CN115174239B - 可追踪及前向安全的具有固定长度的属性基签名系统及方法 - Google Patents

Abstract

本发明涉及一种可追踪及前向安全的具有固定长度的属性基签名方法与系统。本发明系统包括三个实体：属性授权端、签名端和验证端。属性授权端，首先产生系统主密钥和公开参数；然后根据系统主密钥、公开参数、签名端属性和初始时间段产生初始签名私钥和追踪密钥，公开参数发送给签名端和验证端，初始签名私钥发送给签名端，追踪密钥由属性授权端保留。签名端，首先根据当前时间段的签名密钥更新下一个时间段的签名密钥；然后签名端根据当前时间段的签名私钥、公开参数、访问策略和消息，生成签名。验证端，根据公开参数、当前时间段的签名和访问策略，验证当前时间段的签名的有效性。由于密钥更新的单向性，即使当前密钥泄露，也无法推断泄露之前的签名密钥，因此，提出的方法具有前向安全性。另外，当签名端滥用签名行为时，属性授权端根据访问策略、消息、签名和追踪密钥，追踪并输出签名端的身份。本发明在保证可靠性的前提下，有效提高云计算中的访问控制和匿名认证效率。

Description

可追踪及前向安全的具有固定长度的属性基签名系统及方法

技术领域

本发明涉及一种可追踪及前向安全的具有固定长度的属性基签名系统。

背景技术

在传统的公钥密码体制中，通信模型是一对一的。换句话说，任何由特定公钥加密的消息只能通过使用相关的私钥进行解密。然而，一对一的通信模型有一些限制。例如，当一个人想要将消息分配给一组特定的用户时，这个人必须用每个用户的身份或公钥对消息进行加密。在某些应用场景中，希望能够在不确切地知道目标接收方公钥的情况下进行加密。除此之外，一对一的通信模型不适合云存储服务。随着越来越多的敏感数据外包给云，云存储服务面临着数据访问控制、数据安全和隐私保护等诸多问题。针对这些问题，已经提出了一种具有“一对多”通信特点的基于属性的加密(ABE)，它是解决上述问题的重要方法。然而，基于属性的加密只提供了数据的保密性不能提供数据的认证性。因此，基于属性的签名(ABS)作为数据认证的解决方案已经被提出，它在隐私保护、访问控制和数据身份验证方面发挥了重要作用，并已经将其应用于云存储服务中。然而，基于属性的签名可能会遭受密钥暴露以及签名滥用问题。因此可追踪及前向安全的基于属性的签名(TFS-ABS)是解决上述问题的重要方法，这使得基于属性的签名可以用来减轻由密钥暴露带来的损害，并在签名者发生滥用行为时，通过属性授权端追踪签名者的真实身份。

发明内容

有鉴于此，本发明的目的在于提供一种可追踪及前向安全的具有固定长度的属性基签名系统，在保证可靠性的前提下，有效提高云计算中的访问控制和匿名认证效率。

为实现上述目的，本发明采用如下技术方案：

一种可追踪及前向安全的具有固定长度的属性基签名系统，包括：

属性授权端，用于产生系统主密钥msk和公开参数params；还用于根据系统主密钥msk，公开参数params，初始时间段t₀，签名端属性集

和签名端身份ID，生成初始签名私钥

和追踪密钥tk；还用于根据访问策略Γ，消息M，签名σ和追踪密钥tk，输出签名端身份ID；

签名端，用于更新当前时间段t_i的签名私钥

到下一个时间段t_j的签名私钥

还用于根据当前时间段t_i的签名私钥

公开参数params，访问策略Γ，消息M，计算签名σ；

验证端，用于根据公开参数params，访问策略Γ，消息M和签名σ，验证签名的有效性。

一种可追踪及前向安全的具有固定长度的属性基签名系统的签名方法，包括以下步骤：

步骤S1：属性授权端输入安全参数λ，输出系统主密钥msk和公开参数params；

步骤S2：属性授权端输入主密钥msk，公开参数params，初始时间段t₀，签名端属性集

和签名端身份ID，生成初始签名私钥

和追踪密钥tk；

步骤S3：签名端输入公开参数params，当前时间段t_i的签名私钥

输出下一个时间段t_j的签名私钥

步骤S4：签名端输入当前时间段t_i的签名私钥

公开参数params，访问策略Γ，消息M，输出签名σ；

步骤S5：验证端输入公开参数params，访问策略Γ，消息M和签名σ，如果签名有效则输出1，否则输出0；

步骤S6：属性授权端从验证端获取签名σ并验证，若符合要求，则输出签名端身份ID。

进一步的，所述步骤S1中，具体包括以下步骤：

步骤S11：属性授权端输入安全参数λ；设G₁和G₂均为p阶的乘法循环群，g∈G₁为G₁的生成元，e：G₁×G₁→G₂是一个双线性映射，选择一个哈希函数

其中

步骤S12：设总时间周期数

为身份域以及

为属性域，其中l是二叉树的深度以及Z_p＝{0，1，2，...，p-1}；设U＝{1，2，...，κ}并且设Ω＝{κ+1，κ+2，...，κ+d-1}表示具有d-1个元素的虚拟属性集；

步骤S13：属性授权端随机选择

以及一个生成元g∈G₁，计算Z＝e(g，g)^a；

步骤S14：属性授权端从G₁随机选择τ′，τ₁，...，τ_n，δ₀，δ₁，…，δ_κ+d-1，μ₀，μ₁，…，μ_l，并设T＝(τ′，τ₁，τ₂，…，τ_n)为n+1长度的向量，Λ＝(δ₀，δ₁，δ₂，…，δ_κ+d-1)为κ+d长度的向量以及Φ＝(μ₀，μ₁，μ₂，…，μ_l)为l+1长度的向量；

步骤S15：属性授权端输出主密钥msk＝a和公开参数params＝(U，Ω，G₁，G₂，e，g，T，A，Φ，H，Z)，其中Z＝e(g，g)^a。

进一步的，所述步骤S2中，具体包括以下步骤：

步骤S21：属性授权端随机选择一个d-1次的多项式q(x)且q(0)＝a，计算

其中Ω为虚拟属性集；

步骤S22：属性授权端随机选择π₀，τ₀∈Z_p，计算

以及

步骤S23：对每一个属性

其中Ω表示为由属性授权端选择的虚拟属性集，属性授权端随机选择r_i∈Z_p；对于每一个节点

属性授权端随机选择r_i，v∈Z_p并且计算

其中

步骤S24：属性授权端输出初始签名私钥

其中

进一步的，所述步骤S3中，具体包括以下步骤：

步骤S31：签名端解析签名私钥

为

其中

步骤S32：对每一个属性

签名端随机选择r_i′∈Z_p；对每一个属性i∈A和节点

签名端随机选择r_i.v′∈Z_p，计算

其中

步骤S33：签名端输出在时间段t_j的新的签名密钥

其中，

以及

进一步的，所述步骤S4中，具体包括以下步骤：

步骤S41：签名端选择一个具有k个元素的属性子集

和一个具有d-k个元素的虚拟属性子集

设

和Ω′＝{κ+1，κ+2，...，κ+d-k}；

步骤S42：签名端解析签名密钥

为

其中，

然后，解析

步骤S43：对于每一个属性i∈S，签名端使用sk_i，v计算

其中r^*＝∑_i∈Sr_iΔ_i，S(0)，

步骤S44：签名端随机选择d₀，β，η，θ∈Z_p，计算

σ₂＝α₁·g^η，

σ₃＝u′·g^β，

σ₄＝g^θ；

步骤S45：签名端输出签名σ＝(X₁，X₂，σ₁，σ₂，σ₃，σ₄)。

进一步的，所述步骤S5中，具体包括以下步骤：

验证端从签名端收到签名σ，验证下面等式是否成立。

如果等式成立，签名有效；否则，验证端拒绝签名。

进一步的，所述步骤S6中，具体包括以下步骤：

属性授权端从验证端获取签名σ，计算

如果上面等式成立，属性授权端输出签名端的真实身份ID。

本发明与现有技术相比具有以下有益效果：

本发明基于属性基签名设计，用户的私钥与一组属性相关联，签名中嵌入了访问策略，如果属性满足访问策略，则用户可以生成有效的签名。签名端利用二叉树结构对不同时期的签名密钥进行更新；验证端确信由一组可能的用户创建特定的签名，这些用户的属性与访问策略相匹配，从而不泄露签名者的身份信息。此外，当签名端发生签名滥用行为时，属性授权端可以追踪签名端的真实身份。因此，提出的方法及系统在数据认证，隐私保护访问控制和可追踪系统中具有很强的实用性和广阔的应用前景。

附图说明

图1是本发明系统原理示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

请参照图1，本发明提供一种可追踪及前向安全的具有固定长度的属性基签名系统，包括：

属性授权端，用于产生系统主密钥msk和公开参数params；还用于根据系统主密钥msk，公开参数params，初始时间段t₀，签名端属性集

和签名端身份ID，生成初始签名私钥

和追踪密钥tk；还用于根据访问策略Γ，消息M，签名σ和追踪密钥tk，输出签名端身份ID；

签名端，用于更新当前时间段t_i的签名私钥

到下一个时间段t_j的签名私钥

还用于根据当前时间段t_i的签名私钥

公开参数params，访问策略Γ，消息M，计算签名σ；

验证端，用于根据公开参数params，访问策略Γ，消息M和签名σ，验证签名的有效性。

本实施例还提供一种可追踪及前向安全的具有固定长度的属性基签名方法，包括以下步骤：

步骤S1：属性授权端输入安全参数λ，输出系统主密钥msk和公开参数params；

在本实施例中，所述步骤S1具体包括以下步骤：

步骤S11：属性授权端输入安全参数λ；设G₁和G₂均为p阶的乘法循环群，g∈G₁为G₁的生成元，e：G₁×G₁→G₂是一个双线性映射，选择一个哈希函数

其中

步骤S12：设总时间周期数

为身份域以及

为属性域，其中l是二叉树的深度以及Z_p＝{0，1，2，...，p-1}；设U＝{1，2，...，κ}并且设Ω＝{κ+1，κ+2，...，κ+d-1}表示具有d-1个元素的虚拟属性集；

步骤S13：属性授权端随机选择

以及一个生成元g∈G₁，计算Z＝e(g，g)^a；

步骤S14：属性授权端从G₁随机选择τ′，τ₁，...，τ_n，δ₀，δ₁，…，δ_κ+d-1，μ₀，μ₁，…，μ_l，并设T＝(τ′，τ₁，τ₂，...，τ_n)为n+1长度的向量，Λ＝(δ₀，δ₁，δ₂，…，δ_κ+d-1)为κ+d长度的向量以及Φ＝(μ₀，μ₁，μ₂，…，μ_l)为l+1长度的向量；

步骤S15：属性授权端输出主密钥msk＝a和公开参数params＝(U，Ω，G₁，G₂，e，g，T，Λ，Φ，H，Z)，其中Z＝e(g，g)^a。

步骤S2：属性授权端输入主密钥msk，公开参数params，初始时间段t₀，签名端属性集

和签名端身份ID，生成初始签名私钥

和追踪密钥tk；

在本实施例中，所述步骤S2具体包括以下步骤：

步骤S21：属性授权端随机选择一个d-1次的多项式q(x)且q(0)＝a，计算

其中Ω为虚拟属性集；

步骤S22：属性授权端随机选择π₀，τ₀∈Z_p，计算

以及

步骤S23：对每一个属性

其中Ω表示为由属性授权端选择的虚拟属性集，属性授权端随机选择r_i∈Z_p；对于每一个节点

属性授权端随机选择r_i，v∈Z_p并且计算

其中

步骤S24：属性授权端输出初始签名私钥

其中

步骤S3：签名端输入公开参数params，当前时间段t_i的签名私钥

输出下一个时间段t_j的签名私钥

在本实施例中，所述步骤S3具体包括以下步骤：

步骤S31：签名端解析签名私钥

为

其中

步骤S32：对每一个属性

签名端随机选择r_i′∈Z_p；对每一个属性i∈A和节点

签名端随机选择r_i，v′∈Z_p，计算

其中

步骤S33：签名端输出在时间段t_j的新的签名密钥

其中，

以及

步骤S4：签名端输入当前时间段t_i的签名私钥

公开参数params，访问策略Γ，消息M，输出签名σ；

在本实施例中，所述步骤S4具体包括以下步骤：

步骤S41：签名端选择一个具有k个元素的属性子集

和一个具有d-k个元素的虚拟属性子集

设

和Ω′＝{κ+1，κ+2，...，κ+d-k}；

步骤S42：签名端解析签名密钥

为

其中，

然后，解析

步骤S43：对于每一个属性i∈S，签名端使用sk_i，v计算

其中r^*＝∑_i∈Sr_iΔ_i，S(0)，

步骤S44：签名端随机选择d₀，β，η，θ∈Z_p，计算

σ₂＝α₁·g^η，

σ₃＝u′·g^β，

σ₄＝g^θ；

步骤S45：签名端输出签名σ＝(X₁，X₂，σ₁，σ₂，σ₃，σ₄)。

步骤S5：验证端输入公开参数params，访问策略Γ，消息M和签名σ，如果签名有效则输出1，否则输出0。

在本实施例中，所述步骤S5具体包括以下步骤：

验证端从签名端收到签名σ，验证下面等式是否成立。

如果等式成立，签名有效。否则，验证端拒绝签名。

步骤S6：属性授权端输入访问策略Γ，消息M，签名σ和追踪密钥tk，输出签名端身份ID。

在本实施例中，所述步骤S6具体包括以下步骤：

属性授权端从验证端获取签名σ，计算

如果上面等式成立，属性授权端输出签名端的真实身份ID。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (1)

1.一种可追踪及前向安全的具有固定长度的属性基签名系统的签名方法，其特征在于，包括以下步骤：

步骤S1：属性授权端输入安全参数λ，输出系统主密钥msk和公开参数params；

步骤S2：属性授权端输入主密钥msk，公开参数params，初始时间段t₀，签名端属性集

和签名端身份ID，生成初始签名私钥

和追踪密钥tk；

步骤S3：签名端输入公开参数params，当前时间段t_i的签名私钥

输出下一个时间段t_j的签名私钥

步骤S4：签名端输入当前时间段t_i的签名私钥

公开参数params，访问策略Γ，消息M，输出签名σ；

步骤S5：验证端输入公开参数params，访问策略Γ，消息M和签名σ，如果签名有效则输出1，否则输出0；

步骤S6：属性授权端从验证端获取签名σ并验证，若符合要求，则输出签名端身份ID；

所述步骤S1中，具体包括以下步骤：

步骤S11：属性授权端输入安全参数λ；设G₁和G₂均为p阶的乘法循环群，g∈G₁为G₁的生成元，e：G₁×G₁→G₂是一个双线性映射，选择一个哈希函数

其中

步骤S12：设总时间周期数T＝2^l，

为身份域以及

(|U|＝κ)为属性域，其中l是二叉树的深度以及Z_p＝{0，1，2，...，p-1}；设U＝{1，2，...，κ}并且设Ω＝{κ+1，k+2，...，κ+d-1}表示具有d-1个元素的虚拟属性集；

步骤S13：属性授权端随机选择

以及一个生成元g∈G₁，计算Z＝e(g，g)^a；

步骤S14：属性授权端从G₁随机选择τ’，τ₁，...，τ_n，δ₀，δ₁，...，δ_κ+d-1，μ₀，μ₁，...，μ_l，并设T＝(τ’，τ₁，τ₂，...，τ_n)为n+1长度的向量，A＝(δ₀，δ₁，δ₂，...，δ_κ+d-1)为k+d长度的向量以及Φ＝(μ₀，μ₁，μ₂，...，μ_l)为l+1长度的向量；

步骤S15：属性授权端输出主密钥msk＝a和公开参数params＝(U，Ω，G₁，G₂，e，g，T，A，Φ，H，Z)，其中Z＝e(g，g)^a；

所述步骤S2中，具体包括以下步骤：

步骤S21：属性授权端随机选择一个d-1次的多项式q(x)且q(0)＝a，计算q(i)，

其中Ω为虚拟属性集；

步骤S22：属性授权端随机选择π₀，τ₀∈Z_p，计算

以及

步骤S23：对每一个属性

其中θ表示为由属性授权端选择的虚拟属性集，属性授权端随机选择r_i∈Z_p；对于每一个节点

属性授权端随机选择r_i，v∈Z_p并且计算

其中

步骤S24：属性授权端输出初始签名私钥

其中

所述步骤S3中，具体包括以下步骤：

步骤S31：签名端解析签名私钥

为

其中

步骤S32：对每一个属性

签名端随机选择r_i’∈Z_p；对每一个属性

和节点

签名端随机选择r_i，v′∈Z_p，计算

其中

步骤S33：签名端输出在时间段t_j的新的签名密钥

其中，

以及

所述步骤S4中，具体包括以下步骤：

步骤S41：签名端选择一个具有k个元素的属性子集

和一个具有d-k个元素的虚拟属性子集

设

和θ’＝{κ+1，κ+2，...，κ+d-k}；

步骤S42：签名端解析签名密钥

为

其中，

然后，解析

步骤S43：对于每一个属性i∈S，签名端使用sk_i，y计算

其中r^*＝∑_i∈Sr_iΔ_i，S(0)，

步骤s44：签名端随机选择d₀，β，η，θ∈Z_p，计算

σ₂＝α₁·g^η，

σ₃＝u’·g^β，

σ₄＝g^θ；

步骤S45：签名端输出签名σ＝(X₁，X₂，σ₁，σ₂，σ₃，σ₄)；

所述步骤S5中，具体包括以下步骤：

验证端从签名端收到签名σ，验证下面等式是否成立；

如果等式成立，签名有效；否则，验证端拒绝签名；

所述步骤S6中，具体包括以下步骤：

属性授权端从验证端获取签名σ，计算

如果上面等式成立，属性授权端输出签名端的真实身份ID。

Images