共享可验证的不可否认门限多代理多重签名方案

2021年2月Journal on Communications February 2021 第42卷第2期通信学报V ol.42No.2安全高效的两方协同ECDSA签名方案王婧1，吴黎兵1,2，罗敏2，何德彪2（1. 武汉大学计算机学院，湖北武汉 430070；2. 武汉大学国家网络安全学院，湖北武汉 430070）摘 要：为了解决签名私钥易泄露和签名权利过度集中的问题，针对基于区块链技术的网络交易系统，提出了一种安全高效的两方协同ECDSA签名方案。

通过预计算一次一密的Beaver三元组，进而利用基于Beaver三元组的安全两方乘法技术，有效避免使用计算繁重的同态加密和通信开销较大的不经意传输等操作，实现高效的两方协同ECDSA签名，保证2个签名参与方在不重构完整签名私钥的情况下输出合法的ECDSA签名。

方案的安全性在通用可组合框架中的混合模型下被证明。

理论分析与实验结果表明，与现有的2种两方协同ECDSA签名方案相比，所提方案在协同签名运行效率和带宽要求方面均具有明显优势。

关键词：私钥泄露；密钥保护；签名效率；两方签名中图分类号：TP309文献标识码：ADOI: 10.11959/j.issn.1000−436x.2021019Secure and efficient two-party ECDSA signature schemeWANG Jing1, WU Libing1,2, LUO Min2, HE Debiao21. School of Computer Science, Wuhan University, Wuhan 430070, China2. School of Cyber Science and Engineering, Wuhan University, Wuhan 430070, ChinaAbstract: To solve the easy disclosure of signature private key and excessive concentration of signature rights, a secure and efficient two-party ECDSA signature scheme was proposed for the blockchain based network trading systems. By pre-computing one-time pad Beaver’s triple, and utilizing the Beaver’s triple based secure two-party multiplication tech-nology, some computationally intensive homomorphic encryption operations and oblivious transfer operations with high communication overhead were effectively avoided, and thereby an efficient two-party ECDSA signing was realized, which could ensure that the two signing parties output valid ECDSA signature without reconstructing the complete pri-vate key. The proposed scheme was proved to be provably secure under the hybrid model of the universally composable framework. Theoretical analysis and simulation results demonstrate that the proposed scheme has significant advantages in terms of signing efficiency and bandwidth requirements when compared with the existing two two-party ECDSA sig-nature schemes.Keywords: private key leakage, key protection, signing efficiency, two-party signature1 引言椭圆曲线数字签名算法（ECDSA, elliptic curve digital signature algorithm）是椭圆曲线加密（ECC, elliptic curve cryptography）与数字签名算法（DSA, digital signature algorithm）的结合，于1999年成为收稿日期：2020−09−02；修回日期：2020−12−05通信作者：吴黎兵，**************基金项目：国家自然科学基金资助项目（No.61932016, No.61972294, No.61772377, No.61672257, No.91746206）；湖北省自然科学基金资助项目（No.2017CFA007）；深圳市科技计划基金资助项目（No.JCYJ20170818112550194）Foundation Items: The National Natural Science Foundation of China (No.61932016, No.61972294, No.61772377, No.61672257, No.91746206), The Natural Science Foundation of Hubei Province (No.2017CFA007), The Science and Technology Planning Project of Shenzhen (No.JCYJ20170818112550194)第2期王婧等：安全高效的两方协同ECDSA签名方案·13·美国国家标准学会（ANSI, America National Stan-dards Institute）标准，并于2000年成为电气和电子工程师协会（IEEE, Institute of Electrical and Elec-tronics Engineers）、美国国家标准与技术研究院（NIST, National Institute of Standards and Technolo-gy）标准[1]。

可验证环签名方案的分析和改进李晓琳;梁向前;刘奎;潘帅【摘要】通过对罗大文等提出的无证书的可验证环签名方案(罗大文,何明星,李虓.无证书的可验证环签名方案.计算机工程,2009,35(15):135～137)和可验证的代理环签名方案(罗大文,何明星,李虓.可验证的代理环签名方案.西南民族大学学报:自然科学版,2009,35(3):608-611)进行分析,指出这两个可验证环签名方案不满足不可否认性,即环中的成员可以冒充环内其他成员生成有效的环签名,并使验证者相信签名是后者所为.针对上述问题,利用签名者的私钥产生秘密值,提出了改进的可验证环签名方案,安全性分析表明改进的方案克服了原方案的安全缺陷,满足可验证环签名的所有安全要求.【期刊名称】《计算机应用》【年(卷),期】2012(032)012【总页数】5页(P3466-3469,3473)【关键词】环签名;可验证环签名;双线性对;不可否认性;匿名性【作者】李晓琳;梁向前;刘奎;潘帅【作者单位】山东科技大学信息科学与工程学院,山东青岛266510;山东科技大学信息科学与工程学院,山东青岛266510;山东科技大学信息科学与工程学院,山东青岛266510;山东科技大学信息科学与工程学院,山东青岛266510【正文语种】中文【中图分类】TN9180 引言随着网络技术的发展和Internet的普及，现实中的商务和政务活动逐渐网络化。

为了使网络活动中信息传送相对安全和高速，对用户身份信息认证足够准确，数字签名随之产生。

在现实生活中，数字签名的应用领域广泛而多样，因此能适应某种特殊要求的数字签名技术也应运而生，如:盲签名、代理签名、门限签名、群签名和环签名等，这些签名方案被统称为特殊数字签名。

在一般签名方案中，签名者的身份并没有得到保护，在电子投票、股票交易、电子支票或电子货币的分发等应用中，人们越来越关注匿名性。

1991年，Chaum等［1］首次提出群签名的概念。

什么是代理签名数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。

这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。

它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。

基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名，包括普通数字签名和特殊数字签名。

特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。

在其中的代理签名中，代理签名人可以代表原始签名人生成签名，它有着广泛的用途。

通过法律认可的数字签名和代理签名技术，能够实现网络和虚拟环境下的不可否认和身份验证，从而建立信任关系，消除顾客疑虑。

代理签名技术能够将具有很好信誉的大型厂家的信誉传递给由其认证过的代理商，为顾客提供产品质量、售后服务等各种保障和承诺。

从而，顾客可以凭借厂家的信誉进而相信商家，商家也凭借信任关系扩大经营规模，以数字签名和代理签名的形式为顾客提供多样化的信誉保障。

最终它们解决电子商务各方的后顾之忧。

目前电子商务，无论是企业对企业，企业对顾客，企业对政府的模式中，除了电子银行外，基本上是一对一的模式。

在基于代理签名和多方数字签名的模式中，将直线的销售模式转变为曲线乃至网络的模式，是对以往模式的一种扩展和创新，引入了多方共同参与的销售模式，厂家可以通过代理商来给予顾客承诺，以厂家的信誉来保障销售的可靠性。

可见采用数字签名和代理签名，可以使得服务更加全面和多样化，适应不同商品的特点以及顾客个性化的要求，从而以更加健全的服务和品质来赢得更多的顾客。

另外可以实现厂家、商家和顾客的相互之间确认和认证产品来源。

这同时意味着销售的方式，服务的可靠性，服务的多重性都可以得到更加广阔的发挥，如为了获得商家和厂家的双重信任或者承诺，另外销售产品可能得到厂家和商家双重的维护、质保等服务以及得到承诺，都可以通过代理签名来实现。

关于无个人公钥的群认证蒋绍权【期刊名称】《《信息安全学报》》【年(卷),期】2017(002)003【总页数】13页(P48-60)【关键词】群认证; 多重签名; 门限签名; 聚合签名【作者】蒋绍权【作者单位】绵阳师范学院信息安全研究所绵阳中国621006【正文语种】中文【中图分类】TP309.2用户认证(或身份认证)是计算机和通信网络中最重要的安全服务之一。

本方向开始于Needham与Schroeder[1]。

一个普通的例子是远程登录到服务器或计算机。

我们通常用口令来完成认证. 然而, 在许多应用中, 这种方式是行不通的, 因为通信者不一定与对方共享口令。

此时, 我们通常用公钥技术来进行认证。

基于公钥的认证可以参见Schnorr 认证[2], Okamoto认证[3]和 Guillou-Quisquater认证[4]。

然而,这种方式需要将成员身份与其公钥相关联。

这种关联通常是利用公钥基础设施(PKI)下的公密钥证书来实现的。

最近, Harn[5]提出了群认证的概念。

这里, 群管理员(GM)为每个成员分配一个成员密钥, 而整个系统只有一个公钥。

当一成员群想要认证群中的每个参与者的成员属性时, 他们联合运行认证协议。

最后,每个参与者拒绝或者接受认证的有效性。

这种协议可以应用于在线会议系统(例如, Skype, MSN, Wechat), 确保会议中没有假冒者。

群认证的一个简单方式是让任何两个参与者都执一次交互身份认证协议。

然而, 如果群大小为n,这需要执行O(n2)次这种协议。

这显然是低效率的。

另一个方式是通过公共服务器来实现, 让每个参与者都向服务器认证自己, 然后服务器向所有群成员发布认证结果。

然而, 这种方法引入了一个在线服务器。

而且, 这个服务器需要运行O(n)次身份认证协议。

但是, 如果很多成员同时认证, 则服务器会很拥堵; 如果很多成员依次认证, 则认证过程会很长。

因此, 这种认证方式效率也很低。