CN110061828A - 无可信中心的分布式数字签名方法 - Google Patents

Abstract

本发明公开了一种无可信中心的分布式数字签名方法，用于解决现有数字签名方法效率低的技术问题。技术方案是在密钥生成阶段，t个签名参与者依次选取自己的子私钥并秘密保存，通过与前一个公钥生成参数相乘计算自己对应的公钥生成参数，最终第t个签名参与者计算出公钥。在签名阶段，t个签名参与者依次利用自己持有的子私钥进行分布式签名，然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成，再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法，最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算，与背景技术方法的t·t_z次交互相比，提高了计算效率。

Description

无可信中心的分布式数字签名方法

技术领域

本发明涉及一种数字签名方法，特别涉及一种无可信中心的分布式数字签名方法。

背景技术

文献“Goldfeder S,Gennaro R,Kalodner H,et al.Securing Bitcoin walletsvia a new DSA/ECDSA threshold signature scheme.2015.”中提出了一种分布式门限签名方法，该方法利用的主要技术是paillier同态加密算法和零知识证明。该方法中，签名的私钥由t个人掌握，签名过程需要t个人参与完成，因此提高了签名私钥的安全性。然而，这个方法中使用了大量的零知识证明操作，零知识证明需要验证方与被验证方进行多次交互，交互次数的量级越高，被验证方的可信度越高，这是一个耗时操作，因此该方法的效率相对较低。在该方法中，完成一次签名需要进行t次零知识证明，假设进行一次零知识证明需要t_z次交互，那么完成所有的零知识证明就需要t·t_z次交互，交互的次数太多导致该方法并不适合在真实场景中应用。

发明内容

为了克服现有数字签名方法效率低的不足，本发明提供一种无可信中心的分布式数字签名方法。该方法在密钥生成阶段，t个签名参与者依次选取自己的子私钥并秘密保存，通过与前一个公钥生成参数相乘计算自己对应的公钥生成参数，最终第t个签名参与者计算出公钥。在签名阶段，t个签名参与者依次利用自己持有的子私钥进行分布式签名，然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成，再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法，每个签名参与者不需要利用零知识证明来保证签名的正确性，只需要由第一个签名参与者对签名进行验证就可以保证最终签名的正确性，最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算，与背景技术方法的t·t_z次交互相比，提高了计算效率。

本发明解决其技术问题所采用的技术方案：一种无可信中心的分布式数字签名方法，其特点是包括以下步骤：

步骤一、第一个签名参与者ID₁选取自己的子私钥d₁∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第一个公钥生成参数Q1，并将第一个公钥生成参数Q₁发送给第二个签名参与者ID₂：

Q₁＝d₁G

其中，ID₁表示第一个签名参与者，ID₂表示第二个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，Q₁表示第一个公钥生成参数，G表示椭圆曲线上一个阶为n的基点，n为正整数，表示基点G的阶；

步骤二、第i个签名参与者ID_i接收到第i-1个公钥生成参数Q_i-1后，选取自己的子私钥d_i∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第i个公钥生成参数Q_i，并将第i个公钥生成参数Q_i发送给第i+1个签名参与者ID_i+1，i∈{2,3,…,t-1}：

Q_i＝d_iQ_i-1

其中，ID_i表示第i个签名参与者，ID_i+1表示第i+1个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i-1表示第i-1个公钥生成参数，Q_i表示第i个公钥生成参数，t是一个正整数，表示签名参与者的个数；

步骤三、第t个签名参与者ID_t接收到第t-1个公钥生成参数Q_t-1后，选取自己的子私钥d_t∈{1,2,…,n-1}并秘密保存，然后按照下式，计算公钥Q，并将公钥Q广播给所有签名参与者：

Q＝d_tQ_t-1

其中，ID_t表示第t个签名参与者，Q_t-1表示第t-1个公钥生成参数，d_t表示第t个签名参与者ID_t的子私钥，Q表示公钥；

步骤四、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n-1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁∈{1,2,…,n-1}并重新计算自己的秘密值k₁在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k₁，然后执行下一步骤；

其中，k₁表示第一个签名参与者ID₁的秘密值，表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

步骤五、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：

R₁＝k₁G

其中，R₁表示第一个签名参数中间值；

步骤六、第i个签名参与者ID_i接收到第i-1个签名参数中间值R_i-1后，选取自己的秘密值k_i∈{1,2,…,n-1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i∈{1,2,…,n-1}并重新计算自己的秘密值k_i在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_i，然后执行下一步骤，i＝2,3,…,t-1；

其中，k_i表示第i个签名参与者ID_i的秘密值，表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

步骤七、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

R_i＝k_iR_i-1

其中，R_i表示第i个签名参数中间值，R_i-1表示第i-1个签名参数中间值；

步骤八、第t个签名参与者ID_t接收到第t-1个签名参数中间值R_t-1后，选取自己的秘密值k_t∈{1,2,…,n-1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t∈{1,2,…,n-1}并重新计算自己的秘密值k_t在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_t，然后执行下一步骤；

其中，k_t表示第t个签名参与者ID_t的秘密值，表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

步骤九、按照下式，第t个签名参与者ID_t计算签名参数R：

R＝k_tR_t-1＝(x_R,y_R)

然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者；

其中，R_t-1表示第t-1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，y_R表示签名参数R的纵坐标；

步骤十、第一个签名参与者ID₁接收到签名参数R后，按照下式，计算第一部分签名r：

r＝x_Rmod n

然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；

其中，r表示第一部分签名，mod表示求模运算；

步骤十一、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换成一个整数e；

H＝hash(M)

其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；

步骤十二、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；

其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；

步骤十三、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：

其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；

步骤十四、第i个签名参与者ID_i接收到第i-1个签名生成参数第一部分α_i-1和第i-1个签名生成参数第二部分β_i-1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i-1表示第i-1个签名生成参数第一部分，β_i-1表示第i-1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算；

步骤十五、第t个签名参与者ID_t接收到第t-1个签名生成参数第一部分α_t-1和第t-1个签名生成参数第二部分β_t-1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：

其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t-1表示第t-1个签名生成参数第一部分，β_t-1表示第t-1个签名生成参数第二部分；

步骤十六、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：

C＝α_t+Eβ_2t+1

其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文，+_E表示paillier同态加密算法下的加法同态运算；

步骤十七、按照下式，第一个签名参与者ID₁计算第二部分签名s：

s＝D_sk(C)mod n

其中，D_sk(.)表示paillier同态加密算法的解密运算；

步骤十八、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：

R′＝s^-1(eG+rQ)

其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^-1表示第二部分签名s在模n下的乘法逆元；

步骤十九、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′：

r′≡x_R′mod n

然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六；

其中，r′表示第一部分签名的验证参数，≡表示同余符号；

步骤二十、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；

其中，(r,s)表示最终生成的签名。

本发明的有益效果是：该方法在密钥生成阶段，t个签名参与者依次选取自己的子私钥并秘密保存，通过与前一个公钥生成参数相乘计算自己对应的公钥生成参数，最终第t个签名参与者计算出公钥。在签名阶段，t个签名参与者依次利用自己持有的子私钥进行分布式签名，然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成，再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法，每个签名参与者不需要利用零知识证明来保证签名的正确性，只需要由第一个签名参与者对签名进行验证就可以保证最终签名的正确性，最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算，与背景技术方法的t·t_z次交互相比，提高了计算效率。

另外，本发明实现了私钥的分布式生成与存储，私钥的生成不需要可信中心，私钥的安全性较高。

本发明利用分布式签名的方法，实现了私钥由多个人持有、签名由多个人生成的功能，并且在私钥生成和签名过程中都不需要显式地合成私钥，避免了私钥泄露所带来的风险。

下面结合附图和具体实施方式对本发明作详细说明。

附图说明

图1是本发明无可信中心的分布式数字签名方法的流程图。

具体实施方式

名词解释：

T：椭圆曲线secp256k1的参数；

p：生成有限域F_p的大素数，其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F＝2²⁵⁶-2³²-2⁹-2⁸-2⁷-2⁶-2⁴-1；

a,b：椭圆方程的参数，a＝0，b＝7；

G：椭圆曲线上一个阶为n的基点，其值为0479BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8；

n：椭圆曲线基点G的阶，其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141；

h：余因数，控制选取点的密度，其值为01；

ID₁：第一个签名参与者；

ID₂：第二个签名参与者；

ID_i：第i个签名参与者；

ID_i+1：第i+1个签名参与者；

ID_t：第t个签名参与者；

d₁：第一个签名参与者ID₁的子私钥；

d_i：第i个签名参与者ID_i的子私钥；

d_t：第t个签名参与者ID_t的子私钥；

Q₁：第一个公钥生成参数；

Q_i：第i个公钥生成参数；

Q_i-1：第i-1个公钥生成参数；

Q_t-1：第t-1个公钥生成参数；

Q：签名公钥；

t：一个正整数，表示签名参与者的个数；

k₁：第一个签名参与者ID₁的秘密值；

第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；k_i：第i个签名参与者ID_i的秘密值；

k_i ^-1：第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；k_t：第t个签名参与者ID_t的秘密值；

第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

R₁：第一个签名参数中间值；

R_i：第i个签名参数中间值；

R_i-1：第i-1个签名参数中间值；

R_t-1：第t-1个签名参数中间值；

R：签名参数；

x_R：签名参数R的横坐标；

y_R：签名参数R的纵坐标；

r：第一部分签名；

mod：求模运算；

M：消息；

H：消息M的哈希值；

hash：密码哈希算法；

e：哈希值H转换后的整数值；

α₁：第一个签名生成参数第一部分；

β₁：第一个签名生成参数第二部分；

paillier：同态加密算法；

sk：paillier同态加密算法的私钥；

pk：paillier同态加密算法的公钥；

E_sk(.)：paillier同态加密算法的加密运算；

D_pk(.)：paillier同态加密算法的解密运算；

α_i：第i个签名生成参数第一部分；

α_i-1：第i-1个签名生成参数第一部分；

α_t-1：第t-1个签名生成参数第一部分；

α_t：第t个签名生成参数第一部分；

β_i：第i个签名生成参数第二部分；

β_i-1：第i-1个签名生成参数第二部分；

β_t-1：第t-1个签名生成参数第二部分；

β_t：第t个签名生成参数第二部分；

×_E：paillier同态加密算法下的乘法同态运算；

+_E：paillier同态加密算法下的加法同态运算；

s：第二部分签名；

s^-1：第二部分签名s在模n下的乘法逆元；

C：第二部分签名s在paillier同态加密下的密文；

R′：签名验证参数；

x_R′：签名验证参数R′的横坐标；

y_R′：签名验证参数R′的纵坐标；

r′：第一部分签名的验证参数；

≡：同余符号；

(r,s)：最终生成的签名。

参照图1。本发明无可信中心的分布式数字签名方法具体步骤如下：

确定***参数：这是具体实施之前的准备工作。

选取椭圆曲线secp256k1，确定参数T＝(p,a,b,G,n,h)，其中，T表示椭圆曲线secp256k1的参数，p表示生成有限域F_p的大素数，p＝FFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F＝2²⁵⁶-2³²-2⁹-2⁸-2⁷-2⁶-2⁴-1，a,b表示椭圆方程的参数，a＝0，b＝7，G表示椭圆曲线上一个阶为n的基点，G＝0479BE667EF9DCB BAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8，n表示椭圆曲线基点G的阶，n＝FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141，h表示余因数，控制选取点的密度，h＝01。

步骤一、第一个签名参与者ID₁选取自己的子私钥d₁∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第一个公钥生成参数Q₁，并将第一个公钥生成参数Q₁发送给第二个签名参与者ID₂：

Q₁＝d₁G

其中，ID₁表示第一个签名参与者，ID₂表示第二个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，Q₁表示第一个公钥生成参数，G表示椭圆曲线上一个阶为n的基点，n为正整数，表示基点G的阶；

步骤二、第i个签名参与者ID_i接收到第i-1个公钥生成参数Q_i-1后，选取自己的子私钥d_i∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第i个公钥生成参数Q_i，并将第i个公钥生成参数Q_i发送给第i+1个签名参与者ID_i+1，i∈{2,3,…,t-1}：

Q_i＝d_iQ_i-1

其中，ID_i表示第i个签名参与者，ID_i+1表示第i+1个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i-1表示第i-1个公钥生成参数，Q_i表示第i个公钥生成参数，t是一个正整数，表示签名参与者的个数；

步骤三、第t个签名参与者ID_t接收到第t-1个公钥生成参数Q_t-1后，选取自己的子私钥d_t∈{1,2,…,n-1}并秘密保存，然后按照下式，计算公钥Q，并将公钥Q广播给所有签名参与者：

Q＝d_tQ_t-1

其中，ID_t表示第t个签名参与者，Q_t-1表示第t-1个公钥生成参数，d_t表示第t个签名参与者ID_t的子私钥，Q表示公钥；

步骤四、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n-1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁∈{1,2,…,n-1}并重新计算自己的秘密值k₁在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k₁，然后执行下一步骤；

其中，k₁表示第一个签名参与者ID₁的秘密值，表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

步骤五、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：

R₁＝k₁G

其中，R₁表示第一个签名参数中间值；

步骤六、第i个签名参与者ID_i接收到第i-1个签名参数中间值R_i-1后，选取自己的秘密值k_i∈{1,2,…,n-1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i∈{1,2,…,n-1}并重新计算自己的秘密值k_i在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_i，然后执行下一步骤，i＝2,3,…,t-1；

其中，k_i表示第i个签名参与者ID_i的秘密值，表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

步骤七、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

R_i＝k_iR_i-1

其中，R_i表示第i个签名参数中间值，R_i-1表示第i-1个签名参数中间值；

步骤八、第t个签名参与者ID_t接收到第t-1个签名参数中间值R_t-1后，选取自己的秘密值k_t∈{1,2,…,n-1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t∈{1,2,…,n-1}并重新计算自己的秘密值k_t在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_t，然后执行下一步骤；

其中，k_t表示第t个签名参与者ID_t的秘密值，表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

步骤九、按照下式，第t个签名参与者ID_t计算签名参数R：

R＝k_tR_t-1＝(x_R,y_R)

然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者；

其中，R_t-1表示第t-1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，yR表示签名参数R的纵坐标；

步骤十、第一个签名参与者ID₁接收到签名参数R后，按照下式，计算第一部分签名r：

r＝x_Rmod n

然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；

其中，r表示第一部分签名，mod表示求模运算；

步骤十一、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换成一个整数e；

H＝hash(M)

其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；

步骤十二、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；

其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；

步骤十三、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：

其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；

步骤十四、第i个签名参与者ID_i接收到第i-1个签名生成参数第一部分α_i-1和第i-1个签名生成参数第二部分β_i-1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i-1表示第i-1个签名生成参数第一部分，β_i-1表示第i-1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算；

步骤十五、第t个签名参与者ID_t接收到第t-1个签名生成参数第一部分α_t-1和第t-1个签名生成参数第二部分β_t-1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：

其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t-1表示第t-1个签名生成参数第一部分，β_t-1表示第t-1个签名生成参数第二部分；

步骤十六、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：

C＝α_t+_Eβ_2t+1

其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文，+_E表示paillier同态加密算法下的加法同态运算；

步骤十七、按照下式，第一个签名参与者ID₁计算第二部分签名s：

s＝D_sk(C)mod n

其中，D_sk(.)表示paillier同态加密算法的解密运算；

步骤十八、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：

R′＝s^-1(eG+rQ)

其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^-1表示第二部分签名s在模n下的乘法逆元；

步骤十九、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′：

r′≡x_R′mod n

然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六；

其中，r′表示第一部分签名的验证参数，≡表示同余符号；

步骤二十、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；

其中，(r,s)表示最终生成的签名。

Claims (1)

1.一种无可信中心的分布式数字签名方法，其特征在于包括以下步骤：

步骤一、第一个签名参与者ID₁选取自己的子私钥d₁∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第一个公钥生成参数Q₁，并将第一个公钥生成参数Q₁发送给第二个签名参与者ID₂：

Q₁＝d₁G

其中，ID₁表示第一个签名参与者，ID₂表示第二个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，Q₁表示第一个公钥生成参数，G表示椭圆曲线上一个阶为n的基点，n为正整数，表示基点G的阶；

步骤二、第i个签名参与者ID_i接收到第i-1个公钥生成参数Q_i-1后，选取自己的子私钥d_i∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第i个公钥生成参数Q_i，并将第i个公钥生成参数Q_i发送给第i+1个签名参与者ID_i+1，i∈{2,3,…,t-1}：

Q_i＝d_iQ_i-1

其中，ID_i表示第i个签名参与者，ID_i+1表示第i+1个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i-1表示第i-1个公钥生成参数，Q_i表示第i个公钥生成参数，t是一个正整数，表示签名参与者的个数；

步骤三、第t个签名参与者ID_t接收到第t-1个公钥生成参数Q_t-1后，选取自己的子私钥d_t∈{1,2,…,n-1}并秘密保存，然后按照下式，计算公钥Q，并将公钥Q广播给所有签名参与者：

Q＝d_tQ_t-1

其中，ID_t表示第t个签名参与者，Q_t-1表示第t-1个公钥生成参数，d_t表示第t个签名参与者ID_t的子私钥，Q表示公钥；

步骤四、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n-1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁∈{1,2,…,n-1}并重新计算自己的秘密值k₁在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k₁，然后执行下一步骤；

其中，k₁表示第一个签名参与者ID₁的秘密值，表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

步骤五、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：

R₁＝k₁G

其中，R₁表示第一个签名参数中间值；

步骤六、第i个签名参与者ID_i接收到第i-1个签名参数中间值R_i-1后，选取自己的秘密值k_i∈{1,2,…,n-1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i∈{1,2,…,n-1}并重新计算自己的秘密值k_i在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_i，然后执行下一步骤，i＝2,3,…,t-1；

其中，k_i表示第i个签名参与者ID_i的秘密值，表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

步骤七、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

R_i＝k_iR_i-1

其中，R_i表示第i个签名参数中间值，R_i-1表示第i-1个签名参数中间值；

步骤八、第t个签名参与者ID_t接收到第t-1个签名参数中间值R_t-1后，选取自己的秘密值k_t∈{1,2,…,n-1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t∈{1,2,…,n-1}并重新计算自己的秘密值k_t在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_t，然后执行下一步骤；

其中，k_t表示第t个签名参与者ID_t的秘密值，表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

步骤九、按照下式，第t个签名参与者ID_t计算签名参数R：

R＝k_tR_t-1＝(x_R,y_R)

然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者；

其中，R_t-1表示第t-1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，y_R表示签名参数R的纵坐标；

步骤十、第一个签名参与者ID₁接收到签名参数R后，按照下式，计算第一部分签名r：

r＝x_Rmodn

然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；

其中，r表示第一部分签名，mod表示求模运算；

步骤十一、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换成一个整数e；

H＝hash(M)

其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；

步骤十二、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；

其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；

步骤十三、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：

其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；

步骤十四、第i个签名参与者ID_i接收到第i-1个签名生成参数第一部分α_i-1和第i-1个签名生成参数第二部分β_i-1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i-1表示第i-1个签名生成参数第一部分，β_i-1表示第i-1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算；

步骤十五、第t个签名参与者ID_t接收到第t-1个签名生成参数第一部分α_t-1和第t-1个签名生成参数第二部分β_t-1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：

其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t-1表示第t-1个签名生成参数第一部分，β_t-1表示第t-1个签名生成参数第二部分；

步骤十六、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：

C＝α_t+_Eβ_2t+1

其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文，+_E表示paillier同态加密算法下的加法同态运算；

步骤十七、按照下式，第一个签名参与者ID₁计算第二部分签名s：

s＝D_sk(C)modn

其中，D_sk(.)表示paillier同态加密算法的解密运算；

步骤十八、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：

R′＝s^-1(eG+rQ)

其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^-1表示第二部分签名s在模n下的乘法逆元；

步骤十九、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′：

r′≡x_R′modn

然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六；

其中，r′表示第一部分签名的验证参数，≡表示同余符号；

步骤二十、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；

其中，(r,s)表示最终生成的签名。