[发明专利]一种轻量级SM2两方协同生成数字签名的方法

摘要

本发明公开了一种轻量级SM2两方协同生成数字签名的方法，参与两方为P1，P2，包括以下步骤：1)签名参数初始化；2)生成分布式密钥：生成参与方P1，P2的签名私钥，签名验证公钥；3)生成分布式签名：该步骤主要用于参与方P1，P2联合生成消息m的数字签名(r，s)。本发明方法采用预计算的方法，极大地减轻了两方联合生成SM2数字签名的计算开销，实现高效的SM2两方协同数字签名，同时在参与签名的各方之间保证安全性、隐私性和公平性。

主权项

1.一种轻量级SM2两方协同生成数字签名的方法，参与两方为P₁、P₂，其特征在于，包括以下步骤：步骤1)签名参数初始化：产生整个签名过程所需的公开参数；所述参数包括：椭圆曲线相关参数(q，F_q，a，b，n，G)、密码杂凑函数h(·)；其中，q为大素数，F_q为包含q个元素的有限域，a，b为F_q中的元素，用于定义F_q上的一条椭圆曲线，n为素数，G为椭圆曲线的一个基点，其阶为n；步骤2)生成分布式密钥：生成参与方P₁，P₂的签名私钥，签名验证公钥；具体如下：2.1)参与方P₁在Z_n中随机选取一个整数x₁作为自己的签名私钥，并分别通过公式(1)，(2)计算中间变量X₁，零知识证明参与方P₁将发送给参与方P₂；X₁＝[x₁]G   (1)，其中，G为椭圆曲线的一个基点，用于生成关于x₁是X₁的一个椭圆曲线离散对数这个称述的零知识证明2.2)参与方P₂在Z_n中随机选取一个整数x₂作为自己的签名私钥，并分别通过公式(3)，(4)计算中间变量X₂，零知识证明参与方P₂将发送给参与方P₁；X₂＝[x₂]G   (3)，其中，用于证明x₂是关于X₂的一个椭圆曲线离散对数；2.3)参与方P₁验证零知识证明是否合法，验证通过则通过公式(5)计算签名验证公钥P_pub；参与方P₂验证零知识证明是否合法，若验证通过则通过公式(5)计算签名验证公钥P_pub；2.4)参与方P₁在Z_n中随机选取两个整数a₁，b₁；参与方P₂在Z_n中随机选取两个整数a₂，b₂；2.5)参与方P₁，P₂通过相关运算(如同态操作或不经意传输等方法)分别获得加法分量z₁，z₂，使其满足z₁+z₂＝(a₁+a₂)·(b₁+b₂)mod n；步骤3)生成分布式签名：该步骤主要用于参与方P₁，P₂联合生成消息m的数字签名(r，s)；具体过程如下：3.1)参与方P₁在Z_n中随机选取两个整数k₁，ρ₁，并分别通过公式(6)，(7)计算中间变量R₁，零知识证明参与方P₁将发送给参与方P₂；R₁＝[k₁]G    (6)，其中，用于证明k₁是关于R₁的一个椭圆曲线离散对数；3.2)参与方P₂在Z_n中随机选取两个整数k₂，ρ₂，并分别通过公式(8)，(9)计算中间变量R₂，零知识证明参与方P₂将发送给参与方P₁；R₂＝[k₂]G   (8)，其中，用于证明k₂是关于R₂的一个椭圆曲线离散对数；3.3)参与方P₁验证零知识证明是否合法，验证通过则使用公式(10)～(15)分别计算中间变量R，r，δ₁，u₁，v₁，w₁；参与方P₁将(u₁，v₁，w₁)发送给参与方P₂；计算公式如下：r＝e+r_xmod n   (11)u₁＝x₁‑a₁mod n   (13)v₁＝δ₁‑a₁mod n    (14)，w₁＝ρ₁‑b₁mod n    (15)其中，e为密码杂凑函数h(·)作用于消息m的输出，即e＝h(m)；r_x为R的横坐标，r为SM2签名的第一部分；3.4)参与方P₂验证零知识证明是否合法，验证通过则使用公式(10)～(11)，(16)～(19)分别计算中间变量R，r，δ₂，u₂，v₂，w₂；参与方P₂将(u₂，v₂，w₂)发送给参与方P₁；计算公式如下：r＝e+r_xmod n   (11)u₂＝x₂‑a₂mod n   (17)v₂＝δ₂‑a₂mod n   (18)，w₂＝ρ₂‑b₂mod n   (19)3.5)参与方P₁使用公式(20)～(24)分别计算中间变量u，v，w，α₁，β₁；参与方P₁将(α₁，β₁)发送给参与方P₂；计算公式如下：u＝u₁+u₂mod n   (20)，v＝v₁+v₂mod n   (21)w＝w₁+w₂mod n   (22)，α₁＝x₁w+ρ₁u+z₁‑uw mod n   (23)β₁＝δ₁w+ρ₁v+z₁‑vw mod n   (24)3.6)参与方P₂使用公式(20)～(22)，(25)～(26)分别计算中间变量u，v，w，α₂，β₂；参与方P₂将(α₂，β₂)发送给参与方P₁；计算公式如下：u＝u₁+u₂mod n   (20)，v＝v₁+v₂mod n   (21)w＝w₁+w₂mod n   (22)，α₂＝x₂w+ρ₂u+z₂mod n   (25)β₂＝δ₂w+ρ₂v+z₂mod n   (26)3.7)参与方P₁通过公式(27)计算s′，为了保证最终结果的一致性，参与方P₁选择s′和n‑s′中的较小值作为SM2签名的第二部分，即s＝min{s′，n‑s′}；s′＝(α₁+α₂)^‑1(β₁+β₂)‑r mod n   (27)3.8)同样地，参与方P₂通过公式(27)计算s′；为了保证最终结果的一致性，参与方P₂选择s′和n‑s′中的较小值作为SM2签名的第二部分，即s＝min{s′，n‑s′}；s′＝(α₁+α₂)^‑1(β₁+β₂)‑r mod n    (27)3.9)参与方P₁更新a₁，b₁，z₁，即分别令a₁＝k₁，b₁＝ρ₁，z₁＝α₁，更新后的a₁，b₁，z₁参与下一次的签名过程；3.10)参与方P₂更新a₂，b₂，z₂，即分别令a₂＝k₂，b₂＝ρ₂，z₂＝α₂，更新后的a₂，b₂，z₂参与下一次的签名过程。