[发明专利]一种支持动态属性空间的属性基网络签名方法

权利要求书

1.一种支持动态属性空间的属性基网络签名方法，其步骤是：

A、参数生成

A1、系统公钥、私钥的生成

系统分别构建q阶乘法循环群G和q阶乘法循环群Y，且q阶乘法循环群G和q阶乘法循环群Y之间存在双线性映射关系y＝e(g_a,g_b)；其中q为大于2⁵¹²的安全素数，y为q阶乘法循环群Y中的元素，e(g_a,g_b)表示q阶乘法循环群G中的元素g_a和元素g_b进行双线性映射运算；

系统在整数1～q中随机选取一个数作为系统的主密钥α；系统随机选取出q阶乘法循环群G的生成元g₁作为系统第一公钥g₁，进而得到系统第二公钥g₂，系统再随机选取出q阶乘法循环群G中的四个元素g₃g₄,g₅,g₆,，分别作为系统的第三公钥g₃、第四公钥g₄、第五公钥g₅、第六公钥g₆；再将系统第一公钥g₁、系统第二公钥g₂进行双线性映射运算得到系统验证公钥y₀，y₀＝e(g₁,g₂)；

A3、哈希函数的选取

系统选取一个哈希函数：H(m):m→G，并将选定的哈希函数H(m)公布，其中:m→G表示将待签名的文件m映射为乘法循环群G上元素的哈希运算；

B、用户密钥分发

B1、用户属性集合的说明

用户ID拥有用户属性集合W_ID，W_ID＝{w₁,w₂,…,w_n,…,w_N}，其中w_n为用户ID属性集合W_ID的第n个属性，取值范围为1～q；N为用户ID属性集合W_ID中的属性的个数；

B2、用户主密钥的生成

属性授权机构AA在整数1～q中为用户ID随机选出随机数r，并根据随机数r生成用户ID主密钥的第一部分K₁，K₁＝g₂·g₆^-r和用户ID主密钥的第二部分K₂，K₂＝g^-r；

B3、用户属性密钥的生成

属性授权机构AA在整数1～q中为用户ID的第n个属性w_n随机选取随机数r_n，进而生成用户ID的第n个属性w_n的属性子密钥一k_1,n，和用户ID的第n个属性w_n的属性子密钥二k_2,n，

将用户ID所有的属性w_n的属性子密钥一k_1,n链接，得到用户ID的属性密钥一k₁，k₁＝k_1,1||k_1,2||…||k_1,n||…||k_1,N；将用户ID所有的属性w_n的属性子密钥二k_2,n链接，得到用户ID的属性密钥二k₂，k₂＝k_2,1||k_2,2||…||k_2,n||…||k_2,N；其中，||表示链接运算；

B4、用户属性密钥的分发

属性授权机构AA分别将用户ID主密钥的第一部分K₁、用户ID主密钥的第二部分K₂、用户ID的属性密钥一k₁、用户ID的属性密钥二k₂通过安全信道发送给用户ID；

C、签名生成

当用户ID访问网络服务时，网络服务器根据待签名消息m，利用线性秘密共享的方法定义消息的访问结构γ,访问结构γ中的签名属性w′_i组成签名属性子集W′，W′＝{w′₁,w₂′,w₃′，…,w_i′,…,w′_L}，其中，i为签名属性w′_i的序号,L签名属性w′_i的个数；签名属性子集W′到用户属性集合W_ID的一对一的映射关系记为f：W′→W_ID；

同时根据访问结构利用线性秘密共享的方法，得出L行Z列的线性秘密共享矩阵M，M＝[M₁,M₂,M₃,…,M_i,…,M_L]^T，其中M_i为线性秘密共享矩阵M的第i行；

C1、签名属性密钥的选取

签名者根据签名属性子集W′为用户属性集合W_ID的一对一的映射关系f：W′→W_ID，找出签名属性w_i'对应的用户属性w_n及其属性子密钥一k_1,n和属性子密钥二k_2,n分别记为签名属性w′_i的签名属性子密钥一k′_1,i、签名属性子密钥二k′_2,i；

签名者将所有的签名属性子密钥一k′_1,i链接，生成用户ID签名属性密钥一k′₁，k′₁＝k′_1,1||…||k′_1,i||…||k′_1,L；将所有的签名属性子密钥二k′_2,i链接，生成用户ID签名属性密钥二k′₂，k′₂＝k′_2,1||…||k′_2,i||…||k′_2,L；

C2、第一子签名生成

签名者首先计算出待签名文件m的第一子签名Q₁的第一部分Q_1,1，Q_1,1＝K₁·H(m)^r′；其中r′为在整数1～q中上随机选取出的消息随机因子，H(m)为将待签名的文件m映射为乘法循环群G上元素的哈希运算；

然后，计算待签名文件m的第一子签名Q₁的第二部分中的第i个子部分Q_1,2,i，其中x_i是在整数1～q中选取随机数，且其与线性秘密共享方法的线性秘密共享矩阵M的第一行M₁的乘积等于1，其余各行M_i的乘积均等于0；其中b_i是在整数1～q中选取随机数，且其与线性秘密共享矩阵M的各行M_i的乘积均等于0；

将第一子签名的第二部分中的各个子部分Q_1,2,i连乘，得到待签名文件m的第一子签名Q₁的第二部分Q_1,2，Q_1,2＝Q_1,2,1·Q_1,2,2·Q_1,2,3…·Q_1,2,i…·Q_1,2,L；

最后将待签名文件m的第一子签名Q₁的第一部分Q_1,1与第一子签名的第二部分子部分Q_1,2相乘，得到待签名文件m的第一子签名Q₁，Q₁＝Q_1,1·Q_1,2；

C3、第二子签名生成

签名者计算待签名文件m的第二子签名Q₂：Q₂＝g^r′。

C4、第三子签名生成

签名者计算待签名文件m的第三子签名Q₃的第i个子部分

签名者将待签名文件m的第三子签名Q₃的第i子部分的各个子部分Q_3,i链接，得到待签名文件m的第三子签名Q₃：Q₃＝Q_3,1||…||Q_3,i||…||Q_3,L；

C5、第四子签名生成

签名者计算待签名文件m的第四子签名Q₄的第i个子部分Q_4,i：

签名者将待签名文件m的第四子签名Q₄的所有子部分Q_4,i链接，得到待签名文件m的第四子签名Q₄：Q₄＝Q_4,1||…||Q_4,i||…||Q_4,L；

C6、签名发送

将待签名文件m、第一子签名Q₁、第二子签名Q₂、第三子签名Q₃和第四子签名Q₄，发送给网络服务器；

D、签名验证

网络服务器收到待签名文件m、第一子签名Q₁、第二子签名Q₂、第三子签名Q₃和第四子签名Q₄，并将第三子签名Q₃的第i个子部分Q_3,i和第四子签名的第i个子部分Q_4,i取出；然后，在整数1～q中随机选择Z-1个随机数μ₂,…,μ_Z，构成验证向量μ＝{1,μ₂,…,μ_Z}，其中Z为线性秘密共享矩阵M的列数；

网络服务器再利用线性秘密共享矩阵M的第i行M_i,计算出第i个签名属性的验证因子最后通过下式得出系统验证公钥值y₀′,

其中表示i＝1项直到i＝L项的连乘；

若系统验证公钥值y₀′与A1步的验证公钥y₀相等，则判定签名合法，允许用户ID访问签名文件m；否则，判定签名无效，网络服务器拒绝用户ID对签名文件m进行访问。