CN101425902A - 一个具有前向安全的门限数字签名方法与系统 - Google Patents

Abstract

本发明属于信息安全技术领域，涉及对数字信息进行签名问题，更确切地说是涉及一种能够增加敌手窃取签名密钥难度并且能够减轻签名密钥泄露影响的数字签名方法与系统。该签名方法通过应用Shamir秘密共享技术以及多方安全计算技术为一个经典的基础数字签名方法添加了门限机制与子秘密更新机制。门限机制增强了签名密钥的安全性，并可以起到权利分散的作用；子秘密更新机制实现了签名密钥的前向安全，即：即使敌手获得当前时间段的签名密钥，敌手也不能够通过该密钥伪造出一个属于前一时间段的合法签名，保护了以前的签名的有效性，降低了密钥泄露的损失。另外，该签名方法还包括一个成员加入机制，加强了方案的安全性和适用范围。

Description

一个具有前向安全的门限数字签名方法与系统

技术领域

本发明属于信息安全技术领域，涉及对数字信息进行签名问题，更确切地说是涉及一种能够增加敌手窃取签名密钥难度并且能够减轻签名密钥泄露影响的数字签名方法与系统。

背景技术

前向安全签名的概念在1997年由Anderson引入，解决了通常数字签名的一些缺陷：一旦秘密密钥丢失(或被窃取)，以前由这个密钥生成的所有签名都变得无效。为了减少这样的损失，Anderson提出把密钥的有效期分成时段，在每个时段的最后，签名者以一个单向的模式从当前时段的秘密密钥得到一个新的下一个时段秘密密钥，并且安全的删除不再使用的秘密密钥。而在整个密钥的生命周期里公钥不变，这个方法确保了泄露密钥的时段以前的所有签名的有效性。在最近这些年，具备前向安全的数字签名方案得到研究和发展。Bellare和Mine通过对通常签名方案安全定义的扩展，给出了前向安全正式的定义，同时提出了两个方案：一个是在普通签名基础上使用树型结构的证书链构造的方案：另一个是修改通常的签名方案(Fiat-Sham签名方案)。2001年，Abdalla和Miner给出一个前向安全的门限数字签名，但是该方案的签名密钥和验证密钥都比较长。

我们这里要研究的前向安全的门限签名方案应用门限机制对消息进行签名，即将签名密钥分割成多份，分别有多人保管，须由一定数目的签名子密钥拥有者联合才能够产生一个有效的签名，该签名等同于由签名密钥直接产生并可使用对应的公开密钥验证其有效性。方案还采用密钥进化机制，把整个周期(一般是声明的公钥有效期)分成更小的一个个时段，在整个周期内，公钥是固定不变的，而私钥是随时段不断进化。

一个标准的数字签名包括密钥生成协议、签名协议和签名验证算法，而在前向安全的数字签名方案中，还包括一个密钥进化协议，这个协议是用来说明在整个周期中，密钥是怎样进化的。另外，一个不可忽视的问题是在门限签名系统中，成员签名子密钥会出现损坏或丢失，当子密钥损失数目超过一定值后，整个系统将不可用，另外针对某具体应用，可能会有向系统中加入新成员的应用需求，因此一个完善的前向安全的门限签名方案还应该包括一个成员加入协议。

一个A(t，k_s，k_u，k_j，n)前向安全的门限数字签名是指该方案最多可以在t个参与者被攻陷后，仍能保证其签名密钥的安全性，它的工作过程如下：

在密钥生成阶段，分发者生成公、私钥并将私钥分割后分发给n个参与者。

在每一个时间段的开始时刻，由n个参与者中的k_u个没被攻陷的参与者执行密钥进化协议，协议执行后，这个时段的私钥将改变，并且每一个参与者，无论是否参与密钥进化协议，都会得到这个时段属于自己的新的子密钥。

要对一个消息m进行签名，需k_s个参与者共同执行签名协议，进而生成一个使用当前时段签名密钥签署的消息签名。这个签名中将包括本时段的序号并可以由公钥验证通过。

当有新成员要加入系统时，需要k_j个参与者共同执行成员加入协议，为新加入成员生成一个这一时段属于他的签名子密钥。该过程不泄露任何原有成员的秘密信息，并且新成员加入后，与原有成员拥有相同的地位。

验证过程同普通数字签名验证过程相同。任何持有公钥的一方都可以执行该过程，验证结果将是“接受”或“拒绝”，以告知验证者被验证的签名是否有效。我们假设前向安全的门限数字签名方案产生的签名形式是<j，tag>，其中j为产生该签名的时段序号，对于一个前向安全的门限签名方案，在时段l，即使敌手攻陷t个以上参与者，他也不能成功伪造一个签名<j，tag>满足verify_PK(m，<j，tag>)＝1并且j<l。这里，verify()是签名验证算法，也就是说，敌手即使在第l时段获得签名密钥，他也不能伪造出l时段之前的有效签名。前向安全的方案都要求使用者删除前一时段使用的密钥，并将这一步骤作为密钥进化协议的一部分，这很关键，否则，敌手攻陷系统后将根据以前时段的子秘密信息获得以前时段的签名密钥来生成以前时段的有效签名。

在我们的发明中，应用了下面的数论知识：

设k和l是两个安全参数，p₁≡p₂≡3(mod4)是两个大素数。N＝p₁p₂是一个k位的整数(即N是一个Blum整数)。为了简化计算，我们可以合理地假设N>2k-1，并且|Z_N ^*|＝N-p₁-p₂+1≥2^k-1。记Q是模N的二次剩余集合。由数论中的定理可知|Q|≥2^k-3，并且对于集合Q中任意元素x，x的四个平方根中有且仅有一个属于Q，因此，平方在Q上是一个置换。从现在起，当我们说x的平方根时，我们是指属于Q的那个平方根。

令U∈Q，定义：F₀(Z)＝Z²modN，F₁＝UZ²mod N。对于l位二进制串σ＝σ₁…σ_l，定义F_σ：Q→Q为： $F_{\mathrm{\&sigma;}}\left(Z\right)=F_{{\mathrm{\&sigma;}}_1}(\&CenterDot;\&CenterDot;\&CenterDot;\left(F_{{\mathrm{\&sigma;}}_2}\left(F_{{\mathrm{\&sigma;}}_1}\left(Z\right)\right)\right)\&CenterDot;\&CenterDot;\&CenterDot;)=Z^{2^l}{U}^{\mathrm{\&sigma;}}\mathrm{mod}N.$ (注意：这里的U^σ并非通常意义上的U的σ次幂，σ在这里是一个二进制串，而非代表一个整数)因为平方是在Q上的置换，而U∈Q，故F_σ在Q上也是一个置换。

在知道U和N的前提下，F_σ(z)可以快速计算，同时，如果知道p₁和p₂，则对于给定的Y，可以快速计算出 $Z=F_{\mathrm{\&sigma;}}^{-1}\left(Y\right).$ (通过计算 $S=1/U^{2^{-l}}\mathrm{mod}N$ ， $Z=Y^{2^{-l}}{S}^{\mathrm{\&sigma;}}\mathrm{mod}N$ 可得。这些计算可以先分别计算modp₁和modp₂的结果，然后用中国剩余定理合并。)然而，如果不知道U的平方根，那么是难于计算的。下面我们给出证明：

引理：给定Y∈Q和两个不同的等长的串σ和τ，Z₁＝F_σ ^-1(Y)，Z₂＝F_τ ^-1(Y)，能够计算出V∈Q且V²≡U mod N

证明：如果|σ|＝|τ|＝1，(无损于一般性地)，令σ＝0，τ＝1，则F₀(Z₁)＝F₁(Z₂)＝Y，则Z₁ ²≡UZ₂ ²mod N，于是得到V＝Z₁/Z₂mod N。在归纳证明中，令σ和τ为两个长m+1位的串，σ’和τ’为其对应的前m位。如果F_σ’(Z₁)＝F_τ’(Z₂)，则归纳假设完成，否则σ和τ最后一位应该是不同的，于是(不失一般性)，假设σ最后一位为0，τ最后一位为1，则F₀(F_σ’(Z₁))＝F₁(F_τ’(Z₂))，同上可以得证。

根据上面提到的单向函数可以构造下面的数字签名方案。本文提出的前向安全的门限签名方案就是以该方案为基础，加入门限机制和前向安全机制得到的。

签名者生成大模数N和一个随机数S∈Q，S作为签名密钥，需安全保管。计算 $U={\left(S^{2^l}\right)}^{-1}$ 并公开(N，U)作为公钥。H()为一个输出位数为l的哈希函数。

要对消息M签名时，首先生成随机数R∈Q，计算 $Y=R^{2^l},$ σ＝H(Y，M)，Z＝F_σ ^-1(Y)＝RS^σmod N。输出(Z，σ)作为消息M的签名。

验证者验证签名时，首先验证Z≠0mod N，而后计算 $Y^{,}=F_{\mathrm{\&sigma;}}\left(Z\right)=Z^{2^l}{U}^{\mathrm{\&sigma;}}\mathrm{mod}N,$ 最后检验σ＝H(Y’，M)是否成立，成立则证明该签名是M的合法签名。

该数字签名算法是一个经典算法，其正确性和安全性已经由许多前辈学者证明过并经历了长时间的实践检验。

发明内容

本发明的目的是设计一种数字签名方法与签名系统，该签名方法具有门限机制与子秘密更新机制。门限机制增强了签名密钥的安全性，并可以起到权利分散的作用；子秘密更新机制实现了签名密钥的前向安全，即：即使敌手获得当前时间段的签名密钥，敌手也不能够通过该密钥伪造出一个属于前一时间段的合法签名，保护了以前的签名的有效性，降低了密钥泄露的损失。另外，该签名方法还拥有成员加入机制，加强了方案的安全性和适用范围。

方法的特点：

1.本签名方法是一个(t，2t+1，2t+1，t+1，n)的签名方案，其中n≥3t+1，

2.密钥长度短：签名密钥(私钥)与验证密钥(公钥)的长度是常数，与总时段数无关，

并且与其他不具前向安全性的签名方案的密钥长度相当。

3.在门限数字签名方案中加入前向安全机制的方法具有不额外增加计算量的特点，即该前向安全门限签名方案与普通门限数字签名方案具有相同的效率。

4.完善的成员加入机制，使系统更安全更灵活。

本发明的技术方案是这样的：

整个方案包括五个部分：密钥生成协议、密钥进化协议、签名协议、签名验证算法、新成员加入协议。另外，方案中应用到一些关于秘密共享以及安全多方计算的知识，我们将这些知识作为基础模块应用在我们的方案中。下面我们首先介绍基于这些基础知识协议模块，然后给出我们发明的前向安全的门限数字签名方案的完整描述。

一、Shamir秘密共享方案(Shamir-SS)

1979年，Shamir提出秘密共享的思想，并给出了一个有限域上的秘密共享方案。具体方案如下：设GF(q)是一有限域，其中q是一大素数，满足q≥n+1，秘密a₀是在GF(q)\{0}上均匀选取的一个随机数，k-1个系数a₁，a₂，…a_k-1的选取也满足a_i∈_RGF(q)\{0}。在GF(q)上构造一个t次多项式f(x)＝a₀+a₁x+a₂x²+…a_tx^t。

n个参与者记为P₁，P₂…P_n，P_i分配到的子密钥为f(i)。如果任意t+1个参与者

(1≤i₁<i₂<…<i_t+1≤n)要想得到秘密a₀，可使用{(i_j，f(i_j))|j＝1，2，…t+1}构造如下的线性方程组：

$\left\{\begin{array}{c}{a}_0+a_1\left(i_1\right)+\&CenterDot;\&CenterDot;\&CenterDot;+a_t{\left(i_1\right)}^t=f\left(i_1\right)\\ a_0+a_1\left(i_2\right)+\&CenterDot;\&CenterDot;\&CenterDot;+a_t{\left(i_2\right)}^t=f\left(i_2\right)\\ \&CenterDot;\&CenterDot;\&CenterDot;\\ a_0+a_1\left(i_{t+1}\right)+\&CenterDot;\&CenterDot;\&CenterDot;+a_t{\left(i_{t+1}\right)}^t=f\left(i_{t+1}\right)\end{array}\right.$

因为i_t(1≤l≤t+1)均不相同，所以可由Lagrange插值公式构造如下的多项式：

$f\left(x\right)=\underset{j=1}{\overset{t+1}{\mathrm{\&Sigma;}}}f\left(i_j\right)\underset{\underset{l\&NotEqual;j}{l=1}}{\overset{t+1}{\mathrm{\&Pi;}}}\frac{(x-i_l)}{(i_j-i_l)}\left(\mathrm{mod}q\right)$

从而可得秘密a₀＝f(0)。

由上面知识我们构造下面的秘密共享算法：

Shamir-SS算法

算法参数：Z，s，n，t

1.执行者在集合Z中选择t个随机数a₁，a₂，…，a_t作为系数，以秘密s作为常数项构造t次

多项式f(x)＝s+a₁x+a₂x²+…a_tx^t；

2.执行者为多项式赋值，得到关于秘密s的子秘密s₁＝f(1)，s₂＝f(2)，…，s_n＝f(n)。

算法说明：Shamir-SS实现将秘密s利用Shamir秘密共享方案分割成n份，得到子秘密s₁，s₂，…，s_n并且其中的t+1份联合可以恢复出共享秘密s。

二、安全多方计算

在我们的协议的子秘密更新的部分中，需要解决参与者联合计算生成原共享秘密平方的子秘密的问题，这个问题可归类于计算生成两个共享秘密的乘积的子秘密的问题，即：假设n个参与者，通过t次多项式f_α(x)和f_β(x)共享秘密α和β，即f_α(0)＝α，f_β(0)＝β。现在，参与者要联合计算获得αβ的子秘密。对于这个问题，有下面的解决方案。

令Pi所拥有的关于α、β的子秘密记为f_α(i)、f_β(i)，f_α(x)与f_β(x)的乘积为f_α(x)f_β(x)＝γ_2tx^2t+…+γ₁x+αβ＝f_αβ(x)，对于1≤i≤2t+1，有f_αβ(i)＝f_α(i)f_β(i)，所以可以写成：

$A\left[\begin{array}{c}\mathrm{\&alpha;\&beta;}\\ {\mathrm{\&gamma;}}_1\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ {\mathrm{\&gamma;}}_{2t}\end{array}\right]=\left[\begin{array}{c}{f}_{\mathrm{\&alpha;\&beta;}}\left(1\right)\\ f_{\mathrm{\&alpha;\&beta;}}\left(2\right)\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ f_{\mathrm{\&alpha;\&beta;}}(2t+1)\end{array}\right]$

这里矩阵A＝(a_ij)是(2t+1)×(2t+1)的范德蒙矩阵，a_ij＝i^j-1。显然，A是可逆矩阵，设A的逆矩阵为A^-1，A^-1的第一行记为(λ₁…λ_2t+1)，当t确定的情况下，λ₁…λ_2t+1为确定的常数，αβ＝λ₁f_αβ(1)+…+λ_2t+1f_αβ(2t+1)。如果给定t次多项式h₁(x)，…，h_2t+1(x)满足h_i(0)＝f_αβ(i)，(1≤i≤2t+1)，定义：

$H\left(x\right)=\underset{i=1}{\overset{2t+1}{\mathrm{\&Sigma;}}}{\mathrm{\&lambda;}}_i{h}_i\left(x\right)$

则有H(0)＝λ₁f_αβ(1)+…+λ_2t+1f_αβ(2t+1)＝αβ。因此，如果每一个参与者用一个多项式h_i(x)共享他的子秘密，那么H(x)就是可以将αβ秘密共享的那个t次多项式。

根据上面的知识，我们设计了下面的Mult-SS协议：

Mult-SS协议

参与者P_i的输入：f_α(i)和f_β(i)的值

1.参与者选取一个随机t次多项式h_i(x)，满足h_i(0)＝f_α(i)f_β(i)，用各个参与者对应的公钥加密属于他们的值h_i(j)得到

1≤j≤2t+1并以广播的形式将这些加密后的子秘密公布出去。

2.每一个参与者P_j接收

解密出h_i(j)，然后计算属于他的αβ的子秘密：

$H\left(j\right)=\underset{i=1}{\overset{2t+1}{\mathrm{\&Sigma;}}}{\mathrm{\&lambda;}}_i{h}_i\left(j\right).$

协议说明：协议利用安全多方计算实现共享两个共享秘密乘积，参与者利用该协议可以利用自己当前拥有的两个共享秘密α和β的子秘密f_α(i)和f_β(i)得到属于他的αβ的子秘密。

三、联合生成并秘密共享随机数(Joint-Shamir-RSS)

在门限数字签名方案中，要涉及参与者联合生成并秘密共享随机数的问题，这个问题可以用下面的方法解决。每一个参与者P_i选取一个随机数并将它作为秘密，用Shamir秘密共享方案，计算属于每一个参与者的子秘密：

用各个参与者对应的公钥加密属于他们的子秘密得到

并以广播的形式将这些加密后的子秘密公布出去。这样，联合生成的随机数就是各个参与者选取的随机数之和，而每一个参与者P_j掌握的对应的子秘密为 $S_1^{\left(j\right)}+S_2^{\left(j\right)}+\&CenterDot;\&CenterDot;\&CenterDot;.$

Joint-Shamir-RSS协议

1.参与者P_i选取一个随机数s_i作为秘密，并选取t个随机数a_i1，a_i2，…，a_it作为系数构造t次

多项式f_i(x)＝s_i+a_i1x+a_i2x²+…a_itx^t；

2.参与者P_i计算属于每一个参与者的子秘密：用各个参与者对应的公钥加密属于他们的子秘密得到 $E_{{\mathrm{PK}}_1}\left(S_i^{\left(1\right)}\right),E_{P{K}_2}\left(S_i^{\left(2\right)}\right),\&CenterDot;\&CenterDot;\&CenterDot;,E_{{\mathrm{PK}}_n}\left(S_i^{\left(n\right)}\right),$ 并以广播的形式将这些加密后的子秘密公布出去。

3.每一个参与者P_j解密所有接收到的

得

而参与者P_j掌握的对应的联合生成的随机数的子秘密为 $S_1^{\left(j\right)}+S_2^{\left(j\right)}+\&CenterDot;\&CenterDot;\&CenterDot;S_n^{\left(j\right)}$

协议说明：协议通过每一个参与者选取一个随机数并执行一个类似于Shamir-SS协议的过程，使所有参与者共同生成一个随机数，而每个参与者掌握这个随机数对应的子秘密。

下面我给出FST-SIG数字签名方案的完整描述，其中所有计算都是mod N的。

Protocol FST-SIG.keygen(k，T)

1.分发者挑选两个随机的大素数p和q，并且满足p≡q≡3(mod4)，p，q需要保密；

2.分发者计算N，使N＝pq；

3.分发者在Z_N ^*中随机选取S₀并计算U， $U={\left(S_0^{2^{l(T+1)}}\right)}^{-1};$

4.分发者利用Shamir-SS，在Z_n上计算S₀的子秘密：

5.令 ${\mathrm{SK}}_0^{\left(\mathrm{\&rho;}\right)}=(N,T,0,S_0^{\left(\mathrm{\&rho;}\right)})$ (ρ＝1，2，…，n)，PK＝(N，T，U)；

6.分发者通过保密的信道将

发送给第ρ个参与者并发布签名验证密钥PK。Protocol FST-SIG.sign(m，j)

1.参与者利用Joint-Shamir-RSS共同生成随机数R(R∈Z_N)，每个参与者拥有R的子秘密R^(ρ)；

2.参与者根据R^(ρ)利用Mult-SS计算Y，使 $Y=R^{2^{l(T+1-j)}};$

3.每一个参与者ρ计算σ＝H(j，Y，m)；

4.利用Mult-SS参与者联合计算 $Z={\mathrm{RS}}_j^{\mathrm{\&sigma;}};$

5.公布消息m的签名<j，(Z，σ)>。

Algorithm FST-SIG.verify(m，PK，sign)

假设：PK是(N，U，T)；sign是<j，(Z，σ)>；

ifZ≡0(mod N)

return(0)；

if σ＝H(j，Y′，m)

then return(1)；

else return(0)；

Protocal FST-SIG.update(j)

1.如果j＝T，则返回空串；否则，执行：

2.参与者根据各自的子秘密

利用Mult-SS，计算S_j-1的2^l次方S_j的子秘密

3.每个参与者ρ删除

Protocal FST-SIG.jion(j，n+1)

1.每一个参与者P_i，i∈{1…n}在Z_q上选取一个随机t次多项式δ_i(x)，满足δ_i(n+1)＝0。(可以这样选取：在Z_q上选取随机数{δ_ij}_j∈{1…t}然后计算δ_i0＝-∑_j∈{1…t}δ_ij(n+1)^j(mod q)。)

2.每个参与者P_i使用其他参与者P_j的公钥加密δ_i(j)(j∈{1…n}，j≠i)得到{ENC_j(δ_i(j))}并广播。

3.每个参与者P_i计算 $S_j^{\left(i\right)\&prime;}=S_j^{\left(i\right)}+{\mathrm{\&Sigma;}}_{P_j\&Element;D}{\mathrm{\&delta;}}_j\left(i\right)$ 并将

保密传送给P_n+1。

4.新加入者P_n+1获得所有的

用拉格朗日插值法恢复出属于他的子秘密

进而获得签名子密钥 ${\mathrm{SK}}_j^{(n+1)}=(N,T,j,S_j^{(n+1)}).$

下面分别对上述协议、算法进行说明：

Protocol FST-SIG.keygen(k，T)是密钥生成协议，由可信的分发者执行。分发者选择好密钥后，用我们上面提到过的Shamir秘密共享方案将秘密密钥共享生成子密钥 ${\mathrm{SK}}_0^{\left(\mathrm{\&rho;}\right)}=(N,T,0,S_0^{\left(\mathrm{\&rho;}\right)})$ 并通过安全信道传送给每一个参与者。这里下标0代表该应用密钥的时段序号，上标(ρ)表示该密钥为参与者P_ρ拥有。我们需要强调一点是：在签名方案中应用Shamir秘密共享时，我们的计算是在Z_N上的，这里Z_N显然不是域，但是，我们仍然可以证明系统是可以正确运行的。首先，我们要求所有参与者的数目n要小于系统参与p，q，其次我们要求分发者分配给参与者P_i的子秘密为f(i)。这样，所有用于重构秘密的子秘密将都不含有因子p或q。这样，在秘密恢复时，我们构造的(t+1)×(t+1)范德蒙矩阵中的所有元素都不含有因子p或q，这样，因为矩阵的行列式为

因此可以保证行列式值是与N互素的。因此，在上面提出的两个前提下，在Z_N上的Shamir秘密共享方案仍然是正确的。

Protocol FST-SIG.sign(m，j)是签名协议，该协议需要2t+1个参与者参与完成。在基础的数字签名算法中，随机数R应该是取自于而在这里，为了加入门限机制，随机数需要由多方共同选取的，这样R是Z_N中的一个随机数。但是，一个数属于Z_N但不属于的概率是十分小的，大约是

是一个可以忽略的小概率。所以我们可以认为由这个签名协议生成的签名仍然是有效的。

Algorithm FST-SIG.verify^PK(m，PK，sign)是签名验证算法，与普通数字签名方案的验证算法相同，该算法由任何拥有对应公钥的一方执行。

Protocal FST-SIG.update(j)是密钥进化协议。在每个时段的开始，由2t+1个参与者参与，执行密钥进化协议，完成密钥进化，获得该时段所使用的签名密钥。在时段j的开始时刻，成功进行上次密钥进化的参与者拥有j-1时段签名密钥SK_j-1的子密钥

利用Mult-SS，参与者可计算S_j-1的2^l次方S_j的子秘密

然后立即删除

此时 ${\mathrm{SK}}_j^{\left(\mathrm{\&rho;}\right)}=(N,T,j,S_j^{\left(\mathrm{\&rho;}\right)}).$ 要强调的是，除了参与密钥进化计算的2t+1个参与者外，当前所有的没有被敌手阻断攻陷的参与者(包括在前一时段被阻断，现在恢复的参与者)都可以从这2t+1个参与者获得足够信息，计算出属于自己这一时段的子秘密。

Protocal FST-SIG.jion(j，n+1)是新成员加入协议。该协议可以在任何时刻添加入新成员，例如在j时段时，首先当前成员之间先依据申请加入成员的序列号n+1共同生成一个t次多项式，可以记为δ_j(x)满足δ_j(n+1)＝0，而后当前每个成员P_i分别计算 $S_j^{\left(i\right)\&prime;}=S_j^{\left(i\right)}+{\mathrm{\&delta;}}_j\left(i\right)$ 并将

保密传送给P_n+1，新加入成员P_n+1可以更加接受到得

恢复出一个多项式，带入n+1即可得

继而得到属于自己j时段的子密钥 ${\mathrm{SK}}_j^{(n+1)}=(N,T,j,S_j^{(n+1)}).$

具体实施方式

在我们前向安全的门限数字签名系统中，所有的参与方包括n个签名服务器(即方案中的参与者)用P_i表示1≤i≤n，他们都位于一个广播网络上，并且他们两两之间存在可进行保密通信的安全信道，这样的信道可以在广播信道上使用加密技术实现，使用的加密算法应该是前向安全的公钥加密算法。另外系统还包括一个可信的分发者，签名服务器与分发者之间可以进行广播通信也可以进行点对点的加密通信。其中任意一台签名服务器都可以接受签名请求，发起并组织一次签名，并最后将生成的签名发送给签名请求者。最后我们要求系统具有同步性，他们在协议的某一阶段可以同步地发送他们的信息。

本发明的发明内容部分对实施已经做出了详细说明，在此不再重复描述。但需要说明的是：针对不同的应用需求，不同的安全性等级要求，可以采用不同规模的参数：N，l等。因此本发明可以具有很多种具体的实施方式。

Claims (1)

1、一种数字签名方法与签名系统，该签名方法具有门限机制、子秘密更新机制以及成员加入机制。其特征是，以Shamir-SS协议、Mult-SS协议、Joint-Shamir-RSS协议为基础模块，设计出的前向安全的门限签名方案(FST-SIG签名方案)。整个数字签名方案包括五个部分：密钥生成协议、密钥进化协议、签名协议、签名验证算法、新成员加入协议。方案中涉及到的协议及算法的核心内容如下：

Protocol FST-SIG.keygen(k，T)  // 密钥生成协议

(1).分发者挑选两个随机的大素数p和q，并且满足p≡q≡3(mod4)，p，q需要保密；

(2).分发者计算N，使N＝pq；

(3).分发者在Z_N ^*中随机选取S₀并计算U， $U={\left(S_0^{2^{l(T+1)}}\right)}^{-1};$

(4).分发者利用Shamir-SS，在Z_n上计算S₀的子秘密：

(5).令 ${\mathrm{SK}}_0^{\left(\mathrm{\&rho;}\right)}=(N,T,0,S_0^{\left(\mathrm{\&rho;}\right)})$ (ρ＝1，2，…，n)，PK＝(N，T，U)；

(6).分发者通过保密的信道将发送给第ρ个参与者并发布签名验证密钥PK。

Protocol FST-SIG.sign(m，j)  // 签名协议

(1).参与者利用Joint-Shamir-RSS共同生成随机数R(R∈Z_N)，每个参与者拥有R的子秘密R^(ρ)；

(2).参与者根据R^(ρ)利用Mult-SS计算Y，使Y＝R^2l(T+1-j)；

(3).每一个参与者ρ计算σ＝H(j，Y，m)；

(4).利用Mult-SS参与者联合计算 $Z={\mathrm{RS}}_j^{\mathrm{\&sigma;}};$

(5).公布消息m的签名<j，(Z，σ)>。

Algorithm FST-SIG.verify(m，PK，sign)  // 签名验证算法

假设：PK是(N，U，T)；sign是<j，(Z，σ)>；

ifZ≡0(modN)

return(0)；

else Y′＝Z^2l(T+1-j)U^σmod N；

if σ＝＝H(j，Y′，m)

then return(1)；

else return(0)；

Protocal FST-SIG.update(j)  // 密钥进化协议

(1).如果j＝T，则返回空串；否则，执行：

(2).参与者根据各自的子秘密

利用Mult-SS，计算S_j-1的2^l次方S_j的子秘密

(3).每个参与者ρ删除

Protocal FST-SIG.jion(j，n+1)//成员加入协议

(1).每一个参与者P_i，i∈{1…n}在Z_q上选取一个随机t次多项式δ_i(x)，满足δ_i(n+1)＝0。(可以这样选取：在Z_q上选取随机数{δ_ij}_j∈{1…t}然后计算δ_i0＝-∑_j∈{1…t}δ_ij(n+1)^j(modq)。)

(2).每个参与者P_i使用其他参与者P_j的公钥加密δ_i(j)(j∈{1…n}，j≠i)得到{ENC_j(δ_i(j))}并广播。

(3).每个参与者P_i计算 $S_j^{\left(i\right)\&prime;}=S_j^{\left(i\right)}+{\mathrm{\&Sigma;}}_{P_j\&Element;D}{\mathrm{\&delta;}}_j\left(i\right)$ 并将

保密传送给P_n+1。

(4).新加入者P_n+1获得所有的

用拉格朗日插值法恢复出属于他的子秘密

，进而获得签名子密钥 ${\mathrm{SK}}_j^{(n+1)}=(N,T,j,S_j^{(n+1)}).$

Shamir-SS算法

算法参数：Z，s，n，t

(1).执行者在集合Z中选择t个随机数a₁，a₂，…，a_t作为系数，以秘密s作为常数项构造t次多项式f(x)＝s+a₁x+a₂x²+…a_tx^t；

(2).执行者为多项式赋值，得到关于秘密s的子秘密s₁＝f(1)，s₂＝f(2)，…，s_n＝f(n)。

Mult-SS协议

参与者P_i的输入：f_α(i)和f_β(i)的值

(1).参与者选取一个随机t次多项式h_i(x)，满足h_i(0)＝f_α(i)f_β(i)，用各个参与者对应的公钥加密属于他们的值h_i(j)得到1≤j≤2t+1并以广播的形式将这些加密后的子秘密公布出去。

(2).每一个参与者P_j接收解密出h_i(j)，然后计算属于他的αβ的子秘密：

$H\left(j\right)=\underset{i=1}{\overset{2t+1}{\mathrm{\&Sigma;}}}{\mathrm{\&lambda;}}_i{h}_i\left(j\right).$

Joint-Shamir-RSS协议

(1).参与者P_i选取一个随机数s_i作为秘密，并选取t个随机数a_i1，a_i2，…，a_it作为系数构造t次多项式f_i(x)＝s_i+a_i1x+a_i2x²+…a_itx^t；

(2).参与者P_i计算属于每一个参与者的子秘密：

，用各个参与者对应的公钥加密属于他们的子秘密得到 $E_{{\mathrm{PK}}_1}\left(S_i^{\left(1\right)}\right),E_{{\mathrm{PK}}_2}\left(S_i^2\right),\&CenterDot;\&CenterDot;\&CenterDot;,E_{{\mathrm{PK}}_n}\left(S_i^{\left(n\right)}\right)$ ，并以广播的形式将这些加密后的子秘密公布出去；

(3).每一个参与者P_j解密所有接收到的

得

，而参与者P_j掌握的对应的联合生成的随机数的子秘密为 $S_1^{\left(j\right)}+S_2^{\left(j\right)}+\&CenterDot;\&CenterDot;\&CenterDot;S_n^{\left(j\right)}.$