CN109962783B - 基于递进计算的sm9数字签名协同生成方法及系统 - Google Patents

Abstract

发明为SM9数字签名协同生成方法：m个装置分别有整数秘密c_i，i＝1,…,m，m≥2；初始化时从t₁＝c₁通过与c₂,...,c_m的模n加或乘递进计算得到t₂,...,t_m，c＝t_m，计算P_A＝[c^‑1]d_A，g_c＝g^(c^‑1)，d_A是用户私钥，g＝e(P₁,P_pub)，^是幂运算；当需用d_A对消息M签名时，m装置分别任选整数r_i,采用与计算t₂,...,t_m对应的递进计算方式从g₁＝g_c^r₁计算得到g₂,…,g_m；计算h＝H₂(M||g_m,n)；m个装置采用与计算g₂,…,g_m对应的递进计算方式从S₁＝[r₁‑c₁h]P_A计算得到S₂,…,S_m，(h,S_m)为数字签名。

Description

基于递进计算的SM9数字签名协同生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是一种支持更广秘密共享方式的SM9数字签名协同生成方法及系统。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群，G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9算法能实现基于标识的数字签名、密钥交换及数据加密。针对SM9，本专利申请的发明人曾提出了相应的基于秘密共享的数字签名生成方案，但有关方案仅支持求和秘密共享或乘积秘密共享，不支持更广的秘密共享方式，比如求和与乘积混合的秘密共享方式，这就是本专利申请的发明要解决的问题。

发明内容

本发明的目的是提出一种支持更广秘密共享方式的数字签名协同生成方法及系统。

针对本发明的目的，本发明提出的技术方案包括基于递进计算的SM9数字签名协同生成方法及系统。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)，[k]P表示k个P在加法群上的加，即P+P+...+P(共有k个P)，若k是负数，则是|k|个P相加的结果的加法逆元([k]P表示与SM9算法规定的符号一致)。

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算。

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元(乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operation)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明的基于递进计算的SM9数字签名协同生成方法具体如下。

所述方法涉及m个装置，其中m≥2；

m个装置分别标号为第1号到第m号装置；

m个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂,…,c_m，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,…,m；

在初始化阶段按如下方式计算得到共享秘密c(在将c₁,c₂,…,c_m分配给m个装置之前或之后，由m个装置中的一个装置或m个装置之外的装置或m个装置协同实施)：

第1步：设置t₁＝c₁，进入第2步；

第i步：i＝2,…m，计算t_i＝(t_i-1+c_i)mod n，或t_i＝(c_it_i-1)mod n；

若i＝m，则令c＝t_m，完成c的计算，否则进入第i+1步，直到第m步计算得到t_m；

以上计算c的过程中每步独立选择计算公式；

之后，计算P_A＝[c^-1]d_A,g_c＝g^(c^-1)，其中c^-1是c的模n乘法逆，d_A是用户的SM9标识私钥，^表示幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

之后，将P_A、g_c分发给m个装置，将d_A、c销毁；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块，或者m个装置之一中的密码应用程序、系统)：

第1号装置在[1,n-1]内随机选择一个整数r₁，计算g₁＝g_c^r₁，然后将g₁传送第2号装置；

第i号装置，i＝2,…,m，在[1,n-1]内随机选择一个整数r_i，并按如下方式计算g_i：

若计算t_i时采用的公式是t_i＝(t_i-1+c_i)mod n，则g_i＝g_i-1(g_c^r_i)；

若计算t_i时采用的公式是t_i＝(c_it_i-1)mod n，则g_i＝(g_i-1^c_i)(g_c^r_i)；

若i＝m，则令w＝g_m，转入后续处理，否则，第i号装置将g_i传送第i+1号装置，直到第m号装置完成g_m计算；

m个装置中的一个装置(可以是其中任一个装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示将w转化成字串后与M的字串合并，n为SM9密码算法中群G₁、G₂、G_T的阶；

之后，第1号装置计算S₁＝[r₁-c₁h]P_A,这里r₁与计算g₁时的r₁相同；

第1号装置将S₁传送给第2号装置；

第i号装置，i＝2,…,m,按如下方式计算S_i：

若计算g_i采用的公式是g_i＝g_i-1(g_c^r_i)，则S_i＝S_i-1+[r_i-c_ih]P_A；

若计算g_i采用的公式是g_i＝(g_i-1^c_i)(g_c^r_i)，则S_i＝[c_i]S_i-1+[r_i]P_A,这里r_i与计算g_i时的r_i相同；

若i＝m，则令S＝S_m，(h,S)即是针对消息M的数字签名，否则，第i号装置将S_i传送第i+1号装置，直到第m号装置计算得到S_m；

或者，在计算得到h之后，第1号装置计算s₁＝(r₁-c₁h)mod n,这里r₁与计算g₁时的r₁相同；

第1号装置将s₁传送给第2号装置；

第i号装置，i＝2,…,m,按如下方式计算s_i：

若计算g_i采用的公式是g_i＝g_i-1(g_c^r_i)，则s_i＝(s_i-1+r_i-c_ih)mod n；

若计算g_i采用的公式是g_i＝(g_i-1^c_i)(g_c^r_i)，则s_i＝(c_is_i-1+r_i)mod n,这里r_i与计算g_i时的r_i相同；

若i＝m，则完成s_m计算后转入后续处理，否则，第i号装置将s_i传送第i+1号装置，直到第m号装置计算的到s_m；

第m号装置完成s_m计算后，(m个装置中的或m个装置之外的)一个装置计算S＝[s_m]P_A，则(h,S)是针对消息M的数字签名。

对于以上所述基于递进计算的SM9数字签名协同生成方法，在t_i计算过程中，i＝2,…,或m，若出现t_i＝0，则重新在[1,n-1]内选择整数秘密c₁,c₂,…,c_m，重新设置t₁，重新计算t_i，i＝2,…,m，直到t_i≠0，i＝2,…,m。

对于以上所述基于递进计算的SM9数字签名协同生成方法，可选地，若第i号装置完成g_i计算后，检查发现g_i是单位元，则第1号到第i号装置重新选取r_t，重新计算g_t，t＝1,…,i，直到g_i不是单位元。

对于以上所述基于递进计算的SM9数字签名协同生成方法，可选地，若计算得到h后，(m个装置的一个装置)检查发现w＝g^h，则m个装置重新选取r_i，重新计算g_i，i＝1,…,m，重新计算h，直到w≠g^h。

对于以上所述基于递进计算的SM9数字签名协同生成方法，可选地，若第i号装置完成S_i或s_i计算后，检查发现S_i是零元或s_i是零，则m个装置重新选取r_i，重新计算g_i，i＝1,…,m，重新计算h，第1号到第i号装置重新计算S_t或s_t，t＝1,…,i，直到S_i不是零元或s_i不是零。

对于以上所述基于递进计算的SM9数字签名协同生成方法，若m个装置中的一个装置或多个装置或全部装置在计算g_i和S_i时或在计算g_i和s_i时，i＝1,…,m，将g_i和S_i这两个量或g_i和s_i这两个量的计算式中的r_i同时用c_ir_i替代，则最终得到的数字签名结果仍然正确(若第i号装置计算g_i时使用c_ir_i，则第i号装置计算S_i时或计算s_i时也使用c_ir_i，反之亦然；m个装置不必采用相同的方式，每个装置独立选取计算式)。

从以上所述基于递进计算的SM9数字签名协同生成方法可以得到一种精简的SM9数字签名协同生成方法，具体如下：

与前述基于递进计算的SM9数字签名协同生成方法不同的是，第m号装置没有[1,n-1]内的整数秘密c_m；在初始化阶段，先按前述计算共享秘密c中的步骤计算得到t₁,…,t_m-1，计算得到t_m-1后不再继续计算t_m，然后令c＝t_m-1，之后计算得到P_A＝[c^-1]d_A,g_c＝g^(c^-1)(在将c₁,…,c_m-1分配给第1号到第m-1号装置之前或之后，由m个装置中的一个装置或m个装置之外的装置或m个装置协同实施)；

第m号装置将P_A作为秘密保存(其他装置没有P_A)；

将g_c分发给个装置；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块，或者m个装置之一中的密码应用程序、系统)：

第1号到第m-1号装置按前述方式计算得到g₁,…,g_m-1；

第m号装置在[1,n-1]内随机选择一个整数r_m，计算g_m＝g_m-1(g_c^r_m)；

之后，(一个装置)计算得到h＝H₂(M||w,n)；

之后，第1号到第m-1号装置按前述方式计算得到s₁,…,s_m-1；

之后，第m号装置计算s_m＝(s_m-1+r_m)mod n，S＝[s_m]P_A；则(h,S)是针对消息M的数字签名。

在以上所述基于递进计算的SM9数字签名协同生成方法或精简的的SM9数字签名协同生成方法的基础上，可以构建SM9数字签名协同生成系统，系统包括m个装置，其中m≥2；m个装置分别标号为第1号到第m号装置；m个装置分别保存有以上所述秘密；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述基于递进计算的SM9数字签名协同生成方法或所述精简的的SM9数字签名协同生成方法生成针对消息M的数字签名。

从以上描述可以看到，本发明的SM9数字签名协同生成方法除了支持求和秘密共享(即c是c₁,c₂,…,c_m的模n和)和乘积秘密共享(即c是c₁,c₂,…,c_m的模n乘积)之外，还支持混合秘密共享，即计算c的过程既包含与c₁,c₂,…,c_m中元素的模n和，又包含与c₁,c₂,…,c_m中元素的模n乘积。

附图说明

无。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

此实施例包括m个分别标号为第1号到第m号的装置，m≥3；在初始化阶段，m个装置中的一个装置或m个装置之外的一个装置在[1,n-1]区间内随机选择m个整数c₁,…,c_m，然后按前述秘密c的递进计算方法计算得到c，且计算c的过程既包含与c₁,c₂,…,c_m中元素的模n加，又包含与c₁,c₂,…,c_m中元素的模n乘积，即对c的秘密共享是混合秘密共享；之后，计算g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；知道d_A的装置计算P_A＝[c^-1]d_A，其中d_A是用户SM9标识私钥；之后将c₁,c₂,…,c_m分发给m个装置，将c、d_A销毁，将P_A、g_c分发给m个装置；之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述基于递进计算的SM9数字签名协同生成方法生成针对消息的数字签名。

实施例2、

此实施例包括m个分别标号为第1号到第m号的装置，m≥2；在初始化阶段，m个装置中的一个装置或m个装置之外的一个装置在[1,n-1]区间内随机选择m个整数c₁,…,c_m，然后按前述秘密c的递进计算方法计算得到c，且c是c₁,c₂,…,c_m的模n和，即对c的秘密共享是求和秘密共享；之后，计算g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；知道d_A的装置计算P_A＝[c^-1]d_A，其中d_A是用户SM9标识私钥；之后将c₁,c₂,…,c_m分发给m个装置，将c、d_A销毁，将P_A、g_c分发给m个装置；之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述基于递进计算的SM9数字签名协同生成方法生成针对消息的数字签名。

实施例3、

此实施例包括m个分别标号为第1号到第m号的装置，m≥2；在初始化阶段，m个装置中的一个装置或m个装置之外的一个装置在[1,n-1]区间内随机选择m个整数c₁,…,c_m，然后按前述秘密c的递进计算方法计算得到c，且c是c₁,c₂,…,c_m的模n乘积，即对c的秘密共享是乘积秘密共享；之后，计算g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；知道d_A的装置计算P_A＝[c^-1]d_A，其中d_A是用户SM9标识私钥；之后将c₁,c₂,…,c_m分发给m个装置，将c、d_A销毁，将P_A、g_c分发给m个装置；之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述基于递进计算的SM9数字签名协同生成方法生成针对消息的数字签名。

实施例4、

此实施例包括m个分别标号为第1号到第m号的装置，m≥2；在初始化阶段，m个装置中的一个装置或m个装置之外的一个装置在[1,n-1]区间内随机选择m-1个整数c₁,…,c_m-1，然后按前述精简的SM9数字签名协同生成方法中的秘密c的计算方法，计算得到c(c是混合或求和或乘积秘密，若是混合秘密，则m≥3)；之后，计算g_c＝g^(c^-1)，其中g＝e(P₁,P_pub)；知道d_A的装置计算P_A＝[c^-1]d_A，其中d_A是用户SM9标识私钥；之后将c₁,c₂,…,c_m-1分发给第1号到第m-1号装置，将P_A分发给第m号装置，将c、d_A销毁，将g_c分发给m个装置；之后，当需要使用用户的SM9标识私钥d_A对消息进行数字签名时，m个装置按前述精简的SM9数字签名协同生成方法生成针对消息的数字签名。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims (9)

1.一种基于递进计算的SM9数字签名协同生成方法，其特征是：

所述方法涉及m个装置，其中m≥2；

m个装置分别标号为第1号到第m号装置；

m个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂,…,c_m，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,…,m；

在初始化阶段按如下方式计算得到共享秘密c：

第1步：设置t₁＝c₁，进入第2步；

第i步：i＝2,…m，计算t_i＝(t_i-1+c_i)mod n，或t_i＝(c_it_i-1)mod n；

若i＝m，则令c＝t_m，完成c的计算，否则进入第i+1步，直到第m步计算得到t_m；

以上计算c的过程中每步独立选择计算公式；

之后，计算P_A＝[c^-1]d_A，g_c＝g^(c^-1)，其中c^-1是c的模n乘法逆，d_A是用户的SM9标识私钥，^表示幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

之后，将P_A、g_c分发给m个装置，将d_A、c销毁；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：

第1号装置在[1,n-1]内随机选择一个整数r₁，计算g₁＝g_c^r₁，然后将g₁传送第2号装置；

第i号装置，i＝2,…,m，在[1,n-1]内随机选择一个整数r_i，并按如下方式计算g_i：

若计算t_i时采用的公式是t_i＝(t_i-1+c_i)mod n，则g_i＝g_i-1(g_c^r_i)；

若计算t_i时采用的公式是t_i＝(c_it_i-1)mod n，则g_i＝(g_i-1^c_i)(g_c^r_i)；

若i＝m，则令w＝g_m，转入后续处理，否则，第i号装置将g_i传送第i+1号装置，直到第m号装置完成g_m计算；

m个装置中的一个装置计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示将w转化成字串后与M的字串合并，n为SM9密码算法中群G₁、G₂、G_T的阶；

之后，第1号装置计算S₁＝[r₁-c₁h]P_A,这里r₁与计算g₁时的r₁相同；

第1号装置将S₁传送给第2号装置；

第i号装置，i＝2,…,m,按如下方式计算S_i：

若计算g_i采用的公式是g_i＝g_i-1(g_c^r_i)，则S_i＝S_i-1+[r_i-c_ih]P_A；

若计算g_i采用的公式是g_i＝(g_i-1^c_i)(g_c^r_i)，则S_i＝[c_i]S_i-1+[r_i]P_A,这里r_i与计算g_i时的r_i相同；

若i＝m，则令S＝S_m，(h,S)即是针对消息M的数字签名，否则，第i号装置将S_i传送第i+1号装置，直到第m号装置计算得到S_m；

或者，在计算得到h之后，第1号装置计算s₁＝(r₁-c₁h)mod n,这里r₁与计算g₁时的r₁相同；

第1号装置将s₁传送给第2号装置；

第i号装置，i＝2,…,m,按如下方式计算s_i：

若计算g_i采用的公式是g_i＝g_i-1(g_c^r_i)，则s_i＝(s_i-1+r_i-c_ih)mod n；

若计算g_i采用的公式是g_i＝(g_i-1^c_i)(g_c^r_i)，则s_i＝(c_is_i-1+r_i)mod n,这里r_i与计算g_i时的r_i相同；

若i＝m，则完成s_m计算后转入后续处理，否则，第i号装置将s_i传送第i+1号装置，直到第m号装置计算得到s_m；

第m号装置完成s_m计算后，一个装置计算S＝[s_m]P_A，则(h,S)是针对消息M的数字签名。

2.根据权利要求1所述的基于递进计算的SM9数字签名协同生成方法，其特征是：

在t_i计算过程中，i＝2,…,或m，若出现t_i＝0，则重新在[1,n-1]内选择整数秘密c₁,c₂,…,c_m，重新设置t₁，重新计算t_i，i＝2,…,m，直到t_i≠0，i＝2,…,m。

3.根据权利要求1所述的基于递进计算的SM9数字签名协同生成方法，其特征是：

若第i号装置完成g_i计算后，检查发现g_i是单位元，则第1号到第i号装置重新选取r_t，重新计算g_t，t＝1,…,i，直到g_i不是单位元。

4.根据权利要求1所述的基于递进计算的SM9数字签名协同生成方法，其特征是：

若计算得到h后，检查发现w＝g^h，则m个装置重新选取r_i，重新计算g_i，i＝1,…,m，重新计算h，直到w≠g^h。

5.根据权利要求1所述的基于递进计算的SM9数字签名协同生成方法，其特征是：

若第i号装置完成S_i或s_i计算后，检查发现S_i是零元或s_i是零，则m个装置重新选取r_i，重新计算g_i，i＝1,…,m，重新计算h，第1号到第i号装置重新计算S_t或s_t，t＝1,…,i，直到S_i不是零元或s_i不是零。

6.根据权利要求1所述的基于递进计算的SM9数字签名协同生成方法，其特征是：

若m个装置中的一个装置或多个装置或全部装置在计算g_i和S_i时或在计算g_i和s_i时，i＝1,…,m，将g_i和S_i这两个量或g_i和s_i这两个量的计算式中的r_i同时用c_ir_i替代，则最终得到的数字签名结果仍然正确。

7.一种基于权利要求1-6中任一项所述的基于递进计算的SM9数字签名协同生成方法所构建的SM9数字签名协同生成系统，其特征是：

所述系统包括m个装置，其中m≥2；m个装置分别标号为第1号到第m号装置；m个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂,…,c_m，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,…,m；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述基于递进计算的SM9数字签名协同生成方法生成针对消息M的数字签名。

8.一种从权利要求1-6中任一项所述的基于递进计算的SM9数字签名协同生成方法得到的精简的SM9数字签名协同生成方法，其特征是：

第m号装置没有[1,n-1]内的整数秘密c_m；

在初始化阶段，先按前述计算共享秘密c中的步骤计算得到t₁,…,t_m-1，计算得到t_m-1后不再继续计算t_m，然后令c＝t_m-1，之后计算得到P_A＝[c^-1]d_A,g_c＝g^(c^-1)；

第m号装置将P_A作为秘密保存；

将g_c分发给个装置；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：

第1号到第m-1号装置按前述方式计算得到g₁,…,g_m-1；

第m号装置在[1,n-1]内随机选择一个整数r_m，计算g_m＝g_m-1(g_c^r_m)；

之后，计算得到h＝H₂(M||w,n)；

之后，第1号到第m-1号装置按前述方式计算得到s₁,…,s_m-1；

之后，第m号装置计算s_m＝(s_m-1+r_m)mod n，S＝[s_m]P_A；则(h,S)是针对消息M的数字签名。

9.一种根据权利要求8所述精简的SM9数字签名协同生成方法的SM9数字签名生成系统，其特征是：

所述方法涉及m个装置，其中m≥2；m个装置分别标号为第1号到第m号装置；第1号到第m-号装置分别保存有[1,n-1]区间内的整数秘密c₁,…,c_m-1，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,…,m-1；第m号装置保存有秘密P_A＝[c^-1]d_A，其中c是按所述精简的SM9数字签名协同生成方法计算得到的秘密c，c^-1是c的模n乘法逆，d_A是用户的SM9标识私钥；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述精简的SM9数字签名协同生成方法生成针对消息M的数字签名。