CN107534449B - 解码装置、解码方法、及程序 - Google Patents

Abstract

降低域相乘的处理量。a是以a₀,…,a_k‑1∈GF(x^q)为元素的k次向量。A是将单位矩阵和范特蒙德矩阵纵向连结的n行k列的矩阵。b是以b₀,…,b_n‑1∈GF(x^q)为元素且将向量a和矩阵A相乘所得的n次向量。向量变换单元(11)使用向量b的

个元素

而生成

次向量b'。逆矩阵生成单元(12)生成

行

列的逆矩阵A'^‑1。明文计算单元(13)通过将向量b'和逆矩阵A'^‑1相乘而计算向量a的元素

Description

解码装置、解码方法、及程序

技术领域

本发明涉及编码技术，特别是涉及有效地进行解码处理的技术。

背景技术

现有的纠错码技术有里德-所罗门码(Reed-Solomon Codes)。里德-所罗 门码例如记载于非专利文献1中。

纠错码的编码处理作为明文的输入向量a乘以线形变换(即矩阵)A而 得到输出向量b的处理能够通过式(1)表现。即，矩阵A的第i号的行表示 为了生成输出向量b的第i号的元素b_i而与输入向量a的各元素相乘的系数。

b＝Aa…(1)

纠错码的解码处理也能够看作是线形变换。能够将A',b'作为A,b中的提 取了仅与用于解码的k个元素对应的行的矩阵或向量，通过式(2)来表现。

b'＝A'a…(2)

因此，如果矩阵A存在逆矩阵，则能够通过(3)进行解码。

a＝A'^-1b'…(3)

在纠错码的编码中，输入向量a为式(4)表示的k次的向量。其中，k 是2以上的整数。

输出向量b为式(5)表示的n次的向量。其中，n是2以上的整数，且 n≧2k-1。

矩阵A是将式(6)表示的k行k列的单位矩阵和m行k列的范特蒙德 矩阵(Vandermonde matrix)纵向连结的矩阵。其中，m＝n-k。范特蒙德矩阵 是在行或列的矩阵元素中按顺序排列等比数列的各项的特别结构的矩阵。

其中，

i∈{0,...,n-1},j∈{0,...,k-1}

即，矩阵A是式(7)那种n行k列的矩阵。

矩阵A中至第k行为单位矩阵，因此，输出向量b的至第k号的元素b₀,…, b_k-1与输入向量a的元素a₀,…,a_k-1一致。在输出向量b中，将与输入向量a 的元素一致的元素称作数据共享，将其以外的元素称作奇偶共享。

现有技术文献

专利文献

非特許文献1：バァナード·スカラー著、“ディジタル通信基本和応 用”、ピアソン·エデュケーション、2006年

发明所要解决的课题

在现有的纠错码技术中，存在处理量大的课题。特别是，在解码处理中 进行的域相乘的处理量大。

发明内容

本发明的目的在于，鉴于这样的方面，提供一种能够降低编码技术中的 域相乘的处理量的解码技术。

用于解决课题的技术方案

为了解决所述课题，本发明提供一种解码装置，x是生成扩展域GF(x^q) 的不可约多项式f[X]的根X，n,k是2以上的整数，n≧2k-1，m是1以上的 整数，m＝n-k，a是以a₀,…,a_k-1∈GF(x^q)为元素的k次向量，A是以下式定 义的n行k列的矩阵，

其中

i∈{0,...,n-1},j∈{0,...,k-1}

b是以b₀,…,b_n-1∈GF(x^q)为元素且将所述向量a和所述矩阵A相乘所 得的n次向量，

是1以上m以下的整数，

是0以上且小于k的 不同的整数，

是0以上且小于k且与

不重复的不同的整 数，

是k以上且小于n的不同的整数，

所述解码装置包含：

使用所述向量b的

个元素

通过下式生成

次的向量b'的 向量变换单元；

通过下式生成

行

列的逆矩阵A'^-1的逆矩阵生成单元；

通过将所述向量b'和所述逆矩阵A'^-1相乘而计算所述向量a的元素

的明文计算单元。

发明效果

根据本发明，能够降低编码技术中的域相乘的处理量。

附图说明

图1是示例解码装置的功能结构的图；

图2是示例解码方法的处理流程的图。

具体实施方式

在说明实施方式之前，说明本发明的原理。

作为前提，在以下的说明中，x是将不可约多项式设为 f[X]＝X⁶⁴+X⁴+X³+X²+X+1的扩展域GF(2⁶⁴)的根X。在将x以整数表现时为 2。

GF(2⁶⁴)是多项式除以以mod 2整数为系数的64次多项式f[X]所得的 (作为多项式的除法运算)余数的集合。作为域能够进行四则运算。也可以 考虑具有特殊的运算的位的64次向量。GF(2⁶⁴)能够以64位整数表现，以 2ⁱ表现项xⁱ。例如，1+x+x³能够表现为2⁰+2¹+2³＝11。

a,b∈GF(2⁶⁴)的乘法运算是将两个63次多项式a,b(式(8))相乘后 除以64次多项式f的操作(式(9))。此时，λ次的项的系数为式(10)。

式(9)中，将对126次多项式进行mod f而设为63次多项式的处理称 为化简(reduction)。化简是使用式(11)的同值关系进行处理。

f＝x⁶⁴+x⁴+x³+x+1＝0mod f…(11)

如果将式(11)变形，则如式(12)所示，成为将64次项降为4次式的 关系。

x⁶⁴＝x⁴+x³+x+1mod f…(12)

如式(13)所示，64次以上的项也全部降低60次次数。

x⁶⁴⁺ⁿ＝xⁿ(x⁴+x³+x+1)mod f…(13)

能够使用63次多项式g和62次多项式h将126次多项式如式(14)那 样表现。

g+x⁶⁴h＝g+(x⁴+x³+x+1)h mod f…(14)

某任意的元素a和x+1的乘法运算(x+1)a能够由式(15)表现。

另外，xⁿa由于a的各项为高n次的项，因此，与整数表现中的2ⁿ倍、或 n位左移等效。因此，能够如式(16)那样表现。

H是62次多项式，因此，式(16)的

成为64次以上的多项式，需要再次降低次数。64次以上的部分如式(17)。

在64位整数内，如果考虑舍去超过64位的位，则只要计算式(18)即 可。

在进行乘法运算时，在一方为61位以内时(更准确而言将两方的位数相 加成为125以下时)，式(19)成立，因此，能够将化简高效化。

因此，如果包含化简在内加以考虑，则在61位数中仅1位成立的数、即 与0≦i≦60的范围内的2ⁱ的乘法运算是高速的。

如上述，在纠错码的解码处理中，通过将提取了用于解码的向量b的元 素的向量b'、和用于编码处理的矩阵A中的提取了与向量b'的元素对应的行 的矩阵A'的逆矩阵相乘，对明文的向量a进行解码。在数据共享b₀,…,b_k-1全部可利用的情况下，数据共享是输入向量的各元素本身，因此，只要将输 入直接输出即可。另一方面，在即使只有一个不能利用的数据共享的情况下， 也需要根据可利用的数据共享和奇偶共享将明文复原。

明文的复原如下进行。设存在

个不能利用的数据共享。其中，

概念而言，只要提取逆矩阵中的

行并与可利用的共享相乘即可。但是，逆 矩阵的元素通常不为x的至60的幂，因此，与逆矩阵中的

行相乘时的处理 量如式(20)所示。此外，MUL为无进位乘法的一次的处理量，RED为化简 的一次的处理量。就无进位乘法而言，只要是Intel(注册商标)公司 Sandy-bridge以后、AMD(注册商标)公司的Bulldozer以后的CPU，则就能 够通过一次的PCLMUL命令进行处理。

代替将逆矩阵直接相乘，利用数据共享仅具有一个输入向量的元素的情 况，首先，从奇偶共享中除去与数据共享对应的输入向量的元素。例如，能 够如式(21)那样使用数据共享b₀，从奇偶共享b_p(其中，p为与任意的奇 偶共享对应的编号)除去了第0号的明文的元素。

根据b₀＝(100…0)a,

b_p＝(1x^p-kx^(p-k)2…x^(p-k)(k-1))a，

b_p-b₀＝(0x^p-kx^(p-k)2…x^(p-k)(k-1))a…(21)

如果使用这样的变形，则能够使用比k次低次的

次平方矩阵来表现应 复原的向量a的元素

其中，

为可利用的数据共享的番号，

为不能利用的 数据共享的编号，

为用于复原的奇偶共享的编号。即，

为0以上且小于k的不同的整数，

为0以上且小于k且不与

重复的不同的整数，

为k以上且小于n的不同的整数。

将式(22)的左边设为向量b'，如式(23)，只要乘以

次平方矩阵的 逆矩阵，就能够将明文复原。

其中

用于生成向量b'所需的处理量为式(24)。此外，BMUL是一方为单项 式的相乘的一次的处理量，BRED是最高次项的次数的合计为2q-d-1以下的 相乘中的化简的一次的处理量。

向量b'和

次的逆矩阵的相乘所需的处理量为式(25)。

因此，整体的处理量为将式(24)和式(25)合并成的式(26)。

在不能利用的数据共享为1个的情况下，即

的情况下，式(23)成 为式(27)。因此，只要预先计算x^p0e0的逆元，并与b'₀相乘即可。

在不能利用的数据共享为2个以上4个以下的情况下，即

的情 况下，能够进一步消减一个次数。在

时，式(22)的

次正方矩阵因为 元素均为x的幂，所以只要排序为

则就如式(28)那样能 够通过BMUL,BRED再降低一个次数。

剩余的a_e0使用式(28)中求出的

通过式(29)计算。

该情况下的处理量为式(30)。

对通过式(30)减少处理量的情况进行说明。首先，BMUL和MUL的合计数在式(20)(26)(30)中均相等，为

次。接着，查明MUL的次数减少。式(20)中为

次，式(26)中为

次，式(30)中为

在

时，式(30)<式(26)<式(20)。RED的数为式(30)＝式(26) <式(20)。BRED的数在式(20)中为0，在式(26)中为

在式(30) 中增加为

但在

时，增量为MUL的减少量以下。因此，在 BRED+BMUL<MUL成立的情况下，整体上处理量降低。此外，在

时， 不能对于各i保持b'_i和b'_i-x^(pi-p0)e0b'₀这两方，成为加载/存储的开销，因此， 不能进行该次数消减。

在不能利用的数据共享为2个的情况下，

因此，式(28)与

的情况相同，如式(31)那样成为简单的式。因此，只要预先计算x^p1e1-x^{p0e1+(p1-p0)e0}的逆元，与b'₁相乘即可。之后，使用式(29)对a_e0进行解码。

在不能利用的数据共享为3个以上的情况下，乘以逆矩阵时的处理量成 为式(32)。

在此，尝试仅将

中的1个(例如a_e0)复原。于是，必要的处 理量成为式(33)。

于是，通过与除去数据共享成分时相同的方法，通过式(34)的处理量 能够消减1次次数。

在重复该次数消减的情况下，处理量成为式(35)。

与式(26)相比，MUL和BMUL的总数相等，MUL的比率减轻约一半。 仅BRED增加，但由于增量与MUL的减少量相等，所以如果 BUL+BRED<MUL，则作为整体，处理量降低。

就绝对的计算量而言，式(35)为最小，但在一个一个地将数据共享复 原，反复从其它奇偶共享除去该成分的方法中，存在MUL和RED的并行性 降低的问题。与和并列性高的逆矩阵的乘法运算相比，仅能依次执行的处理 会增加，因此，性能会因CPU的MUL,RED的可并行执行的数而降低。因此， 最终反复进行通过CPU的MUL,RED的每次可并行执行的数的逆矩阵进行复 原，从奇偶共享除去该复原了的成分的方法最快。此外，MUL的可并行执行 的数在Intel公司的Ivy-Bridge中为1，在Haswell中为2，RED的可并行执行 的数在Ivy-Bridge,Haswell均为2。

下式表示实现了上述的纠错码的解码处理的算法的例子。此外，f是不能 利用的个数，d₀,…,d_k-f-1是k-f个可利用的数据共享编号，p₀,…,p_f-1是f个能 利用的奇偶共享编号，e₀,…,e_f-1是应复原的明文编号，以k-f个数据共享b_d0,…, b_dk-f-1、f个奇偶共享b_p0,…,b_pf-1作为输入，以系数矩阵的列C₀,…,系数c₀,c₁作为辅助输入，以明文a_e0,…,a_ef-1作为输出。

1:

2:iff∈{3,4}then

3:

4:f′:＝f-1

5:else

6:b″:＝b′(仅视为。不进行复制等)

7:f′:＝f

8:i:＝0

9:whilef′>2do

10:

11:

12:f′:＝f′-2

13:if f′＝2then

14:

15:

16:

作为辅助输入的系数矩阵C_i及系数c₀,c₁根据

的值如下设定。

在

的情况下，系数仅为下式的c₀。c₀为x的幂的逆元，因此，仅通 过参照表即可计算。

在

的情况下，在上述的c₀的基础上，为次式的c₁。

在

的情况下，除上述的c₀,c₁之外，为式(28)左边的

次正方矩 阵的逆矩阵。

在

的情况下，是上述的c₀,c₁、和式(28)左边的

次正方矩阵的 逆矩阵中的第1行(编号从0开始)和第2行。逆矩阵的一个行与用于将一 个明文共享复原的系数列相等。考虑上述的CPU的MUL,RED的可并行执行 的数而将明文共享从后方开始每两个进行复原时的效率好，因此，需要从后 数2行。

在

的情况下，与

的情况相同，为了从后方开始每次两个进行复 原，首先需要从

次正方矩阵的逆矩阵的后方开始2行。接着，需要从剩余 的

次正方矩阵的逆矩阵的后方开始2行。这样，相对于

次正方矩阵中 的、满足

的各i，需要从左上部

次正方矩阵的逆矩阵的后方开始 每次2行。可以不必求

次的逆矩阵而通过一次三角化进行。其原因在于， 三角化、后退代入均是左上部分不被更右下的部分影响，所以除去了右2列 下2行的矩阵的三角矩阵与从整体的三角矩阵除去了右2列下2行的矩阵相 同。

以下，对本发明的实施方式进行详细说明。此外，对于附图中具有相同 功能的结构部标注同一编号，省略重复说明。

如图1所示，实施方式的解码装置1包含向量输入单元10、向量变换单 元11、逆矩阵生成单元12、明文计算单元13、及向量输出单元14。该解码 装置1通过进行图2所示例的各步骤的处理，实现实施方式的解码方法。

解码装置1例如是使具有中央运算处理装置(CPU:Central Processing Unit)、主存储装置(RAM:Random Access Memory)等的公知或专用的计算 机读入特别的程序而构成的特别的装置。解码装置1例如基于中央运算处理 装置的控制来执行各处理。被输入解码装置1的数据或各处理中得到的数据 例如存储于主存储装置中，存储于主存储装置的数据根据需要被读出到中央 运算处理装置而用于其它处理。解码装置1的各处理单元也可以至少一部分 由集成电路等硬件构成。

参照图2说明实施方式的解码方法的处理步骤。

在步骤S10，向向量输入单元10输入n次向量b。n次向量b的奇偶共享 中的可利用的

个元素

被送入向量变换单元11。另外， 向量b的数据共享中的可利用的

个的元素

被送入向量输出单 元14。向量b是将由式(36)定义的k次向量a和由式(37)定义的n行k 列的矩阵A相乘所得的n次向量。

其中

i∈{0,...,n-1},j∈{0,...,k-1}

在步骤S11，向量变换单元11使用

通过式(38)生成

次 的向量b'。向量b'被送入明文计算单元13。

在步骤S12，逆矩阵生成单元12通过式(39)生成

行

列的逆矩阵 A'^-1。逆矩阵A'^-1被送入明文计算单元13。如果确定使用k个奇偶共享中的哪 一

个进行复原，则就能够生成逆矩阵A'^-1，因此，也可以对所有的

个组 合预先计算逆矩阵A'^-1。该情况下，逆矩阵生成单元12可以仅从预先生成的 逆矩阵中选择适宜的矩阵。

在步骤S13，如式(40)所示，明文计算单元13通过将向量b'和逆矩阵 A'^-1相乘而计算向量a的元素

元素

被送入向量输出单 元14。

在步骤S14，向量输出单元14将从向量输入单元10接收的

个元素

和通过明文计算单元13计算出的

个元素

作为元 素来复原k次向量a，并输出该向量a。

通过如上述构成，根据实施方式的解码装置，在将作为k次正方矩阵的 矩阵A'消减次数为

次正方矩阵后运算逆矩阵A'^-1，进行解码。由此，因为 是

个多项式相乘中的、

个量仅通过项的移动即可实现的轻量的多 项式相乘，所以效率高。一般的多项式相乘相对于扩展次数q为q²的计算量。 与之相对，基于项的移动的计算量在实际移动了的情况下为q的计算量，在 假设仅具有移动量的标记的情况下计算量为1。

本发明的解码技术可以适用于计算量的秘密分散。计算量型秘密分散是 基于计算量的安全性从小于一定个数的分散值完全不能将原始数据复原的秘 密分散方式。计算量型秘密分散例如记载于下述参考文献1中。

〔参考文献1〕H.Krawczyk,“Secret sharing made short.”,CRYPTO 1993,pp.136-146,1993.

不言而喻，本发明不限于上述的实施方式，在不脱离本发明的宗旨的范 围内也可以进行适宜变更。上述实施方式中说明的各种处理不仅按照记载的 顺序以时间系列执行，而且还可以根据执行处理的装置的处理能力或需要并 列或单独地执行。

[程序、记录介质]

在上述实施方式中说明的各装置中的各种处理功能通过计算机实现的情 况下，各装置应具有的功能的处理内容通过程序进行记述。而且，通过由计 算机执行该程序，在计算机上实现上述各装置中的各种处理功能。

记述有该处理内容的程序能够事先记录于可由计算机读取的记录介质 中。作为可由计算机读取的记录介质，例如也可以为磁记录装置、光盘、光 磁记录介质、半导体存储器等。

另外，该程序的流通对记录了该程序的DVD、CD-ROM、USB存储器等 可移动记录介质进行销售、转让、借出等来进行。进而，也可以将该程序储 存至服务器计算机的存储装置，经由网络从服务器计算机向其他计算机转发 该程序，从而使该程序流通。

执行这样的程序的计算机例如首先将在可移动记录介质中记录的程序或 从服务器计算机转发的程序暂时储存至自己的存储部。并且，在执行处理时， 该计算机读取在自己的记录介质中储存的程序，执行按照所读取的程序的处 理。另外，作为该程序的另一实施方式，也可以设为计算机从可移动记录介 质直接读取程序，执行按照该程序的处理。进而，也可以设为在每次从服务 器计算机向该计算机转发程序时，逐次执行按照所接受的程序的处理。另外， 也可以设为不进行从服务器计算机向该计算机的程序的转发，而是通过仅通 过其执行指示和结果取得来实现处理功能的所谓ASP((应用服务提供商(Application Service Provider))型的服务来执行上述的处理的结构。此外， 在本方式的程序中，包括供电子计算机的处理用的信息且遵照程序的数据(虽 然不是对于计算机的直接指令但具有规定计算机的处理的性质的数据等)。

另外，在该方式中，通过在计算机上执行预定的程序而构成了各装置， 但这些处理内容的至少一部分也可以通过硬件来实现。

Claims (6)

1.一种用于检错-纠错码的解码处理的解码装置，x是生成扩展域GF(x^q)的不可约多项式f[X]的根X，n,k是2以上的整数，n≧2k-1，m是1以上的整数，m＝n-k，a是以a₀,…,a_k-1∈GF(x^q)为元素的k次向量，A是以下式定义的n行k列的矩阵，

其中,

i∈{0,...,n-1},j∈{0,...,k-1}

b是以b₀,…,b_n-1∈GF(x^q)为元素且将所述向量a和所述矩阵A相乘所得的n次向量，

是1以上m以下的整数，

是0以上且小于k的不同的整数，

是0以上且小于k且与

不重复的不同的整数，

是k以上且小于n的不同的整数，

所述解码装置包含：

使用所述向量b的

个的元素

通过下式生成

次的向量b'的向量变换单元；

通过下式生成

行

列的逆矩阵A'^-1的逆矩阵生成单元；

通过将所述向量b'和所述逆矩阵A'^-1相乘而计算所述向量a的元素

的明文计算单元。

2.如权利要求1所述的解码装置，其中，

是2以上4以下的整数，

所述向量变换单元是使用所述向量b'，通过下式生成

次的向量b"的单元，

所述逆矩阵生成单元是通过下式生成

行

列的逆矩阵A"^-1的单元，

所述明文计算单元是通过将所述向量b"和所述逆矩阵A"^-1相乘而计算所述向量a的元素

且通过下式来计算所述向量a的元素a_e0的单元，

3.如权利要求2所述的解码装置，其中，

所述明文计算单元对于满足

的i，反复将从所述逆矩阵A"^-1的左上部

次正方矩阵的后方开始2行和所述向量b"的第0号至第

号的元素并行相乘，计算所述向量a的元素

且通过下式计算所述向量a的元素a_e1，

a_e1＝c₁b′₁

其中,

且通过下式计算所述向量a的元素a_e0，

其中,。

4.如权利要求1～3中任一项所述的解码装置，其中，

x＝2，

所述向量变换单元、所述逆矩阵生成单元、及所述明文计算单元将相加作为异或运算，将多项式相乘作为位移运算进行计算。

5.一种用于检错-纠错码的解码处理的解码方法，x是生成扩展域GF(x^q)的不可约多项式f[X]的根X，n,k是2以上的整数，n≧2k-1，m是1以上的整数，m＝n-k，a是以a₀,…,a_k-1∈GF(x^q)为元素的k次向量，A是以下式定义的n行k列的矩阵，

其中,

i∈{0,...,n-1},j∈{0,...,k-1}

b是以b₀,…,b_n-1∈GF(x^q)为元素且将所述向量a和所述矩阵A相乘所得的n次向量，

是1以上m以下的整数，

是0以上且小于k的不同的整数，

是0以上且小于k且与

不重复的不同的整数，

是k以上且小于n的不同的整数，

所述解码方法包含：

向量变换步骤，向量变换单元使用所述向量b的

个的元素

通过下式生成

次的向量b'；

逆矩阵生成步骤，逆矩阵生成单元通过下式生成

行

列的逆矩阵A'^-1；

明文计算步骤，明文计算单元通过将所述向量b'和所述逆矩阵A'^-1相乘而计算所述向量a的元素

6.一种记录了程序的计算机可读取的记录介质，所述程序用于使计算机作为权利要求1～4中任一项所述的解码装置起作用。

Images