(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211242805.8 (22)申请日 2022.10.11 (71)申请人 北京无字天书科技有限公司 地址 100089 北京市海淀区西三环北路89 号4层A-01-54号 (72)发明人 封维端　袁峰　张立圆　 (74)专利代理 机构 北京知汉亭知识产权代理事 务所(普通 合伙) 16011 专利代理师 刘金龙 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/08(2006.01) (54)发明名称 签名密钥生 成方法及相关方法、 计算机设备 和存储介质 (57)摘要 本发明提供一种签名密钥生成方法， 还提供 相应的签名 密钥验证方法、 数字签名生成方法、 数字签名验证方法、 计算机设备和计算机可读存 储介质， 所述签名 密钥生成方法包括步骤： A、 设 定系统参数； B、 第一通信方和第二通信方合作生 成签名私钥， 得到所述第一通信方的子私钥D1和 所述第二通信方的子私钥D2， 并生成完整公钥 PA。 本发明提供的签名密钥生成方法， 使用两个 通信方以及密钥生成中心， 联合生成SM2私钥， 并 且由两个通信方分别存 储部分SM2私钥。 权利要求书3页 说明书6页 附图1页 CN 115549926 A 2022.12.30 CN 115549926 A 1.签名密钥生成方法， 其特 征在于， 包括 步骤： A、 设定系统参数； B、 第一通信方和第 二通信方合作生成签名私钥， 得到所述第一通信方的子私钥D1和所 述第二通信方的子私钥D2， 并生成完整公钥PA， 其中， 所述第一通信方、 第二通信方和密钥生成中心共享SM2算法的椭圆曲线参数E(Fq)、 G和 n， E(Fq)为定义在有限域Fq上的椭圆曲线， G表示E上阶为 n的基点， n 为素数。 2.如权利要求1所述的签名密钥生成方法， 其特 征在于， 所述步骤B包括下列步骤： 所述第一 通信方向所述第二 通信方发起私钥申请 请求； 所述第二通信方产生一个位于[1， n ‑1]之间的随机数ds， 并计算Us＝[ds]×G， 所述第二 通信方将Us发送给所述第一通信方， 所述签名密钥 生成方法的各计算式中， 方括号[ ]的含 义代表椭圆曲线上的倍 点运算； 所述第一 通信方产生 一个位于[1， n ‑1]之间的随机数rA， 并计算UA＝[rA‑1]×Us‑G； 所述第一 通信方将UA和标识IDA提交所述密钥生成中心； B5、 所述密钥 生成中心计算tA和声明公钥WA， 并将tA和声明公钥 WA发送给所述第一通信 方； 所述第一通信方计算ts≡(rA×tA)mod n， 并将ts发送给所述第二通信方， 所述第一通信 方设置自身的子私钥D1＝rA， x mod y代表x对y的求余运算； 所述第二 通信方计算自身的子私钥D2＝(ts+ds)‑1mod n； B8、 所述第一通信方保存所述声明公钥WA， 并选择根据所述声明公钥WA、 标识IDA、 系统 主公钥PPub生成所述完整公钥PA。 3.如权利要求2所述的签名密钥生成方法， 其特 征在于， 在所述步骤B5中， 所述密钥生成中心计算tA和所述声明公钥WA的过程包括如下步骤： B51、 所述密钥生成中心计算HA＝H256(ENTLA‖IDA‖xPub‖ yPub)， 其中ENTLA为2个字节表示的 所述标识IDA的字节长度， ||表示将数据的字节串合并， xPub， yPub为所述密钥生成中心的系 统主公钥PPub的坐标， H256为输出为25 6比特的杂凑函数； B52、 所述密钥生成中心产生随机数w∈[1， n ‑1]； B53、 所述密钥生成中心计算所述声明公钥WA＝[w]×G+UA； B54、 所述密钥生成中心将所述声明公钥WA的坐标xW、 yW的数据类型转换为比特串， 计算 λ＝H256(xW‖ yW‖ HA)mod n， 将 λ 的数据类型转换为整数； B55、 所述密钥生成中心计算tA＝(w+λ×ms)mod n。 4.如权利要求3所述的签名密钥生成方法， 其特 征在于， 在所述步骤B8中， 包括下列步骤： 按照所述 步骤B51‑B54计算得到 λ； 计算PA＝WA+[ λ ]×PPub。 5.如权利要求 4所述的签名密钥生成方法， 其特 征在于， 所述第一 通信方的完整私钥为dA＝(tA+dS×rA‑1‑1)mod n；权　利　要　求　书 1/3 页 2 CN 115549926 A 2所述完整公钥PA＝WA+[ λ ]×PPub＝[tA+dS×rA‑1‑1]×G； 所述第一 通信方和第二 通信方的子私钥D1和D2满足关系： D1×D2＝rA×(ts+ds)‑1mod n＝(1+dA)‑1mod n。 6.如权利要求2 ‑5任一项所述的签名密钥生成方法， 其特 征在于， 所述密钥生成中心生成系统主私钥m s和所述系统主公钥PPub， 其中， PPub＝[ms]×G。 7.签名密钥验证方法， 其特 征在于， 包括 步骤： 采用权利要求1 ‑6中任一项所述的签名密钥生成方法得到第一通信方的子私钥D1和第 二通信方的子私钥D2， 所述第一通信 方和第二通信 方使用各自的子私钥D1和D2验证声明公钥WA的有效性， 包 括如下步骤： 所述第一 通信方计算T1＝[ D1‑1 mod n]×G， 并发送T1给 所述第二 通信方； 所述第二 通信方计算T2＝[ D2‑1 mod n]×T1， 并发送T2给 所述第一 通信方； 所述第一 通信方计算T＝T2 ‑G， 并比较T和PA， 若相等， 则验证通过， 否则， 验证失败。 8.数字签名生成方法， 其特 征在于， 包括 步骤： 第一通信方对待签名消息原文m进行 预处理得到25 6比特的待签名数据e； 采用权利要求1 ‑6中任一项所述的签名密钥生成方法得到所述第一通信方的子私钥D1 和第二通信方的子私钥D2， 所述第一通信方和第二通信方使用各自的子私钥D1和D2， 按照如下步骤联合计算e的 签名值(r,s)： DD21、 所述第一 通信方产生随机数k1∈[1， n ‑1]， 并计算 Q1＝[k1] ×G； 所述第一 通信方将e和Q1 发送给所述第二 通信方； 所述第二 通信方产生随机数k2∈[1， n ‑1]， 并计算 Q2＝[k2] ×G； DD24、 所述第二通信方产生随机数k3∈[1， n ‑1]， 计算Q3＝[k3] ×Q1+Q2， 其中， +为椭圆 曲线中的点加运 算， 并且记Q3的坐标为(x1， y1)； 所述第二通信方计算r＝x1+e  mod n， 若r等于0， 则所述第二通信方返回所述步骤 DD24； 所述第二通信方计算s2＝(D2 ×k3)mod n， s3＝(D2 ×(r+k2))mod  n， 并将r、 s2和s3发 送所述第一 通信方； 所述第一通信方计算s＝((D1 ×k1)×s2+D1×s3‑r)mod n， 若s等于0或等于n ‑r， 则返 回所述步骤DD21； 所述第一 通信方将(r， s)作为完整签名输出。 9.数字签名验证方法， 其特征在于， 采用权利要求1 ‑6中任一项所述的签名密钥生成方 法对签名消息原文m m进行数字签名验证。 10.计算机设备， 其特征在于， 包括储存器、 第一处理器及储存在所述存储器上并可在 所述第一处理器上运行的第一计算机程序， 第一计算机程序被第一处理器执行时实现下列 方法的一种或几种： 权利要求1 ‑6中任一项所述的签名密钥生成方法；权　利　要　求　书 2/3 页 3 CN 115549926 A 3