CN101335741B - 认证加密的迦罗瓦计数模式中赫序运算的加速方法与装置 - Google Patents

Abstract

一种认证加密的迦罗瓦计数模式(GCM)中GHASH运算的加速方法与装置。首先，根据GCM规格中定义的额外认证资料、密文、以及GHASH金钥值，将GHASH函数的最终输出结果展开成三个中间值的组成。然后，平行化算出此三个中间值。最后，算出此GHASH函数的输出结果。如果额认证资料与密文分别有m与n个区块，则本发明执行GCM中GHASH运算只需要max{m，n}+1个工作时脉。根据本发明，认证资料与密文的输入顺序是独立的，认证资料与密文区块的输入顺序也可失序，如此可让GCM在应用上更有弹性。

Description

认证加密的迦罗瓦计数模式中赫序运算的加速方法与装置

技术领域

本发明是关于一种认证加密(authenticated encryption)的迦罗瓦计数模式(Galois Counter Mode，GCM)中赫序(GHASH)运算的加速方法与装置。

背景技术

GCM是一种提供认证加密(authenticated encryption)的区块密码(block cipher)系统的操作模式(operation mode)。其主要特色在于能够以高处理速度，同时提供机密性(confidentiality)和完整性(integrity)。其中，以GCM先进加密标准(GCM-Advanced Encryption Standard，GCM-AES)为最常见，主要应用在高速的传输环境。

GCM的资料加密(data encryption)是以计数模式(CTR mode)来达成，而认证是用一种以迦罗瓦场(Galois Field，GF)为基础的赫序函数来完成。此认证加密有四个输入(input)，分别为秘密金钥(secret key)K、初始向量(initialization vector)IV、纯文本(plaintext)P、和额外的认证资料(additional authenticated data，AAD)A。P被分成n个128-比特区块，以

来表示，而A被分成m个128-比特区块，以

来表示，其中区块

和

是少于128个比特。

此认证加密有两个输出(output)，也就是密文(cipher text)C和认证卷标(authentication tag)T。密文C的长度与纯文本P的长度相同，认证卷标T的长度记为t。此两个输出C和T是经由下列认证加密的运算而取得：

H＝E(K，0¹²⁸)

$Y_0=\left\{\begin{array}{cc}\mathrm{IV}\left|\right|0^{31}1& \mathrm{iflen}\left(\mathrm{IV}\right)=96\\ \mathrm{GHASH}(H,\{\},\mathrm{IV})& \mathrm{otherwise}\end{array}\right.$

Y_i＝incr(Y_i-1)fori＝1，...，n

$C_i=P_i\⊕E(K,Y_i)\mathrm{fori}=1,...,n-1$

$C_n^{*}=P_n^{*}\⊕{\mathrm{MSB}}_u\left(E(K,Y_n)\right)$

$T={\mathrm{MSB}}_t(\mathrm{GHASH}(H,A,C)\⊕E(K,Y_0))---\left(1\right)$

其中，E(K，X)代表具有金钥K的X值的区块加密(block cipher encryption)。MSB_t(S)传回比特串列(bit string)S的最左方(leftmost)的t个比特的比特串列。{}代表长度为零的位串列。0ⁿ代表n个比特的零序列(zero sequence)。Incr()代表将右边最低的32比特(leas tsignificant bit on the right)当作是一个非负的整数，然后对此非负的整数进行加1后再取2³²的余数。更精确地说，Incr(F‖I)的值是F‖(I+1mod 2³²)。

GHASH函数是GCM中的一种运算，此函数有三个输入，并且会产生出一个128比特的赫序值(hash value)。此三个输入就是A、C和H，而H是经由(1)式中以秘密金钥K对全数为0的区块加密而得到的值。下列式子描述了GHASH函数的第i个步骤的输出X_i。

$X_i=\left\{\begin{array}{cc}0& \mathrm{fori}=0\\ (X_{i-1}\⊕A_i)\·H& \mathrm{fori}=1,...,m-1\\ (X_{m-1}\⊕\left(A_m^{*}\right|\left|0^{128-v}\right))\·H& \mathrm{fori}=m\\ (X_{i-1}\⊕C_{i-m})\·H& \mathrm{fori}=m+1,...,m+n-1\\ (X_{m+n-1}\⊕\left(C_n^{*}\right|\left|0^{128-u}\right))\·H& \mathrm{fori}=m+n\\ (X_{m+1}\⊕\left(\mathrm{len}\left(A\right)\right|\left|\mathrm{len}\left(c\right)\right))\·H& \mathrm{fori}=m+n+1\end{array}\right.---\left(2\right)$

(2)式中，v是区块

的比特长度(bit length)，u是

的比特长度，

是GF(2¹²⁸)的加法运算，而乘法运算则是定义于GF(2¹²⁸)。A‖B代表两个比特序列(bit sequence)A和B的串接(concatenation)。

(2)式中，GHASH函数可以用图1所示的硬件架构来实现。图1中，此GHASH硬件架构的核心(core)是一个128-比特平行的(parallel)GF(2¹²⁸)乘法器101。X暂存器内赫序值的初始值设定为0。在最初的m个工作时脉里，将m个128-比特区块A₁，A₂，...，一个接一个代入至(2)式的右关系式。之后，在接下来的n个工作时脉里，将密文C的n个128-比特区块C₁，C₂，…，C_n-1，代入至(2)式的第三行的右关系式。在最后一个工作时脉里，将len(A)‖len(C)代入至(2)式的最后一行的右关系式。使用此硬件架构，总共费时m+n+1个工作时脉来计算此赫序值。

从图1也可看出，暂时的结果(temporary result)X_i会与下一个AC暂存器的输入作XOR的运算后，回馈至AC暂存器，以产生GF(2¹²⁸)乘法器101的下一个运算位(operand)。GF(2¹²⁸)乘法器101的另一个运算位是H，存放在H暂存器里。

在2005年5月，D.A.McGrew等人提出的文献中，介绍了GCM的操作模式。此GCM使用64-比特或是128-比特的区块密码来同时提供认证和加密。

在2005年6月，B.Yang等人提出的文献中，以及2006年5月，A.Satoh提出的文献中，也都揭露了实现此GCM-AES的高速的架构(high-speed architecture to realize the GCM-AES)。此两种架构都需要费时m+n+1的工作时脉(clock cycle)来执行GCM中GHASH的运算，其中，n是密文(cipher text)资料长度，m是认证资料长度。此m+n+1个工作时脉会导致硬件延迟(latency of hardware)。

美国专利公开号2006/0126835的文献中，揭露了一种关于高速的GCM-AES区块加密装置与方法。此GCM-AES区块加密装置以四个模组来实现，如图2所示，分别为金钥展开模组(key expansion module)201、8-回合区块加密模组(8-round CTR-AES block cipher module)203、3-回合区块加密模组(3-round CTR-AES block cipher module)205、以及GF(2¹²⁸)乘法模组(multiplication module)207。欲加密的资料来自于32/128比特转换器210，加密后的资料则输入于128/32比特转换器220。

此区块加密装置可运作于125MHz的低时脉频率(low clock frequency)，并且提供一个在局端光终端设备(Optical Line Termination，OLT)的2-Gbps链接安全功能(link security function)，以及一个乙太被动光网路(Ethernet Passive Optical Network，EPON)的光网路单元(Optical Network Unit，ONU)。

发明内容

本发明的范例中可提供一种认证加密的GCM中GHASH运算的加速方法与装置。本发明同时计算GCM规范中的认证资料、密文与Hⁿ⁺¹值，提供平行化执行GCM中GHASH运算的处理方式。认证资料与密文的输入顺序可以相互无关(independent)，如此可让GCM在应用上更有弹性(more flexible)。本发明可快速平行化执行GCM中GHASH运算，仅需约max{m，n}+1个工作时脉。若密文与H值是固定不变的(invariant)，则仅需m+1个的工作时脉。

本发明的方法中，首先，根据GCM规格中定义的认证资料、密文、以及HASH金钥值H，将GHASH函数最终输出结果展开成三个中间值(interim value)，X_A、X_C、和Hⁿ⁺¹的组成，其中X_A是与认证资料相关的临时值，而X_C是与密文相关的临时值。然后，平行化执行X_A、X_C、和Hⁿ⁺¹的运算。

本发明的装置中，包含了计算X_A、计算X_C以及计算Hⁿ⁺¹值的三个模组。此装置的硬件架构可用三个GF(2^k)乘法器、三个暂存器、和一种GF(2^k)加法运算(addition)来实现。加法运算可用XOR门或是软件模组来实现。

本发明采用Mastorvito’s  标准基底(standard-based)乘法器的工作范例中，较已知技术节省了约20％的成本，因此也加速执行GCM中GHASH的运算。

附图说明

以下配合下列附图、实施例的详细说明，将上述及本发明的其它目的与优点详述于后，其中：

图1是GHASH运算的一种已知的硬件架构的一个示意图。

图2是一种已知的高速GCM-AES区块加密装置的一个概要示意图。

图3是根据本发明，认证加密的GCM中GHASH运算的加速方法的一个流程范例。

图4是根据本发明，认证加密的GCM中GHASH运算的加速装置，其硬件架构的一个范例示意图。

图5是图4中采用Mastorvito’s标准乘法器来实现的一个工作范例。

具体实施方式

GHASH函数有三个输入，此三个输入就是GCM规格中定义的额外认证资料A与密文C、以及HASH金钥值H。不失一般性，以下说明的范例中，一个区块密码为一个128-比特区块，额外认证资料A的长度len(A)为m，以及密文C的长度len(C)为n。换句话说，此GCM使用128-比特的区块密码来同时提供认证和加密，并且额外认证资料A及密文C分别被分成m个与n个128-比特区块。

若以已知技术的方程式(2)来执行GCM中GHASH的运算，则需要费时m+n+1的工作时脉，才能得到GHASH函数的运算结果。

根据本发明，认证加密的GCM中GHASH运算的加速方法，其流程范例如图3所示。首先，将GHASH函数的最终输出结果X_m+n+1展开成三个中间值，记为X_A、X_C、和Hⁿ⁺¹的组成，如步骤301所示。

在步骤301中，X_A是与额外认证资料A相关的暂时值，而X_C是与密文C相关的暂时值。X_A是认证资料的m个区块分别和H值的降序的乘积，再各别执行加总后产生的临时值，H值的乘幂最高为m+1。而X_C是密文的n个区块分别和H值的降序的乘积，再各别执行加总后产生的临时值，H值的乘幂最高为n+1。

下列展开式可说明此GHASH函数的第m+n+1个输出值X_m+n+1如何由此三个中间值X_A、X_C、和Hⁿ⁺¹来组成。

其中S^l是1个比特的二元串列(binary string)，v是区块

的比特长度，u是

的比特长度，k是秘密金钥k的比特长度，v和u的值皆小于等于k。

然后，平行化算出X_A、X_C、和Hⁿ⁺¹的值，如步骤302所示。步骤302共有max{m，n}个子步骤，每个子步骤定义为有三个输入，假设是a、b、和c。每个子步骤执行的运算是

需要1个工作时脉。因此计算X_A需要m个子步骤，换言之，需要m个工作时脉。计算X_C和Hn⁺¹则需要n个子步骤，也就是需要n个工作时脉。所以，同时算出X_A、X_C、和Hⁿ⁺¹的值仅需要max{m，n}个工作时脉。

当X_A、X_C、和Hⁿ⁺¹的值都算出后，最后一个步骤就是根据X_A、X_C、和Hⁿ⁺¹的值，算出GHASH运算的赫序值，也就是执行运算

如步骤303所示，此步骤需要1个工作时脉。所以，本发明执行GCM中GHASH运算共需要max{m，n}+1个工作时脉。

图4是根据本发明，认证加密的GCM中GHASH运算的加速装置，其硬件架构的一个范例示意图。此装置的硬件架构包括三个模组，用来计算与额外认证资料A相关的暂时值X_A、计算与密文C相关的暂时值X_C和计算Hⁿ⁺¹的值。从图4可以看出，此装置的硬件架构可用三个GF(2^k)乘法器401-403、三个暂存器411-413、和一种GF(2^k)加法运算(addition)

来实现。三个暂存器411-413分别储存X_C、Hⁿ⁺¹、和X_A的暂时值。暂存器411、413的初始值是GF(2^k)中的加法单位元素0，暂存器412的初始值是GF(2^k)中的乘法单位元素1。GF(2^k)加法运算

可用XOR门或软件模组来实现。

在准备过程(preparation process)里，此三个GF(2^k)乘法器401-403各自计算出X_C、Hⁿ⁺¹、和X_A的值，并各自输入至三个暂存器411-413。此准备过程中，在计算X_C时，此装置使用一个控制信号441，并通过一个多工器431来选择某一C_i或是len(A)‖len(C)。暂存器411储存的X_C的暂时结果会与多工器431的输出作GF(2^k)加法运算

后，回馈至GF(2^k)乘法器401，以产生GF(2^k)乘法器401的下一个运算位，GF(2^k)乘法器401的另一个运算位是H。类似地，在计算X_A时，暂存器413储存的X_A的暂时结果会与某一A_i作GF(2^k)加法运算后，回馈至GF(2^k)乘法器403，以产生GF(2^k)乘法器403的下一个运算位，GF(2^k)乘法器403的另一个运算位是H。在计算Hⁿ⁺¹时，暂存器412储存的暂时结果会回馈至GF(2^k)乘法器402，以产生GF(2^k)乘法器402的下一个运算位，GF(2^k)乘法器402的另一个运算位是H。

在准备过程里，可看出认证资料区块A_i与密文区块C_i都可以各自输入，两者的输入顺序是独立的(independent)，可以是相互无关的。甚至可以接受失序的序列(disordered sequence)，例如C₁C₂A₁C₃C₄C₅A₂A₃A₄…等。

当算出X_A、X_C、和Hⁿ⁺¹的值后，在输出过程(output process)里，此装置使用三个GF(2^k)乘法器401-403中的一个GF(2^k)乘法器和一个GF(2^k)加法运算来执行运算

因此，计算X_C的值可通过一个多工器，并使用一个GF(2^k)乘法器和一个GF(2^k)加法运算

来实现。计算XA的值可用一个GF(2^k)乘法器和一个GF(2^k)加法运算

来实现。计算Hⁿ⁺¹的值可用一个GF(2^k)乘法器来实现。较佳的GF(2^k)乘法器可用定义于GF(2^k)的Mastorvito’s标准基底乘法器来实现。

图5是图4中采用Mastorvito’s标准基底乘法器来实现的一个工作范例。定义在GF(2^m)的Mastorvito’s  标准基底乘法器是一种矩阵向量(matrix-vector，MV)的乘法器结构。假设a(x)、b(x)、r(x)是定义在GF(2^m)，并且是由产生器多项式(generator polynomial)g(x)建构的多项式。令r(x)是a(x)与b(x)的乘积，则其多项式表示(polynomial representation)如下：

r₀+r₁x+…+r_m-1x^m-1

＝(a₀+…+a_m-1x^m-1)(b₀+…+b_m-1x^m-1)mod g(x)(3)

根据方程式(3)里的系数，则此Mastorvito’s乘法器产生方程式R＝Z_aB，

其中，Z_a代表由a(x)与g(x)导出的一个m×m的矩阵，称之为Z矩阵(Z-matrix)，并且表示如下：

$z_{i,j}=\left\{\begin{array}{ccc}{a}_i& j=0& i=0,...,m-1\\ u(i-j)a_{i-j}+\underset{k=0}{\overset{j-1}{\mathrm{\Σ}}}{q}_{j-1-k,i}{a}_{m-1-k}& j=1,...,m-1& i=0,...,m-1\end{array}\right.,$

上式中，u(x)是一个步阶函数，定义如下：

$u\left(x\right)=\left\{\begin{array}{cc}1& x\&GreaterEqual;0\\ 0& x<0\end{array}\right.,$

而q_i，j是下列方程式里矩阵的元素，

根据此Mastorvito’s标准基底乘法器，此图5的工作范例需要max{m，n}+2个工作时脉来执行GCM中GHASH运算。从图5中可窥知，此工作范例仅需要一个Z矩阵电路(Z-matrixcircuit)510和三个矩阵向量乘法器(MV multiplier)，即标号501-503，并不需要使用三对的硬件电路，其中每一对的硬件电路是由一个Z矩阵电路和一个矩阵向量乘法器组成。

此工作范例的硬件架构中，可让三个GF(2^k)乘法器以三个矩阵向量乘法器501-503和共享(share)一个Z矩阵电路510的硬件资源(hardware resources)来实现。此Z矩阵电路510是用来计算Z矩阵510a，说明如下。

图5中，当加载HASH金钥值H于Z矩阵电路510时，此Z矩阵电路510计算Z_H矩阵，并且让三个矩阵向量乘法器501-503维持以max{m，n}个工作时脉来算出X_A、X_C、和Hⁿ⁺¹的值。在计算X_C时，控制信号541用来选择某一C_i或是len(A)‖len(C)。在下一个工作时脉时，也就是第max{m，n}+1个工作时脉，当额外认证资料A与密文C都输入完毕后，通过控制信号542，将Hⁿ⁺¹加载Z矩阵电路510，然后计算出

矩阵。在最后一个工作时脉时，也就是第max{m，n}+2个工作时脉，算出

的结果。

在本发明的结构里，可清楚看出认证资料与密文的输入顺序可以是相互无关的。因此可让GCM在应用上更有弹性。例如，在不同的传输(transmissions)或一段时间里(sessions)，变更已认证资料，则只需要重新计算X_A即可。类似地，若已认证资料相同，且仅变更密文，则只需要重新计算X_C和Hⁿ⁺¹即可。甚且，本发明也可接受失序的序列。

由本发明采用Mastorvito’s标准基底乘法器的工作范例中，可知本发明可让三个GF(2^k)乘法器共享硬件资源，大幅降低硬件成本。本发明与必须依序输入认证资料区块A_i与密文区块C_i的使用三个GF(2¹²⁸)乘法器的已知技术相较，本发明节省了约20％的资源(resources)，因此加速了执行GCM中GHASH的运算。

综上可知，根据本发明，如果额外认证资料与密文分别有m与n个区块，则本发明执行GCM中GHASH运算只需要max{m，n}+1个工作时脉。并且应用本发明时，额外认证资料与密文的输入顺序是独立的，如此可让GCM在应用上更有弹性。

此外，若在应用中，无视(2)式中A与C的分类，将两者单纯是为一笔输入，而仅以奇偶顺序输入，则图4与图5的架构可用来加速GHASH运算，将时间缩短为

本发明可适用于采用GCM加密模式的应用范畴，如MACSec、EPON、储存装置或IPSec中。

惟，以上所述的，仅为发明的实施范例而已，当不能依此限定本发明实施的范围。即凡是依本发明申请专利范围所作的均等变化与修饰，皆应仍属本发明专利涵盖的范围内。

Claims (16)

1.一种认证加密的迦罗瓦计数模式中赫序运算的加速方法，以提供资料隐密性与资料完整性的应用，该赫序运算备有三个输入，分别是定义于该GCM中的额外的认证资料A与密文C，以及该赫序运算的赫序金钥H，其特征在于，该方法包含下列步骤：

将该赫序运算的最终输出结果X_m+n+1展开成三个中间值，记为X_A、X_C、和Hⁿ⁺¹，的组成，该X_A是该额外认证资料A相关的暂时值，该X_C是该密文C相关的暂时值；

平行化算出该X_A、该X_C、和Hⁿ⁺¹的值；以及

根据该X_A、该X_C、和Hⁿ⁺¹的值，执行运算 

来算出该赫序运算的赫序值；

其中，该额外的认证资料A被分成m个区块，记为A₁，A₂，...， 密文C被分成n个区块，记为C₁，C₂，…，C_n-1， 

是一种加法运算，

其中该X_A和X_C分别如下：

且

其中，S^l是1个比特的二元串列，v是区块 的比特长度，u是 的比特长度，k是定义于该GCM中的秘密金钥K的比特长度，v和u的值皆小于等于k，len(A)是额外的认证资料A的长度，len(C)是密文C的长度，

其中，维持以max{m，n}个子步骤来执行该平行化算出X_A、X_C、和Hⁿ⁺¹的值，每个子步骤定义为有三个输入a、b、和c，并且执行的运算是 

2.如权利要求1所述的认证加密的迦罗瓦计数模式中赫序运算的加速方法，其特征在于，其中该 

是一种XOR运算。

3.如权利要求1所述的认证加密的迦罗瓦计数模式中赫序运算的加速方法，其特征在于，其中该 是以一软件来实现。

4.如权利要求1所述的认证加密的迦罗瓦计数模式中赫序运算的加速方法，其特征在于，其中，计算该X_A需要m个子步骤。

5.如权利要求1所述的认证加密的迦罗瓦计数模式中赫序运算的加速方法，其特征在于，其中，计算该X_C和该Hⁿ⁺¹需要n个子步骤。

6.如权利要求1所述的认证加密的迦罗瓦计数模式中赫序运算的加速方法，其特征在于，其中该额外认证资料A与密文C的输入顺序是独立的。 

7.一种认证加密的迦罗瓦计数模式中赫序运算的加速装置，以提供资料隐密性与资料完整性的应用；该赫序运算备有三个输入，分别是定义于该GCM中的额外的认证资料A与密文C，以及该赫序运算的赫序金钥H，其特征在于，该装置包含：

三个乘法器，称之为第一、第二和第三乘法器，分别并行计算出三个中间值，记为X_A、Hⁿ⁺¹和X_C，并且在计算该X_C和该X_A时，该第一与该第二乘法器的两个运算位分别是通过一种加法运算 

后的结果与该赫序金钥H；以及

三个暂存器，称之为第一、第二和第三暂存器，分别储存该X_A、该Hⁿ⁺¹、和该X_C的暂时值；

其中，该X_A是该额外认证资料A相关的暂时值，该X_C是该密文C相关的暂时值，算出该X_A、X_C和H_n+1的值后，通过该三个乘法器的其中一乘法器与加法运算 

来执行运算 

而得出该赫序运算的赫序值，

其中该X_A和X_C分别如下：

且

其中，S^l是1个比特的二元串列，v是区块 

的比特长度，u是 

的比特长度，k是定义于该GCM中的秘 密金钥K的比特长度，v和u的值皆小于等于k，len(A)是额外的认证资料A的长度，len(C)是密文C的长度，

其中，维持以max{m，n}个子步骤来执行该平行化算出X_A、X_C、和Hⁿ⁺¹的值，每个子步骤定义为有三个输入a、b、和c，并且执行的运算是 

8.如权利要求7所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中在计算该X_C时，该装置还通过一第一控制信号与一个多工器来选择1en(A)‖len(C)或是该密文C的一区块，并且储存该第一暂存器与该多工器的输出作该加法运算 

后，馈入至该第一乘法器，以产生该第一乘法器的下一个运算位，而len(A)为额外认证资料A的长度，len(C)为密文C的长度，‖代表串接运算。

9.如权利要求7所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中在计算该X_A时，该第三暂存器与该额外认证资料A的一区块作该加法运算 后，馈入至该第三乘法器，以产生该第三乘法器的下一个运算位。

10.如权利要求7所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中在计算Hⁿ⁺¹时，该第二暂存器的值馈入至该第二乘法器，以产生该第二乘法器的下一个运算位。 

11.如权利要求7所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中该三个乘法器是三个定义在GF(2^k)上的乘法器，k为自然数。

12.如权利要求7所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中该三个乘法器共享一Z矩阵电路，该Z矩阵电路是以Mastorvito’s标准基底乘法器方法来计算Z_a矩阵，Z_a矩阵代表由一多项式a(x)与一多项式产生器导出的一个方矩阵。

13.如权利要求12所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中该三个乘法器是以该Z矩阵电路和三个矩阵向量乘法器来实现。

14.如权利要求12所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中当该额外认证资料A与该密文C都输入完毕后，该装置通过一第二控制信号，将Hⁿ⁺¹加载于该Z矩阵电路，然后计算出一 

矩阵。

15.如权利要求12所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中当该赫序金钥H加载于该Z矩阵电路时，该Z矩阵电路计算一Z_H矩阵。 

16.如权利要求7所述的认证加密的迦罗瓦计数模式中赫序运算的加速装置，其特征在于，其中该三个矩阵向量乘法器是三个Mastorvito’s标准基底乘法器。 

Images