[发明专利]一种SM9数字签名安全协同生成方法及系统

权利要求书

1.一种SM9数字签名安全协同生成方法，其特征是：

所述方法涉及m个分别标号为第1号，第2号，…，第m号的装置，m≥2；

第i号装置保存有秘密d_Ai，i＝1,2,…,m，且d_A1+d_A2+…+d_Am＝d_A，其中d_A为用户的SM9标识私钥；

初始化阶段计算有g_B＝g^b，其中b是[1,n-1]内的对m个装置保密或不保密的整数，n为SM9密码算法中群G₁、G₂、G_T的阶，^是幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；

当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的协同生成：

首先，m个装置通过交互计算得到w＝g_B^(r₁r₂…r_m)，其中，r_i是计算过程中第i号装置在[1,n-1]区间内随机选择的整数，r_i称为第i号装置的r参数，i＝1,2,…,m；

然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；

检查w与g^h是否相等，若w＝g^h，则m个装置重新进行w的计算，直到w≠g^h；

之后，m个装置在不暴露各自的r参数的情况下协同计算得到Q_i＝[m^-1br₁r₂…r_m]d_A，i＝1,2,…,m，其中m^-1是m的模n乘法逆，或者计算得到Q_i＝[br₁r₂…r_m]d_Ai，i＝1,2,…,m；在所述Q_i的计算过程中，由第i号装置最后使用自己的r参数r_i参与Q_i的计算，i＝1,2,…,m；

第i号装置计算S_i＝Q_i+[-h]d_Ai，i＝1,2,…,m；

最后，m个装置中的一个装置或之外的一个装置计算S＝S₁+S₂+…+S_m；

则(h,S)是针对消息M的数字签名；

或者，

在计算得到Q_i后，i＝1,2,…,m，第i号装置计算S_i＝[h^-1]Q_i-d_Ai，其中h^-1为h的模n乘法逆；

最后，m个装置中的一个装置或之外的一个装置计算S_T＝S₁+S₂+…+S_m，S＝[h]S_T；

则(h,S)是针对消息M的数字签名。

2.根据权利要求1所述的SM9数字签名安全协同生成方法，其特征是：

若在以上计算过程中不检查w与g^h是否相等，则计算得到S后，若检查发现S为零元，则m个装置重新进行协同计算，直到S不为零元。