[发明专利]一种保护用户隐私的SM2密码算法协同签名、解密方法

权利要求书

1.一种保护用户隐私的SM2密码算法协同签名方法，其步骤包括：

1)发起方和服务方分别生成各自的密钥对(d₁,P₁)和(d₂,P₂)，发起方获得服务方的部分公钥P₂并根据P₂生成用户A的公钥P_A；其中，发起方为用户A所在的终端；

2)发起方计算待签名消息M的摘要e，并根据部分公钥P₂生成椭圆曲线点Q₁；然后将e和Q₁发送给服务方；

3)服务方根据自己的部分私钥d₂、e和Q₁计算得到部分签名(r,s₂)后返回给发起方；

4)发起方根据发起方的部分私钥d₁、r、s₂计算并输出最终的签名(r,s)。

2.根据权利要求1所述的方法，其特征在于，生成密钥对(d₁,P₁)和(d₂,P₂)的方法为：

发起方向服务方发送协同密钥对生成请求；

服务方收到协同密钥对生成请求后，生成随机数d₂∈[1,n-1]，其中n为椭圆曲线基点G的阶；计算椭圆曲线点P₂＝[d₂]G，得到服务方的密钥对(d₂,P₂)并将P₂发送给发起方；

发起方验证P₂是否满足椭圆曲线方程，如果满足则产生随机数d₁∈[1,n-1]；然后计算椭圆曲线点P₁＝[d₁]G，得到发起方的密钥对为(d₁,P₁)。

3.根据权利要求2所述的方法，其特征在于，所述发起方产生随机数k₁∈[1,n-1]，通过Q₁＝[k₁]P₂计算椭圆曲线点Q₁。

4.根据权利要求3所述的方法，其特征在于，得到所述部分签名(r,s₂)的方法为：

31)服务方验证Q₁是否满足椭圆曲线方程，如果满足则产生随机数k₂∈[1,n-1]；

32)计算椭圆曲线点(x₁,y₁)＝[k₂]G+Q₁，将x₁数据类型转换为整数；

33)计算r＝e+x₁mod n，若r＝0或r+k₂＝n，则重新产生随机数k₂返回步骤32)；否则计算s₂＝(d₂^-1·(r+k₂))mod n；得到所述部分签名(r,s₂)。

5.根据权利要求4所述的方法，其特征在于，得到所述签名(r,s)的方法为：

41)发起方根据k₁、s₂进行计算，如果k₁+s₂＝n则返回步骤2)重新生成椭圆曲线点Q₁，将e和Q₁发送给服务方；

42)计算s＝(d₁^-1·(k₁+s₂)-r)mod n，若s＝0则返回步骤2)重新生成椭圆曲线点Q₁，将e和Q₁发送给服务方；否则使用公钥P_A验证(r,s)是否为消息M的签名，如果不是则本次签名失败；否则输出所述签名(r,s)。