CN1672358B - 群签名方案 - Google Patents

Abstract

本发明所提出的方法形成可证明是安全的转发安全签名方案的基础。而且，所提出的方法还形成安全并且有效率的细粒度转发安全签名方案的基础。该方案允许对黑客突破进入立即反应，使得来自过去的签名仍然保持有效而不重发它们，并且可由此识别基于暴露密钥的将来的签名值。一般地，每个准备的签名携带上升排列的索引，使得一旦使用一索引，就不能使用更低的索引来签署。然后，无论何时敌手突破进入，诚实的签名人可仅仅宣告当前索引，例如通过相对当前索引签署某些特殊消息，作为用于当前时间周期的废除消息的部分。那么能理解，直到宣告的索引的先前时间周期中所做的所有签名以及废除周期中所做的所有签名是有效的，即不可抵赖的。

Description

群签名方案

技术领域

本发明涉及一种使用签名方案提供适用于被连接的计算机结点的网络的秘密密钥和公共密钥的方法。而且，本发明涉及提供和验证被连接的计算机结点的网络中的消息上的签名值的方法。这里还公开了一种在检测的入侵事件中通信产生的签名值的有效性的方法。

背景技术

电子或者数字签名用于认证信息，其安全地将电子文档的内容绑定于签名人，更准确地，绑定于签名人的公钥。只有真正的签名人才应该能够产生有效签名，并且任何人应该能够验证它们，以便使自己确信签名人确实签署过该文档。虽然迄今为止已经提出许多数字签名方案，但今天实际仅仅使用一小部分。

普通的数字签名方案存在以下基本缺点：一旦秘钥(secret key)泄漏，例如因为黑客设法突破进入签名人的计算机，并且在检测到该泄漏时，就废除公钥，然后该签名人产生的所有签名就变为可抵赖的(reputable)，即不再可能区分签名是由该签名人还是由黑客产生。因此，普通签名方案本身不可能提供不可抵赖(non-repudiation)。实现不可抵赖的一个可能是使用所谓时间戳服务。这里每个签名被发送给签署包含签名和当前日期和时间的消息的被信任的第三方。如果签名在签名人废除其公钥前标识时间戳，就认为该签名是不可抵赖的。因此，假定被信任的第三方的密钥从未泄漏，就确保不可抵赖。然而，此方案要求与被信任的第三方的频繁交互，例如时间戳服务，这是不希望的。

另一个可能是频繁改变密钥，即每天使用不同密钥对，并且删除过去的所有秘钥。那么可理解，如果已经过去一天而用户还没有废除那天的密钥，那么对该密钥进行的所有签名是不可抵赖的。这不是再次要求与被信任的第三方的频繁交互，就是公钥变大，即许多公钥的列表。通过只有一个公钥而有许多秘钥-每个时间周期一个，转发(forward)安全签名方案解决了此问题，如由R.Anderson在“Two remarks on public-key cryptography”，Manuscript，presented by the author at the 4^th ACM CCS(1997)，September 2000引入的，以及由Bellare和Miner在“A forward-secure digital signature scheme”In MichaelWiener，editor，Advances in Cryptography-CRYPTO’99，volume 1666 of LNCS，pages 431-448，Springer Verlag，1999所形式化的。实际上，多数转发安全签名方案使得能够以单向方式从前一段的秘钥推导出当前时间周期的秘钥。

原理上，转发安全签名方案可从任何普通签名方案获得：签名人对每个时间周期选择新的秘钥和公钥。转发安全签名方案的公钥变为由有效的时间周期索引的普通公钥索引的集合。为了签署消息，签名人使用该时间周期的秘钥。一旦时间周期已经过去，签名人就删除各秘钥。容易看出，该方案是转发安全的。然而，该方案在(公共和秘密)存储方面相当缺乏效率。

然而，目前的转发安全签名方案存在以下问题。在黑客突破进入的情形，在此时间周期进行的所有签名必须被召回，并且(诚实的)签名人需要重新发布它们。对此的一个解决方案是使用小时间周期，这仅仅在密钥更新的复杂性与签署的复杂性可比的条件下起作用。

由以上得出，存在对更安全和有效率的改进的转发安全签名方案的召唤。该方案应该进而允许对黑客的突破进入立即反应，而不重新发布过去的签名。

发明内容

根据本发明的第一方面，给出一种提供适用于被连接的计算机结点的网络的秘密密钥和公共密钥的方法。该方法能由第一计算机结点执行并且包括以下步骤：通过以下步骤生成秘密密钥：选择两个随机因子值P，Q，将两个选择的随机因子值P，Q相乘以获得模值(N)，以及依赖于模值N从Z*_N中平方的子群(QR_N)随机地选择秘密基值g′，h′，x′，其中秘密基值g′，h′，x′形成秘密密钥(g′_i，h′_i，x′_i)。该方法还包括通过以下步骤生成公共密钥：选择I个指数值e₁，...，e_I，以及从指数值e₁，...，e_I和秘密基值g′，h′，x′得出公共基值g，h，x，其中， $g=g^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ $h=h^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ 且 $x=x^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ 其中公共基值g，h，x和模值N形成公共密钥g，h，x，N。该方法还包括步骤：删除两个随机因子值P，Q；以及在该网络中向除了所述第一计算机结点以外的其他计算机结点提供公共密钥g，h，x，N；通过 $y^{e_i}=x{g}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 使用公共密钥g，h，x，N和至少一个选择的指数值e₁，...，e_I来验证消息m上的签名值i，y，a，其中，H(m)是消息(m)的哈希函数；发送消息到在该网络中的第二计算机结点用于验证。

在本发明的第二方面，给出一种在被连接的计算机结点的网络中提供消息m上的签名值i，y，a的方法，该方法能由第一计算机结点执行并且包括以下步骤：选择第一签名元素a，从I个指数值e₁，...，e_I选择签名指数值e_i，以及从提供的秘密密钥g′_i，h′_i，x′_i，消息m和I个指数值e₁，...，e_I得出第二签名元素y，其中， $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 使得第一签名元素a，第二签名元素y和签名指数值e_i满足消息m和提供的公共密钥g，h，x，N的验证方程，即 $y^{e_i}=x{g}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 其中签名值i，y，a包括第一签名元素a、第二签名元素y和对签名指数值e_i的签名引用i，其中，H(m)是消息(m)的哈希函数，发送签名值i，y，a到在该网络中的第二计算机结点用于验证。

在本发明的第三方面，给出一种在被连接的计算机结点的网络中验证消息m上的签名值i，y，a的方法，该方法能由第二计算机结点执行并且包括以下步骤；从第一计算机结点接收签名值i，y，a；根据 $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y:=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 和提供的公共密钥(g，h，x，N)，从签名值i，y，a得出签名指数值e_i，其中，H(m)是消息(m)的哈希函数，以及验证签名指数值e_i和签名值i，y，a是否满足消息m和提供的公共密钥g，h，x，N的验证方程，即 $y^{e_i}=x{g}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 否则拒绝签名值i，y，a，其中签名值i，y，a从第一签名元素a、I个指数值e₁，...，e_I、提供的秘密密钥g′_i，h′_i，x′_i和消息m生成。

在本发明的第四方面，给出一种在被连接的计算机结点的网络中若有关签名值i，y，a的秘密密钥sk暴露发生而传递该签名值i，y，a的有效性的方法，该方法包括以下步骤：定义指数值e₁，...，e_I的顺序；在网络中公布指数值e₁，...，e_I的描述和指数值e₁，...，e_I的顺序；在网络中公布对指数值e₁，...，e_I之一的废除引用j，使得通过使用废除引用j、指数值(e₁，...，e_I)的描述、指数值e₁，...，e_I的顺序和提供的公共密钥pk，能确定该签名值i，y，a的有效性。

根据本发明的另一方面，提供一种提供适用于被连接的计算机结点的网络的秘密密钥和公共密钥的设备，该设备位于第一计算机结点并且包括：-生成秘密密钥的装置，包括：-选择两个随机因子值(P，Q)的装置，-将两个选择的随机因子值(P，Q)相乘以获得模值(N)的装置，以及-依赖于模值(N)从Z*_N中平方的子群(QR_N)随机地选择秘密基值(g′，h′，x′)的装置，其中秘密基值(g′，h′，x′)形成秘密密钥(g′_i，h′_i，x′_i)；-生成公共密钥的装置，包括：-选择I个指数值(e₁，...，e_I)的装置，以及-从指数值(e₁，...，e_I)和秘密基值(g′，h′，x′)得出公共基值(g，h，x)的装置，其中， $g=g^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ $h=h^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ 且 $x=x^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ 其中公共基值(g，h，x)和模值(N)形成公共密钥(g，h，x，N)；-删除两个随机因子值(P，Q)的装置；以及-在该网络中向除了所述第一计算机结点以外的其他计算机结点提供公共密钥(g，h，x，N)的装置；通过 $y^{e_i}=x{g}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 使用公共密钥(g，h，x，N)和至少一个选择的指数值(e₁，...，e_I)来验证消息(m)上的签名值(i，y，a)，其中，H(m)是消息(m)的哈希函数；发送该消息到在该网络中的第二计算机结点用于验证。

根据本发明的另一方面，提供一种在被连接的计算机结点的网络中提供消息(m)上的签名值(i，y，a)的设备，该设备位于第一计算机结点并且包括：-选择第一签名元素(a)的装置，-从I个指数值(e₁，...，e_I)选择签名指数值(e_i)的装置，以及-从提供的秘密密钥(g′_i，h′_i，x′_i)、消息(m)和I个指数值(e₁，...，e_I)得出第二签名元素(y)的装置，其中， $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 使得第一签名元素(a)、第二签名元素(y)和签名指数值(e_i)满足消息(m)和提供的公共密钥(g，h，x，N)的验证方程，即 $y^{e_i}=x{g}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 其中签名值(i，y，a)包括第一签名元素(a)、第二签名元素(y)和对签名指数值(e_i)的签名引用(i)，其中，H(m)是消息(m)的哈希函数，发送签名值(i，y，a)到在该网络中的第二计算机结点用于验证。

根据本发明的另一方面，提供一种在被连接的计算机结点的网络中验证消息(m)上的签名值(i，y，a)的设备，该设备位于第二计算机结点并且包括：-从第一计算机结点接收签名值(i，y，a)的装置；

-根据 $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y:=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 和提供的公共密钥(g，h，x，N)，从签名值(i，y，a)得出签名指数值(e_i)的装置，其中，H(m)是消息(m)的哈希函数，以及-验证签名指数值(e_i)和签名值(i，y，a)是否满足消息(m)和提供的公共密钥(g，h，x，N)的验证方程，即 $y^{e_i}=x{g}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 否则拒绝签名值(i，y，a)的装置，其中签名值(i，y，a)从第一签名元素(a)、I个指数值(e₁，...，e_I)、提供的秘密密钥(g′_i，h′_i,x′_i)和消息(m)生成。

根据本发明的另一方面，提供一种在被连接的计算机结点的网络中若有关签名值(i，y，a)的秘密密钥(sk)暴露发生、而传递该签名值(i，y，a)的有效性的设备，该设备包括：-定义指数值(e₁，...，e_I)的顺序的装置；-在网络中公布指数值(e₁，...，e_I)的描述和指数值(e₁，...，e_I)的顺序的装置；-在网络中公布对指数值(e₁，...，e_I)之一的废除引用(j)的装置，使得通过使用废除引用(j)、指数值(e₁，...，e_I)的描述、指数值(e₁，...，e_I)的顺序和提供的公共密钥(pk)，能确定该签名值(i，y，a)的有效性。

所提出的方法形成可证明是安全的转发安全签名方案的基础，即其安全不依靠启发，如随机预言(oracle)模型。而且，所提出的方法还形成安全并且有效率的细粒度转发安全签名方案的基础。后一方案允许对黑客突破进入立即反应，使得来自过去的签名值仍然保持有效而不重发它们，并且可由此识别基于暴露密钥的将来的签名值。换言之，在使用细粒度转发安全签名方案时，如果发生秘密密钥暴露，不需要重新签署当前时间周期中产生的签名值。重新签署是冗长乏味的，因为它会涉及再次联系各方，并且可能涉及重新谈判。

一般地，所提出的方法形成转发安全签名方案的基础，在该方案中每个准备的签名值(也称为签名)携带上升排列的签名引用i，也考虑为上升排列的索引i。该索引i以这样的方式附于签名值i，y，a：一旦它被使用就不能再使用更低的索引来签署。然后，无论何时敌手突破进入，诚实的签名人可仅仅宣告当前索引，例如通过相对当前索引签署某些特殊消息，作为用于当前时间周期的废除消息的部分。那么能理解，直到宣告的索引的先前时间周期中所做的所有签名以及废除周期中所做的所有签名是有效的，即不可抵赖的。

代替使用时间周期，如在普通的转发安全签名方案中，无论何时签署新消息，细粒度转发安全签名方案更新秘密密钥。在突破进入签名人的系统的事件中，由于存在称为侵入检测系统的工具因而可立即注意到，就可废除公共密钥g，h，x，N并且公布最后使用的索引i。从而可通知其它计算机结点有关已经发出的签名的有效性。这防止其它各方使用暴露的提供的秘密密钥g′_i，h′_i，x′_i来签署而不需要重新发出过去的签名。

可以在该网络中提供指数值e₁，...，e_I的描述。这允许每个相关方验证签名的有效性。

可以定义选择的指数值e₁，...，e_I的顺序，以便如果发生检测到侵入就能够通信签名值i，y，a的有效性。这允许所提出的方案的细粒度特性。

指数值e₁，...，e_I的每个可应用于至多一个签名值i，y，a，这允许提供安全签名方案。

更有效率的签名生成可实现在得出签名元素y还包括以下步骤时：使用提供的公共密钥g，h，x，N、提供的秘密密钥g′_i，h′_i，x′_i和指数值e₁，...，e_I，得出签名基值g_i，h_i，x_i。

在从提供的秘密密钥g′_i，h′_i，x′_i和选择的签名指数值e_i得出新的秘密密钥g′_i+1，h′_i+1，x′_i+1时，那么出现如下优点：可实现转发安全。

附图说明

下面仅仅通过举例，参考下面的示意图，将详细描述本发明的各优选实施例。

图1说明被连接的计算机结点的典型网络。

图2说明提供在被连接的计算机结点的网络中适用的秘密密钥和公共密钥的示意流程图。

图3说明提供被连接的计算机结点的网络中的消息上的签名值的示意流程图。

图4说明验证签名值的示意流程图。

图5说明在有关签名值的秘密密钥的暴露事件中在被连接的计算机结点的网络内通信签名值的有效性的示意流程图。

附图仅用于说明目的，而不必代表比例化的本发明的实际例子。

符号术语

为了帮助理解说明，下面是一些非正式定义。各符号有关在旁边指示并且在说明中使用的术语。

P，Q                     随机因子值，优选为素数

N                        模值

k                        N的比特数

e₁，...，e_I           指数值

e_i                      签名指数值

W                        种子，指数值的部分描述

QR_N                     Z^* _N中平方的子群

l                        安全参数

{0，1}^l                 长度l的比特串

g′，h′，x′            作为部分秘密密钥(sk)的秘密基值

g′_i，h′_i，x′_i     提供的秘密密钥

g′_i+1，h′_i+1，x′_i+1 新的或更新的秘密密钥

g，h，x                  形成公共基值

g，h，x，N               公共密钥(pk)或提供的公共密钥(pk)

a                        第一签名元素

y                        第二签名元素

i                        对签名指数值e_i的签名引用

j                        废除引用

j′                      签名引用

I                        可产生的签名值的数

i，y，a                  形成签名值

m                        消息

p₁，p₂，p₃，p₄      第一、第二、第三、第四计算机结点

t₀                      开始时间

T                        时间周期

t_Δ                      时间周期的持续时间

s              每时间周期可产生的签名值的数

具体实施方式

以下，一般地参照附图来更详细说明网络中细粒度(fine-grained)转发安全签名方案的特征。

转向图1，图1说明普通计算机系统2的例子。其在这里包括经由通信线路5连接网络的第一、第二、第三和第四计算机结点p₁，p₂，p₃，p₄。每个计算机结点p₁，p₂，p₃，p₄可以是本领域中已知的任何类型的计算机设备或者网络设备，从芯片上的计算机或者可穿戴计算机到大型计算机系统。通信线路可以是用于从一个计算机结点到另一个计算机结点传输数据或者消息的公知的任何通信装置。例如，通信线路可以是每对计算机结点p₁，p₂，p₃，p₄之间的单一、双向通信线路5，或者每对计算机结点p₁， p₂，p₃，p₄之间的每个方向上的一个单向线路。普通计算机系统2显示为便于说明形成和允许转发安全签名方案和细粒度转发安全签名方案的以下各方法。

密钥生成

图2说明提供在被连接的计算机结点的网络中适用的秘密密钥和公共密钥的示意流程图。要执行的步骤分别在方框中表示并且以标号标记。相同的标号或者符号用于标记相同或类似的部分。

秘密密钥sk(也称为秘钥)和公共密钥pk(也称为公钥)的生成在这里由第一计算机结点p₁执行。

首先，秘密密钥sk通过选择以20，21标记的两个随机因子值P，Q来生成。然后乘这两个选择的随机因子值P，Q从而获得如22标记的模值N。然后，秘密基值g′，h′，x′依据模值N来选择，如方框23标记的，其中秘密基值g′，h′，x′形成秘密密钥sk的部分，这里也标记为g′，h′，x′。

其次，公共密钥pk通过选择数I个指数值e₁，...，e_I来生成，如方框24标记的。公共基值g，h，x从指数值e₁，...，e_I和秘密基值g′，h′，x′导出，如25标记的，其中公共基值g，h，x和模值N形成公共密钥pk的部分，也标记为g，h，x，N，如26标记的。然后为安全原因应该删除两个随机因子值P，Q，如27标记的。公共密钥g，h，x，N在网络内提供，如28标记的，使得其它计算机结点p₂，p₃，p₄能访问该密钥。稍后，公共密钥g，h，x，N和至少一个选择的指数值e₁，...，e_I将可用于验证消息m上的签名值i，y，a(也称为签名)，消息m为了验证目的而要在网络中发送到例如第二计算机结点p₂。

在下面，秘密密钥sk和公共密钥pk的生成表示为具有某些更数学化细节的实施例。首先选择k比特大小的随机RSA模值N。模值N最好是两个安全素数的乘积。使用QR_N标记Z^* _N中平方的子群(subgroup)，由此所有群运算将在该群(group)中进行。选择随机种子W并且通过应用某伪随机生成器用于建立数I个随机唯一l+1比特素数指数值e₁，...，e_I。公布此种子W(作为部分公共密钥pk)允许任何计算机结点p₂，p₃，p₄重新产生指数值e₁ ，...，e_I。还可能公布所有指数值e₁，...，e_I作为部分公共密钥pk。而且，因为不同签名人可使用相同指数，所以它们可由某被信任的组织公布。进而，从QR_N随机选择秘密基值g′，h′，x′。计算它：

$g:=g^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},h:=h^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},\mathrm{and\; x}:=x^{\′\mathrm{\Π}1\≤i\≤I^{e_i}}$

这里公共密钥pk是pk：＝N，g，h，x，W。这里秘密密钥sk是sk：＝g′，h′，x′。设i：＝0。

签署

图3说明提供在被连接的计算机结点的网络中的消息m上的签名值的示意流程图。如果公共密钥pk还没有被废除，那么消息m上的签名值i，y，a在这里由第一计算机结点p₁执行。第一计算机结点p₁也称为签名人或者签名方。首先，选择第一签名元素a，如30标记的。此外，签名指数值e_i从数I个指数值e₁，...，e_I选择，如31标记的。如框32所示，第二签名元素y从以33标记的提供的秘密密钥g′_i ，h′_i，x′_i、以34标记的消息m和数量I个指数值e₁，...，e_I导出，使得第一签名元素a、第二签名元素y和签名指数值e_i满足已知关系，该关系表示为验证方程，其中具有消息m和包括g，h，x，N的提供的公共密钥pk。签名值i，y，a，如35标记的，最终包括第一签名元素a、第二签名元素y和对签名指数值e_i的签名引用i。然后签名值i，y，a在网络内发送给例如第二计算机结点p₂用于验证目的。

签名值i，y，a的生成在下面相对更数学化一些的方面进行说明。假设消息m要被签署。如果公共密钥pk已经被废除，例如因为秘密密钥sk已经泄漏，或者如果i＞I，即已经达到可产生的签名值的最大数，那么中断签署。给定sk_i＝g′_i，h′_i，x′_i，就可计算元素g_i，h_i，x_i，使得

$g_i^{e_i}=g,h_i^{e_i}=h,\mathrm{and}{x}_i^{e_i}=x.$

然后选择随机的第一签名元素a，根据a∈_R{0，1}^l计算

$y:=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)}.$

消息m上的签名在这里是i，y，a。

签署后，通过以下计算来更新秘密密钥sk

${g^{\′}}_{i+1}=g_i^{\′e_i},{h^{\′}}_{i+1}=h_i^{\′e_i},\mathrm{and}{x^{\′}}_{i+1}=x_i^{\′e_i},$

并且将秘密密钥sk设置为sk_i+1：＝(g′_i+1，h′_i+1，x′_i+1)，并且更新i：＝i+1。

签名验证

图4说明验证签名值i，y，a的示意流程图。消息m上的签名值i，y，a的验证在这里由第二计算机结点p₂执行。签名值i，y，a由第二计算机结点p₂从第一计算机结点p₁接收，如框40所示。然后，第二计算机结点p₂从签名值i，y，a导出签名指数值e_i，如框41所示。可验证签名指数值e_i是否数量I个指数值e₁，...e_I的成员，如框42所示，其中指数值e₁，...，e_I的描述在网络内是可访问的，如框43所示。如果签名指数值e_i不是数量I个指数值e₁，...e_I的成员，那么可能拒绝签名值i，y，a。如框44所示，验证签名指数值e_i和签名值i，y，a的部分是否满足已知关系，即具有消息m和如框43提供的、提供的公共密钥g，h，x，N的验证方程。在该验证失败时，拒绝签名值i，y，a。验证42、44的结果是“真”或“假”，如图中“T”和“F”所示，由此“假”或“F”导致拒绝签名值i，y，a，而“真”或“T”导致接受。可确定签名值i，y，a从第一签名元素a、数量I个指数值e₁，...，e_I、提供的秘密密钥g′_i，h′_i，x′_i和消息m生成。

在另一个例子中，也称为验证者的第二计算机结点p₂检查i，y，a，W是否消息m上的签名，即签名值。首先其检查是否0≤i≤I。其次，第二计算机结点p₂从签名引用i和种子W生成签名指数值e_i，这在此也包括在签名值i，y，a，W中。最后，如果满足下面的已知关系，即验证方程，那么验证者即第二计算机结点p₂接受该签名

$y^{e_i}=x{g}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N.$

废除

图5说明在有关签名值i，y，a的如54所示的秘密密钥sk的暴露事件中在被连接的计算机结点的网络内通信签名值i，y，a的有效性的示意流程图。签名值i，y，a的有效性在网络内如下通信。如50所示，定义指数值e₁，...，e_I的顺序，其描述在网络内提供，如51所示。指数值e₁，...，e_I的顺序还在网络内公布，如51所示。此外，对指数值e₁，...，e_I之一的废除引用j在网络内公布，如52所示，使得通过使用废除引用j、指数值e₁，...，e_I的顺序和如55所示的提供的公共密钥pk，签名值i，y，a的有效性是可确定的，如53所示。

下面提供一些更简单的实施例，有关如何使用提出的签名方案，如转发安全签名方案和细粒度转发安全签名方案，它们可证明是安全的而无需随机预言(oracle)。

转发安全签名方案

所提出的该签名方案可使用为具有如下特定性质的转发安全签名方案：每个时间周期可仅仅签署一个消息。也就是说，分配每个索引i给一时间周期而非一个消息。

每个时间周期可仅仅签署一个消息自然不是很实际。然而，与所提出的该签名方案一起使用任何普通签名方案S，可获得如下每个时间周期可签署许多消息的转发安全签名方案。

对每个时间周期T_i生成一新的实例，即S的公共和秘密密钥对(称为S_i)，其中1≤i≤I，并且签署其公钥pk_i作为所提出的该签名方案中的第i个消息。

为了在时间周期T_i签署消息m，那么可使用签名方案S_i签署消息m，产生签名s_m。因此，消息m上的最终签名包括签名s_m、公钥pk_i加使用所提出的该签名方案应用索引i进行的该公钥上的签名。

细粒度转发安全签名方案

所提出的该签名方案不阻止不诚实的签名人无效过去所做的签名，这通过宣称发生突破进入并且公布比签名人用于该签名的索引小的索引来进行。似乎不可避免地，给予签名人生成签名后的一些时间(例如一小时)，在该时间期间，签名人仍然可通过宣称发生突破进入召回(recall)该签名。这是因为应该给予签名人一些时间领会到突破进入发生并对此做出反应。在下面的三个例子I、II和III中，下面提出以解决此问题。

I.两级方案

使用所提出的该签名方案的一个实例化，称为A方案，其中每个索引标记一时间周期，即索引i这里标记从t₀+i^*t_Δ到t₀+(i+1)t_Δ的时间周期T_i，其中t₀是开始时间，而t_Δ是时间周期的持续时间。该方案的公钥变为用户的公钥。此外，参数j_Δ公布为公钥的部分，由此该参数j_Δ控制用户注意到秘钥的安全受到危及而可采取的时间。

然后，对于每个时间周期，使用所提出的该签名方案的第二个实例化，称为B_i方案，并且使用A方案相对该时间周期的索引i签署其公钥。此后，更新A方案的秘钥，并且该方案的新的当前索引变为i+1。

为了签署当前时间周期T_i的j消息，使用具有索引j的B_i方案。该消息上的签名包括该签名、B_i方案的公钥和使用A方案所做的该公钥上的签名。再次，签署后更新B_i方案的秘钥，并且新的当前索引为j：＝j+1。

无论何时例如在时间周期T_i，签名人想要废除其密钥时，她向被信任第三方(此后缩写为TTP)发送表示此的、用B_i方案使用当前索引(这里是j′)签署的预定消息。这样的签名称为废除签名。TTP验证该签名并且检查T_i′是否当前时间周期。如果是这样的情形，TTP接受该废除并且适当公布该签名。不阻止签名人在相同时间周期废除几次。

如果未发生废除，或者如果发生具有索引i′和j′的废除(其中i′和j′是TTP公布的任何废除签名的最小索引)，如果i≤i′和j≤j′-j_Δ成立，那么具有索引i和j的用户的签名视为有效。直到签署一个签名的时间周期已经过去，才能确定签名是否会有效。然而，这对任何转发安全签名方案适用。

允许签名人废除一个密钥几次的原因在于，否则知道秘钥的敌手就可能发送具有高于签名人的当前索引的索引j′的废除消息。容易看出，这给出了细粒度转发安全签名方案。代替所提出的该签名方案，可使用任何转发安全签名方案作为A方案。

II.使用公共档案(archive)

第二个例子使用公共档案代替前一例子中的A方案。假定不可能从该档案删除消息，并且各消息与它们被该档案接收的准确时间一起被公布。

给定这样的档案，细粒度转发安全签名方案如下使用所提出的该签名方案的仅仅一个实例化来实现。消息m上的签名使用当前索引用所提出的该签名方案进行。签署后，更新秘钥。

在每个时间周期末，通过应用所提出的该签名方案并且使用当前索引(这里是j)，用户签署预定消息，例如《用于时间周期T_i的最后索引》，然后更新秘钥并且发送该索引签名给公共档案。公共档案与它接收该签名的时间一起公布该消息。

无论何时例如在时间周期T_i′签名人想要废除其密钥时，她向TTP发送表示此的、用所提出的该签名方案使用当前索引j′签署的最好是预定的消息。TTP验证该签名并且检查T′_i是否当前时间周期以及j′是否小于该索引签名的索引j，其中签名人在前面的时间周期期间提供该索引签名给公共档案。如果是这样的情形，TTP接受该废除并且适当公布该签名。再次，不阻止签名人在相同时间周期废除几次。

在该第二个例子中，如果未发生废除，或者如果发生废除，如果i＜j′-j_Δ或者如果i＜j，那么具有索引i的用户的签名视为有效，其中j′是TTP公布的任何废除签名的最小索引，而j是签名人在废除密钥的时间周期前的时间周期提供给公共档案的该索引签名的索引j。

在该示例方案中，不能确定在一些时间周期签署的签名是否有效，直到该时间周期已经过去并且签名人已经公布具有档案中更高的索引的一个签名。与第一示例方案相比，第二个方案具有签名比较短的优点。

为了实际的原因，签名人可能被给予经过一个时间周期后的一些时间来公布档案中的一个索引签名并且进行废除。这允许其处理恰好在一个时间周期结束时的突破进入。结果，应该允许签名人每个时间周期在公共档案中设置几个索引签名，具有最低索引的签名是认为的签名。然后具有索引i的签名被视为有效，如果未发生废除，或者如果发生废除，如果i＜j′-j_Δ，其中j′是废除签名的索引。

III.允许每个时间周期s签名

在第三个例子中，仅仅使用所提出的该签名方案的一个实例化。通过允许每个时间周期恰好s签名，该索引被束缚于各时间周期。参数s与t₀和t_Δ一起被公布为公钥的部分。

因此在时间周期T_i，索引i·s，...，(i+1)s-1可用于签署。为了废除密钥，签名人向TTP发送使用当前索引j′产生的废除签名。TTP验证该签名，并且如果签名的索引匹配当前时间周期就公布它。具有索引j的签名被视为有效，如果未发生废除，或者如果公布具有索引j′的废除签名，如果j属于比较早的时间周期j′或者如果j＜j′-j_Δ。

该第三个例子后的原理在于，在所提出的该签名方案中签署消息的工作通过更新秘钥来管理。因此，给定具有的计算功率，就可计算在一时间周期期间可能发出多少签名，并且设置s为该数量。然后，会不断进行秘钥更新，即使没有签署消息。该方法不会太大改变系统的响应特性，但是不使用公共档案并且各签名小于第一个例子中的签名。

可将任何揭示的实施例组合一个或几个所说明和/或描述的其它实施例。这对各实施例的一个或多个特征也是可能的。

在本文环境中的计算机程序装置或者计算机程序意味一组指令的任何语言、代码或者符号的任何表示，该组指令意图在于使具有信息处理能力的系统直接或者在经过以下之一或两者之后执行特定功能：a)转换为另一种语言、代码或者符号；b)以不同数学形式再现(reproduction)。

Claims (20)

1.一种提供适用于被连接的计算机结点的网络的秘密密钥和公共密钥的方法，该方法能由第一计算机结点执行并且包括以下步骤：

-通过以下步骤生成秘密密钥：

-选择两个随机因子值(P，Q)，

-将两个选择的随机因子值(P，Q)相乘以获得模值(N)，以及

-依赖于模值(N)从Z^* _N中平方的子群(QR_N)随机地选择秘密基值(g′，h′，x′)，其中秘密基值(g′，h′，x′)形成秘密密钥(g′_i，h′_i，x′_i)；

-通过以下步骤生成公共密钥：

-选择I个指数值(e₁，...，e_I)，以及

-从指数值(e₁，...，e_I)和秘密基值(g′，h′，x′)得出公共基值(g，h，x)，

其中， $g=g^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ $h=h^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ 且 $x=x^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$

其中公共基值(g，h，x)和模值(N)形成公共密钥(g，h，x，N)；

-删除两个随机因子值(P，Q)；以及

-在该网络中向除了所述第一计算机结点以外的其他计算机结点提供公共密钥(g，h，x，N)，使得公共密钥(g，h，x，N)和至少一个选择的指数值(e₁，...，e_I)能用于通过 $y^{e_i}={\mathrm{xg}}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N$ 来验证消息(m)上的签名值(i，y，a)，其中，H(m)是消息(m)的哈希函数，并且其中该消息要在该网络中发送到第二计算机结点用于验证。

2.根据权利要求1所述的方法，还包括：在选择I个指数值(e₁，...，e_I)之后，在该网络中提供指数值(e₁，...，e_I)的描述，以便当签名指数值不是I个指数值(e₁，...，e_I)的成员时，拒绝签名值。

3.根据权利要求1或2所述的方法，还包括：定义选择的指数值(e₁，...，e_I)的顺序，以便如果发生检测到侵入能够通知网络中的计算机结点有关已经发出的签名值(i，y，a)的有效性。

4.根据权利要求1或2所述的方法，其中，指数值(e₁，...，e_I)的每个用于确定至多一个签名值(i，y，a)的有效性。

5.一种在被连接的计算机结点的网络中提供消息(m)上的签名值(i，y，a)的方法，该方法能由第一计算机结点执行并且包括以下步骤：

-选择第一签名元素(a)，

-从I个指数值(e₁，...，e_I)选择签名指数值(e_i)，以及

-从提供的秘密密钥(g′_i，h′_i，x′_i)、消息(m)和I个指数值(e₁，...，e_I)得出第二签名元素(y)，其中， $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 使得第一签名元素(a)、第二签名元素(y)和签名指数值(e_i)满足消息(m)和提供的公共密钥(g，h，x，N)的验证方程，即 $y^{e_i}={\mathrm{xg}}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 其中签名值(i，y，a)包括第一签名元素(a)、第二签名元素(y)和对签名指数值(e_i)的签名引用(i)，其中，H(m)是消息(m)的哈希函数，

发送签名值(i，y，a)到在该网络中的第二计算机结点用于验证。

6.根据权利要求5所述的方法，其中得出第二签名元素(y)的步骤还包括：使用提供的公共密钥(g，h，x，N)、提供的秘密密钥(g′_i，h′_i，x′_i)和指数值(e₁，...，e_I)，根据 $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ 得出签名基值(g_i，h_i，x_i)。

7.根据权利要求5或6所述的方法，还包括：从提供的秘密密钥(g′_i，h′_i，x′_i)和选择的签名指数值(e_i)，得出新的秘密密钥(g′_i+1，h′_i+1，x′_i+1)以便更新秘密密钥，其中 ${g^{\′}}_{i+1}=g_i^{\′e_i},$ ${{h^{\′}}_{i+1}=h}_i^{\′e_i},$ 且 ${{x^{\′}}_{i+1}=x}_i^{\′e_i}.$

8.根据权利要求5或6所述的方法，其中，指数值(e₁，...，e_I)的每个用于确定至多一个签名值(i，y，a)的有效性。

9.一种在被连接的计算机结点的网络中验证消息(m)上的签名值(i，y，a)的方法，该方法能由第二计算机结点执行并且包括以下步骤：

-从第一计算机结点接收签名值(i，y，a)；

-根据 $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 和提供的公共密钥(g，h，x，N)，从签名值(i，y，a)得出签名指数值(e_i)，其中，H(m)是消息(m)的哈希函数，以及

-验证签名指数值(e_i)和签名值(i，y，a)是否满足消息(m)和提供的公共密钥(g，h，x，N)的验证方程，即 $y^{e_i}={\mathrm{xg}}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 如果验证通过，则接受签名值(i，y，a)，如果验证不通过，则拒绝签名值(i，y，a)，

其中签名值(i，y，a)从第一签名元素(a)、I个指数值(e₁，...，e_I)、提供的秘密密钥(g′_i，h′_i，x′_i)和消息(m)生成。

10.根据权利要求9所述的方法，其中，指数值(e₁，...，e_I)的每个用于确定至多一个签名值(i，y，a)的有效性。

11.一种提供适用于被连接的计算机结点的网络的秘密密钥和公共密钥的设备，该设备位于第一计算机结点并且包括：

-生成秘密密钥的装置，包括：

-选择两个随机因子值(P，Q)的装置，

-将两个选择的随机因子值(P，Q)相乘以获得模值(N)的装置，以及

-依赖于模值(N)从Z^* _N中平方的子群(QR_N)随机地选择秘密基值(g′，h′，x′)的装置，其中秘密基值(g′，h′，x′)形成秘密密钥(g′_i，h′_i，x′_i)；

-生成公共密钥的装置，包括：

-选择I个指数值(e₁，...，e_I)的装置，以及

-从指数值(e₁，...，e_I)和秘密基值(g′，h′，x′)得出公共基值(g，h，x)的装置，其中， $g=g^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ $h=h^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$ 且 $x=x^{\′\mathrm{\Π}1\≤i\≤I^{e_i}},$

其中公共基值(g，h，x)和模值(N)形成公共密钥(g，h，x，N)；

-删除两个随机因子值(P，Q)的装置；以及

-在该网络中向除了所述第一计算机结点以外的其他计算机结点提供公共密钥(g，h，x，N)，使得公共密钥(g，h，x，N)和至少一个选择的指数值(e₁，...，e_I)能用于通过 $y^{e_i}={\mathrm{xg}}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N$ 来验证消息(m)上的签名值(i，y，a)的装置，其中，H(m)是消息(m)的哈希函数，并且其中该消息要在该网络中发送到第二计算机结点用于验证。

12.根据权利要求11所述的设备，还包括：在选择I个指数值(e₁，...，e_I)之后，在该网络中提供指数值(e₁，...，e_I)的描述的装置，以便当签名指数值不是I个指数值(e₁，...，e_I)的成员时，拒绝签名值。

13.根据权利要求11或12所述的设备，还包括：定义选择的指数值(e₁，...，e_I)的顺序，以便如果发生检测到侵入能够通知网络中的计算机结点有关已经发出的签名值(i，y，a)的有效性的装置。

14.根据权利要求11或12所述的设备，其中，指数值(e₁，...，e_I)的每个用于确定至多一个签名值(i，y，a)的有效性。

15.一种在被连接的计算机结点的网络中提供消息(m)上的签名值(i，y，a)的设备，该设备位于第一计算机结点并且包括：

-选择第一签名元素(a)的装置，

-从I个指数值(e₁，...，e_I)选择签名指数值(e_i)的装置，以及

-从提供的秘密密钥(g′_i，h′_i，x′_i)、消息(m)和I个指数值(e₁，...，e_I)得出第二签名元素(y)的装置，其中， $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 使得第一签名元素(a)、第二签名元素(y)和签名指数值(e_i)满足消息(m)和提供的公共密钥(g，h，x，N)的验证方程，即 $y^{e_i}={\mathrm{xg}}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 其中签名值(i，y，a)包括第一签名元素(a)、第二签名元素(y)和对签名指数值(e_i)的签名引用(i)，其中，H(m)是消息(m)的哈希函数，

发送签名值(i，y，a)到在该网络中的第二计算机结点用于验证。

16.根据权利要求15所述的设备，其中得出第二签名元素(y)的装置还包括：使用提供的公共密钥(g，h，x，N)、提供的秘密密钥(g′_i，h′_i，x′_i)和指数值(e₁，...，e_I)，根据 $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ 得出签名基值(g_i，h_i，x_i)的装置，以便通过第一签名元素计算第二签名元素。

17.根据权利要求15或16所述的设备，还包括：从提供的秘密密钥(g′_i，h′_i，x′_i)和选择的签名指数值(e_i)，得出新的秘密密钥(g′_i+1，h′_i+1，x′_i+1)以便更新秘密密钥的装置，其中 ${g^{\′}}_{i+1}=g_i^{\′e_i},$ ${{h^{\′}}_{i+1}=h}_i^{\′e_i},$ 且 ${{x^{\′}}_{i+1}=x}_i^{\′e_i}.$

18.根据权利要求15或16所述的设备，其中，指数值(e₁，...，e_I)的每个用于确定至多一个签名值(i，y，a)的有效性。

19.一种在被连接的计算机结点的网络中验证消息(m)上的签名值(i，y，a)的设备，该设备位于第二计算机结点并且包括：

-从第一计算机结点接收签名值(i，y，a)的装置；

-根据 $g_i^{e_i}=g,$ $h_i^{e_i}=h,$ 且 $x_i^{e_i}=x,$ $y=x_i{g}_i^a{h}_i^{a\⊕H\left(m\right)},$ 和提供的公共密钥(g，h，x，N)，从签名值(i，y，a)得出签名指数值(e_i)的装置，其中，H(m)是消息(m)的哈希函数，以及

-验证签名指数值(e_i)和签名值(i，y，a)是否满足消息(m)和提供的公共密钥(g，h，x，N)的验证方程，即 $y^{e_i}={\mathrm{xg}}^a{h}^{a\⊕H\left(m\right)}\mathrm{mod}N,$ 如果验证通过，则接受签名值，如果验证不通过，则拒绝签名值(i，y，a)的装置，

其中签名值(i，y，a)从第一签名元素(a)、I个指数值(e₁，...，e_I)、提供的秘密密钥(g′_i，h′_i，x′_i)和消息(m)生成。

20.根据权利要求19所述的设备，其中，指数值(e₁，...，e_I)的每个用于确定至多一个签名值(i，y，a)的有效性。

Images