CN118042460A - 一种细粒度前向安全的无证书聚合签密方法 - Google Patents

Abstract

本发明公开了一种细粒度前向安全的无证书聚合签密方法，该方法使用穿刺加密实现了细粒度的前向安全，保护了用户的隐私，可实现无证书加密，综合解决了物联网通信中密钥托管、身份撤回、前向安全和隐私保护的复合型问题；本发明算法一次性完成签名和加密，进一步加强通信安全性，不仅可以极大地提高通信安全性，而且能很好地保障用户的隐私，还可以降低密钥管理的开销，一举多得。

Description

一种细粒度前向安全的无证书聚合签密方法

技术领域

本发明属于物联网和网络安全技术领域，具体涉及一种细粒度前向安全的无证书聚合签密方法。

背景技术

随着时代的发展，物联网IoT技术的进步为我们生活的方方面面带来了极大的便利，而随着人们部署的联网智能设备越来越多，不同实体之间的实时数据共享技术也得到了充分发展，这也就大大促进了很多新产业的发展，如智能交通、智能农业和智能医疗等。根据美国信息技术研究公司Gartner的分析，到2025年，全球将会部署约416亿台物联网智能设备，相关产业产值将超11兆美元，可见物联网领域有极大的发展潜力。

传统的物联网往往依赖中心化的机构来实现数据的存储、处理和共享，这就容易导致性能瓶颈，同时还会带来安全上的风险，典型案例如Facebook的数据泄露事件和Yahoo帐号泄露事件；此外，中心化的框架往往难以满足物联网设备的低延迟要求，所以近年来人们开始转向研究基于无线通信技术的分布式环境下的数据共享技术。然而，无线网络的动态自组织特性使得它在实现物联网数据共享时也存在隐私泄露和数据安全的问题；针对这些问题，早期的解决方案是引入一个中心化的公钥分发机构，虽然能解决部分安全问题，但是开销较大。后来人们提出了身份基加密的简化方案，虽然可以大大降低密钥管理的开销，但是在密钥托管和身份撤回上仍存在问题；针对以上问题，又有学者提出了无证书公钥加密技术，该技术只需公钥生成机构提供部分公钥，因而解决了密钥托管问题同时还能防止公钥生成机构窃取用户数据，为了进一步提升安全性，人们在此技术基础上提出了无证书签密技术，可以一次完成签名和加密两个步骤。

然而，现有的无证书签密技术仍存在很多不足，在文献《Certificatelessanonymous signcryption scheme with provable security in the standard modelsuitable for healthcare wireless sensor networks》中，作者针对智能医疗领域中的无线传感器可能泄露患者隐私的问题，提出了一种可以实现匿名性的无证书签密技术，该技术可以对患者的关键信息进行加密、对传感器的合法性进行授权以及实现传感器的匿名性，从而保护了患者的隐私；然而，该技术并没有考虑到前向安全的问题，一旦密钥泄露，攻击者仍可以从通信记录中获取隐私信息。在文献《Pairing-Free CertificatelessAggregate Signcryption Scheme for Vehicular Sensor Networks》中，作者对智能交通领域下车辆传感器在无线网络中可能泄露隐私的问题提出了一种免配对的无证书签密方法，该方法采用了椭圆曲线加密系统，既可以高效地完成多来源数据的聚合和同步验证工作，又可以抵御各种攻击，还可以在一定程度上实现前向安全；然而，该方案只保证加密者的密钥泄露不会引发隐私泄露，却没考虑解密者的密钥泄露问题，并不能实现真正的前向安全。

发明内容

为了综合解决物联网通信中密钥托管、身份撤回、前向安全和隐私保护的复合型问题，本发明提供了一种细粒度前向安全的无证书聚合签密方法，该算法不仅可以极大地提高通信安全性，而且能很好地保障用户的隐私，还可以降低密钥管理的开销，一举多得。

一种细粒度前向安全的无证书聚合签密方法，用于在物联网通信下提供包括密钥托管、身份撤回、隐私保护、前向安全在内的一系列服务，在物联网中公钥生成机构KGC(KeyGeneration Center)和可信机构TA(Trusted-Authority)组成核心网络，终端设备为数据所有者，数据所有者通过基站相互通信，也通过基站与KGC通信；所述无证书聚合签密方法包括如下步骤：

(1)KGC根据初始参数通过算法生成公共参数和主密钥；

(2)在开始通信之前，KGC通过算法为通信的实体提供部分密钥；

(3)实体收到部分密钥之后通过算法独立计算生成公私密钥对，用于之后的通信；

(4)实体根据公共参数、自身的身份标识和私钥、数据接收方的身份标识、所要发送的信息以及当前时间间隔，通过算法计算生成一条签密后的消息；

(5)实体将签密后的消息发送给基站，由基站通过算法对该消息进行部分解密，得到相应的密文并发送给数据接收方；

(6)数据接收方得到密文后对其进行完整解密以还原出原信息；

(7)完成解密后，数据接收方采用算法以穿刺其私钥，以产生一个新的穿刺后的私钥；

(8)每个时间间隔结束时，实体需通过算法来更新自己的私钥。

进一步地，所述步骤(1)的具体实现方式如下：

1.1输入安全参数λ、时间间隔的最大数量τ_max和允许与每条密文关联的最大标签数量n，算法根据安全参数λ会生成双线性群并随机选取两个指数α和s；

1.2定义消息空间、标签空间和身份标识空间，同时定义一个特殊的标签该标签不会被用于普通的签密和穿刺操作中；

1.3基于上述条件，生成一棵深度为l的二叉树BT来管理所有的时间间隔{0,…,τ_max-1}，其中τ_max≤2^l；

1.4利用算法随机选中三个向量u、v、h，此外KGC会选定两个哈希函数H₁和H₂；

1.5最后由算法公开公共参数PP，并输出主密钥MSK＝{g^α,s}；

其中：SPK＝g^s。

进一步地，所述步骤1.3的具体实现方式为：首先构造一棵深度为l的二叉树BT，令时间间隔总数τ_max≤2^l，将时间间隔τ∈{0,…,τ_max-1}自左向右分配到BT的一个叶子节点η_τ上；采用一个二进制字符串ω_η来表示BT上的一条从根节点ε到叶子节点η_τ的路径ω_τ，其中0表示向左子树遍历，而1表示向右子树遍历；对于BT的任一节点η，定义R(η)为该节点的右孩子节点，若η为叶子节点，则R(η)＝η，此外定义Path(η)为一个节点集，其包含了从根节点ε到节点η的路径上的所有节点，包括了ε和η；对于任一时间间隔τ，定义一个节点集 对任意两个时间间隔τ<τ′以及任一节点/>存在一个节点使得ω_η是ω′_η的前缀。

进一步地，所述步骤(2)的具体实现方式如下：

2.1输入公共参数PP、主密钥MSK以及实体身份ID，算法会先随机选取4个整数r_id,r₀,r′₀,a₀，并依此计算出数组sk_ф；

2.2KGC依据输入的信息为每个节点η计算数组sk_0,η以及PSK；

2.3算法就会为身份标识为ID的实体生成一个部分密钥 其中/>同理，给定任一时间间隔τ，KGC可通过上述步骤生成一个部分密钥/>

进一步地，所述步骤(3)的具体实现方式为：首先输入公共参数PP和部分密钥实体会随机选定一个值β，进而得到消息sk；然后算法会依据输入的信息为身份标识为ID的实体生成一组公私密钥对{PK_ID,SK_ID}。

进一步地，所述步骤(4)的具体实现方式如下：

4.1当一个实体拥有了自己的公私密钥对需要发送信息给另一个实体时，先输入公共参数PP、自身的身份标识ID_S、私钥/>数据接收方的身份标识ID_R、一组标签集合St、所要发送的信息M、当前时间间隔τ和时间戳T_M，算法首先通过多项式来定义一个关于系数的向量z；

4.2然后算法会随机选取一个数x并依据输入的信息计算出数组CT＝(c₀,c₁,c₂,c₃,c₄)；

4.3之后算法根据输入的信息计算一个哈希值θ，进而根据该哈希值θ计算得到数值σ；

4.4最后算法生成一条签密后的消息SCR＝{CT,σ}，该消息与St和τ有关。

进一步地，所述步骤(5)的具体实现方式如下：

5.1收到签密后消息SCR的基站先输入公共参数PP、外包密钥和SCR；

5.2基站对外包密钥进行解析，并通过算法对每个m∈[1,i]计算用于还原明文的中间变量C_m，其中i表示当前的穿刺次数；

5.3算法最后计算得到并输出一个部分解密的密文PDC＝{c₀,c′₀,σ}。

进一步地，所述步骤(6)的具体实现方式为：首先输入公共参数PP、数据发送方的身份标识ID_S和公钥数据接收方的身份标识ID_R和私钥/>密文PDC、消息SCR以及时间戳T_M，通过算法解密还原出消息/>a_τ为属于时间间隔τ的私钥/>中的解密密钥；然后数据接收者计算/> 和δ′＝H₁(ID_S,A_S,SPK)，然后验证等式/> 是否成立，如果成立，算法输出消息M，否则算法输出符号⊥，其中A_S和C_S为数据发送方的公钥组成成分。

进一步地，所述步骤(7)的具体实现方式如下：

7.1数据接收方首先对其属于时间间隔τ的私钥中的外包密钥进行解析；

7.2然后选定3个随机指数v_i,r_i,r′_i，根据解析结果通过算法计算出数组sk′_φ、sk′_τ,η；

7.3最后基于上述信息，算法会输出一个新的被穿刺的私钥其中的外包密钥/>

进一步地，所述步骤(8)的具体实现方式如下：

8.1实体首先对其属于时间间隔v的私钥SK_ID中的外包密钥进行解析；

8.2对于某个节点算法找到另一个节点/>η满足ω_η是ω_η′的前缀；

8.3然后随机选定两个指数并根据解析结果通过算法计算出数组sk′_φ、

8.4最后基于上述信息，算法会更新输出一个新的私钥 其中/>代表更新后的解密密钥，是实体私有的，而/>则代表更新后的外包密钥，是和基站共享的。

为了综合解决物联网通信中密钥托管、身份撤回、前向安全和隐私保护的复合型问题，本发明提出了一种物联网场景下的可保障前向安全和用户隐私的数据共享方案，其工作方式主要包括八个部分：第1部分是启动算法，公钥生成机构KGC计算生成一系列公共参数和主密钥；第2部分是部分公钥生成算法，公钥生成机构KGC为一个参与通信的实体提供一个部分密钥；第3部分是完整密钥生成阶段，收到部分密钥的实体根据部分密钥计算生成完整的公私密钥对；第4部分是签密算法，一个希望发送信息的实体通过此算法对需要发出去的信息进行签密；第5部分是外包解密算法，拥有大量计算资源的信息中转基站在收到一条密文后先对密文进行部分解密，然后再转发给信息接收者；第6部分是解签密算法，信息接收者收到部分解密的信息后，进一步解签密，得到明文；第7部分是穿刺算法，信息接收者解密完信息后，对自己的私钥进行穿刺，从而破坏其接收到的部分解密的密文的可解读性；第8部分为更新算法，各个实体都需要利用此算法在每个时间间隔结束时更新自己的密钥。由此，本发明技术方案具有以下优势：

1.本发明算法可实现无证书加密，能够解决密钥托管、身份撤回的问题。

2.本发明算法一次性完成签名和加密，进一步加强通信安全性。

3.本发明算法使用穿刺加密实现了细粒度的前向安全，保护了用户的隐私；使用本发明不仅可以极大地提高通信安全性，而且能很好地保障用户的隐私，还可以降低密钥管理的开销，一举多得。

附图说明

图1为本发明的应用场景示意图。

图2为KGC执行启动算法的执行流程示意图。

图3为KGC执行部分密钥生成算法的执行流程示意图。

图4为实体执行完整密钥生成算法的执行流程示意图。

图5为消息发送方执行签密算法的执行流程示意图。

图6为基站执行外包解密算法的执行流程示意图。

图7为消息接收方执行解签密算法的执行流程示意图。

图8为消息接收方执行穿刺算法的执行流程示意图。

图9为实体执行更新算法的执行流程示意图。

具体实施方式

为了更为具体地描述本发明，下面结合附图及具体实施方式对本发明的技术方案进行详细说明。

本发明面向物联网领域，为解决物联网通信下的密钥托管、身份撤回、隐私保护和前向安全问题，提供了一种物联网场景下的可保障前向安全和用户隐私的数据共享方案。在本发明中，公钥生成机构KGC和可信机构TA组成核心网络，联网的终端设备为数据所有者，数据所有者通过基站相互通信也通过基站与KGC通信，图1展示了本发明技术方案的应用场景。

如图2所示，首先，在开始通信之前，公钥生成机构KGC要根据初始参数生成公共参数PP和主密钥MSK，具体步骤如下：

(1-1)公钥生成机构KGC输入安全参数λ、时间间隔的最大数量τ_max和允许与每条密文关联的最大标签数量n，算法会生成双线性群 随机选取两个指数/>令/>令SPK＝g^s。

(1-2)算法定义消息空间定义标签空间/>身份标识空间/> 定义一个特殊的标签/>该标签不会被用于普通的签密和穿刺操作中。

(1-3)算法生成一棵深度为l的二叉树BT来管理所有的时间间隔{0,…,τ_max-1}，其中τ_max≤2^l，该管理机制的具体构造如下：

先构造一棵深度为l的二叉树BT，令时间间隔总数τ_max≤2^l，将每个τ∈{0,…,τ_max-1}自左向右分配到BT的一个叶子节点η_τ上。

为了表示BT上的一条从根节点ε到叶子节点η的路径，需要用到一个二进制字符串ω_η，其中0表示向左子树遍历，而1表示向右子树遍历，对每个时间间隔τ用来表示到该节点的路径，为了更加简便，直接用ω_τ表示。

对任一节点η，定义R(η)为该节点的右孩子节点，若η为叶子节点，则R(η)＝η；此外，定义Path(η)为一个节点集，其包含了从根节点ε到节点η的路径上的所有节点，包括了ε和η；对每个时间间隔τ，定义一个节点集 该集合显示，对任意两个时间间隔τ<τ′，以及任何节点/>存在一个节点/>使得ω_η是ω′_η的前缀。

(1-4)在设置好管理机制以后，该算法随机选中三个向量， 和/>对于每一个ID∈ID和二进制字符串ω∈{0,1}^≤l，定义如下两个函数，/>和/> 其中|ω|指的是ω的长度，而ω[j]是指ω的第j位。

(1-5)KGC会选定两个哈希函数H₁:和H₂:/>

(1-6)算法公开公共参数并输出主密钥MSK＝{g^α,s}。

在完成了系统设定之后，网络中的任何一个实体与其他实体通信前，都需要获得公钥生成机构KGC提供的部分密钥，之所以这样操作，是因为KGC可能被攻击，而如果KGC有完整的密钥信息，则攻击者就能由此破解实体间的通信密文，导致隐私泄露；如图3所示，该操作的具体步骤如下：

(2-1)公钥生成机构KGC输入PP、MSK和实体身份ID，算法会随机选取4个整数r_id,r₀,r′₀,然后算法会计算/> 其中/>

(2-2)KGC为每个节点计算：

(2-3)KGC计算a＝r_id+r₀+r′₀+a₀，A＝g^a，δ＝H₁(ID,A,SPK)和b＝a+δ·s，完成后令PSK＝{b,A}。

(2-4)完成了以上步骤后，该算法就会为身份标识为ID的实体生成一个部分密钥其中/>同理，给定任一时间间隔τ，KGC可以通过上述相同的步骤生成一个部分密钥/>

在收到了部分密钥之后，实体会独立计算生成公私钥，用于之后的通信；如图4所示，该操作的具体步骤如下：

(3-1)得到了部分密钥的实体先输入PP和实体会随机选定一个值然后计算B＝g^β和C＝A·B，并令sk＝{β,b}。

(3-2)算法执行完毕会为身份标识为ID的实体生成一组公私钥对{PK_ID,SK_ID}，其中PK_ID＝{A,C}而SK_ID＝{a₀,SK_0,ф,sk}。

计算出公私密钥对之后，实体便可以与其他实体通信了，为了发送一条信息，实体必须先对该信息进行签密，以保证信息内容不被泄露；如图5所示，该操作步骤如下：

(4-1)当一个实体ID_S拥有了自己的公私密钥对需要发送信息给另一个实体ID_R时，它先输入PP、身份标识ID_S、私钥/>接收方的身份标识ID_R、一组标签St＝{t₁,t₂,...,t_d}其中d≤n、信息M、当前时间间隔τ和时间戳T_M，算法会首先通过多项式来定义一个系数的向量z＝(z₁,...,z_n)，其中当d+1<j≤n时，z_j＝0。

(4-2)算法随机选取一个数并计算/>

(4-3)算法计算一个哈希值并计算σ＝x+θ·(β_S+b_S)。

(4-4)算法计算出一条签密后的消息CSR＝{CT,σ}，该消息与St和τ有关。

消息发送者在将其消息签密后，首先将密文发送给基站，让基站将该密文转发给消息接收者，而基站作为一个拥有较多计算资源的单位，它需要先对密文进行初步的解密，以减轻消息接收方的计算负担，而只进行部分解密也不会导致消息泄露；如图6所示，该操作具体步骤如下：

(5-1)收到SCR的基站先输入PP、和SCR，然后它用标签集合St来计算一个系数的向量z＝(z₁,...,z_n)。

(5-2)基站将外包密钥解析为/>其中sk_ф＝(sk_ф,1,sk_ф,2,sk_ф,3,sk_ф,4)，而sk_ф,4＝(κ_ф,2,...,κ_ф,n)；对j∈[1,i]，令/> 其中/>特别地，令/>

(5-3)算法计算并对每个m∈[1,i]计算：

再计算并对每个m∈[1,i]计算：

(5-4)算法计算并输出一个部分解密的密文PDC＝{c₀,c′₀,σ}。

基站在完成了部分解密后，把解密得到的结果转发给消息接收者，让后者继续完成密文的完整解密；如图7所示，该操作具体步骤如下：

(6-1)接收者ID_R，其私钥为输入PP、ID_S、/>ID_R、PDC、SCR和T_M后，算法计算消息/>

(6-2)接收者计算和δ′＝H₁(ID_S,A_S,SPK)，然后验证等式/>是否成立，如果成立，算法输出M；否则，算法输出符号⊥。

一旦接收者完成了密文的解密，它就应该立刻解除该密文的可解读性，以免被攻击者破解，这里用到了穿刺算法；如图8所示，具体步骤如下：

(7-1)接收者输入PP、一个标签以及属于时间间隔τ的被穿刺了的密钥首先接收者将/>解析为：

其中：sk_ф＝(sk_ф,1,sk_ф,2,sk_ф,3,sk_ф,4),sk_ф,4＝(κ_ф,2,...,κ_ф,n)

sk_τ,η＝(sk_τ,0,sk_τ,1,sk_τ,|ω|+1,…,sk_τ,l)。

(7-2)接收者选定3个随机指数v_i,r_i,然后计算：

其中：

(7-3)接收者继续计算：

其中：

(7-4)接收者计算

(7-5)算法输出一个新的被穿刺的密钥其中/> 外包密钥为/>

每个时间间隔结束时，实体都需要执行此算法以更新自己的密钥，更新后的密钥无法解密以前的时间间隔内产生的密文；如图9所示，具体步骤如下：

(8-1)实体输入算法先将/>解析为：

其中：sk_ф＝(sk_ф,1,sk_ф,2,sk_ф,3,sk_ф,4),sk_ф,4＝(κ_ф,2,...,κ_ф,n)

sk_τ,η＝(sk_τ,0,sk_τ,1,sk_τ,|ω|+1,…,sk_τ,l)。

(8-2)对每个节点算法找到另一个节点/>η满足ω_η是ω_η′的前缀。

(8-3)算法随机选定两个指数并计算：

再计算

其中：

(8-4)算法计算：

再计算其中j∈[1,i]。

(8-5)令算法就可以输出更新后的密钥/>其中/>代表更新后的解密密钥，是实体私有的，而/>则代表更新后的外包密钥，是和基站共享的。

上述对实施例的描述是为便于本技术领域的普通技术人员能理解和应用本发明，熟悉本领域技术的人员显然可以容易地对上述实施例做出各种修改，并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此，本发明不限于上述实施例，本领域技术人员根据本发明的揭示，对于本发明做出的改进和修改都应该在本发明的保护范围之内。

Claims (10)

1.一种细粒度前向安全的无证书聚合签密方法，用于在物联网通信下提供包括密钥托管、身份撤回、隐私保护、前向安全在内的一系列服务，在物联网中公钥生成机构KGC和可信机构TA组成核心网络，终端设备为数据所有者，数据所有者通过基站相互通信，也通过基站与KGC通信；其特征在于：所述无证书聚合签密方法包括如下步骤：

(1)KGC根据初始参数通过算法生成公共参数和主密钥；

(2)在开始通信之前，KGC通过算法为通信的实体提供部分密钥；

(3)实体收到部分密钥之后通过算法独立计算生成公私密钥对，用于之后的通信；

(4)实体根据公共参数、自身的身份标识和私钥、数据接收方的身份标识、所要发送的信息以及当前时间间隔，通过算法计算生成一条签密后的消息；

(5)实体将签密后的消息发送给基站，由基站通过算法对该消息进行部分解密，得到相应的密文并发送给数据接收方；

(6)数据接收方得到密文后对其进行完整解密以还原出原信息；

(7)完成解密后，数据接收方采用算法以穿刺其私钥，以产生一个新的穿刺后的私钥；

(8)每个时间间隔结束时，实体需通过算法来更新自己的私钥。

2.根据权利要求1所述的无证书聚合签密方法，其特征在于：所述步骤(1)的具体实现方式如下：

1.1输入安全参数λ、时间间隔的最大数量τ_max和允许与每条密文关联的最大标签数量n，算法根据安全参数λ会生成双线性群并随机选取两个指数α和s；

1.2定义消息空间、标签空间和身份标识空间，同时定义一个特殊的标签该标签不会被用于普通的签密和穿刺操作中；

1.3基于上述条件，生成一棵深度为l的二叉树BT来管理所有的时间间隔{0，...，τ_mmax-1}，其中τ_mmax≤2^l；

1.4利用算法随机选中三个向量u、v、h，此外KGC会选定两个哈希函数H₁和H₂；

1.5最后由算法公开公共参数PP，并输出主密钥MSK＝{g^α，s}；

其中：SPK＝g^s。

3.根据权利要求2所述的无证书聚合签密方法，其特征在于：所述步骤1.3的具体实现方式为：首先构造一棵深度为l的二叉树BT，令时间间隔总数τ_max≤2^l，将时间间隔τ∈{0，...，τ_mmax-1}自左向右分配到BT的一个叶子节点η_τ上；采用一个二进制字符串ω_η来表示BT上的一条从根节点ε到叶子节点η_τ的路径ω_τ，其中0表示向左子树遍历，而1表示向右子树遍历；对于BT的任一节点η，定义R(η)为该节点的右孩子节点，若η为叶子节点，则R(η)＝η，此外定义Path(η)为一个节点集，其包含了从根节点ε到节点η的路径上的所有节点，包括了ε和η；对于任一时间间隔τ，定义一个节点集对任意两个时间间隔τ<τ′以及任一节点/>存在一个节点/>使得ω_η是ω′_η的前缀。

4.根据权利要求3所述的无证书聚合签密方法，其特征在于：所述步骤(2)的具体实现方式如下：

2.1输入公共参数PP、主密钥MSK以及实体身份ID，算法会先随机选取4个整数r_id，r₀，r′₀，a₀，并依此计算出数组sk_φ；

2.2 KGC依据输入的信息为每个节点η计算数组sk_0,η以及PSK；

2.3算法就会为身份标识为ID的实体生成一个部分密钥 其中/>同理，给定任一时间间隔τ，KGC可通过上述步骤生成一个部分密钥/>

5.根据权利要求4所述的无证书聚合签密方法，其特征在于：所述步骤(3)的具体实现方式为：首先输入公共参数PP和部分密钥实体会随机选定一个值β，进而得到消息sk；然后算法会依据输入的信息为身份标识为ID的实体生成一组公私密钥对{PK_ID，SK_ID}。

6.根据权利要求5所述的无证书聚合签密方法，其特征在于：所述步骤(4)的具体实现方式如下：

4.1当一个实体拥有了自己的公私密钥对需要发送信息给另一个实体时，先输入公共参数PP、自身的身份标识ID_S、私钥/>数据接收方的身份标识ID_R、一组标签集合St、所要发送的信息M、当前时间间隔τ和时间戳T_M，算法首先通过多项式来定义一个关于系数的向量z；

4.2然后算法会随机选取一个数x并依据输入的信息计算出数组CT＝(c₀，c₁，c₂，c₃，c₄)；

4.3之后算法根据输入的信息计算一个哈希值θ，进而根据该哈希值θ计算得到数值σ；

4.4最后算法生成一条签密后的消息SCR＝{CT，σ}，该消息与St和τ有关。

7.根据权利要求6所述的无证书聚合签密方法，其特征在于：所述步骤(5)的具体实现方式如下：

5.1收到签密后消息SCR的基站先输入公共参数PP、外包密钥和SCR；

5.2基站对外包密钥进行解析，并通过算法对每个m∈[1,i]计算用于还原明文的中间变量C_m，其中i表示当前的穿刺次数；

5.3算法最后计算得到并输出一个部分解密的密文PDC＝{c₀，c′₀，σ}。

8.根据权利要求7所述的无证书聚合签密方法，其特征在于：所述步骤(6)的具体实现方式为：首先输入公共参数PP、数据发送方的身份标识ID_S和公钥数据接收方的身份标识ID_R和私钥/>密文PDC、消息SCR以及时间戳T_M，通过算法解密还原出消息a_τ为属于时间间隔τ的私钥/>中的解密密钥；然后数据接收者计算和δ′＝H₁(ID_S，A_S，SPK)，然后验证等式是否成立，如果成立，算法输出消息M，否则算法输出符号⊥，其中A_S和C_S为数据发送方的公钥组成成分。

9.根据权利要求8所述的无证书聚合签密方法，其特征在于：所述步骤(7)的具体实现方式如下：

7.1数据接收方首先对其属于时间间隔τ的私钥中的外包密钥进行解析；

7.2然后选定3个随机指数v_i，r_i，r′_i，根据解析结果通过算法计算出数组sk′_φ、sk′_τ，η；

7.3最后基于上述信息，算法会输出一个新的被穿刺的私钥其中的外包密钥

10.根据权利要求9所述的无证书聚合签密方法，其特征在于：所述步骤(8)的具体实现方式如下：

8.1实体首先对其属于时间间隔τ的私钥SK_ID中的外包密钥进行解析；

8.2对于某个节点算法找到另一个节点/>η满足ω_η是ω_η′的前缀；

8.3然后随机选定两个指数并根据解析结果通过算法计算出数组

8.4最后基于上述信息，算法会更新输出一个新的私钥 其中代表更新后的解密密钥，是实体私有的，而/>则代表更新后的外包密钥，是和基站共享的。