(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210814056.5 (22)申请日 2022.07.11 (71)申请人 三未信安科技股份有限公司 地址 100102 北京市朝阳区广顺北 大街16 号院2号楼14层140 6室 (72)发明人 高志权　王珂　党美　徐璐瑶　 (74)专利代理 机构 北京首捷专利代理有限公司 11873 专利代理师 梁婧宇 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/08(2006.01) (54)发明名称 基于SM2椭圆曲线的二分之一概率密钥协商 方法 (57)摘要 本发明公开了一种基于SM2椭圆曲线的二分 之一概率密钥协商方法， 包括： 用户A产生随机数 ra， 并在SM2椭圆曲线上进行点乘运算， 得到随机 点Ra， 将随机点Ra发送至用户B； 用户B产生随机 数rb， 且随机产生б值0或1， 根据Rb＝[rb]G+б[rb] G计算出用户B当前的随机点， 同时将[rb]G得到 的坐标点Rb1回传到用户A； 用户A对用户B反馈的 坐标点Rb1分别展开运算， 计算得到两个密钥Ka1 和Ka2； 用户B对用户A反馈的随机点Ra进行展开运 算， 得到密钥Kb， Kb等于Ka1或Ka2的其中一个。 本发 明接收方通过返回随机的坐标点， 发起方无法通 过该参数破解或获知对 方相关信息， 具备较高的 安全性， 安全 有效地实现1/2概 率密钥的协商。 权利要求书2页 说明书5页 附图2页 CN 115174086 A 2022.10.11 CN 115174086 A 1.一种基于SM2椭圆曲线的二分之一 概率密钥协商方法， 其特 征在于， 包括： 协商密钥的发起方用户A和接收方用户B均按照预设要求针对交换的数据进行计算和 准备； 用户A产生随机数ra， 并在SM2椭圆曲线上进行点乘运算， 得到随机点Ra， Ra＝[ra]G， 将随 机点Ra发送至用户B； 其中， G为SM2算法对应椭圆曲线的基点； 用户B产生随机数rb， 且随机产生б 值0或1， 根据Rb＝[rb]G+б[rb]G计算出用户B当前的随 机点， 同时将[rb]G得到的坐标点Rb1回传到用户A； 用户A对用户B反馈的坐标点Rb1分别展开 运算， 计算得到 两个密钥Ka1和Ka2； 用户B对用户A反馈的随机点Ra进行展开运算， 得到密钥Kb， 根据б 的具体取值， 使Kb等于 Ka1或Ka2的其中一个。 2.根据权利要求1所述的一种基于SM2椭圆曲线的二分之一概率密钥协商方法， 其特征 在于， 密钥Ka1的计算过程 为： Xb1＝2w+(xb1&(2w‑1))； Ub1＝[h*Ta](Pb+[Xb1]Rb1)； Ka1＝KDF(Ux1| |Uy1||Za||Zb,klen)； 其中， xb1表示坐标点Rb1的坐标； &表示两个整数按照比特位进行与运算； w＝ 〔( 〔log2 (n)〕 /2)〕 ‑1， 〔m〕 表示顶函数， 大于或等于m的最小整数； n表示SM2椭圆曲线基 点G的阶； Xb1和 Ta表示计算过程值， 无实际意义； h表示SM2椭圆曲线余因子， 其值为1； Pb表示用户B的公钥； Rb1表示用户B分享给用户A的点， 即第一组密钥计算参数； KDF表示密钥派生函数； Ub1为用户 A根据Rb1计算出的点， 坐标为(Ux1,Uy1)； Za表示用户A标识、 SM2椭圆曲线参数、 用户A公钥 产 生的哈希值； Zb表示用户B标识、 SM2椭圆曲线参数、 用户B公钥产生的哈希值； klen为一个整 数， 表示要获得密钥的比特长度， 其大小 小于232‑1。 3.根据权利要求1所述的一种基于SM2椭圆曲线的二分之一概率密钥协商方法， 其特征 在于， 密钥Ka2的计算过程 为： Xb2＝2w+(xb2&(2w‑1))； Ub2＝[h*Ta](Pb+[Xb2]Rb2)‑[h*Xb2*Ta]Rb1； Ka2＝KDF(Ux2| |Uy2||Za||Zb,klen)； 其中， Rb2＝Rb1+Rb1， 表示用户A用于计算第 二组密钥参数的点； xb2表示Rb2的坐标； Xb2和 Ta表示计算过程 值， 无实际意 义； Ub2为根据Rb2计算出的点， 其 坐标为(Ux2,Uy2)。 4.根据权利要求2或3所述的一种基于SM2椭圆曲线的二分之一概率密钥协商方法， 其 特征在于， 用户A通过随机数ra、 随机点Ra的坐标x1以及用户A的私钥da进行内部计算， 得到 Ta； Ta的计算公式为： Ta＝(da+X1*ra)mod n； X1＝2w+(x1&(2w‑1))； 其中， &表示两个整数按照比特位进行与运 算； X1表示计算过程 值， 无实际意 义。 5.根据权利要求1所述的一种基于SM2椭圆曲线的二分之一概率密钥协商方法， 其特征 在于， 密钥Kb的计算过程 为： X1＝2w+(x1&(2w‑1))； V＝[h*Tb](Pa+[X1]Ra)＝(Vx,Vy)；权　利　要　求　书 1/2 页 2 CN 115174086 A 2Kb＝KDF(Vx| |Vy||Za||Zb,klen)； 其中， V表示用户B计算后获取到椭圆曲线上的点； (Vx,Vy)表示V点的坐标； Pa表示用户a 的公钥； Ra表示用户A临时计算的点。 6.根据权利要求5所述的一种基于SM2椭圆曲线的二分之一概率密钥协商方法， 其特征 在于， 用户B通过随机数rb、 随机点Rb的坐标x2以及用户B的私钥db进行内部计算， 得到Tb； Tb 的计算公式为： Tb＝(db+X2*rb)mod n； X2＝2w+(x2&(2w‑1))； 其中， X2为计算过程 值， 无实际意 义。 7.根据权利要求1所述的一种基于SM2椭圆曲线的二分之一概率密钥协商方法， 其特征 在于， 当б为0时， 则用户B用于参与后续运算的Rb与回传至用户A的Rb1相同， 用户A生成的Ka1 等于Kb； 当б为1时， 则用户B用于参与后续运算的Rb与回传至用户A的Rb1不同， A用户生成的 Ka2等于Kb。权　利　要　求　书 2/2 页 3 CN 115174086 A 3