[发明专利]基于移动KEY密钥保护技术的SM2签名方法

权利要求书

1.一种基于移动KEY密钥保护技术的SM2签名方法，其特征在于，包括以下步骤：

步骤1、系统初始化；

第一通信方和第二通信方共享SM2算法的椭圆曲线参数E(F_p)、G和n，椭圆曲线E为定义在有限域F_p上的椭圆曲线，G表示椭圆曲线E上阶为n的基点，n为有限的正整数，各参数的取值依据SM2算法预先设定；

步骤2、秘钥生成；

第一通信方生成子私钥d₁和子公钥P₁；第二通信方生成子私钥d₂和子公钥P₂；第一通信方利用第二通信方的子公钥P₂和自身的子私钥d₁协商签名公钥P，第二通信方利用第一通信方的子公钥P₁和自身的子私钥d₂协商签名公钥P；

步骤3、协作签名；

第一通信方产生临时子私钥k₁和临时子公钥Q₁；第二通信方产生临时子私钥k₂和临时子公钥Q₂；

第一通信方和第二通信方分别根据待签名消息M、对方的临时子公钥、自身的子私钥和自身的临时子私钥，协作产生完整签名(r,s)；

步骤4、输出完整签名；

第一通信方将(r,s)作为完整签名输出。

2.根据权利要求1所述的基于移动KEY密钥保护技术的SM2签名方法，其特征在于，步骤2具体包括以下步骤：

步骤2.1、第一通信方生成子私钥d₁和子公钥P₁；

第一通信方产生一个位于[1,n-1]之间的随机数d₁，将d₁作为子私钥，即有：d₁∈[1,n-1]，计算d₁[*]G，将计算结果作为子公钥P₁；其中，[*]表示椭圆曲线点乘运算；

步骤2.2、第二通信方生成子私钥d₂和子公钥P₂；

第二通信方产生一个位于[1,n-1]之间的随机数d₂，将d₂作为子私钥，计算d₂[*]G，将计算结果作为子公钥P₂；

步骤2.3、第一通信方利用第二通信方的子公钥P₂和自身的子私钥d₁协商签名公钥P，第二通信方利用第一通信方的子公钥P₁和自身的子私钥d₂协商签名公钥P；

第一通信方计算d₁[*]P₂[-]G，将计算结果作为签名公钥P，其中，[-]表示椭圆曲线点减运算；

第二通信方计算d₂[*]P₁[-]G，将结果作为签名公钥P。

3.根据权利要求1或2所述的基于移动KEY密钥保护技术的SM2签名方法，其特征在于，步骤3具体包括以下步骤：

步骤3.1、第一通信方处理待签名消息；

第一通信方将第一通信方和第二通信方共同的身份标识Z和消息M拼接形成M′，计算hash(M′)，将计算结果作为e；

步骤3.2、第二通信方处理待签名消息；

第二通信方将第二通信方和第一通信方共同的身份标识Z和消息M拼接形成M′，计算hash(M′)，将计算结果作为e；

步骤3.3、第一通信方产生临时子私钥k₁和临时子公钥Q₁；

第一通信方产生一个位于[1,n-1]之间的随机数k₁，将k₁作为临时子私钥，计算k₁[*]G，将计算结果作为临时子公钥Q₁，并将Q₁发送给第二通信方；

步骤3.4、第二通信方产生临时子私钥k₂和临时子公钥Q₂；

第二通信方产生一个位于[1,n-1]之间的随机数k₂，将k₂作为临时子私钥，计算k₂[*]G，将计算结果作为临时子公钥Q₂，并将Q₂发送给第一通信方；

步骤3.5、第一通信方和第二通信方协作签名；

步骤3.51、第二通信方计算k₂[*]Q₁，得到计算结果(x₁,y₁)；

步骤3.52、第二通信方根据步骤3.2以及步骤3.51的计算结果，计算(x₁+e)modn，将计算结果作为r，其中mod表示求模运算；

步骤3.53、第二通信方产生一个位于[1,n]之间的随机数，将产生的随机数作为k₃，并计算和将计算结果分别作为c₁和c₂，其中r为步骤3.52的计算结果；将c₁发送给第一通信方，其中，表示d₂在F_p上的逆元；

步骤3.54、第一通信方计算k₁[*]Q₂，得到计算结果(x₁,y₁)；

步骤3.55、第一通信方根据步骤3.1以及步骤3.54的计算结果，计算(x₁+e)modn，将计算结果作为r；

步骤3.56、第一通信方计算将计算结果作为s₁，其中r为步骤3.55的计算结果；发送s₁给第二通信方；其中，表示d₁在F_p上的逆元；

步骤3.57、第二通信方计算将计算结果作为s₂；发送s₂和c₂给第一通信方；

步骤3.58、第一通信方计算得到部分签名s，(r,s)构成完整签名。