WO2013078970A1 - 基于sm2密钥交换协议的密钥协商方法及装置 - Google Patents

Abstract

涉及信息技术领域，公开了一种基于SM2密钥交换协议的密钥协商方法及装置。该方法为：协商双方均根据令不等式n≤2^x成立的X取值中的最小正整数值，来计算参数W，并根据该参数W与协商对端进行密钥协商。相较于采用先计算log2（n）对数值再向上取整的方式计算参数W的方法，有效地减少了计算量，并且降低了算法的实现复杂度，从而在很大程度上提高了基于SM2密钥交换协议的密钥协商流程的实现效率，进而优化了SM2 密钥交换协议的工程化实现。

Description

基于 SM2密钥交换协议的密钥协商方法及装置 本申请要求在 2011年 11月 30日提交中国专利局、 申请号为 201110390564.7、 发 明名称为"基于 SM2密钥交换协议的密钥协商方法及装置"的中国专利申请的优先权， 其全部内容通过 I用结合在本申请中。 技术领域 本发明涉及信息技术领域， 特别涉及一种基于 SM2密钥交换协议的密钥协商 方法及装置。 背景技术 2010年 12月中国国家密码管理局将 SM2、 SM3密码算法公开，标志着 SM2、

SM3密码算法进入了商用化阶段。 SM2密钥交换协议作为 SM2密码算法的一个 组成部分，其在密钥管理和密钥协商功能领域得到很好的应用。在 SM2密钥交换 协议工程实现过程中， W参数作为密钥交换协议内的一个重要参数， 其参数值的 生成运算效率成为整个密钥交换协议实现效率的决定性因素。

基于 SM2密钥交换协议的规定， 现有的密钥协商流程如下：

支设用户 A为密钥协商发起方， 而用户 B为密钥协商响应方， 用户 A和用 户 B协商获得的密钥数据的长度为 klen比特， 以及用户 A和用户 B双方使用相 同的椭圆曲线方程， 其中， 该椭圆曲线方程类型可选择素域方程 = X³ + i7X + 6 , 也可以选择二元扩域方程 + = X³ + αχ² + 6。

在 SM2密钥交换协议内规定使用的密钥派生函数记为 KDF Z, klen、 , 其作用 是从一个秘密比特串中派生出密钥数据， 其中， z为输入的秘密比特串， t klen 表示要获得的密钥数据的比特长度，要求该值小于（2³² - l)v ,将长度为 《的密钥 数据比特串记为！^ 在密钥数据生成的过程中， 密钥派生函数需要调用密码杂凑 函数（例如， SM3密码杂凑算法） ， 通常将密码杂凑函数记为 H_v() , 密码杂凑函 数的输出是长度为 V比特的杂凑值。

下面介绍密钥派生函数运算步骤如下：

( 1 ) 、 初始化一个 32比特构成的计数器" = 0x00000001 ;

( 2 )、 分别釆用 i从 1到 的取值循环执行以下步骤 a和步骤 b , 各次的执 行结果分别记为： Ha Ha₂ ... ... Ηα^_ι→__χ , Ha\_[klen/vV 其中， _/vl为 生成的最后一个 的取值的部分或全部： a、 计算 ^.=^(2||^)_; II为级联运算

b、 ct + + - 在计算， ¾!「_fe/vl时,若 klen/v是整数,则令 !「^_/ν1 = ^^_fe„_/vl '若 klen/V 是非整数， 则令^ !p _e«/_v，为 ^Hakl_en ~]最左边的（We«- (vx^fe«/v」)）个比特； (3 )、 最后， 令 二^ ^ …!!^^ — ^!^ ; K便是获 得的密钥数据。

基于获得的密钥函数， 用户 A和用户 B为了获得相同的密钥， 需要进行密钥 协商， 具体运算步骤如下：

w =「(「log₂(")]/2)]_l。

用户 A:

Al： 釆用随机数发生器产生随机数 r_A G[1,«-1]_;

A2: 计算椭圆曲线点 =[ ](? = ( )， （χ,, )即是点 的坐标值， G 为选取的椭圆曲线参数。

A3: 将 发送给用户 B;

用户 B:

B 1： 釆用随机数发生器产生随机数 e [1, «— 1]；

B2: 计算椭圆曲线点」 =[ ]G = ( ₂,_y₂) , (JC₂,;₂)即是点 ¾的坐标值， G为选取的椭圆曲线参数。

B3: 从^¾中取出域元素 x2, 若域元素 x2为二元扩域数据， 则先要将其数据 类型转换为整数， 若域元素 x2为 域数据， 则无需转换， 可直接进行后续操作； 接着， 计算用户 B侧的中间 数 x₂ =2^w +(x₂ & (2^W— 1));

B4:计算 ^ ={d_B +x₂ r_B) odn ,其中， ^为用户8侧的中间参数， d_B 为用户 B本地保存的私钥、 为用户 B本地产生的随机数。

B5: 验证 是否满足椭圆曲线方程（釆用素域方式或二元扩域方式可预先 与用户 A约定， 双方釆用相同的椭圆曲线方程） ， 若不满足则确定本次密钥协商 失败， 若满足， 则从 中取出域元素 xl, 若域元素 xl为二元扩域域数据， 则先 要将其数据类型转换为整数， 若域元 xl为素域数据， 则无需转换， 可直接进行 后续操作， 计算用户 B侧的中间参数 X_x , ^ = 2 + & (2 - 1))；

B6: 计算椭圆曲线点^^^^ ^+^^]^)^ ,^),其中， h为选取 的椭圆曲线参数， 为用户 A的公钥，判断 V是否为无穷远点（如， =0 , y_v=0 ), 若是， 则确认用户 B密钥协商失败， 否则， 将域元素^、 的数据类型转换为 比特串；

B7: 计算^二^^；^^；^^^ ^^ ， Men)； 即为用户 B通过密 钥协商获得的密钥数据， 此时， 可默认用户 B的密钥协商成功。

可选地， 在执行 B7后， 用户 B还可以进一步执行 B8:

B8: 将 R 的坐标 xl、 yW R_s的坐标 x2、 y2的数据类型均转换为比特串， 计 算^二/^/？^^^ ！！；^/^/^^^^^^^^^；^^^ ))， Hash ( ) 可以看作是密码杂凑函数 H_v(), 可以看作是运算获得的一杂凑值。

B9: 将 发送给用户 A, 若执行了 B8, 则还需进一步将 发送给用户 A; 用户 A:

A4: 从 中取出域元素 xl, 若域元素 xl为二元扩域数据， 则先要将其数据 类型转换为整数， 若域元素 xl为素域数据， 则无需转换， 可直接进行后续操作， 计算中间参数 ^^ + &^ — 1》；

A5: 计算 ₄=( ₄+::₁. ）1110(1", 其中， ^为用户 A侧的中间参数， 为 用户 A本地保存的私钥、 为用户 A本地产生的随机数。

A6: 验证^ ¾是否满足椭圆曲线方程（与用户 B约定） ， 若不满足， 则确定 本次密钥协商失败； 否则， 从 中取出域元素 x2, 若域元素 x2为二元扩域域数 据， 则先要将其数据类型转换为整数， 若域元素 x2为素域数据， 则无需转换， 可 直接进行后续操作， 计算中间参数 ^ = 2^w+(x₂ & (2^W— 1));

A7：计算椭圆曲线点 = ^ ] (A + [^] = ,若 U是无究远点（如，

½=0, yu=0 ) , 则 ^协商失败； 否则将域元素 ·％、 的数据类型转换为比 特串；

A8: 计算^ = KDF(x_u II γ_υ || Z_A || Z_B， Men) , Κ_Α即为用户 Α通过 密钥协商获得的密钥数据， 此时， 可默认用户 A的密钥协商成功；

可选地， 在执行 A8后， 若接收到用户 B发送的 , 则用户 A还可以进一步执 行 A9和 A10:

A9: 将 R 的坐标 xl、 yW R_s的坐标 x2、 y2的数据类型均转换为比特串， 计 算 S₁=Ho^(0x02||>¾ ||Ha^(x_[/|| || ||x₁||_y₁||x₂||_y₂)), Hash ( )可以看 作是密码杂凑函数 H_v(), S可以看作是运算获得的一杂凑值， 并检验 &是 否成立， 若成立， 则确定用户 B到用户 A的密钥确认成功， 若不成立则确定从用户 B到用户 A的密钥确认失败；

A10: 计算 =/¾^(0 03|| ||/¾^(_½||2 |2 || ₁|| || || )), 并 将 发送给用户

用户 B: (若接收到用户 A发送的 , 则用户 B可以继续执行步骤 B10和 B11 ) B10: 计算& = Hash (0x03 \\ y_v || Hash(x_v || Z_A || Z_B || x_x || y_x || x₂1| y₂)) , 并检验 是否成立， 若成立， 则确定用户 A到用户 B的密钥确认成功， 若不 成立则确定从用户 A到用户 B的密钥确认失败。

上述过程便是 SM2密钥交换协议描述的密钥协商过程， 由此可知， 在上述流 程中， \¥参数值运算公式为 =「(「1_0§2 ^ / 2 -1 , 其中 n为椭圆曲线参数， 称为 阶 n, 阶 n通常是 160位以上的大整数， 如果基于阶 n直接求取 log₂(«)的对数值， 然后再进行向上取整运算， 在工程实现上是较为复杂的， 也比较耗费计算时间， 从而直接降低了密钥协商流程的实现效率， 提升了密钥协商流程的实现复杂度。 发明内容 本发明实施例提供一种基于 SM2密钥交换协议的密钥协商方法及装置， 用以 降低密钥协商流程的实现复杂度， 提高密钥协商流程的实现效率。

本发明实施例提供的具体技术方案如下：

一种基于 SM2密钥交换协议的密钥协商方法， 包括：

确定本次密钥协商所使用的椭圆曲线参数阶 n的取值；

计算所述阶 n小于或等于 2 †, X的最小正整数值， 并基于获得的 X的最小正 整数值获得参数 W的取值；

基于所述 W的取值与协商对端进行密钥协商。

一种基于 SM2密钥交换协议的密钥协商装置， 包括：

第一控制模块，用于确定本次密钥协商所使用的椭圆曲线参数阶 n的取值，并 计算所述阶 n小于或等于 2 †, X的最小正整数值， 并基于获得的 X的最小正整数 值获得参数 W的取值；

第二控制模块， 用于基于所述 W的取值与协商对端进行密钥协商。

一种参数生成装置， 包括：

确定单元， 用于确定本次密钥协商所使用的椭圆曲线参数阶 n的取值； 计算单元， 用于计算所述阶 n小于或等于 2 †, X的最小正整数值， 并基于 获得的 X的最小正整数值获得参数 W的取值。

本发明实施例中， 协商双方均根据令不等式"≤ 2^X成立的 X取值中的最小正整 数值， 来计算参数 W, 并根据该参数 W与协商对端进行基于 SM2密钥交换协议的 密钥协商。 相较于釆用先计算 log2 ( n )对数值再向上取整的方式计算参数 W的方 法， 有效地减少了计算量， 并且降低了算法的实现复杂度， 从而在很大程度上提 高了基于 SM2密钥交换协议的密钥协商流程的实现效率， 进而优化了 SM2密钥交 换协议的工程化实现。 附图说明

图 1 A为本发明实施例中密钥协商装置功能结构示意图；

图 1B为本发明实施例中参数 W生成装置功能结构示意图;

图 2为本发明实施例中进行密钥协商的流程图；

图 3为本发明实施例中生成参数 W的第一种方法流程图；

图 4为本发明实施例中生成参数 W的第二种方法流程图。 具体实施方式

在基于 SM2密钥交换协议的密钥协商过程中，为了降低密钥协商流程的执行 复杂度， 提高密钥协商流程的实现效率， 本发明实施例中， 进行密钥协商的双方 不再釆用「log₂(« 来计算参数 W, 而是求取满足 w≤ 2^X中 X的最小正整数值， 并 基于获得的 X的最小正整数值获得参数 W的取值 (例如， 将 X的最小正整数值 替代「l。g₂(« 的运算结果代入公式 w =「(「lo_g2(«^ /2)，-l中计算 W的取值 ),然后， 再基于釆用这种方式计算出的 W值与对端进行密钥协商。

下面仍以用户 A和用户 B为例，结合附图对本发明优选的实施方式进行详细 说明。

参阅图 1A所示， 本发明实施例中， 基于 SM2密钥交换协议的密钥协商双方 中， 任意一方使用的密钥协商装置 （可以是用户 A, 也可以是用户 B ) 包括第一 控制模块 10和第二控制模块 11 , 其中，

第一控制模块 10,用于确定本次密钥协商所使用的椭圆曲线参数阶 n的取值， 并计算阶 n小于或等于 2 †, X的最小正整数值， 并基于获得的 X的最小正整 数值获得参数 W的取值；

第二控制模块 11 , 用于基于上述参数 W的取值与协商对端进行密钥协商。 如图 1A所示， 第二控制模块 11内部又可细分为若千以软件形式实现的功能 单元和以硬件形式实现的功能单元， 这些功能单元的作用将在后续实施例中进行 详细介绍， 另一方面， 图 1A所示的第二控制模块 11内部的功能单元的划分方式 仅为一种举例， 实现应用中可以根据具体的应用环境而另行规划，在此不再赘述。

另一方面， 实际应用中，第一控制模块 10可以是密钥协商装置中设置的逻辑 模块， 也可以是具有独立运行功能的子装置， 参阅图 1B所示， 本发明实施例中， 第一控制模块 10包括确定单元 100和计算单元 101 , 其中，

确定单元 100 , 用于确定本次密钥协商所使用的椭圆曲线参数阶 n的取值； 计算单元 101 , 用于计算阶 n小于或等于 2 †, X的最小正整数值， 并基于 获得的 X的最小正整数值获得参数 W的取值。

基于上述技术方案， 参阅图 2所示， 本发明实施例中， SM2密钥协商双方中 的任意一方 （可以是用户 A, 也可以是用户 B )所执行的具体流程如下：

步骤 200: 确定本次密钥协商所使用的椭圆曲线参数阶 n的取值。

通常阶 n的取值会预先设置， 用户 A和用户 B在 SM2密钥协商流程的启动 阶段，会约定釆用的椭圆曲线的方程， 以及向对端发送自身釆用的公钥， 即 P_A和 P_B 。

步骤 210: 计算确定的阶 n小于或等于 2的 X次方时， X的最小正整数值， 即确定令不等式《≤2 成立的 X的最小正整数值，并基于获得的 X的最小正整数 值获得参数 W的取值。

本实施例中， 在确定令不等式《≤2 成立的 X的最小正整数值时， 执行的具 体操作如下： 参阅图 3和图 4所示， 密钥协商装置需要先确定阶 n的有效比特数 m, 即从高位第一个非 0比特位算起， 阶 n包含的比特总数目； 然后， 将阶 n的 取值与 2™—¹进行大小比较， 即判断 n > 2^∞— 若是， 则直接将 m的当前取值作为 X的最小正整数值； 否则， 釆用设定步长值（如， 步长值为 1 )对 m逐次进行减 小， 每减少一次， 判断一次n > 2"^!-¹ ? 直到该不等式成立为止， 并将 m减少后的 最后取值作为 X的最小正整数值。

本实施例中，在获得 X的最小正整数值后，在基于 X的最小正整数值计算参 数 W的取值时， 可以釆用多种方式：

例如： 参阅图 3所示， 可以先判断最后获得的 m的奇偶性（即 X的最小正整 数取值的奇偶性）， 若 m为奇数， 则将 m除以第一预设参数并进行向下取整后的 结果作为参数 W的取值，如，釆用公式 w = Lw/ 2」计算参数 W的取值，其中， L 」 为向下取整操作， m为 X的最小正整数； 若 m为偶数， 则将 m除以第一预设参 数并进行向下取整后再减去第二预设参数的结果作为参数 W的取值，如， 釆用公 式 = / 2」_1计算参数 W的取值， 其中， 2为第一预设参数， 1为第二预设参 数。 又例如， 参阅图 4所示， 可以先判断最后获得的 m的奇偶性（即 X的最小正 整数取值的奇偶性），若 m为奇数，则将 m右移设定位数后的结果作为参数 W的 取值， 如， 釆用公式 ^{w = >> 1}计算参数 W的取值， 其中， >>为向右移位操作， 1为右移的设定位数， 即表示将 m的当前取值的最低位（二元扩域形式） 删除， 再将最高位补零； 若 m为偶数， 则将 m右移设定位数后再减去第三预设 参数的结果作为参数 W的取值， 如， 釆用公式 w = (w » l) — 1计算参数 W的取 值， 其中， 第一个 1为右移设定位数， 第二个 1为第三预设参数。

步骤 220: 基于获得的参数 W的取值与协商对端进行密钥协商。

参阅图 2所示，实现 SM2密钥交换协议的密钥协商装置即可作为发起方用户 A, 也可作为响应方用户 B , 其中， 第一控制模块 10即是计算参数 W的运算模 块， 密钥协商装置通过第一控制模块 10获得参数 W后， 与对端进行密钥协商的 过程如下：

在 SM2密钥交换协议流程启动后， 用户发起方 A和用户响应方 B通过各自 使用的密钥协商装置内设置的第一控制模块 10分别获得相应的参数 W,

接着， 用户 A通过密钥协商装置内的第二控制模块 11计算随机数和椭圆曲 线点， 其中， 第二控制模块 11 可以通过硬件方式实现， 参阅图 1所示， 用户 A 可以通过第二控制模块 11 内的随机数发生单元生成随机数 ^e "— ¹] , 而 ECC 运算单元可以基于生成的随机数产生椭圆曲线点 二^ ^二 ，³"¹ ) , 同时， 第 二控制模块 11 将本密钥协商装置中密钥存储子模块内保存的参与本次密钥协商 所用到的私钥 相对应的公钥 取出，并将公钥⁷⁵ ^通过本地以软件形式实现的通 信接口将椭圆曲线点 ^Ra和公钥 ^Pa发送给用户 B；

用户 B使用的密钥协商装置 B从用户 A接收的信息中主要包括： 对方公钥

^PA、 对方椭圆曲线点 、 对方用户信息 同时获取本地用户信息 ^Ζΰ、 椭圆 曲线余因子参数 h、 协商密钥预期长度 klen;

用户 B釆用本地第二控制模块 11计算随机数和椭圆曲线点， 其中， 第二控 制模块 11可以通过硬件方式实现， 如， 用户 B可以通过第二控制模块 11内的随 机数发生单元生成随机数 "— ¹] , 接着， 通过第二控制模块 11 内的 ECC运 算单元可以基于生成的随机数产生椭圆曲线点 [^ ^二 ^²，³"² ) , 同时， 第二 控制模块 11 将本密钥协商装置中密钥存储单元内保存的参与本次密钥协商所用 到的私钥 ^dB相对应的公钥 ^Ps取出，并通过本地以软件形式实现的通信接口将椭圆 曲线点 ^Rb和公钥 ^PB发送给用户 A;

接着， 用户 B可以釆用本地第二控制模块 11 内以软件形式实现的数据类型 转换单元将获得的域元素 和 的数据类型转化成整数数据类型， 然后， 调用 第二控制单元 11 内以软件形式实现的 ^x参数运算单元， 基于已获得的参数 W, 釆用公式 ^x =2^{W +}(^X & (2^W_ 分别计算出参数 ^和 其中， ^χ'为椭圆曲线点 的横坐标， 为椭圆曲线点 横坐标， 此处便使用到了釆用本发明实施例 提供的方案生成的参数 W。 接着， 用户 B通过密钥协商装置将对端公钥 ^?A、 对端椭圆曲线点 ^Ra、 本地 釆用的椭圆曲线余因子参数 参数 ^Xl 、 参数 ^传输至第二控制模块 11内的硬 件实现部分， 并调用其中的大整数运算单元完成 ^ίβ (^+^^^mod"运算， 其中私钥 是从第二控制模块 11中以硬件形式实现的密钥存储单元中读取出的， 相关运算主要包括， 先釆用大整数模乘运算计算出 ^{/ =} 再釆用大整数 模加运算计算

用户 B 继续调用上述大整数运算单元完成

/ = ^'^]运算， 相关运算主要包括大整数乘运算。

然后， 用户 B釆用第二控制模块 11内以硬件形式实现的 ECC运算单元完成 是否满足椭圆曲线方程的验证，再完成 ^{= /(}^ ⁺ [ ]^^{) = (½}'^)运算，相关 运算主要包括： 通过 ECC点乘运算计算出^{5 =} ^」 , 通过 ECC点加运算计算出 g = 然后再次通过 ECC点乘运算计算出 ^ ^^ (^，"^)。 用户 B通过密钥协商装置中的第二控制模块 11将⁷^是否满足椭圆曲线方程 的验证结果及椭圆曲线点 ⁼ ( ' )传输至软件实现部分，如果 不满足椭圆曲 线方程， 或， ⁼ (W 为椭圆曲线无穷远点， 则结束运算； 否则用户 B通过第二 控制模块 11 中以软件形式实现的数据类型转换单元将椭圆曲线点 ⁼ ( ' )中横 坐标 ^ 和纵坐标 ^ 的数据类型转换为比特串数据类型， 用户 B通过第二控制 模块 11 中以软件形式实现的密钥派生单元计算用户 B 本地的协商密钥

^KB = ^KDF v II yv II Z_A II Z_B en) 至此， 用户 _β 可以默认密胡协商成 功。

当然， 可选的， 用户 Β还可以进一步通过第二控制模块 11 中通过软件形式 实现的数据类型转换单元将椭圆曲线点 '³"¹)横坐标 ^Xl、 纵坐标 和椭圆 曲线点 ^Re = ( '^)横坐标 ^、 纵坐标 的数据类型转换为比特串数据类型， 然 后，通过第二控制模块 11中以软件形式实现的密码杂凑计算单元计算出如下校验 信息：

S_B=Ha^(0x02||^||Ha^(x_f,||ZJ|Z_B||^ || -₁ ||x₂ || '₂))

= ash(0x03 II y_v || Hash{x_v \\Z_A \\ Z_B || || || x₂1| y₂ )) 用户 B将校验信息 ^Sb通过以软件形式的传输接口传输到用户 A。 发起方 A所属密钥协商装置接收用户 B发送的信息，获得用户 B的公钥 ^PB、 用户 B椭圆曲线点 ^Rb、 用户 B的用户信息 B、 以及获取本地用户信息 、 椭圆 曲线余因子参数 h、 协商密钥预期长度 klen, 而后釆用与用户 B相同的流程计算 出的：

K_A =KDF{x_u \\y_u \\Z_A \\Z_B,klen)

至此， 发起方 A也可以默认密钥协商成功。 进一步地， 若用户 A接收到用户 B发送的校验信息 , 则也需要釆用相同 流程计算出以下验证信息：

S, =Hash(0x02\\ γ_υ ||Ha^(_½ || Z_A || Z_B || x_x || y_x || x₂1| y₂))

S_A = Hash (0x031| γ_υ \\Hash(x_u || Z_A || Z_B || x_l || y_l || x₂1| y₂)) 然后校验 是否与 相等， 如果相等， 则确认密钥协商成功， 若不相等， 则确认密钥协商失败， 并将 发送给用户 B;

用户 B验证 是否等于&, 如果相等， 则确认密钥协商成功， 如果不相等， 则确认密钥协商失败。 至此， SM2密钥交换协议中制定的 SM2密钥协商流程完全结束。

综上所述， 本发明实施例中， 协商双方均根据令不等式" 成立的 X取值 中的最小正整数值， 来计算参数 W, 并根据该参数 W与协商对端进行基于 SM2 密钥交换协议的密钥协商。 其中， 参数 W的计算过程， 可以在实际协商流程启动 之前执行， 或者， 在实际协商流程启动之后执行， 均可实现相同效果。 相较于釆 用先计算 log2 ( n )对数值再向上取整的方式计算参数 W的方法， 有效地减少了 计算量， 并且降低了算法的实现复杂度，从而在很大程度上提高了基于 SM2密钥 交换协议的密钥协商流程的实现效率，进而优化了 SM2密钥交换协议的工程化实 现。

本领域内的技术人员应明白， 本发明的实施例可提供为方法、 系统、 或计算 机程序产品。 因此， 本发明可釆用完全硬件实施例、 完全软件实施例、 或结合软 件和硬件方面的实施例的形式。 而且， 本发明可釆用在一个或多个其中包含有计 算机可用程序代码的计算机可用存储介盾（包括但不限于磁盘存储器、 CD-ROM, 光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备 (系统）、和计算机程序产品的 流程图和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图和 /或方 框图中的每一流程和 /或方框、 以及流程图和 /或方框图中的流程和 /或方框的 结合。 可提供这些计算机程序指令到通用计算机、 专用计算机、 嵌入式处理机或 其他可编程数据处理设备的处理器以产生一个机器， 使得通过计算机或其他可编 程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程 和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以 特定方式工作的计算机可读存储器中， 使得存储在该计算机可读存储器中的指令 产生包括指令装置的制造品， 该指令装置实现在流程图一个流程或多个流程和 / 或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上， 使得 在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理， 从 而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多 个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例， 但本领域内的技术人员一旦得知了基本 创造性概念， 则可对这些实施例作出另外的变更和修改。 所以， 所附权利要求意 欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然， 本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离 本发明实施例的精神和范围。 这样， 倘若本发明实施例的这些修改和变型属于本 发明权利要求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在 内。

Claims

权 利 要 求

1、 一种基于 SM2密钥交换协议的密钥协商方法， 其特征在于， 包括： 确定本次密钥协商所使用的椭圆曲线参数阶 n的取值；

计算所述阶 n小于或等于 2^X时， X的最小正整数值， 并基于获得的 X的最 小正整数值获得参数 W的取值；

基于所述参数 W的取值与协商对端进行密钥协商。

2、 如权利要求 1所述的方法， 其特征在于， 计算所述阶 n小于或等于 2 †, X的最小正整数值， 包括：

获取所述阶 n的有效比特数 m;

判断阶 n的取值是否大于 的取值， 若是， 则直接将 _m的当前取值作为所 述 X的最小正整数值； 否则， 釆用设定步长值对 m逐次进行减小， 每减少一次， 将阶 n的取值与 ^2∞_1的取值进行一次比较， 直到前者大于后者为止， 并将 m的最 后取值作为所述 X的最小正整数值。

3、 如权利要求 2所述的方法， 其特征在于， 基于获得的 X的最小正整数值 获得参数 W的取值， 包括：

判断 X的最小正整数值为奇数还是偶数，若为奇数， 则将 X的最小正整数值 除以第一预设参数并进行向下取整后的结果作为参数 W的取值； 若为偶数， 则将 X的最小正整数值除以第一预设参数并进行向下取整后再减去第二预设参数。

4、 如权利要求 2所述的方法， 其特征在于， 基于获得的 X的最小正整数值 获得参数 W的取值， 包括：

判断 X的最小正整数值为奇数还是偶数，若为奇数， 则将 X的最小正整数值 右移设定位数后的结果作为参数 W的取值； 若为偶数， 则将 X的最小正整数值 右移设定位数后再减去第三预设参数的结果作为参数 W的取值。

5、 如权利要求 1 _ 4任一项所述的方法， 其特征在于， 基于所述 W的取值与 协商对端进行密钥协商， 包括：

接收协商对端发送的对端公钥 P_A、 对端椭圆曲线点 R_A、 对端用户信息 Z_A , 以及获取本地用户信息 、 本地私钥 < 、 本地生成的随机数 、 本地生成的椭 圆曲线点 R_B、 本地椭圆曲线余因子参数 h和协商密钥预期长度 klen; 基于已获得的参数 w, 分别根据椭圆曲线点 R_A的横坐标 和椭圆曲线点 R_B 的横坐标 Λ½ , 釆用 SM2密钥交换协议规定的方式生成相应的参数 和 ； 根据本地椭圆曲线余因子参数 h, 本地私钥 <¾ , 所述参数 ^和¾、 对端公 钥 P_A、对端椭圆曲线点 , 本地生成随机数 r_s , 釆用 SM2密钥交换协议规定的 方式生成椭圆曲线点 V, 其坐标值为（½， ) ; 根据椭圆曲线点 V的横坐标 和纵坐标 , 对端用户信息 Z_A , 本地用户 信息 以及协商密钥预期长度 klen, 釆用 SM2密钥交换协议规定的方式生成 本地协商密钥 。

6、 如权利要求 5的方法， 其特征在于， 生成本地协商密钥 后， 包括： 默认与协商对端的密钥协商成功； 或者， 根据所述椭圆曲线点的横坐标 和纵坐标 , 椭圆曲线点 R_A的横坐标 ^ 和纵坐标 _yi , 椭圆曲线点^ J的横坐标 _¾和纵坐标 y₂ , 对端用户信息 Ζ^ , 本地 用户信息 Ζ_Β ,釆用 SM2密钥交换协议规定的方式计算验证信息 S_B和验证信息 S₂ , 并将验证信息 S_B发送至协商对端，令协商对端接收到验证信息 后，釆用相同方 式生成验证信息 和验证信息 S , 并在确认 和 S相等时， 确定本地至协商对 端的密钥协商成功， 以及接收协商对端发送的验证信息 并在确认 和&相 等时， 确定协商对端至本地的密钥协商成功。

7、 一种基于 SM2密钥交换协议的密钥协商的装置， 其特征在于， 包括： 第一控制模块， 用于确定本次密钥协商所使用的椭圆曲线参数阶 n的取值， 并计算所述阶 n小于或等于 2 †, X的最小正整数值， 并基于获得的 X的最小 正整数值获得参数 W的取值；

第二控制模块， 用于基于所述参数 W的取值与协商对端进行密钥协商。

8、 如权利要求 7所述的装置， 其特征在于， 所述第一控制模块计算所述阶 n 小于或等于 2 †, X的最小正整数值时， 获取所述阶 n的有效比特数 m, 判断阶 n的取值是否大于 ^2∞— ¹的取值， 若是， 则直接将 m的当前取值作为所述 X的最小 正整数值； 否则， 釆用设定步长值对 m逐次进行减小， 每减少一次， 将阶 n的取 值与 ^2∞_1的取值进行一次比较， 直到前者大于后者为止， 并将 m的最后取值作为 所述 X的最小正整数值。

9、 如权利要求 8所述的装置， 其特征在于， 所述第一控制模块基于获得的 X 的最小正整数值获得参数 W的取值时， 判断 X的最小正整数值为奇数还是偶数， 若为奇数， 则将 X的最小正整数值除以第一预设参数并进行向下取整后的结果作 为参数 W的取值； 若为偶数， 则将 X的最小正整数值除以第一预设参数并进行 向下取整后再减去第二预设参数后的结果作为参数 W的取值。

10、 如权利要求 8所述的装置， 其特征在于， 所述第一控制模块基于获得的 X的最小正整数值获得参数 W的取值时， 判断 X的最小正整数值为奇数还是偶 数， 若为奇数， 则将 X的最小正整数值右移设定位数后的结果作为参数 W的取 值； 若为偶数， 则将 X的最小正整数值右移设定位数后再减去第三预设参数的结 果作为参数 W的取值。

11、 如权利要求 8 _ 10任一项所述的装置， 其特征在于， 所述第二控制模块 基于所述 W的取值与协商对端进行密钥协商时， 执行以下操作：

接收协商对端发送的对端公钥 P_A、 对端椭圆曲线点 R_A、 对端用户信息 Ζ_Α , 以及获取本地用户信息 、 本地私钥 < 、 本地生成的随机数 、 本地生成的椭 圆曲线点 R_B、 本地椭圆曲线余因子参数 h和协商密钥预期长度 klen; 基于已获得的参数 W, 分别根据椭圆曲线点 R_A的横坐标 和椭圆曲线点 R_B 的横坐标 Λ½ , 釆用 SM2密钥交换协议规定的方式生成相应的参数 和 ； 根据本地椭圆曲线余因子参数 h, 本地私钥 <¾ , 所述参数 ^和¾、 对端公 钥 P_A、对端椭圆曲线点 R_A , 本地生成的随机数 r_B , 釆用 SM2密钥交换协议规定 的方式生成椭圆曲线点 V, 其坐标值为（ ， )； 根据椭圆曲线点 V的横坐标 和纵坐标 , 对端用户信息 Ζ_Α , 本地用户 信息 以及协商密钥预期长度 klen, 釆用 SM2密钥交换协议规定的方式生成 本地协商密钥 。

12、 如权利要求 11的装置， 其特征在于， 所述第一控制模块生成本地协商密 钥 后， 默认与协商对端的密钥协商成功； 或者， 根据所述椭圆曲线点的横坐 标 X 和纵坐标 , 椭圆曲线点 R_A的横坐标 和纵坐标^ , 椭圆曲线点 R_B的 横坐标 x₂和纵坐标 y₂ , 对端用户信息 Ζ_Α , 本地用户信息 Ζ_Β , 釆用 SM2密钥交 换协议规定的方式计算验证信息 S_B和验证信息 S₂ , 并将验证信息 发送至协商 对端， 令协商对端接收到验证信息 后， 釆用相同方式生成验证信息 和验证 信息 并在确认 和 S相等时， 确定本地至协商对端的密钥协商成功， 以及 接收协商对端发送的验证信息 , 并在确认 和&相等时， 确定协商对端至本 地的密钥协商成功。

13、 一种参数生成装置， 其特征在于， 包括：

确定单元， 用于确定本次密钥协商所使用的椭圆曲线参数阶 n的取值； 计算单元， 用于计算所述阶 n小于或等于 2 †, X的最小正整数值， 并基于 获得的 X的最小正整数值获得参数 W的取值。

14、 如权利要求 13 所述的装置， 其特征在于， 所述计算单元计算所述阶 n 小于或等于 2 †, X的最小正整数值时， 获取所述阶 n的有效比特数 m, 并判断 阶 n的取值是否大于 2^∞— ¹的取值 , 若是， 则直接将 _m的当前取值作为所述 X的最 小正整数值； 否则， 釆用设定步长值对 m逐次进行减小， 每减少一次， 将阶 n的 取值与 ^2∞_1的取值进行一次比较， 直到前者大于后者为止， 并将 m的最后取值作 为所述 X的最小正整数值。

15、 如权利要求 13 所述的装置， 其特征在于， 所述计算单元基于获得的 X 的最小正整数值获得参数 W的取值时， 判断 X的最小正整数值为奇数还是偶数， 若为奇数， 则将 X的最小正整数值除以第一预设参数并进行向下取整后的结果作 为参数 W的取值； 若为偶数， 则将 X的最小正整数值除以第一预设参数并进行 向下取整后再减去第二预设参数的结果作为参数 W的取值。

16、 如权利要求 13 所述的装置， 其特征在于， 所述计算单元基于获得的 X 的最小正整数值获得参数 W的取值时， 判断 X的最小正整数值为奇数还是偶数， 若为奇数， 则将 X的最小正整数值右移设定位数后的结果作为参数 W的取值； 若为偶数， 则将 X的最小正整数值右移设定位数后再减去第三预设参数的结果作 为 W的取值。