(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210824584.9 (22)申请日 2022.07.14 (71)申请人 福建师范大学 地址 350117 福建省福州市闽侯县上街 镇 学府南路8号福建师 范大学旗山校区 (72)发明人 李继国　康曌哲　张亦辰　 (74)专利代理 机构 福州元创专利商标代理有限 公司 35100 专利代理师 陈鼎桂　蔡学俊 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 可追踪及前向安全的具有固定长度的属性 基签名系统及方法 (57)摘要 本发明涉及一种可追踪及前向安全的具有 固定长度的属性基签名方法与系统。 本发明系统 包括三个实体： 属性授权端、 签名端和验证端。 属 性授权端， 首先产生系统主密钥和公开参数； 然 后根据系统主密钥、 公开参数、 签名端属性和初 始时间段产生初始签名私钥和追踪密钥， 公开参 数发送给签名端和验证端， 初始 签名私钥发送给 签名端， 追踪密钥由属性授权端保留。 签名端， 首 先根据当前时间段的签名密钥更新下一个时间 段的签名密钥； 然后签名端根据当前时间段的签 名私钥、 公开参数、 访问策略和消息， 生成签名。 验证端， 根据公开参数、 当前时间段的签名和访 问策略， 验证当前时间段的签名的有效性。 由于 密钥更新的单向性， 即使当前密钥泄露， 也无法 推断泄露之前的签名密钥， 因此， 提出的方法具 有前向安全性。 另外， 当签名端 滥用签名行为时， 属性授权端根据访问策略、 消息、 签名和追踪密钥， 追踪并输出签名端的身份。 本发明在保证可 靠性的前提下， 有效提高云计算中的访问控制和 匿名认证效率。 权利要求书4页 说明书8页 附图1页 CN 115174239 A 2022.10.11 CN 115174239 A 1.一种可追踪及前向安全的具有固定 长度的属性基 签名系统， 其特 征在于， 包括： 属性授权端， 用于产生系统主密钥msk和公开参数params； 还用于根据系统主密钥msk， 公开参数params， 初始时间段t0， 签名端属性集 和签名端身份ID， 生成初始签名私钥 和追踪密钥tk； 还用于根据访问策略Γ， 消息 M， 签名 σ 和追踪密钥tk， 输出签名端 身份ID； 签名端， 用于更新当前时间段ti的签名私钥 到下一个时间段tj的签名私钥 还用 于根据当前时间段ti的签名私钥 公开参数param s， 访问策略Γ， 消息 M， 计算签名 σ； 验证端， 用于根据公开 参数param s， 访问策略Γ， 消息 M和签名 σ， 验证 签名的有效性。 2.根据权利要求1所述的可追踪及前向安全的具有固定长度的属性基签名系统的签名 方法， 其特 征在于， 包括以下步骤： 步骤S1： 属性授权端输入安全参数 λ， 输出系统主密钥m sk和公开 参数param s； 步骤S2： 属性授权端输入主密钥msk， 公开参数params， 初始时间段t0， 签名端属性集 和签名端 身份ID， 生成初始签名私钥 和追踪密钥tk； 步骤S3： 签名端输入公开参数params， 当前时间段ti的签名私钥 输出下一个时间段 tj的签名私钥 步骤S4： 签名端输入当前时间段ti的签名私钥 公开参数params， 访问策略Γ， 消息 M， 输出签名 σ； 步骤S5： 验证端输入公开参数params， 访问策略Γ， 消息M和签名σ， 如果签名有效则输 出1,否则输出0； 步骤S6： 属性授权端从验证端获取签名 σ 并验证， 若符合要求， 则输出签名端 身份ID。 3.根据权利要求2所述的可追踪及前向安全的具有固定长度的属性基签名方法， 其特 征在于， 所述 步骤S1中， 具体包括以下步骤： 步骤S11： 属性授 权端输入 安全参数λ； 设G1和G2均为p阶的乘法循环群， g∈G1为G1的生成 元 ， e ： G1×G1→G2是一个双线性映射 ， 选择一个哈希函数 其中 步骤S12： 设总时间周期数T＝2l， 为身份域以及 为属性域， 其 中l是二叉树的深度以及Zp＝{0， 1， 2， ...， p ‑1}； 设U＝{1， 2， ...， κ}并且设Ω＝{κ+1， κ+ 2， ...， κ +d‑1}表示具有d ‑1个元素的虚拟属性 集； 步骤S13： 属性授权端随机 选择 以及一个生成元g∈G1， 计算Z＝e(g， g)a； 步骤S14： 属性授权端从G1随机选择τ ′， τ1， ...， τn， δ0， δ1， ...， δκ +d‑1， μ0， μ1， ...， μl， 并设T ＝( τ′， τ1， τ2， ...， τn)为n+1长度的向量， Λ＝( δ0， δ1， δ2， ...， δk+d‑1)为κ +d长度的向量以及 Φ＝( μ0， μ1， μ2，…， μl)为l+1长度的向量； 步骤S15： 属性授权端输出主密钥msk＝a和公开参数params＝(U， Ω， G1， G2， e， g， T， Λ， Φ， H， Z)， 其中Z＝e(g， g)a。 4.根据权利要求2所述的可追踪及前向安全的具有固定长度的属性基签名方法， 其特 征在于， 所述 步骤S2中， 具体包括以下步骤： 步骤S21： 属性授权端随机选择一个d ‑1次的多项式q(x)且q(0)＝a， 计算权　利　要　求　书 1/4 页 2 CN 115174239 A 2其中Ω为虚拟属性 集； 步 骤 S 2 2 ：属 性 授 权 端 随 机 选 择π0， τ0∈ Zp，计 算 以及 步骤S23： 对每一个属性 其中Ω表示为由属性授权端选择的虚拟属性集， 属 性授权端随机选择ri∈Zp； 对于每一个节点 属性授权端随机选择ri， v∈Zp并且计算 其中 步 骤 S 2 4 ：属 性 授 权 端 输 出 初 始 签 名 私 钥 其 中 5.根据权利要求2所述的可追踪及前向安全的具有固定长度的属性基签名方法， 其特 征在于， 所述 步骤S3中， 具体包括以下步骤： 步骤S31： 签名端解析签名私钥 为 其中 步骤S32： 对每一个属性 签名端随机选择ri′∈Zp； 对每一个属性i∈A和节 点 签名端随机 选择ri， v′∈Zp， 计算 其中 步骤S33： 签名端输出在时间段tj的新的签名密钥 其中， 以及 6.根据权利要求2所述的可追踪及前向安全的具有固定长度的属性基签名方法， 其特 征在于， 所述 步骤S4中， 具体包括以下步骤：权　利　要　求　书 2/4 页 3 CN 115174239 A 3