CN106027240A - 一种基于属性的密钥隔离签名方法 - Google Patents

Abstract

本发明公开了一种基于属性的密钥隔离签名方法，是针对现有技术中存在的缺少对密钥泄露的保护措施以及由于双线性对操作导致增加终端的计算开销问题。将整个签名***划分为若干独立的时间片段，当***进入新的时间片段后，密钥协助器生成私钥更新片段，用户更新私钥。针对某一文件，用户用当前时间片段所对应的私钥进行签名，签名的验证结果也对应着***的某一个时间片段。若某时间片段内用户私钥发生泄漏，***在别的时间片段依旧能保持前向安全和后向安全，将私钥泄露的危害降到了最低。在签名的过程中，不需要任何双线性对的操作，减少了用户终端的计算开销。当***时间片段进化时，无需再更新***公共参数，减少了同步公共参数带来的通信开销。

Description

一种基于属性的密钥隔离签名方法

技术领域

本发明涉及数字信息传输的保密或安全通信技术，具体涉及一种基于属性的密钥隔离签名方法。

背景技术

基于属性的密码学是信息安全中的重要组成部分，与此同时，属性签名的体制近年来也引来了广泛的应用。在基于属性的签名体制中，用户的私钥对应一个属性结构，某合法用户用对应的私钥产生的签名可以被验证到其所拥有的相应的属性结构中。然而目前的属性签名机制仍然存在两个问题需要解决：第一，当某个用户的属性私钥发生了泄露，任何得到该私钥的用户都可以利用该私钥产生一个合法的签名，从而带来一系列的安全隐患。第二，当前基于属性的密码方案大多都是基于双线性对的。双线性对的计算开销要远远大于其他的运算(例如点乘运算，哈希运算等等)。传统属性签名方法中包含了很多双线对的运算，会给一些计算能力有限的终端带来负担，从而产生通信瓶颈。综上，在属性签名体制中，需要一种新的机制，既能保护密钥泄漏后的***安全，又能在签名产生和验证的过程中尽量多的减少双线性对运算次数。

2015年北京航空航天大学公开了名称为《大属性域的属性基签名方法及***》(公开号为CN105141419A)的发明专利申请。该发明提供一种大属性域的属性基签名方法及***，该方法包括：私钥生成中心根据输入的***安全参数得到公共参数和主密钥；私钥生成中心根据主密钥和用户属性集得到用户私钥，将用户私钥发送给对应的用户；签名方根据用户私钥、用户满足的访问结构、用户属性集和预定消息生成用户的数字签名；验证方根据公共参数和用户的数字签名对用户进行验证。该方法可实现细粒度访问控制，支持“与门”和“或门”，操作灵活，无须在初始化阶段对属性数量进行限制，可灵活地对***进行扩展，公共参数长度为常数，有效减轻***的负担。然而，该方法中缺少对密钥泄露的保护措施。一旦用户的属性私钥发生泄漏，任何得到私钥的恶意用户都可以用其伪造一个合法签名，从而给***带来安全威胁。此外，方案中采用了大量的双线性对操作，增加了终端的计算开销。

发明内容

本发明要解决的技术问题是针对现有技术中存在的缺少对密钥泄露的保护措施以及由于双线性对操作导致增加终端的计算开销等问题。

为此，本发明提出一种基于属性的密钥隔离签名方法，具体技术方案包含以下步骤：

步骤一：***初始化

1.定义G₁为一个加法循环群，其阶数均为q.定义p为G₁上的一个生成元；

2.定义一个哈希函数H₁:{0,1}^*→Z_q，该函数的功能为将任意长度的字符串投射到有限域域Z_q上；

3.属性鉴权中心在有限域内为每个属性选择一个随机数此外还为每个时间片段TP_n选取随机数最后挑选随机数则***的主私钥为{t_i,k_n,y},***公共参数为{G₁，p，q，Y＝yp，K_n＝k_np，T_i＝t_ip，H₁}；

步骤二：初始密钥分发

在初始时间片段TP₀，属性鉴权中心属性鉴权中心根据每个用户的属性结构树T_k的每一个叶子节点选取一个多项式q_x，多项式的度d_x为该节点的门限值k_x减1，即(d_x＝k_x-1)，对于根节点设置q_root(0)＝y，对于其他的节点，设置q_x(0)＝q_parent(x) ^index(x),其中parent(x)为节点x的父节点,index(x)为节点x在其所有兄弟节点中的序号，然后属性鉴权中心将初始密钥发送给签名者；

步骤三：密钥更新：

1.当***的时间片段从TP_n-1进化到TP_n时，属性鉴权中心为每个属性计算密钥的更

新信息

2.用户得到后，将自己之前的密钥更新到最新版本，计算步骤方法如下：

${\mathrm{SK}}_{{\mathrm{TP}}_n}={\mathrm{SK}}_{{\mathrm{TP}}_{n-1}}+{\mathrm{UP}}_{i,{\mathrm{TP}}_n}=\{q_x\left(0\right)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n),i\∈T_k\};$

步骤四：签名

1.对文件M，签名者选取

2.根据***的公共参数，数据发送者计算以下信息：

v₁＝xp，

$v_2={\mathrm{SK}}_{{\mathrm{TP}}_n}+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n)=q_x\left(0\right)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n);$

3.数据发送者将{v₁,v₂,M}打包上传至数据服务器；

步骤五：验证

1.数据接收者从数据服务器处下载相应的文件及签名；

2.数据接收者利用***公共参数进行如下计算：

$\underset{i\∈T_k}{\Σ}{v}_{2}p-T_i-H_1(M,{\mathrm{TP}}_n)v_1-H_1(T_i,{\mathrm{TP}}_n)K_n=y$

若等式成立则签名合法。

进一步，步骤五中，数据接收者利用***公共参数进行判断签名合法的正确性如下：

$\begin{array}{c}\underset{i\∈T_k}{\Σ}{v}_{2}p-T_i-H_1(M,{\mathrm{TP}}_n)v_1-H_1(T_i,{\mathrm{TP}}_b)k_n\\ =\underset{i\∈T_k}{\Σ}\left(q_x\right(0)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n\left)\right)p-T_i-H_1(M,{\mathrm{TP}}_n)v_1\\ -H_1(T_i,{\mathrm{TP}}_n)K_n\\ =\underset{i\∈T_k}{\Σ}\left(q_x\right(x)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n\left)\right)p-t_{i}p-H_1(M,{\mathrm{TP}}_n)xp\\ -H_1(T_i,{\mathrm{TP}}_n)k_{n}p\\ ={\Σ}_{i\∈T_k}{q}_x\left(0\right)p=yp=Y.\end{array}$

与现有技术相比，本发明的有益效果在于：

1.签名者的私钥对应一个属性结构，验证者用***公共参数可以对签名认证，满足公开认证性。为了保证属性签名的前后向安全并解决属性密钥泄露的问题，本发明公开了一种基于属性的密钥隔离机制，每个时间片段的信息都会被嵌入到用户当前的私钥中。当***内发生用户属性撤销、更新或者用户私钥泄露等情况时，通过更新合法用户的私钥来确保***内的前后向安全。

2.在传统的基于属性密码体制中，大多数方案是基于双线性的。双线对的运算开销较大，会对给对整个***到来大量的运算符合。在本发明中，签名认证的整个过程不需要任何双线性对操作，大大减轻了***及终端的负担。

附图说明

图1是本发明的流程图。

具体实施方式

现结合附图对本发明的具体实施方式作进一步详细的说明。

本发明公布了一种基于属性的密钥隔离签名方法，整个签名***划分为若干独立的时间片段，如图1所示。每当***进入新的时间片段后，密钥协助器生成私钥更新片段，用户更新私钥。针对某一文件，用户用当前时间片段所对应的私钥进行签名，签名的验证结果也对应着***的某一个时间片段。若某时间片段内用户私钥发生泄漏，***在别的时间片段依旧能保持前向安全和后向安全，将私钥泄露的危害降到了最低。

在签名的过程中，不需要任何双线性对的操作，减少了用户终端的计算开销。此外，当***时间片段进化时，无需再更新***公共参数，减少了同步公共参数带来的通信开销。

本发明具体的内容描述如下：本发明假设***由属性鉴权中心,签名者，验证者，数据服务器四个功能实体组成。其中，属性鉴权中心负责管理用户的属性，并分发用户的初始私钥并在***进入新的时间片段开始时更新用户的私钥。数据服务器是由计算机集群组成的物理节点，负责安全的存储数据。签名者利用私钥对文件产生签名并上传至数据服务器；验证着下载文件后通过公共参数验证签名是否合法。

以下为过程描述：一种基于属性的密钥隔离签名方法包含初始化，初始密钥分发，密钥更新，签名及验证这五个步骤，每个步骤的具体描述如下：

步骤一：***初始化：

1.定义G₁为一个加法循环群，其阶数均为q.定义p为G₁上的一个生成元。

2.定义一个哈希函数H₁:{0，1}^*→Z_q，该函数的功能为将任意长度的字符串投射到有限域域Z_q上。

3.属性鉴权中心在有限域内为每个属性选择一个随机数此外还为每个时间片段TP_n选取随机数最后挑选随机数则***的主私钥为{t_i，k_n，y},***公共参数为{G₁,p,q,Y＝yp,K_n＝k_np,T_i＝t_ip,H₁}

步骤二：初始密钥分发：

在初始时间片段TP₀,属性鉴权中心属性鉴权中心根据每个用户的属性结构树T_k的每一个叶子节点选取一个多项式q_x，多项式的度d_x为该节点的门限值k_x减1，即(d_x＝k_x-1).对于根节点设置q_root(0)＝y.对于其他的节点，设置q_x(0)＝q_parent(x) ^index(x)，其中parent(x)为节点x的父节点,index(x)为节点x在其所有兄弟节点中的序号。然后属性鉴权中心将初始密钥发送给签名者。

步骤三：密钥更新：

1.当***的时间片段从TP_n-1进化到TP_n时，属性鉴权中心为每个属性计算密钥的更新信息

2.用户得到后，将自己之前的密钥更新到最新版本，计算步骤方法如下：

${\mathrm{SK}}_{{\mathrm{TP}}_n}={\mathrm{SK}}_{{\mathrm{TP}}_{n-1}}+{\mathrm{UP}}_{i,{\mathrm{TP}}_n}=\{q_x\left(0\right)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n),i\∈T_k\}$

步骤四：签名：

1.对文件M，签名者选取

2.根据***的公共参数，数据发送者计算以下信息：

v₁＝xp

$v_2={\mathrm{SK}}_{{\mathrm{TP}}_n}+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n)=q_x\left(0\right)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n)$

3.数据发送者将{v₁，v2，M}打包上传至数据服务器。

步骤五：签名认证：

1.数据接收者从数据服务器处下载相应的文件及签名。

2.数据接收者利用***公共参数进行如下计算：

$\underset{i\∈T_k}{\Σ}{v}_{2}p-T_i-H_1(M,{\mathrm{TP}}_n)v_1-H_1(T_i,{\mathrm{TP}}_n)K_n=Y$

若等式成立则签名合法。

正确性说明如下：

$\begin{array}{c}\underset{i\∈T_k}{\Σ}{v}_{p}p-T_i-H_1(M,{\mathrm{TP}}_n)v_1-H_1(T_i,{\mathrm{TP}}_n)K_n\\ =\underset{i\∈T_k}{\Σ}\left(q_x\right(0)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n\left)\right)p-T_i-H_1(M,{\mathrm{TP}}_n)v_1\\ -H_1(T_i,{\mathrm{TP}}_n)K_n\\ =\underset{i\∈T_k}{\Σ}\left(q_x\right(0)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n\left)\right)p-t_{i}p-H_1(M,{\mathrm{TP}}_n)xp\\ -H_1(T_i,{\mathrm{TP}}_n)k_{n}p\\ =\underset{i\∈T_k}{\Σ}{q}_k\left(0\right)p=yp=Y\end{array}$

由上述五个步骤，完成了基于属性的密钥隔离签名方法全过程。

1.针对技术关键点1中，本发明公开了一种基于属性的密钥隔离机制，每个时间片段的信息都会被嵌入到用户当前的私钥中。当***内发生用户属性撤销、更新或者用户私钥泄露等情况时，通过更新合法用户的私钥来确保***内的前后向安全。

2.针对技术关键点2中，取消了传统属性签名机制中的双线性对的计算，签名认证的整个过程不需要任何双线性对操作，大大减轻了***及终端的负担。

以上所述仅为本发明的一个具体实施例，并不用以限制本发明，本实施例中所用数据集和攻击模式仅限于本实施例，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种基于属性的密钥隔离签名方法，其特征在于包含以下步骤：

步骤一：***初始化

1.1定义G₁为一个加法循环群，其阶数均为q.定义p为G₁上的一个生成元；

1.2定义一个哈希函数H₁:{0,1}^*→Z_q，该函数的功能为将任意长度的字符串投射到有限域域Z_q上；

1.3属性鉴权中心在有限域内为每个属性选择一个随机数此外还为每个时间片段TP_n选取随机数最后挑选随机数则***的主私钥为{t_i,k_n,y},***公共参数为{G₁,p,q,Y＝yp,K_n＝k_np,T_i＝t_ip,H₁}；

步骤二：初始密钥分发

在初始时间片段TP₀,属性鉴权中心属性鉴权中心根据每个用户的属性结构树T_k的每一个叶子节点选取一个多项式q_x，多项式的度d_x为该节点的门限值k_x减1，即(d_x＝k_x-1)，对于根节点设置q_root(0)＝y，对于其他的节点，设置q_x(0)＝q_parent(x) ^index(x),其中parent(x)为节点x的父节点,index(x)为节点x在其所有兄弟节点中的序号，然后属性鉴权中心将初始密钥发送给签名者；

步骤三：密钥更新：

3.1当***的时间片段从TP_n-1进化到TP_n时，属性鉴权中心为每个属性计算密钥的更新信息

3.2用户得到后，将自己之前的密钥更新到最新版本，计算步骤方法如下：

${\mathrm{SK}}_{{\mathrm{TP}}_n}={\mathrm{SK}}_{{\mathrm{TP}}_{n-1}}+{\mathrm{UP}}_{i,{\mathrm{TP}}_n}=\{q_x\left(0\right)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n),i\∈T_k\};$

步骤四：签名

4.1对文件M，签名者选取

4.2根据***的公共参数，数据发送者计算以下信息：

v₁＝xp，

$v_2={\mathrm{SK}}_{{\mathrm{TP}}_n}+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n)=q_x\left(0\right)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n);$

4.3数据发送者将{v₁,v₂,M}打包上传至数据服务器；

步骤五：验证

5.1数据接收者从数据服务器处下载相应的文件及签名；

5.2数据接收者利用***公共参数进行如下计算：

$\underset{i\∈T_k}{\Σ}{v}_{2}p-T_i-H_1(M,{\mathrm{TP}}_n)v_1-H_1(T_i,{\mathrm{TP}}_n)K_n=Y$

若等式成立则签名合法。

2.根据权利要求1所述的一种基于属性的密钥隔离签名方法，其特征在于步骤五中，判断签名合法的正确性如下：

$\begin{array}{c}\underset{i\∈T_k}{\Σ}{v}_{2}p-T_i-H_1(M,{\mathrm{TP}}_n)v_1-H_1(T_i,{\mathrm{TP}}_n)K_n\\ =\underset{i\∈T_k}{\Σ}\left(q_x\right(0)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n\left)\right)p-T_i-H_1(M,{\mathrm{TP}}_n)v_1-H_1(T_i,{\mathrm{TP}}_n)K_n\\ =\underset{i\∈T_k}{\Σ}\left(q_x\right(0)+t_i+k_n{H}_1(T_i,{\mathrm{TP}}_n)+{\mathrm{xH}}_1(M,{\mathrm{TP}}_n\left)\right)p-t_{i}p-H_1(M,{\mathrm{TP}}_n)xp\\ -H_1(T_i,{\mathrm{TP}}_n)k_{n}p\\ ={\Σ}_{i\∈T_k}{q}_x\left(0\right)p=yp=Y.\end{array}$