(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210554152.0 (22)申请日 2022.05.19 (71)申请人 曲阜师范大学 地址 273165 山东省济宁市曲阜市 静轩西 路57号 (72)发明人 李凤银　崔洋　王伊蕾　孙玉红　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于可撤销身份的格 基聚合签名方法 (57)摘要 本发明属于公钥密码学中的数字签名领域， 涉及聚合签名、 单向哈希函数、 陷门生成方法与 原像抽样方法等技术。 针对量子计算机环境中资 源基于身份的数字签名方法中存在的身份撤销 开销大的问题、 以及资源受限情况中存在的数据 传输效率低的问题， 提出了一种基于可撤销身份 的格基聚合签名方法。 通过我们的方法实现了聚 合签名尺 寸的压缩、 聚合签名用户的动态可撤销 以及聚合签名的量子安全性。 权利要求书2页 说明书5页 附图2页 CN 115225261 A 2022.10.21 CN 115225261 A 1.一种基于可撤销身份的格 基聚合签名方法， 其特 征在于包括如下步骤： (1)该方法包含四类实体， 分别是： PKG(Private  Key Generator， 密钥生成中心)， 签名 用户， 聚合 服务器， 以及验证 签名者； (2)该方法包含八个步骤， 分别为系 统初始化、 私钥生成、 密钥更新、 签名密钥生成、 单 签名、 单签名验证、 聚合签名、 聚合签名验证， 具体方法步骤介绍如下： (2.1)系统初始化阶段由PKG运行， 实现了公共参数的分发以及系统主密钥对的生成； (2.2)私钥生成阶段由PKG运行， PKG再收到用户发送私钥请求之后为用户生成身份对 应的私钥并通过安全信道传输给用户； (2.3)密钥更新阶段由PKG运行， 每次撤销用户之后PKG发布新的密钥更新， 由此实现对 用户的动态撤销； (2.4)签名密钥生成阶段由签名用户运行， 根据固定的用户私钥以及动态的密钥更新 用户可以产生签名密钥， 用户使用该密钥对消息进行签名； (2.5)单签名阶段由签名用户运行， 签名用户使用签名私钥为消息产生相应的签名， 该 阶段生成需要被聚合的单个 签名； (2.6)单签名验证阶段由验证者运行， 验证者根据用户身份对签名进行验证， 该阶段是 对单个签名进行验证； (2.7)聚合签名阶段由聚合服务器运行， 所有的用户都可以充当聚合服务器， 对多个消 息进行聚合 生成一个聚合签名； (2.8)聚合验证阶段由签名验证者运行， 仅需运行一次聚合验证阶段， 即可完成对多个 消息的签名验证。 2.根据权利要求项1所述的一种基于可撤销身份的格基聚合签名方法， 包含以下参数 及符号： n,m为 正整数、 q为质数、 为n维模数为q的多 项式商环、 α 为 正实数是高斯分布的参 数、 Hc: H: 为哈希函数(在安全性证明中充当随机预言机)， Lid为用 户身份列表,T为时间， 具体算法实施步骤如下： (1)初始化阶段 Steup(1λ)→(mpk,msk):PK G运行TrapGen(1λ)(陷门生成函数)输出陷门 以及 对应矩阵 设置主私钥msk＝TA,主公钥mpk＝A， PKG广播系统公共参数以及主公 钥； (2)私钥生成阶段 KeyGen(msk,mpk,id) →(skid):在收到用户的私钥请求后， PKG输入用户身份id∈Lid以 及系统主密钥对， 计 算uid＝H(id)， 运行Sampl ePre原像抽样函数输出eid＝SamplePre(A,TA, uid, α )输出用户身份对应的私钥 最后通过安全信道将私钥传输给用户， 用 户身份id充当用户的公钥； (3)密钥更新阶段 KeyUpdate(msk,mpk,rlT)→(kuT):在需要撤销现有用户时， PKG首先调用KUNode算法, 获得KUT＝KUNode(Lid,rlT,T)， rlT为需要撤销的用户组成的列表， KUT为所有合法用户的身 份信息， PKG为所有的合法用户 θj∈KUT生成密钥更新,运行SamplePre原像抽样函数输出：权　利　要　求　书 1/2 页 2 CN 115225261 A 2最终输出密钥更新 PKG将密钥更新 kuT发送给所有签名用户； (4)签名密钥生成阶段 SignKeyGen(skid,kuT)→(sik or⊥):签名用户在接收到PKG发布的密钥更新以后θj从 kuT中找到 计算签名密钥 此阶段中如果用户的身份已经被撤销， 则无 法再密钥更新中找到对应身份的eid,T， 直接退出本阶段； (5)单签名阶段 Sign(mpk,sik,m) →σ :签名算法由签名用户执行， 用户需要对消息m进行签名时运行该 算法生成签名 σ： (5.1)随机 选择 (5.2)计算r ←Ay,c←Hc(m,r,Tcu)； (5.3)计算z ←sikT·c+y； (5.4)以 的概率输出签名 σ ＝(z,r,c)； (6)单签名验证阶段 Verify(σ,mpk,id) →(0 or 1)， 验证算法由在验证用户执行， 当签名验证通过时输出 1， 否则输出0； 验证用户根据以下两个步骤判定签名是合法： (6.1)验证 如果不满足则输出0； (6.2)验证c是否与Hc(A·z‑id·c,m,T)相等， 如果 不满足则输出0， 否则输出1； (7)聚合签名阶段 AggSign( σj,mj)→∑:聚合服务器运行聚合签名算法， 用户将需要聚合的签名以及消息 发送给聚合 服务器， 聚合 服务器按照以下步骤生成聚合签名∑： (7.1)计算 (7.2)计算∑＝(Z,mi,ri)； (8)聚合签名验证 AggVerify(∑,mpk,Lid)→(0 or 1),验证者对聚合签名及消息进行验证， 聚合签名仅 需一次验证即可确认所有消息的正确性： (8.1)计算 j的取值范围为0 ≤j≤|Lid|； (8.2)验证等式是否成立 如果不成立则输出0， 否则输出1。权　利　要　求　书 2/2 页 3 CN 115225261 A 3