裝置i有秘密d_Ai，i＝1,…,m，且d_A1+…+d_Am＝d_A，d_A為用戶SM9私鑰；當需用d_A對消息M進行簽名時，計算得到w＝g_B^(r₁r₂…r_m)，其中^是冪運算，g_B＝e(P₁,P_pub)^b，b是[1,n?1]內的保密或非保密整數，r_i是裝置i在[1,n?1]內隨機選擇的整數，n為SM9群的階；計算h＝H₂(M||w,n)；計算得到Q_i＝[m^?1br₁r₂…r_m]d_A或Q_i＝[br₁r₂…r_m]d_Ai，i＝1,…,m，且Q_i由裝置i最后使用r_i計算得到；裝置i計算S_i＝Q_i+[?h]d_Ai，i＝1,…,m；一個裝置計算S＝S₁+S₂+…+S_m；則(h,S)是針對消息M的數字簽名。

技術領域

本發明屬于信息安全技術領域，特別是一種SM9數字簽名安全協同生成方法及系統。

背景技術

SM9是由國家密碼管理局頒布的一種基于雙線性映射(配對運算)的標識密碼算法，其中的雙線性映射(配對運算)為：

e：G₁×G₂→G_T時，其中G₁、G₂是加法循環群，G_T是一個乘法循環群，G₁、G₂、G_T的階是素數n(注：在SM9規范中，G₁、G₂、G_T的階用的是大寫字母N，本專利申請采用小寫n)，即若P、Q、R分別為G₁、G₂中的元，則e(P,Q)為G_T中的元，且：

e(P+R,Q)＝e(P,Q)e(R,Q)，

e(P,Q+R)＝e(P,Q)e(P,R)，

e(aP,bQ)＝e(P,Q)^ab。

基于SM9密碼算法能實現基于標識的數字簽名、密鑰交換及數據加密。在SM9密碼算法中，使用用戶的SM9私鑰d_A針對消息M生成數字簽名的過程如下：

計算得到w＝g^r，這里符號^表示冪運算(g的r次冪)，r是在[1,n-1]區間內隨機選擇的整數，n是SM9密碼算法的群G₁、G₂、G_T的階，g＝e(P₁,P_pub)，P₁為G₁中的生成元，P_pub為主公鑰(即P_pub＝[s]P₂，s為主私鑰或主密鑰，P₂為G₂中的生成元，參見SM9規范；注意，這里的主私鑰或主密鑰，主公鑰，用戶標識私鑰使用的符號與SM9規范略有不同)；

然后，計算h＝H₂(M||w,n)，其中H₂為SM9中規定的散列函數，M||w表示M和w的字串合并，n為G₁、G₂、G_T的階(參見SM9規范)；