[发明专利]SM9数字签名分离交互生成方法及系统

权利要求书

1.一种SM9数字签名分离交互生成方法，其特征是：

所述方法涉及两个分别标号为第1号和第2号的装置；两个装置分别保存有[1,n-1]区间内的整数秘密c₁,c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶，c_i是第i号装置保存的秘密，i＝1,2；

在初始化阶段预先计算得到：

P_A＝[(c₁c₂)^-1]d_A，其中d_A是用户的身份标识ID_A所对应的SM9标识私钥，(c₁c₂)^-1为(c₁c₂)mod n的模n乘法逆；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成：

首先，两个装置通过交互计算得到w＝g^(r₁r₂)或者w＝g^(r₁+r₂)，其中r₁是第1号装置在[1,n-1]区间内随机选择的整数，r₂是第2号装置在[1,n-1]区间内随机选择的整数，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

然后，第1号装置计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

第1号装置检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

第1号装置取S₀＝P_A，S₁＝[r₁]P_A或者取S₀＝[(r₁)^-1]P_A，S₁＝P_A，将S₀、S₁发送给第2号装置；

第2号装置接收到S₀、S₁后，按如下方式进行S₂的计算：

若w的计算式是w＝g^(r₁r₂)，则S₂＝[c₂r₂]S₁+[-c₂h]S₀；

若w的计算式是w＝g^(r₁+r₂)，则S₂＝[c₂]S₁+[c₂(r₂-h)]S₀；

第2号装置将S₂发送给第1号装置；

第1号装置接收到S₂后按如下方式计算S：

若第1号装置之前取S₀＝P_A，则S＝[c₁]S₂；

若第1号装置之前取S₀＝[(r₁)^-1]P_A，则S＝[c₁r₁]S₂；

然后第1号装置利用用户的身份标识ID_A、消息M，验证(h,S)作为消息M的数字签名的有效性，若有效，则(h,S)为生成的针对消息M的数字签名，否则，第1号装置报错，或者两个装置重新生成数字签名。