特許 6014678 ＳＭ２鍵交換プロトコルに基づく鍵交渉方法及び装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6014678

(24)【登録日】2016年9月30日

(45)【発行日】2016年10月25日

(54)【発明の名称】ＳＭ２鍵交換プロトコルに基づく鍵交渉方法及び装置

(51)【国際特許分類】

   H04L 9/08 20060101AFI20161011BHJP

【ＦＩ】

   H04L9/00 601D

   H04L9/00 601E

【請求項の数】10

【全頁数】16

(21)【出願番号】特願2014-543759(P2014-543759)

(86)(22)【出願日】2012年11月26日

(65)【公表番号】特表2015-500582(P2015-500582A)

(43)【公表日】2015年1月5日

(86)【国際出願番号】CN2012085233

(87)【国際公開番号】WO2013078970

(87)【国際公開日】20130606

【審査請求日】2014年8月12日

(31)【優先権主張番号】201110390564.7

(32)【優先日】2011年11月30日

(33)【優先権主張国】CN

【前置審査】

(73)【特許権者】

【識別番号】505164405

【氏名又は名称】西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司

【氏名又は名称原語表記】ＣＨＩＮＡ ＩＷＮＣＯＭＭ ＣＯ．， ＬＴＤ．

(74)【代理人】

【識別番号】110001081

【氏名又は名称】特許業務法人クシブチ国際特許事務所

(72)【発明者】

【氏名】李 志勇

(72)【発明者】

【氏名】▲顔▼ 湘

【審査官】 青木 重徳

(56)【参考文献】

【文献】 Public Key Cryptographic Algorithm SM2 Based on Elliptic Curves Part 3: Key Exchange Protocol，中国，２０１０年１２月，ｐｐ．１−１５，ＵＲＬ，http://www.oscca.gov.cn/News/201012/News_1198.htm

【文献】 S. Shen, et al.，SM2 Digital Signature Algorithm，Internet Engineering Task Force Internet-Draft，［オンライン］，２０１１年１０月２４日，draft-shen-sm2-ecdsa-00，p.1-16，［平成２８年９月２日検索］、インターネット，ＵＲＬ，<https://tools.ietf.org/pdf/draft-shen-sm2-ecdsa-00.pdf>

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ ９／０８

(57)【特許請求の範囲】

【請求項1】

鍵交渉装置が今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定するステップと、
鍵交渉装置が前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得するステップと、
鍵交渉装置が前記パラメータＷ値に基づいて交渉相手側と鍵交渉を行うステップとを含み、
取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することは、
鍵交渉装置がＸの最小の正整数値が奇数又は偶数であるかどうかを判断し、奇数であれば、Ｘの最小の正整数値を第一のプリセットパラメータで割って切り下げた結果を、パラメータＷ値とし、偶数であれば、Ｘの最小の正整数値を第一のプリセットパラメータで割って切り下げて第二のプリセットパラメータを引いた結果を、パラメータＷ値とすることを含み、
取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することは、
鍵交渉装置がＸの最小の正整数値が奇数又は偶数であるかどうかを判断し、奇数であれば、Ｘの最小の正整数値を設定された桁数で右へシフトした結果を、パラメータ値とし、偶数であれば、Ｘの最小の正整数値を設定された桁数で右へシフトして第三のプリセットパラメータを引いた結果を、パラメータＷ値とすることを含むことを特徴とするＳＭ２鍵交換プロトコルに基づく鍵交渉方法。

【請求項2】

前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算することは、
鍵交渉装置が前記次数ｎの有効ビット数ｍを取得し、
鍵交渉装置が次数ｎの値が２^ｍ−１の値より大きいかどうかを判断し、そうであれば、直接ｍの現在の値を前記Ｘの最小の正整数値とし、そうでなければ、設定されたステップ値1を用いてｍを逐次的に小さくし、後者より大きくなるまで１回減少するたびに、ｎの値と２^ｍ−１の値を１回比較し、ｍの最後の値を前記Ｘの最小の正整数値とすることを含むことを特徴とする請求項１に記載の方法。

【請求項3】

前記Ｗ値に基づいて交渉相手側と鍵交渉を行うことは、
鍵交渉装置が交渉相手側から送信された相手側の公開鍵Ｐ_Ａと、相手側の楕円曲線点Ｒ_Ａと、相手側のユーザー情報Ｚ_Ａとを受信し、及びローカルのユーザー情報Ｚ_Ｂと、ローカルの秘密鍵ｄ_Ｂと、ローカルに生成された乱数

と、ローカルに生成された楕円曲線点Ｒ_Ｂと、ローカルの楕円曲線点補因子パラメータｈと交渉鍵の予期長さｋｌｅｎとを取得し、
鍵交渉装置が取得されたパラメータＷ値に基づいて、それぞれＲ_Ａの横座標ｘ_１と楕円曲線点Ｒ_Ｂの横座標ｘ_２に基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いて対応するパラメータ

と

を生成し、
鍵交渉装置がローカルの楕円曲線点補因子パラメータｈと、ローカルの秘密ｄ_Ｂと、前記パラメータ

と

と、相手側の公開鍵Ｐ_Ａと、相手側の楕円曲線点Ｒ_Ａと、ローカルに生成された乱数

とに基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いて楕円曲線点Ｖを生成し、その座標値が

であり、
楕円曲線点Ｖの横座標

と縦座標

と、相手側のユーザー情報Ｚ_Ａと、ローカルのユーザー情報Ｚ_Ｂと、交渉鍵の予期長さｋｌｅｎとに基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いてローカルの交渉鍵Ｋ_Ｂを生成することを含むことを特徴とする請求項１または請求項２に記載の方法。

【請求項4】

ローカルの交渉鍵Ｋ_Ｂを生成した後、
鍵交渉装置が交渉相手側の鍵交渉が成功すると黙認し、又は、
前記楕円曲線点の横座標

と

と、楕円曲線点Ｒ_Ａの横座標ｘ_１と縦座標ｙ_１と、楕円曲線点Ｒ_Ｂの横座標ｘ_２と縦座標ｙ_２と、相手側のユーザー情報Ｚ_Ａと、ローカルのユーザー情報Ｚ_Ｂとに基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いて検証情報Ｓ_Ｂと検証情報Ｓ_２を計算し、そして検証情報Ｓ_Ｂを交渉相手側に送信し、交渉相手側が検証情報Ｓ_Ｂを受信して同じモードを用いて検証情報Ｓ_Ａと検証情報Ｓ_１を生成するようにして、そしてＳ_ＢがＳ_１に等しいことを確認する場合に、ローカルから交渉相手側への鍵交渉が成功することを確定し、交渉相手側から送信された検証情報Ｓ_Ａを受信し、そしてＳ_ＡがＳ_２に等しいことを確認する場合に、交渉相手側からローカルへの鍵交渉が成功することを確定することを含むことを特徴とする請求項３に記載の方法。

【請求項5】

今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定し、前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することに用いられる第一の制御モジュールと、
前記パラメータＷ値に基づいて交渉相手側と鍵交渉を行うことに用いられる第二の制御モジュールと、を備え、
前記第一の制御モジュールは、取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得する場合に、Ｘの最小の正整数値が奇数又は偶数であるかどうかを判断し、奇数であれば、Ｘの最小の正整数値を第一のプリセットパラメータで割って切り下げた結果を、パラメータＷ値とし、偶数であれば、Ｘの最小の正整数値を第一のプリセットパラメータで割って第二のプリセットパラメータを引いた結果を、パラメータＷ値とし、
前記第一の制御モジュールは、取得されたＸの最小の正整数値に基づいてパラメータ値を取得する場合に、Ｘの最小の正整数値が奇数又は偶数であるかどうかを判断し、奇数であれば、Ｘの最小の正整数値を設定された桁数で右へシフトした結果を、パラメータ値とし、偶数であれば、Ｘの最小の正整数値を設定された桁数でシフトして第三のプリセットパラメータを引いた結果を、パラメータＷ値とすることを特徴とするＳＭ２鍵交換プロトコルに基づく鍵交渉装置。

【請求項6】

前記第一の制御モジュールは、前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算する場合に、前記次数ｎの有効ビット数ｍを取得し、次数ｎの値が２^ｍ−１の値より大きいかどうかを判断し、そうであれば、直接ｍの現在の値を前記Ｘの最小の正整数値とし、そうでなければ、設定されたステップ値1を用いてｍを逐次的に小さくし、前者が後者より大きくなるまで１回減少するたびに、ｎの値と２^ｍ−１の値を１回比較して、そしてｍの最後の値を前記Ｘの最小の正整数値とすることを特徴とする請求項５に記載の装置。

【請求項7】

前記第二の制御モジュールは、前記Ｗ値に基づいて交渉相手側と鍵交渉を行う場合に、
交渉相手側から送信された相手側の公開鍵Ｐ_Ａと、相手側の楕円曲線点Ｒ_Ａと、相手側のユーザー情報Ｚ_Ａとを受信し、ロカールのユーザー情報Ｚ_Ｂと、ローカルの秘密鍵ｄ_Ｂと、ローカルに生成された

と、ローカルに生成された楕円曲線点Ｒ_Ｂと、ローカルの楕円曲線補因子パラメータｈと交渉鍵の予期長さｋｌｅｎとを取得し、
取得されたパラメータＷ値に基づいて、それぞれ楕円曲線点Ｒ_Ａの横座標ｘ_１と楕円曲線点Ｒ_Ｂの横座標ｘ２に基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いて対応するパラメータ

と

を生成し、
ローカルの楕円曲線補因子パラメータｈと、ローカルの秘密鍵ｄ_Ｂと、前記

と

と、相手側の公開鍵Ｐ_Ａと、相手側の楕円曲線点Ｒ_Ａと、ローカルに生成された乱数

とに基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いて楕円曲線点Ｖを生成し、その座標値が

であり、
楕円曲線点Ｖの横座標

と縦座標

、相手側のユーザー情報Ｚ_Ａ、ローカルのユーザー情報Ｚ_Ｂ、及び交渉鍵の予期長さｋｌｅｎに基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いてローカル交渉鍵Ｋ_Ｂを生成する操作を実行し、ことを特徴とする請求項５または請求項６に記載の装置。

【請求項8】

前記第一の制御モジュールは、ローカルの交渉鍵ＫＢを生成した後、交渉相手側との鍵交渉が成功すると黙認し、又は、前記楕円曲線点の横座標

と

と、楕円曲線点Ｒ_Ａの横座標ｘ_１と縦座標ｙ_１と、楕円曲線点Ｒ_Ｂの横座標ｘ_２と縦座標ｙ_２と、相手側のユーザー情報Ｚ_Ａと、ローカルのユーザー情報Ｚ_Ｂとに基づいて、ＳＭ２鍵交換プロトコルに規定されたモードを用いて検証情報Ｓ_Ｂと検証情報Ｓ_２とを計算し、そして検証情報Ｓ_Ｂを交渉相手側に送信し、交渉相手側が検証情報Ｓ_Ｂを受信して、同じモードを用いて検証情報Ｓ_Ａと検証情報Ｓ_１を生成し、そしてＳ_ＢがＳ_１に等しいことを確認する場合に、ローカルから交渉相手側への鍵交渉が成功することを確定し、交渉相手側から送信された検証情報Ｓ_Ａを受信し、そしてＳ_ＡがＳ_２に等しいことを確認した場合に、交渉相手側からローカルへの鍵交渉が成功することを確定することを特徴とする請求項６に記載の装置。

【請求項9】

今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定することに用いられる確定ユニットと、
前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、そして取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することに用いられる計算ユニットとを備え、
前記計算ユニットは、取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得する場合に、Ｘの最小の正整数値が奇数又は偶数であるかどうかを判断し、奇数であれば、Ｘの最小の正整数値を第一のプリセットパラメータで割って切り下げた結果を、パラメータＷ値とし、偶数であれば、Ｘの最小の正整数値を第一のプリセットで割って切り下げて第二のプリセットパラメータを引いた結果を、パラメータＷ値とし、
前記計算ユニットは、取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得する場合に、Ｘの最小の正整数値が奇数又は偶数であるかどうかを判断し、奇数であれば、Ｘの最小の正整数値を設定された桁数で右へシフトした結果を、パラメータＷ値とし、偶数であれば、Ｘの最小の正整数値を設定された桁数で右へシフトして第三のプリセットパラメータを引いた結果を、パラメタＷ値とすることを特徴とするパラメータ生成装置。

【請求項10】

前記計算ユニットは、前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、前記次数ｎの有効ビット数ｍを取得し、次数ｎの値が２^ｍ−１の値より大きいかどうかを判断し、そうであれば、直接ｍの現在の値を前記Ｘの最小の正整数値とし、そうでなければ、設定されたステップ値1を用いてｍを逐次的に小さくし、前者が後者より大きくなるまで１回減少するたびに、ｎの値と２^ｍ−１の値を１回比較し、ｍの最後の値を前記Ｘの最小の正整数値とすることを含むことを特徴とする請求項９に記載の装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、情報技術分野に関し、特に、ＳＭ２鍵交換プロトコルに基づく鍵交渉方法及び装置に関する。

【背景技術】

【0002】

本出願は、２０１１年１１月３０日に中国特許庁に提出された特許出願番号２０１１１０３９０５６４．７、発明の名称「ＳＭ２鍵交換プロトコルに基づく鍵交渉方法及び装置」の優先権の利益を享受し、その全ての内容が本出願において援用される。

【0003】

２０１０年１２月に中国・国家暗号管理局がＳＭ２、ＳＭ３暗号アルゴリズムを開示したことは、ＳＭ２、ＳＭ３暗号アルゴリズムが商業化段階に入ることを示している。ＳＭ２鍵交換プロトコルは、ＳＭ２アルゴリズムの一つの構成部分として、鍵管理と鍵交渉機能分野に良く応用されている。ＳＭ２鍵交換プロトコルの工学的実現過程に、Ｗパラメータは、鍵交換プロトコル内の一つの重要なパラメータとして、そのパラメータ値の生成演算効率が全体鍵交換プロトコル実現効率の決定的な要因になる。

【0004】

ＳＭ２鍵交換プロトコルの規定に基づいて、既存の鍵交渉プロセスは、次の通りである。

【0005】

ユーザーＡが鍵交渉開始側であり、ユーザーＢが鍵交渉応答側であると仮定すると、ユーザーＡとユーザーＢが交渉して取得した鍵データの長さは、ｋｌｅｎビットであり、ユーザーＡとユーザーＢの両方が同じ楕円曲線方程式を使用する。その中、当該楕円曲線方程式のタイプについて、素体方程式ｙ^２＝ｘ^３＋ａｘ＋ｂを選択してよく、二次元の拡張フィールド方程式ｙ^２＋ｘｙ＝ｘ^３＋ａｘ^２＋ｂを選択してもよい。

【0006】

ＳＭ２鍵交換プロトコルの規定によって使用される鍵導出関数は、ＫＤＦ（Ｚ，ｋｌｅｎ）に記され、一つの鍵ビット列から鍵データを導出することに用いられ、その中、Ｚが入力された鍵ビット列であり、整数ｋｌｅｎが取得される鍵データのビット長を表し、当該値が（２^３２−１）Ｖより小さく要求され、長さｋｌｅｎの鍵データビット列をＫに記する。鍵データ生成過程に、鍵導出関数は、暗号ハッシュ関数（例えば、ＳＭ３暗号ハッシュアルゴリズム）を呼び出す必要があり、通常、暗号ハッシュ関数をＨ_ｖ（）に記し、暗号ハッシュ関数の出力が長さＶビットのハッシュ値である。

【0007】

以下、鍵導出関数演算ステップを次のように説明する。

【0008】

（１）、３２ビットで構成されたカウンターをｃｔ＝０ｘ０００００００１に初期化する。

【0009】

ａ、Ｈ_ａｉ＝Ｈ_ｖ（Ｚ‖ｃｔ）を計算する；‖がカスケード演算である；
ｂ、ｃｔ＋＋；

【0010】

タとなる。

【0011】

取得された鍵データに基づいて、ユーザーＡとユーザーＢは、同じ鍵を取得するために、鍵交渉を行う必要がある。具体的な演算ステップは、次の通りである。

【0012】

ユーザーＡ：
Ａ１：乱数発生器を用いて乱数ｒ_Ａ∈［１，ｎ−１］を生成する；
Ａ２：楕円曲線点Ｒ_Ａ＝［ｒ_Ａ］Ｇ＝（ｘ_１，ｙ_１）を計算し、（ｘ_２，ｙ_２）が点等Ｒ_Ａの座標値であり、Ｇが選択された楕円曲線パラメータである。
Ａ３：Ｒ_ＡをユーザーＢに送信する；

【0013】

ユーザーＢ：
Ｂ１：乱数発生器を用いて乱数ｒ_Ｂ∈［１，ｎ−１］を生成する；

【0014】

Ｂ２：楕円曲線点Ｒ_Ｂ＝［ｒ_Ｂ］Ｇ＝（ｘ_２，ｙ_２）を計算し、（ｘ_２，ｙ_２）がＲ_Ｂの座標値であり、Ｇが選択された楕円曲線パラメータである。

【0015】

Ｂ３：Ｒ_Ｂからフィールド要素ｘ２を取り出し、フィールド要素ｘ２が二次元の拡張フィールドデータであれば、そのデータタイプを整数に変換し、フィールド要素ｘ２が素体データであれば、変換しなく、直接後の操作を行うことができる；次に、ユー

【0016】

ータであり、ｄ_ＢがローカルユーザーＢより保存された秘密鍵であり、ｒ_ＢがローカルユーザーＢに発生された乱数である。

【0017】

Ｂ５：Ｒ_Ａが楕円曲線方程式（素体モード又は二次元の拡張フィールドモードを用いると、予めユーザーＡと約束することができ、両方が同じ楕円曲線方程式を用いる）を満たすかどうかを確認し、満たさなければ、今回の鍵交渉が失敗したことを確定し、満たせば、Ｒ_Ａからフィールド要素ｘ１を取り出し、フィールド要素ｘ１が二次元の拡張フィールドデータであれば、まずそのデータライプを整数に変換し、フィールド要素ｘ１が素体データであれば、変換しなく、直接後の操作を行うことができ、ユ

【0018】

された楕円曲線パラメータであり、Ｐ_ＡがユーザーＡの公開鍵であり、Ｖが無限遠点（例えば、ｘ_Ｖ＝０，ｙ_Ｖ＝０）であるかどうかを判断し、そうであれば、ユーザーＢの鍵交渉が失敗したことを確認し、そうでなければ、フィールド要素ｘ_Ｖ、ｙ_Ｖのデータタイプをビット列に変換する；

【0019】

Ｂ７：Ｋ_Ｂ＝ＫＤＦ（ｘ_Ｖ‖ｙ_Ｖ‖Ｚ_Ａ‖Ｚ_Ｂ，ｋｌｅｎ）を計算する；Ｋ_Ｂは、ユーザーＢが鍵交渉により取得された鍵データであり、この時に、ユーザーＢの鍵交渉が成功すると黙認できる。
任意選択的に、Ｂ７を実行した後、ユーザーＢは、さらにＢ８を実行することができる。

【0020】

Ｂ８：Ｒ_Ａの座標ｘ_１、ｙ_１とＲ_Ｂの座標ｘ_２、ｙ_２のデータタイプをいずれもビット列に変換し、Ｓ_Ｂ＝Ｈａｓｈ（０ｘ０２‖ｙ_Ｖ‖Ｈａｓｈ（ｘ_Ｖ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））を計算し、Ｈａｓｈ（）が暗号ハッシュ関数Ｈ_ｖ（）として見ることができ、Ｓ_Ｂが演算により取得されたハッシュ値として見ることができる。

【0021】

Ｂ９：Ｒ_ＢをユーザーＡに送信し、Ｂ８を実行すれば、さらにＳ_ＢをユーザーＡに送信する必要がある；

【0022】

ユーザーＡ
Ａ４：Ｒ_Ａからフィールド要素ｘ１を取り出し、フィールド要素ｘ１が二次元の拡張フィールドデータであれば、まずそのデータタイプを整数に変換し、フィールド要素ｘ１が素体データであれば、変換しなく、直接後の操作を行うことができ、中間パラ

【0023】

ーＡより保存された乱数である。

【0024】

Ａ６：Ｒ_Ｂが楕円曲線方程式（ユーザーＢと約束する）を満たすかどうかを確認し、満たさなければ、今回の鍵交渉が失敗したことを確定し、満たせば、Ｒ_Ｂからフィールド要素ｘ２を取り出し、フィールド要素ｘ２が二次元の拡張フィールドデータであれば、まずそのデータタイプを整数に変換し、フィールド要素ｘ２が素体データであ

【0025】

ば、ｘ_Ｕ＝０，ｙ_Ｕ＝０）であれば、Ａ交渉が失敗し、そうでなければ、フィールド要素ｘ_Ｕ、ｙ_Ｕのデータタイプをビット列に変換する；

【0026】

Ａ８：Ｋ_Ａ＝ＫＤＦ（ｘ_Ｕ‖ｙ_Ｕ‖Ｚ_Ａ‖Ｚ_Ｂ，ｋｌｅｎ）を計算し、Ｋ_Ａは、ユーザーＡが鍵交渉により取得した鍵データであり、この時に、ユーザーＡの鍵交渉が成功すると黙認できる；
任意選択的に、Ａ８を実行した後、ユーザーＢから送信されたＳ_Ｂを受信した場合、ユーザーＡは、さらにＡ９とＡ１０を実行することができる；

【0027】

Ａ９：Ｒ_Ａの座標ｘ１、ｙ１とＲ_Ｂの座標ｘ２、ｙ２のデータタイプをビット列に変換し、Ｓ_１＝Ｈａｓｈ（０ｘ０２‖ｙ_Ｕ‖Ｈａｓｈ（ｘ_Ｕ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））を計算し、Ｈａｓｈ（）が暗号ハッシュ関数Ｈ_ｖ（）として見ることができ、Ｓ_１が演算により取得されたハッシュ値として見ることができ、そしてＳ_１＝Ｓ_Ｂが成立するかどうかを確認し、成立すれば、ユーザーＢからユーザーＡへの鍵確認が成功することを確定し、成立しなければ、ユーザーＢからユーザーＡへの鍵確認が失敗したことを確定する；

【0028】

Ａ１０：Ｓ_Ａ＝Ｈａｓｈ（０ｘ０３‖ｙ_Ｕ‖Ｈａｓｈ（ｘ_Ｕ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））を計算し、そしてＳ_ＡをユーザーＢに送信する。
ユーザーＢ：（ユーザーＡから送信されたＳ_Ａを受信した場合、ユーザーＢがステップＢ１０とＢ１１を実行し続けることができる）

【0029】

Ｂ１０：Ｓ_２＝Ｈａｓｈ（０ｘ０３‖ｙ_Ｖ‖Ｈａｓｈ（ｘ_Ｖ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））を計算し、そしてＳ_２＝Ｓ_Ａが成立するかどうかを確認し、成立すれば、ユーザーＡからユーザーＢへの鍵確認が成功することを確定し、成立しなければ、ユーザーＡからユーザーＢへの鍵確認が失敗したことを確定する。

【0030】

上記の過程は、ＳＭ２鍵交換プロトコルに記載された鍵交渉過程であり、これにより分か

り、その中、ｎが楕円曲線パラメータであり、次数ｎと呼ばれ、次数ｎが通常１６０桁以上の大整数であり、次数ｎに基づいて直接ｌｏｇ₂（ｎ）の対数値を求め、その後切り上げ演算を行うと、工学的実現においてより複雑であり、より多くの時間が掛かり、それによって直接鍵交渉プロセスの実現効率を直接低下させ、鍵交渉プロセスの実現複雑さを向上させる。

【発明の概要】

【発明が解決しようとする課題】

【0031】

本発明の実施形態は、鍵交渉プロセスの実現複雑さを低下させ、鍵交渉プロセスの実現効率を向上させるように、ＳＭ２鍵交換プロトコルに基づく鍵交渉方法及び装置を提供する。

【0032】

本発明の実施形態に係る具体的な技術的解決策は、次の通りである。

【0033】

ＳＭ２鍵交換プロトコルに基づく鍵交渉方法は、
今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定するステップと、
前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、そして取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得するステップと、
前記Ｗ値に基づいて交渉相手側と鍵交渉を行うステップとを含む。

【0034】

ＳＭ２鍵交換プロトコルに基づく鍵交渉装置は、
今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定し、そして前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、そして取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することに用いられる第一の制御モジュールと、
前記Ｗ値に基づいて交渉相手側と鍵交渉を行うことに用いられる第二の制御モジュールと、を備える。

【0035】

パラメータ生成装置は、
今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定することに用いられる確定ユニットと、
前記次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、そして取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することに用いられる計算ユニットとを備える。

【0036】

本発明の実施形態において、交渉の両方は、いずれも不等式ｎ≦２^xを成立させるＸ値のうちの最小の正整数値に基づいて、パラメータＷ値を計算し、そして当該パラメータＷ値に基づいて交渉相手側とＳＭ２鍵交換プロトコルに基づく鍵交渉を行う。ｌｏｇ２（ｎ）対数値を計算して切り上げるモードを用いてパラメータＷ値を計算する方法と比較すると、計算量を効果的に減少させ、且つアルゴリズムの実現複雑さを低下させて、それによってＳＭ２鍵交換プロトコルに基づく鍵交渉プロセスの実現効率を大幅に向上させて、さらにＳＭ２鍵交換プロトコルの工学的実現を最適化する。

【図面の簡単な説明】

【0037】

【図1A】本発明の実施形態における鍵交渉装置の機能構造を示す図である。

【図1B】本発明の実施形態におけるパラメータＷ値生成装置の機能構造を示す図である。

【図2】本発明の実施形態における鍵交渉を行うフローチャートである。

【図3】本発明の実施形態におけるパラメータＷ値を生成する第一の方法のフローチャートである。

【図4】本発明の実施形態におけるパラメータＷ値を生成する第二の方法のフローチャートである。

【発明を実施するための形態】

【0038】

ＳＭ２鍵交換プロトコルに基づく鍵交渉プロセスに、鍵交渉プロセスの実行複雑さを低下させ、鍵交渉プロセスの実現効率を向上させるために、本発明の実施形態におい

満たすＸの最小の正整数値を求め、そして取得されたＸの最小の正整数値に基づいて

算されたＷ値に基づいて相手側と鍵交渉を行う。

【0039】

以下、依然としてユーザーＡとユーザーＢを例として、図面を参照して本発明の好ましい実施形態を詳しく説明する。

【0040】

図１Ａに示すように、本発明の実施形態において、ＳＭ２鍵交換プロトコルに基づく鍵交渉の両方のうちのいずれかの一方（ユーザーＡであってよく、ユーザーＢであってもよい）より使用される鍵交渉装置は、第一の制御モジュール１０と第二の制御モジュール１１を備える。

【0041】

ここで、第一の制御モジュール１０が、今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定し、そして次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、そして取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することに用いられ、
第二の制御モジュール１１が、前記パラメータＷ値に基づいて交渉相手側と鍵交渉を行うことに用いられる。

【0042】

図１Ａに示すように、第二の制御モジュール１１の内部は、若干の、ソフトウェアで実現される機能ユニットとハードウェアで実現される機能ユニットに細分することができ、これらの機能ユニットの作用は、後の実施形態において詳しく説明され、他方では、図１Ａに示す第二の制御モジュール１１の内部の機能ユニットの分割モードは、一つの例だけであるが、実際の応用中に、具体的な応用環境に応じて別に計画されることができ、ここで繰り返して説明しない。

【0043】

他方では、実際の応用中に、第一の制御モジュール１０は、鍵交渉装置に設置されたロジックモジュールであってよく、独立動作機能を有するサブデバイスであってもよい。図１Ｂに示すように、本発明の実施形態において、第一の制御モジュール１０は、確定ユニット１００と計算ユニット１０１を含む。

【0044】

ここで、確定ユニットは、今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定することに用いられ、
計算ユニットは、次数ｎが２^ｘ以下である場合のＸの最小の正整数値を計算し、そして取得されたＸの最小の正整数値に基づいてパラメータＷ値を取得することに用いられる。

【0045】

上記の技術的解決策に基づいて、図２に示すように、本発明の実施形態において、ＳＭ２鍵交渉両方のうちのいずれかの一方（ユーザーＡであってよく、ユーザーＢであってもよい）が実行する具体的なプロセスは、次の通りである。

【0046】

ステップ２００、今回の鍵交渉に用いられる楕円曲線パラメータ次数ｎの値を確定する。

【0047】

一般的に次数ｎの値が予め設定されるので、ユーザーＡとユーザーＢは、ＳＭ２鍵交渉プロセスの開始段階に、用いられる楕円曲線方程式を約束し、相手側へ自分で用いられた公開鍵、即ちＰ_Ａ、Ｐ_Ｂを送信する。

【0048】

ステップ２１０：確定された次数ｎが２^ｘ以下場合のＸの最小の正整数値を計算し

の最小の正整数値に基づいてパラメータＷ値を取得する。

【0049】

実行される具体的な操作は、次の通りである。図３と図４に示すように、鍵交渉装置は、まず次数ｎの有効ビット数ｍを確定し、即ち上位の１つ目の非０ビットから次数ｎに含まれるビット総数を計算し、次に次数ｎの値を２^ｍ−１と比較し、即ちｎ＞２^ｍ−１であるかどかを判断し、そうであれば、直接ｍの現在の値をＸの最小の正整数値とし、そうでなければ、設定されたステップ値（例えば、ステップ値が１である）を用いてｍを逐次的に小さくし、当該不等式が成立するまで１回減少するたびに、ｎ＞２^ｍ−１であるかどかを１回判断し、そしてｍが小さくなった後の最後の値をＸの最小の正整数値とする。

【0050】

本実施形態において、Ｘの最小の正整数値を取得した後、Ｘの最小の正整数値に基づいてパラメータＷ値を計算する場合、以下の様々な方式を用いることができる。

【0051】

例えば、図３に示すように、まず最後取得されたｍのパリティ（即ちＸの最小の正整数値のパリティ）を判断することができ、ｍが奇数であれば、ｍを第一のプリセッ

小の正整数であり、ｍが偶数であれば、ｍを第一のプリセットパラメータで割って切り下げて第二のプリセットパラメータを引いた結果を、パラメータＷ値とし、例えば

ラメータであり、１が第二のプリセットパラメータである。

【0052】

また、例えば、図４に示すように、まず最後取得されたｍのパリティ（即ちＸの最小正整数値のパリティ）を判断することができ、ｍが奇数であれば、ｍを設定された桁数で右シフトした結果を、パラメータＷ値とし、例えば、式ｗ＝ｍ＞＞１用いてパラメータＷ値を計算し、その中、≫が右シフト操作であり、１が右シフトの設定桁数であり、ｍ≫１がｍの現在の値の最低位（二次元の拡張フィールド形態）を削除し、最高位にゼロを補うことを示し、ｍが偶数であれば、ｍを設定された桁数で右へシフトして第三のプリセットパラメータを引いた結果を、パラメータＷ値とし、例えば、式ｗ＝（ｍ＞＞１）−１を用いてパラメータＷ値を計算する。
ここで、１つ目の１が右シフトの設定桁数であり、２つ目の１が第三のプリセットパラメータである。

【0053】

ステップ２２０、取得されたパラメータＷ値に基づいて交渉相手側と鍵交渉を行う。

【0054】

図２に示すように、ＳＭ２鍵交換プロトコルを実現する鍵交渉装置は、開始側ユーザーＡとしてよく、応答側ユーザーＢとしてもよく、その中、第一の制御モジュール１０がパラメータＷ値を計算する演算モジュールであり、鍵交渉装置が第一の制御モジュール１０によりパラメータＷ値を取得した後、相手側と鍵交渉を行うプロセスは、次の通りである。

【0055】

ＳＭ２鍵交換プロトコルプロセスが開始した後、ユーザー開始側Ａとユーザー応答側Ｂは、それぞれが使用した鍵交渉装置内に設置された第一の制御モジュール１０によりそれぞれ対応するパラメータＷ値を取得する。

【0056】

次に、ユーザーＡは、鍵交渉装置内の第二の制御モジュール１１により乱数と楕円曲線点を計算し、その中、第二の制御モジュール１１がハードウェアで実現されることができ、図１に示すように、ユーザーＡは、第二の制御モジュール１１内の乱数発生ユニットにより乱数ｒ_Ａ∈［１，ｎ−１］を生成することができ、ＥＣＣ演算ユニットが生成された乱数に基づいて楕円曲線点Ｒ_Ａ＝［ｒ_Ａ］Ｇ＝（ｘ_１，ｙ_１）を生成することができ、同時に、第二の制御モジュール１１がこの鍵交渉装置における鍵記憶サブモジュール内に保存された、今回の鍵交渉に用いられる秘密鍵ｄ_Ａに対応する公開鍵Ｐ_Ａを取り出し、そして公開鍵Ｐ_Ａを、ローカルにソフトウェアで実現される通信インターフェイスを介して楕円曲線点Ｒ_Ａと公開鍵Ｐ_ＡをユーザーＢに送信する。

【0057】

ユーザーＢより使用された鍵交渉装置ＢがユーザーＡから受信した情報は、主に相手側の公開鍵Ｐ_Ａ、相手側の楕円曲線点Ｒ_Ａ、相手側のユーザー情報Ｚ_Ａを含み、同時にローカルのユーザー情報Ｚ_Ｂ、楕円曲線点補因子パラメータｈ、交渉鍵の予期長さｋｌｅｎを取得する。

【0058】

ユーザーＢは、ローカルの第二の制御モジュール１１を用いて乱数と楕円曲線点を計算し、その中、第二の制御モジュール１１がハードウェアで実現されることができ、例えば、ユーザーＢは、第二の制御モジュール１１内の乱数発生ユニットにより乱数ｒ_Ｂ∈［１，ｎ−１］を生成することができ、次に、第二のモジュール１１内のＥＣＣ演算ユニットにより、生成された乱数に基づいて楕円曲線点Ｒ_Ｂ＝［ｒ_Ｂ］Ｇ＝（ｘ_２，ｙ_２）を生成することができ、同時に、第二の制御モジュール１１がこの鍵交渉装置における鍵記憶ユニットに保存された今回の鍵交渉に用いられた秘密鍵ｄ_Ｂに対応する公開鍵Ｐ_Ｂを取り出し、そしてローカルにソフトウェアで実現される通信インターフェイスを介して楕円曲線点Ｒ_Ｂと公開鍵Ｐ_ＢをユーザーＡに送信する。

【0059】

次に、ユーザーＢは、ローカルの第二の制御モジュール１１におけるソフトウェアで実現されるデータタイプ変換ユニットを用いて、取得されたフィールド要素Ｘ₁とＸ₂のデータタイプを整数データタイプに変換し、その後、第二の制御ユニット１１におけるソフ

することができ、その中、ｘ₁が楕円曲線点Ｒ_Aの横座標であり、ｘ₂が楕円曲線点Ｒ_Bの横座標であり、ここで本発明の実施形態に係る解決策を用いて生成されたパラメータＷ値を用いる。

【0060】

次に、ユーザーＢは、鍵交渉装置により相手側の公開鍵Ｐ_Ａ、相手側の楕円曲線点

し、その中秘密鍵ｄ_Ｂが第二の制御モジュール１１におけるハードウェアで実現される鍵記憶ユニットから読み出されるものであり、関連演算が主に、まず大整数モジュ

ｔ_Ｂ＝（ｄ_Ｂ＋ｌ）ｍｏｄｎを計算することを含み、ユーザーＢは、上記の大整数演算ユニット

【0061】

その後、ユーザーＢは、第二の制御モジュール１１におけるハードウェアで実現されるＥＣＣ演算ユニットを用いてＲ_Ａが楕円曲線方程式を満たすかどうかの確認を完

【0062】

ユーザーＢは、鍵交渉装置における第二の制御モジュール１１によりＲ_Ａが楕円曲線方程式を満たすかどうかの確認結果及び楕円曲線点Ｖ＝（ｘ_Ｖ，ｙ_Ｖ）をソフトウェアで実現される部分に伝送し、Ｒ_Ａが楕円曲線方程式を満たしなければ、又は、Ｖ＝（ｘ_Ｖ，ｙ_Ｖ）が楕円曲線の無限遠点であれば、演算を終了し、そうでなければ、ユーザーＢは、第二の制御モジュール１１におけるソフトウェアで実現されるデータタイプ変換ユニットにより楕円曲線点Ｖ＝（ｘ_Ｖ，ｙ_Ｖ）における横座標ｘ_Ｖと縦座標ｙ_Ｖのデータタイプをビット列データタイプに変換し、ユーザーＢは、第二の制御モジュール１１におけるソフトウェアで実現される鍵導出ユニットによりローカルユーザーＢの交渉鍵
Ｋ_Ｂ＝ＫＤＦ（ｘ_Ｖ‖ｙ_Ｖ‖Ｚ_Ａ‖Ｚ_Ｂ，ｋｌｅｎ）を計算し、これまで、ユーザーＢは、鍵交渉が成功すると黙認できる。

【0063】

当然、任意選択的に、ユーザーＢは、さらに第二の制御モジュール１１におけるソフトウェアで実現されるデータタイプ変換ユニットにより楕円曲線点Ｒ_Ａ＝（ｘ_１，ｙ_１）の横座標ｘ_１、縦座標ｙ_１と楕円曲線点Ｒ_Ｂ＝（ｘ_２，ｙ_２）の横座標ｘ_２、縦座標ｙ_２のデータタイプをビット列データタイプに変換し、その後、第二の制御モジュール１１におけるソフトウェアで実現される暗号ハッシュ計算ユニットにより次のような検証情報を計算する。
Ｓ_Ｂ＝Ｈａｓｈ（０ｘ０２‖ｙ_Ｖ‖Ｈａｓｈ（ｘ_Ｖ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））
Ｓ_２＝Ｈａｓｈ（０ｘ０３‖ｙ_Ｖ‖Ｈａｓｈ（ｘ_Ｖ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））

【0064】

ユーザーＢは、検証情報Ｓ_Ｂをソフトウェアで実現される伝送インタフェースを介してユーザーＡに伝送する。

【0065】

開始側Ａが所属する鍵交渉装置は、ユーザーＢから送信された情報を受信し、ユーザーＢの公開鍵Ｐ_Ｂ、ユーザーＢの楕円曲線点Ｒ_Ｂ、ユーザーＢのユーザー情報Ｚ_Ｂ、及びローカルユーザー情報Ｚ_Ａ、楕円曲線点補因子パラメータｈ、交渉鍵予期長さｋｌｅｎを取得し、その後ユーザーＢと同じプロセスを用いて
Ｋ_Ａ＝ＫＤＦ（ｘ_Ｕ‖ｙ_Ｕ‖Ｚ_Ａ‖Ｚ_Ｂ，ｋｌｅｎ）を計算する。

【0066】

これまで、開始側Ａは、鍵交渉が成功すると黙認することもきる。

【0067】

さらに、ユーザーＡがユーザーＢから送信された検証情報Ｓ_Ｂを受信した場合でも、同じプロセスを用いて検証情報を計算する。
Ｓ_１＝Ｈａｓｈ（０ｘ０２‖ｙ_Ｕ‖Ｈａｓｈ（ｘ_Ｕ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））
Ｓ_Ａ＝Ｈａｓｈ（０ｘ０３‖ｙ_Ｕ‖Ｈａｓｈ（ｘ_Ｕ‖Ｚ_Ａ‖Ｚ_Ｂ‖ｘ_１‖ｙ_１‖ｘ_２‖ｙ_２））

【0068】

その後、Ｓ_１がＳ_Ｂに等しいかどうかをチェックし、等しい場合、鍵交渉が成功することを確認し、等しくない場合、鍵交渉が失敗したことを確認し、そしてＳ_ＡをユーザーＢに送信する。

【0069】

ユーザーＢは、Ｓ_ＡがＳ_２に等しいかどかを確認し、等しい場合、鍵交渉が成功し、等しくない場合、鍵交渉が失敗したことを確認する。

【0070】

これまで、ＳＭ２鍵交換プロトコルに制定されたＳＭ２鍵交渉プロセスは、完全に終了する。

【0071】

上述したように、本発明の実施形態において、交渉両方は、いずれも不等式ｎ≦２^xを成立させるＸ値のうちの最小の正整数値に基づいて、パラメータＷ値を計算し、そして当該パラメータＷ値に基づいて交渉相手側とＳＭ２鍵交換プロトコルに基づく鍵交渉を行う。その中、パラメータＷ値の計算過程は、実際の交渉プロセスが開始する前又は後に実行されることができ、同じ効果を得ることができる。ｌｏｇ２（ｎ）対数値を計算して切り上げるモードを用いてパラメータＷ値を計算する方法と比較すると、計算量を効果的に減少し、且つアルゴリズムの実現複雑さを低下させ、それによってＳＭ２鍵交換プロトコルに基づく鍵交渉プロセスの実現効率を大幅に向上させて、さらにＳＭ２鍵交換プロトコルの工学的実現を最適化する。

【0072】

当業者は、本発明の実施形態は、方法、システム、又はコンピュータプログラム製品として提供されることができる。そのため、本発明は、完全なハードウェアの実施形態、完全なソフトウェアの実施形態、又はソフトウェアとハードウェアを組み合わせた実施形態の形態を用いることができると理解すべきである。且つ、本発明は、コンピュータ使用可能プログラムコードが含まれる１つ以上のコンピュータ使用可能な記憶媒体（ディスクメモリ、ＣＤ−ＲＯＭ、光メモリなどを含むがこれらに限られない）で実施されるコンピュータプログラム製品の形態を採用することができる。

【0073】

本発明は、本発明の実施形態による方法、装置（システム）とコンピュータプログラム製品のフローチャート及び／又はブロック図を参照して説明されるものである。コンピュータプログラム命令によりフローチャート及び／又はブロック図中の各プロセス及び／又はブロック、及びフローチャート及び／又はブロック中のプロセス及び／ブロックの組み合わせを実現することができると理解すべきである。これらのコンピュータプログラム命令を、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ又は他のプログラム可能なデータ処理装置のプロセッサに提供して１つのマシンを生み出すことができ、コンピュータ又は他のプログラム可能なデータ処理装置のプロセッサが実行する命令により、フローチャートの１つ以上のプロセス及び／又はブロック図の１つ以上のブロック中に指定された機能を実現するための装置を生じることができる。
これらのコンピュータプログラム命令は、コンピュータ又は他のプログラム可能なデータ処理装置が特定の方式で動作するようにガイドできるコンピュータ読み取り可能なメモリに記憶されることができ、それによって当該コンピュータ読み取り可能なメモリに記憶された命令により、命令装置が含まれる製造品を生じる。当該命令装置は、フローチャートの１つ以上のプロセス及び／ブロック図の１つ以上のブロック中に指定された機能を実現する。

【0074】

これらのコンピュータプログラム命令は、コンピュータ又は他のプログラム可能なデータ処理装置にロードされることができ、コンピュータ又はプログラム可能なデータ処理装置で一連の操作ステップを実行して、コンピュータで実現される処理を生み、それによってコンピュータ又はプログラム可能なデータ処理装置で実行された命令により、フローチャートの１つ以上のプロセス及び／ブロック図の１つ以上のブロック中に指定された機能を実現するためのステップを提供する。

【0075】

本発明の好ましい実施形態を説明したにもかかわらず、当業者は、一旦基本的な創造性概念を知ると、これらの実施形態に対して別の変更と修正を行うことができる。したがって、添付した特許請求は、好ましい実施形態及び本発明の範囲に含まれるすべての変更と修正を含むと説明することを意図する。

【0076】

明らかに、当業者は、本発明の実施形態の精神および範囲から逸脱することなく、本発明の実施形態に対して様々な変更及び修正を行うことができる。このようにして、本発明の実施形態のこれらの変更及び修正が本発明の特許請求及びその同等技術の範囲に含まれると、本発明もこれらの変更及び修正を含むことを意図する。

【図1A】

【図1B】

【図2】

【図3】

【図4】