[发明专利]二元域快速通用模约减方法

说明书

技术领域

本发明涉及一种公钥密码应用方法，尤其涉及一种二元域快速通用模约减方法。

背景技术

近年来，椭圆曲线密码体制(ECC)和双线性对密码(Pairing)体制获得广泛的研究和应用。椭圆曲线密码体制可以提供和RSA密码体制相同的功能，但在相同安全强度下具有强大的“短密钥”优势。双线性对密码体制由于其具有双线性性质、非退化性质和可计算性质，因此能够构造具有独特优点的密码体制，例如基于身份的加密方案，BLS短签名方案，基于身份的密钥协商方案等。

在二元域上，椭圆曲线密码和双线性对密码都能够较为快速有效的实现。在这两种密码方案的具体实现过程中，都需要进行大量的模乘和模平方的运算，而这两种运算都涉及了模约减运算。传统的模约减方法十分慢，一次只能处理一个位。当二元域上的不可约多项式为三项式或者五项式时，NIST(美国国家标准与技术研究院)给出了快速模约减方法。快速模约减方法能够通过一次处理一个字，将模约减运算转换成多次的二元域加法运算，该方法相比传统的模约减方法速度提升了32倍。下面以二元域为例，介绍快速模约减方法。

模f(x)＝x¹⁶³+x⁷+x⁶+x³+1的快速模约减方法

输入：位数为L比特的二进制多项式c(x)。

输出：c(x)mod f(x)。

步骤1、对于i从到6，重复执行。

步骤1.1、T＝C[i]；

步骤1.2、C[i-6]＝C[i-6]⊕(T＜＜29)；

步骤1.3、C[i-5]＝C[i-5]⊕(T＜＜4)⊕(T＜＜3)⊕T⊕(T＞＞4)；

步骤1.4、C[i-4]＝C[i-4]⊕(T＞＞28)⊕(T＞＞29)。

步骤2、T＝C[5]＞＞3。

步骤3、C[0]＝C[0]⊕(T＜＜7)⊕(T＜＜6)⊕(T＜＜3)⊕T。

步骤4、C[1]＝C[1]⊕(T＞＞25)⊕(T＞＞26)。

步骤5、C[5]＝C[5]&0x7。

步骤6、返回(C[5]，C[4]，C[3]，C[2]，C[1]，C[0])。

由于当不可约多项式不同时，快速模约减方法的循环次数、每次循环中被约减数据块的选取、以及被约减数据块的移位方向和移位位数等都需要发生相应改变；因此当采用快速模约减方法时，针对每个不可约多项式都需要实现相应的模约减方法。当软件或者硬件支持多应用，即实现多个二元域的运算时，采用快速模约减方法就会导致软件代码量或者硬件面积的大幅增加。

发明内容

本发明要解决的技术问题是提供一种二元域快速通用模约减方法，能大幅提高二元域上的椭圆曲线以及双线性对的运算效率。

为解决上述技术问题，本发明的二元域快速通用模约减方法是采用如下技术方案实现的：

步骤1，提取二元域下不可约多项式中所有非零项的次数，即为m，d_i，其中，f(x)为m次不可约多项式，m为二元域的扩张次数，d_i是不可约多项式中除了最高位之外任一非零项的次数；

步骤2，预计算约减位置参数q_i和移位参数r_i，满足(m-d_i)＝w×q_i+r_i，其中w(w＞0)为每次循环中约减的数据块的位数；

步骤3，根据m、被约减数据的位数(L比特)和被约减数据块的位数(w比特)计算约减循环次数，从最高数据块即第个数据块到最低数据块即第个数据块逐块进行约减，其中最低数据块中的部分位即进行约减；

步骤4，对被约减数据块进行约减，采用多次数据块的加法来完成数据块的约减，根据预计算的约减位置参数q_i和移位参数r_i计算被约减数据块多次加法的位置；

上述步骤中，i≥0，当i＝0时，d₀＝0。

步骤2中所述移位参数r_i，当不可约多项式为三项式时，满足0≤r₀，r_i＜w。

步骤2中所述移位参数r_i，当不可约多项式为中间项不靠近的n项式时(n＞3，n项式中任一中间项的次数d_i＞m％w+w)，满足0≤r₀，r_i＜w。