CN101470598A - 提高大整数Montgomery模乘运算速度的方法 - Google Patents

Abstract

本发明为一种提高大整数Montgomery模乘运算速度的方法，其包括的步骤为：步骤a：将两个大整数乘数X、Y分别拆分为高数位X_ha＝X/r^，Y_hb＝Y/r^n－，和低数位X_la＝X mod r^，Y_1b＝Y mod r^n－；步骤b：并行计算X_haY_hb，X_haY_1br^－nmod M，X_1aY_hbr^－mod M，X_laY_lbr^－nmod M；步骤c：计算(X_haY_hb+X_haY_1br^－nmodM+X_laY_hbr^－mod M+X_1aY_1br^－nmod M)mod M的值，得到最终结果；其中M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数。

Description

提高大整数Montgomery模乘运算速度的方法

技术领域

本发明涉及的是一种加密算法，特别涉及的是一种提高大整数Montgomery模乘运算速度的方法。

背景技术

随着Internet的迅猛发展，网络安全问题显得越来越重要，相关网络安全协议应运而生，而这些协议又是以高效安全的加密算法为前提的。

加密算法分为对称加密算法和非对称加密算法。在网络上进行数据传输时，通常使用对称加密算法加密所要传输的数据，而用非对称加密算法加密密钥。

就非对称加密算法来说，目前RSA与ECC的应用比较普及。RSA与大素数域上的ECC的底层运算都离不开大整数模乘运算，大整数模乘运算的速度直接决定了RSA与ECC加密算法的速度。

在目前的所有有效的大整数模乘算法中，Montgomery算法在大多数环境下被认为是最为高效的。而在具体以字为单位实现Montgomery算法的方法中，CIOS(Coarsely Integrated Operand Scanning)算法复杂度最低。现将此算法描述如下：

假设Montgomery算法的参数为(M，M′[0]，r，n，X，Y)，M为大整数，r＝2^w为最小字处理单元，n为大整数的字个数。M′[0]＝M^-1[0]mod r。X，Y为要计算Montgomery模乘的乘数。CIOS算法如下：

for i＝0 to n-1{

     C＝0；

     for j＝0 to n -1{

     (C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；

     }

     (C，S)＝T[n]+C；

     T[n]＝S；

     T[n+1]＝C；

     C＝0；

     m＝T[0]*M′[0]mod r；

    (C，S)＝T[0]+m*M′[0]

    for j＝1 to n -1{

    (C，S)＝T[j]+m*M[j]+C；

    T[j-1]＝S；

    }

   (C，S)＝T[n]+C；

   T[n-1]＝S；

   T[n]＝T[n+1]+C；

}

在大整数运算中，关键运算为乘法运算，加法运算时间都可忽略不计，上述CIOS中乘法的次数为2n²+n。如何减少乘法运算的次数，成为改进MontgomeryCIOS算法的关键。

一些学者注意到了这一点，文章《Dual-Residue Montgomery Multiplication》也阐述了一种提高速度的方案，该文章的主要创新点如下：

为了提高运算速度，他将乘数中的一个拆分为高低项之和，Y＝Y_Hr^a+Y_L，然后并行计算XY_Hr^-b mod M，XY_Lr^-n mod M的值。

因为b<n所以XY_Hr^-b mod M通过CIOS算法比原来的运算量小，而XY_Lr^-nmod M中的Y_L的字数比原来少，而两项的计算又是并行的，所以运算速度比原来得到提高。

但是该文章中仅对一个乘数进行了拆分，XY_Lr^-nmod M的计算中乘法的运算量在取

时约为6n²/4+n。

鉴于上述问题，本发明创作者经过长时间的研究和试验，在此算法的基础上获得一种提高大整数运算速度的方法。

发明内容

本发明的目的在于，提供一种提高大整数Montgomery模乘运算速度的方法，用以克服上述缺陷。

为实现上述目的，本发明采用的技术方案在于，提供一种提高大整数Montgomery模乘运算速度的方法，其包括的步骤为：

步骤a：将两个大整数乘数X、Y分别拆分为高数位

和低数位

步骤b：并行计算

，

，X_laY_lbr^-n modM；

步骤c：计算

的值，得到最终结果；

其中M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数。

其中，所述步骤b中计算

的步骤为：

步骤b11：取i＝0；

步骤b12：令C＝0，从j＝0到

依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；从

到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b13：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b14：令(C，S)＝T[0]+m*M′[0]，从j＝1到n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b15：令(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b16：如果

返回T[0]...T[n-1]；否则令i＝i+1，执行上述步骤b12；

其中，i、j、C为变量，M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

其中，所述步骤b中计算

的步骤为：

步骤b21：令i＝0；

步骤b22：令C＝0，从j＝0到依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；从

到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b23：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]modr；

步骤b24：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b25：令(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b26：如果

返回T[0]..T[n-1]；否则令i＝i+1，执行上述步骤b22；

其中，i、j、C为变量，M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

其中，所述步骤b中计算X_laY_lbr^-n mod M的步骤为：

步骤b31：令i＝0；

步骤b32：令C＝0，从j＝0到依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；

从

到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b33：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b34：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b35：(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b36：如果

则i＝i+1，执行上述步骤b32；

步骤b37：令

步骤b38：令C＝0；m＝T[0]*M′[0]mod r；

步骤b39：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b3A：(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b3B：如果i<n-1，则令i＝i+1并执行上述步骤b38；否则返回T[0]...T[n-1]；

其中，i、j、C为变量，M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

与现有技术相比本发明的优点在于，首先其是针对Montgomery算法本身的改进；其次在n充分大时，本发明比Montgomery CIOS实现节省约的时间37.5％，比《Dual-Residue Montgomery Multiplication》中的对偶剩余算法的还要快，该算法约节省时间25％。

具体实施方式

申请人认为具体实施方式里，阐述的比较清楚不需要在配合附图进行说明，对本发明上述的和另外的技术特征和优点下边将作更详细的说明。

本发明的提高大整数Montgomery模乘运算速度的方法的流程，其是以Montgomery算法为基础的，利用对偶剩余原理，将两个乘数分别拆分为高低项之和，然后并行计算拆分后的Montgomery模乘，从而使得大整数模乘速度提高0.6倍。其包括的步骤为：

步骤a：将两个大整数乘数X、Y分别拆分为高数位

和低数位

步骤b：并行计算

，

，X_laY_lbr^-nmodM；

步骤c：计算

的值，得到最终结果；

其中M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数。

其中，所述步骤b中计算的步骤为：

步骤b11：取i＝0；

步骤b12：令C＝0，从j＝0到

依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；从

到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b13：令(C，S)＝T]n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b14：令(C，S)＝T[0]+m*M′[0]，从j＝1到n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b15：令(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b16：如果

，返回T[0]...T[n-1]；否则令i＝i+1，执行上述步骤b12；

其中，i、j、C为变量，M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

其中，所述步骤b中计算

的步骤为：

步骤b21：令i＝0；

步骤b22：令C＝0，从j＝0到

依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；从到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b23：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b24：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b25：令(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b26：如果

返回T[0]...T[n-1]；否则令i＝i+1，执行上述步骤b22；

其中，i、j、C为变量，M为大整数，r＝2w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

其中，所述步骤b中计算X_laY_lbr^-n mod M的步骤为：

步骤b31：令i＝0；

步骤b32：令C＝0，从j＝0到

依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；

从

到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b33：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b34：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b35：(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b36：如果

则i＝i+1，执行上述步骤b32；

步骤b37：令

步骤b38：令C＝0；m＝T[0]*M′[0]mod r；

步骤b39：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b3A：(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b3B：如果i<n-1，则令i＝i+1并执行上述步骤b38；否则返回T[o]...T[n-1]；

其中，i、j、C为变量，M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

以16进制表示如下：

M：6C7511628CC295716464B4F4D98AB347C452724FF9B5A55FB

   F792769BEC2A64AA187B72835E72610A8679317B867061131

   F583F34943021745C1F45A7EF5066D13E6241DBCF3307A82A

   605E653891

M′[0]：25758871

r：2³²

n：32

X：6C7511628CC295716464B4F4D98AB347C452724FF9B5A55FB

   F792769BEC2A64AA187B72835E72610A8679317B867061131

   F583F34943021745C1F45A7EF1043D24E7341BBBF12019287

   5012613337

Y：6C7511628CC295716464B4F4D98AB347C452724FF9B5A55FB

   F792769BEC2A64AA187B72835E72610A8679317B867061131

   F583F34943021745C1F45A7EF2734B6597211CCEF15015253

   E012E11732

按照上述方法，首先对X，Y进行拆分，然后并行计算，最后进行模加运算，即可得到最终结果。

以上所述仅为本发明的较佳实施例，对本发明而言仅仅是说明性的，而非限制性的。本专业技术人员理解，在本发明权利要求所限定的精神和范围内可对其进行许多改变，修改，甚至等效，但都将落入本发明的保护范围内。

Claims (4)

1、一种提高大整数Montgomery模乘运算速度的方法，其特征在于，其包括的步骤为：

步骤a：将两个大整数乘数X、Y分别拆分为高数位

和低数位

步骤b：并行计算X_haY_hb，

X_laY_lbr^-n modM；

步骤c：计算

的值，得到最终结果；

其中M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数。

2、根据权利要求1所述的提高大整数Montgomery模乘运算速度的方法，其特征在于，所述步骤b中计算

mod M的步骤为：

步骤b11：取i＝0；

步骤b12：令C＝0，从j＝0到

依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；从

到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b13：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b14：令(C，S)＝T[0]+m*M′[0]，从j＝1到n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b15：令(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b16：如果

返回T[0]...T[n-1]；否则令i＝i+1，执行上述步骤b12；

其中，i、j、C为变量，M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

3、根据权利要求1所述的提高大整数Montgomery模乘运算速度的方法，其特征在于，所述步骤b中计算

的步骤为：

步骤b21：令i＝0；

步骤b22：令C＝0，从j＝0到依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；从

到j＝n-1依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b23：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b24：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b25：令(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b26：如果返回T[0]...T[n-1]；否则令i＝i+1，执行上述步骤b22；

其中，i、j、C为变量，M为大整数，r＝2w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。

4、根据权利要求1所述的提高大整数Montgomery模乘运算速度的方法，其特征在于，所述步骤b中计算X_laY_lbr^-nmod M的步骤为：

步骤b31：令i＝0；

步骤b32：令C＝0，从j＝0到

依次计算(C，S)＝T[j]+X_ha[j]*Y_lb[i]+C；T[j]＝S；

从

到j＝n-1；依次计算(C，S)＝T[j]+C；T[j]＝S；

步骤b33：令(C，S)＝T[n]+C；T[n]＝S；T[n+1]＝C；C＝0；m＝T[0]*M′[0]mod r；

步骤b34：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b35：(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b36：如果则i＝i+1，执行上述步骤b32；

步骤b37：令

步骤b38：令C＝0；m＝T[0]*M′[0]mod r；

步骤b39：令(C，S)＝T[0]+m*M′[0]，从j＝1到j＝n-1依次计算(C，S)＝T[j]+m*M[j]+C；T[j-1]＝S；

步骤b3A：(C，S)＝T[n]+C；T[n-1]＝S；T[n]＝T[n+1]+C；

步骤b3B：如果i<n-1，则令i＝i+1并执行上述步骤b38；否则返回T[0]...T[n-1]；

其中，i、j、C为变量，M为大整数，r＝2^w为最小字处理单元，n为大整数M的字个数，M′[0]＝M^-1[0]mod r。