CN110943842B - 一种sm9数字签名安全协同生成方法及系统 - Google Patents

Abstract

装置i有秘密d_Ai，i＝1,…,m，且d_A1+…+d_Am＝d_A，d_A为用户SM9私钥；当需用d_A对消息M进行签名时，计算得到w＝g_B^(r₁r₂…r_m)，其中^是幂运算，g_B＝e(P₁,P_pub)^b，b是[1,n‑1]内的保密或非保密整数，r_i是装置i在[1,n‑1]内随机选择的整数，n为SM9群的阶；计算h＝H₂(M||w,n)；计算得到Q_i＝[m^‑1br₁r₂…r_m]d_A或Q_i＝[br₁r₂…r_m]d_Ai，i＝1,…,m，且Q_i由装置i最后使用r_i计算得到；装置i计算S_i＝Q_i+[‑h]d_Ai，i＝1,…,m；一个装置计算S＝S₁+S₂+…+S_m；则(h,S)是针对消息M的数字签名。

Description

一种SM9数字签名安全协同生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是一种SM9数字签名安全协同生成方法及系统。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群，G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9密码算法能实现基于标识的数字签名、密钥交换及数据加密。在SM9密码算法中，使用用户的SM9私钥d_A针对消息M生成数字签名的过程如下：

计算得到w＝g^r，这里符号^表示幂运算(g的r次幂)，r是在[1,n-1]区间内随机选择的整数，n是SM9密码算法的群G₁、G₂、G_T的阶，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范；注意，这里的主私钥或主密钥，主公钥，用户标识私钥使用的符号与SM9规范略有不同)；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶(参见SM9规范)；

若r≠h，计算S＝[r-h]d_A，则(h,S)为生成的数字签名；若r＝h，则重新选择r，重新计算w、h，直到r≠h。

针对一些特殊的需求，比如，为了保证非硬件环境下用户私钥使用的安全性，人们提出了一些基于秘密共享(分享)的SM9数字签名生成方法。在这些方法中，多个装置分别保存有用户SM9私钥的秘密份额，或者分别保存有与私钥有关的秘密的秘密份额；在需要使用用户私钥针对一个消息M生成数字签名时，每个装置利用自己的秘密份额与其他装置交互、协同运算，生成针对消息的数字签名。

现有的基于秘密共享的SM9数字签名协同生成方案，通常在密码运算的过程中计算w＝g^(a₁r₁+…+a_mr_m)，其中r_i是第i个装置在[1,n-1]中随机选择的整数，而a_i是常数，i＝1,…,m(假设有m个装置)；然后计算h＝H₂(M||w,n)，最后m个装置通过协同计算得到S＝[(a₁r₁+…+a_mr_m)-h]d_A。这种方案通常是没有问题的，但也可能出现一种情况，就是恰好出现(a₁r₁+…+a_mr_m)mod n＝0，而出现这样情况恰好被其中一个装置观测到(比如通过检查w是否是单位元)，但却不报告，则这个装置就有可能从最终得到的数字签名(h,S)中得到用户的SM9私钥。出现这种情况的概率虽然极小，但是仍然有可能发生，尤其是在r_i很难做到是真正随机选择的情况下。

如果基于秘密共享的数字签名协同生成方案能做到所采用的方案是w＝g^(ar₁…r_m)，S＝[(ar₁…r_m)-h]d_A，即这里的r₁,…,r_m以及一个常数a是以乘积的形式出现，则不会出现(ar₁…r_m)mod n＝0的情况，这样的方案具有更高的安全性。我们在这里把r₁,…,r_m以及常数a是以乘积形式出现的情形称为乘积r参数的情形，而把生成数字签名过程中r₁,…,r_m以及常数a以乘积形式出现的SM9数字签名协同生成方法，称为具有乘积r参数的SM9数字签名协同生成方法。

发明内容

本发明的目的是提出一种具有乘积r参数的SM9数字签名安全协同生成技术方案。

针对本发明的目的，本发明提出的技术方案包括一种SM9数字签名安全协同生成方法及相应的系统。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)，[k]P表示k与P的数乘(标量乘)或k倍点加，即k个P在加法群上的加，即P+P+...+P(共有k个P)(若k是负数，则是|k|个P相加的结果的加法逆元；这里[]符号的使用与SM9规范一致)；

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元(乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘法逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operation)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明提出的SM9数字签名安全协同生成方法具体如下。

所述方法涉及m个分别标号为第1号，第2号，…，第m号的装置，m≥2；

第i号装置保存有秘密d_Ai，i＝1,2,…,m，且d_A1+d_A2+…+d_Am＝d_A，其中d_A为用户的SM9标识私钥；

初始化阶段计算有g_B＝g^b，其中b是[1,n-1]内的对m个装置保密或不保密的整数，n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的协同生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块，或者m个装置之一中的密码应用程序、系统)：

首先，m个装置通过交互计算得到w＝g_B^(r₁r₂…r_m)，其中，r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，r_i称为第i号装置的r参数，i＝1,2,…,m；

然后，(m个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(h无需保密，可根据需要自由传送)

(m个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，其中m^-1是m的模n乘法逆，或者计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m；在所述Q_i的计算过程中，由第i号装置最后使用自己的r参数r_i参与Q_i的计算，i＝1,2,…,m；

第i号装置计算S_i＝Q_i+[-h]d_Ai，i＝1,2,…,m；

最后，m个装置中的一个装置或之外的一个装置计算S＝S₁+S₂+…+S_m；

则(h,S)是针对消息M的数字签名；

或者，

在计算得到Q_i后，i＝1,2,…,m，第i号装置计算S_i＝[h^-1]Q_i-d_Ai，其中h^-1为h的模n乘法逆；

最后，m个装置中的一个装置或之外的一个装置计算S_T＝S₁+S₂+…+S_m，S＝[h]S_T；

则(h,S)是针对消息M的数字签名。

(此时对应于Q_i＝[m^-1br₁r₂…r_m]d_A，

S＝[mm^-1br₁r₂…r_m]d_A+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A，

对应用Q_i＝[br₁r₂…r_m]d_Ai，

S＝[br₁r₂…r_m](d_A1+d_A2+…+d_Am)+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

对于以上所述SM9数字签名安全协同生成方法，若在以上计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

对于以上所述SM9数字签名安全协同生成方法，m个装置计算得到w＝g_B^(r₁r₂…r_m)的方法包括(不是全部可能的方式)：

第1号装置计算g₁＝g_B^r₁，将g₁发送第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，计算g_i＝g_i-1^r_i；

若i＝m，则取w＝g_m，完成计算，否则，将第i号装置将g_i传送给第i+1号装置；

或者，

第m号装置计算g_m＝g_B^r_m，将g_m发送第m-1号装置；

第i号装置接收g_i+1到后，i＝m-1,…,1，计算g_i＝g_i+1^r_i；

若i＝1，则取w＝g₁，完成计算，否则，将第i号装置将g_i传送给第i-1号装置。

对于以上所述SM9数字签名安全协同生成方法，若b是[1,n-1]内对m个装置保密的整数，则m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，的一种方法如下：

初始化阶段由知道d_A的装置计算有P_B＝[(m^-1b)mod n]d_A，并由知道d_A的装置将P_B交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数与P_B进行数乘(标量乘)运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[r_i]Q_i,m-1。

对于以上所述SM9数字签名安全协同生成方法，若b是[1,n-1]内的对m个装置保密的整数，则m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，的一种方法如下：

初始化阶段由知道d_A的装置计算有P_Bi＝[b]d_Ai，i＝1,2,…,m，并由知道d_A的装置将P_Bi交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数与P_Bi进行数乘(标量乘)运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[r_i]Q_i,m-1。

对于以上所述SM9数字签名安全协同生成方法，在b对m个装置保密或不保密的情况下都适用的一种m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，的方法如下：

初始化阶段知道d_A的装置在[1,n-1]内随机选择m个整数u₁,u₂,…,u_m分别作为第1号，第2号,…,第m号装置的秘密，其中u_i是第i号装置的秘密，u_i称为第i号装置的u参数，i＝1,2,…,m；

初始化阶段由知道d_A的装置计算有P_B＝[(m^-1b((u₁u₂…u_m)mod n)^-1)mod n]d_A，其中((u₁u₂…u_m)mod n)^-1是(u₁u₂…u_m)mod n的模n乘法逆，并由知道d_A的装置将P_B交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数和u参数的模n乘积与P_B进行数乘(标量乘)运算，计算得到Q_i,1(若是第p号装置计算Q_i,1，则Q_i,1＝[(r_pu_p)mod n]P_B)；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数和u参数的模n乘积与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数和u参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数和u参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[(r_iu_i)mod n]Q_i,m-1。

对于以上所述SM9数字签名安全协同生成方法，在b对m个装置保密或不保密的情况下都适用的一种m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，的方法如下：

初始化阶段知道d_A的装置在[1,n-1]内随机选择m个整数u₁,u₂,…,u_m分别作为第1号，第2号,…,第m号装置的秘密，其中u_i是第i号装置的秘密，u_i称为第i号装置的u参数，i＝1,2,…,m；

初始化阶段由知道d_A的装置计算有P_Bi＝[(b((u₁u₂…u_m)mod n)^-1)mod n]d_Ai，i＝1,2,…,m，其中((u₁u₂…u_m)mod n)^-1是(u₁u₂…u_m)mod n的模n乘法逆，并由知道d_A的装置将P_Bi交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数和u参数的模n乘积与P_Bi进行数乘(标量乘)运算，计算得到Q_i,1(若是第p号装置计算Q_i,1，则Q_i,1＝[(r_pu_p)mod n]P_Bi)；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数和u参数的模n乘积与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数和u参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数和u参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[(r_iu_i)mod n]Q_i,m-1。

对于以上所述SM9数字签名安全协同生成方法，在初始化阶段，设置d_Ai，i＝1,2,…,m，的方式包括：

方式一：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m个整数c₁,c₂,…c_m，计算c＝(c₁+c₂+…+c_m)mod n，若c＝0，则重新选择c₁,c₂,…c_m直到c≠0；

计算得到d_Ai＝[c_ic^-1]d_A，i＝1,2,…,m；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c、c_i，i＝1,2,…,m销毁；

方式二：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m-1个整数c₁,…c_m-1，若(c₁+…+c_m-1)mod n＝1，则重新选择c₁,…c_m-1直到(c₁+…+c_m-1)mod n≠1；

计算得到d_Ai＝[c_i]d_A，i＝1,…,m-1；

计算得到d_Am＝[1-(c₁+…+c_m-1)]d_A；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c_i，i＝1,…,m-1销毁；

方式三：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m-1个整数c₁,…c_m-1；

计算得到d_Ai＝[c_i]P₁，i＝1,…,m-1；

计算得到d_Am＝d_A-[c₁+…+c_m-1]P₁；

若d_Am为零元则报错(若是私钥生成器进行初始化，则之后重新选择c_i，重新计算d_Ai＝[c_i]P₁，i＝1,…,m-1，d_Am＝d_A-[c₁+…+c_m-1]P₁；若是其他装置，则主密钥s被暴露，报错后需采取措施，发生这个的概率极小)；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c_i，i＝1,…,m-1销毁。

对于以上所述SM9数字签名安全协同生成方法，若b是对m个装置保密的整数，则b是初始化阶段由进行初始化的装置在[1,n-1]内随机选择的一个整数，或者是一个等同于在[1,n-1]内随机选择的整数的随机数(比如，a是[1,n-1]内随机选择的整数，则ma是一个等同于在[1,n-1]内随机选择的整数的随机数)，b在完成初始化处理后销毁；

若b是对m个装置不保密的整数，则b是在[1,n-1]内任意选择的一个整数；所述任意选择包括由实施者主观任意选择，由实施者固定选择(比如固定选择1作为b)，或者初始化阶段由进行初始化的装置随机选择。

(注：这里选取b、进行初始化的装置通常是知道d_A的装置)

在以上所述SM9数字签名安全协同生成方法的基础上可构建SM9数字签名安全协同生成系统，系统包括m个分别标号为第1号，第2号，…，第m号的装置，m≥2；第i号装置保存有秘密d_Ai，i＝1,2,…,m,且d_A1+d_A2+…+d_Am＝d_A，其中d_A为用户的SM9私钥；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述SM9数字签名安全协同生成方法生成针对消息M的数字签名。

从以上描述可以看到，通过本发明的方法和系统，当需要使用用户标识私钥d_A对消息进行数字签名时，多个装置可以通过交互协同生成针对消息的数字签名，且协同计算过程采用的是乘积r参数，从而具有较高的安全性。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

此实施例有m个分别标号为第1号，第2号，…，第m号的装置，m≥2；

第i号装置保存有秘密d_Ai，i＝1,2,…,m，且d_A1+d_A2+…+d_Am＝d_A，其中d_A为用户的SM9标识私钥；

初始化阶段计算有g_B＝g^b，其中b是[1,n-1]内的对m个装置保密的整数，n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)，^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的协同生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块，或者m个装置之一中的密码应用程序、系统)：

首先，m个装置通过交互计算得到w＝g_B^(r₁r₂…r_m)，其中，r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，r_i称为第i号装置的r参数，i＝1,2,…,m；

然后，(m个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(h无需保密，可根据需要自由传送)

(m个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，其中m^-1是m的模n乘法逆，且在所述Q_i的计算过程中，由第i号装置最后使用自己的r参数r_i参与Q_i的计算，i＝1,2,…,m；

第i号装置计算S_i＝Q_i+[-h]d_Ai，i＝1,2,…,m；

最后，m个装置中的一个装置或之外的一个装置计算S＝S₁+S₂+…+S_m；

则(h,S)是针对消息M的数字签名。

(此时S＝[mm^-1br₁r₂…r_m]d_A+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

对于此实施例，若在以上计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

此实施例中，m个装置计算得到w＝g_B^(r₁r₂…r_m)的方法包括(不是全部可能的方式)：

第1号装置计算g₁＝g_B^r₁，将g₁发送第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，计算g_i＝g_i-1^r_i；

若i＝m，则取w＝g_m，完成计算，否则，将第i号装置将g_i传送给第i+1号装置；

或者，

第m号装置计算g_m＝g_B^r_m，将g_m发送第m-1号装置；

第i号装置接收g_i+1到后，i＝m-1,…,1，计算g_i＝g_i+1^r_i；

若i＝1，则取w＝g₁，完成计算，否则，将第i号装置将g_i传送给第i-1号装置。

此实施例中，m个装置按如下方法在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m：

初始化阶段由知道d_A的装置计算有P_B＝[(m^-1b)mod n]d_A，并由知道d_A的装置将P_B交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数与P_B进行数乘(标量乘)运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[r_i]Q_i,m-1。

对于此实施例，在初始化阶段，d_Ai，i＝1,2,…,m，按如下方式之一设置：

d_Ai设置方式一：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m个整数c₁,c₂,…c_m，计算c＝(c₁+c₂+…+c_m)mod n，若c＝0，则重新选择c₁,c₂,…c_m直到c≠0；

计算得到d_Ai＝[c_ic^-1]d_A，i＝1,2,…,m；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c、c_i，i＝1,2,…,m销毁；

d_Ai设置方式二：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m-1个整数c₁,…c_m-1，若(c₁+…+c_m-1)mod n＝1，则重新选择c₁,…c_m-1直到(c₁+…+c_m-1)modn≠1；

计算得到d_Ai＝[c_i]d_A，i＝1,…,m-1；

计算得到d_Am＝[1-(c₁+…+c_m-1)]d_A；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c_i，i＝1,…,m-1销毁；

d_Ai设置方式三：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m-1个整数c₁,…c_m-1；

计算得到d_Ai＝[c_i]P₁，i＝1,…,m-1；

计算得到d_Am＝d_A-[c₁+…+c_m-1]P₁；

若d_Am为零元则报错(若是私钥生成器进行初始化，则之后重新选择c_i，重新计算d_Ai＝[c_i]P₁，i＝1,…,m-1，d_Am＝d_A-[c₁+…+c_m-1]P₁；若是其他装置，则主密钥s被暴露，报错后需采取措施，发生这个的概率极小)；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c_i，i＝1,…,m-1销毁。

此实施例中，b是初始化阶段由进行初始化的装置在[1,n-1]内随机选择的一个整数，或者是一个等同于在[1,n-1]内随机选择的整数的随机数(比如，a是[1,n-1]内随机选择的整数，则ma是一个等同于在[1,n-1]内随机选择的整数的随机数)，b在完成初始化处理后销毁。

实施例2、

此实施例与实施例1的差别在于，在计算得到Q_i后，i＝1,2,…,m，第i号装置计算S_i＝[h^-1]Q_i-d_Ai，其中h^-1为h的模n乘法逆；最后，m个装置中的一个装置或之外的一个装置计算S_T＝S₁+S₂+…+S_m，S＝[h]S_T，从而得到针对消息M的数字签名(h,S)。

(此时S＝[mm^-1br₁r₂…r_m]d_A+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

实施例3、

此实施例与实施例1的差别在于，在计算得到满足w≠g^h的h后，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，且在所述Q_i的计算过程中，由第i号装置最后使用自己的r参数r_i参与Q_i的计算，i＝1,2,…,m，其中，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，的方法如下：

初始化阶段由知道d_A的装置计算有P_Bi＝[b]d_Ai，i＝1,2,…,m，并由知道d_A的装置将P_Bi交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数与P_Bi进行数乘(标量乘)运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[r_i]Q_i,m-1。

计算得到Q_i＝[br₁r₂…r_m]d_Ai后，其他操作处理与实施例1相同。

(S＝[br₁r₂…r_m](d_A1+d_A2+…+d_Am)+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

实施例4、

此实施例与实施例3的差别在于，在计算得到Q_i后，i＝1,2,…,m，第i号装置计算S_i＝[h^-1]Q_i-d_Ai，其中h^-1为h的模n乘法逆；最后，m个装置中的一个装置或之外的一个装置计算S_T＝S₁+S₂+…+S_m，S＝[h]S_T，从而得到针对消息M的数字签名(h,S)。

(S＝[br₁r₂…r_m](d_A1+d_A2+…+d_Am)+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

实施例5、

此实施例与实施例1的差别在于：1)其中b不必是[1,n-1]内的对m个装置保密的整数；2)m个装置在不暴露各自的r参数的情况下按如下方式协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m：

初始化阶段知道d_A的装置在[1,n-1]内随机选择m个整数u₁,u₂,…,u_m分别作为第1号，第2号,…,第m号装置的秘密，其中u_i是第i号装置的秘密，u_i称为第i号装置的u参数，i＝1,2,…,m；

初始化阶段由知道d_A的装置计算有P_B＝[(m^-1b((u₁u₂…u_m)mod n)^-1)mod n]d_A，其中((u₁u₂…u_m)mod n)^-1是(u₁u₂…u_m)mod n的模n乘法逆，并由知道d_A的装置将P_B交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数和u参数的模n乘积与P_B进行数乘(标量乘)运算，计算得到Q_i,1(若是第p号装置计算Q_i,1，则Q_i,1＝[(r_pu_p)mod n]P_B)；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数和u参数的模n乘积与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数和u参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数和u参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[(r_iu_i)mod n]Q_i,m-1。

计算得到Q_i＝[m^-1br₁r₂…r_m]d_A后，其他操作处理与实施例1相同。

此实施例中，b既可以是[1,n-1]内的对m个装置保密的整数，也可以是[1,n-1]内的对m个装置不保密的整数；若b是[1,n-1]内的对m个装置保密的整数，则其选取同实施例1；若b是[1,n-1]内的对m个装置不保密的整数，则b是在[1,n-1]内任意选择的一个整数；所述任意选择包括由实施者主观任意选择，由实施者固定选择(比如固定选择1作为b)，或者初始化阶段由进行初始化的装置随机选择。

(此时S＝[mm^-1br₁r₂…r_m]d_A+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

实施例6、

此实施例与实施例5的差别在于，在计算得到Q_i后，i＝1,2,…,m，第i号装置计算S_i＝[h^-1]Q_i-d_Ai，其中h^-1为h的模n乘法逆；最后，m个装置中的一个装置或之外的一个装置计算S_T＝S₁+S₂+…+S_m，S＝[h]S_T，从而得到针对消息M的数字签名(h,S)。

(此时S＝[mm^-1br₁r₂…r_m]d_A+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

实施例7、

此实施例与实施例5的差别在于，在计算得到满足w≠g^h的h后，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，且在所述Q_i的计算过程中，由第i号装置最后使用自己的r参数r_i参与Q_i的计算，i＝1,2,…,m，其中，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，的方法如下：

初始化阶段知道d_A的装置在[1,n-1]内随机选择m个整数u₁,u₂,…,u_m分别作为第1号，第2号,…,第m号装置的秘密，其中u_i是第i号装置的秘密，u_i称为第i号装置的u参数，i＝1,2,…,m；

初始化阶段由知道d_A的装置计算有P_Bi＝[(b((u₁u₂…u_m)mod n)^-1)mod n]d_Ai，i＝1,2,…,m，其中((u₁u₂…u_m)mod n)^-1是(u₁u₂…u_m)mod n的模n乘法逆，并由知道d_A的装置将P_Bi交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数和u参数的模n乘积与P_Bi进行数乘(标量乘)运算，计算得到Q_i,1(若是第p号装置计算Q_i,1，则Q_i,1＝[(r_pu_p)mod n]P_Bi)；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置(第i号装置之外的m-1个装置中的计算Q_i,1装置之外的一个装置)；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数和u参数的模n乘积与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1(即Q_i,m-1)提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数和u参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数和u参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[(r_iu_i)mod n]Q_i,m-1。

计算得到Q_i＝[m^-1br₁r₂…r_m]d_A后，其他操作处理与实施例5相同。

(S＝[br₁r₂…r_m](d_A1+d_A2+…+d_Am)+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

实施例8、

此实施例与实施例7的差别在于，在计算得到Q_i后，i＝1,2,…,m，第i号装置计算S_i＝[h^-1]Q_i-d_Ai，其中h^-1为h的模n乘法逆；最后，m个装置中的一个装置或之外的一个装置计算S_T＝S₁+S₂+…+S_m，S＝[h]S_T，从而得到针对消息M的数字签名(h,S)。

(S＝[br₁r₂…r_m](d_A1+d_A2+…+d_Am)+[-h](d_A1+d_A2+…+d_Am)＝[(r₁r₂…r_m)b-h]d_A)

在所述SM9数字签名安全协同生成方法的基础上可实施构建一个SM9数字签名安全协同生成系统，系统包括m个分别标号为第1号，第2号，…，第m号的装置，m≥2；第i号装置保存有秘密d_Ai，i＝1,2,…,m,且d_A1+d_A2+…+d_Am＝d_A，其中d_A为用户的SM9私钥；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置通过实施所述SM9数字签名安全协同生成方法生成针对消息M的数字签名。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims (10)

1.一种SM9数字签名安全协同生成方法，其特征是：

所述方法涉及m个分别标号为第1号，第2号，…，第m号的装置，m≥2；

第i号装置保存有秘密d_Ai，i＝1,2,…,m，且d_A1+d_A2+…+d_Am＝d_A，其中d_A为用户的SM9标识私钥；

初始化阶段计算有g_B＝g^b，其中b是[1,n-1]内的对m个装置保密或不保密的整数，n为SM9密码算法中群G₁、G₂、G_T的阶，^是幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的协同生成：

首先，m个装置通过交互计算得到w＝g_B^(r₁r₂…r_m)，其中，r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，r_i称为第i号装置的r参数，i＝1,2,…,m；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，其中m^-1是m的模n乘法逆，或者计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m；在所述Q_i的计算过程中，由第i号装置最后使用自己的r参数r_i参与Q_i的计算，i＝1,2,…,m；

第i号装置计算S_i＝Q_i+[-h]d_Ai，i＝1,2,…,m；

最后，m个装置中的一个装置或之外的一个装置计算S＝S₁+S₂+…+S_m；

则(h,S)是针对消息M的数字签名；

或者，

在计算得到Q_i后，i＝1,2,…,m，第i号装置计算S_i＝[h^-1]Q_i-d_Ai，其中h^-1为h的模n乘法逆；

最后，m个装置中的一个装置或之外的一个装置计算S_T＝S₁+S₂+…+S_m，S＝[h]S_T；

则(h,S)是针对消息M的数字签名。

2.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

若在以上计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

3.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

m个装置计算得到w＝g_B^(r₁r₂…r_m)的方法包括：

第1号装置计算g₁＝g_B^r₁，将g₁发送第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，计算g_i＝g_i-1^r_i；

若i＝m，则取w＝g_m，完成计算，否则，将第i号装置将g_i传送给第i+1号装置；

或者，

第m号装置计算g_m＝g_B^r_m，将g_m发送第m-1号装置；

第i号装置接收g_i+1到后，i＝m-1,…,1，计算g_i＝g_i+1^r_i；

若i＝1，则取w＝g₁，完成计算，否则，将第i号装置将g_i传送给第i-1号装置。

4.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

若b是[1,n-1]内对m个装置保密的整数，则m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，的一种方法如下：

初始化阶段由知道d_A的装置计算有P_B＝[(m^-1b)mod n]d_A，并由知道d_A的装置将P_B交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数与P_B进行数乘运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[r_i]Q_i,m-1。

5.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

若b是[1,n-1]内的对m个装置保密的整数，则m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，的一种方法如下：

初始化阶段由知道d_A的装置计算有P_Bi＝[b]d_Ai，i＝1,2,…,m，并由知道d_A的装置将P_Bi交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数与P_Bi进行数乘运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[r_i]Q_i,m-1。

6.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

在b对m个装置保密或不保密的情况下都适用的一种m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，的方法如下：

初始化阶段知道d_A的装置在[1,n-1]内随机选择m个整数u₁,u₂,…,u_m分别作为第1号，第2号,…,第m号装置的秘密，其中u_i是第i号装置的秘密，u_i称为第i号装置的u参数，i＝1,2,…,m；

初始化阶段由知道d_A的装置计算有P_B＝[(m^-1b((u₁u₂…u_m)mod n)^-1)mod n]d_A，其中((u₁u₂…u_m)mod n)^-1是(u₁u₂…u_m)mod n的模n乘法逆，并由知道d_A的装置将P_B交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数和u参数的模n乘积与P_B进行数乘运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数和u参数的模n乘积与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数和u参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数和u参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[(r_iu_i)mod n]Q_i,m-1。

7.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

在b对m个装置保密或不保密的情况下都适用的一种m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m，的方法如下：

初始化阶段知道d_A的装置在[1,n-1]内随机选择m个整数u₁,u₂,…,u_m分别作为第1号，第2号,…,第m号装置的秘密，其中u_i是第i号装置的秘密，u_i称为第i号装置的u参数，i＝1,2,…,m；

初始化阶段由知道d_A的装置计算有P_Bi＝[(b((u₁u₂…u_m)mod n)^-1)mod n]d_Ai，i＝1,2,…,m，其中((u₁u₂…u_m)mod n)^-1是(u₁u₂…u_m)mod n的模n乘法逆，并由知道d_A的装置将P_Bi交由需要使用的装置保存；

当需要计算Q_i时，第i号装置之外的m-1个装置中的一个装置使用自己的r参数和u参数的模n乘积与P_Bi进行数乘运算，计算得到Q_i,1；

若m＝2，则计算得到Q_i,1的装置将Q_i,1提交给第i号装置，否则，计算得到Q_i,1的装置将Q_i,1提交给第i号装置之外的m-1个装置中的一个其他装置；

接收到Q_i,t的装置，t＝1,…,m-2，使用自己的r参数和u参数的模n乘积与Q_i,t进行数乘运算，计算得到Q_i,t+1；

若t＝m-2，则计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置，否则，计算得到Q_i,t+1的装置将Q_i,t+1提交给第i号装置之外的m-1个装置中的一个尚未使用自己的r参数和u参数进行Q_i,j计算的装置，j＝1,…,t+1，直到第i号装置之外的m-1个装置中的所有装置都使用了自己的r参数和u参数进行了Q_i,q计算，q＝1,…,或m-1；

第i号装置接收到Q_i,m-1后，检查Q_i,m-1是否为零元，若是，则报错，否则，计算Q_i＝[(r_iu_i)mod n]Q_i,m-1。

8.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

在初始化阶段，设置d_Ai，i＝1,2,…,m，的方式包括：

方式一：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m个整数c₁,c₂,…c_m，计算c＝(c₁+c₂+…+c_m)mod n，若c＝0，则重新选择c₁,c₂,…c_m直到c≠0；

计算得到d_Ai＝[c_ic^-1]d_A，i＝1,2,…,m；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c、c_i，i＝1,2,…,m销毁；

方式二：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m-1个整数c₁,…c_m-1，若(c₁+…+c_m-1)mod n＝1，则重新选择c₁,…c_m-1直到(c₁+…+c_m-1)mod n≠1；

计算得到d_Ai＝[c_i]d_A，i＝1,…,m-1；

计算得到d_Am＝[1-(c₁+…+c_m-1)]d_A；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c_i，i＝1,…,m-1销毁；

方式三：

知道用户SM9私钥d_A的装置在[1,n-1]内随机选择m-1个整数c₁,…c_m-1；

计算得到d_Ai＝[c_i]P₁，i＝1,…,m-1；

计算得到d_Am＝d_A-[c₁+…+c_m-1]P₁；

若d_Am为零元则报错；

将d_Ai交由第i号装置保存，i＝1,2,...,m，将d_A、c_i，i＝1,…,m-1销毁。

9.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

若b是对m个装置保密的整数，则b是初始化阶段由进行初始化的装置在[1,n-1]内随机选择的一个整数，或者是一个等同于在[1,n-1]内随机选择的整数的随机数，b在完成初始化处理后销毁；

若b是对m个装置不保密的整数，则b是在[1,n-1]内任意选择的一个整数；所述任意选择包括由实施者主观任意选择，由实施者固定选择，或者初始化阶段由进行初始化的装置随机选择。

10.一种基于权利要求1-9中任一项所述的SM9数字签名安全协同生成方法的SM9数字签名安全协同生成系统，其特征是：

所述系统包括m个分别标号为第1号，第2号，…，第m号的装置，m≥2；第i号装置保存有秘密d_Ai，i＝1,2,…,m,且d_A1+d_A2+…+d_Am＝d_A，其中d_A为用户的SM9私钥；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述SM9数字签名安全协同生成方法生成针对消息M的数字签名。