CN109088726A - 基于sm2算法的通信双方协同签名及解密方法和系统 - Google Patents

Abstract

本发明提供一种基于SM2算法的通信双方协同签名及解密方法和系统，涉及第一通信方和第二通信方，通信双方独立生成各自子私钥，通过协同运算产生公钥，通信双方均无法由己方生成和获得的参数计算得到私钥。只有通过通信双方协同运算，才能对消息进行签名和解密操作，入侵任何一方都无法获取私钥伪造签名，或者将秘密信息正确解密，从而充分保证了SM2算法的安全性，尤其是使用软件密码模块进行密码运算时的安全性。本发明无需引入椭圆曲线上的点减运算，只需使用SM2原有基本运算模块就可以完成，可广泛应用于电子商务、物联网、云计算系统等，对普通个人用户的隐私保护和数据安全也有非常好的促进作用。

Description

基于SM2算法的通信双方协同签名及解密方法和系统

技术领域

本发明涉及信息安全和密码学应用技术领域，具体涉及一种基于SM2算法的通信双方协同签名及解密方法和系统。

背景技术

密码技术是信息安全的核心技术。椭圆曲线公钥密码（简称ECC）算法近年来有了较大的发展和广泛的应用，国家密码管理局于2010年12月17日发布了椭圆曲线公钥密码算法SM2，在我国电子商务、身份认证等应用中发挥了重要的安全保障作用。

在公钥密码体制中，保证用户私钥的安全性是一个非常重要的问题。用户的私钥通常需要在专门的密码硬件中安全存储和使用，私钥不能从密码硬件中导出。但是，随着公钥密码算法应用的普及，SM2算法在电子商务、电子政务、移动警务、移动办公等体系和应用中得到了广泛使用，在车联网、智能医疗系统、智能家居系统等物联网应用以及云计算系统中也发挥了越来越重要的作用。很多使用SM2算法的系统和终端，特别是智能移动终端中，并没有配置密码芯片或者TF卡、USBKey等形式的硬件密码模块，只能依赖于软件密码模块来完成密码运算，私钥则需要存储在用户终端本地存储介质中。虽然私钥存储时可以使用加密、PIN码等方式加以保护，仍有被窃取的可能，而且在软件密码模块进行密码运算时，内存中最终会出现明文形式的私钥，易被攻击者通过一些方式窃取。

对于这一问题，一个可行的方案是将私钥分拆成多份，分开存储在不同的终端中，当需要使用私钥进行密码运算时，各终端分别使用自己的子私钥进行密码运算，以及相互交互部分运算结果，使最后得到的密码运算结果等同于直接使用私钥进行密码运算 (数字签名或者解密) 的结果。基于这一方案已有一些算法提出来，但是有一些应用场合，例如在电子商务、车联网等系统中，既需要在移动智能终端使用软件密码模块，又对安全性有着较高需求，需要更安全可靠的通信双方协同签名以及解密算法，来保障用户数据安全。另一方面，很多算法过程引入了椭圆曲线上的点减运算，在实现时需要在SM2基本运算模块的基础上增加额外的运算模块来进行处理，给算法的实现带来了不便。

为了解决以上存在的问题，还需要寻求一种理想的技术解决方案。

发明内容

本发明的目的是针对现有技术的不足，提供一种基于SM2算法的通信双方协同签名及解密方法和系统，使通信双方独立生成各自子私钥，通过协同运算才能对消息进行签名和解密操作，通过算法的设计充分保证密码算法的安全性，并且使用SM2的基本运算模块就可以完成，不需要另外增加运算模块。

为了实现上述目的，本发明所采用的技术方案是：一种基于SM2算法的通信双方协同签名方法，所述签名方法涉及第一通信方和第二通信方，所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述协同签名方法包括以下步骤：

一、产生通信双方各自子私钥和计算公钥阶段

S101、所述第一通信方产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；

S102、所述第一通信方根据D₁和G计算得到椭圆曲线点P₁=[D₁]G，把P₁发送给所述第二通信方；

S103、所述第二通信方产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；

S104、所述第二通信方根据D₂、P₁和G计算得到公钥 P=P₁+[D₂]G+[D₂]P₁，并公开所述公钥；

二、通信双方协同签名阶段

S201、所述第一通信方对待签名消息M使用预定的杂凑函数,得到消息摘要e；

S202、所述第一通信方产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并将e、W₁和k₁发送给所述第二通信方；

S203、所述第二通信方产生随机数k₂,b₂∈[1,n-1]，根据b₂和接收到的W₁、k₁计算得到椭圆曲线点W=[k₂]W₁+[b₂k₁]G，W的坐标为（x₁,y₁）；

S204、所述第二通信方根据x₁和e计算得到第二部分签名r=(x₁+e) mod n，若r=0，则返回S203；

S205、所述第二通信方根据k₁、k₂、d₂、b₂和r计算得到第三部分签名s₁=(k₂d₂)mod n，第四部分签名s₂=(d₂(r+b₂k₁))mod n,并将s₁、s₂、r发送给所述第一通信方；

S206、所述第一通信方根据b₁、d₁、s₁、s₂和r计算s = (b₁d₁s₁+d₁s₂-r)mod n，若s=0，返回S202；

S207、所述第一通信方输出M及其数字签名(r，s)。

基于上述，所述D₁、D₂、k₁、k₂、b₁、b₂分别由一个或多个位于[1,n-1]之间的随机数运算得到，所述运算包括线性运算、相乘和求逆。

基于上述，步骤S201、S202分别为：

S201、所述第一通信方产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并将W₁和k₁发送给所述第二通信方；

S202、所述第二通信方对待签名消息M使用预定的杂凑函数,得到消息摘要e。

一种基于SM2算法的通信双方协同解密方法，其特征在于：所述解密方法涉及第一通信方和第二通信方，所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；设密文结构为C₁||C₂||C₃，其中||表示拼接，所述解密方法包括以下步骤：

一、产生通信双方各自子私钥和计算公钥阶段

S101、所述第一通信方产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；

S102、所述第一通信方根据D₁和G计算得到椭圆曲线点P₁=[D₁]G，把P₁发送给所述第二通信方；

S103、所述第二通信方产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；

S104、所述第二通信方根据D₂、P₁和G计算得到公钥P=P₁+[D₂]G+[D₂]P₁，并公开所述公钥；

二、通信双方协同解密阶段

S201、所述第一通信方从密文结构中取出C₁，将C₁的数据类型转换为椭圆曲线E上的点；若C₁是无穷远点，则报错并退出；

S202、所述第一通信方根据C₁、D₁计算椭圆曲线点Q₁=D₁C₁ mod n,并把C₁、Q₁发送给所述第二通信方；

S203、所述第二通信方根据C₁、D₂和Q₁计算Q₂=(D₂C₁+D₂Q₁)mod n,并将Q₂发送给所述第一通信方；

S204、所述第一通信方根据Q₁和Q₂计算椭圆曲线点Q=Q₁+Q₂，Q的坐标为(x₂,y₂)；然后计算t=KDF(x₂||y₂,klen)，其中KDF( )为密钥派生函数，klen为密文中C₂的比特长度；若t为全0的比特串，则报错并退出；

S205、所述第一通信方从密文结构中取出C₂,计算M’=C₂⊕t；

S206、所述第一通信方根据M’和x₂、y₂计算u=Hash(x₂||M’||y₂)，并从密文中取出C₃,其中Hash( )是密码杂凑函数；若u≠C₃，则报错并退出；

S207：所述第一通信方输出明文M’。

一种基于SM2算法的通信双方协同签名系统，其特征在于，包括第一通信方和第二通信方，所述第一通信方包括第一密码运算模块和第一通信模块，所述第二通信方包括第二密码运算模块和第二通信模块，所述第一通信方和所述第二通信方通过所述第一通信模块和所述第二通信模块通信连接；所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述第一通信方和所述第二通信方产生各自子私钥和计算公钥，在需要签名时进行通信双方协同签名；

所述第一通信方和所述第二通信方产生各自子私钥和计算公钥的过程包括：

所述第一通信方通过所述第一密码运算模块产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；然后计算椭圆曲线点P₁=[D₁]G，再通过所述第一通信模块把P₁发送给所述第二通信方；

所述第二通信方通过第二通信模块接收P₁，通过所述第二密码运算模块产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；然后计算得到公钥P=P₁+[D₂]G+[D₂]P₁，并通过第二通信模块公开所述公钥；

通信双方协同签名过程包括：

所述第一通信方通过所述第一密码运算模块对待签名消息M使用预定的杂凑函数,得到消息摘要e；然后产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并通过所述第一通信模块将e、W₁和k₁发送给所述第二通信方；

所述第二通信方通过所述第二通信模块接收e、W₁和k₁，由所述第二密码运算模块产生随机数k₂,b₂∈[1,n-1]，根据b₂和W₁、k₁计算得到椭圆曲线点W=[k₂]W₁+[b₂k₁]G，W的坐标为（x₁,y₁）；然后根据x₁和e计算得到第二部分签名r=(x₁+e) mod n，若r=0，则由所述第二密码运算模块重新产生随机数以及计算第二部分签名；

所述第二通信方通过所述第二密码运算模块根据k₁、k₂、d₂、b₂和r计算得到第三部分签名s₁=(k₂d₂)mod n，第四部分签名s₂=(d₂(r+b₂k₁))mod n,并通过所述第二通信模块将s₁、s₂、r发送给所述第一通信方；

所述第一通信方通过所述第一通信模块接收s₁、s₂和r，再由所述第一密码运算模块根据b₁、d₁、s₁、s₂和r计算s=(b₁d₁s₁+d₁s₂-r)mod n，若s≠0，所述第一通信方通过所述第一通信模块输出M及其数字签名(r，s)；若s=0，则重新开始通信双方协同签名过程。

一种基于SM2算法的通信双方协同解密系统，包括第一通信方和第二通信方，所述第一通信方包括第一密码运算模块和第一通信模块，所述第二通信方包括第二密码运算模块和第二通信模块，所述第一通信方和所述第二通信方通过所述第一通信模块和所述第二通信模块通信连接；所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述第一通信方和所述第二通信方产生各自子私钥和计算公钥，在需要解密时进行通信双方协同解密；

所述第一通信方和所述第二通信方产生各自子私钥和计算公钥的过程包括：

所述第一通信方通过所述第一密码运算模块产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；然后计算椭圆曲线点P₁=[D₁]G，再通过所述第一通信模块把P₁发送给所述第二通信方；

所述第二通信方通过第二通信模块接收P₁，通过所述第二密码运算模块产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；然后计算得到公钥P= P₁+[D₂]G+[D₂]P₁，并通过第二通信模块公开所述公钥；

通信双方协同解密过程包括：

设密文结构为C₁||C₂||C₃，其中||表示拼接，所述第一通信方通过所述第一密码运算模块从密文结构中取出C₁，将C₁的数据类型转换为椭圆曲线E上的点；若C₁是无穷远点，则报错并退出；否则根据C₁、D₁计算椭圆曲线点Q₁=D₁C₁ mod n,并通过所述第一通信模块把C₁、Q₁发送给所述第二通信方；

所述第二通信方通过所述第二通信模块接收C₁、Q₁，然后通过所述第二密码运算模块计算Q₂=(D₂C₁+D₂Q₁)mod n，再通过所述第二通信模块把Q₂发送给所述第一通信方；

所述第一通信方通过所述第一通信模块接收Q₂，然后通过所述第一密码运算模块计算椭圆曲线点Q=Q₁+Q₂，Q的坐标为(x₂,y₂)；再计算t=KDF(x₂||y₂,klen)，其中KDF( )为密钥派生函数，klen为密文中C₂的比特长度；若t为全0的比特串，则报错并退出，否则从密文结构中取出C₂,计算M’=C₂⊕t；然后根据M’和x₂、y₂计算u=Hash(x₂||M’||y₂)，并从密文中取出C₃,其中Hash( )是密码杂凑函数；若u≠C₃，则报错并退出，否则第一通信方通过所述第一通信模块输出明文M’。

在本发明的技术方案中，通信双方独立生成各自子私钥，两个子私钥之间无任何关联，两个子私钥是真正的私钥的分量，通信双方均无法从通信双方通信传输的中间数据中获取对方私钥任何敏感信息，也无法由己方生成和获得的参数计算得到私钥。只有通过通信双方协同运算，才能对消息进行签名和解密操作，入侵任何一方都无法获取私钥伪造签名，或者将秘密信息正确解密。

与现有技术相比，本发明具有突出的实质性特点和显著的进步，具体地说：本发明技术方案通过密钥拆分的算法设计充分保证密码算法的安全性，在不依赖于密码硬件的软件密码模块中使用，也可以达到用户数据安全保密的效果；并且本方案中并未引入椭圆曲线上的点减运算，只需要使用SM2原有的基本运算模块就可以完成，不需要另外增加运算模块进行处理，给算法的实现带来了很大的便利，可以广泛应用于电子商务、移动政务、车联网、物联网、云计算系统等等，对于普通个人用户的隐私保护和数据安全也有非常好的促进作用。

附图说明

图1是本发明签名方法的一个实施例的流程示意图。

图2是本发明解密方法的一个实施例的流程示意图。

图3是本发明签名系统的一个实施例的原理框图。

图4是本发明解密系统的一个实施例的原理框图。

具体实施方式

下面通过具体实施方式，对本发明的技术方案做进一步的详细描述。

本发明中以类似[k]G的形式表示E上的点乘运算，[k]G代表点G的k倍点，k是正整数。mod n表示模n运算。表示数值的乘法运算时乘号省略，例如D₁D₂表示的是D₁与D₂相乘。

本发明中对于椭圆曲线点加运算，以及数值的加法运算，使用的符号都是加号“+”。如果是椭圆曲线点相加，则“+”表示点加运算；如果是数值相加，则“+”表示数值的加法运算。

本发明中没有引入椭圆曲线点减运算，减号“-”表示数值的减法运算。

如图1所示，本发明提供了基于SM2算法的通信双方协同签名方法的一个实施例，所述方法涉及第一通信方和第二通信方，所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述方法包括以下步骤：

一、产生通信双方各自子私钥和计算公钥阶段

S101、所述第一通信方产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；

S102、所述第一通信方根据D₁和G计算得到椭圆曲线点P₁=[D₁]G，把P₁发送给所述第二通信方；

S103、所述第二通信方产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；

S104、所述第二通信方根据D₂、P₁和G计算得到公钥 P=P₁+[D₂]G+[D₂]P₁，并公开所述公钥；

私钥d与子私钥d₁、d₂的关系为(1+d)^-1 = d₁d₂。则公私钥配对一致性证明如下：

由(1+d)^-1 = d₁d₂

=(1+D₁)^-1(1+D₂)^-1

=(1+D₁+D₂+D₁D₂)^-1，可得私钥d = D₁+D₂+D₁D₂；

公钥P = P₁+[D₂]G+[D₂]P₁

= [D₁]G+[D₂]G+[D₁D₂]G

= [D₁+D₂+D₁D₂]G

= [d]G

所述第一通信方和所述第二通信方均无法由己方生成和获得的参数计算得到私钥d，保证了私钥的安全。

此外，第一通信方和第二通信方的角色可以互换。

二、通信双方协同签名阶段

S201、所述第一通信方对待签名消息M使用预定的杂凑函数,得到消息摘要e；

可以先求得第一通信方的杂凑值Z，把杂凑值Z和M拼接，然后对拼接后的值使用密码杂凑函数，求得消息摘要e；具体可以参照SM2椭圆曲线公钥密码算法中数字签名算法部分的规定。

S202、所述第一通信方产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并将e、W₁和k₁发送给所述第二通信方；

在某些情况下，消息摘要e也可以由第二通信方产生，这时第一通信方只需要把第一部分签名W₁和k₁发送给所述第二通信方。

S203、所述第二通信方产生随机数k₂,b₂∈[1,n-1]，根据b₂和接收到的W₁、k₁计算得到椭圆曲线点W=[k₂]W₁+[b₂k₁]G，W的坐标为（x₁,y₁）；

S204、所述第二通信方根据x₁和e计算得到第二部分签名r=(x₁+e) mod n，若r=0，则返回S203；

S205、所述第二通信方根据k₁、k₂、d₂、b₂和r计算得到第三部分签名s₁=(k₂d₂)mod n，第四部分签名s₂=(d₂(r+b₂k₁))mod n,并将s₁、s₂、r发送给所述第一通信方；

S206、所述第一通信方根据b₁、d₁、s₁、s₂和r计算s = (b₁d₁s₁+d₁s₂-r)mod n，若s=0，返回S202；

S207、所述第一通信方输出M及其数字签名(r，s)。

上述第一通信方和第二通信方产生的随机数D₁、D₂、k₁、k₂、b₁、b₂，可以是直接产生的位于[1,n-1]之间的一个随机数，也可以由一个或多个位于[1,n-1]之间的随机数运算得到，这里的运算包括线性运算、相乘、求逆等。例如k₁= (k₁₁+…+ k_1i+…+ k_1m) mod n，或k₁=(k₁₁*…* k_1i*…* k_1m) mod n, k₁=（k₁₁*…* k_1i*…* k_1m）^-1 mod n，k₁=（k₁₁+…+ k_1i+…+k_1m）^-1 mod n等等，其中k_1i∈[1,n-1],i∈[1,m]，m≥1。通过这样的运算，可以进一步增强密码算法的安全性。

签名正确性证明如下：

由(1+d)^-1=d₁d₂ mod n，可得

s = (b₁d₁s₁ + d₁s₂-r) mod n

= (b₁d₁k₂d₂+ d₁d₂(r+b₂k₁)–r) mod n

= (d₁d₂b₁k₂ + d₁d₂r + d₁d₂k₁b₂ – r) mod n

= [d₁d₂(b₁k₂ + k₁b₂) + d₁d₂r –r] mod n

= [d₁d₂(b₁k₂ + k₁b₂) + d₁d₂(r - (d₁d₂)^-1r)] mod n

= d₁d₂[ (b₁k₂ + k₁b₂) + r –(d₁d₂)^-1r] mod n

= (1+d)^-1[(b₁k₂ + k₁b₂) + r -（1+d）r] mod n

= (1+d)^-1[(b₁k₂ + k₁b₂) - rd] mod n

= (1+d)^-1(k-rd) mod n

在通信双方通信过程中，通信双方的子私钥敏感信息得到了保护，第一通信方和第二通信方都不能得到对方的子私钥，也无法由己方生成和获得的参数计算得到私钥d。这样可以保证私钥是安全的，从而保证密码算法的安全性。

基于与上述方法同样的发明构思，本发明还提供了所述基于SM2算法的通信双方协同解密方法的一个实施例，如图2所示。所述方法涉及第一通信方和第二通信方，所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；设密文结构为C₁||C₂||C₃，其中||表示拼接，所述方法包括以下步骤：

一、产生通信双方各自子私钥和计算公钥阶段

S101、所述第一通信方产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；

S102、所述第一通信方根据D₁和G计算得到椭圆曲线点P₁=[D₁]G，把P₁发送给所述第二通信方；

S103、所述第二通信方产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；

S104、所述第二通信方根据D₂、P₁和G计算得到公钥 P=P₁+[D₂]G+[D₂]P₁，并公开所述公钥；

二、通信双方协同解密阶段

S201、所述第一通信方从密文结构中取出C₁，将C₁的数据类型转换为椭圆曲线E上的点；若C₁是无穷远点，则报错并退出；

S202、所述第一通信方根据C₁、D₁计算椭圆曲线点Q₁=D₁C₁ mod n,并把C₁、Q₁发送给所述第二通信方；

S203、所述第二通信方根据C₁、D₂和Q₁计算Q₂=(D₂C₁+D₂Q₁)mod n,并将Q₂发送给所述第一通信方；

S204、所述第一通信方根据Q₁和Q₂计算椭圆曲线点Q=Q₁+Q₂，Q的坐标为(x₂,y₂)；然后计算t=KDF(x₂||y₂,klen)，其中KDF( )为密钥派生函数，klen为密文中C₂的比特长度；若t为全0的比特串，则报错并退出；

密钥派生函数的作用是从一个共享的秘密比特串中派生出密钥数据。

S205、所述第一通信方从密文结构中取出C₂,计算M’=C₂⊕t；

⊕表示长度相等的两个比特串按比特的异或运算。

S206、所述第一通信方根据M’和x₂、y₂计算u=Hash(x₂||M’||y₂)，并从密文中取出C₃, 其中Hash( )是密码杂凑函数；若u≠C₃，则报错并退出；

S207：所述第一通信方输出明文M’。

要证明解密的正确性，只需要证明Q =（x₂，y₂）= dC₁；

由Q = Q₁+ Q₂

= D₁C₁ + D₂C₁ + D₂Q₁

= D₁C₁ + D₂C₁+ D₂D₁C₁

= (D₁ + D₂ + D₁D₂)C₁

= dC₁ ，即可得证。

基于与上述方法同样的发明构思，本发明还提供了所述基于SM2算法的通信双方协同签名系统的一个实施例，如图3所示。该系统包括第一通信方和第二通信方，所述第一通信方包括第一密码运算模块和第一通信模块，所述第二通信方包括第二密码运算模块和第二通信模块，所述第一通信方和所述第二通信方通过所述第一通信模块和所述第二通信模块通信连接；所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述第一通信方和所述第二通信方产生各自子私钥和计算公钥，在需要签名时进行通信双方协同签名；

所述第一通信方和所述第二通信方产生各自子私钥和计算公钥的过程包括：

所述第一通信方通过所述第一密码运算模块产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；然后计算椭圆曲线点P₁=[D₁]G，再通过所述第一通信模块把P₁发送给所述第二通信方；

所述第二通信方通过第二通信模块接收P₁，通过所述第二密码运算模块产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；然后计算得到公钥 P=P₁+[D₂]G+[D₂]P₁，并通过第二通信模块公开所述公钥；

通信双方协同签名过程包括：

所述第一通信方通过所述第一密码运算模块对待签名消息M使用预定的杂凑函数,得到消息摘要e；然后产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并通过所述第一通信模块将e、W₁和k₁发送给所述第二通信方；

所述第二通信方通过所述第二通信模块接收e、W₁和k₁，由所述第二密码运算模块产生随机数k₂,b₂∈[1,n-1]，根据b₂和W₁、k₁计算得到椭圆曲线点W=[k₂]W₁+[b₂k₁]G，W的坐标为（x₁,y₁）；然后根据x₁和e计算得到第二部分签名r=(x₁+e) mod n，若r=0，则由所述第二密码运算模块重新产生随机数以及计算第二部分签名；

所述第二通信方通过所述第二密码运算模块根据k₁、k₂、d₂、b₂和r计算得到第三部分签名s₁=(k₂d₂)mod n，第四部分签名s₂=(d₂(r+b₂k₁))mod n,并通过所述第二通信模块将s₁、s₂、r发送给所述第一通信方；

所述第一通信方通过所述第一通信模块接收s₁、s₂和r，再由所述第一密码运算模块根据b₁、d₁、s₁、s₂和r计算s=(b₁d₁s₁+d₁s₂-r)mod n，若s≠0，则把(r,s)作为协同签名的结果；若s=0，则重新开始通信双方协同签名过程。

如图4所示，本发明还提供所述基于SM2算法的通信双方协同解密系统的一个实施例。该系统包括第一通信方和第二通信方，所述第一通信方包括第一密码运算模块和第一通信模块，所述第二通信方包括第二密码运算模块和第二通信模块，所述第一通信方和所述第二通信方通过所述第一通信模块和所述第二通信模块通信连接；所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述第一通信方和所述第二通信方产生各自子私钥和计算公钥，在需要解密时进行通信双方协同解密；

所述第一通信方和所述第二通信方产生各自子私钥和计算公钥的过程包括：

所述第一通信方通过所述第一密码运算模块产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；然后计算椭圆曲线点P₁=[D₁]G，再通过所述第一通信模块把P₁发送给所述第二通信方；

所述第二通信方通过第二通信模块接收P₁，通过所述第二密码运算模块产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；然后计算得到公钥P=P₁+[D₂]G+[D₂]P₁，并通过第二通信模块公开所述公钥；

通信双方协同解密过程包括：

设密文结构为C₁||C₂||C₃，其中||表示拼接，所述第一通信方通过所述第一密码运算模块从密文结构中取出C₁，将C₁的数据类型转换为椭圆曲线E上的点；若C₁是无穷远点，则报错并退出；否则根据C₁、D₁计算椭圆曲线点Q₁=D₁C₁ mod n,并通过所述第一通信模块把C₁、Q₁发送给所述第二通信方；

所述第二通信方通过所述第二通信模块接收C₁、Q₁，然后通过所述第二密码运算模块计算Q₂=(D₂C₁+D₂Q₁)mod n，再通过所述第二通信模块把Q₂发送给所述第一通信方；

所述第一通信方通过所述第一通信模块接收Q₂，然后通过所述第一密码运算模块计算椭圆曲线点Q=Q₁+Q₂，Q的坐标为(x₂,y₂)；再计算t=KDF(x₂||y₂,klen)，其中KDF( )为密钥派生函数，klen为密文中C₂的比特长度；若t为全0的比特串，则报错并退出，否则从密文结构中取出C₂,计算M’=C₂⊕t；然后根据M’和x₂、y₂计算u=Hash(x₂||M’||y₂)，并从密文中取出C₃,其中Hash( )是密码杂凑函数；若u≠C₃，则报错并退出，否则第一通信方通过所述第一通信模块输出明文M’。

最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (6)

1. 一种基于SM2算法的通信双方协同签名方法，其特征在于：所述签名方法涉及第一通信方和第二通信方，所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述协同签名方法包括以下步骤：

一、产生通信双方各自子私钥和计算公钥阶段

S101、所述第一通信方产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；

S102、所述第一通信方根据D₁和G计算得到椭圆曲线点P₁=[D₁]G，把P₁发送给所述第二通信方；

S103、所述第二通信方产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；

S104、所述第二通信方根据D₂、P₁和G计算得到公钥P=P₁+[D₂]G+[D₂]P₁，并公开所述公钥；

二、通信双方协同签名阶段

S201、所述第一通信方对待签名消息M使用预定的杂凑函数,得到消息摘要e；

S202、所述第一通信方产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并将e、W₁和k₁发送给所述第二通信方；

S203、所述第二通信方产生随机数k₂,b₂∈[1,n-1]，根据b₂和接收到的W₁、k₁计算得到椭圆曲线点W=[k₂]W₁+[b₂k₁]G，W的坐标为（x₁,y₁）；

S204、所述第二通信方根据x₁和e计算得到第二部分签名r=(x₁+e) mod n，若r=0，则返回S203；

S205、所述第二通信方根据k₁、k₂、d₂、b₂和r计算得到第三部分签名s₁=(k₂d₂)mod n，第四部分签名s₂=(d₂(r+b₂k₁))mod n,并将s₁、s₂、r发送给所述第一通信方；

S206、所述第一通信方根据b₁、d₁、s₁、s₂和r计算s = (b₁d₁s₁+d₁s₂-r)mod n，若s=0，返回S202；

S207、所述第一通信方输出M及其数字签名(r，s)。

2.根据权利要求1所述的基于SM2算法的通信双方协同签名方法，其特征在于，所述D₁、D₂、k₁、k₂、b₁、b₂分别由一个或多个位于[1,n-1]之间的随机数运算得到，所述运算包括线性运算、相乘和求逆。

3.根据权利要求1或2所述的基于SM2算法的通信双方协同签名方法，其特征在于，步骤S201、S202分别为：

S201、所述第一通信方产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并将W₁和k₁发送给所述第二通信方；

S202、所述第二通信方对待签名消息M使用预定的杂凑函数,得到消息摘要e。

4.一种基于SM2算法的通信双方协同解密方法，其特征在于：所述解密方法涉及第一通信方和第二通信方，所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；设密文结构为C₁||C₂||C₃，其中||表示拼接，所述解密方法包括以下步骤：

一、产生通信双方各自子私钥和计算公钥阶段

S101、所述第一通信方产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；

S102、所述第一通信方根据D₁和G计算得到椭圆曲线点P₁=[D₁]G，把P₁发送给所述第二通信方；

S103、所述第二通信方产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；

S104、所述第二通信方根据D₂、P₁和G计算得到公钥P=P₁+[D₂]G+[D₂]P₁，并公开所述公钥；

二、通信双方协同解密阶段

S201、所述第一通信方从密文结构中取出C₁，将C₁的数据类型转换为椭圆曲线E上的点；若C₁是无穷远点，则报错并退出；

S202、所述第一通信方根据C₁、D₁计算椭圆曲线点Q₁=D₁C₁ mod n,并把C₁、Q₁发送给所述第二通信方；

S203、所述第二通信方根据C₁、D₂和Q₁计算Q₂=(D₂C₁+D₂Q₁)mod n,并将Q₂发送给所述第一通信方；

S204、所述第一通信方根据Q₁和Q₂计算椭圆曲线点Q=Q₁+Q₂，Q的坐标为(x₂,y₂)；然后计算t=KDF(x₂||y₂,klen)，其中KDF( )为密钥派生函数，klen为密文中C₂的比特长度；若t为全0的比特串，则报错并退出；

S205、所述第一通信方从密文结构中取出C₂,计算M’=C₂⊕t；

S206、所述第一通信方根据M’和x₂、y₂计算u=Hash(x₂||M’||y₂)，并从密文中取出C₃, 其中Hash( )是密码杂凑函数；若u≠C₃，则报错并退出；

S207：所述第一通信方输出明文M’。

5.一种基于SM2算法的通信双方协同签名系统，其特征在于，包括第一通信方和第二通信方，所述第一通信方包括第一密码运算模块和第一通信模块，所述第二通信方包括第二密码运算模块和第二通信模块，所述第一通信方和所述第二通信方通过所述第一通信模块和所述第二通信模块通信连接；所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述第一通信方和所述第二通信方产生各自子私钥和计算公钥，在需要签名时进行通信双方协同签名；

所述第一通信方和所述第二通信方产生各自子私钥和计算公钥的过程包括：

所述第一通信方通过所述第一密码运算模块产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；然后计算椭圆曲线点P₁=[D₁]G，再通过所述第一通信模块把P₁发送给所述第二通信方；

所述第二通信方通过第二通信模块接收P₁，通过所述第二密码运算模块产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；然后计算得到公钥P=P₁+[D₂]G+[D₂]P₁，并通过第二通信模块公开所述公钥；

通信双方协同签名过程包括：

所述第一通信方通过所述第一密码运算模块对待签名消息M使用预定的杂凑函数,得到消息摘要e；然后产生随机数k₁,b₁∈[1,n-1]，根据b₁和G生成第一部分签名W₁=[b₁]G,并通过所述第一通信模块将e、W₁和k₁发送给所述第二通信方；

所述第二通信方通过所述第二通信模块接收e、W₁和k₁，由所述第二密码运算模块产生随机数k₂,b₂∈[1,n-1]，根据b₂和W₁、k₁计算得到椭圆曲线点W=[k₂]W₁+[b₂k₁]G，W的坐标为（x₁,y₁）；然后根据x₁和e计算得到第二部分签名r=(x₁+e) mod n，若r=0，则由所述第二密码运算模块重新产生随机数以及计算第二部分签名；

所述第二通信方通过所述第二密码运算模块根据k₁、k₂、d₂、b₂和r计算得到第三部分签名s₁=(k₂d₂)mod n，第四部分签名s₂=(d₂(r+b₂k₁))mod n,并通过所述第二通信模块将s₁、s₂、r发送给所述第一通信方；

所述第一通信方通过所述第一通信模块接收s₁、s₂和r，再由所述第一密码运算模块根据b₁、d₁、s₁、s₂和r计算s=(b₁d₁s₁+d₁s₂-r)mod n，若s≠0，所述第一通信方通过所述第一通信模块输出M及其数字签名(r，s)；若s=0，则重新开始通信双方协同签名过程。

6.一种基于SM2算法的通信双方协同解密系统，其特征在于，包括第一通信方和第二通信方，所述第一通信方包括第一密码运算模块和第一通信模块，所述第二通信方包括第二密码运算模块和第二通信模块，所述第一通信方和所述第二通信方通过所述第一通信模块和所述第二通信模块通信连接；所述第一通信方和所述第二通信方共享SM2算法椭圆曲线E和E上阶为n的基点G；所述第一通信方和所述第二通信方产生各自子私钥和计算公钥，在需要解密时进行通信双方协同解密；

所述第一通信方和所述第二通信方产生各自子私钥和计算公钥的过程包括：

所述第一通信方通过所述第一密码运算模块产生随机数D₁∈[1,n-1]，把d₁=(1+D₁)^-1作为所述第一通信方的子私钥，其中(1+D₁)^-1表示1+D₁的逆元(1+D₁)^-1mod n；然后计算椭圆曲线点P₁=[D₁]G，再通过所述第一通信模块把P₁发送给所述第二通信方；

所述第二通信方通过第二通信模块接收P₁，通过所述第二密码运算模块产生随机数D₂∈[1,n-1]，把d₂=(1+D₂)^-1作为所述第二通信方的子私钥,其中(1+D₂)^-1表示1+D₂的逆元(1+D₂)^-1mod n；然后计算得到公钥P=P₁+[D₂]G+[D₂]P₁，并通过第二通信模块公开所述公钥；

通信双方协同解密过程包括：

设密文结构为C₁||C₂||C₃，其中||表示拼接，所述第一通信方通过所述第一密码运算模块从密文结构中取出C₁，将C₁的数据类型转换为椭圆曲线E上的点；若C₁是无穷远点，则报错并退出；否则根据C₁、D₁计算椭圆曲线点Q₁=D₁C₁ mod n,并通过所述第一通信模块把C₁、Q₁发送给所述第二通信方；

所述第二通信方通过所述第二通信模块接收C₁、Q₁，然后通过所述第二密码运算模块计算Q₂=(D₂C₁+D₂Q₁)mod n，再通过所述第二通信模块把Q₂发送给所述第一通信方；

所述第一通信方通过所述第一通信模块接收Q₂，然后通过所述第一密码运算模块计算椭圆曲线点Q=Q₁+Q₂，Q的坐标为(x₂,y₂)；再计算t=KDF(x₂||y₂,klen)，其中KDF( )为密钥派生函数，klen为密文中C₂的比特长度；若t为全0的比特串，则报错并退出，否则从密文结构中取出C₂,计算M’=C₂⊕t；然后根据M’和x₂、y₂计算u=Hash(x₂||M’||y₂)，并从密文中取出C₃,其中Hash( )是密码杂凑函数；若u≠C₃，则报错并退出，否则第一通信方通过所述第一通信模块输出明文M’。