(t,n)签名方案，能够识别签名过程中的恶意攻击者。但是，这里仍然有一个问题。我们无法保证不会有t+1个参与者合谋作恶，而且当时作恶发生后，我们无法确定哪些人参与了作恶。本文提出了一种改进方案，能够从签名中获知哪些人参与了签名。, D/ ^' D5 B1 q; b
6 n6 }9 `1 K( m9 z$ E' J$ F
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。% o$ G, [$ B( m5 y: w
一、数字签名标准; P$ f, q% h, @$ t, e+ N
私钥生成 在Zq上随机选择私钥x及xi，计算循环群G上的公钥及，i=1,2,…,n-t-1。
! }  M. b* ^8 y$ `. H签名 对任意消息M，4 Z9 l7 D- y# n. G( w8 f
-计算
* x7 U; A2 o  f0 ^-选择，i=1,2,…,n-t-1
) D8 e( a% k7 j9 s-在G上计算
2 N) A: {+ Z! ~9 L1 Y0 ?/ K1 P4 h-计算( E) f0 Z) q, y. L1 O
-输出" b4 ]4 _8 R' m. T
验证 对输入M，σ,y和yi，i=1,2,…,n-t-1，) G% P! i2 B& A% \$ u! y6 U+ G
-检查，i=1,2,…,n-t-1
2 N# U2 w/ g* X) w5 A-在G上计算, o6 d, Z9 y( ?' {. \$ n, m
-接受（输出1）当且仅当
- s6 t2 G; T: o二、私钥生成协议  O- B: y- R! ?  J; T& b
阶段 1 每一个参与者Pi选择；计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。
: i* U6 x, D$ Q$ z; z1 D$ u每一个参与者Pi选择；计算并广播KGCi,j。这里j=1,2,…,n-t-1。  W) t7 `- M0 H
阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。0 _1 h" S6 {4 D
计算公钥及，j=1,2,…,n-t-1。2 H9 e8 F8 c& c2 A' Y2 s
将作为种子，使用公开的随机数生成算法生成一组伪随机数，j=1,2,…,n-t-1。. u( Q" M' {& U- n5 \) M& ]2 q- D
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。
0 [' M8 o; A3 h' |1 x: t每一个参与者Pi计算，将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi，计算并公开。
! Q% ?3 ~5 `0 g( B! \根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:7 Z* R$ j4 P; j+ a; u; C( K

9 k7 r( q6 n0 U% w8 m% N6 g( i阶段 3 与文献[1]相同。  d/ P. ]# B2 u. d
三、签名协议
' \$ K$ m" f4 ~" V0 @) y阶段 4 ，这里。
- g( x+ g8 J% [/ l5 l4 |; ^5 o阶段 5 中止条件为。
5 C* ^( ^0 \& Z: q$ a其它部分与文献[1]相同。