CN113556233A - 一种支持批验证的sm9数字签名方法 - Google Patents

Abstract

本发明公开一种支持批验证的SM9数字签名方法，在不改变SM9数字签名算法整体架构的基础上，对签名生成算法进行优化，使单签名者生成的多个签名支持签名的批验证。验证者能一次验证由单签名者生成的多个签名，不需要对签名逐个验证，有效提高了签名的验证效率，进一步拓宽SM9数字签名算法在实际中的应用。

Description

一种支持批验证的SM9数字签名方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种支持批验证的SM9数字签名方法。

背景技术

数字签名是一种用于鉴定签名者和签名消息有效性的密码安全技术，通过验证签名保证签名者身份的真实性和不可抵赖性，同时检验消息在传输过程中是否遭到篡改，确保消息的完整性和真实性。数字签名是公钥密码体系中的一个重要研究领域，在云计算、物联网、区块链等应用中得到广泛使用。

消息签名的有效性验证需要消耗一定的计算资源，当需要验证多个消息签名时，采用逐个验证的方法会消耗较多的计算资源，不适用于计算资源有限的应用场景。此外，多个签名的验证耗时较大，不满足车联网等应用的需求。在这种亟需提高多个签名验证效率的背景下，支持批验证的签名孕育而生。为实现密码自主可控，保障网络与信息安全，我国自主设计了SM9数字签名算法并成为了国际标准。然而，由于SM9签名算法结构的特殊性，该算法并不支持批验证，严重阻碍了SM9数字签名算法的应用。

发明内容

本发明的目的在于提供一种支持批验证的SM9数字签名方法，在不改变SM9数字签名的整体架构上，对签名算法进行优化，使其支持单个签名者生成签名的批验证，与签名逐个验证的方法相比，签名验证效率提高了约50％。

本发明采用的技术方案是：

一种支持批验证的SM9数字签名方法，包括步骤：

S1、密钥生成中心生成密钥生成中心的主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥；

S2、密钥生成中心利用主公私钥对生成签名者的签名密钥，将签名密钥通过安全信道发送给签名者；

S3、签名者基于待签名的消息，利用密钥生成中心生成的签名密钥和密钥生成中心的主公钥生成签名；

S4、验证算法基于消息签名、签名者的标识和密钥生成中心的主公钥，验证签名的有效性；

S5、批验证算法基于单签名者生成的多个消息签名、签名者标识和密钥生成中心的主公钥，批量验证多个签名的有效性。

本发明的有益效果在于：SM9数字签名算法作为我国的商用密码算法，具有强安全性和高效率性，常用于保护数据的完整性，得到了广泛的应用。但是，当需要验证多个消息签名时，只能逐个验证，无法实现签名的批量验证，计算开销较大，而且验证时间较长，效率低下，无法满足物联网等应用的新需求，限制了SM9数字签名算法的部署。

本发明在不改变SM9数字签名算法整体架构的基础上，对消息签名生成算法进行优化，使其能批量验证单个签名者生成的多个签名。即，当需要验证由某个签名者生成的多个消息签名的有效性时，不需要逐个签名验证，而是同时验证多个签名的有效性。该方法不仅降低了计算开销，而且减少了验证时间，有效提高了签名的验证效率，有助于促进SM9数字签名算法的应用。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为一种支持批验证的SM9数字签名方法流程图；

图2为签名算法流程示意图；

图3为签名验证算法流程示意图；

图4为签名批验证算法流程示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。本发明最关键的构思在于：由单个签名者生成的多个SM9消息签名可实现批量验证。

如图1至图4之一所示，本发明公开了一种支持批验证的SM9数字签名方法，其包括步骤：

S1、密钥生成中心生成密钥生成中心的主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥；

S2、密钥生成中心利用主公私钥对生成签名者的签名密钥，将签名密钥通过安全信道发送给签名者；

S3、签名者基于待签名的消息，利用密钥生成中心生成的签名密钥和密钥生成中心的主公钥生成签名；

S4、验证算法基于消息签名、签名者的标识和密钥生成中心的主公钥，验证签名的有效性；

S5、批验证算法基于单签名者生成的多个消息签名、签名者标识和密钥生成中心的主公钥，批量验证多个签名的有效性。

进一步的，所述步骤S1具体包括：

首先选取双线性群BP＝(G₁,G₂,G_T,e,N)，群G₁和群G₂的生成元分别为P₁和P₂。产生随机数α∈[1,N-1]作为主私钥，计算G₂中的元素P_pub＝αP₂，计算G_T中的元素g＝e(P₁,P_pub)。选择并公开用一个字节表示的签名密钥生成函数识别符hid；

其中，

BP：双线性群；

N：循环群G₁,G₂,G_T的阶，且N＞2¹⁹¹的素数；

G₁：阶为素数N的加法循环群；

G₂：阶为素数N的加法循环群；

G_T：阶为素数N的乘法循环群；

e：从G₁×G₂到G_T的双线性映射；

α：主私钥；

[1，N-1]，

：不小于1且不大于N-1的整数集合；

P₁：群G₁的生成元；

P₂：群G₂的生成元；

P_pub：群G₂中的元素；

g：群G_T中的元素；

hid：用一个字节表示的签名密钥生成函数识别符，由密钥生成中心选择并公开。

所述步骤S2中密钥生成中心为签名者生成签名密钥具体包括：

为产生签名者的签名密钥sk，首先在有限域F_N上计算非零元素t₁＝H₁(ID||hid,N)+α，计算t₂＝α·t₁ ^-1，然后计算签名者的签名密钥sk＝t₂·P₁；

其中，

ID：签名者的标识，可以唯一确定签名者的公钥；

sk：签名者的签名密钥，属于群G₁中的元素；

F_N：有限域；

ID||hid：ID与hid的拼接，其中ID和hid是比特串或字节串；

t₁：临时变量，属于有限域F_N中的元素；

t₂：临时变量，属于有限域F_N中的元素；

H₁(ID||hid,N)：

到

由密码杂凑函数派生的密码函数。

所述步骤S3中签名者生成数字签名具体包括：

产生随机数r∈[1,N-1]，计算C＝r·P₁，w＝g^r，h＝H₂(M||w,N)，

，

并输出签名σ＝(C,S)；

其中，

r：[1，N-1]中的随机数；

M：待签名的消息；

C：临时变量，属于群G₁中的元素；

w：临时变量，属于群G_T中的元素；

h：临时变量，属于有限域F_N中的整数；

H₂(M||w,N)：{0,1}^*×G_T到

的由密码杂凑函数派生的密码函数；

：临时变量，属于有限域F_N中的整数；

S：临时变量，属于群G₁中的元素；

σ：消息M的签名。

所述步骤S4中签名验证具体包括：

假设待验证的消息签名为(σ,M,ID)，其中σ＝(C,S)。验证者首先计算w＝e(C,P_pub)，h'＝H₂(M||w',N)，P＝H₁(ID||hid,N)P₂+P_pub，u＝e(S,P)，w'＝u·g^h'。接着验证w'＝w是否成立，若不成立则输出该签名无效，否则输出该签名是有效签名；

其中，

h'：临时变量，属于有限域F_N中的整数；

P：临时变量，属于群G₂中的元素；

u：临时变量，属于群G_T中的元素；

w'：临时变量，属于群G_T中的元素。

所述步骤S5中签名批验证具体包括：

假设由签名者ID生成的n个待验证的消息签名为(σ_i,M_i)，其中σ_i＝(C_i,S_i)，i＝1,2,…,n。验证者对任意的i＝1,2,…,n，计算w_i＝e(C_i,P_pub)，h_i＝H₂(M_i||w_i,N)，接着，验证

是否成立。若成立，则表示该n个签名对是有效的，否则至少存在一个签名是无效的；

其中，

n：正整数，表示待验证签名的个数；

M_i：待验证的消息；

σ_i：标识为ID的签名者对消息M_i的签名；

w_i：临时变量，属于群G_T中的元素；

h_i：临时变量，属于有限域F_N中的整数。

SM9签名的批验证过程具体如下：

此处对公式计算中需要说明的是：

假设G₁，G₂，G_T均是阶为大素数N的循环群，P₁，P₂分别是群G₁，G₂的生成元，Z_N为包含N个元素的整数域，双线性群BP由五元组(G₁,G₂,G_T,e,N)组成。其中映射e:G₁×G₂→G_T为双线性映射，满足以下3个条件：

(1)双线性性：对任意的生成元P₁∈G₁，P₂∈G₂和

都有e(aP₁,bP₂)＝e(P₁,P₂)^ab；

(2)非退化性：至少存在元素P∈G₁,Q∈G₂满足e(P,Q)≠1；

(3)可计算性：对于任意的P∈G₁,Q∈G₂，存在多项式时间算法高效计算e(P,Q)。

本发明在不改变SM9数字签名算法整体架构的基础上，对消息签名生成算法进行优化，使其支持多个签名的批验证。该技术不仅降低了计算开销，还减少了签名验证时间，有效提高了签名验证的效率，有助于进一步拓宽SM9数字签名算法的应用。

显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

Claims (6)

1.一种支持批验证的SM9数字签名方法，其特征在于：其包括以下步骤：

S1、密钥生成中心生成密钥生成中心的主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥；

S2、密钥生成中心利用主公私钥对生成签名者的签名密钥，将签名密钥通过安全信道发送给签名者；

S3、签名者基于待签名的消息，利用密钥生成中心生成的签名密钥和密钥生成中心的主公钥生成签名；

S4、验证算法基于消息签名、签名者的标识和密钥生成中心的主公钥，验证签名的有效性；

S5、批验证算法基于单签名者生成的多个消息签名、签名者标识和密钥生成中心的主公钥，批量验证多个签名的有效性。

2.根据权利要求1所述的一种支持批验证的SM9数字签名方法，其特征在于，所述步骤S1具体包括：

S1-1，选取双线性群BP＝(G₁,G₂,G_T,e,N)，群G₁和群G₂的生成元分别为P₁和P₂；

S1-2，产生随机数α∈[1,N-1]作为主私钥，计算G₂中的元素P_pub＝αP₂，计算G_T中的元素g＝e(P₁,P_pub)；

S1-3，选择并公开用一个字节表示的签名密钥生成函数识别符hid；

其中，BP表示双线性群；N表示循环群G₁,G₂,G_T的阶，且N＞2¹⁹¹的素数；G₁表示阶为素数N的加法循环群；G₂表示阶为素数N的加法循环群；G_T表示阶为素数N的乘法循环群；e表示从G₁×G₂到G_T的双线性映射；α表示主私钥；[1，N-1]，

为不小于1且不大于N-1的整数集合；P₁表示群G₁的生成元；P₂表示群G₂的生成元；P_pub表示群G₂中的元素；g表示群G_T中的元素；hid表示用一个字节表示的签名密钥生成函数识别符，由密钥生成中心选择并公开。

3.根据权利要求1所述的一种支持批验证的SM9数字签名方法，其特征在于，所述步骤S2中密钥生成中心为签名者生成签名密钥具体包括：

S2-1，在有限域F_N上计算非零元素t₁＝H₁(ID||hid,N)+α，计算t₂＝α·t₁ ^-1，

S2-2:计算签名者的签名密钥sk＝t₂·P₁；

其中，ID表示签名者的标识，可以唯一确定签名者的公钥；sk表示签名者的签名密钥，属于群G₁中的元素；F_N表示有限域；ID||hid表示ID与hid的拼接，其中ID和hid是比特串或字节串；t₁表示临时变量，属于有限域F_N中的元素；t₂表示临时变量，属于有限域F_N中的元素；H₁(ID||hid,N)表示

到

由密码杂凑函数派生的密码函数。

4.根据权利要求1所述的一种支持批验证的SM9数字签名方法，其特征在于，所述步骤S3中签名者生成数字签名具体包括：

S3-1,产生随机数r∈[1,N-1]，

S3-2,计算C＝r·P₁、w＝g^r、h＝H₂(M||w,N)、l＝(r-h)modN和S＝lsk，

S3-3，最后输出签名σ＝(C,S)；

其中，r表示[1,N-1]中的随机数；M表示待签名的消息；C表示临时变量，属于群G₁中的元素；w表示临时变量，属于群G_T中的元素；h表示临时变量，属于有限域F_N中的整数；H₂(M||w,N)表示{0,1}^*×G_T到

的由密码杂凑函数派生的密码函数；l表示临时变量，属于有限域F_N中的整数；S表示临时变量，属于群G₁中的元素；σ表示消息M的签名。

5.根据权利要求1所述的一种支持批验证的SM9数字签名方法，其特征在于，所述步骤S4中签名验证具体包括：

S4-1，设定待验证的消息签名为(σ,M,ID)，其中σ＝(C,S)；

S4-2，验证者计算w＝e(C,P_pub)，h'＝H₂(M||w',N)，P＝H₁(ID||hid,N)P₂+P_pub，u＝e(S,P)，w'＝u·g^h'；

S4-3，验证w'＝w是否成立；当验证等式不成立时，则输出该签名无效；否则，输出该签名是有效签名；

其中，h'表示临时变量，属于有限域F_N中的整数；P表示临时变量，属于群G₂中的元素；u表示临时变量，属于群G_T中的元素；w'表示临时变量，属于群G_T中的元素。

6.根据权利要求1所述的一种支持批验证的SM9数字签名方法，其特征在于，所述步骤S5中签名批验证具体包括：

S5-1，设定由签名者ID生成的n个待验证的消息签名为(σ_i,M_i)，其中σ_i＝(C_i,S_i)，i＝1,2,…,n；

S5-2，验证者对任意的i＝1,2,…,n，计算w_i＝e(C_i,P_pub)，h_i＝H₂(M_i||w_i,N)，

S5-3，验证

是否成立；当成立时表示该n个签名对是有效的；当不成立时至少存在一个签名是无效的；

其中，n表示正整数，表示待验证签名的个数；M_i表示待验证的消息；σ_i表示标识为ID的签名者对消息M_i的签名；w_i表示临时变量，属于群G_T中的元素；h_i表示临时变量，属于有限域F_N中的整数。

Images