[发明专利]一种基于椭圆曲线的通信双方协同签名和解密方法与系统

权利要求书

1.一种基于ECDSA算法的通信双方协同签名方法，所述通信双方包括第一通信方和第二通信方，所述第一通信方和所述第二通信方共享ECDSA算法椭圆曲线E和E上阶数为n的基点G，其特征在于，所述方法包括以下步骤：包括协同生成公钥阶段和协同签名阶段，

所述协同生成公钥阶段包括：

S101、所述第一通信方产生随机数d₁∈[1,n-1]，把d₁作为所述第一通信方的子私钥；根据d₁和基点G计算得到椭圆曲线点P₁=[d₁]G，即为第一部分公钥P₁，并将P₁发送给所述第二通信方；

S102、所述第二通信方产生随机数d₂∈[1,n-1]，把d₂作为所述第二通信方的子私钥；根据d₂和基点G计算得到椭圆曲线点P₂=[d₂]G，即为第二部分公钥P₂；根据d₂、P₂和接收到的P₁计算得到完整的公钥P = P₁+P₂+[d₂]P₁，并公开P；

所述协同签名阶段包括：

S201、所述第一通信方对待签名消息M使用预定的杂凑函数,得到消息摘要e；

S202、所述第一通信方产生随机数k₁,b₁∈[1,n-1]，根据k₁和基点G生成第一部分签名W₁ = [k₁]G, 根据b₁和基点G生成第二部分签名W₂ = [b₁]G,并将e、W₁和W₂发送给所述第二通信方；

S203、所述第二通信方产生随机数k₂,b₂∈[1,n-1]，根据k₂和接收到的W₁计算椭圆曲线点W = [k₂]W₁，W的坐标为（x₁,y₁），根据W计算得到第三部分签名r = x₁ mod n，并在r=0时返回步骤S202；

S204、所述第二通信方根据b₂和基点G生成第四部分签名W₃ = [b₂]G；根据b₂和接收到的W₂计算椭圆曲线点T = [b₂]W₂, T的坐标为（x₂,y₂），根据T计算得到过程随机数k₃ = x₂ modn；根据r、d₂、k₃、k₂以及接收到的e，计算得到第五部分签名s₁ = k₂^-1(e+d₂r) mod n和第六部分签名s₂ = k₃k₂^-1(1+d₂) mod n,并将r、W₃、s₁、s₂发送给所述第一通信方；

S205、所述第一通信方根据b₁和接收到的W₃计算椭圆曲线点T＇= [b₁]W₃，T＇的坐标为(x₂＇,y₂＇)，根据T＇计算得到过程随机数k₃＇= x₂＇mod n；根据r、s₁、s₂、k₃＇和d₁计算得到签名分量s = (k₁^-1s₁+ k₃＇^-1k₁^-1d₁s₂r) mod n；若s=0则返回步骤S202，否则第一通信方输出消息M和完整的签名（r，s）；

其中，以[k]G的形式表示椭圆曲线E上点G的k倍点，以k^-1的形式表示k的逆元k^-1mod n，k是正整数；mod n表示模n运算。