CN103348624A - 签名处理系统、密钥生成装置、签名装置、验证装置、签名处理方法以及签名处理程序 - Google Patents
签名处理系统、密钥生成装置、签名装置、验证装置、签名处理方法以及签名处理程序 Download PDFInfo
- Publication number
- CN103348624A CN103348624A CN2011800659418A CN201180065941A CN103348624A CN 103348624 A CN103348624 A CN 103348624A CN 2011800659418 A CN2011800659418 A CN 2011800659418A CN 201180065941 A CN201180065941 A CN 201180065941A CN 103348624 A CN103348624 A CN 103348624A
- Authority
- CN
- China
- Prior art keywords
- key
- key element
- signature
- integer
- generates
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 title claims description 108
- 238000003672 processing method Methods 0.000 title claims description 6
- 238000012795 verification Methods 0.000 title 1
- 239000000758 substrate Substances 0.000 claims description 145
- 239000011159 matrix material Substances 0.000 claims description 107
- 238000000034 method Methods 0.000 claims description 40
- 238000004364 calculation method Methods 0.000 claims description 27
- 230000009471 action Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 18
- 230000008676 import Effects 0.000 claims description 15
- 238000004519 manufacturing process Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000009826 distribution Methods 0.000 abstract description 17
- 238000013461 design Methods 0.000 abstract description 9
- 230000014509 gene expression Effects 0.000 description 58
- 230000006870 function Effects 0.000 description 44
- 238000003860 storage Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 22
- 239000003643 water by type Substances 0.000 description 17
- 239000000047 product Substances 0.000 description 15
- 238000013507 mapping Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 230000009466 transformation Effects 0.000 description 8
- 230000009977 dual effect Effects 0.000 description 5
- 239000006185 dispersion Substances 0.000 description 3
- UREZNYTWGJKWBI-UHFFFAOYSA-M benzethonium chloride Chemical compound [Cl-].C1=CC(C(C)(C)CC(C)(C)C)=CC=C1OCCOCC[N+](C)(C)CC1=CC=CC=C1 UREZNYTWGJKWBI-UHFFFAOYSA-M 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003121 nonmonotonic effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Algebra (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Collating Specific Patterns (AREA)
- Complex Calculations (AREA)
Abstract
目的在于提供一种设计的自由度高的支持非单调谓词的基于属性的签名方式。通过在非单调张成方案中应用属性矢量的内积,构成了访问架构。该访问架构在张成方案的设计和属性矢量的设计上具有自由度,在访问控制的设计中具有高的自由度。而且,通过对该访问架构使用秘密分散的概念,实现了支持非单调谓词的基于属性的签名方式。
Description
技术领域
本发明涉及基于属性的签名(Attribute-Based Signatures,ABS)方式。
背景技术
在非专利文献26、29、30、34-37、45、51中,存在与基于属性的签名方式有关的记载。特别是,在非专利文献36、37中,存在关于支持单调谓词的基于属性的签名方式的记载。
非专利文献1:Beimel,A.,Secure schemes for secret sharingand key distribution.PhD Thesis,Israel Institute of Tech-nology,Technion,Haifa,Israel,1996.
非专利文献2:Belenkiy,M.,Camenisch,J.,Chase,M.,Kohlweiss,M.,Lysyanskaya,A.and Shacham,H.:Randomizable proofs and delegatable anonymous credentials.CRYPTO2009.LNCS,Springer Heidelberg(2009)
非专利文献3:Belenkiy,M.,Chase,M.,Kohlweiss,M.and Lysyanskaya,A.:P-signatures and noninteractive anonymouscredentials.TCC2008,LNCS,Springer Heidelberg(2008)
非专利文献4:Bethencourt,J.,Sahai,A.,Waters,B.:Ciphertext-policy attribute-based encryption.In:2007IEEESym-posium on Security and Privacy,pp.321.334.IEEE Press(2007)
非专利文献5:Boneh,D.,Boyen,X.:Efficient selective-IDsecure identity based encryption without random oracles.In:Cachin,C.,Camenisch,J.(eds.)EUROCRYPT2004.LNCS,vol.3027,pp.223.238.Springer Heidelberg(2004)
非专利文献6:Boneh,D.,Boyen,X.:Secure identity basedencryption without random oracles.In:Franklin,M.K.(ed.)CRYPTO2004.LNCS,vol.3152,pp.443.459.Springer Heidelberg(2004)
非专利文献7:Boneh,D.,Boyen,X.,Goh,E.:Hierarchicalidentity based encryption with constant size ciphertext.In:Cramer,R.(ed.)EUROCRYPT2005.LNCS,vol.3494,pp.440.456.SpringerHeidelberg(2005)
非专利文献8:Boneh,D.,Franklin,M.:Identity-basedencryption from the Weil pairing.In:Kilian,J.(ed.)CRYPTO2001.LNCS,vol.2139,pp.213.229.Springer Heidelberg(2001)
非专利文献9:Boneh,D.,Hamburg,M.:Generalizedidentity based and broadcast encryption scheme.In:Pieprzyk,J.(ed.)ASIACRYPT2008.LNCS,vol.5350,pp.455.470.SpringerHeidelberg(2008)
非专利文献10:Boneh,D.,Katz,J.,Improved efficiencyfor CCA-secure cryptosystems built using identity based encryp-tion.RSA-CT2005,LNCS,Springer Verlag(2005)
非专利文献11:Boneh,D.,Waters,B.:Conjunctive,subset,and range queries on encrypted data.In:Vadhan,S.P.(ed.)TCC2007.LNCS,vol.4392,pp.535.554.Springer Heidelberg(2007)
非专利文献12:X.Boyen:Mesh signatures.EUROCRYPT,LNCS,vol.4515,pp.210.227.Springer(2007).
非专利文献13:Boyen,X.,Waters,B.:Anonymoushierarchical identity-based encryption(without random oracles).In:Dwork,C.(ed.)CRYPTO2006.LNCS,vol.4117,pp.290.307.Springer Heidelberg(2006)
非专利文献14:Camenisch,J.and Gross,T.:Efficientattributes for anonymous credentials.CCS2008.
非专利文献15:Camenisch,J.and Lysyanskaya,A.:Anefficient system for non-transferable anonymous credentials withoptinal anonymity revocation.Eurocrypt2001.
非专利文献16:Camenisch,J.and Lysyanskaya,A.:Signature schemes and anonymous credentials from bilinear maps.Crypto2004.
非专利文献17:Canetti,R.,Halevi S.,Katz J.,Chosen-ciphertext security from identity-based encryption.EUROCRYPT2004,LNCS,Springer-Verlag(2004)
非专利文献18:Chaum,D.:Security without identification:Transaction systems to make big brother obsolete.CACM(1985).
非专利文献19:D.Chaum and E.van Heyst:Group signatures.In proceedings of EUROCRYPT’91,LNCS,vol.547,pp.257.265(1991).
非专利文献20:Cocks,C.:An identity based encryptionscheme based on quadratic residues.In:Honary,B.(ed.)IMA Int.Conf.LNCS,vol.2260,pp.360.363.Springer Heidelberg(2001)
非专利文献21:Gentry,C.:Practical identity-based encryptionwithout random oracles.In:Vaudenay,S.(ed.)EURO-CRYPT2006.LNCS,vol.4004,pp.445.464.Springer Heidelberg(2006)
非专利文献22:Gentry,C.,Halevi,S.:Hierarchicalidentity-based encryption with polynomially many levels.In:Reingold,O.(ed.)TCC2009.LNCS,vol.5444,pp.437.456.Springer Heidelberg(2009)
非专利文献23:Gentry,C.,Silverberg,A.:HierarchicalID-based cryptography.In:Zheng,Y.(ed.)ASIACRYPT2002.LNCS,vol.2501,pp.548.566.Springer Heidelberg(2002)
非专利文献24:Goyal,V.,Pandey,O.,Sahai,A.,Waters,B.:Attribute-based encryption for fine-grained access control ofencrypted data.In:ACM Conference on Computer andCommunication Security2006,pp.89.98,ACM(2006)
非专利文献25:Groth,J.,Sahai,A.:Efficientnon-interactive proof systems for bilinear groups.In:Smart,N.P.(ed.)EUROCRYPT2008.LNCS,vol.4965,pp.415.432.SpringerHeidelberg(2008)
非专利文献26:S.Guo and Y.Zeng:Attribute-based SignatureScheme,In ISA’08,pp.509.511(2008).
非专利文献27:Horwitz,J.,Lynn,B.:Towards hierarchicalidentity-based encryption.In:Knudsen,L.R.(ed.)EURO-CRYPT2002.LNCS,vol.2332,pp.466.481.Springer Heidelberg(2002)
非专利文献28:Katz,J.,Sahai,A.,Waters,B.:Predicateencryption supporting disjunctions,polynomial equations,andinner products.In:Smart,N.P.(ed.)EUROCRYPT2008.LNCS,vol.4965,pp.146.162.Springer Heidel-berg(2008)
非专利文献29:D.Khader:Attribute Based Group Signatures,Cryptology ePrint Archive,Report2007/159(2007).http://eprint.iacr.org/2007/159.
非专利文献30:D.Khader:Attribute Based Group Signaturewith Revocation.Cryptology ePrint Archive,Report2007/241,(2007).http://eprint.iacr.org/2007/241.
非专利文献31:Lewko,A.,Okamoto,T.,Sahai,A.,Takashima,K.and Waters,B.:Fully Secure FunctionalEncryption:Attribute-Based Encryption and(Hierarchical)InnerProduct Encryption,EUROCRYPT2010.LNCS,SpringerHeidelberg(2010)
非专利文献32:Lewko,A.B.,Waters,B.:Fully secure HIBEwith short ciphertexts.ePrint,IACR,http://eprint.iacr.org/2009/482
非专利文献33:Lewko,A.B.,Waters,B.:DecentralizingAttribute-Based Encryption,ePrint,IACR,http://eprint.iacr.org/2010/351.
非专利文献34:Jin Li,Man Ho Au,Willy Susilo,DongqingXie,Kui Ren:Attribute-based Signature and its Application,ASIACCS’2010,ACM(2010)
非专利文献35:J.Li and K.Kim:Attribute-based ringsignatures.2008.Available at http://eprint.iacr.org/2008/394.Toappear in Journal of Information Sciences.
非专利文献36:Maji,H.,Prabhakaran,M.,Rosulek,M.:Attribute-Based Signatures:Achieving Attribute-Privacy andCollusion-Resistance.ePrint,IACR,http://eprint.iacr.org/2008/328
非专利文献37:Maji,H.,Prabhakaran,M.,Rosulek,M.:Attribute-Based Signatures.http://www.cs.uiuc.edu/mmp/research.html
非专利文献38:Okamoto,T.,Takashima,K.:Homomorphicencryption and signatures from vector decomposition.In:Galbraith,S.D.,Paterson,K.G.(eds.)Pairing2008.LNCS,vol.5209,pp.57.74.Springer Heidelberg(2008)
非专利文献39:Okamoto,T.,Takashima,K.:Hierarchicalpredicate encryption for Inner-Products,In:ASIACRYPT2009,Springer Heidelberg(2009)
非专利文献40:Okamoto,T.,Takashima,K.:Fully SecureFunctional Encryption with General Relations from the Deci-sionalLinear Assumption,In:CRYPTO2010,Springer Heidelberg(2010)
非专利文献41:Ostrovsky,R.,Sahai,A.,Waters,B.:Attribute-based encryption with non-monotonic access structures.In:ACM Conference on Computer and Communication Security2007,pp.195.203,ACM(2007)
非专利文献42:Pirretti,M.,Traynor,P.,McDaniel,P.,Waters,B.:Secure attribute-based systems.In:ACM Conferenceon Computer and Communication Security2006,pp.99.112,ACM,(2006)
非专利文献43:Pirretti,M.,Traynor,P.,McDaniel,P.,Waters,B.:Secure attribute-based systems.In:ACM Conferenceon Computer and Communication Security2006,pp.99.112,ACM,(2006)
非专利文献44:Sahai,A.,Waters,B.:Fuzzy identity-basedencryption.In:Cramer,R.(ed.)EUROCRYPT2005.LNCS,vol.3494,pp.457.473.Springer Heidelberg(2005)
非专利文献45:S.F.Shahandashti and R.Safavi-Naini:Threshold attribute-based signatures and their application toanonymous credential systems.In AFRICACRYPT’09,pp.198.216(2009).
非专利文献46:A.Shamir:Identity-based cryptosystems andsignature schemes.In CRYPTO’84,pp.47.53(1984).
非专利文献47:Shi,E.,Waters,B.:Delegating capabilityin predicate encryption systems.In:Aceto,L.,Damg°ard,I.,Goldberg,L.A.,Halldorsson,M.M.,Ingolfsdottir,A.,Walukiewicz,I.(eds.)ICALP(2)2008.LNCS,vol.5126,pp.560.578.Springer Heidelberg(2008)
非专利文献48:Shi,E.,Waters,B.:Delegating capabilityin predicate encryption systems.In:Aceto,L.,Damg°ard,I.,Goldberg,L.A.,Halldorsson,M.M.,Ingolfsdottir,A.,Walukiewicz,I.(eds.)ICALP(2)2008.LNCS,vol.5126,pp.560.578.Springer Heidelberg(2008)
非专利文献49:Waters,B.:Ciphertext-policy attribute-basedencryption:an expressive,efficient,and provably securerealization.ePrint,IACR,http://eprint.iacr.org/2008/290
非专利文献50:Waters,B.:Dual system encryption:Realizingfully secure IBE and HIBE under simple assumptions.In:Halevi,S.(ed.)CRYPTO2009.LNCS,vol.5677,pp.619.636.SpringerHeidelberg(2009)
非专利文献51:Waters,B.:Dual system encryption:Realizingfully secure IBE and HIBE under simple assumptions.In:Halevi,S.(ed.)CRYPTO2009.LNCS,vol.5677,pp.619.636.SpringerHeidelberg(2009)
发明内容
发明要解决的问题
在以往的基于属性的签名方式中,不支持非单调谓词。
本发明的目的在于,提供一种支持非单调谓词的基于属性的签名方式。
用于解决问题的方案
本发明所涉及的签名处理系统具备密钥生成装置、签名装置以及验证装置,使用关于t=0,···,d+1(d是1以上的整数)的各整数t的基底Bt和基底B*t来执行签名处理,该签名处理系统的特征在于,
所述密钥生成装置具备:
第一信息输入部,针对t=1,···,d的至少一个以上的整数t,输入包含识别信息t和属性信息xt的属性集合Γ;
密钥要素0生成部,生成作为基底B*0的基底矢量b*0,1的系数设定了规定的值δ的密钥要素k*0;
密钥要素t生成部,针对所述第一信息输入部所输入的属性集合Γ中包含的各识别信息t,生成作为基底B*t的基底矢量b*t,1的系数设定了所述规定的值δ,作为基底矢量b*t,2的系数设定了对属性信息xt乘以所述规定的值δ所得的δxt的密钥要素k*t;
密钥要素d+1生成部,生成作为基底B*d+1的基底矢量b*d+1,1的系数设定了所述规定的值δ的密钥要素k*d+1,1以及作为基底B*d+1的基底矢量b*d+1,2的系数设定了所述规定的值δ的密钥要素k*d+1,2;以及
签名密钥发送部,向所述签名装置发送包含所述密钥要素0生成部所生成的密钥要素k*0、所述密钥要素t生成部所生成的关于所述属性集合Γ中包含的各识别信息t的密钥要素k*t、所述密钥要素d+1生成部所生成的密钥要素k*d+1,1和密钥要素k*d+1,2以及所述属性集合Γ的签名密钥skΓ,
所述签名装置具备:
第二信息输入部,输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,上述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息vi的肯定形的组(t,vi)和否定形的组¬(t,vi)中的任一个;
签名密钥获取部,获取所述签名密钥发送部所发送的签名密钥skΓ;
补充系数计算部,基于所述第二信息输入部所输入的变量ρ(i)和所述签名密钥获取部所获取的签名密钥skΓ中包含的属性集合Γ,确定集合I,并且针对所确定的集合I中包含的i,基于作为所述第二信息输入部所输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,vi)且该组的vi与该组的识别信息t所表示的属性集合Γ中包含的xt相等的i以及变量ρ(i)为否定形的组¬(t,vi)且该组的vi与该组的识别信息t所表示的属性集合Γ中包含的xt不同的i的集合;
签名要素0生成部,生成包含所述签名密钥skΓ中包含的密钥要素k*0的签名要素s*0;
签名要素i生成部,针对i=1,···,L的各整数i,在是所述补充系数计算部所确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,vi)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,vi)的情况下设为值γi:=αi/(vi-xt),在是不包含在所述集合I中的整数i的情况下设为值γi:=0,来生成包含对所述签名密钥skΓ中包含的密钥要素k*t乘以所述值γi所得的γik*t的签名要素s*i;
签名要素L+1生成部,生成包含所述签名密钥skΓ中包含的密钥要素k*d+1,1与对所述密钥要素k*d+1,2乘以使用所述消息m来生成的值m’所得的m’·k*d+1,2之和的签名要素s*L+1;以及
签名数据发送部,向所述验证装置发送包含所述签名要素0生成部所生成的签名要素s*0、所述签名要素i生成部所生成的关于i=1,···,L的各整数i的签名要素s*i、所述签名要素L+1生成部所生成的签名要素s*L+1、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ,
所述验证装置具备:
数据获取部,获取所述签名数据发送部所发送的签名数据σ;
验证要素0生成部,作为基底B0的基底矢量b0,1的系数设定-s0-sL+1来生成验证要素c0,其中,-s0-sL+1是根据使用具有r个要素的矢量f→和所述矢量h→来生成的值s0:=h→·f→T和规定的值sL+1计算的;
验证要素i生成部,使用基于所述矢量f→和所述数据获取部所获取的签名数据σ中包含的矩阵M生成的列矢量s→T:=(s1,···,sL)T:=M·f→T和关于i=1,···,L的各整数i的规定的值θi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,vi)的情况下,作为该组的识别信息t所表示的基底Bt的基底矢量bt,1的系数设定si+θivi,作为基底矢量bt,2的系数设定-θi来生成验证要素ci,在变量ρ(i)是否定形的组¬(t,vi)的情况下,作为该组的识别信息t所表示的基底矢量bt, 1的系数设定sivi,作为基底矢量bt,2的系数设定-si来生成验证要素ci;
验证要素L+1生成部,作为基底Bd+1的基底矢量bd+1,1的系数设定根据所述规定的值sL+1、所述值m’以及规定的值θL+1计算的sL+1-θL+1m’,作为基底矢量bd+1,2的系数设定所述规定的值θL+1来生成验证要素cL+1;以及
配对运算部,针对所述验证要素0生成部所生成的验证要素c0、所述验证要素i生成部所生成的验证要素ci、所述验证要素L+1生成部所生成的验证要素cL+1以及所述签名数据σ中包含的签名要素s*0、s*i、s*L+1,进行配对运算Πi=0 L+1e(ci,s*i),验证所述签名数据σ的正当性。
发明的效果
在本发明所涉及的基于属性的签名方式中,支持非单调谓词。因此,实现了利用范围广的基于属性的签名方式。
附图说明
图1是矩阵M^的说明图。
图2是矩阵Mδ的说明图。
图3是s0的说明图。
图4是s→T的说明图。
图5是执行基于属性的签名方式的签名处理系统10的结构图。
图6是表示密钥生成装置100的功能的功能框图。
图7是表示签名装置200的功能的功能框图。
图8是表示验证装置300的功能的功能框图。
图9是表示Setup算法的处理的流程图。
图10是表示KeyGen算法的处理的流程图。
图11是表示Sig算法的处理的流程图。
图12是表示Ver算法的处理的流程图。
图13是多管理者的说明图。
图14是执行基于分散多管理者属性的签名方式的签名处理系统10的结构图。
图15是表示各密钥生成装置100的功能的功能框图。
图16是表示签名装置200的功能的功能框图。
图17是表示验证装置300的功能的功能框图。
图18是表示GSetup算法的处理的流程图。
图19是表示ASetup算法的处理的流程图。
图20是表示AttrGen算法的处理的流程图。
图21是表示Sig算法的处理的流程图。
图22是表示Ver算法的处理的流程图。
图23是表示密钥生成装置100、签名装置200、验证装置300的硬件结构的一例的图。
(附图标记说明)
10:签名处理系统;100:密钥生成装置;110:主密钥生成部;111:全局参数生成部;112:管理者秘密密钥生成部;120:主密钥存储部;130:信息输入部;140:签名密钥生成部;141:随机数生成部;142:密钥要素0生成部;143:密钥要素t生成部;144:密钥要素d+1生成部;145:密钥要素生成部;150:密钥分发部;200:签名装置;210:签名密钥获取部;220:信息输入部;221:谓词信息输入部;222:消息输入部;230:张成方案计算部;240:补充系数计算部;250:签名数据生成部;251:随机数生成部;252:签名要素0生成部;253:签名要素i生成部;254:签名要素L+1生成部;255:签名要素生成部;260:签名数据发送部;300:验证装置;310:公开参数获取部;320:数据接收部;330:验证密钥生成部;331:随机数生成部;332f:矢量生成部;333:s矢量生成部;334:验证要素0生成部;335:验证要素i生成部;336:验证要素L+1生成部;337:验证要素生成部;340:配对运算部。
具体实施方式
下面,基于附图来说明发明的实施方式。
在以下的说明中,处理装置是后述的CPU911等。存储装置是后述的ROM913、RAM914、磁盘920等。通信装置是后述的通信板(communication board)915等。输入装置是后述的键盘902、通信板915等。也就是说,处理装置、存储装置、通信装置、输入装置是硬件。
说明以下说明中的记述方法。
当A为随机的变量或分布时,式101表示按照A的分布从A随机选择y。也就是说,在式101中,y是随机数。
[式101]
当A为集合时,式102表示从A均匀地选择y。也就是说,在式102中,y是均匀随机数(uniform random number)。
[式102]
式103表示y是利用z定义的集合、或者y是被代入z的集合。
[式103]
y∶=z
当a为常数时,式104表示设备(算法)A针对输入x输出a。
[式104]
A(x)→a
例如,
A(x)→1
式105、即Fq表示阶数q的有限域。
[式105]
矢量标记表示有限域Fq中的矢量显示。即,是式106。
[式106]
式107表示式108所示的两个矢量x→与v→的式109所示的内积。
[式107]
[式108]
[式109]
XT表示矩阵X的转置矩阵。
当bi(i=1,···,n)是空间V的矢量的要素时、即在是式110时,式111表示通过式112生成的部分空间。
[式110]
[式111]
[式112]
针对式113所示的基底B和基底B*,是式114。
[式113]
[式114]
另外,在以下说明中,paramVt中的Vt是Vt。
同样地,Fq nt中的nt是nt。
同样地,skgid,(t,xt)中的xt是xt。
同样地,在以上标表示“δi,j”的情况下,该δi,j是指δi,j。
另外,在表示矢量的“→”附加在下标文字或上标文字的情况下,该“→”表示以上标附加在下标文字或上标文字。
另外,在以下说明中,签名处理包括密钥生成处理、签名处理、验证处理。
实施方式1.
在本实施方式中,说明“基于属性的签名方式”。
第1,简单说明基于属性的签名。
第2,说明具有作为用于实现基于属性的签名方式的空间的“对偶配对矢量空间(Dual Pairing Vector Spaces,DPVS)”这样的丰富的数学结构的空间。
第3,说明用于实现基于属性的签名方式的概念。在此,说明“张成方案(Span Program)”、“属性矢量的内积和访问架构(accessstructure)”、“秘密分散方式(秘密共享方式)”。另外,还说明“抗冲突哈希函数(Collision Resistant Hash Functions)”。
第4,说明本实施方式所涉及的“基于属性的签名方式”。首先,说明“基于属性的签名方式”的基本结构。接着,说明实现“基于属性的签名方式”的“签名处理系统10”的基本结构。然后,详细说明本实施方式所涉及的“基于属性的签名方式”和“签名处理系统10”。
<第一.基于属性的签名>
数字签名的概念由Diffie和Hellman于1976年已在论文中介绍。其中,数字签名的概念被设为,针对签名者生成保密的签名密钥sk和公开的验证密钥pk的对,使用签名密钥sk生成的消息m的签名σ利用对应的验证密钥pk被验证。也就是说,设为利用验证密钥pk来确认使用签名密钥sk签名的消息(m,σ)的签名者。
这是数字签名的必要条件之一。但是,由于签名密钥sk与验证密钥pk的关系紧密,在签名者与利用签名来证明的内容之间的关系上没有灵活性、隐秘性。
通过使签名密钥与验证密钥的关系变得更灵活或精练来研究了用途广、提高了隐秘性的数字签名的改进型。
在签名的该类型中,签名密钥和验证密钥分别利用属性x和谓词(predicate)v被参数化。而且,被签名的消息(m,σ)是利用伴随参数x的签名密钥skx生成的,仅在利用公开的密钥pk和参数v而谓词v受理属性x的情况(v(x)成立的情况)下,验证出正确。
签名的该类型中的签名者的隐秘性是指,利用签名密钥skx生成的针对谓词v的签名除了v(x)成立的情况以外不泄露与属性x有关的信息。
在谓词v是与参数v的等号关系的情况下(也就是说,仅在x=v时v(x)成立的情况),针对该谓词的签名的类型是基于ID的签名(Identity-Based Signatures,IBS)(参照非专利文献46)。
此外,在基于ID的签名中,如x=v那样,谓词v唯一地识别作为签名者的秘密密钥的skx的属性x。因此,在基于ID的签名中没有隐秘性的余地。
群组签名(Group Signatures)是签名的该类型中包含的签名(参照非专利文献19)。群组签名是伴随仅在谓词的参数v是群组标识符且属性x是群组v的成员的标识符(或者pkv是识别群组v的公开密钥且skx是群组v的成员x的秘密密钥)的情况下v(x)成立这样的谓词v的签名。
基于隐秘性的必要条件,使用秘密密钥skx生成的签名除了x为群组v的成员的情况以外不泄露与标识符x有关的信息。
基于属性的签名是签名的该类型中包含的签名,是伴随更精练的谓词的签名(参照非专利文献26、29、30、34-36、45、51)。在基于属性的签名中,针对签名密钥skx的x是属性(x1,···,xi)的组,用于验证的v是阈值或访问架构的谓词。
存在的基于属性的签名方式中的谓词最广的类型是单调访问架构(参照非专利文献36、37)。在单调访问架构中,谓词v是通过伴随属性(v1,···,vj)的组的单调张成方案(M,ρ)(MSP(M,ρ))确定,仅在MSP(M,ρ)受理(T(xi_1=v1),···,T(xi_j=vj))的真值的矢量的情况下v(x)成立。在此,在φ是真的情况下,T(φ):=1,在φ是假的情况下,T(φ):=1。例如在x=v的情况下,T(x=v):=1,在x≠v的情况下,T(x=v):=0。
这种单调谓词能够表现AND、OR、阈值的门(gate)。
说明针对基于属性的签名的单调谓词v的例子。
作为单调谓词v的例子,是(Institute=Univ.A)AND(TH2((Department=Biology),(Gender=Female),(Age=50‘s))OR(Position=Professor))。在此,TH2是指阈值的值为2的阈值门(也就是说,要求成立两个以上的门)。
设Alice的属性xA是(Institute=Univ.A),(Department=Biology),(Position=Postdoc),(Age=30),(Gender=Female),Bob的属性xB是(Institute=Univ.A),(Department=Mathematics),(Position=Professor),(Age=45),(Gender=Male)。属性xA与属性xB完全不同,但是v(xA)和v(xB)都成立,这是显然的。另外,存在满足谓词v的其它大量的属性,这是显然的。
因此,Alice和Bob能够生成该谓词中的签名。另外,根据基于属性的签名的隐秘性必要条件,除了签名者的属性满足谓词v的情况以外,针对谓词v的签名不泄露与签名者、即Alice和Bob(或其他)的属性有关的信息。
在基于属性的签名中存在基于属性的消息传送(Attributed-BasedMassaging,ABM)、基于属性的认证(Attributed-Based authentication)、trust-negotiation、leaking secrets等大量的应用(参照非专利文献36,37)。
但是,针对非单调谓词的基于属性的签名方式连安全性弱的方式也不存在。非单调谓词与AND、OR、阈值门同样地,能够表现NOT的门。
也就是说,在单调谓词中,如(Institute=Univ.A)那样能够设定肯定形的条件,但是无法如(Institute≠Univ.A)(也就是说,Not(Institute=Univ.A))那样设定否定形的条件。与此相对,在非单调谓词中,能够设定否定形的条件。
在大学除了Univ.A以外还大量存在的情况下,难以仅使用肯定形的条件来设定Univ.A以外这样的否定形的条件(记述变复杂)。从这一点也可知非单调谓词的有用性。
<第2.对偶配对矢量空间>
首先,说明对称双线性配对群(Symmetric Bilinear PairingGroups)。
对称双线性配对群(q,G,GT,g,e)是素数q、阶数q的循环加法群G、阶数q的循环乘法群GT、g≠0∈G、能够通过多项式时间计算的非退化双线性配对(Nondegenerate Bilinear Pairing)e:G×G→GT的组。非退化双线性配对是e(sg,tg)=e(g,g)st,e(g,g)≠1。
在以下说明中,将式115设为以1λ为输入而输出将保密参数设为λ的双线性配对群的参数paramG:=(q,G,GT,g,e)的值的算法。
[式115]
gbpg
接着,说明对偶配对矢量空间。
对偶配对矢量空间(q,V,GT,A,e)能够由对称双线性配对群(paramG:=(q,G,GT,g,e))的直积构成。对偶配对矢量空间(q,V,GT,A,e)是素数q、式116所示的Fq上的N维矢量空间V、阶数q的循环群GT、空间V的标准基底A:=(a1,···,aN)的组,具有以下的运算(1)(2)。在此,ai如式117所示。
[式116]
[式117]
运算(1):非退化双线性配对
空间V中的配对由式118定义。
[式118]
在此,
这是非退化双线性。即,在e(sx,ty)=e(x,y)st,且针对所有y∈V为e(x,y)=1的情况下,x=0。另外,针对所有i和j,e(ai,aj)=e(g,g)δi,j。在此,如果i=j,则δi,j=1,如果i≠j,则δi,j=0。另外,e(g,g)≠1∈GT。
运算(2):畸变映射
式119所示的空间V中的线性变换φi,j能够进行式120。
[式119]
φi,j(aj)=ai
如果k≠j,则φi,j(ak)=0
[式120]
在此,
x:=(g1,…gN)
在此,将线性变换φi,j称为畸变映射。
在以下说明中,将式121设为以1λ(λ∈自然数)、N∈自然数、双线性配对群的参数paramG:=(q,G,GT,g,e)的值为输入而输出保密参数为λ、设为N维空间V的对偶配对矢量空间的参数paramV:=(q,V,GT,A,e)的值的算法。
[式121]
gdpvs
此外,在此,说明由上述的对称双线性配对群构成对偶配对矢量空间的情况。此外,还能够由非对称双线性配对群构成对偶配对矢量空间。将以下的说明应用于由非对称双线性配对群构成对偶配对矢量空间的情况是很容易的。
<第3.用于实现基于属性的签名方式的概念>
<第3-1.张成方案>
图1是矩阵M^的说明图。
将{p1,···,pn}设为变量的集合。M^:=(M,ρ)是带标签的矩阵。在此,矩阵M是Fq上的(L行×r列)的矩阵。另外,ρ是对矩阵M的各列附加的标签,与{p1,···,pn,¬p1,···,¬pn}中的某一个字面值(literal)对应。此外,对M的所有行附加的标签ρi(i=1,···,L)与某一个字面值对应。也就是说,ρ:{1,···,L}→{p1,···,pn,¬p1,···,¬pn}。
针对所有的输入列δ∈{0,1}n,定义矩阵M的部分矩阵Mδ。矩阵Mδ是由通过输入列δ对标签ρ对应了值“1”的矩阵M的行构成的部分矩阵。也就是说,矩阵Mδ是由与如δi=1那样的pi对应起来的矩阵M的行和与如δi=0那样的¬pi对应起来的矩阵M的行构成的部分矩阵。
图2是矩阵Mδ的说明图。此外,在图2中,设n=7,L=6,r=5。也就是说,变量的集合是{p1,···,p7},矩阵M是(6行×5列)的矩阵。另外,在图2中,关于标签ρ,设ρ1对应于¬p2,ρ2对应于p1,ρ3对应于p4,ρ4对应于¬p5,ρ5对应于¬p3,ρ6对应于p5。
在此,设输入列δ∈{0,1}7是δ1=1,δ2=0,δ3=1,δ4=0,δ5=0,δ6=1,δ7=1。在该情况下,由与用虚线包围的字面值(p1,p3,p6,p7,¬p2,¬p4,¬p5)对应起来的矩阵M的行构成的部分矩阵是矩阵Mδ。也就是说,由矩阵M的第1行(M1)、第2行(M2)、第4行(M4)构成的部分矩阵是矩阵Mδ。
换句话说,设为在映射γ:{1,···,L}→{0,1}为[ρ(j)=pi]∧[δi=1]或[ρ(j)=¬pi]∧[δi=0]的情况下,γ(j)=1,在其它情况下,γ(j)=0。在该情况下,Mδ:=(Mj)γ(j)=1。在此,Mj是矩阵M的第j行。
也就是说,在图2中,映射γ(j)=1(j=1,2,4),映射γ(j)=0(j=3,5,6)。因而,(Mj)γ(j)=1是M1、M2、M4,是矩阵Mδ。
即,根据映射γ(j)的值是“0”还是“1”,决定矩阵M的第j行是否包含在矩阵Mδ中。
仅限于1→∈span<Mδ>的情况,张成方案M^受理输入列δ,在其它情况下拒绝输入列δ。也就是说,仅限于将通过输入列δ从矩阵M^得到的矩阵Mδ的行进行线性结合而得到1→的情况,张成方案M^受理输入列δ。此外,1→是指各要素为值“1”的行矢量。
例如,如果是图2的例子,则仅限于将由矩阵M的第1、2、4行构成的矩阵Mδ的各行进行线性结合而得到1→的情况,张成方案M^受理输入列δ。也就是说,在存在成为α1(M1)+α2(M2)+α4(M4)=1→的α1、α2、α4的情况下,张成方案M^受理输入列δ。
在此,在标签ρ仅与正的字面值{p1,···,pn}对应起来的情况下,张成方案被称为单调。另一方面,在标签ρ与字面值{p1,···,pn,¬p1,···,¬pn}对应起来的情况下,张成方案被称为非单调。在此,设张成方案为非单调。而且,使用非单调张成方案构成访问架构(非单调访问架构)。
如上所述,通过张成方案不是单调而是非单调,利用张成方案来构成的基于属性的签名方式的利用范围变广。
<第3-2.属性矢量的内积和访问架构>
在此,使用属性矢量的内积计算上述映射γ(j)。也就是说,使用属性矢量的内积决定将矩阵M的哪个行包含在矩阵Mδ中。
是部分全集合(sub-universe),是属性的集合。而且,Ut分别包含部分全集合的识别信息(t)和nt维矢量(v→)。也就是说,Ut是(t,v→)。在此,t∈{1,···,d},v→∈Fq nt。
将Ut:=(t,v→)设为张成方案M^:=(M,ρ)中的变量p。也就是说,p:=(t,v→)。而且,将设为变量(p:=(t,v→),(t’,v’→),···)的张成方案M^:=(M,ρ)设为访问架构S。
也就是说,访问架构S:=(M,ρ),且ρ:{1,···,L}→{(t,v→),(t’,v’→),···,¬(t,v→),¬(t’,v’→),···}。
接着,将Γ设为属性的集合。也就是说,Γ:={(t,x→ t)|x→ t∈Fq nt,1≦t≦d}。
在对访问架构S提供了Γ的情况下,如下定义针对张成方案M^:=(M,ρ)的映射γ:{1,···,L}→{0,1}。设关于i=1,···,L的各整数i,在[ρ(i)=(t,v→ i)]∧[(t,x→ t)∈Γ]∧[v→ i·x→ t=0]、或者[ρ(i)=¬(t,v→ i)]∧[(t,x→ t)∈Γ]∧[v→ i·x→ t≠0]的情况下,γ(j)=1,在其它情况下,γ(j)=0。
也就是说,基于属性矢量v→与x→的内积计算映射γ。而且,如上所述,通过映射γ决定将矩阵M的哪个行包含在矩阵Mδ中。即,根据属性矢量v→与x→的内积来决定将矩阵M的哪个行包含在矩阵Mδ中,仅限于1→∈span<(Mi)γ(i)=1>的情况,访问架构S:=(M,ρ)受理Γ。
在关于t∈{1,···,d}的所有整数t设为nt=2且x→:=(1,x)、v→:=(v,-1)的情况下,该访问架构中的内积谓词的关系变为更简单的形式。
在该情况下,(t,x→ t):=(t,(1,x)),(t,v→ i):=(t,(vi,-1))。但是,将这些简化来表示为(t,xt)、(t,vi)。于是,访问架构S成为ρ:={1,···,L}→{(t,v),(t’、v’),···,¬(t,v),¬(t’,v’),···}(v,v’,···∈Fq)的S:=(M,ρ)。另外,属性的集合Γ成为Γ:={(t,xt)|xt∈Fq,1≦t≦d}。
而且,在对访问架构S提供了Γ的情况下,如下定义针对张成方案M^:=(M,ρ)的映射γ:{1,···,L}→{0,1}。设关于i=1,···,L的各整数i,在[ρ(i)=(t,vi)]∧[(t,xt)∈Γ]∧[vi=xt]、或者[ρ(i)=¬(t,vi)]∧[(t,xt)∈Γ]∧[vi≠xt]的情况下,γ(j)=1,在其它情况下,γ(j)=0。
<第3-3.秘密分散方式>
说明针对访问架构S:=(M,ρ)的秘密分散方式。
此外,秘密分散方式是指,使秘密信息分散,来设为无意义的分散信息。例如使秘密信息s分散为10个,生成10个分散信息。在此,10个分散信息各自不具有秘密信息s的信息。因而,即使获取到某一个分散信息,也无法获取关于秘密信息s的任何信息。另一方面,如果能够获取10个分散信息的全部,则能够复原秘密信息s。
另外,还有如下秘密分散方式:即使没有获取10个分散信息的全部,只要仅获取一部分(例如,8个)就能够复原秘密信息s。将这样能够通过10个分散信息中的8个来复原秘密信息s的情况称为8-out-of-10。也就是说,将能够通过n个分散信息中的t个来复原秘密信息s的情况称为t-out-of-n。将该t称为阈值。
另外,还有如下秘密分散方式:在生成了d1,···,d10这10个分散信息的情况下,如果是d1,···,d8的8个分散信息则能够复原秘密信息s,但是如果是d3,···,d10的8个分散信息则无法复原秘密信息s。也就是说,还有如下秘密分散方式:不仅根据获取的分散信息的数量,而且还根据分散信息的组合来控制能否复原秘密信息s。
图3是s0的说明图。图4是s→T的说明图。
将矩阵M设为(L行×r列)的矩阵。将f→T设为式122所示的列矢量。
[式122]
将式123所示的s0设为共享的秘密信息。
[式123]
另外,将式124所示的s→T设为s0的L个分散信息的矢量。
[式124]
而且,设分散信息si属于ρ(i)。
这从在图2的例子中说明的在存在成为α1(M1)+α2(M2)+α4(M4)=1→的α1、α2、α4的情况下张成方案M^受理输入列δ的内容也是显然的。也就是说,在存在成为α1(M1)+α2(M2)+α4(M4)=1→的α1、α2、α4的情况下,如果张成方案M^受理输入列δ,则存在成为α1(M1)+α2(M2)+α4(M4)=1→的α1、α2、α4。
而且是式125。
[式125]
此外,常数{αi}能够通过矩阵M的尺寸的多项式时间来计算。
本实施方式以及以下的实施方式所涉及的基于属性的签名方式如上所述那样在张成方案中应用内积谓词和秘密分散方式来构成访问架构。因此,通过设计张成方案中的矩阵M、内积谓词中的属性信息x以及属性信息v(谓词信息),能够自由地设计访问控制。也就是说,能够以非常高的自由度进行访问控制的设计。此外,矩阵M的设计相当于秘密分散方式的阈值等的条件设计。
特别是,本实施方式以及以下的实施方式所涉及的基于属性的签名方式中的访问架构构成使用了非单调张成方案的非单调访问架构。也就是说,本实施方式以及以下的实施方式所涉及的基于属性的签名方式是伴随非单调谓词的签名方式。因此,访问控制的设计的自由度变得更高。
<第3-4.抗冲突哈希函数>
抗冲突哈希函数是指难以发现输出相同的两个输入的哈希函数。
将自然数λ设为保密参数。关于与算法Gbpg有关的抗冲突哈希函数系H和多项式poly(λ),可以说以下的两点。
1.密钥空间系通过λ被附加索引。各密钥空间是通过KHλ表示的位列中的概率空间。存在以1λ为输入的情况下的输出分布与KHλ相等的概率性多项式时间算法。
2.哈希函数系通过λ、从KHλ随机地选择的hk以及D:={0,1}poly(λ)被附加索引。在此,各函数Hhk λ,D是从D的要素向Fq X的映射。此外,q是算法Gbpg(1λ)的输出paramG的最初的要素。存在以1λ、hk和d∈D为输入而输出Hhk λ,D(d)的决定性多项式时间算法。
设ε为概率性多项式时间设备。针对所有λ定义式126。
[式126]
在此,
D∶={0,1}poly(λ),
如果是对于任何概率性多项式时间攻击者ε,Advε H,CR(λ)都是可忽视的程度,则H是抗冲突哈希函数系。
<第4.基于属性的签名方式的结构>
<第4-1.基于属性的签名方式的基本结构>
基于属性的签名方式具备Setup、KeyGen、Sig、Ver这四个算法。
(Setup)
Setup算法是以保密参数λ和属性的格式n→:=((d;nt,ut,wt,zt(t=1,···,d))为输入而输出公开参数pk和主密钥sk的概率性算法。
(KeyGen)
KeyGen算法是以作为属性的集合的Γ:={(t,x→ t)|x→ t∈Fq nt\{0→},1≦t≦d}、公开参数pk以及主密钥sk为输入而输出签名密钥skΓ的概率性算法。
(Sig)
Sig算法是以消息m、如受理属性的集合Γ那样的访问架构S:=(M,ρ)、签名密钥skΓ以及公开参数pk为输入而输出包含签名s→*、消息m以及访问架构S的签名数据σ的概率性算法。
(Ver)
Ver算法是以签名数据σ和公开参数pk为输入而输出布尔值(Boolean value)1(受理)或0(拒绝)的算法。
基于属性的签名方式针对式127所示的所有公开参数pk及主密钥sk、所有消息m、所有属性的集合Γ、式128所示的所有签名密钥skΓ、受理属性的集合Γ的所有访问架构S以及式129所示的所有签名数据σ,以概率1成立1=Ver(pk,m,S,σ)。
[式127]
[式128]
[式129]
<第4-2.签名处理系统10>
说明执行上述的基于属性的签名方式的算法的签名处理系统10。
图5是执行基于属性的签名方式的算法的签名处理系统10的结构图。
签名处理系统10具备密钥生成装置100、签名装置200、验证装置300。
密钥生成装置100以保密参数λ和属性的格式n→:=((d;nt,ut,wt,zt(t=1,···,d))为输入来执行Setup算法,生成公开参数pk和主密钥sk。而且,密钥生成装置100公开所生成的公开参数pk。另外,密钥生成装置100以作为属性的集合的Γ:={(t,x→ t)|x→ t∈Fq nt\{0→},1≦t≦d}、公开参数pk和主密钥sk为输入来执行KeyGen算法,生成签名密钥skΓ并向签名装置200秘密地分发。
签名装置200以消息m、如受理属性的集合Γ那样的访问架构S:=(M,ρ)、签名密钥skΓ以及公开参数pk为输入来执行Sig算法,生成包含签名s→*、消息m以及访问架构S的签名数据σ。签名装置200向验证装置300发送所生成的签名数据σ。
验证装置300以签名数据σ和公开参数pk为输入来执行Ver算法,输出布尔值1(受理)或0(拒绝)。
<第4-3.基于属性的签名方式和签名处理系统10的细节>
基于图6至图12,说明基于属性的签名方式、以及执行基于属性的签名方式的签名处理系统10的功能和动作。
图6是表示密钥生成装置100的功能的功能框图。图7是表示签名装置200的功能的功能框图。图8是表示验证装置300的功能的功能框图。
图9和图10是表示密钥生成装置100的动作的流程图。此外,图9是表示Setup算法的处理的流程图,图10是表示KeyGen算法的处理的流程图。图11是表示签名装置200的动作的流程图,是表示Sig算法的处理的流程图。图12是表示验证装置300的动作的流程图,是表示Ver算法的处理的流程图。
说明密钥生成装置100的功能和动作。
如图6所示,密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130(第一信息输入部)、签名密钥生成部140、密钥分发部150(签名密钥发送部)。
另外,签名密钥生成部140具备随机数生成部141、密钥要素0生成部142、密钥要素t生成部143、密钥要素d+1生成部144。
此外,在以下说明中,H:=(KHλ,Hhk λ,D)是上述的抗冲突哈希函数系。
首先,基于图9,说明密钥生成装置100所执行的Setup算法的处理。
(S101:正交基底生成步骤)
主密钥生成部110通过处理装置计算式130,针对paramn→和t=0,···,d+1的各整数t随机地生成基底Bt和基底B*t。
[式130]
Nt∶=nt+ut+wt+zt for t=0,...,d+1
关于t=0,...,d+1的各t,执行(4)至(8)的处理。
(9)gT:=e(g,g)Ψ,
也就是说,主密钥生成部110执行以下的处理。
(1)主密钥生成部110通过输入装置输入保密参数λ(1λ)和属性的格式n→:=((d;nt,ut,wt,zt(t=0,···,d+1))。在此,d是1以上的整数。关于t=0的nt是1,关于t=1,···,d的各整数t,nt是1以上的整数,关于t=d+1的nt是2。关于t=0,···,d+1的各整数t,ut、wt、zt是1以上的整数。
(2)主密钥生成部110通过处理装置以(1)中输入的保密参数λ(1λ)为输入来执行算法Gbpg,来随机地生成双线性配对群的参数paramG:=(q,G,GT,g,e)的值。
(3)主密钥生成部110通过处理装置生成随机数ψ。另外,主密钥生成部110针对t=0,···,d+1的各整数t,对Nt设定nt+ut+wt+zt。
接着,主密钥生成部110针对t=0,···,d+1的各整数t执行以下的(4)至(8)的处理。
(4)主密钥生成部110通过处理装置以(1)中输入的保密参数λ(1λ)、(3)中设定的Nt以及(2)中生成的paramG:=(q,G,GT,g,e)的值为输入来执行算法Gdpvs,生成对偶配对矢量空间的参数paramVt:=(q,Vt,GT,At,e)的值。
(5)主密钥生成部110通过处理装置以(3)中设定的Nt和Fq为输入来随机地生成线性变换Xt:=(χt,i,j)i,j。此外,GL是General Linear的缩写。也就是说,GL是一般线性群,是行列式不为0的方阵的集合,关于乘法为群。另外,(χt,i,j)i,j是指与矩阵χt,i,j的下标i、j有关的矩阵,在此,i,j=1,···,nt。
(6)主密钥生成部110通过处理装置,基于随机数ψ和线性变换Xt,生成(νt,i,j)i,j:=ψ·(Xt T)-1。此外,(νt,i,j)i,j也与(χt,i,j)i,j同样地是指与矩阵νt,i,j的下标i、j有关的矩阵,在此,i,j=1,···,nt。
(7)主密钥生成部110通过处理装置,基于(5)中生成的线性变换Xt,根据(4)中生成的标准基底At生成基底Bt。
(8)主密钥生成部110通过处理装置,基于(6)中生成的(νt,i,j)i,j,根据(4)中生成的标准基底At生成基底B*t。
(9)主密钥生成部110通过处理装置对gT设定e(g,g)ψ。另外,主密钥生成部110对paramn→设定(4)中生成的{paramVt}t=0,···,d+1和gT。此外,针对t=0,···,d+1和i=1,···,Nt的各整数t、i,gT=e(bt,i,b*t, i)。
即,在(S101)中,主密钥生成部110执行式131所示的算法Gob,针对paramn→和t=0,···,d+1的各整数t,生成基底Bt和基底B*t。
[式131]
Nt:nt+ut+wt+zt for t=0,...,d+1,
For t=0,...,d+1,
(S102:哈希密钥生成步骤)
主密钥生成部110通过处理装置计算式132,来随机地生成哈希密钥hk。
[式132]
(S103:公开参数生成步骤)
主密钥生成部110通过处理装置,针对基底B0的部分基底B^0和t=1,···,d的各整数t,如式133所示那样生成基底Bt的部分基底B^t和基底Bd+1的部分基底B^d+1。
[式133]
另外,主密钥生成部110通过处理装置,针对t=1,···,d的各整数t,如式134所示那样生成基底B*t的部分基底B^*t和基底Bd+1的部分基底B^*d+1。
[式134]
主密钥生成部110将所生成的部分基底B^t(t=0,···,d+1)和部分基底B^*t(t=1,···,d+1)、(S101)中输入的保密参数λ(1λ)、(S101)中生成的paramn→、(S102)中生成的哈希密钥hk以及基底矢量b*0,1+u0+1,···,b*0,1+u0+w0(在此,u0、w0是u0、w0)合在一起设为公开参数pk。
(S104:主密钥生成步骤)
主密钥生成部110将基底B*0的基底矢量b*0,1设为主密钥sk。
(S105:主密钥存储步骤)
主密钥存储部120将(S103)中生成的公开参数pk存储在存储装置中。另外,主密钥存储部120将(S104)中生成的主密钥sk存储在存储装置中。
也就是说,在(S101)至(S104)中,密钥生成装置100执行式135所示的Setup算法来生成公开参数pk和主密钥sk。然后,在(S105)中,密钥生成装置100将所生成的公开参数pk和主密钥sk存储在存储装置中。
此外,公开参数例如经由网络被公开,被设为签名装置200、验证装置300能够获取的状态。
[式135]
return sk,pk.
接着,基于图10说明密钥生成装置100所执行的KeyGen算法的处理。
(S201:信息输入步骤)
信息输入部130通过输入装置输入属性的集合Γ:={(t,x→ t:=(xt,i)(i=1,···,nt))|1≦t≦d}。t也可以不是1以上且d以下的所有整数,而是1以上且d以下的至少一部分整数。
(S202:随机数生成步骤)
随机数生成部141通过处理装置,如式136所示那样生成随机数δ和随机数φ0,φt,ι,φd+1,1,ι,φd+1,2,ι(t=1,···,d;ι=1,···,wt)。
[式136]
(S203:密钥要素0生成步骤)
密钥要素0生成部142通过处理装置,如式137所示那样生成作为签名密钥skΓ的要素的密钥要素k*0。
[式137]
此外,如上所述,对于式113所示的基底B和基底B*,是式114。因而,式137是指如下设定了基底B*0的基底矢量的系数。在此,简化标记,仅用基底矢量b*0,i中的i的部分来确定基底矢量。例如,如果是基底矢量1则意味着基底矢量b*0,1。另外,如果是基底矢量1,···,3则意味着基底矢量b*0,1,···,b*0,3。
作为基底B*0的基底矢量1的系数,设定随机数δ。作为基底矢量1+1,···,1+u0的系数,设定0。作为基底矢量1+u0+1,···,1+u0+w0的系数,设定随机数φ0,1,···,φ0,wo(在此,w0是w0)。作为基底矢量1+u0+w0+1,···,1+u0+w0+z0的系数,设定0。
(S204:密钥要素t生成步骤)
密钥要素t生成部143通过处理装置,针对属性的集合Γ中包含的(t,x→ t)的各整数t,如式138所示那样生成作为签名密钥skΓ的要素的密钥要素k*t。
[式138]
也就是说,式138与式137同样地,意味着如下设定基底B*t的基底矢量的系数。此外,在此,简化标记,仅用基底矢量b*t,i中的i的部分确定基底矢量。例如,如果是基底矢量1则意味着基底矢量b*t, 1。另外,如果是基底矢量1,···,3则意味着基底矢量b*t,1,···,b*t, 3。
作为基底矢量1,···,nt的系数,设定δxt,1,···,δxt,nt(在此,nt是nt)。作为基底矢量nt+1,···,nt+ut的系数,设定0。作为基底矢量nt+ut+1,···,nt+ut+wt的系数,设定随机数φt,1,···,φt,wt(在此,wt是wt)。作为基底矢量nt+ut+wt+1,···,nt+ut+wt+zt的系数,设定0。
(S205:密钥要素d+1生成步骤)
密钥要素d+1生成部144通过处理装置,如式139所示那样生成作为签名密钥skΓ的要素的密钥要素k*d+1,1和密钥要素k*d+1,2。
[式139]
也就是说,式139与式137同样地,意味着如下设定基底B*d+1的基底矢量的系数。此外,在此,简化标记,仅用基底矢量b*d+1,i中的i的部分确定基底矢量。例如,如果是基底矢量1则意味着基底矢量b*d+1,1。另外,如果是基底矢量1,···,3则意味着基底矢量b*d+1, 1,···,b*d+1,3。
首先,针对密钥要素k*d+1,1,作为基底矢量1的系数设定随机数δ。作为基底矢量2的系数设定0。作为基底矢量2+1,···,2+ud+1的系数设定0。作为基底矢量2+ud+1+1,···,2+ud+1+wd+1的系数设定随机数φd+1,1,1,···,φd+1,1,wd+1(在此,wd+1是wd+1)。作为基底矢量2+ud+1+wd+1+1,···,2+ud+1+wd+1+zd+1的系数设定0。
另外,针对密钥要素k*d+1,2,作为基底矢量1的系数设定0。作为基底矢量2的系数设定随机数δ。作为基底矢量2+1,···,2+ud+1的系数设定0。作为基底矢量2+ud+1+1,···,2+ud+1+wd+1的系数设定随机数φd+1,2,1,···,φd+1,2,wd+1(在此,wd+1是wd+1)。作为基底矢量2+ud+1+wd+1+1,···,2+ud+1+wd+1+zd+1的系数设定0。
(S206:密钥分发步骤)
密钥分发部150将以属性的集合Γ、密钥要素k*0、密钥要素k*t(t是属性的集合Γ中包含的(t,x→ t)中的t)、密钥要素k*d+1,1以及密钥要素k*d+1,2为要素的签名密钥skΓ例如通过通信装置经由网络向签名装置200秘密分发。当然,签名密钥skΓ也可以通过其它方法向签名装置200分发。
也就是说,在(S201)至(S205)中,密钥生成装置100执行式140所示的KeyGen算法来生成签名密钥skΓ。然后,在(S206)中,密钥生成装置100将所生成的签名密钥skΓ向签名装置200分发。
[式140]
说明签名装置200的功能和动作。
如图7所示,签名装置200具备签名密钥获取部210、信息输入部220(第二信息输入部)、张成方案计算部230、补充系数计算部240、签名数据生成部250、签名数据发送部260(签名数据输出部)。
另外,信息输入部220具备谓词信息输入部221、消息输入部222。另外,签名数据生成部250具备随机数生成部251、签名要素0生成部252、签名要素i生成部253、签名要素L+1生成部254。
基于图11说明签名装置200所执行的Sig算法的处理。
(S301:签名密钥获取步骤)
签名密钥获取部210例如通过通信装置经由网络获取密钥生成装置100所生成的签名密钥skΓ。另外,签名密钥获取部210获取密钥生成装置100所生成的公开参数pk。
(S302:信息输入步骤)
谓词信息输入部221通过输入装置输入访问架构S:=(M,ρ)。此外,矩阵M是L行×r列的矩阵。L、r是1以上的整数。
另外,消息输入部222通过输入装置输入附加签名的消息m。
此外,关于访问架构S的矩阵M的设定,根据想要实现的系统的条件进行设定。
(S303:张成方案计算步骤)
张成方案计算部230通过处理装置,判定(S302)中输入的访问架构S是否受理(S301)中获取的签名密钥skΓ中包含的属性的集合Γ。
此外,访问架构是否受理属性的集合的判定方法如在“第3.用于实现函数型密码的概念”中说明的那样。
张成方案计算部230在访问架构S受理属性的集合Γ的情况下(S303中受理),使处理进入(S304)。另一方面,在访问架构S拒绝属性的集合Γ的情况下(S303中拒绝),结束处理。
(S304:补充系数计算步骤)
补充系数计算部430通过处理装置,计算出成为式141的I和针对I中包含的各整数i的常数(补充系数)αi。
[式141]
此外,Mi是矩阵M的第i行。
(S305:随机数生成步骤)
随机数生成部251通过处理装置如式142所示那样生成随机数ξ和随机数βi(i=1,···,L)。
[式142]
(S306:签名要素0生成步骤)
签名要素0生成部252通过处理装置如式143所示那样生成作为签名数据σ的要素的签名要素s*0。
[式143]
在此,r*0是式144(参照式110至式112以及这些数式的说明)。
[式144]
(S307:签名要素i生成步骤)
签名要素i生成部253通过处理装置,关于i=1,···,L的各整数i,如式145所示那样生成作为签名数据σ的要素的签名要素s*i。
[式145]
在此,r*i是式146(参照式110至式112以及这些数式的说明)。
[式146]
另外,γi和y→i:=(yi,i’(i’=1,···,nt)是式147。
[式147]
(S308:签名要素L+1生成步骤)
签名要素L+1生成部254通过处理装置如式148所示那样生成作为签名数据σ的要素的签名要素s*L+1。
[式148]
在此,r*L+1是式149(参照式110至式112以及这些数式的说明)。
[式149]
(S309:数据发送步骤)
签名数据发送部260将包含签名要素s*0、签名要素s*i(i=1,···,L)、签名要素s*L+1、消息m以及访问架构S:=(M,ρ)的签名数据σ例如通过通信装置经由网络发送给验证装置300。当然,签名数据σ也可以通过其它方法发送给验证装置300。
也就是说,在(S301)至(S308)中,签名装置200执行式150所示的Sig算法来生成签名数据σ。然后,在(S309)中,签名装置200将所生成的签名数据σ向验证装置300分发。
[式150]
then compute I and{αi}i∈Isuch that
说明验证装置300的功能和动作。
如图8所示,验证装置300具备公开参数获取部310、数据接收部320、验证密钥生成部330、配对运算部340。
另外,验证密钥生成部330具备随机数生成部331、f矢量生成部332、s矢量生成部333、验证要素0生成部334、验证要素i生成部335、验证要素L+1生成部336。
基于图12说明验证装置300所执行的Ver算法的处理。
(S401:公开参数获取步骤)
公开参数获取部310例如通过通信装置经由网络获取密钥生成装置100所生成的公开参数pk。
(S402:签名数据接收步骤)
数据接收部320例如通过通信装置经由网络接收签名装置200所发送的签名数据σ。
(S403:f矢量生成步骤)
f矢量生成部332通过处理装置如式151所示那样随机地生成具有r个要素的矢量f→。
[式151]
(S404:s矢量生成步骤)
s矢量生成部333通过处理装置,基于(S402)中接收到的签名数据σ中包含的访问架构S的(L行×r列)的矩阵M和(S403)中生成的具有r个要素的矢量f→,如式152所示那样生成矢量s→T。
[式152]
另外,s矢量生成部333通过处理装置,基于(S403)中生成的矢量f→,如式153所示那样生成值s0。此外,1→是所有要素为值1的矢量。
[式153]
(S405:随机数生成步骤)
随机数生成部331通过处理装置,如式154所示那样生成针对i=1,···,z0的各整数i的随机数η0,i、针对i=1,···,zd+1的各整数i的随机数ηL+1,i、随机数θL+1以及随机数sL+1。
[式154]
(S406:验证要素0生成步骤)
验证要素0生成部334通过处理装置,如式155所示那样生成作为验证密钥的要素的验证要素c0。
[式155]
此外,如上所述,对于式113所示的基底B和基底B*,是式114。因而,式155是指如下设定基底B0的基底矢量的系数。在此,简化标记,仅用基底矢量b0,i中的i的部分确定基底矢量。例如,如果是基底矢量1则意味着基底矢量b0,1。另外,如果是基底矢量1,···,3则意味着基底矢量b0,1,···,b0,3。
作为基底B0的基底矢量1的系数,设定-s0-sL+1。作为基底矢量1+1,···,1+u0+w0的系数,设定0。作为基底矢量1+u0+w0+1,···,1+u0+w0+z0的系数,设定随机数η0,1,···,η0,z0(在此,z0是z0)。
(S407:验证要素i生成步骤)
验证要素i生成部335通过处理装置,针对i=1,···,L的各整数i,如式156所示那样生成作为验证密钥的要素的验证要素ci。
[式156]
也就是说,式156与式155同样地,意味着如下设定基底Bt的基底矢量的系数。此外,在此,简化标记,仅用基底矢量bt,i中的i的部分确定基底矢量。例如,如果是基底矢量1则意味着基底矢量bt, 1。另外,如果是基底矢量1,···,3则意味着基底矢量bt,1,···,bt,3。
在ρ(i)是肯定形的组(t,v→ i)的情况下,作为基底矢量1的系数设定si+θivi,1。作为基底矢量2,···,nt的系数设定θivi,2,···,θivi,nt(在此,nt是nt)。作为基底矢量nt+1,···,nt+ut+wt的系数设定0。作为基底矢量nt+ut+wt+1,···,nt+ut+wt+zt的系数设定ηi,1,···,ηi,zt(在此,zt是zt)。
另一方面,在ρ(i)为否定形的组¬(t,v→ i)的情况下,作为基底矢量1,···,nt的系数设定sivi,1,···,θivi,nt(在此,nt是nt)。作为基底矢量2的系数设定-si。作为基底矢量nt+1,···,nt+ut+wt的系数设定0。作为基底矢量nt+ut+wt+1,···,nt+ut+wt+zt的系数设定ηi,1,···,ηi,zt(在此,zt是zt)。
此外,θi和ηi,i’(i’=1,···,zt)是由随机数生成部233生成的均匀随机数。
(S408:签名要素L+1生成步骤)
验证要素L+1生成部336通过处理装置如式157所示那样生成作为验证密钥的要素的验证要素cL+1。
[式157]
也就是说,式157与式155同样地,意味着如下设定基底Bd+1的基底矢量的系数。此外,在此,简化标记,仅用基底矢量bd+1,i中的i的部分确定基底矢量。例如,如果是基底矢量1则意味着基底矢量bd+1,1。另外,如果是基底矢量1,···,3则意味着基底矢量bd+1,1,···,bd+1,3。
作为基底矢量1的系数设定sL+1-θL+1·Hhk λ,D(m||S)。作为基底矢量2的系数设定θL+1。作为基底矢量2+1,···,2+ud+1+wd+1的系数设定0。作为基底矢量2+ud+1+wd+1+1,···,2+ud+1+wd+1+zd+1的系数设定随机数ηL+1,1,···,ηL+1,zd+1(在此,zd+1是zd+1)。
(S409:第一配对运算步骤)
配对运算部340通过处理装置计算配对运算e(b0,1,s*0)。
如果计算配对运算e(b0,1,s*0)的结果为值1,则配对运算部340输出表示签名的验证失败的值0,来结束处理。另一方面,如果计算配对运算e(b0,1,s*0)的结果不是值1,则配对运算部340使处理进入S410。
(S410:第二配对运算步骤)
配对运算部340通过处理装置计算式158所示的配对运算。
[式158]
如果计算式158所示的配对运算的结果为值1,则配对运算部340输出表示签名的验证成功的值1。另一方面,如果是其它值,则配对运算部340输出表示签名的验证失败的值0。
此外,通过如式159所示那样计算式158,如果签名数据σ是正当的,则得到值1。
[式159]
也就是说,在(S401)至(S410)中,验证装置300执行式160所示的Ver算法来验证签名数据σ。
[式160]
for 1≤i≤L,
如上所述,实施方式1所涉及的签名处理系统10使用利用张成方案、内积谓词以及秘密分散构成的访问架构S,实现基于属性的签名方式。特别是,实施方式1所涉及的签名处理系统10使用非单调张成方案,因此实现伴随非单调谓词的基于属性的签名方式。
实施方式1所涉及的签名处理系统10所实现的基于属性的签名方式的安全性高,满足隐秘性必要条件。此外,安全性高是指,被他人伪造签名的可能性低。
此外,(S409)中进行配对运算e(b0,1,s*0)是为了确认签名数据σ并非是不使用保密的(作为主密钥sk的)基底矢量b*0,1而生成的签名数据。
配对运算e(b0,1,s*0)是确认签名要素s*0中是否包含基底矢量b*0, 1、即作为基底矢量b*0,1的系数是否设定了0以外的值的运算。如果配对运算e(b0,1,s*0)=1,则在签名要素s*0中作为基底矢量b*0,1的系数设定了0,签名数据σ是不使用基底矢量b*0,1而生成的签名数据。因而,在该情况下,认为签名数据σ是不正当的。
此外,在上述说明中,ut、wt、zt(t=0,···,d+1)的维度是为了提高安全性而设置的维度。因而,虽然导致安全性变低,但是也可以将ut、wt、zt(t=0,···,d+1)分别设为0,来不设置ut、wt、zt(t=0,···,d+1)的维度。
另外,在上述说明中,在(S101)中对Nt设定了nt+ut+wt+zt。但是,也可以将nt+ut+wt+zt设为nt+nt+nt+1来对Nt设定3nt+1。在此,n0是1,nt(t=1,···,d+1)是2。
在该情况下,式135所示的Setup算法如式161那样被改写。此外,Gob如式162那样被改写。
[式161]
return sk,pk.
[式162]
n0:=1,nd+1:=2,Nt:=3nt+1for t=0,...,d+1,
For t=0,...,d+1,
另外,式140所示的KeyGen算法如式163那样被改写。
[式163]
KeyGen(pk,sk,Γ∶={(t,xt)|1≤t≤d})
T:={0,(d+1,1),(d+1,2)}∪{t|1≤t≤d,(t,xt)∈Γ},
另外,式150所示的Sig算法如式164那样被改写。
[式164]
then compute I and{αi}i∈I,such that
另外,式159所示的Ver算法如式165那样被改写。
[式165]
for1≤i≤L,
ifρ(i)=(t,vi),
另外,Setup算法只要在设置签名处理系统10时执行一次即可,不需要在每次生成签名密钥时都执行。另外,在上述说明中,设为由密钥生成装置100执行Setup算法和KeyGen算法,但是也可以由各自不同的装置执行Setup算法和KeyGen算法。
实施方式2.
在本实施方式中,说明“基于分散多管理者属性的签名方式”。
第1,说明“分散多管理者(Decentralized Multi-Authority)”的概念。
第2,说明本实施方式所涉及的“基于分散多管理者属性的签名方式”。首先,说明“基于分散多管理者属性的签名方式”的基本结构。接着,说明实现“基于分散多管理者属性的签名方式”的“签名处理系统10”的基本结构。然后,详细说明本实施方式所涉及的“基于分散多管理者属性的签名方式”以及“签名处理系统10”。
<第1.分散多管理者的概念>
首先,说明“多管理者”。多管理者是指,存在多个生成签名密钥的管理者。
在一般的签名处理系统中,系统整体的保密性依赖于某一个机关(管理者)。例如,如果是在实施方式1中说明的签名处理系统10,则系统整体的保密性依赖于生成主密钥sk的密钥生成装置100。在密钥生成装置100的保密性被破坏或主密钥sk被泄漏的情况下,签名处理系统10的整体不发挥功能。
但是,通过设为多管理者,即使在一部分管理者的保密性被破坏或一部分管理者的秘密密钥(主密钥)被泄漏的情况下,也只是签名处理系统的一部分不发挥功能,能够将其它部分设为正常地发挥功能的状态。
图13是多管理者的说明图。
在图13中,政府机关对住所、电话号码、年龄等的属性进行管理。另外,警察对驾驶执照的种类等的属性进行管理。另外,公司A对公司A中的职务、公司A中的所属等的属性进行管理。而且,政府机关发行用于表示政府机关所管理的属性的签名密钥1,警察发行用于表示警察所管理的属性的签名密钥2,公司A发行用于表示公司A所管理的属性的签名密钥3。
进行签名的签名者使用将政府机关、警察、公司A等的各管理者所发行的签名密钥1、2、3合在一起的签名密钥,来生成签名数据。也就是说,从签名者来看,将从各管理者发行的签名密钥合在一起的是对自己所发行的一个签名密钥。
例如在公司A的主密钥被泄漏的情况下,签名处理系统关于公司A的属性不发挥功能,但是关于由其他管理者管理的属性发挥功能。也就是说,在实现了签名数据的验证的情况下,虽然不能信赖由公司A管理的属性,但是可信赖其它属性。
另外,从图13的例子也可知,在基于属性的签名中,存在多个管理者,各管理者对属性中的某个范畴(部分空间)或定义域进行管理,发行关于该范畴中的用户的属性的签名密钥(的一片),这是自然的。
接着,说明“分散(Decentralized)”。分散是指,任何机关都能够成为管理者,无需与其它机关交换而能够发行签名密钥(的一片),各用户无需与其它机关交换而能够从管理者获取签名密钥(的一片)。
例如在存在中央管理者的情况下,不能说是分散。中央管理者是其他管理者的上位的管理者。在中央管理者的保密性被破坏的情况下,导致所有管理者的保密性被破坏。
<第2.基于分散多管理者属性的签名方式的结构>
<第2-1.基于分散多管理者属性的签名方式的基本结构>
基于分散多管理者属性的签名方式具备GSetup、ASetup、AttrGen、Sig、Ver这四个算法。
(GSetup)
GSetup算法是被输入保密参数λ而输出公开参数gparam的概率性算法。
(ASetup)
ASetup算法是以公开参数gparam和管理者的识别信息t为输入而输出管理者秘密密钥askt和管理者公开参数apkt的概率性算法。
(AttrGen)
AttrGen算法是以公开参数gparam、管理者的识别信息t、管理者秘密密钥askt、用户的识别信息gid以及属性x→ t:=(xt,i)(i=1,···,nt)∈Fq为输入而输出签名密钥uskgid,(t,xt)的概率性算法。
(Sig)
Sig算法是以公开参数gparam、签名密钥uskgid,(t,xt)、消息m以及访问架构S:=(M,ρ)为输入来输出包含签名s→*、消息m以及访问架构S的签名数据σ的概率性算法。
(Ver)
Ver算法是以签名数据σ、公开参数gparam以及管理者公开参数apkt为输入而输出布尔值1(受理)或0(拒绝)的算法。
<第2-2.签名处理系统10>
说明执行上述的基于分散多管理者属性的签名方式的算法的签名处理系统10。
图14是执行基于分散多管理者属性的签名方式的算法的签名处理系统10的结构图。
签名处理系统10具备多个密钥生成装置100、签名装置200、验证装置300。
某(一个)密钥生成装置100以保密参数λ为输入来执行GSetup算法,生成公开参数gparam。然后,该密钥生成装置100公开所生成的公开参数gparam。
各密钥生成装置100以公开参数gparam和分配给该密钥生成装置100的识别信息t为输入来执行ASetup算法,生成管理者秘密密钥askt和管理者公开参数apkt。然后,各密钥生成装置100以公开参数gparam、分配给该密钥生成装置100的识别信息t、管理者秘密密钥askt、用户的识别信息gid以及属性xt:=(xt,i)(i=1,···,nt)∈Fq为输入来执行AttrGen算法,生成签名密钥uskgid,(t,xt)并向签名装置200秘密分发。
签名装置200以公开参数gparam、签名密钥uskgid,(t,xt)、消息m以及访问架构S:=(M,ρ)为输入来执行Sig算法,生成包含签名s→*、消息m以及访问架构S的签名数据σ。签名装置200将所生成的签名数据σ发送给验证装置300。
验证装置300以签名数据σ、公开参数gparam以及管理者公开参数apkt为输入来执行Ver算法,输出布尔值1(受理)或0(拒绝)。
<第2-3.基于分散多管理者属性的签名方式以及签名处理系统10的细节>
基于图15至图22,说明基于分散多管理者属性的签名方式以及执行基于分散多管理者属性的签名方式的签名处理系统10的功能和动作。
图15是表示各密钥生成装置100的功能的功能框图。图16是表示签名装置200的功能的功能框图。图17是表示验证装置300的功能的功能框图。
图18至图20是表示密钥生成装置100的动作的流程图。此外,图18是表示GSetup算法的处理的流程图,图19是表示ASetup算法的处理的流程图,图20是表示AttrGen算法的处理的流程图。图21是表示签名装置200的动作的流程图,是表示Sig算法的处理的流程图。图22是表示验证装置300的动作的流程图,是表示Ver算法的处理的流程图。
说明密钥生成装置100的功能和动作。
如图15所示,密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130(第一信息输入部)、签名密钥生成部140、密钥分发部150(签名密钥发送部)。
另外,主密钥生成部110具备全局参数生成部111、管理者秘密密钥生成部112。签名密钥生成部140具备随机数生成部141、密钥要素生成部145。
首先,基于图18说明密钥生成装置100所执行的GSetup算法的处理。此外,如上所述,GSetup算法只要由多个密钥生成装置100中的一个密钥生成装置100执行即可。
(S501:保密参数输入步骤)
全局参数生成部111通过输入装置输入保密参数λ(1λ)。
(S502:双线性配对群生成步骤)
全局参数生成部111通过处理装置,以S501中输入的保密参数λ(1λ)为输入来执行算法Gbpg,随机地生成双线性配对群的参数paramG:=(q,G,GT,g,e)的值。
(S503:参数生成步骤)
将哈希函数H1和H2设为式166所示的哈希函数。
[式166]
全局参数生成部111通过处理装置,生成式167所示的全局参数gparam的要素G0、G1、G2、G3、G4。
[式167]
另外,全局参数生成部111设为gt:=e(G0,G1)、g4:=e(G0,G4)。
(S504:参数存储步骤)
主密钥存储部120将(S502)中生成的paramG、(S503)中由全局参数生成部111所设定的哈希函数H1、H2、所生成的要素G0、G1、G2、G3、G4以及所设定的值gt、g4作为全局参数gparam存储在存储装置中。
也就是说,在(S501)至(S503)中,密钥生成装置100执行式168所示的GSetup算法来生成全局参数gparam。然后,在(S504)中,密钥生成装置100将所生成的全局参数gparam存储在存储装置中。
此外,全局参数gparam例如经由网络被公开,被设为其它密钥生成装置100、签名装置200、验证装置300能够获取的状态。
[式168]
gT:=e(G0,G1),g4:=e(G0,G4),
接着,基于图19说明密钥生成装置100所执行的ASetup算法的处理。此外,如上所述,ASetup算法既可以由多个密钥生成装置100全部执行,也可以仅由多个密钥生成装置100中的一部分密钥生成装置100执行。
(S601:信息输入步骤)
信息输入部130通过输入装置输入分配给自己(该密钥生成装置100)的识别信息t。此外,对各密钥生成装置100分配有分别不同的识别信息t。
另外,信息输入部130例如通过通信装置经由网络获取全局参数gparam。此外,在自己是生成了全局参数gparam的密钥生成装置100的情况下,只要从主密钥存储部120读出全局参数gparam即可。
(S602:空间生成步骤)
管理者秘密密钥生成部112通过处理装置,以保密参数λ(1λ)、Nt=2nt+2+ut+wt+zt以及paramG:=(q,G,GT,g,e)的值为输入来执行算法Gdpvs,生成对偶配对矢量空间的参数paramVt:=(q,Vt,GT,At,e)的值。
此外,nt、ut、wt、zt是1以上的整数。
(S603:基底U生成步骤)
管理者秘密密钥生成部112通过处理装置,针对1=1,···,4的各整数l如式169所示那样生成基底Ul。
[式169]
forl=0,...,4;i=1,...,Nt
(S604:线性变换生成步骤)
管理者秘密密钥生成部112通过处理装置,以nt+ut+wt+zt和Fq为输入来如式170所示那样随机地生成线性变换Xt:=(χt,i,j)i,j。
[式170]
(S605:基底B生成步骤)
管理者秘密密钥生成部112通过处理装置,如式171所示那样生成基底Bt和基底B*t。
[式171]
另外,管理者秘密密钥生成部112将π,π’,μ∈Fq设为成为G2=πG1、G3=π’G1、G3=μG1的值。于是,成为式172。
[式172]
(S606:基底B^生成步骤)
管理者秘密密钥生成部112通过处理装置,如式173所示那样生成基底Bt的部分基底B^t和基底B*的部分基底B^*t。
[式173]
(S607:主密钥存储步骤)
主密钥存储部120将(S602)中生成的参数paramVt、(S606)中生成的部分基底B^t以及部分基底B^*t作为管理者公开参数apkt存储在存储装置中。另外,主密钥存储部120将(S604)中生成的线性变换Xt作为管理者秘密密钥askt存储在存储装置中。
也就是说,在(S601)至(S606)中,密钥生成装置100执行式174所示的ASetup算法来生成管理者公开参数apkt和管理者秘密密钥askt。然后,在(S607)中,密钥生成装置100将所生成的管理者公开参数apkt和管理者秘密密钥askt存储在存储装置中。
此外,管理者公开参数apkt例如经由网络被公开,被设为签名装置200、验证装置300能够获取的状态。
[式174]
ASetup(gparam,t)∶
Nt∶=2nt+2+ut+wt+zt,
for l=0,...,4;i=1,...,Nt,
return(askt,apkt).
接着,基于图20说明密钥生成装置100所执行的AttrGen算法的处理。此外,如上所述,AttrGen算法是由多个密钥生成装置100中的、执行了ASetup算法的密钥生成装置100执行。
(S701:信息输入步骤)
信息输入部130通过输入装置输入分配给自己(该密钥生成装置100)的识别信息t、发行签名密钥的用户的识别信息gid以及属性信息x→ t:=(xt,i)(i=1,···,nt)。
另外,信息输入部130例如通过通信装置经由网络获取全局参数gparam。此外,在自己是生成了全局参数gparam的密钥生成装置100的情况下,只要从主密钥存储部120读出全局参数gparam即可。
另外,信息输入部130从主密钥存储部120读出管理者秘密密钥askt。
(S702:随机数生成步骤)
随机数生成部141通过处理装置,针对识别信息t和j=1,2的各整数j,如式175所示那样生成随机数φ→ t,j。
[式175]
(S703:密钥要素生成步骤)
设为式176。
[式176]
密钥要素生成部145通过处理装置,针对识别信息t和j=1,2的各整数j,如式177所示那样生成作为签名密钥uskgid,(t,xt)的要素的密钥要素k*t,j。
[式177]
for j=1,2
此外,如上所述,对于式113所示的基底B和基底B*,是式114。因而,式177意味着如下设定基底B*t的基底矢量的系数。在此,简化标记,仅用基底矢量b*t,i中的i的部分确定基底矢量。例如,如果是基底矢量1,则意味着基底矢量b*t,1。另外,如果是基底矢量1,···,3,则意味着基底矢量b*t,1,···,b*t,3。
作为基底矢量1,···,nt的系数,设定(δj+1)xt,1,···,(δj+1)xt,nt(在此,nt是nt)。作为基底矢量nt+1,···,2nt的系数,设定-δjxt,1,···,-δjxt,nt(在此,nt是nt)。作为基底矢量2nt+1,···,2nt+2+ut的系数,设定0。作为基底矢量2nt+2+ut+1,···,2nt+2+ut+wt的系数,设定随机数φt,j、1,···,φt,j,wt(在此,wt是wt)。作为基底矢量2nt+2+ut+wt+1,···,2nt+2+ut+wt+zt的系数,设定0。
(S704:密钥分发步骤)
密钥分发部150将以用户的识别信息gid、识别信息t及属性信息x→ t、密钥要素k*t,j为要素的签名密钥uskgid,(t,xt)例如通过通信装置经由网络向签名装置200秘密分发。当然,也可以通过其它方法向签名装置200分发签名密钥uskgid,(t,xt)。
也就是说,在(S701)至(S703)中,密钥生成装置100执行式178所示的AttrGen算法来生成签名密钥uskgid,(t,xt)。然后,在(S704)中,密钥生成装置100将所生成的签名密钥uskgid,(t,xt)向签名装置200分发。
[式178]
for j=1,2,
说明签名装置200的功能和动作。
如图16所示,签名装置200具备签名密钥获取部210、信息输入部220(第二信息输入部)、张成方案计算部230、补充系数计算部240、签名数据生成部250、签名数据发送部260(签名数据输出部)。
另外,信息输入部220具备谓词信息输入部221、消息输入部222。另外,签名数据生成部250具备随机数生成部251、签名要素生成部255。
基于图21说明签名装置200所执行的Sig算法的处理。
(S801:签名密钥获取步骤)
签名密钥获取部210例如通过通信装置经由网络获取各密钥生成装置100所生成的签名密钥uskgid,(t,xt)。另外,签名密钥获取部210获取密钥生成装置100所生成的全局参数gparam。
(S802:信息输入步骤)
谓词信息输入部221通过输入装置输入访问架构S:=(M,ρ)。此外,矩阵M是L行×r列的矩阵。L、r是1以上的整数。
另外,消息输入部222通过输入装置输入附加签名的消息m。
此外,关于访问架构S的矩阵M的设定,根据想要实现的系统的条件进行设定。
(S803:张成方案计算步骤)
张成方案计算部230通过处理装置判定(S802)中输入的访问架构S是否受理(S801)中获取的签名密钥uskgid,(t,xt)中包含的属性信息x→ t的集合Γ。
此外,访问架构是否受理属性的集合的判定方法如实施方式1中的“第3.用于实现函数型密码的概念”中说明的那样。
张成方案计算部230在访问架构S受理属性的集合Γ的情况下(S803中受理),使处理进入(S804)。另一方面,在访问架构S拒绝属性信息x→ t的集合Γ的情况下(S803中拒绝),结束处理。
(S804:补充系数计算步骤)
补充系数计算部430通过处理装置,计算成为式179的I和针对I中包含的各整数i的常数(补充系数)αi。
[式179]
此外,Mi是指矩阵M的第i行。
(S805:随机数生成步骤)
随机数生成部251通过处理装置如式180所示那样生成随机数ξ1、ξ2和随机数βi、βi’(i=1,···,L)。
[式180]
(S806:签名要素生成步骤)
签名要素生成部255通过处理装置,针对i=1,···,L的各整数i,如式181所示那样生成作为签名数据σ的要素的签名要素s*i。
[式181]
for1≤i≤L
在此,r*i是式182(参照式110至式112以及这些数式的说明)。
[式182]
另外,γi、y→ i:=(yi,i’)(i’=1,···,nt)和y’→ i:=(y’i,i’)(i’=1,···,nt)是式183。
[式183]
(S807:数据发送步骤)
签名数据发送部260将包含签名要素s*i(i=1,···,L)、消息m、访问架构S:=(M,ρ)以及g0:=g4 ξ2(在此,ξ2是ξ2)的签名数据σ例如通过通信装置经由网络发送给验证装置300。当然,签名数据σ也可以通过其它方法发送给验证装置300。
也就是说,在(S801)至(S806)中,签名装置200执行式184所示的Sig算法来生成签名数据σ。然后,在(S807)中,签名装置200将所生成的签名数据σ向验证装置300分发。
[式184]
then compute I and{αi}i∈I such that
说明验证装置300的功能和动作。
如图17所示,验证装置300具备公开参数获取部310、数据接收部320(数据获取部)、验证密钥生成部330、配对运算部340。
另外,验证密钥生成部330具备随机数生成部331、f矢量生成部332、s矢量生成部333、验证要素生成部337。
基于图22说明验证装置300所执行的Ver算法的处理。
(S901:公开参数获取步骤)
公开参数获取部310例如通过通信装置经由网络获取各密钥生成装置100所生成的全局参数gparam和管理者公开参数apkt。
(S902:签名数据接收步骤)
数据接收部320例如通过通信装置经由网络接收签名装置200所发送的签名数据σ。
(S903:f矢量生成步骤)
f矢量生成部332通过处理装置如式185所示那样随机地生成具有r个要素的矢量f→。
[式185]
(S904:s矢量生成步骤)
s矢量生成部333通过处理装置,基于(S902)中接收到的签名数据σ中包含的访问架构S的(L行×r列)的矩阵M和(S903)中生成的具有r个要素的矢量f→,如式186所示那样生成矢量s→T。
[式186]
另外,s矢量生成部333通过处理装置,基于(S903)中生成的矢量f→,式187所示那样生成值s0。此外,1→是所有要素为值1的矢量。
[式187]
(S905:f’矢量生成步骤)
f矢量生成部332通过处理装置如式188所示那样随机地生成具有r个要素的矢量f→’。
[式188]
(S906:s’矢量生成步骤)
s矢量生成部333通过处理装置,基于(L行×r列)的矩阵M和具有r个要素的矢量f→’,如式189所示那样生成矢量(s→’)T。
[式189]
(S907:随机数生成步骤)
随机数生成部331通过处理装置如式190所示那样生成随机数σ→和值σ0。
[式190]
(S908:验证要素生成步骤)
验证要素生成部337通过处理装置,针对i=1,···,L的各整数i,如式191所示那样生成作为验证密钥的要素的验证要素ci。
[式191]
for1≤i≤L,
此外,如上所述,对于式113所示的基底B和基底B*,是式114。因而,式191意味着如下设定基底Bt的基底矢量的系数。在此,简化标记,仅用基底矢量bt,i中的i的部分确定基底矢量。例如,如果是基底矢量1则意味着基底矢量bt,1。另外,如果是基底矢量1,···,3,则意味着基底矢量bt,1,···,bt,3。
在ρ(i)是肯定形的组(t,v→ i)的情况下,作为基底矢量1的系数设定si+θivi,1。作为基底矢量2,···,nt的系数设定θivi,2,···,θivi,nt(在此,nt是nt)。作为基底矢量nt+1的系数设定si’+θi’vi,1。作为基底矢量nt+2,···,2nt的系数设定θi’vi,2,···,θi’vi,nt(在此,nt是nt)。作为基底矢量2nt+1的系数设定σi-θi’’H2(m,S)。此外,H2(m,S)是指,作为哈希函数H2的输入提供消息m和访问架构S。例如也可以设为H2(m||S)。作为基底矢量2nt+2的系数设定θi’’。作为基底矢量2nt+2+1,···,2nt+2+ut+wt的系数设定0。作为基底矢量2nt+2+ut+wt+1,···,2nt+2+ut+wt+zt的系数设定ηi,1,···,ηi,zt(在此,zt是zt)。
另一方面,在ρ(i)是否定形的组¬(t,v→ i)的情况下,作为基底矢量1,···,nt的系数设定sivi,1,···,sivi,nt(在此,nt是nt)。作为基底矢量nt+1,···,2nt的系数设定si’vi,1,···,si’vi,nt(在此,nt是nt)。作为基底矢量2nt+1的系数设定σi-θi’’H2(m,S)。作为基底矢量2nt+2的系数设定θi’’。作为基底矢量2nt+2+1,···,2nt+2+ut+wt的系数设定0。作为基底矢量2nt+2+ut+wt+1,···,2nt+2+ut+wt+zt的系数设定ηi,1,···,ηi,zt(在此,zt是zt)。
(S909:配对运算步骤)
配对运算部340通过处理装置计算式192所示的配对运算。
[式192]
如果计算式192所示的配对运算的结果是值gT s0g0 σ0(在此,s0是s0,σ0是σ0),则配对运算部340输出表示签名的验证成功的值1。另一方面,如果是其它值,则配对运算部340输出表示签名的验证失败的值0。
此外,通过如式193所示那样计算式192,如果签名数据σ是正当的,则得到值1。
[式193]
也就是说,在(S901)至(S909)中,验证装置300执行式194所示的Ver算法来验证签名数据σ。
[式194]
for1≤i≤L,
如上所述,实施方式2所涉及的签名处理系统10实现多个密钥生成装置100生成签名密钥的基于多管理者属性的签名方式。特别是,签名处理系统10所实现的签名方式是不存在中央管理者的基于分散多管理者属性的签名方式。
此外,实施方式2所涉及的签名处理系统10与实施方式1所涉及的签名处理系统10同样地实现伴随非单调谓词的基于属性的签名方式。
实施方式2所涉及的签名处理系统10所实现的基于属性的签名方式的安全性高,满足隐秘性必要条件。
此外,在上述说明中,ut、wt、zt(t=1,···,d)的维度是为了提高安全性而设置的维度。因而,虽然导致安全性变低,但是也可以将ut、wt、zt(t=1,···,d)分别设为0来不设置ut、wt、zt(t=1,···,d)的维度。
另外,在上述说明中,将基底Bt和基底B*t的维数设定为2nt+2+ut+wt+zt。但是,也可以将2nt+2+ut+wt+zt设为2+2+2+6+4+1来将基底Bt和基底B*t的维数设为17。
在该情况下,式168所示的GSetup算法如式195那样被改写。
[式195]
gT∶=e(G0,G1),g4∶=e(G0,G4),
另外,式174所示的ASetup算法如式196那样被改写。
[式196]
ASetup(gparam,t):
retur(askt,apkt).
另外,式178所示的AttrGen算法如式197那样被改写。
[式197]
for j=1,2,
另外,式184所示的Sig算法如式198那样被改写。
[式198]
then compute I and{αi}i∈Isuch that
另外,式194所示的Ver算法如式199那样被改写。
[式199]
for1≤i≤L,
if p(i)=(t,vi),
另外,GSetup算法只要在设置签名处理系统10时由某一个密钥生成装置100执行一次即可,不需要在每次生成签名密钥时都执行。同样地,ASetup算法只要在设置签名处理系统10时由各密钥生成装置100执行一次即可,不需要在每次生成签名密钥时都执行。
另外,在上述说明中,设为由密钥生成装置100执行GSetup算法、ASetup算法以及KeyGen算法,但是也可以由各自不同的装置执行GSetup算法、ASetup算法和KeyGen算法。
实施方式3.
在以上的实施方式中,说明了在对偶矢量空间中实现签名处理的方法。在本实施方式中,说明在对偶加群(dual additive group)中实现签名处理的方法。
也就是说,在以上的实施方式中,在素数阶数q的循环群中实现了签名处理。但是,在使用合成数M如式200那样表示环R的情况下,在以环R为系数的加群中也能够应用在上述实施方式中说明的签名处理。
[式200]
在此,
Z:整数
M:合成数。
如果在以环R为系数的加群中实现实施方式1中说明的基于属性的签名方式,则成为如式201至式205那样。
[式201]
return sk,pk
[式202]
Nt∶=nt+ut+wt+zt for t=0,...,d+1,
For t=0,...,d+1,
[式203]
[式204]
then compute I and{αi}i∈Isuch that
[式205]
for 1≤i≤L,
如果在以环R为系数的加群中实现实施方式2中说明的基于分散多管理者属性的签名方式,则成为如式206至式210那样。
[式206]
gT∶=e(C0,C1),g4∶=e(G0,G4),
[式207]
ASetup(gparam,t):
Nt∶=2nt+2+ut+wt+zt,
for l=0,...,4;i=1,...,Nt,
return(askt,apkt).
[式208]
fof j=1,2,
[式209]
then compute I and{αi}i∈I such that
[式210]
for 1≤i≤L,
此外,从安全性的证明的观点出发,在以上的实施方式中,也可以限定为关于i=1,···,L的各整数i的ρ(i)是关于分别不同的识别信息t的肯定形的组(t,v→ i)或否定形的组¬(t,v→ i)。
换言之,在ρ(i)=(t,v→ i)或ρ(i)=¬(t,v→ i)的情况下,将函数ρ~设为ρ~(i)=t的{1,···,L}→{1,..,d}的映射。在该情况下,也可以限定为ρ~是单射。此外,ρ(i)是上述访问架构S:=(M,ρ(i))的ρ(i)。
另外,在上述说明中,设张成方案M^仅限于将通过输入列δ从矩阵M^得到的矩阵Mδ的行进行线性结合而得到1→的情况下,受理输入列δ。但是,也可以设为张成方案M^仅限于不是得到1→而是得到其它矢量h→的情况下,受理输入列δ。
在该情况下,在KeyGen算法中,不是s0:=1→·f→T,而是设为s0:=h→·f→T即可。
接着,说明实施方式中的签名处理系统10(密钥生成装置100、签名装置200、验证装置300)的硬件结构。
图23是表示密钥生成装置100、签名装置200、验证装置300的硬件结构的一例的图。
如图23所示,密钥生成装置100、签名装置200、验证装置300具备执行程序的CPU911(Central·Processing·Unit,还称为中央处理装置、处理装置、运算装置、微处理器、微计算机、处理器)。CPU911经由总线912与ROM913、RAM914、LCD901(Liquid CrystalDisplay:液晶显示器)、键盘902(K/B)、通信板915、磁盘装置920连接,控制这些硬件设备。代替磁盘装置920(固定盘装置),也可以使用光盘装置、存储卡读写装置等存储装置。磁盘装置920经由规定的固定盘接口进行连接。
ROM913、磁盘装置920是非易失性存储器的一例。RAM914是易失性存储器的一例。ROM913、RAM914和磁盘装置920是存储装置(存储器)的一例。另外,键盘902、通信板915是输入装置的一例。另外,通信板915是通信装置的一例。并且,LCD901是显示装置的一例。
在磁盘装置920或ROM913等中存储有操作系统921(OS)、视窗系统922、程序群923、文件群924。程序群923的程序是由CPU911、操作系统921、视窗系统922执行。
在程序群923中存储有执行在上述的说明中作为“主密钥生成部110”、“主密钥存储部120”、“信息输入部130”、“签名密钥生成部140”、“密钥分发部150”、“签名密钥获取部210”、“信息输入部220”、“张成方案计算部230”、“补充系数计算部240”、“签名数据生成部250”、“签名数据发送部260”、“公开参数获取部310”、“数据接收部320”、“验证密钥生成部330”、“配对运算部340”等说明的功能的软件、程序、其它程序。通过CPU911读出并执行程序。
在文件群924中,作为“文件”、“数据库”的各项目存储有在上述的说明中的“公开参数”、“主密钥”、“签名数据σ”、“签名密钥”、“访问架构S”、“属性信息”、“属性的集合Γ”、“消息m”等的信息、数据、信号值、变量值、参数。“文件”、“数据库”存储在盘、存储器等记录介质中。由CPU911经由读写电路将存储在盘、存储器等的存储介质中的信息、数据、信号值、变量值、参数读出到主存储器、高速缓冲存储器中,用于提取、搜索、参照、比较、运算、计算、处理、输出、打印、显示等CPU911的动作。在提取、搜索、参照、比较、运算、计算、处理、输出、打印、显示的CPU911的动作的期间,将信息、数据、信号值、变量值、参数暂时存储到主存储器、高速缓冲存储器、缓冲存储器中。
另外,上述说明中的流程图的箭头的部分主要表示数据、信号的输入输出,数据、信号值记录在RAM914的存储器、其它光盘等的记录介质、IC芯片中。另外,通过总线912、信号线、电缆以及其它传送介质、电波,在线传送数据、信号。
另外,在上述的说明中作为~部”说明的既可以是“~电路”、“~装置”、“~设备”、“~单元”、“~功能”,而且也可以是“~步骤”、“~过程”、“~处理”。另外,作为“~装置”说明的既可以是“~电路”、“~设备”、“~单元”、“~功能”,而且也可以是“~步骤”、“~过程”、“~处理”。并且,作为“~处理”说明的也可以是“~步骤”。即,作为“~部”说明的也可以由存储在ROM913中的固件实现。或者,也可以仅通过软件、或者仅通过元件、器件、基板、布线等硬件、或者通过软件和硬件的组合、进而通过与固件的组合来实施。将固件和软件作为程序存储到ROM913等记录介质中。程序由CPU911读出并由CPU911执行。即,程序用于使计算机等作为上述所述的“~部”发挥功能。或者,使计算机等执行上述所述的“~部”的过程、方法。
Claims (16)
1.一种签名处理系统,具备密钥生成装置、签名装置以及验证装置,使用关于t=0,···,d+1(d是1以上的整数)的各整数t的基底Bt和基底B*t来执行签名处理,该签名处理系统的特征在于,
所述密钥生成装置具备:
第一信息输入部,针对t=1,···,d的至少一个以上的整数t,输入包含识别信息t和属性信息x→ t:=(xt,i)(i=1,···,nt,nt是1以上的整数)的属性集合Γ;
密钥要素0生成部,生成作为基底B*0的基底矢量b*0,1的系数设定了规定的值δ的密钥要素k*0;
密钥要素t生成部,针对所述第一信息输入部所输入的属性集合Γ中包含的各识别信息t,生成作为基底B*t的基底矢量b*t,i(i=1,···,nt)的系数设定了对属性信息x→ t乘以所述规定的值δ所得的δxt,i(i=1,···,nt)的密钥要素k*t;
密钥要素d+1生成部,生成作为基底B*d+1的基底矢量b*d+1,1的系数设定了所述规定的值δ的密钥要素k*d+1,1以及作为基底B*d+1的基底矢量b*d+1,2的系数设定了所述规定的值δ的密钥要素k*d+1,2;以及
签名密钥发送部,向所述签名装置发送包含所述密钥要素0生成部所生成的密钥要素k*0、所述密钥要素t生成部所生成的关于所述属性集合Γ中包含的各识别信息t的密钥要素k*t、所述密钥要素d+1生成部所生成的密钥要素k*d+1,1和密钥要素k*d+1,2、以及所述属性集合Γ的签名密钥skΓ,
所述签名装置具备:
第二信息输入部,输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
签名密钥获取部,获取所述签名密钥发送部所发送的签名密钥skΓ;
补充系数计算部,基于所述第二信息输入部所输入的变量ρ(i)和所述签名密钥获取部所获取的签名密钥skΓ中包含的属性集合Γ,确定集合I,并且针对所确定的集合I中包含的i,基于作为所述第二信息输入部所输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积不成为0的i的集合;
签名要素0生成部,生成包含所述签名密钥skΓ中包含的密钥要素k*0的签名要素s*0;
签名要素i生成部,针对i=1,···,L的各整数i,在是所述补充系数计算部所确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(v→ i·x→ t),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而生成包含对所述签名密钥skΓ中包含的密钥要素k*t乘以所述值γi所得的γik*t的签名要素s*i;
签名要素L+1生成部,生成签名要素s*L+1,该签名要素s*L+1包含所述签名密钥skΓ中包含的密钥要素k*d+1,1与对所述密钥要素k*d+1, 2乘以使用所述消息m来生成的值m’所得的m’·k*d+1,2之和;以及
签名数据发送部,向所述验证装置发送包含所述签名要素0生成部所生成的签名要素s*0、所述签名要素i生成部所生成的关于i=1,···,L的各整数i的签名要素s*i、所述签名要素L+1生成部所生成的签名要素s*L+1、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ,
所述验证装置具备:
数据获取部,获取所述签名数据发送部所发送的签名数据σ;
验证要素0生成部,作为基底B0的基底矢量b0,1的系数设定-s0-sL+1来生成验证要素c0,其中,-s0-sL+1是根据使用具有r个要素的矢量f→和所述矢量h→来生成的值s0:=h→·f→T和规定的值sL+1计算的;
验证要素i生成部,使用基于所述矢量f→和所述数据获取部所获取的签名数据σ中包含的矩阵M生成的列矢量s→T:=(s1,···,sL)T:=M·f→T和关于i=1,···,L的各整数i的规定的值θi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,作为该组的识别信息t所表示的基底Bt的基底矢量bt,1的系数设定si+θivi,1,作为基底矢量bt,i’(i’=2,···,nt)的系数设定θivi,i’(i’=2,···,nt)来生成验证要素ci,在变量ρ(i)是否定形的组¬(t,v→ i)的情况下,作为该组的识别信息t所表示的基底矢量bt,i’(i’=1,···,nt)的系数设定sivi,i’(i’=1,···,nt)来生成验证要素ci;
验证要素L+1生成部,作为基底Bd+1的基底矢量bd+1,1的系数设定根据所述规定的值sL+1、所述值m’以及规定的值θL+1计算的sL+1-θL+1m’,作为基底矢量bd+1,2的系数设定所述规定的值θL+1来生成验证要素cL+1;以及
配对运算部,针对所述验证要素0生成部所生成的验证要素c0、所述验证要素i生成部所生成的验证要素ci、所述验证要素L+1生成部所生成的验证要素cL+1以及所述签名数据σ中包含的签名要素s*0、s*i、s*L+1,进行配对运算Πi=0 L+1e(ci,s*i),验证所述签名数据σ的正当性。
2.根据权利要求1所述的签名处理系统,其特征在于,
所述签名处理系统使用至少具有基底矢量bt,i(i=1,···,1+u0,···,1+u0+w0,···,1+u0+w0+z0)的基底B0、至少具有基底矢量bt,i(i=1,···,nt,···,nt+ut,···,nt+ut+wt,···,nt+ut+wt+zt)(ut、wt、zt是1以上的整数)的基底Bt(t=1,···,d)、至少具有基底矢量bt,i(i=1,2,···,2+ud+1,···,2+ud+1+wd+1,···,2+ud+1+wd+1+zd+1)的基底Bd+1、至少具有基底矢量b*t,i(i=1,···,1+u0,···,1+u0+w0,···,1+u0+w0+z0)的基底B*0、至少具有基底矢量b*t,i(i=1,···,nt,···,nt+ut,···,nt+ut+wt,···,nt+ut+wt+zt)(ut、wt、zt是1以上的整数)的基底B*t(t=1,···,d)以及至少具有基底矢量b*t,i(i=1,2,···,2+ud+1,···,2+ud+1+wd+1,···,2+ud+1+wd+1+zd+1)的基底B*d+1来执行签名处理,
在所述密钥生成装置中,
所述密钥要素0生成部基于随机数δ和随机数φ0,i(i=1,···,w0)生成式1所示的密钥要素k*0,
所述密钥要素t生成部基于所述随机数δ和随机数φt,i(i=1,···,wt),针对所述属性集合Γ中包含的各识别信息t生成式2所示的密钥要素k*t,
所述密钥要素d+1生成部基于所述随机数δ、随机数φd+1,1,i(i=1,···,wd+1)以及随机数φd+1,2,i(i=1,···,wd+1)生成式3所示的密钥要素k*d+1,1和密钥要素k*d+1,2,
在所述签名装置中,
所述签名要素0生成部基于随机数ξ生成式4所示的签名要素s*0,
所述签名要素i生成部针对i=1,···,L的各整数i,基于所述随机数ξ生成式5所示的签名要素s*i,
所述签名要素L+1生成部基于所述随机数ξ和所述值m’生成式6所示的签名要素s*L+1,
在所述验证装置中,
所述验证要素0生成部基于所述值s0、随机数sL+1以及随机数η0,i(i=1,···,z0)生成式7所示的验证要素c0,
所述验证要素i生成部基于所述列矢量s→T、随机数θi以及随机数ηi,i’(i=1,···,L;i’=1,···,zt),针对i=1,···,L的各整数i,生成式8所示的验证要素ci,
所述验证要素L+1生成部基于所述随机数sL+1、随机数θL+1、随机数ηL+1,i’(i’=1,···,zd+1)以及所述值m’,生成式9所示的验证要素cL+1,
[式1]
[式2]
[式3]
[式4]
[式5]
where
[式6]
[式7]
[式8]
ifρ(i)=(t,vi),
[式9]
3.根据权利要求1或2所述的签名处理系统,其特征在于,
在所述签名装置中,
所述签名要素L+1生成部将以所述消息m、所述矩阵M以及关于i=1,···,L的各整数i的所述变量ρ(i)为输入的哈希值用作所述值m’,来生成签名要素s*L+1,
在所述验证装置中,
所述验证要素L+1生成部将所述哈希值用作所述值m’来生成验证要素cL+1。
4.一种密钥生成装置,在使用关于t=0,···,d+1(d是1以上的整数)的各整数t的基底Bt和基底B*t来执行签名处理的签名处理系统中生成签名密钥skΓ,该密钥生成装置的特征在于,具备:
第一信息输入部,针对t=1,···,d的至少一个以上的整数t,输入包含识别信息t和属性信息x→ t:=(xt,i)(i=1,···,nt,nt是1以上的整数)的属性集合Γ;
密钥要素0生成部,生成作为基底B*0的基底矢量b*0,1的系数设定了规定的值δ的密钥要素k*0;
密钥要素t生成部,针对所述第一信息输入部所输入的属性集合Γ中包含的各识别信息t,生成作为基底B*t的基底矢量b*t,i(i=1,···,nt)的系数设定了对属性信息x→ t乘以所述规定的值δ所得的δxt,i(i=1,···,nt)的密钥要素k*t;
密钥要素d+1生成部,生成作为基底B*d+1的基底矢量b*d+1,1的系数设定了所述规定的值δ的密钥要素k*d+1,1以及作为基底B*d+1的基底矢量b*d+1,2的系数设定了所述规定的值δ的密钥要素k*d+1,2;以及
签名密钥发送部,向签名装置发送包含所述密钥要素0生成部所生成的密钥要素k*0、所述密钥要素t生成部所生成的关于所述属性集合Γ中包含的各识别信息t的密钥要素k*t、所述密钥要素d+1生成部所生成的密钥要素k*d+1,1和密钥要素k*d+1,2、以及所述属性集合Γ的签名密钥skΓ。
5.一种签名装置,在使用关于t=0,···,d+1(d是1以上的整数)的各整数t的基底Bt和基底B*t来执行签名处理的签名处理系统中生成签名数据σ,该签名装置的特征在于,具备:
签名密钥获取部,作为签名密钥skΓ获取:针对t=1,···,d的至少一个以上的整数t,包含识别信息t和属性信息x→ t:=(xt,i)(i=1,···,nt,nt是1以上的整数)的属性集合Γ;作为基底B*0的基底矢量b*0,1的系数设定了规定的值δ的密钥要素k*0;针对所述第一信息输入部所输入的属性集合Γ中包含的各识别信息t,作为基底B*t的基底矢量b*t,i(i=1,···,nt)的系数设定了对属性信息x→ t乘以所述规定的值δ所得的δxt,i(i=1,···,nt)的密钥要素k*t;作为基底B*d+1的基底矢量b*d+1,1的系数设定了所述规定的值δ的密钥要素k*d+1,1;以及作为基底B*d+1的基底矢量b*d+1,2的系数设定了所述规定的值δ的密钥要素k*d+1,2;
第二信息输入部,输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→i)和否定形的组¬(t,v→ i)中的任一个;
补充系数计算部,基于所述第二信息输入部所输入的变量ρ(i)和所述签名密钥获取部所获取的签名密钥skΓ中包含的属性集合Γ,确定集合I,并且针对所确定的集合I中包含的i,基于作为所述第二信息输入部所输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积不成为0的i的集合;
签名要素0生成部,生成包含所述签名密钥skΓ中包含的密钥要素k*0的签名要素s*0;
签名要素i生成部,针对i=1,···,L的各整数i,在是所述补充系数计算部所确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(v→ i·x→ t),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而生成包含对所述签名密钥skΓ中包含的密钥要素k*t乘以所述值γi所得的γik*t的签名要素s*i;
签名要素L+1生成部,生成签名要素s*L+1,该签名要素s*L+1包含所述签名密钥skΓ中包含的密钥要素k*d+1,1与对所述密钥要素k*d+1, 2乘以使用所述消息m来生成的值m’所得的m’·k*d+1,2之和;以及
签名数据发送部,向验证装置发送包含所述签名要素0生成部所生成的签名要素s*0、所述签名要素i生成部所生成的关于i=1,···,L的各整数i的签名要素s*i、所述签名要素L+1生成部所生成的签名要素s*L+1、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ。
6.一种验证装置,在使用关于t=0,···,d+1(d是1以上的整数)的各整数t的基底Bt和基底B*t来执行签名处理的签名处理系统中验证签名数据σ,该验证装置的特征在于,具备:
数据获取部,获取包含签名要素s*0、关于i=1,···,L的各整数i的签名要素s*i、签名要素s*L+1、消息m、关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)以及L行r列(r是1以上的整数)的规定的矩阵M的签名数据σ,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
验证要素0生成部,作为基底B0的基底矢量b0,1的系数设定-s0-sL+1来生成验证要素c0,其中,-s0-sL+1是根据使用具有r个要素的矢量f→和具有r个要素的矢量h→来生成的值s0:=h→·f→T和规定的值sL+1计算的;
验证要素i生成部,使用基于所述矢量f→和所述数据获取部所获取的签名数据σ中包含的矩阵M生成的列矢量s→T:=(s1,···,sL)T:=M·f→T和关于i=1,···,L的各整数i的规定的值θi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,作为该组的识别信息t所表示的基底Bt的基底矢量bt,1的系数设定si+θivi,1,作为基底矢量bt,i’(i’=2,···,nt)的系数设定θivi,i’(i’=2,···,nt)来生成验证要素ci,在变量ρ(i)是否定形的组¬(t,v→ i)的情况下,作为该组的识别信息t所表示的基底矢量bt,i’(i’=1,···,nt)的系数设定sivi,i’(i’=1,···,nt)来生成验证要素ci;
验证要素L+1生成部,作为基底Bd+1的基底矢量bd+1,1的系数设定根据所述规定的值sL+1、所述值m’以及规定的值θL+1计算的sL+1-θL+1m’,作为基底矢量bd+1,2的系数设定所述规定的值θL+1来生成验证要素cL+1;以及
配对运算部,针对所述验证要素0生成部所生成的验证要素c0、所述验证要素i生成部所生成的验证要素ci、所述验证要素L+1生成部所生成的验证要素cL+1以及所述签名数据σ中包含的签名要素s*0、s*i、s*L+1,进行配对运算Πi=0 L+1e(ci,s*i),验证所述签名数据σ的正当性。
7.一种签名处理系统,具备d个(d是1以上的整数)密钥生成装置、签名装置以及验证装置,使用关于t=1,···,d的至少一个以上的整数t的基底Bt和基底B*t来执行签名处理,该签名处理系统的特征在于,
所述d个密钥生成装置的各密钥生成装置具备:
第一信息输入部,输入关于t=1,···,d中的针对每个密钥生成装置预先确定的整数t的属性信息x→ t:=(xt,i)(i=1,···,nt,nt是1以上的整数);
密钥要素生成部,针对所述整数t和j=1,2的各整数j,基于所述第一信息输入部所输入的属性信息x→t、规定的值δj、规定的值Δ以及基底B*t的基底矢量b*t,i(i=1,···,2nt)生成包含式10所示的矢量的密钥要素k*t,j;以及
签名密钥发送部,向所述签名装置发送包含所述密钥要素生成部所生成的密钥要素k*t,j和所述属性信息x→ t的签名密钥usk,
所述签名装置具备:
第二信息输入部,输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
签名密钥获取部,获取所述d个密钥生成装置中的、至少一个以上的密钥生成装置的签名密钥发送部所发送的签名密钥usk;
补充系数计算部,基于所述第二信息输入部所输入的变量ρ(i)和所述签名密钥获取部所获取的签名密钥usk中包含的属性信息xt,确定集合I,并且针对所确定的集合I中包含的i,基于作为所述第二信息输入部所输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且所述签名密钥获取部获取到包含该组的识别信息t所表示的xt的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且所述签名密钥获取部获取到包含该组的识别信息t所表示的x→ t的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积不成为0的i的集合;
签名要素生成部,基于所述签名密钥usk中包含的密钥要素k*t, 1和密钥要素k*t,2、规定的值ξ1、Ε、μ以及根据所述消息m计算的值m’,针对i=1,···,L的各整数i,在是所述补充系数计算部所确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(vi·xt),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而使用基底B*t的基底矢量b*t, i(i=2nt+1,2nt+2)生成包含式11所示的矢量的签名要素s*i;以及
签名数据发送部,向所述验证装置发送包含所述签名要素生成部所生成的关于i=1,···,L的各整数i的签名要素s*i、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ,
所述验证装置具备:
数据获取部,获取所述签名数据发送部所发送的签名数据σ;
矢量生成部,基于具有r个要素的矢量f→和所述数据获取部所获取的签名数据σ中包含的矩阵M生成列矢量s→T:=(s1,···,sL)T:=M·f→T,并且基于设为s0:=h→·f→T而s0=h→·(f→’)T的具有r个要素的矢量f→’和所述矩阵M生成列矢量(s→’)T:=(s1’,···,sL’)T:=M·(f→’)T;
验证要素生成部,基于所述矢量生成部所生成的列矢量s→T和列矢量(s→’)T、以及关于i=1,···,L的各整数i的规定的值θi、θi’、θi’’、σi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,使用该组的识别信息t所表示的基底Bt的基底矢量bt, i’(i’=1,···,2nt+2)生成包含式12所示的矢量的验证要素ci,在变量ρ(i)为否定形的组¬(t,v→ i)的情况下,使用该组的识别信息t所表示的基底矢量bt,i(i’=1,···,2nt+2)生成包含式13所示的矢量的验证要素ci;以及
配对运算部,针对所述验证要素生成部所生成的验证要素ci和所述签名数据σ中包含的签名要素s*i,进行配对运算Πi=1 Le(ci,s*i),验证所述签名数据σ的正当性,
[式10]
[式11]
[式12]
[式13]
8.根据权利要求7所述的签名处理系统,其特征在于,
所述签名处理系统针对t=1,···,d的至少一个以上的整数t,使用至少具有基底矢量bt,i(i=1,···,2nt+2,···,2nt+2+ut,···,2nt+2+ut+wt,···,2nt+2+ut+wt+zt)(ut、wt、zt是1以上的整数)的基底Bt以及至少具有基底矢量b*t,i(i=1,···,2nt+2,···,2nt+2+ut,···,2nt+2+ut+wt,···,2nt+2+ut+wt+zt)的基底B*t来执行签名处理,
在所述密钥生成装置中,
基于所述属性信息x→ t、所述规定的值δj、Δ、随机数φt,j,i(j=1,2;i=1,···,wt),针对所述整数t和j=1,2的各整数j生成式14所示的密钥要素k*t,j,
在所述签名装置中,
所述签名要素生成部基于所述密钥要素k*t,1和所述密钥要素k*t, 2、随机数ξ1、ξ2、规定的值Ε、π、π’、μ以及所述值m’,针对i=1,···,L的各整数i,使用式15所示的r*i,γi,y→ i:=(yi,i)(i=1,···,nt),y’→ i:=(y’i,i)(i=1,···,nt)生成式16所示的签名要素s*i,
在所述验证装置中,
所述验证要素生成部基于所述列矢量s→T和所述列矢量(s→’)T、随机数θi、θi’、θi’’、所述规定的值σi以及随机数ηi,i’(i=1,···,L;i’=1,···,zt),针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下生成式17所示的验证要素ci,在变量ρ(i)是否定形的组¬(t,v→ i)的情况下生成式18所示的验证要素ci,
[式14]
[式15]
[式16]
[式17]
[式18]
9.根据权利要求7或8所述的签名处理系统,其特征在于,
在所述签名装置中,
所述签名要素生成部将以所述消息m、所述矩阵M以及关于i=1,···,L的各整数i的所述变量ρ(i)为输入的哈希值用作所述值m’来生成签名要素s*i,
在所述验证装置中,
所述验证要素生成部将所述哈希值用作所述值m’来生成验证要素ci。
10.一种密钥生成装置,在使用关于t=1,···,d的至少一个以上的整数t的基底Bt和基底B*t来执行签名处理的签名处理系统中生成签名密钥usk,该密钥生成装置的特征在于,具备:
第一信息输入部,针对t=1,···,d中的规定的整数t,输入属性信息x→ t:=(xt,i)(i=1,···,nt);
密钥要素生成部,针对所述整数t和j=1,2的各整数j,基于所述第一信息输入部所输入的属性信息x→ t、规定的值δj、规定的值Δ以及基底B*t的基底矢量b*t,i(i=1,···,2nt)生成包含式19所示的矢量的密钥要素k*t,j;以及
签名密钥发送部,向签名装置发送包含所述密钥要素生成部所生成的密钥要素k*t,j和所述属性信息x→ t的签名密钥usk,
[式19]
11.一种签名装置,在使用关于t=1,···,d的至少一个以上的整数t的基底Bt和基底B*t来执行签名处理的签名处理系统中生成签名数据σ,该签名装置的特征在于,具备:
签名密钥获取部,针对t=1,···,d中的至少一部分整数t和j=1,2的各整数j,基于属性信息x→t:=(xt,i)(i=1,···,nt)、规定的值δj、规定的值Δ以及基底B*t的基底矢量b*t,i(i=1,···,2nt),获取包括以包含式20所示的矢量的方式生成的密钥要素k*t,j和所述属性信息x→ t的签名密钥usk;
第二信息输入部,输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
补充系数计算部,基于所述第二信息输入部所输入的变量ρ(i)和所述签名密钥获取部所获取的签名密钥usk中包含的属性信息x→ t,确定集合I,并且针对所确定的集合I中包含的i,基于作为所述第二信息输入部所输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且所述签名密钥获取部获取到包含该组的识别信息t所表示的x→ t的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且所述签名密钥获取部获取到包含该组的识别信息t所表示的x→ t的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积不成为0但不相等的i的集合;
签名要素生成部,基于所述签名密钥usk中包含的密钥要素k*t, 1和密钥要素k*t,2、规定的值ξ1、Ε、μ以及根据所述消息m计算的值m’,针对i=1,···,L的各整数i,在是所述补充系数计算部所确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(v→ i·x→ t),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而使用基底B*t的基底矢量b*t,i(i=2nt+1,2nt+2)生成包含式21所示的矢量的签名要素s*i;以及
签名数据发送部,向所述验证装置发送包含所述签名要素生成部所生成的关于i=1,···,L的各整数i的签名要素s*i、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ,
[式20]
[式21]
12.一种验证装置,在使用关于t=1,···,d的至少一个以上的整数t的基底Bt和基底B*t来执行签名处理的签名处理系统中验证签名数据σ,该验证装置的特征在于,具备:
数据获取部,获取包含关于i=1,···,L的各整数i的签名要素s*i、消息m、关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)以及L行r列(r是1以上的整数)的规定的矩阵M的签名数据σ,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
矢量生成部,基于具有r个要素的矢量f→和所述数据获取部所获取的签名数据σ中包含的矩阵M生成列矢量s→T:=(s1,···,sL)T:=M·f→T,并且基于设为s0:=h→·f→T而s0=h→·(f→’)T的具有r个要素的矢量f→’和所述矩阵M生成列矢量(s→’)T:=(s1’,···,sL’)T:=M·(f→’)T;
验证要素生成部,基于所述矢量生成部所生成的列矢量s→T和列矢量(s→’)T、关于i=1,···,L的各整数i的规定的值θi、θi’、θi’’、σi,关于i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,使用该组的识别信息t所表示的基底Bt的基底矢量bt,i’(i’=1,···,2nt+2)生成包含式22所示的矢量的验证要素ci,在变量ρ(i)为否定形的组¬(t,v→ i)的情况下,使用该组的识别信息t所表示的基底矢量bt, i(i’=1,···,2nt+2)生成包含式23所示的矢量的验证要素ci;以及
配对运算部,针对所述验证要素生成部所生成的验证要素ci和所述签名数据σ中包含的签名要素s*i,进行配对运算Πi=1 Le(ci,s*i),验证所述签名数据σ的正当性,
[式22]
[式23]
13.一种签名处理方法,使用关于t=0,···,d+1(d是1以上的整数)的各整数t的基底Bt和基底B*t来执行签名处理,该签名处理方法的特征在于,具备:
第一信息输入工序,密钥生成装置针对t=1,···,d的至少一个以上的整数t,输入包含识别信息t和属性信息x→ t:=(xt,i)(i=1,···,nt,nt是1以上的整数)的属性集合Γ;
密钥要素0生成工序,所述密钥生成装置生成作为基底B*0的基底矢量b*0,1的系数设定了规定的值δ的密钥要素k*0;
密钥要素t生成工序,所述密钥生成装置针对通过所述第一信息输入工序输入的属性集合Γ中包含的各识别信息t,生成作为基底B*t的基底矢量b*t,i(i=1,···,nt)的系数设定了对属性信息x→ t乘以所述规定的值δ所得的δxt,i(i=1,···,nt)的密钥要素k*t;
密钥要素d+1生成工序,所述密钥生成装置生成作为基底B*d+1的基底矢量b*d+1,1的系数设定了所述规定的值δ的密钥要素k*d+1,1以及作为基底B*d+1的基底矢量b*d+1,2的系数设定了所述规定的值δ的密钥要素k*d+1,2;
签名密钥发送工序,所述密钥生成装置向签名装置发送包含通过所述密钥要素0生成工序生成的密钥要素k*0、通过所述密钥要素t生成工序生成的关于所述属性集合Γ中包含的各识别信息t的密钥要素k*t、通过所述密钥要素d+1生成工序生成的密钥要素k*d+1,1和密钥要素k*d+1,2、以及所述属性集合Γ的签名密钥skΓ;
第二信息输入工序,所述签名装置输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
签名密钥获取工序,所述签名装置获取通过所述签名密钥发送工序发送的签名密钥skΓ;
补充系数计算工序,所述签名装置基于通过所述第二信息输入工序输入的变量ρ(i)和通过所述签名密钥获取工序获取的签名密钥skΓ中包含的属性集合Γ,确定集合I,并且针对所确定的集合I中包含的i,基于作为通过所述第二信息输入工序输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积不成为0的i的集合;
签名要素0生成工序,所述签名装置生成包含所述签名密钥skΓ中包含的密钥要素k*0的签名要素s*0;
签名要素i生成工序,所述签名装置针对i=1,···,L的各整数i,在是通过所述补充系数计算工序确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(v→ i·x→ t),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而生成包含对所述签名密钥skΓ中包含的密钥要素k*t乘以所述值γi所得的γik*t的签名要素s*i;
签名要素L+1生成工序,所述签名装置生成签名要素s*L+1,该签名要素s*L+1包含所述签名密钥skΓ中包含的密钥要素k*d+1,1与对所述密钥要素k*d+1,2乘以使用所述消息m来生成的值m’所得的m’·k*d+1,2之和;
签名数据发送工序,所述签名装置向验证装置发送包含通过所述签名要素0生成工序生成的签名要素s*0、通过所述签名要素i生成工序生成的关于i=1,···,L的各整数i的签名要素s*i、通过所述签名要素L+1生成工序生成的签名要素s*L+1、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ;
数据获取工序,所述验证装置获取通过所述签名数据发送工序发送的签名数据σ;
验证要素0生成工序,所述验证装置作为基底B0的基底矢量b0, 1的系数设定-s0-sL+1来生成验证要素c0,其中,-s0-sL+1是根据使用具有r个要素的矢量f→和所述矢量h→来生成的值s0:=h→·f→T和规定的值sL+1计算的;
验证要素i生成工序,所述验证装置使用基于所述矢量f→和通过所述数据获取工序获取的签名数据σ中包含的矩阵M生成的列矢量s→T:=(s1,···,sL)T:=M·f→T和关于i=1,···,L的各整数i的规定的值θi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,作为该组的识别信息t所表示的基底Bt的基底矢量bt,1的系数设定si+θivi,1,作为基底矢量bt,i’(i’=2,···,nt)的系数设定θivi,i’(i’=2,···,nt)来生成验证要素ci,在变量ρ(i)是否定形的组¬(t,v→ i)的情况下,作为该组的识别信息t所表示的基底矢量bt,i’(i’=1,···,nt)的系数设定sivi,i’(i’=1,···,nt)来生成验证要素ci;
验证要素L+1生成工序,所述验证装置作为基底Bd+1的基底矢量bd+1,1的系数设定根据所述规定的值sL+1、所述值m’以及规定的值θL+1计算的sL+1-θL+1m’,作为基底矢量bd+1,2的系数设定所述规定的值θL+1来生成验证要素cL+1;以及
配对运算工序,所述验证装置针对通过所述验证要素0生成工序生成的验证要素c0、通过所述验证要素i生成工序生成的验证要素ci、通过所述验证要素L+1生成工序生成的验证要素cL+1以及所述签名数据σ中包含的签名要素s*0、s*i、s*L+1,进行配对运算Πi=0 L+1e(ci,s*i),验证所述签名数据σ的正当性。
14.一种签名处理程序,具备密钥生成程序、签名程序以及验证程序,使用关于t=0,···,d+1(d是1以上的整数)的各整数t的基底Bt和基底B*t来执行签名处理,该签名处理程序的特征在于:
所述密钥生成程序使计算机执行如下处理:
第一信息输入处理,针对t=1,···,d的至少一个以上的整数t,输入包含识别信息t和属性信息x→ t:=(xt,i)(i=1,···,nt,nt是1以上的整数)的属性集合Γ;
密钥要素0生成处理,生成作为基底B*0的基底矢量b*0,1的系数设定了规定的值δ的密钥要素k*0;
密钥要素t生成处理,针对通过所述第一信息输入处理输入的属性集合Γ中包含的各识别信息t,生成作为基底B*t的基底矢量b*t,i(i=1,···,nt)的系数设定了对属性信息x→ t乘以所述规定的值δ所得的δxt,i(i=1,···,nt)的密钥要素k*t;
密钥要素d+1生成处理,生成作为基底B*d+1的基底矢量b*d+1,1的系数设定了所述规定的值δ的密钥要素k*d+1,1以及作为基底B*d+1的基底矢量b*d+1,2的系数设定了所述规定的值δ的密钥要素k*d+1,2;以及
签名密钥发送处理,向所述签名装置发送包含通过所述密钥要素0生成处理生成的密钥要素k*0、通过所述密钥要素t生成处理生成的关于所述属性集合Γ中包含的各识别信息t的密钥要素k*t、通过所述密钥要素d+1生成处理生成的密钥要素k*d+1,1和密钥要素k*d+1,2、以及所述属性集合Γ的签名密钥skΓ,
所述签名程序使计算机执行如下处理:
第二信息输入处理,输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
签名密钥获取处理,获取通过所述签名密钥发送处理发送的签名密钥skΓ;
补充系数计算处理,基于通过所述第二信息输入处理输入的变量ρ(i)、通过所述签名密钥获取处理获取的签名密钥skΓ中包含的属性集合Γ,确定集合I,并且针对所确定的集合I中包含的i,基于作为通过所述第二信息输入处理输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且该组的v→ i与该组的识别信息t所表示的属性集合Γ中包含的x→ t的内积不成为0的i的集合;
签名要素0生成处理,生成包含所述签名密钥skΓ中包含的密钥要素k*0的签名要素s*0;
签名要素i生成处理,针对i=1,···,L的各整数i,在是通过所述补充系数计算处理确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(v→ i·x→ t),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而生成包含对所述签名密钥skΓ中包含的密钥要素k*t乘以所述值γi所得的γik*t的签名要素s*i;
签名要素L+1生成处理,生成签名要素s*L+1,该签名要素s*L+1包含所述签名密钥skΓ中包含的密钥要素k*d+1,1与对所述密钥要素k*d+1,2乘以使用所述消息m来生成的值m’所得的m’·k*d+1,2之和签名要素s*L+1;以及
签名数据发送处理,向所述验证装置发送包含通过所述签名要素0生成处理生成的签名要素s*0、通过所述签名要素i生成处理生成的关于i=1,···,L的各整数i的签名要素s*i、通过所述签名要素L+1生成处理生成的签名要素s*L+1、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ,
所述验证程序使计算机执行如下处理:
数据获取处理,获取通过所述签名数据发送处理发送的签名数据σ;
验证要素0生成处理,作为基底B0的基底矢量b0,1的系数设定-s0-sL+1来生成验证要素c0,其中,-s0-sL+1是根据使用具有r个要素的矢量f→和所述矢量h→来生成的值s0:=h→·f→T和规定的值sL+1计算的;
验证要素i生成处理,使用基于所述矢量f→和通过所述数据获取处理获取的签名数据σ中包含的矩阵M生成的列矢量s→T:=(s1,···,sL)T:=M·f→T和关于i=1,···,L的各整数i的规定的值θi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,作为该组的识别信息t所表示的基底Bt的基底矢量bt,1的系数设定si+θivi,1,作为基底矢量bt,i’(i’=2,···,nt)的系数设定θivi,i’(i’=2,···,nt)来生成验证要素ci,在变量ρ(i)是否定形的组¬(t,v→ i)的情况下,作为该组的识别信息t所表示的基底矢量bt,i’(i’=1,···,nt)的系数设定sivi,i’(i’=1,···,nt)来生成验证要素ci;
验证要素L+1生成处理,作为基底Bd+1的基底矢量bd+1,1的系数设定根据所述规定的值sL+1、所述值m’以及规定的值θL+1计算的sL+1-θL+1m’,作为基底矢量bd+1,2的系数设定所述规定的值θL+1来生成验证要素cL+1;以及
配对运算处理,针对通过所述验证要素0生成处理生成的验证要素c0、通过所述验证要素i生成处理生成的验证要素ci、通过所述验证要素L+1生成处理生成的验证要素cL+1以及所述签名数据σ中包含的签名要素s*0、s*i、s*L+1,进行配对运算Πi=0 L+1e(ci,s*i),验证所述签名数据σ的正当性。
15.一种签名处理方法,使用关于t=1,···,d(d是1以上的整数)的至少一个以上的整数t的基底Bt和基底B*t来执行签名处理,该签名处理方法的特征在于,具备:
第一信息输入工序,d个密钥生成装置中的至少1个以上的密钥生成装置输入关于t=1,···,d中的针对每个密钥生成装置预先确定的整数t的属性信息x→ t:=(xt,i)(i=1,···,nt);
密钥要素生成工序,所述至少1个以上的密钥生成装置针对所述整数t和j=1,2的各整数j,基于通过所述第一信息输入工序输入的属性信息x→ t、规定的值δj、规定的值Δ以及基底B*t的基底矢量b*t, i(i=1,···,2nt)生成包含式24所示的矢量的密钥要素k*t,j;
签名密钥发送工序,所述至少1个以上的密钥生成装置向签名装置发送包含通过所述密钥要素生成工序生成的密钥要素k*t,j和所述属性信息x→ t的签名密钥usk;
第二信息输入工序,所述签名装置输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
签名密钥获取工序,所述签名装置获取通过所述d个密钥生成装置中的、至少一个以上的密钥生成装置的签名密钥发送工序发送的签名密钥usk;
补充系数计算工序,所述签名装置基于通过所述第二信息输入工序输入的变量ρ(i)和通过所述签名密钥获取工序获取的签名密钥usk中包含的属性信息x→ t,确定集合I,并且针对所确定的集合I中包含的i,基于作为通过所述第二信息输入工序输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且通过所述签名密钥获取工序获取到包含该组的识别信息t所表示的x→ t的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且通过所述签名密钥获取工序获取到包含该组的识别信息t所表示的x→ t的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积不成为0的i的集合;
签名要素生成工序,所述签名装置基于所述签名密钥usk中包含的密钥要素k*t,1和密钥要素k*t,2、规定的值ξ1、Ε、μ以及根据所述消息m计算的值m’,针对i=1,···,L的各整数i,在是通过所述补充系数计算工序确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(v→ i·x→ t),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而使用基底B*t的基底矢量b*t,i(i=2nt+1,2nt+2)生成包含式25所示的矢量的签名要素s*i;
签名数据发送工序,所述签名装置向验证装置发送包含通过所述签名要素生成工序生成的关于i=1,···,L的各整数i的签名要素s*i、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ;
数据获取工序,所述验证装置获取通过所述签名数据发送工序发送的签名数据σ;
矢量生成工序,所述验证装置基于具有r个要素的矢量f→和通过所述数据获取工序获取的签名数据σ中包含的矩阵M生成列矢量s→T:=(s1,···,sL)T:=M·f→T,并且基于设为s0:=h→·f→T而s0=h→·(f→’)T的具有r个要素的矢量f→’和所述矩阵M生成列矢量(s→’)T:=(s1’,···,sL’)T:=M·(f→’)T;
验证要素生成工序,所述验证装置基于通过所述矢量生成工序生成的列矢量s→T和列矢量(s→’)T、以及关于i=1,···,L的各整数i的规定的值θi、θi’、θi’’、σi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,使用该组的识别信息t所表示的基底Bt的基底矢量bt,i’(i’=1,···,2nt+2)生成包含式26所示的矢量的验证要素ci,在变量ρ(i)为否定形的组¬(t,v→ i)的情况下,使用该组的识别信息t所表示的基底矢量bt,1至基底矢量bt,i(i’=1,···,2nt+2)生成包含式27所示的矢量的验证要素ci;以及
配对运算工序,所述验证装置针对通过所述验证要素生成工序生成的验证要素ci和所述签名数据σ中包含的签名要素s*i,进行配对运算Πi=1 Le(ci,s*i),验证所述签名数据σ的正当性,
[式24]
[式25]
[式26]
[式27]
16.一种签名处理程序,具备通过d个(d是1以上的整数)密钥生成装置动作的密钥生成程序、通过签名装置动作的签名程序以及通过验证装置动作的验证程序,使用关于t=1,···,d的至少一个以上的整数t的基底Bt和基底B*t来执行签名处理,该签名处理程序的特征在于,
所述密钥生成程序使计算机执行如下处理:
第一信息输入处理,输入关于t=1,···,d中的针对每个密钥生成装置预先确定的整数t的属性信息x→ t:=(xt,i)(i=1,···,nt);
密钥要素生成处理,针对所述整数t和j=1,2的各整数j,基于通过所述第一信息输入处理输入的属性信息x→t、规定的值δj、规定的值Δ以及基底B*t的基底矢量b*t,i(i=1,···,2nt)生成包含式28所示的矢量的密钥要素k*t,j;以及
签名密钥发送处理,向所述签名装置发送包含通过所述密钥要素生成处理生成的密钥要素k*t,j和所述属性信息x→ t的签名密钥usk,
所述签名程序使计算机执行如下处理:
第二信息输入处理,输入关于i=1,···,L(L是1以上的整数)的各整数i的变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M以及消息m,其中,所述变量ρ(i)是识别信息t(t=1,···,d中的任一个整数)与属性信息v→ i:=(vi,i’)(i’=1,···,nt)的肯定形的组(t,v→ i)和否定形的组¬(t,v→ i)中的任一个;
签名密钥获取处理,获取通过所述d个密钥生成装置中的、至少一个以上的密钥生成装置的签名密钥发送处理发送的签名密钥usk;
补充系数计算处理,基于通过所述第二信息输入处理输入的变量ρ(i)和通过所述签名密钥获取处理获取的签名密钥usk中包含的属性信息x→ t,确定集合I,并且针对所确定的集合I中包含的i,基于作为通过所述第二信息输入处理输入的矩阵M的第i行的要素的Mi,计算在将αiMi合计时成为规定的矢量h→的补充系数αi,其中,所述集合I是i=1,···,L的各整数i中的、变量ρ(i)是肯定形的组(t,v→ i)且通过所述签名密钥获取处理获取到包含该组的识别信息t所表示的x→ t的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积成为0的i以及变量ρ(i)为否定形的组¬(t,v→ i)且通过所述签名密钥获取处理获取到包含该组的识别信息t所表示的x→ t的签名密钥usk且该组的v→ i与该组的识别信息t所表示的属性信息x→ t的内积不成为0的i的集合;
签名要素生成处理,基于所述签名密钥usk中包含的密钥要素k*t,1和密钥要素k*t,2、规定的值ξ1、Ε、μ以及根据所述消息m计算的值m’,针对i=1,···,L的各整数i,在是通过所述补充系数计算处理确定的集合I中包含的整数i、且变量ρ(i)是肯定形的组(t,v→ i)的情况下设为值γi:=αi,在是所述集合I中包含的i、且变量ρ(i)为否定形的组¬(t,v→ i)的情况下设为值γi:=αi/(v→ i·x→ t),在不包含在所述集合I中的整数i的情况下设为值γi:=0,从而使用基底B*t的基底矢量b*t,i(i=2nt+1,2nt+2)生成包含式29所示的矢量的签名要素s*i;以及
签名数据发送处理,向所述验证装置发送包含通过所述签名要素生成处理生成的关于i=1,···,L的各整数i的签名要素s*i、所述消息m、所述变量ρ(i)以及所述矩阵M的签名数据σ,
所述验证程序使计算机执行如下处理:
数据获取处理,获取通过所述签名数据发送处理发送的签名数据σ;
矢量生成处理,基于具有r个要素的矢量f→和通过所述数据获取处理获取的签名数据σ中包含的矩阵M生成列矢量s→T:=(s1,···,sL)T:=M·f→T,并且基于设为s0:=h→·f→T而s0=h→·(f→’)T的具有r个要素的矢量f→’和所述矩阵M生成列矢量(s→’)T:=(s1’,···,sL’)T:=M·(f→’)T;
验证要素生成处理,基于通过所述矢量生成处理生成的列矢量s→T和列矢量(s→’)T、以及关于i=1,···,L的各整数i的规定的值θi、θi’、θi’’、σi,针对i=1,···,L的各整数i,在变量ρ(i)是肯定形的组(t,v→ i)的情况下,使用该组的识别信息t所表示的基底Bt的基底矢量bt,i’(i’=1,···,2nt+2)生成包含式30所示的矢量的验证要素ci,在变量ρ(i)为否定形的组¬(t,v→ i)的情况下,使用该组的识别信息t所表示的基底矢量bt,i(i’=1,···,2nt+2)生成包含式31所示的矢量的验证要素ci;以及
配对运算处理,针对通过所述验证要素生成处理生成的验证要素ci和所述签名数据σ中包含的签名要素s*i,进行配对运算Πi=1 Le(ci,s*i),验证所述签名数据σ的正当性,
[式28]
[式29]
[式30]
[式31]
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011013281A JP5606344B2 (ja) | 2011-01-25 | 2011-01-25 | 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム |
JP2011-013281 | 2011-01-25 | ||
PCT/JP2011/078463 WO2012101913A1 (ja) | 2011-01-25 | 2011-12-08 | 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103348624A true CN103348624A (zh) | 2013-10-09 |
CN103348624B CN103348624B (zh) | 2016-04-27 |
Family
ID=46580497
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180065941.8A Expired - Fee Related CN103348624B (zh) | 2011-01-25 | 2011-12-08 | 签名处理系统、密钥生成装置、签名装置、验证装置、签名处理方法以及签名处理程序 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9106408B2 (zh) |
EP (1) | EP2670081B1 (zh) |
JP (1) | JP5606344B2 (zh) |
KR (1) | KR101431412B1 (zh) |
CN (1) | CN103348624B (zh) |
ES (1) | ES2684945T3 (zh) |
WO (1) | WO2012101913A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2755158A1 (en) * | 2013-01-09 | 2014-07-16 | Thomson Licensing | Method and device for privacy-respecting data processing |
EP2860904A1 (en) * | 2013-10-08 | 2015-04-15 | Thomson Licensing | Method for signing a set of binary elements, and updating such signature, corresponding electronic device and computer program product |
EP2860905A1 (en) * | 2013-10-09 | 2015-04-15 | Thomson Licensing | Method for ciphering a message via a keyed homomorphic encryption function, corresponding electronic device and computer program product |
JP6087849B2 (ja) * | 2014-01-17 | 2017-03-01 | 日本電信電話株式会社 | 代理署名装置、署名検証装置、鍵生成装置、代理署名システム、およびプログラム |
WO2015125293A1 (ja) | 2014-02-24 | 2015-08-27 | 三菱電機株式会社 | 暗号システム及び暗号プログラム |
JP6204271B2 (ja) * | 2014-06-05 | 2017-09-27 | 日本電信電話株式会社 | 署名システム、鍵生成装置、およびプログラム |
WO2016014048A1 (en) * | 2014-07-23 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Attribute-based cryptography |
CN111971677A (zh) * | 2018-04-10 | 2020-11-20 | 维萨国际服务协会 | 用于移动装置的防篡改数据编码 |
CN109728910A (zh) * | 2018-12-27 | 2019-05-07 | 北京永恒纪元科技有限公司 | 一种高效的门限分布式椭圆曲线密钥生成及签名方法和系统 |
JP7233265B2 (ja) * | 2019-03-15 | 2023-03-06 | 三菱電機株式会社 | 署名装置、検証装置、署名方法、検証方法、署名プログラム及び検証プログラム |
US12099997B1 (en) | 2020-01-31 | 2024-09-24 | Steven Mark Hoffberg | Tokenized fungible liabilities |
CN114189340B (zh) * | 2021-12-09 | 2023-05-23 | 电子科技大学 | 一种基于素数阶群的基于属性签名方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1954548A (zh) * | 2005-04-18 | 2007-04-25 | 松下电器产业株式会社 | 签名生成装置及签名验证装置 |
CN101351988A (zh) * | 2005-12-28 | 2009-01-21 | 松下电器产业株式会社 | 签名生成装置、签名生成方法以及签名生成程序 |
US20100115281A1 (en) * | 2008-08-28 | 2010-05-06 | International Business Machines Corporation | Attributes in cryptographic credentials |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1997016903A1 (en) * | 1995-11-03 | 1997-05-09 | Stefanus Alfonsus Brands | Cryptographic methods for demonstrating satisfiable formulas from propositional logic |
US6320966B1 (en) | 1996-10-23 | 2001-11-20 | Stefanus A. Brands | Cryptographic methods for demonstrating satisfiable formulas from propositional logic |
US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
US8341416B2 (en) | 2006-05-21 | 2012-12-25 | International Business Machines Corporation | Assertion message signatures |
EP2080314A2 (en) * | 2006-10-25 | 2009-07-22 | Spyrus, Inc. | Method and system for deploying advanced cryptographic algorithms |
EP2424156B1 (en) * | 2009-04-24 | 2013-11-20 | Nippon Telegraph And Telephone Corporation | Cryptographic system, cryptographic communication method, encryption apparatus, key generation apparatus, decryption apparatus, content server, program and storage medium |
EP2423903B1 (en) * | 2009-04-24 | 2014-07-16 | Nippon Telegraph And Telephone Corporation | Encryption apparatus, deccryption apparatus, encryption method, decryption method, security method, program, and recording medium |
WO2011007697A1 (ja) * | 2009-07-13 | 2011-01-20 | 日本電気株式会社 | 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム |
JP5693206B2 (ja) | 2010-12-22 | 2015-04-01 | 三菱電機株式会社 | 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム |
-
2011
- 2011-01-25 JP JP2011013281A patent/JP5606344B2/ja active Active
- 2011-12-08 KR KR1020137022196A patent/KR101431412B1/ko active IP Right Grant
- 2011-12-08 ES ES11856860.9T patent/ES2684945T3/es active Active
- 2011-12-08 WO PCT/JP2011/078463 patent/WO2012101913A1/ja active Application Filing
- 2011-12-08 US US13/981,679 patent/US9106408B2/en active Active
- 2011-12-08 EP EP11856860.9A patent/EP2670081B1/en active Active
- 2011-12-08 CN CN201180065941.8A patent/CN103348624B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1954548A (zh) * | 2005-04-18 | 2007-04-25 | 松下电器产业株式会社 | 签名生成装置及签名验证装置 |
CN101351988A (zh) * | 2005-12-28 | 2009-01-21 | 松下电器产业株式会社 | 签名生成装置、签名生成方法以及签名生成程序 |
US20100115281A1 (en) * | 2008-08-28 | 2010-05-06 | International Business Machines Corporation | Attributes in cryptographic credentials |
Also Published As
Publication number | Publication date |
---|---|
JP5606344B2 (ja) | 2014-10-15 |
KR101431412B1 (ko) | 2014-08-19 |
EP2670081A4 (en) | 2017-07-26 |
WO2012101913A1 (ja) | 2012-08-02 |
US9106408B2 (en) | 2015-08-11 |
JP2012155088A (ja) | 2012-08-16 |
ES2684945T3 (es) | 2018-10-05 |
KR20130130810A (ko) | 2013-12-02 |
US20130322627A1 (en) | 2013-12-05 |
CN103348624B (zh) | 2016-04-27 |
EP2670081B1 (en) | 2018-07-11 |
EP2670081A1 (en) | 2013-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103348624A (zh) | 签名处理系统、密钥生成装置、签名装置、验证装置、签名处理方法以及签名处理程序 | |
EP2565862B1 (en) | Encryption processing system, key generation device, encryption device, decryption device, signature processing system, signature device and verification device | |
KR101443553B1 (ko) | 암호 처리 시스템, 키 생성 장치, 암호화 장치, 복호 장치, 암호 처리 방법 및 암호 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 | |
US8938623B2 (en) | Cryptographic processing system, key generation device, encryption device, decryption device, cryptographic processing method, and cryptographic processing program | |
US8577030B2 (en) | Cryptographic processing system, key generation device, key delegation device, encryption device, decryption device, cryptographic processing method, and cryptographic processing program | |
US9407438B2 (en) | Cryptographic system, cryptographic method, and cryptographic program | |
US20120045056A1 (en) | Cryptographic processing system | |
US8929542B2 (en) | Cryptographic processing system, key generation device, key delegation device, encryption device, decryption device, cryptographic processing method, and cryptographic processing program | |
CN104718566B (zh) | 密码系统 | |
EP2675107B1 (en) | Encryption processing system, key generation device, encryption device, decryption device, key delegation device, encryption processing method, and encryption processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160427 |
|
CF01 | Termination of patent right due to non-payment of annual fee |