CN103414731A

CN103414731A - 一种并行密钥隔离的基于身份的聚合签名方法

Info

Publication number: CN103414731A
Application number: CN2013103842596A
Authority: CN
Inventors: 于佳; 郝蓉
Original assignee: Qingdao University
Current assignee: Qingdao University
Priority date: 2013-08-29
Filing date: 2013-08-29
Publication date: 2013-11-27

Abstract

本发明提供了一种并行密钥隔离的基于身份的聚合签名方法，其为参与所述聚合签名方法的n个用户的集合，为n个不同的消息的集合，每个用户P_i(1≤i≤n)选择不同的消息m_i(1≤i≤n)进行签名得到σ_i，并把生成的签名σ_i发送给聚合方，聚合方能够对接收到的n个独立的签名执行聚合操作，验证方对聚合签名进行验证，确信生成的聚合签名是否来自指定的n个用户；与此同时，每个用户的密钥都会周期性的更新，在每个时间段，两个协助器交替的帮助用户进行密钥的更新，一个时间段用户密钥的泄露不会影响到其他时间段系统的安全性。其综合了并行密钥隔离机制和基于身份的聚合签名的优势，不仅签名验证的效率有所提高，整个系统的安全性也能得到保证。

Description

一种并行密钥隔离的基于身份的聚合签名方法

技术领域

本发明涉及网络通信中的群组通信的数据认证领域，尤其涉及一种基于身份的同时可高效验证多个签名并能够减轻密钥泄露危害的聚合签名方法。

背景技术

在现实中，许多应用中都要求在较短的时间内对多个签名进行验证，特别对于能量受限的无线移动通信环境。例如，在邮件服务器中，为了减少服务器验证邮件签名的处理时间，需要一种快速的验证方法用以在很短的时间内对大量的签名进行验证。为应对此类问题，Boneh等提出了聚合签名的概念，即将多个用户对不同消息的签名聚合成一个签名，验证方只需对合成的签名进行验证就能确信签名是否来自指定的用户。聚合签名在很大程度上减小了签名验证的工作量，减小了签名的存储空间，同时也降低了传输签名的网络带宽。但是，现有提出的聚合签名中，大多考虑如何提高验证效率和缩短签名的长度，没有考虑如何减小密钥泄露对聚合签名的危害的问题。

基于身份的公钥密码体制简化了基于证书的公钥基础设施（PKI）的密钥管理，用户的身份与用户之间有着天然的联系，无需通过数字证书进行绑定，避免了传统的公钥密码体制中因管理大量用户证书而带来的种种弊端。基于身份的聚合签名方案自从在2007年被提出后，受到了广泛的关注，成为近几年来密码学的一个研究热点。

然而，对于一个密码系统来说，密钥的泄露意味着系统的安全性完全丧失。典型的如电子现金支付系统，如果攻击者盗取了合法用户的密钥，那么他就可以产生如任意时间内、与用户不可区分的有效电子现金，将导致合法用户蒙受巨大的经济损失。目前，为减小密钥泄露带来的危害，更多采用密钥演化的方法。密钥隔离技术是密钥演化方法中的一种，其安全性能保证某些时间段用户密钥的泄露不能为害其他时间段的安全性。但是，协助器密钥的泄露也严重威胁着系统的安全性。因此，Hanaoka等学者提出了并行密钥隔离(parallel key-insulation)的概念。并行密钥隔离机制既允许用户进行频繁的密钥更新，又不增加协助器密钥泄露的几率，增强了系统防御密钥泄露的能力。

发明内容

为解决基于身份的聚合签名系统中密钥存在泄漏的问题，本发明提出一种并行密钥隔离的基于身份的聚合签名方法和聚合签名系统，其综合了并行密钥隔离机制和基于身份的聚合签名的优势，不仅签名验证的效率有所提高，整个系统的安全性也能得到保证。

为解决上述技术问题，本发明提供了一种并行密钥隔离的基于身份的聚合签名方法，为参与所述聚合签名方法的n个用户的集合，

为n个不同的消息的集合，每个用户P_i(1≤i≤n)选择不同的消息m_i(1≤i≤n)进行签名得到σ_i，并把生成的签名σ_i发送给聚合方，聚合方能够对接收到的n个独立的签名执行聚合操作，验证方对聚合签名进行验证，确信生成的聚合签名是否来自指定的n个用户；与此同时，每个用户的密钥都会周期性的更新，在每个时间段，两个协助器交替的帮助用户进行密钥的更新，一个时间段用户密钥的泄露不会影响到其他时间段系统的安全性。

所述聚合签名方法进一步包括：

第一步，并行密钥隔离的基于身份的聚合签名的系统建立步骤；

第二步，密钥生成步骤；

第三步，协助器密钥更新步骤；

第四步，用户密钥更新步骤；

第五步，签名步骤；

第六步，聚合签名生成步骤；

第七步，聚合签名验证步骤。

所述聚合签名方法更进一步包括：

第一步，系统建立步骤，输入安全参数k，输出系统公开参数param；

第二步，密钥生成步骤，输入所有用户的身份信息u_i和系统公开参数param，密钥生成器(Private Key Generator，简称PKG)输出所有用户的初始密钥

和两个协助器密钥(HK₀,HK₁)。其中，HP₀,HP₁是两个协助器的公钥；

第三步，协助器密钥更新步骤，输入时间参数t和协助器密钥HK_j（j=t mod2，t mod2表示t除以2的余数，所以j的值为0或者1），协助器设备输出更新消息

第四步，用户密钥更新步骤，输入时间参数t、上一时间片段的用户密钥

以及协助器的更新信息

，输出当前时间段的用户密钥

；

第五步，签名步骤，输入时间参数t、当前的临时密钥

、消息m_i，每个用户P_i输出签名(t,σ_i)；

第六步，聚合签名生成步骤，聚合方收集

中所有用户的签名，并生成聚合签名(t,σ)；

第七步，聚合签名验证步骤，输入时间参数t、消息集合聚合签名(t,σ)以及系统公开参数param，验证方验证聚合签名的有效性，有效则输出“1”；否则，输出“0”。

所述系统建立步骤（第一步），根据安全参数k，生成系统公开参数param，具体的实现方式如下：

a、选取两个阶均为素数q的乘法群G和G_T，设P为群G的一个随机生成元，

为双线性映射；

b、H₁:{0,1}^*×{0,1}^*→G，H₂:{0,1}^*→G和

是三个抗碰撞的hash函数；

c、PKG选择

作为系统密钥，计算系统公钥为PK=sP；

d、系统公开参数

param = {G, G_{T}, q, P, \hat{e}, H_{1}, H_{2}, H_{3} PK} .

所述密钥生成步骤（第二步），根据系统公开参数param，生成用户的初始密钥

和协助器密钥(HK₀,HK₁)，具体的实现方式如下：

a、用户P_i发送他的身份信息u_i给PKG；

b、随机选取两个协助器密钥

计算协助器公钥为

HP₀=HK₀·P，HP₁=HK₁·P；

c、PKG为用户P_i生成初始密钥

S S_{u_{i,} 0} = s \cdot H_{2} (u_{i}) + H K_{1} \cdot H_{1} (u_{i}, - 1) + H K_{0} \cdot H_{1} (u_{i}, 0);

d、用户P_i的初始密钥

两个协助器的密钥为(HK₀,HK₁)。

所述协助器密钥更新步骤（第三步），根据协助器密钥(HK₀,HK₁)和时间参数t，生成协助器更新消息

，具体的实现方式如下：

a、协助器设备在时间片段t的更新消息设定为

{UK}_{u_{i}, t} = {HK}_{j} (H_{1} (u_{i}, t) - H_{1} (u_{i}, t - 2));

b、将协助器的更新消息发送给集合P中的每个用户，帮助用户更新用户的临时密钥。

所述用户密钥更新步骤（第四步），根据协助器更新消息

和用户在上一时间片段的密钥

，生成当前时间段的密钥，具体的实现方式如下：

每个用户P_i按

更新自己的临时密钥。

所述签名步骤（第五步），根据用户在t时间段的密钥

，用户u_i对消息m_i进行签名，具体的实现方式如下：

a、选择

计算R_i=r_iP；

b、计算哈希值h_i=H₃(t,m_i,u_i,R_i)，并令

；

c、输出签名(t,σ_i)=(t,<R_i,S_i,HP₀,HP₁>)。

所述聚合签名生成步骤（第六步），根据所有用户在时间片段t对不同消息的单签名(t,σ_i)，生成聚合签名，具体的实现方式如下：

a、聚合方计算

S = Σ_{i = 1}^{n} S_{i};

b、所有的签名(t,σ_i)形成的聚合签名为(t,σ)=(t,<R₁,L,R_n,S,HP₀,HP₁>)，聚合方把签名发送给验证方。

所述聚合签名验证步骤（第七步），根据生成的聚合签名(t,σ)和系统公开参数param，验证者验证聚合签名的有效性，具体的实现方式如下：

a、验证方计算h_i=H₂(t,m_i,u_i,R_i)(1≤i≤n)；

b、令l=tmod2,l'=(t-1)mod2，验证以下等式是否成立

\hat{e} (P, S) = \hat{e} (P, Σ_{i = 1}^{n} h_{i} R_{i}) \cdot \hat{e} (PK, Σ_{i = 1}^{n} H_{2} (u_{i})) \cdot \hat{e} (H P_{l}, Σ_{i = 1}^{n} H_{1} (u_{i}, i)) \cdot \hat{e} (H P_{l^{'}}, Σ_{i = 1}^{n} H_{1} (u_{i}, t - 1))

如果等式成立，则返回“1”；否则，返回“0”。

本发明还提供了一种并行密钥隔离的基于身份的聚合签名系统，

为参与所述聚合签名方法的n个用户的集合，

为n个不同的消息的集合，每个用户P_i(1≤i≤n)选择不同的消息m_i(1≤i≤n)进行签名得到σ_i，并把生成的签名σ_i发送给聚合方，聚合方能够对接收到的n个独立的签名执行聚合操作，验证方对聚合签名进行验证，确信生成的聚合签名是否来自指定的n个用户。

所述聚合签名系统进一步包括：

系统参数生成模块，其用于生成聚合签名系统的公开参数param，并将系统的公开参数param发送给密钥生成模块、用户密钥更新模块、签名模块、聚合模块和验证模块；

密钥生成模块，其用于生成两个协助器密钥和各个用户的初始密钥，将两个协助器的密钥发送给协助器密钥更新模块，将用户的初始密钥发送用户密钥更新模块和签名模块；

协助器密钥更新模块，其用于生成协助器更新消息，并将生成的将更新消息发送给用户密钥更新模块；

用户密钥更新模块，其用于生成用户在新的时间片段内的临时密钥，并将生成的新的临时密钥发送给签名模块；

签名模块，其用于生成各个用户对不同消息的单个签名，每个用户将生成的单签名发送给聚合模块；

聚合模块，其用于将收集到的多个单签名合成一个签名，并将合成的签名发送给验证模块；

验证模块，其用于验证聚合签名的有效性。

所述聚合签名系统进一步包括：

系统参数生成模块，其通过输入安全参数k，输出系统公开参数param；

密钥生成模块，其通过输入所有用户的身份信息u_i和系统公开参数param获得所有用户的初始密钥

协助器密钥更新模块，其通过输入时间参数t和协助器密钥HK_j（其中j=tmod2，tmod2表示t除以2的余数，所以j的值为0或者1），协助器设备输出更新消息

；

用户密钥更新模块，其通过输入时间参数t、上一时间片段的用户密钥

以及协助器的更新信息，输出当前时间段的用户密钥

；

签名模块，其通过输入时间参数t、当前的临时密钥

、消息m_i每个用户P_i输出签名(t,σ_i)；

聚合签名生成模块，其通过聚合方收集

中所有用户的签名，并生成聚合签名(t,σ)；

聚合签名验证模块，其通过输入时间参数t、消息集合

聚合签名(t,σ)以及系统公开参数param，验证方验证聚合签名的有效性，有效则输出“1”；否则，输出“0”。

本发明的有益效果:

本发明与现有技术相比，具有以下有益效果：

⑴密钥定时更新，公钥不变，如果攻击者获得了某个时间段用户的密钥，他不能由获得的密钥推出其他时间段的密钥，从而提高了方案的安全性。

⑵使用两个独立的协助器设备，若其中一个协助器设备发生密钥泄露，即使某些时间段的临时密钥发生泄露，系统在其他时间段仍是安全的，提高了整个系统防御密钥泄露的能力。

⑶将基于身份的密码体制引入到聚合签名系统中，用户的公钥就是身份信息，无需存放用户的公钥证书，节省了存储的空间和系统复杂性。

⑷可以实现多个用户的多个签名的聚合验证，减小了验证签名的复杂度。

附图说明

图1为本发明系统的工作示意图；

图2为本发明的系统流程图。

具体实施方式

本发明提供了一种并行密钥隔离的基于身份的聚合签名方法，

为参与所述聚合签名方法的n个用户的集合，

所述聚合签名方法进一步包括：

第一步，并行密钥隔离的基于身份的聚合签名系统的系统参数param生成步骤；

第二步，密钥生成步骤；

第三步，协助器密钥更新步骤；

第四步，用户密钥更新步骤；

第五步，签名步骤；

第六步，聚合签名生成步骤；

第七步，聚合签名验证步骤。

所述聚合签名方法更进一步包括：

第二步，密钥生成步骤，输入所有用户的身份信息u_i和系统公开参数param，输出所有用户的初始密钥

第三步，协助器密钥更新步骤，输入时间参数t和协助器密钥HK_j（其中j=tmod2，tmod2表示t除以2的余数，所以j的值为0或者1），协助器设备输出更新消息

；

以及协助器的更新信息

，输出当前时间段的用户密钥；

第五步，签名步骤，输入时间参数t、当前的临时密钥、消息m_i，每个用户P_i输出签名(t,σ_i)；

第六步，聚合签名生成步骤，聚合方收集中所有用户的签名，并生成聚合签名(t,σ)；

第七步，聚合签名验证步骤，输入时间参数t、消息集合

为双线性映射；

b、H₁:{0,1}^*×{0,1}^*→G，H₂:{0,1}^*→G和

是三个抗碰撞的hash函数；

c、选择

作为系统密钥，计算系统公钥为PK=sP；

d、系统公开参数

param = {G, G_{T}, q, P, \hat{e}, H_{1}, H_{2}, H_{3} PK} .

和协助器密钥(HK₀,HK₁)，具体的实现方式如下：

a、用户P_i发送他的身份信息u_i给PKG；

b、随机选取两个协助器密钥

计算HP₀=HK₀·P，HP₁=HK₁·P；

c、PKG为用户P_i生成初始密钥

{SS}_{u_{i}, 0} = s \cdot H_{2} (u_{i}) + {HK}_{1} \cdot H_{1} (u_{i}, - 1) + {HK}_{0} \cdot H_{1} (u_{i}, 0);

d、用户P_i的初始密钥

，两个协助器的密钥为(HK₀,HK₁)。

，具体的实现方式如下：

a、协助器设备在时间片段t的更新消息设定为

{UK}_{u_{i}, t} = {HK}_{j} (H_{1} (u_{i}, t) - H_{1} (u_{i}, t - 2));

所述用户密钥更新步骤（第四步），根据协助器更新消息

和用户在上一时间片段的密钥

，生成当前时间段的密钥

，具体的实现方式如下：每个用户P_i按

更新自己的临时密钥。

所述签名步骤（第五步），根据用户在t时间段的密钥

，用户u_i对消息m_i进行签名，具体的实现方式如下：

a、选择

计算R_i=r_iP；

b、计算哈希值h_i=H₃(t,m_i,u_i,R_i)，并令

；

c、输出签名(t,σ_i)=(t,<R_i,S_i,HP₀,HP₁>)。

a、聚合方计算

S = Σ_{i = 1}^{n} S_{i};

a、验证方计算h_i=H₂(t,m_i,u_i,R_i)(1≤i≤n)；

b、令l=tmod2,l'=(t-1)mod2，验证以下等式是否成立

\hat{e} (P, S) = \hat{e} (P, Σ_{i = 1}^{n} h_{i} R_{i}) \cdot \hat{e} (PK, Σ_{i = 1}^{n} H_{2} (u_{i})) \cdot \hat{e} (H P_{l}, Σ_{i = 1}^{n} H_{1} (u_{i}, i)) \cdot \hat{e} (H P_{l^{'}}, Σ_{i = 1}^{n} H_{1} (u_{i}, t - 1))

如果等式成立，则返回“1”；否则，返回“0”。

为参与所述聚合签名方法的n个用户的集合，

所述聚合签名系统进一步包括：

系统参数生成模块，其通过输入安全参数k，获取系统公开参数param；

密钥生成模块，其通过输入所有用户的身份信息u_i和系统公开参数param，获得所有用户的初始密钥

协助器密钥更新模块，其通过输入时间参数t和协助器密钥HK_j（其中j=tmod2，tmod2表示t除以2的余数，所以j的值为0或者1），协助器设备输出更新消息；

以及协助器的更新信息

，输出当前时间段的用户密钥

；

签名模块，其通过输入时间参数t、当前的临时密钥

、消息m_i，每个用户P_i输出签名(t,σ_i)；

聚合签名生成模块，其通过聚合方收集

中所有用户的签名，并生成聚合签名(t,σ)；

聚合签名验证模块，其通过输入时间参数t、消息集合

系统参数生成模块，根据安全参数k，生成系统公开参数param，具体的实现方式如下：

为双线性映射；

b、H₁:{0,1}^*×{0,1}^*→G，H₂:{0,1}^*→G和

是三个抗碰撞的hash函数；

c、选择

作为系统密钥，计算系统公钥为PK=sP；

d、系统公开参数

param = {G, G_{T}, q, P, \hat{e}, H_{1}, H_{2}, H_{3} PK} .

密钥生成模块，根据系统公开参数param，生成用户的初始密钥

和协助器密钥(HK₀,HK₁)，具体的实现方式如下：

a、用户P_i发送他的身份信息u_i给PKG；

b、随机选取两个协助器密钥

计算HP₀=HK₀·P，HP₁=HK₁·P；

c、PKG为用户P_i生成初始密钥

{SS}_{u_{i}, 0} = s \cdot H_{2} (u_{i}) + {HK}_{1} \cdot H_{1} (u_{i}, - 1) + {HK}_{0} \cdot H_{1} (u_{i}, 0);

d、用户P_i的初始密钥

，两个协助器的密钥为(HK₀,HK₁)。

协助器密钥更新模块，根据协助器密钥(HK₀,HK₁)和时间参数t，生成协助器更新消息

，具体的实现方式如下：

a、协助器设备在时间片段t的更新消息设定为

{UK}_{u_{i}, t} = {HK}_{j} (H_{1} (u_{i}, t) - H_{1} (u_{i}, t - 2));

用户密钥更新模块，根据协助器更新消息

和用户在上一时间片段的密钥

，生成当前时间段的密钥

具体的实现方式如下：

每个用户P_i按

更新自己的临时密钥。

签名模块，根据用户在t时间段的密钥，用户u_i对消息m_i进行签名，具体的实现方式如下：

a、选择

计算R_i=r_iP；

b、计算哈希值h_i=H₃(t,m_i,u_i,R_i)，并令

；

c、输出签名(t,σ_i)=(t,<R_i,S_i,HP₀,HP₁>)。

聚合签名生成模块，根据所有用户在时间片段t对不同消息的单签名(t,σ_i)，生成聚合签名，具体的实现方式如下：

a、聚合方计算

S = Σ_{i = 1}^{n} S_{i};

聚合签名验证模块，根据生成的聚合签名(t,σ)和系统公开参数param，验证者验证聚合签名的有效性，具体的实现方式如下：

a、验证方计算h_i=H₂(t,m_i,u_i,R_i)(1≤i≤n)；

b、令l=tmod2,l'=(t-1)mod2，验证以下等式是否成立

\hat{e} (P, S) = \hat{e} (P, Σ_{i = 1}^{n} h_{i} R_{i}) \cdot \hat{e} (PK, Σ_{i = 1}^{n} H_{2} (u_{i})) \cdot \hat{e} (H P_{l}, Σ_{i = 1}^{n} H_{1} (u_{i}, i)) \cdot \hat{e} (H P_{l^{'}}, Σ_{i = 1}^{n} H_{1} (u_{i}, t - 1))

如果等式成立，则返回“1”；否则，返回“0”。

在本发明中，参与聚合签名的用户有n个，

为参与本次聚合签名的用户集合，u₁,u₂,L,u_n表示每个用户的身份，

为n个不同的消息的集合，每个用户P_i(1≤i≤n)选择不同的消息m_i(1≤i≤n)进行签名得到σ_i，并把生成的签名σ_i发送给聚合方；聚合方能够对接收到的n个独立的签名执行聚合操作；验证方对聚合签名进行验证，确信生成的聚合签名是否来自指定的n个用户。

在本发明的整个系统中，整个系统时间分为若干时间片段，用户的公钥始终保持不变，用户的密钥在每个时间片段的开始时均进行更新操作，也就是说每个时间段内的用户密钥是不一样的。用户对消息进行签名时，不同的时间段内使用不同的临时密钥，签名操作只涉及该时间段的临时密钥。用户的密钥不再是只由用户设备单独掌控，而是将它分为两部分：一部分为存放在用户设备中的临时密钥；另一部分是存放在协助器设备中的协助器密钥。在本发明中，为增强系统防御密钥泄露的能力，我们引入两个不同且独立的协助器设备（协助器设备0和协助器设备1），他们交替帮助用户在每个时间片段进行临时密钥的更新。在每个时间片段的开始，协助器设备会生成一个协助器更新消息并发送给用户设备，帮助用户更新当前时间段的临时密钥。当时间参数t为偶数时，用户利用协助器设备0来更新密钥，当时间参数t为奇数时，用户利用协助器设备1来更新密钥。通常，用户设备是计算能力很强但安全性较差的设备，而协助器设备是一个物理安全但计算能力受限的设备。

本发明提供的聚合签名系统中的参数生成模块用于生成系统的公开参数param，并将系统的公开参数param发送给密钥生成模块、用户密钥更新模块、签名模块、聚合模块和验证模块。密钥生成模块用于生成两个协助器密钥和各个用户的初始密钥，将两个协助器的密钥密钥发送给协助器密钥更新模块，将用户的初始密钥发送用户密钥更新模块和签名模块。协助器密钥更新模块用于生成协助器更新消息，并将生成的更新消息发送给用户密钥更新模块。用户密钥更新模块用于生成用户在新的时间片段内的临时密钥，并将生成的新的临时密钥发送给签名模块。签名模块用于生成各个用户对不同消息的单个签名，每个用户将生成的签名发送给聚合模块。聚合模块用于将收集到的多个单签名合成一个签名，并将合成的签名发送给验证模块。验证模块用于验证聚合签名的有效性。

进一步，本发明提供的聚合签名系统仅由上述模块构成。

以下将结合说明书和附图对本发明做进一步详细说明。

图1为本发明的系统的工作示意图，其中，PKG为密钥生成中心，为整个系统生成系统公开参数和协助器密钥；协助器设备0和协助器设备1交替帮助所有用户更新临时密钥，当时间参数t为偶数时，用户利用协助器设备0来更新密钥，当时间参数t为奇数时，用户利用协助器设备1来更新密钥；聚合方将收集到的所有签名聚合成一个签名；验证方验证聚合签名的有效性。

图2为本发明的系统流程图，其中，系统参数生成模块用于生成系统的公开参数，并将系统的公开参数发送给密钥生成模块、用户密钥更新模块、签名模块、聚合模块和验证模块。密钥生成模块用于生成两个协助器密钥和各个用户的初始密钥，将两个协助器的密钥密钥发送给协助器密钥更新模块，将用户的初始密钥发送用户密钥更新模块和签名模块。协助器密钥更新模块用于生成协助器更新消息，并将生成的将更新消息发送给用户密钥更新模块。用户密钥更新模块用于生成用户在新的时间片段内的临时密钥，并将生成的新的临时密钥发送给签名模块。签名模块用于生成各个用户对不同消息的单个签名，每个用户将生成的签名发送给聚合模块。聚合模块用于将收集到的多个单签名合成一个签名，并将合成的签名发送给验证模块。验证模块用于验证聚合签名的有效性。

下面具体描述本发明聚合签名系统中的各模块及采用本发明提供的聚合签名系统进行基于身份的聚合签名方法。

（1）系统参数生成模块：

此模块由PKG完成，PKG是密钥生成中心，为用户和协助器生成密钥。PKG根据输入的安全参数k，PKG首先选取两个阶均为素数q的乘法群G和G_T，设P为群G的一个随机生成元，

为双线性映射；选取三个抗碰撞的哈希函数如下：

H₁:{0,1}^*×{0,1}^*→GH₂:{0,1}^*→G

然后，PKG从选择

中随机选择参数s，其中，

q为素数，s作为系统密钥，计算系统公钥为PK=sP；最后，PKG返回系统公开参数

param = {G, G_{T}, q, P, \hat{e}, H_{1}, H_{2}, H_{3}, PK} .

（2）密钥生成模块：

根据所有用户的身份信息u_i和系统公开参数param，PKG为所有的用户生成0时间段的密钥（初始密钥）

和两个协助器密钥。

首先，用户将自己的身份信息u_i发送给PKG，PKG从

中随机选择两个参数HK₀,HK₁，HK₀,HK₁是两个协助器设备的密钥，其中HK₀是协助器设备0的密钥，HK₁是协助器设备1的密钥。根据生成的两个协助器密钥，计算两个协助器的公钥分别为HP₀=HK₀·P，HP₁=HK₁·P。

然后，PKG根据参数s，两个协助器密钥和哈希函数H₁和H₂，按照如下公式为每个用户生成0时间段的部分密钥（部分初始密钥）

{SS}_{u_{i}, 0} = s \cdot H_{2} (u_{i}) + {HK}_{1} \cdot H_{1} (u_{i}, - 1) + {HK}_{0} \cdot H_{1} (u_{i}, 0) .

最后，PKG返回所有用户的初始密钥和两个协助器密钥，用户P_i的初始密钥为

，两个协助器的密钥为(HK₀,HK₁)。

（3）协助器密钥更新模块：

首先，协助器根据密钥生成模块生成的两个协助器密钥、时间参数t和哈希函数H₁，协助器设备在时间片段t的更新消息设定为

{UK}_{u_{i}, t} = {HK}_{j} (H_{1} (u_{i}, t) - H_{1} (u_{i}, t - 2))

然后将该消息发送给每个用户，帮助用户更新自己的密钥。

需要说明的是：两个协助器交替工作，在整个系统周期内的奇数时间段，更新消息由协助器1生成；在偶数时间段，更新消息由协助器0生成。更新消息生成公式中的HK_j(j=tmod2)就表示不同的时间段，更新消息由不同的协助器产生。

（4）用户密钥更新模块：

根据t时间段协助器生成的更新消息

和用户在t-1时间段的密钥

，该模块生成t时间段的用户密钥

。具体的生成方式如下：

用户计算

然后返回t时间段用户的密钥为

{SK}_{u_{i}, t} = ({SS}_{u_{i}, t} {, HP}_{0}, {HP}_{1}) .

用于在签名模块对用户选择的消息进行签名。

（5）签名模块：

用户根据在t时间段的密钥

对接收的消息m_i进行签名，并把签名发送给聚合方。具体的生成方式如下：

首先，每个签名用户从

中随机选择参数r_i，并计算R_i=r_iP。

然后，计算哈希值h_i=H₃(t,m_i,u_i,R_i)，并令。其中H₃为

h_i为中的元素，S_i是群G中的元素。

最后，输出签名(t,σ_i)=(t,<R_i,S_i,HP₀,HP₁>)。

（6）聚合模块：

聚合方根据收集到的

中所有用户的签名，生成聚合签名。具体的生成方式如下：

聚合方计算

S = Σ_{i = 1}^{n} S_{i};

所有的签名(t,σ_i)形成的聚合签名为(t,σ)=(t,<R₁,L,R_n,S,HP₀,HP₁>)，聚合方把聚合签名发送给验证方。

⑺验证模块

验证方利用系统公钥对聚合签名进行验证。

根据所述系统公钥PK、所述时间段t、消息集合

和所述签名(t,σ)，计算以下式子

h_i=H₂(t,m_i,u_i,R_i)(1≤i≤n)。

令l=tmod2,l'=(t-1)mod2，验证以下等式是否成立

\hat{e} (P, S) = \hat{e} (P, Σ_{i = 1}^{n} h_{i} R_{i}) \cdot \hat{e} (PK, Σ_{i = 1}^{n} H_{2} (u_{i})) \cdot \hat{e} (H P_{l}, Σ_{i = 1}^{n} H_{1} (u_{i}, i)) \cdot \hat{e} (H P_{l^{'}}, Σ_{i = 1}^{n} H_{1} (u_{i}, t - 1))

若成立，则验证成功。

本发明具有如下优势：

⑴用密钥演化的方法，公钥不变，密钥在每个时间段进行更新。如果攻击者获得了某个时间段用户的密钥，他不能由获得的密钥推出其他时间段的密钥。

⑵引入了两个协助器设备，提高了整个系统防御密钥泄露的能力。若其中一个协助器设备发生密钥泄露，即使某些时间段的临时密钥发生泄露，系统在其他时间段仍是安全的；即使两个协助器设备都发生了泄露，只要不发生临时密钥的泄露，系统在整个时间周期内仍是安全的。

⑶所有的密钥和算法都不涉及整个系统的生命周期，因此，在实际应用中可根据应用的环境，随意的改变系统的时间周期，增强了系统的灵活性。

⑷将基于身份的密码体制引入到聚合签名系统中，用户的公钥就是身份信息，无需存放用户的公钥证书，节省了存储的空间。在本发明中，PKG只生成用户的初始密钥，其他时间段的用户密钥由用户生成，因此，不存在PKG随意伪造用户签名的问题。

⑸在本发明中，所有的用户共用两个协助器设备，而不是每个用户都有两个协助器设备，在算法上减小了整个系统的算法复杂度。

⑹参与聚合的用户的数量n可以根据实际环境改变，增加了系统的灵活性。

所有上述的首要实施这一知识产权，并没有设定限制其他形式的实施这种新产品和/或新方法。本领域技术人员将利用这一重要信息，上述内容修改，以实现类似的执行情况。但是，所有修改或改造基于本发明新产品属于保留的权利。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims

1.一种并行密钥隔离的基于身份的聚合签名方法，其特征在于：

为参与所述聚合签名方法的n个用户的集合，

2.如权利要求1所述的聚合签名方法，其特征在于，进一步包括，

第一步，并行密钥隔离的基于身份的聚合签名系统的建立步骤；

第二步，密钥生成步骤；

第三步，协助器密钥更新步骤；

第四步，用户密钥更新步骤；

第五步，签名步骤；

第六步，聚合签名生成步骤；

第七步，聚合签名验证步骤。

3.如权利要求1或2所述的聚合签名方法，其特征在于，所述系统建立步骤（第一步）更进一步具体为，

为双线性映射；

b、H₁:{0,1}^*×{0,1}^*→G，H₂:{0,1}^*→G和

是三个抗碰撞的hash函数；

c、PKG选择

作为系统密钥，计算系统公钥为PK=sP；

d、系统公开参数

param = {G, G_{T}, q, P, \hat{e}, H_{1}, H_{2}, H_{3} PK} .

4.如权利要求1至3所述的聚合签名方法，其特征在于，所述密钥生成步骤（第二步）更进一步具体为，

a、用户P_i发送他的身份信息u_i给PKG；

b、随机选取两个协助器密钥

计算HP₀=HK₀·P，HP₁=HK₁·P；

c、PKG为用户P_i生成部分初始密钥

S S_{u_{i}, 0} = s \cdot H_{2} (u_{i}) + H K_{1} \cdot H_{1} (u_{i}, - 1) + H K_{0} \cdot H_{1} (u_{i}, 0);

d、用户P_i的初始密钥

两个协助器的密钥为(HK₀,HK₁)。

5.如权利要求1至4所述的聚合签名方法，其特征在于，所述协助器密钥更新步骤（第三步）更进一步具体为，

a、协助器设备在时间片段t的更新消息设定为

U K_{u_{i}, 0} = H K_{j} (H_{1} (u_{i}, t) - H_{1} (u_{i}, t - 2));

6.如权利要求1至5所述的聚合签名方法，其特征在于：所述用户密钥更新步骤（第四步）更进一步具体为，

每个用户P_i按

更新自己的临时密钥。

7.如权利要求1至6所述的聚合签名方法，其特征在于：所述签名步骤（第五步）更进一步具体为，

a、选择计算R_i=r_iP；

b、计算哈希值h_i=H₃(t,m_i,u_i,R_i)，并令

c、输出签名(t,σ_i)=(t,<R_i,S_i,HP₀,HP₁>)。

8.如权利要求1至7所述的聚合签名方法，其特征在于：所述聚合签名生成步骤（第六步）更进一步具体为，

a、聚合方计算

S = Σ_{i = 1}^{n} S_{i};

9.如权利要求1至8所述的聚合签名方法，其特征在于：所述聚合签名验证步骤（第七步）更进一步具体为，

a、验证方计算h_i=H₂(t,m_i,u_i,R_i)(1≤i≤n)；

b、令l=tmod2,l'=(t-1)mod2，验证以下等式是否成立

\hat{e} (P, S) = \hat{e} (P, Σ_{i = 1}^{n} h_{i} R_{i}) \cdot \hat{e} (PK, Σ_{i = 1}^{n} H_{2} (u_{i})) \cdot \hat{e} (H P_{l}, Σ_{i = 1}^{n} H_{1} (u_{i}, i)) \cdot \hat{e} (H P_{l^{'}}, Σ_{i = 1}^{n} H_{1} (u_{i}, t - 1))

如果等式成立，则返回“1”；否则，返回“0”。

10.一种并行密钥隔离的基于身份的聚合签名系统，其特征在于，包括：

系统参数生成模块，其用于生成聚合签名系统的公开参数，并将系统的公开参数发送给密钥生成模块、用户密钥更新模块、签名模块、聚合模块和验证模块；

密钥生成模块，其用于生成两个协助器密钥和各个用户的初始密钥，将两个协助器的密钥密钥发送给协助器密钥更新模块，将用户的初始密钥发送用户密钥更新模块和签名模块；

签名模块，其用于生成各个用户对不同消息的单个签名，每个用户将生成的签名发送给聚合模块；

验证模块，其用于验证聚合签名的有效性。