CN1633776A - 利用双线性映射的签名方案 - Google Patents

Abstract

提供了用于产生并验证数字消息的签名的方法和系统，所述数字消息在签署者和验证器之间通信。使用双线性映射，诸如Weil或Tate配对(104)，这些方法和系统能够产生并验证高效的多签名、基于身份的团体签名、分级代理签名以及分级在线/离线签名。

Description

利用双线性映射的签名方案

相关申请

申请人在此依据35 U.S.C§119(e)要求获得临时美国专利申请60/372668号的优先权，所述的临时申请于2002年4月15日提交，并通过引用包括在本申请中。

技术领域

本发明主要涉及密码技术以及通过计算机网络或通过其他类型的系统与设备进行的保密通信，并尤其涉及在使用公共密钥加密技术的系统中用来产生及验证通信签名的方案。

背景技术

一般而言，在使用公共密钥加密术的系统中，每一方都与一个私有密钥以及一个公共密钥相关联。公共密钥是公开已知的，或是可以通过认证授权而获取的。要签署一条消息，签署人就会使用它的私有密钥。由于签署人的私有密钥与公共密钥是相关的，校验器就可以利用签署人的公共密钥来验证签名。由于签署人的私有密钥仅为签署人所知(也可能为私有密钥生成器或PKG所知)，因此第三方就不能伪造签署人的签名。

本发明的各种实施方式都与基于身份的签名方案相兼容。粗略地说来，基于身份的签名方案是公共密钥方案，在这类方案中，一个实体的公共密钥是从与该实体的身份有关的信息中得到的。例如，身份信息可以是个人信息(即姓名、地址、电子邮件地址等等)或是计算机信息(即IP地址等)。另外，身份信息不仅包括与实体身份严格相关的信息，还包括广泛的可用信息，如时间或日期。也就是说，身份信息概念的重要性不在于它与实体身份的严格关系，而在于任何希望向实体发送加密消息的人都能轻易获得该信息。

在使用公共密钥加密术的基于身份的系统中，一个实体的私有密钥由一个受委托方或逻辑进程产生并分配，所述的受委托方或逻辑进程通常被称为私有密钥生成器(“PKG”)。PKG利用一个主密文信息来产生私有密钥。由于一个实体的公共密钥可根据其身份推知，当Bob想要验证来自Alice的签名时，他就不必从数据库中取回Alice的公共密钥。Bob只需根据Alice的识别信息直接推知密钥。公共密钥数据库就成为多余，认证授权(“CAs”)也是不必要的了。无需将Alice的身份绑定到他的公共密钥上，因为他的身份即是他的公共密钥。

基于身份的系统的概念并不新鲜。它在A.Shamir的“Identity-Based Cryptosystems and Signatures Schemes(基于身份的加密系统与签名方案)”中就已被提出，该文发表于ADVANCES INCRYPTOGRAPHY-CRYPTO’84，Lecture Notes in ComputerScience 196(1984)，Springer，47-53。然而，可实际应用的基于身份的签名方案至今仍未被找到。

公共密钥与基于身份的系统通过引入分级结构而得到了进一步的扩展。例如，基于身份的方案中包括一个逻辑或实际的PKGs层次。一个根PKG可以向其他PKGs发放私有密钥，而后者又可以向特定域内的用户发放私有密钥。这样就使得校验器能够验证来自一名签署人的签名，而无需在线查找该签署人的公共密钥或较低级别的公共参数，即使校验器根本不在系统中，只要该校验器获得了根PKG的公共参数即可。分级的基于身份的签名方案的另一个优点是损坏控制。例如，一个域PKG的密文的泄漏并不会危及更高层次PKGs的密文，也不会危及任何其他不是该被损害的域PKG的直接下级的PKGs的密文。

尽管已知的公共密钥与基于身份的系统已经提供了用来产生及验证数字签名的方案，但是这些已知的签名方案都有着显著的缺点。例如，多签名方案并不能让多个签署人签署多个文档。能够让多个签署人签署多个文档的多签名方案能进一步提高签名的效率。例如，这样一种多签名可被用来压缩证书链。因此，需要一种允许多个签署人一起签署多个文档的签名方案。

对于使用公共密钥加密术的基于身份的系统来说，还需要一种团体签名(ring signature)方案。团体签名于最近在R.Rivest，A.Shamir，Y.Tauman撰写的“How to Leak a Secret(如何泄漏机密)”一文中被提出，该文发表于ADVANCES IN CRYPTOLOGY-ASIACRYPT2001，Lecture Notes in Compter Science 2248(2001)，Spring，552。团体签名允许一个组(不必先行建立)的一个成员签署一条消息，且使得第三方能够证实该组的某位成员创建了签名，但却不能确定是哪一名成员。然而，还没有可供基于身份的加密方案使用的有效的团体签名方案。因此就需要一种基于身份的团体签名方案。

在使用公共密钥加密术的基于身份的分级系统中，还需要代理签名、代理解密、代理授权，以及电子投票。这些特性在P.Horster，H.Peterson的“Self-Certified Keys-Concepts and Applications(自保证密钥-概念与应用)”一文中被提出用于非分级系统，该文发表于Proc.3 OF CONF.ON COMMUNICATIONS AND MULTIMEDIASECURITY 1997。然而，这些特性尚不能用于分级系统。因此就需要允许进行代理签名、代理解密、代理授权以及电子投票的基于身份的分级签名方案。

还需要能够离线产生一部分签名的更为高效的基于身份的分级签名方案。对于许多应用来说，在线签署时间比总签署时间更为重要。在这类情况下，通过允许离线完成更多的签名及验证算法，就能提高签名方案的效率。在线/离线签名方案在A.Shamir，Y.Tauman的“Improved Online/Offline Signature Schemes(改进的在线/离线签名方案)”一文中被提出，该文发表于ADVANCES IN CRYPTOLOGY-CRYPTO 2001，Lecture Notes in Compter Science 2139(2001)，Springer，355-367。然而，在线/离线签名方案还不能用于基于身份的分级系统。因此就需要高效率的基于身份的在线/离线分级签名方案。

因此，本发明的一个目的就是要提供一种多签名方案，该方案允许多个签署人签署多个文档。本发明的另一个目的是提供一种基于身份的团体签名方案。本发明的再一个目的是提供一种基于身份的分级签名方案，该方案允许进行代理签名、代理检测、代理授权以及电子投票。本发明还有一个目的，就是提供一种高效率的基于身份的在线/离线分级签名方案。

发明内容

根据本发明，它提供了用来实现安全可靠、实用且高效的签名方案的方法。

根据本发明的一方面内容，它提供了用来产生及验证数字消息的数字签名的方法与系统，所述的数字消息在签署人与校验器之间传递。根据这些方法与方案，每一名签署人签署所述消息的一个子集，而且由至少一名签署人签署的子集与由至少一名其他签署人签署的子集不同。为每一名签署人选取一个私有密钥，并利用一个预定的函数为每条消息产生一个消息函数值。为每名签署人产生一个或多个签名要素，产生的过程至少要用到与每名签署人相关的私有密钥以及与要被签署的消息有关的消息函数值。利用各个签名要素产生一个数字签名。然后至少利用消息函数值来验证数字签名。

根据本发明的另一方面内容，它提供了用来产生及验证数字消息的数字签名的方法与系统，所述的数字消息在签署人与校验器之间传递，其中所述的签署人是一组多个成员中的一名。签署人与一个身份信息相关联，并且该组其他成员也都与身份信息相关联。生成第一与第二元素循环群，并选出一个双线性非退化的配对，使得能够由第一循环群的两个元素产生第二循环群的一个元素。选出第一循环群的第一与第二生成器，即能够由一串二进制数产生第一循环群的一个元素的函数。为组内的每名成员产生公共要点，并为签署人产生一个私有要点。通过产生数字签名来签署数字消息，数字签名的产生中至少要用到签署人的私有要点以及组内每名成员的公共要点。至少使用组内每名成员的公共要点，该签名就会被证实为组内一名成员创建的。

根据本发明的另一方面内容，它提供了用来产生及验证数字消息的代理签名的方法与系统，所述的数字消息在代理签署人与校验器之间传递，其中所述的消息由代理签署人代表原始签署人签署。与原始签署人相关联的一个原始签署人私有密钥和一个原始签署人公共密钥都被选用。与代理签署人相关联的一个代理签署人私有密钥和一个代理签署人公共密钥也都被选用。然后就利用原始签署人私有密钥和代理签署人公共密钥来产生一个代理私有密钥。利用一个预定的函数产生一个消息函数值，并至少利用消息函数值、代理私有密钥以及代理签署人公共密钥来产生代理签名。代理签名至少要使用原始签署人公共密钥、代理签署人公共密钥以及消息函数值来验证。

根据本发明的另一方面内容，它提供了用来产生及验证数字消息的签名的方法与系统，所述的数字消息在签署人与校验器之间传递。在一个分级系统中，签署人比根PKG低t个级别。签署人与一个包含身份信息的ID元组相关联，所述的身份信息与签署人相关，还与根PKG和签署人之间的层级中的t-1个较低级别PKGs的每一个相关联。为较低级别的PKGs的每一个产生一个较低级别的公共密钥。产生一个与签署人相关的签署人私有密钥。在一种离线模式中，选用一个随机签署人暗门密码、一条随机消息以及一个随机数。然后利用所述的随机消息、随机数、暗门密码、签署人私有密钥以及与t-1个较低级别的PKGs相关的低级公共密钥来产生一个离线签名。在线模式中，要确定一个匹配随机数，该匹配随机数将要被签署的消息与离线签名相匹配。然后就可以利用该匹配随机数来验证离线签名。

附图说明

下文中对本发明优选实施方式的说明参考了附图，其中：

图1示出了一张流程图，该图根据本发明当前的一种优选实施方式展示了一种产生及验证一条数字消息M的一个多签名Sig的方法；

图2示出了一张流程图，该图根据本发明当前的另一种优选实施方式展示了一种产生及验证一条数字消息M的一个团体签名Sig的方法，所述的数字消息M在签署人与校验器之间传递；

图3示出了一张流程图，该图根据本发明当前的另一种优选实施方式展示了一种产生及验证一条数字消息M的一个团体签名Sig的方法，所述的数字消息M在一个分级结构中的签署人与校验器之间传递；

图4示出了一张流程图，该图根据本发明的另一种实施方式展示了一种产生及验证一条数字消息M的一个代理签名Sig的方法；

图5示出了一张流程图，该图根据本发明的另一种实施方式展示了一种产生及验证一条数字消息M的签名Sig的方法，其中所述的签名及校验算法可以部分离线完成；以及

图6示出了一张框图，该图根据本发明的另一种实施方式描述了一种用来实现签名方案的系统。

具体实施方式

本发明当前的优选方法提供了安全可靠、实用且高效的公共密钥、基于身份且分级的签名方案。

本发明提供了公共密钥签名方案。这些方案中包括基于身份的方案与非基于身份的方案。它们还包括分级的和非分级的方案。

本发明每一种基于身份的分级签名方案都需要一种PKGs的分级结构，该结构中至少包括一个根PKGs和多个低级PKGs。分级结构与低级PKGs可以是逻辑的或实际的。例如，单个实体就能产生一个根密钥生成密文和低级密钥生成密文，低级用户的加密或签名密钥都是由所述的低级密钥生成密文产生的。在该例中，低级PKGs都不是独立的实体，它们只是被安排在逻辑分级结构中的进程或信息，并被用来为分级结构中的下级PKGs与用户生成密钥。或者，每个低级PKGs也可以是独立的实体。另一种备选方案包括实际和逻辑低级PKGs的混合模式。为了公开说明本发明的目的，将用“低级PKG”一词来一般性地指代这些备选方案中的任何一种。

在本文所公开的基于身份的分级系统的范围内，基于身份的公共密钥可以是基于时间周期的。例如，一名特定用户的身份会随各个接连的时间周期而变化。或者，签署人也可以将时间周期安排为它自己在分级结构中的后代或下级，并且校验器会在验证签名时使用正确时间周期的身份。不论采用何种方式，每个密钥都仅在相关的时间周期内可以有效的用来签署消息。

本发明中基于身份的分级方案通常包括5个算法：根设置(RootSetup)、低级设置(Lower-level Setup)、提取(Extraction)、签署(Signing)以及验证(Verification)。这些算法中的三个依赖于分级结构中相关实体的身份。每名用户最好都在分级结构中拥有一个位置，该分级结构可由它的ID元组(ID₁，...，ID_t)定义。用户在分级结构中的前辈是根PKG以及ID元组为{(ID₁，...，ID_i)：1≤i≤(t-1)}的用户或PKGs。为了计算的目的，ID元组最好用二进制字串表示。

在根设置算法中，根PKG使用一个保密参数k来产生公共系统参数params以及一个根密钥生成密文。系统参数包括对消息空间M和签名空间S的描述。系统参数是公开使用的，但只有根PKG知道根密钥生成密文。

在低级设置算法中，为了提取的目的，每个低级PKG最好产生它自己的低级密钥生成密文。或者，低级PKG也可以为每次提取产生随机的一次性密文。

在提取算法中，一个PKG(根PKG或一个低级PKG)为它的任意一个后代产生一个私有密钥。该私有密钥是利用系统参数、生成方PKG的私有密钥以及任何其他的优选密文信息产生的。

在签署算法中，数字消息的签署人利用params和签署人的私有密钥d签署消息M∈M以产生一个签名Sig∈S。在验证算法中，被签署消息的校验器利用params以及签署人的ID元组来验证签名Sig。验证算法最好输出“有效”或“无效”。签署与验证最好还能满足一致性限制条件：

M∈M：Vertification(params，ID元组，Sig)＝“有效”

其中Sig＝Signing(params，d，M)

配对

本发明当前的优选签名方案是基于配对的，比如与椭圆曲线或阿贝尔簇(abelian varieties)相关的Weil或Tate配对。所述的签名方案还可以是基于Diffie-Hellman问题或双线性Diffie-Hellman问题的。在上述两种情况下，所述的方案都要使用两个循环群G₁和G₂，两个群最好具有同样大的素数阶q(prime order q)。第一个群G₁最好是一组位于椭圆曲线或阿贝尔簇上的点，并且的G₁上的群律(grouplaw)可以被写为加性的。第二个群G₂最好是一个有限域的乘性子群，并且G₂上的群律可以被写为乘性的。但是，其他类型的群也可被当作符合本发明的G₁和G₂使用。

本方法还使用第一个群G₁的一个生成器P₀。另外，一种配对或函数ê：G₁×G₁→G₂也被提供用来将第一群G₁的两个元素映射成第二个群G₂的一个元素。函数e最好满足三个条件。首先，函数e最好是双线性的，从而当Q和R在G₁中且a和b为整数时，有e(aQ，bR)＝e(Q，R)^ab。第二，函数e最好是非退化的，从而映射不会将G₁×G₁中的所有配对变为G₂中的身份。第三，函数e最好是能够高效计算的。满足这三个条件的函数e可以被考虑采用。

函数e最好还是对称的，从而使得e(Q，R)＝e(R，Q)对所有的Q，R∈G₁都成立。但是，对称可直接由双线性以及G₁是一个循环群这个事实得出的。可以根据现有技术中已知的方法修改与超奇异椭圆曲线或阿贝尔簇相关的Weil和Tate配对，以便产生这类双线性映射。但是，即使将第一循环群G₁中的元素称为“点”可能暗示函数e是一个经过改进的Weil或Tate配对，但是应该注意，任何合理的函数e都能行得通。

本发明签名方案的安全性主要基于Diffie-Hellman问题或双线性Diffie-Hellman问题的难度。Diffie-Hellman问题是在给定一个随机选取的P∈G₁，且给定aP和bP(对于未知的随机选取的a，b，c∈Z/qZ)的条件下，求出abP。双线性Diffie-Hellman问题是在给定一个随机选取的P∈G₁，且给定aP，bP及cP(对于未知的随机选取的a，b，c∈Z/qZ)的条件下，求出ê(P，P)^abc。在G₁中解决Diffie-Hellman问题也就解决了双线性Diffie-Hellman问题，因为e(P，P)^abc＝e(abP，cP)。相似地，解决G₂中的Diffie-Hellman问题也就解决了双线性Diffie-Hellman问题，这是因为如果g＝e(P，P)，那么g^abc＝(g^ab)^c，其中g^ab＝e(aP，bP)且g^c＝e(P，cP)。为了使双线性Diffie-Hellman问题变得困难，就应对G₁和G₂进行选择，从而使得不存在能够有效地解决G₁或G₂中的Diffie-Hellman问题的已知的算法。如果双线性Diffie-Hellman问题对于一种配对ê是困难的，那么可以推知ê是非退化的。

如果一个随机化算法IG采用一个保密参数k＞0、运行时间为k的多项式、且输出两个群G₁和G₂的描述以及一个可行配对e：G₁×G₁→G₂的描述，其中所述的两个群最好具有相同的素数阶q，那么随机化的算法IG就是一个双线性Diffie-Hellman生成器。如果IG是一个双线性Diffie-Hellman参数生成器，那么一个算法B在解决双线性Diffie-Hellman问题中的优势Adv_IG(B)就被定义为：当算法的输入为G₁、G₂、e、P、aP、bP和cP时，算法B输出e(P，P)^abc的概率，其中(G₁，G₂，ê)是IG对于足够大的保密参数k的输出，P是G₁的一个随机生成器，a、b、c则是Z/qZ的随机元素。双线性Diffie-Hellman问题下潜在的假设是Adv_IG(B)对于所有的有效算法B都是可以忽略的。类似的假设也存在于Diffie-Hellman问题中。

多签名

如上所述，多签名方案是任意一种允许若干个签署人以某种方式签署一个文件(或多个文件)的方案，所述的签署方式比他们(签署人)中的每一个分别签署文档的情况效率更高。通常，这种提高的效率体现在签名长度中——即n个签署人的组合多签名比n个单独的签名短。这对于各交易方的一方需要获得多个来源的预先批准且必须在交易前提交该多个预批准的交易来说是很方便的。如上所述，至今仍然没有一种能够允许多个签署人有效签署多个文档的多签名方案。例如，在现有的多签名方案中，多签名的长度至少取决于签署人的数量或被签署的文档数量。本发明提供了更高效的多签名签名方案，该方案允许多个签署人签署多个文档以产生一个多签名，该多签名的长度与签署人数量以及文档数量都无关。

现在参见附图，图1所示的流程图根据本发明的一种当前优选实施例展示了一种产生及验证一个多签名的方法。利用双线性映射，如Weil或Tate配对，该实施例允许多个签署人签署多个文档。无论不同签署人的数量或是被签署的不同文档的数量是多少，结果得到的签名都可以被表示为一个群中的单个元素，比如一条椭圆曲线上的单点。

参照图1说明的多签名方案允许n个签署人签署m个数字消息并产生单个的多签名。每个签署人签署m条消息的一个子集。与原有的签名方案不同，本方案允许不同签署人签署不同的消息集合而又不需牺牲效率。该方法从模块102开始，产生元素的第一与第二循环群G₁和G₂。在模块104中，选取一个函数e，使得该函数e能够由第一循环群G₁的两个元素产生第二循环群G₂的一个元素。函数e最好是一种可行的配对，如上所述。在模块106中选取第一循环群G₁的一个生成器P。在模块108中，选取一个函数H，使得该函数H能够由第一串二进制数产生第一循环群G₁的一个元素。例如，函数H可以是一种散列函数。

在模块110中，为n个签署人中的每一位选取一个私有密钥s_i。在模块112中利用函数H为m条消息中的每一条产生消息函数值P_Mj。在模块114中对所有的(i，j)∈C——也就是第i个签署人签署第j条消息的所有(i，j)配对——使用方程S_ij＝s_iP_Mj，来产生签名要素S_ij。这些签名要素S_ij被组合在一起以产生数字签名Sig＝∑_(i，j)∈CS_ij，如模块116中所示。该签名方案的高效率源于数字签名Sig包括第一循环群G₁的单个元素这样一个事实。在模块118中通过确认e(P，Sig)＝∏_(i，j)∈Ce(s_iP，P_Mj)来验证该签名。

在上述的方案中，每名签署人签署每条消息，尽管该方案是一种有用的多签名(方案)，但还存在其他的变型。例如，并非所有的消息都需要被所有的签署人签署。另外，交易方所获得的各种签名及授权可以在今后的交易中以不同的组合形式匹配。如果几名签署人签署同一条消息或是一名签署人签署多条消息，那么多签名的验证效率就能得到改善，因为只需进行较少的配对计算。根据现有技术中已知的方法，如果只发送签名Sig的x坐标，校验器可以根据x坐标恢复y坐标，就能进一步提高该方案的带宽效率。

额外的保密措施可被用来防止对参照图1所述的多签名方案的特定类型攻击。在这种攻击中，攻击者根据某些其他方的公共密钥修改它自己的公共密钥/私有密钥对，从而该攻击者无需它方参与即可伪造出以它自己及其他方为假造签署人的单消息多签名。这类攻击可以通过多种方式预防。例如，一个单独的团体可以收集来自每个签署人的签名要素，以组成多签名。在这样做的过程中，该团体可以通过确认e(P，S_ij)＝e(s_iP，P_Mj)来独立地验证每位签署人的签名要素S_ij。但是，多签名的最终校验器可能并不放心该方法，因为该校验器仍然必须确信收集了签名要素的团体正确地验证了那些签名要素。

或者，也可以通过要求每名签署人个别签署某些对于该签署人来说独特的消息来阻止攻击，比如含有签署人身份信息或公共密钥的消息，或是为每名签署人随机选取的消息。例如，P_Mij可被设为H(s_iP，M_j)。或者，CA也可以要求签署人在它(CA)向签署人发放证书之前签署某些由CA选择的“质询”消息。(实际上，CA通常已经要求这一点了。)在两种情况下，校验器都能够独立地验证多签名，而无需来自收集了签名要素的团体的保证。那些精通本技术的人应该明白，还可以使用其他方法来阻止攻击。

基于身份的团体签名

团体签名允许一个组(不必先行建立)的一个成员签署一条消息，且使得第三方能够证实该组的某位成员创建了签名，但却不能确定是哪一名成员。例如，设想有一名想要向新闻界泄漏机密但又想保留有限匿名性的内阁成员——即他想让新闻界知道他是一名内阁成员，但却不清楚是哪一名成员。团体签名允许签署人选择任意包含该签署人的集合并证明该签署人是那个集合的一名成员，而又不会暴露是哪一名成员。这样，一名内阁成员就可以利用他的私有密钥，结合其他内阁成员的公共密钥来为内阁创建一个团体签名。由于内阁专用的团体签名只能由内阁成员创建，因此新闻界就能利用该签名来证实其匿名来源的真实性。

团体签名也可用在合同谈判中。当A方向B方发送一个合同草案时，A方可能希望提供证明而非认可——即它(A方)可能想要向B方证明该合同草案来自A方，但又不希望给予B方向第三方(即法庭)证明A方签署了该草案的能力。在这种情况下，A方可以为集合{A，B}创建一个团体签名。B方会知道A方创建了该签名，因为B方自己没有创建该签名。另一方面，B方又不能使第三方确信A方创建了该签名，因为从第三方的观点看来，B方同样可能创建了该签名。

现在将参照图2来说明一种基于身份的团体签名方案，图2所示的流程图根据本发明的另一种当前优选实施例展示了一种产生及验证消息M的数字签名Sig的方法，所述的消息在签署人与校验器之间传递。该例中的签署人是一个集合的t名成员之一。为了进行下面的说明，将该签署人与身份ID₁联系起来，并将集合中的其他成员与身份ID_i(2≤i≤t)联系起来。但是需要注意，如果匿名签署人总是与第一个列出的身份相关联，那么签名实际上就不会是匿名的。

该方法从模块202开始，产生多个元素的第一与第二循环群G₁和G₂。在模块204中，选取一个函数e，使得该函数e能够由第一循环群G₁的两个元素产生第二循环群G₂的一个元素。函数e最好是一种可行的配对，如上所述。在模块206中选取第一群G₁的第一与第二生成器P和P′。在模块208中，选取第一与第二保密数字s和s′。也可以为每个新的签名选择一个新的s′。在模块210中选取一个函数H，使得该函数H能够由第一串二进制数产生第一循环群G₁的一个元素。在模块212中，为集合中t名成员的每一个生成一个公共要点P_i＝H₁(ID_i)。在模块214中为签署人产生一个私有要点sP′+s′P₁。

在模块216中通过产生数字签名Sig来签署数字消息M，产生数字签名时至少要用到签署人的私有要点(sP′+s′P₁)以及集合中t名成员各自的公共要点P_i。例如，可以通过下列方式产生数字签名。选取随机数r_M和r_i，其中1≤i≤t，并产生一个消息函数值P_M＝H₂(M)。然后利用Sig＝[U，V₁，...V_t，V_M]来产生数字签名本身，其中

U＝sP′+s′P₁+r₁P₁+r₂P₂+...+r_tP_t+r_MP_M，V₁＝s′P+r₁P，V_M＝r_MP，并且V_i＝r_iP(2≤i≤n)。

在模块218中，至少利用集合中t名成员各自的公共要点P_i来验证数字签名Sig是由集合中的一名成员创建的。例如，可以通过确认 $e(U,P)=e(P^{\′},\mathrm{sP})e(P_M,V_M){\mathrm{\Π}}_{i=1}^{t}e(P_i,V_i)$ 来验证签名。

以下是一种用于两个实体的基于身份的团体签名实例，所述的两个实体拥有身份ID₁和ID₂，该实例符合上述的方法。由PKG为第一实体提供的私有密钥可被表示为(sP′+r₁P₁，r₁P)，而由PKG为第二实体提供的私有密钥则可被表示为(sP′+r₂P₂，r₂P)。每个私有密钥中第一个要点的第一部分都是sP′，它将各个实体与PKG联系起来。每个私有密钥中的这一部分必须保持不变。但是每个私有密钥的其余部分可以被改变。例如，可供第一实体使用的同样有效的私有要点是(sP′+r₁′P₁，r₁′P)，r₁′是任取的。这种灵活性可被充分利用以便能够创建一个团体签名。用于这两个实体的团体签名对某些r₁′和r₂′具有(sP′+r₁′P₁+r₂′P₂，r₁′P，r₂′P)的形式。这两个实体的身份通过使用他们的公共要点P₁和P₂而被嵌入在这个团体签名中。此外，每个客户端都能产生这样的团体签名。

例如，第一实体可以如下为两个实体产生一个团体签名。为方便起见，将第一个实体的私有密钥表示为(S₁，R₁)。第一实体选取随机数b和r₂′，并计算出团体签名(S₁+bP₁+r₂′P₂，R₁+bP，r₂′P)，其中对某个随机数b有r₁′＝r₁+b。这是对第一和第二实体有效的团体签名。注意，如果第一实体总是选取b＝0，那么就很明显是第一实体创建了每个签名。而使用一个随机的b就使得不可能确定两个实体中的哪一个创建了团体签名。类似地，第二实体会选取随机数b和r₁′，并计算出团体签名(S₂+r₁′P₁+bP₂，r₂′P，R₂+bP)。

然而，拥有身份ID₃的第三实体不能为前两个实体创建有效的团体签名。由PKG向第三实体提供的私有密钥可被表示为(sP′+r₃P₃，r₃P)。由于第三实体不能从它的私有密钥中删除它的公共要点P₃，因此第三实体的私有密钥就会被它的身份“污染”。这种污染是不能被去除的，因此第三方就不能伪造出用于前两个实体的有效团体签名。只有前两个实体可以创建这样的团体签名，主要是通过向签署实体的私有密钥中加入另一方实体的身份来实现的。

上述的团体签名方案还可以被改进来创建一种分级的团体签名方案。现在将参照图3来说明一种基于身份的分级团体签名方案，图3所示的流程图根据本发明的另一种当前优选实施例展示了一种产生及验证消息M的团体签名Sig的方法，所述的消息M在一个分级结构中的一个签署人与一个校验器之间传递。该方法允许一个来自分级结构中具有t名团体成员的团体的签署人为所述的t名团体成员产生一个团体签名。t个实体各与一个ID元组相关联，比如(ID_i1，...，ID_ili)，其中l_i代表各个实体在分级结构中的级别。该方法从模块302开始，产生诸元素的第一与第二循环群G₁和G₂。在模块304中，选取一个函数e，使得该函数e能够由第一循环群G₁的两个元素产生第二循环群G₂的一个元素。函数e最好是一种可行的配对，如上所述。在模块306中选取第一循环群G₁的一个根生成器P₀。在模块308中选取一个随机根密钥生成密文s₀，该密文s₀只和根PKG有关且只为根PKG所知。s₀最好是循环群Z/qZ的一个元素。在模块310中产生一个根密钥生成参数Q₀＝s₀P₀。Q₀最好是第一循环群G₁的一个元素。在模块312中，选取一个第一函数H₁，使得H₁能够由第一串二进制数产生第一循环群G₁的一个元素。在模块314中选取一个第二函数H₂，使得H₂也能够由第一串二进制数产生第一循环群G₁的一个元素。模块302至314的功能是上述根设置算法的一部分，并且最好在大致相同的时间完成。作为示例，在Boneh-Franklin中被公开的那些函数可被当作H₁和H₂使用。

接下来的一系列模块(模块316至324)示出了作为低级设置算法的一部分而执行的功能。在模块316中，为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs各生成一个公共元素P_il。每个公共元素P_il＝H(ID_i1，...，ID_il)最好都是第一循环群G₁的一个元素，其中1≤i≤t且1≤l≤(l_i-1)。尽管是以单个模块表示，但是所有公共元素P_il的产生可能需要额外的时间，而非一次完成。

为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs各选取一个低级密钥生成密文s_il(模块318)，其中1≤i≤t且1≤l≤(l_i-1)。所述的低级密钥生成密文s_il最好是循环群Z/qZ的元素，并且每个低级密钥生成密文s_il最好只对它相关的低级PKG已知。同样，尽管是以单个模块表示，但是低级密钥生成密文s_il的选取可能需要额外的时间来进行，而非一次完成。

为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs各产生一个低级机密要点s_il(模块320)。每个低级机密元素，S_il＝S_i(l-1)+s_i(l-1)P_il，最好都是第一循环群G₁的一个元素，其中1≤i≤t且1≤l≤(l_i-1)。尽管与公共元素P_il以及密文s_il一样都是以单个模块表示，但是机密元素S_il的产生可能需要额外的时间来进行，而非一次完成。为了这些迭代密钥生成过程，可将S₀定义为G₁的身份元素。

还要为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs各产生一个低级密钥生成参数Q_il(模块322)。每个密钥生成参数，Q_il＝s_ilP₀，最好都是第一循环群G₁的一个元素，其中1≤i≤t且1≤l≤(l_i-1)。同样，尽管是以单个模块表示，但是低级密钥生成参数Q_il的产生可能需要额外的时间来进行，而非一次完成。

随后两个模块(模块324和326)的功能是作为上述提取算法的一部分而执行的。在模块324中生成与t个团体成员中的每一个成员有关的团体成员公共要点P_il。每个团体成员公共要点， $P_{i{l}_i}=H_1({\mathrm{ID}}_{i1},...{\mathrm{ID}}_{{\mathrm{il}}_i}),$ 最好都是第一循环群G₁的一个元素，其中1≤i≤t。然后在模块326中生成与t个团体成员中的每一个成员有关的团体成员机密要点S_ili。每个团体成员机密要点， $S_{i{l}_i}=S_{i(l_i-1)}+S_{i(l_i-1)}{P}_{i{l}_i}={\mathrm{\Σ}}_{l=1}^{l_i}{s}_{i(l-1)}{P}_{\mathrm{il}},$ 也最好都是第一循环群G₁的一个元素，其中1≤i≤t。

为方便起见，第一函数H₁可被选为一种迭代函数，从而可以按照例如H₁(P_i(l-1)，ID_il)而非H₁(ID_i1，...ID_il)来计算公共要点P_il。

图3中所示的最后两个模块(模块328和330)代表了上述的签名与验证算法。在模块328中，由一名拥有ID元组(ID_j1，...，ID_jlj)的签署人签署消息M，以产生一个团体签名Sig。签名算法最好至少用到签署人的私有要点S_jlj以及t个团体成员各自的ID元组(ID_i1，...，ID_ili)。然后在模块330中验证团体签名Sig，以确认它是由t个团体成员之一签署的。验证过程最好至少用到t个团体成员各自的ID元组(ID_i1，...，ID_ili)。这些ID元组对应于公共要点元组P_ik＝H(ID_i1，...，ID_ik)。

例如，签名算法可以从消除t个团体成员的公共要点元组P_ik之间的冗余而开始。如果任何团体成员共享公共的前辈PKGs，那么这些点元组之间就会存在冗余。来自t个公共要点元组的公共要点的非冗余集合可被表示为一个点集R＝{R₁，...，R_x}。然后签署人就以[U，V₁，...，V_x，V_M]的形式产生团体签名，其中U＝sP′+r₁R₁+…+r_xR_x+r_MP_M，V_k＝r_kP，其中1≤k≤x，并且V_M＝r_MP。为了保持它在团体成员中的匿名性，签署人会为不在其ID元组中的要点R_k随机选择r_k，并且它还会利用上述的方法“掩盖”位于它ID元组中的要点R_k的标量。通过确认 $e(U,P)=e(P^{\′},\mathrm{sP})e(P_M,V_M){\mathrm{\Π}}_{k=1}^{x}e(R_k,V_k),$ 该签名将被校验来确认该签署人是t个团体成员之一。

基于身份的分级代理签名

代理签名允许一个被指定的人或一组人代表原始签署人签名，这些人被称为代理签署人。一个代理签名方案应该具有下列性质：

强有力的不可伪造性：代理签署人能够替原始签署人创建有效的代理签名。任何其他第三方，包括原始签署人，都不能伪造出一个代理签名。

强有力的可识别性：任何人都可以根据一个代理签名识别出代理签署人。

强有力的不可否认性：代理签署人不能否认创建了有效的签名。

本发明提供了基于身份的分级代理签名方案。图4所示的流程图根据本发明的另一种实施例展示了一种产生及验证一条数字消息M的数字代理签名Sig的方法。签名Sig由代理签署人代表原始签署人签署。该方法从模块402开始，产生诸元素的第一与第二循环群G₁和G₂。在模块404中，选取一个函数e，使得该函数e能够由第一循环群G₁的两个元素产生第二循环群G₂的一个元素。函数e最好是一种可行的配对，如上所述。在模块406中选取第一循环群G₁的一个生成器P。在模块408中，选取一个函数H，使得该函数H能够由一串二进制数产生第一循环群G₁的一个元素。在模块410中，为原始签署人选取一个私有密钥s_or。在模块412中为原始签署人生成一个公共密钥s_orP。类似地，在模块414中为代理签署人选取一个私有密钥S_pr，并在模块416中为代理签署人生成一个公共密钥s_prP。在模块418中，原始签署人给予代理签署人一个代理私有密钥s_orP_pr，其中P_pr＝H(s_orP)。为了代表原始签署人签署一条消息，在模块420中代理签署人首先生成一个消息函数值P_M＝H(M)。或者，除了消息M以外的其他信息也可以被用来产生消息函数值P_M。正如在现有技术中可以被理解的那样，函数H的输入以及函数本身都可以按不同的方式调整。例如，原始签署人可以通过在函数中加入一个“条约”C来限制代理签署人的权力，比如P_pr＝H(s_prP，C)。接着，在模块422中，代理签署人通过生成数字签名Sig＝s_orP_pr+s_prP_M来签署数字消息M。为了验证代理签名代表了原始签署人的签名，在步骤424中，校验器确认e(Sig，P)＝e(P_pr，s_orP)e(P_M，s_prP)。

基于身份的分级在线/离线签名

对于许多应用来说，签署一条消息所需的总时间不如在线签署时间重要。在线签署时间一般被认为是签署人在获得消息之后产生一个签名所需的时间。在线/离线签名方案被提出，是为了减少在线签名所需的时间。例如，一种这样的方案使用了“暗门散列函数”h和“散列签名开关”的范例。但是，在线/离线签名方案还不能用于基于身份的分级签名系统。

本发明提供了基于身份的在线/离线分级签名方案。图5所示的流程图根据本发明的另一种实施例展示了一种产生及验证一条数字消息M的数字签名Sig的方法。在基于身份的分级系统环境中，该方法包括一个两阶段的签名过程。签名过程的第一阶段可以离线完成。这样就只剩下签名过程的第二阶段要在线完成，从而缩短了在线签名时间。

该分级方案中的签署人y比分级结构中的根PKG低t个级别，并且与ID元组(ID_y1，...，ID_yt)相关联。该签署人的ID元组中包括与签署人有关的身份信息ID_yt，以及与它在分级结构中的t-1个前辈低级PKG各自相关的身份信息ID_yi。该方法从模块502开始，产生元素的第一与第二循环群G₁和G₂。在模块504中，选取一个函数e，使得该函数e能够由第一循环群G₁的两个元素产生第二循环群G₂的一个元素。函数e最好是一种可行的配对，如上所述。在模块506中选取第一循环群G₁的一个根生成器P₀。在模块508中，选取一个随机根密钥生成密文s₀，该密文s₀只和根PKG相关且只为根PKG所知。s₀最好是循环群Z/qZ的一个元素。在模块510中产生一个根密钥生成参数Q₀＝s₀P₀。Q₀最好是第一循环群G₁的一个元素。在模块512中，选取第一函数H₁，使得H₁能够由第一串二进制数产生第一循环群G₁的一个元素。在模块514中选取第二函数H₂，使得H₂也能够由第一串二进制数产生第一循环群G₁的一个元素。作为示例，在Boneh-Franklin中被公开的那些函数可被当作H₁和H₂使用。实际上，函数H₁和H₂可以是完全相同的函数。但是有潜在的隐患。一名攻击者可能尝试让签署人签署M＝ID_t，其中ID_t代表了一个实际身份。在这种情况下，签署人的签名实际上会是一个私有密钥，此后该密钥可被用来解密消息及伪造签名。但是，通过采用某些能够区分签名与私有密钥提取的手段——比如一个比特前缀或为H₂采用不同的函数，该隐患是可以避免的。模块502至514的功能是上述根设置算法的一部分，这些功能最好在大致相同的时间执行。

接下来的一系列模块(模块516至524)示出了作为低级设置算法的一部分而执行的功能。在模块516中，为签署人的t-1个前辈低级PKGs各生成一个公共元素P_yi。每个公共元素P_yi＝H(ID_y1，...，ID_yi)最好都是第一循环群G₁的一个元素，其中1≤i≤t-1。尽管是以单个模块表示，但是所有公共元素P_yi的产生可能需要额外的时间，而非一次完成。

为签署人的t-1个前辈低级PKGs各选取一个低级密钥生成密文s_yi(模块518)。所述的低级密钥生成密文s_yi最好是循环群Z/qZ的元素，其中1≤i≤t-1，并且每个低级密钥生成密文s_yi最好只对它相关的低级PKG已知。同样，尽管是以单个模块表示，但是低级密钥生成密文s_yi的选取可能需要额外的时间来进行，而非一次完成。

为签署人的m个前辈低级PKG各产生一个低级机密元素s_yi(模块520)。每个低级机密元素，S_yi＝S_y(i-1)+s_y(i-1)P_yi，最好都是第一循环群G₁的一个元素，其中1≤i≤t-1。尽管与公共元素P_yi以及密文s_yi一样都是以单个模块表示，但是机密元素S_yi的产生可能需要额外的时间来进行，而非一次完成。为了这些迭代的密钥生成过程，最好将S₀定义为G₁的身份元素。

还要为签署人的t-1个前辈低级PKGs各产生一个低级密钥生成参数Q_yi(模块522)。每个密钥生成参数，Q_yi＝s_yiP₀，最好都是第一循环群G₁的一个元素，其中1≤i≤t-1。同样，尽管是以单个模块表示，但是低级密钥生成参数Q_yi的产生可能需要额外的时间来进行，而非一次完成。

随后两个模块(模块524和526)的功能是作为上述提取算法的一部分而执行的。在模块524中生成与签署人y有关的签署人公共元素P_yt。该签署人公共元素，P_yt＝H₁(ID_y1，...，ID_yt)，最好是第一循环群G₁的一个元素。然后在模块526中生成与签署人y有关的签署人机密元素S_yt。该签署人机密元素， $S_{\mathrm{yt}}=S_{y(t-1)}+s_{y(t-1)}{P}_{\mathrm{yt}}={\mathrm{\Σ}}_{i=1}^t{s}_{y(i-1)}{P}_{\mathrm{yi}},$ 最好也是第一循环群G₁的一个元素。

为方便起见，第一函数H₁可被选为一种迭代函数，从而可以按照例如H₁(P_y(i-1)，ID_yi)而非H₁(ID₁，...ID_yi)来计算公共要点P_i。

图5中所示的最后两个模块(模块528和530)代表了上述的签名与验证算法。两阶段签名算法涉及暗门散列函数h的运用，根据现有技术中已知的方法，该函数最好是一个离散的基于对数的暗门散列函数，并且经过修改以便用于椭圆曲线。因此，在模块528中，要选取一个随机暗门密文s′_yt∈Z/qZ。在签名过程中，签署人可以向校验器提供Q′_yt＝s′_ytP₀作为其公共散列密钥。例如，签署人可以选择令s′_yt等于S_yt，后者是签署人的低级机密元素。在任何情况下，都最好为每个签名重新产生s′_yt。

签名算法在模块530中继续进行，其中签署人选取了一个随机消息M′和一个随机数r′。然后在模块532中，签署人签署随机消息M′以产生签名[U，Q_y1，...，Q_yt，Q′_yt]，其中 $U=\left({\mathrm{\Σ}}_{i=1}^t{s}_{y(i-1)}{P}_{\mathrm{yi}}\right)+s_{\mathrm{yt}}{P}_{M^{\′}},$ Q_yi＝s_yiP₀，其中1≤i≤t，并且P_M′＝H₂((M′+r′s′_yt)P₀)。签名算法的这部分可以离线完成。

当签署人识别出要被签署的消息M之后，就可以完成签名算法的在线部分了。在模块534中，签署人确定一个数r，要使得

M+rs′_yt＝M′+r′s′_ytr＝(s′_yt)^-1(M′-M)+r′，其中要将s′_yt的倒数对q取模。然后签署人将r连通消息M以及签名Sig一起发送给校验器。

在步骤536中，校验器接着完成验证算法，并通过确认 $e(U,P_0)=e(Q_{\mathrm{yt}},P_M){\mathrm{\Π}}_{i=1}^{t}e(Q_{y(i-1)},P_{\mathrm{yi}})$ 来验证签名，其中P_M＝H₂(MP₀+rQ′_yt)＝P′_M。验证算法也可以被分解成在线与离线阶段，这取决于校验器掌握了哪些信息。例如，签署人可以在得知消息M之前向校验器提供各种信息。这样，校验器就能得知下列信息中的任意一种或全部：(1)签署人的Q_yi值；(2)P_M′，签署人的暗门散列函数H₂最近的输出；(3)U，签署人在散列函数输出上的部分签名；(4)M，要被签署的消息；以及/或(5)签署人的完整签名，包括r值。利用这些信息，即使在消息M被得知或签署之前，校验器也能开始验证部分签名。例如，如果校验器已经接收到了来自签署人的上一个签名，校验器就会得知签署人的Q_ri值。这使得校验器能够预先计算出验证签署人的签名所必须的除了两个配对以外的所有配对，而无需考虑签署人在分级结构中处在多深的位置。校验器可以在它接收到P_M′和U之后完成最后两个配对的计算，其中U是签署人P_M′上的签名。签署人的完整签名可以利用点加来验证——校验器计算P_M＝MP₀+rQ′_yt并检验该值是否等于P_M′。这是唯一必须在线完成的验证步骤，因为它是唯一依赖于消息M的步骤。不必计算配对。因此，验证的在线部分是相当高效的。

使用签名方案的系统

本文已经说明了符合本发明的各种涉及双线性映射的签名方案。现在将参照图6来说明一种能够根据本发明的另一个实施例实现这些方案的系统。该系统包括多个终端602、604、606、608，它们中的每一个都与一个实体相关联，所述的实体能够根据上述的签名方案产生或验证签名。该系统还包括一个或多个私有密钥生成器(PKG)630，它产生并向各个终端602、604、606和608分发私有密钥。

每个终端都包含一个可与存储器612双向通信的处理器610。处理器610执行适当的程序代码来完成上述的步骤以产生或验证一个数字签名。处理器610还执行适当的程序代码来产生要发送给其他终端的信息。适当的程序代码可根据现有技术中已知的方法创建。存储器612储存该程序代码，以及在数字签名的生成及验证过程中用到的中间结果和其他信息。

提供了一个通信网络620，实体602、604、606和608以及PKG630可在该网络上进行通信。通信网络620可以是各种普通形式的网络，包括例如LAN计算机网络、WAN计算机网络，以及/或提供合适的通信网络的移动电话网络。

工业应用性

具体参照优选实施例以及图示实例详细说明了本发明，但是应该理解，在本发明的思想与范围内可以实现各种变化与修改。

上述的方法与系统主要可以应用于密码技术以及通过计算机网络或通过其他类型的系统与设备进行的保密通信。所述的方法与系统特别适合于在使用公共密钥加密术的系统中作为产生及验证通信签名的方案。

因此，根据本发明公开了能够充分提供上述优点的方法与系统。尽管本发明是参照特定的范例实施例进行说明和展示的，但是并非要让本发明局限于那些范例实施例。本领域技术人员会意识到，可以作出各种变化与修改，而不会偏离本发明的思想。因此希望将那些落入附加权利要求以及等同范围内的所有这类变化与修改都纳入到本发明当中。

Claims (48)

1.一种产生及验证由n个签署人对m条消息的一个多签名的方法，其中每个签署人签署m条消息的一个子集，并且其中由第一签署人签署的子集与至少另一个签署人签署的子集不同，该方法包括：

为n个签署人各选取一个私有密钥；

利用n个签署人各自的私有密钥为他们中的每一个计算一个公共密钥；

利用一个预定的函数为m条消息各产生一个消息函数值；

利用所述的诸消息函数值以及与诸签署人相关的诸私有密钥产生一个数字签名，使得该多签名的长度与n和m无关；

将所述的数字多签名传递给一个校验器；以及

至少利用诸签署人的公共密钥以及诸消息函数值来验证所述的数字多签名。

2.根据权利要求1所述的产生及验证签名Sig的方法，其中：

每个签署人正好签署一条消息。

3.一种产生m条数字消息M_j的一个多签名Sig的方法，所述的m条数字消息由n个签署人签署，其中每个签署人签署m条消息的一个子集，并且其中由第一签署人签署的子集与至少另一个签署人签署的子集不同，该方法包括：

产生诸元素的第一循环群G₁和诸元素的第二循环群G₂；

选取一个双线性非退化的配对e，它能够由第一循环群G₁的两个元素产生第二循环群G₂的一个元素；

选取第一循环群G₁的一个生成器P；

选取一个函数H，该函数能够由一个第一串二进制数产生第一循环群G₁的一个元素；

为n个签署人各选取一个私有密钥s_i；

利用函数H为m条消息M_j中的每一条消息产生一个消息函数值P_Mj；

利用诸签署人的私有密钥s_i及诸消息函数值P_Mj产生一个数字签名，使得该数字签名Sig由第一循环群G₁的一个单个元素构成。

4.根据权利要求3所述的产生一个签名Sig的方法，其中：

第一群G₁与第二群G₂具有相同的素数阶q。

5.根据权利要求3所述的产生一个签名Sig的方法，其中：

第一循环群G₁是一个超奇异椭圆曲线或阿贝尔簇上的多个点的加性群，第二循环群G₂则是一个有限域的乘性子群。

6.根据权利要求3所述的产生一个签名Sig的方法，其中：

所述函数e是一种可行的配对。

7.根据权利要求3所述的产生一个签名Sig的方法，其中：

所述消息函数值P_Mj是利用P_Mj＝H(M_j)产生的。

8.根据权利要求3所述的产生一个签名Sig的方法，其中：

至少要利用所述消息M_j、函数H以及一个或多个其他函数输入项来产生所述消息函数值P_Mj。

9.根据权利要求3所述的产生一个签名Sig的方法，其中：

每个签署人正好签署一条消息。

10.根据权利要求3所述的产生一个签名Sig的方法，其中：

至少一个签署人签署一条以上的消息。

11.一种产生及验证m条数字消息M_j的一个多签名Sig的方法，所述的m条数字消息在n个签署人与一个校验器之间传递，其中每个签署人签署所述m条消息的一个子集，其中由一个第一签署人签署的子集与至少另一个签署人签署的子集不同，并且其中C包括了所有(i，j)配对——即第i个签署人签署了第j条消息——的集合，该方法包括：

产生诸元素的一个第一循环群G₁和诸元素的一个第二循环群G₂；

选取一个双线性非退化的配对e，它能够由所述第一循环群G₁的两个元素产生所述第二循环群G₂的一个元素；

选取所述第一循环群G₁的一个生成器P；

选取一个函数H，该函数能够由一个第一串二进制数产生所述第一循环群G₁的一个元素；

为n个签署人各选取一个私有密钥s_i；

利用函数H为m条消息M_j中的每一条消息产生一个消息函数值P_Mj；

为所述C中的每一个(i，j)配对产生一个签名要素S_ij＝s_iP_Mj；

将所述C中所有(i，j)配对的签名要素S_ij组合在一起以产生所述多签名Sig＝∑_(i，j)∈CS_ij；以及

通过确认e(P，Sig)＝∏_(i，j)∈Ce(s_iP，P_Mj)来验证该签名。

12.根据权利要求11所述的产生一个数字签名Sig的方法，其中：

所述第一群G₁与所述第二群G₂具有相同的素数阶q。

13.根据权利要求11所述的产生一个数字签名Sig的方法，其中：

所述第一循环群G₁是一个超奇异椭圆曲线或阿贝尔簇上的多个点的一个加性群，所述第二循环群G₂则是一个有限域的乘性子群。

14.根据权利要求11所述的产生一个数字签名Sig的方法，其中：所述函数e是一个可行的配对。

15.根据权利要求11所述的产生一个数字签名Sig的方法，其中：所述消息函数值P_Mj是利用P_Mj＝H(M_j)产生的。

16.根据权利要求11所述的产生一个数字签名Sig的方法，其中：至少要利用所述消息M_j、所述函数H以及一个或多个其他函数输入项来产生所述消息函数值P_Mj。

17.根据权利要求11所述的产生一个数字签名Sig的方法，其中：

每个签署人正好签署一条消息。

18.根据权利要求11所述的产生一个数字签名Sig的方法，其中：

至少一个签署人签署一条以上的消息。

19.一种产生及验证一条数字消息的团体签名的方法，所述的数字消息在签署人与校验器之间传递，其中所述的签署人是一个团体的t名成员之一，并且其中所述团体的各个成员都与一个身份信息相关联，该方法包括：

为团体的t名成员各选取一个私有密钥，其中每个私有密钥都和与相应团体成员相关联的身份信息有关；

利用各名成员的私有密钥为团体集合的t名成员各计算出一个公共密钥，其中每个公共密钥都和与相应团体成员相关联的身份信息有关；

利用一个预定的函数产生一个消息函数值；

至少利用签署人的私有密钥、除签署人之外的(t-1)名团体成员各自的公共密钥、以及消息函数值来产生所述团体签名；以及

至少利用与各名团体成员相关的公共密钥，来验证该团体签名是由团体的一名成员生成的。

20.一种产生及验证一条数字消息M的一个团体签名Sig的方法，所述的数字消息M在一个签署人与一个校验器之间传递，其中所述的签署人是一个集合的t名成员之一，其中所述的集合的各个成员都与一个身份集合{ID₁，...，ID_t}中的一个身份相关联，其中所述的签署人与身份ID_s相关，并且其中1≤s≤t，该方法包括：

产生诸元素的第一循环群G₁和诸元素的第二循环群G₂；

选取一个双线性、非退化的配对e，它能够由第一循环群G₁的两个元素产生第二循环群G₂的一个元素；

选取一个所述第一循环群G₁的第一生成器P，以及一个所述第一循环群的G₁的第二生成器P′；

选取一个第一机密数字s；

选取一个第二机密数字s′；

选取一个函数H，该函数能够由第一串二进制数产生第一循环群G₁的一个元素；

利用函数H以及与集合成员相关的身份ID_i为所述集合的t名成员各产生一个公共要点Q_i；

为签署人产生一个私有要点sP′+s′Q_s；

利用一个预定的函数为消息M产生一个消息函数值P_M；

至少利用签署人的私有要点sP′+s′Q_s、集合中t名成员各自的公共要点Q_i以及消息函数值P_M来产生所述团体签名Sig；以及

至少利用集合中t名成员各自的公共要点Q_i来验证所述团体签名Sig是由集合的一名成员生成的。

21.根据权利要求20所述的产生及验证数字一个签名Sig的方法，其中：

第一群G₁与第二群G₂具有相同的素数阶q。

22.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

第一循环群G₁是超奇异椭圆曲线或阿贝尔簇上的点的加性群，第二循环群G₂则是一个有限域的乘性子群。

23.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

函数e是一种可行的配对。

24.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

消息函数值P_M是利用P_M＝H(M)产生的。

25.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

消息函数值P_M是利用消息M、函数H以及一个或多个其他函数输入项产生。

26.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

公共要点Q_i是利用Q_i＝H(ID_i)产生的。

27.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

公共要点Q_i是利用与各名集合成员有关的身份ID_i、函数H以及一个或多个其他函数输入项产生的。

28.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

为产生每个新的私有要点选取一个新的第二机密数字s′。

29.根据权利要求20所述的产生及验证一个数字签名Sig的方法，其中：

产生数字团体签名Sig还包括：

选取随机数r_M和r_i，其中1≤i≤t；以及

计算团体签名

Sig＝[U，V₁，...，V_t，V_M]，其中

U＝sP′+s′Q_s+r₁Q₁+r₂Q₂+...+r_tQ_t+r_MP_M，

V_s＝s′P+r_sP，V_M＝r_MP，且V_i＝r_iP，其中1≤i≤n，i≠s；以及验证该团体签名Sig是由一名团体成员生成的步骤还包括：

确认

$e(U,P)=e(P^{\′},\mathrm{sP})e(P_M,V_M){\mathrm{\Π}}_{i=1}^{t}e(Q_i,V_i)$

30.一种为一个团体的t名团体成员产生及验证一个团体签名Sig的方法，其中每名团体成员在分级系统中都比根PKG低l_i个级别，并且其中每名团体成员都与一个团体成员ID元组(ID_i1，...ID_ili)相关联，该元组中包括与接收方相关的身份信息ID_ili以及与分级结构中根PKG和接收方之间的(l_i-1)个低级PKGs中的每一个相关的身份信息ID_il，该方法包括：

产生诸元素的一个第一G₁和诸元素的一个第二循环群G₂；

选取一个函数e，它能由第一循环群G₁的两个元素产生第二循环群G₂的一个元素；

选取所述第一循环群G₁的一个根生成器P₀；

选取一个随机根密钥生成密文s₀，该密文s₀只和根PKG有关且只为根PKG所知；

产生一个根密钥生成参数Q₀＝s₀P₀；

选取一个第一函数H₁，它能由一个第一串二进制数产生第一循环群G₁的一个元素；

选取一个第二函数H₂，它能由第二循环群G₂的一个元素生成一个第二串二进制数；

为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs中的每一个生成一个公共元素P_il，其中P_il＝H(ID_i1，...，ID_il)，1≤i≤t且1≤l≤(l_i-1)；

为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs中的每一个选取一个低级密钥生成密文s_il，其中1≤i≤t且1≤l≤(l_i-1)；

为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs中的每一个产生一个低级机密元素S_il，其中S_il＝S_i(l-1)+s_i(l-1)P_il，1≤i≤t且1≤l≤(l_i-1)，其中s_i0＝s₀，并且其中s_i0被定义为0；

为与t个团体成员中的每一个成员有关的l_i-1个前辈低级PKGs中的每一个产生一个低级密钥生成参数Q_il，其中Q_il＝s_ilP₀，1≤i≤t且1≤l≤(l_i-1)；

为t个团体成员中的每一个生成一个团体成员公共元素P_ili，其中

$P_{{\mathrm{il}}_i}=H_1({\mathrm{ID}}_{i1},...,{\mathrm{ID}}_{{\mathrm{il}}_i}),--1\≤i\≤t;$

为t个团体成员中的每一个生成一个接收机密元素S_ili，其中

$S_{{\mathrm{il}}_i}=S_{i(l_i-1)}+S_{i(l_i-1)}{P}_{{\mathrm{il}}_i}={\mathrm{\Σ}}_{l=1}^{l_i}{s}_{i(l-1)}{P}_{\mathrm{il}},---1\≤i\≤t;$

至少利用签署人的私有要点S_jlj以及除签署人之外的(t-1)个团体成员各自的ID元组(ID_i1，...，ID_ili)来签署所述消息M，以产生所述团体签名Sig；以及

至少利用t个团体成员各自的ID元组(ID_i1，...ID_ili)来验证所述团体签名Sig，以确认该签名是由团体成员之一签署的。

31.根据权利要求30所述的产生及验证一个团体签名Sig的方法，其中：

所述签署消息M的步骤还包括：

为t个团体成员中的每一个成员确定公共要点元组P_ik＝H(ID_i1，...，ID_ik)；

由t个公共要点元组的集合确定一组非冗余公共要点R＝{R₁，...，R_x)；以及

产生团体签名[U，V₁，...，V_x，V_M]，其中U＝sP′+r₁R₁+...+r_xR_x+r_MP_M，V_k＝r_kP，其中1≤k≤x，并且V_M＝r_MP；并且

所述验证团体签名的步骤还包括：

确认

$e(U,P)=e(P^{\′},\mathrm{sP})e(P_M,V_M){\mathrm{\Π}}_{k=1}^{x}e(R_k,V_k).$

32.一种产生及验证一条数字消息M的一个数字代理签名Sig的方法，所述的消息M在一个代理签署人与一个校验器之间传递，其中所述数字消息M由所述代理签署人代表一个原始签署人签署，该方法包括：

产生诸元素的一个第一循环群G₁和诸元素的一个第二循环群和G₂；

选取一个双线性、非退化的配对ê，它能够由所述第一循环群G₁的两个元素产生所述第二循环群G₂的一个元素；

选取第一循环群G₁的一个生成器P；

选取一个函数H，它能够由一个第一串二进制数产生所述第一循环群G₁的一个元素；

为所述原始签署人选取一个私有密钥s_or和一个公共密钥s_orP；

为所述代理签署人选取一个私有密钥s_pr和一个公共密钥s_prP；

产生一个代理私有密钥s_orP_pr，其中P_pr是利用所述代理签署人的公共密钥s_prP和所述函数H确定的；

产生一个消息函数值P_M＝H(M)；

通过生成所述数字签名Sig＝s_orP_pr+s_prP_M来签署所述数字消息M；以及

通过确认e(Sig，P)＝e(P_pr，s_orP)e(P_M，s_prP)来验证所述数字签名Sig。

33.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

所述第一群G₁与所述第二群G₂具有相同的素数阶q。

34.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

所述第一循环群G₁是一个超奇异椭圆曲线或阿贝尔簇上的点的加性群，所述第二循环群G₂则是一个有限域的一个乘性子群。

35.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

函数e是一种可行的配对。

36.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

P_pr是利用P_pr＝H(s_prP)求得的。

37.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

P_pr是利用所述代理签署人公共密钥s_prP、所述函数H以及一个或多个其他函数输入项产生的。

38.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

所述第一群G₁与所述第二群G₂具有相同的素数阶q。

39.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

所述第一循环群G₁是一个超奇异椭圆曲线或阿贝尔簇上的点的加性群，所述第二循环群G₂则是一个有限域的一个乘性子群。

40.根据权利要求32所述的产生及验证一个数字签名Sig的方法，其中：

函数e是一种可行的配对。

41.一种产生及校验一条数字消息的一个签名的方法，所述的数字消息在一个签署人与一个校验器之间传递，其中所述签署人在一个分级结构中比一个根PKG低t个级别，并且其中所述签署人与一个签署人ID元组(ID_y1，...，ID_yt)相关联，该ID元组包括与所述签署人有关的身份信息ID_yt，以及与所述分级结构中所述根PKG和所述签署人之间的(t-1)个低级PKGs中的每一个相关的身份信息ID_yi，该方法包括：

为所述(t-1)个低级PKGs中的每一个产生一个低级公共密钥；

产生一个与所述签署人相关的签署人私有密钥；

选取一个随机签署人暗门密文；

利用所述的随机签署人暗门密文产生一个公共散列密钥；

选取一条随机消息和一个随机数；

利用所述的随机消息、随机数、签署人私有密钥以及暗门密文产生一个离线签名；

识别出一个将所述离线签名与所述数字消息相匹配的匹配随机数；以及

至少利用所述的匹配随机数和公共散列密钥来确认所述签名与所述数字消息相匹配，从而验证所述的离线签名。

42.一种产生及校验一条数字消息M的一个数字签名Sig的方法，所述的数字消息M在一个签署人与一个校验器之间传递，其中所述签署人在一个分级结构中比一个根PKGs低t个级别，并且其中所述签署人与一个签署人ID元组(ID_y1，...，ID_yt)相关联，该ID元组包括与所述签署人有关的身份信息ID_yt，以及与所述分级结构中所述根PKG和所述签署人之间的(t-1)个低级PKGs中的每一个相关的身份信息ID_yi，该方法包括：

产生诸元素的一个第一循环群G₁和诸元素的一个第二循环群G₂；

选取一个双线性、非退化的配对e，它能够由所述第一循环群G₁的两个元素生成所述第二循环群G₂的一个元素；

选取所述第一循环群G₁的一个根生成器P₀；

选取一个随机根密钥生成密文s₀，该密文s₀只和所述根PKG相关且只为所述根PKG所知；

产生一个根密钥生成参数Q₀＝s₀P₀；

选取一个第一函数H₁，它能够由一个第一串二进制数产生第一循环群G₁的一个元素；

为所述t个低级PKGs中的每一个生成一个公共元素P_yi，其中P_yi＝H₁(ID_y1，...，ID_yi)，1≤i≤t-1；

为所述n个低级PKGs中的每一个选取一个低级密钥生成密文s_yi，其中每个低级密钥生成密文s_yi只为它相关的低级PKG所知；

为所述m个低级PKGs中的每一个产生一个低级机密元素S_yi，其中S_yi＝S_y(i-1)+s_y(i-1)P_yi，1≤i≤t-1；

为所述m个低级PKGs中的每一个产生一个低级密钥生成参数Q_yi，其中Q_yi＝s_yiP₀，1≤i≤t-1；

生成一个与所述签署人有关的签署人公共元素P_yt＝H₁(ID_y1，...，ID_yt)；

生成一个与所述签署人有关的签署人机密元素

$S_{\mathrm{yt}}=S_{y(t-1)}+s_{y(t-1)}{P}_{\mathrm{yt}}={\mathrm{\Σ}}_{i=1}^t{s}_{y(i-1)}{P}_{\mathrm{yi}};$

选取一个随机签署人暗门密文s′_yt∈Z/qZ；

生成一个公共散列密钥Q′_yt＝s′_ytP₀；

选取一个随机消息M′和一个随机数r′；

签署所述随机消息M′以产生一个数字签名 $\mathrm{Sig}=\left({\mathrm{\Σ}}_{i=1}^t{s}_{i-1}{P}_i\right)+s_i{P}_{M^{\′}},$ 其中P_M′＝H((M′+r′s′_yt)P₀)；

生成r＝(s′_yt)^-1(M′-M)+r′；以及

通过确认 $e(\mathrm{Sig},P_0)=e(Q_{\mathrm{yt}},P_M){\mathrm{\Π}}_{i=1}^{t}e(Q_{y(i-1)},P_i)$ 来验证所述数字签名Sig，其中P_M＝H₁(MP₀+rQ′_yt)。

43.根据权利要求42所述的产生及验证一个数字签名Sig的方法，其中：

所述第一群G₁与所述第二群G₂具有相同的素数阶q。

44.根据权利要求42所述的产生及验证一个数字签名Sig的方法，其中：

所述第一循环群G₁是一个超奇异椭圆曲线或阿贝尔簇上的点的一个加性群，所述第二循环群G₂则是一个有限域的一个乘性子群。

45.根据权利要求42所述的产生及验证一个数字签名Sig的方法，其中：

所述函数e是一种可行的配对。

46.一种用于由n个签署人对m条消息产生一个数字多签名的系统，其中每个签署人签署所述m条消息的一个子集，其中由一个第一签署人签署的所述子集与至少另一个签署人签署的所述子集不同，其中所述n个签署人各与一个私有密钥相关联，并且其中利用一个预定函数为所述m条消息中的每一个生成一个消息函数值，该系统包括：

一个存储器，可用来储存与所述n个签署人相关联的至少n个私有密钥以及所述m个消息函数值；以及

一个所述与存储器通信的处理器，其中所述的处理器可利用至少所述n个私有密钥和所述消息函数值来产生所述数字多签名，从而使得该数字多签名的长度与n和m无关。

47.一种用来生成一条数字消息的一个团体签名的系统，所述的数字消息在一个签署人与一个校验器之间传递，其中所述签署人是一个团体的t名成员之一，并且其中所述团体的每名成员都与身份信息相关联，该系统包括：

一个存储器，该存储器至少可以储存与所述签署人相关的一个私有密钥以及与所述团体成员相关的多个公共密钥，其中与所述签署人相关的所述私有密钥与所述签署人的身份信息有关，并且其中与各名团体成员相关的所述公共密钥与各名团体成员的身份信息有关；以及

一个与所述存储器通信的处理器，其中所述的处理器能利用一个预定的函数生成一个消息函数值，并能至少利用所述消息函数值、与所述签署人相关的所述私有密钥以及与所述团体成员相关的所述公共密钥来生成所述团体签名。

48.一种用来生成一条数字消息的一个签名的系统，所述的数字消息在一个签署人与一个校验器之间传递，其中所述签署人在一个分级结构中比一个根PKG低t个级别，并且其中所述签署人与一个签署人ID元组(ID_y1，...，ID_yt)相关联，该ID元组包括与所述签署人有关的身份信息ID_yt，以及与所述分级结构中所述根PKG和所述签署人之间的(t-1)个低级PKGs中的每一个自相关的身份信息ID_yi，该系统包括：

一个存储器，该存储器至少能够储存与(t-1)个低级PKGs中的每一个相关的一个低级公共密钥以及与所述签署人相关的一个签署人私有密钥；以及

一个与所述存储器通信的处理器，其中所述的处理器在离线状态下能够选取一个随机暗门密文、选取一条随机消息和一个随机数、并利用所述的随机消息、随机数、签署人私有密钥和暗门密文来生成一个离线签名，并且其中所述的处理器在在线状态下能够识别出一个将所述离线签名与所述数字消息相匹配的匹配随机数。

Images