本發明所述的基于SM2數字簽名的門限簽名方法，主要包括公共參數生成階段、秘鑰生成階段和簽名階段，其中：在公共參數生成階段，多個參與者協作生成CL加密的參數gsubgt;q/subgt;；在秘鑰生成階段，選擇各自隨機的私鑰份額，生成算法的公鑰作為公開值，使用可驗證秘密共享協議重新生成參與方各自的私鑰份額；在簽名階段，使用CL方法解決秘密值的乘法問題，交互過程中獲得的秘密份額可以驗證對方是否誠實，利用誠實參與者各自的簽名累加生成最后的總簽名。本發明的(t，n)SM2門限簽名方案中，參與方人數n僅要求大于等于t+1，CL方案的消息空間與SM2簽名算法中使用的大素數相同，避免了范圍證明，每一方的簽名都可以驗證其合法性。

技術領域

本發明涉及門限簽名領域，具體是涉及基于SM2數字簽名的門限簽名方法。

背景技術

國家密碼管理局發布的SM2橢圓曲線公鑰密碼算法是我國商用公鑰密碼標準算法，共包含總則、數字簽名算法、密鑰交換協議、密鑰封裝機制、公鑰加密算法和參數定義五個部分。SM2算法的參數需要利用算法產生，同時加入了用戶特異性的橢圓曲線參數、基點、用戶公鑰點信息，使SM2算法相較于ECC算法安全性有明顯提升。

普通簽名算法中，只有一個用戶擁有私鑰。當攻擊者竊取該用戶的私鑰后可以偽造簽名信息。門限簽名的思想能夠有效針對這個問題。門限簽名是門限秘密共享技術和數字簽名的一種結合，由潛在的參與方共同運行，只有預定部分的參與方同意時，才可以生成特定消息下的簽名。在(t，n)門限簽名方案中，由n個成員組成一個簽名群體，群體中有一對公私鑰，當多于t個成員誠實時，可以代表群體用群私鑰進行簽名，任何人可利用該群體的公鑰進行簽名驗證。其中，t是門限值，任意不少于t+1個人的簽名都可以恢復出簽名，群體中任何t個或更少的成員不能代表該群體進行簽名，同時任何成員不能假冒其他成員進行簽名。采用門限簽名方式可以有效實現權力分配，同時避免濫用職權。

尚銘等人在2014年提出的SM2橢圓曲線門限密碼算法中，私鑰信息被分享給獨立的多個參與者，簽名需要多個參與者同意，但是，該方法中總成員數n必須大于等于2t+1，不適用(2，3)等區塊鏈簽名。簽名過程中需要公開簽名中的乘法分量，且無法確定不誠實用戶，存在秘密份額泄露的風險。

ZL2018113793989一種多方聯合生成SM2數字簽名的方法，每個參與方在不得到完整的私鑰的情況下通過交互完成對消息產生唯一的簽名，使用零知識證明來保證發送數據的隱私性并且證明發送的數據是來自發送方，但簽名過程需要所有參與方共同參與，一旦參與方中存在多數的不誠實者，就會造成簽名失敗，威脅了安全性和公平性，甚至造成巨大的利益損失。

ZL2018114738527一種基于SM2簽名算法的門限簽名方法，采用DSA的簽名算法，多個用戶聯合生成DSA公私鑰，通過同態性加密的性質共同計算得到DSA簽名的加密值，最后對該值解密就生成消息摘要的簽名。此方法的簽名過程中需要計算n方參與者之間的乘法運算，計算復雜度大。

發明內容

為解決上述技術問題，本發明提供了一種基于SM2數字簽名的門限簽名方法，可以在不誠實者占多數的前提下，保證簽名的有效性。

本發明所述的基于SM2數字簽名的門限簽名方法，其步驟為：

S1、公共參數生成階段：所有參與者協作生成CL加密方案的公共參數g_q，作為公開值在用戶之間共享；

S2、秘鑰生成階段：所有參與方生成各自的SM2公鑰和私鑰，將各自的公鑰發送給其他參與方，生成SM2系統公鑰，私密保存各自的私鑰；

S3、簽名階段：所有參與方利用CL加密方案傳輸密文，與其他參與方交互生成各自的簽名，所有參與方廣播各自的簽名并累加生成SM2最后的總簽名。

進一步的，S1所述的公共參數生成階段的具體步驟為：

S1-1、計算基本判別式和生成類群需要用到的隨機公共參數