CN110166235A - 增强安全的sm9数字签名协同生成方法及系统 - Google Patents

Abstract

发明涉及SM9数字签名生成方法：用户私钥d_A被分成d_A1、d_A2且d_A1+d_A2＝d_A；装置1有秘密d_A1，装置2有整数秘密c；预先有P_B＝[b]d_A，P_A2＝[c^‑1]d_A2，g_B＝g^b，其中b是装置1、2都不知的秘密，^为幂运算，g＝e(P₁,P_pub)；需用d_A对消息M签名时，两个装置计算w＝g_B^(r₁r₂)，r₁、r₂是装置1、2在[1,n‑1]中随机选取的整数，n为SM9群的阶；计算h＝H₂(M||w,n)；装置1计算S₁＝[(r₁)^‑1]P_A2；装置2计算S₂＝[r₂]P_B+[‑hc]S₁；装置1计算S＝[r₁]S₂+[‑h]d_A1；(h,S)为生成的针对消息M的数字签名。

Description

增强安全的SM9数字签名协同生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是增强安全的SM9数字签名协同生成方法及系统。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群， G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则 e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9密码算法能实现基于标识的数字签名、密钥交换及数据加密。在SM9密码算法中，使用用户的SM9私钥d_A针对消息M生成数字签名的过程如下：

计算得到w＝g^r，这里符号^表示幂运算(g的r次幂)，r是在[1,n-1] 区间内随机选择的整数，n是SM9密码算法的群G₁、G₂、G_T的阶，g＝e(P₁,P_pub)， P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥， P₂为G₂中的生成元，参见SM9规范)；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w 表示M和w的字串合并，n为G₁、G₂、G_T的阶(参见SM9规范)；

若r≠h，计算S＝[r-h]d_A，则(h,S)为生成的数字签名；若r＝h，则重新选择r，重新计算w、h，直到r≠h。

针对一些特殊的需求，比如，为了保证非硬件环境下用户私钥使用的安全性，人们提出了一些基于秘密共享(分享)的SM9数字签名生成方法。在这些方法中，多个装置分别保存有用户SM9私钥的秘密份额，或者分别保存有与私钥有关的秘密的秘密份额；在需要使用用户私钥针对一个消息M生成数字签名时，每个装置利用自己的秘密份额与其他装置交互、协同运算，生成针对消息的数字签名。

现有的基于秘密共享的SM9数字签名协同生成方案，通常在密码运算的过程中计算w＝g^(a₁r₁+…+a_mr_m)，其中r_i是第i个装置在[1,n-1]中随机选择的整数，而a_i是常数，i＝1,…,m(假设有m个装置)；然后计算 h＝H₂(M||w,n)，最后m个装置通过协同计算得到S＝[(a₁r₁+…+a_mr_m)-h]d_A。这种方案通常是没有问题的，但也可能出现一种情况，就是恰好出现(a₁r₁+…+a_mr_m)mod n＝0，而出现这样情况恰好被其中一个装置观测到(比如通过检查w是否是单位元)，但却不报告，则这个装置就有可能从最终得到的数字签名(h,S)中得到用户的SM9私钥。出现这种情况的概率虽然极小，但是仍然有可能发生，尤其是在r_i很难做到是真正随机选择的情况下。

如果基于秘密共享的数字签名协同生成方案能做到所采用的方案是 w＝g^(ar₁…r_m)，S＝[(a₁r₁…r_m)-h]d_A，即这里的r₁,…,r_m以及一个常数a 是以乘积的形式出现，则不会出现(ar₁…r_m)mod n＝0的情况，这样的方案具有更高的安全性。我们在这里把r₁,…,r_m以及常数a是以乘积形式出现的情形称为乘积r参数的情形，而把生成数字签名过程中r₁,…,r_m以及常数a以乘积形式出现的SM9数字签名协同生成方法，称为具有乘积r参数的SM9数字签名协同生成方法。

发明内容

本发明的目的是提出增强安全的数字签名协同生成技术方案，即具有乘积r参数的数字签名协同生成技术方案。

针对本发明的目的，本发明提出的技术方案包括两种增强安全的SM9 数字签名协同生成方法及相应的系统。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)， [k]P表示k个P在加法群上的加，即P+P+...+P(共有k个P)(若k是负数，则是|k|个P相加的结果的加法逆元；这里[]符号的使用与SM9规范一致)；

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元 (乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a 相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘法逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operation)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于 (a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明提出的两个增强安全的SM9数字签名协同生成方法具体如下。

方案一、

方案一确定的具有增强安全的SM9数字签名协同生成方法如下：

方法涉及两个分别标号为第1号和第2号的装置；

用户的身份标识ID_A所对应的SM9标识私钥d_A被分成了两份，分别是 d_A1、d_A2，且满足关系d_A1+d_A2＝d_A；

第1号装置保存有秘密(份额)d_A1，第2号装置保存有[1,n-1]区间内的整数秘密c(第2号装置不必保存d_A2)，其中n为SM9密码算法中群 G₁、G₂、G_T的阶(为素数)；两个装置都不保存有d_A；([1,n-1]中的整数秘密通常是在[1,n-1]中随机选择的一个整数，或者是从[1,n-1]中随机选择的整数所导出的整数)

在初始化阶段计算有：

P_B＝[b]d_A，其中b是[1,n-1]中的第1号、第2号装置都没有保存的整数秘密；

P_A2＝[c^-1]d_A2，其中c^-1是c的模n乘法逆(即(c^-1c)mod n＝1)；

g_B＝g^b，其中，符号^表示针对符号^前面的元素进行幂运算，符号^ 后面的元素是幂运算的次数，g＝e(P₁,P_pub)，其中P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这两个装置的密码应用程序、系统或密码模块，或者两个装置之一中的密码应用程序、系统)：

首先，两个装置通过交互计算得到w＝g_B^(r₁r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数；

然后，(第1号或第2号装置或其他装置)计算h＝H₂(M||w,n)，其中 H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、 G_T的阶；

(h无需保密，可根据需要自由传送)

(第1号或第2号装置或其他装置)检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

第1号装置计算S₁＝[(r₁)^-1]P_A2或S₁＝[(r₁)^-1h]P_A2，将S₁发送给第2号装置；

(此时S₁＝[(cr₁)^-1]d_A2或S₁＝[(cr₁)^-1h]d_A2)

第2号装置接收到S₁后，按如下方式计算S₂：

若S₁的计算式是S₁＝[(r₁)^-1]P_A2，则S₂＝[r₂]P_B+[-hc]S₁；

若S₁的计算式是S₁＝[(r₁)^-1h]P_A2，则S₂＝[r₂]P_B+[-c]S₁；

(此时S₂＝[r₂b]d_A+[-(r₁)^-1h]d_A2)

第2号装置将S₂发送给第1号装置；

接收到S₂后，第1号装置检查S₂是否为零元，若S₂为零元，则第1 号装置报错，中止计算或两个装置重新开始计算，否则(S₂不为零元)，第1号装置计算S＝[r₁]S₂+[-h]d_A1；

(此时S＝[(r₁r₂)b-h]d_A)

则(h,S)为生成的针对消息M的数字签名。

可选地，第1号装置或其他装置可以利用用户的身份标识ID_A、消息 M，验证(h,S)作为消息M的数字签名的有效性，但这不是必须的。

对于以上所述方案一确定的方法，(初始化阶段)将用户的身份标识 ID_A所对应的SM9标识私钥d_A分成(秘密份额)d_A1、d_A2的方法包括：

知道d_A的装置在[1,n-1]中随机选择两个整数c₁、c₂且(c₁+c₂)mod n ≠0，然后计算d_A1＝[c₁(c₁+c₂)^-1]d_A，d_A2＝[c₂(c₁+c₂)^-1]d_A，其中(c₁+c₂)^-1是(c₁+c₂) 的模n乘法逆，则d_A1、d_A2为所求；

或者，知道d_A的装置在[2,n-1]中随机选择一个整数t，然后计算 d_A1＝[t]d_A，d_A2＝d_A-d_A1，则d_A1、d_A2为所求；

或者，知道d_A的装置在[1,n-1]中随机选择一个整数t，然后计算 d_A1＝[t]P₁，d_A2＝d_A-d_A1，其中P₁是SM9双线性映射中的群G₁的生成元；若 d_A2不是零元，则d_A1、d_A2为所求，若d_A2是零元，则重新选择t，重新计算 d_A1、d_A2，直到d_A2不是零元；

所述知道d_A的装置是第1号装置、第2号装置中的一个装置，或者两个装置之外的一个装置(比如标识私钥生成系统，或其他密钥服务系统)。

对于以上所述方案一确定的方法，两个装置按如下方式计算得到 w＝g_B^(r₁r₂)：

第2号装置计算g₂＝g_B^r₂，将g₂发送第1号装置；

第1号装置计算w＝g₂^r₁；

或者，

第1号装置计算g₁＝g_B^r₁，将g₁发送第2号装置；

第2号装置计算w＝g₁^r₂，之后将w发送第1号装置。

对于以上所述方案一确定的方法，若在计算得到S之前，未检查w 与g^h是否相等，则在计算得到S后，若(计算S的装置或其他装置) 检查发现S为零元，则两个装置重新进行数字签名的生成。

方案二、

方案二确定的具有增强安全的SM9数字签名协同生成方法如下：

方法同样涉及两个分别标号为第1号和第2号的装置；

同样地，用户的身份标识ID_A所对应的SM9标识私钥d_A被分成了两份，分别是d_A1、d_A2，且满足关系d_A1+d_A2＝d_A；

第1号装置保存有秘密(份额)d_A1，第2号装置保存有秘密(份额) d_A2；两个装置都不保存有d_A；

在初始化阶段计算有：

P_B＝[b]d_A，其中b是[1,n-1]中的第1号、第2号装置都没有保存的整数秘密，n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；([1,n-1] 中的整数秘密通常是在[1,n-1]中随机选择的一个整数，或者是从[1,n-1] 中随机选择的整数所导出的整数)

g_B＝g^(2b)，其中，符号^表示针对符号^前面的元素进行幂运算，符号^后面的元素是幂运算的次数，g＝e(P₁,P_pub)，其中P₁为G₁中的生成元， P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥 d_A、针对消息M进行数字签名的主体可以是调用这两个装置的密码应用程序、系统或密码模块，或者两个装置之一中的密码应用程序、系统)：

首先，两个装置通过交互计算得到w＝g_B^(r₁r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数；

然后，(第1号或第2号装置或其他装置)计算h＝H₂(M||w,n)，其中 H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、 G_T的阶；

(h无需保密，可根据需要自由传送)

(第1号或第2号装置或其他装置)检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

第1号装置计算S₁＝[r₁]P_B，将S₁发送给第2号装置；

(此时S₁＝[(r₁b]d_A)

第2号装置计算S₂＝[r₂]P_B，将S₂发送给第1号装置；

(此时S₂＝[(r₂b]d_A)

接收到S₂后，第1号装置检查S₂是否为零元，若S₂为零元，则第1 号装置报错，中止计算或两个装置重新开始计算，否则(S₂不为零元)，第1号装置计算S₃＝[r₁]S₂+[-h]d_A1；

(此时S₃＝[(r₂r₁)b]d_A+[-h]d_A1)

接收到S₁后，第2号装置检查S₁是否为零元，若S₁为零元，则第2 号装置报错，中止计算或两个装置重新开始计算，否则(S₁不为零元)，第2号装置计算S₄＝[r₂]S₁+[-h]d_A2；

(此时S₄＝[(r₂r₁)b]d_A+[-h]d_A2)

之后，第1号或第2号装置或其他装置计算S＝S₃+S₄；

(此时S＝[2(r₂r₁)b]d_A+[-h]d_A)

则(h,S)为生成的针对消息M的数字签名。

可选地，第1号或第2号装置或其他装置可利用用户的身份标识ID_A、消息M，验证(h,S)作为消息M的数字签名的有效性，但这不是必须的。

对于以上所述方案二确定的方法，(初始化阶段)将用户的身份标识 ID_A所对应的SM9标识私钥d_A分成(秘密份额)d_A1、d_A2的方法与方案一相同。

对于以上所述方案二确定的方法，两个装置得到w＝g_B^(r₁r₂)的方式与方案一相同。

对于以上所述方案二确定的方法，同样地，若在计算得到S之前，未检查w与g^h是否相等，则在计算得到S后，若(计算S的装置或其他装置)检查发现S为零元，则两个装置重新进行数字签名的生成。

对于以上方案一、二，可构建相应的SM9数字签名协同生成系统，系统包括两个装置，两个装置按前述具有乘积r参数的SM9数字签名协同生成方法的方案一或方案二生成针对消息的数字签名。

从以上描述可以看到，通过本发明的方法和系统，当需要使用用户标识私钥d_A对消息进行数字签名时，两个装置可以通过交互协同生成针对消息的数字签名，且协同计算过程采用的是具有乘积r参数的方案，而且对于本发明方法，利用用户的标识私钥、消息M对生成的数字签名的有效性进行验证不是必须的(不会造成秘密泄露)，而对于某些类似的方法，进行这种验证是必须的(否则会造成秘密泄露)，因此，相对于采用非乘积r参数的方法，本发明的方法具有增强的安全性。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

此实施例涉及两个分别标号为第1号和第2号的装置。

在初始化阶段，知道d_A的装置在[1,n-1]中随机选取一个整数c、一个整数b，计算P_B＝[b]d_A，g_B＝g^b；

之后，在[1,n-1]中随机选择两个整数c₁、c₂且(c₁+c₂)mod n≠0，然后计算d_A1＝[c₁(c₁+c₂)^-1]d_A，d_A2＝[c₂(c₁+c₂)^-1]d_A，其中(c₁+c₂)^-1是(c₁+c₂)的模n乘法逆；

或者，知道d_A的装置在[2,n-1]中随机选择一个整数t，然后计算 d_A1＝[t]d_A，d_A2＝d_A-d_A1；

或者，知道d_A的装置在[1,n-1]中随机选择一个整数t，然后计算 d_A1＝[t]P₁，d_A2＝d_A-d_A1，其中P₁是SM9双线性映射中的群G₁的生成元；若 d_A2是零元，则重新选择t，重新计算d_A1、d_A2，直到d_A2不是零元；

得到d_A1、d_A2后，计算P_A2＝[c^-1]d_A2；

然后将d_A1作为秘密由第1号装置保存，将c作为秘密由第2号装置保存；

之后，将b、d_A、d_A2销毁；P_A2、P_B和g_B由需要使用的装置使用。

这里知道d_A的装置是第1号、第2号两个装置中的一个装置，或两个装置之外的一个装置(如标识私钥生成系统、密钥服务系统)。

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按前述SM9数字签名协同生成方法的方案一生成针对消息M的数字签名。

实施例2、

此实施例同样涉及两个分别标号为第1号和第2号的装置。

在初始化阶段，知道d_A的装置在[1,n-1]中随机选取一个整数b，计算P_B＝[b]d_A，g_B＝g^b；

之后，在[1,n-1]中随机选择两个整数c₁、c₂且(c₁+c₂)mod n≠0，然后计算d_A1＝[c₁(c₁+c₂)^-1]d_A，d_A2＝[c₂(c₁+c₂)^-1]d_A，其中(c₁+c₂)^-1是(c₁+c₂)的模 n乘法逆；

或者，知道d_A的装置在[2,n-1]中随机选择一个整数t，然后计算 d_A1＝[t]d_A，d_A2＝d_A-d_A1；

或者，知道d_A的装置在[1,n-1]中随机选择一个整数t，然后计算d_A1＝[t]P₁，d_A2＝d_A-d_A1，其中P₁是SM9双线性映射中的群G₁的生成元；若 d_A2是零元，则重新选择t，重新计算d_A1、d_A2，直到d_A2不是零元；

然后将d_A1作为秘密由第1号装置保存，将d_A2作为秘密由第2号装置保存；

之后，将b、d_A销毁；P_B和g_B由需要使用的装置使用。

这里知道d_A的装置是第1号、第2号两个装置中的一个装置，或两个装置之外的一个装置(如标识私钥生成系统、密钥服务系统)。

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按前述SM9数字签名协同生成方法的方案二生成针对消息M的数字签名。

依据本发明的方法可以构建相应的SM9数字签名协同生成系统，系统包括两个装置，其中一个被标号为第1号装置，另一个被标号为第2 号装置，这两个装置可以都是提供密码服务的密码服务器，或者两个装置中的一个装置是用户装置，另一个是提供密码服务的密码服务器，或者两个装置都是用户装置(比如一个是台式计算机，一个是移动终端)，两个装置通过实施本发明的SM9数字签名协同生成方法的方案一或方案二，包括实施前述实施例1-2，通过交互协同生成使用用户的SM9标识私钥d_A、针对消息的数字签名。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims (10)

1.一种增强安全的SM9数字签名协同生成方法，其特征是：

所述方法涉及两个分别标号为第1号和第2号的装置；

用户的身份标识ID_A所对应的SM9标识私钥d_A被分成了两份，分别是d_A1、d_A2，且满足关系d_A1+d_A2＝d_A；

第1号装置保存有秘密d_A1，第2号装置保存有[1,n-1]区间内的整数秘密c，其中n为SM9密码算法中群G₁、G₂、G_T的阶；两个装置都不保存有d_A；

在初始化阶段计算有：

P_B＝[b]d_A，其中b是[1,n-1]中的第1号、第2号装置都没有保存的整数秘密；

P_A2＝[c^-1]d_A2，其中c^-1是c的模n乘法逆；

g_B＝g^b，其中，符号^表示针对符号^前面的元素进行幂运算，符号^后面的元素是幂运算的次数，g＝e(P₁,P_pub)，其中P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成：

首先，两个装置通过交互计算得到w＝g_B^(r₁r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

第1号装置计算S₁＝[(r₁)^-1]P_A2或S₁＝[(r₁)^-1h]P_A2，将S₁发送给第2号装置；

第2号装置接收到S₁后，按如下方式计算S₂：

若S₁的计算式是S₁＝[(r₁)^-1]P_A2，则S₂＝[r₂]P_B+[-hc]S₁；

若S₁的计算式是S₁＝[(r₁)^-1h]P_A2，则S₂＝[r₂]P_B+[-c]S₁；

第2号装置将S₂发送给第1号装置；

接收到S₂后，第1号装置检查S₂是否为零元，若S₂为零元，则第1号装置报错，中止计算或两个装置重新开始计算，否则，第1号装置计算S＝[r₁]S₂+[-h]d_A1；

则(h,S)为生成的针对消息M的数字签名。

2.根据权利要求1所述的增强安全的SM9数字签名协同生成方法，其特征是：将用户的身份标识ID_A所对应的SM9标识私钥d_A分成d_A1、d_A2的方法包括：

知道d_A的装置在[1,n-1]中随机选择两个整数c₁、c₂且(c₁+c₂)mod n≠0，然后计算d_A1＝[c₁(c₁+c₂)^-1]d_A，d_A2＝[c₂(c₁+c₂)^-1]d_A，其中(c₁+c₂)^-1是(c₁+c₂)的模n乘法逆，则d_A1、d_A2为所求；

或者，知道d_A的装置在[2,n-1]中随机选择一个整数t，然后计算d_A1＝[t]d_A，d_A2＝d_A-d_A1，则d_A1、d_A2为所求；

或者，知道d_A的装置在[1,n-1]中随机选择一个整数t，然后计算d_A1＝[t]P₁，d_A2＝d_A-d_A1，其中P₁是SM9双线性映射中的群G₁的生成元；若d_A2不是零元，则d_A1、d_A2为所求，若d_A2是零元，则重新选择t，重新计算d_A1、d_A2，直到d_A2不是零元；

所述知道d_A的装置是第1号装置、第2号装置中的一个装置，或者两个装置之外的一个装置。

3.根据权利要求1所述的增强安全的SM9数字签名协同生成方法，其特征是：两个装置按如下方式计算得到w＝g_B^(r₁r₂)：

第2号装置计算g₂＝g_B^r₂，将g₂发送第1号装置；

第1号装置计算w＝g₂^r₁；

或者，

第1号装置计算g₁＝g_B^r₁，将g₁发送第2号装置；

第2号装置计算w＝g₁^r₂，之后将w发送第1号装置。

4.根据权利要求1所述的增强安全的SM9数字签名协同生成方法，其特征是：

若在计算得到S之前，未检查w与g^h是否相等，则在计算得到S后，若检查发现S为零元，则两个装置重新进行数字签名的生成。

5.一种基于权利要求1-4中任一项所述的增强安全的SM9数字签名协同生成方法的SM9数字签名协同生成系统，其特征是：

所述系统包括两个分别标号为第1号、第2号的装置；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按所述SM9数字签名协同生成方法生成针对消息M的数字签名。

6.一种增强安全的SM9数字签名协同生成方法，其特征是：

所述方法涉及两个分别标号为第1号和第2号的装置；

用户的身份标识ID_A所对应的SM9标识私钥d_A被分成了两份，分别是d_A1、d_A2，且满足关系d_A1+d_A2＝d_A；

第1号装置保存有秘密d_A1，第2号装置保存有秘密d_A2；两个装置都不保存有d_A；

在初始化阶段计算有：

P_B＝[b]d_A，其中b是[1,n-1]中的第1号、第2号装置都没有保存的整数秘密，n为SM9密码算法中群G₁、G₂、G_T的阶；

g_B＝g^(2b)，其中，符号^表示针对符号^前面的元素进行幂运算，符号^后面的元素是幂运算的次数，g＝e(P₁,P_pub)，其中P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成：

首先，两个装置通过交互计算得到w＝g_B^(r₁r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

第1号装置计算S₁＝[r₁]P_B，将S₁发送给第2号装置；

第2号装置计算S₂＝[r₂]P_B，将S₂发送给第1号装置；

接收到S₂后，第1号装置检查S₂是否为零元，若S₂为零元，则第1号装置报错，中止计算或两个装置重新开始计算，否则，第1号装置计算S₃＝[r₁]S₂+[-h]d_A1；

接收到S₁后，第2号装置检查S₁是否为零元，若S₁为零元，则第2号装置报错，中止计算或两个装置重新开始计算，否则，第2号装置计算S₄＝[r₂]S₁+[-h]d_A2；

之后，第1号或第2号装置或其他装置计算S＝S₃+S₄；

则(h,S)为生成的针对消息M的数字签名。

7.根据权利要求6所述的增强安全的SM9数字签名协同生成方法，其特征是：将用户的身份标识ID_A所对应的SM9标识私钥d_A分成d_A1、d_A2的方法包括：

知道d_A的装置在[1,n-1]中随机选择两个整数c₁、c₂且(c₁+c₂)mod n≠0，然后计算d_A1＝[c₁(c₁+c₂)^-1]d_A，d_A2＝[c₂(c₁+c₂)^-1]d_A，其中(c₁+c₂)^-1是(c₁+c₂)的模n乘法逆，则d_A1、d_A2为所求；

或者，知道d_A的装置在[2,n-1]中随机选择一个整数t，然后计算d_A1＝[t]d_A，d_A2＝d_A-d_A1，则d_A1、d_A2为所求；

或者，知道d_A的装置在[1,n-1]中随机选择一个整数t，然后计算d_A1＝[t]P₁，d_A2＝d_A-d_A1，其中P₁是SM9双线性映射中的群G₁的生成元；若d_A2不是零元，则d_A1、d_A2为所求，若d_A2是零元，则重新选择t，重新计算d_A1、d_A2，直到d_A2不是零元；

所述知道d_A的装置是第1号装置、第2号装置中的一个装置，或者两个装置之外的一个装置。

8.根据权利要求6所述的增强安全的SM9数字签名协同生成方法，其特征是：两个装置按如下方式计算得到w＝g_B^(r₁r₂)：

第2号装置计算g₂＝g_B^r₂，将g₂发送第1号装置；

第1号装置计算w＝g₂^r₁；

或者，

第1号装置计算g₁＝g_B^r₁，将g₁发送第2号装置；

第2号装置计算w＝g₁^r₂，之后将w发送第1号装置。

9.根据权利要求6所述的增强安全的SM9数字签名协同生成方法，其特征是：

若在计算得到S之前，未检查w与g^h是否相等，则在计算得到S后，若检查发现S为零元，则两个装置重新进行数字签名的生成。

10.一种基于权利要求6-9中任一项所述的增强安全的SM9数字签名协同生成方法的SM9数字签名协同生成系统，其特征是：

所述系统包括两个分别标号为第1号、第2号的装置；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按所述SM9数字签名协同生成方法生成针对消息M的数字签名。