(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210755230.3 (22)申请日 2022.06.29 (71)申请人 福建师范大学 地址 350117 福建省福州市闽侯县上街 镇 学府南路8号福建师 范大学旗山校区 (72)发明人 李继国　陈宇　张亦辰　易鹏　 (74)专利代理 机构 福州元创专利商标代理有限 公司 35100 专利代理师 郭东亮　蔡学俊 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 具有服务器辅助验证的基于属性的可净化 签名方法及系统 (57)摘要 本发明提出具有服务器辅助验证的基于属 性的可净化签名方法及系统， 包括： 属性授权端， 产生系统主密钥和公开参数； 还根据系统主密 钥， 公开参数和签名端属性， 生成私钥； 服务器， 根据公开参数， 验证公钥， 转化签名， 计算中间签 名； 净化端， 根据公开参数， 消息， 允许净化的索 引集合， 净化私钥， 计算净化签名； 签名端， 根据 私钥， 公开参数， 访问策略和消息， 计算净化私钥 和签名； 验证端， 根据公开参数,转换密钥,净化 后的消息,净化签名,计算转化签名和中间签名； 还根据公开参数， 中间签名， 访问策略， 转换密 钥,验证净化签名的有效性； 本发明在保证可靠 性的前提下， 提高资源受限设备的访问控制和匿 名认证效率， 同时也能支持隐藏部分敏感签名信 息。 权利要求书4页 说明书8页 附图1页 CN 115174105 A 2022.10.11 CN 115174105 A 1.具有服务器辅助验证的基于属性的可净化签名系统， 其特征在于： 所述系统用于在 发送消息的可靠性签名验证时， 隐藏敏感签名信息， 包括属性授权端、 服务器、 净化端、 签名 端和验证端； 所述属性授权端， 用于产 生系统主密钥msk和公开参数params， 还根据系统主密钥msk， 公开参数param s、 签名端属性ω来 生成签名端所需私钥skω； 所述签名端根据访问策略Γ、 公开参数params、 需发送消息M和属性授权端提供的私钥 skω， 生成净化私钥spk和签名 δ； 把私钥skω、 净化私钥spk和签名提供 给需发送消息的用户； 用户在发送消息前， 先把签名后的消息和相关净化设定提供 给净化端； 所述净化端根据允许公开的参数params、 消息M、 允许净化的索引集合Is、 净化私钥spk 来计算净化签名 δ'； 所述验证端根据公开参数params、 转换密钥tk、 消息M、 净化签名 δ'来计算转化签名 和 中间签名 还根据公开参 数params、 中间签名 访问策略Γ、 转换密钥tk来验证净化签名 的有效性； 所述验证端包括以公开 参数param s、 转化签名 计算中间签名 的服务器； 当验证端对净化签名验证通过后， 用户收到的净化后的消息和净化签名方可对外发 送。 2.具有服务器辅助验证的基于属性的可净化签名方法， 基于权利要求1所述的可净化 签名系统， 其特 征在于： 所述可 净化签名方法的工作流 程包括以下 方法； 方法A1： 签名端发送属性集合给属性授权方请求属性私钥， 属性授权方核验签名端属 性是否满足访问策略， 如果满足访问策略， 属性授权方将生成属性私钥， 通过安全信道发送 给签名端的用户； 方法A2： 用户收到属性私钥后， 在发送消息前先对消息进行签名； 然后从公开参数中， 随机选择一个来自Zp群集合的数作为净化端的净化私钥和选定一个允许修改范围的索引 集合Is， 通过安全信道发送给 净化端； 方法A3： 净化端接收到签名， 净化私钥和索引集合Is后， 通过相关等式验证签名是否来 自签名端用户， 如果等式成立， 净化端接受净化签名， 通过接收到的净化私钥和索引集合生 成净化签名； 方法A4： 净化端通过公共信道发送净化签名给验证端， 验证端接收签名； 方法A5： 为了在验证阶段降低配对运算带来昂贵的计算开销， 验证端随机选择一个秘 密值作为 转换密钥， 将净化签名进行计算 生成转换签名， 然后将其发送给验证端的服 务器； 方法A6： 服 务器接收转换签名后， 运行辅助验证算法生成中间签名并返回给验证端； 方法A7： 验证端接收中间签名后， 先用选定的转换密钥 对部分签名进行计算， 然后验证 端核验计算结果是否等同于服务器所返回的中间签名， 如果等式成立， 则验证端判定净化 签名有效， 用户接收的净化后的消息和净化签名可用于对外发送， 否则， 验证端判定净化签 名无效， 禁止用户接收的净化后的消息和净化签名对外发送。 3.根据权利要求2所述的具有服务器辅助验证的基于属性的可净化签名方法， 其特征 在于： 在方法A1中， 包括以下步骤； 步骤S1： 属性授权端输入安全参数 λ， 输出系统主密钥m sk和公开 参数param s；权　利　要　求　书 1/4 页 2 CN 115174105 A 2步骤S2： 属性授权端输入m sk， param s， 访问策略Γ和签名端属性ω， 输出私钥skω； 在步骤A2至步骤A3中， 包括以下步骤； 步骤S3： 签名端的用户向签名端输入私钥skω、 公开参数params、 访问策略Γ、 消息M， 签 名端向净化端输出 净化端的私钥spk、 可 净化的消息索引集 合Is和签名(M, δ )； 步骤S4： 净化端输入公开参数params、 净化私钥spk、 签名(M, δ )和集合Is， 向验证端输出 净化签名(M' , δ')； 在步骤A5中， 包括以下步骤； 步骤S5： 验证端输入公开参数params， 转换密钥tk， 消息M'， 净化签名 δ'， 向验证端服务 器输出转 化签名 步骤S6： 验证端服 务器端输入公开 参数param s， 转化签名 输出中间签名 步骤S7： 验证端输入公开参数params， 中间签名 访问策略Γ， 转换密钥tk， 如果签名 有效则输出1， 否则输出0 。 4.根据权利要求3所述的具有服务器辅助验证的基于属性的可净化签名方法， 其特征 在于： 所述 步骤S1具体包括以下步骤： 步骤S11： 设G1和G2为p阶的乘法群， g是G1的生成元， 属性授权端随机选择一个a∈Zp， 计 算g1＝ga， 其中Zp＝{0,1,2, …,p‑1}； 步骤S12： 属性授权端随机选择g2,u',u1,…,un,k0,k1…,kl+d‑1∈G1并且计算Z＝e(g1, g2)， 其中主密钥MK＝a， 公开参数以公式表述 为： params＝(p,G1,G2,e,g,g1,g2,u',u1,…,un,k0,k1…,kl+d‑1,Z)   公式一； 所述步骤S2具体包括以下步骤： 步骤S21： 对于属性授权端随机选择一个d ‑1多项式q(x)， 其中q(0)＝a； 然后随机选择 一个属性全域U， 其中|U|＝l， 并且随机选择含有d ‑1个虚拟属性的集合Ω＝{l +1,l+2,…,l +d‑1}； 步 骤 S 2 2 ：关 于 每 个 i ∈ ω ∪ Ω ，属 性 授 权 端 随 机 选 择 ri∈ Zp,计 算 则用户的私钥以公式表述 为 5.根据权利要求3所述的具有服务器辅助验证的基于属性的可净化签名方法， 其特征 在于： 所述 步骤S3中， 用户签名的计算具体包括以下步骤： 步骤S31： 用户拥有关于签名端属性ω的私钥skω来生成关于消息M＝(m1m2…mn)∈{0, 1}n的签名， 令Γ＝ω*， 其中ω*至少有k个属性； 用户随机选择含有k个元素的集合 和d‑k个元素的集合 令S＝ω'∪Ω'， 其中Ω'＝{l+1,l+2, …,l+d‑ k}。 用户随机选择r,s∈Zp并且计算 作为净化者私钥spk和允许净化的索引集合Is发送给 净化者端， 然后计算签名， 公式为：权　利　要　求　书 2/4 页 3 CN 115174105 A 3