CN101471776A - 基于用户身份标识防止pkg伪造签名的方法 - Google Patents

Abstract

本发明为一种基于用户身份标识防止PKG伪造签名的方法，其包括的步骤有：步骤a：产生基于身份标识的签名系统的系统参数；步骤b：根据系统参数生成用户的公钥和私钥，其中，用户自己保存一长期私钥；步骤c：发送方利用自己的私钥对消息进行签名；步骤d：接收方通过仲裁者利用发送方的公钥和所述的长期私钥来验证所述的签名是否伪造。

Description

基于用户身份标识防止PKG伪造签名的方法

技术领域

本发明涉及的是一种数字安全认证方法，特别涉及的是一种基于用户身份标识防止PKG伪造签名的方法。

背景技术

数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。显然，数字签名的应用涉及到法律问题，美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。

数字签名(Digital Signature)技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在公钥与私钥管理方面，数字签名应用与加密邮件PGP技术正好相反。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

数字签名包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGmal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。

数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

现有的数字签名方法主要采用PKI技术。PKI技术是一种成熟的公钥密码技术，近10年来获得了广泛的应用，如现在的网上银行，网上证券、电子商务等等都基于PKI技术，来保证数据传输的安全性。我国2004颁布的《电子签名法》也是基于PKI技术。在公钥密码技术中，用户有两把密钥，一把密钥为用户独有，称为用户私钥；一把密钥公开给大家，称为公钥，利用用户公钥就可以给该用户发送加密信息，但在PKI技术中用户公钥是一串没有意义的随机数字，因而要将公钥和标志用户身份标识的信息绑定起来，形成数字证书，才方便大家查询，一旦用户数量过多的情况，用户繁琐的数字证书管理问题成了PKI系统运行的瓶颈。

为了解决繁琐的数字证书管理问题，早在1984年，RSA公钥密码技术的发明者之一Adi Shamir教授就提出了基于身份加密(Identity-Based Encryption)的思想，IBE是基于身份加密的缩写，它的最大特点是利用标志用户身份标识的信息(如：用户的身份证号、电子邮件地址、QQ号、手机号等等)直接作为用户公钥，不采用数字证书的概念，因而避免了繁琐的数字证书管理问题。但在那时还没有具体方法在实际中实现这一思想，IBE技术成为密码学界未解决的主要问题之一。

2001年，基于椭圆曲线密码和Weil配对数学理论，斯坦福大学计算机科学技术系的教授Dan Boneh和加州大学戴维斯分院的教授Matt Franklin分别发明了具体可实施的IBE算法，该算法又简称为D.B/M.F算法。

D.B/M.F算法方案的安全性建立在CDH(Computation Diffie-Hellman)困难问题的一个变形之上，称为BDH(Bilinear Diffie-Hellman)困难问题。D.B/M.F算法的核心是使用了超奇异椭圆曲线上的一个双线性映射Weil Pairing。描述如下：

1、设p是一个大素数，p≡2 mod 3，并且存在大素数q，使得p+1能被q整除，但不能被q²整除，记为p＝1q-1；

2、E/GF(p)是在有限域GF(p)上构造的椭圆曲线：y²＝x³+1，P是该曲线上阶为q的点，也称为基点，定义加法循环群G1利用P的点积方法生成；定义乘法循环群G2利用P的乘幂的方法生成；

3、BDH问题：对于随机的a，b，c∈Z_q ^*，已知(P，aP，bP，cP)来计算 $\hat{e}{(P,P)}^{\mathrm{abc}}\∈G2$ 。注意到E/GF(p)是超奇异椭圆曲线。“”是由修改的Weil Pairing变来的映射， $\hat{e}:G1\×G1\→G2$ ，满足以下三条性质：

1)双线性性：

对于所有P，Q∈G1，和所有的a，b∈Z有： $\hat{e}(\mathrm{aP},\mathrm{bQ})=\hat{e}{(P,Q)}^{\mathrm{ab}}$ ，其中Z是整数集；

2)非退化性：如果P是G1的生成元，则 $\hat{e}(P,P)\∈\mathrm{GF}{\left(p^2\right)}^{*}$ 是G2的生成元。在群G中如果存在有P∈G使得G＝{P^k|k∈Z}，则称G为循环群，称P为G的生成元；

3)可计算性：对于任何P，Q∈G1，存在一个有效的算法来计算 $\hat{e}(P,Q)\∈G2.$ 。

Weil Pairing的存在本来是对超奇异椭圆曲线上的密码体制的威胁，也就是说，G中的离散对数问题可轻易地简化成GF(p²)^*中的离散对数问题。E/GF(p)是超奇异椭圆曲线，所以为使G中的离散对数问题难解，必须要求p的长度至少为512比特。

根据D.B/M.F算法，我们可以得到基于身份标识的签名方案

签名方案分为四个执行阶段：系统参数建立阶段(Setup)、用户私钥生成阶段(Extract)、签名阶段(Encrypt)，以及验证阶段(Decrypt)，其中，

所述的系统参数建立阶段，包括的内容是：

可信第三方密钥服务器进行如下步骤产生D.B/M.F的系统参数：

1)首先选择一个至少512比特长的大素数p，找一条满足BDH安全假设的超奇异椭圆曲线E/GF(p)，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对 $\hat{e}:G1\×G1\→G2;$

2)定义hash函数H2：GF(p²)→{0，1}ⁿ，及一个用于将用户身份ID映射到G1^*上元素的函数H1，这里的G1^*表示G1去除O元素；

3)明文空间是：M＝{0，1}ⁿ，密文空间是C＝G1^*×{0，1}ⁿ；

4)随机选择s∈Z_q ^*作为系统主密钥(master key)，并令P_pub＝sP；

5)保密主密钥s，公开公共参数param＝<q，G1，G2，

，n，P，P_pub，H1，H2>。

所述用户私钥生成阶段，其包括的步骤为：

身份标识为ID∈{0，1}ⁿ的用户向密码服务器申请自己的解密私钥，密码服务器需要做以下工作：

1)计算用户公钥Q_ID：Q_ID＝H1(ID)

2)产生用户私钥d_ID：d_ID＝sQ_ID。

所述的签名阶段，其包括的步骤为：

输入一个安全参数r、系统参数params、用户私钥d_ID以及消息M，输出对消息M的签名σ

所述的验证阶段，其包括的步骤为：

输入系统参数、签名人身份ID、消息m和签名σ，输出签名，验证结果1或0，代表真和伪。

该方案根据椭圆曲线密码和双线性映射理论实现具体可实施的IBE方案，解决了密码学的一大难题。但这个系统中也存在一些问题：(1)该方案采用的是一般的公钥签名方案，对于基于身份的密码体制而言，采用这种方案会使得签名的安全性有所降低，需要对该方案进行改进，使其能够抵抗适应性选择密文攻击(CCA)；(2)该方案无法让仲裁者对加密签名实现验证，即当一个签名经过加密后，仲裁者无法验证这个签名是否是正确的。(3)该方案无法防止PKG伪造签名。

为解决上述问题，本发明创作者经过长时间的研究和实践终于获得了本创作。

发明内容

本发明的目的在于，提供一种基于用户身份标识防止PKG伪造签名的方法，用以克服上述缺陷。

为实现上述目的，本发明采用的技术方案在于，提供一种基于用户身份标识防止PKG伪造签名的方法，其包括的步骤有：

步骤a：产生基于身份标识的签名系统的系统参数；

步骤b：根据系统参数生成用户的公钥和私钥，其中，用户自己保存一长期私钥；

步骤c：发送方利用自己的私钥对消息进行签名；

步骤d：接收方通过仲裁者利用发送方的公钥和所述的长期私钥来验证所述的签名是否伪造。

较佳的，步骤a：产生基于身份标识的签名系统的系统参数；其包括的步骤为：

步骤a1：选择一至少512比特长的大素数p和满足BDH安全假设的超奇异椭圆曲线E/GF(p)，其中，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对G1×G1→G2；

步骤a2：定义hash函数H2：GF(p²)→{0，1}ⁿ，及一用于将用户身份ID映射到G1^*上元素的函数H1，其中，G1^*表示G1去除O元素；

步骤a3：确定明文空间M、密文空间是C，其中，M＝{0，1}ⁿ、C＝G1^*×{0，1}ⁿ；

步骤a4：任意选取 $s\&Element;Z_q^{*},$ 计算P_pub＝sP；

步骤a5：将s作为PKG的秘密私钥进行保存，并公开系统参数；

$\mathrm{parameters}=\{G_1,G_2,\hat{e},q,P,P_{\mathrm{pub}},H_1,H_2\}.$

较佳的，步骤b：根据系统参数生成用户的公钥和私钥，其中，用户自己保存一长期私钥；其包括的步骤为：

步骤b1：假定ID_A是用户A的唯一标识身份，PKG对用户A进行物理鉴定确定ID_A具有唯一性；

步骤b2：用户A任意选取 $r\&Element;Z_q^{*}$ 作为其长期私钥，并发送rP给PKG；

步骤b3：PKG计算Q_ID＝H₂(ID‖t，rP)，t是r的有效期，Q_ID是G₁中的元素，PKG再次计算Q_ID0＝H₂(ID‖t，0)，其中t是r的有效期，Q_ID0也是G₁中的元素；

步骤b4：PKG计算S_ID＝sQ_ID和S_ID0＝sQ_ID0，并将S_ID和S_ID0通过安全信道发送给用户A；

步骤b5：用户A计算Q_ID＝H₂(ID‖t，rP)和Q_ID0＝H₂(ID‖t，0)，并秘密保存SID和S_ID0，此时用户A的公私钥对一共包括两组(Q_ID，S_ID)和(Q_ID0，S_ID0)，对于秘密参数r，用户A也作为秘密私钥长期保存。

较佳的，还包括：

步骤b6：当第一次进行传输时，用户A用Q_ID实现对消息的加密，用S_ID0实现对消息的签名；

步骤b7：用户B接收到以后，通过签名中的rP计算新的用户A的公钥Q_ID′＝H₂(ID‖t，rP)，此时Q_ID′＝Q_ID0，即用户B从用户A的签名中得到了A的公钥；同理，通过上述过程，用户A也从用户B的签名中得到B的公钥。

较佳的，步骤c：发送方利用自己的私钥对消息进行签名；

其包括的步骤为：

步骤c1：对于消息m，用户A任意选取P₁∈G₁，随机选取 $k\&Element;Z_q^{*};$

步骤c2：用户A计算 $V=\hat{e}{(P_1,P)}^k,$ c＝H₂(m，V)，U＝cS_ID+kP₁；

步骤c3：用户A输出(V，U，rP)为消息的签名。

较佳的，步骤d：接收方通过仲裁者利用发送方的公钥和所述的长期私钥来验证所述的签名是否伪造；其包括的步骤为：

步骤d1：假定接收方为用户B，则用户B计算Q_ID＝H₂(ID‖t，rP)和c＝H₂(m，V)；

步骤d2：用户B计算 $\hat{e}(U,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c};$

步骤d3：用户B验证V是否等于 $\hat{e}(U,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c};$

步骤d4：用户B发送rP给仲裁者；

步骤d5：仲裁者任意选取 $a\&Element;Z_q^{*}$ 并发送aP给用户B；

步骤d6：用户B计算给仲裁者；

步骤d7：仲裁者验证 $\hat{e}(S_{\mathrm{ID}},\mathrm{aP})=\hat{e}{(H_2\left(\mathrm{ID}\right||t,\mathrm{rP}),P_{\mathrm{pub}})}^a$ 是否成立，如果成立，则身份ID在同一时间对应两个不同rp，判定签名是伪造签名的。

附图说明

图1为本发明基于用户身份标识防止PKG伪造签名的方法的流程图。

具体实施方式

以下结合附图，对本发明上述的和另外的技术特征和优点作更详细的说明。

请参阅图1所示，其为本发明基于用户身份标识防止PKG伪造签名的方法的流程图，其包括的步骤有：

步骤a：产生基于身份标识的签名系统的系统参数；

步骤b：根据系统参数生成用户的公钥和私钥，其中，用户自己保存一长期私钥；

步骤c：发送方利用自己的私钥对消息进行签名；

步骤d：接收方通过仲裁者利用发送方的公钥和所述的长期私钥来验证所述的签名是否伪造。

其中，对于步骤a：产生基于身份标识的签名系统的系统参数；其包括的步骤为：

步骤a1：选择一至少512比特长的大素数p和满足BDH安全假设的超奇异椭圆曲线E/GF(p)，其中，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对

G1×G1→G2；

步骤a2：定义hash函数H2：GF(p²)→{0，1}ⁿ，及一用于将用户身份ID映射到G1^*上元素的函数H1，其中，G1^*表示G1去除O元素；

步骤a3：确定明文空间M、密文空间是C，其中，M＝{0，1}ⁿ、C＝G1^*×{0，1}ⁿ；

步骤a4：任意选取 $s\&Element;Z_q^{*},$ 计算P_pub＝sP；

步骤a5：将s作为PKG的秘密私钥进行保存，并公开系统参数；

$\mathrm{parameters}=\{G_1,G_2,\hat{e},q,P,P_{\mathrm{pub}},H_1,H_2\}.$

其中，所述的步骤b：根据系统参数生成用户的公钥和私钥，其中，用户自己保存一长期私钥；其包括的步骤为：

步骤b1：假定ID_A是用户A的唯一标识身份，PKG对用户A进行物理鉴定确定ID_A具有唯一性；

步骤b2：用户A任意选取 $r\&Element;Z_q^{*}$ 作为其长期私钥，并发送rP给PKG；

步骤b3：PKG计算Q_ID＝H₂(ID‖t，rP)，t是r的有效期，Q_ID是G₁中的元素，PKG再次计算Q_ID0＝H₂(ID‖t，0)，其中t是r的有效期，Q_ID0也是G₁中的元素；

步骤b4：PKG计算S_ID＝sQ_ID和S_ID0＝sQ_ID0，并将S_ID和S_ID0通过安全信道发送给用户A；

步骤b5：用户A计算Q_ID＝H₂(ID‖t，rP)和Q_ID0＝H₂(ID‖t，0)，并秘密保存S_ID和S_ID0，此时用户A的公私钥对一共包括两组(Q_ID，S_ID)和(Q_ID0，S_ID0)，对于秘密参数r，用户A也作为秘密私钥长期保存。

与传统算法相比，其特殊之处在于此时 $r\&Element;Z_q^{*}$ 是A秘密保存的，PKG无法获得r的任意信息，因为PKG无法从rP和P的值中得到r，这个特性使得如果PKG伪造用户A的签名，仲裁者可以利用r来证明PKG的签名是伪造的，下面将对此进行论述；至此用户的公私钥对已经生成，与传统算法相比，产生了两组公私钥对，这两组公私钥对的特殊之处在于，初始情况下，需要这两组公私对分别完成加密/解密，签名/验证功能，当第一次相互通信完成后，就可以通过计算生成一组新的公私钥对，然后可以利用这组新的公私钥对独自实现加密/解密和签名/验证功能，与传统算法相比，它的好处在于新生成的密钥对可抵抗CCA攻击(传统算法中的加密/解密公私钥对是不能抵抗CCA攻击的，因此传统算法需要两组密钥对来实现加密/解密和签名/验证功能，而该方案仅第一次需要两组密钥对，以后通信仅需要一组密钥对就可完成加密/解密和签名/验证功能)具体过程见下：

当第一次进行传输时，用户A用Q_ID(用户B的公钥)实现对消息m的加密，用S_ID0(用户A的私钥)实现对消息m的签名；

用户B接收到以后，就可以通过签名中的rP计算新的用户A的公钥Q_ID′＝H₂(ID‖t，rP)，此时Q_ID′＝Q_ID0，即用户B从用户A的签名中得到了A的公钥；同理，通过上述过程，用户A也可从用户B的签名中得到B的公钥。

此后用户B与用户A的秘密通信中，可以用新得公私钥对来实现加解密，签名和验证功能。这对新的密钥对既能完成加解密，还能完成签名验证功能，并且通过这种方式生成的密钥对可抵抗CCA攻击；

对于步骤c：发送方利用自己的私钥对消息进行签名；其包括的步骤为：步骤c1：对于消息m，用户A任意选取P₁∈G₁，随机选取 $k\&Element;Z_q^{*};$

步骤c2：用户A计算 $V=\hat{e}{(P_1,P)}^k,$ c＝H₂(m，V)，U＝cS_ID+kP₁；

步骤c3：用户A输出(V，U，rP)为消息的签名。

对于所述的步骤d：接收方通过仲裁者利用发送方的公钥和所述的长期私钥来验证所述的签名是否伪造；其包括的步骤为：

步骤d1：假定接收方为用户B，则用户B计算Q_ID＝H₂(ID‖t，rP)和c＝H₂(m，V)；

步骤d2：用户B计算 $\hat{e}(U,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c};$

步骤d3：用户B验证V是否等于 $\hat{e}(U,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c};$

因为事实上 $\hat{e}(U,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c}$

               $=\hat{e}({\mathrm{cS}}_{\mathrm{ID}}+{\mathrm{kP}}_1,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c}$

               $=\hat{e}({\mathrm{kP}}_1,P)\&CenterDot;\hat{e}({\mathrm{cS}}_{\mathrm{ID}},P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c}$

               $=V\&CenterDot;\hat{e}({\mathrm{csQ}}_{\mathrm{ID}},P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c}$

               $=V$

与现有的方案比，该方案能够防止PKG伪造签名，仲裁者在不需要用户私钥的基础上就能够对签名进行验证。

证明如下：

假定PKG试图伪造签名，它假扮一个身份为ID的用户进行伪造签名，PKG进行如下操作：

伪造步骤1：PKG随机选取 $r\&prime;\&Element;Z_q^{*},$ 计算H₂(ID‖t，r′P)，S_ID′＝sQ_ID′；

伪造步骤2：按照上述过程伪造对消息m的签名；

伪造步骤3：输出签名(V′，U′，r′P)；

因为 $V\&prime;=e(U\&prime;,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}}\&prime;,P_{\mathrm{pub}})}^{-c\&prime;},$ 所以看似PKG对消息m的签名可以伪造并且是有效的，实际上合法用户可以向仲裁者证明该签名是伪造的；

步骤d4：用户B发送rP给仲裁者；

步骤d5：仲裁者任意选取 $a\&Element;Z_q^{*}$ 并发送aP给用户B；

步骤d6：用户B计算

给仲裁者；

步骤d7：仲裁者验证 $\hat{e}(S_{\mathrm{ID}},\mathrm{aP})=\hat{e}{(H_2\left(\mathrm{ID}\right||t,\mathrm{rP}),P_{\mathrm{pub}})}^a$ 是否成立，如果成立，则身份ID在同一时间对应两个不同rp，判定签名是伪造签名的。

以上所述仅为本发明的较佳实施例，对本发明而言仅仅是说明性的，而非限制性的。本专业技术人员理解，在本发明权利要求所限定的精神和范围内可对其进行许多改变，修改，甚至等效，但都将落入本发明的保护范围内。

Claims (6)

1、一种基于用户身份标识防止PKG伪造签名的方法，其特征在于，其包括的步骤有：

步骤a：产生基于身份标识的签名系统的系统参数；

步骤b：根据系统参数生成用户的公钥和私钥，其中，用户自己保存一长期私钥；

步骤c：发送方利用自己的私钥对消息进行签名；

步骤d：接收方通过仲裁者利用发送方的公钥和所述的长期私钥来验证所述的签名是否伪造。

2、根据权利要求1所述的基于用户身份标识防止PKG伪造签名的方法，其特征在于，步骤a：产生基于身份标识的签名系统的系统参数；其包括的步骤为：

步骤a1：选择一至少512比特长的大素数p和满足BDH安全假设的超奇异椭圆曲线E/GF(p)，其中，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对ê：G1×G1→G2；

步骤a2：定义hash函数H2：GF(p²)→{0，1}ⁿ，及一用于将用户身份ID映射到G1^*上元素的函数H1，其中，G1^*表示G1去除O元素；

步骤a3：确定明文空间M、密文空间是C，其中，M＝{0，1}ⁿ、C＝G1^*×{0，1}ⁿ；

步骤a4：任意选取 $s\&Element;Z_q^{*},$ 计算P_pub＝sP；

步骤a5：将s作为PKG的秘密私钥进行保存，并公开系统参数 $\mathrm{parameters}=\{G_1,G_2,\hat{e},q,P,P_{\mathrm{pub}},H_1,H_2\}.$

3、根据权利要求2所述的基于用户身份标识防止PKG伪造签名的方法，其特征在于，步骤b：根据系统参数生成用户的公钥和私钥，其中，用户自己保存一长期私钥；其包括的步骤为：

步骤b1：假定ID_A是用户A的唯一标识身份，PKG对用户A进行物理鉴定确定ID_A具有唯一性；

步骤b2：用户A任意选取 $r\&Element;Z_q^{*}$ 作为其长期私钥，并发送rP给PKG；

步骤b3：PKG计算Q_ID＝H₂(ID‖t，rP)，t是r的有效期，Q_ID是G₁中的元素，PKG再次计算Q_ID0＝H₂(ID‖t，0)，其中t是r的有效期，Q_ID0也是G₁中的元素；

步骤b4：PKG计算S_ID＝sQ_ID和S_ID0＝s_QID0，并将S_ID和S_ID0通过安全信道发送给用户A；

步骤b5：用户A计算Q_ID＝H₂(ID‖t，rP)和Q_ID0＝H₂(ID‖t，0)，并秘密保存S_ID和S_ID0，此时用户A的公私钥对一共包括两组(Q_ID，S_ID)和(Q_ID0，S_ID0)，对于秘密参数r，用户A也作为秘密私钥长期保存。

4、根据权利要求3或4所述的基于用户身份标识防止PKG伪造签名的方法，其特征在于，还包括：

步骤b6：当第一次进行传输时，用户A用Q_ID实现对消息的加密，用S_ID0实现对消息的签名；

步骤b7：用户B接收到以后，通过签名中的rP计算新的用户A的公钥Q_ID′＝H₂(ID‖t，rP)，此时Q_ID′＝Q_ID0，即用户B从用户A的签名中得到了A的公钥；同理，通过上述过程，用户A也从用户B的签名中得到B的公钥。

5、根据权利要求3或4所述的基于用户身份标识防止PKG伪造签名的方法，其特征在于，步骤c：发送方利用自己的私钥对消息进行签名；

其包括的步骤为：

步骤c1：对于消息m，用户A任意选取P₁∈G₁，随机选取 $k\&Element;Z_q^{*};$

步骤c2：用户A计算 $V=\hat{e}{(P_1,P)}^k,$ c＝H₂(m，V)，U＝cS_ID+kP₁；

步骤c3：用户A输出(V，U，rP)为消息的签名。

6、根据权利要求4所述的基于用户身份标识防止PKG伪造签名的方法，其特征在于，步骤d：接收方通过仲裁者利用发送方的公钥和所述的长期私钥来验证所述的签名是否伪造；其包括的步骤为：

步骤d1：假定接收方为用户B，则用户B计算Q_ID＝H₂(ID‖t，rP)和c＝H₂(m，V)；

步骤d2：用户B计算 $\hat{e}(U,P)\&CenterDot;\hat{e}{(O_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c};$

步骤d3：用户B验证V是否等于 $\hat{e}(U,P)\&CenterDot;\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}})}^{-c};$

步骤d4：用户B发送rP给仲裁者；

步骤d5：仲裁者任意选取 $a\&Element;Z_q^{*}$ 并发送aP给用户B；

步骤d6：用户B计算

给仲裁者；

步骤d7：仲裁者验证 $\hat{e}(S_{\mathrm{ID}},\mathrm{aP})=\hat{e}{(H_2\left(\mathrm{ID}\right||t,\mathrm{rP}),P_{\mathrm{pub}})}^a$ 是否成立，如果成立，则身份ID在同一时间对应两个不同rp，判定签名是伪造签名的。

Images