(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221013825 5.9 (22)申请日 2022.02.15 (71)申请人 北京无字天书科技有限公司 地址 100089 北京市海淀区西三环北路89 号4层A-01-54号 (72)发明人 封维端　袁峰　张立圆　 (74)专利代理 机构 北京知汉亭知识产权代理事 务所(普通 合伙) 16011 专利代理师 刘金龙 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/08(2006.01) (54)发明名称 签名密钥生成及相关方法、 系统、 计算机设 备和存储介质 (57)摘要 本发明提供一种签名密钥生成方法以及相 应的签名密钥生成系统、 数字签名生成方法、 数 字签名验证方法、 数字签名生成系统、 数字签名 验证系统、 计算机设备和计算机可读存储介质， 所述签名密钥生成方法包括： 通过第一密钥生成 中心KGC1和第二密钥生成中心KGC2： 生成系统参 数； 生成签名私钥和用户签名主公钥。 所述签名 密钥生成方法实现了用户对签名密钥的有效控 制， 解决了在单KGC下， KGC对用户签名密钥的完 全掌控， 即用户密钥的托管问题的安全问题。 权利要求书3页 说明书8页 附图1页 CN 114499887 A 2022.05.13 CN 114499887 A 1.签名密钥生成方法， 其特 征在于， 包括： 通过第一密钥生成中心KGC1和第二密钥生成中心KGC2： 生成系统参数； 生成签名私钥和用户签名主公钥。 2.根据权利要求1所述的签名密钥生成方法， 其特 征在于， 所述生成系统参数包括： 通过所述第一密钥生成中心KGC1生成第一签名主私钥ks1和第一签名主公钥Ppubs1； 通过所述第二密钥生成中心KGC2生成第二签名主私钥ks2和第二签名主公钥Ppubs2。 3.根据权利要求2所述的签名密钥生成方法， 其特 征在于， 所述第一签名主私钥ks1为随机整数， 且ks1∈[1， N‑1]， 其中N为素数； 设群G2是阶为N的 加法循环群， 则所述第一签名主公钥Ppubs1为所述群G2中的元素； 所述第二签名主私钥k s2为随机整数， 且 ks2∈[1， N‑1]， 其中， 所述第二签名主公钥Ppubs2 为所述群G2中的元素。 4.根据权利要求3所述的签名密钥生成方法， 其特 征在于， 所述第一签名主公钥Ppubs1满足 Ppubs1＝[ks1]×P2                     (1)， 式(1)中， P2为所述群G2的生成元， 方括号[ ]的含义代表椭圆曲线上的倍点运算， 方括 号[ ]中的数为整数， P2是椭圆曲线上的点， 后面各等式中的方括号[ ]与所述式(1)中方括 号[]的含义相同； 所述第二签名主公钥Ppubs2满足 Ppubs2＝[ks2]×P2                     (2)。 5.根据权利要求 4所述的签名密钥生成方法， 其特 征在于， 通过所述第一密钥生成中心KGC1计算公共主密钥Ppubs＝[ks1]×Ppubs2， 通过所述第二密钥生成中心KGC2计算公共主密钥Ppubs＝[ks2]×Ppubs1。 6.根据权利要求 4‑5任一项所述的签名密钥生成方法， 其特 征在于， 选择公共参数α， 所述公共参数α 为模N的二次非剩余， N为SM9中加法循环群G1和乘法循 环群GT的阶， 其中， 由所述第一密钥生成中心KGC1和第二密钥生成中心KGC2协商生成所述公共参数α 。 7.根据权利要求6所述的签名密钥生成方法， 其特 征在于， 公开发布所述第一签名主公钥Ppubs1、 第二签名主公钥Ppubs2、 公共主密钥Ppubs和公共参 数α 。 8.根据权利要求7 所述的签名密钥生成方法， 其特 征在于， 所述生成签名私钥和用户签名主公钥包括： 设定用户标识IDA； 利用 h1＝H1(IDA||hid， N) 计算得到h1， 其中， H1(IDA||hid， N)为密码函数， 其计算过程为把任意的用户标识IDA通 过函数H1映射为一个256比特的整数， ||表示将数据的字节串合并， hid为函数识别 符， hid权　利　要　求　书 1/3 页 2 CN 114499887 A 2由所述第一密钥生成中心KGC1和第二密钥生成中心KGC2协商选择并公开。 9.根据权利要求8所述的签名密钥生成方法， 其特 征在于， 若h1是模N的平方元， 即h1≡(h2)mod N， ≡为同余号， 其中， x  mod y代表x对y的求余运 算， 且设h是两个平方根中较大的一个， 则采用下列步骤： A1、 用户生成25 6比特的随机整数rA， rA∈[1， N‑1]， 再由 Q＝[rA]×P1 计算得到 数据Q， 然后用户向所述第一密钥生成中心KGC1发出申请和所述数据Q， 所述第 一密钥生成中心KGC1接收到所述申请和所述数据Q后， 生成256比特的随机整数r， r∈[1， N ‑ 1]， 由 s＝(r×(h+ks1)‑1)mod N 和T＝[r‑1mod N]×Q 计算得到数据s和T， 并将所述数据s和T发送给用户， 其中， P1是群G1的生成元， 所述申请 为生成用户签名私钥所需的数据的申请； A2、 用户向所述第二密钥生成中心KGC2发送所述数据T， 所述第二密钥生成中心KGC2由 R＝[(h+ks2)‑1mod N]×T 计算得到数据R， 并将所述数据R 发送给用户； A3、 用户由 dsA＝P1‑[(rA‑1×h1×s)mod N]×R计算得到第一用户签名私钥dsA； A4、 用户由 PpubsA＝[h]×Ppubs1+[h]×Ppubs2+Ppubs计算得到第一用户签名主公钥PpubsA。 10.根据权利要求8所述的签名密钥生成方法， 其特 征在于， 若h1是模N的非平方元， 则α h1是模N的平方元， 即α h1≡(hh2)×mod N， 且设hh是两个平方 根中较大的一个， 则采用下列步骤： B1、 用户生成25 6比特的随机整数r rA， rrA∈[1， N‑1]， 再由 QQ＝[rrA]×P1 计算得到 数据QQ， 然后用户向所述第一密钥生成中心KGC1发出申请和所述数据QQ， 所述 第一密钥生成中心KGC1接收到所述申请和所述数据QQ后， 生成256比特的随机整数rr， rr∈ [1， N‑1]， 由 ss＝(rr×(hh+ks1)‑1)mod N 和TT＝[rr‑1mod N]×QQ 计算得到数据ss和TT， 并将所述数据ss和TT发送 给用户， 其中， P1是群G1的生成元， 所述 申请为生成用户签名私钥所需的数据的申请； B2、 用户向所述第二密钥生成中心KGC2发送所述数据T T， 所述第二密钥生成中心KGC2由 RR＝[(hh+ks2)‑1mod N]×TT 计算得到数据R R， 并将所述数据R R发送给用户； B3、 用户由 dsAA＝P1‑[(rrA‑1×α×h1×ss)mod N]×RR计算得到第二用户签名私钥dsAA； B4、 用户由 PpubsAA＝[( α‑1×hh)mod N]×Ppubs1+[( α‑1×hh)mod N]×Ppubs2+[α‑1mod N]×Ppubs计算得权　利　要　求　书 2/3 页 3 CN 114499887 A 3