CN101842824A - 配对计算装置、配对计算方法以及记录配对计算程序的记录媒体 - Google Patents

Abstract

本发明涉及能够实现高速配对计算的配对计算装置、配对计算方法、以及记录配对计算程序的记录媒体。在如同[式1]对Ate配对e(Q，P)进行定义并且k为偶数、3的倍数、4的倍数和6的倍数之一的情形下，在扭曲曲线所规定的真子域上，采用在取f_s，Q(P)的(q^k-1)/r次幂的情形下变为1的平方和立方非剩余v来进行导出米勒函数f_s，Q(P)时所需要的有理函数的运算。

Description

配对计算装置、配对计算方法以及记录配对计算程序的记录媒体

技术领域

本发明涉及能够实现高速配对计算的配对计算装置、配对计算方法、以及记录配对计算程序的记录媒体。

背景技术

近年来，因为已经能够以低价格利用高速电信线路，所以，已经能够在诸如互联网等网络上提供各种服务，比如音乐或视频的分配、网上银行、以及向行政机关的电子申请等。

此外，企业的商业模式已经变化，使得能够使用诸如笔记本电脑或手机等所谓的移动终端从外部访问公司的服务器以输入或得到各种信息。

尤其在日本，将手机用作与网络的连接终端的服务是令人满意的，使得更加可能出现所谓的无处不在的社会，在这种社会中，用户能够从任何地方访问需要的网络以得到各种信息或使用服务。

在以这种方式访问网络以得到各种信息或利用服务时，通过由安装有所需要的认证模块的认证服务器执行认证处理，并且将已经访问网络的用户认证为事先注册的特定用户之一，能够得到信息或利用服务。

尤其在近年，使用数字签名技术，通过保证所处理的信息不被第三者修改并且不泄露给第三者，已经能够在网络上安全地处理甚至是高度机密的信息，因此，积极地使用网络已变得很普及。

然而，在这种数字签名中，因为个人用户被识别，所以，基于认证服务器中的认证处理，将用户的历史数据作为信息加以积累。这种历史信息是一种私人信息，因此，存在保护私人信息的问题。

因此，已经提出使用从数字签名扩展出的数字群签。在使用数字群签的情形下，用户向认证服务器匿名发送仅用来识别用户属于特定群的签名数据，然后，认证服务器在不识别个人用户的情形下基于所接收的签名数据认证用户属于规定的群。因此，不但能够防止在认证服务器上累积各个用户使用状况的历史信息，也能阻止不属于该群的用户的不正当使用。

这里，在数字群签的匿名认证中已经使用配对计算。在配对计算中，使用两个输入一个输出的函数进行运算。其优点在于，例如，使P为素数域F_q上的有理点并使Q为k次有限扩张域F_q ^k，在P与Q配对输入并且有限扩张域

中的元素z输出的情形下，当P的a倍和Q的b倍输入时，算得z的ab次幂。这种特性称作双线性。另外，此处，“k”称作嵌入级数，

应正确显示如下，但是由于显示的限制，其被表示为

[式13]

$F_{q^k}^{*}$

通常，将椭圆曲线上的点分别用作有理点P和Q。这样的椭圆曲线上的配对计算包括使用米勒算法进行运算的步骤和最终求幂时进行运算的步骤。

例如，在群包含10000个成员的数字群签中，一种现有的方法是，当数字群签进行验证时，为了能够灵活应对每个成员的访问权的有效和失效，对权利失效成员进行配对计算。在这种情形中，假设100个成员权利失效，就需要100次配对计算。由于目前一般的电子计算机进行一次配对计算需要大约0.1秒，100次配对计算就需要10秒，因此，在大规模的数字群签系统中使用配对计算是不实际的。

因此，已经进行了各种开发，以提高配对计算速度。例如，已经提出了在有限域上的椭圆曲线上定义配对计算的加速技术(例如，参见专利文献1)。

专利文献1：日本特开2005-316267号公报

发明内容

然而，目前提出的配对计算的加速技术，尚未达到适于在大规模数字群签中使用的速度，因此，存在必须限制数字群签的成员数目的问题。

鉴于现状，本发明人对配对计算的加速进行研究并作出了本发明。

根据本发明的第一方面，提供了一种配对计算装置，其中，给定为圆曲线方程y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{2h}/{\left({{F^{*}}_q}^{2h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式14]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{2h}-1)/r}$

计算Ate配对e(Q，P)，配对计算装置的特征在于，在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-2x+bv^-3的真子域上，采用通过取f_s，Q(P)的(q^2h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算。

特别地，配对计算装置的特征在于包括：

接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的输入单元；

对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1、m←y_pv^-3/2以及进行代入运算f←1、T’←Q’的代入单元；

不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/2，并进行代入运算f←f²·l_T’，T’(n，m)的第一运算单元；

进行代入运算T’←2T’的第二运算单元；

在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/2，并进行代入运算f←f·l_T’，Q’(n，m)的第三运算单元；

在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的第四运算单元；以及

进行取(q^2h-1)/r次幂的取幂运算的第五运算单元。

根据本发明的第二方面，提供了一种配对计算装置，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为3h(h：自然数)，使E为由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{3h}/{\left({{F^{*}}_q}^{3h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式15]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{3h}-1)/r}$

计算Ate配对e(Q，P)，配对计算装置的特征在于，在基于E(F_q ^h)的扭曲曲线E’(E_q ^h)：y²＝x³+av^-1的真子域上，采用通过取f_s，Q(P)的(q^3h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算。

特别地，配对计算装置的特征在于包括：

接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的输入单元；

对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2并进行代入运算f←1、T’←Q’的代入单元；

不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的第一运算单元；

进行代入运算T’←2T’的第二运算单元；

在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的第三运算单元；

在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的第四运算单元；以及

进行取(q^3h-1)/r次幂的取幂运算的第五运算单元。

根据本发明的第三方面，提供了一种配对计算装置，其中，椭圆曲线方程给定为y²＝x³+ax，a∈F_q(q：大于3的素数的幂)，使嵌入级数为4h(h：自然数)，q^h-1可被4除尽，使E为由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{4h}/{\left({{F^{*}}_q}^{4h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式16]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{4h}-1)/r}$

计算Ate配对e(Q，P)，配对计算装置的特征在于，在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1x的真子域上，采用通过取f_s，Q(P)的(q^4h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算。

特别地，配对计算装置的特征在于包括：

接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的输入单元；

对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/2、m←y_pv^-3/4并进行代入运算f←1、T’←Q’的代入单元；

不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/4，并进行代入运算f←f²·l_T’，T’(n，m)的第一运算单元；

进行代入运算T’←2T’的第二运算单元；

在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/4，并进行代入运算f←f·l_T’，Q’(n，m)的第三运算单元；

在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的第四运算单元；以及

进行取(q^4h-1)/r次幂的取幂运算的第五运算单元。

根据本发明的第四方面，提供了一种配对计算装置，其中，程给定椭圆曲线方y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，使E为由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{6h}{\left({{F^{*}}_q}^{6h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式17]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{6h}-1)/r}$

计算Ate配对e(Q，P)，配对计算装置的特征在于包括：在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1的真子域上，采用通过取f_s，Q(P)的(q^6h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算。

特别地，配对计算装置的特征在于包括：

接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的输入单元；

对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2并进行代入运算f←1、T’←Q’的代入单元；

不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的第一运算单元；

进行代入运算T’←2T’的第二运算单元；

在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程为l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的第三运算单元；

在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的第四运算单元；以及

进行取(q^6h-1)/r次幂的取幂运算的第五运算单元。

根据本发明的第五方面，提供了一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{2h}/{\left({{F^{*}}_q}^{2h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式18]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{2h}-1)/r}$

计算Ate配对e(Q，P)，配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^2h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-2x+bv^-3，其特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1、m←y_pv^-3/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^2h-1)/r次幂的取幂运算的步骤。

根据本发明的第六方面，提供了一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为3h(h：自然数)，使E为由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{3h}/{\left({{F^{*}}_q}^{3h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式19]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(3^{3h}-1)/r}$

计算Ate配对e(Q，P)，配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^3h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，其特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^3h-1)/r次幂的取幂运算的步骤。

根据本发明的第七方面，提供了一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+ax，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为4h(h：自然数)，q^h-1可被4除尽，使E为由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{4h}/{\left({{F^{*}}_q}^{4h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式20]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{4h}-1)/r}$

计算Ate配对e(Q，P)，配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^4h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1x，其特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/2、m←y_pv^-3/4的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/4，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/4，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^4h-1)/r次幂的取幂运算的步骤。

根据本发明的第八方面，提供了一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，使E为由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{6h}/{\left({{F^{*}}_q}^{6h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式21]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{6h}-1)/r}$

计算Ate配对e(Q，P)，配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^6h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，其特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^6h-1)/r次幂的取幂运算的步骤。

根据本发明的第九方面，提供了一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{2h}/{\left({{F^{*}}_q}^{2h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式22]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{2h}-1)/r}$

计算Ate配对e(Q，P)，配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^2h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-2x+bv^-3，其特征还在于使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1、m←y_pv^-3/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^2h-1)/r次幂的取幂运算的步骤。

根据本发明的第十方面，提供了一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为3h(h：自然数)，使E为由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{3h}/{\left({{F^{*}}_q}^{3h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式23]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{3h}-1)/r}$

计算Ate配对e(Q，P)，配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^3h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，其特征还在于使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^3h-1)/r次幂的取幂运算的步骤。

根据本发明的第十一方面，提供了一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+ax，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为4h(h：自然数)，q^h-1可被4除尽，使E为由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{4h}/{\left({{F^{*}}_q}^{4h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式24]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{4h}-1)/r}$

计算Ate配对e(Q，P)，

配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^4h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1x，其特征还在于使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/2、m←y_pv^-3/4的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/4，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/4，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^4h-1)/r次幂的取幂运算的步骤。

根据本发明的第十二方面，提供了一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，使E为由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

e： $G_2\×G_1\→{{F^{*}}_q}^{6h}/{\left({{F^{*}}_q}^{6h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式25]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{6h}-1)/r}$

计算Ate配对e(Q，P)，

配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^6h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，其特征还在于使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^6h-1)/r次幂的取幂运算的步骤。

本发明在进行配对计算时，通过使用扭曲曲线在较低次的真子域上进行导出f_s，Q(P)时所需要的有理函数的运算，来减少运算负担，从而能够使配对计算加速。

附图说明

图1是现有的米勒算法的说明图；

图2是本发明的米勒算法的说明图；

图3是本发明的配对计算程序的流程图；

图4是本发明的实施例的配对计算装置的框图。

标号说明

10电子计算机

11 CPU

12存储单元

13存储器

14总线

15输入输出控制部

20电信线路

30客户装置

具体实施方式

根据本发明的配对计算装置、配对计算方法、以及配对计算程序，配对计算包括使用米勒算法进行运算的步骤和进行最终的取幂运算的步骤，在配对计算中通过加速使用米勒算法的运算，实现高速计算，。

米勒算法是图1中所示的公知算法。假设椭圆曲线方程给定为y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，米勒算法采用弗罗贝尼乌斯自同态Φ_q的迹输入s＝t-1、使P∈E(F_q)，Q∈E(F_q ^2h)，并且输出f_s，Q(P)。

另外，嵌入级数不限于偶数。在嵌入级数为3的倍数的情形下，希望椭圆曲线方程给定为y²＝x³+a，a∈F_q(q：大于3的素数的幂次)，使嵌入级数为3h(h：自然数)，并且采用由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群。

此外，尤其在嵌入级数为4的倍数的情形下，希望椭圆曲线方程给定为y²＝x³+ax，a∈F_q(q：大于3的素数的幂)，使嵌入级数为4h(h：自然数)，q^h-1可被4除尽，并且采用由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群。

此外，尤其在嵌入级数为6的倍数的情形下，希望椭圆曲线方程给定为y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，并且采用由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群。

在图1中所示的米勒算法的第一个步骤中，进行代入运算f←1、T←Q，并且基于第二个步骤中的迭代条件对下面的运算进行迭代。在第二个步骤中，具体地，对s进行二进制表示所得到的位数被设定为i的初始值，通过每进行一次迭代运算对i减1来控制迭代次数。第五个步骤中的s[i]表示从二进制表示的s的最低位开始的第i位的值，并且s[i]为“0”和“1”中的任一个。

在图1所示的米勒算法的第三个步骤中，进行将有理点P的坐标(x_p，y_p)代入经过有理点T的切线l_T，T(x，y)＝0左侧而得到l_T，T(x_p，y_p)的值的运算。在第四个步骤中，进行椭圆曲线加倍T←2T。

在图1所示的米勒算法的第五个步骤中，确定在对s进行二进制表示的情形下位值s[i]是否为1，在位值s[i]为1的情形下，在第六个步骤中，进行将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线l_T，Q(x，y)＝0左侧的而得到l_T，Q(x_p，y_p)的值的运算。在第七个步骤中，进行椭圆曲线相加T←T+Q。

在图1所示的米勒算法的第十个步骤中，基于第二个步骤中的迭代条件对运算进行迭代，并将运算结果输出。在配对计算中，最终，对从米勒算法输出的运算结果f_s，Q(P)进行取(q^2h-1)/r次幂的取幂运算。

另外，在嵌入级数为3的倍数的情形下，最终取(q^3h-1)/r次幂；在嵌入级数为4的倍数的情形下，最终取(q^4h-1)/r次幂；在嵌入级数为6的倍数的情形下，最终取(q^6h-1)/r次幂。

下面，说明第三个步骤中的l_T，T(x_p，y_p)和第五个步骤中的l_T，Q(x_p，y_p)的运算方法。此处，使嵌入级数为偶数，即，2h(h：自然数)，并且使椭圆曲线为y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)。

使T＝(x_T，y_T)，并使Q＝(x_Q，y_Q)，由以下方程给定l_T，T(x_p，y_p)的梯度λ_T，T和l_T，Q(x_p，y_p)的梯度λ_T，Q。

[式26]

${\mathrm{\λ}}_{T,T}=\frac{{3x}_T^2+a}{2y_T}$

[式27]

${\mathrm{\λ}}_{T,Q}=\frac{y_Q-y_T}{x_Q-x_T},(T\≠Q)$

如下使用梯度λ_T，Q计算l_T，Q(x_p，y_p)的值。

[式28]

l_T，Q(x_p，y_p)＝(x_P-x_T)λ_T，Q-(y_P-y_T)

尽管通常采用[式26]和[式27]在E(F_q ^2h)上进行计算，但是，在嵌入级数为偶数即2h(h：自然数)并且给定椭圆曲线y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)的情形下，存在E(F_q ^h)的扭曲曲线，即E’(F_q ^h)：y²＝x³+av^-2x+bv^-3，v∈F_q ^h，并且存在从E’(F_q ^h)到E(F_q ^2h)的自同态(x，y)→(xv，yv^3/2)。此处，新参数v为平方非剩余元素，其通过取(q^2h-1)/r次幂而变为1。

因此，能够将E(F_q ^2h)[r]上进行椭圆曲线加法运算替换为在具有1/2扩大次数的E’(F_q ^h)[r]上进行的椭圆曲线加法运算，因此，能够降低运算负担并进行高速计算。

尤其，由于关于有理点T、Q∈E(F_q ^2h)，在E’(F_q ^h)上存在使关系T＝(x_T，y_T)＝(x_T’v，y_T’v^3/2)、Q＝(x_Q，y_Q)＝(x_Q’v，y_Q’v^3/2)成立的有理点T’、Q’，所以，首先，l_T，T(x，y)的梯度λ_T，T和l_T，Q(x_p，y_p)的梯度λ_T，Q变换如下。

[式29]

${\mathrm{\λ}}_{T,T}=\frac{{3x}_T^2+a}{{2y}_T}=\frac{({3x}_{T^{\′}}^2+{\mathrm{av}}^{-2})v^2}{2y_{T^{\′}}{v}^{3/2}}={\mathrm{\λ}}_{T^{\′},T^{\′}}{v}^{1/2}$

[式30]

${\mathrm{\λ}}_{T,Q}=\frac{y_Q-y_T}{x_Q-x_T}=\frac{(y_{Q^{\′}}-y_{T^{\′}})v^{3/2}}{(x_{Q^{\′}}-x_{T^{\′}})v}={\mathrm{\λ}}_{T^{\′},Q^{\′}}{v}^{1/2},(T\≠Q)$

对于T＝Q、T≠Q，梯度λ_T，Q分别由[式29]和[式30]变为

[式31]

λ_T，Q＝λ_T′，Q′v^1/2。

因此，由[式31]，[式28]变为

[式32]

$l_{T,Q}(x_p,y_p)=(x_P-x_T){\mathrm{\λ}}_{T,Q}-(y_P-y_T)$

$=(x_P-x_{T^{\′}}v){\mathrm{\λ}}_{T^{\′},Q^{\′}}{v}^{1/2}-(y_P-y_{T^{\′}}{v}^{3/2})$

$=((x_P{v}^{-1}-x_{T^{\′}}){\mathrm{\λ}}_{T^{\′},Q^{\′}}-(y_P{v}^{-\frac{3}{2}}-y_{T^{\′}}))v^{3/2}$

$=l_{T^{\′},Q^{\′}}(x_P{v}^{-1},y_P{v}^{-3/2})v^{3/2}$

因为[式32]的最后部分v^3/2在配对计算中通过最后的取(q^2h-1)/r次幂的运算变为1，所以，当在米勒算法中计算l_T，Q(x_p，y_p)时，不计算l_T，Q(x_p，y_p)，而在真子域上计算l_T′，Q′(x_Pv^-1，y_Pv^-3/2)就足够了，因此，能够显著降低运算负担。

即，给定椭圆曲线方程y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射e：

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式33]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{2h}-1)/r}$

计算Ate配对e(Q，P)，

在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-2x+bv^-3的真子域上，采用通过取f_s，Q(P)的(q^2h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数l_T，T(x_p，y_p)和l_T，Q(x_p，y_p)的运算，即l_T’，T’(x_pv^-1，y_pv^-3/2)和l_T’，Q’(x_pv^-1，y_pv^-3/2)的运算。因此，能够降低运算负担并进行高速运算。

在嵌入级数为3的倍数，即3h(h：自然数)，并且椭圆曲线给定为y²＝x³+a，a∈F_q(q：大于3的素数的幂)的情形下，存在E(F_q ^h)的扭曲曲线，即E’(F_q ^h)：y²＝x³+av^-1，v∈F_q ^h，并且存在从E’(F_q ^h)到E(F_q ^3h)的自同态，即(x，y)→(xv^1/3，yv^1/2)。此处，新参数v为平方和立方非剩余元素，其通过取(q^3h-1)/r次幂而变为1。

因此，能够将在E(F_q ^3h)[r]上进行椭圆曲线加法运算替换为在具有1/3扩大次数的E’(F_q ^h)[r]上进行的椭圆曲线加法运算，因此，能够降低运算负担并进行高速计算。

尤其，由于关于有理点T、Q∈E(F_q ^3h)，在E’(F_q ^h)上存在使关系T＝(x_T，y_T)＝(x_T’v^1/3，y_T’v^1/2)、Q＝(x_Q，y_Q)＝(x_Q’v^1/3，y_Q’v^1/2)成立的有理点T’、Q’，所以，首先，l_T，T(x，y)的梯度λ_T，T和l_T，Q(x_p，y_p)的梯度λ_T，Q变换如下。

[式34]

${\mathrm{\λ}}_{T,T}=\frac{{3x}_T^2}{{2y}_T}=\frac{{3x}_{T^{\′}}^2{v}^{2/3}}{{2y}_{T^{\′}}{v}^{1/2}}={\mathrm{\λ}}_{T^{\′},T^{\′}}{v}^{1/6}$

[式35]

${\mathrm{\λ}}_{T,Q}=\frac{y_Q-y_T}{x_Q-x_T}=\frac{(y_{Q^{\′}}-y_{T^{\′}})v^{1/2}}{(x_{Q^{\′}}-x_{T^{\′}})v^{1/3}}={\mathrm{\λ}}_{T^{\′},Q^{\′}}{v}^{1/6},(T\≠Q)$

对于T＝Q、T≠Q，梯度λ_T，Q分别由[式34]和[式35]变为

[式36]

λ_T，Q＝λ_T′，Q′v^1/6

因此，由[式36]，[式28]变为

[式37]

$l_{T,Q}(x_p,y_p)=(x_P-x_T){\mathrm{\λ}}_{T,Q}-(y_P-y_T)$

$=(x_P-x_{T^{\′}}{v}^{1/3}){\mathrm{\λ}}_{T^{\′},Q^{\′}}{v}^{1/6}-(y_P-y_{T^{\′}}{v}^{1/2})$

$=((x_P{v}^{-1/3}-x_{T^{\′}}){\mathrm{\λ}}_{T^{\′},Q^{\′}}-(y_P{v}^{-\frac{1}{2}}-y_{T^{\′}}))v^{1/2}$

$=l_{T^{\′},Q^{\′}}(x_P{v}^{-1/3},y_P{v}^{-1/2})v^{1/2}$

因为[式37]的最后部分v^1/2在配对计算中通过最后的取(q^3h-1)/r次幂的运算变为1，所以，当在米勒算法中计算l_T，Q(x_p，y_p)时，不计算l_T，Q(x_p，y_p)，而在真子域上计算l_T′，Q′(x_Pv^-1/3，y_Pv^-1/2)就足够了，因此，能够显著降低运算负担。

即，椭圆曲线方程给定为y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为3h(h：自然数)，使E为由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射e：

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式38]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{3h}-1)/r}$

计算Ate配对e(Q，P)，

利用在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1的真子域上，采用通过取f_s，Q(P)的(q^3h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数l_T，T(x_p，y_p)和l_T，Q(x_p，y_p)的运算，即l_T’，T’(x_pv^-1/3，y_pv^-1/2)和l_T’，Q’(x_pv^-1/3，y_pv^-1/2)的运算。因此，能够降低运算负担并进行高速运算。

在嵌入级数为4的倍数，即4h(h：自然数)，并且椭圆曲线给定为y²＝x³+ax，a∈F_q，q^h-1可被4除尽(q：大于3的素数的幂)的情形下，存在E(F_q ^h)的扭曲曲线，即E’(F_q ^h)：y²＝x³+av^-1x，v∈F_q ^h，并且存在从E’(F_q ^h)到E(F_q ^4h)的自同态，即(x，y)→(xv^1/2，yv^3/4)。此处，新参数v为平方和立方非剩余，其通过自身取(q^4h-1)/r次幂而变为1。

因此，能够将在E(F_q ^4h)[r]上进行椭圆曲线加法运算替换为在具有1/4扩大次数的E’(F_q ^h)[r]上进行的椭圆曲线加法运算，因此，能够降低运算负担并进行高速计算。

尤其，由于关于有理点T、Q∈E(F_q ^4h)，在E’(F_q ^h)上存在使关系T＝(x_T，y_T)＝(x_T’v^1/2，y_T’v^3/4)、Q＝(x_Q，y_Q)＝(x_Q’v^1/2，y_Q’v^3/4)成立的有理点T’、Q’，所以，首先，l_T，T(x，y)的梯度λ_T，T和l_T，Q(x_p，y_p)的梯度λ_T，Q变换如下。

[式39]

${\mathrm{\λ}}_{T,T}=\frac{{3x}_T^2+a}{{2y}_T}=\frac{({3x}_{T^{\′}}^2+{\mathrm{av}}^{-1})v}{{2y}_{T^{\′}}{v}^{3/4}}={\mathrm{\λ}}_{T^{\′},T^{\′}}{v}^{1/4}$

[式40]

${\mathrm{\λ}}_{T,Q}=\frac{y_Q-y_T}{x_Q-x_T}=\frac{(y_{Q^{\′}}-y_{T^{\′}})v^{3/4}}{(x_{Q^{\′}}-x_{T^{\′}})v^{1/2}}={\mathrm{\λ}}_{T^{\′},Q^{\′}}{v}^{1/4},(T\≠Q)$

对于T＝Q、T≠Q，梯度λ_T，Q分别由[式39]和[式40]变为

[式41]

λ_T，Q＝λ_T′，Q′v^1/4。

因此，由[式41]，[式28]变为

[式42]

l_T，Q(x_p，y_p)＝(x_P-x_T)λ_T，Q-(y_P-y_T)

             ＝(x_P-x_T′v^1/2)λ_T′，Q′v^1/4-(y_P-y_T′v^3/4)

             ＝((x_Pv^-1/2-x_T′)λ_T′，Q′-(y_Pv^-3/4-y_T′))v^3/4

             ＝l_T′，Q′(x_Pv^-1/2，y_Pv^-3/4)v^3/4

因为[式42]的最后部分v^3/4在配对计算中通过最后的取(q^4h-1)/r次幂的运算变为1，所以，当在米勒算法中计算l_T，Q(x_p，y_p)时，不计算l_T，Q(x_p，y_p)，而在真子域上计算l_T′，Q′(x_Pv^-1/2，y_Pv^-3/4)就足够了，因此，能够显著降低运算负担。

即，椭圆曲线方程给定为y²＝x³+ax，a∈F_q(q：大于3的素数的幂)，使嵌入级数为4h，q^h-1可被4除尽(h：自然数)，使E为由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射e：

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式43]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{4h}-1)/r}$

计算Ate配对e(Q，P)，

在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1x的真子域上，采用通过取f_s，Q(P)的(q^4h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数l_T，T(x_p，y_p)和l_T，Q(x_p，y_p)的运算，即l_T’，T’(x_pv^-1/2，y_pv^-3/4)和l_T’，Q’(x_pv^-1/2，y_pv^-3/4)的运算。因此，能够降低运算负担并进行高速运算。

在嵌入级数为6的倍数，即6h(h：自然数)，并且椭圆曲线给定为y²＝x³+a，a∈F_q(q：大于3的素数的幂)的情形下，存在E(F_q ^h)的扭曲曲线，即E’(F_q ^h)：y²＝x³+av^-1，v∈F_q ^h，并且存在从E’(F_q ^h)到E(F_q ^6h)的自同态，即(x，y)→(xv^1/3，yv^1/2)。此处，新参数v为平方和立方非剩余元素，其通过取(q^6h-1)/r次幂而变为1。

因此，能够将在E(F_q6h)[r]上进行椭圆曲线加法运算替换为在具有1/6扩大次数的E’(F_q ^h)[r]上进行的椭圆曲线加法运算，因此，能够降低运算负担并进行高速计算。

尤其，由于关于有理点T、Q∈E(F_q ^6h)，在E’(F_q ^h)上存在使关系T＝(x_T，y_T)＝(x_T’v^1/3，y_T’v^1/2)、Q＝(x_Q，y_Q)＝(x_Q’v^1/3，y_Q’v^1/2)成立的有理点T’、Q’，所以，首先，l_T，T(x，y)的梯度λ_T，T和l_T，Q(x_p，y_p)的梯度λ_T，Q变换如下。

[式44]

${\mathrm{\λ}}_{T,T}=\frac{3x_T^2}{2y_T}=\frac{3x_{T^{\′}}^2{v}^{2/3}}{2y_{T^{\′}}{v}^{3/4}}={\mathrm{\λ}}_{T^{\′},T^{\′}}{v}^{1/6}$

[式45]

${\mathrm{\λ}}_{T,Q}=\frac{y_Q-y_T}{x_Q-x_T}=\frac{(y_{Q^{\′}}-y_{T^{\′}})v^{1/2}}{(x_{Q^{\′}}-x_{T^{\′}})v^{1/3}}={\mathrm{\λ}}_{T^{\′},Q^{\′}}{v}^{1/6}(T\≠Q)$

对于T＝Q、T≠Q，梯度λ_T，Q分别由[式44]和[式45]变为

[式46]

λ_T，Q＝λ_T′，Q′v^1/6。

因此，由[式46]，[式28]变为

[式47]

$l_{T,Q}(x_p,y_p)=(x_P-x_T){\mathrm{\λ}}_{T,Q}-(y_P-y_T)$

$=(x_P-x_{T^{\′}}{v}^{1/3}){\mathrm{\λ}}_{T^{\′},Q^{\′}}{v}^{1/6}-(y_P-y_{T^{\′}}{v}^{1/2})$

$=((x_P{v}^{-1/3}-x_{T^{\′}}){\mathrm{\λ}}_{T^{\′},Q^{\′}}-(y_P{v}^{-\frac{1}{2}}-y_{T^{\′}}))v^{1/2}$

$=l_{T^{\′},Q^{\′}}(x_P{v}^{-1/3},y_P{v}^{-1/2})v^{1/2}$

因为[式47]的最后部分v^1/2在配对计算中通过最后的取(q^6h-1)/r次幂的运算变为1，所以，当在米勒算法中计算l_T，Q(x_p，y_p)时，不计算l_T，Q(x_p，y_p)，而在真子域上计算l_{T′， Q′}(x_Pv^-1/3，y_Pv^-1/2)就足够了，因此，能够显著降低运算负担。

即，椭圆曲线方程给定为y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，使E为由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射e：

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，对作为

[式48]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{6h}-1)/r}$

的Ate配对e(Q，P)进行计算，

在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1的真子域上，采用通过取f_s，Q(P)的(q^6h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数l_T，T(x_p，y_p)和l_T，Q(x_p，y_p)的运算，即l_T’，T’(x_pv^-1/3，y_pv^-1/2)和l_T’，Q’(x_pv^-1/3，y_pv^-1/2)的运算。因此，能够降低运算负担并进行高速运算。

下面，说明在嵌入级数为偶数、3的倍数、4的倍数和6的倍数的最小公倍数12的情形下的配对计算程序。图2是与图1相对应的米勒算法。此处，q为大于3的素数的幂，假定为素数P。

在诸如认证服务器等由电子计算机构成的配对计算装置中，通过基于图3所示的流程图的程序进行配对计算，因此，实现大规模数字群签。

在此，进行配对计算的电子计算机，是安装了基于图2所示的米勒算法的程序的配对计算程序可执行电子计算机。如图4所示，电子计算机10包括：进行运算的CPU 11；对配对计算程序中所用的诸如配对计算程序和数据等各种程序进行存储的诸如硬盘等存储单元12；以及能够展开并执行配对计算程序，并对执行配对计算程序的过程中生成的数据进行临时存储的RAM等构成的存储单元13。在图4中，标号14为总线。另外，电子计算机10还包括未在图中示出的记录媒体驱动器，因此，通过记录媒体驱动器，能够使存储单元12存储记录配对计算程序的记录媒体。

在使用根据本发明的配对计算程序的数字群签技术中，电子计算机10使得能够连接到诸如互联网等电信线路20上并接收从连接到电信线路20上的客户装置30发送的数字群签的签名数据。在图4中，标号15为电子计算机10的输入输出控制部。电子计算机10在存储单元13中临时存储从客户装置30发送的数字群签的签名数据。

当从客户装置30发送数字群签的签名数据时，电子计算机10的CPU 11将所发送的数据临时存储在存储单元13中并启动配对计算程序(步骤S1)。

借助于所启动的配对计算程序，以电子计算机10的CPU 11为输入单元，接收输入的基于弗罗贝尼乌斯自同态Φ_p的迹t的s＝t-1、满足P∈E(F_p)的P和满足Q’∈E’(F_p ²)的Q’(步骤S2)。在存储单元13中临时存储的签名数据是P和Q’之一并且通常为P。Q’和弗罗贝尼乌斯自同态Φ_q的迹t或s＝t-1存储在存储单元12或存储单元13的规定地址中，因此，从规定地址读出并输入。

然后，以电子计算机10的CPU 11为代入单元，并对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2(步骤S3)。在此，v^-1/3的值和v^-1/2的值已知并存储在存储单元12或存储单元13的规定地址中，因此，通过将它们从规定地址读出并将它们输入来进行x_pv^-1/3和y_pv^-1/2的计算。

另外，因为嵌入级数为12，是6的倍数，所以这些代入运算为n←x_pv^-1/3、m←y_pv^-1/2，然而，在嵌入级数为偶数的情形下，代入运算为n←x_pv^-1、m←y_pv^-3/2，在嵌入级数为3的倍数的情形下，代入运算为n←x_pv^-1/3、m←y_pv^-1/2，并且在嵌入级数为4的倍数的情形下，代入运算为n←x_pv^-1/2、m←y_pv^-3/4。

然后，以电子计算机10的CPU 11为代入单元，并且进行代入运算f←1、T’←Q’(步骤S4)。这就是所谓的初始值设定。

然后，电子计算机10的CPU 11通过将二进制表示的s的位数设定为i的初始值，并且通过每迭代一次下面的运算对i减1，计算f的值(步骤S5)。此处，如上所述，s[i]表示以二进制表示s的从最低位数起的第i位的值。

在步骤S5中，具体地，以电子计算机10的CPU 11为第一运算单元，不计算将有理点P的坐标(x_P，y_P)代入经过有理点T的直线l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_P，y_P)，而是以l_T’，T’(n，m)计算l_T，T(x_P，y_P)v^-1/2并进行代入运算f←f²·l_T’，T’(n，m)。然后，以电子计算机10的CPU 11为第二运算单元，并进行代入运算T’←2T’。

此外，在二进制表示的s的第i位s[i]的值为1的情形下，以电子计算机10的CPU 11为第三运算单元，不计算将有理点P的坐标(x_P，y_P)代入经过有理点T和Q的直线l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_P，y_P)，而是以l_T’，T’(n，m)计算l_T，T(x_P，y_P)v^-1/2并进行代入运算f←f·l_T’，Q’(n，m)。然后，以电子计算机10的CPU 11为第四运算单元，并进行代入运算T’←T’+Q’。

在步骤S5的计算之后，电子计算机10的CPU 11将计算结果f临时存储在存储单元13中并结束米勒函数的计算(步骤S6)。

然后，电子计算机10的CPU 11使用计算结果f进行取(q¹²-1)/r次幂，并将结果作为配对计算的结果存储在存储单元13中(步骤S7)。

电子计算机10的CPU 11将上述配对计算迭代与无效用户的数目对应的次数，并结束配对计算程序。

在电子计算机10为认证服务器的情形下，之后，电子计算机10的CPU 11使用配对计算的结果进行认证。

这样，在由进行配对计算的电子计算机构成的配对计算装置中，在嵌入级数为12的情形下，不进行E(F_p ¹²)[r]上的椭圆曲线加法运算，而是进行E’(F_p ²)[r]上的椭圆曲线加法运算，从而能够使基于米勒算法所需要的运算时间减少大致30％，因此，能够进行高速配对计算。

因此，能够将数字群签应用于拥有更多成员的数字群签，并且能够将数字群签应用于更广的范围。

在根据本发明的实施方式中，已经对数字群签中所使用的配对计算进行了说明，然而，配对计算装置、配对计算方法和记录配对计算程序的记录媒体，并不限于其用于数字群签的情形，而是可以依需要而适用于适当的配对计算。

Claims (12)

1.一种配对计算装置，其中，给定椭圆曲线方程y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{2h}/{\left({{F^{*}}_q}^{2h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式1]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{2h}-1)/r}$

计算所述Ate配对e(Q，P)，

所述配对计算装置的特征在于，在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-2x+bv^-3的真子域上，采用通过取f_s，Q(P)取的(q^2h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算，为此，所述配对计算装置包括：

输入单元，其接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入；

代入单元，其对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1、m←y_pv^-3/2，并进行代入运算f←1、T’←Q’；

第一运算单元，其不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/2，并进行代入运算f←f²·l_T’，T’(n，m)；

第二运算单元，其进行代入运算T’←2T’；

第三运算单元，其在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到得值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/2，并进行代入运算f←f·l_T’，Q’(n，m)；

第四运算单元，其在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’；以及

第五运算单元，其进行取(q^2h-1)/r次幂的取幂运算。

2.一种配对计算装置，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为3h(h：自然数)，使E为由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{3h}/{\left({{F^{*}}_q}^{3h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式2]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{3h}-1)/r}$

计算所述Ate配对e(Q，P)，

所述配对计算装置的特征在于，在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1的真子域上，采用通过取f_s，Q(P)的(q^3h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算，为此，所述配对计算装置包括：

输入单元，其接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入；

代入单元，其对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2，并进行代入运算f←1、T’←Q’；

第一运算单元，其不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)；

第二运算单元，其进行代入运算T’←2T’；

第三运算单元，其在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)；

第四运算单元，其在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’；以及

第五运算单元，其进行取(q^3h-1)/r次幂的取幂运算。

3.一种配对计算装置，其中，给定椭圆曲线方程y²＝x³+ax，a∈F_q(q：大于3的素数的幂)，使嵌入级数为4h(h：自然数)，q^h-1可被4除尽，使E为由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{4h}/{\left({{F^{*}}_q}^{4h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式3]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{4h}-1)/r}$

计算所述Ate配对e(Q，P)，

所述配对计算装置的特征在于，在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1x的真子域上，采用通过取f_s，Q(P)的(q^4h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算，为此，所述配对计算装置包括：

输入单元，其接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入；

代入单元，其对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/2、m←y_pv^-3/4，并进行代入运算f←1、T’←Q’；

第一运算单元，其不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/4，并进行代入运算f←f²·l_T’，T’(n，m)；

第二运算单元，其进行代入运算T’←2T’；

第三运算单元，其在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/4，并进行代入运算f←f·l_T’，Q’(n，m)；

第四运算单元，其在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’；以及

第五运算单元，其进行取(q^4h-1)/r次幂的取幂运算。

4.一种配对计算装置，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，使E为由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{6h}/{\left({{F^{*}}_q}^{6h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，利用

[式4]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{6h}-1)/r}$

计算所述Ate配对e(Q，P)，

所述配对计算装置的特征在于，在基于E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1的真子域上，采用通过取f_s，Q(P)的(q^6h-1)/r次幂而变为1的平方非剩余v∈F_q ^h来进行导出f_s，Q(P)时所需要的有理函数的运算，为此，所述配对计算装置包括：

输入单元，其接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入；

代入单元，其对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2，并进行代入运算f←1、T’←Q’；

第一运算单元，其不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)；

第二运算单元，其进行代入运算T’←2T’；

第三运算单元，其在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)；

第四运算单元，其在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’；以及

第五运算单元，其进行取(q^6h-1)/r次幂的取幂运算。

5.一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{2h}/{\left({{F^{*}}_q}^{2h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式5]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{2h}-1)/r}$

计算Ate配对e(Q，P)，所述配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^2h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-2x+bv^-3，其配对计算方法的特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1、m←y_pv^-3/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^2h-1)/r次幂的取幂运算的步骤。

6.一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为3h(h：自然数)，使E为由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{3h}/{\left({{F^{*}}_q}^{3h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式6]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{3h}-1)/r}$

计算所述Ate配对e(Q，P)，所述配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^3h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，其特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^3h-1)/r次幂的取幂运算的步骤。

7.一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+ax，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为4h(h：自然数)，q^h-1可被4除尽，使E为由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{4h}/{\left({{F^{*}}_q}^{4h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式7]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{4h}-1)/r}$

计算所述Ate配对e(Q，P)，所述配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^4h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1x，其特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/2、m←y_pv^-3/4的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/4，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/4，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^4h-1)/r次幂的取幂运算的步骤。

8.一种配对计算方法，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，使E为由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{6h}/{\left({{F^{*}}_q}^{6h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式8]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{6h}-1)/r}$

计算所述Ate配对e(Q，P)，所述配对计算方法的特征在于，采用通过取f_s，Q(P)取的(q^6h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并采用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，其特征还在于包括：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^6h-1)/r次幂的取幂运算的步骤。

9.一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+ax+b，a∈F_q，b∈F_q(q：大于3的素数的幂)，使嵌入级数为2h(h：自然数)，使E为由F_q ^2h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{2h}/{\left({{F^{*}}_q}^{2h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式9]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{2h}-1)/r}$

计算所述Ate配对e(Q，P)，所述配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^2h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-2x+bv^-3，所述配对计算程序的特征还在于，使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1、m←y_pv^-3/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^2h-1)/r次幂的取幂运算的步骤。

10.一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q(q：大于3的素数的幂)，使嵌入级数为3h(h：自然数)，使E为由F_q ^3h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{3h}/{\left({{F^{*}}_q}^{3h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式10]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{3h}-1)/r}$

计算所述Ate配对e(Q，P)，所述配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^3h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，并且其特征还在于使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^3h-1)/r次幂的取幂运算的步骤。

11.一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+ax，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为4h(h：自然数)，q^h-1可被4除尽，使E为由F_q ^4h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{4h}/{\left({{F^{*}}_q}^{4h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使用电子计算机利用

[式11]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{4h}-1)/r}$

计算所述Ate配对e(Q，P)，

所述配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^4h-1)/r次幂而变为1的平方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1x，其特征还在于使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/2、m←y_pv^-3/4的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元的作用，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-3/4，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-3/4，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^4h-1)/r次幂的取幂运算的步骤。

12.一种记录配对计算程序的记录媒体，其中，给定椭圆曲线方程y²＝x³+a，a∈F_q，(q：大于3的素数的幂)，使嵌入级数为6h(h：自然数)，使E为由F_q ^6h定义的可配对的椭圆曲线上的有理点构成的加法群，使E[r]为素数阶为r的有理点集合，并且使Φ_q为弗罗贝尼乌斯自同态，使用

G₁＝E[r]∩Ker(Φ_q-[1])

G₂＝E[r]∩Ker(Φ_q-[q])

将Ate配对e定义为非退化双线性映射

$e:G_2\×G_1\→{{F^{*}}_q}^{6h}/{\left({{F^{*}}_q}^{6h}\right)}^r,$

使P∈G₁，Q∈G₂，并且采用弗罗贝尼乌斯自同态Φ_q的迹t使s＝t-1，并且使用米勒函数f_s，Q(·)，使电子计算机利用

[式12]

$e(Q,P)=f_{s,Q}{\left(P\right)}^{(q^{6h}-1)/r}$

计算所述Ate配对e(Q，P)，

所述配对计算程序的特征在于，使用通过取f_s，Q(P)取的(q^6h-1)/r次幂而变为1的平方和立方非剩余v∈F_q ^h，并使用E(F_q ^h)的扭曲曲线E’(F_q ^h)：y²＝x³+av^-1，其特征还在于使电子计算机进行：

以电子计算机为输入单元，接收所述s＝t-1、满足P∈E(F_q)的P、满足Q’∈E’(F_q ^h)的Q’的输入的步骤；

以电子计算机为代入单元，对有理点P的坐标(x_p，y_p)进行代入运算n←x_pv^-1/3、m←y_pv^-1/2的步骤；

以电子计算机为代入单元，进行代入运算f←1、T’←Q’的步骤；

以电子计算机为第一运算单元，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T的切线方程l_T，T(x，y)＝0的左侧而得到的值l_T，T(x_p，y_p)，而是以l_T’，T’(n，m)计算l_T，T(x_p，y_p)v^-1/2，并进行代入运算f←f²·l_T’，T’(n，m)的步骤；

以电子计算机为第二运算单元，进行代入运算T’←2T’的步骤；

以电子计算机为第三运算单元，在二进制表示的s的规定位的值为1的情形下，不计算将有理点P的坐标(x_p，y_p)代入经过有理点T和Q的直线方程l_T，Q(x，y)＝0的左侧而得到的值l_T，Q(x_p，y_p)，而是以l_T’，Q’(n，m)计算l_T，Q(x_p，y_p)v^-1/2，并进行代入运算f←f·l_T’，Q’(n，m)的步骤；

以电子计算机为第四运算单元，在二进制表示的s的规定位的值为1的情形下，进行代入运算T’←T’+Q’的步骤；以及

以电子计算机为第五运算单元，进行取(q^6h-1)/r次幂的取幂运算的步骤。

Images