本發明揭示了一種基于SM2的數字簽名方法和裝置，簽名私鑰被分割為兩個部分，分別存放到簽名客戶端和簽名服務端，雙方聯合才能對消息進行簽名，任意一方的私鑰丟失，均不會影響私鑰整體的安全性，在使用本發明的方法和系統中一方的密鑰使用PIN碼等弱安全機制保護，依然保持較高的安全水平。

技術領域

本發明涉及到數字簽名領域，特別是涉及到到一種基于SM2的數字簽名方法和裝置。

背景技術

非對稱密碼的一個重要應用是數字簽名。數字簽名機制允許簽名方使用簽名私鑰對消息進行數字簽名操作。驗證方使用簽名方的公鑰驗證數字簽名的有效性，進而確定消息的真實性。簽名私鑰的丟失會造成用戶身份的偽冒。因此標識私鑰需要進行嚴格保護。在移動設備等不安全環境下進行私鑰的有效保護面臨重大挑戰。

發明內容

本發明的主要目的為提供一種安全性高的基于SM2的數字簽名方法和裝置。

為了實現上述發明目的，本發明提出一種基于SM2的數字簽名方法，包括：

簽名客戶端生成第一簽名子密鑰u，以及對應所述第一簽名子密鑰u的第一簽名子公鑰U，并將所述第一簽名子公鑰U發送給簽名服務端；通過所述簽名服務端生成對應所述簽名客戶端的第二簽名子密鑰v，以及對應所述第二簽名子密鑰v的第二簽名子公鑰V；其中，所述簽名服務端具有加密公私密鑰對(A，a)；對應所述第一簽名子密鑰u和第二簽名子密鑰v的完整簽名公鑰為Y；

計算待簽名消息m的雜湊值e，利用所述第一簽名子密鑰u或其變換值u'生成e或其變換值e'的簽名(r_c，s_c)，利用加密公鑰A將包含所述s_c的數據B加密形成密文O；將所述消息m的雜湊值e，簽名過程中生成的預簽名∏_c和所述密文O發送到簽名服務端；其中，所述預簽名∏_c生成過程中使用隨機數x；

通過所述簽名服務端使用所述解密私鑰a解密O還原s_c，并通過所述Π_c、和e計算r_c，然后通過所述簽名服務端利用所述第一簽名子公鑰U或其變換值U'驗證對所述雜湊值e或其變換值e'的簽名(r_c,s_c)的正確性；

如果驗證成功，則通過所述簽名服務端使用所述預簽名∏_c，生成新的預簽名∏_s，使用所述第二簽名子密鑰v的變換(v-1)生成對所述雜湊值e的簽名的第一部分r_s和簽名的第二部分的組合因子(s_1,s_2)，并獲取所述r_s和(s_1,s_2)；其中，所述簽名的第二部分的組合因子(s_1,s_2)不能通過r_s,s_1,s_2恢復所述第二簽名子密鑰v，以及，所述簽名的完整第二部分通過第一簽名子密鑰u，x,s_1,s_2形成；

使用所述第一簽名子密鑰u，x，r_s，(s_1,s_2)，形成待簽名消息m對應完整簽名公鑰Y的有效簽名(r，s)。

進一步地，所述第一簽名子密鑰u、第一簽名子公鑰U、第二簽名子公鑰V、完整簽名公鑰Y的生成方法，其中，所述簽名客戶端和簽名服務端使用SM2算法的橢圓曲線E/F_p,點群的生成元為G，階為q；所述生成方法包括：

如果簽名客戶端已經具有簽名私鑰w和對應公鑰W，則通過簽名服務端生成所述第二簽名子密鑰v，計算第二簽名子公鑰V＝[v]G；獲取第二簽名子密鑰v，計算第一簽名子密鑰u＝(w+1)/v mod q，計算第一簽名子公鑰U＝[u]G；Y＝W；

如果簽名客戶端還無公私密鑰對，則隨機生成1<u<q；或者，生成密鑰kdfc，根據派生函數F派生u＝F(kdfc，FC)mod q，其中，FC包括所述簽名客戶端標識、請求時間t、請求次數C；F是標準的密鑰派生函數KDF或者哈希函數、加密函數；計算第一簽名子公鑰U＝[u]G；通過簽名服務端生成第二簽名子密鑰v，計算第二簽名子公鑰V＝[v]G，Y＝[v]U-G＝[u]V-G。

進一步地，所述第二簽名子密鑰v的生成方法，包括：

通過所述簽名服務端隨機生成1<v<q；或者，