CN101562524A - 一种基于身份的数字签名方法 - Google Patents

Abstract

本发明提供一种基于身份的数字签名方法。该签名方法包括步骤：生成用于签名和验证签名的系统参数；根据用户身份信息以及所述系统参数，生成用户的私钥；利用所得到的私钥对消息进行签名；根据所述系统公开参数和签名者的身份对消息的签名进行验证。由于在本发明中，对于验证方程算法的某些计算在签名算法中，当系统参数确定之后，是常量，则在系统参数生成时对其进行预计算，大大减少验证方程的计算代价；在对同一用户对不同消息进行签名时候，进行特殊处理(文中有详细说明)，能大大降低通信代价。经过这样的处理之后，在不降低安全性的基础上，极大的提高系统的运行效率。

Description

一种基于身份的数字签名方法

技术领域

本发明涉及一种数字签名技术，尤其设计一种基于身份的数字签名方法。

背景技术

在传统的公钥密码系统中，主要采用公钥证书基础设施PKI(Public KeyInfrastructure)来验证公钥和用户身份的相关性。用户身份和公钥之间的关联通过证书机构(Certifying Authority：CA)发放的公钥证书实现。这种方式的证书管理过程需要很高的计算开销和存储开销。

基于身份的密码体制的思想由Shamir在1984年首先提出。在该体制中，公钥就是用户的身份信息(或者是直接由用户的身份信息导出)，比如网络内某主机的IP地址或某用户的Email地址。PKG根据用户的公钥由身份信息直接计算得出，所以在使用公钥的过程中就不需要存放或证书的目录，也不需要第三方(CA)提供服务，只需要维护一个PKG产生的认证的公开系统参数目录，这个开销远低于维护一个所有用户的公钥目录所需的开销。因此，基于身份的密码体制的优势就在于它简化了传统基于证书的公钥体制下负担最重的密钥管理过程。

Waters在2004年提出了第一个在标准模型下证明安全的基于身份的加密方案，并诱导出一个标准模型的基于身份签名方案，该方案的安全性规约为计算Diffie-Hellman问题的困难性。2006年，Paterson和Schuldt基于Waters的方案，提出一个标准模型下安全、高效的基于身份的签名方案。

本发明是在Waters签名方案的基础上做的一种改进，改进后的方案极大的提高了系统运行效率，降低系统通信量。

下面先对相关概念进行说明：

1、双线性对(Bilinear Pairing)

这里简要介绍双线性映射的基本定义和它需满足的性质。

令P，Q∈G、G_T是两个p阶循环群，其中p为素数，g是G的生成元。定义两个群上的双线性映射为：e：G×G→G_T，且满足下面的性质：

(1)双映射性.e(g^a，g^b)＝e(g，g)^ab，对所有的 $a,b\∈Z_p^{*}$ 均成立。

(2)非退化性. $e(g,g)\≠l_{G_T},$ 其中是G_T的幺元。

(3)可计算性.存在有效算法来计算e。

可以注意到：e运算是可交换的，因为e(g^a，g^b)＝e(g，g)^ab＝e(g^b，g^a)。

2、CDH(computational Diffie-Hellman)困难问题假定

定义1CDH-问题：给定p阶循环群G，其中p为素数，g是G的生成元，则群G上的CDH-问题是：已知g^a，g^b∈G，其中a，b是从Z_p随机选择的，计算g^ab。

定义2(ε，t)-CDH假定：若没有一个算法在时间t内，以至少ε的概率解决群G上的CDH-问题，则称群G上的(ε，t)-CDH假定成立。

根据上述的CDH假定和双线性配对的描述，下面将进一步说明现有的基于身份的典型的数字签名方法。

首先给出一个标准的基于身份的数字签名方案简单流程图，如图1。

如图1所示，基于身份的数字签名系统包括系统参数设置模块(Setup)、用户密钥生成模块(Extract)、签名模块(Sign)、验证模块(Verify)。

1、系统参数设置模块(Setup)：

令G、G_T是p阶循环群，其中p为素数，g为G的生成元，双线性配对为e：G×G→G_T。PKG随机选择g₂∈G，α∈Z_p，计算g₁＝g^α∈G。随机选择u′∈G，m′∈G，n_u维的向量U_v＝(u_i)，n_m维的向量M_v＝(m_i)，其中u_i∈G，m_i∈G。则PKG的公开参数为params＝(G，G_T，g，g₁，g₂，u′，U_v，m′，M_v)，主密钥为g₂ ^a。(注：PKG即密钥生成中心)

2、用户密钥生成模块(Extract)：

对于不同长度的用户身份比特串，利用抗碰撞哈希函数进行处理，将它们映射为长度n_u的比特串，即： $H_u:{\left\{\mathrm{0,1}\right\}}^{*}\→{\left\{\mathrm{0,1}\right\}}^{n_u}.$ 用户身份u为一个长度为n_u的比特串(经过抗碰撞哈希函数映射之后的身份比特串)，令U为u中比特值为1的位置的集合，则 $U\⊆\{1,...,n_u\}.$ PKG随机选择r_u∈Z_p，计算用户的密钥 $d_u=(d_0,d_1)=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈U}{\mathrm{\Π}}{u}_i\right)}^{r_u},g^{r_u}),$ 并通过安全信道把密钥传给用户。

3、签名模块(Sign)：

对于不同长度的消息比特串，利用抗碰撞哈希函数进行处理，将它们映射为长度n_m的比特串，即： $H_m:{\left\{\mathrm{0,1}\right\}}^{*}\→{\left\{\mathrm{0,1}\right\}}^{n_m}.$ 消息m为一个长度为n_m的比特串(经过抗碰撞哈希函数映射之后的身份比特串)，类似上面身份处理方法，令M为m中比特值为1的位置的集合，则 $M\⊆\{1,...,n_m\}.$ 随机选择r_m∈Z_p，消息m的签名为 $\mathrm{\σ}=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈U}{\mathrm{\Π}}{u}_i\right)}^{r_u}{\left(m^{\′}\underset{j\∈M}{\mathrm{\Π}}{m}_j\right)}^{r_m},g^{r_u},g^{r_m})\∈G^3.$

4、验证模块(Verify)：

验证者用PKG公开参数(G，G_T，g，g₁，g₂，u′，U_v，m′，M_v)和身份u对消息m的签名σ＝(V，R_u，R_m)∈G³验证，若验证等式 $e(V,w)=e(g_1,g_2)\·e(u^{\′}\underset{i\∈U}{\mathrm{\Π}}{u}_i,R_u)\·e(m^{\′}\underset{j\∈M}{\mathrm{\Π}}{m}_j,R_m)$ 成立，则签名有效，反之签名无效。

根据上述的<Setup、Extract、Sign、Verify>算法，即实现了现有的基于身份的数字签名方法。在该基于身份的数字签名方法中，用户的公钥就是用户的身份，因此无需像基于证书的密码系统那样子进行繁琐的证书管理。

但是该方案有一个非常大的缺点：就是验证者在对签名进行验证时候，验证方程的计算代价很大，有3个Pairing运算(一个e运算即一个Pairing运算，e(g₁，g₂)可以预计算，不计算在内)，而Pairing运算的计算代价很大，所以这极大的影响了整个系统的运行效率。

发明内容

本发明的目的是针对以上现有技术的缺陷，提供一个改进的基于身份的数字签名方法，从而能极大的降低验证方程的计算代价，提高整个系统的运行效率。

本发明为实现上述发明目的采用如下技术方案：

本发明的基于身份的数字签名方法，依次经过以下几个模块操作步骤：

A、系统参数生成模块：

PKG运行系统参数生成算法：首先系统选取大素数p，p阶乘法循环群G和G_T，双线性映射e：G×G→G_T，从G中选择一个生成元g，随机选择g₂∈G，α∈Z_p，计算g₁＝g^α∈G，随机选择u′∈Z_p，m′∈Z_p，n_u维向量U_v＝(u_i)，n_m维向量M_v＝(m_i)，其中u_i∈Z_p，m_i∈Z_p。计算z₁＝e(g₁，g₂)，z₂＝e(g，g₂)；

综合上述信息，系统参数生成算法生成系统参数，其中系统公开参数为params＝(p，g，g₁，g₂，u′，U_v，m′，M_v，z₁，z₂)，系统主密钥为α∈Z_p；

B、用户密钥生成模块：

步骤1：在线任务分配器用待签名的用户身份发送给密钥生成器；

步骤2：密钥生成器将用户的身份信息发送给Hash运算器进行运算，计算得到身份的Hash值u，即： $H_u:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;{\left\{\mathrm{0,1}\right\}}^{n_u},$ 其中H_u是{0，1}^*到

的密码学哈希函数，{0，1}^*表示有不确定个集合{0，1}的笛卡尔积，表示有n_u个集合{0，1}的笛卡尔积；

步骤3：Hash运算器将计算得到的用户身份Hash值u发送给密钥生成器；

步骤4：密钥生成器对得到的用户身份Hash值u进行以下处理：u为一个长度为n_u的比特串，即经过抗碰撞哈希函数映射之后的Hash值，令U为u中比特值为1的位置的集合，则 $U\&SubsetEqual;\{1,...,n_u\},$ 计算

随机选择t∈Z_p，计算用户的密钥 $d_u=(d_0,d_1)=(g_2^{\mathrm{\&alpha;}+t(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)},z_2^t),$ 并通过安全信道把密钥传给在线任务分配器，若 $\mathrm{\&alpha;}+t(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)=0\mathrm{mod}p,$ 则密钥生成器重新选择随机数t∈Z_p，计算用户的私钥，发送给在线任务分配；

C、签名模块：

步骤5：在线任务分配器将得到的用户密钥通过安全信道发送给相应的用户；

步骤6：用户得到密钥后，利用密钥验证器对密钥进行验证。密钥验证器将用户的身份信息发送给Hash运算器；

步骤7：Hash运算器将计算得到的用户的定长身份比特串u发送给密钥验证器；密钥验证器验证等式： $e(g,d_0)=z_1\&CenterDot;d_1^{(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)},$ 若等式不成立，执行步骤8；反之，则用户可以确认密钥是由PKG产生的，执行步骤9；

步骤8：密钥验证器重新向PKG询问密钥，在线任务分配器重新执行步骤1；

步骤9：密钥验证器将验证通过的用户密钥d_u发送给签名运算器；

步骤10：签名运算器将待签名的消息比特串发送给Hash运算器进行运算，计算得到消息Hash值m，即： $H_m:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;{\left\{\mathrm{0,1}\right\}}^{n_m},$ 其中H_m是{0，1}^*到

的密码学哈希函数，{0，1}^*表示有不确定个集合{0，1}的笛卡尔积，

表示有n_m个集合{0，1}的笛卡尔积；

步骤11：Hash运算器将计算得到的Hash值m发送给签名运算器，签名运算器进行类似上面身份处理方法，令M为m中比特值为1的位置的集合，则 $M\&SubsetEqual;\{1,...,n_m\},$ 计算

随机选择s∈Z_p，计算消息的签名，共3个部分，即： $\mathrm{\&sigma;}=(w,x,y)=(d_0\&CenterDot;g_2^{s(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)},z_2^s,d_1);$

步骤12：签名运算器将消息的签名σ发送给在线任务分配器；

D、验证模块：

步骤13：在线任务分配器将待验证消息签名发送给验证者；

步骤14：签名验证器首先将消息和签名者身份发送给Hash运算器，进行Hash映射；

步骤15：Hash运算器将身份的映射结果u和消息的映射结果m发送给签名验证器；

步骤16：签名验证器用PKG公开参数(p，g，g₁，g₂，u′，U_v，m′，M_v，z₁，z₂)和签名用户的身份对消息的签名σ进行验证，若等式 $e(g,w)=z_1\&CenterDot;x^{(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)}\&CenterDot;y^{(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)}$ 成立，则签名有效，反之无效。

有益效果：

本发明是在原有的经典基于身份的数字签名方案的基础上进行改进，设计出了一种新的基于身份的数字签名方法和系统。本方案在计算效率大大优于原有的方案，尤其适用于对于计算性能要求较高的系统。

附图说明：

图1是现有技术中基于身份的数字签名方案流程图；

图2是本发明的基于身份的数字签名方法的流程图。

具体实施方式：

下面结合附图，进一步具体说明本发明的技术方案。

本发明包括步骤：生成用于签名和验证签名的系统参数；根据用户身份信息以及所述系统参数，生成用户的私钥；签名用户利用所得到的私钥(包括对私钥的验证过程)对消息进行签名；验证者根据所述系统公开参数和签名者的身份对消息的签名进行验证。

根据系统模块流程图，即图2，给出本发明的依次经过如下各模块进行操作的具体步骤：

系统参数生成模块(Setup)：

PKG运行系统参数生成算法：首先系统选取大素数p，p阶乘法循环群G和G_T，双线性映射e：G×G→G_T。从G中选择一个生成元g，随机选择g₂∈G，α∈Z_p，计算g₁＝g^α∈G。随机选择u′∈Z_p，m′∈Z_p，n_u维向量U_v＝(u_i)，n_m维向量M_v＝(m_i)，其中u_i∈Z_p，m_i∈Z_p。计算z₁＝e(g₁，g₂)，z₂＝e(g，g₂)。

综合上述信息，系统参数生成算法生成系统参数，其中系统公开参数为params＝(p，g，g₁，g₂，u′，U_v，m′，M_v，z₁，z₂)，系统主密钥为α∈Z_p。用户密钥生成模块(Extract)：

步骤1：在线任务分配器用待签名的用户身份发送给密钥生成器；

步骤2：密钥生成器将用户的身份信息发送给Hash运算器进行运算，计算得到身份的Hash值u，即： $H_u:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;{\left\{\mathrm{0,1}\right\}}^{n_u}$ (H_u是{0，1}^*到

的密码学哈希函数，{0，1}^*表示有不确定个集合{0，1}的笛卡尔积，

表示有n_u个集合{0，1}的笛卡尔积)；

步骤3：Hash运算器将计算得到的用户身份Hash值u发送给密钥生成器；

步骤4：密钥生成器对得到的u进行以下处理：u为一个长度为n_u的比特串(经过抗碰撞哈希函数映射之后的Hash值)，令U为u中比特值为1的位置的集合，则 $U\&SubsetEqual;\{1,...,n_u\},$ 计算随机选择t∈Z_p，计算用户的密钥 $d_u=(d_0,d_1)=(g_2^{\mathrm{\&alpha;}+t(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)},z_2^t),$ 并通过安全信道把密钥传给在线任务分配器。若 $\mathrm{\&alpha;}+t(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)=0\mathrm{mod}p,$ 则密钥生成器重新选择随机数t∈Z_p，计算用户的私钥，发送给在线任务分配；

签名模块(Sign)：

步骤5：在线任务分配器将得到的用户密钥通过安全信道发送给相应的用户；

步骤6：用户得到密钥d_u后，利用密钥验证器对密钥进行验证。密钥验证器将用户的身份信息发送给Hash运算器；

步骤7：Hash运算器将计算得到的用户的定长身份比特串u发送给密钥验证器；密钥验证器验证等式： $e(g,d_0)=z_1\&CenterDot;d_1^{(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)}.$ 若等式不成立，执行步骤8；反之，则用户可以确认密钥是由PKG产生的，执行步骤9；

步骤8：密钥验证器重新向PKG询问密钥，在线任务分配器重新执行步骤1；

步骤9：密钥验证器将验证通过的用户密钥d_u发送给签名运算器；

步骤10：签名运算器将待签名的消息比特串发送给Hash运算器进行运算，计算得到消息Hash值m，即： $H_m:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;{\left\{\mathrm{0,1}\right\}}^{n_m}$ (H_m是{0，1}^*到

的密码学哈希函数，{0，1}^*表示有不确定个集合{0，1}的笛卡尔积，

表示有n_m个集合{0，1}的笛卡尔积)；

步骤11：Hash运算器将计算得到的m发送给签名运算器。签名运算器进行类似上面身份处理方法，令M为m中比特值为1的位置的集合，则 $M\&SubsetEqual;\{1,...,n_m\},$ 计算随机选择s∈Z_p，计算消息的签名，共3个部分，即： $\mathrm{\&sigma;}=(w,x,y)=(d_0\&CenterDot;g_2^{s(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)},z_2^s,d_1);$

步骤12：签名运算器将消息的签名σ发送给在线任务分配器；

验证模块(Verify)：

步骤13：在线任务分配器将待验证消息签名发送给验证者；

步骤14：签名验证器首先将消息和签名者身份发送给Hash运算器，进行Hash映射；

步骤15：Hash运算器将身份和消息的映射结果u、m发送给签名验证器；

步骤16：签名验证器用PKG公开参数(p，g，g₁，g₂，u′，U_v，m′，M_v，z₁，z₂)和签名用户的身份对消息的签名σ进行验证，若等式 $e(g,w)=z_1\&CenterDot;x^{(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)}\&CenterDot;y^{(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)}$ 成立，则签名有效，反之无效。

方法比较

本发明方法与原方法，在验证算法计算代价减小了两个e运算(双线性配对运算)的计算代价(因为指数运算的计算代价相对于e运算的计算代价可以忽略不计)。

另外，在上述签名方案中，如果为同一用户进行签名时候，签名 $\mathrm{\&sigma;}=(w,x,y)=(d_0\&CenterDot;g_2^{s(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)},z_2^s,d_1),$ 其中的y＝e(g，g₂)^t＝d₁作为签名和用户密钥的一部分始终是不变的，主要用于验证用户密钥和签名的有效性，因此可将这部分签名作为系统参数的一部分公开，即签名为 $\mathrm{\&sigma;}=(w,x)=(d_0\&CenterDot;g_2^{s(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)},z_2^s),$ 从而通信代价比原来减小了三分之一。

下面将对如上所述的依照本发明的数字签名方法应用于企业中的情形进行说明。

依照本发明的步骤，当在某某公司使用本发明的签名系统时候，系统参数参数生成模块可生成系统参数params＝(p，g，g₁，g₂，u′，U_v，m′，M_v，z₁，z₂)，可以将某某公司的每个员工的工卡号看做是一个员工U，其身份信息为ID，由用户私钥生成模块根据系统参数和ID生成该用户U的私钥d_u，并存放与员工的个人工卡中。

在某个员工须对某个文件进行数字签名时候，员工利用工卡进行刷卡即可。而验证者在对签名进行验证时候，只需在验证系统中输入签名员工的工卡号即可验证签名的有效性。

所以，本发明带来的有益效果是：极大的提高系统的运行效率，尤其是验证系统的运行效率，尤其适用与对与系统运行效率要求高的电子政务/商务。

对该技术领域的普通技术人员来说，根据以上实施类型可以很容易的联想到其他的优点和变形，因此，本发明并不局限于上述具体实施例，其仅仅作为例子对本发明的一种形态进行详细、示范性的说明。在不背离本发明宗旨的范围内，本领域普通技术人员可以根据上述具体实施例通过各种等同替换所得到的技术方案，但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。

Claims (1)

1、一种基于身份的数字签名方法，其特征在于，依次经过以下几个模块操作步骤：

A、系统参数生成模块：

PKG运行系统参数生成算法：首先系统选取大素数p，p阶乘法循环群G和G_T，双线性映射e：G×G→G_T，从G中选择一个生成元g，随机选择g₂∈G，α∈Z_p，计算g₁＝g^α∈G，随机选择u′∈Z_p，m′∈Z_p，n_u维向量U_v＝(u_i)，n_m维向量M_v＝(m_i)，其中u_i∈Z_p，m_i∈Z_p。计算z₁＝e(g₁，g₂)，z₂＝e(g，g₂)；

综合上述信息，系统参数生成算法生成系统参数，其中系统公开参数为params＝(p，g，g₁，g₂，u′，U_v，m′，M_v，z₁，z₂)，系统主密钥为α∈Z_p；

B、用户密钥生成模块：

步骤1：在线任务分配器用待签名的用户身份发送给密钥生成器；

步骤2：密钥生成器将用户的身份信息发送给Hash运算器进行运算，计算得到身份的Hash值u，即： $H_u:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;{\left\{\mathrm{0,1}\right\}}^{n_u},$ 其中H_u是{0，1}^*到

的密码学哈希函数，{0，1}^*表示有不确定个集合{0，1}的笛卡尔积，

表示有n_u个集合{0，1}的笛卡尔积；

步骤3：Hash运算器将计算得到的用户身份Hash值u发送给密钥生成器；

步骤4：密钥生成器对得到的用户身份Hash值u进行以下处理：u为一个长度为n_u的比特串，即经过抗碰撞哈希函数映射之后的Hash值，令U为u中比特值为1的位置的集合，则 $U\&SubsetEqual;\{1,...,n_u\},$ 计算随机选择t∈Z_p，计算用户的密钥 $d_u=(d_0,d_1)=(g_2^{\mathrm{\&alpha;}+t(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)},z_2^t),$ 并通过安全信道把密钥传给在线任务分配器，若 $\mathrm{\&alpha;}+t(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)=0\mathrm{mod}p,$ 则密钥生成器重新选择随机数t∈Z_p，计算用户的私钥，发送给在线任务分配；

C、签名模块：

步骤5：在线任务分配器将得到的用户密钥通过安全信道发送给相应的用户；

步骤6：用户得到密钥后，利用密钥验证器对密钥进行验证。密钥验证器将用户的身份信息发送给Hash运算器；

步骤7：Hash运算器将计算得到的用户的定长身份比特串u发送给密钥验证器；密钥验证器验证等式： $e(g,d_0)=z_1\&CenterDot;d_1^{(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)},$ 若等式不成立，执行步骤8；反之，则用户可以确认密钥是由PKG产生的，执行步骤9；

步骤8：密钥验证器重新向PKG询问密钥，在线任务分配器重新执行步骤1；

步骤9：密钥验证器将验证通过的用户密钥d_u发送给签名运算器；

步骤10：签名运算器将待签名的消息比特串发送给Hash运算器进行运算，计算得到消息Hash值m，即： $H_m:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;{\left\{\mathrm{0,1}\right\}}^{n_m},$ 其中H_m是{0，1}^*到

的密码学哈希函数，{0，1}^*表示有不确定个集合{0，1}的笛卡尔积，表示有n_m个集合{0，1}的笛卡尔积；

步骤11：Hash运算器将计算得到的Hash值m发送给签名运算器，签名运算器进行类似上面身份处理方法，令M为m中比特值为1的位置的集合，则 $M\&SubsetEqual;\{1,...,n_m\},$ 计算

随机选择s∈Z_p，计算消息的签名，共3个部分，即： $\mathrm{\&sigma;}=(w,x,y)=(d_0\&CenterDot;g_2^{s(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)},z_2^s,d_1);$

步骤12：签名运算器将消息的签名σ发送给在线任务分配器；

D、验证模块：

步骤13：在线任务分配器将待验证消息签名发送给验证者；

步骤14：签名验证器首先将消息和签名者身份发送给Hash运算器，进行Hash映射；

步骤15：Hash运算器将身份的映射结果u、和消息的映射结果m发送给签名验证器；

步骤16：签名验证器用PKG公开参数(p，g，g₁，g₂，u′，U_v，m′，M_v，z₁，z₂)和签名用户的身份对消息的签名σ进行验证，若等式 $e(g,w)=z_1\&CenterDot;x^{(m^{\&prime;}+\underset{j\&Element;M}{\mathrm{\&Sigma;}}{m}_j)}\&CenterDot;y^{(u^{\&prime;}+\underset{i\&Element;U}{\mathrm{\&Sigma;}}{u}_i)}$ 成立，则签名有效，反之无效。

Images