CN116827559A - 一种基于bls的高效可验证时间签名方法及系统 - Google Patents

Abstract

本发明公开了一种基于BLS的高效可验证时间签名方法及系统。本方法为：首先系统管理端调用初始化Setup算法确定系统参数，将系统参数分享给其他实体；然后承诺端调用KGen生成公钥和私钥，并调用Commit计算消息的承诺、时间锁和零知识证明；然后验证端从承诺端获得消息、承诺、时间锁和零知识证明，调用Verify验证时间锁中签名的有效性；然后打开端调用强制打开算法Fopen恢复出原始签名。当向承诺端请求主动打开签名时，承诺端调用Open返回原始签名。本发明的VTS提升了秘密份额生成速度，从而保证了本发明的VTS方案具有低计算开销、低通信代价等特点。

Description

一种基于BLS的高效可验证时间签名方法及系统

技术领域

本发明属于信息安全技术领域，涉及一种签名方法，特别是一种基于BLS的可验证时间签名方法。

背景技术

可验证时间签名(VTS)方案允许签名者对消息进行时间锁定签名，锁定时间为T。在进行顺序计算达到时间T之后，验证者可以从时间锁中提取出该签名。可验证性保证任何人都可以公开检查时间锁是否包含一个有效的消息签名，而不需要先解决该时间锁问题。VTS可应用于区块链支付通道网络、多重签名交易、公平多方计算等领域的隐私保护。现有的可验证时间签名方案中秘密份额生成效率低，导致这些方案效率较低，难以应用与推广。

针对上述问题，本专利基于BLS设计一种更加安全高效的VTS方案。其中，BLS是一种基于椭圆曲线密码学的数字签名算法，与传统的RSA和DSA签名算法相比，签名长度短，通常只需要32字节或48字节，因此适合在网络通信等带宽有限的环境中使用，保障数据的真实性、完整性和不可否认性。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种基于BLS的高效可验证时间签名方法。本专利基于BLS签名设计高效的VTS方案，计算开销比现有方案降低约40％，更能满足实际应用需求。

本发明基于BLS设计更加安全高效的VTS方案，旨在解决现有方案涉及高耗时秘密份额生成的问题，有效降低计算开销和通信代价，从而减轻系统负担，更好地满足区块链支付通道网络、多重签名交易、公平多方计算等领域的数据安全和隐私保护需求。

本发明的技术方案为：

一种基于BLS的高效可验证时间签名方法，其步骤包括：

1)管理端根据安全参数λ初始化线性同态时间锁难题sp、零知识范围证明crs_range，初始化BLS签名算法获得参数集其中，/>为循环群，g₀为循环群/>的生成元，g₁为循环群/>的生成元，q为循环群的阶，双线性对映射e：密码杂凑函数/>的映射关系为/> 为集合{1,2,…,q}中元素构成的集合；设置秘密分享总份额n及t＝n/2+1，安全哈希函数/>的映射关系为集合I中元素个数为t-1；然后将系统参数发送给承诺端、验证端和打开端；

2)承诺端根据系统参数pp，随机选取计算pk＝g₀ ^sk，得到用户的私钥sk、公钥pk；承诺端保存私钥sk并公开公钥pk；

3)承诺端根据系统参数pp、私钥sk、crs_range中的锁定时间T和消息m，计算BLS签名随机选取t-1阶多项式p(x)，对i∈[1,n]中的每个元素，根据多项式p(x)计算得到p(i)，计算签名秘密份额/>公钥秘密份额/>并选取随机数r_i＝{0,1}^λ，计算时间锁难题Z_i及相应的范围证明π_i；然后计算哈希值得到承诺值C＝(Z₁,…,Z_n,T)和证明π＝({pk_i}_i∈{1,..,n},I,{σ_i}_i∈{1,..,n})并发送给验证端；

4)验证端根据系统参数pp、公钥pk、承诺值C、证明π和消息m，判断以下条件是否满足：

a)使得/>l_i(·)表示第i个公钥份额的拉格朗日多项式基底；

b)使得零知识证明协议验证ZK.verify(crs_range,(Z_i,0,2^λ,T),π_i)≠1；

c)使得Z_i≠LTLP.PGen(pp,σ_i,T)或/>LTLP.PGen为线性同态时间锁难题生成算法；

d)

若满足以上a)～d)中任意条件，则返回验证未通过，否则返回验证通过进行步骤5)；

5)承诺端验证承诺值C、证明π，若验证通过则将签名σ发送给打开端；

6)打开端根据系统参数pp、公钥pk、承诺值C、证明π和消息m，选取随机数v∈[1,n]/I，调用时间锁解决算法LTLP.PSolve(pp,Z_v)随机选取一个秘密份额σ_v，计算得到签名

进一步的，零知识范围证明crs_range满足其中，tmt为声明，Z为时间锁难题值，a,b为范围证明中的范围边界值。

进一步的，t-1阶多项式其中{a_j}_{j∈{1,..t-1}}为随机数。

一种基于BLS的高效可验证时间签名系统，其特征在于，包括管理端、承诺端、验证端和打开端；

所述管理端，用于根据安全参数λ初始化线性同态时间锁难题sp、零知识范围证明crs_range，初始化BLS签名算法获得参数集其中，/>为循环群，g₀为循环群/>的生成元，g₁为循环群/>的生成元，q为循环群的阶，双线性对映射e：密码杂凑函数/>的映射关系为/> 为集合{1,2,…,q}中元素构成的集合；设置秘密分享总份额n及t＝n/2+1，安全哈希函数/>的映射关系为集合I中元素个数为t-1；然后将系统参数发送给承诺端、验证端和打开端；

所述承诺端，用于根据系统参数pp，随机选取计算pk＝g₀ ^sk，得到用户的私钥sk、公钥pk；承诺端保存私钥sk并公开公钥pk；以及根据系统参数pp、私钥sk、crs_range中的锁定时间T和消息m，计算BLS签名/>随机选取t-1阶多项式p(x)，对i∈[1,n]中的每个元素，根据多项式p(x)计算得到p(i)，计算签名秘密份额/>公钥秘密份额/>并选取随机数r_i＝{0,1}^λ，计算时间锁难题Z_i及相应的范围证明π_i；然后计算哈希值/>得到承诺值C＝(Z₁,…,Z_n,T)和证明π＝({pk_i}_i∈{1,..,n},I,{σ_i}_i∈{1,..,n})并发送给验证端；

所述验证端，用于根据系统参数pp、公钥pk、承诺值C、证明π和消息m，判断以下条件是否满足：

a)使得/>l_i(·)表示第i个公钥份额的拉格朗日多项式基底；

b)使得零知识证明协议验证ZK.verify(crs_range,(Z_i,0,2^λ,T),π_i)≠1；

c)使得Z_i≠LTLP.PGen(pp,σ_i,T)或/>LTLP.PGen为线性同态时间锁难题生成算法；

d)

若满足以上a)～d)中任意条件，则返回验证未通过，若验证通过则承诺端验证承诺值C、证明π，若验证通过则将签名σ发送给打开端；

所述打开端，用于根据系统参数pp、公钥pk、承诺值C、证明π和消息m，选取随机数v∈[1,n]/I，调用时间锁解决算法LTLP.PSolve(pp,Z_v)随机选取一个秘密份额σ_v，计算得到签名

一种服务器，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行上述方法中各步骤的指令。

一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现上述方法的步骤。

针对本发明的目的，本发明提出了一种基于BLS的VTS方案，具体包括以下6个算法：

算法1.初始化(Setup)：算法输入安全参数λ，初始化线性同态时间锁难题sp←LTLP.PSetup(1^λ)，初始化零知识范围证明crs_range←ZK.setup(1^λ)，该范围证明满足

初始化BLS签名算法，获得设置秘密分享总份额n及t＝n/2+1，选取安全哈希函数/>集合I中元素个数为t-1。设置系统参数具体参数符号定义参见具体实施方式中(1.符号及定义)。

算法2.密钥生成(KGen)：算法输入系统参数pp，随机选取计算pk＝g₀ ^sk，算法输出用户的私钥sk、公钥pk。

算法3.承诺(Commit)：算法输入系统参数pp、用户私钥sk、锁定时间T＝2^k和消息m。计算BLS签名随机选取t-1阶多项式/>其中{a_i}_{i∈{1,..t-1}}为随机数。对i∈[1,n]中的每个元素，计算签名秘密份额/>公钥秘密份额并选取随机数r_i＝{0,1}^λ，计算时间锁难题Z_i＝LTLP.PGen(pp,σ_i,T)，及相应的范围证明π_range,i＝ZK.proof(crs_range,(Z_i,0,2^λ,T),(σ_i,r_i))，计算哈希值算法返回承诺值C＝(Z₁,…,Z_n,T)和证明π＝({pk_i}_i∈{1,..,n},I,{σ_i}_i∈I)。

算法4.验证(Verify)：算法输入系统参数pp、用户公钥pk、承诺值C、证明π和消息m。

判断以下条件是否满足：

1.使得/>l_i(·)表示第i个份额的拉格朗日多项式基底；

2.使得ZK.verify(crs_range,(Z_i,0,2^λ,T),π_range,i)≠1；

3.使得Z_i≠LTLP.PGen(pp,σ_i,T)或/>

4.

若满足以上任意条件，则返回⊥，否则返回1。

算法5.打开(Open)：算法输入系统参数pp、用户公钥pk、承诺值C、证明π和消息m。承诺者返回原始签名σ。

算法6.强制打开(FOpen)：算法输入系统参数pp、用户公钥pk、承诺值C、证明π和消息m。选取随机数v∈[1,n]/I，调用时间锁解决算法σ_v←LTLP.PSolve(pp,Z_v)，计算签名返回原始签名σ。

本发明的优点如下：

目前提出的可验证时间签名方案中秘密份额生成效率低，造成系统的计算开销代价较大，难以满足区块链支付通道网络、多重签名交易、公平多方计算等领域高性能、低功耗的应用需求。

本发明利用BLS签名设计新的可验证时间签名方案，实现BLS算法签名预验证、到达预期时间后可恢复的功能，方案不仅能够满足可靠性和隐私性，与还提升了秘密份额生成速度。本专利VTS方案计算开销比现有方案降低约40％，更能满足实际应用需求。

附图说明

图1为基于BLS的高效可验证时间签名实施流程图。

具体实施方式

下面结合附图对本发明进行进一步详细描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

1.符号及定义

p₁,q₁：大素数。

循环群。

g₀,g₁：群的生成元。

q：群的阶。

e：双线性对映射，

安全的密码杂凑函数，映射关系为/>

安全的密码杂凑函数，映射关系为/>

集合1,2,…,q中元素构成的集合。

ZK.setup,ZK.proof,ZK.verify：零知识证明协议(初始化，证明，验证)。

LTLP.PSetup,LTLP.PGen,LTLP.PSolve：线性同态时间锁难题(初始化，生成，解决)。

Z：时间锁难题值。

stmt：声明(statement)。

wit：证据(witness)。

crs_range：公共引用字符串(common reference string)。

a,b：范围证明中的左右范围

T：锁定时间T。

σ：BLS签名值。

2.基于BLS的VTS方案

本发明基于BLS的高效可验证时间签名实施流程图如图1所示，包括系统管理端、承诺端、验证端和打开端四种实体。首先，系统管理端调用初始化Setup算法确定系统参数，将系统参数分享给其他实体。然后，承诺端调用KGen生成公钥和私钥，并调用Commit计算消息的承诺值、时间锁和零知识证明。接着，验证端从承诺端获得消息、承诺值、时间锁和零知识证明，调用Verify验证时间锁中签名的有效性。打开端调用强制打开算法Fopen恢复出原始签名。当向承诺端请求主动打开签名时，承诺端调用Open返回原始签名。

本发明的VTS方案主要包括初始化(Setup)、密钥生成(KGen)、承诺(Commit)、验证(Verify)、打开(Open)和强制打开(FOpen)六个部分。具体如下：

算法1.初始化(Setup)：由系统管理端实现，算法输入安全参数λ，初始化线性同态时间锁难题sp←LTLP.PSetup(1^λ)，初始化零知识范围证明crs_range←ZK.setup(1^λ)，该范围证明满足

初始化BLS签名算法，获得设置秘密分享总份额n及t＝n/2+1，选取安全哈希函数/>集合I中元素个数为t-1。设置系统参数并将系统参数发送给系统内其他实体。具体参数符号定义参见具体实施方式中(1.符号及定义)。

算法2.密钥生成(KGen)：由承诺端实现，算法输入系统参数pp，随机选取计算pk＝g₀ ^sk，算法输出用户的私钥sk、公钥pk。承诺端秘密保存私钥sk，在系统内公开公钥pk。

算法3.承诺(Commit)：由承诺端实现，算法输入系统参数pp、用户私钥sk、锁定时间T＝2^k和消息m。计算BLS签名随机选取t-1阶多项式/>其中{a_j}_{j∈{1,..t-1}}为随机数。对i∈[1,n]中的每个元素，计算签名秘密份额/>公钥秘密份额/>并选取随机数r_i＝{0,1}^λ，计算时间锁难题Z_i＝LTLP.PGen(pp,σ_i,T)，及相应的范围证明π_i＝ZK.proof(crs_range,(Z_i,0,2^λ,T),(σ_i,r_i))，计算哈希值算法返回承诺值C＝(Z₁,…,Z_n,T)和证明π＝({pk_i}_i∈{1,..,n},I,{σ_u}_u∈I)，将消息m、承诺值C和证明π发送给验证端。p(i)为多项式p(x)中的x取值为i。

算法4.验证(Verify)：由验证端实现，算法输入系统参数pp、用户公钥pk、承诺值C、证明π和消息m。判断以下条件是否满足：

1.使得/>l_i(·)表示第i个公钥份额的拉格朗日多项式基底；

2.使得ZK.verify(crs_range,(Z_i,0,2^λ,T),π_i)≠1，即零知识证明验证不通过；

3.使得Z_i≠LTLP.PGen(pp,σ_i,T)难题生成不一致或/>

4.

若满足以上任意条件，则返回验证未通过，否则返回验证通过。

算法5.打开(Open)：由承诺端实现，算法输入系统参数pp、用户公钥pk、承诺值C、证明π和消息m。承诺端验证承诺值及证明，验证通过返回原始签名σ，并将签名返回给打开端，否则返回验证未通过。承诺端对n个消息m，会分别生成n个承诺和证明，当其中一个需要打开，承诺端需要验证是否是自己生成的，因此需要验证。

算法6.强制打开(FOpen)：由打开端实现，算法输入系统参数pp、用户公钥pk、承诺值C、证明π和消息m。选取随机数v∈[1,n]/I，调用时间锁解决算法随机选取的一个秘密份额σ_v←LTLP.PSolve(pp,Z_v)，计算签名返回原始签名σ。v是随机数。

尽管为说明目的公开了本发明的具体实施例，其目的在于帮助理解本发明的内容并据以实施，本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (6)

1.一种基于BLS的高效可验证时间签名方法，其步骤包括：

1)管理端根据安全参数λ初始化线性同态时间锁难题sp、零知识范围证明crs_range，初始化BLS签名算法获得参数集其中，/>为循环群，g₀为循环群/>的生成元，g₁为循环群/>的生成元，q为循环群的阶，双线性对映射e：密码杂凑函数/>的映射关系为/> 为集合{1,2,…,q}中元素构成的集合；设置秘密分享总份额n及t＝n/2+1，安全哈希函数/>的映射关系为/> 集合I中元素个数为t-1；然后将系统参数发送给承诺端、验证端和打开端；

2)承诺端根据系统参数pp，随机选取计算pk＝g₀ ^sk，得到用户的私钥sk、公钥pk；承诺端保存私钥sk并公开公钥pk；

3)承诺端根据系统参数pp、私钥sk、crs_range中的锁定时间T和消息m，计算BLS签名随机选取t-1阶多项式p(x)，对i∈[1,n]中的每个元素，根据多项式p(x)计算得到p(i)，计算签名秘密份额/>公钥秘密份额/>并选取随机数r_i＝{0,1}^λ，计算时间锁难题Z_i及相应的范围证明π_i；然后计算哈希值得到承诺值C＝(Z₁,…,Z_n,T)和证明π＝({pk_i}_i∈{1,..,n},I,{σ_i}_i∈{1,..,n})并发送给验证端；

4)验证端根据系统参数pp、公钥pk、承诺值C、证明π和消息m，判断以下条件是否满足：

a)使得/>l_i(·)表示第i个公钥份额的拉格朗日多项式基底；

b)使得零知识证明协议验证ZK.verify(crs_range,(Z_i,0,2^λ,T),π_i)≠1；

c)使得Z_i≠LTLP.PGen(pp,σ_i,T)或/>LTLP.PGen为线性同态时间锁难题生成算法；

d)

若满足以上a)～d)中任意条件，则返回验证未通过，否则返回验证通过进行步骤5)；

5)承诺端验证承诺值C、证明π，若验证通过则将签名σ发送给打开端；

6)打开端根据系统参数pp、公钥pk、承诺值C、证明π和消息m，选取随机数v∈[1,n]/I，调用时间锁解决算法LTLP.PSolve(pp,Z_v)随机选取一个秘密份额σ_v，计算得到签名

2.根据权利要求1所述的方法，其特征在于，零知识范围证明crs_range满足 其中，tmt为声明，Z为时间锁难题值，a,b为范围证明中的范围边界值。

3.根据权利要求1或2所述的方法，其特征在于，t-1阶多项式其中{a_j}_{j∈{1,..t-1}}为随机数。

4.一种基于BLS的高效可验证时间签名系统，其特征在于，包括管理端、承诺端、验证端和打开端；

所述管理端，用于根据安全参数λ初始化线性同态时间锁难题sp、零知识范围证明crs_range，初始化BLS签名算法获得参数集其中，/>为循环群，g₀为循环群/>的生成元，g₁为循环群/>的生成元，q为循环群的阶，双线性对映射e：密码杂凑函数/>的映射关系为/> 为集合{1,2,…,q}中元素构成的集合；设置秘密分享总份额n及t＝n/2+1，安全哈希函数/>的映射关系为/> 集合I中元素个数为t-1；然后将系统参数发送给承诺端、验证端和打开端；

所述承诺端，用于根据系统参数pp，随机选取计算pk＝g₀ ^sk，得到用户的私钥sk、公钥pk；承诺端保存私钥sk并公开公钥pk；以及根据系统参数pp、私钥sk、crs_range中的锁定时间T和消息m，计算BLS签名/>随机选取t-1阶多项式p(x)，对i∈[1,n]中的每个元素，根据多项式p(x)计算得到p(i)，计算签名秘密份额/> 公钥秘密份额/>并选取随机数r_i＝{0,1}^λ，计算时间锁难题Z_i及相应的范围证明π_i；然后计算哈希值/>得到承诺值C＝(Z₁,…,Z_n,T)和证明π＝({pk_i}_i∈{1,..,n},I,{σ_i}_i∈{1,..,n})并发送给验证端；

所述验证端，用于根据系统参数pp、公钥pk、承诺值C、证明π和消息m，判断以下条件是否满足：

a)使得/>l_i(·)表示第i个公钥份额的拉格朗日多项式基底；

b)使得零知识证明协议验证ZK.verify(crs_range,(Z_i,0,2^λ,T),π_i)≠1；

c)使得Z_i≠LTLP.PGen(pp,σ_i,T)或/>LTLP.PGen为线性同态时间锁难题生成算法；

d)

若满足以上a)～d)中任意条件，则返回验证未通过，若验证通过则承诺端验证承诺值C、证明π，若验证通过则将签名σ发送给打开端；

所述打开端，用于根据系统参数pp、公钥pk、承诺值C、证明π和消息m，选取随机数v∈[1,n]/I，调用时间锁解决算法LTLP.PSolve(pp,Z_v)随机选取一个秘密份额σ_v，计算得到签名

5.一种服务器，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1至3任一所述方法中各步骤的指令。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至3任一所述方法的步骤。