[发明专利]一种特征为2的椭圆曲线上标量乘的并行处理方法及装置

说明书

本发明公开了一种特征为2的椭圆曲线上标量乘的并行处理方法及装置。本方法为：1)将密码学所使用的椭圆曲线参数以及一标量k输入预处理模块；2)预处理模块对标量k放大t倍并传递给分裂模块；3)分裂模块将放大后的标量k进行分裂，将得到的以2为基底的展开部分发送给倍点‑加模块、将得到的以1/2为基底的展开部分发送给半点‑加模块，进行并行计算并将计算结果发送给合并加模块进行点加后输出，完成密码学中特征为2的椭圆曲线上标量乘。本发明提高了算法的效率，更充分地利用了处理器的性能，并能够抵抗简单侧信道攻击。

技术领域

本发明涉及一种计算特征2上的椭圆曲线标量乘的新方法，该方法采用并行运算的思路，并给出了具体处理方法和运算单元，在椭圆曲线密码学中有重要的应用，属于信息安全技术领域。

背景技术

密码学既是一门艺术，也是一门科学，它有着悠久的历史。随着计算机的出现、信息时代的到来，现代密码学与经典密码学相比出现了很多的变化和长足的进步。现代密码学的加密方式主要分为两类：对称加密和公钥加密。而在现代广泛使用和流行的公钥加密方案中，椭圆曲线加密方案无疑有着举足轻重的地位。

1985年，Koblitz和Miller同时独立地提出了椭圆曲线公钥密码体制(ECC：elliptic curve cryptosystem)。椭圆曲线密码体制的安全性基于椭圆曲线离散对数问题的困难性。迄今为止，对普通椭圆曲线上离散对数问题的攻击算法都是指数时间的。因此，ECC与其他公钥密码体制如RSA相比具有抗攻击能力强、系统密钥短、计算量小、占用存储空间少、带宽要求低等诸多优点，因此它具有广泛的应用前景。在椭圆曲线密码体制中定义的点的运算与普通的四则运算有着很大的区别，通过观察一般方程的点加和倍点公式可以看出，标量乘运算是整个密码系统中最耗时的部分。因此，研究和改进椭圆曲线标量乘快速计算方法和相应的运算单元有着非常重要的理论和现实意义。

有关椭圆曲线密码学方面的著述资料非常丰富，包括国外的经典著作、国内的译著、国内的论著等。很多标准化组织还相继提出了椭圆曲线密码算法的相关标准：NIST在标准FIPS186-4中，推荐了美国政府使用的15条不同安全级别的椭圆曲线，包括5条特征为2的有限域上的椭圆曲线、5条特征为2的有限域上的Koblitz曲线和5条大素域上的椭圆曲线；美国国家标准化组织提出了椭圆曲线签名标准ANSI X9.62和规定各种椭圆曲线密钥协商、传送、加密协议的标准ANSI X9.63；电气和电子工程师协会给出了椭圆曲线密码学标准IEEE P1363；中国国家密码管理局也已发布了SM2椭圆曲线公钥密码算法标准和SM9标识密码算法标准等等。2017年，我国自主研发的SM2椭圆曲线标准的数字签名算法成功入选ISO标准，标志着我国在ECC方面的研究处于世界前列。我国学者在椭圆曲线密码的研究方面做出了很多贡献，主要包括标量乘和双线性对的快速计算、椭圆曲线离散对数的攻击和椭圆曲线密码在智能卡、物联网等环境中的应用。

事实上，加速标量乘的计算有很多种方式，已经有很多国内外学者从不同的角度提出了很多比较成熟的方案，如利用自同态加速标量乘的计算，使用新的坐标形式或曲线形式加速标量乘的计算，通过降低标量的汉明重量加速标量乘的计算，利用优化算法加速标量乘的计算等等。

2015年，Negre和Robert在他们的一篇文章中给出了一种新思路，他们通过分裂标量，利用并行算法来给标量乘计算进行加速。这是一个新颖而有效的思路，还能够抵抗简单能量分析攻击，而且根据实验结果，算法的运算速度的确有了很大的提高。由于在计算标量乘的过程中，我们常常会遇到域逆运算，这是一个相对很耗时的运算，因此一般选择使用射影坐标代替仿射坐标以回避域逆运算，这样可以有效地提高标量乘的计算速度。遗憾的是，在Negre和Robert的并行算法中，它们模仿Montgomery倍点算法设计的半点算法只能使用仿射坐标，使得算法中的半点计算部分的效率不够高。

发明内容

针对Negre和Robert提出的并行算法中半点算法无法使用射影坐标的问题，本发明的目的在于提供一种特征为2的椭圆曲线上标量乘的并行处理方法及装置。