ECC与Pairing前沿调研

来源：互联网发布：python 流量预测编辑：程序博客网时间：2024/05/01 21:35

ECC与Pairing前沿调研

1.An Analysis of AffineCoordinates for Pairing Computation（Pairing2010）

关注方向

分析运用仿射坐标（Affine Coordinates）计算pairing。作者发现，在实现高安全强度的最优ate pairings时，应用仿射坐标的运算速度要快于目前所知的最好的投影坐标（Projective Coordinates）方程

主要结论

1.作者推荐应用两种已知技术来加速域的反转（field Inversions）：

（1）应用扩域的塔效应（towers of extension fields）在扩域上计算反转，可以成功将反转计算通过普通映射降低到子域上计算。实验证明在扩域上该技术可以有效降低反转与乘法的开销比率（the ratio of the costs of inversions to multiplications）；

（2）应用反转共享（inversion-sharing）来进行pairing计算。反转共享对于很多立刻反转的计算都是一项标准技巧。随着反转元素的增加，反转与乘法的开销比比率趋近与3。

2. 实验结果，如图1、图2。

图1 256bit素数域上域的运算时间结果，测试平台为Intel Core 2 Duo E8500 3.16GHZ 于32bit/64bit Win7。平均超过1000个操作，统计单位为cpu周期（cyc）和微秒（μs）。

图2 Optimal ate pairing在256bitBN曲线上生成的时间，测试平台同上，测试平均超过20 pairings

2.Affine Pairings on ARM（Pairing2012）

关注方向

Affine Pairings 在ARM、X86和X86-64三个平台上不同参数结构下BN曲线的运行效率对比。

主要结论

1.目前已知的可实现用于密码学的既高效又安全的双线性对的方法，是在有限域上的椭圆曲线上应用最优化版本的Weil或Tate对。

2.作者给出了在dual-coreCortex A9 ARM处理器上仿射对（affine pairings）与投影对（projective pairings）的性能对比，并比较了他们在X86、X86-64上的性能差异。在3个平台上，测试了固有的和组装的蒙哥马利乘法（Montgomery multiplication大数模乘运算）实现。实验发现，对于pairing计算，仿射坐标变换（affinecoordinates）是在ARM处理器上是更好的选择。

3.实现蒙哥马利乘法时，作者对比了C语言下调用固有的内部函数（Intrinsics）和改写的提升函数（Assembly），后者的速度比前者快，如图3。因此，作者设计并使用了直接的改写提升函数方法实现蒙哥马利乘法生成基本参考测试数据。

图3 蒙哥马利乘法C语言下Intrinsics与Assembly实现对比

4.作者在做测试时采用了BN曲线，不仅因为其很适合128bit的安全强度的运算，而且该曲线很有希望候选成为安全强度达到192bit的pairing-friendly的最高效曲线。

5.测试结果截图举例，如图4。bn254的安全强度相当于128bit。

图4 3个平台上254bit素数域上BN 曲线optimal ate pairing的运行时间结果，域上时间平均超过1000个操作，pairing时间平均超过20 pairings

6.测试结果总结：

（1）对于所有安全强度的测试，基本上X86-64比ARM速度快10倍，X86比ARM速度快5倍。

（2）在所有的平台和安全强度下，对于optimal ate pairing 的计算，Affinecoordinates 比projective coordinates要好，随着安全强度提升，两者的差异越来越大。

（3）inversion-to-multiplication ratio在ARM平台的基本域上更低。。

（4）对于所有的平台，inversion-to-multiplicationratio在更大的基本域上更低。

（5）对于所有的平台计算最后的指数运算所消耗的时间百分比随着安强度的提升而增高。

3.ImplementingPairings at the 192-bit Security（Pairing2012）

关注方向

分别从Kachisa-Schaefer-Scott（KSS），Barreto-Naehrig（BN）和Barreto-Lynn-Scott（BLS）三种椭圆曲线上实现192bit安全强度的非对称pairings。作者发现，无论是串行实现还是并行实现，从采用嵌入度为12的BLS曲线上获得pairings的速度是最快的。作者呈现了一个可以较好的适应在一个多处理器机器上计算单一pairing的、获得Weilpairing的通用框架。

主要结论

1.作者主要侧重于实现快速的192bit安全强度的单一pairing（singlepairing）。选择192bit安全强度的原因是，它在NSA的Suite B密码标准中对于公钥操作拥有较高的安全等级。但是，从众多可选曲线中还无法明确找出最优的192bit安全强度的pairing-friendly曲线，文章对几种曲线的实现进行的对比。

2.作者对几种候选曲线生成pairing进行了分析，其中包括：

（1）BLS12曲线 Y² = X³ + 4 ，定义的参数选择为z = -2¹⁰⁷ + 2¹⁰⁵ +2⁹³ + 2⁵ ，需要一个638bit素数p和一个427bit素数r；

（2）KSS曲线Y² = X³+2 ，定义的参数选择为z = -2⁶⁴ - 2⁶¹ + 2⁴⁶ + 2¹²；

（3）BN 曲线Y² = X³+5 ，定义的参数选择为z = 2¹⁵⁸ - 2¹²⁸- 2⁶⁸ +1，并定义了相关的扩展域；

（4）BLS24曲线 Y² = X³ + 1 ，定义的参数选择为z = -2⁴⁸ + 2⁴⁵ + 2³¹- 2⁷ 。

3.预计运行结果对比，如图5、图6。

图5 4种曲线在192bit安全强度下的耗时估计，m512代表执行一次512bit的乘法，64位机器上m480=-m512

图6 Optimal ate pairing和βWeil pairing 在4种曲线的192bit安全强度下并行实现的速度提升估计，所有指数代表运行速度是KSS的Optimal atepairing在单线程下的运行速度的倍数

4. 实际实现后运行结果对比，如图7。

图7 在Intel Core i5与i7两个平台上，Optimalate pairing和βWeil pairing在4种不同曲线上生成，分别采用1、2、4、8个线程，数据中延时以1百万个时钟周期为单位，加速值代表对Intel Core i5 上KSS Optimal ate pairing单线程的的生成速度比值，“*”为根据单线程运行数据的估计值

4.On Efficient Pairings onElliptic Curves over Extension Fields（Pairing2012）（软件所博士张旭）

关注方向

更加高效的扩域上椭圆曲线计算pairings。

主要结论

本文第一次讨论了定义在扩域上的椭圆曲线的pairing的构造，发现在这种情况下，可以构造出更高效的pairing；同时本文还引入了一些新的计算技巧，使得这种曲线上的pairing的计算效率有出色的表现。

另外，在Pairing2012的会议上，来自另一中科院该实验室的报告显示，嵌入次数为18的Brezing-Weng曲线是在192比特安全强度下基于pairing密码系统的最好选择，本报告在这类曲线上构造了twisted ate pairing，其在计算效率方面的优势非常明显。

5. Pairings on elliptic curves –parameter selection and efficient computation (ECC 2010, Microsoft Research)

关注方向

本篇是在ECCworkshop 2010上做的演讲PPT总结。主要介绍了Pairings和pairing-friendly曲线、利用多项式参数化的BN曲线上的optimal ate pairing、高安全等级下用仿射坐标计算pairing。PPT给出了一些好的BN曲线上optimal ate pairing的参数及高效设计建议，并展示了用微软的大数库计算pairing的实例结果。

主要结论

1.BN曲线：

如果 u∈Z such that

p= p(u) = 36u⁴ + 36u³ + 24u² + 6u + 1

n = n(u) = 36u⁴ + 36u³ + 18u² + 6u + 1

都是质数，则存在一种常规曲线：

（1）方程为E : y² = x³ + b, b∈F_p

（2）r = n = #E(F_p) 都是质数

（3）嵌入度K=12

BN曲线上的一个optimal ate pairing：

适当的曲线参数选择的重要性结论：

（1）6u+2越稀疏越好，使其满足：

（2）u要或者稀疏或者有一个好的加法链；

（3）p ≡ 3 (mod 4) , F_p2= F_p(i), i² = −1.

同时要考虑到一些非pairing相关的操作：

（1）椭圆曲线的标量乘法；

（2）平方根和立方根的计算。

研究成果：

给出一条BN曲线：E : y² = x³ + b, b=N(ζ),ζ∈F_p2,那么其6次扭曲（sextic twist）E’: y²= x³ + b/ζ满足 #E(F_p)| #E’(F_p2).

此时建议的BN曲线参数建议：

（1）低权重的u，使其满足：

（2）低权重的6u+2使其满足：

（3）p ≡ 3 (mod 4) , F_p2 = F_p(i), i² = −1;

（4）选择小的ζ=c²+id³,使其满足b=c⁴+d⁶很小；

（5）获得明显简单的生成因子（点）P=(-d²,c²)∈E(F_p);

（6）获得点P’=(-id,c) ∈E’(F_p2)，总是给出一个生成因子Q’=[h]P’ ∈E’(F_p2)[n]，其中# E’(F_p2)=hn。

2.在双核CPU上可以采取进一步优化：应用了快速向量指令mulpd 和addpd，每条指令可以执行两次乘或加，每个cpu周期可执行一个mulpd和一个addpd，对此可进行相关优化，不再赘述。

3.基于微软大数库的pairing实现，可以实现：

（1）基于域的蒙哥马利乘法

（2）256bit整数被分成4片64bit

（3）扩展域基于MS bignum扩展域，求逆运算基于规范技巧

（4）用C实现

（5）不受具体安全等级、曲线和处理器的限制

（6）在32bit和64bit Windows下实现

在3.16GHz Intel Core2 Duo E8500 64bitWin7下运行结果，如图8。

图8 域上的各种计算时间消耗

256bit BN曲线上实现pairing的时间结果，如图9。

图9 256bit BN曲线上实现pairing的时间结果

6.Implementation of Pairings overSupersingular curves（ECC 2012）

关注方向

本PPT主要关注了如何在超奇异曲线上实现pairing的方法，介绍了如何定义扩展域、如何定义各种超奇异曲线以及在其上计算pairing，此外，还介绍了一些关于硬件加速的实现方法和详细的超椭圆曲线相关内容。具体数学细节可以参考原PPT，其形成的主要结论如下。

主要结论

1.超奇异曲线是唯一允许1型pairing的（type-1pairings），小特征的算法时候资源有限的系统或硬件。

2.超奇异曲线在使用低嵌入度时，是有缺陷的，他们越来越困难的满足现在的安全需要，甚至是192bit和256bit的安全强度都不能满足需求。

3.仍有许多问题待解决，如何较小资源需求又提升安全强度，如何在更高安全等级下定义好的扩展域，如何构造在C_d/F₂^m上构建optimal-Ate pairing，如何利用ThetaFunction计算pairing。

4.无论如何，越来越难在普通曲线上进行计算。

7. Software implementation of pairings(ECC2011)

关注方向

本PPT首先说明了pairing的计算目前是PBC中最耗时的计算，因此使其计算加速是重要的目的和研究方向。PPT介绍的研究的加速pairing的单线程和并行计算的主要思路是：（1）最大化计算吞吐量，（2）最小化延时，此类方法可以应用于服务器和实时服务系统。本文贡献有：扩域上惰性化简（Lazy reduction）、消除负面参数化带来的罚时、压缩割圆平方、并行化米勒算法、延迟计算平方和新的计算方程以及对高安全强度下和目前实现的情况的一些总结。下面主要介绍几个优化点：

主要结论

1.广义惰性化简，直觉上，加法与模运算的化简是一种权衡，如：
(a·b) mod p + (c·d) mod p = (a·b + c ·d) mod p
pairing对于F_p应用的都是非稀疏的质数，假设F_p²是一个较高的扩展，并且应用了迭代计算，那么任何F_p^k中的元素c最终可以通过c=∑±a_ib_jmod p计算出，只需要一步化简，因此蒙哥马利丛应该保留到最后一步，在立刻化简得到结果，要选择适当的p可以加速，这一方法可以同样适用于E’(F_p²)上的计算，举例：在F_p¹²上的乘法可以从54M+36R降低到54M+12R，节省了40%的化简。

2.并行化，米勒方程有如下性质：
f_a_{·b, P}(D) = f_{b, P}(D)^a·f_{a, bP}(D)
可以用r = 2^wr₁+ r₀来计算f_{r, P}(D)，如下：

如果r具有低的汉明权重，则可以选择合适的w是的r₀很小，对于很多处理器来说，可以应用方程的迭代，将r写成，如果P是固定的（私钥），那么r_iP也可以被预先计算。如何最优化划分w_i是优化的关键，假设c₁(1)是单序列循环的计算耗时，c_π(i)是对于处理器1≤i≤π的并行循环耗时，则可以计算出每个处理器执行的操作，并且通过解决系统c_π(1) = c_π(i)来获得w_i，加速率为：

其中par是并行化的耗时，exp是最后指数运算的耗时。具体实现的结果是，没有明显大量的额外存储消耗，几乎是线性增长，而是速度提升对于处理器个数为2、4、8的分别为28%、44%、66%.

8.对ECC和pairing的攻击

关注方向

本类介绍几篇在ECC workshop上针对ECC和pairing进行攻击的演讲PPT。一类攻击是通过间接的方法侦测算法漏洞，另一类是针对某些特殊曲线或域设计降低离散对数分解的复杂度的方法。总体上讲，对于ECC和pairing的攻击还处于初步试验阶段，多数借鉴了之前对离散对数和其他密码算法攻击的方法，没有形成突破性的高效统一的攻击解决方案，NIST推荐的曲线目前来讲还是安全的。

主要结论

1.On Fault-based Attacks andCountermeasures for Elliptic Curve Cryptosystems（ECC 2012）

FaultAttack利用密码设备处理私钥操作时出现的错误进行攻击，这些错误的获得需要对设备进行物理连接，一个错误的输出可以泄露相关的秘密信息。对ECC最早的Fault Attack是针对有缺陷的曲线的攻击（invalid curve attack），利用差分错误分析的方法攻击（differential fault analysis (DFA) attack）。随后提出了记好改变错误攻击（sign change fault (SCF) attack），这种攻击是基于在椭圆曲线标量乘（ECSM）时将记号改变入中间点，攻击应用于素数域上的椭圆曲线。该类攻击对一些弱曲线有一定效果，防御措施是：

（1）群的方程改变，同时用上EC的参数的a、b

（2）曲线的选择，只用的曲线且不存在，例如应用NIST K-283的曲线

（3）对点进行检查（Point Verification）

2.Attacks on the curve-baseddiscrete logarithm problem（ECC 2011）

本文调研了目前几种针对基于曲线的DLP的攻击，如下：

（1）通用攻击（genericattacks），此攻击可以应用于任何群，实质上就是暴力破解，尝试群里的所有元素，找到x，使g^x=h，目前可以使用一些研究成果来降低破解的复杂度，其中有Pohlig-Hellman Reduction，该方法是将搜索群的元素数量n降低到n的最大的素数因子；Baby-step giant-step，该方法是利用生日悖论已经空间换时间的方法来加速搜索，时间与空间复杂度均为O()；Pollard-Rho，该方法基于伪随机方程的迭代，时间复杂度为O()，空间复杂度为O(1)。无论如何加速，本文以定理形式给出了结论：最快的可实现的对定义在一个群G上的DLP的搜索复杂度是，p是#G的最大素因子，如果想要超过该速度，需要获得给定群G的额外信息。

（2）指数计算（indexcalculus），本方法发展于大整数分解，基于指数积分的数字/函数域的筛选保持着整数分解和有限域DLP的记录。该方法的思想是，在数量较小的一部分生成元(a “small”number of generators)中寻找群的关系，在拥有足够的关系和线性代数的帮助下，推导群的结构和元素的DL。该方法应用于超椭圆曲线中genus>2的，椭圆曲线要定义在扩域上，且曲线的平滑度较小。

（3）转移攻击（transferattacks），该方法可用于pairing，可以用于特征为0的域，同源的（isogenies），Weil descent（GHS）。该方法的原理是，如果G₂是一个DLP弱的群，且存在φ∈Hom(G₁,G₂)一一映射，并且可计算，那么G₁上的DLP也是弱的，目标就是证明和找到G₁=E(F_q)是存在比平方根更快的解DLP的算法。针对pairing的转移攻击有Menezes-Okamoto-Vanstone'sattack以及Gaudry-Hess-Smart technique（GHS）。

上述攻击方法都只能针对特殊性质的曲线和pairing有效，且效果仅限于一定程度上的加速分解DLP，并没有实质性突破，所以普遍意义上的ECC和pairing是安全的。

9.Speeding Up Elliptic CurveDiscrete Logarithm Computations with Point Halving(张方国，designs, Codes and Cryptography, 2011)

关注方向

该文章是张方国目前研究的ECC方向之一，偏理论方向，在此简述。本文提出一种加速计算ECC中离散对数的方式，即利用半点方式来计算。之前的加速技术是利用Pollard rho method的方式，半点方式是针对其修改得到的。

主要结论

1. Pollard rho method的方法计算ECC中倍点运算Q=kP，假设由P生成群G，Q∈G，将群G分割成大小基本相同的三个群S₁、S₂、S₃，在G上利用迭代公式：

其中Y_i为一个点的表示，令Y₀= a₀P+b₀Q，而a与b由下列相同模式的迭代公式计算：

最终在G上进过一个完整序列，可以找到两个重叠匹配点（Y_i，Y_j），可以得出以下式子：

最终给出Q=kP的计算方法：

2.本文发现，在系数为2的有限域上，给出一个点，计算其半点比计算其双倍点要快很多，求半点即是求双倍点的反向运算。根据此理论，重新设计迭代方程：

同样可以计算出一个完整的序列。

3.作者将本文提出的方法实现在了KoblitzCurves，并证明了对于NIST推荐的曲线，在以2为系数的有限域上，半点的方法比之前的方法运算速度快12%~17%.

10.TinyPairing:A Fast and Lightweight Pairing-based Cryptographic Library for Wireless SensorNetworks(WCNC 2010)

关注方向

本文介绍了作者设计和实现的一套快速、轻量级的基于pairing的密码算法库TinyPairing，该库主要针对无线传感器网络的使用，充分考虑了速度快、计算量小、存储空间小的设计要求。该密码算法库是全功能型的，包含了基于身份的加密策略和两种短签名策略，并且推荐了一些新的算法和技巧用于加速和减少存储空间。

主要结论

1.为了适用于多种无线传感器平台，算法库的设计目标如下：

（1）快速、轻量级：实验平台针对MICAz，其资源参数为：4KB RAM，128KB ROM,7.3828 MHz 微控制器，最终的实现方案只占用了10%的RAM与20%的ROM；

（2） Ready-to-Use：TinyPairing提供的函数包括ηπ pairing、EC群操作、基本域和扩展域上的操作、随机数生成器、hash函数、双精度操作，三种策略为BLS短签名、BB短签名和BF基于身份加密，并给出了每种两个的具体实现；

（3）适用性：算法库没有使用基于任何特定平台的优化和设计，因此适用于广泛的无线传感器平台。

2.算法库选择了超奇异曲线，采用特征3。特征为3，嵌入度为6的域，可以给出很大的扩展域并且保持较小的基域，可以在达到较大的安全等级下占用较少的存储空间。具体实现时，采用了F₃⁹⁷的基域，具体pairing的算法做了一些修改，在其之前的论文中有所阐述。点标量乘法采用了基数为3的NAF和投影坐标的技巧。投影坐标不需要扩域的求逆运算，因此缩短了计算时间。

3.针对特征为3的曲线的特殊设计：

（1）Hash-to-Point:对原始的二进制串映射为EC上的点的算法进行修改得到了变种算法；

（2）Field Element and PointCompression:将每5个三进制数映射成8 bit，其压缩结果是一个椭圆曲线上的点只需要20字节来表示；

（3）Revised Point ScalarMultiplication:为了防止在基数转换时出现双精度操作，首先运用域元素表示法以基数3的方式存储乘法倍数k；

4.评估与测试：

图10 在MICAz上运行算法库中pairing相关操作的耗时

图11 签名策略性能对比：左边为基于基本ECC的签名操作（原始算法未经修改，允许占用较大空间进行更为快速的运算），右边为基于pairing的签名操作（即本文方法）

11.High-Speed Software Implementation of theOptimalAte Pairing over Barreto-Naehrig Curves（Pairing2010）

关注方向

本文介绍了作者设计的一套在BN曲线上生成Optimal Ate Pairing的算法库，该库可以在Intel i7 2.8GHz单核处理器上消耗233万时钟周期（即0.832毫秒）计算出254bit素数域F_p上的Optimal AtePairing。该库通过运用通用的蒙哥马利素域乘法器精心实现了基域的各种算法，以达到高效运算的性能。BN的素域多项式参数选取为：p = 36t⁴ +36t³+24t² +6t+1，t = 2⁶²−2⁵⁴+2⁴⁴，这种选择可以为pairing的米勒循环和最后的指数运算存储保留重要的数据。

主要结论

1.该库运用C++实现，针对x86-64设计，可以适用于多种平台：64位Win7+Visual Studio 2008、64位Linux2.6与Mac OS X 10.5+gcc4.4.1及以上版本，为了提升运行时的性能，扩展应用了Xbyak（x86/x64针对C++的一种汇编编译器）。

2. 素域算法的实现：x86-64的指令集的mul操作允许两个64bit无符整数相乘后返回128bit无符整数，该操作只消耗3个时钟周期。F_p上的加减运算直接进行，乘法和求逆运算采用通用的蒙哥马利乘法和蒙哥马利求逆运算。

3.二次扩域算法的实现：即在F_p²上的操作，乘法操作将蒙哥马利乘法分成两部分：

（1）两个256bit整数直接相乘后返回512bit整数，定义为mul256；

（2）蒙哥马利化简，将512bit整数化简为156bit的整数，定义为mod512。

实现后mul256包含16个mul个操作，耗时55个时钟周期，算法如下：

通过小的常量快速化简乘法结果，即乘法执行后的完成模运算化简，原则上可以通过大数的位移完成，但由于mul的代价要低于位移运算，因此特别设计了用mul完成的化简方法：

首先给出一个p的表格：

之后计算：

4.评估与测试：

图12 不同实现方法在不同架构下的运行时间比较

总结

ECC和Pairing相关的最新文献资料还有很多，ECCWorkshop最近几年每年开会前都会通过暑期夏令营等方式普及ECC和Pairing的基本知识，意在扩大其影响力，让更多的人参与到相关的理论、应用研究中。

就目前资料来看，ECC的理论基础已经比较完善，大多研究集中在应用方面，而Pairing还存在很多问题有待近一步解决，应用也有不少基础性方案进展。

从算法理论上讲，目前ECC和Pairing的研究热点主要集中在如何通过曲线选择、参数选择的方法最大化加速计算，并保持较高的安全强度、新策略的研发。

（1）基础理论：ECC方面研究相对成熟，Pairing方面目前在192bit及以上安全强度的要求下，还没有统一公认的、完善的最优化曲线和参数选择方案，很多研究给出了推荐方案，但很多具有局限性。对Paring的讨论仍然聚焦在特征值的选择、域的定义、仿射变换和投影变换、著名的几条曲线的比较、安全强度和速度的权衡。

（2）算法优化：对于ECC主要集中在指数运、模运算、求解倍点方面；对与Pairing算法的理论优化出了和ECC相关的部分，还集中在对蒙哥马利乘法、求逆运算、最后一步指数运算的具体处理方式上，这些优化涉及很多编程算法技巧，虽然资料中给出的数据大多显示加速幅度很大，但他们对Pairing本身并无质的改变，有的不适于推广。

（3）策略研发：近些年ECC和Pairing的优势被逐步发现，很多好的特征是独一无二的，这引领了密码界对很多协议和策略算法的更换风潮，相关的策略研究主要有非对称加密、IBE、DAA、匿名签密等方面，很多新策略的诞生都是基于了Pairing能够提供的匿名性。

（4）攻击方法：此外，一些学者还研究了针对ECC和Pairing的理论攻击方法，主要包括：通过间接手段侦测算法漏洞和针对某些特殊曲线或域设计降低离散对数分解的复杂度的方法，这些方法都借鉴了之前对密码领域算法攻击的模式，基本属于初步实验阶段，攻击能力没有质的飞跃，对NIST等标准曲线尚不构成严重威胁。

从工程应用上讲；针对ECC和Pairing设计出了一些算法库，ECC有相关的算法硬件，他们都被研究如何具体实现在密码协议中，并结合使用平台修改算法。

（1）算法库：ECC有完整的算法库，Pairing目前没有统一的算法库，很多研究单位自行编写了用于研究算法的库，这些库都是为自己对Pairing提出的改进方案而设计的测试用库，有些库有一定实用价值，但是没有经过广泛用户的测试，毕竟Pairing目前算法还没有完全统一，所以算法库基本都处于实验阶段。

（2）平台相关：ECC已经研究出密码卡，因为Pairing可以通过调整参数设置达到低密钥长度、低运算量并保持一定安全强度，实际应用研究主要将其实现在小型移动终端上，这包括对ARM、无线传感器网络节点等设备的应用研发，很多论文根据特殊环境平台的需求修改Pairing的算法，达到了更好的性能。此外，针对PC端，对于特定范围的平台如64bit处理器+操作系统、JAVA环境等，也有相关改进方案的提出和发表。

总体上讲，ECC的理论研究已经相对成熟，Pairing的理论研究尚未获得统一成果，两者相关的密码算法、策略协议在不断涌现，而研究者们都青睐于应用ECC和Pairing到移动终端上，无论是理论研究还是应用研究，提高运算速度、加大安全强度、减少存储空间成为不变的话题。