CN108650094A - 一种基于sm2数字签名的盲签名生成方法及*** - Google Patents

Abstract

本发明公开了一种基于SM2数字签名的盲签名生成方法及***，该方法包括以下步骤：1)签名者Signer在集合{1,2,…,n‑1}中选择第一个随机数k，计算第一个临时变量K，并将K发送给用户User；2)用户User收到K后，在集合{1,2,…,n‑1}中选择两个随机数α，β，计算第二个临时变量K′，令K′＝(r_x，r_y)，计算签名值r，并计算第三个临时变量r′，最后将r′发送给Signer；3)Signer收到r′后，计算出临时签名s′，并将s′发送给User；4)User收到s′后计算出签名值s，并输出签名(r，s)。本发明具有实现复杂度低、安全性高、易验证等特点，产生签名的过程必须有Signer和User两方同时参与，生成SM2盲签名的过程不会向签名者泄漏被签名的消息，保证了消息的安全性，提高了SM2数字签名生成的公平性。

Description

一种基于SM2数字签名的盲签名生成方法及***

技术领域

本发明涉及信息安全技术，尤其涉及一种基于SM2数字签名的盲签名生成方法及***。

背景技术

数字签名是伴随着信息网络技术的发展而出现的一种安全保障技术，目的就是通过技术手段实现传统的纸面签字或者盖章的功能，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。数字签名是公钥密码体系中重要的一部分，在很多场合有着重要的作用。

在很多场合，要求签名者对消息进行签名的时候，并不知道所签名的内容，而且签名过后对自己的签名也不能进行跟踪。尤其在各种不方便透露真名的场合，例如，投票和选举、电子商务、电子现金***、移动支付等。盲签名恰好能满则这一需求，它的优点在于它比一般数字签名更能保护用户的隐私，因为对于签名者来说在签名的过程中对用户提供的消息是完全未知的，而且，签名以后也无法追踪自己所签的名。

为满足电子认证服务***等应用需求，国家密码管理局于2010年12月17日发布了SM2椭圆曲线公钥密码算法，2017年含有我国SM2数字签名算法的ISO/IEC14888-3/AMD1《带附录的数字签名第3部分:基于离散对数的机制-补篇1》获得一致通过,成为ISO/IEC国际标准,进入标准发布阶段。SM2算法本质上是一种椭圆曲线算法(ECC)，在细节上，SM2算法规定了签名、验证、密钥交换等具体细节。

本专利设计了一种SM2盲签名生成方案，此方案由签名者Signer和用户User共同执行，既能保证签名的正确性，又能保证签名消息的隐私性。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种基于SM2数字签名的盲签名生成方法及***。

本发明解决其技术问题所采用的技术方案是：一种基于SM2数字签名的盲签名生成方法，包括以下步骤：

1)签名者Signer在集合{1,2,…,n-1}中选择第一个随机数k，计算第一个临时变量K＝[k]G，并将K发送给用户User；

其中，签名者Signer的签名私钥为x，公钥为Q＝[x]G；n为基点G的阶；G为椭圆曲线的一个基点，其阶n为素数；

2)用户User收到K后，在集合{1,2,…,n-1}中选择两个随机数α，β，计算第二个临时变量K′＝[α]K+[β]G，令K＇＝(r_x，r_y)，计算签名值r＝r_x+e mod n，并计算第三个临时变量r′＝α^-1(r+β)，最后将r′发送给Signer；其中，e为待签名消息M的哈希值，e＝H_v(Z_A||M)；

3)Signer收到r′后，计算出临时签名s′＝(1+x)^-1(k-r′x)mod n，并将s′发送给User；

4)User收到s′后计算出签名值s＝α·(s′+r′)-r，并输出签名(r，s)。

一种基于SM2数字签名的盲签名生成***，包括：

签名者变量生成模块，用于根据签名者Signer在集合{1,2,…,n-1}中选择的第一个随机数k，计算第一个临时变量K＝[k]G，并将第一个临时变量K发送给用户User；

其中，签名者Signer的签名私钥为x，公钥为Q＝[x]G；n为基点G的阶；G为椭圆曲线的一个基点，其阶n为素数；

用户变量生成模块，用于用户User接收到K后，在集合{1,2,…,n-1}中选择两个随机数α和β，计算第二个临时变量K′＝[α]K+[β]G，令K′＝(r_x，r_y)，计算签名值r＝r_x+e modn，并计算第三个临时变量r′＝α^-1(r+β)，最后将r′发送给签名者Signer；其中，e为待签名消息M的哈希值，e＝H_v(Z_A||M)；

临时签名生成模块，用于Signer收到r′后，根据公式s′＝(1+x)^-1(k-r′x)mod n计算出临时签名，并将临时签名s′发送给User；

盲签名生成模块，用于User收到s′后计算出签名值s＝α·(s＇+r＇)-r，并输出盲签名(r，s)。

本发明产生的有益效果是：本发明设计了一种SM2盲签名生成方案，此方案由签名者Signer和用户User共同执行，既能保证签名的正确性，又能保证签名消息的隐私性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明提供的基于SM2数字签名的盲签名生成方法需要签名的签名者Signer和用户User共同产生SM2盲签名，

本实施例中的符号及定义如下：

Signer,User:通信双方。

x:签名者的私钥。

e:密码杂凑函数作用于消息M的输出值。

G:椭圆曲线的一个基点，其阶为素数。

H_v():消息摘要长度为v比特的密码杂凑函数。

ID_A:签名者的可辨别标识。

M:待签名的消息。

mod n:模n运算。例如，23mod 7≡2。

n:基点G的阶。

O:椭圆曲线上的一个特殊点，称为无穷远点或零点，是椭圆曲线加法群的单位元。

x||y:x与y的拼接，其中x，y可以是比特串或字节串。

[k]P:椭圆曲线上点P的k倍点，k是正整数。

[x，y]:大于或等于x且小于或等于y的整数的集合。

(r_x，r_y):某一点的x坐标的值和y坐标的值。

SM2盲签名生成的过程如下：

1)Signer在集合{1,2,…,n-1}中选择第一个随机数k，计算第一个临时变量K＝[k]G，并将K发送给User；

2)User收到K后，在集合{1,2,…,n-1}中选择两个随机数α，β，计算第二个临时变量K＇＝[α]K+[β]G，令K＇＝(r_x，r_y)，计算签名值r＝r_x+e mod n，并计算第三个临时变量r′＝α^-1(r+β)，最后将r′发送给Signer；

3)Signer收到r′后，计算出临时签名s′＝(1+x)^-1(k-r′x)mod n，并将s′发送给User；

4)User收到s′后计算出签名值s＝α·(s′+r′)-r，并输出签名(r，s)。

根据上述方法，本发明还给出了一种基于SM2数字签名的盲签名生成***，包括：

签名者变量生成模块，用于根据签名者Signer在集合{1,2,…,n-1}中选择的第一个随机数k，计算第一个临时变量K＝[k]G，并将第一个临时变量K发送给用户User；

其中，签名者Signer的签名私钥为x，公钥为Q＝[x]G；n为基点G的阶；G为椭圆曲线的一个基点，其阶n为素数；

用户变量生成模块，用于用户User接收到K后，在集合{1,2,…,n-1}中选择两个随机数α和β，计算第二个临时变量K′＝[α]K+[β]G，令K′＝(r_x，r_y)，计算签名值r＝r_x+e modn，并计算第三个临时变量r′＝α^-1(r+β)，最后将r′发送给签名者Signer；其中，e为待签名消息M的哈希值，e＝H_v(Z_A||M)；

临时签名生成模块，用于Signer收到r′后，根据公式s′＝(1+x)^-1(k-r′x)mod n计算出临时签名，并将临时签名s′发送给User；

盲签名生成模块，用于User收到s′后计算出签名值s＝α·(s′+r′)-r，并输出盲签名(r，s)。

本方案生成的签名的验证算法如下：

1)检查r是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查s是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则进入下一步；

2)计算消息M的哈希值，e＝H_v(Z_A||M)；

3)计算临时变量t＝r+s mod n，若t＝0则验证不通过，否则进入下一步；

4)计算椭圆曲线上的点(r_x，r_y)＝[s]G+[t]Q；

5)计算R＝e+r_x mod n；

6)若R＝r则验证通过。

本发明具有实现复杂度低、安全性高、易验证等特点，使用于签名者不知道消息的情况下生成正确的SM2盲签名，产生签名的过程必须有Signer和User两方同时参与，生成SM2盲签名的过程不会向签名者泄漏被签名的消息，保证了消息的安全性，提高了SM2数字签名生成的公平性。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (2)

1.一种基于SM2数字签名的盲签名生成方法，其特征在于，包括以下步骤：

1)签名者Signer在集合{1,2,…,n-1}中选择第一个随机数k，计算第一个临时变量K＝[k]G，并将K发送给用户User；

其中，签名者Signer的签名私钥为x，公钥为Q＝[x]G；n为基点G的阶；G为椭圆曲线的一个基点，其阶n为素数；

2)用户User收到K后，在集合{1,2,…,n-1}中选择两个随机数α，β，计算第二个临时变量K′＝[α]K+[β]G，令K′＝(r_x，r_y)，计算签名值r＝r_x+e mod n，并计算第三个临时变量r′＝α^-1(r+β)，最后将r′发送给Signer；其中，e为待签名消息M的哈希值，e＝H_v(Z_A||M)；

3)Signer收到r′后，计算出临时签名s′＝(1+x)^-1(k-r′x)mod n，并将s′发送给User；

4)User收到s′后计算出签名值s＝α·(s′+r′)-r，并输出签名(r，s)。

2.一种基于SM2数字签名的盲签名生成***，其特征在于，包括：

签名者变量生成模块，用于根据签名者Signer在集合{1,2,…,n-1}中选择的第一个随机数k，计算第一个临时变量K＝[k]G，并将第一个临时变量K发送给用户User；

其中，签名者Signer的签名私钥为x，公钥为Q＝[x]G；n为基点G的阶；G为椭圆曲线的一个基点，其阶n为素数；

用户变量生成模块，用于用户User接收到K后，在集合{1,2,…,n-1}中选择两个随机数α和β，计算第二个临时变量K′＝[α]K+[β]G，令K′＝(r_x，r_y)，计算签名值r＝r_x+emodn，并计算第三个临时变量r′＝α^-1(r+β)，最后将r＇发送给签名者Signer；其中，e为待签名消息M的哈希值，e＝H_v(Z_A||M)；

临时签名生成模块，用于Signer收到r＇后，根据公式s＇＝(1+x)^-1(k-r′x)mod n计算出临时签名，并将临时签名s′发送给User；

盲签名生成模块，用于User收到s′后计算出签名值s＝α·(s′+r′)-r，并输出盲签名(r，s)。