(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210719538.2 (22)申请日 2022.06.23 (71)申请人 武汉大学 地址 430072 湖北省武汉市武昌区珞珈山 街道八一路2 99号 (72)发明人 包子健　何德彪　郑航城　彭聪　 王婧　冯琦　黄欣沂　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 罗飞 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于SM9 签名的无证书签名生成方法及 装置 (57)摘要 本发明公开了一种基于SM9签名的无证书签 名生成方法及装置， 其中的方法包括初始化步 骤、 部分私钥提取步骤、 秘密值设置步骤、 公钥设 置步骤、 私钥设置步骤、 签名步骤以及验证步骤， 它基于SM9算法的签名结构， 消除了传统公钥密 码系统中对证书的需求 以及基于身份的公钥密 码术中的密钥托管问题， 该方法的实现无需传输 大量证书数据， 能够适用于资源受限的应用场景 中， 弥补了SM9数字签名算法在无证书体系中的 空缺。 权利要求书2页 说明书7页 附图2页 CN 115174054 A 2022.10.11 CN 115174054 A 1.一种基于SM9签名的无证书签名生成方法， 其特 征在于， 包括： 初始化步骤， 包括： 密钥生成中心产生随机数 msk， 其中 将产生的随机数d 作为主私钥， 并计算主公钥Ppub＝[d]P2， 然后计算GT的中的元素g＝e(P1， Ppub)， P1， P2分别为 群G1和G2的生成元， G1， G2表示阶为q 的加法循环群， GT表示q的乘法循环群， q为一个大素数， 表示由1， 2， ， . ...， q‑1组成的整数集 合； 部分私钥提取步骤， 包括： 密钥生成中心生成用户A部分私钥 其中， H1(·)为由密码杂凑函数派生的密码函数， IDA为用户A的可辨识标识； 秘密值设置步骤， 包括： 用户A随机 选取 将xA作为自己的秘密值； 公钥设置步骤， 包括： 用户A计算群元素QA， QA＝[H1(IDA)]P2+Ppub， RA＝[xA]QA， 并设置用 户RA的公钥PKA， PKA＝RA， 其中， RA为基于群元 素QA计算出的一个中间变量； 私钥设置步骤 ， 包括 ： 用户A计算yA， yA＝H3(RA) ， 并计算自己的私钥SA， 其中， yA表示RA的哈希值； 签名步骤， 包括： 给定待签名的消息m， 私钥SA， 身份IDA； 用户A作为签名者随机选取r， 计算w＝gr， w为基于r生成的第一承诺值， 基于消息m和第一承诺值w计算第一哈希值 h， h＝H2(m||w)然后计算中间变量l， l＝r ‑h mod q， 再计算V， V＝[l]SA， V为部分签名值， 最 后输出签名值σ ＝(h， V)； 验证步骤， 包括： 验证者在给定待签名的消息m， 公钥RA， 身份IDA， 签名值σ ＝(h， V)的情 况下， 首先计算群元素QA， QA＝[H1(IDA)]P2+Ppub， 并计算RA的哈希值yA， yA＝H3(RA)； 然后计算 中间变量u， u＝e(V， RA+[yA]QA)， 再计算w ′， w′＝u·gh， w′为基于r生成的第二承诺值， 然后 计算第二哈希值h ′， h′＝H2(m||w′)， 最后判断第二哈希值h ′与第一哈希值h是否一致， 如果 一致， 则σ 为 合法签名， 否则， 签名无效。 2.一种基于SM9签名的无证书签名生成装置， 其特 征在于， 包括： 初始化模块， 用于执行初始化步骤， 包括： 密钥生成中心产生随机数msk， 其中 将产生的随机 数d作为主私钥， 并计算主公钥Ppub＝[d]P2， 然后计算 GT的中的 元素g＝e(P1， Ppub)， P1， P2分别为群G1和G2的生成元， G1， G2表示阶为q的加法循环群， GT表示q 的乘法循环群， q为 一个大素数， 表示由1， 2， ， . ...， q‑1组成的整数集 合； 部分私钥提取模块， 用于执行部分私钥提取步骤， 包括： 密钥生成中心生成用户A部分 私钥 其中， H1(·)为由密码杂凑函数派生的密码函数， IDA 为用户A的可辨识标识； 秘密值设置模块， 用于执行秘密值设置步骤， 包括： 用户A随机选取 将xA作为自 己的秘密值； 公钥设置模块， 用于执行公钥设置步骤， 包括： 用户A计算群元素QA， QA＝[H1(IDA)]P2+ Ppub， RA＝[xA]QA， 并设置用户RA的公钥PKA， PKA＝RA， 其中， RA为基于群元素QA计算出的一个中 间变量； 私钥设置模块， 用于执行私钥设置步骤， 包括： 用户A计算yA， yA＝H3(RA)， 并计算自己的 私钥SA， 其中， yA表示RA的哈希值； 签名模块， 用于执行签名步骤， 包括： 给定待签名的消息m， 私钥SA， 身份IDA； 用户A作为权　利　要　求　书 1/2 页 2 CN 115174054 A 2签名者随机选取r， 计算w＝gr， w为基于r生成的第一承诺值， 基于消息m和第一承诺 值w计算第一哈希值h， h＝H2(m||w)然后计 算中间变 量l， l＝r ‑h mod q， 再计算V， V＝[l]SA， V为部分签名值， 最后输出签名值σ ＝(h， V)； 验证模块， 用于执行验证步骤， 包括： 验证者在给定待签名的消息m， 公钥RA， 身份IDA， 签 名值σ ＝(h， V)的情况下， 首先计算群元素QA， QA＝[H1(IDA)]P2+Ppub， 并计算RA的哈希值yA， yA ＝H3(RA)； 然后计算中间变量u， u ＝e(V， RA+[yA]QA)， 再计算w ′， w′＝u·gh， w′为基于r生成的 第二承诺值， 然后计算第二哈希值h ′， h′＝H2(m||w′)， 最后判断第二哈希值h ′与第一哈希 值h是否一 致， 如果一致， 则σ 为 合法签名， 否则， 签名无效。 3.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被执行时实 现如权利要求1所述的方法。 4.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特 征在于， 所述处 理器执行所述程序时实现如权利要求1所述的方法。权　利　要　求　书 2/2 页 3 CN 115174054 A 3