门限签名是现代电子商务中一种重要的数字签名。自门限签名的思想提出以来，出现了各种各样的门限签名方案。然而，如何构造既高效又抗攻击的签名仍然没有一个固定的模式，大多数方案仍然不能抵御各种内部或外部攻击。如参考文献[1]提出了一种具有可追查性的抗合谋攻击门限签名方案，参考文献[2]指出该方案难以抵抗合谋攻击；参考文献[3]提出了一种不可追踪的抗合谋攻击方案，参考文献[4]指出该方案仍存在合谋攻击问题。

　    为了进一步提高签名的效率，参考文献[5]提出了基于双线性对的短签名。双线性对成了构造签名的重要工具。基于双线性的签名方案具有签字短、安全、高效等特点，它的提出受到了广泛的关注。参考文献[6]引进了PKG的概念，即可信中心，作用是产生用户的私钥，理论上它必须是完全可信的。大多数文献方案的提出也是建立在可信中心的基础之上。然而在有些环境中(如Ad Hoc网络)，可信中心并不存在。岳胜等人提出了一种无可信中心门限签名方案[7](以下简称YUE的方案)。此方案虽有一定的理论价值，然而该方案仍存在很大的安全漏洞。同时，在实用性方面，当一个方案受到伪造攻击时，良好的可追查性使得签名能够有效地检查成员内部的签名情况。为此，本文提出了一种新的具有可追查性的无可信中心(t,n)门限签名方案。
1 YUE方案的安全性分析
1.1 对YUE方案的伪造攻击
　    伪造方案与原签名方案相似,区别仅在于在伪造方案中，办事员充当的是伪造攻击者的身份。在门限签名生成阶段，由于每个成员本质上只起到提供一个随机数的作用，办事员的角色与有可信中心方案中的PKG所起的角色没有区别，而办事员是在成员内部随机指定的，因此不可能完全可靠。下面是办事员伪造签名者Pj的部分签名，进而伪造最终的门限签名。这里假设成员Pk是所指定的办事员，具体伪造步骤如下:
  
  

                   
3.2 新方案的安全性
    (1) 签名不可伪造性
　    任何第三方不能伪造群体对消息m′进行合法的签名。由门限签名合成式(3)可知，即使知道了k′、H1(m′)，由于不知道∑SIDi，因此仍不能构成满足式(4)的合法门限签名。另外，任何第三方也不能伪造合法成员Pi而进行部分签名。由于在部分签名生成的过程中，要用到成员Pi的ki、SIDi，而它们是任何第三方都不能获知的，因此无法提交合法的部分签名
    (2) 方案强壮性
　    本方案在签名的生成过程中，用到了只有合法签名者自己知道的随机数ki，也就无法求得SIDi。因此，即使恶意攻击者贿赂了某些成员，使其在签名协议中不按照规定执行，最后也无法得到正确的签名。
3.3 性能分析
    一个好的门限签名方案，必须要有很好的强壮性及不可伪造性，并且在受到攻击的时候还要有好的可追踪性。同时计算量的多少是方案效率高低的重要指标，很大程度上影响着方案的可行性。本方案与原方案的性质比较如表1所示。令Pl、Mu、Ha、Pa、Ex分别表示群上的乘法和加法运算、哈希函数运算以及配对运算和指数运算。本方案与原方案计算量的比较如表2所示。

    从表1可以看出，原签名方案的强壮性和不可伪造性都低于本方案，同时，本方案有很好的追踪性，而原方案没有。从表2可以看出，在部分签名生成算法中，YUE方案比本文方案多了一次乘法运算，少t次加法运算及2t-1次哈希运算。在部分签名验证算法中，YUE方案比本文方案多用了2t次乘法运算以及2t次指数运算，少使用t次配对运算及2t次哈希运算。在门限签名验证算法中，YUE方案比本文方案多使用一次配对运算，少使用一次指数运算。YUE方案无身份追查，而本文的身份追查只需t次哈希运算。由以上可以看出，本文方案总的运算量为(4t+1)Mu+(3t-1)Pl+2Ex+(3t+2)Pa+5tHa，岳胜等人的方案总的运算量为(6t+2)Mu+(2t-1)Pl+(2t+1)Ex+(2t+3)Pa+Ha。由此，本方案总运算次数与YUE方案差不多，但却非常有效地防治了各种内部或外部攻击，安全性远远高于YUE方案，而且本方案可以简易地进行身份追踪，实用性更强。
3.4 新方案的易追踪性

    当发生纠纷时，群中任何成员都只需查看部分签名中的IDi就可以追查出参加签名的t个成员身份。
4 构造签名的思想
    已有大量文献虽然对如何构造签名做出了研究，但至今仍没有一个被广泛认可的构造签名方案或策略。在此，分析几类容易出现安全问题的签名构造[4]。
    (1)在门限签名中，签名合成者(DC)负责部分签名的合成，同时负责最终签名的生成，在有可信中心的签名方案中还具有派发密钥的权力。如果签名合成者和伪造者进行合谋，则他们很容易伪造签名。因此，任何门限签名方案都应该考虑对签名合成者加以限制。参考文献[7]提出的门限签名方案将门限签名的密钥发放权、签名合成权集结于办事员，这样的权力分配给签名方案带来了安全隐患。
    (2)在构造成员的部分签名或最终签名时，应尽量使所构造签名的前后参数具有相关性，最好通过不同的函数运算（如哈希函数、指数运算）来保证签名参数的前后关联性。这样可以有效地防止各种内部或外部攻击。
    (3)参考文献[4]指出为了有效防止中断协议攻击，可以在每次的签名中附加时间戳。同时，适当使用“添加随机数、消息源可识别数字签名”等方法，可以增加合谋伪造攻击的难度。
    本文对原有的门限签名进行了安全性分析，指出其在构造最终的签名时前后的参数没有关联，导致最终的方案存在安全隐患。本文提出的新方案构造的签名有效地利用了前后参数之间的联系，不仅解决了原有方案的缺陷,同时很好地抵御了各种外部攻击和内部合谋攻击。
参考文献
[1] 张文芳,何大可,王宏霞，等.具有可追查性的抗合谋攻击门限签名方案[J].西南交通大学报,2007,42(4):461-467.
[2] 徐光宝,姜东焕.具有特权者的门限签名方案[J].计算机工程与应用, 2011,47(9):83-85.
[3] Gan Yuanju. Verifiable threshold signature against conspiracy  attack[J].Journal of Zhejiang University Science,2004,5(1): 50-54.
[4] 侯整风,赵香,杨曦.抗合谋攻击的门限签名方案[J].计算机工程, 2008,34(17):147-148.
[5] BONEH D, LYNN B, SHACHAM H. Short signatures from  the weil pairing[C].Boyd C. LNCS 2248:Advances in Cryptology Asiacrypt’ 2001. Berlin:Springer,2001:514-532.
[6] SHAMIR A. Identity-based cryptosystems and signature schemes[C]. LNCS 196:Advances in Cryptology-CRYPTO 1984.Berlin:Springer, 1984:47-53.
[7] 岳胜,辛小龙.一种无可信中心门限签名方案[J].计算机工程与应用,2011,47(3):87-89.
[8] 达青峰. 一种标准模型下基于身份的高效门限签名方案[J].计算机工程与应用,2010,46(21):76-79.
[9] 吕鑫,王志坚, 许峰. 基于双线性对的新型门限签名方案[J].计算机科学,2011,38(4):111-114.
[10] Liu Danni,Wang Xingwei, Guo Lei, et al. A dynamic  threshold signature scheme with provable security[C]. 2010 2nd International Conference on Future Computer and Communication, 2010:322-324.
[11] 杨长海.基于身份的门限多代理多盲签名方案[J].计算机工程与应用,2010,46(18):121-124.
[12] 王斌,李建华.无可信中心的门限签名方案[J].计算机学报, 2003,26(11):1581-1584.
[13] 杨胜良.Lagrange插值公式的几种构造性证明[J]. 大学数学,2004,20(3):47-50.