[发明专利]一种分布式门限签名的方法和装置

说明书

本申请公开了一种分布式门限签名的方法和装置，该方法包括：用户设备接收用户输入的口令；用户设备根据口令生成第一密钥份；用户设备根据第一密钥份生成消息的第一签名分量；用户设备分别向第一设备和第二设备发送第一签名分量，以便于第一设备根据第二密钥份和第一签名分量生成消息的第二签名分量，以便于第二设备根据第三密钥份、第一签名分量和第二签名分量生成消息的第四签名分量；用户设备接收第一设备发送的第三签名分量，第三签名分量是第一设备根据第四签名分量生成的；用户设备根据第三签名分量生成消息的完整签名。本申请提供的分布式门限签名的方法，使得用户设备无需保管密钥信息，从而取得生成数字签名的便携性。

技术领域

本申请涉及通信领域，并且更具体地，涉及一种分布式门限签名的方法和装置。

背景技术

椭圆曲线数字签名算法(elliptic curve digital signature algorithm，ECDSA)是目前主流的签名方案之一，其安全性依赖于椭圆曲线离散对数问题的困难性。相较于RSA(Rivest，Shamir，Adleman)加密算法，椭圆曲线密码体系可以使用更短的密钥达到更高的安全性。基于椭圆曲线的普通数字签名采用的是签名方独立完成签名的方式，这样不能够保证用于签名的私钥的安全性。门限密码(threshold cryptography)是解决上述问题的一种方法：将私钥拆分成n(n≥2)份，形成n个密钥份，分散保管到本地和服务器。当需要使用私钥做签名/解密时，t方(2≤t≤n)合作可完成相应的操作，而无需在任何一点重组私钥。门限密钥机制的优点是只要敌手没有攻破t个点，就无法还原得到私钥。学术界目前已经对两方门限ECDSA和多方门限ECDSA方案做出了许多研究，比先前设计的方案有更高的效率或安全性。

然而，当前基于椭圆曲线的分布式数字签名中，各方将密钥份存储于本地，当需要签名时，各方分别使用本地存储的密钥份联合生成消息m的签名。由于属于用户设备的密钥份需要存储于用户本地或服务器，用户设备在使用时无法取得生成数字签名的便携性。因此在分布式门限签名中，如何使得用户设备获得生成数字签名的便携性(portability)，是亟待解决的问题。

发明内容

本申请提供一种分布式门限签名的方法和装置，使得用户设备无需保管密钥信息，从而取得生成数字签名的便携性。

第一方面，提供了一种分布式门限签名的方法，该方法包括：用户设备接收用户输入的口令；该用户设备根据该口令生成第一密钥份(sk₀)；该用户设备根据该第一密钥份生成消息m的第一签名分量(R₀，c₀)；该用户设备向第一设备发送该第一签名分量，以便于该第一设备根据第二密钥份(sk₁)和该第一签名分量生成该消息m的第二签名分量(R₁，c₁)；该用户设备向第二设备发送该第一签名分量，以便于该第二设备根据第三密钥份(sk₂)、该第一签名分量和该第二签名分量生成该消息m的第四签名分量(R，c)；该用户设备接收第一设备发送的第三签名分量(R，c*)，该第三签名分量是该第一设备根据该第四签名分量(R，c)生成的；该用户设备根据该第三签名分量生成该消息m的完整签名(R，s)。

因此，在本申请实施例的技术方案中，用户设备根据用户输入的口令生成的第一密钥份，并与存储第二密钥份的第一设备和存储第三密钥份的第二设备分别通信，生成消息m的完整签名，使得用户设备在不存储密钥份的情况下，生成消息m的完整签名，从而能够取得生成数字签名的便携性。

应理解，当生成消息m的完整签名后，用户设备可以将带有完整签名的消息m发送给任何需要的设备，而接收到该消息的设备，可以利用已经获取的用户设备的公钥来验证接收到的签名的合法性，关于验证的过程可以参考现有技术，在此不再详述。

应理解，在用户设备将带有完整签名的消息m发送给需要接收的设备之前，用户设备和接收消息的设备已经完成了密钥协商，即接收消息的设备已经获得了用户设备的公钥，关于两设备密钥协商的过程也可以参考现有技术。