(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210719535.9 (22)申请日 2022.06.23 (71)申请人 武汉大学 地址 430072 湖北省武汉市武昌区珞珈山 街道八一路2 99号 (72)发明人 包子健　何德彪　刘钰琳　彭聪　 罗敏　黄欣沂　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 罗飞 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于SM9 签名的适配器签名生成方法及 装置 (57)摘要 本发明公开了一种基于SM9签名的适配器签 名生成方法及装置， 其中的方法包括： 密钥生成、 预签名生成、 预签名验证、 签名适配以及证据提 取步骤， 该签名生成方法基于国密SM9算法和适 配器签名来实现， 通过适配器签名的生成可以满 足自主可控的安全需求， 并且基于国密SM9算法 的高安全性， 从而安全性能高。 权利要求书2页 说明书7页 附图3页 CN 115174052 A 2022.10.11 CN 115174052 A 1.一种基于SM9签名的适配 器签名生成方法， 其特 征在于， 包括： 密钥生成步骤， 包括： 密钥生成中心产生随机数msk， 将d作为主私钥， 并 计算主公钥Ppub， Ppub＝[d]P2； 用户A得到其签名私钥IDA， 并根据IDA得到对应的用户私钥 其中， d表示由密钥生成中心秘密持有的系统主私 钥， P1， P2分别为群G1和G2的生成元， G1， G2表示阶为q的加法循环群， q为一个大素数， 表示 由1， 2， ， ....， q ‑1组成的整数集合， H1(·)表示由密码杂凑函数派生的密码函数， 为 预签名生成步骤， 包括： 用户A生成实例I， I＝{((z， IDA， Ppub)， Y)|Y∈G1， e(Y， H1(IDA)· P2+Ppub)＝z}， 并生成第一零知识证明π， π＝PY{((z， ID， Ppub)， Y)|Y∈G1， e(Y， H1()·P2+Ppub) ＝z}， 其中Y表示第一证据， z表示第一承诺 值， PY表示对于示例I生成零知识证明， e表示从G1 ×G2到GT的双线性对映射， GT为阶为q的乘法循环群； 用户A计 算GT中的元素g＝e(P1， Ppub)， 然 后随机选取 并计算w＝gr·z， h＝H2(m||w)， l＝(r ‑h)mod q， 接着计算 最后 输出待签名的消息m的预签名值 其中， w为第二承诺值， h为第一哈希值， l表 示计算 的中间变量， 表示预签名的组成部分； 预签名验证 步骤， 验证者基于预签名值 和待签名的消息m进行验证， 包括： 验证者验证零知识证明π＝PY{((z， ID， Ppub)， Y)|Y∈G1， e(Y， H1(IDA)·P2+Ppub)＝z}是否正 确， 如果成立， 则 计算P＝H1(IDA)·P2+Ppub， 并计算 然后计算h ′＝H2(m|| w′)， 再判断h ′与h是否一致， 如果一致， 则 为合法签名， 否则， 签名无效， P为中间变量， w ′为 第三承诺值， h ′为第二哈希值； 签名适配步骤， 包括： 在预签名验证成功后， 对于给定的预签名值 和第一证据Y， 计算 完整的签名值σ ＝(h， S)， 其中 S表示完整签名的组成部分； 证据提取步骤， 包括： 给定预签名值 完整的签名值σ和实例I， 计算 Y′为第 二证据； 验证I＝{((z， ID， Ppub)， Y′)|Y′∈G1， e(Y′， H1(IDA)·P2+Ppub)＝z}是否为一个正确 的实例， 如果是， 则提取成功并输出Y ′； 否则， 提取失败。 2.一种基于SM9签名的适配 器签名生成装置， 其特 征在于， 包括： 密钥生成模块， 用于执行密钥生成步骤， 包括： 密钥生成中心产生随机数msk， 将d作为主私钥， 并计算主 公钥Ppub， Ppub＝[d]P2； 用户A得到其签名私钥IDA， 并根据IDA得到对应的用户私钥 其中， d表示由密 钥生成中心秘密持有的系统主私钥， P1， P2分别为群 G1和G2的生成元， G1， G2表示阶为q的加法 循环群， q为一个大素数， 表示由1， 2， ， ....， q ‑1组成的整数集合， H1(·)表示由密码杂凑 函数派生的密码函数， 为 预签名生成模块， 用于执行预签名生成步骤， 包括： 用户A生成实例I， I＝{((z， IDA， Ppub)， Y)|Y∈G1， e(Y， H1(IDA)·P2+Ppub)＝z}， 并生成第一零知识证明π， π＝PY{((z， ID， Ppub)， Y)|Y∈G1， e(Y， H1(IDA)·P2+Ppub)＝z}， 其中Y表示第一证据， z表示第一承诺值， PY表示对于 示例I生成零知识证明， e表示从G1×G2到GT的双线性对映射， GT为阶为q的乘 法循环群； 用户 A计算GT中的元素g＝e(P1， Ppub)， 然后随机选取 并计算w＝gr·z， h＝H2(m||w)， l＝ (r‑h)mod q， 接着计算 最后输出待签名的消息m的预签名值 其中，权　利　要　求　书 1/2 页 2 CN 115174052 A 2w为第二承诺值， h为第一哈希值， l表示计算 的中间变量， 表示预签名的组成部分； 预签名验证模块， 用于执行预签名验证步骤， 验证者基于预签名值 和待 签名的消息m进行验证， 包括： 验证者验证零知 识证明π＝PY{((z， ID， Ppub)， Y)|Y∈G1， e(Y， H1 (IDA)·P2+Ppub)＝z}是否正确， 如果成立， 则计算P＝H1(IDA)·P2+Ppub， 并计算 然后计算h ′＝H2(m||w′)， 再判断h ′与h是否一致， 如果一致， 则 为合法 签名， 否则， 签名无效， P为中间变量， w ′为第三承诺值， h ′为第二哈希值； 签名适配模块， 用于执行签名适配步骤， 包括： 在预签名验证成功后， 对于给定的预签 名值 和第一证据Y， 计算完整的签名值σ ＝(h， S)， 其中 S表示完整签名的组成部 分； 证据提取模块， 用于执行证据提取步骤， 包括： 给定预签名值 完整的签名值σ和实例 I， 计算 Y′为第二证据； 验证I＝{((z， ID， Ppub)， Y′)|Y′∈G1， e(Y′， H1(IDA)·P2+ Ppub)＝z}是否为 一个正确的实例， 如果是， 则提取成功并输出Y ′； 否则， 提取失败。 3.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器执 行时实现如权利要求1所述的方法。 4.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特 征在于， 所述处 理器执行所述程序时实现如权利要求1所述的方法。权　利　要　求　书 2/2 页 3 CN 115174052 A 3