CN103414557A - 新型的密钥隔离签名的方法及系统 - Google Patents

Abstract

本发明提供了一种具有协助器密钥自更新能力的密钥隔离签名方法，其包括：签名者根据随机选取的两个参数s₀,h₀和密码哈希函数H₁生成初始的签名者密钥SK₀，在以后的每个时间片段的开始，协助器设备都会给签名者发送一个协助器更新消息SKU_i，帮助签名者更新当前时间片段的临时密钥SK_i，协助器设备在帮助签名者更新他的临时密钥的同时，协助器的密钥在每个时间片段也在进行自我更新，在0时间片段，从中随机选取一个参数h₀作为协助器的初始密钥HK₀，在i时间片段，协助器密钥更新为HK_i。该方法可以减少协助器密钥泄露的可能性，从而大大增强密钥隔离签名方法的安全性。

Description

新型的密钥隔离签名的方法及系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种具有协助器密钥自更新能力的密钥隔离签名的方法及系统。

背景技术

密码技术是构成网络安全防护的重要基础，数据加密、认证、数字签名、电子货币等，都与密码技术有着密切的关系。通过密码算法，普通的网络用户不仅可以保护自己的隐私，还可以进行可靠的网络交易、网络支付，建立网络上的信任关系等。

随着新技术的发展，越来越多的移动设备如智能手机、移动互联网设备等应用了数字签名技术，而这些移动设备本身并不具备很高的安全性，使得密钥泄露很难避免。在传统的密码系统中，一旦签名密钥泄露，意味着整个签名系统的安全性完全丧失。由于密钥泄露问题日趋严重，而在大多数情况下，攻击者从一个不安全的设备中获取密钥要比攻破系统的安全性所依赖的密码假设容易得多，这样就进一步增加了密钥泄露的可能性。因此研究减小密钥泄露对数字签名危害的方法，成为目前密码学领域的一个研究热点。

密钥泄露问题是一个严重的安全问题，不管密码体制被设计的多么安全，只要密钥泄露，相关于这个密钥的所有密码操作都不再安全。

密钥隔离技术作为减少密钥泄露危害的重要方法之一，主要思想是定期对签名密钥进行更新，从而减小密钥泄露对数字签名产生影响。密钥隔离机制作为密钥演化机制的一种重要分支，是密码学领域的一个研究热点。

密钥隔离数字签名技术是一种特殊的数字签名，密钥隔离数字签名具有的密钥演化特征以及在部分时间段发生密钥泄露后对未发生密钥泄露的时间段的密钥具有的保密特征，使得密钥隔离数字签名技术可广泛应用到许多领域。

自从Dodis等在上提出密钥隔离的概念，随后许多密钥隔离的密码方案相继被提出，但就效率和安全性等综合考虑，目前最好的方案是Dodis的方案。然而，该方案不具备密钥隔离性，若协助器密钥发生泄露，系统的安全性很难得到保证；系统公钥、协助器密钥随着生命周期的增加而线性增加。

由于在密钥隔离技术中密钥更新是依赖于协助器所产生的密钥更新消息而完成的，一旦协助器密钥发生泄露，此密钥隔离系统也是不安全的。因此，在密钥隔离技术的基础上，增加协助器密钥自更新机制，其思想是定期对协助器密钥进行更新，增强密钥隔离系统的安全性，从而减小密钥泄露的可能性。

发明内容

为了减少密钥隔离签名技术中外围设备密钥泄露问题，我们提出一种具有协助器密钥自更新能力的密钥隔离签名方法及系统，通过增加协助器密钥自更新机制，可以减少协助器密钥泄露的可能性，从而大大增强密钥隔离签名方法的安全性。

本发明提供一种具有协助器密钥自更新能力的密钥隔离签名方法，包括：

签名者根据随机选取的两个参数s₀,h₀和密码哈希函数H₁生成初始的签名者密钥SK₀（0时间段的签名者密钥）。在以后的每个时间片段的开始，协助器设备都会给签名者发送一个协助器更新消息SKU_i，帮助签名者更新当前时间片段的临时密钥SK_i；

协助器设备在帮助签名者更新他的临时密钥的同时，协助器的密钥在每个时间片段也在进行自我更新。在0时间片段，从中随机选取一个参数h₀作为协助器的初始密钥HK₀，在i时间片段，协助器密钥更新为HK_i。在每个时间片段，协助器根据当前的协助器密钥生成更新消息，并发送给签名者；

签名者用密钥SK_i对消息m进行签名得到签名σ，验证者可以验证签名的有效性。

其中，验证过程用到双线性映射

签名的生成依赖于哈希函数H₂，i为时间参数，表示整个系统时间内的任意一个时间片段，H₁和H₂是两个密码哈希函数并且满足：

H₁:{0,1}^*→G₁,H₂:{0,1}^*×G₁×{0,1}^*→G₁。

是双线性映射，G₁是阶为q的乘法群，g是它的生成元，G₂是阶为q的乘法群，q是素数。

所述密钥隔离签名方法进一步具体包括以下步骤：

第一步，密钥生成步骤；

第二步，协助器密钥更新步骤；

第三步，签名者密钥更新步骤；

第四步，签名步骤；

第五步，验证步骤。

所述密钥隔离签名方法更进一步包括以下步骤：

第一步，密钥生成步骤，随机选取参数s₀,h₀，生成签名者公钥PK，用户初始密钥SK₀和协助器初始密钥HK₀；

第二步，协助器密钥更新步骤，输入时间参数i和协助器当前密钥HK_i，计算新时间段的协助器密钥HK_i+1和协助器更新消息SKU_i；

第三步，签名者密钥更新步骤，输入时间段参数i，签名者在当前时间段的密钥SK_i和协助器更新消息SKU_i，计算签名者新的时间段的密钥SK_i+1；

第四步，签名步骤，输入时间段参数i，签名者临时密钥SK_i和需要签名的消息m，签名者计算消息m的签名σ；

第五步，验证步骤，输入签名者公钥PK，消息m，和签名σ，验证σ是否是签名者对消息m的签名。

所述密钥生成步骤（第一步）中的签名者的公钥，初始密钥和协助器初始密钥是按照如下方式生成的：

第1a步，输入安全参数k∈N，随机选取

第1b步，计算 $P{K}_S=g^{s_0},$ $P{K}_H=g^{h_0},$ ${\mathrm{US}}_0=H_1{\left(0\right)}^{s_0}\·H_1{\left(0\right)}^{h_0};$

第1c步，生成公钥PK=(PK_S,PK_H)，签名者的初始密钥是SK₀=(s₀,US₀)，协助器初始密钥HK₀=h₀；

第1d步，输出(PK,SK₀，HK₀)。

所述协助器密钥更新步骤（第二步）中，协助器更新消息具体按照如下方式生成：

第2a步，输入时间参数i和协助器密钥HK_i，任选

第2b步，计算新时间段的协助器密钥HK_i+1=HK_i-α和当前时间段的协助器更新消息 ${\mathrm{SKU}}_i=(\mathrm{\α},\frac{H_1{(i+1)}^{{\mathrm{HK}}_{i+1}}}{H_1{\left(i\right)}^{{\mathrm{Hk}}_i}});$

第2c步，输出(HK_i+1,SKU_i)。

所述签名者密钥更新步骤（第三步），签名者新时间段的密钥具体按照如下方式生成：

第3a步，输入时间段参数i，签名者在i时间段的密钥SK_i和协助器更新消息SKU_i，其中，SK_i=(s_i,US_i)，SKU_i=(α,U_i)；

第3b步，计算 ${\mathrm{US}}_{i+1}={\mathrm{US}}_i\·U_i\·H_1{(i+1)}^{\mathrm{\α}+s_i}/H_1{\left(i\right)}^{s_i},$ s_i+1=s_i+α；

第3c步，输出签名者在i+1时间段的密钥SK_i+1=(s_i+1,US_i+1)。

所述签名步骤(第四步)，根据签名者的密钥，对消息的签名具体按照如下方式生成：

第4a步，输入时间段参数i，签名者在当前时间段的密钥SK_i和需要签名的消息m，任选

第4b步，计算A=g^β，M=H₂(i,A,m)，B=US_i·M^β；

第4c步，输出签名σ=(i,A,B)。

所述验证步骤（第五步）中对签名的有效性进行验证，具体按照如下方式进行：

第5a步，输入公钥PK=(PK_S,PK_H)，消息m，和消息m的签名σ；

第5b步，计算M=H₂(i,A,m)；

第5c步，判断以下等式是否成立，

$\hat{e}(g,B)=\hat{e}(A,M)\·\hat{e}({\mathrm{PK}}_H,H_1\left(i\right))\·\hat{e}({\mathrm{PK}}_S,H_1\left(i\right)).$

本发明还提供了一种具有协助器密钥自更新能力的密钥隔离签名系统，其包括：

密钥生成模块，通过安全参数k，生成公钥PK，用户初始密钥SK₀和协助器初始密钥HK₀；

协助器密钥更新模块，通过输入时间参数i和协助器密钥HK_i，计算新的协助器密钥HK_i+1和协助器更新消息SKU_i；

签名者密钥更新模块，通过输入时间参数i，签名者在i时间段的密钥SK_i和协助器更新消息SKU_i，计算签名者新的密钥SK_i+1；

签名模块，通过输入时间参数i，签名者密钥SK_i和需要签名的消息m，计算消息m的签名σ；

验证模块，通过输入公钥PK，消息m和消息m的签名σ，验证σ是否是签名者对消息m的签名。

本发明还提供了用于上述具有协助器密钥自更新能力的密钥隔离签名方法的用户设备和协助器设备。

用户设备的操作包括：

签名者初始密钥生成单元，其用于生成用户的初始密钥和公钥；

签名者密钥更新单元，其用于根据时间段i时签名者密钥生成时间段i+1时的签名者密钥；

签名单元，其用于生成时间段i时签名者对消息m的签名。

协助器设备的操作包括：

协助器初始密钥生成单元，其用于生成协助器的初始密钥和公钥；

协助器密钥更新单元，其用于更新协助器的密钥；

协助器更新消息生成单元，其用于当前时间片段的协助器密钥生成协助器更新消息，并发送给用户。

本发明的有益效果:

在本发明中，所提供具有协助器密钥自更新能力的密钥隔离签名方法和系统的安全性比Dodis的方案更高，协助器密钥具有自更新能力，每个时间段的密钥都自我更新，即使攻击者在系统的整个生命周期的某个时间段内攻击了协助器，取了协助器的密钥，攻击者不能在其他时间段代替协助器向用户发送更新消息；所有的密钥具有固定的长度，不随着整个系统生命周期的增长而线性增长。

附图说明

图1为本发明实施例提供的具有协助器密钥自更新能力的密钥隔离签名方法流程图；

图2为本发明实施例提供的协助器设备结构示意图；

图3为本发明实施例提供的用户设备示意图。

具体实施方式

本发明提供的具有协助器密钥自更新能力的密钥隔离签名方法和系统是基于如下数学理论：

1.双线性配对

设G₁是阶为q的乘法群，G₂是另一个阶为q的乘法群，若映射

满足以下性质：

1)双线性：对于 $\∀P,Q\∈G_1,$

满足 $\hat{e}(P^a,Q^b)=\hat{e}{(P,Q)}^{\mathrm{ab}}.$

2)非退化性：存在P,Q∈G，使得

3)可计算性：存在有效算法，对于均可计算

则称该映射

为双线性配对。

基于此，本发明提供一种具有协助器密钥自更新能力的密钥隔离签名方法，包括：

签名者根据随机选取的两个参数s₀,h₀和密码哈希函数H₁生成初始的签名者密钥SK₀（0时间段的签名者密钥）。在以后的每个时间片段的开始，协助器设备都会给签名者发送一个协助器更新消息SKU_i，帮助签名者更新当前时间片段的临时密钥SK_i。

协助器设备在帮助签名者更新他的临时密钥的同时，协助器的密钥在每个时间片段也在进行自我更新。在0时间片段，从

中随机选取一个参数h₀作为协助器的初始密钥HK₀，在i时间片段，协助器密钥更新为HK_i。在每个时间片段，协助器根据当前的协助器密钥生成更新消息，并发送给签名者。

签名者用密钥SK_i对消息m进行签名得到签名σ，验证者可以验证签名的有效性。

其中，验证过程用到双线性映射

签名的生成依赖于哈希函数H₂，i为时间参数，表示整个系统时间内的任意一个时间片段，H₁和H₂是两个密码哈希函数并且满足：

H₁:{0,1}^*→G₁,H₂:{0,1}^*×G₁×{0,1}^*→G₁。

是双线性映射，G₁是阶为q的乘法群，g是它的生成元，G₂是阶为q的乘法群，q是素数。

所述密钥隔离签名方法进一步包括以下步骤：

第一步，密钥生成步骤，用于生成公钥、签名者初始密钥和协助器初始密钥；

第二步，协助器密钥更新步骤，根据已知时间段i时协助器密钥，生成时间段i+1时协助器密钥，同时生成时间段i时的更新消息，用于更新签名者密钥；

第三步，签名者密钥更新步骤，根据已知时间段i时签名者密钥和协助器生成的更新消息，生成时间段i+1时的签名者密钥；

第四步，签名步骤，根据时间段i时的签名者密钥和消息，生成i时间段签名者对消息的签名；

第五步，验证步骤，根据已知的签名、消息以及签名时间段i，验证此签名是否是签名者在时间段i对此消息的有效签名。

所述密钥隔离签名方法更进一步包括以下步骤：

第一步，密钥生成步骤，随机选取参数s₀,h₀，生成公钥PK，签名者初始密钥SK₀和协助器初始密钥HK₀；

第二步，协助器密钥更新步骤，输入时间参数i和协助器密钥HK_i，计算新的协助器密钥HK_i+1和协助器更新消息SKU_i，用于更新签名者的密钥；

第三步，签名者密钥更新步骤，输入时间参数i，签名者密钥SK_i和协助器更新消息SKU_i，计算签名者新的密钥SK_i+1；

第四步，签名步骤，输入时间参数i，签名者密钥SK_i和需要签名的消息m，计算消息m在时间i时的签名σ；

第五步，验证步骤，输入公钥PK，消息m，和消息m的签名σ，验证σ是否是签名者对消息m的签名。

所述第一步中的签名者的公钥，初始密钥和协助器初始密钥是按照如下方式生成的，

第1a步，输入安全参数k∈N，随机选取

第1b步，计算 $P{K}_S=g^{s_0},$ $P{K}_H=g^{h_0},$ ${\mathrm{US}}_0=H_1{\left(0\right)}^{s_0}\·H_1{\left(0\right)}^{h_0};$

第1c步，生成公钥PK=(PK_S,PK_H)，签名者的初始密钥是SK₀=(s₀,US₀)，协助器密钥HK₀=h₀；

第1d步，输出(PK,SK₀，HK₀)。

所述协助器密钥更新步骤（第二步）中，协助器更新消息具体按照如下方式生成：

第2a步，输入时间参数i和协助器密钥HK_i，任选

第2b步，计算新时间段的协助器密钥HK_i+1=HK_i-α和当前时间段的协助器更新消息 ${\mathrm{SKU}}_i=(\mathrm{\α},\frac{H_1{(i+1)}^{{\mathrm{HK}}_{i+1}}}{H_1{\left(i\right)}^{{\mathrm{Hk}}_i}});$

第2c步，输出(HK_i+1,SKU_i)。

所述签名者密钥更新步骤（第三步），签名者新时间段的密钥具体按照如下方式生成：

第3a步，输入时间参数i，签名者在i时间段的密钥SK_i和协助器更新消息SKU_i，其中，SK_i=(s_i,US_i)，SKU_i=(α,U_i)；

第3b步，计算 ${\mathrm{US}}_{i+1}={\mathrm{US}}_i\·U_i\·H_1{(i+1)}^{\mathrm{\α}+s_i}/H_1{\left(i\right)}^{s_i},$ s_i+1=s_i+α；

第3c步，输出签名者在i+1时间段的密钥SK_i+1=(s_i+1,US_i+1)。

所述签名步骤(第四步)，根据签名者的密钥，对消息的签名具体按照如下方式生成：

第4a步，输入时间参数i，签名者密钥SK_i和需要签名的消息m，任选 $\mathrm{\β}{\∈}_R{Z}_q^{*};$

第4b步，计算A=g^β，M=H₂(i,A,m)，B=US_i·M^β；

第4c步，输出签名σ=(i,A,B)。

所述验证步骤（第五步）中对签名的有效性进行验证，具体按照如下方式进行：

第5a步，输入签名者公钥PK=(PK_S,PK_H)，消息m，和消息m的签名σ；

第5b步，计算M=H₂(i,A,m)；

第5c步，判断以下等式是否成立，

$\hat{e}(g,B)=\hat{e}(A,M)\·\hat{e}({\mathrm{PK}}_H,H_1\left(i\right))\·\hat{e}({\mathrm{PK}}_S,H_1\left(i\right)).$

进一步，所述具有协助器密钥自更新能力的密钥隔离签名方法仅由上述步骤构成。

本发明还提供了一种具有协助器密钥自更新能力的密钥隔离签名系统，其包括：

密钥生成模块，通过随机选取参数s₀,h₀，生成公钥PK，用户初始密钥SK₀和协助器初始密钥HK₀；

协助器密钥更新模块，通过输入时间参数i和协助器密钥HK_i，计算新的协助器密钥HK_i+1和协助器更新消息SKU_i；

签名者密钥更新模块，通过输入时间段参数i，签名者密钥SK_i和协助器更新消息SKU_i，计算签名者新的密钥SK_i+1；

签名模块，通过输入时间参数i，签名者密钥SK_i和需要签名的消息m，计算消息m在时间i时的签名σ；

验证模块，通过输入签名者公钥PK，消息m和消息m的签名σ，验证σ是否是签名者对消息m的签名。

进一步，所述具有协助器密钥自更新能力的密钥隔离签名系统仅由上述模块构成。

本发明还提供了用于上述具有协助器密钥自更新能力的密钥隔离签名方法的用户设备和协助器设备。

用户设备的操作包括：

签名者初始密钥生成单元，其用于生成用户的初始密钥和公钥；

签名者密钥更新单元，其用于根据时间段i时签名者密钥生成时间段i+1时的签名者密钥；

签名单元，其用于生成时间段i时签名者对消息m的签名。

协助器设备的操作包括：

协助器初始密钥生成单元，其用于生成协助器的初始密钥和公钥；

协助器密钥更新单元，其用于更新协助器的密钥；

协助器更新消息生成单元，其用于当前时间片段的协助器密钥生成协助器更新消息，并发送给用户。

进一步，所述协助器设备仅由上述单元生成。

以下将结合说明书和附图对本发明做进一步详细说明。

图1为本发明提供的具有协助器密钥自更新能力的密钥隔离签名方法流程图。在本发明中存在两个实体，一个是用户设备，一个是协助器设备。本发明提供的密钥隔离签名方法通过以下步骤来执行。

其中，A10是密钥生成步骤，用于生成公钥、签名者初始密钥和协助器初始密钥。A20是协助器密钥更新步骤，已知时间段i时协助器密钥，生成时间段i+1时协助器密钥，同时生成时间段i时的更新消息，用于更新签名者密钥。A30是签名者密钥更新步骤，已知时间段i时签名者密钥和协助器生成的更新消息，生成时间段i+1时的签名者密钥。A40是签名步骤，根据时间段i时的签名者密钥和消息，生成i时间段签名者对消息的签名。A50是验证步骤，根据已知的签名、消息以及签名时间段i，验证此签名是否是签名者在时间段i对此消息的有效签名。

A10是密钥生成步骤。从

中随机选取两个参数s₀,h₀，其中，

q为素数，s₀为用户的密钥，h₀为协助器的密钥。从协助器获取协助器初始密钥HK₀，根据所述参数s₀,h₀、密码哈希函数H₁，设定用户的初始密钥，协助器公钥和用户的公钥。

具体地，由用户设备生成用户公钥和用户密钥，并定时或者在协助器或业务应用的请求下对用户的密钥进行更新，协助器为物理安全性较高的设备，协助器可以生成协助器密钥、协助器公钥和协助器初始密钥，并定时或者在用户设备的请求下对协助器密钥进行更新。初始时刻可以表示为时间段0。

步骤A10最终返回系统的公钥，用户的在时间段0的密钥（初始密钥）和协助器的初始密钥，表示为(PK,SK₀,HK₀)。

A20是协助器密钥更新步骤。从

中随机选取参数α，根据时间参数i、随机参数α和协助器密钥HK_i，计算新的协助器密钥HK_i+1。根据随机参数α、密码哈希函数H₁和时间段i、i+1时的协助器密钥HK_i、HK_i+1，计算时间段i时更新消息U_i，则协助器更新消息是SKU_i=(α,U_i)。

具体地，由协助器设备定时更新协助器密钥，可以有效减少协助器密钥泄露的可能性，同时，在每个时间段都生成一个协助器更新消息，协助器更新消息由协助器设备生成，发送给用户设备用于用户密钥的更新。

步骤A20最终返回协助器在时间段i+1时的协助器密钥HK_i+1和时间段i时的协助器更新消息SKU_i。

A30是签名者密钥更新步骤。根据随机参数α，时间参数i和此时签名者密钥SK_i、协助器更新消息SKU_i，密码哈希函数H₁，计算签名者新的密钥SK_i+1。

具体地，用户设备接收到协助器更新消息之后，对签名者密钥进行更新。步骤A30最终返回签名者在时间段i+1时的签名者密钥SK_i+1。

A40是签名步骤，从

中随机选取参数β，输入时间参数i，签名者密钥SK_i和需要签名的消息m，根据密码哈希函数H₂计算消息m在时间i时的签名σ=(i,A,B)，其中A=g^β，M=H₂(i,A,m)，B=US_i·M^β，g是乘法群G₁的生成元，M是对消息m进行哈希函数H₂计算所得。

具体地，用户设备根据时间段i的签名者密钥和需要签名的消息进行签名处理。步骤A40最终返回签名者在时间段i时对消息m的签名σ=(i,A,B)。

A50是验证步骤，验证者首先计算消息m的哈希函数H₂结果，根据系统的公钥PK=(PK_S,PK_H)，消息m，和消息m的签名σ，通过验证等式 $\hat{e}(g,B)=\hat{e}(A,M)\·\hat{e}({\mathrm{PK}}_H,H_1\left(i\right))\·\hat{e}({\mathrm{PK}}_S,H_1\left(i\right))$ 验证σ是否是签名者对消息m的有效签名。

如果上述等式成立，则说明σ是签名者在时间段i对消息m的有效签名，接受此签名并返回1；否则拒绝签名，并返回0。

图2为本发明提供的协助器设备示意图。如图2所示，本发明提供的协助器设备81具体可以实现本发明任意实施例提供的适用于协助器密钥自更新的密钥隔离签名方法的各个步骤，具体实现过程在此不再赘述。

本发明实施例提供的协助器设备81，具体包括：

协助器初始密钥生成单元21，用于根据从

中选取的参数h₀，计算协助器初始密钥HK₀。

协助器密钥更新单元22，用于根据从中选取的参数α和时间段i时的协助器密钥HK_i，计算时间段i+1的协助器密钥HK_i+1，初始为时间段0。

协助器更新消息生成单元23，用于根据从

中选取的参数α，间段i时的协助器密钥HK_i和时间段i+1的协助器密钥HK_i+1，计算时间段i的更新消息SKU_i。

图3为本发明实施例提供的用户设备示意图。如图3所示，本发明实施例提供的用户设备82具体可以实现本发明任意实施例提供的适用于协助器密钥自更新的密钥隔离签名方法的各个步骤，具体实现过程在此不再赘述。

本发明实施例提供的用户设备82，具体包括：

签名者初始密钥生成单元31，用于根据从

中选取的参数h₀,s₀，计算签名者初始密钥SK₀，公钥PK。

签名者密钥更新单元32，用于根据时间段i的签名者密钥SK_i和更新消息SKU_i，计算时间段i+1时签名者密钥SK_i+1。

签名单元33，用于根据时间段i时签名者的密钥SK_i和消息m，计算时间段i时签名者对消息m的签名σ。

如图1所示本实施例提供的密钥隔离签名方法通过以下步骤来执行。

一种具有协助器密钥自更新能力的密钥隔离签名方法，其中G₁是阶为q的乘法群，g是它的生成元，G₂是阶为q的乘法群，q是素数。是双线性映射，H₁和H₂是两个密码哈希函数，满足以下条件：

H₁:{0,1}^*→G₁,H₂:{0,1}^*×G₁×{0,1}^*→G₁。

（1）密钥生成阶段

用于生成系统公钥、签名者初始密钥和协助器初始密钥。其中，签名者公钥和初始密钥由图3中用户设备82的初始密钥生成单元31生成的，协助器初始密钥是由图2中协助器设备81的初始密钥生成单元21生成的，密钥生成步骤具体描述如下所示：

从

中随机选取两个参数s₀,h₀，生成系统公钥PK，签名者初始密钥SK₀和协助器初始密钥HK₀，其中

q为素数。

(a).输入安全参数k∈N，任选

其中，N为自然数。

(b).计算 $P{K}_S=g^{s_0},$ $P{K}_H=g^{h_0},$ ${\mathrm{US}}_0=H_1{\left(0\right)}^{s_0}\·H_1{\left(0\right)}^{h_0}.$

(c).生成公钥PK=(PK_S,PK_H)，签名者的初始密钥是SK₀=(s₀,US₀)，协助器初始密钥HK₀=h₀。

(d).输出(PK,SK₀，HK₀)。

（2）协助器密钥更新阶段

已知时间段i时协助器密钥，生成时间段i+1时协助器密钥，同时生成时间段i时的更新消息，用于更新签名者密钥。其中协助器密钥更新是由图2中协助其设备81的协助器密钥更新单元12实现的，更新消息是由图2中协助器设备81的更新消息单元13生成的，协助器密钥更新步骤具体描述如下所示：

输入时间段参数i和协助器密钥HK_i，计算时间段i+1时新的协助器密钥HK_i+1，和时间段i时协助器更新消息SKU_i。

(a).输入时间段参数i和协助器密钥HK_i，任选

(b).计算HK_i+1=HK_i-α，

${\mathrm{SKU}}_i=(\mathrm{\α},\frac{H_1{(i+1)}^{{\mathrm{HK}}_{i+1}}}{H_1{\left(i\right)}^{{\mathrm{Hk}}_i}}).$

(c).输出(HK_i+1,SKU_i)。

（3）签名者密钥更新阶段

已知时间段i时签名者密钥和协助器生成的更新消息，生成时间段i+1时的签名者密钥。其中，签名者密钥更新是由图3中用户设备82的密钥更新单元32实现的，签名者密钥更新步骤具体描述如下：

输入时间段参数i，签名者密钥SK_i和协助器更新消息SKU_i，计算签名者新的密钥SK_i+1。

(a).输入时间段参数i，签名者密钥SK_i和协助器更新消息SKU_i。其中，SK_i=(s_i,US_i)，SKU_i=(α,U_i)。

(b)计算 ${\mathrm{US}}_{i+1}={\mathrm{US}}_i\·U_i\·H_1{(i+1)}^{\mathrm{\α}+s_i}/H_1{\left(i\right)}^{s_i},$ s_i+1=s_i+α。

(c).输出签名者新的密钥SK_i+1=(s_i+1,US_i+1)。

（4）签名阶段

根据时间段i时的签名者密钥和消息，生成i时间段签名者对消息的签名。其中，签名步骤是由图3的用户设备82中签名单元33实现的，签名步骤具体描述如下：

输入时间参数i，签名者密钥SK_i和需要签名的消息m，计算消息m在时间i时的签名σ。

(a).输入时间段参数i，签名者密钥SK_i和需要签名的消息m，任选 $\mathrm{\β}{\∈}_R{Z}_q^{*}.$

(b).计算A=g^β，M=H₂(i,A,m)，B=US_i·M^β。

(c).输出签名σ=(i,A,B)。

（5）验证阶段

根据已知的签名、消息以及签名时间段i，验证此签名是否是签名者在时间段i对此消息的有效签名。其中，验证步骤具体描述如下：

输入公钥PK=(PK_S,PK_H)，消息m，和消息m的签名σ，验证σ是否是签名者对消息m的签名。

(a).输入公钥PK=(PK_S,PK_H)，消息m，和消息m的签名σ。

(b).计算M=H₂(i,A,m)。

(c).判断以下等式是否成立，

$\hat{e}(g,B)=\hat{e}(A,M)\·\hat{e}({\mathrm{PK}}_H,H_1\left(i\right))\·\hat{e}({\mathrm{PK}}_S,H_1\left(i\right)).$

(d).如果等式成立，则接受此签名，返回1，否则，返回0。

4、本发明的优势：

（1）协助器密钥具有自更新能力，每个时间段的密钥都自我更新，即使攻击者在在系统的整个生命周期的某个时间段内攻击了协助器获取了协助器的密钥，攻击者不能在其他时间段代替协助器向用户发送更新消息；

（2）密钥隔离机制不仅能保证密钥泄露之前的安全性又能够保证密钥泄露的安全性，倘若某些时间片段的密钥发生了泄露，并不危害其他时间段的安全性；

（3）本发明中，所有的密钥和签名长度具有固定的长度，不随着整个系统生命周期的增长而线性增长；

（4）算法的效率较高，本发明中的所有算法的复杂度均为O(1),适用应用场景要求安全、高效的环境中。

所有上述的首要实施这一知识产权，并没有设定限制其他形式的实施这种新产品和/或新方法。本领域技术人员将利用这一重要信息，上述内容修改，以实现类似的执行情况。但是，所有修改或改造基于本发明新产品属于保留的权利。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (10)

1.一种具有协助器密钥自更新能力的密钥隔离签名方法，包括：

签名者根据随机选取的两个参数s₀,h₀和密码哈希函数H₁生成初始的签名者密钥SK₀（0时间段的签名者密钥），在以后的每个时间片段的开始，协助器设备都会给签名者发送一个协助器更新消息SKU_i，帮助签名者更新当前时间片段的临时密钥SK_i。

协助器设备在帮助签名者更新他的临时密钥的同时，协助器的密钥在每个时间片段也在进行自我更新。在0时间片段，从

中随机选取一个参数h₀作为协助器的初始密钥HK₀，在i时间片段，协助器密钥更新为HK_i，在每个时间片段，协助器根据当前的协助器密钥生成更新消息，并发送给签名者。

签名者用密钥SK_i对消息m进行签名得到签名σ，验证者可以验证签名的有效性。

2.如权利要求1所述的密钥隔离签名方法，其特征在于：包括以下步骤，

第一步，密钥生成步骤；

第二步，协助器密钥更新步骤；

第三步，签名者密钥更新步骤；

第四步，签名步骤；

第五步，验证步骤。

3.如权利要求1所述的密钥隔离签名方法，其特征在于：包括以下步骤，

第一步，密钥生成步骤随机选取参数s₀,h₀，生成系统公钥PK，签名者初始密钥SK₀和协助器初始密钥HK₀；

第二步，协助器密钥更新步骤，输入时间参数i和协助器密钥HK_i，计算新的协助器密钥HK_i+1和协助器更新消息SKU_i；

第三步，签名者密钥更新步骤，输入时间参数i，签名者密钥SK_i和协助器更新消息SKU_i，计算签名者新的密钥SK_i+1；

第四步，签名步骤，输入时间参数i，签名者密钥SK_i和需要签名的消息m，计算消息m在时间i时的签名σ；

第五步，验证步骤，输入系统公钥PK，消息m，和消息m的签名σ，验证σ是否是签名者对消息m的签名。

4.如权利要求1至3所述的密钥隔离签名方法，其特征在于：所述第一步中的系统公钥，签名者初始密钥和协助器初始密钥是按照如下方式生成的，

第1a步，输入安全参数k∈N，随机选取

第1b步，计算 $P{K}_S=g^{s_0},$ $P{K}_H=g^{h_0},$ ${\mathrm{US}}_0=H_1{\left(0\right)}^{s_0}\·H_1{\left(0\right)}^{h_0};$

第1c步，生成公钥PK=(PK_S,PK_H)，签名者的初始密钥是SK₀=(s₀,US₀)，协助器密钥HK₀=h₀；

第1d步，输出(PK,SK₀，HK₀)。

5.如权利要求1至4所述的密钥隔离签名方法，其特征在于：所述第二步更进一步具体为，

第2a步，输入时间参数i和协助器密钥HK_i，任选

第2b步，计算新时间段的协助器密钥HK_i+1=HK_i-α和当前时间段的协助器更新消息 ${\mathrm{SKU}}_i=(\mathrm{\α},\frac{H_1{(i+1)}^{{\mathrm{HK}}_{i+1}}}{H_1{\left(i\right)}^{{\mathrm{Hk}}_i}});$

第2c步，输出(HK_i+1,SKU_i)。

6.如权利要求1至5所述的密钥隔离签名方法，其特征在于：所述第三步更进一步具体为：

第3a步，输入时间参数i，签名者密钥SK_i和协助器更新消息SKU_i，其中，SK_i=(s_i,US_i)，SKU_i=(α,U_i)；

第3b步，计算 ${\mathrm{US}}_{i+1}={\mathrm{US}}_i\·U_i\·H_1{(i+1)}^{\mathrm{\α}+s_i}/H_1{\left(i\right)}^{s_i},$ s_i+1=s_i+α；

第3c步，输出签名者新的密钥SK_i+1=(s_i+1,US_i+1)。

7.如权利要求1至6所述的密钥隔离签名方法，其特征在于：所述第四步更进一步具体为，

第4a步，输入时间段参数i，签名者密钥SK_i和需要签名的消息m，任选 $\mathrm{\β}{\∈}_R{Z}_q^{*};$

第4b步，计算A=g^β，M=H₂(i,A,m)，B=US_i·M^β；

第4c步，输出签名σ=(i,A,B)。

8.如权利要求1至7所述的密钥隔离签名方法，其特征在于：所述第五步更进一步具体为，

第5a步，输入公钥PK=(PK_S,PK_H)，消息m，和消息m的签名σ；

第5b步，计算M=H₂(i,A,m)；

第5c步，判断以下等式是否成立，

$\hat{e}(g,B)=\hat{e}(A,M)\·\hat{e}({\mathrm{PK}}_H,H_1\left(i\right))\·\hat{e}({\mathrm{PK}}_S,H_1\left(i\right)).$

9.一种具有协助器密钥自更新能力的密钥隔离签名系统，其特征在于，包括：

密钥生成模块，通过随机选取参数s₀,h₀，生成系统公钥PK，签名者初始密钥SK0和协助器初始密钥HK₀；

协助器密钥更新模块，通过输入时间参数i和协助器密钥HK_i，计算新的协助器密钥HK_i+1和协助器更新消息SKU_i；

签名者密钥更新模块，通过输入时间段参数i，签名者密钥SK_i和协助器更新消息SKU_i，计算签名者新的密钥SK_i+1；

签名模块，通过输入时间段参数i，签名者密钥SK_i和需要签名的消息m，计算消息m在时间i时的签名σ；

验证模块，通过输入签名者公钥PK，消息m，和消息m的签名σ，验证σ是否是签名者对消息m的签名。

10.一种用于权利要求1至8所述的具有协助器密钥自更新能力的密钥隔离签名方法的用户设备和协助器设备；

用户设备的操作包括：

签名者初始密钥生成单元，其用于生成用户的初始密钥和公钥；

签名者密钥更新单元，其用于根据时间段i时签名者密钥生成时间段i+1时的签名者密钥；

签名单元，其用于生成时间段i时签名者对消息m的签名；

协助器设备的操作包括：

协助器初始密钥生成单元，其用于生成协助器的初始密钥和公钥；

协助器密钥更新单元，其用于更新协助器的密钥；

协助器更新消息生成单元，其用于当前时间片段的协助器密钥生成协助器更新消息，并发送给用户。

Images