CN105141419A - 大属性域的属性基签名方法及系统 - Google Patents

Abstract

本发明提供一种大属性域的属性基签名方法及系统，该方法包括：私钥生成中心根据输入的系统安全参数得到公共参数和主密钥；私钥生成中心根据主密钥和用户属性集得到用户私钥，将用户私钥发送给对应的用户；签名方根据用户私钥、用户满足的访问结构、用户属性集和预定消息生成用户的数字签名；验证方根据公共参数和用户的数字签名对用户进行验证。该方法可实现细粒度访问控制，支持“与门”和“或门”，操作灵活，无须在初始化阶段对属性数量进行限制，可灵活地对系统进行扩展，公共参数长度为常数，有效减轻系统的负担。

Description

大属性域的属性基签名方法及系统

技术领域

本发明涉及信息安全中密码学技术领域，特别涉及一种大属性域的属性基签名方法及系统。

背景技术

随着信息技术的高速发展，信息安全问题也越来越受到人们的关注。数字签名作为信息安全中一项关键技术，可以实现数据完整性保护、身份认证和不可否认性等网络数据传输中的重要需求，因此是信息安全的核心技术之一。数字签名作为重要的数字证据，与手书签名一样具有法律效力，因此已被广泛应用于电子商务和电子政务中。目前，数字签名技术己开始应用于商业、金融和办公自动化等系统中，同时作为一种密码学的基础构件，数字签名也被广泛用于设计电子支付、电子投标、电子拍卖、电子投票、电子出版和知识版权保护等应用层协议，成为安全电子商务和安全电子政务的关键技术之一。

数字签名是一种公钥密码体制，在公钥加密中，加密和解密分别使用不同的密钥：其中加密密钥(即公钥)是可以公开的，而解密密钥(即私钥)只有解密人自己知道。加密密钥的公开使用，使得密钥的分配和管理比对称密码体制更简单。而签名可以看做是与加密相反的过程：签名方用自己的私钥对消息进行签名，验证方则用与之对应的公钥进行验证。

在身份基密码体制中，用户的身份ID信息(如身份证号码、电话号码和邮件地址等)直接作为用户的公钥，无须通过数字证书进行绑定。属性基密码体制是在身份基密码体制的基础上发展出来的一种新型密码体制，它扩展了身份基密码体制中身份的概念，把身份扩展成一系列属性特征的集合，对身份进行了细粒度的划分。在属性基密码体制中，根据访问结构对应于私钥还是密文可划分为密钥策略的属性基加密(KP-ABE)和密文策略的属性基加密(CP-ABE)：在KP-ABE中，访问结构对应于私钥而属性对应于密文，只有密文中的属性集满足私钥中的访问策略时，才能解密；在CP-ABE中，访问结构对应于密文而属性对应于私钥，只有私钥中的属性集满足密文中的访问策略时，才能解密。

在属性基签名(ABS)中，签名方声称签名对应于某些特定的属性或者满足某种访问结构，而验证方则可以验证签名是否由拥有某些属性或者满足某种访问结构的人所生成。属性基签名按照属性域的不同，可分为小域(smalluniverse)的属性基签名和大域(largeuniverse)的属性基签名：所谓小域，是指在系统初始化的时候属性空间大小被限制在安全参数的多项式级别，属性在系统初始化阶段就已经被确定，并且公共参数的大小会将随着属性数量的增加而线性增加；而在大域中，属性域的大小可以达到指数级别，并且无须在系统初始化阶段确定属性数量，同时还具有常数级别大小的公共参数。

小域的属性基签名在实际应用中有着不小的局限。由于属性数量的界限需要在系统初始化时确定，如果数量太少，那么系统将有可能损失很多功能而不得不重新建立整个系统。例如在一家发展迅速的企业中，随着企业的不断扩张，系统中将会有越来越多的属性，一旦属性的数量超过了初始化时设定的界限，那么整个系统将不得不重新建立，这将造成巨大的资源损失。如果数量太多，那么线性增长的公共参数则将会给系统带来沉重的负担。

发明内容

本发明的目的旨在至少解决上述的技术缺陷之一。

为此，本发明的目的在于提出一种大属性域的属性基签名方法。该方法可以满足网络中信息的完整性保护、身份认证和不可否认性等安全需求。

本发明的另一个目的在于提出一种大属性域的属性基签名系统。

为了实现上述目的，本发明的第一方面的实施例公开了一种大属性域的属性基签名方法，包括以下步骤：私钥生成中心根据输入的系统安全参数得到公共参数和主密钥；所述私钥生成中心根据所述主密钥和用户属性集得到用户私钥，以及将所述用户私钥发送给对应的用户，其中，所述用户属性集包括多个用户属性；签名方根据所述用户私钥、所述用户满足的访问结构、所述用户属性集和预定消息生成所述用户的数字签名；验证方根据所述公共参数和所述用户的数字签名对所述用户进行验证。

另外，根据本发明上述实施例的大属性域的属性基签名方法还可以具有如下附加的技术特征：

在一些示例中，所述私钥生成中心根据输入的系统安全参数得到公共参数和主密钥，具体包括：向所述私钥生成中心输入所述系统安全参数λ，并根据预定算法得到群和双线性映射运算e：其中，属性域所述群的阶数为素数p；所述私钥生成中心随机选取以及以得到所述公共参数pp＝(D，g，u，h，w，v，e(g，g)^α)以及所述主密钥msk＝(α)。

在一些示例中，所述私钥生成中心根据所述主密钥和用户属性集得到用户私钥，进一步包括：获取所述用户属性集，其中，所述用户属性集从所述用户属性集中随机选取k+1个指数通过如下公式计算：

K₀＝g^αw^r，K₁＝g^r，

并对通过如下公式计算：

得到所述用户私钥sk＝(S，K₀，K₁，{K_τ，2，K_τ，3}_τ∈[k])。

在一些示例中，所述签名方根据所述用户私钥、所述用户满足的访问结构、所述用户属性集和预定消息生成所述用户的数字签名，进一步包括：设I＝{i：ρ(i)∈S}，随机选取 其中，所述s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈I，并随机选取然后通过如下公式计算：

C＝me(g，g)^αs，C₀＝g^sz，

对于通过如下公式计算：

通过如下公式计算：

D₀＝K₀ ^1/z，D₁＝K₁ ^1/z，

设J＝{j：j为属性ρ(i)在集合S中的索引(与i相关)}，则对于计算：

D_j，2＝K_j，2 ^1/z，D_j，3＝K_j，3 ^1/z，

得到所述数字签名σ＝(m，S，(M，ρ)，C，C₀，{C_i，1，C_i，2，C_i，3}_i∈I，D₀，D₁，{D_j，2，D_j，3}_j∈J)。

在一些示例中，所述验证方根据所述公共参数和所述用户的数字签名对所述用户进行验证，进一步包括：如果所述用户属性集S是授权集合，所述验证方计算常数集以使∑_i∈Iω_iM_i＝(1，0，...，0)，其中，所述M_i为矩阵M的第i行，进一步判断对于等式e(g^-1，C_i，2)＝e(C_i，3，u^ρ(i)h)是否均成立；

如果所述等式不成立，则验证失败，如果所述等式成立，则进一步通过如下公式计算：

进一步判断等式m＝C/B是否成立，如果不成立，则验证失败，反之则验证成功。

本发明第二方面的实施例公开了一种大属性域的属性基签名系统，包括：初始化模块，所述初始化模块用户通过私钥生成中心根据输入的系统安全参数得到公共参数和主密钥；私钥生成模块，所述私钥生成模块用于通过所述私钥生成中心根据所述主密钥和用户属性集得到用户私钥，以及将所述用户私钥发送给对应的用户，其中，所述用户属性集包括多个用户属性；签名模块，所述签名模块用于通过签名方根据所述用户私钥、所述用户满足的访问结构、所述用户属性集和预定消息生成所述用户的数字签名；验证模块，所述验证模块用于通过验证方根据所述公共参数和所述用户的数字签名对所述用户进行验证。

另外，根据本发明上述实施例的大属性域的属性基签名系统还可以具有如下附加的技术特征：

在一些示例中，所述初始化模块用于：向所述私钥生成中心输入所述系统安全参数λ，并根据预定算法得到群和双线性映射运算e：其中，属性域所述群的阶数为素数p；所述私钥生成中心随机选取以及以得到所述公共参数pp＝(D，g，u，h，w，v，e(g，g)^α)以及所述主密钥msk＝(α)。

在一些示例中，所述私钥生成模块用于：获取所述用户属性集，其中，所述用户属性集从所述用户属性集中随机选取k+1个指数通过如下公式计算：

K₀＝g^αw^r，K₁＝g^r，

并对通过如下公式计算：

得到所述用户私钥sk＝(S，K₀，K₁，{K_τ，2，K_τ，3}_τ∈[k])。

在一些示例中，所述签名模块用于：设I＝{i：ρ(i)∈S}，随机选取 其中，所述s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈I，并随机选取然后通过如下公式计算：

C＝me(g，g)^αs，C₀＝g^sz，

对于通过如下公式计算：

通过如下公式计算：

D₀＝K₀ ^1/z，D₁＝K₁ ^1/z，

设J＝{j：j为属性ρ(i)在集合S中的索引(与i相关)}，则对于计算：

D_j，2＝K_j，2 ^1/z，D_j，3＝K_j，3 ^1/z，

得到所述数字签名σ＝(m，S，(M，ρ)，C，C₀，{C_i，1，C_i，2，C_i，3}_i∈I，D₀，D₁，{D_j，2，D_j，3}_j∈J)。

在一些示例中，所述验证模块用于：如果所述用户属性集S是授权集合，所述验证方计算常数集以使∑_i∈Iω_iM_i＝(1，0，...，0)，其中，所述M_i为矩阵M的第i行，进一步判断对于等式e(g^-1，C_i，2)＝e(C_i，3，u^ρ(i)h)是否均成立；

如果所述等式不成立，则验证失败，如果所述等式成立，则进一步通过如下公式计算：

进一步判断等式m＝C/B是否成立，如果不成立，则验证失败，反之则验证成功。

根据本发明的实施例，可实现细粒度访问控制，支持“与门”和“或门”，操作灵活。另外，无须在初始化阶段对属性数量进行限制，可灵活地对进行扩展。此外，公共参数长度为常数，有效减轻负担。本发明的实施例可以满足网络中信息的完整性保护、身份认证和不可否认性等安全需求。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，

图1是根据本发明一个实施例的大属性域的属性基签名方法的流程图；以及

图2是根据本发明一个实施例的大属性域的属性基签名系统的结构框图。

具体实施方式

下面详细描述本发明的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

以下结合附图描述根据本发明实施例的大属性域的属性基签名方法及系统。

图1是根据本发明一个实施例的大属性域的属性基签名方法的流程图。

在描述本发明实施例的大属性域的属性基签名方法之前，首先对本发明实施例中所使用的数学符号及算法进行解释，具体而言：

双线性映射e：设和分别为两个有限循环群，并有相同的素数阶p，设g是的生成元，如果映射e：满足如下性质：

双线性映射满足下述三个特性：

1、双线性特性：对于所有的有e(g^a，h^b)＝e(g，h)^ab成立；

2、非退化性：群中至少存在一个元素g，使得计算后的e(g，g)在群中有阶数p；

3、可计算性：存在有效的算法，使得所有的可以有效计算出e(u，v)的值；

访问结构：设为属性域，访问结构指一个非空的属性集合 在中的集合被称为授权集合，不在中的集合被称为非授权集合。特别的，对于如果且那么则称这样的访问结构为单调的。

线性秘密共享方案(LSSS)：一个属性域上的秘密共享方案∏在上是线性的，如果：

1、每一个属性对于秘密的共享构成一个上的向量；

2、对于上任意的访问结构存在一个共享生成矩阵以及一个矩阵的行到属性的映射ρ：选取向量v＝(s，r₂，r₃，...，r_n)，其中s是要共享的秘密， 为随机选取，则Mv即为由∏得到的s的共享向量，(Mv)_i属于属性ρ(i)。

按照如上方法定义的LSSS方案具有线性可重构性：假设访问结构由(M，ρ)所描述，对于授权集合设I＝{i：i∈[l]∧ρ(i)∈S}，对于有效的秘密共享{λ_i＝(Mv)_i}_i∈I，存在常数集使得∑_i∈Iω_iλ_i＝s。对于非授权集合S′则不存在这样的常数集{ω_i}，在此情况下，设I′＝{i：i∈[l]∧ρ(i)∈S′}，存在向量其中第一个元素ω₁为非零元素，并且ωM_i＝0，i∈I′。

如图1所示，根据本发明一个实施例的大属性域的属性基签名方法，包括如下步骤：

S101：私钥生成中心(PrivateKeyGenerator，PKG)根据输入的系统安全参数得到公共参数和主密钥。即PKG将系统安全参数λ作为输入，输出公共参数pp和主密钥msk，需要说明的是，公共参数pp对外公开，主密钥msk则由PKG保管。

作为一个具体的示例，步骤S101具体包括：

S1011：向私钥生成中心输入系统安全参数λ，并根据预定算法得到群和双线性映射运算e：其中，属性域群的阶数为素数p。即：PKG首先输入系统安全参数λ，然后运行算法输出两个阶数为素数p的群和一个双线性映射运算e：设属性域

S1012：私钥生成中心随机选取以及以得到公共参数pp＝(D，g，u，h，w，v，e(g，g)^α)以及主密钥msk＝(α)。即：PKG随机选取以及得到公共参数pp＝(D，g，u，h，w，v，e(g，g)^α)，系统主密钥msk＝(α)。

S102：私钥生成中心根据主密钥和用户属性集得到用户私钥，以及将用户私钥发送给对应的用户，其中，用户属性集包括多个用户属性。也就是说，PKG以系统主密钥msk和用户属性集S作为输入，相应的用户私钥sk为输出。得到的私钥sk将以安全方式发送给用户。

作为一个具体的示例，步骤S102具体包括如下步骤：

S1021：获取用户属性集，其中，用户属性集(即：设用户属性集)，从用户属性集中随机选取k+1个指数通过如下公式计算：

K₀＝g^αw^r，K₁＝g^r，

并对通过如下公式计算：

得到所述用户私钥sk＝(S，K₀，K₁，{K_τ，2，K_τ，3}_τ∈[k])。

S103：签名方(SigningParty)根据用户私钥、用户满足的访问结构、用户属性集和预定消息生成用户的数字签名。也就是说，签名方在这一模块中以用户私钥sk，所声称满足的访问结构(M，ρ)，签名属性集S以及消息作为输入，输出签名σ。

具体而言，包括：

S1031：设I＝{i：ρ(i)∈S}，随机选取其中，所述s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈I，并随机选取然后通过如下公式计算：

C＝me(g，g)^αs，C₀＝g^sz，

对于通过如下公式计算：

S1032：计算：

D₀＝K₀ ^1/z，D₁＝K₁ ^1/z，

设J＝{j：j为属性ρ(i)在集合S中的索引(与i相关)}，则对于计算：

D_j，2＝K_j，2 ^1/z，D_j，3＝K_j，3 ^1/z，

得到所述数字签名σ＝(m，S，(M，ρ)，C，C₀，{C_i，1，C_i，2，C_i，3}_i∈I，D₀，D₁，{D_j，2，D_j，3}_j∈J)。

S104：验证方(VerifyingParty)根据公共参数和用户的数字签名对用户进行验证。也就是说，验证方以公共参数pp，签名σ为输入，输出得到验证结果(验证成功或者验证失败)。

具体而言，包括：

S1041：如果用户属性集S是授权集合，验证方计算常数集以使∑_i∈Iω_iM_i＝(1，0，...，0)，其中，M_i为矩阵M的第i行，进一步判断对于等式e(g^-1，C_i，2)＝e(C_i，3，u^ρ(i)h)是否均成立；

S1042：如果等式不成立，则验证失败，如果等式成立，则进一步通过如下公式计算：

进一步判断等式m＝C/B是否成立，如果不成立，则验证失败，反之则验证成功。

根据本发明实施例的大属性域的属性基签名方法，可实现细粒度访问控制，支持“与门”和“或门”，操作灵活。另外，无须在初始化阶段对属性数量进行限制，可灵活地对进行扩展。此外，公共参数长度为常数，有效减轻负担。本发明的实施例可以满足网络中信息的完整性保护、身份认证和不可否认性等安全需求。

图2是根据本发明一个实施例的大属性域的属性基签名系统的结构框图。如图2所示，根据本发明一个实施例的大属性域的属性基签名系统200，包括：初始化模块210、私钥生成模块220、签名模块230和验证模块240。

初始化模块210用户通过私钥生成中心根据输入的系统安全参数得到公共参数和主密钥。私钥生成模块220用于通过私钥生成中心根据主密钥和用户属性集得到用户私钥，以及将用户私钥发送给对应的用户，其中，用户属性集包括多个用户属性。签名模块230用于通过签名方根据用户私钥、用户满足的访问结构、用户属性集和预定消息生成用户的数字签名。验证模块240用于通过验证方根据公共参数和用户的数字签名对用户进行验证。

在本发明的一个实施例中，初始化模块210用于：

向私钥生成中心输入系统安全参数λ，并根据预定算法得到群和双线性映射运算e：其中，属性域所述群的阶数为素数p；

私钥生成中心随机选取以及以得到公共参数pp＝(D，g，u，h，w，v，e(g，g)^α)以及主密钥msk＝(α)。

在本发明的一个实施例中，私钥生成模块220用于：

获取用户属性集，其中，用户属性集从用户属性集中随机选取k+1个指数通过如下公式计算：

K₀＝g^αw^r，K₁＝g^r，

并对通过如下公式计算：

得到用户私钥sk＝(S，K₀，K₁，{K_τ，2，K_τ，3}_τ∈[k])。

在本发明的一个实施例中，签名模块230用于：

设I＝{i：ρ(i)∈S}，随机选取其中，s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈I，并随机选取然后通过如下公式计算：

C＝me(g，g)^αs，C₀＝g^sz，

对于通过如下公式计算：

通过如下公式计算：

D₀＝K₀ ^1/z，D₁＝K₁ ^1/z，

设J＝{j：j为属性ρ(i)在集合S中的索引(与i相关)}，则对于计算：

D_j，2＝K_j，2 ^1/z，D_j，3＝K_j，3 ^1/z，

得到数字签名σ＝(m，S，(M，ρ)，C，C₀，{C_i，1，C_i，2，C_i，3}_i∈I，D₀，D₁，{D_j，2，D_j，3}_j∈J)。

在本发明的一个实施例中，验证模块240用于：

如果用户属性集S是授权集合，验证方计算常数集以使∑_i∈Iω_iM_i＝(1，0，...，0)，其中，M_i为矩阵M的第i行，进一步判断对于等式e(g^-1，C_i，2)＝e(C_i，3，u^ρ(i)h)是否均成立；

如果等式不成立，则验证失败，如果等式成立，则进一步通过如下公式计算：

进一步判断等式m＝C/B是否成立，如果不成立，则验证失败，反之则验证成功。

根据本发明实施例的大属性域的属性基签名系统，可实现细粒度访问控制，支持“与门”和“或门”，操作灵活。另外，无须在初始化阶段对属性数量进行限制，可灵活地对进行扩展。此外，公共参数长度为常数，有效减轻负担。本发明的实施例可以满足网络中信息的完整性保护、身份认证和不可否认性等安全需求。

需要说明的是，本发明实施例的大属性域的属性基签名系统的具体实现方式与大属性域的属性基签名方法的具体实现方式类似，具体请参见方法部分的描述，为了减少冗余，不做赘述。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种大属性域的属性基签名方法，其特征在于，包括以下步骤：

私钥生成中心根据输入的系统安全参数得到公共参数和主密钥；

所述私钥生成中心根据所述主密钥和用户属性集得到用户私钥，以及将所述用户私钥发送给对应的用户，其中，所述用户属性集包括多个用户属性；

签名方根据所述用户私钥、所述用户满足的访问结构、所述用户属性集和预定消息生成所述用户的数字签名；

验证方根据所述公共参数和所述用户的数字签名对所述用户进行验证。

2.根据权利要求1所述的大属性域的属性基签名方法，其特征在于，所述私钥生成中心根据输入的系统安全参数得到公共参数和主密钥，具体包括：

向所述私钥生成中心输入所述系统安全参数λ，并根据预定算法得到群和双线性映射运算e:其中，属性域所述群的阶数为素数p；

所述私钥生成中心随机选取以及以得到所述公共参数pp＝(D,g,u,h,w,v,e(g,g)^α)以及所述主密钥msk＝(α)。

3.根据权利要求1所述的大属性域的属性基签名方法，其特征在于，所述私钥生成中心根据所述主密钥和用户属性集得到用户私钥，进一步包括：

获取所述用户属性集，其中，所述用户属性集从所述用户属性集中随机选取k+1个指数通过如下公式计算：

K₀＝g^αw^r，K₁＝g^r，

并对通过如下公式计算：

$K_{\mathrm{\τ},2}=g^{r_{\mathrm{\τ}}},K_{\mathrm{\τ},3}={\left(u^{A_{\mathrm{\τ}}}h\right)}^{r_{\mathrm{\τ}}}{v}^{-r},$

得到所述用户私钥sk＝(S,K₀,K₁,{K_τ,2,K_τ,3}_τ∈[k])。

4.根据权利要求1所述的大属性域的属性基签名方法，其特征在于，所述签名方根据所述用户私钥、所述用户满足的访问结构、所述用户属性集和预定消息生成所述用户的数字签名，进一步包括：

设I＝{i:ρ(i)∈S}，随机选取 其中，所述s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈I，并随机选取然后通过如下公式计算：

C＝me(g,g)^αs，C₀＝g^sz，

对于通过如下公式计算：

$C_{i,1}={\left(w^{{\mathrm{\λ}}_i}{v}^{t_i}\right)}^z,C_{i,2}={{\left(u^{\mathrm{\ρ}\left(i\right)}h\right)}^{-t_i}}^z,C_{i,3}=g^{t_{i}z},$

通过如下公式计算：

D₀＝K₀ ^1/z，D₁＝K₁ ^1/z，

设J＝{j:j为属性ρ(i)在集合S中的索引(与i相关)}，则对于计算：

D_j,2＝K_j,2 ^1/z，D_j,3＝K_j,3 ^1/z，

得到所述数字签名σ＝(m,S,(M,ρ),C,C₀,{C_i,1,C_i,2,C_i,3}_i∈I,D₀,D₁,{D_j,2,D_j,3}_j∈J)。

5.根据权利要求1所述的大属性域的属性基签名方法，其特征在于，所述验证方根据所述公共参数和所述用户的数字签名对所述用户进行验证，进一步包括：

如果所述用户属性集S是授权集合，所述验证方计算常数集以使∑_i∈Iω_iM_i＝(1,0,...,0)，其中，所述M_i为矩阵M的第i行，进一步判断对于等式e(g^-1,C_1,2)＝e(C_i,3,u^ρ(i)h)是否均成立；

如果所述等式不成立，则验证失败，如果所述等式成立，则进一步通过如下公式计算：

$B=\frac{e(C_0,D_0)}{{\Π}_{i\∈I}{\left(e\right(C_{i,1},D_1\left)e\right(C_{i,2},D_{j,2}\left)e\right(C_{i,3},D_{j,3}\left)\right)}^{{\mathrm{\ω}}_i}},$

进一步判断等式m＝C/B是否成立，如果不成立，则验证失败，反之则验证成功。

6.一种大属性域的属性基签名系统，其特征在于，包括：

初始化模块，所述初始化模块用户通过私钥生成中心根据输入的系统安全参数得到公共参数和主密钥；

私钥生成模块，所述私钥生成模块用于通过所述私钥生成中心根据所述主密钥和用户属性集得到用户私钥，以及将所述用户私钥发送给对应的用户，其中，所述用户属性集包括多个用户属性；

签名模块，所述签名模块用于通过签名方根据所述用户私钥、所述用户满足的访问结构、所述用户属性集和预定消息生成所述用户的数字签名；

验证模块，所述验证模块用于通过验证方根据所述公共参数和所述用户的数字签名对所述用户进行验证。

7.根据权利要求6所述的大属性域的属性基签名系统，其特征在于，所述初始化模块用于：

向所述私钥生成中心输入所述系统安全参数λ，并根据预定算法得到群和双线性映射运算e:其中，属性域所述群的阶数为素数p；

所述私钥生成中心随机选取以及以得到所述公共参数pp＝(D,g,u,h,w,v,e(g,g)^α)以及所述主密钥msk＝(α)。

8.根据权利要求6所述的大属性域的属性基签名系统，其特征在于，所述私钥生成模块用于：

获取所述用户属性集，其中，所述用户属性集从所述用户属性集中随机选取k+1个指数通过如下公式计算：

K₀＝g^αw^r，K₁＝g^r，

并对通过如下公式计算：

$K_{\mathrm{\τ},2}=g^{r_{\mathrm{\τ}}},K_{\mathrm{\τ},3}={\left(u^{A_{\mathrm{\τ}}}h\right)}^{r_{\mathrm{\τ}}}{v}^{-r},$

得到所述用户私钥sk＝(S,K₀,K₁,{K_τ,2,K_τ,3}_τ∈[k])。

9.根据权利要求6所述的大属性域的属性基签名系统，其特征在于，所述签名模块用于：

设I＝{i:ρ(i)∈S}，随机选取 其中，所述s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈I，并随机选取然后通过如下公式计算：

C＝me(g,g)^αs，C₀＝g^sz，

对于通过如下公式计算：

$C_{i,1}={\left(w^{{\mathrm{\λ}}_i}{v}^{t_i}\right)}^z,C_{i,2}={{\left(u^{\mathrm{\ρ}\left(i\right)}h\right)}^{-t_i}}^z,C_{i,3}=g^{t_{i}z},$

通过如下公式计算：

D₀＝K₀ ^1/z，D₁＝K₁ ^1/z，

设J＝{j:j为属性ρ(i)在集合S中的索引(与i相关)}，则对于计算：

D_j,2＝K_j,2 ^1/z，D_j,3＝K_j,3 ^1/z，

得到所述数字签名σ＝(m,S,(M,ρ),C,C₀,{C_i,1,C_i,2,C_i,3}_i∈I,D₀,D₁,{D_j,2,D_j,3}_j∈J)。

10.根据权利要求6所述的大属性域的属性基签名系统，其特征在于，所述验证模块用于：

如果所述用户属性集S是授权集合，所述验证方计算常数集以使∑_i∈Iω_iM_i＝(1,0,...,0)，其中，所述M_i为矩阵M的第i行，进一步判断对于等式e(g^-1,C_i,2)＝e(C_i,3,u^ρ(i)h)是否均成立；

如果所述等式不成立，则验证失败，如果所述等式成立，则进一步通过如下公式计算：

$B=\frac{e(C_0,D_0)}{{\Π}_{i\∈I}{\left(e\right(C_{i,1},D_1\left)e\right(C_{i,2},D_{j,2}\left)e\right(C_{i,3},D_{j,3}\left)\right)}^{{\mathrm{\ω}}_i}},$

进一步判断等式m＝C/B是否成立，如果不成立，则验证失败，反之则验证成功。