CN110011803A - 一种轻量级sm2两方协同生成数字签名的方法 - Google Patents

Abstract

本发明公开了一种轻量级SM2两方协同生成数字签名的方法，参与两方为P₁，P₂，包括以下步骤：1)签名参数初始化；2)生成分布式密钥：生成参与方P₁，P₂的签名私钥，签名验证公钥；3)生成分布式签名：该步骤主要用于参与方P₁，P₂联合生成消息m的数字签名(r，s)。本发明方法采用预计算的方法，极大地减轻了两方联合生成SM2数字签名的计算开销，实现高效的SM2两方协同数字签名，同时在参与签名的各方之间保证安全性、隐私性和公平性。

Description

一种轻量级SM2两方协同生成数字签名的方法

技术领域

本发明涉及信息安全技术，尤其涉及一种轻量级SM2两方协同生成数字签 名的方法。

背景技术

数字签名是数字化环境下对传统手写签名的模拟，在身份认证、数据完整 性、不可否认性以及匿名性等方面有重要应用，通常使用公钥密码体制实现。 用户使用签名私钥生成消息的签名，验证者通过公钥验证签名的合法性。签名 的安全性完全依赖于签名私钥的安全性。

但是在移动互联网的应用背景下，签名私钥的存储安全无法保证，因此催 生了关于拆分私钥，联合签名的数字签名的研究。

针对此类问题，比较常见的解决方法是使用门限秘密共享来实现数字签名。 在这种方法中，完整私钥被分割为n个部分私钥并安全地分给n个参与方掌管。 当需要签名消息时，n个参与者中的t个及以上可以重构私钥，少于t个参与者 无法获得关于完整私钥的任何信息。但是，一旦私钥被恢复，持有完整私钥的 一方就可以在其他参与方不知晓的情况下独立地签名消息，对系统的安全性造 成巨大威胁。

SM2是国家密码管理局于2010年12月颁布的一种椭圆曲线公钥密码算法 (参见《SM2椭圆曲线公钥密码算法》规范)。基于此算法能实现数字签名、密钥 交换以及数据加密。本专利提出的两方联合生成SM2数字签名的方法与系统， 任何一方都无法重构私钥，且整个签名过程需保证两个参与方同时在线，避免 了私钥泄露的风险，实现了签名的安全性和公平性。

发明内容

本发明要解决的技术问题在于针对现有技术中的性能缺陷，提供一种轻量 级SM2两方协同生成数字签名的方法。

本发明解决其技术问题所采用的技术方案是：一种轻量级SM2两方协同生 成数字签名的方法，参与两方为P₁，P₂，包括以下步骤：

步骤1)签名参数初始化：产生整个签名系统所需的公开参数；所述参数包 括：椭圆曲线相关参数(q，F_q，a，b，n，G)、密码杂凑函数h(·)；

其中，q为大素数，F_q为包含q个元素的有限域，a，b为F_q中的元素，用于 定义F_q上的一条椭圆曲线，n为素数，G为椭圆曲线的一个基点，其阶为n；

步骤2)生成分布式密钥：生成参与方P₁，P₂的签名私钥，签名验证公钥； 具体如下：

2.1)参与方P₁在Z_n中随机选取一个整数x₁作为自己的签名私钥，并分别通 过公式(1)，(2)计算中间变量X₁，零知识证明参与方P₁将发送 给参与方P₂；

计算公式如下：

其中，G为椭圆曲线的一个基点，用于生成关于x₁是X₁的一个椭圆曲线 离散对数这个称述的零知识证明

2.2)参与方P₂在Z_n中随机选取一个整数x₂作为自己的签名私钥，并分别通 过公式(3)，(4)计算中间变量X₂，零知识证明参与方P₂将发送 给参与方P₁；

计算公式如下：

其中，用于证明x₂是关于X₂的一个椭圆曲线离散对数；

2.3)参与方P₁验证零知识证明是否合法，验证通过则通过公式(5)计算 签名验证公钥

步骤2.4)同样地，参与方P₂验证零知识证明是否合法，验证通过则通 过公式(5)计算签名验证公钥P_pub；

2.5)参与方P₁在Z_n中随机选取两个整数a₁，b₁；参与方P₂在Z_n中随机选取 两个整数a₂，b₂；

2.6)参与方P₁，P₂通过相关运算(如同态操作或不经意传输等方法)分别 获得加法分量z₁，z₂，使其满足z₁+z₂＝(a₁+a₂)·(b₁+b₂)mod n；

步骤3)生成分布式签名：该步骤主要用于参与方P₁，P₂联合生成消息m的 数字签名(r，s)。具体过程如下：

3.1)参与方P₁在Z_n中随机选取两个整数k₁，ρ₁，并分别通过公式(6)，(7)计 算中间变量R₁，零知识证明参与方P₁将发送给参与方P₂；

其中，用于证明k₁是关于R₁的一个椭圆曲线离散对数；

3.2)参与方P₂在Z_n中随机选取两个整数k₂，ρ₂，并分别通过公式(8)，(9)计 算中间变量R₂，零知识证明参与方P₂将发送给参与方P₁；

其中，用于证明k₂是关于R₂的一个椭圆曲线离散对数；

3.3)参与方P₁验证零知识证明是否合法，验证通过则使用公式 (10)～(15)分别计算中间变量R，r，δ₁，u₁，v₁，w₁；参与方P₁将(u₁，v₁，w₁)发送给 参与方P₂；

计算公式如下：

v₁＝δ₁-a₁mod n (14)，w₁＝ρ₁-b₁mod n (15)

其中，e为密码杂凑函数h(·)作用于消息m的输出，即e＝h(m)；r_x为R的横 坐标，r为SM2签名的第一部分；

3.4)参与方P₂验证零知识证明是否合法，验证通过则使用公式 (10)～(11)，(16)～(19)分别计算中间变量R，r，δ₂，u₂，v₂，w₂；参与方P₂将 (u₂，v₂，w₂)发送给参与方P₁；

计算公式如下：

v₂＝δ₂-a₂mod n (18)，w₂＝ρ₂-b₂mod n (19)

3.5)参与方P₁使用公式(20)～(24)分别计算中间变量u，v，w，α₁，β₁； 参与方P₁将(α₁，β₁)发送给参与方P₂；

计算公式如下：

u＝u₁+u₂mod n (20)，v＝v₁+v₂mod n (21)

w＝w₁+w₂mod n (22)，

α₁＝x₁w+ρ₁u+z₁-uw mod n (23)

β₁＝δ₁w+ρ₁v+z₁-vw mod n (24)

3.6)参与方P₂使用公式(20)～(22)，(25)～(26)分别计算中间变量u，v，w，α₂， β₂；参与方P₂将(α₂，β₂)发送给参与方P₁；

计算公式如下：

u＝u₁+u₂mod n (20)，v＝v₁+v₂mod n (21)

w＝w₁+w₂mod n (22)，α₂＝x₂w+ρ₂u+z₂mod n (25)

β₂＝δ₂w+ρ₂v+z₂mod n (26)

3.7)参与方P₁通过公式(27)计算s′，为了保证最终结果的一致性，参与方P₁选择s′，n-s′中的较小值作为最后SM2签名的第二部分，即s＝min{s′,n-s′}；

s′＝(α₁+α₂)^-1(β₁+β₂)-r mod n (27)

步骤3.8)参与方P₂通过公式(27)计算s′；为了保证最终结果的一致性， 参与方P₂选择s′，n-s′中的较小值作为最后SM2签名的第二部分，即 s＝min{s′,n-s′}；

s′＝(α₁+α₂)^-1(β₁+β₂)-r mod n (27)

步骤3.9)参与方P₁更新a₁，b₁，z₁，即分别令a₁＝k₁，b₁＝ρ₁，z₁＝α₁， 更新后的a₁，b₁，z₁参与下一次的签名过程；

步骤3.10)参与方P₂更新a₂，b₂，z₂，即分别令a₂＝k₂，b₂＝ρ₂，z₂＝α₂，更新 后的a₂，b₂，z₂参与下一次的签名过程。

按上述方案，在参与方P₁，P₂的通信过程中，各参与方使用零知识证明来证 明发送的数据是来自发送方。

本发明产生的有益效果是：

1.本发明实现了两方联合生成SM2数字签名，任何一方都无法得到完整的 签名私钥，且签名过程中所有参与方必须同时在线，这样实现了签名的安全性 和公平性。

2.本发明基于数学难题，保证即使有一方的私钥丢失，也不会泄露关于完 整私钥或其他参与方持有的部分私钥的任何信息。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的分布式密钥生成方法流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例， 对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解 释本发明，并不用于限定本发明。

如图1所示，本发明提出了一种基于两方联合的SM2数字签名方法，下面 给出具体描述。

符号及定义：

P₁，P₂：两个参与方；

q：大素数；

F_q：包含q个元素的有限域；

a，b：F_q中的元素，用于定义F_q上的一条椭圆曲线；

n：大素数；

G：椭圆曲线的一个基点，其阶为n；

l-G：椭圆曲线的一个基点G的l倍点。即，l是正整 数；

x₁，x₂：参与方的签名私钥；

P_pub：签名验证公钥；

用于生成关于离散对数关系称述的零知识证明算法；

关于离散对数关系的零知识证明；

(pk，sk)：同态加密算法的公私钥；

Enc_pk：同态加密操作，对应的加密密钥为pk；

Dec_sk：同态解密操作，对应的解密密钥为sk；

C₁，C₂，同态密文；

同态乘法运算，如其中 c₁＝Enc_pk(m₁)，其算法优先级高于同态加运算

同态加法运算，如其中c₁＝Enc_pk(m₁)， c₂＝Enc_pk(m₂)，其算法优先级低于同态乘运算

m：待签名的消息；

h(·)：密码杂凑函数；

e：密码杂凑函数作用于消息m的输出，即e＝h(m)；

(r，s)：SM2签名值；

a₁，a₂，b₁，b₂，γ₁，γ₂，k₁，k₂，ρ₁，ρ₂：从Z_n中选取的随机数；

X₁，X₂，R₁，R₂，R，δ₁，δ₂，u₁，u₂，v₁，v₂，w₁，w₂，u，v，w，α₁， α₂，β₁，β₂，s^′：中间变量；

一种两方联合生成SM2数字签名的方法的具体步骤如下：

步骤1)系统初始化：该步骤主要用于产生整个签名系统所需的公开参数。 参数包括：椭圆曲线相关参数(q，F_q，a，b，n，G)、密码杂凑函数(h(·))；

具体参数符号定义参见具体实施方式中(符号及定义)；

步骤2)分布式密钥生成：如图1，该步骤主要用于产生参与方P₁，P₂的签 名私钥，签名验证公钥。具体过程如下：

步骤2.1)参与方P₁在Z_n中随机选取一个整数x₁作为自己的签名私钥，并分 别通过公式(1)，(2)计算中间变量X₁，零知识证明最后，参与方P₁将(X₁， )发送给参与方P₂；

步骤2.2)参与方P₂在Z_n中随机选取一个整数x₂作为自己的签名私钥，并分 别通过公式(3)，(4)计算中间变量X₂，零知识证明最后，参与方P₂将(X₂， )发送给参与方P₁；

步骤2.3)参与方P₁验证零知识证明是否合法，验证通过则通过公式(5) 计算签名验证公钥P_pub；

步骤2.4)同样地，参与方P₂验证零知识证明是否合法，验证通过则通 过公式(5)计算签名验证公钥P_pub；

步骤2.5)参与方P₁在Z_n中随机选取两个整数a₁，b₁；参与方P₂在Z_n中随机 选取两个整数a₂，b₂；

步骤2.6)参与方P₁首先产生同态加密算法的一对公私钥(pk，sk)，并公开 pk。然后，参与方P₁分别通过公式(6)，(7)计算同态密文C₁，最后，参与方 P₁将(C₁，)发送给参与方P₂；

步骤2.7)参与方P₂在Z_n中随机选取两个整数γ₁，γ₂，并分别通过公式(8)， (9)计算同态密文C₂，最后，参与方P₂将(C₂，)发送给参与方P₁；

步骤2.8)参与方P₁通过公式(10)计算z₁；

步骤2.9)参与方P₂通过公式(11)计算z₂；

z₂＝a₂b₂-γ₁-γ₂mod n (11)

步骤3)分布式签名生成：该步骤主要用于参与方P₁，P₂联合生成消息m的 数字签名(r，s)。具体过程如下：

步骤3.1)参与方P₁在Z_n中随机选取两个整数k₁，ρ₁，并分别通过公式(12)， (13)计算中间变量R₁，零知识证明最后，参与方P₁将(R₁，)发送给参 与方P₂；

步骤3.2)参与方P₂在Z_n中随机选取两个整数k₂，ρ₂，并分别通过公式 (14).(15)计算中间变量R₂，零知识证明最后，参与方P₂将(R₂，)发 送给参与方P₁；

步骤3.3)参与方P₁验证零知识证明是否合法，验证通过则分别通过公 式(16)～(21)计算中间变量R，r，δ₁，u₁，v₁，w₁。最后，参与方P₁将(u₁，v₁， w₁)发送给参与方P₂；

v₁＝δ₁-a₁mod n (20)，w₁＝ρ₁-b₁mod n (21)

步骤3.4)参与方P₂验证零知识证明是否合法，验证通过则分别通过公 式(16)～(17)，(22)～(25)计算中间变量R，r，δ₂，u₂，v₂，w₂。最后，参与方 P₂将(u₂，v₂，w₂)发送给参与方P₁；

v₂＝δ₂-a₂mod n(24)，w₂＝ρ₂-b₂mod n (25)

步骤3.5)参与方P₁分别通过公式(26)～(30)计算中间变量u，v，w，α₁，β₁。最 后,参与方P₁将(α₁，β₁)发送给参与方P₂；

u＝u₁+u₂mod n (26)，v＝v₁+v₂mod n (27)

w＝w₁+w₂mod n (28)，

α₁＝x₁w+ρ₁u+z₁-uw mod n (29)

β₁＝δ₁w+ρ₁v+z₁-vw mod n (30)

步骤3.6)参与方P₂分别通过公式(26)～(28)，(31)～(32)计算中间变量u， v，w，α₂，β₂。最后,参与方P₂将(α₂，β₂)发送给参与方P₁；

u＝u₁+u₂mod n(26)，v＝v₁+v₂mod n (27)

w＝w₁+w₂mod n(28)，α₂＝x₂w+ρ₂u+z₂mod n (31)

β₂＝δ₂w+ρ₂v+z₂mod n (32)

步骤3.7)参与方P₁通过公式(33)计算s^′。为了保证最终结果的一致性，参 与方P₁选择s^′，n-s′中的较小值作为最后SM2签名的第二部分，，即 s＝min{s′,n-s′}；

s′＝(α₁+α₂)^-1(β₁+β₂)-r mod n (33)

步骤3.8)同样地，参与方P₂通过公式(33)计算s′。为了保证最终结果的 一致性，参与方P₂选择s′，n-s′中的较小值作为最后SM2签名的第二部分，，即 s＝min{s′,n-s′}；

s′＝(α₁+α₂)^-1(β₁+β₂)-r mod n (33)

步骤3.9)参与方P₁更新a₁，b₁，z₁，即分别令a₁＝k₁，b₁＝ρ₁，z₁＝α₁， 更新后的a₁，b₁，z₁参与下一次的签名过程；

步骤3.10)参与方P₂更新a₂，b₂，z₂，即分别令a₂＝k₂，b₂＝ρ₂，z₂＝α₂，更新 后的a₂，b₂，z₂参与下一次的签名过程；

对于本发明，参与方P₁，P₂分别持有签名私钥x₁，x₂，任何一方都无法得到 完整的签名私钥。签名过程中参与方P₁，P₂必须保证同时在线，通过信息交互完 成对消息m的联合签名，任何一方都无法独立地签名消息。特别地，由于采用了 预计算的方法，双方协同产生签名的计算开销非常小，更加适合轻量级设备中 的应用。

为了使方案的安全性更高，在参与方P₁，P₂的通信过程中，使用了零知识证 明，例如来保证发送的数据确是来自于发送方，降低了 数据被窃取或被伪造的风险，同时也可以防止有恶意参与方干扰联合签名过程。

此外，通过更新a₁，b₁，z₁(a₁，b₁，z₁)增加了攻击难度，进一步提高了 联合签名的安全性。离线更新方法a₁＝δ₁，b₁＝ρ₁，z₁＝β₁(a₂＝δ₂，b₂＝ρ₂， z₂＝β₂)减少了在线交互次数，降低了签名算法的计算开销和通信开销，提高 了签名算法的实现效率。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进 或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (2)

1.一种轻量级SM2两方协同生成数字签名的方法，参与两方为P₁、P₂，其特征在于，包括以下步骤：

步骤1)签名参数初始化：产生整个签名过程所需的公开参数；所述参数包括：椭圆曲线相关参数(q，F_q，a，b，n，G)、密码杂凑函数h(·)；

其中，q为大素数，F_q为包含q个元素的有限域，a，b为F_q中的元素，用于定义F_q上的一条椭圆曲线，n为素数，G为椭圆曲线的一个基点，其阶为n；

步骤2)生成分布式密钥：生成参与方P₁，P₂的签名私钥，签名验证公钥；具体如下：

2.1)参与方P₁在Z_n中随机选取一个整数x₁作为自己的签名私钥，并分别通过公式(1)，(2)计算中间变量X₁，零知识证明参与方P₁将发送给参与方P₂；

X₁＝[x₁]G (1)，

其中，G为椭圆曲线的一个基点，用于生成关于x₁是X₁的一个椭圆曲线离散对数这个称述的零知识证明

2.2)参与方P₂在Z_n中随机选取一个整数x₂作为自己的签名私钥，并分别通过公式(3)，(4)计算中间变量X₂，零知识证明参与方P₂将发送给参与方P₁；

X₂＝[x₂]G (3)，

其中，用于证明x₂是关于X₂的一个椭圆曲线离散对数；

2.3)参与方P₁验证零知识证明是否合法，验证通过则通过公式(5)计算签名验证公钥P_pub；参与方P₂验证零知识证明是否合法，若验证通过则通过公式(5)计算签名验证公钥P_pub；

2.4)参与方P₁在Z_n中随机选取两个整数a₁，b₁；参与方P₂在Z_n中随机选取两个整数a₂，b₂；

2.5)参与方P₁，P₂通过相关运算(如同态操作或不经意传输等方法)分别获得加法分量z₁，z₂，使其满足z₁+z₂＝(a₁+a₂)·(b₁+b₂)mod n；

步骤3)生成分布式签名：该步骤主要用于参与方P₁，P₂联合生成消息m的数字签名(r，s)；具体过程如下：

3.1)参与方P₁在Z_n中随机选取两个整数k₁，ρ₁，并分别通过公式(6)，(7)计算中间变量R₁，零知识证明参与方P₁将发送给参与方P₂；

R₁＝[k₁]G (6)，

其中，用于证明k₁是关于R₁的一个椭圆曲线离散对数；

3.2)参与方P₂在Z_n中随机选取两个整数k₂，ρ₂，并分别通过公式(8)，(9)计算中间变量R₂，零知识证明参与方P₂将发送给参与方P₁；

R₂＝[k₂]G (8)，

其中，用于证明k₂是关于R₂的一个椭圆曲线离散对数；

3.3)参与方P₁验证零知识证明是否合法，验证通过则使用公式(10)～(15)分别计算中间变量R，r，δ₁，u₁，v₁，w₁；参与方P₁将(u₁，v₁，w₁)发送给参与方P₂；

计算公式如下：

r＝e+r_xmod n (11)

u₁＝x₁-a₁mod n (13)

v₁＝δ₁-a₁mod n (14)，w₁＝ρ₁-b₁mod n (15)

其中，e为密码杂凑函数h(·)作用于消息m的输出，即e＝h(m)；r_x为R的横坐标，r为SM2签名的第一部分；

3.4)参与方P₂验证零知识证明是否合法，验证通过则使用公式(10)～(11)，(16)～(19)分别计算中间变量R，r，δ₂，u₂，v₂，w₂；参与方P₂将(u₂，v₂，w₂)发送给参与方P₁；

计算公式如下：

r＝e+r_xmod n (11)

u₂＝x₂-a₂mod n (17)

v₂＝δ₂-a₂mod n (18)，w₂＝ρ₂-b₂mod n (19)

3.5)参与方P₁使用公式(20)～(24)分别计算中间变量u，v，w，α₁，β₁；参与方P₁将(α₁，β₁)发送给参与方P₂；

计算公式如下：

u＝u₁+u₂mod n (20)，v＝v₁+v₂mod n (21)

w＝w₁+w₂mod n (22)，

α₁＝x₁w+ρ₁u+z₁-uw mod n (23)

β₁＝δ₁w+ρ₁v+z₁-vw mod n (24)

3.6)参与方P₂使用公式(20)～(22)，(25)～(26)分别计算中间变量u，v，w，α₂，β₂；参与方P₂将(α₂，β₂)发送给参与方P₁；

计算公式如下：

u＝u₁+u₂mod n (20)，v＝v₁+v₂mod n (21)

w＝w₁+w₂mod n (22)，α₂＝x₂w+ρ₂u+z₂mod n (25)

β₂＝δ₂w+ρ₂v+z₂mod n (26)

3.7)参与方P₁通过公式(27)计算s′，为了保证最终结果的一致性，参与方P₁选择s′和n-s′中的较小值作为SM2签名的第二部分，即s＝min{s′，n-s′}；

s′＝(α₁+α₂)^-1(β₁+β₂)-r mod n (27)

3.8)同样地，参与方P₂通过公式(27)计算s′；为了保证最终结果的一致性，参与方P₂选择s′和n-s′中的较小值作为SM2签名的第二部分，即s＝min{s′，n-s′}；

s′＝(α₁+α₂)^-1(β₁+β₂)-r mod n (27)

3.9)参与方P₁更新a₁，b₁，z₁，即分别令a₁＝k₁，b₁＝ρ₁，z₁＝α₁，更新后的a₁，b₁，z₁参与下一次的签名过程；

3.10)参与方P₂更新a₂，b₂，z₂，即分别令a₂＝k₂，b₂＝ρ₂，z₂＝α₂，更新后的a₂，b₂，z₂参与下一次的签名过程。

2.根据权利要求1所述的轻量级SM2两方协同生成数字签名的方法，其特征在于，所述步骤2)和步骤3)中，在参与方P₁，P₂的通信过程中，各参与方使用零知识证明来证明发送的数据是来自发送方。