[发明专利]一种对称环境下多方联合生成SM9数字签名的方法

权利要求书

1.一种对称环境下多方联合生成SM9数字签名的方法，其特征在于，所述多方有τ个参与方，表示为

包括以下步骤：

1)初始化步骤：

密钥生成中心KGC产生随机数ks∈{1,…,q-1}作为主私钥，计算中的元素P_pub-s＝[ks]P₂作为主公钥；KGC秘密保存ks，公开P_pub-s；然后，KGC选择并公开用一个字节表示的签名私钥生成函数识别符hid；

其中，q为素数，均是阶为q的加法循环群，是阶为q的乘法循环群，P₁是的生成元，P₂是的生成元；

2)密钥分发步骤：由KGC为所有参与方分发部分私钥，具体如下：

2.1)KGC计算临时变量t₁＝H₁(ID_A||hid,q)+ks，若t₁＝0，则返回步骤1)重新产生签名主私钥，计算和公开签名主公钥，并更新已有用户的签名私钥；否则，转入步骤2.2)；

其中，ID_A为参与数字签名的拥有共同的身份标识符；

2.2)KGC计算临时变量并生成基于身份的私钥D_ID＝[t₂]P₁；

2.3)由KGC产生τ个上的随机点Q₁,…,Q_τ，并使其满足

2.4)KGC设置每个参与方的私钥为

2.5)KGC为每个参与方生成一对用于分量转化协议的公私钥对(x_i，Pub_i)，其中，交互私钥x_i，x_i∈{1,…,q-1}，对应的交互公钥Pub_i＝x_i·P₁；

2.6)KGC将生成的部分私钥，以及用于分量转化协议的公私钥对，分别安全地发送给对应的参与方

3)联合签名步骤：

3.1)每个参与方计算中的元素g＝e(P₁,P_pub-s)，产生部分随机数r_i∈{1,…,q-1}并计算第一个临时变量广播w_i；

3.2)当收到所有参与方发来的w_l后，l＝1,…,τ，每个参与方计算第二个临时变量并使用w计算签名的第一部分h＝H₂(M||w,q)，其中M是待签名的消息；

3.3)每个参与方计算第三个临时变量δ_i＝(r_i-h/τ)mod q，与所有分别执行分量转化协议输入得到第四组临时变量D_ij,j∈{1,…,τ}/{i}；

所述分量转化协议为针对群运算的交叉相乘算法，该算法由任意两个参与方共同完成，假设的输入为的输入为其中δ_i,δ_j∈{1,…,q-1}，最终双方得到各自的加法分量D_ij和D_ji，使其满足

3.4)每个参与方计算部分加法碎片最后，将D_i广播给其他参与方；

3.5)当收到所有参与方发来的D_l，l＝1,…,τ后，计算第二部分签名

3.6)利用SM9的数字签名验证算法验证产生的签名，若通过，则公布关于消息M的SM9签名Sig＝(h,S)，否则终止协议。

2.根据权利要求1所述的对称环境下多方联合生成SM9数字签名的方法，其特征在于，所述步骤3.3)中，分量转化协议表示双方的交互过程的具体如下：

对任意两个参与方产生随机数s_i∈{1,…,q-1}，计算两个中的随机因子R_i＝s_i·P₁和并把(R_i,S_i)发送给同样地，产生随机数s_j∈{1,…,q-1}，计算两个中的随机因子R_j＝s_j·P₁和随后发送(R_j,S_j)给

产生中的随机元素作为自己的第一部分加法分量，根据收到的(R_j,S_j)计算两个中间变量R′_j＝δ_i·R_j和并把(R′_j,S′_j)发送给同样地，产生中的随机元素作为自己的第一部分加法分量，并根据收到的(R_i,S_i)计算两个中间变量R′_i＝δ_j·R_i和随后发送(R′_i,S′_i)发送给

利用收到的(R′_i,S′_i)计算自己的第二部分加法分量最后计算完整的加法分量同样地，利用收到的(R′_j,S′_j)计算第二部分加法分量最后计算完整的加法分量

假设的输入为的输入为其中δ_i,δ_j∈{1,…,q-1}，则双方得到的加法分量D_ij和D_ji满足