CN101221491A - 椭圆曲线密码系统的点加系统 - Google Patents

Abstract

用于椭圆曲线密码体制的点加系统属于椭圆曲线密码系统的点加技术领域。其特征在于：含有点加寄存器控制器、点加多路选择控制器、第一多路选择器组、中间变量寄存器组以及第二多路选择器组；在点加多路选择控制器输出的选通控制信号下，在六个流水线过程内由位于点加系统外的模乘器和模加器对第二多路选择器组输出的乘数和加数完成点加运算；在每一个流水过程内，在所述选通控制信号控制下，模乘器和模加器分别向第一、第二两个多路选择器组返回中间数据；在点加寄存器控制器输出的操作控制信号控制下，控制第一多路选择器组中的各个多路选择器通过中间变量寄存器组向第二多路选择器组输出相应的乘数和加数。本发明提高了点加运算速度，在一个基本层面上优化了椭圆曲线的点乘性能，提高了数据吞吐率。

Description

椭圆曲线密码系统的点加系统

技术领域

本发明涉及数字签名与认证技术领域。

背景技术

密码体制可以分为传统(或对称)加密体制和公钥(或非对称)加密体制两类。1976年W.Diffie和M.E.Hellman提出了公钥密码的概念，对整个密码学发展造成了深远的影响。当前广泛应用的公钥密码系统是RSA，其优点在于原理简单，使用方便。但随着大整数因子分解方法的不断改进以及计算机性能的不断提升，要保证RSA的安全性所需要的密钥位数不断增长，目前一般认为RSA密钥的位数在1024bit以上才有安全保障。密钥位数的增加直接导致了加解密速度的大幅下降以及硬件开销的加大。

椭圆曲线密码(ECC)是1985年由N.Koblitz和V.Miller提出的，它是利用有限域上的椭圆曲线有限群代替离散对数问题中的有限循环群后得到的一类密码体制。由于椭圆曲线密码具有安全性能高，处理速度快，带宽要求低和存储空间小等特点，与RSA相比，ECC在密钥长度和运算速度上具有优越性。

素域上的椭圆曲线E(F_p)由Weierstrass方程定义：

E：y²＝x³+ax+b(modp)    (1)

其中p是素数，a，b为两个小于p的非负整数(0＜a，b＜∞)，且满足

4a³+27b²(modp)≠0    (2)

方程(2)基于集合E_p(a，b)可定义一个有限Abel群。

在椭圆曲线密码体制中，核心运算是点乘(kP)，我们可以将点乘分解为两种基本运算：点加(ECPADD)以及倍点(ECPDBL)，点加和倍点运算可以采用不同的坐标系来实现。常用的坐标系是仿射坐标系和Jacobi投影坐标系。以下分别介绍仿射坐标系和Jacobi投影坐标系。

仿射坐标系：平面上过一定点O作两条相交的轴x和y，它们的交角是ω.以定点O为原点，在每条轴上取长度单位(分别是OE₁、OE₂)，这样就在平面上建立了一个仿射坐标系，如图1所示。对于平面上任一点M，过M作两轴的平行线，与两轴分别交于M₁、M₂，它们在两轴的坐标分别是x、y，于是点M就对应有序数组(x，y)。

Jacobi投影坐标系：Jacobi投影坐标系下的点(X，Y，Z)和仿射坐标系下的点(x，y)一一对应，且满足x＝X/Z²、y＝Y/Z³。给定仿射坐标系下的坐标(x，y)，转换成Jacobi投影坐标系下的坐标为(X，Y，Z)，其中X＝x、Y＝y、Z＝1；给定Jacobi投影坐标系下的坐标(X，Y，Z)，转换成放射坐标系下的坐标为(x，y)，且满足x＝X/Z²、y＝Y/Z³。同时，仿射坐标系下的无穷远点和Jacobi投影坐标系下的点(1，1，0)对应。

以下介绍素数域椭圆曲线点加和倍点在仿射坐标系下的定义：

点加定义：

如图2所示，在椭圆曲线上取两点P(x₁，y₁)和Q(x₂，y₂)，令O点表示无穷远点。计算

R＝P+Q称为倍点运算，其中R坐标为(x_R，y_R)。

1)如果x₁＝x₂且y₁＝-y₂，则R＝P+Q＝O。

2)若1)条件不成立，则有点R＝P+Q，满足

$x_R={\left(\frac{y_2-y_1}{x_2-x_1}\right)}^2-x_1-x_2---\left(3\right)$

$y_R=\left(\frac{y_1-y_2}{x_1-x_2}\right)(x_1-x_R)-y_1---\left(4\right)$

倍点定义：

如图3所示，在椭圆曲线上取一点P(x₁，y₁)，令O点表示无穷远点。计算R＝2P称为倍点运算，其中R坐标为(x_R，y_R)。

1)如果y₁＝0，则R＝2P＝O。

2)若y₁≠0，则有点R＝2P，满足

$x_R={\left(\frac{3{x_1}^2+a}{2y_1}\right)}^2-2x_1---\left(5\right)$

$y_R=\left(\frac{3{x_1}^2+a}{2y_1}\right)(x_1-x_R)-y_1---\left(6\right)$

由于在椭圆曲线密码体制中求逆运算要比乘法慢，而在投影坐标系中不涉及求逆，所以一般会将仿射坐标转换为投影坐标再进行计算。下面给出椭圆曲线在Jacobi投影坐标下点加和倍点的计算公式。可以看出，公式只用到了模加和模乘操作。

表1点加计算公式                               表2倍点计算公式

点加：                                        倍点：

输入：P(X₁，Y₁，Z₁)，Q(X₂，Y₂，1)             输入：P(X₁，Y₁，Z₁)

输出：R(X₃，Y₃，Z₃)＝P+Q                      输出：R(X₃，Y₃，Z₃)＝2P

公式：                                        公式：

$X_3={(Y_2{Z}_1^3-Y_1)}^2-(X_2{Z}_1^2+X_1){(X_2{Z}_1^2-X_1)}^2$ $X_3={(3X_1^2+a{Z}_1^4)}^2-8X_1{Y}_1^2$

$Y_3=(Y_2{Z}_1^3-Y_1)[X_1{(X_2{Z}_1^2-X_1)}^2-X_3]-Y_1{(X_2{Z}_1^2-X_1)}^3$ $Y_3=(3X_1^2+a{Z}_1^4)(4X_1{Y}_1^2-X_3)-8Y_1^4$

$Z_3=Z_1(X_2{Z}_1^2-X_1)$                                               Z₃＝2Y₁Z₁

对于模乘运算，一般使用Montgomery模乘算法，该算法如下所示：

输入：X，Y，N，R

输出：S＝XYR^-1mod N

步骤：

1.N′＝-N^-1mod R

2.T＝X×Y

3.M＝T×N′mod R

4. $S=\frac{T+M\×N}{R}$

5.如果S≥N，则S＝S-N

6.返回S。

可以看出，一次模乘主要分解为三次乘法运算。

计算椭圆曲线的点加和倍点，处于缩小面积的考虑，一般用的是串行计算的方法，但是，串行计算的效率比较低下，通过分析点加和倍点运算的数据相关性，可以得出在串行计算中很多相互独立的操作也被视为有了依赖关系，从而造成时钟周期数的浪费，本发明正是根据这一问题而提出了对于点加计算的有效解决方案。

发明内容

本发明的目的在于提出一种椭圆曲线密码系统的点加系统，在不增加面积的情况下提高点加的运算速度，在一个基本的层面上优化椭圆曲线点乘的性能。

本发明的特征在于：

该点加系统是在专用数字集成电路芯片中采用ASIC流程实现的。含有：点加寄存器控制器；点加多路选择控制器；第一多路选择器组，由六个多路选择器mux1、mux2、mux3、mux4、mux5、mux6构成；中间变量寄存器组，由六个中间变量寄存器Reg1、Reg2、Reg3、Reg4、Reg5、Reg6构成；第二多路选择控制器，由四个多路选择器lmux1、lmux2、lmux3、lmux4构成，其中：

所述点加寄存器控制器，是一个有限状态机，输入为形式为010101……且占空比为1∶1的方波时钟信号Clk，以及低电平有效的开始信号Start，输出为六个各自均为2个比特的操作控制信号：C1、C2、C3、C4、C5、C6，所述点加寄存器控制器在开始信号有效后按以下各轮中时钟节拍在各个时钟输出不同的C1_C2_C3_C4_C5_C6各操作控制信号的组合：

初始化时，令各中间变量寄存器分别为：

Reg1←X₁，Reg2←Y₁，Reg3←Z₁，Reg4←X₂，Reg5←Y₂，Reg6←1，

(X₁，Y₁，Z₁)为Jacobi投影坐标下椭圆曲线上的点P的坐标，

(X₂，Y₂，1)为Jacobi投影坐标下椭圆曲线上的点Q的坐标，

令：R＝P+Q，点R的坐标为(x₃，Y₃，Z₃)，

C1_C2_C3_C4_C5_C6中每个操作控制信号均为00，在以下叙述中省略各操作控制信号的标志；

第一轮Δ1中：

在第1～第8时钟周期，操作控制信号均为11_11_11_11_11_11，

在第9时钟周期，操作控制信号为11_11_11_11_01_11；

第二轮Δ2中：

在第10时钟周期，操作控制信号为11_11_11_01_11_11，

在第11～第17时钟周期，操作控制信号均为11_11_11_11_11_11，

在第18时钟周期，操作控制信号为11_11_11_01_11_11；

第三轮Δ3中：

在第19时钟周期，操作控制信号为11_11_11_11_10_01，

在第20时钟周期，操作控制信号为11_01_11_11_11_10，

在第21时钟周期，操作控制信号为10_11_11_11_11_11，

在第22～第26时钟周期，操作控制信号均为11_11_11_11_11_11，

在第27时钟周期，操作控制信号为11_11_11_01_11_11；

第四轮Δ4中：

在第28时钟周期，操作控制信号为11_01_11_10_11_11，

在第29时钟周期，操作控制信号为01_11_11_11_11_11，

在第30～第35时钟周期，操作控制信号均为11_11_11_11_11_11，

在第36时钟周期，操作控制信号为11_11_01_11_11_11；

第五轮Δ5中：

在第37时钟周期，操作控制信号为01_11_11_11_11_11，

在第38时钟周期，操作控制信号为10_11_01_11_11_11，

在第39～第44时钟周期，操作控制信号均为11_11_11_11_11_11，

在第45时钟周期，操作控制信号为11_01_11_11_11_11；

第六轮Δ6中：

在第46时钟周期，操作控制信号为11_11_11_01_11_11，

在第47时钟周期，操作控制信号为11_01_11_10_11_11，

在第48时钟周期，操作控制信号为11_10_11_11_11_11；

所述点加多路选择控制器，是一个有限状态机，输入为所述开始信号Start、所述时钟信号Clk，输出均为3个比特的选通控制信号：CL1、CL2、CL3、CL4，所述点加多路选择控制器在所述开始信号Start有效后的各轮中，在下述每个时钟周期均输出不同的选通控制信号CL1、CL2、CL3、CL4的组合；

在所述初始化时，CL1_CL2_CL3_CL4中每个选通控制信号均为000，在以后叙述中省略各选通控制信号的标志；

在所述第一轮Δ1中：

在所述第1时钟周期，选通控制信号为011_011_000_000，

在所述第2时钟周期，选通控制信号为011_101_000_000，

在所述第3时钟周期，选通控制信号为011_101_000_000，

在所述第4～第9时钟周期，选通控制信号均为000_000_000_000；

在所述第二轮Δ2中：

在所述第10时钟周期，选通控制信号为100_000_000_000，

在所述第11时钟周期，选通控制信号为101_000_000_000，

在所述第12时钟周期，选通控制信号为001_010_000_000，

在所述第13～第18时钟周期，选通控制信号均为000_000_000_000；

在所述第三轮Δ3中：

在所述第19时钟周期，选通控制信号为010_000_111_001，

在所述第20时钟周期，选通控制信号为111_111_111_010，

在所述第21时钟周期，选通控制信号为001_111_001_100，

在所述第22～第27时钟周期，选通控制信号均为000_000_000_000；

在所述第四轮Δ4中：

在所述第28时钟周期，选通控制信号为110_110_111_010，

在所述第29时钟周期，选通控制信号为001_000_000_000，

在所述第30时钟周期，选通控制信号为011_101_000_000，

在所述第31～第36时钟周期，选通控制信号均为000_000_000_000；

在所述第五轮Δ5中：

在所述第37时钟周期，选通控制信号为001_010_000_000，

在所述第38时钟周期，选通控制信号为010_100_011_111，

在所述第39时钟周期，选通控制信号为111_110_000_000，

在所述第40～第45时钟周期，选通控制信号均为000_000_000_000；

在所述第六轮Δ6中：

在所述第46时钟周期，选通控制信号为000_000_000_000，

在所述第47时钟周期，选通控制信号为000_000_010_111，

在所述第48时钟周期，选通控制信号为000_000_000_111；

所述第一多路选择器组，其中：

各个多路选择器mux1～mux6各自的选择信号输入端先后依次分别与所述点加寄存器控制器的各操作控制信号输出端相连，分别输入各个操作控制信号C1～C6，

各个多路选择器mux1～mux6各自的00端先后依次输入X₁、Y₁、Z₁、X₂、Y₂、1，

各个多路选择器mux1～mux6各自的模乘数据输入端01共同与所述点加电路系统外的模乘器的模乘数据r_mul输出端相连，

各个多路选择器mux1～mux6各自的模加数据输入端10共同与所述点加电路系统外的模加器的模加数据r_add输出端相连；

所述中间变量寄存器组，其中：

各个中间变量寄存器寄存Reg1～Reg6的第一输入端先后依次分别与所述各多路选择器mux1～mux6的信号D1、D2、D3、D4、D5、D6的输出端相连，所述Reg1～Reg6的第二输入端互连后接时钟信号Clk的输出端；

所述第二多路选择器组，其中：

各个多路选择器lmux1～lmux4各自的选择信号输入端先后依次分别与所述点加多路选择控制器的各选通控制信号输出端相连，分别输入各个选通控制信号CL1～CL4，

多路选择器lmux1、lmux2的000输入端互连后接所述Q点的坐标值1，

多路选择器lmux3、lmux4的000输入端互连后接所述模加器的模加信号r_add的输出端，

各个多路选择器lmux1～lmux4的001输入端互连后接所述中间变量寄存器Reg1的信号T1的输出端，所述信号T1的输出端同时与所述第一多路选择器组中的多路选择器mux1的11输入端相连，

各个多路选择器lmux1～lmux4的010输入端互连后接所述中间变量寄存器Reg2的信号T2的输出端，所述信号T2的输出端同时与所述第一多路选择器组中的多路选择器mux2的11输入端相连，

各个多路选择器lmux1～lmux4的011输入端互连后接所述中间变量寄存器Reg3的信号T3的输出端，所述信号T3的输出端同时与所述第一多路选择器组中的多路选择器mux3的11输入端相连，

各个多路选择器lmux1～lmux4的100输入端互连后接所述中间变量寄存器Reg4的信号T4的输出端，所述信号T4的输出端同时与所述第一多路选择器组中的多路选择器mux4的11输入端相连，

各个多路选择器lmux1～lmux4的101输入端互连后接所述中间变量寄存器Reg5的信号T5的输出端，所述信号T5的输出端同时与所述第一多路选择器组中的多路选择器mux5的11输入端相连，

各个多路选择器lmux1～lmux4的110输入端互连后接所述中间变量寄存器Reg6的信号T6的输出端，所述信号T6的输出端同时与所述第一多路选择器组中的多路选择器mux6的11输入端相连，

多路选择器lmux1、lmux2的111输入端互连后接所述模加器的模加信号r_add的输出端，

多路选择器lmux3、lmux4的111输入端互连后接所述模乘器的模乘信号r_mul的输出端，

所述多路选择器lmux1、lmux2的输出信号mul1、mul2分别送入所述模乘器的两个输入端；

所述多路选择器lmux3、lmux4的输出信号add1、add2分别送入所述模加器的两个输入端；

在所述第一轮Δ1中，所述模乘器的输出r_mul使：

T₅←T₃ ²，T₄←T₃×T₅，T₄←T₃×T₅，而所述模加器无输出；

在所述第二轮Δ2中，所述模乘器的输出r_mul使：

T₄←T₄×T₅，T₆←T₄×T₅，T₂←T₁×T₂，而所述模加器无输出；

在所述第三轮Δ3中：

所述模乘器的输出r_mul使：

T₄←T₂×T₄，T₂←T₅ ²，T₁←T₁×T₆，

所述模加器的输出r_add使：

T₅←T₄-T₁，T₆←T₆-T₂，T₁←T₁+T₄；

在所述第四轮Δ4中：

所述模乘器的输出r_mul使：

T₃←T₆ ²，T₁←T₁×T₂，T₃←T₃×T₅，

所述模加器的输出r_add使：

T₄←T₄-T₂；

在所述第五轮Δ5中：

所述模乘器的输出r_mul使：

T₂←T₁×T₂，T₄←T₂×T₄，T₂←T₁×T₆，

所述模加器的输出r_add使：

T₁←T₃-T₁；

在所述第六轮Δ6中：

所述模加器的输出r_add使：

T₄←T₂-T₄，T₂←T₄-T₂，得到X₃＝T₁，Y₃＝T₂，Z₃＝T₃；

符号“←”表示用右边的数据去代替左边的数据。

本发明基于三级流水的大数模乘器，通过分析椭圆曲线密码点加运算的数据相关性，将其中相互独立的运算提取出来，利用六个中间变量寄存器，重复利用了模乘器逻辑单元和寄存器单元，提高了点加的运算速度，在一个基本的层面上提高了点乘的运算速度。

本设计硬件上用ASIC实现，用Verilog进行行为级建模，用Verilog进行RTL级编码和仿真。基于SMIC 0.18μm最坏的工艺完成综合，并提取门延时信息，进行门级仿真验证。测试的结果表明，与现有的设计相比，本发明在不增加面积的情况下提高了数据的吞吐率。

表3给出了本点加解决方案和串行方案的比较结果。

表3方案比较结果

实现方案	点加/时钟周期	资源
			串行(IEEE标准)	90	1个模乘器1个模加器7个中间寄存器
本文	49	1个模乘器1个模加器6个中间寄存器

附图说明

图1仿射坐标系；

图2椭圆曲线点加运算定义；

图3椭圆曲线倍点运算定义；

图4椭圆曲线点加数据相关性分析；

图5一种三级流水的模乘器结构；

图6一种模加器结构；

图7椭圆曲线点加实现结构；

图8椭圆曲线点加实现流程图。

具体实施方式

本发明的思路在于：1)利用Jacobi投影坐标系下椭圆曲线点加的计算公式，进行数据相关性分析，将相互独立的操作提取出来，确定流水线级数为三级。2)分析点加运算中的关键操作，将其置为最高优先级，然后将较低优先级的操作根据运算次序依次放入流水线过程中，同时使得所用中间变量寄存器数目最小。3)根据单次模乘所需要耗费的时钟周期数，在一般意义上提炼出针对三级流水线的点加的时间耗费；

以下详细说明这三个思路：

1)点加的数据相关性分析：

如表1所示，利用Jacobi投影坐标系下椭圆曲线点加的计算公式，分析出点加的数据相关性分别如图4所示；

图4中，椭圆内的操作为模乘操作，方框内的操作为模加操作。模乘操作和模加操作是并行进行的，分别调用模乘器和模加器。水平方向上的操作为一层，各层内部之间的操作是相互独立的，不存在数据依赖性。而在各层之间的操作则存在数据依赖性，必须要等上一层的数据计算完毕之后才能进行下一层的计算。二级和四级的流水线都会使得整个流水线的利用率不高。由图4可确定流水线的级数为三级，使得流水线的利用率接近100％；

下面详细说明点加的数据相关性分析结论：

如图4所示点加的数据相关性分析图，第一级相互独立的模乘操作为Z₁ ²，Y₂Z₁；第二级相互独立的模乘操作为X₁Y₁，X₂Z₁ ²，Y₂Z₁ ³；第三级相互独立的模乘操作为λ₂ ²，λ₄＝X₂Y₁Z₁ ²，λ₁ ²，Z₃＝λ₁Z₁，λ₂X₁，第三级相互独立的模加操作为λ₁＝X₂Z₁ ²-X₁，λ₂＝Y₂Z₁ ³-Y₁，λ₃＝X₂Z₁ ²+X₁；第四级相互独立的模乘操作为λ₁ ²λ₃，λ₆＝λ₁ ²λ₂X₁，第四级相互独立的模加操作为λ₅＝λ₄-X₁Y₁；第五级相互独立的模乘操作为λ₅λ₁ ²，第五级相互独立的模加操作为X₃＝λ₂ ²-λ₁ ²λ₃；第六级相互独立的模乘操作为λ₂X₃，第六级相互独立的模加操作为λ₇＝λ₆-λ₅λ₁ ²；第七级相互独立的模加操作为Y₃＝λ₇-λ₂X₃；

如图5所示即为一种三级流水的模乘器示例。它的输入为乘数X，被乘数Y，以及模式mode。第一级流水对X分别对X，Y进行编码；第二级流水为部分积选择和部分积阵列压缩；第三级流水为42部分积阵列压缩。其中mode信号控制两个多路选择器选通从外部输入还是已经计算出的sum结果；

如图6所示为一种模加器示例，它由两个加法器和一个CSA组成，输入为x，y，n以及sel信号，输出为z，在sel信号为高时为模加运算，sel信号为低时为模减运算；

2)点加在流水线中的调度次序：

根据1)的分析确定流水线级数之后。从表1的计算公式来看，关键的操作是X₃的得出。所以需要将计算X₃的操作次序置为优先级最高。从图4中找到X₃的路径，将路径上的操作放在每次流水的最前。然后将其他的操作分别安插于流水线上，使得流水次数最少；另外，通过调度与分配算法，对中间变量寄存器的数目进行优化，在三级流水线下得到的优化结果是需要六个中间变量寄存器，即可完成全部点加操作；

3)点加的时间耗费：

通过2)的优化过程，进行1次单独的模乘运算耗费9个时钟周期，1次单独的模加运算耗费1个时钟周期，得出的结论是利用三级流水，使用六个中间变量寄存器，经过六次流水过程即可完成点加运算，作一次点加运算所耗费的时钟周期数C满足

C＝49                                        (7)

根据以上三个思路，本发明提出了具体的椭圆曲线密码的点加系统，如图7所示为椭圆曲线点加实现的硬件图，包括寄存器和模乘器以及模加器的连接；

图7中的点加寄存器控制器是一个有限状态机，它的输入为开始信号Start与时钟Clk，输出均为2个比特的控制信号C1、C2、C3、C4、C5、C6，分别控制多路选择器mux1、mux2、mux3、mux4、mux5、mux6。点加寄存器控制器在Start有效后的每个时钟周期均输出不同的C1_C2_C3_C4_C5_C6组合。C1、C2、C3、C4、C5、C6在Start有效后的每个时钟周期的具体值如图8中C1_C2_C3_C4_C5_C6所示；

图7中的点加多路选择控制器是一个有限状态机，它的输入为开始信号Start与时钟Clk，输出均为3个比特的控制信号CL1、CL2、CL3、CL4，分别控制多路选择器lmux1、lmux2、lmux3、lmux4，点加多路选择控制器在Start有效后的每个时钟周期均输出不同的CL1_CL2_CL3_CL4组合。CL1、CL2、CL3、CL4在Start有效后的每个时钟周期的具体值如图8中C1_C2_C3_C4_C5_C6所示；

图7中有6个中间变量寄存器分别为Reg1、Reg2、Reg3、Reg4、Reg5、Reg6，用来寄存中间计算结果。它们有一个公共输入信号为时钟Clk。除此之外Reg1还有输入信号D1，输出信号T1，其中D1为多路选择器mux1的输出；Reg2还有输入信号D2，输出信号T2，其中D2为多路选择器mux2的输出；Reg3还有输入信号D3，输出信号T3，其中D3为多路选择器mux3的输出；Reg4还有输入信号D4，输出信号T4，其中D4为多路选择器mux4的输出；Reg5还有输入信号D5，输出信号T5，其中D5为多路选择器mux5的输出；Reg6还有输入信号D6，输出信号T6，其中D6为多路选择器mux6的输出；

图7中的多路选择器mux1、mux2、mux3、mux4、mux5、mux6分别用来选通中间变量寄存器Reg1、Reg2、Reg3、Reg4、Reg5、Reg6的输入信号。它们均为4输入1输出，有两个公共的输入信号分别为r_mul和r_add，其中r_mul为模乘器的输出，r_add为模加器的输出。除此之外，mux1还有输入信号X1，输出信号D1，其中X1用来初始化寄存器T1，D1为寄存器Reg1的输入；mux2还有输入信号Y1，输出信号D2，其中Y1用来初始化寄存器T2，D2为寄存器Reg2的输入；mux3还有输入信号Z1，输出信号D3，其中Z1用来初始化寄存器T3，D3为寄存器Reg3的输入；mux4还有输入信号X2，输出信号D4，其中X2用来初始化寄存器T4，D4为寄存器Reg4的输入；mux5还有输入信号Y2，输出信号D5，其中Y2用来初始化寄存器T5，D5为寄存器Reg5的输入；mux6还有输入信号常量1，输出信号D6，其中常量1用来初始化寄存器T6，D6为寄存器Reg6的输入；

图7中4个多路选择器lmux1、lmux2、lmux3、lmux4均为8输入1输出，其中lmux1、lmux2分别用来选通模乘器的乘数和被乘数，mux3、lmux4分别用来选通模加器的加数和被加数。T1～T6为六个中间变量寄存器的输出，1为常数。模乘器的输入为mul1，mul2，输出为r_mul；模加器的输入为add1，add2，输出为r_add；多路选择器lmux1的输入为1、T1、T2、T3、T4、T5、T6、r_add，输出为mul1；多路选择器lmux2的输入为1、T1、T2、T3、T4、T5、T6、r_add，输出为mul2；多路选择器lmux3的输入为r_add、T1、T2、T3、T4、T5、T6、r_mul，输出为add1；多路选择器lmux4的输入为r_add、T1、T2、T3、T4、T5、T6、r_mul，输出为add2；

按照图8所示的点加的流水线实现流程，其具体步骤说明如下：

令中间变量寄存器分别为T₁～T₆，令R＝(X₃，Y₃，Z₃)，P＝(X₁，Y₁，Z₁)，Q＝(X₂，Y₂，Z₂)。即计算R＝P+Q：

步骤(1).初始化阶段：

对中间变量寄存器进行初始化，T₁←X₁，T₂←，Y₁  T₃←Z₁，T₄←X₂，T₅←Y₂，T₆←1；

步骤(2).进行第1次流水过程，对于模乘器依次进行T₅←T₃ ²，T₄←T₃×T₅，T₄←T₃×T₅，对于模加器依次进行0←0+0，0←0+0，0←0+0，每次模乘运算耗费时钟周期为9，每次模加运算耗费时钟周期为1。对于模乘器，在该次流水的第1个时钟上升沿输入两个乘数T₃和T₃，在第10个时钟上升沿之前更新T₅，在第2个时钟上升沿输入两个乘数T₃和T₅，在第11个时钟上升沿之前更新T₄，在第3个时钟上升沿输入两个乘数T₃和T₅，在第12个时钟上升沿之前更新T₄。从第4个到第9个时钟上升沿的输入对于模乘器无效。对于模加器，0←0+0表示不进行任何操作；

步骤(3).进行第2次流水过程，对于模乘器依次进行T₄←T₄×T₅，T₆←T₄×T₅，T₂←T₁×T₂，对于模加器依次进行0←0+0，0←0+0，0←0+0；

步骤(4).进行第3次流水过程，对于模乘器依次进行T₄←T₂×T₄，T₂←T₅ ²，T₁←T₁×T₆，对于模加器依次进行T₅←T₄-T₁，T₆←T₆-T₂，T₁←T₁+T₄；对于模加器，在该次流水的第1个时钟上升沿输入两个加数T₄和T₁，在第2个时钟上升沿之前更新T₅，在第2个时钟上升沿输入两个加数T₆和T₂，在第3个时钟上升沿之前更新T₆，在第3个时钟上升沿输入两个加数T₁和T₄，在第4个时钟上升沿之前更新T₁；

步骤(5).进行第4次流水过程，对于模乘器依次进行T₃←T₆ ²，T₁←T₁×T₂，T₃←T₃×T₅，对于模加器依次进行T₄←T₄-T₂，0←0+0，0←0+0；

步骤(6).进行第5次流水过程，对于模乘器依次进行T₂←T₁×T₂，T₄←T₂×T₄，T₂←T₁×T₆，对于模加器依次进行0←0+0，T₁←T₃-T₁，0←0+0；

步骤(7).模乘器停止工作，对于模加器依次进行0←0+0，T₄←T₂-T₄，T₂←T₄-T₂，之后有X₃＝T₁，Y₃＝T₂，Z₃＝T₃，点加计算完毕；

Claims (1)

1.用于椭圆曲线密码体制的点加系统，其特征在于：该点加系统是在专用数字集成电路芯片中采用ASIC流程实现的。含有：点加寄存器控制器；点加多路选择控制器；第一多路选择器组，由六个多路选择器mux1、mux2、mux3、mux4、mux5、mux6构成；中间变量寄存器组，由六个中间变量寄存器Reg1、Reg2、Reg3、Reg4、Reg5、Reg6构成；第二多路选择控制器，由四个多路选择器lmux1、lmux2、lmux3、lmux4构成，其中：

所述点加寄存器控制器，是一个有限状态机，输入为形式为010101……且占空比为1∶1的方波时钟信号Clk，以及低电平有效的开始信号Start，输出为六个各自均为2个比特的操作控制信号：C1、C2、C3、C4、C5、C6，所述点加寄存器控制器在开始信号有效后按以下各轮中时钟节拍在各个时钟输出不同的C1_C2_C3_C4_C5_C6各操作控制信号的组合：

初始化时，令各中间变量寄存器分别为：

Reg1←X₁，Reg2←Y₁，Reg3←Z₁，Reg4←X₂，Reg5←Y₂，Reg6←1，

(X₁，Y₁，Z₁)为Jacobi投影坐标下椭圆曲线上的点P的坐标，

(X₂，Y₂，1)为Jacobi投影坐标下椭圆曲线上的点Q的坐标，

令：R＝P+Q，点R的坐标为(X₃，Y₃，Z₃)，

C1_C2_C3_C4_C5_C6中每个操作控制信号均为00，在以下叙述中省略各操作控制信号的标志；

第一轮Δ1中：

在第1～第8时钟周期，操作控制信号均为11_11_11_11_11_11，

在第9时钟周期，操作控制信号为11_11_11_11_01_11；

第二轮Δ2中：

在第10时钟周期，操作控制信号为11_11_11_01_11_11，

在第11～第17时钟周期，操作控制信号均为11_11_11_11_11_11，

在第18时钟周期，操作控制信号为11_11_11_01_11_11；

第三轮Δ3中：

在第19时钟周期，操作控制信号为11_11_11_11_10_01，

在第20时钟周期，操作控制信号为11_01_11_11_11_10，

在第21时钟周期，操作控制信号为10_11_11_11_11_11，

在第22～第26时钟周期，操作控制信号均为11_11_11_11_11_11，

在第27时钟周期，操作控制信号为11_11_11_01_11_11；

第四轮Δ4中：

在第28时钟周期，操作控制信号为11_01_11_10_11_11，

在第29时钟周期，操作控制信号为01_11_11_11_11_11，

在第30～第35时钟周期，操作控制信号均为11_11_11_11_11_11，

在第36时钟周期，操作控制信号为11_11_01_11_11_11；

第五轮Δ5中：

在第37时钟周期，操作控制信号为01_11_11_11_11_11，

在第38时钟周期，操作控制信号为10_11_01_11_11_11，

在第39～第44时钟周期，操作控制信号均为11_11_11_11_11_11，

在第45时钟周期，操作控制信号为11_01_11_11_11_11；

第六轮Δ6中：

在第46时钟周期，操作控制信号为11_11_11_01_11_11，

在第47时钟周期，操作控制信号为11_01_11_10_11_11，

在第48时钟周期，操作控制信号为11_10_11_11_11_11；

所述点加多路选择控制器，是一个有限状态机，输入为所述开始信号Start、所述时钟信号Clk，输出均为3个比特的选通控制信号：CL1、CL2、CL3、CL4，所述点加多路选择控制器在所述开始信号Start有效后的各轮中，在下述每个时钟周期均输出不同的选通控制信号CL1、CL2、CL3、CL4的组合；

在所述初始化时，CL1_CL2_CL3_CL4中每个选通控制信号均为000，在以后叙述中省略各选通控制信号的标志；

在所述第一轮Δ1中：

在所述第1时钟周期，选通控制信号为011_011_000_000，

在所述第2时钟周期，选通控制信号为011_101_000_000，

在所述第3时钟周期，选通控制信号为011_101_000_000，

在所述第4～第9时钟周期，选通控制信号均为000_000_000_000；

在所述第二轮Δ2中：

在所述第10时钟周期，选通控制信号为100_000_000_000，

在所述第11时钟周期，选通控制信号为101_000_000_000，

在所述第12时钟周期，选通控制信号为001_010_000_000，

在所述第13～第18时钟周期，选通控制信号均为000_000_000_000；

在所述第三轮Δ3中：

在所述第19时钟周期，选通控制信号为010_000_111_001，

在所述第20时钟周期，选通控制信号为111_111_111_010，

在所述第21时钟周期，选通控制信号为001_111_001_100，

在所述第22～第27时钟周期，选通控制信号均为000_000_000_000；

在所述第四轮Δ4中：

在所述第28时钟周期，选通控制信号为110_110_111_010，

在所述第29时钟周期，选通控制信号为001_000_000_000，

在所述第30时钟周期，选通控制信号为011_101_000_000，

在所述第31～第36时钟周期，选通控制信号均为000_000_000_000；

在所述第五轮Δ5中：

在所述第37时钟周期，选通控制信号为001_010_000_000，

在所述第38时钟周期，选通控制信号为010_100_011_111，

在所述第39时钟周期，选通控制信号为111_110_000_000，

在所述第40～第45时钟周期，选通控制信号均为000_000_000_000；

在所述第六轮Δ6中：

在所述第46时钟周期，选通控制信号为000_000_000_000，

在所述第47时钟周期，选通控制信号为000_000_010_111，

在所述第48时钟周期，选通控制信号为000_000_000_111；

所述第一多路选择器组，其中：

各个多路选择器mux1～mux6各自的选择信号输入端先后依次分别与所述点加寄存器控制器的各操作控制信号输出端相连，分别输入各个操作控制信号C1～C6，

各个多路选择器mux1～mux6各自的00端先后依次输入X₁、Y₁、Z₁、X₂、Y₂、1，

各个多路选择器mux1～mux6各自的模乘数据输入端01共同与所述点加电路系统外的模乘器的模乘数据r_mul输出端相连，

各个多路选择器mux1～mux6各自的模加数据输入端10共同与所述点加电路系统外的模加器的模加数据r_add输出端相连；

所述中间变量寄存器组，其中：

各个中间变量寄存器寄存Reg1～Reg6的第一输入端先后依次分别与所述各多路选择器mux1～mux6的信号D1、D2、D3、D4、D5、D6的输出端相连，所述Reg1～Reg6的第二输入端互连后接时钟信号Clk的输出端；

所述第二多路选择器组，其中：

各个多路选择器lmux1～lmux4各自的选择信号输入端先后依次分别与所述点加多路选择控制器的各选通控制信号输出端相连，分别输入各个选通控制信号CL1～CL4，

多路选择器lmux1、lmux2的000输入端互连后接所述Q点的坐标值1，

多路选择器lmux3、lmux4的000输入端互连后接所述模加器的模加信号r_add的输出端，

各个多路选择器lmux1～lmux4的001输入端互连后接所述中间变量寄存器Reg1的信号T1的输出端，所述信号T1的输出端同时与所述第一多路选择器组中的多路选择器mux1的11输入端相连，

各个多路选择器lmux1～lmux4的010输入端互连后接所述中间变量寄存器Reg2的信号T2的输出端，所述信号T2的输出端同时与所述第一多路选择器组中的多路选择器mux2的11输入端相连，

各个多路选择器lmux1～lmux4的011输入端互连后接所述中间变量寄存器Reg3的信号T3的输出端，所述信号T3的输出端同时与所述第一多路选择器组中的多路选择器mux3的11输入端相连，

各个多路选择器lmux1～lmux4的100输入端互连后接所述中间变量寄存器Reg4的信号T4的输出端，所述信号T4的输出端同时与所述第一多路选择器组中的多路选择器mux4的11输入端相连，

各个多路选择器lmux1～lmux4的101输入端互连后接所述中间变量寄存器Reg5的信号T5的输出端，所述信号T5的输出端同时与所述第一多路选择器组中的多路选择器mux5的11输入端相连，

各个多路选择器lmux1～lmux4的110输入端互连后接所述中间变量寄存器Reg6的信号T6的输出端，所述信号T6的输出端同时与所述第一多路选择器组中的多路选择器mux6的11输入端相连，

多路选择器lmux1、lmux2的111输入端互连后接所述模加器的模加信号r_add的输出端，

多路选择器lmux3、lmux4的111输入端互连后接所述模乘器的模乘信号r_mul的输出端，

所述多路选择器lmux1、lmux2的输出信号mul1、mul2分别送入所述模乘器的两个输入端；

所述多路选择器lmux3、lmux4的输出信号add1、add2分别送入所述模加器的两个输入端；

在所述第一轮Δ1中，所述模乘器的输出r_mul使：

T₅←T₃ ²，T₄←T₃×T₅，T₄←T₃×T₅，而所述模加器无输出；

在所述第二轮Δ2中，所述模乘器的输出r_mul使：

T₄←T₄×T₅，T₆←T₄×T₅，T₂←T₁×T₂，而所述模加器无输出；

在所述第三轮Δ3中：

所述模乘器的输出r_mul使：

T₄←T₂×T₄，T₂←T₅ ²，T₁←T₁×T₆，

所述模加器的输出r_add使：

T₅←T₄-T₁，T₆←T₆-T₂，T₁←T₁+T₄；

在所述第四轮Δ4中：

所述模乘器的输出r_mul使：

T₃←T₆ ²，T₁←T₁×T₂，T₃←T₃×T₅，

所述模加器的输出r_add使：

T₄←T₄-T₂；

在所述第五轮Δ5中：

所述模乘器的输出r_mul使：

T₂←T₁×T₂，T₄←T₂×T₄，T₂←T₁×T₆，

所述模加器的输出r_add使：

T₁←T₃-T₁；

在所述第六轮Δ6中：

所述模加器的输出r_add使：

T₄←T₂-T₄，T₂←T₄-T₂，得到X₃＝T₁，Y₃＝T₂，Z₃＝T₃；

符号“←”表示用右边的数据去代替左边的数据。

Images