1.一种抗恶意传输数据攻击的数据聚合签名方法，采用抗恶意传输数据攻击的数据聚合签名系统；所述系统包括用户A和用户B；

其特征在于，所述方法包括以下步骤：步骤1：系统参数和验证密钥的生成；

步骤1.1：用户B选择安全参数κ，然后根据κ随机选择两个大素数p1,q1并计算N1＝p1×q1，选择生成元 Paillier密码系统的公钥pk＝(N1,g)和私钥sk＝(λ,μ)，其中用户B选择BLS短签名的密钥xB和生2

成元g1并计算BLS短签名的公共密钥 其中， 表示集合{1,2,…,N1‑1}；

步骤1.2：用户A选择BLS短签名的密钥xA以及选择g2作为生成元并计算BLS短签名的公共密钥 用户A选择学习率α；

步骤1.3：用户A和用户B协商迭代次数N；

步骤1.4：用户B公布公共参数{m1,pk,pkB}；用户A公布公共参数{m2,α,pkA}，其中m1为用户B的数据总量，m2为用户A的数据总量；

步骤1.5：用户A和用户B分别计算出用户数据总量m＝m1+m2；

步骤2：两方合作更新参数模型θ；

步骤2.1：用户B计算 和 其中X1为用户B的数据矩阵，Y1每一行为X1每一行对应的结果， 为矩阵X1的转置；并将 和 加密，得到CB1,CB2；然后将加密后的CB1,CB2通过聚合签名算法进行签名，得到DB1,DB2；

步骤2.2：用户B将CB1,CB2和DB1,DB2发送给用户A；

步骤2.3：用户A通过集合验证算法验证DB1,DB2是否正确，如果正确用户A接受CB1,CB2；用T T

户A计算 和 并计算出XX和XY；用户A选择一个随机向量RA1，并计算出CA1＝Epk(αT T

(XXθ0‑X Y)+RA1)，其中θ0为第一轮计算的参数模型；用户A通过聚合签名算法对CA1进行签名，得到DA1；其中，Epk()表示使用公钥pk进行加密的加密算法；X代表用户A的数据X1和用户B的数据X2的合集，而Y代表着用户A的数据Y1和用户B的数据Y2的合集；

步骤2.4：用户A将CA1和DA1发送给用户B；

步骤2.5：用户B通过集合验证算法验证DA1是否正确，如果正确则用户B接受CA1；用户B解T T T T

密得到α(XXθ0‑XY)+RA1；用户B选择一个随机向量RB1，计算CB3＝α(XXθ0‑X Y)/m+RA1/m+RB1；

用户B通过聚合签名算法对CB3进行签名得到DB3；

步骤2.6：用户B将CB3和DB3发送给用户A；

步骤2.7：用户A通过集合验证算法验证DB3是否正确，如果正确则用户A接受CB3，用户A移T T

除RA1/m并通过计算得到θ1‑RB1＝θ0‑α(XXθ0‑XY)/m‑RB1，其中θ1为第二轮的参数模型；用户AT T T

选择随机向量RA2并计算CA2＝Epk(α(X Xθ0‑XY)‑αX XRB1+RA2)；用户A通过聚合签名算法对CA2进行签名，得到DA2；

步骤2.8：用户A将CA2和DA2发送给用户B；

步骤2.9：用户B通过集合验证算法验证DA2是否正确，如果正确则接受CA2；用户B解密得T T T T

到α(X Xθ0‑XY)‑αX XRB1+RA2；用户B通过消除多余参数算法与用户A协商消除αXXRB1得到αT T T T

(XXθ0‑X Y)+RA2‑RA3；用户B选择随机向量RB2，并计算CB4＝α(XXθ1‑X Y)/m+RA2‑RA3/m+RB2；用户B通过聚合签名算法对CB4进行签名得到DB4；其中，RA3是由消除多余参数算法中用户A生成的随机向量；

步骤2.10：用户B将CB4和DB4发送给用户A；

步骤2.11；用户A通过集合验证算法验证DB4是否正确，如果正确则接受CB4；用户A移除RA2‑RA3/m；并通过计算得出θ2‑RB2，其中θ2为第三轮更新的参数模型；之后循环执行步骤2.7至步骤2.11完成其中的计算，直到迭代次数达到N次为止。

2.根据权利要求1所述的抗恶意传输数据攻击的数据聚合签名方法，其特征在于，步骤

2.1中所述将加密后的CB1，CB2通过聚合签名算法进行签名，具体实现包括以下子步骤：步骤2.1.1：针对CBk，k＝1，2；用户B通过H(·)计算RVi＝H(CBk[i][1]||...||CBk[i][N])，0≤i≤N，计算完成之后计算R＝H(RV1||...||RVN)；最后计算得到A＝H(R)；

步骤2.1.2：用户B计算 其中ID_Alice代表用户A的身份信息，ID_Bob代表用户B的身份信息，T是时间戳；用户B计算得到DBk＝ID_Bob||ID_Alice||T||σBk。

3.根据权利要求2所述的抗恶意传输数据攻击的数据聚合签名方法，其特征在于，步骤

2.3中所述用户A通过集合验证算法验证DB1，DB2是否正确，具体实现包括以下子步骤：步骤2.3.1：针对CBk，k＝1，2；用户A通过H(·)计算RVi＝H(CBk[i][1]||...||CBk[i][N])，0≤i≤N，计算完成之后计算R＝H(RV1||...||RVN)；最后计算得到A＝H(R)；

步骤2.3.2：用户A验证等式 是否成立，如果成立则接受CBk否则拒绝接受CBk。

4.根据权利要求3所述的抗恶意传输数据攻击的数据聚合签名方法，其特征在于，步骤T T T

2.9中所述用户B通过消除多余参数算法与用户A协商消除αX XRB1得到α(X Xθ0‑XY)+RA2‑RA3，具体实现包括以下子步骤：

步骤2.9.1：用户B计算CB5＝c(RB1)，并通过聚合签名算法对CB5进行签名得到DB5；其中，c()为加密算法；

步骤2.9.2：用户B将CB5和DB5发送给用户A；

步骤2.9.3：用户A通过集合验证算法验证DB5是否正确，如果正确则接受CB5；用户A选择T

随机向量RA3，并计算CA3＝c(αXXRB1+RA3)，用户A通过聚合签名算法对CA3进行签名得到，DA3；

步骤2.9.4：用户A将CA3和DA3发送给用户B；

步骤2.9.5：用户B通过集合验证算法验证DA3是否正确，如果正确则接受CA3；用户B解密T

CA3得到αXXRB1+RA3。