椭圆曲线加密对数难分解

‘壹’ 椭圆加密算法的方程

椭圆曲线密码体制来源于对椭圆曲线的研究，所谓椭圆曲线指的是由韦尔斯特拉斯（Weierstrass）方程：
y2+a1xy+a3y=x3+a2x2+a4x+a6 (1)
所确定的平面曲线。其中系数ai(I=1,2,…,6)定义在某个域上，可以是有理数域、实数域、复数域，还可以是有限域GF（pr），椭圆曲线密码体制中用到的椭圆曲线都是定义在有限域上的。
椭圆曲线上所有的点外加一个叫做无穷远点的特殊点构成的集合连同一个定义的加法运算构成一个Abel群。在等式
mP=P+P+…+P=Q (2)
中，已知m和点P求点Q比较容易，反之已知点Q和点P求m却是相当困难的，这个问题称为椭圆曲线上点群的离散对数问题。椭圆曲线密码体制正是利用这个困难问题设计而来。椭圆曲线应用到密码学上最早是由Neal Koblitz 和Victor Miller在1985年分别独立提出的。
椭圆曲线密码体制是目前已知的公钥体制中，对每比特所提供加密强度最高的一种体制。解椭圆曲线上的离散对数问题的最好算法是Pollard rho方法，其时间复杂度为，是完全指数阶的。其中n为等式(2)中m的二进制表示的位数。当n=234, 约为2117，需要1.6x1023 MIPS 年的时间。而我们熟知的RSA所利用的是大整数分解的困难问题，目前对于一般情况下的因数分解的最好算法的时间复杂度是子指数阶的，当n=2048时，需要2x1020MIPS年的时间。也就是说当RSA的密钥使用2048位时，ECC的密钥使用234位所获得的安全强度还高出许多。它们之间的密钥长度却相差达9倍，当ECC的密钥更大时它们之间差距将更大。更ECC密钥短的优点是非常明显的，随加密强度的提高，密钥长度变化不大。
德国、日本、法国、美国、加拿大等国的很多密码学研究小组及一些公司实现了椭圆曲线密码体制，我国也有一些密码学者
做了这方面的工作。许多标准化组织已经或正在制定关于椭圆曲线的标准，同时也有许多的厂商已经或正在开发基于椭圆曲线的产品。对于椭圆曲线密码的研究也是方兴未艾，从ASIACRYPTO’98上专门开辟了ECC的栏目可见一斑。
在椭圆曲线密码体制的标准化方面，IEEE、ANSI、ISO、IETF、ATM等都作了大量的工作，它们所开发的椭圆曲线标准的文档有：IEEE P1363 P1363a、ANSI X9.62 X9.63、 ISO/IEC14888等。
2003年5月12日中国颁布的无线局域网国家标准 GB15629.11 中，包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全机制，能为用户的WLAN系统提供全面的安全保护。这种安全机制由 WAI和WPI两部分组成，分别实现对用户身份的鉴别和对传输的数据加密。WAI采用公开密钥密码体制，利用证书来对WLAN系统中的用户和AP进行认证。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名，这里的签名采用的就是椭圆曲线ECC算法。
加拿大Certicom公司是国际上最着名的ECC密码技术公司,已授权300多家企业使用ECC密码技术，包括Cisco 系统有限公司、摩托罗拉、Palm等企业。Microsoft将Certicom公司的VPN嵌入微软视窗移动2003系统中。
以下资料摘自：http://www.hids.com.cn/data.asp

‘贰’ 密码中的数学

密码是一种用来混淆的技术，它希望将正常的（可识别的）信息转变为无法识别的信息。当然，对一小部分人来说，这种无法识别的信息是可以再加工并恢复的。密码在中文里是“口令”的通称。登录网站、电子邮箱和银行取款时输入的“密码”其实严格来讲应该仅被称作“口令”，因为它不是本来意义上的“加密代码”，但是也可以称为秘密的号码。主要限定于个别人理解(如一则电文)的符号系统。如密码电报、密码式打字机。
“加密代码”的加密与解密都离不开数学的支持，随着数学的发展，密码的加密方式以及解密难度也随之直线上升。
加密方法
RSA算法
RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA算法是一种非对称密码算法，所谓非对称，就是指该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。
RSA的算法涉及三个参数，n、e1.e2。其中，n是两个大质数p、q的积，n的二进制表示时所占用的位数，就是所谓的密钥长度。e1和e2是一对相关的值，e1可以任意取，但要求e1与(p-1)*(q-1)互质(互质：两个正整数只有公约数1时，他们的关系叫互质）；再选择e2，要求(e2*e1)mod((p-1)*(q-1))=1。
(n及e1),(n及e2)就是密钥对。
RSA加解密的算法完全相同,设A为明文，B为密文，则：A=B^e1 mod n；B=A^e2 mod n；
e1和e2可以互换使用，即：A=B^e2 mod n；B=A^e1 mod n
ECC加密法
ECC算法也是一个能同时用于加密和数字签名的算法，也易于理解和操作。同RSA算法是一样是非对称密码算法使用其中一个加密，用另一个才能解密。
公开密钥算法总是要基于一个数学上的难题。比如RSA 依据的是：给定两个素数p、q 很容易相乘得到n，而对n进行因式分解却相对困难。那椭圆曲线上有什么难题呢？
考虑如下等式 ：
K=kG [其中 K,G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数]
不难发现，给定k和G，根据乘法法则，计算K很容易；但给定K和G，求k就相对困难了。这就是椭圆曲线加密算法采用的难题。我们把点G称为基点（base point），k（k<n，n为基点G的阶）称为私有密钥（privte key），K称为公开密钥（public key)。
ECC的功能比RSA强。而令人感兴趣的是点和点的过程，这也是其功能之来源。
二方密码
二方密码比四方密码用更少的矩阵。得出加密矩阵的方法和四方密码一样。
这种加密法的弱点是若两个字同列，便采用原来的字母，例如he便加密作HE。约有二成的内容都因此而暴露。
四方密码
四方密码用4个5×5的矩阵来加密。每个矩阵都有25个字母（通常会取消Q或将I,J视作同一样，或改进为6×6的矩阵，加入10个数字）。
替换加密法：用一个字符替换另一个字符的加密方法。
换位加密法：重新排列明文中的字母位置的加密法。
回转轮加密法：一种多码加密法，它是用多个回转轮，每个回转轮实现单码加密。这些回转轮可以组合在一起，在每个字母加密后产生一种新的替换模式。
多码加密法：
一种加密法，其替换形式是：可以用多个字母来替换明文中的一个字母。
夹带法：通过隐藏消息的存在来隐藏消息的方法。
三分密码
首先随意制造一个3个3×3的Polybius方格替代密码，包括26个英文字母和一个符号。然后写出要加密的讯息的三维坐标。讯息和坐标四个一列排起，再顺序取横行的数字，三个一组分开，将这三个数字当成坐标，找出对应的字母，便得到密文。
仿射密码
仿射密码是一种替换密码。它是一个字母对一个字母的。它的加密函数是e(x)=ax+b(mod m)，其中 a和m互质。m是字母的数目。
译码函数是d(x)=a^(x-b)(mod m)，其中a^是a在M群的乘法逆元。
波雷费密码
希尔密码
维热纳尔方阵
着名的维热纳尔方阵由密码学家维热纳尔编制，大体与凯撒加密法类似。即二人相约好一个密钥（单词），然后把加密后内容给对方，之后对方即可按密码表译出明文。密钥一般为一个单词，加密时依次按照密钥的每个字母对照明码行加密。
由维热纳尔方阵加密的密码，在没有密钥的情况下给破译带来了不小的困难。维热纳尔方阵很完美的避开了概率算法（按每个语种中每个字母出现的概率推算。例如英语中最多的是e），使当时的密码破译师必须重新找到新方法破译。
埃特巴什码
埃特巴什码是一个系统：最后一个字母代表第一个字母，倒数第二个字母代表第二个字母。
栅栏加密法
栅栏加密法是一种比较简单快捷的加密方法。栅栏加密法就是把要被加密的文件按照一上一下的写法写出来，再把第二行的文字排列到第一行的后面。相应的破译方法就是把文字从中间分开，分成2行，然后插入。栅栏加密法一般配合其他方法进行加密。
针孔加密法
这种加密法诞生于近代。由于当时邮费很贵，但是寄送报纸则花费很少。于是人们便在报纸上用针在需要的字下面刺一个孔，等到寄到收信人手里，收信人再把刺有孔的文字依次排列，连成文章。人们已经很少使用这种加密了。
猪圈加密法
在18世纪时，Freemasons为了使让其他的人看不懂他所写而发明的，猪圈密码属于替换密码流，但它不是用一个字母替代另一个字母，而是用一个符号来代替一个字母， 把26个字母写进下四个表格中,然后加密时用这个字母所挨着表格的那部分来代替。
对称加密算法
DES：数据加密标准，速度较快，适用于加密大量数据的场合（块加密法）；
3DES：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高（块加密法）；
RC2和 RC4：用变长密钥对大量数据进行加密，比 DES 快（流加密法）；
IDEA国际数据加密算法，使用 128 位密钥提供非常强的安全性（块加密法）；
AES：高级加密标准，是下一代的加密算法标准，速度快，安全级别高， AES 标准的一个实现是 Rijndael 算法（块加密法）；
BLOWFISH，它使用变长的密钥，长度可达448位，运行速度很快，而经过改进后就是TWOFISH，AES的候选者之一（块加密法）。

‘叁’ 椭圆曲线密码学的一些具体的内容

⑴ 无穷远元素（无穷远点，无穷远直线）
平面上任意两相异直线的位置关系有相交和平行两种。引入无穷远点，是两种不同关系统一。
AB⊥L1， L2∥L1，直线AP由AB起绕A点依逆时针方向转动，P为AP与L1的交点。
Q=∠BAP→p /2 AP → L2
可设想L1上有一点P∞，它为L2和L1的交点，称之为无穷远点。
直线L1上的无穷远点只能有一个。
（因为过A点只能有一条平行于L1的直线L2，而两直线的交点只能有一个。）
结论：
1*. 平面上一组相互平行的直线，有公共的无穷远点。
（为与无穷远点相区别，把原来平面上的点叫做平常点）
2*.平面上任何相交的两直线L1,L2有不同的无穷远点。
原因：若否，则L1和L2有公共的无穷远点P∞，则过两相异点A和P ∞有相异两直线，与公理相矛盾。
3*. 全体无穷远点构成一条无穷远直线。
注：欧式平面添加上无穷远点和无穷远直线，自然构成射影平面。
⑵ 齐次坐标
解析几何中引入坐标系，用代数的方法研究欧氏空
间。这样的坐标法也可推广至摄影平面上，建立平面摄影
坐标系。
牋 L1,L2
L1: a1x+b1y+c1=0
L2: a2x+b2y+c2=0
其中a1,b1不同时为0；a2,b2也不同时为0。
设
D= a1 b1 Dx= b1 c1 Dy= c1 a1
a2 b2 b2 c2 c2 a2
若D≠0，则两直线L1,L2相交于一平常点P(x,y），其坐标为x=Dx/D，y=Dy/D.
这组解可表为：x/Dx=y/Dy=1/D
（约定：分母Dx，Dy有为0时，对应的分子也要为0）
上述表示可抽象为（Dx，Dy，D).
若 D=0，则L1∥L2，此时L1和L2交于一个无穷远点P∞。
这个点P∞可用过原点O且平行于L2的一条直线L来指出他
的方向，而这条直线L的方程就是：a2x+b2y=0.
为把平常点和无穷远点的坐标统一起来，把点的坐标用
（X，Y，Z）表示，X，Y，Z不能同时为0，且对平常点
（x，y）来说，有Z≠0，x=X/Z，y=Y/Z，于是有：
i.e.
X / Dx = Y / Dy = Z / D，
有更好的坐标抽象，X,Y,Z），这样对于无穷远点则有Z=0，
也成立。
注：
a).若实数p≠0，则（pX,pY,pZ）与（X,Y,Z）表示同一个点。实质上用（X:Y:Z）表示。3个分量中，只有两个是独立的，</pre>
<pre>；具有这种特征的坐标就叫齐次坐标。
b).设有欧氏直线L，它在平面直角坐标系Oxy上的方程为：
ax+by+c=0
则L上任一平常点（x,y）的齐次坐标为（X,Y,Z），Z≠0，代入得：
aX+bY+cZ=0
给L添加的无穷远点的坐标（X,Y,Z）应满足aX+bY=0，Z=0；平面上无穷远直线方程自然为：Z=0 !!
⑶任意域上的椭圆曲线
K为域，K上的摄影平面P2(K）是一些等价类的集合{(X:Y:Z)}。考虑下面的Weierstrass方程（次数为3的齐次方程）：
Y2Z+a1XYZ+a3YZ2=X3+a2X2z+a4XZ2+a6Z3
（其中系数ai∈K，或ai∈K为K的代数闭域）
Weierstrass方程被称为光滑的或非奇异的是指对所有适合
以下方程的射影点P=(X:Y:Z) ∈ P2(K）来说，
F(X,Y,Z)=Y2Z+a1XYZ+a3YZ2-X3-a2X2Z-a4XZ2-a6Z3=0
在P点的三个偏导数 之中至少有一个不为
0若否称这个方程为奇异的。
椭圆曲线E的定义：
椭圆曲线E是一个光滑的Weierstrass方程在P2(K）中的
全部解集合。
Y2Z+a1XYZ+a3YZ2=X3+a2X2Z+a4XZ2+a6Z3
注：
a) 在椭圆曲线E上恰有一个点，称之为无穷远点。即（0:1:0）用θ表示。
b) 可用非齐次坐标的形式来表示椭圆曲线的Weierstrass方程：
设 x=X/Z，y=Y/Z，于是原方程转化为：
y2+a1xy+a3y=x3+a2x2+a4x+a6 ⑴
此时，椭圆曲线E就是方程⑴在射影平面P2(K）上的全部平常点解，外加一个无穷远点θ组成的集合。
c) 若a1,a2,a2,a4,a6∈K，此时椭圆曲线E被称为定义在K上，用E/K表示。如果E能被限定在K上，那么E的K--</pre>
<pre>；有理点集合表示为E(K），它为E中的全体有理坐标点的集合外加无穷远点θ.
⑷实域R上的椭圆曲线
设K=R，此时的椭圆曲线可表为平面上的通常曲线上
的点，外加无穷远点θ。
实域R上椭圆曲线的点的加法运算法则：
设L ∈ P2(R）为一条直线。因为E的方程是三次的，所以L可与E在P2(R）恰有三个交点，记为P,Q,R
（注意：如果L与E相切，那么P,Q,R可以不是相异的）。按下述方式定义E上运算⊙：
设P,Q ∈ E，L为联接P,Q的直线（若P=Q，则L取过P点的切线）；设R为L与E的另一个交点；
再取连接R与无穷远点的直线L′。则L′与E的另一个交点定义为P ⊙Q。
上页的实际图像为椭圆曲线y2=x3 - x的一般化。来自对具体曲线的抽象。对运算更具体一些：
设 P=(x1,y1），Q=(x2,y2），P⊙Q=(x3,y3），
由P Q的定义，设y=αx+β为通过P,Q两点直线L的方程，可算出：
α=(y2-y1）/(x2-x1），β=y1-αx1
易见，直线L上的一个点（x，αx+β）是在椭圆曲线E上，
当且仅当（αx+β）2= x3 - x。
P⊙Q=(x1,y1） (x2,y2）=(x3,y3） =(x3,-（αx3+β））
其中，x3= α2-x1-x2=((y2-y1） / (x2-x1））2-x1-x2；
y3=-y1+((y2-y1）/(x2-x1））（x1-x3）
当P=Q时：P⊙Q=（x3，y3）算得：
x3=（（3x12-1）/2y1）2-2x1; y3= -y1+（（3x12-1）/2y1）（x1-x3）
注：
a) 如果直线L与E相交与三点P,Q,R（不一定相异），那么 (P⊙Q)R=θ（从图中可见）。
b) 任给P∈E,P⊙θ =P （此时设Q= θ ，易见L=L′）
c) 任给P,Q∈E有：P⊙Q =Q⊙P
d) 设P∈E，那么可以找到 - P∈E使P -P= θ
e) 任给P,Q,R∈E，有（P⊙Q）⊙R= P⊙（Q⊙R)
综上所述，知E对 运算形成一个Abel群。
f) 上述规则可开拓到任意域上，特别是有限域上。假定
椭圆曲线是定义在有限域Fq上（q=pm），那么
E(Fq)={(x,y）∈Fq×Fq | y2+a1xy+a3y=x3+a2x2+a4x+a6} ∪{θ}
它对? 斝纬梢桓鋈海?狝bel群。 令Fq表示q个元素的有限域，用E(Fq）表示定义在Fq上
的一个椭圆曲线E。
定理1.(Hass定理） E(Fq）的点数用#E(Fq）表示，则
| #E(Fq)-q-1|≤2q1/2
⑴ Fp（素域，p为素数）上椭圆曲线
牋 p&gt;3 a,b Fp 4a3+27b2 0 a b
义的Fp上的一个椭圆曲线方程为：
y2=x3+ax+b ⑵
它的所有解（x,y），（x Fp，y Fp），连同一个称为撑耷钤?
点敚?俏?龋┑脑?刈槌傻募?霞俏狤（Fp），由Hass定理
知：p+1-2p1/2≤#E(Fp) ≤ p+1+2p1/2
集合E(Fp）对应下面的加法规则，且对加法 形成
一个Abel群：
（i) θ⊙ θ=θ （单位元素）
（ii) (x,y）⊙ θ=(x,y），任给（x,y) ∈E(Fp)
（iii) (x,y）⊙ (x,-y)=θ，任给（x,y) ∈E(Fp），即点（x,y）的逆元
为（x,-y).
（iv) 令（x1,y1），（x2,y2）为E(Fp）中非互逆元，则
（x1,y1）⊙ (x2,y2）=(x3,y3），其中
x3=α2-2x1，y3= α（x1-x3）-y1
且α=(y2-y1）/(x2-x1） ⑶
（v）（倍点运算规则）
设（x1,y1） ∈E(Fp),y1≠0，则2(x1,y1）=(x3,y3），其中
x3= α2-2x1,y3=α（x1-x3）-y1
这里α=（3x12+a)/（2y1） ⑷
注：若#E(Fp)=p+1，曲线E(Fp）称为超奇异的，否则称为
非超奇异的。
例子：F23上的一个椭圆曲线
令y2=x3+x+1是F23上的一个方程（a=b=1），则该椭圆曲
线方程在F23上的解为（y2=x3+x+1的点）：
（0,1），（0,22），（1,7），（1,16），（3,10），（3,13），（4,0），（5,4），（5,19），（6,4），</pre>
<pre>；（6,19），（7,11），（7,12），（9,7），（9,16），（11,3），（11,20），（12,4），（12,19），（13,7），</pre>
<pre>；（13,16），（17,3），（17,20），（18,3），（18,20），（19,5），（19,18）；θ。
群E(F23）有28个点（包括无穷远点θ）。
2） F2m上的椭圆曲线
F2m上由参数a,b∈F2m，b≠0定义的一个非超奇异椭
圆曲线E(F2m）是方程
y2+xy=x3+ax2+b ⑸
的解集合（x,y），其中x,y∈F2m，连同θ。
E(F2m）的加法规则如下：
（i) θ +θ= θ
（ii) 任给（x,y) ∈E(F2m），则（x,y）⊙ θ=(x,y)
（iii) 任给（x,y) ∈E(F2m），则（x,y)+(x,x+y)= θ，
即点（x,y）的逆为（x,x+y).
（iv) 两个相异且不互逆的点的加法规则：
令（x1,y1），（x2,y2） ∈E(F2m）且有x1≠x2则
（x1,y1） (x2,y2）=(x3,y3），其中
x3=α2+α+x1+x2+a；
y3=α（x1+x3）+x3+y1.
其中 α= (y2+y1）/(x2+x1）
（v) 倍点规则
令（x1,y1） ∈E(F2m），其中x1≠0。则
2(x1,y1）=(x3,y3），其中
x3= α 2+ α +a,y3=x12+（α +1）x3，这里α =(x1+y1/x1）
易见，群E(F2m）为Abel群。
例：F24上的一个椭圆曲线
f(x)=x4+x+1为F2上的一个不可约多项式，易见
F24=F2[x] / (f(x)) = {(k0,k1,k2,k3） | (k0,k1,k2,k3）=k0+k1α+k2α2+k3α3， </pre>
<pre>；α为f(x)的零点，ki∈F2}
假定F24上的非超奇异椭圆曲线有下述方程定义：
y2+xy=x3+α4x2+1，注意f（α）=0。
方程应表为：
（1000)y2 + （1000)xy = （1000)x3 + （1100）x2 +（1000) 1985年，N. Koblitz和V. Miller分别独立提出了椭圆曲线密码体制（ECC），</pre>
<pre>；其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。
⑴知E(Fq）对点的?斣怂阈纬梢桓鲴bel群
设p∈E(Fq），若p的周期很大，即使
p⊙p⊙ …… ⊙p= θ （共有 t个p相加）
成立的最小正整数 t，希望 t 很大。
（t = p的周期，表示为∏（p)=t）。
并且对Q∈E(Fq），定有某个正整数m使
Q=m&middot;p=p⊙ …… ⊙p （共有t个p相加）
定义
m=㏒pQ (m为以p为底Q的对数）。
椭圆曲线上的点形成的群E(Fq），相关它的离散对数
问题是难处理的。 选取基域Fq，Fq的椭圆曲线具体给定为确定的形式。
在E(Fq）中选一个周期很大的点，如选了一个点P=(xp,yp），
它的周期为一个大的素数n，记∏ (P)=n（素数）。
注意：在这个密码体制中，具体的曲线及点P和它的n都
是公开信息。密码体制的形式采用EIGamal体制，是完全
类比过来。
a）密钥的生成
Bob（使用者）执行了下列计算：
i) 在区间[1,n-1]中随机选取一个整数d。
ii) 计算点Q:=dP (d个P相）
iii) Bob公开自己的公开密钥-- (E(Fq),p,n,Q)
iv) Bob的私钥为整数d！
Alice要发送消息m给Bob，Alice执行：
i) 查找Bob的公钥（E(Fq),p,n,Q),
ii) 将m表示成一个域元素m∈Fq,
iii) 在区间[1，n-1]内选取一个随机数k,
iv) 依据Bob的公钥计算点 (x1,y1）：=kP(k个P相）
v) 计算点（x2,y2）：=kQ，如果x2=0，则回到第iii）步
Ⅵ） 计算C:=m&middot;x2
Ⅶ） 传送加密数据（x1,y1,C）给Bob
b) Bob的解密过程
Bob收到Alice的密文（x1,y1,C）后，执行
i) 使用私钥d，计算点（x2，y2）：=d(x1,y1），再计算Fq中x2-1=
通过计算m:=C&middot;x2-1，恢复出明文数据

‘肆’ 椭圆曲线算法的加密算法

在椭圆曲线加密（ECC）中，利用了某种特殊形式的椭圆曲线，即定义在有限域上的椭圆曲线。其方程如下：
y²=x³+ax+b(mod p)
这里p是素数，a和b为两个小于p的非负整数，它们满足：
4a³+27b²(mod p)≠0 其中，x,y,a,b ∈Fp，则满足式（2）的点（x,y）和一个无穷点O就组成了椭圆曲线E。
椭圆曲线离散对数问题ECDLP定义如下：给定素数p和椭圆曲线E，对 Q=kP,在已知P,Q的情况下求出小于p的正整数k。可以证明，已知k和P计算Q比较容易，而由Q和P计算k则比较困难，至今没有有效的方法来解决这个问题，这就是椭圆曲线加密算法原理之所在。

‘伍’ 三个应用于公钥密码体制的数学难题是什么

1：大数因子分解难解性
2：离散对数难解性
3：椭圆曲线离散对数难解性
望楼主出纳O(∩_∩)O谢谢

‘陆’ ECC椭圆曲线密码应用

1背景简介
随着通讯网络特别是Internet的高速发展，利用网络作为信息交流和信息处理变得越来越普遍，社会的传统事务和业务运作模式受到前所未有的冲击。目前，无论是国家政府还是企业都正融入这场网络革命中，从其原来的传统经营模式向网络模式演化。未来的电子政务、电子商务、电子业务将成为不可逆转的发展趋势。在与日俱增的网络活动中，人们越来越关心信息安全这个问题。这集中体现在：

（1）网络的身份认证——确认网络客户的真实身份
（2）信息和数据的保密性——个人或系统机密信息和数据保护
（3）信息和数据完整性——防止不合法的数据修改
（4）不可抵赖性——网络环境下行为的事后的不可抵赖（数字签名）
信息安全中最核心的技术是密码技术，基本上可分为序列密码、对称密码（又称分组密码）、非对称密码（又称公钥密码）三种。

非对称密码算法是支撑解决以上所涉的四个关键方面的问题的核心。目前越来越流行的是基于PKI体系模型的解决方案。在PKI体系模型中，客户端需要一较好的个人信息安全载体，智能卡或智能密码钥匙将是一较理想的方式，都必须支持公钥算法，而ECC是最适合使用在这一资源受限制的客户端产品中。

2 椭圆曲线密码算法ECC

自公钥密码问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：

（1）大整数因子分解系统(代表性的有RSA)，

（2）有限域（数学中的一种代数结构）离散对数系统(代表性的有DSA)，

（3）有限域椭园曲线离散对数系统(ECC)。

当前最着名、应用最广泛的公钥系统RSA是由Rivet、Shamir、Adelman提出 的(简称为RSA系统)，它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的着名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。RSA方法的优点主要在于原理简单，易于使用。但是，随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展（可以使用成千上万台机器同时进行大整数分解），作为RSA加解密安全保障的大整数要求越来越大。为了保证RSA使用的安全性，其密钥的位数一直在增加，比如，目前一般认为RSA需要1024位以上的字长才有安全保障。

但是，密钥长度的增加导致了其加解密的速度大为降低，硬件实现也变得越来越难以忍受，这对使用RSA的应用带来了很重的负担，对进行大量安全交易的电子商务更是如此，从而使得其应用范围越来越受到制约。DSA（Data Signature Algorithm）是基于有限域离散对数问题的数字签名标准，它仅提供数字签名，不提供数据加密功能。安全性更高、算法实现性能更好的公钥系统椭圆曲线加密算法ECC（Elliptic Curve Cryptography）基于有限域上椭圆曲线的离散对数计算困难性。人类研究椭圆曲线已有百年以上的历史，但真正把其应用到密码学中是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司) 两人提出。定义在有限域（Fp 或F(2m)）的椭圆曲线(y2=x3+ax+b)上的点（x,y），再加上无穷点O，如按一定的规则运算（估且称为乘法）将组成一个群（数学中的一种代数结构）。有限域上椭圆曲线乘法群也有相对应的离散对数计算困难性问题。因此，许多公开密码系统都是基于此问题发展出来的，如类似ELGamal,DSA等密码系统的ECES，ECDSA。

3 椭圆曲线加密算法ECC的优点

椭圆曲线加密算法ECC与RSA方法相比有着很多技术优点：

●安全性能更高

加密算法的安全性能一般通过该算法的抗攻击强度来反映。ECC和其他几种公钥系统相比，其抗攻击性具有绝对的优势。椭圆曲线的离散对数计算困难性（ECDLP）在计算复杂度上目前是完全指数级，而RSA 亚指数级的。这体现ECC比RSA的每bit安全性能更高。

●计算量小和处理速度快

在一定的相同的计算资源条件下，虽然在RSA中可以通过选取较小的公钥（可以小到3）的方法提高公钥处理速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与ECC有可比性，但在私钥的处理速度上（解密和签名），ECC远比RSA、DSA快得多。因此ECC总的速度比RSA、DSA要快得多。同时ECC系统的密钥生成速度比RSA快百倍以上。因此在相同条件下，ECC则有更高的加密性能。

●存储空间占用小

ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多。160位 ECC与1024位 RSA、DSA有相同的安全强度。而210位 ECC则与2048bit RSA、DSA具有相同的安全强度。意味着它所占的存贮空间要小得多。这对于加密算法在资源受限环境上（如智能卡等）的应用具有特别重要的意义。

●带宽要求低

当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。而公钥加密系统多用于短消息，例如用于数字签名和用于对对称系统的会话密钥传递。带宽要求低使ECC在无线网络领域具有广泛的应用前景。

4椭圆曲线加密算法ECC的相关标准

ECC的这些特点使它在某些领域（如PDA、手机、智能卡）的应用将取代RSA，并成为通用的公钥加密算法。许多国际标准化组织(政府、工业界、金融界、商业界等)已将各种椭圆曲线密码体制作为其标准化文件向全球颁布。ECC标准大体可以分为两种形式：一类是技术标准，即描述以技术支撑为主的ECC体制，主要有IEEEP1363、ANSI X9.62、ANSI X9.63、SEC1、SEC2、FIP 186-2、ISO/IEC 14888-3。规范了ECC的各种参数的选择，并给出了各级安全强度下的一组ECC参数。另一类是应用标准，即在具体的应用环境中建议使用ECC技术，主要有ISO/IEC 15946、IETF PKIX、IETF TLS、WAP WTLS等。在标准化的同时，一些基于标准（或草案）的各种椭圆曲线加密、签名、密钥交换的软、硬件也相继问世。美国RSA数据安全公司在1997年公布了包含ECC的密码引擎工具包BSAFE 4.0; 以加拿大Certicom为首的安全公司和工业界联合也研制、生产了以椭圆曲线密码算法为核心的密码产品，还提出了各种安全条件下对椭圆曲线离散对数攻击的悬赏挑战。可以相信，ECC技术在信息安全领域中的应用会越来越广。

‘柒’ 椭圆加密算法的公钥密码系统的加密算法ECC与RSA的对比

第六届国际密码学会议对应用于公钥密码系统的加密算法推荐了两种：基于大整数因子分解问题（IFP）的RSA算法和基于椭圆曲线上离散对数计算问题（ECDLP）的ECC算法。RSA算法的特点之一是数学原理简单、在工程应用中比较易于实现，但它的单位安全强度相对较低。目前用国际上公认的对于RSA算法最有效的攻击方法--一般数域筛(NFS)方法去破译和攻击RSA算法，它的破译或求解难度是亚指数级的。ECC算法的数学理论非常深奥和复杂，在工程应用中比较难于实现，但它的单位安全强度相对较高。用国际上公认的对于ECC算法最有效的攻击方法--Pollard rho方法去破译和攻击ECC算法，它的破译或求解难度基本上是指数级的。正是由于RSA算法和ECC算法这一明显不同，使得ECC算法的单位安全强度高于RSA算法，也就是说，要达到同样的安全强度，ECC算法所需的密钥长度远比RSA算法低（见表1和图1）。这就有效地解决了为了提高安全强度必须增加密钥长度所带来的工程实现难度的问题.

‘捌’ 什么是椭圆曲线数字签名算法

椭圆曲线数字签名算法（ECDSA）是使用椭圆曲线密码（ECC）对数字签名算法（DSA）的模拟。ECDSA于1999年成为ANSI标准，并于2000年成为IEEE和NIST标准。它在1998年既已为ISO所接受，并且包含它的其他一些标准亦在ISO的考虑之中。与普通的离散对数问题（discrete logarithm problem DLP）和大数分解问题（integer factorization problem IFP）不同，椭圆曲线离散对数问题（elliptic curve discrete logarithm problem ECDLP）没有亚指数时间的解决方法。因此椭圆曲线密码的单位比特强度要高于其他公钥体制。

数字签名算法（DSA）在联邦信息处理标准FIPS中有详细论述，称为数字签名标准。它的安全性基于素域上的离散对数问题。椭圆曲线密码（ECC）由Neal Koblitz和Victor Miller于1985年发明。它可以看作是椭圆曲线对先前基于离散对数问题（DLP）的密码系统的模拟，只是群元素由素域中的元素数换为有限域上的椭圆曲线上的点。椭圆曲线密码体制的安全性基于椭圆曲线离散对数问题（ECDLP）的难解性。椭圆曲线离散对数问题远难于离散对数问题，椭圆曲线密码系统的单位比特强度要远高于传统的离散对数系统。因此在使用较短的密钥的情况下，ECC可以达到于DL系统相同的安全级别。这带来的好处就是计算参数更小，密钥更短，运算速度更快，签名也更加短小。因此椭圆曲线密码尤其适用于处理能力、存储空间、带宽及功耗受限的场合。
ECDSA是椭圆曲线对DSA的模拟。ECDSA首先由Scott和Vanstone在1992年为了响应NIST对数字签名标准（DSS）的要求而提出。ECDSA于1998年作为ISO标准被采纳，在1999年作为ANSI标准被采纳，并于2000年成为IEEE和FIPS标准。包含它的其他一些标准亦在ISO的考虑之中。

‘玖’ 密钥管理的管理技术

1、对称密钥管理。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。 贸易方可以为每次交换的信息（如每次的EDI交换）生成唯一一把对称密钥并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息（如EDI交换）一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥，因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是，即使泄露了一把密钥也只将影响一笔交易，而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。
2、公开密钥管理/数字证书。贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。国际电信联盟（ITU）制定的标准X.509，对数字证书进行了定义该标准等同于国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的ISO/IEC 9594-8：195标准。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前电子商务广泛采用的技术之一。
3、密钥管理相关的标准规范。目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会（JTC1）已起草了关于密钥管理的国际标准规范。该规范主要由三部分组成：一是密钥管理框架；二是采用对称技术的机制；三是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段，并将很快成为正式的国际标准。
数字签名
数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个128位的散列值（或报文摘要）。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是“信息技术安全技术带附件的数字签名方案”，它由概述和基于身份的机制两部分构成。 密码学简介 据记载，公元前400年，古希腊人发明了置换密码。1881年世界上的第一个电话保密专利出现。在第二次世界大战期间，德国军方启用“恩尼格玛”密码机，密码学在战争中起着非常重要的作用。
随着信息化和数字化社会的发展，人们对信息安全和保密的重要性认识不断提高，于是在1997年，美国国家标准局公布实施了“美国数据加密标准（DES）”，民间力量开始全面介入密码学的研究和应用中，采用的加密算法有DES、RSA、SHA等。随着对加密强度需求的不断提高，近期又出现了AES、ECC等。
使用密码学可以达到以下目的：
保密性：防止用户的标识或数据被读取。
数据完整性：防止数据被更改。
身份验证：确保数据发自特定的一方。
二. 加密算法介绍根据密钥类型不同将现代密码技术分为两类：对称加密算法（秘密钥匙加密）和非对称加密算法（公开密钥加密）。
对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。
非对称密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。 在对称加密算法中，只有一个密钥用来加密和解密信息，即加密和解密采用相同的密钥。常用的算法包括：DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。
3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。
AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高；
2000年10月，NIST（美国国家标准和技术协会）宣布通过从15种侯选算法中选出的一项新的密匙加密标准。Rijndael被选中成为将来的AES。Rijndael是在 1999 年下半年，由研究员Joan Daemen 和 Vincent Rijmen 创建的。AES 正日益成为加密各种形式的电子数据的实际标准。
美国标准与技术研究院 (NIST) 于 2002 年 5 月 26 日制定了新的高级加密标准(AES) 规范。
算法原理 AES 算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。
AES 是一个迭代的、对称密钥分组的密码，它可以使用128、192 和 256 位密钥，并且用 128 位（16字节）分组加密和解密数据。与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。
AES与3DES的比较 算法名称 算法类型 密钥长度 速度 解密时间（建设机器每秒尝试255个密钥） 资源消耗 AES 对称block密码 128、192、256位 高 1490000亿年 低 3DES 对称feistel密码 112位或168位 低 46亿年 中 常见的非对称加密算法如下：
RSA：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；
DSA（Digital Signature Algorithm）：数字签名算法，是一种标准的 DSS（数字签名标准）；
ECC（Elliptic Curves Cryptography）：椭圆曲线密码编码学。
在1976年，由于对称加密算法已经不能满足需要，Diffie 和Hellman发表了一篇叫《密码学新动向》的文章，介绍了公匙加密的概念，由Rivet、Shamir、Adelman提出了RSA算法。
随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展，为了保障数据的安全，RSA的密钥需要不断增加，但是，密钥长度的增加导致了其加解密的速度大为降低，硬件实现也变得越来越难以忍受，这对使用RSA的应用带来了很重的负担，因此需要一种新的算法来代替RSA。
1985年N.Koblitz和Miller提出将椭圆曲线用于密码算法，根据是有限域上的椭圆曲线上的点群中的离散对数问题ECDLP。ECDLP是比因子分解问题更难的问题，它是指数级的难度。
原理——椭圆曲线上的难题 椭圆曲线上离散对数问题ECDLP定义如下：给定素数p和椭圆曲线E，对Q=kP，在已知P，Q 的情况下求出小于p的正整数k。可以证明由k和P计算Q比较容易，而由Q和P计算k则比较困难。
将椭圆曲线中的加法运算与离散对数中的模乘运算相对应，将椭圆曲线中的乘法运算与离散对数中的模幂运算相对应，我们就可以建立基于椭圆曲线的对应的密码体制。
例如，对应Diffie-Hellman公钥系统，我们可以通过如下方式在椭圆曲线上予以实现：在E上选取生成元P，要求由P产生的群元素足够多，通信双方A和B分别选取a和b，a和b 予以保密，但将aP和bP公开，A和B间通信用的密钥为abP，这是第三者无法得知的。
对应ELGamal密码系统可以采用如下的方式在椭圆曲线上予以实现：
将明文m嵌入到E上Pm点，选一点B∈E，每一用户都选一整数a，0<a<N，N为阶数已知，a保密，aB公开。欲向A送m，可送去下面一对数偶：[kB，Pm+k(aAB)]，k是随机产生的整数。A可以从kB求得k(aAB)。通过：Pm+k(aAB)- k(aAB)=Pm恢复Pm。同样对应DSA，考虑如下等式：
K=kG [其中 K，G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数]
不难发现，给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。
这就是椭圆曲线加密算法采用的难题。我们把点G称为基点（base point），k（k<n，n为基点G的阶）称为私有密钥（privte key），K称为公开密钥（public key)。
ECC与RSA的比较 ECC和RSA相比，在许多方面都有对绝对的优势，主要体现在以下方面：
抗攻击性强。相同的密钥长度，其抗攻击性要强很多倍。
计算量小，处理速度快。ECC总的速度比RSA、DSA要快得多。
存储空间占用小。ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多，意味着它所占的存贮空间要小得多。这对于加密算法在IC卡上的应用具有特别重要的意义。
带宽要求低。当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。带宽要求低使ECC在无线网络领域具有广泛的应用前景。
ECC的这些特点使它必将取代RSA，成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。
下面两张表示是RSA和ECC的安全性和速度的比较。 攻破时间(MIPS年) RSA/DSA（密钥长度） ECC密钥长度 RSA/ECC密钥长度比 10 512 106 5：1 10 768 132 6：1 10 1024 160 7：1 10 2048 210 10：1 10 21000 600 35：1 RSA和ECC安全模长得比较 功能 Security Builder 1.2 BSAFE 3.0 163位ECC(ms) 1,023位RSA(ms) 密钥对生成 3.8 4,708.3 签名 2.1(ECNRA) 228.4 3.0(ECDSA) 认证 9.9(ECNRA) 12.7 10.7(ECDSA) Diffie—Hellman密钥交换 7.3 1,654.0 RSA和ECC速度比较 散列算法也叫哈希算法，英文是Hash ,就是把任意长度的输入（又叫做预映射， pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
HASH主要用于信息安全领域中加密算法，它把一些不同长度的信息转化成杂乱的128位的编码,这些编码值叫做HASH值. 也可以说，hash就是找到一种数据内容和数据存放地址之间的映射关系散列是信息的提炼，通常其长度要比信息小得多，且为一个固定长度。加密性强的散列一定是不可逆的，这就意味着通过散列结果，无法推出任何部分的原始信息。任何输入信息的变化，哪怕仅一位，都将导致散列结果的明显变化，这称之为雪崩效应。散列还应该是防冲突的，即找不出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。
单向散列函数一般用于产生消息摘要，密钥加密等，常见的有：
MD5（Message Digest Algorithm 5）：是RSA数据安全公司开发的一种单向散列算法。
SHA（Secure Hash Algorithm）：可以对任意长度的数据运算生成一个160位的数值；
在1993年，安全散列算法（SHA）由美国国家标准和技术协会(NIST)提出，并作为联邦信息处理标准（FIPS PUB 180）公布；1995年又发布了一个修订版FIPS PUB 180-1，通常称之为SHA-1。SHA-1是基于MD4算法的，并且它的设计在很大程度上是模仿MD4的。现在已成为公认的最安全的散列算法之一，并被广泛使用。
原理 SHA-1是一种数据加密算法，该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也可以简单的理解为取一串输入码（称为预映射或信息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为信息摘要或信息认证代码）的过程。
单向散列函数的安全性在于其产生散列值的操作过程具有较强的单向性。如果在输入序列中嵌入密码，那么任何人在不知道密码的情况下都不能产生正确的散列值，从而保证了其安全性。SHA将输入流按照每块512位（64个字节）进行分块，并产生20个字节的被称为信息认证代码或信息摘要的输出。
该算法输入报文的最大长度不超过264位，产生的输出是一个160位的报文摘要。输入是按512 位的分组进行处理的。SHA-1是不可逆的、防冲突，并具有良好的雪崩效应。
通过散列算法可实现数字签名实现，数字签名的原理是将要传送的明文通过一种函数运算（Hash）转换成报文摘要（不同的明文对应不同的报文摘要），报文摘要加密后与明文一起传送给接受方，接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较，比较结果一致表示明文未被改动，如果不一致表示明文已被篡改。
MAC (信息认证代码)就是一个散列结果，其中部分输入信息是密码，只有知道这个密码的参与者才能再次计算和验证MAC码的合法性。MAC的产生参见下图。 输入信息 密码 散列函数 信息认证代码 SHA-1与MD5的比较 因为二者均由MD4导出，SHA-1和MD5彼此很相似。相应的，他们的强度和其他特性也是相似，但还有以下几点不同：
对强行供给的安全性：最显着和最重要的区别是SHA-1摘要比MD5摘要长32 位。使用强行技术，产生任何一个报文使其摘要等于给定报摘要的难度对MD5是2数量级的操作，而对SHA-1则是2数量级的操作。这样，SHA-1对强行攻击有更大的强度。
对密码分析的安全性：由于MD5的设计，易受密码分析的攻击，SHA-1显得不易受这样的攻击。
速度：在相同的硬件上，SHA-1的运行速度比MD5慢。 对称与非对称算法比较
以上综述了两种加密方法的原理，总体来说主要有下面几个方面的不同：
一、 在管理方面：公钥密码算法只需要较少的资源就可以实现目的，在密钥的分配上，两者之间相差一个指数级别（一个是n一个是n）。所以私钥密码算法不适应广域网的使用，而且更重要的一点是它不支持数字签名。
二、 在安全方面：由于公钥密码算法基于未解决的数学难题，在破解上几乎不可能。对于私钥密码算法，到了AES虽说从理论来说是不可能破解的，但从计算机的发展角度来看。公钥更具有优越性。
三、 从速度上来看：AES的软件实现速度已经达到了每秒数兆或数十兆比特。是公钥的100倍，如果用硬件来实现的话这个比值将扩大到1000倍。
加密算法的选择 前面的章节已经介绍了对称解密算法和非对称加密算法，有很多人疑惑：那我们在实际使用的过程中究竟该使用哪一种比较好呢？
我们应该根据自己的使用特点来确定，由于非对称加密算法的运行速度比对称加密算法的速度慢很多，当我们需要加密大量的数据时，建议采用对称加密算法，提高加解密速度。
对称加密算法不能实现签名，因此签名只能非对称算法。
由于对称加密算法的密钥管理是一个复杂的过程，密钥的管理直接决定着他的安全性，因此当数据量很小时，我们可以考虑采用非对称加密算法。
在实际的操作过程中，我们通常采用的方式是：采用非对称加密算法管理对称算法的密钥，然后用对称加密算法加密数据，这样我们就集成了两类加密算法的优点，既实现了加密速度快的优点，又实现了安全方便管理密钥的优点。
如果在选定了加密算法后，那采用多少位的密钥呢？一般来说，密钥越长，运行的速度就越慢，应该根据的我们实际需要的安全级别来选择，一般来说，RSA建议采用1024位的数字，ECC建议采用160位，AES采用128为即可。
密码学在现代的应用， 随着密码学商业应用的普及，公钥密码学受到前所未有的重视。除传统的密码应用系统外，PKI系统以公钥密码技术为主，提供加密、签名、认证、密钥管理、分配等功能。
保密通信：保密通信是密码学产生的动因。使用公私钥密码体制进行保密通信时，信息接收者只有知道对应的密钥才可以解密该信息。
数字签名：数字签名技术可以代替传统的手写签名，而且从安全的角度考虑，数字签名具有很好的防伪造功能。在政府机关、军事领域、商业领域有广泛的应用环境。
秘密共享：秘密共享技术是指将一个秘密信息利用密码技术分拆成n个称为共享因子的信息，分发给n个成员，只有k(k≤n)个合法成员的共享因子才可以恢复该秘密信息，其中任何一个或m(m≤k)个成员合作都不知道该秘密信息。利用秘密共享技术可以控制任何需要多个人共同控制的秘密信息、命令等。
认证功能：在公开的信道上进行敏感信息的传输，采用签名技术实现对消息的真实性、完整性进行验证，通过验证公钥证书实现对通信主体的身份验证。
密钥管理：密钥是保密系统中更为脆弱而重要的环节，公钥密码体制是解决密钥管理工作的有力工具；利用公钥密码体制进行密钥协商和产生，保密通信双方不需要事先共享秘密信息；利用公钥密码体制进行密钥分发、保护、密钥托管、密钥恢复等。
基于公钥密码体制可以实现以上通用功能以外，还可以设计实现以下的系统：安全电子商务系统、电子现金系统、电子选举系统、电子招投标系统、电子彩票系统等。
公钥密码体制的产生是密码学由传统的政府、军事等应用领域走向商用、民用的基础，同时互联网、电子商务的发展为密码学的发展开辟了更为广阔的前景。
加密算法的未来 随着计算方法的改进，计算机运行速度的加快，网络的发展，越来越多的算法被破解。
在2004年国际密码学会议(Crypto’2004)上，来自中国山东大学的王小云教授做的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告，令在场的国际顶尖密码学专家都为之震惊，意味着这些算法将从应用中淘汰。随后，SHA-1也被宣告被破解。
历史上有三次对DES有影响的攻击实验。1997年，利用当时各国 7万台计算机，历时96天破解了DES的密钥。1998年，电子边境基金会（EFF）用25万美元制造的专用计算机，用56小时破解了DES的密钥。1999年，EFF用22小时15分完成了破解工作。因此。曾经有过卓越贡献的DES也不能满足我们日益增长的需求了。
最近，一组研究人员成功的把一个512位的整数分解因子，宣告了RSA的破解。
我们说数据的安全是相对的，可以说在一定时期一定条件下是安全的，随着硬件和网络的发展，或者是另一个王小云的出现，目前的常用加密算法都有可能在短时间内被破解，那时我们不得不使用更长的密钥或更加先进的算法，才能保证数据的安全，因此加密算法依然需要不断发展和完善，提供更高的加密安全强度和运算速度。
纵观这两种算法一个从DES到3DES再到AES，一个从RSA到ECC。其发展角度无不是从密钥的简单性，成本的低廉性，管理的简易性，算法的复杂性，保密的安全性以及计算的快速性这几个方面去考虑。因此，未来算法的发展也必定是从这几个角度出发的，而且在实际操作中往往把这两种算法结合起来，也需将来一种集两种算法优点于一身的新型算法将会出现，到那个时候，电子商务的实现必将更加的快捷和安全。

‘拾’ 椭圆曲线密码学的数学理论

ECC的主要优势是在某些情况下它比其他的方法使用更小的密钥——比如RSA——提供相当的或更高等级的安全。ECC的另一个优势是可以定义群之间的双线性映射，基于Weil对或是Tate对；双线性映射已经在密码学中发现了大量的应用，例如基于身份的加密。不过一个缺点是加密和解密操作的实现比其他机制花费的时间长。
椭圆曲线密码学的许多形式有稍微的不同，所有的都依赖于被广泛承认的解决椭圆曲线离散对数问题的困难性上，对应有限域上椭圆曲线的群。
对椭圆曲线来说最流行的有限域是以素数为模的整数域（参见 模运算）GF(p)，或是特征为2的伽罗华域GF（2m）。后者在专门的硬件实现上计算更为有效，而前者通常在通用处理器上更为有效。专利的问题也是相关的。一些其他素数的伽罗华域的大小和能力也已经提出了，但被密码专家认为有一点问题。
给定一条椭圆曲线E以及一个域GF(q)，我们考虑具有(x,y)形式有理数点E(q)的阿贝尔群，其中x和y都在GF(q)中并且定义在这条曲线上的群运算+在文章椭圆曲线中描述。我们然后定义第二个运算* | Z×E(q)->E(q)：如果P是E(q)上的某个点，那么我们定义2*P=P+P,3*P=2*P+P=P+P+P等等。注意给定整数 j和k，j*(k*P)=(j*k)*P=k*(j*P)。椭圆曲线离散对数问题（ECDLP）就是给定点P和Q，确定整数k使k*P=Q。
一般认为在一个有限域乘法群上的离散对数问题（DLP）和椭圆曲线上的离散对数问题（ECDLP）并不等价；ECDLP比DLP要困难的多。
在密码的使用上，曲线E(q)；和其中一个特定的基点G一起被选择和公布。一个私钥k被作为随机整数来选择；值P=k*G被作为公钥来公布（注意假设的ECDLP困难性意味着k很难从P中确定）。如果Alice和Bob有私钥kA和kB，公钥是PA和PB，那么Alice能计算kA*PB=(kA*kB)*G；Bob能计算同样的值kB*PA=(kB*kA)*G。
这允许一个“秘密”值的建立，这样Alice和Bob能很容易地计算出，但任何的第三方却很难得到。另外，Bob在处理期间不会获得任何关于kA的新知识，因此Alice的私钥仍然是私有的。
基于这个秘密值，用来对Alice和Bob之间的报文进行加密的实际方法是适应以前的，最初是在其他组中描述使用的离散对数密码系统。这些系统包括：
Diffie-Hellman — ECDH
MQV — ECMQV
ElGamal discrete log cryptosystem — ECElGamal
DSA — ECDSA
对于ECC系统来说，完成运行系统所必须的群操作比同样大小的因数分解系统或模整数离散对数系统要慢。不过，ECC系统的拥护者相信ECDLP问题比DLP或因数分解问题要难的多，并且因此使用ECC能用小的多的密钥长度来提供同等的安全，在这方面来说它确实比例如RSA之类的更快。到目前为止已经公布的结果趋于支持这个结论，不过一些专家表示怀疑。
ECC被广泛认为是在给定密钥长度的情况下，最强大的非对称算法，因此在对带宽要求十分紧的连接中会十分有用。
国家标准与技术局和ANSI X9已经设定了最小密钥长度的要求，RSA和DSA是1024位，ECC是160位，相应的对称分组密码的密钥长度是80位。NIST已经公布了一列推荐的椭圆曲线用来保护5个不同的对称密钥大小（80,112,128,192,256）。一般而言，二进制域上的ECC需要的非对称密钥的大小是相应的对称密钥大小的两倍。
Certicom是ECC的主要商业支持者，拥有超过130项专利，并且已经以2千5百万美元的交易获得了国家安全机构（NSA）的技术许可。他们也已经发起了许多对ECC算法的挑战。已经被解决的最复杂的是109位的密钥，是在2003年初由一个研究团队破解的。破解密钥的这个团队使用了基于生日攻击的大块并行攻击，用超过10,000台奔腾级的PC机连续运行了540天以上。对于ECC推荐的最小密钥长度163位来说，当前估计需要的计算资源是109位问题的108倍。
在2005年2月16日，NSA宣布决定采用椭圆曲线密码的战略作为美国政府标准的一部分，用来保护敏感但不保密的信息。NSA推荐了一组被称为Suit B的算法，包括用来密钥交换的Menezes-Qu-Vanstone椭圆曲线和Diffie-Hellman椭圆曲线，用来数字签名的椭圆曲线数字签名算法。这一组中也包括AES和SHA。