[发明专利]一个具有前向安全的门限数字签名方法与系统

权利要求书

1、一种数字签名方法与签名系统，该签名方法具有门限机制、子秘密更新机制以及成员加入机制。其特征是，以Shamir-SS协议、Mult-SS协议、Joint-Shamir-RSS协议为基础模块，设计出的前向安全的门限签名方案(FST-SIG签名方案)。整个数字签名方案包括五个部分：密钥生成协议、密钥进化协议、签名协议、签名验证算法、新成员加入协议。方案中涉及到的协议及算法的核心内容如下：

Protocol FST-SIG.keygen(k，T)  // 密钥生成协议

(1).分发者挑选两个随机的大素数p和q，并且满足p≡q≡3(mod4)，p，q需要保密；

(2).分发者计算N，使N＝pq；

(3).分发者在Z_N^*中随机选取S₀并计算U，U=(S02l(T+1))-1;]]>

(4).分发者利用Shamir-SS，在Z_n上计算S₀的子秘密：

(5).令SK0(ρ)=(N,T,0,S0(ρ))]]>(ρ＝1，2，…，n)，PK＝(N，T，U)；

(6).分发者通过保密的信道将发送给第ρ个参与者并发布签名验证密钥PK。

Protocol FST-SIG.sign(m，j)  // 签名协议

(1).参与者利用Joint-Shamir-RSS共同生成随机数R(R∈Z_N)，每个参与者拥有R的子秘密R^(ρ)；

(2).参与者根据R^(ρ)利用Mult-SS计算Y，使Y＝R^2l(T+1-j)；

(3).每一个参与者ρ计算σ＝H(j，Y，m)；

(4).利用Mult-SS参与者联合计算Z=RSjσ;]]>

(5).公布消息m的签名<j，(Z，σ)>。

Algorithm FST-SIG.verify(m，PK，sign)  // 签名验证算法

假设：PK是(N，U，T)；sign是<j，(Z，σ)>；

ifZ≡0(modN)

return(0)；

else Y′＝Z^2l(T+1-j)U^σmod N；

if σ＝＝H(j，Y′，m)

then return(1)；

else return(0)；

Protocal FST-SIG.update(j)  // 密钥进化协议

(1).如果j＝T，则返回空串；否则，执行：

(2).参与者根据各自的子秘密利用Mult-SS，计算S_j-1的2^l次方S_j的子秘密

(3).每个参与者ρ删除

Protocal FST-SIG.jion(j，n+1)//成员加入协议

(1).每一个参与者P_i，i∈{1…n}在Z_q上选取一个随机t次多项式δ_i(x)，满足δ_i(n+1)＝0。(可以这样选取：在Z_q上选取随机数{δ_ij}_j∈{1…t}然后计算δ_i0＝-∑_j∈{1…t}δ_ij(n+1)^j(modq)。)

(2).每个参与者P_i使用其他参与者P_j的公钥加密δ_i(j)(j∈{1…n}，j≠i)得到{ENC_j(δ_i(j))}并广播。

(3).每个参与者P_i计算Sj(i)′=Sj(i)+ΣPj∈Dδj(i)]]>并将保密传送给P_n+1。

(4).新加入者P_n+1获得所有的用拉格朗日插值法恢复出属于他的子秘密，进而获得签名子密钥SKj(n+1)=(N,T,j,Sj(n+1)).]]>

Shamir-SS算法

算法参数：Z，s，n，t

(1).执行者在集合Z中选择t个随机数a₁，a₂，…，a_t作为系数，以秘密s作为常数项构造t次多项式f(x)＝s+a₁x+a₂x²+…a_tx^t；

(2).执行者为多项式赋值，得到关于秘密s的子秘密s₁＝f(1)，s₂＝f(2)，…，s_n＝f(n)。

Mult-SS协议

参与者P_i的输入：f_α(i)和f_β(i)的值

(1).参与者选取一个随机t次多项式h_i(x)，满足h_i(0)＝f_α(i)f_β(i)，用各个参与者对应的公钥加密属于他们的值h_i(j)得到1≤j≤2t+1并以广播的形式将这些加密后的子秘密公布出去。

(2).每一个参与者P_j接收解密出h_i(j)，然后计算属于他的αβ的子秘密：

H(j)=Σi=12t+1λihi(j).]]>

Joint-Shamir-RSS协议

(1).参与者P_i选取一个随机数s_i作为秘密，并选取t个随机数a_i1，a_i2，…，a_it作为系数构造t次多项式f_i(x)＝s_i+a_i1x+a_i2x²+…a_itx^t；

(2).参与者P_i计算属于每一个参与者的子秘密：，用各个参与者对应的公钥加密属于他们的子秘密得到EPK1(Si(1)),EPK2(Si2),···,EPKn(Si(n))]]>，并以广播的形式将这些加密后的子秘密公布出去；

(3).每一个参与者P_j解密所有接收到的得，而参与者P_j掌握的对应的联合生成的随机数的子秘密为S1(j)+S2(j)+···Sn(j).]]>