[发明专利]一种SM2数字签名生成方法及系统

权利要求书

1.一种SM2数字签名生成方法，其特征在于，所述方法包括：

第一终端从集合{1,2,…,n-1}中选取两个整数x₁和k₁，并将所述x₁作为第一部分私钥，将所述k₁作为第一随机数，其中，所述n为SM2密码运算所使用的椭圆曲线点群的阶；

第二终端从所述集合{1,2,…,n-1}中选取两个整数x₂和k₂，将所述x₂作为第二部分私钥，将所述k₂作为第二随机数；

所述第一终端根据所述第一部分私钥x₁计算出第一部分公钥Q₁，并将所述第一部分公钥Q₁发送至所述第二终端；

所述第二终端根据所述第二部分私钥x₂计算出第二部分公钥Q₂，并将所述第二部分公钥Q₂发送至所述第一终端；

所述第一终端接收所述第二终端发送的第二部分公钥Q₂，并根据所述第二部分公钥Q₂，获得目标公钥Q；

所述第二终端接收所述第一终端发送的第一部分公钥Q₁，并根据所述第一部分公钥Q₁，获得目标公钥Q；

所述第一终端根据所述第一随机数k₁获得第一临时公钥R₁和密文C_key，并将所述第一临时公钥R₁和所述密文C_key发送至所述第二终端；

所述第二终端根据所述第二随机数k₂计算出第二临时公钥R₂，根据接收到的所述第一临时公钥R₁和所述密文C_key计算出待解密密文C，并将所述第二临时公钥R₂以及所述待解密密文C发送至所述第一终端；

所述第一终端根据所述第二临时公钥R₂计算出第一部分签名r，并对接收到的所述待解密密文C进行解密，根据解密结果计算出第二部分签名s；

所述第一终端根据所述第一部分签名r及所述第二部分签名s生成目标数字签名，并通过所述目标公钥Q对所述目标数字签名进行验证，在验证成功后，输出所述目标数字签名；

其中，

所述第一终端根据所述第一部分私钥x₁计算出第一部分公钥Q₁，并将所述第一部分公钥Q₁发送至所述第二终端，具体包括：

所述第一终端根据所述第一部分私钥x₁，通过公式(1)计算出所述第一部分公钥Q₁；

Q₁＝x₁·G 公式(1)

将所述第一部分公钥Q₁发送至第二终端，所述“·”为乘号，所述G为SM2密码运算所使用的椭圆曲线点群的基点；

相应地，所述第二终端根据所述第二部分私钥x₂计算出第二部分公钥Q₂，并将所述第二部分公钥Q₂发送至所述第一终端，具体包括：

所述第二终端根据所述第二部分私钥x₂，通过公式(2)计算出所述第二部分公钥Q₂；

Q₂＝x₂·G 公式(2)

将所述第二部分公钥Q₂发送至所述第一终端

所述第一终端接收所述第二终端发送的第二部分公钥Q₂，并根据所述第二部分公钥Q₂，获得目标公钥Q，具体包括：

所述第一终端接收所述第二终端发送的所述第二部分公钥Q₂；

根据所述第一部分私钥x₁及所述第二部分公钥Q₂，通过公式(3)计算出所述目标公钥Q，并对所述第一部分私钥x₁和所述目标公钥Q进行保存；

Q＝x₁·Q₂-G 公式(3)

相应地，所述第二终端接收所述第一终端发送的第一部分公钥Q₁，并根据所述第一部分公钥Q₁，获得目标公钥Q，具体包括：

所述第二终端接收所述第一终端发送的第一部分公钥Q₁；

根据所述第二部分私钥x₂及所述第一部分公钥Q₁，通过公式(4)计算出所述目标公钥Q；

Q＝x₂·Q₁-G 公式(4)

对所述第二部分私钥x₂和所述目标公钥Q进行保存

所述第一终端根据所述第一随机数k₁获得第一临时公钥R₁和密文C_key，并将所述第一临时公钥R₁和所述密文C_key发送至所述第二终端，具体包括：

所述第一终端根据所述第一随机数k₁，通过公式(5)计算出所述第一临时公钥R₁；

R₁＝k₁·G 公式(5)

采用同态加密算法对所述第一随机数k₁进行加密，获得密文C_key，将所述第一临时公钥R₁和所述密文C_key发送至所述第二终端；

其中，所述C_key＝Enc_pk(k₁)，下标pk表示所述第一终端通过同态加密算法生成的公钥pk，所述Enc_pk表示通过所述公钥pk进行加密运算所述第二终端根据所述第二随机数k₂计算出第二临时公钥R₂，根据接收到的所述第一临时公钥R₁和所述密文C_key计算出待解密密文C，并将所述第二临时公钥R₂以及所述待解密密文C发送至所述第一终端，具体包括：

所述第二终端根据所述第二随机数k₂，通过公式(6)计算出第二临时公钥R₂；

R₂＝k₂·G 公式(6)

根据所述第二随机数k₂及所述第一临时公钥R₁，通过公式(7)计算出临时目标公钥R；

R＝k₂·R₁ 公式(7)

获得所述临时目标公钥R对应的坐标(r_x，r_y)，并通过公式(8)计算出所述第一部分签名r；

r＝r_x+e mod n 公式(8)

其中，所述mod n为模n运算，所述e为待签名消息对应的哈希值；

根据公式(9)计算出中间变量γ，

其中，所述为所述第二部分私钥x₂的模n乘法逆；

根据所述中间变量γ和所述密文C_key，通过公式(10)计算出第二密文C₂；

其中，所述γ⊙C_key为所述密文C_key与所述中间变量γ进行乘运算；

选取满足预设条件的整数ρ，通过公式(11)计算出第一密文C₁；

根据所述第一密文C₁和所述第二密文C₂，通过公式(12)计算出所述待解密密文C；

其中，所述为所述第一密文C₁与所述第二密文C₂进行加运算；

将所述第二临时公钥R₂以及所述待解密密文C发送至所述第一终端

所述第一终端根据所述第二临时公钥R₂计算出第一部分签名r，并对接收到的所述待解密密文C进行解密，根据解密结果计算出第二部分签名s，具体包括：

所述第一终端根据所述第二临时公钥R₂,通过公式(13)计算出所述临时目标公钥R；

R＝k₁·R₂ 公式(13)

获得所述临时目标公钥R对应的坐标(r_x，r_y)，并通过公式(14)计算出所述第一部分签名r

r＝r_x+e mod n 公式(14)

根据所述第一部分签名r，通过公式(15)对所述待解密密文C进行解密，获得解密结果S′；

其中，下标sk表示所述第一终端通过同态加密算法生成的私钥sk，所述Dec_sk表示通过所述私钥sk进行解密运算，所述解密结果

根据所述解密结果s′，通过公式(16)计算出所述第二部分签名s；

其中，所述为所述第一部分私钥x₁的模n乘法逆。

2.一种SM2数字签名生成系统，其特征在于，所述系统包括：第一终端和第二终端；

所述第一终端，用于从集合{1,2,…,n-1}中选取两个整数x₁和k₁，并将所述x₁作为第一部分私钥，将所述k₁作为第一随机数，其中，所述n为SM2密码运算所使用的椭圆曲线点群的阶；

所述第二终端，用于从所述集合{1,2,…,n-1}中选取两个整数x₂和k₂，将所述x₂作为第二部分私钥，将所述k₂作为第二随机数；

所述第一终端，还用于根据所述第一部分私钥x₁计算出第一部分公钥Q₁，并将所述第一部分公钥Q₁发送至所述第二终端；

所述第二终端，还用于根据所述第二部分私钥x₂计算出第二部分公钥Q₂，并将所述第二部分公钥Q₂发送至所述第一终端；

所述第一终端，还用于接收所述第二终端发送的第二部分公钥Q₂，并根据所述第二部分公钥Q₂，获得目标公钥Q；

所述第二终端，还用于接收所述第一终端发送的第一部分公钥Q₁，并根据所述第一部分公钥Q₁，获得目标公钥Q；

所述第一终端，还用于根据所述第一随机数k₁获得第一临时公钥R₁和密文C_key，并将所述第一临时公钥R₁和所述密文C_key发送至所述第二终端；

所述第二终端，还用于根据所述第二随机数k₂计算出第二临时公钥R₂，根据接收到的所述第一临时公钥R₁和所述密文C_key计算出待解密密文C，并将所述第二临时公钥R₂以及所述待解密密文C发送至所述第一终端；

所述第一终端，还用于根据所述第二临时公钥R₂计算出第一部分签名r，并对接收到的所述待解密密文C进行解密，根据解密结果计算出第二部分签名s；

所述第一终端，还用于根据所述第一部分签名r及所述第二部分签名s生成目标数字签名，并通过所述目标公钥Q对所述目标数字签名进行验证，在验证成功后，输出所述目标数字签名所述第一终端，还用于根据所述第一部分私钥x₁，通过公式(1)计算出所述第一部分公钥Q₁；

Q₁＝x₁·G 公式(1)

所述第一终端，还用于将所述第一部分公钥Q₁发送至第二终端，所述“·”为乘号，所述G为SM2密码运算所使用的椭圆曲线点群的基点；

相应地，所述第二终端，还用于根据所述第二部分私钥x₂，通过公式(2)计算出所述第二部分公钥Q₂；

Q₂＝x₂·G 公式(2)

所述第二终端，还用于将所述第二部分公钥Q₂发送至所述第一终端

所述第一终端，还用于接收所述第二终端发送的所述第二部分公钥Q₂；

所述第一终端，还用于根据所述第一部分私钥x₁及所述第二部分公钥Q₂，通过公式(3)计算出所述目标公钥Q，并对所述第一部分私钥x₁和所述目标公钥Q进行保存；

Q＝x₁·Q₂-G 公式(3)

相应地，所述第二终端，还用于接收所述第一终端发送的第一部分公钥Q₁；

所述第二终端，还用于根据所述第二部分私钥x₂及所述第一部分公钥Q₁，通过公式(4)计算出所述目标公钥Q；

Q＝x₂·Q₁-G 公式(4)

所述第二终端，还用于对所述第二部分私钥x₂和所述目标公钥Q进行保存；

所述第一终端，还用于根据所述第一随机数k₁，通过公式(5)计算出所述第一临时公钥R₁；

R₁＝k₁·G 公式(5)

所述第一终端，还用于采用同态加密算法对所述第一随机数k₁进行加密获得密文C_key，将所述第一临时公钥R₁和所述密文C_key发送至所述第二终端；其中，所述C_key＝Enc_pk(k₁)，下标pk表示所述第一终端通过同态加密算法生成的公钥pk，所述Enc_pk表示通过所述公钥pk进行加密运算

所述第二终端，还用于根据所述第二随机数k₂，通过公式(6)计算出第二临时公钥R₂；

R₂＝k₂·G 公式(6)

所述第二终端，还用于根据所述第二随机数k₂及所述第一临时公钥R₁，通过公式(7)计算出临时目标公钥R；

R＝k₂·R₁ 公式(7)

所述第二终端，还用于获得所述临时目标公钥R对应的坐标(r_x，r_y)，并通过公式(8)计算出所述第一部分签名r；

r＝r_x+e mod n 公式(8)

其中，所述mod n为模n运算，所述e为待签名消息对应的哈希值；

所述第二终端，还用于根据公式(9)计算出中间变量γ，

其中，所述为所述第二部分私钥x₂的模n乘法逆；

所述第二终端，还用于根据所述中间变量γ和所述密文C_key，通过公式(10)计算出第二密文C₂；

其中，所述γ⊙C_key为所述密文C_key与所述中间变量γ进行乘运算；

所述第二终端，还用于选取满足预设条件的整数ρ，通过公式(11)计算出第一密文C₁；

所述第二终端，还用于根据所述第一密文C₁和所述第二密文C₂，通过公式(12)计算出所述待解密密文C；

其中，所述为所述第一密文C₁与所述第二密文C₂进行加运算；

所述第二终端，还用于将所述第二临时公钥R₂以及所述待解密密文C发送至所述第一终端；

所述第一终端，还用于根据所述第二临时公钥R₂,通过公式(13)计算出所述临时目标公钥R；

R＝k₁·R₂ 公式(13)

所述第一终端，还用于获得所述临时目标公钥R对应的坐标(r_x，r_y)，并通过公式(14)计算出所述第一部分签名r

r＝r_x+e mod n 公式(14)

所述第一终端，还用于根据所述第一部分签名r，通过公式(15)对所述待解密密文C进行解密，获得解密结果S′；

其中，下标sk表示所述第一终端通过同态加密算法生成的私钥sk，所述Dec_sk表示通过所述私钥sk进行解密运算，所述解密结果

所述第一终端，还用于根据所述解密结果s′，通过公式(16)计算出所述第二部分签名s；

其中，所述为所述第一部分私钥x₁的模n乘法逆。