前向安全的高效属性基可净化签名系统及方法

1.本发明属于互联网安全技术领域，具体涉及一种前向安全的高效属性基可净化签名方法与系统。


背景技术：

2.互联网技术已经渗透各行各业，在电子医疗，电子政务，电子金融方面有广泛的应用。在这些应用场景中，物理设备不可避免地收集和分析用户的数据，包括用户的真实身份，病患医疗健康状况以及个人金融转账细节等一些敏感数据信息，不可避免地涉及到用户隐私泄露的问题。属性基签名(abs)是解决上述问题的重要方法，它在隐私保护、访问控制和数据身份验证方面发挥了重要作用。但在abs方案中，一方面，签名端的密钥会发生泄露，恶意方能伪造签名端已经生成的签名，即无法提供前向安全性。另一方面，当需要对签名中的敏感信息进行修改从而隐藏签名中的敏感信息时，传统的abs方案无法提供可净化性。


技术实现要素：

3.有鉴于此，本发明的目的在于提供一种前向安全的高效属性基可净化签名方法与系统，可以保护已经生成的签名，并对签名中的敏感信息进行修改生成净化签名。
4.为实现上述目的，本发明采用如下技术方案：
5.一种前向安全的高效属性基可净化签名系统，包括
6.属性授权端，用于产生主密钥msk和公开参数params；用于根据主密钥msk、公开参数params、签名端属性集合ωa和和初始时间片段t0，产生签名端在初始时间片段的密钥
7.签名端，用于根据公开参数params、当前时间片段tj的密钥和后续时间片段tj′
，产生后续时间片段tj′
的密钥用于根据消息m、签名策略γ
d，s
(
·
)、签名端属性集合ωa、签名端密钥净化端属性集合ωb和公共参数params，产生签名σ和秘密值集合si；
8.净化端，用于根据可净化消息索引集合in、消息m、公共参数params、签名σ、签名端属性集合ωa、净化端属性集合ωb和签名端发送的秘密值集合si，产生净化消息m
′
和净化签名σ
′
；
9.验证端，用于根据净化消息签名对(m
′
，σ
′
)、公开参数params、当前时间片段tj、签名端属性集合ωa和净化端属性集合ωb，验证签名的有效性。
10.进一步的，包括以下步骤：
11.步骤s1：属性授权端输入安全参数λ，输出主密钥msk和公开参数params；
12.步骤s2：属性授权端输入主密钥msk、公开参数params、签名端属性集合ωa和初始
时间片段t0，输出签名端在初始时刻的密钥
13.步骤s3：签名端输入公开参数params、当前时间片段tj的密钥和后续时间片段tj′
，输出后续时间片段tj′
的密钥
14.步骤s4：签名端输入签名端属性集合wa、签名端在时间片段tj的密钥净化端属性集合wb、签名策略γ
d，s
(
·
)、公开参数params和消息m，输出签名σ以及秘密值集合si；
15.步骤s5：净化端输入可净化消息索引集合in、消息m、公共参数params、签名σ、签名端属性集合ωa、净化端属性集合ωb和签名端发送的秘密值集合si，输出净化消息m
′
和净化签名σ
′
；
16.步骤s6：验证端输入净化消息签名对(m
′
，σ
′
)、公开参数params、当前时间片段tj、签名端属性集合ωa和净化端属性集合ωb，验证签名的有效性；若签名有效则输出accept，否则输出reject。
17.进一步的，所述步骤s1具体为：
18.步骤s11：属性授权端输入安全参数λ，生成两个p阶双线性乘法循环群g1和g2，其中p是大素数，|p|＝λ；e:g1×
g1→
g2是双线性映射；
19.并设t＝2
l
为总时间片段，其中l为时间二叉树结构的层数；定义u＝{1，2，...，n d}为属性域集合，ω＝{ω1，ω2，...，ω
d-1
}(ωi∈z
p
)为缺省属性集合，其中n为常数，d为系统门限值；设统门限值；设定义拉格朗日系其中z
p
＝{0，1，2，...，p-1}；
20.步骤s12：属性授权端随机选取计算z＝e(g，g)
α
，其中g是g1的生成元，的生成元，
21.步骤s13：属性授权端随机选取g1中的元素fa、fb、h0、w0，随机选取集合h＝(h1，...，h
l
)、f＝(f1，...，f
η
)，其中hi∈g1，i∈{1，2，...，l}，wi∈g1，i∈{1，2，...，nm}，fi∈g1，i∈{1，2，...，η}，nm是消息的长度，η＝n d-1；
22.步骤s14：属性授权端输出主密钥msk＝α和公开参数params＝{g1，g2，e，g，h0，w0，fa，fb，h，w，f，t，u，ω，z}。
23.进一步的，所述步骤s2具体为：
24.步骤s21：属性授权端输入主密钥msk＝α、公开参数params＝{g1，g2，e，g，h0，w0，fa，fb，h，w，f，t，u，ω，z}、签名端属性集合ωa和初始时间片段t0，其中
25.步骤s22：属性授权端选择一个d-1次多项式q(x)，满足q(0)＝α；对于i∈wa，属性授权端随机选取ri∈z
p
，计算：，计算：
26.步骤s23：属性授权端随机选取r
i，v
∈z
p
，计算
[0027][0028]
其中v表示某一层上的节点，bv∈{0，1}k，0表示左子
节点，1表示右子节点，|bv|＝k，k表示v所在的层数，bv[i]表示bv中的第i位；
[0029]
步骤s24：属性授权端输出签名端在t0时间片段的密钥其中i∈wa。
[0030]
进一步的，所述步骤s3具体为：
[0031]
步骤s31：签名端输入当前时间片段tj的密钥后续时间片段tj′
和公共参数params，并将当前时间片段密钥表示成以下形式：表示成以下形式：
[0032]
步骤s32：签名端随机选取r
′i∈z
p
，其中i∈wa；随机选取r
i，v
′
∈z
p
，其中其中中中表示节点到根节点路径上所有节点的集合，r(v
′
)表示v
′
的右子节点；
[0033]
计算：
[0034][0035]
步骤s33：签名端输出后续时间片段tj′
的密钥并删除当前时间片段tj的密钥
[0036]
进一步的，所述步骤s4具体为：
[0037]
步骤s41：签名端输入算法输入消息签名策略γ
d，s
(
·
)，签名端属性集合wa，净化者属性集密钥和公开参数params；
[0038]
步骤s42：签名端随机选取其中|w
′a|＝d。选取缺省属性集满足w
′a∩ω
′
＝φ。令其中，wa满足γ
d，s
(wa)＝1，即|wa∩s|≥d，γ
d，s
(
·
)为布尔函数尔函数
[0039]
步骤s43：对签名端计算：签名端计算：签名端计算：此时有此时有
[0040]
步骤s44：签名端随机选取ra、s、z、rb∈z
p
，计算：
[0041][0042]
σ1＝a1gs；
[0043][0044][0045]
σ4＝gz；
[0046]
步骤s45：签名端计算秘密值其中i∈in。用si表示秘密值集合，即。用si表示秘密值集合，即in＝{1，2，...，n}表示签名者允许净化的消息索引集合，其中1≤n≤nm，|in|表示集合in中元素的个数；
[0047]
步骤s46：签名端输出在当前时间片段tj产生的签名σ＝{σ0，σ1，σ2，σ3，σ4}。
[0048]
进一步的，所述步骤s5具体为：
[0049]
步骤s51：净化端输入可净化消息索引集合in、消息m、公共参数params、签名σ、签名端属性集合ωa、净化端属性集合ωb和签名端发送的秘密值集合si；
[0050]
步骤s52：净化端定义需要净化的消息索引集合令集合i1＝{i∈i:mi＝0，m
′i＝1},i2＝{i∈i:mi＝1，m
′i＝0}，其中m
′i表示净化后消息的比特值，0≤i≤nm；
[0051]
步骤s53：净化端随机选取r
′a、s
′
、z
′
、r
′b∈z
p
，计算：
[0052][0053]
步骤s54：净化端输出净化签名σ
′
＝{σ
′0，σ
′1，σ
′2，σ
′3，σ
′4}和净化消息
[0054]
进一步的，所述步骤s6具体为：
[0055]
步骤s61：验证端输入净化消息签名对(m
′
，σ
′
)、公开参数params、当前时间片段tj、签名端属性集合ωa和净化端属性集合ωb；
[0056]
步骤s62：验证端计算
[0057]
步骤s63：验证端判断等式：是否成立。若成立，验证端输出accept，否则输出reject。
[0058]
本发明与现有技术相比具有以下有益效果：
[0059]
本发明基于属性基签名设计，签名端可以对当前密钥进行更新获得后续时间片段的密钥，签名中嵌入了访问策略，如果属性满足访问策略，则用户可以生成有效的签名；净化端可以对签名中的敏感信息进行修改重新生成签名从而实现敏感信息的隐藏。此外，当签名端密钥发生泄露时，签名端已经生成的签名不会受到威胁。验证端确信由一组可能的用户创建特定的签名，这些用户的属性与访问策略相匹配，从而不泄露签名者的身份信息。因此，提出的方法及系统在数据认证和隐私保护访问控制中具有很强的实用性和广阔的应用前景。
附图说明
[0060]
图1是本发明一实施例中的系统架构图。
具体实施方式
[0061]
下面结合附图及实施例对本发明做进一步说明。
[0062]
应该指出，以下详细说明都是示例性的，旨在对本技术提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本技术所属技术领域的普通技术人员通常理解的相同含义。
[0063]
需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本技术的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
[0064]
请参照图1，本发明提供一种前向安全的高效属性基可净化签名系统，包括
[0065]
属性授权端，用于产生主密钥msk和公开参数params；用于根据主密钥msk、公开参数params、签名端属性集合ωa和和初始时间片段t0，产生签名端在初始时间片段的密钥
[0066]
签名端，用于根据公开参数params、当前时间片段tj的密钥和后续时间片段tj′
，产生后续时间片段tj′
的密钥用于根据消息m、签名策略γ
d，s
(
·
)、签名端属性集合ωa、签名端密钥净化端属性集合ωb和公共参数params，产生签名σ和秘密值集合si；
[0067]
净化端，用于根据可净化消息索引集合in、消息m、公共参数params、签名σ、签名端属性集合ωa、净化端属性集合ωb和签名端发送的秘密值集合si，产生净化消息m
′
和净化签名σ
′
；
[0068]
验证端，用于根据净化消息签名对(m
′
，σ
′
)、公开参数params、当前时间片段tj、签名端属性集合ωa和净化端属性集合ωb，验证签名的有效性。
[0069]
在本实施例中，还提供了一种前向安全的高效属性基可净化签名方法，包括以下步骤：
[0070]
步骤s1：属性授权端输入安全参数λ，输出主密钥msk和公开参数params。
[0071]
在本实施例中，所述步骤s1具体包括以下步骤：
[0072]
步骤s11：属性授权端输入安全参数λ，生成两个p阶双线性乘法循环群g1和g2，其中p是大素数，|p|＝λ；e:g1×
g1→
g2是双线性映射。t＝2
l
为总时间片段，其中l为时间二叉树结构的层数。定义u＝{1，2，...，n d}为属性域集合，ω＝{ω1，ω2，...，ω
d-1
}(ωi∈z
p
)为缺省属性集合，其中n为常数，d为系统门限值。设定义拉格朗日系其中z
p
＝{0，1，2，...，p-1}；
[0073]
步骤s12：属性授权端随机选取计算z＝e(g，g)
α
，其中g是g1的生成元，的生成元，
[0074]
步骤s13：属性授权端随机选取g1中的元素fa、fb、h0、w0和集合h＝(h1，...，h
l
)、)、f＝(f1，...，f
η
)，其中hi∈g1，i∈{1，2，
…
，l}，wi∈g1，i∈{1，2，...，nm}，fi∈g1，i∈{1，2，...，η}，nm是消息的长度，η＝n d-1。
[0075]
步骤s14：属性授权端输出主密钥msk＝α和公开参数params＝{g1，g2，e，g，h0，w0，fa，fb，h，w，f，t，u，ω，z}。
[0076]
步骤s2：属性授权端输入主密钥msk、公开参数params、签名端属性集合ωa和初始时间片段t0，输出签名端在初始时间片段t0的密钥
[0077]
在本实施例中，所述步骤s2具体包括以下步骤：
[0078]
步骤s21：属性授权端输入主密钥msk＝α、公开参数params＝{g1，g2，e，g，h0，w0，fa，fb，h，w，，f，t，u，ω，z}、签名端属性集合ωa和初始时间片段t0，其中
[0079]
步骤s22：属性授权端选择一个d-1次多项式q(x)，满足q(0)＝α。对于i∈wa，属性授权端随机选取ri∈z
p
，计算：，计算：
[0080]
步骤s23：属性授权端随机选取r
i，v
∈z
p
，计算，计算其中v表示某一层上的节点，v表示某一层上的节点，bv∈{0，1}k，0表示左子节点，1表示右子节点，|bv|＝k，k表示v所在的层数，bv[i]表示bv中的第i位；
[0081]
步骤s24：属性授权端输出签名端在初始时间片段t0的密钥其中i∈wa。
[0082]
步骤s3：签名端输入公开参数params、当前时间片段tj的密钥和后续时间片段tj′
，输出后续时间片段tj′
的密钥
[0083]
在本实施例中，所述步骤s3具体包括以下步骤：
[0084]
步骤s31：签名端输入当前时间片段tj的密钥后续时间片段tj′
和公共参数params，并将当前时间片段密钥表示成以下形式：表示成以下形式：
[0085]
步骤s32：签名端随机选取r
′i∈z
p
，其中r∈wa；随机选取r
i，v
′
∈z
p
，其中其中中中表示节点到根节点路径上所有节点的集合，r(v
′
)表示v
′
的右子节点。计算：
[0086]
步骤s33：签名端输出后续时间片段tj′
的密钥并删除当前时间片段tj的密钥
[0087]
步骤s4：签名端输入签名端属性集合wa、签名端在时间片段tj的密钥净化端属性集合wb、签名策略γ
d，s
(
·
)、公开参数params和消息m，输出签名σ以及秘密值集合si。
[0088]
在本实施例中，所述步骤s4具体包括以下步骤：
[0089]
步骤s41：签名端输入算法输入消息签名策略γ
d，s
(
·
)，签名端属性集合wa，净化者属性集密钥和公开参数params；
[0090]
步骤s42：签名端随机选取其中|w
′a|＝d。选取缺省属性集满足w
′a∩ω
′
＝φ。令其中，wa满足γ
d，s
(wa)＝1，即|wa∩s|≥d，γ
d，s
(
·
)为布尔函数
[0091]
步骤s43：对签名端计算：签名端计算：签名端计算：此时有此时有
[0092]
步骤s44：签名端随机选取ra、s、z、rb∈z
p
，计算：，计算：σ1＝a1gs；σ4＝gz；
[0093]
步骤s45：签名端计算秘密值其中i∈in。用si表示秘密值集合，即。用si表示秘密值集合，即in＝{1，2，
…
，n}表示签名者允许净化的消息索引集合，其中1≤n≤nm，|in|表示集合in中元素的个数；
[0094]
步骤s46：签名端输出在当前时间片段tj产生的签名σ＝{σ0，σ1，σ2，σ3，σ4}。
[0095]
步骤s5：净化端输入可净化消息索引集合in、消息m、公共参数params、签名σ、签名端属性集合ωa、净化端属性集合ωb和签名端发送的秘密值集合si，输出净化消息m
′
和净化签名σ
′
。
[0096]
在本实施例中，所述步骤s5具体包括以下步骤：
[0097]
步骤s51：净化端输入可净化消息索引集合in、消息m、公共参数params、签名σ、签
名端属性集合ωa、净化端属性集合ωb和签名端发送的秘密值集合si；
[0098]
步骤s52：净化端定义需要净化的消息索引集合令集合i1＝{i∈i:mi＝0，m
′i＝1},i2＝{i∈i:mi＝1，m
′i＝0}，其中m
′i表示净化后消息的比特值，0≤i≤nm；
[0099]
步骤s53：净化端随机选取r
′a、s
′
、z
′
、r
′b∈z
p
，计算：，计算：
[0100]
步骤s54：净化端输出净化签名σ
′
＝{σ
′0，σ
′1，σ
′2，σ
′3，σ
′4}和净化消息
[0101]
步骤s6：验证端输入净化消息签名对(m
′
，σ
′
)、公开参数params、当前时间片段tj、签名端属性集合ωa和净化端属性集合ωb，验证签名的有效性，若签名有效则输出accept，否则输出reject。
[0102]
在本实施例中，所述步骤s6具体包括以下步骤：
[0103]
步骤s61：验证端输入净化消息签名对(m
′
，σ
′
)、公开参数params、当前时间片段tj、签名端属性集合ωa和净化端属性集合ωb；
[0104]
步骤s62：验证端计算
[0105]
步骤s63：验证端判断等式：是否成立。若成立，验证端输出accept，否则输出reject。
[0106]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0107]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0108]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0109]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一
个方框或多个方框中指定的功能的步骤。
[0110]
以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。