CN114065233A - 一种面向大数据和区块链应用的数字签名聚合方法 - Google Patents

Abstract

一种面向大数据和区块链应用的数字签名聚合方法。针对每个签名包含长期私钥和临时私钥线性组合的数值z_i，特别是基于Fiat‑Shamir转换机制的的数字签名，提供了一种数字签名聚合方法：其聚合签名包括

其中h_i是一个关于所有待聚合签名所涉及的签名者的公钥身份信息、所有签名的消息、所有签名中包含或蕴含的临时公钥，以及针对每一个h_i不同的标识值的承诺值。

Description

一种面向大数据和区块链应用的数字签名聚合方法

技术领域

本发明涉及密码技术，尤其涉及聚合数字签名方法。具体而言，聚合签名指的是这样一种技术：将多个独立生成的签名聚合起来，以减少签名存储的空间，并加快签名验证的时间。

背景技术

预备知识和符号标示

记G为一个有限群G′中的一个循环子群，其中记G′的阶为N，G的阶为q，g是G的生成元，记1_G为G′的单位元，记G/1_G为G中除了1_G之外的所有元素构成的集合。一般而言，q为一个大的素数(典型地，|q|＝160，其中|q|表示的是以2进制表示的q的长度)，一般而言，|q|表示系统的安全参数。记Z_q为数字集合{0，1，…，q-1}，记

为数字集合{1，…，q-1}。在下面的背景技术描述中，采用乘法表示(multiplicative representation)群上的操作，即G′和G为乘法群。这只是为了表述上的方便，所有有关背景技术的叙述均可等价地应用到加法群上，比如，椭圆曲线，或者其他的代数群或具体的群，有限域，复数或复合模(compositemoduli)等。一般而言，对于乘法群上的操作，指数上的操作是对q求模，而群上元素的操作是对N或N+1求模或其它操作以保证操作的结果是G′或G中的元素；比如g^x通常指的是g^{x mod q}，g^xg^y通常表示的是g^xg^y∈G′，x+y∈Z_q和xy∈Z_q表示的是x+y mod q和xy mod q。为了表述的方便起见，假定参数G，q，g是固定的并被所有的用户事先获知(这是一种实用中的普遍情况)；或者，将这些参数包含在证书中或者在协议运行之前交换和协商这些参数并达成一致。假定离散对数假设在G上成立，即给定X＝g^x∈G(其中x从Z_q中随机选取)，没有概率多项式时间的算法能够以不可忽略的概率由X求出x。在下面的叙述中使用“^”符号(比如，

)来标示一个用户或设备或程序的逻辑或“区别性”的身份(identity)，比如一个名字，一个设备或程序序列号，一个email或IP地址，甚至是方法运行中的一个角色等。在某些情况下，这些身份可能伴随或包含于一个数字证书。记{…}为一个信息或数值的集合。对于一个集合与一个数值的操作意味着对集合中的每一个元素都执行与该数值的同样操作。对于所有的运算符如果一个操作数是一个集合或向量是对该集合或向量中的每一个元素执行该运算符操作从，结果也是一个集合或向量。

哈希函数用来将一个字符串转换成一个数值或者一个固定长度的串等。典型地，哈希函数的输入，即任意一个字符串(或若干个字符串的联结)，首先被编码为一个{0，1}^*中的0-1串，然后将哈希函数作用在该转化后的0-1串输入上从而得到一个固定长度的0-1串输出。这儿{0，1}^*表示的是所有0-1串的集合。哈希函数在密码学中的一个基本功能是提供一个“单向”和“抗碰撞”的转换，这儿“单向”指的是给定一个函数的输出求出其输入或前像是困难的，“抗碰撞(collision-resistant)”指的是给定一个输入难以找到另外一个不同的输入使得哈希函数在这两个不同输入上的输出相同。哈希函数范围可以非常广泛：从一个简单的混合(mixing)函数到一个具有伪随机输出性质的函数。具有伪随机输出性质的哈希函数在密码学分析中常被理想化为一个“随机圣谕(random oracle)”。有几个哈希函数在密码学中被广泛使用：比如MD5将任意长度的数据转换为一个128-位的0-1串，而另一个常用的哈希函数SHA的输出是160位的0-1串。

对于H：{0，1}^*→Z_q的转换函数。典型地，其输入，即任意一个字符串(或若干个字符串的联结)，首先被编码为一个{0，1}^*中的0-1串，然后将H作用在该转化后的0-1串输入上从而得到一个Z_q中的数值(典型地，Z_q中的数值亦用2进制表示)。特别地，H可以是哈希函数。在应用中，转换函数的所有输入首先转换为0-1串，然后将转换后的0-1串连接成一个0-1串(联结的顺序可以变化)，最后在将转换函数作用到该联结后的0-1串从而得到输出。在大多数情况下，转换函数的输入的顺序不重要(顺序可以被变化)。比如，以转换函数H为例，设x为一个字符串，记x⁽²⁾为x的2进制0-1串编码表示；设S＝{s₁，…，s_t}，t≥0，为t个字符串的集合，记

为s₁，s₂，…，s_t的2进制0-1串编码表示，则

其中“||”表示的是字符串联结操作符。注意

联结的顺序可以变化，但联结的顺序需固定且所有的用户知晓且使用相同的顺序进行联结操作。对于

若其中s_i，1≤i≤t，是空串，则

假定签名者，记为

有一个签名公钥U，签名公钥U与签名者身份A的绑定由一个可信的第三方机构来执行。通常，可信的第三方机构会检查

的身份的有效性以及U的有效性，然后对

做一个数字签名，并将

以及可信第三方的签名形成一个针对

公钥证书，记为

但是在区块链和去中心化应用中，并没有中心化的机构对用户身份和其公钥进行绑定。

数字签名方法是密码技术的主要应用之一。基于离散对数的数字签名方案主要有Schnorr签名方案和国际数字签名标准(Digital Signature Standard(DSS))方案。聚合签名指的是这样一种技术：将多个独立生成的签名聚合起来，以减少签名存储的空间，并加快签名验证的时间。

Schnorr签名方案运作如下：

签名公钥pk：U＝g^-w∈G，其中

其中，G是有限群G′中的一个循环子群，g是G的生成元；记Z_q为数字集合{0，1…，q-1}，

为数字集合{1…，q-1}，q为一个大的素数。令h：{0，1}^*→Z_q为一个抗碰撞的哈希函数。

签名私钥sk：w。

签名的生成：记m∈{0，1}^*为需要签名的信息，{0，1}^*表示的是所有0-1串的集合。令h：{0，1}^*→Z_q为一个抗碰撞的哈希函数。

从Z_q中随机选取临时私钥r，计算临时公钥a＝g^r∈G；

计算e＝h(a，m)；计算z＝r+ew∈Z_q；将(e，z)作为对m的签名。

签名的验证：得到{m，(e，z)}以及签名公钥U后，签名验证者验证是否h(g^zU^e，m)＝e。若h(g^zU^e，m)＝e则接受签名，否则拒绝。

数字签名标准(DSS)方案运作如下：

签名公钥：U＝g^w∈G，其中

签名私钥：w。

签名的生成：记m∈{0，1}^*为需要签名的信息。令h：{0，1}^*→Z_q为一个抗碰撞的哈希函数。令f：G′→Z_q是一个转换函数。一般而言，若

(p是个素数)，f直接可以是“modq”操作；若G′是定义在有限域上的一个椭圆曲线群(即：a∈G表示椭圆曲线上的一个点(x，y))，f(a)＝x。签名者做如下计算：

从Z_q中随机选取r，计算a＝g^r∈G，

计算d＝f(a)；e＝h(m)；

计算

将(d，z)作为对m的签名。

签名的验证：得到{m，(d，z)}以及签名公钥U后，签名验证者如下验证签名的有效性：

计算

验证

若

则接受签名，否则拒绝。

Gamma签名方案运作如下：

签名公钥pk：U＝g^-w∈G，其中

签名私钥sk：w。

签名的生成：记m∈{0，1}^*为需要签名的信息，{0，1}^*表示的是所有0-1串的集合。令h：{0，1}^*→Z_q为一个抗碰撞的哈希函数。令f：G′→Z_q是一个转换函数。一般而言，若

(p是个素数)，f直接可以是“mod q”操作；若G′是定义在有限域上的椭圆曲线群(即：a∈G表示椭圆曲线上的一个点(x，y))，f(a)＝x，f也可以是一个哈希函数；从Z_q中随机选取临时私钥r，计算临时公钥a＝g^r∈G；计算d＝f(a)；计算e＝h(pk，m)；计算z＝dr+ew∈Z_q；将(d，z)作为对m的签名。

签名的验证：得到{m，(d，z)}以及签名公钥U后，签名验证者检查z∈Z_q，计算e＝h(m)，签名验证者验证是否

若

则接受签名，否则拒绝。

Schnorr签名方案、数字签名标准(DSS)和Gamma签名方案应用于签名聚合的可能性：已有的研究表明DSS签名方案不适合做签名聚合。而已有的研究成果表明Schnorr签名用于聚合签名时也不安全，这是通过具体的攻击来表明的。赵运磊等基于Gamma签名曾给出一个聚合Gamma-签名，但是近期聚合Gamma-签名在学术界被找到有效的亚指数攻击。因此，如何在一般的有限循环群上构建聚合签名是长期未解决的公开问题，本发明给出的高效聚合签名方案是第一个基于一般有限群的聚合签名方案，并可一般性适用到基于Fiat-Shamir转换得到的签名方案比如基于格的Dilithium签名及其变体，并且我们方法得到的聚合签名方案具有可证明安全保证。所发明的聚合签名方法在区块链和密码货币领域具有重要应用。

发明内容

本发明提供一种面向大数据和区块链应用的数字签名聚合方法，其中，令PK_i，SK_i，PK′_i，SK′_i，M_i，Z_i，S_i为数据集合，i≥1为正整数；对于

这儿pk_i代表签名公钥其可固定也可以每次签名而不同，传统的数字签名pk_i是相对固定的，但是在多重签名、环签名等应用中pk_i作为一个数据集合可以每次签名发生变化，sk_i代表签名私钥，pk′_i代表签名临时公钥，sk′_i代表签名临时私钥，m_i代表签名的消息，

其中

为任意单向函数，

其中

是任意单向函数，对于不同的i这些单向函数可以相同或不同；对于传统的数字签名和盲签名等，签名公钥可以包含一个单向函数，而对环签名、多重签名、多方签名、群签名、门限签名、聚合签名、adaptor签名等，签名公钥可以是一个集合其生成可以包含多个单向函数；待聚合的签名s_i包含数据z_i，并且签名验证有步骤基于一个公式

或其等价变体，其中f_i是一个同态函数输入至少包含z_i，

是辅助输入其可为空，Ω_i是一个函数其可为复合函数即其本身又可以调用其它转换或哈希函数，

是辅助输入其可为空；由s_i、m_i和pk_i可以有效计算出pk′_i，和/或，由s_i、m_i和pk′_i可以有效计算出pk_i；以Schnorr签名为例

其中g是群生成元，H是一个哈希函数；令e_i＝H(pk_i，pk′_i，m_i)；Schnorr签名可以有三种等价的形式：签名包含(z_i，e_i)，此时签名验证包含：利用

求出pk′_i，然后验证是否e_i＝H(pk_i，pk′_i，m_i)；或者，签名包含(z_i，pk′_i)，此时签名验证包含：得到e_i＝H(pk_i，pk′_i，m_i)然后验证是否

或者，在某些应用中为了增强隐私保护的需求，签名公钥不公开传输，签名包含(z_i，e_i，pk′_i)，此时签名验证包含：利用

求出pk_i，然后验证是否e_i＝H(pk_i，pk′_i，m_i)；这儿，每一个消息和签名对(m_i，s_i)称为是合法的如果其正确通过了签名验证；每一个消息和签名对(m_i，s_i)可以是由有一个签名者单独产生，也可以是多个用户交互协作产生比如盲签名、群签名、多重签名、门限和多方签名等，签名公钥也可以包含多个用户公钥比如环签名等；

给定n≥1个待聚合的消息和签名对：{(m₁，s₁)，(m₂，s₂)，...，(m_n，s_n)}，其中n为正整数，从中得到或蕴含签名公钥集合

签名临时公钥集合

签名消息集合

其中集合L_pk，L_pk′和L_m的部分或全部可以是多重集合，即其中若干元素可以相等；对于每一组验证有效的数据{pk_i，m_i，s_i，pk′_i}执行如下关键操作：

其中

是一个转换函数其输入包括数据集合L和D_i其集合包含的元素的顺序可以任意(在实际应用中，

一般是一个密码哈希函数，但也可以有更多得实现方式比如

或

等)，

是辅助信息，D_i是数据集合且对于不同的i值D_i不同，L＝F_L(L_pk，L_pk′L_m)其中F_L是一个承诺转换函数满足输出数据集合L是对{L_pk，L_pk′L_m}的一个承诺，即：没有多项式时间的算法能以不可忽略的概率输出{L_pk，L_pk′L_m}≠{L′_pk，L′_pk′L′_m}使得F_L(L_pk，L_pk′L_m)＝F_L(L′_pk，L′_pk′L′_m)；比如，从数据集合L可以把L_pk，L_pk′L_m的部分或全体恢复出来，或者L直接包含{L_pk，L_pk′L_m}或其全体或部分的哈希，或者包含{(pk₁，m₁，s₁)，(pk₂，m₂，s₂)，...，(pk_n，m_n，s_n)}，或者{(m₁，s₁)，(m₂，s₂)，...，(m_n，s_n)}如果(m_i，s_i)可以恢复出(pk_i，pk′_i)，1≤i≤n，或者{(H(pk₁)，m₁，s₁)，(H(pk₂)，m₂，s₂)，...，(H(pk_n)，m_n，s_n)}，或者{(pk₁，m₁，H(pk′₁))，(pk₂，m₂，H(pk′₂))，...，(pk_n，m_n，H(pk′_n))}，或者{e₁＝H(pk₁，m₁，s₁)，e₂＝H(pk₂，m₂，s₂)，...，e_n＝H(pk_n，m_n，s_n)}，或者{e₁＝H(pk₁，m₁，pk′₁)，e₂＝H(pk₂，m₂，pk′₂)，...，e_n＝H(pk_n，m_n，pk′_n)}，或者{e₁＝H(m₁，s₁)，e₂＝H(m₂，s₂)，...，e_n＝H(m_n，s_n)}，或者形成一个链式哈希H(e_n，H(e_n-1，H(e_n-2，H(...H(e₂，e₁))...)))其中e_i可以是上述任意形式，或者

或者e₁+e₂+…+e_n mod q，或者如果签名和/或消息是以Merkle树(比如在BTC中)或Merkle-Patricia树或Verkle树(比如在ETH中)则将树根中的值作为承诺值L，等等；在具体实施中根据待聚合签名的具体形式灵活采用方便的承诺形式，建议便验证待聚合签名的同时进行链式哈希；上述H是一个密码哈希函数，对于不同的输入可以应用不同的哈希函数，上面用一个哈希函数仅仅是为了描述方便起见。为了描述的方便起见，在后续说明中我们简单令L＝{L_pk，L_pk′L_m}。对于不同的i，函数

可以不同，并且对于部分i，

可以是常数函数；

其中

是一个转换函数其输入包括z_i，h_i，

是辅助信息；

其中

是一个转换函数其输入包括

输入顺序可以任意，

是辅助信息；聚合签名包括或蕴含：L_pk，L_pk′L_m，

及aux_agg，其中顺序任意，aux_agg是辅助信息比如系统参数、用户身份标识等信息；

聚合签名验证：所述聚合签名验证者

收到聚合签名其包含或蕴含

之后，对聚合签名进行验证，并输出验证结果；

系统参数、所有单向函数转换函数及其输入顺序、所有辅助输入信息具体内容或者是固定的并被所有的用户事先获知，或者在方法运行之前或之中被交换和协商；对于所有的运算符如果一个操作数是一个集合或向量是对该集合或向量中的每一个元素执行该运算符操作从，结果也是一个集合或向量。

如上所述的方法，待聚合的签名既可以是传统数字签名机制中单独签名用户所生成的签名，也可以是盲签名、环签名、多重签名、多方签名、门限签名、群签名、adaptorsignature等，也可以本身是一个用本方法生成的一个聚合签名；对于这些签名变体，签名或密钥生成过程通常需要运行交互协议生成，和/或签名公钥和签名临时公钥可以是一个集合，z也可以是一个集合。

如上所述的方法，单向函数

和

包含定义在群G上基于离散对数的单向函数，私钥取自Z_q＝{0，1，2，...，q-1}其中q是整数，群G的生成元记为g，群G既可以定义在数域上也可定义在椭圆曲线上；

其中H_i是一个哈希函数其输入顺序任意输出属于Z_q的一个子集或者H_i是一个常数函数，对于不同的i，H_i可以是同一个哈希函数或同一个常数函数，

和

也可以相同；

其中F_zh是一个转换函数输入包含z_ih_i和辅助输入

包含

的线性组合。

如上所述的方法，z_i是sk′_i和sk_i的线性组合：z_i＝d_isk′_i+e_isk_i，这儿sk′_i和sk_i签名者不一定必须知道而通过单向函数存在即可比如在环签名应用中；其中

其中

是一个可以为常数的转换函数，输入包括pk_i，pk′_i，m_i，

是辅助输入；

其中

是一个可以为常数的转换函数，输入包括pk_i，pk′_i，m_i，

是辅助输入；聚合签名验证者收到聚合签名其包括或蕴含

之后验证聚合签名的方法包括：判断

是否成立，其中F_V是一个输入包含L_pk，L_pk′L_m，

aux_agg的函数。

如上所述的方法，对于Schnorr类型签名的聚合，其基础签名包括：d_i＝1，

其中

包含

或

H是一个抗碰撞的哈希函数其输入顺序可以任意；或者

对于这种情况签名者的公钥可以从s_i以及签名消息m_i恢复出来；z_i＝sk′_i+sk_ie_i mod q，或z_i＝sk′_i-sk_ie_imod q，或z_i＝-(sk′_i+sk_ie_i)mod q，或z_i＝-(sk′_i-sk_ie_i)mod q；或；z_i＝sk_i+sk′_ie_i mod q，或z_i＝sk_i-sk′_ie_imod q，或z_i＝-(sk_i+sk′_ie_i)mod q，或z_i＝-(sk_i-sk′_ie_i)mod q；h_i＝H_i(F_L(L_pk，L_pk′L_m)，D_i)，其中对于部分i∈{1，2...，n}h_i可以是常数；

其中b_i＝1或b_i＝-1。

如上所述的方法，对于Gamma或俄罗斯数字签名标准EC-RDSA类型签名的聚合，其基础签名包括：

或

其中

包含e_i和/或d_i，H是一个抗碰撞的哈希函数其输入顺序可以任意；或者

对于这种情况签名者的公钥可以从s_i以及签名消息m_i恢复出来；z_i＝sk′_id_i+sk_ie_i mod q，或z_i＝sk′_id_i-sk_ie_i mod q，或z_i＝sk′_ie_i+sk_id_imod q，或z_i＝sk′_ie_i-sk_id_i mod q；或z_i＝-(sk′_id_i+sk_ie_i)mod q，或z_i＝-(sk′_id_i-sk_ie_i)mod q，或z_i＝-(sk′_ie_i+sk_id_i)mod q，或z_i＝-(sk′_ie_i-sk_id_i)mod q；h_i＝H_i(F_L(L_pk，L_pk′L_m)，D_i)，其中对于部分i∈{1，2...，n}h_i可以是常数，

其中b_i＝1或b_i＝-1。

如上所述的方法，其中，转换函数

有如下实现方式：

是一个哈希函数，或

输出pk′_i的x-轴坐标值。

如上所述的方法，针对基于格的后量子签名Dilithium及其变体，

是基于格上的带错误学习问题LWE的单向函数或其变体，对于这种情况签名生产和签名聚合需要拒绝采样来保证输出的签名满足要求的分布特征。

发明方法涉及数学公式计算，对数学公式和发明方法的等价变形、变换或变体蕴含在本发明方法的权利要求中。权利要求包括部署发明方法的所有软件、硬件设备、存储系统、程序代码等。

具体实施方式

发明方法可以一般性地适用基于Fiat-Shamir的数字签名的聚合，包括基于格的数字签名Dilithium及其变体。其核心思想如下：每个签名包含长期私钥和临时私钥线性组合的数值z_i，其聚合签名包括

其中h_i是一个关于所有待聚合签名所涉及的签名者的公钥身份信息、所有签名的消息、所有签名中包含或蕴含的临时公钥，以及针对每一个h_i不同的标识值的哈希值。下面，我们聚焦针对Schnorr签名和Gamma签名的聚合方法的具体实施方式。

预备知识和符号标示：

聚合Schnorr和聚合Gamma签名方法和操作基于一个有限群G′中的一个循环子群G，其中记G′的阶为N，G的阶为q，g是G的生成元，记1_G为G′的单位元，记G/1_G为G中除了1_G之外的所有元素构成的集合。一般而言，q为一个大的素数(典型地，|q|＝160，其中|q|表示的是以2进制表示的q的长度)。记Z_q为数字集合{0，1，…，q-1}，记

为数字集合{1，…，q-1}。发明人在下面发明方法的描述中，采用乘法表示(multiplicative representation)群上的操作。即，G′和G为乘法群。这只是为了表述上的方便，所有发明方法的叙述均可等价地应用到加法群上，比如，椭圆曲线，或者其他的代数群或具体的群，有限域，复数或复合模(composite moduli)等。一般而言，当用乘法群上的操作描述发明方法时，指数上的操作是对q求模，而群上元素的操作是对N或N+1求模或其它操作以保证操作的结果是G′或G中的元素；比如g^x通常指的是g^{x mod q}，g^xg^y通常表示的是g^xg^y∈G′，x+y∈Z_q和xy∈Z_q表示的是x+ymod q和xy mod q。为了表述的方便起见，假定参数G，q，g是固定的并被所有的用户事先获知(这是一种实用中的普遍情况)；或者，我们将这些参数包含在证书中或者在协议运行之前交换和协商这些参数并达成一致。我们假定离散对数假设在G上成立，即给定X＝g^x∈G(其中x从Z_q中随机选取)，没有概率多项式时间的算法能够以不可忽略的概率由X求出x。发明人使用“^”符号(比如，

)来标示一个用户或设备或程序的逻辑或“区别性”的身份(identity)，比如一个名字，一个设备序列号，一个emial或IP地址，甚至是方法运行中的一个角色等。在某些情况下，这些身份可能伴随或包含或包含于一个数字证书。记{…}为一个信息或数值的集合，但是在公有区块链比如比特币中应用时一般没有公钥证书。

哈希函数用来将一个字符串转换成一个数值或者一个固定长度的串等。典型地，哈希函数的输入，即任意一个字符串(或若干个字符串的联结)，首先被编码为一个{0，1}^*中的0-1串，然后将哈希函数作用在该转化后的0-1串输入上从而得到一个固定长度的0-1串输出。这儿{0，1}^*表示的是所有0-1串的集合。哈希函数在密码学中的一个基本功能是提供一个“单向”和“抗碰撞”的转换，这儿“单向”指的是给定一个函数的输出求出其输入或前像是困难的，“抗碰撞(collision-resistant)”指的是给定一个输入难以找到另外一个不同的输入使得哈希函数在这两个不同输入上的输出相同。哈希函数范围可以非常广泛：从一个简单的混合(mixing)函数到一个具有伪随机输出性质的函数。具有伪随机输出性质的哈希函数在密码学分析中常被理想化为一个“随机圣谕(random oracle)”。

聚合Gamma签名方法具体实施方式：

令

表示签名者，n表示系统中签名者的数目，

的公钥为

的私钥为sk_i＝x_i∈Z_q，(sk_i私钥也可以设置成-x_i，设置成-x_i的一个好处是签名中的计算z_i＝d_isk′_i-e_isk_i＝d_isk′_i+e_ix_i mod q是加法，验证是用乘法，这些技巧在我们发明方法框架下可以灵活设置)，其中x_i从

中随机选取；g是一个阶为N的有限群G′中的一个阶为素数q的循环子群G的生成元。这儿我们令G′是定义在F_p上的椭圆曲线的点构成，其中p是一个素数。系统参数{G′，G，g，q}，转换函数h，f，

以及辅助输入

或者是固定的并被所有的用户事先获知，或者被包含在证书中，或者在协议运行之前或之中被交换和协商。令m_i∈{0，1}^*为

待签名的信息，

表示签名聚合者，

表示聚合签名验证者，所述方法包括：

由所述签名者

计算e_i＝h(m_i，pk_i)或

或e_i＝h(m_i)，其中h：{0，1}^*→Z_q是一个从{0，1}^*到Z_q的抗碰撞的哈希函数；由所述签名者

在

随机选取得的临时私钥sk′_i，计算得到临时公钥

和d_i＝f(pk′_i)∈Z_q，其中f是将pk′_i的x-轴坐标值进行输出，或者f是一个抗碰撞的哈希函数(其可与h相同)；由所述签名者

计算z_i＝d_isk′_i+e_isk_imod q；由所述签名者

将(m_i，pk_i)和签名

发送或者广播出去；或者由所述签名者

将(m_i，pk_i)和签名

发送或者广播出去；其中，如果pk_i可以从m_i和s_i恢复出，则签名者可以不发送pk_i，比如e_i＝h(m_i)和

其中，

是一个空集或者仅包含

的全部或部分信息可以通过

恢复出来。

所述签名聚合者

设置四个初始变量{L_pk，L_m，L_pk′，z}，其中L_pk，L_m，L_pk′为初始化为空的集合(为了描述简单起见，我们直接令承诺值L为{L_pk，L_m，L_pk′}，当然我们可以采取更多在发明内容中描述的灵活的方式)，z初始化为0；由所述签名聚合者

令得到所述签名者

的公钥pk_i(其中pk_i可能是从消息m_i和签名s_i恢复出来的)、消息m_i和签名s_i之后，1≤i≤n其中n是一个整数，根据Gamma-签名的验证方法对每个签名进行验证并得到pk′_i。若验证不成功则拒绝该签名并放弃对其进行聚合；对每一个验证成功的签名，将pk_i增加到L_pk，将m_i增加到L_m，将pk′_i增加到L_pk′。对所有验证成功的签名，进行如下聚合操作。下面为了描述方便起见，我们假设收到的签名都验证成功并参与聚合。令L_pk＝{pk₁，...，pk_n}，L_pk′＝{pk′₁，...，pk′_n}，L_m＝{m₁，...，m_n}，这儿pk′_i可以用其x-轴坐标和另一个标记其y-轴正负号和/或奇偶性的值来简洁表示和存储，L_pk是多重集合其中可能有元素重复：对于i≠j可能pk_i＝pk_j。对于每一组签名验证成功并参与聚合的签名数据{pk_i，m_i，s_i，pk′_i}执行如下关键操作：

其中

是一个转换函数其可与f或h相同且可以存在部分i∈{1，2，…，n}使得

为常数函数，

可以为空。在具体实现中，一般令一个i∈{1，2，…，n}使得h_i＝1；l是一个整数，在具体实现中为了高效实现可以令l＜|q|，比如l＝|q|/2，其中|q|为q的二进制长度；为了验证的高效性，可以先用哈希函数计算所有的h_i然后令最大或最小的那个h_i设置成为常数1；对于不为常数的h_i，其取值可以取自Z_q的一个子集，比如

其中1是一个整数；这儿，为了简单起见，我们直接令D_i＝i，当然其有各种不同的形式只要保证对于不同的i值D_i不同即可，比如可令D_i＝{pk_i，pk′_i，m_i}；

最后，

输出

其中元素顺序可以任意组合。上述的验证和聚合过程步骤的顺序不是严格的，若干验证和聚合过程步骤的顺序可以调换和组合，其顺序对签名及聚合的生成和验证的正确性不关键。

所述聚合签名验证者

得到

后，用和签名者约定的同样的方法计算得到d_i∈Z_q，e_i∈Z_q，h_i∈Z_q，1≤i≤n，验证

以及计算验证是否

若验证通过则接受该聚合签名否则拒绝。上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合，其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。另外，验证一般包含对公钥或临时公钥格式的检查(比如确认他们是群G中的元素，在PKI环境下还涉及验证公钥证书的有效性等。

聚合Schnorr签名方法具体实施方式：

令

1≤i≤n，表示签名者，n表示系统中签名者的数目，

的公钥为

的私钥为sk_i＝x_i∈Z_q，(sk_i私钥也可以设置成-x_i，设置成-x_i的一个好处是签名中的计算z_i＝d_isk′_i-e_isk_i＝d_isk′_i+e_ix_i mod q是加法，验证是用乘法，这些技巧在我们发明方法框架下可以灵活设置)，其中x_i从

中随机选取；g是一个阶为N的有限群G′中的一个阶为素数q的循环子群G的生成元。这儿我们令G′是定义在F_p上的椭圆曲线的点构成，其中p是一个素数。系统参数{G′，G，g，q}，转换函数h，f，

以及辅助输入

或者是固定的并被所有的用户事先获知，或者被包含在证书中，或者在协议运行之前或之中被交换和协商。令m_i∈{0，1}^*为

待签名的信息，

表示签名聚合者，

表示聚合签名验证者，所述方法包括：

由所述签名者

在

随机选取得的临时私钥sk′_i，计算得到临时公钥

由所述签名者

计算e_i＝h(m_i，pk_i，pk′_i)或

或e_i＝h(m_i，pk′_i)，其中h：{0，1}^*→Z_q是一个从{0，1}^*到Z_q的抗碰撞的哈希函数；由所述签名者

计算z_i＝sk′_i+e_isk_i mod q；由所述签名者

将(m_i，pk_i)和签名

发送或者广播出去；或者由所述签名者

将(m_i，pk_i)和签名

发送或者广播出去，其中，如果pk_i可以从m_i和s_i恢复出，则签名者可以不发送pk_i，比如e_i＝h(m_i，pk′_i)和

这时签名者可以不公开发送pk_i；其中，

是一个空集或者仅包含e_i∈Z_q，pk′_i的全部或部分信息可以通过

恢复出来。

所述签名聚合者

设置四个初始变量{L_pk，L_m，L_pk′，z}，其中L_pk，L_m，L_pk′为初始化为空的集合(为了描述简单起见，我们直接令承诺值L为{L_pk，L_m，L_pk′}，当然我们可以采取更多在发明内容中描述的灵活的方式)，z初始化为0；由所述签名聚合者

令得到所述签名者

的公钥pk_i(其中pk_i可能是从消息m_i和签名s_i恢复出来的)、消息m_i和签名s_i之后，1≤i≤n其中n是一个整数，根据Schnorr-签名的验证方法对每个签名进行验证并得到pk′_i。若验证不成功则拒绝该签名并放弃对其进行聚合；对每一个验证成功的签名，将pk_i增加到L_pk，将m_i增加到L_m，将pk′_i增加到L_pk′。对所有验证成功的签名，进行如下聚合操作。下面为了描述方便起见，我们假设收到的签名都验证成功并参与聚合。令L_pk＝{pk₁，...，pk_n}，L_pk′＝{pk′₁，...，pk′_n}，L_m＝{m₁，...，m_n}，这儿pk′_i可以用其x-轴坐标和另一个标记其y-轴正负号和/或奇偶性的值来简洁表示和存储，L_pk是多重集合其中可能有元素重复：对于i≠j可能pk_i＝pk_j。对于每一组签名验证成功并参与聚合的签名数据{pk_i，m_i，s_i，pk′_i}执行如下关键操作：

的一个子集，其中

是一个转换函数其可与哈希函数h相同且可以存在部分i∈{1，2，…，n}使得

为常数函数，

可以为空。在具体实现中，一般令一个i∈{1，2，…，n}使得h_i＝1。为了验证的高效性，可以先用哈希函数计算所有的h_i然后令最大或最小的那个h_i设置成为常数1；对于不为常数的h_i，其取值可以取自Z_q的一个子集，比如

其中l是一个整数；在具体实现中为了高效实现可以令l＜|q|，比如l＝|q|/2，其中|q|为q的二进制长度；

最后，

输出

其中元素顺序可以任意组合。上述的验证和聚合过程步骤的顺序不是严格的，若干验证和聚合过程步骤的顺序可以调换和组合，其顺序对签名及聚合的生成和验证的正确性不关键。

所述聚合签名验证者

得到

后，用和签名者约定的同样的方法计算得到e_i∈Z_q，h_i∈Z_q，1≤i≤n，验证

以及计算验证是否

若验证通过则接受该聚合签名否则拒绝。上述的验证过程步骤的顺序不是严格的，若干验证过程和步骤的顺序可以调换和组合，其顺序对签名的生成和验证的正确性不关键。但是，合适的验证操作顺序可以尽早发现签名的错误，从而节省时间。另外，验证一般包含对公钥或临时公钥格式的检查(比如确认他们是群G中的元素，在PKI环境下还涉及验证公钥证书的有效性等。

基于Schnorr的盲签名聚合具体实施方式：基于Schnorr的盲签名需要交互产生，但是最终输出的签名仍然是Schnorr签名类型，可以利用基于Schnorr签名的聚合方式进行聚合。这种聚合技术可以应用到使用盲签名的区块链系统比如DASH币系统。

多方签名和门限签名聚合实施方式：多方签名和门限签名的公钥一般和传统签名相当，但是私钥通过分布式协议产生由多个用户共同保管。由于最终产出的签名仍然类似传统签名，如果签名是Schnorr或Gamma签名类型的，仍然可以采用本发明方法进行聚合。

多重签名聚合实施方式：多重签名一般是通过交互的方式产生，涉及多个用户的签名公钥(即：签名公钥和签名私钥都是一个集合)。对于某些多重签名方案比如基于Schnorr签名的MuSig2等，其支持公钥聚合，聚合公钥其是多个用户公钥的一个函数(对应的私钥是多个用户签名私钥的函数)，最终输出的多重签名可以视作为该聚合公钥的一个传统Schnorr或Gamma类型的签名，因此可以用本发明方法对多个多重签名进行聚合。

环签名聚合方式：环签名的签名公钥是多个用户签名公钥的一个集合，基于离散对数的环签名的基本类似是包括多个{z₁，z₂，...，z_k}以及若干临时签名公钥(通常是一个)或者哈希值，k≥1，验证是针对一个特定的z_i进行，1≤i≤k(通常令i＝1)，而要验证这个指定的z_i需要进行一个环形的运算和哈希链得到与这个特定的z_i对应的临时签名公钥或哈希值。一般而言，这个特定的z_i既是环型操作的起点也是终点。这时，需要说明的是，真正进行签名操作的用户不一定知道z_i对应的私钥。对多个环签名的聚合是对每个环签名中的指定的z_i(一般是环操作的起点和终点)用本发明方法进行聚合。这时，对于

L_pk，L_pk′中的每一个元素实际上都是一个集合，

可以包含没有参与聚合的签名其它部分比如没有参与聚合的z_j。在基于门罗币的区块链系统中，为了防止双花，实际签名者会准备两个签名公钥X＝g^x∈G，I＝H_I(X)^x，实际上签名私钥又是由自己(交易接受者)的两个私钥和交易发送者生成的交易公钥(transaction publickey)通过一个函数计算得到。这时，一个单独的签名对应用用∑_AND来同时证明知道X和I的离散对数，然后用Fiat-Shamir转换得到签名，这时一个单独的签名中临时公钥和z都是元素集合(包含至少2个元素)，然后对参与环签名的其它用户用∑_OR协议和环签名机制得到最终的环签名。对于门罗币区块链系统中，对多个环签名的聚合是对每个环签名中的指定的z_i(一般是环操作的起点和终点)用本发明方法进行聚合时，由于z_i是一个集合，z_ih_i是h_i与z_i中的每个元素进行聚合，

对应集合或向量的加法，

是一个集合，

得到也是一个集合或向量，是对

中的每一个元素做基为g的指数运算。

在本发明方法的具体实施中，如果待聚合的签名数量比较大，可以分成若干组，每组内的签名聚合采用本发明方法聚合，其得到的本组的聚合签名本身又作为一个待聚合的签名并与其它组得到的聚合签名进行聚合。

此外，对于adaptor签名，以及BIP-341和BIT-342所描述的Taproot更新，将应用Schnorr签名，因此本发明方法描述的聚合Schnorr签名方案可以应用到Taproot更新。

本发明给出一个高效的聚合数字签名方法，这是目前已知的唯一一种基于一般性有限群且可证明安全的聚合签名方法，解决了这个领域长期未解决的公开问题。所发明的新的数字签名方法可大幅缩小签名的存储空间和减少验证时间，可一般性地应用于需要签名聚合的应用中，特别有利于大数据聚合和区块链及密码货币领域应用。

Claims (8)

1.一种面向大数据和区块链应用的数字签名聚合方法，其中，令PK_i，SK_i，PK′_i，SK′_i，M_i，Z_i，S_i为数据集合，i≥1为正整数；对于

这儿pk_i代表签名公钥其可固定也可以每次签名而不同，传统的数字签名pk_i是相对固定的，但是在多重签名、环签名等应用中pk_i作为一个数据集合可以每次签名发生变化，sk_i代表签名私钥，pk′_i代表签名临时公钥，sk′_i代表签名临时私钥，m_i代表签名的消息，

其中

为任意单向函数，

其中

是任意单向函数，对于不同的i这些单向函数可以相同或不同；对于传统的数字签名和盲签名等，签名公钥可以包含一个单向函数，而对环签名、多重签名、多方签名、群签名、门限签名、聚合签名、adaptor签名等，签名公钥可以是一个集合其生成可以包含多个单向函数；待聚合的签名s_i包含数据z_i，并且签名验证有步骤基于一个公式

或其等价变体，其中f_i是一个同态函数输入至少包含z_i，

是辅助输入其可为空，Ω_i是一个函数其可为复合函数即其本身又可以调用其它转换或哈希函数，aux_Ωi是辅助输入其可为空；由s_i、m_i和pk_i可以有效计算出pk′_i，和/或，由s_i、m_i和pk′_i可以有效计算出pk_i；每一个消息和签名对(m_i，s_i)可以是由有一个签名者单独产生，也可以是多个用户交互协作产生比如盲签名、群签名、多重签名、门限和多方签名等，签名公钥也可以包含多个用户公钥比如环签名等；

给定n≥1个待聚合的消息和签名对：{(m₁，s₁)，(m₂，s₂)，...，(m_n，s_n)}，其中n为正整数，从中得到或蕴含签名公钥集合

签名临时公钥集合

签名消息集合

其中集合L_pk，L_pk′和L_m的部分或全部可以是多重集合，即其中若干元素可以相等；对于每一组数据{pk_i，m_i，s_i，pk′_i}执行如下关键操作：

其中

是一个转换函数其输入包括数据集合L和D_i其集合包含的元素的顺序可以任意，

是辅助信息，D_i是数据集合且对于不同的i值D_i不同，数据集合L＝F_L(L_pk，L_pk′L_m)其中F_L是一个承诺转换函数满足输出数据集合L是对{L_pk，L_pk′L_m}的一个承诺，即：没有多项式时间的算法能以不可忽略的概率输出{L_pk，L_pk′L_m}≠{L′_pk，L′_pk′L′_m}使得F_L(L_pk，L_pk′L_m)＝F_L(L′_pk，L′_pk′L′_m)；对于不同的i，函数

可以不同，并且对于部分i，1≤i≤n，

可以是常数函数；

其中

是一个转换函数其输入包括

是辅助信息；

其中

是一个转换函数其输入包括

输入顺序可以任意，

是辅助信息；聚合签名包括或蕴含：L_pk，L_pk′L_m，

及aux_agg，其中顺序任意，aux_agg是辅助信息比如系统参数、用户身份标识等信息；

聚合签名验证：所述聚合签名验证者

收到聚合签名其包含或蕴含

之后，对聚合签名进行验证，并输出验证结果；

系统参数、所有单向函数转换函数及其输入顺序、所有辅助输入信息具体内容或者是固定的并被所有的用户事先获知，或者在方法运行之前或之中被交换和协商；对于所有的运算符如果一个操作数是一个集合或向量是对该集合或向量中的每一个元素执行该运算符操作从，结果也是一个集合或向量。

2.如权利要求1所述的方法，待聚合的签名既可以是传统数字签名机制中单独签名用户所生成的签名，也可以是盲签名、环签名、多重签名、多方签名、门限签名、群签名、adaptor签名等，也可以本身是一个用本方法生成的一个聚合签名；对于这些签名变体，签名或密钥生成过程通常需要运行交互协议生成，和/或签名公钥和签名临时公钥可以是一个集合，z也可以是一个集合。

3.如权利要求2所述的方法，单向函数

和

包含定义在群G上基于离散对数的单向函数，私钥取自Z_q＝{0，1，2，...，q-1}其中q是整数，群G的生成元记为g，群G既可以定义在数域上也可定义在椭圆曲线上；

其中H_i是一个哈希函数其输入顺序任意输出属于Z_q的一个子集或者H_i是一个常数函数，对于不同的i，H_i可以是同一个哈希函数或同一个常数函数，

和

也可以相同；

其中F_zh是一个转换函数输入包含z_ih_i和辅助输入

包含

的线性组合。

4.如权利要求3所述的方法，z_i是sk′_i和sk_i的线性组合：z_i＝d_isk′_i+e_isk_i，这儿sk′_i和sk_i签名者不一定必须知道而是通过单向函数存在即可比如在环签名应用中；其中

其中

是一个可以为常数的转换函数，输入包括pk_i，pk′_i，m_i，

是辅助输入；

其中

是一个可以为常数的转换函数，输入包括pk_i，pk′_i，m_i，

是辅助输入；聚合签名验证者收到聚合签名其包含或蕴含

之后验证聚合签名的方法包括：判断

是否成立，其中F_V是一个输入包含L_pk，L_pk′L_m，

aux_agg的函数。

5.如权利要求4所述的方法，对于Schnorr类型签名的聚合，其基础签名包括：

其中

包含

或

H是一个抗碰撞的哈希函数其输入顺序可以任意；或者

对于这种情况签名者的公钥可以从s_i以及签名消息m_i恢复出来；z_i＝sk′_i+sk_ie_i mod q，或z_i＝sk′_i-sk_ie_i mod q，或z_i＝-(sk′_i+sk_ie_i)mod q，或z_i＝-(sk′_i-sk_ie_i)mod q；或；z_i＝sk_i+sk′_ie_i mod q，或z_i＝sk_i-sk′_ie_i mod q，或z_i＝-(sk_i+sk′_ie_i)modq，或z_i＝-(sk_i-sk′_ie_i)mod q；h_i＝H_i(F_L(L_pk，L_pk′L_m)，D_i)其中对于部分i∈{1，2...，n}h_i可以是常数，

其中b_i＝1或b_i＝-1。

6.如权利要求4所述的方法，对于Gamma或俄罗斯数字签名标准EC-RDSA类型签名的聚合，其基础签名包括：

或

其中

包含e_i和/或d_i，H是一个抗碰撞的哈希函数其输入顺序可以任意；或者

对于这种情况签名者的公钥可以从s_i以及签名消息m_i恢复出来；z_i＝sk′_id_i+sk_ie_i mod q，或z_i＝sk′_id_i-sk_ie_i mod q，或z_i＝sk′_ie_i+sk_id_i mod q，或z_i＝sk′_ie_i-sk_id_i mod q；或z_i＝-(sk′_id_i+sk_ie_i)mod q，或z_i＝-(sk′_id_i-sk_ie_i)mod q，或z_i＝-(sk′_ie_i+sk_id_i)mod q，或z_i＝-(sk′_ie_i-sk_id_i)mod q；h_i＝H_i(F_L(L_pk，L_pk′L_m)，D_i)其中对于部分i∈{1，2...，n}h_i可以是常数，

其中b_i＝1或b_i＝-1。

7.如权利要求4所述的方法，其中，转换函数

有如下实现方式：

是一个哈希函数，或

输出pk′_i的x-轴坐标值。

8.如权利要求2所述的方法，针对基于格的后量子签名Dilithium及其变体，

是基于格上的带错误学习问题LWE的单向函数或其变体，对于这种情况签名生产和签名聚合需要拒绝采样来保证输出的签名满足要求的分布特征。