(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210723552.X (22)申请日 2022.06.23 (71)申请人 武汉大学 地址 430072 湖北省武汉市武昌区珞珈山 街道八一路2 99号 (72)发明人 包子健　何德彪　陈纪成　彭聪　 王婧　冯琦　黄欣沂　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 罗飞 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于SM9 签名的基于证书签名生 成方法 及装置 (57)摘要 本发明公开了一种基于SM9签名的基于证书 签名生成方法及装置， 其中的方法包括： 初始化 步骤、 证书授权步骤、 签名步骤以及验证步骤， 它 基于SM9的签名结构， 结合了传统公钥密码 的优 点(PKI)和基于身份的加密技术， 无需使用昂贵 的证书链验证过程和移除了密钥托管安全性问 题， 从而简化了签名的生成过程， 并保证了安全 性。 权利要求书2页 说明书6页 附图2页 CN 115174055 A 2022.10.11 CN 115174055 A 1.一种基于SM9签名的基于证书签名生成方法， 其特 征在于， 包括： 初始化步骤， 包括： 证书颁发机构产生随机数d， 作为私钥， 并计算公钥Ppub＝[d] P2， 用户A生成自己的公私钥对(S KA， PKA)＝(sA， [sA]P1)， P1， P2分别为群G1和G2的生成元， G1， G2表示阶为q的加法循环 群， 表示由1， 2， ， ....， q ‑1组成的整数集合， SKA、 PKA分别为用户A 的私钥和公钥， sA为用户A的基于证书体系的私钥； 证书授权步骤， 包括： 用户A将相关信 息发送至证书颁发机构， 其中， 相关信息包括用户 A的公钥PKA和个人信息AliceInfo； 证书颁发机构对用户A的相关信息进行验证， 如果验证 通过， 则计算哈希值t， t＝H1(Ppub， PKA， AliceInfo)， 并进一步生成用户A的证书CertA， CertA ＝[d(t+d)‑1]P1， 并将CertA发送给用户A， 然后由用户A计算自己基于证书体系的私钥SA＝ [sA]CertA＝[sA·d(t+d)‑1]P1； 签名步骤， 包括： 用户A作为签名者， 首先计算GT的中的元素g， g＝e(PKA， Ppub)， 然后随机 选取 并计算w， h和l， w＝gr， h＝H2(m||w)， l＝r ‑h mod q， 其中， w表示对r的第一承诺 值， h表示对m||w的第一哈希值， l为计算S的中间变量； 然后计算S， S＝[l]SA， S为签名的组 成部分， 最后， 根据h和S得到待签名的消息m的签名 σ ＝(h， S)； 验证步骤， 包括： 验证者计算GT的中的元素g， g＝e(PKA， Ppub)， 然后计算t， t＝H1(Ppub， PKA， AliceInfo)， 并计算u＝e(S， [t]P2+Ppub)， 然后计算w ′＝u·gh， t表示对Ppub， PKA， AliceInfo的第二哈希值， u为计算w ′的中间变量， w ′为基于r生成 的第二承诺值， 计算h ′＝ H2(m||w′)， h′为基于m||w ′的第二哈希值， 最后判断第二哈希值h ′与第一哈希值h是否一 致， 如果一致， 则σ 为 合法签名， 否则， 签名无效。 2.一种基于SM9签名的基于证书签名生成装置， 其特 征在于， 包括： 初始化模块， 用于执行初始化步骤， 包括： 证书颁发机构产生随机数d， 作为私钥， 并计算公钥Ppub＝[d]P2， 用户A生成自己的公私钥对(SKA， PKA)＝(sA， [sA]P1)， P1， P2分别为群 G1和G2的生成元， G1， G2表示阶为q的加法循环群， 表示由1， 2， ， ....， q ‑1组成的整数集合， SKA、 PKA分别为用户A的私钥和公钥， sA为用户A的基于证书体系的私钥； 证书授权模块， 用于执行证书授权步骤， 包括： 用户A将相关信息发送至证书颁发机构， 其中， 相关信息包括用户A的公钥PKA和个人信息AliceInfo； 证书颁发机构对用户A的相关 信息进行验证， 如果验证通过， 则计算哈希值t， t＝H1(Ppub， PKA， AliceInfo)， 并进一步生成 用户A的证书CertA， CertA＝[d(t+d)‑1]P1， 并将CertA发送给用户A， 然后由用户A 计算自己基 于证书体系的私钥SA＝[sA]CertA＝[sA·d(t+d)‑1]P1； 签名模块， 用于执行签名步骤， 包括： 用户A作为签名者， 首先计算GT的中的元素g， g＝e (PKA， Ppub)， 然后随机选取 并计算w， h和l， w＝gr， h＝H2(m||w)， l＝r ‑h mod q， 其中， w表示对r的第一承诺值， h表 示对m||w的第一哈希值， l为计算S的中间变量； 然后计算S， S＝ [l]SA， S为签名的组成部分， 最后， 根据h和S得到待签名的消息m的签名 σ ＝(h， S)； 验证模块， 用于执行验证步骤， 包括： 验证者计算GT的中的元素g， g＝e(PKA， Ppub)， 然后 计算t， t＝H1(Ppub， PKA， AliceInfo)， 并计算u＝e(S， [t]P2+Ppub)， 然后计算w ′＝u·gh， t表示 对Ppub， PKA， AliceInfo的第二哈希值， u为计算w ′的中间变量， w ′为基于r生成的第二承诺 值， 计算h ′＝H2(m||w′)， h′为基于m||w ′的第二哈希值， 最后判断第二哈希值h ′与第一哈希 值h是否一 致， 如果一致， 则σ 为 合法签名， 否则， 签名无效。权　利　要　求　书 1/2 页 2 CN 115174055 A 23.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被执行时实 现如权利要求1所述的方法。 4.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特 征在于， 所述处 理器执行所述程序时实现如权利要求1所述的方法。权　利　要　求　书 2/2 页 3 CN 115174055 A 3