CN112199736A - 一种基于区块链的有序多重签名方法 - Google Patents

Abstract

本发明提出了一种基于区块链的有序多重签名方法，首先，签名者生成用于签名的公私钥对，并将公钥作为自己区块链上的地址；其次，数据拥有者生成一个deposit交易，设置保证金金额以及签名时间间隔，同时将需要签名的签名者公钥进行聚合以及生成签名顺序，并将这些消息公开；然后，每个签名者依次对文件签名，通过生成用于此次签名的部分公钥来保证签名安全性，签名完成后发送给智能合约以及下一签名者；当智能合约通过签名后，签名者通过deposit交易用于生成claim交易，拿回保证金；最后，由智能合约将最终的签名发送给数据拥有者。本发明通过使用聚合公钥减少了签名的验证时间以及基于罚金机制的公平交换协议保证签名过程中的高效。

Description

一种基于区块链的有序多重签名方法

技术领域

本发明提出一种基于区块链的有序多重签名方法，属于信息安全领域。

背景技术

随着现代信息技术的飞速发展，如今签署合同更多的是依赖于互联网去完成，签署双方可以通过电子签名的形式，由第三方认证来达成合同签署，这在法律上也得到了认可。由于电子合同在签名过程中的异步性以及有序多重签名方案的签名过程较长，一旦存在签名者拖延签名，必然造成经济上的损失，而且互联网本身缺少一定的安全维护技术，电子合同在传播过程中面临着被不法分子利用的危险，同时当签署方出现争端时，也面临着无法查证的问题。为了确保电子交易的合法性，有序多重数字签名在身份验证、交易者身份以及交易完整性方面起着非常重要的作用。

在现实生活中，签署合同已经成为公司必不可少的一部分，而有序多重签名需要合同的签名者按照一定的顺序才能完成签名，例如在公司中，只有当下属签署完成后，上级才会签署。目前的商业合同由于其商业价值以及合同本身具有一定的实效性，签名过程中每个签名者必须控制好签名的时间。同时由于有序多重签名的签名过程是在每个签名者之间互相传递的，一旦出现签名者拖延签名时间，必然造成整个合同的经济损失，因此，引入罚金机制也是必要的。

针对上述问题，为了保证了合约的时效性避免合同的损失，应保证签名过程的透明性以及签署合约各方的公平性、不可抵赖性，同时通过智能合约完成签名验证，减轻签名者的计算消耗。

发明内容

发明目的：为了解决有序多重签名过程中签名验证时间消耗以及保证签名的公平性，本发明提出了一种基于区块链的有序多重签名方法，实现了低时耗和高实效的优点。

技术方案：一种基于区块链的有序多重签名方法，包括以下步骤：

步骤1：初始化***参数，签名者生成各自的公私钥对；

步骤2：数据拥有者发送公开消息、签名顺序、聚合公钥以及生成deposit交易；

步骤3：签名者生成签名并将签名σ_i发送到下一签名者以及智能合约；

步骤4：智能合约验证签名σ_i的正确性；

步骤5：签名者生成claim交易，拿回保证金，下一签名者继续签名；

步骤6：签名者N_n完成签名后发送给智能合约，由智能合约返回到数据拥有者。

进一步地，步骤1具体为：

步骤1.1，设

分别是阶为素数q的加法循环群和乘法循环群，给定安全参数

设

为参数生成算法，首先通过

生成

其中

为素数阶q的双线性群对，双线性映射为

表示从

到

的映设，P是

的一个生成元，3个安全散列函数

其中，Z_q表示集合{0，1，…，q-1}，而

表示集合{1，2，…，q-1}，

表示一个属于{0，1}^*范围内的值经过H₀后得到一个属于群

范围内的值，***参数存储在区块链并对所有用户公开；

步骤1.2，每个签名者随机的选取一个

作为私钥并计算公钥S_i＝s_iP(ie1，2，…，n)，这里的公钥被签名者用作在区块链上的地址；

进一步地，步骤2具体为：

步骤2.1，数据拥有者上传文件，并将文件进行加密处理，随机选取

步骤2.2，数据拥有者生成签名顺序M＝(M₁，M₂，…M_n)到区块链上，其中M_i包含前N_i个签名者的签名顺序；

步骤2.3，数据拥有者规定每个签名者签名的时间间隔ΔT₁，ΔT₂，…ΔT_n-1，ΔT₁代表N₁→N₂时间间隔，ΔT_n-1代表N_n-1→N_n的时间间隔，保证签名者N_i在指定时间间隔(t_i-1，t_i-1+ΔT_i-1)内释放实际签名时间t_i，下一签名者根据t_i以及ΔT_i确定t_i+1(i∈(2，3，…，n)，t_i是签名者在签名时选取的，对所有签名用户公开，数据拥有者对签名者公钥S₁，S₂，…S_n进行聚合处理，并将聚合公钥发送到区块链中；

步骤2.4，数据拥有者对签名者公钥S₁，S₂，…S_n进行聚合处理，设公钥集合PK＝{S₁，S₂，…S_n}，并通过计算公钥集合的hash值和签名者的公钥得到β_i＝H₁(S_i，PK)用于聚合公钥，减少签名长度，聚合公钥

并将聚合公钥发送到区块链中；

步骤2.5，数据拥有者生成一个deposit交易，设置保证金金额cash。

进一步地，步骤3具体为：

步骤3.1，每个签名者随机的选取一个部分私钥

同时计算部分公钥R_i＝r_iP(i∈1，2，…，n)并上传到区块链中，这里的公钥R_i作为交易地址；

步骤3.2，每个签名者执行deposit交易，只有账户中余额大于cash才能执行此协议，执行完成后计算各自的L_i＝H₂(apk_i，M_i)，其中apk_i，M_i是数据拥有者上传到区块链的，L_i是对(apk_i，M_i)进行hash得到的值，用于智能合约验证签名是否为此公钥集合(i∈1，2，…，n)；

步骤3.3，有序签名阶段，首先签名者N_i对消息m签名，选取一个签名时间t_i并对时间进行hash处理，得到D_i＝H₁(t_i)，D_i为计算t_i得到的hash值，用于保证签名的时效性；

步骤3.4，计算h_i＝H₀(apk_n，m)，其次得到签名

步骤3.5，签名者N_i完成后将签名σ_i发送到智能合约以及t_i发送到区块链，将σ_i发送给签名者N_i+1；

步骤3.6，签名者N_i+1验证签名σ_i是否有效，由于验证的过程在智能合约完成，签名者N_i+1只需等待智能合约返回验证的结果即可(i∈1，2，…，n-1)。

进一步地，步骤4具体为：

步骤4.1，当智能合约接收到签名以及t_i时，首先验证t_i是否属于(t_i-1，t_i-1+ΔT_i-1)；

步骤4.2，验证签名σ_i是否成立；

步骤4.3，当智能合约返回的结果为σ_i无效时，签名者N_i需在指定时间间隔内上传t_i以及签名σ_i，此时返回步骤4.1；

步骤4.4，否则下一位签名者拒绝签名，签名终止；

步骤4.5，此时除签名者N_i-1外生成refund交易，拿回保证金，而签名者N_i由于没有广播有效的claim交易，失去保证金，由前i-1个已经广播的签名者获得奖励。

进一步地，步骤5具体为：

步骤5.1，当智能合约返回的结果为σ_i有效时，签名者N_i生成refund交易，拿回保证金cash。

步骤5.2，签名者N_i+1根据签名者N_i发送的签名σ_i、签名者N_i上传的t_i以及数据拥有者上传的ΔT_i继续签名

进一步地，步骤6具体为：

步骤6.1，签名者N_n完成签名后发送σ_n到智能合约，智能合约验证σ_n的有效性。

步骤6.2，当通过智能合约验证，由智能合约将最终的签名发送给数据拥有者，签名者N_n生成refund交易，拿回保证金，否则失去保证金。

附图说明

图1为本发明的算法流程示意图；

具体实施方式

为了解决有序多重签名过程中签名验证时间消耗以及保证签名的公平性，本发明提出了一种基于区块链的有序多重签名方法，实现了低时耗和高实效的优点，为了达到上述目的，本发明的参与实体如下：

数据拥有者：定制策略；计算签名者的聚合公钥、制定签名顺序以及每个签名者签名的时间，将生成的***息传送到区块链中，同时生成一个deposit交易，设置保证金金额以及秘密值，这里的秘密值为签名σ_i，σ_i在签名者签名之前是秘密的，当上传到区块链后，对所有用户公开，最后等待智能合约返回所有签名者签名完成后的签名。

签名者：依次签名；首先生成各自的公私钥，同时根据数据拥有者上传的签名顺序以及签名时间间隔签名，完成签名后将签名消息发送到智能合约和下一签名者，当智能合约通过后，签名者通过deposit交易作为输入生成claim交易，拿回保证金。当智能合约未通过签名时，其他签名者生成refund交易，拿回保证金，而这个签名者N_i将失去保证金，由前i-1个签名者获得奖励，平分签名者N_i的保证金(i∈2，3…，n)。这里的签名者的公开参数对区块链的所有用户公开。

区块链：利用区块链的不可篡改性、可追溯性、可自动执行一些预先定义好的规则和条款的特点，同时区块链上的交易信息对所有用户是公开的，但是用户的隐私信息是高度加密的，只有在有授权的情况下才能访问到。智能合约是基于这些可信的不可篡改的信息，验证合约是否正确，如果签名未通过，返回验证未通过信息给下一位签名者，停止签名，当最后一位签名者验证通过后，由智能合约直接返回签名给数据拥有者。

本发明的算法流程如下：

步骤1，初始化***参数，参与方生成各自的公私钥对。具体步骤如下：

步骤1.1，给定安全参数

首先通过

生成

其中

为素数阶q的双线性群对，双线性映射为

P是

的一个生成元，3个安全散列函数

***参数存储在区块链并对所有用户公开；

步骤1.2，每个签名者随机的选取一个

作为私钥并计算它的公钥Si＝s_iP(i∈1，2，…，n)，这里的公钥被签名者用作在区块链上的地址。

步骤2，数据拥有者发送公开消息、签名顺序、聚合公钥以及生成deposit交易，具体步骤如下：

步骤2.1，数据拥有者上传文件

步骤2.2，数据拥有者生成签名顺序M＝(M₁，M₂，…M_n)到区块链上，其中M_i包含前N_i个签名者的签名顺序，如M₁代表N₁，M₂代表N₁→N₂；

步骤2.3，数据拥有者规定每个签名者签名的时间间隔ΔT₁，ΔT₂，…ΔT_n-1，ΔT₁代表N₁→N₂时间间隔，ΔT_n-1代表N_n-1→N_n的时间间隔，保证签名者N_i在指定时间间隔(t_i-1，t_i-1+ΔT_i-1)内释放实际签名时间t_i，下一签名者根据t_i以及ΔT_i确定t_i+1(i∈(2，3，…，n)，t_i是签名者在签名时选取的，对所有签名用户公开。数据拥有者对签名者公钥S₁，S₂，…S_n进行聚合处理，并将聚合公钥发送到区块链中；

步骤2.4，数据拥有者对签名者公钥S₁，S₂，…S_n进行聚合处理，设PK＝{S₁，S₂，…S_n}，计算β_i＝H₁(S_i，PK)，聚合公钥

并将聚合公钥发送到区块链中；

步骤2.5，数据拥有者生成一个deposit交易，设置保证金金额cash。

步骤3，签名者生成签名并将签名发送到下一签名者以及智能合约。具体步骤如下：

步骤3.1，每个签名者随机的选取一个

同时计算R_i＝r_iP(i∈1，2，…，n)并上传到区块链中；

步骤3.2，每个签名者执行deposit交易，只有账户中余额大于cash才能执行此协议，执行完成后计算各自的L_i＝H₂(apk_i，M_i)(i∈1，2，…，n)；

步骤3.3，有序签名阶段，首先签名者N_i对消息m签名，选取一个签名时间t_i并对时间进行hash处理，得到D_i＝H₁(t_i)；

步骤3.4，计算h_i＝H₀(apk_n，m)，得到签名δ_i＝(β_i*s_i+D_iL_i*r_i)h_i，

步骤3.5，签名者N_i完成后将签名σ_i发送到智能合约以及t_i发送到区块链，将σ_i发送给签名者N_i+1；

步骤3.6，签名者N_i+1验证签名σ_i是否有效，由于验证的过程在智能合约完成，签名者N_i+1只需等待智能合约返回验证的结果即可(i∈1，2，…，n-1)。

步骤4，智能合约验证签名σ_i的正确性。具体步骤如下：

步骤4.1，当智能合约接收到签名σ_i以及t_i时，首先验证t_i是否属于(t_i-1，t_i-1+ΔT_i-1)；

步骤4.2，其次，验证签名σ_i是否满足

步骤4.3，当智能合约返回的结果为σ_i无效时，签名者N_i需在指定时间间隔(t_i-1，t_i-1+ΔT_i-1)内上传t_i以及签名σ_i，此时返回步骤4.1。

步骤4.4，否则下一位签名者拒绝签名，签名终止。

步骤4.5，此时除签名者N_i-₁外生成refund交易，拿回保证金，而签名者N_i由于没有广播有效的claim交易，失去保证金，由前i-1个已经广播的签名者获得奖励。

步骤5，签名者生成claim交易，拿回保证金，下一签名者继续签名。具体步骤如下：

步骤5.1.当智能合约返回的结果为σ_i有效时，签名者N_i生成refund交易，拿回保证金cash。

步骤5.2.签名者N_i+1根据签名者N_i发送的签名σ_i、签名者N_i上传的t_i以及数据拥有者上传的ΔT_i，签名者N_i+1计算h_i+1＝H₀(apk_n，m)，D_i+1＝H₁(t_i+1)以及δ_i+1＝(β_i+1*s_i+1+D_{i+ 1}L_i+1*r_i+1)h_i+1，

步骤6，签名者N_n完成签名后发送给智能合约，由智能合约返回到数据拥有者。具体步骤如下：

步骤6.1，签名者N_n完成签名后发送σ_n到智能合约，智能合约验证σ_n的有效性。

步骤6.2，当通过智能合约验证，由智能合约将最终的签名发送给数据拥有者，签名者N_n生成refund交易，拿回保证金cash。当未通过智能合约验证，需在指定时间内重新上传t_n以及签名σ_n，否则前n-1个签名者生成refund交易，拿回保证金cash，而签名者N_n由于没有广播有效的claim交易，失去保证金，由前n-1个已经广播的签名者获得奖励，每人获得奖励cash/(n-1)。

安全性分析

定理1(正确性)如果签名者N_i(i∈2，3，…，n)上传的签名是正确的，则可以通过智能合约的验证。

证明：

定理2(不可伪造性)：设群G₁为(t′，∈′)-GDH群，则在随机预言机中，我们的基于区块链的有序多重签名方案是(t，ε)存在不可伪造的，即，敌手A在运行时间不超过t时，成功的概率不高于ε，ε为敌手A可以伪造出签名的概率，其中，

ε≥e(q_s+1)·ε’

分别表示初始时间，对预言机H₀，数字签名H₁，H₂的请求次数，e是自然对象的底，0表示算法的渐进时间复杂度。

证明：假设C是CDHP挑战者，C创造了模拟的攻击环境，与真实的攻击环境是计算不可区分的。挑战者C收到三元组

其中U₁，U₂为模拟环境中的公钥，设U₁＝aP，挑战者C的目标计算aU₂。挑战者C与敌手A的交互如下

初始化：挑战者C生成***参数params：(G₁，G₂，e，P，H₀，H₁，H₂)并发送给A，挑战者C发送给敌手签名者N_i的公钥U₁+s_iP，其中

并初始化表格L₀。

H₀-请求：挑战者C利用表格L₀存储元组(v_i，w_i，b_i，c_i)，其中v_i表示H₀中的(apk_n，m_i)，w_i表示计算H₀(apk_n，m_i)的值，b_i表示在

中随机取的值，c_i表示在{0，1}中随机取的值。当A对v_i＝(apk_n，m_i)请求H₀时，挑战者C响应如下：

1)如果请求v_i已经存储在表格L₀中，则挑战者C输出H₀(apk_n，m_i)＝w_i。

2)否则，挑战者C随机选取一个c_i∈{0，1}使得Pr[c_i＝0]＝1/(q_s+1)，其中q_s表示签名请求次数。

3)挑战者C选取一个

并计算w_i＝(1-c_i)U₂+b_iP。

4)挑战者C将(v_i，w_i，b_i，c_i)添加到表格L₀中，并将w_i发送给敌手A。

H₁-请求，H₂-请求：当A向C请求H₁-预言机或H₂-预言机时，C根据实际哈希函数计算相应哈希值，并把相应哈希值返回给A。

签名请求：敌手A向C请求消息m_i的签名请求，C对该查询的请求如下：

1)A对m_i和apk_n请求H₀-预言机，得到w_i，设(v_i，w_i，b_i，c_i)为L₀中的元组。若c_i＝0，则挑战失败并终止。

2)否则，w_i＝b_iP，通过请求H₁-预言机和H₂-预言机获得β_i，1_i，C选取随机数

并计算δ_i＝b_i(β_iS_i+l_ir_iP)。因为δ_i＝b_i(β_iS_i+l_ir_iP)＝(β_i(a+s_i)+1_ir_i)b_iP＝(β_i(a+s_i)+1_ir_i)w_i

＝(β_i(a+s_i)+1_ir_i)H₀(apk_n，m_i)，所以δ_i是m_i的有效签名。挑战者C将签名δ_i发送给敌手A。

输出：最后，假设A伪造了一个有效的消息签名对(m_f，δ_f)，其中m_f未对C进行签名请求。由于H₀是随机预言机和A成功攻击，A已经对m_f请求了H₀，则(v_f，w_f，b_f，c_f)属于L₀，其中v_f＝(apk_n，m_f)。当c_f＝1，则挑战者C报告失败并终止；当c_f＝0时，H₀(apk_n，m_f)＝U₂+b_fP，此时δ_f＝(β_f(a+s_f)+l_fd_fr_f)(U₂+b_fP)，则C计算可得aU₂，即

在签名请求中，当c＝0时，签名仿真失败，失败概率为

由于c的独立性，在签名请求中挑战者C不会中止的概率至少为

当A伪造的消息签名对中c_f＝0时，aU₂才能被求出，概率为

这样，aU₂能够被求出的概率∈′满足

即ε≥e(q_s+1)ε’。

在A与C的交互中，对于H₀预言机，每次请求C需要1次数乘；对于签名预言机，每次请求C需要2次数乘；对于H₁预言机和H₂预言机，仅作正常哈希函数计算即可。这样，上述交互的时间消耗为

其中

分别表示对预言机H₀，数字签名，H₁，H₂的请求次数。

根据概率分析，得到CDHP被破解的概率为ε≥e(q_s+1)ε’。如果∈是不可忽略函数，则ε’也是不可忽略函数，这跟G₁为(t’，ε’)-GDH群矛盾。根据反证法，ε’是一个可忽略函数，我们提出的方案满足不可伪造性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种基于区块链的有序多重签名方法，其特征在于：包括以下步骤：

步骤1：初始化***参数，签名者生成各自的公私钥对；

步骤2：数据拥有者发送公开消息、签名顺序、聚合公钥以及生成deposit交易；

步骤3：签名者生成签名并将签名σ_i发送到下一签名者以及智能合约；

步骤4：智能合约验证签名σ_i的正确性；

步骤5：签名者生成claim交易，拿回保证金，下一签名者继续签名；

步骤6：签名者N_n完成签名后发送给智能合约，由智能合约返回到数据拥有者。

2.根据权利要求1所述的基于区块链的有序多重签名方法，其特征在于，步骤1具体为：

步骤1.1，设

分别是阶为素数q的加法循环群和乘法循环群，给定安全参数

设

为参数生成算法，首先通过

生成

其中

为素数阶q的双线性群对，双线性映射为e：

表示从

到

的映射，P是

的一个生成元，3个安全散列函数H₀：

H₁：

H₂：

其中，Z_q表示集合{0，1，...，q-1}，而

表示集合{1，2，...，q-1}，H₀：

表示一个属于{0，1}^*范围内的值经过H₀后得到一个属于群

范围内的值，***参数存储在区块链并对所有用户公开；

步骤1.2，每个签名者随机的选取一个

作为私钥并计算公钥S_i＝s_iP(i∈1，2，…，n)，这里的公钥被签名者用作在区块链上的地址。

3.根据权利要求1所述的基于区块链的有序多重签名方法，其特征在于，步骤2具体为：

步骤2.1，数据拥有者上传文件，并将文件进行加密处理，随机选取

步骤2.2，数据拥有者生成签名顺序M＝(M₁，M₂，…M_n)到区块链上，其中M_i包含前N_i个签名者的签名顺序；

步骤2.3，数据拥有者规定每个签名者签名的时间间隔ΔT₁，ΔT₂，…ΔT_n-1，ΔT₁代表N₁→N₂时间间隔，ΔT_n-1代表N_n-1→N_n的时间间隔，保证签名者N_i在指定时间间隔(t_i-1，t_i-1+ΔT_i-1)内释放实际签名时间t_i，下一签名者根据t_i以及ΔT_i确定t_i+1(i∈(2，3，…，n)，t_i是签名者在签名时选取的，对所有签名用户公开，数据拥有者对签名者公钥S₁，S₂，…S_n进行聚合处理，并将聚合公钥发送到区块链中；

步骤2.4，数据拥有者对签名者公钥S₁，S₂，…S_n进行聚合处理，设公钥集合PK＝{S₁，S₂，…S_n}，并通过计算公钥集合的hash值和签名者的公钥得到β_i＝H₁(S_i，PK)用于聚合公钥，减少签名长度，聚合公钥

并将聚合公钥发送到区块链中；

步骤2.5，数据拥有者生成一个deposit交易，设置保证金金额cash。

4.根据权利要求1所述的基于区块链的有序多重签名方法，其特征在于，步骤3具体为：

步骤3.1，每个签名者随机的选取一个部分私钥

同时计算部分公钥R_i＝r_iP(i∈1，2，…，n)并上传到区块链中，这里的公钥R_i作为交易地址；

步骤3.2，每个签名者执行deposit交易，只有账户中余额大于cash才能执行此协议，执行完成后计算各自的L_i＝H₂(apk_i，M_i)，其中apk_i，M_i是数据拥有者上传到区块链的，L_i是对(apk_i，M_i)进行hash得到的值，用于智能合约验证签名是否为此公钥集合(i∈1，2，…，n)；

步骤3.3，有序签名阶段，首先签名者N_i对消息m签名，选取一个签名时间t_i并对时间进行hash处理，得到D_i＝H₁(t_i)，D_i为计算t_i得到的hash值，用于保证签名的时效性；

步骤3.4，计算h_i＝H₀(apk_n，m)，其次得到签名δ_i＝(β_i*s_i+D_iL_i*r_i)h_i，

步骤3.5，签名者N_i完成后将签名σ_i发送到智能合约以及t_i发送到区块链，将σ_i发送给签名者N_i+1；

步骤3.6，签名者N_i+1验证签名σ_i是否有效，由于验证的过程在智能合约完成，签名者N_i+1只需等待智能合约返回验证的结果即可(i∈1，2，…，n-1)。

5.根据权利要求1所述的基于区块链的有序多重签名方法，其特征在于，步骤4具体为：

步骤4.1，当智能合约接收到签名以及t_i时，首先验证t_i是否属于(t_i-1，t_i-1+ΔT_i-1)；

步骤4.2，验证签名σ_i是否成立；

步骤4.3，当智能合约返回的结果为σ_i无效时，签名者N_i需在指定时间间隔内上传t_i以及签名σ_i，此时返回步骤4.1；

步骤4.4，否则下一位签名者拒绝签名，签名终止；

步骤4.5，此时除签名者N_i-1外生成refund交易，拿回保证金，而签名者N_i由于没有广播有效的claim交易，失去保证金，由前i-1个已经广播的签名者获得奖励。

6.根据权利要求1所述的基于区块链的有序多重签名方法，其特征在于，步骤5具体为：

步骤5.1，当智能合约返回的结果为σ_i有效时，签名者N_i生成refund交易，拿回保证金cash。

步骤5.2，签名者N_i+1根据签名者N_i发送的签名σ_i、签名者N_i上传的t_i以及数据拥有者上传的ΔT_i继续签名。

7.根据权利要求1所述的基于区块链的有序多重签名方法，其特征在于，步骤6具体为：

步骤6.1，签名者N_n完成签名后发送σ_n到智能合约，智能合约验证σ_n的有效性。

步骤6.2，当通过智能合约验证，由智能合约将最终的签名发送给数据拥有者，签名者N_n生成refund交易，拿回保证金，否则失去保证金。

Images