[发明专利]一种主动安全的SM2数字签名两方生成方法

权利要求书

1.一种主动安全的SM2数字签名两方生成方法，其步骤包括：

1)参与方P₁生成部分私钥d₁并存储，参与方P₂生成部分私钥d₂并存储，然后参与方P₁、参与方P₂通过密钥交换的方式产生用户公钥Y；其中，参与方P₁为客户端，参与方P₂为服务器端；其中生成用户公钥Y的方法为：11)参与方P₁在[1，n-1]之间选择一个随机数d₁，计算部分公钥Y₁＝d₁·G；12)参与方P₂在[1，n-1]之间选择一个随机数d₂，计算部分公钥Y₂＝d₂·G；13)参与方P₁将Y₁发给参与方P₂；14)参与方P₂检查如果Y₁＝O，则终止；15)参与方P₂计算Y＝d₂·Y₁-G，如果Y＝O，则参与方P₂返回到步骤12)；否则，将Y作为用户公钥输出；16)参与方P₂将Y₂发给参与方P₁；17)参与方P₁计算Y′＝d₁·Y₂-G，如果Y′≠Y或者Y′＝O，则终止；否则，参与方P₁储存Y作为SM2签名算法的用户公钥；

2)参与方P₁随机产生临时私钥k₁，计算临时公钥R₁＝k₁·G，并将R₁发给参与方P₂；G表示椭圆曲线E上n阶的基点；

3)参与方P₂随机产生临时私钥k₂₁、k₂₂，计算临时公钥R₂₁＝k₂₁·G，R₂₂＝k₂₂·G，并将R₂₁和R₂₂发给参与方P₁；

4)参与方P₁和参与方P₂分别根据各自的临时私钥计算出一个共同的证据值R；其中计算所述证据值R的方法为：31)参与方P₁，P₂分别计算出一相同的杂凑值Z；32)参与方P₁在[1，n-1]之间选择一个k₁作为临时私钥，并计算临时公钥R₁＝k₁·G；并将R₁发给参与方P₂；33)参与方P₂在[1，n-1]之间选择随机数k₂₁，k₂₂作为临时私钥，计算临时公钥R₂₁＝k₂₁·G，R₂₂＝k₂₂·G；34)参与方P₂计算(x₀，y₀)＝R＝(k₂₁+x·k₂₂)·R₁+R₂₂，其中x＝h(R₁||R₂₁||R₂₂)，并计算r＝x₀+h(Z||m)mod n，h是值域为有限域的哈希函数；35)参与方P₂检查R、r的值，如果R＝O或者r＝0，则返回步骤33)；否则，将R₂₁，R₂₂发给P₁；36)参与方P₁计算x＝(R₁||R₂₁||R₂₂)，(x₀，y₀)＝R＝k₁·(R₂₁+x·R₂₂)+R₂₂，r＝x₀+h(Z||m)mod n；37)参与方P₁检查R、r的值，如果R＝O或者r＝0，则终止；

5)参与方P₂根据临时私钥k₂₁，k₂₂和部分私钥d₂，计算待签名消息m的部分签名s₁和s₂，并将s₁，s₂发给参与方P₁；其中计算待签名消息m的部分签名s₁和s₂的方法为：如果s₁＝0或者s₂＝0，则重新执行步骤33)～35)；

6)参与方P₁根据部分签名s₁，s₂和部分私钥d₁以及部分临时私钥k₁，计算将(r，s)作为该消息m的完整签名并验证其有效性，如果验证成功，则输出该完整签名。