[发明专利]基于SM2数字签名的门限签名方法

权利要求书

1.基于SM2数字签名的门限签名方法，其特征在于，所述方法步骤为：

S1、公共参数生成阶段：所有参与者协作生成CL加密方案的公共参数g_q，作为公开值在用户之间共享；具体为：

S1-1、计算基本判别式和生成类群需要用到的随机公共参数

S1-1-1、n方参与者输入公共参数(q，1^λ)，协作运行ISetup算法，其中，λ是安全参数，q是有限域F_q的阶；参与方选择随机数r_i，计算r_i的承诺(gc_i，gd_i)←Com(r_i)，并广播gc_i；其中，Com指承诺算法，gc_i为承诺信息，gd_i为打开承诺的信息；

S1-1-2、各参与方收到其余方的承诺{gc_j}_j≠i后，广播gd_i；

S1-1-3、各参与方收到广播的gd_i后，执行r_i←Open(gc_i，gd_i)，揭开r_i，Open为打开承诺的算法；

S1-1-4各参与方计算公共参数

S1-2、协作生成公共参数g_q；

S1-2-1、各参与方运行其中，是λ比特整数，子群由生成，子群F由f生成，是阶的上限，生成CL方案的公共参数；

S1-2-2、各参与方选择一个随机数t_i，计算生成各自随机的g_i份额；

S1-2-3、各参与方计算g_i的承诺广播为承诺信息，为打开承诺的信息；

S1-2-4、各参与方收到其余方的承诺后，广播

S1-2-5、各参与方收到广播的后，执行揭开g_i；

S1-2-6、各参与方广播t_i的零知识证明ZKPoK，证明自己知道t_i；

S1-2-7、收到广播的零知识证明后进行验证，若验证失败，则终止协议；

S1-2-8、各参与方计算出CL加密方案的公共参数g_q，输出CL方案的公共参数

S2、秘钥生成阶段：所有参与方生成各自的SM2公钥和私钥，将各自的公钥发送给其他参与方，生成SM2系统公钥，私密保存各自的私钥；具体为：

S2-1、生成SM2门限签名公钥；

S2-1-1、各参与方选择一个随机数u_i，计算u_iG的承诺，[kgc_i，kgd_i]←Com(u_iG)，G为椭圆曲线上的基点；

S2-1-2、各参与方生成CL加密方案的一对公私钥(sk_i，pk_i)，(sk_i，pk_i)←CL.KeyGen(1^λ)；CL.KeyGen(1^λ)秘钥生成算法：选择设计算返回(sk，pk)；

S2-1-3、各参与方广播自己的公钥和对u_iG的承诺(pk_i，kgc_i)；

S2-1-4、各参与方广播打开承诺的信息kgd_i；

S2-1-5、各参与方收到其余方的广播后，揭开每方的承诺P_i←Open(kgc_i，kgd_i)，其中，P_i＝u_iG为各参与方的公钥；

S2-1-6、各参与方计算SM2算法公钥

S2-2、生成SM2门限签名私钥；

S2-2-1、各参与方执行u_i的门限(t，n)Feldman-Vss算法，其中，a_i，k为选择的k项个系数，X为自变量；

S2-2-2、当各参与者与其他参与方交互时，向发送σ_i，j，其中，{σ_i，j：＝p_i(j)}_j∈[n]为多项式的计算结果；

S2-2-3、收到各方发来的σ_i，j后，各参与方计算d_i：＝∑_k∈[n]p_k(i)，其中，d_i是签名私钥d的(t，n)Shamir门限份额；

S2-2-4、各参与方向所有参与方广播Feldman-Vss算法系数和基点的乘积{V_i，k}_k∈[t]，其中，{V_i，k：＝a_i，kG}_k∈[t]；

S2-2-5、各参与方计算零知识证明并广播π_kg，i，证明自己知道d_i；

S2-2-6、收到广播的零知识证明后进行验证，若验证失败，则终止协议；

S3、签名阶段：所有参与方利用CL加密方案传输密文，与其他参与方交互生成各自的签名，所有参与方广播各自的签名并累加生成SM2最后的总签名；具体为：

S3-1、参与方生成各自的(t，n)门限秘密份额；

S3-2、对秘密份额加密；

S3-3、生成各自的可加份额；

S3-4、计算SM2签名的第一部分r；

S3-5、计算SM2签名的第二部分s。