[发明专利]一种前向安全群签名管理方法

权利要求书

1.一种前向安全群签名管理方法，其特征在于：包括以下内容：

A：系统建立算法

系统共有三类实体，分别为可信任的群中心、群管理员和群成员，群中成员的数量为k，系统建立包括以下步骤：

S1：群中心选择一个参数为T＝(q，a，b，G，n)的椭圆曲线，每位成员U_i(i＝1，2，…k)向群中心提交一次申请并将身份信息ID_i发送给群中心，群中心为每一个群成员的申请选择一个大素数p_i(i＝1，2，…，k)满足：p_i＜n，并且最终的k个大素数是互不相同的，还要保证P_i-1中有两个大素数；群中心选择一个哈希函数H：{0，1}^*→{0，1}^n*，(n*＜[log₂(min{p₁，p₂，…，p_k})])；

S2：计算，x_i，0G＝(x_i′，y_i′)，y_i＝y_i′(mod p_i)，将y_i作为其公钥，并将公钥发送给群中心，群中心对每个成员的公钥进行比对，如果有两个成员有相同的公钥，则群中心要求这两位成员重新选择私钥；

S3：群中心将最终的(ID_i，y_i，p_i)发送给管理员，管理员保存该信息用于后期打开群签名和基本验证的依据，群中心根据每个用户的p_i和y_i建立一个同余方程组：

根据中国剩余定理，该方程组的整数解满足：

c＝y₁P₁′P₁+y₂P₂′P₂+…+y_kP_k′P_k(mod P)，其中

P_i＝P/p_i(i＝1，2，…，k)；P＝p₁p₂…p_k＝P₁p₁＝P₂p₂＝…＝P_kp_k；

P_i′是满足P_i′P≡1(mod p_i)(i＝1，2，…，k)的整数解，之后群中心将(c，T)公开；

B：成员加入算法

若用户U想成为群中的一个成员，按照以下步骤加入：

S1：U向管理员提出申请，获得管理员授权后，U与群中心进行交互；群中心再选择一个与p_i(i＝1，2，…，k)都互异的大素数p_k+1(2^n*-1＜p_k+1＜n)然后将p_k+1发送给U，U随机秘密选择私钥x_k+1，0＜n；

S2：计算x_k+1，0G＝(x_k+1′，y_k+1′)，y_k+1＝y_k+1′(mod p_k+1)，将y_k+1作为其公钥，之后将其公钥和身份信息(ID_k+1，y_k+1)发送给群中心，群中心将y_k+1和其他成员的公钥进行比较，如果成员U_j的公钥使得y_k+1＝y_j成立，那么群中心要求U_j和U重新运行成员加入算法；

S3：群中心收到后重新计算c的值更新并发布，然后将(ID_k+1，y_k+1，p_k+1)发送给群管理员，之后用户U就成为了一名合法的群成员；

C：成员撤销算法

S1：群管理员要撤销群成员U_j(j←{1，2，…k})则群中心将成员U_j的公钥信息用一个随机数进行替换，群中心只需重新计算c的值并发布，之后成员U_j就被撤销，其密钥不能再生成合法的群签名；

D：密钥演化算法

假设成员U_i(i←{1，2，…k})在j-1(j≥1)时间段内的私钥为x_i，j-1，在第j时间段随机选取r_j＜p_i，计算x_i，j＝x_i，j-1+r_j(mod p_i)，令T_i，0＝O，T_i，1＝r₁G，计算在第j时间段的T_i，j满足：将x_i，j作为第j时间段的私钥，完成后清除r_j和x_i，j-1；

E：群签名生成算法

在t时间段内群U_i对消息m的签名过程如下：

S1：U_i随机选取两个整数α，β，且满足：1≤α，β≤n-1；

S2：计算k＝(αx_i，t+β)mod n；若k＝0，则返回步骤S1；

S3：计算kG＝(x₁，y₁)和r＝x₁mod n；若r＝0，则返回步骤S1；

S4：计算需要签名的消息m的哈希值e，e＝H(m)；

S5：计算s＝(β+x_i，ter)mod n若s＝0，则返回步骤S1；

S6：输出签名σ＝(s，α，r，t，p_i，T_i，t)；

F：签名验证算法

S1：验证s，α，r是否为区间[1，n-1]内的整数，若任何一个验证失败，则拒绝签名；

S2：根据群中心公开的信息，计算y_i≡c(mod p_i)，然后还原到y_i对应椭圆曲线的坐标Q_i；

S3：计算消息m的哈希值e，e＝H(m)；

S4：计算u＝er；

S5：计算sG+(α-u)(Q_i+T_i，t)＝(x₂，y₂)；

S6：计算v＝x₂mod n；

S7：验证v和r的关系，若v＝r，则验证签名成功，否则验证失败拒绝签名；

G：签名打开算法

如果在某些情况下需要验证签名者的真实身份，群管理员先验证p_i是否在存储列表内，通过计算y_i≡c(mod p_i)获得y_i后查询对应的信息列表(ID_i，y_i，p_i)可获得签名者的真实身份ID_i，从而得到签名者的真实身份；

q为素数，a，b是整数，G是椭圆曲线的基点，n是G的阶且n是个素数。