CN1319290A

CN1319290A - 借助于二进制链接方案的时间标记

Info

Publication number: CN1319290A
Application number: CN99811241.0A
Authority: CN
Inventors: 阿赫托·比尔多斯; 皮特·劳德; 海尔格·里普马; 詹·维莱姆森
Original assignee: RLJ TIMESTAMP CORP
Current assignee: RLJ TIMESTAMP CORP
Priority date: 1998-08-18
Filing date: 1999-08-18
Publication date: 2001-10-24
Also published as: WO2000011828A9; AU5577599A; JP2002530709A; EP1105994A4; WO2000011828A1; WO2000011828A8; EP1105994A1

Abstract

一种数字签名验证系统,建立一个临时字,并且把一个时间附加到该临时字上以建立一个唯一标识时间标记的时间标记临时字,然后把该时间标记临时字附加到一个文档上,把一个数字签名附加到该文档上,然后把一个时间附加到文档上以形成一个时间标记文档,从而临时字唯一地标识在文档上的签名。

Description

借助于二进制链接方案的时间标记

对于提出于1998年8月18日的临时专利申请60/096,935要求优先权。也可以参照如下出版物，下面进一步详细地解释他们的一些：

[BLL V98] Ahto Buldas,Peeter Laud,Helger Lipmaa,“Time-stamping with binary linling schemes(借助于二进制链接方案的时间标记),”Proc.CRYPTO’98。

[BdM91]Josh Benaloh,Michael de Mare,“Efficient broadcastTime-stamping(高效广播时间标记),”Technical report 1,ClarcsomUniversity Department of Mathematics and Computer Science,August 1991。

[BHS92]Dave Bayer,Stuart Haber,W.Scott Stornetta,“Improving the efficiency and reliablity of digital time-stamping(提高数字时间标记的效率和可靠性),”In Sequences‘91:Methods inCommunications,Security,and Computer Science,pp.329-334.Springer-Verlag,1992。

[HS91] Stuart Haber,W.Scott Stornetta,“How to time-stampinga digital document(如何时间标记数字文档),”Journal of Crptology,3(2):99-111,1991。

[HS97]Stuart Haber,W.Scott Stornetta,“Secure names for bit-strings(用于位串的安全姓名),”In proceedings of the 4th ACMConference on Computer and Communications Security,pp.28-35,1997年4月。

本发明涉及在计算机文档中的数字签名，更具体地说，涉及时间标记数字签名，从而将清楚地知道最后时间。

时间标记是能够确认何时建立或签字电子文档的技术的集合。时间标记的实际重要性随长寿命文档的合法使用而出现。当例如签字者否认文档的效力并且密码基元变得不可靠时，出现与时间标记签字文档有关的问题。签名的安全性变得可疑。例如，签字者可能声称她已经丢失她的签名密钥、否认签字的效力、及怀疑签名的真实性，以便逃避对文档的责任。

最近，特别是在数字签名的局部调整中，关于时间标记签名的可靠性的组织和合法问题已经得到全世界注意。在先有技术中，除限定签名所有者的责任之外，必须陈述标记服务者(TSS)的义务和责任。变得越来越重要的是，TSS的信任不是问题；或者使需要信任TSS有关的问题最小化。为了使用户仅对其自己的行为负责，在涉及数字签名违法情况下的肇事者必须能确定地辨别，即使肇事者是TSS也是如此。

数字签名，由于他们由在其工作中与物理时间(真实时间)本来就没有任何关系的系统管理，所以不会有真实时间认可。为此，使电子文档与时间中唯一时刻直接相联系是困难的，并且可能是不可能的。对于时间标记我们能做的最好事情是相对临时验证(RTA)，就是说，我们能把文档与我们信任的某一相对时间相联系。

通常使用的该方法基于抗对撞单向散列函数存在的复杂性理论假设。RTA给带有两个时间标记文档的检验员检验两个中的哪一个首先建立的能力。

现有时间标记系统的如下例子将说明这些问题：

1)现有时间标记技术的一个例子是一种简单时间标记协议。TSS把当前时间t附加到当前文档X上，签字合成文档，及把两个值t和s=sig_TSS(t,X)返回客户。这种方法的弱点在于在签名密钥漏密之后带有旧时间标记的文档的不可靠性，这可能使得不能验证在文档上的时间t。这意味着对于适当解决方案必须无条件信任TSS。因此广泛接收的是，安全时间标记系统不能仅取决于密钥或取决于此类的任何其他秘密信息。

2)以上讨论类型的数字签名系统的实施例的一个例子表示在[BHS92,HS97]及Haber和Stornetta的专利No.5,136,646中。带有附加的时间证书的签名在单向函数中链接在一起，从而检验员能一步一步地跟随中间时间标记的链，并且在每一步能够肯定哪一个建立得较早。以这种方式，一种类型的时间树随由在时间上靠前和随后的信任文档所验证的签名的可靠性而生长。

用于第n次提交文档的时间证书是：

c=D_TSS(n,t_n,ID_n,X_n,L_n)，其中t_n是当前时间，ID_n是提交者的标识符，及L_n是由递归公式定义的第n次链接证书：

L_n(t_n-1,ID_n-1,X_n-1,H(L_n-1))，及H是抗对撞单向散列函数。

存在与以上系统实施有关的几个困难。验证在两个时间标记之间的单向关系需要的步骤数量相对于他们之间的时间标记数量是线性的，所以单次验证与建立整条链成本一样。

在Benolah-de Mare提出的出版物[BdM91]中指出，这种解决方案具有不可能的信任和广播要求。提出了一种改进[HS91]，其中每个时间标记与紧在前面的k＞1时间标记相链接。这种变化减小了对广播的要求，但增加了为存储各个时间标记所需要的空间。

3)美国专利号Re.34,954所公开的[在BdM91、BHS92、HS97中]树链接系统以显著方式降低了验证成本。

[BHS92]表明在图A]中。把时间标记过程划分成诸轮。用于轮r的时间标记R_r是一个用于轮r-1的时间标记R_r-1的和在轮r期间提交给TSS的所有文档的累计散列。在第r轮末端之后建立一个二进制树T_r。想在该轮中时间标记至少一个文档的每个参与者，向TSS提交一个散列y_t,i，散列y_t,i是他在本轮想时间标记的所有文档的一个散列。T_r的叶由提交的数据项y₁加标签。T_r的每个内节点k由数字值H_k:=H(H_kL,H_kR)递归地加标签，其中k_L和k_R相应地是k的左和右子节点，而H是一个抗对撞散列函数。TSS对于诸轮必须仅存储时间标记R_r(图1)。把验证在一个固定轮期间是否时间标记某一文档需要的所有剩余信息，包括到时间证书中。

文档的时间证书包括验证在一个固定轮期间是否时间标记某一文档所需要的信息，即用来恢复知道同级节点标签需要的先行节点标签的信息。例如，在图1中用于y₃的时间证书是(r；(y₄,L),(H₄,R))。y₃的时间标记验证过程包括验证等式：

R_r=H(H(H₄,H(y₃,y₄)),R_r-1).

时刻证书的大小和由此还有在验证期间计算步骤的数量是提交文档数量的对数。把R_r的值存储到一个数据库中，并且把他们的一些在报纸上公开。

只要我们无条件地信任TSS保持时间标记在T_r中的顺序，则诸方案就是可行的，但要为在同一轮期间发行的文档提供RTA。因此，这种方法或者增加对信任的需要，否则把诸轮的最大临时持续时间限制到无意义的时间单位(在数字公证系统中为一秒)。然而，如果在一轮期间提交文档的数量太少，则时间标记单个文档的费用可能变得过大。

本发明包括一种使用二进制链接方案来时间标记数字文档的方法，其中通过把一个单向散列函数H应用于一个包括链接证书L_n-1的值和另一个适当选择的链接证书L_f(n)的值的链接，产生链接证书L_n的值，f是一种固定确定性函数算法，即

L_n=H(n,X_n,L_n-1,L_f(n)).

借助于适当选择函数f，有可能借助于与时间标记文档数量的对数成比例的多个计算步骤，验证在两个时间证书之间的单向关系。提出一种保证对数验证的函数f。

提出一种二进制链接方案，其中以这样一种方式选择链接函数f，从而它满足反单调性质，即f(m)＜n＜m意味着f(n)≥f(m)。所述性质足以满足一系列指数n(l)…,n(k),…的存在，从而对于每个k，仅使用L_j和L_n(f)的值产生时间证书L_n(k)，其中n(k-1)＜i＜n(k)、j＜k。因而，在不同L_n(k)的发行之间的间隔能想作轮。反单调性质表明用于一轮的时间标记不直接链接到其他轮的内部时间标记上。

也提出了一种不仅验证提交时刻、而且验证签字时刻的方法。在签字一个文档X之前，委托人P产生临时字(nonce)N，并且时间标记它。用临时字(nonce)指足够长的随机位串，从而已经时间标记它的概率是可忽略的。原理P然后把N的时间标记L(N)包括到文档，签字文档，及得到签名S=D_p(L(N),X)的时间标记L(S)。对于文档X的验证，检验员必须把这两个时间标记与由检验员信任的时间标记(这可能是由检验员本身产生的临时字)相比较。因为在L(N)、S和L(S)之间有单向相关性，所以检验员可以断定分别在L(N)与L(S)的发行时刻之间的时间帧中产生签名。如果这些时刻离得足够近，则能以必要的精度确定签字时间。在这种解决方案中，没有对于TSS或对于其他委托人的补充义务。

时间标记过程也按如下定义：(1)把要时间标记的数据项X发送到TSS；(2)TSS然后通过发送用来验证在用于上一轮的L_n与时间标记之间的单向相关性的当前L_n和必需的数据而立即回答。TSS签字L_n，并且把签名D_TSS(n,L_n)发送到客户；(3)如果本轮结束，则客户可以向TSS申请必要的数据以验证在用于一轮的L_n与时间标记之间的单向关系。因此，TSS在一轮期间不能重新排列时间标记。这意味着本方案在保持时间标记文档的临时顺序方面降低了对信任TSS的需要。

图1是用于数字签名的验证的一种树链接系统的流程图。

图2是用于数字签名的验证的一种二进制链接系统的流程图。

图3是在数字签名之间具有最短验证链接的BLS的流程图。

图4是在本发明中可以使用累计链接系统(ALS)的流程图。

图5是本发明的一种时间标记系统的流程图。

表Ⅰ是用来数字签名验证的递归链接系统的定义。

表Ⅱ表示在计算机上可以如何编程递归链接。

表Ⅲ是在本发明之外链接数字签名复杂性的进一步减小是不可行的证据。

表Ⅳ-A和Ⅳ-B包括对于所公开的数字签名的验证本发明足够的证据。

在下面，给出一种在法律情况下适用的时间标记系统的定义。以后将证明该方法是正确的，并且把它与旧系统相比较。

一种时间标记系统包括一组具有时间标记服务器(TSS)的委托人以及三元(S、V、A)协议。标记协议S允许每个参与者邮寄一条消息。验证协议V由具有两个时间标记的委托人用来验证在这些时间标记之间的临时顺序。审查协议A由委托人用来验证TSS是否完成其义务。另外，应该没有委托人(特别是TSS)能够产生伪标记而不被抓住。

一个时间标记系统必须能够处理是无名的且不会揭露关于标记数据内容的任何信息的时间标记。不要求TSS辨别时间标记请求的初始者。

时间标记系统的该观念在几个重要方面不同于例如在[BdM91]中给出的一种。下面解释不同之处。

相对临时证实

时间标记的主要安全性目的在于临时证实-证明某一文档在某一时刻已经建立的能力。尽管数字数据项的建立在物理世界中是一个可观察的事件，但其建立时刻不能通过观察数据本身确定。所能做到的最好是使用定义时间箭头的单向相关性检查建立数据项的相对临时顺序(即证明RTA)，类似于其中在物理世界中熵增长定义时间箭头的方式。例如，如果H是抗对撞单向散列函数，则能可靠的使用如下“粗”导出规则：如果H(X)和X在一个时刻t对于委托人P是已知的，那么某人(可能是P本身)在t以前的时刻使用X来计算H(X)。最好，系统利用抗对撞单向散列函数。

定义1。一个抗对撞单向散列函数是一个具有压缩性质、计算容易、抗逆像、二次抗逆像及抗对撞的函数H。

定义2。让p是关于N的二进制关系，从而xpy意味着x＜y和H是抗对撞单向散列函数。(p,H)链接方案是一个使用满足递归公式的辅助链接项L_n把一族(H_n)数据项链接在一起的过程L_n:=H(H_n,L_n1,...,Ln_ξp-1(n)),

其中n1≥…≥n_ξp-1(n)准确地是ρ^-1(n):=(m｜mρn)的元素(n通过ρ的逆像)。一个序列(m_i)^ξ _i=1，其中m_iρm_i+1叫作在m_i与具有长度ξ的m_ξ之间的验证链。

在时间标记的上下方中H_n=H(n,X_n)，其中X_n指示第n个时间标记文档。链接项L_n也称作X_n的时间标记。注意在L_n与L_m(n＜m)之间的单向关系没有证明在建立X_n的时刻位串X_m不存在，但我们的确知道在建立L_m的时刻X_n的确存在。

我们已经在用于H_n的公式中省去t_n，尽管不应该理所当然地认为，值t_n的确表示X_n的提交时间。委托人把时间标记与某一时刻相联系的唯一方式是在该时刻时间标记一个临时字。用临时字我们指足够长的随机位串，从而已经时间标记它的概率是可忽略的。为了验证由另一个委托人时间标记的文档的绝对建立时间，检验员必须把时间标记与由检验员本身产生的临时字的时间标记相比较。在这种解决方案中，既没有对TSS也没有对委托人的补充义务。临时字的使用表明在时间标记与普通证实协议之间的相似性，其中临时字用来防止来自以前通信的旧消息的可能重新使用。

通过使用RTA，有可能不仅确定签名的提交时间而且也确定文档的签字时间。在签字一个文档X之前，委托人P产生一个临时字N，并且时间标记它。他然后把N的时间标记L(N)包括到文档，签字文档，及得到签名σ=sig_p(L(N),X)的时间标记L(σ)。从TSS的观点看来，这些标记事件是相同的(他不必知道他是在时间标记一个临时字还是有意义的数据)。对于文档X的验证，检验员必须把这两个时间标记与由她信任的时间标记相比较。因为在L(N)、σ和L(σ)之间有单向相关性，所以检验员可以断定分别在L(N)与L(σ)的发行时刻之间的时间帧中建立签名。如果这些时刻离得足够近，则能以必要的精度确定签字时间。

3.2伪造品的检测

一个时间标记系统必须具有使用户能够验证人造时间标记是否正确的性质。带有相应时间标记的两个文档的拥有不足以证明在文档之间的RTA，因为每个人都能产生假的时间标记链。

一个时间标记系统应该允许用户：(1)确定由个人拥有的时间标记是否已经窜改；和(2)在窜改的情况下，确定时间标记是由TSS窜改还是在发行之后窜改(一般用未知装置)。在第二种情况下，不能起诉任何人。对时间标记合法使用感兴趣的委托人应该在发行之后自己立即验证其正确性(使用签名和以后讨论的技术)，因为如果TSS的签名变得不可靠，则签字的时间标记不能用作证据。为了增加时间标记服务的可信任度，客户应该有可能定期地检查TSS。而且，在当TSS无罪时的情况下，他应该具有证明其无罪的机构，即他在某一轮期间没有发行某一时间标记。

另外，TSS必须以证实的方式在大众媒体中正式公布用于诸轮[BdM91]的时间标记。如果时间标记协议(通过使用抗对撞单向散列函数)把(1)在第r轮期间发行的任何时间标记的消息摘要包括到用于第r轮的时间标记中，并且把(2)用于轮r-1的时间标记的消息摘要包括到在第r轮期间发行的任何时间标记中，则任何人伪造时间标记而不被发觉都是困难的。伪造检测过程应该简单。伪造品或者在标记协议期间(当由TSS签字的时间标记不正确时)或者以后当不能建立在两个另外的正确时间标记之间的临时顺序时，应该是可确定的。

3.3可行性要求

[BdM91]和[HS97]的时间标记系统使用时间标记的非线性部分排序，并因此不支持RTA。以后的讨论表明如何修改线性链接方案[HS91]以满足安全性目的(RAT和伪造品的检测)。另一方面，在实际中，在这种方案中伪造品的检测用得步骤太多。容易伪造假定检验员具有有限计算能力的时间标记。这导致可行性问题。为了在当时间标记属于不同轮时的情况下使RTA可行，定义在用于诸轮的时间标记之间的链接的一个附加层是合理的。

定义3。假定(p,H)和(δ,H)链接方案和一个单调增函数ξ:N-N。用一种(p,ξ,δ,H)-链接指用来使用满足表Ⅰ中所示递归公式的辅助链接项L_n和

_r把一族(H_n)数据项链接在一起的过程。

值

_r也称作用于诸轮的时间标记。注意在验证协议期间由TSS要求的时间标记应该属于用于诸轮的时间标记集，因为在时间标记服务器中只有这些时间标记适用。

定义4。一种(ρ,ξ,δ,H)-链接方案认为是具有秩m的累计链接方案(ALS)，条件是

1．如果ξ(r)＜n≤ξ(r+1)那么p^-1(n)C[ξ(r+1),ξ(r+1)]∪ξ(N)

2．ξ(r+1)-ξ(r)≥m.

如果对于任意正m这里存在ξ则一种(p,H)-链接方案能够实现累计时间标记，从而(p,ξ,p,H)-方案是具有秩m的ALS。

如果使用的链接方案能够实现累计时间标记，则能灵活地放大诸轮的持续时间，以便保证只有可忽略的时间标记部分保持在时间标记服务器的存储器中。

让n是直到标记/验证协议的当前运行时刻发出的时间标记的总数。可行性要求能概括如下：

1．在验证协议期间散列函数的估计数量应该是O(log n)。特别是，在验证协议的单次运动期间检查的时间标记的数量应该是O(logn)。

2．应该有一个对于诸轮长度的方便较小上限，尽管客户想在适当的时间得到其时间标记。要求第n个文档的标记协议必须在TSS已经接收到另外的O(logn)时间标记请求之前终止似乎是切合实际的。在实际应用中，希望诸轮的平均长度是恒定的(这保证对于一个任意常数c，有具有大于c的长度的诸轮的可忽略部分)。

3．各个时间标记的大小应该较小。

在这些数量之间有折衷。以后提出一种以上方案的改进。

系统的和一种变形：线性链接

为了讲授的原因，下面概述使用线性链方案的系统的协议和基本组织原理。这种方案满足所有的信任要求，但不实际。而且，通过用二进制链接方案代替线性方案显著改进了所述方案。

让每轮时间标记的数量M是对于参与者(客户)已知的一个常数，并且让所有数据项X_n具有固定大小。因此，在线性链接方案的情况下，用于第r轮的时间标记具有数目ξ_r=M·r。

TSS的作用：

TSS保持如下三个数据库：

1．当前轮的时间标记的数据库Dc。

2．前一轮的时间标记的数据库Dp。

3．诸轮的时间标记的数据库Dr。

这些数据库在任何客户在任何时刻能进行请求进入他们中的意义上认为是在线的。第四数据库(时刻标记的完整数据基础)也被存储，但不是在线的(它可以存储到CD的档案中)。对于该数据库的请求是可能的，但昂贵(例如要求人工干预)。在每轮结束之后，把在Dp中的时间标记到一个分离的CD中(可以审查该过程)。此后排空Dp。用于当前轮的时间标记Rr被计算、添加到Dr上及公开在报纸或数据出版物上(两个过程应该审查)。把数据库Dc拷贝到Dp中，并且建立一个新的数据库Dc。

标记协议：

假定当前轮号码是r。

1．客户把X_n发送到TSS。

2．TSS求出H_n=H(n,X_n)和L_n=(H_n,L_n-1)，并且把对(H_n,L_n)添加到Dc上。

3．TSS签字对(n,L_n)，并且把(n,L_n,Sig_TSS(n,L_n)送回到客户。

4．TSS把元组头(n)=(H_n-1,H_n-2,……,H_ξr+1+1)发送到客户。

5．客户验证TSS的签名，并且检查是否

H(H_nH(H_a-1,……,H(H_ξr-1+1,L_ξr-1)……))=L_n

其中真实值L_ξr能从报纸或通过从TSS的在线数据库Dr请求其值找到。

在已经回答M请求之后，TSS通过求出L_ξr=H(H’_ξrL_ξr-1)(其中H＇_ξr=(H_ξr,L_ξr-1))并且把L_er和其公共密钥K_TSS公开在报纸等上结束该轮。客户在一个有限时段期间现在可以继续协议，以便得到用于X_n的完整单独时间标记。

6．客户向TSS发送一个请求。

7．让尾(n)=(H_ξr-1,H_ξr-2,…,H_n+2,H_n+1)。TSS通过把(尾(n),sig_TSS(尾(n)))发送到客户回答。

8．客户检查是否

L_ξr=H(H_ξr-1,H_ξr-2,……H(H_n+2,H(H_a+1,L_n))…))

定义5。用于第n个文档的完整单独时间标记s_n是

s_n:=(tail(n),head(n),n,L_n,sig_TSS(n,L_n)).

对时间标记的合法使用感兴趣的每个客户，应该在标记协议期间生效时间标记。在第1与第3步骤之间和在第4与第6步骤之间的较短时段中，信任TSS的签名密钥以证实他，并因此，他在无效头(n)或尾(n)上签名在法院能用作证据。但当TSS的密钥仍能信任时，客户负责进行时间标记。以后，TSS的签名可能变得不可靠，并因此只能使用单向性质。

验证协议：

让r(n)指示其中发行s_n的轮。假定检验员具有两个时间标记文档(X_m,s_m)和(X_n,s_n)其中m＜n。

1．检验员对于两个时间标记都检查等式(2)和(3)的有效性。

2．如果r(m)=r(n)，那么保持在尾(m)和头(n)中的数据将足以检查是否

L_n=H(H_n3H(H_n-1……H(H_m+1,L_m)……)).

3．如果r(m)＜r(n)，则检验员向TSS发送一个请求。

4．TSS通过向检验员发送元组

V_mn=(H¹ _ξr(n)-1,H¹ _ξr(n)-2......,H¹ _ξr(m))

和签名sig_TSS(Vmn)回答。

5．检验员生效签名，使用(3)找到L_ξ(m)，使用如下公式找到L_r(n)-1

L_r(n)-1=H(H¹ _ξr(n)-1,H(H¹ _ξr(m),L′_ξr(m))...)).

及最后，把在s_n中的L_n值与由(2)给出的值相比较。

审查协议：

因为由TSS发行的时间标记的可能合法重要性，应该有一些机构审查TSS。做到这点一种容易的方法是定期从TSS索要时间标记，并且验证他们。如果这些时间标记链接得不一致(即公式(2)和(3)对于两个时间标记保持但验证协议失败)，则能证明TSS有罪。而且，必须有一个TSS证明他在某一轮r中没有发行某一时间标记S的机构。能做到这点，条件是TSS提交使用r轮发行的所有时间标记、和通过使用这些时间标记找到的时间标记，并且链接规则与公开的时间标记一致。

以上提出了满足信任要求的时间标记系统的概述。其次表示如何通过使用图4中所示的BLS使该系统可行。

为了发行用于第n个文档的单独时间标记，TSS必须求出在ξ_r(n)-1与n之间和在N与ξ_r(n)之间的最短验证链。第n个单独时间标记包括验证在位于这些链上的所有Lj之间的相互单向相关性所必需的最小数据量。能表明如果f满足如下关系，

m＞n=>(f(m)≤f(n)∨f(m)≥ n)

那么(f,H)能够实现累计时间标记(因为其技术性已经省去证据)。特别是，描述的二进制链接方案能够实现累计时间标记。对于一个固定的m，让k:=[log₂m],ξ₀:=0,ξ₁:=2^k-1(T_k的源)，并且对于任意i＞1，

其中j:=[log₂i]。在该方案中的第n个时间标记的长度不超过2·3·log(n)·x位，其中x是散列函数H的输出大小。

诸轮的最大长度与O(log n)成比例地增长。然而，诸轮的平均长度是恒定的，并因此实际上对于在恒定时间单位之后的诸轮公开时间标记。这借助于如下过程能容易地实现。如果用于一轮的“期限”正在接近，并且仍有q个时间标记没有发送，则把随机值分配给剩余的数据项H_n。

评述1。用ord n指示2除n的最大幂。在以上表示的ALS中，用对(n,p)按字典顺序给时间加标签是合理的，其中0≤p≤ ord n和n＞0。那么，

(n, p) : = {_{(n - 2^{p}, ord (n - 2^{p})),}^{(0, p) n = 2^{p}}

其他

并且g(n,p):=(n,p-1)如果p＞0和g(n,0):=(n-1,ord(n-1))。而且，ξi的公式将简化。在这种情况下，ξ(i):=(2^h-1i,k-1+ord i)，对于i≥1。

容易表明，对于每个n和m唯一定义在n与m之间的最短验证链。验证单向相关性必需的数据v_min由过程TSData(m,n)计算，如在表Ⅱ中所示和在图5中表明的那样。

让(f,H)是满足关系(4)的BLS。让x＜y＜z＜w，并且C₁、C₂分别是从z至x和从w至y的验证链。显然C₁和C₂具有一个公共元素。因而，如果m＜n，那么验证链尾(m)和头(n)具有意味着一个验证链存在的公共元件c。

(m=n₀,n₁,……,n_i-1,n_i=C,n_i+1,…,n_i-1,n_c=n)

该链能由一种简单的算法求出，并且具有对数长度。让(m)指示m属于其中的轮。下面在定理1的标题证据下给出用于情形r(m)=r(n)的最后链的证据。如果m和n属于不同的轮，则验证是直接的，因为链接第二层的类似结构。从n至m的验证链具有形式(m,...,m’,ξ_r(m),n’,...,n).

其中由于把用于诸轮的时间标记以与所有时间标记类似的方式链接在一起的事实(图2)，ξ_J ^-B的数目是对数的。序列(m,…,m’)和(n＇,...,n)的长度也是对数的。

例2。对于在例1中给出的链，公共元素是7，并且在4与10之间的验证链是(4,5,6,7,10)。

推论1。由于在验证与标记过程之间的相似性，对于时间标记文档的一个任意对，在验证协议的单次运行期间执行的步骤的数量(并因此还有检查的时间标记的数量)是O(log n)。

最优性：

我们的解决方案非对称地满足可行性要求，但能精选这些要求吗？大概不行，下面给出对此的见解。即，我们表明，对于任何链接方案，这里不存在这样一种时间标记解决方案其中：(1)时间标记的长度是O(log n)；(2)对于任何m和n，存在一个在m与n之间、具有长度O(log n)、完全包含在相应单独时间标记的并集S(m)∪S(n)中的验证链；及(3)标记协议将在一个对数时间内结束。

我们在如下假设下证明这点：(1)单独时间标记是N的子集；和(2)时间标记的大小与‖S(n)‖+‖p^-1(S(n)‖=O(‖p^-1(S(n)‖)的大小成比例(如果p的传递闭包pⁿ与自然顺序一致则保持＜即时间标记S(n)包括尾(n)和头(n)))。

定理2。让p是关于满足pⁿ=＜的N的二进制关系。这里不存在函数S:‖N→2^‖N，从而

1．对于某个c₁、对于任何n,｜ρ^-1(S(n))｜＜c₁log n；也见表Ⅳ-A和Ⅳ-B。

2．对于每个m和n，存在一个p链(m=m₁,m₂…,m_k=n)，其中m_i=S(m)∪S(n)(就是说，在验证协议期间要检查的标记的数量大于2)。

3．对于任何n，对于某个常数c₂,max(S(n))-n≤c₂log n，如表Ⅲ中所示。

能把定理2直接归纳成要求检查时间标记的数量必须大于任何固定常数。

定理1的证明：

我们对于别处描述的链接方案将证明用于验证链的长度的上限。让e_k=2^k-1，即e_k是T_k的最后顶点的数量。为了简化证明，我们把顶点0添加到方案上，并且把它与具有少于两个输出链接的所有顶点相链接。这些准确地是顶点e_k。让L(a,b)指示在a与b之间的最短路径的长度。立即从定义得出等式L(O,e_k)=1、L(e_k-1,ek)=2及e_k-1=e_k-1+1。

二制链接方案：

在当前段中，我们借助于对于在任何两个时间标记之间的最短验证链的长度的对数上限，给出一种实际链接方案的构造。

定义6。让f和g是从N至N对于任何n满足条件f(n)≤g(n)＜n的函数。一种(f,g,h)二制链接方案(BLS)是一种(p,H)链接方案，其中对于任何n,p^-1(n)[=(f(n),g(n))。为了保证在任意x与y之间一个验证链的存在，我们必须取g(n):=n-1。在这些情况下，我们省略n-1，并且论及(f,H)-BLS。

能把一个二制链接方案另外定义成一个定向可计数图线，它被连接、不包含循环及其中所有顶点具有两个边缘(链接)。让我们以如下方式建造这样的图线Tk的一个无限族：

1．T1包括用号码1加标签的单个顶点。该顶点既是图线T1的源也是它的漏

2．让Tk已经建造。其漏由2^k-1加标签。图线Tk+1包括Tk的两个拷贝，其中第二拷贝的漏链接到第一拷贝的源上，并且一个由2^k+1-1加标签的附加顶点链接到第二拷贝的源上。第二拷贝的标签增大2^k-1。Tk+1的漏等于t第一拷贝的漏，Tk+1的源等于由2^k+1-1加标签的顶点。

此后，链接第二拷贝的所有顶点，这些顶点至第一拷贝的源具有少于两个的输出链接。注意，从第二拷贝的漏至第一拷贝的源现在有一个双链，如图3中所示。

序列(Tk)定义一种二进制方案、添加从任何这样初始段的源至由0加标签的特定顶点的链接(图2)。这里(也见Rem.1),f(n)=n-2^h(n)+1，其中h(n)由下面公式递归地给出并且表明在图4中。

定理1。让l(a,b)是从b至a的最短验证链，如果k＞2和0＜a≤b＜2^k，那么l(a,b)≤3k-5。

本发明的理论和实际意义在于：

1)显著减小在时间标记中信任TSS的重要性，和

2)相对临时证实(RTA)的时间复杂性变得与发出时间标记的数量成对数关系。

本发明的一个实施例包括一种使用二进制链接时间标记文档的方法。通过把一个单向散列函数H应用于链接证书L_n-1的值与一个适当选择链接证书L_f(n)的值链接，产生一个链接证书L_n，其中f是一个固定确定性函数，比如：

L_n=H(n,X_n,L_n-1,L_f(n)).

已经忽略时间t_n。不应该理所当然地认为，值t_n实际表示文档X_n的提交时间。借助于适当地选择函数f，有可能借助于与要回顾的时间标记文档的数量的对数成比例的多个计算步骤，验证在两个时间证书之间的单向关系。在[BLLV98]处提交的本发明的函数，保证在签名验证中的对数计算步骤。

在本发明的二进制链接系统的一个实施例中，满足诸如f(m)＜n＜m之类的反单调性质、意味着f(n)＞f(m)或f(n)=f(m)的链接函数f，足以满足一个序列n(1),...,n(k)的存在。下标是这样的，从而对于每个k，仅仅用L_j和L_n(j)的值产生时间证书L_n(k)，其中n(k-1)＜j＜n(k)和j＜k。把在不同L_n(k)发出之间的间隔处理为“轮”，反单调性质保证用于一轮的时间标记直接链接到其他轮的内部时间标记上。

在本发明的另一个实施例中，验证签字时间，而不是只验证提交时刻。在签字一个文档X之前，委托人P产生临时字N，并且时间标记它。临时字是一个长随机位串，具有判断足以把与另一个时间标记相矛盾的概率减小到无意义的任意长度。N的时间标记L(N)然后包括在文档中、签字文档、及生成签名S=D_P(L(N),X)的时间标记证书L(S)。从TSS的观点看来，时间标记事件是相同的：就是说，他不知道或不必知道时间标记是用于一个临时字还是用于有意义的数据。对于文档X的验证，检验员把两个时间标记与由检验员信任的其他时间标记相比较；其他时间标记可以为此目的而产生。

由于在L(N)、S、与L(S)之间的相关性是单向的，所以检验员能断定分别在L(N)与L(S)的发行时刻之间的时间帧中建立签名。如果这些时刻在时间上离得足够近，则能精确地确定签字时间。在该实施例中，没有对于TSS或对于其他委托人的补充义务。

在另一个实施例中，对TSS的有限依赖允许一种简化的系统：

(1)客户把要时间标记的数据项X发送到TSS；

(2)TSS然后通过发送用来验证在用于上一轮的L_n与时间标记之间的单向相关性的当前L_n和必需的数据而立即应答，签字以建立一个L_n，并且把签名D_TSS(n,L_n)发送到客户；及

(3)如果本轮结束，则客户可以向TSS申请必要的数据以验证在用于一轮的L_n与时间标记之间的单向关系。

因此，以上实施例由此通过避免TSS有重新排列文档的机会，在保持时间标记文档的临时顺序方面降低了对信任TSS的需要。

将看到，通过提供独立于或至少相对独立于TSS或第三方的时间标记验证，显著改进签名的完整性。

Claims

1．一种数字签名验证系统，包括：

建立一个临时字；

时间标记所述临时字，以建立一个唯一标识所述时间标记的时间标记临时字；

把所述时间标记临时字附加到一个文档上；

把一个数字签名附加到带有所述临时字的所述文档上；

时间标记所述文档和签名；由此

唯一表示在所述文档上的所述签名。

2．根据权利要求1所述的系统，其中所述临时字是一个具有这样一种长度从而相同临时字的概率不显著的随机位串。

3．根据权利要求1所述的系统，其中减小或消除对签名验证的时间标记服务(TSS)的依赖性。

4．根据权利要求1所述的系统，其中减小或消除对直接与其他签名有关的RTA的依赖性。

5．根据权利要求1所述的系统，其中所述临时字用作一个用于RTA的时间相关标准。

6．一种数字签名验证系统，包括：

建立一个临时字；

把所述时间标记临时字附加到一个文档上；

把一个数字签名附加到所述文档上；

时间标记所述文档和签名；由此

临时字标记唯一表示在所述文档上的所述签名；

建立所述时间标记临时字条目作为一个二进制数据库；

把所述二进制数据库链接到一个可验证RTA源上；由此

所述RTA源对于在与所述RTA有关的时间帧内的所有所述时间标记临时字条目是一个可验证点。

7．根据权利要求6所述的系统，其中所述临时字是一个具有这样一种长度从而相同临时字的概率不显著的随机位串。

8．根据权利要求7所述的系统，其中减小或消除对签名验证的时间标记服务(TSS)的依赖性。

9．根据权利要求6所述的系统，其中减小或消除对直接与其他签名有关的RTA的依赖性。

10．一种数字签名验证系统，包括：

建立一个临时字装置；

使所述临时字装置与唯一标识所述临时字的某一时间标准有关；

把所述临时字装置附加到一个文档上；

把一个数字签名附加到所述文档上和所述临时字装置上；

使所述文档与所述临时字装置有关；由此

所述临时字装置唯一标识在所述文档上的所述签名。

11．根据权利要求10所述的系统，包括：

建立所述临时字装置作为一个数据库装置；

把所述数据库装置链接到一个可验证时间上；由此

所述可验证时间由此验证在与所述可验证时间有关的一个时间帧内与所述临时字装置有关的签名。

12．根据权利要求10所述的系统，其中所述临时字装置是一个具有这样一种特性从而相同临时字装置的概率不显著的数据装置。

13．根据权利要求10所述的系统，其中减小或消除对签名验证的商业验证服务的依赖性。

14．根据权利要求11所述的系统，其中减小或消除对签名验证的时间服务的依赖性。

15．一种使用二进制链接方案时间标记一个数字文档的方法，其中通过把一个单向散列函数H应用于由链接证书L_n-1的值与另一个适当选择链接证书L_f(n)的值组成的链接，产生链接证书L_n的值，f是一种固定确定性函数算法，

L_n=H(n,X_n,L_n-1,L_f(n)).

16．根据权利要求15所述的方法，包括借助于与时间标记文档的数量的对数成比例的多个计算步骤验证在两个时间证书之间的单向关系。

17．一种数字时间标记的方法，其中：

给每个文档X一个合理长度的时间证书t(X)，该时间证书t(X)唯一定义在时间标记它的协议轮内和此后的X的相对位置。

给定两个时间标记X和Y及证书t(X)和t(Y)，一个检验员能够建立在相应时间标记之间的单向关系。

18．一种使用二进制链接方案的时间标记过程，包括：

客户把要时间标记的数据项X发送到TSS；

TSS然后通过发送用来验证在L_n与一个时间标记之间的单向相关性的当前L_n和必需的数据而立即回答；

TSS进一步签字L_n，并且把一个签名收据D_{TSS}(n,L_n)发送到客户；及在一轮完成时

客户得到时间证书。

19．一种确定签字文档的时间的方法，包括：

产生一个临时字N和用时间标记L(N)时间标记该文档；

签字该文档；

产生签名σ=seg_p(L(N),X)的时间标记L(σ)，并且通过比较L(N)与L(σ)的发行时间验证文档。

20．根据权利要求19所述的方法，其中时间标记L(N)和L(σ)包括防止所述时间标记的任何一个的伪造的抗对撞单向散列函数。