CN113708924A - 基于区块链的椭圆曲线门限签名方法 - Google Patents

Abstract

一种基于区块链的椭圆曲线门限签名方法，由系统初始化、生成用户公私钥、生成份额签名、合成门限签名、验证门限签名、添加签名组用户、删除签名组用户步骤组成。本发明在椭圆曲线公钥密码体制下结合门限公钥密码体制和区块链签名技术，提出一种基于区块链的椭圆曲线门限签名方法，该方法采用门限密码体制解决传统区块链智能合约执行过程中开销过大的技术问题。在所有参与者不暴露秘密信息的情况下，验证秘钥份额的有效性，保障了参与者之间的诚实性问题；支持了用户的动态增减，在不改变签名公钥的情况下，可动态添加和删除签名组成员。本发明具有计算量小、实用性强等优点，可用于物联网、智能电网、供应链、版权保护等技术领域。

Description

基于区块链的椭圆曲线门限签名方法

技术领域

本发明属于网络信息安全技术领域，具体涉及到密码学或区块链技术或门限公钥密码体制或椭圆曲线公钥密码体制。

背景技术

在现有的去中心化谕言机模式中，每台谕言机对消息进行签名后发送至区块链上，智能合约将所有数据聚合至单一数据点，触发并执行相应的操作。由于每个节点将数据上传到区块链都要支付一定的gas费用(以太坊中交易、执行智能合约或是储存数据的费用)，因此，虽然可以有效地防止部分节点提交错误数据而对结果造成影响，但成本高昂且会造成网络拥堵。

门限签名技术可以有效地解决这一技术问题，利用门限签名技术，谕言机之间互相交流，在链下达成共识并确定数据的真实性，通过门限签名技术聚合数据，只需最终向区块链传输一次数据，在很大程度上节省了数据上链的成本。如何采用门限公钥密码体制构建适用于区块链的签名方法是密码学中需要迫切解决的一个技术问题。

发明内容

本发明所要解决的技术问题在于克服上述现有技术的缺点，提供一种计算量小、可对密钥份额进行验证、可动态增加删除签名组用户的基于区块链的椭圆曲线门限签名方法。

解决上述技术问题所采用的技术方案由下述步骤组成：

A、系统初始化

密钥生成中心公布系统全局参数L：

U＝{I₁,I₂,…,I_n}

H：

其中p为大素数，E为p阶椭圆曲线，G为椭圆曲线E上的一个生成元，F_p为p阶有限域，

为p阶整数域，H为哈希函数，u为消息长度，U为签名组中所有用户的集合，I_i表示签名组中的一个用户，i∈{1,2,…,n}，n是签名组用户的数量、n和u为有限的正整数，t是门限值、1＜t≤n。

B、生成用户公私钥

(B1)用户I_i从有限域F_p中随机选取参数a_iμ∈{a_i0,a_i1,…,a_i(t-1)}确定t-1阶多项式f_i(x)：

f_i(x)＝a_i0+a_i1x¹+…+a_i(t-1)x^t-1

其中I_i∈U。

(B2)用户I_i按下式确定密钥份额s_ij、拉格朗日插值系数χ_i，并将密钥份额s_ij发送给用户I_j：

s_ij＝f_i(ID_j)

其中ID_j是用户I_j的唯一身份标识，I_j∈U，j∈{1,2,…,n}，ID_i是用户I_i的唯一身份标识。

(B3)用户I_i按下式确定参数θ_iμ，并在签名组内将参数θ_iμ广播：

θ_iμ＝a_iμ×G

其中μ∈{0,1,…,t-1}。

(B4)用户I_j收到来自其他成员发来的密钥份额s_ij，按下式确定验证参数V_ij和验证参数C_ij，并验证密钥份额s_ij的有效性：

V_ij＝s_ij×G；

若V_ij＝C_ij成立，则接受密钥份额s_ij作为用户I_j的密钥份额s_ij，否则要求用户I_i重新发送密钥份额s_ij。

(B5)用户I_j收到n份有效的密钥份额s_ij，按下式确定自己的私钥sk_j与公钥pk_j：

pk_j＝sk_j×G

(B6)组内用户通过广播信息按下式确定签名公钥Q：

C、生成份额签名

(C1)用户I_i确定哈希值e：

e＝H(m)

其中m是长度为u比特的消息。

(C2)用户I_i在有限域

中随机选取k_i，确定X_i：

X_i＝k_i×G

其中X_i是椭圆曲线上的点(x_i,y_i)。

(C3)用户I_i按下式确定部分份额签名r_i：

r_i＝x_imod p。

(C4)用户I_i在有限域

中随机选取α_i，按下式确定部分份额签名β_i、部分份额签名l_i：

β_i＝m^-1(k_i-α_ir_i)

l_i＝r_iα_i+eχ_i×sk_i

(C5)用户I_i将部分份额签名r_i、部分份额签名β_i、部分份额签名l_i发送给门限签名合成者I_c，I_c∈U。

D、合成门限签名

(D1)门限签名合成者I_c确定哈希值e：

e＝H(m)

(D2)门限签名合成者I_c收到来自用户I_i的部分份额签名r_i、部分份额签名β_i、部分份额签名l_i，按下式确定X′_i：

X′_i＝(l_i+β_im)×G-eχ_i×pk_i

其中X_i′是椭圆曲线上的点(x′_i,y′_i)。

(D3)门限签名合成者I_c确定验证参数v_i并验证部分份额签名r_i、部分份额签名β_i、部分份额签名l_i的有效性：

v_i＝x_i′mod p

如果r_i＝v_i，认定部分份额签名r_i、部分份额签名β_i、部分份额签名l_i有效，否则认定其无效并要求用户I_i重发。

(D4)门限签名合成者I_c收到了t份有效的部分份额签名r_i、部分份额签名β_i、部分份额签名l_i，按下式确定部分门限签名r、部分门限签名β、部分门限签名l：

(D5)门限签名合成者I_c将部分签名r、部分签名β、部分签名l发送给签名验证者I_v。

E、验证门限签名

(E1)签名验证者I_v确定哈希值e：

e＝H(m)

(E2)签名验证者I_v收到部分签名r、部分签名β、部分签名l，按下式确定X′：

X′＝(l+βm)×G-eQ

其中X′是椭圆曲线上的点(x′,y′)。

(E3)签名验证者I_v确定验证参数v并验证部分签名r、部分签名β、部分签名l的有效性：

v＝x′mod p

如果v＝r，则签名验证成功，否则失败。

F、添加签名组用户

添加签名组用户时，应满足：①已有用户的私钥sk_i不会改变或泄露；②新用户加入不会改变签名公钥Q；③新用户可以获得自己的私钥sk_r并能与已有用户合作生成有效的签名；设定新用户I_r，I_r∈U的唯一身份标识为ID_r，增加新用户I_r步骤如下：

(F1)用户I_i从有限域F_p中选取参数b_iμ∈{b_i1,b_i2,…,b_i(t-1)}按下式确定t-1阶多项式f_i′(x)：

f_i′(x)＝b_i0+b_i1x¹+…+b_i(t-1)x^t-1

(F2)用户I_i按下式确定临时密钥份额s′_ij，并将临时密钥份额s′_ij发送给用户I_j：

s′_ij＝f_i′(ID_j)；

(F3)用户I_i按下式确定参数δ_iμ，并在签名组内将参数δ_iμ广播：

δ_iμ＝b_iμ×G

(F4)用户I_j收到用户I_i发来的临时密钥份额s′_ij，按下式确定验证参数V′_ij和C′_ij,并验证临时密钥份额s′_ij的有效性：

V′_ij＝s′_ij×G

若V′_ij＝C′_ij成立，则接受临时密钥份额s′_ij作为用户I_j的临时密钥份额，否则要求用户I_i重新发送临时密钥份额s′_ij。

(F5)用户I_j收到n份有效的临时密钥份额，按下式确定临时私钥sk′_j，并将临时私钥sk′_j发送给新用户I_r：

(F6)用户I_j按下式确定参数ε_j，并在签名组内将参数ε_j广播：

ε_j＝sk′_j×G

(F7)新用户I_r收到用户I_j发来的临时私钥sk′_j，按下式确定验证参数η_i，并验证临时私钥sk′_j的有效性：

η_j＝sk′_j×G

若η_j＝ε_j成立，则接受临时私钥sk′_j作为用户I_j的临时私钥sk′_j，否则要求用户I_j重新发送临时私钥sk′_j。

(F8)新用户I_r收到t份有效的临时私钥sk′_j，按下式确定自己的私钥sk_r并公布自己的公钥pk_r：

pk_r＝sk_r×G

G、删除签名组用户

删除用户I_w时，应满足：①重构其他成员的私钥sk_i，并使得被删除用户的私钥sk_w失效；②用户被删除不会改变签名公钥Q；设定被删除用户I_w的唯一表示符为ID_w，I_w∈U，删除用户I_w的步骤如下：

(G1)用户I_i从有限域F_p中选取参数c_iμ∈{c_i0,c_i1,c_i2,…,c_i(t-1)}，确定t-1阶多项式f_i″(x)：

f_i″(x)＝c_i0+c_i1x¹+…+c_i(t-1)x^t-1

(G2)用户I_i按下式确定临时密钥份额s″_ij，并将临时密钥份额s″_ij发送给用户I_j：

s″_ij＝f_i″(ID_j)

(G3)用户I_i按下式确定参数γ_iμ，并在签名组内将参数γ_iμ广播：

γ_iμ＝c_iμ×G

(G4)用户I_j收到用户I_i发来的临时密钥份额s″_ij，按下式确定验证参数V″_ij和C″_ij，并验证临时密钥份额s″_ij的有效性：

V″_ij＝s″_ij×G

若V″_ij＝C″_ij成立，则接受临时密钥份额s″_ij作为用户I_j的临时密钥份额，否则要求用户I_i重新发送临时密钥份额s″_ij。

(G5)用户I_j收到n-1份有效的临时密钥份额s″_ij，按下式更新新私钥sk″_j并公布自己的公钥pk″_j：

pk″_j＝sk″_j×G。

在本发明的A系统初始化、B生成用户公私钥、C生成份额签名、F添加签名组用户、G删除签名组用户步骤中，n取值最佳为100。

本发明在椭圆曲线公钥密码体制下结合门限公钥密码体制和区块链签名技术，提出一种基于区块链的椭圆曲线门限签名方法，该方法在于采用门限密码体制解决传统区块链智能合约执行过程中费用过大的技术问题。在所有参与者不暴露秘密信息的情况下，验证秘钥份额的有效性，保障了参与者之间的诚实性问题；支持了用户的动态增减，在不改变签名公钥的情况下，可动态添加和删除签名组用户。本发明具有计算量小，实用性强等优点，可用于物联网、智能电网、供应链、版权保护等技术领域。

附图说明

图1是本发明实施例1的流程图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于这些实施例。

实施例1

以密钥生成中心KGC选取的大素数p是2¹⁹²-2⁶⁴-1例，本实施例的基于区块链的椭圆曲线门限签名方法由下述步骤组成(参见图1)：

A、系统初始化

密钥生成中心公布系统全局参数L：

U＝{I₁,I₂,…,I_n}

H：

其中p为大素数，本实施例的p取值为2¹⁹²-2⁶⁴-1，E为p阶椭圆曲线，G为椭圆曲线E上的一个生成元，F_p为p阶有限域，

为p阶整数域，H为哈希函数，u为消息长度，U为签名组中所有用户的集合，I_i表示签名组中的一个用户，i∈{1,2,…,n}，n是签名组用户的数量、n和u为有限的正整数，t是门限值、1＜t≤n，本实施例的t取值为50，n取值为100。

B、生成用户公私钥

(B1)用户I_i从有限域F_p中随机选取参数a_iμ∈{a_i0,a_i1,…,a_i(t-1)}确定t-1阶多项式f_i(x)：

f_i(x)＝a_i0+a_i1x¹+…+a_i(t-1)x^t-1

其中I_i∈U。

(B2)用户I_i按下式确定密钥份额s_ij、拉格朗日插值系数χ_i，并将密钥份额s_ij发送给用户I_j：

s_ij＝f_i(ID_j)

其中ID_j是用户I_j的唯一身份标识，I_j∈U，j∈{1,2,…,n}，ID_i是用户I_i的唯一身份标识。

(B3)用户I_i按下式确定参数θ_iμ，并在签名组内将参数θ_iμ广播：

θ_iμ＝a_iμ×G

其中μ∈{0,1,…,t-1}。

(B4)用户I_j收到来自其他成员发来的密钥份额s_ij，按下式确定验证参数V_ij和验证参数C_ij，并验证密钥份额s_ij的有效性：

V_ij＝s_ij×G；

若V_ij＝C_ij成立，则接受密钥份额s_ij作为用户I_j的密钥份额s_ij，否则要求用户I_i重新发送密钥份额s_ij。

(B5)用户I_j收到n份有效的密钥份额s_ij，按下式确定自己的私钥sk_j与公钥pk_j：

pk_j＝sk_j×G。

(B6)组内用户通过广播信息按下式确定签名公钥Q：

C、生成份额签名

(C1)用户I_i确定哈希值e：

e＝H(m)

其中m是长度为u比特的消息。

(C2)用户I_i在有限域

中随机选取k_i，确定X_i

X_i＝k_i×G

其中X_i是椭圆曲线上的点(x_i,y_i)。

(C3)用户I_i按下式确定部分份额签名r_i：

r_i＝x_imod p。

(C4)用户I_i在有限域

中随机选取α_i，按下式确定部分份额签名β_i、部分份额签名l_i：

β_i＝m^-1(k_i-α_ir_i)

l_i＝r_iα_i+eχ_i×sk_i。

(C5)用户I_i将部分份额签名r_i、部分份额签名β_i、部分份额签名l_i发送给门限签名合成者I_c，I_c∈U。

D、合成门限签名

(D1)门限签名合成者I_c确定哈希值e：

e＝H(m)。

(D2)门限签名合成者I_c收到来自用户I_i的部分份额签名r_i、部分份额签名β_i、部分份额签名l_i，按下式确定X_i′：

X_i′＝(l_i+β_im)×G-eχ_i×pk_i

其中X_i′是椭圆曲线上的点(x_i′,y_i′)。

(D3)门限签名合成者I_c确定验证参数v_i并验证部分份额签名r_i、部分份额签名β_i、部分份额签名l_i的有效性：

v_i＝x_i′mod p

如果r_i＝v_i，认定部分份额签名r_i、部分份额签名β_i、部分份额签名l_i有效，否则认定其无效并要求用户I_i重发。

(D4)门限签名合成者I_c收到了t份有效的部分份额签名r_i、部分份额签名β_i、部分份额签名l_i，按下式确定部分门限签名r、部分门限签名β、部分门限签名l：

(D5)门限签名合成者I_c将部分签名r、部分签名β、部分签名l发送给签名验证者I_v。

E、验证门限签名

(E1)签名验证者I_v确定哈希值e：

e＝H(m)。

(E2)签名验证者I_v收到部分签名r、部分签名β、部分签名l，按下式确定X′：

X′＝(l+βm)×G-eQ

其中X′是椭圆曲线上的点(x′,y′)。

(E3)签名验证者I_v确定验证参数v并验证部分签名r、部分签名β、部分签名l的有效性：

v＝x′mod p

如果v＝r，则签名验证成功，否则失败。

在验证门限签名步骤中，所有参与者不暴露秘密信息的情况下，验证秘钥份额的有效性，保障了参与者之间的诚实性问题。

F、添加签名组用户

添加签名组用户时，应满足：①已有用户的私钥sk_i不会改变或泄露；②新用户加入不会改变签名公钥Q；③新用户可以获得自己的私钥sk_r并能与已有用户合作生成有效的签名；设定新用户I_r，I_r∈U的唯一身份标识为ID_r，增加新用户I_r步骤如下：

(F1)用户I_i从有限域F_p中选取参数b_iμ∈{b_i1,b_i2,…,b_i(t-1)}按下式确定t-1阶多项式f_i′(x)：

f_i′(x)＝b_i0+b_i1x¹+…+b_i(t-1)x^t-1

(F2)用户I_i按下式确定临时密钥份额s′_ij，并将临时密钥份额s′_ij发送给用户I_j：

s′_ij＝f_i′(ID_j)。

(F3)用户I_i按下式确定参数δ_iμ，并在签名组内将参数δ_iμ广播：

δ_iμ＝b_iμ×G。

(F4)用户I_j收到用户I_i发来的临时密钥份额s′_ij，按下式确定验证参数V′_ij和C′_ij,并验证临时密钥份额s′_ij的有效性：

V′_ij＝s′_ij×G

若V′_ij＝C′_ij成立，则接受临时密钥份额s′_ij作为用户I_j的临时密钥份额，否则要求用户I_i重新发送临时密钥份额s′_ij。

(F5)用户I_j收到n份有效的临时密钥份额，按下式确定临时私钥sk′_j，并将临时私钥sk′_j发送给新用户I_r：

(F6)用户I_j按下式确定参数ε_j，并在签名组内将参数ε_j广播：

ε_j＝sk′_j×G。

(F7)新用户I_r收到用户I_j发来的临时私钥sk′_j，按下式确定验证参数η_i，并验证临时私钥sk′_j的有效性：

η_j＝sk′_j×G

若η_j＝ε_j成立，则接受临时私钥sk′_j作为用户I_j的临时私钥sk′_j，否则要求用户I_j重新发送临时私钥sk′_j。

(F8)新用户I_r收到t份有效的临时私钥sk′_j，按下式确定自己的私钥sk_r并公布自己的公钥pk_r：

pk_r＝sk_r×G。

在添加签名组用户步骤中，可随时增加用户，支持了用户的动态增加，在不改变签名公钥的情况下，可动态添加签名组用户。

G、删除签名组用户

删除用户I_w时，应满足：①重构其他成员的私钥sk_i，并使得被删除用户的私钥sk_w失效；②用户被删除不会改变签名公钥Q；设定被删除用户I_w的唯一表示符为ID_w，I_w∈U，删除用户I_w的步骤如下：

(G1)用户I_i从有限域F_p中选取参数c_iμ∈{c_i0,c_i1,c_i2,…,c_i(t-1)}，确定t-1阶多项式f″_i(x)：

f_i″(x)＝c_i0+c_i1x¹+…+c_i(t-1)x^t-1

(G2)用户I_i按下式确定临时密钥份额s″_ij，并将临时密钥份额s″_ij发送给用户I_j：

s″_ij＝f_i″(ID_j)

(G3)用户I_i按下式确定参数γ_iμ，并在签名组内将参数γ_iμ广播：

γ_iμ＝c_iμ×G

(G4)用户I_j收到用户I_i发来的临时密钥份额s″_ij，按下式确定验证参数V″_ij和C″_ij，并验证临时密钥份额s″_ij的有效性：

V″_ij＝s″_ij×G

若V″_ij＝C″_ij成立，则接受临时密钥份额s″_ij作为用户I_j的临时密钥份额，否则要求用户I_i重新发送临时密钥份额s″_ij。

(G5)用户I_j收到n-1份有效的临时密钥份额s″_ij，按下式更新新私钥sk″_j并公布自己的公钥pk″_j：

pk″_j＝sk″_j×G。

在删除签名组用户步骤中，可随时增减用户，支持了用户的动态增减，在不改变签名公钥的情况下，可动态添加和删除签名组用户。

实施例2

以密钥生成中心KGC选取的大素数p是2¹⁹²-2⁶⁴-1，本实施例的基于区块链的椭圆曲线门限签名方法由下述步骤组成：

在A系统初始化、B生成用户公私钥、C生成份额签名、D合成门限签名、F添加签名组用户、G删除签名组用户步骤中，i∈{1,2,…,n}，n是签名组用户的数量、n和u为有限的正整数，t是门限值、1＜t≤n，本实施例的t取值为2，n取值为100。

其它步骤与实施例1相同。

完成基于区块链的椭圆曲线门限签名方法。

实施例3

以密钥生成中心KGC选取的大素数p是2¹⁹²-2⁶⁴-1，本实施例的基于区块链的椭圆曲线门限签名方法由下述步骤组成：

在A系统初始化、B生成用户公私钥、C生成份额签名、D合成门限签名、F添加签名组用户、G删除签名组用户步骤中，i∈{1,2,…,n}，n是签名组用户的数量、n和u为有限的正整数，t是门限值、1＜t≤n，本实施例的t取值为99，n取值为100。

A系统初始化、B生成用户公私钥、C生成份额签名、D合成门限签名、F添加签名组用户、G删除签名组用户步骤中的其它步骤与相应的实施例相同。

其它步骤与实施例1相同。完成基于区块链的椭圆曲线门限签名方法。

根据上述原理，还可以设计出另外一种具体的基于区块链的椭圆曲线门限签名方法，如大素数p的具体取值，t的具体取值，得到一种具体的基于区块链的椭圆曲线门限签名方法，但均在本发明的保护范围内。

Claims (2)

1.一种基于区块链的椭圆曲线门限签名方法，其特征在于它是由下述步骤组成：

A、系统初始化

密钥生成中心公布系统全局参数L：

U＝{I₁,I₂,…,I_n}

其中p为大素数，E为p阶椭圆曲线，G为椭圆曲线E上的一个生成元，F_p为p阶有限域，

为p阶整数域，H为哈希函数，u为消息长度，U为签名组中所有用户的集合，I_i表示签名组中的一个用户，i∈{1,2,…,n}，n是签名组用户的数量、n和u为有限的正整数，t是门限值、1＜t≤n；

B、生成用户公私钥

(B1)用户I_i从有限域F_p中随机选取参数a_iμ∈{a_i0,a_i1,…,a_i(t-1)}确定t-1阶多项式f_i(x)：

f_i(x)＝a_i0+a_i1x¹+…+a_i(t-1)x^t-1

其中I_i∈U；

(B2)用户I_i按下式确定密钥份额s_ij、拉格朗日插值系数χ_i，并将密钥份额s_ij发送给用户I_j：

s_ij＝f_i(ID_j)

其中ID_j是用户I_j的唯一身份标识，I_j∈U，j∈{1,2,…,n}，ID_i是用户I_i的唯一身份标识；

(B3)用户I_i按下式确定参数θ_iμ，并在签名组内将参数θ_iμ广播：

θ_iμ＝a_iμ×G

其中μ∈{0,1,…,t-1}；

(B4)用户I_j收到来自其他成员发来的密钥份额s_ij，按下式确定验证参数V_ij和验证参数C_ij，并验证密钥份额s_ij的有效性：

V_ij＝s_ij×G；

若V_ij＝C_ij成立，则接受密钥份额s_ij作为用户I_j的密钥份额s_ij，否则要求用户I_i重新发送密钥份额s_ij；

(B5)用户I_j收到n份有效的密钥份额s_ij，按下式确定自己的私钥sk_j与公钥pk_j：

pk_j＝sk_j×G

(B6)组内用户通过广播信息按下式确定签名公钥Q：

C、生成份额签名

(C1)用户I_i确定哈希值e：

e＝H(m)

其中m是长度为u比特的消息；

(C2)用户I_i在有限域

中随机选取k_i，确定X_i

X_i＝k_i×G

其中X_i是椭圆曲线上的点(x_i,y_i)；

(C3)用户I_i按下式确定部分份额签名r_i：

r_i＝x_imod p

(C4)用户I_i在有限域

中随机选取α_i，按下式确定部分份额签名β_i、部分份额签名l_i：

β_i＝m^-1(k_i-α_ir_i)

l_i＝r_iα_i+eχ_i×sk_i

(C5)用户I_i将部分份额签名r_i、部分份额签名β_i、部分份额签名l_i发送给门限签名合成者I_c，I_c∈U；

D、合成门限签名

(D1)门限签名合成者I_c确定哈希值e：

e＝H(m)

(D2)门限签名合成者I_c收到来自用户I_i的部分份额签名r_i、部分份额签名β_i、部分份额签名l_i，按下式确定X′_i：

X′_i＝(l_i+β_im)×G-eχ_i×pk_i

其中X′_i是椭圆曲线上的点(x′_i,y′_i)；

(D3)门限签名合成者I_c确定验证参数v_i并验证部分份额签名r_i、部分份额签名β_i、部分份额签名l_i的有效性：

v_i＝x′_imod p

如果r_i＝v_i，认定部分份额签名r_i、部分份额签名β_i、部分份额签名l_i有效，否则认定其无效并要求用户I_i重发；

(D4)门限签名合成者I_c收到了t份有效的部分份额签名r_i、部分份额签名β_i、部分份额签名l_i，按下式确定部分门限签名r、部分门限签名β、部分门限签名l：

(D5)门限签名合成者I_c将部分签名r、部分签名β、部分签名l发送给签名验证者I_v；

E、验证门限签名

(E1)签名验证者I_v确定哈希值e：

e＝H(m)

(E2)签名验证者I_v收到部分签名r、部分签名β、部分签名l，按下式确定X′：

X′＝(l+βm)×G-eQ

其中X′是椭圆曲线上的点(x′,y′)；

(E3)签名验证者I_v确定验证参数v并验证部分签名r、部分签名β、部分签名l的有效性：

v＝x′mod p

如果v＝r，则签名验证成功，否则失败；

F、添加签名组用户

添加签名组用户时，应满足：①已有用户的私钥sk_i不会改变或泄露；②新用户加入不会改变签名公钥Q；③新用户可以获得自己的私钥sk_r并能与已有用户合作生成有效的签名；设定新用户I_r，I_r∈U的唯一身份标识为ID_r，增加新用户I_r步骤如下：

(F1)用户I_i从有限域F_p中选取参数b_iμ∈{b_i1,b_i2,…,b_i(t-1)}按下式确定t-1阶多项式f′_i(x)：

f′_i(x)＝b_i0+b_i1x¹+…+b_i(t-1)x^t-1

(F2)用户I_i按下式确定临时密钥份额s′_ij，并将临时密钥份额s′_ij发送给用户I_j：

s′_ij＝f′_i(ID_j)；

(F3)用户I_i按下式确定参数δ_iμ，并在签名组内将参数δ_iμ广播：

δ_iμ＝b_iμ×G

(F4)用户I_j收到用户I_i发来的临时密钥份额s′_ij，按下式确定验证参数V′_ij和C′_ij,并验证临时密钥份额s′_ij的有效性：

V′_ij＝s′_ij×G

若V′_ij＝C′_ij成立，则接受临时密钥份额s′_ij作为用户I_j的临时密钥份额，否则要求用户I_i重新发送临时密钥份额s′_ij；

(F5)用户I_j收到n份有效的临时密钥份额，按下式确定临时私钥sk′_j，并将临时私钥sk′_j发送给新用户I_r：

(F6)用户I_j按下式确定参数ε_j，并在签名组内将参数ε_j广播：

ε_j＝sk′_j×G

(F7)新用户I_r收到用户I_j发来的临时私钥sk′_j，按下式确定验证参数η_i，并验证临时私钥sk′_j的有效性：

η_j＝sk′_j×G

若η_j＝ε_j成立，则接受临时私钥sk′_j作为用户I_j的临时私钥sk′_j，否则要求用户I_j重新发送临时私钥sk′_j；

(F8)新用户I_r收到t份有效的临时私钥sk′_j，按下式确定自己的私钥sk_r并公布自己的公钥pk_r：

pk_r＝sk_r×G

G、删除签名组用户

删除用户I_w时，应满足：①重构其他成员的私钥sk_i，并使得被删除用户的私钥sk_w失效；②用户被删除不会改变签名公钥Q；设定被删除用户I_w的唯一表示符为ID_w，I_w∈U，删除用户I_w的步骤如下：

(G1)用户I_i从有限域F_p中选取参数c_iμ∈{c_i0,c_i1,c_i2,…,c_i(t-1)}，确定t-1阶多项式f_i″(x)：

f_i″(x)＝c_i0+c_i1x¹+…+c_i(t-1)x^t-1

(G2)用户I_i按下式确定临时密钥份额s″_ij，并将临时密钥份额s″_ij发送给用户I_j：

s″_ij＝f_i″(ID_j)

(G3)用户I_i按下式确定参数γ_iμ，并在签名组内将参数γ_iμ广播：

γ_iμ＝c_iμ×G

(G4)用户I_j收到用户I_i发来的临时密钥份额s″_ij，按下式确定验证参数V″_ij和C″_ij，并验证临时密钥份额s″_ij的有效性：

V″_ij＝s″_ij×G

若V″_ij＝C″_ij成立，则接受临时密钥份额s″_ij作为用户I_j的临时密钥份额，否则要求用户I_i重新发送临时密钥份额s″_ij；

(G5)用户I_j收到n-1份有效的临时密钥份额s″_ij，按下式更新新私钥sk″_j并公布自己的公钥pk″_j：

pk″_j＝sk″_j×G。

2.根据权利要求1所述的基于区块链的椭圆曲线门限签名方法，其特征在于：所述的A系统初始化、B生成用户公私钥、C生成份额签名、F添加签名组用户、G删除签名组用户步骤中，n取值为100。

Images