门限方案范文-盘古文库

门限方案范文

来源：莲生三十二

作者：开心麻花

2025-09-19

门限方案范文（精选7篇）

门限方案第1篇

在一般的使用公开密钥的密码学系统中允许一个使用者(Bob)用一串由权威机构认证的与身份无关的字符串来充当他的公钥。但是当一个第三者(Alice)想法送一份秘密消息给Bob时她必须首先要从一个权威的密钥管理机构取得Bob的公钥,这就造成了公钥管理的瓶颈问题:任何人想要传递信息必须首先从权威管理机构取得相应的公钥,加重了公钥管理的负担。出于效率和使用方便的考虑,有必要建立一个不需要权威管理机构的密钥系统。

为了解决这一问题,Shamir于1984年在文献[1]中提出了基于身份的公钥密码系统。在这一新的公钥密码系统中,使用者的公钥就是自己的身份信息,而使用者的私钥通常是由一个可信的第三方根据身份信息(一般可以用使用者的名字,地址等)来计算的。与以前的公钥密码系统相比,基于身份的公钥密码系统能立即确定使用者的真实身份和获得其公钥,这就避免了身份的验证工作和密钥管理机构的公钥分发瓶颈问题。

自从Shamir于1984年在文献[1]中提出了第一个基于身份的签名方案以来,许多基于身份的签名[2,3,4]相继提出,然而这些方案都有着一个缺陷:权威机构知道使用者的私钥,若权威机构不可信则会造成不可挽回的损失。为了解决这一问题就提出了基于身份的门限群签名方案。在基于身份的群签名方案中,签名是由一群人而不是由个人来产生的,为了产生一个群签名必须由n个参与者当中的t个以上的人来合作才能共同产生,这就是(t,n)门限签名方案。而一个基于ID的(t,n)门限签名方案则要求:(1) t个或者t个以上的人合作可以在不暴露子秘密的情况下产生合法的签名;(2) 任意的t-1个或更少的人合作即使在有任意多个合法签名的情况下也不能生成合法签名;(3) 任意的验证者只要知道这群签名者的身份就可以验证签名的正确性。

1 预备知识

1.1 双线性函数

G是由P生成的阶为q(素数)的循环加群,V是一个同样q阶的循环乘群, $\hat{e}$ :GGV是一个满足以下性质的映射。

(i) 线性对任意的P,Q,R∈G,有

$\hat{e} (Ρ, Q + R) = \hat{e} (Ρ, Q) \hat{e} (Ρ, R)$ 。

且对任意a,b∈Zq,有

$\hat{e} (a Ρ, b Ρ) = \hat{e} (Ρ, Ρ)^{a b} = \hat{e} (Ρ, a b Ρ) = \hat{e} (a b Ρ, Ρ)$ 。

(ii) 非退化性:存在P,Q∈G使 $\hat{e} (Ρ, Q) \neq 1$ 成立。

(iii) 可计算性:对于任给的P,Q∈G, $\hat{e}$ (P,Q)都能够有有效的计算方法。

1.2 GDH群(Gap Diffie-Hellman Groups)

G是由P生成的阶为q(素数)的群。

(i) 对任给的P,aP,bP,cP∈G,判断是否有c=ab在Z/Zq。如果有c=ab成立,则称(P,aP,bP,cP)为一个Diffie-Hellman(DH)tuple.

(ii) CDH问题是对于任给的P,aP,bP计算abP。

(iii) Gap Diffie-Hellman(GDH)群: 如果对于一个群G来说,DDH问题能够有效地解决而CDH问题是NP问题,则称这个群G为Gap Diffie-Hellman(GDH)群。

1.3 基于ID的公钥密码系统

基于ID的公钥密码系统通常允许使用者用个人的名字,地址,email 等作为个人的公钥,而私钥通常是由一个可信的第三方(PKG)来帮忙计算并通过安全信道传输给个人的。

基于ID的公钥密码系统就可以通过以下的步骤来实施:(1) G是由P生成的阶为q(素数)的循环加群,V是一个同样q阶的循环乘群,一个双线性对就是函数 $\hat{e}$ :GGV;并且需要一个Hash函数H:{0,1}*G。(2) PKG首先随机地选择一个数s∈Z*q并且计算Ppub=sP,接着他公布参数{G,V, $\hat{e}$ ,q,P,Ppub,H};保密s作为他的私人秘钥;(3) 系统的使用者向PKG验证自己的身份并将自己的身份信息传输给PKG。PKG计算dID=sQID=sH(ID)作为使用者的私钥并通过安全信道将其发送给使用者。

2 基于ID的(t,n)门限签名方案

方案是以SOK-IBS[5]方案为基础的, 由以下几个步骤组成。

2.1 参数生成阶段

首先取一秘密的常数k。G是一个阶数为q(q>2k)的由P生成的GDH群, $\hat{e}$ :GGV是一个双线性函数。任选一个数s∈Z*q并且计算Ppub=sP,保密s作为私人秘钥,Ppub作为公钥。选择Hash函数H1,H2:{0,1}*G。记参与者集合为PS={P1,P2,,Pn},并且Pi的私钥为di∈G。

2.2 使用者的私钥生成阶段

PKG在收到使用者的身份信息ID后计算QID=H1(ID)∈G,dID=sQID∈G,并将dID通过安全信道发送给使用者。

2.3 秘密分发阶段

每一位参与者Pi∈Ps随机地选择一个t-1阶的多项方式

$f_{i} (x) = \sum_{l = 1}^{t - 1} a_{i l} x^{l} + a_{i 0}$ 。

并且公布Ail=ailP(l=0,1,,t-1),接着每一位参与者Pi通过安全信道将fi(j)发送给Pj(j≠i)。若相等则继续,否则Pj向Pi发出抱怨断定Pi为欺骗者,将Pi逐出。继续这一过程直到没有欺骗者为止。接下来每一位参与者Pi计算它的秘密份额 $r_{i} = \sum_{k = 0}^{t - 1} f_{k} (i)$ 并公布他的公开参数Ui=riP。

2.4 签名生成阶段

假设在n各参与者当中有t个参与者D=(P1,P2,,Pt)参与了签名。则对消息m的签名有以下步骤生成(1)每一位参与者Pi由拉格朗日插值公式计算 $U = \sum_{i = 1}^{t} η_{i} U_{i}$ ,其中

ηi=∏ $_{j \neq i}^{j \in {1, 2, \dots, t}}$ j/(j-i),

并且H=H2(m,U)。(2)每一位参与者Pi计算他的部分签名Vi=riH,并记σi=(Ui,Vi)。每一位参与者Pi将他的σi=(Ui,Vi)发送给Pj(j≠i)。(3)当每一位参与者Pi受到σi=(Ui,Vi)后,他验证是否有 $\hat{e} (Ρ, V_{i}) = \hat{e} (U_{i}, Η)$ 若上式成立则接受σi=(Ui,Vi)为消息m的合法部分签名,否则拒绝。若每一个部分签名σi=(Ui,Vi)都合法则计算 $V = \sum_{i = 1}^{t} η_{i} V_{i}$ 。并将(m,(U,V))作为消息m的签名。

2.5 签名的验证阶段

每一位验证者在收到消息m和它的签名(m,(U,V))后通过验证下式

$\hat{e} (Ρ, V) = \hat{e} (U, Η)$

是否成立来判断签名的合法性。若上式成立,则接受(m,(U,V))作为消息m的合法签名,否则拒绝。

3 方案的分析

3.1 方案的正确性

验证方案在抗欺骗性方面的正确性。在节2.3秘密的分发阶段是通过每一位参与者Pj在收到fi(j)之后计算fi(j)P看是否与 $\sum_{l = 0}^{t - 1} j^{l} A_{i l}$ 相等来判断Pi是否进行了欺骗。则每一位参与者正确执行方案的情况下有

诚实的参与者可以通过验证证实自己提供秘密的正确性,而欺骗者不能通过验证。

方案验证方面的正确性。在节2.5签名的验证阶段,每一位验证者在收到消息m的签名(m,(U,V))后是通过验证 $\hat{e} (Ρ, V) = \hat{e} (U, Η)$ 是否成立来签名的合法性下面将证明其正确性。

$\begin{array}{l} \hat{e} (Ρ, V) = \hat{e} (Ρ, \sum_{i = 1}^{t} η_{i} V_{i}) = \hat{e} (Ρ, \sum_{i = 1}^{t} η_{i} r_{i} Η) = \\ \hat{e} (\sum_{i = 1}^{t} η_{i} r_{i} Ρ, Η) = \hat{e} (\sum_{i = 1}^{t} η_{i} U_{i}, Η) = \hat{e} (U, Η) 。 \end{array}$

合法的签名将能够通过验证。

3.2 方案的安全性

方案完全能够达到基于ID的(t,n)门限签名方案则要求:(1) t个或者t个以上的人合作可以在不暴露子秘密的情况下产生合法的签名,由于使用的是Shamir的门限体制因此任意t个或者t个以上的人合作可以恢复密钥产生合法的签名,而且签名的过程中不需要暴露子秘密故可以在不暴露子秘密的情况下产生合法的签名;(2) 任意的t-1个或更少的人合作即使在有任意多个合法签名的情况下也不能生成合法签名,使用的Shamir的门限体制当中任意的t-1个或更少的人合作不能恢复正确的密钥因此不能产生合法的签名,同时由于签名体制是以SOK-IBS签名体制为基础的,SOK-IBS签名体制可以抵抗已知消息的攻击,故在有任意多个合法签名的情况下也不能生成合法签名;(3) 任意的验证者只要知道这群签名者的身份就可以验证签名的正确性,签名方案的正确性是通过验证 $\hat{e} (Ρ, V) = \hat{e} (U, Η)$ 的成立与否来验证签名的合法性的,每一个验证者在收到(m,(U,V))后都可以通过H的计算来验证签名。

4 结论

运用双线性函数提出了一个基于ID的门限群签名方案,它解决了在基于ID的签名方案中, 当PKG的权力过大,知道所有使用者的私钥的问题。同时由于双线性函数的使用签名更短,更加计算简单。

参考文献

[1] Shamir A. Identity-based cryptosystems and signature schemes. In crypto’84, LNCS196, Springer-Verlag, 1984: 47—53

[2] Sakai R, Ohgishi K, Kasahara M. Cryptosystems based on pairing. InSCIS’00, 2000:26—28

[3] Hess F. Efficent identity based signature schemes based on pairings. In SAC’02 LNCS25-95, 2003:310—324

[4] Paterson K G. ID-based signature from pairings on elliptic curves. Avaiable from http://eprint.iacr.org/2002/004

一个基于GDH群的门限签名方案第2篇

关键词：门限签名,GDH群,分布式数字签名

0 引言

门限签名是门限密码学的一个主要研究内容, 也是群体密码学研究的一个热点, 它是普通数字签名的一个扩展, 在一个 ( t , n) 的门限签名方案中, 签名密钥分散到n 个成员的签名成员集合中, 签名密钥不直接参与签名过程, 由不少于t个成员的成员子集使用各自所拥有的部分密钥共同产生最终的签名结果, 而任何小于t个成员的子集都无法恢复密钥或者计算正确的签名结果。

2001年Boneh[1]等人提出了一种新的基于双线性对的短签名方案, 并且证明了这种方案在随机预言模型下, 能够抵御利用选择消息进行存在性伪造攻击, 该方案具有签名长度短, 计算效率和通信效率高等优点。Shamir[2]提出了基于身份的密码体制IDPKC (ID based public key cryptography) , 使用用户的名称、Email 地址等任意的字符串用于计算公钥, 委托密钥中心KGC产生该ID所对应的私钥, IDPKC的优点在于可以避免传统的基于证书的PKI系统中使用证书带来的维护成本高, 证书链处理过于繁琐等弊端。在本文中将L.Cha和L.Cheon[3]基于身份的签名方案加以改进, 提出了具有短签名特点的门限签名方案。

1 相关背景知识

1.1 双线性映射

G1和G2是具有素数阶q的循环群, G1为加法群, 而G2为乘法群, P是G1群的生成元, O为单位元, G1和G2中离散问题均是难解的。设映射e:G1G1G2满足下列条件:

(1) 双线性性 ∀P, Q∈G1, 满足e (P, Q+R) = e (P, Q) .e (P, R) , e (P+Q, R) =e (P, R) .e (Q, R) 。

由映射e的双线性可知:∀P, Q∈G1和a, b ∈Z $_{q}^{*}$ , 有e (aP, bQ) =e (P, Q) ab。

(2) 非退化性 ∀Q∈G1, 若e (P, Q) =1, 则P=Q。

(3) 可计算性 ∀P, Q∈G1, 存在有效计算e (P, Q) 。

我们可以用超奇异椭圆曲线上的weil对[1]或改造的Tate对来构造双线性对, 在这样的群G1上, 可以定义以下几个密码学问题:

(1) 离散对数问题给定P, Q∈G1, 找出n, 使得Q=nP, 若n存在。

(2) CDH问题给定 (P, aP, bP) 和未知的a, b ∈Z $_{q}^{*}$ , 计算abP。

(3) DDH问题给定 (P, aP, bP, cP) 和未知的a, b, c∈Z $_{q}^{*}$ , 判断等式ab=c。

CDH问题难解, 但是DDH问题易解的G1群称为GDH群。

1.2 基于Cha-Cheon身份的签名方案改进

L.Cha和L.Cheon基于身份的签名方案, 该方案的安全性建立在离散对数难解和CDH问题困难的基础上, 并已在随机预言模型下证明选择明文攻击是安全的。为了使得该方案应用在分布式签名中, 下面我们主要对以下方案的 (3) 和 (4) 进行了改进。具体描述如下:

(1) 系统建立

给定G1, G2, q, P如1.1节定义, H1:{0, 1}*G1Z $_{q}^{*}$ , H2:{0, 1}*G1是两个哈希函数, 私钥生成中心PKG随机选取s∈Z $_{q}^{*}$ , 计算Ppub=sP, 系统公开的参数是 (G1, G2, e, q, P, Ppub, H1, H2) , s是系统的主密钥。

(2) 密钥生成

假设一个用户的身份标识符为ID, 那么该用户的公钥为QID=H2 (ID) , PKG为用户计算的私钥是SID=s.QID, 并通过安全通道将该SID颁发给用户, 可以看出QID, SID∈G1。

(3) 签名算法

对给定消息m, 签名者随机选取r∈Z $_{q}^{*}$ , 计算:U=rP, h=H1 (m, U) , σ=hSID+rQID, 对消息m的签名为 (U, σ, h, QID, Ppub) 。

(4) 验证算法

若等式 (1) 成立则签名合法。

2 基于GDH群的门限签名方案

2.1 方案描述

设签名用户Dealer的标识符为ID, 那么QID=H2 (ID) , PKG计算其私钥为SID=sQID, 并通过安全通道发送给用户。令集合u={u1, u2, , un}为Dealer的n个签名用户, 把所有的用户都连接着一个广播信道和一个点对点信道。u中的t个成员 (或多于t个成员) 可以实现门限签名。Dealer在该方案中是诚实可信的, 不直接参与签名, Dealer仅仅将私钥SID分散给n个签名用户, 由其中t个或大于t个用户来完成消息的签名。

(1) 系统初始化

Dealer随机选取系数Ai∈G1, 其中i=1, 2, , t-1;令A0=SID, 构造多项式 $f (x) = \sum_{i = 0}^{t - 1} A_{i} x^{i}$ , Dealer通过该多项式给所有的用户计算部分私钥SIDi=f (i) , 其中i=1, 2, , n, 通过秘密通道将SIDi发送给ui, 并广播e (Aj, P) , j=1, 2, , t-1。

(2) 成员用户签名

1) 收到SIDi后验证:

$e (S_{Ι D i}, Ρ) = \prod_{j = 0}^{t - 1} e (A_{j}, Ρ)^{i^{j}}$ (2)

若等式 (2) 成立则保存该密钥, 否则要求重发部分密钥。并将e (SIDi, P) 发送给验证中心。用于部分签名的验证。

2) ui随机选择取ri∈Z $_{q}^{*}$ , 计算Ui=riP, 并广播给所有签名用户。

3) ui计算 $U = \sum_{i = 1}^{t} L_{i} U_{i}$ , h=H1 (m, U) , σi=hSIDi+riQID, 其中 $L_{i} = \prod_{j = 1, j \neq i}^{t} \frac{j}{j - i}$ 为Lagrange系数, 形成签名 (σi, Ui) 。

4) 验证部分签名:验证中心验证:

若式 (3) 不成立, 则用户ui被标记为不合格, 并检查用户是否被攻击, 并重新选择用户。

5) 验证中心收集n个签名用户的验证信息并验证, 未通过验证的成员被认为不合格, 排除在成员集合之外, 若验证通过的成员个数大于t个, 选择t个部分签名形成对消息的门限签名: $σ = \sum_{i = t}^{t} L_{i} σ_{i} = \sum_{i = 1}^{t} L_{i} (h S_{Ι D i} + r_{i} Q_{Ι D})$ , 同上Li是Lagrange系数。验证等式:

若式 (4) 成立则形成最终签名 (U, σ, h, Ppub, QID) , 否则签名无效。

2.2 方案的正确性证明

对1.2节等式 (1) 的证明:

对2.1节等式 (4) 的证明:

$\begin{array}{l} e (Ρ, σ^{'}) = e (Ρ, \sum_{i = 1}^{t} L_{i} (h S_{Ι D i} + r_{i} Q_{Ι D})) \\ = e (Ρ, h \sum_{i = 1}^{t} L_{i} S_{Ι D i}) . e (\sum_{i = 1}^{t} L_{i} r_{i} Ρ, Q_{Ι D}) \\ = e (Ρ, h S_{Ι D}) . e (U, Q_{Ι D}) \\ = e (Ρ_{p u b}, h Q_{Ι D}) . e (U, Q_{Ι D}) \end{array}$

3 安全性分析

(1) 方案可防止欺诈

在初始阶段, 若攻击者企图发送伪造的部分密钥欺骗ui, ui可以通过等式 (2) 验证发现是伪造的部分密钥, 验证中心通过等式 (3) 也可以发现内部不合格的签名用户或欺骗的签名用户。

(2) 方案可抵御伪造攻击

攻击者若已知部分签名或成员集合签名, 求解部分密钥或签名密钥的难度等价破解L.Cha和L.Cheon的基于身份的签名方案。

证明若攻击者g获得了部分签名即已知 (Ui, σi, h, Ppub, QID) , 企图获得部分私钥, 由于通过Ui=riP, 计算ri是DLP问题, 通过Ui=riP和QID求riQID是CDH难题, 因此不能利用σi=hSIDi+riQID求解部分签名密钥。求解SIDi的难度等价于破解L.Cha和L.Cheon的基于身份的签名方案。

4 结论

本文针对L.Cha和L.Cheon基于身份的签名方案进行改进, 使其应用在门限签名中。该方案基于GDH群的良好性质具有计算量小、通信量少等特点, 并具有防伪造和欺骗等安全性特性, 是一个安全有效的门限数字签名方案。

参考文献

[1]Boneh D, Franklin M.Identity-based encryption from the Weil pairing[G].In:Advances in Cryptology Crypto 2001, LNCS21391 Berlin:Springer-Verlag, 2001.213-229.

[2]Shamir A.Identity-based cryptosystems and signature schemes[G].In:Advances in Cryptology-Crypto‘84, LNCS 196.Berlin:Springer-Ver-lag, 1984.47-53.

[3]Cha JC, Cheon JH, An identity-based signature from Gap Diffie-Hell-man groups.Practice and Theory in Public Key Gryptography-PKC’2003, Berlin, Springer-Verlag 2003.18-30.

[4]彭长根, 张晓培, 李祥, 等.基于GDH群可证安全的门限签名方案[J].计算机科学, 2007, 34 (10) :110-111.

[5]彭华熹, 冯登国.一个基于双线性映射的前向安全门限签名方案[J].计算机研究与发展, 2007, 44 (4) :574-580.

[6]陈伟东, 冯登国.签密方案在分布式协议中的应用[J].计算机学报, 2005, 28 (9) :1421-1430.

[7]Shamir A.How to share a secret[J].Comnunications of the ACM, 1979, 22 (11) :612-613.

[8]Hess F.Efficient identity based signature schemes based on parings[G].In:Selected Areas in Cryptograpy (SAC 2002) , Lecture Notes inComputer Sience 2595.Berlin:Springer-Verlag, 2002.310-324.

[9]Sakai R, Ohgishi K, Kasahara M.Cryptosysytems Based on Pairing[C]//Proc of SCIS’00.2000.

一种高效防欺诈的门限密钥托管方案第3篇

关键词：椭圆曲线密码,门限方案,密钥托管,密钥管理中心,状态树

0 引言

为平衡个人隐私保护与政府出于抵制网络犯罪和保护国家安全需要搭线窃听的矛盾, 美国政府于1993年4月公布了联邦加密标准议案。密钥托管的核心思想是提供一种密码算法, 使网络用户之间实现任意通信, 并且在必要时合法授权政府机构通过托管机构提供的信息恢复会话密钥。

迄今为止, 很多学者为密钥托管的安全性研究作出了贡献。但是密钥管理中心KMC的欺诈问题却没有得到很好的解决, 本文在解决前3种欺诈的基础上, 新引入了KMC的欺诈问题。方案中KMC托管了一小部分用户私钥碎片, 但它无法获知用户自选的私钥信息, 从而防止了KMC欺诈。本文基于状态树的 (t, n) 秘密共享来构造一种新的高效防欺诈的门限密钥托管方案, 回避了基于Lagrange多项式差值来构造的秘密共享方案运算开销大的缺点。同时, 出于保密性与效率的考虑, 选用高保密性的椭圆曲线密码系统来实现。

1 基于状态树 (t, n) 的门限秘密共享方案

基于状态数 (t, n) 门限共享方案的核心是构造状态树, 树中每个结点表示某个服务器分配到一份影子时的状态。状态信息包括:服务器编号ID、影子sd、影子序号sdNo。

建立状态树:①采取逐层递进的方式来建立此树;②同一层中, 各结点的子结点按服务器编号从小到大生成。

对该状态树的特征可作进一步限制:①该树是有序树;②树的深度为t;③根结点root的服务器编号、影子、影子序号皆为0, 表示还未开始对服务器进行影子分配的状态;④树的第一层有n-t+1个结点;⑤非叶结点的影子sd随机产生, 在以非叶结点为根的子树中, 各结点的服务器编号不能和此非叶结点的服务器编号相同;⑥不同结点的服务器编号相同时, 影子序号sdNo可以由该结点服务器编号出现的次数决定;⑦各叶结点的层次均为t, 叶结点的影子sd为共享秘密d减去从根结点到此结点的路径上所有其它结点影子的和。

当状态树生成以后, 从根结点到叶子结点的一条路径就对应了一种t台服务器参与运算重建秘密的情形。

2 新的密钥托管方案

2.1 系统描述

托管系统可定义成一个五元组, 其中k是要托管的密钥;A是要托管密钥的用户, 或称为托管方;T是托管代理Ti (i=1, 2, , n) 的集合, 负责托管加密会话密钥的密钥dA;E是被授权的监听部门;KMC是密钥管理中心, 负责颁发通信用户的公钥证书。所使用的会话密钥sk由用户A、B事先协商, sk用椭圆曲线密码体制来加密传送。在用户与托管机构之间、监听机构与托管机构之间分别建有安全信道。

系统采用了基于状态树的 (t, n) 门限秘密共享方案, 因此该方案具有计算量小, 效率高的特点。本方案用到了四种算法:E1 (M, sk) , E2 (sk, P) , S (y) , h (M) 。其中E1 (M, sk) 是标准分组加密算法 (如3DES, IDEA等) , 用会话密钥sk加密明文M。E2 (sk, P) 是椭圆曲线加密算法。S (y) 是签名算法。h (M) 是一个公开的Hash函数。

2.2 方案的设计

密钥管理中心KMC选择一个大的安全的素数p (或者是形为2m的大整数) 以及定义在其上的椭圆群EP (a, b) ;其次, 在EP (a, b) 中选择一个基点g= (x0, y0) , 使qg=0成立的最小q值是p-1的一个非常大的素数因子。这个q值是g的阶, 然后公开EP (a, b) 与g。若用户需要利用此系统进行通信, 则必须先向密钥管理中心注册申请公钥证书。系统将根据下面的密钥托管协议生成用户的私钥及公钥证书, 并对用户的私钥实施托管。具体步骤如下:

(1) 用户A向密钥管理中心申请托管业务, 由密钥管理中心发放其身份证IDA。

(2) 用户A自己选取部分私钥。用户A随机选取d′∈[1, q-1]作为自己的私钥并保留, 再计算d′g将其赋值给Y′, 只将得到的Y′传递给密钥管理中心KMC。

(3) 密钥管理中心收到Y′后, 再随机选取两个值g, d″∈[1, q-1], 通过如下公式计算得到PA=d″g+Y′, y1=d″-tY′, y2=tg, 将PA公开, 把 (y1, y2) 回传给用户A。

(4) 用户A收到KMC发送的 (y1, y2) 后, 计算d″=y1+d′y2, dA=d′+d″, 那么得到的dA即是用户A的私钥, 其公钥为PA=d″g+d′g。用户将自己的私钥分别托管给KMC和n个托管代理。方法如下:首先用户拆分私钥dA=d0+d1+d2++dn, 将 (d0, P0) 传送给KMC, 其中p0=d0gmodp;然后选择n位托管代理, 将di (i=1, 2, , n) 作为影子通过加密信道发送给托管代理Ti (i=1, 2, , n) , 每一位托管代理Ti (i=1, 2, , n) 的私钥为di, 并将 (di, Pi) (其中Pi为托管代理Ti的公钥) 秘密地发给托管代理。这里采用基于状态树 (t, n) 门限秘密共享方案。如:设t=2, n=3, 设参与运算的影子服务器的编号为:1、2、3, 共享的秘密为d、rl、r2为随机整数, 生成的状态树如图1所示。

一旦生成该状态树, 进行秘密值d的重建时则非常简单。秘密处理者只需从5台服务器上任指定2台服务器, 服务器编号按照从小到大排列, 由状态树可知, 它对应了树中一条路径, 这两台服务器的影子之和即为秘密值d。最后, 用户A公开自己的签名信息。

(5) 当托管代理收到用户发送的di后, 每个托管代理先验证Pi=digmodp是否成立。若成立, 则认为托管的内容是有效的, 若是无效信息则可以要求用户重新发送。其次验证用户A的签名信息, 若两项都符合, 则托管代理生成相应的托管证书。该证书包含该用户的特定标示符UID、公钥Pi、托管代理的标示符和托管证书号。托管代理用自己的签名私钥对此信息签名后, 发给KMC。

(6) 密钥管理中心KMC收到每个托管代理的信息后, 验证托管证书的真实性, 并进一步通过公式 (1) 验证内容的完整性。

undefined

若成立, 则用户A的私钥确实进行了托管。如果全部通过, 颁发用户A的公钥证书, 否则通知用户A注册失败。

2.3 用户间的通信

假设用户B向用户A发送消息M, sk是本次通信的会话密钥, 由A、B事先协商, T是时戳, H是公开的Hash函数。B向A发送{E1 (M, sk) , E2 (E2 (sk, PA) , dB) , LEAF}。其中E2 (E2 (sk, PA) , dB) 实现了会话密钥的秘密传送;LEAF={E2 (sk, PA) , T, S (H (M, T) ) , B的证书}, 其中S (H (M, T) ) 为B用其签名私钥对H (M, T) 的签名;E2 (sk, PA) 符合公式 (2) 。

E2 (sk, PA) = (u, v) = (kg, Pm+kPA) ∈Ep (a, b) (2)

式 (2) 中Pm是sk在EP (a, b) 上的对应点;k∈[1, q-1], 是用户产生的随机数。

用户A接收到用户B发的消息后, 先用PB, dA恢复出事先协商好的sk, 再由sk恢复出消息M, 然后求H (M, T) 。若求得的结果满足签名方程, 即与收到的S (H (M, T) ) 中的H (M, T) 一致, A就确认所收到的M有效。通信过程如图2所示。

2.4 监听过程

当政府授权机构需要对某用户实行监听时, 监听机构需进行以下几个步骤:首先得到监听用户A, B间通信的许可证, 并将此证书分别出示给密钥管理中心KMC及任意t (t<=n) 个托管代理;当托管代理和密钥管理中心成功验证许可证的正确性和时效性后, 它们将分别计算Qi=d′iu (i=0, 1, 2, t) , 并将计算得到的Qi通过安全的信道交给监听机构, 这里设密钥管理中心为T′0, 它托管的密钥碎片为d′0, 而被选取的托管代理为T′i (i=1, 2, t) , 它们所托管的密钥碎片为d′i;最后监听机构通过以下工作来验证KMC及托管代理所托管的d′i的有效性。

①监听机构随机选取ei∈[1, q-1], 计算Wi=Qiei, 将Wi返回给KMC和T′i;②密钥管理中心KMC和托管代理T′i计算Ri=Wi (d′i) -1, 并把计算得到的Ri发送给监听机构, 这里d′i (d′i) -1≡1 (mod p) (i=0, 1, 2, t) ;③监听机构收到Ri后, 验证等式Ri=u ei是否成立, 若成立, 监听机构认为KMC和托管代理T′i (i=1, 2, , t) 诚实地出示了Qi=d′iu;否则, 内容是伪造的应追究责任。

通过验证后, 监听机构计算

undefined

由Pm得到sk后解密E1 (M, sk) 得到明文M, 计算H (M, T) 验证H (M, T) 是否满足签名方程, 若满足则说明M是有效的。

3 方案的安全性能分析

(1) 该方案具有极高的安全性。该方案的安全性是基于求解椭圆曲线上离散对数问题 (ECDLP) 的困难性以及 (t, n) 门限方案的任意t-1或更少的子密钥无法重构系统密钥的无条件安全性。方案中涉及的等式验证不泄漏子密钥的任何信息。

(2) 该方案可防止用户欺诈和密钥管理中心的欺诈。用户的密钥不再由用户独立选取, 而是采用了用户和密钥管理中心共同生成的方式, 因而该方案具有防止用户欺诈和密钥管理中心欺诈的作用。这里由于用户只掌握部分私钥选择权致使用户无法欺诈, 也避免了易受阈下信道攻击的缺点, 以及KMC对托管内容完整性的验证也可以避免用户逃避托管情况的发生。同时, 对于密钥管理中心来说, 除托管了一小部分用户私钥碎片外, 并无法获知用户自选的私钥信息, 从而防止了KMC的欺诈。

(3) 方案中, 只有当KMC验证完所有托管代理证书的有效性及托管内容的完整性后才颁发用户的公钥证书, 保证了每个托管代理所托管的用户私钥碎片的真实性, 从而确保了合法监听的有效实施。

(4) 一方面, 该方案可以防止托管代理的欺诈, 而另一方面, 可以方便监听机构重构密钥。对于出于非法意图, 妄想合谋的托管代理来说, 由于部分私钥信息被KMC掌握, 即使所有托管代理联合也无法恢复密钥。而该监听机制采用的是门限密钥托管方案, 所以在各托管代理中有一个或几个托管代理不愿合作或无法合作时 (假设不愿合作或无法合作的托管代理的数量为m, 只要满足n-m≥t) 监听机构仍能很容易地重构出会话密钥。

(5) 发送方在传递信息时添加一个时戳T, 并且对这个时戳一起签名。监听机构在实施监听时, 它不仅要向委托人出示法院的许可证书, 而且要向委托人说明进行监听的时间。这样一方面可避免权威机构在得到用户的私钥后伪造用户的签名, 另一方面在法律许可的监听结束后, 用户不必重新产生自己的私钥。

(6) 监听机构只能得到该次通话的会话密钥, 而无法预知下次密钥信息, 因此有效地解决了“一次监听, 永久监听”问题。

(7) 该方案具有计算量小, 效率高的优势。这里采用基于状态树的 (t, n) 门限秘密共享方案, 它的时间复杂度仅为o (t) 。

4 结束语

本文在基于椭圆曲线密码体制的基础上, 采用高效率的基于状态树 (t, n) 门限秘密共享算法给出了一种新的密钥托管方案。本方案能够检验用户、托管代理与密钥管理中心的欺诈行为, 避免了“阈下攻击”和“早期恢复”的危险, 使监听机构进行有效监听。同时, 在监听过程中没有泄露加密会话密钥的密钥与托管代理所托管的子密钥的任何信息, 防止“一次监听, 永久监听”问题。本方案具有更高的安全性和易操作性, 适宜在支持椭圆曲线的公钥密码系统下实现, 具有广泛的实用性。

参考文献

[1]DENNING D E, SMID M.Key escrowing today[J].IEEE Commu-nications Magazine, 1994 (9) .

[2]张学军.高效的使用双线性对的自认证公钥签名[J].计算机应用, 2009 (02) .

[3]AMR M.Youssef.Cryptanalysis of boolean permutation-based keyescrow scheme[J].Computers and Electrical Engineering, 2010 (1) .

[4]张建中, 魏春艳.高效无证书签名方案的分析及改进[J].计算机工程, 2011 (11) .

[5]LONG YU, CAO XHENFU, CHEN KEFEI.A dynamic thresh-old commercial key escrow scheme based on conic[J].AppliedMathematics and Computation, 2005 (2) .

[6]张春生, 姚绍文, 张险峰.基于状态树的 (t, n) 门限密钥托管方案[J].计算机工程与应用, 2007 (4) .

[7]R LUKAC, K N PLATANIOTIS.Bit-level based secret sharingfor image encryption[J].Pattern Recognition, 2005 (5) .

[8]M H DEHKODI, S MASHHADI.An efficient threshold verifiablemulti-secret sharing[J].Computer Standards&Interfaces.2008 (30) .

门限方案第4篇

1984年Shamir[2]首次提出基于身份的密码系统的概念,不存在颁发公钥证书带来的存储和管理开销问题。其中,用户的公钥可以通过某个公开的算法直接从身份信息得到,而私钥由PKG生成。PKG拥有所有签名用户的私钥,可以伪造用户签名,存在密钥托管的问题[3,4,5]。

Baek和Zheng首次提出了分配用户私钥构造的基于身份的门限签名方案[6],比Boneh和Franklin分配系统私钥效率高,但依然存在密钥托管的问题[7]。Liu和Hu提出了能够防止PKG伪造签名的基于身份的门限签名方案,解决了密钥托管的问题,但在此方案的密钥分发阶段,若攻击者与任何t个内部成员合谋。即可计算出全部成员的密钥,存在合谋攻击的问题。文中在文献[5]的基础上,提出了一种不需要可信中心的门限签名方案,解决了密钥托管的问题。与文献[8]相比,新方案能够抗合谋攻击,安全性有较大提高。在标准模型下证明新方案是健壮的和不可伪造的。

1 背景知识

1.1 门限签名方案的建立

定义1 一个门限签名方案由如下步骤完成:(1) 生成系统参数。(2)门限密钥生成算法:给定用户的身份ID,PKG计算公钥和相对应的部分私钥,成员之间交互运行,输出每个成员私钥(ri,Si)。(3)门限签名生成算法:给定消息,每个成员利用私有输入(ri,Si)及系统参数,产生部分签名,然后再由指定的成员或成员集合产生签名。(4) 签名验证算法:给定消息签名及公钥,验证签名的有效性。

1.2 门限签名方案的安全性

定义2 门限签名是安全的,如果以下两个条件成立:(1) 不可伪造性:给定系统参数,攻击者最多可破坏t-1个成员,可以进行k次的选择消息提问,最终不能产生一个新消息的有效签名。(2) 健壮性:攻击者最多可破坏t-1个成员,最终仍能产生正确的签名。

2 新的门限签名方案

2.1 系统建立

设G1,G2分别为阶是素数q的加法循环群和乘法循环群;q为大素数;p为G1的生成元,定义一个双线性映射e∶G1×G1→G2和一个单向哈希函数H1∶{0,1}*→G1。PKG随机选择s∈Z*q,计算Ppub=sp,将s秘密保存。PKG随机选择M′∈G1以及n维向量M=(Mi)。公布系统参数为(G1,G2,e,p,q,H′1,Ppub,M′,M)。

2.2 门限密钥生成

给定一个用户,他随机选取r∈Z*q,计算R=rp,并把向PKG提交自己的身份信息ID,设PKG计算 $Q_{Ι D} = Η_{1} (Ι D ‖ Τ, R)$ ,将QID作为用户的公钥。计算SID=sQID,将SID作为用户的部分私钥,并通过秘密信道发给用户,则用户的私钥为(r,SID)。

密钥分发过程如下:

(1)每个用户Bi(i=1,2,…,n)随机选取两个t-1次多项式

fi(x)=ai0+ai1x+ai2x2+…+ait-1xt-1 (1)

gi(x)=bi0+bi1x+bi2x2+…+bit-1xt-1 (2)

其中,aik∈Z*q,bik∈G*1,0≤k≤t-1。a10=r,b10=SID,ai0=bi0=0,2≤i≤n。广播Aik=aikp,Bik=bikpk,0≤k≤t-1。并计算fi(j)和gi(j),秘密的分发给其他用户Bj。

(2)用户Bj从用户Bi处收到分享fi(j)和gi(j)后,验证

$f_{i} (j) p = \sum_{k = 0}^{t - 1} A_{i k} j^{k}$ (3)

$g_{i} (j) p = \sum_{k = 0}^{t - 1} B_{i k} j^{k}$ (4)

是否成立,如果成立则其有效,否则无效。

(3)用户Bi,i=1,2,…,n,计算 $r_{i} = \sum_{j = 1}^{n} f_{j} (i), S_{i} = \sum_{j = 1}^{n} g_{j} (i)$ ,作为自己的部分私钥。

(4)用户Bi,i=1,2,…,n,计算Li=rip,Yi=e(Si,p),rp。

2.3 门限签名生成

不失一般性,假设参与签名的用户为B1,B2,…,Bt。

(1)随机数的选取:

Bi随机选取ki,计算并广播Ki=kip。

(2)部分签名:

待签名的消息为m=(m1,m2,…,mn),参与签名的用户Bi计算并广播

$V_{i} = S_{i} + (k_{i} + r_{i}) (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j})$ (5)

(3)签名的合成:

签名的合成可由参与签名的任一成员来完成,对于所收到的部分签名,合成者首先验证以下公式

$e (V_{i}, p) = Y_{i} e (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}, Κ_{i} + L_{i})$ (6)

是否成立。若成立,则部分签名正确。若所有的部分签名都正确,则计算

$V = \sum_{i = 1}^{t} η_{i} V_{i}, Κ = \sum_{i = 1}^{t} η_{i} Κ_{i}, r p = \sum_{i = 1}^{t} η_{i} L_{i}$ (7)

其中, $η_{i} = \sum_{j \in B, j \neq i} \frac{- j}{i - j}$ 最终签名为σ=(V,K,rp)。

2.4 验证

接受者收到身份ID为的签名者对消息m的签名后,验证

$e (V, Ρ) = e (Q_{Ι D}, Ρ_{p u b}) e (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}, Κ + r p)$ (8)

若(8)式成立,则签名是有效的。

3 签名方案分析

3.1 正确性分析

(1)用户Bj从用户Bi那里收到分享fi(j)和gi(j)后,需要验证fi(j)和gi(j)的有效性,即验证式(3)和式(4)的正确性

$f_{i} (j) p = a_{i 0} + a_{i 1} j p + a_{i 2} j^{2} p + \dots + a_{i t - 1} j^{t - 1} p = A_{i 0} + A_{i 1} j + A_{i 2} J^{2} + \dots + A_{i t - 1} j^{t - 1} = \sum_{i = 0}^{t - 1} A_{i k} j^{k} (9)$

$g_{i} (j) p = b_{i 0} + b_{i 1} j p + b_{i 2} j^{2} p + \dots + b_{i t - 1} j^{t - 1} p = B_{i 0} + B_{i 1} j + B_{i 2} J^{2} + \dots + B_{i t - 1} j^{t - 1} = \sum_{k = 0}^{t - 1} B_{i k} j^{k} (10)$

以上两公式证明了fi(j)和gi(j)的有效性。

(2)参与签名的用户Bi计算并广播部分签名,要验证部分签名的正确性,以防止非法用户伪造签名,即验证式(6)的正确性

$e (V_{i}, p) = e (S_{i} + (k_{i} + r_{i}) (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}), Ρ) = e (S_{i}, p) e ((k_{i} + r_{i}) (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}), p) = Y_{i} e (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}, Κ_{i} + L_{i}) (11)$

式(11)证明了部分签名的正确性。

(3)接受者收到签名者对消息m的签名后,需要验证签名的有效性,防止非法用户伪造签名,即需验证式(8)的正确性。

$e (V, Ρ) = e (\sum_{i = 1}^{t} η_{i} (S_{i} + (k_{i} + r_{i}) (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j})), p) = e (S_{Ι D} + \sum_{i = 1}^{t} η_{i} (k_{i} + r_{i}) (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}), p) = e (S_{Ι D}, Ρ) e (\sum_{i = 1}^{t} η_{i} (k_{i} + r_{i}) (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}), p) = e (Q_{Ι D}, Ρ_{p u b}) e (Μ^{'} + \sum_{j = 1}^{n} m_{j} Μ_{j}, Κ + r p) (12)$

式(12)表明签名的验证公式成立,签名有效。

3.2 安全性分析

定义3 如果以下的性质成立,则称门限签名方案是可模拟的[9]:

(1) 密钥分发是可模拟的。

存在模拟器,使得在已知PKG的公共参数,用户的ID,密钥生成过程中的公开数值以及被敌手腐蚀的t-1个成员的私有分享条件下,能够模拟出在执行密钥分发时攻击者的观察。

(2) 签名是可模拟的。

存在模拟器,使得在已知基于身份的门限签名的公共参数,消息m和对应的签名,以及t-1个部分密钥和对应的用于验证的公开信息,可模拟出签名执行时攻击者的观察。

引理1 此基于身份的门限签名方案是可模拟的。

证明假设攻击者贿赂了t-1个用户B1,B2,…,Bt-1,则攻击者知道这t-1个人的部分私钥(ri,Si)。给定公共参数及用户的身份,攻击者可模拟出e(SID,P)=e(QID,Ppub),由 $e (S_{Ι D}, Ρ) = \prod_{i = 1}^{t} e (S_{i}, p)^{η_{i}}$ 可以求出Bt的公开验证信息e(St,p)。对于另一个公开信息Li=rip,通过Lagrannge插值算法 $L (x) = r (x) p = \sum_{i = 0}^{t - 1} α_{i} r_{i} p + \sum_{i = 0}^{t - 1} α_{i} r_{i} p$ 。其中, $α_{i} = \prod_{0 \leq j \leq t - 1, j \neq i} \frac{x - j}{i - 1}$ 则攻击者可求出Lt=rtp,容易验证Lt与真实密钥分发过程中用户Bt发布的公开信息相同。由此,密钥分发是可模拟的。

给定基于身份的门限签名的公共参数,消息m和对应的签名,以及t-1个部分密钥和对应的用于验证的公开信息。根据式(5)和V,用Lagrannge插值算法可构造出V(x),满足V(i)=Vi,V(0)=V,攻击者则可求出V(t)=Vt。同理可求出Kt。由此,签名算法是可模拟的。

定理1 如果基本方案不可伪造,并且相应的门限签名方案是可模拟的,则门限签名方案是不可伪造的。

定理2 文中提出的门限签名方案是安全的。

(1) 不可伪造性。

基本方案已经证明是不可伪造的,又本方案是可模拟的,根据定理1,本方案是不可伪造的。

(2) 健壮性。

攻击者最多可破坏t-1个成员,算法仍能产生合适的签名。从提出的方案可以看出最后的门限签名是由t个部分签名得到的。在门限签名生成过程中,选择t个成员生成部分签名,再由这t个部分签名生成最终的签名。这样即使攻击者得到了t-1个有效的部分签名,由于无法得到第t个有效签名,仍不能生成一个有效的签名,所以本方案具有健壮性。

4 结束语

提出了一个基于身份的不需要可信中心门限签名方案,与以往方案相比,此方案不但能够防止PKG通过计算用户的私钥伪造签名,而且满足一般门限所应具有的安全性。

摘要：利用椭圆曲线上的双线性对,以一种新的基于身份的门限签名方案为基础,提出了一种无需可信中心的门限签名方案。新方案密钥生成只需成员之间相互协商完成,解决了密钥托管的问题。在标准模型下对该方案进行安全性证明,验证表明该方案具有健壮性和不可伪造性。

关键词：基于身份,门限签名,无随机预言,无可信中心

参考文献

[1]DESMEDT Y,FRANKEL Y.Threshold cryptosystems[C].Berlin:Advances in Cryptology-CRYPTO 1989 Proceedo-ings Lecture Notes in Computer Science,Springer,1990:307-315.

[2]SHAMIR A.Identity-based cryptosystems and signatureschemes[C].Berlin:CRYPTO 1984,INCS196,Springer,1985:47-53.

[3]ZHANG J,MAO J.A novel identity-based multity-sign-cryption scheme[J].Computer Communications,2009,32(1):14-18.

[4]WEI Gao,WANG Zhengyou,LI Fei.An efficient thresholdsignature scheme without random oracles[C].InternationalConference on Computational Intelligence and Security,IEEEComputer Society,2009:400-404.

[5]蔡永泉,张雪迪,姜楠.一种新的基于身份的门限签名方案[J].电子学报,2009,37(4):102-105.

[6]BAKE J,ZHENG Yuliang.Identity based threshold signaturescheme from the biliner parings[C].Las Vegas:IEEE Com-puter Society,2004:124-128.

[7]BONEH D,FRANKLIN M.Identity based encryption fromthe weil pairings[C].Berlin:CRYPTO 2001,LNCS 2139,Springer,2001:213-229.

[8]刘颖,胡予濮,王飞,等.一个高效的基于身份的门限签名方案[J].西安电子科技大学学报:自然科学版,2006,33(2):311-315.

一种安全高效的门限群签密方案第5篇

安全多方计算是密码学的一个重要领域, 秘密分享是它的一个重要分支, 主要利用门限方案实现, 分发者把一个秘密分割成多个份额, 分配给多个分享者, 使得只有超过一定数额的分享者参与才能恢复秘密。在实际应用中, 设计门限方案时主要需考虑两大问题:一是分享者欺骗问题, 恶意的分享者在秘密的恢复阶段可能会给其他合作者提供假的秘密份额, 使得其他合作者无法恢复出真正的秘密;二是分发者的欺骗问题, 分发者可能会给某些分享者分发假的秘密份额, 使得这些分享者永远不能正确恢复被分享的秘密。这两点都是在设计门限方案时需要解决的问题。本文的目的是将门限共享方案和签密方案相结合, 构造一个用于群体间通信的门限群签密方案。门限方案实现群私钥的共享, 签密方案实现安全高效的加密和签名, 门限群签密方案在安全多方计算和移动电子商务方面有着广阔的应用前景。

1 门限方案

1.1 Asmuth-Bloom门限方案

(1) 安全多方计算是许多密码协议的基础, 有广泛的应用 (比如电子选举, 电子拍卖) , 门限方案是安全多方计算的一个重要领域, 比较典型的门限方案有Shamir门限和AsmuthBloom门限以及Simmon门限, 本文使用的是Asmuth-Bloom门限, 该方案的设计满足在N个成员中, 当且仅当有多于T个成员参与时, 才能恢复出共享秘密D, 而少于T个成员不能得到秘密, 原方案大致如下:群私钥D的份额, 过程如下:取一个大素数p, 取N个两两互素的大正整数m1, m2mn, 且都不是p的倍数, 设m1, m2mn, 取M=m1, m2mn>pmnmn+1mn-t+2, 由此得出:mi (i=1, 2n) >p, M/p大于任意T-1个mi的乘积。

(2) 保证m1m2mn足够的大, 以使M>>D, 取非负整数r<[ (M) /p], 使满足K=D+rp, 且mnmn+1mn-t+2

原始的Asmuth-Bloom方案在实际应用中有三个问题未能解决:一是公布了r和p, 这可能会给敌手攻击带来方便;二是没有解决分享者欺骗问题, 不能防止成员内部的欺诈行为;三是秘密分享者不能验证份额的正确性, 不能防止分发者的欺骗行为。

1.2 可验证的Asmuth-Bloom门限方案

在Asmuth-Bloom门限方案的基础上做适当修改, 可以使新的门限方案具有不可否认性和抗欺诈性。第一步修改后的方案大致如下:

(1) 系统给N个成员分配关于群私钥D的份额, 过程如下:取一个大素数p, 取N个两两互素的大正整数m1, m2mn, 且都不是p的倍数, 满足ppmnmn+1mn-t+2, 由此得出:mi (i=1, 2n) >p, M/p大于任意T-1个mi的乘积。

(2) 保证m1, m2mn足够的大, 以使M>>D, 取非负整数r<[ (M-D) /p], 使满足K=D+rp, 且mnmn+1mn-t+2

在原始Asmuth-Bloom方案中, 由于不需要有可信第三方的参与, 且有D

1.3 将修改后的Asmuth-Bloom方案扩展为VSS方案

以上方案解决了分享者欺骗的问题, 如果要解决分发者的欺骗问题, 在群中防止分发者提供假的秘密份额, 秘密分享者需要验证分发者所发的秘密份额的正确性, 使方案满足可验证秘密分享 (VSS) , 可以采用以下方法完善方案:

(1) 在群中, 选用RSA签名机制, 设群私钥为D, 公钥为E, 公布参数为n为两个强素数的乘积;

(2) 在上述方案中, 有条件的选取g和p, 使满足 (g, n) =1, p整除φ (n) , 且能使gp=1mod n, 将g公布, 而p仍为秘密, 易证满足条件的参数g和大素数因子p存在。这样在选定g和p的情况下, 有di=k-mip=D+ (di+r) p, 所以有gdEgDEg (m+r) p≡g mod n;

(3) 在成员i收到秘密份额di后, 可以通过验证gd E≡g modn, 来检验份额的有效性。

因此, 第二步修改解决了分发者的欺骗行为, 经过以上两步扩展后的新方案可以解决门限方案的两大主要问题, 成为可验证秘密分享 (VSS) 方案。

2 签密

2.1 可验证的签密

为使消息即保密又认证的传输, 传统的方法是“先签名后加密”, 它所需的代价是签名和加密代价之和。签密能够在单一的逻辑步骤中同时完成数字签名和公钥加密两项功能, 其代价低于“先签名后加密”, 所以, 使用签密能提高效率。但是签密方案在验证时需要知道接收方的私钥, 这将会降低方案的抗抵赖性, 影响方案的可验证性。

为此, 在解决签密方案的公开验证性问题上, 有各种讨论, 文献提出利用独立检查的方法, 但这可能会影响保密性;文献中提出了建立基于离散对数难题的公开可验证签密的方法, 这种做法是安全有效的, 虽然它提出的签名公开验证过程不是标准模式, 可是却为解决签密的验证方法提供了一种新思路。在此基础上, 新的签密设计思路是在传递秘密时, 添加一个适当的参数S提供给接收方, 在此参数的参与下, 可以根据算法计算将S等同于发方私钥, 但是, 仅由参数S, 不能求出发方私钥, 这样就解决了签密的公开验证性问题。借鉴这种思想, 我们设计的签密协议在保证安全性的同时, 也能解决公开验证的问题, 具体方案如下:

假设发送方Alice要给接收方Bob发送信息, 则对信息的签密过程如下:首先, 由可信第三方选择两个大素数p和q, 选择参数g∈Zq*, 然后将这三个参数可靠的发给每个用户。设用户Alice的私钥为xa∈Zq*, 计算出Alice的公钥yq≡gxmod p, 用户Bob的私钥xb∈Zq*, 计算公钥yb≡gxmod p, 选择一Hash函数H, 其输出至少为128比特。 (Ek, Dk) 是一个对称密码体制 (如Rijndael) 的加密算法。

发送方Alice按如下步骤对消息M进行加密后传输。

(1) 选择随机数k∈Zq*。

(2) 计算r=H (H (M) , gkH (M) mod p) 。

(3) 计算v≡ybrxamod p。

(4) 计算c≡EH (V) (M) mod p。

(5) 计算s=KH (M) -xarmod q。

接下来, Alice将 (c, r, s) 发送给Bob, 在接收到 (c, r, s) 之后, Bob按照如下步骤进行:

(1) 计算v≡yarxbmod p。

(2) 恢复消息M=DH (V) (M) mod p。

(3) 验证r=H (H (M) , gsyarmod p) 。

这样, 就完成了对消息的签密, Bob和任何第三方可以通过验证r=H (H (M) , gSyarmod p) , 对Alice的消息进行公开验证。

2.2 门限群签密方案

我们将设计的门限方案和设计的签密方案结合起来, 构造门限群签密方案, 使群体能对将要发送的消息同时进行加密和签名, 且具有信息的可验证性。假设发送方为一群体A, 想对接收方B发送消息M, 并以群体作为签名。A的群体私钥为xa, 群公钥为ya, B的群私钥为xb, 群公钥为yb, 群签密步骤如下:

(1) 在2.1小节的签密方案中, 将群签名私钥xa做为共享秘密, 以1.1小节提供的门限方案, 分发给组成员。

(2) 当群A要发送消息时, 需对消息M进行签密, 首先需要有T个成员参与, 他们提供给群的可信节点自己分享的秘密份额, 由可信节点按照第一章的门限方案计算出群的私钥xa, 然后用群私钥通过以下步骤完成对消息M的签密:

(1) 选择随机数k∈Zq*。

(2) 计算r=H (H (M) , gkH (M) mod p) 。

(3) 计算v≡ybrxmod p。

(4) 计算c≡EH (V) (M) mod p。

(5) 计算s=kH (M) -xarmod q。

通过这五步就可以完成群体签密的工作。

若接收方B也为一个群体, 而其私钥也采用第一章的门限方案分给群成员共享, 那么在群B的可信节点的参与下, T个成员可以合作计算出群私钥xb, 然后, 使用私钥安全的解密并验证收到的信息, 步骤如下:

(1) B组成员合作计算出Xb,

(2) 计算v≡yarxbmod p。

(3) 恢复消息M=DH (V) (M) mod p。

(4) 每个参与者均可独立验证r=H (H (m) , gsyarmod p) , 以确定收到的信息来自群体A。

以上就是本文设计的门限群签密方案。将群的私钥在小组间共享, 然后在收发信息时, 由群的可信节点恢复群的私钥, 以签密的方式完成对信息的操作, 这样的方案具有较高的安全性和可验证性。

3 安全性分析

如果会话双方诚实地执行协议, 则发送方签密的信息只有指定的接收方才能解密, 而任何非会话双方通过公开信息无法计算出会话密钥。

证明:一方面, 参与协商的两个节点A、B可以计算出同样的V:

计算VA=ybrxa modp=VB=yArxB mod p=V

另一方面, 任何非会话第三方要想得到V必须计算:

VA=ybrxa mod p, 其中r=H ( (M) , gkH (M) mod p) , 而要计算VA, 必须知道xa, 但xa并没有在会话中出现, 仅知道r和s无法得到V。

3.1 正确性

本文方案的安全性是基于公钥认证和Asmuth-Bloom (t, n) 门限体制的安全性:每个分享者执行协议能获得正确的共享, 并且可以验证共享份额的正确性。

证明:由1-2小节内容可知, 每个成员的份额di=k mod (mip) (i=1, 2, 3, , n) , 群公钥为E, 任意T个系统成员提供T个关于群私钥D的份额, 可恢复秘密信息D。在有T个成员参与的情况下, 他们将各自的秘密份额传给可信节点, 可信节点得到T个成员的秘密份额 (di, mip) (i=1, 2T) 可以用以下步骤恢复共享秘密D:

(1) 可信节点求出秘密份额mi的公因子P, 然后得到所有成员的份额mi=mip/p (i=1, 2T) 。可以得到每个成员的同余式:

这样的同余式共有T组。

(2) 因为r

在新方案中, 每一个参与者都有相同标志p, 若所有的份额 (mip) 都整除p, 则无欺诈者, 若 (mjp’) 不能整除p, 则mj的拥有者为欺诈者。任意两个合法的成员可对第三人是否是群成员进行判断。而在可验证性方面, 群成员可以确认自己份额的有效性, 如果群签名失败的话, 也可以由可信第三方利用VSS方案的可验证性对秘密份额的有效性进行确认, 通过验证:gdE≡g mod n查出谁是欺诈者。这就使得攻击者在未窃取到群成员的秘密份额时, 欺诈成功的概率很低。

安全性方面, 破解p的难度等同于分解大素数或求解离散对数, 因此, 方案具有较高的安全性。

3.2 鲁棒性

(1) 即使敌手勾结了T-1个成员, 他也不能得到任何关于群私钥D的有用信息。

证明:本文方案基于Asmuth-Bloom的 (t, n) 门限共享机制的安全性。所以, 由T-1个成员共享的di不能重构群私钥D。

假设有T-1个成员参与, 每个成员的份额秘密 (di, mip) (i=1, 2, 3T-1) 可以得到以下的同余式K≡di mod mi (i=1, 2, 3T-1) T-1个, 而K>mnmn-1mn-2mn-t+2, 即K的值大于任意T-1个mi的乘积, 所以由中国剩余定理可知, K在所有模数p的同余类中均匀分布, 因此在没有T个以上秘密份额 (di, mip) 时不能得到关于K有用的信息。而在没有得出第T个mip的情况下, 暴力破解K也是不可能的。

因为, 信息的安全都基于群的私钥, 因此, 有少数群成员泄露了秘密份额, 并不能对整个系统构成很大影响。

(2) 任意t-1个成员不能获得关于其他成员的共享秘密。

证明:任意T-1个成员只知道至多T-1个秘密共享 (di, mip) , 根据Asmuth-Bloom的 (T, N) 门限共享机制, 他们不可能重构出其他成员的共享秘密 (di, mip) 。

3.3 新的密钥协商方案是抗中间人攻击的

假设任意攻击者G截获了A发送给B的信息 (c, r, s) , 由协议

v≡yarxamod p

c≡EH (V) (M) mod p。

r=H (H (M) , gkH (M) mod p) 。

首先, 如果攻击者G想破解密文, 根据截获的密文信息c≡EH (V) (M) mod p和签名信息r、s, 不能得到任何关于明文的信息, 因为, 在不知到V的情况下不可能解密, 但v是秘密的, 没有进行传送, 对于敌手来说不可得, 因此, 在A的私钥xa未泄露的情况下, 敌手不可能破解密文 (di, mip) 。

其次, 假定C要冒充A给B发信息, 由第二章可知签密信息由r=H (H (M) , gkH (M) mod p) 和s=kH (M) -xar mod q共同生成。由于需要有明文M参与, 在敌手C尚未破解M以前, 不能生成签名, 如果敌手企图连明文一起篡改, 那么在不知A的私钥xa的情况下不能生成s, 也就无法冒充A发送错误信息给B。

对于接收方B, 可以通过明文信息M验证签名信息r=H (H (M) , gk*H (M) mod p) 的正确性, 以此判断所接收的信息是否被篡改。由此可知, 本文设计的签密方案可以抵御中间人攻击。

4 性能分析

本方案中最耗时的操作是门限方案恢复秘密的运算和模指数运算, 方案性能的提高主要取决于如何有效地进行这两种运算。

在恢复秘密的运算方面, Shamir方案在功能上优于Asmuth-Bloom方案, 但Asmuth-Bloom方案的效率高于Shamir方案, 以下是两种算法的比较:

Shamir方案是基于拉格朗日内插多项式提出的一个门限方案, 是最早提出并且是研究与应用最广泛的门限方案。Shamir门限方案具有以下特点:

(1) 在原有分享者的秘密份额保持不变的情况下, 可以增加新的分享者;也可将某些分享者的秘密份额作废。

(2) 可根据各分享者重要性的不同, 分发给各个分享者不同个数的秘密份额, 从而实现分级方案。

(3) 恢复秘密的算法的计算复杂度为O (t3) 。

Asmuth-Bloom门限秘密分享是和密钥相联系的一个数的某些同余类.若仅知道t-1个份额d1、d2dt-1, 只能确定D’=x mod M, 这里x是t-1共享决定的同余方程的解, 由此在的取值集合中, 元素模p分布是均匀的。在仅知道t-1个份额的情况下无法破解共享秘密。

Asmuth-Bloom方案的的恢复算法时间复杂度为O (t) , 空间复杂度为O (n) , 相比之下, 其效率要高于Shamir体制。

方案中另一个比较耗时的操作是模指数运算, 许多文献已经对这个问题分别进行了研究, 并取得了许多成果。

本文设计的签密的方案, 签密的代价小于签名和加密之和, 可提高系统的性能, 但安全性并没有下降。

5 结论

在密码学领域中, 秘密分享是很重要的技术, 其中的变化很多, 在实际的应用是很广泛的, 像如何广播多项秘密, 团体式秘密分享, 网络中的移动自组网, 有管理员单位的秘密分享等问题都有很多探讨与应用。本文设计的是一种新的在较理想的环境中的门限签密方案, 新方案中, 设置了可信节点, 利用门限方案保护群成员的共享份额。在群对外通信时, 采用基于离散对数和Hash算法的签密方案, 提供较高的安全性和可公开认证性。构成了一个群与群之间进行保密通信和身份认证的可信方案。本文使用的群签密方案是可证明安全的, 同时也能很好的防止欺诈和群内部恶意攻击。

但是, 关于密钥共享体制, 还有待于研究, 比如门限方案的设计, 签密算法的完善, 设计满足具体需求的算法等。总之, 这是一个有待进一步研究的领域。

摘要：本文分析和扩展了Asmuth-Bloom门限方案, 利用可验证秘密分享 (VSS) 和安全多方计算 (MPC) 技术提出了一个可验证的门限方案。通过使用门限和签密方案相结合的方法, 构造了一个用于群体与群体之间秘密通信的协议, 协议能够高效的实现加密和认证两项功能, 具有较高的安全性和实用价值。

关键词：门限方案,签密,可验证秘密分享 (VSS) ,安全多方计算

参考文献

[1]张福泰, 姬东耀, 王育民.签密的门限生成协议.第七届密码学学术会议论文集.2002.

[2]Chor B, Goldwasser S, Micali S, Awerbuch B.Verifiable secret sharing and achieving simultaneity in the presenceof faults.In pro-ceedings of26th IEEE symposium on foundations of computer science.1985.

[3]Yuliang Zheng, signcryption and its application in efficient pub-lic key solutions.In Proceedings of Information Security Workshop.Springer-verlag.1977.

[4]Zhang F T, Ji D Y, Wang Y M.Threshold Generation of Electronics, Jan2003.

[5]Bao Feng, Robert H Deng.A Signcryption Scheme with Signa-ture Schemes.IEE Computers and Digital Techniques.March1988.

[6]Pedersen T.Non-interactive and information-theorrtic secure verifiable secret sharing.In Advances in Cryptology—Crypto’91.1991.

[7]李宏伟, 杨寿保, 黄梅荪, 任安西.基于中国余数定理的移动自组网签名方案.计算机工程.2006.1.

门限方案第6篇

为了进一步提高签名的效率,参考文献[5]提出了基于双线性对的短签名。双线性对成了构造签名的重要工具。基于双线性的签名方案具有签字短、安全、高效等特点,它的提出受到了广泛的关注。参考文献[6]引进了PKG的概念,即可信中心,作用是产生用户的私钥,理论上它必须是完全可信的。大多数文献方案的提出也是建立在可信中心的基础之上。然而在有些环境中(如Ad Hoc网络),可信中心并不存在。岳胜等人提出了一种无可信中心门限签名方案[7](以下简称YUE的方案)。此方案虽有一定的理论价值,然而该方案仍存在很大的安全漏洞。同时,在实用性方面,当一个方案受到伪造攻击时,良好的可追查性使得签名能够有效地检查成员内部的签名情况。为此,本文提出了一种新的具有可追查性的无可信中心(t,n)门限签名方案。

1 YUE方案的安全性分析

1.1 对YUE方案的伪造攻击

伪造方案与原签名方案相似,区别仅在于在伪造方案中,办事员充当的是伪造攻击者的身份。在门限签名生成阶段,由于每个成员本质上只起到提供一个随机数的作用,办事员的角色与有可信中心方案中的PKG所起的角色没有区别,而办事员是在成员内部随机指定的,因此不可能完全可靠。下面是办事员伪造签名者Pj的部分签名,进而伪造最终的门限签名。这里假设成员Pk是所指定的办事员,具体伪造步骤如下:

(1)成员Pi随机选择xi∈Zq*(i≠j),然后计算Ui=xiP,并把Ui发送给办事员Pk。同时,办事员Pk随机选择xj′∈Zq*,并计算Uj′=xj′P。上述工作完成之后,办事员Pk计算和h=ri H2(m,U),并广播h给{Pi}(i≠j)。

(2)各个成员Pi计算其部分签名Vi=xiPpub+hτiSi,并把Vi发送给办事员Pk。Pj的部分签名Vj′=xj′Ppub+hτjSj由Pk计算(其中,Sj已广播)。

(3)假设所有的部分签名都有效,办事员Pk计算,则消息m的最终签名为σ(U,V)。伪造签名成立。

1.2 伪造签名方案的合理性分析

验证者验证最终伪造签名的正确性证明如下:

2 新方案的算法描述

2.1 系统初始化过程

设G1为加法群,G2为乘法群,G1、G2的阶均为素数q,P为G1的生成元。定义一个双线性映射e:G1G2G2和2个单向哈希函数H0:{0,1}*G1、H1:{0,1}*Zq*。假设系统有n个群成员,设为{P1,P2,,Pn},每个群成员都有一个自己的IDi,并公开。

2.2 群密钥的生成

(1)各成员Pi随机选取ki∈Zq*,计算QIDi=H0(IDi),SIDi=kiH0(IDi),Ki=kiP。并公布Ki、QIDi。

(2)各Pi随机选取t-1次多项式fi(x)=ai0+ai1x1+ai2x2++ai(t-1)xt-1,计算λij=fi(IDj)并将其秘密发送给Pj(j≠i)。同时,Pi计算并向其他成员广播αij=e(aij,P)。当成员Pj获得λij后,通过进行验证,若不成立,则拒绝λij。

2.3 部分签名的生成与验证

(1)假设消息m的签名成员为(P1,P2,,Pt)。首先,各成员计算,然后,各成员Pi利用自己的私钥SIDi、λi构造如下的部分签名分量Si:

当各成员Pi都完成了部分签名分量Si的构造时,随机选取一个成员作为门限签名合成者,并将所有的部分签名发送给它。

(2)签名合成者通过如下方程来验证部分签名的合法性:

2.4 门限签名的生成和验证

(1)假设签名合成者收到的t份部分签名(Ki,m,Si,IDi都是合法的,则计算:

作为最终的门限签名,即(m,k,v,S),其中

(2)签名接收者根据下式验证(m,k,v,S)的正确性:

3 新方案的分析

3.1 签名的正确性分析

(1)对部分签名的正确性验证即验证,式(2)的正确性:

(2)对整体签名的正确性验证,即验证式(4)的正确性:

3.2 新方案的安全性

(1)签名不可伪造性

任何第三方不能伪造群体对消息m′进行合法的签名。由门限签名合成式(3)可知,即使知道了k′、H1(m′),由于不知道∑SIDi,因此仍不能构成满足式(4)的合法门限签名。另外,任何第三方也不能伪造合法成员Pi而进行部分签名。由于在部分签名生成的过程中,要用到成员Pi的ki、SIDi,而它们是任何第三方都不能获知的,因此无法提交合法的部分签名

(2)方案强壮性

本方案在签名的生成过程中,用到了只有合法签名者自己知道的随机数ki,也就无法求得SIDi。因此,即使恶意攻击者贿赂了某些成员,使其在签名协议中不按照规定执行,最后也无法得到正确的签名。

3.3 性能分析

一个好的门限签名方案,必须要有很好的强壮性及不可伪造性,并且在受到攻击的时候还要有好的可追踪性。同时计算量的多少是方案效率高低的重要指标,很大程度上影响着方案的可行性。本方案与原方案的性质比较如表1所示。令Pl、Mu、Ha、Pa、Ex分别表示群上的乘法和加法运算、哈希函数运算以及配对运算和指数运算。本方案与原方案计算量的比较如表2所示。

从表1可以看出,原签名方案的强壮性和不可伪造性都低于本方案,同时,本方案有很好的追踪性,而原方案没有。从表2可以看出,在部分签名生成算法中,YUE方案比本文方案多了一次乘法运算,少t次加法运算及2t-1次哈希运算。在部分签名验证算法中,YUE方案比本文方案多用了2t次乘法运算以及2t次指数运算,少使用t次配对运算及2t次哈希运算。在门限签名验证算法中,YUE方案比本文方案多使用一次配对运算,少使用一次指数运算。YUE方案无身份追查,而本文的身份追查只需t次哈希运算。由以上可以看出,本文方案总的运算量为(4t+1)Mu+(3t-1)Pl+2Ex+(3t+2)Pa+5t Ha,岳胜等人的方案总的运算量为(6t+2)Mu+(2t-1)Pl+(2t+1)Ex+(2t+3)Pa+Ha。由此,本方案总运算次数与YUE方案差不多,但却非常有效地防治了各种内部或外部攻击,安全性远远高于YUE方案,而且本方案可以简易地进行身份追踪,实用性更强。

3.4 新方案的易追踪性

当发生纠纷时,群中任何成员都只需查看部分签名中的IDi就可以追查出参加签名的t个成员身份。

4 构造签名的思想

已有大量文献虽然对如何构造签名做出了研究,但至今仍没有一个被广泛认可的构造签名方案或策略。在此,分析几类容易出现安全问题的签名构造[4]。

(1)在门限签名中,签名合成者(DC)负责部分签名的合成,同时负责最终签名的生成,在有可信中心的签名方案中还具有派发密钥的权力。如果签名合成者和伪造者进行合谋,则他们很容易伪造签名。因此,任何门限签名方案都应该考虑对签名合成者加以限制。参考文献[7]提出的门限签名方案将门限签名的密钥发放权、签名合成权集结于办事员,这样的权力分配给签名方案带来了安全隐患。

(2)在构造成员的部分签名或最终签名时,应尽量使所构造签名的前后参数具有相关性,最好通过不同的函数运算(如哈希函数、指数运算)来保证签名参数的前后关联性。这样可以有效地防止各种内部或外部攻击。

(3)参考文献[4]指出为了有效防止中断协议攻击,可以在每次的签名中附加时间戳。同时,适当使用“添加随机数、消息源可识别数字签名”等方法,可以增加合谋伪造攻击的难度。

本文对原有的门限签名进行了安全性分析,指出其在构造最终的签名时前后的参数没有关联,导致最终的方案存在安全隐患。本文提出的新方案构造的签名有效地利用了前后参数之间的联系,不仅解决了原有方案的缺陷,同时很好地抵御了各种外部攻击和内部合谋攻击。

摘要：对如何构造高效、抗攻击的签名给出了一些启发式的思想,并针对一些特殊的网络(如Ad Hoc网络)提出了一种新的签名方案。新方案无需可信中心派发密钥,解决了以往方案中权力过分集中的问题;以双线性对为构造工具,密钥长度短,签名效率高;可追踪性保证了方案在受到攻击时的可追查性。同时,经分析,该方案具有很好的强壮性和不可伪造性。

门限方案第7篇

数字签名可以提供文件及数据的认证性、完整性以及不可否认性, 是信息安全的核心技术之一。究其实质, 数字签名其实是手写签名的电子替代物。正因数字签名的上述特性, 其在电子商务及电子政务系统的运转中发挥着重要作用。

门限数字签名是一种特殊的数字签名, 其将密钥分为N (N就是所谓的门限值) 份, 规定, 只有当超过T份的子密钥按规则组合在一起, 这时才能重构密钥。门限签名的实现必得通过共享密钥的方法, 门限签名的这个特性使得其在密钥托管技术中很受青睐, 如某人的私钥交政府的N个部门托管, 而要想重构密钥, 必须其中超过T个部门统一决定对其实行监听, 才可实现。

门限签名解决了一般数字签名两个方面的问题:一是数字签名面向组织或团体, 而不是面向单一的个人。这样的做法解决了这样一个问题, 即怎样由集体成员而不是个人去代替组织或者团体进行数字签名;二, 门限签名以分布式的方式使签名密钥安全性的保护更加有效, 这种效果可以有效防止敌手通过获得已有签名的密钥以伪造签名者的有效签名的现象发生。

一般的数字签名, 如果密钥一旦泄漏, 那么不但攻破时间段以后的签名可以被攻击者伪造, 而且这个时间段之前的任何一个数字签名都可以被攻击者所伪造, 这就使得这样的数字签名具有很大的漏洞及危害性。为了使这种因密钥泄漏而造成的危害程度降到最低, 可以把签名阶段分成一个个的小阶段, 各个小阶段的密钥则分别采用单向函数, 这样就可做到, 即使当前阶段的密钥泄漏, 而这个阶段之前的签名也不能被攻击者伪造, 这样就大大降低了因密钥泄漏所带来的危害。这样的设计即为前向安全签名。

由上述可见, 门限签名方案和前向安全签名方案具有共同点, 它们都是为了减少因密钥的泄漏而造成危害而设计的特殊性质的数字签名方案。

2 以往门限数字签名的缺陷

门限数字签名方案基本包含三个部分, 即密钥的生成、签名的分配和签名的验证。目前, 根据不同的秘密共享方式已经提出了多种有效的多方协议, 利用这些协议也已得到了相应的门限数字签名方案, 但这些方案却都有着自己的缺点。如有的门限签名的密钥是共享的, 可是要生成一个有效的签名却需要至少 (T-1) 个成员参加, 这样签名方案的研究就变复杂了。为了保护Ⅳ的因子分解, 不能让签名成员知道, 也不能利用一般的秘密共享方法共享密钥。如此一来, 密钥的解密就成了一个比较复杂的程序。为了克服此缺点, 有人又提出了一个较为简单的门限方案, 可是这样的方案又不具有门限性和强壮性。为了取得更好的效果, 有人提出过一个需要第三方协助的协议。可这样的任意多方的共享协议, 又有安全性及效率方面的弱点。

3 一种前向安全的门限数字签名方案

随着数字签名技术的发展, 如何更好地保护密钥以使已签名的文件始终有效已经成为当前研究的热点。

前向安全的门限数字签名方案是结合了前向安全的特性来实施门限数字签名的方案, 其基本方法是把门限数字签名密钥的有效期分为T个周期, 在这T个周期的每一个周期内可以使用不同的签名密钥来产生签名, 而验证签名的公钥在这整个有效期即T个周期内保持不变。这样即使当前这个周期的签名密钥被泄露了, 而这个周期之前的签名仍然有效。这就既发挥了门限签名的优势, 又利用前向安全的特性有效克服了其缺陷, 使门限数字签名更安全、更高效地发挥了其作用。

按照门限数字签名的步骤, 该方案也分为三个步骤来进行, 即系统初始化阶段、签名生成阶段以及签名验证阶段。

3.1 系统初始化阶段

可信中心选择大素数P, q, 且q IP一1, 令g∈GF (P) , 且lg I=q, 将群G={P1, P2, , P}的签名密钥有效期分为T个时段, 随后可信中心选择初始密钥) (o∈Rz, 然后计算相应公钥Y0=g X;rood P。此时公布P, q, g, , h:{0, 1}z是一个单向函数。可信中心从中选择随机多项式f (x) =x。+a0;) cj, f (0) =x。参与者可据此分别得到自己的分存密钥x 6 8, j=1, 2, 3, , 1”1。

进行密钥更新算法时, 首先, 系统进入i时段 (1iT) 时, 可信中心利用第i-1时段的签名密钥计算xi=x2。modq, (i_1, 2, , T) , 保存x, 并立即从系统中删除x。其次, 可信中心选择多项式:6 8 (x) =xi+ai;x, 与上述道理相同, 参与者也可据此分别得到自己的分存密钥x”, j=1, 2, 3, , llo。

3.2 签名生成阶段

该阶段共分五步进行, 分别为:

第一步, 可信中心随机选择r, 并且选择多项式g (x) =r+。E。bx, 参与签名者可据此得到自己的分存密钥g (i) =ri。

第二步, 同上述方案, 将参与对消息m签名的系统成员设为Pj, 1kt。

第三步, 对每个P1kt, 可根据拉格朗日公式计算出x;=.∑Ⅱ.x.6 8lhl IhIl。

第四步, 对每个P1kt, 再次根据拉格朗Et公式g x=ri计算得到r, 然后可得到:w= (g modp) modq。

第五步, 计算t= (h (m) 一x2{T+I-jw) rmodq, (j, W, t) , 此即为群系统对消息m的签名。

至此, 门限签名生成。

3.3 签名验证阶段

签名接收者收到 (j, W, t) 后, 验证yww6 8:gmod P是否成立, 以此来验证签名的有效性。

4 该前向安全的门限签名方案分析

4.1 正确性分析

第j时段时, 其签名密钥为Xi。之后由密钥更新算法可得到xi=x02modq, 所以有:ggh (m) 。6 8modp (g) 。=g 6 8 (g) 一modp=gh () =W 6 8Y。

4.2 前向安全性及有效抵抗伪造攻击分析。

新方案的安全性依赖于计算有限域上离散对数的难题, 也就是从公钥Y。=gmod P到私钥的计算是基于离散对数的困难性问题。该方案密钥更新过程采用了单向函数, 然后基于模合数的平方根计算, 并由当前密钥去求上一密钥的问题实则是一个模P平方根的问题, 实际上具有P的因子分解难度, 鉴于P是两个大素数之乘积, 所以, 当素数的位数K处于较大情况下时是安全的。

综上分析可见, 该方案具有前向安全性而且可以抵抗伪造的攻击。

当前, 前向安全的门限数字签名正是一个热点问题, 如何设计一个高效、安全的前向安全的门限数字签名方案仍是一个开放性问题, 本文仅作浅析, 期待更好的方案及分析问世, 实现电子商务更顺畅、快捷地流通。

参考文献

[1]潘红艳.一种新的前向安全的门限签名方案[J].湖北理工学院学报, 2012 (05) .

[2]陈洪海, 王宏久, 于存光.安全 (t, n) 门限数字签名方案[J].沈阳师范大学学报:自然科学版, 2012 (02) .