CN107968710A - Sm9数字签名分离交互生成方法及系统 - Google Patents

Abstract

发明涉及SM9数字签名的分离交互生成方法：装置1和装置2有[1,n‑1]内的整数秘密c₁,c₂，n为G₁、G₂、G_T的阶；P_A＝[(c₁c₂)^‑1]d_A，d_A是用户的SM9私钥；当需使用d_A针对消息M数字签名时，两装置先计算w＝g^(r₁r₂)，r₁、r₂是装置1、2在[1,n‑1]中任选整数，g＝e(P₁,P_pub)；若w≠g^h，装置1计算h＝H₂(M||w,n)，S₁＝[r₁]P_A，将S₁发送给装置2；装置2计算S₂＝[c₂r₂]S₁+[‑c₂h]P_A，将S₂发送给装置1；装置1计算S＝[c₁]S₂，验证(h,S)作为消息M数字签名的有效性，若验证通过，则(h,S)为消息M的数字签名。

Description

SM9数字签名分离交互生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是SM9数字签名分离交互生成方法及系统。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群，G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9算法能实现基于标识的数字签名、密钥交换及数据加密，但是，通常的两个装置通过秘密共享、在线交互生成数字签名的方式不适合于SM9算法。所谓两个通过秘密共享、在线交互生成数字签名的方式，指将用户私钥或者与用户私钥相关的秘密分割成两份(每份称为秘密份额)，由两个装置分别保存，当需要使用用户私钥针对消息签名时，由保存有秘密份额的两个装置使用各自的秘密份额，通过在线交互，协同计算得到最终的数字签名。

发明内容

本发明的目的是提出两个装置能在都不保存用户SM9标识私钥的情况下，通过在线交互实时生成使用用户的SM9私钥、针对消息的数字签名的技术方案。

针对本发明的目的，本发明提出的技术方案包括SM9数字签名分离交互生成方法及系统。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)，[k]P表示k个P在加法群上的加，即P+P+...+P(共有k个P)(若k是负数，则是|k|个P相加的结果的加法逆元)；

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元(乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operation)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明的SM9数字签名分离交互生成方法包括两个方案，具体如下。

方案一、

SM9数字签名分离交互生成方法的方案一涉及两个分别标号为第1号和第2号的装置；两个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，c_i是第i号装置保存的秘密，i＝1,2；

在初始化阶段预先计算得到：

P_A＝[(c₁c₂)^-1]d_A，其中d_A是用户的身份标识ID_A所对应的SM9标识私钥，(c₁c₂)^-1为(c₁c₂)mod n的模n乘法逆；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这两个装置的密码应用程序、系统或密码模块，或者两个装置之一中的密码应用程序、系统)：

首先，两个装置通过交互计算得到w＝g^(r₁r₂)或者w＝g^(r₁+r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

然后，第1号装置计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

第1号装置检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

第1号装置取S₀＝P_A，S₁＝[r₁]P_A或者取S₀＝[(r₁)^-1]P_A，S₁＝P_A(始终S₁＝[r₁]S₀)，将S₀、S₁发送给第2号装置；

第2号装置接收到S₀、S₁后，按如下方式进行S₂的计算：

若w的计算式是w＝g^(r₁r₂)，则S₂＝[c₂r₂]S₁+[-c₂h]S₀；

(此时S₂＝[c₂r₂r₁-c₂h]S₀)

若w的计算式是w＝g^(r₁+r₂)，则S₂＝[c₂]S₁+[c₂(r₂-h)]S₀；

(此时S₂＝[c₂(r₁+r₂)-c₂h]S₀)

第2号装置将S₂发送给第1号装置；

第1号装置接收到S₂后按如下方式计算S：

若第1号装置之前取S₀＝P_A，则S＝[c₁]S₂；

若第1号装置之前取S₀＝[(r₁)^-1]P_A，则S＝[c₁r₁]S₂；

(若w＝g^(r₁r₂)，则S＝[c₁c₂r₂r₁-c₁c₂h]P_A；若w＝g^(r₁+r₂)，则S＝[c₁c₂(r₂+r₁)-c₁c₂h]P_A)

然后第1号装置利用用户的身份标识ID_A、消息M，验证(h,S)作为消息M的数字签名的有效性，若有效，则(h,S)为生成的针对消息M的数字签名，否则，第1号装置报错，或者两个装置重新进行数字签名的生成。

对于以上方案一，若计算得到w采用的计算式是w＝g^(r₁r₂)，则两个装置按如下方式计算得到w＝g^(r₁r₂)：

第2号装置计算g₂＝g^(r₂)，将g₂发送第1号装置；

第1号装置计算w＝g₂^(r₁)，

或者，

第1号装置计算g₁＝g^(r₁)，将g₁发送第2号装置；

第2号装置计算w＝g₁^(r₂)，之后将w发送第1号装置。

对于以上方案一，若计算得到w采用的计算式是w＝g^(r₁+r₂)，则两个装置按如下方式计算得到w＝g^(r₁+r₂)：

第2号装置计算g₂＝g^(r₂)，将g₂发送第1号装置；

第1号装置计算w＝(g^(r₁))g₂，

或者，

第1号装置计算g₁＝g^(r₁)，将g₁发送第2号装置；

第2号装置计算w＝(g^(r₂))g₁，之后将w发送第1号装置。

对于以上方案一，在初始化阶段，两个装置获得秘密c₁,c₂，以及计算得到P_A的一种方式如下：

预先知道d_A的装置(可以是两个装置中的一个装置或两个装置之外的一个装置)在[1,n-1]区间内随机选择两个整数c₁、c₂，计算：

P_A＝[(c₁c₂)^-1]d_A；

然后将d_A销毁，将P_A、c_i分发给第i号装置，i＝1,2(也许包括自己)。

对于以上方案一，若d_A是第1号装置预先知道的，则在初始化阶段，两个装置获得秘密c₁,c₂，及计算得到P_A的一种方式如下：

第1号装置在[1,n-1]区间内随机选择一个整数c₁，或者在[1,n-1]区间内固定选取一个对外保密的整数c₁(即对不同的d_A固定选取c₁的值)，计算Q₁＝[(c₁)^-1]d_A，然后将Q₁发送给第2号装置；

第2号装置接收到Q₁，在[1,n-1]区间内随机选择一个整数c₂，或者在[1,n-1]区间内固定选取一个对外保密的整数c₂(即对不同的d_A固定选取c₂的值)，计算P_A＝[(c₂)^-1]Q₁；

最后，第2号装置将P_A发送给第1号装置，第1号装置将d_A销毁；

若d_A是第2号装置预先知道的，则在初始化阶段，两个装置获得秘密c₁,c₂，及计算得到P_A的一种方式如下：

第2号装置在[1,n-1]区间内随机选择一个整数c₂，或者在[1,n-1]区间内固定选取一个对外保密的整数c₂(即对不同的d_A固定选取c₂的值)，计算Q₂＝[(c₂)^-1]d_A，然后将Q₂发送给第1号装置；

第1号装置接收到Q₂，在[1,n-1]区间内随机选择一个整数c₁，或者在[1,n-1]区间内固定选取一个对外保密的整数c₁(即对不同的d_A固定选取c₁的值)，计算P_A＝[(c₁)^-1]Q₂；

最后，第1号装置将P_A发送给第2号装置，第2号装置将d_A销毁。

对于以上方案一，若用户的SM9标识私钥d_A同时用于数据解密，则当数据解密过程中需要计算e(d_A,V)时，其中V是群G₂中的一个元，所述两个装置按如下方式进行e(d_A,V)的协同计算：

第1号装置计算v₁＝e(P_A,V)^c₁，将v₁发送给第2号装置；

第2号装置接收v₁到后，计算v＝v₁^c₂；

则v即为e(d_A,V)；

或者，反过来，

第2号装置计算v₂＝e(P_A,V)^c₂，将v₂发送给第1号装置；

第1号装置接收v₂到后，计算v＝v₂^c₁；

则v即为e(d_A,V)。

方案二、

SM9数字签名分离交互生成方法的方案二同样涉及两个分别标号为第1号和第2号的装置；两个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，c_i是第i号装置保存的秘密，i＝1,2；

在初始化阶段预先计算得到：

P_A＝[(c₁+c₂)^-1]d_A，

g_c＝g^((c₁+c₂)^-1)，

其中d_A是用户的身份标识ID_A所对应的SM9标识私钥，(c₁+c₂)^-1为(c₁+c₂)mod n的模n乘法逆，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这两个装置的密码应用程序、系统或密码模块，或者两个装置之一中的密码应用程序、系统)：

首先，两个装置通过交互计算得到w＝g_c^(r₁r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数；

然后，第1号或第2号装置计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h，否则，继续进行后续计算；

第1号装置计算S₁＝[(r₁)^-1]P_A，将S₁发送给第2号装置；

第2号装置接收到S₁后，计算S₂＝[r₂]P_A+[-c₂h]S₁；(此时，S₂＝(r₂-c₂h(r₁)^-1)P_A)

第2号装置将S₂发送给第1号装置；

第1号装置检查S₂是否为零元，若是，则报错，或者重新进行数字签名的生成，否则，第1号装置计算S＝[r₁]S₂+[-c₁h]P_A；

(此时，S₂＝(r₁r₂-h(c₁+c₂))P_A))；

则(h,S)即为生成的针对消息M的数字签名。

对于以上方案二，两个装置按如下方式计算得到w＝g_c^(r₁r₂)：

第2号装置计算g₂＝g_c^(r₂)，将g₂发送第1号装置；

第1号装置计算w＝g₂^(r₁)；

或者，

第1号装置计算g₁＝g_c^(r₁)，将g₁发送第2号装置；

第2号装置计算w＝g₁^(r₂)。

对于以上方案二，在初始化阶段，两个装置获得秘密c₁,c₂，及计算得到P_A、g_c的一种方式如下：

预先知道d_A的装置(可以是2个装置中的一个装置或2个装置之外的一个装置)在[1,n-1]区间内随机选择2个整数c₁、c₂，且使得(c₁+c₂)mod n≠0，然后计算：

P_A＝[(c₁+c₂)^-1]d_A，

g_c＝g^((c₁+c₂)^-1)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,2(也许包括自己)。

对于以上方案一和方案二，可构建相应的SM9数字签名分离交互生成系统，系统包括两个装置，两个装置按所述SM9数字签名分离交互生成方法的方案一或方案二生成针对消息的数字签名。

从以上描述可以看到，通过本发明的方法和系统，当需要使用用户标识私钥d_A对消息进行数字签名时，两个装置可以分离交互生成针对消息的数字签名。

附图说明

无。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

此实施例涉及两个分别标号为第1号和第2号的装置；第1号装置保存有[1,n-1]区间内的整数秘密c₁,第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)。两个装置采用前述SM9数字签名分离交互生成方法的方案一进行数字签名的生成。

在此实施例中，当针对消息进行数字签名时，计算w采用的计算公式为w＝g^(r₁r₂)；

第1号装置取S₀＝P_A，S₁＝[r₁]P_A；

第2号装置接收到S₀、S₁后，计算S₂＝[c₂r₂]S₁+[-c₂h]S₀；

(此时S₂＝[c₂r₂r₁-c₂h]P_A)

(若第2号装置保存有P_A，则S₀不用传)

第1号装置接收到S₂后，计算S＝[c₁]S₂；

(此时S＝[c₁c₂r₂r₁-c₁c₂h]P_A)

第1号装置验证(h,S)作为数字签名的有效性，若验证通过，则(h,S)为生成的针对消息的数字签名。

实施例2、

此实施例涉及两个分别标号为第1号和第2号的装置；第1号装置保存有[1,n-1]区间内的整数秘密c₁,第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)。两个装置采用前述SM9数字签名分离交互生成方法的方案一进行数字签名的生成。

在此实施例中，当针对消息进行数字签名时，计算w采用的计算公式为w＝g^(r₁r₂)；

第1号装置取S₀＝[(r₁)^-1]P_A，S₁＝P_A；

第2号装置接收到S₀、S₁后，计算S₂＝[c₂r₂]S₁+[-c₂h]S₀；

(此时S₂＝[c₂r₂-c₂h(r₁)^-1]P_A)

(若第2号装置保存有P_A，则S₁不用传)

第1号装置接收到S₂后，计算S＝[c₁r₁]S₂；

(此时S＝[c₁c₂r₁r₂-c₁c₂h]P_A)

第1号装置验证(h,S)作为数字签名的有效性，若验证通过，则(h,S)为生成的针对消息的数字签名。

实施例3、

此实施例涉及两个分别标号为第1号和第2号的装置；第1号装置保存有[1,n-1]区间内的整数秘密c₁,第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)。两个装置采用前述SM9数字签名分离交互生成方法的方案一进行数字签名的生成。

在此实施例中，当针对消息进行数字签名时，计算w采用的计算公式为w＝g^(r₁+r₂)；

第1号装置取S₀＝P_A，S₁＝[r₁]P_A；

第2号装置接收到S₀、S₁后，计算S₂＝[c₂]S₁+[c₂(r₂-h)]S₀；

(此时S₂＝[c₂(r₁+r₂)-c₂h]P_A)

(若第2号装置保存有P_A，则S₀不用传)

第1号装置接收到S₂后，计算S＝[c₁]S₂；

(此时S＝[c₁c₂(r₁+r₂)-c₁c₂h]P_A)

第1号装置验证(h,S)作为数字签名的有效性，若验证通过，则(h,S)为生成的针对消息的数字签名。

实施例4、

此实施例涉及两个分别标号为第1号和第2号的装置；第1号装置保存有[1,n-1]区间内的整数秘密c₁,第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)。两个装置采用前述SM9数字签名分离交互生成方法的方案一进行数字签名的生成。

在此实施例中，当针对消息进行数字签名时，计算w采用的计算公式w＝g^(r₁+r₂)；

第1号装置S₀＝[(r₁)^-1]P_A，S₁＝P_A；

第2号装置接收到S₀、S₁后，计算S₂＝[c₂]S₁+[c₂(r₂-h)]S₀；

(此时，S₂＝[c₂+c₂r₂(r₁)^-1-c₂h(r₁)^-1]P_A)

(若第2号装置保存有P_A，则S₁不用传)

第1号装置接收到S₂后，计算S＝[c₁r₁]S₂；

(此时，S＝[c₁c₂(r₁+r₂)–c₁c₂h]P_A)

第1号装置验证(h,S)作为数字签名的有效性，若验证通过，则(h,S)为生成的针对消息的数字签名。

在以上实施例1到实施例4中，若第1装置和/或第2装置用于针对不同的用户SM9标识私钥d_A生成数字签名，则第1装置和/或第2装置针对不同的d_A所使用c₁和/或c₂，是不同的，或者是相同的。

实施例5

此实施例涉及两个分别标号为第1号和第2号的装置；第1号装置保存有[1,n-1]区间内的整数秘密c₁,第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)。两个装置采用前述SM9数字签名分离交互生成方法的方案二进行数字签名的生成。

具体地，当生成使用用户的SM9标识私钥d_A针对消息M的数字签名时，两个装置通过交互计算得到w＝g_c^(r₁r₂)，其中r₁、r₂分别是第1、第2号装置在[1,n-1]区间内随机选择的整数；

然后，第1号或第2号装置计算h＝H₂(M||w,n)，检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h，否则，继续进行后续计算；

然后，第1号装置计算S₁＝[(r₁)^-1]P_A，将S₁发送给第2号装置；

第2号装置接收到S₁后，计算S₂＝[r₂]P_A+[-c₂h]S₁；

(此时S₂＝[r₂-c₂h(r₁)^-1]P_A)

第2号装置将S₂发送给第1号装置；

第1号装置检查S₂是否为零元，若是，则报错，或者重新进行数字签名的生成，否则，第1号装置计算S＝[r₁]S₂+[-c₁h]P_A；

(此时S＝[r₁r₂-(c₁+c₂)h]P_A)

则(h,S)即为生成的针对消息M的数字签名。

依据本发明的方法可以构建相应的SM9数字签名分离交互生成系统，系统包括两个装置，其中一个被标号为第1号装置，另一个被标号为第2号装置，这两个装置可以都是提供密码服务的密码服务器，或者两个装置中的一个装置是用户装置，另一个是提供密码服务的密码服务器，两个个装置通过实施本发明的SM9数字签名分离交互生成方法的方案一或方案二，包括实施前述实施例1-5，交互生成使用用户的SM9标识私钥d_A、针对消息的数字签名。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims (10)

1.一种SM9数字签名分离交互生成方法，其特征是：

所述方法涉及两个分别标号为第1号和第2号的装置；两个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,2；

在初始化阶段预先计算得到：

P_A＝[(c₁c₂)^-1]d_A，其中d_A是用户的身份标识ID_A所对应的SM9标识私钥，(c₁c₂)^-1为(c₁c₂)mod n的模n乘法逆；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成：

首先，两个装置通过交互计算得到w＝g^(r₁r₂)或者w＝g^(r₁+r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

然后，第1号装置计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

第1号装置检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

第1号装置取S₀＝P_A，S₁＝[r₁]P_A或者取S₀＝[(r₁)^-1]P_A，S₁＝P_A，将S₀、S₁发送给第2号装置；

第2号装置接收到S₀、S₁后，按如下方式进行S₂的计算：

若w的计算式是w＝g^(r₁r₂)，则S₂＝[c₂r₂]S₁+[-c₂h]S₀；

若w的计算式是w＝g^(r₁+r₂)，则S₂＝[c₂]S₁+[c₂(r₂-h)]S₀；

第2号装置将S₂发送给第1号装置；

第1号装置接收到S₂后按如下方式计算S：

若第1号装置之前取S₀＝P_A，则S＝[c₁]S₂；

若第1号装置之前取S₀＝[(r₁)^-1]P_A，则S＝[c₁r₁]S₂；

然后第1号装置利用用户的身份标识ID_A、消息M，验证(h,S)作为消息M的数字签名的有效性，若有效，则(h,S)为生成的针对消息M的数字签名，否则，第1号装置报错，或者两个装置重新生成数字签名。

2.根据权利要求1所述的SM9数字签名分离交互生成方法，其特征是：

若计算得到w采用的计算式是w＝g^(r₁r₂)，则两个装置按如下方式计算得到w＝g^(r₁r₂)：

第2号装置计算g₂＝g^(r₂)，将g₂发送第1号装置；

第1号装置计算w＝g₂^(r₁)，

或者，

第1号装置计算g₁＝g^(r₁)，将g₁发送第2号装置；

第2号装置计算w＝g₁^(r₂)，之后将w发送第1号装置。

3.根据权利要求1所述的SM9数字签名分离交互生成方法，其特征是：

若计算得到w采用的计算式是w＝g^(r₁+r₂)，则两个装置按如下方式计算得到w＝g^(r₁+r₂)：

第2号装置计算g₂＝g^(r₂)，将g₂发送第1号装置；

第1号装置计算w＝(g^(r₁))g₂，

或者，

第1号装置计算g₁＝g^(r₁)，将g₁发送第2号装置；

第2号装置计算w＝(g^(r₂))g₁，之后将w发送第1号装置。

4.根据权利要求1所述的SM9数字签名分离交互生成方法，其特征是：

在初始化阶段，两个装置获得秘密c₁,c₂，以及计算得到P_A的一种方式如下：

预先知道d_A的装置在[1,n-1]区间内随机选择两个整数c₁、c₂，计算：

P_A＝[(c₁c₂)^-1]d_A；

然后将d_A销毁，将P_A、c_i分发给第i号装置，i＝1,2。

5.根据权利要求1所述的SM9数字签名分离交互生成方法，其特征是：

若d_A是第1号装置预先知道的，则在初始化阶段，两个装置获得秘密c₁,c₂，及计算得到P_A的一种方式如下：

第1号装置在[1,n-1]区间内随机选择一个整数c₁，或者在[1,n-1]区间内固定选取一个对外保密的整数c₁，计算Q₁＝[(c₁)^-1]d_A，然后将Q₁发送给第2号装置；

第2号装置接收到Q₁，在[1,n-1]区间内随机选择一个整数c₂，或者在[1,n-1]区间内固定选取一个对外保密的整数c₂，计算P_A＝[(c₂)^-1]Q₁；

最后，第2号装置将P_A发送给第1号装置，第1号装置将d_A销毁；

若d_A是第2号装置预先知道的，则在初始化阶段，两个装置获得秘密c₁,c₂，及计算得到P_A的一种方式如下：

第2号装置在[1,n-1]区间内随机选择一个整数c₂，或者在[1,n-1]区间内固定选取一个对外保密的整数c₂，计算Q₂＝[(c₂)^-1]d_A，然后将Q₂发送给第1号装置；

第1号装置接收到Q₂，在[1,n-1]区间内随机选择一个整数c₁，或者在[1,n-1]区间内固定选取一个对外保密的整数c₁，计算P_A＝[(c₁)^-1]Q₂；

最后，第1号装置将P_A发送给第2号装置，第2号装置将d_A销毁。

6.一种基于权利要求1-5中任一项的SM9数字签名分离交互生成系统，其特征是：

所述系统包括两个装置，所述两个装置按所述SM9数字签名分离交互生成方法生成针对消息的数字签名。

7.一种SM9数字签名分离交互生成方法，其特征是：

所述基本方法涉及两个分别标号为第1号和第2号的装置；两个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,2；

在初始化阶段预先计算得到：

P_A＝[(c₁+c₂)^-1]d_A，

g_c＝g^((c₁+c₂)^-1)，

其中d_A是用户的身份标识ID_A所对应的SM9标识私钥，(c₁+c₂)^-1为(c₁+c₂)mod n的模n乘法逆，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成：

首先，两个装置通过交互计算得到w＝g_c^(r₁r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数；

然后，第1号或第2号装置计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h，否则，继续进行后续计算；

第1号装置计算S₁＝[(r₁)^-1]P_A，将S₁发送给第2号装置；

第2号装置接收到S₁后，计算S₂＝[r₂]P_A+[-c₂h]S₁；

第2号装置将S₂发送给第1号装置；

第1号装置检查S₂是否为零元，若是，则报错，或者重新进行数字签名的生成，否则，第1号装置计算S＝[r₁]S₂+[-c₁h]P_A；

则(h,S)即为生成的针对消息M的数字签名。

8.根据权利要求7所述的SM9数字签名分离交互生成方法，其特征是：

两个装置按如下方式计算得到w＝g_c^(r₁r₂)：

第2号装置计算g₂＝g_c^(r₂)，将g₂发送第1号装置；

第1号装置计算w＝g₂^(r₁)；

或者，

第1号装置计算g₁＝g_c^(r₁)，将g₁发送第2号装置；

第2号装置计算w＝g₁^(r₂)。

9.根据权利要求7所述的SM9数字签名分离交互生成方法，其特征是：

在初始化阶段，两个装置获得秘密c₁,c₂，及计算得到P_A、g_c的一种方式如下：

预先知道d_A的装置在[1,n-1]区间内随机选择2个整数c₁、c₂，且使得(c₁+c₂)mod n≠0，然后计算：

P_A＝[(c₁+c₂)^-1]d_A，

g_c＝g^((c₁+c₂)^-1)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,2。

10.一种基于权利要求7-9中任一项的SM9数字签名分离交互生成系统，其特征是：

所述系统包括两个装置，所述两个装置按所述SM9数字签名分离交互生成方法生成针对消息的数字签名。