CN102387015B - 一种应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法 - Google Patents

Abstract

本发明提供一种应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，包括步骤：将椭圆曲线坐标表示从仿射坐标系转化到射影坐标系；将常规二进制整数k、l表示为非联合形式NAF(k)、NAF(l)；采用滑动窗口法计算射影坐标下椭圆曲线标量乘法kP；采用滑动窗口法，在射影坐标下同步计算应用于数字签名验证的标量乘法之和kP+lQ。本发明具有运行时间短、需存储容量小的特点，可广泛应用于无线传感器网络中。

Description

一种应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法

技术领域

本发明涉及安全技术，特别是涉及一种应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法。

背景技术

无线传感器网络WSN(Wireless Sensor Network)作为一种自组织网络，由大量无线传感器节点协同工作，实现某一特定任务，如，气候监测、大气污染监测、海洋监测、地震监测、家庭环境监测、生物威胁检测与预报等。由于无线传感器节点通常部署在无人维护的不可控环境中，易发生信息泄露、信息篡改、重放攻击、拒绝服务、被攻击者物理操纵等问题；因此，无线传感器节点的安全问题是WSN的关键问题。

目前，公钥加密(或称之为“非对称加密”)方法包括基于大数因子分解的加密法，如，RSA公钥加密法；基于离散对数的加密法，如，DSA公钥加密法；基于椭圆曲线离散对数的加密法，如，椭圆曲线密码ECC(Elliptic CurveCryptography)加密法。其中，ECC密钥长度较短，如，160比特的ECC密钥相当于1024比特的RSA密钥，较适用于具有存储容量较小、计算能力较弱、电池容量较小、传输速率较低等特点的无线传感器节点中。但是，ECC加密法中的椭圆曲线标量乘法很耗时和耗内存，为使ECC加密法进一步适应WSN，需要提高ECC加密法中标量乘法计算效率。

由此可见，现有技术中，由于椭圆曲线标量乘法很耗时和耗内存，故椭圆曲线标量乘法计算效率较低。

发明内容

有鉴于此，本发明的主要目的在于提供一种节约时间和存储空间的应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法。

为了达到上述目的，本发明提出的技术方案为：

一种应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，包括如下步骤：

步骤A、将椭圆曲线坐标从仿射坐标系转化到射影坐标系；

步骤B、将常规二进制整数k、l表示为非联合形式二进制整数NAF(k)、NAF(l)，包括如下具体步骤：

步骤B1、常规二进制整数k、l均具有n比特位；其中，i、n均为非负整数，且0≤i≤n；

步骤B2、对常规二进制整数k、l进行奇偶性判断：当常规二进制整数k、l为奇数时，k_i＝2-(kmod4)、l_i＝2-(lmod4)、k＝k-k_i、l＝l-l_i；当常规二进制整数k、l为偶数时，k_i＝0、l_i＝0；存储k_i、l_i；其中，k_i、l_i分别为常规二进制整数k、l的第i比特位；

步骤B3、根据步骤B2中常规二进制整数k、l奇偶性判断结果，取k＝k/2、l＝l/2、i＝i+1；

步骤B4、判断k≥1是否成立：当k≥1时，返回步骤B2；当k<1时，常规二进制整数k、l为非联合形式二进制整数NAF(k)＝(k_n-1,k_n-2,…,k₁,k₀)、NAF(l)＝(l_n-1,l_n-2,…,l₁,l₀)，输出NAF(k)、NAF(l)；

步骤C、采用滑动窗口法计算射影坐标下椭圆曲线标量乘法kP，包括如下具体步骤：

步骤C1、计算并存储P_j＝jP，设置R＝∞、d＝n-1；其中，d为非负整数，且0≤d≤n；P为椭圆曲线上的一个点，滑动窗口w的大小为使得窗口内的部分非联合形式二进制整数是比特位最大的奇数；

步骤C2、判断k_d＝0是否成立：当k_d＝0时，设置t＝1、u＝0；当k_d≠0时，寻找满足t≤w的最大t，且u＝(k_d,k_d-1,…,k_d-t+1)为奇数；其中，k_d为常规二进制整数k的第d比特位；t为整数，(k_d,k_d-1,…,k_d-t+1)为部分NAF(k)；

步骤C3、根据步骤C2中的判断结果，依次设置R＝2^tR、R＝R+P_u、d＝d-t；其中，P_u＝uP；

步骤C4、判断是否d≥0：当d≥0时，返回步骤C2；当d<0时，R即为kP，输出R；

步骤D、采用滑动窗口法，在射影坐标下同步计算应用于数字签名验证的标量乘法之和kP+lQ；其中，Q为椭圆曲线上的另一个点。

综上所述，本发明中，椭圆曲线坐标通过从仿射坐标到射影坐标的转变，将求逆运算转化为乘法运算；其次，通过非联合形式二进制整数中非零位个数的减少，节约了标量乘法与标量乘法之和的计算时间和存储容量；再次，通过滑动窗口法使得窗口内部分非联合形式二进制整数为最大比特位奇数时，多位一次性参与标量乘法与标量乘法之和的计算，而不采用非联合形式表示的二进制整数逐位参与标量乘法与标量乘法之和的计算，进一步节约了标量乘法与标量乘法之和的计算时间和存储容量。

附图说明

图1是本发明所述应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法的流程示意图。

图2是本发明常规二进制整数非联合形式表示法的流程示意图。

图3是本发明采用滑动窗口法计算射影坐标下椭圆曲线标量乘法的流程示意图。

图4是本发明采用滑动窗口法同步计算射影坐标下标量乘法之和的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步地详细描述。

图1是本发明所述应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法的流程示意图。如图1所示，本发明所述应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法包括如下步骤：

步骤A、将椭圆曲线坐标从仿射坐标系(affine coordinates)转化到射影坐标系(projective coordinates)。

步骤B、将常规二进制整数k、l表示为非联合形式二进制整数NAF(k)、NAF(l)。

步骤C、采用滑动窗口法计算射影坐标下椭圆曲线标量乘法kP。

步骤D、采用滑动窗口法，在射影坐标下同步计算应用于数字签名验证的标量乘法之和kP+lQ。

总之，本发明首先将椭圆曲线坐标表示从仿射坐标系转化到射影坐标系，将求逆运算转化为乘法运算；其次，将常规二进制整数表示为非联合形式，减少了二进制序列中的非零位个数；再次，采用滑动窗口法获取椭圆曲线的标量乘法与标量乘法之和；因此，本发明方法的上述措施，均减少了计算复杂度，也减少了计算时间消耗和内存消耗，适合应用于计算能力、存储资源、带宽、能量均有限的无线传感节点，减少了实现安全机制所带来的额外开销。

实际应用中，本发明所述应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法还包括：

步骤E、将步骤D得到的标量乘法之和kP+lQ的坐标由射影坐标转化为仿射坐标。

步骤A中，椭圆曲线为：在仿射坐标中，域(Field)K上满足y²+a₁xy+a₃y＝x³+a₂x²+a₄x+a₆的曲线；在椭圆曲线中，仿射坐标A(K)＝{(x,y):x,y∈K}和射影坐标P(K)^*＝{(X:Y:Z):X,Y,Z∈K,Z≠0}具有一一对应关系。在仿射坐标中，椭圆曲线上存在一个无限远点，用∞表示；该无限远点对应于射影坐标下的椭圆曲线点(1,1,0)。

步骤A中，将椭圆曲线坐标表示从仿射坐标系转化到射影坐标系，具体为：其中，参数a₁,a₂,a₃,a₄,a₆∈K,△≠0，且 $\left\{\begin{array}{c}\mathrm{\&Delta;}=-d_2^2{d}_8-8d_4^3-27+9d_2{d}_4{d}_6\\ d_2=a_1^2+4a_2\\ d_4=2a_4+a_1{a}_2\\ d_6=a_3^2+4a_6\\ d_8=a_1^2{a}_6+4a_2{a}_6-a_1{a}_3{a}_4+a_2{a}_3^2-a_4^2\end{array}\right.,$ 参数c、d为正整数。

这里，参数a₁,a₂,a₃,a₄,a₆∈K,△≠0使得椭圆曲线上任一点的切线是唯一的。

实际应用中，椭圆曲线上的基本运算包括点加运算和倍点运算：

假设P＝(x₁,y₁)、Q＝(x₂,y₂)为椭圆曲线上任意两点，P≠±Q，则点加运算为P+Q＝(x₃,y₃)，且 $\left\{\begin{array}{c}{x}_3={\left(\frac{y_2-y_1}{x_2-x_1}\right)}^2-x_1-x_2\\ y_3=\left(\frac{y_2-y_1}{x_2-x_1}\right)(x_1-x_3)-y_1\end{array}\right.;$ P≠-P，则倍点运算为2P＝(x₃,y₃)，且 $\left\{\begin{array}{c}{x}_3={\left(\frac{3x_1^2+a}{2y_1}\right)}^2-2x_1\\ y_3=\left(\frac{3x_1^2+a}{2y_1}\right)(x_1-x_3)-y_1\end{array}\right.;$ 如果v为整数，则椭圆曲线标量乘法为vP。

本发明中，射影坐标为雅可比(Jacobian)坐标，即，参数c＝2、d＝3。当参数c＝1、d＝1时，射影坐标为标准射影坐标。在雅克比坐标下，∞+P＝P、v·∞＝∞成立。

比如，仿射坐标下的椭圆曲线E:y²＝x³+ax+b，其对应的射影坐标下椭圆曲线Y²＝X³+aXZ⁴+bZ⁶。椭圆曲线E标准射影坐标下任一点P_C＝(X₁:Y₁:Z₁)对应于雅可比坐标下的点P_J＝(X₁/Z₁ ²/:Y₁/Z₁ ³:1)。标准射影坐标下倍点坐标2P_C＝(X₃':Y₃':1)及其对应的射影坐标下倍点坐标2P_J＝(X₃:Y₃:Z₃)依次为：

$\left\{\begin{array}{c}{X}_3^{\&prime;}=\frac{{(3X_1^2+a{Z}_1^4)}^2-8X_1{Y_1}^2}{4{Y_1}^2{Z}_1^2}\\ Y_3^{\&prime;}=\frac{(3X_1^2+a{Z}_1^4)}{2Y_1{Z}_1}(\frac{X_1}{Z_1^2}-X_3^{\&prime;})-\frac{Y_1}{Z_1^3}\end{array}\right.,\left\{\begin{array}{c}{X}_3={(3X_1^2+a{Z}_1^4)}^2-8X_1{Y}_1^2\\ Y_3=(3X_1^2+a{Z}_1^4)(4X_1{Y_1}^2-X_3)-8{Y_1}^4\\ Z_3=2X_1{Z}_1\end{array}\right.$

椭圆曲线E标准射影坐标下两点P_C、Q_C的加运算坐标P_C+Q_C＝(X₃':Y₃':1)及其对应的射影坐标下倍点坐标P_J+Q_J＝(X₃:Y₃:Z₃)依次为：

$\left\{\begin{array}{c}{X}_3^{\&prime;}={\left(\frac{Y_2{Z}_1^3-Y_1}{(X_2{Z}_1^2-X_1)Z_1}\right)}^2-\frac{X_1}{Z_1^2}-X_2\\ Y_3^{\&prime;}=\frac{Y_2{Z}_1^3-Y_1}{(X_2{Z}_1^2-X_1)Z_1}(\frac{X_1}{{Z_1}^2}-X_3^{\&prime;})-\frac{Y_1}{Z_1^3}\end{array}\right.,\left\{\begin{array}{c}{X}_3={(Y_2{Z}_1^3-Y_1)}^2-(X_2{Z}_1^2-X_1)(X_1+X_2{Z}_1^2)\\ Y_3=(Y_2{Z}_1^3-Y_1)(X_1(X_2{Z}_1^2-X_1)-X_3)-Y_1{(X_2{Z}_1^2-X_1)}^3\\ Z_3=(X_2{Z}_1^2-X_1)Z_1\end{array}\right.$

步骤B中，非联合形式NAF(Non-Adjacent Form)是一种带符号的二进制表示法，NAF表示的二进制数中没有连续两位是非零。比如，在非联合形式中，假设采用符号表示负数-a，即，则常规二进制数7＝(111)₂对应的实际应用中，非联合形式表示的二进制整数序列中具有最少的非零位，非零位比特数占总比特数的三分之一。二进制数中零位数量的增加，可以降低计算时间。

图2是本发明常规二进制整数非联合形式表示法的流程示意图。如图2所示，步骤B中，将常规二进制整数k、l表示为非联合形式二进制整数NAF(k)、NAF(l)，包括如下步骤：

步骤B1、常规二进制整数k、l均具有n比特位，设置i＝0，其中，i、n均为非负整数，且0≤i≤n。

步骤B2、对常规二进制整数k、l进行奇偶性判断：当常规二进制整数k、l为奇数时，k_i←2-(kmod4)、l_i←2-(lmod4)、k←k-k_i、l←l-l_i；当常规二进制整数k、l为偶数时，k_i←0、l_i←0；存储k_i、l_i；其中，k_i、l_i分别为常规二进制整数k、l的第i比特位。

步骤B3、根据步骤B2中常规二进制整数k、l奇偶性判断结果，取k←k2、l←l2、i←i+1。

步骤B4、判断k≥1是否成立：当k≥1时，返回步骤B2；当k<1时，常规二进制整数k、l的非联合形式二进制整数NAF(k)＝(k_n-1,k_n-2,…,k₁,k₀)、NAF(l)＝(l_n-1,l_n-2,…,l₁,l₀)，输出NAF(k)、NAF(l)。

图3是本发明采用滑动窗口法计算射影坐标下椭圆曲线标量乘法的流程示意图。如图3所示，步骤C中，采用滑动窗口法计算射影坐标下椭圆曲线标量乘法kP，包括如下步骤：

步骤C1、计算并存储P_j＝jP，设置R←∞、d←n-1；其中，d为非负整数，且0≤d≤n；P为椭圆曲线上的一个点，滑动窗口w的大小为使得窗口内的部分非联合形式二进制整数是比特位最大的奇数。

步骤C2、判断k_d＝0是否成立：当k_d＝0时，设置t←1、u←0；当k_d≠0时，寻找满足t≤w的最大t，且u←(k_d,k_d-1,…,k_d-t+1)为奇数；其中，k_d为常规二进制整数k的第d比特位；t为整数，(k_d,k_d-1,…,k_d-t+1)为部分NAF(k)。

这里，滑动窗口w的大小使得窗口内的部分非联合形式二进制整数u←(k_d,k_d-1,…,k_d-t+1)为比特位最大的奇数。

步骤C3、根据步骤C2中的判断结果，依次设置R←2^tR、R←R+P_u、d←d-t；其中，P_u＝uP。

实际应用中，根据u，采用查表方式从步骤C1中存储的P_j中查找P_u。

步骤C4、判断是否d≥0：当d≥0时，返回步骤C2；当d<0时，R即为kP，输出R。

图4是本发明采用滑动窗口法同步计算射影坐标下标量乘法之和的流程示意图。如图4所示，步骤D中，采用滑动窗口法，在射影坐标下同步计算应用于数字签名验证的标量乘法之和kP+lQ，包括如下步骤：

步骤D1、计算并存储P_f+Q_m＝fP+mQ，设置R←∞、p←n-1；其中，p为非负整数，且0≤p≤n；P、Q为椭圆曲线上的两个点， $f,m\&Element;\{\mathrm{1,3,5}...,\frac{2(2^w-{(-1)}^w)}{3}-1\}.$

实际应用中，P_f+Q_m以矩阵方式存储。

步骤D2、判断k_p、l_p是否均为0：如果是，则设置q←1，r←0，s←0；如果不是，寻找满足q≤w的最大q，且r←(k_p,k_p-1,…,k_p-q+1)、s←(l_p,l_p-1,…,l_p-q+1)同为奇数；其中，k_p、l_p分别为常规二进制整数k、l的第p比特位；r、s均为非负整数，(k_p,k_p-1,…,k_p-q+1)为部分NAF(k)、(l_p,l_p-1,…,l_p-q+1)为部分NAF(l)。

这里，滑动窗口w的大小使得窗口内的部分非联合形式二进制整数r←(k_p,k_p-1,…,k_p-q+1)、s←(l_p,l_p-1,…,l_p-q+1)同为比特位最大的奇数。

步骤D3、根据步骤D2中的判断结果，依次设置R←2^qR、R←R+(P_r+Q_s)、p←p-q。

实际应用中，根据r、s，采用查表方式从步骤D1中存储的P_f+Q_m中查找P_f+Q_s。

步骤D4、判断p≥0是否成立：当p≥0时，返回步骤D2；当p<0时，R即为kP+lQ，输出R。

实际应用中，如果采用I、M、S分别表示求逆(Inversion)运算、乘法(Multiplication)运算、平方(Square)运算，一般情况下射影坐标可将点加运算、倍点运算中求逆变运算转化乘法运算。仿射坐标行点加运算的计算量为I+2M+2S；射影坐标下倍点运算的计算量为8M+3S。仿射坐标行倍点运算的计算量为I+2M+2S；射影坐标倍点运算的计算量为3M+6S。

实际应用中，n比特位的常规二进制整数序列中的“0”和“1”出现的概率相同，故“1”出现的概率为标量乘法kP的运算时间为对常规二进制整数进行非联合形式表示后，标量乘法kP的运算时间为对常规二进制整数进行非联合形式表示后，采用滑动窗口法的标量乘法kP的运算时间为 $[D+(\frac{(2^w-{(-1)}^w)}{3}-1)A]+[\frac{n}{w+f\left(w\right)}A+\mathrm{nD}].$ 其中，A为点加运算的运算时间，D为倍点运算的运算时间，两个滑动窗口之间的“0”的个数可以看出，常规二进制整数采用非联合形式、基于滑动窗口法计算标量乘法kP后，标量乘法kP的运算时间与标量乘法之和kP+lQ的运算时间均有较大的减少。

实际应用中，计算标量乘法之和kP+lQ的常用方法是分别计算kP和lQ后，再相加得到kP+lQ。若窗口大小w固定，则计算kP+lQ需要步；同时，为存储fP+mQ，需要2^2w-1个存储点。采用非联合形式表示常规二进制数后，基于滑动窗口，同时计算标量乘法之和kP+lQ，可减少2^2(w-1)-1个存储点，减少约9％的存储点。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，其特征在于，所述方法包括如下步骤：

步骤A、将椭圆曲线坐标从仿射坐标系转化到射影坐标系；

步骤B、将常规二进制整数k、l表示为非联合形式二进制整数NAF(k)、NAF(l)，包括如下具体步骤：

步骤B1、常规二进制整数k、l均具有n比特位；其中，i、n均为非负整数，且0≤i≤n；

步骤B2、对常规二进制整数k、l进行奇偶性判断：当常规二进制整数k、l为奇数时，k_i＝2-(kmod4)、l_i＝2-(lmod4)、k＝k-k_i、l＝l-l_i；当常规二进制整数k、l为偶数时，k_i＝0、l_i＝0；存储k_i、l_i；其中，k_i、l_i分别为常规二进制整数k、l的第i比特位；

步骤B3、根据步骤B2中常规二进制整数k、l奇偶性判断结果，取k＝k/2、l＝l/2、i＝i+1；

步骤B4、判断k≥1是否成立：当k≥1时，返回步骤B2；当k<1时，常规二进制整数k、l为非联合形式二进制整数NAF(k)＝(k_n-1,k_n-2,…,k₁,k₀)、NAF(l)＝(l_n-1,l_n-2,…,l₁,l₀)，输出NAF(k)、NAF(l)；

步骤C、采用滑动窗口法计算射影坐标下椭圆曲线标量乘法kP，包括如下具体步骤：

步骤C1、计算并存储P_j＝jP，设置R＝∞、d＝n-1；其中，d为非负整数，且0≤d≤n；P为椭圆曲线上的一个点，滑动窗口w的大小为使得窗口内的部分非联合形式二进制整数是比特位最大的奇数；

步骤C2、判断k_d＝0是否成立：当k_d＝0时，设置t＝1、u＝0；当k_d≠0时，寻找满足t≤w的最大t，且u＝(k_d,k_d-1,…,k_d-t+1)为奇数；其中，k_d为常规二进制整数k的第d比特位；t为整数，(k_d,k_d-1,…,k_d-t+1)为部分NAF(k)；

步骤C3、根据步骤C2中的判断结果，依次设置R＝2^tR、R＝R+P_u、d＝d-t；其中，P_u＝uP；

步骤C4、判断是否d≥0：当d≥0时，返回步骤C2；当d<0时，R即为kP，输出R；

步骤D、采用滑动窗口法，在射影坐标下同步计算应用于数字签名验证的标量乘法之和kP+lQ；其中，Q为椭圆曲线上的另一个点。

2.根据权利要求1所述的应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，其特征在于，所述方法还包括：

步骤E、将步骤D得到的标量乘法之和kP+lQ的坐标由射影坐标转化为仿射坐标。

3.根据权利要求1所述的应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，其特征在于，步骤A中，所述椭圆曲线为：在仿射坐标中，域K上满足y²+a₁xy+a₃y＝x³+a₂x²+a₄x+a₆的曲线；在所述椭圆曲线中，仿射坐标A(K)＝{(x,y):x,y∈K}与射影坐标P(K)*＝{(X:Y:Z):X,Y,Z∈K,Z≠0}一一对应；仿射坐标下椭圆曲线上的无穷远点∞与射影坐标下椭圆曲线上的无穷远点(1,1,0)一一对应；

所述将椭圆曲线坐标从仿射坐标系转化到射影坐标系，具体为： $y\&RightArrow;\frac{Y}{Z^d};$ 其中，参数a₁,a₂,a₃,a₄,a₆∈K,△≠0，且 $\left\{\begin{array}{c}\mathrm{\&Delta;}=-d_2^2{d}_8-8d_4^3-27+9d_2{d}_4{d}_6\\ d_2=a_1^2+4a_2\\ d_4=2a_4+a_1{a}_2\\ d_6=a_3^2+4a_6\\ d_8=a_1^2{a}_6+4a_2{a}_6-a_1{a}_3{a}_4+a_2{a}_3^2-a_4^2\end{array}\right.,$ 参数c、d为正整数。

4.根据权利要求3所述的应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，其特征在于，所述射影坐标为雅可比坐标，参数c＝2、d＝3。

5.根据权利要求1所述的应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，其特征在于，步骤C3中，根据u，采用查表方式从步骤C1中存储的P_j中查找P_u。

6.根据权利要求1所述的应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，其特征在于，步骤D所述采用滑动窗口法，在射影坐标下同步计算应用于数字签名验证的标量乘法之和kP+lQ，包括如下步骤：

步骤D1、计算并存储P_f+Q_m＝fP+mQ，设置R＝∞、p＝n-1；其中，p为非负整数，且0≤p≤n；P、Q为椭圆曲线上的两个点， $f,m\&Element;\{\mathrm{1,3,5}...,\frac{2(2^w-{(-1)}^w)}{3}-1\};$

步骤D2、判断k_p、l_p是否均为0：如果是，则设置q＝1，r＝0，s＝0；如果不是，寻找满足q≤w的最大q，且r＝(k_p,k_p-1,…,k_p-q+1)、s＝(l_p,l_p-1,…,l_p-q+1)同为奇数；其中，k_p、l_p分别为常规二进制整数k、l的第p比特位；r、s均为非负整数，(k_p,k_p-1,…,k_p-q+1)为部分NAF(k)、(l_p,l_p-1,…,l_p-q+1)为部分NAF(l)；

步骤D3、根据步骤D2中的判断结果，依次设置R＝2^qR、R＝R+(P_r+Q_s)、p＝p-q；

步骤D4、判断p≥0是否成立：当p≥0时，返回步骤D2；当p<0时，R即为kP+lQ，输出R。

7.根据权利要求6所述的应用于数字签名验证的提高椭圆曲线标量乘法计算效率的方法，其特征在于，步骤D1中，所述P_f+Q_m以矩阵方式存储；步骤D3中，根据r、s，采用查表方式从步骤D1中存储的P_f+Q_m中查找P_r+Q_s。