CN109064170B - 无可信中心的群签名方法 - Google Patents

Abstract

本发明公开了一种无可信中心的群签名方法，用于解决现有群签名方法效率低的技术问题。技术方案是在密钥生成阶段，t个人选取自己的子私钥，计算并公开自己的子公钥以及签名公钥。在签名阶段，t个人分别利用自己的子私钥计算自己的签名，然后将自己的签名发送给签名合成者去合成。签名合成者收到每个人生成的签名后，利用每个人的子公钥验证签名是否有效，如果每个人的签名都有效，则合成签名，如果有人的签名无效，则通知t个人签名失败并退出签名过程。本发明采用椭圆曲线点乘运算，提高了效率。由于签名由多个人分布式计算生成，签名过程不需要合成私钥，防止私钥泄露；由于与比特币***的ECDSA签名兼容，也能被比特币签名验证通过。

Description

无可信中心的群签名方法

技术领域

本发明属于密码技术领域，特别是涉及一种无可信中心的群签名方法。

背景技术

文献“Goldfeder S,Gennaro R,Kalodner H,et al.Securing Bitcoin walletsvia a new DSA/ECDSA threshold signature scheme.2015.”中提出了一种适用于比特币钱包的ECDSA门限签名方法。该方法基于椭圆曲线密码体制，通过利用Paillier提出的基于模幂运算的同态加密方法结合零知识证明技术实现了对比特币钱包的无可信中心群签名功能。在该方法中，t个人传递同态加密密文，之后每个人利用自己的份额对其进行计算，并构建零知识证明，随后生成一个对t个人签名的加密密文，最后t个人进行合作解出签名。该方法实现了对比特币钱包的分布式签名功能，即签名必须由t个人进行，如果少于t个人，则不能生成合法的签名，从而提高了比特币交易的安全性。但是，该方法计算步骤中存在零知识证明，零知识证明需要双方的交互，这是一个比较耗时的操作；并且该方法的主要运算为模幂运算。通过分析可知，该方法共有5t-4个模幂运算，而一个模幂运算的时间约为240T_m，整个方法的运行时间约为(5t-4)*240T_m+T_Z＝(1200t-960)T_m+T_Z，其中T_m表示一个模乘运算所需要的时间，*表示乘法操作，T_Z表示零知识证明交互所需要的时间。可以看出，零知识证明和模幂运算的应用导致该方法的计算效率比较低。

发明内容

为了克服现有群签名方法效率低的不足，本发明提供一种无可信中心的群签名方法。该方法在密钥生成阶段，t个人选取自己的子私钥，计算并公开自己的子公钥以及签名公钥。在签名阶段，t个人分别利用自己的子私钥计算自己的签名，然后将自己的签名发送给签名合成者去合成。签名合成者收到每个人生成的签名后，利用每个人的子公钥验证签名是否有效，如果每个人的签名都有效，则合成签名，如果有人的签名无效，则通知t个人签名失败并退出签名过程。本发明没有使用零知识证明这一比较耗时的操作，也没有使用同态加密方法，是基于椭圆曲线点乘进行设计的。一个椭圆曲线点乘运算的时间约为29T_m，和模幂运算相比，椭圆曲线点乘效率是比较高的。因此，与背景技术方法相比，本发明采用椭圆曲线点乘运算并且没有零知识证明，效率得到很大的提升。本发明实现签名由多个人分布式计算生成，签名过程不需要合成私钥，防止私钥的泄露；本发明与比特币***中的ECDSA签名是兼容的，能被比特币签名验证通过。

本发明解决其技术问题所采用的技术方案是：一种无可信中心的群签名方法，其特点是包括以下步骤：

步骤一、每一个签名参与者ID_i选取d_i∈{1,2,...,n-1}作为自己的子私钥，按照下式，计算自己的子公钥Q_i并对子公钥Q_i进行公开，i＝1,2,...,t；

Q_i＝d_iG

其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i表示第i个签名参与者ID_i的子公钥，t为正整数，表示签名参与者ID_i的数目，G表示椭圆曲线上一个阶为n的基点；

步骤二、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：

其中，Q表示签名公钥，∑表示求和操作；

步骤三、每一个签名参与者ID_i选择秘密随机数k_i，并把k_i安全地广播给除自己之外的其他t-1个签名参与者ID_j，j＝1,2,...,t，j≠i；

其中，k_i表示第i个签名参与者ID_i选取的随机数；

步骤四、每一个签名参与者ID_i收到t-1个随机数后，计算签名随机数

和验证参数R＝(x_R,y_R)＝kG；

其中，k表示t个签名参与者ID_i共同协商出的签名随机数，R表示验证参数，x_R表示验证参数R的横坐标，y_R表示验证参数R的纵坐标，n表示椭圆曲线基点G的阶，mod表示求模操作；

步骤五、按照下式，每一个签名参与者ID_i计算第一部分签名r，如果r＝0，则返回步骤三，如果r≠0，则继续执行下面的步骤：

r＝x_Rmod n

其中，r表示第一部分签名；

步骤六、每一个签名参与者ID_i计算消息M的哈希值H＝hash(M)，并按照数据类型转换规则，将H转化为一个整数e，之后计算自己的部分签名s_i＝k^-1(t^-1e+rd_i)mod n。如果s_i＝0，则返回步骤三，如果s_i≠0，则继续执行下面的步骤；

其中，M表示消息，H表示消息M的哈希值，hash表示密码哈希算法，e表示哈希值H转换后的整数值，s_i表示第i个签名参与者ID_i所计算的部分签名，k^-1表示t个签名参与者ID_i共同协商出的签名随机数k在模n下的乘法逆元，t^-1表示签名参与者ID_i的数目t在模n下的乘法逆元；

步骤七、每一个签名参与者ID_i通过安全信道将自己的签名(r,s_i)发送给签名合成者；

其中，(r,s_i)表示第i个签名参与者ID_i的签名，由第一部分签名r和第i个签名参与者ID_i所计算的部分签名s_i两部分构成；

步骤八、签名合成者收到每个签名(r,s_i)后，对每个签名(r,s_i)计算第一个签名验证参数u_i1＝t^-1es_i ^-1mod n，计算第二个签名验证参数u_i2＝rs_i ^-1mod n和验证参数R_i′＝(x_iR′,y_iR′)＝u_i1G+u_i2Q_i，并判断验证参数R_i′是否为零点。如果R_i′是零点，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程，如果R_i′不是零点，则计算签名参数r_i＝x_iR′mod n，并验证等式r_i＝r是否成立。如果等式成立，则签名(r,s_i)验证成功，如果等式不成立，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程。如果每个签名参与者ID_i的签名(r,s_i)均验证成功，则继续执行下面的步骤，如果有的签名参与者ID_i的签名验证失败，则通知每一个签名参与者ID_i签名失败并退出签名过程，其中i＝1,2,...,t；

其中，u_i1表示第i个签名(r,s_i)的第一个签名验证参数，u_i2表示第i个签名(r,s_i)的第二个签名验证参数，R_i′表示签名合成者计算的第i个签名(r,s_i)的验证参数，x_iR′表示签名合成者计算的第i个签名验证参数R_i′的横坐标，y_iR′表示签名合成者计算的第i个签名验证参数R_i′的纵坐标；r_i表示签名合成者计算的第i个签名参与者ID_i的签名参数；

步骤九、按照下式，签名合成者计算第二部分签名s，合成签名(r,s)并退出签名过程：

其中，s表示签名合成者计算的第二部分签名，(r,s)表示签名合成者合成的签名。

本发明的有益效果是：该方法在密钥生成阶段，t个人选取自己的子私钥，计算并公开自己的子公钥以及签名公钥。在签名阶段，t个人分别利用自己的子私钥计算自己的签名，然后将自己的签名发送给签名合成者去合成。签名合成者收到每个人生成的签名后，利用每个人的子公钥验证签名是否有效，如果每个人的签名都有效，则合成签名，如果有人的签名无效，则通知t个人签名失败并退出签名过程。本发明没有使用零知识证明这一比较耗时的操作，也没有使用同态加密方法，是基于椭圆曲线点乘进行设计的。一个椭圆曲线点乘运算的时间约为29T_m，和模幂运算相比，椭圆曲线点乘效率是比较高的。因此，与背景技术方法相比，本发明采用椭圆曲线点乘运算并且没有零知识证明，没有采用模幂运算。通过分析可知，本发明共有4t个椭圆曲线点乘运算，整个方法的运行时间约为4t*29T_m＝116tT_m，其中，T_m表示一个模乘运算所需要的时间，*表示乘法操作。而背景技术中整个方法的运行时间约为(1200t-960)T_m+T_Z，其中，T_Z表示零知识证明交互所需要的时间。通过比较可以看出，本发明方法的效率得到很大的提升。本发明实现签名由多个人分布式计算生成，签名过程不需要合成私钥，防止私钥的泄露；本发明与比特币***中的ECDSA签名是兼容的，能被比特币签名验证通过。

下面结合附图和具体实施方式对本发明作详细说明。

附图说明

图1是本发明无可信中心的群签名方法的流程图。

具体实施方式

名词解释：

T：椭圆曲线secp256k1的参数；

p：生成有限域F_p的大素数，其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F＝2²⁵⁶-2³²-2⁹-2⁸-2⁷-2⁶-2⁴-1；

a,b：椭圆方程的参数，a＝0，b＝7；

G：椭圆曲线上一个阶为n的一个基点，其值为0479BE667EF9DCBBAC5

5A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8；

n：椭圆曲线基点G的阶，其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141；

h：余因数，控制选取点的密度，其值为01；

ID_i：第i个签名参与者，i＝1,2,...,t；

t：正整数，表示签名参与者ID_i的数目；

t^-1：签名参与者ID_i的数目t在模n下的乘法逆元；

d_i：第i个签名参与者ID_i的子私钥，i＝1,2,...,t；

Q_i：第i个签名参与者ID_i的子公钥，i＝1,2,...,t；

Q：签名公钥；

Σ：求和操作，例如

k_i：第i个签名参与者ID_i选取的随机数，i＝1,2,...,t；

k：t个签名参与者ID_i共同协商出的签名随机数；

k^-1：t个签名参与者ID_i共同协商出的签名随机数k在模n下的乘法逆元；

hash：密码哈希算法；

R：验证参数；

R_i′：签名合成者计算的第i个签名(r,s_i)的验证参数，i＝1,2,...,t；

x_R：验证参数R的横坐标；

y_R：验证参数R的纵坐标；

x_iR′：签名合成者计算的第i个签名验证参数R_i′的横坐标，i＝1,2,...,t；

y_iR′：签名合成者计算的第i个签名验证参数R_i′的纵坐标，i＝1,2,...,t；

mod：求模操作，例如7mod4＝3；

r：第一部分签名；

r_i：签名合成者计算的第i个签名参与者ID_i的签名参数，i＝1,2,...,t；

v：签名验证者计算的第一部分签名；

M：消息；

H：消息M的哈希值；

e：哈希值H转换后的整数值；

s_i：第i个签名参与者ID_i所计算的部分签名，i＝1,2,...,t；

s：签名合成者计算的第二部分签名；

(r,s_i)：第i个签名参与者ID_i的签名，i＝1,2,...,t；

(r,s)：签名合成者合成的签名；

u_i1：第i个签名(r,s_i)的第一个签名验证参数，i＝1,2,...,t；

u₁：签名(r,s)的第一个签名验证参数；

u_i2：第i个签名(r,s_i)的第二个签名验证参数，i＝1,2,...,t；

u₂：签名(r,s)的第二个签名验证参数；

T_m：一个模乘运算所需要的时间；

*：乘法操作；

T_Z：零知识证明交互所需要的时间。

本发明无可信中心的群签名方法具体步骤如下：

***确定***参数：这是具体实施之前的准备工作。

选取椭圆曲线secp256k1，确定参数T＝(p,a,b,G,n,h)，其中，T表示椭圆曲线secp256k1的参数，p表示生成有限域F_p的大素数,p＝FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F＝2²⁵⁶-2³²-2⁹-2⁸-2⁷-2⁶-2⁴-1，a,b表示椭圆方程的参数，a＝0，b＝7，G表示椭圆曲线上一个阶为n的基点，G＝0479BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8，n表示椭圆曲线基点G的阶，n＝FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141，h表示余因数，控制选取点的密度，h＝01。

步骤一、每一个签名参与者ID_i选取d_i∈{1,2,...,n-1}作为自己的子私钥，按照下式，计算自己的子公钥Q_i并对子公钥Q_i进行公开，i＝1,2,...,t；

Q_i＝d_iG

其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i表示第i个签名参与者ID_i的子公钥，t为正整数，表示签名参与者ID_i的数目，G表示椭圆曲线上一个阶为n的基点；

步骤二、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：

其中，Q表示签名公钥，Σ表示求和操作；

步骤三、每一个签名参与者ID_i选择秘密随机数k_i，并把k_i安全地广播给除自己之外的其他t-1个签名参与者ID_j，j＝1,2,...,t，j≠i；

其中，k_i表示第i个签名参与者ID_i选取的随机数；

步骤四、每一个签名参与者ID_i收到t-1个随机数后，计算出签名随机数

和验证参数R＝(x_R,y_R)＝kG；

其中，k表示t个签名参与者ID_i共同协商出的签名随机数，R表示验证参数，x_R表示验证参数R的横坐标，y_R表示验证参数R的纵坐标，n表示椭圆曲线基点G的阶，mod表示求模操作；

步骤五、按照下式，每一个签名参与者ID_i计算第一部分签名r，如果r＝0，则返回步骤三，如果r≠0，则继续执行下面步骤：

r＝x_Rmod n

其中，r表示第一部分签名；

步骤六、每一个签名参与者ID_i计算消息M的哈希值H＝hash(M)，并按照数据类型转换规则，将H转化为一个整数e，之后计算自己的部分签名s_i＝k^-1(t^-1e+rd_i)mod n。如果s_i＝0，则返回步骤三，如果s_i≠0，则继续执行下面步骤；

其中，M表示消息，H表示消息M的哈希值，hash表示密码哈希算法，e表示哈希值H转换后的整数值，s_i表示第i个签名参与者ID_i所计算的部分签名，k^-1表示t个签名参与者ID_i共同协商出的签名随机数k在模n下的乘法逆元，t^-1表示签名参与者ID_i的数目t在模n下的乘法逆元；

步骤七、每一个签名参与者ID_i通过安全信道将自己的签名(r,s_i)发送给签名合成者；

其中，(r,s_i)表示第i个签名参与者ID_i的签名，由第一部分签名r和第i个签名参与者ID_i所计算的部分签名s_i两部分构成，签名合成者不被包含在签名参与者ID_i之内；

步骤八、签名合成者收到每个签名(r,s_i)后，对每个签名(r,s_i)计算第一个签名验证参数u_i1＝t^-1es_i ^-1mod n，计算第二个签名验证参数u_i2＝rs_i ^-1mod n和验证参数R_i′＝(x_iR′,y_iR′)＝u_i1G+u_i2Q_i，并判断验证参数R_i′是否为零点。如果R_i′是零点，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程，如果R_i′不是零点，则计算签名参数r_i＝x_iR′mod n，并验证等式r_i＝r是否成立。如果等式成立，则签名(r,s_i)验证成功，如果等式不成立，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程。如果每个签名参与者ID_i的签名(r,s_i)均验证成功，则继续执行下面的步骤，如果有的签名参与者ID_i的签名验证失败，则通知每一个签名参与者ID_i签名失败并退出签名过程，其中i＝1,2,...,t；

其中，u_i1表示第i个签名(r,s_i)的第一个签名验证参数，u_i2表示第i个签名(r,s_i)的第二个签名验证参数，R_i′表示签名合成者计算的第i个签名(r,s_i)的验证参数，x_iR′表示签名合成者计算的第i个签名验证参数R_i′的横坐标，y_iR′表示签名合成者计算的第i个签名验证参数R_i′的纵坐标；r_i表示签名合成者计算的第i个签名参与者ID_i的签名参数；

步骤九、按照下式，签名合成者计算第二部分签名s，合成签名(r,s)并退出签名过程：

其中，s表示签名合成者计算的第二部分签名，(r,s)表示签名合成者合成的签名。

具体实施已经叙述完毕，其签名验证过程与比特币的签名验证过程相同，这不是本发明的内容。但为保证实施的完整性，这里给出签名验证过程，如下所示：

签名验证成者收到签名(r,s)后，计算消息M的哈希值H＝hash(M)，并按照数据类型转换规则，将H转化为一个整数e。之后，计算第一个签名验证参数u₁＝es_i ^-1mod n，计算第二个签名验证参数u₂＝rs^-1mod n，计算验证参数R＝(x_R,y_R)＝u₁G+u₂Q，并判断R是否为零点，如果R是零点，则签名无效并退出签名验证过程，如果R不是零点，则计算v＝x_Rmod n，并验证等式v＝r是否成立。如果等式成立，则签名有效并退出签名验证过程，如果等式不成立，则签名无效并退出签名验证过程；

其中，u₁表示签名(r,s)的第一个签名验证参数，u₂表示签名(r,s)的第二个签名验证参数，v表示签名验证者计算的第一部分签名。

Claims (1)

1.一种无可信中心的群签名方法，其特征在于包括以下步骤：

步骤一、每一个签名参与者ID_i选取d_i∈{1,2,...,n-1}作为自己的子私钥，按照下式，计算自己的子公钥Q_i并对子公钥Q_i进行公开，i＝1,2,...,t；

Q_i＝d_iG

其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i表示第i个签名参与者ID_i的子公钥，t为正整数，表示签名参与者ID_i的数目，G表示椭圆曲线上一个阶为n的基点；

步骤二、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：

其中，Q表示签名公钥，∑表示求和操作；

步骤三、每一个签名参与者ID_i选择秘密随机数k_i，并把k_i安全地广播给除自己之外的其他t-1个签名参与者ID_j，j＝1,2,...,t，j≠i；

其中，k_i表示第i个签名参与者ID_i选取的随机数；

步骤四、每一个签名参与者ID_i收到t-1个随机数后，计算签名随机数

和验证参数R＝(x_R,y_R)＝kG；

其中，k表示t个签名参与者ID_i共同协商出的签名随机数，R表示验证参数，x_R表示验证参数R的横坐标，y_R表示验证参数R的纵坐标，n表示椭圆曲线基点G的阶，mod表示求模操作；

步骤五、按照下式，每一个签名参与者ID_i计算第一部分签名r，如果r＝0，则返回步骤三，如果r≠0，则继续执行下面的步骤：

r＝x_Rmodn

其中，r表示第一部分签名；

步骤六、每一个签名参与者ID_i计算消息M的哈希值H＝hash(M)，并按照数据类型转换规则，将H转化为一个整数e，之后计算自己的部分签名s_i＝k^-1(t^-1e+rd_i)modn；如果s_i＝0，则返回步骤三，如果s_i≠0，则继续执行下面的步骤；

其中，M表示消息，H表示消息M的哈希值，hash表示密码哈希算法，e表示哈希值H转换后的整数值，s_i表示第i个签名参与者ID_i所计算的部分签名，k^-1表示t个签名参与者ID_i共同协商出的签名随机数k在模n下的乘法逆元，t^-1表示签名参与者ID_i的数目t在模n下的乘法逆元；

步骤七、每一个签名参与者ID_i通过安全信道将自己的签名(r,s_i)发送给签名合成者；

其中，(r,s_i)表示第i个签名参与者ID_i的签名，由第一部分签名r和第i个签名参与者ID_i所计算的部分签名s_i两部分构成；

步骤八、签名合成者收到每个签名(r,s_i)后，对每个签名(r,s_i)计算第一个签名验证参数u_i1＝t^-1es_i ^-1modn，计算第二个签名验证参数u_i2＝rs_i ^-1modn和验证参数R_i′＝(x_iR′,y_iR′)＝u_i1G+u_i2Q_i，并判断验证参数R_i′是否为零点；如果R_i′是零点，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程，如果R_i′不是零点，则计算签名参数r_i＝x_iR′modn，并验证等式r_i＝r是否成立；如果等式成立，则签名(r,s_i)验证成功，如果等式不成立，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程；如果每个签名参与者ID_i的签名(r,s_i)均验证成功，则继续执行下面的步骤，如果有的签名参与者ID_i的签名验证失败，则通知每一个签名参与者ID_i签名失败并退出签名过程，其中i＝1,2,...,t；

其中，u_i1表示第i个签名(r,s_i)的第一个签名验证参数，u_i2表示第i个签名(r,s_i)的第二个签名验证参数，R_i′表示签名合成者计算的第i个签名(r,s_i)的验证参数，x_iR′表示签名合成者计算的第i个签名验证参数R_i′的横坐标，y_iR′表示签名合成者计算的第i个签名验证参数R_i′的纵坐标；r_i表示签名合成者计算的第i个签名参与者ID_i的签名参数；

步骤九、按照下式，签名合成者计算第二部分签名s，合成签名(r,s)并退出签名过程：

其中，s表示签名合成者计算的第二部分签名，(r,s)表示签名合成者合成的签名。

Images