CN111934877B

CN111934877B - 一种sm2协同门限签名方法、存储介质及电子装置

Info

Publication number: CN111934877B
Application number: CN202010582070.8A
Authority: CN
Inventors: 贤仪寒; 张必宽; 王平建; 钱文飞; 陈天宇; 吕娜; 寇春静
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2020-06-23
Filing date: 2020-06-23
Publication date: 2023-07-18
Anticipated expiration: 2040-06-23
Also published as: CN111934877A

Abstract

本发明公开了一种基于SM2的协同门限签名方法、存储介质及电子装置，包括：一种用户端SM2协同门限签名方法，包括：用户端随机生成第一部分私钥d1、第二部分私钥d₂，计算椭圆曲线上的点W₁与W₂及n个私钥份额c_i，将(W₂，c_i)秘密发送给n个服务端U_i；签名时，在n个服务端U_i中选取m个服务端U_j组成集合M；用户端生成随机数k_c，服务端U_j根据集合M生成随机数k_j；用户端和各服务端U_j计算出第一部分签名r，第二部分签名s，得到最终签名(r，s)。本发明协同完成对消息的签名，任何一方无法获取完整的私钥信息，用户端或任意服务端泄露秘密也得不到完整私钥，提高私钥安全性。

Description

一种SM2协同门限签名方法、存储介质及电子装置

技术领域

本发明属于信息安全的技术领域，尤其涉及一种SM2协同门限签名方法、存储介质及电子装置。

背景技术

数字签名算法由签名者对数据产生数字签名，由验证者验证签名的可靠性。每个签名者拥有一对密钥对，包含一个公钥和一个私钥，其中私钥用于产生签名，验证者用签名者的公钥验证签名。在签名的生成过程之前，要用密码杂凑函数对待签名消息和用户身份信息等进行压缩；在验证过程之前，要用密码杂凑函数对待验证消息和用户身份信息等进行压缩。数字签名能够保证信息传输的完整性，验证信息发送者的身份并防止交易中抵赖事件的发生。

SM2算法是国家密码管理局于2010年12月发布的椭圆曲线公钥密码算法，并被收录进《GM/T 0003-2012SM2椭圆曲线公钥密码算法》标准。SM2椭圆曲线公钥密码算法包括数字签名算法、密钥交换协议以及公钥加密算法，算法的安全基于求解有限域上椭圆曲线离散对数问题的难题。SM2算法在国内身份认证、电子商务等应用中都发挥了重要的安全保护作用。SM2签名算法过程如下：密钥产生：a)随机选取秘密d，(d∈[1，q-1])，其中d为整数，q为G在椭圆曲线上的阶)；b)计算P＝d·G(G为椭圆曲线上的点，(·)为椭圆曲线上的点乘运算)并将P作为公钥公开，d作为私钥保存。签名生成：c)签名者选取随机数k，k∈[1，q-1]，(k为整数)计算k·G＝(x₁，y₁)，(x₁，y₁)为椭圆曲线上一点的坐标值；d)计算数值r＝(Hash(Message)+x₁)mod(q)，其中Message是待签名的消息，Hash(·)是单向哈希函数，若r＝0或r+k＝q，则重新选取随机数k；e)计算数值s＝(1+d)^-1(k-rd)mod(q)；若s＝0，则重新选取随机数k；否则，将(r，s)作为签名结果。签名验证：f)验证者接收到m和(r，s)后，先检查是否满足r，s∈[1，q-1]，且(r+s)≠q；若满足则计算(x₁′，y₁′)＝s·G+(r+s)·P，其中(x₁′，y₁′)为椭圆曲线上一点的坐标值；g)计算r′＝(Hash(m)+x₁′)mod(q)；若r′与r相等则签名验证通过，否则验证失败。

Shamir秘密分享方案(SS)是由Shamir等人提出的门限秘密分享方案，t阶SS方案可以将秘密d拆分成n份，分发给n个参与者，只有t+1以上个参与者一起，才可以恢复出秘密d，任意t个参与者则无法得到有效信息。具体方案如下：a)可信中心秘密构造t阶多项式其中秘密d＝f(0)＝a₀，a_i(i≠0)为随机数；b)可信中心计算d_i＝f(i)，并秘密地把d_i分别发送给参与者U_i；c)U_i将d_i作为份额保存。上述过程称为t阶SS，并称多项式f(x)为分享多项式。此时，任意t+1个参与者集合M可通过拉格朗日插值公式/> 恢复出秘密。

SM2椭圆曲线门限密码算法是由尚铭、马原、林璟锵、荆继武等于2014年提出的一种门限签名算法，这种算法可以让多个参与者在不获取完整密钥的前提下，通过大于门限值的参与方求解出签名。算法的门限特性依赖于有限域上拉格朗日插值法。

现有技术也存在着协同签名算法，特点是由两个(或多个)协同方分别存储部分私钥，两方联合才能完成消息的签名操作，但是这种协同方案存在着明显的不足，即需要密钥拥有者共同参与才能实现签名，对于参与者的可靠性要求很高，缺少部分参与者，签名就无法实现。

发明内容

为克服现有技术的不足，本发明公开了一种SM2协同门限签名方法、存储介质及电子装置，能够在安全性上同时满足门限签名特性和协同签名特性。签名需要双方配合，并且允许缺少部分参与者的情况下完成签名。

本发明的技术方案为：

一种用户端SM2协同门限签名方法，适用于一个用户端和若干服务端组成的网络系统，其步骤包括：

1)用户端随机生成第一部分私钥d₁、第二部分私钥d₂，计算椭圆曲线上的点W₁与点W₂及n个私钥份额c_i，并分别将(W₂，c_i)秘密发送给n个服务端U_i，1≤i≤n；

2)签名时，在n个服务端U_i中选取m个服务端U_i组成集合M，并将集合M发送给各服务端U_j，1≤j≤m，t＜m≤n，t+1为恢复私钥需要最少的服务端U_j数量；

3)用户端生成随机数k_c，各服务端U_j根据集合M生成随机数k_j；

4)用户端和各服务端U_j根据点W₁、点W₂、随机数k_c、随机数k_j、待签名的消息及椭圆曲线上基点G的阶数q协同计算出第一部分签名r，根据随机数k_c、第一部分私钥d₁、第一部分签名r、随机数k_j、各服务端U_j掌握的c_i及椭圆曲线上基点G的阶数q协同计算出第二部分签名s，得到最终签名(r，s)。

进一步地，第一部分私钥d₁及第二部分私钥d₂分别为[1，q-1]之间的随机数。

进一步地，通过用户端与各服务端U_i在有限域F_p上生成椭圆曲线上的点及其他参数，p为大素数。

进一步地，点点/>

进一步地，通过以下步骤获取n个私钥份额c_i：

1)对d₂执行Shamir秘密分享方法，生成有限域F_p上的t阶多项式 a_i为随机生成的系数，p为大素数；

2)计算私钥份额c_i＝f(S_i)，其中S_i为服务端U_i的唯一标识。

进一步地，随机数k_c及随机数k_j分别为[1，q-1]之间的随机数。

进一步地，通过以下步骤协同计算出第一部分签名r：

1)各服务端U_j生成有限域F_p上的m-1阶多项式其中a_j为随机生成的系数，p为大素数；

2)各服务端U_j将计算得到的集合f^(j)(S_e)和数值R_i＝f^(j)(S_j)·W₂发送给用户端，f^(j)(S_e)为随机数k_j的分享值，S_e，S_j为服务端U_e，U_j的唯一标识，1≤e≤m，e≠j；

3)用户端计算点乘值k_s为m个随机数k_j之和，k_s＝(∑_1≤j≤mk_j)mod(q)；

4)计算第一部分签名r＝[hash(Message)+x₁]mod(q)，Message为待签名的消息，hash(Message)为待签名的消息摘要，(x₁，y₁)＝Q+k_sW₂，(x₁，y₁)为椭圆曲线上的一点，Q＝k_c·W₁。

进一步地，通过以下步骤协同计算出第二部分签名s：

1)用户端计算集合f_e′＝∑_{{j|1≤j≤m，j≠e}}f^(j)(S_e)；

2)用户端将m个(f_e′，r)分别发送给对应的服务端U_e；

3)各服务端U_j计算s_j＝[f_j′+f^(j)(S_j)+c_j·r]mod(q)；

4)用户端利用m个s_j，通过m-1阶拉格朗日插值法获得中间参数

5)用户端计算第二部分签名s＝[k₁+d₁s′-r]mod(q)。

一种存储器，所述存储器中存储有计算机程序，其中，所述计算机程序被设置为运行时执行以上所述的方法。

一种电子装置，包括存储器和处理器，所述处理器被设置为运行所述计算机程序，以执行以上所述的方法。

与现有方法相比，本发明具有以下优势：

1)用户端只在生成d₁，d₂的时候是可信的，且只保存d₁，不保存d₂，在签名过程，任何一方均无法获得d₂，不会泄露关于私钥和参与者的子私钥的任何信息；

2)为实现协作签名特性，用户端密钥d₁保存在用户端，服务端密钥d₂的分享份额分散保存在各个协作服务端，从而实现了缺少任意一方均不能完成签名的特性，因此任意一方泄露其秘密信息(即用户端泄露，或任意个服务端同时泄露)，都不会影响整个系统的私钥安全性；

3)为实现门限签名特性，需要用户端和任意t+1(t＜N)个协作服务端同时协作才能计算最终的签名，而少于t+1个服务端或没有用户端参与都不能计算签名，因此较少数量(≤t)的服务端泄露其秘密不影响整体服务端的安全性；

可见，本发明所述方案中，通信双方分别存储部分私钥信息，多端协同才能完成对消息的签名，任何一方无法获取完整的私钥信息，即使用户端或任意服务端泄露秘密也得不到完整私钥，提高了私钥的安全性。而且在进行数字签名操作时不会泄露关于私钥的任何信息。因此整个方案是安全的。由于服务端不需要全部参与签名，因此少部分服务端故障不影响正常签名。

附图说明

图1为本发明的密钥生成阶段流程示意图。

图2为本发明的签名生成阶段流程示意图。

具体实施方式

针对利用已有的SM2进行签名时不满足协同和门限特性的问题，本发明的主要目的在于克服现有技术的缺点与不足，在双方协同签名的基础上实现门限特性，提出了一种基于SM2算法的协同门限签名方法及电子装置。

请参考图1和图2，本发明提供的基于SM2的协同门限签名方法，由用户端和服务端协同签名，缺少任何一方则签名不能实现；且服务端由N个协作服务端组成，只有t+1(t＜N)个协作服务端同时参与，服务端才能正常工作。

基于SM2的协作门限签名方案包括三个部分：密钥产生、签名生成和签名验证。

1、密钥产生阶段：在此阶段用户端是可信的，由其生成d₁，d₂，其中d₁由用户端保存，用户端通过t阶SS方案把d₂分享给N个协作服务端U_i后，删除d₂。每个U_i得到d₂的服务端密钥份额c_i。密钥产生阶段的详细实施方式包括下述步骤1～步骤6。

步骤1.用户端作为可信中心生成两个范围为[1，q-1]的随机数：第一部分私钥d₁、第二部分私钥d₂，其中整个网络系统的密钥为检查是否满足d≠0，若不满足则重复本步骤；

步骤2.用户端计算中间参数

步骤3.用户端计算系统公钥P_A：其中G为椭圆曲线的一点(基点)，W₁，W₂，P_A均为在椭圆曲线上经运算后的点；

步骤4.将d₂执行背景知识中的t阶SS获得有限域F_p上的多项式

步骤5.用户端计算n个密钥份额c_i：c_i＝f(S_i)，S_i为n个服务端各自的公开标识；

步骤6.用户端将n个(W₂，c_i)秘密地分别发送给对应的服务端U_i保存，删除d₂；

2、签名生成阶段：在本阶段，用户端生成随机数k_c(1≤k_c≤q-1)，并随机抽取集合N中的m个(t＜m≤N)服务端{U_j|1≤j≤m}组成集合M，用户端将集合M发送给m个服务端。每个服务端U_j生成随机数k_j(1≤k_j≤q-1)，令m个k_j之和为服务端总随机数k_s。服务端U_j对k_j执行m-1阶SS拆分，向用户端发送拆分后的秘密信息。用户端根据k_c、k_j(1≤j≤m)的拆分及W₁、W₂计算出第一部分签名r；m个服务端根据r和k_j的拆分计算得到部分签名s_j(1≤j≤m)。用户端根据s_j恢复第二部分签名s，输出最终签名(r，s)。密钥产生阶段的详细实施方式包括下述步骤7～步骤23。

步骤7.用户端从集合N中随机抽取m个(t＜m≤n)服务端{U_j|1≤j≤m}，其中t＜m保证了实现门限签名特性；

步骤8.用户端生成随机数k_c(1≤k_c≤q-1)，计算中间参数Q＝k_c·W₁；

步骤9.用户端发送集合M至m个服务端U_j；

步骤10.服务端U_j生成位于[1，q-1]之间的随机数作为k_j，将m个服务端的随机数之和视为服务端总随机数k_s：k_s＝(∑_j∈Mk_j)mod(q)；

步骤11.服务端U_j根据背景知识中的m-1阶SS，生成有限域F_p上的多项式

步骤12.U_j计算集合{f^(j)(S_e)|e∈M，e≠j}，其中{f^(j)(S_e)为随机数k_j的分享值，S_e为不同于U_j的服务端U_e的标识；

步骤13.U_j计算数值R_j＝f^(j)(S_j)·W₂；

步骤14.U_j将(f^(j)(S_e)，R_i)发送给用户端；

步骤15.用户端根据m个服务端发送的数据，利用m-1阶拉格朗日插值法计算k_sW₂：其中f^(j)(S_j)·W₂＝R_i；

步骤16.用户端计算椭圆曲线上一点(x₁，y₁)＝Q+k_sW₂；

步骤17.用户端计算第一部分签名r：r＝[hash(Message)+x₁]mod(q)，其中hash(Message)为待签名的消息摘要；

步骤18.用户端计算集合{f_e′|e∈M}，其中f_e′为随机数k_s的m个分享份额，f_e′＝[∑_{{j|j∈M，j≠e}}f^(j)(S_e)]mod(q)；

步骤19.用户端将m个(f_e′，r)分别发送给对应的m个服务端U_e；

步骤20.服务端U_j计算s_j：s_j＝[f_j′+f^(j)(S_j)+c_j·r]mod(q)；

步骤21.服务端U_j将s_j发送给用户端；

步骤22.用户端利用m-1阶拉格朗日插值法获得中间参数s′：

步骤23.用户端计算第二部分签名s：s＝[k_c+d₁s′-r]mod(q)，组成签名结果(r，s)；

3、签名验证阶段：本阶段的验证者执行与背景知识中SM2签名方法相同的验签方法即可完成验签过程。签名验证阶段的详细实施方式包括下述步骤24～步骤25。

步骤24.验证者接收到公开信息q，G，P_A，Message和签名结果(r，s)，；

步骤25.根据已有条件，执行与背景知识中SM2签名方法相同的验证方法。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应视为等效的置换方式，都包含在本发明的保护范围之内。

Claims

1.一种用户端SM2协同门限签名方法，适用于一个用户端和若干服务端组成的网络系统，其步骤包括：

1)用户端随机生成第一部分私钥d₁、第二部分私钥d₂，计算椭圆曲线上的点W₁与点W₂及n个私钥份额c_i，并分别将(W₂，c_i)秘密发送给n个服务端U_i，1≤i≤n；其中，

通过以下步骤获取n个私钥份额c_i：

对d₂执行Shamir秘密分享方法，生成有限域F_p上的t阶多项式 a_i为随机生成的系数；

计算私钥份额c_i＝f(S_i)，其中S_i为服务端U_i的唯一标识；

2)签名时，在n个服务端U_i中选取m个服务端U_j组成集合M，并将集合M发送给各服务端U_j，1≤j≤m，t＜m≤n，t+1为恢复私钥需要最少的服务端U_j数量；

4)用户端和各服务端U_j根据点W₁、点W₂、随机数k_c、随机数k_j、待签名的消息及椭圆曲线上基点G的阶数q协同计算出第一部分签名r，根据随机数k_c、第一部分私钥d₁、第一部分签名r、随机数k_j、各服务端U_j掌握的c_i及椭圆曲线上基点G的阶数q协同计算出第二部分签名s，得到最终签名(r，s)；其中，

通过以下步骤协同计算出第一部分签名r：

各服务端U_j生成有限域F_p上的m-1阶多项式其中a_j为随机生成的系数，p为大素数；

各服务端U_j将计算出的集合f^(j)(S_e)和数值R_i＝f^(j)(S_j)·W₂发送给用户端，f^(j)(S_e)为随机数k_j的分享值，S_e，S_j为服务端U_e，U_j的唯一标识，1≤e≤m，e≠j；

用户端计算随机数k_s的点乘值

计算第一部分签名r＝[hash(Message)+x₁]mod(q)，Message为待签名的消息，hash(Message)为待签名的消息摘要，(x₁，y₁)＝Q+k_sW₂，(x₁，y₁)为椭圆曲线上的一点，Q＝k_c·W₁；

通过以下步骤协同计算出第二部分签名s：

用户端计算集合f_e′＝∑_{{j|1≤j≤m，e≠j}}f^(j)(S_e)；

用户端将m个(f_e′，r)分别发送给对应的服务端U_e；

各服务端U_j计算s_j＝(f_i′+f^(j)(S_j)+c_j·r)mod(q)；

用户端利用m个s_j，通过m-1阶拉格朗日插值法获得中间参数

用户端计算第二部分签名s＝[k_c+d₁s′-r]mod(q)。

2.如权利要求1所述的方法，其特征在于，第一部分私钥d₁及第二部分私钥d₂分别为[1，q-1]之间的随机数。

3.如权利要求2所述的方法，其特征在于，通过用户端与各服务端U_i在有限域F_p上的第一部分私钥d₁及第二部分私钥d₂，生成椭圆曲线上的点及其相关参数，p为大素数。

4.如权利要求1所述的方法，其特征在于，点点/>

5.如权利要求1所述的方法，其特征在于，随机数k_c及随机数k_j分别为[1，q-1]之间的随机数。

6.一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为在处理器上运行时执行权利要求1-5中任一所述方法。

7.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-5中任一所述方法。