[发明专利]无可信中心的群签名方法

摘要

本发明公开了一种无可信中心的群签名方法，用于解决现有群签名方法效率低的技术问题。技术方案是在密钥生成阶段，t个人选取自己的子私钥，计算并公开自己的子公钥以及签名公钥。在签名阶段，t个人分别利用自己的子私钥计算自己的签名，然后将自己的签名发送给签名合成者去合成。签名合成者收到每个人生成的签名后，利用每个人的子公钥验证签名是否有效，如果每个人的签名都有效，则合成签名，如果有人的签名无效，则通知t个人签名失败并退出签名过程。本发明采用椭圆曲线点乘运算，提高了效率。由于签名由多个人分布式计算生成，签名过程不需要合成私钥，防止私钥泄露；由于与比特币系统的ECDSA签名兼容，也能被比特币签名验证通过。

主权项

1.一种无可信中心的群签名方法，其特征在于包括以下步骤：步骤一、每一个签名参与者IDi选取di∈{1,2,...,n‑1}作为自己的子私钥，按照下式，计算自己的子公钥Qi并对子公钥Qi进行公开，i＝1,2,...,t；Qi＝diG其中，IDi表示第i个签名参与者，di表示第i个签名参与者IDi的子私钥，Qi表示第i个签名参与者IDi的子公钥，t为正整数，表示签名参与者IDi的数目，G表示椭圆曲线上一个阶为n的基点；步骤二、按照下式，每一个签名参与者IDi计算签名公钥Q并对签名公钥Q进行公开：其中，Q表示签名公钥，∑表示求和操作；步骤三、每一个签名参与者IDi选择秘密随机数ki，并把ki安全地广播给除自己之外的其他t‑1个签名参与者IDj，j＝1,2,...,t，j≠i；其中，ki表示第i个签名参与者IDi选取的随机数；步骤四、每一个签名参与者ID_i收到t‑1个随机数后，计算签名随机数和验证参数R＝(x_R,y_R)＝kG；其中，k表示t个签名参与者IDi共同协商出的签名随机数，R表示验证参数，xR表示验证参数R的横坐标，yR表示验证参数R的纵坐标，n表示椭圆曲线基点G的阶，mod表示求模操作；步骤五、按照下式，每一个签名参与者IDi计算第一部分签名r，如果r＝0，则返回步骤三，如果r≠0，则继续执行下面的步骤：r＝xRmodn其中，r表示第一部分签名；步骤六、每一个签名参与者IDi计算消息M的哈希值H＝hash(M)，并按照数据类型转换规则，将H转化为一个整数e，之后计算自己的部分签名si＝k‑1(t‑1e+rdi)modn；如果si＝0，则返回步骤三，如果si≠0，则继续执行下面的步骤；其中，M表示消息，H表示消息M的哈希值，hash表示密码哈希算法，e表示哈希值H转换后的整数值，si表示第i个签名参与者IDi所计算的部分签名，k‑1表示t个签名参与者IDi共同协商出的签名随机数k在模n下的乘法逆元，t‑1表示签名参与者IDi的数目t在模n下的乘法逆元；步骤七、每一个签名参与者IDi通过安全信道将自己的签名(r,si)发送给签名合成者；其中，(r,si)表示第i个签名参与者IDi的签名，由第一部分签名r和第i个签名参与者IDi所计算的部分签名si两部分构成；步骤八、签名合成者收到每个签名(r,si)后，对每个签名(r,si)计算第一个签名验证参数ui1＝t‑1esi‑1modn，计算第二个签名验证参数ui2＝rsi‑1modn和验证参数Ri′＝(xiR′,yiR′)＝ui1G+ui2Qi，并判断验证参数Ri′是否为零点；如果Ri′是零点，则签名(r,si)验证失败，通知每一个签名参与者IDi签名失败并退出签名过程，如果Ri′不是零点，则计算签名参数ri＝xiR′modn，并验证等式ri＝r是否成立；如果等式成立，则签名(r,si)验证成功，如果等式不成立，则签名(r,si)验证失败，通知每一个签名参与者IDi签名失败并退出签名过程；如果每个签名参与者IDi的签名(r,si)均验证成功，则继续执行下面的步骤，如果有的签名参与者IDi的签名验证失败，则通知每一个签名参与者IDi签名失败并退出签名过程，其中i＝1,2,...,t；其中，ui1表示第i个签名(r,si)的第一个签名验证参数，ui2表示第i个签名(r,si)的第二个签名验证参数，Ri′表示签名合成者计算的第i个签名(r,si)的验证参数，xiR′表示签名合成者计算的第i个签名验证参数Ri′的横坐标，yiR′表示签名合成者计算的第i个签名验证参数Ri′的纵坐标；ri表示签名合成者计算的第i个签名参与者IDi的签名参数；步骤九、按照下式，签名合成者计算第二部分签名s，合成签名(r,s)并退出签名过程：其中，s表示签名合成者计算的第二部分签名，(r,s)表示签名合成者合成的签名。