实现SM2算法的多倍点计算方法、装置与流程

本发明涉及计算机领域，尤其涉及一种实现SM2算法的多倍点计算方法、装置。

背景技术：

SM2算法是基于ECC算法设计的一种特定的椭圆曲线加密算法，基于有限域空间点的多倍点运算实现加密、解密、签名、验证等功能。SM2多倍点运算是SM2算法中耗时最久的运算，严重制约了加密器件的加密性能，多倍点可以分解为点加和倍点运算。由于SM2是特定参数的椭圆曲线，所以可以针对该曲线做专门的优化，从而加快SM2点乘运算的速度。SM2算法实现椭圆曲线的多倍点计算如下：

Q＝[k]P＝P+P+P+…P。

现有技术实现椭圆曲线多倍点运算可采用二进制展开法计算，二进制展开法的算法如下：

输入：点P，l比特的整数

输出：Q＝[k]P

1)Q＝0；

2)For(j＝l-1；j>0；j＝j-1)

Q＝[2]Q；

If(kj＝＝1)

Q＝Q+P；

3)输出Q。

在使用二进制展开算法计算多倍点时，假设k的长度与P的长度相等为l，点加性能为1.5D，倍点性能为D，其中，D为计算机进行一次运算的时间。不考虑坐标转化的情况下，运算时间为t＝l*(1.5D+D)＝2.5lD，运算速度非常慢。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术中运算速度慢的缺陷，提供一种实现SM2算法的多倍点计算方法、装置，可提高运算速度。

本发明解决其技术问题所采用的技术方案是：构造一种实现SM2算法的多倍点计算方法，用于计算整数P的多倍点，包括：

步骤S10.获取二进制数k，并将k从低位开始进行窗口划分，以获取w个位串K，且每个位串K的长度为d，其中，w大于1；

步骤S20.将初始的i设置为d-1，将初始的Q设置为0；

步骤S30.逐个窗口扫描，以获取每个位串K的第i位Ki^w-1、…、Ki¹、Ki⁰，且根据公式1更新Q值：

Q＝2Q， 公式1；

步骤S40.判断Ki^w-1、…、Ki¹、Ki⁰是否全为0，若否，则执行步骤S50；若是，则执行步骤S60；

步骤S50.根据Ki^w-1、…、Ki¹、Ki⁰，从预存储的多个点乘值中获取相对应的点乘值M，并根据公式2更新Q值，其中，预存储的多个点乘值是P分别与2^w个不同的长度为w的位串的点乘值；

Q＝Q+M， 公式2；

步骤S60.将当前i减1，并判断当前i是否小于0，若否，则执行步骤S30，若是，则执行步骤S70；

步骤S70.输出当前Q值。

优选地，在步骤S10中，将k进行窗口划分，包括：

判断k的最高的位串的长度是否为d，若否，则在k的最高位前填充0，以使最高的位串的长度为d。

本发明还构造一种实现SM2算法的多倍点计算装置，用于计算整数P的多倍点，包括：

预置点存储器，用于预存储P分别与2^w个不同的长度为w的位串的点乘值；

多倍点运算控制器，用于获取二进制数k，并将k从低位开始进行窗口划分，以获取w个位串K，且每个位串K的长度为d，其中，w大于1，而且，对于从d-1开始至0的每个i，均逐个窗口扫描，以获取每个位串K的第i位 Ki^w-1、…、Ki¹、Ki⁰，并根据Ki^w-1、…、Ki¹、Ki⁰，从预存储的多个点乘值中获取相对应的点乘值M，然后，将点乘值M送入点加点倍运算电路；还用于在判断当前i小于0时，输出当前Q值；

点加点倍运算电路，用于先根据公式1更新Q值，并在判断Ki^w-1、…、Ki¹、 Ki⁰不全为0时，再根据公式2更新Q值，并向所述多倍点运算控制器返回当前Q值；

Q＝2Q， 公式1；

Q＝Q+M， 公式2。

优选地，所述多倍点运算控制器，用于在判断出k的最高的位串的长度小于d，在k的最高位前填充0，以使最高的位串的长度为d。

本发明还构造一种实现SM2算法的多倍点计算装置，包括处理器及存储器，所述存储器存储有计算机程序，其特征在于，所述处理器在执行所述计算机程序时实现以上所述的方法的步骤。

实施本发明的技术方案，通过预置多倍点并使用窗口算法，使用少量的存储空间便可加快SM2的多倍点计算，带来性能的成倍增加。

附图说明

为了更清楚地说明本发明实施例，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图中：

图1是本发明实现SM2算法的多倍点计算方法实施例一的流程图；

图2是本发明实现SM2算法的多倍点计算装置实施例一的逻辑结构图。

具体实施方式

下面结合附图详细说明本发明的具体实施方式。

在此记载的具体实施方式/实施例为本发明的特定的具体实施方式，用于说明本发明的构思，均是解释性和示例性的，不应解释为对本发明实施方式及本发明范围的限制。除在此记载的实施例外，本领域技术人员还能够基于本申请权利要求书和说明书所公开的内容采用显而易见的其它技术方案，这些技术方案包括采用对在此记载的实施例的做出任何显而易见的替换和修改的技术方案，都在本发明的保护范围之内。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

对于长度为1的大数k，其二进制表示为：可以从低位开始，将其划分为w个二进制的位串K，每个位串的长度为d，需说明的是，若1 不是d的倍数，可在k的最高位前填充合适数量的0，以使k的长度变为t，而且，这样，k可以表示为：

k＝(kt-1，kt-2，…，k1，k0)2＝(K^w-1||…||K¹||K⁰)2

将位串K^j写作代表矩阵的行，其中各列会同时处理。

另外，可预先设置2^w个不同的长度为w的位串(aw-1，aw-2，…，a1，a0)2，即，第一位串涵盖了所有的长度为w的位串，然后，预计算如下定义的点乘：

[aw-1，aw-2，…，a1，a0]P＝aw-12^(w-1)dP+aw-22^(w-2^)dP+…+a12^dP+a0P

而且，将所计算的所有点乘结果与曲线参数一样，当做常量存储起来。

下面结合图1说明实现SM2算法的多倍点计算过程：

步骤S10.获取二进制数k，并将k从低位开始进行窗口划分，以获取w个位串K，且每个位串K的长度为d，其中，w大于1；

步骤S20.将初始的i设置为d-1，将初始的Q设置为0；

步骤S30.逐个窗口扫描，以获取每个位串K的第i位Ki^w-1、…、Ki¹、Ki⁰，且根据公式1更新Q值：

Q＝2Q， 公式1；

步骤S40.判断Ki^w-1、…、Ki¹、Ki⁰是否全为0，若否，则执行步骤S50；若是，则执行步骤S60；

步骤S50.根据Ki^w-1、…、Ki¹、Ki⁰，从预存储的多个点乘值中获取相对应的点乘值M，并根据公式2更新Q值，其中，预存储的多个点乘值是P分别与2^w个不同的长度为w的位串的点乘值；

Q＝Q+M， 公式2；

步骤S60.将当前i减1，并判断当前i是否小于0，若否，则执行步骤S30，若是，则执行步骤S70；

步骤S70.输出当前Q值。

实施本发明的技术方案，通过预置多倍点并使用窗口算法，使用少量的存储空间便可加快SM2的多倍点计算，带来性能的成倍增加。

在一个具体实施例中，假设窗口宽度w为4，长度为4的二进制位串 (a3,a2,a1,a0)2共有2⁴(16)种可能，因此，需预计算每一种长度为4的可能的位串分别与P的点乘值：a3·2^3dP+a2·2^2dP+a1·2^dP+a0P。

若要计算Q＝kP，对于一个输入的二进制数k，若其长度(包括最高位填充0后的长度)为t，则k可以表示为:k＝(kt-1,kt-2,…,k1,k0)2，对其进行窗口划分后，每个位串K的长度点P∈E(Fq)，此时，k可以表示为: k＝(K³||K²||K¹||K⁰)2，其中每个Kj的长度为d，用表示Kj的第i位,j＝3、2、 1，i＝d-1、…、1、0。

首先，设初始的Q设置为0，即无穷远点；

接着，对于i从d-1到0，重复执行以下两个步骤：

1)Q＝2Q；

2)若不全为0，则根据下公式更新Q：

最后，返回Q值。

本发明通过模运算优化和点运算优化，使用少量的存储空间，带来性能的成倍增加，具体地：

当窗口w＝4时，运算时间为：

当窗口w＝5时，运算时间为:

当窗口w＝6时，运算时间为:

当窗口w＝7时，运算时间为:

图2是本发明实现SM2算法的多倍点计算装置实施例一的逻辑结构图，该实施例的多倍点计算装置包括预置点存储器10、多倍点运算控制器20及点加点倍运算电路30，其中，预置点存储器10用于预存储P分别与2^w个不同的长度为w的位串的点乘值；多倍点运算控制器20用于获取二进制数k，并将k从低位开始进行窗口划分，以获取w个位串K，且每个位串K的长度为 d，其中，w大于1，而且，对于从d-1开始至0的每个i，均逐个窗口扫描，以获取每个位串K的第i位Ki^w-1、…、Ki¹、Ki⁰，并根据Ki^w-1、…、Ki¹、Ki⁰，从预存储的多个点乘值中获取相对应的点乘值M，然后，将点乘值M送入点加点倍运算电路30；还用于在判断当前i小于0时，输出当前Q值；点加点倍运算电路30用于先根据公式1更新Q值，并在判断Ki^w-1、…、Ki¹、Ki⁰不全为0时，再根据公式2更新Q值，并向多倍点运算控制器20返回当前Q值；

Q＝2Q， 公式1；

Q＝Q+M， 公式2。

在该实施例中，首先，通过软件预计算多个P点的倍数点(点乘值)，并预置到预置点存储器10中，预置点存储器10可以使用Flash，Ram，Rom等存储体作为实现载体。当整数k输入到多倍点运算控制器20中时，多倍点运算控制器20对k进行窗口划分，并逐个窗口扫描k值，然后根据当前窗口k 值从预置点存储器10获取相应的多倍点的值，送到点加点倍运算电路30进行计算。最后，由多倍点运算控制器30将计算最终结果Q输出。该实施例的技术方案通过使用少量的存储空间，就可减少多倍点的运算量，提高了SM2多倍点计算速度。

关于预置点存储器10，需说明的是，若窗口长度w＝4，k为256比特的大数，可将k分割成四个位串，每个位串均为64比特，即d＝64。而且，由于 (a3,a2,a1,a0)2一共有16种可能，所以，a3·2¹⁹²P+a2·2¹²⁸P+a1·2⁶⁴P+a0P,ai∈{0,1}也一共有16种可能，分别对应的预计算的点乘值如下：

0000对应的是0P(即无穷远点，可不存储)；

0001对应的是1P(即P，已经有的，可不存储)；

0010对应的是2⁶⁴P；

0011对应的是2⁶⁴P；

0100对应的是2¹²⁸P；

…

1111对应的是(2¹⁹²+2¹²⁸+2⁶⁴+1)P

在此需说明的是，在实际应用中，由于0000对应的点乘值为0,0001对应的点乘值为P，所以，这两个值无需在预置点存储器10中存储，实际只存储后14 个点就可以。

关于算法的计算量，需说明的是，假设k的长度与P的长度相等，均为l，点加性能为1.5D，倍点性能为D，不考虑坐标转化的情况下，则

当w＝4时，需要保存的点乘值为14(2⁴-2)个，运算时间为：

当w＝5时，需要保存的点乘值为30(2⁵-2)个，运算时间为：

当w＝6时，需要保存的点乘值为62(2⁶-2)个，运算时间为：

当w＝7时，需要保存的点乘值为126(2⁷-2)个，运算时间为：

本发明还构造一种实现SM2算法的多倍点计算装置，该多倍点计算装置包括处理器及存储器，而且，存储器存储有计算机程序，处理器在执行该计算机程序时实现以上方法的步骤。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何纂改、等同替换、改进等，均应包含在本发明的权利要求范围之内。