专利名称:基于椭圆曲线参数化的加密方法
基于椭圆曲线参数化的加密方法本发明涉及基于使用椭圆曲线上的点进行信息加密的方法,尤其适用于EKE(密钥交换)类型的算法领域。利用密码的授权方法是基于使用EKE类型的算法。
图1图示说明了这类算法。装置DlO根据控制器Cll的密码π进行授权。这些单元都知道密码π。然而,考虑椭圆曲线Ea,b和产生在椭圆曲线上的一系列点的生成函数G,作为公用参数。所述椭圆曲线满足下列等式Eajb (x, y) :x3+ax+b = y2 (1)在步骤12中,装置DlO生成随机数值然后,装置D将该随机数值以椭圆曲线上的点的形式传输至控制器11。为此目的,确定待传输的数值V应满足下列V = T1. G然后,以Επ Ov G)形式的密码对结果进行加密,其中Επ是密码的加密函数。然后,所述装置将信息13发送至控制器并记为数值En Ov G)。一旦接收到信息13,控制器11依次在步骤14中产生随机数值巧;接着,再以椭圆曲线上点的形式来传输该数值,并将信息15传输至装置10,记为结果Ε (r2. G)。以加密形式实现随机数值巧和巧的交换之后,装置10在步骤16中通过使用具有密码Dn的解密函数解密信息15所包含的信息,来恢复控制器所产生的随机数值r2 r2. G = D11E11 (r2. G)以及控制器11在步骤17中通过解密信息13所包含的信息来恢复装置10所产生的随机数值巧IvG = DnEJr1-G)接着,进行保护的交换,各个单元能够计算公用密钥K K = T1. r2. G这种类型的算法旨在以密码或由密码产生的密钥进行加密的形式来交换数值。然而,需要注意的是,根据椭圆曲线在有限区域F,内满足等式(1)的典型表达式,参考图1所述的交换允许潜在的破解者推算出关于密码η的信息。实际上,通过两个信息13和15,以上述加密形式来交换随机数值,可提供允许破解密码加密的信息冗余。更具体的是,破解者可在各个监听过程中检测密码,以便解密信息13和15所交换的信息。此后会出现两种情况。在第一种情况下,解密信息对应于曲线上的点并因密码正确。在第二种情况下,解密信息不对应于椭圆曲线上的点且也不能获得密码。通过增加监听和分辨密码,也有可能发现属于有限元素集的密码。本发明旨在改善上述状况。本发明的第一方面在于提出一种由控制器根据密码控制装置的方法;所述方法在所述装置处或控制器处包括下列步骤/1/根据任意数值r1;确定椭圆曲线上的有限区域F,的点P (X,Y),其中q为整数, 椭圆曲线满足下列等式Eajb (x, y) :x3+ax+b = y2 (1)
/2/获得第一和第二参数k和k',使之P = F(k,k')其中F为F,域内的FtlXFtl,的满射函数;/3/通过以密码函数进行加密的加密形式的第一和第二参数;以及,/4/将所述第一和第二加密参数传输至控制器;其中,不论F,的输入参数ζ和ζ'如何,函数F都使得F(z,z')为在椭圆曲线上的点且输入参数不满足等式(1)。籍助于这些设置,就有可能避免诸如上述现有技术的破解。实际上,在这些条件下,不再有可能通过确定所获得的结果是否对应于椭圆曲线Ea,b上的点(X,Y)来测试密码, 因为函数F始终能提供在椭圆曲线上的点作为输出而与作为输入所提供的参数无关,且输入参数不再满足椭圆曲线的典型等式。因此,较为理想的是,使用该满射函数F以不同方式来表示椭圆曲线上的点,就不会向潜在破解者提供任何有可能推导出所使用密码的信息。为了根据除了等式(1)以外的其它参数化方法来确定满足待表示的椭圆曲线上的点P(x,Y)的函数F,有可能使用可逆函数fa,b,使用所述函数的逆函数之/有可能根据不满足等式(1)的两个参数从输入参数中恢复曲线上的点。函数F可以表示为F(k, k' ) = f ‘ (k' )+fa,b(k)其中fa,b为可逆函数,可基于椭圆曲线的系数a和b,来选择输入参数和提供在椭圆曲线上的点;而f'为根据参数的函数来产生在椭圆曲线上的点的函数;以及,在步骤/2/中,由下列步骤获得参数k和k'-随机产生参数k'的数值;-计算f'(k')的数值-根据下列等式确定参数k的数值k = f;j,{P{X,Y)-f{k'))优选地,通过将函数f'与可逆函数fa,b相结合,所述函数Γ有可能根据随机数值的参数k'来产生椭圆曲线上的点,所述可逆函数fa,b基于椭圆曲线的系数a和b,从而有可能获得函数F,所述函数F允许曲线上的点参数化,从而避免上述破解。函数f'可具体表示为f' (k' ) = k' .G其中G为在椭圆曲线上的一系列点的生成函数,并且参数k的数值由下列等式确定k = f;l{P{X,Y)-k\G)在这些条件下,函数F可表示为
权利要求
1.一种由控制器(11)根据密码(η)控制装置(10)的方法 所述方法在所述装置处或控制器处包括下列步骤/1/根据任意数值T1,确定在椭圆曲线上的有限区域Ftl的点P (X,Y),q为整数,椭圆曲线表示为Eajb (x, y) :x3+ax+b = y2 (1)/2/获得第一和第二参数k和k',使之P(X,Y) =F(k,k')其中F为Ftl域内的FtlXFtl,的满射函数;/3/获得以密码函数进行加密的加密形式的第一和第二参数;以及, /4/将所述第一参数和第二参数传输至控制器;其中,函数F使得,不论Ftl的输入参数ζ和ζ'如何,F(z,z')都为在椭圆曲线上的点且输入参数不满足等式(1)。
2.根据权利要求1所述的方法,其特征在于,所述函数F表示为 F(k,k' ) =f' (k' )+fa,b(k)其中fa, b为可逆函数,其基于椭圆曲线的系数a和b来选择输入参数和提供在椭圆曲线上的点;以及,f'为根据参数函数产生在椭圆曲线上的点的函数;并且, 在步骤/2/中,根据下列步骤获得参数k和k' -随机产生参数k'的数值; -计算f' (k')的数值; -根据下列等式确定参数k的数值 k = f;l{P{X,Y)-f\k'))0
3.根据权利要求2所述的控制方法,其特征在于,所述函数f'表示为 f' (k' ) = k' .G其中G为在椭圆曲线上一系列点的生成函数,以及根据下列等式来确定参数k的数值k = f;'b(P{X,Y)-k'.G)o
4.根据权利要求2所述的控制方法,其特征在于,所述函数f'表示为 f (k' ) =fa,b(k')以及根据下列等式来确定参数k的数值“/二 (户(U)-/ ,W))。
5.根据前述任一权利要求所述的控制方法,其特征在于,所述函数F包括至少一个可逆函数fa,b且籍助于满足下列Skaiki等式的多项式&(10,)(200,)(3(10和U(k)获得;f(X! (k)).f(X2(k)).f(X3(k)) =U(k)2 其中,f是定义椭圆曲线Ea,b的多项式。
6.根据权利要求5所述的方法,其特征在于,所述函数fa,b使得在F,2域内的参数对(X, y)对应于在F,域内的参数U,其中q = 2 mod 3,使之χ = (v2-b-u6/27)1/3+u2/3和
7.根据前述任一权利要求所述的控制方法,还包括下列步骤 -接收由密码加密形式表示的第一和第二参数的信息;-解密第一和第二参数并且获得参数P和P';以及, -根据下列等式计算控制器使用的公用加密数值κ
8.适用于通过密码来控制系统的电子实体,包括-确定单元Gl),适用于根据随机数值Α来确定在椭圆曲线上的有限区域Ftl内的点 P (X,Y),q为整数,椭圆曲线满足等式
9.根据权利要求8所述的电子实体,包括适用于执行根据权利要求1至7所述控制方法的部件。
10.适用于密码控制的系统,包括至少一个根据权利要求8或9所述作为控制器的第一电子实体,以及根据权利要求8或9所述作为待控制装置的第二电子实体。
全文摘要
本发明涉及由控制器(11)根据密码(π)来控制装置(10)的实施方法。为此目的,本发明包括在装置或控制器处,根据随机数值r1来确定在椭圆曲线上有限区域Fq(q为整数)内的点P(X,Y)(21),椭圆曲线等式表示为Ea,b(x,y)x3+ax+b=y2(1)。本发明包括获得第一和第二参数k和k′(22),使之P(X,Y)=F(K,k′),其中F为Fq域内FqxFq,的满射函数,以及获得以根据密码进行加密所获得的加密形式的第一和第二参数(23)。本发明最后还包括将第一和第二加密参数传输至控制器(24)。在控制过程中,使用函数f,使得不论作为Fq输入参数的z和z′数值如何,F(z,z′)都为椭圆曲线上的点且输入参数不满足等式(1)。
文档编号H04L9/30GK102484589SQ201080039557
公开日2012年5月30日 申请日期2010年6月28日 优先权日2009年6月30日
发明者托马斯·伊卡特, 赫弗·查巴内 申请人:茂福公司