基于两种难题的有序多重签名方案

摘要：本文以信息管理系统的实际应用需要出发，在研究了现有多重签名算法方案的不足之处后，提出了一种新的基于两种难题的有序多重签名方案。通过将新方案与现有的一些方案进行对比分析后，可以得到结论是，新方案安全性上得到增强，同时在计算效率上也有所改进。

关键词：信息管理系统 数字签名 多重签名 RSA ElGamal

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2012）11-0184-03

1、引言

单位都是多级管理组织结构，上下级之间、部门内部、部门之间经常有文件的传递，部门领导或经办人在审阅文件时要对文件进行签字。以高校综合教务管理系统为例，在高校教务管理系统中，就有很多审批手续要在系统中实现，比如：培养方案的制定、教材的制定、教室管理、调（停）课管理、成绩管理等。在这些工作流程中，从被审批的信息的产生到审批的各个步骤，都一定要保证信息和审批流程的真实性和不可抵赖性。在管理信息系统的开发中，为了保证在网络化的环境中对信息的审批具有可验证性和不可否认性，就需要使用数字签名技术来实现对信息的电子签名。

如果简单地使用RSA签名算法或ElGamal签名算法进行签名来实现对审批信息的签名，那么就会使签名产生过程和验证过程变得非常复杂：审批流程中需要教研室主任、院系主任、教务处正副领导、副校长按顺序对审批信息进行签名，那么审批流程中每个参与者都会产生一个签名，并且每个参与者在签名前都要对他前面审批人的签名进行验证。因此，在每位参与者签名完毕后，一条信息就对应了多个签名。若是需要对信息的审批最后进行验证，就需要对审批中每一个签名都进行验证，全部验证通过后才能承认审批流程有效。

多重签名算法可以解决我们的问题，多重签名可以让所有审批人对一条信息审批的数字签名都放在一个签名中，也就是说，一条信息在整个签名流程中只对应于一个签名，并且每位经理在签名前只需验证签名一次。如果某个人要对签名进行验证，也只需要对签名完成后生成的那一个签名进行验证即可。

2、现有多重签名算法的一些不足之处

在多重签名算法中，基于ElGamal型的多重签名算法是研究和使用最为广泛的算法。但是现有的一些ElGamal型多重签名算法方案，如李子臣的方案[1]、杜海涛的方案[2]都有一些不足之处。这些不足之处也是许多近几年提出来的多重签名方案共同存在的问题。下面我们简要地来讨论一下这些不足之处：

（1）在李子臣的有序多重签名方案中，系统初始化时，ElGamal公钥和私钥是每个用户自己产生的。但是没有任何人对其他人的公钥进行验证，因而方案容易受到类似于文献[3]中方法的攻击。若是攻击者是签名序列中的最后一个签名者，他可以利用这种方法计算出该签名群体的私钥，再利用这个群体的私钥成功伪造该群体的多重签名。

（2）对杜海涛的方案，我们可以使用下面的攻击方法进行攻击，并能成功伪造有序多重签名或广播多重签名。杜海涛的有序多重数字签名方案的验证公式都是。具体的攻击步骤如下：①攻击者可以容易获得参数g，p等参数和U1，U2，…，Un的公钥yj（j=1，2，…，n）。②攻击者选择一个sn′，攻击者通过公式可以计算出R′。③计算S′=sn′×R′，则（R′，S′）则是对消息m′伪造的有序多重数字签名。证明过程：因为，两边都求R次幂的运算，得到，即，（R′，S′）满足多重签名的验证公式。所以攻击者可以通过此攻击方法对消息m′能够成功伪造U1，U2，…，Un的有序多重数字签名。

（3）大部分多重数字签名的安全性仅仅依赖于一类数学难题：基于因式分解问题或离散对数问题。一旦该类数学难题被攻破，现有的基于该类数学难题的数字签名应用都将会变得不堪一击，特别是那些重要的应用，将会面临着巨大的风险和危机。将两类数学难题一起使用是一个比较好的解决方案，因为两类数学难题被同时攻破的可能性很低，但是目前基于两类数学难题的多重签名方案并不多。Harn曾经提出了一种同时基于因式分解和离散对数的数字签名方案[4]，但是该方案的运行效率低，且不能用于多重数字签名。

本文设计了一种基于两种难题的有序多重签名方案，该方案解决了上述的三个方面的问题，在安全性上得到了提高，同时又保证了效率。

3、有序多重数字签名方案

在本方案中，系统中有一个可信任的签名中心SC负责分配签名者的密钥，有n个签名者U1，U2，…，Un按预定的次序参与多重签名过程。签名发起者将待签名的消息m和签名者的次序要求首先交给SC，再由SC负责管理整个有序多重签名流程和验证最后的多重签名。具体签名过程：首先SC将消息发给签名次序中的第一个签名者，第一个签名者签名后将消息和签名传给后面的签名者，后面签名者依次对消息签名，并按照签名次序将消息和签名向下一位传递，最后一位签名者将多重签名提交给SC，最后由SC对多重签名进行验证。