1.一种基于属性的可链接网络环签名方法，所提方法过程如下：(1)系统建立阶段

a)系统公开参数生成

首先，属性授权中心AA在有限域 中随机选择一个整数α作为系统主密钥MSK，其中q为大于2512的安全素数；然后，属性授权中心AA随机选取两个阶为p的循环乘法群G1、G2，并定义双线性映射e:G1×G1→G2；最后，属性授权中心AA从群G1中随机选择两个元素作为公钥一g1和公钥三g3，同时将公钥一g1进行模指数运算得到公钥二 利用公钥二g2、公钥三g3进行双线性对运算生成公钥四g4，g4＝e(g2,g3)；

属性授权中心AA将输出公开参数PK＝{G1,G2,e,g1,g2,g3,g4}，并将系统主密钥MSK＝α秘密保存；

b)散列函数的选取

属性授权中心AA定义三个散列函数，首先是文件散列函数H1：H1:m→G，其中m→G为文件m映射为循环乘法群G1上元素的散列运算；其次是函数散列函数H2：H2:wi→G，其中wi→G为属性wi映射为群G1上元素的散列运算；最后是身份散列函数 其中为将任意长度的{0,1}字符串映射为有限域 上元素的散列运算；最后，属性授权中心AA将散列函数H1、H2、H3公布；

(2)属性密钥生成阶段

a)Shamir秘密共享多项式生成

假定用户ID根据其拥有属性集合WID＝{WID,1,…,WID,i,…,WID,I}，其中wID,i为用户属性集合WID的第i个属性，向属性授权中心AA进行密钥申请；

属性授权中心AA收到用户ID密钥申请后，随机选取d-1阶多项式f(x)，其中d为AA预定义恢复秘密的门限值，其中f(0)＝α，其余系数为AA在有限域 中随机选取的d-1个元素；

b)属性密钥产生

首先，对于用户拥有的属性WID＝{WID,1,…,WID,i,…,WID,I}，属性授权中心AA为每一个属性i∈WID随机选择一个整数tID,i，同时利用公钥三g3、函数散列函数H2以及身份散列函数H3生成属性密钥一S1,i， 然后，属性授权中心AA利用身份散列函数H3与公钥一生成属性密钥二S2,i，

c)属性密钥传送

首先，属性授权中心AA将属性密钥一 属性密钥二秘密发送给用户ID；

(3)签名阶段

网络服务器给定待签名文件m，并随机选取N个属性作为声明签名属性集合W*: *

其中 为声明签名属性集合W第n个声明签名属性子集；

当用户ID访问网络服务时，签名者即用户ID从声明签名属性集合W*和其用户属性集合WID的交集中，随机选出d个属性，构成签名属性集合W′ID，W′ID＝{wID',1,…,wID',i,…,wID',d}；

其中，wID',i为签名属性集合W′ID的第i个属性；

a)第一签名生成

首先，签名者计算第一部分签名σ1的第一部分σ1,1，σ1,1＝H1(m)v，其中 为签名者选择的文件随机因子；

然后，签名者选择随机数 得到T＝g1t，并将T作为链接标签，进而计算出σ1的第二部分σ1,2， 其中， 为签名者随机选取出的签名属性集合中属性wID',i的属性随机因子； 为多项式f'(x)在x＝0处的拉格朗日系数，其计算方法为 其中wID',j为W′ID中的第j个元素，且j≠i；

其次，计算σ1的第三部分签名σ1,3， 其中 是声明属性集合W*与签名属性集合W′ID的差集W*\W′ID中的第i个属性， 是签名者为W*\W′ID中的每一个属性选取的相应的属性随机因子；

最后，签名者将签名σ1,1、σ1,2、σ1,3进行乘法运算，得到第一部分签名σ1：σ1＝σ1,1σ1,2σ1,3；

b)第二签名生成

签名者利用上述在有限域 随机选取文件随机因子v，计算出文件m的签名σ第二部分签名σ2：σ2＝g1vc)第三签名生成

签名者利用上述选取的属性随机因子r′i、ri#，进而计算得出文件m的签名σ的第三部分签名σ3：d)第四签名生成

签名者通过以下方式计算出文件m的第四部分签名：当wID',i∈W′ID，计算：

当 计算：

e)输出签名

签名者将产生的签名 传输给网络服务

器；

(4)验证阶段

当网络服务器接收到运用上述签名算法生成的签名后，进行如下验证，验证该签名是否合法：如果上面等式(1)两端成立，则表明该签名是合法的；否则，则表明该签名是不合法的；

(5)可链接性验证

网络服务器收到两个不同的文件m和m′使用上述签名算法生成的签名，分别为σ(m): 和σ(m′)：其中；σ′1为签名者采用第(3)签名阶段中a步骤为消息m′生成的第一签名，σ′2为签名者采用第(3)签名阶段中b步骤为消息m′生成的第二签名，σ′3为签名者采用第(3)签名阶段中c步骤为消息m′生成的第三签名， 为签名者采用第(3)签名阶段中d步骤为消息m′生成的第四签名，T′为签名者采用第(3)签名阶段中a步骤为消息m′生成链接标签；

进行如下验证：

若等式T＝T′成立，则判定文件m的签名σ(m)和文件m′的签名σ(m′)签名具有可链接性；

否则，判定文件m的签名σ(m)和文件m′的签名σ(m′)签名不具有可链接性。