適用于區塊鏈電子投票場景的門限簽名方案

程亞歌 賈志娟 胡明生 公備 王利朋

摘 要：針對傳統的盲簽名、群簽名等簽名算法適用于區塊鏈異構網絡時可能出現依賴可信中心、效率低等問題，提出了適用于區塊鏈電子投票場景的門限簽名方案。該方案基于Asmuth-Bloom秘密共享方案，無需可信中心。首先，由區塊鏈節點通過相互協作產生簽名，實現節點之間相互驗證功能，提升節點可信度;其次，建立節點加入和退出機制，以適應區塊鏈節點流動性大等特點;最后，定期更新節點私鑰，以抵抗移動攻擊，使其具有前向安全性。安全性分析表明，該方案的安全性基于離散對數難題，能夠有效地抵御移動攻擊，滿足前向安全性;性能分析表明，與其他方案相比，該方案在簽名生成和驗證階段的計算復雜度較低，計算量較小。結果表明，所提方案能夠很好地適用于區塊鏈電子投票場景。

關鍵詞：區塊鏈;電子投票;秘密共享;門限簽名;中國剩余定理

中圖分類號：TP393.08

文獻標志碼：A

Threshold signature scheme suitable for blockchain electronic voting scenes

CHENG Yage1， JIA Zhijuan1*， HU Mingsheng1， GONG Bei2， WANG Lipeng1

1.College of Information Science and Technology， Zhengzhou Normal University， Zhengzhou Henan 450044， China;

2.College of Computer Sciences， Beijing University of Technology， Beijing 100124， China

Abstract：

When traditional signature algorithms such as blind signature and group signature applied to heterogeneous networks of blockchain， they might have problems like relying on trusted centers or low efficiency. Aiming at the problems， a threshold signature scheme suitable for blockchain electronic voting scenes was proposed. The proposed scheme was based on the Asmuth-Bloom secret sharing scheme and did not need a trusted center. Firstly， the signature was generated by the collaboration of blockchain nodes， implementing mutual verification between nodes and improving the node credibility. Secondly， a mechanism of nodes joining and exiting was established to adapt to the high mobility of the blockchain nodes. Finally， the node private keys were updated regularly to resist mobile attacks and make them forward-secure. Security analysis shows that the security of the scheme is based on the discrete logarithm problem， so that the scheme can effectively resist mobile attacks and is forward-secure. The performance analysis shows that compared with other schemes， this scheme has lower computational complexity in the signature generation and verification phases. The results show that the proposed scheme can be well applied to blockchain electronic voting scenes.

Key words：

blockchain; electronic voting; secret sharing; threshold signature; Chinese remainder theorem

0 引言

區塊鏈[1]是一種按照時間順序將數據塊以順序相連的方式組合成一種鏈式數據結構，并以密碼學的方式保證數據不可篡改和不可偽造的分布式賬本系統。作為電子貨幣交易的底層技術，區塊鏈具有去中心化、匿名化、不可篡改、公開透明等良好特性，解決了數據在傳輸過程中的可信性，其在金融、醫療、能源互聯網、物聯網等領域發展迅速。

目前電子投票技術得到了廣泛應用，然而大部分的電子投票簽名方案基于傳統的簽名算法，如群簽名、環簽名、盲簽名、代理簽名等不能適配到區塊鏈網絡中。當前為人熟知的門限簽名方案，按照管理者的身份不同，主要分為兩種：有可信中心和無可信中心。有可信中心的門限簽名方案，主要有可信中心擔任管理者角色，承擔大部分的管理任務，勢必會影響到網絡的運行效率;而無可信中心的門前簽名方案無需考慮中心化存在的困擾。設計適用于區塊鏈的門限簽名方案，需要考慮區塊鏈去中心化的特性。此外區塊鏈節點流動性較大，當有節點加入和退出時，要求簽名算法能夠支持節點的加入和退出。由于區塊鏈網絡的異構性，存在計算資源需求量大的缺點，另外區塊鏈是在不安全信道上傳輸信息，因此需要設計安全的身份認證機制。針對區塊鏈網絡的獨有特性，如何設計一種安全的，適用于區塊鏈投票場景的門限簽名是本文的研究重點。

1979年，Shamir等[2]首次提出了基于拉格朗日插值多項式的秘密共享方案?；诖朔桨傅难芯咳缥墨I[3]方案，該方案無可信中心，且可動態增加或刪除參與者;文獻[4]方案利用聯合秘密共享技術，采用改進的ElGamal簽名方案，解決了節點聯合攻擊造成其他節點私鑰泄漏的問題;文獻[5]方案經過簽名后，惡意攻擊者可根據漏洞獲得節點私鑰和組私鑰，使得簽名信息不可信;文獻[6]方案是基于多證書認證機構 （Certification Authority， CA）的公鑰認證系統。以上方案計算量較大，適用于區塊鏈網絡時，會降低區塊鏈網絡的效率。文獻[7]方案具有可信中心;文獻[8]方案允許節點加入，但沒有考慮節點撤銷問題;因此，都不能適用于區塊連網絡應用場景。

1983年，Asmuth 等[9]提出了基于中國剩余定理的秘密共享方案，與Shamir方案相比具有計算量小的優點。文獻[10]方案假定節點集合固定不變，沒有考慮節點動態變化的情況;文獻[11]方案有可信中心;文獻[12]方案沒有考慮節點退出的情況;文獻[13]方案節點的秘密份額一經分發就不再改變，難以抵抗移動攻擊;文獻[14]基于強RSA（Rivest，Shamir，Adleman）假設，實現了方案的前向安全性，但沒有考慮節點動態變化情況;文獻[15]方案需可信中心分發秘密份額，文獻[16]方案在驗證過程中也需要可信中心參與驗證過程;文獻[17]方案允許節點加入，但是攻擊者可根據廣播信息獲得老節點私鑰，存在安全隱患;文獻[18]方案將零知識證明協議和離散對數難題相結合，保證了信息傳輸的安全性。文獻[19]中提出了基于中國剩余定理的區塊鏈門限簽名，該方案解決了上述方案適用于區塊鏈簽名的諸多問題，提高了效率，但是該方案不能抵抗移動攻擊，不具有前向安全性。以上方案適配于區塊鏈網絡應用場景時有所欠缺，不盡完善。

本文在Asmuth-Bloom秘密共享方案的基礎上，提出了適用于區塊鏈電子投票場景的門限簽名方案。方案擯棄了可信中心，通過節點之間相互協作產生簽名，具有相互驗證功能;設計了節點加入和退出機制，解決了節點加入和退出問題;定期更新節點私鑰，可有效預防移動攻擊。

1 預備知識

1.1 離散對數難題

所謂離散對數難題[20]，是指給定有限域GF（p），當模p有原根時，設g為模Zp的一個原根（也可以說是有限循環群Zp的生成元），任給元素y∈Z*P，求解唯一的x，滿足1≤x

gx≡y（mod p）

稱為以p為模，以g為y的離散對數。這里給定g和y，求解x是離散對數難題。

1.2 中國剩余定理

中國剩余定理也即孫子定理[21]，最早見于我國古代著作《孫子算經》里面。具體描述如下：設m1，m2，…，mn是n個兩兩互質的正整數，其中：

Mmi ei≡1（mod mi）; M=m1·m2·…·mn，i=1，2，…，n

給定一組正整數b1，b2，…，bn，則同余式組：

x≡b1（mod m1）

x≡b2（mod m2）

x≡bn（mod mn）

對于模m具有唯一解：

x≡Mm1 e1b1+Mm2 e2b2+…+Mmn enbn（mod m）

1.3 Asmuth-Bloom秘密共享方案

Asmuth-Bloom秘密共享方案由Asmuth和Bloom于1983年提出，與Shamir提出的基于拉格朗日插值多項式的秘密共享方案相比，Asmuth-Bloom秘密共享方案具有計算量小、效率高的優點。其方案主要包括以下3個步驟：

1）初始化。

假設DC（Distribution Center）是秘密分發者，P={P1，P2，…，Pn}是n個節點組成的集合，門限值為t，秘密為s。DC選擇大素數q（q>s），整數A，以及嚴格遞增正整數序列d={d1，d2，…，dn}，且d滿足以下條件：

① 0≤A≤M/q-1。

② d1

③ gcd（di，dj）=1; i≠j。

④ gcd（di，q）=1; i=1，2，…，n。

⑤ M=∏ti=1di>q∏t-1i=1dn-t+1

2）秘密分發。

秘密分發者DC計算：

z=s+Aq

zi=z mod di; i=1，2，…，n

并將（zi，di）發送給Pi（i=1，2，…，n），作為Pi的秘密份額。

3）秘密恢復。

任意節點通過相互交換秘密份額恢復秘密s。任選t個節點P1，P2，…，Pi作為恢復秘密的一組節點。通過節點之間相互交換秘密后，任意節點Pi都可建立如下同余方程組：

z≡z1（mod d1）

z≡z2（mod d2）

z≡zt（mod dt）

由中國剩余定理，該同余方程組有唯一解：

z=∑ti=1Ddi eiXi mod D; i=1，2，…，t

因此，可求出共享秘密s=z -Aq，也即s=z mod q。

2 本文方案

2.1 區塊鏈門限簽名方案架構圖

本文基于中國剩余定理，提出一種新的適用于區塊鏈電子投票場景的門限簽名方案。其方案構思架構如圖1所示。

如圖1所示，區塊鏈門限簽名方案通過節點之間相互協作產生秘密份額，并計算驗證信息的正確性，當驗證結果正確時產生組公鑰、組私鑰及每個區塊鏈節點的個人密鑰。區塊鏈節點利用個人私鑰產生自己的部分簽名，由簽名合成者合成簽名，簽名驗證者進行驗證。同時方案允許節點加入和退出，定期更新私鑰，確保方案的前向安全性。其具體實施步驟如下：

1）密鑰生成。

①系統初始化：區塊鏈門限簽名系統初始化，選取公共參數;

②秘密分割：區塊鏈節點隨機選取秘密數，通過節點之間相互協作產生秘密份額;

③計算驗證：區塊鏈節點計算驗證信息，并校驗信息的正確性;

④產生節點密鑰及組密鑰：區塊鏈節點計算個人私鑰，并根據每個節點隨機選取的秘密數計算組公鑰和組私鑰。

2）生成簽名。

①產生部分簽名：每個節點產生自己的部分簽名;

②合成簽名：簽名合成者將t個部分簽名合成待簽名消息的最終簽名。

3）驗證簽名。

驗證簽名：驗證者驗證最終簽名的正確性。

4）節點加入。

①計算偽私鑰;

②產生新節點私鑰。

5）節點退出。

①計算組公鑰：重新計算組公鑰，并將前期組公鑰存放在區塊鏈網絡中，當需查看前期簽名信息時，調用組公鑰即可;

②其他節點計算更新私鑰。

6）節點私鑰更新。

①計算更新因子;

②產生新私鑰。

2.2 區塊鏈門限簽名方案詳細算法設計

設S={Genkey，Sign，Verify}為一般的簽名算法，則有n人參與的（t，n）區塊鏈分布式門限簽名算法可表示為：TS={TGenkey，TSign，Verify}。其中：TGenkey表示密鑰生成算法;TSign表示簽名算法;Verify表示驗證算法。

2.2.1 TGenkey：密鑰生成

1）區塊鏈電子投票系統初始化。

選取公共參數P，t，g，p，q，d，s，n，M。其中P={P1，P2，…，Pn}是n個參與區塊鏈投票系統簽名的節點集合，t為門限值，g為有限域GF（p）上的生成元，p、q為兩個大素數且滿足q/（p-1），d={d1，d2，…，dn}是一組嚴格單調遞增的正整數序列，q和d滿足Asmuth-Bloom方案，待簽名消息為s，M=∏ti=1di，公開n，t，g，p，q，d和M。

2）區塊鏈節點之間相互協作產生秘密份額。

每個區塊鏈節點Pi隨機選取子秘密λi和整數Zi，滿足如下條件：

0<λi<[q/n]

0

節點Pi計算秘密份額Xij：

Xij=（λi+Ziq） mod dj（1）

Pi保留Xii，廣播gλi，gZi，并將 Xij（i≠j）發送給節點Pj。

這里，子秘密λi和整數Zi由區塊鏈節點秘密選取，且沒有通過通信信道發送，因此其他人無法獲得。

3）區塊鏈節點Pi計算驗證信息δi、 μij，并驗證信息的正確性。

δi=gλi+Ziq mod p（2）

θij=（λi+Ziq-Xij）/dj（3）

μij=gθij mod p（4）

并在區塊鏈網絡中廣播δi、 μij。另外，節點Pj根據廣播信息δi和Xij后;通過以下等式驗證秘密份額的正確性：

gλi·gZiq mod p = δi（5）

（（gXij mod p）（（μij）dj mod p）） mod p=δi（6）

4）產生區塊鏈節點密鑰及組密鑰。

根據第3）步的驗證，若驗證結果正確，則節點Pj計算自己的私鑰：

Kj=∑ni=1Xij mod dj（7）

則節點公鑰為Cj=gKj。

根據每個區塊鏈節點選取的秘密數，產生組公鑰和組私鑰。其中，組公鑰為：

ψ=∏ni=1gλi mod p

組私鑰為：

φ=∑ni=1λi

2.2.2 TSign：產生簽名

任意t個區塊鏈節點利用自己的私鑰，根據中國剩余定理產生自己的部分簽名，t個部分簽名合成消息s的簽名。

1）生成部分簽名。

①節點Pi選取隨機數hi∈Zp，計算并廣播：

li=ghi mod p

Pj收到li后，計算：

l=g∑ti=1hi mod p=∏ti=1ghi mod p=∏ti=1li mod p

② Pi計算Hi=Ddi eiKi mod D，用于生成部分簽名，其中：

D=∏ti=1di

ei滿足：

ei≡（D/di）-1 mod di; i=1，2，…，n

③ Pi計算部分簽名Wi：

Wi=l·hi·s+Hi mod D（8）

并將部分簽名（s，l，W）發送給簽名合成者。

2）合成簽名。

簽名合成者收到t個區塊鏈節點發送的部分簽名Wi后，合成簽名W：

W=（∑ti=1Wi mod D） mod q（9）

則消息 s的簽名為 （s，l，W）。

2.2.3 Verify：驗證簽名

驗證者收到簽名信息（s，l，W）后，根據如下等式，使用組公鑰ψ驗證簽名的有效性：

gW≡ls·l·ψ mod p（10）

若上述等式成立，則說明簽名有效，接受簽名。

2.2.4 節點加入

假設有新節點Pi+1加入區塊鏈網絡，其加入過程如下：

1）新加入節點Pi+1選擇模數dn+1，且使dn+1滿足Asmuth-Bloom秘密共享方案。

2）由t個區塊鏈節點Pi（i=1，2，…，t）協助新加入節點Pi計算偽私鑰。

節點Pi隨機選取t個隨機數εij∈Zp（j=1，2，…，t），計算εi=∑tj=1εij mod p，并將εij發送給Pj，Pj計算ε′j：

ε′j=∑ti=1εij mod p

Pi計算偽私鑰：

K′i=（Ddi eiKi mod D） mod dn+1+（εi-ε′i）dn+1

并將K′i發送給Pn+1。

3）Pn+1收到t份偽私鑰K′i后，計算自己的私鑰：

Kn+1=（∑ti=1K′i mod D） mod dn+1（11）

當有新節點加入區塊鏈網絡時，由區塊鏈節點協助其產生偽私鑰，新加入節點在收到其他t個節點的偽私鑰后計算自己的私鑰。在整個過程中組公鑰、組私鑰和其他節點的私鑰均未發生變化，因此對整個簽名過程沒有影響。

2.2.5 節點退出

假設區塊鏈節點Pk決定離開區塊鏈網絡，Pk廣播其離開的消息，其他節點剔除節點dk，不再接受其發送的消息。節點Pk離開后，其他節點及時更新密鑰，更新后組公鑰為：

ψ′=ψ/gλk

組私鑰：

φ′=φ/λk

節點私鑰：

K′j=（∑ni=1Xij-Xkj） mod dj

由于節點密鑰由節點相互協作產生，當有節點離開時，相應的組公鑰、組私鑰、節點私鑰等都要發生變化，會因節點的離開而造成之前簽名信息不可用。為了保證節點的離開不會因組公鑰的改變而造成在此之前的簽名信息無效，將前期組公鑰ψ存儲到區塊鏈網絡中，當需要查看之前的簽名信息時，可以在區塊鏈的歷史記錄中找到組公鑰ψ并啟用。這樣確保了節點退出后，仍然可以查閱之前簽名信息。

區塊鏈本質上是一個去中心化的數據庫，同時作為比特幣的底層技術，是一串使用密碼學方法相關聯產生的數據塊，區塊鏈每一個數據塊中包含了一批次比特幣網絡交易的信息，區塊鏈網絡平均每10min產生一個合法區塊，區塊鏈節點在參與投票的同時維護區塊鏈投票系統的正常運行，節點在合法區塊產生時間段內通過挖礦將在此過程中更新掉的組公鑰存儲在合法區塊中。

區塊鏈強大的計算力保證了區塊鏈網信息的安全，它公開透明，任何人都可以在區塊鏈網絡中查看存儲在上面的信息，而且可以檢驗信息的正確性。因此將組公鑰保存在區塊鏈網絡中，既確保了信息的安全可信，也保證了之前簽名信息的有效性，解決了節點退出時存在的之前簽名失效等問題。

當區塊鏈網絡中同時離開的節點個數大于等于t時，由于t個節點合作即可重構秘密份額，導致簽名算法不安全，因此需要系統重新初始化，重新執行簽名步驟1）～3）的操作。

2.2.6 節點私鑰更新

若有某攻擊者成功入侵并控制了某節點，該攻擊者能夠將攻擊目標成功轉移到系統中的另一節點上，該攻擊稱為移動攻擊。區塊鏈節點自動保存系統信息，并通過相互連接傳遞信息，若有某節點被成功入侵，則其他節點將存在極大風險。因此，為避免移動攻擊，勢必對節點私鑰進行定期更新，確保參與節點的安全性。

本文設計的（t，n）門限簽名，只有t個節點同時參與才能完成簽名。私鑰更新確保攻擊者即使在某時刻控制了某一節點也無法在有限時間內同時入侵t個節點。

另外，私鑰更新，使得攻擊者即使獲得了T時間段內的某節點的信息，也無法獲得在此之前的私鑰信息，避免攻擊者篡改簽名信息的可能性，保證簽名信息的前向安全性。

設節點私鑰更新周期為T，則更新算法如下：

1）節點Pi隨機選取整數ZTi，滿足初始條件;

2）節點Pi計算更新因子：

XTij=ZTiq mod dj

并將更新因子XTij發送給節點Pj，廣播gZTi;

3）節點Pi計算驗證信息及驗證公式：

δTi=gZTiq mod p

θTij=（ZTiq-XTij）/dj

μTij=gθTij mod p

并廣播 δTi和 μTij。

4）節點 Pi收到Pi發送的信息XTij，以及廣播信息δTi、 μTij和gZTi，由以下兩個等式驗證更新因子的正確性：

（gZTi）q mod p=δTi

（（gXTij mod p）（（μTij）dj mod p））mod p=δTi

5）若驗證等式成立，則Pj計算T時段的私鑰：

KTj=KT-1j+∑ni=1XTij mod dj

更新產生的新私鑰，仍然可以按照簽名過程進行簽名和驗證。更新過程中組公鑰不變，因此更新前的簽名依然有效。

3 方案分析

3.1 正確性分析

定理1 節點Pi根據廣播信息gλi、gZi和δi ，證明式（5）成立。

證明 ?gλi·gZqi mod p

=gλi+Ziq mod p

=δi

等式（5）成立，則節點Pi發送的信息正確，Pi可信。

定理2 節點Pj收到其他n-1個節點發來的秘密份額Xij后，驗證其正確性，即證明式（6）成立。

證明 由式（2）、（3）和（4）

（（gXij mod p）（（μij）dj mod p）） mod p=

（（gXij mod p）（gθij）dj mod p） mod p

=

（（gXij mod p）（gλi+Ziq-Xijdj mod p）dj mod p） mod p=

（（gXij mod p）（gλi+Ziq-Xij） mod p） mod p=

（gXij+λi+Ziq-Xij mod p） mod p=gλi+Ziq mod p=δi

原式得證，等式（6）成立，則證明Pj收到的秘密份額正確，其他節點可信。

定理3 由t個部分簽名合成的最終簽名，需由驗證式（10）驗證其是否合法簽名，即證明等式（10）成立。

證明 由式（1）和式（7），節點私鑰：

Kj =∑ni=1Xij mod dj=∑ni=1λi+Ziq mod dj; j=1，2，…，n

令

Q =∑ni=1λi+Ziq（12）

則

Kj=Q mod dj; j=1，2，…，n（13）

根據中國剩余定理，解如下同余方程組：

K1≡Q mod d1

K2≡Q mod d2

Kt≡Q mod dt

可得唯一解：

Q=∑ti=1Ddi eiKi mod D（14）

由（13）和（14）式可得，

Kj=∑ti=1Ddi eiKi mod D mod dj

令：

Hi ?= Ddi ?ei Ki mod D

則：

Q=∑ti=1Hi mod D

當t>2時，根據文獻[22]可知：

s·l·∑ti=1hi+Q

由式（8）和（9）：

W=∑ti=1Wi mod D mod q

=

[∑ti=1（l·hi·s+Q） mod D]mod q=

（l·s·∑ti=1hi+Q）mod q

由式（12）：

Q=∑ni=1λi+Ziq=∑ni=1λi mod q

因此：

W=l·s·∑ti=1hi+∑ni=1λi mod q

則有：

gW≡gl·s·∑ti=1hi+∑ni=1λi mod q

≡gl·s·∑ti=1hi·g∑ni=1λi mod p

≡

ls·l·ψ mod p

如果節點Pi提供真實的秘密份額，則兩個等式（5）、（6）一定成立;反之如果驗證結果表明等式不成立，則說明節點沒有提供真實的秘密份額。

證明結果顯示等式成立，故節點私鑰Kj產生的簽名（s，l，W）有效。

定理4 由區塊鏈節點協助新加入區塊鏈網絡的節點產生的新私鑰有效，即證明式（11）成立。

證明

Kn+1=（∑ti=1K′i mod D） mod dn+1=

{∑ti=1 [（Ddi eiKi mod D） mod dn+1+

εi-ε′idn+1] mod D}mod dn+1=

{[∑ti=1（Ddi eiKi mod D） mod dn+1+

∑ti=1εidn+1-∑ti=1ε′idn+1] mod D} mod dn+1=

{[∑ti=1（Ddi eiKi mod D） mod dn+1+

∑ti=1εidn+1-∑ti=1∑tj=1εijdn+1]? mod D} mod dn+1=

{∑ti=1（Ddi eiKi mod D） mod dn+1+

（∑ti=1εidn+1-∑ti=1εidn+1 ） mod D} mod dn+1=

∑ti=1（Ddi eiKi mod D） mod dn+1

由此可得，原節點私鑰Kj=∑ti=1Ddi eiXi mod D mod dj與新加入區塊鏈網絡的節點的私鑰Kn+1同構，可以構成同余方程組且只有唯一解。因此，新加入節點私鑰有效。

3.2 安全性分析

3.2.1 簽名算法安全性分析

本文設計的適用于區塊鏈的（t，n）門限簽名算法，根據中國剩余定理，求解同余式方程組至少需要t個方程，少于t個方程無法求解，因此在合成簽名時需要至少t個節點協作才能生成簽名。攻擊者只有在一個周期T內同時攻破t個及以上的節點，才能對投票結果造成影響。

假設某攻擊者想要竊取區塊鏈節點的私鑰，由于區塊鏈節點私鑰計算公式為：

Kj=∑ti=1Xij mod dj=∑ni=1λi+Ziq mod dj

則攻擊者需要計算：

Xij=（λi+Ziq）? mod dj

然而，由于λi和Zi由參與區塊鏈投票的節點秘密選取并保存，并沒有通過通信通道傳輸，攻擊者無法獲得。

攻擊者可能通過攔截得到廣播消息δi、θij、 μij，并可求得：

gXij=δi/μij

然而通過gXij求解Xij是離散對數難題，因此攻擊者無法求得Xij，因此無法通過Xij計算節點私鑰。另外，基于中國剩余定理的秘密分享，是基于大模數分解難題，這里 Kj=∑ti=1Ddi eiXi mod D mod dj，其中dj、D公開，要通過dj、D求解ei屬于大模數分解難題。因此攻擊者也無法通過此方案獲得區塊鏈節點私鑰。

組公鑰ψ=∏ni=1gλk mod p和組私鑰φ=∏nk=1λk由參與投票的區塊鏈節點相互協作產生。組公鑰ψ屬于公知信息，攻擊者可能知曉此信息。假設攻擊者想通過組公鑰ψ獲得組私鑰φ=∑nk=1λk，由組公鑰ψ=∏ni=1gλk mod p可知，通過gλk 求解λk屬于離散對數難題不可解。另外組私鑰是由組節點隨機選取的子秘密產生的，子秘密被各節點秘密保存，并通過通信通道傳送，攻擊者無法攔截獲得。而且方案中的簽名W由部分簽名Wi合成，整個簽名過程沒有使用組私鑰，組私鑰沒有暴露，因此攻擊者無法獲得組私鑰。

在簽名生成階段，參與投票的區塊鏈節點秘密選取的隨機數hi沒有通過通信信道傳輸，攻擊者無法獲得。攻擊者可能攔截到l，而l=g∑ti=1hi mod p，通過l求hi，需要計算g∑ti=1hi，而通過g∑ti=1hi求解hi仍然是求解離散對數難題，攻擊者無法獲得。

在簽名合成階段，區塊鏈節點需將各自的部分簽名（s，l，W）發送給簽名合成者， 部分簽名（s，l，W）不包含私鑰內容，即使攻擊者竊取該內容，也沒有任何價值，不會影響投票結果。

新節點加入區塊鏈網絡時，其私鑰由t個區塊鏈節點相互協作產生，εij是由區塊鏈節點隨機選取并保存，攻擊者無法獲得。假設某攻擊者通過惡意攻擊獲得了隨機數εij，想通過計算得到新加入節點的私鑰Kn+1，根據新加入節點的私鑰計算公式：

Kn+1=∑ti=1K′i mod D mod dn+1

攻擊者不可避免地要計算∑ti=1K′i mod D，則攻擊者必須先獲得K′i，而：

K′i=Ddi eiKi mod D mod dn+1+（εi-ε′i）dn+1

攻擊者必須計算Ki，即攻擊者必須獲得區塊鏈節點私鑰，然而根據之前的分析，攻擊者不可能獲得節點私鑰，因此攻擊者無法獲得新加入區塊鏈網絡節點的私鑰。

方案對區塊鏈網絡中節點的離開具有免疫功能。假設有某節點Pk要離開區塊鏈網絡，因為Pk只知道自己的子秘密λk和個人私鑰Kk， 而組公鑰ψ=∏ni=1gλk mod p和組私鑰φ=∑nk=1λk均有區塊鏈節點協作產生，節點Pk僅有自己的秘密數和私鑰，并不能對組私鑰和其他節點私鑰產生任何威脅。且根據秘密共享門限簽名方案的原則，至少需要t個節點合作才能打開秘密。因此，少于t個節點的離開并不影響系統的安全性，該方案對于節點的離開不具有敏感性。

3.2.2 不可偽造性分析

不可偽造性是指任意惡意節點都不能偽造區塊鏈網絡中的合法節點生成簽名信息。

若有某惡意節點i想替代區塊鏈節點j產生秘密份額，則該惡意節點i隨機選取秘密數λi′和Zi′，由于λi′≠λi，Zi′≠Zi則λi′+Zi′q≠λi+Ziq，所以有X′ij≠Xij，其他節點收到惡意節點i的廣播信息λi′，Zi′，通過驗證很容易發現gλi′·gZi′q mod p≠gλi ·gZiq mod p≠δi，即等式不成立，其他節點不接受此節點的信息和簽名，因此節點i無法替代其他區塊鏈節點偽造λi，Zi。

假設惡意節點i想替代區塊鏈節點j生成區塊鏈節點私鑰，惡意節點可能截獲其他n-1個節點發送的信息Xij來構造區塊鏈節點的私鑰。但是其他節點各自保留了Xii，攻擊者無法獲得。由Xii=（λi+Ziq） mod di，攻擊者可能通過截獲gλi、gZi試圖求得λi和Zi，從而計算Xii，但通過gλi、gZi求解λi和Zi是離散對數難題，攻擊者無法通過計算得到，因此攻擊者無法偽造區塊鏈節點私鑰。

若有惡意節點要偽造簽名信息，則攻擊者隨機選取hi′，計算li′、l′和部分簽名Wi′，合成者合成簽名W′但是在簽名驗證階段，由于W′≠W，所以gW′≠ls·l·ψ mod p，無法通過驗證，簽名無效，因此攻擊者無法偽造簽名。

3.3 效率分析

本文基于中國剩余定理的秘密共享方案，提出的適用于區塊鏈的（t，n）門限簽名算法，其計算難度等價于求解離散對數難題，與拉格朗日插值定理相比，具有較小的計算量。

為了與之前已有的簽名算法進行比較，本文定義了如表1符號說明。

與模指數運算和模乘運算相比，模加法、模減法運算的計算量可忽略不計，因此本文只通過模指數和模乘運算來比較。

表2是本文方案與其他方案的計算復雜度對比結果。文獻[4]方案基于中國剩余定理，文獻[8]方案基于零知識證明協議，文獻[10]和[16]方案均基于拉格朗日插值多項式。

從表2可以看出，文獻[4]方案在算法上和本文效率相當。在簽名生成階段，本文方案明顯優于文獻[8]、[10]和[16]中的方案，這是由于文獻[10]和[16]方案是基于拉格朗日插值多項式的門限簽名算法，而多項式階數較高，計算復雜，所以導致執行效率較低。

在簽名驗證階段，文獻[10]和[16]方案均優于本文方案，但是區塊鏈是一種異構網絡，其計算資源相對有限，對算法的執行效率要求較高。門限簽名算法的計算量主要在于簽名生成階段，不是驗證階段，因此提高簽名生成階段的效率比提高驗證階段的效率更為重要。

本文適用于區塊鏈電子投票場景的方案，設計了節點加入和退出機制;而文獻[8]、[10]和[16]方案均不支持節點加入和退出，文獻[4]方案建立了節點加入機制，但沒有設計節點退出算法，因此，以上方案均不能適配區塊鏈投票場景。

區塊鏈作為一個去中心化的應用平臺，其參與節點集合處于動態變化之中，因此要求簽名算法不僅要去中心化，還需要允許節點自由加入和退出。與其他方案相比，本文設計的簽名算法能夠更好地適配到區塊鏈網絡投票場景。

4 結語

本文設計的門限簽名方案，擯棄了可信中心，參與區塊鏈投票的節點之間相互協作產生簽名，實現了節點之間實現相互驗證功能，除非大于t個節點合謀，否則無法獲得簽名信息。方案允許外部節點加入區塊鏈網絡參與投票，且保持組公鑰不變。在節點退出時，組公鑰發生變化，此時將前期組公鑰存放在區塊鏈網絡中，同時生成新的組公鑰，如需驗證前期簽名，可從區塊鏈網絡系統中調用組公鑰，解決了節點退出區塊鏈網絡時引起的組公鑰改變問題。另外，定期更新節點，避免了因移動攻擊造的成節點信息泄露問題，確保方案具有前向安全性。

本文提出的適用于區塊鏈投票場景的門限簽名方案，與其他方案相比，本方案基于中國剩余定理，計算簡單，效率較高。

參考文獻

[1]楊保華，陳昌.區塊鏈原理、設計與應用[M].北京：機械工業出版社，2017：9-19.（YANG B H， CHEN C. Blockchain Principle， Design and Application [M]. Beijing： China Machine Press， 2017：9-19.）

[2]SHAMIR A. How to share a secret [J]. Communications of the ACM， 1979， 22（11）： 612-613.

[3]張毅，侯整風，胡東輝.一種動態的無可信中心（t，n）門限簽名認證方案[J].合肥工業大學學報（自然科學版），2011，34（9）：1341-1344.（ZHANG Y， HOU Z F， HU D H. A dynamic （t，n） threshold signature authentication scheme without a trusty party [J]. Journal of Hefei University of Technology （Natural Science Edition）， 2011， 34（9）： 1341-1344.）

[4]王斌，李建華.無可信中心的（t，n）門限簽名方案[J].計算機學報，2003，26（11）：1581-1584.（WANG B， LI J H. A （t，n） threshold signature scheme without a trusted party [J]. Chinese Journal of Computers， 2003，26（11）：1581-1584.）

[5]HARN L. Group-oriented （t，n） threshold digital signature scheme and digital multisignature [J]. IEEE Proceedings—Computers and Digital Techniques， 1994， 141（5）：307-313.

[6]何二慶， 侯整風， 朱曉玲. 一種無可信中心動態秘密共享方案[J]. 計算機應用研究， 2013，30（2）：491-493.（HE E Q， HOU Z F， ZHU X L. Proactive secret sharing scheme without trusted party [J]. Application Research of Computers， 2013 30（2）： 491-493.）

[7]殷鳳梅，濮光寧.允許新成員加入的無可信中心秘密共享方案分析[J].重慶科技學院學報（自然科學版），2011，13（6）：173-182.（YIN F M， PU G N. New member joining in a secret sharing scheme without a trusted party [J]. Journal of Chongqing University of Science and Technology （Natural Science Edition）， 2011，13（6）： 173-182.）

[8]徐甫.基于多項式秘密共享的前攝性門限RSA簽名方案[J]. 電子與信息學報， 2016， 38（9）：2280-2286.（XU F. Proactive threshold RSA signature scheme based on polynomial secret sharing[J]. Journal of Electronics & Information Technology， 2016， 38（9）：2280-2286.）

[9]ASMUTH C， BLOOM J. A modular approach to key safeguarding[J]. IEEE Transactions on Information Theory， 1983，29（2）：208-210.

[10]楊陽，朱曉玲，丁涼.基于中國剩余定理的無可信中心可驗證秘密共享研究[J].計算機工程，2015，41（2）：122-128.（YANG Y， ZHU X L， DING L. Research on verifiable secret sharing without trust center based on Chinese remainder theorem [J].Computer Engineering， 2015， 41（2）：122-128.）

[11]程宇，劉煥平.可驗證的Asmuth-Bloom門限秘密共享方案[J].哈爾濱師范大學自然科學學報，2011，27（3）：35-38.（CHENG Y， LIU H P. The Asmuth-Bloom verifiable threshold sharing scheme [J]. Natural Science Journal of Harbin Normal University， 2011， 27（3）：35-38.）

[12]王巖，侯整風，章雪琪，等. 基于中國剩余定理的動態門限簽名方案[J]. 計算機應用， 2018， 38（4）：1041-1045.（WANG Y， HOU Z F， ZHANG X Q， et al. Dynamic threshold signature scheme based on Chinese remainder theorem [J]. Journal of Computer Applications， 2018， 38（4）： 1041-1045.）

[13]徐甫，馬靜謹.基于中國剩余定理的門限RSA簽名方案的改進[J].電子與信息學報，2015，37（10）：2495-2500.（XU F， MA J J. Improvement of threshold RSA signature scheme based on Chinese remainder theorem [J]. Journal of Electronics & Information Technology， 2015，37（10）：2495-2500.）

[14]李潔平， 韋性佳. 基于中國剩余定理的秘密共享方案[J]. 通信技術，2018，51（3）：671-675.（LI J P， WEI X J. Secret sharing scheme based on Chinese remainder theorem [J]. Communications Technology， 2018， 51（3）： 671-675.）

[15]LI Q， WANG Z， NIU X， et al. A non-interactive modular verifiable secret sharing scheme [C]// Proceedings of the 2005 International Conference on Communications， Circuits and Systems. Piscataway， NJ： IEEE， 2005，1：84-87.

[16]KAYA K， SELCUK A A. A verifiable secret sharing scheme based on the Chinese remainder theorem [C]// Proceedings of the 2008 International Conference on Cryptology in India， LNCS 5365. Berlin： Springer， 2008： 414-425.

[17]董攀，況曉輝，盧錫城.一種秘密共享新個體加入協議[J]. 軟件學報，2005， 16（1）：116-120.（DONG P， KUANG X H， LU X C. A non-interactive protocol for member expansion in a secret sharing scheme[J]. Journal of Software， 2005， 16（1）：116-120.）

[18]曹陽.基于秘密共享的數字簽名方案[J].重慶郵電大學學報（自然科學版），2015，27（3）：418-421.（CAO Y. Digital signature scheme based on secret sharing [J]. Journal of Chongqing University of Posts and Telecommunications （Natural Science Edition）， 2015， 27（3）： 418-421.）

[19]王利朋，胡明生，賈志娟，等.基于中國剩余定理的區塊鏈投票場景簽名方案[J].計算機應用研究， 2020， 37（2）：1-8.（WANG L P， HU M S， JIA Z J，et al. Signature scheme applying on blockchain voting scene based on Chinese remainder theorem [J]. Application Research of Computers， 2020， 37（2）：1-8.）

[20]BLAHUT R E.現代密碼學及其應用[M].黃玉劃，薛明福，徐娟，譯.北京：機械工業出版社，2018：67-68.（BLAHUT R E. Cryptography and Secure Communication [M]. HUANG Y H， XUE M F， XU J， translated. Beijing： China Mechine Press， 2018： 67-68.

[21]閔嗣鶴，嚴士健.初等數論[M].3版.北京：高等教育出版社，2003：76-79.（MIN S H， YAN S J. Elementary Number Theory [M]. 3rd edition. Beijing： Higher Education Press， 2003： 76-79.）

[22]HOU Z， TAN M. A CRT-based （t，n） threshold signature scheme without a dealer [J]. Journal of Computational Information Systems， 2015，11（3）： 975-986.

This work is partially supported by the General Subject of the 13th Five-Year Plan for Education Science in Henan Province （（2018）-JKGHYB-0279）.

CHENG Yage， born in 1987， M. S.， assistant. Her research interests include cryptography， industrial Internet of things.

JIA Zhijuan， born in 1973， M. S.， professor. Her research interests include software engineering.

HU Mingsheng， born in 1973， Ph. D.， professor. His research interests include software engineering.

GONG Bei， born in 1984， Ph. D.， professor. His research interests include information security， trusted computing.

WANG Lipeng， born in 1987， M. S.， assistant. His research interests include virtualization security， cloud storage， parallel computing.