(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221075170 5.1 (22)申请日 2022.06.28 (71)申请人 福建师范大学 地址 350117 福建省福州市闽侯县上街 镇 学府南路8号福建师 范大学旗山校区 (72)发明人 李继国　朱留富　黄欣沂　赖建昌　 张亦辰　 (74)专利代理 机构 福州元创专利商标代理有限 公司 35100 专利代理师 郭东亮　蔡学俊 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 基于商密SM9的属性基在线/离线签名方法 与系统 (57)摘要 本发明提出基于商密SM9的属性基在线/离 线签名方法与系统， 所述系统包括属性授权端、 签名端和验证端； 所述属性授权端根据签名时的 安全参数 ， 产生主私钥 和公开参数 ； 还根据主私钥 、 公开参数 、 签名 端属性集合 和访问结构 A， 产生签名端公私 钥对 ； 所述签名端根据属性授权端产 生的公开参数 以及签名端私钥 ， 产生 离线签名 ； 还根据公开参数 、 签名端 属性集 、 离线签名 、 签名端私钥 以及 消息 ， 产生在线签名 ； 所述验证端 根据属性 授权端产生的公开 参数 ， 签名端公钥 ， 对消息M以及签名端产生的在线签名 来 验证签名的有效性； 本发明可以降低轻量级设备 在线阶段的签名计算代价， 并符合商密SM9标识签名标准。 权利要求书3页 说明书7页 附图1页 CN 115174104 A 2022.10.11 CN 115174104 A 1.基于商密SM9的属性基在线/离线签名系统， 其特征在于： 所述系统包括属性授权端、 签名端和验证端； 所述属性授权端根据签名时的安全参数λ， 产生主私钥msk和公开参数params； 还根据 主私钥msk、 公开参数params、 签名端属性集合ωj和访问结构A， 产生签名端公私钥对 所述签名端根据属性授权端产生的公开参数params以及签名端私钥 产生离线签 名σoff； 还根据公开参数params、 签名端属性集ωj、 离线签名σoff、 签名端私钥 以及消息 M， 产生在线签名 σon； 所述验证端根据属性授权端产生的公开参数params， 签名端 公钥 对消息M以及签 名端产生的在线签名 σon来验证签名的有效性。 2.基于商密SM9的属性基在线/离线签名方法， 基于权利要求1所述的基于商密SM9的属 性基在线/ 离线签名系统， 其特 征在于： 所述签名方法包括以下步骤： 步骤S1： 向属性授权端输入安全参数 λ， 属性授权端输出主私钥m sk和公开 参数param s； 步骤S2： 向属性授权端输入主私钥msk、 公开参数params、 签名端属性集ωj和访问结构 A， 属性授权端输出签名端公私钥对 步骤S3： 向签名端输入公开 参数param s以及签名端私钥 签名端输出离线签名 σoff； 步骤S4： 向签名端输入公开参数params、 签名端属性集ωj、 离线签名σoff、 签名端私钥 以及消息 M， 签名端输出针对消息 M的在线签名 σon； 步骤S5： 向验证端输入公开参数params， 签名端公钥 消息M以及在线签名 σon； 若消 息M的签名有效， 则验证端输出ac cept； 否则， 验证端输出reject。 3.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法， 其特征在于： 所述 步骤S1包括以下步骤： 步骤S11： 属性授权端输入安全参数λ， 生成一个双线性配对元组BP＝(G1， G2， GT， e， p)， 其中e： G1×G2→GT， p是一个大 素数， |p|＝ λ； 属性授权端随机 选取G1的生成元P1， G2的生成元P2； 属性授权端选取系统属性域U＝{att1， att2， ...， attu}， 其中 u＝ |U|， 属性授权端定义算法 将属性集ω转换为一个二进制标识IDω， 其中 定义如下： 输入属性集ω， 系统属性域U； 令IDω[i]表示IDω的第i位， 若atti ∈ω， 令IDω[i]＝1； 否则， 令IDω[i]＝0； 其中1≤i≤u， u＝| U|。 最后， 算法输出IDω； 步骤S12： 属性授权端随机 选取 计算Ppub＝α P2， g＝e(P1， Ppub)； 步骤S13： 属性授权端选取两个哈希函数H1： H2： 并随机选取1 比特私钥生成函数 标识hid∈{0， 1}； 步骤S14： 属性授权端输出主私钥m sk＝α 和公开 参数权　利　要　求　书 1/3 页 2 CN 115174104 A 2params＝(BP， P1， P2， Ppub， g， U， hid， H1， H2)     公式一。 4.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法， 其特征在于： 所述 步骤S2具体包括以下步骤： 步骤S21： 属性授权端输入访问策略A＝{A1， A2， ...， An}， 其中 n＝|A |， 算法 签名端属性 集 主私钥msk以及公开 参数param s； 步骤S22： 属性授权端利用算法 将访问策略A＝{A1， A2， ...， An}以及签名端属性 集ωj转换成二进制标识集 合 和二进制标识 步骤S23： 属性授权端随机 选取 计算签名端私钥 其中 sk2＝rs      公式三； 计算签名端公钥 步骤S24： 属性授权端输出签名端公私钥对 5.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法， 其特征在于： 所述 步骤S3具体包括以下步骤： 步骤S31： 签名端输入公开 参数param s， 签名端私钥 步骤S32： 签名端随机 选取 计算w＝gr， l＝sk2·(r‑k)mod p， S＝l·sk1； 步骤S33： 签名端输出离线签名 σoff＝(r， k， w， S)。 6.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法， 其特征在于： 所述 步骤S4具体包括以下步骤： 步骤S41： 签名端输入公开参数params， 离线签名σoff， 签名端私钥 签名端属性集 ωj以及消息 M； 步骤S42： 签名端利用算法 将签名端属性 集ωj转换成一个二进制标识 步骤S43： 签名端计算： h＝H2(M||w， p)， τ ＝(r ‑h)(r‑k)‑1mod p， 步骤S44： 签名端输出在线签名 σon＝(h， τ， y， S)。 7.根据权利要求2所述的基于商密SM9的属性基在线/离线签名方法， 其特征在于： 所述 步骤S5具体包括以下步骤： 步骤S51： 验证端输入消息签名对(M， σon)， 签名端公钥 以及公开 参数param s； 步骤S52： 验证端判断等式 是否成立， 若不成立， 则终止执行； 否则继续执行以 下步骤； 步骤S53： 验证端计算t＝gh， P＝yP2+Ppub， β ＝e( τ·S， P)， w′＝β·t以及h2＝H2(M||w′， p)；权　利　要　求　书 2/3 页 3 CN 115174104 A 3