CN100470464C - 基于改进的蒙哥马利算法的模乘器 - Google Patents

Abstract

本发明属于计算机加/解密技术领域，其特征在于：该模乘器用了两个7级流水的64位乘法器来分解操作数以提高系统的时钟频率，用预计算单元把在外部状态机控制下提前输入的数据分期送入乘法器，所属分期是按照计算操作数中前一位值的那个阶段中存在的三个等待计算结果的时钟周期来划分的。从i＝0时计算第一阶段开始，重复上述步骤，直到操作数中个位数全部模乘结束为止。从而解决了流水线停顿的问题，提高了系统的并行性，减少了所需的时钟数。所述模乘器位长233位，基于SMIC 0.18um最坏的工艺，关键路径最大时延3.8ns，面积2mm²，一次模乘需要110个时钟周期。与现有其它结构相比，具有面积小速度快的特点，适用于ECC密码体制和RSA密码体制。

Description

基于改进的蒙哥马利算法的模乘器

技术领域

迅速发展的电子商务、保密通讯等应用对开放网路上的信息安全提出了更高的要求，于是RSA、ECC的等公开密钥密码体制，被广泛用于密钥传递和数字签名。RSA和素数域ECC的核心操作都是模幂乘运算，而且为了保证一定程度的安全性，RSA模数和指数的位长需要达到1024位以上，ECC模数和指数的位长也需要达到233位以上。但是这种规模的大数模乘运算用软件实现效率是很低的，会占用大量的系统资源，因此各种大数模幂乘的硬件应运而生。本设计中的模乘器VLSI结构正是属于此类的加/解密技术领域。

背景技术

应用最广泛的模乘法算法是蒙哥马利算法，它的核心思想是将通常的取模运算中的比较和减法转化为乘法和加法。

1.Montgomery原始算法

  Montgomery算法表示为：

  Mon_pro(A，B)＝ABR^-1mod N，其具体算法是：

  Function Mon_pro(A，B)：

      T←A*B

      u←-T*N^-1(mod R)

      x←(T+u*N)/R

      If x≥N return x←x-N

      Else return x

其中N为模数，R与N互质R＝2ⁿ，n是N的位数。N^-1和R^-1分别满足NN^-1mod R＝1和RR^-1mod N＝1。值得注意的是N^-1和R^-1是事先预计算得到的，只有更新模数的时候才需要计算一次；另外由于R＝2ⁿ，模R或除R的操作就分别为取低位和取高位的简单操作。

由此可见Montgomey算法对A、B的积T取模时只用了2次普通的乘法操作。而一般的比较相减的取模方法需要n次减法。而且出于安全的需要n通常很大，本设计中n＝233，这样Montgomery算法大大降低了运算的次数也就降低了运算所需的时钟数。

另外一个问题是原始的Montgomery算法中包含的乘法和加法运算全部是大数运算，VLSI实现时硬件的代价很大，而且由于进位链太长，关键路径延时很大，制约了系统的时钟频率。脉动阵列结构是解决长进位链问题的策略之一，但该类策略的缺点在于计算周期多且VLSI实现面积大而下文所述的改进算法通过将可以有效的解决这个问题。

2.Montgomery改进算法

本设计采用的Montgomery改进算法具体计算步骤如下：

n位的2进制A也可以理解为s位的r进制数，即A＝(a_s-1a_s-2…a₁a₀)，其中a_i为r进制数，同理B也可以理解为s位的r进制数，即B＝(b_s-1b_s-2…b₁b₀)，其中b_i为r进制数、N也可以理解为s位的r进制数，即N＝(n_s-1n_s-2…n₁n₀)，其中n_i为r进制数。n′₀为只与N有关常数且满足 $n_0{n}_0^{\′}\mathrm{mod}r=1$ 。

算法分为3个步骤：

第一步：计算中间结果m_i

1 for i＝0 to s-1

1.1   for j＝0 to i-1

            S:＝S+a_jb_i-j+m_jn_i-j，

1.2   m_i :＝ Sn’₀mod r，

1.3   S  :＝ S+m_in₀，

1.4   S  :＝ S/r，

第二步：计算最终结果存于m_i

2 for i＝s to 2s-1

2.1 for j＝i-s+1 to s-1

           S:＝S+a_jb_i-j+m_jn_i-j，

2.2 m_i-s:＝S mod r，

2.3 S:＝S/r，

第三步：调整结果到区间[0，N]

令M＝(m_s-1m_s-2…m₁m₀)，若M≥N则输出M-N，否则输出M

可以看出，改进的算法中，位数很长的大数被分解为相对较小的数来分别进行计算，改善了由大数的加法和乘法进位链过长的问题。本设计综合考虑了时钟频率和所需的总时钟数两方面的因素后，S定为4，相应的r＝2⁶⁴。

发明内容

本发明的目的在于提供一种时间周期少、流水线连续、速度快、面积小的基于改进的Montgomery算法的模乘器。

本发明特征在于，该模乘器是一种在外部状态机的控制下对输入数据按改进的Montgomery算法操作的，位长233位的模乘器，该算法把位长很长的大数分解为相对较小的数来分别进行计算，即

把n位2进制的被乘数A视为s位的r进制数，表示为：A＝a_s-1a_s-2…a₁a₀，a_i为r进制数，

把n位2进制的乘数B视为s位的r进制数，表示为：B＝b_s-1b_s-2…b₁b₀，b_i为r进制数，

把n位2进制的模N视为s位的r进制数，表示为：N＝n_s-1n_s-2…n₁n₀，n_i为r进制数，

其中s＝4，r＝2⁶⁴，i＝0，1，2，3，

所述基于改进的Montgomery算法的模乘器含有：输入单元、中间单元、预计算单元、输出单元和一个多路选择器，其中：

输入单元，含有：

第一采用7级流水的64位乘法器，输入数据为a和b；

第二采用7级流水的64位乘法器，输入数据为n和中间结果m；

第一128位寄存器，该寄存器的输入端与所述的第一采用7级流水的64位乘法器的输出端相连；

第二128位寄存器，该寄存器的输入端与所述的第二采用7级流水的64位乘法器的输出端相连；

中间单元，含有：

一个128位加法器，该加法器的两个输入端分别与所述第一128位寄存器和第二128位寄存器的输出端相连；

一个129位寄存器，该寄存器的输入端与所述128位加法器的输出端相连；

预计算单元，含有：

133位加法器I、133位加法器II、133位加法器III，所述各133位加法器的一个输入端分别和所述129位寄存器的输出端相连；

133位寄存器I、133位寄存器II、133位寄存器III，所述各133位寄存器的输入端分别依次与所对应133位加法器的输出端相连，所述各133位寄存器的输出端分别依次与所述个133位加法器的另一个输入端相连，

多路选择器，该选择器的各输入端分别同时与所述各133位寄存器的输出端相连；

输出单元，含有：

一个133位加法器IV，该加法器IV的两个输入端分别于所述多路选择器、129位寄存器的输出端相连；

一个133位寄存器IV，该寄存器IV的输入端与所述133位加法器IV的输出端相连，该寄存器的输出端在输出数据的同时又与所述第二采用7级流水的64位乘法器的输入中间结果m用的输入端相连；

在外部状态机的控制下，在i＝0的循环内，所述第一采用7级流水的64位乘法器被依次按以下步骤输入数据：

在第一次等待计算结果S＝a₀b₀的时钟周期内，被提前输入i＝1时循环内用的与前一级运算结果无关的包括a₀、b₁、a₁、b₀在内的数据，产生相应的部分积a₀b₁、a₁b₀，在外部状态机的控制下送入所述预计算单元累加并寄存在寄存器I中；

在第二次等待计算结果m₁＝sn’₀时钟周期内，被提前输入i＝2时的循环内的数据a₀、b₂、a₁、b₁、a₂、b₀，产生相应的部分积a₀b₂、a₁b₁、a₂b₀，在外部状态机的控制下送入预计算单元累加并寄存在寄存器II中，n’₀为只与N有关常数且满足 $n_0{n}_0^{\′}\mathrm{mod}r=1$ ；

在第三次等待计算结果m₁n₀时钟周期内，被提前输入i＝3时的循环内的数据a₀、b₃、a₁、b₂、a₂、b₁、a₃、b₀，产生相应的部分积a₀b₃、a₁b₂、a₂b₁、a₃b₀，在外部状态机的控制下送入预计算单元累加并寄存在寄存器III中；

在所述外部状态机的控制下，在i＝1、i＝2、i＝3的循环内，同样按i＝0循环内所属的步骤依次进行；

所述的129位寄存器和多路选择器，按照i＝0，1，2，3各个不同的循环周期，把所寄存的各相应数据送往所述133位加法器IV累加后送往所述133位寄存器IV寄存，该寄存器IV把中间结果m送往第二采用7级流水的64位加法器，直到所有各循环结束，输出最终运算结果，

以上所述的基于改进的Montgomery模乘器是在数字集成电路上实现的。

本设计用Verilog进行行为级、RTL级编码和功能仿真，验证系统功能的正确性。基于SMIC 0.18微米工艺库完成逻辑综合(DC)，并提取门延时信息，进行门级仿真验证，确保功能正确性和时序上的准确性。最终，本模乘器关键路径时延约3.8ns，考虑到布局布线阶段可能引入的连线延时和I/O pin等因素，整个芯片时钟典型频率可以达到200MHz，面积约2mm²，完成一次模乘需要108个时钟周期。

附图说明

图1.本发明所述模乘器的电路框图。

具体实施方式

本设计的模乘器电路结构如图1所示，是用ASIC芯片实现的。

整个数据通路由输入单元、中间单元、预计算单元、输出单元和多路选择器五个单元构成。输入单元包括a、b、n三个输入端口和两个64位乘法器；中间单元包括一个128位的加法器和一个129位寄存器；预计算单元由加法器I、加法器II、加法器III和寄存器I、寄存器II、寄存器III构成；输出单元由加法器IV和寄存器IV构成。

本设计的一个特点在于：尽管模乘器的操作数已经被分解为位长相对较短的64位数，但64位的乘法器的时延还是比较大的，在0.18um的工艺下仍达到20ns以上，限制了系统的时钟频率。因此本设计采用了7级流水线结构的乘法器以缩短其关键路径的时延到4ns以内。本设计的另一个特点是具有独特的预计算单元：虽然流水线结构可以提高系统的时钟频率，但是Montgomery算法本身的特点会造成流水线的停顿，导致效率系统下降，实际的运算速度变慢。根据这个问题，我们提出了预计算单元，在相关数据未就绪导致流水线停顿时提前计算其他数据，提高了流水线乘法器的利用率，使问题得到有效地缓解。

现在我们具体分析一下上述数据通路在执行2.4中Montgomery算法时，流水线停顿是怎么发生的，预计算单元又是如何解决该问题的：

以第一步为例，i＝0时，我们需要产生部分积a₀b₀、m₀n₀并累加；i＝1时，我们需要产生部分积a₀b₁、m₀n₁、a₁b₀、m₁n₀并累加；i＝2时，我们需要产生部分积a₀b₂、m₀n₂、a₁b₁、m₁n₁、a₂b₀、m₂n₀并累加；i＝3时，我们需要产生部分积a₀b₃、m₀n₃、a₁b₂、m₁n₂、a₂b₁、m₂n₁、a₃b₀、m₃n₀并累加。

其中a_i、b_i、n_i都是输入数据，随时能进入乘法器用以生成相应的部分积，不会引起流水线的停顿，而m_i为中间运算的结果，如果其在计算的过程当中时被乘法器调用就会导致流水线输入数据的中断。如在i＝0的循环中，a₀、b₀进入乘法器计算部分积a₀b₀，此时应同时输入m₀和n₀，但m₀是S(即部分积a₀b₀)乘n’₀得到的，显然此时还没有就绪。不难看出在i＝0的循环中，流水线乘法器停顿了三次，第一次等待S＝a₀*b₀的计算；第二次是等待m₀＝S*n’₀的计算；第三次是等待m₀*n₀的计算，每一次等待7个时钟周期(流水线深度)。可见普通的没有预计算单元的数据通路在i＝0的循环内会浪费21个时钟周期。实际上这样的浪费不止发生在i＝0的循环内，而是发生在每一个循环内，所以光第一步的4个循环就要浪费84个时钟周期。

为了解决这个问题，更高效地利用流水线乘法器，节省时钟周期的开销，我们在第一次等待时提前将i＝1时的循环内与前一级运算结果无关的数据，包括a₀、b₁、a₁、b₀等送入乘法器，产生相应的部分积在状态机的控制下进入预计算单元累加并寄存在寄存器I中；在第二次等待时将i＝2时的循环内的数据a₀、b₂、a₁、b₁、a₂、b₀送入乘法器，产生相应的部分积送入预计算单元累加并寄存在寄存器II中；同理在第三次等待时将i＝3时的循环内的数据a₀、b₃、m₀、n₃、a₁、b₂、a₂、b₁、a₃、b₀送入乘法器，产生相应的部分积送入预计算单元累加并寄存在寄存器III中。当算法真正进入i＝1、i＝2或i＝3循环体时，寄存器I、寄存器II、寄存器III中的部分积可以直接送入输出单元进行累加而不必临时计算。当然，在i＝1、i＝2或i＝3循环中，也会遇到流水线停顿的情况，此时就可以预先计算步骤2中各个循环中的数据，以此类推。

这种机制的核心在于不让流水线乘法器停顿下来，而是不断地使后续循环中的不相关数据进入乘法器，提前计算以后将用到的部分积送到预计算单元累加然后寄存起来，在需要的时候就可以将寄存的数据直接送到输出单元的加法器中进行累加，从而节约了大量的时钟周期。

Claims (1)

1.基于改进的蒙哥马利算法的模乘器，其特征在于，该模乘器是一种在外部状态机的控制下对输入数据按改进的蒙哥马利算法操作的，位长233位的模乘器，该算法把位长很长的大数分解为相对较小的数来分别进行计算，即

把n位2进制的被乘数A视为s位的r进制数，表示为：A＝a_s-1a_s-2…a₁a₀，a_i为r进制数，

把n位2进制的乘数B视为s位的r进制数，表示为：B＝b_s-1b_s-2…b₁b₀，b_i为r进制数，

把n位2进制的模N视为s位的r进制数，表示为：N＝n_s-1n_s-2…n₁n₀，n_i为r进制数，

其中s＝4，r＝2⁶⁴，i＝0，1，2，3，

所述基于改进的蒙哥马利算法的模乘器含有：输入单元、中间单元、预计算单元、输出单元和一个多路选择器，其中：

输入单元，含有：

第一采用7级流水的64位乘法器，输入数据为a和b；

第二采用7级流水的64位乘法器，输入数据为n和中间结果m；

第一128位寄存器，该寄存器的输入端与所述的第一采用7级流水的64位乘法器的输出端相连；

第二128位寄存器，该寄存器的输入端与所述的第二采用7级流水的64位乘法器的输出端相连；

中间单元，含有：

一个128位加法器，该加法器的两个输入端分别与所述第一128位寄存器和第二128位寄存器的输出端相连；

一个129位寄存器，该寄存器的输入端与所述128位加法器的输出端相连；

预计算单元，含有：

133位加法器I、133位加法器II、133位加法器III，各133位加法器的一个输入端分别和所述129位寄存器的输出端相连；

133位寄存器I、133位寄存器II、133位寄存器III，各133位寄存器的输入端分别依次与所对应133位加法器的输出端相连，所述各133位寄存器的输出端分别依次与所述各133位加法器的另一个输入端相连，

多路选择器，该多路选择器的各输入端分别同时与所述各133位寄存器的输出端相连；输出单元，含有：

一个133位加法器IV，该133位加法器IV的两个输入端分别与所述多路选择器、129位寄存器的输出端相连；

一个133位寄存器IV，该133位寄存器IV的输入端与所述133位加法器IV的输出端相连，该133位寄存器IV的输出端在输出数据的同时又与所述第二采用7级流水的64位乘法器的输入中间结果m用的输入端相连；

在外部状态机的控制下，在i＝0的循环内，所述第一采用7级流水的64位乘法器被依次按以下步骤输入数据：

在第一次等待计算结果S＝a₀b₀的时钟周期内，被提前输入i＝1时循环内用的与前一级运算结果无关的包括a₀、b₁、a₁、b₀在内的数据，产生相应的部分积a₀b₁、a₁b₀，在外部状态机的控制下送入所述预计算单元累加并寄存在寄存器I中；

在第二次等待计算结果m₁＝S n’₀时钟周期内，被提前输入i＝2时的循环内的数据a₀、b₂、a₁、b₁、a₂、b₀，产生相应的部分积a₀b₂、a₁b₁、a₂b₀，在外部状态机的控制下送入预计算单元累加并寄存在寄存器II中，n’₀为只与N有关的常数，且满足 $n_0{n}_0^{\′}\mathrm{mod}r=1;$

在第三次等待计算结果m₁n₀时钟周期内，被提前输入i＝3时的循环内的数据a₀b₃、a₁、b₂、a₂、b₁、a₃、b₀，产生相应的部分积a₀b₃、a₁b₂、a₂b₁、a₃b₀，在外部状态机的控制下送入预计算单元累加并寄存在寄存器III中；

在所述外部状态机的控制下，在i＝1、i＝2、i＝3的循环内，同样按i＝0循环内所述的步骤依次进行；与i＝0的循环内进行的运算不同的一点是，i＝1时只需进行第二次等待与第三次等待所对应的运算，i＝2时只需进行第三次等待所对应的运算。

所述的129位寄存器和多路选择器，按照i＝0，1，2，3各个不同的循环周期，把所寄存的寄存器I、II、III中的相应数据送往所述133位加法器IV累加后送往所述133位寄存器IV寄存，该寄存器IV把中间结果m送往第二采用7级流水的64位加法器，直到所有各循环结束，输出最终运算结果，

以上所述的基于改进的蒙哥马利算法的模乘器是在数字集成电路上实现的。

Images