(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114205081A(43)申请公布日2022.03.18(21)申请号202111466500.0(22)申请日2021.12.03(71)申请人中国科学院大学地址100049北京市石景山区玉泉路19号（甲）(72)发明人荆继武王平建王跃武王鹏雷灵光刘丽敏孙思维寇春静(74)专利代理机构北京君尚知识产权代理有限公司11200代理人司立彬(51)Int.Cl.H04L9/08(2006.01)H04L9/30(2006.01)H04L9/32(2006.01)权利要求书1页说明书5页附图2页(54)发明名称一种保护用户隐私的盲协同签名方法(57)摘要本发明公开了一种保护用户隐私的盲协同签名方法，其步骤包括：发起方和服务方分别生成各自的密钥对(d1,P1)和(d2,P2)，发起方获得服务方的部分公钥P2并根据P2生成用户A的公钥PA；其中发起方为用户A所在的终端；发起方向服务方发起盲协同签名请求；服务方收到所述盲协同签名请求后生成临时私钥k2，并计算对应的公钥Q2，将Q2发送给发起方；发起方计算待签名消息M的摘要e，产生随机数k1,k3，并根据e、Q2、k1、k3和P2生成临时签名第一部分r1，将r1发送给服务方；服务方根据d2、k2和r1计算临时签名第二部分s2后返回给发起方；发起方根据d1、k1、s2和r得到最终的签名(r,s)。CN114205081ACN114205081A权利要求书1/1页1.一种保护用户隐私的盲协同签名方法，其步骤包括：1)发起方和服务方分别生成各自的密钥对(d1,P1)和(d2,P2)，发起方获得服务方的部分公钥P2并根据P2生成用户A的公钥PA；其中，发起方为用户A所在的终端；2)发起方向服务方发起盲协同签名请求；服务方收到所述盲协同签名请求后生成临时私钥k2，并计算对应的公钥Q2，将Q2发送给发起方；3)发起方计算待签名消息M的摘要e，产生随机数k1,k3，并根据e、Q2、k1、k3和P2生成临时签名第一部分r1，将r1发送给服务方；服务方根据d2、k2和r1计算临时签名第二部分s2后返回给发起方；发起方再根据d1、k1、s2和r计算并输出最终的签名(r,s)。2.根据权利要求1所述的方法，其特征在于，所述公钥Q2的生成方法为：产生随机数k2∈[1,n‑1]作为临时私钥，然后计算椭圆曲线点Q2＝[k2]G作为所述公钥Q2。3.根据权利要求2所述的方法，其特征在于，根据e、Q2、k1、k3和P2生成r1的方法为：31)发起方验证Q2是否满足椭圆曲线方程，若不满足则结束协同签名；如果满足则计算消息M的摘要e，将e的数据类型转换为整数；32)产生随机数k1,k3∈[1,n‑1]，计算椭圆曲线点(x1,y1)＝[k1]P2+Q2+[k3]G，将x1数据类型转换为整数；然后计算r＝(e+x1)modn，33)如果r＝0或者r+k3＝n，则返回步骤32)；否则计算r1＝(r+k3)modn。‑14.根据权利要求1所述的方法，其特征在于，服务方计算s2的方法为：s2＝(d2·(k2+r1))modn。5.根据权利要求1所述的方法，其特征在于，所述签名(r,s)的生成方法为：发起方计算‑1s＝(d1·(k1+s2)‑r)modn，如果s＝0或s+r＝n则结束协同签名或返回步骤2)；否则使用公钥PA验证签(r,s)是否为消息M的签名，如果不是则签名失败；否则输出(r,s)作为消息M的签名。6.根据权利要求1所述的方法，其特征在于，公钥PA＝[d1]P2‑G。2CN114205081A说明书1/5页一种保护用户隐私的盲协同签名方法技术领域[0001]本发明涉及密码领域，特别涉及适用于需要保护用户隐私的盲协同签名方法。背景技术[0002]基于公钥密码学的数字签名技术已经广泛应用于电子商务、身份认证、数字票据等应用中，而私钥的生成及使用的安全性是保证数字签名安全的基础，而硬件密码模块(如U盾等)和移动终端已成为个人身份凭证中的重要载体，但存在容易被盗和丢失的风险。另一方面，针对移动终端的攻击越来越多，许多恶意应用能够窃取用户存储在终端上的私有数据，攻击终端与服务器的通信，因此亟需解决移动终端上的密钥存储和计算安全。基于密钥拆分和协同计算的协同签名技术，在易于推广部署的同时，还能够满足签名私钥的保护要求。[0003]为了便于理解，我们下面将发起协同签名的一方称为发起方，另一方称为服务方。在已有专利《一种支持信息隐藏的协同签名方法与系统》(申请公布号CN110535635A)中公开了一种支持信息隐藏的协同签名方法与系统，其特点是：发起方不会将待签名消息的明文、摘要信息或最终签名泄露给服务方，有效地保护了用户隐私信息。但是该方案存在如下不足：[00