门限失败_停止签名
% (西南交通大学计算机与通信学院保密所,成都 0%""*%)
! 西南交通大学网络通讯安全应用中心,成都 0%""*%) (
:1’2345678239!0*$:;<
摘 要 该文
对以前提出的失败’停止签名方案进行了改进,使得可以用同一秘密参数,对不同的消息进行签名;通 过引入矢量空间秘密共享方法,构造了一种门限失败停止签名方案,并对此方案进行了安全性分析。’ 关键词 失败停止签名 矢量空间 秘密共享’
文章编号 %""!’=**%’(!""#)%&’"%#+’"! 文献标识码 > 中图分类号 ?@*"&
#$%&’ +’.& +01.2#$ !""()*,-/-*
6 :215&$ 9$ 3* 4"78*% (ABCD
?(%K345’J题,比如 是可信赖的中心机构。(),为大素数,
示 %! & ’()* * && !离散对数问题、大数分解问题以及最短向量问题等。而失败停 ’上所有 元构成的矢量空间。访问结构 是一个矢量空间访问 + ! 止签名则不存在这种计算假设。 + 结构,如果存在函数 :满足特性:"!"-%.#& (%)以往的失败停止签名有一个缺陷,就是不能用同一套秘 ’"(%),(%," ")$〈"(")’(-,-, ,-):"$. /%. $! ,,,,%,!,#,,密参数为不同的消息签名。这样,在密码上,就相当于一次一 换句话 说 ,矢 量 ()能 表 示 为 集 合():中 的 向 "%-"""$. . ,,密,增加了签名的复杂性,使得它的应用受到了限制。关于失
败停止签名的研究不是很多。文献提出了在椭圆曲线上的 量的线性组合当且仅当 是一个授权子集。’(!).
失败停止签名方案。文献提出了基于大数分解的失败停 (*)’’ 如果 ! 是这样一个矢量空间访问结构,当对所有 " $! 有止签名方案。文献提出了门限失败停止签名方案。但是,以 (#)’(表示参与者 可能接收到的所有可能子秘密的集合) 0& 0" $"" 上提到的文献中,也同样存在着一套秘密参数只能对同一个消 时,则能够建立一个理想的秘密共享方案。给定秘密 ,分 $$& 息签名的问题。 发者随机选择 ,, ,,令 (,, ,),其中,, 111$& 2 ’1111,$ !*+%!+%该文方案对以前提出的失败停止签名方案进行了改进。 ’显然有(,()),则分配给第 个参与者的子秘密将是 2 "%,$ , 3’ 使得可以用同一秘密参数对不同的消息进行签名;通过引入矢 , 量空间秘密共享方法,构造了一种门限失败停止签名方案,并 ’(2 , (")),即 31。函数 是公开的。授权子集中的参"’-" !对此方案进行了安全性分析。 ,, 4 4, 4 与者利用他们所拥有的子秘密的线性组合计算出秘密 。事实 $
上,假设 ,, ,是一个授权子集,则有 ()(). ,-"""."%,6""/ %!5%%
6"(")/ /6"("),这里,6$&,. 中的参与者能够计算秘密 $ ’ !!55,
。这样构造的方案称为矢量空间秘密共享方 678678 867%%55!! ! 矢量空间秘密共享案。下文中将沿用此处的符号标记。 矢量空间秘密共享方法在文献中给出。对其方法简单描 (+)
述如下:
设定 ,, ,是 个参与者的集合,是 的子集 !,-""".# ! ! %#!* 签名方案 的集合,如果在 中的子集是能够计算出秘密 的参与者的 ! $ 通常的数字签名依赖于计算假设。比如,对手没有有效的
算法或能力来解决某一类数学难题。对于具有有效的算法或具 子集,则称 为访问结构,中的子集称为授权子集。 ! !
有无限的计算能力的对手来说,就可以伪造签名。在一般的数 矢量空间构造是一种针对访问结构构造某些理想方案的
作者简介:马春波(%&T+’),男,汉族,山东潍坊人,在读博士研究生,研究兴趣:密码学,移动通信系统安全,信息系统安全工程。何大可,男,汉族,
博士生导师,研究兴趣:密码学,移动通信系统安全,信息系统安全工程,并行计算,应用数学。
字签名中,并没有一个有效的机制来防止具有上述假设能力的1$% 初始化 对手的可能的伪造。该文所提出的方案具有如下特点: 选 择 秘 密 (),并 随 机 选 择 ,, ,。 1 &%#-##222!4 ,,,- -!-’-3()提供一种保护,当检测到有伪造发生时,及时停止此签 %(,, ,),其中,。由以上对矢量空间秘密共 5 (2222+&令:,,,,--%-!-3-%- 名系统。使得具有无限计算能力的对手的伪造无法成功。享方案的描述,可知:假设 ,, ,是一个授权子集,则6 +27773 %8!()可在一套秘密参数下,对多个消息进行签名。!
秘密 49 9 。这里4,可被任何参与者:!()签名者不能否认其签名。&+9494 ::’ ,,,--,%-,%-,-,-8-8-;!!计算,并公布。
&& && % ’ #!’$% 初始化及签名过程+* + ()* % < +* + ()* %< % !参与者任取秘密值 ,,,(),为大素数。另取!!""!#$% % %%!!1 选择参数 0,并在群体中共享。 ()并在团体内部公开。对消息 ,参与者对消息 的签 &!#$% ’’ 1$! 参与者的个体签名 名为:由以上对秘密共享方案的描述可得,参与者 所得到的7 ; &&!(!)’ "()* %!(!)’ "()* % % % % ! ! ! 子秘密为(: ,: ,: ,: ),并以此作为他的 密 钥 。 对 消 息 ’ %,; !,; ’,; #,; 此签名中,参与者与验证者共享 *,+#$(% ),并公布: ! 的签名为: "" !!% % !!0 0 +94 9)* %!:’:(!+9:4 9:()* %’ ,+* + ()* %,+* + ()* %,,,,,,,,,,%;%;%;;; !!;;;#;#; !’’ % ! 并公布: 参与者将签名(,,)交给验证者。!!’ % !9:9: 9:9: ,,,,,,,,%; %; ; ;; ; #; #;!’’!$ 签名的验证 ’!,+* + ()* %,+* + ()* %, , %;!;验证者在收到签名(,,)后,验证:!!’ % ! 验证过程如 ’$! 节,这里省略。
参与者将签名(,,)送给验证者。 !!’,,%;;!& ,! !% ’! * + ",( ) * % (%) ,() %! 1$ 群体签名的产生’
定理 %:如果等式(%)成立,则签名有效。 , 、, 以及签名 ! 、! 后,群体签 所有的参与者公布了 %,; ,; %,; ,; !!证明: 名为:& & & !! !!"" !) "!) " ’’% !% ! % !’ % % ! !8 8 ()* %+* +(* + ) ()* % * + +* + !(!()* %!(!()* %& !!,,%%; !!; ’ ; ( % ; ( % +,(, ) ()* % %! 并计算: 证毕。 8 8 定理 :对于同一个消息,如果接收者伪造秘密(,),!.".! ,(,()* % "- - ,%%; * %,(,() ",; !!; ( % ; ( % 并成功地欺骗验证者,则伪造者知道 的值。-).+ *
1$# 群体签名的验证 /. !!!!% % !!证明:若 * + * + )* % "(验证者得到群体签名后,并根据参与者公开的数据做如下 !0!/ !.0! % % !! 验证:则:* + ()* % "
& 0 ,, ! !!/!. %! ’’% % -). + )* %"(* + < < * %()""() ,,!* % % !!.!/! !!定理 ’:如果等式(!)成立,则多重签名有效。 -).+ 的值。因此,如果欺骗成功,则伪造者知道 *证明:
8 8 0 0 ’’ 安全性分析# ()(, , (,,) )* % ( "",%;,; !% !; ( % ; ( % ()该文方案可以对多个消息用同一组密钥签名。对于选 %0 && && ’% ’ ! #择明文攻击的难度等同于求解离散对数的难度。也就是,通过((* + ()* + ) ()* % 0 的值,不能确定 的值。& ’0 0 &4&& & )’ ’% !’ # ()对手不能通过签名者对不同的消息进行签名而得到 ,!! %(* + ()* %
! !% ! !,","的值。 !%! (* + ()* % ()通过对定理 的证明可看出,即使对手具有无限的计 ’! 0 &&&& % #’! ’+ (* + ) * % (* () 算能力,能够有解决离散对数的有效的算法,只要他不知道0 ’ -).+ 的值,验证者就可以发现欺骗行为的发生。 *(<<()* % % ! ()由于在不知道 的值的情况下,发生欺骗成功的概 证毕。 #-+ ).*
率非常小,所以,具有不可否认性。
5 安全分析
()该文中用秘密共享构造的方案具备以上方案中的安全 %1 矢量空间秘密共享—失败停止签名 特点。该文所提出的多重签名方案的特点: && && % ! #’()提供一种保护,当检测到有伪造发生时,及时停止此签 %()任何攻击者仅通过 和 <+ % <+ %!(* ()*(* ()* % ! 名系统。使得具有无限计算能力的对手的伪造无法成功。不能得到关于 、、和 的任何消息。&&&& %!’ # ()可在一套秘密参数下,对多个消息进行签名。 !()任何 ()个人的联合都不可能得到 、、和 的 ’==>8&&&&%!’ # ()如果团体签名有效,则该团体不能否认其签名来自于 ’ 任何消息。 该团体。 (下转 %56 页)
%#5 ""#$%& 计算机工程与应用 !
越多,传输的相对费用越小。 服务提供者的合法性、内容安全性。 %@:B$ 对结构一来说,纯 的结构没有第三方认证,只是基于 77 !&* ’邻居式的信赖关系,这种方式保证不了对方节点以及节点提供 所需要的平均查找传输费用 (,),其中 (,+,,Y+,- ! ((Y% (%!!( % )的内容是可信任的,任何一台节点可以轻易地取得别的节点的 )表示两节点之间传输的时间。表示中心点之间传输查询的 ,- (!信任,这在安全性上是很脆弱的。 费用。 结构二和结构三都能提供身份认证,只是具体执行的节点 全搜索的时间为: 不同,结构二的身份认证在中心点执行,在结构三主要在注册
点执行。相对中心点而言,注册点都是高度可信赖的站点,其身 % % %%!1@:B$ @:B$ @:B$ &’* &’* &’* 份认证也具有高可靠性,但是额外要多消耗资源。 / 0 .2- "# )+(,,,),+(,,,),+(,,,! ! ! ! ((Y%! ((Y%! ((Y%#$# 可扩展性 ( % ( % ))( ) % 其中 随着 的日益广泛和深入,各种 网络之间的兼容 %%Y%! Y%*)% 7!7 7!7
和整合是 能否进一步壮大的关键所在。但是各种 网 77 77 !! 结 构 三 中 查 找 到 一 个 文 件 所 经 过 节 点 的 平 均 节 点 数 为络之间的
不尽相同,以致提供的服务又是难以整合。但是 %@:B$ &’* 三层结构避免了在协议层次上的整合,注册点的出现使得各种 % @:B$ ,所需要的平均查找传输费用 +(,,,)Y-。网络的兼容有了一座桥梁。直接对服务请求的转移避开了 77 !! + ((Y%&’ ( % )底层协议的难以兼容。 全搜索的时间为:
%%%%!1@:B$ @:B$ @:B$ &’* &’* &’* / 0 2-."$ +(,,,),+(,,,),+(,,,)! ! ! + ((Y%+ ((Y%+ ((Y%( ) % ( ) % ( ) %
结论( 比较这三种结构:当网络规模巨大的时候 - 的费用可以 该文提出了在 环境中一种以区域划分为目的三层结 7!7 忽略不计,在平均查找传输费用上,结构二明显优于结构一,但
构及其算法的描述,在与原有的两种结构的比较中显示了在效 是由于结构二的不规整性,(,)(,)。+,,Z[+,, ! (%(!+ (%(!率、可靠性、安全性以及可扩展性上的优势。随着 的不断发 7!7 由此可以得到结论:在效率上结构三优于结构二,结构一。展,该结构更能适应大规模的网络。同时,在网格计算中亦可以 #$! 可靠性 有相类似的应用。(收稿日期:年 月)""+ %% !系统的可靠性在这里主要是指应付突发性事件的能力。某
个节点的崩溃是否会对整个提供服务网络形成影响或是别的
节点造成不可连通的现象。 参考文献结构一的纯 网络中,可靠性是最高的,任何一个节点 7!7
的瘫痪都不会造成整个网络的不作用。只有邻居节点依赖且只 % $L 28G$6Q1 V142B 8 E@C52 > LC52B D@B925Q<4 >9 J:/:/./,..:/::/::
L1.@*62<1 FQ.//1@4WLX6$1?Q L1AWFKX6L**"!#,\/2E19425G :> F.@2* 依赖此节点时,才会对邻居节点造成不可用现象。这也是 77 !
>:9/2. .5 ]19=1@1G,S/519/.52:/.@ F:
:9<.52:/*4Q.92/B .@519/.52E1 结构二的混合式结构在中心点的突然瘫痪后如果没有策 WNXF$
191?1 V24592RC518 F:>?221/5 >.2@*45:A 过检测发现。 42B/.5C91$ D8E./?14 2/ F9GA5:@:BG*,C9:?9GA5H&!,%&&!:++)I+#’ ()只要攻击者不知道 的值,就可以用同一秘密值 对 多 (# $ KC42@: ,L K.>.E2 * M.22 ,N 721A9OG= $P.2@ * 45:A 5Q914Q:@8 42B.5C91 !J//个消息签名。其安全性与求解离散对数等同。 4?Q1<14 R.418 :/ 1@@2A52? ?C9E1$S/>:9<.52:/ K1?C925G ./8 792E.?G ,
DFSK7H&&,T1?5C91 M:514 2 F:E2M22 ,N41> 721A9OG=$LKDR418 P2@K5A J:..*./:*..*:
K2B/.5C91 K?Q1<14$;;;$25.?4$C:;$18C$.C U I4"( U A.A19+$A4 ) 结束语
, 该方案对以前提出的失败停止签名方案进行了改进,使 #$L12 K.>.E2*M.2/2J2@@G KC42@:$6Q914Q:@8 P.2@*K5:A K2B/.5C91 K?Q1<14*
得可以用同一秘密参数,对不同的消息进行签名,使得方案的 R418 V24?9151 TB925Q 8 P?592O52$$25?4$C$18C$C U .:/ :.<./.:.:/;;;.:;.I安全性与效率得到提高;通过引入矢量空间秘密共享方法,构 4"( U SKJ""$A4 造了一种门限失败停止签名方案,并对此方案进行了安全性 *($许春香,傅小彤,肖国镇$预防欺诈的矢量空间秘密共享方案WNX西$安 分析。(收稿日期:年 月)# + !""!""!;!&(#) 电子科技大学学报,