门限失败_停止签名

，比如 是可信赖的中心机构。()，为大素数，示 %! & ’()* * && !离散对数问题、大数分解问题以及最短向量问题等。而失败停 ’上所有 元构成的矢量空间。访问结构 是一个矢量空间访问 + ! 止签名则不存在这种计算假设。 + 结构，如果存在函数 :满足特性:"!"-%.#& (%)以往的失败停止签名有一个缺陷，就是不能用同一套秘 ’"(%),(%，" ")$〈"(")’(-，-， ，-):"$. /%. $! ，，，,%,!,#,,密参数为不同的消息签名。这样，在密码上，就相当于一次一 换句话 说 ，矢 量 ()能 表 示 为 集 合():中 的 向 "%-"""$. . ,,密，增加了签名的复杂性，使得它的应用受到了限制。关于失 败停止签名的研究不是很多。文献提出了在椭圆曲线上的 量的线性组合当且仅当 是一个授权子集。’(!). 失败停止签名方案。文献提出了基于大数分解的失败停 (*)’’ 如果 ! 是这样一个矢量空间访问结构，当对所有 " $! 有止签名方案。文献提出了门限失败停止签名方案。但是，以 (#)’(表示参与者 可能接收到的所有可能子秘密的集合) 0& 0" $"" 上提到的文献中，也同样存在着一套秘密参数只能对同一个消 时，则能够建立一个理想的秘密共享方案。给定秘密 ，分 $$& 息签名的问题。 发者随机选择 ，， ，，令 (，， ，)，其中，， 111$& 2 ’1111,$ !*+%!+%该文方案对以前提出的失败停止签名方案进行了改进。 ’显然有(，())，则分配给第 个参与者的子秘密将是 2 "%,$ , 3’ 使得可以用同一秘密参数对不同的消息进行签名;通过引入矢 , 量空间秘密共享方法，构造了一种门限失败停止签名方案，并 ’(2 ， ("))，即 31。函数 是公开的。授权子集中的参"’-" !对此方案进行了安全性分析。 ,, 4 4, 4 与者利用他们所拥有的子秘密的线性组合计算出秘密 。事实 $ 上，假设 ，， ，是一个授权子集，则有 ()(). ,-"""."%,6""/ %!5%% 6"(")/ /6"(")，这里，6$&，. 中的参与者能够计算秘密 $ ’ !!55, 。这样构造的方案称为矢量空间秘密共享方 678678 867%%55!! ! 矢量空间秘密共享案。下文中将沿用此处的符号标记。 矢量空间秘密共享方法在文献中给出。对其方法简单描 (+) 述如下: 设定 ，， ，是 个参与者的集合，是 的子集 !,-""".# ! ! %#!* 签名方案 的集合，如果在 中的子集是能够计算出秘密 的参与者的 ! $ 通常的数字签名依赖于计算假设。比如，对手没有有效的 算法或能力来解决某一类数学难题。对于具有有效的算法或具 子集，则称 为访问结构，中的子集称为授权子集。 ! ! 有无限的计算能力的对手来说，就可以伪造签名。在一般的数 矢量空间构造是一种针对访问结构构造某些理想方案的 作者简介:马春波(%&T+’)，男，汉族，山东潍坊人，在读博士研究生，研究兴趣:密码学，移动通信系统安全，信息系统安全工程。何大可，男，汉族， 博士生导师，研究兴趣:密码学，移动通信系统安全，信息系统安全工程，并行计算，应用数学。 字签名中，并没有一个有效的机制来防止具有上述假设能力的1$% 初始化 对手的可能的伪造。该文所提出的方案具有如下特点: 选 择 秘 密 ()，并 随 机 选 择 ，， ，。 1 &%#-##222!4 ，，，- -!-’-3()提供一种保护，当检测到有伪造发生时，及时停止此签 %(，， ，)，其中，。由以上对矢量空间秘密共 5 (2222+&令:，，，，--%-!-3-%- 名系统。使得具有无限计算能力的对手的伪造无法成功。享方案的描述，可知:假设 ，， ，是一个授权子集，则6 +27773 %8!()可在一套秘密参数下，对多个消息进行签名。! 秘密 49 9 。这里4，可被任何参与者:!()签名者不能否认其签名。&+9494 ::’ ，，，--，%-，%-，-，-8-8-;!!计算，并公布。 && && % ’ #!’$% 初始化及签名过程+* + ()* % < +* + ()* %< % !参与者任取秘密值 ，，，()，为大素数。另取!!""!#$% % %%!!1 选择参数 0，并在群体中共享。 ()并在团体内部公开。对消息 ，参与者对消息 的签 &!#$% ’’ 1$! 参与者的个体签名 名为:由以上对秘密共享方案的描述可得，参与者 所得到的7 ; &&!(!)’ "()* %!(!)’ "()* % % % % ! ! ! 子秘密为(: ，: ，: ，: )，并以此作为他的 密 钥 。 对 消 息 ’ %，; !，; ’，; #，; 此签名中，参与者与验证者共享 *，+#$(% )，并公布: ! 的签名为: "" !!% % !!0 0 +94 9)* %!:’:(!+9:4 9:()* %’ ,+* + ()* %,+* + ()* %，，，，，，，，，，%;%;%;;; !!;;;#;#; !’’ % ! 并公布: 参与者将签名(，，)交给验证者。!!’ % !9:9: 9:9: ，，，，，，，，%; %; ; ;; ; #; #;!’’!$ 签名的验证 ’!,+* + ()* %,+* + ()* %， ， %;!;验证者在收到签名(，，)后，验证:!!’ % ! 验证过程如 ’$! 节，这里省略。 参与者将签名(，，)送给验证者。 !!’，，%;;!& ,! !% ’! * + ",( ) * % (%) ,() %! 1$ 群体签名的产生’ 定理 %:如果等式(%)成立，则签名有效。 , 、, 以及签名 ! 、! 后，群体签 所有的参与者公布了 %，; ，; %，; ，; !!证明: 名为:& & & !! !!"" !) "!) " ’’% !% ! % !’ % % ! !8 8 ()* %+* +(* + ) ()* % * + +* + !(!()* %!(!()* %& !!，，%%; !!; ’ ; ( % ; ( % +,(, ) ()* % %! 并计算: 证毕。 8 8 定理 :对于同一个消息，如果接收者伪造秘密(，)，!.".! ,(,()* % "- - ，%%; * %,(,() "，; !!; ( % ; ( % 并成功地欺骗验证者，则伪造者知道 的值。-).+ * 1$# 群体签名的验证 /. !!!!% % !!证明:若 * + * + )* % "(验证者得到群体签名后，并根据参与者公开的数据做如下 !0!/ !.0! % % !! 验证:则:* + ()* % " & 0 ,, ! !!/!. %! ’’% % -). + )* %"(* + < < * %()""() ,,!* % % !!.!/! !!定理 ’:如果等式(!)成立，则多重签名有效。 -).+ 的值。因此，如果欺骗成功，则伪造者知道 *证明: 8 8 0 0 ’’ 安全性分析# ()(, , (,,) )* % ( ""，%;，; !% !; ( % ; ( % ()该文方案可以对多个消息用同一组密钥签名。对于选 %0 && && ’% ’ ! #择明文攻击的难度等同于求解离散对数的难度。也就是，通过((* + ()* + ) ()* % 0 的值，不能确定 的值。& ’0 0 &4&& & )’ ’% !’ # ()对手不能通过签名者对不同的消息进行签名而得到 ，!! %(* + ()* % ! !% ! !，"，"的值。 !%! (* + ()* % ()通过对定理 的证明可看出，即使对手具有无限的计 ’! 0 &&&& % #’! ’+ (* + ) * % (* () 算能力，能够有解决离散对数的有效的算法，只要他不知道0 ’ -).+ 的值，验证者就可以发现欺骗行为的发生。 *(<<()* % % ! ()由于在不知道 的值的情况下，发生欺骗成功的概 证毕。 #-+ ).* 率非常小，所以，具有不可否认性。 5 安全分析 ()该文中用秘密共享构造的方案具备以上方案中的安全 %1 矢量空间秘密共享—失败停止签名 特点。该文所提出的多重签名方案的特点: && && % ! #’()提供一种保护，当检测到有伪造发生时，及时停止此签 %()任何攻击者仅通过 和 <+ % <+ %!(* ()*(* ()* % ! 名系统。使得具有无限计算能力的对手的伪造无法成功。不能得到关于 、、和 的任何消息。&&&& %!’ # ()可在一套秘密参数下，对多个消息进行签名。 !()任何 ()个人的联合都不可能得到 、、和 的 ’==>8&&&&%!’ # ()如果团体签名有效，则该团体不能否认其签名来自于 ’ 任何消息。 该团体。 (下转 %56 页) %#5 ""#$%& 计算机工程与应用 ! 越多，传输的相对费用越小。 服务提供者的合法性、内容安全性。 %@:B$ 对结构一来说，纯 的结构没有第三方认证，只是基于 77 !&* ’邻居式的信赖关系，这种方式保证不了对方节点以及节点提供 所需要的平均查找传输费用 (，)，其中 (，+,,Y+,- ! ((Y% (%!!( % )的内容是可信任的，任何一台节点可以轻易地取得别的节点的 )表示两节点之间传输的时间。表示中心点之间传输查询的 ,- (!信任，这在安全性上是很脆弱的。 费用。 结构二和结构三都能提供身份认证，只是具体执行的节点 全搜索的时间为: 不同，结构二的身份认证在中心点执行，在结构三主要在注册 点执行。相对中心点而言，注册点都是高度可信赖的站点，其身 % % %%!1@:B$ @:B$ @:B$ &’* &’* &’* 份认证也具有高可靠性，但是额外要多消耗资源。 / 0 .2- "# )+(,，,)，+(,，,)，+(,，,! ! ! ! ((Y%! ((Y%! ((Y%#$# 可扩展性 ( % ( % ))( ) % 其中 随着 的日益广泛和深入，各种 网络之间的兼容 %%Y%! Y%*)% 7!7 7!7 和整合是 能否进一步壮大的关键所在。但是各种 网 77 77 !! 结 构 三 中 查 找 到 一 个 文 件 所 经 过 节 点 的 平 均 节 点 数 为络之间的不尽相同，以致提供的服务又是难以整合。但是 %@:B$ &’* 三层结构避免了在协议层次上的整合，注册点的出现使得各种 % @:B$ ，所需要的平均查找传输费用 +(,，,)Y-。网络的兼容有了一座桥梁。直接对服务请求的转移避开了 77 !! + ((Y%&’ ( % )底层协议的难以兼容。 全搜索的时间为: %%%%!1@:B$ @:B$ @:B$ &’* &’* &’* / 0 2-."$ +(,，,)，+(,，,)，+(,，,)! ! ! + ((Y%+ ((Y%+ ((Y%( ) % ( ) % ( ) % 结论( 比较这三种结构:当网络规模巨大的时候 - 的费用可以 该文提出了在 环境中一种以区域划分为目的三层结 7!7 忽略不计，在平均查找传输费用上，结构二明显优于结构一，但 构及其算法的描述，在与原有的两种结构的比较中显示了在效 是由于结构二的不规整性，(，)(，)。+,,Z[+,, ! (%(!+ (%(!率、可靠性、安全性以及可扩展性上的优势。随着 的不断发 7!7 由此可以得到结论:在效率上结构三优于结构二，结构一。展，该结构更能适应大规模的网络。同时，在网格计算中亦可以 #$! 可靠性 有相类似的应用。(收稿日期:年 月)""+ %% !系统的可靠性在这里主要是指应付突发性事件的能力。某 个节点的崩溃是否会对整个提供服务网络形成影响或是别的 节点造成不可连通的现象。 参考文献结构一的纯 网络中，可靠性是最高的，任何一个节点 7!7 的瘫痪都不会造成整个网络的不作用。只有邻居节点依赖且只 % $L 28G$6Q1 V142B 8 E@C52 > LC52B D@B925Q<4 >9 J:/:/./,..:/::/:: L1.@*62<1 FQ.//1@4WLX6$1?Q L1AWFKX6L*&#*"!#，\/2E19425G :> F.@2* 依赖此节点时，才会对邻居节点造成不可用现象。这也是 77 ! >:9/2. .5 ]19=1@1G，S/519/.52:/.@ F::9<.52:/*4Q.92/B .@519/.52E1 结构二的混合式结构在中心点的突然瘫痪后如果没有策 WNXF$191?1 V24592RC518 F:>?221/5 >.2@*45:A 过检测发现。 42B/.5C91$ D8E./?14 2/ F9GA5:@:BG*,C9:?9GA5H&!，%&&!:++)I+#’ ()只要攻击者不知道 的值，就可以用同一秘密值 对 多 (# $ KC42@: ，L K.>.E2 * M.22 ，N 721A9OG= $P.2@ * 45:A 5Q914Q:@8 42B.5C91 !J//个消息签名。其安全性与求解离散对数等同。 4?Q1<14 R.418 :/ 1@@2A52? ?C9E1$S/>:9<.52:/ K1?C925G ./8 792E.?G ， DFSK7H&&，T1?5C91 M:514 2 F:E2M22 ，N41> 721A9OG=$LKDR418 P2@K5A J:..*./:*..*: K2B/.5C91 K?Q1<14$;;;$25.?4$C:;$18C$.C U I4"( U A.A19+$A4 ) 结束语 ， 该方案对以前提出的失败停止签名方案进行了改进，使 #$L12 K.>.E2*M.2/2J2@@G KC42@:$6Q914Q:@8 P.2@*K5:A K2B/.5C91 K?Q1<14* 得可以用同一秘密参数，对不同的消息进行签名，使得方案的 R418 V24?9151 TB925Q 8 P?592O52$$25?4$C$18C$C U .:/ :.<./.:.:/;;;.:;.I安全性与效率得到提高;通过引入矢量空间秘密共享方法，构 4"( U SKJ""$A4 造了一种门限失败停止签名方案，并对此方案进行了安全性 *($许春香，傅小彤，肖国镇$预防欺诈的矢量空间秘密共享方案WNX西$安 分析。(收稿日期:年 月)# + !""!""!;!&(#) 电子科技大学学报，