(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210040125.1 (22)申请日 2022.01.14 (71)申请人 复旦大学 地址 200433 上海市杨 浦区邯郸路2 20号 (72)发明人 赵运磊　陈彦伯　 (74)专利代理 机构 上海正旦专利代理有限公司 31200 专利代理师 陆飞　陆尤 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 一种对含指数关系检验的数字签名增量聚 合方法 (57)摘要 本发明属于密码技术领域， 具体为一种对含 指数关系检验的数字签名增量聚合方法。 本发明 方法支持聚合的签名中包含整数s， 验证过程中 需计算出一个值T， 验证gs＝T是否成立。 本发明 给出的增量聚合方法为： 对 i＝1， ...， n， 将前i个 用户及其公钥、 整数、 消息、 签名的其他部分等信 息作为输入计算出系数ai， 用 代 替单个签名中的s1， ...， sn以实现聚合； 验证签 名时改为验证 是否成立。 本方法 可显著减少签名总长度、 提升验证速率； 支持在 已有聚合签名基础上进一步聚合更多签名， 灵活 性高。 本方法泛用性强， 尤其是由于区块链、 密码 货币等大量签名需要 存储、 验证的场景。 权利要求书2页 说明书6页 附图2页 CN 114499878 A 2022.05.13 CN 114499878 A 1.一种对含指数关系检验的数字签名增量聚合方法， 其特征在于， 设待聚合的数字签 名满足： (1)签名中含有作为指数的整数s； (2)签名验证过程包 含步骤V， 仅当步骤V验证通过时签名才可验证通过； (3)存在与V等价的指数关系检验步骤， 即存在方法V ′可由验证过程的输入计算出一个 值T， 步骤V验证通过当且仅当gs＝T成立； 令 为n个可能重复的签名者， n为任意大于或等于2的正整数， 对任何i∈ [n]， [n]表示1, …,n构成的集合， 对消息mi的签名为(si， auxi)， 其中si为所述指数， auxi为 任意额外信息， 所述增量聚合方法的具体步骤为： (1)聚合过程： 由任一聚合者计算出系数a1,…,an； 其中对任何i∈[n]， 所述聚合者 以 aux1,…,auxi， m1,…,mi为输入， 通过方法H计算出ai； 所述聚合者计算 所述聚合 者将 作为 对m1,…,mn的聚合签名； (2)验证过程： 签名验证者得到上述聚合签名和 m1,…,mn后， 用如下步骤代 替验证单个 签名的步骤V： 通过方法H计算出a1,…,an， 用方法V ′计算出T1,…,Tn， 验证： 否成立。 2.如权利要求1所述的方法， 其特征在于， 已得到 对m1,…,mn的聚合签名 后， 若又有可能重复的签名者An+1,…,An′， n′为任意大于n ′的正整数， 对 任何i＝n+1, …,n′， 对消息mi的签名为(si， auxi)， 则所述聚合者将这些签名加入和原有 聚合签名， 具体流 程为： 对任何i＝n+1 , …,n′， 所述聚合者通过方法H计算出ai； 所述聚合者计算 所述聚合者将 作为 对m1,…,mn′的聚 合签名。 3.如权利要求1或2所述的方法， 其特征在于， 对任何i∈[n ′]， 若签名者 有公钥Xi， 则 X1,…,Xi额外作为所述聚合 者和所述验证者计算ai时方法H的输入。 4.如权利要求3所述的方法， 其特征在于， 对任何i∈[n ′]， 公钥Xi有证书CERTi， 且 CERT1,…,CERTi额外作为所述聚合 者和所述验证者计算ai时方法H的输入。 5.如权利要求1或2所述的方法， 其特征在于， 所述方法H是固定的并被所有用户事先悉 知、 或者在协议 运行之前被交换协商、 或者被包 含在证书中。 6.如权利要求1或2所述的方法， 其特征在于， 所述方法H为： 将全部或部分输入用一哈 希函数求出哈希值， 将该哈希值 直接或取模后作为结果。 7.如权利要求1或2所述的方法， 其特征在于， 所述方法H为： 先用哈希函数或摘要函数 求出部分输入的哈希值， 再将这些值与其余输入一起求哈希值， 将该哈希值直接或取模后 作为结果。 8.如权利要求1或2所述的方法， 其特 征在于， 所述方法H将a1设置为一固定值。 9.如权利要求1或2所述的方法， 其特征在于， 对任何i＝2, …,n′， 方法H计算ai时用ai‑1权　利　要　求　书 1/2 页 2 CN 114499878 A 2代替输入的 aux1,…,auxi‑1,m1,…,mi‑1,X1,…,Xi‑1,CERT1,…,CERTi‑1。权　利　要　求　书 2/2 页 3 CN 114499878 A 3