WO2012019407A1

WO2012019407A1 - 一种数据加密方法、数据解密方法、发送节点及接收节点

Info

Publication number: WO2012019407A1
Application number: PCT/CN2010/079823
Authority: WO
Inventors: 张震玮; 王景成; 何军; 骆舰; 张弥; 赵广磊
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-08-09
Filing date: 2010-12-15
Publication date: 2012-02-16
Also published as: CN101931529A; CN101931529B

Description

一种数据加密方法、数据解密方法、发送节点及接收节点技术领域

本发明涉及椭圓曲线密码（ ECC, Elliptic Curve Cryptography )技术领域，具体涉及一种基于椭圓曲线公钥密码体制的数据加密方法、数据解密方法、发送节点及接收节点。背景技术

密码体制一般可以划分为两种类型：对称密码体制和公钥密码体制。其中，公钥密码体制是由 Diffie-Hellman与 Merkle分别独立提出的，第一篇关于公钥密码学的论文 multiuser cryptographic techniques于 1976年 6月提交给美国的全国计算机会议。现在较为常用的公钥密码体制有 RSA公钥密码体制，椭圓曲线密码体制等。在现有的公钥密码体制中，椭圓曲线密码体制是目前已知的公钥密码体制中每比特加密等级最高的一种。

数字签名技术是对公钥加密算法的主要应用，其主要功能是用于提供数据源认证，数据完整性和不可否认性认证。椭圓曲线数字签名技术是数字签名的椭圓曲线版本。它利用椭圓曲线密码体制较强的安全强度和相对较短的密钥长度来实现对数据源和数据完整性的认证。公钥加密算法的应用还包括利用椭圓曲线公钥密码体制对待发送的信息进行加密和对密文信息进行解密。

现有的椭圓曲线公钥密码体制中，需要进行椭圓曲线上的倍点运算，而倍点运算中的求逆运算的运算量非常大，会耗费大量的运算资源，这对支持椭圓曲线公钥密码体制的节点设备的硬件有很高的要求，限制了椭圓曲线公钥密码体制在一些功能有限的节点终端（如无线传感节点）上的应用。发明内容

本发明所要解决的技术问题是提供一种数据加密方法、数据解密方法、发送节点及接收节点，用以降低椭圓曲线公钥密码体制的数字签名认证的运算量。

为解决上述技术问题，本发明提供方案如下：

一种基于椭圓曲线公钥密码体制的数据加密方法，包括：

发送节点获取预先设置的椭圓曲线的参数组、密钥以及数据信息；发送节点利用椭圓曲线的参数组、密钥以及数据信息，计算得到数据加密信息，并将所述数据加密信息发送给接收节点；

其中，在计算所述数据加密信息的过程中，将所述椭圓曲线转换为投影坐标系下的方程，并利用所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算。

优选地，上述数据加密方法中，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算，具体包括：

将所述椭圓曲线投影到投影坐标系，将所述椭圓曲线转换为投影坐标系下的方程，并确定所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系；

根据所述对应关系，通过将所述椭圓曲线的倍点运算公式中的仿射点的坐标替换为投影点的坐标，转换得到所述椭圓曲线的倍点运算在投影坐标系下的计算公式；

利用所述对应关系和所述计算公式，将所述椭圓曲线上的倍点运算，转换到所述投影坐标系下进行计算。

优选地，上述数据加密方法中，所述密钥为接收节点的公钥，所述数据信息为明文信息，所述数据加密信息是所述明文信息对应的密文信息。优选地，上述数据加密方法中，所述密钥为发送节点的私钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；

且发送节点在将所述数字签名信息发送给接收节点时，还将所述标识信息发送给接收节点。

优选地，上述数据加密方法中，所述发送节点的数字签名信息的计算包括：

从 1到《 - 1之间任意选取一个整数其中《是椭圓曲线的基点的素数计算然后将的 X坐标 x₃转换为整数并对整数取模《运算，得到 r, 其中 ρ = ( ,ρ ，表示所述椭圓曲线的基点；

使用预设的杂凑函数对发送节点的标识信息进行杂凑运算，得到杂凑值 _e , 并对 r + )取模《运算，得到其中为所述私钥；

在 r和 s均不等于 0时，得到所述数字签名信息（r, 。

优选地，上述数据加密方法中，

所述投影坐标系为雅可比投影坐标系；

在计算所述 kP的过程中，对于 2P的计算按照以下方式进行：

才艮据所述对应关系，得到仿射点 P对应的投影点 G = ( ： } )；

按照公式 Υ₃ = (3 _L ² + al ) - X, ) -^⁴ , 求解得到

= 2Υ,Ζ, 根据所述对应关系，将投影点转换为仿射点 2Ρ。

本发明还提供了一种发送节点，包括：

获取单元，用于获取预先设置的椭圓曲线的参数组、密钥以及数据信加密单元，用于利用椭圓曲线的参数组、密钥以及数据信息，计算得到数据加密信息；

发送单元，用于将所述数据加密信息发送给接收节点；

其中，所述加密单元用于在计算所述数据加密信息的过程中，将所述椭圓曲线转换为投影坐标系下的方程，并利用所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算。

优选地，上述的发送节点中，所述加密单元包括：

投影单元，用于将所述椭圓曲线投影到投影坐标系，将所述椭圓曲线转换为投影坐标系下的方程，并确定所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系；

转换单元，用于根据所述对应关系，通过将所述椭圓曲线的倍点运算公式中的仿射点的坐标替换为投影点的坐标，转换得到所述椭圓曲线的倍点运算在投影坐标系下的计算公式；

计算单元，用于利用所述对应关系和所述计算公式，将所述椭圓曲线上的倍点运算，转换到所述投影坐标系下进行计算。

优选地，上述的发送节点中，所述密钥为发送节点的私钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；

所述发送单元，用于在将所述数字签名信息发送给接收节点时，还将所述标识信息发送给接收节点。

优选地，上述的发送节点中，所述加密单元包括：

选择单元，用于从 1到《-1之间任意选取一个整数，其中《是所述椭圓曲线的基点的素数阶；

第一计算单元，用于计算 , 然后将的 X坐标 x₃转换为整数并对整数取模《运算，得到 r, 其中 ρ = ( ,/^，表示所述椭圓曲线的基点；第二计算单元，用于使用预设的杂凑函数对发送节点的标识信息进行杂凑运算，得到杂凑值 _e , 并对 ^ + dr)取模《运算，得到其中为所述私钥；

输出单元，用于在 r和 S均不等于 0时，得到所述数字签名信息（r, 。优选地，上述的发送节点中，所述投影坐标系为雅可比投影坐标系，所述第一计算单元，进一步用于在计算所述的过程中，对于 2P的计算按照以下方式进行：

Χ₃ = { Χ, + αΖ^ ) -8 ^²

按照公式 Υ₃ = (3 _L ² + al ) - X, ) -^⁴ , 求解得到

Ζ₃ = ΙΥ^ 根据所述对应关系，将投影点转换为仿射点 2P。

本发明还提供了一种基于椭圓曲线公钥密码体制的数据解密方法，包括：

接收节点接收发送节点的数据加密信息，所述数据加密信息是发送节点利用预设的椭圓曲线的参数组、第一密钥和数据信息计算得到的；

接收节点利用所述椭圓曲线的参数组和所述第一密钥对应的第二密钥，对所述数据加密信息进行解密；

其中，在所述数据加密信息的解密过程中，将所述椭圓曲线转换为投影坐标系下的方程，并利用所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算。

优选地，上述的数据解密方法中，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算，具体包括：将所述椭圓曲线投影到投影坐标系，将所述椭圓曲线转换为投影坐标系下的方程，并确定所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系；

优选地，上述的数据解密方法中，所述第一密钥为接收节点的公钥，所述第二密钥为接收节点的私钥，所述数据信息为明文信息，所述数据加密信息是所述明文信息对应的密文信息。

优选地，上述的数据解密方法中，所述第一密钥为发送节点的私钥，所述第二密钥为发送节点的公钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；

接收节点进一步接收发送节点的标识信息，并在所述数据加密信息的解密过程中，利用所述椭圓曲线的参数组、发送节点的标识信息和所述发送节点的公钥，对所述数字签名信息进行签名认证。

优选地，上述的数据解密方法中，所述对所述数字签名信息进行签名认证, 包括：

在所述数字签名信息（r, 中的 r或 s中任一个不属于区间 [1，《- 1]时，判断数字签名认证失败，其中《是所述椭圓曲线的基点的素数阶；

在 r和 s均属于区间 [1，《 - 1]时，使用预设的杂凑函数对发送节点的标识信息 m进行杂凑运算，得到杂凑值并对^取模《运算得到

计算 ^ 和"^ ,并计算 ι^Ρ + ι^β得到 Γ ,其中, i ewmod " , u₂ = rwmod n , p = (p_x, p_y ) , 表示所述椭圓曲线的基点， ρ表示所述公钥；在 Γ =∞时，判断数字签名认证失败；

在 ≠∞时，将 Γ的 X坐标转换为整数 , 并对取模《运算得到 V , 并判断 v = r是否成立：若成立，则数字签名认证通过；否则数字签名认证失败。

优选地，上述的数据解密方法中，

所述投影坐标系为雅可比投影坐标系；

在计算所述 _MlP或 _Μ2ρ的过程中，对于的计算按照以下方式进行，其中 F表示尸或 Q:

才艮据所述对应关系，得到仿射点 F对应的投影点（? = ( :^4);

Χ₃ =(3Χ^+αΖ^) -8 ^²

按照公式 Υ₃ = (3X + al )(4 ^² - ₃ ) - 8 ，求解得到 2G

Z₃ = ΙΥ^ 根据所述对应关系，将投影点 2G转换为仿射点 2F。

本发明还提供了一种接收节点，包括：

接收单元，用于接收发送节点的数据加密信息，所述数据加密信息是发送节点利用预设的椭圓曲线的参数组、第一密钥和数据信息计算得到的；解密单元，用于利用所述椭圓曲线的参数组和所述第一密钥对应的第二密钥，对所述数据加密信息进行解密；

其中，所述解密单元用于在所述数据加密信息的解密过程中，将所述椭圓曲线转换为投影坐标系下的方程，并利用所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算。

优选地，上述的接收节点中，所述解密单元包括：

优选地，上述的接收节点中，所述第一密钥为发送节点的私钥，所述第二密钥为发送节点的公钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；

所述接收单元，还用于接收发送节点的标识信息；

所述解密单元，还用于在所述数据加密信息的解密过程中，利用所述椭圓曲线的参数组、发送节点的标识信息和所述发送节点的公钥，对所述数字签名信息进行签名认证。

优选地，上述的接收节点中，所述解密单元包括：

第一判断单元，用于在所述数字签名信息（r, s)中的或 s中任一个不属于区间 [1，《-1]时，判断数字签名认证失败，其中《是所述椭圓曲线的基点的素数阶；

第一计算单元，用于在和均属于区间 [1，《-1]时，使用预设的杂凑函数对发送节点的标识信息 w进行杂凑运算，得到杂凑值并对 ^取模《运算得到 w；

第二计算单元，用于计算 _¾^和^2 , 并计算 _Μιρ+_Μ2ρ得到 Γ , 其中，

P = (P_x, P_y ) , 表示所述椭圓曲线的基点， β表示所述公钥， i ewmod" , u₂ = rw mod n；

第二判断单元，用于在 Γ = οο时，判断数字签名认证失败；

第三判断单元，用于在 Γ≠∞时，将 Γ的 X坐标转换为整数 , 并对取模《运算得到并判断 v = r是否成立：若成立，则数字签名认证通过；否则数字签名认证失败。

优选地，上述的接收节点中，

所述投影坐标系为雅可比投影坐标系；

所述第二计算单元，进一步用于在计算所述 _Mlp或 _Μ2ρ的过程中，对于 2F 的计算按照以下方式进行，其中 F表示尸或 ρ:

才艮据所述对应关系，得到仿射点 F对应的投影点（? = ( : ^ 4 ) ;

Χ₃ = (3Χ^ + αΖ^ ) -8 ^²

按照公式 Υ₃ = (3X + al )(4 ^² - ₃ ) - 8 ，求解得到 2G = ( ₃：：

Z, = 2KZ, 根据所述对应关系，将投影点 2G转换为仿射点 2F。

从以上所述可以看出，本发明提供的数据加密方法、数据解密方法、发送节点及接收节点，在利用椭圓曲线公钥密码体制生成数据加密信息以及在对加密信息进行解密（例如计算数字签名信息以及在对数字签名信息进行签名认证）的过程中，通过将椭圓曲线由原始坐标系投影到投影坐标系，将椭圓曲线转换为投影坐标系下的方程，进而将所述椭圓曲线的倍点运算，转换为投影坐标系下的运算，由于投影坐标系下的运算只需要计算投影坐标系下坐标值之间的乘法、加法计算，从而避免了椭圓曲线倍点运算中的求逆运算，而求逆运算会耗费大量的系统资源，因此本发明能够大大减少运算量，提高了计算效率。并且，由于本发明大大降低了数据加密及解密过程中的运算量，使得节点系统资源有限的情况下也可应用椭圓曲线公钥密码体制，扩大了椭圓曲线公钥密码体制的应用范围，例如，使得椭圓曲线签名认证算法可以应用于无线传感网络中的无线传感节点，既提高了无线传感网络的安全性，又不必增加节点的硬件成本。附图说明

图 1 为本发明实施例所述基于椭圓曲线公钥密码体制的数据加密方法的流程示意图；

图 2为本发明实施例所述基于椭圓曲线公钥密码体制的数据解密方法的流程示意图；

图 3为本发明实施例中椭圓曲线数字签名的生成过程的举例示意图；图 4为本发明实施例中椭圓曲线数字签名的验证过程的举例示意图；图 5为本发明实施例所述发送节点的结构示意图；

图 6为本发明实施例所述接收节点的结构示意图。具体实施方式

本发明针对现有的椭圓曲线公钥密码体制中加、解密运算量大的不足，通过对椭圓曲线进行坐标系转换，将椭圓曲线的倍点运算转换到投影坐标系下进行，降低了签名认证算法的运算量，扩大了椭圓曲线公钥密码体制的应用范围。以下将结合附图，通过具体实施例对本发明做进一步的说明。

本发明实施例提供了一种基于椭圓曲线公钥密码体制的数据加密方法。请参照图 1 , 本发明实施例所述数据加密方法，具体包括以下步骤：步骤 11 , 发送节点获取预先设置的椭圓曲线的参数组、密钥以及数据信息。

步骤 12, 发送节点利用椭圓曲线的参数组、密钥以及数据信息，计算得到数据加密信息，并将所述数据加密信息发送给接收节点；其中，在计算所述数据加密信息时，将所述椭圓曲线转换为投影坐标系下的方程，并利用所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算。

这里，在应用本实施例所述数据加密方法对明文进行加密时，上述步骤 11中所述的密钥为接收节点的公钥，所述数据信息为明文信息，上述步骤 12中所述的数据加密信息是所述明文信息对应的密文信息。

这里，在应用本实施例所述数据加密方法对发送节点进行数字签名时，上述步骤 11中所述的密钥为发送节点的私钥，所述数据信息为发送节点的标识信息，上述步骤 12中所述的数据加密信息为发送节点的数字签名信息，并且发送节点在将所述数字签名信息发送给接收节点时，还将所述标识信息发送给接收节点。

在利用椭圓曲线公钥密码体制生成数字签名或对明文进行加密的过程中，都会涉及到椭圓曲线上的倍点运算。本实施例在上述步骤 12中，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算，具体包括：将所述椭圓曲线投影到投影坐标系，将所述椭圓曲线转换为投影坐标系下的方程，并确定所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系；

根据所述对应关系，通过将所述椭圓曲线的倍点运算公式中的仿射点的坐标替换为投影点的坐标，转换得到所述椭圓曲线的倍点运算在投影坐标系下的计算公式，所述计算公式的表达式中消去了分母；

从以上所述可以看出，本实施例在利用椭圓曲线公钥密码体制计算数据加密信息时，通过将椭圓曲线由原始坐标系投影到投影坐标系，将椭圓曲线转换为投影坐标系下的方程，原始坐标系下椭圓曲线的每一点（仿射点），在投影坐标系下都有与之对应的一个点（投影点）；进而本实施例将所述椭圓曲线的倍点运算，转换为投影坐标系下的运算，由于投影坐标系下的运算只需要计算投影坐标系下坐标值之间的乘法、加法计算，从而避免了椭圓曲线倍点运算中的求逆运算，而求逆运算会耗费大量的系统资源，因此本实施例能够大大减少运算量，提高了计算效率。优选地，本实施例所述发送节点为无线传感网络中的无线传感节点。无线传感网络是一种由传感器节点构成的网络，它能够协作监测、感知和釆集网络分布区域内的各种监测对象信息，并对这些信息进行处理，发布给观察者。由于无线传感网络节点大都需要部署在相对危险或者环境较为恶劣的地区，而且在一般情况下，无线传感节点处于无人监管和维护的状况下，所以无线传感节点极易受到各种恶意攻击，从而威胁到整个无线传感网络的安全。所以必须要保证在无线传感网络中节点通信的合法身份。另一方面由于无线传感节点存储容量和计算能力都十分有限，这使得在无线传感节点中使用较为复杂的加密算法十分困难，因此现有技术的椭圓曲线密钥长度的算术运算不适合应用在硬件资源有限的无线传感节点，因此现有技术的无线传感节点都没有釆用安全性很高的椭圓曲线签名算法。而本实施例通过坐标系转换，避免了椭圓曲线的倍点运算中的求逆运算，大大降低了签名过程中的运算量，使得椭圓曲线公钥密码体制可以应用于无线传感节点，既提高了节点的安全性，又不必增加节点的硬件成本。

与上述数字签名方法相对应，本实施例还提供了一种基于椭圓曲线公钥密码体制的数据解密方法，如图 2所示，该数据解密方法具体包括：步骤 21 , 接收节点接收发送节点的数据加密信息，所述数据加密信息是发送节点利用预设的椭圓曲线的参数组、第一密钥和数据信息计算得到的；

步骤 22, 接收节点利用所述椭圓曲线的参数组和所述第一密钥对应的第二密钥，对所述数据加密信息进行解密；其中，在所述数据加密信息的解密过程中，将所述椭圓曲线转换为投影坐标系下的方程，并利用所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算。

这里，在应用本实施例所述数据解密方法对密文信息进行解密时，上述步骤 21中所述的第一密钥为接收节点的公钥，所述第二密钥为接收节点的私钥，所述数据信息为明文信息，所述数据加密信息是所述明文信息对应的密文信息。

这里，在应用本实施例所述数据解密方法对发送节点的数字签名进行签名认证时，上述步骤 21中所述的第一密钥为发送节点的私钥，所述第二密钥为发送节点的公钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；且在步骤 21中，接收节点进一步接收发送节点的标识信息，并在步骤 22中所述数据加密信息的解密过程中，利用所述椭圓曲线的参数组、发送节点的标识信息和所述发送节点的公钥，对所述数字签名信息进行签名认证。

这里，上述步骤 22中，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算，具体包括：

优选地，所述接收节点为无线传感网络中的无线传感节点。

从以上所述可以看出，本实施例在对数据加密信息进行解密时，通过将椭圓曲线由原始坐标系投影到投影坐标系，将椭圓曲线转换为投影坐标系下的方程，原始坐标系下椭圓曲线的每一点（仿射点），在投影坐标系下都有与之对应的一个点（投影点）；进而本实施例将所述椭圓曲线的倍点运算，转换为投影坐标系下的运算，由于投影坐标系下的运算只需要计算投影坐标系下坐标值之间的乘法、加法计算，从而避免了椭圓曲线倍点运算中的求逆运算，大大减少了运算量，提高了计算效率。

为了更容易理解本实施例的上述方法，本实施例进一步以雅可比投影坐标系和数字签名及签名认证为例，通过具体示例对上述方法做进一步的说明。该具体示例并不用于限制本发明，本发明同样可以应用到其它投影坐标系，如标准投影坐标系中，本发明同样可以应用在基于现有的椭圓曲线公钥密码体制的各种加密解密算法对明文进行加密和对密文进行解密的过程中。

首先说明椭圓曲线的倍点运算如何通过雅可比椭圓坐标下的计算实现。

假设给出椭圓曲线的参数组

,该参数组能够定义一个椭圓曲线方程 E: =x³+ x + b。其中， p是一个大于 3的素数，通常其二进制长度大于 160比特，可以是由美国国家标准技术研究院（NIST)推荐的素数，从而可以得到相应的素数域。是椭圓曲线 E: =x³+co: + b的系数。尸 =( ,尸为椭圓曲线 E上的基点。 A为余因子， "为基点 P的素数阶。假设本实施例中釆用的数字签名的密钥对（ ρ), 其中 J是私钥；是 1 到《-i之间一个任意整数（即 ί Ε Ι —Ι] ), 为发送节点所有； β = ^是公钥，为接收节点所有。

这里，将椭圓曲线转换为雅可比投影坐标系下的方程，并确定所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系，具体是：将椭圓曲线 E: =x³ +ax + b转换成雅可比投影坐标系下的方程形式 Y² =X³+aXZ⁴+bZ⁶ , 此时雅可比投影坐标系下的投影点 (其中， Z≠0 )与椭圓曲线所在原始坐标系下的仿射点 ( /Ζ²,ί7Ζ³)对应。

假设 j ,^)是椭圓曲线中的一个点，则椭圓曲线的倍点运算公式 2w = (x₂, >g为:

x₂ = λ - 2x_x mod p

其中， 1 = (3x^+^/23^。这里的 mod;?是表示取模；？运算，例如上式中分别对 Λ² - 2x_x和 -x₂)-_yi取模运算。

根据仿射点和投影点之间的对应关系，对于仿射点： W = (_Xl,_yi) = (x/Z²,Y/Z³) , 存在投影点（? = ( ：！：4)与之对应，因此，令

G = {X₁:Y₁:Z₁) , G = (X₃' -.Y -A) , 将、 A替换为雅可比投影坐标系下的坐标，代入上述椭圓曲线的倍点运算公式，得到：

在表达式中消去分母，则 2G = (Χ₃ :Y₃:Z₃)

= 2 Ζ, 上述公式（ 1 )便是椭圓曲线的倍点运算在雅可比投影坐标系下的计算公式。上述公式（1 ) 的表达式中都没有了分母，从而避免了求逆运算。同时，由于 (S +aZ^ i 等计算结果都可以重复使用，以进一步减少运算量。

通过以上转换，椭圓曲线上的仿射点 ^x^J^ /Z^iVZ³) , 其倍点运算得到的点 2 ，对应于雅可比投影坐标下的 2G = ( ₃：; Γ_{3 :}Ζ₃；), 因此，在计算椭圓曲线的倍点运算时，只需要利用仿射点和投影点之间的对应关系和上述公式（1 ), 将椭圓曲线上的倍点运算转换为雅可比投影坐标系下的计算，然后再根据上述对应关系，将雅可比投影坐标系下的计算结果转换回椭圓曲线所在的原始坐标系，即可得到椭圓曲线的倍点计算结果。

本示例中，作为发送节点的无线传感节点，在发生通信时首先产生本发送节点的数字签名信息（r,4 ,并将该数字签名信息（r,^发送给接收节点，其具体过程如图 3所示，包括：

步骤 300, 导出发送节点的标识信息这里，该标识信息可以是终端号、终端 MAC (media access control, 媒体访问控制）地址或其它能唯一标识该终端的信息。

步骤 301, 导出预置在发送节点中的椭圓曲线的参数组 D = p,_a,b,P,_n,h、和发送节点的私钥。

步骤 302,发送节点选取 1到" _1之间一个任意整数 ( ^keR[l,n-l] ), 并计算 = (x₃，j₃), 然后将域参数 x₃转换为整数具体转换可以按照美国国家标准学会 ANSI X9.62标准进行。

这里，在步骤 302中，可以在计算/ ^ = ( ， ₃)的过程中使用上述公式（ 1 ), 对椭圓曲线的倍点运算进行优化，以减少运算量，提高运算效率。按照椭圓曲线中多倍点运算，对于 N = 的计算过程如下：

首先，将表示为二进制形式^^^ …，，，并令 N = 0:

然后，对于从 0到 _1 , 依次重复执行以下 Α、 Β的运算：

Α)若 ^=1, 则将 N更新为 N + P的结果（即 N— N + P ); 若 ^=0, 则保持 N不变（即 N— N )；

Β)计算 Ρ, 并将 Ρ更新为 Ρ (即 Ρ— );

最后，输出 N的值，得到 N = 的计算结果。

其中，所述步骤 B中计算 P具体包括：

根据所述仿射点和投影点之间的对应关系，得到仿射点 P对应的投影点 G = {X₁:Y₁:Z₁); ₃ =(3 ₁ ²+αΖ₁ ⁴) -8 ^²

按照公式 Υ₃ = (3X + al ){^Χ^ -X,)- _X ^A , 求解得到 2G

= 2 Ζ, 根据所述对应关系，将投影点 2G转换为仿射点 Ρ,从而得到倍点 Ρ的运算结果。

从上述计算过程可以看出，在进行椭圓曲线中多倍点运算时，需要反复进行椭圓曲线的倍点运算（即步骤 Β中的 Ρ ),因此，本示例在计算 Ρ时，将椭圓曲线投影到雅可比投影坐标系下，利用仿射点和投影点的对应关系和上述公式（1 ), 将倍点运算转换为雅可比投影坐标下的计算，然后根据上述对应关系，将计算结果转换回椭圓曲线所属的原始坐标系，即可得到倍点运算结果，从而避免了椭圓曲线倍点运算中的求逆计算，大大减少了运算量。

步骤 303, 计算 r = mod/ 。

步骤 304, 判断 r = 0是否成立：若成立，则返回步骤 302, 以重新选择进行计算；若不成立，则得到的值并进入步骤 305。

步骤 305, 使用预设的杂凑函数对节点的标识信息 w进行杂凑运算，得到杂凑值^。例如使用安全散列演算法 SHA1对 w进行杂凑运算，得到固定长度的 160位的杂凑值。

步骤 306,

+ 取模《运算。

步骤 307, 判断 ^ = 0是否成立，若成立，则返回步骤 302; 若不成立，得到 s的值并进入步骤 308。

步骤 308,得到发送节点的椭圓曲线的数字签名信息（r,s) ,发送节点将数字签名信息（r,s)和自身标识信息发送给接收节点。这里，优选地，发送节点和接收节点都是无线传感网络中的无线传感节点。

本示例中，接收节点接收到发送节点发送的数字数字签名信息（r,s)后，利用预置的公钥对其进行验证，从而在发送节点接入网络时对发送节点的合法性进行认证，保证网络的安全通信，具体认证过程如图 4所示，包括：步骤 400, 在通信过程开始后，接收节点收到发送节点的数字签名信息

{r, s)和发送节点的终端标识信息 m；

步骤 401 , 接收节点提取预置在本地的椭圓曲线的参数组

1) = (/^,6,尸,",/?)和公钥0。

步骤 402,接收节点检验和 s是否都是区间 [1，《-1]内的整数：若任何一个检验失败，则进入步骤 410; r和 s都是区间 [1，《-1]内的整数，则进入步骤

403。

步骤 403 , 使用预设的杂凑函数（如 SHA1 , 与发送节点相同）对发送节点的终端标识信息进行杂凑运算，得到固定长度的 160位的杂凑值 e。

步骤 404, 计算

(即对 ^取模《运算得到 w )。

步骤 405 , 计算 ^ = ewmod "和 M₂ = rwmod n (即对 ew取模 n运算得到 u_x , 对取模《运算得到^ )；然后，计算 ^^和^^ , 并计算 _ΜιΡ + Μ₂β得到 Γ , Γ = ^尸 + Μ₂β。

步骤 406, 判断 Γ =∞是否为真：如果是，则进入步骤 410; 否则进入步骤 407。

步骤 407,根据 ANSI X9.62标准，将域参数 Γ的 x坐标 x₄转换为整数；并计算 v = x₄ mod " 。

步骤 408, 由于

, 重新整理可得：

k = s~^l (e + dr) = s~^le + s~^lrd = we + wrd = u_x + u₂d (mod n) , 即：

X = u_vP + u₂Q = u_vP + u₂dP = (u_v + u₂d ) P = kP ,所以有 v = r成立，因此判断 v = r 是否成立：若成立，则进入步骤 409; 否则进入步骤 410。

步骤 409, 数字签名认证通过，返回（"接受该签名"）的指示。步骤 410, 数字签名认证失败，返回（"拒绝该签名"）的指示。

这里，在上述步骤 405 中，可以在计算 _MlP和 _Μ2β的过程中使用上述公式（1 ), 对椭圓曲线的倍点运算进行优化，以减少运算量，提高运算效率，具体说明如下：

其中计算 _MlJP包括：

将^转换为二进制形式 _Μι=(Λ— ^..,Λ,/Λ, 并令 N的初始值为 0; 对于从 0到/? -1, 依次重复执行以下步骤八、 B的运算：

步骤 A)若 =1 , 则将 N更新为 N + P的结果；若 =0 , 则保持 N不变；步骤 B )计算 , 并将 P更新为 2P；

运算结束后输出 N的值，得到 N = _MlP的计算结果；

其中，所述步骤 B中计算 P包括：

根据所述仿射点和投影点之间的对应关系，得到仿射点 P对应的投影点 G = {X_l :Y_l :Z_l) ;

Χ₃ =(3Χ'+αΖ ) -8 ^²

按照公式 Υ₃ = (3 _L ² + al ){^X^ -Χ₃)-8Υ , 求解得到 = ( ₃ : :

Z, = 2 Z, 再根据所述对应关系，将投影点 2G转换为仿射点 2P,从而得到倍点 Ρ 的运算结果。

而计算 _Μ2β, 又具体包括：

将^转换为二进制形式 _M2= — ^..,Λ,Λ , 并令 Μ的初始值为 0; 对于从 0到 /-1 , 依次重复执行以下步骤 Α，、 Β，的运算：

步骤 Α，）若 · =1, 则将 Μ更新为 Μ + β的结果；若 · =0, 则保持 Μ不变；

步骤 Β，）计算 2β, 并将 β更新为 2β; 运算结束后输出 Μ的值，得到 Μ = _Μ2β的计算结果；其中，所述步骤 B，中计算 2β包括：

才艮据所述对应关系，得到仿射点 ρ对应的投影点 s = ( ₂： y₂： z,

) - 8 ₂

按照公式 Y₄ = (3 ₂ ² + αΖ₂ ⁴ ) (4Χ₂Υ₂ ² - Χ₄ ) - 8Υ₂ ⁴，求解得到 2Β = (Χ₄ : 7₄ : Ζ,

Ζ_Λ = 2 Ζ, 再根据所述对应关系，将投影点 2S转换为仿射点 2β ,从而得到倍点 2β 的运算结果。

以上过程中，发送节点在生成数字签名信息过程中，接收节点在验证数字签名信息过程中均可利用上述公式 ( 1 )对椭圓曲线的倍点运算进行简化，避免了倍点运算中的求逆运算，减少了倍点运算所消耗的系统资源，降低了对节点硬件的要求，提高了运算效率。感节点在生成公钥、数字签名信息和验证数字签名时所需要的时间，从下表可以看出，釆用本实施例方法后，在同样的硬件条件下，无线传感节点可以大大减少运算所需时间，本实施例所述方法能够在很大程度上提高运算效率，使得椭圓曲线公钥密码体制可以应用于系统资源较少的无线传感节点，而不必提高无线传感节点的硬件配置，具有很好的经济效益，又能够提高无线传感网络的安全性。

最后，本实施例还分别提供了用以实现上述数据加密方法和数据解密方法的节点设备。

其中，如图 5所示，本实施例提供的一种发送节点，具体包括：获取单元，用于获取预先设置的椭圓曲线的参数组、密钥以及数据信息；

加密单元，用于利用椭圓曲线的参数组、密钥以及数据信息，计算得到数据加密信息；

发送单元，用于将所述数据加密信息发送给接收节点；

作为一个优选实施例，所述加密单元包括：

作为一个优选实施例，所述密钥为接收节点的公钥，所述数据信息为明文信息，所述数据加密信息是所述明文信息对应的密文信息。

作为一个优选实施例，所述密钥为发送节点的私钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；且所述发送单元，用于在将所述数字签名信息发送给接收节点时，还将所述标识信息发送给接收节点。

优选地，所述发送节点为无线传感网络中的无线传感节点。

作为一个优选实施例，所述加密单元包括：选择单元，用于从 1到《-1之间任意选取一个整数，其中《是所述椭圓曲线的基点的素数阶；

第一计算单元，用于计算 , 然后将的 X坐标 x₃转换为整数并对整数取模《运算，得到 r, 其中 ρ = ( ,ρ ，表示所述椭圓曲线的基点；第二计算单元，用于使用预设的杂凑函数对发送节点的标识信息进行杂凑运算，得到杂凑值 _e, 并对 ^ + )取模《运算，得到其中为所述私钥；

输出单元，用于在 r和 s均不等于 0时，得到所述数字签名信息（r,s)。作为一个优选实施例，所述投影坐标系为雅可比投影坐标系，所述第一计算单元，进一步用于在计算所述/ ^的过程中，对于 P的计算按照以下方式进行：

根据所述对应关系，得到仿射点 P对应的投影点 G = (A :1 :ZJ； 3 =(3 ₁ ²+αΖ₁ ⁴) -8 ^²

按照公式 Υ₃ = (3 _L ² + al ){^Χ^ -Χ₃)-8Υ , 求解得到 2G

= 2 Ζ, 根据所述对应关系，将投影点 2G转换为仿射点 2Ρ。

再参照图 6所示，本实施例还提供了一种接收节点，该接收节点具体包括：

作为一个优选实施例，所述解密单元包括：

优选地，所述发送节点为无线传感网络中的无线传感节点。

作为一个优选实施例，所述第一密钥为接收节点的公钥，所述第二密钥为接收节点的私钥，所述数据信息为明文信息，所述数据加密信息是所述明文信息对应的密文信息。

作为一个优选实施例，所述第一密钥为发送节点的私钥，所述第二密钥为发送节点的公钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；

所述接收单元，还用于接收发送节点的标识信息；

优选地，所述解密单元包括：

第一判断单元，用于在所述数字签名信息（r, s)中的或 s中任一个不属于区间 [1，《- 1]时，判断数字签名认证失败，其中《是所述椭圓曲线的基点的素数阶；第一计算单元，用于在和均属于区间 [1，《-1]时，使用预设的杂凑函数对发送节点的标识信息 W进行杂凑运算，得到杂凑值 _e, 并对 ^取模《运算得到 W；

第二计算单元，用于计算 _¾^和^0, 并计算 _Μιρ_+Μ2ρ得到 r, 其中，

P = (P_x,P_y) , 表示所述椭圓曲线的基点， β表示所述公钥， _Ml= mod" , u₂ = rwmodn；

第二判断单元，用于在 Γ = οο时，判断数字签名认证失败；

第三判断单元，用于在 Γ≠∞时，将 Γ的 X坐标 χ₄转换为整数 ^，并对 ^ 取模《运算得到 V , 并判断 v = r是否成立：若成立，则数字签名认证通过；否则数字签名认证失败。

作为一个优选实施例，所述投影坐标系为雅可比投影坐标系，所述第二计算单元，进一步用于在计算所述 _MlP或 Μ₂β的过程中，对于 2F的计算按照以下方式进行，其中表示尸或 ρ:

才艮据所述对应关系，得到仿射点 F对应的投影点 G = ( ： 1： )；

Χ₃ =(3Χ'+αΖ ) -8 ^²

按照公式 Υ₃ = (3 _L ² + al ){^X^ -Χ₃)-8Υ , 求解得到 = ( ₃ : :

Z, = 2Y,Z, 根据所述对应关系，将投影点 2G转换为仿射点 IF。

以上所述仅是本发明的实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

权利要求书

1、一种基于椭圓曲线公钥密码体制的数据加密方法，其特征在于，包括：

2、如权利要求 1所述的数据加密方法，其特征在于，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算，具体包括：

3、如权利要求 1所述的数据加密方法，其特征在于，

所述密钥为接收节点的公钥，所述数据信息为明文信息，所述数据加密信息是所述明文信息对应的密文信息。

4、如权利要求 1所述的数据加密方法，其特征在于，

所述密钥为发送节点的私钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；

5、如权利要求 4所述的数据加密方法，其特征在于，

所述发送节点的数字签名信息的计算包括：

从 1到《 - 1之间任意选取一个整数其中《是椭圓曲线的基点的素数计算然后将的 X坐标 x₃转换为整数并对整数取模《运算，得到 r, 其中 ρ = ( ,ρ ，表示所述椭圓曲线的基点；使用预设的杂凑函数对发送节点的标识信息进行杂凑运算，得到杂凑值并对 /Γ^ + )取模《运算，得到其中 J为所述私钥；

在 r和 s均不等于 0时，得到所述数字签名信息（r,s)。

6、如权利要求 5所述的数据加密方法，其特征在于，

所述投影坐标系为雅可比投影坐标系；

在计算所述的过程中，对于 2P的计算按照以下方式进行：

根据所述对应关系，得到仿射点 P对应的投影点 G = (A :1 :ZJ；

Χ₃ =(3Χ'+αΖ ) -8 ^²

按照公式 Υ₃ = (3 _L ² + al ){^X^ -Χ₃)-8Υ , 求解得到 = ( ₃ : :

Z, = 2Y,Z, 根据所述对应关系，将投影点 2G转换为仿射点 2Ρ。

7、一种发送节点，其特征在于，包括：

获取单元，用于获取预先设置的椭圓曲线的参数组、密钥以及数据信加密单元，用于利用椭圓曲线的参数组、密钥以及数据信息，计算得到数据加密信息；发送单元，用于将所述数据加密信息发送给接收节点；

8、如权利要求 7所述的发送节点，其特征在于，所述加密单元包括：投影单元，用于将所述椭圓曲线投影到投影坐标系，将所述椭圓曲线转换为投影坐标系下的方程，并确定所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系；

9、如权利要求 7所述的发送节点，其特征在于，

10、如权利要求 9所述的发送节点，其特征在于，所述加密单元包括：选择单元，用于从 1到《-1之间任意选取一个整数，其中《是所述椭圓曲线的基点的素数阶；

第一计算单元，用于计算 , 然后将的 X坐标 χ₃转换为整数并对整数取模《运算，得到 r, 其中 ρ = ( ,ρ ，表示所述椭圓曲线的基点；第二计算单元，用于使用预设的杂凑函数对发送节点的标识信息进行杂凑运算，得到杂凑值 _e, 并对 ^ + )取模《运算，得到其中为所述私钥；

输出单元，用于在 r和 S均不等于 0时，得到所述数字签名信息（r,s)。

11、如权利要求 10所述的发送节点，其特征在于，所述投影坐标系为雅可比投影坐标系，所述第一计算单元，进一步用于在计算所述的过程中，对于 P的计算按照以下方式进行：

根据所述对应关系，得到仿射点 P对应的投影点 G = (A :1 :ZJ；

Χ₃ =(3Χ'+αΖ ) -8 ^²

按照公式 Υ₃ = (3 _L ² + al ){^X^ -Χ₃)-8Υ , 求解得到 = ( ₃ : :

Z, = 2Y,Z, 根据所述对应关系，将投影点 2G转换为仿射点 2Ρ。

12、一种基于椭圓曲线公钥密码体制的数据解密方法，其特征在于，包括：

13、如权利要求 12所述的数据解密方法，其特征在于，将所述椭圓曲线上的倍点运算，转换到投影坐标系下进行计算，具体包括：

14、如权利要求 12所述的数据解密方法，其特征在于，

所述第一密钥为接收节点的公钥，所述第二密钥为接收节点的私钥，所述数据信息为明文信息，所述数据加密信息是所述明文信息对应的密文信息。

15、如权利要求 12所述的数据解密方法，其特征在于，

所述第一密钥为发送节点的私钥，所述第二密钥为发送节点的公钥，所述数据信息为发送节点的标识信息，所述数据加密信息为发送节点的数字签名信息；

16、如权利要求 15所述的数据解密方法，其特征在于，

所述对所述数字签名信息进行签名认证，包括：

在所述数字签名信息（r, s)中的 r或 s中任一个不属于区间 [1，《-1]时，判断数字签名认证失败，其中《是所述椭圓曲线的基点的素数阶；

在 r和 s均属于区间 [1，《 - 1]时，使用预设的杂凑函数对发送节点的标识信息进行杂凑运算，得到杂凑值并对^取模《运算得到

计算尸和 Μ₂β ,并计算 ^ + ^β得到 Γ ,其中, M^ ewmod " , u₂ = rwmod n , p = (p_x, p_y ) , 表示所述椭圓曲线的基点， ρ表示所述公钥；在 r =∞时，判断数字签名认证失败；

在 ≠∞时，将 Γ的 X坐标 χ₄转换为整数 ^，并对 ^取模《运算得到 V , 并判断 v = r是否成立：若成立，则数字签名认证通过；否则数字签名认证失败。

17、如权利要求 16所述的数据解密方法，其特征在于，

所述投影坐标系为雅可比投影坐标系；

在计算所述 _MlP或 _Μ2β的过程中，对于 Ρ的计算按照以下方式进行，其中表示尸或 Q:

Χ₃ = (3Χ' + αΖ ) -8 ^²

按照公式 Υ₃ = (3 _L ² + al ) {^X^ - Χ₃ ) - 8Υ , 求解得到 2G

Z₃ = ΙΥ^ 根据所述对应关系，将投影点 2G转换为仿射点 IF。

18、一种接收节点，其特征在于，包括：

19、如权利要求 18所述的接收节点，其特征在于，所述解密单元包括：投影单元，用于将所述椭圓曲线投影到投影坐标系，将所述椭圓曲线转换为投影坐标系下的方程，并确定所述椭圓曲线上的仿射点与所述方程上的投影点之间的对应关系；

20、如权利要求 18所述的接收节点，其特征在于，

所述接收单元，还用于接收发送节点的标识信息；

21、如权利要求 20所述的接收节点，其特征在于，所述解密单元包括：第一判断单元，用于在所述数字签名信息（r, s)中的或 s中任一个不属于区间 [1，《- 1]时，判断数字签名认证失败，其中《是所述椭圓曲线的基点的素数阶；

第一计算单元，用于在和均属于区间 [1，《- 1]时，使用预设的杂凑函数对发送节点的标识信息 w进行杂凑运算，得到杂凑值 _e , 并对 ^取模《运算得到 w；

第二计算单元，用于计算 _¾^和^0 , 并计算 _ΜιΡ _{+ Μ2}β得到 Γ , 其中， P = (P_x, P_y ) , 表示所述椭圓曲线的基点， β表示所述公钥， _Ml = mod " , u₂ = rwmod n；

第二判断单元，用于在 Γ = οο时，判断数字签名认证失败；第三判断单元，用于在 Γ≠∞时，将 Γ的 X坐标 χ₄转换为整数 ^，并对 ^ 取模《运算得到 V , 并判断 v = r是否成立：若成立，则数字签名认证通过；否则数字签名认证失败。

22、如权利要求 21所述的接收节点，其特征在于，

所述投影坐标系为雅可比投影坐标系；

才艮据所述对应关系，得到仿射点 F对应的投影点 G = ( ： 1： )； 3 =(3 ₁ ²+αΖ₁ ⁴) -8 ^²

按照公式 Υ₃ = (3X + al ){^Χ^ -Χ₃)-8Υ , 求解得到 2G

Ζ₃ = 2Ύ_γΖ_γ 根据所述对应关系，将投影点 2G转换为仿射点 2F