[发明专利]基于离散对数的有向传递签名方法

说明书

技术领域

本发明属于信息安全技术领域，具体指的是基于离散对数的有向传递签名方法。

背景技术

数字签名技术正以惊人的速度发展，应用于不同领域的签名方案也层出不穷。然而，一般的签名方案对于某些特殊的情况，其效果并不理想。例如，在军事指挥系统中，当上级A向下级B下达命令时，为了保证命令的合法性，A必须向下级B证明它有权向其下达命令，即要求A提供一个权威机构T的签名（比如说是司令部的签名），用来证明A是B的上级。对于这个问题有两种做法：一种是由T为每对有“命令”关系的成员对发布一个签名。但这有一个明显的缺点，就是T必须亲自产生很多签名，而且每增加一个成员，就得为该成员与其他成员间的所有“命令”关系进行签名，这可能会增加许多签名。对于一个动态增长的群体来说，这样做的效率太低。另一种做法就是使用命令链。以军事指挥为例：军长A与连长B中间还有师长C、团长D、营长E、当A要向B下达命令时，他向B提供这样一个签名链：“A是C的上级”、“C是D的上级”、“D是E的上级”、“E是B的上级”。用这样的方式可以减少签名量，但又会带来另一个问题，这就是命令链会泄露一些不必要的细节，比如会泄露命令链的所有中间成员以及这些成员间的等级关系。也就是说，该部队组织结构会被泄露，这将给机密性带来额外的威胁。与军事指挥中的命令链相似的还有PKI中的证书链，电子政务中也有类似的情形。因此，构造高效安全的特殊签名方案就成了所关注的问题。

针对上述问题，2002年，Micali和Rivest形式化的提出了传递签名的概念，主要用于对上面描述的二元关系进行签名。他们在提出概念的同时，给出了第一个无向传递签名方案，简称MR02方案，并把构造有向传递签名方案作为一个公开问题。随后，Bellare和Neven在ASIACRYPT’02上提出了“结点签名范例”的概念，“节点签名范例”对构造有向传递签名非常重要。已提出的传递签名方案大部分都是无向传递签名方案，目前仅有少数有向传递签名方案，例如，Kuwakado和Tanaka提出了一个明文空间是有向树的有向传递签名方案。因为有向树是有向图的一个特例，所以该方案并没有完全解决MR02方案中提出的公开问题。黄振杰等提出了一个高效的全序有向传递签名方案，进一步将该方案与MR02方案结合，提出了一个可针对任何有向图进行签名的方案，简称为DTS-G方案。遗憾的是，DTS-G方案对于复杂的有向图来说效率不是太高。因此，提出一个高效的适用于复杂有向图的传递签名方案仍然是一个需要深入研究的公开问题。

传递签名的形式化定义：

传递签名方案由一个4元组(Ks,Kp,M,S)和4个算法(TKG,TSig,TVf,Comp)组成，其中Ks是私钥空间，Kp是公钥空间，M是明文空间，M是集合的一个可传递的二元关系，S是签名空间。4个算法定义如下：

TKG:{0,1}^k→Ks×Kp是用来生成密钥的一个随机算法，输入1^k，即长度为k的0，1比特串，输出密钥对(tpk,tsk)，k为安全参数。

TSign:Ks×M→S是签名算法，可以是确定性的，也可以是随机性的，输入私钥tsk和待签消息m，输出签名σ。

TVf:Kp×M×S→{1,0}是签名的验证算法，它是确定性的，输入公钥tpk和被签消息m及签名σ，当σ为m的有效签名时输出1，否则输出0。

Comp:Kp×M×S→{S,⊥}是签名的合成算法，它是确定性的，输入公钥tpk和被签消息m₁,m₂及签名σ₁,σ₂。当σ₁,σ₂是有效签名，则输出经过合成运算得到的签名σ'，否则输出⊥。

发明内容