CN108667619B - 一种sm9数字签名的白盒实现方法与装置 - Google Patents

Abstract

本发明公开了一种SM9数字签名的白盒实现方法与装置，该方法包括以下步骤：1)生成白盒密钥：由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥，用户生成白盒密钥；2)生成白盒签名：身份为ID_A的用户User生成消息M对应白盒签名；3)验证白盒签名：验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行验证。本发明实现了白盒安全的SM9数字签名生成，可以在不泄漏签名私钥的情况下生成正确的SM9数字签名。

Description

一种SM9数字签名的白盒实现方法与装置

技术领域

本发明涉及密码学技术，尤其涉及一种SM9数字签名的白盒实现方法与装置。

背景技术

数字签名是伴随着信息网络技术的发展而出现的一种安全保障技术，目的就是通过技术手段实现传统的纸面签字或者盖章的功能，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。数字签名是公钥密码体系中重要的一部分，在很多场合有着重要的作用。

SM9标识密码算法是一种基于双线性对的标识密码算法，它可以把用户的身份标识用以生成用户的公、私密钥对。SM9的应用与管理不需要数字证书、证书库或密钥库，主要用于数字签名、数据加密、密钥交换以及身份认证等。该算法于2015年发布为国家密码行业标准(GM/T 0044-2016)。

目前，绝大多数的签名方案都是基于黑盒攻击模型，在这种模型中，攻击者只能对方案机型黑盒访问，而不能知道程序运行时内部的状态。但是在现实中，存在白盒攻击，攻击者对运行程序的设备终端拥有完全的控制能力，攻击者可以对程序运行的二进制追踪、读取内存中的密钥、观察程序执行的中间结果、任意的静态分析以及改变计算结果等。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种SM9数字签名的白盒实现方法与装置，本发明方法由密钥生成中心KGC和用户User共同完成，既能保证签名的正确性，又能确保用户签名私钥的白盒安全性。

本发明解决其技术问题所采用的技术方案是：一种SM9数字签名的白盒实现方法，包括以下步骤：

1)生成白盒密钥

1.1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

其中，ks是系统主私钥；n为循环群

和

的阶；

1.2)用户User从{1,2,…,n-1}选择k个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

1.3)用户User从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₆＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；

1.4)删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

2)生成白盒签名

身份为ID_A的用户User生成消息M对应白盒签名的步骤如下：

2.1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2.2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；

2.3)输出签名(h,S′)，即为消息M对应白盒签名；

3)验证白盒签名

验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行如下验证步骤：

3.1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

3.2)将h二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

3.3)计算u₂＝e(S′,P)，计算

3.4)计算g＝e(P₁,P_pub-s)，t＝g^h；

3.5)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s，w＝u·t；

3.6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

一种SM9数字签名的白盒实现方法，包括以下步骤：

1)生成白盒密钥

1.1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

其中，ks是系统主私钥；n为循环群

和

的阶；

1.2)由密钥生成中心KGC产生均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

1.3)密钥生成中心KGC从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₆＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；

1.4)删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

2)生成白盒签名

身份为ID_A的用户User生成消息M对应白盒签名的步骤如下：

2.1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2.2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；

2.3)输出签名(h,S′)，即为消息M对应白盒签名；

3)验证白盒签名

验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行如下验证步骤：

3.1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

3.2)将h二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

3.3)计算u₂＝e(S′,P)，计算

3.4)计算g＝e(P₁,P_pub-s)，t＝g^h；其中，P_pub-s为系统主公钥；

3.5)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s，w＝u·t；

3.6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

按上述方案，所述步骤2)中，生成白盒签名的具体步骤如下：

身份为ID_A的用户User使用两个设备P₁和P₂协同产生SM9数字签名，其中，设备P₁保存元组{α₁,α₂,…,α_k}和{X₁,X₂,…,X_k}，P₂保存元组{Y₁,Y₂,…,Y₂₅₆}，签名过程中如下：

2.1)在设备P₁中生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和h＝H₂(M||w′,n)，然后P₁将h发送给P₂；

2.2)设h的二进制表示为h₂₅₆r₂₅₅…h₂h₁，在设备P₂中计算

并将S₂发送给P₁；

2.3)在设备P₁中计算S′＝S₁+S₂并输出签名(h,S′)。

一种SM9数字签名的白盒实现装置，包括：

白盒密钥生成模块，用于身份为ID_A的用户User根据密钥生成中心KGC产生的签名私钥，生成白盒密钥；具体如下：

1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

其中，ks是系统主私钥；n为循环群

和

的阶；

2)用户User从{1,2,…,n-1}选择k个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

3)用户User从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₅＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；

4)用户User删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

白盒签名生成模块，用于身份为ID_A的用户User生成消息M对应白盒签名；具体如下：以下步骤由用户User执行：

1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；

3)输出签名(h,S′)，即为消息M对应白盒签名；

白盒签名验证模块，用于验证者Verifier对收到的消息M以及对应的白盒签名(h,S′)进行验证，具体如下：以下步骤由验证者Verifier执行：

1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

2)将h二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

3)计算u₂＝e(S′,P)，计算

4)计算g＝e(P₁,P_pub-s)，t＝g^h；P_pub-s为系统主公钥；

5)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s，w＝u·t；

6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

本发明产生的有益效果是：

1.目前现有的签名方案都是基于黑盒安全的，一旦攻击者对方案进行白盒攻击，攻击者可以直接得到用户的私钥。本发明实现了白盒安全的SM9数字签名生成，可以在不泄漏签名私钥的情况下生成正确的SM9数字签名；

2.本发明方案通过KGC和用户的预计算，大大提高了签名方案的效率。

3.根据本发明方案的特性，本发明可以用作协同生成SM9数字签名，用户ID_A可以使用两个设备P₁和P₂协同产生SM9数字签名，提高签名的安全度。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明公开了一种SM9数字签名的白盒实现方法，SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：

时，其中

是加法循环群，

是一个乘法循环群，

的阶是素数n(注：本发明使用的参数参考SM9标准的参数，在SM9规范中，

的阶用的是大写字母N，本专利申请采用小写n)

本发明通过以下技术方案实现：密钥生成中心KGC和用户User参加算法生成，User使用盲化过的随机数和签名私钥对消息进行签名，最后User输出盲化过的的签名(h,S′)。

一、符号及定义

KGC:密钥生成中心

User:用户。

阶为素数n的加法循环群。

阶为素数n的乘法循环群。

e:从

到

的双线性对。

g^u:乘法群

中g的u次幂。

H₁(·),H₂(·):由{0,1}^*到

的密码杂凑函数。

ID_A:用户的标识，可以唯一确定用户的公钥。

D_A:用户ID_A的签名私钥。

mod n:模n运算。例如27mod 5≡2。

n:循环群

和

的阶，且n>2¹⁹¹为素数。

P₁,P₂:分别是群

和

的生成元。

[u]P:加法群

中元素P的u倍。

x||y:x与y的拼接，其中x和y是比特串或字节串。

[x,y]：不小于x且不大于y的整数的集合。

hid：签名私钥是用户在产生数字签名时需要用到的一个秘密值，不可泄露。

Π:连乘运算。例如

表示

Σ:连加运算。例如∑_i＝1,3,5[u_i]P表示[u₁]P+[u₃]P+[u₅]P。

本发明方法包括：生成白盒密钥、生成白盒签名和验证白盒签名3个步骤。其过程如下：

1)身份为ID_A的用户User从KCG获得私钥D_A＝[t₂]P₁后，User执行如下步骤生成白盒密钥，这里第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

ks是系统主私钥。

n为循环群

和

的阶，g＝e(P₁,P_pub-s)，e为双线性对运算，P₁为

的生成元，P_pub-s为系统主公钥；

1.1)从{1,2,…,n-1}选择k(k≥256)个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；

1.2)从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y_２＝-[2]D_A+[y₂]D_A,…,Y₂₅₅＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；

1.3)删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}。

2)身份为ID_A的用户User生成消息M对应白盒签名的步骤如下：

2.1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2.2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；

2.3)输出签名(h,S′)。

3)验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行如下验证步骤：

3.1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

3.2)将h二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

3.3)计算u₂＝e(S′,P)，计算

3.4)计算g＝e(P₁,P_pub-s)，t＝g^h；

3.5)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s，w＝u·t；

3.6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

进一步的，根据本方案的特性，本方案可以用作协同生成SM9数字签名。用户ID_A可以使用两个设备P₁和P₂协同产生SM9数字签名，P₁保存元组{α₁,α₂,…,α_k}和{X₁,X₂,…,X_k}，P₁保存元组{Y₁,Y₂,…,Y₂₅₆}，签名过程中如下：

(1)P₁生成一个k比特的随机串r，假其二进制表示为r_k…r₂r₁，并计算

和h＝H₂(M||w′,n)。P₁将h发送给P₂；

(2)设h的二进制表示为h₂₅₆r₂₅₅…h₂h₁，P₂计算

并将S₂发送给P₁；

(3)P₁计算S′＝S₁+S₂并输出签名(h,S′)。

在本方案中，为了减少用户User的计算量和通讯开销，可由KGC选择白盒随机数{x₁,x₂,…,x_i,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}作为系统部分主私钥，使得所有用户产生白盒密钥时使用相同的主私钥。KGC计算元组

元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}、元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₆＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}。将元组{β₁,β₂,…,β₂₅₆}作为系统参数，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥。

相应的，基于本发明的方法，还提供了一种SM9数字签名的白盒实现装置，包括：

白盒密钥生成模块，用于身份为ID_A的用户User根据密钥生成中心KGC产生的签名私钥，生成白盒密钥；具体如下：

1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

其中，ks是系统主私钥；n为循环群

和

的阶；

2)用户User从{1,2,…,n-1}选择k个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

3)用户User从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₅＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；

4)用户User删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

白盒签名生成模块，用于身份为ID_A的用户User生成消息M对应白盒签名；具体如下：以下步骤由用户User执行：

1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；

3)输出签名(h,S′)，即为消息M对应白盒签名；

白盒签名验证模块，用于验证者Verifier对收到的消息M以及对应的白盒签名(h,S′)进行验证，具体如下：以下步骤由验证者Verifier执行：

1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

2)将h二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算

3)计算u₂＝e(S′,P)，计算

4)计算g＝e(P₁,P_pub-s)，t＝g^h；P_pub-s为系统主公钥；

5)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s，w＝u·t；

6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (4)

1.一种SM9数字签名的白盒实现方法，其特征在于，包括以下步骤：

1)生成白盒密钥

1.1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

其中，ks是系统主私钥；n为循环群

和

的阶；P₁、P₂分别是群

的生成元；hid为签名私钥时用户在产生数字签名时用到的一个秘密值；H₁(·)为由{0,1}^*到

的密码杂凑函数；

1.2)用户User从{1,2,…,n-1}选择k个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

1.3)用户User从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₆＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…，β₂₅₆}作为公开参数被公开；

1.4)删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

2)生成白盒签名

身份为ID_A的用户User生成消息M对应白盒签名的步骤如下：

2.1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2.2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；H₂(·)为由{0,1}^*到

的密码杂凑函数；

2.3)输出签名(h,S′)，即为消息M对应白盒签名；

3)验证白盒签名

验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行如下验证步骤：

3.1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

3.2)将h二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算

3.3)计算g＝e(P₁,P_pub-s)，t＝g^h；P_pub-s为系统主公钥；

3.4)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s；

3.5)计算u₂＝e(S′,P)，计算

w＝u·t；

3.6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

2.一种SM9数字签名的白盒实现方法，其特征在于，包括以下步骤：

1)生成白盒密钥

1.1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

其中，ks是系统主私钥；n为循环群

和

的阶；P₁、P₂分别是群

的生成元；hid为签名私钥时用户在产生数字签名时用到的一个秘密值；H₁(·)为由{0,1}^*到

的密码杂凑函数；

1.2)由密钥生成中心KGC产生均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

1.3)密钥生成中心KGC从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₆＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；

1.4)删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

2)生成白盒签名

身份为ID_A的用户User生成消息M对应白盒签名的步骤如下：

2.1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2.2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；H₂(·)为由{0,1}^*到

的密码杂凑函数；

2.3)输出签名(h,S′)，即为消息M对应白盒签名；

3)验证白盒签名

验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行如下验证步骤：

3.1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

3.2)将h二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算

3.3)计算g＝e(P₁,P_pub-s)，t＝g^h；其中，P_pub-s为系统主公钥；

3.4)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s；

3.5)计算u₂＝e(S′,P)，计算

w＝u·t；

3.6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

3.根据权利要求1或2所述的方法，其特征在于，所述步骤2)中，生成白盒签名的具体步骤如下：

身份为ID_A的用户User使用两个设备P₁和P₂协同产生SM9数字签名，其中，设备P₁保存元组{α₁,α₂,…,α_k}和{X₁,X₂,…,X_k}，P₂保存元组{Y₁,Y₂,…,Y₂₅₆}，签名过程中如下：

2.1)在设备P₁中生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和h＝H₂(M||w′,n)，然后P₁将h发送给P₂；

2.2)设h的二进制表示为h₂₅₆h₂₅₅…h₂h₁，在设备P₂中计算

并将S₂发送给P₁；

2.3)在设备P₁中计算S′＝S₁+S₂并输出签名(h,S′)。

4.一种SM9数字签名的白盒实现装置，包括：

白盒密钥生成模块，用于身份为ID_A的用户User根据密钥生成中心KGC产生的签名私钥，生成白盒密钥；具体如下：

1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数

其中，ks是系统主私钥；n为循环群

和

的阶；P₁、P₂分别是群

的生成元；hid为签名私钥时用户在产生数字签名时用到的一个秘密值；H₁(·)为由{0,1}^*到

的密码杂凑函数；

2)用户User从{1,2,…,n-1}选择k个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组

和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

3)用户User从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组

和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₅＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；

4)用户User删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

白盒签名生成模块，用于身份为ID_A的用户User生成消息M对应白盒签名；具体如下：以下步骤由用户User执行：

1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算

和

2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算

令S′＝S₁+S₂；H₂(·)为由{0,1}^*到

的密码杂凑函数；

3)输出签名(h,S′)，即为消息M对应白盒签名；

白盒签名验证模块，用于验证者Verifier对收到的消息M以及对应的白盒签名(h,S′)进行验证，具体如下：以下步骤由验证者Verifier执行：

1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群

中，如果不是则验证不通过，否则进入下一步；

2)将h二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算

3)计算g＝e(P₁,P_pub-s)，t＝g^h；其中，P_pub-s为系统主公钥；

4)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s；

5)计算u₂＝e(S′,P)，计算

w＝u·t；

6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。

Images