一种可抵御合谋攻击的消息可恢复的聚合签名方法

本发明属于信息安全，具体讲是一种可抵御合谋攻击的消息可恢复的聚合签名方法。

背景技术：

1、数字签名技术作为验证数据完整性和保证数据源可靠性的重要认证技术，一直是信息安全技术领域研究的热点。然而在某些需要同时验证大量签名的应用场景，普通数字签名技术一次只能验证一个签名，会造成服务延迟，因此，聚合签名被提出用于解决上述问题。该方法将多个不同签名用户对各自不同消息的签名压缩为一个单一的短签名，这样验证者只需对压缩后的短签名进行一次验证即可完成对所有签名的有效性检查，有效降低了通信成本，提高了签名验证的效率。

2、无证书签名技术可有效解决证书管理和密钥托管问题，近年来学者们将其与聚合签名技术结合来实现更安全高效的认证技术，然而目前大多数的无证书聚合签名方案无法抵御合谋攻击，即系统中某些用户相互串通可伪造出可聚合成有效聚合签名的无效单独签名；此外，目前大多数聚合签名方案在签名传输过程中，消息以明文形式传输，且任何人都可以验证签名，在包含用户敏感信息的应用领域，如军事、医疗、交通、电网等，会泄露用户的隐私，进而使用户处于危险之中。

技术实现思路

1、针对现有聚合签名方案中存在的缺陷，本发明提供一种可抵御合谋攻击的消息可恢复的聚合签名方法。

2、本发明所述的一种可抵御合谋攻击的消息可恢复的聚合签名方法，其特征在于：

3、(1)所述的方法允许为多个不同用户对不同消息的签名进行聚合签名，实现同时为多个消息、多个用户提供不可否认服务；

4、(2)所述的方法包括四类实体，分别是第三方可信机构、签名者、聚合器和验证者；

5、(3)所述的方法包括七个步骤，分别是系统初始化、辅助信息生成、部分私钥生成、密钥生成、单签名生成、聚合签名生成和聚合签名验证；

6、(4)所述的方法可抵御合谋攻击，即即使两个及两个以上签名者进行合谋，仍然无法伪造出可以聚合成有效聚合签名的无效单独签名；

7、(5)所述的方法具有消息可恢复性，即签名传输过程中，消息不以明文形式发送，只有指定的验证者可以将消息恢复，增强了消息的保密性；

8、(6)所述的方法是一种指定验证者签名方法，只有指定的验证者可以验证签名。

9、进一步的，所述的一种可抵御合谋攻击的消息可恢复的聚合签名方法的四类实体具体描述为：

10、(1)第三方可信机构：所述的第三方可信机构负责初始化系统，发布系统公共参数；接收签名者、验证者发送给第三方可信机构的真实身份，计算所述签名者、验证者的部分私钥，并将其发送给对应的签名者、验证者；

11、(2)签名者：所述的签名者根据所述的第三方可信机构发送的部分私钥生成该签名者的公私钥对，进而对消息进行签名并将其发送给所述的聚合器，其中所述的签名者有多个，表示为；

12、(3)聚合器：所述的聚合器接收多个所述的签名者发送的签名，将接收到的多个签名者发送的多个签名聚合成一个聚合签名并将其发送给所述的验证者；

13、(4)验证者：所述的验证者根据所述的第三方可信机构发送的部分私钥生成该验证者的公私钥对；接收所述的聚合器发送的聚合签名，逐一恢复所述聚合签名中的每个消息，进而验证所述聚合签名是否有效。

14、本发明的系统架构图如图1所示。

15、进一步的，所述的一种可抵御合谋攻击的消息可恢复的聚合签名方法的步骤具体描述为：

16、(1) 系统初始化

17、所述第三方可信机构生成系统公共参数和系统主密钥，并公布公共参数，该步骤具体描述为：

18、(1.1) 所述第三方可信机构选择一个生成元为的阶加法循环群；

19、(1.2) 所述第三方可信机构选择一个对称加密算法和5个安全的单向哈希函数；

20、(1.3) 所述第三方可信机构选择一个随机数 作为系统主密钥，并计算系统主公钥，；

21、(1.4) 所述第三方可信机构公布公共参数。

22、(2) 辅助信息生成

23、所述签名者、验证者根据所述第三方可信机构公布的系统公共参数，分别生成与自己身份对应的会话密钥辅助信息，并将其发送给所述第三方可信机构；以签名者为例，该步骤具体描述为：

24、(2.1) 所述签名者选择一个随机数，计算，，其中为所述签名者与所述第三方可信机构通信的会话密钥，为会话密钥辅助信息；

25、(2.2) 所述签名者使用所述签名者与所述第三方可信机构通信的会话密钥对自己的身份进行加密得到密文；

26、(2.3) 所述签名者将发送给所述第三方可信机构。

27、在步骤(2.3)中，所述签名者向所述第三方可信机构发送消息时加入时间戳，可有效防止恶意敌手进行重放攻击。

28、(3) 部分私钥生成

29、所述第三方可信机构根据系统公共参数和所述签名者发送的会话密钥辅助信息，为所述签名者生成部分私钥，并将其发送给对应的签名者；

30、所述第三方可信机构根据系统公共参数和所述验证者发送的会话密钥辅助信息，为所述验证者生成部分私钥，并将其发送给验证者；

31、以签名者为例，该步骤具体描述为：

32、(3.1) 所述第三方可信机构接收所述签名者发送的消息，检查时间戳是否有效，若无效，则丢弃该消息；否则，所述第三方可信机构计算所述签名者与第三方可信机构通信的会话密钥；

33、(3.2) 所述第三方可信机构使用所述签名者与第三方可信机构通信的会话密钥对进行解密，进而计算所述签名者的真实身份，即；

34、(3.3) 所述第三方可信机构选择一个随机数，计算，， ，，其中为所述签名者的部分私钥；

35、(3.4) 所述第三方可信机构使用所述签名者与第三方可信机构通信的会话密钥对和所述签名者的部分私钥进行加密得到密文，并将密文  发送给所述签名者。

36、在步骤(3.4)中，所述第三方可信机构使用第三方可信机构与所述签名者通信的会话密钥对所述签名者的部分私钥进行加密，进而以密文形式向所述签名者传输该签名者的部分私钥，该方式消除了部分私钥传输过程对安全信道的依赖。

37、(4) 密钥生成

38、所述签名者、验证者根据所述第三方可信机构发送给自己的部分私钥，分别生成自己的公私钥对；以签名者为例，该步骤具体描述为：

39、(4.1) 所述签名者接收第三方可信机构发送的密文，使用所述签名者与所述第三方可信机构通信的会话密钥对密文进行解密得到和所述签名者的部分私钥，即；

40、(4.2) 所述签名者选择一个随机数，计算所述签名者的私钥 和公钥。

41、在步骤(4.2)中，所述签名者使用所述第三方可信机构发送的部分私钥即可自己生成该签名者的公私钥对，解决了所述第三方可信机构证书管理和密钥托管问题。

42、(5) 单签名生成

43、所述签名者使用所述第三方可信机构发送给该签名者的部分私钥和该签名者自己生成的私钥对消息进行签名，并将该签名发送给所述聚合器；以签名者为例，该步骤具体描述为：

44、(5.1) 所述签名者选择一个随机数，计算,, ,和 ，并生成签名，其中为所述验证者的公钥，为所述签名者待签名的消息；

45、(5.2) 所述签名者将其生成的签名和辅助信息发送给所述聚合器，其中为当前时间戳。

46、在步骤(5.1)中，所述签名者向所述聚合器发送签名和辅助信息时，明文消息被隐藏为，即，增强了消息自身的机密性。

47、(6) 聚合签名生成

48、所述聚合器将接收到的多个签名者发送的多个签名聚合成一个聚合签名，并将其发送给所述验证者, 该步骤具体描述为：

49、(6.1) 所述聚合器接收个签名者发送的对个不同消息的不同签名和个辅助信息,令，，聚合器首先检查每个中的时间戳的有效性，若无效，所述聚合器拒绝接受该签名者对应的消息；否则，所述聚合器执行步骤(6.2)-(6.3)；

50、(6.2) 所述聚合器计算,，其中为所述验证者的公钥；

51、(6.3) 所述聚合器生成聚合签名，并将发送给所述验证者，其中为当前时间戳。

52、在步骤(6.2)中，通过抗碰撞的哈希函数，有效抵御了合谋攻击。

53、(7) 聚合签名验证

54、所述验证者接收所述聚合器发送的聚合签名，逐一恢复所述聚合签名中的每个消息，进而验证所述聚合签名的有效性，该步骤具体描述为：

55、(7.1) 所述验证者接收到所述聚合器发送的，检查时间戳的有效性，若无效，所述验证者拒绝接受该消息；否则，所述验证者执行步骤(7.2)-(7.3)；

56、(7.2) 所述验证者使用自己的私钥逐一恢复所述聚合签名中的每个消息，即,并计算, ,, ；

57、(7.3) 所述验证者验证所述聚合签名的有效性，即检查等式和等式是否成立，若两个等式均成立，则所述聚合签名有效；否则，所述聚合签名无效。

58、本发明所述的一种可抵御合谋攻击的消息可恢复的聚合签名方法与现有技术相比具有以下有益效果：

59、本发明所述的一种可抵御合谋攻击的消息可恢复的聚合签名方法，可实现验证者对多个签名的同时验证，同时为多个用户、多个消息提供不可否认服务。本发明所述的聚合签名方法基于抗碰撞哈希函数设计，可有效抵御合谋攻击；在签名传输过程中，消息不以明文形式发送，且只有指定的验证者可恢复消息并验证签名，保护了消息自身的机密性；此外，第三方可信机构使用会话密钥将签名者的部分私钥传输给相应的签名者，消除了部分私钥传输过程中对安全信道的依赖。本发明可有效抵御自适应选择消息攻击、合谋攻击、重放攻击和中间人攻击等多类攻击，且计算成本低，通信开销小，在同时聚合多个签名且需要保护消息隐私的应用领域具有广阔的应用场景。