CN117134917A - 一种用于椭圆曲线加密的快速模运算方法和装置 - Google Patents

Abstract

本发明提供一种用于椭圆曲线加密的快速模运算方法和装置，该方法包括：获取计算目标r，其中，r＝(a*b)modq，a和b分别为1位至k位的乘数，q为模数，r的取值范围为[0,q)；预计算生成模数q的固定形式；使用四分法Karatsuba乘法器计算a*b，获得乘积z；判断乘积z是否小于q，如果是，输出z，如果否，则判断所述乘积z是否大于q且小于2q，如果是，则输出a*b‑q，如果否，则使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值并输出所述近似值本发明实施例在进行Barrett模乘时，使用四分法Karatsuba乘法器，可以使乘法降低到10次，大大减少了DSP资源的使用。

Description

一种用于椭圆曲线加密的快速模运算方法和装置

技术领域

本发明涉及公钥加密中的基础运算技术领域，尤其涉及一种用于椭圆曲线加密的快速模运算方法和装置。

背景技术

随着互联网时代的发展，网络通信中的隐私安全问题逐渐成为当下的讨论热点，密码学作为一切信息安全的基石，也随着需求的变更而不断改进和完善。在新兴的数字时代，云计算安全、数据安全等切实的问题都涉及到公钥密码学，而ECC(Elliptic curvecryptography，椭圆曲线密码学)加密算法则是其中重要的部分。相比于传统的以大数分解为困难问题的RSA、标准离散对数为困难问题的ElGamall算法，ECC加密体系可以用更短的密钥长度即更少的存储就能达到与前述加密系统相同的安全。

快速模运算是公钥密码学，特别是椭圆曲线加密非常关注的技术话题。由于硬件的条件限制，计算机硬件计算乘除、模乘、模幂等运算需要精心设计的算法去优化，设计出能够高效计算且开销较小的运算方法一直是本领域研究的热门方向。现有的快速模运算常常与格密码结合，许多特化的模乘算法专门针对快速数论变换(Number TheoreticTransfer，NTT)友好的模数做了改进。

经典的快速模运算有蒙哥马利系列算法(约减、模乘、模逆)、巴瑞特模乘、查找表方法等。蒙哥马利系列算法由1985年Peter L.Montgomery首次提出，采用的方法是数的转换，将被乘数先转换到蒙哥马利域，再对其做约减算法，最终结果再由蒙哥马利域转换回结果数值。蒙哥马利缺点在于仅计算有限次大数模乘时，蒙哥马利域和真实数字的转换开销较大，因为单次蒙哥马利模乘需要四次约减，两个被乘数到蒙哥马利域分别需要一次，蒙哥马利域上约减一次，最后还原回真实数值一次。因此蒙哥马利算法不适用于较灵活的模乘。

查找表方法也是硬件设计模运算时会采用的方法，它的缺陷在于计算位长的次数过多，而且对数的依赖比较大，有不确定性。有些数采用查找表的表现会很好，有些则会低效。如果刚好是01分布较为随机的输入，则查找表的复杂度很难估计，所以查找表的灵活度不够高，不适用于ECC中的模乘。

Barrett模乘使用的是一种对商求放大近似再缩小的思想，相比于前两种模乘算法，灵活程度更高。但是直接使用高低位分离的标准方式实现，Barrett模乘同样存在一些问题，例如直接分位进位做乘法会需要大量乘法器，使得硬件设计乘法器时多出许多繁琐的步骤，浪费DSP(Digital Signal Processing，数字信号处理)资源。

发明内容

有鉴于此，本发明实施例的目的在于提供一种用于椭圆曲线加密的快速模运算方法和装置，以解决现有技术中使用Barrett模乘时，因直接使用高低位分离的标准方式做乘法时需要大量乘法器，使得硬件设计乘法器时多出许多繁琐的步骤，浪费DSP资源的技术问题。

为达到上述目的，第一方面，本发明提供一种用于椭圆曲线加密的快速模运算方法，所述快速模运算方法包括：

获取计算目标r，其中，r＝(a*b)modq，a和b均为乘数，q为模数；

预计算生成所述模数q的固定形式；

使用四分法Karatsuba乘法器计算a*b，获得第一乘积z；

判断所述第一乘积z是否小于q，如果所述第一乘积z小于q，则输出z；

当判断所述第一乘积z不小于q时，继续判断所述第一乘积z是否大于q且小于2q，当所述第一乘积z大于q且小于2q时，输出z-q；

当判断所述第一乘积z不小于2q时，使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值并将所述近似值/>与所述模数q进行比较后输出所述近似值/>

在一些可能的实施方式中，所述的使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值具体包括：

预计算第一参数α为第一移位数，其中，k是q的位数；

预计算第二参数β为第二移位数，其中，k是q的位数；

使用四分法Karatsuba乘法器计算获得第二乘积p；

计算所述第二乘积p的近似值其中，/>

使用所述四分法Karatsuba乘法器计算获得计算目标r；

通过约减的方式计算所述计算目标r的近似值其中，/>

将所述近似值与所述模数q进行比较，当所述近似值/>小于所述模数q时，输出近似值/>反之，反复计算/>直至所述近似值/>小于所述模数q，输出所述近似值/>

在一些可能的实施方式中，所述模数q的固定形式为2^k-2N+1，其中，N为任意正整数，q的取值范围为[2^k-1,2^k)，其中，k是q的位数。

在一些可能的实施方式中，所述的使用四分法Karatsuba乘法器计算a*b，获得第一乘积z，具体包括：

将乘数a和乘数b拆分成若干个位宽为G的子操作数，通过所述若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算a*b，获得第一乘积z。

在一些可能的实施方式中，所述的使用四分法Karatsuba乘法器计算获得第二乘积p，具体包括：

将第一参数μ和第二参数拆分成若干个位宽为G的子操作数，通过所述若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算/>获得第二乘积p；

所述的使用Karatsuba算法器计算获得计算目标r，具体包括：

将所述第二乘积和所述模数q拆分成若干个位宽为G的子操作数，通过所述若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算/>获得计算目标r。

在一些可能的实施方式中，所述第一移位数的值为k-1；所述第二移位数的值为0。

第二方面，本发明实施例提供了一种用于椭圆曲线加密的快速模运算装置，所述快速模运算装置包括：

获取单元，用于获取计算目标r，其中，r＝(a*b)modq，a和b均为乘数，q为模数；

预计算单元，用于预计算生成所述模数q的固定形式；

乘法计算单元，用于使用四分法Karatsuba乘法器计算a*b，获得第一乘积z；

第一判断与输出单元，用于判断所述第一乘积z是否小于q，如果所述第一乘积z小于q，则输出z；

第二判断与输出单元，用于当判断所述第一乘积z不小于q时，继续判断所述第一乘积z是否大于q且小于2q，当所述第一乘积z大于q且小于2q时，输出z-q；

模运算与比较单元，用于当判断所述第一乘积z不小于2q时，使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值并将所述近似值/>与所述模数q进行比较后输出所述近似值/>

在一些可能的实施方式中，所述的模运算与比较单元具体用于：

预计算第一参数α为第一移位数，其中，k是q的位数；

预计算第二参数β为第二移位数，其中，k是q的位数；

使用所述四分法Karatsuba乘法器计算获得第二乘积p；

计算所述第二乘积p的近似值其中，/>

使用所述四分法Karatsuba乘法器计算获得计算目标r；

通过约减的方式计算所述计算目标r的近似值

将所述近似值与所述模数q进行比较，当所述近似值/>小于所述模数q时，输出近似值/>反之，反复计算/>直至所述近似值/>小于所述模数q，输出所述近似值/>

第三方面，本发明实施例提供了一种计算机可读存储介质，其上存储有程序代码，该程序代码被处理器执行时实现一种用于椭圆曲线加密的快速模运算方法。

第四方面，本发明实施例提供了一种计算机设备，其包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为执行所述指令，以实现一种用于椭圆曲线加密的快速模运算方法。

上述技术方案具有如下有益效果：

本发明实施例提供一种用于椭圆曲线加密的快速模运算方法和装置，该方法包括：获取计算目标r，其中，r＝(a*b)modq，a和b分别为1位至k位的乘数，q为模数，r的取值范围为[0,q)；预计算生成模数q的固定形式；使用四分法Karatsuba乘法器计算a*b，获得乘积z；判断乘积z是否小于q，如果是，则输出z，如果否，则判断第一乘积z是否大于q且小于2q，如果是，则输出a*b-q，如果否，则使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值并输出所述近似值/>本发明实施例在进行Barrett模乘时，使用四分法Karatsuba乘法器，可以使乘法降低到10次，大大减少了DSP资源的使用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的一种用于椭圆曲线加密的快速模运算方法的流程图；

图2是本发明实施例的一种Barrett模运算的电路图；

图3是本发明实施例的一种Karatsuba四分法的电路图；

图4是本发明实施例的一种用于椭圆曲线加密的快速模运算方法的逻辑图；

图5是本发明实施例的一种用于椭圆曲线加密的快速模运算装置的结构框图；

图6是本发明实施例的一种计算机可读存储介质的功能框图；

图7是本发明实施例的一种计算机设备的功能框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

图1是本发明实施例的一种用于椭圆曲线加密的快速模运算方法的流程图，如图1所示，该快速模运算方法包括如下步骤：

步骤S1，获取计算目标r，其中，r＝(a*b)modq，a和b均为乘数，q为模数。

本实施例中，输入小于k位的两个乘数a和b，要求输出a*b mod q的计算结果，k为单字(singleword)。

步骤S2，预计算生成模数q的固定形式。

本实施例中，可以预计算生成模数q的固定形式，例如，q＝2^k-2N+1，k是q的位数，q的取值范围为[2^k-1,2^k)，N可以自定义，但是为了保证占满k位，N的取值一般是2¹⁰～2¹⁵，例如，模数取值范围在192位至512位之间，将占满2的幂次位，这样就可以在后面计算μ时让成为单字长(k位)，而且模数一半都是2的幂次位，这样在计算模运算的时候，方便计算出来的数在[0,2ⁿ)之间。因为ECC加密体系需要的密钥长度更长一些，在192位到512位，所以本实施例可以使得椭圆曲线加密得到性能更优的运算。

步骤S3，使用四分法Karatsuba乘法器计算a*b，获得第一乘积z。

Karatsuba乘法是一种快速乘法。Karatsuba算法主要应用于两个大数的相乘，原理是将大数分成两段后变成较小的数位，然后做3次乘法，并附带少量的加法操作和移位操作。

而本实施例中，使用四分法Karatsuba乘法器，将一个四分的乘法次数从16次降到10次。例如，256*256位乘法，乘数可以分为4组64位的小块，使用不加Karatsuba的乘法需要4*4＝16次乘法然后对结果相加、进位，而使用四分法Karatsuba乘法器，可以使乘法降低到10次，大大减少了DSP资源的使用。

步骤S4，判断第一乘积z是否小于q，如果第一乘积z小于q，则输出z。

步骤S5，当判断第一乘积z不小于q时，继续判断第一乘积z是否大于q且小于2q，当第一乘积z大于q且小于2q时，输出z-q。

步骤S6，当判断第一乘积z不小于2q时，使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值并将所述近似值/>与所述模数q进行比较后输出所述近似值

本发明实施例中，最终计算获得的取模结果要在[0,q)之间，所以当a*b<q时，即z小于q，直接输出a*b的结果(即z)即可，而当a*b不小于q时，当q<a*b<2q时，为了使得结果在[0,q)之间，需要输出a*b-q，而当a*b不小于2q时，即a*b＞2q时，即不属于上述两种情况时，需要使用Barrett模运算的方式进行移位计算，获得计算目标r的近似值并输出近似值/>另外，需要说明的是，本实施例取模计算式，结果不能为0，所以不存在a*b＝q或者a*b＝2q的情况。

具体的，本实施例中，使用Barrett模运算的方式进行移位计算，获得计算目标r的近似值具体包括：

预计算第一参数α为第一移位数；

预计算第二参数β为第二移位数；

本实施例中，为了便于计算，要预先计算第一参数μ和第二参数的值，μ是/>的向下取整数，/>是/>的向下取整，第一参数μ和第二参数/>均为计算结果的几个因数之一，通过近似的方法预先求这些因数，可以极大提高计算速度。

使用四分法Karatsuba乘法器计算获得第二乘积p；

计算第二乘积p的近似值其中，/>

使用四分法Karatsuba乘法器计算获得计算目标r；

通过约减的方式计算计算目标r的近似值其中，/>

将近似值与模数q进行比较，当近似值/>小于模数q时，输出近似值/>反之，反复计算/>直至近似值/>小于所述模数q，输出近似值/>

具体的，本实施例中，原本模运算的计算结果为r＝a*b mod q＝z-p*q,因为直接求p是很困难的，所以换成用近似的方法求一个/>参照如下公式：

求出以后，即可求出p，然后采用约减的形式来求/>

图2是本发明实施例的一种Barrett模运算的电路图，如图2所示，本实施例中，先输入k位的a和b，相乘后位移k，与预计算第一参数μ相乘，得到2k-1单字长的结果，再位移k-1得到 与q相乘得到一个双字长(2k)的结果，用a*b去减，得到/>有可能一轮约减即可得出结果，但是最多不超过三轮约减即可得出结果，另外，每次约减都可能是k位或者2k位，但是三次约减中一定会有k位，例如，可能第一次约减就得到k，有可能第二次约减得到k位，有可能第三次约减得到k位，所以通过一个复用器选择约减为k位的轮次，即哪个是k位就输出哪个，最终的结果为r＝a*b mod q，位长是k。

在一些实施例中，使用四分法Karatsuba乘法器计算a*b，获得第一乘积z，具体包括：

将乘数a和乘数b拆分成若干个位宽为G的子操作数，通过若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算a*b，获得第一乘积z；

使用四分法Karatsuba乘法器计算获得第二乘积p，具体包括：将第一参数μ和第二参数/>拆分成若干个位宽为G的子操作数，通过若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算/>获得第二乘积p；

使用Karatsuba算法器计算获得计算目标r，具体包括：将第二乘积/>和模数q拆分成若干个位宽为G的子操作数，通过若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算/>获得计算目标r。

图3是本发明实施例的一种Karatsuba四分法的电路图，如图3所示，在执行两个k位(bit)大整数a和b相乘时，本实施例会使用基于Karatsuba算法，将两个大整数a和b分别拆分为四个h位宽的子操作数，每个子操作数包括相应的操作数的连续h位的内容，且各个子操作数的内容连续而不重合。

具体的，将a和b分别拆分为a_FPS0，a_FPS1，a_FPS2，a_FPS3，b_FPS0，b_FPS1，b_FPS2，b_FPS3，分别记为a₀，a₁，a₂，a₃，b₀，b₁，b₂和b₃，其中，a₀，a₁，a₂，a₃，b₀，b₁，b₂和b₃满足：

a＝a₀+2^ha₁+2^2ha₂+2^3ha₃

b＝Y₀+2^hb₁+2^2hb₂+2^3hb₃

之后分别计算乘法：

P₀₀＝a₀b₀，P₁₁＝a₁b₁，P₂₂＝a₂b₂，P₃₃＝a₃b₃；

D₃₂＝(a₃-a₂)(b₃-b₂)，D₃₁＝(a₃-a₁)(b₃-b₁)，D₃₀＝(a₃-a₀)(b₃-b₀)；

D₂₁＝(a₂-a₁)(b₂-b₁)，D₂₀＝(a₂-a₀)(b₂-b₀)；

D₁₀＝(a₁-a₀)(b₁-b₀)。

其中，P₀₀、P₁₁、P₂₂、P₃₃、D₃₂、D₃₁、D₃₀、D₂₁、D₂₀和D₁₀为操作数a和操作数b分别对应的子操作数之间的10次乘积，P₀₀、P₁₁、P₂₂和P₃₃表示两个子操作数直接通过乘法器(X)相乘的结果，D₃₂、D₃₁、D₃₀、D₂₁、D₂₀和D₁₀表示子操作数通过减法器(-)相减后的再通过乘法器相乘的结果；本实施例中，将原本的16次乘法减少为10次，图3中的“X”表示乘法器、“-”表示减法器、“+”表示加法器。

通过上述h位宽的乘法计算，使用加法器(+)计算得到的和为S₀～S₆：

S₀＝P₀₀；

S₁＝P₁₁+P₀₀-D₁₀；

S₂＝P₂₂+P₁₁+P₀₀-D₂₀；

S₃＝P₃₃+P₀₀+P₂₂+P₁₁-D₃₀-D₂₁,；

S₄＝P₃₃+P₂₂+P₁₁-D₃₁；

S₅＝P₃₃+P₂₂-D₃₂；

S₆＝P₃₃。

得到a和b的乘积结果为：

S＝S₀+2^hS₁+2^2hS₂+2^3hS₃+2^4hS₄+2^5hS₅+2^6hS₆

本实施例中，通过使用四分法Karatsuba乘法器，将一个四分的乘法次数从16次降到10次。例如，256*256位乘法，乘数可以分为4组64位的小块，使用不加Karatsuba的乘法需要4*4＝16次乘法然后对结果相加、进位。而使用四分法Karatsuba乘法器，可以使乘法降低到10次，大大减少了DSP资源的使用。

在一些实施例中，第一移位数的值为k-1；第二移位数的值为0。

具体的，在实际计算过程中，令所以满足：

在上述实际的计算中发现：最终计算时，约减/>的轮数取决于2^k-α+2^1+β的大小。可以看到，k是固定的，因此希望α≥k,β≤-1，这样，最大约减轮数也可以约束在一轮。但本实施例希望两个乘数的位长一致，这样能够使用设计的Karatsuba四分乘法器。但是又希望α≤k-1,β≥0，这样就不得不牺牲一些约减轮数来使该四分乘法器可用。综合考量，取α＝k-1,β＝0时，可以使Barrett模乘过程中所产生的乘数的位长都约束在单字，且约减轮数至多3轮，即通过调整α的和β的值来控制约减轮数，相当于用很少的减法换取了过程中更复杂的乘法设计。

本发明实施例中，对Barrett模乘进行了参数选取的优化。原始的Barrett模乘倾向于选取α＝k,β＝-1，但本实施例中，参数选取α＝k-1,β＝0，使得μ、和/>都可以约束在单字长精度，因此，使得乘数的位数可以对齐，即可以通过本实施例提供的Karatsuba四分乘法计算操作数。

在实际应用中，快速模运算可以在FPGA等硬件上实现，用于制造隐私计算友好的硬件加速板卡，从而加速椭圆曲线加密。椭圆曲线加密可以应用在许多场景，例如在隐私计算的隐私集合求交(Private Set Intersection，简称PSI)中，使用椭圆曲线diffie-hellman密钥交换协议需要进行椭圆曲线计算的加速。

本发明实施例通过一种优化过的Karatsuba-Ofman四分算法(简称Karatsuba算法)，将乘数双方的位宽分为四部分，套用进巴瑞特(Barrett)模乘中。并且，本发明实施例计算Barrett模乘的理论极限值，从而设计出一种适用于192位到512位的Barrett模乘方法。该方法软硬件结合，采取软件预计算固定参数和硬件实现底层固定的算数电路的方式，可以解决硬件在计算中间结果时超出预期字长的问题，从而使椭圆曲线加密得到性能更优的运算。

图4是本发明实施例的一种用于椭圆曲线加密的快速模运算方法的逻辑图，如图4所示：

S10，预计算模数q，占满k位，输入乘数a和b，a和b的范围为(0,2^k)，使用四分法Karatsuba乘法器计算a*b，获得第一乘积z。

具体的，在计算之前，需要预计算生成模数q的固定形式，例如，q＝2^k-2N+1，k是q的位数，q的取值范围为[2^k-1,2^k)，N可以自定义，但是为了保证占满k位，N的取值一般是2¹⁰～2¹⁵，例如，模数取值范围在192位至512位之间，将占满2的幂次位，这样就可以在后面计算μ时让成为单字长(k位)，而且模数一半都是2的幂次位，这样在计算模运算的时候，方便计算出来的数在[0,2ⁿ)之间。因为ECC(Ellipse Curve Cryptography，椭圆曲线密码学)加密体系需要的密钥长度更长一些，在192位到512位，所以本实施例可以使得椭圆曲线加密得到性能更优的运算。

输入乘数a和b，a和b的范围为(0,2^k)，使用四分法Karatsuba乘法器计算a*b，获得第一乘积z。

S20，判断第一乘积z是否小于q，如果是，则输出第一乘积z，如果否，则判断第一乘积z是否大于q且小于2q，如果是，则输出z-q，如果否，则执行S30。

本发明实施例中，最终计算获得的取模结果要在[0,q)之间，所以当a*b<q时，即z小于q，直接输出a*b的结果(即z)即可，当q<a*b<2q时，为了使得结果在[0,q)之间，需要输出a*b-q，反之，需要使用Barrett模运算的方式进行移位计算，获得计算目标r的近似值并输出近似值/>

S30，执行位移计算，该位移计算包括：

预计算第一参数第一参数μ也可以记为μ＝floor(2^(k+α)/q)，/>为对/>向下取整数；

执行第一次位移计算，预计算第二参数第二参数/>也可以记为 是对/>向下取整数；

使用四分法Karatsuba乘法器计算获得第二乘积p；

执行第二次位移计算，对第二乘积p进行移位计算，计算第二乘积p的近似值其中，/>(也可以记为/>

使用四分法Karatsuba乘法器计算获得计算目标r；

计算通过约减的方式计算计算目标r的近似值/>

S40，将所述近似值与所述模数q进行比较，当所述近似值/>小于所述模数q时，输出近似值/>反之，反复计算/>直至所述近似值/>小于所述模数q，输出所述近似值/>

本实施例中，判断近似值是否小于模数q，如果是，输出近似值/>反之，反复计算直至近似值/>小于模数q，输出近似值/>

本发明实施例由于采用了更合适的参数，所以可以让计算更加灵活。把原始的Barrett模运算中需要的三个字长优化为两个字长，友好支持硬件运算。

本发明实施例与ECC相结合，更好地服务椭圆曲线相关的应用，例如基于ECDSA(Elliptic Curve Digital Signature Algorithm，椭圆曲线数字签名算法)的数字签名，基于ECDH(Elliptic Curve Diffie-Hellman key Exchange，椭圆曲线迪非-赫尔曼秘钥交换)的加密系统。

本发明实施例软硬件结合，将特殊的算数设计在硬件中实现，大大提升了硬件计算椭圆曲线基础运算的能力。

实施例二

图5是本发明实施例的一种用于椭圆曲线加密的快速模运算装置的结构框图，如图5所示，该快速模运算装置100包括：

获取单元101，用于获取计算目标r，其中，r＝(a*b)modq，a和b分别为1位至k位的乘数，q为模数，r的取值范围为[0,q)。

本实施例中，输入小于k位的两个乘数a和b，要求输出a*b mod q的计算结果，k为单字(singleword)。

预计算单元102，用于预计算生成模数q的固定形式。

本实施例中，可以预计算生成模数q的固定形式，例如，q＝2^k-2N+1，k是q的位数，q的取值范围为[2^k-1,2^k)，N可以自定义，但是为了保证占满k位，N的取值一般是2¹⁰～2¹⁵，例如，模数取值范围在192位至512位之间，将占满2的幂次位，这样就可以在后面计算μ时让成为单字长(k位)，而且模数一半都是2的幂次位，这样在计算模运算的时候，方便计算出来的数在[0,2ⁿ)之间。因为ECC加密体系需要的密钥长度更长一些，在192位到512位，所以本实施例可以使得椭圆曲线加密得到性能更优的运算。

乘法计算单元103，用于使用四分法Karatsuba乘法器计算a*b，获得第一乘积z。

本实施例中，使用四分法Karatsuba乘法器，将一个四分的乘法次数从16次降到10次。例如，256*256位乘法，乘数可以分为4组64位的小块，使用不加Karatsuba的乘法需要4*4＝16次乘法然后对结果相加、进位，而使用四分法Karatsuba乘法器，可以使乘法降低到10次，大大减少了DSP资源的使用。

第一判断与输出单元104，用于判断所述第一乘积z是否小于q，如果所述第一乘积z小于q，则输出z；

第二判断与输出单元105，用于当判断第一乘积z不小于q时，继续判断第一乘积z是否大于q且小于2q，当第一乘积z大于q且小于2q时，输出z-q；

模运算与比较单元106，用于当判断第一乘积z不小于2q时，使用Barrett模运算的方式进行移位计算，获得计算目标r的近似值并输出近似值/>本发明实施例中，最终计算获得的取模结果要在[0,q)之间，所以当a*b<q时，即z小于q，直接输出a*b的结果(即z)即可，当q<a*b<2q时，为了使得结果在[0,q)之间，需要输出a*b-q，而当a*b＞2q时，即不属于上述两种情况时，需要使用Barrett模运算的方式进行移位计算，获得计算目标r的近似值并输出近似值/>

在一些实施例中，模运算与比较单元106具体用于：

预计算第一参数α为第一移位数；

预计算第二参数β为第二移位数；

使用四分法Karatsuba乘法器计算获得第二乘积p；

计算第二乘积p的近似值其中，/>

使用四分法Karatsuba乘法器计算获得计算目标r；

通过约减的方式计算计算目标r的近似值

将近似值与所述模数q进行比较，当近似值/>小于所述模数q时，输出近似值/>反之，反复计算/>直至近似值/>小于所述模数q，输出近似值/>

具体的，本实施例中，使用Barrett模运算的方式进行移位计算，获得计算目标r的近似值具体包括：

预计算第一参数α为第一移位数；预计算第二参数/>β为第二移位数；

本实施例中，为了便于计算，要预先计算第一参数μ和第二参数的值，μ是/>的向下取整数，/>是/>的向下取整，第一参数μ和第二参数/>均为计算结果的几个因数之一，通过近似的方法预先求这些因数，可以极大提高计算速度。

使用四分法Karatsuba乘法器计算获得第二乘积p；

计算第二乘积p的近似值其中，/>

使用四分法Karatsuba乘法器计算获得计算目标r；

通过约减的方式计算计算目标r的近似值其中，/>

将所述近似值与所述模数q进行比较，当所述近似值/>小于所述模数q时，输出近似值/>反之，反复计算/>直至所述近似值/>小于所述模数q，输出所述近似值/>

具体的，本实施例中，原本模运算的计算结果为r＝a*b mod q＝z-p*q,因为直接求p是很困难的，所以换成用近似的方法求一个/>参照如下公式：

求出以后，即可求出p，然后采用约减的形式来求/>

在一些实施例中，使用四分法Karatsuba乘法器计算a*b，获得第一乘积z，具体包括：

将乘数a和乘数b拆分成若干个位宽为G的子操作数，使用四分法Karatsuba乘法器计算a*b，获得第一乘积z；

使用四分法Karatsuba乘法器计算获得第二乘积p，具体包括：将第一参数μ和第二参数/>拆分成若干个位宽为G的子操作数，使用四分法Karatsuba乘法器计算/>获得第二乘积p；

使用Karatsuba算法器计算获得计算目标r，具体包括：将第二乘积/>和模数q拆分成若干个位宽为G的子操作数，使用四分法Karatsuba乘法器计算/>获得计算目标r。

在一些实施例中，第一移位数的值为k-1；第二移位数的值为0。

具体的，在实际计算过程中，令所以

在上述实际的计算中发现：最终计算时，约减/>的轮数取决于2^k-α+2^1+β的大小。可以看到，k是固定的，因此希望α≥k,β≤-1，这样，最大约减轮数也可以约束在一轮。但本实施例希望两个乘数的位长一致，这样能够使用设计的Karatsuba四分乘法器。但是又希望α≤k-1,β≥0，这样就不得不牺牲一些约减轮数来使该四分乘法器可用。综合考量，取α＝k-1,β＝0时，可以使Barrett模乘过程中所产生的乘数的位长都约束在单字，且约减轮数至多3轮，即通过调整α和β的值来控制约减轮数，相当于用很少的减法换取了过程中更复杂的乘法设计。

本发明实施例中，对Barrett模乘进行了参数选取的优化。原始的Barrett模乘倾向于选取α＝k,β＝-1，但本实施例中，参数选取α＝k-1,β＝0，使得μ、和/>都可以约束在单字长精度，因此，使得乘数的位数可以对齐，即可以通过本实施例提供的Karatsuba四分乘法计算操作数。

本发明实施例通过一种优化过的Karatsuba-Ofman四分算法(简称Karatsuba算法)，将乘数双方的位宽分为四部分，套用进巴瑞特模乘中。并且，本发明实施例计算Barrett模乘的理论极限值，从而设计出一种适用于192位到512位的Barrett模乘方法。该方法软硬件结合，采取软件预计算固定参数和硬件实现底层固定的算数电路的方式，可以解决硬件在计算中间结果时超出预期字长的问题，从而使椭圆曲线加密得到性能更优的运算。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

实施例三

图6是本发明实施例的一种计算机可读存储介质的功能框图，如图6所示，本发明实施例还提供了一种计算机可读存储介质200，计算机可读存储介质200内存储有用于执行本方法实施例中各个步骤的程序代码210，该程序代码210被处理器执行时，实现上述一种用于椭圆曲线加密的快速模运算方法。

图1至图4所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。当然，还有其他方式的可读存储介质，例如量子存储器、石墨烯存储器等等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

实施例四

图7是本发明实施例的一种计算机设备的功能框图。请参考图7，在硬件层面，该计算机设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该计算机设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是工业标准体系结构ISA总线、外设部件互连标准PCI总线或扩展工业标准结构EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行。处理器，执行存储器所存放的程序，并具体用于执行图1至图4所示实施例揭示的一种用于椭圆曲线加密的快速模运算。

上述如图1至图4所示实施例揭示的一种用于椭圆曲线加密的快速模运算方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(CentralProcessing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application SpecificIntegratedCircuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

当然，除了软件实现方式之外，本发明的计算机设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、车载人机交互设备、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

虽然本发明提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或终端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。

本发明是参照根据本发明实施例的方法、设备、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、计算机设备及可读存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (10)

1.一种用于椭圆曲线加密的快速模运算方法，其特征在于，所述快速模运算方法包括：

获取计算目标r，其中，r＝(a*b)modq，a和b均为乘数，q为模数；

预计算生成所述模数q的固定形式；

使用四分法Karatsuba乘法器计算a*b，获得第一乘积z；

判断所述第一乘积z是否小于q，如果所述第一乘积z小于q，输出z；

当判断所述第一乘积z不小于q时，继续判断所述第一乘积z是否大于q且小于2q，当所述第一乘积z大于q且小于2q时，输出z-q；

当判断所述第一乘积z不小于2q时，使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值并将所述近似值/>与所述模数q进行比较后输出所述近似值/>

2.根据权利要求1所述的快速模运算方法，其特征在于，所述的使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值具体包括：

预计算第一参数α为第一移位数，其中，k是q的位数；

预计算第二参数β为第二移位数；其中，k是q的位数；

使用四分法Karatsuba乘法器计算获得第二乘积p；

计算所述第二乘积p的近似值其中，/>

使用所述四分法Karatsuba乘法器计算获得计算目标r；

通过约减的方式计算所述计算目标r的近似值其中，/>

将所述近似值与所述模数q进行比较，当所述近似值/>小于所述模数q时，输出近似值/>反之，反复计算/>直至所述近似值/>小于所述模数q，输出所述近似值/>

3.根据权利要求1所述的快速模运算方法，其特征在于，所述模数q的固定形式为2^k-2N+1，其中，N为任意正整数，q的取值范围为[2^k-1,2^k)，k是q的位数。

4.根据权利要求1所述的快速模运算方法，其特征在于，所述的使用四分法Karatsuba乘法器计算a*b，获得第一乘积z，具体包括：

将乘数a和乘数b拆分成若干个位宽为G的子操作数，通过所述若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算a*b，获得第一乘积z。

5.根据权利要求2所述的快速模运算方法，其特征在于，所述的使用四分法Karatsuba乘法器计算获得第二乘积p，具体包括：

将第一参数μ和第二参数拆分成若干个位宽为G的子操作数，通过所述若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算/>获得第二乘积p；

所述的使用四分法Karatsuba乘法器计算获得计算目标r，具体包括：

将所述第二乘积和所述模数q拆分成若干个位宽为G的子操作数，通过所述若干个位宽为G的子操作数使用四分法Karatsuba乘法器计算/>获得计算目标r。

6.根据权利要求2所述的快速模运算方法，其特征在于，所述第一移位数的值为k-1；所述第二移位数的值为0。

7.一种用于椭圆曲线加密的快速模运算装置，其特征在于，所述快速模运算装置包括：

获取单元，用于获取计算目标r，其中，r＝(a*b)modq，a和b均为乘数，q为模数；

预计算单元，用于预计算生成所述模数q的固定形式；

乘法计算单元，用于使用四分法Karatsuba乘法器计算a*b，获得第一乘积z；

第一判断与输出单元，用于判断所述第一乘积z是否小于q，如果所述第一乘积z小于q，则输出z；

第二判断与输出单元，用于当判断所述第一乘积z不小于q时，继续判断所述第一乘积z是否大于q且小于2q，当所述第一乘积z大于q且小于2q时，输出z-q；

模运算与比较单元，用于当判断所述第一乘积z不小于2q时，使用Barrett模运算的方式进行移位计算，获得所述计算目标r的近似值并将所述近似值/>与所述模数q进行比较后输出所述近似值/>

8.根据权利要求7所述的快速模运算装置，其特征在于，所述的模运算与比较单元具体用于：

预计算第一参数α为第一移位数，其中，k是q的位数；

预计算第二参数β为第二移位数，其中，k是q的位数；

使用所述四分法Karatsuba乘法器计算获得第二乘积p；

计算所述第二乘积p的近似值其中，/>

使用所述四分法Karatsuba乘法器计算获得计算目标r；

通过约减的方式计算所述计算目标r的近似值

将所述近似值与所述模数q进行比较，当所述近似值/>小于所述模数q时，输出近似值/>反之，反复计算/>直至所述近似值/>小于所述模数q，输出所述近似值/>

9.一种计算机可读存储介质，其上存储有程序代码，其特征在于，该程序代码被处理器执行时实现如权利要求1-6中任意一项所述的一种用于椭圆曲线加密的快速模运算方法。

10.一种计算机设备，其特征在于，其包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为执行所述指令，以实现如权利要求1-6中任意一项所述的一种用于椭圆曲线加密的快速模运算方法。