您当前的位置:网站首页 > 信息安全 > 密码保障服务

密码保障服务

椭圆曲线密码的研究与发展

[来源:湖北省商密网][发布日期:2012-09-11]

陈建华,汪朝晖,李莉,涂航
武汉大学数学与统计学院,430072

 

      摘  要: 随着信息安全及密码学的发展,椭圆曲线密码越来越成为相关各界关注与研究的热点。本文简要介绍了椭圆曲线密码所基于的数学背景——椭圆曲线及相关知识,然后给出一些目前流行的椭圆曲线密码机制及其相关效率分析。对椭圆曲线密码的安全性问题进行了讨论,这是实现椭圆曲线密码机制的关键性问题,并分析了椭圆曲线密码的研究现状和发展
关键字:椭圆曲线 椭圆曲线密码(ECC) 椭圆曲线离散对数问题(ECDLP)

1、 引言
      1976年Diffie-Hellman提出公钥密码的思想,引领了密码学的一场真正的革命,公钥系统使得传统密码机制中的许多难题迎刃而解。人们基于各种数学难题提出许多公钥密码算法,但目前经受住时间的检验而被人们广泛接受的公钥密码机制是RSA公钥密码机制和椭圆曲线密码机制(Elliptic Curve Cryptosystem,简记为ECC)。相对RSA,建立在椭圆曲线理论上的椭圆曲线密码(Elliptic Curve Cryptosystem,简记为ECC)是一种较晚出现公钥密码,也是当今密码学研究领域最热门的课题。
      椭圆曲线理论是代数几何、数论等多个数学分支的一个交叉点,1985年由Neal Koblitz[1]和Victor Miller[2]将椭圆曲线和密码学完美结合,提出了椭圆曲线密码机制,已经逐渐成为公钥密码学领域的一个重要研究课题。相对于建立在大整数分解问题难解性之上的RSA密码机制,建立在椭圆曲线离散对数问题难解性之上的ECC具有更强的安全性、更高的实现效率、更低的实现代价,已经在很多主流安全相关系统中得到了应用,并已逐渐被国际各大标准组织采纳做为公钥密码标准。
本文中,我们对ECC相关的数学背景及其研究现状作了评述,并对ECC的安全进行了具体的阐述,并分析了椭圆曲线密码理论和实践的研究现状和发展。

2、 椭圆曲线密码的数学背景
2.1 椭圆曲线
      椭圆曲线的研究来源于椭圆积分:
      这里E(x)是x的三次多项式或四次多项式。这样的积分不能用初等函数来描述,为此引入了椭圆函数的概念,从椭圆积分继而引出了椭圆曲线。所谓椭圆曲线指的是由Weierstrass方程:
                  y2+ axy + by = x3 + cx2+ dx + e               (1)
所确定的平面曲线。
      若F是一个域,a,b,c,d,e属于F。则满足(1)式的数对(x,y)称为F域上的椭圆曲线E的点。F域可以是有理数域,也可以是复数域,还可以是有限域GF(pr)。除了椭圆曲线上所有的点外,还需要加上一个称为无穷远点的特殊点O。
      则若令:
      代入(1)式得:         (2)
      当Z0时,(2)式可以得到:
Y2Z + aXYZ + bYZ2 = X3 + cX3Z + dXZ2 + eZ3
      显然(X,Y,Z)和(x,y)是对应的。则定义 是F的代数闭包,F上的投影平面为P2(F)是F3\{0,0,0}上的等价关系“~”的等价类集合,其中“~”定义如下:如果(X1,Y1,Z1)~ (X2,Y2,Z2)当且仅当存在??F*,使得(X1,Y1,Z1) = (?X2, ?Y2, ?Z2),包括(X,Y,Z)的等价类记为(X:Y:Z)。对于方程f’(X,Z,Y)= Y2Z + aXYZ + bYZ2 - X3 - cX2Z - dXZ2 - eZ3,如果对所有满足f’(X,Y,Z) = 0的投影点P(X:Y:Z)。在椭圆曲线中,存在唯一的点,其Z坐标为0,即点(0:1:0),这就是无穷远点O。
       设f(x,y) = y2 + axy + by - x3 - cx2 - dx – e,当 和 在点(x0,y0)?E同时为0时,称(x0,y0)为椭圆曲线的奇异点。有奇异点的椭圆曲线被称为是奇异的,否则E是非奇异的。在椭圆曲线应用于密码学时,我们更关心的是非奇异的椭圆曲线。
 椭圆曲线(1)在其特征不等于2或3时可以化简为:
y2 = x3 + ax + b    (3)
的形式,此时E有奇异点等价于x3 + ax + b有重根,因而等价于4a3+27b2=0。因此密码学中使用方程(3)确定的椭圆曲线通常都要假定4a3+27b2?0。
 椭圆曲线(1)在其特征为3时可以化简为:
y2 = x3 + ax2 + bx + c              (4)
的形式;在其特征为2时可以化简为:
y2 + y = x3 + ax + b      (5)
的形式。在密码学中,一般只采用基于大素数域GF(p)(p>3)和特征为2的有限域GF(2n)的椭圆曲线,也就是采用(3)和(5)表示的椭圆曲线。。

2.2 椭圆曲线上点的运算
      数域上的椭圆曲线是Genus为1的非奇异曲线,研究数域上的椭圆曲线的算术性质是算术代数几何的重要课题。当在椭圆曲线E上适当定义一个加法运算时,其有理点在这种运算下(P+Q = R)构成一个有限循环群,这正是椭圆曲线在密码学中得到广泛应用的主要原因。
      在椭圆曲线中从几何意义来说,按照“弦切法”定义加法运算,从而使得<E ,+>成为一个Abel群,其子群< E (F),+>构成用于椭圆曲线密码的有理点子群。其点的“乘法”如下:nP=P+P+……+P(共个P相加,n为自然数)。我们以#E(F)表示群E(F)上的全部有理点,也就是椭圆曲线的阶。

3、 椭圆曲线密码机制
      根据椭圆曲线点群的定义,对于椭圆曲线上的点P和点Q,其中P = aQ,a ?E(F),如果已知P和Q,如何求解a的问题,即称为椭圆曲线离散对数问题。目前比较有名的椭圆曲线密码机制,如ElGamal[3],ECDSA[4] [5]等,是从其他群中平移过来,这种平移主要针对于离散对数问题的密码机制。
      基于椭圆曲线的ElGamal[3]密码机制描述如下:
      1) 设椭圆曲线点群的生成元点为G,有限域为F,记为E(F) = <G>,设#E(F) = N;
      2) 密钥生成:生成随机数x,计算Y = xG。则得到公钥:(E,G,F,N,x)私钥,(E,G,F, N,Y)为公钥;
      3) 加密方A(可获取公钥):设明文为m,首先将明文作点的嵌入得到Pm;
生成随机数k,计算kG,kY;
加密密文结果为:<kG,Pm + kY>,发送给B;
      4) 解密方B解密(拥有私钥):设密文为<R,S>,计算S-xR,即得Pm,从而得到明文m。
      但是ElGamal加密存在一个“点的嵌入”的问题:必须将需加密的明文“嵌入”椭圆曲线。因为有可能明文无法嵌入椭圆曲线,所以在处理明文嵌入时需要花费一定的时间,降低了整个算法的效率。随着密码的发展,ElGamal加密机制原型渐渐失去了商业使用的价值,而更趋向于提供理论研究。

      ECDSA[4][5]是DSA签名算法从离散对数问题向椭圆曲线离散对数问题上的平行移植。它是基于ElGamal签名机制的,目前使用的比较广泛的数字签名密码机制,已经被多个标准组织纳为标准。
ECDSA签名机制描述如下:
      1) 设椭圆曲线点群的生成元点为G,有限域为F,记为E(F) = <G>,设#E(F) = N;
      2) 密钥生成:生成随机数x,计算Y = xG。则得到公钥:(E,G,F,N,x)私钥,(E,G,F, N,Y)为公钥;
      3) 签名方A(拥有私钥):
设消息为m,生成随机数k,计算kG,设r = (kG)x mod N;
计算s = k-1(h(m)+xr) mod N,其中h是安全HASH函数;
将签名结果<r,s>发送给接受方B。
      4) 验证方B验证签名的合法性(可获取公钥):
设密文为<r,s>,计算(x0,y0) = u1G+ u2Y,其中u1 = h(m) s 1 mod N,u2 = r s 1 mod N;
如果x0 = r,则认可签名有效,否则签名非法。
ECNRA[6]也是一个直接从离散对数问题向椭圆曲线离散对数问题上的平行移植的签名机制,ECNRA是可恢复消息的签名机制,与ECDSA相比,它省掉了ECDSA中的求逆,提高了效率,但是ECNRA受到了专利的保护。

4、 椭圆曲线密码的安全性问题
4.1 椭圆曲线离散对数问题
      椭圆曲线密码机制的安全性是指为实现ECC而选取的椭圆曲线上ECDLP的难解性,即求解该ECDLP的最有效算法的时间复杂度和空间复杂度,安全的椭圆曲线上的ECDLP是不能被所有的已知算法在有效的时间内求解的。
概括目前已知的求解ECDLP的算法,我们可以将它们分为两大类:针对一般椭圆曲线的算法和针对特殊椭圆曲线的算法。
4.1.1一般椭圆曲线上ECDLP的求解算法
      一般椭圆曲线上ECDLP的求解算法不依赖于椭圆曲线的参数选取,普遍适应于求解各种椭圆曲线上的ECDLP。其中Pollard’s Rho算法[8]和Pohlig-Hellman[7]算法是比较有影响的求解算法,
定义(ECDLP问题) 已知#E (Fq)=N,P为E (Fq)的生成元,Q? E (Fq),求l使得l满足Q=lP (0? l ? N-1)。
算法1. Pollard’s Rho算法[8]
step 1 为了计算l,首先将E (Fq)划分为大致相等的三个集合:S1、S2和S3;
setp 2 定义一个序列ri,r0=P,对于 ,计算
 
这样序列中的每个元素都形如ri = aiQ+biP;
step 3 计算上述序列,直至找到一个i使得ri = r2i,即aiQ+biP = a2iQ+b2iP,令u = ai - a2i,v = b2i - bi,   从而得到uQ = vP   ( * )
step 4 利用扩展欧几里得算法计算 d = gcd(u,N)= ?u+?N,从而得到?u ? d(mod N),代入(*)式,得到dQ = ?vP,必存在一k,满足?v ? dk(mod N),进而得到
这样代入每个j的可能值,直到该等式成立,即求出l。
Pollard’s Rho算法是时间复杂度为 的概率算法。Van Oorschot和Wiener将Pollard’s Rho算法并行化[9],使得该算法在r个处理器并行执行时,时间复杂度下降为 。Pollard’s Rho算法是目前已知的求解一般ECDLP的最有效的算法,但它仍然是指数级时间复杂度的。
Pollard还提出的另一种概率算法,称为Lambda算法[5],Pollard’s Rho算法类似,Lambda算法也可以并行化[8]。但当搜索范围落在[0,N-1]的子空间[0,b]且b<0.39N时,Pollard’s Lambda算法的效率将高于Pollard’s Rho算法。
算法2. Pohlig-Hellman算法[7]
step 1 分解N= (其中pi均为素数,i=0,1,…,t-1);
setp 2 i从0到t-1重复下述步骤
1) 设l s0+s1pi+…+s pi (mod pi ),0? sj ? pi –1,j=0,1,…,ei-1;
2) 设 = (N/pi)P, = (N/pi)Q,则 和 的阶均为pi,所以有以下等式成立:
 = (N/pi)Q=(N/pi)lP=l(N/pi)P=l = s0
求解该ECDLP问题,唯一确定s0。
3) 设 = (N/pi)P, = (N/pi2)(Q-s0P),则有以下等式成立:
 = (N/pi2)(Q-s0P)= (N/pi2)(l -s0)P= s1
 求解该ECDLP问题,唯一确定s1,类似重复该过程直至完全唯一确定序列s0, s1, s2,…s 。
4) 根据系列s0, s1, s2,…s 可求出li l mod pi
setp 3 根据序列l0, l1, …, lt-1,用中国剩余定理(CRT)求解l。
      给定如上所述的N,该算法将ECDLP分解成e0+e1+…+et-1 ? logN个子ECDLP。如果N的素因子pi都很小(i=0,1,…,t-1),则这些子ECDLP都能用BSGS算法求解。因此,为保证椭圆曲线的安全性,要求N有大的素因子,或者N本身就是素数,这样就可以保证用该算法求ECDLP时,其时间复杂度是指数级的。
      需要指出的,一些在一般数域上的离散对数问题存在亚指数级时间复杂度的概率求解算法,如Index Calculus算法[10],但它不适应ECDLP[11],因为在椭圆曲线上无法定义“平滑性”元素集合,相反,国外最近有人证明在一般有限ABEL群上最好的算法也是指数级的。

4.1.2特殊椭圆曲线上ECDLP的求解算法
      一些椭圆曲线,由于其某些参数选取的特殊性,使得其上的ECDLP存在有效的求解算法,即存在亚指数级时间复杂度甚至多项式时间复杂度的求解算法,因此这些特殊的椭圆曲线不能用来实现ECC。
      设#E(Fq) =N,则满足N=q+1-t,其中t称为Frobenius 映射的迹。迹t为0的椭圆曲线称为超奇异(Supersingular)椭圆曲线。Menezes,Okamoto和Vanstone[22]以及Frey和Rück [23]的研究表明:定义在有限域Fq上的椭圆曲线E上的ECDLP问题可以约化为某些扩域Fqk( k?1 )上的乘法群上的离散对数问题,从而可以使用NFS(Number Field Seive)算法进行求解。MOV方法在k很小时非常有效[18]。而超奇异椭圆曲线所对应的约化域的 ,所以用MOV方法求解约化后的超奇异椭圆曲线上的ECDLP时间复杂度降为亚指数级。
      迹t为1的椭圆曲线,称为反常椭圆曲线。Semaev等人给出了快速求解此类椭圆曲线上ECDLP的算法——SSSA(Semaev-Smart-Satoh-Araki)算法[24][25][26]。
      还有一类特殊的椭圆曲线是奇异(Singular)椭圆曲线(曲线包含一个奇点),很容易通过构造群同态将奇异椭圆曲线上的ECDLP转化为Fq+上的离散对数问题(用欧几里德算法求解)或者Fq*或 *上的离散对数问题(用NFS算法求解),因此奇异椭圆曲线也是不安全的。
      超椭圆曲线[19][20][21](hyperelliptic curve)是任意亏格(genus)的一族代数曲线,包括椭圆曲线(genus=1)。Adleman等人提出了一种亚指数级时间复杂度的求解算法[17],最近出现的GHS算法[12],也可以有效地求解定义于二元扩域F2n的超椭圆曲线上的ECDLP。但该类算法只对求解有限域上的亏格较大的超椭圆曲线上ECDLP是亚指数级时间复杂度的。

4.2 椭圆曲线的选取
      通过过去对离散对数问题长达24年的研究和对ECDLP问题长达16年的研究表明,目前还没有发现求解一般ECDLP问题的亚指数级时间复杂度算法,但是存在一些针对特殊的椭圆曲线的求解ECDLP问题的方法。因此在实现椭圆曲线密码机制时,如何选取一条好的椭圆曲线至关重要。选取椭圆曲线主要从安全性和效率两个方面来考虑。
      为了有效抗击各种ECDLP求解算法,我们在选取椭圆曲线是需要注意以下一些原则:
a) E(Fq)不是奇异椭圆曲线;
b) E(Fq)不是超奇异椭圆曲线(t≠0);
c) E(Fq)不是反常椭圆曲线(t≠1);
d) #E(Fq)不等于q-1(t≠2);
e) #E(Fq)包含有大的素因子;
f) #E(Fq)不能整除qk-1,这里的1≤ k≤ 20;
g) 椭圆曲线点群的生成元G?E(Fq),其阶为#E(Fq)的最大素因子,并且在#E(Fq)的子群<G>上实现ECC。

      目前,主要比较实用的椭圆曲线的域的选取有两种:素数域和特征为2的有限域。这些具体的参数对密码实现效率的影响也是好的椭圆曲线的选取需要考虑的问题之一。如素数域的椭圆曲线密码中,素数p的选取可以根据确定性的素数判定方法选择一个素数。如果选择随机素数,在工程实现时效率将会下降约50%。为了算法实现的效率,p可选取成Mersenne素数或拟Mersenne素数。
      安全的椭圆曲线,还面临一个计算椭圆曲线的阶的问题。而且阶的选择也是安全性考虑之一,安全的椭圆曲线的阶必须是一个大素数或者是含有大的素数因子。目前椭圆曲线的阶的计算主要有随机选取和构造给定阶的椭圆曲线两种方法。Schoof在这方面作了开创性的工作[13],但是Schoof算法理论上是个有效算法,实际中却不实用。随后基于这个方法,密码学家提出了其他的一些改进[14],SEA方法[15]是目前比较有效的计算随机选取椭圆曲线的阶的方法。Atkin和Morain提出的复乘方法[27]使得人们可以构造素域Zp上具有特定阶的椭圆曲线,这个方法也受到了广泛重视和讨论及相应的改进[28] [29] 30]。密码标准IEEE P1363采用了这个方法作为生成椭圆曲线的方法之一。该算法具有较高的效率,但是人们复乘方法中对p的形状限制是否会影响密码机制的安全性感到某些担心,虽然到目前为止,还没有证据表明这种方法生成的曲线存在着安全问题。

5、 椭圆曲线的研究现状及发展
      椭圆曲线密码和其它的公钥密码相比,其抗攻击性具有绝对的优势,160位的ECC与1024位的RSA有相同的安全强度。ECC密码的单位安全强度高于RSA密码,也就是说,要达到同样的安全强度,ECC密码所需的密钥长度远比RSA密码。这就有效地解决了为提高安全强度必须增加密钥长度所带来的工程实现难度的问题。而且在相同的安全强度下, ECC密码的效率也高于RSA。因此ECC密码所需的存贮空间要小得多,对传输所用的带宽要求更低,硬件实现ECC密码所需逻辑电路的逻辑门数较RSA密码也要少得多,功耗更低。这些明显的优势,使得ECC密码的理论研究和工程应用越来越受到密码学界及各界的重视。
      目前各个国家都在致力于ECC的理论和应用问题,而且也引起了密码体制标准制定者的极大兴趣。致力于ECC算法的推广的Certicom公司伴随着ECC算法在全世界的逐渐普及,已经出了很多有关ECC的专利,现在又组织了SECG (ECC标准化组织),主要标准有:SEC1和SEC2。P1363分别在1996和1998年公开了在P1363中基于椭圆曲线的公钥密码系统的算法专利,如ECMQV, ECNR等。ANSI X9.62  ANSI X9.63中也涉及了基于椭圆曲线的算法:ECES, ECAES,ECDSA, ECMQV。
      美国RSA公司是RSA算法的专利拥有者,该公司在推广RSA算法的同时,也在致力于ECC算法的研究工作,提出了PKCS#13(基于椭圆曲线)草案。在欧洲,Simenes公司已经研究开发了基于硬件的椭圆曲线密码系统;法国的ThomPson公司已经将椭圆曲线密码系统应用在其智能卡中。在亚洲,日本的NTT提出了PSEC椭圆曲线加密系统;松下电器产业株式会社已经申请了“椭圆曲线变换装置、利用装置和利用系统”专利。韩国也提出了基于椭圆曲线签名体制:KECDSA签名体制。
      大多密码学家对这种密码体制的安全性及应用前景都抱着乐观的态度,ECC的研究越深入、研究的时间越长,人们对椭圆曲线密码的强度越有信心。密码学界对ECC的青睐,社会各界对ECC的研究及推广,特别是ECC的标准化进程,必将有利于将来对ECC的安全性分析及工程应用的研究。

6、 结论
      虽然相对RSA密码机制而言,ECC的研究和应用还不够深入,但椭圆曲线密码越来越受到广泛的关注,社会各界包括学术界、工业界、政府部门、国际组织等已经开始重视其研究和工程应用,并且椭圆曲线密码在某些领域替代现存的公钥密码体制已成为一种趋势。对于椭圆曲线密码的应用需求,必将推动其在密码安全性分析方面以及具体的高效实现方面的发展,其相关的理论研究和产品业会随之更趋成熟。

作  者  简  介
陈建华  39岁,武汉大学数学与统计学院教授,博士生导师。
汪朝晖  30岁,武汉大学数学与统计学院讲师,博士生。
李莉  26岁,武汉大学计算机学院博士生。
涂航  27岁,武汉大学计算机学院讲师,博士生。

参考文献:
[1] N. Koblitz, Elliptic curve cryptosystems, Mathematics of Computation, 48:203~209, 1987.
[2] V. Miller, Uses of elliptic curves in cryptography, Advances in Cryptology-Crypto'85, LNCS218:417~ 426 , 1986.
[3] T. ElGamal, A public key cryptosystem and a signature scheme based on discrete logarithms, IEEE Transactions on Information Theory, 1985, 31, 469~472.
[4] Natioanl Institute of Standards and Technology, Digital Signature Standard, FIPS Publication 186,1993.
[5] D. Johnson and A. Menezes, The elliptic curve digital signature algorithm (ECDSA), Technical report CORR 99-34, Dept. of C&O, University of Waterloo, 1999 
[6] K. Nyberg and R. A. Rueppel, A new signature scheme based on the DSA giving message recovery, in 1st ACM Conf. on Computer and Communication Security, Fairfax, VA, 1993, 58~61.
[7] S.C.Polig and M.E.Hellman, An improved algorithm over GF(p) and its cryptographic significance, IEEE Transaction on Information Theory, 24:106~110, 1978.
[8] J.M. Pollard, Monte Carlo methods for index computation (mod p). Mathematics of Computation, 32:918~924, 1978
[9] P.C. Van Oorschot and Michael Wiener, Parallel collision search with cryptanalytic applications, Journal of Cryptology, 12(12):1~28, 1999.
[10] K. McCurley, The discrete logarithm problem. Cryptology and Computational Number Theory, 42:49~74, 1990.
[11] J.H.Silverman and J.Suzuki, Elliptic curve discrete logarithms and the index calculus. Proc of Asiacrypt'98 110~125, 1998.
[12] P. Gaudry, F. Hess and N. Smart, Constructive and destructive facets of Weil descent on elliptic curves, Journal of Cryptology 15:19~46, 2002.
[13] R. Schoof Elliptic curves over finite field and the computation of square roots mod p. Mathematics of Computation. 1985. 44:483-494
[14] R.Lercier, F. Morain, Counting the number of points on elliptic curves over finite fields:strategies and performances. Advances in Cryptography——EUROCRYPT’95 Proceedings, LNCS 1995. 79-94
[15] R. Schoof, Counting points on elliptic curves over finite fields, Journal Theorie des Nombres de Bordeaux, vol. 7:219~254, 1995.
[16] A.Atkin, F.Morain, Elliptic curves and primality proving. Mathematics of Computation, 1993. 61(203): 29-68
[17] L.Adleman J.Demarrais and M.D.Huang, A subexponential algorithm for discrete logarithms over the rational subgroup of the Jacobian of large genus hyperelliptic curves over finite fields, Proc First Int'l Symp on Algorithmic Number Theory (ANTS-I):28~40, 1994.
[18] R. Balasubramanian and N.Koblitz, The improbability that an elliptic curve has subexponential discrete log problem under the Menezes-Okamoto-Vanstone algorithm, Journal of Cryptology 11:141~145, 1998.
[19] N.Kobitz. Hyperelliptic cryptography.of Crypto., 1989,1(3):139-150
[20] D G Cantor. Computing in the jacobian of a hyperelliptic curve. Math.Comp. 1987,48:95-101
[21] D.Coppersmith, A.M.Odlyzko, R. Schroeppel. Discrete logarithms in GF(p), Algorithmica, 1986, 1:1-15
[22] A. Menezes,T.Okamoto, S.A.Vanstone, Reducing elliptic curves logarithm to logarithms in a finite field. IEEE TIT. 1993,39(5): 1639-1646
[23] G.Frey. and H. Rück, A remark concerning m-divisibility and the discrete logarithm in the divisor class group of curves. Mathematics of Computation 62:865~874, 1994.
[24] T. Satoh and K. Araki, Fermat quotients and the polynomial time discrete log algorithm for anomalous elliptic curves, Commentarii Mathematici Universitatis Sancti Pauli 47 :81~92, 1998.
[25] I. A.SEMAEV, Evaluation of discrete logarithms in a group of p-torsion points of an elliptic curve in characteristic p, Mathematics of Computation, 67(221):353~356, January 1998.
[26] N.P. Smart, The discrete logarithms problem on elliptic curves of trace one, Journal of Cryptology 12:193~196, 1999.
[27] A. Atkin, F.Morain, Elliptic curves and primality proving. Mathematics of Computation. 1993,61(203):29-68
[28] F.Morain, Building cyclic elliptic curves modulo large primes. Advances in Cryptology——EUROCRYPT’91 Proceedings, LNCS 547. Berlin: Springer-Verlag, 1991, 328-336
[29] A.M.iyaji, Elliptic curves over Fp suitable for cryptosystems. Advances in Cryptography——EUROCRYPT’92 Proceedings, LNCS 718. Berlin: Springer-Verlag, 1993, 479-491
[30] G.J.Lay, H.G.Zimmer, Constructing elliptic curves with given group order over large finite fields. Algorithm in Number Theory Proceedings, LNCS 877. Berlin:Springer-Verlag, 1994. 250-263