CN105376064B - 一种匿名消息认证系统及其消息签名方法 - Google Patents

Abstract

本发明公开了一种匿名消息认证系统及其消息签名方法，其特征在于：包括：权限授予端(101)，密钥生成服务器(102)，消息签名终端(103)和消息验证终端(104)；所述密钥生成服务器(102)分别与所述消息签名终端(103)、消息验证终端(104)以及权限授予端(101)相互通信连接；消息签名(105)设置于所述消息签名终端(103)的输出端和所述消息验证终端(104)的输入端之间。本发明提供的一种匿名消息认证系统及其消息签名方法，其结合属性基签名方法的优势，解决了用户身份信息的泄漏问题，并在保证安全性的前提下具有较小的计算代价，提高了系统的运行效率，具有很高的实用价值。

Description

一种匿名消息认证系统及其消息签名方法

技术领域

本发明涉及一种匿名消息认证系统及其消息签名方法，尤其涉及一种快速验证的属性基签名方法及消息认证系统，属于密码与信息安全中数字签名技术领域。

背景技术

自信息技术迅速发展以来，信息的传输变得更加方便快捷，然而信息的安全问题也伴随产生。由于信息很容易在公共信道的传输过程中遭遇泄漏甚至伪造，解决这样的信息安全问题迫在眉睫。特别是随着云计算和大数据等相关技术的兴起，人们对于计算机网络中个人信息的隐私问题与安全问题也越来越关注和担忧。解决上述问题最简单的方法便是对敏感数据进行加密后再传输，于是密码学相关技术便为信息化发展提供了强有力的保障。

对于信息机密性的研究可以追溯到古代的通信过程中所应用的对称密码系统上。随着时代的发展，人们发现在信息的传输过程中，机密性已经不再是唯一需要考虑的问题了，而对于数据的完整性、可认证性以及不可否认性等特点也作为新的需求被加入到信息的安全性问题中。

在日常生活中，相关负责人或组织对一份文件的进行认证最好的方法就是在文件上附加手写签名或者盖上公章，接收邮件快递、办理金融业务以及签署合同等都需要签名认证。在信息爆炸的当代，数字签名的发展很好地保证了电子文件发布者对于文件的不可否认性以及文件的完整性，尤其在电子商务领域有着重要的应用。考虑这样的案例，Alice通过网络传送了一张电子支票给Bob，而当Bob需要提现支票时发现这张支票根本不属于Alice，而Alice坚称自己已经发送过支票；或者Bob篡改了支票上的数据，然后声称是经过Alice同意的；或者Bob模仿了Alice在电子支票上的签名，从而冒充了Alice的角色。从这样的案例可以看出通信双方有可能会为了牟取利益而对通信内容进行否认、篡改、伪造、冒充等行为。而数字签名技术则将电子签名“绑定”在原有电子文件上而不改变原有文件的完整性，这样电子签名因消息而异，即使原有文件在签名完成之后进行修改也会导致签名失效。

现有在Internet上广泛使用的基于公共密钥身份认证机制，公钥基础设施PKI就是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。在PKI中所有安全操作都是通过数字证书实现的，而基于身份的数字证书会将用户的身份信息包含其中，例如基于X.509标准的数字证书结构中会标有证书持有者的真实名称等个人信息，这就造成了用户个人身份信息的泄漏。

基于属性签名(也简称为属性基签名)便是数字签名的一种新型应用，也是基于身份密码体制的一种扩展。属性基签名使用属性集合来描述用户的身份而非直接将个人身份标识代入到签名方案中，从而解决了基于身份密码体制中身份隐私信息泄露的问题，保护了用户的个人隐私。一个属性基密码体制中的签名象征着签名者所具有的资格和特征，而忽略了签名者具体身份，这使得在实际生活中的用户根本不用关心签名人具体是谁而只需要验证签名人是否的确具有相应的权力和资格。在属性基签名系统中，任何满足签名属性要求的用户均可以产生有效的签名，这种“多对多”形式的签名彻底改变了传统的“一对一”形式的签名，提高了系统整体的效率。除此以外，属性基签名数据保密性、抗合谋攻击以及灵活的访问结构等使得它在构建基于属性消息系统、匿名认证系统以及匿名电子投票等现实领域都有着丰富的应用。

本发明人即是在前述技术发展背景下，对属性基签名方法技术进行深入研究，提供一种快速验证的属性基签名方法及消息认证系统，其结合属性基签名方法的优势，解决传统基于身份或者基于证书签名体制中用户身份信息的泄漏问题，并在保证安全性的前提下具有较小的计算代价，提高了系统的运行效率，具有很高的实用价值。

发明内容

本发明所要解决的技术问题是，提供一种快速验证的匿名消息认证系统及其消息签名方法。

为解决上述技术问题，本发明采用的技术方案为：

一种匿名消息认证系统，其特征在于：包括：权限授予端，密钥生成服务器，消息签名终端和消息验证终端；所述密钥生成服务器分别与所述消息签名终端、消息验证终端以及权限授予端相互通信连接；消息签名设置于所述消息签名终端的输出端和所述消息验证终端的输入端之间；

所述权限授予端拥有系统中所有用户的具体身份信息及相应的权限信息，新用户在加入系统时必须事先在所述权限授予端注册用户身份信息及权限信息；所述权限授予端与密钥生成服务器通信，对用户身份信息进行确认；

所述密钥生成服务器生成系统主密钥和系统公共参数，并根据用户在所述消息签名终端的签名申请生成用户相应的私钥，然后将私钥发送给所述消息签名终端；

所述消息签名终端接收所述密钥生成服务器产生的私钥，对消息进行所述消息签名，生成消息签名对；

所述消息验证终端获取所述密钥生成服务器产生的系统公共参数，然后对用户的所述消息签名对进行验证。

所述密钥生成服务器包括密钥生成装置，所述密钥生成装置包括均与中央处理器模块通讯连接的系统初始化模块、参数存储模块、密钥存储模块、授权认证模块、属性提取模块、私钥产生算法存储模块、系统公共参数产生算法存储模块、第一随机数生成模块、密钥生成模块和通信模块；

所述系统初始化模块用于所述密钥生成装置的初始化任务，所述初始化任务包括产生所述系统公共参数、产生所述系统主密钥和产生属性集；所述属性集包括用户身份信息及权限信息；

所述参数存储模块用于储存所述系统初始化模块初始化任务后生成的公共参数；

所述密钥存储模块用于储存所述系统主密钥；

所述授权认证模块用于确认用户身份信息及权限信息；

所述属性提取模块负责将用户的身份信息及权限信息转化为对应的数字化信息，用于计算；

所述私钥产生算法存储模块和系统公共参数产生算法存储模块分别内置固化的对应密钥生成算法；

所述第一随机数生成模块用于保证即使同一用户重复申请所生成的私钥也不相同；

所述密钥生成模块负责调用所述密钥储存模块、私钥产生算法存储模块和系统公共参数产生算法存储模块来生成对应的私钥数据；

所述通信模块用于将所述密钥生成模块生成的私钥发送给所述消息签名终端。

所述消息签名终端包括消息签名装置，所述消息签名装置包括均与第一主控模块通讯连接的身份认证模块、第一算法存储模块、内容存储模块、第二随机数生成模块和签名生成模块；

所述身份认证模块负责储存用户身份信息；

所述第一算法存储模块内置固化的签名算法；

所述内容存储模块用于储存用户申请的消息内容；

所述第二随机数生成模块保证即使重复签署同样的消息内容也会生成不同的数字签名；

所述签名生成模块负责调用所述第一算法储存模块和内容储存模块，并使用私钥生成签名，并组合成完整的消息签名对。

所述消息验证终端包括签名验证装置，所述签名验证装置包括均与第二主控模块通讯连接的内容识别模块、第二算法存储模块、验证模块和显示模块；

所述内容识别模块用于分辨消息签名对中的用户签名；

所述第二算法存储模块内置固化的签名验证算法；

所述验证模块负责调用第二算法储存模块并使用所述公共参数对消息签名进行验证操作；

所述公共参数为params，

式(1)中，G,G_T代表p阶乘法循环群；e代表双线性映射；p代表大素数；g代表群G的一个生成元；代表群G中的元素；H代表抗碰撞哈希函数；T代表函数；代表群G中的元素；

所述显示模块用于显示验证结果。

一种匿名消息认证系统的消息签名方法，其特征在于：包括以下步骤：

S01，选取属性域U，并注册所有用户的属性集，其中|U|＝n，选取t≤n；所述属性集包括用户身份信息及权限信息；

S02，选取设定公共参数params和系统主密钥msk；

S03，根据所述公共参数params和系统主密钥msk以及用户提交的属性集为用户生成相应的私钥SK_ω；

S04，根据用户的私钥SK_ω对消息m进行签名得到消息签名对(m,σ)；

S05，根据所述公共参数params，以及验证属性集ω_v，对消息m的签名σ的有效性进行验证；只有属性集和验证属性集ω_v中属性的交集个数ω大于指定的门限值t时，才是有效的签名，即且|ω|≥t；)

S02步骤包括以下细分步骤：

S02-1，选取大素数p；

S02-2，选取p阶乘法循环群G,G_T；

S02-3，选取双线性映射e:G×G→G_T，以及一个抗碰撞哈希函数H:{0,1}^*→{0,1}ⁿ；

S02-4，随机选取群G的一个生成元g，随机选取a,b,z_i∈Z_P，并计算h₁＝g^a,h₂＝g^b,其中1≤i≤n；,h₁,h₂和g_i均代表群G中的元素；Z_p表示集合{0,1,2,...,p-1}_；

S02-5，从群G\{1_G}中随机选取g_o,τ_j，其中1≤j≤n；g_o,τ_j代表群G中的元素；h1、h2和gi和g_o,τ_j都代表群G中的元素，是不同随机数的承诺值；

S02-6，定义函数：其中x[j]表示二进制串x的第j位；T代表函数；

系统公共参数

式(2)中，a,b,z_i∈Z_P，Z_p表示集合{0,1,2,...,p-1}。

步骤S03包括以下细分步骤：

S03-1，随机选取一个t-1的多项式f(x)并使得f(0)＝a；

S03-2，对于每一个i∈ω_u，计算

式(3)中，D_i代表计算值；

式(4)中，i∈ω_u表示i是属性集ω_u的元素。

步骤S04具体包括以下细分步骤：

S04-1，随机从ω_u中选取集合ω_s且|ω_s|≥t；

S04-2，从Z_p中随机选取一个c；

S04-3，对于一条消息m∈{0,1}^*，计算h＝H(ω_sPm)，S_i＝(T(h))^cD_i，其中i∈ω_s；

式(5)中，h代表哈希函数值，S_i代表部分签名值，T(h)代表函数值，g^c代表随机数c的承诺值。

步骤S05具体包括以下细分步骤：

S05-1，选取任意且|ω|≥t；

S05-2，计算h′＝H(ω_s□m)；

S05-3，验证等式：

验证式(6)是否成立，若成立，则表示签名有效，消息认证成功，否则消息认证失败。

本发明采用上述方案后，在保证签名安全性的情况下，保护了用户的身份信息不受泄漏并降低了签名验证过程的计算代价，提高了验证端运行效率，可以运行在计算能力受限的移动网络设备中，是一种新的安全高效的数字签名方法和消息认证系统。

附图说明

图1为本发明的示意图；

图2为本发明中用户获取私钥和系统主密钥的过程示意图；

图3为本发明中用户获取私钥失败的示意图；

图4为本发明中消息认证失败的示意图；

图5为本发明的系统框架图；

图6为本发明的匿名消息认证系统结构框图；

图7为本发明中用户申请签名以及签名验证过程的流程图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

如图1～图7所示，本发明公开的一种匿名消息认证系统，包括权限授予端101，密钥生成服务器102，消息签名终端103，消息验证终端104，其中密钥生成服务器102分别与权限授予端101、消息签名终端103、消息验证终端104通信连接。消息签名105设置于所述消息签名终端103的输出端和所述消息验证终端104的输入端之间

权限授予端101拥有系统中所有用户的具体身份信息以及他们相应的权限，新用户在加入系统时必须事先在权限授予端101注册用户信息及权限信息。而用户权限信息可以通过某种数据提取装置转化为相应的唯一数码标识，称作属性。

权限授予端101运行步骤A。

密钥生成服务器102在系统初始化阶段与权限授予端101通信获得所有属性信息，并生成系统公共参数params和系统主密钥msk，即运行步骤B，具体包括：

B1:选取大素数p；

B2:选取p阶乘法循环群G,G_T；

B3:选取双线性映射e:G×G→G_T，以及一个抗碰撞哈希函数H:{0,1}^*→{0,1}ⁿ；

B4:随机选取群G的一个生成元g，随机选取a,b,z_i∈Z_p，并计算h₁＝g^a,h₂＝g^b,g_i＝g^zi，其中1≤i≤n；

B5:从群G\{1_G}中随机选取g₀,τ_j，其中0≤j≤n；

B6:定义函数：其中x[j]表示二进制串x的第j位；

其中密钥生成服务器102对外发布系统公共参数params，保留系统主密钥msk。

消息签名终端103为具有一定运算能力的计算机终端，并与密钥生成服务器102保持通信。消息签名终端103将用户提交的属性集合与身份信息发送给密钥生成服务器102。

密钥生成服务器102通过与权限授予端101通信确认用户的身份信息与属性信息。当用户提交的属性与身份相匹配时，密钥生成服务器102运行步骤C生成用户的签署私钥并将私钥发送给用户，该私钥只相对于用户提交的属性集合是有效的。

上述的步骤C具体包括以下部分：

C1:随机选取一个t-1的多项式f(x)并使得f(0)＝a；

C2:对于每一个i∈ω_u，计算

消息签名终端103接收到签署私钥后，运行步骤D对消息内容m进行签名，产生的数字签名与消息内容一起组合成为有效的消息签名对105。

上述的步骤D具体包括：

D1:随机从ω_u中选取集合ω_s且|ω_s|≥t；

D2:从Z_p中随机选取一个c；

D3:对于一条消息m∈{0,1}^*，计算h＝H(ω_sPm)，S_i＝(T(h))^cD_i，其中i∈ω_s；

消息验证终端104是具有轻量级运算能力并接入互联网的便携移动终端，可以随时随地进行签名验证操作。在验证消息签名105时，运行步骤E，获取密钥生成服务器102提供的系统公共参数prarams并对签名进行验证，若验证通过则表明签名有效，相应的消息内容已被用户认证。

上述的步骤E具体包括：

E1:选取任意且|ω|≥t；

E2:计算h′＝H(ω_s□m)；

E3:验证等式：

是否成立，若成立，则表示签名有效，消息认证成功，否则消息认证失败。

本发明的目的在于提供一种匿名消息认证系统。根据属性基密码体制理论原理及具体应用的特点，将用户的身份信息从数字签名中隐藏起来，签名的生成与验证操作均不会泄漏任何除了参与计算的属性集以外其他有关用户身份或者属性的信息。

本发明的权限授予端101及密钥生成服务器102可以使用但不限于现有的公钥基础设施PKI系统，但一定要包括三个最基本的参数，私钥sk作为签署私钥，系统公共参数params作为验证公钥，以及确认用户身份信息的私钥保护措施参数，如口令password等。

下面参照图2对用户获取签署私钥sk以及系统公共参数params的详细过程加以描述：

用户Alice需要申请签署私钥，首先需要使用例如口令password等来登录系统认证身份以及提交属性集合；

若用户Alice提交的属性集合是已注册并授权的，则他会收到相应的签署私钥sk，并使用私钥sk对消息内容进行签名得到消息签名对；

用户Bob验证Alice的消息时，首先获取相应的系统公共参数params，并配合使用验证属性集合对消息的签名进行验证；

这样，Bob无法仅仅从签名中获取任何有关Alice的身份信息，Alice的隐私信息得到保护。

综上所述，用户必须提供所有有效认证参数才能生成有效的数字签名，否则用户将无法产生有效的数字签名，签名也无法通过验证操作。例如：如果用户提交申请的属性集合与已授权的属性不匹配，则无法从密钥生成服务器102获取签署密钥sk，如图3所示。

如果用户签署他没有被授权的消息内容时，即验证属性集与用户属性集不匹配，则生成的签名无法通过验证过程，如图4所示。

如图5所示，本实施例的匿名消息认证系统包括密钥生成装置501，消息签名装置502，消息验证装置503，其中消息签名装置、消息验证装置可以存在多个。

所述密钥生成装置501是本发明最核心的装置，其作用是初始化系统公共参数params以及主密钥msk，接收消息签名装置502提交的签名申请并计算返回对应的签署私钥sk，并将系统公共参数params对外发布。

所述消息签名装置502的作用在于提交用户的签名申请以及接收签署私钥sk并对消息内容进行签名从而生成完整的消息签名对。该装置的选取在于具有一定的运算能力，并易于用户操作。

所述消息验证装置503的作用获取系统公共参数params，配合验证属性集对消息的签名进行验证操作。该装置可以是轻便小巧的移动终端，并能够接入网络进行随时随地的验证操作。

如图6所示，密钥生成装置501进一步包括系统初始化模块6101、参数存储模块6102、密钥存储模块6103、授权认证模块6104、属性提取模块6105、私钥产生算法存储模块6106、系统公共参数产生算法存储模块6107、第一随机数生成模块6108、密钥生成模块6109、通信模块6110、中央处理器模块6111。其中，系统初始化模块6101用于密钥生成装置的初始化任务，包括选取安全参数、更新公共参数、更新主密钥、更新属性库等核心工作；参数存储模块6102用于储存系统初始化后生成的全局公共参数；密钥存储模块6103用于储存主密钥；授权认证模块6104用于确认用户身份以及授权信息；属性提取模块6105负责将用户的描述性属性内容转化为对应的数字化信息用于计算；私钥产生算法存储模块6106和系统公共参数产生算法存储模块6107分别内置固化的对应密钥生成算法；第一随机数生成模块6018保证即使同一用户重复申请所生成的签署私钥也不相同；密钥生成模块6109负责调用密钥储存模块6103和各个算法储存模块来生成对应的密钥数据；通信模块6110负责与其他装置进行通信；中央处理器模块6111负责协调内部各模块交互并完成主要的计算工作。

如图6所示，消息签名装置502进一步包括身份认证模块6201、第一算法存储模块6202、内容存储模块6203、第二随机数生成模块6204、签名生成模块6205、主控模块6206。其中身份认证模块6201负责储存用户身份信息；第一算法存储模块6202内置固化的签名算法；内容存储模块6203用于储存用户申请的消息内容；第二随机数生成模块6204保证即使重复签署同样的消息内容也会生成不同的数字签名；签名生成模块6205负责调用第一算法储存模块6202和内容储存模块6203，并使用签署私钥生成签名，并组合成完整的消息签名对；第一主控模块6206用于实现输入输出、与其他装置进行通信以及协调内部各模块完成交互功能及计算工作。

如图6所示，签名验证装置503进一步包括内容识别模块6301、第二算法存储模块6302、验证模块6303、显示模块6304、主控模块6305。其中内容识别模块6301用于分辨消息签名对中的用户签名；第二算法存储模块6302内置固化的签名验证算法；验证模块6303负责调用第二算法储存模块6302并使用验证公钥对签名进行验证操作；显示模块6304用于显示验证结果；第二主控模块6305负责与其他装置进行通信、协调内部各模块交互及计算工作。

下面结合图7，以一个具体用户申请签名通过验证的完整过程来进一步说明本发明的具体部署及实施方式，步骤如下：

步骤701：系统初始化模块6101工作；

步骤702：身份认证模块6201通过口令password确认用户身份；

步骤703：用户提交签名申请；

步骤704：授权认证模块6104确认用户权限信息，判断用户提交的属性集合是否授权，若已授权，则转到步骤706；

步骤705：拒绝生成签署私钥，退回签名申请，返回步骤703；

步骤706：密钥生成模块6109产生相应的签署私钥；

步骤707：签名生成模块6205使用签署私钥进行签名并生成完整的消息签名对；

步骤708：内容识别模块6301读取消息签名对的内容及签名；

步骤709：获取系统公共参数；

步骤710：验证模块6303对签名进行验证；

步骤711：显示模块6304显示签名的验证结果。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种匿名消息认证系统，其特征在于：包括：权限授予端(101)，密钥生成服务器(102)，消息签名终端(103)和消息验证终端(104)；所述密钥生成服务器(102)分别与所述消息签名终端(103)、消息验证终端(104)以及权限授予端(101)相互通信连接；消息签名(105)设置于所述消息签名终端(103)的输出端和所述消息验证终端(104)的输入端之间；

所述权限授予端(101)拥有系统中所有用户的具体身份信息及相应的权限信息，新用户在加入系统时必须事先在所述权限授予端(101)注册用户身份信息及权限信息；所述权限授予端(101)与密钥生成服务器(102)通信，对用户身份信息进行确认；

所述密钥生成服务器(102)生成系统主密钥和系统公共参数，并根据用户在所述消息签名终端(103)的签名申请生成用户相应的私钥，然后将私钥发送给所述消息签名终端(103)；

所述消息签名终端(103)接收所述密钥生成服务器(102)产生的私钥，对消息进行所述消息签名(105)，生成消息签名对；

所述消息验证终端(104)获取所述密钥生成服务器(102)产生的系统公共参数，然后对用户的所述消息签名对进行验证；

所述密钥生成服务器(102)包括密钥生成装置(501)，所述密钥生成装置(501)包括均与中央处理器模块(6111)通讯连接的系统初始化模块(6101)、参数存储模块(6102)、密钥存储模块(6103)、授权认证模块(6104)、属性提取模块(6105)、私钥产生算法存储模块(6106)、系统公共参数产生算法存储模块(6107)、第一随机数生成模块(6108)、密钥生成模块(6109)和通信模块(6110)；

所述系统初始化模块(6101)用于所述密钥生成装置(501)的初始化任务，所述初始化任务包括产生所述系统公共参数、产生所述系统主密钥和产生属性集；所述属性集包括用户身份信息及权限信息；

所述参数存储模块(6102)用于储存所述系统初始化模块(6101)初始化任务后生成的公共参数；

所述密钥存储模块(6103)用于储存所述系统主密钥；

所述授权认证模块(6104)用于确认用户身份信息及权限信息；

所述属性提取模块(6105)负责将用户的身份信息及权限信息转化为对应的数字化信息，用于计算；

所述私钥产生算法存储模块(6106)和系统公共参数产生算法存储模块(6107)分别内置固化的对应密钥生成算法；

所述第一随机数生成模块(6108)用于保证即使同一用户重复申请所生成的私钥也不相同；

所述密钥生成模块(6109)负责调用所述密钥存储模块(6103)、私钥产生算法存储模块(6106)和系统公共参数产生算法存储模块(6107)来生成对应的私钥数据；

所述通信模块(6110)用于将所述密钥生成模块(6109)生成的私钥发送给所述消息签名终端(103)。

2.根据权利要求1所述的一种匿名消息认证系统，其特征在于：所述消息签名终端(103)包括消息签名装置(502)，所述消息签名装置(502)包括均与第一主控模块(6206)通讯连接的身份认证模块(6201)、第一算法存储模块(6202)、内容存储模块(6203)、第二随机数生成模块(6204)和签名生成模块(6205)；

所述身份认证模块(6201)负责储存用户身份信息；

所述第一算法存储模块(6202)内置固化的签名算法；

所述内容存储模块(6203)用于储存用户申请的消息内容；

所述第二随机数生成模块(6204)保证即使重复签署同样的消息内容也会生成不同的数字签名；

所述签名生成模块(6205)负责调用所述第一算法存储模块(6202)和内容存储模块(6203)，并使用私钥生成签名，并组合成完整的消息签名对。

3.根据权利要求1所述的一种匿名消息认证系统，其特征在于：所述消息验证终端(104)包括签名验证装置(503)，所述签名验证装置(503)包括均与第二主控模块(6305)通讯连接的内容识别模块(6301)、第二算法存储模块(6302)、验证模块(6303)和显示模块(6304)；

所述内容识别模块(6301)用于分辨消息签名对中的用户签名；

所述第二算法存储模块(6302)内置固化的签名验证算法；

所述验证模块(6303)负责调用第二算法存储模块(6302)并使用所述公共参数对消息签名(105)进行验证操作；

所述公共参数为params，

式(1)中，G,G_T代表p阶乘法循环群；e代表双线性映射；p代表大素数；g代表群G的一个生成元；h₁,h₂代表群G中的元素；H代表抗碰撞哈希函数；T代表函数；代表群G中的元素；

所述显示模块(6304)用于显示验证结果。

4.根据权利要求3所述的一种匿名消息认证系统的消息签名方法，其特征在于：包括以下步骤：

S01，选取属性域U，并注册所有用户的属性集，其中选取所述属性集包括用户身份信息及权限信息；

S02，选取设定公共参数params和系统主密钥msk；

S03，根据所述公共参数params和系统主密钥msk以及用户提交的属性集为用户生成相应的私钥SK_ω；

S04，根据用户的私钥SK_ω对消息m进行签名得到消息签名对(m,σ)；

S05，根据所述公共参数params，以及验证属性集ω_v，对消息m的签名σ的有效性进行验证；只有属性集和验证属性集ω_v中属性的交集个数ω大于指定的门限值t时，才是有效的签名，即且|ω|≥t。

5.根据权利要求4所述的一种匿名消息认证系统的消息签名方法，其特征在于：S02步骤包括以下细分步骤：

S02-1，选取大素数p；

S02-2，选取p阶乘法循环群G,G_T；

S02-3，选取双线性映射e:G×G→G_T，以及一个抗碰撞哈希函数H:{0,1}^*→{0,1}ⁿ，其中，{0,1}^*表示任意长度的0、1比特串；{0,1}ⁿ表示长度为n的0、1比特串；H表示任意长度的0、1比特串到长度为n的0、1比特串的映射；

S02-4，随机选取群G的一个生成元g，随机选取a,b,z_i∈Z_P，并计算h₁＝g^a,h₂＝g^b,其中h₁,h₂和g_i均代表群G中的元素；Z_p表示集合{0,1,2,...,p-1}；

S02-5，从群G\{1_G}中随机选取g_o,τ_j，其中g_o,τ_j代表群G中的元素；h₁,h₂和g_i和g_o,τ_j都代表群G中的元素，h₁,h₂,g_i，g_o,τ_j是不同随机数的承诺值；

S02-6，定义函数：其中x[j]表示二进制串x的第j位；T代表函数；

系统公共参数见公式(1)，

系统主密钥

式(2)中，a,b,z_i∈Z_P，Z_p表示集合{0,1,2,...,p-1}。

6.根据权利要求4所述的一种匿名消息认证系统的消息签名方法，其特征在于：步骤S03包括以下细分步骤：

S03-1，随机选取一个t-1的多项式f(x)并使得f(0)＝a；

S03-2，对于每一个i∈ω_u，计算

式(3)中，D_i代表计算值；

用户的私钥为

式(4)中，i∈ω_u表示i是属性集ω_u的元素。

7.根据权利要求6所述的一种匿名消息认证系统的消息签名方法，其特征在于：步骤S04具体包括以下细分步骤：

S04-1，随机从ω_u中选取集合ω_s且|ω_s|≥t；

S04-2，从Z_p中随机选取一个c；

S04-3，对于一条消息m∈{0,1}^*，其中，{0,1}^*表示任意长度的0、1比特串，计算h＝H(ω_s||m)，S_i＝(T(h))^cD_i，其中i∈ω_s，||表示级联；(T(h))^c表示T(h)的c次方；(T(h))^c和D_i之间是相乘的运算关系；

则关于消息m的签名为：

式(5)中，h代表哈希函数值，S_i代表部分签名值，T(h)代表函数值，g^c代表随机数c的承诺值。

8.根据权利要求7所述的一种匿名消息认证系统的消息签名方法，其特征在于：步骤S05具体包括以下细分步骤：

S05-1，选取任意且|ω|≥t；

S05-2，计算h′＝H(ω_s||m)，其中||表示级联；

S05-3，验证等式：

其中，σ₁＝g^c,{σ_2,i}＝{S_i},Δ_i,ω(x)＝Π_{i,j∈ω,i≠j}(x-j)/(i-j)是拉格朗日算子；Δ_i,ω(0)表示当Δ_i,ω(x)中的x取值为0时的拉格朗日算子；

验证式(6)是否成立，若成立，则表示签名有效，消息认证成功，否则消息认证失败。