组合公钥体制采用有限域Fp上的椭圆曲线E: y≡ ( x+ ax + b ) mod p，以参数(a, b,G, n, p)定义。其中a, b是系数，a,b,x,y∈p，G为加法群的基点，n是以G为基点的群的阶。令任意小于n的整数为私钥，则r G=R为对应公钥。

在椭圆曲线密码ECC中，任意多对公、私钥，其私钥之和与公钥之和构成新的公、私钥对。

那么，r和R刚好形成新的公、私钥对。

加密：Alice通过Bob的标识求出YS序列中的w33-w34，在分割公钥序列中查找出Bob的分割公钥SPKBob；

Alice根据Bob的标识和公钥矩阵计算Bob的标识公钥IPKBob；

脱密：Bob用自己的组合私钥计算出key：

CPK组合私钥csk是标识私钥isk和分割私钥ssk相加而成，分割私钥序列是乱数序列，用于对标识私钥的加密。因为标识私钥是组合矩阵变量的线性组合，只有消除分割私钥的影响，才能暴露标识密钥的线性方程。消除分割私钥的办法是寻找分割私钥的重复。

设组合矩阵变量的总量为N1，分割私钥变量的总量为N2。因为标识密钥方程组的秩为N1-1，要列N1个联立方程，至少要获得N1个重复。假设用户量为N1*N2，分割私钥重复的概率为N1次，那么可以找到N1个重复，但是：

a) 在这些重复中，只有参与共谋的才有私钥，可以列出方程，而没有参与共谋的，即使找到了重复，也因为没有私钥，所以列不出方程，因而没有意义。

b) 在消除分割私钥影响以后的组合私钥的线性方程中，又只有线性无关方程才有意义，而线性相关方程没有意义。

当N1*N2个用户全体参与共谋的情况下，N1个方程恰好满秩的可能性几乎等于零，显然方程不可能有唯一解，私钥的组合矩阵仍然是安全的。

当组合矩阵变量总量为N1，分割密钥变量总量为N2时，公布所需要的空间是两个总量之和（N1+N2），而密钥规模则是两个总量的乘积（N1*N2），因此当N1=N2时，其密钥规模最大。密钥规模是指无意义共谋规模的上限（实际上，离真正得上限还差很远），如果本规模的共谋是不可能事件，那么用户规模可以是无限的。假设ECC密钥长度为160比特（20B），其公钥长度为40B，那么密钥的存储量和密钥规模的关系如下表。