[发明专利]一种分布式授权的属性基网络环签名方法

权利要求书

1.一种分布式授权的属性基网络环签名方法，其步骤是：

A、参数生成

A1、属性集合的建立

系统建立属性集合空间W，W＝{W₁,…,W_k,…,W_K}，其中为属性集合空间W的第k个属性子集，K为属性集合空间W中属性子集的总数；w_i,k为第k个属性子集W_k中的第i个属性，|W_k|为第k个属性子集W_k中属性的总数；

A2、系统公钥、私钥的生成

系统设置P≥K个分布式的属性授权机构AA_p，其中p为属性授权机构AA_p的序号，p＝{1,2,…,P}；构建q阶乘法循环群G和q阶乘法循环群Y，q为大于2⁵¹²的安全素数；且q阶乘法循环群G和q阶乘法循环群Y之间存在双线性映射关系y_a,b＝e(g_a,g_b)；其中，e(g_a,g_b)表示q阶乘法循环群G中的元素g_a和元素g_b进行双线性映射运算；

所有的属性授权机构AA₁,…,AA_p,…,AA_P，执行(K,P)门限的分布式密钥生成协议；选择其中任意K个属性授权机构AA_p合作生成系统主密钥a₀和系统次密钥b₀；任选一个属性授权机构AA_p生成：系统第一公钥g₁，系统第二公钥g₂，其中g为q阶乘法循环群G的生成元；该属性授权机构AA_p再将系统第一公钥g₁、系统第二公钥g₂进行双线性映射运算得到系统第三公钥y_1,2，y_1,2＝e(g₁,g₂)；

A3、属性授权机构私钥、公钥的生成

将属性授权机构AA_p在执行(K,P)门限的分布式密钥生成协议中使用的K-1次多项式命名为f_p(x)；其中f_p(x)中各项的系数由属性授权机构AA_p在由1至(q-1)之间的整数组成的有限域上随机选取；

将属性授权机构AA_p的序号p作为自变量x的值，代入所有的属性授权机构AA₁,…,AA_p,…,AA_P使用的K-1次多项式f₁(x),…,f_p(x),…,f_P(x)，求得这些多项式的值，所有多项式的值的总和，即为属性授权机构AA_p的主密钥为a_p,0；

属性授权机构AA_p在有限域上随机选取一个数作为其次密钥c_p，并通过其次密钥c_p计算出自己的公钥P_p，

A4、属性的公私钥生成

系统建立属性集合W中的属性子集W_k的序号k到属性授权机构AA_p的序号p的一对多映射D，将属性集合W中的属性子集W_k映射后得到的对应的属性子集命名为W_p，并将属性子集W_p的密钥分发、管理权限分配给属性授权机构AA_p；

属性授权机构AA_p在有限域上随机选取一系列数作为其管理属性子集W_p中属性的私钥，并根据属性私钥计算出对应属性的公钥；其中属性子集W_p中第i个属性w_i,p对应的私钥记为t_i,p，其对应的公钥记为T_i,p，

A5、哈希函数的选取

系统选取三个哈希函数：H₁:H₂:w_i,p→G，H₃:m→G，并将选定的三个哈希函数H₁、H₂、H₃公布；其中为将任意长度的{0,1}字符串映射为有限域上元素的哈希运算，w_i,p→G为将第p个属性授权机构AA_p管理的属性子集W_p中的属性w_i,p映射为乘法循环群G上元素的哈希运算，m→G为将待签名的文件m映射为乘法循环群G上元素的哈希运算；

B、用户密钥分发

B1、用户属性集合的说明

用户ID拥有用户属性集合W_ID，W_ID＝{W_ID,1,…,W_ID,k,…,W_ID,K}；用户属性集合W_ID是属性集合空间W的子集，为用户属性集合W_ID的第k个子集，也为属性集合空间W的第k个属性子集的子集，即w_ID,i,k为用户属性集合W_ID的第k个子集W_ID,k中的第i个属性，根据用户属性集合W_ID的第k个子集W_ID,k与集合空间W的第k个属性子集W_k中的属性及其私钥、公钥的对应关系，找出用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的私钥和公钥，并将对应的私钥重新为标记为t_ID,i,k，公钥重新标记为T_ID,i,k；

B2、随机多项式的选取

用户ID根据其拥有属性集合W_ID中各属性子集W_ID,k的序号k和一对多映射D，向对应的K个属性授权机构AA_p发出密钥分发申请；系统再根据一对多映射D的逆映射D^-1将接受密钥分发申请的K个属性授权机构AA_p重新排序，得到重排序属性授权机构AA₁,…,AA_k,…,AA_K，即第k个重排序属性授权机构AA_k拥有对属性集合W第k个属性子集W_k的密钥分发、管理权限；并由属性授权机构AA_p的公钥P_p得到重排序属性授权机构AA_k的公钥P_k；

所述的K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别选择多项式f₁′(x),…,f′_k(x),…,f′_K(x)；其中f′_k(x)是第k个重排序属性授权机AA_k选择的d_k-1次多项式，d_k为第k个重排序属性授权机构AA_k预设定的签名门限值，多项式f′_k(x)的常数项值等于第k个重排序属性授权机构AA_k的主密钥a_k,0，多项式f′_k(x)的其余各项的系数为第k个重排序属性授权机构AA_k在有限域上随机选择的数；

B3、用户身份标识的计算

第k个重排序属性授权机构AA_k以用户的身份ID作为自变量，以其次密钥c_k作为伪随机函数PRF的种子密钥，生成用户身份标识的第k部分λ_ID,k，即

将用户身份标识的各个部分λ_ID,1,…,λ_ID,k,…,λ_ID,K链接，即可得到用户身份标识λ_ID，λ_ID＝λ_ID,1||…||λ_ID,k||…||λ_ID,K；

B4、用户主密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户主密钥的第k部分S_1,k、

B5、用户属性密钥的生成

第k个重排序属性授权机构AA_k为用户ID生成用户属性集合W_ID的第k个子集W_ID,k中的第i个属性w_ID,i,k对应的密钥S_2,i,k，作为用户属性密钥S_2,k第k部分的第i个子部分S_2,i,k；

将用户属性密钥S_2,k第k部分的各个子部分链接，得到用户属性密钥的第k部分S_2,k，

B6、用户属性密钥的分发

K个重排序属性授权机构AA₁,…,AA_k,…,AA_K分别将用户主密钥的第k部分S_1,k和用户属性密钥的第k部分S_2,k通过安全信道发送给用户ID；

用户ID将用户主密钥的各个部分S_1,1,…,S_1,k,…,S_1,K链接，得到用户ID的主密钥S_ID,1，S_ID,1＝S_1,1||…||S_1,k||…||S_1,K；同时，将用户属性密钥的各个部分S_2,1,…,S_2,k,…,S_2,K链接，得到用户ID的用户属性密钥S_ID,2，S_ID,2＝S_2,1||…||S_2,k||…||S_2,K；

C、签名生成

用户ID访问网络服务时，网络服务器给定待签名文件m，并从属性集合空间W的第k个属性子集W_k中选出一个子集作为声明签名属性集合W^*的第k个声明签名属性子集；所有的声明签名属性子集的并集为声明签名属性集合W^*，即

签名者即用户ID从声明签名属性集合W^*的第k个声明签名属性子集和其用户属性集合W_ID的第k个子集W_ID,k的交集中，任意选择出d_k个属性，构成签名属性集合W′_ID的第k个签名属性子集W′_ID,k，其中，w_ID′,i,k为签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性，所有的签名属性子集W′_ID,k的并集为签名属性集合W′_ID，即W′_ID＝{W′_ID,1,…,W′_ID,k,…,W′_ID,K}；

C1、签名属性密钥的选取

签名者再根据签名属性集合W′_ID的第k个签名属性子集W′_ID,k中的第i个属性w_ID′,i,k与用户属性集合W_ID的第k个属性子集W_ID,k中的属性及其对应的私钥、公钥和用户签名属性密钥的对应关系，将w_ID′,i,k对应的私钥重新标记为t_ID′,i,k，对应的公钥重新标记为T_ID′,i,k，对应的密钥重新标记为S′_2,i,k，并作为用户签名属性密钥第k部分的第i个子部分S′_2,i,k；

签名者将签名属性密钥第k部分的各子部分S′_2,i,k链接生成用户签名属性密钥的第k部分S′_2,k，再将用户签名属性密钥的各部分S′_2,k链接生成用户签名属性密钥S′_ID,2，S′_ID,2＝S′_2,1||…||S′_2,k||…||S′_2,K；

C2、第一子签名生成

签名者首先计算出待签名文件m的第一子签名σ₁的第一部分σ_1,1，其中，z为在有限域上随机选取出的用户身份模糊因子；v为在有限域上随机选取出的消息随机因子；

然后，计算待签名文件m的第一子签名的第二部分中的第k个子部分σ_1,2,k，其中，r′_i,k为有限域上随机选取出的签名属性集合中属性w_ID′,i,k的随机因子；表示w_ID′,i,k和W′_ID,k关于d_k-1次多项式f′(x)在x＝0处的拉格朗日系数，其计算方法为其中w_ID′,j,k为W′_ID,k中的第j个元素，且j≠i，Π为连乘运算符号，∈为集合的属于符号，表明了连乘的范围；Δ_k,{1,…,K}(0)表示k和{1,…,K}关于K-1次多项式f(x)在x＝0处的拉格朗日系数，其计算方法为其中k′为W′_ID,k中的元素，且k′≠k；

其次，计算待签名文件m的第一子签名的第三部分中的第k个子部分σ_1,3,k，其中，为声明属性集合第k个子集与签名属性集合第k个子集W′_ID,k的差集中的第i个属性；为有限域上随机选取出的声明属性集合与签名属性集合差集中属性的随机因子；

最后将待签名文件m的第一子签名σ₁的第一部分σ_1,1、所有的第一子签名的第二部分中的各个子部分σ_1,2,k、所有的第一子签名的第三部分中的各个子部分σ_1,3,k连乘，得到待签名文件m的第一子签名σ₁：

C3、第二子签名生成

签名者计算待签名文件m的第二子签名σ₂：

C4、第三子签名生成

签名者计算待签名文件m的第三子签名σ₃：σ₃＝g^v；

C5、第四子签名生成

签名者计算待签名文件m的第四子签名的第k交集部分中的第i个子部分σ_4,i′,k：和待签名文件m的第四子签名的第k差集部分中的第i个子部分

签名者将待签名文件m的第四子签名的第k交集部分中的各个子部分和待签名文件m的第四子签名的第k差集部分中的各个子部分链接，得到待签名文件m的第四子签名的第k部分σ_4,k：

将待签名文件m的第四子签名中的各个部分σ_4,1,…,σ_4,k,…,σ_4,K链接，得到待签名文件m的第四子签名σ₄：σ₄＝σ_4,1||…||σ_4,k||…||σ_4,K；

C6、签名传送

将待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄，传送给网络服务器；

D、签名验证

网络服务器收到待签名文件m、第一子签名σ₁、第二子签名σ₂、第三子签名σ₃和第四子签名σ₄后，进行如下验证：

等式成立，则判定签名合法，允许用户ID访问相应的网络资源；

否则，判定签名无效，网络服务器拒绝用户ID对相应的网络资源进行访问。