椭圆曲线（elliptic curve）是代数闭域上亏格等于1的光滑射影曲线，它的曲线方程式可以表达成Weierstrass方程式：

其中，是实数，并满足一定的条件。椭圆曲线还包括一个称为无穷点或者零点的特殊元素，记为。椭圆曲线的形状实际上并非完全是椭圆的，之所以有这个名称在过去它们被用来度量椭圆的周长和行星轨道的长度。

对椭圆曲线的研究来自于椭圆积分。1958年英国数学家Birch和Swinnerton-Dyer对构造的椭圆曲线的函数在处的零点与椭圆曲线上的有理点关系给出了一个简称BSD猜想。1985年，尼尔·科布利兹（NealKoblitz）和维克·托米勒（Victor Miller）独立提出了椭圆曲线算法（ellipse curve cryptograph，ECC）。

椭圆曲线是对称的，具有乘法运算和加法运算，其加法运算满足一定的特性，如封闭性、结合性。椭圆曲线可以进一步推广至实数域或有限域上的椭圆曲线，与它有关的概念有椭圆、椭圆积分与椭圆函数等。椭圆曲线及其相关算法应用非常广泛，如密码学、无线局域网安全技术、通信领域、数论研究等领域，其中数论研究中Hasse定理与费马大定理更是与椭圆曲线密切相关。

定义

椭圆曲线的图形并非椭圆，只是因为它的曲线方程与计算椭圆周长的方程类似，而将其叫做椭圆曲线。通常所说的椭圆曲线是由Weierstrass方程所确定的平面曲线，其中取自某个域F并满足一些简单的条件。椭圆曲线通常用字母E表示，满足曲线方程的序偶(x，y)就是域F上的椭圆曲线E上的点。域F可以是数域，也可以是某个有限域GF。除了满足曲线方程的所有点(x，y)之外，椭圆曲线E还包括一个特殊的点，称为无穷远点。

常用于密码系统的基于有限域上的椭圆曲线是由方程：所确定的所有点组成的集合，外加一个无穷远点O。其中、、、均在上取值，且有，是大于3的素数，通常用来表示这类曲线。

简史

椭圆曲线的研究来自于椭圆积分：的求解，其中是的三次多项式或者四次多项式，这样的积分不能用初等函数来表达，从而引出了椭圆曲线函数。

1955年，日本数学家谷山丰首先猜测椭圆曲线与另一类数学家们了解更多的曲线--模曲线之间存在着某种联系；谷山的猜测后经韦依和志村五郎进一步精确化而形成了所谓“谷山-志村猜想”，这个猜想说明了：有理数域上的椭圆曲线都是模曲线。使费马大定理的证明向前迈进了一步。

1958年英国数学家Birch和Swinnerton-Dyer构造了椭圆曲线的。他们对该函数在处的零点与椭圆曲线上的有理点关系给出了一个简称BSD猜想。

1984年，德国数学家弗雷在德国小城奥伯沃尔法赫的一次数论研讨会上宣称：假如皮耶·德·费玛大定理不成立，则由费马方程可构造一个椭圆曲线，它不可被模形式化，也就是说谷山-志村猜想将不成立。但弗雷构造的所谓“弗雷曲线”不可模形式化也说不清具体证明细节，因此也只是猜想，被称为“弗雷命题”，弗雷命题如得证，费马大定理就与谷山-志村猜想等价。

1985年，尼尔·科布利兹（NealKoblitz）和维克·托米勒（Victor Miller）独立提出了椭圆曲线算法（ellipse curve cryptograph，ECC）。椭圆曲线算法的可靠性通过“椭圆曲线问题中的离散对数”问题的难度得到保证。与RSA相比，ECC具有更高的安全性，并且160位ECC的加密强度相当于1024位RSA。因此，ECC密钥的长度比RSA的长度短，存储空间更小，带宽需求也更小。

性质

相关定理

Hasse定理

设是有限域上的椭圆曲线，是上点的个数，则。当时，基于集合可以定义一个阿贝尔群，其加法规则与实数域上描述的代数方法一致。Hasse定理的另外一种表述为， 这里称为有限域上的椭圆曲线的迹（Trace）。当是一个大素数的时候，由于，故。

费马大定理

费马（Pierre de Fermat）在1637年提出， 当为大于3的整数时，没有整数可以满足，但他并没有留下证明方法，费马只证明了的情况。由于没有人能证明的情况，所以后来它又被称为“皮耶·德·费玛最后的定理”。

费马大定理是:不定方程无正整数解，但不定方程（是正整数）或（是大于1的整数）则一定有正整数解，甚至只要，那么不定方程（都是正整数）一定有正整数解。

算法

加法运算

两个相异的点相加：假设和是椭圆曲线上两个相异的点，而且不等于。若，则点是经过P、两点的直线与椭圆曲线相交的唯一交点的负点。

双倍的点：令，则点是经过的切线与椭圆曲线相交的唯一交点的负点。

加法运算特性

乘法运算

如果，则对所有的点而言，。

如果，则对所有的点而言，。

相关推广

椭圆曲线群

一般来说，椭圆曲线群由以下方式产生：

（1）对每一 ( , 为整数），计算；

（2）判定在模下是否为二次剩余（利用欧拉准则），如果不是，则曲线上没有与这个相对应的点。如果有，则求出两个平方根（时只有一个平方根）。

椭圆曲线群的群元素、群生成元和群阶描述如下：

实数域上的椭圆曲线

定义：当，实数域R上的点集，其中，为无穷远点，叫域上的椭圆曲线，一般用来表示。在实数域上，椭圆曲线的一般形式为：，其中，, , , , , ，在实数域上取值。

椭圆曲线的加法规则如上所示。椭圆曲线在实数域上运算法则的几何意义进行如下的定义：设,是曲线上的两个点，为无穷远点。则为直线（过点和点）和曲线的交点，换句话说，是点关于轴的对称点。而点和的和是直线（过点和点)和曲线的交点关于轴的对称点。

有限域上的椭圆曲线

有限域上的椭圆曲线是指曲线方程中，所有系数都是某一有限域中元素（其中为一大素数）。即上的椭圆曲线：是满足同余方程的全部解和一个无穷远点组成的。

设表示方程 所定义的椭圆曲线上的点集，）的产生方式是：对每一个，计算。判断上一步骤中求得的值是否为模的平方剩余。如果是平方剩余，则求出两个平方根；否则，曲线上没有与这一对应的点。

正如前面讨论的椭圆曲线上的加法运算，有限域上的椭圆曲线上的点集的加法运算规则可同样定义。

相关概念

椭圆

在平面内，到两定点的距离的和等于定长的动点的轨迹叫做椭圆，这两个定点叫做椭圆的焦点，两个焦点的距离叫做焦距(定长必须大于焦距)。根据椭圆的定义建立椭圆方程，得到，其中，在这个方程所表示的椭圆上，每一点到两个焦点的距离之和为，焦点的坐标为和，焦距是，这里。

椭圆积分与椭圆函数

一般椭圆积分的定义是，其中，是和的有理函数，而是三次的或四次多项式，即。

例如当是的四次多项式时， 可以化成下面三种标准型、、，其中，称为模数；称为第一、二、三类Legendre椭圆积分。

椭圆积分是在求椭圆弧长过程中出现的，而雅可比椭圆函数是在研究椭圆积分的反函数时产生的，是19世纪数学研究的重大成果之一。通过对第一类椭圆积分式的反演，将或称为椭圆函数，读成“sin am”或“ess en”。由于卡尔·雅可比首先运用并发展了椭圆函数，所以工程上常称为雅可比函数。

阿贝尔群

若群中的运算满足交换律，则称是一个交换群（阿贝尔群）。由于加法运算+满足交换律，因此群，，，都是交换群。设是一个群，则是交换群的充分必要条件是：对，有。

域

设是有单位元的交换环，若中每个非零元素都是可逆元，则称是一个域（field）。

若域F的单位元是，如果式若不存在使得上式成立，称域的特征为0；若存在一个素数可使得上式成立，则称域的特征为0。通常与的特征记为。任一域的特征或者是0，或者是一素数。

域的一个非空子集，如果对于域的运算也成一个域，则称 为的子域，称为 的扩域。例：有理数域、实数域、复数域等都是域。有理数域是实数域的子域，实数域是有理数域的扩域。

无穷远点

在复变函数论中，特别是在研究分式线性映射时，无穷远点是一个非常重要的概念.我们规定平面有一个无穷远点，记为，其定义如下：在映射，平面的点映成平面的点.注意到，因此，当的值变大时，的值变小，且当时，我们把与平面的原点对应的平面的点规定为平面的无穷远点，把包含无穷远点的复平面称为扩充复平面.

应用领域

密码学

在密码学中，椭圆曲线的应用十分广泛，例如加密、解密、签名和生成软件序列号等都会应用到椭圆曲线的知识。

椭圆曲线密码（Elliptic Curve Cryptography，ECC）是最近备受关注的一种公钥密码算法。它的特点是所需的密钥长度比RSA短。椭圆曲线密码是通过将椭圆曲线上的特定点进行特殊的乘法运算来实现的，它利用了这种乘法运算的逆运算非常困难这一特性。在区块链的第一个实例比特币中，数字签名算法采用的是椭圆曲线非对称算法。可以使用的曲线有SECP256rl和SECP256kl曲线等。当时，绝大多数程序设计都是采用前者，而中本聪却在比特币系统的设计中采用了后者。后来在2013年，爱德华·斯诺登爆料说美国国安局（NSA）在部分加密算法中安置了后门，能够让NSA通过后门程序轻易破解各种加密数据，其中SECP256rl就被安置了后门，而SECP256kl却没有。这个设计的选择，使很多人猜测中本聪有美国国家安全局的背景。

无线局域网安全技术

国家标准WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构）采用公开密钥体制的椭圆曲线密码算法和对称密钥加密密码体制的分组密码算法，用于WLAN设备的数字证书、密钥协商和传输数据的加、解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

WAPI的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MovableTerminator．MT)与无线接人点(AP)之间的双向鉴别。另外，WAPI充分考虑了市场应用，从应用模式上可分为单点式和集中式两种：单点式主要用于家庭和小型公司的小范围应用；集中式主要用于热点地区和大型企业，可以和运营商的管理系统结合起来，共同搭建安全的无线应用平台。

通信领域

Diffie-Hellman密钥交换协议可以扩展到椭圆曲线中，变成椭圆曲线Diffie-Hellman密钥交换协议（elliptic curve Diffie-Hellman，ECDH）。首先在椭圆曲线上选取一个阶为(为一个大素数）的生成元，其次用户和执行以下步骤：（1）随机选取，计算，并将发送给B。（2）随机选取），计算，并将发送给。（3）计算（4）计算这样用户和就建立了一个共享密钥，接下来他们就可以使用对称密码体制以为密钥进行保密通信了。

数论研究

椭圆曲线的有理点问题与许多数论方程有关。例如皮耶·德·费玛方程和同余数问题。1984年，德国数学家弗雷（Gerhard Frey）将费马方程与椭圆曲线联系起来，并猜想：如果谷山-志村猜想（所有椭圆函数都是模曲线）为真，则费马大定理为真。1986年美国数学家里贝特（K.A.Ribet）完成了弗雷猜想的证明。1993年6月，安德鲁·怀尔斯在剑桥牛顿学院以“模形式、椭圆曲线与埃瓦里斯特·伽罗瓦表示”为题，分三次作了演讲，几乎证明了费马大定理。之后经过1年多的修补，怀尔斯公布了长文《模形椭圆曲线和费马大定理》和一篇短文，最终完成了费马大定理360年的求证之旅。对皮耶·德·费玛大定理的证明工作，丰富了数论的内容，推动了数论的发展。

同余数问题与椭圆曲线的算术紧密相关，从几何学的角度考虑式，它交于二次曲面，因此是亏格为1的曲线，即为椭圆曲线，这样费马与欧拉所研究的问题中的有关有理数解的问题，均可归结为有关圆锥曲线乃至椭圆曲线上的有理点问题。因此椭圆曲线理论的发展给解决这类难题以转机。

椭圆曲线.术语在线.2024-02-12