(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210839349.9 (22)申请日 2022.07.14 (71)申请人 中国科学技术大学 地址 230026 安徽省合肥市包河区金寨路 96号 (72)发明人 林璟锵　周天　刘振亚　张可臻　 张弘毅　 (74)专利代理 机构 中科专利商标代理有限责任 公司 11021 专利代理师 孙蕾 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/32(2006.01) (54)发明名称 基于变化因子的协作式密码计算的攻击检 测方法及装置 (57)摘要 本公开提供了一种基于变化因子的协作式 密码计算的攻击检测方法及装置， 可以应用于密 码领域。 该攻击检测方法包括： 响应于数字签名 计算完成或消息解密完成或密钥交换完成， 确定 原始子私钥D1 ′和第一变化因子W1； 将第一变化 因子W1发送给第二通信方； 接收来自于第二通信 方的第二变化因子W2； 利用第一变化因子W1和第 二变化因子W2， 对原始 子私钥D1 ’进行变化处理， 得到当前子私钥D1； 根据当前子私钥D1， 确定部 分公钥P1； 以及响应于数字签名计算失败或消息 解密失败或密钥交换失败， 将部分公钥P1发送给 第二通信方， 以便第二通信方利用部分公钥P1进 行配对处理， 根据得到的配对结果进行攻击检 测。 权利要求书3页 说明书14页 附图9页 CN 115208572 A 2022.10.18 CN 115208572 A 1.一种基于变化因子的协作式密码计算的攻击检测方法， 所述基于变化因子的协作式 攻击检测方法基于椭圆曲线公钥密码算法， 应用于第一 通信方， 包括： 响应于数字签名计算完成或消息解密完成或密钥交换完成， 确定原始子私钥D1 ′和第 一变化因子W1， 其中， 所述原始子私钥D1 ′用于进行以下操作中的至少之一： 协作式数字签 名计算、 协作式消息解密或协作式密钥交换； 将所述第一变化因子W1 发送给第二 通信方； 接收来自于第二 通信方的第二变化因子W2； 利用所述第一变化因子W1和所述第二变化因子W2， 对所述原始子私钥D1 ′进行变化处 理， 得到当前子私钥D1； 根据所述当前子私钥D1， 确定 部分公钥P1； 以及 响应于数字签名计算失败或消息解密失败或密钥交换失败， 将所述部分公钥P1发送给 所述第二通信方， 以便所述第二通信方利用所述部分公钥P1进行配对处理， 根据得到的配 对结果进行攻击检测。 2.根据权利要求1所述的方法， 其中， 所述利用所述第 一变化因子W1和所述第 二变化因 子W2， 对所述原 始子私钥D1 ′进行变化处 理， 得到当前子私钥D1包括： 根据所述第一变化因子W1、 所述第二变化因子W2和所述原始子私钥D1 ′， 计算V1， 其中， V1＝(D1′*W1‑1*W2)mod n， *表示整数乘法运 算， W1‑1表示W1模n的逆元； 以及 将V1确定为所述当前子私钥D1。 3.根据权利要求1所述的方法， 其中， 所述利用所述第 一变化因子W1和所述第 二变化因 子W2， 对所述原 始子私钥D1 ′进行变化处 理， 得到当前子私钥D1包括： 根据所述第一变化因子W1、 所述第二变化因子W2和所述原始子私钥D1 ′， 计算U1， 其中， U1＝(D1′*W1*W2‑1)mod n*表示整数乘法运 算， W2‑1 mod n表示W2模n的逆元； 以及 将U1确定为所述当前子私钥D1。 4.根据权利要求1所述的方法， 其中， 所述利用所述第 一变化因子W1和所述第 二变化因 子W2， 对所述原 始子私钥D1 ′进行变化处 理， 得到当前子私钥D1包括： 根据所述第一变化因子W1、 所述第二变化因子W2和所述原始子私钥D1 ′， 计算S1， 其中， S1＝(D1′+W1‑W2)mod n， mod n表示模n运算， +表示整数加法运算或者椭圆曲线点加法运 算，‑表示整数减法运 算或者椭圆曲线点减法运 算； 以及 将S1确定为所述当前子私钥D1。 5.根据权利要求2所述的方法， 其中， 所述将所述部分公钥P1送给所述第二通信方， 以 便所述第二 通信方利用所述部分公钥P1进行配对处 理包括： 计算T1和P1， 其 中， T1＝D1‑1mod n， P1＝[T1]G， D1‑1mod n表示D1模n的逆元， [T1]G表示 椭圆曲线的基点G的T1倍 点运算； 以及 将P1发送给所述第二 通信方， 以便所述第二 通信方进行配对处 理。 6.根据权利要求3或4所述的方法， 其中， 所述将所述部分公钥P1发送给所述第二通信 方， 以便所述第二 通信方利用所述部分公钥P1进行配对处 理包括： 计算P1， 其中， P1＝[ D1]G， [D1]G表示椭圆曲线的基点G的D1倍 点运算； 以及 将P1发送给所述第二 通信方， 以便所述第二 通信方进行配对处 理。 7.一种基于变化因子的协作式密码计算的攻击检测方法， 所述基于变化因子的协作式权　利　要　求　书 1/3 页 2 CN 115208572 A 2攻击检测方法基于椭圆曲线公钥密码算法， 应用于第二 通信方， 包括： 响应于数字签名计算完成或消息解密完成或密钥交换完成， 确定原始子私钥D2 ′和第 二变化因子W2， 其中， 所述原始子私钥D2 ′用于进行以下操作中的至少之一： 协作式数字签 名计算、 协作式消息解密或协作式密钥交换； 将所述第二变化因子W2发送给第一 通信方； 接收来自于第一 通信方的第一变化因子W1； 利用所述第一变化因子W1和所述第二变化因子W2， 对所述原始子私钥D2 ′进行变化处 理， 得到当前子私钥D2； 响应于数字签名计算失败或消息解密失败或密钥交换失败， 接收来自于所述第 一通信 方的部分公钥P1； 根据所述当前子私钥D2和所述部分公钥P1， 确定当前公钥P ′； 对所述当前公钥P ’和原始公钥P进行配对处 理， 得到配对结果； 以及 响应于所述配对结果表征所述当前公钥P ′和所述原始公钥P配对失败， 确定检测到攻 击行为。 8.根据权利要求7所述的方法， 其中， 所述对当前公钥P ′和原始公钥P进行配对处理， 得 到配对结果包括： 计算T2和P ’， T2＝D2‑1mod n， P’＝[T2]P1 ‑G， D2‑1mod n表示D2模n的逆元， [T1]P1表示椭 圆曲线点P1的T1倍点运算。 对 所述当前公钥P ’和所述原始公钥P进行配对处理， 得到所述配 对结果。 9.一种基于变化因子的协作式攻击检测装置， 所述基于变化因子的协作式攻击检测装 置基于椭圆曲线公钥密码算法， 应用于第一 通信方， 包括： 第一确定模块， 用于响应于数字签名计算完成或消息解密完成或密钥交换完成， 确定 原始子私钥D1 ′和第一变化因子W1， 其中， 所述原始子私钥D1 ′用于进行以下操作中的至少 之一： 协作式数字签名计算、 协作式消息解密或协作式密钥交换； 第一发送模块， 用于将所述第一变化因子W1发送给第 二通信方； 第 一接收模块， 用于接 收来自于第二 通信方的第二变化因子W2； 第一处理模块， 用于利用所述第一变化因子W1和所述第二变化因子W2， 对所述原始子 私钥D1′进行变化处 理， 得到当前子私钥D1； 第二确定模块， 用于根据所述当前子私钥D1， 确定 部分公钥P1； 以及 第二发送模块， 用于响应于数字签名计算失败或消息解密失败或密钥交换失败， 将所 述部分公钥P1送给所述第二通信方， 以便所述第二通信方利用所述部 分公钥P1进 行配对处 理， 根据得到的配对结果进行攻击检测。 10.一种基于变化因子的协作式攻击检测装置， 所述基于变化因子的协作式攻击检测 装置基于椭圆曲线公钥密码算法， 应用于第二 通信方， 包括： 第三确定模块， 用于响应于数字签名计算完成或消息解密完成或密钥交换完成， 确定 原始子私钥D2 ′和第二变化因子W2， 其中， 所述原始子私钥D2 ′用于进行以下操作中的至少 之一： 协作式数字签名计算、 协作式消息解密或协作式密钥交换； 第三发送模块， 用于将所述第二变化因子W2发送给第一 通信方； 第二接收模块， 用于 接收来自于第一 通信方的第一变化因子W1；权　利　要　求　书 2/3 页 3 CN 115208572 A 3