摘  要： 针对Di Ma等人提出的前向安全的顺序聚集签名方案，提出了一个新的改进方案。该方案使每个时段能够对多个消息产生多个签名，同时把签名聚集算法分成两个独立的算法——签名生成算法和聚集算法。新的方案能够满足实时性和并发性要求，还能够满足一些特殊无线传感器网络的需求。
关键词： 前向安全；聚集签名；并发性；co-CDH

    通常情况下，人们需要管理多个用户对不同消息生成的多个签名。例如，证书链需要包含CA中心颁发的对不同证书生成的多个签名。这时聚集签名方案应运而生，它能够聚集由不同用户对不同消息生成的多个签名为单个短签名。
    2007年，Di Ma提出了几个前向安全的顺序聚集签名方案[1，2](FssAgg)，主要适用于无线传感器网络。他根据无线传感器网络的特点，强调了此网络中数据完整性和可认证性的必要性，并分析了一般技术运用到无线传感器网络中存在的两个问题：传感器的密钥泄漏问题以及存储和通信的限制问题。他构造的前向安全的顺序聚集认证方案不仅能够解决密钥泄漏问题，而且减少了算法的存储空间，提高了通信资源的利用率。但该方案也有不足之处，每个时段只能产生一个签名，有一定的局限性。
    本文对Di Ma等人提出的前向安全的顺序聚集签名方案进行了改进，改进后的方案使每个时段能够对多个消息产生多个签名；同时，把签名聚集算法分成了两个独立的算法——签名生成算法和聚集算法，该方案能够满足实时性和并发性要求，并证明了签名的前向安全性。
1 Di Ma的签名方案
    Di Ma等人[3]提出了前向安全的聚集签名(简称Fss-
Agg)，FssAgg方案的聚集算法是对一个人的多个签名的聚集：


    (2)FssAgg.ASign：签名产生和聚集算法，根据标准的签名算法，返回第i时段消息m的签名δ；输入参数是前一时段的聚集签名(signature-so-far)δ1，i-1、当前时段的
2 改进后的签名方案
2.1 形式化定义
    改进的FssAgg签名方案[2]由5个算法构成，FSA=(FSA.Kg，FSA.Sign,FSA.Agg,FSA.Avf，FSA.Update)，每个时段签名人可以对多个消息产生多个签名，任何人都可以参与聚集的过程。
2.2 方案描述


 




    综合上述，与Di Ma的签名方案相比，新方案继承了FssAggm方案[3]的主要特点：在产生签名之前，把每个时段的多个消息聚集成一个大消息，这样密钥的更新频率完全可以基于密钥泄漏的概率来计算。同时，新方案主要有两个改进的方面：一方面，在每个时段里，多个消息可以聚集成若干个大消息，然后对这些大消息产生相应的签名。因此，可以把每个时段分成若干个时间点，中间传感器相对及时地从末端传感器节点接收签名，这样满足了消息签名的实时性要求。另一方面，独立的签名算法和聚集算法允许不同的主体同时参与调用签名算法和聚集算法，满足这两个算法的并发性，提高了整个方案的效率。

参考文献
[1] MA D，TSUDIK G．Forward-secure sequential aggregate authentication．In Proceedings of IEEE Symposiumon Security and Privacy,California，May 20-23，2007．
[2] MA D.Practical forward secure sequential aggregate signatures．In Proceedings of ACM ASIACCS′08，Tokyo，March 18-20，2008．New York：ACM，2008．
[3] BONEH D，LYNN B，SHACHAM H．Short signatures from  the Weil pairing．In Proceedings of the Advances in Cryptology．ASIACRYPT′0 1，Australia，December9-1 3，2001．Springer-Verlag．2001．