CN110943845A - 一种轻量级两方协同产生sm9签名的方法及介质 - Google Patents

Abstract

本发明公开了一种轻量级两方协同产生SM9签名的方法及介质，通过以下技术方案实现：KGC分别给两个参与方分发A1、A2部分私钥

和

A1和A2通过交互，分别生成部分签名值，最终由A1输出完整签名，A1验证(h，S)是否合法，若合法则验证通过；否则验证不通过。本发明具有安全性高、执行效率快、易验证等优点，产生数字签名的过程必须有在通信双方共同参与的情况下才能分布式生成SM9数字签名，能够有效阻止外部攻击者对签名子密钥的窃取和内部参与者的伪造，提高了两方参与SM9数字签名生成的安全性和公平性。

Description

一种轻量级两方协同产生SM9签名的方法及介质

技术领域

本发明属于信息安全技术领域，特别是轻量级两方协同产生SM9签名的方法及系统。

背景技术

数字签名是一种重要的密码方案，它通过某种密码运算生成消息数字签名，来代替书写签名或印章。数字签名是实现认证的重要工具，它可以验证消息发送方的身份防止发送方抵赖和防止消息接收方伪造，还可以验证消息的完整性，抵抗第三方的伪造攻击。其主要用于鉴别签名人的身份以及信息的合法性，是目前网络通信、电子商务、电子政务中使用最普遍、技术最成熟、可操作性最强的一种密码技术。

在数字签名过程中，签名密钥的泄漏意味着签名方案安全性的丧失。秘密共享是一种将秘密分割存储的密码技术，是信息安全和数据保密中的重要手段，能够防止秘密过于集中，从而达到分散风险和容忍入侵的目的。在门限签名方案中，数字签名是由一组而不是一个人产生，签名密钥被分割为n份，并分发给不同的成员保管。为了产生一个有效的签名，至少需要t个成员合作。门限签名方案的作用主要是防止来自内部或外部敌手对签名密钥的攻击。但是使用此类方法，一旦签名密钥被恢复，则攻击者可以在其他成员不参与的情况下独自对消息进行签名。

SM9标识密码算法是国家密码管理局于2016年3月28日发布的一种标识密码标准(标准表号：GM/T 0044-2016 SM9标识密码算法)，主要包含三个部分：数字签名算法、公钥加密算法、密钥交换协议。SM9标准满足电子认证服务系统等应用需求，并弥补了国产标识密码体制的空白。

本专利设计了一种分布式SM9数字签名生成的方案，此方案生成签名的过程中，两方必须同时参与才能生成消息的签名，同时保证签名密钥的私密性。

发明内容

本发明的目的是让签名者利用自己的私钥和环内其他人的身份标识完成对消息的签名，任何验证者可以验证签名并判断签名用户是否在环中，但不能够确认签名者的具体身份。

针对本发明的目的，本发明提出了一种安全高效的SM9环签名方案，下面给出具体描述。

为保证通用性，本专利的参数选取与SM9签名算法标准参数保持一致。具体符号描述如下：

q：一个大素数。

由1，2，，….，q-1组成的整数集合。

G₁，G₂：阶为N的加法循环群。

G_T：阶为N的乘法循环群。

P₁，P₂：分别为群G₁和G₂的生成元。

g^u：乘法群G_T中元素g的u次幂。

[k]P：椭圆曲线上点P的k倍点，k是正整数。

e：从G₁×G₂到G_r的双线性对映射。

H₁(·)，H₂(·)：由密码杂凑函数派生的密码函数。

ks：由KGC秘密持有的系统主私钥，。

P_pub-1，P_pub-2：由KGC公开的系统主公钥，计算公式为P_pub-1＝[ks]P₁和 P_pub-2＝[ks]P₂。

hid：签名私钥生成函数识别符。

ID：用户的可辨别标识。

ID_A：用户A的签名私钥。

M：待签名的消息。

M′：待验证的消息。

h，S：签名值。

mod N：模N运算。例如，23mod7≡2。

x||y：x与y的拼接，其中x，y可以是比特串或字节串。

本发明具体包括：

生成SM9数字签名时，有两方共同参与，一方为A1，一方为A2；

步骤1、给定是用户A的身份ID_A，密钥生成中心(KGC)执行如下步骤来产生 A1和A2的私钥：

步骤1.1、计算一个临时变量t₁＝H₁(ID_A||hid，q)+ks，若t₁＝0则需重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则计算第二个临时变量

这里H₁是第一个哈希函数，hid表示的签名私钥生成函数识别符，由KGC选择并公开；

步骤1.2、在集合{1，...，q-1}中随机选择一个数d₁，计算

这里

表示d₁的逆元，即

步骤1.3、设置第一个参与方A1的私钥为

设置第二个参与方A2的私钥为

步骤1.4、把

和

分别发给A1和A2；

步骤2、获得密钥后，A1和A2在分布式SM9数字签名生成阶段通过执行如下步骤来产生数字签名：

步骤2.1、A1首先计算

的中的元素g＝e(P₁，P_pub-s)；从{1，...，q-1}中随机选择一个数k₁并计算第一个临时部分公钥

A1将w₁发送给A2；

步骤2.2、A2收到w₁后，随机选择一个数k₂并计算目标临时公钥

通过w算出签名的第一部分h＝H₂(M||w，q)，其中，M是待签名的消息，H₂是第二个哈希函数；A2计算部分签名s′＝k₂-d₂·h mod q，并将 h和s′发送给A1；

步骤2.3、A1计算签名的第二部分

A1验证签名的正确性，若验证通过，则输出SM9签名(h，S)；

一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

步骤1、给定是用户A的身份ID_A，密钥生成中心(KGC)执行如下步骤来产生 A1和A2的私钥：

步骤1.1、计算一个临时变量t₁＝H₁(ID_A||hid，q)+ks，若t₁＝0则需重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则计算第二个临时变量

这里H₁是第一个哈希函数，hid表示的签名私钥生成函数识别符，由KGC选择并公开；

步骤1.2、在集合{1，...，q-1}中随机选择一个数d₁，计算

这里

表示d₁的逆元，即

步骤1.3、设置第一个参与方A1的私钥为

设置第二个参与方 A2的私钥为

步骤1.4、把

和

分别发给A1和A2；

步骤2、获得密钥后，A1和A2在分布式SM9数字签名生成阶段通过执行如下步骤来产生数字签名：

步骤2.1、A1首先计算

的中的元素g＝e(P₁，P_pub-s)；从{1，...，q-1}中随机选择一个数k₁并计算第一个临时部分公钥

A1将w₁发送给A2；

步骤2.2、A2收到w₁后，随机选择一个数k₂并计算目标临时公钥

通过w算出签名的第一部分h＝H₂(M||w，q)，其中，M是待签名的消息，H₂是第二个哈希函数；A2计算部分签名s′＝k₂-d₂·h mod q，并将 h和s′发送给A1；

步骤2.3、A1计算签名的第二部分

A1验证签名的正确性，若验证通过，则输出SM9签名(h，S)。

本发明与现有技术相比具有如下优点和有益效果：1、已有的密钥分割或门限秘密共享方案大多数都存在安全隐患。例如，在方案签名阶段，秘密值可能被一个或者几个攻击者恢复，从而在不需要其他成员参与的情况下完成消息签名。2、现有的两方签名方案需要零知识证明等繁琐的算法来保证方案的安全，本方案的两个参与方计算开销小且可证明安全。

附图说明

附图1是本发明的方法流程示意图。

具体实施方式

下面通过实施例，对本发明的技术方案作进一步具体的说明。

实施例：

在本方案中，生成SM9数字签名时，有两方共同参与，一方为A1，一方为A2。给定是用户A的身份ID_A，密钥生成中心(KGC)执行如下步骤来产生A1和A2的私钥：

1、计算一个临时变量t₁＝H₁(ID_A||hid，q)+ks，若t₁＝0则需重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则计算第二个临时变量

这里H₁是第一个哈希函数，hid表示的签名私钥生成函数识别符，由KGC选择并公开；

2、在集合{1，...，q-1}中随机选择一个数d₁，计算

这里

表示d₁的逆元，即

3、设置第一个参与方A1的私钥为

设置第二个参与方A2的私钥为

4、把

和

分别发给A1和A2；

获得密钥后，A1和A2在分布式SM9数字签名生成阶段通过执行如下步骤来产生数字签名：

1、A1首先计算

的中的元素g＝e(P₁，P_pub-s)；从{1，...，q-1}中随机选择一个数k₁并计算第一个临时部分公钥

A1将w₁发送给A2；

2、A2收到w₁后，随机选择一个数k₂并计算目标临时公钥

通过w算出签名的第一部分h＝H₂(M||w，q)，其中，M是待签名的消息，H₂是第二个哈希函数；A2计算部分签名s′＝k₂-d₂·h mod q，并将h和s′发送给A1；

3、A1计算签名的第二部分

A1验证签名的正确性，若验证通过，则输出SM9签名(h，S)。

本发明还涉及一种计算机存储介质，存储有计算机程序，运行计算机程序包括以下步骤：

步骤1、给定是用户A的身份ID_A，密钥生成中心(KGC)执行如下步骤来产生 A1和A2的私钥：

步骤1.1、计算一个临时变量t₁＝H₁(ID_A||hid，q)+ks，若t₁＝0则需重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则计算第二个临时变量

这里H₁是第一个哈希函数，hid表示的签名私钥生成函数识别符，由KGC选择并公开；

步骤1.2、在集合{1，...，q-1}中随机选择一个数d₁，计算

这里

表示d₁的逆元，即

步骤1.3、设置第一个参与方A1的私钥为

设置第二个参与方 A2的私钥为

步骤1.4、把

和

分别发给A1和A2；

步骤2、获得密钥后，A1和A2在分布式SM9数字签名生成阶段通过执行如下步骤来产生数字签名：

步骤2.1、A1首先计算

的中的元素g＝e(P₁，P_pub-s)；从{1，...，q-1}中随机选择一个数k₁并计算第一个临时部分公钥

A1将w₁发送给A2；

步骤2.2、A2收到w₁后，随机选择一个数k₂并计算目标临时公钥

通过w算出签名的第一部分h＝H₂(M||w，q)，其中，M是待签名的消息，H₂是第二个哈希函数；A2计算部分签名s′＝k₂-d₂·h mod q，并将 h和s′发送给A1；

步骤2.3、A1计算签名的第二部分

A1验证签名的正确性，若验证通过，则输出SM9签名(h，S)。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (2)

1.一种轻量级两方协同产生SM9签名的方法，其特征在于，生成SM9数字签名时，有两方共同参与，一方为A1，一方为A2；

步骤1、给定是用户A的身份ID_A，密钥生成中心(KGC)执行如下步骤来产生A1和A2的私钥：

步骤1.1、计算一个临时变量t₁＝H₁(ID_A||hid，q)+ks，若t₁＝0则需重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则计算第二个临时变量

这里H₁是第一个哈希函数，hid表示的签名私钥生成函数识别符，由KGC选择并公开；

步骤1.2、在集合{1，...，q-1}中随机选择一个数d₁，计算

这里

表示d₁的逆元，即

步骤1.3、设置第一个参与方A1的私钥为

设置第二个参与方A2的私钥为

步骤1.4、把

和

分别发给A1和A2；

步骤2、获得密钥后，A1和A2在分布式SM9数字签名生成阶段通过执行如下步骤来产生数字签名：

步骤2.1、A1首先计算

的中的元素g＝e(P₁，P_pub-s)；从{1，...，q-1}中随机选择一个数k₁并计算第一个临时部分公钥

A1将w₁发送给A2；

步骤2.2、A2收到w₁后，随机选择一个数k₂并计算目标临时公钥

通过w算出签名的第一部分h＝H₂(M||w，q)，其中，M是待签名的消息，H₂是第二个哈希函数；A2计算部分签名s′＝k₂-d₂·h mod q，并将h和s′发送给A1；

步骤2.3、A1计算签名的第二部分

A1验证签名的正确性，若验证通过，则输出SM9签名(h，S)。

2.一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

步骤1、给定是用户A的身份ID_A，密钥生成中心(KGC)执行如下步骤来产生A1和A2的私钥：

步骤1.1、计算一个临时变量t₁＝H₁(ID_A||hid，q)+ks，若t₁＝0则需重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则计算第二个临时变量

这里H₁是第一个哈希函数，hid表示的签名私钥生成函数识别符，由KGC选择并公开；

步骤1.2、在集合{1，...，q-1}中随机选择一个数d₁，计算

这里

表示d₁的逆元，即

步骤1.3、设置第一个参与方A1的私钥为

设置第二个参与方A2的私钥为

步骤1.4、把

和

分别发给A1和A2；

步骤2、获得密钥后，A1和A2在分布式SM9数字签名生成阶段通过执行如下步骤来产生数字签名：

步骤2.1、A1首先计算

的中的元素g＝e(P₁，P_pub-s)；从{1，...，q-1}中随机选择一个数k₁并计算第一个临时部分公钥

A1将w₁发送给A2；

步骤2.2、A2收到w₁后，随机选择一个数k₂并计算目标临时公钥

通过w算出签名的第一部分h＝H₂(M||w，q)，其中，M是待签名的消息，H₂是第二个哈希函数；A2计算部分签名s′＝k₂-d₂·h mod q，并将h和s′发送给A1；

步骤2.3、A1计算签名的第二部分

A1验证签名的正确性，若验证通过，则输出SM9签名(h，S)。

Images