CN1573682A - 在有限域中实现平方运算的方法和装置 - Google Patents

Abstract

本发明公开了一种在有限域中实现平方运算的方法和装置。当有限域GF(2ⁿ)的定义多项式表示为时，其中n为奇数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n－1，)∈GF(2ⁿ)，提供了一种计算元素A的平方的方法，该方法包括：确定预定的系数m_j，I_ij，V₀，V_ij以及V，使得系数m_i满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数Iij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数v₀和v_ij各自依赖于n，Iij和ki，并且依照下面的公式获得关于m_i的系数V，依据k_i和n确定预定系数s_i并以s_i对系数V进行循环移位；对循环移位后的系数V与元素A进行XOR运算；并以预定的顺序重写XOR运算的结果同时输出平方运算的结果。

Description

在有限域中实现平方运算的方法和装置

技术领域

本发明涉及在有限域中实现平方运算的方法和装置。

背景技术

一个有限域GF(2ⁿ)是包含2ⁿ个元素的数系统(number system)。有限域GF(2ⁿ)的每个元素都可用n比特表示，基于此，有限域的实际应用就能实现。实际应用中，例如纠错码的硬件实现以及密码系统的椭圆形曲线通常在GF(2ⁿ)中进行计算(perform calculations)。一种用于reed-solomon码的编码/解码装置在GF(2ⁿ)中完成计算，以及一种椭圆形曲线密码系统的编码/解码装置当n取大值时在GF(2ⁿ)中完成计算。

只包含二进制数0和1的GF(2)的加法和乘法规则由公式(1)定义。

0+0＝1+1＝0

0+1＝1+0＝1                                 ...(1)

0×0＝1×0＝0×1＝0

1×1＝1

其中，二元加法为按位异或(下文指XOR)运算，二元乘法为按位与(bitwiseAND)(下文指AND)运算。

既然有限域GF(2ⁿ)(n＞1)是包含2ⁿ个元素的数系统，加法和乘法相应于在GF(2)中一个不可约的具有系数的n次(n-degree)多项式的数学模。不可约的n次多项式指有限域的定义多项式(defining polynomial)。当定义多项式的一个根是a，那么有限域的一个元素可由公式(2)给出标准表示法。

a₀+a₁α+a₂α²+...+a_n-1α^n-1＝(a₀，a₁，a₂，...，a_n-1)，a_i∈GF(2)      ...(2)

有限域GF(2ⁿ)中两个元素的乘法通过a的多项式乘法然后再由定义多项式进行模运算给出。有限域GF(2ⁿ)中两个元素的加法通过a的多项式加法实现。

假设有限域GF(2ⁿ)的定义多项式由公式(3)所示，a是定义多项式的一个根。

$f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1\·\·\·\left(3\right)$

其中n是任意自然数，0＜t，k_i＜n。

如果有限域的一个元素A表示为

A＝(a₀，a₁，a₂，...，a_n-1)∈GF(2ⁿ)，元素A的平方由a的多项式乘法再通过多项式f(a)进行模运算确定。

A²＝(a₀+a₁α+a₂α²+...+a_n-1α^n-1)²mod f(α)

                                                         ...(4)

如上述公式(4)所示，实现平方运算的传统方法将说明如下。其中，硬件的规模，即门的数量，作为空间复杂性的一个度量。硬件的门延时作为时间复杂性一个度量。密码标准(cryptographic standards)，例如SEC和ANSIX9.26，定义了椭圆形曲线密码系统所必须的系数并推荐了的几种在有限域中的系数。这两种标准很广泛的应用于有限域中确定系数。因此，两种标准在确定各自技术的广泛适用性中被用为规范(criteria)。其中，n表示有限域的维数。

由H.Wu称为“Bit-parallel finite field multiolier and squarer usingpolonomial basis(IEEE Transactions on Computers，Vol.51，No.7，pp.750-758，2002)”的发明提出了当定义多项式为一个三项式xⁿ+x^k+1时，n和k值的平方结果的排列(arrangement)。因为Wu发明所采纳的公式经过优化，在空间和时间复杂性上能获得很高的效率。但是，它并没有涵盖定义多项式是一个五项式(pentanomial)的情况。

由C.H.Kim等人称为“A new hardware architecture for operationsin GF(2ⁿ)(IEEE Transactions on Computers，Vol.51，No.1，pp.90-92，2002)”的发明提出了当n+1是一个质数时，2∈Z_n+1为GF(2ⁿ)的一个本原元素，利用不规则原理(anomalous basis)，并且定义多项式为全一多项式(all-onepolynomial(AOP))，平方可以通过重写(rewiring)而求得。但是，相关的n和定义多项式并没有在标准中发现。

由K.Aoki等人称为“Scheme for arithmetic operations in finitefield and group operations over elliptic curves realizing improvedcomputational speed(US Pat.Nos.6,266,688 and 6,202,076 2001)”的发明提出了当n为偶数并且有限域GF(2ⁿ)满足GF(2)＜GF(2^n/2)＜GF(2ⁿ)的条件时，有限域GF(2ⁿ)的数学运算可以利用有限域GF(2^n/2)的数学运算完成，并建议了一种利用此方案进行平方运算的设备。但是，表示有限域的方式不同于标准所述，导致很差的兼容性。此外，由于在标准中大部分“n”都是奇数，所以K.Aoki等人的发明很少应用。

由Lambert等人称为“Method and apparatus for implementingarithmetical operations in finite fields(EU Pat.No.1,076,284A1，2001)”的发明中利用一个循环的原则进行平方运算。循环原则为1，α^Δ，α^2Δ，α^3Δ，...，α^(m-1)Δ，其中Δ为2ⁿ-1的最小约数，满足m＝(2ⁿ-1)/Δ≥n，Δ≥n。在该情况下，平方运算通过重写完成。但是，此发明需要基底转换，由于满足上述条件的因素Δ相当大，所以很复杂。

由G.Orlando等人称为“Squaring architecture for GF(2ⁿ)and itsapplication in cryptographic systems(ElectronicsLetters，Vol.36，No.13，pp.1116-1117，2000)”的发明揭示了依据预定原理分拆(divide)元素并将分拆的元素放入乘法器的一种方法。平方结构包含了3.5n个门以及乘法器。因此，G.Orlando等人的发明要比使用大约n/2个门的H.Wu的发明效率更低一些。

由C.C.Wang等人称为“VLSI architectures for computingmultiplications and inverses in GF(2^m)(IEEE Transactions onComputers，Vil.C-34，N.o.8，pp.709-717，1985)”的发明利用了常规的基本原理以使平方运算通过重写实现。但是，发明所需的基底转换(basisconversion)非常复杂。

因此，就需要一种不需要复杂的基底转换并具有低的空间和时间复杂性的实现平方运算的方法和装置。

发明内容

本发明提供了一种在有限域中通过利用有限域的定义多项式确定对平方运算所必须的系数、对所确定的系数进行异或(下文指XOR)运算，并重写XOR运算的结果从而实现平方运算的方法和装置。

依据本发明的一个方面，当有限域GF(2ⁿ)的定义多项式表示为

$f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1,$ 其中n为奇数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，提供了一种对元素A平方的方法，该方法包括：确定预定(predetermined)的系数m_i，I_ij，V₀，V_ij以及V，使得系数m_i满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V

$V_i=V_{i2}\⊕V_{i3}\⊕\·\·\·\⊕V_{i{m}_i},$ $V=V_0\⊕\underset{m_i\≠0}{\mathrm{\Σ}}{V}_i;$ 依据k_i和n确定预定系数s_i并以s_i对系数V进行循环移位；对循环移位后的系数V和元素A进行XOR运算；并以预定的顺序重写XOR的结果同时输出平方运算的结果。

依照本发明的另一方面，当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1$ 时，其中n为奇数，有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，提供了一种对元素A平方的装置，装置包括：一个系数计算单元，计算对平方运算所必须的系数：确定预定的系数m_i，I_ij，V₀，V_ij以及V，系数m_i满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V， $V_i=V_{i2}\⊕V_{i3}\⊕\·\·\·\⊕V_{i{m}_i},$ $V=V_0\⊕\underset{m_i\≠0}{\mathrm{\Σ}}{V}_i;$ 依据k_i和n确定预定系数s_i并以s_i对系数V进行循环移位；一个XOR运算单元，包括多个XOR门，并依据系数计算单元的结果输入完成XOR运算；以及一个重写单元，对XOR运算单元的输出以预定的顺序进行重写并输出平方运算的最终结果。

依据本发明的再一个方面，当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，提供了一种计算元素A的平方的方法，该方法包括：确定预定的系数m_i，I_ij，V₀，V_ij以及V，系数m_i满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V $V_i=V_{i2}\⊕V_{i3}\⊕\·\·\·\⊕V_{i{m}_i},$ $V=V_0\⊕\underset{m_i\≠1}{\mathrm{\Σ}}{V}_i;$ 依据k_i和n确定预定系数s_i并依据预定的公式以s_i对系数V进行循环移位；由元素A得到 A并将循环移位后的系数V与元素 A进行XOR运算；并以预定的顺序重写XOR运算的结果同时输出平方运算的结果。

依据本发明的再一个方面，当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，提供了一种计算元素A的平方的装置，该装置包括：一个系数计算单元，计算对平方运算所必须的系数：即确定预定的系数m_i，I_ij，V₀，V_ij以及V，系数m_i满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V， $V_i=V_{i2}\⊕V_{i3}\⊕\·\·\·\⊕V_{i{m}_i},$ $V=V_0\⊕\underset{m_i\≠0}{\mathrm{\Σ}}{V}_i;$ 依据k_i和n确定预定系数s_i并依据预定的公式以s_i对系数V进行循环移位；一个XOR运算单元，包括多个XOR门，依据预定的公式由元素A得到 A，并将接收到的来自系数计算单元循环移位后的运算结果与元素 A进行XOR运算；以及一个重写单元，对XOR运算单元的输出以预定的顺序进行重写并输出平方运算的最终结果。

附图说明

通过结合附图对本发明的优选实施方式进行详细描述，本发明的上述和其它特性和优点将变得更加清楚，附图中：

图1为依据本发明的第一个优选实施例在有限域中实现平方运算装置的方框图；

图2释义了利用利用多个异或门和重写装置(rewiring means)时公式(23)的结果实现；

图3释义了利用多个XOR门和重写装置时公式(27)的结果实现；

图4释义了降低图3的XOR门的数量后所获得的结果；

图5释义了依据本发明的第二个优选实施例在有限域中实现平方运算装置的方框图；

图6释义了利用多个XOR门和重写装置时公式(42)的结果实现；

图7为释义现有技术和本发明之间空间和时间复杂性相比较的表格；

图8为释义现有技术和本发明之间在由SEC标准定义的三个有限域中空间和时间复杂性相比较的表格；以及

图9为释义现有技术和本发明之间在对标准的适用性、基底转换以及问题上相比较的表格。

具体实施方式

下面参照附图，我们将对本发明的优选实施例进行更详细的描述。在附图中示意了本发明的优选实施例。

图1为依据本发明的第一个优选实施例在有限域GF(2ⁿ)中当n为奇数时完成平方运算装置的方框图。参照图1，装置中包括一个系数计算单元10，一个XOR运算单元12以及一个重写单元14。

系数计算单元10计算对定义多项式的平方运算所必须的系数。XOR运算单元12对从系数计算单元10输出的系数完成XOR运算。重写单元14重写XOR运算单元12的输出结果并输出平方运算的最终系数。

现对实现平方运算的运算装置作出更加详细的说明。

假设GF(2ⁿ)的定义多项式由公式(5)确定。

$f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{x}^{k_i}+1\·\·\·\left(5\right)$

如果有限域的元素A表示为

A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，元素A的平方A²由公式(6)表示。

A²＝(a₀+a₁α+a₂α²+...+a_n-1α^n-1)²mod f(α)             ...(6)

   ＝c₀c₁c₂...c_n-1＝C

平方A²直接为一个矢量C，它也属于GF(2ⁿ)。

在公式(5)中，xⁿ+1和 加起来为定义多项式f(x)，乘法器的空间和时间复杂度由n，t以及k_i确定。

为取得矢量C的分量所必须的系数m_i，I_ij，I，V₀，V_ij以及V定义如下。

如果k_i＝1，i＝1，2，...，t，系数m_i＝0。

如果k_i满足下面的公式(7)

$\frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r}\&CenterDot;\&CenterDot;\&CenterDot;\left(7\right)$

其中r≥2是一个整数，即可确定系数m_i＝r。当m_i不为0，系数I_ij(i＝1，2，...，t，j＝2，3，...，m_i)由公式(8)确定。

$I_{\mathrm{ij}}=\frac{n-1}{2}-\left[(j-1)\frac{n-k_i}{2}\right]\&CenterDot;\&CenterDot;\&CenterDot;\left(8\right)$

如果k_i为偶数，系数I由公式(9)确定。

I＝max{I_i2|k_i：偶}                              ...(9)

如果k_i不是偶数，系数I＝0。

系数V₀由公式(10)确定

当m_i≠0时系数V_ij如下确定。当k_i是奇数时以及当k_i为偶数、j为奇数时，系数V_ij都由公式(11)确定。

当k_i和j都是偶数时，系数V_ij由公式(12)确定。

系数计算单元10通过公式(13)从已获得的系数求得系数V_i和V

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{i{m}_i}$

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i\&CenterDot;\&CenterDot;\&CenterDot;\left(13\right)$

接下来，依赖于系数k_i(i＝1，2，...，t)的系数s_i由公式(14)确定。

为从公式(14)已求得的各自s₁到s_t对系数V进行循环移位运算，XOR运算对循环移位的结果进行，并与元素A再进行一次XOR运算。XOR的运算结果C’可以由公式(15)表示为

C’＝A(V＞＞s₁)...(V＞＞s_t)         ...(15)

由公式(15)获得的结果C’表示对元素A的一次XOR运算规则。XOR运算单元12依据公式(15)实现XOR运算。

如果由公式(15)获得的结果C’表示为C’＝c₀’c₁’...c_n-1’，平方A²＝c₀c₁...c_n-1c_i中的c_i通过公式(16)从结果C’中获得。

c_i＝c_j’(i≡2j mod n)                   ...(16)

重写单元14依据公式(16)对由公式(15)已获得的结果进行重写并输出平方运算的最终结果。

按照上面所构造的装置的空间和时间的复杂度计算如下。依据本发明第一个优选实施例的装置只实现XOR运算。XOR下运算的时间数由公式(17)给出。

因为第三步只需要重写运算，所以在第三步中没有XOR运算产生。尤其是，当t＝1时，即当定义多项式为三项式时，如果k₁满足公式(18)，

$1<k_1\&le;\frac{n+1}{2}\&CenterDot;\&CenterDot;\&CenterDot;\left(18\right)$

那么XOR的运算数由公式(19)求出。

很难精确的说明装置的时间复杂度。因此，时间复杂性中最坏的情况能够作出解释。由于依照本发明的第一个优选实施例的平方装置只利用了XOR门，门延时可作为时间复杂度的一个衡量。由XOR门引起的最大时延由公式(20)确定。

特别是，当t＝1时并且k_i满足公式(18)，XOR的门延时由公式(21)表示。

现将第一个优选实施例中当n＝11时系数和复杂度的计算结果进行说明。当定义多项式表示为x¹¹+x²+1，t＝1，k₁＝2。从n，t以及k_i平方运算所必须的系数确定如下。依据公式(7)到(11)，m₁＝2，I₁₂＝1，I＝1，V₀＝a₆a₇a₈a₉a₁₀000000以及V₁₂＝00000a₁₀00000。利用系数m₁，I₁₂，I，V₀和V₁₂，V₁＝00000a₁₀00000和V＝a₆a₇a₈a₉a₁₀a₁₀000000可以依据公式(13)求得。

系数s₁依据公式(14)确定为s₁＝7。依照公式(15)，矢量C’由公式(22)确定。

C’＝A(V＞＞7)

   ＝Aa₁₀a₁₀00000a₆a₇a₈a₉                        ...(22)

   ＝(a₀a₁₀)(a₁a₁₀)a₂a₃a₄a₅a₆(a₇a₆)(a₈a₇)(a₉a₈)(a₁₀a₉)

如果关于C’的重写运算依据公式(14)实现，平方A²＝c₀c₁c₂...c₉c₁₀由公式(23)求得。

A²＝(a₀a₁₀)a₆(a₁a₁₀)(a₇a₆)a₂(a₈a₇)a₃(a₉a₈)a₄(a₁₀a₉)a₅      ...(23)

图2释义了利用多个XOR门21和一个重写装置22时所获得的公式(23)的结果实现；

参照图2，平方装置包括六个XOR门构成了空间复杂性，同时有一个门延时构成了时间复杂性。

现在将说明在定义多项式为x¹¹+x⁴+x²+x+1的情况下的另一个例子。依照定义多项式，t＝3，k₁＝1，k₂＝2，k₃＝4。

从t，k₁，k₂以及k₃所取得的系数由公式(24)表示。

m₁＝0，m₂＝m₃＝2

l₂₂＝1，l₃₂＝2

l＝2                                               ...(24)

V＝a₆a₇a₈a₉a₁₀000000

V₂₂＝00000a₁₀00000，V₃₂＝00000a₉a₁₀0000

从公式(24)的系数中，可获得V₂＝00000a₁₀00000以及V₃＝00000a₉a₁₀0000。系数V由公式(25)确定。

V＝a₆a₇a₈a₉(a₁₀a₉)a₁₀00000                        ...(25)

依据公式(14)，s₁＝1，s₂＝7，s₃＝8可确定，因此矢量C’由公式(26)确定。

C’＝A(V＞＞1)(V＞＞7)(V＞＞8)

   ＝(a₀a₉a₁₀)(a₁a₆a₁₀a₉a₁₀)(a₂a₇a₉a₁₀a₁₀)

     (a₃a₈a₁₀)(a₄a₉)(a₅a₁₀)(a₆a₉a₁₀)(a₇a₆a₁₀)

     (a₈a₆a₇)(a₉a₇a₈)(a₁₀a₈a₉)

                                                                  ...(26)

如果重写依据公式(16)进行，矢量C由公式(27)求得。

A²＝(a₀a₉a₁₀)(a₆a₉a₁₀)(a₁a₆a₁₀a₉a₁₀)(a₇a₆a₁₀)

     (a₂a₇a₉a₁₀a₁₀)(a₈a₆a₇)(a₃a₈a₁₀)(a₉a₇a₈)

     (a₄a₉)(a₁₀a₈a₉)(a₅a₁₀)                        ...(27)

图3释义了利用多个XOR门31和一个重写装置32时公式(27)的结果实现。图4释义了在减小XOR门41的数量后所获得的结果。举例来说，在相应于公式(27)的矢量C的c₂即a₁a₆a₁₀a₉a₁₀中因为a₁₀a₁₀＝0，所以只有a₁a₆a₉需要计算。因此，XOR门的数量能够降低。另一个例子中，当c₃＝a₈a₆a₇时，如果在于c₃＝a₇a₆a₁₀中a₆a₇同样也存被重用，那么用于计算c₅的XOR门的数量可以进一步的降低。图4释义了以上述方式减少XOR门41的数量后所获得的结果。

图5为依据本发明的第二个优选实施例在有限域GF(2ⁿ)中当n为偶数时实现平方运算装置的方框图。依据本发明的第二个优选实施例的装置包括一个系数计算单元50、一个XOR运算单元52以及一个重写单元54。

系数计算单元50利用定义多项式计算平方运算所必须的系数。XOR运算单元52对从系数计算单元50输出的系数完成XOR运算；重写单元54对XOR运算单元52的输出进行重写并输出平方运算的最终结果。

现将第二个优选实施例的运算装置进行更详细的说明。

如果当n为偶数时GF(2ⁿ)的定义多项式由公式(5)定义，同理当n为奇数时亦如此，当有限域所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，元素A的平方A²可以由公式(6)表示。公式(6)中平方运算的结果C也包含在GF(2ⁿ)中。

为获得矢量C的分量所必须的系数m_i，I_ij，I，V₀，V_ij以及V定义如下。

如果k_i＝1，i＝1，2，...，t，那么设定系数m_i＝1。

如果k_i满足公式(28)

$\frac{(r-2)n+1}{r-1}<k_i\&le;\frac{(r-1)n+1}{r}\&CenterDot;\&CenterDot;\&CenterDot;\left(28\right)$

其中整数r≥2，系数m_i可确定为r。当m_i≠1(i＝1，2，...t)，系数I_ij(j＝2，3，...，m_i)由公式(29)确定。

系数V₀由公式(30)确定。

当m_i≠1(i＝1，2，...，t)时并且k_i为偶数，或者当m_i≠1并且k_i和j都为奇数时，那么系数V_ij(j＝2，3，...，m_i)由公式(31)确定。

另一方面，当m_i≠1、k_i为奇数、并且j为偶数时，那么系数V_ij由公式(32)确定。

系数计算单元50输出的由公式(33)表示的最终计算结果，当m_i≠1时从系数m_i，V₀以及V_ij中求得。

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;\&CenterDot;\&CenterDot;\&CenterDot;\&CirclePlus;V_{i{m}_i}$

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;1}{\mathrm{\&Sigma;}}{V}_i\&CenterDot;\&CenterDot;\&CenterDot;\left(33\right)$

依赖于k_i(i＝1，2，...，t)的系数s_i通过公式(34)确定。

接下来，元素 A由公式(35)确定。

标记为 ＞＞的移位运算由公式(36)表示。

依据公式(36)关于从公式(34)求得的s₁到s_t对系数V完成移位运算，并对移位运算的结果进行XOR运算，并与公式(35)的元素A再进行一次XOR运算。XOR的运算结果C可以由公式(37)表示为

C’＝ A(V ＞＞s₁)...(V ＞＞s_t)             ...(37)

由公式(37)获得的结果C’表示关于元素A的一次XOR运算规则。XOR运算单元82依据公式(37)实现XOR运算。

如果由公式(37)求得的结果C’表示为C’＝c₀’c₁’...c_n-1’，A²＝c₀c₁...c_n-1中的c_i依据公式(38)从结果C’中获得。

重写单元54依据公式(38)对由公式(37)已获得的结果进行重写，并输出平方运算的最终结果。

下面将说明在定义多项式为x¹⁰+x⁴+x³+x+1的情况下的一个例子。依照定义多项式，t＝3，k₁＝1，k₂＝3，k₃＝4。

从t，k₁，k₂以及k₃所获得的系数由公式(39)表示。

m₁＝1，m₂＝m₃＝2

l₂₂＝1，l₃₂＝2

V＝a₅a₆a₇a₈a₉00000                             ...(39)

V₂₂＝00000a₉0000，V₃₂＝a₈a₉00000000

依据公式(33)，V₂、V₃以及V由公式(40)表示。

V₂＝00000a₉00000，V₃＝a₈a₉00000000

V＝(a₅a₈)(a₆a₉)a₇a₈a₉a₉0000                  ...(40)

依据公式(34)，可确定s₁＝5，s₂＝6，s₃＝2，由公式35到37，矢量C’可由公式(41)所示。

C’＝ A(V ＞＞5)(V ＞＞6)(V ＞＞2)

   ＝(a₀a₅a₈)(a₁a₆a₉a₉)(a₂a₇a₉a₅a₈)(a₃a₈a₆a₉)

     (a₄a₉a₇)(a₅a₈a₉)(a₆a₉a₅a₈)(a₇a₆a₉a₉)

     (a₈a₇)(a₉a₈)

                                                          ...(41)

如果由公式(41)求得的结果C’经重写后，那么平方运算的结果可由公式(42)求得。

A²＝(a₀a₅a₈)(a₅a₈a₉)(a₁a₆a₉a₉)(a₆a₉a₅a₈)

     (a₂a₇a₉a₅a₈)(a₇a₆a₉a₉)(a₃a₈a₆a₉)(a₈a₇)

     (a₄a₉a₇)(a₉a₈)                   ...(42)

图6释义了利用多个XOR门61和一个重写装置62时公式(42)的结果实现。参照图6，平方运算装置包括构成空间复杂性的25个XOR门，以及构成时间复杂性的4个XOR门时延。

图7到图9说明了现有技术和本发明之间的比较表格。参照图7，本发明考虑了在空间和时间复杂性方面当定义多项式为三项式即为xⁿ+x^k+1的情况。图8为释义现有技术和本发明之间在由SEC标准定义的三个有限域中空间和时间复杂性相比较的表格。假定了平方装置的输入符合标准表达式。图9为释义现有技术和本发明之间在对标准的适用性、基底转换以及问题上相比较的表格。假定平方装置(squaring apparatus)的输入具有标准表达式。

参照表格，在空间和时间复杂性方面，本发明的实施例按照各种情况较现有技术更优越、相近或劣于的地方。但是，C.H.Kim等人的发明利用在标准中未发现的维数和定义多项式，这导致很差的兼容性。Lambert等人的发明以及C.C.Wang等人的发明需要复杂的基底转换。总体来说，基底转换需要大约n²个门以及大约log₂n的门延时。如果没有有效的基底转换方法，那么传统的发明就会比本发明缺少效率。H.Wu的发明局限于将三项式作为定义多项式，因此在应用上受到限制。

即使在n为偶数时，本发明的实施例能够应用于给定标准中的任何情况，因此获得广泛的适用性。

如上所述，由于依据本发明的平方装置适用于标准中的大多情况，因此有较强的适用性以及高效的空间和时间复杂度。另外，平方运算装置不需要基底转换。除此之外，因为平方装置当三项式以及一个五项式可以作为定义多项式，所以本发明在对标准各种情况的适用性方面较现有技术更优越。

尽管参照本发明的特定优选实施例对本发明进行了上述图示和描述，但本领域普通技术人员应当理解，在不脱离由所附权利要求书所限定的本发明的精神和范围的情况下，可以对本发明进行形式和细节上的各种修改。

Claims (19)

1、当一个有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为奇数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种对元素A取平方的方法，该方法包括：

确定预定的系数m_i，I_ij，V₀，V_ij以及V，使得系数m_i在1≤i≤t是一个自然数时满足关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;...\&CirclePlus;V_{{\mathrm{im}}_i};$

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i$

依据k_i和n确定预定系数s_i并以s_i对系数V进行循环移位；

对循环移位后的系数V与元素A进行XOR运算；以及

以预定的顺序重写XOR运算的结果并输出平方运算的结果。

2、如权利要求1所述的方法中，其中关于k_i，系数m_i满足下面的公式

3、如权利要求1所述的方法中，其中系数I_ij由下面的公式确定

4、如权利要求1所述的方法，其中系数V₀由下面的公式确定

并且当k_i是奇数时或者当k_i为偶数、j为奇数时系数V_ij由下面的公式

确定，当k_i和j都是偶数时系数V_ij由下面公式

确定。

5、如权利要求1所述的方法中，其中关于系数k_i和n的系数s_i由下面公式 确定。

6、如权利要求1所述的方法，其中XOR运算的结果C’表示为C’＝c’₀c’₁...c’_n-1，元素A的平方A²表示为A²＝c₀c₁...c_n-1，c_i依照下面的公式求得

c_i＝c’_j(i≡2jmodn)。

7、当一个有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为奇数，有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种计算元素A的平方的装置，装置包括：

一个系数计算单元，计算平方运算所必须的系数：

确定预定的系数m_i，I_ij，V₀，V_ij以及V，使得系数m_i在1≤i≤t是一个自然数时满足关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;...\&CirclePlus;V_{{\mathrm{im}}_i};$ 以及

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i$

依据k_i和n确定预定系数s_i并以s_i对系数V进行循环移位；

一个XOR运算单元，包括多个XOR门，依据系数计算单元的结果对输入的A完成XOR运算；以及

一个重写单元，对XOR运算单元的输出以预定的顺序进行重写并输出平方运算的最终结果。

8、如权利要求7所述的装置中，其中XOR运算单元的输出C’表示为C’＝c’₀c’₁...c’_n-1，元素A的平方A²表示为A²＝c₀c₁...c_n-1，重写单元依照下面公式利用c_i重写c’_j，

c_i＝c’_j(i≡2jmodn)。

9、当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中所包含的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)，一种对元素A取平方的方法，该方法包括：

确定预定的系数m_i，I_ij，V₀，V_ij以及V，使得系数mi满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;...\&CirclePlus;V_{i{m}_i};$

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;1}{\mathrm{\&Sigma;}}{V}_i$

依据k_i和n确定预定系数s_i并依据预定的公式以s_i对系数V进行循环移位；由元素A得到元素，并将循环移位后的系数V与元素进行XOR运算；以及

以预定的顺序重写XOR运算的结果并输出平方运算的结果。

10、如权利要求9所述的方法，其中关于k_i的系数m_i满足下面的公式

11、如权利要求9所述的方法，其中系数I_ij由下面的公式确定

12、如权利要求9所述的方法，其中系数V₀由以下公式确定

并且当k_i为偶数或者当k_i和j都为奇数时，系数V_ij由以下公式确定

当k_i为偶数、并且j为奇数时，系数V_ij由下面的公式确定

13、如权利要求9所述的方法，其中关于k_i和n的系数s_i通过由以下公式确定

14、如权利要求9所述的方法，其中移位运算依据下面的公式关于元素A进行

其中移位运算由＞＞表示。

15、如权利要求9所述的方法，其中元素由以下公式确定

16、如权利要求9所述的方法，其中XOR运算的结果C’表示为C’＝c’₀c’₁...c’_n-1，元素A的平方A²表示为A²＝c₀c₁...c_n-1，c_i依据以下公式求得

17、当有限域GF(2ⁿ)的定义多项式表示为 $f\left(x\right)=x^n+\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{x}^{k_i}+1$ 时，其中n为偶数，有限域中的元素A表示为A＝(a₀，a₁，a₂，...，a_n-1，)∈GF(2ⁿ)时，一种计算元素A的平方的装置，该装置包括：

一个系数计算单元，计算平方运算所必须的系数：

确定预定的系数m_i，I_ij，V₀，V_ij以及V，使得系数m_i满足在1≤i≤t是一个自然数时关于k_i的预定条件，系数I_ij在2≤j≤m_i时依赖于n，k_ij以及j，n比特的系数V₀和V_ij各自依赖于n，I_ij和k_i，并且依照下面的公式获得关于m_i的系数V

$V_i=V_{i2}\&CirclePlus;V_{i3}\&CirclePlus;...\&CirclePlus;V_{i{m}_i};$ 以及

$V=V_0\&CirclePlus;\underset{m_i\&NotEqual;0}{\mathrm{\&Sigma;}}{V}_i$

依据k_i和n确定预定系数s_i并依据预定的公式以s_i对系数V进行循环移位；

一个XOR运算单元，包括多个XOR门，依据预定的公式由输入的元素A得到，并将接收到的来自系数计算单元的循环移位后的运算结果与元素进行XOR运算；以及

一个重写单元，对XOR运算单元的输出C’进行重写并输出平方运算的最终结果。

18、如权利要求17所述的装置中，其中XOR运算单元包括多个的XOR门，依据以下的公式由元素A求得元素

19、如权利要求17所述的装置中，其中由XOR运算单元的输出C’表示为C’＝c’₀c’₁...c’_n-1，元素A的平方A²表示为A²＝c₀c₁...c_n-1，重写单元依照下面的公式利用c_i重写c’_j

Images