1.   引言

随着电子商务的不断发展，交易方或合作方通过互联网就某些条款签订合同变得日益普遍。在互不信任的签署方中，尤其是针对多方合同签署时，签署合同时的公平性就显得尤为重要。为解决公平签署的问题，最常见的方法便是加入可信第三方，借助第三方交换签署方的签名信息以达到公平签署的目标。这种方法就要求第三方保持在线状态，所以效率不会太高，尤其是随着签署方的增加易产生系统瓶颈问题。并且现实中第三方并非是完全可信的。随之产生了半可信第三方，在这类协议中，第三方仅在签署方发生争端时出现，用以解决争端问题。但是这类协议通常计算比较复杂，效率也不太高，同时存在信息泄露的风险。而另一类无需第三方参与的协议，通常采用逐步释放待公开的信息^[1]，但由于互联网的不同步，合同签署的过程也是异步发生的，因而并未解决公平签署的问题，在通信交互过程中的成本较高，实际应用的可能性较低。

2003年由Al-Riyami等人^[2]提出了无证书密码体制。聚合签名自Boneh 等人^[3]提出以来受到了广泛的应用，把多个签名压缩聚合成一个签名，降低了存储开销，验证的工作量和对网络传输的要求。文献[4–7]提出了应用于不同场景的无证书聚合方案及改进方案。聚合签名的使用将为多用户参与的方案提供了新的解决思路。

近年来，由于区块链技术的兴起，区块链技术受到更多的关注，去中心化特性被用来很好地解决了第三方问题。Wan等人^[8]提出了在区块链环境下，采用时间戳服务器检查在最后期限内提交的加盖时间戳的签名的有效性来保障签署双方的公平性。文献[9]在双方合同签署的过程中嵌入了盲的可验证的加密签名，保护了待签署合同的私密性，防止了合同信息的泄露，但是当出现争议时，由于区块链具有公开透明性，区块链上每一个节点均可以获得链上的签名信息，同样泄露用户的信息。故基于区块链的合同签署协议中必不可少的要解决隐私保护问题，防止信息泄露。文献[10]在文献[9]基础上进行改进，引入了半诚信的第三方添加混币模式，保护了用户的隐私，虽然可用于多方合同签署，但是随着签署方数量的增加，在区块链上的工作量也在增加。Huang等人^[11]将合同签署的过程分为链上和链下两部分，链下协商一个门限在链上交换，但该协议随着签署人数的增加验证各方签名的消耗也在急剧增加。文献[12]提出了一种新的合同签署协议，将大量的签名工作借助无证书聚合可验证的签名方案放在区块链下执行，只有聚合签名通过验证方可进入链上阶段。在区块链上各签署方交换秘密值，矿工仅验证签署方是否合法有效。但是该协议中无证书方案基于双线性对在聚合签名验证时，验证开销较大。

本文结合已有工作，在文献[12]的基础上提出一个高效的无证书聚合可验证签名方案，并应用于多方合同签署环境中。在多方合同签署的过程中，签署方首先在区块链链下对待签署合同达成一致，分别签署带有共享公钥的签名后聚合统一验证，若聚合签名通过验证之后，方可进入区块链链上阶段，否则退出合同签署协议。在链上，各方首先提交一笔担保金以担保自己的行为，之后各签署方依次公开自己的临时密钥。若公开过程中出现不诚实的签署方，则该签署方失去其保证金用于奖励之前已经诚实的公开自己临时密钥的签署方，晚于该签署方之后的签署方赎回自己的担保金。该协议不管是在链上还是在链下，保证了对签署方而言的公平性和私密性，针对于合同的机密性和不可伪造性，在协议的效率上也有很大的提高。

2.   基础知识

2.1   离散对数

离散对数问题(Discrete Logarithm Problem, DLP)^[13]：设在生成元为$P$ 的大素数为$q$阶的加法循环群$G$中，已知元组$(P,bP)$, $b \in Z_q^*$，求解目标$b$。在任意的概率多项式时间(Probabilistic Polynomial Time, PPT)，算法$A$成功解决${\rm{DLP}}$问题的概率${\rm{Ad}}{{\rm{v}}^{{\rm{DLP}}}}\,(A\,)$可忽略^[13]。其中${\rm{Ad}}{{\rm{v}}^{{\rm{DLP}}}}\,(A\,) =$$\Pr [A(P,bP) = b|b \in Z_q^*]$。

计算性Diffie-Hellan问题 (CDH问题)^[14]：设在$q$阶的加法循环群$G$中，$P\,$为其生成元。已知$P\,$, $aP\,$, $bP\,$求$abP\,$问题，其中$a,b \in Z_q^*$。在算法$A$任意的${\rm{PPT}}$内，成功解决${\rm{CDH}}$问题的概率${\rm{Ad}}{{\rm{v}}^{{\rm{CDH}}}}(A)$可忽略^[14]。其中${\rm{Ad}}{{\rm{v}}^{{\rm{CDH}}}}(A) = \Pr [A(P,aP,bP) =$$abP|a,b \in Z_q^*]$。

2.2   安全模型

在无证书签名方案的安全模型中，攻击者可以分为两大类^[4]：

$A_{\rm{I}}$：模拟为恶意的用户，不知道系统主密钥，但是可以任意替换用户的公钥；

$A_{\rm{\Pi}}$：模拟为恶意的${\rm{KGC}}$，知道系统的主密钥，但是不能替换用户公钥。

证明无证书签名方案的不可伪造性时，可构造挑战者$C\,$与攻击者$A_{\rm{I}}$和$A_{\rm{\Pi}}$之间的游戏。

2.3   安全需求

多方的合同签署过程中需要满足以下安全需求：

(1) 正确性：若参与签署合同的签署者均诚实地执行多方合同签署协议，则合同签署成功，每一个签署者均可以得到其他签署方的普通签名；

(2) 公平性：多方签署合同时，对于每一个签署者都应该保证相对公平，出现不诚实的签署者时应该得到一定的惩罚，而已经诚实的公开自己临时密钥的签署者应该得到补偿；

(3) 私密性：在合同签署的过程中，保证每一个签署者的个人隐私不泄露，所签署的合同信息除了签署者知道外对其他人是保密的；

(4) 可验证性：对于合同签署时的聚合签名可以通过验证，并且具有可提取性，在满足一定条件下，可以恢复出签署者对于合同的普通签名，证明签署的合同有效的；

(5) 不可伪造性：对于签署者签署的签名具有不可伪造性，协商通过后的合同，若一方未签署，其他签署方不可能伪造一个合法的合同。

3.   无证书聚合可验证签名方案

3.1   无证书聚合可验证签名方案定义

本方案由以下算法组成：

(1) 系统建立：设置安全参数$k$, ${\rm{KGC}}$选取主密钥$\lambda$，公开系统参数${\rm{params}}$；

(2) 秘密值生成：$({x_i},{\rm{params}}) \to ({x_i}{P_i})$，选取随机值${x_i}$为秘密值，${P_i}$为与之对应的公钥；

(3) 部分私钥生成：$({v_i},{{\rm {ID}}_i},\lambda ,{P_i},{\rm{params}}) \to {y_i}$, ${v_i}$为随机值，${{\rm {ID}}_i}$为用户身份，${y_i}$为部分私钥；

(4) 用户密钥生成：$({x_i},{y_i},{\rm{I}}{{\rm{D}}_i},{\rm{params}}) \to ({\rm{p}}{{\rm{k}}_i},$${\rm{s}}{{\rm{k}}_i})$, ${{\rm pk}_I}$和${{\rm sk}_i}$分别为用户的公私钥；

(5) 临时密钥生成：$({x_i}',{\rm{params}}) \to ({x_i}',P_i')$，选取随机值${x_i}'$为用户临时私钥${x_i}'$, $P_i'$为临时公钥；

(6) 共享密钥生成：$({x_1}',{x_2}', ·\!·\!· ,{x_n}',P_1',P_2', ·\!·\!· ,$$P_n')\to ({P_{{\rm{pub}}}},{x_{{\rm{pub}}}})$, ${P_{{\rm{pub}}}}$为共享公钥，${x_{{\rm{pub}}}}$为共享密钥；

(7) 签名生成：$({M_i},{\rm{I}}{{\rm{D}}_i}, \varDelta,{r_i},{\rm{params}}) \to \sigma _i'$，消息${M_i}$，随机值${r_i}$, $\varDelta$为状态信息，${\sigma _i}'$为用户签名信息；

(8) 聚合签名：$(\sigma _1',\sigma _2', ·\!·\!· ,\sigma _n') \to \sigma$, $\sigma$为聚合签名；

(9) 聚合签名验证：$({M_1},{M_2}, ·\!·\!· ,{M_n},{\rm{I}}{{\rm{D}}_1}\,{\rm{I}}{{\rm{D}}_2} ·\!· ·$${\rm{I}}{{\rm{D}}_n}, \varDelta ,{P_{{\rm{pub}}}},{\rm{params}},\sigma ) \to$${{{\rm{true}}} / {{\rm{false}}}}$。若聚合签名有效，输出true；否则，输出false。

3.2   无证书聚合可验证签名方案具体构造

(1) 系统建立：设安全参数$k$, $\rm KGC\,$选择素数$q > 2k$阶椭圆曲线加群$G$, $P\,$为其生成元。选择抗碰撞的安全哈希函数$H:\{ 0,1\} ^* \times G \times G \to Z_q^*$, ${H_1}:G \times {\{ 0,1\} ^*} \to Z_{\rm{q}}^*$，随机选$\lambda \in Z_q^*$作为系统主密钥，系统公钥${P_{\rm{T}}} = \lambda P\;$, ${\rm{KGC}}$保存系统主密钥$\lambda$，公开系统参数${\rm{params}} = \{ G,q,P,{P_{\rm{T}}},H,{H_1}\}$；

(2) 秘密值生成：用户${U_i}$随机选取${x_i} \in Z_q^*$用作秘密值，计算${P_i} = {x_i}P\,$作为其对应公钥，并将用户的身份${\rm{I}}{{\rm{D}}_i}$和${P_i}$发送给${\rm{KGC}}$；

(3) 部分私钥生成：${\rm{KGC}}$随机选取${v_i} \in Z_q^*$，计算${V_i} = {v_i}P$, ${h_i} = H({\rm{I}}{{\rm{D}}_i},{P_i},{P_{\rm{T}}})$, ${y_i} = {v_i} + \lambda {h_i}{\rm{mod}} q$, ${\rm{KGC}}$公开${V_i}$并将部分私钥${y_i}$发送给用户${U_i}$；

(4) 用户密钥生成：用户${U_i}$计算${h_i} =H({\rm{I}}{{\rm{D}}_i},$${P_i},{P_{\rm{T}}})$，验证${y_i}P = {V_i} + {h_i}{P_{\rm{T}}}$ 是否成立，成立则合成私钥 ${\rm{s}}{{\rm{k}}_i} = {x_i} + {y_i}$，公钥${\rm{p}}{{\rm{k}}_i} = ({P_i},{V_i})$。否则，终止执行；

(5) 临时密钥生成：用户${U_i}$随机选取${x_i}'$作为临时私钥，计算$P_i' = x_i'P\,$, $P_i'$为临时公钥；

(6) 临时公钥承诺：

(a) 用户${U_i}$随机选取辅助值${k_i}$，并对临时公钥进行承诺，得${C_i} = {\rm{Com}}({P_i}',{k_i})$，将${C_i}$广播给其他用户；

(b) 当用户收到${C_i}$后，${U_i}$打开承诺，则用户得到临时公钥$P_i'$；

(7) 共享密钥生成：当所有用户均打开公钥承诺后，可计算共享公钥${P_{{\rm{pub}}}} = \displaystyle\sum\nolimits_{i = 1}^n P_i'$，与之对应的共享密钥为${x_{{\rm{pub}}}} = \displaystyle\sum\nolimits_{i = 1}^n x_i'$；

(8) 签名生成：广播消息$M$，用户${U_i}$对消息${M_i}$进行签名过程如下：

(a) 用户${U_i}$随机选取${r_i} \in Z_q^*$，计算${R_i} = {r_i}P\,$；

(b) 计算${l_i} = {H_1}({R_i},{\rm{I}}{{\rm{D}}_i}\parallel {M_i}\parallel {R_i}\parallel \vartriangle )$, ${S_i} =$${r_i}{P_{{\rm{pub}}}} +{\rm{s}}{{\rm{k}}_i} \cdot {l_i}$；

(c) 用户${U_i}$对消息${M_i}$的签名为${\sigma _i}' = ({R_i},{S_i})$。

(9) 聚合签名：若对$n$个消息-签名对$({M_1},{\sigma _1}')$$({M_2},{\sigma _2}') ·\!·\!· ({M_n},{\sigma _n}')$聚合签名，计算$R = \displaystyle\sum\nolimits_{i = 1}^n {R_i}$, $S = \displaystyle\sum\nolimits_{i = 1}^n {S_i}$，则聚合签名为$\sigma = (R,S)$；

(10) 聚合签名验证：每一个参与者均可验证聚合签名，输入消息${M_1},{M_2}, ·\!·\!· ,{M_n}$, $\sigma$和所需参数，验证者执行：

(a) 计算${h_i} = H({\rm{I}}{{\rm{D}}_i},{P_i},{P_{\rm T}})$和${l_i} = {H_1}({R_i},{\rm{I}}{{\rm{D}}_i}\parallel$${M_i}\parallel {R_i}\parallel \varDelta )$，其中$i = 1,2, ·\!·\!· ,n$。${h_i}$和${l_i}$可以预运算；

(b) 判断等式为$S\cdot P = \displaystyle\sum\nolimits_{i = 1}^n [{R_i}{P_{{\rm{pub}}}} + ({P_i} +$${V_i} + {P_{\rm T}}\,{h_i}){l_i}]$。等式成立，则输出true；否则，输出false。

4.   安全性证明

4.1   正确性

计算${h_i} = H({\rm{I}}{{\rm{D}}_i},{P_i},{P_{\rm{T}}})$,${l_i} = {H_1}({R_i},{\rm{I}}{{\rm{D}}_i}\parallel {M_i}\parallel$${R_i}\parallel \varDelta)$和$R = \displaystyle\sum\nolimits_{i = 1}^n {R_i}$，其中$i = 1,2, ·\!·\!· ,n$。

首先验证等式${S_i}P = {R_i}{P_{{\rm{pub}}}} + ({P_i} + {V_i} + {h_i}{P_{\rm{T}}}){l_i}$是否成立：

${S_i}P = ({r_i}{P_{{\rm{pub}}}} + {\rm{s}}{{\rm{k}}_i} \cdot {l_i})P= {r_i}{P_{{\rm{pub}}}}P + ({x_i} + {y_i}) \cdot {l_i}P$=${R_i}{P_{{\rm{pub}}}} + ({x_i} + {v_i} +\lambda {h_i}) \cdot {l_i}P = {R_i}{P_{{\rm{pub}}}}$+ $({P_i} +{V_i}+$${h_i}{P_{\rm{T}}}) \cdot {l_i}$，故可验证签名的正确性。

然后验证$S \cdot P = \displaystyle\sum\nolimits_{i = 1}^n [{R_i}{P_{\rm {pub}}} + ({P_i} + {V_i} +$${P_{\rm T}}{h_i}){l_i}]$是否成立：

$S\!\cdot\! P \!=\!\! \displaystyle\sum\nolimits_{i \!=\! 1}^n ({r_i}{P_{{\rm{pub}}}} + {\rm{s}}{{\rm{k}}_i} \cdot {l_i})P =\!\!\displaystyle\sum\nolimits_{i = 1}^n [{r_i}{P_{{\rm{pub}}}}\;$+$({x_i} \,+\, {v_i} \,+\, \lambda {h_i}){l_i}]P \,=\,\displaystyle\sum\nolimits_{i = 1}^n\, [{R_i}{P_{{\rm{pub}}}} \,+\, ({P_i} \,+ {V_i}$+${P_{\rm{T}}}{h_i}){l_i}]$，故可验证聚合签名的正确性。

4.2   不可伪造性

定理1　在随机语言模型中，攻击者$A_{\rm{I}}$在自适应选择消息攻击下，依赖离散对数困难问题，存在不可伪造性。若攻击者$A_{\rm{I}}$能够以一个不可忽略的${\rm{PPT}}$内成功伪造一个有效聚合签名，则存在挑战者$C\,$能够以不可忽略的优势在多项式时间内解决${\rm{DLP}}$。

证明　攻击者$A_{\rm{I}}$已知元组$(P,bP)$，伪造有效的聚合签名。挑战者$C\,$利用$A_{\rm{I}}$求困难问题，解$b$的值。假定目标用户${\rm{I}}{{\rm{D}}_j}$。$C\,$与$A_{\rm{I}}$交互过程如下：

系统初始化阶段　挑战者$C\,$建立系统模型，执行系统建立算法，生成系统公开参数${\rm{params}} =$$\{ G,q,P,{P_{\rm{T}}},H,{H_1}\}$和系统主密钥$\lambda$，令系统公钥${P_{\rm{T}}} = bP$(其中$b \in Z_q^*$)。生成随机数${P_{{\rm{pub}}}} \in Z_q^*$作为用户的共享公钥，挑战者$C$保存系统主密钥$\lambda$，将系统公开参数${\rm{params}}$和${P_{{\rm{pub}}}}$发送给敌手$A_{\rm{I}}$。

询问阶段　在此阶段中，挑战者$C\,$建立维护表${L_H},{L_{H1}},{L_X},{L_Y},{L_{{\rm{SK}}}},{L_{{\rm{PK}}}}$，记录下询问过程。其中表的初始值均为空。询问过程如下：

(1) $H$询问：当$A_{\rm{I}}$进行$H$询问。首先$C\,$检查${L_H}$$({\rm{I}}{{\rm{D}}_i},{P_i},{P_{\rm{T}}},{h_i})$表，当${L_H}$表已包含${h_i}$时，将${h_i}$返回给$A_{\rm{I}}$；当${L_H}$表不存在${h_i}$时，那么$C\,$随机选择${h_i} \in Z_q^*$，将${h_i}$返回给$A_{\rm{I}}$并记录到$({\rm{ID}},{P_i},{P_{\rm{T}}},{h_i})$中；

(2) $H1$询问：当$A_{\rm{I}}$进行$H1$询问。首先$C\,$检查${L_{H1}}$$({R_i},I{D_i},{M_i},\varDelta ,{l_i})$表，当${L_{H1}}$表已包含$h{1_i}$时，将${l_i}$返回给$A_{\rm{I}}$；当${L_{H1}}$表不存在${l_i}$时，那么$C\,$随机选择${l_i} \in Z_q^*$，将${l_i}$返回给$A_{\rm{I}}$并记录到$({R_i},{\rm{I}}{{\rm{D}}_i},{M_i},\varDelta ,{l_i})$中；

(3) 秘密值询问：当$A_{\rm{I}}$对于${\rm{I}}{{\rm{D}}_i}$的秘密值询问时，首先$C\,$检查${L_X}$$({\rm{I}}{{\rm{D}}_i},{P_i},{x_i})$表，当${L_X}$表已包含${x_i}$时，将${x_i}$返回给$A_{\rm{I}}$；若${\rm{I}}{{\rm{D}}_i} = {\rm{I}}{{\rm{D}}_j}$，游戏终止；若${\rm{I}}{{\rm{D}}_i} \ne {\rm{I}}{{\rm{D}}_j}$, $C\,$随机选择${x_i} \in Z_q^*$，计算${P_i} = {x_i}P\,$，将${x_i}$返回给$A_{\rm{I}}$并更新${L_X}$记录；

(4) 部分私钥询问：当$A_{\rm{I}}$对${\rm{I}}{{\rm{D}}_i}$的部分私钥询问时，首先$C\,$检查${L_Y}\,$$({\rm{I}}{{\rm{D}}_i},{h_i},{V_i},{y_i})$表，当${L_Y}\,$表已包含${y_i}$时，将${y_i}$返回给$A_{\rm{I}}$；若${\rm{I}}{{\rm{D}}_i} \ne {\rm{I}}{{\rm{D}}_j}$, $C\,$随机选择${y_i} \in Z_q^*$，计算，${V_i} = {y_i}P - {h_i}{P_{\rm{T}}}$，将${y_i}$返回给$A_{\rm{I}}$并更新${L_Y}$记录；若${\rm{I}}{{\rm{D}}_i} = {\rm{I}}{{\rm{D}}_j}$, $C\,$随机选择${y_i} \in Z_q^*$，计算${V_i} = kP$(其中$k \in Z_q^*$为$C\,$已知随机数)，将${y_i}$返回给$A_{\rm{I}}$并更新${L_Y}\,$记录；

(5) 私钥生成询问：当$A_{\rm{I}}$对${\rm{I}}{{\rm{D}}_i}$的私钥询问时，$C\,$查看${L_{{\rm{SK}}}}$$({\rm{I}}{{\rm{D}}_i},{x_i},{y_i},{\rm{s}}{{\rm{k}}_i})$表，若${L_{{\rm{SK}}}}$表已包含${\rm{I}}{{\rm{D}}_i}$的记录时，将$s{k_i}$返回给$A_{\rm{I}}$；当${L_{{\rm{SK}}}}$表中无${\rm{I}}{{\rm{D}}_i}$的记录时，$C\,$执行秘密值询问和部分私钥询问之后，更新${L_{{\rm{SK}}}}$表，将私钥${\rm{s}}{{\rm{k}}_i} = {x_i} + {y_i}$返回给$A_{\rm{I}}$；

(6) 公钥询问：当$A_{\rm{I}}$对${\rm{I}}{{\rm{D}}_i}$的公钥询问时，首先$C\,$检查${L_{{\rm{PK}}}}$$({\rm{I}}{{\rm{D}}_i},{P_i},{V_i})$表，若和${L_{{\rm{PK}}}}$表已包含${\rm{I}}{{\rm{D}}_i}$的记录时，将$({P_i},{V_i})$返回给$A_{\rm{I}}$；当${L_{{\rm{PK}}}}$表中无${{\rm ID}_i}$的记录时，则执行秘密值询问和部分私钥询问之后，更新${L_{{\rm{PK}}}}$表，将$({P_i},{V_i})$返回给$A_{\rm{I}}$；

(7) 公钥替换询问：$A_{\rm{I}}$可以将${\rm{I}}{{\rm{D}}_i}$的公钥$({P_i},{V_i})$替换为$({P_i}',{V_i}')$；

(8) 签名询问：当$A_{\rm{I}}$就$({\rm{I}}{{\rm{D}}_i},{M_i},\varDelta )$签名询问时，若${\rm{I}}{{\rm{D}}_i} \ne {{\rm ID}_j}$，则正常签名，$C\,$随机选取${r_i} \in Z_q^*$，计算${R_i} = {r_i}P\,$, ${S_i} = {r_i}{P_{{\rm{pub}}}} + {{\rm sk}_i} \cdot {l_i}$。签名为${\sigma _i}' = ({R_i},{S_i})$。$C$将${\sigma _i}'$返回给$A_{\rm{I}}$。若${\rm{I}}{{\rm{D}}_i} = {\rm{I}}{{\rm{D}}_j}$，游戏终止；

(9) 聚合签名询问：当$A_{\rm{I}}$就$({\rm{I}}{{\rm{D}}_i},{M_i},\varDelta )$$(1 \le i \le n)$聚合签名询问时，若所有用户${\rm{I}}{{\rm{D}}_i}$$(1 \le i \le n)$都有${\rm{I}}{{\rm{D}}_i} \ne {\rm{I}}{{\rm{D}}_j}$，则正常签名，$C\,$从签名${\sigma _i}' = ({R_i},{S_i})$中计算$R = \displaystyle\sum\nolimits_{i = 1}^n {R_i}$, $S = \displaystyle\sum\nolimits_{i = 1}^n {S_i}$，即聚合签名为$\sigma = (R,S)$, $C\,$将$\sigma$返回给$A_{\rm{I}}$。若存在${\rm{I}}{{\rm{D}}_i} = {\rm{I}}{{\rm{D}}_j}$$(1 \le i \le n)$，游戏终止；

伪造阶段　$A_{\rm{I}}$经过有限次数的询问后，输出关于$({\rm{I}}{{\rm{D}}_i},{M_i},\sigma _i')(1 \le i \le n)$的聚合签名$\sigma = (R,S)$，其中至少有1个${\rm{I}}{{\rm{D}}_i}$未经过秘密值询问，部分私钥询问和私钥生成询问；至少有1个消息${M_i}$未进行签名询问。当所有用户${\rm{I}}{{\rm{D}}_i}$$(1 \le i \le n)$都有${\rm{I}}{{\rm{D}}_i} \ne {\rm{I}}{{\rm{D}}_j}$，游戏终止。若至少有1个${\rm{I}}{{\rm{D}}_i}$$(1 \le i \le n)$存在${\rm{I}}{{\rm{D}}_i} = {\rm I}{{\rm D}_j}$，那么$C\,$在 和${L_D}$中查询${\rm{I}}{{\rm{D}}_i}$对应记录，等式$S\!\cdot\!P = \displaystyle\sum\nolimits_{i = 1}^n [{R_i}{P_{{\rm{pub}}}} + ({P_i} + {V_i} + {P_{\rm{T}}}{h_i}){l_i}]$是否成立。成立输出$b = \left\{ S - \displaystyle\sum\nolimits_{i = 1,i \ne j}^n [{r_i}{P_{{\rm{pub}}}} + ({x_i} \right.$$+ {y_i}){l_i}] -{r_j}{P_{{\rm{pub}}}} - ({x_j} + k){l_j} \Bigr\}{({h_j} \cdot {l_j})^{ - 1}}$；否则，$C\,$未解决困难问题。

计算困难问题过程如下：

综上所述，若$A_{\rm{I}}$成功伪造一个聚合签名，则$C$便可以通过$A_{\rm{I}}$求得$b$，即$C\,$成功地解决了${\rm{DLP}}$问题，而${\rm{DLP}}$问题是一个困难问题，故本方案具有不可伪造性。 证毕

定理2　在随机语言模型中，攻击者${A_{\rm{\Pi}} }$在自适应选择消息攻击下，依赖离散对数困难问题，存在不可伪造性。若攻击者${A_{\rm{\Pi}} }$能够以一个不可忽略的${\rm{PPT}}$内成功伪造一个有效聚合签名，则存在挑战者$C\,$能够以不可忽略的优势在多项式时间内解决${\rm{DLP}}$问题。

证明　攻击者${A_{\rm{\Pi}} }$已知元组$(P,bP)$，伪造有效的聚合签名。挑战者$C\,$利用${A_{\rm{\Pi}} }$求困难问题，解$b$的值。假定目标用户${\rm{I}}{{\rm{D}}_j}$。$C\,$与${A_{\rm{\Pi}} }$交互过程如下：

系统初始化阶段　挑战者$C\,$建立系统模型，执行系统建立算法，生成系统公开参数${\rm{params}} =$$\{ G,q,P,{P_{\rm{T}}},H,{H_1}\}$和系统主密钥$\lambda$，系统公钥${P_{\rm{T}}} = \lambda P\,$。生成随机数${P_{{\rm{pub}}}} \in Z_q^*$作为用户的共享公钥，挑战者$C\,$将系统公开参数${\rm{params}}$，系统主密钥$\lambda$和${P_{{\rm{pub}}}}$发送给敌手${A_{\rm{\Pi}} }$。

询问阶段　在此阶段中，挑战者$C\,$建立维护表${L_H},{L_{H1}},{L_X},{L_Y},{L_{{\rm{SK}}}},{L_{{\rm{PK}}}}$，记录下询问过程。其中表的初始值均为空。在${A_{\rm{\Pi}} }$询问阶段与$A_{\rm{I}}$询问阶段相比较而言，少了公钥替换询问，在部分私钥询问阶段有所不同，其他地方不变。部分私钥询问过程如下：

部分私钥询问：当${A_{\rm{\Pi}} }$对${\rm{I}}{{\rm{D}}_i}$的部分私钥询问时，首先$C$检查${L_Y}\,$$({\rm{I}}{{\rm{D}}_i},{h_i},{V_i},{y_i})$表，当${L_Y}\,$表已包含${y_i}$时，将${y_i}$返回给${A_{\rm{\Pi}} }$；若${\rm{I}}{{\rm{D}}_i} \ne {{\rm ID}_j}$, $C\,$随机选择${y_i} \in Z_q^*$，计算，${V_i} = {y_i}P - {h_i}{P_{\rm{T}}}$，将${y_i}$返回给${A_{\rm{\Pi}} }$并更新${L_Y}\,$记录；若${\rm{I}}{{\rm{D}}_i} = {\rm{I}}{{\rm{D}}_j}$, $C\,$随机选择$b \in Z_q^*$，计算${V_i} = bP\,$，将${y_i}$返回给${A_{\rm{\Pi}} }$并更新${L_Y}\,$记录。

伪造阶段 ${A_{\rm{\Pi}} }$经过有限次数的询问后，输出关于$({\rm{I}}{{\rm{D}}_i},{M_i},\sigma _i')(1 \le i \le n)$的聚合签名$\sigma = (R,S)$，其中至少有1个${\rm{I}}{{\rm{D}}_i}$未经过秘密值询问，部分私钥询问和私钥生成询问；至少有一个消息${M_i}$未进行签名询问。当所有用户${\rm{I}}{{\rm{D}}_i}$$(1 \le i \le n)$都有${\rm{I}}{{\rm{D}}_i} \ne {\rm{I}}{{\rm{D}}_j}$，游戏终止。若至少有1个${\rm{I}}{{\rm{D}}_i}$$(1 \le i \le n)$存在${\rm{I}}{{\rm{D}}_i} = {\rm{I}}{{\rm{D}}_j}$，那么$C\,$在${L_H},{L_{H1}},{L_{{\rm{SK}}}},{L_{{\rm{PK}}}}$和${L_D}$中查询${\rm{I}}{{\rm{D}}_i}$对应记录，等式$S \!\cdot\! P = \displaystyle\sum\nolimits_{i = 1}^n [{R_i}{P_{{\rm{pub}}}} + ({P_i} + {V_i} + {P_{\rm T}}\,{h_i}){l_i}]$是否成立。成立输出$b = \{ S - \displaystyle\sum\nolimits_{i = 1,i \ne j}^n [{r_i}{P_{{\rm{pub}}}} +$$({x_i} + {y_i}){l_i}] - {r_j}{P_{{\rm{pub}}}} - ({x_j} + {P_{\rm{T}}}{h_j}){l_j} \}{l_j}^{ - 1}$；否则，$C$未解决困难问题。

计算困难问题过程如下：

综上所述，若${A_{\rm{\Pi}} }$成功伪造一个聚合签名，则$C\,$便可以通过${A_{\rm{\Pi}} }$求得$b$，即$C\,$成功地解决了${\rm{DLP}}$问题，而${\rm{DLP}}$问题是一个困难问题，故本方案具有不可伪造性。 证毕

5.   多方合同签署协议

本协议中，对于所签署的合同，可以是不同版本，也可以是相同版本的合同。协议包括区块链下由签署方签名聚合生成的可验证聚合签名和区块链上签署方临时私钥的交换过程。整个过程中，由于签名过程链下执行，合同的内容和敏感信息不予公布，从而保证了该协议的隐私性，而各个签署方的临时私钥的公开过程在区块链上执行，保证了该协议的公平性。由于区块链上公开的是临时私钥，也保证了用户前向和后向合同签署的安全性，多方合同签署的过程如下。

5.1   区块链链下阶段

本阶段中，各签署方在链下针对已经达成一致的合同信息，通过执证无证书聚合可验证签名方案，生成聚合签名$\sigma$，若验证签名有效，则进入区块链链上阶段，否则协议停止。如下：

(1) 各签署方对合同信息$M$达成一致；

(2) 各签署方执证无证书聚合可验证签名方案，生成聚合签名$\sigma$；

(3) 验证签名是否有效，若通过验证进入区块链链上阶段，否则协议停止。

5.2   区块链链上阶段

各签署方已经在链下对合同签署了一个有效的聚合签名，在本阶段包括预备、提交保证金、索得保证金和失败4部分组成。各签署方将公开自己的临时私钥。为了公平的释放或获取签署方的私钥，各签署方首先预存一定数额的保证金，当签署方公开有效的临时私钥后可赎回担保金，一旦有签署方出现不诚实的行为，此签署方将失去所提交的担保金额，并将奖励给其他签署方。具体过程如下：

(1) 预备(preparation)：为链上公开临时私钥做准备。

(a) 各签署方协商释放临时私钥的顺序，假设释放顺序为${U_1},{U_2}, ·\!·\!· ,{U_n}$；

(b) 约定签署方${U_1}$指定价值为${\rm{dB}}$的交易${T_1}$；

(c) 对于$i \in \{ 2,3, ·\!·\!· ,n\}$，签署方${U_i}$指定价值为$(n - 1){\rm{dB}}$的交易${T_i}$；

(d) 交易时间锁${t_1} < {t_2} < ·\!·\!· < {t_n}$。

(2) 提交保证金(deposit)：各签署方首先预存一定数额的保证金。

签署方${U_1}$指定价值为${\rm{dB}}$的交易${T_1}$，将${T_1}$作为输入生成deposit交易并全网广播，如图1所示。

图 1  交易${T_1}$

下载: 全尺寸图片 幻灯片

对于$i \in \{ 2,3, ·\!·\!· ,n\}$，签署方${U_i}$指定价值为$(i - 1){\rm{dB}}$的交易${T_i}$，将${T_i}$作为输入生成deposit交易并全网广播，如图2所示。

图 2  交易${T_i}$

下载: 全尺寸图片 幻灯片

(3) 索得担保金(claim)：在有效的时间内，各签署方诚实地释放所拥有的临时私钥后可拿回保证金。

(a) 当$i \ne n$时，在有效的时间内，前一个签署方诚实地释放所拥有的临时私钥后，可从下一个签署方处获得dB；

(b) 当$i = n$时，${U_n}$诚实地释放临时私钥后从${U_1}$处获得${\rm{dB}}$。

(4) 失败(refund)：若出现${U_i}$在有效的时间内未诚实释放临时私钥，则${U_1},{U_2}, ·\!·\!·,{U_{i - 1}}$均可获得相应的补偿。

(a) 当$i = 1$时，${U_1}$在有效的时间内未诚实释放临时私钥，各签署方拿回其担保金，协议结束；

(b) 当$i \ne 1$时，若签署方${U_i}$为首个在有效的时间内未诚实释放临时私钥，则${U_{i + 1}},{U_{i + 2}},·\!·\!· ,{U_n}$赎回各自的担保金，而${U_i}$失去所提交的担保金$(i - 2)\;{\rm{dB}}$，这笔金额将奖励给${U_2},{U_3}, ·\!·\!· ,{U_{i - 1}}$每人获得${\rm{dB}}$。由于未成功共享各签署方的临时私钥，所以${U_n}$未获得${U_1}$的奖励${\rm{dB}}$，故${U_i}$无需再次奖励${U_1}$。

提取　若各签署方正确有效地在区块链上公开自己的临时私钥$x_i'$，则各签署方均可获得所有临时私钥，便可计算出共享密钥${x_{{\rm{pub}}}}$，由此可从聚合签名中提取出普通签名。

(1) 各签署方计算共享密钥${x_{{\rm{pub}}}} = \displaystyle\sum\nolimits_{i = 1}^n x_i'$；

(2) 各签署方从${\sigma _i}'$中提取普通签名${\sigma _i}{''} \!=\! ({R_i},S_i{''})$, ${S_i}{''} = {S_i} - {R_i} \cdot {x_{{\rm{pub}}}}$。

6.   多方合同签署协议的性能分析

6.1   多方合同签署协议的不透明性

假设攻击者$A$在不知道共享密钥${x_{{\rm{pub}}}}$的情况下，能够从某一签署者的签名${\sigma '} = ({R_i},{S_i})$中提取普通签名${\sigma _i}{''} = ({R_i},S_i{''})$，可归约为解决${\rm{CDH}}$困难问题，在已知$P$, ${R_i} = {r_i}P$和${P_{{\rm{pub}}}} = {x_{{\rm{pub}}}}P\,$时，由${S_i} \!=\! {r_i}{P_{{\rm{pub}}}} + {\rm s}{{\rm k}_i} \cdot {l_i}$，得${S_i}\! -\! S_i{''} \!=\!{r_i}{P_{{\rm{pub}}}} ={r_i} \cdot {x_{{\rm{pub}}}}P\,$，攻击者$A$需要计算出${r_i} \cdot {x_{{\rm{pub}}}}P\;$，而这一结果违背了${\rm{CDH}}$困难问题。故在本方案中可验证签名具有不透明性。

6.2   多方合同签署协议的可提取性

本方案中的验证者可为签名的任意参与者(合同的签署方)。当所有签署方都诚实地签署合同，并在区块链上公布自己的临时私钥${x_i}'$，则所有的签署方均可计算共享密钥${x_{{\rm{pub}}}}$。故任意签署方可以从其他任意签署方签名${\sigma '} = ({R_i},{S_i})$中提取其普通签名${\sigma _i}^{''} = ({R_i},S_i^{''})$，即${S_i}^{''} = {S_i} - {r_i}{P_{{\rm{pub}}}} ={S_i} -$${R_i} \cdot {x_{{\rm{pub}}}}$。

6.3   多方合同签署协议的安全性

在多方合同签署的过程中，系统的安全性由链上和链下同时保证，文中第4节安全性证明已证在区块链链下，各签署方签署聚合签名时的正确性和安全性。在区块链上部分，由区块链的性质保证了签署方所公开的临时密钥真实有效地上传至区块链，保证了链上部分的安全性。而所有签署方公开的仅为临时密钥，所以在合同签署的过程中，同时保证了所有签署者的隐私安全，也不影响其之前签署合同的有效性。

6.4   多方合同签署协议的公平性

多方合同签署的过程中的公平性主要体现在签署方是否是诚实的用户。

(1) 所有签署方均是诚实的用户，则各签署方在链下可以得到关于合同的聚合签名，在链上经过诚实地公开自己的临时私钥，各签署方获得所有参与者的临时私钥，即可得到共享密钥，由共享密钥可从聚合签名中提取普通签名；

(2) 签署方中存在不诚实的用户，若各签署方在链下签名时，存在未能正确签署的签名信息时，则不能通过签名验证，即签署合同失败。若各签署方在链上公开临时私钥时，存在不诚实的行为，未能诚信地公开临时私钥，则首个不诚实者失去所提交的保证金，这笔担保金将补偿给前面已公开临时私钥的签署方，后续签署者赎回担保金。

综上若多方合同签署的过程中，签署方诚实地执行合同签署的全过程，则合同签署成功。若存在不诚实的签署者，则合同签署失败，不诚实者将付出代价用以补偿已公开临时私钥的签署者。

6.5   多方合同签署协议的高效性

分析本协议的效率并与其它合同签署协议作比较，如表1所示。其中，$n$为签署方的数量，$e$为一次双线性对运算，$s$为$G$中1次标量乘运算，$h$为1次哈希运算。

表 1  本协议与现有协议比较

协议	签署方	第三方	签名验证次数	签名验证开销
文献[9]	2	√	2	$3e + 1s + 1h$
文献[10]	$n$	√	$n$	$(2n + 1)e + ns + nh$
文献[12]	$n$	–	1	$(4n + 1)e + (2n + 1)h$
本协议	$n$	–	1	$(3n + 2)s + 2nh$

下载: 导出CSV 

| 显示表格

由表1可以看出在这几个合同签署协议中文献[9]是两者在第三方的参与下签署合同，经过两次签名验证。文献[10,12]和本协议均是多方合同签署协议，文献[10]借助了第三方的参与，且验证次数和签署方的数目一致。文献[12]和本协议抛却第三方，直接是签署方直接签署合同，只验证1次聚合签名就可以。但是文献[9,10,12]均采用双线性对运算，而本协议采用离散对数运算。同等条件下耗时较少，运行1次双线性对约是模指数运算的2倍，是点乘运算的20倍^[15]。所以本协议大大提高了签名过程中的运算效率。

7.   结束语

本文提出一个高效的多方合同签署协议，利用区块链技术替换第三方参与的合同签署协议分为了链下和链上两部分，在保证安全性的前提下，用提高链下聚合签名算法的效率来提高整体合同签署的效率。但该协议理论上还存在其他的优化方式，这是接下来要研究的方向。