安全增強(qiáng)的基于RSA可驗(yàn)證門(mén)限簽名方案精

1、安全增強(qiáng)的基于RSAM驗(yàn)證門(mén)限簽名方案fl1里摘要本文提出一種驗(yàn)證功能完善、安全性更高的門(mén)限RSA&名方案。該門(mén)限簽名方案利用有理數(shù)域上的插值公式，Shamir秘密共享方案以及改進(jìn)的門(mén)限RSA簽名方案等理論，解決了在中對(duì)元素求逆和代數(shù)結(jié)構(gòu)擴(kuò)張的問(wèn)題以及共享服務(wù)器合謀的問(wèn)題。關(guān)鍵詞門(mén)限密碼體制，門(mén)限簽名，RSAJ法，門(mén)限RSA簽名方案1引言門(mén)限簽名是門(mén)限密碼學(xué)的主要研究?jī)?nèi)容之一，最初由Desmedt和Frankel等人引進(jìn)的，并基于ElGamal密碼方案建立了第一個(gè)（t,n）門(mén)限密碼體制。在（t,n）門(mén)限簽名方案中，n個(gè)成員共享群體的簽名密鑰，使得任何不少于t個(gè)成員的子集可以代表群體產(chǎn)生

2、簽名，而任何少于t個(gè)成員的子集則不能產(chǎn)生簽名。門(mén)限簽名方案的基本假設(shè)是：在系統(tǒng)生命周期中，至少有（t-1）個(gè)非誠(chéng)實(shí)成員。由于RSAJJ法滿(mǎn)足構(gòu)成門(mén)限密碼體制的同態(tài)性要求，并且在CA中被廣泛使用，所以這里選擇基于RSA勺門(mén)限簽名方案。但是對(duì)于RSA®碼系統(tǒng)，情況要復(fù)雜一些。首先剩余環(huán)本文以基于有理數(shù)域上插值公式的Shamir的秘密共享方案為基礎(chǔ)，將改進(jìn)的門(mén)限RSA簽名體制、兩方共享與（t,n）門(mén)限方案相結(jié)合，提出了一個(gè)需要可信任中心的安全性增強(qiáng)的基于門(mén)限RSA®名方案。利用由hash函數(shù)建立的特殊形式的RSA簽名體制，很好解決了在回2門(mén)限秘密共享方案分析通過(guò)前面的分析我們知道

3、門(mén)限秘密共享方案是構(gòu)成門(mén)限簽名方案的基礎(chǔ)?，F(xiàn)有的許多門(mén)限簽名方案采用的是ITTC項(xiàng)目中的方案，采用隨機(jī)和的拆分方法，也就是將秘密密鑰d按多種（t,t）共享方案分割，每種分割稱(chēng)為一種聯(lián)合，每種聯(lián)合含有t份子密鑰，這t份子密鑰分別存儲(chǔ)在n個(gè)服務(wù)器中的t個(gè)不同共享服務(wù)器上，不同的子密鑰聯(lián)合對(duì)應(yīng)不同的t個(gè)共享服務(wù)器組合。這種方案具有方法簡(jiǎn)單，運(yùn)算效率高的特點(diǎn)，但是它的子密鑰分發(fā)和管理都比較困難。它需要客戶(hù)機(jī)或是組合者指定共享服務(wù)器而不具有任意性，對(duì)于客戶(hù)機(jī)的要求很高，實(shí)現(xiàn)起來(lái)比較困難。本文采用有理數(shù)域上的插值公式和經(jīng)典的Shamir(t,n)秘密共享方案作為構(gòu)造門(mén)限簽名方案的理論基礎(chǔ)。這是因?yàn)镾ham

4、ir門(mén)限體制具有以下特點(diǎn)：(1)增加新的子密鑰不用改變已有的子密鑰。在參與者Pi,P2,，Pn中成員總數(shù)不超過(guò)q的條件下可以增加新的成員而不用重新撤銷(xiāo)以前分發(fā)的子密鑰。當(dāng)系統(tǒng)需要增加共享服務(wù)器時(shí)，我們只需要對(duì)新增加的服務(wù)器分發(fā)新的子密鑰，而不需要將已經(jīng)分發(fā)的子密鑰一起替換掉，這樣可以減少系統(tǒng)的工作，提高系統(tǒng)效率。(2)可以通過(guò)選用常數(shù)項(xiàng)不變的另一(t-1)次新的多項(xiàng)式，將某個(gè)成員的子密鑰作廢。當(dāng)某個(gè)共享服務(wù)器被攻破時(shí)，需要作廢它的子密鑰，我們可以米用這種方法。(3)組合者可以任意選擇共享服務(wù)器的子密鑰進(jìn)行密鑰恢復(fù)而不需要指定它們。這是我們選擇Shamir(t,n)秘密共享方案的一個(gè)重要原因。當(dāng)

5、共享服務(wù)器完成部分簽名后組合者Combiner可以在n個(gè)服務(wù)器中任意選擇t個(gè)進(jìn)行最后的組合，而不需要去指定由某些服務(wù)器的部分簽名構(gòu)成最后的簽名。這里我們給出這樣一個(gè)假設(shè)：任意t個(gè)共享組件所構(gòu)成的信息與n個(gè)共享組件所構(gòu)成的信息應(yīng)該是完全等價(jià)的。在此基礎(chǔ)上給出本文的基于RSA、1限簽名方案。3基于RSA、1限簽名方案設(shè)計(jì)3.1 密鑰初始化定義5-1可信任中心A(Administrator)指將簽名私鑰分給n個(gè)秘密共享者的組件?？尚湃伟岛薃一定能確保秘密信息不會(huì)被泄漏，并且在執(zhí)行完密鑰的分發(fā)后將簽名私鑰和其它信息一起銷(xiāo)毀。(1)假設(shè)可信任中心A選擇好RSA1數(shù)N,公鑰e和私鑰d以及(2)取定一個(gè)固

6、定的正整數(shù)k及值域包含于回d1為隨機(jī)數(shù)，3.2 子密鑰的生成與驗(yàn)證可信任中心A按如下步驟將簽名密鑰d2分發(fā)給n個(gè)共享服務(wù)器ShareServeri。(1)A隨機(jī)選取多項(xiàng)式回寸其中g(shù)是可信任中心a隨機(jī)選取的信息樣本A將ck秘密地發(fā)送給ShareServeri,而將N,n,e,h公開(kāi)，將所有的g,c,yi廣播給各ShareServeri,p,q不再使用將其銷(xiāo)毀。(2)各共享服務(wù)器ShareServeri(i=1,2,，n)收到可信任中心A發(fā)送來(lái)的子密鑰dz后，利用已廣播的公開(kāi)信息驗(yàn)證子密鑰dz的正確性，方法如每個(gè)共享服務(wù)器ShareServeri判斷下面的式子是否成立：回由于(5-4)式是所有共享

7、服務(wù)器都收到的，因此方案中任何的組件都可以驗(yàn)證，故稱(chēng)為公開(kāi)驗(yàn)證部分；式(5-5)由每個(gè)共享服務(wù)器自己驗(yàn)證，故稱(chēng)為秘密驗(yàn)證部分。對(duì)于ShareServeri來(lái)說(shuō)，秘密驗(yàn)證就是用自己的子密鑰dz和收到的g計(jì)算yi并與從可信中心A發(fā)送的yi比較是否一致來(lái)判斷dz的正確性。公開(kāi)驗(yàn)證的正確性說(shuō)明如下：當(dāng)公開(kāi)驗(yàn)證和秘密驗(yàn)證中有一個(gè)不成立就認(rèn)為驗(yàn)證失敗，ShareServeri宣布可信任中心A發(fā)放的子密鑰是錯(cuò)誤的，于是可信任中心A被認(rèn)為是不合格的，協(xié)議至此中止?？尚湃沃行腁將重新選擇N和密鑰對(duì)(d,e)重復(fù)上面的步驟發(fā)放新的密鑰，否則可信任中心A分發(fā)密鑰成功，可以進(jìn)行下面步驟。這時(shí)可信任中心A銷(xiāo)毀所分發(fā)的密

8、鑰，以防止密鑰泄露。3.3 部分簽名的生成與驗(yàn)證首先密鑰服務(wù)器K利用密鑰di對(duì)消息m的hash函數(shù)值進(jìn)行簽名2d51S11共享服務(wù)器ShareServeri生成對(duì)消息m的部分簽名后，本文借助交互驗(yàn)證協(xié)議來(lái)驗(yàn)證ShareServeri的部分簽名是否正確。在交互驗(yàn)證協(xié)議中可以由任何一方來(lái)驗(yàn)證部分簽名的正確性，這里為了方便后面系統(tǒng)設(shè)計(jì)故規(guī)定共享服務(wù)器ShareServeri的部分簽名是由ShareServeri+i來(lái)驗(yàn)證。若協(xié)議成功，則ShareServeri+i確信ShareServeri的部分簽名&是正確的;否則&是不正確的。方法如下：(1)ShareServeri+i任意選取a

9、,bCqi,N,計(jì)算出011(2)ShareServeri收至UR后，計(jì)算出回(3)ShareServeri+i收到回下面我們來(lái)說(shuō)明協(xié)議的安全性，假設(shè)N為兩個(gè)安全素?cái)?shù)p,q之積。若非誠(chéng)實(shí)驗(yàn)證者P不能攻破RSAS統(tǒng)，則上述驗(yàn)證RSA?分簽名的交互式協(xié)議滿(mǎn)足以下性質(zhì)：(1)完備性若P,ShareServeri都是誠(chéng)實(shí)的，則ShareServeri總是接受P的證明。(2)合理性非誠(chéng)實(shí)證明者P使ShareServeri接受不正確部分簽名的成功率是可忽略的零知識(shí)性非誠(chéng)實(shí)驗(yàn)證者除了能知道部分簽名是正確外，不能獲得其他任何信息。因此由這樣的交互式協(xié)議驗(yàn)證為正確的部分簽名基本可以認(rèn)為是正確的。3.4 簽名的生

10、成與驗(yàn)證若已有t個(gè)部分簽名(1)Combiner將Xi(i=1,2,，t)看作整數(shù)環(huán)Z上的元素，在整數(shù)環(huán)Z上計(jì)算?；?2)各共享服務(wù)器的門(mén)限簽名與的計(jì)算公式如下:最后系統(tǒng)的簽名為接著Combiner利用公開(kāi)密鑰e,按下式來(lái)驗(yàn)證門(mén)限簽名(m,S)的正確性，若成立則接受S為m的合法簽名。3.5 簽名算法這里給出了門(mén)限簽名方案的實(shí)現(xiàn)算法，其中需要運(yùn)用java.io.*；java.security.*；java.math.*；javax.crypto.*；javax.crypto.spec.*；java.security.spec.*；erfaces.*；java.u

11、til.*；erfaces.*等系統(tǒng)提供的類(lèi)和方法。(1)RSA簽名私鑰生成算法：publicclassRSAKeyPairGeneratorkpg=KeyPairGenerator.getInstance("RSA")；kpg.initialize(1024)；KeyPairkp=kpg.genKeyPair()；PublicKeypbkey=kp.getPublic();PrivateKeyprkey=kp.getPrivate();/保存RS心鑰FileOutputStreamf1=newFileOutputStream("s

12、key_RSA_pub.dat");ObjectOutputStreamb1=newObjectOutputStream(f1)；b1.writeObject(pbkey);/保存RS幽鑰FileOutputStreamf2=newFileOutputStream("skey_RSA_priv.dat");ObjectOutputStreamb2=newObjectOutputStream(f2)；b2.writeObject(prkey);(2)子密鑰生成算法：publicclassshareRSA/讀取私鑰d及RSA#數(shù)FileInputStreamf=newFileInputStream("skey_RS