CN102308326B - 配对运算装置、配对运算方法 - Google Patents

Abstract

本发明提供能够进行高速配对运算的配对运算装置、配对运算方法、以及配对运算程序。具有以下部件：曲线方程式由y²＝x³+ax+b，a∈F_p，b∈F_p给出，嵌入次数为k，以F_p ^k为定义域的能够配对的椭圆曲线上的有理点构成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p为Frobenius自同态，将位数r和Frobenius自同态φ_p的踪迹t作为整数变量x的函数，计算有理函数f_x，Q(S)的运算部件；计算通过规定的有理点的直线的有理点S(x_s，y_s)上的值的运算部件；利用这些运算部件的运算结果对有理函数f′_x，Q(S)进行计算的运算部件；以及利用所述有理函数f′_x，Q(S)作为式(1)进行配对运算的运算部件。

Description

配对运算装置、配对运算方法

技术领域

本发明涉及能够高速度进行配对运算的配对运算装置、配对运算方法、以及配对运算程序。 

背景技术

以往，个人用户利用互联网等的网络上提供的各种服务的情况下，有时候要进行确认个人用户是否为正规用户的认证处理。进行这样的认证处理时，通常用对每一个人用户预先设定的ID以及密码等进行确认。为此，在网络上设置进行认证处理用的认证服务器。 

最近，通过使用数字签名技术，在各个数据本身附加个人用户固有的数字签名数据。借助于这种数字签名数据，能够保证个人用户使用的数据不被第三者篡改、不被泄漏给第三者，保密程度高的信息也能够在网络上安全地进行处理。 

另一方面，在数字签名的情况下，利用认证服务器进行认证处理确定个人用户，因此每一次进行认证处理，各个人用户的履历作为信息逐次存储积累在认证服务器中。从而，在认证服务器中，累积了个人用户访问什么样的地方，利用什么样的服务等的个人信息，因此，从保护个人信息这一点出发，必须充分注意避免泄漏这些信息。 

为了清除由于使用这样的数字签名而产生的个人用户的履历信息的积累，有人提出了将数字签名扩展的数字群签名(digital group signature)。 

在使用数字群签名的情况下，个人用户对认证服务器匿名，只发送证明其属于规定的群的签名数据，认证服务器根据接收到的签名数据，不确认个人用户，而对个人用户属于规定的群的情况进行认证。从而，认证服务器一方面能够阻止不属于群的个人用户的不正当使用，另一方面在不积累各个人用户的履历信息的情况下对个人用户进行认证时。 

在这样的数字群签名的匿名认证中使用配对运算。 

配对运算是用2输入1输出的函数进行的运算，例如以S为本源体F_p上的有理点，以Q为k次扩展体F_p ^k上的有理点，通过输入2个有理点S和Q，以输出扩展体F^* _p ^k的元z。而且，配对运算在输入有理点S的a倍及有理点Q的b倍的情况下，具有计算出z的ab次方这样的双线性。利用该双线性进行认证。在这里，「k」是嵌入次数，「F^* _p ^k」是数学上的表记，准确地说，是 

[公式1] 

${F^{*}}_{p^k}$

，但是由于表示受到限制，表示为「F^* _p ^k」。 

通常，有理点S，Q分别使用椭圆曲线上的点。这样的椭圆曲线上的有理点的配对运算由用Miller算法运算的步骤和对其运算结果进行求幂运算的步骤构成。 

在数字群签名的情况下，对属于群的个人用户的访问权进行认证处理时，首先进行将访问权失效的个人用户排除在外用的配对运算。接着，在数字群签名的情况下，进行规定的个人用户的配对运算，进行认证处理，借助于此，能够灵活应对每一个人用户的访问权的授予或失效的属性变更。 

从而，在例如由10,000人的个人用户构成的群的数字群签名的情况下，如果访问权失效的个人用户有100人，就必须进行100次配对运算。当前一般的电子计算机进行1次配对运算需要的时间约0.1秒，因此100次配对运算需要约10秒钟。因此，在当前情况下，数字群签名还不能够被认为是实用的技术，还没有成为广泛使用的技术。 

当前，为了使数字群签名能够实用化，正在进行提高配对运算的运算速度的研究。例如，作为配对运算的高速化技术，有人提出了用在椭圆曲线上定义的Tate配对运算，使运算负荷减小，谋求高速化的技术(参照例如专利文献1)。 

特許文献1：日本特開2005-316267号公報 

但是，当前提出的配对运算高速化的技术还不成熟，还有需要进一步高速化。 

发明内容

本发明的发明人鉴于这样的现状，为了实现配对运算的高速化而进行开发研究，得到了本发明。 

本发明的配对运算装置，是曲线方程式为y²＝x³+ax+b，其中a∈F_p，b∈F_p，嵌入次数为k，以F_p ^k为定义域的能够配对的椭圆曲线上的有理点形成的加法群记为E；素数位数r的有理点的集合记为E[r]；将φ_p作为Frobenius自同态(endomorphism)，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

将配对e定义为 

e：G₂×G₁→F^* _p ^k/(F^* _p ^k)^r

即非简并双线性映射(nondegenerate bilinear map)，以S∈G₁、Q∈G₂，计算配对e(Q，S)，输出运算结果的配对运算装置，其特征在于， 

取代将Frobenius自同态φ_p的踪迹(trace)记为t，采用利用Miller算法计算的有理函数f_t-1，Q(S)将配对e(Q，S)作为 

[公式2] 

$e(Q,S)=f_{t-1,Q}{\left(S\right)}^{(p^k-1)/r}$

计算，而代之以将位数r和Frobenius自同态φ_p的踪迹t作为整数变量χ的函数，借助于对有理函数f_χ，Q(S)进行计算的运算部件、计算通过规定的有理点的直线的有理点S(x_s，y_s)上的值的运算部件、利用这些运算部件的运算结果计算有理函数的f′_χ，Q(S)的运算部件、以及利用有理函数f′_χ，Q(S)，作为 

[公式3] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^k-1)/r}$

进行配对运算的运算部件，进行配对运算。 

而且，本发明的配对运算装置，其特征在于，计算有理函数f_χ，Q(S)的运算部件，具有对χQ进行计算，将运算结果存储于规定的寄存器，用所述χQ的运算结果，对规定的有理点进行计算的运算部件。 

而且，本发明的配对运算装置，其特征也在于，嵌入次数k＝12的情况下，将位数r及Frobenius自同态φ_p的踪迹t，用整数变量χ表示为 

r(χ)＝36χ⁴-36χ³+18χ²-6χ+1， 

t(χ)＝6χ²+1 

，设χQ-R，用该R的Frobenius自同态φ_p为φ_p(R)＝pR的关系，分别计算有理点p¹⁰χQ、χQ+p¹⁰χQ、pχQ+p³χQ；分别计算通过有理点的(χQ，p¹⁰χQ)的直线上的有理点S(x_s，y_s)的值l₁和通过有理点(χQ+p¹⁰χQ，pχQ+p³χQ)的直线上的有理点S(x_s，y_s)的值l₂；用通过有理点(pχQ，p³χQ)的直线上的有理点S(x_s，y_s)的值l₃，作为 

[公式4] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)=f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p+p^3+p^{10}}\·l_1\·l_2\·l_3$

，计算有理函数f′_χ，Q(S)。 

而且，本发明的配对运算装置，其特征在于，利用有理函数f_χ，Q(S)的Frobenius自同态φ_p为φ_p(f_χ，Q(S))＝f_χ，Q(S)^p的情况，计算 

[公式5] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p^{10}}\·l_1$

，同时，利用通过Q₁，Q₂∈G₂的有理点(Q₁，Q₂)的直线上的有理点S(x_s，y_s)的值l的Frobenius自同态φ_p就是通过有理点(pQ₁，pQ₂)的直线上的有理点S(x_s，y_s)的值这种情况，计算成为 

[公式6] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{p+p^3}\·l_3={\mathrm{\φ}}_p^3(f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p^{10}}\·l_1)$

的 

[公式7] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{p+p^3}\·l_3$

后，计算有理函数f′_χ，Q(S)。 

又，本发明的配对运算方法，是曲线方程式为y²＝x³+ax+b，其中a∈F_p，b∈F_p，嵌入次数为k，以F_p ^k为定义域的能够配对的椭圆曲线上的有理点形成的加法群记为E；素数位数r的有理点的集合记为E[r]；以φ_p为Frobenius自同态，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

将配对e定义为 

e：G₂×G₁→F^* _p ^k/(F^* _p ^k)^r

即非简并双线性映射(nondegenerate bilinear map)；作为S∈G₁、Q∈G₂，用具备CPU的电子计算机，运算配对e(Q，S)的配对运算方法，其特征在于， 

取代将Frobenius自同态φ_p的踪迹(trace)记为t，采用利用Miller算法计算的有理函数f_t-1，Q(S)将配对e(Q，S)作为 

[公式2] 

$e(Q,S)=f_{t-1,Q}{\left(S\right)}^{(p^k-1)/r}$

计算，而代之以将位数r及Frobenius自同态φ_p的踪迹t作为整数变量χ的函数，具有使电子计算机的CPU作为运算部件起作用，计算有 理函数f_χ，Q(S)的步骤、使电子计算机的CPU作为运算部件起作用，计算通过规定的有理点的直线的有理点S(x_s，y_s)上的值的运算步骤、使电子计算机的CPU作为运算部件起作用，利用上述运算结果计算有理函数f′_χ，Q(S)的运算步骤、以及使电子计算机的CPU作为运算部件起作用，利用有理函数f′_χ，Q(S)，作为 

[公式3] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^k-1)/r}$

进行运算的运算步骤。 

而且，本发明的配对运算方法，其特征也在于，在对有理函数f_χ，Q(S)进行计算的步骤之后，具有使电子计算机的CPU作为运算部件起作用，计算χQ，利用该χQ的计算结果对规定的有理点进行计算的步骤。 

又，本发明的配对运算程序，是曲线方程式为y²＝x³+ax+b，其中a∈F_p，b∈F_p，嵌入次数为k，以F_p ^k为定义域的能够配对的椭圆曲线上的有理点形成的加法群记为E；素数位数r的有理点的集合记为E[r]；以φ_p为Frobenius自同态，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

将配对e定义为 

e：G₂×G₁→F^* _p ^k/(F^* _p ^k)^r

即非简并双线性映射；作为S∈G₁、Q∈G₂，使具备CPU的电子计算机，计算配对e(Q，S)的配对运算程序，其特征在于， 

取代将Frobenius自同态φ_p的踪迹(trace)记为t，采用利用Miller算法计算的有理函数f_t-1，Q(S)，将配对e(Q，S)作为 

[公式2] 

$e(Q,S)=f_{t-1,Q}{\left(S\right)}^{(p^k-1)/r}$

计算，代之以将位数r及Frobenius自同态φ_p的踪迹t作为整数变量χ的函数，使电子计算机作为计算有理函数f_χ，Q(S)的运算部件、计算通过规定的有理点的直线的有理点S(x_s，y_s)上的值的运算部件、利用这些运算部件的运算结果计算有理函数f′_χ，Q(S)的运算部件、以及利用该有理函数f′_χ，Q(S)，作为 

[公式3] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^k-1)/r}$

进行运算的运算部件起作用。 

而且，本发明的配对运算程序，其特征也在于，使电子计算机作为计算χQ的运算部件和利用该χQ的计算结果对规定的有理点进行计算的运算部件起作用。 

如果采用本发明，则将在配对运算时采用Miller算法计算出的有理函数作为整数变量χ的函数，这样可以高速进行有理函数的计算，能够实现配对运算的高速化。从而，能够提供具有实用性的数字群签名服务。 

附图说明

图1是本发明的实施形态的配对运算装置的概要示意图。 

图2是本发明的实施形态的配对运算程序的流程图。 

图3是计算有理函数f_χ，Q(S)用的流程图。 

图4是本发明另一实施形态的配对运算程序的流程图。 

符号说明 

10 电子计算机 

11 CPU 

12 存储装置 

13 存储器装置 

14 总线 

15 输入输出控制部 

20 电气通信线路 

30 客户装置 

具体实施方式

本发明的配对运算装置、配对运算方法、以及配对运算程序，在利用配对运算的Miller算法运算有理函数的第1步骤和对该运算结果进行幂运算(exponentiation)的第2步骤中，通过在第1步骤用整数变量χ计算有理函数，以此实现运算高速化。 

也就是说，在已有的配对运算中，曲线方程式用y²＝x³+ax+b，a∈F_p，b∈F_p给出，嵌入次数为k，将F_p ^k作为定义域的能够配对的椭圆曲线上的有理点构成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p作为Frobenius自同态，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

定义配对e为 

e：G₂×G₁→F^* _p ^k/(F^* _p ^k)^r

即非简并双线性映射(map)，其中S∈G₁、Q∈G₂，将Frobenius自同态φ_p的踪迹记为t，利用由Miller算法计算的有理函数f_t-1，Q(S)，利用作为Ate配对已知的下式对配对e(Q，S)进行计算。 

[公式2] 

$e(Q,S)=f_{t-1,Q}{\left(S\right)}^{(p^k-1)/r}$

与此相对，本发明的发明人通过使用椭圆曲线的整数变量χ，找出能够实现更高速度运算的配对。将该配对称为「Xate配对」。 

也就是说，本发明的配对运算装置、配对运算方法、以及配对运算程序，不采用Ate配对，而采用Xate配对，以此使高速运算成为可能。 

特别是使用于配对运算的椭圆曲线，作为相应于嵌入次数分别配对合适的(pairing-friendly)曲线是已知的，例如在嵌入次数k＝12的情况下，已知位数r与Frobenius自同态φ_p的踪迹t用整数变量χ如下所 述表示。 

r(χ)＝36χ⁴-36χ³+18χ²-6χ+1， 

t(χ)＝6χ²+1. 

又，已知在嵌入次数k＝10的情况下，如下所述表示。 

r(χ)＝25χ⁴+25χ³+15χ²+5χ+1， 

t(χ)＝10χ²+5χ+3. 

或已知如下所述表示。 

r(χ)＝χ⁸-1， 

t(χ)＝-χ⁶+χ⁴-χ²+2. 

又已知在嵌入次数k＝8的情况下，如下所述表示。 

r(χ)＝9χ⁴+12χ³+8χ²+4χ+1， 

t(χ)＝-9χ³-3χ²-2χ. 

或已知也可以如下所述表示。 

r(χ)＝χ⁴-8χ²+25， 

t(χ)＝(2χ³-11χ+15)/15. 

或已知也可以如下所述表示。 

r(χ)＝χ⁸-χ⁴+1， 

t(χ)＝χ⁵-χ+1. 

又已知在嵌入次数k＝18的情况下，如下所述表示。 

r(χ)＝(χ⁶+37χ³+343)/343， 

t(χ)＝(χ⁴+16χ+7)/7. 

下面以嵌入次数k＝12的情况为一个例子对Xate配对进行说明。 

还有，在嵌入次数k＝12的情况下，曲线方程式由y²＝x³+b，b∈F_p给出，以F_p ¹²为定义域的能够配对的椭圆曲线上的有理点构成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p为Frobenius自同态，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

将配对e定义为 

e：G₂×G₁→F^* _p ¹²/(F^* _p ¹²)^r

即非简并双线性映射。 

在这种情况下，位数r和Frobenius自同态φ_p的踪迹t，如上所述用整数变量χ如下所示表示。 

r(χ)＝36χ⁴-36χ³+18χ²-6χ+1…(式1) 

t(χ)＝6χ²+1…(式2) 

(式2)可以如下所示变形。还有，在并非特别需要的情况下，为了方便起见，省略(χ)的记号。 

6χ²≡t-1≡p(mod r)…(式3) 

在这里，对标识数p，利用存在下述关系式的情况。 

p＝r+t-1…(式4) 

从而，标识数p用整数变量χ如下所述表示。 

p(χ)＝36χ⁴-36χ³+24χ²-6χ+1…(式5) 

利用(式3)，(式5)可以如下所述变形。 

p≡p²-6χ(p+1)+4p+1(mod r)…(式6) 

该(式6)可如下所述变形。 

6χ(1+p)≡p²+3p+1(mod r)…(式7) 

在这里，从已知的p⁴-p²+1≡0(mod r)这样的关系式得到下式。 

p²(1-p)(1+p)≡1(mod r)…(式8) 

该(式8)可以如下所述变形。 

(1+p)^-1≡p²(1-p)(mod r)…(式9) 

利用(式9)，同时根据p⁶≡-1(mod r)这一关系式，(式7)可以如下所述变形。 

6χ≡(1+p)^-1{(1+p)²+p} 

≡1+p+p³+p¹⁰(mod r)…(式10) 

下面考虑Ate配对的有理函数f_t-1，Q(·)。特别是，根据(式3)，有理函数f_t-1，Q(·)可以如下所示表示。在这里，假定t-1＝T。 

[公式8] 

$f_{6{\mathrm{\χ}}^2,Q}=f_{T,Q}$ ...(式11) 

在这里，Q∈G₂，对于 下式成立。 

[公式9] 

$f_{6{\mathrm{\χ}}^2,Q}{\left(S\right)}^{(p^{12}-1)/r}=f_{T,Q}{\left(S\right)}^{(p^{12}-1)/r}=\mathrm{\α}(Q,S)$ ...(式12) 

利用(式10)，可得到下式。 

[公式10] 

$f_{6{\mathrm{\χ}}^2,Q}=f_{6\mathrm{\χ}\·\mathrm{\χ},Q}=f_{(1+p+p^3+p^{10})\mathrm{\χ},Q}$ ...(式13) 

在这里，有理函数满足下述关系式。 

[公式11] 

f_a+b，Q＝f_a，Q·f_b，Q·g_aQ，bQ...(式14) 

[公式12] 

$f_{\mathrm{ab},Q}=f_{b,Q}^a\·f_{a,\mathrm{bQ}}=f_{a,Q}^b{f}_{b,\mathrm{aQ}}$ ...(式15) 

[公式13] 

$f_{p^i,Q}=f_{p,Q}^{{\mathrm{ip}}^{i-1}}$ ...(式16) 

20 

从而，(式13)可以如下所示变形。 

[公式14] 

$f_{(1-p+p^3+p^{10})\mathrm{\χ},Q}=f_{\mathrm{\χ},Q}\·f_{\mathrm{\χ},Q}^p\·g_{\mathrm{\χQ},\mathrm{p\χQ}}\·f_{\mathrm{\χ},Q}^{p^3}\·f_{\mathrm{\χ},Q}^{p^{10}}\·g_{p^3\mathrm{\χQ},p^{10}\mathrm{\χQ}}$

$g_{\mathrm{\χQ}+\mathrm{p\χQ},p^3\mathrm{\χQ}+p^{10}\mathrm{\χQ}}\·f_{p,\mathrm{\χQ}}^{1+3p^2+10p^9}$ ...(式17) 

还有，g_aQ，bQ＝l_aQ，bQ/v_aQ+bQ，l_aQ，bQ是通过2个有理点aQ和bQ的直线的值，v_aQ+bQ是有理点aQ+bQ的铅直线的值。嵌入次数为偶数的情况下，v_aQ+bQ的计算可以省略。 

又，(式17)中的 

[公式15] 

$f_{p,\mathrm{\χQ}}^{1+3p^2+10p^9}$ ...(式18) 

由于具有双线性，可以如下所示变形。 

[公式16] 

$f_{p,Q}^{\mathrm{\χ}(1+3p^2+10p^9)}$ ...(式19) 

从而，利用(式3)、(式13)、(式19)使(式17)变形，可以得到下式。 

[公式17] 

...(式20) 

在这里，本发明的发明人从(式20)的左边具有双线性，想到(式20)的右边也具有双线性，该(式20)的右边新的有理函数采用f′_χ，Q(·)。 

也就是说，利用下式进行配对e(Q，S)的运算。 

[公式18] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^{12}-1)/r}$

本发明的发明人将该配对e(Q，S)称为Xate配对。 

而且，(式20)的右边可以如下所示变形。 

[公式19] 

$f_{\mathrm{\χ},Q}^{1+p+p^3+p^{10}}\·g_{\mathrm{\χQ},p^{10}\mathrm{\χQ}}\·g_{\mathrm{p\χQ},p^3\mathrm{\χQ}}\·g_{\mathrm{\χQ},p^{10}\mathrm{\χQ},\mathrm{p\χQ}+p^3\mathrm{\χQ}}$ ...(式21) 

也就是说，嵌入次数k＝12的情况下，分别计算并确定通过有理点(χQ，p¹⁰χQ)的直线上的有理点S(x_s，y_s)的值l₁、通过有理点(χQ+p¹⁰χQ，pχQ+p³χQ)的直线上的有理点S(x_s，y_s)的值l₂、通过有理点(pχQ，p³χQ)的直线上的有理点S(x_s，y_s)的值l₃，能够根据下式使利用Miller算法的运算高速化。 

[公式4] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)=f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p+p^3+p^{10}}\·l_1\·l_2\·l_3$

而且，(式20)的右边，可以如下所示变形，因此能够使f′_χ，Q(S)的运算更加高速化。 

[公式20] 

${\{f_{\mathrm{\χ},Q}^{1+p^{10}}\·g_{\mathrm{\χQ},p^{10}\mathrm{\χQ}}\}}^{1+p^3}\·g_{\mathrm{\χQ},p^{10}\mathrm{\χQ},\mathrm{p\χQ}+p^3\mathrm{\χQ}}$ ...(式22) 

通过如上所述使用Xate配对，在进行配对运算的情况下，可以用有理函数f_χ，Q(S)和利用通过规定的有理点的直线的值得到的新的有理函数f′_χ，Q(S)进行运算，特别是有理函数f′_χ，Q(S)，可以用比t-1尺寸小的χ进行计算，因此可以实现配对运算的高速化。 

迄今为止对嵌入次数k＝12的情况进行了说明，在嵌入次数k＝8、10、18的情况下也基本上相同，因此详细说明省略。 

下面对嵌入次数k＝12的情况下的实施形态进行详细说明。还有，在本实施形态中，设想数字群签名，将用所需要的电子计算机构成的认证服务器作为配对运算装置。但是配对运算装置不限于用认证服务器构成的情况，只要是至少具备CPU等运算部件，能够进行配对运算的装置，不管是什么样的装置都可以。 

如图1所示，构成认证服务器的电子计算机10，具备进行运算处理的CPU11、存储配对运算程序等各种程序、以及在配对运算程序中使 用的数据等的硬盘等存储装置12、以及用将配对运算程序展开以便能够执行，同时暂时存储伴随配对运算程序的执行生成的数据的RAM等构成的存储器装置13。图4中，14为总线。 

又，电子计算机10连接于因特网等电气通信线路20，能够接收从该电气通信线路20上连接的客户装置30发送的数字群签名的签名数据。在图1中，15是电子计算机10的输入输出控制部。 

在电子计算机10中，一旦有数字群签名的签名数据从客户装置30发送出，就将所发送来的签名数据暂时存储于存储器装置13。接着，电子计算机10通过执行配对运算程序进行配对运算。 

也就是说，电子计算机10伴随配对运算程序的执行，根据图2所示的流程图进行配对运算，实现数字群签名。还有，下面不对数字群签名的认证处理进行详细说明，而只对作为认证处理中的子程序处理的配对运算进行详细说明。 

电子计算机10借助于配对运算程序，如图2所示，作为步骤S1，将CPU11作为输入部件使其起作用，输入需要的数据。也就是说，电子计算机10将预先存储于存储器装置13的整数变量χ的数据与有理点Q的数据输入设置于CPU11内部的规定的寄存器，进一步，将作为签名数据暂时存储于存储器装置13的有理点S的数据输入在CPU11内部设置的规定的寄存器。 

接着，电子计算机10利用配对运算程序，作为步骤S2，使CPU11作为第1运算部件起作用，利用Miller算法进行有理函数f_χ，Q(S)的运算。 

该有理函数f_χ，Q(S)的运算，具体地说，按照图3的流程图所示执行。特别是在步骤S2中，与有理函数f_χ，Q(S)的运算同时，进行χQ的运算，将χQ的运算结果存储于在CPU11内部设置的规定的寄存器。 

也就是说，电子计算机10根据图3的流程图，作为步骤S21，进行初始设定。也就是说，电子计算机10实施设定f←1、T←Q的处理。而且，作为i←[log₂(χ)]，将整数变量χ以2进制表示的情况下的位数(比特数)记为i。 

接着，电子计算机10根据图3的流程图，作为步骤S22，进行有理函数f_χ，Q(S)部分的规定的运算。 

接着，电子计算机10根据图3的流程图，作为步骤S23，进行χQ部分的规定的运算。 

接着，电子计算机10根据图3的流程图，作为步骤S24，判断整数变量χ的第i位(比特)的值u_i是「1」还是「0」。 

在ui＝1的情况下，电子计算机10根据图3的流程图，作为步骤S25，进行有理函数f_χ，Q(S)部分的规定的运算，再作为步骤S26，进行χQ部分的规定的运算。 

接着，电子计算机10根据图3的流程图，作为步骤S27，进行终止判定。 

在步骤S27，i≠1的情况下，电子计算机10根据图3的流程图，作为步骤S28，进行i的减量(Decrement)后返回步骤S22，在步骤S27，反复进行有理函数f_χ，Q(S)以及χQ的运算，直到i＝1。 

在步骤S27，i＝1的情况下，电子计算机10将有理函数f_χ，Q(S)的运算结果以及χQ的运算结果分别存储于规定的寄存器，终止以图3的流程图为依据的子程序。 

接着，电子计算机10根据配对运算程序，作为步骤S3，使CPU11作为第2运算部件起作用，分别计算有理点p¹⁰χQ、χQ+p¹⁰χQ、pχQ+p³χQ。 

特别是，在第2运算部件，假定在步骤S2存储于规定的寄存器的χQ＝R，利用该R的Frobenius自同态φ_p的φ_p(R)＝pR的关系，假定各有理点p¹⁰χQ＝p¹⁰R、χQ+p¹⁰χQ＝R+p¹⁰R、pχQ+p³χQ＝pR+p³R进行运算。 

具体地说，T＝χQ＝R，假定X＝p¹⁰R、Y＝R+p¹⁰R、Z＝pR+p³R，电子计算机10如下所述进行运算。 

X←φ_p ¹⁰(T)， 

Y←T+X， 

Z←φ_p ³(Y). 

从而，在步骤S3，电子计算机10能够不进行乘法运算处理地进行运算，因此能够实现高速运算。 

接着，电子计算机10利用配对运算程序，作为步骤S4使CPU11作为第3运算部件起作用，分别计算通过有理点(χQ，p¹⁰χQ)的直线上的有理点S(x_s，y_s)的值l₁和通过有理点(χQ+p¹⁰χQ，pχQ+p³χQ)的直线上的有理点S(x_s，y_s)的值l₂。 

具体地说，电子计算机10如下所述对l₁＝l_T，X(S)进行计算。 

λ_T，X←(y_X-y_T)/(x_X-x_T)， 

l_T，X(S)←(x_S-x_X)λ_T，X-(y_S-y_X). 

又，电子计算机10如下所述对l₂＝l_Y，Z(S)进行计算。 

λ_Y，Z←(y_Z-y_Y)/(x_Z-x_Y)， 

l_Y，Z(S)←(x_S-x_Z)λ_Y，Z-(y_S-y_Z). 

接着，电子计算机10利用配对运算程序，作为步骤S5使CPU11作为第4运算部件起作用，采用第1运算部件的运算结果、第3运算部件的运算结果、通过有理点(pχQ，p³χQ)的直线上的有理点S(x_s，y_s)的值l₃，如下所述对有理函数f′_χ，Q(S)进行计算。 

[公式4] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)=f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p+p^3+p^{10}}\·l_1\·l_2\·l_3$

特别是在这种情况下，电子计算机10利用有理函数f_χ，Q(S)的Frobenius自同态φ_p为φ_p(f_χ，Q(S))＝f_χ，Q(S)^p，φ_p ¹⁰(f_χ，Q(S))＝f_χ，Q(S)^p⌒10(在这里，表示p⌒10为p¹⁰)，对 

[公式5] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p^{10}}\·l_1$

进行计算。 

而且，电子计算机10利用通过Q₁，Q₂∈G₂的有理点(Q₁，Q₂)的直线上的有理点S(x_s，y_s)的值l的Frobenius自同态φ_p就是通过有理点(pQ₁，pQ₂)的直线上的有理点S(x_s，y_s)的值的情况，计算成为 

[公式6] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{p+p^3}\·l_3={\mathrm{\φ}}_p^3(f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p^{10}}\·l_1)$

的 

[公式7] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{p+p^3}\·l_3$

然后对有理函数f′_χ，Q(S)进行计算。 

具体地说，电子计算机10如下所述进行计算。在这里，p⌒3表示p³。 

1.C←f^p⌒10

2.C←C·f 

3.A←C·l_T，X(S) 

4.B←A^p⌒3

5.返回A，B 

因此 

[公式4] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)=f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p+p^3+p^{10}}\·l_1\·l_2\·l_3$

可以作为 

f′←A·B·l_Y，Z(S) 

计算。 

这样，通过利用Xate配对，可以大大削减运算量，可以实现配对运算的高速化。 

接着，电子计算机10利用配对运算程序，作为步骤S6使CPU11作为第5运算部件起作用，进行配对e(Q，S)的最后的求幂运算。 

具体地说，电子计算机10如下所述进行运算。 

1.f′←f′^p⌒6·f′^-1

2.f′←f′^p⌒2·f′ 

3.a←(f′⁶)^χ·(f′⁵)^p⌒6

4.b←a^p

5.b←a·b 

6.计算f′^p，f′^p⌒2，and f′^p⌒3

7.c←b·(f′^p)²·f′^p⌒2

8.f′←f′^p⌒3·(c⁶)^χ⌒2·c·b·(f′^p·f′)⁹·a·f′⁴

9.返回f′ 

构成认证服务器的电子计算机10利用如上所述得到的配对的运算结果进行认证处理。 

在本实施形态中，对嵌入次数k＝12的情况进行了说明，但是在例如嵌入次数k＝10的情况下也可以同样进行运算。 

还有，在嵌入次数k＝10的情况下，曲线方程式由y²＝x³+ax+b，a∈F_p，b∈F_p给出，嵌入次数为10、以F_p ¹⁰为定义域的可配对的椭圆曲线上的有理点形成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p为Frobenius自同态，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

将配对e定义为 

e：G₂×G₁→F^* _p ¹⁰/(F^* _p ¹⁰)^r

即非简并双线性映射。 

在这种情况下，位数r与Frobenius自同态φ_p的踪迹t用整数变量χ表示如下。 

r(χ)＝25χ⁴+25χ³+15χ²+5χ+1， 

t(χ)＝10χ²+5χ+3. 

又，整数变量χ利用特征p进行的p-进展开如下所示。 

5χ＝p⁴+p⁵+p⁷+p⁸＝p⁴(1+p+p³+p⁴)(mod r(χ)). 

然后，分别计算通过有理点(χQ，pχQ)的直线上的有理点S(x_s，y_s)的值l₄和通过有理点(χQ+pχQ，p³χQ+p⁴χQ)的直线上的有理点 S(x_s，y_s)的值l₅，再利用通过有理点(p³χQ，p⁴χQ)的直线上的有理点S(x_s，y_s)的值l₆，以借助于下式对有理函数f′_χ，Q(S)进行计算。 

[公式21] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)={\mathrm{\φ}}_p^4(f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p+p^3+p^4}\·l_4\·l_5\·l_6)$

与嵌入次数k＝12的情况相同，嵌入次数k＝10的情况下，也是利用认证服务器执行配对运算程序，以此根据图4所示的流程图进行配对运算。 

借助于配对运算程序，如图4所示，电子计算机10作为步骤T1使CPU11作为入力部件起作用，输入需要的数据。也就是说，电子计算机10将预先在存储器装置13存储的整数变量χ的数据与有理点Q的数据输入在CPU11内部设置的规定的寄存器，而且将作为签名数据暂时存储于存储器装置13的有理点S的数据输入设置于CPU11内部的规定的寄存器。 

接着，电子计算机10利用配对运算程序，作为步骤T2使CPU11作为第1运算部件起作用，利用Miller算法进行有理函数f_χ，Q(S)的计算。 

还有，在该步骤T2中，图3所示的流程图的步骤S22中的第1式如下所示。 

1.λ_T，T←(3x_T ²+a)/(2y_T) 

在这里，「a」是由y²＝x³+ax+b，a∈F_p ，b∈F_p给出的椭圆曲线的1次项的系数，该第1式以外，与图3所示的流程图一样进行有理函数f_χ，Q(S)的运算。 

又，电子计算机10在步骤T2也在进行对有理函数f_χ，Q(S)的运算的同时进行对χQ的运算，将运算结果存储于规定的寄存器。 

接着，电子计算机10利用配对运算程序，作为步骤T3使CPU11作为第2运算部件起作用，分别计算有理点pχQ、χQ+pχQ、p³χQ+p⁴χQ。 

特别是用第2运算部件，在步骤T2，假定在规定的寄存器存储的χQ＝R，利用该R的Frobenius自同态φ_p的φ_p(R)＝pR的关系，假定各有理点pχQ＝pR、χQ+pχQ＝R+pR、p³χQ+p⁴χQ＝p³R+p⁴R进行计算。 

具体地说，T＝χQ＝R，假定X＝pR、Y＝R+pR、Z＝p³R+p⁴R，电子计算机10如下所述进行运算。 

X←φ_p(T)， 

Y←T+X， 

Z←φ_p ³(Y). 

接着，电子计算机10利用配对运算程序，作为步骤T4，使CPU11作为第3运算部件起作用，分别计算通过有理点(χQ，pχQ)的直线上的有理点S(x_s，y_s)的值l₄和通过有理点(χQ+pχQ，p³χQ+p⁴χQ)的直线上的有理点S(x_s，y_s)的值l₅。 

具体地说，电子计算机10如下所述计算l₄＝l_T，X(S)。 

λ_T，X←(y_X-y_T)/(x_X-x_T)， 

l_T，X(S)←(x_S-x_X)λ_T，X-(y_S-y_X). 

又，电子计算机10如下所述计算l₅＝l_Y，Z(S)。 

λ_Y，Z←(y_Z-y_Y)/(x_Z-x_Y)， 

l_Y，Z(S)←(x_S-x_Z)λ_Y，Z-(y_S-y_Z). 

接着，电子计算机10利用配对运算程序，作为步骤T5，使CPU11作为第4运算部件起作用，采用第1运算部件的运算结果、第3运算部件的运算结果、通过有理点(p³χQ，p⁴χQ)的直线上的有理点S(x_s，y_s)的值l₆，如下所述计算有理函数f′_χ，Q(S)。 

[公式21] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)={\mathrm{\φ}}_p^4(f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p+p^3+p^4}\·l_4\·l_5\·l_6)$

特别是在这种情况下，电子计算机10利用有理函数f_χ，Q(S)的Frobenius自同态φ_p为φ_p(f_χ，Q(S))＝f_χ，Q(S)^p的情况，计算 

[公式22] 

f_χ，Q(S)^1+p·l₄

而且电子计算机10利用通过Q₁，Q₂∈G₂的有理点(Q₁，Q₂)的直线上的有理点S(x_s，y_s)的值l的Frobenius自同态φ_p就是通过有理点(pQ₁，pQ₂)的直线上的有理点S(x_s，y_s)的值这一情况，计算成为 

[公式23] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{p^3+p^4}\·l_6={\mathrm{\φ}}_p^3(f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p}\·l_4)$

的 

[公式24] 

$f_{\mathrm{\χ},Q}{\left(S\right)}^{p^3+p^4}\·l_6$

，然后计算有理函数f′_χ，Q(S)。 

具体地说，电子计算机10如下所述进行运算。在这里，p⌒3表示p³。 

1.C←f^p

2.C←C·f 

3.A←C·l_T，X(S) 

4.B←A^p⌒3

5.返回A，B 

而且，电子计算机10按照 

1.f′←A·B·l_Y，Z(S) 

2.f′←f′^p⌒4

进行运算，以此对 

[公式21] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)={\mathrm{\φ}}_p^4(f_{\mathrm{\χ},Q}{\left(S\right)}^{1+p+p^3+p^4}\·l_4\·l_5\·l_6)$

进行计算。 

接着，电子计算机10利用配对运算程序，作为步骤T6，使CPU11作为第5运算部件起作用，进行配对e(Q，S)的最后的求幂运算。 

构成认证服务器的电子计算机10用如上所述得到的配对运算结果进行认证处理。 

又，在嵌入次数k＝10的情况下，也可以将用Miller算法计算的有理函数作为f_χ⌒2，Q(S)(χ⌒2表示χ²)计算配对e(Q，S)。 

在这种情况下，位数r与Frobenius自同态φ_p的踪迹t用整数变量χ表示如下。 

r(χ)＝χ⁸-1， 

t(χ)＝-χ⁶+χ⁴-χ²+2. 

又，整数变量χ的利用特征p进行的p-进展开(p-adic expansion)如下所示。 

pχ²＝-p(mod r(χ)). 

然后，电子计算机10利用下式计算有理函数f′_χ，Q(S)。 

[公式25] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)=f_{{\mathrm{\χ}}^2,Q}{\left(S\right)}^p$

从而，电子计算机10可以利用配对运算程序将配对e(Q，S)作为 

[公式26] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^{10}-1)/r}$

计算。 

又，在嵌入次数k＝8的情况下，曲线方程式由y²＝x³+ax，a∈F_p给出，以F_p ⁸为定义域的可配对的椭圆曲线上的有理点形成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p为Frobenius自同态φ_p，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

将配对e定义为 

e：G₂×G₁→F^* _p ⁸/(F^* _p ⁸)^r

即非简并双线性映射。 

在这种情况下，位数r与Frobenius自同态φ_p的踪迹t用整数变量χ表示如下。 

r(χ)＝9χ⁴+12χ³+8χ²+4χ+1， 

t(χ)＝-9χ³-3χ²-2χ. 

又，整数变量χ的利用特征p进行的p-进展开如下所示。 

3χ＝-1-p²+p³(mod r(χ)). 

然后，用通过有理点(χQ，χQ)的直线上的有理点S(x_s，y_s)的值l₇、通过有理点(2χQ，χQ)的直线上的有理点S(x_s，y_s)的值l₈、通过有理点(p²Q，(3χ+1)Q)的直线上的有理点S(x_s，y_s)的值l₉、通过有理点(3χQ，Q)的直线上的有理点S(x_s，y_s)的值l₁₀，电子计算机10利用下式对有理函数f′_χ，Q(S)进行计算。 

[公式27] 

f′_χ，Q(S)＝f_χ，Q(S)³·l₇·l₈·l₉·l₁₀

也就是说，电子计算机10利用配对运算程序，如上所述用Miller算法对有理函数f_χ，Q(S)进行计算，与对有理函数f_χ，Q(S)进行计算同时，计算χQ，将运算结果存储于规定的寄存器。 

接着，电子计算机10假定在规定的寄存器存储的χQ＝R，利用该R的Frobenius自同态φ_p的φ_p(R)＝pR的关系，对各有理点2χQ、p²χ、 3χQ、(3χ+1)Q进行计算，利用该运算结果计算各值l₇、l₈、l₉、l₁₀，计算有理函数f′_χ，Q(S)。 

然后，电子计算机10可以将配对e(Q，S)作为 

[公式28] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^8-1)/r}$

计算。 

还有，在嵌入次数k＝8的情况下，位数r与Frobenius自同态φ_p的踪迹t也可以用整数变量χ表示如下。 

r(χ)＝χ⁴-8χ²+25， 

t(χ)＝(2χ³-11χ+15)/15. 

在这种情况下，整数变量χ的利用特征p进行的p-进展开如下所示。 

χ＝-p+2p³(mod r(χ)). 

在这种情况下，也可以用通过有理点(pQ，χQ)的直线上的有理点S(x_s，y_s)的值l₁₁利用下式对有理函数f′_χ，Q(S)进行计算 

[公式29] 

f′_χ，Q(S)＝f_χ，Q(S)·l₁₁

或是，在嵌入次数k＝8的情况下，也可以用Miller算法计算的有理函数由f_χ⌒2，Q(S)(χ⌒2表示χ²)以及f_χ，Q(S)给出，计算配对e(Q，S)。 

这时，位数r与Frobenius自同态φ_p的踪迹t可以用整数变量χ表示如下。 

r(χ)＝χ⁸-χ⁴+1， 

t(χ)＝χ⁵-χ+1. 

在这种情况下，整数变量χ的利用特征p进行的p-进展开如下所示。 

pχ+χ²＝-p²(mod r(χ)) 

在这种情况下，可以用通过有理点(χ²Q，pχQ)的直线上的有理点S(x_s，y_s)的值l₁₂，利用下式计算有理函数f′_χ，Q(S)。 

[公式30] 

${f^{\′}}_{\mathrm{\χ},Q}\left(S\right)=f_{{\mathrm{\χ}}^2,Q}\left(S\right)\·f_{\mathrm{\χ},Q}{\left(S\right)}^p\·l_{12}$

在这里，电子计算机10如上所述利用Miller算法进行对有理函数f_χ⌒2，Q(S)及有理函数f_χ，Q(S)的运算，同时进行对χQ的运算，将运算结果存储于规定的寄存器。 

然后，电子计算机10可以假定在规定的寄存器中存储的χQ＝R，利用该R的Frobenius自同态φ_p的φ_p(R)＝pR的关系，对有理点pχQ进行计算，利用该运算结果计算所述值l₁₂，计算有理函数f′_χ，Q(S)，将配对e(Q，S)作为 

[公式28] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^8-1)/r}$

进行计算。 

又，在嵌入次数k＝18的情况下，曲线方程式由y²＝x³+b，b∈F_p给出，以F_p ¹⁸为定义域的可配对椭圆曲线上的有理点形成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p为Frobenius自同态，利用 

G₁＝E[r]∩Ker(φ_p-[1])， 

G₂＝E[r]∩Ker(φ_p-[p]) 

将配对e定义为 

e：G₂×G₁→F^* _p ¹⁸/(F^* _p ¹⁸)^r

即非简并双线性映射。 

在这种情况下，位数r与Frobenius自同态φ_p的踪迹t利用整数变量χ表示如下。 

r(χ)＝(χ⁶+37χ³+343)/343， 

t(χ)＝(χ⁴+16χ+7)/7. 

在这种情况下，整数变量χ的利用特征p进行的p-进展开如下所示。 

χ＝-3p+p⁴(mod r(χ)). 

而且，电子计算机10利用下式，用通过有理点(3pQ，χQ)的直线的有理点S(x_s，y_s)的值l₁₃，计算有理函数f′_χ，Q(S)。 

[公式31] 

f′_χ，Q(S)＝f_χ，Q(S)·l₁₃

也就是说，电子计算机10利用配对运算程序，如上所述利用Miller算法进行对有理函数f_χ，Q(S)的计算，与对有理函数f_χ，Q(S)进行计算同时，对χQ进行计算，将运算结果存储于规定的寄存器。 

接着，电子计算机10可以利用对有理函数f_χ，Q(S)和χQ的运算结果，计算所述值l₁₃，计算有理函数f′_χ，Q(S)，将配对e(Q，S)作为 

[公式32] 

$e(Q,S)={f^{\′}}_{\mathrm{\χ},Q}{\left(S\right)}^{(p^{18}-1)/r}$

计算。 

如上所述，利用Xate配对进行配对运算，可以使配对运算高速化，能够使利用配对运算的群签名实用化。 

工业应用性 

如果采用本发明，则能够提供高速度的配对运算装置，能够提供具有实用性的数字群签名服务。 

Claims (6)

1.一种用于使配对运算高速化以将数字群签名实用化的配对运算装置，

曲线方程式由y²＝x³+ax+b，a∈F_p，b∈F_p给出，嵌入次数为k，以F为定义域的能够配对的椭圆曲线上的有理点构成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p为Frobenius自同态，借助于

G₁＝E[r]∩Ker(φ_p-[1])，

G₂＝E[r]∩Ker(φ_p-[p])，将配对e定义为

$e:G_2\×G_1\→{{F^{*}}_p}^k/{\left({{F^{*}}_p}^k\right)}^r$

即非简并双线性映射，

计算配对e(Q，S)，其中S∈G₁、Q∈G₂，输出运算结果，其特征在于，

取代Frobenius自同态φ_p的踪迹记为t，利用用Miller算法计算的有理函数f_t-1，Q(S)，将配对e(Q，S)作为

[公式2]

$e(Q,S)=f_{t-1,Q}{\left(S\right)}^{(p^k-1)/r}$

计算，代之以利用

将位数r和Frobenius自同态φ_p的踪迹t作为整数变量x的函数，利用以下部件进行配对运算：

计算有理函数f_x，Q(S)的运算部件、

计算通过规定的有理点的直线的有理点S(x_s，y_s)上的值的运算部件、

利用这些运算部件的运算结果对有理函数进行计算的运算部件、以及

利用所述有理函数作为

[公式3]

$e(Q,S)={f^{\′}}_{x,Q}{\left(S\right)}^{(p^k-1)/r}$

进行配对运算的运算部件。

2.根据权利要求1所述的用于使配对运算高速化以将数字群签名实用化的配对运算装置，其特征在于，计算所述有理函数f_x，Q(S)的运算部件，具有对xQ进行运算，将运算结果存储于规定的寄存器，

采用所述xQ的运算结果，对所述规定的有理点进行运算的运算部件。

3.根据权利要求2所述的用于使配对运算高速化以将数字群签名实用化的配对运算装置，其特征在于，在所述嵌入次数k＝12的情况下，

将位数r和Frobenius自同态φ_p的踪迹t，用所述整数变量x表示为

r(x)＝36x⁴-36x³+18x²-6x+1，

t(x)＝6x²+1，

使xQ＝R，利用该R的Frobenius自同态φ_p为φ_p(R)＝pR的关系，分别计算有理点p¹⁰xQ、xQ+p¹⁰xQ、pxQ+p³xQ，

分别计算通过有理点(xQ，p¹⁰xQ)的直线上的所述有理点S(x_s，y_s)的值l₁和通过有理点(xQ+p¹⁰xQ，pxQ+p³xQ)的直线上的所述有理点S(x_s，y_s)的值l₂，

利用通过有理点(pxQ，p³xQ)的直线上的所述有理点S(x_s，y_s)的值l₃，作为

[公式4]

${f^{\′}}_{x,Q}\left(S\right)=f_{x,Q}{\left(S\right)}^{1+p+p^3+p^{10}}\·l_1\·l_2\·l_3$

计算所述有理函数

4.根据权利要求3所述的用于使配对运算高速化以将数字群签名实用化的配对运算装置，其特征在于，利用所述有理函数f_x，Q(S)的Frobenius自同态φ_p为φ_p(f_x，Q(S))＝f_x，Q(S)^p的情况，对

[公式5]

$f_{x,Q}{\left(S\right)}^{1+p^{10}}\·l_1$

进行运算，同时

利用通过Q₁，Q₂∈G₂的有理点(Q₁，Q₂)的直线上的所述有理点

S(x_s，y_s)的值l的Frobenius自同态φ_p就是通过有理点(pQ₁，pQ₂)的直线上的所述有理点S(x_s，y_s)的值的情况，计算作为

[公式6]

$f_{x,Q}{\left(S\right)}^{p+p^3}\·l_3={\mathrm{\φ}}_p^3(f_{x,Q}{\left(S\right)}^{1+p^{10}}\·l_1)$

的

[公式7]

$f_{x,Q}{\left(S\right)}^{p+p^3}\·l_3$ ，计算所述有理函数

5.一种用于使配对运算高速化以将数字群签名实用化的配对运算方法，是

曲线方程式由y²＝x³+ax+b，a∈F_p，b∈F_p给出，嵌入次数为k，将作为定义域的可配对的椭圆曲线上的有理点构成的加法群记为E，素数位数r的有理点的集合记为E[r]，以φ_p为Frobenius自同态，利用

G₁＝E[r]∩Ker(φ_p-[1])，

G₂＝E[r]∩Ker(φ_p-[p])

将配对e定义为

$e:G_2\×G_1\→{{F^{*}}_p}^k/{\left({{F^{*}}_p}^k\right)}^r$

即非简并双线性映射，

其中S∈G₁、Q∈G₂，用具备CPU的电子计算机计算配对e(Q，S)的配对运算方法，其特征在于，

取代Frobenius自同态φ_p的踪迹记为t，利用用Miller算法计算的有理函数f_t-1，Q(S)，将配对e(Q，S)作为

[公式2]

$e(Q,S)=f_{t-1,Q}{\left(S\right)}^{(p^k-1)/r}$

计算，代之将位数r和Frobenius自同态φp的踪迹记为t作为整数变量x的函数，具有下述步骤：

使所述电子计算机的CPU作为运算部件发挥作用，对有理函数

f_x，Q(S)进行运算的步骤；

使所述电子计算机的CPU作为运算部件发挥作用，运算通过规定的有理点的直线的有理点S(x_s，y_s)的值的步骤；

使所述电子计算机的CPU作为运算部件发挥作用，采用所述运算结果对有理函数进行运算的步骤；以及

使所述电子计算机的CPU作为运算部件发挥作用，采用所述有理函数作为

[公式3]

$e(Q,S)={f^{\′}}_{x,Q}{\left(S\right)}^{(p^k-1)/r}$

进行运算的步骤。

6.根据权利要求5所述的用于使配对运算高速化以将数字群签名实用化的配对运算方法，其特征在于，

在对所述有理函数f_x，Q(S)进行运算的步骤之後，具有使所述电子计算机的CPU作为运算部件发挥作用，对xQ进行运算，利用该xQ的运算结果，对所述规定的有理点进行运算的步骤。