[2010年08月][通信技术][一种可重构线性反馈移位寄存器设计]

2010年第08期，第43卷 通 信 技 术 Vol.43，No.08,2010 总第224期 Communications Technology No.224,Totally

一种可重构线性反馈移位寄存器设计

杨 鹤

（保密通信重点实验室，四川 成都 610041）

【摘 要】提出了一种可重构线性反馈移位寄存器的设计。在设计中,针对Fibonacci 和Galois 两种类型的反馈结构分别采用了可重构的设计，并且支持混合反馈结构，线性反馈移位寄存器反馈抽头和插入点可选，长度可变并且可以通过链接支持超长线性反馈移位寄存器。在XC5VLX30器件上实现延时为4.808 ns，LUT和触发器的个数为2279和1575。能够用于伪随机序列生成等应用。

【关键词】线性反馈移位寄存器；反馈结构；可重构

【中图分类号】TN492 【文献标识码】A 【文章编号】1002-0802(2010)08-0172-03

Design on Reconfigurable Linear Feedback Shift Register

YANG He

(State Key Lab of Communication Security, Chengdu Sichuan 610041, China)

【Abstract】For Fibonacci and Galois feedback structures a design of reconfigurable linear feedback shift register is proposed, which supports the mixture of the two structures, with selectable insert point, feedback point and length of the register, and by link connection, also support the super-length linear feedback shift register. The delay of its implementation on XC5VLX30 is 4.808 ns, and the numbers of LUT and Flip-Flop in it are 2279 and 1575 respectively. It could be applied to the generation of psedo-random sequence and so on.

【Key word】linear feedback shift register; feedback constructer; reconfigurable

0 引言

线性反馈移位寄存器是一种用于生成统计性能良好伪随机序列的方法[1-3]。

在伪随机序列发生器设计中，由于不同应用采用的线性反馈移位寄存器在类型、长度和反馈抽头方面有较大区别[1]，下面提出一种能够对线性反馈移位寄存器类型、长度和反馈抽头等进行配置的可重构线性反馈移位寄存器的设计方法。

位寄存器的输出端一定参与反馈。对所有参与反馈的寄存器输出做异或运算，得到反馈值，送入线性反馈移位寄存器输入端。

F 0=1

图1 Fibonacci

型线性反馈移位寄存器

1 线性反馈移位寄存器类型和结构

线性反馈移位寄存器按照反馈网络的结构分为Fibonacci 型和Galois 型两种基本类型，其结构分别如图1和图2所示。

图1为Fibonacci 型线性反馈移位寄存器，Q i 表示各级寄存器的输出，并作为下一级寄存器的输入，F i 表示Q i 是否在产生二进制序列中连接参与反馈，F i =1表示Q i 参与反馈，F i =0表示Q i 被断开不参与反馈，Q 0作为线性反馈移

收稿日期：2010-07-23。 作者简介：杨 鹤（1977-），男，学士,工程师，主要研究方向为公钥

密码芯片设计和可重构密码芯片的设计。

Q 0

图2 Galois型线性反馈移位寄存器

Q i 表示各级寄存图2为Galois 型线性反馈移位寄存器，

器的输出，G i 表示Q i 是否与线性反馈移位寄存器输出端Q 0先进行异或运算，再将异或结果作为下一级寄存器的输入，

G i =1表示Q i 需要与Q 0先进行异或运算再将异或结果作为下一级寄存器的输入，G i =0表示Q i 不与Q 0进行异或运算，

172

直接将Q i 作为下一级寄存器的输入。

从反馈关系来看，Fibonacci 型线性反馈移位寄存器是将若干个反馈抽头反馈至整个线性反馈移位寄存器输入端，Galois 型线性反馈移位寄存器是将输出端反馈至若干位置。除了Fibonacci 型和Galois 型两种基本类型的线性反馈移位寄存器，一些伪随机序列应用中还使用了混合型线性反馈移位寄存器，其中既包含将若干个反馈抽头反馈至整个线性反馈移位寄存器输入端的反馈结构，也包含将输出端反馈至若干位置的反馈结构。

2 可重构线性反馈移位寄存器

可重构线性反馈移位寄存器结构上分为可重构线性反馈移位寄存器段（以下简称寄存器段）和可重构线性反馈移位寄存器链（以下简称寄存器链）两个层次[4]。 2.1 寄存器段的寄存器设置

寄存器段支持的最大段长为定长，在下文中以128位段长举例。寄存器段包括以下部分：

①寄存器段本体Q 0, Q 1, " , Q 127。在每一个时钟周期保存寄存器段的数值；

②Fibonacci 反馈配置寄存器F 0, F 1, " , F 127。按位与寄存器段本体对应，Fibonacci 反馈配置寄存器的某一位等于1，则选择寄存器段本体中的相应位作为反馈抽头，位置最前的反馈抽头决定了寄存器段的实际长度；

③Galois 反馈配置寄存器G 0, G 1, " , G 127。按位与寄存器段本体对应，Galois 反馈配置寄存器的某一位等于1，则将整个寄存器段的输出端与寄存器段本体中的相应位做异或运算，再作为下一级寄存器的输入。注意，Galois 反馈配置寄存器中不包含寄存器段的实际长度信息；

④长度及链接配置寄存器。共9位，用于配置Galois 寄存器段的实际长度和前向、后向链接情况，表1是寄存器各字段的说明。

表1 长度及链接配置寄存器字段说明

字段 寄存器名 说明

[6:0] G_LEN Galois 寄存器段长度，全零表示128位 [7] LINK_FW 前向链接有效，寄存器段移位前向链接有其他寄存器段

[8]

LINK_BW

后向链接有效，寄存器段移位后向链接有其他寄存器段

2.2 寄存器段的接口

寄存器段的接口如表2所示。

表2 寄存器段的接口说明

接口信号 类型 说明

CLK 输入 时钟信号，上升沿有效 SHIFT_IN 输入 来自后向寄存器段的移位输入 FFB_IN 输入 来自前向寄存器段的Fibonacci 反馈

GFB_IN 输入

来自前向寄存器段的Galois 反馈 SHIFT_OUT 输出

送到前向寄存器段的移位输入 FFB_OUT 输出 送到后向寄存器段的Fibonacci 反馈

GFB_OUT

输出

送到后向寄存器段的Galois 反馈

2.3 寄存器段的反馈结构 2.3.1 Fibonacci反馈结构

寄存器段的Fibonacci 反馈结构如图3所示。

反馈

图3 寄存器段的Fibonacci 反馈结构

不考虑寄存器段链接的情况：寄存器段本体Q 0, Q 1, " , Q 127与Fibonacci 反馈配置寄存器F 0, F 1, " , F 127做逐位相与运算，对相与运算结果进行异或运算，再将异或运算的结果反馈至寄存器段的输入端。

考虑寄存器段链接的情况：寄存器段本体Q 0, Q 1, " , Q 127与Fibonacci 反馈配置寄存器F 0, F 1, " , F 127做逐位相与运算，对相与运算结果进行异或运算，如果LINK_FW有效即前向链接有其他寄存器段，则还要与来自前向寄存器段的反馈信号FFB_IN异或；如果LINK_BW有效即后向链接有其他寄存器段，则将上述异或运算结果作为反馈信号FFB_OUT送入后向寄存器段，并使用来自后向寄存器段的移位输入信号SHIFT_IN输入至寄存器段的输入端；如果LINK_BW无效，则将上述异或运算的结果反馈至寄存器段的输入端。 2.3.2 Galois反馈结构

寄存器段的Galois 反馈结构如图4所示。

图4 寄存器段的Galois 反馈结构

不考虑寄存器段链接的情况：根据长度及链接配置寄存

器中Galois 寄存器段长度，从寄存器段本体Q 0, Q 1, " , Q 127中选择反馈位，根据Galois 反馈配置寄存器G 0, G 1, " , G 127确定反馈位是否与寄存器段本体Q 0, Q 1, " , Q 127做逐位异或运算。 考虑寄存器段链接的情况：根据长度及链接配置寄存器中Galois 寄存器段长度，从寄存器段本体Q 0, Q 1, " , Q 127中选择反馈位，若LINK_FW有效，则选择来自前向寄存器段的反馈信号GFB_IN作为反馈位；根据Galois 反馈配置寄存器G 0, G 1, " , G 127确定反馈位是否与寄存器段本体Q 0, Q 1, " , Q 127做逐位异或运算；若LINK_BW有效，则将上述反馈位作为反馈信号GFB_OUT送入后向寄存器段，并使用来自后向寄存器段的移位输入信号SHIFT_IN输入至寄存器段的输入端；如果LINK_BW无效，则将上述反馈位反馈至寄存器段

173

的输入端。 2.4 寄存器链

将后向寄存器段的SHIFT_OUT链接至前向寄存器段的SHIFT_IN，将前向寄存器段的FFB_OUT和GFB_OUT链接至后向寄存器段的FFB_IN和GFB_IN，则构成了寄存器链结构，如图5所示。

XC5VLX30 FPGA器件综合[6]后，经过时序仿真和验证，功能和性能符合设计要求。具体参数为：时延4.808 ns，LUT 数量为2 279个，触发器数量为1 575个。

4 结语

根据芯片设计对功能、性能、面积等方面的要求，提出了一种反馈类型可选择、反馈抽头可选、长度可配置和扩展的线性反馈移位寄存器的设计方法。在Xilinx XC5VLX30器件上做了实现，频率高、面积小，能够良好支持伪随机序列生成。

参考文献

图5 由寄存器段组成的寄存器链结构

理论上，可以采用这种方法对寄存器链进行无限延长，但由于Fibonacci 和Galois 反馈信号的延时存在累积，而且512位以上的线性反馈移位寄存器很少使用，所以寄存器链不宜太长。

[1] 谯通旭，张文政，祝世雄.计算几类周期序列的最小周期[J].信息安

全与通信保密,2009(08):211-213.

[2] 刘依依.ESTREAM和流密码分析现状[J].信息安全与通信保

密,2009(12):87-89.

[3] 杨波.现代密码学[M].北京:清华大学出版社,2003.

[4] MARCOVITZ A B.逻辑设计基础[M].北京:清华大学出版社,2006. [5] THOMAS D E, MOORBY P R.硬件描述语言Verilog[M].北京:清华大

学出版社,2001.

3 设计结果

采用了128位段长和4个寄存器段构成的寄存器链的参数配置，用VerilogHDL 对电路进行了描述，采用Xilinx

[5]

[6] 贝斯.数字信号处理的FPGA 实现[M].北京:清华大学出版社,2002.

（上接第171页）

那么会不会出现o a e a f b =o a mod i a (a ≠b ) 的情况呢？答案是不会出现这种情况。

假设o a e a f b =o a mod i a (a ≠b ) ，则o a e a f b −1=1mod i a ⋅

与可追踪性的不足，提出了一种改进方法，该方法既能使签名合成人员知道全体签名成员的身份，但又不知道每一份签名具体由谁发出，只有在仲裁机构的反馈下，才能准确定位违规签名者，也即达到了兼顾匿名性与可追踪性的目标。改

(a ≠b ) ；

所以e a ⋅f b =1+r 1⋅(i a −1) ；

又e a ⋅f a =1+r ⋅(i a −1) ，所以e a ⋅(f a −f b ) =(r −r 1) ⋅ (i a −1) ；

进方案没有对原方案进行大的改动，确保了原方案的安全性。

参考文献

[1] 肖龙,华云,王雁涛.一种基于环Zn 上圆锥曲线的新型数字签名方

案[J].通信技术,2008,41(01):127-128.

[2] DESMEDT Y, FRANKEL Y. Shared Generation of Authenticators and

Signatures[C]//In Proc. of CRYPTO’91.Berlin:Springer-Verlag, 1992:457-469.

[3] 刘敏,简艳英.对一种门限代理签名方案的研究[J].通信技术,

2008,41(05):140-141.

[4] LI C M, TZONELIH H, LEE N Y. Threshold-multisignature Schemes

Where Suspected Forgery Implies Traceability of Adversarial Shareholders[C]//In Proc. of Eurocrypt’94.Berlin: Springer- Verlag, 1995:194-204.

[5] 王贵林,王明生,季庆光,等.LHL门限群签名方案的安全缺陷[J].计

算机学报, 2001, 24(9): 897-902

[6] WANG G L, QING S H. The Weaknesses of Some Threshold Group

Signature Schemes[J].Journal of Software,2000,11(10): 1326-1332.

[7] SPILLMAN R.经典密码学与现代密码学[M].叶阮健, 曹英, 张长富译.

北京:清华大学出版社,2005:169.

因为e a 、(f a −f b ) 都小于(i a −1) ，且e a 与(i a −1) 互质，所以e a ⋅(f a −f b ) 想要被(i a −1) 整除，e a 、(f a −f b ) 之中必须要有一个为0，而e a 不等于0，所以(f a −f b ) =0，即f a =f b

而当DC 收到e a 后，可以先验证o a =x a e a mod(i a −1) 是否成立，接着计算v a =o a 历v a 。

如果v a d a =o a mod l a ，那么该d a 就是违规签名的生成者，至此，提出的方法实现了匿名性与可追踪性。

e a

mod l a ，然后用手中的d a 遍

4 结语

根据文献[5]中的一种合谋攻击方法，分析了LHL 门限签名方案的安全性，论述了该门限方案执行过程中两次签名验证步骤的不同作用，发现在LHL 方案中通过伪造签名实施攻击无法通过部分签名的验证，因此，LHL 方案对文献[5]中的合谋攻击来说是安全的。同时，针对原LHL 方案不能兼顾匿名性174

2010年第08期，第43卷 通 信 技 术 Vol.43，No.08,2010 总第224期 Communications Technology No.224,Totally

一种可重构线性反馈移位寄存器设计

杨 鹤

（保密通信重点实验室，四川 成都 610041）

【摘 要】提出了一种可重构线性反馈移位寄存器的设计。在设计中,针对Fibonacci 和Galois 两种类型的反馈结构分别采用了可重构的设计，并且支持混合反馈结构，线性反馈移位寄存器反馈抽头和插入点可选，长度可变并且可以通过链接支持超长线性反馈移位寄存器。在XC5VLX30器件上实现延时为4.808 ns，LUT和触发器的个数为2279和1575。能够用于伪随机序列生成等应用。

【关键词】线性反馈移位寄存器；反馈结构；可重构

【中图分类号】TN492 【文献标识码】A 【文章编号】1002-0802(2010)08-0172-03

Design on Reconfigurable Linear Feedback Shift Register

YANG He

(State Key Lab of Communication Security, Chengdu Sichuan 610041, China)

【Abstract】For Fibonacci and Galois feedback structures a design of reconfigurable linear feedback shift register is proposed, which supports the mixture of the two structures, with selectable insert point, feedback point and length of the register, and by link connection, also support the super-length linear feedback shift register. The delay of its implementation on XC5VLX30 is 4.808 ns, and the numbers of LUT and Flip-Flop in it are 2279 and 1575 respectively. It could be applied to the generation of psedo-random sequence and so on.

【Key word】linear feedback shift register; feedback constructer; reconfigurable

0 引言

线性反馈移位寄存器是一种用于生成统计性能良好伪随机序列的方法[1-3]。

在伪随机序列发生器设计中，由于不同应用采用的线性反馈移位寄存器在类型、长度和反馈抽头方面有较大区别[1]，下面提出一种能够对线性反馈移位寄存器类型、长度和反馈抽头等进行配置的可重构线性反馈移位寄存器的设计方法。

位寄存器的输出端一定参与反馈。对所有参与反馈的寄存器输出做异或运算，得到反馈值，送入线性反馈移位寄存器输入端。

F 0=1

图1 Fibonacci

型线性反馈移位寄存器

1 线性反馈移位寄存器类型和结构

线性反馈移位寄存器按照反馈网络的结构分为Fibonacci 型和Galois 型两种基本类型，其结构分别如图1和图2所示。

图1为Fibonacci 型线性反馈移位寄存器，Q i 表示各级寄存器的输出，并作为下一级寄存器的输入，F i 表示Q i 是否在产生二进制序列中连接参与反馈，F i =1表示Q i 参与反馈，F i =0表示Q i 被断开不参与反馈，Q 0作为线性反馈移

收稿日期：2010-07-23。 作者简介：杨 鹤（1977-），男，学士,工程师，主要研究方向为公钥

密码芯片设计和可重构密码芯片的设计。

Q 0

图2 Galois型线性反馈移位寄存器

Q i 表示各级寄存图2为Galois 型线性反馈移位寄存器，

器的输出，G i 表示Q i 是否与线性反馈移位寄存器输出端Q 0先进行异或运算，再将异或结果作为下一级寄存器的输入，

G i =1表示Q i 需要与Q 0先进行异或运算再将异或结果作为下一级寄存器的输入，G i =0表示Q i 不与Q 0进行异或运算，

172

直接将Q i 作为下一级寄存器的输入。

从反馈关系来看，Fibonacci 型线性反馈移位寄存器是将若干个反馈抽头反馈至整个线性反馈移位寄存器输入端，Galois 型线性反馈移位寄存器是将输出端反馈至若干位置。除了Fibonacci 型和Galois 型两种基本类型的线性反馈移位寄存器，一些伪随机序列应用中还使用了混合型线性反馈移位寄存器，其中既包含将若干个反馈抽头反馈至整个线性反馈移位寄存器输入端的反馈结构，也包含将输出端反馈至若干位置的反馈结构。

2 可重构线性反馈移位寄存器

可重构线性反馈移位寄存器结构上分为可重构线性反馈移位寄存器段（以下简称寄存器段）和可重构线性反馈移位寄存器链（以下简称寄存器链）两个层次[4]。 2.1 寄存器段的寄存器设置

寄存器段支持的最大段长为定长，在下文中以128位段长举例。寄存器段包括以下部分：

①寄存器段本体Q 0, Q 1, " , Q 127。在每一个时钟周期保存寄存器段的数值；

②Fibonacci 反馈配置寄存器F 0, F 1, " , F 127。按位与寄存器段本体对应，Fibonacci 反馈配置寄存器的某一位等于1，则选择寄存器段本体中的相应位作为反馈抽头，位置最前的反馈抽头决定了寄存器段的实际长度；

③Galois 反馈配置寄存器G 0, G 1, " , G 127。按位与寄存器段本体对应，Galois 反馈配置寄存器的某一位等于1，则将整个寄存器段的输出端与寄存器段本体中的相应位做异或运算，再作为下一级寄存器的输入。注意，Galois 反馈配置寄存器中不包含寄存器段的实际长度信息；

④长度及链接配置寄存器。共9位，用于配置Galois 寄存器段的实际长度和前向、后向链接情况，表1是寄存器各字段的说明。

表1 长度及链接配置寄存器字段说明

字段 寄存器名 说明

[6:0] G_LEN Galois 寄存器段长度，全零表示128位 [7] LINK_FW 前向链接有效，寄存器段移位前向链接有其他寄存器段

[8]

LINK_BW

后向链接有效，寄存器段移位后向链接有其他寄存器段

2.2 寄存器段的接口

寄存器段的接口如表2所示。

表2 寄存器段的接口说明

接口信号 类型 说明

CLK 输入 时钟信号，上升沿有效 SHIFT_IN 输入 来自后向寄存器段的移位输入 FFB_IN 输入 来自前向寄存器段的Fibonacci 反馈

GFB_IN 输入

来自前向寄存器段的Galois 反馈 SHIFT_OUT 输出

送到前向寄存器段的移位输入 FFB_OUT 输出 送到后向寄存器段的Fibonacci 反馈

GFB_OUT

输出

送到后向寄存器段的Galois 反馈

2.3 寄存器段的反馈结构 2.3.1 Fibonacci反馈结构

寄存器段的Fibonacci 反馈结构如图3所示。

反馈

图3 寄存器段的Fibonacci 反馈结构

不考虑寄存器段链接的情况：寄存器段本体Q 0, Q 1, " , Q 127与Fibonacci 反馈配置寄存器F 0, F 1, " , F 127做逐位相与运算，对相与运算结果进行异或运算，再将异或运算的结果反馈至寄存器段的输入端。

考虑寄存器段链接的情况：寄存器段本体Q 0, Q 1, " , Q 127与Fibonacci 反馈配置寄存器F 0, F 1, " , F 127做逐位相与运算，对相与运算结果进行异或运算，如果LINK_FW有效即前向链接有其他寄存器段，则还要与来自前向寄存器段的反馈信号FFB_IN异或；如果LINK_BW有效即后向链接有其他寄存器段，则将上述异或运算结果作为反馈信号FFB_OUT送入后向寄存器段，并使用来自后向寄存器段的移位输入信号SHIFT_IN输入至寄存器段的输入端；如果LINK_BW无效，则将上述异或运算的结果反馈至寄存器段的输入端。 2.3.2 Galois反馈结构

寄存器段的Galois 反馈结构如图4所示。

图4 寄存器段的Galois 反馈结构

不考虑寄存器段链接的情况：根据长度及链接配置寄存

器中Galois 寄存器段长度，从寄存器段本体Q 0, Q 1, " , Q 127中选择反馈位，根据Galois 反馈配置寄存器G 0, G 1, " , G 127确定反馈位是否与寄存器段本体Q 0, Q 1, " , Q 127做逐位异或运算。 考虑寄存器段链接的情况：根据长度及链接配置寄存器中Galois 寄存器段长度，从寄存器段本体Q 0, Q 1, " , Q 127中选择反馈位，若LINK_FW有效，则选择来自前向寄存器段的反馈信号GFB_IN作为反馈位；根据Galois 反馈配置寄存器G 0, G 1, " , G 127确定反馈位是否与寄存器段本体Q 0, Q 1, " , Q 127做逐位异或运算；若LINK_BW有效，则将上述反馈位作为反馈信号GFB_OUT送入后向寄存器段，并使用来自后向寄存器段的移位输入信号SHIFT_IN输入至寄存器段的输入端；如果LINK_BW无效，则将上述反馈位反馈至寄存器段

173

的输入端。 2.4 寄存器链

将后向寄存器段的SHIFT_OUT链接至前向寄存器段的SHIFT_IN，将前向寄存器段的FFB_OUT和GFB_OUT链接至后向寄存器段的FFB_IN和GFB_IN，则构成了寄存器链结构，如图5所示。

XC5VLX30 FPGA器件综合[6]后，经过时序仿真和验证，功能和性能符合设计要求。具体参数为：时延4.808 ns，LUT 数量为2 279个，触发器数量为1 575个。

4 结语

根据芯片设计对功能、性能、面积等方面的要求，提出了一种反馈类型可选择、反馈抽头可选、长度可配置和扩展的线性反馈移位寄存器的设计方法。在Xilinx XC5VLX30器件上做了实现，频率高、面积小，能够良好支持伪随机序列生成。

参考文献

图5 由寄存器段组成的寄存器链结构

理论上，可以采用这种方法对寄存器链进行无限延长，但由于Fibonacci 和Galois 反馈信号的延时存在累积，而且512位以上的线性反馈移位寄存器很少使用，所以寄存器链不宜太长。

[1] 谯通旭，张文政，祝世雄.计算几类周期序列的最小周期[J].信息安

全与通信保密,2009(08):211-213.

[2] 刘依依.ESTREAM和流密码分析现状[J].信息安全与通信保

密,2009(12):87-89.

[3] 杨波.现代密码学[M].北京:清华大学出版社,2003.

[4] MARCOVITZ A B.逻辑设计基础[M].北京:清华大学出版社,2006. [5] THOMAS D E, MOORBY P R.硬件描述语言Verilog[M].北京:清华大

学出版社,2001.

3 设计结果

采用了128位段长和4个寄存器段构成的寄存器链的参数配置，用VerilogHDL 对电路进行了描述，采用Xilinx

[5]

[6] 贝斯.数字信号处理的FPGA 实现[M].北京:清华大学出版社,2002.

（上接第171页）

那么会不会出现o a e a f b =o a mod i a (a ≠b ) 的情况呢？答案是不会出现这种情况。

假设o a e a f b =o a mod i a (a ≠b ) ，则o a e a f b −1=1mod i a ⋅

与可追踪性的不足，提出了一种改进方法，该方法既能使签名合成人员知道全体签名成员的身份，但又不知道每一份签名具体由谁发出，只有在仲裁机构的反馈下，才能准确定位违规签名者，也即达到了兼顾匿名性与可追踪性的目标。改

(a ≠b ) ；

所以e a ⋅f b =1+r 1⋅(i a −1) ；

又e a ⋅f a =1+r ⋅(i a −1) ，所以e a ⋅(f a −f b ) =(r −r 1) ⋅ (i a −1) ；

进方案没有对原方案进行大的改动，确保了原方案的安全性。

参考文献

[1] 肖龙,华云,王雁涛.一种基于环Zn 上圆锥曲线的新型数字签名方

案[J].通信技术,2008,41(01):127-128.

[2] DESMEDT Y, FRANKEL Y. Shared Generation of Authenticators and

Signatures[C]//In Proc. of CRYPTO’91.Berlin:Springer-Verlag, 1992:457-469.

[3] 刘敏,简艳英.对一种门限代理签名方案的研究[J].通信技术,

2008,41(05):140-141.

[4] LI C M, TZONELIH H, LEE N Y. Threshold-multisignature Schemes

Where Suspected Forgery Implies Traceability of Adversarial Shareholders[C]//In Proc. of Eurocrypt’94.Berlin: Springer- Verlag, 1995:194-204.

[5] 王贵林,王明生,季庆光,等.LHL门限群签名方案的安全缺陷[J].计

算机学报, 2001, 24(9): 897-902

[6] WANG G L, QING S H. The Weaknesses of Some Threshold Group

Signature Schemes[J].Journal of Software,2000,11(10): 1326-1332.

[7] SPILLMAN R.经典密码学与现代密码学[M].叶阮健, 曹英, 张长富译.

北京:清华大学出版社,2005:169.

因为e a 、(f a −f b ) 都小于(i a −1) ，且e a 与(i a −1) 互质，所以e a ⋅(f a −f b ) 想要被(i a −1) 整除，e a 、(f a −f b ) 之中必须要有一个为0，而e a 不等于0，所以(f a −f b ) =0，即f a =f b

而当DC 收到e a 后，可以先验证o a =x a e a mod(i a −1) 是否成立，接着计算v a =o a 历v a 。

如果v a d a =o a mod l a ，那么该d a 就是违规签名的生成者，至此，提出的方法实现了匿名性与可追踪性。

e a

mod l a ，然后用手中的d a 遍

4 结语

根据文献[5]中的一种合谋攻击方法，分析了LHL 门限签名方案的安全性，论述了该门限方案执行过程中两次签名验证步骤的不同作用，发现在LHL 方案中通过伪造签名实施攻击无法通过部分签名的验证，因此，LHL 方案对文献[5]中的合谋攻击来说是安全的。同时，针对原LHL 方案不能兼顾匿名性174