CN103069745A - 基于属性的数字签名 - Google Patents

Abstract

公开了一种基于属性的数字签名系统。第一签名生成单元（1）用于基于第一签名密钥（12）和文档（11）针对所述文档（11）生成第一签名（10）。重新签名单元（2）用于基于所述第一签名（10）和重新签名密钥（14）针对所述文档（11）生成第二签名（13），其中，所述重新签名单元（2）被布置为处理与所述第一签名（10）和/或所述第二签名（13）相关联的属性（15，16）。所述第二签名（13）与所述重新签名密钥（14）确定的第二组属性（16，16'''）相关联，其中，所述第二组属性（16）包括多个属性。所述第一签名（10）与第一组属性（15）相关联，其中，所述第一组属性（15）包括多个属性，并且所述重新签名单元（2）被布置为仅在所述第一组属性（15）满足一组条件（17，17'）时才生成第二签名（13）。

Description

基于属性的数字签名

技术领域

本发明涉及基于属性的数字签名。

背景技术

从传统健康护理，到家庭健康护理，到健康服务的护理周期中涉及的不同各方之间对数据交换的需求越来越多，这使得健康数据的安全管理成为重要问题。当前的方法基于传统的安全机制，补充以必要的物理和管理流程，限制了健康信息的可用性并使得健康记录的交换很不方便。数字策略管理和执行技术通过提供如下可能而优于这些传统方法：实现（1）异构网络中的端到端保密性和安全性，独立于数据迁移的基础设施或机构边界保护数据；（2）基于角色的或基于属性的访问控制机制的加密执行，这在健康护理应用中非常重要，仅允许具有适当属性（例如角色）的用户基于与其属性相关联的私有密钥对消息解密或签名。

健康护理中工作流程的一个重要方面是来源的不可否认性，这意味着数据的接收者能够验证数据来源。在日常生活中，使用数字签名来实现不可否认性特性。在传统的签名方案中，针对每个用户生成私有密钥和公共密钥的对，在这一对中，私有密钥可用于签署消息，而公共密钥可用于验证消息上的签名。然而，在健康护理组织中，通常使用属性描述用户的角色和身份，并基于用户属性授权对数据的访问。因此当且仅当用户具有正确属性集时，用户可以生成或修改，然后签署该数据。出于这一目的，使用基于属性的签名，例如，如Dalia Khader在“Attribute Based GroupSignatures”，International Association for Cryptologic Research（IACR），2007，241中所描述。因此，在健康护理中，属性被认为是证明数据来源的主要源。这些属性还可以包括对于特定域（例如，名称或识别符）中个体唯一的个体属性。例如，如果处方单被具有特定角色的特定用户（例如医生John Smith）签署，药房将接受处方单。在匿名很重要的与医疗研究相关的其它使用情况中，患者可以仅利用其非唯一属性（例如他是30-40岁的男性）来签署其健康记录。因而，用于保护健康数据的基于属性的加密（ABE）系统的一个重要部分是基于属性的签名（ABS）方案。

在基于属性的签名（ABS）中，使用与用户拥有的属性集ω相关联的私有密钥SK_ω签署数据。为了能够签署消息，用户从受信任管理机构获得与其具有的特定属性集相对应的特定私有密钥。如前所述，用户还可以具有选择与属性的子集相关联的私有密钥的子集的灵活性，他/她可能希望使用所述属性的子集用于特定签署操作。

发明内容

若有一种改进的基于属性的数字签名系统会是有利的。为了更好地解决这个问题，在第一方面中，本发明提供了一种系统，所述系统包括：

第一签名生成单元，其用于基于第一签名密钥和文档针对所述文档生成第一签名；以及

重新签名单元，其被布置为基于第一签名和重新签名密钥针对所述文档生成第二签名，其中，所述重新签名单元被布置为处理与所述第一签名和/或所述第二签名相关联的属性。

这种系统允许基于与签名相关联的属性配置重新签名的能力。因为重新签名单元，可以委托签字授权而无需向被委托方授予委托方的签名密钥。替代地，被委托方能够利用重新签名单元将其签名转换成委托方的签名，所述重新签名单元可以是半信任单元或代理。通过配置重新签名单元以处理与签名相关联的属性，重新签名功能变得更加灵活。不必逐个用户地执行委托任务，因为可以使用密钥的属性指定例如需要与第一签名相关联的何种属性来使用重新签名单元和/或何种属性与第二签名相关联。因此，委托方可以基于他们的属性向用户组委托任务。可以布置重新签名单元以将第一签名转换为第二签名，其中，所述第二签名替换所述文档的所述第一签名，可以独立于所述第一签名验证所述第二签名。

所述第二签名可以与所述重新签名密钥确定的第二组属性相关联，其中，所述第二组属性包括多个属性。所述重新签名单元允许将第一签名转换成与第二组属性相关联的签名。这使得能够实现利用现有的基于属性的数字签名系统不能实现的几种使用情况。例如，该系统使得能够向用户委托利用特定一组属性签署文档的授权而无需授予用户与那一组属性相关联的签名密钥。替代的是，仅授予用户第一签名密钥，用户必须调用重新签名单元以将利用第一签名密钥生成的签名转换成与第二组属性相关联的期望的第二签名。可以将重新签名单元实现为半信任代理。

替代地或额外地，第一签名可以与第一组属性相关联，其中第一组属性包括多个属性，并且可以将重新签名单元布置为仅在第一组属性满足一组条件时才生成第二签名。这允许委托方授权一组用户而无需指定被委托方的特定用户ID。替代的是，可以基于用户的属性（例如角色）执行授权，所述用户的属性在他们的第一签名密钥中表示。

该系统可以包括重新签名密钥生成器，所述重新签名密钥生成器用于基于与第二组属性相关联的第二签名密钥生成重新签名密钥，其中，重新签名密钥使得重新签名单元能够将第一签名转换成与第二组属性相关联的签名，并且其中，所述第二签名密钥使得第二签名生成单元能够基于文档本身生成与第二组属性相关联的签名。典型地，将第二签名密钥的控制委托给具有第二组属性的被授权签署文档的个人。使用所述的重新签名密钥生成器，该个人能够通过向重新签名密钥生成器提供第二签名密钥来生成重新签名密钥。可能不需要基于属性的签名系统的任何主密钥。这使得委托授权签字相对容易。

所述重新签名密钥生成器可以被布置为基于所述第二签名密钥进一步生成第一签名密钥，其中所述第一签名密钥和所述重新签名密钥作为密钥对而生成，并且所述第一签名密钥被提供给第一签名生成单元，所述重新签名密钥被提供给重新签名单元。这种方案使以下成为可能：使得没有任何密钥的用户能够使用第二组属性签署文档。可以授予用户专用的第一签名密钥以准备第一签名，然后可以通过重新签名单元和重新签名密钥将所述第一签名转换为与第二组属性相关联的签名。这样，重新签名密钥生成器无需知道被委托方用户所拥有的任何现有密钥，因为被委托方从重新签名密钥生成器得到新的第一签名密钥，可以结合重新签名单元和重新签名密钥使用第一签名密钥代表委托方签署消息。

该系统可以包括重新签名密钥生成器，所述重新签名密钥生成器被布置为根据所述一组条件生成重新签名密钥，其中，所述重新签名密钥使得重新签名单元能够将与满足所述一组条件的任何属性组相关联的签名转换成第二签名。这使得系统更加灵活，因为不必为每个用户生成重新签名密钥，替代的是，具有与满足所述一组条件的相应属性组相关联的第一签名密钥的现有用户能够将他们签名转换成与第二组属性相关联的签名。可以将所述一组条件称为策略。

可以将重新签名单元布置为使用公共密钥验证第一签名是否与满足一组条件的一组属性相关联，并且被布置为仅在第一签名与满足所述一组条件的一组属性相关联的情况下生成第二签名。这改进了系统的安全性和/或防止了生成错误签名，因为仅可以转换期望的签名。

该系统可以包括委托单元，所述委托单元用于使得拥有第二组属性的用户能够通过向重新签名单元提供重新签名密钥以将他的利用与第二组属性相关联的签名来签署文档的授权委托给另一用户。这便于签署授权的委托。用户控制的委托过程还可以包括允许被委托方令重新签名单元利用重新签名密钥将第一签名转换为相应的第二签名。委托单元还可以使得用户能够从重新签名单元撤回或消除重新签名密钥。这使得容易撤销签署的授权。

在另一方面中，本发明提供了一种包括所述系统的工作站。

在又一方面中，本发明提供了一种基于属性的数字签名生成的方法，包括：

基于第一签名密钥和文档针对所述文档生成第一签名；以及

基于第一签名和重新签名密钥针对所述文档生成第二签名，包括处理与第一签名和/或第二签名相关联的属性。

在另一方面中，本发明提供了一种包括指令的计算机程序产品，所述指令用于令处理器系统执行所述方法。

US2009/0327735A1公开了一种代理重新签名系统，其用于将消息m上的被委托方签名转换成同一消息m上的委托方签名。该文献未公开基于属性的签名系统。

附图说明

参考下文中描述的实施例，本发明的这些和其他方面将变得显而易见并将得到阐述。在附图中：

图1是基于属性的数字重新签名系统的示图；

图2是基于属性的数字重新签名方法的流程图；

图3是基于属性的代理重新签名方案的功能图。

具体实施方式

在本说明书中，公开了一种基于属性的代理重新签名方案（ABPRSS）。将作为范例描述该方案的几个变型。然而，技术人员能够实现这些范例的变型以及组合在不同范例中描述的特征。基于属性的签名可以被认为是群组签名的一种形式。它允许检验者确定签署者的属性（例如角色）。然而，在实践中，有这样的情形：来自一个实体的签名被转换成另一实体的签名。一个范例是委托的情形，不过这不是限制。可以由本文中提出的方案的不同变型来解决这些情形。该方案部署半信任代理，或者更一般地，重新签名单元，其利用委托方给出的重新签名密钥将来自实体A（被委托方）的签名变换成实体B（委托方）的签名。

尽管在日常生活中的若干情况中基于属性的签名是有用的，但健康护理实践提出了现有的基于属性的签名方案中没有的若干额外的期望特征。在健康护理中，用户可能经常希望向其同事（或下属）之一委托签名权力。例如，医生可能希望护士代表他签署处方。低级的方法是，医生将其密钥给予护士，护士然后将代表医生利用传统的ABS方案签名。显然，主要缺点是护士获悉其私有密钥并能够不用他的许可而继续使用它。代理重新签名方案提供了替代方案，该替代方案以某种方式提供了委托能力，该方式在一定程度上可能是安全和有效率的。这里使用的“安全”一词表示被委托方不能获知委托方的密钥，“有效率”一词宽泛地表示被委托方在密钥存储等方面的负荷也是最小的。

因此提出了ABPRSS，其中由被委托方和半信任代理生成医生的签名。例如，医生（委托方）从他的与属性集ω_委托方相关联的私有密钥SK_ω委托方（第二签名密钥的范例）生成重新签名密钥。然后，仅在护士希望半信任代理将其签名转换成医生（委托方）的签名时，才由半信任代理使用重新签名密钥将护士的签名（利用其自己的密钥SK_ω委托方（第一签名密钥的范例）生成）转换为医生（委托方）的签名。这样的系统的一个可期望的性质是，任何人（护士或代理）都不能自己代表医生产生签名。此外，即使护士和半信任代理之间共谋也不能使得他们能够恢复医生（委托方）的私有密钥SK_ω委托方。

这种方案的适用性当然不仅限于委托的情形。在另一个范例中，可以使用ABPRSS将能够在雇员公共密钥下验证的雇员签名转换成能够在部门或公司公共密钥下验证的部门或公司签名。这有助于防止泄露公司企业结构或雇员档案的信息，同时仍然允许内部审计。

ABPRSS的另一种应用是在如下情况中：由工作流程链中的多个实体签署文档并且每个实体具有不同的属性集。因此，利用提议的方案，仅需要与文档一起存储一个签名，该签名在验证时将确认已经由正确的实体利用有效签名密钥签署。

参考图1，将描述ABPRSS的实施例。图1示出了图示基于属性的数字签名系统各方面的示图。例如，该系统可以实现于在其上加载了适当软件的分布式计算机系统上。

该系统可以包括用于生成公共密钥和主密钥的设置（setup）单元（未示出）。此外，该系统可以包括密钥生成单元（未示出），用于适当地基于主密钥生成第一签名密钥12和/或第二签名密钥18。为了清楚起见未示出系统的这个部分。

该系统可以包括第一签名生成单元1，该第一签名生成单元1用于基于第一签名密钥12和文档11生成针对所述文档11的第一签名10。根据基于属性的签名方案，该第一签名密钥12可以与一组属性15'相关联，使得第一签名生成单元1能够生成与所述一组属性15相关联的签名10。然而，这并不是限制。也可能第一签名密钥12和第一签名10没有与之相关联的属性15'、15。在由重新签名单元转换之后，可以将第二签名13与由重新签名密钥14确定的一组属性16、16'''相关联。相反，可以是这样的情况：第一签名密钥12和第一签名10与一组属性15'、15相关联，可以由重新签名单元2用包括一组条件17、17'策略对其进行检查，以控制哪些用户能够将其第一签名转换成第二签名，而第二签名13和重新签名密钥14没有与它们相关联的属性16、16'''。如图1中所示，还可能第一签名密钥12和第一签名10与可以用一组条件17、17'检查的第一组属性15'、15相关联，并且重新签名密钥14和第二签名13与不同的第二组属性16'''、16相关联。

该系统可以还包括重新签名单元2，该重新签名单元2被布置为基于第一签名10和重新签名密钥14生成针对文档11的第二签名13。重新签名单元可以处理与第一签名10相关联的属性15和/或与重新签名密钥14相关联的属性16'''。而且重新签名单元可以处理第二签名13的任何属性16，例如，通过令这一第二签名13与一组属性16相关联。典型地，这组属性16对应于与重新签名密钥14相关联的所述一组属性16'''。因此，与第二签名13相关联的所述一组属性16可能与和第一签名10相关联的属性15（如果有的话）不同。

如前所述，第一签名10可以与第一组属性15相关联，其中，第一组属性15包括多个属性。重新签名单元2可以被布置为评估与第一签名10相关联的所述一组属性15以验证是否允许将第一签名10转换为第二签名13。可以利用基于属性的签名方案的验证算法结合公共密钥20明确进行这种验证，以用包括属性上的一组条件17'的策略验证所述一组属性15的符合性。或者，可以隐含地进行验证。在后一种情况下，以加密方式将所述一组条件结合到重新签名密钥14中，使得使用重新签名密钥14将第一签名10转换成第二签名13的算法将无法生成有效的第二签名13，除非第一组属性15匹配所述一组条件17。更一般地，重新签名单元2可以被布置为仅在第一组属性15满足一组条件17或17'时生成第二签名13。

该系统可以包括第二签名生成单元4，该第二签名生成单元4基于文档11和第二签名密钥18生成与第二组属性16''相关联的签名19。该第二组属性16''对应于与第二签名13相关联的第二组属性16以及与重新签名密钥14相关联的第二组属性16'''。

在典型的情形下，第二签名生成单元4和第二签名密钥18由拥有第二组属性16'的用户使用。第一签名生成单元1和重新签名单元2由拥有所述属性的用户所授权的代表其签名的用户使用。可以由拥有属性的用户控制重新签名密钥生成器3以生成重新签名密钥14，以授权特定用户或用户组代表其签名。

该系统可以包括重新签名密钥生成器3，用于基于与第二组属性16'相关联的第二签名密钥18生成重新签名密钥14。在这种情况下，重新签名密钥14使得重新签名单元2能够将第一签名10转换成与第二组属性16相关联的第二签名13。

重新签名密钥生成器3还可以被布置为生成重新签名密钥14，其能够转换与满足由重新签名密钥14定义的一组条件17的一组属性15相关联的第一签名10。于是，这样的重新签名密钥与属性上的一组条件17或策略相关联。在由重新签名单元2进行转换的过程中，将由第一签名10以数字方式表达的属性15与由重新签名密钥14以数字方式表达所述一组条件17加密组合以形成第二签名13。在重新签名密钥14与第二组属性16'''相关联时，重新签名过程可以有效地用与重新签名密钥14相关联的属性16、16'''替换与第一签名10相关联的属性15。

重新签名密钥生成器3可以被布置为基于第二签名密钥18进一步生成第一签名密钥12。可以以密钥对的形式生成所述第一签名密钥12和重新签名密钥14，该密钥对被设计成以上述方式一起使用；例如，第一签名生成单元1基于第一签名密钥12生成第一签名10，重新签名单元2利用重新签名密钥14将第一签名10转换成第二签名13。为此，可以向第一签名生成单元1提供第一签名密钥12并可以向重新签名单元2提供重新签名密钥14。

重新签名密钥生成器3可以被布置为根据所述一组条件17''生成重新签名密钥14。可以由用户利用用户输入设备指示这组条件17''，所述用户输入设备可以是下文中所述的委托单元5的一部分。重新签名密钥14可以使得重新签名单元2能够将与任何一组满足所述一组条件17''的属性15相关联的第一签名10转换成第二签名13。

替代地或者额外地，可以将重新签名单元2布置为使用公共密钥20验证第一签名10是否与满足一组条件17'的第一组属性15相关联。因此，可以将重新签名单元2布置为仅在第一签名10与满足所述一组条件17'的一组属性15相关联的情况下生成第二签名13。为了执行这种行为，可以利用现有技术中的数字安全技术使重新签名单元2防止篡改。

在第一签名10和第二签名13都与一组属性相关联时，可以使用本文中所描述的系统用与第二组属性相关联的第二签名13替换与第一组属性15相关联的第一签名10。

该系统可以包括委托单元5，该委托单元5用于使得拥有第二组属性16'的用户能够通过向重新签名单元2提供重新签名密钥14，将其利用与第二组属性16相关联的签名签署文档11的授权委托给另一用户。委托单元5可以还被布置为使得用户能够确定由重新签名密钥生成器3和/或重新签名单元2使用的所述一组条件17、17'、17''。委托单元可以包括用户接口，用于向用户提供适当的委托选项。

可以利用验证单元（未示出）进行第二签名13（任选地与第二组属性16相关联）的验证。该验证单元可以验证第二签名的真实性。该验证验证第二签名13是否是文档11的有效签名。在第二签名与第二组属性16相关联时，验证单元还可以用属性上的一组条件验证第二签名的第二组属性16。可以利用签名验证算法执行这些验证，在下文中描述了其范例。

可以在工作站中实现该系统。替代地，可以在分布式系统中实现该系统。例如，可以在独立的计算机设备上托管第一签名发生单元1、重新签名单元2和重新签名密钥生成器3。可以在与第二签名生成单元4相同的计算机装置上托管重新签名密钥生成器3。除了利用不同的物理机器之外，还可以基于用户登录系统授予每位用户对适当单元和密钥的访问。

图2图示了基于属性的数字签名生成的示范性方法。可以以这样的方式实现上述系统：所述系统被布置为执行以下方法或其修改。在步骤200中，运行设置算法以获得公共密钥参数和主密钥。在步骤201中，利用密钥生成算法为第一用户生成第一签名密钥。在步骤202中，利用相同或不同的密钥生成算法为第二用户生成第二签名密钥。在步骤203中，基于第二签名密钥利用密钥重新生成算法生成重新签名密钥。在重新签名单元，例如半信任服务器上存储这个重新签名密钥。在步骤204中，由第一用户利用第一签名密钥签署消息或文档，并获得第一签名。在步骤205中，判断是否应当转换第一签名。如果不需要，该过程返回到步骤204。否则，在步骤206中，将第一签名发送到重新签名单元进行转换。在步骤207中，重新签名单元接收第一签名并利用，例如数据库查找，在其存储模块中识别重新签名密钥。重新签名单元还可以验证第一签名和重新签名密钥是否匹配，即，是否允许利用重新签名密钥将第一签名转换成第二签名，还验证第一签名以确保签名形成（或构造）良好。在208中，如果不允许转换第一签名，或者其不是形成（或构造）良好的签名，则该过程可以生成错误信息并返回步骤204，否则在步骤209继续。在步骤209中，重新签名单元利用重新签名算法将第一签名转换成第二签名。在步骤210中，将第二签名发送回第一用户的系统，第一用户可以在公共存储区中存储第二签名并将其发送到例如特定的目标用户。在步骤211中，另一用户或目的地用户接收第二签名并运行验证算法以验证第二签名。可以用第二签名期望要表达的属性上的一组条件来执行这种验证。

该方法可以完全地或部分地以软件方式实现为计算机程序产品，所述计算机程序产品包括用于令处理器系统执行该方法的指令。

基于属性的代理重新签名方案（ABPRSS）允许代理将来自实体B（被委托方）的使用私有密钥SKω_被委托方签署的签名σ_被委托方转换为实体A（委托方）的使用重新签名密钥的签名σ_委托方。

在本说明书中，“代理”是指能够执行用于重新签名生成的计算的单元。可以为这个单元或代理提供数字安全特征以保护单元免受恶意使用，例如滥用重新签名密钥。尽管将参考委托方和被委托方密钥和签名描述示范性方案，但是将要理解，也可以在涉及将一个签名转换成另一个签名以及涉及基于属性的签名方案的不同情况下使用本文中所描述的变换和算法。

基于属性的签名方案（ABSS）可以包括以下算法：1）设置；2）密钥生成；3）签名和4）验证。基于属性的代理重新签名方案（ABPRSS）通过增加两种算法来扩展性能：

1）重新生成密钥（Re-KeyGeneration）和2）重新签名（Re-Sign）。以下给出了这些算法的每种的简要描述：

设置:设置算法在初始化阶段期间配置系统参数并输出公共参数PK和主密钥MK。

密钥生成(MK,ω):密钥生成算法以用户拥有的属性集ω和主密钥MK作为输入，其输出用户私有密钥SK_ω。

重新生成密钥(SK_ω):重新生成密钥算法，作为范例，以与属性集ω相关联的用户的密钥SK_ω作为输入，并输出重新签名密钥，该重新签名密钥可用于将来自实体“A”的签名转换为实体“B”的签名。

签名(SK_{ω被委托方},RSK_被委托方,m):由被委托方运行这种算法以生成第一级的签名。其将与属性集ω_被委托方相关联的SK_{ω被委托方}，任选地还有重新签名密钥RSK和消息m作为输入。

重新签名(RSK_代理,σ_被委托方):其可以由半信任代理运行。其将与属性集ω_委托方相关联的重新签名密钥，和被委托方的签名即σ_被委托方，作为输入。其输出委托方的签名，即σ_委托方。

验证(σ_委托方,PK):由验证器运行这种算法。该算法将消息m、公共密钥PK和签名σ_委托方作为输入。如果签名σ_委托方是有效签名，则算法返回1，否则该算法返回错误符号

在下文中，描述了两个实施例，称为“第一方案”和“第二方案”。这些实施例使用了ABPRSS方案的两个不同范例。在第一方案中，将与属性集“ω（委托方拥有）”相关联的重新签名密钥分成两个成分，一个用于被委托方，另一个用于半信任代理，使得它们中的任何一个都不能生成用于委托方的签名。在第二方案中，重新签名密钥仅给予半信任代理，同时被委托方利用他或她所拥有的与属性集“ω（为被委托方所拥有）”相关联的私有密钥进行签署。在第二方案中，在被委托方和委托方之间不需要交互，被委托方不需要存储额外的重新签名密钥以代表委托方签名。如果被委托方（实体“B”）希望将其签名转换为委托方（实体“A”）的，那么实体“B”可以生成第一级签名，使其可以由半信任代理转换。

将要理解，第一方案和第二方案仅代表本文中所描述的种类的系统和方法可能的实现方式的范例。修改这些方案是可能的。例如，本领域的技术人员可以使用下文中描述的算法来实现参考图1所述的系统的不同单元，或者进一步定义参考图2所述的方法步骤。

在第一方案中，将重新签名密钥RSK的第一部分给予实体A（被委托方），并且将重新签名密钥RSK的第二部分给予代理。仅在实体A（被委托方）首先签署消息时，才可以由半信任代理生成有效签名。在这种情况下，被委托方不得不存储额外的密钥，即重新签名密钥RSK的部分。

在第二方案中，被委托方利用与被委托方拥有的属性集ω_被委托方相关联的私有密钥SK_{ω被委托方}生成第一级签名σ_被委托方。被委托方和委托方之间不需要交互。如果被委托方希望将其签名转换成实体A（委托方）的签名，那么被委托方的签名包括几个额外成分。这些额外成分使得代理能够将签名σ_被委托方转换成实体A（委托方）的签名σ_委托方。

图3提供了基于属性的代理重新签名方案的功能图。在步骤301中，实体“A”使用重新生成密钥算法生成重新签名密钥RSK。RSK可以包括两个部分：一个用于代理，另一个用于实体“B”。在第一种设计方案中是这种情况。在上述第二方案中，它包括用于代理的一个部分。在步骤302和303中，分别向代理“P”和实体“B”发送重新签名密钥，即RSK_代理和RSK_被委托方。在步骤304，实体“B”利用RSK_被委托方（在第一方案中）或SK_被委托方（在第二方案中）生成他或她的签名。在步骤305中，实体“B”向代理“P”发送步骤4的输出。在步骤306中，半信任代理将从实体“B”的接收到的签名转换成实体“A”的签名。在步骤307中，代理“P”向验证器“V”（或所签署的消息的接收者）发送代表实体“A”生成的签名。在步骤308中，验证器“V”确认签名是否来自实体“A”并且是通过与正确属性集相关的密钥签署的。

在第一方案中，用户属性是Z_p的元，并且假设最多有k个属性。在实践中，可以使用无碰撞散列函数将属性串映射到Z_p的元。该方案包括四种算法：

·设置.设置算法选择素数阶（prime order）p的双线性群G₀和随机生成器g和h。其还选择双线性映射e:G₀×G₀→G₁,其中G₁是目标群。此外，所述设置随机地拾取t,y,x₁,x₂,…,x_k∈Z_p,对于一组属性Ω={a₁,a₂,...,a_k},其针对(1≤j≤k)设置

和

公共密钥PK和主密钥MK包括以下部分：

$\mathrm{PK}=(g,h,\{T_j{\}}_{j=1}^k,\left\{{T_j}^{\′}{\}}_{j=1}^k\right)$

$\mathrm{MK}=\left({\left\{x_j\right\}}_{j=1}^k\right)$

·密钥生成(MK,ω).密钥生成算法输出与属性集ω相关联的用户私有密钥。该算法拾取随机元

(其中x对于每个用户是唯一的)。私有密钥SK_ω包括以下部分：

${\mathrm{SK}}_{\mathrm{\ω}}=({\{S_j^{\left(1\right)}=g^{\frac{x}{x_j}}\}}_{a_j\∈\mathrm{\ω}}$

$S^{\left(2\right)}=g^x).$

·密钥重新生成(SK_ω).由委托方运行这种算法。重新密钥生成算法输出重新签名密钥，重新签名密钥可以由代理和被委托方使用以代表委托方签名。该算法拾取随机元d∈Z_p并将它们分成两个部分d₁,d₂，使得d=d₁+d₂。重新签名密钥RSK_ω包括以下两个部分，一个用于被委托方，另一个用于代理：

·签名(RSK_被委托方,m).由被委托方运行这种算法以签署消息m∈G₀。该算法选择随机元

并计算签名σ_被委托方，其包括以下成分：

${\mathrm{\σ}}_{\mathrm{dee}}^{\left(2\right)}=g^{{\mathrm{xd}}_1/s^{\′}})$

${\mathrm{\σ}}_{\mathrm{dee}}^{\left(3\right)}=g^{{\mathrm{ds}}^{\′}})$

${\mathrm{\σ}}_{\mathrm{dee}}^{\left(4\right)}=g^{s^{\′}})$

·重新签名(RSK_代理,σ_被委托方,m).由代理运行这种算法。在产生第二级（或最后签名）之前，代理通过以下方式验证被委托方产生的签名：

$I^{\left(1\right)}=e({\mathrm{\σ}}_{j_{\mathrm{dee}}}^{\left(1\right)},{\left\{T_j\right\}}_{j=1}^k)=e{(g,g)}^{{\mathrm{xd}}_1}\·e{(g,h)}^{{\mathrm{ds}}^{\′}{\mathrm{mx}}_j}:{\∀a}_j\∈w$

$I^{\left(2\right)}=e({\mathrm{\σ}}_{\mathrm{dee}}^{\left(2\right)},{\mathrm{\σ}}_{\mathrm{dee}}^{\left(4\right)})\·e({\left({\mathrm{\σ}}_{\mathrm{dee}}^{\left(3\right)}\right)}^m,{\left\{{T_j}^{\′}\right\}}_{j=1}^k)=e{(g,g)}^{{\mathrm{xd}}_1}\·e{(g,h)}^{{\mathrm{ds}}^{\′}{\mathrm{mx}}_j}:{\∀a}_j\∈w$

现在，如果I⁽¹⁾=I⁽²⁾，那么代理可以继续转换被委托方产生的签名以产生第二级（或最后）签名。该算法选择随机元

并产生第二级签名：

${\mathrm{\σ}}_p^{\left(2\right)}={\left({\mathrm{\σ}}_{\mathrm{dee}}^{\left(3\right)}\right)}^r=g^{{\mathrm{ds}}^{\′}r}$

${\mathrm{\σ}}_p^{\left(3\right)}=g^{\mathrm{xdr}}).$

·验证(σ_代理,PK).如果以下方程成立，那么接受该签名：

$e({\mathrm{\σ}}_{j_p}^{\left(1\right)},{\left\{T_j\right\}}_{j=1}^k)=e({\mathrm{\σ}}_p^{\left(3\right)},g).e({\left\{{T_j}^{\′}\right\}}_{j=1}^k,{\left({\mathrm{\σ}}_p^{\left(2\right)}\right)}^m)$

$e({\{g^{\frac{x}{x_j}\mathrm{dr}}\·h^{{\mathrm{ds}}^{\′}\mathrm{mr}}\}}_{a_j\∈\mathrm{\ω}},{\left\{T_j\right\}}_{j=1}^k)=e(g^{\mathrm{xdr}},g)\·e({\left(g^{{\mathrm{ds}}^{\′}r}\right)}^m,{\left\{{T_j}^{\′}\right\}}_{j=1}^k)$

${e(g,g)}^{\mathrm{xdr}}\·{e(g,h)}^{{\mathrm{drs}}^{\′}{\mathrm{mx}}_j}={e(g,g)}^{\mathrm{xdr}}\·{e(g,h)}^{{\mathrm{drs}}^{\′}{\mathrm{mx}}_j}:{\∀a}_j\∈\mathrm{\ω}$

在下文中，给出了基于属性的代理重新签名系统的第二实施例的描述。该系统包括以下算法的实现方式。

·设置.设置算法选择素数阶p的双线性群G₀和随机发生器g和h。其还选择双线性映射e:G₀×G₀→G₁。除此之外，该设置还随机拾取x₁,x₂,…,x_k∈Z_p,对于一组属性Ω={a₁,a₂,...,a_k},其设置

和

公共密钥PK和主密钥MK包括以下部分：

$\mathrm{PK}=(g,h,\{T_j{\}}_{j=1}^k,\left\{{T_j}^{\′}{\}}_{j=1}^k\right)$

$\mathrm{MK}=\left({\left\{x_j\right\}}_{j=1}^k\right)$

·密钥生成(MK,ω).密钥生成算法输出与属性集ω相关联的用户私有密钥。该算法拾取随机元

使得x=tq(其中x,t和q对于每个用户是唯一的)。私有密钥SK_ω包括以下部分：

${\mathrm{SK}}_{\mathrm{\ω}}=({\{S_j^{\left(1\right)}=g^{\frac{x}{x_j}}\}}_{a_j\∈\mathrm{\ω}}$

$S^{\left(2\right)}=g^x,{\{S^{\left(3\right)}=g^{\frac{t}{x_j}}\}}_{a_j\∈\mathrm{\ω}},S^{\left(4\right)}=g^q).$

·密钥重新生成密钥重新生成算法输出重新签名密钥，重新签名密钥可以由代理使用以将来自被委托方的签名变换成委托方的签名。该算法拾取随机元d∈Z_p。重新签名密钥RSK_ω包括以下两个部分：

RSK⁽²⁾=(S⁽²⁾)^d=g^xd).

·签名

由被委托方运行这种算法以签署消息m∈G₀。该算法选择随机元

并利用其自己的私密密钥计算签名σ_受委托方。签名σ_受委托方也可以称为σ_dee，包括以下部分：

${\mathrm{\σ}}_{\mathrm{dee}}=\left(\right\{{\mathrm{\σ}}_{j_{\mathrm{dee}}}^{\left(1\right)}=g^{\frac{x}{x_j}{s}^{\′}}\·h^{s^{\′}m}{\}}_{a_j\∈{\mathrm{\ω}}_{\mathrm{dee}}})$

${\mathrm{\σ}}_{\mathrm{dee}}^{\left(2\right)}=g^{s^{\′}},{\mathrm{\σ}}_{\mathrm{dee}}^{\left(3\right)}=g^{{\mathrm{xs}}^{\′}}$

${\mathrm{\σ}}_{\mathrm{dee}}^{\left(4\right)}=g^{\frac{{-s}^{\′}t}{x_j}}{\}}_{a_j{\∈\mathrm{\ω}}_{\mathrm{dee}}},{\mathrm{\σ}}_{\mathrm{dee}}^{\left(5\right)}=g^{{\mathrm{qs}}^{\′}}).$

·重新签名(RSK,σ_受委托方,m).由代理运行这种算法。该算法选择随机元并将被委托方的签名转换成委托方的签名。在转换签名之前，代理可以验证其是否确实是来自相应被委托方的有效签名。验证通过以下方式进行：

$I^{\left(1\right)}=e({\mathrm{\σ}}_{j_{\mathrm{dee}}}^{\left(1\right)},{\left\{T_1\right\}}_{j=1}^k)={e(g,g)}^{{\mathrm{xs}}^{\′}}\·{e(g,h)}^{s^{\′}{\mathrm{mx}}_j}:{\∀a}_j\∈{\mathrm{\ω}}_{\mathrm{dee}}$

$I^{\left(2\right)}=e({\mathrm{\σ}}_{\mathrm{dee}}^{\left(3\right)},g)\·e({\left({\mathrm{\σ}}_{\mathrm{dee}}^{\left(2\right)}\right)}^m,{\left\{{T_j}^{\′}\right\}}_{j=1}^k)={e(g,g)}^{{\mathrm{xs}}^{\′}}\·{e(g,h)}^{s^{\′}{\mathrm{mx}}_j}:{\∀a}_j\∈{\mathrm{\ω}}_{\mathrm{dee}}$

现在，如果I⁽¹⁾=I⁽²⁾，那么验证成功，并且之后代理继续生成第二级（或最后）签名。第二级签名的生成包括以下步骤：

-在第一步骤中，其计算以下内容：

$Z^{\left(1\right)}=e({\mathrm{\σ}}_{j_{\mathrm{dee}}}^{\left(1\right)},g)=e(g^{\frac{x}{x_j}{s}^{\′}}\·h^{s^{\′}m},g)={e(g,g)}^{\frac{{\mathrm{xs}}^{\′}}{x_j}}\·{e(g,h)}^{{\mathrm{ms}}^{\′}}:{\∀a}_j\∈{\mathrm{\ω}}_{\mathrm{dee}}$

-在第二步骤中，其计算以下内容：

$Z^{\left(2\right)}=Z^{\left(1\right)}\·e({\mathrm{\σ}}_{\mathrm{dee}}^{\left(4\right)},{\mathrm{\σ}}_{\mathrm{dee}}^{\left(5\right)})={e(g,g)}^{\frac{{\mathrm{xs}}^{\′}}{x_j}}\·{e(g,h)}^{{\mathrm{ms}}^{\′}}\·e(g^{\frac{{-s}^{\′}t}{x_j}},g^{{\mathrm{qs}}^{\′}}):{\∀a}_j\∈{\mathrm{\ω}}_{\mathrm{dee}}$

${=e(g,g)}^{\frac{{\mathrm{xs}}^{\′}}{x_j}}\·{e(g,h)}^{{\mathrm{ms}}^{\′}}\·{e(g,g)}^{\frac{{-s}^{\′}\mathrm{tq}}{x_j}}:{\∀a}_j\∈{\mathrm{\ω}}_{\mathrm{dee}}$

${=e(g,g)}^{\frac{{\mathrm{xs}}^{\′}}{x_j}}\·{e(g,h)}^{{\mathrm{ms}}^{\′}}\·{e(g,g)}^{\frac{{-s}^{\′}x}{x_j}}={e(h,g{)}^{\mathrm{ms}}}^{\′},{\∀a}_j\∈{\mathrm{\ω}}_{\mathrm{dee}}.$

-在第三步骤中，其计算以下内容：

c=H((Z⁽²⁾),g^r)=H(e(h,g)^ms′,g^r),

其中"H"是散列函数。

-在第四步骤中，其计算以下内容：

${\mathrm{\σ}}_{j_p}^{\left(1\right)}={\{g^{\frac{\mathrm{xdr}}{x_j}}\·h^{\mathrm{cr}}\}}_{a_j\∈\mathrm{\ω}}$

${\mathrm{\σ}}_p^{\left(2\right)}=g^r,{\mathrm{\σ}}_p^{\left(3\right)}={\mathrm{\σ}}_{\mathrm{dee}}^{\left(2\right)}=g^{s^{\′}}$

${\mathrm{\σ}}_p^{\left(4\right)}={\left({\mathrm{RSK}}^{\left(2\right)}\right)}^r=g^{\mathrm{xdr}}.$

-在最终步骤中，其输出签名：

·验证(σ_代理,PK).为了验证转换的签名，验证器可以执行以下步骤：

-在第一步骤中，它计算以下内容：

$c^{\′}=H(e({\mathrm{\σ}}_p^{\left(3\right)},h^m),{\mathrm{\σ}}_p^{\left(2\right)})=H(e(g^{s^{\′}},h^m),g^r).$

-在第二步骤中，如果成立以下条件，它接受签名：

$e({\mathrm{\σ}}_{j_p}^{\left(1\right)},{\left\{T_j\right\}}_{j=1}^k)=e({\mathrm{\σ}}_p^{\left(4\right)},g)e({\mathrm{\σ}}_p^{\left(2\right)},{\left\{{T_j}^{\′}\right\}}_{j=1}^k)$

$e(g^{\frac{\mathrm{xdr}}{x_j}}\·h^{\mathrm{cr}},g^{x_j})=e(g^{\mathrm{xdr}},g)\·e(g^{{\mathrm{rc}}^{\′}},h^{x_j}):{\∀a}_j\∈w$

$e{(g,g)}^{\left(\frac{\mathrm{xdr}}{x_j}\right)\·x_j}\·{e(h,g)}^{{\mathrm{crx}}_j}={e\left(\text{g,g}\right)}^{\mathrm{xdr}}\·{e(g,h)}^{c^{\′}{\mathrm{rx}}_j}:{\∀a}_j\∈w$

${e(g,g)}^{\mathrm{xdr}}\·{e(h,g)}^{{\mathrm{crx}}_j}={e(g,g)}^{\mathrm{xdr}}\·{e(g,h)}^{c^{\′}{\mathrm{rx}}_j}:{\∀a}_j\∈w$

将要理解，以上在第一和第二实施例中描述的算法，可以应用于参考图1描述的系统的实施例和参考图2描述的方法实施例中。

将要理解，本发明还适用于适于将本发明付诸实践的计算机程序，尤其是载体上或载体中的计算机程序。所述程序的形式可以是源代码、目标代码、源代码和目标代码中间的代码，例如部分编译的形式，或者适于实现根据本发明的方法的任何其他形式。还将理解，这样的程序可能具有很多不同的架构设计。例如，实现根据本发明的方法或系统的功能的程序代码可以细分成一个或多个子例程。对于技术人员而言，在这些子例程之间分配功能的很多不同方式将是显而易见的。可以将子例程一起存储在一个可执行文件中以形成自包含的程序。这样的可执行文件可以包括计算机可执行指令，例如，处理器指令和/或解释器指令（例如Java解释器指令）。替代地，可以在至少一个外部库文件中存储一个或多个或所有子例程并且，将其与主程序静态或动态地链接，例如在运行中。主程序包含至少一个对至少一个子例程的调用。子例程还可以包括对彼此的函数调用。涉及计算机程序产品的实施例包括与本文中所述方法中的至少一个的每个处理步骤相对应的计算机可执行指令。可以将这些指令细分成子例程和/或存储在可以静态或动态链接的一个或多个文件中。涉及计算机程序产品的另一实施例包括与本文中所述的系统和/或产品中的至少一个的每个模块相对应的计算机可执行指令。可以将这些指令细分成子例程和/或存储在可以静态或动态链接的一个或多个文件中。

计算机程序的载体可以是能够承载程序的任何实体或设备。例如，载体可以包括存储介质，例如ROM，例如CD ROM或半导体ROM，或磁记录介质，例如硬盘。此外，载体可以是可传输载体，例如电信号或光信号，可以经由电缆或光缆或通过无线电或其他手段传输它们。当程序实现于这种信号中时，载体可以由这样的电缆或其他设备或器件构成。替代地，载体可以是其中嵌入了程序的集成电路，该集成电路适于执行相关方法或在执行相关方法时使用。

应当指出，上述实施例例示而非限制本发明，本领域的技术人员将能够在不偏离所附权利要求的范围的情况下设计很多替代性实施例。在权利要求中，置于括号之间的任何附图标记都不应被解释为限制权利要求。动词“包括”及其结合的使用并不排除存在权利要求中所述那些之外的元件或步骤。元件前的冠词“一”并不排除存在多个这样的元件。可以利用包括若干不同元件的硬件以及利用适当编程的计算机来实现本发明。在枚举了若干模块的装置权利要求中，可以由同一件硬件实现这些模块中的几个。在互不相同的从属权利要求中记载了特定措施这一仅有事实并不表示不能有利地组合这些措施。

Claims (11)

1.一种基于属性的数字签名系统，包括：

第一签名生成单元（1），其用于基于第一签名密钥（12）和文档（11）针对所述文档（11）生成第一签名（10）；以及

重新签名单元（2），其被布置为基于所述第一签名（10）和重新签名密钥（14）针对所述文档（11）生成第二签名（13），其中，所述重新签名单元（2）被布置为处理与所述第一签名（10）和/或所述第二签名（13）相关联的属性（15，16）。

2.根据权利要求1所述的系统，其中，所述第二签名（13）与所述重新签名密钥（14）确定的第二组属性（16）相关联，其中，所述第二组属性（16）包括多个属性。

3.根据权利要求1或2所述的系统，其中，所述第一签名（10）与第一组属性（15）相关联，其中，所述第一组属性（15）包括多个属性，并且所述重新签名单元（2）被布置为仅在所述第一组属性（15）满足一组条件（17，17'）时才生成所述第二签名（13）。

4.根据权利要求2所述的系统，还包括重新签名密钥生成器（3），所述重新签名密钥生成器（3）用于基于与所述第二组属性（16'）相关联的第二签名密钥（18）生成所述重新签名密钥（14），其中，所述重新签名密钥（14）使得所述重新签名单元（2）能够将所述第一签名（10）转换成与所述第二组属性（16）相关联的第二签名（13），并且其中，所述第二签名密钥（18）使得第二签名生成单元（4）能够基于所述文档（11）生成与所述第二组属性（16''）相关联的签名（19）。

5.根据权利要求4所述的系统，其中，所述重新签名密钥生成器（3）被布置为基于所述第二签名密钥（18）进一步生成所述第一签名密钥（12），其中，所述第一签名密钥（12）和所述重新签名密钥（14）作为密钥对而生成，并且所述第一签名密钥（12）被提供给所述第一签名生成单元（1），并且所述重新签名密钥（14）被提供给所述重新签名单元（2）。

6.根据权利要求3所述的系统，包括重新签名密钥生成器（3），所述重新签名密钥生成器（3）被布置为根据所述一组条件（17''）生成所述重新签名密钥（14），其中，所述重新签名密钥（14）使得所述重新签名单元（2）能够将与满足所述一组条件（17''）的任何一组属性相关联的第一签名（10）转换成所述第二签名（13）。

7.根据权利要求3所述的系统，其中，所述重新签名单元（2）被布置为使用公共密钥（20）验证所述第一签名（10）是否与满足一组条件（17'）的第一组属性（15）相关联，并且被布置为仅在所述第一签名（10）与满足所述一组条件（17'）的一组属性（15）相关联的情况下生成所述第二签名（13）。

8.根据权利要求1所述的系统，还包括委托单元（5），所述委托单元（5）用于使得拥有所述第二组属性（16'）的用户能够通过向所述重新签名单元（2）提供所述重新签名密钥（14），将他的用与所述第二组属性（16）相关联的签名签署文档（11）的授权委托给另一用户。

9.一种工作站，其包括根据权利要求1所述的系统。

10.一种基于属性的数字签名生成的方法，包括：

基于第一签名密钥和文档针对所述文档生成（201）第一签名；以及

基于所述第一签名和重新签名密钥针对所述文档生成（202）第二签名，包括处理与所述第一签名和/或第二签名相关联的属性。

11.一种计算机程序产品，包括用于令处理器系统执行根据权利要求10所述的方法的指令。

Images