[发明专利]基于SM2数字签名的隐式证书密钥生成方法

权利要求书

1.一种基于SM2数字签名算法的隐式证书密钥生成方法，其特征在于，包括如下：

(1)系统参数初始化，并通过证书颁发机构CA生成主密钥对：

(1a)按国家密码局认定的国产密码算法SM2标准设置如下参数：

设椭圆曲线方程E为y²＝x³+ax+b，并设椭圆曲线方程E上的阶为n的基点G＝(x_G,y_G)，其中a、b∈F_q，F_q是阶为q的有限域，x_G、y_G分别为基点的横坐标和纵坐标；

选取消息摘要长度为256比特的密码杂凑算法Hash()为密码散列函数SM3；

(1b)证书颁发机构CA用随机数发生器产生第一随机数d_CA∈[1,n-1]作为私钥，并将私钥d_CA与基点G在椭圆曲线E上的乘积P_CA作为公钥：P_CA＝d_CA·G；

(2)申请证书的用户usr用随机数发生器产生随机数x∈[1,n-1]作为临时私钥，用临时私钥x与基点G在椭圆曲线E上的乘积X作为临时公钥：X＝x·G，并将自己的身份标识ID_A和临时公钥X发送给证书颁发机构CA；

(3)证书颁发机构CA生成隐式证书cert和签名s：

(3a)证书颁发机构CA用随机数发生器产生第二随机数k∈[1,n-1]，并计算公钥重建数据：V＝X+k·G＝(x₁,y₁),其中x₁和y₁为公钥重建数据V的横坐标和纵坐标；

(3b)证书颁发机构CA根据公钥重建数据V生成可信的隐式证书：cert＝{V,meta}，其中，meta为包含用户身份信息、CA系统信息和待签名消息的元数据，即meta＝Z_A||M；Z_A＝Hash(ENTL_A||ID_A||a||b||x_G||y_G||x_CA||y_CA)，其中ENTL_A是由用户usr的身份标识ID_A的长度转换而成的两个字节，a为椭圆曲线方程E中变量x的系数，b为椭圆曲线方程E中的常数项，x_G，y_G分别为基点G的横坐标和纵坐标，x_CA，y_CA分别为系统公钥P_CA的横坐标和纵坐标；M为待签名的消息；

(3c)证书颁发机构CA使用密码散列函数SM3计算隐式证书cert和公钥P_CA连接值的哈希值h：h＝Hash(cert,P_CA)，并利用私钥d_CA通过SM2数字签名算法得到对隐式证书cert的签名：s＝(1+d_CA)^-1(k-r·d_CA)mod n，其中r＝(h+x₁)mod n，mod n表示模n运算；

(3d)将隐式证书cert和签名s发送给申请证书的用户usr；

(4)申请证书的用户usr生成完整公钥U，并对该完整公钥U和签名s进行验证，获得完整公私钥对：

(4a)申请证书的用户usr使用密码散列函数SM3重新计算隐式证书cert与公钥P_CA相连接的哈希值：h＝Hash(cert,P_CA)；

(4b)申请证书的用户usr根据其计算的哈希值h重新计算中间值：r＝(h+x₁)mod n,并检验r∈[1,n-1]，s∈[1,n-1]是否成立：若成立，则用户usr计算完整私钥：u＝(x+s)mod n，否则，退出验证过程，其中x是usr的临时私钥；

(4c)申请证书的用户usr根据完整私钥u生成完整公钥：U＝u·G，并计算公钥重建数据V与公钥P_CA在椭圆曲线E上t倍的差值：Q＝V-t·P_CA，其中t＝(r+s)mod n；

(4d)申请证书的用户usr验证U与Q是否相等：若相等，则将(u,U)作为自己的完整公私钥对参数并保存，结束验证，否则，验证失败。

2.根据权利要求1所述的方法，其特征在于，所述(4d)中申请证书的用户usr验证U与Q相等的真实性，过程如下：

(4d1)将(4b)中u＝(x+s)mod n带入到(4c)的U＝u·G公式中，得到U＝(x+s)G；

(4d2)将(4d1)的式子去括号后加上t与P_CA在椭圆曲线E上的乘积t·P_CA，再减去t·P_CA得到U＝x·G+(s·G+t·P_CA)-t·P_CA；

(4d3)将SM2数字签名算法的验证步骤:k·G＝s·G+t·P_CA带入到(4d2)得到的公式，得到U＝X+k·G-t·P_CA；

(4d4)将(3a)中V＝X+k·G带入到(4d3)得到的公式中，得到U＝V-t·P_CA；

(4d5)将(4c)中Q＝V-t·P_CA带入到(4d4)得到的公式中，得到U＝Q，即得到用户完整公钥U与通过公钥重建数据V与公钥P_CA的t倍差值Q相等的结果。