基于变化因子的协作式密码计算的攻击检测方法及装置

1.本公开涉及密码领域，更具体地，涉及一种基于变化因子的协作式密码计算的攻击检测方法及装置、电子设备、计算机可读存储介质和一种计算机程序产品。


背景技术：

2.基于公钥密码学的数字签名、加解密和密钥交换技术已经在各领域的电子业务中广泛使用。可以将私钥拆分为多个子私钥分别存储在多方的独立设备中。在每一轮次的数字签名操作或解密或密钥交换操作中，可以由多方协作，即多个子私钥共同参加计算。
3.在一个(t，m)的门限数字签名或解密或密钥交换方案中，私钥可以拆分为m个子私钥、分别由m个成员掌握，m个成员中的任意t个成员可以协作完成数字签名或解密或密钥交换操作，少于t个成员则无法完成。子私钥可以由参加协作计算的各方分别生成，也可以由密钥生成器生成后分别发送给各方。
4.例如，在使用两方协作式计算方案，也成为(2，2)门限方案中，私钥以2份子私钥的形式分别存储在通信双方，每一次数字签名或解密或密钥交换操作，都需要双方协作参加计算才能够完成。在上述过程中，通信双方均无法获取到对方所存储的子私钥的任何信息，也无法获取到私钥整体的任何信息。
5.在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：由于资源限制和成本限制，通信方(尤其是移动终端用户)难以使用专用密码设备保护子私钥，无法针对他方攻击进行及时应对，从而无法保障私钥的安全性。


技术实现要素：

6.有鉴于此，本公开提供了一种基于变化因子的协作式密码计算的攻击检测方法及装置、电子设备、计算机可读存储介质和计算机程序产品。
7.根据本公开的一个方面，提供了一种基于变化因子的协作式密码计算的攻击检测方法，上述基于变化因子的协作式密码计算的攻击检测方法基于椭圆曲线公钥密码算法，应用于第一通信方，包括：响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d1
′
和第一变化因子w1，其中，上述原始子私钥d1
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换；将上述第一变化因子w1发送给第二通信方；接收来自于第二通信方的第二变化因子w2；利用上述第一变化因子w1和上述第二变化因子w2，对上述原始子私钥d1
′
进行变化处理，得到当前子私钥d1；根据上述当前子私钥d1，确定部分公钥p1；以及响应于数字签名计算失败或消息解密失败或密钥交换失败，将上述部分公钥p1发送给上述第二通信方，以便上述第二通信方利用上述部分公钥p1进行配对处理，根据得到的配对结果进行攻击检测。
8.根据本公开的实施例，其中，上述利用上述第一变化因子w1和上述第二变化因子w2，对上述原始子私钥d1
′
进行变化处理，得到当前子私钥d1包括：根据上述第一变化因子w1、上述第二变化因子w2和上述原始子私钥d1
′
，计算v1，其中，v1＝(d1
′
*w1-1
*w2)mod n，*
表示整数乘法运算，w1-1
表示w1模n的逆元；以及将v1确定为上述当前子私钥d1。
9.根据本公开的实施例，其中，上述将上述部分公钥p1送给上述第二通信方，以便上述第二通信方利用上述部分公钥p1进行配对处理包括：计算t1和p1，其中，t1＝d1-1
mod n，p1＝[t1]g，d1-1
mod n表示d1模n的逆元，[t1]g表示椭圆曲线的基点g的t1倍点运算；以及将p1发送给上述第二通信方，以便上述第二通信方进行配对处理。
[0010]
根据本公开的实施例，其中，上述利用上述第一变化因子w1和上述第二变化因子w2，对上述原始子私钥d1
′
进行变化处理，得到当前子私钥d1包括：根据上述第一变化因子w1、上述第二变化因子w2和上述原始子私钥d1
′
，计算u1，其中，u1＝(d1
′
*w1*w2-1
)mod n，*表示整数乘法运算，w2-1
mod n表示w2模n的逆元；以及将u1确定为上述当前子私钥d1。
[0011]
根据本公开的实施例，其中，上述利用上述第一变化因子w1和上述第二变化因子w2，对上述原始子私钥d1
′
进行变化处理，得到当前子私钥d1包括：根据上述第一变化因子w1、上述第二变化因子w2和上述原始子私钥d1
′
，计算s1，其中，s1＝(d1
′
+w1-w2)mod n，mod n表示模n运算，+表示整数加法运算或者椭圆曲线点加法运算，-表示整数减法运算或者椭圆曲线点减法运算；以及将s1确定为上述当前子私钥d1。
[0012]
根据本公开的实施例，其中，上述将上述部分公钥p1送给上述第二通信方，以便上述第二通信方利用上述部分公钥p1进行配对处理包括：计算p1，其中，p1＝[d1]g，[d1]g表示椭圆曲线的基点g的d1倍点运算；以及将p1发送给上述第二通信方，以便上述第二通信方进行配对处理。
[0013]
根据本公开的另一个方面，提供了一种基于变化因子的协作式密码计算的攻击检测方法，上述基于变化因子的协作式密码计算的攻击检测方法基于椭圆曲线公钥密码算法，应用于第二通信方，包括：响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d2
′
和第二变化因子w2，其中，上述原始子私钥d2
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换；将上述第二变化因子w2发送给第一通信方；接收来自于第一通信方的第一变化因子w1；利用上述第一变化因子w1和上述第二变化因子w2，对上述原始子私钥d2
′
进行变化处理，得到当前子私钥d2；响应于数字签名计算失败或消息解密失败或密钥交换失败，接收来自于上述第一通信方的部分公钥p1；根据上述当前子私钥d2和上述部分公钥p1，确定当前公钥p
′
；对上述当前公钥p
′
和原始公钥p进行配对处理，得到配对结果；以及响应于上述配对结果表征上述当前公钥p
′
和上述原始公钥p配对失败，确定检测到攻击行为。
[0014]
根据本公开的实施例，上述对当前公钥p
′
和原始公钥p进行配对处理，得到配对结果包括：计算t2和p’，t2＝d2-1 mod n，p’＝[t2]p1-g，d2-1
mod n表示d2模n的逆元，[t1]p1表示椭圆曲线点p1的t1倍点运算。对上述当前公钥p’和上述原始公钥p进行配对处理，得到上述配对结果。
[0015]
根据本公开的另一个方面，提供了一种基于变化因子的协作式密码计算的攻击检测装置，上述基于变化因子的协作式密码计算的攻击检测装置基于椭圆曲线公钥密码算法，应用于第一通信方，包括：第一确定模块，用于响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d1
′
和第一变化因子w1，其中，上述原始子私钥d1
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换；第一发送模块，用于将上述第一变化因子w1发送给第二通信方；第一接收模块，用于接收来自
于第二通信方的第二变化因子w2；第一处理模块，用于利用上述第一变化因子w1和上述第二变化因子w2，对上述原始子私钥d1
′
进行变化处理，得到当前子私钥d1；第二确定模块，用于根据上述当前子私钥d1，确定部分公钥p1；以及第二发送模块，用于响应于数字签名计算失败或消息解密失败或密钥交换失败，将上述部分公钥p1送给上述第二通信方，以便上述第二通信方利用上述部分公钥p1进行配对处理，根据得到的配对结果进行攻击检测。
[0016]
根据本公开的另一个方面，提供了一种基于变化因子的协作式密码计算的攻击检测装置，上述基于变化因子的协作式密码计算的攻击检测装置基于椭圆曲线公钥密码算法，应用于第二通信方，包括：第三确定模块，用于响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d2
′
和第二变化因子w2，其中，上述原始子私钥d2’用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换；第三发送模块，用于将上述第二变化因子w2发送给第一通信方；第二接收模块，用于接收来自于第一通信方的第一变化因子w1；第二处理模块，用于利用上述第一变化因子w1和上述第二变化因子w2，对上述原始子私钥d2
′
进行变化处理，得到当前子私钥d2；第三接收模块，用于响应于数字签名计算失败或消息解密失败或密钥交换失败，接收来自于上述第一通信方的部分公钥p1；第四确定模块，用于根据上述当前子私钥d2和上述部分公钥p1，确定当前公钥p
′
；第三处理模块，用于对上述当前公钥p
′
和上述原始公钥p进行配对处理，得到配对结果；以及第五确定模块，用于响应于上述配对结果表征上述当前公钥p
′
和上述原始公钥p配对失败，确定检测到攻击行为。
[0017]
根据本公开的实施例，在通信双方协作进行数字签名计算或消息解密的过程中，在上一轮次的数字签名计算完成或消息解密完成的情况下，可以通过变化因子改变通信双方的子私钥，得到当前子私钥。利用得到的当前子私钥，进行本轮次的数字签名操作或消息解密操作。在上一轮次的数字签名计算失败或消息解密失败的情况下，可以进行配对处理，根据得到的配对结果进行攻击检测。通过上述技术手段，至少部分地克服了相关技术中无法针对他方攻击进行及时应对的技术问题，进而保障了私钥的安全性。
附图说明
[0018]
通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：
[0019]
图1示意性示出了根据本公开实施例的基于变化因子的协作式密码计算的攻击检测方法的流程图；
[0020]
图2示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测方法的流程图；
[0021]
图3示意性示出了根据本公开实施例的基于变化因子的协作式密码计算的攻击检测过程的示例示意图；
[0022]
图4示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测过程的示例示意图；
[0023]
图5示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测过程的示例示意图；
[0024]
图6示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻
击检测过程的示例示意图；
[0025]
图7示意性示出了根据本公开实施例的基于变化因子的协作式密码计算的攻击检测装置的框图；
[0026]
图8示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测装置的框图；以及
[0027]
图9示意性示出了根据本公开实施例的适于实现基于变化因子的协作式密码计算的攻击检测方法的电子设备的框图。
具体实施方式
[0028]
为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明作进一步的详细说明。
[0029]
在本公开的技术方案中，所涉及的用户个人信息的获取，存储和应用等，均符合相关法律法规的规定，采取了必要保密措施，且不违背公序良俗。
[0030]
在本公开的技术方案中，在获取或采集用户个人信息之前，均获取了用户的授权或同意。
[0031]
为了至少部分地解决相关技术中存在的技术问题，本公开提供了一种基于变化因子的协作式密码计算的攻击检测方法及装置。该攻击检测方法包括：响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d1
′
和第一变化因子w1，其中，原始子私钥d1
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换；将第一变化因子w1发送给第二通信方；接收来自于第二通信方的第二变化因子w2；利用第一变化因子w1和第二变化因子w2，对原始子私钥d1
′
进行变化处理，得到当前子私钥d1；根据当前子私钥d1，确定部分公钥p1；以及响应于数字签名计算失败或消息解密失败，将部分公钥p1发送给第二通信方，以便第二通信方利用部分公钥p1进行配对处理，根据得到的配对结果进行攻击检测。
[0032]
图1示意性示出了根据本公开实施例的基于变化因子的协作式密码计算的攻击检测方法的流程图。
[0033]
如图1所示，该基于变化因子的协作式密码计算的攻击检测方法包括操作s110～s160。
[0034]
在操作s110，响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d1
′
和第一变化因子w1，其中，原始子私钥d1
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换。
[0035]
在操作s120，将第一变化因子w1发送给第二通信方。
[0036]
在操作s130，接收来自于第二通信方的第二变化因子w2。
[0037]
在操作s140，利用第一变化因子w1和第二变化因子w2，对原始子私钥d1
′
进行变化处理，得到当前子私钥d1。
[0038]
在操作s150，根据当前子私钥d1，确定部分公钥p1。
[0039]
在操作s160，响应于数字签名计算失败或消息解密失败或密钥交换失败，将部分公钥p1发送给第二通信方，以便第二通信方利用部分公钥p1进行配对处理，根据得到的配对结果进行攻击检测。
[0040]
根据本公开的实施例，第一通信方和第二通信方可以共享椭圆曲线公钥密码算法(sm2算法)的椭圆曲线参数e(fq)、g和n，椭圆曲线e为定义在有限域fq上的椭圆曲线，g表示椭圆曲线e上n阶的基点。各参数的具体取值可以由本领域技术人员根据实际需求按照sm2算法进行设定。
[0041]
根据本公开的实施例，变化处理可以在以下条件之一成立时进行：上一轮次的数字签名计算完成、上一轮次的消息解密完成或在第一预设时段计时结束时。第一预设时段的具体数值可以由本领域技术人员根据实际需求进行设置。例如，第一预设时段可以设置为24小时，即每24小时进行一次子私钥变化操作。
[0042]
根据本公开的实施例，配对处理可以在以下条件之一成立时进行：上一轮次的数字签名计算失败、上一轮次的消息解密失败或在第二预设时段计时结束时。第二预设时段的具体数值可以由本领域技术人员根据实际需求进行设置。例如，第二预设时段可以设置为48小时，即每24小时进行一次子私钥配对检测操作。
[0043]
根据本公开的实施例，在通信双方协作进行数字签名计算或消息解密的过程中，在上一轮次的数字签名计算完成或消息解密完成的情况下，可以通过变化因子改变通信双方的子私钥，得到当前子私钥。利用得到的当前子私钥，进行本轮次的数字签名操作或消息解密操作。在上一轮次的数字签名计算失败或消息解密失败的情况下，可以进行配对处理，根据得到的配对结果进行攻击检测。通过上述技术手段，至少部分地克服了相关技术中无法针对他方攻击进行及时应对的技术问题，进而保障了私钥的安全性。
[0044]
图2示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测方法的流程图。
[0045]
如图2所示，该基于变化因子的协作式密码计算的攻击检测方法包括操作s210～s280。
[0046]
在操作s210，响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d2
′
和第二变化因子w2，其中，原始子私钥d2
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换。
[0047]
在操作s220，将第二变化因子w2发送给第一通信方。
[0048]
在操作s230，接收来自于第一通信方的第一变化因子w1。
[0049]
在操作s240，利用第一变化因子w1和第二变化因子w2，对原始子私钥d2
′
进行变化处理，得到当前子私钥d2。
[0050]
在操作s250，响应于数字签名计算失败或消息解密失败或密钥交换失败，接收来自于第一通信方的部分公钥p1。
[0051]
在操作s260，根据当前子私钥d2和部分公钥p1，确定当前公钥p
′
。
[0052]
在操作s270，对当前公钥p
′
和原始公钥p进行配对处理，得到配对结果。
[0053]
在操作s280，响应于配对结果表征当前公钥p
′
和原始公钥p配对失败，确定检测到攻击行为。
[0054]
下面参考图3～图6，结合具体实施例对图1和图2所示的方法做进一步说明。
[0055]
图3示意性示出了根据本公开实施例的基于变化因子的协作式密码计算的攻击检测过程的示例示意图。
[0056]
如图3所示，在操作s301，响应于数字签名计算完成或消息解密完成或密钥交换完
成，第一通信方可以确定原始子私钥d1
′
和第一变化因子w1。
[0057]
在操作s302，第一通信方可以将第一变化因子w1发送给第二通信方。
[0058]
在操作s303，响应于数字签名计算完成或消息解密完成，第二通信方可以确定原始子私钥d2
′
和第二变化因子w2。
[0059]
在操作s304，第二通信方可以将第二变化因子w2发送给第一通信方。
[0060]
在操作s305，第一通信方可以接收来自于第二通信方的第二变化因子w2。
[0061]
在操作s306，第二通信方可以接收来自于第一通信方的第一变化因子w1。
[0062]
在操作s307，第一通信方可以利用第一变化因子w1和第二变化因子w2，对原始子私钥d1
′
进行变化处理，得到当前子私钥d1。
[0063]
在操作s308，第二通信方可以利用第一变化因子w1和第二变化因子w2，对原始子私钥d2
′
进行变化处理，得到当前子私钥d2。
[0064]
在操作s309，第一通信方可以根据当前子私钥d1，确定部分公钥p1。
[0065]
在操作s310，响应于数字签名计算失败或消息解密失败或密钥交换失败，第一通信方可以将部分公钥p1发送给第二通信方，以便第二通信方利用部分公钥p1进行配对处理，根据得到的配对结果进行攻击检测。
[0066]
在操作s311，第二通信方可以接收来自于第一通信方的部分公钥p1。
[0067]
在操作s312，第二通信方可以根据当前子私钥d2和部分公钥p1，确定当前公钥p
′
。
[0068]
在操作s313，第二通信方可以对当前公钥p
′
和原始公钥p进行配对处理，得到配对结果。
[0069]
在操作s314，响应于配对结果表征当前公钥p
′
和原始公钥p配对失败，第二通信方可以确定检测到攻击行为。
[0070]
根据本公开的实施例，在攻击者窃取了子私钥之后，如果协作计算双方进行了子私钥变化操作，则协作计算双方的子私钥都发生了变化，使得攻击者窃取的子私钥无法与另一方协作完成数字签名或解密操作。
[0071]
根据本公开的实施例，如果在攻击者窃取了子私钥之后，协作计算双方没有进行子私钥变化操作，攻击者就与另一方协作进行数字签名或解密操作，也只能与另一方协作完成少量次数的数字签名或解密操作，因为被窃取子私钥的一方参加之后的协作式数字签名或解密操作、就会操作失败，协作计算双方会进行子私钥配对检测操作，检测到双方的子私钥不配对，可以确定检测到攻击行为。
[0072]
根据本公开的实施例，通过上述技术手段，即使攻击者窃取了其中一方的子私钥，也无法长期冒充该方与另一方通信进行数字签名或消息解密。变化后的当前子私钥由原始子私钥和变化因子共同确定，所以在第一通信方和第二通信方之间发送变化因子并不会泄露变化后的当前子私钥和原始子私钥。在上述过程中，通信双方均无法获取到对方所存储的子私钥的任何信息，也无法获取到私钥整体的任何信息，进而保障了私钥的安全性。
[0073]
图4示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测过程的示例示意图。
[0074]
根据本公开的实施例，在这种情况下，私钥d、第一通信方的原始子私钥d1
′
和第二通信方的原始子私钥d2
′
满足(d+1)-1
＝(d1
′
*d2
′
)mod n。
[0075]
根据本公开的实施例，操作s140可以包括以下操作。
[0076]
根据第一变化因子w1、第二变化因子w2和原始子私钥d1
′
，计算v1，v1＝(d1
′
*w1-1
*w2)mod n，*表示整数乘法运算，w1-1
表示w1模n的逆元。将v1确定为当前子私钥d1。
[0077]
根据本公开的实施例，操作s160可以包括以下操作。
[0078]
计算t1和p1，t1＝d1-1
mod n，p1＝[t1]g，d1-1
mod n表示d1模n的逆元，[t1]g表示椭圆曲线的基点g的t1倍点运算；以及
[0079]
将p1发送给第二通信方，以便第二通信方进行配对处理。
[0080]
根据本公开的实施例，操作s240可以包括以下操作。
[0081]
根据第一变化因子w1、第二变化因子w2和原始子私钥d2
′
，计算v2，v2＝(d2
′
*w1*w2-1
)mod n，*表示整数乘法运算，w2-1
mod n表示w2模n的逆元。将v2确定为当前子私钥d2；
[0082]
根据本公开的实施例，操作s270可以包括以下操作。
[0083]
计算t2和p’，t2＝d2-1
mod n，p’＝[t2]p1-g，d2-1
mod n表示d2模n的逆元，[t1]p1表示椭圆曲线点p1的t1倍点运算。对p’和公钥p进行配对处理，得到配对结果。
[0084]
如图4所示，在操作s401，响应于数字签名计算完成或消息解密完成或密钥交换完成，第一通信方可以确定原始子私钥d1
′
和第一变化因子w1。
[0085]
在操作s402，第一通信方可以将第一变化因子w1发送给第二通信方。
[0086]
在操作s403，响应于数字签名计算完成或消息解密完成或密钥交换完成，第二通信方可以确定原始子私钥d2
′
和第二变化因子w2。
[0087]
在操作s404，第二通信方可以将第二变化因子w2发送给第一通信方.
[0088]
在操作s405，第一通信方可以接收来自于第二通信方的第二变化因子w2。
[0089]
在操作s406，第二通信方可以接收来自于第一通信方的第一变化因子w1。
[0090]
在操作s407，第一通信方可以计算v1＝(d1
′
*w1-1
*w2)mod n，将v1确定为当前子私钥d1。
[0091]
在操作s408，第二通信方可以计算v2＝(d2
′
*w1*w2-1
)mod n，将v2确定为当前子私钥d2。
[0092]
在操作s409，第一通信方可以计算t1＝d1-1
mod n，p1＝[t1]g。
[0093]
在操作s410，响应于数字签名计算失败或消息解密失败或密钥交换失败，第一通信方可以将部分公钥p1发送给第二通信方。
[0094]
在操作s411，第二通信方可以接受来自第一通信方的部分公钥p1。
[0095]
在操作s412，第二通信方可以计算t2＝d2-1
mod n，p
′
＝[t2]p1-g。
[0096]
在操作s413，第二通信方可以对p
′
和公钥p进行配对处理，得到配对结果。
[0097]
根据本公开的实施例，上述过程可以保持sm2椭圆曲线公钥密码算法的私钥整体不变化，即变化后的当前子私钥d1和d2仍然满足(d+1)-1
＝(d1*d2)mod n。
[0098]
图5示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测过程的示例示意图。
[0099]
根据本公开的实施例，在这种情况下，私钥d、第一通信方的原始子私钥d1
′
和第二通信方的原始子私钥d2
′
满足d＝(d1
′
*d2
′
)mod n。
[0100]
根据本公开的实施例，操作s140可以包括以下操作。
[0101]
根据第一变化因子w1、第二变化因子w2和原始子私钥d1
′
，计算u1，u1＝(d1
′
*w1*w2-1
)mod n，*表示整数乘法运算，w2-1
表示w2模n的逆元。将u1确定为当前子私钥d1。
[0102]
根据本公开的实施例，操作s160可以包括以下操作。
[0103]
计算p1，p1＝[d1]g，[d1]g表示椭圆曲线的基点g的d1倍点运算。将p1发送给第二通信方，以便第二通信方进行配对处理。
[0104]
根据本公开的实施例，操作s240可以包括以下操作。
[0105]
根据第一变化因子w1、第二变化因子w2和原始子私钥d2
′
，计算u2，u2＝(d2
′
*w1-1
*w2)mod n，*表示整数乘法运算，w1-1
表示w1模n的逆元。将u2确定为当前子私钥d2。
[0106]
根据本公开的实施例，操作s270可以包括以下操作。
[0107]
计算p’，p’＝[d2]p1，[d2]p1表示椭圆曲线点p1的d2倍点运算。对p’和公钥p进行配对处理，得到配对结果。
[0108]
如图5所示，在操作s501，响应于数字签名计算完成或消息解密完成或密钥交换完成，第一通信方可以确定原始子私钥d1
′
和第一变化因子w1。
[0109]
在操作s502，第一通信方可以将第一变化因子w1发送给第二通信方。
[0110]
在操作s503，响应于数字签名计算完成或消息解密完成或密钥交换完成，第二通信方可以确定原始子私钥d2
′
和第二变化因子w2。
[0111]
在操作s504，第二通信方可以将第二变化因子w2发送给第一通信方.
[0112]
在操作s505，第一通信方可以接收来自于第二通信方的第二变化因子w2。
[0113]
在操作s506，第二通信方可以接收来自于第一通信方的第一变化因子w1。
[0114]
在操作s507，第一通信方可以计算u1＝(d1
′
*w1*w2-1
)mod n将u1确定为当前子私钥d1。
[0115]
在操作s508，第二通信方可以计算u2＝(d2
′
*w1-1
*w2)mod n，将u2确定为当前子私钥d2。
[0116]
在操作s509，第一通信方可以计算p1＝[d1]g。
[0117]
在操作s510，响应于数字签名计算失败或消息解密失败或密钥交换失败，第一通信方可以将部分公钥p1发送给第二通信方。
[0118]
在操作s511，第二通信方可以接受来自第一通信方的部分公钥p1。
[0119]
在操作s512，第二通信方可以计算p
′
＝[d2]p1。
[0120]
在操作s513，第二通信方可以对p
′
和公钥p进行配对处理，得到配对结果。
[0121]
根据本公开的实施例，上述过程可以保持sm2椭圆曲线公钥密码算法的私钥整体不变化，即变化后的当前子私钥d1和d2仍然满足d＝(d1*d2)mod n。
[0122]
图6示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测过程的示例示意图。
[0123]
根据本公开的实施例，在这种情况下，私钥d、第一通信方的原始子私钥d1’和第二通信方的原始子私钥d2
′
满足(d+1)-1
＝(d1
′
+d2
′
)mod n。
[0124]
根据本公开的实施例，操作s140可以包括以下操作。
[0125]
根据第一变化因子w1、第二变化因子w2和原始子私钥d1
′
，计算s1，s1＝(d1
′
+w1-w2)mod n，mod n表示模n运算，+表示整数加法运算或者椭圆曲线点加法运算，-表示整数减法运算或者椭圆曲线点减法运算。将s1确定为当前子私钥d1。
[0126]
根据本公开的实施例，操作s160可以包括以下操作。
[0127]
计算p1，p1＝[d1]g，[d1]g表示椭圆曲线的基点g的d1倍点运算。将p1发送给第二
通信方，以便第二通信方进行配对处理。
[0128]
根据本公开的实施例，操作s240可以包括以下操作。
[0129]
根据第一变化因子w1、第二变化因子w2和原始子私钥d2
′
，计算s2，s2＝(d2
′‑
w1+w2)mod n，mod n表示模n运算，+表示整数加法运算或者椭圆曲线点加法运算，-表示整数减法运算或者椭圆曲线点减法运算。将s2确定为当前子私钥d2；
[0130]
根据本公开的实施例，操作s270可以包括以下操作。
[0131]
计算p’，p’＝[d2]g+p1，[d2]g表示椭圆曲线的基点g的d2倍点运算。对p’和公钥p进行配对处理，得到配对结果。
[0132]
如图6所示，在操作s601，响应于数字签名计算完成或消息解密完成或密钥交换完成，第一通信方可以确定原始子私钥d1
′
和第一变化因子w1。
[0133]
在操作s602，第一通信方可以将第一变化因子w1发送给第二通信方。
[0134]
在操作s603，响应于数字签名计算完成或消息解密完成或密钥交换完成，第二通信方可以确定原始子私钥d2
′
和第二变化因子w2。
[0135]
在操作s604，第二通信方可以将第二变化因子w2发送给第一通信方.
[0136]
在操作s605，第一通信方可以接收来自于第二通信方的第二变化因子w2。
[0137]
在操作s606，第二通信方可以接收来自于第一通信方的第一变化因子w1。
[0138]
在操作s607，第一通信方可以计算s1＝(d1
′
+w1-w2)mod n将s1确定为当前子私钥d1。
[0139]
在操作s608，第二通信方可以计算s2＝(d2
′‑
w1+w2、)mod n，将u2确定为当前子私钥d2。
[0140]
在操作s609，第一通信方可以计算p1＝[d1]g。
[0141]
在操作s610，响应于数字签名计算失败或消息解密失败或密钥交换失败，第一通信方可以将部分公钥p1发送给第二通信方。
[0142]
在操作s611，第二通信方可以接受来自第一通信方的部分公钥p1。
[0143]
在操作s612，第二通信方可以计算p
′
＝[d2]g+p1。
[0144]
在操作s613，第二通信方可以对p
′
和公钥p进行配对处理，得到配对结果。
[0145]
根据本公开的实施例，上述过程可以保持sm2椭圆曲线公钥密码算法的私钥整体不变化，即变化后的当前子私钥d1和d2仍然满足(d+1)-1
＝(d1+d2)mod n。
[0146]
图7示意性示出了根据本公开实施例的基于变化因子的协作式密码计算的攻击检测装置的框图。
[0147]
如图7所示，基于变化因子的协作式密码计算的攻击检测装置700包括第一确定模块710、第一发送模块720、第一接收模块730、第一处理模块740、第二确定模块750和第二发送模块760。
[0148]
第一确定模块710，用于响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d1
′
和第一变化因子w1，其中，原始子私钥d1
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换。
[0149]
第一发送模块720，用于将第一变化因子w1发送给第二通信方。
[0150]
第一接收模块730，用于接收来自于第二通信方的第二变化因子w2。
[0151]
第一处理模块740，用于利用第一变化因子w1和第二变化因子w2，对原始子私钥
d1
′
进行变化处理，得到当前子私钥d1。
[0152]
第二确定模块750，用于根据当前子私钥d1，确定部分公钥p1。
[0153]
第二发送模块760，用于响应于数字签名计算失败或消息解密失败或密钥交换失败，将部分公钥p1送给第二通信方，以便第二通信方利用部分公钥p1进行配对处理，根据得到的配对结果进行攻击检测。
[0154]
根据本公开的实施例，第一处理模块740包括第一计算单元和第一确定单元。
[0155]
第一计算单元，用于根据第一变化因子w1、第二变化因子w2和原始子私钥d1
′
，计算v1，其中，v1＝(d1
′
*w1-1
*w2)mod n，*表示整数乘法运算，w1-1
表示w1模n的逆元。
[0156]
第一确定单元，用于将v1确定为当前子私钥d1。
[0157]
根据本公开的实施例，第二发送模块760包括第二计算单元和第一发送单元。
[0158]
第二计算单元，用于计算t1和p1，其中，t1＝d1-1
mod n，p1＝[t1]g，d1-1
mod n表示d1模n的逆元，[t1]g表示椭圆曲线的基点g的t1倍点运算。
[0159]
第一发送单元，用于将p1发送给第二通信方，以便第二通信方进行配对处理。
[0160]
根据本公开的实施例，第一处理模块740包括第三计算单元和第二确定单元。
[0161]
第三计算单元，用于根据第一变化因子w1、第二变化因子w2和原始子私钥d1
′
，计算u1，其中，u1＝(d1
′
*w1*w2-1
、)mod n*表示整数乘法运算，w2-1 mod n表示w2模n的逆元。
[0162]
第二确定单元，用于将u1确定为当前子私钥d1。
[0163]
根据本公开的实施例，第二发送模块760包括第四计算单元和第二发送单元。
[0164]
第四计算单元，用于计算p1，其中，p1＝[d1]g，[d1]g表示椭圆曲线的基点g的d1倍点运算。
[0165]
第二发送单元，用于将p1发送给第二通信方，以便第二通信方进行配对处理。
[0166]
根据本公开的实施例，第一处理模块740包括第五计算单元和第三确定单元。
[0167]
第五计算单元，用于根据第一变化因子w1、第二变化因子w2和原始子私钥d1
′
，计算s1，其中，s1＝(d1
′
+w1-w2)mod n，mod n表示模n运算，+表示整数加法运算或者椭圆曲线点加法运算，-表示整数减法运算或者椭圆曲线点减法运算。
[0168]
第三确定单元，用于将s1确定为当前子私钥d1。
[0169]
根据本公开的实施例，第二发送模块760包括第六计算单元和第二发送单元。
[0170]
第六计算单元，用于计算p1，其中，p1＝[d1]g，[d1]g表示椭圆曲线的基点g的d1倍点运算。
[0171]
第二发送单元，用于将p1发送给第二通信方，以便第二通信方进行配对处理。
[0172]
图8示意性示出了根据本公开另一实施例的基于变化因子的协作式密码计算的攻击检测装置的框图。
[0173]
如图8所示，基于变化因子的协作式密码计算的攻击检测装置800包括第三确定模块810、第三发送模块820、第二接收模块830、第二处理模块840、第三接收模块850、第四确定模块860、第三处理模块870和第五确定模块880。
[0174]
第三确定模块810，用于响应于数字签名计算完成或消息解密完成或密钥交换完成，确定原始子私钥d2
′
和第二变化因子w2，其中，原始子私钥d2
′
用于进行以下操作中的至少之一：协作式数字签名计算、协作式消息解密或协作式密钥交换。
[0175]
第三发送模块820，用于将第二变化因子w2发送给第一通信方。
[0176]
第二接收模块830，用于接收来自于第一通信方的第一变化因子w1。
[0177]
第二处理模块840，用于利用第一变化因子w1和第二变化因子w2，对原始子私钥d2
′
进行变化处理，得到当前子私钥d2。
[0178]
第三接收模块850，用于响应于数字签名计算失败或消息解密失败或密钥交换失败，接收来自于第一通信方的部分公钥p1。
[0179]
第四确定模块860，用于根据当前子私钥d2和部分公钥p1，确定当前公钥p
′
；
[0180]
第三处理模块870，用于对当前公钥p’和原始公钥p进行配对处理，得到配对结果。
[0181]
第五确定模块880，用于响应于配对结果表征当前公钥p
′
和原始公钥p配对失败，确定检测到攻击行为。
[0182]
根据本公开的实施例，第二处理模块840包括第七计算单元和第四确定单元。
[0183]
第七计算单元，用于根据第一变化因子w1、第二变化因子w2和原始子私钥d2
′
，计算v2，其中，v2＝(d2
′
*w1*w2-1
)mod n，*表示整数乘法运算，w2-1 mod n表示w2模n的逆元。
[0184]
第四确定单元，用于将v2确定为当前子私钥d2。
[0185]
根据本公开的实施例，第三处理模块870，用于对当前公钥p
′
和原始公钥p进行配对处理，得到配对结果包括第八计算单元和第一配对处理单元。
[0186]
第八计算单元，用于计算t2和p
′
，其中，t2＝d2-1 mod n，p
′
＝[t2]p1-g，d2-1 mod n表示d2模n的逆元，[t1]p1表示椭圆曲线点p1的t1倍点运算。
[0187]
第一配对处理单元，用于对p
′
和公钥p进行配对处理，得到配对结果。
[0188]
根据本公开的实施例，第二处理模块840包括第九计算单元和第五确定单元。
[0189]
第九计算单元，用于根据第一变化因子w1、第二变化因子w2和原始子私钥d2
′
，计算u2，其中，u2＝(d2
′
*w1-1
*w2)mod n，*表示整数乘法运算，w1-1
表示w1模n的逆元。
[0190]
第五确定单元，用于将u2确定为当前子私钥d2。
[0191]
根据本公开的实施例，第三处理模块870包括第十计算单元和第二配对处理单元。
[0192]
第十计算单元，用于计算p
′
，其中，p
′
＝[d2]p1，[d2]p1表示椭圆曲线点p1的d2倍点运算。
[0193]
第二配对处理单元，用于对p
′
和公钥p进行配对处理，得到配对结果。
[0194]
根据本公开的实施例，第二处理模块840包括第十一计算单元和第六确定单元。
[0195]
第十一计算单元，用于根据第一变化因子w1、第二变化因子w2和原始子私钥d2
′
，计算s2，其中，s2＝(d2
′‑
w1+w2)mod n，mod n表示模n运算，+表示整数加法运算或者椭圆曲线点加法运算，-表示整数减法运算或者椭圆曲线点减法运算。
[0196]
第六确定单元，用于将s2确定为当前子私钥d2。
[0197]
根据本公开的实施例，第三处理模块870包括第十二计算单元和第三配对处理单元。
[0198]
第十二计算单元，用于计算p
′
，其中，p
′
＝[d2]g+p1，[d2]g表示椭圆曲线的基点g的d2倍点运算；以及
[0199]
第三配对处理单元，用于对p
′
和公钥p进行配对处理，得到配对结果。
[0200]
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、
单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0201]
例如，第一确定模块710、第一发送模块720、第一接收模块730、第一处理模块740、第二确定模块750、第二发送模块760、第三确定模块810、第三发送模块820、第二接收模块830、第二处理模块840、第三接收模块850、第四确定模块860、第三处理模块870和第五确定模块880中的任意多个可以合并在一个模块/单元/子单元中实现，或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者，这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分功能可以与其他模块/单元/子单元的至少部分功能相结合，并在一个模块/单元/子单元中实现。根据本公开的实施例，第一确定模块710、第一发送模块720、第一接收模块730、第一处理模块740、第二确定模块750、第二发送模块760、第三确定模块810、第三发送模块820、第二接收模块830、第二处理模块840、第三接收模块850、第四确定模块860、第三处理模块870和第五确定模块880中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，第一确定模块710、第一发送模块720、第一接收模块730、第一处理模块740、第二确定模块750、第二发送模块760、第三确定模块810、第三发送模块820、第二接收模块830、第二处理模块840、第三接收模块850、第四确定模块860、第三处理模块870和第五确定模块880中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0202]
需要说明的是，本公开的实施例中攻击检测装置部分与本公开的实施例中攻击检测方法部分是相对应的，攻击检测装置部分的描述具体参考攻击检测方法部分，在此不再赘述。
[0203]
图9示意性示出了根据本公开实施例的适于实现基于变化因子的协作式密码计算的攻击检测方法的电子设备的框图。图9示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
[0204]
如图9所示，根据本公开实施例的计算机电子设备800包括处理器901，其可以根据存储在只读存储器(rom)902中的程序或者从存储部分909加载到随机访问存储器(ram)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
[0205]
在ram 903中，存储有电子设备900操作所需的各种程序和数据。处理器901、rom 902以及ram 903通过总线904彼此相连。处理器901通过执行rom 902和/或ram 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除
rom902和ram 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
[0206]
根据本公开的实施例，电子设备900还可以包括输入/输出(i/o)接口905，输入/输出(i/o)接口905也连接至总线904。电子设备900还可以包括连接至i/o接口905的以下部件中的一项或多项：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至i/o接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。
[0207]
根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
[0208]
本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
[0209]
根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0210]
例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 902和/或ram 903和/或rom 902和ram 903以外的一个或多个存储器。
[0211]
本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行本公开实施例所提供的方法的程序代码，当计算机程序产品在电子设备上运行时，该程序代码用于使电子设备实现本公开实施例所提供的基于变化因子的协作式密码计算的攻击检测方法。
[0212]
在该计算机程序被处理器901执行时，执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
[0213]
在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分909被下载和安装，和/或从可拆卸介质911被安装。该计算机程序包含
的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
[0214]
根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如java，c++，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
[0215]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
[0216]
以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。