使用具有温特尼茨单次签名的ECDSA的方法

摘要

本发明涉及使用具有温特尼茨单次签名的ECDSA的方法。提供认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨密钥对。给每个所述信息指定序列号。每个所述序列号配合地识别出被指定给每个所述信息的温特尼茨验证器的次序。使用数字签名算法私有密钥给所述信息链中的第一信息标记签名。使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名。向接收器广播来自发送器的被签名信息。通过验证所述数字签名算法签名在所述接收器处认证被签名广播的所述第一信息。通过仅验证所述温特尼茨签名在所述接收器处认证所述后续被签名广播信息中的至少一些。

说明书

技术领域

本实施例总体上涉及车辆-实体通信中的广播认证方案。

背景技术

数字签名被用于当通过被公众共享的通信介质（例如通过空气、无线通信通道）通信时认证广播信息。本技术领域中已知存在多种广播认证方案，不过每种方案均具有针对相应通信特性的不足（例如不稳健/鲁棒（robust））。对于许多通信方案的取舍是在通信效率、认证的计算次数或者对于信息攻击的易受度之间进行的。需要鲁棒性的特性包括延迟验证、数据包丢失、计算DoS攻击、否认性和机动性。因此，非常需要对于这里描述的每种特性均具有鲁棒性的广播方案。

发明内容

实施例的优点在于，在广播被数字签名的信息期间通常存在的融合广播认证方案相对于各特性而言均是鲁棒的。两个广播认证方案的融合相配合地克服了每个单独广播方案的不足且同时保持了每个特性的鲁棒性。

实施例设想了认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨（Winternitz）密钥对。序列号被指定给每个信息。每个序列号配合地识别出被指定给每个信息的温特尼茨验证器的次序。使用数字签名算法私有密钥来给信息链中的第一信息标记签名。使用温特尼茨私有密钥以及数字签名算法私有密钥二者来给信息链中的每个后续信息标记签名。被签名信息从发送器/发送者广播给接收器/接收者。在接收器处通过验证数字签名算法签名来认证被签名广播的第一信息。在接收器处通过仅验证温特尼茨签名来认证至少一些后续被签名广播信息。

实施例设想了认证数字签名信息的方法。生成第一信息。生成第一组温特尼茨密钥。验证器被连接于第一信息。第一序列号被指定给信息和验证器。使用数字签名算法私有密钥来标记信息。第一信息被广播给远程实体。生成第二信息。生成第二组温特尼茨密钥。第二验证器被连接于第二信息。第二序列号被指定给第二信息和第二验证器。使用第一温特尼茨私有密钥和数字签名算法私有密钥来标记第二信息。传输带有温特尼茨签名和数字签名算法签名的第二数字信息。第一信息被接收。使用数字签名算法签名来验证第一信息。响应获得第一信息的被顺序识别的验证器仅使用温特尼茨签名来验证第二信息。

本发明还提供了以下技术方案。

方案1. 一种认证被数字签名的信息的方法，该方法包括步骤：

生成信息链；

针对每个相应信息生成温特尼茨密钥对；

给每个所述信息指定序列号，每个所述序列号配合地识别被指定给每个所述信息的温特尼茨验证器的次序；

使用数字签名算法私有密钥给所述信息链中的第一信息标记签名；

使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名；

向接收器广播来自发送器的被签名信息；

通过验证所述数字签名算法签名在所述接收器处认证被签名广播的第一信息；以及

通过仅验证所述温特尼茨签名在所述接收器处认证被签名广播的后续信息中的至少一些。

方案2. 如方案1所述的方法，其中如果恰在当前接收的信息之前的被接收信息的温特尼茨验证器遵循验证器的序列次序，则仅使用所述温特尼茨签名来认证由所述发送器广播的所述信息链中的所述当前接收的信息。

方案3. 如方案2所述的方法，其中如果恰在当前信息之前的被接收信息的温特尼茨验证器没有遵循验证器的序列次序，则仅使用所述数字签名算法签名来认证由所述发送器广播的所述信息链中的相应信息。

方案4. 如方案2所述的方法，其中如果通过所述信息链中的所述温特尼茨验证器的序列次序确定广播信息丢失，则使用所述数字签名算法签名来认证跟随在丢失的广播信息之后的当前信息，并且其中仅使用每个信息的温特尼茨签名来验证相继地跟随在所述当前信息之后的剩余信息链。

方案5. 如方案1所述的方法，其中所述温特尼茨签名是温特尼茨单次签名，其中相应一组密钥被用于生成并标记仅一个信息。

方案6. 如方案1所述的方法，其中如果由所述接收器接收的所述信息链的序列次序没有被保持，则所述数字签名算法签名被用于验证当前接收的信息。

方案7. 如方案1所述的方法，其中所述数字签名算法包括椭圆数字签名算法。

方案8. 如方案1所述的方法，其中所述数字签名算法包括RSA密码学。

方案9. 如方案1所述的方法，其中所述数字签名算法包括具有基本相同于ECDSA特性的签名算法。

方案10. 一种认证被数字签名的信息的方法，包括步骤：

生成第一信息；

生成第一组温特尼茨密钥；

将验证器连接于所述第一信息；

将第一序列号指定到所述信息和验证器；

使用数字签名算法私有密钥标记所述信息；

将所述第一信息广播给远程实体；

生成第二信息；

生成第二组温特尼茨密钥；

将第二验证器连接于所述第二信息；

将第二序列号指定到所述第二信息和第二验证器；

使用第一温特尼茨私有密钥和所述数字签名算法私有密钥标记所述第二信息；

传播带有所述温特尼茨签名和所述数字签名算法签名的第二数字信息；

接收所述第一信息；

使用所述数字签名算法签名来验证所述第一信息；以及

响应获得所述第一信息的被顺序识别的验证器仅使用所述温特尼茨签名来验证所述第二信息。

方案11. 如方案9所述的方法，其中产生下一信息并且使用下一温特尼茨私有密钥和所述数字签名算法私有密钥来标记该下一信息，其中使用所述下一温特尼茨签名和所述数字签名算法签名二者来广播下一连续信息，并且其中如果远程实体获得第二信息的被顺序识别的验证器，则仅使用所述下一温特尼茨签名来验证所述下一信息。

方案12. 如方案9所述的方法，其中响应所述接收实体没有接收到所述第二信息的被顺序识别的验证器，使用数字签名算法签名来认证下一连续信息。

方案13. 如方案10所述的方法，其中如果来自前一信息的相关被顺序排序的验证器被所述接收实体接收，则仅使用相应温特尼茨签名来认证每个后续信息。

方案14. 如方案11所述的方法，其中当所述验证器的不合适序列存在于前一接收的信息和当前信息之间时，该当前信息的相应数字签名算法签名被用于认证所述当前信息。

方案15. 如方案9所述的方法，其中序列号被指定给验证器和信息二者以用于识别出广播信息链中的序列次序。

方案16. 如方案9所述的方法，其中所述一组温特尼茨密钥包括私有密钥和公共密钥，其中公共密钥被用作所述验证器。

方案17. 如方案9所述的方法，其中所述温特尼茨签名是温特尼茨单次签名，其中相应一组密钥被用于生成并标记仅一个信息。

方案18. 如方案9所述的方法，其中所述数字签名算法包括椭圆数字签名算法。

方案19. 如方案9所述的方法，其中所述数字签名算法包括RSA密码学。

方案20. 如方案9所述的方法，其中所述数字签名算法包括具有基本相同于ECDSA特性的签名算法。

附图说明

图1是ECDSA广播算法方案的鲁棒性/稳健性特性图。

图2是W-OTS广播算法方案的鲁棒性特性图。

图3是TESLA广播算法方案的鲁棒性特性图。

图4是TADS广播算法方案的鲁棒性特性图。

图5示出了链接信息和验证器的W-OTS广播方案。

图6示出了链接信息和验证器的W-OTS和ECDSA组合广播方案。

图7示出了链接信息和多个验证器的W-OTS和ECDSA组合广播方案。

图8示出了W-OTS广播算法方案和ECDSA广播算法方案的鲁棒性特性图。

图9是使用W-OTS和ECDSA组合广播方案链接信息和验证器的方法的流程图。

具体实施方式

诸如车辆-车辆（V2V）或车辆-实体通信系统的V2X通信系统依赖数字签名来确保从发送器（即，传播车辆或实体）到接收器（即，接收车辆或实体）的广播信息的真实性。数字签名方案是用于证明数字广播信息的真实性的数学方案。有效数字签名提供了对于信息担保的接收，该信息担保指被接收的广播信息是由已知发送器产生的。此外，有效数字签名还确保在信息传播期间不改变数字信息。数字签名制止了对于信息的篡改或伪造。伪造信息包括通过由不同于已知发送器的实体来生成信息，而篡改包括第三方截获信息并更改信息内容。

数字签名通常使用密码学形式。当使用公共领域中使用的通信网络时信息通常通过不安全的通信通道被传输。数字签名提供了接收确认，该接收确认指信息是由发送方发送且以未改变状态由接收方接收。

使用数字签名的广播认证方案有助于克服与在发送器和接收方之间的信息传输有关的公知问题。广播认证方案的鲁棒性受如下因素影响。

*非否认性（Non-repudiation）确保在声明其用于标记信息的私有密钥保持保密的情况下数字信息的签名者无法成功地声明签名者没有标记该信息。

*数据包丢失是在行经通信介质的一个或更多个数据包未能到达接收方的时候。

*计算拒绝服务（DoS）的复原性是阻止使得资源对于其预期使用者而言不可用的这一企图的能力。通常，实体试图执行DoS是由实体阻止服务、网站、服务器或验证器临时或无限期地有效运行的协同努力构成的。攻击的常见方法包括使用外部通信请求来饱和接收器或服务/网站/服务器/验证器，以使得试图响应的实体不能响应或响应很慢以致响应实体基本上不可用。总而言之，通过消耗资源使得接收方不再能够有效通信来实现DoS攻击。

*延迟的验证涉及信息验证。信息应该能够被立即验证。

*对机动性的支持涉及动态环境，例如车辆通信，其中接收器设定频繁地改变。为了支持标记结点的机动性以便其相邻者可以验证发送器标记的信息，签名者的公共密钥的数字证书需要被广播并且对于其接收广播信息的相邻者可用。

用于使用数字签名来认证信息的广播认证方案包括但不限于温特尼茨单次签名（one-time-signature，OTS）、数字签名算法（DSA）、椭圆曲线数字签名算法（ECDSA）、RSA（Rivest、Shamir、Adleman协议）以及时间效率流丢失认证（TESLA）。这里描述的所有广播方案相对于上述一些特性特征均是鲁棒的；不过，每个方案对于至少一种特征均一定程度上不太鲁棒或不鲁棒。

图1-4是上述广播认证方案及其对于各特性的鲁棒性的关联图。图1示出了ECDSA方案，图2示出了温特尼茨单次签名（W-OTS）方案，图3示出了TESLA方案，并且图4示出了TADS方案。深色线代表对于相应特性的鲁棒性。五边形的中心代表相应特性的鲁棒性的不足，而五边形的外周代表更大程度的鲁棒性。在中心和外周之间过渡的那些阶段代表增加的鲁棒性。应该理解，在各图中指出的鲁棒性的程度是示例性的并且仅用于提供对于各相应技术的不足或鲁棒性的大体指示。图1-4中示出的相应特性被标示为计算DoS的复原性12、立即验证14、数据包丢失的鲁棒性16、非否认性18以及对于机动性的支持20。

图1示出了相对于各特性的ECDSA认证方案。在ECDSA认证方案中，如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。ECDSA认证方案对于数据包丢失也是鲁棒的，因为一个数据包的丢失不会停止后续信息的验证过程。ECDSA认证方案为使用ECDSA认证方案成功验证的每个数据包提供非否认性。基于可信第三方的数字证书确保了这个特性。当签名者的公共密钥的数字证书被广播时ECDSA认证方案也提供对于机动性的支持。ECDSA不鲁棒时的唯一特性是计算DoS，特别是在资源受约束的系统中。当在具有有限计算能力的系统中执行操作时，ECDSA标记和验证的计算开销是非常高的。

图2示出了相对于各特性的温特尼茨单次签名（OTS）广播认证方案的鲁棒性的比较。温特尼茨（W-OTS）认证方案的安全性依赖于单向特性和所用散列函数的碰撞抵抗特性。W-OTS认证方案实现了信息的立即验证，因为如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。W-OTS认证方案具有抵抗计算DoS攻击的复原性。W-OTS的验证需要仅计算散列函数，相比于例如ECDSA的不对称密钥操作这占用了较少的计算时间。W-OTS认证方案可以成功地对每个数据包均实现非否认性。W-OTS使得能够在每个验证器上使用可信第三方的数字证书来实现非否认性。应该理解，W-OTS认证方案保证了非否认性，只要信息的轨迹被接收器提供给第三方。W-OTS认证方案支持机动性并且对于数据包丢失是不鲁棒的。如果W-OTS验证器被链接（其中前一验证器被用于验证下一验证器），则如果信息链中的一个信息没有被接收方接收到则该链断开。因此，在丢失的数据包之后接收的数据包由于缺失的验证器的原因而不能被验证。

这里描述的实施例利用两个方案构造来获得对于各特性的鲁棒性。两种方案构造的优选组合利用了W-OTS认证方案和ECDSA认证方案。应该理解，在可替代实施例中例如DSA或RSA或具有类似于ECDSA特性的任意其他数字签名算法的认证方案可以取代ECDSA。优选ECDSA是因为相比于可替代方案其具有更高的安全性水平和更小的密钥尺寸。

ECDSA是基于可以用于广播认证的公共密钥密码学的数字签名算法。在例如ECDSA的密码学中，每个用户U具有两个密钥：公共密钥K_UPub和私有密钥K_UPv。公共密钥K_UPub是公开的，而私有密钥K_UPv是保密的。为了数字标记一信息M，用户U必须首先使用散列函数H来计算M的简短表达式m=H（M）。随后，用户U进行签名生成操作来获得S_U=sgn（m, K_UPv）。对（M, S_U）是由U标记的信息M。能获取U的公共密钥的任意实体可以验证信息M上的U的签名的真实性。单个公共/私有密钥对可以被用于理论上标记无限数量的信息。注意到，仅用户U可以生成签名，因为仅用户U知道私有密钥。任何人均能够验证签名，因为公共密钥信息是可被公众获取的。因此，只要私有密钥保持私密，则这种设定可以被用于用户U传播的所有信息的广播认证。不过，应该理解，为了使得这种设定具有非否认特性，需要存在可信第三方来给用户U授予数字证书并且将用户U的身份和公共密钥K_UPub绑定在一起。可信第三方系统通常被称作公共密钥基础结构PKI。使用数字证书使得正确验证由U标记的信息-签名对的任意验证器能够在任意第三方面前证明信息确实是由用户U标记的。这里将不再讨论ECDSA广播算法的具体数学详情，不过应该理解，ECDSA是已知的广播认证方案并且实施例的优点在于其与W-OTS广播方案配合作用来克服两种认证方案的鲁棒性的不足。

前面描述的W-OTS广播算法依赖于单向特性和所用散列函数的碰撞抵抗特性。下述算法1、2和3分别示出了W-OTS密钥生成、签名生成和签名验证：

算法1-温特尼茨密钥对生成

输入：散列函数                                                ，，以及块参数k和n=2l/k。

输出：签名密钥S；验证密钥V。

1. 选择n和k以便2L=n*k，

2. 随机均匀地选择s₀, s₁, ……, s_n,，即，选择长度L的n+1个随机变量，

3. 设定S=s₀, s₁, ……, s_n，

4. 计算，

5. 计算，

6. 计算，其中表示连接，

7. 私有密钥：=S，公共密钥：=V

8. 返回（S, V）

算法2-温特尼茨签名生成

输入：散列函数，，以及块参数k和n=2l/k，信息M，签名密钥S。

输出：在M上的单次签名密钥，验证密钥V。

1. 由M计算G(M)

2. 以“n”断开G(M)，k-位（比特）字b₁, b₂, ……, b_n,

3. 设定S=s₀, s₁, ……, s_n,

4. 计算，

5. M的签名是，

返回。

算法3-温特尼茨签名验证

输入：散列函数，散列函数，以及块参数k和n=2l/k，信息M，签名，验证密钥V。

输出：如果签名有效则为真，否则为假。

1. 如算法2所示计算b₁, b₂, ……, b_n, b₀,

2. 标示被接收作为由构成的，

3. 计算，

4. 计算，

5. 计算，

6. 如果V’=V，则返回真，否则为假。

W-OTS广播认证方案使用两个密码学散列函数，即和，L是位/比特中所需的安全性水平，并且参数k指示出同时处理的比特数。因为初始散列化数据来标记信息需要碰撞抗性，并且剩余散列计算需要单向特性，因此为了匹配安全性水平，初始散列函数G的比特/位长度应该是散列函数H的两倍。这样做使得发送器发送无可否认信息所面对的困难等同于攻击者伪造信息签名对所面对的困难。实践中，可以仅使用函数G并且将输出删节成所需值。

图5示出了链接信息/验证器的W-OTS广播方案。如图5所示，第一验证器V₁被用于验证第二数据包。在序列中的每个后续数据包使用前一验证器来验证。如果数据包丢失从而使得序列丢失，则丢失的数据包将使得链断开，并且跟随丢失数据包的任意后续数据包将不能使用W-OTS认证方案来验证。

图6示出了W-OTS和ECDSA组合认证方案。初始使用W-OTS签名和ECDSA签名二者来标记每个信息。每个数据包包含相应信息M_x、一个W-OTS验证器V_x和涉及信息M_x和验证器V_x的W-OTS签名S(M_x,V_x)。每个W-OTS签名使用链中的前一验证器V_x-1被验证。

ECDSA签名可以被独立验证。ECDSA签名是简明的以便接收到第一信息的任意验证器能够验证涉及信息M_x和W-OTS验证器V_x的ECDSA签名。使用W-OTS签名来验证链中的后续信息。在数据包丢失从而断开序列链的情况下将使用ECDSA签名来验证下一信息。一旦使用ECDSA签名验证下一信息，则使用W-OTS签名来验证跟随由ECDSA签名认证的信息的后续信息。使用W-OTS认证方案对信息的验证将继续直到产生下一次数据包丢失，此时将使用ECDSA签名。融合方案继续用于所有后续签名。当链断开时利用ECDSA签名使得组合的认证方案对于数据包丢失而言是鲁棒的并且再次同步了链。

下面描述了构造的标记和验证步骤以及数据包格式。对于签名操作而言，参考图6，由信息M_x和W-OTS验证器V_x构成数据包，并且信息和验证器二者均使用W-OTS签名和ECDSA签名二者被标记。W-OTS签名被链中早期提交的W-OTS验证器验证。ECDSA签名被ECDSA公共密钥验证。

关于数据包格式，信息M_x由具有时间戳和序列号的实际装载/实际内容（actual payload）构成。信息M_x的格式如下：

M_x：P（实际装载）|T（时间戳）|i（序列号）

序列号i保持使用W-OTS验证器V_x的链中的次序。时间戳和序列号一起确保抵抗重播攻击（replay attack）。虽然组合的方案不需要第一信息M₁包含W-OTS签名（图6）来保持对于所有数据包的数据包长度相等，不过W-OTS签名的尺寸域/容量字段可以被插入。

为了验证签名，验证器使用下述步骤：

（1）验证由可信第三方授予的ECDSA公共密钥的数字证书。这个步骤认证了ECDSA公共密钥并且将所有者身份与ECDSA公共密钥绑定。

（2）验证来自任意发送器的具有在第一信息M₁和W-OTS验证器V₁上的合格ECDSA公共密钥的ECDSA签名。

（3）仅针对后续信息验证W-OTS签名。如果认证的验证器V_i可用，则之后第（i+1）个数据包的W-OTS签名认证信息M_i+1和W-OTS验证器V_i+1二者。

（4）如果有任何数据包丢失，则W-OTS链的连续性丢失，并且下一数据包必须使用ECDSA签名来验证。

上面公开的融合方案结合了ECDSA和W-OTS二者的优点从而克服了每个单独方案的不足。

图7示出了在相应数据包中传输多个验证器的实施例。例如在“n”验证器的情况下（其中n=2、3等），如果随后“n”数据包丢失，则第（n+1）个数据包将使用ECDSA来验证。

图8示出了W-OTS广播算法方案和ECDSA广播算法方案的鲁棒性特性图。这里提供了与特性相关的融合方案的鲁棒性。

关于延迟验证，因为W-OTS签名和ECDSA签名二者均可以被立即验证，并且在提出的方案中这些签名中的至少一者被验证，因此结合的方案不会存在延迟认证。

关于数据包丢失，结合的方案是鲁棒抵抗数据包丢失的。虽然W-OTS链在数据包丢失的情况下断开，不过使用ECDSA签名来执行后续验证，该ECDSA签名认证信息并再次认证W-OTS验证器。因此，数据包丢失不会终止对后续数据包的验证。

关于计算DoS攻击，结合的方案在少量信息丢失的环境下对计算DoS具有复原性，因为大多数数据包由计算上便宜的W-OTS签名来认证。对于作为ECDSA缺点的计算DoS攻击而言，使用W-OTS签名验证的每个信息均抵抗计算DoS攻击而具有复原性。因此，确保了对计算DoS攻击的复原性。具有时间戳和次序的每个数据包使得方案具有抵抗重播攻击的鲁棒性。

关于非否认性，结合的方案允许接收器向可信第三方证明发送器对于生成信息负责。这种方案提供了非否认性，只要由接收器向第三方提供了信息的轨迹。例如，如果接收器验证了第k个数据包的信息和W-OTS验证器上的ECDSA签名，之后向第三方证明第i个（i>k）数据包已经由发送器生成，则验证器必须存储从k开始的所有（i-k+1）个数据包。通过从可信第三方获得关于ECDSA公共密钥的数字证书能够获得非否认性特性。一旦公共密钥被用于标记W-OTS验证器并且这个相应的W-OTS验证器被用于验证使用W-OTS签名来标记的另一信息M_x，则使用M_x和S(M_x)的信息和签名对被绑定到ECDSA公共密钥并且因而被绑定到签名者身份。因此，确保了每个信息的非否认性特性。

关于机动性的支持，结合的方案支持动态接收器设定。一旦接收器已经验证了ECDSA公共密钥的数字证书，则落入发送器范围内的任意验证器就可以开始验证信息。这种特性特别适用于节点具有很高机动性且特定发送器的接收器设定频繁改变的车辆网络。签名者需要时不时传送其ECDSA公共密钥的数字证书，并且这种需求与真实的基于ECDSA的广播认证相同。

图9示出了利用融合广播认证方案来认证广播信息的具体流程图。如下所述的步骤30-34涉及信息生成、信息签名/标记以及传送。

在步骤30中，由发送器生成信息M₁。在步骤31中，生成一组温特尼茨私有和公共密钥。公共密钥或验证器被表示为V₁。私有密钥被表示为W₁。

在步骤32，M₁被连接于V₁。

在步骤33，使用ECDSA私有密钥来标记信息M₁。在步骤34，广播带有ECDSA签名的信息M₁。应该注意，W-OTS签名不用作第一信息的签名。

在步骤35，生成第二信息M₂。在步骤36，生成第二组温特尼茨密钥。公共密钥或验证器被表示为V₂。私有密钥被表示为W₂。

在步骤37，M₂被连接于V₂。

在步骤38，使用ECDSA私有密钥和温特尼茨私有密钥W₁来标记信息M₂。在步骤38，广播带有ECDSA签名和温特尼茨签名的信息M₂。

在步骤39，生成后续信息，并且使用私有ECDSA签名和通过如上所述的相继生成的私有密钥来生成的相应温特尼茨签名来签名所述后续信息。

如下所述的步骤40-44涉及接收信息并且认证信息的签名。

在步骤40，第一信息M₁被远程实体接收。在步骤41，使用ECDSA签名来验证第一信息M₁的签名。这个步骤认证了温特尼茨公共密钥V₁。

在步骤42，接收下一信息M₂。

在步骤43，确定是否存在由当前信息的序列编号所确定的前一温特尼茨验证器。也就是说，例程将相对于前一验证器的序列编号确定当前信息的序列编号。如果确定了当前接收的信息M₂相对于前一接收的验证器V₁处于序列次序中，则例程进行到步骤44，在此仅使用温特尼茨签名来认证信息。如果确定了信息相对于最后接收的验证器的序列次序没有遵从序列次序从而指示出发生了数据包丢失，则例程进行到步骤41，在此ECDSA被用于认证信息。

例程将继续接收信息，并且只要确定没有发生数据包丢失则将仅利用温特尼茨签名来验证来自发送器的当前接收的信息。如果已经发生数据包丢失，则ECDSA签名被用于认证信息。对于相应信息的ECDSA签名的验证认证了温特尼茨签名从而仅温特尼茨签名能够被用于认证信息直到发生下一次数据包丢失。

虽然已经具体描述了本发明的某些实施例，不过本发明涉及领域中的技术人员将会认识到用来实施如所附权利要求所定义的发明的各种可替代设计和实施例。