Page 462 - 《软件学报》2025年第8期

P. 462

唐长虹等: 加权门限 SM2 签名方案 3885

之和大于或等于选定的门限值时才能恢复出秘密. 之后 Beimel 等人 [24,25] 利用单调电路和单调公式得到每个加权
门限访问结构的秘密共享方案. Iftene 等人 [26] 在 Asmuth 等人 [20] 方案的基础上提出了加权门限秘密共享方案, 提高
了密钥管理的安全性以及签名的安全性. Chaidos 等人 [27] 在门限签名方案中考虑了委员会的方法, 但成本高且易
受到适应性的腐败攻击. 接着 Garg 等人 [28] 基于中国剩余定理的秘密共享构造出加权斜坡秘密共享方案 (weighted
ramp secret-sharing scheme, WRSS), 并将该方案应用在 MPC、加密和签名.
加权门限数字签名可满足多方参与的资金转账、数字证券交易等金融应用安全, 也可应用于多方参与的区块
链共识机制中, 确保区块的验证过程的可信度和安全性. 为进一步推动信息系统的自主可控安全, 本文探索加权门
限 SM2 数字签名构造方法, 并给出具体构造, 以期扩展国密 SM2 算法的应用范围. 在方法上, 本文基于文献 [28]
中的高效 WRSS 技术, 将 SM2 数字签名的秘钥进行分割. 参与者不只是单一的达到门限值就可以得到签名密钥,
而需要通过计算参与者权重之和, 并达到相应的秘密门限值 t 和重构门限 T, 才能了解到密钥的部分信息或者恢复
出签名密钥. 在秘密分割时, 本文对 SM2 签名算法的签名私钥进行变形, 以完成签名阶段对 SM2 密钥进行求逆的
这一操作. 最后, 将本文方案与门限 SM2 签名以及联合 SM2 签名等已有工作进行分析比较, 本文在提升 SM2 签

名方案功能性的同时进一步降低了计算开销.
本文第 1 节首先回顾中国剩余定理、基于中国剩余定理的秘密共享方案、加权斜坡秘密共享方案、SM2 数
字签名以及本文方案相关协议等基础知识. 第 2 节给出加权门限 SM2 签名方案的模型与安全性定义. 第 3 节给出
加权门限 SM2 签名方案的两个具体构造, 并对方案进行正确性分析. 第 4 节对两个方案的安全性进行分析. 第 5
节对方案进行效率和性能分析. 第 6 节介绍加权门限 SM2 签名方案的现实应用. 第 7 节总结本文工作.

1 基础知识

本节介绍中国剩余定理、基于中国剩余定理的秘密共享、SM2 数字签名算法、理想功能函数等相关基础知
识的定义.

1.1 中国剩余定理 [29]
中国剩余定理通常用于解决模运算问题. 它可以用来解决一组关于同余方程的问题, 即给定一组模数两两互
素的同余方程, 可以通过中国剩余定理找到方程的唯一解, 从而简化计算. 具体描述如下.
设 m 1 ,m 2 ,...,m k 是 k 个两两互素的正整数, 则对另一组整数列 a 1 ,a 2 ,...,a k , 有同余方程组:


 x ≡ a 1 mod m 1






 x ≡ a 2 mod m 2

 .
 . .

 .







x ≡ a k mod m k
k ∑
M 为 m 1 ,m 2 ,...,m k 这些所有正整数的和, 方程组在模 M = m i 下必有唯一解为:

i=1
( )
−1
−1
x ≡ a 1 M 1 M +a 2 M 2 M +...+a k M k M −1 mod M,
1 2 k
其中, M i = M/m i 即 M 中除去 m i 剩余所有整数的和; 而 M −1 为 M i 在模 m i 下的逆元, 即满足 M M i = 1 mod m i , 且
−1
i i
i ∈ [1,k].

1.2 基于中国剩余定理的秘密共享方案 [30]
基于中国剩余定理的秘密共享方案用于将秘密信息分割为多个份额, 当足够份额数重新组合时才能还原出原
始的秘密, 是基于中国剩余定理的一种扩展应用. 具体如下.
(1) 系统初始化
F 的阶, 在基于中国剩余定理的秘密共享中, 每个参与者 p 0 , p 1 , p 2 ,..., p n 要求
设 p 0 是域 i 用整数 p i 表示, 其中
互素, 共享秘密 s ∈ F p 0 , 令 M = p 1 p 2 ... p n . 在 [0, M −1] 中选择随机整数 u, 计算 S = s+up 0 , 则有 S ∈ [0, M −1].

457 458 459 460 461 462 463 464 465 466 467