CN115174104A - 基于商密sm9的属性基在线/离线签名方法与*** - Google Patents

Abstract

本发明提出基于商密SM9的属性基在线/离线签名方法与***，所述***包括属性授权端、签名端和验证端；所述属性授权端根据签名时的安全参数

，产生主私钥

和公开参数

；还根据主私钥

、公开参数

、签名端属性集合

和访问结构A，产生签名端公私钥对

；所述签名端根据属性授权端产生的公开参数

以及签名端私钥

，产生离线签名

；还根据公开参数

、签名端属性集

、离线签名

、签名端私钥

以及消息

，产生在线签名

；所述验证端根据属性授权端产生的公开参数

，签名端公钥

，对消息M以及签名端产生的在线签名

来验证签名的有效性；本发明可以降低轻量级设备在线阶段的签名计算代价，并符合商密SM9标识签名标准。

Description

基于商密SM9的属性基在线/离线签名方法与***

技术领域

本发明涉及互联网安全技术领域，尤其是基于商密SM9的属性基在线/离线签名方法与***。

背景技术

物联网技术的发展和普及使得现代生活环境更加友好和便捷，对人们的生活方式产生了重要影响。物联网将电子设备与互联网连接，能够使互联网连接对象使用嵌入式传感器、射频识别、激光扫描器等信息传感设备进行数据的采集和交换。但由于采用无线网络通信，使得物联网更容易遭受各种攻击。因此，为了保护物联网中数据的安全性，有必要在使用数据前提供身份认证功能。属性基签名(ABS)是解决上述问题的重要方法，它在隐私保护、访问控制和数据身份验证方面发挥了重要作用。但在ABS方案中，一方面，轻量级设备无法承受大量的指数运算或配对运算，需要降低轻量级设备在线签名阶段的计算代价。另一方面，为了实现国家网络空间安全自主可控的发展战略，需要设计符合国密标准的密码方案。

发明内容

本发明提出基于商密SM9的属性基在线/离线签名方法与***，可以降低轻量级设备在线阶段的签名计算代价，并符合商密SM9标识签名标准。

本发明采用以下技术方案。

基于商密SM9的属性基在线/离线签名***，所述***包括属性授权端、签名端和验证端；

所述属性授权端根据签名时的安全参数λ，产生主私钥msk和公开参数params；还根据主私钥msk、公开参数params、签名端属性集合ω_j和访问结构A，产生签名端公私钥对

所述签名端根据属性授权端产生的公开参数params以及签名端私钥

产生离线签名σ_off；还根据公开参数params、签名端属性集ω_j、离线签名σ_off、签名端私钥

以及消息M，产生在线签名σ_on；

所述验证端根据属性授权端产生的公开参数params，签名端公钥

对消息M以及签名端产生的在线签名σ_on来验证签名的有效性。

基于商密SM9的属性基在线/离线签名方法，基于以上所述的基于商密SM9的属性基在线/离线签名***，所述签名方法包括以下步骤：

步骤S1：向属性授权端输入安全参数λ，属性授权端输出主私钥msk和公开参数params；

步骤S2：向属性授权端输入主私钥msk、公开参数params、签名端属性集ω_j和访问结构A，属性授权端输出签名端公私钥对

步骤S3：向签名端输入公开参数params以及签名端私钥

签名端输出离线签名σ_off；

步骤S4：向签名端输入公开参数params、签名端属性集ω_j、离线签名σ_off、签名端私钥

以及消息M，签名端输出针对消息M的在线签名σ_on；

步骤S5：向验证端输入公开参数params，签名端公钥

消息M以及在线签名σ_on；若消息M的签名有效，则验证端输出accept；否则，验证端输出reject。

所述步骤S1包括以下步骤：

步骤S11：属性授权端输入安全参数λ，生成一个双线性配对元组BP＝(G₁，G₂，G_T，e，p)，其中e：G₁×G₂→G_T，p是一个大素数，|p|＝λ；

属性授权端随机选取G₁的生成元P₁，G₂的生成元P₂；

属性授权端选取***属性域U＝{att₁，att₂，...，att_u}，其中

1≤i≤u，u＝|U|，

属性授权端定义算法

将属性集ω转换为一个二进制标识ID_ω，其中

定义如下：输入属性集ω，***属性域U；令ID_ω[i]表示ID_ω的第i位，若att_i∈ω，令ID_ω[i]＝1；否则，令ID_ω[i]＝0；其中1≤i≤u，u＝|U|。最后，算法输出ID_ω；

步骤S12：属性授权端随机选取

计算P_pub＝αP₂，g＝e(P₁，P_pub)；

步骤S13：属性授权端选取两个哈希函数

并随机选取1比特私钥生成函数标识hid∈{0，1}；

步骤S14：属性授权端输出主私钥msk＝α和公开参数

params＝(BP，P₁，P₂，P_pub，g，U，hid，H₁，H₂) 公式一。

所述步骤S2具体包括以下步骤：

步骤S21：属性授权端输入访问策略A＝{A₁，A₂，...，A_n}，其中

1≤i≤n，n＝|A|，算法

签名端属性集

主私钥msk以及公开参数params；

步骤S22：属性授权端利用算法

将访问策略A＝{A₁，A₂，...，A_n}以及签名端属性集ω_j转换成二进制标识集合

和二进制标识

步骤S23：属性授权端随机选取

计算签名端私钥

其中

sk₂＝r_s 公式三；

计算签名端公钥

步骤S24：属性授权端输出签名端公私钥对

所述步骤S3具体包括以下步骤：

步骤S31：签名端输入公开参数params，签名端私钥

步骤S32：签名端随机选取

计算w＝g^r，l＝sk₂·(r-k)mod p，S＝l·sk₁；

步骤S33：签名端输出离线签名σ_off＝(r，k，w，S)。

所述步骤S4具体包括以下步骤：

步骤S41：签名端输入公开参数params，离线签名σ_off，签名端私钥

签名端属性集ω_j以及消息M；

步骤S42：签名端利用算法

将签名端属性集ω_j转换成一个二进制标识

步骤S43：签名端计算：h＝H₂(M||w，p)，τ＝(r-h)(r-k)^-1mod p，

步骤S44：签名端输出在线签名σ_on＝(h，τ，y，S)。

所述步骤S5具体包括以下步骤：

步骤S51：验证端输入消息签名对(M，σ_on)，签名端公钥

以及公开参数params；

步骤S52：验证端判断等式

是否成立，若不成立，则终止执行；否则继续执行以下步骤；

步骤S53：验证端计算t＝g^h，P＝yP₂+P_pub，β＝e(τ·S，P)，w′＝β·t以及h₂＝H₂(M||w′，p)；

步骤S54：验证端判断等式：h₂＝h是否成立。若成立，输出accept，否则输出reject。

与现有技术相比，本发明具有以下有益效果：

1、本发明基于商密SM9标识签名算法设计，符合国家网络空间安全自主可控的发展战略。

2、本发明使用在线离线签名技术使签名端可以将签名分为在线阶段和离线阶段，在未知消息之前，通过将高昂的计算分配给离线阶段而仅保留一些轻量级计算给在线阶段的方式，降低了在线阶段的计算代价。

3、本发明的属性基签名方案确保了只有当签名端属性集满足访问策略，则用户可以生成有效的签名。因此，提出的方法及***在数据认证和隐私保护访问控制中具有很强的实用性和广阔的应用前景。

附图说明

下面结合附图和具体实施方式对本发明进一步详细的说明：

附图1是本发明的***架构示意图。

具体实施方式

如图所示，基于商密SM9的属性基在线/离线签名***，所述***包括属性授权端、签名端和验证端；

所述属性授权端根据签名时的安全参数λ，产生主私钥msk和公开参数params；还根据主私钥msk、公开参数params、签名端属性集合ω_j和访问结构A，产生签名端公私钥对

所述签名端根据属性授权端产生的公开参数params以及签名端私钥

产生离线签名σ_off；还根据公开参数params、签名端属性集ω_j、离线签名σ_off、签名端私钥

以及消息M，产生在线签名σ_on；

所述验证端根据属性授权端产生的公开参数params，签名端公钥

对消息M以及签名端产生的在线签名σ_on来验证签名的有效性。

基于商密SM9的属性基在线/离线签名方法，基于以上所述的基于商密SM9的属性基在线/离线签名***，所述签名方法包括以下步骤：

步骤S1：向属性授权端输入安全参数λ，属性授权端输出主私钥msk和公开参数params；

步骤S2：向属性授权端输入主私钥msk、公开参数params、签名端属性集ω_j和访问结构A，属性授权端输出签名端公私钥对

步骤S3：向签名端输入公开参数params以及签名端私钥

签名端输出离线签名σ_off；

步骤S4：向签名端输入公开参数params、签名端属性集ω_j、离线签名σ_off、签名端私钥

以及消息M，签名端输出针对消息M的在线签名σ_on；

步骤S5：向验证端输入公开参数params，签名端公钥

消息M以及在线签名σ_on；若消息M的签名有效，则验证端输出accept；否则，验证端输出reject。

所述步骤S1包括以下步骤：

步骤S11：属性授权端输入安全参数λ，生成一个双线性配对元组BP＝(G₁，G₂，G_T，e，p)，其中e：G₁×G₂→G_T，p是一个大素数，|p|＝λ；

属性授权端随机选取G₁的生成元P₁，G₂的生成元P₂；

属性授权端选取***属性域U＝{att₁，att₂，...,att_u}，其中

1≤i≤u，u＝|U|，

属性授权端定义算法

将属性集ω转换为一个二进制标识ID_ω，其中

定义如下：输入属性集ω，***属性域U；令ID_ω[i]表示ID_ω的第i位，若att_i∈ω，令ID_ω[i]＝1；否则，令ID_ω[i]＝0；其中1≤i≤u，u＝|U|。最后，算法输出ID_ω；

步骤S12：属性授权端随机选取

计算P_pub＝αP₂，g＝e(P₁，P_pub)；

步骤S13：属性授权端选取两个哈希函数

并随机选取1比特私钥生成函数标识hid∈{0，1}；

步骤S14：属性授权端输出主私钥msk＝α和公开参数

params＝(BP，P₁，P₂，P_pub，g，U，hid，H₁，H₂) 公式一。

所述步骤S2具体包括以下步骤：

步骤S21：属性授权端输入访问策略A＝{A₁，A₂，...，A_n}，其中

1≤i≤n，n＝|A|，算法

签名端属性集

主私钥msk以及公开参数params；

步骤S22：属性授权端利用算法

将访问策略A＝{A₁，A₂，…，A_n}以及签名端属性集ω_j转换成二进制标识集合

和二进制标识

步骤S23：属性授权端随机选取

计算签名端私钥

其中

sk₂＝r_s 公式三；

计算签名端公钥

步骤S24：属性授权端输出签名端公私钥对

所述步骤S3具体包括以下步骤：

步骤S31：签名端输入公开参数params，签名端私钥

步骤S32：签名端随机选取

计算w＝g^r，l＝sk₂·(r-k)mod p，S＝l·sk₁；

步骤S33：签名端输出离线签名σ_off＝(r，k，w，S)。

所述步骤S4具体包括以下步骤：

步骤S41：签名端输入公开参数params，离线签名σ_off，签名端私钥

签名端属性集ω_j以及消息M；

步骤S42：签名端利用算法

将签名端属性集ω_j转换成一个二进制标识

步骤S43：签名端计算：h＝H₂(M||w，p)，τ＝(r-h)(r-k)^-1modp，

步骤S44：签名端输出在线签名σ_on＝(h，τ，y，S)。

所述步骤S5具体包括以下步骤：

步骤S51：验证端输入消息签名对(M，σ_on)，签名端公钥

以及公开参数params；

步骤S52：验证端判断等式

是否成立，若不成立，则终止执行；否则继续执行以下步骤；

步骤S53：验证端计算t＝g^h，P＝yP₂+P_pub，β＝e(τ·S，P)，w′＝β·t以及h₂＝H₂(M||w′，p)；

步骤S54：验证端判断等式：h₂＝h是否成立。若成立，输出accept，否则输出reject。

实施例：

本例中的签名过程如下

1.签名设备将属性集ω_j发送给属性授权机构，属性授权机构通过以下算法计算签名设备的公私钥对

(1).利用算法

将访问策略A＝{A₁，A₂，…，A_n}以及签名设备属性集ω_j转换成二进制标识集合

和二进制标识

(2).随机选取

计算签名端私钥

其中，

sk₂＝r_s；计算签名端公钥

(3).输出签名端公私钥对

2.签名设备获得公私钥对

后，通过以下算法产生离线签名σ_off：

(1).随机选取

计算w＝g^r，l＝sk₂·(r-k)mod p，S＝l·sk₁；

(2).输出离线签名σ_off＝(r，k，w，S)。

3.签名设备在产生离线签名σ_off后，通过以下算法产生在线签名σ_on：

(1).利用算法

将签名设备属性集ω_j转换成一个二进制标识

(2).计算：h＝H₂(M||w，p)，τ＝(r-h)(r-k)^-1 mod p，

(3).输出在线签名σ_on＝(h，τ，y，S)。

4.验证设备在获得消息签名对(M，σ_on)后，通过以下算法验证签名是否有效：

(1).判断等式

是否成立，若不成立，则终止执行；否则继续执行；

(2).计算t＝g^h，P＝yP₂+P_pub，β＝e(τ·S，P)，w′＝β·t以及h₂＝H₂(M||w′，p)；

(3).判断等式：h₂＝h是否成立。若成立，输出accept，否则输出reject。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (7)

1.基于商密SM9的属性基在线/离线签名***，其特征在于：所述***包括属性授权端、签名端和验证端；

所述属性授权端根据签名时的安全参数λ，产生主私钥msk和公开参数params；还根据主私钥msk、公开参数params、签名端属性集合ω_j和访问结构A，产生签名端公私钥对

所述签名端根据属性授权端产生的公开参数params以及签名端私钥

产生离线签名σ_off；还根据公开参数params、签名端属性集ω_j、离线签名σ_off、签名端私钥

以及消息M，产生在线签名σ_on；

所述验证端根据属性授权端产生的公开参数params，签名端公钥

对消息M以及签名端产生的在线签名σ_on来验证签名的有效性。

2.基于商密SM9的属性基在线/离线签名方法，基于权利要求1所述的基于商密SM9的属性基在线/离线签名***，其特征在于：所述签名方法包括以下步骤：

步骤S1：向属性授权端输入安全参数λ，属性授权端输出主私钥msk和公开参数params；

步骤S2：向属性授权端输入主私钥msk、公开参数params、签名端属性集ω_j和访问结构A，属性授权端输出签名端公私钥对

步骤S3：向签名端输入公开参数params以及签名端私钥

签名端输出离线签名σ_off；

步骤S4：向签名端输入公开参数params、签名端属性集ω_j、离线签名σ_off、签名端私钥

以及消息M，签名端输出针对消息M的在线签名σ_on；

步骤S5：向验证端输入公开参数params，签名端公钥

消息M以及在线签名σ_on；若消息M的签名有效，则验证端输出accept；否则，验证端输出reject。

3.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法，其特征在于：所述步骤S1包括以下步骤：

步骤S11：属性授权端输入安全参数λ，生成一个双线性配对元组BP＝(G₁，G₂，G_T，e，p)，其中e：G₁×G₂→G_T，p是一个大素数，|p|＝λ；

属性授权端随机选取G₁的生成元P₁，G₂的生成元P₂；

属性授权端选取***属性域U＝{att₁，att₂，...，att_u}，其中

u＝|U|，

属性授权端定义算法

将属性集ω转换为一个二进制标识ID_ω，其中

定义如下：输入属性集ω，***属性域U；令ID_ω[i]表示ID_ω的第i位，若att_i∈ω，令ID_ω[i]＝1；否则，令ID_ω[i]＝0；其中1≤i≤u，u＝|U|。最后，算法输出ID_ω；

步骤S12：属性授权端随机选取

计算P_pub＝αP₂，g＝e(P₁，P_pub)；

步骤S13：属性授权端选取两个哈希函数H₁：

H₂：

并随机选取1比特私钥生成函数标识hid∈{0，1}；

步骤S14：属性授权端输出主私钥msk＝α和公开参数

params＝(BP，P₁，P₂，P_pub，g，U，hid，H₁，H₂) 公式一。

4.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法，其特征在于：所述步骤S2具体包括以下步骤：

步骤S21：属性授权端输入访问策略A＝{A₁，A₂，...，A_n}，其中

n＝|A|，算法

签名端属性集

主私钥msk以及公开参数params；

步骤S22：属性授权端利用算法

将访问策略A＝{A₁，A₂，...，A_n}以及签名端属性集ω_j转换成二进制标识集合

和二进制标识

步骤S23：属性授权端随机选取

计算签名端私钥

其中

sk₂＝r_s 公式三；

计算签名端公钥

步骤S24：属性授权端输出签名端公私钥对

5.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法，其特征在于：所述步骤S3具体包括以下步骤：

步骤S31：签名端输入公开参数params，签名端私钥

步骤S32：签名端随机选取

计算w＝g^r，l＝sk₂·(r-k)mod p，S＝l·sk₁；

步骤S33：签名端输出离线签名σ_off＝(r，k，w，S)。

6.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法，其特征在于：所述步骤S4具体包括以下步骤：

步骤S41：签名端输入公开参数params，离线签名σ_off，签名端私钥

签名端属性集ω_j以及消息M；

步骤S42：签名端利用算法

将签名端属性集ω_j转换成一个二进制标识

步骤S43：签名端计算：h＝H₂(M||w，p)，τ＝(r-h)(r-k)^-1mod p，

步骤S44：签名端输出在线签名σ_on＝(h，τ，y，S)。

7.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法，其特征在于：所述步骤S5具体包括以下步骤：

步骤S51：验证端输入消息签名对(M，σ_on)，签名端公钥

以及公开参数params；

步骤S52：验证端判断等式

是否成立，若不成立，则终止执行；否则继续执行以下步骤；

步骤S53：验证端计算t＝g^h，P＝yP₂+P_pub，β＝e(τ·S，P)，w′＝β·t以及h₂＝H₂(M||w′，p)；

步骤S54：验证端判断等式：h₂＝h是否成立。若成立，输出accept，否则输出reject。

Images