Page 465 - 《软件学报》2025年第8期
P. 465
3888 软件学报 2025 年第 36 卷第 8 期
(2) 参与者 i 本地计算并广播 ([0] i +[out] i ) mod p i 作为 0+out 的秘密份额.
(3) 各方接收到份额后, 本地重构 0+out 作为输出的值.
2 方案模型与安全性定义
2.1 加权门限 SM2 签名语法
本文加权门限 SM2 签名方案由 3 个多项式时间算法构成, 定义如下.
(
)
λ
λ
(1) F Gen 1 ,T,t : 以安全参数 , 重构门限 T 和隐私门限 t 作为输入. 输出部分密钥份额 [sk] i 和公钥 vk, 发送
1
给各参与方.
(2) F Sign ([sk] i ,vk, M): 以密钥份额 [sk] i , 公钥 vk, 明文消息 M 作为输入, 输出签名 σ = (r, s).
(3) F Verify (r, s, M,vk): 输入签名 (r, s), 签名消息 M, 公钥 vk. 输出 1 或 0, 其中输出 1 表示验证通过, 即签名有效;
反之, 输出 0 即签名无效.
加权门限 SM2 签名的正确性要求对任意的 ([sk] i ,vk) ← F Gen 1 ,T,t 和 σ ← F Sign ([sk] i ,vk, M), 当且仅当签名
)
λ
(
者对消息进行了有效签名, 有 F Verify (r, s, M,vk) = 1.
2.2 敌手模型
敌手模型 (adversary model) 是一种理论上的抽象, 用来描述在特定情境下, 系统或协议可能受到的攻击和威
胁. 敌手模型可以分为以下几类.
(1) 被动敌手 (passive adversary): 被动敌手可以监听和观察通信过程, 拦截、截获通信数据, 但不能修改或伪
造消息. 被动敌手的目标通常是获取信息而不是破坏系统.
(2) 主动敌手 (active adversary): 主动敌手具有比被动敌手更强大的能力, 可截获、修改、删除、伪造消息, 甚
至主动发起攻击. 主动敌手的目标通常是破坏系统的安全性或欺骗系统中的用户.
(3) 自适应敌手 (adaptive adversary): 自适应敌手是一种更加智能的敌手模型, 其可根据已有的信息和观察结
果来调整攻击策略. 能够在攻击过程中不断学习和适应, 提高攻击成功的可能性.
(4) 静态敌手 (static adversary): 静态敌手其行为在整个攻击过程中保持不变或不随环境或攻击进展而改变. 静
态敌手通常采用固定的攻击策略, 无论遇到何种情况都会使用相同的攻击方法.
适当的敌手模型对于设计安全的系统和协议至关重要. 本文针对静态敌手的攻击, 对方案进行安全性分析.
2.3 安全性定义
本节定义加权门限 SM2 签名方案的安全性, 包括数字签名的不可伪造性以及健壮性, 具体定义如下.
定义 1 (不可伪造性). 给定方案系统参数, 在敌手 A 最多可以腐化 t 个成员的情况下, 可以拥有交互视图, 并
允许进行 q 次适应性选择消息签名问询, 而敌手 A 最终伪造新消息 M 的有效签名的概率是可忽略的.
定义 A 最多可以腐化 t 个参与者的情况下, 方案依然可以成功运行.
2 (健壮性). 在敌手
3 加权门限 SM2 签名方案构造
本节提出两种加权门限 SM2 签名方案的构造方法. 根据参与者权重之和不同, 获得 WRSS 相应的访问权限,
对 sk 进行密钥分割, 并发送给各参与方. 该过程仅需满足权重之和大于等于重构门限值的这部分签名者, 即可实
现密钥分割及重构, 不需要所有签名者同时在线, 增强了 SM2 签名的健壮性. 本文方案设置预签名阶段, 参与者可
以离线进行本地操作, 提高了运算效率, 且预签名阶段只进行两轮, 有效降低通信开销. 最后, 参与者通过非交互的
签名阶段广播最终签名.
在加权门限 SM2 签名方案中, 其系统参数包括: 有限域 F q ; 椭圆曲线 E F q 方程; 有两个元素 a,b ∈ F q G =
(
)
;
( )
(x G ,y G )(G , O) 为 E F q 上的基点, x G 和 y G 为 F q 中的元素; G 的阶 p. 假设有 n 个参与者, 每个参与者 i 用整数 p i 表
;
示, 即有集合 P = {p 1 , p 2 ,..., p n } S ∈ [n] 为参与加权门限 SM2 签名的参与者的子集, W 为 S 集合中参与者的总权重.
