CN113297630A - 一种高效的前向安全群签名管理方法 - Google Patents

Abstract

本发明结合中国剩余定理和椭圆曲线密码体制，提出了一种前向安全的的群签名方案，该方案在群内引入群管理员和可信任的群中心来实现高效增删成员并简化签名过程。安全性分析表明，该方案具有不可伪造性、匿名性、可追踪性、不可抵赖性、抗联合攻击性和前向安全性等安全特性，并且前向安全的密钥演化算法没有周期的限制。算法效率分析表明，本发明在总体上相较于同样具有前向安全的椭圆曲线群签名方案更加高效。

Description

一种高效的前向安全群签名管理方法

技术领域

本发明涉及网络信息安全技术领域，具体的说是一种高效的前向安全群 签名管理方法。

背景技术

1985年Victor Miller([1]Miller V.Uses of elliptic curves incryptography[G]//LNCS 218:Advances in Cryptology.Berlin:Springer, 1986:387-398)和Neal koblitz([2]Koblitz N.Elliptic curve cryptosystem [J].Mathematicsof Computation,1987,27(48):203-209)分别提出了椭圆 曲线密码体制Elliptic CurveCryptography(ECC)，该体制的安全性是基于 椭圆曲线离散对数求解的困难性，目前还没有找到有效解决该类问题的算法。相 比于其他密码体制，ECC具有计算量小，存储消耗低，处理速度快等优点。许多 椭圆曲线数字签名方案被相继提出，后又出现了许多改进方案。2008年，张庆 胜([3]张庆胜,郭宝安,徐树民,等.快速椭圆曲线签名验证算法[J].计算机工 程与设计,2008,29(17):4425-4427.)等人提出了一种只需要2次模乘运算和1 次求逆运算的方案来提高效率，但是后来伍红梅等人([4]伍红梅.基于椭圆曲线 的ELGamal数字签名方案[J].楚雄师范学院学报,2010,25(3):44-47. DOI:10.3969/j.issn.1671-7406.2010.03.007.)指出了文献[3]的局限性。2017 年陈亮([5]陈亮,游林.椭圆曲线数字签名算法优化与设计[J].电子器 件,2011,34(1):89-93.DOI:10.3969/j.issn.1005-9490.2011.01.022.)等人提 出了另一种ECDSA的优化方案，不仅能够避免签名和验证的求逆运算，还将模乘 的次数降为2次。但是，宋凡([6]宋凡.关于改进ECDSA的安全问题研究[J]. 贵阳学院学报：自然科学版,2012,7(4):32-33. DOI:10.3969/j.issn.1673-6125.2012.04.011.)在2018年指出了文献[5]的方 案存在安全问题，不能防止伪造签名。目前较为高效的方案是肖帅([7]肖帅, 王绪安,潘峰.无模逆运算的椭圆曲线数字签名算法[J].计算机工程与应 用,2020,56(11):118-123.DOI:10.3778/j.issn.1002-8331.1911-0456.)等人 在2020年提出的改进的无模逆运算的椭圆曲线数字签名算法。

1991年Chaum([8]CHAUM D,Van HEYST E.Group signatures[C]//Proc ofEUROCTYPT’91.Berlin:SPringrt-Verlag,1991:257-265.)等人提出群签 名的概念，但还止步于静态的群成员。1997年Camenisch([9，10]Camenisch J.Efficient andgeneralized group signatures[C]//Proc of International Conference on theTheory and Applications of Cryptographic Techniques.Berlin：Springer，1997：465-479.Camenisch J，Stadler M.Efficient group signature schemes for large groups[C]//Proc of Annual International Cryptology Conference.Berlin：Springer，1997：410-424.) 提出了一种可以在不改变其他成员密钥的情况下完成群成员的增加的新签名方 案，但该签名没有考虑到对成员的撤销情况。2000年Kim([11]Kim H J，Lim J I，Lee DH.Efficient and secure member deletion in group signature schemes[C]//Proc ofInternational Conference on Information Security and Cryptology.Berlin：Springer，2000：150-161.)等人提出了可以撤销成员的 签名方案，但是对成员的撤销计算开销很大。2004年陈泽文([12]陈泽文,张 龙军,王育民,等.一种基于中国剩余定理的群签名方案[J].电子学 报,2004,32(7):1062-1065.DOI:10.3321/j.issn:0372-2112.2004.07.002.)等 人提出基于中国剩余定理的群签名方案，该方案能够在不改变其他成员密钥的情 况下完成群成员的增加和撤销。随着签名技术的不断发展，前向安全的概念也逐 渐被重视，2020年洪璇([13]洪璇,张绪霞.基于中国剩余定理的前向安全群签 名方案[J].计算机应用研究,2020,37(9):2806-2810. DOI:10.19734/j.issn.1001-3695.2019.03.0150.)等人提出了一种基于中国剩 余定理的前向安全群签名方案，但是在密钥演化时用到了模幂运算，并且密钥演 化算法受到周期的限制。

发明内容

本发明旨在提供一种高效的前向安全群签名管理方法，针对文献[13]的 问题提出一个新的群签名方案，不仅能满足高效动态的增删成员，还避免了密钥 演化时的模幂运算，并且密钥演化算法没有周期的限制。

为了解决以上技术问题，本发明采用的具体方案为：

一种高效的前向安全群签名管理方法，包括以下内容：

A：系统建立算法

系统共有三类实体，分别为可信任的群中心、群管理员和群成员，群中成员的数量为k，系 统建立包括以下步骤：

S1：群中心选择一个参数为T＝(q,a,b,G,n)的椭圆曲线,每位成员U_i(i＝1,2,…k)向群中心 提交一次申请并将身份信息ID_i发送给群中心，群中心为每一个群成员的申请选择一个大素 数p_i(i＝1,2,…,k)满足：p_i＜n，并且最终的k个大素数是互不相同的，还要保证p_i-1中有 两个大素数；群中心选择一个哈希函数H:{0,1}^*→{0,1}^n* (n*＜[log₂(min{p₁,p₂,…,p_k})])；

S2：计算x_i,0G＝(x_i',y_i')，y_i＝y_i'(mod p_i)，将y_i作为其公钥，并将公钥发送给群中心，群中 心对每个成员的公钥进行比对，如果有两个成员有相同的公钥，则群中心要求这两位成员重 新选择私钥；

S3：群中心将最终的(ID_i,y_i,p_i)发送给管理员，管理员保存该信息用于后期打开群签名和基 本验证的依据，群中心根据每个用户的p_i和y_i建立一个同余方程组：

根据中国剩余定理，该方程组的整数解满足：c＝y₁P₁'P₁+y₂P₂'P₂+…+y_kP_k'P_k(modP)，其 中P_i＝P/p_i(i＝1,2,…,k)；P＝p₁p₂…p_k＝P₁p₁＝P₂p₂＝…＝P_kp_k；P_i'是满足 P_i'P≡1(mod p_i)(i＝1,2,…,k)的整数解，之后群中心将(c,T)公开；

B：成员加入算法

若用户U想成为群中的一个成员，按照以下步骤加入：

S1：U向管理员提出申请，获得管理员授权后，U与群中心进行交互；群中心再选择一个与 p_i(i＝1,2,…,k)都互异的大素数p_k+1(2^n*-1＜p_k+1＜n)然后将p_k+1发送给U,U随机秘密选择私 钥x_k+1,0＜n，；

S2：计算x_k+1,0G＝(x_k+1',y_k+1')，y_k+1＝y_k+1'(mod p_k+1)，将y_k+1作为其公钥，之后将其公钥和身 份信息(ID_k+1,y_k+1)发送给群中心，群中心将y_k+1和其他成员的公钥进行比较，如果成员U_j的 公钥使得y_k+1＝y_j成立，那么群中心要求U_j和U重新运行成员加入算法；

S3：群中心收到后重新计算c的值更新并发布，然后将(ID_k+1,y_k+1,p_k+1)发送给群管理员,之 后用户U就成为了一名合法的群成员；

C：成员撤销算法

S1：群管理员要撤销群成员U_j(j←{1,2,…k})，则群中心将成员U_j的公钥信息用一个随机 数

进行替换，群中心只需重新计算c的值并发布，之后成员U_j就被撤销，其密钥不能再生 成合法的群签名；

D：密钥演化算法

假设成员U_i(i←{1,2,…k})在j-1(j≥1)时间段内的私钥为x_i,j-1，在第j时间段随机选取 r_j＜p_i，计算x_i,j＝x_i,j-1+r_j(mod p_i)，令T_i,0＝O,T_i,1＝r₁G，计算在第j时间段的T_i,j满足：

将x_i,j作为第j时间段的私钥，完成后清除r_j和x_i,j-1；

E：群签名生成算法

在t时间段内群U_i对消息m的签名过程如下：

S1：U_i随机选取两个整数α,β,且满足：1≤α,β≤n-1；

S2：计算k＝(αx_i,t+β)mod n；若k＝0，则返回步骤S1；

S3：计算kG＝(x₁,y₁)和r＝x₁ mod n；若r＝0，则返回步骤S1；

S4：计算需要签名的消息m的哈希值e，e＝H(m)；

S5：计算s＝(β+x_i,ter)mod n若s＝0，则返回步骤S1；

S6：输出签名σ＝(s,α,r,t,p_i,T_i,t)；

F：签名验证算法

S1：验证s,α,r是否为区间[1,n-1]内的整数，若任何一个验证失败，则拒绝签名；

S2：根据群中心公开的信息，计算y_i≡c(mod p_i)，然后还原到y_i对应椭圆曲线的坐标Q_i；

S3：计算消息m的哈希值e，e＝H(m)；

S4：计算u＝er；

S5：计算sG+(α-u)(Q_i+T_i,t)＝(x₂,y₂)；

S6：计算v＝x₂ mod n；

S7：验证v和r的关系，若v＝r，则验证签名成功，否则验证失败拒绝签名；

G：签名打开算法

如果在某些情况下需要验证签名者的真实身份，群管理员先验证p_i是否在存储列表内，通过 计算y_i≡c(mod p_i)获得y_i后查询对应的信息列表(ID_i,y_i,p_i)可获得签名者的真实身份ID_i， 从而得到签名者的真实身份避免发生争议。

本发明结合中国剩余定理和椭圆曲线密码体制，提出了一种前向安全的 的群签名方案，该方案在群内引入群管理员和可信任的群中心来实现高效增删成 员并简化签名过程。安全性分析表明，该方案具有不可伪造性、匿名性、可追踪 性、不可抵赖性、抗联合攻击性和前向安全性等安全特性，并且前向安全的密钥 演化算法没有周期的限制。算法效率分析表明，本发明在总体上相较于同样具有 前向安全的椭圆曲线群签名方案更加高效。

具体实施方式

本发明的一种前向安全的的群签名管理方法，结合了中国剩余定理和椭 圆曲线密码体制。以下先对中国剩余定理和椭圆曲线密码体制进行说明：

中国剩余定理

中国剩余定理是一种求解一次同余方程组的方法，该方法的过程如下： 已知p₁,p₂,…,p_k为k(k≥2)个不同的整数，并且p₁,p₂,…,p_k两两互素，若有：

令P_i＝P/p_i(i＝1,2,…,k)；P＝p₁p₂…p_k＝P₁p₁＝P₂p₂＝…＝P_kp_k；P_i'是满足 P_i'P≡1(mod p_i)(i＝1,2,…,k)的整数解。那么该方程组的整数解满足： c＝y₁P₁'P₁+y₂P₂'P₂+…+y_kP_k'P_k(mod P)。

椭圆曲线离散对数问题

对于给定的在有限域F_q上的椭圆曲线y²＝x³+ax+b，其中F_q是含有q个 元素的有限域，q为素数，a,b是整数，G是椭圆曲线的基点，n是G的阶且n 是个大素数。若已知两点P,Q满足Q＝dP，但要求出小于q的正整数d是很困难 的。这就是椭圆曲线离散对数问题(ECDLP)。

在此基础上，本发明的一种高效的前向安全群签名管理方法，包括以下内容： A：系统建立算法

系统共有三类实体，分别为可信任的群中心、群管理员和群成员，群中成员的数量为k，系 统建立包括以下步骤：

S1：群中心选择一个参数为T＝(q,a,b,G,n)的椭圆曲线,每位成员U_i(i＝1,2,…k)向群中心 提交一次申请并将身份信息ID_i发送给群中心(在安全通道上进行)，群中心为每一个群成 员的申请选择一个大素数p_i(i＝1,2,…,k)满足：p_i＜n，并且最终的k个大素数是互不相同 的，还要保证p_i-1中有两个大素数；群中心选择一个哈希函数H:{0,1}^*→{0,1}^n* (n*＜[log₂(min{p₁,p₂,…,p_k})])；

S2：计算x_i,0G＝(x_i',y_i')，y_i＝y_i'(mod p_i)，将y_i作为其公钥，并将公钥发送给群中心(在安 全通道上进行)，群中心对每个成员的公钥进行比对，如果有两个成员有相同的公钥，则群 中心要求这两位成员重新选择私钥；

S3：群中心将最终的(ID_i,y_i,p_i)发送给管理员，管理员保存该信息用于后期打开群签名和基 本验证的依据，群中心根据每个用户的p_i和y_i建立一个同余方程组：

根据中国剩余定理，该方程组的整数解满足：c＝y₁P₁'P₁+y₂P₂'P₂+…+y_kP_k'P_k(modP)，其 中P_i＝P/p_i(i＝1,2,…,k)；P＝p₁p₂…p_k＝P₁p₁＝P₂p₂＝…＝P_kp_k；P_i'是满足 P_i'P≡1(mod p_i)(i＝1,2,…,k)的整数解，之后群中心将(c,T)公开；

B：成员加入算法

若用户U想成为群中的一个成员，按照以下步骤加入：

S1：U向管理员提出申请，获得管理员授权后，U与群中心进行交互；群中心再选择一个与 p_i(i＝1,2,…,k)都互异的大素数p_k+1(2^n*-1＜p_k+1＜n)然后将p_k+1发送给U,U随机秘密选择私 钥x_k+1,0＜n，；

S2：计算x_k+1,0G＝(x_k+1',y_k+1')，y_k+1＝y_k+1'(mod p_k+1)，将y_k+1作为其公钥，之后将其公钥和身 份信息(ID_k+1,y_k+1)发送给群中心，群中心将y_k+1和其他成员的公钥进行比较，如果成员U_j的 公钥使得y_k+1＝y_j成立，那么群中心要求U_j和U重新运行成员加入算法(由于出现这种情况 的可行性极低，以后可以忽略该情况产生的效率损失)；

S3：群中心收到后重新计算c的值更新并发布，然后将(ID_k+1,y_k+1,p_k+1)发送给群管理员,之 后用户U就成为了一名合法的群成员；

C：成员撤销算法

S1：群管理员要撤销群成员U_j(j←{1,2,…k})，则群中心将成员U_j的公钥信息用一个随机 数

进行替换，群中心只需重新计算c的值并发布，之后成员U_j就被撤销，其密钥不能再生 成合法的群签名；

从上面成员加入算法Join和成员撤销算法Delete的执行过程可以看出群中心只需通过计 算新的c的值就能完成，操作简单并且效率很高。

D：密钥演化算法

假设成员U_i(i←{1,2,…k})在j-1(j≥1)时间段内的私钥为x_i,j-1，在第j时间段随机选取 r_j＜p_i，计算x_i,j＝x_i,j-1+r_j(mod p_i)，令T_i,0＝O,T_i,1＝r₁G，计算在第j时间段的T_i,j满足：

将x_i,j作为第j时间段的私钥，完成后清除r_j和x_i,j-1；

E：群签名生成算法

在t时间段内群U_i对消息m的签名过程如下：

S1：U_i随机选取两个整数α,β,且满足：1≤α,β≤n-1；

S2：计算k＝(αx_i,t+β)mod n；若k＝0，则返回步骤S1；

S3：计算kG＝(x₁,y₁)和r＝x₁ mod n；若r＝0，则返回步骤S1；

S4：计算需要签名的消息m的哈希值e，e＝H(m)；

S5：计算s＝(β+x_i,ter)mod n若s＝0，则返回步骤S1；

S6：输出签名σ＝(s,α,r,t,p_i,T_i,t)；

F：签名验证算法

S1：验证s,α,r是否为区间[1,n-1]内的整数，若任何一个验证失败，则拒绝签名；

S2：根据群中心公开的信息，计算y_i≡c(mod p_i)，然后还原到y_i对应椭圆曲线的坐标Q_i；

S3：计算消息m的哈希值e，e＝H(m)；

S4：计算u＝er；

S5：计算sG+(α-u)(Q_i+T_i,t)＝(x₂,y₂)；

S6：计算v＝x₂ mod n；

S7：验证v和r的关系，若v＝r，则验证签名成功，否则验证失败拒绝签名；

G：签名打开算法

如果在某些情况下需要验证签名者的真实身份，群管理员先验证p_i是否在存储列表内，通过 计算y_i≡c(mod p_i)获得y_i后查询对应的信息列表(ID_i,y_i,p_i)可获得签名者的真实身份ID_i， 从而得到签名者的真实身份避免发生争议。

以下基于正确性、匿名性、可追踪性、不可抵赖性、抗联合攻击性、前 向安全性以及效率对本发明的技术方案进行分析：

正确性

若σ＝(s,α,r,t,p_i,T_i,t)是合法的群成员对消息m的签名信息，由p_i可以求 出公钥y_i对应点Q_i，那么有:

(x₂,y₂)＝sG+(α-u)(Q_i+T_i,t)

＝(β+x_i,ter)G+(α-er)(x_i,0G+T_i,t)

＝(β+x_i,ter)G+(α-er)x_i,tG

＝(αx_i,t+β)G＝kG

＝(x₁,y₁)

所以有：v＝x₂＝x₁＝rmodn，因此签名正确。

匿名性

已知σ＝(s,α,r,t,p_i,T_i,t)为用户U_i在t时间段内对消息m的签名时，验证 时只能获得用户对应的初始公钥，而只有管理员和群中心才有初始公钥和用户身 份的配对信息，其他用户都不能从签名中获得签名者的身份信息，只能验证出该 签名是由群内某一位合法成员所签署的。因此，方案确保了签名的匿名性。

可追踪性

当对某个签名发生争议时，群管理员可以根据签名信息找到签名者的初 始公钥y_i，再通过查询签名系统建立时群中心发送的(ID_i,y_i,p_i)配对信息即可追 踪到签名对应的用户身份ID_i。

不可抵赖性

签名者U_i对消息签名时需要自身的初始私钥x_i,0参与，而x_i,0只有签名者 本人才知道，因此群管理员和其他群成员U_j(j≠i)都不能以U_i的身份产生有效的 签名。因此，在签名者密钥未泄露的情况下，方案具有不可抵赖性。

抗联合攻击性

假设有M(M＜k)个成员进行联合产生了一个群管理员追踪不到的合法 的群签名σ′，那么这M个成员可以产生一个公钥y_M和大素数p_M，满足：

且p_M∈{p_i|i＝1,2,…k}(合法的签名能够通过管理员p_M的 验证)。而群管理员根据y_M≡c(modp_M)求得的y_M一定能满足 y_M∈{y_i|i＝1,2,…k}，这与前提矛盾，因此方案具有抗联合攻击性。

前向安全性

(1)密钥演化算法是前向安全的。群用户的私钥是随着时间段在不断更 新的，群用户U_i通过随机选择r_j来控制第j时间段内的密钥x_i,j，并且不像其他 签名一样受到时间周期的限制，密钥可以无限制的演化下去。假设攻击者获得了 用户U_i在j时间段内的密钥x_i,j，他可以演化出j时间段之后的随机密钥，但是 不能获取j时间段之前的密钥。因为在密钥演化算法中，一旦获得x_i,j就会将之前 的密钥x_i,j-1和随机数r_j清除，如果攻击者想获取j-1时间段密钥x_i,j-1，就必须破 解用户U_i选择的随机数r_j，而在已知T_i,j，T_i,j-1和G的情况下通过T_i,j＝T_i,j-1+r_jG 来解出r_j相当于破解了椭圆曲线离散对数难题。由于椭圆曲线离散对数问题在多 项式时间内是难解的，所以攻击者无法推测出j时间段之前的密钥，从而密钥演 化算法是前向安全的。

(2)签名算法是前向安全的。当攻击者获得了用户U_i在j时间段的密钥 x_i,j后，也不能伪造j时间段之前的签名。以j-1时间段为例，攻击者要伪造j-1 时间段的签名就需要知道j-1时间段的密钥x_i,j-1，而密钥演化算法是前向安全的， 攻击者无法在多项式时间内获得j-1时间段的密钥x_i,j-1，由

s＝(β+x_i，j-1er)mod p_i可知签名算法是前向安全的。

效率

将本发明方案和具有前向安全的基于椭圆曲线的群签名的文献[12]和文 献[13]在计算复杂度上进行对比。分析三个签名方案可知，算法计算开销较大的 主要操作是点乘运算、双线性映射运算、Hash函数运算、求逆运算和c的更新计 算，分别用M、E、H、R和C来表示。由于系统的建立算法只执行一次，现不考 虑系统的建立算法的计算开销，三种方案的运算量比较如下表所示。

三种方案运算量对比

算法	本实施例	文献[12]	文献[13]
				成员加入	M+C	6M+4E+3H	8M+9E+H+R
成员撤销	C	0	0
				密钥演化	M	M+H	0
签名算法	M+H	5M+2E+2H	6M+2E+3H
				验证算法	3M+H	2M+H	2E

分析表1发现，在成员加入算法中本发明方案只用了一次点乘运算和一次c的更新，而文献[12]和文献[13]不仅需要多次乘运算还需要进行双线性映射运算和 Hash函数运算。在成员撤销算法中本发明方案使用了一次c的更新运算，而文献 [12]和文献[13]不具有成员撤销功能。在密钥演化算法中本发明方案只用了一次 点乘运算，而文献[12]需要一次点乘运算和一次Hash函数运算，文献[13]不具 有密钥演化算法。在签名算法和验证算法中本发明方案需要使用四次点乘运算和 两次Hash函数运算，而文献[12]需要使用七次点乘运算和三次Hash函数运算， 文献[13]需要使用六次点乘运算和三次Hash函数运算。从总体上看，虽然本发 明方案在成员加入和成员撤销操作上需要重新计算c的值，但本发明方案在签名 算法和验证算法中相较于文献[12]和文献[13]更加高效，并且能实现成员的撤销。

Claims (1)

1.一种高效的前向安全群签名管理方法，其特征在于：包括以下内容：

A：系统建立算法

系统共有三类实体，分别为可信任的群中心、群管理员和群成员，群中成员的数量为k，系统建立包括以下步骤：

S1：群中心选择一个参数为T＝(q,a,b,G,n)的椭圆曲线,每位成员U_i(i＝1,2,…k)向群中心提交一次申请并将身份信息ID_i发送给群中心，群中心为每一个群成员的申请选择一个大素数p_i(i＝1,2,…,k)满足：p_i＜n，并且最终的k个大素数是互不相同的，还要保证p_i-1中有两个大素数；群中心选择一个哈希函数

(n*＜[log₂(min{p₁,p₂,…,p_k})])；

S2：计算x_i,0G＝(x_i',y_i')，y_i＝y_i'(modp_i)，将y_i作为其公钥，并将公钥发送给群中心，群中心对每个成员的公钥进行比对，如果有两个成员有相同的公钥，则群中心要求这两位成员重新选择私钥；

S3：群中心将最终的(ID_i,y_i,p_i)发送给管理员，管理员保存该信息用于后期打开群签名和基本验证的依据，群中心根据每个用户的p_i和y_i建立一个同余方程组：

根据中国剩余定理，该方程组的整数解满足：c＝y₁P₁'P₁+y₂P₂'P₂+…+y_kP_k'P_k(modP)，其中P_i＝P/p_i(i＝1,2,…,k)；P＝p₁p₂…p_k＝P₁p₁＝P₂p₂＝…＝P_kp_k；P_i'是满足P_i'P≡1(modp_i)(i＝1,2,…,k)的整数解，之后群中心将(c,T)公开；

B：成员加入算法

若用户U想成为群中的一个成员，按照以下步骤加入：

S1：U向管理员提出申请，获得管理员授权后，U与群中心进行交互；群中心再选择一个与p_i(i＝1,2,…,k)都互异的大素数

然后将p_k+1发送给U,U随机秘密选择私钥x_k+1,0＜n，；

S2：计算x_k+1,0G＝(x_k+1',y_k+1')，y_k+1＝y_k+1'(modp_k+1)，将y_k+1作为其公钥，之后将其公钥和身份信息(ID_k+1,y_k+1)发送给群中心，群中心将y_k+1和其他成员的公钥进行比较，如果成员U_j的公钥使得y_k+1＝y_j成立，那么群中心要求U_j和U重新运行成员加入算法；

S3：群中心收到后重新计算c的值更新并发布，然后将(ID_k+1,y_k+1,p_k+1)发送给群管理员,之后用户U就成为了一名合法的群成员；

C：成员撤销算法

S1：群管理员要撤销群成员U_j(j←{1,2,…k})，则群中心将成员U_j的公钥信息用一个随机数

进行替换，群中心只需重新计算c的值并发布，之后成员U_j就被撤销，其密钥不能再生成合法的群签名；

D：密钥演化算法

假设成员

在j-1(j≥1)时间段内的私钥为x_i,j-1，在第j时间段随机选取r_j＜p_i，计算

令T_i,0＝O,T_i,1＝r₁G，计算在第j时间段的T_i,j满足：

将x_i,j作为第j时间段的私钥，完成后清除r_j和x_i,j-1；

E：群签名生成算法

在t时间段内群U_i对消息m的签名过程如下：

S1：U_i随机选取两个整数α,β,且满足：1≤α,β≤n-1；

S2：计算k＝(αx_i,t+β)modn；若k＝0，则返回步骤S1；

S3：计算kG＝(x₁,y₁)和r＝x₁modn；若r＝0，则返回步骤S1；

S4：计算需要签名的消息m的哈希值e，e＝H(m)；

S5：计算s＝(β+x_i,ter)modn若s＝0，则返回步骤S1；

S6：输出签名σ＝(s,α,r,t,p_i,T_i,t)；

F：签名验证算法

S1：验证s,α,r是否为区间[1,n-1]内的整数，若任何一个验证失败，则拒绝签名；

S2：根据群中心公开的信息，计算y_i≡c(modp_i)，然后还原到y_i对应椭圆曲线的坐标Q_i；

S3：计算消息m的哈希值e，e＝H(m)；

S4：计算u＝er；

S5：计算sG+(α-u)(Q_i+T_i,t)＝(x₂,y₂)；

S6：计算v＝x₂modn；

S7：验证v和r的关系，若v＝r，则验证签名成功，否则验证失败拒绝签名；

G：签名打开算法

如果在某些情况下需要验证签名者的真实身份，群管理员先验证p_i是否在存储列表内，通过计算y_i≡c(modp_i)获得y_i后查询对应的信息列表(ID_i,y_i,p_i)可获得签名者的真实身份ID_i，从而得到签名者的真实身份。