CN114157427A - 基于sm2数字签名的门限签名方法 - Google Patents

Abstract

本发明所述的基于SM2数字签名的门限签名方法，主要包括公共参数生成阶段、秘钥生成阶段和签名阶段，其中：在公共参数生成阶段，多个参与者协作生成CL加密的参数g_q；在秘钥生成阶段，选择各自随机的私钥份额，生成算法的公钥作为公开值，使用可验证秘密共享协议重新生成参与方各自的私钥份额；在签名阶段，使用CL方法解决秘密值的乘法问题，交互过程中获得的秘密份额可以验证对方是否诚实，利用诚实参与者各自的签名累加生成最后的总签名。本发明的(t，n)SM2门限签名方案中，参与方人数n仅要求大于等于t+1，CL方案的消息空间与SM2签名算法中使用的大素数相同，避免了范围证明，每一方的签名都可以验证其合法性。

Description

基于SM2数字签名的门限签名方法

技术领域

本发明涉及门限签名领域，具体是涉及基于SM2数字签名的门限签名方法。

背景技术

国家密码管理局发布的SM2椭圆曲线公钥密码算法是我国商用公钥密码标准算法，共包含总则、数字签名算法、密钥交换协议、密钥封装机制、公钥加密算法和参数定义五个部分。SM2算法的参数需要利用算法产生，同时加入了用户特异性的椭圆曲线参数、基点、用户公钥点信息，使SM2算法相较于ECC算法安全性有明显提升。

普通签名算法中，只有一个用户拥有私钥。当攻击者窃取该用户的私钥后可以伪造签名信息。门限签名的思想能够有效针对这个问题。门限签名是门限秘密共享技术和数字签名的一种结合，由潜在的参与方共同运行，只有预定部分的参与方同意时，才可以生成特定消息下的签名。在(t，n)门限签名方案中，由n个成员组成一个签名群体，群体中有一对公私钥，当多于t个成员诚实时，可以代表群体用群私钥进行签名，任何人可利用该群体的公钥进行签名验证。其中，t是门限值，任意不少于t+1个人的签名都可以恢复出签名，群体中任何t个或更少的成员不能代表该群体进行签名，同时任何成员不能假冒其他成员进行签名。采用门限签名方式可以有效实现权力分配，同时避免滥用职权。

尚铭等人在2014年提出的SM2椭圆曲线门限密码算法中，私钥信息被分享给独立的多个参与者，签名需要多个参与者同意，但是，该方法中总成员数n必须大于等于2t+1，不适用(2，3)等区块链签名。签名过程中需要公开签名中的乘法分量，且无法确定不诚实用户，存在秘密份额泄露的风险。

ZL2018113793989一种多方联合生成SM2数字签名的方法，每个参与方在不得到完整的私钥的情况下通过交互完成对消息产生唯一的签名，使用零知识证明来保证发送数据的隐私性并且证明发送的数据是来自发送方，但签名过程需要所有参与方共同参与，一旦参与方中存在多数的不诚实者，就会造成签名失败，威胁了安全性和公平性，甚至造成巨大的利益损失。

ZL2018114738527一种基于SM2签名算法的门限签名方法，采用DSA的签名算法，多个用户联合生成DSA公私钥，通过同态性加密的性质共同计算得到DSA签名的加密值，最后对该值解密就生成消息摘要的签名。此方法的签名过程中需要计算n方参与者之间的乘法运算，计算复杂度大。

发明内容

为解决上述技术问题，本发明提供了一种基于SM2数字签名的门限签名方法，可以在不诚实者占多数的前提下，保证签名的有效性。

本发明所述的基于SM2数字签名的门限签名方法，其步骤为：

S1、公共参数生成阶段：所有参与者协作生成CL加密方案的公共参数g_q，作为公开值在用户之间共享；

S2、秘钥生成阶段：所有参与方生成各自的SM2公钥和私钥，将各自的公钥发送给其他参与方，生成SM2系统公钥，私密保存各自的私钥；

S3、签名阶段：所有参与方利用CL加密方案传输密文，与其他参与方交互生成各自的签名，所有参与方广播各自的签名并累加生成SM2最后的总签名。

进一步的，S1所述的公共参数生成阶段的具体步骤为：

S1-1、计算基本判别式和生成类群需要用到的随机公共参数

S1-1-1、n方参与者

输入公共参数(q，1^λ)，协作运行ISetup算法，其中，λ是安全参数，q是有限域F_q的阶；参与方

选择随机数r_i，

计算r_i的承诺(gc_i，gd_i)←Com(r_i)，并广播gc_i；其中，Com指承诺算法，gc_i为承诺信息，gd_i为打开承诺的信息；

S1-1-2、各参与方

收到其余方

的承诺{gc_j}_j≠i后，广播gd_i；

S1-1-3、各参与方

收到广播的gd_i后，执行r_i←Open(gc_i，gd_i)，揭开r_i，Open为打开承诺的算法；

S1-1-4各参与方

计算公共参数

S1-2、协作生成公共参数g_q；

S1-2-1、各参与方

运行

其中，

是λ比特整数，子群

由

生成，

子群F由f生成，

是

阶的上限，生成CL方案的公共参数；

S1-2-2、各参与方

选择一个随机数ti，

计算

生成各自随机的g_i份额；

S1-2-3、各参与方

计算g_i的承诺

广播

为承诺信息，

为打开承诺的信息；；

S1-2-4、各参与方

收到其余方

的承诺

后，广播

S1-2-5、各参与方

收到广播的

后，执行

揭开g_i；

S1-2-6、各参与方

广播t_i的零知识证明ZKPoK，

证明自己知道t_i；

S1-2-7、

收到广播的零知识证明后进行验证，若验证失败，则终止协议；

S1-2-8、各参与方

计算出CL加密方案的公共参数g_q，

输出CL方案的公共参数

进一步的，S2中SM2密钥生成阶段的具体步骤为：

S2-1、生成SM2门限签名公钥；

S2-1-1、各参与方

选择一个随机数u_i，

计算_iG的承诺，

[kgc_i，kgd_i]←Com(u_iG)，G为椭圆曲线上的基点；

S2-1-2、各参与方

生成CL加密方案的一对公私钥(sk_i，pk_i)，

(sk_i，pk_i)←CL.KeyGen(1^λ)；CL.KeyGen(1^λ)秘钥生成算法：选择

设

计算

返回(sk，pk)；

S2-1-3、各参与方

广播自己的公钥和对u_iG的承诺(pk_i，kgc_i)；

S2-1-4、各参与方

广播打开承诺的信息kgd_i；

S2-1-5、各参与方

收到其余方

的广播后，揭开每方的承诺P_i←Open(kgc_i，kgd_i)，其中，P_i＝u_iG为各参与方

的公钥；

S2-1-6、各参与方

计算SM2算法公钥

S2-2、生成SM2门限签名私钥；

S2-2-1、各参与方

执行ui的门限(t，n)Feldman-Vss算法，

其中，a_i，k为选择的k项个系数，X为自变量；

S2-2-2、当各参与者

与其他参与方

交互时，向

发送σ_i，j，其中，{σ_i，j：＝p_i(j)}_j∈[n]为多项式的计算结果；

S2-2-3、收到各方发来的σ_i，j后，各参与方

计算d_i：＝∑_k∈[n]p_k(i)，其中，d_i是签名私钥d的(t，n)Shamir门限份额；

S2-2-4、各参与方

向所有参与方广播Feldman-Vss算法系数和基点的乘积{V_i，k}_k∈[t]，其中，{V_i，k：＝a_i，kG}_k∈[t]；

S2-2-5、各参与方

计算零知识证明

并广播πk_g，i，证明自己知道d_i；

S2-2-6、

收到广播的零知识证明后进行验证，若验证失败，则终止协议。

进一步的，S3签名阶段的具体步骤为：

S3-1、参与方生成各自的(t，n)门限秘密份额；

S3-2、对秘密份额加密；

S3-3、生成各自的可加份额；

S3-4、计算SM2签名的第一部分r；

S3-5、计算SM2签名的第二部分s。

进一步的，S3-1参与方生成各自的(t，n)门限秘密份额的具体步骤为：

S3-1-1、各参与方

使用适当的拉格朗日系数将私钥d的(t，n)份额{d_i}_i∈[n]转换为d的(t，t)份额{w_i}_i∈S，得到d＝∑w_i；

S3-1-2、各参与方

计算1+d的(t，t)份额{v_i}_i∈S，其中(1+d)^-1＝∑v_i；

由于D_i＝d_i·G和拉格朗日系数是公共值，所有方都可以计算出

进一步的，S3-2对秘密份额加密的具体步骤为：

S3-2-1、各参与方

输入签名信息m后，首先选择随机的私有共享(k_i，γ_i)，

选择随机数r_i和r_i′，

用CL加密算法对随机数K_i加密，

得到

CL.Enc(pk，m)加密算法：选择

返回

S3-2-2、各参与方

对私有份额v_i加密，

得到

其中，使用到的CL.Enc(pk，m)加密算法为：选择

返回

S3-2-3、各参与方

计算γ_iG的承诺，[sc_i，sd_i]←Com(γ_iG)；其中，sc_i为承诺信息，sd_i为打开承诺的信息；

S3-2-4、各参与方

计算零知识证明ZKAok

来保证CL密文形式正确；

S3-2-5、各参与方

将

广播给其余参与方

若

验证证明失败，则终止协议。

进一步的，S3-3生成各自的可加份额的具体步骤为：

S3-3-1、定义由n方参与者生成签名算法过程中的乘法份额，k：＝∑_i∈Sk_i，γ：＝∑_i∈Sγ_i，kγ＝∑_i，j∈Sk_jγ_i，k(1+d)-1＝∑_i，j∈Sk_jv_i，(1+d)^-1d＝∑_i，j∈Sv_jw_i；

S3-3-2、各参与方

选择交互过程中己方的随机加法份额

计算B_ji：＝β_j，i·G，C_j，i∶＝v_j，i·G用于验证对方在签名过程中是否诚实；用交互的

的公钥pk_j对

使用CL加密算法加密，

导到

得到

得到

S3-3-3、各参与方

使用CL同态加密方法中的转化和算法、转化标量算法计算计算

得到

利用同样的加密方法

得到

得到

S3-3-4、各参与方

将将密文和验证信息

广播给

S3-3-5、

解密密文

以恢复出另一半可加份额(α_j，i，μ_j，i，τ_j，i)

解密后得到明文α_j，i＝k_jv_i-β_j，i，μ_j，i＝v_jw_i-v_j，i，

S3-3-6、

验证

若等式不成立，说明有参与者使用了与秘密共享阶段不同的私钥，验证不通过，中止协议；

S3-3-7、各参与方

保存(ρ_i，σ_i，δ_i)，其中，ρ_i＝k_iv_i+∑_j≠i(α_i，j+β_j，i)，σ_i＝v_iw_i+∑_j≠i(μ_i，j+v_j，i)作为计算签名算法中s的信息，

作为计算签名算法中r的信息。

进一步的，S3-4、计算SM2签名中的r的具体步骤为：

S3-4-1、各参与方

广播自己的δ_i，所有的参与方计算δ＝∑_i∈Sδ_i＝kγ^-1；

S3-4-2、各参与方

广播承诺中的sd_i来解除对Γ_i的承诺，其中Γ_i＝γ_iG＝Open(sc_i，sd_i)；

S3-4-3、各参与方

计算零知识证明

并广播，证明自己知道γ_i，

收到后若验证不通过，中止协议；

S3-4-4、各参与方

计算R：＝δ(∑_i∈SΓ_i)＝k·G，r：＝R_x+e；其中，R_x是R的横坐标，e是消息m的哈希值。

进一步的，S3-5、计算SM2签名中的S的具体步骤为

S3-5-1、各参与方

计算各自的签名信息s_i＝ρ_i-rσ_i；

S3-5-2、各参与方

选择独立随机数(η_i，θ_i)，计算验证信息V_i：＝s_i(G+P)+η_iG；A_i：＝θ_iG；

并广播

S3-5-3、各参与方

收到其余方

广播的对验证信息的承诺信息

后，通过广播

来解除承诺，

同时计算(s_i，η_i，θ_i)的零知识证明NIZKPoK，

证明自己知道(s_i，η_i，θ_i)；

S3-5-4、

收到后检查零知识证明NIZKPoK，若验证不通过，中止协议；各参与方

利用消息m，签名信息R和r以及公钥P计算

V：＝m+rP-R+∑_i∈SV_i，A：＝∑_i∈SA_i；

S3-5-5、各参与方

计算U_i：＝θ_iV，T_i：＝η_iA，对U_i和T_i计算承诺

广播

S3-5-6、各参与方

收到其余方

广播的

后，广播

收到后

解除承诺，

S3-5-7、各参与方

检查∑_i∈ST_i＝∑_i∈SU_i，若验证不通过，中止协议；

S3-5-8、各参与方

广播s_i，所有参与方都计算s：＝∑_i∈Ss_i；

S3-5-9、各参与方

检查(r，s)是否是合理的SM2签名，输出(r，s)，否则停止协议。

本发明所述的有益效果为：本发明的(t，n)SM2门限签名协议中，参与方人数n仅要求大于等于t+1；使用CL方法解决秘密值的乘法问题，将乘法份额转变为可加份额，签名过程中n方之间的乘法转化为一对乘法，降低了计算复杂度；CL方案的消息空间与SM2签名算法中使用的大素数相同，从而避免范围证明；每一方的签名都可以验证合法性。

附图说明

为了使本发明的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本发明作进一步详细的说明。

图1为本发明实施例中门限签名算法的流程图；

图2为本发明实施例中生成公共参数交互示意图；

图3为本发明实施例中生成公私钥交互示意图；

图4为本发明实施例中生成签名交互示意图。

具体实施方式

本发明所述的基于SM2数字签名的门限签名方法，主要包括公共参数生成阶段、秘钥生成阶段和签名阶段，其中：在系统建立阶段，多个参与者协作生成CL加密的参数g_q，作为公开值在用户之间共享；在秘钥生成阶段，选择各自随机的私钥份额，生成算法的公钥作为公开值；在签名阶段使用Feldman Vss协议重新生成参与方各自的私钥份额，使用CL方法解决秘密值的乘法问题，与其他参与方交互将乘法份额转变为可加份额，n方之间的乘法转化为一对乘法，交互过程中获得的加法份额可以验证对方是否诚实；利用诚实参与者各自的签名累加生成最后的总签名。

在秘钥生成阶段和签名阶段的步骤1、2、4、5，所有参与方对各自的输入都执行相同的操作，在本发明中只描述某些方

的执行步骤。若

广播某个值v_i

也隐式地接受

广播的v_j；签名阶段的步骤3由n个参与方中所有的

对执行。

在本实施例中，引用文献“Castagnos，G.，Catalano，D.，Laguillaumie，F.，Savasta，F.，Tucker，I.：Bandwidth-efficient threshold EC-DSA.Cryptology ePrintArchive，Report 2020/084(2020).”中描述的零知识证明作为实施例中用到的ZKPoK算法，Feldman可验证秘密共享和承诺算法作为本发明的Feldman-Vss算法和Com算法。

n个参与方的的公共参数(E(F_q)，q，G)是SM2数字签名算法的系统参数，其中，E(F_q)表示F_q上椭圆曲线E的所有有理点，有限域F_q的阶是素数q，G表示椭圆曲线上的基点，G的阶为n。选取椭圆曲线方程E为y²＝x³+ax+b，其中，a，b∈F_q。本发明中使用国密SM3哈希算法，系统参数的选取符合SM2数字签名算法、SM3哈希算法的标准规范。

本发明所述的基于SM2数字签名的门限签名方法，其具体步骤为：

S1、公共参数生成阶段：所有参与者协作生成CL加密方案的公共参数g_q，作为公开值存用户之间共享；

S2、秘钥生成阶段；所有参与方生成各自的SM2公钥和私钥，将各自的公钥发送个其他参与方，生成SM2系统公钥，私密保存各自的私钥；

S3、签名阶段：所有参与方利用CL加密方案与其他参与方交互生成各自的签名，所有参与方广播各自的签名并累加生成SM2最后的总签名。

其中，公共参数生成阶段的具体步骤为：

S1-1、计算基本判别式和生成类群需要用到的随机公共参数

S1-1-1、n方参与者

输入公共参数(q，1^λ)，协作运行ISetup算法，其中，λ是安全参数，q是有限域F_q的阶；参与方

选择随机数r_i，

计算r_i的承诺(gc_i，gd_i)←Com(r_i)，并广播gc_i；其中，Com指承诺算法，gc_i为承诺信息，gd_i为打开承诺的信息；

S1-1-2、各参与方

收到其余方

的承诺{gc_j}_j≠i后，广播gd_i；

S1-1-3、各参与方

收到广播的gd_i后，执行r_i←Open(gc_i，gd_i)，揭开r_i，Open为打开承诺的算法；

S1-1-4各参与方

计算公共参数

S1-2、协作生成公共参数g_q；

S1-2-1、各参与方

运行

其中，

是λ比特整数，子群

由

生成，

子群F由f生成，

是

阶的上限，生成CL方案的公共参数；

S1-2-2、各参与力

选择一个随机数t_i，

计算

生成各自随机的g_i份额；

S1-2-3、各参与方

汁算g_i的承诺

广播

为承诺信息，

为打开承诺的信息；；

S1-2-4、各参与方

收到其余方

的承诺

后，广播

S1-2-5、各参与方

收到广播的

后，执行

揭开g_i；

S1-2-6、各参与方

广播t_i的零知识证明ZKPoK，

证明自己知道t_i；

S1-2-7、

收到广播的零知识证明后进行验证，若验证失败，则终止协议；S1-2-8、各参与方

计算出CL加密方案的公共参数g_q，

输出CL方案的公共参数

SM2密钥生成阶段的具体步骤为：

S2-1、生成SM2门限签名公钥；

S2-1-1、各参与方

选择一个随机数u_i，

计算u_iG的承诺，[kgc_i，kgd_i]←Com(u_iG)，G为椭圆曲线上的基点；

S2-1-2、各参与方

生成CL加密方案的一对公私钥(sk_i，pk_i)，(sk_i，pk_i)←CL.KeyGen(1^λ)；CL.KeyGen(1^λ)秘钥生成算法：选择

设

计算

返回(sk，pk)；

S2-1-3、各参与方

广播自己的公钥和对u_iG的承诺(pk_i，kgc_i)；

S2-1-4、各参与方

广播打开承诺的信息kgd_i；

S2-1-5、各参与方

收到其余方

的广播后，揭开每方的承诺P_i←Open(kgc_i，kgd_i)，其中，P_i＝u_iG为各参与方

的公钥；

S2-1-6、各参与方

计算SM2算法公钥

S2-2、生成SM2门限签名私钥；

S2-2-1、各参与方

执行u_i的门限(t，n)Feldman-Vss算法，

其中，a_i，k为选择的k项个系数，X为自变量；S2-2-2、当各参与者

与其他参与方

交互时，向

发送σ_i，j，其中，{σ_i，j：＝p_i(j)}_j∈[n]为多项式的计算结果；

S2-2-3、收到各方发来的σ_i，j后，各参与方

汁算d_i：＝∑_k∈[n]p_k(i)，其中，d_i是签名私钥d的(t，n)Shamir门限份额；

S2-2-4、各参与方

向所有参与方广播Feldman-Vss算法系数和基点的乘积{V_i，k}_k∈[t]，其中，{V_i，k：＝a_i，kG}_k∈[t]；

S2-2-5、各参与方

计算零知识证明

并广播π_kg，i，证明自己知道d_i；

S2-2-6、

收到广播的零知识证明后进行验证，若验证失败，则终止协议。

签名阶段，将乘法份额转变为可加份额的签名方案：

在SM2签名算法中，r＝kG+e，s＝k(1+d)^-1-(1+d)^-1rd；本实施例中存在n方参与者的情况下，多方参与者交互生成乘法秘密值，最终合作生成签名的算法过程如下：令kG＝kγ^-1γG＝(∑_i，j∈[S]k_iγ_j ^-1)·(∑_i∈[S]γ_iG)＝[∑_i∈[S](∑_j∈[S](k_iγ_j))]·(∑_i∈[S]γ_iG)，k(1+d)^-1＝∑_i，j∈[S]k_jv_i＝∑_i∈[S](∑_j∈[S](k_iv_j))，(1+d)^-1d＝∑_i，j∈[S]v_jw_i＝∑_i∈[S](∑_j∈[S](v_iw_j))；

设

ρ_i＝∑_i∈[S](k_iv_j)＝k_iv_i+∑_i≠j(k_iv_j)＝k_iv_i+∑_j≠i(α_i，j+β_j，i)，σ_i＝(∑_i∈[S](v_iw_j)＝v_iw_i+∑_i≠j(v_iw_j)＝v_iw_i+∑_j≠i(μ_i，d+v_j，i)；则可以得到kG＝∑_i∈[S]δ_i·(∑_i∈[S]γ_iG)＝∑_i∈[S]δ_i·∑_i∈[S]Γ_i，r＝kG+e，s＝∑_i∈[S]ρ_i-r∑_i∈[S]σ_i＝∑_i∈[S](ρ_i-rσ_i)；

又s_i＝∑_i∈[S](ρ_i-rσ_i)，因此，s＝∑_i∈[S]s_i。

S3-1参与方生成各自的(t，n)门限秘密份额：

S3-1-1、各参与方

使用适当的拉格朗日系数将私钥d的(t，n)份额(d_i}_i∈[n]转换为d的(t，t)份额{w_i}_i∈S，得到d＝∑w_i；

S3-1-2、各参与方

计算1+d的(t，t)份额{v_i}_i∈S，其中(1+d)^-1＝∑v_i；

由于D_i＝d_i·G和拉格朗日系数是公共值，所有方都可以计算出

S3-2对秘密份额加密：

S3-2-1、各参与方

输入签名信息m后，首先选择随机的私有共享(k_i，γ_i)，

选择随机数r_i和r_i′，

用CL加密算法对随机数k_i加密，

得到

CL.Enc(pk，m)加密算法：选择

返回

S3-2-2、各参与方

对私有份额v_i加密，

得到

其中，使用到的CL.Enc(pk，m)加密算法为：选择

返回

S3-2-3、各参与方

计算γ_iG的承诺，[sc_i，sd_i]←Com(γ_iG)；其中，sc_i为承诺信息，sd_i为打开承诺的信息；

S3-2-4、各参与方

计算零知识证明ZKAok

来保证CL密文形式正确；

证明：Prover执行

c：＝(c₁，c₂)，其中，

r为随机数，

为取值范围；

其中，Gen为参数生成算法，g_q为CL方案参数，t为随机数，

是挑战集合；

Prover输入

Verifier输入((pk，c))；

Prover选择随机数(r₁，r₂)，

计算

将(t₁，t₂)发送给Verifier；Verifier收到(t₁，t₂)后将随机数k发送给Prover；Prover计算u₁：＝r₁+kr，

并将(u₁，u₂)发送给Verifier；Verifier计算

并验证

u₂∈Z/qZ.

用同样的方法验证；

S3-2-5、各参与方

将

广播给其余参与方

若

验证证明失败，则终止协议。

S3-3生成各自的可加份额：

S3-3-1、定义由n方参与者生成签名算法中的乘法份额，k：＝∑_i∈Sk_i，γ：＝∑_i∈Sγ_i，kγ＝∑_i，j∈sk_jγ_i，k(1+d)^-1＝∑_i，j∈Sk_jv_i，(1+d)^-1d＝∑_i，j∈Sv_iw_i；

这个阶段在每对

之间对等进行，是为了将

的乘法份额k_j和

(包括(k_jv_i)的k_j和v_i，(v_jw_i)的v_j和w_i)转换为可加份额，其中，

α_j，i+β_j，i＝k_jv_i，μ_j，i+v_j，i＝v_jw_i；

S3-3-2、各参与方

选择交互过程中己方的随机加法份额

计算B_j，i：＝β_j，i·G，C_j，i：＝v_j，i·G用于验证对方在签名过程中是否诚实；用交互的

的公钥pk_j对

使用CL加密算法加密，

得到

得到

得到

S3-3-3、各参与方

使用CL同态加密方法中的转化和算法、转化标量算法计算

得到

利用同样的加密方法

得到

得到

S3-3-4、各参与方

将密文和验证信息

广播给

S3-3-5、

解密密文

以恢复出另一半可加份额(α_j，i，μ_j，i，τ_j，i)

解密后得到明文，α_j，i＝k_jv_i-β_j，i，μ_j，i＝v_jw_i-v_j，i，

CL.Dec(sk，(c₁，c₂))解密算法：计算

返回Slove(M)；

S3-3-6、

验证

若等式不成立，说明有参与者使用了与秘密共享阶段不同的私钥，验证不通过，中止协议；

S3-3-7、各参与方

保存(ρ_i，σ_i，δ_i)，其中，ρ_i＝k_iv_i+∑_j≠i(α_i，j+β_j，i)，σ_i＝v_iw_i+∑_j≠i(μ_i，j+v_j，i)作为计算签名算法中S的信息，

作为计算签名算法中r的信息。

S3-4、计算SM2签名中的r：

S3-4-1、各参与方

广播自己的δ_i，所有的参与方计算δ＝∑_i∈Sδ_i＝kγ^-1；

S3-4-2、各参与方

广播承诺中的sd_i来解除对Γ_i的承诺，其中Γ_i＝γ_iG＝Open(sc_i，sd_i)；

S3-4-3、各参与力

计算零知识证明

并广播，证明自己知道γ_i，

收到后若验证不通过，中止协议；

S3-4-4、各参与力

计算R：＝δ(∑_i∈SΓ_i)＝k·G，r：＝R_x+e；其中，R_x是R的横坐标，e是消息m的哈希值。

国密局颁发的SM2签名算法中e的计算方法如下：用户首先输入消息m，设ID是长度为entlen比特的标识，ENTL是由entlen转换而成的两个字节，Z＝H₂₅₆(ENTL||ID||a||b||x_G||y_G||x_P||y_P)；其中，(a，b)是椭圆曲线方程的参数，(x_G，y_G)是基点G的坐标，(x_P，y_P)是公钥P的坐标；这些值转换为比特串后，再用H₂₅₆进行哈希，取

H_v是输出v比特长的哈希函数。

S3-5、计算SM2签名中的s：

S3-5-1、各参与方

计算各自的签名信息s_i＝ρ_i-rσ_i；

S3-5-2、各参与方

选择独立随机数(η_i，θ_i)，计算验证信息V_i：＝s_i(G+P)+η_iG；A_i：＝θ_iG；

并广播

S3-5-3、各参与方

收到其余方

广播的对验证信息的承诺信息

后，通过广播

来解除承诺，

同时计算(s_i，η_i，θ_i)的零知识证明NIZKPoK，

证明自己知道(s_i，η_i，θ_i)；

S3-5-4、

收到后检查零知识证明NIZKPoK，若验证不通过，中止协议；各参与方

利用消息m，签名信息R和r以及公钥P计算

V：＝m+rP-R+∑_i∈SV_i，A：＝∑_i∈sA_i；

S3-5-5、各参与方

汁算U_i：＝θ_iV，T_i：＝η_iA，对U_i和T_i计算承诺

广播

S3-5-6、各参与方

收到其余方

广播的

后，广播

收到后

解除承诺，

S3-5-7、各参与方

检查∑_i∈sT_i＝∑_i∈sU_i，若验证不通过，中止协议；

S3-5-8、各参与方

广播s_i，所有参与方都计算s：＝∑_i∈ss_i；

S3-5-9、各参与方

检查(r，s)是否是合理的SM2签名，输出(r，s)，否则停止协议。

本发明使用CL方案解决SM2门限签名中秘密值的乘法问题，每个参与方通过与其他参与方交互，将乘法份额转变为可加份额，n方之间的乘法转化为一对乘法，交互过程中可以验证对方是否诚实，实现了在不诚实者占多数的前提下，保证签名的有效性。

举例来说，本发明所述的SM2门限签名方案可以应用于区块链钱包消费系统。将安全有效的门限SM2签名算法应用于以太坊的钱包控制上，即有n个用户对钱包有监管权，当钱包进行交易消费时，需n个用户中超过阈值t个用户共同生成门限签名，才可以进行消费。

以转账发起人A为例：

1.用户A输入转账地址以及转账数额；

2.签名成员合作生成系统参数以及生成公私钥；

(1)签名群体中的参与者合作生成系统参数；

(2)各参与者选择随机的私钥，通过公开各自的公钥来生成系统公钥，而私钥秘密保存。

3.利用本发明中的门限SM2签名方法交互生成系统签名；

(1)各参与者选择签名算法中的随机份额，加密后将密文发送给其他参与者，同时提供密文完整性的零知识证明。

(2)各参与者收到密文和零知识证明后，首先验证零知识证明，若验证不通过，中止签名过程；

(3)各参与者利用同态加密方法对收到的密文和自己的密文加密发送给其他参与者，同时发送验证信息；

(4)各参与者首先需要判断验证信息是否合法，若不合法，中止签名过程；

(5)各参与者利用解密得到的明文计算签名的部分信息；

(6)各参与者广播自己关于签名的部分信息，计算得到签名中的r。

(7)各参与者生成各自的签名，向其他参与者发送签名的零知识证明以及其他验证信息；

(8)各参与者验证零知识证明以及其他验证信息是否正确，若验证不通过，中止签名；

(9)各参与者通过广播各自的签名生成最终的签名s。

4.验证；

(1)钱包消费系统验证签名(r，s)的合法性；

(2)签名通过验证后，用户A完成转账过程。

若交易中存在欺骗等恶意行为会引起签名过程失败，交易不能加入区块链中，用户A无法完成转账。

基于本发明的方法，很容易构建实施区块链钱包消费系统。

以上所述仅为本发明的优选方案，并非作为对本发明的进一步限定，凡是利用本发明说明书及附图内容所作的各种等效变化均在本发明的保护范围之内。

Claims (9)

1.基于SM2数字签名的门限签名方法，其特征在于，所述方法步骤为：

S1、公共参数生成阶段：所有参与者协作生成CL加密方案的公共参数g_q，作为公开值在用户之间共享；

S2、秘钥生成阶段：所有参与方生成各自的SM2公钥和私钥，将各自的公钥发送给其他参与方，生成SM2系统公钥，私密保存各自的私钥；

S3、签名阶段：所有参与方利用CL加密方案传输密文，与其他参与方交互生成各自的签名，所有参与方广播各自的签名并累加生成SM2最后的总签名。

2.根据权利要求1所述的基于SM2数字签名的门限签名方法，其特征在于，S1所述的公共参数生成阶段的具体步骤为：

S1-1、计算基本判别式和生成类群需要用到的随机公共参数

S1-1-1、n方参与者

输入公共参数(q，1^λ)，协作运行ISetup算法，其中，λ是安全参数，q是有限域F_q的阶；参与方

选择随机数r_i，

计算r_i的承诺(gc_i，gd_i)←Com(r_i)，并广播gc_i；其中，Com指承诺算法，gc_i为承诺信息，gd_i为打开承诺的信息；

S1-1-2、各参与方

收到其余方

的承诺{gc_j}_j≠i后，广播gd_i；

S1-1-3、各参与方

收到广播的gd_i后，执行r_i←Open(gc_i，gd_i)，揭开r_i，Open为打开承诺的算法；

S1-1-4各参与方

计算公共参数

S1-2、协作生成公共参数g_q；

S1-2-1、各参与方

运行

其中，

是λ比特整数，子群

由

生成，

子群F由f生成，

是

阶的上限，生成CL方案的公共参数；

S1-2-2、各参与方

选择一个随机数t_i，

计算

生成各自随机的g_i份额；

S1-2-3、各参与方

计算g_i的承诺

广播

为承诺信息，

为打开承诺的信息；；

S1-2-4、各参与方

收到其余方

的承诺

后，广播

S1-2-5、各参与方

收到广播的

后，执行

揭开g_i；

S1-2-6、各参与方

广播t_i的零知识证明ZKPoK，

证明自己知道t_i；

S1-2-7、

收到广播的零知识证明后进行验证，若验证失败，则终止协议；

S1-2-8、各参与方

计算出CL加密方案的公共参数g_q，

输出CL方案的公共参数

3.根据权利要求1所述的基于SM2数字签名的门限签名方法，其特征在于，S2中SM2密钥生成阶段的具体步骤为：

S2-1、生成SM2门限签名公钥；

S2-1-1、各参与方

选择一个随机数u_i，

计算u_iG的承诺，[kgc_i，kgd_i]←Com(u_iG)，G为椭圆曲线上的基点；

S2-1-2、各参与方

生成CL加密方案的一对公私钥(sk_i，pk_i)，(sk_i，pk_i)←CL.KeyGen(1^λ)；CL.KeyGen(1^λ)秘钥生成算法：选择

设

计算

返回(sk，pk)；

S2-1-3、各参与方

广播自己的公钥和对u_iG的承诺(pk_i，kg c_i)；

S2-1-4、各参与方

广播打开承诺的信息kg d_i；

S2-1-5、各参与方

收到其余方

的广播后，揭开每方的承诺P_i←Open(kgc_i，k_gd_i)，其中，P_i＝u_iG为各参与方

的公钥；

S2-1-6、各参与方

计算SM2算法公钥

S2-2、生成SM2门限签名私钥；

S2-2-1、各参与方

执行u_i的门限(t，n)Feldman-Vss算法，

其中，a_i，k为选择的k项个系数，X为自变量；

S2-2-2、当各参与者

与其他参与方

交互时，向

发送σ_i，j，其中，{σ_i，j：＝p_i(j)}_j∈[n]为多项式的计算结果；

S2-2-3、收到各方发来的σ_i，j后，各参与方

计算d_i：＝∑_k∈[n]p_k(i)，其中，d_i是签名私钥d的(t，n)Shamir门限份额；

S2-2-4、各参与方

向所有参与方广播Feldman-Vss算法系数和基点的乘积{V_i，k}_k∈[t]，其中，{V_i，k：＝a_i，kG}_k∈[t]；

S2-2-5、各参与方

计算零知识证明

并广播π_kg，i，证明自己知道d_i；

S2-2-6、

收到广播的零知识证明后进行验证，若验证失败，则终止协议。

4.根据权利要求1所述的基于SM2数字签名的门限签名方法，其特征在于，S3签名阶段的具体步骤为：

S3-1、参与方生成各自的(t，n)门限秘密份额；

S3-2、对秘密份额加密；

S3-3、生成各自的可加份额；

S3-4、计算SM2签名的第一部分r；

S3-5、计算SM2签名的第二部分s。

5.根据权利要求4所述的基于SM2数字签名的门限签名方法，其特征在于，S3-1参与方生成各自的(t，n)门限秘密份额的具体步骤为：

S3-1-1、各参与方

使用适当的拉格朗日系数将私钥d的(t，n)份额{d_i}_i∈[n]转换为d的(t，t)份额{w_i}_i∈S，得到d＝∑w_i；

S3-1-2、各参与方

计算1+d的(t，t)份额{v_i}_i∈S，其中(1+d)^-1＝∑v_i；

由于D_i＝d_i·G和拉格朗日系数是公共值，所有方都可以计算出

6.根据权利要求4所述的基于SM2数字签名的门限签名方法，其特征在于，S3-2对秘密份额加密的具体步骤为：

S3-2-1、各参与方

输入签名信息m后，首先选择随机的私有共享(k_i，γ_i)，

选择随机数r_i和r_i′，

用CL加密算法对随机数k_i加密，

得到

CL.Enc(pk，m)加密算法：选择

返回

S3-2-2、各参与方

对私有份额v_i加密，

得到

其中，使用到的CL.Enc(pk，m)加密算法为：选择

返回

S3-2-3、各参与方

计算γ_iG的承诺，[sc_i，sd_i]←Com(γ_iG)；其中，sc_i为承诺信息，sd_i为打开承诺的信息；

S3-2-4、各参与方

计算零知识证明ZKAok

来保证CL密文形式正确；

S3-2-5、各参与方

将

广播给其余参与方

若

验证证明失败，则终止协议。

7.根据权利要求4所述的基于SM2数字签名的门限签名方法，其特征在于，S3-3生成各自的可加份额的具体步骤为：

S3-3-1、定义由n方参与者生成签名算法过程中的乘法份额，k：＝∑_i∈Sk_i，γ：＝∑_i∈Sγ_i，kγ＝∑_i，j∈Sk_jγ_i，k(1+d)^-1＝∑_i，j∈Sk_jv_i，(1+d)^-1d＝∑_i，j∈Sv_jw_i；

S3-3-2、各参与方

选择交互过程中己方的随机加法份额

计算B_j，i：＝β_j，i·G，C_j，i：＝v_j，i·G用于验证对方在签名过程中是否诚实；用交互的

的公钥pk_j对

使用CL加密算法加密，

得到

得到

得到

S3-3-3、各参与方

使用CL同态加密方法中的转化和算法、转化标量算法计算计算

得到

利用同样的加密方法

得到

得到

S3-3-4、各参与方

将将密文和验证信息

广播给

S3-3-5、

解密密文

以恢复出另一半可加份额(α_j，i，μ_j，i，τ_j，i)，

解密后得到明文α_j，i＝k_jv_i-β_j，i，μ_j，i＝v_jw_i-v_j，i，

S3-3-6、

验证

若等式不成立，说明有参与者使用了与秘密共享阶段不同的私钥，验证不通过，中止协议；

S3-3-7、各参与方

保存(ρ_i，σ_i，δ_i)，其中，ρ_i＝k_iv_i+∑_j≠i(α_i，j+β_j，i)，σ_i＝v_iw_i+∑_j≠i(μ_i，j+v_j，i)作为计算签名算法中s的信息，

作为计算签名算法中r的信息。

8.根据权利要求4所述的基于SM2数字签名的门限签名方法，其特征在于，S3-4、计算SM2签名中的r的具体步骤为：

S3-4-1、各参与方

广播自己的δ_i，所有的参与方计算δ＝∑_i∈Sδ_i＝kγ^-1；

S3-4-2、各参与方

广播承诺中的sd_i来解除对Γ_i的承诺，其中Γ_i＝γ_iG＝Open(sc_i，sd_i)；

S3-4-3、各参与方

计算零知识证明

并广播，证明自己知道γ_i，

收到后若验证不通过，中止协议；

S3-4-4、各参与方

计算R：＝δ(∑_i∈SΓ_i)＝k·G，r：＝R_x+e；其中，R_x是R的横坐标，e是消息m的哈希值。

9.根据权利要求4所述的基于SM2数字签名的门限签名方法，其特征在于，S3-5、计算SM2签名中的s的具体步骤为

S3-5-1、各参与方

计算各自的签名信息s_i＝ρ_i-rσ_i；

S3-5-2、各参与方

选择独立随机数(θ_i，θ_i)，计算验证信息V_i：＝s_i(G+P)+η_iG；

并广播

S3-5-3、各参与方

收到其余方

广播的对验证信息的承诺信息

后，通过广播

来解除承诺，

同时计算(s_i，η_i，θ_i)的零知识证明NIZKPoK，

证明自己知道(s_i，η_i，θ_i)；

S3-5-4、

收到后检查零知识证明NIZKPoK，若验证不通过，中止协议；各参与方

利用消息m，签名信息R和r以及公钥P计算V：＝m+rP-R+∑_i∈SV_i，A：＝∑_i∈SA_i；

S3-5-5、各参与方

计算U_i：＝θ_iV，T_i：＝η_iA，对U_i和T_i计算承诺

广播

S3-5-6、各参与方

收到其余方

广播的

后，广播

收到后

解除承诺，

S3-5-7、各参与方

险查∑_i∈ST_i＝∑_i∈SU_i，若验证不通过，中止协议；

S3-5-8、各参与方

广播s_i，所有参与方都计算s：＝∑_i∈Ss_i；

S3-5-9、各参与方

检查(r，s)是否是合理的SM2签名，输出(r，s)，否则停止协议。

Images