CN107819585A - Sm9数字签名协同生成方法及系统 - Google Patents

Abstract

发明涉及SM9数字签名协同生成方法：m个装置分别有整数秘密c_i，i＝1,…,m，m≥2；预先计算P_A＝[(c₁c₂…c_m)^‑1]d_A，g_c＝g^((c₁c₂…c_m)^‑1)，d_A是用户私钥，g＝e(P₁,P_pub)，^表示幂运算；当需用d_A针对消息M数字签名时，装置1任选择整数r₁计算g₁＝g_c^r₁；装置i，i＝2,…,m，依次任选整数r_i计算g_i＝(g_i‑1^c_i)(g_c^r_i)；装置m计算h＝H₂(M||g_m,n)；装置1计算S₁＝[(r₁‑c₁h)]P_A；装置i，i＝2,…,m，依次计算S_i＝[c_i]S_i‑1+[r_i]P_A；(h,S_m)即为生成的数字签名。

Description

SM9数字签名协同生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是SM9数字签名协同生成方法及系统。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群，G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9算法能实现基于标识的数字签名、密钥交换及数据加密，但是，通常的基于秘密共享的数字签名方式不适合于SM9算法。所谓基于秘密共享的数字签名，即将用户私钥或者与用户私钥相关的秘密分割成多份(每份称为秘密份额)，由多个装置分别保存，当需要使用用户私钥针对消息签名时，由保存有秘密份额的多个装置使用各自的秘密份额，通过协同计算，得到最终的数字签名。

发明内容

本发明的目的是提出适合于SM9数字签名协同生成方法及系统。

针对本发明的目的，本发明提出的技术方案包括SM9数字签名协同生成方法及系统。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)，[k]P表示k个P在加法群上的加，即P+P+...+P(共有k个P)(若k是负数，则是|k|个P相加的结果的加法逆元)；

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元(乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operat ion)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明的SM9数字签名协同生成方法包括两个方案，具体如下。

方案一、

本发明的SM9数字签名协同生成方法的方案一涉及m个装置，其中m≥2；

m个装置分别标号为第1号到第m号装置；

m个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂,…,c_m，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，c_i是第i号装置保存的秘密，i＝1,…,m；

在初始化阶段预先计算得到：

P_A＝[(c₁c₂…c_m)^-1]d_A，

g_c＝g^((c₁c₂…c_m)^-1)，

其中，d_A是用户的身份标识ID_A所对应的SM9标识私钥(d_A是群G₁中的元)，(c₁c₂…c_m)^-1是(c₁c₂…c_m)的模n乘法逆(即(c₁c₂…c_m)mod n的模n乘法逆)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块，或者m个装置之一中的密码应用程序、系统)：

第1号装置在[1,n-1]区间内随机选择一整数r₁，计算g₁＝g_c^r₁或者g₁＝g_c^(c₁r₁)；

第1号装置将g₁传送给下一个装置即第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，在[1,n-1]区间内随机选择一整数r_i，计算g_i＝(g_i-1^c_i)(g_c^r_i)或者g_i＝(g_i-1(g_c^r_i))^c_i；

若i＝m，则转入计算h，否则，第i号装置将g_i传送给下一装置即第i+1号装置，直到第m号装置完成g_m的计算；

(各装置计算g_i所采用的计算式是独立的，不必相同)

第m号装置取w＝g_m；

m个装置中的一个装置(通常是第1号或第m号装置)：

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示将w转化成字串后与M的字串合并，n为SM9密码算法中群G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则重新进行g₁,…,g_m的计算，直到w≠g^h；

之后，第1号装置按如下计算S₁：

若第1号装置之前计算g₁采用的公式是g₁＝g_c^r₁，则：

S₁＝[r₁-c₁h]P_A；

若第1号装置之前计算g₁采用的公式是g₁＝g_c^(c₁r₁)，则：

S₁＝[c₁r₁-c₁h]P_A；

(此时的r₁与计算g₁时的r₁相同)

第1号装置将S₁发送给下一个装置即第2号装置；

第i号装置接收到S_i-1后，i＝2,…,m，按如下计算S_i：

若第i号装置之前计算g_i采用的公式是g_i＝(g_i-1^c_i)(g_c^r_i)，则：

S_i＝[c_i]S_i-1+[r_i]P_A；

若第1号装置之前计算g_i采用的公式是g_i＝(g_i-1(g_c^r_i))^c_i，则：

S_i＝[c_i](S_i-1+[r_i]P_A)；

(此时的r_i与计算g_i时的r_i相同)

若i＝m，则取S＝S_m，(h,S)即为生成的针对消息M的数字签名，否则，第i号装置将S_i传送给下一装置即第i+1号装置，直到第m号装置完成S_m的计算。

对于以上方案一，在初始化阶段，m个装置获得秘密c₁,…,c_m，及计算得到P_A、g_c的一种方式如下：

预先知道d_A的装置(可以是m个装置中的一个装置或m个装置之外的一个装置)在[1,n-1]区间内随机选择m个整数c₁,…,c_m，计算：

P_A＝[(c₁c₂…c_m)^-1]d_A，g_c＝g^((c₁c₂…c_m)^-1)，其中g＝e(P₁,P_pub)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,…,m(也许包括自己)。

对于以上方案一，若d_A是第1号装置预先知道的，则在初始化阶段，m个装置获得秘密c₁,…,c_m，及计算得到P_A、g_c的另一种方式如下：

第1号装置在[1,n-1]区间内随机选择一个整数c₁，或者在[1,n-1]区间内固定选取一个其他装置不知的整数c₁(即对不同的d_A固定选取c₁的值)，计算Q₁＝[(c₁)^-1]d_A，u₁＝g^((c₁)^-1)，其中g＝e(P₁,P_pub)，然后将Q₁、u₁发送给下一个装置即第2号装置；

第i号装置接收到Q_i-1、u_i-1后，i＝2,…,m，在[1,n-1]区间内随机选择一个整数c_i，或者在[1,n-1]区间内固定选取一个其他装置不知的整数c_i(即对不同的d_A固定选取c_i的值)，计算Q_i＝[(c_i)^-1]Q_i-1，u_i＝u_i-1^((c_i)^-1)；

若i＝m，则取P_A＝Q_m，g_c＝u_m，否则，第i号装置将发送给下一个装置即第i+1号装置，直到完成Q_m、u_m计算；

最后，第m号装置将P_A、g_c分发给其他m-1个装置，第1号装置将d_A销毁。

实际上，计算P_A、g_c中的装置顺序是不重要的；若是第i号装置预先知道d_A，可以采用类似的传递方式计算。

对于以上方案一，若用户的SM9标识私钥d_A同时用于数据解密，则当数据解密过程中需要计算e(d_A,V)时，其中V是群G₂中的一个元，所述m个装置按如下方式进行e(d_A,V)的协同计算：

第1号装置计算v₁＝e(P_A,V)^c₁，将v₁发送给下一个装置即第2号装置；

第i号装置接收v_i-1到后，i＝2,…,m，计算v_i＝v_i-1^c_i；

若i＝m，则v_m即为e(d_A,V)，否则，第i号装置将v_i发送给下一个装置即第i+1号装置，直到i＝m。

方案二、

本发明的SM9数字签名协同生成方法的方案二同样涉及m个装置，其中m≥2；

m个装置分别标号为第1号到第m号装置；

m个装置分别保存有或者通过保存的秘密导出有[1,n-1]区间内的整数秘密c₁,c₂,…,c_m，其中，n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，c_i是第i号装置保存的或通过保存的秘密导出的秘密，i＝1,…,m，且(c₁+c₂+…+c_m)mod n≠0；

在初始化阶段预先计算得到：

P_A＝[(c₁+c₂+…+c_m)^-1]d_A，

g_c＝g^((c₁+c₂+…+c_m)^-1)，

其中，d_A是用户的身份标识ID_A所对应的SM9标识私钥(d_A是群G₁中的元)，(c₁+c₂+…+c_m)^-1是(c₁+c₂+…+c_m)的模n乘法逆(即(c₁+c₂+…+c_m)modn的模n乘法逆)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块，或者m个装置之一中的密码应用程序、系统)：

第i号装置在[1,n-1]区间内随机选择一整数r_i，计算g_i＝g_c^r_i，

i＝1,…,m；

m个装置中的一个装置(可以是其中任一个装置)：

计算w＝g₁g₂…g_m，h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示将w转化成字串后与M的字串合并，n为SM9密码算法中群G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则重新进行g₁,…,g_m的计算，直到w≠g^h；

之后，第i号装置计算S_i＝[(r_i-c_ih)]P_A，i＝1,…,m；

(此时的r_i与计算g_i时的r_i相同)

之后，m个装置中的一个装置计算S＝S₁+S₂+…+S_m；

则(h,S)即为生成的针对消息M的数字签名。

对于以上方案二，在初始化阶段，m个装置获得秘密c₁,…,c_m，及计算得到P_A、g_c的一种方式如下：

预先知道d_A的装置(可以是m个装置中的一个装置或m个装置之外的一个装置)在[1,n-1]区间内随机选择m个整数c₁,…,c_m，且使得

(c₁+c₂+…+c_m)mod n≠0，计算：

P_A＝[(c₁+c₂+…+c_m)^-1]d_A，g_c＝g^((c₁+c₂+…+c_m)^-1)，其中g＝e(P₁,P_pub)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,…,m(也许包括自己)。

对于以上方案二，若用户的SM9标识私钥d_A同时用于数据解密，则当数据解密过程中需要计算e(d_A,V)时，其中V是群G₂中的一个元，所述m个装置按如下方式进行e(d_A,V)的协同计算：

第i号装置计算v_i＝e(P_A,V)^c_i，i＝2,…,m；

一个装置计算v＝v₁v₂…v_m，则v＝e(d_A,V)。

方案二的变形方案、

针对以上所述SM9数字签名协同生成方法的方案二的一种变形如下：

在初始化阶段，预先知道d_A的装置(可以是m个装置中的一个装置或m个装置之外的一个装置)在[1,n-1]区间内随机选择一个整数c和m个整数b₁,b₂,…,b_m，且使得(b₁+b₂+…+b_m)mod n＝1，计算：

P_A＝[c^-1]d_A，g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；

d_i＝[b_i]d_A，i＝1,…,m；

然后将d_A，c，b₁,…,b_m销毁，将P_A、g_c、d_i分发给第i号装置，i＝1,…,m(也许包括自己)；

当需要生成使用用户的SM9标识私钥d_A针对消息M的数字签名时，m个装置，第i号装置按如下方式计算S_i：

S_i＝[r_i]P_A+[-h]d_i，i＝1,…,m；

其他计算、操作不变，包括计算协同计算w以及计算h、S的方式不变。

门限方案、

在以上方案二的基础上可以得出一种SM9数字签名门限生成方法，所述SM9数字签名门限生成方法包括k个装置，k个装置采用(m,k)门限秘密共享的方式进行数字签名的协同生成，k>m≥2；

在初始化阶段，预先知道d_A的装置(k个装置中的一个装置或k个装置之外的一个装置)，在[1,n-1]区间内随机选择一个整数c，然后按门限秘密共享方式将c分割为k份秘密份额，计算P_A＝[c^-1]d_A，g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)，然后将d_A销毁，将P_A、g_c以及k份门限秘密份额分别分发给k个装置(可能包含自己)；

当需要使用用户的SM9标识私钥生成针对消息M的数字签名时，k个装置中的m个装置形成一个组合，组合中的m个装置分别被标号为第1号到第m号装置，组合中的每个装置分别利用其门限秘密并依据当前组合，计算得到(导出)应用前述SM9数字签名协同生成方法的方案二所需的秘密份额(即c₁,…,c_m)，然后m个装置应用前述SM9数字签名协同生成方法的方案二，生成针对消息M的数字签名。

(m个装置组合中的第i号装置所使用的秘密c_i，i＝1,..,m，是第i号装置依据其针对c的门限秘密份额以及当前生成数字签名的m个装置组合计算得到或导出的秘密，比如，对于针对c采用Shamir门限秘密共享，若模n上的m-1次多项为f(x)，则k个装置中的第j个装置的门限秘密为y_j＝f(j)，j＝1,2,…,k；当第j个装置与其他m-1个装置组合进行数字签名时，第j个装置对应的秘密为(a_jy_j)mod n,其中a_j是依据m个装置组合计算得到的参数，若k个装置中的第j个装置是作为生成数字签名的m个装置组合中的第i号装置，则c_i＝(a_jy_j)mod n)。

在以上SM9数字签名协同生成方法包括方案一、方案二以及方案二的变形方案的基础上，可构建SM9数字签名协同生成系统，系统包括m个装置，所述m个装置按所述SM9数字签名协同生成方法生成针对消息的数字签名。

在以上SM9数字签名门限生成方法的基础上，可构建SM9数字签名门限生成系统，系统包括k个装置，k>m≥2，所述k个装置按所述SM9数字签名门限生成方法生成针对消息的数字签名。

从以上描述可以看到，通过本发明的方法，当需要使用用户标识私钥d_A对消息进行数字签名时，m个装置可以协同生成针对消息的数字签名，而且本发明方法也支持数字签名的门限生成，即由k个装置中的m个装置通过门限秘密共享(门限密码运算)生成针对消息的数字签名。

附图说明

无。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

此实施例包括m个分别标号为第1号到第m号的装置，m个装置中的一个装置或m个装置之外的一个装置预先知道d_A，在初始化阶段，m个装置通过如下获得秘密c₁,…,c_m，及计算得到P_A、g_c：

预先知道d_A的装置在[1,n-1]区间内随机选择m个整数c₁,…,c_m，计算：

P_A＝[(c₁c₂…c_m)^-1]d_A，g_c＝g^((c₁c₂…c_m)^-1)，其中g＝e(P₁,P_pub)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,…,m(也许包括自己)；

之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述SM9数字签名协同生成方法的方案一生成针对消息的数字签名。

实施例2、

此实施例包括m个分别标号为第1号到第m号的装置，其中第1号装置预先知道d_A是的，在初始化阶段，m个装置按如下方式获得秘密c₁,…,c_m，及计算得到P_A、g_c：

第1号装置在[1,n-1]区间内随机选择一个整数c₁，计算Q₁＝[(c₁)^-1]d_A，u₁＝g^((c₁)^-1)，其中g＝e(P₁,P_pub)，然后将Q₁、u₁发送给下一个装置即第2号装置；

第i号装置接收到Q_i-1、u_i-1后，i＝2,…,m，在[1,n-1]区间内随机选择一个整数c_i，计算Q_i＝[(c_i)^-1]Q_i-1，u_i＝u_i-1^((c_i)^-1)；

若i＝m，则取P_A＝Q_m，g_c＝u_m，否则，第i号装置将发送给下一个装置即第i+1号装置，直到完成Q_m、u_m计算；

第m号装置将P_A、g_c分发给其他m-1个装置，第1号装置将d_A销毁；

之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述SM9数字签名协同生成方法的方案一生成针对消息的数字签名。

实施例3、

此实施例包括m个分别标号为第1号到第m号的装置，其中第1号装置是用户装置，第1号装置预先用户的SM9标识私钥d_A，余下的m-1个装置是提供密码服务的密码服务器，在初始化阶段，m个装置按如下方式获得秘密c₁,…,c_m，及计算得到P_A、g_c：

第1号装置在[1,n-1]区间内随机选择一个整数c₁，计算Q₁＝[(c₁)^-1]d_A，u₁＝g^((c₁)^-1)，其中g＝e(P₁,P_pub)，然后将Q₁、u₁发送给下一个装置即第2号装置；

第i号装置接收到Q_i-1、u_i-1后，i＝2,…,m，在[1,n-1]区间内固定选取一个其他装置不知的整数c_i(即对不同的d_A固定选取c_i的值)，计算Q_i＝[(c_i)^-1]Q_i-1，u_i＝u_i-1^((c_i)^-1)；

若i＝m，则取P_A＝Q_m，g_c＝u_m，否则，第i号装置将发送给下一个装置即第i+1号装置，直到完成Q_m、u_m计算；

第m号装置将P_A、g_c分发给m个装置，第1号装置将d_A销毁；

之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述SM9数字签名协同生成方法的方案一生成针对消息的数字签名。

实施例4、

此实施例包括m个分别标号为第1号到第m号的装置，m个装置中的一个装置或m个装置之外的一个装置预先知道d_A，在初始化阶段，m个装置通过如下获得秘密c₁,…,c_m，及计算得到P_A、g_c：

预先知道d_A的装置在[1,n-1]区间内随机选择m个整数c₁,…,c_m，且使得(c₁+c₂+…+c_m)mod n≠0，计算：

P_A＝[(c₁+c₂+…+c_m)^-1]d_A，g_c＝g^((c₁+c₂+…+c_m)^-1)，其中g＝e(P₁,P_pub)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,…,m(也许包括自己)；

之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述SM9数字签名协同生成方法的方案二生成针对消息的数字签名。

实施例5、

此实施例包括m个分别标号为第1号到第m号的装置，m个装置中的一个装置或m个装置之外的一个装置预先知道d_A；

在初始化阶段，预先知道d_A的装置(可以是m个装置中的一个装置或m个装置之外的一个装置)在[1,n-1]区间内随机选择一个整数c和m个整数b₁,…,b_m，且使得(b₁+b₂+…+b_m)mod n＝1，计算：

P_A＝[c^-1]d_A，g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；

d_i＝[b_i]d_A，i＝1,…,m；

然后将d_A，c，b₁,…,b_m销毁，将P_A、g_c、d_i分发给第i号装置，i＝1,…,m(也许包括自己)；

之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述SM9数字签名协同生成方法的方案二的变形方案生成针对消息的数字签名。

实施例6、

此实施例包括k个装置，k个装置中的一个装置或之外的一个装置预先知道用户的SM9标识私钥d_A，k个装置采用(m,k)门限秘密共享的方式进行数字签名的协同生成，k>m≥2；在初始化阶段预先知道d_A的装置在k个装置中按门限秘密共享方案共享一个秘密，以及计算得到P_A、g_c：

预先知道d_A的装置在[1,n-1]区间内随机选择一个整数c，然后将c按门限秘密共享方式分割为k份秘密份额；计算P_A＝[c^-1]d_A，g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；然后将d_A销毁，将P_A、g_c以及k份门限秘密份额分别分发给k个装置；

当需要使用用户的SM9标识私钥生成针对消息M的数字签名时，k个装置中的m个装置形成一个组合，采用前述SM9数字签名门限生成方法生成针对消息的数字签名。

依据本发明的方法可以构建相应的SM9数字签名协同生成系统。

若不采用门限秘密共享的方案，则系统包括m个装置，m≥2，这m个装置都是提供密码服务的密码服务器，或者m个装置中的一个装置是用户装置，其余的m-1个装置是提供密码服务的密码服务器，当需要使用用户的SM9标识私钥针对消息进行数字签名时，m个装置通过实施本发明的SM9数字签名协同生成方法的方案一或方案二或方案二的变形方案，包括实施前述实施例1-5，协同生成使用用户的SM9标识私钥、针对消息的数字签名。

若采用(m,k)门限秘密共享的方案，k>m≥2，则系统包括k个装置，这k个装置都是提供密码服务的密码服务器，或者k个装置中的一个装置是用户装置，其余的k-1个装置是提供密码服务的密码服务器，当需要使用用户的SM9标识私钥针对消息进行数字签名时，此k个装置中的m个装置利用门限秘密共享份额，实施本发明的SM9数字签名门限生成方法，包括实施前述实施例6，协同生成使用用户的SM9标识私钥、针对消息的数字签名。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims (10)

1.一种SM9数字签名协同生成方法，其特征是：

所述方法涉及m个装置，其中m≥2；

m个装置分别标号为第1号到第m号装置；

m个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂,…,c_m，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,…,m；

在初始化阶段预先计算得到：

P_A＝[(c₁c₂…c_m)^-1]d_A，

g_c＝g^((c₁c₂…c_m)^-1)，

其中，d_A是用户的身份标识ID_A所对应的SM9标识私钥，(c₁c₂…c_m)^-1是(c₁c₂…c_m)的模n乘法逆，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：

第1号装置在[1,n-1]区间内随机选择一整数r₁，计算g₁＝g_c^r₁或者g₁＝g_c^(c₁r₁)；

第1号装置将g₁传送给下一个装置即第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，在[1,n-1]区间内随机选择一整数r_i，计算g_i＝(g_i-1^c_i)(g_c^r_i)或者g_i＝(g_i-1(g_c^r_i))^c_i；

若i＝m，则转入计算h，否则，第i号装置将g_i传送给下一装置即第i+1号装置，直到第m号装置完成g_m的计算；

第m号装置取w＝g_m；

m个装置中的一个装置：

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示将w转化成字串后与M的字串合并，n为SM9密码算法中群G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则重新进行g₁,…,g_m的计算，直到w≠g^h；

之后，第1号装置按如下计算S₁：

若第1号装置之前计算g₁采用的公式是g₁＝g_c^r₁，则：

S₁＝[r₁-c₁h]P_A；

若第1号装置之前计算g₁采用的公式是g₁＝g_c^(c₁r₁)，则：

S₁＝[c₁r₁-c₁h]P_A；

第1号装置将S₁发送给下一个装置即第2号装置；

第i号装置接收到S_i-1后，i＝2,…,m，按如下计算S_i：

若第i号装置之前计算g_i采用的公式是g_i＝(g_i-1^c_i)(g_c^r_i)，则：

S_i＝[c_i]S_i-1+[r_i]P_A；

若第1号装置之前计算g_i采用的公式是g_i＝(g_i-1(g_c^r_i))^c_i，则：

S_i＝[c_i](S_i-1+[r_i]P_A)；

若i＝m，则取S＝S_m，(h,S)即为生成的针对消息M的数字签名，否则，第i号装置将S_i传送给下一装置即第i+1号装置，直到第m号装置完成S_m的计算。

2.根据权利要求1所述的SM9数字签名协同生成方法，其特征是：

在初始化阶段，m个装置获得秘密c₁,…,c_m，及计算得到P_A、g_c的一种方式如下：

预先知道d_A的装置在[1,n-1]区间内随机选择m个整数c₁,…,c_m，计算：

P_A＝[(c₁c₂…c_m)^-1]d_A，g_c＝g^((c₁c₂…c_m)^-1)，其中g＝e(P₁,P_pub)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,…,m。

3.根据权利要求1所述的SM9数字签名协同生成方法，其特征是：

若d_A是第1号装置预先知道的，则在初始化阶段，m个装置获得秘密c₁,…,c_m，及计算得到P_A、g_c的一种方式如下：

第1号装置在[1,n-1]区间内随机选择一个整数c₁，或者在[1,n-1]区间内固定选取一个其他装置不知的整数c₁，计算Q₁＝[(c₁)^-1]d_A，u₁＝g^((c₁)^-1)，其中g＝e(P₁,P_pub)，然后将Q₁、u₁发送给下一个装置即第2号装置；

第i号装置接收到Q_i-1、u_i-1后，i＝2,…,m，在[1,n-1]区间内随机选择一个整数c_i，或者在[1,n-1]区间内固定选取一个其他装置不知的整数c_i，计算Q_i＝[(c_i)^-1]Q_i-1，u_i＝u_i-1^((c_i)^-1)；

若i＝m，则取P_A＝Q_m，g_c＝u_m，否则，第i号装置将发送给下一个装置即第i+1号装置，直到完成Q_m、u_m计算；

最后，第m号装置将P_A、g_c分发给其他m-1个装置，第1号装置将d_A销毁。

4.一种基于权利要求1-3中任一项的SM9数字签名协同生成系统，其特征是：

所述系统包括m个装置，所述m个装置按所述SM9数字签名协同生成方法生成针对消息的数字签名。

5.一种SM9数字签名协同生成方法，其特征是：

所述方法涉及m个装置，其中m≥2；

m个装置分别标号为第1号到第m号装置；

m个装置分别保存有或者通过保存的秘密导出有[1,n-1]区间内的整数秘密c₁,c₂,…,c_m，其中，n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的或通过保存的秘密导出的秘密，i＝1,…,m，且(c₁+c₂+…+c_m)mod n≠0；

在初始化阶段预先计算得到：

P_A＝[(c₁+c₂+…+c_m)^-1]d_A，

g_c＝g^((c₁+c₂+…+c_m)^-1)，

其中，d_A是用户的身份标识ID_A所对应的SM9标识私钥，(c₁+c₂+…+c_m)^-1是(c₁+c₂+…+c_m)的模n乘法逆，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：

第i号装置在[1,n-1]区间内随机选择一整数r_i，计算g_i＝g_c^r_i，i＝1,…,m；

m个装置中的一个装置：

计算w＝g₁g₂…g_m，h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示将w转化成字串后与M的字串合并，n为SM9密码算法中群G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则重新进行g₁,…,g_m的计算，直到w≠g^h；

之后，第i号装置计算S_i＝[(r_i-c_ih)]P_A，i＝1,…,m；

之后，m个装置中的一个装置计算S＝S₁+S₂+…+S_m；

则(h,S)即为生成的针对消息M的数字签名。

6.根据权利要求5所述的SM9数字签名协同生成方法，其特征是：

在初始化阶段，m个装置获得秘密c₁,…,c_m，及计算得到P_A、g_c的一种方式如下：

预先知道d_A的装置在[1,n-1]区间内随机选择m个整数c₁,…,c_m，且使得(c₁+c₂+…+c_m)mod n≠0，计算：

P_A＝[(c₁+c₂+…+c_m)^-1]d_A，g_c＝g^((c₁+c₂+…+c_m)^-1)，其中g＝e(P₁,P_pub)；

然后将d_A销毁，将P_A、g_c、c_i分发给第i号装置，i＝1,…,m。

7.根据权利要求5所述的SM9数字签名协同生成方法，其特征是：

针对所述SM9数字签名协同生成方法的一种变形如下：

在初始化阶段，预先知道d_A的装置在[1,n-1]区间内随机选择一个整数c和m个整数b₁,b₂,…,b_m，且使得(b₁+b₂+…+b_m)mod n＝1，计算：

P_A＝[c^-1]d_A，g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；

d_i＝[b_i]d_A，i＝1,…,m；

然后将d_A，c，b₁,…,b_m销毁，将P_A、g_c、d_i分发给第i号装置，i＝1,…,m；

当需要生成使用用户的SM9标识私钥d_A针对消息M的数字签名时，m个装置，第i号装置按如下方式计算S_i：

S_i＝[r_i]P_A+[-h]d_i，i＝1,…,m；

其他计算、操作不变，包括计算协同计算w以及计算h、S的方式不变。

8.一种基于权利要求5的SM9数字签名门限生成方法，其特征是：

所述SM9数字签名门限生成方法包括k个装置，k个装置采用(m,k)门限秘密共享的方式进行数字签名的协同生成，k>m≥2；

在初始化阶段，预先知道d_A的装置，在[1,n-1]区间内随机选择一个整数c，然后按门限秘密共享方式将c分割为k份秘密份额，计算P_A＝[c^-1]d_A，g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)，然后将d_A销毁，将P_A、g_c以及k份门限秘密份额分别分发给k个装置；

当需要使用用户的SM9标识私钥生成针对消息M的数字签名时，k个装置中的m个装置形成一个组合，组合中的m个装置分别被标号为第1号到第m号装置，组合中的每个装置分别利用其门限秘密并依据当前组合，计算得到应用前述SM9数字签名协同生成方法所需的秘密份额，然后m个装置应用前述SM9数字签名协同生成方法，生成针对消息M的数字签名。

9.一种基于权利要求5-7中任一项的SM9数字签名协同生成系统，其特征是：

所述系统包括m个装置，所述m个装置按所述SM9数字签名协同生成方法生成针对消息的数字签名。

10.一种基于权利要求8的SM9数字签名门限生成系统，其特征是：

所述系统包括k个装置，k>m≥2，所述k个装置按所述SM9数字签名门限生成方法生成针对消息的数字签名。