CN107623570B

CN107623570B - 一种基于加法密钥分割的sm2签名方法

Info

Publication number: CN107623570B
Application number: CN201711068252.8A
Authority: CN
Inventors: 袁峰; 张立圆; 封维端; 张样攀
Original assignee: Beijing Wuzitianshu Technology Co ltd
Current assignee: Beijing Wuzitianshu Technology Co ltd
Priority date: 2017-11-03
Filing date: 2017-11-03
Publication date: 2020-12-04
Anticipated expiration: 2037-11-03
Also published as: CN107623570A

Abstract

本发明公开了一种基于加法密钥分割的SM2签名方法。本方法提出将私钥拆分成两个私钥分量，一个在服务端，一个在客户端，通信双方均无法得到完整私钥，确保私钥的存储安全。进行签名运算时，需服务端和客户端共同参与，任何一方无法独立完成签名，从而确保私钥使用的安全性。

Description

一种基于加法密钥分割的SM2签名方法

技术领域

本发明涉及密码领域，具体涉及一种基于加法密钥分割的SM2签名方法。

背景技术

目前，基于公钥密码学的数字签名技术已经广泛应用在电子商务、身份认证等应用中，成为保证信息安全的重要工具，而私钥的安全性及使用是保证这些应用安全的基础。而随着我国移动电子商务的高速发展，基于UsbKey等硬件设备的服务方式很难在移动终端领域得到大家的认可，因此在移动设备等不安全环境下进行私钥的有效保护是目前面临的一个重大问题。

发明内容

本发明的目的是针对现有技术中的不足，提供一种基于加法密钥分割的SM2签名方法。

为实现上述目的，本发明公开了如下技术方案：

一种签名密钥生成方法，包括：

S1客户端A生成自身的子私钥d_A：客户端A产生一个位于[1，n-1]之间的随机数，将产生的随机数作为d_A，即有：d_A∈[1，n-1]，其中n表示椭圆曲线的基点G的阶；

S2服务端B生成自身的子私钥d_B：服务端B产生一个位于[1，n-1]之间的随机数，将产生的随机数作为d_B；

S3客户端A和服务端B约定一个正整数m，其中m≥112；

S4客户端A产生m-1个位于[1，n-1]之间的随机数，将产生的随机数作为x_i，并计算

令

且取符号u，并令u＝0；即有：x_i∈[0，n-1]；

其中mod n表示模n运算；

S5服务端B产生m-1个位于[1，n-1]之间的随机数，将产生的随机数作为y_i，并计算

并令

且产生一个位于[1，n-1]之间的随机数，将产生的随机数作为v；

即有：y_i∈[0,n-1]；

v∈[1,n-1]；

S6对i＝1，2,......，m执行如下过程：

S601客户端A产生一个0或1的随机数，将产生的随机数记为k，并产生一个位于[1，n-1]之间的随机数，将产生的随机数记为r，且令h_k＝x_i，

将(h₀,h₁)发送给服务端B；

即有：k∈{0,1}；

r∈[1,n-1]。

其中

表示长度相等的两个比特串按比特的异或运算；

S602服务端B计算(h₀+y_i)v^-1modn，将计算结果记为f₀，计算(h₁+y_i)v^-1modn，将计算结果记为f₁；

即有：f₀＝(h₀+y_i)v^-1modn；

f₁＝(h₁+y_i)v^-1modn；

其中v^-1modn表示使得v·y≡1(modn)成立的唯一整数y，1≤y≤n-1；

S603服务端B产生一个位于[1，n-1]之间的随机数，将产生的随机数记为x，并计算[x]G，将计算结果记为X，且将X发送给客户端A；

即有：x∈[1,n-1]；

X＝[x]G。

其中[x]G表示椭圆曲线上点G的x倍点，x是正整数；

S604客户端A生成一个位于[1，n-1]之间的随机数，将产生的随机数记为y，并计算[y]G，将计算结果记为F，计算H(F)，将计算结果记为key；

即有：y∈[1,n-1]；

F＝[y]G；

key＝H(F)。

其中，H为密码杂凑函数；

若k＝0，则Y＝F，若k≠0，则Y＝X+F，并将Y发送给服务端B；

S605服务端B计算H([x]Y)，将计算结果记为k₀，计算H([x](Y-X))，将计算结果记为k₁，计算

将计算结果记为C₀，计算

将计算结果记为C₁，并将C₀和C₁发送给客户端A；

即有：k₀＝H([x]Y)；

k₁＝H([x](Y-X))；

S7客户端A计算

将计算结果记为f_k，计算u+f_k modn，将计算结果记为u；

即有：P＝[v^-1]([u^-1]G)-G；

S8服务端B将[v^-1]G发送给客户端A，客户端A计算签名公钥[u^-1]([v^-1]G)-G，记为P；

即有：P＝[u^-1]([v^-1]G)-G。

本发明公开的一种基于加法密钥分割的SM2签名方法，包括：

客户端A生成待签名消息M的消息摘要e和第一部分签名Q₁，并将e和第一部分签名发送给服务端B；

服务端B生成第二部分签名r和第三部分签名s₁，将r和s₁发送给第一部分客户端A；

客户端A根据Q₁、r和s₁生成完整签名(r,s)并输出。

在进一步的技术方案中，所述客户端A生成待签名消息M的消息摘要e和第一部分签名Q₁，并将e和第一部分签名Q₁发送给服务端B，包括：

客户端A计算H(Z||M)，将计算结果记为e，且生成一个位于[1，n-1]之间的随机数，将计算结果记为k₁，并计算[k₁](P+G)，将计算结果记为Q₁，将e和Q₁发送给服务端B，其中，M为待签名的消息，Z是按照SM2算法对用户标识、标识长度、椭圆曲线参数、用户签名公钥等信息使用密码杂凑函数H计算的杂凑值。

在进一步的技术方案中，所述服务端B生成第二部分签名r和第三部分签名s₁，将r和s₁发送给第一部分客户端A，包括：

服务端B生成一个位于[1，n-1]之间的随机数，将计算结果记为k₂，计算椭圆曲线点[k₂](P+G)+[k₁](P+G)，将计算结果记为(x₁,y₁)，计算(e+x₁)modn，将计算结果记为r，其中，若r＝0则返回步骤9，否则计算k₂+rd_Bmodn，将计算结果记为s₁，并将r，s₁发送给客户端A。

在进一步的技术方案中，所述客户端A根据Q₁、r和s₁生成完整签名(r,s)并输出，包括：

客户端A计算k₁+rd_A+s₁-rmodn，将计算结果记为s，其中，若s＝0或r+s＝0modn，则返回至客户端A生成待签名消息M的消息摘要e和第一部分签名Q₁步骤进行重新计算，否则，消息M的数字签名为(r,s)。

本发明公开的一种基于加法密钥分割的SM2签名方法，具有以下

有益效果：

本方法提出将私钥拆分成两个私钥分量，一个在服务端，一个在客户端，通信双方均无法得到完整私钥，确保私钥的存储安全。进行签名运算时，需服务端和客户端共同参与，任何一方无法独立完成签名，从而确保私钥使用的安全性。

附图说明

图1为本发明的简要流程图。

图2为本发明签名密钥的生成的流程图。

图3为本发明基于SM2算法的签名方法实施例的流程图。

具体实施方式

下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

见图1、图2，本发明公开的一种签名密钥生成方法，包括：

S3客户端A和服务端B约定一个正整数m，其中m≥112；

令

且取符号u，并令u＝0；即有：x_i∈[0，n-1]；

其中mod n表示模n运算；

并令

即有：y_i∈[0,n-1]；

v∈[1,n-1]；

S6对i＝1，2,......，m执行如下过程：

将(h₀,h₁)发送给服务端B；

即有：k∈{0,1}；

r∈[1,n-1]。

其中

表示长度相等的两个比特串按比特的异或运算；

即有：f₀＝(h₀+y_i)v^-1modn；

f₁＝(h₁+y_i)v^-1modn；

其中v^-1modn表示使得v·y≡1(modn)成立的唯一整数y，1≤y≤n-1；

即有：x∈[1,n-1]；

X＝[x]G。

其中[x]G表示椭圆曲线上点G的x倍点，x是正整数；

即有：y∈[1,n-1]；

F＝[y]G；

key＝H(F)。

其中，H为密码杂凑函数；

若k＝0，则Y＝F，若k≠0，则Y＝X+F，并将Y发送给服务端B；

将计算结果记为C₀，计算

将计算结果记为C₁，并将C₀和C₁发送给客户端A；

即有：k₀＝H([x]Y)；

k₁＝H([x](Y-X))；

S7客户端A计算

将计算结果记为f_k，计算u+f_kmodn，将计算结果记为u；

即有：P＝[v^-1]([u^-1]G)-G；

即有：P＝[u^-1]([v^-1]G)-G。

SM2算法是一种标准的商用密码算法，在密码产品中被广泛的支持和使用。见图3，本发明公开的一种基于加法密钥分割的SM2签名方法，包括：

客户端A根据Q₁、r和s₁生成完整签名(r,s)并输出。

在本发明的一种实施例中，所述客户端A生成待签名消息M的消息摘要e和第一部分签名Q₁，并将e和第一部分签名Q₁发送给服务端B，包括：

在本发明的一种实施例中，所述服务端B生成第二部分签名r和第三部分签名s₁，将r和s₁发送给第一部分客户端A，包括：

在本发明的一种实施例中，所述客户端A根据Q₁、r和s₁生成完整签名(r,s)并输出，包括：

相比背景技术中介绍的内容，本方法提出将私钥拆分成两个私钥分量，一个在服务端，一个在客户端，通信双方均无法得到完整私钥，确保私钥的存储安全。进行签名运算时，需服务端和客户端共同参与，任何一方无法独立完成签名，从而确保私钥使用的安全性。

以上所述仅是本发明的优选实施方式，而非对其限制；应当指出，尽管参照上述各实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，其依然可以对上述各实施例所记载的技术方案进行修改，或对其中部分或者全部技术特征进行等同替换；而这些修改和替换，并不使相应的技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

1.一种签名密钥生成方法，其特征在于，包括：

S3客户端A和服务端B约定一个正整数m，其中m≥112；

S4客户端A产生m-1个位于[1,n-1]之间的随机数，将产生的随机数作为x_i，并计算

令

且取符号u，并令u＝0；即有：x_i∈[0,n-1]；

其中mod n表示模n运算；

S5服务端B产生m-1个位于[1,n-1]之间的随机数，将产生的随机数作为y_i，并计算

并令

即有：y_i∈[0，n-1]；

v∈[l，n-1]；

S6对i＝1,2,......,m执行如下过程：

S601客户端A产生一个0或1的随机数，将产生的随机数记为k，并产生一个位于[1,n-1]之间的随机数，将产生的随机数记为r，且令h_k＝x_i，

将(h₀，h₁)发送给服务端B；

即有：k∈{0,1}；

r∈[l，n-1]；

其中

表示长度相等的两个比特串按比特的异或运算；

S602服务端B计算(h₀+y_i)v^-1mod n，将计算结果记为f₀，计算(h_l+y_i)v^-1mod n，将计算结果记为f₁；

即有：f₀＝(h₀+y_i)v^-1mod n；

f₁＝(h_l+y_i)v^-1mod n；

其中，v^-1mod n表示使得v·y≡1(mod n)成立的唯一整数y，1≤y≤n-1；

S603服务端B产生一个位于[1,n-1]之间的随机数，将产生的随机数记为x，并计算[x]G，将计算结果记为X，且将X发送给客户端A；

即有：x∈[1，n-1]；

X＝[x]G；

其中[x]G表示椭圆曲线上点G的x倍点，x是正整数；

S604客户端A生成一个位于[1,n-1]之间的随机数，将产生的随机数记为y，并计算[y]G，将计算结果记为F，计算H(F)，将计算结果记为key；

即有：y∈[1，n-1]；

F＝[y]G；

key＝H(F)；

其中，H为密码杂凑函数；

若k＝0，则Y＝F，若k≠0，则Y＝X+F，并将Y发送给服务端B；

将计算结果记为C₀，计算f₁+k₁}，将计算结果记为C₁，并将Co和C1发送给客户端A；

即有：k₀＝H([x]Y)；

k_l＝H([x](Y-X))；

S7客户端A计算

将计算结果记为f_k，计算u+f_k mod n，将计算结果记为u；

即有：P＝[v^-1]([u^-1]G)-G；

即有：P＝[u^-1]([v^-1]G)-G。

2.一种基于加法密钥分割的SM2签名方法，其特征在于，包括：

客户端A生成待签名消息M的消息摘要e和第一部分签名Q₁，并将e和第一部分签名发送给服务端B，包括：

客户端A计算H(Z||M)，将计算结果记为e，且生成一个位于[1，n-1]之间的随机数，将计算结果记为k₁，并计算[k_l](P+G)，将计算结果记为Q₁，将e和Q₁发送给服务端B，其中，M为待签名的消息，Z是按照SM2算法对用户标识、标识长度、椭圆曲线参数、用户签名公钥等信息使用密码杂凑函数H计算的杂凑值；

服务端B生成第二部分签名r和第三部分签名s₁，将r和s₁发送给第一部分客户端A，包括：

服务端B生成一个位于[1,n-1]之间的随机数，将计算结果记为k₂，计算椭圆曲线点[k2](P+G)+[kl](P+G)，将计算结果记为(x₁，y₁}，计算(e+x_l)mod n，将计算结果记为r，其中，若r＝0则返回步骤9，否则计算k₂+rd_B mod n，将计算结果记为s₁，并将r，s₁发送给客户端A；

客户端A根据Q_l、r和s₁生成完整签名(r,s)并输出，包括：

客户端A计算k₁+rd_A+s₁-r mod n，将计算结果记为s，其中，若s＝0或r+s＝0mod n，则返回至客户端A生成待签名消息M的消息摘要e和第一部分签名Q₁步骤进行重新计算，否则，消息M的数字签名为(r，s)。