[发明专利]一种可秘密共享的隐藏身份SM2签名私钥产生装置及其方法

说明书

本发明公开了一种可秘密共享的隐藏身份SM2签名私钥产生装置及其方法，本发明属于密码工程领域，用于解决移动互联网隐私数据保护难题及在线查询证书难题。本发明的要点在于客户端和服务端双方独立生成客户端私钥的部分因子，由两个因子协同运算并发布D₁、D_S和Q声明参数，双方均无法由己方生成和获得的参数计算得到客户端完整私钥，但可通过声明参数离线认证客户端身份，同时服务端可计算并签发客户端完整公钥，实现了离线认证和在线联合签名两种安全防护措施的有效融合。

技术领域

本发明属于密码工程领域，具体涉及一种可秘密共享的隐藏身份SM2签名私钥产生装置及其方法。

背景技术

数字证书是互联网中机构、个人、设备、代码等的身份证明，利用数字证书，可以实现虚拟世界的身份认证、行为识别、数据签名、行为抗抵赖，合同签订、电子交易等等工作。

数字证书使用过程中，需要在线验证是否为权威数字证书服务机构发放的，且未过期的证书，才能确保使用者身份的真实性和有效性。随着5G技术、移动互联网的快速发展，甚至智能网联汽车的高速发展，越来越多的终端计算能力有限，需要并发处理的数据越来越多，例如自动驾驶技术实现后，汽车网关每秒钟需要接收数千条指令，如果每一条指令都需要通过网络来查询数据来源有效及时效性，网关的计算资源将成为限制应用的瓶颈。

另一方面，随着移动互联网技术的发展，移动智能终端中应用越来越多，对其中的安全数据保护将越来越困难，数字证书使用的签名私钥的保护极为困难。

发明内容

本发明的目的是设计一种可秘密共享的隐藏身份SM2签名私钥产生装置及其方法，可对该私钥对应的数字证书通过离线方式核实其身份及其时效性，同时支持该私钥拆分成两份，一份存放在客户端，另一份存放在服务端，通过联合签名的方式实现对数据的签名。

同时该方法也[可选择]支持将私钥全部由客户端保存，客户端可自行产生数字签名。

为达到上述目的，本发明的技术方案是这样实现的：

为了移动互联网隐私数据保护难题及在线查询证书难题，本发明提出了一种可秘密共享的隐藏身份SM2签名私钥产生装置及其方法。

所述装置主要包括服务端SM2算法模块、根证书发布模块、随机数生成模块，客户端SM2算法模块和随机数生成模块。

所述服务端SM2算法模块、根证书发布模块和随机数生成模块，主要用于产生根密钥对，发布根证书，以及用于产生客户端签名私钥的另外一部分因子。

所述客户端SM2算法模块和随机数生成模块，主要用于产生客户端签名私钥一部分因子。

所述私钥产生过程为：

A1、服务器端产生并发布根证书，P_pub＝s·G，其中s∈[1,n-1]，s为服务端系统主私钥，G为SM2算法椭圆曲线基点；

A2、客户端产生随机数d₁∈[1,n-1]，作为客户端的签名私钥的一部分因子，计算并向服务端发送并公开发布D₁＝[d₁]G；

A3、服务端确认客户端身份，为其产生或由系统派生随机数d_s∈[1,n-1]，作为客户端的签名私钥的另外一部分因子，计算并公开发布D_s＝[d_s]G；

注：通过系统参数派生的随机数d_s，可通过系统参数计算，而不是存储获得。