[发明专利]用于椭圆曲线密码防御差分功耗攻击的方法

权利要求书

1.一种用于椭圆曲线密码防御差分功耗攻击的方法，包括步骤：

步骤一，在椭圆曲线E()上选择一个非零点P＝(X:Y:1)，给定任意整数m；

步骤二，计算同构映射φ(P)＝(f^uX:f^vY:1)，并记P′＝(X′:Y′:1)＝φ(P)；

步骤三，计算标量乘mP′，并记点R＝mP′＝(X″:Y″:Z″)；

步骤四，计算同构逆映射φ^-1(R)＝(f^vX″:f^v+2uY″:f^v+uZ″)＝mP。

2.如权利要求1所述的用于椭圆曲线密码防御差分功耗攻击的方法，其特征在于：所述步骤一中，n＞80。

3.如权利要求1所述的用于椭圆曲线密码防御差分功耗攻击的方法，其特征在于：所述步骤二中，u、v是正整数，且v≥2u；

f是域中随机选取的非零元变量，且要求f^h的汉明重量值小于其中，h＝v-u，v-2u或v+2u。

4.如权利要求1所述的用于椭圆曲线密码防御差分功耗攻击的方法，其特征在于：所述步骤二中，P′的Z坐标取1。

5.如权利要求1所述的用于椭圆曲线密码防御差分功耗攻击的方法，其特征在于：所述步骤三中，通过调用以下步骤的算法来计算R＝mP′：

步骤(1)，输入整数m以及P′＝(X′:Y′:1)；

步骤(2)，把整数m展开成二进制形式

步骤(3)，给点Q赋初始值：Q←∞；

步骤(4)，从i＝0到i＝s-1循环：

步骤(5)，如果m_i＝1，则计算Q←Q+P′；

步骤(6)，计算P′←2P′；

步骤(7)，i←i+1；

步骤(8)，循环结束后，输出点Q；

最后，点Q的值就等于所求的R＝mP′。

6.如权利要求5所述的用于椭圆曲线密码防御差分功耗攻击的方法，其特征在于：所述步骤(2)中的m还能以如下形式展开：

m＝∑m′_ip^wi

其中，p是一个素数，w是一个整数，

7.如权利要求5所述的用于椭圆曲线密码防御差分功耗攻击的方法，其特征在于：所述步骤(5)是通过点加运算完成的，具体运算公式如下：

椭圆曲线E()上任意点P′、Q，其中，P′＝(X′₁:Y′₁:Z₁)，Q＝(X′₂:Y′₂:Z₂)，并记P′+Q＝(X′₃:Y′₃:Z₃)；

如果P′＝∞，则P′+Q＝∞+Q＝Q；

如果Q＝∞，则P′+Q＝P′+∞＝P′；

当P′≠∞且Q≠∞，P′≠Q时，则

X′₃＝A(H+D)+B(G+C)

Y′₃＝(AJ+FG)F+(J+f^v-uZ₃)X′₃

Z₃＝FZ₁Z₂

其中，A＝X′₁Z₂，，B＝X′₂Z₁，C＝f^v-2uA²，D＝f^v-2uB²，E＝A+B，F＝C+D，I＝G+H，J＝f^v-2uIE。

8.如权利要求5所述的用于椭圆曲线密码防御差分功耗攻击的方法，其特征在于：所述步骤(6)是通过倍点运算完成的，具体运算公式如下：

椭圆曲线E()上任意点P′、Q，其中，P′＝(X′₁:Y′₁:Z₁)，Q＝(X′₂:Y′₂:Z₂)，并记P′+Q＝(X′₃:Y′₃:Z₃)；

如果P′＝∞，则P′+Q＝∞+Q＝Q；

如果Q＝∞，则P′+Q＝P′+∞＝P′；

当P′≠∞且Q≠∞，P′＝Q，则

X′3＝f^v-2uC²+B

Y′₃＝(Y′₁²+a₂f^v-uZ₃+f^v-2uB)X′₃+f^v-uZ₃B

Z₃＝f^v-uAC

其中，B＝a₆f^v+2uA²，C＝X′₁²。