[发明专利]高速模乘法装置

说明书

本发明涉及一种高速的模乘法装置及方法，适用于公开密钥体制如RSA、DSS等对数据加密、解密、数字签名的密码技术。

形如Y＝X^d mod M称为模指数运算，广泛用于密码学一特别是公开密钥密码体制中。例如，Deffie Hellman协议，RSA算法及专用于数字签名的BSA(或称DSS)算法都建立在这种运算上。随着信息技术的发展，对信息加密和数字签名越来越重要。但是这些算法的计算量太大，因此，高速模指数运算是上述算法能够实际应用的关键。根据目前数据加密的要求，模M及X都必须是巨大整数，通常认为500-1000比特。计算模指数本质上是重复计算形如A×B mod M的模乘法，即要求快速模乘法计算。

计算R≡A×B mod M，已存在多种算法，著名的如Montgomery算法(见”MudularMultiplication without Trial Division″，Math.Computation，V01.44，1985，pp.519-521)。很多方法在本质上与纸和笔计算的方法相似。就是从被乘数A的高位开始，每取次一位与乘数B相乘(B)的倍数)，与上次残余数R相加，进行一次向左(向上)的移位。再减去M的某个整数倍，直到每一位都处理完，就得到最终残余数R：

R＝A×B-Q×M。围绕这个计算过程。由于通用的短字长CPU不能满足这种高密度计算，只有设计专门模乘法电路。现已经实用中的512位模指数运算器的效率是几秒，远远满足不了信息或数字签名的要求。在研究中的方案提出许多脉动阵列的技术，(见，”SystolicMudular Multiplication″，Colin.D.Walter，IEEE Transaction on Computers，Vot.42，No.6，June1993Jpp.693-699；美国专利5,101,431，”Systolic array for modularmultiplication′，1992)，采用n×n个单元按位处理每次的数R，即连续两次乘法，可能是目前最快的之一。但是在实现上有一定的困难，因为对于10³/2的数据长度需要4×10⁶个门，显然难于集成到单一芯片上。美国专利5,313,530“Calculating apparatusand method of encrypting/decrypeing communication data by using the same”，(1994)，是一种脉动加流水的技术方案，运用高阶基数(多比特表示一位)，一个操作数按位流水与另一操作数处理每个残数R，流水级数是另一操作数的位数，仍然相当多的，是一种在电路复杂度和速度间作了一定折衷的方案，有的模乘法技术(见欧洲专利公开EP0381161“modular multiplication method and system”，1990)需要做一些数据初始化或者规格化的预处理，增加了系统的附加开销

现代密码运算面对巨大的数据，而且随着破译技术的发展，数据长度还会增加。而迄今为止的模乘法器，本质上都在顺序执行n×n和n+/-n的操作，就是说一个操作数的每一比特(位)顺序地与另一操作数的每一比特(位)相乘、或相加或相减。由于n很大，这种顺序地积累单步延迟造成总效率降低，而且每一步都涉及A×B、确定Q、Q×M的计算，每个处理单元都相当的复杂。因此，不解决这本质上的障碍，就不会有高效模乘法器满足密码运算的需要。

因此，本发明的目的在于提供一种方法及装置，克服传统长数据操作的低效。使乘法和加法每步不是按一操作数的一比特(位)对另一操作数的一比特(位)顺序处理，变为一操作数的一位(k比特)对另一操作数的全部位(n比特)的并行处理，提高模乘法速度。

本发明的另一目的还在于提供一种方法和装置，使乘法和加法的上述一位(k比特)对n比特的处理，变为若干个并行k+1比特的乘/加处理，提高每一步的效率。

本发明的又一目的还在于提供一种方法和装置，使用最少的元件构成实用的模乘法器，满足要求面积第一的应用要求。

本发明的又一目的还在于提供一种方法和装置，采用并行流水的电路构成一种实用模乘法器，满足要求速度第一的应用要求，但复杂度少于阵列结构。

本发明的这些目的可以通过以下的措施来达到：