4488                                                      软件学报  2025  年第  36  卷第  10  期



                                                           公钥









                                            图 1 认证路径 (黑色表示第       3  个叶子节点)

                    请注意, 为了生成能够验证         2 h ′   条消息的根节点, 需要对所有叶子节点进行哈希. 如果想要在单个              Merkle 树中
                 签名所有消息, 这在实际中不可行. 因此, 接下来使用超树来解决这个问题, 如图                      2  所示. 超树  [29] 可以用作认证树,
                 由  d  层组成, 底层的叶子节点专门用于签名消息            (在本文中, 签名消息是      DFORC  公钥). 另一方面, 更高层的叶子
                 节点用来对子树的根节点进行签名. 从超树最底层的叶子节点到最顶部的根节点, WOTS+签名和认证路径构成了
                 一条完整的认证路径. 重要的是, 每个中间树的所有叶子节点都是确定生成的                        WOTS+公钥, 不依赖于下面的任何
                 树. 这意味着超树实际上是虚拟存在的, 在计算过程中无需生成完整的超树. 此外, 在密钥生成过程中, 只计算最顶
                                                            d h = h/d.
                 部的子树来生成公钥. 定义超树的高度为             h, 中间层数为  ,   ′

                                                      公钥
                                                                             哈希节点
                                                                             WOTS 节点
                                                                             少次签名节点



































                                                                         消息

                                               图 2 超树结构:    h = 9, h = 3, d = 3
                                                                  ′