24小时热门版块排行榜

返回列表

当前主题已经存档。

chentiedan

铁杆木虫 (小有名气)

应助: 0 (幼儿园)
金币: 5611.8
帖子: 82
在线: 60.5小时
虫号: 439419
注册: 2007-10-12
性别: GG
专业: 胶体与界面化学

[交流] 300金币求翻译一篇计算机论文

0 引言
分布式签名技术的研究产生于这样一个背景：在安全签名系统中，需要分散签名的权力，以防止单点失败，随着公钥系统在实际中的广泛应用而变得越来越重要。一些实体，如政府机构，银行等，其签名的权力不可避免的要受到各种各样的攻击，不管是因为好奇还是想非法获取签名权。分布式签名的思想就是将单个签名者的权力分散，使得不再是由一个人独掌签名权，而是由一组成员共同分享。分布式签名的研究已有一些成果，很大一部分是关于基于秘密共享的门限签名。秘密共享的概念最早是由 Shamir和 Blakley独立提出。目前采用的秘密共享方案主要有Shamir 的 Lagrange 内插多项式方案，Blakley 的矢量方案，Desmedt提出的t-out-of-n方案等。目前分布式签名方案主要有基于RSA体制的，随着双线性对在公钥密码方面的成功应用，利用双线性变换构造签名方案和门限签名方案成为了一个热点， Boneh等人的短签名方案，以签名长度短，计算简单，安全性高受到了广泛关注。Boldyreva在2003年提出的基于GDH群签名的门限方案，一起具有通信量少和计算量小比较引人注目。
利用双线性对构造的门限方案大部分是基于Shamir 的 Lagrange 内插多项式方案，密钥分发需要构造Lagrange多项式，在签名合成时需要计算Lagrange系数。本文采用Boneh[10]等人的短签名方案，基于GDH群的相关性质，利用Desmedt提出的t-out-of-n方案，针对P2P网络提出了一个具有鲁棒性的安全分布式签名系统。该系统和Boldyreva的门限方案相比不需要构造Lagrange 内插多项式方案，不用签名的合成，由结点依次进行一次短签名，即可得到系统完整的签名。具有计算量小，效率高，安全性高等特点。
1相关背景知识
1.1  P2P网络
在基于Peer to Peer网络结构的系统中,两个节点之间的通信是通过消息在各节点之间的传递来实现的。Peer to Peer路由算法就是关于如何确定系统中任意两个节点之间消息传递路径的方法,一般情况下,为了提高通讯的可靠性,Peer to Peer路由算法能保证任意两个节点之间存在多条消息传递路径。确定了消息传递路径,也就确定了系统中各节点的连接关系,从而也就确定了Peer to Peer网络的拓扑结构。因此，P2P系统的最核心问题就是对象定位的路由算法。
为了实现Peer to Peer网络,每个节点上需要保存一个与其有连接关系的节点的IP地址列表，称为邻居列表。为了支持通信，每个节点还需要保存一个建立在IP地址列表基础上的消息转发目标表，称为路由表。从Peer to Peer网络通讯机制来看，更适合构造大规模分布式系统。
2 基于GDH群的P2P网络分布式数字签名系统
该系统由一个权威节点（dealer）和n个信任节点以及多个签名收集者（SC）三层结构组成[7]，权威节点负责密钥的产生，子密钥的分发，信任节点分享系统的密钥，进行部分签名，签名收集者负责签名的收集和验证，但是不参与签名。
系统中任意信任节点组成一个组，称其为信任组。任意一个信任组对应一个SC。一个信任组可以完成系统的完整签名。任意一子密钥都可以和其它个信任节点的对应子密钥构成一个签名证书。只有权威节点和签名收集者知道信任节点的分组信息，信任节点不知道分组信息。由于权威节点掌握系统完整密钥，因此只有在分发密钥时才会在线，平时处于离线状态。
签名收集者接受用户的签名请求后，将要签名的消息交给所在的信任组，由信任组的节点依次完成各个子签名。每个节点在完成子签名后，将子签名交给SC验证，验证通过后，由SC传给该组的下一个节点，由该节点对前一个节点的签名再做一次短签名，并将签名交给SC验证，验证通过后，再传给下一个节点。这样，依次传到最后一个节点，当最后一个节点完成签名后，就得到了系统的完整签名了。SC收集合法的完整签名，并交给用户。方案框架如图1：
（1）密钥分发
   在有限域上，是大素数，是生成元，Dealer随机选取，计算作为系统的私钥，系统公钥为，  是群的生成元。为使系统具有容错性，将随机数分成多个组：

计算：，代表信任节点所在的组，将，代表每一组组的第个信任节点，。将秘密分配给对应的信任节点，同时将令  ,将发送给签名收集者SC。
（2）签名生成
1） SC收到签名请求后，将要签名的消息传给所有信任组的任意一个信任节点。现以第组为例说明。将消息传给该组的第一个信任节点。计算签名，并将发送给SC。SC验证等式
（1）
若不成立，表明该节点被攻击，向管理人员报告。并终止第组的签名。若等式（1）成立，则为消息的合法部分签名，SC将传给该组的下一个节点，计算，并将发送给SC，SC取出上一个节点的签名 ,验证等式（2）：
  (2)
若不成立，表明该节点被攻击，通过签名系统的管理者举报，并终止第组的签名。否则，为消息的合法部分签名。SC依次将部分签名传给该信任组的其它节点，直到第个信任节点，计算，SC验证等式：  （t），若不成立，表明该节点被攻击，通过签名系统的管理者举报，并终止第组的签名。若等式（t）成立，  令，  为消息m的最终签名。
（3）用户验证  （t+1），若等式成立，则签名合法。
3 方案分析和证明
3.1 正确性
定理1 由t个结点依次签名，可以得到系统的完整签名。

3.2 不可伪造性
定理2 在本文方案中，仅仅只有信任结点能够对消息生成有效的签名，其他任何人都不能生成的有效个体签名。
证明：假设攻击者在知道的签名和的情况下，伪造的签名通过等式验证，必然要使，但是由，无法求出，这是离散对数问题。

定理3 本文所提供的方案具有防伪造攻击的能力。
证明：假设给定消息，攻击者伪造对该消息的完整签名，要通过等式验证，必然要使，但是从，，并求出，，这是离散对数问题。
在另外在选择消息攻击下，本文方案也是不可伪造的。在部分签名过程中，每个信任节点采用的是Boneh等人的基于双映射的短签名方案，该方案已经被在随机预言模型下，能够抵御利用选择消息进行伪造攻击，本文的方案是由个结点依次进行短签名实现的，所以每个节点的部分签名能够抵御利用选择消息进行性伪造攻击。所以在选择消息攻击下，本文方案也是不可伪造的。
3.3 鲁棒性
研究分布式签名，可以极大地增强签名机构的可用性。系统可以在即使有一定数量的错误时，仍能提供签名服务，这就是系统的鲁棒性。本系统的签名密钥被分成了若干组，按照一定方式分布在n个信任结点中，任意t个信任结点都可以完成签名，只要系统有不多于节点崩溃，系统就可以组织签名，系统具有的容错能力。Dealer掌握了系统的完整密钥，但是只在密钥分发时在线，平时都是离线，有效的防止了单点失败的可能性。分析表明本系统具有较强的鲁棒性。
3.4 抗合谋性
定理4 本文提供的方案即使在信任结点合谋的情况下，也是安全的。
  证明：假设攻击者联合信任结点能对消息伪造出合法的签名，要通过等式验证，必然要使，但是即使知道了，，  ，，无法求出和，这是离散对数问题。
另外该分布式签名系统采用三层结构，起到了节点隐藏的作用，只有SC知道节点的分组信息，其中的信任节点并不知道与其所在同一组的其他节点，他无法联合其他节点进行伪造签名，所以具有一定的抗合谋性。
3.5 有效性
本系统的所有部分签名采用的都是基于双映射的短签名方案，是在上一个信任节点部分签名的基础上，做一次短签名，直到第个信任节点成功完成签名，也就完成了整个签名，不需要签名的合成，与RSA体制签名体制相比，本文的方案具有签名长度短，计算效率高等特点。与Boldyreva的门限方案相比不需要构造Lagrange 内插多项式方案，不用签名的合成，由结点依次进行一次短签名，即可得到系统完整的签名。具有计算量小，效率高，安全性高等特点。
4  结论
分布式数字签名区别于一般的数字签名，其研究重点和目标是获得以下特性：避免使用可信中心，实现分布式密钥产生和分布式签名生成；具有鲁棒性，抗移动攻击性，其容错能力和抗攻击能力应尽可能地高；高有效性，无论是从计算效率，交互次数和数据规模的角度来衡量。分析表明本文设计的分布式签名系统具有计算量少，签名长度短，计算效率高等特点。

回复此楼