[发明专利]无可信中心的分布式数字签名方法

权利要求书

1.一种无可信中心的分布式数字签名方法，其特征在于包括以下步骤：

步骤一、第一个签名参与者ID₁选取自己的子私钥d₁∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第一个公钥生成参数Q₁，并将第一个公钥生成参数Q₁发送给第二个签名参与者ID₂：

Q₁＝d₁G

其中，ID₁表示第一个签名参与者，ID₂表示第二个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，Q₁表示第一个公钥生成参数，G表示椭圆曲线上一个阶为n的基点，n为正整数，表示基点G的阶；

步骤二、第i个签名参与者ID_i接收到第i-1个公钥生成参数Q_i-1后，选取自己的子私钥d_i∈{1,2,…,n-1}并秘密保存，然后按照下式，计算第i个公钥生成参数Q_i，并将第i个公钥生成参数Q_i发送给第i+1个签名参与者ID_i+1，i∈{2,3,…,t-1}：

Q_i＝d_iQ_i-1

其中，ID_i表示第i个签名参与者，ID_i+1表示第i+1个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i-1表示第i-1个公钥生成参数，Q_i表示第i个公钥生成参数，t是一个正整数，表示签名参与者的个数；

步骤三、第t个签名参与者ID_t接收到第t-1个公钥生成参数Q_t-1后，选取自己的子私钥d_t∈{1,2,…,n-1}并秘密保存，然后按照下式，计算公钥Q，并将公钥Q广播给所有签名参与者：

Q＝d_tQ_t-1

其中，ID_t表示第t个签名参与者，Q_t-1表示第t-1个公钥生成参数，d_t表示第t个签名参与者ID_t的子私钥，Q表示公钥；

步骤四、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n-1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁并重新计算自己的秘密值k₁在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k₁，然后执行下一步骤；

其中，k₁表示第一个签名参与者ID₁的秘密值，表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

步骤五、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：

R₁＝k₁G

其中，R₁表示第一个签名参数中间值；

步骤六、第i个签名参与者ID_i接收到第i-1个签名参数中间值R_i-1后，选取自己的秘密值k_i∈{1,2,…,n-1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i并重新计算自己的秘密值k_i在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_i，然后执行下一步骤；

其中，k_i表示第i个签名参与者ID_i的秘密值，表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

步骤七、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1：

R_i＝k_iR_i-1

其中，R_i表示第i个签名参数中间值，R_i-1表示第i-1个签名参数中间值；

步骤八、第t个签名参与者ID_t接收到第t-1个签名参数中间值R_t-1后，选取自己的秘密值k_t∈{1,2,…,n-1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t并重新计算自己的秘密值k_t在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_t，然后执行下一步骤；

其中，k_t表示第t个签名参与者ID_t的秘密值，表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

步骤九、按照下式，第t个签名参与者ID_t计算签名参数R：

R＝k_tR_t-1＝(x_R,y_R)

然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者；

其中，R_t-1表示第t-1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，y_R表示签名参数R的纵坐标；

步骤十、第一个签名参与者ID₁接收到签名参数R后，按照下式，计算第一部分签名r：

r＝x_Rmod n

然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；

其中，r表示第一部分签名，mod表示求模运算；

步骤十一、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换成一个整数e；

H＝hash(M)

其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；

步骤十二、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；

其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；

步骤十三、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：

其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；

步骤十四、第i个签名参与者ID_i接收到第i-1个签名生成参数第一部分α_i-1和第i-1个签名生成参数第二部分β_i-1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1：

其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i-1表示第i-1个签名生成参数第一部分，β_i-1表示第i-1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算；

步骤十五、第t个签名参与者ID_t接收到第t-1个签名生成参数第一部分α_t-1和第t-1个签名生成参数第二部分β_t-1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：

其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t-1表示第t-1个签名生成参数第一部分，β_t-1表示第t-1个签名生成参数第二部分；

步骤十六、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：

C＝α_t+_Eβ_2t+1

其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文，+_E表示paillier同态加密算法下的加法同态运算；

步骤十七、按照下式，第一个签名参与者ID₁计算第二部分签名s：

s＝D_sk(C)mod n

其中，D_sk(.)表示paillier同态加密算法的解密运算；

步骤十八、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：

R′＝s^-1(eG+rQ)

其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^-1表示第二部分签名s在模n下的乘法逆元；

步骤十九、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′：

r′≡x_R′mod n

然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六；

其中，r′表示第一部分签名的验证参数，≡表示同余符号；

步骤二十、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；

其中，(r,s)表示最终生成的签名。