CN110224812A - 一种基于多方安全计算的电子签名移动客户端与协同服务器通信的方法以及设备 - Google Patents

Abstract

一种基于多方安全计算的电子签名移动客户端与协同服务器通信的方法以及设备，本发明涉及电子签名领域，采用签名人持有的客户端与系统提供的服务端协助配合，在相互不暴露机密信息的情况下，完成电子签名；在签名人之外增加一个协助签名人完成签名任务的公共服务端，签名人通过移动智能终端与公共服务端分别存储管理部分私钥的因子，在签名时需要双方联合计算才能完成对消息的完整签名，在此过程中，任何一方均无法获取到关于另一方私钥的任何信息，因此即使攻击者能入侵其中任何一方，攻击者仍然不能伪造合法的签名，安全性好，可靠性高。

Description

一种基于多方安全计算的电子签名移动客户端与协同服务器 通信的方法以及设备

技术领域

本发明涉及电子签名领域，特别是为了保证云计算环境中私钥的安全性，采用签名人持有的客户端与系统提供的服务端协助配合，在相互不暴露机密信息的情况下，完成电子签名的应用系统。

背景技术

常规的电子签名是基于公钥密码学，以签名人私钥对数据消息进行签名，而以公钥对签名值进行验证签名的一种方式，在电子签名过程中，由于私钥直接代表了签名人的身份，因此私钥的安全管理成为了非常重要的任务，为了能够保证私钥安全，常见的做法是使用Ukey，但由于Ukey在使用上存在不够便捷的缺陷，使用门槛高，并且在现在移动互联环境下，对手机等智能移动终端的支持不足，如何在免Ukey的情况下，保证私钥的签名安全性是一个问题。

发明内容

本发明的目的是构造一个在不使用USB Key、Smart Card等外设密码硬件设备的情况下，用户(签名人)可以安全使用其基于SM2密码标准的私钥，进行数字签名的方法，并提供可以克服传统技术无法保护用户隐私、抵抗恶意攻击等问题的SM2算法协同签名系统。

本发明的技术方案是：

本发明提供一种基于多方安全计算的电子签名移动客户端与协同服务器通信的方法，该方法包括以下步骤；

注册步骤

S1.1用户U智能手机安装并运行客户端App，App中业务模块使用统一规则，通过移动终端的硬件信息特征，计算设备唯一标识UUID；

S1.2业务模块调用助记词模块随机向U显示词组，用户U选择相应词组作为助记词字符串Ph，并要求用户按顺序记住助记词明文；

S1.3业务模块请用户U提交身份信息ID_u，并设置一个PIN码；

S1.4业务模块向SDK发出a指令包括参数Ph、PIN、UUID、ID_u；

S1.5 SDK执行计算：

使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]；

计算公钥第一分量P₁，

使用密钥派生算法KDF_S，以PIN为输入参数进行计算，产生对称密钥key_p1；

使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，

得到Cd₁s，其中key_s表示SDK预置的密钥。

S1.6 SDK向业务模块输出Cd₁s，并使用安全信道，向协同服务器Ser输出P₁、ID_u；

S1.7业务模块使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2，使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y，将Cd₁y保存；

S1.8执行S1.7的同时，协同服务器Ser收到P₁后，保存P₁、ID_u，执行如下运算：

Ser选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，

d₂∈[1，2，…，n-1]；

结合P₁和椭圆曲线参数G，进一步计算出完整的公钥

S1.9 Ser保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK，SDK将P交付给业务模块，业务模块保存P，用户U获得完整公钥，系统注册完成；

签名步骤：

S1.10用户U将拟签名的文件M导入App业务模块，发起一个签名请求；

S1.11 App业务模块计算e＝H(M)，将e发送给SDK，并提交b指令；

S1.12 SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

S1.13 Ser收到SDK发来的e、Q₁，执行如下运算：

Ser产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，

k₃∈[1，2，…，n-1]，结合Q₁，

计算x，y是椭圆曲线上的坐标；

计算r＝(e+x)modn，n是椭圆曲线的参数；

计算S₃＝d₂(r+k₃)modn；

S1.14 Ser通过安全信道发送(r，S₂，S₃)到SDK；

S1.15在S1.12～1.14执行的同时，业务模块使用统一规则，通过移动终端的硬件信息计算设备唯一标识UUID，并请用户U输入PIN码，使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2；

S1.16业务模块使用key_p2对Cd₁y进行解密，得到Cd₁s，将参数PIN、UUID、Cd₁s提交给SDK，并请求执行c指令；

S1.17 SDK接收到业务模块的c指令和参数PIN、UUID、Cd₁s，并结合S1.14中Ser通过安全信道发送(r，S₂，S₃)执行如下运算：

使用密钥派生算法KDF_S，以PIN为输入参数进行计算得到key_p1；

使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，

得到d₁；

计算S＝d₁k₁S₂+d₁S₃-rmodn

S1.18 SDK得到文件M的签名值(r，S)，签名流程结束。

进一步地，步骤S1.2中，助记词模块随机向U显示词组的具体步骤如下：助记词模块中内置m个汉字词组组成的词典Dic，给每一个词组配置相应的编号，该编号为0～m-1；

助记词产生的流程如下：

生成一个长度j位的随机序列作为熵str’，j为32的倍数，m＝8j；

对随机序列str’计算哈希值H(str’)，取H(str’)的前n’位作为校验和，n’＝j/32；将校验和连接到Str’的末尾，得到完整序列str；

将str按照每11位为一个单位进行分割，得到至少(j+n’)/11个分块，将每个分块转换为十进制，得到0～m-1的整数；

以前述整数为索引，在词典Dic中按顺序找到对应的(j+n’)/11个关键词，并按顺序拼接在一起，产生词组提交给业务模块，供用户选择作为助记词Ph。

进一步地，该方法还包括：

密钥恢复步骤：

用户U运行客户端App，提交恢复密钥的请求；

助记词模块请用户按顺序明文输入需要妥善保存的助记词Ph；

业务模块请用户输入身份信息ID_u’，重置PIN码，同时业务模块计算设备的唯一标识符UUID，并将Ph、PIN、UUID、ID_u’作为参数发送给SDK，请求执行a指令，SDK向业务模块输出Cd₁s。业务模块使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；业务模块使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y并保存；

SDK模块执行a指令进行运算，得到P₁’，并通过安全信道将P₁’、ID_u’发送给系统服务器Ser；

协同服务器Ser收到SDK模块提交的P₁’、ID_u’后，与步骤S1.6中保存的P₁、ID_u进行比对；比对一致，则Ser通过安全信道将之前保存的用户U的完整公钥P发送给SDK，SDK将P交付给业务模块，用户U的密钥恢复完成；比对不一致，则恢复失败。

一种基于多方安全计算的电子签名移动客户端设备处执行的方法，该方法包括以下步骤；

注册步骤：

S2.1、用户U智能手机安装并运行客户端App，客户端中业务模块通过移动终端的硬件信息特征获取设备唯一标识UUID；

S2.2、业务模块调用助记词模块随机向U显示词组，用户U选择显示的相应词组作为助记词字符串Ph，并要求用户按顺序记住助记词明文Ph；

S2.3、业务模块请用户U提交身份信息ID_u，u表示用户编号，并设置一个PIN码；

S2.4、业务模块向SDK发出a指令包含参数Ph、PIN、UUID、ID_u；

S2.5、SDK执行计算：

使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]，n表示椭圆曲线参数；

计算公钥第一分量P₁，G表示椭圆曲线参数；

使用密钥派生算法KDF_S，以PIN为输入参数进行计算，产生对称密钥key_p1；

使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，

得到d₁的密文Cd₁s，Key_s表示预设的对称密钥；

S2.6、SDK向业务模块输出Cd₁s，并使用安全信道，向协同服务器Ser输出公钥第一分量P₁、ID_u；

S2.7、业务模块将Ph、PIN、UUID发送至SDK模块，同时使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；业务模块使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y并保存；

签名步骤：

S2.8、用户U将拟签名的文件M导入App的业务模块，发起一个签名请求；

S2.9、业务模块计算e＝H(M)，将e发送给SDK，并向SDK提交b指令；

SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算中间参数Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

同时，业务模块请用户U输入PIN码，使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2；

S2.10、业务模块使用key_p2对步骤2.7获取的密文Cd₁y进行解密，得到Cd₁s，将参数PIN、UUID、Cd₁s提交给SDK，并请求执行c指令；

SDK接收到业务模块的c指令和参数PIN、UUID、Cd₁s，并结合Ser通过安全信道发送的中间参数(r，S₂，S₃)执行如下运算：

使用密钥派生算法KDF_s，以PIN为输入参数进行计算得到key_p1；

使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，得到d₁；

计算S＝d₁k₁S₂+d₁S₃-rmodn

S2.11、SDK得到文件M的签名值(r，S)，签名流程结束。

进一步地，移动客户端设备处执行的方法还包括：

密钥恢复步骤：

用户U运行客户端App，提交恢复密钥的请求；

助记词模块请用户按顺序明文输入需要妥善保存的助记词Ph；

业务模块请用户输入身份信息ID_u’，重置PIN码，同时业务模块计算设备的唯一标识符UUID，并将Ph、PIN、UUID、ID_u’作为参数发送给SDK，请求执行a指令，SDK向业务模块输出Cd₁s。业务模块使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；业务模块使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y并保存；

SDK模块执行a指令进行运算，得到P₁’，并通过安全信道将P₁’、ID_u’发送给系统服务器Ser。

一种基于多方安全计算的电子签名移动客户端设备，该设备包括SDK模块、助记词模块和业务模块，其中；

助记词模块：用于向U显示词组，用户U选择显示的相应词组作为明文助记词字符串Ph；

SDK模块：

初始化单元：初始化SDK，产生并保存一个用于加密和解密对称密钥key_s，预设SDK用于非对称签名的SM2椭圆曲线公钥密码算法的椭圆曲线参数G、n；

a指令执行单元：当SDK收到业务模块输入a指令，执行计算：SDK使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]；计算公钥第一分量使用密钥派生算法KDF_s，以PIN为输入参数进行计算，产生对称密钥key_p1；使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，得到d₁的密文Cd₁s；SDK向业务模块输出Cd₁s；同时，使用安全信道，向协同服务器Ser输出P₁、ID_u；

b指令执行单元：当SDK收到业务模块输入的b指令和文件M的哈希值e，执行计算：SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算中间参数Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

c指令执行单元：当SDK接收到业务模块的c指令、参数PIN、UUID、Cd₁s和来自于协调服务器Ser的中间参数r，S₂，S₃，执行计算：SDK使用密钥派生算法KDF_s，以PIN为输入参数进行计算得到key_p1；使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，得到d₁；计算中间参数S＝d₁k₁S₂+d₁S₃-rmodn；SDK向业务模块输出(r，S)；

公钥交付单元：当SDK收到协同服务器Ser发送的完整公钥P，将P交付给业务模块；

业务模块：

设备唯一标识获取单元：业务模块以移动终端的硬件信息为特征，获取设备唯一标识UUID；

身份信息获取单元：当助记词模块产生助记词Ph后，业务模块请用户U提交身份信息ID_u，u表示用户编号，并设置PIN码；

a指令发送单元：业务模块调用助记词模块产生Ph，并将Ph、PIN、UUID、ID_u和a指令发送至SDK模块处理；

加密单元：业务模块接收到SDK模块输出的Cd₁s，使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；使用key_p2对Cd₁s进行加密运算En(key_p2，Cd₁s)＝Cd₁y，保存密文Cd₁y；

注册完成单元：业务模块收到SDK交付的用户U的完整公钥P后，U的身份注册完成；

b指令发送单元：签名时，业务模块收到用户U提交的待签名文件M之后，计算M的哈希值e＝H(M)，发送给SDK模块，并发出b指令；

解密单元：业务模块向用户U申请输入PIN码，使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2，并以key_p2为密钥对保存的Cd₁y进行解密，De(key_p2，Cd₁y)＝Cd₁s；

c指令发送单元：业务模块向SDK请求执行c指令，并发送参数PIN、UUID和Cd₁s；

签名完成单元：业务模块收到SDK返回的文件M的签名值(r，S)，签名流程完成。

一种基于多方安全计算的电子签名协同服务器设备处执行的方法，该方法包括以下步骤；

注册步骤

S3.1、协同服务器Ser收到SDK发出的公钥第一分量P₁和用户身份信息ID_u后，执行如下运算；选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，d₂∈[1，2，…，n-1]，n表示椭圆曲线参数；结合P₁和椭圆曲线参数G，进一步计算出完整的公钥；

S3.2、Ser保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK；

签名步骤：

S3.3、Ser收到SDK发来的e、Q₁，产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，k₃∈[1，2，…，n-1]，结合Q₁，计算中间参数Q₂、Q₃、r和S₂、S₃；

x，y是椭圆曲线上的坐标；

r＝(e+x)modn，n是椭圆曲线的参数；

S₃＝d₂(r+k₃)modn；

S3.4、Ser通过安全信道发送中间参数(r，S₂，S₃)到SDK。

进一步地，协同服务器设备处执行的方法该方法还包括：

密钥恢复步骤：协同服务器Ser收到SDK模块提交的P₁’、ID_u’后，与步骤

S3.2中保存的P₁、ID_u进行比对；比对一致，则Ser通过安全信道将之前保存的用户U的完整公钥P发送给SDK，SDK将P交付给业务模块，用户U的密钥恢复完成；比对不一致，则恢复失败。

一种基于多方安全计算的电子签名协同服务器设备，该设备包括：公钥获取单元：当收到SDK发出的公钥第一分量P₁和用户身份信息ID_u后，用于执行如下运算；选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，d₂∈[1，2，…，n-1]，n表示椭圆曲线参数；结合P₁和椭圆曲线参数G，进一步计算出完整的公钥；

公钥发送单元：用于保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK；

中间参数获取单元：当收到SDK发来的e、Q₁，产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，k₃∈[1，2，…，n-1]，结合Q₁，用于计算中间参数Q₂、Q₃、r和S₂、S₃；

x，y是椭圆曲线上的坐标；

r＝(e+x)modn，n是椭圆曲线的参数；

S₃＝d₂(r+k₃)modn；

中间参数发送单元：用于通过安全信道发送中间参数(r，S₂，S₃)到SDK。

本发明的有益效果：

本发明安全多方计算可以抽象的理解为两方分别拥有各自的私有数据，在不泄漏各自私有数据的情况下，能够计算出关于公共函数的结果。整个计算完成时，只有计算结果对双方可知，且双方均不知对方的数据以及计算过程的中间数据。

本发明基于安全多方计算的思想，在签名人之外增加一个协助签名人完成签名任务的公共服务端，签名人通过移动智能终端与公共服务端分别存储管理部分私钥的因子，在签名时需要双方联合计算才能完成对消息的完整签名，在此过程中，任何一方均无法获取到关于另一方私钥的任何信息，因此即使攻击者能入侵其中任何一方，攻击者仍然不能伪造合法的签名。

本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。

附图说明

通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。

图1示出了本发明的助记词产生流程图。

图2示出了本发明的流程图。

具体实施方式

下面将参照附图更详细地描述本发明的优选实施方式。虽然附图中显示了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。

如图2所示，一种基于多方安全计算的电子签名移动客户端与协同服务器通信的方法，该方法包括以下步骤；

注册步骤

S1.1用户U智能手机安装并运行客户端App，App中业务模块使用统一规则，通过移动终端的硬件信息特征，计算设备唯一标识UUID；

S1.2业务模块调用助记词模块随机向U显示词组，用户U选择相应词组作为助记词字符串Ph，并要求用户按顺序记住助记词明文，如图1所示；

m：词典中词组的数量(始终为熵的8倍，比如熵为128位，则m为1024；如熵为256位，则m为2048；)

n’：校验和，长度始终等于熵的长度/32，比如熵为128位，则n’为4；如熵为256位，则n’为8；

助记词模块中内置m个汉字词组组成的词典Dic，给每一个词组配置相应的编号，该编号为0～m-1；助记词产生的流程如下：

生成一个长度j位的随机序列作为熵str’，j为32的倍数，j取值以256为例，m为2048；

对随机序列str’计算哈希值H(str’)，取H(str’)的前n’位作为校验和，n’＝j/32，取值为8；将8位校验和连接到srr’的末尾，得到264位完整序列str；

将str按照每11位为一个单位进行分割，得到至少24个分块，将每个分块转换为十进制，得到0～m-1的整数；

以前述整数为索引，在词典Dic中按顺序找到对应的24个关键词，并按顺序拼接在一起，产生词组提交给业务模块，供用户选择作为助记词Ph。

S1.3业务模块请用户U提交身份信息ID_u，并设置一个PIN码；

S1.4业务模块向SDK发出a指令和参数Ph、PIN、UUID、ID_u；

S1.5 SDK执行计算：

使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]；

计算公钥第一分量P₁，

使用密钥派生算法KDF_S，以PIN为输入参数进行计算，产生对称密钥key_p1；

使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，

得到Cd₁s，其中Key_s表示SDK预置密钥；

S1.6 SDK向业务模块输出Cd₁s，并使用安全信道，向协同服务器Ser输出P₁、ID_u；

S1.7业务模块使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2，使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y，将Cd₁y保存；

S1.8执行S1.7的同时，协同服务器Ser收到P₁后，保存P₁、ID_u，执行如下运算：

Ser选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，

d₂∈[1，2，…，n-1]；

结合P₁和椭圆曲线参数G，进一步计算出完整的公钥

S1.9 Ser保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK，SDK将P交付给业务模块，业务模块保存P，用户U获得完整公钥，系统注册完成；

签名步骤：

S1.10用户U将拟签名的文件M导入App业务模块，发起一个签名请求；

S1.11 App业务模块计算e＝H(M)，将e发送给SDK，并提交b指令；

S1.12 SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

S1.13 Ser收到SDK发来的e、Q₁，执行如下运算：

Ser产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，k₃∈[1，2，…，n-1]，结合Q₁，

计算x，y是椭圆曲线上的坐标；

计算r＝(e+x)modn，n是椭圆曲线的参数；

计算S₃＝d₂(r+k₃)modn；

S1.14 Ser通过安全信道发送(r，S₂，S₃)到SDK；

S1.15在S1.12～1.14执行的同时，业务模块使用统一规则，通过移动终端的硬件信息计算设备唯一标识UUID，并请用户U输入PIN码，使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2；

S1.16业务模块使用key_p2对Cd₁y进行解密，得到Cd₁s，将参数PIN、UUID、Cd₁s提交给SDK，并请求执行c指令；

S1.17 SDK接收到业务模块的c指令和参数PIN、UUID、Cd₁s，并结合S1.14中Ser通过安全信道发送(r，S₂，S₃)执行如下运算：

使用密钥派生算法KDF_S，以PIN为输入参数进行计算得到key_p1；

使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，

得到d₁，其中Key_s表示SDK预置密钥；

计算S＝d₁k₁S₂+d₁S₃-rmodn

S1.18 SDK得到文件M的签名值(r，S)，签名流程结束。

进一步地，该方法还包括：

密钥恢复步骤：

用户U运行客户端App，提交恢复密钥的请求；

助记词模块请用户按顺序明文输入需要妥善保存的助记词Ph；

业务模块请用户输入身份信息ID_u’，重置PIN码，同时业务模块计算设备的唯一标识符UUID，并将Ph、PIN、UUID、ID_u’作为参数发送给SDK，请求执行a指令，SDK向业务模块输出Cd₁s。业务模块使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；业务模块使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y并保存；

SDK模块执行a指令进行运算，得到P₁’，并通过安全信道将P₁’、ID_u’发送给系统服务器Ser；

协同服务器Ser收到SDK模块提交的P₁’、ID_u’后，与步骤S1.6中保存的P₁、ID_u进行比对；比对一致，则Ser通过安全信道将之前保存的用户U的完整公钥P发送给SDK，SDK将P交付给业务模块，用户U的密钥恢复完成；比对不一致，则恢复失败。

一种基于多方安全计算的电子签名移动客户端设备，该设备包括SDK模块、助记词模块和业务模块，其中；

助记词模块：用于向U显示词组，用户U选择显示的相应词组作为明文助记词字符串Ph；

SDK模块：

初始化单元：初始化SDK，产生并保存一个用于加密和解密对称密钥key_s，预设SDK用于非对称签名的SM2椭圆曲线公钥密码算法的椭圆曲线参数G、n；

a指令执行单元：当SDK收到业务模块输入a指令，执行计算：SDK使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]；计算公钥第一分量使用密钥派生算法KDF_s，以PIN为输入参数进行计算，产生对称密钥key_p1；使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，得到d₁的密文Cd₁s；SDK向业务模块输出Cd₁s；同时，使用安全信道，向协同服务器Ser输出P₁、ID_u；

b指令执行单元：当SDK收到业务模块输入的b指令和文件M的哈希值e，执行计算：SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算中间参数Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

c指令执行单元：当SDK接收到业务模块的c指令、参数PIN、UUID、Cd₁s和来自于协调服务器Ser的中间参数r，S₂，S₃，执行计算：SDK使用密钥派生算法KDF_s，以PIN为输入参数进行计算得到key_p1；使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，得到d₁；计算中间参数S＝d₁k₁S₂+d₁S₃-rmodn；SDK向业务模块输出(r，S)；

公钥交付单元：当SDK收到协同服务器Ser发送的完整公钥P，将P交付给业务模块；

业务模块：

设备唯一标识获取单元：业务模块以移动终端的硬件信息为特征，获取设备唯一标识UUID；

身份信息获取单元：当助记词模块产生助记词Ph后，业务模块请用户U提交身份信息ID_u，u表示用户编号，并设置PIN码；

a指令发送单元：业务模块调用助记词模块产生Ph，并将Ph、PIN、UUID、ID_u和a指令发送至SDK模块处理；

加密单元：业务模块接收到SDK模块输出的Cd₁s，使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；使用key_p2对Cd₁s进行加密运算En(key_p2，Cd₁s)＝Cd₁y，保存密文Cd₁y；

注册完成单元：业务模块收到SDK交付的用户U的完整公钥P后，U的身份注册完成；

b指令发送单元：签名时，业务模块收到用户U提交的待签名文件M之后，计算M的哈希值H(M)＝e，发送给SDK模块，并发出b指令；

解密单元：业务模块向用户U申请输入PIN码，使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2，并以key_p2为密钥对保存的Cd₁y进行解密，De(key_p2，Cd₁y)＝Cd₁s；

c指令发送单元：业务模块向SDK请求执行c指令，并发送参数PIN、UUID和Cd₁s；

签名完成单元：业务模块收到SDK返回的文件M的签名值(r，S)，签名流程完成。

一种基于多方安全计算的电子签名协同服务器设备，该设备包括：公钥获取单元：当收到SDK发出的公钥第一分量P₁和用户身份信息ID_u后，用于执行如下运算；选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，d₂∈[1，2，…，n-1]，n表示椭圆曲线参数；结合P₁和椭圆曲线参数G，进一步计算出完整的公钥；

公钥发送单元：用于保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK；

中间参数获取单元：当收到SDK发来的e、Q₁，产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，k₃∈[1，2，…，n-1]，结合Q₁，用于计算中间参数Q₂、Q₃、r和S₂、S₃；

x，y是椭圆曲线上的坐标；

r＝(e+x)modn，n是椭圆曲线的参数；

S₃＝d₂(r+k₃)modn；

中间参数发送单元：用于通过安全信道发送中间参数(r，S₂，S₃)到SDK。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。

Claims (9)

1.一种基于多方安全计算的电子签名移动客户端与协同服务器通信的方法，其特征在于，该方法包括以下步骤；

注册步骤

S1.1用户U智能手机安装并运行客户端App，App中业务模块使用统一规则，通过移动终端的硬件信息特征，计算设备唯一标识UUID；

S1.2业务模块调用助记词模块随机向U显示词组，用户U选择相应词组作为助记词字符串Ph，并要求用户按顺序记住助记词明文；

S1.3业务模块请用户U提交身份信息ID_u，并设置一个PIN码；

S1.4业务模块向SDK发出a指令包括参数Ph、PIN、UUID、ID_u；

S1.5 SDK执行计算：

使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]；

计算公钥第一分量P₁，

使用密钥派生算法KDF_S，以PIN为输入参数进行计算，产生对称密钥key_p1；

使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，得到Cd₁s；其中Key_s为SDK预置密钥；

S1.6 SDK向业务模块输出Cd₁s，并使用安全信道，向协同服务器Ser输出P₁、ID_u；

S1.7业务模块使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2，对Cd₁s进行加密运算，得到密文Cd₁y，将Cd₁y保存；

S1.8执行S1.7的同时，协同服务器Ser收到P₁后，保存P₁、ID_u，执行如下运算：

Ser选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，

d₂∈[1，2，…，n-1]；

结合P₁和椭圆曲线参数G，进一步计算出完整的公钥

S1.9 Ser保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK，SDK将P交付给业务模块，业务模块保存P，用户U获得完整公钥，系统注册完成；

签名步骤：

S1.10用户U将拟签名的文件M导入App业务模块，发起一个签名请求；

S1.11 App业务模块计算e＝H(M)，将e发送给SDK，并提交b指令；

S1.12 SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

S1.13 Ser收到SDK发来的e、Q₁，执行如下运算：

Ser产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，k₃∈[1，2，…，n-1]，结合Q₁，

计算Q₃＝k₃G+k₃Q₂＝(x，y)，x，y是椭圆曲线上的坐标；

计算r＝(e+x)modn，n是椭圆曲线的参数；

计算S₃＝d₂(r+k₃)modn；

S1.14 Ser通过安全信道发送(r，S₂，S₃)到SDK；

S1.15在S1.12～1.14执行的同时，业务模块使用统一规则，通过移动终端的硬件信息计算设备唯一标识UUID，并请用户U输入PIN码，使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2；

S1.16业务模块使用key_p2对Cd₁y进行解密，得到Cd₁s，将参数PIN、UUID、Cd₁s提交给SDK，并请求执行c指令；

S1.17 SDK接收到业务模块的c指令和参数PIN、UUID、Cd₁s，并结合S1.14中Ser通过安全信道发送(r，S₂，S₃)执行如下运算：

使用密钥派生算法KDF_s，以PIN为输入参数进行计算得到key_p1；

使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，得到d₁；其中key_s表示SDK预置密钥；

计算S＝d₁k₁S₂+d₁S₃-rmodn

S1.18 SDK得到文件M的签名值(r，S)，签名流程结束。

2.根据权利要求1所述的基于多方安全计算的电子签名移动客户端设备处执行的方法，其特征在于步骤S1.2中，助记词模块随机向U显示词组的具体步骤如下：

助记词模块中内置m个汉字词组组成的词典Dic，给每一个词组配置相应的编号，该编号为0～m-1；

助记词产生的流程如下：

生成一个长度j位的随机序列作为熵str’，j为32的倍数，m＝8j；

对随机序列str’计算哈希值H(str’)，取H(str’)的前n’位作为校验和，n’＝j/32；将校验和连接到str’的末尾，得到完整序列str；

将str按照每11位为一个单位进行分割，得到至少(j+n’)/11个分块，将每个分块转换为十进制，得到0～m-1的整数；

以前述整数为索引，在词典Dic中按顺序找到对应的(j+n’)/11个关键词，并按顺序拼接在一起，产生词组提交给业务模块，供用户选择作为助记词Ph。

3.根据权利要求1所述的基于多方安全计算的电子签名移动客户端与协同服务器通信的方法，其特征在于该方法还包括：

密钥恢复步骤：

用户U运行客户端App，提交恢复密钥的请求；

助记词模块请用户按顺序明文输入需要妥善保存的助记词Ph；

业务模块请用户U输入身份信息ID_u’，重置PIN码，同时业务模块计算设备的唯一标识符UUID，并将Ph、PIN、UUID、ID_u’作为参数发送给SDK，请求执行a指令，SDK向业务模块输出Cd1s。业务模块使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；业务模块使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y并保存；

SDK模块执行a指令进行运算，得到P₁’，并通过安全信道将P₁’、ID_u’发送给系统服务器Ser；

协同服务器Ser收到SDK模块提交的P₁’、ID_u’后，与步骤S1.6中保存的P₁、ID_u进行比对；比对一致，则Ser通过安全信道将之前保存的用户U的完整公钥P发送给SDK，SDK将P交付给业务模块，用户U的密钥恢复完成；比对不一致，则恢复失败。

4.一种基于多方安全计算的电子签名移动客户端设备处执行的方法，其特征在于，该方法包括以下步骤；

注册步骤：

S2.1、用户U智能手机安装并运行客户端App，客户端中业务模块通过移动终端的硬件信息特征获取设备唯一标识UUID；

S2.2、业务模块调用助记词模块随机向U显示词组，用户U选择显示的相应词组作为助记词字符串Ph，并要求用户按顺序记住助记词明文Ph；

S2.3、业务模块请用户U提交身份信息ID_u，u表示用户编号，并设置一个PIN码；

S2.4、业务模块向SDK发出a指令包含参数PIN、UUID、Cd₁s；

S2.5、SDK执行计算：

使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]，n表示椭圆曲线参数；

计算公钥第一分量P₁，G表示椭圆曲线参数；

使用密钥派生算法KDF_S，以PIN为输入参数进行计算，产生对称密钥key_p1；

使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，得到d₁的密文Cd₁s，Key_s表示SDK预设的对称密钥；

S2.6、SDK向业务模块输出Cd₁s，并使用安全信道，向协同服务器Ser输出公钥第一分量P₁、ID_u；

S2.7、业务模块使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；业务模块使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y并保存；

签名步骤：

S2.8、用户U将拟签名的文件M导入App的业务模块，发起一个签名请求；

S2.9、业务模块计算e＝H(M)，将e发送给SDK，并向SDK提交b指令；

SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算中间参数Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

同时，业务模块请用户U输入PIN码，使用密钥派生算法KDF_y以PIN码为输入，生成对称密钥key_p2；

S2.10、业务模块使用key_p2对步骤2.7获取的密文Cd₁y进行解密，得到Cd₁s，将参数PIN、UUID、Cd₁s提交给SDK，并请求执行c指令；

SDK接收到业务模块的c指令和参数PIN、UUID、Cd₁s，并结合Ser通过安全信道发送的中间参数(r，S₂，S₃)执行如下运算：

使用密钥派生算法KDF_s，以PIN为输入参数进行计算得到key_p1；

使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，得到d₁，Key_s表示SDK预设的对称密钥；

计算S＝d₁k₁S₂+d₁S₃-rmodn

S2.11、SDK得到文件M的签名值(r，S)，签名流程结束。

5.根据权利要求4所述的基于多方安全计算的电子签名移动客户端设备处执行的方法，其特征在于该方法还包括：

密钥恢复步骤：

用户U运行客户端App，提交恢复密钥的请求；

助记词模块请用户按顺序明文输入需要妥善保存的助记词Ph；

业务模块请用户输入身份信息ID_u’，重置PIN码，同时业务模块计算设备的唯一标识符UUID，并将Ph、PIN、UUID、ID_u’作为参数发送给SDK，请求执行a指令，SDK向业务模块输出Cd₁s。业务模块使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；业务模块使用key_p2对Cd₁s进行加密运算，得到密文Cd₁y并保存；

SDK模块执行a指令进行运算，得到P₁’，并通过安全信道将P₁’、ID_u’发送给系统服务器Ser。

6.一种基于多方安全计算的电子签名移动客户端设备，其特征在于，该设备包括SDK模块、助记词模块和业务模块，其中；

助记词模块：用于向U显示词组，用户U选择显示的相应词组作为明文助记词字符串Ph；

SDK模块：

初始化单元：初始化SDK，产生并保存一个用于加密和解密对称密钥key_s，预设SDK用于非对称签名的SM2椭圆曲线公钥密码算法的椭圆曲线参数G、n；

a指令执行单元：当SDK收到业务模块输入a指令，执行计算：SDK使用密钥派生算法KDF_S以Ph为输入参数进行计算，生成第一私钥分量d₁∈[1，2，…，n-1]；计算公钥第一分量P₁，使用密钥派生算法KDF_s，以PIN为输入参数进行计算，产生对称密钥key_p1；使用Key_s、key_p1、UUID对d₁进行加密运算En(key_s，key_p1，UUID)，得到d₁的密文Cd₁s；SDK向业务模块输出Cd₁s；同时，使用安全信道，向协同服务器Ser输出P₁、ID_u；

b指令执行单元：当SDK收到业务模块输入的b指令和文件M的哈希值e，执行计算：SDK随机产生一个安全随机参数k₁∈[1，2，…，n-1]，计算中间参数Q₁＝k₁G，并将e、Q₁通过安全信道发送给协同服务器Ser；

c指令执行单元：当SDK接收到业务模块的c指令、参数PIN、UUID、Cd₁s和来自于协调服务器Ser的中间参数r，S₂，S₃，执行计算：SDK使用密钥派生算法KDF_s，以PIN为输入参数进行计算得到key_p1；使用key_s、key_p1、UUID对Cd₁s进行解密，De(key_s，key_p1，UUID)，得到d₁；计算中间参数S＝d₁k₁S₂+d₁S₃-rmodn；SDK向业务模块输出(r，S)；

公钥交付单元：当SDK收到协同服务器Ser发送的完整公钥P，将P交付给业务模块；

业务模块：

设备唯一标识获取单元：业务模块以移动终端的硬件信息为特征，获取设备唯一标识UUID；

身份信息获取单元：当助记词模块产生助记词Ph后，业务模块请用户U提交身份信息ID_u，u表示用户编号，并设置PIN码；

a指令发送单元：：业务模块调用助记词模块产生Ph，并将Ph、PIN、UUID、ID_u和a指令发送至SDK模块处理，同时使用密钥派生算法KDF_y以PIN码作为输入，生成业务模块的对称密钥key_p2；

加密单元：业务模块接收到SDK模块输出的Cd₁s，使用key_p2对Cd₁s进行加密运算En(key_p2，Cd₁s)＝Cd₁y，保存密文Cd₁y；

注册完成单元：业务模块收到SDK交付的用户U的完整公钥P后，U的身份注册完成；

b指令发送单元：签名时，业务模块收到用户U提交的待签名文件M之后，计算M的哈希值e＝H(M)，发送给SDK模块，并发出b指令；

解密单元：业务模块向用户U申请输入PIN码，使用密钥派生算法KDF_y，以PIN码为输入，生成对称密钥key_p2，并以key_p2为密钥对保存的Cd₁y进行解密，De(key_p2，Cd₁y)＝Cd₁s；

c指令发送单元：业务模块向SDK请求执行c指令，并发送参数PIN、UUID和Cd₁s；

签名完成单元：业务模块收到SDK返回的文件M的签名值(r，S)，签名流程完成。

7.一种基于多方安全计算的电子签名协同服务器设备处执行的方法，其特征在于，该方法包括以下步骤；

注册步骤

S3.1、协同服务器Ser收到SDK发出的公钥第一分量P₁和用户身份信息ID_u后，执行如下运算；选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，d₂∈[1，2，…，n-1]，n表示椭圆曲线参数；

结合P₁和椭圆曲线参数G，进一步计算出完整的公钥；

S3.2、Ser保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK；

签名步骤：

S3.3、Ser收到SDK发来的e、Q₁，产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，k₃∈[1，2，…，n-1]，结合Q₁，计算中间参数Q₂、Q₃、r和S₂、S₃；

Q₃＝k₃G+k₃Q₂＝(x，y)，x，y是椭圆曲线上的坐标；

r＝(e+x)modn，n是椭圆曲线的参数；

S₃＝d₂(r+k₃)modn；

S3.4、Ser通过安全信道发送中间参数(r，S₂，S₃)到SDK。

8.根据权利要求7所述的基于多方安全计算的电子签名协同服务器设备处执行的方法，其特征在于，该方法还包括：

密钥恢复步骤：协同服务器Ser收到SDK模块提交的P₁’、ID_u’后，与步骤S3.2中保存的P₁、ID_u进行比对；比对一致，则Ser通过安全信道将之前保存的用户U的完整公钥P发送给SDK，SDK将P交付给业务模块，用户U的密钥恢复完成；比对不一致，则恢复失败。

9.一种基于多方安全计算的电子签名协同服务器设备，其特征在于，该设备包括：

公钥获取单元：当收到SDK发出的公钥第一分量P₁和用户身份信息ID_u后，用于执行如下运算；选取一个随机安全参数作为输入，使用KDF_ser密钥派生算法生成私钥第二分量d₂，d₂∈[1，2，…，n-1]，n表示椭圆曲线参数；结合P₁和椭圆曲线参数G，进一步计算出完整的公钥；

公钥发送单元：用于保存P，将P与ID_u关联，并通过安全信道将完整公钥P发送给SDK；

中间参数获取单元：当收到SDK发来的e、Q₁，产生随机安全参数k₂，k₃，k₂∈[1，2，…，n-1]，k₃∈[1，2，…，n-1]，结合Q₁，用于计算中间参数Q₂、Q₃、r和S₂、S₃；

Q₃＝k₃G+k₃Q₂＝(x，y)，x，y是椭圆曲线上的坐标；

r＝(e+x)modn，n是椭圆曲线的参数；

S₃＝d₂(r+k₃)modn；

中间参数发送单元：用于通过安全信道发送中间参数(r，S₂，S₃)到SDK。