CN101099329B

CN101099329B - 基于椭圆曲线的新陷门单向函数及其用于较短签名和非对称加密的应用

Info

Publication number: CN101099329B
Application number: CN 200580046426
Authority: CN
Inventors: 斯科特·A.·万斯通; 罗伯特·P.·加朗特; 丹尼尔·R.·L.·布朗; 马里纳斯·斯特罗伊克
Original assignee: Certicom Corp
Current assignee: Maliki Innovation Co ltd
Priority date: 2004-11-11
Filing date: 2005-11-14
Publication date: 2012-12-26
Anticipated expiration: 2025-11-14
Also published as: CA2587474A1; WO2006050605A1; JP2008519994A; US7844051B2; JP4842276B2; JP5190142B2; JP2011232782A; US8213605B2; CN101099329A; US20060140400A1; ATE546909T1; CA2587474C; EP1815636A4; US8782400B2; US20120314855A1; US20110060909A1; EP1815636A1; EP1815636B1

Abstract

本发明提供一种新的陷门单向函数。通常，使用某二次代数整数z。接着可以找到曲线E和在E上定义[z]的有理映射。该有理映射[z]是陷门单向函数。z的明智选择将确保：可有效计算[z]，难以反演[z]，从由[z]定义的有理函数难以确定z，以及对z的了解使得可以基于某组椭圆曲线点反演[z]。每一有理映射是平移和自同态的组合，因为平移易于反演，有理映射最安全的部分是自同态。如果反演自同态从而[z]的问题与E中离散对数问题一样难，那么密码群的大小可以小于用于RSA陷门单向函数的群。

Description

基于椭圆曲线的新陷门单向函数及其用于较短签名和非对称加密的应用

技术领域

本发明涉及陷门单向加密函数以及利用此类函数的密码系统。

背景技术

陷门单向函数(TOWF)是公开可计算函数，仅一个实体可对其反演(invert)。需要称为私钥的专用密码来计算TOWF的逆(inverse)。

TOWF的经典实例是基于M^ed≡M(mod N)这一关系的RSA函数。公共RSA函数w计算如下：W(x)＝x^e mod N。数字e和N是公共值。选择数字N为两个加密的不同质数p和q的积。用私钥运算w反演RSA函数，可计算如下：W^-1(y)＝y^d mod N，其中d＝(1/e)mod(p-1)(q-1)并为私钥。

无私钥而反演RSA函数被认为是难题。对于大值的N来说，对N因式分解得到质数p、q是计算上不可实行的，而因此私钥w＝(p-1)(q-1)也保持秘密。实际中，当前所作的许多在线银行业务的安全性依赖于无私钥则难以反演的RSA函数。换句话说，人们通常认为RSA是TOWF。

作为TOWF，RSA函数可用作执行数字签名和公钥加密的密码系统的基础。为了用陷门单向函数W对消息M数字签名，需要利用私钥运算W^-1和公共散列函数H计算S＝W^-1(H(M))。散列函数有两个用途：将M压缩到W^-1可处理的摘要(digest)大小，以及防止一些潜在攻击，这些潜在攻击涉及从一条消息签名向相关的但未授权的消息的转换。为了用陷门单向函数检验消息M的签名S，需要核查H(M)＝W(S)。

用TOWF进行公钥加密有点与签名相反。不进行散列，而使用编码方案E。为了对消息M加密，需要计算密码C＝W(E(M))。为了对密码C解密，需要计算M＝E^-1(W^-1(C))。编码函数用于使M适合应用于W所需的大小，并且防止某些种类相关消息的攻击。

一种可选的密码系统针对离散对数问题的难点而建立。将安全性建立在离散对数问题的基础上的特别牢固的密码系统利用椭圆曲线，并且与RSA TOWF密码系统相比具有减小的带宽的优势。

尽管与RSA TOWF密码系统相比椭圆曲线密码系统减小带宽，其在保持现有系统的理想属性的同时仍需要使带宽最小化。而且TOWF不依赖随机数发生器，因此即使所需带宽较大，在某些环境下更易于执行。

因此本发明的目的是提供一种TOWF密码系统来消除或减轻上述的缺点。

为了便于理解本发明的基本原理，下面回顾一下这些原理的数学基础。

椭圆曲线E是满足椭圆曲线定义方程的点(x，y)的集合。定义方程对y是二次方的和对x是三次方的，并且是非奇异的。坐标x和y是域的元素，是可被加、减、乘和除(0除外)的一组元素。域的例子包括有理数和实数。还有有限域，它们是密码系统中最常用的域。有限域的例子是以质数q为模的整数集。

不失一般性，椭圆曲线的定义方程可为Weierstrass形式。当域F取自以质数q＞3为模的整数时，那么Weierstrass方程采取这种形式y²＝x³+ax+b，其中a和b是域F的元素。

椭圆曲线E包括点(x，y)和另一点即无穷点(point at infinity)O，其中点(x，y)是定义方程的所有解。椭圆曲线E还有群结构，意指在曲线上的两个点P和Q可做加法而形成第三点P+Q。点O是群的恒等式，意指对所有的点P，有P+O＝O+P＝P。加法是结合的，因此P+(Q+R)＝(P+Q)+R，并且是可交换的，因此对所有的点P、Q和R，有P+Q＝Q+R。每一点P有负点-P，使得P+(-P)＝O。当曲线方程是y²＝x³+ax+b形式的Weierstrass方程时，P＝(x，y)的负点很容易确定为-P＝(x，-y)。根据坐标对点P和Q做加法的公式只适度复杂，只涉及少量定义E的域中的域运算。

域上二变量有理函数r(x，y)是相同域上的两个二变量多项式的比。因此r(x，y)＝p(x，y)/q(x，y)，其中p和q是x和y的多项式。x和y的多项式是ax^myⁿ形式的项的和，其中a是域元素(可能取决于m和n)，而m和n非负整数。例如，x²y-3y⁴+1是x和y的多项式。对于任意有理函数r(x，y)和域元素u和v，在点(u，v)有有理函数数r(x，y)的值。该值是域元素或无穷点，并写为r(u，v)。仅通过用域元素u代换每次出现的变量x，用v代换每一y，并而后计算所有的域运算，例如乘法、加法和除法。有时候除以0的结果通常表示值r(u，v)实际上是无穷的，因为该值不在域中而认为是例外。因此对于曲线上的点(x，y)计算r(x，y)是可能的。在点O定义r(x，y)的值也是可能的，这样能够计算关于曲线的每一点的r。

椭圆曲线E上的有理映射是一对有理函数r(x，y)和s(x，y)，使得如果(u，v)是E上的点，那么(t，w)＝(r(u，v)，s(u，v))也是E上的点。更一般而言，如果(u，v)由O取代，而且如果(t，w)为O是可接受的，这对应于t和w都是无穷大，那么这种情况还需保持成立。

就像曲线上的点一样，椭圆曲线上的有理映射实际上可做加法。除了不用域元素做运算，而用有理函数即用x和y的符号函数做运算之外，加法规则相同。

作为E的有理函数，如果r等于r′并且s等于s′，则E上的有理映射(r，s)等于另一个有理映射(r′，s′)。

特定类的有理映射是自同态。自同态e是具有加法特性的有理映射e＝(r，s)，即对于任意两个点P和Q，有e(P+Q)＝e(P)+e(Q)。椭圆曲线理论中一个重要的定理表示，如果e是具有这种特性e(O)＝O的有理映射，那么e也是自同态。这个定理大大简化了对给定有理映射是否是自同态的确定。

自同态的重要例子是e＝[m]，由e(P)＝mP定义，即m个点P的和。因为曲线E的加法法则由有理函数定义，那么m个P的迭代和mP也是如此，因为这些有理函数可以迭代。因而e(P)是有理映射。因为关于曲线E的加法运算是结合的，对于e＝[m]，有e(P+Q)＝m(P+Q)＝m(P)+m(Q)＝e(P)+e(Q)。因而，因为e有加法特性，所以e是自同态。

如果有不同于[m]的自同态，那么说E有复数乘法。有限域上定义的椭圆曲线总有复数乘法。换句话说，对于所有的整数m，这些椭圆曲线总有不同于[m]的自同态e。

椭圆曲线理论的有效的定理表示，任何自同态e相当于(r(x)，cyr′(x))形式的唯一映射，其中r(x)是单个变量的有理函数，c是常量域元素，而r′(x)是r(x)导数。这个结果根本不明显，但是如果e是(f(x，y)，g(x，y))形式，那么如下所述，不难确定r(x)。

为了举例说明，用线性或y的常量多项式代换f(x，y)中每次出现的y²。例如，如果该曲线的定义方程是y²＝x³+ax+b那么y²可由x³+ax+b代换，其为y的常量。按需要这样运用多次，使得分子和分母中的y没有任何高于1的幂，换句话说，它们对y是线性的。修改的f(x，y)具有(a(x)+b(x)y)/(c(x)+d(x)y)这个形式，其中a、b、c和d是多项式函数，不与前面使用的这些变量混淆。通过用(c(x)-d(x)y)乘上端和下端可从分母中消去y，得出下端中c(x)²-d(x)² y²＝c(x)²-d(x)²(x³+ax+b)。分子中的y²也可消去。这样给出一种形式g(x)+h(x)y，其中g(x)和h(x)是x的有理函数。因为当e是自同态时有e(-P)＝-e(P)，因而对于曲线上的所有(x，y)，e(x，-y)＝-e(x，y)，因此g(x)+h(x)y＝g(x)-h(x)y，可证明h(x)＝0。因此现在我们得到r(x)为g(x)。显然用这种方法得到的r(x)是唯一的。

同样地，有理函数g(x，y)可表示为线性函数h(x)+yk(x)，其中h(x)和k(x)是x的有理函数，而通过相同的理由可显示h(x)＝0。这样意味着可确定k(x)，其提供一种得到(r(x)，cyr′(x))形式中的常量c方法。可选地，c可由对r(x)微分得到，并而后在某点P计算e而解出c。

每一自同态对椭圆曲线群有一作用，该椭圆曲线群对应于二次代数整数。二次代数整数z是复数，使得对于某整数u和v，有z²+uz+v＝0。如果e²+[u]z+[v]＝[0]，那么自同态e对应于该代数整数，其中如上所述，此处的加法是有理映射的相加。这时，我们可写e＝[z]，其中[]表示对应于有理整数的有理映射。

所有实数整数是二次代数整数，而自同态[m]对应于整数m。不是实数整数的二次代数整数是复数i，-1的平方根，其满足二次方程i²+1＝0。对于每一不是实数整数的二次代数整数，只有有限的具有自同态[z]的椭圆曲线。已知的结果给出确定这类曲线的理论程序，以及确定[z]为有理映射的方法。

通常，自同态e的次数是点P的数量，使得e(P)＝0。更确切地，这称为e的可分离次数。实际次数是可分次数和其他某些称为不可分次数的积。当e表示为其标准形式(r(x)，cyr′(x))时，r(x)的分子的次数是e的次数，而r(x)的分母的次数少1次。(这里我们假设r(x)的分子和分母是互质的)而且，对于e＝[z]，通常有e的次数为|z|²。例如，自同态[m]的次数因此为|m|²＝m²。

在传统椭圆曲线密码系统中，经常计算自同态[m]。数m代表私钥，而[m]P＝mP代表公钥。即使对于大m值，可有效计算函数[m]，比对出现在[m]的r(x)的分子和分母的完全展开多项式形式中的m²项求和快得多。此处关键的结果是可有效计算高次数的自同态。

下面例子列出了任意椭圆曲线上的每一可能的2次自同态。该列表完全等效于有理映射和椭圆曲线。这些选自Silverman的算术椭圆曲线高等概论(Silverman)。

首先是e＝[z]＝[1+i]，定义在曲线E上：

y²＝x³+x，则：

e (x, y) = (\frac{x^{2} + 1}{z^{2} x}, \frac{y (x^{2} - 1)}{z^{3} x^{2}})

注意z作为定义e的作用的有理函数出现，因此当E定义在含有对应于z的值的域F上时，仅定义e。(该注解也适用下面的两个自同态e)

第二是e＝[z]＝[√(-2)]，定义在E上：

y²＝x³+4x²+2x，则：

e (x, y) = (\frac{x^{2} + 4 x + 2}{z^{2} x}, \frac{y (x^{2} - 2)}{z^{3} x^{2}})

第三是e＝[z]＝[(1+√(-7))/2]，定义在E上：

y²＝x³-35x+98，则：

e (x, y) = (\frac{x^{2} + x (z^{2} - 2) - 7 {(1 - z)}^{4}}{z^{2} (x + z^{2} - 2)}, \frac{y ({(x + z^{2} - 2)}^{2} + 7 {(1 - z)}^{4})}{z^{3} {(x + z^{2} - 2)}^{2}})

发明内容

发明人公认可使用椭圆密码系统的属性获得TOWF，该TOWF提供有着减小的宽带的牢固的密码系统。

一方面，本发明提供一种在n阶椭圆曲线E上运算的密码系统。该密码系统具有与二次代数整数z相应的自同态[z]，该二次代数整数z满足z²+uz+v＝0，其中u和v是秘密整数，并且v与n是互质数；公钥运算，用于对加密数据x应用所述自同态[z]从而得到修改的数据x′；以及私钥运算，用于对修改的数据x′应用[-w]([u]+[z])从而得到数据x，其中w是整数，而wv＝1 mod n。

另一方面，本发明提供用于在密码系统中执行密码运算的方法，该密码系统在n阶椭圆曲线E上运算。该方法包括以下步骤：导出对应于二次代数整数z的自同态[z]，该二次代数整数z满足z²+uz+v＝0，其中u和v是秘密整数，并且v与n是互质数；利用自同态[z]对加密数据x应用公钥运算以便得到修改的数据x′；以及利用[-w][u]+[z]对修改的数据x′应用私钥运算以便得到数据x，其中w是整数，而wv＝1 mod n。

附图说明

现在将仅通过实例参照附图描述本发明的实施例，其中：

图1是密码交换方案的图示；

图2是显示了陷门单向函数的应用系统的图示；

图3是显示了图2中陷门单向函数用于加密的应用系统的图示；

图4是显示了图2中陷门单向函数用于数字签名的应用系统的图示；

图5是显示了图2中陷门单向函数用于聚合签名的应用系统的图示；

图6是一图示，示出了图2中陷门单向函数用于具有单个消息的聚合签名以及多个签名者的多重陷门单向函数的应用系统。

具体实施方式

因而参照图1，密码系统10具有经信道16通信的第一实体12和第二实体14。第一实体12和第二实体14各具有密码模块15，该密码模块将可用的公钥函数或私钥函数18应用于两个实体12、14。各实体12、14将利用带有TOWF的密钥函数18实现如上所述的加密/解密或签名/认证。

为了实现这种系统，必须确定具有对应的公钥函数和私钥函数的合适的TOWF。发明人已认识到利用二次代数整数z可得到合适的TOWF。然后找到曲线E和在E上定义[z]的有理映射。该有理映射[z]是TOWF。Z的明智选择将确保其有必要的密码属性，即：

(a)可有效计算[z]；

(b)难以反演[z]；

(c)从定义[z]的有理函数难以确定z；以及

(d)对z的了解使得可以基于某组椭圆曲线点反演[z]。

更一般而言，某人可以使用两个不同曲线E和E′之间的有理映射r。该有理映射可用作TOWF。然而，为了易于执行，使用E＝E′更方便。优选执行从E到E的有理映射。

因为每一有理映射(即从E到E)是平移和自同态的组合，其中平移易于确定和反演，有理映射最安全的部分是自同态。因而执行有理映射时优选自同态。

发明人已认识到，为了反演z计算陷门的逆的一种潜在方法是使用z的二次方程：z²+uz+v＝0，其中u和v是整数。该方程除以vz得出(z+u)/v+(1/z)＝0。从而(1/z)＝-(z+u)/v。此时，(1/z)通常不是二次代数整数。更准确地，如果z的次数大于1，那么(1/z)不是二次代数整数。因而，没有反演[z]的自同态。反而，有双重自同态(dualendomorphism)[z′]＝[-(z+u)]，其满足[z][z′]＝[v]。在特定域F中，椭圆曲线E的阶n有时可与v互质数，这意味着有一整数w使得wv＝1 mod n。这意味着对于定义在F上的E的点来说[w]用作[v]的逆。

这时，E(F)上[z]的作用(action)是通过自同态[w][z′]＝[-w(z+u)]可逆的。如果可有效找到[z]，那么[-w(z+u)]也是可能找到的。其可选表达式为[-w]([u]+[z])。

从而，可利用自同态[z]作为公钥运算以及关系[-w]([u]+[z])作为私钥运算。

整数u，v保持加密并且只对执行私用函数的实体可用。

应该了解这对域F是特定的并且对于定义在另一个域F′上的E是不正确的。定义在F上的E的点有时表示为E(F)以强调坐标在F之外的点不在考虑之中。

对于[z]为了是陷门单向函数，从[z]的公共定义确定u和v应该是计算上不可行的，否则其E(F)上的逆被有效计算为[-w]([u]+[z])。因而，需要给出不允许容易确定u和v的[z]的形式。

通过将[z]设为一对有理函数，认为不易确定u和v。典型地，第一坐标仅是x的函数，因此[z]有点为规范形式(r(x)，g(x，y))，然后计算r(x)的说明可潜在地暴露r(x)的分子的次数，尽管因大量的项而作为两个多项式的比的r(x)的完全展开可能是不可实行的。由于[z]的次数是v，[z]的说明有可能将暴露v。因而，为了确保[z]是单向陷门，重要的是确保也不暴露u，否则可如上所述将[z]反演。

根据Silverman，确定通用椭圆曲线的自同态环是非平凡问题。由于v和u本质上确定自同态环，基于(up to)整数因子，仅从椭圆曲线的说明确定v和u通常不可行。因而，根据单个复数自同态的说明，确定自同态环仍是非平凡问题，这似乎可信。尤其，这意味着根据作为一对有理函数的[z]的说明来确定u是非平凡问题，也似乎可信。

因而，应该选择z的次数使得其有适当大的阶。这样有助于确保利用关系u²＜4v不会耗尽所有的可能u值。这是从上面得出的，因为z必须为虚数复数。

[z]的一个可能构造基于下面结论。如上所述，如果e＝[z]＝(r(x)，cyr′(x))为m次，那么r(x)＝p(x)/q(x)，其中p和q分别是m和m-1次的多项式。e的核是m个点的集合，椭圆O＝Zi，Z₂，...，Z_m，使得对于j从1到m有e(Z_j)＝O。如果对于j从2到m，有Z_j＝(z_j，y_j)，那么可假定q(x)＝(x-z₂)(x-z₃)...(x-z_m)。而且，由于[z′][z]＝[m]，所以mZ_j＝O，其中当如上确定为mZ_j＝[m]Z_j＝[z′][z]Z_j＝[z′]O＝O时，z′是z的共轭。此外，e的核是椭圆曲线E中的阶m的子群，尽管不必须为E(F)的一部分。总体上，该椭圆曲线通常至少有m+1个此类子群。

接着，考虑含有点B＝(0，√b)的椭圆曲线。假定有某点W，使得[z]W＝B。对于j从1到m，让W_j＝W+Z_j。(注意W₁＝W+Z₁＝W+O＝W)。假定对于j从1到m，有W_j＝(wj，uj)。那么对于某常量d，有p(x)＝d(x-w₁)(x-w₂)...(x-w_m)。

注意p(x)＝d(x-w₁)u(x)，u(x)的根实质为q(x)的根的有理函数。当两个多项式的根具有像这种简单关系时，有多项式系数变换。例如，如果u(x)的根是q(x)的根的平方，那么u(x)＝q(√x)q(-√x)(-l)^deg q(x)。这样，可看到计算q(x)能够提供计算u(x)的方法。

应用上面结论，可以搜索某椭圆曲线E中的阶m的子群，其有限x坐标是低汉明权多项式q(x)的零点。最好具有低汉明权多项式q(x)，因为它们对计算有效。然后将找到如上所述的点W，如上概述，其允许人们有效计算分子p(x)。一旦算出p(x)和q(x)，那么可算出r(x)。

如下说明如何找到这种多项式p(x)、q(x)。注意如果Z_j在[z]的核中，那么-Z_j也在其中，并因此z_j可作为q(x)的二重根出现。假定q(x)有m次，m为质数。进一步假定m是Elkies质数，其确切含义不涉及下面讨论。这意味着对s(x)的(m-1)/2次多项式q(x)＝s(x)²，其为m次除法多项式(division polynomial)的因子。对椭圆曲线E(F)上的点计数的Schoof-Elkies-Atkin(SEA)算法包括找到s(x)形式多项式的步骤。通过递推方程找到多项式v(x)的系数。从而，构造这种多项式的方法是众所周知的。在SEA算法中，找到针对较小m值的这种s(x)，但对于本发明的目的，使m值增大有利。

另一种可能的方法是选择低汉明权的不可约分多项式s(x)。使z为其一个根，其中z是椭圆曲线E上某点的x坐标。该点可以具有有限阶m。通过应用Galois自同构，该有限阶将对s(x)的任何根z有效(hold)。如果这时来自s(x)的根的这些点是之内有界的，即它们形成E的子群，那么s(x)具有理想的形式。为此(For this to happen)，我们基本需要Galois自同构g和E上的点P使得g(P)＝2P。通过搜索g、P以及E，使得能够找到理想形式的多项式s(x)。实际中，因为只采用两个值之一，所以可忽略y坐标。

如果自同态的核只在点O与群E(F)相交，那么群E(F)上自同态e的作用是可逆的。这种情况下，自同态e是群E(F)的自同构。通常群E(F)是循环的，并在下面讨论中，我们假定群E(F)是循环的。如果e是n阶循环群的自同构，那么由发明人实现的算法确定整数d，使得e(G)＝dG，其中对于该群使用加号(additive notation)。该算法的代价取决于n-1的因式分解。公知n的随机值通常具有约为n^1/3的因子f。给定这个大小的因子，该算法可用f的常量多倍的方式确定d。这样比给出dG找d的通用算法快得多。通用算法采用n^1/2方式。

因而，最好群E(F)有n阶使得n-1没有接近n^1/3的因子。用这种方法选择n的可选方法是仅选择较大的n，以便攻击n^1/3的代价是考虑中的对手所无法达到的。例如，在80位安全级别，可选择这种较大的n以便使得n约为2²⁴⁰，并且在128位安全级别，可选择n使得n约为2³⁸⁴。然而，出于效率的理由，优选使用较小的n，而因此推测将采取必要的额外工作，以确保n-1的大小近似于n^1/3。

在图2中主要示出了使用自同态e的方式。第一实体12取一x值。其可从两个相应y值中任意选择一个。然后将应用公钥函数[z]作为有理映射e＝(r(x)，g(x，y))并计算e(x，y)从而得到某值(x′，y′)。这将是基本公钥运算。第二实体14接收消息(x′，y′)并接着应用e^-1从而得到值(x，y)。这将是基本私钥运算[-w]([u]+[z])。注意如果y改为-y，y′改为-y′，但不影响x′和x。因而实际上差不多可以忽略y。

如图3中所示将此方法用于加密，第一实体12通过应用公钥函数[z]设定x为明码以及x′为密码。公钥加密的公知复杂方法通常对明码x进行一些随机化填充，以便尤其对相同明码的重复加密给出不同密码。第二实体14利用私钥函数对密码x′解密从而得到明码x。

如图4中所示将此方法用于签名，第二实体将x′设定为有待签名的消息，并且通过应用私钥函数计算作为签名的x。通常使用一定的散列来创建来自较长消息的x′，这是数字签名的标准方法。第一实体12使用公钥运算e来确认e(x，y)＝(x′，y′)。散列函数是单向的，因此第一实体不能从(x，y)开始伪造签名以及应用e得到(x′，y′)，因为下一步将找到消息M，使得x′＝Hash(M)，对于单向散列函数这被认为不可实行。

如果反演[z]的问题与E中离散对数问题一样难，那么密码群的大小可以小于用于RSA TOWF的群。例如，粗略认为3072位RSA系数与定义在256位域上的椭圆曲线一样安全。认为两种目标的安全级别都是128位，这是目前经互联网使用最广泛的商业级安全级别，例如网上银行业务。椭圆曲线陷门单向函数[z]，签名x或基本密码x′的大小是256位，但对于RSA大小为3072位。

与传统椭圆曲线密码编码系统(ECC)相比，256位椭圆曲线的签名大约长512位，其为椭圆曲线TOWF的签名大小的两倍。对于加密可能有类似的节省。

在另一个实施例和本发明的应用中，TOWF应用于签名或密码的聚合。下面将解释签名，但应该了解密码的细节完全类似。

签名聚合意指单个签名表示由单个签名者签名的多个消息，或由多个签名者签名的单个消息，或由多个签名者签名的多个消息。

现在参照图5，为了对t个消息m₁、m₂、...、m_t签名，签名者(例如，第一实体12)对每个消息进行散列并且将每个散列转换为椭圆曲线点，产生(yield)t个点P₁、...、P_t，而后加起来从而产生一点P＝P₁+...+P_t。而后签名者应用反函数e^-1从而得到签名S＝e^-1(P)，其为对于多个消息的单个消息。而后另一个实体(例如，第二实体14)的认证包括对消息进行散列、将每个散列转换为一点、求和得到整个P，而接着通过检验是否e(S)＝P将公钥18运算e应用于S。这样做相比于仅并联这些消息的做法的优势在于，因为签名是加性的，为希望改变部分消息的签名者实现较大的灵活性。

上述程序不强制对个体消息部分签名的顺序，即签名认证和由相同实体签名的一组(无序)签名有关。然而应该注意，假如通过认证实体可取回或导出个体纯量倍数(scalar multiples)(“权”)，该程序可易于概括为个体签名的加权和，而非个体签名部分S₁、...、S_t的和。这将允许在这t个消息的签名过程中规定顺序，通过使权数依赖于可应用的顺序。

现在参照图6，如果t个不同的签名者(例如，集体第一实体12)使用相同的椭圆曲线群，并且具有不同的TOWF e₁、...、e_t，那么它们可以如下形成单个消息的聚合签名。为了签名消息m，第一实体12的第一个签名者计算消息的散列并且将该散列转换为椭圆曲线点P。接着它们(即第一实体12的所有签名者)通过每个应用其私钥运算共同计算e^t(e_t-1 ^-1(...(e₁ ^-1(P))))，其中由实体1、2、...、t按顺序进行签名。认证(例如，由第二实体14)包括按相反的顺序应用各相应的公钥18操作，并检验合成点P(resulting point)是否对应于被签名消息m的散列值。

通常，椭圆曲线自同态交换(commut)，因此由多个实体对单个消息签名的顺序好像不相关。然而应该注意，该程序易于一般化使得在签名过程中强制顺序。如下所述可实现这一点，例如，通过使每个签名实体向被计算的签名施加一个偏移。

假定由实体i在点P的个体签名是e_i ^-1(P+A_i)，其中椭圆曲线点A_i对实体i是唯一的。那么通过对m进行散列和将该散列转换为椭圆曲线点P(如前)，可得到实体1、2、...、t对消息m的有序聚合签名，并随后使各签名实体在合成值上应用其自己的签名操作。这样导致S₁＝e₁ ^-1(P+A₁)，S₂＝e₂ ^-1(S₁+A₂)，...，S_t＝e_t ^-1(S_t-1+A_t)，其中S_t是合成聚合签名。假如个体偏移(individual offsets)A₁、...、A_t可通过认证实体取回或导出，并且取决于计算顺序S_t-1＝e_t(S_t)-A_t，S_t-2＝e_t(S_t-1)-A_t-1，...，S₁＝e₂(S₂)-A₂，P＝e₁(S₁)-A₁以及检验椭圆曲线点P是否对应于被签名的消息m的散列值，现在签名认证是上述程序的细微修正(trivial modification)，。

上面描述了原始方案的修正，从而利用偏移A_i强制签名过程的顺序，其中每个偏移A_i对各签名实体是唯一的。应明白在此其可以有变化，例如定义S_i＝e_i ^-1(f(P，i))而非S_i＝e_i ^-1(P+A_i)，其中f是E上的映射，属性为可从f(P，i)以及与签名实体i相关的公共信息有效重新计算P。多个实体对单个消息的有序签名对签定(signing off)例如大机构中的项目有用，其中要求多个签名并且项目需要由所涉及的授权方以特别分级顺序(例如，颠倒)签定。

尽管参照一定的特定实施例描述了本发明，对本领域技术人员来说其多种修改是显然的，而不脱离如其所附权利要求概括的本发明实质和范围。通过引用将上面所引用的所有参考文献的整个公开内容并入此处。

Claims

1.在n阶椭圆曲线E上运算的密码系统，所述密码系统包括对针对第二通信端的数据进行密码处理的第一通信端，所述第一通信端包括第一密码模块，所述第一密码模块：

具有与二次代数整数z相应的基于群的自同态[z]，所述二次代数整数z满足z²+uz+v＝0，其中u和v是秘密整数，并且v与n是互质数，所述密码模块被配置为：

将所述自同态[z]标识为公钥运算；

确定私钥运算[-w]([u]+[z])，其中w是整数，wv＝1 mod n，[-w]是对应于-w的自同态，[u]是对应于u的自同态；

获得要进行密码处理的数据x；

对所述数据x应用所述公钥运算和所述私钥运算之一，从而得到修改的数据x′；以及

将所述修改的数据x′提供给所述密码系统中的所述第二通信端，以使所述第二通信端处的第二密码模块能够使用所述公钥运算和所述私钥运算中的另一个来对所述修改的数据x′进行互补密码运算。

2.根据权利要求1所述的密码系统，其特征在于，所述整数z是具有实部和虚部的复数。

3.根据权利要求1所述的密码系统，其特征在于，所述自同态[z]表现为有理映射。

4.根据权利要求1所述的密码系统，其特征在于，所述密码数据x包括消息m，所述第一密码模块进行的所述公钥运算对所述消息m进行加密从而得到加密消息m′，以及所述第二密码模块应用的所述私钥运算对所述加密消息m′进行解密从而得到所述消息m。

5.根据权利要求1所述的密码系统，其特征在于，所述修改的数据x′包括要签名的消息m，所述第一密码模块对所述消息m应用所述私钥运算从而得到签名s，以及所述互补运算包括对所述签名s的所述公钥运算从而认证所述签名。

6.根据权利要求5所述的密码系统，其特征在于，所述消息m由所述第二通信端应用于原始消息M的散列函数生成。

7.根据权利要求1所述的密码系统，其特征在于，所述密码数据x包括多个消息，以便接收所述第一通信端的签名，所述第一通信端对所述多个消息的组合应用所述私钥运算从而得到所述签名，以及由所述第二通信端使用所述公钥运算，从而认证所述签名，并由此认证所述多个消息的每一个消息。

8.用于密码系统中的第一通信端对针对第二通信端的数据进行密码处理的方法，所述密码系统在n阶椭圆曲线E上运算，所述第一通信端具有与二次代数整数z相应的基于群的自同态[z]，所述二次代数整数z满足z²+uz+v＝0，其中u和v是秘密整数，并且v与n是互质数，所述方法包括以下步骤：

将所述自同态[z]标识为公钥运算；

获得要进行密码处理的数据x；

将所述修改的数据x′提供给所述密码系统中的所述第二通信端，以使所述第二通信端能够使用所述公钥运算和所述私钥运算中的另一个来对所述修改的数据x′进行互补密码运算。

9.根据权利要求8所述的方法，其特征在于，所述整数z是具有实部和虚部的复数。

10.根据权利要求8所述的方法，其特征在于，所述自同态[z]表现为有理映射。

11.根据权利要求8所述的方法，其特征在于，所述密码数据x包括消息m，应用所述公钥运算对所述消息m加密从而得到加密消息m′，以及所述第二密码模块应用所述私钥运算从所述加密消息m′中解密出所述消息m。

12.根据权利要求8所述的方法，其特征在于，所述修改的数据x′包括要签名的消息m；所述方法包括应用所述私钥运算对所述消息m运算从而得到签名s，以及所述互补运算包括对所述签名s的所述公钥运算从而认证所述签名s。

13.根据权利要求12所述的方法，其特征在于，所述消息m由所述第二通信端应用于原始消息M的散列函数生成。

14.根据权利要求8所述的方法，其特征在于，所述密码数据x包括多个消息，以便接收签名，所述私钥运算对所述多个消息的组合运算从而得到所述签名，以及所述公钥运算对所述签名运算从而认证所述签名，并由此认证所述多个消息的每一个消息。

15.根据权利要求8所述的方法，其特征在于，所述数据x包括将由多个签名者签名的消息，所述私钥运算包括对应于所述多个签名者中的每一个的多个运算，对所述消息连续应用所述多个运算从而得到签名，所述公钥运算包括对应于所述多个签名者中的每一个的多个对应运算，按相反的顺序对与所述多个签名者中的每一个相对应的所述多个运算连续应用所述多个对应运算，从而认证所述签名。