CN108809658B - 一种基于sm2的身份基的数字签名方法与系统 - Google Patents

Abstract

本发明公开了一种基于SM2的身份基的数字签名方法与系统，该方法首先产生系统参数、系统主公私钥，用户将身份标识发送给KGC注册以获取签名私钥,然后用户使用签名私钥产生消息M的数字签名并进行验证。由于本发明的签名过程中，在SM2签名算法整体架构不改变的基础上使用新型的用户私钥的产生方式，基于用户的身份来生成用户的签名私钥，不再使用公钥证书，无需维护和管理公钥证书以及耗时计算，从而保证了本发明签名方法具有低复杂度、高安全性、易验证等特点。

Description

一种基于SM2的身份基的数字签名方法与系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于SM2的身份基的数字签名方法与系统。

背景技术

数字签名是伴随着信息网络技术的发展而出现的一种安全保障技术，目的就是通过技术手段实现传统的纸面签字或者盖章的功能，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。数字签名是公钥密码体系中重要的一部分，在很多场合有着重要的作用。

SM2椭圆曲线公钥密码算法是由国家密码管理局颁布的一种椭圆曲线公钥密码算法(参见《SM2椭圆曲线公钥密码算法》规范，国家密码管理局，2010年12月)，算法确定了包括数据加密、数字签名和密钥交换等算法或协议。其中，SM2签名算法因其高安全、高效率而广泛用于消息传输，可有效保证消息传输过程中消息的可靠性。SM2签名算法包括系统初始化算法(SM2_Setup)、用户密钥对生成算法(SM2_KeyGen)、数字签名算法(SM2_Sign)、签名验证算法(SM2_Verify)。由于SM2签名算法是基于PKI框架设计的密码系统，需要证书授权中心(CA)维护管理用户公钥证书，主要包括证书的颁发、撤销等。证书的管理开销随着用户数量增加而成线性增长，因此，在云计算、大数据等多用户环境下，高昂的证书管理开销将限制SM2公钥密码算法的使用。

为解决基于PKI框架下证书管理开销大、维护困难等问题，国家于2015年确立SM9标识密码算法为国家密码行业标准(GM/T 0044-2016)。SM9标识密码算法是一种基于双线性对的身份基密码算法。SM9标识算法包括数字签名、数据加密、密钥交换以及身份认证等。在SM9签名算法中，密钥生成中心(KGC)根据用户注册身份利用密钥提取算法(Extract)产生签名私钥，签名验证算法(SM9_Verify)利用用户身份来验证签名正确性，避免了证书管理问题。然而，由于SM9签名算法在产生签名和验证签名过程中，使用了耗时的双线对运算，对于计算能力有限移动设备，执行双线性对运算是无法承担的。

基于SM2和SM9签名算法现有问题，SM2签名算法需要承担证书管理的开销，使其无法满足多用户的网络新环境，而SM9签名算法虽然免去了证书管理，由于耗时的双线对运算严重影响其在移动端应用。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种基于SM2的身份基的数字签名方法与系统，解决现有SM2签名算法中证书管理问题和SM9标识签名算法中需要耗时的双线对运算问题。

本发明解决其技术问题所采用的技术方案是：一种基于SM2的身份基的数字签名方法，包括以下步骤：

步骤1)产生整个签名过程所需参数，参数包括：椭圆曲线相关参数：q、F_q、a、b、n、G，和安全哈希函数：H_V(·)、H(·)、H₂₅₆(·)；

其中，q为大素数，F_q为包含q个元素的有限域，a、b为F_q中的元素，用于定义F_q上的一条椭圆曲线E；G为椭圆曲线的一个基点，其阶为素数；n为基点G的阶；步骤2)由密钥生成中心KGC生成系统主公私钥(P_pub,P_pri)，其中，P_pub为系统主公钥，P_pri为系统主私钥；

步骤2)由密钥生成中心KGC生成系统主公私钥(P_pub,P_pri)，其中，P_pub为系统主公钥，P_pri为系统主私钥；

步骤3)用户密钥提取：产生用户User的签名私钥，具体过程如下：

步骤3.1)用户User将身份标识ID发送给KGC，请求签名私钥；

步骤3.2)KGC收到私钥请求后，首先利用已有的身份认证方法确认ID与User身份一致，随后，KGC在集合{1,2,…,n-1}中随机选取整数l并通过以下公式计算签名私钥的第一部分L；

L＝[l]G＝(x₁,y₁)

其中，(x₁,y₁)表示L的横纵坐标。

步骤3.3)KGC根据L，通过以下公式计算私钥的第二部分α；

h＝H(ID||L)

α＝l+xhmodn

其中，H(·)表示安全哈希函数，符号||表示连接，modn表示模n运算；

步骤3.4)KGC将私钥(L,α)通过安全信道发送给用户User；

步骤3.5)用户User接收并秘密保存KGC发送的私钥(L,α)；

步骤4)用户签名(Sign):该步骤主要用于用户User产生消息M的数字签名(L,r,s)；

步骤5)签名验证(Verify)：验证消息M'的签名(L',r',s')合法性，具体验证过程如下：

步骤5.1)检查r'是否属于集合{1,2,…,n-1}中，如果不是则验证不通过；否则，检查s'是否属于{1,2,…,n-1}，如果不是则验证不通过，否则进入步骤5.2；

步骤5.2)根据以下公式计算Z'_A并置

Z'_A＝H₂₅₆(ENTLA'||ID||a||b||x_G||y_G||x₁||y₁)

步骤5.3)根据以下公式计算e'，并将e'转换为整数；

步骤5.4)根据以下公式计算并判断t，如果t＝0成立，则消息签名为非法，结束验证过程，否则进入步骤5.5；

t＝r'+s'modn

步骤5.5)根据以下公式先后计算h'和椭圆曲线点K'，

h'＝H(ID||L')

K'＝(x'_k,y'_k)＝s'G+t(L'+h'P_pub)

步骤5.6)根据以下公式计算并判断R'，如果R'＝r'成立，则消息签名合法，否则消息签名非法；

R'＝(e'+x'_k)modn。

按上述方案，所述步骤2)中，由密钥生成中心KGC生成系统主公私钥的具体过程如下：

步骤2.1)KGC从集合{1,2,…,n-1}中随机选取整数x作为主私钥P_pri＝x，其中n表示SM2密码运算所使用的椭圆曲线点群的阶。

步骤2.2)KGC根据所选主私钥x，通过以下公式计算并公布系统主公钥P_pub，

P_pub＝[x]G＝(x_G,y_G)

其中，G为SM2数字签名系统参数中椭圆曲线点群的基点，[x]G表示点乘运算，(x_G,y_G)表示公钥的横纵坐标。

按上述方案，所述步骤4)的签名过程具体如下：

步骤4.1)用户User根据以下公式计算Z_A并置

Z_A＝H₂₅₆(ENTLA||ID||a||b||x_G||y_G||x₁||y₁)

其中，H₂₅₆表示安全哈希函数，a,b为椭圆曲线参数，ENTLA表示当前用户ID长度。

步骤4.2)用户User根据以下公式计算e并将e转换为整数，

其中，H_V(·)表示安全哈希函数；

步骤4.3)用户User在集合{1,2,…,n-1}中随机选择整数k，根据以下公式计算椭圆曲线点K，

K＝[k]G＝(x_k,y_k)

并将x_k转换为整数类型；

步骤4.4)用户User根据以下公式计算部分签名r并判断r，如果r＝0或r+k＝n成立，则返回步骤4.3，否则执行步骤4.5；

r＝(e+x_k)modn

步骤4.5)用户User根据以下公式计算部分签名s并判断s，如果s＝0成立，则返回步骤4.3，否则执行步骤4.6；

s＝(1+α)^-1(k-rα)modn

其中，(1+α)^-1为(1+α)的模n乘法逆；

步骤4.6)用户User输出消息M签名为(L,r,s)。

一种基于SM2的身份基的数字签名系统，包括：

系统初始化模块，用于产生整个签名系统所需参数，参数包括：椭圆曲线相关参数：q、F_q、a、b、n、G，和安全哈希函数：H_V(·)、H(·)、H₂₅₆(·)；

其中，q为大素数，F_q为包含q个元素的有限域，a、b为F_q中的元素，用于定义F_q上的一条椭圆曲线E；G为椭圆曲线的一个基点，其阶为素数；n为基点G的阶；

系统密钥生成模块，用于由密钥生成中心KGC生成系统主公私钥(P_pub,P_pri)，其中，P_pub为系统主公钥，P_pri为系统主私钥；

用户密钥提取模块，用于产生用户User的签名私钥，具体过程如下：

1)用户User将身份标识ID发送给KGC，请求签名私钥；

2)KGC收到私钥请求后，首先利用已有的身份认证方法确认ID与User身份一致，随后，KGC在集合{1,2,…,n-1}中随机选取整数l并通过以下公式计算签名私钥的第一部分L；

L＝[l]G＝(x₁,y₁)

其中，(x₁,y₁)表示L的横纵坐标。

3)KGC根据L，通过以下公式计算签名私钥的第二部分α；

h＝H(ID||L)

α＝l+xhmodn

其中，H(·)表示安全哈希函数，符号||表示连接，modn表示模n运算；

4)KGC将私钥(L,α)通过安全信道发送给用户User；

5)用户User接收并秘密保存KGC发送的私钥(L,α)；

用户签名模块，用于用户User产生消息M的数字签名(L,r,s)；

签名验证模块，用于验证消息M'的签名(L',r',s')合法性。

按上述方案，所述系统密钥生成模块中，由密钥生成中心KGC生成系统主公私钥的具体过程如下：

步骤1)KGC从集合{1,2,…,n-1}中随机选取整数x作为主私钥P_pri＝x，其中n表示SM2密码运算所使用的椭圆曲线点群的阶。

步骤2)KGC根据所选主私钥x，通过以下公式计算并公布系统主公钥P_pub，

P_pub＝[x]G＝(x_G,y_G)

其中，G为SM2数字签名系统参数中椭圆曲线点群的基点，[x]G表示点乘运算，(x_G,y_G)表示公钥的横纵坐标。

按上述方案，所述用户签名模块中的签名过程具体如下：

步骤1)用户User根据以下公式计算Z_A并置

Z_A＝H₂₅₆(ENTLA||ID||a||b||x_G||y_G||x₁||y₁)

其中，H₂₅₆表示安全哈希函数，a,b为椭圆曲线参数，ENTLA表示当前用户ID长度。

步骤2)用户User根据以下公式计算e并将e转换为整数，

其中，H_V(·)表示安全哈希函数；

步骤3)用户User在集合{1,2,…,n-1}中随机选择整数k，根据以下公式计算椭圆曲线点K，

K＝[k]G＝(x_k,y_k)

并将x_k转换为整数类型；

步骤4)用户User根据以下公式计算部分签名r并判断r，如果r＝0或r+k＝n成立，则返回步骤3)，否则执行步骤5)；

r＝(e+x_k)modn

步骤5)用户User根据以下公式计算部分签名s并判断s，如果s＝0成立，则返回步骤3)，否则执行步骤6)；

s＝(1+α)^-1(k-rα)modn

其中，(1+α)^-1为(1+α)的模n乘法逆；

步骤6)用户User输出消息M签名为(L,r,s)。

按上述方案，所述签名验证模块中验证消息M'的签名(L',r',s')合法性的具体验证过程如下：

步骤1)检查r'是否属于集合{1,2,…,n-1}中，如果不是则验证不通过；否则，检查s'是否属于{1,2,…,n-1}，如果不是则验证不通过，否则进入步骤2)；

步骤2)根据以下公式计算Z'_A并置

Z'_A＝H₂₅₆(ENTLA'||ID||a||b||x_G||y_G||x₁||y₁)

步骤3)根据以下公式计算e'，并将e'转换为整数；

步骤4)根据以下公式计算并判断t，如果t＝0成立，则消息签名为非法，结束验证过程，否则进入步骤5)；

t＝r'+s'modn

步骤5)根据以下公式先后计算h'和椭圆曲线点K'，

h'＝H(ID||L')

K'＝(x'_k,y'_k)＝s'G+t(L'+h'P_pub)

步骤6)根据以下公式计算并判断R'，如果R'＝r'成立，则消息签名合法，否则消息签名非法；

R'＝(e'+x'_k)modn。

本发明产生的有益效果是：本发明在SM2签名算法整体架构不改变的基础上，使用了新型的用户私钥的产生方式，避免公钥证书的管理和维护。本发明未引入双线性对等耗时操作，在实现中具有较高的效率。因此，本发明设计的数字签名方案具有强安全性、高效率性、低开销性等特点。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的方法流程图；

图2是本发明实施例的系统主密钥生成实例流程示意图。

图3是本发明实施例的用户密钥提取实例流程示意图。

图4是本发明实施例的用户签名实例流程示意图。

图5是本发明实施例的签名验证实例流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

一.本发明实施例中的符号及定义

KGC：密钥生成中心。

A,B：用户。

ID_A：用户的身份。

ENTLA：ID_A的比特长度转换而成的两个字节。

q：大素数。

F_q：包含q个元素的有限域。

a,b：F_q中的元素，它们定义F_q上的一条椭圆曲线E。

E(F_q)：F_q上椭圆曲线E的所有有理点(包括无穷远点O)组成的集合。

#E(F_q)：E(F_q)上点的数目，称为椭圆曲线E(F_q)的阶。

O：椭圆曲线上的一个特殊点，称为无穷远点或零点。

G：椭圆曲线的一个基点，其阶为素数。

[u]G：椭圆曲线的一个基点G的u倍点。即，[u]G＝G+G+…+G,u是正整数。n：基点G的阶(n是#E(F_q)的素因子)

x_G,y_G,x_k,y_k,x₁,y₁：F_q中的元素。

x,l,k：从{1,2,…,n-1}中选取的随机数。

H_V(·)：消息摘要长度为V比特的密码杂凑函数。

H(·)，H₂₅₆(·)：安全的密码杂凑函数。

P_ri：P_ri＝x系统的签名主私钥。

P_pub：P_pub＝[x]G＝(x_G,y_G)，系统的签名主公钥。

M：待签名的消息。

M'：待验证的消息。

e：密码杂凑函数作用于消息M的输出值。

e'：密码杂凑函数作用于消息M'的输出值。

x||y：x与y的拼接，其中x和y是比特串或字节串。

Z_A：用户的可辩别标识，部分椭圆曲线系统参数和用户选定参数的杂凑值。

(L,r,s)：发送的签名。

(L',r',s')：收到的签名。

如图1所示，一种基于SM2的身份基的数字签名方法，具体步骤如下：

步骤1.初始化(Setup)：该步骤主要用于产生整个签名系统所需参数。参数包括：椭圆曲线相关参数(q,F_q,a,b,n,G)、安全哈希函数(H_V(·),H(·),H₂₅₆(·))等。本发明是基于SM2数字签名算法的改进和优化，因此，与SM2使用相同系统参数，具体参数符号定义参见具体实施方式中(一.符号及定义)。

步骤2.系统主密钥生成(KeyGen)：如图2，该步骤主要用于产生系统主公私钥(P_pub,P_pri)，由密钥生成中心(KGC)执行，其中P_pub为系统主公钥和P_pri为系统主私钥。具体过程如下：

步骤2.1：KGC从集合{1,2,…,n-1}中随机选取整数x作为主私钥P_pri＝x。

步骤2.2：KGC根据所选主私钥x，通过以下公式计算并公布系统主公钥P_pub，

P_pub＝[x]G＝(x_G,y_G)

步骤3.用户密钥提取(Extract)：如图3，该步骤主要用于产生用户A的签名私钥。该步骤为本发明主要创新点。具体过程如下：

步骤3.1：用户A将身份标识ID_A发送给KGC，请求签名私钥。

步骤3.2：KGC收到私钥请求后，首先利用已有的身份认证方法确认ID_A与用户A身份一致。随后，KGC在集合{1,2,…,n-1}中随机选取整数l并通过以下公式计算签名私钥的第一部分L。

L＝[l]G＝(x₁,y₁)

步骤3.3：KGC根据L，通过以下公式计算签名私钥的第二部分α

h＝H(ID||L)

α＝l+xhmodn

步骤3.4：KGC将私钥(L,α)通过安全信道发送给用户A。

步骤3.5:用户A接收并秘密保存KGC发送的私钥(L,α)。

步骤4.用户签名(Sign):如图4，该步骤主要用于用户A产生消息M数字签名(L,r,s)。该步骤与SM2签名算法中签名过程基本相同。具体过程如下:

步骤4.1:用户A根据以下公式计算Z_A并置

Z_A＝H₂₅₆(ENTLA||ID||a||b||x_G||y_G||x₁||y₁)

步骤4.2:用户A根据以下公式计算e并将e转换为整数

步骤4.3:用户A在集合{1,2,…,n-1}中随机选择整数k，根据以下公式计算椭圆曲线点K，

K＝[k]G＝(x_k,y_k)

并将x_k转换为整数类型。

步骤4.4：用户A根据以下公式计算部分签名r并判断r，如果r＝0或r+k＝n成立，则返回步骤4.3，否则执行步骤4.5

r＝(e+x_k)modn

步骤4.5:用户A根据以下公式计算部分签名s并判断s，如果s＝0成立，则返回步骤4.3，否则执行步骤4.6

s＝(1+α)^-1(k-rα)modn

步骤4.6:用户A输出消息M签名为(L,r,s)。

上述过程与SM2数字签名中签名算法过程基本相同，如果将L视为用户公钥，α视为用户私钥，则算法过程与SM2_Sign()算法一致。

步骤5.签名验证(Verify):如图5，该步骤主要用于用户B验证用户A关于消息M'的签名(L',r',s')合法性。

因为接收到的签名不一定是合法签名，所以才需要对签名进行验证，此处加了撇用以区分真正的签名和通过网络接收的签名。

具体验证过程如下：

步骤5.1:用户B检查r'是否属于集合{1,2,…,n-1}中，如果不是则验证不通过；否则，检查s'是否属于{1,2,…,n-1}，如果不是则验证不通过，否则进入步骤5.2。

步骤5.2:用户B根据以下公式计算Z'_A并置

Z'_A＝H₂₅₆(ENTLA'||ID||a||b||x_G||y_G||x₁||y₁)

步骤5.3:用户B根据以下公式计算e'并将e'转换为整数，

步骤5.4:用户B根据以下公式计算并判断t，如果t＝0成立，则消息签名为非法，结束验证过程，否则进入步骤5.5

t＝r'+s'modn

步骤5.5:用户B根据以下公式先后计算h'和椭圆曲线点K'：

h'＝H(ID||L')

K'＝(x'_k,y'_k)＝s'G+t(L'+h'P_pub)

步骤5.6:根据以下公式计算并判断R'，如果R'＝r'成立，则消息签名合法，否则消息签名非法。

R'＝(e'+x'_k)modn

根据上述方法，本发明还提供一种基于SM2的身份基的数字签名系统，其特征在于，包括：

系统初始化模块，用于产生整个签名系统所需参数，参数包括：椭圆曲线相关参数：q、F_q、a、b、n、G，和安全哈希函数：H_V(·)、H(·)、H₂₅₆(·)；

其中，q为大素数，F_q为包含q个元素的有限域，a、b为F_q中的元素，用于定义F_q上的一条椭圆曲线E；G为椭圆曲线的一个基点，其阶为素数；n为基点G的阶；

系统密钥生成模块，用于由密钥生成中心KGC生成系统主公私钥(P_pub,P_pri)，其中，P_pub为系统主公钥，P_pri为系统主私钥；

具体过程如下：

步骤1)KGC从集合{1,2,…,n-1}中随机选取整数x作为主私钥P_pri＝x，其中n表示SM2密码运算所使用的椭圆曲线点群的阶。

步骤2)KGC根据所选主私钥x，通过以下公式计算并公布系统主公钥P_pub，

P_pub＝[x]G＝(x_G,y_G)

其中，G为SM2数字签名系统参数中椭圆曲线点群的基点，[x]G表示点乘运算，(x_G,y_G)表示公钥的横纵坐标。

用户密钥提取模块，用于产生用户User的签名私钥，具体过程如下：

1)用户User将身份标识ID发送给KGC，请求签名私钥；

2)KGC收到私钥请求后，首先利用已有的身份认证方法确认ID与User身份一致，随后，KGC在集合{1,2,…,n-1}中随机选取整数l并通过以下公式计算签名私钥的第一部分L；

L＝[l]G＝(x₁,y₁)

其中，(x₁,y₁)表示L的横纵坐标。

3)KGC根据L，通过以下公式计算签名私钥的第二部分α；

h＝H(ID||L)

α＝l+xhmodn

其中，H(·)表示安全哈希函数，符号||表示连接，modn表示模n运算；

4)KGC将私钥(L,α)通过安全信道发送给用户User；

5)用户User接收并秘密保存KGC发送的私钥(L,α)；

用户签名模块，用于用户User产生消息M的数字签名(L,r,s)；

用户签名模块中的签名过程具体如下：

步骤1)用户User根据以下公式计算Z_A并置

Z_A＝H₂₅₆(ENTLA||ID||a||b||x_G||y_G||x₁||y₁)

其中，H₂₅₆表示安全哈希函数，a,b为椭圆曲线参数，ENTLA表示当前用户ID长度。

步骤2)用户User根据以下公式计算e并将e转换为整数，

其中，H_V(·)表示安全哈希函数；

步骤3)用户User在集合{1,2,…,n-1}中随机选择整数k，根据以下公式计算椭圆曲线点K，

K＝[k]G＝(x_k,y_k)

并将x_k转换为整数类型；

步骤4)用户User根据以下公式计算部分签名r并判断r，如果r＝0或r+k＝n成立，则返回步骤3)，否则执行步骤5)；

r＝(e+x_k)modn

步骤5)用户User根据以下公式计算部分签名s并判断s，如果s＝0成立，则返回步骤3)，否则执行步骤6)；

s＝(1+α)^-1(k-rα)modn

其中，(1+α)^-1为(1+α)的模n乘法逆；

步骤6)用户User输出消息M签名为(L,r,s)。

签名验证模块，用于验证消息M'的签名(L',r',s')合法性。具体验证过程如下：

步骤1)检查r'是否属于集合{1,2,…,n-1}中，如果不是则验证不通过；否则，检查s'是否属于{1,2,…,n-1}，如果不是则验证不通过，否则进入步骤2)；

步骤2)根据以下公式计算Z'_A并置

Z'_A＝H₂₅₆(ENTLA'||ID||a||b||x_G||y_G||x₁||y₁)

步骤3)根据以下公式计算e'，并将e'转换为整数；

步骤4)根据以下公式计算并判断t，如果t＝0成立，则消息签名为非法，结束验证过程，否则进入步骤5)；

t＝r'+s'modn

步骤5)根据以下公式先后计算h'和椭圆曲线点K'，

h'＝H(ID||L')

K'＝(x'_k,y'_k)＝s'G+t(L'+h'P_pub)

步骤6)根据以下公式计算并判断R'，如果R'＝r'成立，则消息签名合法，否则消息签名非法；

R'＝(e'+x'_k)modn。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (4)

1.一种基于SM2的身份基的数字签名方法，其特征在于，包括以下步骤：

步骤1)产生整个签名过程所需参数，参数包括：椭圆曲线相关参数：q、F_q、a、b、n、G，和安全哈希函数：H_V(·)、H(·)、H₂₅₆(·)；

其中，q为大素数，F_q为包含q个元素的有限域，a、b为F_q中的元素，用于定义F_q上的一条椭圆曲线E；G为椭圆曲线的一个基点，其阶为素数；n为基点G的阶；

步骤2)由密钥生成中心KGC生成系统主公私钥(P_pub,P_pri)，其中，P_pub为系统主公钥，P_pri为系统主私钥；

步骤3)用户密钥提取：产生用户User的签名私钥，具体过程如下：

步骤3.1)用户User将身份标识ID发送给KGC，请求签名私钥；

步骤3.2)KGC收到私钥请求后，首先利用已有的身份认证方法确认ID与User身份一致，随后，KGC在集合{1,2,…,n-1}中随机选取整数l并通过以下公式计算签名私钥的第一部分L；

L＝[l]G＝(x₁,y₁)

其中，(x₁,y₁)表示L的横纵坐标；

步骤3.3)KGC根据L，通过以下公式计算私钥的第二部分α；

h＝H(ID||L)

α＝l+xhmodn

其中，H(·)表示安全哈希函数，符号||表示连接，modn表示模n运算；

步骤3.4)KGC将私钥(L,α)通过安全信道发送给用户User；

步骤3.5)用户User接收并秘密保存KGC发送的私钥(L,α)；

步骤4)用户签名：该步骤用于用户User产生消息M的数字签名(L,r,s)；

所述步骤4)的签名过程具体如下：

步骤4.1)用户User根据以下公式计算Z_A并置

Z_A＝H₂₅₆(ENTLA||ID||a||b||x_G||y_G||x₁||y₁)

其中，H₂₅₆表示安全哈希函数，a,b为椭圆曲线参数，ENTLA表示当前用户ID长度；

步骤4.2)用户User根据以下公式计算e并将e转换为整数，

其中，H_V(·)表示安全哈希函数；

步骤4.3)用户User在集合{1,2,…,n-1}中随机选择整数k，根据以下公式计算椭圆曲线点K，

K＝[k]G＝(x_k,y_k)

并将x_k转换为整数类型；

步骤4.4)用户User根据以下公式计算部分签名r并判断r，如果r＝0或r+k＝n成立，则返回步骤4.3，否则执行步骤4.5；

r＝(e+x_k)modn

步骤4.5)用户User根据以下公式计算部分签名s并判断s，如果s＝0成立，则返回步骤4.3，否则执行步骤4.6；

s＝(1+α)^-1(k-rα)modn

其中，(1+α)^-1为(1+α)的模n乘法逆；

步骤4.6)用户User输出消息M签名为(L,r,s)；

步骤5)签名验证：验证通过接收的消息M'的签名(L',r',s')合法性，具体验证过程如下：

步骤5.1)检查r'是否属于集合{1,2,…,n-1}中，如果不是则验证不通过；否则，检查s'是否属于{1,2,…,n-1}，如果不是则验证不通过，否则进入步骤5.2)；

步骤5.2)根据以下公式计算Z'_A并置

Z'_A＝H₂₅₆(ENTLA'||ID||a||b||x_G||y_G||x₁||y₁)

步骤5.3)根据以下公式计算e'，并将e'转换为整数；

步骤5.4)根据以下公式计算并判断t，如果t＝0成立，则消息签名为非法，结束验证过程，否则进入步骤5.5)；

t＝r'+s'modn

步骤5.5)根据以下公式先后计算h'和椭圆曲线点K'，

h'＝H(ID||L')

K'＝(x'_k,y'_k)＝s'G+t(L'+h'P_pub)

步骤5.6)根据以下公式计算并判断R'，如果R'＝r'成立，则消息签名合法，否则消息签名非法；

R'＝(e'+x'_k)modn。

2.根据权利要求1所述的基于SM2的身份基的数字签名方法，其特征在于，所述步骤2)中，由密钥生成中心KGC生成系统主公私钥的具体过程如下：

步骤2.1)KGC从集合{1,2,…,n-1}中随机选取整数x作为主私钥P_pri＝x，其中n表示SM2密码运算所使用的椭圆曲线点群的阶。

步骤2.2)KGC根据所选主私钥x，通过以下公式计算并公布系统主公钥P_pub，

P_pub＝[x]G＝(x_G,y_G)

其中，G为SM2数字签名系统参数中椭圆曲线点群的基点，[x]G表示点乘运算，(x_G,y_G)表示公钥的横纵坐标。

3.一种基于SM2的身份基的数字签名系统，其特征在于，包括：

系统初始化模块，用于产生整个签名系统所需参数，参数包括：椭圆曲线相关参数：q、F_q、a、b、n、G，和安全哈希函数：H_V(·)、H(·)、H₂₅₆(·)；

其中，q为大素数，F_q为包含q个元素的有限域，a、b为F_q中的元素，用于定义F_q上的一条椭圆曲线E；G为椭圆曲线的一个基点，其阶为素数；n为基点G的阶；

系统密钥生成模块，用于由密钥生成中心KGC生成系统主公私钥(P_pub,P_pri)，其中，P_pub为系统主公钥，P_pri为系统主私钥；

用户密钥提取模块，用于产生用户User的签名私钥，具体过程如下：

1)用户User将身份标识ID发送给KGC，请求签名私钥；

2)KGC收到私钥请求后，首先利用已有的身份认证方法确认ID与User身份一致，随后，KGC在集合{1,2,…,n-1}中随机选取整数l并通过以下公式计算签名私钥的第一部分L；

L＝[l]G＝(x₁,y₁)

其中，(x₁,y₁)表示L的横纵坐标。

3)KGC根据L，通过以下公式计算签名私钥的第二部分α；

h＝H(ID||L)

α＝l+xhmodn

其中，H(·)表示安全哈希函数，符号||表示连接，modn表示模n运算；

4)KGC将私钥(L,α)通过安全信道发送给用户User；

5)用户User接收并秘密保存KGC发送的私钥(L,α)；

用户签名模块，用于用户User产生消息M的数字签名(L,r,s)；

所述用户签名模块中的签名过程具体如下：

步骤1)用户User根据以下公式计算Z_A并置

Z_A＝H₂₅₆(ENTLA||ID||a||b||x_G||y_G||x₁||y₁)

其中，H₂₅₆表示安全哈希函数，a,b为椭圆曲线参数，ENTLA表示当前用户ID长度。

步骤2)用户User根据以下公式计算e并将e转换为整数，

其中，H_V(·)表示安全哈希函数；

步骤3)用户User在集合{1,2,…,n-1}中随机选择整数k，根据以下公式计算椭圆曲线点K，

K＝[k]G＝(x_k,y_k)

并将x_k转换为整数类型；

步骤4)用户User根据以下公式计算部分签名r并判断r，如果r＝0或r+k＝n成立，则返回步骤3)，否则执行步骤5)；

r＝(e+x_k)modn

步骤5)用户User根据以下公式计算部分签名s并判断s，如果s＝0成立，则返回步骤3)，否则执行步骤6)；

s＝(1+α)^-1(k-rα)modn

其中，(1+α)^-1为(1+α)的模n乘法逆；

步骤6)用户User输出消息M签名为(L,r,s)；

签名验证模块，用于验证消息M'的签名(L',r',s')合法性；

所述签名验证模块中验证消息M'的签名(L',r',s')合法性的具体验证过程如下：

步骤1)检查r'是否属于集合{1,2,…,n-1}中，如果不是则验证不通过；否则，检查s'是否属于{1,2,…,n-1}，如果不是则验证不通过，否则进入步骤2)；

步骤2)根据以下公式计算Z'_A并置

Z'_A＝H₂₅₆(ENTLA'||ID||a||b||x_G||y_G||x₁||y₁)

步骤3)根据以下公式计算e'，并将e'转换为整数；

步骤4)根据以下公式计算并判断t，如果t＝0成立，则消息签名为非法，结束验证过程，否则进入步骤5)；

t＝r'+s'modn

步骤5)根据以下公式先后计算h'和椭圆曲线点K'，

h'＝H(ID||L')

K'＝(x'_k,y'_k)＝s'G+t(L'+h'P_pub)

步骤6)根据以下公式计算并判断R'，如果R'＝r'成立，则消息签名合法，否则消息签名非法；

R'＝(e'+x'_k)modn。

4.根据权利要求3所述的基于SM2的身份基的数字签名系统，其特征在于，所述系统密钥生成模块中，由密钥生成中心KGC生成系统主公私钥的具体过程如下：

步骤1)KGC从集合{1,2,…,n-1}中随机选取整数x作为主私钥P_pri＝x，其中n表示SM2密码运算所使用的椭圆曲线点群的阶。

步骤2)KGC根据所选主私钥x，通过以下公式计算并公布系统主公钥P_pub，

P_pub＝[x]G＝(x_G,y_G)

其中，G为SM2数字签名系统参数中椭圆曲线点群的基点，[x]G表示点乘运算，(x_G,y_G)表示公钥的横纵坐标。

Images