(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211106606.4 (22)申请日 2022.09.13 (65)同一申请的已公布的文献号 申请公布号 CN 115208586 A (43)申请公布日 2022.10.18 (73)专利权人 中安网脉 （北京） 技 术股份有限公 司 地址 100071 北京市丰台区五圈南路3 0号 院1号楼B座8-10层 (72)发明人 刘歆　李智虎　王天顺　王亮　 (74)专利代理 机构 北京君有知识产权代理事务 所(普通合伙) 11630 专利代理师 焦丽雅 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/08(2006.01) (56)对比文件 CN 113765662 A,2021.12.07 CN 112686672 A,2021.04.20 审查员 吴俊杰 (54)发明名称 一种基于秘密分享的数字 签名方法及系统 (57)摘要 本发明公开了一种基于秘密分享的数字签 名方法及系统。 所述方法包括下列步骤： S1、 密钥 生成步骤， 包括： S1.1、 客户端安装签名服务， 所 述签名服务向服务端申请公钥； S1.2、 所述服务 端获取该申请， 根据预设阈值 （h， n） 创建n ‑1个密 钥服务， 并对 数字签名算法的公共参数进行初始 化； S1.3、 所述客户端的签名服务与所述n ‑1个密 钥服务执行密钥生成协议， 生成公钥P以及n ‑1个 私钥秘密份额； S2、 签名生成步骤； S3、 签名验证 步骤。 本发明提供了安全、 低成本的信息传输， 并 能够防止虚假用户得到秘密份额， 保证了数字信 息安全。 权利要求书3页 说明书5页 附图1页 CN 115208586 B 2022.12.30 CN 115208586 B 1.一种基于 秘密分享的数字签名方法， 其特 征在于， 包括下列步骤： S1、 密钥生成步骤， 包括： S1.1、 客户端安装签名服 务， 所述签名服 务向服务端申请公钥； S1.2、 所述服务端获取该申请， 根据预设阈值 （h， n） 创建n ‑1个密钥服务， 并对数字签名 算法的公共参数进行初始化； S1.3、 所述客户端 的签名服务与所述n ‑1个密钥服务执行密钥生成协议， 生成公钥P以 及n‑1个私钥秘密份额； S2、 签名生成步骤， 具体包括： S2.1、 所述 客户端的签名服 务向所述 服务端申请数字签名； S2.2、 所述服务端获取该申请， 创建n ‑1个密钥签名服务， 并载入对应的所述私钥秘密 份额； S2.3、 所述客户端与每个所述密钥签名服务执行改进可验证SM2门限签名协议， 通过多 项式秘密分享过程分享签名生成参数， 并广播验证参数； S2.4、 所述客户端的签名服务选取2s ‑2个密钥， 执行可验证SM2门限签名协议， 生成并 检验数字签名秘密份额， 获得2s ‑1个正确的数字签名秘密份额后， 由所述客户端生成数字 签名(r， s)； 或者可替换的， 所述 步骤S2、 签名生成步骤， 具体包括： S2.1 （2） 、 所述 客户端接收来自受限访问端发送的随机数 S2.2 （2） 、 所述 客户端基于所述随机数生成权限信息， 发送给 所述受限访问端 S2.3 （2） 、 受限访问端根据所述权限信息生成权限密钥 S2.4 （2） 、 受限客户端安装受限签名服 务， 受限签名服 务向服务端申请数字签名 S2.5 （2） 、 服 务端获取 该申请， 创建权限密钥签名服 务进程， 并载入权限密钥； S2.6 （2） 、 受限客户端与所述权限密钥签名服务执行改进可验证SM2门限签名协议， 通 过多项式秘密分享过程分享签名生成参数， 并广播验证参数； S2.7 （2） 、 受限客户端的受限签名服务选取权限密钥执行可验证SM2门限签名协议， 通 过后， 受限客户端生成数字签名(r， s)； S3、 签名验证步骤， 包括： S3.1、 所述客户端的签名服务向所述服务端请求开始签名验证， 所述服务端获得验证 请求， 创建签名验证服 务， 并载入初始参数 ｑ、 Ｅ、 Ｇ； S3.2、 所述服务端的签名验证服务检查数字签名(r， s)是否满足 ｒ， ｓ∈  ［1， ｑ－1］ 且 ｒ＋ ｓ≠ ｑ； 若满足参数 条件， 则计算基点: ( ｘ ＇ 1， ｙ ＇ 1)＝ ｓＧ＋  （ ｒ＋ ｓ ） Ｐ  ; 以及验证 签名值： ｒ＇ ＝ （Ｈ ａ ｓ ｈ  （ｍ） ＋ ｘ ＇ 1） ｍｏ ｄ  ｑ; 若 ｒ＇ 与 ｒ二 者相等则表明数字签名有效， 否则签名失效; S3.3、 所述 服务端将验证结果发送到所述 客户端。 2.根据权利要求1所述的一种基于秘密分享的数字签名方法， 其特征在于， 所述步骤 S1.3还包括： 对所述 n‑1个私钥秘密份额， 进行加密处 理， 获得n ‑1个私钥秘密份额密文；权　利　要　求　书 1/3 页 2 CN 115208586 B 2所述步骤S2.2中， 在载入对应的所述私钥秘密份额之前， 还包括载入对应的所述私钥 秘密份额密文， 并对其进行解密。 3.根据权利要求2所述的一种基于秘密 分享的数字签名方法， 其特征在于， 所述对所述 n‑1个私钥秘密份额， 进行加密处 理， 获得n ‑1个私钥秘密份额密文， 具体包括： 客户端获得服务端的n ‑1个密钥服务发送的第二公钥证书， 对所述n ‑1个私钥秘密份额 逐个进行如下的加密计算， 其中Ci  表示任一个私钥秘密份额： （1） 生成随机数k i1 ∈ [1,n1]， k i2 ∈ [1,n2]； （2） 计算 ； （3） 计算ai2= ci  ⊕ H1(ki1,ZA) 和w=H2(ki1,ci)； （4） 计算椭圆曲线上的点(x1,y1)=k i2G； （5） 计算ri=(x1+w)mod  n1 和  (ki2‑rdA)mod n1， 若ri=0， ri+ki1=0   或者si=0， 则返回 （1） ， 输出密文Ci ´=(ai1,ai2,ri,si)。 4.根据权利要求3所述的一种基于秘密 分享的数字签名方法， 其特征在于， 所述载入对 应的所述私钥秘密份额密 文， 并对其进 行解密， 具体包括， 所述服务端获得所述客户端发送 的第二公钥， 以及所述密文Ci ´=(ai1,ai2,ri,si)  ， 进行如下解密计算： （1） 根据服 务端的第二私钥d  计算： ； （2） 计算得 出分享份Ci= H1(ki1,ZA)  ⊕ ai2； （3） 计算 w=H2(ki1,Ci)， 并解出： v=(ri+si)  mod n1 ; （4） 计算(x1,y1)=[si] G+[v]PA （5） 验证Ri=(x1+w)mod  n1 是否等于ri， 若相等则可得到私钥秘密份额Ci， 若不相等则 解签失败。 5.一种基于秘密分享的数字签名系统， 其特征在于， 所述系统包括客户端、 服务端、 密 钥生成单 元、 签名生成单 元、 签名验证单 元； 所述密钥生成单 元用于执 行密钥生成功能， 包括： 所述客户端安装签名服 务， 所述签名服 务用于向服 务端申请公钥； 所述服务端获取该申请， 根据预设阈值 （h， n） 创建n ‑1个密钥服务， 并对数字签名算法 的公共参数进行初始化； 所述客户端 的签名服务与所述n ‑1个密钥服务执行密钥生成协议， 生成公钥P以及n ‑1 个私钥秘密份额； 所述签名生成单 元用于生成数字签名， 具体包括： 所述客户端的签名服 务向所述 服务端申请数字签名； 所述服务端获取 该申请， 创建n ‑1个密钥签名服 务， 并载入 对应的所述私钥秘密份额； 所述客户端与每个所述密钥签名服务执行改进可验证SM2门限签名协议， 通过多项式 秘密分享过程分享签名生成参数， 并广播验证参数； 所述客户端的签名服务选取2s ‑2个密钥， 执行可验证SM2门限签名协议， 生成并检验数 字签名秘密份额， 获得2s ‑1个正确的数字签名秘密份额后， 由所述客户端生 成数字签名(r，权　利　要　求　书 2/3 页 3 CN 115208586 B 3