CN102420691A - 基于证书的前向安全签名方法及系统 - Google Patents

Abstract

本发明公开一种基于证书的前向安全签名系统，包括系统参数设置模块、用户初始公私钥生成模块、用户证书认证模块、用户密钥进化模块、签名模块和验证模块；系统参数设置模块生成系统主密钥和系统公开参数，并发送给其它模块；用户初始公私钥生成模块生成各个用户的公钥和初始私钥；用户证书认证模块对合法用户颁发证书并发送给签名模块；用户密钥进化模块进化用户的私钥并发送给签名模块；签名模块对任意消息产生签名并发送给验证模块；验证模块对签名的有效性进行验证。此系统可解决一部分基于证书密码体制中的密钥泄露问题，具有很高的实用价值。本发明还公开一种基于证书的前向安全签名方法。

Description

基于证书的前向安全签名方法及系统

技术领域

本发明属于通信技术领域，涉及网络通信的安全问题，更确切地说是涉及一种能够增加敌手窃取签名密钥难度并且能够减轻签名密钥泄露影响的数字签名方法及系统。

背景技术

为了解决传统公钥密码体制中的证书管理问题，基于身份公钥密码体制中的密钥托管问题，以及无证书公钥密码体制中的公钥替换攻击问题，Gentry在2004年欧密会上提出了基于证书的密码体制(Certificate-Based Cryptography，CBC)，并提出了第一个基于证书的加密方案(Certificate-Based Encryption，CBE)。基于证书的密码体制是将传统的公钥密码体制和基于身份的密码体制的优点结合起来，消除了高代价的证书验证过程，并且不存在密钥托管的隐患。基于证书的密码体制同传统公钥密码体制一样，也有一个证书中心(CA)为用户提供证书，保证用户身份和公钥间的对应，在解密或签名过程中，用户需要同时使用证书和私钥，因而在加密或签名验证过程中不存在对证书状态的第三方询问。由于用户可以向CA请求一个长期证书，所以基于证书的密码体制中不存在无证书密码体制中的公钥替换攻击问题。因此，基于证书的密码体制自从被提出后，受到了广泛关注，成为了密码学研究的热点方向，各种基于证书的加密或签名方案相继被提出。

在现实中，对数字签名方案最大的威胁来自于密钥泄露，即一旦秘密密钥丢失(或被窃取)，以前由这个密钥生成的所有签名都变得无效。通常考虑的解决密钥泄露的方法是通过数个服务器经由秘密共享实现密钥分配，密钥分配有许多实例化的方法比如门限签名方法等。然而，使用密钥分配的方式开销相当大，当大企业或者证书权威组织能够分配密钥时，只拥有一台机器的普通用户却没有这样的选择，其他针对密钥泄露的保护方法包括弹性密钥泄露方法、受保护的硬件或者smartcard等，但这些方法也往往是昂贵或不切实际的。此外，密钥分配方案不一定能够提供想象中的安全性，比如，密钥分配易受共模故障的影响：因为所有机器使用相同的操作系统，如果找出一个系统的可能造成非法入侵的漏洞，所有的机器都会受到影响。

于是，前向安全签名的概念在1997年由Anderson引入，用来解决普通数字签名的密钥泄露问题。为了解决密钥泄露问题，Anderson提出把密码系统的生命周期分成若干个时间周期，在每个周期的最后，签名者以一个单向的模式，从当前周期的秘密密钥得到下一周期的新的秘密密钥，并且安全地删除当前周期的秘密密钥。而在整个密钥的生命周期中，公钥始终保持不变，这个方法确保了密钥被泄露的周期以前的所有签名的有效性。

1999年，Bellare和Miner第一次给出了前向安全签名的形式化定义，并基于Fiat和Shamir的签名方案给出了两个前向安全数字签名方案：一个是在普通数字签名基础上使用树型结构的证书链构造的方案；另一个是修改Fiat-Shamir签名方案。其基本思想是公钥一直保持不变，而私钥却是利用单向函数和前一时间段的私钥产生的，这样每一时间段的签名和私钥都互不相同，即使当前周期的签名密钥被泄露，也不影响该周期前签名的有效性，这样就减少了密钥泄露带来的威胁。

本发明人即是在前述技术发展背景下，对前向安全签名方法进行深入研究，本案由此产生。

发明内容

本发明所要解决的技术问题，是针对前述背景技术中的缺陷和不足，提供一种基于证书的前向安全签名方法及系统，其结合基于证书的签名方法和前向安全签名方法的优势，解决一部分基于证书密码体制中的密钥泄露问题，具有很高的实用价值。

本发明为解决以上技术问题，所采用的技术方案是：

一种基于证书的前向安全签名方法，包括如下步骤：

A.设定系统公开参数params，主公钥mpk和主密钥msk；

B.根据所述系统公开参数params，生成用户的公钥PK和初始私钥SK₀；

C.根据所述系统公开参数params，系统主密钥msk和用户的公钥PK产生用户的证书Cert_ID；

D.根据当前时间周期i和上一时间周期的用户私钥SK_i-1，生成当前时间周期的用户私钥SK_i；

E.根据所述系统公开参数params，用户的当前时间周期私钥SK_i和用户的证书Cert_ID对消息M进行签名得到当前时间周期的签名σ；

F.根据所述系统公开参数params和用户的公钥PK，对消息M在当前时间周期的签名σ进行验证。

上述步骤A包括：

A1.选定安全参数1^k和二叉树深度l，则系统总的时间周期为N＝2^l+1-1；

A2.选择两个阶为q的循环群G₁，G₂，其中，e：G₁×G₁→G₂是群G₁，G₂上可计算的双线性映射；

A3.选择随机数

作为系统主密钥msk，选择任意的生成元P∈G₁，并计算mpk＝sP作为系统主公钥；

A4.选择四个杂凑哈希函数：H₁：{0，1}^*×G₁→G₁，

H₃：{0，1}^*×{0，1}^*×G₁×G₁→G₁，H₄：{0，1}^*×{0，1}^*×{0，1}^*×G₁×G₁→G₁，则系统公开参数为params＝<G₁，G₂，e，q，P，l，H₁，H₂，H₃，H₄>；

A5.系统公开params和mpk，安全保存msk。

上述步骤A4中，所选的杂凑哈希函数选用哈希函数MD-5、SHA-1、SHA-2和SHA-3中的任一种。

上述步骤B具体包括：

B1.选择随机数

作为用户初始私钥SK₀；

B2.计算用户公钥PK＝xP∈G₁；

该初始私钥为周期0的用户私钥，即二叉树的根密钥S_ε，由用户自己产生并安全保存；用户公钥在方案的整个生命周期中公开并保持不变。

上述步骤C具体包括：

C1.计算Q_ID＝H₁(ID，PK)∈G₁；

C2.计算用户证书Cert_ID＝sQ_ID∈G₁。

上述用户私钥由用户安全地保存在密钥栈ST-SK中，当前时间周期i对应的二叉树结点为ω，结点密钥为S_ω＝(R_ω|1，R_ω|2，L，R_ω|n-1，R_ω，SN_ω)，步骤D具体包括：

D1.若ω为内部结点，则选择随机数ρ_ω0，

然后分别计算R_ω0＝ρ_ω0P，R_ω1＝ρ_ω1P，SN_ω0＝SN_ω+h_ω0ρ_ω0和SN_ω1＝SN_ω+h_ω1ρ_ω1，其中h_ω0＝H₂(ω0，R_ω0)，h_ω1＝H₂(ω1，R_ω1)；ω左子结点密钥为S_ω0＝(R_ω|1，L，R_ω|n-1，R_ω，R_ω0，SN_ω)，右子结点密钥为S_ω1＝(R_ω|1，L，R_ω|n-1，R_ω，R_ω1，SN_ω)；然后，分别将S_ω1，S_ω0依次压入栈ST-SK，最后，用户安全删除S_ω；

D2.若ω是叶子结点，则用户直接安全删除S_ω。

上述步骤E具体包括：

E1.当前时间周期为i∈[0，N)，用户首先将密钥栈ST-SK的栈顶元素S_ω出栈；

E2.随机选择

计算U＝rP；

E3.计算V＝H₃(M，i，U，PK)，W＝H₄(M，i，ID，U，PK)；

E4.计算FS＝Cert_ID+SN_ω·V+rW；

E5.σ＝(U，FS)即为i周期M的签名，输出<i，σ＝(U，FS)>和R_ω|θ，其中1≤θ≤n。

上述步骤F具体包括：

F1.计算Q_ID＝H₁(ID，PK)∈G₁，V＝H₃(M，i，U，PK)，W＝H₄(M，i，ID，U，PK)，h_ω|θ＝H₂(ω|θ，R_ω|θ)，其中1≤θ≤n；

F2.验证等式 $e(P,\mathrm{FS})=e(\mathrm{mpk},Q_{\mathrm{ID}})e(V,\mathrm{PK}+\underset{\mathrm{\&theta;}=1}{\overset{n}{\mathrm{\&Sigma;}}}{h}_{\mathrm{\&omega;}|\mathrm{\&theta;}}{R}_{\mathrm{\&omega;}|\mathrm{\&theta;}})e(U,W)$ 是否成立，如果成立，则<i，σ>为消息M在周期i的一个有效签名，输出true；否则，签名无效，输出false。

一种基于证书的前向安全签名系统，包括系统参数设置模块、用户初始公私钥生成模块、用户证书认证模块、用户密钥进化模块、签名模块和验证模块：

系统参数设置模块用于生成系统主密钥和系统公开参数，并将系统主密钥发送给用户证书认证模块，将系统公开参数发送给用户初始公私钥生成模块、用户证书认证模块、签名模块和验证模块；

用户初始公私钥生成模块用于生成各个用户的公钥和初始私钥，并将用户的公钥发送给用户证书认证模块和验证模块，将用户的私钥发送给用户密钥进化模块和签名模块；

用户证书认证模块用于对合法用户颁发证书，并将用户的证书发送给签名模块；

用户密钥进化模块用于根据时间周期的更新而进化用户的私钥，并将用户的进化后的私钥发送给签名模块；

签名模块用于在任意周期，对任意消息产生签名，并将产生的签名发送给验证模块；

验证模块用于对相应周期的消息签名的有效性进行验证。

采用上述方案后，本发明基于Li的可抵抗密钥替换攻击的基于证书的签名算法，使用二叉密钥进化树算法进化用户的密钥，给出了一个基于证书的前向安全签名方法，它不但具有一般的基于证书的数字签名方法所具有的所有特性与安全性，而且还具有前向安全性，解决了一部分基于证书的数字签名方法中的密钥泄露问题，具有很高的实用价值。

本发明所提供的签名方法与普通的基于证书的签名方法相比，增加了一个密钥进化模块，保证了该签名方法具有前向安全性，即使敌手获得当前时间周期的签名密钥，敌手也不能通过该密钥伪造出一个属于前一时间周期的合法签名，保护了之前时间周期的签名的有效性，降低了密钥泄露的损失。另外，该签名方法还使用了证书机制，也可以按照实际需求，选择适当的参数，调整方案的计算代价和存储代价，加强了方法的安全性和适用范围。

附图说明

图1是本发明签名方法的流程图；

图2是本发明签名系统的工作示意图；

图3是本发明签名系统的整体架构示意图。

具体实施方式

以下将结合附图，对本发明的技术方案进行详细说明。

如图2和图3所示，本发明提供一种基于证书的前向安全签名系统，包括下面六个模块：

(1)系统参数设置模块：用于生成系统主密钥和系统公开参数，并将系统主密钥发送给用户证书认证模块，将系统公开参数发送给用户初始公私钥生成模块、用户证书认证模块、签名模块和验证模块；

(2)用户初始公私钥生成模块：用于生成各个用户的公钥和初始私钥，并将用户的公钥发送给用户证书认证模块和验证模块，将用户的私钥发送给用户密钥进化模块和签名模块；

(3)用户证书认证模块：用于对合法用户颁发证书，并将用户的证书发送给签名模块；

(4)用户密钥进化模块：用于根据时间周期的更新而进化用户的私钥，并将用户的进化后的私钥发送给签名模块；

(5)签名模块：用于在任意周期，对任意消息产生签名，并将产生的签名发送给验证模块；

(6)验证模块：用于对相应周期的消息签名的有效性进行验证。

本发明实施例装置的各个模块可以成于一体，也可以分离部署。上述证书中心CA的四大模块可以合并为一个装置，也可拆分为四个装置；发送方设备的两大模块也可以合并为一个装置，或拆分为两个装置。

前向安全密码系统的关键是，前向安全性和密钥进化。

如果一个密钥进化的基于证书数字签名方法具有前向安全性，我们称其为基于证书前向安全数字签名方法。在这里，我们给出前向安全性的非正式的定义：

(前向安全性)如果一个具有自适应选择消息攻击能力的敌手首先对密钥进化的基于证书的数字签名方法进行自适应选择消息攻击，直至时间周期j(j为敌手任意选择)，然后敌手可以获得时间周期j的签名密钥SK_j，如果敌手仍不能存在性伪造一个属于时间周期i(i＜j)的有效签名，则称该方法具有前向安全性。

在我们的基于证书的前向安全签名方法设计中，使用的是二叉密钥进化树的前序遍历技术进化用户的私钥，该方法的具体描述如下：

二叉密钥进化树的前序遍历方法就是将所有时间周期按前序遍历与所有结点相关联，则N＝2^l+1-1(或l＝log₂(N+1)-1)，其中l为二叉树深度，N为时间周期总数。每个时间周期内用户的私钥由两个部分组成：(1)该时间周期所关联结点的结点密钥，用于签名；(2)从该结点到树根的路径上所有结点的右兄弟结点的结点密钥构成的一个有序元组(含0：l个结点密钥)，用于密钥进化。并且使用数据结构“栈”来存储用户私钥。

进化规则一：如果当前时间周期所关联的结点是内结点，则当前周期用户私钥中的首个结点密钥出栈，并由该出栈密钥生成其左子结点密钥和右子结点密钥。生成的右子结点密钥和左子结点密钥依次进栈，则由栈内结点密钥构成下一周期的用户私钥。

进化规则二：如果当前时间周期所关联的结点是叶子结点，则当前周期用户私钥中的首个结点密钥出栈，则由栈内结点密钥构成下一周期的用户私钥。

最后，删除当前结点的结点密钥。

如图1所示，为本发明实施例的一种基于证书的前向安全签名系统的流程图，具体工作流程如下：

权威中心Certifier选取适当的安全参数，使用系统参数设置模块A生成系统公开参数、系统主公钥mpk和主密钥msk；用户Alice使用用户初始公私钥生成模块B产生用户初始私钥SK₀和用户公钥PK，然后用户向注册机构RA发送自己的身份标识iD和公钥PK等信息进行注册；注册机构RA验证用户Alice的身份标识ID和公钥PK等信息有效性后将相关信息提交给权威中心Certifier，然后Certifier将系统主公钥mpk和用户公钥PK存储到目录服务器Directory；用户Alice向和Certifier发送证书请求，Certifier使用用户证书生成模块C产生用户证书cert并发送给Alice；收到证书以后，Alice先使用用户密钥进化模块D对初始私钥SK₀进行进化，即用户密钥进化模块D根据当前时间周期i和上一时间周期的用户私钥SK_i-1，生成当前时间周期的用户私钥SK_i，然后以SK_i和cert为输入使用签名模块E对消息M签名，产生消息签名对(M，σ)并发送给验证者Bob；验证者Bob首先从目录服务器获取主公钥mpk和用户公钥PK，然后根据所述系统公开参数和发送方公钥，使用验证模块F验证消息签名对(M，σ)是否满足系统要求。

本发明还提供一种基于前述基于证书的前向安全签名系统的方法，包括如下步骤：

系统参数设置模块A：设定系统公开参数params，主公钥mpk和主密钥msk；

用户初始公私钥生成模块B：根据所述系统公开参数params，生成用户的公钥PK和初始私钥SK₀；

用户证书认证模块C：根据所述系统公开参数params，系统主密钥msk和用户的公钥PK产生用户的证书Cert_ID；

用户密钥进化模块D：根据当前时间周期i和上一时间周期的用户私钥SK_i-1，生成当前时间周期的用户私钥SK_i；

签名模块E：根据所述系统公开参数params，用户的当前时间周期私钥SK_i和用户的证书Cert_ID对消息M进行签名得到当前时间周期的签名σ；

验证模块F：根据所述系统公开参数params和用户的公钥PK，对消息M在当前时间周期的签名σ进行验证。

其中，模块A的具体实现步骤如下：

A1.选定安全参数1^k和二叉树深度l(则系统总的时间周期为N＝2^l+1-1)；

A2.选择两个阶为q的循环群G₁，G₂，其中，e：G₁×G₁→G₂是群G₁，G₂上可计算的双线性映射；

A3.选择随机数

作为系统主密钥msk，选择任意的生成元P∈G₁，并计算mpk＝sP作为系统主公钥；

A4.选择四个杂凑哈希函数：H₁：{0，1}^*×G₁→G₁，

，H₃：{0，1}^*×{0，1}^*×G₁×G₁→G₁，H₄：{0，1}^*×{0，1}^*×{0，1}^*×G₁×G₁→G₁。则系统公开参数为params＝<G₁，G₂，e，q，P，l，H₁，H₂，H₃，H₄>。

系统公开params和mpk，安全保存msk。

其中，根据系统公开参数params，生成用户的公钥PK和初始私钥SK₀，模块B的具体实现步骤如下：

B1.选择随机数

作为用户初始私钥SK₀；

B2.计算用户公钥PK＝xP∈G₁。

该初始私钥为周期0的用户私钥，即二叉树的根密钥S_ε，由用户自己产生并安全保存；用户公钥在方案的整个生命周期中公开并保持不变。

其中，根据系统公开参数params，系统的主密钥msk和用户公钥PK，生成用户证书Cert_ID，模块C的具体实现步骤如下：

C1.计算Q_ID＝H₁(ID，PK)∈G₁；

C2.计算用户证书Cert_ID＝sQ_ID∈G₁。

其中，根据当前时间周期i和上一时间周期的用户私钥SK_i-1，利用二叉密钥进化树方法进化用户密钥，生成当前时间周期的用户私钥SK_i。用户私钥由用户安全地保存在密钥栈ST-SK中，当前周期i对应的二叉树结点为ω，结点密钥为S_ω＝(R_ω|1，R_ω|2，L，R_ω|n-1，R_ω，SN_ω)，模块D的具体实现步骤如下：

D1.若ω为内部结点，则选择随机数ρ_ω0，

然后分别计算R_ω0＝ρ_ω0P，R_ω1＝ρ_ω1P，SN_ω0＝SN_ω+h_ω0ρ_ω0和SN_ω1＝SN_ω+h_ω1ρ_ω1，其中h_ω0＝H₂(ω0，R_ω0)，h_ω1＝H₂(ω1，R_ω1)。所以ω左子结点密钥为S_ω0＝(R_ω|1，L，R_ω|n-1，R_ω，R_ω0，SN_ω)，右子结点密钥为S_ω1＝(R_ω|1，L，R_ω|n-1，R_ω，R_ω1，SN_ω)。然后，分别将S_ω1，S_ω0依次压入栈ST-SK，最后，用户安全删除S_ω；

D2.若ω是叶子结点，则用户直接安全删除S_ω。

其中，根据系统公开参数params，用户的当前时间周期私钥SK_i和用户的证书Cert_ID对消息M进行签名得到当前时间周期的签名σ，模块E的具体实现步骤如下：

E1.当前时间周期为i∈[0，N)，用户首先将密钥栈ST-SK的栈顶元素S_ω出栈；

E2.随机选择

计算U＝rP；

E3.计算V＝H₃(M，i，U，PK)，W＝H₄(M，i，ID，U，PK)；

E4.计算FS＝Cert_ID+SN_ω·V+rW；

E5.σ＝(U，FS)即为i周期M的签名，输出<i，σ＝(U，FS)>和R_ω|θ，其中1≤θ≤n。

其中，根据系统公开参数params和用户的公钥PK，对消息M在当前时间周期i的签名σ进行验证，模块F的具体实现步骤如下：

F1.计算Q_ID＝H₁(ID，PK)∈G₁，V＝H₃(M，i，U，PK)，W＝H₄(M，i，ID，U，PK)，h_ω|θ＝H₂(ω|θ，R_ω|θ)，其中1≤θ≤n；

F2.验证等式 $e(P,\mathrm{FS})=e(\mathrm{mpk},Q_{\mathrm{ID}})e(V,\mathrm{PK}+\underset{\mathrm{\&theta;}=1}{\overset{n}{\mathrm{\&Sigma;}}}{h}_{\mathrm{\&omega;}|\mathrm{\&theta;}}{R}_{\mathrm{\&omega;}|\mathrm{\&theta;}})e(U,W)$ 是否成立。如果成立，则<i，σ>为消息M在周期i的一个有效签名，输出true；否则，签名无效，输出false。

需要说明的是，针对不同的应用需求，不同的安全性等级要求，可以采用不同规模的参数：k，l等，所以说，本发明具有多种具体的实施方式，这里不再赘述。

在电信网络中，使用前向安全的数字签名技术，保证数字签名的前向安全，再结合具体证书管理技术，提出基于证书的前向安全签名技术，不仅能支持现有的主流认证与授权，还能够考虑到安全稳定快速的用户体验。具体做法是：把基于证书的前向安全签名技术作为一个基本模块，结合到相关的协议与密码方案中。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件完成，所述程序可存储于计算机可读取存储介质中，该程序在执行时，可以包括上述各方法的实施例的流程。其中，所述的存储介质可以为磁碟、光盘、只读存储记忆体等。

以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。

Claims (9)

1.一种基于证书的前向安全签名方法，其特征在于包括如下步骤：

A.设定系统公开参数params，主公钥mpk和主密钥msk；

B.根据所述系统公开参数params，生成用户的公钥PK和初始私钥SK₀；

C.根据所述系统公开参数params，系统主密钥msk和用户的公钥PK产生用户的证书Cert_ID；

D.根据当前时间周期i和上一时间周期的用户私钥SK_i-1，生成当前时间周期的用户私钥SK_i；

E.根据所述系统公开参数params，用户的当前时间周期私钥SK_i和用户的证书Cert_ID对消息M进行签名得到当前时间周期的签名σ；

F.根据所述系统公开参数params和用户的公钥PK，对消息M在当前时间周期的签名σ进行验证。

2.如权利要求1所述的基于证书的前向安全签名方法，其特征在于所述步骤A包括：

A1.选定安全参数1^k和二叉树深度l，则系统总的时间周期为N＝2^l+1-1；

A2.选择两个阶为q的循环群G₁，G₂，其中，e：G₁×G₁→G₂是群G₁，G₂上可计算的双线性映射；

A3.选择随机数

作为系统主密钥msk，选择任意的生成元P∈G₁，并计算mpk＝sP作为系统主公钥；

A4.选择四个杂凑哈希函数：H₁：{0，1}^*×G₁→G₁，

H₃：{0，1}^*×{0，1}^*×G₁×G₁→G₁，H₄：{0，1}^*×{0，1}^*×{0，1}^*×G₁×G₁→G₁，则系统公开参数为params＝<G₁，G₂，e，q，P，l，H₁，H₂，H₃，H₄>；

A5.系统公开params和mpk，安全保存msk。

3.如权利要求2所述的基于证书的前向安全签名方法，其特征在于，所述步骤A4中，所选的杂凑哈希函数选用哈希函数MD-5、SHA-1、SHA-2和SHA-3中的任一种。

4.如权利要求1所述的基于证书的前向安全签名方法，其特征在于所述步骤B具体包括：

B1.选择随机数

作为用户初始私钥SK₀；

B2.计算用户公钥PK＝xP∈G₁；

该初始私钥为周期0的用户私钥，即二叉树的根密钥S_ε，由用户自己产生并安全保存；用户公钥在方案的整个生命周期中公开并保持不变。

5.如权利要求1所述的基于证书的前向安全签名方法，其特征在于所述步骤C具体包括：

C1.计算Q_ID＝H₁(ID，PK)∈G₁；

C2.计算用户证书Cert_ID＝sQ_ID∈G₁。

6.如权利要求1所述的基于证书的前向安全签名方法，其特征在于：用户私钥由用户安全地保存在密钥栈ST-SK中，当前时间周期i对应的二叉树结点为ω，结点密钥为S_ω＝(R_ω|1，R_ω|2，L，R_ω|N-1,R_ω，SN_ω)，步骤D具体包括：

D1.若ω为内部结点，则选择随机数ρ_ω0，

然后分别计算R_ω0＝ρ_ω0P，R_ω1＝ρ_ω1P，SN_ω0＝SN_ω+h_ω0ρ_ω0和SN_ω1＝SN_ω+h_ω1ρ_ω1，其中h_ω0＝H₂(ω0，R_ω0)，h_ω1＝H₂(ω1，R_ω1)；ω左子结点密钥为S_ω0＝(R_ω|1，L，R_ω|n-1，R_ω，R_ω0，SN_ω)，右子结点密钥为S_ω1＝(R_ω|1，L，R_ω|n-1，R_ω，R_ω1，SN_ω)；然后，分别将S_ω1，S_ω0依次压入栈ST-SK，最后，用户安全删除S_ω；

D2.若ω是叶子结点，则用户直接安全删除S_ω。

7.如权利要求1所述的基于证书的前向安全签名方法，其特征在于所述步骤E具体包括：

E1.当前时间周期为i∈[0，N)，用户首先将密钥栈ST-SK的栈顶元素S_ω出栈；

E2.随机选择

计算U＝rP；

E3.计算V＝H₃(M，i，U，PK)，W＝H₄(M，i，ID，U，PK)；

E4.计算FS＝Cert_ID+SN_ω·V+rW；

E5.σ＝(U，FS)即为i周期M的签名，输出<i，σ＝(U，FS)>和R_ω|θ，其中1≤θ≤n。

8.如权利要求1所述的基于证书的前向安全签名方法，其特征在于所述步骤F具体包括：

F1.计算Q_ID＝H₁(ID，PK)∈G₁，V＝H₃(M，i，U，PK)，W＝H₄(M，i，ID，U，PK)，h_ω|θ＝H₂(ω|θ，R_ω|θ)，其中1≤θ≤n；

F2.验证等式 $e(P,\mathrm{FS})=e(\mathrm{mpk},Q_{\mathrm{ID}})e(V,\mathrm{PK}+\underset{\mathrm{\&theta;}=1}{\overset{n}{\mathrm{\&Sigma;}}}{h}_{\mathrm{\&omega;}|\mathrm{\&theta;}}{R}_{\mathrm{\&omega;}|\mathrm{\&theta;}})e(U,W)$ 是否成立，如果成立，则<i，σ>为消息M在周期i的一个有效签名，输出rtue；否则，签名无效，输出false。

9.一种应用如权利要求1所述的基于证书的前向安全签名方法的签名系统，其特征在于包括：

系统参数设置模块：用于生成系统主密钥和系统公开参数，并将系统主密钥发送给用户证书认证模块，将系统公开参数发送给用户初始公私钥生成模块、用户证书认证模块、签名模块和验证模块；

用户初始公私钥生成模块：用于生成各个用户的公钥和初始私钥，并将用户的公钥发送给用户证书认证模块和验证模块，将用户的私钥发送给用户密钥进化模块和签名模块；

用户证书认证模块：用于对合法用户颁发证书，并将用户的证书发送给签名模块；

用户密钥进化模块：用于根据时间周期的更新而进化用户的私钥，并将用户的进化后的私钥发送给签名模块；

签名模块：用于在任意周期，对任意消息产生签名，并将产生的签名发送给验证模块；

验证模块：用于对相应周期的消息签名的有效性进行验证。

Images