[发明专利]一种基于ECDSA算法的两方协同签名方法和装置

权利要求书

1.一种基于ECDSA算法的两方协同签名方法，包括公钥生成阶段和协同签名阶段，其中所述公钥生成阶段包括以下步骤：

S1、第一通信方生成自身的子私钥，基于自身的子私钥计算出部分公钥，并将所述部分公钥发送给第二通信方；

S2、第二通信方生成自身的子私钥，基于自身的子私钥和接收到的所述部分公钥，计算出完整公钥并公开；

所述协同签名阶段包括以下步骤：

S3、第一通信方计算待签名消息的消息摘要，基于自身的子私钥生成第一部分签名，并将所述消息摘要和所述第一部分签名发送给第二通信方；

S4、第二通信方根据接收到的所述消息摘要、所述第一部分签名和自身的子私钥计算出第二部分签名，并将所述第二部分签名发送给第一通信方；

S5、第一通信方根据子私钥和接收到的所述第二部分签名生成完整签名并输出。

2.根据权利要求1所述的基于ECDSA算法的两方协同签名方法，其特征在于，所述完整公钥的计算方法具体为：

第一通信方产生随机数d₁∈[1，n-1]，作为自身的子私钥，根据子私钥d₁计算部分公钥P₁＝d₁[*]G，其中，G为ECDSA算法椭圆曲线的基点，n为基点的阶数；

第二通信方产生随机数d₂∈[1，n-1]和d₃∈[1，n-1]，作为自身的子私钥，根据子私钥d₂、d₃和接收到的部分公钥P₁计算完整公钥P＝d₂[*]P₁+d₃[*]G；

若P＝O，则重新生成随机数，否则将P作为完整公钥公开，其中O为所述椭圆曲线的无穷远点。

3.根据权利要求2所述的基于ECDSA算法的两方协同签名方法，其特征在于，步骤S3中所述计算待签名消息的消息摘要和第一部分签名的计算方法分别为：

第一通信方对于待签名的消息M，计算消息摘要e＝H(M)，输出具有不超过n的比特长度，其中H()表示预定的密码杂凑函数；

第一通信方产生随机数k₁∈[1，n-1]，根据k₁计算第一部分签名Q₁＝k₁[*]G。

4.根据权利要求3所述的基于ECDSA算法的两方协同签名方法，其特征在于，步骤S4中所述第二部分签名的计算方法具体为：

第二通信方产生随机数k₂∈[1，n-1]，根据k₂和接收到的所述第一部分签名Q₁计算Q₂＝k₂[*]Q₁＝(x₁，y₁)，r＝x₁mod n；

若r＝0，则重新生成随机数；

若r≠0，则第二通信方计算s₁＝k₂^-1d₂r mod n，s₂＝k₂^-1(e+d₃r)mod n，得到第二部分签名r、s₁、s₂。

5.根据权利要求4所述的基于ECDSA算法的两方协同签名方法，其特征在于，步骤S5中生成完整签名的步骤具体为：

第一通信方根据子私钥d₁和接收到的所述第二部分签名计算签名分量s＝k₁^-1(d₁s₁+s₂)mod n；

若s＝0，则重新开始签名流程，否则将(r，s)作为完整签名输出。