[发明专利]基于椭圆曲线对电子文档数字签名的安全保护方法

权利要求书

1.一种基于椭圆曲线对电子文档数字签名的安全保护方法，其特征在于，该方法按照以下步骤实施，

步骤1，生成系统参数：进行如下设置，

设置一个素数p和一个正整数m，其中m≥1，如果m＞1，选取有限域GF(p)上的一个首项系数为1的m次不可约多项式f(x)，定义一个有限域GF(p^m)，

系数a，b，其中，a∈GF(p^m)，b∈GF(p^m)，定义GF(p^m)上的椭圆曲线E＝E(GF(p^m))，

E=Ea,b:y2+xy=x3+ax2+b,(b≠0)ifp=2y2=x3+ax+b,(4a3+27b2)≠0(modp),ifp>3.]]>

一个素数q整除#E(GF(p^m))，#E(GF(p^m))表示椭圆曲线E的阶数，即E(GF(p^m)上点的总数，

一个E上的点G＝(gx；gY)生成一个阶为素数q的循环子群<G>，公共参数是(p，m，a，b，G，q，h)，h＝#(GF(pm))/q，其中q是基点G＝(gx；gY)的阶，h称为余因子，

一个映射函数π：<G>→Z_q，一个安全Hash函数H：{0，1}^*→Z_q，以及7个可有效计算的函数η₀，η₁，η₂，η₃，η₄，η₅，η₆，映射Z_q×Z_q到Z_q，即η_i：(T，U)→z_q，其中i＝0，1，…，6，且使得η₀(T，U)≠0，并将所有的设置安装到签名双方的计算机系统中；

步骤2，用户密钥建立：

对每个签名者随机选择私钥x∈Z_q，计算相应的公钥是Y＝xG，由签名者保密私钥x，用来签名；公开公钥Y供验证签名时使用；

步骤3，签名过程：

签名者执行下列操作，生成消息M的签名(T，S)，

在区间[1，q-1]中随机选择整数k，

计算椭圆曲线上的点R＝(x1，Y1)＝kG，并计算T＝π(R)，U＝H(M)，

S=^F1(k,x,T,U)]]>

=[kη4(T,U)+xη5(T,U)+η6(T,U)kη1(T,U)+xη2(T,U)+η3(T,U)]1η0(T,U)modq]]>

则得到消息M的签名是(T，S)，发送消息签名对(M，T，S)给文档的接收者；

步骤4，验证过程：

验证者执行如下计算，验证一个声称的公钥是Y的用户对消息M的签名(T，S)：

1)、收到消息M′，表示为一个二进制位串；

2)、收到消息M′的签名，表示为两个整数T′和S′；

计算hash值U′＝H(M′)，U′表示为一个长度为160bits的整数；

3)、计算

F2(S′,T′,U′)=-η3(T′,U′)S′η0(T′,U′)-η6(T′,U′)η1(T′,U′)S′η0(T′,U)-η4(T′,U′)modq]]>

F3(S′,T′,U′)=-η2(T′,U′)Sη0(T′,U)-η5(T′,U′)η1(T′,U′)S′η0(T′,U)-η4(T′,U′)modq;]]>

4)、计算椭圆曲线点R′＝F₂(S′，T′，U′)G+F₃(S′，T′，U′)Y；

5)、如果验证式T′＝π(R′)成立，那么签名就得到验证，验证者可以确信收到的消息是持有与Y相应的私钥x的持有者发送的；如果验证式T′＝π(R′)不能成立，则签名验证失败。