[发明专利]无可信中心的群签名方法

说明书

本发明公开了一种无可信中心的群签名方法，用于解决现有群签名方法效率低的技术问题。技术方案是在密钥生成阶段，t个人选取自己的子私钥，计算并公开自己的子公钥以及签名公钥。在签名阶段，t个人分别利用自己的子私钥计算自己的签名，然后将自己的签名发送给签名合成者去合成。签名合成者收到每个人生成的签名后，利用每个人的子公钥验证签名是否有效，如果每个人的签名都有效，则合成签名，如果有人的签名无效，则通知t个人签名失败并退出签名过程。本发明采用椭圆曲线点乘运算，提高了效率。由于签名由多个人分布式计算生成，签名过程不需要合成私钥，防止私钥泄露；由于与比特币系统的ECDSA签名兼容，也能被比特币签名验证通过。

技术领域

本发明属于密码技术领域，特别是涉及一种无可信中心的群签名方法。

背景技术

文献“Goldfeder S,Gennaro R,Kalodner H,et al.Securing Bitcoin walletsvia a new DSA/ECDSA threshold signature scheme.2015.”中提出了一种适用于比特币钱包的ECDSA门限签名方法。该方法基于椭圆曲线密码体制，通过利用Paillier提出的基于模幂运算的同态加密方法结合零知识证明技术实现了对比特币钱包的无可信中心群签名功能。在该方法中，t个人传递同态加密密文，之后每个人利用自己的份额对其进行计算，并构建零知识证明，随后生成一个对t个人签名的加密密文，最后t个人进行合作解出签名。该方法实现了对比特币钱包的分布式签名功能，即签名必须由t个人进行，如果少于t个人，则不能生成合法的签名，从而提高了比特币交易的安全性。但是，该方法计算步骤中存在零知识证明，零知识证明需要双方的交互，这是一个比较耗时的操作；并且该方法的主要运算为模幂运算。通过分析可知，该方法共有5t-4个模幂运算，而一个模幂运算的时间约为240T_m，整个方法的运行时间约为(5t-4)*240T_m+T_Z＝(1200t-960)T_m+T_Z，其中T_m表示一个模乘运算所需要的时间，*表示乘法操作，T_Z表示零知识证明交互所需要的时间。可以看出，零知识证明和模幂运算的应用导致该方法的计算效率比较低。

发明内容

为了克服现有群签名方法效率低的不足，本发明提供一种无可信中心的群签名方法。该方法在密钥生成阶段，t个人选取自己的子私钥，计算并公开自己的子公钥以及签名公钥。在签名阶段，t个人分别利用自己的子私钥计算自己的签名，然后将自己的签名发送给签名合成者去合成。签名合成者收到每个人生成的签名后，利用每个人的子公钥验证签名是否有效，如果每个人的签名都有效，则合成签名，如果有人的签名无效，则通知t个人签名失败并退出签名过程。本发明没有使用零知识证明这一比较耗时的操作，也没有使用同态加密方法，是基于椭圆曲线点乘进行设计的。一个椭圆曲线点乘运算的时间约为29T_m，和模幂运算相比，椭圆曲线点乘效率是比较高的。因此，与背景技术方法相比，本发明采用椭圆曲线点乘运算并且没有零知识证明，效率得到很大的提升。本发明实现签名由多个人分布式计算生成，签名过程不需要合成私钥，防止私钥的泄露；本发明与比特币系统中的ECDSA签名是兼容的，能被比特币签名验证通过。

本发明解决其技术问题所采用的技术方案是：一种无可信中心的群签名方法，其特点是包括以下步骤：

步骤一、每一个签名参与者ID_i选取d_i∈{1,2,...,n-1}作为自己的子私钥，按照下式，计算自己的子公钥Q_i并对子公钥Q_i进行公开，i＝1,2,...,t；

Q_i＝d_iG