CN102236540A - 循序运算的伽罗瓦乘法架构与方法 - Google Patents

Abstract

一种循序运算的伽罗瓦乘法架构与方法，基于Mastrovito乘法运算和复合场的两层式循序输入，第一层架构将A运算元的相关数据一次备齐，将B运算元的数据以m个n位的方式循序输入来处理，k＝mn，m、n为正整数；而第二层架构循序接收输入的B运算元的数据，并直接以m个单一n位的乘法器来实现GF((2ⁿ)^m)的乘法运算；其中，在第一层乘法架构处理之前，A与B两运算元先从GF(2^k)场被映射到GF((2ⁿ)^m)场，而第二层乘法架构的乘法运算结果则被映射回到GF(2^k)场，以完成GF(2^k)的乘法。

Description

循序运算的伽罗瓦乘法架构与方法

技术领域

本申请涉及一种循序(sequential)运算的伽罗瓦乘法架构(Galois FieldMultiplier)与方法，基于Mastrovito乘法运算和复合场(Composite Field)的两层式循序输入的伽罗瓦乘法架构与方法。

背景技术

伽罗瓦计数模式-先进加密标准(Galois Counter Mode-AdvancedEncryption Standard，GCM-AES)演算法已经用于互联网通讯协定安全性IPsec)环境中。在以太网络(Ethernet)第二层安全标准MACsec中也采用GCM-AES演算法作为预设的加解密运算。而GCM-AES演算法中使用了伽罗瓦场(Galois Field)GF(2¹²⁸)的乘法运算来实现赫序函数(Hash Function)，这使得在硬件实现上大幅提高GCM-AES的硬件成本。单一个GF(2¹²⁸)乘法器的硬件大小就等同于一个128位的AES核心引擎。当把拥有GCM-AES的MACsec控制器整合到以太(Ethernet)网络MAC控制器时，GCM-AES所影响的成本比例会更高。

GF(2^k)是一个有限场(Finite Field)，由一个k阶的原始多项式(primitivepolynomial)所定义的空间，共有2^k个元素，每一元素有k个位，此k个位是该元素多项式b₀+b₁x+…+b_k-1x^k-1的系数，其中b_i是GF(2)中的元素，也就是0或1。假设构成GF(2^k)空间的原始多项式为g(x)，则GF(2^k)的元素乘法可视为两个步骤：首先，两个元素进行一般多项式乘法；然后将得到的多项式除以g(x)取其余数，即可获得乘积结果。而GF(2^k)的元素加法运算，在逻辑上等同于k位的XOR运算。

伽罗瓦乘法器的相关技术有很多。例如，美国专利4,251,875公开一种泛用的伽罗瓦乘法器架构。采用单一GF(2^m)乘法器架构，循序地输入两个运算元，完成GF(2ⁿ)的乘法运算，其中m是n的倍数。美国专利7,113,968公开的伽罗瓦乘法器是以多项式乘法和余式运算为设计原理。

而美国专利7,133,889公开的伽罗瓦乘法器架构，如图1所示，是采用单一基底场GF(2^m)乘法器架构，以及使用Karatsuba-Ofman运算法来进行乘法运算。美国专利6,957,243公开的伽罗瓦乘法器架构利用拆解多项式的方法，将其中一个运算元A(x)循序地输入，即序列A₀(x)，A₁(x)，...，A_T-1(x)循序地输入；而另一个运算元b(x)平行地输入，来进行乘法运算，如图2所示。

直接设计GF(2^k)乘法器的方法为全平行化的运算，也就是两个k位进，一个k位出的方式。以Mastrovito的方式来实现乘法器为例，假设A、B∈GF(2^k)，A＝[a₀ a₁...a_k-1]，B＝[b₀ b₁...b_k-1]，则Mastrovito的乘法器运算C＝AB可表示为一个矩阵向量乘法器，其中一个运算元(operand)维持原貌，也就是式子(1)中的B向量，另一个运算原则会经过一个转换获得另外一个矩阵也就是Z_A，

其中Z_A矩阵的所有系数为A系数的线性组合，也就是z_i，j＝f_i，j(a₀，a₁，...，a_k-1)。

$f_{i,j}=\left\{\begin{array}{ccc}{a}_i& j=0& i=0,...,k-1\\ u(i-j)a_{i-j}+\underset{t=0}{\overset{j-1}{\mathrm{\Σ}}}{q}_{j-1-t,i}{a}_{k-1-t}& j=1,...,k-1& i=0,...,k-1\end{array}\right.---\left(2\right)$

而

取余数后的系数，如下所示

其中，g(x)是GF(2^k)的产生元多项式(generator polynomial)。

因此，要利用Mastrovito的架构来实现GF(2^k)乘法，需要利用式子(2)和式子(3)预先求得矩阵Z_A。图3是平行化的Mastrovito乘法器的硬件架构的一个范例示意图。从图3中的范例可以看到Z_A矩阵的电路和一个矩阵向量乘法器，Z_A矩阵是一堆类似式子(4)的线性组合，而矩阵向量乘法器就是AND和XOR的组合。以g(x)＝1+x+x⁴为例，经过(2)和(3)后可得到Z_A矩阵为

$Z_A=\left[\begin{array}{cccc}{a}_0& a_3& a_2& a_1\\ a_1& a_0+a_3& a_2+a_3& a_1+a_2\\ a_2& a_1& a_0+a_3& a_2+a_3\\ a_3& a_2& a_1& a_0+a_3\end{array}\right]---\left(4\right)$

所以，其实现过程只需实现Z_A矩阵和式子(1)的矩阵向量乘法运算即可。然而，以这种方式来实现GF(2^k)乘法器的硬件成本高，以GCM模式中的GHASH运算为例，其GF(2¹²⁸)的原始多项式为1+x+x²+x⁷+x¹²⁸，需要24，448个XOR运算(矩阵转换运算)，2¹⁴个寄存器、2¹⁴个AND运算以及127×128个XOR，这样的硬件成本将近于1～2个的128位AES引擎。

发明内容

本申请的实施范例可提供一种循序运算的伽罗瓦乘法架构与方法。

在一实施范例中，所公开者涉及一种循序运算的伽罗瓦乘法架构，用来执行伽罗瓦场GF(2^k)的A与B两运算元的乘法，k为正整数，此乘法架构包含：一第一层架构，将A运算元的相关数据一次备齐，将B运算元的数据以m个n位的方式循序输入来处理，k＝mn，m、n为正整数；以及一第二层架构，循序接收输入的B运算元的数据，并直接以多个单一n位的乘法器来实现GF((2ⁿ)^m)的乘法运算；其中，在第一层架构处理之前，A与B两运算元先从GF(2^k)场被映射到GF((2ⁿ)^m)场，而第二层架构的乘法运算结果再被映射回到GF(2^k)场，以完成GF(2^k)的乘法。

在另一实施范例中，所公开者涉及一种循序运算的伽罗瓦乘法方法，用来执行伽罗瓦场的乘法运算，此方法包含：将两运算元A、B从一GF(2^k)场被映射到一GF((2ⁿ)^m)场，k＝mn，k、m、n为正整数；利用一第一层架构，将A运算元的相关数据一次备齐，将B运算元的数据以m个n位的方式循序输入来处理；利用一第二层架构，循序接收输入的B运算元的数据，并直接以多个单一n位的乘法器来实现GF((2ⁿ)^m)的乘法运算；以及将此第二层架构的乘法运算结果再被映射回到GF(2^k)场，以完成GF(2^k)的乘法。

现在配合下列附图、实施例的详细说明及权利要求书，将上述及本发明的其他特征与优点详述于后。

附图说明

图1是一种伽罗瓦乘法器的一个范例示意图。

图2是另一种伽罗瓦乘法器的一个范例示意图。

图3是平行化的Mastrovito乘法器的硬件架构的一个范例示意图。

图4是Aω乘法架构的一个范例示意图，并且与所公开的某些实施范例一致。

图5是图4的架构精简后的一个范例示意图，并且与所公开的某些实施范例一致。

图6是一个范例示意图，说明循序运算的伽罗瓦乘法架构，并且与所公开的某些实施范例一致。

图7是GF((2ⁿ)^m)循序乘法器的一个工作范例示意图，并且与所公开的某些实施范例一致。

图8是一个范例示意图，说明使用GF((2ⁿ)^m)循序乘法器来执行GF(2^k)乘法运算的方法，并且与所公开的某些实施范例一致。

图9是一个范例流程图，说明如何使用寄存器移位寄存器来执行GF(2^k)乘法运算，并且与所公开的某些实施范例一致。

图10是实现GF(2^k)乘法器一个范例示意图，其中对于两个乘法运算元有时间先后顺序，并且与所公开的某些实施范例一致。

图11A图是以一范例表格，其中以GF(2¹²⁸)和本申请的乘法器为例，来分析其所使用的硬件成本。

图11B图是以一范例表格来进行实务上的比较，其中比较基准为所使用的现场可编程门阵列的使用量。

【主要元件符号说明】

400Aω乘法架构          411-41m第一组寄存器

421-42m m个常数乘法器   432-43m m-1个异或逻辑门

610第一层架构           620第二层架构

621-62m m个单一n位的乘法器

A、B两运算元C乘法运算结果

700GF((2ⁿ)^m)循序乘法器  701-70m第二组寄存器

710第一层架构的范例     720第二层架构的范例

910将第一组寄存器的各对应的初始值从a₀至a_m-1分别填入；而第二组寄存器的各对应的初始值从c₀至c_m-1全部填入0

920先输入b₀，并与第一组寄存器的值进行GF(2ⁿ)乘法后，与第二组寄存器的值进行XOR运算，再存入第二组寄存器

930将第一组寄存器向右位移一次，获得Aω，同时输入b₁并与第一组寄存器的值进行GF(2ⁿ)乘法后，算出b₁Aω，再与第二组寄存器内的b₀A值进行XOR运算后，存入第二组寄存器

940依此，对于循序输入的b₂、b₃、...、b_m-1，重复第一组寄存器向右位移一次至存入第二组寄存器的步骤，最后从第二组寄存器中获得b₀A+b₁Aω+...+b_m-1Aω^m-1

1005控制信号    1012多工器

1014解多工器    1020循序器

具体实施方式

当k很大时，例如128，则GF(2^k)的乘法需要付出很高的运算代价。使用复合场可降低运算复杂度。本申请的实施范例是将一个GF(2^k)乘法器，以复合场GF((2ⁿ)^m)乘法器来实现，并且采用循序(sequential)方式来输入其中一个运算元。

复合场的数学符号表示法是GF((2ⁿ)^m)，其中nm＝k，n、m皆为正整数。以元素的位数来解释，则是将原本在GF(2^k)的一个k位元素，转换成m个在GF(2ⁿ)中的n位元素，因为nm＝k，所以整体来看还是一个k位值。在复合场中，GF(2ⁿ)就是一个基底场(Ground Field)。要将一个元素从GF(2^k)场映射到GF((2ⁿ)^m)场，需要有建构GF(2^k)场所需的多项式g(x)，还需要一个n阶的原始多项式p(x)和一个m阶的原始多项式r(x)，其中p(x)多项式的系数属于GF(2)，而r(x)的系数属于GF(2ⁿ)。

然后，利用Christof Paar提出的理论，来找到一个k×k的矩阵M，将元素从GF(2^k)空间映射到GF((2ⁿ)^m)空间，而其反矩阵M^-1则会再将元素从GF((2ⁿ)^m)映射回GF(2^k)。以m＝2为例，令g(x)为产生GF(2^k)空间的原始多项式，且g(α)＝0。则A元素在GF(2^k)空间的多项式表示法为：

A＝a₀+a₁α+…+a_k-1α^k-1，a_i属于GF(2)。

而映射到GF((2ⁿ)²)复合场后，A可以表示成：

A＝a₀+a₁ω，其中a_i属于GF(2ⁿ)，而ω为GF((2ⁿ)²)的原始元素，也就是用来产生GF((2ⁿ)²)空间的多项式r(x)的根。

本申请的实施范例中，首先建立基底场GF(2ⁿ)场。然后，利用一个阶数为m，且其系数属于GF(2ⁿ)的原始多项式来建立GF((2ⁿ)^m)，例如将GF(2¹²⁸)以GF((2⁸)¹⁶)复合场来设计。其数学原理如下，假设用来产生GF((2ⁿ)^m)的多项式为

r(x)＝r₀+r₁x+…+r_m-1x^m-1+x^m，r_i∈GF(2ⁿ)(5)

且A，B∈GF((2ⁿ)^m)，其多项式表示法为

$A=\underset{i=0}{\overset{m-1}{\mathrm{\Σ}}}{a}_i{\mathrm{\ω}}^i,a_i\∈\mathrm{GF}\left(2^n\right)$

$B=\underset{i=0}{\overset{m-1}{\mathrm{\Σ}}}{b}_i{\mathrm{\ω}}^i,b_i\∈\mathrm{GF}\left(2^n\right)$ (6)

其中r(ω)＝0，则A×B为

$A\×B=\underset{i=0}{\overset{m-1}{\mathrm{\Σ}}}{a}_i{\mathrm{\ω}}^i\underset{j=0}{\overset{m-1}{\mathrm{\Σ}}}{b}_j{\mathrm{\ω}}^j=\underset{i=0}{\overset{m-1}{\mathrm{\Σ}}}{c}_i{\mathrm{\ω}}^i---\left(7\right)$

而从式子(4)中可以发现Mastrovito矩阵存在一种规律性，经过分析后，发现Mastrovito乘法运算中的Z_A有一个别于式子(2)和(3)且更简单的表示方法，即

Z_A＝[Z₀ Z₁…Z_k-1]，Z_i＝A×ωⁱ    (8)

其中Z_i为一行向量，且r(ω)＝0，这个方法让Mastrovito的Z_A矩阵可以即时地获得，且硬件容易实现。因此，以式子(1)和式子(8)所描述的Mastrovito架构来实现式子(7)，可以获得下面的式子

$\left[\begin{array}{c}{c}_0\\ c_1\\ .\\ .\\ .\\ c_{m-1}\end{array}\right]=[\mathrm{A\; A\ω}...{\mathrm{A\ω}}^{m-1}]\left[\begin{array}{c}{b}_0\\ b_1\\ .\\ .\\ .\\ b_{m-1}\end{array}\right]---\left(9\right)$

$=b_{0}A+b_1\mathrm{A\ω}+...+b_{m-1}A{\mathrm{\ω}}^{m-1}$

其中，ω是r(x)的原始元素(primitive element)，也就是r(ω)＝0。在式子(9)中的Aωⁱ为m×1的行向量，因此每一个b_iAωⁱ的乘法都是由m个GF(2ⁿ)的乘法器组成。此处是以一递回方式来求得所有的Aωⁱ。令A＝a₀+a₁ω+a₂ω²+…+a_m-1ω^m-1，则Aω可表示如下。

Aω＝a₀ω+a₁ω²+a₂ω³+…+a_m-1ω^m

＝a₀ω+a₁ω²+a₂ω³+…+a_m-2ω^m-1+

a_m-1(r₀+r₁ω+r₂ω²+…+r_m-1ω^m-1)

＝r₀a_m-1+(a₀+r₁a_m-1)ω+(a₁+r₂a_m-1)ω²+…+(a_m-2+r_m-1a_m-1)ω^m-1

＝a′₀+a′₁ω+a′₂ω²+…+a′_m-1ω^m-1

有了上面Aω的数学式子后，就可以设计出一个递回架构，依序获得Aω、Aω²＝(Aω)ω、Aω³＝(Aω²)ω等值。

因为r(ω)＝0，所以Aω的乘法架构可以使用寄存器移位寄存器(shiftregister)来完成。根据式子(5)，图4是Aω乘法架构的一个范例示意图，并且与所公开的某些实施范例一致。图4的Aω乘法架构400包含m个寄存器411-41m，m个常数乘法器421-42m，以及m-1个n位的异或(XOR)逻辑门432-43m。寄存器41i暂存a_i-1的值，1≤i≤m，此暂存值a_i-1与常数乘法器42j的输出，j＝i+1，经XOR运算后的值被输出至下一个寄存器41j。而常数乘法器421的输出系直接连接至寄存器411。在常数乘法器42j的常数参数r_i的选择上，一般除了r₀之外，其余的r_i参数都会选择加法单位素或乘法单位素，例如GF(2)中的0和1。在上述Aω的数学式子中，乘上ω后，则最高阶的系数a_m-1会和每个常数r_i相乘后再和其他的低阶项次a_i-1相加，所以图4中最右方的寄存器41m的输出线会再与常数乘法器421-42m的每一常数乘法器连接。

假设多项式为r(x)＝r₀+x³+x⁴+x⁵+x¹⁶，r₀∈GF(2⁸)，则图4的范例架构可精简如图5的范例架构。图5的范例架构以16个8位寄存器，一个常数乘法器421，以及三个8位的XOR来实现，此范例架构中，m＝16，n＝8＝2³。因此Aω运算所需的成本可取决于原始多项式的系数。图4或图5的范例架构，其特色之一是当寄存器的内容每往右边位移一次，就等于将寄存器的值乘上原始多项式的根ω。因此，当寄存器的初始值为A时，就可以通过m-1次的位移，分别获得Aω，Aω²，...Aω^m-1。

因此，本申请的实施范例的设计可以用两层式的乘法架构来实现单一循序输入的GF(2^k)乘法器，此乘法器的架构原理是将GF(2^k)的乘法运算以GF((2ⁿ)^m)的方式来实现。图6是一个范例示意图，说明循序运算的伽罗瓦乘法架构，并且与所公开的某些实施范例一致。图6中，循序运算的伽罗瓦乘法架构包含一第一层架构610以及一第二层架构620。第一层架构610将其中一个k位的运算元，例如运算元B，以m个n位的方式循序处理，所以总共需m个时钟。而第二层架构620则直接以n位的乘法器，例如具有Mastrovito乘法器架构，来实现GF(2ⁿ)的乘法运算。

在第一层架构610处理之前，A与B两运算元先从GF(2^k)场被映射到GF((2ⁿ)^m)场。然后，第一层架构610采用循序的架构，依序获得A，Aω，...，Aω^m-1，从这可发现，因为要进行位移，所以A运算元的相关数据需要一次备齐，然后可放在上述图4或图5的范例架构，例如图4的Aω乘法架构400，的寄存器中。而B运算元的数据则采用m次循序的输入方式，循序输入b₀、b₁到b_m-1。第二层架构620于每一次输入b_i时，都需要计算b_i×Aωⁱ，此b_i×Aωⁱ部分的运算另外需要GF(2ⁿ)的乘法，本申请的实施范例是使用平行化的架构来实现GF(2ⁿ)乘法器，也就是循序接收输入的B运算元的数据，并使用m个单一n位的乘法器62j，1 j m，来实现GF(2ⁿ)的乘法运算。第二层架构620的乘法运算结果C再被映射回到GF(2^k)场，以完成GF(2^k)的乘法。

以k＝128＝8×16为例，第一层架构会将其中一个128位的运算元以16个8位的方式循序处理，所以总共需16个时钟。而第二层架构则直接以8位的Mastrovito架构实现GF(2⁸)的乘法运算。

图7的GF((2ⁿ)^m)循序乘法器的工作范例可以来实施GF((2ⁿ)^m)的乘法运算，并且与所公开的某些实施范例一致。图7的GF((2ⁿ)^m)循序乘法器700的工作范例包含第一层架构的范例710以及第二层架构的范例720，其中第一层架构的范例710可用图4的范例架构来实现，而第二层架构的范例720可用m个GF(2ⁿ)乘法器、m个XOR以及m个寄存器701-70m来实现。假设要进行乘法的运算元分别是A和B，其中A＝{a₀，a₁，...a_m-1}而B＝{b₀，b₁，...b_m-1}，如果以图7的架构为例来实现GF(2^k)的乘法架构时，寄存器701-70m暂存C＝{c₀，c₁，c₂，...，c_m-1}＝A×B的结果，即b₀A+b₁Aω+...+b_m-1Aω^m-1，整个执行方法可参考图8的范例流程，并且与所公开的某些实施范例一致。

图8的范例流程中，首先，需要一个转换矩阵，例如同形(isomorphic)转换矩阵T，来将两个运算元A′与B′从GF(2^k)转换到GF((2ⁿ)^m)的运算元A与B，即第一步骤。再利用一个两层式循序输入的伽罗瓦乘法架构，例如图7的GF((2ⁿ)^m)循序乘法器700的范例架构，来求得乘法结果C；若以图7的范例架构来求得乘法结果，其执行方法可包含如下：利用第一层架构，将A运算元的数据一次备齐，将B运算元的数据以m个n位的方式循序输入来处理，即第二步骤；以及利用第二层架构，循序接收输入的B运算元的数据，例如通过一循序器(sequencer)，并直接以多个单一n位的乘法器，例如Mastrovito乘法器，来实现GF(2ⁿ)的乘法运算，即第三步骤。最后再通过反转换矩阵，例如^T-1，将乘法结果C从GF((2ⁿ)^m)转回GF(2^k)里的C′，即完成整个GF(2^k)运算，即第四步骤。也就是说，循序伽罗瓦乘法方法的范例流程可用第一步骤、第二步骤、第三步骤、以及第四步骤来完成。

如前所述，Aω的乘法架构可以使用寄存器移位寄存器来完成。依此，图9以一工作范例，来说明如何使用寄存器移位寄存器来完成图7的范例架构的运作，并且与所公开的某些实施范例一致。

请一并参考图7与图9的范例，首先，如步骤910所示，将第一组(即m个)寄存器411-41m的各对应的初始值从a₀至a_m-1分别填入；而第二组(即m个)寄存器701-70m的各对应的初始值从c₀至c_m-1全部填入0。在步骤920中，先输入b₀，并与第一组寄存器411-41m的值进行GF(2ⁿ)乘法后，与第二组寄存器701-70m的值进行XOR运算，再存入第二组寄存器701-70m，此时第二组寄存器701-70m中的所有值就是b₀A。

在步骤930中，将第一组寄存器411-41m向右位移一次，获得Aω，同时输入b₁并与第一组寄存器的值进行GF(2ⁿ)乘法后，算出b₁Aω，再与第二组寄存器701-70m内的b₀A值进行XOR运算后，存入第二组寄存器701-70m，此时第二组寄存器701-70m中的所有值就是b₀A+b₁Aω。依此，对于循序输入的b₂、b₃、...、b_m-1，重复步骤930，即第一组寄存器向右位移一次至存入第二组寄存器的步骤，最后从第二组寄存器701-70m中获得式子(9)的结果，即b₀A+b₁Aω+…+b_m-1Aω^m-1，如步骤940所示。

从图8的范例可以发现，将两个运算元转换到GF((2ⁿ)^m)场时，需要两个T转换矩阵。然而，在某些应用中，例如MACsec的GCM-AES，其参与乘法运算的第一个参数是H＝E{K，0¹²⁸}，其中E为AES-128演算法，K为加密金钥，0¹²⁸是128位全零的数据。因为K是预先知道的值，且0¹²⁸又是一个常数值，所以H值也是一个预先知道的常数值。而另外一个参与乘法运算的是分组数据及分组长度信息L，这需等到数据开始传输时才会得知，在时间获得数据上有其先后顺序，且H为单一128位数据，只需转换一次即可。因此，可以先进行H的同形转换，再进行分组数据和分组长度的同形转换。所以，在这类两个乘法运算元有时间先后顺序的类似应用中，整个电路的设计只需要一个同形转换电路。

所以，对于两个乘法运算元有时间先后顺序的类似应用中，可采用图10的范例架构来实现GF(2^k)乘法器，并且与所公开的某些实施范例一致。参考图10，当A′数据先进入到乘法器时，此时控制信号1005通过一多工器1012选择A′的路径，让A′经过同形转换矩阵得到A值，经过解多工器1014时，控制信号1005将同形转换矩阵T的输出送到一循序器1020的平行输入处。运算结束后，控制信号1005再将多工器1012以及解多工器1014的路径切换到B′和B，以运算之后所有来自B′的数据。

图11A图的表格中，是以GF(2¹²⁸)乘法器和本申请的GF((2⁸)¹⁶)循序乘法器为范例，分析其所使用的硬件成本。可以发现，本申请的实施范例可以大幅减少XOR闸和AND闸的使用量。图11B图的表格中，进一步进行实务上的比较，比较基准为所使用的现场可编程门阵列(Field-ProgrammableGate Array，FPGA)的使用量。其中一前案技术使用的是Xilinx XC4VLX40，其需要3,800个逻辑基本结构(slices)，而本申请的实施范例只需要2,478个逻辑基本结构。另一前案技术使用的是Xilinx XC4VFX100，此技术的范例最快的架构需要11,178个查询表(Lookup Table，LUT)，最精简的架构需要5,778个查询表，本申请的实施范例与其最精简的架构相较，也节省了约五分之一的硬件成本。

综上所述，本申请的实施范例基于Mastrovito乘法运算和复合场原理，使用一种两层式的乘法架构来实现单一循序输入的GF(2^k)乘法器。第一层架构将其中一个k位的运算元以m个n位的方式循序处理。而第二层架构系直接以n位的架构实现GF(2ⁿ)的乘法运算。本申请的实施范例如应用在以GCM演算法作为预设的加解密运算之类的加解密系统中时，如MACsec和IPsec等，可以有效降低GCM的硬件成本；此外，也可以用于一般的GF乘法运算应用，如错误更正码或是椭圆曲线密码学之中。

以上所述者仅为本申请的实施范例，当不能依此限定本发明实施的范围。即大凡本发明申请专利范围所作的均等变化与修饰，皆应仍属本发明专利涵盖的范围。

Claims (13)

1.一种循序运算的伽罗瓦乘法架构，用来执行伽罗瓦场GF(2^k)的A与B两运算元的乘法，k为正整数，该乘法架构包含：

一第一层架构，将A运算元的数据一次备齐，将B运算元的数据以m个n位的方式循序输入来处理，k＝mn，m、n为正整数；以及

一第二层架构，循序接收输入的B运算元的数据，并以m个单一n位的乘法器来实现GF(2ⁿ)的乘法运算；

其中，在该第一层架构处理之前，该A与B两运算元先从GF(2^k)场被映射到GF((2ⁿ)^m)场，而该第二层架构的乘法运算结果再被映射回到GF(2^k)场，以完成该GF(2^k)的乘法。

2.如权利要求1所述的乘法架构，其中该A与B两运算元通过一种空间转换矩阵，从GF(2^k)场被映射到GF((2ⁿ)^m)场，而该第二层架构的乘法运算结果通过一种反空间转换矩阵再被映射回到GF(2^k)场。

3.如权利要求1所述的乘法架构，其中该第一层架构以m个寄存器，m个常数乘法器，以及m-1个n位的异或逻辑门来实现。

4.如权利要求1所述的乘法架构，其中该第二层架构以m个GF(2ⁿ)乘法器、m个异或逻辑门以及m个寄存器来实现。

5.如权利要求1所述的乘法架构，其中该第一层架构以m个寄存器，一个常数乘法器，以及j个n位的异或逻辑门来实现，1≤j≤m-1。

6.如权利要求1所述的乘法架构，其中该B运算元的数据通过一循序器来输入至该乘法架构。

7.如权利要求1所述的乘法架构，该乘法架构还包括一控制信号，来控制有时间先后顺序的该两运算元的输入。

8.如权利要求1所述的乘法架构，其中该m个单一n位的乘法器具有Mastrovito乘法器的架构。

9.一种循序伽罗瓦乘法方法，用来执行伽罗瓦场GF的乘法运算，该方法包含：

将两运算元A、B从一GF(2^k)场被映射到一GF((2ⁿ)^m)场，k＝mn，k、m、n为正整数；

利用一第一层架构，将A运算元的数据一次备齐，将B运算元的数据以m个n位的方式循序输入来处理；

利用一第二层架构，循序接收输入的B运算元的数据，并直接以多个单一n位的乘法器来实现GF(2ⁿ)的乘法运算；以及

将该第二层架构的乘法运算结果再被映射回到GF(2^k)场，以完成GF(2^k)的乘法。

10.如权利要求9所述的方法，其中在该第一层架构中，该运算元A的数据a₀至a_m-1分别填入一第一组寄存器，而另一运算元B的数据以m个n位b₀至b_m-1来表示。

11.如权利要求10所述的方法，其中在该第二层架构中，该方法还包括：

输入b₀并与该第一组寄存器的值进行GF(2ⁿ)乘法运算后，该乘法运算结果与该第二组寄存器的值进行异或逻辑(XOR)运算后存入该第二组寄存器；以及

将该第一组寄存器的值向右位移一次，获得Aω，输入b₁并与该第一组寄存器的值进行GF(2ⁿ)乘法后，获得b₁Aω，再与该第二组寄存器内的值进行XOR运算后存入该第二组寄存器，依此，对于循序输入的b₂、b₃、...、b_m-1，重复该第一组寄存器向右位移一次直到存入该第二组寄存器的步骤。

12.如权利要求11所述的方法，其中该第二层架构的乘法运算结果是从该第二组寄存器最终的值来获得。

13.如权利要求9所述的方法，其中该两运算元A、B是通过一个同形转换电路，从该GF(2^k)场被映射到该GF((2ⁿ)^m)场。

Images