[发明专利]一种轻量级SM2盲签名生成方法及系统

权利要求书

1.一种轻量级SM2盲签名生成方法，签名参与方包括签名者Signer和用户User，其特征在于，包括以下步骤：

1)签名参数初始化

产生整个签名过程中所需的公开参数；所述参数包括：SM2算法的椭圆曲线相关参数(q，F_q，n，G)、密码杂凑函数H_v()；

其中，q为大素数，F_q为包含q个元素的有限域，n为素数，G为椭圆曲线的一个基点，其阶为n；

2)生成签名者Signer的密钥；

签名者Signer的签名私钥为x，公钥为Q＝[x]G；其中，x为签名者产生的一个位于集合{1,2,…,n-1}中的随机数；

3)生成消息M的签名

3.1)Signer在集合{1,2,…,n-1}中选择第一个随机数k，计算第一个临时变量K＝[k]G，并将K发送给User；

3.2)User收到K后，在集合{1,2,…,n-1}中选择两个随机数α,β，计算第二个临时变量K′＝[α]K+[β]G，令K′＝(r_x,r_y)；

计算消息M的哈希值，e＝H_v(Z_A||M)，计算签名值r＝r_x+e mod n，并计算第三个临时变量r′＝α^-1(r+β)，最后将r′发送给Signer；其中，Z_A表示Signer的用户身份标识；

3.3)Signer收到r′后，计算出临时签名s′＝(1+x)^-1(k-r′x)mod n，并将s′发送给User；

User收到s′后计算出签名值s＝α·s′+β，并输出签名(r,s)；

4)签名验证；生成签名(r,s)后，对签名进行验证，若验证不通过，则返回步骤3.1)重新生成签名；

2.根据权利要求1所述的轻量级SM2盲签名生成方法，其特征在于，所述步骤4)中签名的验证方法如下：

4.1)检查r是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查s是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则进入下一步；

4.2)计算消息M的哈希值，e＝H_v(Z_A||M)；

4.3)计算临时变量t＝r+s mod n，若t＝0则验证不通过，否则进入下一步；

4.4)计算椭圆曲线上的点(r_x,r_y)＝[s]G+[t]Q；

4.5)计算R＝e+r_x mod n；

4.6)若R＝r则验证通过。