CN111404685B - 一种属性基签名方法及系统 - Google Patents

Abstract

本发明属于数据签名处理领域，提供属性基签名方法及系统。其，属性基签名方法包括属性授权机构生成公钥PK和主密钥MSK；签名者根据公钥PK及全体属性集合生成签名者的公钥UPK和私钥USK；签名者向属性授权机构申请私钥，属性授权机构生成签名者外包密钥OSK，进而颁发给签名者，由签名者委托转发给外包签名服务器；当验证签名者属性集合满足访问结构时，外包签名服务器生成签名的中间结果Σ'并将其发送给签名者；签名者根据中间结果Σ'和私钥USK，得到最终签名Σ并将其发送给验证者；验证者将签名Σ转换为签名Σ”并将其发送给外包验证服务器；外包验证服务器根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者；验证者根据中间结果V，在本地验证得到最终的验证结果。

Description

一种属性基签名方法及系统

技术领域

本发明属于数据签名处理领域，尤其涉及一种属性基签名方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

传统的公钥密码体系中，签名者拥有一对公钥和私钥，签名者使用私钥对消息进行签名，验证者使用公钥对签名做验证。若验证通过，则可以认证签名者的身份。然而在某些应用场景中，使用者所关注的往往并非签名者的具体身份信息，而是更加关注签名者应该满足的特定属性。如在线医疗场景中，药店在验证电子处方时，往往并不关心开具处方的是哪位医生，而是关心这位医生(签名者)是否满足一定属性，如医师资格证、从业时间、所属专业等。

发明人发现，现有的签名和验证均是通过本地服务器，由于本地服务器容量有限，签名和验证过程中的计算量大，这样降低了本地服务器的运行效率，造成一些应用场景的用户体验性差的问题。

发明内容

为了解决上述问题，本发明提供一种属性基签名方法及系统，其能够降低签名和验证过程中的计算量，同时能够保证签名、验证过程中的安全性。

为了实现上述目的，本发明采用如下技术方案：

本发明的第一方面提供一种属性基签名方法。

一种属性基签名方法，该方法从属性授权机构、签名者、验证者、外包签名服务器和外包验证服务器侧进行描述，包括：

属性授权机构生成公钥PK和主密钥MSK；

签名者根据公钥PK及全体属性集合生成签名者的公钥UPK和私钥USK；

签名者向属性授权机构申请私钥，属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK，进而颁发给签名者，再由签名者委托转发给外包签名服务器；

外包签名服务器接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；

签名者根据中间结果Σ'和私钥USK，得到最终签名Σ并将其发送给验证者；

验证者将签名Σ转换为签名Σ”并将其发送给外包验证服务器；

外包验证服务器根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者；

验证者根据中间结果V，在本地验证得到最终的验证结果。

本发明还提供了一种属性基签名方法，该方法从外包签名服务器和外包验证服务器侧进行描述，包括：

接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；其中，签名委托是由属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK而颁发给签名者的；

接收验证者由最终签名Σ转换的签名Σ”，其中，最终签名Σ由签名者根据中间结果Σ'和私钥USK得到；

根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者，进而由验证者根据中间结果V在本地验证得到最终的验证结果。

本发明的第二方面提供一种属性基签名系统。

一种属性基签名系统，包括属性授权机构、签名者、外包签名服务器、验证者和外包验证服务器；

所述属性授权机构，用于生成公钥PK和主密钥MSK；

所述签名者，用于生成签名者的公钥UPK和私钥USK；

所述签名者还用于向属性授权机构申请私钥，所述属性授权机构用于根据签名者的属性集合和公钥UPK生成签名者外包密钥OSK，进而颁发给签名者，再由签名者委托转发给外包签名服务器；

所述外包签名服务器，用于接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；

所述签名者，用于根据中间结果Σ'和私钥USK，得到最终签名Σ并将其发送给验证者；

所述验证者，用于将签名Σ转换为签名Σ”并将其发送给外包验证服务器；

所述外包验证服务器，用于根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者；

所述验证者，还用于根据中间结果V，在本地验证得到最终的验证结果。

本发明的第三方面还提供了一种外包服务器。

一种外包服务器，包括：

外包签名服务器，其用于接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；其中，签名委托是由属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK而颁发给签名者的；

所述外包签名服务器还用于接收验证者由最终签名Σ转换的签名Σ”，其中，最终签名Σ由签名者根据中间结果Σ'和私钥USK得到；

外包验证服务器，其用于根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者，进而由验证者根据中间结果V在本地验证得到最终的验证结果。

本发明的有益效果是：

本发明的签名者可以使用其属性对应的私钥进行签名，验证者可以验证签名者的属性满足特定的访问结构，但并不知道签名者的具体身份和属性；同时，签名和验证过程的大部分计算量均由外包服务器承担，因此本发明适用于计算能力较低的轻量级设备。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1是本发明实施例的属性基签名方法原理图。

具体实施方式

下面结合附图与实施例对本发明作进一步说明。

应该指出，以下详细说明都是例示性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

实施例一

本发明实施例的属性基签名方法包括属性授权机构、签名者、验证者、外包签名服务器和外包验证服务器这些参与者；

属性授权机构：可信机构，管理签名者的属性私钥，为云服务器生成关于签名者的云服务器私钥。

签名者：具有签名需求的用户，能够向云服务器发出外包签名请求以获取签名的中间结果，并利用中间结果计算最终签名。

验证者：具有验证需求的用户，能够向云服务器发出外包验证请求以获取验证签名的中间结果，并利用中间结果计算最终的验证结果。

外包签名服务器和外包验证服务器：分别负责辅助签名者和验证者产生签名的中间结果和验证签名的中间结果，均可采用云服务器来实现。

本实施例的属性基签名方法包括：(1)初始化、(2)签名者个人密钥生成、(3)签名者外包密钥生成、(4)外包签名生成、(5)最终签名生成、(6)签名转换、(7)外包验证、(8)最终验证这些步骤。

本实施例从属性授权机构、签名者、验证者、外包签名服务器和外包验证服务器进行描述，属性基签名方法包括：

属性授权机构生成公钥PK和主密钥MSK；

签名者根据公钥PK及全体属性集合生成签名者的公钥UPK和私钥USK；

签名者向属性授权机构申请私钥，属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK，进而颁发给签名者，再由签名者委托转发给外包签名服务器；

外包签名服务器接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；

签名者根据中间结果Σ'和私钥USK，得到最终签名Σ并将其发送给验证者；

验证者将签名Σ转换为签名Σ”并将其发送给外包验证服务器；

外包验证服务器根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者；

验证者根据中间结果V，在本地验证得到最终的验证结果。

具体地：

(1)初始化：该算法由属性授权机构执行。设系统中全体属性的集合为U＝{1,...,p-1}。选取p阶双线性群G、G_T，存在一个双线性映射e:G×G→G_T。选择两个密码学哈希函数H₁:{0,1}^*→G₁，

在群G中随机选取群元素g,h,u,v,w,τ，在{1,...,p-1}中随机选取α，计算W＝e(g,g)^α，输出系统公开参数PK和系统主密钥MSK：PK＝(g,h,u,v,w,τ,e,H₁,H₂,W)，MSK＝(α)。

先规定好属性的全体集合是什么，比如某个系统涉及年龄、性别、专业、工作单位、是否博士、是否教授、是否上市公司高管等属性，那就先把这个系统涉及的全体属性集合规定好，当然在系统里，可以给这些属性编号，就是这里提到的U，包含编号1到p-1。后来再用某个属性时，用的是它的编号。

(2)签名者个人密钥生成：该算法由签名者执行。在{1,...,p-1}中随机选取x_uid，设置签名者的公钥为

私钥为USK_uid＝x_uid。

(3)签名者外包密钥生成：该算法由属性授权机构执行。设签名者的属性集合为S＝(S₁,S₂,…,S_n)。属性授权机构在{1,...,p-1}中随机选取r，计算

K₁＝g^-r，

对于每个S_i∈S，属性授权机构在{1,...,p-1}中随机选取r_i，计算

输出签名者外包密钥

属性授权机构将该密钥颁发给签名者，再由签名者委托给外包签名服务器。

(4)外包签名生成：该算法由外包签名服务器执行。在收到签名者提交的外包签名请求(包含访问结构A＝(M,ρ))后，首先验证签名者属性集合S是否满足访问结构A＝(M,ρ)，其中M是一个l行n列的矩阵，M_i是矩阵M的第i行构成的行向量，ρ是一个将M的行号映射为对应属性的函数。

例如：签名者1的属性是(A，B，C)；签名者2的属性是(A，C，D)；签名者3的属性是(D，E)；验证者可以针对访问结构(A与C)或E进行验证时，签名者1，2，3的签名都可以通过验证，验证者并不知道签名者具体是哪个(保护身份隐私)，也不知道签名者的具体属性是什么(保护属性隐私)，因为只要满足(A与C)或E的属性集合都可以通过验证。

若不满足，则输出错误提示符⊥；否则，计算如下：

外包签名服务器计算一组向量w＝{w₁,w₂,…,w_l}，满足∑_i∈Iw_iM_i＝(1,0,…,0)，其中I＝{i:ρ(i)∈S}，然后选择一组向量b＝{b₁,b₂,…,b_l}，使其满足

对于每一个i∈I，外包签名服务器计算

随机选取

计算

Σ'₄＝g^s，

输出签名的中间结果

(5)最终签名生成：该算法由签名者执行。当签名者收到Σ'后，首先用私钥USK计算

输出最终签名Σ＝{m,(Σ_1,i,Σ_2,i)_i∈I,Σ₃,Σ₄,Σ₅}，其中Σ_1,i＝Σ_1,i′,Σ_2,i＝Σ_2,i′,Σ₃＝Σ₃′,Σ₄＝Σ₄′。

(6)签名转换：该算法由验证者执行。验证者收到签名Σ后，首先验证属性集合S是否满足访问结构A，如果不满足，输出⊥；否则，随机选取秘密因子

并计算Σ₃″＝Σ₃ ^d，Σ₄″＝Σ₄ ^d，Σ₅″＝Σ₅ ^d。将Σ”＝{m,(Σ_1,i,Σ_2,i)_i∈I,Σ₃″,Σ₄″,Σ₅″}发送给外包验证服务器。

(7)外包验证：该算法由外包验证服务器执行。验证服务器收到Σ”，选择

μ′＝{1,μ₂′,…,μ_n′}，

其中i∈I，并计算：

将验证签名的中间结果V＝(V₁′,V₂′)发送给验证者。

(8)本地验证：该算法由验证者执行。验证者收到V＝(V₁′,V₂′)，首先用秘密随机因子d计算

V₂＝V₂′，并验证：

若等式成立，则表明该签名Σ是合法的，输出1；否则，Σ是非法签名，输出0。

在一些实际用于场景中用户仅需要用“签名”保证认证性，不需要用“加密”保证机密性，这时候用户应该选择签名方案而非签密方案。而签密为了同时保障“加密”和“签名”两个功能，设计上必然复杂，与单纯的签名方案比，“签名”部分的效率要低，而且并不能将“签名”部分独立出来，因此，独立的签名方案也是有价值的。

本实施例在签名过程中，一般包含“签名算法”和“验证签名算法”两部分，分别由签名者和验证者执行。考虑了两个算法的外包计算，能够降低签名者和验证者双方的本地计算量。签名者和验证者往往不是同一方，因此需要各自调用自己的外包服务器。

“外包验证服务器”只是起到了辅助计算的功能，就是说它只是帮“验证者”完成一些复杂的计算，返回给计算着中间结果(对应“外包验证”过程)，从中间结果上看“外包验证服务器”并不知道签名是正确的还是错误的，而最终的验证还是由用户自己完成(对应“本地验证”过程)。优势在于，可以降低对外包服务器的信任需求，采用任何第三方提供的公共云服务(阿里、腾讯、亚马逊等)都可以。换一种解释方式，云服务器只是帮用户完成了部分运算，并不知道用户的验证结果。为了实现这一点，我们需要对委托给云的任务进行“伪装”，这一步对应我们申请书中的“签名转换”过程。云拿到的不是一个真正签名，而是经过伪装后的签名Σ”，它只能在这个经过伪装了的签名上工作，因此并不知道签名是否正确。只有用户，拥有秘密因子d，才能最终验证签名的正确性。

实施例二

本实施例还提供了一种属性基签名方法，其从外包签名服务器和外包验证服务器进行描述，其包括：

接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；其中，签名委托是由属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK而颁发给签名者的；

接收验证者由最终签名Σ转换的签名Σ”，其中，最终签名Σ由签名者根据中间结果Σ'和私钥USK得到；

根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者，进而由验证者根据中间结果V在本地验证得到最终的验证结果。

实施例三

本实施例提供了一种属性基签名系统，其包括属性授权机构、签名者、外包签名服务器、验证者和外包验证服务器；

所述属性授权机构，用于生成公钥PK和主密钥MSK；

所述签名者，用于生成签名者的公钥UPK和私钥USK；

所述签名者还用于向属性授权机构申请私钥，所述属性授权机构用于根据签名者的属性集合和公钥UPK生成签名者外包密钥OSK，进而颁发给签名者，再由签名者委托转发给外包签名服务器；

所述外包签名服务器，用于接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；

所述签名者，用于根据中间结果Σ'和私钥USK，得到最终签名Σ并将其发送给验证者；

所述验证者，用于将签名Σ转换为签名Σ”并将其发送给外包验证服务器；

所述外包验证服务器，用于根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者；

所述验证者，还用于根据中间结果V，在本地验证得到最终的验证结果。

实施例四

本实施例提供了一种外包服务器，其包括：

外包签名服务器，其用于接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；其中，签名委托是由属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK而颁发给签名者的；

所述外包签名服务器还用于接收验证者由最终签名Σ转换的签名Σ”，其中，最终签名Σ由签名者根据中间结果Σ'和私钥USK得到；

外包验证服务器，其用于根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者，进而由验证者根据中间结果V在本地验证得到最终的验证结果。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(RandomAccessMemory，RAM)等。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种属性基签名方法，其特征在于，包括：

属性授权机构生成公钥PK和主密钥MSK；

签名者根据公钥PK及全体属性集合生成签名者的公钥UPK和私钥USK；

签名者向属性授权机构申请私钥，属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK，进而颁发给签名者，再由签名者委托转发给外包签名服务器；

外包签名服务器接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；

签名者根据中间结果Σ'和私钥USK，得到最终签名Σ并将其发送给验证者；

验证者将签名Σ转换为签名Σ”并将其发送给外包验证服务器；

外包验证服务器根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者；

验证者根据中间结果V，在本地验证得到最终的验证结果；

其中，属性授权机构生成公钥PK和主密钥MSK的过程为：

设全体属性的集合为U＝{1,...,p-1}；选取p阶双线性群G和G_T，存在一个双线性映射e:G×G→G_T；选择两个密码学哈希函数H₁:{0,1}^*→G₁，

在群G中随机选取群元素g,h,u,v,w,τ，在{1,...,p-1}中随机选取α，计算W＝e(g,g)^α，输出系统公钥PK和主密钥MSK：PK＝(g,h,u,v,w,τ,e,H₁,H₂,W)，MSK＝(α)；

签名者生成签名者的公钥UPK和私钥USK的过程为：

在全体属性的集合{1,...,p-1}中随机选取x_uid，设置签名者的公钥为

私钥为USK_uid＝x_uid；

签名者外包密钥OSK的计算过程为：

设签名者的属性集合为S＝(S₁,S₂,…,S_n)；属性授权机构在{1,...,p-1}中随机选取r，计算

K₁＝g^-r，

对于每个S_i∈S，属性授权机构在{1,...,p-1}中随机选取r_i，计算

签名者外包密钥

2.如权利要求1所述的属性基签名方法，其特征在于，外包签名服务器接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'的过程为：

外包签名服务器计算一组向量w＝{w₁,w₂,…,w_l}，满足∑_i∈Iw_iM_i＝(1,0,…,0)，其中I＝{i:ρ(i)∈S}，然后选择一组向量b＝{b₁,b₂,…,b_l}，使其满足

对于每一个i∈I，外包签名服务器计算

随机选取

计算

Σ'₄＝g^s，

输出签名的中间结果Σ'＝{m,(Σ'_1,i,Σ'_2,i)_i∈I,Σ'₃,Σ'₄,Σ'₅}；

其中，S为验证签名者属性集合，A＝(M,ρ)为访问结构；M是一个l行n列的矩阵，M_i是矩阵M的第i行构成的行向量，ρ是一个将M的行号映射为对应属性的函数。

3.如权利要求2所述的属性基签名方法，其特征在于，最终签名生成的过程为：

当签名者收到Σ'后，首先用私钥USK计算

输出最终签名Σ＝{m,(Σ_1,i,Σ_2,i)_i∈I,Σ₃,Σ₄,Σ₅}，其中Σ_1,i＝Σ_1,i′,Σ_2,i＝Σ_2,i′,Σ₃＝Σ₃′,Σ₄＝Σ₄′。

4.如权利要求3所述的属性基签名方法，其特征在于，转换后的签名Σ”为：

Σ”＝{m,(Σ_1,i,Σ_2,i)_i∈I,Σ₃″,Σ₄″,Σ₅″}；

随机选取秘密因子

Σ₃″＝Σ₃ ^d，Σ₄″＝Σ₄ ^d，Σ₅″＝Σ₅ ^d；

外包验证的过程为：

验证服务器收到Σ”，选择

μ′＝{1,μ₂′,…,μ_n′}，

其中i∈I，并计算：

将验证签名的中间结果V＝(V₁′,V₂′)发送给验证者；

本地验证的过程为：验证者收到V＝(V₁′,V₂′)，首先用秘密随机因子d计算

V₂＝V₂′，并验证：

若等式成立，则表明该签名Σ是合法的，输出1；否则，Σ是非法签名，输出0。

5.一种属性基签名系统，其特征在于，包括属性授权机构、签名者、外包签名服务器、验证者和外包验证服务器；

所述属性授权机构，用于生成公钥PK和主密钥MSK；

所述签名者，用于生成签名者的公钥UPK和私钥USK；

所述签名者还用于向属性授权机构申请私钥，所述属性授权机构用于根据签名者的属性集合和公钥UPK生成签名者外包密钥OSK，进而颁发给签名者，再由签名者委托转发给外包签名服务器；

所述外包签名服务器，用于接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；

所述签名者，用于根据中间结果Σ'和私钥USK，得到最终签名Σ并将其发送给验证者；

所述验证者，用于将签名Σ转换为签名Σ”并将其发送给外包验证服务器；

所述外包验证服务器，用于根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者；

所述验证者，还用于根据中间结果V，在本地验证得到最终的验证结果；

其中，属性授权机构生成公钥PK和主密钥MSK的过程为：

设全体属性的集合为U＝{1,...,p-1}；选取p阶双线性群G和G_T，存在一个双线性映射e:G×G→G_T；选择两个密码学哈希函数H₁:{0,1}^*→G₁，

在群G中随机选取群元素g,h,u,v,w,τ，在{1,...,p-1}中随机选取α，计算W＝e(g,g)^α，输出系统公钥PK和主密钥MSK：PK＝(g,h,u,v,w,τ,e,H₁,H₂,W)，MSK＝(α)；

签名者生成签名者的公钥UPK和私钥USK的过程为：

在全体属性的集合{1,...,p-1}中随机选取x_uid，设置签名者的公钥为

私钥为USK_uid＝x_uid；

签名者外包密钥OSK的计算过程为：

设签名者的属性集合为S＝(S₁,S₂,…,S_n)；属性授权机构在{1,...,p-1}中随机选取r，计算

K₁＝g^-r，

对于每个S_i∈S，属性授权机构在{1,...,p-1}中随机选取r_i，计算

签名者外包密钥

6.一种属性基签名方法，其特征在于，包括：

接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；其中，签名委托是由属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK而颁发给签名者的；

接收验证者由最终签名Σ转换的签名Σ”，其中，最终签名Σ由签名者根据中间结果Σ'和私钥USK得到；

根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者，进而由验证者根据中间结果V在本地验证得到最终的验证结果；

其中，属性授权机构生成公钥PK和主密钥MSK的过程为：

设全体属性的集合为U＝{1,...,p-1}；选取p阶双线性群G和G_T，存在一个双线性映射e:G×G→G_T；选择两个密码学哈希函数H₁:{0,1}^*→G₁，

在群G中随机选取群元素g,h,u,v,w,τ，在{1,...,p-1}中随机选取α，计算W＝e(g,g)^α，输出系统公钥PK和主密钥MSK：PK＝(g,h,u,v,w,τ,e,H₁,H₂,W)，MSK＝(α)；

签名者生成签名者的公钥UPK和私钥USK的过程为：

在全体属性的集合{1,...,p-1}中随机选取x_uid，设置签名者的公钥为

私钥为USK_uid＝x_uid；

签名者外包密钥OSK的计算过程为：

设签名者的属性集合为S＝(S₁,S₂,…,S_n)；属性授权机构在{1,...,p-1}中随机选取r，计算

K₁＝g^-r，

对于每个S_i∈S，属性授权机构在{1,...,p-1}中随机选取r_i，计算

签名者外包密钥

7.一种外包服务器，其特征在于，包括：

外包签名服务器，其用于接收签名者的签名委托后，当验证签名者属性集合满足访问结构时，生成签名的中间结果Σ'并将其发送给签名者；其中，签名委托是由属性授权机构根据签名者的属性集合、公钥UPK和私钥USK生成签名者外包密钥OSK而颁发给签名者的；

所述外包签名服务器还用于接收验证者由最终签名Σ转换的签名Σ”，其中，最终签名Σ由签名者根据中间结果Σ'和私钥USK得到；

外包验证服务器，其用于根据转换后的签名Σ”进行外包验证，得到验证签名的中间结果V并将其发送给验证者，进而由验证者根据中间结果V在本地验证得到最终的验证结果；

其中，属性授权机构生成公钥PK和主密钥MSK的过程为：

设全体属性的集合为U＝{1,...,p-1}；选取p阶双线性群G和G_T，存在一个双线性映射e:G×G→G_T；选择两个密码学哈希函数H₁:{0,1}^*→G₁，

在群G中随机选取群元素g,h,u,v,w,τ，在{1,...,p-1}中随机选取α，计算W＝e(g,g)^α，输出系统公钥PK和主密钥MSK：PK＝(g,h,u,v,w,τ,e,H₁,H₂,W)，MSK＝(α)；

签名者生成签名者的公钥UPK和私钥USK的过程为：

在全体属性的集合{1,...,p-1}中随机选取x_uid，设置签名者的公钥为

私钥为USK_uid＝x_uid；

签名者外包密钥OSK的计算过程为：

设签名者的属性集合为S＝(S₁,S₂,…,S_n)；属性授权机构在{1,...,p-1}中随机选取r，计算

K₁＝g^-r，

对于每个S_i∈S，属性授权机构在{1,...,p-1}中随机选取r_i，计算

签名者外包密钥

Images