CN108667627A - 基于两方协同的sm2数字签名方法 - Google Patents

Abstract

本发明公开了一种基于两方协同的SM2数字签名方法，具体如下：参与签名的两方分别生成各自的公私钥对(d_A，P_A)，(d_B，P_B)和签名验证公钥P_AB；签名时，A和B首先协商出一个会话密钥sk。接下来，A和B分别选择随机数k_A∈Z_n，k_B∈Z_n计算R_A＝[k_A]G，R_B＝[k_B]G，并用会话密钥加密后发送给对方。最后A计算部分签名；B计算部分签名，并以密文形式发送给A。本发明适用于在两方不泄露各自部分签名密钥的情况下共同完成SM2协同签名，产生签名的过程必须有双方同时参与，且生成签名的过程中不恢复完整的签名密钥，保证了签名密钥的安全性，提高了双方参与签名的公平性。

Description

基于两方协同的SM2数字签名方法

技术领域

本发明涉及信息安全技术，尤其涉及一种基于两方协同的SM2数字签名方法。

背景技术

数字签名是数字化环境下的对传统手写签名的模拟，可以提供数字信息的不可伪造性、认证性和完整性。通常情况下，一方生成数字签名，可以被其他方公开验证。随着互联网的发展，数字签名技术已经应用于金融、商务、军事和外交等诸多领域。为了降低签名权利集中或签名密钥丢失带来的风险，一些特殊的文档，如高机密的文件通常需要多人协同才能完成签名。

针对这类问题，常见的解决方法是采用门限秘密共享方案。在这种方法中，签名密钥被分割成t个子密钥，并安全地分给t个参与者掌管，这些参与者中的k个及以上所构成的子集可以重构签名密钥，少于k个参与者则无法获得完整签名密钥。然而，恢复出完整签名密钥之后，持有完整签名密钥的一方就可以在其他参与方不知情的情况下独立地进行签名，从而破坏了系统的安全性和公平性。特别是在只有两个参与方的情况下，某一方恢复并持有完整签名密钥，就可以在另一方不知情的情况下，独立地进行签名，给系统造成利益损失。

针对这种情况，本发明设计了一种两方协同SM2数字签名方案，实现两个参与方之间协同完成数字签名，该签名必须由两方共同参与，并且在签名过程中没有恢复完整的签名密钥，即保证签名的正确性，又能保证签名密钥的安全性。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种基于两方协同的SM2数字签名方法及系统。

本发明解决其技术问题所采用的技术方案是：基于两方协同的SM2数字签名方法，包括以下步骤：

1)参与协同签名的签名方A和签名方B，以密钥生成中心作为可信第三方，生成签名公私钥、通信会话密钥和其他参数；

1.1)签名方A随机选择一个大整数d_A∈Z_n作为私钥，计算对应的公钥为P_A＝[d_A]G；签名方B随机选择一个大整数d_B∈Z_n作为私钥，计算对应的公钥为P_B＝[d_B]G；其中，Z_n为模大整数n的剩余类；

1.2)B发送P_B给A；

1.3)A计算可公开签名验证公钥P_AB＝[d_A]P_B-G；

1.4)A和B分别以大整数1/d_A和1/d_B为输入运行π_mul，A得到输出t_A′，B得到输出t′_B，即满足

其中，1/d_A为大整数d_A∈Z_n模n的逆，即d_A·1/d_A＝1(mod n)；1/d_B为大整数d_B∈Z_n模n的逆；

π_mul为预设的一种基于不经意传输协议的乘法器，该乘法器定义如下：由两个参与方A,B运行，A,B对π_mul输入分别为大整数a∈Z_n和b∈Z_n，π_mul分别返回输出大整数t′_A和t′_B给A,B，使其满足t′_A+t′_B＝a·b；

1.5)A秘密保存参数(d_A,P_A,P_B,t′_A)，公开公钥P_AB；B秘密保存参数(d_B,P_A,P_B,t′_B)；

2)A和B协商产生一个会话密钥sk；

3)A选择随机数k_A∈Z_n，计算R_A＝[k_A]G，并对其进行加密，记作C₁＝Enc_sk(R_A)；B选择随机数k_B∈Z_n，计算R_B＝[k_B]G并对其进行加密，记作C₂＝Enc_sk(R_B)；

4)A发送C₁给B；B计算R_A＝Dec_sk(C₁)和α＝h(R_A,R_B,sk)，将(C₂,α)发送给A；

5)A计算R_B＝Dec_sk(C₂)和β＝h(R_A,R_B,sk)，验证α是否与β相等，如果不相等则终止签名，如果相等，A计算e＝h(M)，[x₁,y₁]←[k_A]R_B和r＝e+x₁，并将β发送给B；

6)B验证α是否与β是否相等，如果不相等则终止签名，如果相等则计算e＝h(M)，[x₁,y₁]←[k_B]R_A和r＝e+x₁，执行下一步；

7)A和B共同运行π_mul：A的输入为B的输入为A的输出为t″_A，B的输出为t″_B，即满足

8)B计算Sig_B＝t″_B+r·t′_B，再计算C₃＝Enc_sk(Sig_B)，B把C₃发送给A；

9)A解密得Sig_B＝Dec_sk(C₄)，然后计算A计算Sig_A＝t″_A+r·t′_A和s＝Sig_A+Sig_B-r，获得最终签名结果(r,s)；

本发明产生的有益效果是：本发明适用于在两方不泄露各自部分签名密钥的情况下共同完成SM2协同签名，产生签名的过程必须有双方同时参与，且生成签名的过程中不恢复完整的签名密钥，保证了签名密钥的安全性，提高了双方参与签名的公平性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的初始化步骤示意图；

图2是本发明实施例的协同签名步骤示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明提出了一种基于两方协同的SM2数字签名方法，下面给出具体描述。

符号及定义：

G：椭圆曲线上的基点；

h()：密码杂凑函数；

A,B：参与签名的两方；

d_A,d_B：签名参与方A,B对应的私钥；

P_A,P_B：签名参与方对应的公钥；

P_AB:用于验证最终签名正确性的可公开公钥；

sk：会话密钥；

M：待签名的消息；

e：待签名的消息的杂凑值；

n：基点G的阶(n是素因子)；

mod n：模n运算，例如，23mod 7＝2；

k_A,k_B：签名参与方A，B选择的随机数；

R_A,R_B：签名参与方A，B计算的椭圆曲线点；

t′_A,t′_B,t″_A,t″_B：模n大整数；

[k]P：椭圆曲线上点P的k倍点，即k是正整数；

大整数x∈Z_n模n的逆，即

a·b：整数a,b相乘；

Enc_sk()：密钥为sk的对称加密算法；

Dec_sk()：密钥为sk的对称解密算法；

C₁,C₂,C₃：密文；

α,β：杂凑值；

Sig_A,Sig_B：签名参与方A，B分别计算的部分签名值；

(r,s)：签名结果；

[x₁,y₁]←P：椭圆曲线上点P的横坐标为x₁，纵坐标为y₁；

基于不经意传输的乘法器：

本发明使用一种基于不经意传输协议的乘法器，记为π_mul，该乘法器由两个参与方A,B运行，A,B对π_mul输入分别为大整数a和b，π_mul分别返回输出大整数t′_A和t′_B给A,B，使其满足t′_A+t′_B＝a·b。

基于两方协同的SM2数字签名方法，包括以下步骤：

一、初始化，如图1所示：

在本发明中，针对参与协同签名的两方，分别产生签名公私钥、通信会话密钥和其他参数，操作如下：

1.签名方A随机选择一个大整数d_A∈Z_n作为私钥，计算对应的公钥为P_A＝[d_A]G；签名方B随机选择一个大整数d_B∈Z_n作为私钥，计算对应的公钥为P_B＝[d_B]G。

2.B发送P_B给A。

3.A计算P_AB＝[d_A]P_B-G，并把计算结果公布。

4.A和B分别以1/d_A和1/d_B为输入运行π_mul，A得到输出t′_A，B得到输出t′_B，使之满足

5.A秘密保存参数(d_A,P_A,P_B,P_AB,t′_A)；B秘密保存参数(d_B,P_A,P_B,t′_B)。

二、两方协同SM2签名，如图2所示，：

在本发明中，数字签名由两方A和B协同完成，具体操作如下：

1.A和B协商产生一个会话密钥sk。

2.A选择随机数k_A∈Z_n，计算R_A＝[k_A]G并对其进行加密，记作C₁＝Enc_sk(R_A)；B选择随机数k_B∈Z_n，计算R_B＝[k_B]G并对其进行加密，记作C₂＝Enc_sk(R_B)。

3.A发送C₁给B。

4.B计算R_A＝Dec_sk(C₁)和α＝h(R_A,R_B,sk)，将(C₂,α)发送给A。

5.A计算R_B＝Dec_sk(C₂)和β＝h(R_A,R_B,sk)，验证α是否与β相等，如果不相等则终止签名，如果相等，A计算e＝h(M)，[x₁,y₁]←[k_A]R_B和r＝e+x₁，并将β发送给B，与B协同执行步骤7。

6.B验证α是否与β是否相等，如果不相等则终止签名，如果相等则计算e＝h(M)，[x₁,y₁]←[k_B]R_A和r＝e+x₁，执行下一步。

7.A和B共同运行π_mul：A的输入为B的输入为A的输出为t″_A，B的输出为t″_B，即满足

8.B计算Sig_B＝t″_B+r·t′_B，再计算C₃＝Enc_sk(Sig_B)，B把C₃发送给A。

9.A解密得Sig_B＝Dec_sk(C₄)，计算Sig_A＝t″_A+r·t′_A和s＝Sig_A+Sig_B-r，获得最终签名结果(r,s)；

三、两方协同SM2签名验证，签名的验证方法与SM2签名验证方法相同，其中验证签名的公钥为P_AB。

本发明实现了安全高效的SM2协同签名，签名过程中保证签名的两方参与方不会暴露各自的签名密钥，同时签名必须由双方同时参与才能完成，从而提高了签名方案的安全性和公平性。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (1)

1.一种基于两方协同的SM2数字签名方法，其特征在于，包括以下步骤：

1)参与协同签名的签名方A和签名方B，各自生成签名公私钥、协同通信会话密钥和其他参数；

1.1)签名方A随机选择一个大整数d_A∈Z_n作为私钥，计算对应的公钥为P_A＝[d_A]G；签名方B随机选择一个大整数d_B∈Z_n作为私钥，计算对应的公钥为P_B＝[d_B]G，签名方A，B计算签名验证公钥；

其中，Z_n为模大整数n的剩余类；

1.2)B发送P_B给A；

1.3)A计算可公开签名验证公钥P_AB＝[d_A]P_B-G；

1.4)A和B分别以大整数1/d_A和1/d_B为输入运行π_mul，A得到输出t′_A，B得到输出t′_B，即满足

其中，1/d_A为大整数d_A∈Z_n模n的逆，即d_A·1/d_A＝1(mod n)；1/d_B为大整数d_B∈Z_n模n的逆；

π_mul为预设的一种基于不经意传输协议的乘法器，该乘法器定义如下：由两个参与方A,B运行，A,B对π_mul输入分别为大整数a∈Z_n和b∈Z_n，π_mul分别返回输出大整数t′_A和t′_B给A,B，使其满足t′_A+t′_B＝a·b；

1.5)A秘密保存参数(d_A,P_A,P_B,t′_A)；B秘密保存参数(d_B,P_A,P_B,t′_B)；A公布P_AB。

2)A和B协商产生一个会话密钥sk；

3)A选择随机数k_A∈Z_n，计算R_A＝[k_A]G，并对其进行加密，记作C₁＝Enc_sk(R_A)；B选择随机数k_B∈Z_n，计算R_B＝[k_B]G并对其进行加密，记作C₂＝Enc_sk(R_B)

4)A发送C₁给B；B计算R_A＝Dec_sk(C₁)和α＝h(R_A,R_B,sk)，将(C₂,α)发送给A；

5)A计算R_B＝Dec_sk(C₂)和β＝h(R_A,R_B,sk)，验证α是否与β相等，如果不相等则终止签名，如果相等，A计算e＝h(M)，[x₁,y₁]←[k_A]R_B和r＝e+x₁，并将β发送给B；

6)B验证α是否与β是否相等，如果不相等则终止签名，如果相等则计算e＝h(M)，[x₁,y₁]←[k_B]R_A和r＝e+x₁，执行下一步；

7)A和B共同运行πmul：A的输入为B的输入为A的输出为t_A″，B的输出为t″_B，即满足

8)A计算Sig_A＝t″_A+r·t′_A；B计算Sig_B＝t″_B+r·t′_B，再计算C₃＝Enc_sk(Sig_B)，B把C₃发送给A；

9)A解密得Sig_B＝Dec_sk(C₃)，计算s＝Sig_A+Sig_B-r，获得最终签名结果(r,s)。