]，Q就将相应的值返回给[A2];否则，Q查询列表[LD]和[LSK]，则可以得到R和x，计算[X=xP]，将[（ID，R，X）]加入列表[LPK]中，并将[R，X]返回给[A2]。如果列表[LD]和[LSK]中不存在，Q就查询列表[L1]：若[c=1]， Q随机选择[x∈Z?q]，设[R=uP]，计算[X=xP]，在列表[LPK]中加入[（ID，R，X）]，并返回[R，X];若[c=0]，则执行部分私钥提取询问，获得[R，D]，Q随机选择[x∈Zq?]，在列表[LSK]中加入[（ID，D，x）]，计算[X=xP]，在列表[LPK]中加入[（ID，R，X）]，返回[（R，X）]给[A2]。

对上述询问过程执行概率多项式次数之后，敌手[A2]输出希望接受挑战的两个身份[（IDA，IDB）]和长度相同的两个不同明文[（m0，m1）]。Q首先在表[L1]中查询[（IDB，RB）]，若[c=0]，终止模拟;否则，Q将对[IDB]执行公钥提取询问，确保[xB]已被保存，然后选择随机数[a，h?∈Zq?]，[b∈{0，1}]，设[T=υP]，接着计算[h1=H1（IDB，RB，XB）]和[h=H2（T，IDA，IDB，m）]，从而伪造出挑战密文[σ?=（h?，s?，C?）]，并发送给[A2]。执行第一阶段相同的询问，[A2]经过概率多项式次数查询后，输出[b]作为对[b]的猜测。如果[b=b]，由于Q知道系统主密钥z，那么Q可以输出[V-xBT?kzT=uυp]，其中[V=（T（RB+XB+（h1y））/P]，作为CDH困难问题的答案;否则，Q没能解决CDH问题。

若[A2]对[IDB]执行过部分私钥询问或私钥提取询问，则Q挑战失败，敌手[A2]不执行这种询问的概率不少于[1q21];如果[A2]对[V]执行过[H1]询问，那么Q挑战失败，[A2]不执行这种查询的概率不少于[1q1]。因此，可计算得出Q能够以[AdυIND-CCA2（A2）]≥[ε/q13]的优势解决CDH困难问题。

定理3（类型[Ι]，[ΙΙ]攻击下的方案不可伪造性）假设存在一个敌手[A1]（或者[A2]）可以在概率多项式时间内以优势[ε]≥[10（qs+1）（qs+q2）/2k]在定义3[15]或定义4[15]中的游戏中获胜（设最多[qi]次的[Hi]询问（i=1，2，3），[qs]次的签密提问），挑战者Q则能够在概率多项式时间内以1/9[q1]的优势解决DL问题。

证明：假设Q是挑战者，其通过输入（P， uP），利用[A1]（或[A2]）解决DL困难问题，即计算出u。对于类型[Ι]攻击者[A1]，Q设置[y=uP]，对于类型[ΙΙ]攻击者[A2]，Q设置[y=zP]（[z]的值已知）。

对于类型[Ι]敌手[A1]，执行的询问同定理1;对于类型[ΙΙ]敌手[A2]，执行的询问同定理2。

对上述询问过程执行概率多项式次数之后，敌手[A1]（或[A2]）随机选择两个数[a，s?∈Z?q]，计算[T?=aP]，[h1′=H1（IDB，RB，XB）]，[h=H2（T?，IDA，IDB，m）]，从而得到一个伪造的签密消息[σ?=（h?，s?，C?）]，这里假设[IDA]为发送者，[IDB]为接收者，[m?]为消息。Q首先在列表[LPK]中查询[IDA]，若c=0，终止模拟;否则，Q接着计算[VB?=s?（xB+DB）（XA+RA+h1′Ppub+hP）]（Q能获得[IDB]的完整私钥），对[VB?]作[H3]询问获得[h3?]，使用[h3?]解密[C?]获得[m?]，如果敌手[A1]（或[A2]）的伪造是正确的，那么由分叉引理可获得两个合法的签名[（m?，IDA，IDB，T?，h，s1）]和[（m?，IDA，IDB，T?，h，s2）]，其中[h≠h]，进而可以计算获得：[T?=aP=s1xA（xA+DA+h）P]和[P=s2xA（xA+DA+h）P]，得到等式[s1（xA+DA+h）=s2（xA+DA+h）]。

对于类型[Ι]敌手即是：

[s1（xA+rA+uk+h）=s2（xA+rA+uk+h）]，其中，[k=h1=H1（IDA，RA，XA）]，此式中只有[u]未知，于是可求出[u]。

对于类型[ΙΙ]敌手即是：

[s1（xA+rA+zk+h）=s2（xA+rA+zk+h）]，其中，[k=h1=H1（IDA，RA，XA）]，由于此式中只有[rA]是未知的，并且在公钥提取询问中设置有[R=rAP=uP]，因此只要求出[rA]即可得到[u]的值。

選择[IDA]为挑战身份的概率为[1q1]，使用预言重放技术产生不少于两个的有效密文时，Q失败的概率小于1/9。因此，挑战者Q解决DL困难问题的优势为1/9[q1]。

4性能分析

尽管国内外学者针对双线性对运算的复杂性问题做了大量研究工作，但是目前双线性对运算效率仍然比较低。文献[10-11]中的实验结果表明，进行一次双线性对操作耗时约为20ms，分别约为指数运算、点乘运算和模幂运算7倍、21倍和2倍。在表1中，针对方案签密阶段和解密验证阶段的计算量及方案安全性两方面，对本文方案和现有的典型方案进行了比较。其中，指数运算标识为E、模幂运算标识为ME、点乘运算标识为M、双线性对运算标识为P。与前面四种运算相比，杂凑函数运算和异或运算的耗时较少，对方案整体性能的影响可以忽略不计。

从表1可以看出，文献[4-5]的方案需要进行复杂的双线性对运算，文献[13]的方案需要进行较多的指数运算，文献[15]的方案和本文方案仅仅需要进行点乘运算。综合以上方案的比较，本文方案是可以证明安全的，并且与现有最优无证书签密方案的效率相当。

5 结论

无证书签密方案在签密阶段将传统的签名和加密两个步骤进行了合并，并借助于无证书密码体制的优势，大大降低了计算复杂度和通信代价。本文设计了一个安全高效的无证书签密方案。方案不仅不需要进行复杂的双线性对运算和指数运算，而且基于CDHP困难假设，在随机语言模型下方案被证明能够抵抗两类敌手下的伪造攻击，同时私钥的生成过程不需要借助安全信道。基于以上优势，该方案适用于计算资源和网络带宽受限的签密应用环境。

参考文献：

[1] Shamir A. Identity-based cryptosystems and signature schemes [C] // Proceeding of Crypto84， LNCS，Berlin： Springer-verlag， 1984，196：47-53.

[2] Al-riyami S， Paterson K. Certificateless public key cryptography [C] // Proceedings of the Asiacrypt03，LNCS，Berlin： Springer-verlag， 2003，2894：452-473.

[3] Zheng Y. Digital signcryption or how to achieve cost （signature & encryption） << cost （signature） + cost （encryption） [C] // Proceedings of Advances in Crypto97，LNCS.1294， Berlin： Springer-verlag，1997：165-179.

[4] Barbosa M， Farshim P. Certificatelesssigncryption[C] //Proceeding of ASIACCS2008.ACM， 2008：369-372.

[5] Aranha D，Castro R， Lopez J， et al. Efficient certificatelesssigncryption[EB/OL].[2015-10-10].http： //sbseg 2008.inf. ufrgs. br/ proceeding gs/data/pdf/st03_01_resumo.pdf.

[6] Wu C， Chen Z. A new efficient certificatelesssigncryption scheme[C]//2008 International Symposium on Information Science and Engineering， 2008： 661-664.

[7] Sharmila D S， Vivek S S， Pandu R C. On the security of certificatelesssigncryption schemes[EB/OL].[2015-10-10].http：//epri nt. iacr. org/2009/ 298. pdf.

[8] Liu Z H， Hu Y P，Zhang X S， et al. Certificatelesssigncryption scheme in the standard model[J]. Information Sciences， 2010， 180（3）：452-464.

[9] Weng J， Yao G， Deng R H， et al. Cryptanalysis of a certificateless signcryption scheme in the standard model[J]. Information Sciences， 2011， 181（3）： 661-667.

[10] Cao X， Kou W， Du X. A pairing-free identity-based authenticated key agreement scheme with minimal message exchanges [J]. Information sciences， 2010，180 （6）：2895-2903.

[11] Chen L， Cheng Z， Smart N P. Identity-based key agreement protocols from pairings[J]. International Journal of Information Security， 2007， 6（4）： 213-241.

[12] Barreto P S， Deusajute A M， Cruz E S， et al. Toward efficient certificateless signcryption from （and without） Bilinear pairings [EB/OL]. [2008-10-1]. http：/ /sbseg 2008. Inf . ufrgs. Br/anais/data/pdf/st03_03_artigo.pdf.

[13] Selvi S D， Vivek S S， Ragan C P. Cryptanalysis of certificateless signcryption schemes and an efficient construction without pairing [C] // Inscrypt 2009. 2010：75-92.

[14] Xie W J，Zhang Z. Certificateless signcryption without pairing. Cryptology eprint archive： Report 2010/187 [EB/OL]. [2015-10-10]. http：// eprint.iacr.org/2010/187.pdf.

[15] 劉文浩，许春香.无双线性配对的无证书签密方案[J].软件学报，2011，22（8）：1918-1926.

[16] 夏昂，张龙军.一种新的无双线性对的无证书安全签密方案[J].计算机应用研究，2014，31（2）：532-535.

[17] 赵振国.无证书签密机制的安全性分析与改进[J].通信学报，2015，36（3）：129-134.

[18] 何德彪.无证书签密机制的安全性分析[J].软件学报，2013，24（3）：618-622.

[19] 周彦伟，杨波，张文政.可证安全的高效无证书广义签密方案[J].计算机学报，2016，39（3）：543-551.

[20] 柳菊霞，苏靖枫.一个无证书签密方案的密码学分析[J].科技通报，2017，33（6）：174-178，241.

【通联编辑：代影】