使用同源来设计密码系统的制作方法

专利名称：使用同源来设计密码系统的制作方法
技术领域：
本发明一般涉及密码学，尤其涉及使用同源来设计密码系统。
背景技术：
随着数字通信变得越来越常见，保护关联的通信信道的需要变得越来越重要。例如，当前技术允许用户远程地访问银行账号、医疗数据和其它私人和敏感信息。
广泛地使用了密码学来提供安全的数字通信。密码学一般涉及消息的编码(或加密)和译码(或解密)。加密和解密使用某些机密信息(如密钥)。在不同的加密方法中，可以使用单个或多个密钥来加密和解密。
一种常用的多密钥密码系统是公钥加密系统。在公钥加密系统中，想要向接收者发送加密消息的发送者获取使用私钥生成的接收者的已验证公钥。顾名思义，公钥可以从公用来源获得。此外，为避免冒名攻击，经常验证公钥。公钥验证可由各种技术作出，如通过可信信道交换密钥、使用可信公用文件、使用在线可信服务器或使用离线服务器和证书。
在获取已验证的公钥之后，发送者使用该公钥对原始消息进行加密，并生成一密文。预期的接收者然后使用该公钥来对该密文进行解密，以提取原始消息。不访问私钥来对密文进行解密被认为是不可行的。因此，只有具有对私钥的访问的一方可成功地对该密文进行解密。
公钥系统相比对称密码系统(如流或块密码)的一个显著的优点是在两方通信中，仅需为私钥保密(而在对称密码系统中，在两端上对该密钥进行保密)当前的公钥加密系统使用某些有限域中的椭圆曲线(EC)。从椭圆曲线衍生的一对公布值被用作公钥(包括曲线上的点及其对应的公钥，该公钥通过在该曲线上简单的乘法(即，整数乘法)生成)。使用曲线上的双线性配对来完成核实。
一般而言，相信椭圆曲线比诸如RSA(Rivet、Shamir和Adleman公钥加密技术)等传统系统使加密系统对通信的要求相对较低，而保留了类似的安全级别。
当前的公钥加密系统的一个问题是没有一个被证明是安全的。其结果是，当前公钥加密系统的安全性被寄希望于一组数论问题的难度。
因此，期望提供额外安全性的公钥加密系统。

发明内容
揭示了提供公钥加密系统的技术。更具体地，使用阿贝尔簇(Abelian variety)(如，一维情况中的椭圆曲线)的同源(isogeny)来提供公钥加密系统。例如，同源准许使用多曲线代替单曲线，以提供更安全的加密。该技术可应用到数字签署和/或基于身份的加密(IBE)解决方案。此外，可以在诸如盲签署、分级系统等其它应用中使用同源。此外，揭示了用于生成同源的方案。
在一个描述的实现中，一种方法包括公布一对应于一同源的公钥。该方法还包括使用对应于该同源(如，是其对偶同源)的解密密钥来对消息进行加密和解密。


参考附图描述了详细说明。附图中，标号的最左边的数字标识第一次出现该标号的附图。在不同的附图中使用相同的标号来指示类似或相同的项目。
图1示出了在密码系统中使用同源的示例性方法。
图2示出了两曲线之间的同源的示例性映射。
图3示出了使用同源对消息进行签署的示例性方法。
图4示出了多个曲线之间的同源的示例性映射。
图5示出了使用同源用于基于身份的加密(IBE)的示例性方法。
图6示出了可用于实现本发明所描述的技术的通用计算环境600。
具体实施例方式
以下讨论假定读者已熟悉密码学技术。对密码学的基本介绍，请读者阅读CRC出版社出版的由A.Menezes、P.van Oorschot和S.Vanstone写的名为“实用密码学手册(Handbook of Applied Cryptography)”，第五次印刷(2001年8月)的原文。
以下揭示描述了改进基于多椭圆曲线(或一般而言为阿贝尔簇)的公钥系统的技术。揭示了用于生成曲线之间的同源(或映射)的各种技术。生成的同源准许使用多曲线代替单曲线来提供公共加密。此外，该技术可应用到相对较短的数字签署(如，由用户键入或通过低带宽信道发送)和/或基于身份的加密(IBE)解决方案(如，允许可存储的公钥)。短签署通过总核实也可提供额外的效率。
具有同源的密码系统概述图1示出了在密码系统中使用同源的示例性方法100。阶段102生成同源(椭圆曲线或更广义的阿贝尔簇的同源)。可由接收方或另一方(如参考图5进一步讨论的可信方)生成同源。阶段102也可对生成的同源的每一个生成对应的对偶同源(下文进一步讨论)。下文在同一标题下详细描述了用于生成同源的各种方法。另外，如参考图3和5进一步详细描述的，使用生成的同源来提供公钥，并将公钥公布(104)。可由发送方或可信授权机构(见如图3和5的讨论)公布公钥。
发送方然后使用加密密钥(106)对消息进行加密(或签署)。可由接收方使用解密密钥来核实/解密于阶段106加密的消息，以确定该加密或签署的可靠性(108)。在一个实现中，使用韦伊配对(Weil pairing)来核实已加密的消息(如后文在同一标题下讨论的)。然而，韦伊配对仅是可用于核实或解密的配对的一个示例。例如，可以使用其它双线性和/或非退化配对技术，如塔特配对(Tate pairing)和平方配对(square pairing)。
同源概述图2示出了两曲线(如椭圆曲线)间的同源200的示例性映射。如图所示，曲线E1可由同源φ映射到曲线E2(其中φE1→E2)。图2也示出了对偶同源 (其中φ^:E2→E1).]]>在各种实现中，预想在密码系统中使用同源来提供如下性质给定曲线E1，生成配对(φ，E2)是相对有效的，其中φE1→E2是同源，但是给定同源曲线的配对(E1，E2)，认为相对较难构造任何非零同源φE1→E2，更不必说特定的同源。因此，如果在全局破译(定义为允许任何随后的消息在多项式时间中破译的计算)和实例一一破译之间画出区别，则此时对基于同源的密码系统的最佳已知攻击或者比对全局破译的离散对数化更多时间，或者对于“单纯”实例攻击的每消息进行一次离散对数计算。
例如，考虑这样一种令牌系统，其中给每一客户一个许可对某一服务的访问的特定的已签署的消息(可具有低值)，客户可能必须通过电话将令牌读给一代表，因此该签署可以相对较短。合理的是，使用充分大的参数以使每消息攻击比所提供的服务的成本更高，而同时仍使全局破译惊人地昂贵。
同源详介可以用具有q个元素并具有代数闭包k的特征p来确定域k。设E/k是域k上定义的椭圆曲线，E(k)是k上定义的群，并设k(E)表示椭圆曲线的函数域。同时，设[n]E或[n]表示E上的映射P→n·P，E[n]表示这一映射的核。
同源φE1→E2是将E1的单位元素发送到E2的单位元素的非常量态射。当这类同源存在时，可以说E1和E2是同源的。如果φ具有系数在k中的定义方程，则在k上定义同源。任一同源也是群同态，即，对所有的P，Q∈E1，φ(P+Q)＝φ(P)+φ(Q)，其中，左侧的加法是E1上的群法则，右侧的加法是E2上的群法则。因此，φ的核是E1的子群。
设Homk(E0，E2)表示在k上定义的从E1到E2的同源集。Homk(E1，E2)由Hom(E1，E2)表示。对于任一同源φE1→E2，有对偶同源φ:^E2→E1,]]>使得 且 其中，n＝deg(φ)是同源的次数。对偶同源满足标准性质 在一个实现中，作为有限映射的φ的次数可以进一步被定义为k(E1)超出域k(E2)的拉回(φ)的扩张次数，其中，φ在k上定义。可以方便地按照其核的大小来或由以上公式来考虑它(假定函数域扩张是可分的)。因此，如果同源的次数是B平滑的(即，deg(φ)的素因子小于或等于B)，则认为该同源是B平滑的。椭圆曲线E的自同态的集Hom(E，E)被表示为End(E)；该集具有环行结构，由以下定义给出(φ+ψ)(P)=φ(P)+ψ(P),(φοψ)(P)=φ(ψ(P))一般而言，群Hom(E1，E2)是无挠率左End(E2)模和右End(E1)模。当E1＝E2＝E时，代数结构更为丰富Hom(E1，E2)＝End(E)没有零因子并具有特征零的环(不只是模)。
在一个实现中，这可以被认为是格设E是在某一域k上定义的一椭圆曲线。则End(E)或者与两次假想域中的阶Z同构，或者与四元数代数中的极大序模同构。对于任意两个椭圆曲线E1E2，群Hom(E1，E2)是秩最大为4的自由Z模。当End(E)大于Z时，可以说E具有复数乘法。End(E)中对应于佛罗宾尼斯自同态(Frobeniusendomorphism)(x，y)→(xp，yp)的元素由π表示，并且它满足特征方程x2-tr(E)x+q＝0。椭圆曲线的前导子c为[End(E):Z[π]]。
韦伊配对韦伊配对en:E[n]×E[n]→μn是具有k中的单位元素的第n个根的群中的值的双线性、非退化映射。在一个实现中，使用韦伊配对来执行图1的核实/解密阶段108。然而，韦伊配对仅是可用于核实或解密的配对的一个示例。例如，可以使用其它双线性和/或非退化配对技术，如塔特配对和平方配对。韦伊配对满足以下特征en(S,φ^(T))=en(φ(S),T),]]>其中S∈E1[n]，T∈E2[n]这里，en(S,φ^(T))]]>是E1上的配对计算，而en(φ(S)，T)是E2上的配对计算。注意，两个曲线都具有n挠率点，从而在其群阶上施加了约束。这并不造成问题，因为根据塔特定理，当且仅当点的两个群具有相同阶时，E1(k)和E2(k)才在k上同源。
韦伊配对为线性相关的所有输入对估算单位元素。因此，一种机制将有益于确保输入点不是彼此的纯量倍数。一种方法是使用有限域k上定义的曲线E2，它足够大，使得n挠率点的全部群E2[n]≅(Z/nZ)2]]>都在k上定义。在这一情况下，群E2[n]的两个随机元素线性相关的概率是可忽略的，在1/n的数量级上，因此韦伊配对的值具有高概率，是不可忽略的。以上方程确保了E1上的配对值的分布将和E2上的匹配。
或者，可以使用经修改的配对函数e~(P,Q)=en(λ(P),Q),]]>其中，λ是任一非纯量自同态，使得P和λ(P)线性不相关，并且e~(P,P)≠1.]]>这一映射λ被称为E的畸变或扭曲。
同源的生成在各种实现中，可以使用众多方法来构造高次同源(如，椭圆曲线，或更一般地为阿贝尔簇)及其对偶，如参考图1的阶段102所讨论的。本发明讨论的短数字签署和IBE密码系统可遵循以下约定值对(P，φ(P))作为公钥发布，而对偶 的估算构成私钥。
在一个实现中，构造可以被总结为给定任意E，有一种用于构造同源E→E的算法，其次数n是随机分布的，并且是具有概率～1/log(n)的质数；给定任意曲线E1，有一种算法，用于构造从E1到时刻O(B3)中的随机目标的随机B平滑同源；给定E1，E2以及Hom(E1，E2)中具有相对质数次的两个线性不相关同源，有一种算法来构造质数次的同源(见如下文参考不相关同源所讨论的)。
复数乘法同源如以前一样设E1＝E2，并假定E1具有判别式D＜0的虚二次阶OD的复数乘法(CM)。可描述一种概率算法，用于在|D|的期望时间多项式中生成这一曲线E1以及大质数次的E1的自同态φ。
1.计算判别式D的希尔伯特类多项式(Hilbert class polynomial)HD(X)。设K表示HD(X)在Q上的分段。
2.选择HD(X)的任一根，并构造C上j不变量等于x的椭圆曲线E。注意，E在数域K上定义。
3.通过构造，曲线E具有 的复数乘法。对q展开式使用线性代数，明确找出有理函数I(X，Y)，其K中的系数对应于同源D∈EndE.]]>4.选择随机整数a和b，直到a2-b2D为质数为止。于是，同源 是具有质数次的E的自同态。
5.选择K的任一质数理想P，并减少E和以P为模的I的系数。设E1表示E的减少量，并设φ为 的减少量。
该算法的阶段1-3是|D|中的确定性以及多项式的时间。对于阶段4，数域的质数定理指示a2-b2D有1/log(a2-b2D)的概率成为质数，因此对于大小为n的整数a和b，可以期望阶段4在log(Dn2)次试验之后终止。
所得的自同态φ是质数次的E1的自同态。φ及其对偶φ^=a-bD]]>可通过获悉a和b、仅使用有理函数I(X，Y)以及纯量乘法和加法来估算。这一同源φ可称为CM同源。
模同源对任一质数l，模曲线X0(l)确定l次同源E1→E2的同构类的参数。更具体地，对于X0(l)，存在多项式方程Φl(X，Y)，其特征是当且仅当Φl(j(E1)，j(E2))＝0时，E1和E2是l同源的。
使用多项式Φl(X，Y)，可为任何E1计算l同源曲线E2，以及l次同源E1→E2的显式多项式方程。由于模多项式在X和Y中是对称的，因此可以使用保留的j不变量的计算来找出对偶同源。
在实践中，可能不使用多项式Φl(X，Y)用于实际的计算，因为这些多项式的系数相当大。相反，可对X0(l)使用具有较小系数的不同但等效的多项式模型。不管用于计算的精确模型如何，以这一方式衍生的同源可被称为模同源。
当前已知的用于计算模同源的算法一般可灵活地用于l的较小值。单独地，小次数的模同源的使用未增加许多安全性，因为知道曲线E1和E2的攻击者将对每一l检查该曲线是否是l同源的，并在它们是l同源的情况下恢复l同源。然而，可以将许多模同源(如，对l的不同选择)组成到在大平滑次数∏l的一个同源φ中，并使用φ作为同源而不揭示中间曲线。能够在任意点上估算φ的攻击者仍可以通过计算E1的所有l挠率点、并看出它们中的任一个是否由φ消除来推算质数l。然而，在对偶同源计算问题较困难的假设之下，攻击者无法在他所选择的点上估算φ。作为额外增添，在一个实现中，可以组成具有纯量同源或具有CM同源的合成同源，以便将大非平滑因子引入次数中。
线性不相关同源在一个实现中，线性不相关同源φ和ψ从相对质数次的E1和E2给出。结果，线性组合aφ+bψ具有由两个变量a和b中的二次型a2φ^φ+ab(φ^ψ+ψ^φ)+b2ψ^ψ]]>给出的次数。注意，这一二次型的系数是整数，因为外部系数是φ和ψ的次数，中间项等于deg(φ+ψ)-deg(φ)-deg(ψ)。由于二次型是原始的，它通常无限地获取原始值作为所有对(a，b)∈Z2上变化的a和b。这样，可获取许多大非平滑(或甚至是质数)次数的同源E1→E2。也可以估算所得的次数为非平滑的概率。
使用同源的短签署模式在一个实现中，本发明讨论的技术可以应用到相对较短签署模式(如，由用户键入或通过低带宽信道发送)。下文将讨论两种签署模式，它们部分地基于同源的数学性质和椭圆曲线的配对。
伽罗瓦不变签署(Galois Invariant Signature)设Fqn/Fq是次数为n的有限域的扩张。使用在Fq上定义的椭圆曲线E1以及在Fqn上定义的同源φE1→E2，其中，E2是在Fqn上定义的椭圆曲线。在一个实现中，曲线E2在L上而非L的子域上定义，但是可能令E2仅在子域上定义。然而，为安全原因，不在Fqn的任一正确的子域上定义同源φ。此外，可以依照诸如上文讨论的各种技术生成同源φ。
图3示出了使用同源对消息进行签署的示例性方法300。方法300包括以下阶段公钥。选择随机P∈E1(Fq)并公布(P，Q)(302)，其中，Q＝φ(P)。注意，P在Fq上定义，而Q不在Fq上定义，因为φ不在Fq上定义。
私钥。φ的对偶同源 签署。设H是从消息空间到E2上的k挠率点集合的(公共)随机预言(randomoracle)。给定消息m，计算S=Σi=0n-1πiφ^(m)]]>(阶段304，使用如上所述生成的机密/私有密钥提供签署)，其中，π是q次幂佛罗宾尼斯映射(Frobenius map)，且和表示E1上的椭圆曲线和。为方便起见，用Tr(代表“跟踪(trace)”)表示操作符S=Σi=0n-1πi.]]>输出S∈E1(Fq)作为签署。然后签署发送到接收方并由其接收(分别为306和308)。注意，Fqn/Fq的伽罗瓦群(Galois group)为{1，π，…，πn-1}，因此S是伽罗瓦不变量，并由此在Fq上定义。
核实。设e1和e2分别表示E1[k]和E2[k]上的韦伊配对。给定公钥(P，Q)以及消息签署对(m，S)，检查e1(P,S)=Πi=0n-1πie2(Q,H(m))]]>是否成立(阶段310，使用如上所述生成的公钥核实接收的签署)。因此，有效签署满足以下方程e1(P,S)=e1(P,Σi=0n-1πiφ^H(m))=Πi=0n-1e1(P,πiφ^H(m))]]>=Πi=0n-1e1(πiP,πiφ^H(m))=Πi=0n-1πie1(P,φ^H(m))]]>=Πi=0n-1πie2(φ(P),H(m))=Πi=0n-1πie2(Q,H(m))]]>同样，可以使用下至基域的跟踪映射来缩短椭圆曲线上(或更一般而言，在任一阿贝尔簇上)的点。换言之，跟踪映射在椭圆曲线(或更高维阿贝尔簇)上的输出可用作通过使用较低域上的数据缩短扩展域上的点的表示的方法。
使用多椭圆曲线签署增强短签署模式的强度的另一方式是使用多个公钥，并相加得到合成的签署。这一修改可独立使用或与上文讨论的伽罗瓦不变量增强组合使用。
参考图4，假定存在一族同源φiE→E1以及一族随机预言散列函数Hi，每一个将消息m映射到椭圆曲线Ei上的一点。类似于参考图3所讨论的公钥。选择随机P∈E并公布P，Q1，Q2，…Qn(见如302)，其中Qi＝φi(P)。
私钥。同源φi的族。
签署。对每一消息m，签署m(S)是Σi=1nφ^i(H(m))]]>(见如304)。然后将签署的消息发送到接收方(见如306)。
核实。给定一个(消息，签署)对(m，S)，检查e(P,S)=Πi=1ne(QiHi(m))]]>是否成立(见如参考图3所讨论的阶段310)。对于有效签署，这一公式保持，因为e(P,S)=e(P,Σi=1nφ^i(Hi(m)))=Πi=1ne(P,φ^i(Hi(m)))=Πi=1ne(Qi,Hi(m))]]>该系统被认为至少如仅使用单个同源那样安全，因为可以破译多个同源版本的任何人能够通过如它们所确定的在同源φ2，…，φn中相加将单个同源版本转化为多个同源版本。此外，对于这一系统，在多同源版本上的任一成功的攻击需要同时破译从φ1到φ2的所有的单同源。
使用同源的基于身份的加密(IBE)图5示出了使用同源的基于身份的加密(IBE)的示例性方法500。椭圆曲线之间的单向同源被认为令基于身份的加密(IBE)模式潜在地对计算上的迪福—海尔曼(CDH)(computational Diffie-Hellman)安全。IBE模式可定义如下。
映射到点对某一曲线E定义操作ID→P∈E。更具体地，可计算H(id)并使用它来定义一个点。可以假定H类似于随机预言表现。可选地，可以将点和散列ID的表保存进权值的随机串中，然后使用加权和。也可以假定有一可信的授权机构以及一组有限的用户，每一用户具有某一ID，从该ID可以计算对应的公钥。每一用户在由可行授权机构适当的标识之后获取其私钥。
对可信授权机构的公钥α∈E1，β∈φ(a)。因此，可信授权机构(或输入接收方的另一实体)提供并公布公钥(502)。如果使用了扭曲λ，假定α＝λ(a)是某一点a的扭曲映象。
对可信授权机构的私钥有效地可计算的 例如，从Bob到Alice的加密数据可以如下实现Alice的公钥例如，由可信授权机构(或诸如接收方的另一实体)通过到点映射函数ID→T提供T∈E2。
Alice的私钥S=φ^(T).]]>注意，对每一客户机快速获取私钥的攻击将用到类似于在签署系统中全局破译(如上所述)的时间。结果，这些系统也可被称为双重系统。
由Bob加密。计算ALICE T(阶段504，使用生成的公钥加密消息)。设消息为m。选取随机整数r。向Alice发送对(506)[mH(e(β，rT))，rα]由Alice解密。设密文为[c，T]。在合适的标识之后，使用由可信授权机构(或诸如接收方的另一实体)提供的私钥(510)对发送的加密消息进行解密。结果，清晰的文本是cH(e(rα，S))这能够起作用，因为在加密阶段散列的量为e(β,rT)=e(φ(α),rT)=e(α,φ^(rT))=e(α,rφ^(T))=(α,rS)=e(rα,S),]]>等于在解密阶段散列的量。可以如下讨论的表示同源(如，使用涉及条目表的概率方法)。
指定同源如果同源是平滑的，它可以被表示为由表示多项式计算的直线程序给出的小次数同源的合成。对于关注的扩张上的曲线，在一个实现中，输入—输出对的一个小表就已足够。
令End(E)＝Endk(E)，可以考虑k的有限扩张，并可以在适当的时候指定该扩张。在一个实现中，由同源在基本域的某一有限扩张上的点的群上的行动指定该同源。注意，两个同源可重合至某一扩张，但是可以在较大的域中相异。因此，在一组母线S上指定φ就已足够。一般而言，群是循环的，或如上所述|S|＝2。认为不容易找出母线，但是可以随机地选择S。
更具体地，由于阿贝尔群E(k)(回顾k是q个元素的有限域)对Z/mZ×Z/nZ同构，其中mn＝#E(k)，n|m，并且另外n|D，D＝(mn，q-1)。可使用Schoof算法来计算mn＝#E(k)，并且如果D的因式分解已知，可使用随机化的多项式时间算法来获取n。如果 和 分别为n阶和m阶，使得任一点可以写作 它们被称为阶梯形式的母线，并可以使用 算法来构造它们。
转向随机选择(Erdos-Renyi)，设G是有限阿贝尔群，g1，…gk是G的随机元素。存在一小常量c，使得如果k≥c·log|G|，其子集和几乎在G上均匀分布。特别地，gi可生成G。为减小表的大小，当群阶是质数时，可使用其加强加权子集和而不是子集和。这延及任意的阶，而丢失较少的参数。
此外，E(k)的结构可用于获取更详细的信息。可选取随机点Pi，i≤2，并将其写成Pi=aiP~+biQ~.]]>更具体地，如果矩阵 是模m可逆的(注意n|m)，可由Pi的线性组合表示阶梯母线的每一个。当发生这一情况时，{Pi}将生成群。注意，(P1和P2)落入由 生成的群内的概率为m-2。类似地，对于由 生成的群，概率为n-2。由此，两个事件的任一个都不会以概率(1-m2)(1-n2)＝1+(#E)-2-(m-2+n-2)发生。
硬件实现图6示出了可用于实现本发明描述的技术的通用计算机环境600。例如，计算机环境600可用于执行与执行参考之前的附图所讨论的任务关联的指令。此外，本发明讨论的每一实体(如，对图1、3和5，诸如可信方、接收方和/或发送方)都具有对通用计算机环境的访问。
计算机环境600仅为计算环境的一个示例，并非建议对本发明的使用或功能的范围的局限。也不应将计算机环境600解释为对示例性计算机环境600中示出的任一组件或其组合具有依赖或需求。
计算机环境600包括以常规计算机602形式的通用计算装置。计算机602的组件可包括但不限于，一个或多个处理器或处理单元604(可任选地包括密码处理器或协处理器)、系统存储器606以及将包括处理器604的各类系统组件耦合至系统存储器606的系统总线608。
系统总线608表示若干种总线结构类型的任一种，包括存储器总线或存储器控制器、外围总线、加速图形卡以及使用各类总线结构的本地总线或处理器。作为示例而非局限，这类结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)本地总线以及外围部件互连(PCI)总线，也称为Mezzanine总线。
计算机602通常包括各种计算机可读媒质。这类媒质可以是可由计算机602访问的任一可用媒质，包括易失和非易失媒质、可移动和不可移动媒质。
系统存储器606包括以易失存储器形式的计算机可读媒质，如随机存取存储器(RAM)610，和/或非易失存储器形式的计算机可读媒质，如只读存储器(ROM)612。基本输入/输出系统(BIOS)614包括如在启动时帮助在计算机602内的元件之间传输信息的基本例程，通常储存在ROM 612中。RAM 610通常包含处理单元604立即可访问或者当前正在操作的数据和/或程序模块。
计算机602也可包括其它可移动/不可移动、易失/非易失计算机存储媒质。作为示例，图6示出了对不可移动、非易失磁媒质(未示出)进行读写的硬盘驱动器616、对可移动、非易失磁盘620(如“软盘”)进行读写的磁盘驱动器618以及对可移动、非易失光盘624，如CD ROM、DVD-ROM或其它光媒质进行读写的光盘驱动器622。硬盘驱动器616、磁盘驱动器618和光盘驱动器622的每一个通过一个或多个数据媒质接口625连接到系统总线608。可选地，硬盘驱动器616、磁盘驱动器618以及光盘驱动器622可以通过一个或多个接口(未示出)连接到系统总线608。
盘驱动器及其关联的计算机可读媒质为计算机602提供了计算机可读指令、数据结构、程序模块和其它数据的非易失存储。尽管该示例示出了硬盘616、可移动磁盘620和可移动光盘624，可以理解，也可以使用能够储存可由计算机访问的数据的其它类型的计算机可读媒质来实现示例性计算系统和环境，如盒式磁带或其它磁存储设备、闪存卡、CD-ROM、数字多功能盘(DVD)或其它光存储、随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)等等。
任意数量的程序模块可储存在硬盘616、磁盘620、光盘624、ROM 612和/或RAM 610中，作为示例，包括操作系统626、一个或多个应用程序628、其它程序模块630和程序数据632。这些操作系统626、一个或多个应用程序628、其它程序模块630和程序数据632(或其某一组合)的每一个可实现支持分布式文件系统的常驻组件的所有或部分。
用户可以通过诸如键盘634和指向设备636(如，“鼠标”)的输入设备向计算机系统602输入命令和信息。其它输入设备638(未具体示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、串行端口、扫描仪和/或其类似物。这些和其它输入设备通过耦合至系统总线608的输入/输出接口640连接到处理单元604，但是也可以通过其它接口和总线结构连接，如并行端口、游戏端口或通用串行总线(USB)。
监视器642或另一类型的显示设备也通过接口，如视频适配器644连接到系统总线608。除监视器642之外，其它输出外围设备可包括诸如扬声器(未示出)和打印机646的组件，可通过输入/输出接口640连接到计算机602。
计算机602可以在使用到一个或多个远程计算机，如远程计算装置648的逻辑连接的网络化环境中操作。作为示例，远程计算装置648可以是个人计算机、便携式计算机、服务器、路由器、网络计算机、对等设备或其它公用网络节点等等。示出远程计算装置648为包括这里相对计算机系统602描述的许多或所有元件和特点的便携式计算机。
描述计算机602和远程计算机648之间的逻辑连接为局域网(LAN)650和一般广域网(WAN)652。这类网络环境常见于办公室、企业范围计算机网络、内联网以及因特网。
当在LAN网络环境中实现时，计算机602通过网络接口或适配器654连接至局域网650。当在WAN网络环境中实现时，计算机602通常包括调制解调器656或其它装置，用于通过广域网652建立通信。调制解调器656可以是内置或外置的，通过输入/输出接口640或其它合适的机制连接至系统总线608。可以理解，示出的网络连接是示例性的，可以使用在计算机602和648之间建立通信链路的其它装置。
在网络化环境中，如与计算环境600所示出的，相对于计算机602所描述的程序模块或其部分可以储存在远程存储器存储设备中。作为示例，远程应用程序658驻留在远程计算机648的存储器设备上。为说明目的，这里示出应用程序和其它可执行程序组件，如操作系统为离散的块，尽管应当认识到，这类程序和组件在不同的时刻驻留在计算机系统602的不同存储组件中，并由计算机的数据处理器执行。
本发明可以在计算机可执行指令的一般上下文中描述各种模块和技术，计算机可执行指令如由一个或多个计算机或其它装置执行的程序模块。一般而言，程序模块包括例程、程序、对象、组件、数据结构等等，执行特定的任务或实现特定的抽象数据类型。通常，如在各种实现中所期望的，可组合或分散程序模块的功能。
这些模块和技术的一个实现可储存在某一形式的计算机可读媒质中，或通过其发送。计算机可读媒质可以是可由计算机访问的任一可用媒质。作为示例而非局限，计算机可读媒质可包括“计算机存储媒质”和“通信媒质”。
“计算机存储媒质”包括以用于储存信息的任一方法或技术实现的易失和非易失，可移动和不可移动媒质，信息如计算机可读指令、数据结构、程序模块或其它数据。计算机存储媒质包括但不限于，RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机访问的任一其它媒质。
“通信媒质”通常在诸如载波或其它传输机制的已调制数据信号中包含计算机可读指令、数据结构、程序模块或其它数据。通信媒质也包括任一信息传送媒质。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非局限，通信媒质包括有线媒质，如有线网络或直接连线连接，以及无线媒质，如声学、射频(RF)、红外(IR)、无线保真(如IEEE802.11b无线网络)(Wi-Fi)、蜂窝、启用蓝牙以及其它无线媒质。上述任一的组合也应当包括在计算机可读媒质的范围之内。
总结尽管以对结构特征和/或方法行动特定的语言描述了本发明，可以理解定义在所附权利要求书中的本发明不必要限制在所描述的具体特征或行动上。相反，揭示了具体特征和行动作为实现要求权利的发明的示例性形式。例如，本发明讨论的椭圆曲线是阿贝尔簇的一维情况。同样，可以在其它应用中使用同源，如盲签署、分级系统等等。由此，本发明描述的技术可应用到更高维的阿贝尔簇。
权利要求
1.一种方法，其特征在于，它包括生成一将多个点从第一椭圆曲线映射到第二椭圆曲线的同源；公布一对应于所述同源的公钥；使用一对应于所述同源的加密密钥对消息进行加密；以及使用一对应于所述同源的解密密钥对所述经加密的消息进行解密。
2.如权利要求1所述的方法，其特征在于，所述加密密钥或解密密钥中的至少一个是私钥，所述私钥是所述同源的对偶同源。
3.如权利要求1所述的方法，其特征在于，使用选自以下一组的技术生成所述同源，所述组包括复数乘法生成、模生成、线性不相关生成、及其组合。
4.如权利要求1所述的方法，其特征在于，所述生成将多个点从第一椭圆曲线映射到多个椭圆曲线。
5.如权利要求1所述的方法，其特征在于，所述解密通过双线性配对执行。
6.如权利要求5所述的方法，其特征在于，所述双线性配对是从包括韦伊配对、塔特配对和平方配对的一组中选择的配对。
7.如权利要求1所述的方法，其特征在于，使用阿贝尔簇来应用所述方法。
8.如权利要求1所述的方法，其特征在于，所述方法签署所述消息。
9.如权利要求1所述的方法，其特征在于，所述方法提供基于身份的加密。
10.如权利要求1所述的方法，其特征在于，它还包括构成多个模同源来提供所述同源，而不揭示任何中间曲线。
11.如权利要求1所述的方法，其特征在于，它还包括使用下至一基域的一跟踪映射以缩短由所述同源映射的椭圆曲线上的点。
12.如权利要求1所述的方法，其特征在于，它还包括使用一跟踪映射来缩短阿贝尔簇上的点。
13.一种方法，其特征在于，它包括公布一对应于一同源的公钥，所述同源将多个点从第一椭圆曲线映射到第二椭圆曲线；以及使用一对应于所述同源的解密密钥对经加密的消息进行解密。
14.如权利要求13所述的方法，其特征在于，所述解密密钥是所述同源的对偶同源。
15.如权利要求13所述的方法，其特征在于，使用从一组中选择的技术生成所述同源，所述组包括复数乘法生成、模生成、线性不相关生成及其组合。
16.如权利要求13所述的方法，其特征在于，所述同源将多个点从第一椭圆曲线映射到多个椭圆曲线。
17.如权利要求13所述的方法，其特征在于，所述解密通过双线性配对执行。
18.如权利要求17所述的方法，其特征在于，所述双线性配对是从包括韦伊配对、塔特配对和平方配对的一组中选择的配对。
19.如权利要求13所述的方法，其特征在于，使用阿贝尔簇来应用所述方法。
20.如权利要求13所述的方法，其特征在于，所述方法对所述消息进行签署。
21.如权利要求13所述的方法，其特征在于，所述方法提供基于身份的加密。
22.如权利要求13所述的方法，其特征在于，它还包括使用一下至一基域的跟踪映射来缩短由所述同源映射的椭圆曲线上的点。
23.一种系统，其特征在于，它包括第一处理器；耦合至所述第一处理器的第一系统存储器；所述第一系统存储器储存一对应于一同源的公钥，所述同源将多个点从第一椭圆曲线映射到第二椭圆曲线；第二处理器；耦合至所述第二处理器的第二系统存储器，所述第二系统存储器储存一加密消息以及一与所述同源对应以便对所述加密消息进行解密的解密密钥，其中，使用一加密密钥对所述经加密的消息进行加密。
24.如权利要求23所述的系统，其特征在于，所述加密密钥或解密密钥的至少一个是私钥，所述私钥是所述同源的对偶同源。
25.如权利要求23所述的系统，其特征在于，所述同源将多个点从第一椭圆曲线映射到多个椭圆曲线。
26.如权利要求23所述的系统，其特征在于，所述解密通过双线性配对执行。
27.如权利要求26所述的系统，其特征在于，所述双线性配对是从包括韦伊配对、塔特配对和平方配对的一组中选择的配对。
28.在其上储存了指令的一个或多个计算机可读媒质，其特征在于，当执行所述指令时，指示机器执行以下行动公布一对应于一同源的公钥，所述同源将多个点从第一椭圆曲线映射到第二椭圆曲线；以及使用一对应于所述同源的的解密密钥对经加密的消息进行解密。
29.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述解密密钥是私钥，所述私钥是所述同源的对偶同源。
30.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，使用从一组中选择的技术生成所述同源，所述组包括复数乘法生成、模生成、线性不相关生成及其组合。
31.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述同源将多个点从第一椭圆曲线映射到多个椭圆曲线。
32.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述解密通过双线性配对执行。
33.如权利要求32所述的一个或多个计算机可读媒质，其特征在于，所述双线性配对是从包括韦伊配对、塔特配对和平方配对的一组中选择的配对。
34.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，使用阿贝尔簇来应用所述行动。
35.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述行动还包括使用一下至一基域的跟踪映射来缩短由所述同源映射的椭圆曲线上的点。
36.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述行动还包括组成多个模同源来提供所述同源，而不揭示任何中间曲线。
37.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述行动还包括使用一跟踪映射来缩短阿贝尔簇上的点。
38.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述行动对所述消息进行签署。
39.如权利要求28所述的一个或多个计算机可读媒质，其特征在于，所述行动提供基于身份的加密。
全文摘要
揭示了提供公钥加密系统的技术。更具体地，使用阿贝尔簇(如，一维情况下的椭圆曲线)的同源来提供公钥加密系统。例如，同源准许使用多曲线来代替单曲线，以提供更安全的加密。该技术可应用到数字签署和/或基于身份的加密(IBE)解决方案。此外，可以在其它应用中使用同源，如盲签署、分级系统等等。另外，揭示了生成同源的解法。
文档编号H04L9/30GK1614922SQ200410068590
公开日2005年5月11日 申请日期2004年8月27日 优先权日2003年11月3日
发明者D·Y·焦, R·凡卡特杉 申请人:微软公司