(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211243282.9 (22)申请日 2022.10.11 (71)申请人 中安网脉 （北京） 技 术股份有限公司 地址 100071 北京市丰台区五圈南路3 0号 院1号楼B座8-10层 (72)发明人 刘歆　王亮　王天顺　 (74)专利代理 机构 北京君有知识产权代理事务 所(普通合伙) 11630 专利代理师 焦丽雅 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于密钥分割的协同签名系统及方法 (57)摘要 本发明公开了一种基于密钥分割的协同签 名系统及方法。 本发明采用密钥分割技术实现了 密钥分量在移动智能终端密码模块和服务器端 的独立生 成和独立存储； 在签名过程中采用协同 签名技术， 移动智能终端密码模块和服务器端使 用各自密钥分量分别计算各自的签名结果， 双方 交换中间签名结果， 最终由移动智能终端密码模 块合成完整数字签名， 解决了密钥分量在移动智 能终端安全 存储的难题。 权利要求书3页 说明书6页 附图2页 CN 115314205 A 2022.11.08 CN 115314205 A 1.一种基于密钥分割的协同签名系统， 其特征在于， 所述系统包括移动智能终端密码 模块、 协同签名服 务器、 密钥分量产生协议、 协同签名协议； 所述移动智能终端密码模块是软件密码模块， 用于向移动智能终端提供移动智能终端 密码服务， 包括终端密钥分量产生 服务、 终端密钥分量存 储服务、 终端协同签名服 务； 所述协同签名服务器配合所述移动智能终端密码模块提供服务器端密码服务， 包括服 务端协同签名服务、 服务端密钥分量产生服务、 服务端密钥分量存储服务， 所述协同签名服 务器包括物理密码卡， 所述物理密码卡与所述服务端协同签名服务之 间通过服务器端密钥 分量管理接口、 密码计算接口连接 。 2.根据权利要求1所述的一种基于密钥分割的协同签名系统， 其特征在于， 所述终端密 钥分量产生服务包括通过移动智能终端密码模块内置的SM2算法产生终端密钥分量， 具体 过程如下： 1） 产生终端私钥分量dA，dA [1,n−1]； 2） 计算参数D1，D1=[dA]G； 3） 向协同签名服 务器公开 IDA、 D1； 其中， IDA是终端身份标识。 3.根据权利要求1所述的一种基于密钥分割的协同签名系统， 其特征在于， 所述终端密 钥分量存储服务通过使用移动智能终端密码模块登录口令作为密钥， 采用SM4算法加密保 护终端密钥分量， 具体过程如下： 1） 用登录口令pas sword和盐值salt使用派生K1， K1=PBKDF(pas sword， salt) ； 2） 用K1加密保护 dA，ENCdA=SM4(K1, dA)； 3） 存储ENCdA。 4.根据权利要求1所述的一种基于密钥分割的协同签名系统， 其特征在于， 所述终端协 同签名服务在服务器端密钥分量产生后开始工作， 通过使用终端密钥分量计算终端的签名 中间结果， 并与服务器端交换中间签名结果， 最终由移动智能终端密码模块合成完整数字 签名。 5.根据权利要求4所述的一种基于密钥分割的协同签名系统， 其特征在于， 所述通过使 用终端密钥分量计算终端的签名中间结果， 并与服务器端交换中间签名结果， 最终由移动 智能终端密码模块 合成完整数字签名的具体过程包括： 1） 产生随机数kA1，kA1 [1,n−1]； 2） 产生随机数kA2，kA2 [1,n−1]； 3） 计算参数WA，WA=[kA1]UB+kA2G= ｛x,y｝; 4） 计算数据M的杂凑值e， e=HASH(M)； 5） 计算r， r=(e+x)mod  n； 6） 计算s2， s2=[dA‑1][kA1]mod n； 7） 计算s3， s3=(kA2+r)[dA‑1]mod n； 8） 向协同签名服 务器公开s2、 s3； 9） 在获取到服 务端协同签名服 务公开的t值后， 计算s值， s=t‑r； 10） 组成完整签名值 （r,s） 。权　利　要　求　书 1/3 页 2 CN 115314205 A 26.根据权利要求1所述的一种基于密钥分割的协同签名系统， 其特征在于， 所述的物 理 密码卡具有PCI ‑E接口， 用于实现服 务器端密钥分量产生、 存 储和密码计算。 7.根据权利要求1所述的一种基于密钥分割的协同签名系统， 其特征在于， 所述服务端 密钥分量产生 服务的具体过程 为： 1） 产生随机数d2，d2 [1,n−1]； 2） 计算参数D2，D2=[d2]G； 3） 计算服务器端密钥分量dB，dB=[d2+h·s]G； （h=Hash(D1||  D2||IDA)， 其中， Hash是SM3 密码杂凑算法， s是协同签名服 务器的私钥； 4） 计算完整公钥P， P=[dB]D1−G； 5） 产生随机数kB，kB [1,n−1]； 6） 计算参数UB，UB=[kB]G； 向终端公开UB， P。 8.根据权利要求1所述的一种基于密钥分割的协同签名系统， 其特征在于， 所述服务端 协同签名服务通过使用服务器端密钥分量计算签名中间结果， 并配合终端交换中间签名结 果， 最终由移动智能终端密码模块 合成完整数字签名， 具体过程 为： 1） 服务端计算t， t=([dB‑1][kB]s2+[dB‑1]s3)mod n； 2） 向终端公开t。 9.一种基于密钥分割的协同签名方法， 用于如权利要求1 ‑8任一项所述的系统， 其特征 在于， 所述方法包括下列步骤： （1） 移动智能终端密码模块发出密钥分量产生指令并将指令通知服务器端， 移动智能 终端密码模块 生成终端完整私钥的分量dA， 再计算并发布D1声明参数 给服务器端; （2） 服务器端在收到终端的密钥分量产生指令后， 产生终端完整私钥的分量dB， 再计算 并发布完整公钥P给终端， 这时双方均无法由己方生成和获得 的声明参数计算得到终端完 整私钥; （3） 移动智能终端密码模块发出协同签名申请给服务器端， 服务器端产生选取随机数 kB， 再计算并公开UB给终端； （4） 移动智能终端密码 模块在接受到服务器端反馈的UB后， 计算签名部分结果r， 计算并 公开签名中间结果s2、 s3给服 务器端; （5） 服务器端使用密钥分量dB并根据签名中间结果 s2、 s3， 计算并公开签名中间结果t给 终端; （6） 移动智能终端密码模块根据签名部分结果r和签名中间结果t， 计算得到完整 的数 字签名。 10.根据权利要求9所述的一种基于密钥分割的协同签名方法， 其特征在于， 所述步骤 （2） 具体包括： 1） 产生随机数d2，d2  [1,n−1]； 2） 计算参数D2，D2=[d2]G； 3） 计算服务器端密钥分量dB，dB=[d2+h·s]G； （h=Hash(D1||  D2||IDA)， 其中， Hash是SM3 密码杂凑算法， s是协同签名服 务器的私钥；权　利　要　求　书 2/3 页 3 CN 115314205 A 3