(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210816128.X (22)申请日 2022.07.12 (71)申请人 中国科学技术大学 地址 230026 安徽省合肥市包河区金寨路 96号 (72)发明人 卢傲然　李卫海　姚远志　 (74)专利代理 机构 北京凯特来知识产权代理有 限公司 1 1260 专利代理师 郑立明　韩珂 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 一种可链接可溯源的定长的属性基环签名 方法与系统 (57)摘要 本发明公开了一种可链接可溯源的定长的 属性基环签名方法与系统， 不仅能够在属性级别 提供细粒度的签名者认证， 而且实现了固定的签 名长度， 只需四次配对操作的验证过程， 计算成 本和通信成本低。 在验证时， 使用在线验证方式 能够保证安全性。 同时， 本发明提供了可链接性， 验证者可以知道两个签名来自 同一用户； 当恶性 事件发生后， 本发明提供的可溯源性可以追究相 关签名者的责任。 本发明同时提供固定长度的签 名和可溯源性， 一定程度上弥补了现有方案的不 足。 权利要求书4页 说明书8页 附图2页 CN 115189894 A 2022.10.14 CN 115189894 A 1.一种可链接可溯源的定 长的属性基环签名方法， 其特 征在于， 包括： 系统建立阶段： 由属性权威 生成签名方法中所需的参数与函数， 并公开发布； 密钥分发阶段： 当属性权威为签名者生成签名密钥时， 根据系统建立阶段生成的参数 计算签名者的私人主密钥， 并结合签名者的真实身份作为一个表项存储有全局表格中， 用 于签名者的身份溯源； 同时， 利用签名者的属性 生成签名密钥， 并发送给签名者； 签名生成阶段： 签名者选出用于签名的属性集合， 并计算出签名参数； 对于待签名文 件， 使用哈希函数生成哈希结果， 并结合签名参数以及签名者的私人主密钥计算固定长度 的签名， 其中， 所述哈希函数为系统建立阶段由属性权威选择的函数； 签名校验阶段： 验证者获取固定长度的签名、 签名者选出用于签名的属性集合， 以及待 签名文件； 对于待签名文件， 使用哈希函数生 成哈希结果， 结合签名者选出用于签名的属性 集合以及属性权威在系统建立阶段生成的参数计算验证参数； 基于哈希结果与验证参数通 过运算服务器对固定长度的签名进行在线校验； 其中， 所述固定长度的签名中的信息还能 够用于判断不同签名是否能够链接， 如果不同签名中相同位置的信息一致， 则链接成功， 表 示签名来自统一签名者。 2.根据权利要求1所述的一种可链接可溯源的定长的属性基环签名方法， 其特征在于， 所述系统建立阶段的步骤 包括： 公共参数选择： 所述属性权威选择两个 阶为素数p的循环群G1和G2， 以及一个双线性对 e:G1×G1→G2； 然后选择一个哈希函数H使得H:{0,1}*→G1， 属性权威公开发布G1,G2,e,H； 属性取值选择： 属性权威定义所有N个属性为ATT＝{att1,att2,…,attN}， 为每一个属 性在G1中不重复地选取对应的取值， 得到属性取值集合 从G1中选 择一个元素u0且 选择一个不大于N的正整数d， d为所有签名者生成签名时， 允许使 用的属性的最大 数目； 属性权威公开发布 ATT,U,u0,d； 密钥生成： 属性权威选择G1的一个生成元g和一个整数 计算g1＝gα和Z＝e(g,g)， 接着在G1中选择一个元素g2， 满足g2≠g1， 表示素数p的整数域剔除0； 属性权威公开发布 g,g1,g2,Z。 3.根据权利要求2所述的一种可链接可溯源的定长的属性基环签名方法， 其特征在于， 所述密钥分发阶段的步骤 包括： 私人主密钥选择： 属性权威维护一个全局表格GT， 对于一个真实身份为ID的签名者， 属 性权威随机选择一个整数 计算私人主密钥K1＝α +r， K2＝gr， K3＝g1/r， 如果<K2,K3>在 GT中不存在， 将 〈ID,<K2,K3>>作为一项加入表格； 否则重新选择r； 秘 密 共 享 ： 设 签 名 者 的 所 有 n 个 属 性 对 应 的 取 值 ， 组 成 属 性 取 值 集 合 其中， 表示属性ai的取值， ai表示属性的数字序号， a1≤ai≤ an， a1,a2,…,an称为第一组数字序号， 属性权威选择一个d ‑1阶多项式P(x)且P(0)＝1， 对每 一个ai计算： 对每个N+1≤j≤N+d ‑1计算： sj＝g21/r·P(j)权　利　要　求　书 1/4 页 2 CN 115189894 A 2其中， j为属性的数字序号； 并计算： 签名密钥生成： 属性权威将得到的n个 和d‑1个sj组合为集合S， n个 和t0组合为集合 T， 属性权威将SK＝<K1,K2,K3,S,T>作为签名密钥， 秘密发送给申请密钥的签名者。 4.根据权利要求3所述的一种可链接可溯源的定长的属性基环签名方法， 其特征在于， 签名生成阶段包括： 签 名 属 性 选 择 ：签 名 者 选 出 k 个 属 性 用 于 签 名 ，得 到 属 性 取 值 集 合 其中， 1≤k≤d； 从区间[N+1,N +d‑1]中选出d ‑k个整数， 分别命名 为bk+1,bk+2,…,bd， 最后得到集合B＝{b1,b2,…,bd}； b1,b2,bk,bk+1,bk+2,…,ba均为属性的数 字序号， 称为第二组数字序号， 第二组数字序号 为第一组数字序号的子集； 在集合B上和横坐标x＝0处， 对每一个整数bm∈B按下述公式计算拉格朗日系数 文件哈希： 签名者使用属性权威选择的哈希函数H， 以二进制方式输入待签名文件F， 得 到哈希结果h＝H(F)∈G1； 签名计算： 签名者计算签名主体： 其中， 根据bm的具体数值， 从集 合S与集合T中获得对应的 与 再计算两个链接标识SG2＝K2， SG3＝K3， 输出固定 长度的签名 σ ＝<SG1,SG2,SG3>。 5.根据权利要求2或4所述的一种可链接可溯源的定长的属性基环签名方法， 其特征在 于， 所述签名校验阶段的步骤 包括： 对于在属性取值集合 上， 对待签名文件F生成的固定长度的签名σ ＝<SG1,SG2,SG3>； 其中， 属性取值 集合每一元 素表示一个属性的取值， k 为属性数目； 验证者首先计算h＝H(F)和验证参数 然后， 借助运算服务器进行在 线验证， 选择转换密钥 θ 并计算在线验证参数： m1＝hX m2＝(g2X)θ 结 合 线 验 证 参 数 m1、m2与 以 及 签 名σ中 的 信 息 生 成 运 算 请 求 并发送给运 算服务器； 运算服务器计算校验参数： 权　利　要　求　书 2/4 页 3 CN 115189894 A 3