CN117220891A - 基于非交互分布式密钥的门限ecdsa签名方法及系统 - Google Patents

Abstract

本发明公开了一种基于非交互分布式密钥的门限ECDSA签名方法及系统，涉及信息安全技术领域。包括非交互分布式密钥生成、与消息无关的预签名和在线签名。非交互分布式密钥生成用于在一个轮次内实现签名所需公私钥的分布式生成和诚实参与方集合的构造，摆脱了交互式和复数通讯轮次的需求；与消息无关的预签名用于批量生成签名所需的预签名材料，降低通讯轮次和收到消息到输出签名的时延；在线签名用于在输入消息时非交互式生成签名。本发明提供了一种在同步通讯模型下具有低交互、低延时的稳健门限ECDSA签名协议，保证协议的稳健性和轮次最优性。

Description

基于非交互分布式密钥的门限ECDSA签名方法及系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于非交互分布式密钥的门限ECDSA签名方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

近年来由于区块链技术的大规模实际应用，密码学界对门限签名的研究兴趣开始回升。ECDSA签名方案是一种基于椭圆曲线密码学的签名方案，由密钥生成阶段、签名阶段和验证阶段组成，而门限ECDSA签名方案在分布式安全、灵活性、抗攻击性和算法效率等方面具有明显的优势，允许n个参与方共享在某一公钥下发布数字签名的权力，签名方案指定一个门限t，使得任意t个或以上数目的参与方能够共同签名，而任何数目未达到门限t的参与方则无法生成签名或获得关于集体私钥的任何信息，为多方共享私钥的场景提供了一种高度可靠且强大的数字签名解决方案。

门限ECDSA签名方案大多需使用Beaver隐私求逆和乘法转加法两种安全多方计算技术，依赖线性同态加密算法，然而作为此前常用的线性同态加密算法，Paillier加密算法通讯量较大，而且需要进行复杂的范围证明；此外，门限ECDSA签名方案一直以来不关注稳健性，若发现恶意者只能中止此次协议执行，可导致拒绝服务攻击。

作为门限签名方案的重要组成部分，分布式密钥生成方案用于管理密钥，并在诸多分布式多方安全协议中负责临时随机数的生成，是一个用途广泛且多样的构造部件，能够消除公钥密码系统中存在的私钥存储的单点故障问题，使得由n个参与方构成的集体能够共同地生成符合某一公钥密码系统实际要求的公私钥对(pk,sk)。在分布式密钥生成方案中，生成密钥的过程无需受信任的第三方作为中心节点参与，并且生成的公钥pk能够代表整个集体，而私钥sk能够以秘密共享份额的形式分散存在和使用，而不必在某个单一位置存储、计算或重建为原始形式。

在同步通讯模型下对于分布式密钥生成机制的研究，大体而言都延续了Pedersen-DKG和GJKR-DKG的范式。然而，Pedersen-DKG却存在不安全性：存在每轮可以在收到所有其他各方发来的消息后最后决定自己要发出的信息的急速敌手(RushingAdversary)，可以根据其他各方的公钥份额选定自己的随机份额，以一定概率使协议输出的公钥pk满足自设的条件；这造成了Pedersen-DKG输出的公钥的统计分布无法保证均匀随机。尽管基于Pedersen-DKG构造的简单的门限Schnorr签名协议(在没有并行实例的条件下)仍是可证明不可伪造的，但这一密钥偏移攻击或称密钥影响攻击的存在仍导致此方案不总是能安全地应用于其他场景。GJKR-DKG通过使用对秘密具有信息论隐藏性的Pedersen可验证秘密共享协议消除了这一问题，从而可确保公钥均匀分布、可用于任何基于离散对数的密码系统中，然而它却使得多项式承诺的计算和通讯开销增加一倍，且需要额外的一轮通讯来导出公钥。

因此，如何在保证安全的前提下，克服现有协议在分布式密钥生成机制中高延时、高通讯开销的缺陷，成为现有技术亟待解决的问题。

发明内容

针对现有技术存在的不足，本发明的目的是提供一种基于非交互分布式密钥的门限ECDSA签名方法及系统，利用CL加密算法，同时考虑门限ECDSA签名方案的安全及性能需求，基于非交互分布式密钥生成方案提供了一种在同步通讯模型下具有低交互、低延时的稳健门限ECDSA签名协议。

为了实现上述目的，本发明是通过如下的技术方案来实现：

本发明第一方面提供了一种基于非交互分布式密钥的门限ECDSA签名方法，包括以下步骤：

每个参与方生成份额密文并通过广播信道将消息发出，并对收到广播消息的各参与方进行筛选，得到诚实参与方集合，每个参与方将诚实参与方的消息进行聚合得到集体的公钥；

各参与方生成两个随机nonce秘密共享份额，每个秘密共享份额进乘法转加法计算，得到两个乘法结果的加法份额并进行检查，对每个参与方生成的秘密共享份额进行有效性检查，根据检查结果得到预签名材料；

根据要签名的消息，每个诚实参与方生成并广播签名份额，利用预签名材料对签名份额进行重构，将重构后的签名作为最终的签名。

进一步的，每个参与方生成份额密文的具体步骤为：每个参与方首先生成公共参数，然后生成随机t阶多项式，并基于多项式生成份额，将加密随机数承诺、份额密文集合、多项式承诺、零知识证明封装为一条消息通过广播信道发出。

进一步的，每个参与方通过公钥基础设施(PKI)生成公共参数。

进一步的，对收到广播消息的各参与方进行筛选的具体步骤为：

在收到所有其他参与方广播的消息后，各参与方对消息中的零知识证明通过非交互零知识证明系统进行验证，若验证通过则将其加入诚实参与方集合，最终构造出的诚实参与方集合。

进一步的，每个参与方将诚实参与方的消息进行聚合得到集体的公钥的具体步骤为：

每个参与方将所有诚实参与方的多项式常数项的幂次承诺进行乘法聚合即得到集体的公钥，将所有诚实参与方发给自己的份额密文解密并进行加法聚合即得到集体私钥的一个Shamir秘密共享份额。

进一步的，每个秘密共享份额进乘法转加法计算的步骤包括：

每个由2个诚实参与方构成的有序对交互执行两次乘法转加法，获得两个乘法结果的加法份额；参与方对乘法转加法中的每个由自己随机生成的数值都进行了幂次承诺，以便其他参与方在幂次上检查乘法转加法步骤的正确性；若检查不通过，则广播一个对作出承诺的参与方的投诉消息，其他各方若验证该投诉消息有效，则将作出承诺的参与方从诚实集合中移除。

进一步的，对每个参与方生成的秘密共享份额进行有效性检查，根据检查结果得到预签名材料的具体步骤为：

每个参与方生成秘密共享份额，并利用广播承诺及离散对数相等零知识证明来让其他参与方核验秘密共享份额的有效性，若任意检查不通过，则将有关消息的发送者从诚实参与方集合中移除。

进一步的，根据要签名的消息，每个诚实参与方生成并广播签名份额的具体步骤为：

收到要签名的消息之后，每个诚实的参与方生成并广播签名份额，收到签名份额之后参与方通过Lagrange插值生成发送者的签名份额并检验其有效性。

更进一步的，利用预签名材料对签名份额进行重构的具体步骤为：若诚实参与方集合的大小大于等于门限签名的门限值，则每个诚实的参与方对签名份额经过2次Lagrange插值重构并返回最终的签名。

本发明第二方面提供了一种基于非交互分布式密钥的门限ECDSA签名系统，包括：

非交互分布式密钥生成模块，被配置为每个参与方通过公钥基础设施生成份额密文并通过广播信道将消息发出，并对收到广播消息的各参与方进行筛选，得到诚实参与方集合，每个参与方将诚实参与方的消息进行聚合得到集体的公钥；

与消息无关的预签名模块，被配置为各参与方生成两个随机nonce秘密共享份额，每个秘密共享份额进乘法转加法计算，得到两个乘法结果的加法份额并进行检查，对每个参与方生成的秘密共享份额进行有效性检查，根据检查结果得到预签名材料；

在线签名模块，被配置为根据要签名的消息，每个诚实参与方生成并广播签名份额，利用预签名材料对签名份额进行重构，将重构后的签名作为最终的签名。

以上一个或多个技术方案存在以下有益效果：

本发明公开了一种基于非交互分布式密钥的门限ECDSA签名方法及系统，基于CL加密算法，能大幅减少密钥生成阶段的通讯轮次，还能用于随机nonce的生成，优化签名整体通讯轮次。本申请的门限ECDSA签名能够具有自我修复性和轮次最优性。本发明设计的与消息无关的预签名能够以更少的通讯轮次完成预签名材料的生成，从而提供更快的签名方案。

本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本发明实施例一中基于非交互分布式密钥的门限ECDSA签名方法的整体框架图；

图2为本发明实施例一中非交互分布式密钥生成的原理图；

图3为本发明实施例一中与消息无关的预签名的原理图；

图4为本发明实施例一中在线签名的原理图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

应当说明的是，本发明实施例中，涉及到消息相关的数据，当本发明以上实施例运用到具体产品或技术中时，需要获得用户许可或者同意，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合；

Castagnos–Laguillaumie加密算法，简称CL加密算法，是一种类似指数上的ElGamal加密算法的构造，CL加密算法在子群成员困难假设下可证明IND-CPA安全，且和Paillier加密算法同样满足线性(加法、标量乘法)同态，但在安全多方计算协议中，CL加密算法可以免于使用开销较大的范围证明，并且在同样的安全参数下密文长度仅为Paillier的1/3左右，能大幅减少通讯量。

因此，本发明在使用CL加密算法的非交互可验证秘密共享方案的基础上，构建了同步通讯模型下支持前摄性安全的非交互分布式密钥生成协议NI-DKG，能够在一个轮次内实现签名所需公私钥的分布式生成；另外本发明基于该非交互分布式密钥生成协议，提出了一个稳健门限ECDSA签名协议，能够同时具有自我修复性和轮次最优性。具体内容如下。

实施例一：

本发明实施例一提供了一种基于非交互分布式密钥的门限ECDSA签名方法，如图1所示，该方法基于零知识证明的恶意者识别和稳健性支持，首先基于CL加密算法同态加密，生成非交互分布式密钥，得到适用于门限ECDSA签名的一次性随机数和适用于门限ECDSA签名的公钥基础设施，通过基于CL同态加密的多方安全模逆以及乘积运算，得到与既有系统兼容的ECDSA签名输出。

具体包括非交互分布式密钥生成、与消息无关的预签名和在线签名阶段：

步骤1，非交互分布式密钥生成，如图2所示，包括份额密文分发、诚实参与方筛选和密钥聚合。每个参与方通过公钥基础设施(PKI)生成份额密文并通过广播信道将消息发出，并对收到广播消息的各参与方进行筛选，得到诚实参与方集合，每个参与方将诚实参与方的消息进行聚合得到集体的公钥。

步骤1.1，份额密文分发：每个参与方首先通过公钥基础设施生成公共参数，然后生成随机t阶多项式，并基于多项式生成份额，将加密随机数承诺、份额密文集合、多项式承诺、零知识证明封装为一条消息通过广播信道发出。

步骤1.1.1，每个参与方P_i通过PKI生成公共参数pp＝(G,q,g,pk_i,sk_i)；

其中，G为素数阶椭圆曲线群，生成元为g，q为素数，pk_i,sk_i为适用CL同态加密算法的公–私钥对，其中公钥为所有参与方所知；

步骤1.1.2，每个参与方P_i各自选取上的多项式系数/>构造随机t阶多项式/>并将其每个系数进行群上的幂次承诺

其中表示阶为素数q的整数群；

步骤1.1.3，每个参与方P_i将多项式上n个点的函数值作为自己分享给其他参与方的份额{s_i,j}_j←{f_i(id_j)}_j∈[1..n]，生成加密随机数r_j←_$D_q及其承诺并将每个份额s_i,j用相应参与方的CL算法公钥pk_j进行加密{E_i,j}_j←{CL.Enc(pk_j,s_i,j；r_i)}_j∈[1..n]，使用相同的一个加密随机数以节省通讯开销；

其中，符号←表示赋值；符号←_$表示左侧为从右侧随机选取的值，D_q为CL加密算法构造中实例化群时根据离散对数易解的已知阶子群的阶q生成的区间内整数的集合，为CL加密算法构造中未知阶子群的生成元；

步骤1.1.4，每个参与方P_i用非交互零知识证明系统生成上述步骤都已正确完成的证明

步骤1.1.5，每个参与方P_i将加密随机数承诺R_j、份额密文集合{E_i,j}_j、多项式承诺{A_i,k}_k、零知识证明封装为一条消息通过广播信道发出。

步骤1.2，诚实参与方筛选：在收到所有其他参与方广播的消息后，各参与方对消息中的零知识证明通过非交互零知识证明系统进行验证，若验证通过则将其加入诚实参与方集合，最终构造出的诚实参与方集合。由于非交互零知识证明系统的巧妙构造，所有参与方得到的诚实参与方集合是一致的。

步骤1.3，密钥聚合：每个参与方将所有诚实参与方的多项式常数项的幂次承诺进行乘法聚合即得到集体的公钥，将所有诚实参与方发给自己的份额密文解密并进行加法聚合即得到集体私钥的一个Shamir秘密共享份额。此外，还可以计算出其他参与方的私钥Shamir份额的幂次承诺和其他参与方的私钥的密文。

步骤1.3.1：每个参与方将所有诚实参与方发送给自己的多项式常数项的幂次承诺进行乘法聚合，得到集体的公钥X←∏_j∈PA_j,0，还可以通过利用多项式承诺在幂次上求份额再进行聚合得到其他参与方的私钥Shamir份额的幂次承诺

步骤1.3.2，每个参与方将所有诚实参与方发给自己的份额密文解密并进行加法聚合，得到集体私钥的一个Shamir秘密共享份额x_i←∑_j∈PCL.Dec(sk_i,(R_j,E_j,i))，还可以通过利用CL加密算法的同态加法得到其他参与方的私钥的密文

步骤2，消息无关的预签名，如图3所示，包括nonce份额生成、乘法转加法、份额揭示和预签名输出。各参与方生成两个随机nonce秘密共享份额，每个nonce秘密共享份额进乘法转加法计算，得到两个乘法结果的加法份额并进行检查，对每个参与方生成的nonce秘密共享份额进行有效性检查，根据检查结果得到预签名材料。

步骤2.1，nonce份额生成：各参与方首先并行地执行2个步骤1中非交互分布式密钥生成协议实例合作生成两个随机nonce k和γ的秘密共享份额，一并输出乘法转加法步骤中需要使用的其他参与方的nonce k的份额密文。

步骤2.2，乘法转加法：每个由2个诚实参与方构成的有序对交互执行两次乘法转加法，获得两个乘法结果的加法份额；参与方对乘法转加法中的每个由自己随机生成的数值都进行了幂次承诺，以便其他参与方在幂次上检查乘法转加法步骤的正确性；若检查不通过，则广播一个对作出承诺的参与方的投诉消息，其他各方若验证该投诉消息有效，则将作出承诺的参与方从诚实集合中移除。

步骤2.2.1，为了得到k_j·γ_i的加法份额α_j，i、β_j，i和k_j·x_i的加法份额μ_j，i、v_j，i，对于所有的P_{j，j∈P\{i}}，每个诚实的参与方P_i从中随机选取随机数β_j，i和v_j，i，并对每个随机生成的数值都进行了幂次承诺，生成对应的/>和/>

步骤2.2.2，每个诚实的参与方P_i通过对k_j的CL算法密文的线性同态操作得到份额α_j，i和份额μ_j，i的密文/>和/>然后将密文/>和/>以及随机数值的幂次承诺B_j，i和N_j，i广播发送；

步骤2.2.3，收到P_i广播的消息之后，每个诚实的参与方P_j解密其中的份额密文和/>得到对应的份额/>和/>并通过检查/>和/>是否成立来检查P_i负责的乘法转加法步骤的正确性；

步骤2.2.3，若检查不通过，则P_j广播一个对P_i的投诉消息，其他各方若验证该投诉消息有效，则将P_i从诚实集合中移除。

步骤2.3，份额揭示：每个参与方生成δ＝kγ的自身持有份额的秘密共享份额{δ_i，j}_j，并利用广播承诺及离散对数相等零知识证明来让其他参与方核验秘密共享份额的有效性，若任意检查不通过，则将有关消息的发送者从诚实参与方集合中移除。

步骤2.3.1，每个参与方P_i生成承诺用于让其他参与方核验{δ_i，j}_j的有效性，并通过离散对数相等非交互零知识证明系统生成/>是正确取得的证明/>

步骤2.3.2，每个参与方P_i生成δ＝kγ的秘密共享份额{δ_i，j}_j，当i≠j时，δ_i，j＝α_i，j+β_i，j+θ_i，j；当i＝j时，δ_i，j＝k_iγ_i+θ_i，i；

其中{θ_i，j}_j通过调用多项式常数项为0的(t，n)Shamir秘密共享得到，用于掩蔽P_i的本地秘密；

步骤2.3.3，每个参与方P_i将承诺D_i、零知识证明和秘密共享份额{δ_i，j}_j封装为一条消息通过广播信道发出；

步骤2.3.4，在收到所有其他参与方广播的消息后，各参与方对上述消息中的零知识证明通过非交互零知识证明系统/>进行验证，验证结果正确与否表示D_i是否正确生成，若任意检查不通过，则将有关消息的发送者从诚实参与方集合中移除；

步骤2.3.5，每个参与方P_j≠i通过Lagrange插值得到δ_i＝∑_j L_j·δ_i，j，并通过检查δ_i+∑_j≠i L_j·(β_i，j-β_j，i)＝∑_j≠i L_j·(α_i,j+β_i，j+λ_i,j)+L_i(k_iγ_i+θ_i,i)＝k_iγ是否成立，也即检查是否成立来验证P_i提供的{δ_i，j}_j是否有效，若任意检查不通过，则将有关消息的发送者从诚实参与方集合中移除；

其中k_i·γ_j＝α_i,j+β_j，i，最终的诚实参与方集合记为P^*。

步骤2.4，预签名输出：返回预签名材料，以备在线签名阶段使用。

步骤2.4.1，每个诚实的参与方P_i通过Lagrange插值得到{δ_j}_j←{∑_l∈P L₁·δ_j，l}_j；

注意，由于诚实参与方集合P的动态变化，步骤2.3.5，验证时与步骤2.4.1聚合时使用Lagrange插值求得的{δ_j}_j可能不相同；若不相同，则不能使用先前计算的{δ_j}_j须对{δ_j}_j进行重新计算。

步骤2.4.2，P_i再通过Lagrange插值得到δ←∑_j∈P L_j·δ_j；

步骤2.4.3，使用δ，P_i可以计算得到生成签名所需的R←Γ^1/δ，以及在线签名阶段的验证过程所需的

步骤2.4.4，P_i将k_i、步骤2.2.1生成的{v_j,i}_j≠i、步骤2.3.1生成的{μ_i，j}_j≠i和步骤2.4.3生成的R封装成然后将{K_j}_j、步骤B2.1生成的{{N_j,l}_l≠j}_j和步骤2.4.3生成的{R_j}_j封装成V_i；

其中，用于生成签名本身，而V_i＝({K_j}_j，{R_j}_j，{{N_j,l}_l≠j}_j)用于在线签名阶段的验证过程。

步骤3，在线签名，如图4所示，包括签名份额分发和签名重构。根据要签名的消息，每个诚实参与方生成并广播签名份额，利用预签名材料对签名份额进行重构，将重构后的签名作为最终的签名。

步骤3.1，签名份额分发：收到要签名的消息之后，每个诚实的参与方生成并广播签名份额，收到签名份额之后参与方通过Lagrange插值生成发送者的签名份额并检验其有效性。

步骤3.1.1，每个诚实的参与方P_i生成承诺然后通过非交互零知识证明系统生成

的证明/>

步骤3.1.2，P_i将消息进行哈希得到m←H(msg)，从R中得到r←R|_x-axis，然后调用常数项为m的(t，n)Shamir秘密共享生成{m_i,j}_j；

步骤3.1.3，P_i生成签名份额{s_i，j}_j，并将其同承诺及其零知识证明/>封装为一条消息通过广播信道发出；

其中，当i≠j时，s_i，j＝r(μ_i，j+v_j,i)+k_im_i,j，当i＝j时，s_i，j＝rk_ix_i+k_im_i,i；

步骤3.1.4，收到上述消息之后，参与方对上述消息中的零知识证明通过非交互零知识证明系统/>零知识证明进行验证，若验证通过，则P₁通过Lagrange插值来生成签名份额/>并通过检查/>是否成立来验证签名份额s_i是否有效，若任意检查不通过，则将有关消息的发送者从诚实参与方集合P^*中移除；

步骤3.2，签名重构：若此时的诚实参与方集合P^*的大小大于等于t，则每个诚实的参与方对签名份额经过2次Lagrange插值重构并返回最终的签名。其中，t代表(t，n)门限签名的门限值，使得任意t个或以上数目的参与方能够共同签名，而任何数目未达到门限t的参与方则无法生成签名或获得关于集体私钥的任何信息；根据实际实现的钱包方案确定t，n，常见的有(3，5)等。

本发明中在线签名阶段的诚实参与方集合P^*可以不与预签名阶段的参与者集合p完全相同，而仅需有t个及以上预签名阶段的诚实参与方继续参加在线签名阶段，即|P^*∩P|≥t，即可正确地输出签名。

步骤3.2.1，若诚实参与方集合P^*的大小大于等于t，则每个诚实的参与方通过Lagrange插值得到/>

步骤3.2.2，P_i再通过Lagrange插值得到并将s和步骤C1.2中生成的r一起作为最终的签名(r，s)返回。

本发明公开了一种基于非交互分布式密钥生成方案的稳健门限ECDSA签名协议，包括非交互分布式密钥生成、与消息无关的预签名和在线签名。所述非交互分布式密钥生成用于在一个轮次内实现签名所需公私钥的分布式生成和诚实参与方集合的构造，摆脱了交互式和复数通讯轮次的需求；所述与消息无关的预签名用于批量生成签名所需的预签名材料，降低通讯轮次和收到消息到输出签名的时延；所述在线签名用于在输入消息时非交互式生成签名。本发明所提供的新颖协议不仅实现了稳健性和轮次最优性，还在目前最先进研究基础上取得实质性改进，在无受信中心节点情况下，本发明提出的非交互分布式密钥生成方案及稳健门限ECDSA签名协议具有重要意义。

具体的，本发明能够提供稳健性(Robustness)或称自修复性(Self-healing)：本发明在检查出恶意者后诚实参与方可以排除恶意者的影响，继续本次协议运行。本发明提出的非交互分布式密钥生成方案基于同步模型下非交互可验证秘密共享方案构建，能够在1轮内实现签名所需公私钥的分布式生成，摆脱交互式和多个通讯轮次的需求，同时也能降低门限ECDSA签名整体通讯轮次，实现1轮的密钥生成阶段和3轮的签名阶段；本发明中在线签名阶段的参与者集合P^*可以不与预签名阶段的参与者p完全相同，而仅需有t个及以上预签名阶段的诚实参与方继续参加在线签名阶段，即即可正确地输出签名；本发明能够在区块链等更多领域，为使用者提供快速、安全的门限ECDSA签名协议。

实施例二：

本发明实施例二提供了一种基于非交互分布式密钥的门限ECDSA签名系统，包括：

非交互分布式密钥生成模块，被配置为每个参与方通过公钥基础设施生成份额密文并通过广播信道将消息发出，并对收到广播消息的各参与方进行筛选，得到诚实参与方集合，每个参与方将诚实参与方的消息进行聚合得到集体的公钥；

与消息无关的预签名模块，被配置为各参与方生成两个随机nonce秘密共享份额，每个nonce秘密共享份额进乘法转加法计算，得到两个乘法结果的加法份额并进行检查，对每个参与方生成的nonce秘密共享份额进行有效性检查，根据检查结果得到预签名材料；

在线签名模块，被配置为根据要签名的消息，每个诚实参与方生成并广播签名份额，利用预签名材料对签名份额进行重构，将重构后的签名作为最终的签名。

以上实施例二中涉及的各步骤与方法实施例一相对应，具体实施方式可参见实施例一的相关说明部分。

本领域技术人员应该明白，上述本发明的各模块或各步骤可以用通用的计算机装置来实现，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。本发明不限制于任何特定的硬件和软件的结合。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (10)

1.一种基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，包括以下步骤：

每个参与方生成份额密文并通过广播信道将消息发出，并对收到广播消息的各参与方进行筛选，得到诚实参与方集合，每个参与方将诚实参与方的消息进行聚合得到集体的公钥；

各参与方生成两个随机nonce秘密共享份额，每个秘密共享份额进乘法转加法计算，得到两个乘法结果的加法份额并进行检查，对每个参与方生成的秘密共享份额进行有效性检查，根据检查结果得到预签名材料；

根据要签名的消息，每个诚实参与方生成并广播签名份额，利用预签名材料对签名份额进行重构，将重构后的签名作为最终的签名。

2.如权利要求1所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，每个参与方生成份额密文的具体步骤为：

每个参与方首先生成公共参数，然后生成随机t阶多项式，并基于多项式生成份额，将加密随机数承诺、份额密文集合、多项式承诺、零知识证明封装为一条消息通过广播信道发出。

3.如权利要求2所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，每个参与方通过公钥基础设施生成公共参数。

4.如权利要求2所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，对收到广播消息的各参与方进行筛选的具体步骤为：

在收到所有其他参与方广播的消息后，各参与方对消息中的零知识证明通过非交互零知识证明系统进行验证，若验证通过则将其加入诚实参与方集合，最终构造出的诚实参与方集合。

5.如权利要求4所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，每个参与方将诚实参与方的消息进行聚合得到集体的公钥的具体步骤为：

每个参与方将所有诚实参与方的多项式常数项的幂次承诺进行乘法聚合即得到集体的公钥，将所有诚实参与方发给自己的份额密文解密并进行加法聚合即得到集体私钥的一个Shamir秘密共享份额。

6.如权利要求1所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，每个秘密共享份额进乘法转加法计算的步骤包括：

每个由2个诚实参与方构成的有序对交互执行两次乘法转加法，获得两个乘法结果的加法份额；参与方对乘法转加法中的每个由自己随机生成的数值都进行了幂次承诺，以便其他参与方在幂次上检查乘法转加法步骤的正确性；若检查不通过，则广播一个对作出承诺的参与方的投诉消息，其他各方若验证该投诉消息有效，则将作出承诺的参与方从诚实集合中移除。

7.如权利要求6所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，对每个参与方生成的秘密共享份额进行有效性检查，根据检查结果得到预签名材料的具体步骤为：

每个参与方生成秘密共享份额，并利用广播承诺及离散对数相等零知识证明来让其他参与方核验秘密共享份额的有效性，若任意检查不通过，则将有关消息的发送者从诚实参与方集合中移除。

8.如权利要求1所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，根据要签名的消息，每个诚实参与方生成并广播签名份额的具体步骤为：

收到要签名的消息之后，每个诚实的参与方生成并广播签名份额，收到签名份额之后参与方通过Lagrange插值生成发送者的签名份额并检验其有效性。

9.如权利要求8所述的基于非交互分布式密钥的门限ECDSA签名方法，其特征在于，利用预签名材料对签名份额进行重构的具体步骤为：若诚实参与方集合的大小大于等于门限签名的门限值，则每个诚实的参与方对签名份额经过2次Lagrange插值重构并返回最终的签名。

10.一种基于非交互分布式密钥的门限ECDSA签名系统，其特征在于，包括：

非交互分布式密钥生成模块，被配置为每个参与方通过公钥基础设施生成份额密文并通过广播信道将消息发出，并对收到广播消息的各参与方进行筛选，得到诚实参与方集合，每个参与方将诚实参与方的消息进行聚合得到集体的公钥；

与消息无关的预签名模块，被配置为各参与方生成两个随机nonce秘密共享份额，每个秘密共享份额进乘法转加法计算，得到两个乘法结果的加法份额并进行检查，对每个参与方生成的秘密共享份额进行有效性检查，根据检查结果得到预签名材料；

在线签名模块，被配置为根据要签名的消息，每个诚实参与方生成并广播签名份额，利用预签名材料对签名份额进行重构，将重构后的签名作为最终的签名。