CN110266486A

CN110266486A - 基于乘积秘密共享的sm9数字签名简捷生成方法及系统

Info

Publication number: CN110266486A
Application number: CN201910589877.1A
Authority: CN
Inventors: 龙毅宏
Original assignee: Wuhan University of Technology WUT
Current assignee: Wuhan University of Technology WUT
Priority date: 2019-07-02
Filing date: 2019-07-02
Publication date: 2019-09-20
Anticipated expiration: 2039-07-02
Also published as: CN110266486B

Abstract

发明涉及SM9数字签名生成方法：m个标号为第1号到第m号的装置分别保存有[1,n‑1]中的整数秘密c_i，n为SM9群的阶，i＝1,…,m，m≥2；P_A＝[(c₁c₂…c_m)^‑1]d_A，P_B＝[b]d_A，d_A为用户私钥，b为[1,n‑1]内m个装置都不知的整数秘密；Q₁＝[(c₂c₃…c_m)^‑1]P_B，Q₂＝[(c₃…c_m)^‑1]P_B，Q_m‑1＝[(c_m)^‑1]P_B，Q_m＝P_B；当需使用d_A对消息签名时，计算得到w＝g_B^(r₁+r₂+…+r_m)，h＝H₂(M||w,n)，取S₀＝[‑h]P_A，m个装置递归计算S_i＝[r_i]Q_i+[c_i]S_i‑1，令S＝S_m，则(h,S)为针对消息的数字签名。

Description

基于乘积秘密共享的SM9数字签名简捷生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是基于乘积秘密共享的SM9数字签名简捷生成方法及系统。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群，G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9密码算法能实现基于标识的数字签名、密钥交换及数据加密。在SM9密码算法中，使用用户的SM9私钥d_A针对消息M生成数字签名的过程如下：

计算得到w＝g^r，这里符号^表示幂运算(g的r次幂)，r是在[1,n-1]区间内随机选择的整数，n是SM9密码算法的群G₁、G₂、G_T的阶，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范；注意，这里的主私钥或主密钥，主公钥，用户标识私钥使用的符号与SM9规范略有不同)；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶(参见SM9规范)；

若r≠h，计算S＝[r-h]d_A，则(h,S)为生成的数字签名；若r＝h，则重新选择r，重新计算w、h，直到r≠h。

针对一些特殊的需求，比如，为了保证非硬件环境下用户私钥使用的安全性，本专利申请人提出了一些基于秘密共享(分享)的SM9数字签名协同生成方法，包括基于乘积秘密共享和基于求和秘密共享的SM9数字签名协同生成方法，其中的基于乘积秘密共享的SM9数字签名协同生成方法，其w的计算采用递归计算，各个装置在计算w的过程要遵从严格的前后顺序，且计算式较复杂。

发明内容

本发明的目的是提出一种基于乘积秘密共享的SM9数字签名生成技术方案，以克服现有技术方案的不足。

针对本发明的目的，本发明提出的技术方案包括基于乘积秘密共享的SM9数字签名简捷生成方法及相应的系统。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)，[k]P表示k个P在加法群上的加，即P+P+...+P(共有k个P)(若k是负数，则是|k|个P相加的结果的加法逆元；这里[]符号的使用与SM9规范一致)；

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元(乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘法逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operation)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明提出的基于乘积秘密共享的SM9数字签名简捷生成方法具体如下。

所述方法涉及m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；

第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c＝(c₁c₂…c_m)mod n为m个装置都没有保存的整数秘密，c^-1为c的模n乘法逆；

P_B＝[b]d_A，其中b是[1,n-1]区间内的m个装置都没有保存的整数秘密；

b和c^-1不必互异(二者不同或者相同)，b≠c；

g_B＝g^b，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

Q₁＝[(c₂c₃…c_m)^-1]P_B，Q₂＝[(c₃…c_m)^-1]P_B，…，Q_m-1＝[(c_m)^-1]P_B；

取Q_m＝P_B；

m个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块，或者m个装置之一中的密码应用程序、系统)：

首先，m个装置通过交互计算得到w＝g_B^(r₁+r₂+…+r_m)，其中r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，i＝1,…,m；

然后，(m个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(h无需保密，可根据需要自由传送)

(m个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

取S₀＝[-h]P_A；

第1号装置计算S₁＝[r₁]Q₁+[c₁]S₀，其中r₁与计算w时的r₁相同，然将S₁传送给第2号装置；

第i号装置接收到S_i-1后，i＝2,…,m，计算S_i＝[r_i]Q_i+[c_i]S_i-1，其中r_i与计算w时的r_i相同；

若i＝m，则取S＝S_m，(h,S)为生成的针对消息M的数字签名，否则，将S_i传送给第i+1号装置，直到完成S_m的计算。

(此时S＝[r₁c₂…c_m]Q₁+[r₂c₃…c_m]Q₂+…+[r_m-1c_m]Q_m-1+[r_m]Q_m+[-hc₁c₂…c_m]P_A＝[r₁+r₂+…+r_m]P_B+[-(c₁c₂…c_m)h]P_A＝[(r₁+r₂+…+r_m)b-h]d_A)

对于以上所述基于乘积秘密共享的SM9数字签名简捷生成方法，m个装置计算得到w＝g_B^(r₁+r₂+…+r_m)的方法如下：

第i号装置计算g_i＝g_B^r_i，i＝1,…,m；

m个装置中的一个装置或之外的一个装置计算w＝g₁g₂…g_m。

对于以上所述基于乘积秘密共享的SM9数字签名简捷生成方法，若在计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

对于以上所述基于乘积秘密共享的SM9数字签名简捷生成方法，针对所述方法的一种初始化方式如下(不意味着全部)：

知道d_A的装置(m个装置中的一个或其他装置)在[1,n-1]内随机选择m个整数作为c₁,c₂,…,c_m；

计算c＝(c₁c₂…c_m)mod n，P_A＝[c^-1]d_A，其中c^-1为c的模n乘法逆；

在[1,n-1]区间内随机选择一个整数作为b，计算P_B＝[b]d_A；

计算Q₁＝[(c₂c₃…c_m)^-1]P_B，Q₂＝[(c₃…c_m)^-1]P_B，…，Q_m-1＝[(c_m)^-1]P_B；

取Q_m＝P_B；

将c₁,c₂,…,c_m分别交由第1号，第2号，…，第m号装置作为秘密保存；将Q₁,Q₂,…,Q_m分别交由第1号，第2号，…，第m号装置保存；将P_A交由第1号装置保存；将c、b、d_A销毁。

对于以上所述基于乘积秘密共享的SM9数字签名简捷生成方法，若取c₁的值为1或[1,n-1]内的其他非保密整数，且b≠c^-1(即P_B≠P_A)，将P_A作为秘密由第1号装置保存，则所述基于乘积秘密共享的SM9数字签名简捷生成方法仍然成立。

对于以上所述基于乘积秘密共享的SM9数字签名简捷生成方法，若c₁的取值为1或[1,n-1]内的其他非保密整数，则c₁的取值是一个固定值(比如固定取值为1)，或者是初始化阶段(由第1号装置或其他进行初始化处理的装置)在[1,n-1]内随机选取的整数。

在以上所述基于乘积秘密共享的SM9数字签名简捷生成方法的基础上，可构建SM9数字签名协同生成系统，系统包括m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述基于乘积秘密共享的SM9数字签名简捷生成方法生成针对消息M的数字签名。

从以上描述可以看到，基于本发明的基于乘积秘密共享的SM9数字签名生成方法和系统，在针对一个消息生成数字签名的过程中，对w的计算没有采用较复杂的递归计算，而是采用简单明了的计算方式，在计算w的过程中各装置无需遵从严格的前后顺序，且w的计算量相对现有技术方案要小。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

此实施例有分别标号为第1号、第2号的两个装置，第1号装置保存有[1,n-1]区间内的整数秘密c₁，第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c＝(c₁c₂)mod n为m个装置都没有保存的整数秘密，c^-1为c的模n乘法逆；

b和c^-1不必互异(二者不同或者相同)，b≠c；

Q₁＝[(c₂)^-1]P_B；

取Q₂＝P_B；

两个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这两个装置的密码应用程序、系统或密码模块，或者两个装置之一中的密码应用程序、系统)：

首先，两个装置通过交互计算得到w＝g_B^(r₁+r₂)，其中r₁是计算过程中第1号装置在[1,n-1]区间内随机选择的整数，r₂是计算过程中第2号装置在[1,n-1]区间内随机选择的整数；

然后，(两个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(h无需保密，可根据需要自由传送)

(两个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

取S₀＝[-h]P_A；

第2号装置接收到S₁后，计算S₂＝[r₂]Q₂+[c₂]S₁，其中r₂与计算w时的r₂相同；

取S＝S₂，则(h,S)为生成的针对消息M的数字签名。

(此时S＝[r₁c₂]Q₁+[r₂]Q₂+[-hc₁c₂]P_A＝[r₁+r₂]P_B+[-(c₁c₂)h]P_A

＝[(r₁+r₂)b-h]d_A)

对于此实施例，在初始化阶段，知道d_A的装置(两个装置中的一个或其他装置)在[1,n-1]内随机选择两个整数作为c₁,c₂，分别交由第1号，第2号装置作为秘密保存；

计算P_A＝[c^-1]d_A，其中c^-1为c的模n乘法逆，c＝(c₁c₂)mod n；

在[1,n-1]区间内随机选择一个整数作为b，计算P_B＝[b]d_A；

计算Q₁＝[(c₂)^-1]P_B，取Q₂＝P_B；

将Q₁,Q₂分别交由第1号，第2号装置保存；将P_A交由第1号装置保存；将c、b、d_A销毁。

实施例2、

此实施例有m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；

(初始化阶段)预先计算有：

b和c^-1不必互异(二者不同或者相同)，b≠c；

取Q_m＝P_B；

m个装置都不保存d_A；

(h无需保密，可根据需要自由传送)

取S₀＝[-h]P_A；

(此时S＝[r₁c₂…c_m]Q₁+[r₂c₃…c_m]Q₂+…+[r_m-1c_m]Q_m-1+[r_m]Q_m+[-hc₁c₂…c_m]P_A

＝[r₁+r₂+…+r_m]P_B+[-(c₁c₂…c_m)h]P_A＝[(r₁+r₂+…+r_m)b-h]d_A)

对于此实施例，在初始化阶段，知道d_A的装置(m个装置中的一个或其他装置)在[1,n-1]内随机选择m个整数作为c₁,c₂,…,c_m，分别交由第1号，第2号，…，第m号装置作为秘密保存；

计算P_A＝[c^-1]d_A，其中c^-1为c的模n乘法逆，c＝(c₁c₂…c_m)mod n；

在[1,n-1]区间内随机选择一个整数作为b，计算P_B＝[b]d_A；

取Q_m＝P_B；

将Q₁,Q₂,…,Q_m分别交由第1号，第2号，…，第m号装置保存；将P_A交由第1号装置保存；将c、b、d_A销毁。

实施例3、

此实施例有分别标号为第1号、第2号的两个装置，第1号装置有取值为1或[1,n-1]内的其他整数的非保密数c₁，第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；第1号装置保存有秘密P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c＝(c₁c₂)mod n为两个装置都不保存的整数秘密，c^-1为c的模n乘法逆；

(初始化阶段)预先计算有：

b≠c^-1(即P_B≠P_A)，b≠c；

Q₁＝[(c₂)^-1]P_B；

取Q₂＝P_B；

两个装置都不保存d_A；

(h无需保密，可根据需要自由传送)

第1号装置取S₀＝[-h]P_A，计算S₁＝[r₁]Q₁+[c₁]S₀，其中r₁与计算w时的r₁相同，然将S₁传送给第2号装置；

取S＝S₂，则(h,S)为生成的针对消息M的数字签名。

＝[(r₁+r₂)b-h]d_A)

对于此实施例，在初始化阶段，固定取值1或在[1,n-1]中任选一个整数作为第1号装置使用的非保密数c₁，知道d_A的装置(两个装置中的一个或其他装置)在[1,n-1]内随机选择一个整数作为c₂交由第2号装置使用；

计算P_A＝[c^-1]d_A，其中c^-1为c的模n乘法逆，c＝(c₁c₂)mod n；

在[1,n-1]区间内随机选择一个c^-1、c之外的整数作为b，计算P_B＝[b]d_A；

计算Q₁＝[(c₂)^-1]P_B，取Q₂＝P_B；

将P_A交由第1号作为秘密保存；将Q₁、Q₂分别交由第1号、第2号装置保存；将c、b、d_A销毁。

实施例4、

第1号置有取值为1或[1,n-1]内的其他整数的非保密数c₁，从第2号到第m号装置分别保存有[1,n-1]区间内的整数秘密c₂，…，c_m，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；第1号装置保存有秘密P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c＝(c₁c₂…c_m)modn为m个装置都不保存的秘密，c^-1为c的模n乘法逆；

(初始化阶段)预先计算有：

b≠c^-1(即P_B≠P_A)，b≠c；

取Q_m＝P_B；

m个装置都不保存d_A；

(h无需保密，可根据需要自由传送)

对于此实施例，在初始化阶段，固定取值1或在[1,n-1]中任选一个整数作为第1号装置使用的非保密数c₁，知道d_A的装置(m个装置中的一个或其他装置)在[1,n-1]内随机选择m-1个整数作为c₂,…,c_m，分别交由第2号，…，第m号装置作为秘密保存；

取Q_m＝P_B；

将P_A交由第1号装置作为秘密保存；将Q₁,Q₂,…,Q_m分别交由第1号，第2号，…，第m号装置保存；将c、b、d_A销毁。

在以上实施例1-4中，m个装置计算得到w＝g_B^(r₁+r₂+…+r_m)的方法如下：

m个装置计算得到w＝g_B^(r₁+r₂+…+r_m)的方法如下：

第i号装置计算g_i＝g_B^r_i，i＝1,…,m；

m个装置中的一个装置或之外的一个装置计算w＝g₁g₂…g_m。

在以上各实施例中，若在计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

依据本发明的基于乘积秘密共享的SM9数字签名简捷生成方法可构建相应的SM9数字签名协同生成系统，系统包括m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述基于乘积秘密共享的SM9数字签名简捷生成方法生成针对消息M的数字签名；对于所述SM9数字签名协同生成系统，若第1号装置取c₁的值为1或[1,n-1]内的其他非保密整数，且b≠c^-1(即P_B≠P_A)，将P_A作为秘密由第1号装置保存，则当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置仍按所述基于乘积秘密共享的SM9数字签名简捷生成方法生成针对消息M的数字签名。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims

1.一种基于乘积秘密共享的SM9数字签名简捷生成方法，其特征是：

第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶；

预先计算有：

b和c^-1不必互异，b≠c；

g_B＝g^b，其中^是幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

取Q_m＝P_B；

m个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

取S₀＝[-h]P_A；

2.根据权利要求1所述的基于乘积秘密共享的SM9数字签名简捷生成方法，其特征是：

m个装置计算得到w＝g_B^(r₁+r₂+…+r_m)的方法如下：

第i号装置计算g_i＝g_B^r_i，i＝1,…,m；

m个装置中的一个装置或之外的一个装置计算w＝g₁g₂…g_m。

3.根据权利要求1所述的基于乘积秘密共享的SM9数字签名简捷生成方法，其特征是：

若在计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

4.根据权利要求1所述的基于乘积秘密共享的SM9数字签名简捷生成方法，其特征是：针对所述方法的一种初始化方式如下：

知道d_A的装置在[1,n-1]内随机选择m个整数作为c₁,c₂,…,c_m；

在[1,n-1]区间内随机选择一个整数作为b，计算P_B＝[b]d_A；

取Q_m＝P_B；

5.根据权利要求1所述的基于乘积秘密共享的SM9数字签名简捷生成方法，其特征是：

若取c₁的值为1或[1,n-1]内的其他非保密整数，且b≠c^-1，将P_A作为秘密由第1号装置保存，则所述基于乘积秘密共享的SM9数字签名简捷生成方法仍然成立。

6.根据权利要求5所述的基于乘积秘密共享的SM9数字签名简捷生成方法，其特征是：

若c₁的取值为1或[1,n-1]内的其他非保密整数，则c₁的取值是一个固定值，或者是初始化阶段在[1,n-1]内随机选取的整数。

7.一种基于权利要求1-6中任一项所述的基于乘积秘密共享的SM9数字签名简捷生成方法的SM9数字签名协同生成系统，其特征是：

所述系统包括m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述基于乘积秘密共享的SM9数字签名简捷生成方法生成针对消息M的数字签名。