基于嵌套分組秘密共享的（ｔ，ｎ）門限簽名方案

摘要：基于嵌套分組秘密共享方案設計了一種新的(t，n)門限簽名方案。該方案生成有效簽名的t個成員不具有任意性，而是分別來自系統中不同群組的成員，他們能代表整個系統為某個消息生成有效的群簽名，只要有一組成員不參與，就無法生成有效的群簽名；群中任意t個或多于t個成員合謀無法獲得任何系統參數，也不能假冒其他組生成有效的群簽名。

關鍵詞：門限群簽名； 分組秘密共享； 嵌套； 合謀攻擊

中圖分類號：TP309文獻標志碼：A

文章編號：1001-3695(2007)12-0168-03

自從Desmedt和Frankel^[1]于1991年首次提出基于RSA的(t，n)門限簽名方案后，門限簽名得到了廣泛的應用，形成了各種各樣的門限簽名方案^[2]。這些方案都是基于秘密共享方案的^[3]，即群密鑰是群中任意t個或多于t個成員共享的秘密。這樣，如果方案設計不好的話，群中t個或多于t個成員合謀就可以恢復出群密鑰。利用公開的成員身份，他們就可以恢復出所有成員的密鑰，從而任何一組成員可以合謀假冒別的一組成員生成有效的群簽名，并偽造身份追查方程^[4，5]。這是不安全的。一種性能良好的門限簽名方案應該具有如下特點^[6]：群簽名特性、門限特性、簽名驗證的簡單性和匿名性、身份可追查性、系統的穩定性和強壯性。如果用這些標準衡量目前的門限簽名方案，均存在著程度不同的缺陷^[7]。因此設計出性能良好的門限簽名方案一直是密碼學者共同的夢想。

在現實生活中，一個系統的不同部門的員工數量是不同的，加之權利和義務分配的不等，可能系統賦予每個員工的權力大小也不一樣，但各個部門的相互協作是整個系統良性、高效地運作所必需的。所以看起來并不重要的一個部門，與其他部門一樣都會影響整個系統的正常運作。這好比機器上的一個螺絲釘，沒有它，性能再良好的機器也會出現運轉不正常。因此制訂一個具體計劃或方案時往往要考慮所有部門的利害關系，確保所有部門能共同參與。

本文給出一種新的(t，n)門限簽名方案。它是基于分組秘密共享方案的^[8]，每組秘密分割是均衡的，但不同組內由于成員人數不同，秘密分割不同。恢復出群密鑰的t個成員不具有任意性，而是分別來自系統中不同群組的成員，有效群簽名的生成必須是來自系統中不同群組的t個成員共同簽署的，缺少任意一組成員參與，均無法產生一個有效的群簽名。

4結束語

本文給出的(t，n)門限簽名方案，實現了所有不同部門的成員能代表本部門利益；各部門一起參與生成有效的群簽名，缺少任何一個或數個部門的參與都無法生成有效的群簽名。這種現象在現實世界中是經常遇到的，因而本方案有很好的實用價值。

參考文獻：

[1]DESMEDT Y， FRANKEL Y. Shared generation of authenticator and signature[C]//Proc of Advances in Cryptology－CRYPTO’91. Berlin: Springer－Verlag， 1991:457-469.

[2]ELGAMAL T. A public key cryptosystem and a signature scheme based on discrete logarithms[J]. IEEE Trans Inform Theory， 1985，31(4):469-472.

[3]HARN L. Group－oriented (t，n)－threshold digital signature scheme and digital multi－signature[J]. IEE Proc Comput Digital Techniques， 1994，141(5):307-313.

[4]WANG C T， LIN C H， CHANG C C. Threshold signature schemes with traceable signers in group communications[J]. Computer Communications， 1998，21(8):771-776.

[5]TSENG Y M， JEN J K. Attacks on threshold signature schemes with traceable signers[J].Information Processing Letters，1999，71(1):1-4.

[6]LI C M， WANG T H， LEE N Y. Threshold multi－signature schemes where suspected forgery implies traceability of adversarial shareholder[C]//Proc of Advances in Cryptology－EUROCRYPT’94. Berlin: Springer－Verlag， 1994:194-204.

[7]王貴林，卿斯漢.幾個門限群簽名方案的弱點[J].軟件學報，2000，11(10):1326－1332.

[8]張建中，肖國鎮.可防止欺詐的動態秘密共享方案[J]. 通信學報， 2000，21(5):81-83.

[9]王曉明，符方偉.一種安全的群簽名方案[J].電子與信息學報，2003，25(5):657-663.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”