(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211046668.0 (22)申请日 2022.08.30 (71)申请人 云海链控股 股份有限公司 地址 571925 海南省海口市 老城高新 技术 产业示范区海南生态软件园沃克公园 8831栋 (72)发明人 程一帆　于昇　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 王洋 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 一种协同签名方法、 系统、 设备及计算机可 读存储介质 (57)摘要 本申请公开了一种协同签名方法、 系统、 设 备及计算机可读存储介质， 应用于第一签名方， 生成第一随机数， 并基于第一随机数生成第一公 钥分片； 获取第二签名方生成的第二公钥分片； 传输第一公钥分片至第二签名方获取待签名的 目标消息， 并计算目标消息的哈希值； 生成第三 随机数， 并基于第一公钥分片 对第三随机数进行 运算， 生成第一数值； 获取第二签名方生成的第 二数值； 基于哈希值、 第一数值及第二数值生成 第一签名结果， 并传输第一数值、 第一签名结果 至第二签名方， 以使第二签名方基于第一签名结 果生成目标消息的目标签名结果。 本申请在生成 公钥和后续签名过程中， 不出现完整私钥， 增强 了私钥的安全性， 进而增强了协同签名方法的安 全性。 权利要求书3页 说明书9页 附图3页 CN 115442052 A 2022.12.06 CN 115442052 A 1.一种协同签名方法， 其特 征在于， 应用于第一签名方， 包括： 生成第一随机数， 并基于所述第一随机数生成自身的第一公钥分片； 获取第二签名方基于第二随机数生成的第二公钥分片； 传输所述第 一公钥分片至所述第 二签名方， 以使所述第 二签名方基于所述第 一公钥分 片及所述第二公钥分片生成目标公钥； 获取待签名的目标消息， 并计算所述目标消息的哈希值； 生成第三随机数， 并基于所述第一公钥分片对所述第三随机数进行运算， 生成第一数 值； 获取所述第二签名方基于所述第二公钥分片或所述目标公钥对第四随机数进行运算 后生成的第二数值； 基于所述哈希值、 所述第一数值及所述第二数值生成第一签名结果， 并传输所述第一 数值、 所述第一签名结果至所述第二签名方， 以使所述第二签名方基于所述第一签名结果 生成所述目标消息的目标签名结果。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述第 一随机数生成自身的第 一 公钥分片， 包括： 通过第一 运算公式， 基于所述第一随机数生成自身的所述第一公钥分片； 所述第一 运算公式包括： Q1＝d1·G； 其中， Q1表示所述第一公钥分片； d1表示所述第一随机数； G表示SM2算法的生成元； 所述传输所述第一公钥分片至所述第二签名方之后， 还 包括： 通过第二 运算公式， 基于所述第一随机数及所述第二公钥分片生成所述目标公钥； 所述第二 运算公式包括： Q＝d1·Q2‑G； 其中， Q表示所述目标公钥； Q2表示所述第二公钥分片， 且Q2＝d2·G， d2表示所述第二随 机数； 其中， 所述计算所述目标消息的哈希值， 包括： 通过第三 运算公式， 计算所述目标消息的所述哈希值； 所述第三 运算公式包括： e＝hash(Z| |M)； 其中， e表示所述哈希值； hash表示哈希运算； Z表示用户身份标识符、 SM2椭圆曲线参数 和公钥坐标的哈希值； M表示所述目标消息； 所述基于所述第一公钥分片对所述第三随机数进行运 算， 生成第一数值， 包括： 通过第四运算公式， 基于所述第一公钥分片对所述第三随机数进行运算， 生成所述第 一数值； 所述第四运 算公式包括： R1＝k1·Q1； 其中， R1表示所述第一数值； k1表示所述第三随机数； 所述基于所述哈希值、 所述第一数值及所述第二数值 生成第一签名结果， 包括： 生成R＝R1+R2＝(rx,ry)， r＝rx+e mod q；权　利　要　求　书 1/3 页 2 CN 115442052 A 2若r≠0且R+r ·G≠0， 则通过第一生成公式， 基于所述哈希值、 所述第一数值及所述第 二数值生成所述第一签名结果； 否则， 请求重新 开始签名协议； 所述第一 生成公式包括： 其中， s1表示所述第一签名结果； q表示所述SM2算法中循环群的阶； R2表示所述第二数 值， R2＝k2·Q1或R2＝k2·Q。 3.根据权利要求2所述的方法， 其特征在于， 所述获取第 二签名方基于第 二随机数生成 的第二公钥分片， 包括： 获取所述第二签名方使用经Fiat ‑shamir转换后的schnorr算法计算的二元关系(Q2, d2)的离散对数非交 互式零知识证明π2； 验证 π2是否是正确的证明； 若 π2是正确的证明， 则获取 所述第二公钥分片； 若 π2不是正确的证明， 则中止协议。 4.根据权利要求3所述的方法， 其特征在于， 所述传输所述第 一公钥分片至所述第 二签 名方， 包括： 生成第五随机数， 并基于 所述第五随机 数、 所述第一公钥分片计算得到第一杂凑值t1＝ H(Q1； σ1)， 其中， H表示杂凑运 算； 使用经Fiat ‑shamir转换后的所述schnorr算法计算二元关系(Q1,d1)的离散对数非交 互式零知识证明π1； 发送t1及π1至所述第二签名方， 以使所述第二签名方在验证t1＝H(Q1； σ1)且π1是正确的 证明后获取 所述第一公钥分片。 5.根据权利要求4所述的方法， 其特征在于， 所述获取所述第 二签名方基于所述第 二公 钥分片或所述目标公钥对第四随机数进行运 算后生成的第二数值， 包括： 获取所述第二签名方计算得到的二元关系(R2,k2)的离散对数非交 互式零知识证明π3； 验证 π3是否是正确的证明； 若 π3是正确的证明， 则获取 所述第二数值； 若 π3不是正确的证明， 则中止协议。 6.根据权利要求5所述的方法， 其特征在于， 所述传输所述第一数值、 所述第一签名结 果至所述第二签名方， 包括： 生成第六随机数， 并基于所述第六随机数、 所述第一数值计算得到第二杂凑值t1'＝H (R1； σ1')； 计算二元关系(R1,k1)的离散对数非交 互式零知识证明π4； 向所述第二签名方发送t1'及( π4,R1, σ'1,s1)， 以使所述第二签名方在验证t1'＝H(R1； σ1')且 π4是正确的证明后获取 所述一数值及所述第一签名结果。 7.根据权利要求6所述的方法， 其特征在于， 所述传输所述第一数值、 所述第一签名结 果至所述第二签名方， 以使所述第二签名方基于所述第一签名结果生成所述目标消息的目 标签名结果， 包括： 传输所述第 一数值、 所述第 一签名结果至所述第 二签名方， 以使所述第 二签名方生成R ＝R1+R2＝(rx,ry)， r＝rx+e mod q、 且在r≠0、 R+r ·G≠0及未收到重新开始签名协议的请求权　利　要　求　书 2/3 页 3 CN 115442052 A 3