(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211291093.9 (22)申请日 2022.10.21 (71)申请人 三未信安科技股份有限公司 地址 100102 北京市朝阳区广顺北 大街16 号院2号楼14层140 6室 (72)发明人 魏萌萌　刘守昌　 (74)专利代理 机构 北京首捷专利代理有限公司 11873 专利代理师 梁婧宇　姜普荣 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 一种基于Ed25519的门限签名方法 (57)摘要 本发明公开了一种基于Ed2 5519的门限签名 方法。 首先， n位参与者与密钥生成中心合作生成 群公钥、 私钥整数以及自己的私钥； 之后， t位实 际签名参与者利用自己的私钥获取整数生成参 数以及整数生成哈希参数， 进而生成签名过程中 用到的整数以及签名验证参数份额； 其次， t位实 际签名参与者通过合作生 成签名验证参数， 第一 部分签名以及第二部分签名份额； 最后， t位实际 签名参与者通过合作将自己的第二部分签名份 额以及来自其他实际签名参与者的第二部分签 名份额进行组合， 生成最终签名。 本发明能被 Ed25519签名验证通过， 可以被应用在区块链中， 不存在私钥恢复过程， 消除了私钥泄露以及权利 集中而带来的问题。 权利要求书3页 说明书5页 附图1页 CN 115378616 A 2022.11.22 CN 115378616 A 1.一种基于 Ed25519的门限签名方法， 其特 征在于， 包括以下 具体步骤： 步骤1： 密钥生成中心根据伪私钥哈希计算群私钥及群公钥， 并将群公钥在 n位参与者 中进行共享； 步骤2： 每位 参与者随机 选取一个私钥整数， 每 个私钥整数均在所有参与者中共享； 步骤3： 密钥生成中心通过设置 t‑1次多项式为每位 参与者计算私钥； 步骤4： 密钥生成中心从n位参与者中选取出t位实际签名参与者， 每位实际签名参与者 均根据对应的私钥计算整数生成参数， 并根据整数生成参数设置整数生成哈希参数； 步骤5： 每位实 际签名参与者根据所述整数生成哈希参数计算获得签名过程中用到的 整数； 步骤6： 每位实际签名参与者根据签名过程中用到的整数计算签名验证参数份额， 并在 所有实际签名参与者中进行共享； 步骤7： 每位实际签名参与者根据所述签名验证参数份额计算签名验证参数， 并采用点 压缩算法获得第一部分签名； 步骤8： 每位实 际签名参与者根据得到的私钥整数计算获得第二部分签名份额中间参 数， 并结合每位实际签名参与者的私钥、 群公钥、 签名过程中用到的整数和签名验证参数， 计算获得第二部分签名份额， 并在所有实际签名参与者中进行共享； 步骤9： 每位实际签名参与者根据第 二部分签名份额计算第 二部分签名， 并将第 一部分 签名和第二部分签名在所有实际签名参与者中共享； 如果共享全部相同， 则 输出第一部分签名和第 二部分签名作为最终签名， 否则， 通知每 一位实际签名参与者签名失败， 并结束签名过程。 2.根据权利要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 所述步骤1 中， 通过以下公式计算伪私钥哈希 h、 群私钥d及群公钥 pk： 伪私钥哈希计算表达式为： h=SHA512(sk)， 同时设置 h[0]=h[1]=h[2]=h[31]=0，h[30]= 1； 群私钥计算表达式为： d=h[0:31]； 群公钥计算表达式为： pk=encode( dG)； 其中，sk表示密钥生成中心随机选取的一个长度为256位的整数； SHA512表示计算结果 长度为512位的哈希 算法；h[i]表示伪私钥哈希 h的第i字节；h[0:31]表示截取伪私钥哈希 h 的第0字节到第31字节； encode()表示Edwards25519曲线上的点压缩算法， 将64字节的点 压缩为32字节的点； G表示Edwards25 519曲线的基点。 3.根据权利要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 所述步骤2 中， 每位参与者随机选取一个整数 xi作为私钥整数； 其中， xi的取值范围为大于或等于1， 且 小于或等于 l‑1，l表示Edwards25 519曲线基点的阶。 4.根据权利要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 所述步骤3 中，t‑1次多项式设置为： f(z)=d+f1z+f2z2+…+ft‑1zt‑1 (mod l)， 第i位参与者的私钥计算表 达式为：di=f(xi) (mod l)； 其中，f1,f2,…ft‑1表示密钥生成中心随机选取的 t‑1个整数， 其取值范围为大于 或等于 1， 且小于或等于 l‑1，l表示Edwards25519曲线基点的阶； z表示多项式自变量； mod表示取模 运算；t表示密钥生成 中心选取的实际签名参与者的个数， 且 t的取值小于或等于 n；n表示参权　利　要　求　书 1/3 页 2 CN 115378616 A 2与者的个数； d表示群私钥； xi表示第i位参与者的私钥整数， i取值范围为[1， n]。 5.根据权利 要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 所述步骤4中 整数生成参数的计算表达式为 hm=SHA512(dm)， 其中，hm表示第m位实际签名参与者的整数生 成参数， m取值范围为[1， t]； dm表示第m位实际签名参与者的私钥； SHA512表示计算结果长度 为512位的哈希算法； 设置整数生成哈希参数 km=hm[32:63]； 其中，hm[32:63]表示截取第 m位实际签名参与者的整数生成参数 hm的第32字节到第63 字节。 6.根据权利 要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 所述步骤5中 整数生成哈希参数计算签名过程中用到的整数计算表达式为： rm=SHA512(km||M)(modl)； 其中，rm表示第m位实际签名参与者签名过程中用到的整数， m取值范围为[1， t]； SHA512 表示计算结果长度为512位的哈希算法； km表示整数生成哈希参数； ||表示连接操作； M表示 签名消息； mod表示取模运 算；l表示Edwards25 519曲线基点的阶。 7.根据权利 要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 所述步骤6中 签名验证参数份额表达式为： Rm=rmG； 其中，Rm表示第m位实际签名参与者的签名验证参数份额， m取值范围为[1， t]； rm表示第 m位实际签名参与者签名过程中用到的整数； G表示Edwards25 519曲线的基点。 8.根据权利 要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 所述步骤7中 签名验证参数表达式为： 第一部分签名表示 为：r=encode( R)； 其中，Rm表示第m位实际签名参与者的签名验证参数份额； t表示密钥生成中心 选取的实 际签名参与者的个数； Σ表示求和操作； encode()表示Edwards25519曲线上的点压缩算 法。 9.根据权利要求1所述的一种基于Ed25519的门限签名方法， 其特征在于， 步骤8中第 m 位实际签名参与者的第二部分签名份额中间参数 bm表示为： ； 其中，xm表示第m位实际签名参与者的私钥整数； xj表示t位实际签名参与者中除第 m位 实际签名参与者外其 他参与者的私钥整数， j=1,2,…,t，j≠m； ∏表示连乘操作； 第二部分签名份额表示 为： sm=(rm+SHA512(r||pk||M)*dm*bm) (mod l)； rm表示第m位实际签名参与者签名过程中用到的整数， m取值范围为[1， t]； SHA512表示计 算结果长度为512位的哈希 算法；r表示第一部 分签名；pk表示群公钥； ||表 示连接操作； M表 示签名消息；dm表示第m位实际签名参与者的私钥； mod表示取模运算； l表示Edwards25519权　利　要　求　书 2/3 页 3 CN 115378616 A 3