(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211241724.6 (22)申请日 2022.10.11 (71)申请人 北京无字天书科技有限公司 地址 100089 北京市海淀区西三环北路89 号4层A-01-54号 (72)发明人 封维端　袁峰　张立圆　 (74)专利代理 机构 北京知汉亭知识产权代理事 务所(普通 合伙) 16011 专利代理师 刘金龙 (51)Int.Cl. H04L 9/08(2006.01) (54)发明名称 密钥生成方法及相关方法、 计算机设备和存 储介质 (57)摘要 本发明提供一种密钥生 成方法， 同时提供相 关方法、 计算机设备和存储介质， 所述密钥生成 方法包括如下步骤： 一、 生成系统参数； 二、 基于 所述系统参数， 由第一通信方和第二通信方协同 工作生成用户签名私钥dsA、 用户签名主公钥 PpubsA并加密下发用户加密私钥deA。 通过本发明 可使得上述两个通信方协同生成签名密钥及计 算数字签名； 从而实现了移动终端用户在不需要 使用USBKey等硬件设备的情况下， 对用户签名密 钥的安全存储和使用。 本发明解决了在双KGC下， SM9签名私钥在云计算、 移动互联网等环境下移 动终端对用户签名密钥的安全 存储和使用管理。 权利要求书7页 说明书17页 附图1页 CN 115549904 A 2022.12.30 CN 115549904 A 1.密钥生成方法， 其特 征在于， 包括如下步骤： 一、 生成系统参数； 二、 基于所述系统参数， 由第一通信方和第二通信方协同工作生成用户签名私钥dsA、 用 户签名主公钥并加密下发用户加密私钥deA。 2.根据权利要求1所述的密钥生成方法， 其特 征在于， 所述步骤一包括如下步骤： S1.通过第一密钥生成中心 KGC1生成第一系统参数， 通过通过第二密钥生成中心 KGC2生 成第二系统参数， 其中， 所述第一系统参数包括第一签名主私钥ks1和第一签名主公钥Ppubs1， 以及第一加密主 私钥ke1和第一加密主公钥Ppube1， 所述第一签名主私钥ks1为随机整数， 且ks1∈[1， N‑1]， 其中N为素数， 设群G2是阶为N的 加法循环群， 则所述第一签名主公钥Ppubs1为群G2中的元素， 且满足 Ppubs1＝[ks1]×P2                     (1)， 所述第一加密主私钥ke1为随机整数， 且ke1∈[1， N‑1]， 设群G1是阶为N的加法循环群， 则所述第一加密主公钥Ppube1为群G1中的元素， 且满足 Ppube1＝[ke1]×P1                     (2)， 式(1)和(2)中， P1为群G1的生成元， P2为群G2的生成元， 方括号[ ]的含义代表椭圆曲线 上的倍点运算， 后面各等式 中方括号[]的含义均 与所述式(1)中方括 号[]的含义相同， 所述第二系统参数包括第二签名主私钥ks2和第二签名主公钥Ppubs2， 所述第二签名主 私钥ks2为随机整数， 且ks2∈[1， N‑1]， 且满足 Ppubs2＝[ks2]×P2                     (3)； S2.通过所述第一密钥生成中心KGC1和第二密钥生成中心KGC2分别计算得到公共主密 钥Ppubs， 其中 通过所述第一密钥生成中心KGC1计算Ppubs＝[ks1]×Ppubs2， 通过所述第二密钥生成中心KGC2计算Ppubs＝[ks2]×Ppubs1； S3.选择公共参数α， 所述公共参数α 为模N的二次非剩余； S4.将所述第一签名主公钥Ppubs1， 第一加密主 公钥Ppube1， 第二签名主 公钥Ppubs2， 公共主 密钥Ppubs和公共参数α 公开发布， 所述步骤二包括： 计算得到 h1＝H1(IDA||hid， N) 其中， H1(IDA||hid， N)为第一密码函数， IDA为用户标识， ||表示将数据的字节串合并， hid为函数识别符， 若h1是模N的平方元， 采取方法AA生成第一部分用户签名私钥dsA1、 第二部分用户签名 私钥dsA2、 第一用户签名主公钥PpubsA并加密下发所述用户加密私钥deA， 并且所述用户加密 私钥deA被分拆为第一部分用户加密私钥deA1、 第二部分用户加密 私钥deA2， 所述第一用户签 名主公钥PpubsA即为所述用户签名主公钥； 若h1不是模N的平方元， 采取方法BB生成第三部分用户签名私钥dsAA1、 第四部分用户签权　利　要　求　书 1/7 页 2 CN 115549904 A 2名私钥dsAA2、 第二用户签名主公钥PpubsAA并加密下发所述用户加密私钥deA， 并且所述用户 加密私钥deA被分拆为第三部分用户加密私钥deAA1、 第四部分用户加密私钥deAA2， 所述第二 用户签名主公钥PpubsAA即为所述用户签名主公钥。 3.根据权利要求2所述的密钥生成方法， 其特 征在于， 所述方法AA中， h1是模N的平方元， 即h1≡(h2)modN， ≡为同余号， 其中， x  mod y代表x对 y的求余运算， 且设h是h2的两个平方根中较大的一个， 所述方法A A包括步骤： A1、 所述第一 通信方向所述第二 通信方发送 协同生成密钥申请； A2、 所述第二通信方生成256比特的第一随机数dsA2， dsA2∈[1， N‑1]， 由P’1＝[(dsA2)‑ 1modN]×P1计算得到第一数据P ’1， 向所述第一通信方发送所述第一数据P ’1， 所述第二通信 方保存所述第一随机数dsA2作为所述第二 通信方的第二部分用户签名私钥； A3、 所述第一通信方生成256比特的第二随机数rA， rA∈[1， N‑1]， 由Q＝[rA]×P’1计算得 到第二数据Q， 所述第一通信方向所述第一密钥生成中心K GC1发送所述第一 数据P’1、 第二数 据Q和用户标识IDA； A4、 所述第一密钥生成中心KGC1接收到所述第一数据P ’1、 第二数据 Q和用户标识IDA后， 计算第一用户签名密钥生成数据和所述用户加密私钥deA， 所述第一用户签名密钥生成数 据包括s和T； A5、 所述第一通信方向所述第二密钥生成中心KGC2发送所述第一用户签名密钥生成数 据中的T， 所述第二密钥生成中心KGC2由 R＝[(h+ks2)‑1modN]×T 计算得到R， 并将R 发送给所述第一 通信方； A6、 所述第一 通信方由 dsA1＝P’1‑[(rA‑1×h1×s)modN]×R 计算得到所述第一 通信方的第一部分用户签名私钥dsA1； A7、 所述第一 通信方和第二 通信方分别由 PpubsA＝[h]×(Ppubs1+Ppubs2)+Ppubs 计算得到 所述第一用户签名主公钥PpubsA， 所述第一用户签名主公钥PpubsA即为所述用户 签名主公钥； A8、 所述第一通信方随机生成第二随机整数d1∈[1， N‑1]， 并计算D1＝[d1]×P2和deA1＝ D1+NdeA， 然后将第一私钥坐标加密数据E和D1发送给所述第二通信方， 保存deA1作为所述第 一通信方的第一部分用户加密私钥； A9、 所述第二 通信方利用 S’＝[(dsA2)‑1modN]×Ppube1 计算得到S ’， 设S’的坐标为(xS’， yS’)， 将xS’， yS’转换为字节串， 并计算k ’＝KDF(xS’|| yS’， 128)， 其中， KDF 是密钥派生 函数， k’是128比特的字节串； A10、 所述第二 通信方解密所述第一私钥坐标加密数据E得到 字节串： xde’A||yde’A＝SM4_DEC(k ’， E)， 将所述字节串xde’A||yde’A转换为域元素得到噪声化第一 用户加密私钥de ’A， 其中， SM4_DEC(k ’， E)表示使用SM4解密算法和128比特的密钥k ’， 对密 文明文E进行解密计算并输出明文； A11、 第二通信方利用权　利　要　求　书 2/7 页 3 CN 115549904 A 3