CN107342990B - 一种分布式授权的属性基网络环签名方法 - Google Patents

Abstract

本发明公开了一种分布式授权的属性基网络环签名方法，属于信息安全领域，其做法主要是：在初始化阶段利用分布式密钥协商协议在移除可信系统中心的同时分散属性授权机构的密钥管理权限，解决了属性密钥托管问题；在密钥分发阶段，通过将用户身份标识嵌入属性密钥，确保该方法可以抵抗合谋攻击；在签名生成阶段，通过在签名中引入用户身份模糊因子，使得该方法同时具备无条件强匿名性。该方法匿名性强、安全性高，能够有效实现云计算、电子医疗等网络的匿名身份认证和访问控制功能。

Description

一种分布式授权的属性基网络环签名方法

技术领域

本发明涉及一种分布式授权的网络匿名身份认证和访问的签名方法。

背景技术

随着电子医疗、云计算等大数据应用的蓬勃发展，对数据的鉴权认证和隐私保护成为非常现实和急需解决的关键问题。基于属性的(属性基)环签名在签名过程中没有群的组织过程，无需群管理员参与，便于隐匿签名者隐私，能够提供比普通属性基签名更强的匿名性保护，因此特别适用于实现云计算、电子医疗等对匿名性要求极高的网络中的匿名身份认证和访问控制功能。分析表明，现有基于属性的(属性基)环签名方法仍然存在以下问题亟待解决：首先用户身份的隐匿性导致系统不易识别发动合谋攻击的恶意成员，因此如何设计同时具备无条件强匿名性和抗合谋攻击性的基于属性的环签名方法是一个尚待解决的难题；其次，现有属性基环签名方法大多只包含一个属性授权机构AA，该属性授权机构AA负责系统中所有属性密钥的分发和管理，若其被攻击者攻破，攻击者可以利用其密钥产生系统任意用户的属性密钥，因此，系统不可避免地存在属性密钥托管问题。综上，设计一种同时具备无条件强匿名性和抗合谋攻击性的分布式授权的属性基网络环签名方法具备重要的学术意义和广泛的应用价值。

陈帧等人“陈桢,张文芳,王小敏.基于属性的抗合谋攻击可变门限环签名方案[J].通信学报,2015,36(12):212-222.”于2015年提出了一个可以抵抗由拥有互补属性集合的恶意用户通过组合密钥的方式发动合谋攻击的方法。该方法包括初始化、密钥生成、签名、验证四个阶段，首先属性授权机构AA输入系统安全参数得到系统公开参数和秘密参数，然后属性授权机构AA根据用户身份及用户属性集合对应的秘密参数得到用户属性密钥，并通过安全信道将属性密钥分发给相应用户，其次用户在签名阶段根据签名策略使用相应的属性密钥为待签名文件计算相应的数字签名，最后验证方通过系统公开参数验证数字签名的合法性。该方法通过将用户身份信息直接嵌入属性密钥的方式，虽然能够确保签名不能由多个用户合谋产生，但是由于引入了身份信息，导致方法匿名性退化。此外，由于使用单属性授权机构负责系统中所有属性密钥的分发和管理，只要该属性授权机构被攻击者攻破，攻击者可以利用该属性授权机构的密钥产生系统任意用户的属性密钥，因此，该方法同时存在属性密钥托管问题。

Li等人“Li J,Chen XF,Huang XY.New attribute-based authentication andits application in anonymous cloud access service[J].Journal on InternationalJournal of Web and Grid Services,2015,11(1):125-141.”借鉴Chase等人“Chase M,Chow S.Improving privacy and security in multi-authority attribute-basedencryption[A],In Proceedings of the 16th ACM Conference on Computer andCommunications Security[C],2009:121-130.”提出的密钥匿名分发协议对现有基于属性的环签名方法进行改进，但是密钥匿名分发协议的引入，导致属性授权机构AA在密钥分发阶段除了需要生成用户属性密钥之外，还要额外产生t²个密钥来保证该方案的安全性，其中t为属性授权机构集合中属性授权机构AA的数量。这无疑在降低属性授权机构AA工作效率的同时增加了属性授权机构AA与用户之间的通信代价。

发明内容

本发明的目的是提供一种分布式授权的属性基网络环签名方法，该方法同时具备无条件强匿名性和抗合谋攻击性，安全性更高。

本发明实现其发明目的所采用的技术方案是，一种分布式授权的属性基网络环签名方法，其步骤是：

A、参数生成

A1、属性集合的建立

系统建立属性集合空间W，W＝{W₁,…,W_k,…,W_K}，其中

为属性集合空间W的第k个属性子集，K为属性集合空间W中属性子集的总数；w_i,k为第k个属性子集W_k中的第i个属性，|W_k|为第k个属性子集W_k中属性的总数；

A2、系统公钥、私钥的生成

系统设置P≥K个分布式的属性授权机构AA_p，其中p为属性授权机构AA_p的序号，p＝{1,2,…,P}；构建q阶乘法循环群G和q阶乘法循环群Y，q为大于2⁵¹²的安全素数；且q阶乘法循环群G和q阶乘法循环群Y之间存在双线性映射关系y＝e(g_a,g_b)；其中，e(g_a,g_b)表示q阶乘法循环群G中的元素g_a和元素g_b进行双线性映射运算；

所有的属性授权机构AA₁,…,AA_p,…,AA_P，执行(K,P)门限的分布式密钥生成协议；选择其中任意K个属性授权机构AA_p合作生成系统主密钥a₀和系统次密钥b₀；任选一个属性授权机构AA_p生成：系统第一公钥g₁，

系统第二公钥g₂，

其中g为q阶乘法循环群G的生成元；该属性授权机构AA_p再将系统第一公钥g₁、系统第二公钥g₂进行双线性映射运算得到系统第三公钥y，y＝e(g₁,g₂)；

A3、属性授权机构私钥、公钥的生成

将属性授权机构AA_p在执行(K,P)门限的分布式密钥生成协议中使用的K-1次多项式命名为f_p(x)；其中f_p(x)中各项的系数由属性授权机构AA_p在由1至(q-1)之间的整数组成的有限域

上随机选取；

将属性授权机构AA_p的序号p作为自变量x的值，代入所有的属性授权机构AA₁,…,AA_p,…,AA_P使用的K-1次多项式f₁(x),…,f_p(x),…,f_P(x)，求得这些多项式的值，所有多项式的值的总和，即为属性授权机构AA_p的主密钥为a_p,0；

属性授权机构AA_p在有限域

上随机选取一个数作为其次密钥c_p，并通过其次密钥c_p计算出自己的公钥P_p，

A4、属性的公私钥生成

系统建立属性集合W中的属性子集W_k的序号k到属性授权机构AA_p的序号p的一对多映射D，将属性集合W中的属性子集W_k映射后得到的对应的属性子集命名为W_p，并将属性子集W_p的密钥分发、管理权限分配给属性授权机构AA_p；

属性授权机构AA_p在有限域

上随机选取一系列数作为其管理属性子集W_p中属性的私钥，并根据属性私钥计算出对应属性的公钥；其中属性子集W_p中第i个属性w_i,p对应的私钥记为t_i,p，其对应的公钥记为T_i,p，

A5、哈希函数的选取

系统选取三个哈希函数：

H₂:w_i,p→G，H₃:m→G，并将选定的三个哈希函数H₁、H₂、H₃公布；其中

为将任意长度的{0,1}字符串映射为有限域

上元素的哈希运算，w_i,p→G为将第p个属性授权机构AA_p管理的属性子集W_p中的属性w_i,p映射为乘法循环群G上元素的哈希运算，m→G为将待签名的文件m映射为乘法循环群G上元素的哈希运算；

B、用户密钥分发

B1、用户属性集合的说明

用户ID拥有用户属性集合W_ID，W_ID＝{W_ID,1,…,W_ID,k,…,W_ID,K}；用户属性集合W_ID是属性集合空间W的子集，

为用户属性集合W_ID的第k个子集，也为属性集合空间W的第k个属性子集

的子集，即

w_ID,i,k为用户属性集合W_ID的第k个子集W_ID,k中的第i个属性，根据用户属性集合W_ID的第k个子集W_ID,k与集合空间W的第k个属性子集W_k中的属性及其私钥、公钥的对应关系，找出用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的私钥和公钥，并将对应的私钥重新为标记为t_ID,i,k，公钥重新标记为T_ID,i,k；

B2、随机多项式的选取

用户ID根据其拥有属性集合W_ID中各属性子集W_ID,k的序号k和一对多映射D，向对应的K个属性授权机构AA_p发出密钥分发申请；系统再根据一对多映射D的逆映射D^-1将接受密钥分发申请的K个属性授权机构AA_p重新排序，得到重排序属性授权机构AA₁,…,AA_k,…,AA_K，即第k个重排序属性授权机构AA_k拥有对属性集合W第k个属性子集W_k的密钥分发、管理权限；

所述的K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别选择多项式f₁'(x),…,f_k'(x),…,f_K'(x)；其中f_k'(x)是第k个重排序属性授权机AA_k选择的d_k-1次多项式，d_k为第k个重排序属性授权机构AA_k预设定的签名门限值，多项式f_k'(x)的常数项值等于第k个重排序属性授权机构AA_k的主密钥a_k,0，多项式f_k'(x)的其余各项的系数为第k个重排序属性授权机构AA_k在有限域

上随机选择的数；

B3、用户身份标识的计算

第k个重排序属性授权机构AA_k以用户的身份ID作为自变量，以其次密钥c_k作为伪随机函数PRF的种子密钥，生成用户身份标识的第k部分λ_ID,k，即

将用户身份标识的各个部分λ_ID,1,…,λ_ID,k,…,λ_ID,K链接，即可得到用户身份标识λ_ID，λ_ID＝λ_ID,1||…||λ_ID,k||…||λ_ID,K；

B4、用户主密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户主密钥的第k部分S_1,k、

B5、用户属性密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的密钥S_2,i,k，

作为用户属性密钥S_2,k第k部分的第i个子部分S_2,i,k；

将用户属性密钥S_2,k第k部分的各个子部分

链接，得到用户属性密钥的第k部分S_2,k，

B6、用户属性密钥的分发

K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别将用户主密钥的第k部分S_1,k和用户属性密钥的第k部分S_2,k通过安全信道发送给用户ID；

用户ID将用户主密钥的各个部分S_1,1,…,S_1,k,…,S_1,K链接，得到用户ID的主密钥S_ID,1，S_ID,1＝S_1,1||…||S_1,k||…||S_1,K；同时，将用户属性密钥的各个部分S_2,1,…,S_2,k,…,S_2,K链接，得到用户ID的用户属性密钥S_ID,2，S_ID,2＝S_2,1||…||S_2,k||…||S_2,K；

C、签名生成

用户ID访问网络服务时，网络服务器给定待签名文件m，并从属性集合空间W的第k个属性子集W_k中选出一个子集

作为声明签名属性集合W^*的第k个声明签名属性子集；所有的声明签名属性子集的并集为声明签名属性集合W^*，即

签名者即用户ID从声明签名属性集合W^*的第k个声明签名属性子集

和其用户属性集合W_ID的第k个子集W_ID,k的交集中，任意选择出d_k个属性，构成签名属性集合W′_ID的第k个签名属性子集W′_ID,k，

其中，w_ID',i,k为签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性，所有的签名属性子集W′_ID,k的并集为签名属性集合W′_ID，即W′_ID＝{W′_ID,1,…,W′_ID,k,…,W′_ID,K}；

C1、签名属性密钥的选取

签名者再根据签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性w_ID',i,k与用户属性集合W_ID的第k个属性子集W_ID,k中的属性及其对应的私钥、公钥和用户签名属性密钥的对应关系，将w_ID',i,k对应的私钥重新标记为t_ID',i,k，对应的公钥重新标记为T_ID',i,k，对应的密钥重新标记为S′_2,i,k，并作为用户签名属性密钥第k部分的第i个子部分S′_2,i,k；

签名者将签名属性密钥第k部分的各子部分S′_2,i,k链接生成用户签名属性密钥的第k部分S′_2,k，

再将用户签名属性密钥的各部分S′_2,k链接生成用户签名属性密钥S′_ID,2，S′_ID,2＝S′_2,1||…||S′_2,k||…||S′_2,K；

C2、第一子签名生成

签名者首先计算出待签名文件m的第一子签名σ₁的第一部分σ_1,1，

其中，z为在有限域

上随机选取出的用户身份模糊因子；v为在有限域

上随机选取出的消息随机因子；

然后，计算待签名文件m的第一子签名的第二部分中的第k个子部分σ_1,2,k，

其中，r′_i,k为有限域

上随机选取出的签名属性集合中属性w_ID',i,k的随机因子；

表示w_ID',i,k和W′_ID,k关于d_k-1次多项式f'(x)在x＝0处的拉格朗日系数，其计算方法为

其中w_ID',j,k为W′_ID,k中的第j个元素，且j≠i，Π为连乘运算符号，∈为集合的属于符号，表明了连乘的范围；Δ_k,{1,…,K}(0)表示k和{1,…,K}关于K-1次多项式f(x)在x＝0处的拉格朗日系数，其计算方法为

其中k'为W′_ID,k中的元素，且k'≠k；

其次，计算待签名文件m的第一子签名的第三部分中的第k个子部分σ_1,3,k，

其中，

为声明属性集合第k个子集

与签名属性集合第k个子集W′_ID,k的差集

中的第i个属性；

为有限域

上随机选取出的声明属性集合与签名属性集合差集中属性

的随机因子；

最后将待签名文件m的第一子签名σ₁的第一部分σ_1,1、所有的第一子签名的第二部分中的各个子部分σ_1,2,k、所有的第一子签名的第三部分中的各个子部分σ_1,3,k连乘，得到待签名文件m的第一子签名σ₁：

C3、第二子签名生成

签名者计算待签名文件m的第二子签名σ₂：

C4、第三子签名生成

签名者计算待签名文件m的第三子签名σ₃：σ₃＝g^v；

C5、第四子签名生成

签名者计算待签名文件m的第四子签名的第k交集部分中的第i个子部分σ_4,i',k：

和待签名文件m的第四子签名的第k差集部分中的第i个子部分

签名者将待签名文件m的第四子签名的第k交集部分中的各个子部分

和待签名文件m的第四子签名的第k差集部分中的各个子部分

链接，得到待签名文件m的第四子签名的第k部分σ_4,k：

将待签名文件m的第四子签名中的各个部分σ_4,1,…,σ_4,k,…,σ_4,K链接，得到待签名文件m的第四子签名σ₄：σ₄＝σ_4,1||…||σ_4,k||…||σ_4,K；

C6、签名传送

将待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄，传送给网络服务器；

D、签名验证

网络服务器收到待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄后，进行如下验证：

等式

成立，则判定签名合法，允许用户ID访问相应的网络资源；

否则，判定签名无效，网络服务器拒绝用户ID对相应的网络资源进行访问。

步骤D中签名验证等式的推导如下：

与现有技术相比，本发明的有益成果是：

一、在初始化阶段，通过引入分布式密钥生成协议将可信的系统中心移除的同时，分散了属性授权机构的密钥管理权限，每个属性机构只能生成用户属性密钥的一部分，只有属性授权机构的个数达到门限值，他们提供的部分属性密钥才能通过链接的方式形成完整的用户属性密钥。因此，即使存在被攻击者攻破的属性授权机构，但只要被攻破的属性授权机构的数量未达到门限值，攻击者就无法破解用户属性密钥，从而解决了已有技术存在的属性密钥托管问题，明显提高了本发明方法的安全性。

二、本发明在密钥分发阶段，各属性授权机构在用户属性密钥中嵌入用户身份标识，使得针对同一属性，各用户的用户属性密钥也不相同，因此拥有互补属性集合的恶意用户无法相互勾结，通过组合互补用户属性密钥的方式伪造他们各自无法单独产生的签名，从而确保了本发明方法的抗合谋攻击性。

三、本发明通过在签名中引入用户身份模糊因子用来模糊用户身份标识，使得任何攻击者：恶意用户或恶意属性授权机构，均无法在多项式时间内揭露签名者的真实身份和其使用的签名属性集合，从而确保本发明所提方法具备无条件的强匿名性。

下面结合具体实施方式对本发明做进一步的详细说明。

具体实施方式

实施例

本发明的一种具体实施方式是，一种分布式授权的属性基网络环签名方法，其步骤是：

A、参数生成

A1、属性集合的建立

系统建立属性集合空间W，W＝{W₁,…,W_k,…,W_K}，其中

为属性集合空间W的第k个属性子集，K为属性集合空间W中属性子集的总数；w_i,k为第k个属性子集W_k中的第i个属性，|W_k|为第k个属性子集W_k中属性的总数；

A2、系统公钥、私钥的生成

系统设置P≥K个分布式的属性授权机构AA_p，其中p为属性授权机构AA_p的序号，p＝{1,2,…,P}；构建q阶乘法循环群G和q阶乘法循环群Y，q为大于2⁵¹²的安全素数；且q阶乘法循环群G和q阶乘法循环群Y之间存在双线性映射关系y＝e(g_a,g_b)；其中，e(g_a,g_b)表示q阶乘法循环群G中的元素g_a和元素g_b进行双线性映射运算；

所有的属性授权机构AA₁,…,AA_p,…,AA_P，执行(K,P)门限的分布式密钥生成协议；选择其中任意K个属性授权机构AA_p合作生成系统主密钥a₀和系统次密钥b₀；任选一个属性授权机构AA_p生成：系统第一公钥g₁，

系统第二公钥g₂，

其中g为q阶乘法循环群G的生成元；该属性授权机构AA_p再将系统第一公钥g₁、系统第二公钥g₂进行双线性映射运算得到系统第三公钥y，y＝e(g₁,g₂)；

A3、属性授权机构私钥、公钥的生成

将属性授权机构AA_p在执行(K,P)门限的分布式密钥生成协议中使用的K-1次多项式命名为f_p(x)；其中f_p(x)中各项的系数由属性授权机构AA_p在由1至(q-1)之间的整数组成的有限域

上随机选取；

将属性授权机构AA_p的序号p作为自变量x的值，代入所有的属性授权机构AA₁,…,AA_p,…,AA_P使用的K-1次多项式f₁(x),…,f_p(x),…,f_P(x)，求得这些多项式的值，所有多项式的值的总和，即为属性授权机构AA_p的主密钥为a_p,0；

属性授权机构AA_p在有限域

上随机选取一个数作为其次密钥c_p，并通过其次密钥c_p计算出自己的公钥P_p，

A4、属性的公私钥生成

系统建立属性集合W中的属性子集W_k的序号k到属性授权机构AA_p的序号p的一对多映射D，将属性集合W中的属性子集W_k映射后得到的对应的属性子集命名为W_p，并将属性子集W_p的密钥分发、管理权限分配给属性授权机构AA_p；

属性授权机构AA_p在有限域

上随机选取一系列数作为其管理属性子集W_p中属性的私钥，并根据属性私钥计算出对应属性的公钥；其中属性子集W_p中第i个属性w_i,p对应的私钥记为t_i,p，其对应的公钥记为T_i,p，

A5、哈希函数的选取

系统选取三个哈希函数：

H₂:w_i,p→G，H₃:m→G，并将选定的三个哈希函数H₁、H₂、H₃公布；其中

为将任意长度的{0,1}字符串映射为有限域

上元素的哈希运算，w_i,p→G为将第p个属性授权机构AA_p管理的属性子集W_p中的属性w_i,p映射为乘法循环群G上元素的哈希运算，m→G为将待签名的文件m映射为乘法循环群G上元素的哈希运算；

B、用户密钥分发

B1、用户属性集合的说明

用户ID拥有用户属性集合W_ID，W_ID＝{W_ID,1,…,W_ID,k,…,W_ID,K}；用户属性集合W_ID是属性集合空间W的子集，

为用户属性集合W_ID的第k个子集，也为属性集合空间W的第k个属性子集

的子集，即

w_ID,i,k为用户属性集合W_ID的第k个子集W_ID,k中的第i个属性，根据用户属性集合W_ID的第k个子集W_ID,k与集合空间W的第k个属性子集W_k中的属性及其私钥、公钥的对应关系，找出用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的私钥和公钥，并将对应的私钥重新为标记为t_ID,i,k，公钥重新标记为T_ID,i,k；

B2、随机多项式的选取

用户ID根据其拥有属性集合W_ID中各属性子集W_ID,k的序号k和一对多映射D，向对应的K个属性授权机构AA_p发出密钥分发申请；系统再根据一对多映射D的逆映射D^-1将接受密钥分发申请的K个属性授权机构AA_p重新排序，得到重排序属性授权机构AA₁,…,AA_k,…,AA_K，即第k个重排序属性授权机构AA_k拥有对属性集合W第k个属性子集W_k的密钥分发、管理权限；

所述的K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别选择多项式f₁'(x),…,f_k'(x),…,f_K'(x)；其中f_k'(x)是第k个重排序属性授权机AA_k选择的d_k-1次多项式，d_k为第k个重排序属性授权机构AA_k预设定的签名门限值，多项式f_k'(x)的常数项值等于第k个重排序属性授权机构AA_k的主密钥a_k,0，多项式f_k'(x)的其余各项的系数为第k个重排序属性授权机构AA_k在有限域

上随机选择的数；

B3、用户身份标识的计算

第k个重排序属性授权机构AA_k以用户的身份ID作为自变量，以其次密钥c_k作为伪随机函数PRF的种子密钥，生成用户身份标识的第k部分λ_ID,k，即

将用户身份标识的各个部分λ_ID,1,…,λ_ID,k,…,λ_ID,K链接，即可得到用户身份标识λ_ID，λ_ID＝λ_ID,1||…||λ_ID,k||…||λ_ID,K；

B4、用户主密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户主密钥的第k部分S_1,k、

B5、用户属性密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的密钥S_2,i,k，

作为用户属性密钥S_2,k第k部分的第i个子部分S_2,i,k；

将用户属性密钥S_2,k第k部分的各个子部分

链接，得到用户属性密钥的第k部分S_2,k，

B6、用户属性密钥的分发

K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别将用户主密钥的第k部分S_1,k和用户属性密钥的第k部分S_2,k通过安全信道发送给用户ID；

用户ID将用户主密钥的各个部分S_1,1,…,S_1,k,…,S_1,K链接，得到用户ID的主密钥S_ID,1，S_ID,1＝S_1,1||…||S_1,k||…||S_1,K；同时，将用户属性密钥的各个部分S_2,1,…,S_2,k,…,S_2,K链接，得到用户ID的用户属性密钥S_ID,2，S_ID,2＝S_2,1||…||S_2,k||…||S_2,K；

C、签名生成

用户ID访问网络服务时，网络服务器给定待签名文件m，并从属性集合空间W的第k个属性子集W_k中选出一个子集

作为声明签名属性集合W^*的第k个声明签名属性子集；所有的声明签名属性子集的并集为声明签名属性集合W^*，即

签名者即用户ID从声明签名属性集合W^*的第k个声明签名属性子集

和其用户属性集合W_ID的第k个子集W_ID,k的交集中，任意选择出d_k个属性，构成签名属性集合W′_ID的第k个签名属性子集W′_ID,k，

其中，w_ID',i,k为签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性，所有的签名属性子集W′_ID,k的并集为签名属性集合W′_ID，即W′_ID＝{W′_ID,1,…,W′_ID,k,…,W′_ID,K}；

C1、签名属性密钥的选取

签名者再根据签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性w_ID',i,k与用户属性集合W_ID的第k个属性子集W_ID,k中的属性及其对应的私钥、公钥和用户签名属性密钥的对应关系，将w_ID',i,k对应的私钥重新标记为t_ID',i,k，对应的公钥重新标记为T_ID',i,k，对应的密钥重新标记为S′_2,i,k，并作为用户签名属性密钥第k部分的第i个子部分S′_2,i,k；

签名者将签名属性密钥第k部分的各子部分S′_2,i,k链接生成用户签名属性密钥的第k部分S′_2,k，

再将用户签名属性密钥的各部分S′_2,k链接生成用户签名属性密钥S′_ID,2，S′_ID,2＝S′_2,1||…||S′_2,k||…||S′_2,K；

C2、第一子签名生成

签名者首先计算出待签名文件m的第一子签名σ₁的第一部分σ_1,1，

其中，z为在有限域

上随机选取出的用户身份模糊因子；v为在有限域

上随机选取出的消息随机因子；

然后，计算待签名文件m的第一子签名的第二部分中的第k个子部分σ_1,2,k，

其中，r′_i,k为有限域

上随机选取出的签名属性集合中属性w_ID',i,k的随机因子；

表示w_ID',i,k和W′_ID,k关于d_k-1次多项式f'(x)在x＝0处的拉格朗日系数，其计算方法为

其中w_ID',j,k为W′_ID,k中的第j个元素，且j≠i，Π为连乘运算符号，∈为集合的属于符号，表明了连乘的范围；Δ_k,{1,…,K}(0)表示k和{1,…,K}关于K-1次多项式f(x)在x＝0处的拉格朗日系数，其计算方法为

其中k'为W′_ID,k中的元素，且k'≠k；

其次，计算待签名文件m的第一子签名的第三部分中的第k个子部分σ_1,3,k，

其中，

为声明属性集合第k个子集

与签名属性集合第k个子集W′_ID,k的差集

中的第i个属性；

为有限域

上随机选取出的声明属性集合与签名属性集合差集中属性

的随机因子；

最后将待签名文件m的第一子签名σ₁的第一部分σ_1,1、所有的第一子签名的第二部分中的各个子部分σ_1,2,k、所有的第一子签名的第三部分中的各个子部分σ_1,3,k连乘，得到待签名文件m的第一子签名σ₁：

C3、第二子签名生成

签名者计算待签名文件m的第二子签名σ₂：

C4、第三子签名生成

签名者计算待签名文件m的第三子签名σ₃：σ₃＝g^v；

C5、第四子签名生成

签名者计算待签名文件m的第四子签名的第k交集部分中的第i个子部分σ_4,i',k：

和待签名文件m的第四子签名的第k差集部分中的第i个子部分

签名者将待签名文件m的第四子签名的第k交集部分中的各个子部分

和待签名文件m的第四子签名的第k差集部分中的各个子部分

链接，得到待签名文件m的第四子签名的第k部分σ_4,k：

将待签名文件m的第四子签名中的各个部分σ_4,1,…,σ_4,k,…,σ_4,K链接，得到待签名文件m的第四子签名σ₄：σ₄＝σ_4,1||…||σ_4,k||…||σ_4,K；

C6、签名传送

将待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄，传送给网络服务器；

D、签名验证

网络服务器收到待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄后，进行如下验证：

等式

成立，则判定签名合法，允许用户ID访问相应的网络资源；

否则，判定签名无效，网络服务器拒绝用户ID对相应的网络资源进行访问。

Claims (1)

1.一种分布式授权的属性基网络环签名方法，其步骤是：

A、参数生成

A1、属性集合的建立

系统建立属性集合空间W，W＝{W₁,…,W_k,…,W_K}，其中

为属性集合空间W的第k个属性子集，K为属性集合空间W中属性子集的总数；w_i,k为第k个属性子集W_k中的第i个属性，|W_k|为第k个属性子集W_k中属性的总数；

A2、系统公钥、私钥的生成

系统设置P≥K个分布式的属性授权机构AA_p，其中p为属性授权机构AA_p的序号，p＝{1,2,…,P}；构建q阶乘法循环群G和q阶乘法循环群Y，q为大于2⁵¹²的安全素数；且q阶乘法循环群G和q阶乘法循环群Y之间存在双线性映射关系y_a,b＝e(g_a,g_b)；其中，e(g_a,g_b)表示q阶乘法循环群G中的元素g_a和元素g_b进行双线性映射运算；

所有的属性授权机构AA₁,…,AA_p,…,AA_P，执行(K,P)门限的分布式密钥生成协议；选择其中任意K个属性授权机构AA_p合作生成系统主密钥a₀和系统次密钥b₀；任选一个属性授权机构AA_p生成：系统第一公钥g₁，

系统第二公钥g₂，

其中g为q阶乘法循环群G的生成元；该属性授权机构AA_p再将系统第一公钥g₁、系统第二公钥g₂进行双线性映射运算得到系统第三公钥y_1,2，y_1,2＝e(g₁,g₂)；

A3、属性授权机构私钥、公钥的生成

将属性授权机构AA_p在执行(K,P)门限的分布式密钥生成协议中使用的K-1次多项式命名为f_p(x)；其中f_p(x)中各项的系数由属性授权机构AA_p在由1至(q-1)之间的整数组成的有限域

上随机选取；

将属性授权机构AA_p的序号p作为自变量x的值，代入所有的属性授权机构AA₁,…,AA_p,…,AA_P使用的K-1次多项式f₁(x),…,f_p(x),…,f_P(x)，求得这些多项式的值，所有多项式的值的总和，即为属性授权机构AA_p的主密钥为a_p,0；

属性授权机构AA_p在有限域

上随机选取一个数作为其次密钥c_p，并通过其次密钥c_p计算出自己的公钥P_p，

A4、属性的公私钥生成

系统建立属性集合W中的属性子集W_k的序号k到属性授权机构AA_p的序号p的一对多映射D，将属性集合W中的属性子集W_k映射后得到的对应的属性子集命名为W_p，并将属性子集W_p的密钥分发、管理权限分配给属性授权机构AA_p；

属性授权机构AA_p在有限域

上随机选取一系列数作为其管理属性子集W_p中属性的私钥，并根据属性私钥计算出对应属性的公钥；其中属性子集W_p中第i个属性w_i,p对应的私钥记为t_i,p，其对应的公钥记为T_i,p，

A5、哈希函数的选取

系统选取三个哈希函数：H₁:

H₂:w_i,p→G，H₃:m→G，并将选定的三个哈希函数H₁、H₂、H₃公布；其中

为将任意长度的{0,1}字符串映射为有限域

上元素的哈希运算，w_i,p→G为将第p个属性授权机构AA_p管理的属性子集W_p中的属性w_i,p映射为乘法循环群G上元素的哈希运算，m→G为将待签名的文件m映射为乘法循环群G上元素的哈希运算；

B、用户密钥分发

B1、用户属性集合的说明

用户ID拥有用户属性集合W_ID，W_ID＝{W_ID,1,…,W_ID,k,…,W_ID,K}；用户属性集合W_ID是属性集合空间W的子集，

为用户属性集合W_ID的第k个子集，也为属性集合空间W的第k个属性子集

的子集，即

w_ID,i,k为用户属性集合W_ID的第k个子集W_ID,k中的第i个属性，根据用户属性集合W_ID的第k个子集W_ID,k与集合空间W的第k个属性子集W_k中的属性及其私钥、公钥的对应关系，找出用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的私钥和公钥，并将对应的私钥重新为标记为t_ID,i,k，公钥重新标记为T_ID,i,k；

B2、随机多项式的选取

用户ID根据其拥有属性集合W_ID中各属性子集W_ID,k的序号k和一对多映射D，向对应的K个属性授权机构AA_p发出密钥分发申请；系统再根据一对多映射D的逆映射D^-1将接受密钥分发申请的K个属性授权机构AA_p重新排序，得到重排序属性授权机构AA₁,…,AA_k,…,AA_K，即第k个重排序属性授权机构AA_k拥有对属性集合W第k个属性子集W_k的密钥分发、管理权限；并由属性授权机构AA_p的公钥P_p得到重排序属性授权机构AA_k的公钥P_k；

所述的K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别选择多项式f₁′(x),…,f′_k(x),…,f′_K(x)；其中f′_k(x)是第k个重排序属性授权机AA_k选择的d_k-1次多项式，d_k为第k个重排序属性授权机构AA_k预设定的签名门限值，多项式f′_k(x)的常数项值等于第k个重排序属性授权机构AA_k的主密钥a_k,0，多项式f′_k(x)的其余各项的系数为第k个重排序属性授权机构AA_k在有限域

上随机选择的数；

B3、用户身份标识的计算

第k个重排序属性授权机构AA_k以用户的身份ID作为自变量，以其次密钥c_k作为伪随机函数PRF的种子密钥，生成用户身份标识的第k部分λ_ID,k，即

将用户身份标识的各个部分λ_ID,1,…,λ_ID,k,…,λ_ID,K链接，即可得到用户身份标识λ_ID，λ_ID＝λ_ID,1||…||λ_ID,k||…||λ_ID,K；

B4、用户主密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户主密钥的第k部分S_1,k、

B5、用户属性密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的密钥S_2,i,k，

作为用户属性密钥S_2,k第k部分的第i个子部分S_2,i,k；

将用户属性密钥S_2,k第k部分的各个子部分

链接，得到用户属性密钥的第k部分S_2,k，

B6、用户属性密钥的分发

K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别将用户主密钥的第k部分S_1,k和用户属性密钥的第k部分S_2,k通过安全信道发送给用户ID；

用户ID将用户主密钥的各个部分S_1,1,…,S_1,k,…,S_1,K链接，得到用户ID的主密钥S_ID,1，S_ID,1＝S_1,1||…||S_1,k||…||S_1,K；同时，将用户属性密钥的各个部分S_2,1,…,S_2,k,…,S_2,K链接，得到用户ID的用户属性密钥S_ID,2，S_ID,2＝S_2,1||…||S_2,k||…||S_2,K；

C、签名生成

用户ID访问网络服务时，网络服务器给定待签名文件m，并从属性集合空间W的第k个属性子集W_k中选出一个子集

作为声明签名属性集合W^*的第k个声明签名属性子集；所有的声明签名属性子集的并集为声明签名属性集合W^*，即

签名者即用户ID从声明签名属性集合W^*的第k个声明签名属性子集

和其用户属性集合W_ID的第k个子集W_ID,k的交集中，任意选择出d_k个属性，构成签名属性集合W′_ID的第k个签名属性子集W′_ID,k，

其中，w_ID′,i,k为签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性，所有的签名属性子集W′_ID,k的并集为签名属性集合W′_ID，即W′_ID＝{W′_ID,1,…,W′_ID,k,…,W′_ID,K}；

C1、签名属性密钥的选取

签名者再根据签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性w_ID′,i,k与用户属性集合W_ID的第k个属性子集W_ID,k中的属性及其对应的私钥、公钥和用户签名属性密钥的对应关系，将w_ID′,i,k对应的私钥重新标记为t_ID′,i,k，对应的公钥重新标记为T_ID′,i,k，对应的密钥重新标记为S′_2,i,k，并作为用户签名属性密钥第k部分的第i个子部分S′_2,i,k；

签名者将签名属性密钥第k部分的各子部分S′_2,i,k链接生成用户签名属性密钥的第k部分S′_2,k，

再将用户签名属性密钥的各部分S′_2,k链接生成用户签名属性密钥S′_ID,2，S′_ID,2＝S′_2,1||…||S′_2,k||…||S′_2,K；

C2、第一子签名生成

签名者首先计算出待签名文件m的第一子签名σ₁的第一部分σ_1,1，

其中，z为在有限域

上随机选取出的用户身份模糊因子；v为在有限域

上随机选取出的消息随机因子；

然后，计算待签名文件m的第一子签名的第二部分中的第k个子部分σ_1,2,k，

其中，r′_i,k为有限域

上随机选取出的签名属性集合中属性w_ID′,i,k的随机因子；

表示w_ID′,i,k和W′_ID,k关于d_k-1次多项式f′(x)在x＝0处的拉格朗日系数，其计算方法为

其中w_ID′,j,k为W′_ID,k中的第j个元素，且j≠i，Π为连乘运算符号，∈为集合的属于符号，表明了连乘的范围；Δ_k,{1,…,K}(0)表示k和{1,…,K}关于K-1次多项式f(x)在x＝0处的拉格朗日系数，其计算方法为

其中k′为W′_ID,k中的元素，且k′≠k；

其次，计算待签名文件m的第一子签名的第三部分中的第k个子部分σ_1,3,k，

其中，

为声明属性集合第k个子集

与签名属性集合第k个子集W′_ID,k的差集

中的第i个属性；

为有限域

上随机选取出的声明属性集合与签名属性集合差集中属性

的随机因子；

最后将待签名文件m的第一子签名σ₁的第一部分σ_1,1、所有的第一子签名的第二部分中的各个子部分σ_1,2,k、所有的第一子签名的第三部分中的各个子部分σ_1,3,k连乘，得到待签名文件m的第一子签名σ₁：

C3、第二子签名生成

签名者计算待签名文件m的第二子签名σ₂：

C4、第三子签名生成

签名者计算待签名文件m的第三子签名σ₃：σ₃＝g^v；

C5、第四子签名生成

签名者计算待签名文件m的第四子签名的第k交集部分中的第i个子部分σ_4,i′,k：

和待签名文件m的第四子签名的第k差集部分中的第i个子部分

签名者将待签名文件m的第四子签名的第k交集部分中的各个子部分

和待签名文件m的第四子签名的第k差集部分中的各个子部分

链接，得到待签名文件m的第四子签名的第k部分σ_4,k：

将待签名文件m的第四子签名中的各个部分σ_4,1,…,σ_4,k,…,σ_4,K链接，得到待签名文件m的第四子签名σ₄：σ₄＝σ_4,1||…||σ_4,k||…||σ_4,K；

C6、签名传送

将待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄，传送给网络服务器；

D、签名验证

网络服务器收到待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄后，进行如下验证：

等式

成立，则判定签名合法，允许用户ID访问相应的网络资源；

否则，判定签名无效，网络服务器拒绝用户ID对相应的网络资源进行访问。