返回
带容错性的门限签名方案new

带容错性的门限签名方案new

ID:34471920

大小:146.43 KB

页数:4页

时间:2019-03-06

带容错性的门限签名方案new_第1页
带容错性的门限签名方案new_第2页
带容错性的门限签名方案new_第3页
带容错性的门限签名方案new_第4页
资源描述:

《带容错性的门限签名方案new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第21卷第3期中国科学院研究生院学报Vol.21No.32004年7月JournaloftheGraduateSchooloftheChineseAcademyofSciencesJuly2004文章编号:10021175(2004)03039804简报*带容错性的门限签名方案张兴兰(信息安全国家重点实验室(中国科学院研究生院),北京100039)(2003年6月17日收稿;2003年9月24日收修改稿)摘要利用多方计算的方法,给出一个带容错性的门限签名方案.从而使得一个门限签名方案即使在有恶意

2、行为的情况下,仍可顺利地对消息进行有效的签名.关键词门限签名,门限方案,安全多方计算中图分类号TP3091引言门限密码学的一个主要目标是使一系列合作的服务能够安全并有效地实现密码任务,如:签名和解密.即使一部分(几乎半数)服务器存在恶意行为,门限密码体制仍需保持可用性和安全性,这是实践中[1]最主要的目标.尽管一般的多方计算理论保证了这一点的可行性,但如果不付出相当计算代价,直接的应用是不可行的.比较而言,门限协议是为那些具体的特殊任务而专门设计的,因此变得更为实用.[2,3]在一个门限签名方案中,一个

3、子秘密(secretshare)持有者,首先需要做出自己的子签名.文献[3]给出一个门限签名方案,每一个子秘密持有者所做的签名皆可验证.在多方计算的环境中,保证每一个参与者行为的诚实性是困难的.因此,如果考虑子秘密持有者的行为不诚实时,文献[4]给出的方案有两个明显的不足:其一,每一个子秘密持有者无条件的共享R=ri值,只要在签名方案中存在不诚实行i!P为,就会导致许多不必要的计算发生;其二,如果存在某子秘密持有者的签名无效,将导致门限签名无法生成.本文中,首先对文献[4]的方案做了必要的改进,然后利用多方计

4、算的原理,给出一个有效的、带有容错性的门限签名方案.从而使得门限签名在少数恶意行为的情况下,可以更有效、更经济地实现.设P={p1,p2,∀,pn}是n个参与者的集合,是P的子集的集合.如果中的元素是能够计算出秘密(!GF(q))的参与者子集,则称为访问结构,中的子集称为授权子集.设一个门限方案将秘密在n个参与者之间共享,而对每一授权子集A!,令A={p1,p2,∀,pl},参与者pi关于秘密的共享值(子秘密)为si,i=1,∀,l.pi的公开参数为xi,i=1,∀,l.假设秘密和si(i

5、=1,∀,l)之间满足关系=cisi,p!Ai其中ci!GF(q),可被任何参与者利用公开参数计算出来.显然,满足此条件的门限方案是存在的(如[5]Shamir方案、LSSS(linearsecretsharingschemes)方案).*国家自然科学基金(60273029)资助Email:zhangxinglan@bjut.edu.cn第3期张兴兰:带容错性的门限签名方案3992新的方案首先,由一个可信赖的中心Dealer选择并计算公开参数:(1)选择一个安全的hash函数(如:*SHA(.));

6、(2)选择一个大素数p,q是p-1的一个大素因子,使得对Zp上的离散对数问题是困难的.*511512159160为Zp的一个q阶生成元.一般地,2#p#2;2#q#2;(3)Dealer计算并公开y=modp;s参与者pii!A,计算并公开yi=modp.21改进的门限签名方案每一个参与者pi!A,对消息m的子签名这样计算:随机选择整数值bi![0,q-1],计算并公开rib=imodp;计算!i=H(m)bi+(ci+1)simodq.sigi(m)=(ri,!i).!H(m)c+1验证:检验i=r

7、iyiimodp是否成立.若成立,签名有效;否则签名无效.对于授权子集A,先计算R=rimodp;再计算S=!imodq.p!Ap!AiiA对消息m的门限签名为(R,S).SH(m)验证:计算YA=rimodpyi,检验=RYAymodp是否成立.若成立,则签名有效;否则签名无p!Ai效.注:这样改进的一个益处是参与者的子签名可以独立完成.只有每一个参与者的签名通过验证以后,生成门限签名之前才需要计算R=rimodp.文献[4]中先计算R=rimodp,所以子签名的计算不独立,这在多方参与计算的情况下不是很

8、理想.p!Ap!Aii对改进后的方案的安全性分析任何冒充的门限签名者要想通过验证,必须能够冒充授权子集的*子签名.如果可以冒充一个子签名sigi(m)=(ri,!i),意味着敌手可以得到参与者的子秘密.在Zp上离散对数的困难假设下,攻击者无法得到bi的值,此时想通过方程!i=H(m)bi+(ci+1)simodq得到si的值是不可能的.此外,即使一个攻击者可以得到若干参与者的子签名,由于方程!i=

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。