CN112152808A - 一种基于sm2算法的多方协同数字签名方法 - Google Patents

Abstract

本发明公开了一种基于SM2算法的多方协同数字签名方法，包括以下步骤：S1、对协同签名的m个参与方各自形成公私钥对；S2、对m个参与方协同生成协同签名的组公钥；S3、通过公私钥对使各参与方协同生成签名；S4、通过签名验证者和组公钥对签名进行验证，若验证通过则使用该签名。本发明适用于C/S架构，能够有效解决在多用户、多装置进行多方协同签名时由于用户数量多带来的签名效率低、签名存储开销大以及多装置使用场景受限问题。本发明在C/S架构下进行多方协同签名时，能够提高用户私钥的安全性，减少签名的存储开销，以及提高签名的效率，并且能够扩展多装置协同签名算法的应用场景。

Description

一种基于SM2算法的多方协同数字签名方法

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于SM2算法的多方协同数字签名方法。

背景技术

国家密码管理局于2010年12月17日发布椭圆曲线公钥密码算法后，在国内金融、国防等领域引入SM2算法逐步替换原有的RSA、ECC等国外算法，使用SM2签名来替换原有的RSA、ECC、BLS等签名。但是在多方协同签名方面，仍没有与SM2算法相关的安全、高效的签名算法。

在多用户协同签名场景中，需要多用户分别进行签名，签名数量与签名用户数量成正比，在签名用户数量增多时，签名效率将降低，且签名存储开销不断增加。另外，在多装置协同签名场景中，现有的签名算法要求多装置必须处于同一局域网内，使得应用场景受限。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于SM2算法的多方协同数字签名方法解决了现有的签名算法要求多装置必须处于同一局域网内，使得应用场景受限的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种基于SM2算法的多方协同数字签名方法，包括以下步骤：

S1、对协同签名的m个参与方各自形成公私钥对；

S2、对m个参与方协同生成协同签名的组公钥；

S3、通过公私钥对使各参与方协同生成签名；

S4、通过签名验证者和组公钥对签名进行验证，若验证通过则使用该签名。

进一步地：所述步骤S1的具体步骤为：

S11、对各参与方U_i(i＝1,2,…,m)分别选择一个随机数d_i∈[1,n-1](i＝1,2,…,m)，n为椭圆曲线的阶；

S12、将随机数d_i作为各参与方U_i的私钥，并将私钥秘密保存；

S13、根据私钥d_i生成各参与方U_i的公钥PK_i＝d_iG(i＝1,2,…,m)，G为椭圆曲线的基点，并将公钥PK_i发送给服务器S；

S14、通过服务器S将公钥{PK₁,PK₂,…,PK_m}发送给各参与方{U₁,U₂,…,U_m}。

进一步地：所述步骤S2的具体步骤为：

S21、计算参与方U₁在椭圆曲线E上的组子公钥

并将P₁发送给服务器S，再通过服务器S将P₁发送给参与方U₂；

S22、计算参与方{U₂,U₃,…U_m-1}在椭圆曲线E上的组子公钥

并将P_i发送给服务器S，再通过服务器S将P_i发送给参与方U_i+1；

S23、计算参与方U_m在椭圆曲线E上的组子公钥

将P_m作为完整的协同签名组公钥P；

S24、通过参与方U_m将协同签名组公钥P发送给服务器S；

S25、通过服务器S将协同签名组公钥P发送给参与方U₁，供签名验证者验签时使用。

进一步地：所述步骤S3的具体步骤为：

S31、为各参与方{U₁,U₂,…U_m}分别选择一个随机数k₁,k₂,…,k_m∈[1,n-1]；

S32、为参与方U₁选择一个随机数b∈[1,n-1]；

S33、对参与方U_i(i＝1,2,…,m)分别计算签名随机数

并将K_i发送给服务器S；

S34、服务器S计算K_iG，并将K_iG发送给各参与方U₁,U₂,…U_m；

S35、通过参与方U₁计算椭圆曲线E上一点坐标(x,y)＝K₁G+K₂G+…K_mG；

S36、通过参与方U₁计算消息摘要e＝Hash(Z||M)；

其中，Hash()为消息摘要长度256比特的密码杂凑函数，Z为用户的身份标识、部分椭圆曲线参数和用户公钥的杂凑，M为明文；

S37、通过参与方U₁计算协同签名的第一部分签名r＝e+x，当r＝0modn时，返回步骤S31，否则进入步骤S38；

S38、计算参与方U₁的中间聚合子密钥D₁＝b·d₁，并将D₁用参与方U₂的公钥PK₂加密得到SM2_En(PK₂,D₁)，将SM2_En(PK₂,D₁)发送给服务器S，再通过服务器S将SM2_En(PK₂,D₁)发送给参与方U₂；

S39、通过参与方{U₂,U₃,…U_m-1}用私钥d_i(i＝1,2,…,m)解密得到D_i-1，计算参与方U_i的中间聚合子密钥D_i＝D_i-1·d_i(i＝2,3,…,m-1)，并将D_i用参与方U_i+1的公钥PK_i+1加密得到SM2_En(PK_i+1,D_i)，将SM2_En(PK_i+1,D_i)发送给服务器S，再通过服务器S将SM2_En(PK_i+1,D_i)发送给参与方U_i+1；

S310、通过参与方U_m用私钥d_m解密得到D_m-1，计算中间聚合密钥D＝D_m＝D_m-1·d_m，并将D用服务器S的公钥PK_S加密得到SM2_En(PK_S,D_m)，将SM2_En(PK_S,D_m)发送给服务器S；

S311、通过服务器S用私钥d_S解密得到D，计算Q＝(K₁+K₂+…+K_m+r)·D，并将Q用参与方U₁的公钥PK₁加密得到SM2_En(PK₁,D_i)，将SM2_En(PK₁,D_i)发送给参与方U₁；

S312、通过参与方U₁用私钥d₁解密得到Q，计算协同签名的另一部分签名

当s＝0modn时，返回步骤S31，否则进入步骤S313；

S313、通过参与方U₁生成对明文M的完整签名(s,r)，并将签名(s,r)发送给签名验证者V。

进一步地：所述步骤S4的具体步骤为：

S41、通过签名验证者V接收到协同签名(s',r')；

S42、通过签名验证者V检验s'∈[1,n-1]是否成立，若不成立，则签名不通过，若成立则进入步骤S43；

S43、通过签名验证者V检验r'∈[1,n-1]是否成立，若不成立，则签名不通过，若成立则进入步骤S44；

S44、通过签名验证者V计算第一个验签参数t＝s'+r'，如果t＝0modn，则签名不通过，否则进入步骤S45；

S45、通过签名验证者V计算消息以及参数摘要e'＝Hash(Z||M')；

S46、通过签名验证者V计算椭圆曲线点(x',y')；

S47、通过签名验证者V计算第二个验签参数R＝e'+x'，检验R＝r'是否成立，若成立，则签名验证通过，使用该签名，若不成立，则签名验证不通过。

进一步地：所述步骤S46中椭圆曲线点(x',y')的计算公式为：

(x',y')＝s'G+tP。

本发明的有益效果为：本发明提出了一种基于SM2算法的适用于C/S(Client/Server，客户端/服务端)架构的多方协同签名算法，能够有效解决在多用户、多装置进行多方协同签名时由于用户数量多带来的签名效率低、签名存储开销大以及多装置使用场景受限问题。本发明在C/S架构下进行多方协同签名时，能够提高用户私钥的安全性，减少签名的存储开销，以及提高签名的效率，并且能够扩展多装置协同签名算法的应用场景。

附图说明

图1为本发明流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，一种基于SM2算法的多方协同数字签名方法，包括以下步骤：

S1、对协同签名的m个参与方各自形成公私钥对；具体步骤为：

S11、对各参与方U_i(i＝1,2,…,m)分别选择一个随机数d_i∈[1,n-1](i＝1,2,…,m)，n为椭圆曲线的阶；

S12、将随机数d_i作为各参与方U_i的私钥，并将私钥秘密保存；

S13、根据私钥d_i生成各参与方U_i的公钥PK_i＝d_iG(i＝1,2,…,m)，G为椭圆曲线的基点，并将公钥PK_i发送给服务器S；

S14、通过服务器S将公钥{PK₁,PK₂,…,PK_m}发送给各参与方{U₁,U₂,…,U_m}。服务器S的公私钥对为(d_S,PK_S＝d_SG)。

S2、对m个参与方协同生成协同签名的组公钥；具体步骤为：

S21、计算参与方U₁在椭圆曲线E上的组子公钥

并将P₁发送给服务器S，再通过服务器S将P₁发送给参与方U₂；

S22、计算参与方{U₂,U₃,…U_m-1}在椭圆曲线E上的组子公钥

并将P_i发送给服务器S，再通过服务器S将P_i发送给参与方U_i+1；

S23、计算参与方U_m在椭圆曲线E上的组子公钥

将P_m作为完整的协同签名组公钥P；

S24、通过参与方U_m将协同签名组公钥P发送给服务器S；

S25、通过服务器S将协同签名组公钥P发送给参与方U₁，供签名验证者验签时使用。

S3、通过公私钥对使各参与方协同生成签名；具体步骤为：

S31、为各参与方{U₁,U₂,…U_m}分别选择一个随机数k₁,k₂,…,k_m∈[1,n-1]；

S32、为参与方U₁选择一个随机数b∈[1,n-1]；

S33、对参与方U_i(i＝1,2,…,m)分别计算签名随机数

并将K_i发送给服务器S；

S34、服务器S计算K_iG，并将K_iG发送给各参与方U₁,U₂,…U_m；

S35、通过参与方U₁计算椭圆曲线E上一点坐标(x,y)＝K₁G+K₂G+…K_mG；

S36、通过参与方U₁计算消息摘要e＝Hash(Z||M)；

其中，Hash()为消息摘要长度256比特的密码杂凑函数(与SM3中Hash()一致)，Z为用户的身份标识、部分椭圆曲线参数和用户公钥的杂凑(与SM2中Z一致)，M为明文；

S37、通过参与方U₁计算协同签名的第一部分签名r＝e+x，当r＝0modn时，返回步骤S31，否则进入步骤S38；

S38、计算参与方U₁的中间聚合子密钥D₁＝b·d₁，并将D₁用参与方U₂的公钥PK₂加密得到SM2_En(PK₂,D₁)，将SM2_En(PK₂,D₁)发送给服务器S，再通过服务器S将SM2_En(PK₂,D₁)发送给参与方U₂；

S39、通过参与方{U₂,U₃,…U_m-1}用私钥d_i(i＝1,2,…,m)解密得到参与方U_i-1的中间聚合子密钥D_i-1，计算参与方U_i的中间聚合子密钥D_i＝D_i-1·d_i(i＝2,3,…,m-1)，并将D_i用参与方U_i+1的公钥PK_i+1加密得到SM2_En(PK_i+1,D_i)，将SM2_En(PK_i+1,D_i)发送给服务器S，再通过服务器S将SM2_En(PK_i+1,D_i)发送给参与方U_i+1；

S310、通过参与方U_m用私钥d_m解密得到D_m-1，计算中间聚合密钥D＝D_m＝D_m-1·d_m，并将D用服务器S的公钥PK_S加密得到SM2_En(PK_S,D_m)，将SM2_En(PK_S,D_m)发送给服务器S；

S311、通过服务器S用私钥d_S解密得到D，计算Q＝(K₁+K₂+…+K_m+r)·D，并将Q用参与方U₁的公钥PK₁加密得到SM2_En(PK₁,D_i)，将SM2_En(PK₁,D_i)发送给参与方U₁；

S312、通过参与方U₁用私钥d₁解密得到Q，计算协同签名的另一部分签名

当s＝0modn时，返回步骤S31，否则进入步骤S313；

S313、通过参与方U₁生成对明文M的完整签名(s,r)，并将签名(s,r)发送给签名验证者V。

S4、通过签名验证者和组公钥对签名进行验证，若验证通过则使用该签名。具体步骤为：

S41、通过签名验证者V接收到协同签名(s',r')；

S42、通过签名验证者V检验s'∈[1,n-1]是否成立，若不成立，则签名不通过，若成立则进入步骤S43；

S43、通过签名验证者V检验r'∈[1,n-1]是否成立，若不成立，则签名不通过，若成立则进入步骤S44；

S44、通过签名验证者V计算第一个验签参数t＝s'+r'，如果t＝0modn，则签名不通过，否则进入步骤S45；

S45、通过签名验证者V计算消息以及参数摘要e'＝Hash(Z||M')；

S46、通过签名验证者V计算椭圆曲线点(x',y')；(x',y')＝s'G+tP。

S47、通过签名验证者V计算第二个验签参数R＝e'+x'，检验R＝r'是否成立，若成立，则签名验证通过，使用签名(s,r)，若不成立，则签名验证不通过。

本发明提出了一种基于SM2算法的适用于C/S(Client/Server，客户端/服务端)架构的多方协同签名算法，能够有效解决在多用户、多装置进行多方协同签名时由于用户数量多带来的签名效率低、签名存储开销大以及多装置使用场景受限问题。本发明在C/S架构下进行多方协同签名时，能够提高用户私钥的安全性，减少签名的存储开销，以及提高签名的效率，并且能够扩展多装置协同签名算法的应用场景。

Claims (6)

1.一种基于SM2算法的多方协同数字签名方法，其特征在于，包括以下步骤：

S1、对协同签名的m个参与方各自形成公私钥对；

S2、对m个参与方协同生成协同签名的组公钥；

S3、通过公私钥对使各参与方协同生成签名；

S4、通过签名验证者和组公钥对签名进行验证，若验证通过则使用该签名。

2.根据权利要求1所述的基于SM2算法的多方协同数字签名方法，其特征在于，所述步骤S1的具体步骤为：

S11、对各参与方U_i(i＝1,2,…,m)分别选择一个随机数d_i∈[1,n-1](i＝1,2,…,m)，n为椭圆曲线的阶；

S12、将随机数d_i作为各参与方U_i的私钥，并将私钥秘密保存；

S13、根据私钥d_i生成各参与方U_i的公钥PK_i＝d_iG(i＝1,2,…,m)，G为椭圆曲线的基点，并将公钥PK_i发送给服务器S；

S14、通过服务器S将公钥{PK₁,PK₂,…,PK_m}发送给各参与方{U₁,U₂,…,U_m}。

3.根据权利要求2所述的基于SM2算法的多方协同数字签名方法，其特征在于，所述步骤S2的具体步骤为：

S21、计算参与方U₁在椭圆曲线E上的组子公钥

并将P₁发送给服务器S，再通过服务器S将P₁发送给参与方U₂；

S22、计算参与方{U₂,U₃,…U_m-1}在椭圆曲线E上的组子公钥

并将P_i发送给服务器S，再通过服务器S将P_i发送给参与方U_i+1；

S23、计算参与方U_m在椭圆曲线E上的组子公钥

将P_m作为完整的协同签名组公钥P；

S24、通过参与方U_m将协同签名组公钥P发送给服务器S；

S25、通过服务器S将协同签名组公钥P发送给参与方U₁，供签名验证者验签时使用。

4.根据权利要求3所述的基于SM2算法的多方协同数字签名方法，其特征在于，所述步骤S3的具体步骤为：

S31、为各参与方{U₁,U₂,…U_m}分别选择一个随机数k₁,k₂,…,k_m∈[1,n-1]；

S32、为参与方U₁选择一个随机数b∈[1,n-1]；

S33、对参与方U_i(i＝1,2,…,m)分别计算签名随机数

并将K_i发送给服务器S；

S34、服务器S计算K_iG，并将K_iG发送给各参与方U₁,U₂,…U_m；

S35、通过参与方U₁计算椭圆曲线E上一点坐标(x,y)＝K₁G+K₂G+…K_mG；

S36、通过参与方U₁计算消息摘要e＝Hash(Z||M)；

其中，Hash()为消息摘要长度256比特的密码杂凑函数，Z为用户的身份标识、部分椭圆曲线参数和用户公钥的杂凑，M为明文；

S37、通过参与方U₁计算协同签名的第一部分签名r＝e+x，当r＝0mod n时，返回步骤S31，否则进入步骤S38；

S38、计算参与方U₁的中间聚合子密钥D₁＝b·d₁，并将D₁用参与方U₂的公钥PK₂加密得到SM2_En(PK₂,D₁)，将SM2_En(PK₂,D₁)发送给服务器S，再通过服务器S将SM2_En(PK₂,D₁)发送给参与方U₂；

S39、通过参与方{U₂,U₃,…U_m-1}用私钥d_i(i＝1,2,…,m)解密得到D_i-1，计算参与方U_i的中间聚合子密钥D_i＝D_i-1·d_i(i＝2,3,…,m-1)，并将D_i用参与方U_i+1的公钥PK_i+1加密得到SM2_En(PK_i+1,D_i)，将SM2_En(PK_i+1,D_i)发送给服务器S，再通过服务器S将SM2_En(PK_i+1,D_i)发送给参与方U_i+1；

S310、通过参与方U_m用私钥d_m解密得到D_m-1，计算中间聚合密钥D＝D_m＝D_m-1·d_m，并将D用服务器S的公钥PK_S加密得到SM2_En(PK_S,D_m)，将SM2_En(PK_S,D_m)发送给服务器S；

S311、通过服务器S用私钥d_S解密得到D，计算Q＝(K₁+K₂+…+K_m+r)·D，并将Q用参与方U₁的公钥PK₁加密得到SM2_En(PK₁,D_i)，将SM2_En(PK₁,D_i)发送给参与方U₁；

S312、通过参与方U₁用私钥d₁解密得到Q，计算协同签名的另一部分签名

当s＝0mod n时，返回步骤S31，否则进入步骤S313；

S313、通过参与方U₁生成对明文M的完整签名(s,r)，并将签名(s,r)发送给签名验证者V。

5.根据权利要求4所述的基于SM2算法的多方协同数字签名方法，其特征在于，所述步骤S4的具体步骤为：

S41、通过签名验证者V接收到协同签名(s',r')；

S42、通过签名验证者V检验s'∈[1,n-1]是否成立，若不成立，则签名不通过，若成立则进入步骤S43；

S43、通过签名验证者V检验r'∈[1,n-1]是否成立，若不成立，则签名不通过，若成立则进入步骤S44；

S44、通过签名验证者V计算第一个验签参数t＝s'+r'，如果t＝0mod n，则签名不通过，否则进入步骤S45；

S45、通过签名验证者V计算消息以及参数摘要e'＝Hash(Z||M')；

S46、通过签名验证者V计算椭圆曲线点(x',y')；

S47、通过签名验证者V计算第二个验签参数R＝e'+x'，检验R＝r'是否成立，若成立，则签名验证通过，使用签名(s,r)，若不成立，则签名验证不通过。

6.根据权利要求5所述的基于SM2算法的多方协同数字签名方法，其特征在于，所述步骤S46中椭圆曲线点(x',y')的计算公式为：

(x',y')＝s'G+tP。

Images