CN110557260A - 一种sm9数字签名生成方法及装置 - Google Patents

Abstract

发明涉及一种SM9数字签名生成方法：生成SM9数字签名的装置有[1,n‑1]区间内的一个整数秘密c，非秘密P_A＝[c^‑1]d_A和g_c＝g^(c^‑1)，其中n为群G₁的阶，d_A为用户的标识私钥，^为幂运算，g＝e(P₁,P_pub)；当需要使用d_A针对消息M进行数字签名时，所述装置在[1,n‑1]内随机选择一个整数r，计算w＝g_c^r；计算h＝H₂(M||w,n)，v＝(r‑ch)mod n；所述装置将(h,v,P_A)作为初始签名数据返回给所述装置的调用方或提交给数字签名的使用或信赖方；所述装置的调用方或数字签名的使用或信赖方计算S＝[v]P_A得到最终的数字签名(h,S)。

Description

一种SM9数字签名生成方法及装置

技术领域

本发明属于信息安全技术领域，特别是一种针对计算资源、计算能力受限装置的SM9数字签名生成方法，以及实施此方法的装置。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群，G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9密码算法能实现基于标识的数字签名、密钥交换及数据加密。在SM9密码算法中，使用用户的SM9私钥d_A针对消息M生成数字签名的过程如下：

计算得到w＝g^r，这里符号^表示幂运算(g的r次幂)，r是在[1,n-1]区间内随机选择的整数，n是SM9密码算法的群G₁、G₂、G_T的阶，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范；注意，这里的主私钥或主密钥，主公钥，用户标识私钥，以及群的阶使用的符号与SM9规范略有不同)；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶(参见SM9规范)；

若r≠h，计算S＝[r-h]d_A，则(h,S)为生成的数字签名；若r＝h，则重新选择r，重新计算w、h，直到r≠h。

给定一个消息M的数字签名(h,S)，验证签名有效性的方法如下(参加SM9规范，注意，SM9规范中签名验证过程描述使用的符号为M'、(h',S'))。

B1：检验h∈[1,n-1]是否成立，若不成立则验证不通过；

B2：检验S∈G₁是否成立，若不成立则验证不通过；

B3：计算群G_T中的元素g＝e(P₁,P_pub)；

B4：计算群G_T中的元素t＝g^h；

B5：计算整数h₁＝H₁(ID_A||hid,n)(这里是ID_A用户的标识，hid是用一个字节表示的签名私钥生成函数识别符，H₁()是SM9规范中定义的散列或哈希函数)；

B6：计算群G₂中的元素P＝[h₁]P₂+P_pub；

B7：计算群G_T中的元素u＝e(S,P)；

B8：计算群G_T中的元素w'＝u·t；

B9：计算整数h₂＝H₂(M||w',n)，检验h₂＝h是否成立，若成立则验证通过；否则验证不通过(H₂()是SM9规范中定义的散列或哈希函数)。

SM9中的群G₁、G₂通常是椭圆曲线点群，因此数字签名过程中计算S＝[r-h]d_A要进行椭圆曲线点的数乘或多倍点运算，计算工作量大，这对于某些计算资源、计算能力受限的装置，比如传感器、微控制器、智能电表、智能穿戴设备，来说在短时间内实时完成运算是比较困难的，而在实时处理过程中又可能需要短时间内实时完成这种运算操作。

发明内容

本发明的目的是一种针对计算资源、计算能力受限装置的SM9数字签名生成方法，避免计算资源、计算能力受限装置在生成SM9数字签名的过程中进行群G₁中元的数乘或多倍点运算。

针对本发明的目的，本发明提出的技术方案包括一种SM9数字签名生成方法以及实施此方法的相应装置。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)，[k]P表示k个P在加法群上的加，即P+P+...+P(共有k个P)(若k是负数，则是|k|个P相加的结果的加法逆元)；

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元(乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘法逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operation)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明提出的SM9数字签名生成方法具体如下。

所述方法涉及一个生成SM9数字签名的装置；所述装置有[1,n-1]区间内的一个整数秘密c，非秘密P_A＝[c^-1]d_A，非秘密g_c＝g^(c^-1)，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，^表示幂运算(对^前面的元进行幂运算，^后面是幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，所述装置在[1,n-1]内随机选择一个整数r，计算w＝g_c^r；

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

计算v＝(r-ch)mod n；

检查v是否为0，若为0，则重新选择r，重新计算w、h、v，直到v≠0；

所述装置将(h,v,P_A)作为初始签名数据或最终签名数据返回给调用所述装置请求进行数字签名操作的调用方(调用装置、系统或程序)，或者将(h,v,P_A)作为初始签名数据或最终签名数据提交给数字签名的使用或信赖方(使用装置、系统或程序)。

若(h,v,P_A)是作为初始签名数据返回给调用所述装置请求进行数字签名操作的调用方(调用装置、系统或程序)，或者作为初始签名数据提交给数字签名的使用或信赖方(使用装置、系统或程序)，则请求进行数字签名操作的调用方，或数字签名的使用或信赖方，在获得(h,v,P_A)后，计算S＝[v]P_A，形成最终的数字签名(h,S)。

若(h,v,P_A)是作为最终签名数据返回给调用所述装置请求进行数字签名操作的调用方(并由调用方提交给数字签名的使用或信赖方)，或作为最终签名数据提交给数字签名的使用或信赖方，则数字签名的验证方按如下方式进行签名验证：

按u＝e(P_A,P)^v计算得到u＝e(S,P)的值，其中P＝[h₁]P₂+P_pub，h₁＝H₁(ID_A||hid,n)，其他的验证操作与SM9规范规定的签名验证过程中的操作相同；

所述数字签名的验证方中包括数字签名的最终使用或信赖方。

对于以上所述SM9数字签名生成方法，生成SM9数字签名的装置中保存的秘密c由所述装置自己生成，或者由标识私钥生成系统生成，或者由其他系统生成；P_A＝[c^-1]d_A、g_c＝g^(c^-1)的计算，由生成SM9数字签名的装置计算，或者由标识私钥生成系统计算，或者由其他系统计算。

基于本发明的SM9数字签名生成方法可构建相应的生成SM9数字签名的装置，所述装置包括秘密管理模块和签名生成模块；所述秘密管理模块用于秘密c的管理，所述秘密c的管理包括秘密c的生成或获得以及存储；所述签名生成模块用于按所述SM9数字签名生成方法生成针对消息的SM9数字签名。

从以上描述可以看到，基于本发明的方法和装置，当需要使用用户标识私钥d_A对消息进行数字签名时，生成SM9数字签名的装置在生成数字签名的过程中无需进行群G₁中元的数乘或多倍点运算，这在生成SM9数字签名的装置是一个计算资源、计算能力受限的装置时是非常有用的。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

生成SM9数字签名的装置是一个计算资源、计算能力受限的装置，如传感器、微控制器、智能穿戴设备；该装置本身或其用户有一个对应的标识私钥d_A；该装置在运行过程需要对一个数据M进行SM9数字签名，比如，对用于身份鉴别的随机字串M进行签名，或者对产生或获取的数据M进行签名以保证其真实性、完整性，但由于该装置是一个计算资源、能力受限的装置，因此，无法在短时间内实时完成使用标识私钥d_A对数据M的数字签名运算；为此，该装置采用本发明的SM9数字签名生成方法生成针对消息M的数字签名；

具体地，计算资源、计算能力受限的装置有[1,n-1]区间内的一个整数秘密c，非秘密P_A＝[c^-1]d_A，非秘密g_c＝g^(c^-1)，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，^表示幂运算(对^前面的元进行幂运算，^后面是幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，所述装置在[1,n-1]内随机选择一个整数r，计算w＝g_c^r；

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

计算v＝(r-ch)mod n；

检查v是否为0，若为0，则重新选择r，重新计算w、h、v，直到v≠0；

在此实施例中，(h,v,P_A)作为初始数字签名数据提交给了数字签名的使用或信赖方(使用装置、程序或系统)；而数字签名的使用或信赖方通过计算S＝[v]P_A，得到最终的数字签名(h,S)，并对其是否是数据M的SM9数字签名进行验证。

实施例2、

此实施例与实施例1的差别在于，在此实施例中，(h,v,P_A)作为最终数字签名数据提交给了数字签名的使用或信赖方(使用装置、程序或系统)；而数字签名的使用或信赖方在对(h,v,P_A)是否是数据M的SM9数字签名进行验证的过程中，按u＝e(P_A,P)^v计算得到u＝e(S,P)的值，其他的验证操作与SM9规范规定的签名验证过程中的操作相同。

实施例3、

生成SM9数字签名的装置是一个计算资源、计算能力受限的密码装置，该密码装置的用户有一个标识私钥d_A；该密码装置由于计算资源、计算能力，由其完成完整的SM9数字签名生成的速度不能令人满意；该密码装置的调用装置、系统具有较强的计算能力；

当该密码装置的调用装置、系统或程序调用该密码装置要求使用用户的标识私钥d_A生成针对一个消息M的SM9数字签名时，该密码装置采用本发明的SM9数字签名生成方法生成针对消息M的数字签名；

具体地，计算资源、计算能力受限的装置有[1,n-1]区间内的一个整数秘密c，非秘密P_A＝[c^-1]d_A，非秘密g_c＝g^(c^-1)，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，^表示幂运算(对^前面的元进行幂运算，^后面是幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，所述装置在[1,n-1]内随机选择一个整数r，计算w＝g_c^r；

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

计算v＝(r-ch)mod n；

检查v是否为0，若为0，则重新选择r，重新计算w、h、v，直到v≠0；

在此实施例中，(h,v,P_A)作为初始数字签名数据返回给了密码装置的调用装置、系统或程序，而密码装置的调用装置、系统或程序通过计算S＝[v]P_A，得到最终的数字签名(h,S)，并将其提交数字签名的使用或信赖方。

实施例4、

此实施例与实施例3一样，生成SM9数字签名的装置是一个计算资源、计算能力受限的密码装置，该密码装置的用户有一个标识私钥d_A；该密码装置由于计算资源、计算能力，由其完成完整的SM9数字签名生成的速度不能令人满意；数字签名的使用、信赖方(装置、系统或程序)具有较强的计算能力；

当该密码装置的使用装置、系统或程序调用该密码装置要求使用用户的标识私钥d_A生成针对一个消息M的SM9数字签名时，该密码装置采用本发明的SM9数字签名生成方法生成针对消息M的数字签名；

具体地，计算资源、计算能力受限的装置有[1,n-1]区间内的一个整数秘密c，非秘密P_A＝[c^-1]d_A，非秘密g_c＝g^(c^-1)，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，^表示幂运算(对^前面的元进行幂运算，^后面是幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，所述装置在[1,n-1]内随机选择一个整数r，计算w＝g_c^r；

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

计算v＝(r-ch)mod n；

检查v是否为0，若为0，则重新选择r，重新计算w、h、v，直到v≠0；

在此实施例中，(h,v,P_A)作为初始数字签名数据返回给了密码装置的调用装置、系统或程序，而密码装置的调用装置、系统或程序将(h,v,P_A)作为初始数字签名数据提交给数字签名的使用、信赖方；数字签名的使用、信赖方通过计算S＝[v]P_A，得到最终的数字签名(h,S)。

实施例5、

此实施例与实施例3、4一样，生成SM9数字签名的装置是一个计算资源、计算能力受限的密码装置，该密码装置的用户有一个标识私钥d_A；该密码装置由于计算资源、计算能力，由其完成完整的SM9数字签名生成的速度不能令人满意；

当该密码装置的使用装置、系统或程序调用该密码装置要求使用用户的标识私钥d_A生成针对一个消息M的SM9数字签名时，该密码装置采用本发明的SM9数字签名生成方法生成针对消息M的数字签名；

具体地，计算资源、计算能力受限的装置有[1,n-1]区间内的一个整数秘密c，非秘密P_A＝[c^-1]d_A，非秘密g_c＝g^(c^-1)，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，^表示幂运算(对^前面的元进行幂运算，^后面是幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，所述装置在[1,n-1]内随机选择一个整数r，计算w＝g_c^r；

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

计算v＝(r-ch)mod n；

检查v是否为0，若为0，则重新选择r，重新计算w、h、v，直到v≠0；

在此实施例中，(h,v,P_A)作为最终数字签名数据返回给了密码装置的调用装置、系统或程序，而密码装置的调用装置、系统或程序将(h,v,P_A)作为最终数字签名数据提交给数字签名的使用、信赖方(使用装置、程序或系统)；而数字签名的使用或信赖方在对(h,v,P_A)是否是数据M的SM9数字签名进行验证的过程中，按u＝e(P_A,P)^v计算得到u＝e(S,P)的值，其他的验证操作与SM9规范规定的签名验证过程中的操作相同。

实施例6、

此实施例与实施例中，生成SM9数字签名的装置是一个计算资源、计算能力受限的密码装置或者作为密码装置使用的计算装置，该密码装置或作为密码装置使用的计算装置的用户有一个标识私钥d_A；该密码装置或作为密码装置使用的计算装置由于计算资源、计算能力，由其完成完整的SM9数字签名生成的速度不能令人满意；

此密码装置或者作为密码装置使用的计算装置与另一个调用此装置的装置或系统(称为调用装置或系统)相连；调用装置或系统中的程序调用通过一个密码动态库调用此密码装置或作为密码装置使用的计算装置；当调用装置或系统中的程序调用通过密码动态库调用此密码装置或作为密码装置使用的计算装置，使用用户的标识私钥d_A生成针对一个消息M的数字签名时，此密码装置或作为密码装置使用的计算装置采用本发明的SM9数字签名生成方法生成针对消息M的数字签名；

具体地，计算资源、计算能力受限的装置有[1,n-1]区间内的一个整数秘密c，非秘密P_A＝[c^-1]d_A，非秘密g_c＝g^(c^-1)，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，^表示幂运算(对^前面的元进行幂运算，^后面是幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，所述装置在[1,n-1]内随机选择一个整数r，计算w＝g_c^r；

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

计算v＝(r-ch)mod n；

检查v是否为0，若为0，则重新选择r，重新计算w、h、v，直到v≠0；

在此实施例中，(h,v,P_A)作为初始数字签名数据返回给调用的密码动态库，密码动态库通过计算S＝[v]P_A，得到最终的数字签名(h,S)。

在以上实施例1-6中，生成SM9数字签名的装置中保存的秘密c由所述装置自己生成，或者由标识私钥生成系统生成，或者由其他系统生成；P_A＝[c^-1]d_A、g_c＝g^(c^-1)的计算，由生成SM9数字签名的装置计算，或者由标识私钥生成系统计算，或者由其他系统计算。

基于本发明的SM9数字签名生成方法可构建、实施相应的生成SM9数字签名的装置，所述装置包括秘密管理模块和签名生成模块；所述秘密管理模块用于秘密c的管理，所述秘密c的管理包括秘密c的生成或获得以及存储；所述签名生成模块用于按所述SM9数字签名生成方法生成针对消息的SM9数字签名。这里构建、实施的生成SM9数字签名的装置可以是以上所述实施例1-6中的生成SM9数字签名的装置。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims (5)

1.一种SM9数字签名生成方法，其特征是：

所述方法涉及一个生成SM9数字签名的装置；所述装置有[1,n-1]区间内的一个整数秘密c，非秘密P_A＝[c^-1]d_A，非秘密g_c＝g^(c^-1)，其中n为SM9密码算法中群G₁、G₂、G_T的阶，d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，^表示幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，所述装置在[1,n-1]内随机选择一个整数r，计算w＝g_c^r；

计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

计算v＝(r-ch)mod n；

检查v是否为0，若为0，则重新选择r，重新计算w、h、v，直到v≠0；

所述装置将(h,v,P_A)作为初始签名数据或最终签名数据返回给调用所述装置请求进行数字签名操作的调用方，或者将(h,v,P_A)作为初始签名数据或最终签名数据提交给数字签名的使用或信赖方。

2.根据权利要求1所述的SM9数字签名生成方法，其特征是：

若(h,v,P_A)是作为初始签名数据返回给调用所述装置请求进行数字签名操作的调用方，或者作为初始签名数据提交给数字签名的使用或信赖方，则请求进行数字签名操作的调用方，或数字签名的使用或信赖方，在获得(h,v,P_A)后，计算S＝[v]P_A，形成最终的数字签名(h,S)。

3.根据权利要求1所述的SM9数字签名生成方法，其特征是：

若(h,v,P_A)是作为最终签名数据返回给调用所述装置请求进行数字签名操作的调用方，或作为最终签名数据提交给数字签名的使用或信赖方，则数字签名的验证方按如下方式进行签名验证：

按u＝e(P_A,P)^v计算得到u＝e(S,P)的值，其中P＝[h₁]P₂+P_pub，h₁＝H₁(ID_A||hid,n)，ID_A是用户的标识，hid是用一个字节表示的签名私钥生成函数识别符，H₁()是SM9规范中定义的散列或哈希函数，其他的验证操作与SM9规范规定的签名验证过程中的操作相同；

所述数字签名的验证方中包括数字签名的最终使用或信赖方。

4.根据权利要求1所述的SM9数字签名生成方法，其特征是：

对于以上所述SM9数字签名生成方法，生成SM9数字签名的装置中保存的秘密c由所述装置自己生成，或者由标识私钥生成系统生成，或者由其他系统生成；P_A＝[c^-1]d_A、g_c＝g^(c^-1)的计算，由生成SM9数字签名的装置计算，或者由标识私钥生成系统计算，或者由其他系统计算。

5.一种基于权利要求1-4中任一项所述的SM9数字签名生成方法构建的SM9数字签名生成装置，其特征是：

所述装置包括秘密管理模块和签名生成模块；所述秘密管理模块用于秘密c的管理，所述秘密c的管理包括秘密c的生成或获得以及存储；所述签名生成模块用于按所述SM9数字签名生成方法生成针对消息的SM9数字签名。