CN108650097B - 一种高效的聚合数字签名方法 - Google Patents

Abstract

提供了一种高效的聚合数字签名方法，是目前已知的唯一一种基于一般性有限群且可证明安全的聚合签名方法，解决了这个领域长期未解决的公开问题。所发明的聚合数字签名方法的可证明安全引入了非延展单向函数这一新型基础原语。所发明的聚合数字签名方法可大幅缩小签名的存储空间和验证时间，特别有利于在区块链和密码货币领域应用。

Description

一种高效的聚合数字签名方法

技术领域

本发明涉及密码技术，尤其涉及聚合数字签名方法。具体而言，聚合签名指的是这样一种技术：将多个独立生成的签名聚合起来，以减少签名存储的空间，并加快签名验证的时间。

背景技术

预备知识和符号标示

记G为一个有限群G′中的一个循环子群，其中记G′的阶为N，G的阶为q，g是G的生成元，记1_G为G′的单位元，记G/1_G为G中除了1_G之外的所有元素构成的集合。一般而言，q为一个大的素数(典型地，|q|＝160，其中|q|表示的是以2进制表示的q的长度)，一般而言，|q|表示系统的安全参数。记Z_q为数字集合{0,1,…,q-1}，记

为数字集合{1,…,q-1}。在下面的背景技术描述中，采用乘法表示(multiplicative representation)群上的操作，即G′和G为乘法群。这只是为了表述上的方便，所有有关背景技术的叙述均可等价地应用到加法群上，比如，椭圆曲线，或者其他的代数群或具体的群，有限域，复数或复合模(compositemoduli)等。一般而言，对于乘法群上的操作，指数上的操作是对q求模，而群上元素的操作是对N或N+1求模或其它操作以保证操作的结果是G′或G中的元素；比如g^x通常指的是g^xmodq，g^xg^y通常表示的是g^xg^y∈G′，x+y∈Z_q和xy∈Z_q表示的是x+y mod q和xy mod q。为了表述的方便起见，假定参数G,q,g是固定的并被所有的用户事先获知(这是一种实用中的普遍情况)；或者，将这些参数包含在证书中或者在协议运行之前交换和协商这些参数并达成一致。假定离散对数假设在G上成立，即给定X＝g^x∈G(其中x从Z_q中随机选取)，没有概率多项式时间的算法能够以不可忽略的概率由X求出x。在下面的叙述中使用“^”符号(比如，

)来标示一个用户或设备或程序的逻辑或“区别性”的身份(identity)，比如一个名字，一个设备或程序序列号，一个email或IP地址，甚至是方法运行中的一个角色等。在某些情况下，这些身份可能伴随或包含于一个数字证书。记{…}为一个信息或数值的集合。

哈希函数用来将一个字符串转换成一个数值或者一个固定长度的串等。典型地，哈希函数的输入，即任意一个字符串(或若干个字符串的联结)，首先被编码为一个{0,1}^*中的0-1串，然后将哈希函数作用在该转化后的0-1串输入上从而得到一个固定长度的0-1串输出。这儿{0,1}^*表示的是所有0-1串的集合。哈希函数在密码学中的一个基本功能是提供一个“单向”和“抗碰撞”的转换，这儿“单向”指的是给定一个函数的输出求出其输入或前像是困难的，“抗碰撞(collision-resistant)”指的是给定一个输入难以找到另外一个不同的输入使得哈希函数在这两个不同输入上的输出相同。哈希函数范围可以非常广泛：从一个简单的混合(mixing)函数到一个具有伪随机输出性质的函数。具有伪随机输出性质的哈希函数在密码学分析中常被理想化为一个“随机圣谕(random oracle)”。有几个哈希函数在密码学中被广泛使用：比如MD5将任意长度的数据转换为一个128-位的0-1串，而另一个常用的哈希函数SHA的输出是160位的0-1串。

记f,h:{0,1}^*→Z_q为两个转换函数。典型地，f,h的输入，即任意一个字符串(或若干个字符串的联结)，首先被编码为一个{0,1}^*中的0-1串，然后将f,h作用在该转化后的0-1串输入上从而得到一个Z_q中的数值(典型地，Z_q中的数值亦用2进制表示)。特别地，f,h可以是哈希函数。在应用中，转换函数的所有输入首先转换为0-1串，然后将转换后的0-1串连接成一个0-1串(联结的顺序可以变化)，最后在将转换函数作用到该联结后的0-1串从而得到输出。在大多数情况下，转换函数的输入的顺序不重要(顺序可以被变化)。比如，以转换函数f为例，设x为一个字符串，记x⁽²⁾为x的2进制0-1串编码表示；设S＝{s₁,…,s_t},t≥0，为t个字符串的集合，记

为s₁,s₂,…,s_t的2进制0-1串编码表示，则

其中“||”表示的是字符串联结操作符。注意

联结的顺序可以变化，但联结的顺序需固定且所有的用户知晓且使用相同的顺序进行联结操作。对于

若其中s_i，1≤i≤t，是空串，则

上述关于转换函数f的描述同样适用转换函数h。

假定签名者，记为

有一个签名公钥U，签名公钥U与签名者身份A的绑定由一个可信的第三方机构来执行。通常，可信的第三方机构会检查

的身份的有效性以及U的有效性，然后对

做一个数字签名，并将

以及可信第三方的签名形成一个针对

公钥证书，记为

但是在区块链和去中心化应用中，并没有中心化的机构对用户身份和其公钥进行绑定。

数字签名方法是密码技术的主要应用之一。基于离散对数的数字签名方案主要有Schnorr签名方案和国际数字签名标准(Digital Signature Standard(DSS))方案。聚合签名指的是这样一种技术：将多个独立生成的签名聚合起来，以减少签名存储的空间，并加快签名验证的时间。

Schnorr签名方案运作如下：

签名公钥：U＝g^-w∈G，其中

其中，G是有限群G′中的一个循环子群，g是G的生成元；记Z_q为数字集合{0,1…,q-1},

为数字集合{1…,q-1}，q为一个大的素数(典型地，|q|＝160，其中|q|表示的是以2进制表示的q的长度)。

签名私钥：w。

签名的生成：记m∈{0,1}^*为需要签名的信息,{0,1}^*表示的是所有0-1串的集合。令h:{0,1}^*→Z_q为一个抗碰撞的哈希函数。

从Z_q中随机选取r，计算a＝g^r∈G；

计算d＝h(a,m)；计算z＝r+dw∈Z_q；将(d,z)作为对m的签名。

签名的验证：得到{m,(d,z)}以及签名公钥U后，签名验证者验证是否h(g^zU^d,m)＝d。若h(g^zU^d,m)＝d则接受签名，否则拒绝。

数字签名标准(DSS)方案运作如下：

签名公钥：U＝g^w∈G，其中

签名私钥：w。

签名的生成：记m∈{0,1}^*为需要签名的信息。令h:{0,1}^*→Z_q为一个抗碰撞的哈希函数。令f:G′→Z_q是一个转换函数。一般而言，若

(p是个素数)，f直接可以是“modq”操作；若G′是定义在有限域上的一个椭圆曲线群(即：a∈G表示椭圆曲线上的一个点(x,y))，f(a)＝x。签名者做如下计算：

从Z_q中随机选取r，计算a＝g^r∈G，

计算d＝f(a)；e＝h(m)；

计算

将(d,z)作为对m的签名。

签名的验证：得到{m,(d,z)}以及签名公钥U后，签名验证者如下验证签名的有效性：

计算

验证

若

则接受签名，否则拒绝。

Schnorr签名方案和数字签名标准(DSS)方案应用于签名聚合的可能性：已有的研究表明DSS签名方案不适合做签名聚合。而已有的研究成果表明Schnorr签名用于聚合签名时也不安全，这是通过具体的攻击来表明的。实际上，如何在一般的有限循环群上构建聚合签名是长期未解决的公开问题，本发明给出的高效聚合签名方案是第一个基于一般有限群的聚合签名方案，并具有可证明安全保证。

发明内容

本发明给出一种高效的聚合数字签名方法，是目前唯一已知的基于一般有限群的聚合签名方案，解决了基于一般有限群构建可证明安全聚合签名的长期公开问题。所发明的聚合签名方法在区块链和密码货币领域具有重要应用。

本发明提供一种高效的聚合数字签名方法，其中，

1≤i≤n，表示签名者，n≥1是一个正整数表示系统中需要聚合的签名的数目，

的公钥为

的私钥为w_i＝x_i∈Z_q＝{0,1,2,…,q-1}或w_i＝-x_i∈Z_q，其中g是一个阶为N的有限群G′中的一个阶为素数q的循环子群G的生成元，m_i∈{0,1}^*为

待签名的信息，其中{0,1}^*表示的是任意长度的0-1串的集合；这儿，对于任意的i,j,1≤i≠j≤n，有可能

和/或A_i＝A_j和/或m_i＝m_j；

表示签名聚合者，

表示聚合签名验证者，所述方法包括：

由所述签名者

得到r_i∈Z_q、

和/或

其中f是一个从{0,1}^*到Z_q的转换函数且a_i是f的输入之一，

是一个包含

的集合的能够为空的子集合；

由所述签名者

得到

其中h:{0,1}^*→Z_q是一个从{0,1}^*到Z_q的抗碰撞的转换函数且m_i是h的输入之一，

是一个包含

的集合的能够为空的子集合，其中，{0,1}^*表示的是任意0-1串的集合；

由所述签名者

计算z_i，其中z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)或-(e_ir_i+d_iw_i)或-(e_ir_i-d_iw_i)；具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有的签名验证者知晓z的计算方式；

由所述签名者

将

或

或

或

作为对信息m_i的数字签名，其中,

是一个包含

的集合的能够为空的子集合，

系统参数{G′,G,g,q},转换函数h,f，以及辅助输入

或者是固定的并被所有的用户事先获知，或者被包含在证书中，或者在协议运行之前或之中被交换和协商；

所述签名聚合者

设置三个初始变量

其中

为初始化为空的集合，z初始化为0；由所述签名聚合者

得到消息和签名对{m_i,s_i}，得到所述签名者

的公钥A_i∈G、得到a_i∈G，然后验证{A_i,m_i,s_i,a_i}的有效性，若验证通过则令：

z：＝z+z_imod q；收集和聚合一定量的签名后，

输出

或

或

其中M＝{m₁,…,m_k}(在用于多重签名时，签名者和验证者需检查确认m₁＝…＝m_k)，

或

或

所述聚合签名验证者

得到

或

或

后，记

其中k是一个正整数满足1≤k≤n；

如下验证聚合签名的有效性：确认z∈Z_q，否则聚合签名无效；

如果收到的是

验证

的有效性，验证

的有效性并确保

其中||表示的集合的大小，对于每一个j,1≤j≤k,得到

和

如果收到的是

验证

验证

的有效性并确保

其中||表示的集合的大小，对于每一个j,1≤j≤k,得到

然后按照如下情况之一验证聚合签名的有效性：

若z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)，则通过计算函数

来验证聚合签名的有效性；

若z_i的计算基于e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(e_ir_i+e_iw_i)或-(e_ir_i-d_iw_i)，则通过计算函数

来验证聚合签名的有效性。

如上所述的方法，其中，所述签名聚合者

如下得到所述签名者

的公钥A_i∈G、得到a_i∈G，并验证{A_i,m_i,s_i,a_i}的有效性：

若

且z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)或e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(e_ir_i+d_iw_i)或-(e_ir_i-d_iw_i)，确认d_i和z_i是Z_q中的元素，否则签名无效，得的

或

或

或

或

或

或

或

验证是否

或

相等表示有效，否则表示无效；具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有用户知晓；

若

且z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)或e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(e_ir_i+d_iw_i)或-(e_ir_i-d_iw_i)，确认z_i是Z_q中的元素，否则签名无效，得到

验证是否

或

或

或

或

或

或

或

相等表示有效，否则表示无效，其中1_G表示群G的单位元；

若

其中,

包含{e_i,a_i}，确认e_i和z_i是Z_q中的元素且a_i∈G，否则签名无效，得到

得的

或

或

或

或

或

或

或

或

或

或

或

或

或

或

或

验证是否

或

相等表示有效，否则表示无效,其中1_G是群G的单位元；具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有用户知晓。

如上所述的方法，其中，所述函数F₁和F₂的计算和有效性通过如下方法检验：

函数

的计算和有效性检验通过如下方法检验：

或

或

或

相等表示函数F₁有效，否则无效；

函数

的计算和有效性检验通过如下方法检验：

或

或

或

相等表示函数F₂有效，否则无效；

具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有用户知晓。

如上所述的方法，其中，所述聚合签名验证者

如下验证

和

的有效性：

如果对于任意的j，1≤j≤k，

或者

则聚合签名无效；

和/或，如果对于任意的i,j，1≤i≠j≤k，(A_i,m_i)＝(A_j,m_j)或a_i＝a_j，则聚合签名无效。

如上所述的方法，其中，所述签名聚合者

验证{A_i,m_i,s_i,a_i}有效性的方法还包括：如果

或

则{A_i,m_i,s_i,a_i}无效。

如上所述的方法，其中，z_i的计算是模q的，

包含

和/或A_i,和/或

包含

如果

包含

则所述签名聚合者

通过验证

来确认

如上所述的方法，其中，所述签名者

确保r_i≠0和/或z_i≠0。

如上所述的方法，其中，G是定义在椭圆曲线上的有限循环群，G中的元素，比如A_i和a_i有两种表示方式：一种完整的表示方式，G中一个非单位元的元素对应椭圆曲线上的一个点，用该点的x-轴坐标和y-轴坐标来表示；另一种是简洁表示方式，G中一个非单位元的元素用椭圆曲线上该点的x-轴坐标和y-轴坐标的正负号和/或奇偶性来表示，其中正负号和/或奇偶性用两个不同的值进行标识。

如上所述的方法，其中，转换函数f有如下实现方式：f是一个哈希函数，或

输出x_imod q，其中x_i是a_i的x-轴坐标值，或f和h是同一个函数。

本发明的方法是目前已知的唯一一种基于一般性有限群的可证明安全的聚合签名方法，解决这个领域长期未解决的公开问题。发明人证明，假设h,f都是随机圣谕(比如h,f均为哈希函数，并将哈希函数理想化为随机圣谕)，在随机圣谕模式和非延展离散对数假设下，发明的聚合数字签名方法在自适应选择消息攻击下是强不可伪造安全的。

具体实施方式

预备知识和符号标示：

本发明所描述的方法和操作基于一个有限群G′中的一个循环子群G，其中记G′的阶为N，G的阶为q，g是G的生成元，记1_G为G′的单位元，记G/1_G为G中除了1_G之外的所有元素构成的集合。一般而言，q为一个大的素数(典型地，|q|＝160，其中|q|表示的是以2进制表示的q的长度)。记Z_q为数字集合{0,1,…,q-1}，记

为数字集合{1,…,q-1}。发明人在下面发明方法的描述中，采用乘法表示(multiplicative representation)群上的操作。即，G′和G为乘法群。这只是为了表述上的方便，所有发明方法的叙述均可等价地应用到加法群上，比如，椭圆曲线，或者其他的代数群或具体的群，有限域，复数或复合模(composite moduli)等。一般而言，当用乘法群上的操作描述发明方法时，指数上的操作是对q求模，而群上元素的操作是对N或N+1求模或其它操作以保证操作的结果是G′或G中的元素；比如g^x通常指的是g^xmodq，g^xg^y通常表示的是g^xg^y∈G′，x+y∈Z_q和xy∈Z_q表示的是x+y mod q和xy mod q。为了表述的方便起见，假定参数G,q,g是固定的并被所有的用户事先获知(这是一种实用中的普遍情况)；或者，我们将这些参数包含在证书中或者在协议运行之前交换和协商这些参数并达成一致。我们假定离散对数假设在G上成立，即给定X＝g^x∈G(其中x从Z_q中随机选取)，没有概率多项式时间的算法能够以不可忽略的概率由X求出x。发明人使用“^”符号(比如，

)来标示一个用户或设备或程序的逻辑或“区别性”的身份(identity)，比如一个名字，一个设备序列号，一个emial或IP地址，甚至是方法运行中的一个角色等。在某些情况下，这些身份可能伴随或包含或包含于一个数字证书。记{…}为一个信息或数值的集合。

哈希函数用来将一个字符串转换成一个数值或者一个固定长度的串等。典型地，哈希函数的输入，即任意一个字符串(或若干个字符串的联结)，首先被编码为一个{0,1}^*中的0-1串，然后将哈希函数作用在该转化后的0-1串输入上从而得到一个固定长度的0-1串输出。这儿{0,1}^*表示的是所有0-1串的集合。哈希函数在密码学中的一个基本功能是提供一个“单向”和“抗碰撞”的转换，这儿“单向”指的是给定一个函数的输出求出其输入或前像是困难的，“抗碰撞(collision-resistant)”指的是给定一个输入难以找到另外一个不同的输入使得哈希函数在这两个不同输入上的输出相同。哈希函数范围可以非常广泛：从一个简单的混合(mixing)函数到一个具有伪随机输出性质的函数。具有伪随机输出性质的哈希函数在密码学分析中常被理想化为一个“随机圣谕(random oracle)”。有几个哈希函数在密码学中被广泛使用：比如MD5将任意长度的数据转换为一个128-位的0-1串，而另一个常用的哈希函数SHA的输出是160位的0-1串。

本发明使用两个转换函数f,h:{0,1}^*→Z_q。典型地，f,h的输入，即任意一个字符串(或若干个字符串的联结)，首先被编码为一个{0,1}^*中的0-1串，然后将f,h作用在该转化后的0-1串输入上从而得到一个Z_q中的数值(典型地，Z_q中的数值亦用2进制表示)。特别地，f,h可以是哈希函数。其它常用的转换函数为：f(X,aux)＝Xmodq或者(XmodN+1)modq，其中X∈G，N为G′的阶(比如，若对于一个大素数

则N+1＝p)，aux是任意字符串或字符串的集合；若X＝(x,y)∈G是椭圆曲线上的一个点，其中x,y∈Z_q，则可令f(X,aux)＝x或y；其它可以使用的专函函数还有：

或

其中H:{0,1}^*→Z_q是一个哈希函数。为了描述的方便起见，发明人使用同一个函数符号来表示具有不同输入个数的转换函数。在应用中，转换函数的所有输入首先转换为0-1串，然后将转换后的0-1串连接成一个0-1串(联结的顺序可以变化)，最后在将转换函数作用到该联结后的0-1串从而得到输出。在某些应用中，转换函数的输出只有部分被使用。在大多数情况下，转换函数的输入的顺序不重要(顺序可以被变化)。比如，以转换函数f为例，设x为一个字符串，记x⁽²⁾为x的2进制0-1串编码表示；设S＝{s₁,…,s_t},t≥0，为t个字符串的集合，记

为s₁,s₂,…,s_t的2进制0-1串编码表示，则

其中“||”表示的是字符串联结操作符。注意

联结的顺序可以变化，但联结的顺序需固定且所有的用户知晓且使用相同的顺序进行联结操作。对于

若其中s_i，1≤i≤t，是空串，则

上述关于转换函数f的描述同样适用转换函数h。

令

1≤i≤n，表示签名者，n表示系统中签名者的数目，

的公钥为

的私钥为w_i＝-x_i∈Z_q，其中x_i从

中随机选取，g是一个阶为N的有限群G′中的一个阶为素数q的循环子群G的生成元。这儿我们令G′是定义在F_p上的椭圆曲线的点构成，其中p是一个素数。令m_i∈{0,1}^*为

待签名的信息，

表示签名聚合者，

表示聚合签名验证者，所述方法包括：

由所述签名者

计算

其中h:{0,1}^*→Z_q是一个从{0,1}^*到Z_q的抗碰撞的转换函数；由所述签名者

在

随机选取得的r_i，计算

和d_i＝f(a_i)，其中f是将a_i的x-轴坐标值进行模q操作后的结果进行输出，或者f是一个抗碰撞的密码哈希函数；由所述签名者

计算z_i＝d_ir_i+e_iw_imod q；由所述签名者将

和签名

发送或者广播出去，其中,

是一个空集或者仅包含

上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合,其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。

系统参数{G′,G,g,q},转换函数h,f，以及辅助输入

或者是固定的并被所有的用户事先获知，或者被包含在证书中，或者在协议运行之前或之中被交换和协商。

所述签名聚合者

设置三个初始变量

其中

为初始化为空的集合，z初始化为0；由所述签名聚合者

得到所述签名者

的公钥A_i、消息和签名对{m_i,s_i}之后，验证d_i,z_i均为

中的元素以及A_i∈G(否则拒绝签名)；如果

包含

则验证

且

(否则拒绝签名)；计算

并验证d_i＝f(a_i)，若验证不成功则拒绝签名；验证是否

或

如果已经在集合中出现，则拒绝该签名；否则，令

z：＝z+z_imod q；这儿

中的每一个元素a_i用其在椭圆曲线上的简洁表示，即：a_i的x-轴坐标，和另一个标记其y-轴正负号和/或奇偶性的值来表示(在比特币系统中，是用02表示y-轴坐标是偶数，03表示y-轴坐标是奇数)。收集和聚合一定量的签名后，

输出

上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合,其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。

所述聚合签名验证者

得到

后，记

如下验证聚合签名的有效性：确认

否则聚合签名无效；验证

中不存在重复的元素且A_i∈G,验证

中也不存在重复的元素且a_i∈G,并且且

若任何验证不成功则拒绝聚合签名；对于每一个j,1≤j≤k,计算

和d_j＝f(a_j)；计算并验证是否

若验证通过则接受该聚合签名，否则拒绝。上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合,其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。

下面我们给出发明方法的另一种具体实施方式。这种方式适合于以太坊应用中，其中签名者的身份和公钥信息并不包含在签名中，而是由签名去恢复得到。

令

1≤i≤n，表示签名者，n表示系统中签名者的数目，

的公钥为

的私钥为w_i＝x_i∈Z_q，其中x_i从

中随机选取，g是一个阶为N的有限群G′中的一个阶为素数q的循环子群G的生成元。这儿我们令G′是定义在F_p上的椭圆曲线的点构成，其中p是一个素数。令m_i∈{0,1}^*为

待签名的信息，

表示签名聚合者，

表示聚合签名验证者，所述方法包括：

由所述签名者

计算e_i＝h(m_i,A_i)，其中h:{0,1}^*→Z_q是一个从{0,1}^*到Z_q的抗碰撞的转换函数；由所述签名者

在

随机选取得的r_i，计算

和d_i＝f(a_i)，其中f是将a_i的x-轴坐标值进行模q操作后的结果进行输出，或者f是一个抗碰撞的密码哈希函数；由所述签名者

计算z_i＝d_ir_i+e_iw_imod q；由所述签名者将m_i和签名

发送或者广播出去，其中,

包含

上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合,其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。

系统参数{G′,G,g,q},转换函数h,f，以及辅助输入

或者是固定的并被所有的用户事先获知，或者被包含在证书中，或者在协议运行之前或之中被交换和协商。

所述签名聚合者

设置三个初始变量

其中

为初始化为空的集合，z初始化为0；由所述签名聚合者

得到{m_i,s_i}之后，验证

z_i均为

中的元素以及a_i∈G(否则拒绝签名)；计算d＝f(a)，计算

验证是否

或

如果已经在集合中出现，则拒绝该签名；否则，令

z：＝z+z_imod q；这儿

中的每一个元素a_i用其在椭圆曲线上的简洁表示，即：a_i的x-轴坐标，和另一个标记其y-轴正负号和/或奇偶性的值来表示(在比特币系统中，是用02表示y-轴坐标是偶数，03表示y-轴坐标是奇数)。收集和聚合一定量的签名后，

输出

上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合,其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。

所述聚合签名验证者

得到

后，记

如下验证聚合签名的有效性：确认

否则聚合签名无效；验证

中不存在重复的元素且A_i∈G,验证

中也不存在重复的元素且a_i∈G,并且且

若任何验证不成功则拒绝聚合签名；对于每一个j,1≤j≤k,计算

和d_j＝f(a_j)；计算并验证是否

若验证通过则接受该聚合签名，否则拒绝。上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合,其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。

本发明给出一个高效的聚合数字签名方法，这是目前已知的唯一一种基于一般性有限群且可证明安全的聚合签名方法，解决了这个领域长期未解决的公开问题。所发明的聚合数字签名方法的可证明安全引入了非延展单向函数这一新型基础原语。所发明的新的数字签名方法可大幅缩小签名的存储空间和减少验证时间，特别有利于在区块链和密码货币领域应用。

Claims (9)

1.一种聚合数字签名方法，其中，

表示签名者，n≥1是一个正整数表示系统中需要聚合的签名的数目，

的公钥为

的私钥为w_i＝x_i∈Z_q＝{0，1，2，...，q-1}或w_i＝-x_i∈Z_q，其中g是一个阶为N的有限群G′中的一个阶为素数q的循环子群G的生成元，m_i∈{0，1}^*为

待签名的信息，其中{0，1}^*表示的是任意长度的0-1串的集合；这儿，对于任意的i，j，1≤i≠j≤n，有可能

和/或A_i＝A_j和/或m_i＝m_j；

表示签名聚合者，

表示聚合签名验证者，所述方法包括：

由所述签名者

得到r_i∈Z_q、

和/或

其中f是一个从{0，1}^*到Z_q的转换函数且a_i是f的输入之一，

是一个包含

的集合的能够为空的子集合；

由所述签名者

得到

其中h：{0，1}^*→Z_q是一个从{0，1}^*到Z_q的抗碰撞的转换函数且m_i是h的输入之一，

是一个包含

的集合的能够为空的子集合，其中，{0，1}^*表示的是任意0-1串的集合；

由所述签名者

计算z_i，其中z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)或-(e_ir_i+d_iw_i)或-(e_ir_i-d_iw_i)；具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有的签名验证者知晓z的计算方式；

由所述签名者

将

或

或

或

作为对信息m_i的数字签名，其中，

是一个包含

的集合的能够为空的子集合，

系统参数{G′，G，g，q}，转换函数h，f，以及辅助输入

或者是固定的并被所有的用户事先获知，或者被包含在证书中，或者在协议运行之前或之中被交换和协商；

所述签名聚合者

设置三个初始变量

其中

为初始化为空的集合，z初始化为0；由所述签名聚合者

得到消息和签名对{m_i，s_i}，得到所述签名者

的公钥A_i∈G、得到a_i∈G，然后验证{A_i，m_i，s_i，a_i}的有效性，若验证通过则令：

z：＝z+z_imod q；收集和聚合一定量的签名后，

输出

或

其中M＝{m₁，…，m_k}，说明m可能相同，某些情况下要检查m相同

或

或

所述聚合签名验证者

得到

或

后，记

其中k是一个正整数满足1≤k≤n；

如下验证聚合签名的有效性：确认z∈Z_q，否则聚合签名无效；

如果收到的是

验证

的有效性，验证

的有效性并确保

其中| |表示的集合的大小，对于每一个j，1≤j≤k，得到

和

如果收到的是

验证

验证

的有效性并确保

其中||表示的集合的大小，对于每一个j，1≤j≤k，得到

然后按照如下情况之一验证聚合签名的有效性：

若z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)，则通过计算函数

来验证聚合签名的有效性；

若z_i的计算基于e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(e_ir_i+d_iw_i)或-(e_ir_i-d_iw_i)，则通过计算函数

来验证聚合签名的有效性。

2.如权利要求1所述的方法，其中，所述签名聚合者

如下得到所述签名者

的公钥A_i∈G、得到a_i∈G，并验证{A_i，m_i，s_i，a_i}的有效性：

若

且z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)或e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(e_ir_i+d_iw_i)或-(e_ir_i-d_iw_i)，确认d_i和z_i是Z_q中的元素，否则签名无效，得的

或

或

或

或

或

或

或

验证是否

或

相等表示有效，否则表示无效；具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有用户知晓；

若

且z_i的计算基于d_ir_i+e_iw_i或d_ir_i-e_iw_i或-(d_ir_i+e_iw_i)或-(d_ir_i-e_iw_i)或e_ir_i+d_iw_i或e_ir_i-d_iw_i或-(e_ir_i+d_iw_i)或-(e_ir_i-d_iw_i)，确认z_i是Z_q中的元素，否则签名无效，得到

验证是否

或

或

或

或

或

或

或

相等表示有效，否则表示无效，其中1_G表示群G的单位元；

若

其中，

包含{e_i，a_i}，确认e_i和z_i是Z_q中的元素且a_i∈G，否则签名无效，得到

得的

或

或

或

或

或

或

或

或

或

或

或

或

或

或

或

验证是否

或

相等表示有效，否则表示无效，其中1_G是群G的单位元；具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有用户知晓。

3.如权利要求1所述的方法，其中，所述函数F₁和F₂的计算和有效性通过如下方法检验：

函数

的计算和有效性检验通过如下方法检验：

或

或

或

相等表示函数F₁有效，否则无效；

函数

的计算和有效性检验通过如下方法检验：

或

或

或

相等表示函数F₂有效，否则无效；

具体选用哪种方式可由用户协商或签名者指定，但是一旦确定就应固定，并且所有用户知晓。

4.如权利要求1所述的方法，其中，所述聚合签名验证者

如下验证

和

的有效性：

如果对于任意的j，1≤j≤k，

或者

则聚合签名无效；

和/或，如果对于任意的i，j，1≤i≠j≤k，(A_i，m_i)＝(A_j，m_j)或a_i＝a_j，则聚合签名无效。

5.如权利要求2所述的方法，其中，所述签名聚合者

验证{A_i，m_i，s_i，a_i}有效性的方法还包括：如果

或

则{A_i，m_i，s_i，a_i}无效。

6.如权利要求1所述的方法，其中，z_i的计算是模q的，

包含

和/或A_i，和/或

包含

如果

包含

则所述签名聚合者

通过验证

来确认

7.如权利要求1所述的方法，其中，所述签名者

确保r_i≠0和/或z_i≠0。

8.如权利要求1所述的方法，其中，G是定义在椭圆曲线上的有限循环群，G中的元素，比如A_i和a_i有两种表示方式：一种完整的表示方式，G中一个非单位元的元素对应椭圆曲线上的一个点，用该点的x-轴坐标和y-轴坐标来表示；另一种是简洁表示方式，G中一个非单位元的元素用椭圆曲线上该点的x-轴坐标和y-轴坐标的正负号和/或奇偶性来表示，其中正负号和/或奇偶性用两个不同的值进行标识。

9.如权利要求8所述的方法，其中，转换函数f有如下实现方式：f是一个哈希函数，或

输出x_imod q，其中x_i是a_i的x-轴坐标值，或i和h是同一个函数。