CN100432922C - 在有限域中实现平方运算的方法和装置 - Google Patents

Abstract

本发明公开了一种在有限域中实现平方运算的方法和装置。当有限域GF(2ⁿ)的定义多项式表示为见右(1)式时，其中n为奇数，有限域中所包含的元素A表示为A=(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，提供了一种计算元素A的平方的方法，该方法包括：确定预定的系数m_i，I_ij，V₀，V_ij以及V，使得系数m_i满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V见右(2)式；依据k_i和n确定预定系数s_i并以s_i对系数V进行循环移位；对循环移位后的系数V与元素A进行XOR运算；并以预定的顺序重新接线XOR运算的结果同时输出平方运算的结果。

Description

在有限域中实现平方运算的方法和装置

技术领域

本发明涉及在有限域中实现平方运算的方法和装置。

背景技术

一个有限域GF(2ⁿ)是包含2ⁿ个元素的数系统(number system)。有限域GF(2ⁿ)的每个元素都可用n比特表示，基于此，有限域的实际应用就能实现。实际应用中，例如纠错码的硬件实现以及密码系统的椭圆形曲线通常在GF(2ⁿ)中进行计算(perform calculations)。一种用于reed-solomon码的编码/解码装置在GF(2ⁿ)中完成计算，以及一种椭圆形曲线密码系统的编码/解码装置当n取大值时在GF(2ⁿ)中完成计算。

只包含二进制数0和1的GF(2)的加法和乘法规则由公式(1)定义。

0+0＝1+1＝0

0+1＝1+0-1                        ...(1)

0×0＝1×0＝0×1＝0

1×1＝1

其中，二元加法为按位异或(下文指XOR)运算，二元乘法为按位与(bitwiseAND)(下文指AND)运算。

既然有限域GF(2ⁿ)(n＞1)是包含2ⁿ个元素的数系统，加法和乘法相应于在GF(2)中一个不可约的具有系数的n次(n-degree)多项式的数学模。不可约的n次多项式指有限域的定义多项式(defining polynomial)。当定义多项式的一个根是a，那么有限域的一个元素可由公式(2)给出标准表示法。

a₀+a₁α+a₂α²+...+a_n-1α^n-1＝(a₀，a₁，a₂，...，a_n-1)，a_i∈GF(2)...(2)

有限域GF(2ⁿ)中两个元素的乘法通过a的多项式乘法然后再由定义多项式进行模运算给出。有限域GF(2ⁿ)中两个元素的加法通过a的多项式加法实现。

假设有限域GF(2ⁿ)的定义多项式由公式(3)所示，a是定义多项式的一个根。

$f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1...\left(3\right)$

其中n是任意自然数，0＜t，k_i＜n。

如果有限域的一个元素A表示为

A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，元素A的平方由a的多项式乘法再通过多项式f(a)进行模运算确定。

A²＝(a₀+a₁α+a₂α²+...+a_n-1α^n-1)²modf(α)

                                                  ...(4)

如上述公式(4)所示，实现平方运算的传统方法将说明如下。其中，硬件的规模，即门的数量，作为空间复杂性的一个度量。硬件的门延时作为时间复杂性一个度量。密码标准(cryptographic standards)，例如SEC和ANSIX9.26，定义了椭圆形曲线密码系统所必须的系数并推荐了的几种在有限域中的系数。这两种标准很广泛的应用于有限域中确定系数。因此，两种标准在确定各自技术的广泛适用性中被用为规范(criteria)。其中，n表示有限域的维数。

由H.Wu称为“Bit-parallel finite field multiolier and squarer usingpolonomial basis(IEEE Transactions on Computers，Vol.51，No.7，pp.750-758，2002)”的发明提出了当定义多项式为一个三项式xⁿ+x^k+1时，n和k值的平方结果的排列(arrangement)。因为Wu发明所采纳的公式经过优化，在空间和时间复杂性上能获得很高的效率。但是，它并没有涵盖定义多项式是一个五项式(pentanomial)的情况。

由C.H.Kim等人称为“A new hardware architecture for operationsin GF(2ⁿ)(IEEE Transactions on Computers，Vol.51，No.1，pp.90-92，2002)”的发明提出了当n+1是一个质数时，2∈Z_n+1为GF(2ⁿ)的一个本原元素，利用不规则原理(anomalous basis)，并且定义多项式为全一多项式(a11-onepolynomial(AOP))，平方可以通过重新接线(rewiring)而求得。但是，相关的n和定义多项式并没有在标准中发现。

由K.Aoki等人称为“Scheme for arithmetic operations in finitefield and group operations over elliptic curves realizing improvedcomputational speed(US Pat.Nos.6,266,688 and 6,202,076 2001)”的发明提出了当n为偶数并且有限域GF(2ⁿ)满足GF(2)＜GF(2^n/2)＜GF(2ⁿ)的条件时，有限域GF(2ⁿ)的数学运算可以利用有限域GF(2^n/2)的数学运算完成，并建议了一种利用此方案进行平方运算的设备。但是，表示有限域的方式不同于标准所述，导致很差的兼容性。此外，由于在标准中大部分“n”都是奇数，所以K.Aoki等人的发明很少应用。

由Lambert等人称为“Method and apparatus for implementingarithmetical operations in finite fields(EU Pat.No.1,076,284A1，2001)”的发明中利用一个循环的原则进行平方运算。循环原则为1，α^Δ，α^2Δ，α^3Δ，..，α^(m-1)Δ，其中Δ为2ⁿ-1的最小约数，满足m＝(2ⁿ-1)/Δ≥n，Δ≥n。在该情况下，平方运算通过重新接线完成。但是，此发明需要基底转换，由于满足上述条件的因素Δ相当大，所以很复杂。

由G.Orlando等人称为“Squaring architecture for GF(2ⁿ)and itsapplication in cryptographic systems(ElectronicsLetters，Vol.36，No.13，pp.1116-1117，2000)”的发明揭示了依据预定原理分拆(divide)元素并将分拆的元素放入乘法器的一种方法。平方结构包含了3.5n个门以及乘法器。因此，G.Orlando等人的发明要比使用大约n/2个门的H.Wu的发明效率更低一些。

由C.C.Wang等人称为“VLSI architectures for computingmultiplications and inverses in GF(2^m)(IEEE Transactions onComputers，Vil.C-34，N.o.8，pp.709-717，1985)”的发明利用了常规的基本原理以使平方运算通过重新接线实现。但是，发明所需的基底转换(basisconversion)非常复杂。

因此，就需要一种不需要复杂的基底转换并具有低的空间和时间复杂性的实现平方运算的方法和装置。

发明内容

本发明提供了一种在有限域中通过利用有限域的定义多项式确定对平方运算所必须的系数、对所确定的系数进行异或(下文指XOR)运算，并重新接线XOR运算的结果从而实现平方运算的方法和装置。

依据本发明的一个方面，当一个有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1$ 时，其中n为奇数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种由用于取平方的装置所执行的对元素A取平方的方法，该装置包括系数计算单元、XOR运算单元和重新接线单元，该方法包括：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n-1}{2}-\left[(j-1)\frac{n-k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是奇数时或者当k_i为偶数、j为奇数时，基于n、l_ij和k_j的、n位的v_ij如下：

或者，当k_i和j都是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{{\mathrm{im}}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array},\right.$

根据k_i和n确定系数s_i，并且以s_i循环移动系数V，其中由下面公式根据k_i和n来确定s_i

对经循环移动的系数V和元素A执行XOR运算；以及

以预定的次序重新接线XOR运算的结果并且输出所述取平方运算的结果，其中当XOR运算的结果C’表示为C’＝c’₀c’₁...c’_n-1并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时，所述预定的次序的含义为根据如下公式获得c_i

c_i＝c’_j(i≡2jmodn)，

其中，在所述系数计算单元中确定系数m_i，l_ij，V₀，V_ij和v以及确定s_i，在所述XOR运算单元中执行XOR运算，并且在所述重新接线单元中执行重新接线。

依照本发明的另一方面，当一个有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为奇数并且有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种计算元素A的平方的装置，所述装置包括：

系数计算单元，计算平方运算所必须的系数：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n-1}{2}-\left[(j-1)\frac{n-k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是奇数时或者当k_i为偶数并且j为奇数时，基于n、l_ij和k_j的、n位的V_ij如下：

或者，当k_i和j都是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{{\mathrm{im}}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array},\right.$

根据k_i和n确定系数s_i，并且以s_i循环移动系数V，其中由下面公式根据k_i和n来确定s_i

包括多个XOR门的XOR运算单元，依据系数计算的结果对输入的A完成XOR运算；和

重新接线单元，对XOR运算单元的输出以预定的顺序进行重新接线并输出平方运算的最终结果，其中以预定的顺序意为：当XOR运算的结果C表示为C’＝c’₀c’₁...c’_n-1并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时，依照下面的公式求得c_i

c_i＝c’_j(i≡2jmodn)。

依照本发明的另一方面，当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，一种由包括系数计算单元、XOR运算单元和重新接线单元的取平方装置执行的对元素A取平方的方法，该方法包括：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n}{2}-(j-1)\frac{n}{2}+\left[(j-1)\frac{k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是偶数时或者当k_i和j二者都为奇数时，基于n、l_ij和k_j的、n位的V_ij如下：

或者，当k_i是奇数而j是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{{\mathrm{im}}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array},\right.$

根据预定公式根据k_i和n确定系数s_i并且以s_i循环移动系数V，其中由下面关于k_i和n的公式来确定s_i

并且关于A的所述预定公式如下：

$a_0...a_{\frac{n}{2}-1}{a}_{\frac{n}{2}}...a_{n-1}\stackrel{\&OverBar;}{>>}s=\left\{\begin{array}{cc}{a}_{\frac{n}{2}-s}...a_{\frac{n}{2}-1}{a}_0...a_{\frac{n}{2}-s-1}{a}_{n-s}...a_{n-1}{a}_{\frac{n}{2}}...a_{n-s-1}& s\&le;\frac{n}{2}-1\\ a_{n-s-1}...a_{n-1}{a}_{\frac{n}{2}}...a_{n-s+\frac{n}{2}-2}{a}_{\frac{n}{2}-s+\frac{n}{2}}...a_{\frac{n}{2}-1}{a}_0...a_{\frac{n}{2}-s+\frac{n}{2}-1}& s\&GreaterEqual;\frac{n}{2}\end{array}\right.,$ 其中移位运算由

表示，

元素A由以下公式获得：

根据元素A，将循环移位后的系数V与元素A进行XOR运算；以及

以预定的顺序对XOR运算的结果进行重新接线并输出平方运算的结果，其中预定的顺序意为：当XOR运算的结果C’表示为C’＝c’₀c’₁...c’_n-1并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时，依照下面的公式求得c_i

$c_i=\left\{\begin{array}{cc}{c}_j^{,}& (i\&equiv;2j,j\&le;\frac{n}{2}-1)\\ c_j^{,}& (i=2j-n+1,j\&GreaterEqual;\frac{n}{2})\end{array}\right.,$

其中，在所述系数计算单元中确定系数m_l，l_ij，V₀，V_ij和v以及确定s_i，在所述XOR运算单元中获得元素A并且执行XOR运算，并且在所述重新接线单元中执行重新接线。

依照本发明的另一方面，当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种计算元素A的平方的装置，该装置包括：

系数计算单元，用于计算平方运算所必须的系数如下：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n}{2}-(j-1)\frac{n}{2}+\left[(j-1)\frac{k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是偶数时或者当k_i和j二者都为奇数时，基于n、l_ij和k_j的、n位的V_ij如下：

或者，当k_i是奇数而j是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{{\mathrm{im}}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array},\right.$

根据预定公式根据k_i和n确定系数s_i并且以s_i循环移动系数V，其中由下面关于k_i和n的公式来确定s_i

并且关于A的所述预定公式如下：

$a_0...a_{\frac{n}{2}-1}{a}_{\frac{n}{2}}...a_{n-1}\stackrel{\&OverBar;}{>>}s=\left\{\begin{array}{cc}{a}_{\frac{n}{2}-s}...a_{\frac{n}{2}-1}{a}_0...a_{\frac{n}{2}-s-1}{a}_{n-s}...a_{n-1}{a}_{\frac{n}{2}}...a_{n-s-1}& s\&le;\frac{n}{2}-1\\ a_{n-s-1}...a_{n-1}{a}_{\frac{n}{2}}...a_{n-s+\frac{n}{2}-2}{a}_{\frac{n}{2}-s+\frac{n}{2}}...a_{\frac{n}{2}-1}{a}_0...a_{\frac{n}{2}-s+\frac{n}{2}-1}& s\&GreaterEqual;\frac{n}{2}\end{array}\right.,$ 其中移位运算由

表示，

包括多个XOR门的XOR运算单元，依据如下公式得到A：

根据输入的元素A，将从所述系数计算单元接收的、循环移位运算的结果与元素A进行XOR运算；和

重新接线单元，用于当XOR运算的结果C表示为C’＝c’₀c’₁...c’_n-1并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时根据如下公式对XOR运算单元的输出C进行重新接线：

$c_i=\left\{\begin{array}{cc}{c}_j^{,}& (i\&equiv;2j,j\&le;\frac{n}{2}-1)\\ c_j^{,}& (i=2j-n+1,j\&GreaterEqual;\frac{n}{2})\end{array}\right.,$

并输出平方运算的最终结果。

附图说明

通过结合附图对本发明的优选实施方式进行详细描述，本发明的上述和其它特性和优点将变得更加清楚，附图中：

图1为依据本发明的第一个优选实施例在有限域中实现平方运算装置的方框图；

图2释义了利用利用多个异或门和重新接线装置(rewiring means)时公式(23)的结果实现；

图3释义了利用多个XOR门和重新接线装置时公式(27)的结果实现；

图4释义了降低图3的XOR门的数量后所获得的结果；

图5释义了依据本发明的第二个优选实施例在有限域中实现平方运算装置的方框图；

图6释义了利用多个XOR门和重新接线装置时公式(42)的结果实现；

图7为释义现有技术和本发明之间空间和时间复杂性相比较的表格；

图8为释义现有技术和本发明之间在由SEC标准定义的三个有限域中空间和时间复杂性相比较的表格；以及

图9为释义现有技术和本发明之间在对标准的适用性、基底转换以及问题上相比较的表格。

具体实施方式

下面参照附图，我们将对本发明的优选实施例进行更详细的描述。在附图中示意了本发明的优选实施例。

图1为依据本发明的第一个优选实施例在有限域GF(2ⁿ)中当n为奇数时完成平方运算装置的方框图。参照图1，装置中包括一个系数计算单元10，一个XOR运算单元12以及一个重新接线单元14。

系数计算单元10计算对定义多项式的平方运算所必须的系数。XOR运算单元12对从系数计算单元10输出的系数完成XOR运算。重新接线单元14重新接线XOR运算单元12的输出结果并输出平方运算的最终系数。

现对实现平方运算的运算装置作出更加详细的说明。

假设GF(2ⁿ)的定义多项式由公式(5)确定。

$f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1...\left(5\right)$

如果有限域的元素A表示为

A＝(a₀，a₁，a₂，...，a_n-1)∈GF(2ⁿ)，元素A的平方A²由公式(6)表示。

$A^2={(a_0+a_1\mathrm{\&alpha;}+a_2{\mathrm{\&alpha;}}^2+...+a_{n-1}{\mathrm{\&alpha;}}^{n-1})}^2\mathrm{mod}f\left(\mathrm{\&alpha;}\right)...\left(6\right)$

$=c_0{c}_1{c}_2...c_{n-1}=C$

平方A²直接为一个矢量C，它也属于GF(2ⁿ)。

在公式(5)中，xⁿ+1和

加起来为定义多项式f(x)，乘法器的空间和时间复杂度由n，t以及k_i确定。

为取得矢量C的分量所必须的系数m_i，l_ij，l，V₀，V_ij以及V定义如下。

如果k_i＝1，i＝1，2，...，t，系数m_i＝0。

如果k_i满足下面的公式(7)

$\frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r}...\left(7\right)$

其中r≥2是一个整数，即可确定系数m_i＝r。当m_i不为0，系数

l_ij(i＝1，2，...，t，j＝2，3，...，m_i)由公式(8)确定。

$l_{\mathrm{ij}}=\frac{n-1}{2}-\left[(j-1)\frac{n-k_i}{2}\right]...\left(8\right)$

如果k_i为偶数，系数1由公式(9)确定。

l＝max{l_i2|k_i：偶}           ...(9)

如果k_i不是偶数，系数1＝0。

系数V₀由公式(10)确定

当m_i≠0时系数V_ij如下确定。当k_i是奇数时以及当k_i为偶数、j为奇数时，系数V_ij都由公式(11)确定。

当k_i和j都是偶数时，系数V_ij由公式(12)确定。

系数计算单元10通过公式(13)从已获得的系数求得系数V_i和V

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;...\&CirclePlus;V_{{\mathrm{im}}_i}$

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i...\left(13\right)$

接下来，依赖于系数k_i(i＝1，2，...，t)的系数s_i由公式(14)确定。

为从公式(14)已求得的各自s₁到s_t对系数V进行循环移位运算，XOR运算对循环移位的结果进行，并与元素A再进行一次XOR运算。XOR的运算结果C可以由公式(15)表示为

$C^{,}=A\&CirclePlus;(V>>s_1)\&CirclePlus;...\&CirclePlus;(V>>s_t)...\left(15\right)$

由公式(15)获得的结果C’表示对元素A的一次XOR运算规则。XOR运算单元12依据公式(15)实现XOR运算。

如果由公式(15)获得的结果C’表示为C’＝c’₀c_i...c’_n-1，平方A²＝c₀c₁...c_n-1c_i中的c_i通过公式(16)从结果C’中获得。

c_i＝c’_j(i≡2jmodn)        ...(16)

重新接线单元14依据公式(16)对由公式(15)已获得的结果进行重新接线并输出平方运算的最终结果。

按照上面所构造的装置的空间和时间的复杂度计算如下。依据本发明第一个优选实施例的装置只实现XOR运算。XOR下运算的时间数由公式(17)给出。

因为第三步只需要重新接线运算，所以在第三步中没有XOR运算产生。尤其是，当t＝1时，即当定义多项式为三项式时，如果k₁满足公式(18)，

$1<k_1\&le;\frac{n+1}{2}...\left(18\right)$

那么XOR的运算数由公式(19)求出。

很难精确的说明装置的时间复杂度。因此，时间复杂性中最坏的情况能够作出解释。由于依照本发明的第一个优选实施例的平方装置只利用了XOR门，门延时可作为时间复杂度的一个衡量。由XOR门引起的最大时延由公式(20)确定。

特别是，当t＝1时并且k_i满足公式(18)，XOR的门延时由公式(21)表示。

现将第一个优选实施例中当n＝11时系数和复杂度的计算结果进行说明。当定义多项式表示为x¹¹+x²+1，t＝1，k₁＝2。从n，t以及k_i平方运算所必须的系数确定如下。依据公式(7)到(11)，m₁＝2，l₁₂＝1，l＝1，V₀＝a₆a₇a₈a₉a₁₀000000以及V₁₂＝00000a₁₀00000。利用系数m₁，l₁₂，l，V₀和V₁₂，V₁＝00000a₁₀00000和v＝a₆a₇a₈a₉a₁₀a₁₀000000可以依据公式(13)求得。

系数s₁依据公式(14)确定为s₁＝7。依照公式(15)，矢量C由公式(22)确定。

$C^{,}=A(V>>7)$

$=A\&CirclePlus;a_{10}{a}_{10}00000a_6{a}_7{a}_8{a}_9...\left(22\right)$

$=(a_0\&CirclePlus;a_{10})(a_1\&CirclePlus;a_{10})a_2{a}_3{a}_4{a}_5{a}_6(a_7\&CirclePlus;a_6)(a_8\&CirclePlus;a_7)(a_9\&CirclePlus;a_8)(a_{10}\&CirclePlus;a_9)$

如果关于C’的重新接线运算依据公式(14)实现，平方A²＝c₀c₁c₂...c₉c₁₀由公式(23)求得。

$A^2=(a_0\&CirclePlus;a_{10})a_6(a_1\&CirclePlus;a_{10})(a_7\&CirclePlus;a_6)a_2(a_8\&CirclePlus;a_7)a_3(a_9\&CirclePlus;a_8)a_4(a_{10}\&CirclePlus;a_9)a_5...\left(23\right)$

图2释义了利用多个XOR门21和一个重新接线装置22时所获得的公式(23)的结果实现；

参照图2，平方装置包括六个XOR门构成了空间复杂性，同时有一个门延时构成了时间复杂性。

现在将说明在定义多项式为x¹¹+x⁴+x²+x+1的情况下的另一个例子。依照定义多项式，t＝3，k₁＝1，k₂＝2，k₃＝4。

从t，k₁，k₂以及k₃所取得的系数由公式(24)表示。

m₁＝0，m₂＝m₃＝2

l₂₂＝1，l₃₂＝2

l＝2                        ...(24)

v＝a₆a₇a₈a₉a₁₀000000

V₂₂＝00000a₁₀00000，V₃₂＝00000a₉a₁₀0000

从公式(24)的系数中，可获得V₂＝00000a₁₀00000以及V₃＝00000a₉a₁₀0000。系数V由公式(25)确定。

$V=a_6{a}_7{a}_8{a}_9(a_{10}\&CirclePlus;a_9)a_{10}00000...\left(25\right)$

依据公式(14)，s₁＝1，s₂＝7，s₃＝8可确定，因此矢量C’由公式(26)确定。

$C^{,}=A\&CirclePlus;(V>>1)\&CirclePlus;(V>>7)\&CirclePlus;(V>>8)$

$=(a_0\&CirclePlus;a_9\&CirclePlus;a_{10})(a_1\&CirclePlus;a_6\&CirclePlus;a_{10}\&CirclePlus;a_9\&CirclePlus;a_{10})(a_2\&CirclePlus;a_7\&CirclePlus;a_9\&CirclePlus;a_{10}\&CirclePlus;a_{10})...\left(26\right)$

$(a_3\&CirclePlus;a_8\&CirclePlus;a_{10})(a_4\&CirclePlus;a_9)(a_5\&CirclePlus;a_{10})(a_6\&CirclePlus;a_9\&CirclePlus;a_{10})(a_7\&CirclePlus;a_6\&CirclePlus;a_{10})$

$(a_8\&CirclePlus;a_6\&CirclePlus;a_7)(a_9\&CirclePlus;a_7\&CirclePlus;a_8)(a_{10}\&CirclePlus;a_8\&CirclePlus;a_9)$

如果重新接线依据公式(16)进行，矢量C由公式(27)求得。

$A^2=(a_0\&CirclePlus;a_9\&CirclePlus;a_{10})(a_6\&CirclePlus;a_9\&CirclePlus;a_{10})(a_1\&CirclePlus;a_6\&CirclePlus;a_{10}\&CirclePlus;a_9\&CirclePlus;a_{10})(a_7\&CirclePlus;a_6\&CirclePlus;a_{10})$

$(a_2\&CirclePlus;a_7\&CirclePlus;a_9\&CirclePlus;a_{10}\&CirclePlus;a_{10})(a_8\&CirclePlus;a_6\&CirclePlus;a_7)(a_3\&CirclePlus;a_8\&CirclePlus;a_{10})(a_9\&CirclePlus;a_7\&CirclePlus;a_8)...\left(27\right)$

$(a_4\&CirclePlus;a_9)(a_{10}\&CirclePlus;a_8\&CirclePlus;a_9)(a_5\&CirclePlus;a_{10})$

图3释义了利用多个XOR门31和一个重新接线装置32时公式(27)的结果实现。图4释义了在减小XOR门41的数量后所获得的结果。举例来说，在相应于公式(27)的矢量C的c₂即

中因为 $a_{10}\&CirclePlus;a_{10}=0,$ 所以只有

需要计算。因此，XOR门的数量能够降低。另一个例子中，当 $c_3=a_8\&CirclePlus;a_6\&CirclePlus;a_7$ 时，如果在于 $c_3=a_7\&CirclePlus;a_6\&CirclePlus;a_{10}$ 中

同样也存被重用，那么用于计算c₅的XOR门的数量可以进一步的降低。图4释义了以上述方式减少XOR门41的数量后所获得的结果。

图5为依据本发明的第二个优选实施例在有限域GF(2ⁿ)中当n为偶数时实现平方运算装置的方框图。依据本发明的第二个优选实施例的装置包括一个系数计算单元50、一个XOR运算单元52以及一个重新接线单元54。

系数计算单元50利用定义多项式计算平方运算所必须的系数。XOR运算单元52对从系数计算单元50输出的系数完成XOR运算；重新接线单元54对XOR运算单元52的输出进行重新接线并输出平方运算的最终结果。

现将第二个优选实施例的运算装置进行更详细的说明。

如果当n为偶数时GF(2ⁿ)的定义多项式由公式(5)定义，同理当n为奇数时亦如此，当有限域所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，元素A的平方A²可以由公式(6)表示。公式(6)中平方运算的结果C也包含在GF(2ⁿ)中。

为获得矢量C的分量所必须的系数m_i，l_ij，V₀，V_ij以及V定义如下。

如果k_i＝1，i＝1，2，...，t，那么设定系数m_i＝1。

如果k_i满足公式(28)

$\frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r}...\left(28\right)$

其中整数r≥2，系数m_i可确定为r。当m_i≠1(i＝1，2，..t)，系数l_ij(j＝2，3，...，m_i)由公式(29)确定。

$l_{\mathrm{ij}}=\frac{n}{2}-(j-1)\frac{n}{2}+\left[(j-1)\frac{k_i}{2}\right]...\left(29\right)$

系数V₀由公式(30)确定。

当m_i≠1(i＝1，2，...，t)时并且k_i为偶数，或者当m_i≠1并且k_i和j都为奇数时，那么系数V_ij(j＝2，3，..，m_i)由公式(31)确定。

另一方面，当m_i≠1、k_i为奇数、并且j为偶数时，那么系数V_ij由公式(32)确定。

系数计算单元50输出的由公式(33)表示的最终计算结果，当m_i≠1时从系数m_i，V₀以及V_ij中求得。

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;...\&CirclePlus;V_{{\mathrm{im}}_i}$

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i...\left(33\right)$

依赖于k_i(i＝1，2，...，t)的系数s_i通过公式(34)确定。

接下来，元素A由公式(35)确定。

标记为

的移位运算由公式(36)表示。

$a_0...a_{\frac{n}{2}-1}{a}_{\frac{n}{2}}...a_{n-1}\stackrel{\&OverBar;}{>>}s=\left\{\begin{array}{cc}{a}_{\frac{n}{2}-s}...a_{\frac{n}{2}-1}{a}_0...a_{\frac{n}{2}-s-1}{a}_{n-s}...a_{n-1}{a}_{\frac{n}{2}}...a_{n-s-1}& s\&le;\frac{n}{2}-1\\ a_{n-s-1}...a_{n-1}{a}_{\frac{n}{2}}...a_{n-s+\frac{n}{2}-2}{a}_{\frac{n}{2}-s+\frac{n}{2}}...a_{\frac{n}{2}-1}{a}_0...a_{\frac{n}{2}-s+\frac{n}{2}-1}& s\&GreaterEqual;\frac{n}{2}\end{array}\right....\left(36\right)$

依据公式(36)关于从公式(34)求得的s₁到s_t对系数V完成移位运算，并对移位运算的结果进行XOR运算，并与公式(35)的元素A再进行一次XOR运算。XOR的运算结果C可以由公式(37)表示为

$C^{,}=\stackrel{\&OverBar;}{A}\&CirclePlus;\left(V\stackrel{\&OverBar;}{>>}{s}_1\right)\&CirclePlus;...\&CirclePlus;\left(V\stackrel{\&OverBar;}{>>}{s}_t\right)...\left(37\right)$

由公式(37)获得的结果C’表示关于元素A的一次XOR运算规则。XOR运算单元82依据公式(37)实现XOR运算。

如果由公式(37)求得的结果C’表示为C’＝c’₀c’₁...c’_n-1；A²＝c₀c₁...c_n-1中的c_i依据公式(38)从结果C’中获得。

$c_i=\left\{\begin{array}{cc}{c}_j^{,}& (i\&equiv;2j,j\&le;\frac{n}{2}-1)\\ c_j^{,}& (i=2j-n+1,j\&GreaterEqual;\frac{n}{2})\end{array}\right....\left(38\right)$

重新接线单元54依据公式(38)对由公式(37)已获得的结果进行重新接线，并输出平方运算的最终结果。

下面将说明在定义多项式为x¹⁰+x⁴+x³+x+1的情况下的一个例子。依照定义多项式，t＝3，k₁＝1，k₂＝3，k₃＝4。

从t，k₁，k₂以及k₃所获得的系数由公式(39)表示。

m₁＝1，m₂＝m₃＝2

l₂₂＝1，l₃₂＝2                   ...(39)

V＝a₅a₆a₇a₈a₉00000

V₂₂＝00000a₉0000，V₃₂＝a₈a₉00000000

依据公式(33)，V₂、V₃以及V由公式(40)表示。

V₂＝00000a₉00000，V₃＝a₈a₉00000000

$V=(a_5\&CirclePlus;a_8)(a_6\&CirclePlus;a_9)a_7{a}_8{a}_9{a}_{9}0000...\left(40\right)$

依据公式(34)，可确定s₁＝5，s₂＝6，s₃＝2，由公式35到37，矢量C’可由公式(41)所示。

$C^{,}=\stackrel{\&OverBar;}{A}\&CirclePlus;\left(V\stackrel{\&OverBar;}{>>}5\right)\&CirclePlus;\left(V\stackrel{\&OverBar;}{>>}6\right)\&CirclePlus;\left(V\stackrel{\&OverBar;}{>>}2\right)$

$=(a_0\&CirclePlus;a_5\&CirclePlus;a_8)(a_1\&CirclePlus;a_6\&CirclePlus;a_9\&CirclePlus;a_9)(a_2\&CirclePlus;a_7\&CirclePlus;a_9\&CirclePlus;a_5\&CirclePlus;a_8)(a_3\&CirclePlus;a_8\&CirclePlus;a_6\&CirclePlus;a_9)$

$(a_4\&CirclePlus;a_9\&CirclePlus;a_7)(a_5\&CirclePlus;a_8\&CirclePlus;a_9)(a_6\&CirclePlus;a_9\&CirclePlus;a_5\&CirclePlus;a_8)(a_7\&CirclePlus;a_6\&CirclePlus;a_9\&CirclePlus;a_9)$

$(a_8\&CirclePlus;a_7)(a_9\&CirclePlus;a_8)...\left(41\right)$

如果由公式(41)求得的结果C’经重新接线后，那么平方运算的结果可由公式(42)求得。

$A^2=(a_0\&CirclePlus;a_5\&CirclePlus;a_8)(a_5\&CirclePlus;a_8\&CirclePlus;a_9)(a_1\&CirclePlus;a_6\&CirclePlus;a_9\&CirclePlus;a_9)({\&CirclePlus;a}_6\&CirclePlus;a_9\&CirclePlus;a_5\&CirclePlus;a_8)$

$(a_2\&CirclePlus;a_7\&CirclePlus;a_9\&CirclePlus;a_5\&CirclePlus;a_8)(a_7\&CirclePlus;a_6\&CirclePlus;a_9\&CirclePlus;a_9)(a_3\&CirclePlus;a_8\&CirclePlus;a_6\&CirclePlus;a_9)(a_8\&CirclePlus;a_7)...\left(42\right)$

$(a_4\&CirclePlus;a_9\&CirclePlus;a_7)(a_9\&CirclePlus;a_8)$

图6释义了利用多个XOR门61和一个重新接线装置62时公式(42)的结果实现。参照图6，平方运算装置包括构成空间复杂性的25个XOR门，以及构成时间复杂性的4个XOR门时延。

图7到图9说明了现有技术和本发明之间的比较表格。参照图7，本发明考虑了在空间和时间复杂性方面当定义多项式为三项式即为xⁿ+x^k+1的情况。图8为释义现有技术和本发明之间在由SEC标准定义的三个有限域中空间和时间复杂性相比较的表格。假定了平方装置的输入符合标准表达式。图9为释义现有技术和本发明之间在对标准的适用性、基底转换以及问题上相比较的表格。假定平方装置(squaring apparatus)的输入具有标准表达式。

参照表格，在空间和时间复杂性方面，本发明的实施例按照各种情况较现有技术更优越、相近或劣于的地方。但是，C.H.Kim等人的发明利用在标准中未发现的维数和定义多项式，这导致很差的兼容性。Lambert等人的发明以及C.C.Wang等人的发明需要复杂的基底转换。总体来说，基底转换需要大约n²个门以及大约log₂n的门延时。如果没有有效的基底转换方法，那么传统的发明就会比本发明缺少效率。H.Wu的发明局限于将三项式作为定义多项式，因此在应用上受到限制。

即使在n为偶数时，本发明的实施例能够应用于给定标准中的任何情况，因此获得广泛的适用性。

如上所述，由于依据本发明的平方装置适用于标准中的大多情况，因此有较强的适用性以及高效的空间和时间复杂度。另外，平方运算装置不需要基底转换。除此之外，因为平方装置当三项式以及一个五项式可以作为定义多项式，所以本发明在对标准各种情况的适用性方面较现有技术更优越。

尽管参照本发明的特定优选实施例对本发明进行了上述图示和描述，但本领域普通技术人员应当理解，在不脱离由所附权利要求书所限定的本发明的精神和范围的情况下，可以对本发明进行形式和细节上的各种修改。

Claims (4)

1、当一个有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{i}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为奇数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，.a_n-1，)∈GF(2ⁿ)时，一种由用于取平方的装置所执行的对元素A取平方的方法，该装置包括系数计算单元、XOR运算单元和重新接线单元，该方法包括：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n-1}{2}-\left[(j-1)\frac{n-k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是奇数时或者当k_i为偶数、j为奇数时，基于n、l_ij和k_j的、n位的V_ij如下：

或者，当k_i和j都是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{i{m}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array}\right.,$

根据k_i和n确定系数s_i，并且以s_i循环移动系数V，其中由下面公式根据k_i和n来确定s_i

对经循环移动的系数V和元素A执行XOR运算；以及

以预定的次序重新接线XOR运算的结果并且输出所述取平方运算的结果，其中当XOR运算的结果C’表示为C’＝c₀’c₁ ’...c_n-1’并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时，所述预定的次序的含义为根据如下公式获得c_i

c_i＝c_j’(i≡2j mod n)，

其中，在所述系数计算单元中确定系数m_i，l_ij，V₀，V_ij和V以及确定s_i，在所述XOR运算单元中执行XOR运算，并且在所述重新接线单元中执行重新接线。

2、当一个有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{i}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为奇数并且有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种计算元素A的平方的装置，所述装置包括：

系数计算单元，计算平方运算所必须的系数：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j ≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n-1}{2}-\left[(j-1)\frac{n-k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是奇数时或者当k_i为偶数并且j为奇数时，基于n、l_ij和k_j的、n位的V_ij如下：

或者，当k_i和j都是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{i{m}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array}\right.,$

根据k_i和n确定系数s_i并且以s_i循环移动系数V，其中由下面公式根据k_i和n来确定s_i

包括多个XOR门的XOR运算单元，依据系数计算的结果对输入的A完成XOR运算；和

重新接线单元，对XOR运算单元的输出以预定的顺序进行重新接线并输出平方运算的最终结果，其中以预定的顺序意为：当XOR运算的结果C表示为C’＝c₀’c₁’...c_n-1’并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时，依照下面的公式求得c_i

c_i＝c_j’(i≡2jmodn)。

3、当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{i}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，一种由包括系数计算单元、XOR运算单元和重新接线单元的取平方装置执行的对元素A取平方的方法，该方法包括：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n}{2}-(j-1)\frac{n}{2}+\left[(j-1)\frac{k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是偶数时或者当k_i和j二者都为奇数时，基于n、l_ij和k_j的、n位的V_ij如下：

或者，当k_i是奇数而j是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{i{m}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array}\right.,$

根据预定公式根据k_i和n确定系数s_i并且以s_i循环移动系数V，其中由下面关于k_i和n的公式来确定s_i

并且关于A的所述预定公式如下：

$a_0\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-1}{a}_{\frac{n}{2}}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-1}\stackrel{\&OverBar;}{>>}s=\left\{\begin{array}{cc}{a}_{\frac{n}{2}-s}\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-1}{a}_0\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-s-1}{a}_{n-s}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-1}{a}_{\frac{n}{2}}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-s-1}& s\&le;\frac{n}{2}-1\\ a_{n-s-1}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-1}{a}_{\frac{n}{2}}{\&CenterDot;\&CenterDot;\&CenterDot;a}_{n-s+\frac{n}{2}-2}{a}_{\frac{n}{2}-s+\frac{n}{2}}\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-1}{a}_0\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-s+\frac{n}{2}-1}& s\&GreaterEqual;\frac{n}{2}\end{array}\right.,$ 其中移位运算由

＞＞表示，

元素A由以下公式获得：

根据元素A，将循环移位后的系数V与元素A进行XOR运算；以及

以预定的顺序对XOR运算的结果进行重新接线并输出平方运算的结果，其中预定的顺序意为：当XOR运算的结果C’表示为C’＝c₀’c₁’...c_n-1’并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时，依照下面的公式求得c_i

$c_i=\left\{\begin{array}{cc}{c}_j^{,}& (i\&equiv;2j,j\&le;\frac{n}{2}-1)\\ c_j^{,}& (i=2j-n+1,j\&GreaterEqual;\frac{n}{2})\end{array}\right.,$

其中，在所述系数计算单元中确定系数m_i，l_ij，V₀，V_ij和V以及确定s_i，在所述XOR运算单元中获得元素A并且执行XOR运算，并且在所述重新接线单元中执行重新接线。

4、当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{i}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种计算元素A的平方的装置，该装置包括：

系数计算单元，用于计算平方运算所必须的系数如下：

当1≤i≤t并且i是自然数时，满足下面关于k_i的公式确定系数m_i：

$\left(\begin{array}{cc}{m}_i=0& k_i=1\\ m_i=r& \frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r},r\&GreaterEqual;2\end{array}\right.,$

当2≤j≤m_i时，l_ij由下面的、基于n，k_j以及j的公式确定：

$l_{\mathrm{ij}}=\frac{n}{2}-(j-1)\frac{n}{2}+\left[(j-1)\frac{k_i}{2}\right],$

V₀由下面的公式确定：

当k_i是偶数时或者当k_i和j二者都为奇数时，基于n、l_ij和k_j的、n位的V_ij如下：

或者，当k_i是奇数而j是偶数时：

并且V根据关于m_i的如下公式；

$\left\{\begin{array}{c}{V}_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{i{m}_i}\\ V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\end{array}\right.,$

根据预定公式根据k_i和n确定系数s_i并且以s_i循环移动系数V，其中由下面关于k_i和n的公式来确定s_i

并且关于A的所述预定公式如下：

$a_0\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-1}{a}_{\frac{n}{2}}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-1}\stackrel{\&OverBar;}{>>}s=\left\{\begin{array}{cc}{a}_{\frac{n}{2}-s}\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-1}{a}_0\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-s-1}{a}_{n-s}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-1}{a}_{\frac{n}{2}}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-s-1}& s\&le;\frac{n}{2}-1\\ a_{n-s-1}\&CenterDot;\&CenterDot;\&CenterDot;a_{n-1}{a}_{\frac{n}{2}}{\&CenterDot;\&CenterDot;\&CenterDot;a}_{n-s+\frac{n}{2}-2}{a}_{\frac{n}{2}-s+\frac{n}{2}}\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-1}{a}_0\&CenterDot;\&CenterDot;\&CenterDot;a_{\frac{n}{2}-s+\frac{n}{2}-1}& s\&GreaterEqual;\frac{n}{2}\end{array}\right.,$ 其中移位运算由

＞＞表示，

包括多个XOR门的XOR运算单元，依据如下公式得到A：

根据输入的元素A，将从所述系数计算单元接收的、循环移位运算的结果与元素A进行XOR运算；和

重新接线单元，用于当XOR运算的结果C’表示为C’＝c₀’c₁’...c_n-1’并且元素A的平方A²表示为A²＝c₀c₁...c_n-1时根据如下公式对XOR运算单元的输出C’进行重新接线：

$c_i=\left\{\begin{array}{cc}{c}_j^{,}& (i\&equiv;2j,j\&le;\frac{n}{2}-1)\\ c_j^{,}& (i=2j-n+1,j\&GreaterEqual;\frac{n}{2})\end{array}\right.,$

并输出平方运算的最终结果。

Images