(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210378519.8 (22)申请日 2022.04.12 (71)申请人 福建师范大学 地址 350117 福建省福州市闽侯县上街 镇 学府南路8号福建师 范大学旗山校区 (72)发明人 李继国　朱留富　张亦辰　 (74)专利代理 机构 福州元创专利商标代理有限 公司 35100 专利代理师 陈鼎桂　蔡学俊 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 前向安全的高效属性基可净化签名系统及 方法 (57)摘要 本发明涉及一种前向安全的高效属性基可 净化签名系统及方法， 包括以下步骤： 属性授权 端输入安全参数， 输出主密钥和公开参数； 属性 授权端输入主密钥、 公开参数、 签名端属性和初 始时间片段， 输出签名端在初始时间片段的密 钥； 签名端输入公开参数、 当前时间片段的密钥 和后续时间片段， 输出后续时间片段的密钥； 签 名端输入签名端属性、 签名端密钥、 签名策略、 净 化端属性、 公开参数和消息， 输出签名和秘密值 集合； 净化端输入可净化消息索引、 消息、 公共参 数、 签名、 签名端属性、 净化端属性和签名端发送 的秘密值集合， 输出净化消息和净化签名； 验证 端输入净化消息签名对、 公开参数、 当前时间片 段、 签名端属性和净化端属性， 验证签名的有效 性。 该方法及系统可 以缓解密钥泄露问题， 并对 签名中的敏感信息进行修改生成净化签名。 权利要求书4页 说明书9页 附图1页 CN 114760069 A 2022.07.15 CN 114760069 A 1.一种前向安全的高效属性基可 净化签名系统， 其特 征在于， 包括 属性授权端， 用 于产生主密钥msk和公开参数params； 用 于根据主密钥msk、 公开参数 params、 签名端属性 集合ωa和和初始时间片段t0， 产生签名端在 初始时间片段的密钥 签名端， 用于根据公开参数params、 当前时间片段tj的密钥 和后续时间片段tj′， 产 生后续时间片 段tj′的密钥 用于根据消息M、 签名策略Fd， S(·)、 签名端属性集合ωa、 签 名端密钥 净化端属性 集合ωb和公共参数param s， 产生签名 σ 和秘密值 集合SI； 净化端， 用于根据可净化消息索引集合IN、 消息M、 公共参数params、 签名σ 、 签名端属性 集合ωa、 净化端属性集合ωb和签名端发送的秘密值集合SI， 产生净化消息M ′和净化签名 σ′； 验证端， 用于根据净化消息签名对(M ′， σ′)、 公开参数params、 当前时间片段tj、 签名端 属性集合ωa和净化端属性 集合ωb， 验证签名的有效性。 2.根据权利要求1所述的前向安全的高效属性基可净化签名系统的签名方法， 其特征 在于， 包括以下步骤： 步骤S1： 属性授权端输入安全参数 λ， 输出主密钥m sk和公开 参数param s； 步骤S2： 属性授权端输入主密钥msk、 公开参数params、 签名端属性集合ωa和初始时间 片段t0， 输出签名端在 初始时刻的密钥 步骤S3： 签名端输入公开参数params、 当前时间片段tj的密钥 和后续时间片段tj′， 输出后续时间片段tj′的密钥 步骤S4： 签名端输入签名端属性集合wa、 签名端在时间片段tj的密钥 净化端属性集 合wb、 签名策略Γd， S(·)、 公开参数param s和消息M， 输出签名 σ 以及秘密值 集合SI； 步骤S5： 净化端输入可净化消息索引集合IN、 消息M、 公共参数params、 签名σ 、 签名端属 性集合ωa、 净化端属性集合ωb和签名端发送的秘密值集合SI， 输出净化消息M ′和净化签名 σ′； 步骤S6： 验证端输入净化消息签名对(M ′， σ′)、 公开参数params、 当前时间片段tj、 签名 端属性集合ωa和净化端属性集合ωb， 验证签名的有效性； 若签名有效则 输出accept， 否则 输出reject。 3.根据权利要求2所述的前向安全的高效属性基可净化签名系统的签名方法， 其特征 在于， 所述 步骤S1具体为： 步骤S11： 属 性授权端输入安全参数λ， 生成两个p阶双线性乘法循环群G1和G2， 其中p是 大素数， |p|＝ λ； e： G1×G1→G2是双线性映射； 并设T＝2l为总时间片段， 其中l为时间二叉树结构的层数； 定义U＝{1， 2， ...， n+d}为属 性域集合， Ω＝{ω1， ω2， ...， ωd‑1}(ωi∈Zp)为缺省属性集合， 其中n为常数， d为系统门 限 值； 设 定义拉格朗日系 其中Zp＝{0， 1， 2， . ..， p‑1}； 步骤S12： 属性授权端随机选取 计算Z＝e(g， g)α， 其中g是G1的生成元， 步骤S13： 属性授权端随机选取G1中的元素fa、 fb、 h0、 w0， 随机选取集合H＝(h1， ...， hl)、权　利　要　求　书 1/4 页 2 CN 114760069 A 2F＝(f1， ...， fη)， 其中hi∈G1， i∈{1， 2， ...， l}， wi∈G1， i∈{1， 2， ...， nm}， fi∈G1， i∈{1， 2， . ..， η }， nm是消息的长度， η＝ n+d‑1； 步骤S14： 属性授权端输出主密钥msk＝α和公开参数params＝{G1， G2， e， g， h0， w0， fa， fb， H， W， F， T， U， Ω， Z}。 4.根据权利要求2所述的前向安全的高效属性基可净化签名系统的签名方法， 其特征 在于， 所述 步骤S2具体为： 步骤S21： 属性授权端输入主密钥msk＝α、 公开参数params＝{G1， G2， e， g， h0， w0， fa， fb， H， W， F， T， U， Ω， Z}、 签名端属性 集合ωa和初始时间片段t0， 其中 步骤S22： 属性授 权端选择一个d ‑1次多项式q(x)， 满足 q(0)＝α； 对于i∈wa， 属性授权端 随机选取ri∈Zp， 计算： 步骤S23： 属性授权端随机 选取ri， v∈Zp， 计算 其中 v表示某一层上的节点， bv∈{0， 1}k， 0表示左子节点， 1表示右子节点， |bv|＝k， k表示v所在的层数， bv[i]表示bv中的第i位； 步骤S24： 属性授权端输出签名端在t0时间片段的密钥 其 中i∈wa。 5.根据权利要求2所述的前向安全的高效属性基可净化签名系统的签名方法， 其特征 在于， 所述 步骤S3具体为： 步骤S31： 签名端输入 当前时间片段tj的密钥 后续时间片段tj′和公共参数params， 并将当前时间片段密钥 表示成以下形式： 步骤S32： 签名端随机选取r ′i∈Zp， 其中i∈wa； 随机选取ri， v′∈Zp， 其中 其中 表示节点 到根节点路径 上所有 节点的集 合， R(v′)表示v′的右子节点； 计算： 步骤S33： 签名端输出后续时间片段tj′的密钥 并删除当 前时间片段tj的密钥 6.根据权利要求2所述的前向安全的高效属性基可净化签名系统的签名方法， 其特征 在于， 所述 步骤S4具体为：权　利　要　求　书 2/4 页 3 CN 114760069 A 3