[发明专利]一种多方联合生成SM2数字签名的方法

权利要求书

1.一种多方联合生成SM2数字签名的方法，其特征在于，参与数字签名的所有参与方为P₁,P₂,…,P_τ，该方法包括以下步骤：

1)每个参与方分别产生自己的部分私钥，并借助理想函数得到共同的公钥；

其中，使用理想函数实现基本的运算操作，具体包括以下几个运算操作，其中，sid为特定标识符，用来标识变量或会话：

当收到某参与方P_i，i∈{1,…,τ}发来的(input,sid,a_i)，如果本地没有(sid,i,·)，则保存(sid,i,a_i)；否则忽略此条消息；

当收到所有参与方发来的(input,sid,a_i)，i∈{1,…,τ}，计算保存(sid,a)，并把(input,sid)发送给所有参与方；

当收到所有参与方发来的(mult,sid₁,sid₂)，i∈{1,…,τ}，找出(sid₁,a)和(sid₁,b)，计算并以(mult-out,sid₁,sid₂,c)的形式把结果发给所有参与方；如果没有保存的(sid₁,a)或(sid₁,b)，则忽略此条消息；

当收到某参与方P_i，i∈{1,…,τ}发来的(affine,sid₁,sid₂,x,y)时，其中x,y是域内的常数，如果本地没有(sid₁,a)，则忽略此条消息；否则计算b＝ax+y mod n，保存(sid₂,b)；

当收到所有参与方发来的(element-out,sid),i∈{1,…,τ}，如果本地没有(sid,a)，则忽略此条消息；否则计算A＝aG，即,并以(element-out,sid,A)的形式把结果发给所有参与方；

步骤1)具体如下：

1.1)参与方P_i，i∈{1,…,τ}，在中随机选择一个整数x_i作为自己的部分私钥，发送(input,sid_sk,x_i)给理想函数其中，sid_sk为唯一私钥标识符；

其中，为以整数n为阶的整数域；

1.2)若没有(sid_sk,i,·)，则保存(sid_sk,i,x_i)；否则忽略此条消息；

1.3)若收到所有参与方发来的(input,sid_sk,x_i)，

计算保存(sid_sk,x)，并把(input,sid_sk)发送给所有参与方；

1.4)当所有参与方接收到返回的(input,sid_sk)后，发送(element-out,sid_sk)给

1.5)当收到所有参与方发来的(element-out，sid_sk)，如果没有(sid_sk，x)，则忽略此条消息；否则计算Q＝xG，并以(element-out,sid_sk,Q)的形式把结果发给所有参与方；其中，G为椭圆曲线点群的基点；

1.6)所有参与方从的返回中获得中间变量Q，计算P_pub＝(Q-G)作为SM2的公钥，连同部分私钥x_i一起安全保存；

2)由P₁,P₂,…,P_τ共同完成SM2数字签名；

2.1)P_i在中随机选择两个整数k_i、ρ_i，发送(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)给其中，整数整数并且分别由sid_sig||1和sid_sig||2唯一标识；sid_sig为签名会话的标识符；

2.2)当收到某参与方P_i，i∈{1,…,τ}发来的(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)，如果没有(sid_sig||1,i,·)和(sid_sig||2,i,·)，则保存(sid_sig||1,i,k_i)和(sid_sig||2,i,ρ_i)；否则忽略此条消息；

当收到所有参与方发来的(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)，i∈{1,…,τ}，计算保存(sid_sig||1,k)和(sid_sig||2，ρ)，并把(input，sid_sig||1)和(input，sid_sig||2)发送给所有参与方；

2.3)当参与方接收到(input，sid_sig||1)，(input，sid_sig||2)后，P_i发送(mult，sid_sk，sid_sig||2)和(element-out,sid_sig||1)给

2.4)当收到所有参与方发来的(mult，sid_sk,sid_sig||2)，i∈{1，…，τ}，找出(sid_sk，x)和(sid_sig||2，ρ)，计算并以(mult-out，sid_sk，sid_sig||2，α)的形式把结果发给所有参与方；如果没有(sid_sk，x)或(sid_sig||2,ρ)，则忽略此条消息；

当收到所有参与方发来的(element-out,sid_sig||1),i∈{1，…，τ}，如果没有(sid_sig||1，k)，则忽略此条消息；否则计算R＝kG，并以(element-out，sid_sig||1，R)的形式把结果发给所有参与方；

2.5)P_i从返回的(element-out，sid_sig||1，R)和(mult-out,sid_sk,sid_sig||2,α)中获得第一个中间变量R，和第二个中间变量α，α＝xρmod n；

2.6)令R＝(r_x,r_y)，P_i计算第一部分签名r＝e+r_x mod n，其中e是消息m的杂凑值，e＝h(m)；

2.7)P_i发送(affine，sid_sig||1，sid_sig||3，1，r)给标识符sid_sig||3代表了第三个中间变量，等于k+r mod n；

2.8)当收到某参与方P_i，i∈{1，…，τ}发来的(affine，sid_sig||1，sid_sig||3，1，r)时，其中x，y是域内的常数，如果没有(sid_sig||1，k)，则忽略此条消息，否则计算b＝k+rmod n，保存(sid_sig||3，b)；

2.9)P_i发送(mult，sid_sig||2，sid_sig||3)给

2.10)当收到所有参与方发来的(mult,sid_sig||2，sid_sig||3)，i∈{1，…，τ}，找出(sid_sig||2，ρ)和(sid_sig||3，b)，计算β＝ρb mod n＝ρ(k+r)mod n并以(mult-out，sid_sig||2,sid_sig||3，β)的形式把结果发给所有参与方；如果没有(sid_sig||2，ρ)或(sid_sig||3，b)，则忽略此条消息；

2.11)当返回(mult-out，sid_sig||2，sid_sig||3，β)时，P_i获得第四个中间变量β，β＝ρ(k+r)mod n；

2.12)P_i计算第五个中间变量s′＝α^-1β-r mod n，为了保持签名一致，选取s＝min{s′，n-s′}作为第二部分签名；

2.13)P_i利用SM2的数字签名验证算法验证产生的签名，若通过则公布关于消息m的SM2签名Sig＝(r，s)；

2.14)根据所有参与方P_i密钥对，联合生成SM2数字签名。

2.根据权利要求1所述的多方联合生成SM2数字签名的方法，其特征在于，所述步骤1)中，在P₁，P₂，…，P_τ之间的通信中，各参与方使用零知识证明和同态加密保证发送数据的隐私性并且证明发送的数据是来自发送方。