[发明专利]一种抗能量分析攻击的基于SM2算法的两方协同签名方法

权利要求书

1.一种抗能量分析攻击的基于SM2的两方协同签名方法，其特征在于，该方法包括以下步骤：

(1)用户A、第一通信方和第二通信方共同商议产生签名过程所需的公开参数，所述的公开参数包括SM2算法的椭圆曲线相关参数q、F_q、E、G、n和一个消息摘要长度为v比特的安全密码杂凑函数Hv()，其中n和q是两个长度满足通信安全要求的大素数，F_q是一个包含q个元素的有限域，E是定义Fq上的一条椭圆曲线，G是阶为n的椭圆曲线上的一个基点；

(2)第一通信方和第二通信方分别生成各自子密钥并协同生成用户A的公钥，包括以下步骤：

(2-1)第一通信方生成一个随机数d₁，d₁∈[1,n-1]，并将该随机数d₁作为第一通信方的子私钥，根据随机数d₁，计算椭圆曲线点P₁，P₁＝d₁[*]G，将椭圆曲线点P₁作为第一通信方的子公钥，其中“[*]”表示椭圆曲线上的点乘运算，得到第一通信方的密钥对(d₁,P₁)，第一通信方将子公钥P₁发送给第二通信方；

(2-2)第二通信方产生随机数d₂，d₂∈[1,n-1]，并将该随机数d₂作为第二通信方的子私钥，根据随机数d₂，计算椭圆曲线点P₂，P₂＝d₂[*]G，将椭圆曲线点P₂作为第二通信方的子公钥，其中“[*]”表示椭圆曲线上的点乘运算，得到第二通信方的密钥对(d₂,P₂)；同时第二通信方根据随机数d₂和来自第一通信方的子公钥P₁，计算椭圆曲线上的一个点P_A'，P_A'＝d₂[*]P₁-G，其中“[*]”表示椭圆曲线上的点乘运算，“-”表示椭圆曲线上的减法运算，第二通信方将子公钥P₂和P_A'发送给第一通信方；

(2-3)第一通信方根据步骤(2-1)的子私钥d₁和步骤(2-2)中的来自第二通信方的子公钥P₂，计算椭圆曲线上的一个点P_A，P_A＝d₁[*]P₂[-]G，其中“[*]”表示椭圆曲线上的点乘运算，“[-]”表示椭圆曲线上的减法运算；第一通信方对来自第二通信方的P_A'进行验证，若P_A等于P_A'，则将P_A作为用户A的公钥，若P_A不等于P_A'，则用户A的公钥生成失败；

(3)第一通信方和第二通信方进行协同签名，包括以下步骤：

(3-1)第一通信方计算用户A的待签名消息M的消息摘要e；

(3-2)第一通信方产生随机数k₁，k₁∈[1,n-1]，并根据第二通信方公钥P₂和随机数k₁计算椭圆曲线上的点Q₁，Q₁＝k₁[*]P₂，其中“[*]”表示椭圆曲线上的点乘运算，第一通信方将步骤(3-1)的用户A的待签名消息M的消息摘要e和Q₁发送给第二通信方；

(3-3)第二通信方对来自第一通信方的Q₁进行验证，若Q₁满足与用户A、第一通信方和第二通信方在步骤(1)共同商议选定的椭圆曲线方程时，进行步骤(3-4)，若Q₁不满足步骤(1)选定的椭圆曲线方程，则协同签名失败；

(3-4)第二通信方产生随机数k₂，k₂∈[1,n-1]，第二通信方根据用户A的待签名消息M的消息摘要e、来自第一通信方的Q₁和本步骤的k₂生成部分签名值r；

(3-5)第二通信方根据第二通信方的子私钥d₂，计算d₂在F_q上的逆元d₂^-1，第二通信方根据d₂^-1、步骤(3-4)的部分签名值r和本步骤的k₂计算签名中间值s₁，s₁＝d₂^-1×(r+k₂)mod n，其中“×”表示有限域上的数乘运算，“+”表示有限域上的加法运算，mod表示有限域上的求模运算，第二通信方根据步骤(3-6)的k₂对r的有效性进行验证，若r不等于0且r+k₂不等于n，则第二通信方将部分签名r和签名中间值s₁发给第一通信方，进行步骤(3-6)，若r等于0或r+k₂等于n，则协同签名失败；

(3-6)第一通信方根据步骤(3-2)的k₁对来自第二通信方的s₁进行验证，若k₁+s₁不等于n，则进行步骤(3-7)，若k₁+s₁等于n，则协同签名失败，其中“+”表示有限域上的加法运算；

(3-7)第一通信方根据第一通信方的子私钥d₁，计算d₁在F_q上的逆元d₁^-1，根据d₁^-1、步骤(3-2)选取的k₁以及来自第二通信方的s₂，计算s，s＝d₁^-1×(k₁+s₁)-r mod n，其中“×”表示有限域上，的数乘运算，“+”表示有限域上的加法运算，“-”表示有限域上的减法运算，mod表示有限域上的求模运算，并对s进行验证，若s不等于0且s+r不等于n，则进行步骤(3-8)，若s等于0或s+r等于n，则协同签名失败；

(3-8)第一通信方使用用户A的公钥P_A，对签名结果(r,s)进行验证，若(r,s)是用户A待签名消息M的签名，则输出协同签名结果(r,s)，若(r,s)不是用户A待签名消息M的签名，则协同签名失败。