(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号CN112003698A
(43)申请公布日2020.11.27
(21)申请号202010928725.2
(22)申请日2020.09.07
(71)申请人北京三未信安科技发展有限公司
地址100102北京市朝阳区广顺北大街16
号院2号楼14层1406室
申请人山东三未信安信息科技有限公司
(72)发明人杨国强刘会议
(74)专利代理机构北京轻创知识产权代理有限
公司11212
代理人徐琪琦
(51)Int.Cl.
H04L9/08(2006.01)




权利要求书2页说明书6页附图1页
(54)发明名称
一种SM9协同数字签名方法和系统
(57)摘要
本发明涉及一种SM9协同数字签名方法和系
统，实现SM9数字签名并不单独由CPU或GPU完成，
也不单独由密码卡，而是通过两个实体即密码卡
和CPU或GPU共同完成数字签名，CPU或GPU具有高
性能运算能力，且密码卡的运算比较简单，保证
SM9数字签名的效率，而且，签名密钥预存在密码
卡中，使用户的签名密钥不存在泄露的风险，具
有高安全性和高可靠性，也就是说，本申请的一
种SM9协同数字签名方法给用户提供高性能SM9
数字签名的同时，也能保证用户的签名密钥的安
全性。
CN112003698A
CN112003698A权利要求书1/2页

1.一种SM9协同数字签名方法，其特征在于，包括：

CPU或GPU生成临时签名信息(rc,gc)，并将待签名消息M和所述临时签名信息(rc,gc)进

行打包，并将打包后的签名消息包(M,(rc,gc))发送至密码卡；

所述密码卡根据所述签名消息包(M,(rc,gc))、预存的签名辅助信息(rs,gs)和预存的签
名密钥得到所述待签名消息M对应的数字签名值(h,S)；

其中，rc为第一随机数，根据所述第一随机数rc得到第一数值gc，rs为第二随机数，根据

所述第二随机数rs得到第二数值gs，且所述第一数值gc和所述第二数值gs均为国密SM9标准

定义的第三循环群GT中的元素，所述国密SM9标准定义第一循环群G1、第二循环群G2和所述

第三循环群GT，且G1×G2双线性映射至所述第三循环群GT。
2.根据权利要求1所述的一种SM9协同数字签名方法，其特征在于，所述根据所述第一

随机数rc得到第一数值gc，包括：

通过第一公式计算签名双线性对g，且所述签名双线性对g为所述第三循环群GT中的元

素，所述第一公式为：g＝e(P1,Ppub-s)；

通过第二公式计算所述得到所述第一数值gc，所述第二公式为：

其中，P1表示所述第一循环群G1的生成元，e(P1,Ppub-s)表示G1×G2到所述第三循环群GT

的双线性对，Ppub-s表示签名的主公钥，且Ppub-s为所述第二循环群G2中的元素。
3.根据权利要求2所述的一种SM9协同数字签名方法，其特征在于，所述密码卡得到数
字签名值(h,S)的过程，包括：

根据第三公式得到第一签名值h，所述第三公式为：h＝H2(M||w,N)；

根据第四公式得到第二签名值S，所述第四公式为：S＝[l]dsA；
将所述第一签名值h和所述第二签名值S打包后得到所述数字签名值(h,S)；

其中，w＝gc*gs，l＝(r-h)modN，r＝(rc+rs)modN，dsA表示所述签名密钥，H2
(M||w,N)表示密码杂凑函数SM3所派生的密码函数，[k]P表示椭圆曲线上的点P的k倍点,P

是第一循环群G1中的元素，N为所述第一循环群G1、所述第二循环群G2或所述第三循环群GT
的阶。
4.根据权利要求1至3任一项所述的一种SM9协同数字签名方法，其特征在于，还包括：

当生成打包后的签名消息包(M,(rc,gc))时，删除所述临时签名信息(rc,gc)。
5.一种SM9协同数字签名系统，其特征在于，包括处理器和密码卡，所述处理器用于生

成临时签名信息(rc,gc)，并将待签名消息M和所述临时签名信息(rc,gc)进行打包，并将打

包后的签名消息包(M,(rc,gc))发送至密码卡；

所述密码卡用于根据所述签名消息包(M,(rc,gc))、预存的签名辅助信息(rs,gs)和预存
的签名密钥得到所述待签名消息M对应的数字签名值(h,S)；

其中，rc为第一随机数，根据所述第一随机数rc得到第一数值gc，rs为第二随机数，根据

所述第二随机数rs得到第二数值gs，且所述第一数值gc和所述第二数值gs均为国密SM9标准

定义的第三循环群GT中的元素，所述国密SM9标准定义第一循环群G1、第二循环群G2和所述

第三循环群GT，且G1×G2双线性映射至所述第三循环群GT。
6.根据权利要求5所述的