(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210839350.1 (22)申请日 2022.07.14 (71)申请人 中国科学技术大学 地址 230026 安徽省合肥市包河区金寨路 96号 (72)发明人 林璟锵　 (74)专利代理 机构 中科专利商标代理有限责任 公司 11021 专利代理师 孙蕾 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/08(2006.01) (54)发明名称 基于变化因子的协作式数字签名的计算方 法及装置 (57)摘要 本公开提供了一种基于变化因子的协作式 数字签名的计算方法及装置， 涉及密码领域。 该 数字签名的计算方法包括： 响应于原始待签名信 息的计算操作完成， 确定原始子私钥D1 ’和第一 变化因子W1； 将第一变化因子W1发送给第二通信 方； 接收来自于第二通信方的第二变化因子W2； 利用第一变化因子W1和第二变化因子W2， 对原始 子私钥D1 ’进行处理， 得到当前子私钥D1； 利用当 前子私钥D1对当前待签名信息M进行计算， 得到 第一签名结果S1； 将第一签名结果S1发送给第二 通信方； 接收来自于第二通信方的第二签名结果 S2； 以及利用当前子私钥D1、 第一签名结果S1和 第二签名结果S2对当前待签名信息M进行计算， 得到签名结果S。 权利要求书4页 说明书17页 附图9页 CN 115225284 A 2022.10.21 CN 115225284 A 1.一种基于变化因子的协作式数字签名的计算方法， 应用于第一 通信方， 包括： 响应于原始待签名信息的计算操作完成， 确定原始子私钥D1 ’和第一变化因子W1， 其 中， 所述原 始子私钥D1 ’用于对所述原 始待签名信息进行计算； 将所述第一变化因子W1 发送给第二 通信方； 接收来自于第二 通信方的第二变化因子W2； 利用所述第一变化因子W1和所述第二变化因子W2， 对所述原始子私钥D1 ’进行处理， 得 到当前子私钥D1； 利用所述当前子私钥D1对当前待签名信息 M进行计算， 得到第一签名结果S1； 将所述第一签名结果S1 发送给所述第二 通信方； 接收来自于所述第二 通信方的第二签名结果S2； 以及 利用所述当前子私钥D1、 所述第一签名结果S1和所述第二签名结果S2对所述当前待签 名信息M进行计算， 得到签名结果S。 2.根据权利要求1所述的方法， 其中， 所述数字签名的计算方法基于椭圆曲线公钥密码 算法； 所述响应于原始待签名信息的计算操作完成， 确定原始子私钥D1 ’和第一变化因子W1 包括： 响应于原始待签名信息的计算操作完成， 生成第一随机数k1， 其中， 所述第一随机数k1 属于(， 1， n ‑1)， n表示椭圆曲线的阶； 以及 将所述第一随机数k1确定为所述第一变化因子W1； 所述利用所述第一变化因子W1和所述第二变化因子W2， 对所述原始子私钥D1 ’进行处 理， 得到当前子私钥D1包括： 根据所述第一变化因子W1、 所述第二变化因子W2和所述原始子私钥D1 ’， 计算V1， 其中， V1＝(D1’*W1‑1*W2)mod n， *表示整数乘法运 算， W1‑1表示W1模n的逆元； 以及 将V1确定为所述当前子私钥D1。 3.根据权利要求1所述的方法， 其中， 所述数字签名的计算方法基于椭圆曲线公钥密码 算法； 所述响应于原始待签名信息的计算操作完成， 确定原始子私钥D1 ’和第一变化因子W1 包括： 响应于原始待签名信息的计算操作完成， 生成第一随机数k1， 其中， 所述第一随机数k1 属于(1， n ‑1)， n表示椭圆曲线的阶； 以及 将所述第一随机数k1确定为所述第一变化因子W1； 所述利用所述第一变化因子W1和所述第二变化因子W2， 对所述原始子私钥D1 ’进行处 理， 得到当前子私钥D1包括： 根据所述第一变化因子W1、 所述第二变化因子W2和所述原始子私钥D1 ’， 计算U1， 其中， U1＝(((D1’+1)*W1*W2‑1)‑1)mod n， *表示整数乘法运 算， W2‑1表示W2模n的逆元； 以及 将U1确定为所述当前子私钥D1。 4.根据权利要求1所述的方法， 其中， 所述数字签名的计算方法基于椭圆曲线公钥密码 算法； 所述响应于原始待签名信息的计算操作完成， 确定原始子私钥D1 ’和第一变化因子W1权　利　要　求　书 1/4 页 2 CN 115225284 A 2包括： 响应于原始待签名信息的计算操作完成， 生成第一随机数k1， 其中， 所述第一随机数k1 属于(1， n ‑1)， n表示椭圆曲线的阶； 以及 将所述第一随机数k1确定为所述第一变化因子W1； 所述利用所述第一变化因子W1和所述第二变化因子W2， 对所述原始子私钥D1 ’进行处 理， 得到当前子私钥D1包括： 根据所述第一变化因子W1、 所述第二变化因子W2和所述原始子私钥D1 ’， 计算J1， 其中， J1＝(D1’+W1‑W2)mod， mod  n表示模n运算， +表示整数加法运算或者椭圆曲线 点加法运算， ‑ 表示整数减法运 算或者椭圆曲线点减法运 算； 以及 将J1确定为所述当前子私钥D1。 5.根据权利要求2所述的方法， 其中， 所述利用待签名信 息和所述当前子私钥D1对当前 待签名信息 M进行计算， 得到第一签名结果S1包括： 生成第三随机数k3， 其中， 所述第三随机数k3属于(1， n ‑1)， n表示椭圆曲线的阶； 计算Q1， 其中， Q1＝[k3]G， G表示椭圆曲线的基点， [k3]G表示椭圆曲线的基点G的k3倍 点运算； 以及 将Q1确定为所述第一签名结果S1； 所述利用所述当前子私钥D1、 所述第一签名结果S1和所述第二签名结果S2对所述当前 待签名信息 M进行计算， 得到签名结果S包括： 接收来自于所述第二 通信方的S ’和r； 计算s， 其中， s＝(D1*(k3+S ’)‑r)mod n； 以及 在s不等于零且s不等于n ‑r的情况下， 将(r， s)确定为所述当前待签名信息M的签名结 果S。 6.根据权利要求3所述的方法， 其中， 所述利用所述当前子私钥D1对待签名信息M进行 计算， 得到第一签名结果S1包括： 生成第三随机数k3， 其中， 所述第三随机数k3属于(1， n ‑1)， n表示椭圆曲线的阶； 计算Q1， 其中， Q1＝[k3]G， G表示椭圆曲线的基点， [k3]G表示椭圆曲线的基点G的k3倍 点运算； 以及 将Q1确定为所述第一签名结果S1； 所述利用所述当前子私钥D1、 所述第一签名结果S1和所述第二签名结果S2对所述当前 待签名信息 M进行计算， 得到签名结果S包括： 接收来自于所述第二 通信方的S ’、 S”和r； 计算s， 其中， s＝((D1+1)*S ’+(D1+1)*k3*S ” ‑r)mod n， +表示整数加法运算或者椭圆曲 线点加法运 算，‑表示整数减法运 算或者椭圆曲线点减法运 算； 以及 在s不等于零且s不 等于n‑r的情况下， 将(r， s)确定为所述待签名信息 M的签名结果S。 7.根据权利要求4所述的方法， 其中， 所述利用所述当前子私钥D1对待签名信息M进行 计算， 得到第一签名结果S1包括： 生成第三随机数k3， 其中， 所述第三随机数k3属于(1， n ‑1)， n表示椭圆曲线的阶； 计算Q1， 其中， Q1＝[k3](G+P)， G表示椭圆曲线的基点， P表示公钥， [k3](G+P)表示(G+ P)的k3倍 点运算； 以及权　利　要　求　书 2/4 页 3 CN 115225284 A 3