【密码学实战】Java 实现 SM2 国密算法（签名带id、验签及 C1C3C2 加密解密）

前言

SM2是中国国家密码管理局发布的椭圆曲线公钥密码算法标准（GB/T 32918），属于国密算法体系。与RSA和ECDSA相比，SM2在相同安全强度下密钥更短、计算效率更高。本文将介绍如何在Java中实现SM2的密钥生成、数字签名、验签、加密及解密功能。

一、结果验证

1.代码运行结果

1.1 不带id签名验签代码运行结果

1.2 带id签名验签代码运行结果

1.3 SM2加密解密代码运行结果

2.工具验证结果

2.1 不带id签名验签工具运行结果

2.2 带id签名验签工具运行结果

2.3 SM2加密解密工具运行结果

二、SM2签名原理

SM2签名过程的核心是利用私钥对消息进行签名，生成签名值 (r, s)。具体步骤如下：

1. 计算消息的哈希值
   使用SM3哈希算法对消息 M 进行哈希处理，得到哈希值 e。

2. 生成随机数
   选择一个随机数 k，满足 1 < k < n，其中 n 是椭圆曲线的阶。

3. 计算椭圆曲线点
   使用随机数 k 计算椭圆曲线上的点 Q = kG，其中 G 是椭圆曲线的基点。取点 Q 的 x 坐标 x1。

4. 计算签名值 r
   计算 r = (e + x1) mod n。如果 r = 0 或 r + k = n，则重新选择随机数 k。

5. 计算签名值 s
   计算 s = (1 + d)^{-1} * (k - r * d) mod n，其中 d 是私钥。

6. 输出签名结果
   签名结果为 (r, s)，通常以字节数组的形式存储和传输。

三、SM2验签原理

SM2验签过程的核心是利用公钥验证签名的有效性。具体步骤如下：

1. 计算消息的哈希值
   使用SM3哈希算法对消息 M 进行哈希处理，得到哈希值 e。

2. 计算值 t
   计算 t = (r + s) mod n，其中 r 和 s 是签名值。

3. 计算椭圆曲线点
   计算点 R = sG + tP，其中 G 是椭圆曲线的基点，P 是签名者的公钥。取点 R 的 x 坐标 x1。

4. 验证签名
   验证等式 r = (e + x1) mod n 是否成立。如果成立，则签名有效；否则，签名无效。

四、SM2签名与验签的Java实现

1. 添加依赖

在pom.xml中添加Bouncy Castle依赖：

<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk15on</artifactId><version>1.70</version>
</dependency>

2. 生成密钥对

/*** 生成SM2密钥对。** @return 生成的密钥对（包含公钥和私钥）* @throws Exception 如果密钥生成过程中发生错误*/public static KeyPair generateKeyPair() throws Exception {// 添加Bouncy Castle安全提供者Security.addProvider(new BouncyCastleProvider());// 获取SM2椭圆曲线参数（使用sm2p256v1曲线）ECParameterSpec sm2Spec = ECNamedCurveTable.getParameterSpec("sm2p256v1");// 创建EC密钥对生成器实例KeyPairGenerator kpg = KeyPairGenerator.getInstance("EC", "BC");// 初始化密钥对生成器，指定椭圆曲线参数和随机数生成器kpg.initialize(sm2Spec, new SecureRandom());// 生成密钥对并返回return kpg.generateKeyPair();}

3. 签名不带ID

 /*** 使用SM2算法进行签名（不使用用户ID）。** @param data       待签名的数据（字节数组）* @param privateKey 签名使用的私钥* @return 签名结果（字节数组）* @throws Exception 如果签名过程中发生错误*/public static String signNoId(byte[] data, PrivateKey privateKey) throws Exception {// 创建SM2签名实例，指定使用SM3哈希算法Signature signature = Signature.getInstance(GMObjectIdentifiers.sm2sign_with_sm3.toString(), BouncyCastleProvider.PROVIDER_NAME);// 初始化签名器，使用私钥signature.initSign(privateKey);// 更新待签名的数据signature.update(data);// 生成签名byte[] signatureBytes = signature.sign();// 解析 DER 编码的签名结果ASN1Sequence sequence = ASN1Sequence.getInstance(signatureBytes);BigInteger r = ASN1Integer.getInstance(sequence.getObjectAt(0)).getValue();BigInteger s = ASN1Integer.getInstance(sequence.getObjectAt(1)).getValue();// 打印 r 和 s 的值System.out.println("r 的十六进制值: " + r.toString(16));System.out.println("s 的十六进制值: " + s.toString(16));// 将 r 和 s 拼接为 64 字节的签名结果byte[] rBytes = to32Bytes(r);byte[] sBytes = to32Bytes(s);byte[] rawSignature = new byte[64];System.arraycopy(rBytes, 0, rawSignature, 0, 32);System.arraycopy(sBytes, 0, rawSignature, 32, 32);// 生成签名并返回return Hex.toHexString(rawSignature);}

4. 验签不带ID

/*** 验证SM2签名（不使用用户ID）** @param data       待验证的数据（明文）* @param signature  签名数据（字节数组）* @param publicKey  公钥* @return 验签结果（true表示成功，false表示失败）* @throws Exception 如果验签过程中发生错误*/public static boolean verifyNoId(byte[] data, byte[] signature, PublicKey publicKey) throws Exception {// 初始化SM2签名算法（使用SM3哈希算法）Signature verifier = Signature.getInstance(GMObjectIdentifiers.sm2sign_with_sm3.toString(), BouncyCastleProvider.PROVIDER_NAME);// 初始化验证器，使用公钥verifier.initVerify(publicKey);// 更新待验证的数据verifier.update(data);// 将 r 和 s 拼接格式的签名结果转换为 DER 编码格式byte[] derSignature = convertRawSignatureToDER(signature);// 验证签名return verifier.verify(derSignature);}

5. 测试代码

public static void main(String[] args) throws Exception {// 生成密钥对KeyPair keyPair = generateKeyPair();PublicKey publicKey = keyPair.getPublic();PrivateKey privateKey = keyPair.getPrivate();// 提取公钥的 x 和 y 坐标String publicKeyX = ((ECPublicKey) publicKey).getQ().getAffineXCoord().toBigInteger().toString(16);String publicKeyY = ((ECPublicKey) publicKey).getQ().getAffineYCoord().toBigInteger().toString(16);// 拼接 x 和 y 坐标String publicKeyXY = publicKeyX + publicKeyY;System.out.println("X: " + publicKeyX);System.out.println("Y: " + publicKeyY);//System.out.println("公钥: " + publicKeyXY);// 打印私钥的十六进制表示BigInteger privateKeyD = ((ECPrivateKey) privateKey).getD();System.out.println("私钥HEX: " + privateKeyD.toString(16));// 待签名数据String data = "12345";String newData = "1234567";byte[] dataBytes = data.getBytes();//System.out.printf("原文: "+data);byte[] newDat = newData.getBytes();//System.out.printf("原文修改: "+newData);// 签名String signature = signNoId(dataBytes, privateKey);System.out.println("签名结果: " + signature);// 验签boolean isValid = verifyNoId(dataBytes, Hex.decode(signature), publicKey);System.out.println("验签值: " + isValid);// 修改原文验签boolean isVa = verifyNoId(newDat, Hex.decode(signature), publicKey);System.out.println("修改原文验签结果: " + isVa);System.out.printf("==========================================================: ");// 签名带idString dataID = "12345";String dataNew = "123456";String userId ="1234567812345678";String signatureId = signWithID(privateKey, publicKey, dataID, userId);System.out.println("带id签名结果: " + signatureId);// 验签带idboolean isValidId = verifyWithID(publicKey, dataID, userId, Hex.decode(signatureId));System.out.println("带id验签值: " + isValidId);// 验签带id原文修改验证boolean isValidIdNew = verifyWithID(publicKey, dataNew, userId, Hex.decode(signatureId));System.out.println("带id验签值原文修改: " + isValidIdNew);}

五 、SM2带ID签名与验签Java实现

SM2签名标准要求计算哈希值时包含用户身份标识（ID），默认ID为空字符串。但在实际应用中（如金融场景），需明确指定用户ID（如身份证号、手机号等）。以下是Java实现方法：

1.算法原理解析

SM2签名算法中，用户ID（即userId）被用于生成一个关键值 ZA，其目的是将用户身份与密钥绑定，增强安全性。具体步骤如下：

1. ZA值计算
   ZA通过哈希函数（SM3）生成，计算公式为：

   复制

   ZA = HASH( ENTLA || ID || a || b || xG || yG || xA || yA )
   

   • ENTLA：用户ID的比特长度（占2字节，如ID长度256比特则值为0x0100）
   • ID：用户自定义标识（如身份证号、手机号）
   • a, b：椭圆曲线方程参数
   • (xG, yG)：椭圆曲线基点坐标
   • (xA, yA)：签名方的公钥坐标

2. 签名过程

   • 输入：私钥、待签名数据M、用户ID
   • 输出：签名结果(r, s)

   1. 计算 ZA（如上）
   2. 计算 e = HASH(ZA || M)
   3. 生成随机数k，计算椭圆曲线点(x1, y1) = [k]G
   4. 计算 r = (e + x1) mod n
   5. 若r=0或r+k=n，则重新生成k
   6. 计算 s = ((1 + d)^−1 * (k − r * d)) mod n（d为私钥）
   7. 返回(r, s)
   

3. 验签过程

   • 输入：公钥、签名(r, s)、原始数据M、用户ID
   • 输出：验签结果（true/false）

   1. 校验r和s是否在[1, n-1]范围内
   2. 计算 ZA（与签名方相同ID）
   3. 计算 e = HASH(ZA || M)
   4. 计算 t = (r + s) mod n
   5. 计算椭圆曲线点(x1, y1) = [s]G + [t]P（P为公钥）
   6. 验证 R = (e + x1) mod n 是否等于r
   

2.代码实现

1. 带ID的签名

/*** 使用 SM2 算法进行带用户 ID 的签名，并返回 r 和 s 的拼接结果** @param privateKey 私钥* @param publicKey  公钥* @param data       待签名的数据* @param userId     用户 ID（如企业编号、用户身份证等）* @return 签名结果（Hex 编码的字符串，64 字节）* @throws Exception 如果签名过程中发生错误*/public static String signWithID(PrivateKey privateKey, PublicKey publicKey, String data, String userId) throws Exception {// 将私钥转换为 ECPrivateKeyParametersECPrivateKeyParameters ecPrivateKey = convertPrivateKey(privateKey);// 将公钥转换为 ECPublicKeyParametersECPublicKeyParameters ecPublicKey = convertPublicKey(publicKey);// 创建 SM2 签名器SM2Signer signer = new SM2Signer(new SM3Digest());// 初始化签名器，传入私钥和用户 IDsigner.init(true, new ParametersWithID(ecPrivateKey, userId.getBytes(StandardCharsets.UTF_8)));// 更新待签名的数据signer.update(data.getBytes(StandardCharsets.UTF_8), 0, data.length());// 生成签名byte[] signResult = signer.generateSignature();// 解析 DER 编码的签名结果ASN1Sequence sequence = ASN1Sequence.getInstance(signResult);BigInteger r = ASN1Integer.getInstance(sequence.getObjectAt(0)).getValue();BigInteger s = ASN1Integer.getInstance(sequence.getObjectAt(1)).getValue();// 打印 r 和 s 的值System.out.println("r 的十六进制值: " + r.toString(16));System.out.println("s 的十六进制值: " + s.toString(16));// 将 r 和 s 拼接为 64 字节的签名结果byte[] rBytes = to32Bytes(r);byte[] sBytes = to32Bytes(s);byte[] rawSignature = new byte[64];System.arraycopy(rBytes, 0, rawSignature, 0, 32);System.arraycopy(sBytes, 0, rawSignature, 32, 32);// 返回 Hex 编码的签名结果return Hex.toHexString(rawSignature);}

2. 带ID的验签

/*** 使用 SM2 算法进行带用户 ID 的验签** @param publicKey  公钥* @param data       待验签的数据* @param userId     用户 ID（必须与签名时一致）* @param signature  签名结果（字节数组，r 和 s 的拼接格式）* @return 验签结果（true 表示验签成功，false 表示验签失败）* @throws Exception 如果验签过程中发生错误*/public static boolean verifyWithID(PublicKey publicKey, String data, String userId, byte[] signature) throws Exception {// 将公钥转换为 ECPublicKeyParametersECPublicKeyParameters ecPublicKey = convertPublicKey(publicKey);// 创建 SM2 验签器SM2Signer verifier = new SM2Signer(new SM3Digest());// 初始化验签器，传入公钥和用户 IDverifier.init(false, new ParametersWithID(ecPublicKey, userId.getBytes(StandardCharsets.UTF_8)));// 更新待验签的数据verifier.update(data.getBytes(StandardCharsets.UTF_8), 0, data.length());// 将 r 和 s 拼接格式的签名结果转换为 DER 编码格式byte[] derSignature = convertRawSignatureToDER(signature);// 验签return verifier.verifySignature(derSignature);}

六、SM2加密与解密Java实现

1.SM2加密原理

1. SM2加密过程主要基于椭圆曲线的数学特性，通过公钥对明文数据进行加密。具体步骤如下：

   1. 选择椭圆曲线参数
      • 使用椭圆曲线参数（如sm2p256v1），这些参数包括椭圆曲线方程的系数、基点G以及基点的阶n。
   2. 生成随机数k
      • 选择一个随机数k（1 < k < n），用于生成椭圆曲线上的一个点R = [k]G。
   3. 计算密文
      • 使用公钥P（签名方的公钥）和随机点R，根据SM2的加密公式计算密文。SM2支持两种加密模式：
        • C1C3C2模式：密文格式为C1 || C3 || C2。
        • C1C2C3模式：密文格式为C1 || C2 || C3。
      • 其中：
        • C1是随机点R的编码。
        • C2是经过加密的明文数据。
        • C3是消息的哈希值，用于验证数据完整性。
   4. 输出密文
      • 将计算得到的C1、C2和C3拼接成最终的密文。

2.SM2解密原理

解密过程是加密的逆操作，使用私钥对密文进行解密，还原出原始明文。具体步骤如下：

1. 解析密文
   • 将密文拆分为C1、C2和C3。
2. 计算椭圆曲线点
   • 使用私钥d和C1中的点R，根据SM2的解密公式计算椭圆曲线上的一个点。
3. 还原明文
   • 利用椭圆曲线的数学特性，结合C1、C2和C3，通过解密公式还原出原始明文。
4. 验证数据完整性
   • 使用C3验证解密后的数据是否被篡改。

3.代码实现

1. 添加依赖

在pom.xml中添加Bouncy Castle依赖：

<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk15on</artifactId><version>1.70</version>
</dependency>

2. 生成密钥对

  /*** 生成SM2密钥对*/public static KeyPair generateSM2KeyPair() throws Exception {// 获取SM2椭圆曲线参数X9ECParameters ecParameters = GMNamedCurves.getByName("sm2p256v1");ECParameterSpec ecSpec = new ECParameterSpec(ecParameters.getCurve(),ecParameters.getG(),ecParameters.getN(),ecParameters.getH());// 创建密钥对生成器KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("EC", "BC");keyPairGenerator.initialize(ecSpec, new SecureRandom());return keyPairGenerator.generateKeyPair();}

3. 公钥加密

 /*** SM2加密（C1C3C2模式）* @param publicKey 公钥* @param data 待加密数据* @return 加密后的字节数组（C1C3C2格式）*/public static byte[] encrypt(BCECPublicKey publicKey, byte[] data) throws Exception {// 获取椭圆曲线参数ECDomainParameters domainParams = new ECDomainParameters(publicKey.getParameters().getCurve(),publicKey.getParameters().getG(),publicKey.getParameters().getN());// 创建加密引擎（默认输出C1C3C2格式）SM2Engine engine = new SM2Engine(SM2Engine.Mode.C1C3C2);// 初始化加密引擎ECPublicKeyParameters pubKeyParams = new ECPublicKeyParameters(publicKey.getQ(),domainParams);engine.init(true, new ParametersWithRandom(pubKeyParams, new SecureRandom()));return engine.processBlock(data, 0, data.length);}

4. 私钥解密

/*** SM2解密（C1C3C2模式）* @param privateKey 私钥* @param cipherData 密文数据（C1C3C2格式）* @return 解密后的字节数组*/public static byte[] decrypt(BCECPrivateKey privateKey, byte[] cipherData) throws Exception {// 获取椭圆曲线参数ECDomainParameters domainParams = new ECDomainParameters(privateKey.getParameters().getCurve(),privateKey.getParameters().getG(),privateKey.getParameters().getN());// 创建解密引擎（设置为C1C3C2模式）SM2Engine engine = new SM2Engine(SM2Engine.Mode.C1C3C2);// 初始化解密引擎ECPrivateKeyParameters priKeyParams = new ECPrivateKeyParameters(privateKey.getD(),domainParams);engine.init(false, priKeyParams);return engine.processBlock(cipherData, 0, cipherData.length);}

注意事项

1. 密钥管理：私钥需安全存储（如密码机或云密码机等）
2. 性能优化：加解密大数据时建议使用SM4对称加密配合SM2密钥交换
3. ID编码：userId.getBytes() 需与业务方约定编码格式（如UTF-8、HEX等）
4. 长度限制：ID长度建议不超过65535字节（规范限制）
5. 跨系统交互：与其他系统（如C++、Go）对接时需确认ID处理逻辑一致性

总结

希望这篇文章对你有所帮助！如果觉得不错，别忘了关注哦！