一个具有前向安全的门限数字签名方法与系统的制作方法

专利名称：一个具有前向安全的门限数字签名方法与系统的制作方法
技术领域：
本发明属于信息安全技术领域，涉及对数字信息进行签名问题，更确切地说是涉及一种 能够增加敌手窃取签名密钥难度并且能够减轻签名密钥泄露影响的数字签名方法与系统。
背景技术：
前向安全签名的概念在1997年由Anderson引入，解决了通常数字签名的一些缺陷一 旦秘密密钥丢失(或被窃取)，以前由这个密钥生成的所有签名都变得无效。为了减少这样的 损失，Anderson提出把密钥的有效期分成时段，在每个时段的最后，签名者以一个单向的模 式从当前时段的秘密密钥得到一个新的下一个时段秘密密钥，并且安全的删除不再使用的秘 密密钥。而在整个密钥的生命周期里公钥不变，这个方法确保了泄露密钥的时段以前的所有 签名的有效性。在最近这些年，具备前向安全的数字签名方案得到研究和发展。Bellare和 Miiie通过对通常签名方案安全定义的扩展，给出了前向安全正式的定义，同时提出了两个方 案 一个是在普通签名基础上使用树型结构的证书链构造的方案另一个是修改通常的签名 方案(Fiat-Sham签名方案)。2001年，Abdalla和Miner给出一个前向安全的门限数字签名， 但是该方案的签名密钥和验证密钥都比较长。
我们这里要研究的前向安全的门限签名方案应用门限机制对消息进行签名，即将签名密 钥分割成多份，分别有多人保管，须由一定数目的签名子密钥拥有者联合才能够产生一个有 效的签名，该签名等同于由签名密钥直接产生并可使用对应的公开密钥验证其有效性。方案 还采用密钥进化机制，把整个周期(一般是声明的公钥有效期)分成更小的一个个时段，在 整个周期内，公钥是固定不变的，而私钥是随时段不断进化。
一个标准的数字签名包括密钥生成协议、签名协议和签名验证算法，而在前向安全的数 字签名方案中，还包括一个密钥进化协议，这个协议是用来说明在整个周期中，密钥是怎样 进化的。另外， 一个不可忽视的问题是在门限签名系统中，成员签名子密钥会出现损坏或丢 失，当子密钥损失数目超过一定值后，整个系统将不可用，另外针对某具体应用，可能会有 向系统中加入新成员的应用需求，因此一个完善的前向安全的门限签名方案还应该包括一个 成员加入协议。
一个4(/,^^^, )前向安全的门限数字签名是指该方案最多可以在/个参与者被攻陷后，
仍能保证其签名密钥的安全性，^:的工作过程如下在密钥生成阶段，分发者生成公、私钥并将私钥分割后^'发给《个参与者。
在每一个时间段的开始时刻，由《个参与者中的/^个没被攻陷的参与者执行密钥进化 协议，协议执行后，这个时段的私钥将改变，并且每一个参与者，无论是否参与密钥进化协 议，都会得到这个时段属于自己的新的子密钥。
要对一个消息m进行签名，需&个参与者共同执行签名协议，进而生成一个使用当前 时段签名密钥签署的消息签名。这个签名中将包括本时段的序号并可以由公钥验证通过。
当有新成员要加入系统时，需要&个参与者共同执行成员加入协议，为新加入成员生成 一个这一时段属于他的签名子密钥。该过程不泄露任何原有成员的秘密信息，并且新成员加 入后，与原有成员拥有相同的地位。
验证过程同普通数字签名验证过程相同。任何持有公钥的一方都可以执行该过程，验证 结果将是"接受"或"拒绝"，以告知验证者被验证的签名是否有效。我们假设前向安全的门 限数字签名方案产生的签名形式是-,tog、其中_/为产生该签名的时段序号，对于一个前向 安全的门限签名方案，李时段/，即使敌手攻陷Z个以上参与者，他也不能成功伪造一个签名 </《塔>满足1^^/^附，<_/, 昭>)=1并且_/</。这里，venj50是签名验证算法，也就是说，敌手即 使在第/时段获得签名密钥，他也不能伪造出/时段之前的有效签名。前向安全的方案都要求 使用者删除前一时段使用的密钥，并将这一步骤作为密钥进化协议的一部分，这很关键，否 则，敌手攻陷系统后将根据以前时段的子秘密信息获得以前时段的签名密钥来生成以前时段 的有效签名。
在我们的发明中，应用了下面的数论知识
设&和/是两个安全参数，A^p2^3(mod4)是两个大素数。^=^; 2是一个A:位的整数(即 W是一个Blum整数)。为了简化计算，我们可以合理地假设A^2^1，并且I ZN* I ^卞2+l 》2"1。记2是模W的二次剩余集合。由数论中的定理可知I 2 I》2k—3，并且对于集合2中 任意元素义，x的四个平方根中有且仅有一个属于g，因此，平方在0上是一个置换。从现在 起，当我们说:c的平方根时，我们是指属于Q的那个平方根。
令^/eg，定义i^(Z)-z2modW， F, = (7Z2 mod W 。对于/位二进制串cr =…cr,，
定义f; :g — 2为巧(z) = (…(/^(、(z)))…)=z2'〃ff modw。(注意这里的tr并非
通常意义上的C/的o"次幂，o"在这里是一个二进制串，而非代表一个整数)因为平方是在Q 上的置换，而f/e0,故&在Q上也是一个置换。在知道u和n的前提下，i^(z)可以快速计算，同时，如果知道a和a，则对于给定 的Y，可以快速计算出Z二i^—'(y)。(通过计算5 = ^2, modAr， Z = y2—' S^modAT可得。
这些计算可以先分别计算mod^和modA的结果，然后用中国剩余定理合并。)然而，如果 不知道U的平方根，那么F。'是难于计算的。下面我们给出证明
引理给定yeg和两个不同的等长的串tr和T， Z1= iV、y)， Z2= i^1(7)，能够计算出Fe^ 且 一三f/modW
证明如果|<7|=|7:|=1,(无损于一般性地)，令<7=0, r=l，则Fo(Zi)-^(Z2)-;r,则&2三C/Z22 mod见于是得到r= & /Z2 mod AT。在归纳证明中，令ff和f为两个长w+l位的串，<7，和r，
为其对应的前加位。如果F。,(Z,)^i^(Z2),则归纳假设完成，否则(t和t最后一位应该是不同 的，于是(不失一般性)，假设ff最后一位为O， T最后一位为l，则F"F。d)h^^，(Z2))， 同上可以得证。根据上面提到的单向函数可以构造下面的数字签名方案。本文提出的前向安全的门限签 名方案就是以该方案为基础，加入门限机制和前向安全机制得到的。
签名者生成大模数W和一个随机数SEg， S作为签名密钥，需安全保管。计算u-(^v1 并公开(AT,i;)作为公钥。H()为一个输出位数为/的哈希函数。
要对消息M签名时，首先生成随机数/ eg，计算p^， o-风igw)， Z^^/(7)^f modAf。输出(Z, o)作为消息M的签名。
验证者验证签名时，首先验证Z^OmodW,而后计算y=F。(Z)=Z2't/CTmodW，最后检 验0=//(/州是否成立，成立则证明该签名是A/的合法签名。'
该数字签名算法是一个经典算法，其正确性和安全性已经由许多前辈学者证明过并经历 了长时间的实践检验。

发明内容
本发明的目的是设计一种数字签名方法与签名系统，该签名方法具有门限机制与子秘密 更新机制。门限机制增强了签名密钥的安全性，并可以起到权利分散的作用；子秘密更新机 制实现了签名密钥的前向安全，即即使敌手获得当前时间段的签名密钥，敌手也不能够通过该密钥伪造出一个属于前一时间段的合法签名，保护了以前的签名的有效性，降低了密钥 泄露的损失。另外，该签名方法还拥有成员加入机制，加强了方案的安全性和适用范围。
方法的特点
1. 本签名方法是一个(t,2t+l，2t+l,t+l，n)的签名方案，其中n^3t+l，
2. 密钥长度短签名密钥(私钥)与验证密钥(公钥)的长度是常数，与总时段数无关， 并且与其他不具前向安全性的签名方案的密钥长度相当。
3. 在门限数字签名方案中加入前向安全机制的方法具有不额外增加计算量的特点，即该 前向安全门限签名方案与普通门限数字签名方案具有相同的效率。
4. 完善的成员加入机制，使系统更安全更灵活。
本发明的技术方案是这样的 .
整个方案包括五个部分密钥生成协议、密钥进化协议、签名协议、签名验证算法、新 成员加入协议。另外，方案中应用到一些关于秘密共享以及安全多方计算的知识，我们将这 些知识作为基础模块应用在我们的方案中。下面我们首先介绍基于这些基础知识协议模块， 然后给出我们发明的前向安全的门限数字签名方案的完整描述。
一、Shamir秘密共享方案(Shamir-SS)
1979年，Shamir提出秘密共享的思想，并给出了一个有限域上的秘密共享方案。具体方 案如下设GF(《)是一有限域，其中9是一大素数，满足《2" + l，秘密fl。是在GF(g)^0)上
均匀选取的一个随机数，；t-l个系数A,^，…aH的选取也满足AeKGF。)U(^。在GF(《)上构
造一个f次多项式/0) = 00十a,;c + a2A:2 +' 《。
"个参与者记为尸,，A…尸n ，"分配到的子密钥为/(i)。如果任意什l个参与者 A,…,i^ (is/, </2 《")要想得到秘密。q，可使用{(';,/(~))|/ = 1，2,.〃 + 1}构造如
下的线性方程组<formula>formula see original document page 8</formula>因为"1《/Sf + 1)均不相同，所以可由Lagrange插值公式构造如下的多项式 /") = W》n)^: (mod《)
_/=1 ,=1 l!广1,)
从而可得秘密 =/(0)。
由上面知识我们构造下面的秘密共享算法-
Shamir-SS算法
算法参数Z, s， "， f
1. 执行者在集合Z中选择《个随机数a,，^,…,^作为系数，以秘密s作为常数项构造f次 多项式/(x)-s + ajjc + fl,2十…a,;
2. 执行者为多项式赋值，得到关于秘密s的子秘密^ = = /(2),…,、=/( )。
算法说明Shamir-SS实现将秘密s利用Shamir秘密共享方案分割成n份，得到子秘密 ^&，…A并且其中的什l份联合可以恢复出共享秘密s。
二、安全多方计算
在我们的协议的子秘密更新的部分中，需要解决参与者联合计算生成原共享秘密平方的 子秘密的问题，这个问题可归类于计算生成两个共享秘密的乘积的子秘密的问题，艮P:假设 "个参与者，通过f次多项式/;(Jc)和力(:c)共享秘密a和/ '即厶(O)-a，力(0) = / 。现在，
参与者要联合计算获得o^的子秘密。对于这个问题，有下面的解决方案。
令^所拥有的关于"、/ 的子秘密记为、，厶(x)与力(x)的乘积为
A W+ — + 7Vc + "/9 = _Mx)，对于B"2"1，有/^(!) = / (0力(0，所以可 以写成
爿=
力,-这里矩阵^-( )是(2f + l)x(2f + l)的范德蒙矩阵， =i"。显然，是可逆矩阵，设 」的逆矩阵为vT1, v^的第一行记为(;ij…A,+,),当Z确定的情况下，^…Aw为确定的常 数，W-A/^(l) +…+ A,""(2, + l)。如果给定、次多项式A(jc)，…,Ux)满足
<formula>formula see original document page 10</formula>)，定义<formula>formula see original document page 10</formula>
则有z/(o卜;ij^(i)+…+ ;i^y^(2"i—a/ 。因此，如果每一个参与者用一个多项式
A,.(x)共享他的子秘密，那么/f(;c)就是可以将a^秘密共享的那个《次多项式。
根据上面的知识，我们设计了下面的Mult-SS协议
Mult-SS协议
参与者S的输入厶(!')和的值
1. 参与者选取一个随机f次多项式A,.(x)，满足&(0) = ，用各个参与者对应的公 钥加密属于他们的值&0)得到五^/A,.C/)) ， 1+ 1并以广播的形式将这些加密后 的子秘密公布出去。
2. 每一个参与者^接收i m^C/))解密出/jiC/)，然后计算属于他的c^的子秘密
,=1
协议说明协议利用安全多方计算实现共享两个共享秘密乘积，参与者利用该协议可以 利用自己当前拥有的两个共享秘密a和/ 的子秘密厶(0和//0得到属于他的""的子秘密。
三、联合生成并秘密共享随机数(Joint-Shamir-RSS) .
在门限数字签名方案中，要涉及参与者联合生成并秘密共享随机数的问题，这个问题可 以用下面的方法解决。每一个参与者S选取一个随机数并将它作为秘密，用Shamir秘密共享
方案，计算属于每一个参与者的子秘密&(1>，&(2) — ，用各个参与者对应的公钥加密属于他们的子秘密得到^^(《"),丑;^Cs";)…，并以广播的形式将这些加密后的子秘密公布出去。 这样，联合生成的随机数就是各个参与者选取的随机数之和，而每一个参与者/^掌握的对应 的子秘密为s卩)
Joint-Shamir-RSS协议
1. 参与者/)选取一个随机数s,.作为秘密，并选取f个随机数 ,fl^…,"f,作为系数构造f次 多项式,(X) = + + <3,.2jc2 + -；
2. 参与者S计算属于每一个参与者的子秘密S尸，SP,…,S"，用各个参与者对应的公钥
加密属于他们的子秘密得到^^CS"),E&CS^),并以广播的形式将这些 加密后的子秘密公布出去。
3. 每一个参与者巧解密所有接收到的五^.os^)得《力，而参与者p;.掌握的对应的联合生
成的随机数的子秘密为《力+《"
协议说明协议通过每一个参与者选取一个随机数并执行一个类似于Shamir-SS协议的 过程，使所有参与者共同生成一个随机数，而每个参与者掌握这个随机数对应的子秘密。
下面我给出FST-SIG数字签名方案的完整描述，其中所有计算都是modW的。
Protocol FST-S1GL keygen (k, T)
1. 分发者挑选两个随机的大素数;7和^并且满足pEg三3(mod4)， p，《需要保密；
2. 分发者计算iV，使A^/^;
3. 分发者在Z^中随机选取So并计算U， C7-(sf^)-i;
4. 分发者利用Shamir-SS，在&上计算5b的子秘密"",Sf ，…，""；
5. 令S《=("，0,^)(产l,2，…，ra) ， F《-(AT,r，")；
6. 分发者通过保密的信道将a:^发送给第p个参与者并发布签名验证密钥尸^ 。
Protocol FST-SIGLsign (m， j)1. 参与者利用Joint-Shamir-RSS共同生成随机数及(/ e ZJ ，每个参与者拥有/ 的子秘
2. 参与者根据/ (^利用Mult-SS计算y，使y^及2^'"、
3. 每一个参与者/ 计算ff^Z/(y，r,/n);
4. 利用Mult-SS参与者联合计算Z =及S/;
5. 公布消息m的签名< ,(Z，o") > 。 Algor她m FST-SIGLverify (叫PIQ sign)
假设PK是(iV， f/, 7); sign是< y，(Z，cr) > ; ifZ三O(modiV)
return(0); .
else , =Z2'(T+'-i>C/ffmodW;
if o" = i/(/，:r'，;w)
thenretum(l); else retura(0);
Protocal FST-SlGLupdate(j)
1. 如果J^:r，则返回空串；否则，执行
2. 参与者根据各自的子秘密利用Mult-SS，计算S,,的2f次方&的子秘密《W;
3. 每个参与者p删除Sg; Protocal FST-SIGLjion(j，n+l>
1.每一个参与者6，/e0…")在Zg上选取一个随机Z次多项式《(:c),满足《("+ 1) = 0。
12(可以这样选取在Z,上选取随机数然后计算《。=-l^1...<>《(H + l)、m0dW 。)
2. 每个参与者s使用其他参与者s的公钥加密w) (_/ e 0…")，y * o得到
,。(《,楊并广播。
3. 每个参与者《计算sf+5^^^(1')并将《)保密传送给尸計i 。
4. 新加入者《+,获得所有的sf用拉格朗日插值法恢复出属于他的子秘密""+1),进而获
得签名子密钥s《"+1> = (w,r,,s)"+1>)。
下面分别对上述协议、算法进行说明
Protocol FST-SKlkeygen(k，T)是密钥生成协议，由可信的分发者执行。分发者选择好密 钥后，用我们上面提到过的Shamir秘密共享方案将秘密密钥共享生成子密钥 Si^w =(^，7\0，15^)并通过安全信道传送给每一个参与者。这里下标0代表该应用密钥的时
段序号，上标(p)表示该密钥为参与者Pp拥有。我们需要强调一点是在签名方案中应用 Shamir秘密共享时，我们的计算是在Zw上的，这里Zw显然不是域，但是，我们仍然可以证
明系统是可以正确运行的。首先，我们要求所有参与者的数目/J要小于系统参与/7，9，其次
我们要求分发者分配给参与者g的子秘密为/(0。这样，所有用于重构秘密的子秘密将都不 含有因子p或g。这样，在秘密恢复时，我们构造的G + l)x(f + l)范德蒙矩阵中的所有元素都 不含有因子p或《，这样，因为矩阵的行列式为[X^^a(、-、)modW，因此可以保证行列
式值是与W互素的。因此，在上面提出的两个前提下，在Z^上的Shamir秘密共享方案仍然 是正确的。
Protocol FST-SIGsign(m，j)是签名协议，该协议需要2f+l个参与者参与完成。在基础的
数字签名算法中，随机数/ 应该是取自于z;;,而在这里，为了加入门限机制，随机数需要由 多方共同选取的，这样w是z^中的一个随机数。但是， 一个数属于z^但不属于z;;的概率是
十分小的，大约是1+1，是一个可以忽略的小概率。所以我们可以认为由这个签名协议生成的签名仍然是有效的。
Algorithm FST-SIGverifyw (叫PK sign)是签名验证算法，与普通数字签名方案的验证算 法相同，该算法由任何拥有对应公钥的一方执行。
Protocol FST-SIGupdate(j)是密钥进化协议。在每个时段的开始，由2z + l个参与者参与， 执行密钥进化协议，完成密钥进化，获得该时段所使用的签名密钥。在时段乂的开始时刻， 成功进行上次密钥进化的参与者拥有y-l时段签名密钥5^,,的子密钥5^g ，利用Mult-SS，
参与者可计算的2'次方&的子秘密S",然后立即删除,此时
就"-(iv，r，y，《力)。要强调的是，除了参与密钥进化计算的2"i个参与者外，当前所有的
没有被敌手阻断攻陷的参与者(包括在前一时段被阻断，现在恢复的参与者)都可以从这2/ + 1
个参与者获得足够信息，计算出属于自己这一时段的子秘密。
ProtocalFST-SIGjion(j，n+l)是新成员加入协议。该协议可以在任何时刻添加入新成员，例 如在y时段时，首先当前成员之间先依据申请加入成员的序列号"+ l共同生成一个《次多项
式，可以记为A.(x)满足《.(《 +1) = 0 ，而后当前每个成员A分别计算Sf' = S， + ~(/)并将Sf
保密传送给尸 +1，新加入成员尸"可以更加接受到得Sf'恢复出一个多项式，带入M + 1即可得
，继而得到属于自己y时段的子密钥汰)"")二 (iv，r，y,""+1>)。
具体实施例方式
在我们前向安全的门限数字签名系统中，所有的参与方包括n个签名服务器(即方案中
的参与者)用A表示lS/Sw，他们都位于一个广播网络上，并且他们两两之间存在可进行
保密通信的安全信道，这样的信道可以在广播信道上使用加密技术实现，使用的加密算法应 该是前向安全的公钥加密算法。另外系统还包括一个可信的分发者，签名服务器与分发者之 间可以进行广播通信也可以进行点对点的加密通信。其中任意一台签名服务器都可以接受签 名请求，发起并组织一次签名，并最后将生成的签名发送给签名请求者。最后我们要求系统 具有同歩性，他们在协议的某一阶段可以同步地发送他们的信息。
本发明的发明内容部分对实施己经做出了详细说明，在此不再重复描述。但需要说明的
是针对不同的应用需求，不同的安全性等级要求，可以采用不同规模的参数W， /等。因
此本发明可以具有很多种具体的实施方式。
权利要求
1、一种数字签名方法与签名系统，该签名方法具有门限机制、子秘密更新机制以及成员加入机制。其特征是，以Shamir-SS协议、Mult-SS协议、Joint-Shamir-RSS协议为基础模块，设计出的前向安全的门限签名方案(FST-SIG签名方案)。整个数字签名方案包括五个部分密钥生成协议、密钥进化协议、签名协议、签名验证算法、新成员加入协议。方案中涉及到的协议及算法的核心内容如下Protocol FST-SIG.keygen(k，T)//密钥生成协议(1). 分发者挑选两个随机的大素数p和q，并且满足p≡q≡3(mod4)，p，q需要保密；(2). 分发者计算N，使N＝pq；(3). 分发者在ZN*中随机选取S0并计算U，(4). 分发者利用Shamir-SS，在Zn上计算S0的子秘密(5). 令(ρ＝1，2，…，n)，PK＝(N，T，U)；(6). 分发者通过保密的信道将发送给第ρ个参与者并发布签名验证密钥PK。Protocol FST-SIG.sign(m，j)//签名协议(1). 参与者利用Joint-Shamir-RSS共同生成随机数R(R∈ZN)，每个参与者拥有R的子秘密R(ρ)；(2). 参与者根据R(ρ)利用Mult-SS计算Y，使Y＝R2l(T+1-j)；(3). 每一个参与者ρ计算σ＝H(j，Y，m)；(4). 利用Mult-SS参与者联合计算(5). 公布消息m的签名<j，(Z，σ)>。Algorithm FST-SIG.verify(m，PK，sign)//签名验证算法假设PK是(N，U，T)；sign是<j，(Z，σ)>；ifZ≡0(modN)return(0)；else Y′＝Z2l(T+1-j)Uσmod N；if σ＝＝H(j，Y′，m)then return(1)；else return(0)；Protocal FST-SIG.update(j)//密钥进化协议(1). 如果j＝T，则返回空串；否则，执行(2). 参与者根据各自的子秘密利用Mult-SS，计算Sj-1的2l次方Sj的子秘密(3). 每个参与者ρ删除Protocal FST-SIG.jion(j，n+1)//成员加入协议(1). 每一个参与者Pi，i∈{1…n}在Zq上选取一个随机t次多项式δi(x)，满足δi(n+1)＝0。(可以这样选取在Zq上选取随机数{δij}j∈{1…t}然后计算δi0＝-∑j∈{1…t}δij(n+1)j(modq)。)(2). 每个参与者Pi使用其他参与者Pj的公钥加密δi(j)(j∈{1…n}，j≠i)得到{ENCj(δi(j))}并广播。(3). 每个参与者Pi计算并将保密传送给Pn+1。(4). 新加入者Pn+1获得所有的用拉格朗日插值法恢复出属于他的子秘密，进而获得签名子密钥Shamir-SS算法算法参数Z，s，n，t(1). 执行者在集合Z中选择t个随机数a1，a2，…，at作为系数，以秘密s作为常数项构造t次多项式f(x)＝s+a1x+a2x2+…atxt；(2). 执行者为多项式赋值，得到关于秘密s的子秘密s1＝f(1)，s2＝f(2)，…，sn＝f(n)。Mult-SS协议参与者Pi的输入fα(i)和fβ(i)的值(1). 参与者选取一个随机t次多项式hi(x)，满足hi(0)＝fα(i)fβ(i)，用各个参与者对应的公钥加密属于他们的值hi(j)得到1≤j≤2t+1并以广播的形式将这些加密后的子秘密公布出去。(2). 每一个参与者Pj接收解密出hi(j)，然后计算属于他的αβ的子秘密Joint-Shamir-RSS协议(1). 参与者Pi选取一个随机数si作为秘密，并选取t个随机数ai1，ai2，…，ait作为系数构造t次多项式fi(x)＝si+ai1x+ai2x2+…aitxt；(2). 参与者Pi计算属于每一个参与者的子秘密，用各个参与者对应的公钥加密属于他们的子秘密得到，并以广播的形式将这些加密后的子秘密公布出去；(3). 每一个参与者Pj解密所有接收到的得，而参与者Pj掌握的对应的联合生成的随机数的子秘密为
全文摘要
本发明属于信息安全技术领域，涉及对数字信息进行签名问题，更确切地说是涉及一种能够增加敌手窃取签名密钥难度并且能够减轻签名密钥泄露影响的数字签名方法与系统。该签名方法通过应用Shamir秘密共享技术以及多方安全计算技术为一个经典的基础数字签名方法添加了门限机制与子秘密更新机制。门限机制增强了签名密钥的安全性，并可以起到权利分散的作用；子秘密更新机制实现了签名密钥的前向安全，即即使敌手获得当前时间段的签名密钥，敌手也不能够通过该密钥伪造出一个属于前一时间段的合法签名，保护了以前的签名的有效性，降低了密钥泄露的损失。另外，该签名方法还包括一个成员加入机制，加强了方案的安全性和适用范围。
文档编号H04L9/32GK101425902SQ20081004653
公开日2009年5月6日 申请日期2008年11月12日 优先权日2008年11月12日
发明者辉 张, 许春香 申请人:电子科技大学