技術領域

本發明屬于信息安全技術領域，涉及對數字信息進行簽名問題，更確切地說是涉及一種能夠增加敵手竊取簽名密鑰難度并且能夠減輕簽名密鑰泄露影響的數字簽名方法與系統。

背景技術

前向安全簽名的概念在1997年由Anderson引入，解決了通常數字簽名的一些缺陷：一旦秘密密鑰丟失(或被竊取)，以前由這個密鑰生成的所有簽名都變得無效。為了減少這樣的損失，Anderson提出把密鑰的有效期分成時段，在每個時段的最后，簽名者以一個單向的模式從當前時段的秘密密鑰得到一個新的下一個時段秘密密鑰，并且安全的刪除不再使用的秘密密鑰。而在整個密鑰的生命周期里公鑰不變，這個方法確保了泄露密鑰的時段以前的所有簽名的有效性。在最近這些年，具備前向安全的數字簽名方案得到研究和發展。Bellare和Mine通過對通常簽名方案安全定義的擴展，給出了前向安全正式的定義，同時提出了兩個方案：一個是在普通簽名基礎上使用樹型結構的證書鏈構造的方案：另一個是修改通常的簽名方案(Fiat-Sham簽名方案)。2001年，Abdalla和Miner給出一個前向安全的門限數字簽名，但是該方案的簽名密鑰和驗證密鑰都比較長。

我們這里要研究的前向安全的門限簽名方案應用門限機制對消息進行簽名，即將簽名密鑰分割成多份，分別有多人保管，須由一定數目的簽名子密鑰擁有者聯合才能夠產生一個有效的簽名，該簽名等同于由簽名密鑰直接產生并可使用對應的公開密鑰驗證其有效性。方案還采用密鑰進化機制，把整個周期(一般是聲明的公鑰有效期)分成更小的一個個時段，在整個周期內，公鑰是固定不變的，而私鑰是隨時段不斷進化。

一個標準的數字簽名包括密鑰生成協議、簽名協議和簽名驗證算法，而在前向安全的數字簽名方案中，還包括一個密鑰進化協議，這個協議是用來說明在整個周期中，密鑰是怎樣進化的。另外，一個不可忽視的問題是在門限簽名系統中，成員簽名子密鑰會出現損壞或丟失，當子密鑰損失數目超過一定值后，整個系統將不可用，另外針對某具體應用，可能會有向系統中加入新成員的應用需求，因此一個完善的前向安全的門限簽名方案還應該包括一個成員加入協議。

一個A(t，k_s，k_u，k_j，n)前向安全的門限數字簽名是指該方案最多可以在t個參與者被攻陷后，仍能保證其簽名密鑰的安全性，它的工作過程如下：

在密鑰生成階段，分發者生成公、私鑰并將私鑰分割后分發給n個參與者。

在每一個時間段的開始時刻，由n個參與者中的k_u個沒被攻陷的參與者執行密鑰進化協議，協議執行后，這個時段的私鑰將改變，并且每一個參與者，無論是否參與密鑰進化協議，都會得到這個時段屬于自己的新的子密鑰。

要對一個消息m進行簽名，需k_s個參與者共同執行簽名協議，進而生成一個使用當前時段簽名密鑰簽署的消息簽名。這個簽名中將包括本時段的序號并可以由公鑰驗證通過。

當有新成員要加入系統時，需要k_j個參與者共同執行成員加入協議，為新加入成員生成一個這一時段屬于他的簽名子密鑰。該過程不泄露任何原有成員的秘密信息，并且新成員加入后，與原有成員擁有相同的地位。

驗證過程同普通數字簽名驗證過程相同。任何持有公鑰的一方都可以執行該過程，驗證結果將是“接受”或“拒絕”，以告知驗證者被驗證的簽名是否有效。我們假設前向安全的門限數字簽名方案產生的簽名形式是<j，tag>，其中j為產生該簽名的時段序號，對于一個前向安全的門限簽名方案，在時段l，即使敵手攻陷t個以上參與者，他也不能成功偽造一個簽名<j，tag>滿足verify_PK(m，<j，tag>)＝1并且j<l。這里，verify()是簽名驗證算法，也就是說，敵手即使在第l時段獲得簽名密鑰，他也不能偽造出l時段之前的有效簽名。前向安全的方案都要求使用者刪除前一時段使用的密鑰，并將這一步驟作為密鑰進化協議的一部分，這很關鍵，否則，敵手攻陷系統后將根據以前時段的子秘密信息獲得以前時段的簽名密鑰來生成以前時段的有效簽名。

在我們的發明中，應用了下面的數論知識：