CN110299998A - 借助中间参数的sm9数字签名协同生成方法及*** - Google Patents

Abstract

SM9数字签名生成方法：标号为第1号到m号的装置分别有[1,n‑1]中整数秘密c_i，n为SM9群的阶，i＝1,…,m，m≥2；P_A＝[(c₁c₂…c_m)^‑1]d_A，P_U＝[u]d_A，d_A为用户的私钥，u为[1,n‑1]内的整数秘密；P_B为群G₁中非零元；对消息签名时，计算w＝g_U^(r₁r₂…r_m)，h＝H₂(M||w,n)，T＝[r₁r₂…r_m]P_U+[‑F(z₁,...,z_m)]P_B，V＝[F(z₁,...,z_m)]P_B+[‑hc₁c₂…c_m]P_A，F(z₁,z₂,…,z_m)与z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m模n同余，S＝T+V；则(h,S)为d_A对消息M的数字签名。

Description

借助中间参数的SM9数字签名协同生成方法及***

技术领域

本发明属于信息安全技术领域，特别是借助中间参数的SM9数字签名协同生成方法及***。

背景技术

SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法，其中的双线性映射(配对运算)为：

e：G₁×G₂→G_T时，其中G₁、G₂是加法循环群，G_T是一个乘法循环群，G₁、G₂、G_T的阶是素数n(注：在SM9规范中，G₁、G₂、G_T的阶用的是大写字母N，本专利申请采用小写n)，即若P、Q、R分别为G₁、G₂中的元，则e(P,Q)为G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9密码算法能实现基于标识的数字签名、密钥交换及数据加密。在SM9密码算法中，使用用户的SM9私钥d_A针对消息M生成数字签名的过程如下：

计算得到w＝g^r，这里符号^表示幂运算(g的r次幂)，r是在[1,n-1]区间内随机选择的整数，n是SM9密码算法的群G₁、G₂、G_T的阶，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范；注意，这里的主私钥或主密钥，主公钥，用户标识私钥使用的符号与SM9规范略有不同)；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶(参见SM9规范)；

若r≠h，计算S＝[r-h]d_A，则(h,S)为生成的数字签名；若r＝h，则重新选择r，重新计算w、h，直到r≠h。

针对一些特殊的需求，比如，为了保证非硬件环境下用户私钥使用的安全性，人们提出了一些基于秘密共享(分享)的SM9数字签名生成方法。在这些方法中，多个装置分别保存有用户SM9私钥的秘密份额，或者分别保存有与私钥有关的秘密的秘密份额；在需要使用用户私钥针对一个消息M生成数字签名时，每个装置利用自己的秘密份额与其他装置交互、协同运算，生成针对消息的数字签名。

现有的基于秘密共享的SM9数字签名协同生成方案，通常在密码运算的过程中计算w＝g^(a₁r₁+…+a_mr_m)，其中r_i是第i个装置在[1,n-1]中随机选择的整数，而a_i是常数，i＝1,…,m(假设有m个装置)；然后计算h＝H₂(M||w,n)，最后m个装置通过协同计算得到S＝[(a₁r₁+…+a_mr_m)-h]d_A。这种方案通常是没有问题的，但也可能出现一种情况，就是恰好出现(a₁r₁+…+a_mr_m)mod n＝0，而出现这样情况恰好被其中一个装置观测到(比如通过检查w是否是单位元)，但却不报告，则这个装置就有可能从最终得到的数字签名(h,S)中得到用户的SM9私钥。出现这种情况的概率虽然极小，但是仍然有可能发生，尤其是在r_i很难做到是真正随机选择的情况下。

如果基于秘密共享的数字签名协同生成方案能做到所采用的方案是w＝g^(ar₁…r_m)，S＝[(ar₁…r_m)-h]d_A，即这里的r₁,…,r_m以及一个常数a是以乘积的形式出现，则不会出现(ar₁…r_m)mod n＝0的情况，这样的方案具有更高的安全性。我们在这里把r₁,…,r_m以及常数a是以乘积形式出现的情形称为乘积r参数的情形，而把生成数字签名过程中r₁,…,r_m以及常数a以乘积形式出现的SM9数字签名协同生成方法，称为具有乘积r参数的SM9数字签名协同生成方法。

发明内容

本发明的目的是提出具有乘积r参数增强安全的SM9数字签名生成技术方案，以增强基于秘密共享的SM9数字签名协同生成技术方案的安全性。

针对本发明的目的，本发明提出的技术方案包括借助中间参数的SM9数字签名协同生成方法及相应的***。

在以下对本发明技术方案的描述中，若P、Q是加法群G₁、G₂中的元，则P+Q表示P、Q在加法群上的加，P-Q表示P加上Q的逆元(加法逆元)，[k]P表示k个P在加法群上的加，即P+P+...+P(共有k个P)(若k是负数，则是|k|个P相加的结果的加法逆元；这里[]符号的使用与SM9规范一致)；

省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；

若a、b是乘法群G_T中的元，则ab或a·b表示a、b在乘法群G_T上的乘(只要不产生无二义性，“·”可以省略)，a^-1表示a在乘法群中逆元(乘法逆元)，a^t表示t个a在乘法群G_T上相乘(t是负数，则是|t|个a相乘的结果的乘法逆元)，即幂运算，a^t的另一种表达方式是a^t；

若c为整数，则c^-1表示整数c的模n乘法逆(即cc^-1mod n＝1)；如无特别说明，本专利发明中整数的乘法逆都是针对群G₁、G₂、G_T的阶n的模n乘法逆；

多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化为3c；

mod n表示模n运算(modulo operation)，对应于SM9规范中的modN；还有，模n运算的算子mod n的优先级是最低的，如a+b mod n等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

本发明提出的借助中间参数的SM9数字签名协同生成方法具体如下。

所述方法涉及m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；

第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂…c_m)modn为m个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是m个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异(二者不同或者相同)；

g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

在群G₁中任选一个用户私钥d_A之外的非零元P_B(固定选取，比如固定选P_B＝P₁，或者主观任意选择，或者随机选择，比如，在[1,n-1]中随机选择一个整数b，计算P_B＝[b]P₁或P_B＝[b]d_A)；

m个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥d_A、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、***或密码模块，或者m个装置之一中的密码应用程序、***)：

首先，m个装置通过交互计算得到w＝g_U^(r₁r₂…r_m)，其中r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，i＝1,…,m；

然后，(m个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(h无需保密，可根据需要自由传送)

(m个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A，其中r₁,r₂,…,r_m分别是计算w的过程中第1号，第2号，…，第m号装置在[1,n-1]中选择的整数，z₁,z₂,…,z_m分别是在计算T、V的过程中第1号，第2号，…，第m号装置在[1,n-1]中随机选择的整数，F(z₁,z₂,…,z_m)是针对z₁,z₂,…,z_m的如下计算式：

F(z₁,z₂,…,z_m)≡z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m(mod n)(模n同余)；

其中，a_i为计算T、V的过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

最后，(m个装置中的一个装置或之外的装置)计算S＝T+V，则(h,S)是针对消息M的数字签名。

(此时S＝[r₁r₂…r_m]P_U+[-c₁c₂…c_mh]P_A＝[(r₁r₂…r_m)u-h]d_A)

对于以上所述借助中间参数的SM9数字签名协同生成方法，若在以上计算过程中不检查w与g^h是否相等，则计算得到S后，若(计算S＝T+V的装置)检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

对于以上所述借助中间参数的SM9数字签名协同生成方法，m个装置计算得到w＝g_U^(r₁r₂…r_m)的方法包括(不是全部可能的方式)：

第1号装置计算g₁＝g_U^r₁，将g₁发送第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，计算g_i＝g_i-1^r_i；

若i＝m，则取w＝g_m，完成计算，否则，第i号装置将g_i传送给第i+1号装置；

或者，

第m号装置计算g_m＝g_U^r_m，将g_m发送第m-1号装置；

第i号装置接收g_i+1到后，i＝m-1,…,1，计算g_i＝g_i+1^r_i；

若i＝1，则取w＝g₁，完成计算，否则，第i号装置将g_i传送给第i-1号装置。

对于以上所述借助中间参数的SM9数字签名协同生成方法，m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，

V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A的一种方法如下(T、V协同计算方法一)：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，取Q_m＝P_B；

计算得到D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B，取D_m＝P_B；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取T₀＝P_U，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，V₁＝[z₁]D₁+[c₁]V₀，将T₁、V₁传送给第2号装置；

第i号装置接收到T_i-1、V_i-1后，i＝2,…,m，若检查发现T_i-1为零元，则报错，否则，在[1,n-1]中随机选择一个整数z_i或取z_i＝a_i，计算T_i＝[r_i]T_i-1+[-z_i]Q_i，V_i＝[z_i]D_i+[c_i]V_i-1；

若i＝m，则取T＝T_m，V＝V_m，完成T、V计算，否则，第i号装置将T_i、V_i传送给第i+1号装置，直到完成T_m、V_m计算；

(此时T＝[r₁r₂…r_m]P_U+[-z₁a₂a₃…a_m-z₂a₃…a_m-…-z_m-1a_m-z_m]P_B，

V＝[z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m]P_B+[-(c₁c₂…c_m)h]P_A)

若完成T、V计算之后由第m号装置计算S＝T+V，则z_m的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)；

若P_A不公开由第1号装置作为秘密保存(当然若P_U＝P_A，则P_U也不公开，也作为秘密由第1号装置保存)，P_B≠P_A，则将c₁作为非秘密时(其取值为1或其他[1,n-1]中的整数)，以上所述计算T、V的方法以及所述借助中间参数的SM9数字签名协同生成方法仍然成立。

对于以上所述借助中间参数的SM9数字签名协同生成方法，若P_B＝P_A，则m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A的一种方法如下(T、V协同计算方法二)：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，取Q_m＝P_B；

计算得到d₁＝((a₂a₃…a_m)(c₂c₃…c_m)^-1)mod n，d₂＝((a₃…a_m)(c₃…c_m)^-1)modn，…，d_m-1＝(a_m(c_m)^-1)mod n，取d_m＝1；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取T₀＝P_U，v₀＝-h；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，v₁＝(z₁d₁+c₁v₀)mod n，将T₁、v₁传送给第2号装置；

第i号装置接收到T_i-1、v_i-1后，i＝2,…,m，若检查发现T_i-1为零元，则报错，否则，在[1,n-1]中随机选择一个整数z_i，计算T_i＝[r_i]T_i-1+[-z_i]Q_i，v_i＝(z_id_i+c_iv_i-1)mod n；

若i＝m，则取T＝T_m，(m个装置中的一个装置或其他装置)计算V＝[v_m]P_A，完成T、V计算，否则，第i号装置将T_i、v_i传送给第i+1号装置，直到完成T_m、v_m计算；

(此时T＝[r₁r₂…r_m]P_U+[-z₁a₂a₃…a_m-z₂a₃…a_m-…-z_m-1a_m-z_m]P_B，

V＝[z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m]P_B+[-(c₁c₂…c_m)h]P_A)

若由第m号装置计算V＝[v_m]P_A，且完成T、V计算之后由第m号装置计算S＝T+V，则z_m的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)；

若P_A不公开由第m号装置作为秘密保存(当然P_B也不公开)，P_U≠P_A(即u和c^-1互异)，且由第m号装置计算V＝[v_m]P_A，则将c_m作为非秘密时(其取值为1或其他[1,n-1]中的整数)，以上所述计算T、V的方法以及所述借助中间参数的SM9数字签名协同生成方法仍然成立。

对于以上所述借助中间参数的SM9数字签名协同生成方法，若P_B＝P_U，则m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A的一种方法如下(T、V协同计算方法三)：

计算得到q₁＝((r₂r₃…r_m)^-1(a₂a₃…a_m))mod n，q₂＝((r₃…r_m)^-1(a₃…a_m))modn，…，q_m-1＝((r_m)^-1a_m)mod n，取q_m＝1；

计算得到D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B，取D_m＝P_B；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取t₀＝1，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算t₁＝(r₁t₀-z₁q₁)mod n，V₁＝[z₁]D₁+[c₁]V₀，将t₁、V₁传送给第2号装置；

第i号装置接收到t_i-1、V_i-1后，i＝2,…,m，若检查发现t_i-1为0，则报错，否则，在[1,n-1]中随机选择一个整数z_i，计算t_i＝(r_it_i-1-z_iq_i)mod n，V_i＝[z_i]D_i+[c_i]V_i-1；

若i＝m，则(m个装置中的一个装置或之外的装置)计算T＝[t_m]P_B，取V＝V_m，完成T、V计算，否则，第i号装置将T_i、V_i传送给第i+1号装置，直到完成T_m、V_m计算；

(此时T＝[r₁r₂…r_m]P_U+[-z₁a₂a₃…a_m-z₂a₃…a_m-…-z_m-1a_m-z_m]P_B，

V＝[z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m]P_B+[-(c₁c₂…c_m)h]P_A)

若由第m号装置计算T＝[t_m]P_B，且完成T、V计算之后由第m号装置计算S＝T+V，则z_m的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)；

若P_A不公开由第1号装置作为秘密保存，P_B≠P_A(即P_U≠P_A，u和c^-1互异)，则将c₁作为非秘密时(其取值为1或其他[1,n-1]中的整数)，以上所述计算T、V的方法以及所述借助中间参数的SM9数字签名协同生成方法仍然成立。

对于以上所述借助中间参数的SM9数字签名协同生成方法，计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，

以及D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B的方法包括如下方案(不是全部可能的方案)：

方案一：

第m号装置取Q_m＝P_B，D_m＝P_B，在[1,n-1]中随机选取一个整数a_m，计算Q_m-1＝[(r_m)^{- 1}a_m]Q_m，D_m-1＝[a_m(c_m)^-1]D_m，将Q_m-1、D_m-1发送给第m-1号装置；

第i号装置接收到Q_i、D_i后，i＝m-1,…,1，若i＝1，则第1号装置将Q₁、D₁临时保留，完成Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的计算，否则，第i号装置在[1,n-1]中随机选取一个整数a_i，计算Q_i-1＝[(r_i)^-1a_i]Q_i，D_i-1＝[a_i(c_i)^-1]D_i，将Q_i、D_i临时保留，将Q_i-1、D_i-1传送给第i-1号装置；

在计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的Q_i或D_i为零元，i＝m-1,…,1，则报错；

方案二：

m个装置按计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的方案一的方式计算、保存Q₁,Q₂,…,Q_m-1；

第m号装置取d_m＝1，在[1,n-1]中随机选取一个整数a_m，计算d_m-1＝(a_m(c_m)^-1)d_m)mod n，将d_m-1发送给第m-1号装置；

第i号装置接收到d_i后，i＝m-1,…,1，若i＝1，则第1号装置计算D₁＝[d₁]P_B，将D₁临时保留，完成D₁,D₂,…,D_m-1的计算，否则，第i号装置计算D_i＝[d_i]P_B，在[1,n-1]中随机选取一个整数a_i，计算d_i-1＝(a_i(c_i)^-1d_i)mod n，将D_i临时保留，将d_i-1传送给第i-1号装置；

在计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的Q_i为零元或d_i为0，i＝m-1,…,1，则报错；

方案三：

m个装置按计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的方案一的方式计算、保存D₁,D₂,…,D_m-1；

第m号装置取q_m＝1，在[1,n-1]中随机选取一个整数a_m，计算q_m-1＝((r_m)^-1a_mq_m)modn，将q_m-1发送给第m-1号装置；

第i号装置接收到q_i后，i＝m-1,…,1，若i＝1，则第1号装置计算Q₁＝[q₁]P_B，将Q₁临时保留，完成Q₁,Q₂,…,Q_m-1的计算，否则，第i号装置计算Q_i＝[q_i]P_B，在[1,n-1]中随机选取一个整数a_i，计算q_i-1＝((r_i)^-1a_iq_i)mod n，将Q_i临时保留，将q_i-1传送给第i-1号装置；

在计算q₁,q₂,…,q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的q_i为0或D_i为零元，i＝m-1,…,1，则报错。

对于以上所述借助中间参数的SM9数字签名协同生成方法，计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，

以及d₁＝((a₂a₃…a_m)(c₂c₃…c_m)^-1)mod n，d₂＝((a₃…a_m)(c₃…c_m)^-1)mod n，…，d_m-1＝(a_m(c_m)^-1)mod n的一种方法如下：

第m号装置取Q_m＝P_B，d_m＝1，在[1,n-1]中随机选取一个整数a_m，计算Q_m-1＝[(r_m)^{- 1}a_m]Q_m，d_m-1＝(a_m(c_m)^-1)d_m)mod n，将Q_m-1、d_m-1发送给第m-1号装置；

第i号装置接收到Q_i、d_i后，i＝m-1,…,1，若i＝1，则第1号装置将Q₁、d₁临时保留，完成Q₁,Q₂,…,Q_m-1以及d₁,d₂,…,d_m-1的计算，否则，第i号装置在[1,n-1]中随机选取一个整数a_i，计算Q_i-1＝[(r_i)^-1a_i]Q_i，d_i-1＝(a_i(c_i)^-1d_i)mod n，将Q_i、d_i临时保留，将Q_i-1、d_i-1传送给第i-1号装置；

在计算Q₁,Q₂,…,Q_m-1以及d₁,d₂,…,d_m-1的过程中，若第i号装置检查发现接收到的Q_i为零元或d_i为0，i＝m-1,…,1，则报错。

对于以上所述借助中间参数的SM9数字签名协同生成方法，计算得到q₁＝((r₂r₃…r_m)^-1(a₂a₃…a_m))mod n，q₂＝((r₃…r_m)^-1(a₃…a_m))mod n，…，q_m-1＝((r_m)^-1a_m)mod n，

以及D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B的一种方法如下：

第m号装置取q_m＝1，D_m＝P_B，在[1,n-1]中随机选取一个整数a_m，计算q_m-1＝((r_m)^{- 1}a_mq_m)mod n，D_m-1＝[a_m(c_m)^-1]D_m，将q_m-1、D_m-1发送给第m-1号装置；

第i号装置接收到q_i、D_i后，i＝m-1,…,1，若i＝1，则第1号装置将q₁、D₁临时保留，完成q₁,q₂,…,q_m-1以及D₁,D₂,…,D_m-1的计算，否则，第i号装置在[1,n-1]中随机选取一个整数a_i，计算q_i-1＝((r_i)^-1a_iq_i)mod n，D_i-1＝[a_i(c_i)^-1]D_i，将q_i、D_i临时保留，将q_i-1、D_i-1传送给第i-1号装置；

在计算q₁,q₂,…,q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的q_i为0或D_i为零元，i＝m-1,…,1，则报错。

在以上所述借助中间参数的SM9数字签名协同生成方法的基础上可构建SM9数字签名协同生成***，***包括m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述借助中间参数的SM9数字签名协同生成方法生成针对消息M的数字签名。

从以上描述可以看到，基于本发明的方法和***，当需要使用用户标识私钥d_A对消息进行数字签名时，多个装置可以通过交互协同生成针对消息的数字签名，在计算过程中通过引入中间参数z₁,…,z_m以及a₂,…,a_m，使得协同生成的数字签名具有乘积r参数，从而具有较高的安全性。

具体实施方式

下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例，不代表全部可能的实施例，不作为对本发明的限定。

实施例1、

此实施例有两个标号为第1号、第2号的装置，第1号装置保存有[1,n-1]区间内的整数秘密c₁，第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂)mod n为两个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是两个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异(二者不同或者相同)；

g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

在群G₁中任选一个用户私钥d_A之外的非零元P_B(固定选取，比如固定选P_B＝P₁，或者主观任意选择，或者随机选择，比如，在[1,n-1]中随机选择一个整数b，计算P_B＝[b]P₁或P_B＝[b]d_A)；

两个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置通过交互计算得到w＝g_U^(r₁r₂)，其中r₁是计算过程中第1号装置在[1,n-1]区间内随机选择的整数，r₂是计算过程中第2号装置在[1,n-1]区间内随机选择的整数；

然后，(两个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(两个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

之后，两个装置按前述T、V协同计算方法一计算得到

T＝[r₁r₂]P_U+[-F(z₁,z₂)]P_B，V＝[F(z₁,z₂)]P_B+[-c₁c₂h]P_A，即：

计算得到Q₁＝[(r₂)^-1a₂]P_B，取Q₂＝P_B；

计算得到D₁＝[a₂(c₂)^-1]P_B，取D₂＝P_B；

其中，a₂为计算过程中第2号装置在[1,n-1]中随机选取的整数；

取T₀＝P_U，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，V₁＝[z₁]D₁+[c₁]V₀，将T₁、V₁传送给第2号装置；

第2号装置接收到T₁、V₁后，若检查发现T₁为零元，则报错，否则，在[1,n-1]中随机选择一个整数z₂或取z₂＝a₂，计算T₂＝[r₂]T₁+[-z₂]Q₂，V₂＝[z₂]D₂+[c₂]V₁；

取T＝T₂，V＝V₂；

(此时T＝[r₁r₂]P_U+[-z₁a₂-z₂]P_B，V＝[z₁a₂+z₂]P_B+[-(c₁c₂)h]P_A)

最后，(两个装置中的一个装置或其他装置)计算S＝T+V，则(h,S)为针对消息M的数字签名。

(此时S＝[r₁r₂]P_U+[-c₁c₂h]P_A＝[(r₁r₂)u-h]d_A)

若完成T、V计算之后由第2号装置计算S＝T+V，则T、V计算过程中z₂的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)。

实施例2、

实施例2与实施例1的差别在于，c₁是非秘密，其取值为1或其他[1,n-1]中的整数(其他在[1,n-1]中主观任意或随机选择的整数)，P_A不公开由第1号装置作为秘密保存(当然若P_U＝P_A，则P_U也不公开，也作为秘密由第1号装置保存)，且P_B≠P_A，其他不变。

实施例3、

此实施例有m个分别标号为第1号，第2号，…，到第m号的装置，m≥2，其中第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂…c_m)modn为m个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是m个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异(二者不同或者相同)；

g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

在群G₁中任选一个用户私钥d_A之外的非零元P_B(固定选取，比如固定选P_B＝P₁，或者主观任意选择，或者随机选择，比如，在[1,n-1]中随机选择一个整数b，计算P_B＝[b]P₁或P_B＝[b]d_A)；

m个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置首先通过交互计算得到w＝g_U^(r₁r₂…r_m)，其中r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，i＝1,…,m；

然后，(m个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(m个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置按前述T、V协同计算方法一计算得到

T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，

V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A，即：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，取Q_m＝P_B；

计算得到D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B，取D_m＝P_B；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取T₀＝P_U，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，V₁＝[z₁]D₁+[c₁]V₀，将T₁、V₁传送给第2号装置；

第i号装置接收到T_i-1、V_i-1后，i＝2,…,m，若检查发现T_i-1为零元，则报错，否则，在[1,n-1]中随机选择一个整数z_i或取z_i＝a_i，计算T_i＝[r_i]T_i-1+[-z_i]Q_i，V_i＝[z_i]D_i+[c_i]V_i-1；

若i＝m，则取T＝T_m，V＝V_m，完成T、V计算，否则，第i号装置将T_i、V_i传送给第i+1号装置，直到完成T_m、V_m计算；

(此时T＝[r₁r₂…r_m]P_U+[-z₁a₂a₃…a_m-z₂a₃…a_m-…-z_m-1a_m-z_m]P_B，

V＝[z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m]P_B+[-(c₁c₂…c_m)h]P_A)

最后，(m个装置中的一个装置或其他装置)计算S＝T+V，则(h,S)为针对消息M的数字签名。

(此时S＝[r₁r₂…r_m]P_U+[-c₁c₂…c_mh]P_A＝[(r₁r₂…r_m)u-h]d_A)

若完成T、V计算之后由第m号装置计算S＝T+V，则T、V计算过程中z_m的取值允许为0或[1,n-1]中的整数常数(当然是随机整数也没问题)。

实施例4、

实施例4与实施例3的差别在于，c₁是非秘密，其取值为1或其他[1,n-1]中的整数(其他在[1,n-1]中主观任意或随机选择的整数)，P_A不公开由第1号装置作为秘密保存(当然若P_U＝P_A，则P_U也不公开，也作为秘密由第1号装置保存)，且P_B≠P_A，其他不变。

实施例5、

此实施例有两个标号为第1号、第2号的装置，第1号装置保存有[1,n-1]区间内的整数秘密c₁，第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂)mod n为两个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是两个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异(二者不同或者相同)；

g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

取P_B＝P_A；

两个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置通过交互计算得到w＝g_U^(r₁r₂)，其中r₁是计算过程中第1号装置在[1,n-1]区间内随机选择的整数，r₂是计算过程中第2号装置在[1,n-1]区间内随机选择的整数；

然后，(两个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(两个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

之后，两个装置按前述T、V协同计算方法二计算得到

T＝[r₁r₂]P_U+[-F(z₁,z₂)]P_B，V＝[F(z₁,z₂)]P_B+[-c₁c₂h]P_A，即：

计算得到Q₁＝[(r₂)^-1a₂]P_B，取Q₂＝P_B；

计算得到d₁＝(a₂(c₂)^-1)mod n，取d₂＝1；

其中，a₂为计算过程中第2号装置在[1,n-1]中随机选取的整数；

取T₀＝P_U，v₀＝-h；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，v₁＝(z₁d₁+c₁v₀)mod n，将T₁、v₁传送给第2号装置；

第2号装置接收到T₁、v₁后，若检查发现T₁为零元，则报错，否则，在[1,n-1]中随机选择一个整数z₂，计算T₂＝[r₂]T₁+[-z₂]Q₂，v₂＝(z₂d₂+c₂v₁)mod n；

取T＝T₂，(两个装置中的一个装置或其他装置)计算V＝[v₂]P_A，完成T、V计算；

(此时T＝[r₁r₂]P_U+[-z₁a₂-z₂]P_B，V＝[z₁a₂+z₂]P_B+[-(c₁c₂)h]P_A)

最后，(两个装置中的一个装置或其他装置)计算S＝T+V，则(h,S)为针对消息M的数字签名。

(此时S＝[r₁r₂]P_U+[-c₁c₂h]P_A＝[(r₁r₂)u-h]d_A)

若由第2号装置计算V＝[v₂]P_A，且完成T、V计算之后由第2号装置计算S＝T+V，则T、V计算过程中z₂的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)。

实施例6、

实例6与实施例5的差别在于，c₂是非秘密，其取值为1或其他[1,n-1]中的整数(其他在[1,n-1]中主观任意或随机选择的整数)，P_U≠P_A(即u和c^-1互异)，P_A不公开由第2号装置作为秘密保存(当然P_B也不公开)，由第2号装置计算V＝[v₂]P_A，其他不变。

实施例7、

此实施例有m个分别标号为第1号，第2号，…，到第m号的装置，m≥2，其中第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂…c_m)modn为m个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是m个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异(二者不同或者相同)；

g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

取P_B＝P_A；

m个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置首先通过交互计算得到w＝g_U^(r₁r₂…r_m)，其中r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，i＝1,…,m；

然后，(m个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(m个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置按前述T、V协同计算方法二计算得到

T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，

V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A，即：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，取Q_m＝P_B；

计算得到d₁＝((a₂a₃…a_m)(c₂c₃…c_m)^-1)mod n，d₂＝((a₃…a_m)(c₃…c_m)^-1)modn，…，d_m-1＝(a_m(c_m)^-1)mod n，取d_m＝1；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取T₀＝P_U，v₀＝-h；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，v₁＝(z₁d₁+c₁v₀)mod n，将T₁、v₁传送给第2号装置；

第i号装置接收到T_i-1、v_i-1后，i＝2,…,m，若检查发现T_i-1为零元，则报错，否则，在[1,n-1]中随机选择一个整数z_i，计算T_i＝[r_i]T_i-1+[-z_i]Q_i，v_i＝(z_id_i+c_iv_i-1)mod n；

若i＝m，则取T＝T_m，(m个装置中的一个装置或其他装置)计算V＝[v_m]P_A，完成T、V计算，否则，第i号装置将T_i、v_i传送给第i+1号装置，直到完成T_m、v_m计算；

(此时T＝[r₁r₂…r_m]P_U+[-z₁a₂a₃…a_m-z₂a₃…a_m-…-z_m-1a_m-z_m]P_B，

V＝[z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m]P_B+[-(c₁c₂…c_m)h]P_A)

最后，(m个装置中的一个装置或其他装置)计算S＝T+V，则(h,S)为针对消息M的数字签名。

(此时S＝[r₁r₂…r_m]P_U+[-c₁c₂…c_mh]P_A＝[(r₁r₂…r_m)u-h]d_A)

若由第m号装置计算V＝[v_m]P_A，且完成T、V计算之后由第m号装置计算S＝T+V，则T、V计算过程中z_m的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)。

实施例8、

实例8与实施例7的差别在于，c_m是非秘密，其取值为1或其他[1,n-1]中的整数(其他在[1,n-1]中主观任意或随机选择的整数)，P_U≠P_A(即u和c^-1互异)，P_A不公开由第m号装置作为秘密保存(当然P_B也不公开)，由第m号装置计算V＝[v_m]P_A，其他不变。

实施例9、

此实施例有两个标号为第1号、第2号的装置，第1号装置保存有[1,n-1]区间内的整数秘密c₁，第2号装置保存有[1,n-1]区间内的整数秘密c₂，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂)mod n为两个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是两个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异(二者不同或者相同)；

g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

取P_B＝P_U；

两个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，两个装置通过交互计算得到w＝g_U^(r₁r₂)，其中r₁是计算过程中第1号装置在[1,n-1]区间内随机选择的整数，r₂是计算过程中第2号装置在[1,n-1]区间内随机选择的整数；

然后，(两个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(两个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；

之后，两个装置按前述T、V协同计算方法三计算得到

T＝[r₁r₂]P_U+[-F(z₁,z₂)]P_B，V＝[F(z₁,z₂)]P_B+[-c₁c₂h]P_A，即：

计算得到q₁＝((r₂)^-1a₂)mod n，取q₂＝1；

计算得到D₁＝[a₂(c₂)^-1]P_B，取D₂＝P_B；

其中，a₂为计算过程中第2号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取t₀＝1，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算t₁＝(r₁t₀-z₁q₁)mod n，V₁＝[z₁]D₁+[c₁]V₀，将t₁、V₁传送给第2号装置；

第2号装置接收到t₁、V₁后，若检查发现t₁为0，则报错，否则，在[1,n-1]中随机选择一个整数z₂，计算t₂＝(r₂t₁-z₂q₂)mod n，V₂＝[z₂]D₂+[c₂]V₁；

(两个装置中的一个装置或之外的装置)计算T＝[t₂]P_B，取V＝V₂；

(此时T＝[r₁r₂]P_U+[-z₁a₂-z₂]P_B，V＝[z₁a₂+z₂]P_B+[-(c₁c₂)h]P_A)

最后，(两个装置中的一个装置或其他装置)计算S＝T+V，则(h,S)为针对消息M的数字签名。

(此时S＝[r₁r₂]P_U+[-c₁c₂h]P_A＝[(r₁r₂)u-h]d_A)

若由第2号装置计算T＝[t₂]P_B，且完成T、V计算之后由第2号装置计算S＝T+V，则T、V计算过程中z₂的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)。

实施例10、

实例10与实施例9的差别在于，c₁是非秘密，其取值为1或其他[1,n-1]中的整数(其他在[1,n-1]中主观任意或随机选择的整数)，P_B≠P_A(即P_U≠P_A，u和c^-1互异)，P_A不公开由第1号装置作为秘密保存，其他不变。

实施例11、

此实施例有m个分别标号为第1号，第2号，…，到第m号的装置，m≥2，其中第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶(为素数)；

(初始化阶段)预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂…c_m)modn为m个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是m个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异(二者不同或者相同)；

g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

取P_B＝P_U；

m个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置首先通过交互计算得到w＝g_U^(r₁r₂…r_m)，其中r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，i＝1,…,m；

然后，(m个装置中的一个装置或其他装置)计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

(m个装置中的一个装置或其他装置)检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置按前述T、V协同计算方法三计算得到

T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，

V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A，即：

计算得到q₁＝((r₂r₃…r_m)^-1(a₂a₃…a_m))mod n，q₂＝((r₃…r_m)^-1(a₃…a_m))modn，…，q_m-1＝((r_m)^-1a_m)mod n，取q_m＝1；

计算得到D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B，取D_m＝P_B；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取t₀＝1，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算t₁＝(r₁t₀-z₁q₁)mod n，V₁＝[z₁]D₁+[c₁]V₀，将t₁、V₁传送给第2号装置；

第i号装置接收到t_i-1、V_i-1后，i＝2,…,m，若检查发现t_i-1为0，则报错，否则，在[1,n-1]中随机选择一个整数z_i，计算t_i＝(r_it_i-1-z_iq_i)mod n，V_i＝[z_i]D_i+[c_i]V_i-1；

若i＝m，则(m个装置中的一个装置或之外的装置)计算T＝[t_m]P_B，取V＝V_m，完成T、V计算，否则，第i号装置将T_i、V_i传送给第i+1号装置，直到完成T_m、V_m计算；

(此时T＝[r₁r₂…r_m]P_U+[-z₁a₂a₃…a_m-z₂a₃…a_m-…-z_m-1a_m-z_m]P_B，

V＝[z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m]P_B+[-(c₁c₂…c_m)h]P_A)

最后，(m个装置中的一个装置或其他装置)计算S＝T+V，则(h,S)为针对消息M的数字签名。

(此时S＝[r₁r₂…r_m]P_U+[-c₁c₂…c_mh]P_A＝[(r₁r₂…r_m)u-h]d_A)

若由第m号装置计算T＝[t_m]P_B，且完成T、V计算之后由第m号装置计算S＝T+V，则T、V计算过程中z_m的取值允许为0或[1,n-1]中的整数常数(当然是[1,n-1]内的随机整数也没问题)。

实施例12、

实例12与实施例11的差别在于，c₁是非秘密，其取值为1或其他[1,n-1]中的整数(其他在[1,n-1]中主观任意或随机选择的整数)，P_B≠P_A(即P_U≠P_A，u和c^-1互异)，P_A不公开由第1号装置作为秘密保存，其他不变。

在以上各实施例1-12中，若在计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

在以上实施例1-12中，m个装置计算得到w＝g_U^(r₁r₂…r_m)的方法包括(不是全部可能的方式)：

第1号装置计算g₁＝g_U^r₁，将g₁发送第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，计算g_i＝g_i-1^r_i；

若i＝m，则取w＝g_m，完成计算，否则，第i号装置将g_i传送给第i+1号装置；

或者，

第m号装置计算g_m＝g_U^r_m，将g_m发送第m-1号装置；

第i号装置接收g_i+1到后，i＝m-1,…,1，计算g_i＝g_i+1^r_i；

若i＝1，则取w＝g₁，完成计算，否则，第i号装置将g_i传送给第i-1号装置。

对于以上实施例1-4，m个装置可以按前述计算得到

Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，

以及D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B的三个方案中的一个计算得到Q₁，Q₂，…，Q_m-1，以及D₁，D₂，…，D_m-1。

对于以上实施例5-8，m个装置可以按前述计算得到

Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^-1a_m]P_B，

以及d₁＝((a₂a₃…a_m)(c₂c₃…c_m)^-1)mod n，d₂＝((a₃…a_m)(c₃…c_m)^-1)mod n，…，d_m-1＝(a_m(c_m)^-1)mod n的方法计算得到Q₁，Q₂，…，Q_m-1，以及d₁，d₂，…，d_m-1。

对于以上实施例1-12，m个装置可以按前述计算得到

q₁＝((r₂r₃…r_m)^-1(a₂a₃…a_m))mod n，q₂＝((r₃…r_m)^-1(a₃…a_m))mod n，…，q_m-1＝((r_m)^-1a_m)mod n

以及D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B的方法计算得到q₁，q₂，…，q_m-1以及D₁，D₂，…，D_m-1。

在以上实施例中，若m个装置分别有[1,n-1]区间内的整数秘密c₁，c₂,…,c_m，则在初始化阶段的一种初始化方法如下：

知道d_A的装置，在[1,n-1]区间内随机选择m个整数作为c₁，c₂,…,c_m，交由m个装置作为秘密保存；

计算P_A＝[c^-1]d_A，其中，c^-1为c的模n乘法逆，c＝(c₁c₂…c_m)mod n为m个装置都没有保存的整数秘密；

计算P_U＝[u]d_A，其中u是知道d_A的装置在[1,n-1]区间内随机选择的整数；

计算g_U＝g^u，其中^是幂运算(对^前面的元进行幂运算，^后面为幂运算的次数)，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥(即P_pub＝[s]P₂，s为主私钥或主密钥，P₂为G₂中的生成元，参见SM9规范)；

在群G₁中任选一个用户私钥d_A之外的非零元P_B(固定选取，比如固定选P_B＝P₁，或者主观任意选择，或者随机选择，比如，在[1,n-1]中随机选择一个整数b，计算P_B＝[b]P₁或P_B＝[b]d_A)；

之后，将P_U、P_B、P_A、g_U交给需要使用的装置，将c、u销毁。

在以上实施例中，若P_B＝P_A，则在初始化阶段知道d_A的装置选取P_B＝P_A。

在以上实施例中，若P_U＝P_B，则在初始化阶段知道d_A的装置选取P_U＝P_B。

在以上实施例中，若c₁是取值为1或其他[1,n-1]中的整数的非秘密，则在初始化阶段c₂,…,c_m选取为[1,n-1]中随机选择的整数，并交由第2号，…，第m号装置保存。

在以上实施例中，若c_m是取值为1或其他[1,n-1]中的整数的非秘密，则在初始化阶段c₁,…,c_m-1选取为[1,n-1]中随机选择的整数，并交由第1号，…，第m-1号装置保存。

在以上实施例中，若出现取P_B≠P_A的情况，则在初始化阶段在[1,n-1]内随机选择一个非1的整数b，然后计算P_B＝[b]d_A。

在以上实施例中，若出现取P_U≠P_A(即u和c^-1互异)的情况，则在初始化阶段在[1,n-1]内随机选择一个非c^-1的整数u，然后计算P_U＝[u]d_A。

依据本发明的借助中间参数的SM9数字签名协同生成方法可构建SM9数字签名协同生成***，***包括m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置通过实施所述借助中间参数的SM9数字签名协同生成方法，包括实施前述实施例1-12，生成针对消息M的数字签名。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims (10)

1.一种借助中间参数的SM9数字签名协同生成方法，其特征是：

所述方法涉及m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；

第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶；

预先计算有：

P_A＝[c^-1]d_A，其中d_A为用户的SM9标识私钥，c^-1为c的模n乘法逆，c＝(c₁c₂…c_m)mod n为m个装置都没有保存的整数秘密；

P_U＝[u]d_A，其中u是m个装置都没有保存的[1,n-1]区间内的整数秘密；

u和c^-1不必互异；

g_U＝g^u，其中^是幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

在群G₁中任选一个用户私钥d_A之外的非零元P_B；

m个装置都不保存d_A；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：

首先，m个装置通过交互计算得到w＝g_U^(r₁r₂…r_m)，其中r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，i＝1,…,m；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A，其中r₁,r₂,…,r_m分别是计算w的过程中第1号，第2号，…，第m号装置在[1,n-1]中选择的整数，z₁,z₂,…,z_m分别是在计算T、V的过程中第1号，第2号，…，第m号装置在[1,n-1]中随机选择的整数，F(z₁,z₂,…,z_m)是针对z₁,z₂,…,z_m的如下计算式：

F(z₁,z₂,…,z_m)≡z₁a₂a₃…a_m+z₂a₃…a_m+…+z_m-1a_m+z_m(mod n)；

其中，a_i为计算T、V的过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

最后，计算S＝T+V，则(h,S)是针对消息M的数字签名。

2.根据权利要求1所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

若在以上计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。

3.根据权利要求1所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

m个装置计算得到w＝g_U^(r₁r₂…r_m)的方法包括：

第1号装置计算g₁＝g_U^r₁，将g₁发送第2号装置；

第i号装置接收到g_i-1后，i＝2,…,m，计算g_i＝g_i-1^r_i；

若i＝m，则取w＝g_m，完成计算，否则，第i号装置将g_i传送给第i+1号装置；

或者，

第m号装置计算g_m＝g_U^r_m，将g_m发送第m-1号装置；

第i号装置接收g_i+1到后，i＝m-1,…,1，计算g_i＝g_i+1^r_i；

若i＝1，则取w＝g₁，完成计算，否则，第i号装置将g_i传送给第i-1号装置。

4.根据权利要求1所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A的一种方法如下：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^{- 1}a_m]P_B，取Q_m＝P_B；

计算得到D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B，取D_m＝P_B；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取T₀＝P_U，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，V₁＝[z₁]D₁+[c₁]V₀，将T₁、V₁传送给第2号装置；

第i号装置接收到T_i-1、V_i-1后，i＝2,…,m，若检查发现T_i-1为零元，则报错，否则，在[1,n-1]中随机选择一个整数z_i或取z_i＝a_i，计算T_i＝[r_i]T_i-1+[-z_i]Q_i，V_i＝[z_i]D_i+[c_i]V_i-1；

若i＝m，则取T＝T_m，V＝V_m，完成T、V计算，否则，第i号装置将T_i、V_i传送给第i+1号装置，直到完成T_m、V_m计算；

若完成T、V计算之后由第m号装置计算S＝T+V，则z_m的取值允许为0或[1,n-1]中的整数常数；

若P_A不公开由第1号装置作为秘密保存，P_B≠P_A，则将c₁作为非秘密时，以上所述计算T、V的方法以及所述借助中间参数的SM9数字签名协同生成方法仍然成立。

5.根据权利要求1所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

若P_B＝P_A，则m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A的一种方法如下：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^{- 1}a_m]P_B，取Q_m＝P_B；

计算得到d₁＝((a₂a₃…a_m)(c₂c₃…c_m)^-1)mod n，d₂＝((a₃…a_m)(c₃…c_m)^-1)mod n，…，d_m-1＝(a_m(c_m)^-1)mod n，取d_m＝1；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取T₀＝P_U，v₀＝-h；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算T₁＝[r₁]T₀+[-z₁]Q₁，v₁＝(z₁d₁+c₁v₀)mod n，将T₁、v₁传送给第2号装置；

第i号装置接收到T_i-1、v_i-1后，i＝2,…,m，若检查发现T_i-1为零元，则报错，否则，在[1,n-1]中随机选择一个整数z_i，计算T_i＝[r_i]T_i-1+[-z_i]Q_i，v_i＝(z_id_i+c_iv_i-1)mod n；

若i＝m，则取T＝T_m，计算V＝[v_m]P_A，完成T、V计算，否则，第i号装置将T_i、v_i传送给第i+1号装置，直到完成T_m、v_m计算；

若由第m号装置计算V＝[v_m]P_A，且完成T、V计算之后由第m号装置计算S＝T+V，则z_m的取值允许为0或[1,n-1]中的整数常数；

若P_A不公开由第m号装置作为秘密保存，P_U≠P_A，且由第m号装置计算V＝[v_m]P_A，则将c_m作为非秘密时，以上所述计算T、V的方法以及所述借助中间参数的SM9数字签名协同生成方法仍然成立。

6.根据权利要求1所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

若P_B＝P_U，则m个装置协同计算得到T＝[r₁r₂…r_m]P_U+[-F(z₁,z₂,…,z_m)]P_B，V＝[F(z₁,z₂,…,z_m)]P_B+[-c₁c₂…c_mh]P_A的一种方法如下：

计算得到q₁＝((r₂r₃…r_m)^-1(a₂a₃…a_m))mod n，q₂＝((r₃…r_m)^-1(a₃…a_m))mod n，…，q_m-1＝((r_m)^-1a_m)mod n，取q_m＝1；

计算得到D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B，取D_m＝P_B；

其中，a_i为计算过程中第i号装置在[1,n-1]中随机选取的整数，i＝2,…,m；

取t₀＝1，V₀＝[-h]P_A；

第1号装置在[1,n-1]中随机选择一个整数z₁，计算t₁＝(r₁t₀-z₁q₁)mod n，V₁＝[z₁]D₁+[c₁]V₀，将t₁、V₁传送给第2号装置；

第i号装置接收到t_i-1、V_i-1后，i＝2,…,m，若检查发现t_i-1为0，则报错，否则，在[1,n-1]中随机选择一个整数z_i，计算t_i＝(r_it_i-1-z_iq_i)mod n，V_i＝[z_i]D_i+[c_i]V_i-1；

若i＝m，则计算T＝[t_m]P_B，取V＝V_m，完成T、V计算，否则，第i号装置将T_i、V_i传送给第i+1号装置，直到完成T_m、V_m计算；

若由第m号装置计算T＝[t_m]P_B，且完成T、V计算之后由第m号装置计算S＝T+V，则z_m的取值允许为0或[1,n-1]中的整数常数；

若P_A不公开由第1号装置作为秘密保存，P_B≠P_A，则将c₁作为非秘密时，以上所述计算T、V的方法以及所述借助中间参数的SM9数字签名协同生成方法仍然成立。

7.根据权利要求4所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^{- 1}a_m]P_B，

以及D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B的方法包括如下方案：

方案一：

第m号装置取Q_m＝P_B，D_m＝P_B，在[1,n-1]中随机选取一个整数a_m，计算Q_m-1＝[(r_m)^-1a_m]Q_m，D_m-1＝[a_m(c_m)^-1]D_m，将Q_m-1、D_m-1发送给第m-1号装置；

第i号装置接收到Q_i、D_i后，i＝m-1,…,1，若i＝1，则第1号装置将Q₁、D₁临时保留，完成Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的计算，否则，第i号装置在[1,n-1]中随机选取一个整数a_i，计算Q_i-1＝[(r_i)^-1a_i]Q_i，D_i-1＝[a_i(c_i)^-1]D_i，将Q_i、D_i临时保留，将Q_i-1、D_i-1传送给第i-1号装置；

在计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的Q_i或D_i为零元，i＝m-1,…,1，则报错；

方案二：

m个装置按计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的方案一的方式计算、保存Q₁,Q₂,…,Q_m-1；

第m号装置取d_m＝1，在[1,n-1]中随机选取一个整数a_m，计算d_m-1＝(a_m(c_m)^-1)d_m)mod n，将d_m-1发送给第m-1号装置；

第i号装置接收到d_i后，i＝m-1,…,1，若i＝1，则第1号装置计算D₁＝[d₁]P_B，将D₁临时保留，完成D₁,D₂,…,D_m-1的计算，否则，第i号装置计算D_i＝[d_i]P_B，在[1,n-1]中随机选取一个整数a_i，计算d_i-1＝(a_i(c_i)^-1d_i)mod n，将D_i临时保留，将d_i-1传送给第i-1号装置；

在计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的Q_i为零元或d_i为0，i＝m-1,…,1，则报错；

方案三：

m个装置按计算Q₁,Q₂,…,Q_m-1以及D₁,D₂,…,D_m-1的方案一的方式计算、保存D₁,D₂,…,D_m-1；

第m号装置取q_m＝1，在[1,n-1]中随机选取一个整数a_m，计算q_m-1＝((r_m)^-1a_mq_m)mod n，将q_m-1发送给第m-1号装置；

第i号装置接收到q_i后，i＝m-1,…,1，若i＝1，则第1号装置计算Q₁＝[q₁]P_B，将Q₁临时保留，完成Q₁,Q₂,…,Q_m-1的计算，否则，第i号装置计算Q_i＝[q_i]P_B，在[1,n-1]中随机选取一个整数a_i，计算q_i-1＝((r_i)^-1a_iq_i)mod n，将Q_i临时保留，将q_i-1传送给第i-1号装置；

在计算q₁,q₂,…,q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的q_i为0或D_i为零元，i＝m-1,…,1，则报错。

8.根据权利要求5所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

计算得到Q₁＝[(r₂r₃…r_m)^-1(a₂a₃…a_m)]P_B，Q₂＝[(r₃…r_m)^-1(a₃…a_m)]P_B，…，Q_m-1＝[(r_m)^{- 1}a_m]P_B，

以及d₁＝((a₂a₃…a_m)(c₂c₃…c_m)^-1)mod n，d₂＝((a₃…a_m)(c₃…c_m)^-1)mod n，…，d_m-1＝(a_m(c_m)^-1)mod n的一种方法如下：

第m号装置取Q_m＝P_B，d_m＝1，在[1,n-1]中随机选取一个整数a_m，计算Q_m-1＝[(r_m)^-1a_m]Q_m，d_m-1＝(a_m(c_m)^-1)d_m)mod n，将Q_m-1、d_m-1发送给第m-1号装置；

第i号装置接收到Q_i、d_i后，i＝m-1,…,1，若i＝1，则第1号装置将Q₁、d₁临时保留，完成Q₁,Q₂,…,Q_m-1以及d₁,d₂,…,d_m-1的计算，否则，第i号装置在[1,n-1]中随机选取一个整数a_i，计算Q_i-1＝[(r_i)^-1a_i]Q_i，d_i-1＝(a_i(c_i)^-1d_i)mod n，将Q_i、d_i临时保留，将Q_i-1、d_i-1传送给第i-1号装置；

在计算Q₁,Q₂,…,Q_m-1以及d₁,d₂,…,d_m-1的过程中，若第i号装置检查发现接收到的Q_i为零元或d_i为0，i＝m-1,…,1，则报错。

9.根据权利要求6所述的借助中间参数的SM9数字签名协同生成方法，其特征是：

计算得到q₁＝((r₂r₃…r_m)^-1(a₂a₃…a_m))mod n，q₂＝((r₃…r_m)^-1(a₃…a_m))mod n，…，q_m-1＝((r_m)^-1a_m)mod n，

以及D₁＝[(a₂a₃…a_m)(c₂c₃…c_m)^-1]P_B，D₂＝[(a₃…a_m)(c₃…c_m)^-1]P_B，…，D_m-1＝[a_m(c_m)^-1]P_B的一种方法如下：

第m号装置取q_m＝1，D_m＝P_B，在[1,n-1]中随机选取一个整数a_m，计算q_m-1＝((r_m)^-1a_mq_m)mod n，D_m-1＝[a_m(c_m)^-1]D_m，将q_m-1、D_m-1发送给第m-1号装置；

第i号装置接收到q_i、D_i后，i＝m-1,…,1，若i＝1，则第1号装置将q₁、D₁临时保留，完成q₁,q₂,…,q_m-1以及D₁,D₂,…,D_m-1的计算，否则，第i号装置在[1,n-1]中随机选取一个整数a_i，计算q_i-1＝((r_i)^-1a_iq_i)mod n，D_i-1＝[a_i(c_i)^-1]D_i，将q_i、D_i临时保留，将q_i-1、D_i-1传送给第i-1号装置；

在计算q₁,q₂,…,q_m-1以及D₁,D₂,…,D_m-1的过程中，若第i号装置检查发现接收到的q_i为0或D_i为零元，i＝m-1,…,1，则报错。

10.一种基于权利要求1-9中任一项所述的借助中间参数的SM9数字签名协同生成方法的SM9数字签名协同生成***，其特征是：

所述***包括m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；第i号装置保存有[1,n-1]区间内的整数秘密c_i，i＝1,…,m；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按所述借助中间参数的SM9数字签名协同生成方法生成针对消息M的数字签名。