[发明专利]前向安全的高效属性基可净化签名系统及方法

权利要求书

1.一种前向安全的高效属性基可净化签名系统的签名方法，其特征在于，包括以下步骤：

步骤S1：属性授权端输入安全参数λ，输出主密钥msk和公共参数params；

步骤S2：属性授权端输入主密钥msk、公共参数params、签名端属性集合ω_a和初始时间片段t₀，输出签名端在初始时刻的密钥

步骤S3：签名端输入公共参数params、当前时间片段t_j的密钥和后续时间片段t_j′，输出后续时间片段t_j′的密钥

步骤S4：签名端输入签名端属性集合w_a、签名端在时间片段t_j的密钥净化端属性集合w_b、签名策略Γ_a，S(·)、公共参数params和消息M，输出签名σ以及秘密值集合SI；

步骤S5：净化端输入可净化消息索引集合I_N、消息M、公共参数params、签名σ、签名端属性集合ω_a、净化端属性集合ω_b和签名端发送的秘密值集合SI，输出净化消息M′和净化签名σ′；

步骤S6：验证端输入净化消息签名对(M′，σ′)、公共参数params、当前时间片段t_j、签名端属性集合ω_a和净化端属性集合ω_b，验证签名的有效性；若签名有效则输出accept，否则输出reject；

所述步骤S1具体为：

步骤S11：属性授权端输入安全参数λ，生成两个p阶双线性乘法循环群G₁和G₂，其中p是大素数，|p|＝λ；e：G₁×G₁→G₂是双线性映射；

并设T＝2^l为总时间片段，其中l为时间二叉树结构的层数；定义U＝{1，2，...，n+d}为属性域集合，Ω＝{ω₁，ω₂，...，ω_d-1}，ω_i∈Z_p为缺省属性集合，其中n为常数，d为系统门限值；设定义拉格朗日系数其中Z_p＝{0，1，2，...，p-1}；

步骤S12：属性授权端随机选取计算Z＝e(g，g)^α，其中g是G₁的生成元，

步骤S13：属性授权端随机选取G₁中的元素f_a、f_b、h₀、w₀，随机选取集合H＝(h₁，...，h_l)、F＝(f₁，...，f_η)，其中h_i∈G₁，i∈{1，2，...，l}，w_i∈G₁，i∈{1，2，...，n_m}，f_i∈G₁，i∈{1，2，...，η}，n_m是消息的长度，η＝n+d-1；

步骤S14：属性授权端输出主密钥msk＝α和公共参数params＝{G₁，G₂，e，g，h₀，w₀，f_a，f_b，H，W，F，T，U，Ω，Z}；

所述步骤S2具体为：

步骤S21：属性授权端输入主密钥msk＝α、公共参数params＝{G₁，G₂，e，g，h₀，w₀，f_a，f_b，H，W，F，T，U，Ω，Z}、签名端属性集合ω_a和初始时间片段t₀，其中

步骤S22：属性授权端选择一个d-1次多项式q(x)，满足q(0)＝α；对于i∈w_a，属性授权端随机选取r_i∈Z_p，计算：

步骤S23：属性授权端随机选取r_i，v∈Z_p，计算

其中v表示某一层上的节点，b_v∈{0，1}^k，0表示左子节点，1表示右子节点，|b_v|＝k，k表示v所在的层数，b_v[i]表示b_v中的第i位；

步骤S24：属性授权端输出签名端在t₀时间片段的密钥其中i∈w_a；

所述步骤S3具体为：

步骤S31：签名端输入当前时间片段t_j的密钥后续时间片段t_j′和公共参数params，并将当前时间片段密钥表示成以下形式：

步骤S32：签名端随机选取r′_i∈Z_p，其中i∈w_a；随机选取r_i，v′∈Z_p，其中其中表示节点到根节点路径上所有节点的集合，R(v′)表示v′的右子节点；

计算：

步骤S33：签名端输出后续时间片段t_j′的密钥并删除当前时间片段t_j的密钥

所述步骤S4具体为：

步骤S41：签名端输入算法输入消息签名策略Γ_d，S(·)，签名端属性集合w_a，净化者属性集密钥和公共参数params；

步骤S42：签名端随机选取其中|w′_a|＝d；选取缺省属性集满足w′_a∩Ω′＝φ；令其中，w_a满足Γ_d，S(w_a)＝1，即|w_a∩S|≥d，Γ_d，S(·)为布尔函数

步骤S43：对签名端计算：此时有

步骤S44：签名端随机选取r_a、s、z、r_b∈Z_p，计算：

σ₁＝a₁g^s；

σ₄＝g^z；

步骤S45：签名端计算秘密值其中i∈I_N；用SI表示秘密值集合，即I_N＝{1，2，...，N}表示签名者允许净化的消息索引集合，其中1≤N≤n_m，|I_N|表示集合I_N中元素的个数；

步骤S46：签名端输出在当前时间片段t_j产生的签名σ＝{σ₀，σ₁，σ₂，σ₃，σ₄}；

所述步骤S5具体为：

步骤S51：净化端输入可净化消息索引集合I_N、消息M、公共参数params、签名σ、签名端属性集合ω_a、净化端属性集合ω_b和签名端发送的秘密值集合SI；

步骤S52：净化端定义需要净化的消息索引集合令集合I₁＝{i∈I：m_i＝0，m′_i＝1}，I₂＝{i∈I：m_i＝1，m′_i＝0}，其中m′_i表示净化后消息的比特值，0≤i≤n_m；

步骤S53：净化端随机选取r′_a、s′、z′、r′_b∈Z_p，计算：

步骤S54：净化端输出净化签名σ′＝{σ′₀，σ′₁，σ′₂，σ′₃，σ′₄}和净化消息

所述步骤S6具体为：

步骤S61：验证端输入净化消息签名对(M′，σ′)、公共参数params、当前时间片段t_j、签名端属性集合ω_a和净化端属性集合ω_b；

步骤S62：验证端计算

步骤S63：验证端判断等式：是否成立；若成立，验证端输出accept，否则输出reject。