[发明专利]一种基于SM2和SM9数字签名算法的移动终端认证方法与系统

权利要求书

1.一种基于SM2和SM9数字签名算法的移动终端认证方法，其特征在于，包括以下步骤：

1)通过服务器端生成系统公钥和私钥，具体如下：

服务器端以SM2算法的推荐椭圆曲线作为系统曲线，在集合 中随机选择一个元素ks作为系统私钥，计算系统公钥P_pub＝ks·G；服务器端公开系统公钥P_pub并保留系统私钥；

其中，G为循环群的一个生成元；为阶为素数n的椭圆曲线群，元素为椭圆曲线上的点；为由整数1，2，...，n-1组成的整数集合；n为大素数；

2)生成用户U_i的私钥，具体如下：

2.1)用户U_i选择用户身份标识id_i，并通过安全信道把用户身份标识发送给服务器端；

2.2)服务器端根据系统私钥和用户身份标识计算用户的私钥D_i，然后通过安全信道将D_i发送给用户U_i；

2.3)用户U_i选择口令pw_i，根据私钥D_i、身份标识id_i和口令pw_i计算凭证CRE_i；计算采用以下公式：

CRE_i＝D_i+h(pw_i||id_i)·G或

2.4)最后用户U_i把凭证CRE_i保存到自己的移动终端设备中；

3)根据用户U_i的凭证CRE_i，用户U_i对给定消息m产生签名；

3.1)用户U_i计算D_i＝CRE_i-h(pw_i||id_i)·G或D_i＝h(pw_i||id_i)·CRE_i；

3.2)用户U_i在集合中随机选择一个元素d，计算部分签名T_i＝d·D_i；用户U_i在集合中随机选择一个元素k，计算中间变量R＝k·G＝(x，y)，e＝h(m||T_i)，r≡e+x mod n，s≡(1+d)^-1·(k-r·d)mod n；

3.3)用户U_i输出签名σ＝(T_i，r，s)；

4)服务器端对给定消息m和用户输出的签名σ＝(T_i，r，s)进行签名的合法性验证；

4.1)服务器端计算e＝h(m||T_i)，t≡r+s mod n和

4.2)服务器端计算W＝s·G+t·P_i＝(x′，y′)并验证等式r≡x′+e mod n是否成立；

4.3)如果成立，则接收该消息，否则拒绝该消息。

2.根据权利要求1所述的基于SM2和SM9数字签名算法的移动终端认证方法的移动终端认证系统，其特征在于，包括：

初始化模块，用于通过服务器端生成系统公钥和私钥，具体如下：

服务器端以SM2算法的推荐椭圆曲线作为系统曲线，在集合中随机选择一个元素ks作为系统私钥，计算系统公钥P_pub＝ks·G；服务器端公开系统公钥P_pub并保留系统私钥；

其中，G为循环群的一个生成元；为阶为素数n的椭圆曲线群，元素为椭圆曲线上的点；为由整数1，2，...，n-1组成的整数集合；n为大素数；

用户私钥生成模块，用于生成用户U_i的私钥，具体如下：

1)用户U_i选择用户身份标识id_i，并通过安全信道把用户身份标识发送给服务器端；

2)服务器端根据系统私钥和用户身份标识计算用户的私钥D_i，然后通过安全信道将D_i发送给用户U_i；

3)用户U_i选择口令pw_i，根据私钥D_i、身份标识id_i和口令pw_i计算凭证CRE_i；计算采用以下公式

4)最后用户U_i把凭证CRE_i保存到自己的移动终端设备中；

签名生成模块，用于根据用户U_i的凭证CRE_i，用户U_i对给定消息m产生签名；具体如下：

1)用户U_i计算D_i＝CRE_i-h(pw_i||id_i)·G或D_i＝h(pw_i||id_i)·CRE_i；

2)用户U_i在集合中随机选择一个元素d，计算部分签名T_i＝d·D_i；用户U_i在集合中随机选择一个元素k，计算中间变量R＝k·G＝(x，y)，e＝h(m||T_i)，r≡e+x mod n，s≡(1+d)^-1·(k-r·d)mod n；

3)用户U_i输出签名σ＝(T_i，r，s)；

验证模块，用于服务器端对给定消息m和用户输出的签名σ＝(T_i，r，s)进行签名的合法性验证；具体如下：

1)服务器端计算e＝h(m||T_i)，t≡r+s mod n和

2)服务器端计算W＝s·G+t·P_i＝(x′，y′)并验证等式r≡x′+e mod n是否成立；

3)如果成立，则接收该消息，否则拒绝该消息。