理论计算机科学电子笔记171(2007)93-105www.elsevier.com/locate/entcsAd hoc网络Roberto Di Pietro罗伯托·迪·彼得罗1,2Dipartimento di MatematicaUniversita`diRomaTreRome,Italy路易吉·曼奇尼3Dipartimento di InformaticaUniversita`diRomaGiorgio Zanin4Dipartimento di InformaticaUniversita`diRoma摘要在本文中,我们提出了一个安全的,灵活的,健壮的和完全分布式的签名服务,为特设组。 为了提供服务,我们使用了一个新的门限方案,允许共享当前组成员之间的秘密密钥。该方案的新颖之处在于,它容易和有效地使阈值的动态增加,根据组的需要,使得服务提供自适应的威胁的水平,特设组受到,和可用性。我们证明了协议的正确性,并评估了其效率。 通过使用在节点之间的交互和每节点所需资源方面有效的协议来执行对阈值的改变,从而甚至适用于资源受限的设置。最后,相同的方案允许检测试图中断服务的节点,为分布式签名服务提供无效的贡献。关键词:门限密码体制,签名方案,秘密共享,对等网络,自组织网络,无线网络,泛在服务。1作者部分由WEB-MINDS项目资助,由意大利MIUR根据FIRB计划提供支持2电子邮件:dipietro@mat.uniroma3.it3电子邮件:mancini@di.uniroma1.it4电子邮件:zanin@di.uniroma1.it1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2006.11.01294R. Di Pietro等人/理论计算机科学电子笔记171(2007)931导言和背景移动自组织网络是一种由PDA、蜂窝电话、掌上电脑等小型无线设备组成的自组织、大规模、容错的网络。它们通常表现出动态的成员关系和拓扑结构,即,节点可以随时间加入和离开网络,以及发生故障。特别是,它们的大小可能在短时间内急剧变化。MANN,在常见的ad hoc组,可以通过一个非层次结构,使他们的节点是自治的对等体的特点。由于它们能够提供广泛的服务,它们的使用对于军事和民用应用都具有吸引力。此外,他们预计将被用于提供普及服务,在日常生活的任何方面发挥关键作用,影响人们的工作方式,并相互交互,以及商业,教育,娱乐和医疗保健的运作方式,描绘了随时随地无处不在的计算的愿景然而,与传统的有线或蜂窝无线网络相比,移动自组网引入了新的安全挑战,这是由于:动态拓扑,由网络中活动节点的数量和分布的移动性和变化产生;严重的资源约束,要求功率高效协议;缺乏可信的基础设施;需要面向组的分布式服务和协议。这些挑战激发了相当大的研究兴趣,在最近几年,因为ad hoc网络不能被广泛采用,没有足够的安全性。特别是,诸如去中心化操作和动态成员资格等特征从安全的角度带来了大量挑战,例如成员认证、访问控制、安全组通信和安全路由等。在本文中,我们提出了一个分布式签名方案的ad hoc网络,改进了现有的解决方案。基本上,消息m的签名Sig(m)是使用秘密密钥sk对m的加密,即Sig(m)=[m]sk。 在实践中,任何签名方案通常应用于消息的散列值,而不是消息本身;散列值通过使用强散列函数(如SHA-1)计算在这里,为了便于呈现,我们假设m是已经这样的散列值。签名需要通过使用公钥pk来验证,即对于任何有效的签名Sig(m),要求[Sig(m)]pk=m成立。为了分发签名服务,需要两个工具:一个用于生成sk<,pk>对,另一个用于在一组不同的个体之间分发在sk下签名消息的能力。在下文中,我们假设MANET具有相关联的RSA密钥对
。目前的解决方案,用于将签名能力分配给一组个人,是基于标准的阈值方案[4],其中sk被分成给定数量的份额,这些份额被分配给尽可能多的共同签名者。标准阈值方案的主要局限性在于,无论网络的维度如何,它们只能容忍固定实际上,在自组织设置中,网络的成员通常表现出物理脆弱性,并且它们暴露于能够妥协和/或损坏的对手的攻击,R. Di Pietro等人/理论计算机科学电子笔记171(2007)9395很多人这可能发生在大规模的长寿命网络中,因为危及大量(达到阈值)份额的概率随着节点数量的增加而增加为了限制移动对手的腐败能力,通常采用主动秘密共享[1]然而,这样的防御对于行为诚实的沉默对手是无效的,只要他们控制的节点数量低于阈值。我们主张,为了应对对于这种类型的对手,有必要增加所采用的秘密共享方案的鲁棒性不幸的是,在文献中发现的典型的秘密共享方案是由一个主要的限制,这是他们的鲁棒性不缩放与网络中的成员的数量,事实上,增加这些方案的鲁棒性通常需要几个消息交换网络的所有节点之间,这可能是太昂贵的MANET环境。我们提出了一种新的秘密共享方案,该方案在网络的所有当前成员之间附加地共享sk该方案基本上是一个(t,t)-门限方案,其中份额被复制,并且门限t的值可以被扩大,以增加签名方案的鲁棒性。属于子组的每个成员单独且独立地发布部分签名,并且所有部分签名随后由申请人组合,以便具有标准签名。此外,所产生的签名的维数不依赖于子组的大小,并且可以容易地验证签名的正确性。最后,有可能检测到试图欺骗的共同签名人。论文的其余部分组织如下:在第二节中,我们回顾了相关文献。在第三节中,我们提出了一种新的加性RSA密钥共享方案,并实施了共享复制策略。在第4节中,我们提出了执行的协议发出分布式签名,并增加了该计划的鲁棒性。在第5节中,我们给出了签名方案正确性的证明。在第6节中,我们从空间和计算要求两个方面评估了该方案的效率最后,在第7节中,我们总结了结果。2相关工作在文献[4]中已经引入了门限签名的一般概念。文献[5]提出了一个非鲁棒的、非交互式的RSA方案,但没有进行安全性分析。该方案在[8]中进行了扩展,具有新的同步方案,并且进一步在[3]中具有非鲁棒和非同步方案,其中份额大小随着共同签名者的数量线性增长。股票规模的线性增长限制了其规模化. 在[10,9,16]中,需要同步经过严格的分析和研究。 这些方案是主动阈值方案[1],即它们周期性地刷新共享,而不改变签名密钥。目前最好的基于RSA的方案似乎是[16],然而,如果N是RSA模数,n是联合签名者的数量,则用于签名的密钥的大小96R. Di Pietro等人/理论计算机科学电子笔记171(2007)93i=0时我代是2 log(nN),并且存储器需求是2n log(nN)。一些方案如[2,11]是可验证的,即它们允许检查部分签名和新创建的份额是否已正确计算。在[22]中,提出了一种基于RSA的鲁棒,可验证和非交互式方案;任何单个签名的大小都由RSA模数大小的常数倍限制;然而,它假设了一个静态腐败模型:对手必须在攻击开始时选择攻击所有以前的计划假设有限数量的共同签名者:这个数量被认为是固定的,如果它改变,系统需要重新启动。在[14]中提出了一个可扩展的门限RSA签名方案:新的份额可以从现有的份额中计算出来,但是为了保持初始份额的秘密,需要在现有的共同签名者之间进行昂贵的同步交互。此外,如[15]中所示,该方案不稳健。最近的一项工作[18]允许避免现有共同签名者之间的任何交互。其他作品[19,20,13]提出了基于自组织和对等环境的阈值签名的解决方案在[7]中,提出了一种分布式签名方案,特别适用于部分连通性的移动局域网。该方案对拜占庭对手具有鲁棒性,并且不需要任何可信的经销商;此外,它是高效的,在签名发布/验证阶段需要很少的交互在上述方案中,只有文献[9]中的两个协议允许改变门限,但这需要多轮通信才能实现,并且需要所有联合签名者同时在线。另一个提供动态门限的方案在[6]中提出;该方案不需要中间的秘密重建,并且允许将给定的门限方案转换为另一个,即使是在不相交的联合签名者集合之间;然而,该方案不是鲁棒的,并且受损的联合签名者可以将不正确的份额分配给新接纳的成员。同样的缺点可以参考[9]。3分布式签名服务在本节中,我们假设读者熟悉RSA [17]签名方案。所提出的加性秘密共享方案基于以下观察:<$m∈N+,v<$αmodm<$v modm,条件是α是中性元,关于操作系统。此外,如果r0<$r1<$... <$rt−1<$αmodm,且<$r是交换的和结合的,则有:(vr0).. . (v-是的-是的1998年t次现代米在Zm中,通过选择=+,则0是中性元素。如果我们限制t是一个正奇数,并将v的符号绑定到索引i,我们有:t−1((−1)iv+r)为了确保<$t−1r<$0 modm,它是i=0ii=0it−2足以选择ri,i = 0,.,t− 2作为Z m中的随机值,rt−1 <$−i=0rimodm,所以通过构造,可以得到<$t−1r<$0 modmR. Di Pietro等人/理论计算机科学电子笔记171(2007)9397i=0时我我我J因此,秘密RSA指数d可以在t个联合签名者(t奇数)之间共享,通过使用以下类型的份额si(−1)id + rimod φ(N),i = 0,.,t− 1其中ri是整数,如果t是发布签名所需的阈值则:t−1r0modφ(N)。 此外,为了提供可验证性,每个共享si可以绑定到相应的公共验证器:wi<$(−1)i+ e·ri mod φ(N), i = 0,.,t− 1其中e是公共RSA指数,对应于d。 在接收到份额si时,任何共同签名者都可以通过确保(a si)e对于a n b i t r a i mod N来验证si的正确性。 Indeed(asi)e<$(a(−1)id+rim odφ(N))e<$a(−1)i+e·rim odφ(N)<$awimod N. 注意,只要φ(N)是未知的,wi就不提供关于对应份额或关于秘密签名密钥的任何类似的论点通过在Z而不是Zm中工作而成立,即执行上面所示的操作而不计算模数。特别地,通过考虑Z,可以借助于以下份额分割过程来增加任意值k的方案的鲁棒性:a)通过使用循环策略,选择要分割的份额si;b)选择k作为正奇数; c)随机分配。domly选择一个共享sj,j=i;然后,生成k+ 1个新的共享:=si+u0,st+ g−1=(−1)gsi+ ug,g = 1,. ,k,以及更新因子s_J_J= s_i+ u_k+1,使得加1我uj= 0。 最后,用SJ替换si,用SJ更新sj=sj+SJJ。在j=0i j i份额分割过程结束,k个全新的份额st+ g−1,g = 1,. ,k已被创建,两个共享sJ,sJ已主动更新。 相应的I j验证器被设置为:wJ= wi+ e·u0,wt+ g−1=(−1)g+ e·ug,g = 1,.,k,并且J=wj+wi+e·uk+1。不需要在控制规则中使用两次均衡(1)因为我们在Z而不是Zm中操作。可以证明,除非对手控制si,否则在完成份额分割过程后,方案的鲁棒性增加任意奇数因子k≥1。请注意,这是通过仅更新两个现有份额(即si和sj)来执行的,而无需像[14]中那样面对Zφ(N) 此外,该方案可以扩展到亲,查看所有共享的主动更新:通过单个更新因子u,其中更新因子被选择为使得Ut-1u=0,我t是当前不同份额的数量。i=0时 我所提出的解决方案的缺点可能是份额和验证器大小的增长,因为它们的值是在Z上计算的,而不是Zφ(N)。然而,正如我们在第6节中所展示的,这种可能对通信和计算开销产生严重影响的大小增长是非常有限的,这使得解决方案可行且有效。与典型的(t,n)-阈值方案不同,在该方案中,每个节点被提供有不同的份额,这里仅存在t个被复制的不同份额:根据以下分布约束,不同的共同签名者被提供有相同的份额:W98R. Di Pietro等人/理论计算机科学电子笔记171(2007)93我我我仅当:F(x)n (modt)(1)其中F对于将代码定义为{0, . . ,t-1}。只要F是从一个泛散列族中均匀随机选取的,两个联合签名者具有相同份额的概率小于或等于1/t。如果我们希望ad hoc网络提供无处不在的服务,这个属性是必不可少的:不同的份额将均匀分布在节点之间,然后服务可以在每个节点的本地提供。基本上,强制执行分布约束(1)将共同签名者的集合划分为t个类,Ct,. , Ct,对应股份0t−1si,i = 0,.,t− 1。 用符号Ct,我们表示对应当t是用于重建第i个共享的必要共享数量时,签名密钥,其中Dji我们表示Ct的一个成员;换句话说,每个Dj∈Ct设置有S1。注意,在这样的方案中,用于拒绝服务的对手是危害给定份额的所有副本,即破坏所有节点到给定类的副本。此外,由于份额是通过强制执行(1)来分配的,因此可以证明,随着联合签名者数量的增加,所有类都具有渐近相同的大小。4协议在本节中,我们将介绍网络节点执行的协议,以便发布签名并增加阈值。我们做了标准的假设:组中的每个成员Dx都有一个唯一的非零标识符x,比如MAC地址;Dx通过广播通信信道连接到其传输范围内的邻居;Dx可以失败,动态加入或离开网络,并且具有随机性。此外,我们假设存在用于可靠消息传递的路由层。信息通过安全渠道交换。4.1设置我们假设网络由一个可信的经销商D初始化,它选择一个组密钥sk=(d,N),并以这样一种方式共享sk,即任何一组t个节点,每个类一个,都能够发布签名。对于每个份额s i,D还计算可用于不当行为检测的对应验证器w i。注意,D只需要初始化t个初始节点,而其他节点可以在该初始集合的协作下初始化。在设置阶段之后,不再需要经销商。D执行以下操作:我R. Di Pietro等人/理论计算机科学电子笔记171(2007)9399我(i)dx向组发送签名请求,指定消息m;(ii) 在接收到该请求时,至少t个联合签名者D,i,i = 0,.,t−1,每个类一个,计算t个部分签名pSigji(m)=[m] s(m)si modN,其中si<$(−1)id+rimodφ(N)是我联署人的份额然后,每个联合签名者用计算出的部分签名进行回复。(i) 创建RSA密钥对;(ii) 选择初始阈值t;t为正奇数;ΣΣ(iii)生成t个随机数r∈ −,N−1N−1Σ我2 2使得:i=0时t−1ri0intn(N);(iv) 计算si(−1)id+rimodφ(N);(v) 计算wi(−1)i+e·rimodφ(N);(vi) 向至少t个成员分配股份,执行(1);(vii) 发布;(viii) 破坏任何计算值。4.2签字签发和核实一旦共享si,i = 0,.,t-1,已经分发给n≥t个初始联合签名者,签名服务可以启动。 任何申请人Dx都可以获得签名Sig(m),消息m具有属于不同类别的至少t个联合签名者的同意。该协议由两轮通信组成:注意,每个共同签名者可以异步地执行其工作,即,它既不需要与其他节点协调,也不需要知道其他节点在线存在。在接收到t个部分签名时,Dx重建Sig(m)f。t−1pSigj(m)i=0imodN,并通过确保Sig(m)emmodN来检查其正确性;如果验证失败,Dx检查每个部分签名的正确性,确保pSigj(m)emwimodN。一旦部分签名被识别为伪造的,将采取的行动超出了本文的范围。4.3阈值增加为了提高门槛,通过使用第3节中描述的份额分割程序和一小部分共同签名人,从现有份额中100R. Di Pietro等人/理论计算机科学电子笔记171(2007)93L我t+j我(i)Dji将增加阈值请求发送到其成员中的每个成员Dli当前类,指定新的共享验证程序对li li(ii) Dji向每个成员D l j发送更新请求 的随机;我(iii)最后,Dji广播包含所有计算验证器的列表选定的类,指定更新因子sJJ=si+uk+1;且WJ=e·uk+1。k+1重新分配到新创建的类中。我们在这里描述的协议允许增加该计划根据规定的策略,成员Dji被指定对其份额si执行分割程序。Dji透过以下协议分派新股:在接收到列表和新的共享验证器对时,每个Dli检查通过确保wJ+wJ+kk-1w=w+w,SJ ewJg=0t+g i j和(ali)≡ali mod N,对于任意的a。 如果检查成功,Dl滴它的当前份额,接受SJ,否则它引发依赖于策略的例外;我每个Dlj执行与Dli相同的检查,如果它们成功,则每个Dlj更新其当前份额sJ=sj+sJJ,否则将引发异常。J I注意,只有那些在Ct和Ct中的共同签名者参与协议,即,Ix为了增加阈值,仅一小部分共同签名者需要合作。这允许通过限制通信传输和由网络的节点执行的总体计算来节省网络资源。在协议结束时,创建了k个新类,并填充它们与该等认购新股的联署人,即 Ct中的成员是重新分配 变成Ct+ k,Ct+ k,. ,Ct+ k,其中Ct+ k代替Ct。为了均匀itt+k−1ii重新分配这些共同签名者,Dji强制执行以下份额分布:具有唯一标识符l的成员被分配到类Ct+k,0≤j≤k−1,当且仅当F(l)<$jmodk +1,其中F是将节点标识符的集合映射到{0, . . . ,k},否则它等于Ct+k。尽管如此,由于要分割的份额的选择是用循环策略执行的,并且所有成员都知道原始阈值,所以总是可以通过确定到给定时间为止已经执行了多少次协议来确定给定成员在给定时间落入的类别。5正确性该方案是正确的,如下面的引理所示。我R. Di Pietro等人/理论计算机科学电子笔记171(2007)93101i=0时JGgYYYYmYY·h我引理5.1属于不同类别的t个共同签名者之间的合作t是当前阈值,允许发出有效签名。证据我们考虑两种情况下共同签名者之间的必要合作:a)在设置阶段和第一次份额分割之间的任何时间; b)在第q次和第(q + 1)次份额分割之间的任何时间,对于任意q。a) 如果没有发生份额分割,则使用不同份额发出的t个部分签名(t为奇数)对于发出签名Sig(m)是必要且足够的。的确,因为通过构造,<$t−1r<$0(mod φ(N)),并且t是奇数:t−1i=0时psigji(m)t−1i=0时m(−1)id+ri<$md·mPt−1r di=0时im(mod N)= Sig(m)。b) 现在假设根据循环策略,发生了q个共享拆分,1 ≤q≤t。令uig,g =0,.,k +1(k奇数),表示所选的随机数分割份额s;注意,对于任何i,通过构造,nk+1u = 0;进一步,令sJig=0 igisi在分割后的新值,即sJ=si+ui,令sJ=sj+si+uii0jk+1主动更新的份额sj的新值。在q个份额分割之后,发行签名所需的股份数是tJ= t + qk。特别地,在不失一般性的情况下,假设存在:• t− 2 q个初始份额,不受份额分割的影响:sh=(−1)hd + rh,h = 0,. ,t − 2 q − 1;• q新股:sJ=(−1)id + ri+ ui,i = t− 2 q,.,t−q− 1;我0• q初始份额, 主动 更新:sJ=(−1)jd+rj+si+ui,i∈[t−2q,.,t-q-1],j = t-q,.,t− 1;• qk新股si=(−1)gsi+ ui,i = t− 2 q,.,t-q-1,g = 1,.,k.设l为这些股票的指数,如下:l = t,.,t + qk− 1。通过组合使用不同份额发布的tJ部分签名,由于k是奇数和任何i,k+1u= 0的建设,那么:g=0时 Igt+qk−1t−2q−1t−q−1t−1't+qk−1Yc=0psigjc(m)Yh=0msh是的Mii=t−2qYsMj=t-qYl=tmslt−2q−1(−1)hd+rht−q−1(−1)id+ri+uit−1,t-q−1(−1)jd+r+s+u k+1t-q-1,k(−1)gsi+uigMh=0Mi=t−2q0m的j=t−q,i=t−2qmi=t−2q,g=10t−2q−11 0t−q−1t−q−11 0t−q−1t−q−1t−11Y@h=0m(−1)hd+rhA·@Yi=t−2qui0Yi=t−2qm(−1)id+riA·@Yi=t−2qmsiYi=t−2quik+1Yj=t-qm(−1)jd+rjA·0t−q−1t −q−1,k1Y·@i=t−2q−siYi=t−2q,g=1uigAt−1m(−1)hd+rhh=0t−q−1,k+1i=t−2q,g=0uig 阿萨姆dPt−1r(modφ(N))mh=0阿萨姆d(mod N)= Sig(m)。k+1JJ我我MMMM102R. Di Pietro等人/理论计算机科学电子笔记171(2007)93如果q > t,考虑到每个份额都等于初始份额,加上一个随机因子uxg,g∈[0,k +1],其中x∈ [0,t + qk−1]。QR. Di Pietro等人/理论计算机科学电子笔记171(2007)93103XXK2-我知道我2U1 +.. . +Uqσσ23ZUJ6电子商务在本节中,我们将展示支持我们的方案所需的额外比特数受到一个小常数的限制,具有压倒性的概率,因此该解决方案在资源受限的环境中(如MANNETWORK)以及其他ad hoc设置中非常可行请注意,这种分析是必要的,因为增加阈值的操作是在整数上执行的,而不是在模数中执行的,那么共享/验证器位长可能会随着执行的共享拆分的数量而增加,这既考虑了我们解决方案的存储需求,也考虑了计算成本共享和验证位长度。这个分析基于初等概率的三个事实[12]。设X为均匀分布在[−N−1,N−1]范围内,μX是其期望值,σ2它的无限变化。2 2X然后又道:事实6.1μX= 0和σ2(N−1)212事实6.2对于任何常数a >0,随机变量Z =aX具有有限方差2= a2σ2。σ22.1.2对于任何一个常数k >0,P(|X−μX|≥k)≤X。现在让我们考虑q个份额分割,a分割给定的份额si。 而不损失 一般来说,假设si是在初始化中提供的初始份额之一,值得信赖的经销商。q股拆分后,新的份额为SJ=±d+riΣ(mod φ(N))+u1+ u2+. + uq,其中ri∈N−1Σ2N−12我已随机由受信任的经销商选择,并且uj∈−N−1,N−1,j= 1,.,q,是数字2 2由指定成员在第j次份额分割时随机选择。实际上,份额可以具有值SJ= ±m·d + r(mod φ(N))+u1+ u2+. + uq,m ≥ 0,作为其他股份分割的结果,如果选择si进行主动分配,你好。 然而,对于1. LEEACUJBEMODELEEA随机变量Uj。 由于Uj在上有均匀分布,−N−1,N−1,从事实6.1,它遵循μ= 0,σ2=(N−1)2。 设U = q联合 通过UjUj12j=1j期望的线性,E[U] =E[Qj=1 Uj]=2Qj=1 E[Uj]=0。在那里,格由于随机变量Uj是独立的:σU=σ2=j=12n(N−1)2 = q(N−1)2. 因此,根据事实6.3,对于给定的常数b>0:j=112 122P的(|U − μU|(1)A = B(|U |≥ b·N)≤ U=(b·N)2q(N−1)212b2N2Q<12b2(二)我们感兴趣的是U大于bN的概率,特别是,我们认为它可能会变得非常小。价值观我不知道−1由(2)可知满足不等式的最小值是b=1qp。 请注意,在为了表示bN,最多[log 2bN |=[log 2b + log 2N|比特是必要的。另 一方面,初始份≤σ2=104R. Di Pietro等人/理论计算机科学电子笔记171(2007)93额si=d+ ri(mod φ(N))可以在至少[log 2N|-2位。 因此,需要的额外位的必要数量,R. Di Pietro等人/理论计算机科学电子笔记171(2007)93105W=j=1WUσ我我们的解决方案是extrabits=2+[log2b|=2+、log2..你好,1qp−12 3(三)为了弄清楚(3)如何影响份额的长度,考虑下面的例子:假设q= 2,30个份额分割a,分割si,p= 2−30。请注意,通过假定用于选择要拆分的共享的循环策略,执行拆分的实际总数要高得多。因此,b=229,因此31个额外的比特对于任何实际使用都是足够的类似的论点也适用于验证者。 在si的q次分裂之后,对应验证器为:wJ= ±1 +e·ri(mod φ(N))+e(u1 + u2 +. +uq)。 设W=格j=1j我qe·Uj= e·U。 注意,e是一个常数,那么,根据事实6.2,它所以σ2=e2σ2。因此,通过利用为份额提供的结果对于给定的常数c:2P的(|W − μW|C = N(|U |≥ c·N)≤W<(c·N)2E2Q12c2(四)通过选择c=b·e,(2)和(4)产生相同的值。 因此,如果e=2 16+1,则与常见设置[ 21 ]中的通常情况一样,由我们的解压缩器为该ever|=2+[log2 ( be)]|=2+[log2b|+[logg2e|=31+17=48.表1总结了每个协议执行的开销:是所需的伪随机生成的数量;申请者是请求签名的任何个人;共同签名者是参与签名发布的任何节点;指定者是被委托执行份额分割的当前共同签名者;t是当前阈值;si是类别Ct中的成员的当前份额,并且wi是对应的验证器;|Ct|是C t 的大小; k是新创建的 共享的 数 量 (即,我我在每一次的分享中, 我们假设任何数a都可以用at表示m ost[logg2a|此外,RSAeponetiatia作用操作模块化乘法消息的prg发送接收签字签发申请人Dxt+1。5 [log 2e| +1 .一、5 t[log(e·w i)|∗不不0联署人Dji1 .一、5 [log s i|110阈值增加指定Dji0|+的|Ct|+1个|+ 1I j0K+1C中的成员我1 .一、5 [log(si·e·w i)]|020C中的成员X1 .一、5 [log(si·e·w i)]|020表1不同角色的节点所承受的开销。Σ106R. Di Pietro等人/理论计算机科学电子笔记171(2007)937结论在本文中,我们提出了一个安全的,自适应的,鲁棒的和高效的机制,提供分布式签名在adhoc组。特别地,我们提出了一个动态可调的签名门限方案。这个功能,允许适应不断增加的威胁程度的特设组受到,已经实现了利用RSA密码系统的一个特殊的属性。此外,所提出的机制的所有特征都是在存储器和计算要求方面仅需要本地通信和非常小的开销来实现的。这些吸引人的特点,使这些协议特别适合于移动自组织环境,并呼吁甚至资源约束的设备。最后,所提出的方案允许检测节点,试图破坏分布式签名服务,通过提供一个无效的贡献的计算。引用[1] 卡内蒂河R. Gennaro,A. Herzberg和D. Naor,Proactive security:Long-term protection againstbreak-ins,RSA Cryptocurrency3(1997),pp. 1-8号。[2] Chor,B.,S. Goldwasser,S. Micali和B. Awerbuch,可验证的秘密共享和在存在故障的情况下实现匿名性,在:第26届IEEE基础研讨会论文集计算机科学:FOCS'85,1985,pp。383-395.[3] De Santis,A.,Y. Desmedt,Y. Frankel和M. Yung,How to share a function securely,in:Proceedingsof the 6th ACM Symposium on the Theory of Computing:STOC522-533.[4] Desmedt,Y.,面向社会和群体的密码学:一个新的概念,在:密码学进展120比127[5] Desmedt,Y.和Y. Frankel,认证器和签名的共享生成,在:J. Feigenbaum,编辑,Advances in457-469[6] Desmedt,Y.和S. Jajodia,Redistributing secret shares to new access structures and its applications,Technical Report ISSE TR-97-01,George Mason University(1997)。[7] Di Crescenzo,G.,R. Ge和G. R. Arce,移动自组织网络中阈值密码学的改进拓扑假设,在:SASN53比62[8] Frankel,Y.和Y.陈文辉,平行可靠性门槛多重签章,技术报告TR-92-04-02,电子工程系,威斯康辛大学密尔沃基分校,密尔沃基,威斯康星州,美国(1992)。[9] Frankel,Y.,P. Gemmell,P. Mackenzie和M. Yung,最佳弹性主动公钥密码系统,在:第38届计算机科学基础年会论文集:FOCS[10] Frankel , Y. , P. Gemmell , P. Mackenzie 和 M. Yung , Proactive RSA , 载 于 : Advances inCryptology:1997年美国专利局出版[11]詹 纳 罗 河 , 巴 西 - 地 T. Rabin , S. Jarecki 和 H. Krawczyk , RSA 函 数 的 鲁 棒 和 高 效 共 享 , Journal ofCryptology13(2000),pp. 273-3001. 5t(loge + logwi)仅在签名验证失败时才持续,以检查部分签名的正确性。R. Di Pietro等人/理论计算机科学电子笔记171(2007)93107[12] Haigh,J.,[13] Jarecki,S.和N. Saxena,主动RSA签名的进一步简化。TCC 2005:Theory of Cryptography,SecondTheory of Cryptography Conference,Lecture Notes in Computer Science3378(2005),pp. 510-528[14] Luo,H.,J. Kong,P. Zerfos,S. Lu和L. Zhang,URSA:Ubiquitous and Robust Access Control forMobile Ad-hoc Networks,IEEE/ACM Transactions on Networking(ToN)12(2004),pp.1049-1063.[15] Narasimha,M.,G. Tsudik和J.H. Yi,关于分布式密码学在p2p和manets中的实用性:成员控制的情况,在:ICNP336.[16] Rabin,T.,一种简化的阈值和主动RSA方法,在:H。Krawczyk,编辑,Advances in Cryptology:[17] 里 维 斯 特 河 , A. Shamir 和 L. Adleman , A method for obtaining digital signatures and public-keycryptosystem,Communications of the ACM21(1978),pp. 120比126[18] Saxena,N.,G. Tsudik和J. Yi,短期移动ad hoc网络的有效节点接纳。,在:Proceedings of the 13th International Conference on Network Protocols:ICNP269-278。[19] Saxena , N. , G. Tsudik 和 J.H. Yi , Admission Control in Peer-to-Peer : Design and PerformanceEvaluation,in:SASN104-113[20] Saxena,N.,G. Tsudik和J.H. Yi,基于身份的访问控制。信息安全和密码学- ICISC 2004,第七届国际会议,2004年,第11页。362-379.[21] Schneier , B. , “Applied Cryptography: Protocols, Algorithms and Source Code in C,” John Wiley1996,第2版,iSBN 0-471-12845-7。[22] Shoup,实用阈值签名,在:B。Preneel,editor,Advances in Cryptology:EUROPHOTOPT 2000,Lecture Notes in Computer Science1087(2000),pp.207-220
我的内容管理
展开
