[发明专利]基于SM2数字签名的门限签名方法

说明书

本发明所述的基于SM2数字签名的门限签名方法，主要包括公共参数生成阶段、秘钥生成阶段和签名阶段，其中：在公共参数生成阶段，多个参与者协作生成CL加密的参数gsubgt;q/subgt;；在秘钥生成阶段，选择各自随机的私钥份额，生成算法的公钥作为公开值，使用可验证秘密共享协议重新生成参与方各自的私钥份额；在签名阶段，使用CL方法解决秘密值的乘法问题，交互过程中获得的秘密份额可以验证对方是否诚实，利用诚实参与者各自的签名累加生成最后的总签名。本发明的(t，n)SM2门限签名方案中，参与方人数n仅要求大于等于t+1，CL方案的消息空间与SM2签名算法中使用的大素数相同，避免了范围证明，每一方的签名都可以验证其合法性。

技术领域

本发明涉及门限签名领域，具体是涉及基于SM2数字签名的门限签名方法。

背景技术

国家密码管理局发布的SM2椭圆曲线公钥密码算法是我国商用公钥密码标准算法，共包含总则、数字签名算法、密钥交换协议、密钥封装机制、公钥加密算法和参数定义五个部分。SM2算法的参数需要利用算法产生，同时加入了用户特异性的椭圆曲线参数、基点、用户公钥点信息，使SM2算法相较于ECC算法安全性有明显提升。

普通签名算法中，只有一个用户拥有私钥。当攻击者窃取该用户的私钥后可以伪造签名信息。门限签名的思想能够有效针对这个问题。门限签名是门限秘密共享技术和数字签名的一种结合，由潜在的参与方共同运行，只有预定部分的参与方同意时，才可以生成特定消息下的签名。在(t，n)门限签名方案中，由n个成员组成一个签名群体，群体中有一对公私钥，当多于t个成员诚实时，可以代表群体用群私钥进行签名，任何人可利用该群体的公钥进行签名验证。其中，t是门限值，任意不少于t+1个人的签名都可以恢复出签名，群体中任何t个或更少的成员不能代表该群体进行签名，同时任何成员不能假冒其他成员进行签名。采用门限签名方式可以有效实现权力分配，同时避免滥用职权。

尚铭等人在2014年提出的SM2椭圆曲线门限密码算法中，私钥信息被分享给独立的多个参与者，签名需要多个参与者同意，但是，该方法中总成员数n必须大于等于2t+1，不适用(2，3)等区块链签名。签名过程中需要公开签名中的乘法分量，且无法确定不诚实用户，存在秘密份额泄露的风险。

ZL2018113793989一种多方联合生成SM2数字签名的方法，每个参与方在不得到完整的私钥的情况下通过交互完成对消息产生唯一的签名，使用零知识证明来保证发送数据的隐私性并且证明发送的数据是来自发送方，但签名过程需要所有参与方共同参与，一旦参与方中存在多数的不诚实者，就会造成签名失败，威胁了安全性和公平性，甚至造成巨大的利益损失。

ZL2018114738527一种基于SM2签名算法的门限签名方法，采用DSA的签名算法，多个用户联合生成DSA公私钥，通过同态性加密的性质共同计算得到DSA签名的加密值，最后对该值解密就生成消息摘要的签名。此方法的签名过程中需要计算n方参与者之间的乘法运算，计算复杂度大。

发明内容

为解决上述技术问题，本发明提供了一种基于SM2数字签名的门限签名方法，可以在不诚实者占多数的前提下，保证签名的有效性。

本发明所述的基于SM2数字签名的门限签名方法，其步骤为：

S1、公共参数生成阶段：所有参与者协作生成CL加密方案的公共参数g_q，作为公开值在用户之间共享；

S2、秘钥生成阶段：所有参与方生成各自的SM2公钥和私钥，将各自的公钥发送给其他参与方，生成SM2系统公钥，私密保存各自的私钥；

S3、签名阶段：所有参与方利用CL加密方案传输密文，与其他参与方交互生成各自的签名，所有参与方广播各自的签名并累加生成SM2最后的总签名。

进一步的，S1所述的公共参数生成阶段的具体步骤为：

S1-1、计算基本判别式和生成类群需要用到的随机公共参数