[发明专利]无可信中心的群签名方法

权利要求书

1.一种无可信中心的群签名方法，其特征在于包括以下步骤：

步骤一、每一个签名参与者ID_i选取d_i∈{1,2,...,n-1}作为自己的子私钥，按照下式，计算自己的子公钥Q_i并对子公钥Q_i进行公开，i＝1,2,...,t；

Q_i＝d_iG

其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i表示第i个签名参与者ID_i的子公钥，t为正整数，表示签名参与者ID_i的数目，G表示椭圆曲线上一个阶为n的基点；

步骤二、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：

其中，Q表示签名公钥，∑表示求和操作；

步骤三、每一个签名参与者ID_i选择秘密随机数k_i，并把k_i安全地广播给除自己之外的其他t-1个签名参与者ID_j，j＝1,2,...,t，j≠i；

其中，k_i表示第i个签名参与者ID_i选取的随机数；

步骤四、每一个签名参与者ID_i收到t-1个随机数后，计算签名随机数和验证参数R＝(x_R,y_R)＝kG；

其中，k表示t个签名参与者ID_i共同协商出的签名随机数，R表示验证参数，x_R表示验证参数R的横坐标，y_R表示验证参数R的纵坐标，n表示椭圆曲线基点G的阶，mod表示求模操作；

步骤五、按照下式，每一个签名参与者ID_i计算第一部分签名r，如果r＝0，则返回步骤三，如果r≠0，则继续执行下面的步骤：

r＝x_Rmodn

其中，r表示第一部分签名；

步骤六、每一个签名参与者ID_i计算消息M的哈希值H＝hash(M)，并按照数据类型转换规则，将H转化为一个整数e，之后计算自己的部分签名s_i＝k^-1(t^-1e+rd_i)modn；如果s_i＝0，则返回步骤三，如果s_i≠0，则继续执行下面的步骤；

其中，M表示消息，H表示消息M的哈希值，hash表示密码哈希算法，e表示哈希值H转换后的整数值，s_i表示第i个签名参与者ID_i所计算的部分签名，k^-1表示t个签名参与者ID_i共同协商出的签名随机数k在模n下的乘法逆元，t^-1表示签名参与者ID_i的数目t在模n下的乘法逆元；

步骤七、每一个签名参与者ID_i通过安全信道将自己的签名(r,s_i)发送给签名合成者；

其中，(r,s_i)表示第i个签名参与者ID_i的签名，由第一部分签名r和第i个签名参与者ID_i所计算的部分签名s_i两部分构成；

步骤八、签名合成者收到每个签名(r,s_i)后，对每个签名(r,s_i)计算第一个签名验证参数u_i1＝t^-1es_i^-1modn，计算第二个签名验证参数u_i2＝rs_i^-1modn和验证参数R_i′＝(x_iR′,y_iR′)＝u_i1G+u_i2Q_i，并判断验证参数R_i′是否为零点；如果R_i′是零点，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程，如果R_i′不是零点，则计算签名参数r_i＝x_iR′modn，并验证等式r_i＝r是否成立；如果等式成立，则签名(r,s_i)验证成功，如果等式不成立，则签名(r,s_i)验证失败，通知每一个签名参与者ID_i签名失败并退出签名过程；如果每个签名参与者ID_i的签名(r,s_i)均验证成功，则继续执行下面的步骤，如果有的签名参与者ID_i的签名验证失败，则通知每一个签名参与者ID_i签名失败并退出签名过程，其中i＝1,2,...,t；

其中，u_i1表示第i个签名(r,s_i)的第一个签名验证参数，u_i2表示第i个签名(r,s_i)的第二个签名验证参数，R_i′表示签名合成者计算的第i个签名(r,s_i)的验证参数，x_iR′表示签名合成者计算的第i个签名验证参数R_i′的横坐标，y_iR′表示签名合成者计算的第i个签名验证参数R_i′的纵坐标；r_i表示签名合成者计算的第i个签名参与者ID_i的签名参数；

步骤九、按照下式，签名合成者计算第二部分签名s，合成签名(r,s)并退出签名过程：

其中，s表示签名合成者计算的第二部分签名，(r,s)表示签名合成者合成的签名。