[发明专利]一种Tate配对的实现方法及其电路结构

说明书

技术领域

本发明属于信息安全领域，涉及一种Tate配对的实现方法及其电路结构，可应用于公钥密码学领域。通过使用本发明，能够快速计算基于椭圆曲线或超椭圆曲线上的Tate配对，为基于属性加密系统、数字签名、密钥协议等公钥密码学方案提供了基础技术支撑。

背景技术

椭圆曲线上的配对是具有特殊性质的映射，该映射将椭圆曲线点群中的两个点映射为扩域的乘法群中的某个元素，此处正整数k为嵌入次数，其取值与所选取的椭圆曲线相关。

假设G₁和G₂均为加法交换群，G_T为乘法循环群，记映射为e，则双线性配对映射e的定义如下：

e:G₁×G₂→G_T

且对于任意的P,P₁,P₂∈G₁和Q,Q₁,Q₂∈G₂，满足以下条件

(1)双线性：

e(P₁+P₂,Q)＝e(P₁,Q)e(P₂,Q)，e(P,Q₁+Q₂)＝e(P,Q₁)e(P,Q₂)

(2)非退化性：对于任意的P∈G₁/{0}，存在Q∈G₂，使得e(P,Q)≠1；对于任意的Q∈G₂/{0}，存在P∈G₁，使得e(P,Q)≠1。

(3)可计算性：存在有效的算法(多项式时间算法)可以计算映射e。

双线性配对的安全性是基于双线性计算性Diffie Hellman困难问题假设(BCDHP假设)，即给定P,aP,abP∈G₁，计算bP且满足e(P,P)^b∈G₂，其中为未知数。同时，对于任意的多项式时间攻击者A而言，三元组(aP,abP,bP)和(aP,abP,R)在计算上是不可区分的，其中R为G₁中的一个随机数。即不存在任何有效的概率多项式时间算法满足：

|Pr[D(aP,abP,bP)＝1]-Pr[D(aP,abP,R)＝1]|>1/q

假设E为一条定义在F_p上的椭圆曲线。椭圆曲线E上的点群记为E(F_p)，是一个有限群。椭圆曲线E在F_p上的点的个数就是点群的阶，使用#E(F_p)来表示。椭圆曲线E上点记为P，无穷远点记为O。定义l为满足lP＝O的最小整数，称为点P的阶。椭圆曲线E上点P分为两类：存在有限阶的点(挠点)和无穷阶的点。无穷阶的点意味着无法通过累加自身的值得到无穷远点O。如果挠点P的有限阶为l，则称其为l-挠点。定义r为#E(F_p)的最大质因数，k为椭圆曲线E的嵌入度，满足r|q^k-1。

令G₁＝E(F_q)[r](G₁＝<P>，P为挠点)，为的零轨迹子群)，G_T＝μ_r(μ_r为扩域上的单位根)，则本发明所使用的Tate配对定义为：

利用不同的代数曲线可以构造出不同形式的双线性配对，而不同的代数曲线所能提供的安全性和计算效率不同。本发明所涉及的Tate配对，是由基于256位素数域上嵌入度k＝12的BN曲线(Barreto-Naehrig curves)所构成的，可以提供超过128位的安全性。

本发明所使用的BN曲线下Tate配对的映射t_r表示为：

目前Tate配对的算法没有较快的硬件实现方案，计算的步骤比较复杂，计算过程需要大量的时间，严重制约了双线性配对在信息安全领域的应用；因此设计较快的计算算法，保证硬件加速设计的合理的性能面积比，成为了一个亟待解决的问题。

发明内容

为了克服现有技术中存在的技术问题，本发明的目的是设计一种Tate配对的实现方法及其电路结构。

实现上述目的所采用的解决方案为：

1、一种Tate配对算法的硬件实现，包括：