[发明专利]面向区块链智能合约的不可拆分数字签名通用构造方法

摘要

本发明公开了面向区块链智能合约的不可拆分数字签名通用构造方法，属于密码学与区块链技术领域。包括以下算法：(1)Setup：该算法用于生成方案的公共系统参数。(2)KGen:该算法用于生成用户的公钥与私钥，其中私钥用于签名，公钥用于验证。(3)SignFuncGen：该算法用于在客户端生成不可拆分数字签名算法，并与智能合约的内容绑定。(4)UndSign：该算法用于生成交易的不可拆分签名值，输入为不可拆分签名算法fSigned(x)，待签名的交易t。(5)UndVerify：该算法用于验证智能合约交易的不可拆分签名，输出“有效”或者“无效”。本发明在白盒攻击环境下，可实现适用于任何数字签名的智能合约代理不可拆分数字签名。

主权项

1.一种面向区块链智能合约的不可拆分数字签名通用构造方法，其特征在于，包括如下步骤：步骤1.在每一台运行区块链客户端的计算机上，在规定好的安全级别下，输入需要的安全指数k，运行算法1，算法定义如下：算法1.系统初始化算法：Setup(1^k)，输入的k∈N(N为自然数)是一个安全参数，算法输出公共参数设置在公共参数Ω中，是一个循环群，称为“群”，其阶数为质数q，G是“群”的生成元，其阶数为质数q，满足q·G＝O，O代表“群”的零元，H(·)是一个密码杂凑函数，Sig_G,q,H,x是一个任意的数字签名函数，Ver_G,q,H,Y是对应该Sig_G,q,H,x签名函数的验证函数；步骤2.算法1执行结束后得到了系统参数Ω，区块链中所有客户端用户都可以得到该参数，随后每一个客户本地运行算法2，具体定义如下：算法2.KGen()(1)调用Sig_G,q,H,x的公钥私钥生成算法，生成私钥x和公钥Y；在运行完算法2后，每个用户得到私钥x和公钥Y；用户各自妥善保管自己的私钥x，其公钥Y可以公开在区块链网络中；步骤3.客户端在本地将私钥x，需求描述字符串c，签名算法Sig_G,q,H,x作为输入运行算法3，c是客户端对交易的一种限定；该算法3将生成一个不可拆分签名函数f_signed(x)；算法3.不可拆分签名算法生成算法SignFuncGen(x,c,Sig_G,q,H,x)(1)Z_q中随机选取的一个元素x_c，x_c的作用相当于一个临时的私钥；(2)计算Y_c←x_c·G，Y_c是对应于临时私钥x_c的临时公钥；(3)计算Σ_c←Sig_G,q,H,x(Y_c||c)，Σ_c是对Y_c与限定条件c拼接字符串的签名值；(4)输出f_signed(x)＝＜x_c,Y_c,Σ_c＞；执行完该算法3后客户端将输出一个不可拆分签名函数f_signed(x)＝＜x_c,Y_c,Σ_c＞；该函数对应c和私钥x有唯一的＜x_c,Y_c,Σ_c＞值；步骤4.客户端调用代理签名智能合约，并将不可拆分签名函数f_signed(x)以及待签名交易t传递给智能合约，智能合约收到参数后执行算法4，代理用户对该交易进行签名；算法4.不可拆分签名生成算法UndSign(f_signed(x),t)；输入不可拆分签名函数f_signed(x)，待签名交易t，算法步骤按顺序执行如下：(1)计算e＝H(t)，其中H(·)是密码杂凑函数，e是t的哈希值对应的整数值；(2)随机选取Z_q与算法3中的Z_q相同；(3)计算椭圆曲线的点R＝(r_x,r_y)＝k·G，r_x,r_y是点R的横坐标与纵坐标；(4)计算r_c＝r_xmodq，r_c是r_x在Z_q中对应的元素，如果r_c＝0，返回步骤(2)；(5)从f_Signed(x)中提取x_c；(6)计算s_c＝k^‑1·(e+r_c·x_c)modq，如果s_c＝0，返回步骤(2)；(7)从f_Signed(x)中提取Y_c,∑_c；(8)输出签名值UndSig(t)＝＜r_c,s_c,Y_c,Σ_c＞；步骤5.智能合约将该签名后的交易t以及其签名值UndSig(t)广播到区块链网络中去；步骤6.签名后的交易被加入到区块链中矿工节点所维护的交易池中，之后矿工按顺序检验交易的合法性，运行算法5，验证该交易的签名；算法5.签名验证算法UndVerify(Y,t,c,<r_c,s_c,Y_c,Σ_c>,Ver_G,q,H,Y)；输入公钥Y，交易t，需求描述字符串c，签名值<r_c,s_c,Y_c,Σ_c>，签名验证算法Ver_G,q,H,Y；算法步骤按顺序执行如下：(1)检验Y_c是否是“群”中的元素，如果不是则签名无效，否则执行下一步；(2)利用Ver_G,q,H,Y算法检验∑_c是否为Y_c||c的合法签名，如果是则执行下一步，否则签名无效；(3)计算e＝H(t)，其中H(·)是密码杂凑函数，提供给步骤(5)；(4)计算w＝s_c^‑1modq，提供给步骤(5)；(5)计算u₁＝e·wmod q和u₂＝r_c·wmod q；提供给步骤(6)；(6)计算曲线点(x₁,y₁)＝u₁·G+u₂·Y_c，如果(x₁,y₁)＝O则签名无效，否则计算z＝x₁modq；(7)如果r_c＝z则签名有效，否则无效；如果签名有效，则该交易合法，完成交易并将该交易添加到下一个区块中即可，如果签名无效，则表明该交易不合法或者代理合约不合法，则该交易无效，并不会被区块链网络所认可；至此，整个方案的步骤结束。