,并通过使用MHT的根哈希值执 行针对数据段mi、m2、m3和Π 14的陷门哈希运算,来计算陷门哈希值。MHT的根哈希值可被反映 在陷门哈希值中。
[0132] 在该示例中,可通过等式1来计算使针对数据段nu的陷门哈希值能够与基本陷门 哈希值相等的哈希冲突诱发值ri。
[0133] [等式 1]
[0137] 在等式1中,yQ表示长期私密陷门哈希秘钥,ro表示公开哈希秘钥值。Y〇表示公开哈 希秘钥。
[0138] 发送器的长期私密陷门哈希秘钥对于发送器是已知的,公开哈希秘钥可对接收器 公开。
[0139] 在等式1中,q表示160比特的质数,Η表示哈希函数。
[0140] 发送器可将数据段nu、MHT的哈希值h#Ph34以及哈希冲突诱发值^发送到接收器。 MHT的哈希值h2和h34可用于由接收相应信息的接收器重建ΜΗΙΜΗΤ的哈希值h2和h 34可与MHT 中的不与数据段mi直接关联的同级节点或子树的哈希值中的至少一个对应。
[0141] 根据上述示例,可通过将多个数据段关联来产生签名信息,其中,隐式认证可被应 用于签名信息的验证。
[0142] 发送器可将数据段m和针对数据段m的签名信息(h2,h34,ri)发送到接收器。
[01 43]发送器可以以(Π 12,hi,h34,Γ2 )、(Π 13,h4,hl2,Γ3 )和(Π 14,h3,hl2,Γ4)的形式将每个数据 段和相应数据段的每条签名信息发送到接收器。
[0144] 可如下描述与上述发送器的操作对应的接收器的操作。
[0145] 接收签名信息化^^上此^彡的接收器可使用包括在签名信息中的目击信息计算 ΜΗΤ的根哈希值。目击信息可包括ΜΗΤ的哈希值。接收器可基于接收的数据段和包括在目击 信息中的哈希值来计算ΜΗΤ的根哈希值,并使用计算的根哈希值来重建ΜΗΤ。在这种情况下, 由接收器重建的ΜΗΤ可被表示为如图8的下部所示出的那样。
[0146] 接收器可验证当前陷门哈希值与基本陷门哈希值是否相等。在该示例中,接收器 可执行针对由等式2表示的值的验证。
[0147] [等式 2]
[0150] 在等式2中,(??0,0)表示基本陷门哈希值,心34,/1)表示由接收器重 建的mi的陷门哈希值。
[0151] 在等式2中,g表示其阶与q相应的Zp*的元素,n表示哈希冲突诱发值。表示H(m〇 |丫〇),/7?;1,巧,2,3,4表示!1(1]11||111,2,3,4||¥〇)。
[0152] 此外,yQ表示长期私密陷门哈希秘钥,Π )表示公开哈希秘钥值。Y〇表示公开哈希秘 钥。此外,yi表示由发送器产生的短暂陷门哈希秘钥,If表示具有底为与短暂陷门哈希秘钥 相应的短暂哈希秘钥h以及指数为打的求幂的结果,if还可由(}] f =(gl f 表示。
[0153] 响应于通过等式2完成的针对哈希值h2、h34和h1234的验证,接收器可将哈希值h 2、 h34和h1234存储在AHT中。
[0154]从发送器接收签名信息-^,",^的接收器可从六册搜索针对^^:^的值^将 接收的签名信息与找到的值进行比较。
[0155] 接收器可接收签名信息"心土:^丄并从六肌搜索针对^^^的值^在六肌中不 存在针对H(m3)的值时,接收器可例如使用H(H(m 3)| |h4)或H(H(h12| |H(m3)| |h4))计算根哈 希值以验证签名信息的有效性。被验证有效性的h4和h12可被存储在AHT中。
[0156] 接收签名信息(1114,113,1112^4)的接收器可从4!11'搜索针对!1(1114)的值。当相应值存在 时,可验证接收的签名信息的有效性。
[0157] 根据示例,当将被发送的段的数量与"2"的幂(例如,2、4、8、16......2k)对应时, 通过应用MHT的概念,将被发送的认证信息的量可从0(k)X哈希的大小减小到0(log2(k)X 哈希的大小。
[0158]根据实施例,为了将隐式认证应用于签名信息的验证,数据段之间的关联可被产 生以发送哈希值。因此,将被额外发送的数据的量可随着数据段的数量增加而增加。根据实 施例,可通过依概率选择并发送相关数据段的哈希值的一部分,而非发送相关数据段的所 有哈希值,可减少将被发送的信息的量。
[0159]图9示出通过使用产生和验证签名信息的方法发送八个数据段的示例。
[0160]参照图9,MHT可被应用于使用陷门哈希函数产生和验证针对八个段的签名信息。 [0161 ] 当发送器产生针对八个数据段1111、1]12、1113、1114、1115、1116、1117和1118的签名信息时,如图9中所 示,MHT可被构建。
[0162] 发送器可构建针对八个数据段mi、m2、m3、m4、ni5、m6、ni7和ms的MHT,并可通过将MHT的 根哈希值应用于针对所述数据段的陷门哈希运算来获得陷门哈希值。
[0163] 例如,发送器可将针对数据段m的签名信息发送到接收器。
[0164] 发送器可将数据段m和MHT的哈希值(诸如,MHT的同级节点或子树的哈希值h2、h 34 和h5678以及哈希冲突诱发值ri)发送到接收器。在该示例中,MHT的哈希值h2、h34和h5678可被 接收器用于重建MHT。
[0165] 根据上述示例,可通过将多个数据段关联来产生签名信息,借此,隐式认证可被应 用于签名信息的验证。
[0166] 发送器可以以",^^^训^彡的形式将数据段血和针对数据段血的签名信息 发送到接收器。
[0167] 发送器可以以(Π 12,hl,h34,h5678,Γ2)、(Π 13,h4,hl2,h5678,Γ3)、(m4,h3,hl2,h5678,Γ4)、 (Π 15,h6,h78,hl234,Γ5 )、(Π 16,h5,h78,hl234,Γ6 )、(Π 17,h8,h56,hl234,Γ7 )和(Π 18,h7,h56,hl234,Γ4)的形 式将数据段和针对每个相应数据段的签名信息发送到接收器。
[0168] 如下描述与上述发送器的操作对应的接收器的操作。
[0169] 如参照图8所描述的那样,接收包括数据段m和针对数据段m的签名信息的(nu, ^,^,-^,"的接收器可基于包括在签名信息中的目击信息计算册^的根哈希值及收器 可基于陷门哈希值计算MHT的根哈希值,并使用计算的根哈希值来重建MHT。
[0170] 接收器可使用等式2表示的方案执行针对哈希陷门值的验证。
[0171] 当确定完成针对数据段m的签名信息的验证时,可完成针对哈希值h2、h34和h5678的 验证。接收器可将验证的哈希值h2、h34和h5678存储在AHT中。
[0172] 从发送器接收签名信息(m2,hi,h34,h5678,r2)的接收器可从AHT搜索针对H(m 2)的 值,并将接收的签名信息与找到的值进行比较。如参照图8所描述的那样,接收器可接收针 对每个数据段的签名信息,并可使用从AHT搜索与数据段对应的哈希值的方案来验证接收 的签名信息的有效性。
[0173] 图10示出数据段发送器1000的示例。
[0174] 参照图10,数据段发送器1000包括MHT构建器1010、陷门运算单元(trapdoor operation unit,陷门操作单元)1030和签名信息产生器1050。
[0175] MHT构建器1010可构建针对预定数量的数据段的MHT。每一数据段将被发送的信息 可包括MHT的哈希信息和单个陷门哈希值中的至少一个。例如,在MHT的大小对应于四(4)的 示例中,两(2)条哈希信息和单个陷门哈希值可被包括在MHT中。
[0176] 陷门运算单元1030可将由MHT构建器1010构建的MHT的根哈希值与针对数据段的 哈希冲突诱发值关联。
[0177] 签名信息产生器1050可将MHT的哈希值和哈希冲突诱发值与数据段关联,并可将 MHT的哈希值和哈希冲突诱发值发送到接收器。MHT的哈希值可包括将被接收器用于重建 ΜΗΤ的信息。ΜΗΤ的哈希值可包括构建的ΜΗΤ中的不与数据段直接关联的同级节点或子树的 ΜΗΤ的至少一个哈希值。
[0178]图11示出数据段接收器1100的示例。
[0179]参照图11,数据段接收器1100包括数据接收单元1110、树创建器1130和签名信息 验证器1150。
[0180]数据接收单元1110可接收由发送器发送的针对预定数量的数据段的签名信息。