[发明专利]基于椭圆曲线数字签名的区块链智能合约不可拆分签名方法

权利要求书

1.一种适用于区块链智能合约的不可拆分数字签名方法，它包括六个如下步骤：

步骤1.在每一台运行区块链客户端的计算机上输入需要的安全指数k，并在规定好的安全级别下运行算法1，算法定义如下：

算法1.系统初始化算法：Setup(1^k)，输入的k∈N是一个安全参数，N为自然数，算法输出公共参数设置Ω＝(CURVE,G,p,q,H(·))；

在公共参数Ω中，CURVE代表所使用的椭圆曲线的方程式及其数域，G代表椭圆曲线的基点，即椭圆曲线的生成元，其阶数为质数q，满足q·G＝O，O代表零点，“·”表示椭圆曲线标量点乘法；p表示椭圆曲线坐标所在的域的阶数，也为质数；

定义：在椭圆曲线上的离散对数问题(ECDLP)：给定素数阶p和椭圆曲线CURVE，对B＝k·A，在已知点A,B的情况下，可以证明已知k和A计算B比较容易，而由B和A计算k则比较困难；

步骤2.算法1执行结束后得到了系统参数Ω，区块链中所有用户都可以得到该参数，随后每一个客户本地运行算法2，具体定义如下：

算法2.KGEN()

(1)

(2)Y＝x·G

在运行完算法2后，每个用户得到公钥Y和私钥x；用户各自妥善保管自己的私钥，其公钥可以公开在区块链网络中；

步骤3.客户端在本地将私钥x，需求描述字符串Q作为输入运行算法3，Q是客户端对交易的一种限定；该算法将生成一个不可拆分签名函数f_Signed(x)；

算法3.不可拆分签名算法生成算法SignFuncGen(x,Q)

(1)随机选取

(2)计算Z＝(z_x,z_y)＝w·G

(3)计算x_Q＝xw+z_x

(4)计算Y_Q＝xZ+z_x·G

(5)计算u＝H(Z||Q||Y_Q)，H(·)是密码杂凑函数

(6)v＝w-xumodq

(7)输出f_Signed(x)＝＜x_Q,Y_Q,u,v＞

执行完该算法后客户端将输出一个不可拆分签名函数f_Signed(x)＝＜x_Q,Y_Q,u,v＞，该函数对应私钥x和Q有唯一的＜x_Q,Y_Q,u,v＞值；

步骤4.客户端调用代理签名智能合约，并将不可拆分签名函数f_Signed(x)以及待签名交易t传递给智能合约，智能合约收到参数后执行算法4，代理用户对该交易进行签名；

算法4.不可拆分签名生成算法Sign(f_Signed(x),t)；输入不可拆分签名函数f_Signed(x)，待签名交易t，算法步骤按顺序执行如下：

(1)计算e＝H(t)，其中H(·)是密码杂凑函数

(2)随机选取

(3)计算R＝(r_x,r_y)＝k·G

(4)计算r＝r_xmodq，如果r＝0，返回步骤(2)

(5)从f_Signed(x)中提取x_Q

(6)计算s＝k^-1·(e+r·x_Q)modq，如果s＝0，返回步骤(2)

(7)从f_Signed(x)中提取u,v,Y_Q

(8)输出签名值Sig(t)＝r,s,u,v,Y_Q

步骤5.智能合约将该签名后的交易t以及其签名值Sig(t)广播到区块链网络中去；

步骤6.签名后的交易被加入到区块链中矿工节点所维护的交易池中，之后矿工按顺序检验交易的合法性，运行算法5，验证该交易的签名；

算法5.签名验证算法Verify(Y,t,Q,r,s,u,v,Y_Q)；输入公钥Y，交易t，需求描述字符串Q，签名值r,s,u,v,Y_Q，算法步骤按顺序执行如下：

(1)检验Y_Q是否是椭圆曲线CURVE上的点，如果不是则签名无效，否则执行下一步

(2)检验Y_Q是否是椭圆曲线CURVE上的零点O，如果是则签名无效，否则执行下一步

(3)检验r和s是否都是中的元素，如果不是则签名无效

(4)计算Z_v＝v·G+u·Y

(5)计算u_v＝H(Z_v||Q||Y_Q)，H(·)是密码杂凑函数

(6)判断是否u_v＝u，如果不相等则签名无效

(7)计算e＝H(t)，其中H(·)是密码杂凑函数

(8)计算w＝s^-1mod q

(9)计算u₁＝ewmod q和u₂＝rwmod q

(10)计算曲线点(x₁,y₁)＝u₁·G+u₂·Y_Q，如果(x₁,y₁)＝O则签名无效；

(11)如果r≡x₁(modq)则签名有效，否则无效；

如果签名有效，则该交易合法，完成交易并将该交易添加到下一个区块中即可，如果签名无效，则表明该交易不合法或者代理合约不合法，则该交易无效，并不会被区块链网络所认可；

至此，整个方案的步骤结束。