信息安全数学基础

第一章 整数的可除性

0能被任何非0整数整除
50的所有因数：1、2、5、10、25、50、-1、-2、-5、-10、-25、-50
朴素素数判别：先求出小于等于根号n的所有素数，若这些素数都不整除n，则n为素数，否则为合数
若a、b、c是三个不全为0的整数，如果a=qb+c，q是整数，则（a，b）=（b，c)
bezout定理：设a、b是任意两个正整数，zz额存在整数s，t使得sa+tb=（a，b）
(ma,mb)=m(a,b)
形为2^a-1的整数及其最大公因数
设a、b是两个正整数，若a被b除的最小非负余数是r，2^a-1被2^b-1除的最小非负余数是2^r-1
(2^a-1,2^b-1)=2^(a,b)-1
2^a-1/2^b-1的充要条件是b|a
给定正合数n>1,如果存在整数a、b使得$n\mid a^2-b^2,n\nmid a-b,n\nmid a+b$,则(n,a-b),(n,a+b)都是n的真因数。
广义欧几里得除法：求sa+tb=(a,b)
画表方法：
分别记录每一行为j，s_j,t_j,q_j+1,r_j+1
j从-3开始，
j=-3时，r_j+1=a，其他为空
j=-2时，s_j=1,t_j=0,r_j+1=b,其他为空
j=-1时，s_j=0，t_j=1,q_j+1为r_j-1/r_j,r_j+1为r_j-1%r_j
以后每一行s_j=s_j-2(上两行）-q_j(上一行）*s_j-1（上一行），q_j+1为r_j-1（上两行）/r_j（上一行）,r_j+1为r_j-1%r_j
直到 r_j+1=0结束，s_j,t_j即为所求s和t。

设a=737，b=635,计算整数s，t使得求sa+tb=(a,b)

j	sj	tj	qj+1	rj+1
-3				737
-2	1	0		635
-1	0	1	1	102
0	1	-1	6	23
1	-6	7	4	10
2	25	-29	2	3
3	-56	65	3	1
4	193	-224	3	0

最终得s=193，t=-224

第二章 同余

若$x\equiv y$(mod m),a_i $\equiv$b _i(mod m),i=0,1,2,……，k，则
a₀+a₁x+……+a_kx^k$\equiv$b₀+b₁x+……+b_kx^k(mod m)

10$\equiv$ 1(mod 3)
5874192$\equiv$ 5+8+7+4+1+9+2$\equiv$ 36(mod 3)
3$\mid$ 36,3$\mid$ 5874192
同理
10$\equiv$ 1(mod 9)
9$\mid$ 36,9$\mid$ 5874192
同理10$\equiv$ -1(mod 7) 10$\equiv$ -1(mod 11) 10$\equiv$ -1(mod 13)
126637693$\equiv$ 126-637+693$\equiv$ 182(mod 7)（mod 11）（mod 13）
因7$\mid$ 182,11$\nmid$ 182,13$\mid$ 182,故7$\mid$ 126637693,11$\nmid$ 126637693,13$\mid$ 126637693

设m是一个正整数，ad$\equiv$bd(mod m),如果（d，m）=1，则a$\equiv$ b(mod m)
设m是一个正整数，a$\equiv$b(mod m),如果d是a、b及m的任一公因数，则$\frac{a}{d}\equiv \frac{b}{d}$(mod $\frac{m}{d}$)

a$\equiv$b（mod p）a$\equiv$ b(mod q),则a$\equiv$b(mod [p,q])

证明同余式的基本方法：把同余式译为整式，运算后再将整式译为同余式
a$\equiv$b(mod m),则m|a-b

对任意整数模m，（a，m）=1，b是任意整数，当k遍历模m的完全剩余系时，ak+b也遍历模m的完全剩余系。
若（m₁,m₂)=1,m₁>0,m₂>0,而k₁,k₂分别遍历模m₁，m₂的完全剩余系，则k₁m₂+m₁k₂遍历模m₁m₂的完全剩余系。
若（m₁,m₂)=1,m₁>0,m₂>0,而k₁,k₂分别遍历模m₁，m₂的j简化剩余系，则k₁m₂+m₁k₂遍历模m₁m₂的简化剩余系。
设m₁,m₂,……m_k是k个互素的正整数，若x₁,x₂,……x_k分别遍历m₁,m₂,……m_k的完全剩余系，则m₂……m_kx₁+m₁m₃……m_kx₂+……m₁……m_k-1x_k遍历m₁,m₂,……m_k的完全剩余系。

欧拉函数$\varphi (x)$是定义在正整数上的函数，$\varphi (m)$的值等于0，1，2，……，m-1中与m互素的数的个数
1和任何整数互素，包括0
对于素数幂m=p^a,有$\varphi (m)$=p^a-p^a-1=m(1-$\frac{1}{p}$)

设m是一个正整数，（a，m）=1，则存在整数a’,1$\le$a’<m,使得aa‘$\equiv$ 1(mod m)

设正整数m的标准分解式为
m=$p_1^{a_1}$$p_2^{a_2}$……$p_k^{a_k}$
则$\varphi (m)$=m(1-$\frac{1}{p_1}$)(1-$\frac{1}{p_2}$)……(1-$\frac{1}{p_k}$)
$\varphi (mn)$=$\varphi (m)\varphi (n)$

设m是一个正整数，则$\sum _{d\mid m}\varphi (d)=m$
欧拉定理：设m是大于1的整数，（a，m）=1，则$a^{\varphi (m)}\equiv 1$(mod m)

费马小定理：p是质数，对于任意整数a，a^p$\equiv$a(mod p)
当（a,p)=1时，a^p-1$\equiv$ 1 (mod p)

威尔逊定理：设p是一个素数，则（p-1）!$\equiv$-1(mod p)

第三章 同余式

逆元：当（a，m）=1时，a存在模m的逆元a’,$a{a}^{\prime }\equiv 1$(mod m)
求逆元（即求ax$\equiv$ 1(mod m)的两个方法:1、bezout等式2、欧拉定理（两边同乘$a^{\varphi (m)}-1$

若m=m₁m₂……m_k,(m_i,m_j)=1,i$\ne$j,则
$f(x)=0⟺$ $\{\begin{array}{l}f(x)\equiv 0(mod{m}_1)\\ \dots \dots \\ f(x)\equiv 0(mod{m}_2)\end{array}$

中国剩余定理
若m₁,m₂,…m_k两两互素，则对任意整数b₁,b₂,…,b_k,同余式组
$\{\begin{array}{l}x\equiv b_1(mod{m}_1)\\ x\equiv b_2(mod{m}_2)\\ \dots \dots \\ x\equiv b_k(mod{m}_k)\end{array}$
一定有解，且在模$m_1{m}_2{m}_3\dots m_k$下解唯一
若令m=$m_1{m}_2{m}_3\dots m_k$，$M_i=\frac{m}{m_i},i=1\dots k,$
则同余式组的解可表示为
$x\equiv b_1{M}_1^{\prime }{M}_1+b_2{M}_2^{\prime }{M}_2+...+b_k{M}_k^{\prime }{M}_k$(mod m)
其中$M_1^{\prime }{M}_1\equiv 1$(mod m_i),i=1,…,k

提升定理：若x$\equiv$x₁(mod p)是同余式f(x)$\equiv$ 0(mod p)的一个解，且（f’(x),p)=1,则同余式f(x)$\equiv$ 0(mod p^a)有解x$\equiv$x_a(mod p^a),若（f’(x),p)>1,未必有解
x_a可由递推式得到
$\{\begin{array}{ll}{x}_i\equiv x_{i-1}+p^{i-1}{t}_{i-1}(mod{p}^i)& \\ t_{i-1}\equiv -\frac{f(x_{i-1})}{p^{i-1}}\ast (f^{\prime }(x){)}^{-1}(modp))(mod{m}_k)& i=2,3\dots a\end{array}$

素数模同余式的简化
由费马小定理当p是素数时，对任意整数a，a^p$\equiv$a(mod p)，则对于任意整数x,都有x^p-x$\equiv$ 0(mod p)
则对于f(x)$\equiv$ (mod p),f(x)=q(x)(x^p-x)+r(x)$\equiv$r(x)(mod p)
若r(x)$\equiv$ 0(mod p),则有n个不同的解
对于n阶的f(x),可先左右同乘a_n的逆元，化首项为1

模素数p的同余式的解数不超过次数n，成立的两个前提条件：p时素数，a_n$\not\equiv 0$(mod p)
若模数不是质数，则解数可能超过次数
若次数小于p的模p整系数多项式解数为p等价于其系数都被p整除

p是一个质数，d是p-1的正因数，则多项式x^d-1模p有d个不同的根

讨论素数模同余式f(x)$\equiv$ 0(mod p)的解数、次数与模p的大小关系
(1)当f(x)的次数n$\ge$p时，解数$\le$模p$\le$次数n
(2)当f(x)的次数n<p时,解数$\le$次数n<模p
a.f(x)的最高次项系数a_n$\not\equiv$ 0(mod p)
x^p-p$\equiv q(x)f(x)$(mod p)$⟺$解数=次数n
f(x)$\equiv$ x^d-1(mod p),d$\mid$p-1$⟹$解数=次数d
b.f(x)中每个系数a_i$\equiv$ 0(mod p)$⟺$解数=模p

第四章 二次同余式与平方剩余

ax²+bx+c$\equiv$ 0(mod p^a),a$\not\equiv$ 0(mod p),若p为奇素数，则（p^a,4a)=1,将同余式两端同乘4a，令y=2ax+b,A$\equiv$b²-4ac可化为y$\equiv$A(mod p^a)

m是正整数，若同余式x²$\equiv$a(mod m),(a,m)=1有解，则a叫做模m的平方剩余（或二次剩余），否则，a叫做模m的平方非剩余（或二次非剩余）

欧拉判别条件：若（a，p）=1，则
(1)a是模p的平方剩余$⟺$$a^{\frac{p-1}{2}}$$\equiv$ 1(mod p)
(2)a是模p的平方非剩余$⟺$$a^{\frac{p-1}{2}}$$\equiv$ -1(mod p)
且若a是模p的平方剩余，则同余式$x^2\equiv$a(mod p),(a,p)=1恰有两解。

勒让德符号
设p是素数，勒让德符号
$(\frac{a}{p})=\{\begin{array}{ll}1,& 若a是模p的平方剩余\\ -1,& 若a是模p的平方非剩余\\ 0,& 若p\mid a\end{array}$
若p是奇素数，则对任意整数a
$(\frac{a}{p})\equiv a^{\frac{p-1}{2}}$(mod p)
$(\frac{ab}{p})=(\frac{a}{p})(\frac{b}{p})$

高斯引理
设p为奇素数，a是整数，(a,p)=1,如果整数a1,a2,……,a*$\frac{p-1}{2}$中模p的最小正剩余大于$\frac{p}{2}$d的个数是m，则$(\frac{a}{p})=(-1{)}^m$
设p是奇素数，$(\frac{2}{p})=(-1{)}^{\frac{p^2-1}{8}}$
若(a,2p)=1,则$(\frac{a}{p})=(-1{)}^{T(a,p)}$,其中T(a,p)=$\sum _{k=1}^{\frac{p-1}{2}}[\frac{a\ast k}{p}]$

二次互反律
若p,q是互素的奇素数，则$(\frac{q}{p})=(-1{)}^{\frac{p-1}{2}\ast \frac{q-1}{2}}(\frac{p}{q})$

雅可比符号
设m=p₁p₂……p_r是素数p_i的乘积，对任意整数a，其雅可比符号为
$(\frac{a}{m})=(\frac{a}{p_1})(\frac{a}{p_1})\dots \dots (\frac{a}{p_1})$
$(\frac{a}{m})=-1⟹$存在某个($\frac{a}{p_1})=-1⟺$$x^2\equiv a$(mod m)无解
雅可比符号的计算性质同于勒让德符号

模p平方根
p=4k+3型素数
解二次同余式 $x^2\equiv a$(mod p),设素数p=4k+3，如果同余式 $x^2\equiv a$(mod p)有解，其解为x=$\pm a^{\frac{p+1}{4}}$

p为奇素数的情况
若有解
1、初始次数为$\frac{p-1}{2}$,即$a^{\frac{p-1}{2}}\equiv 1$(mod p)
2、若次数为奇数两边同乘a，否则两边同时开方，计算右边是1还是-1，若是1，重复第2步（看次数奇偶），若是-1，进行第3步
2、取模数p的一个平方非剩余x，左边乘$x^{\frac{p-1}{2}}$,右边由-1变为1，重新进行第2步

同余式$x^2\equiv a$(mod $2^{\alpha }$)
当$\alpha =1$时,解数为1
当$\alpha =2$时,若$a\equiv 1$(mod 4),则有解，且解数为2
当$\alpha >2$时,若$a\equiv 1$(mod 8),则有解，且解数为4

求解$x^2+y^2=p$,p是素数

第五章 原根与指标

设m>1是整数，a是与m互素的正整数，则使得$a^e\equiv 1$(mod m)成立的最小正整数e，叫做a对模m的指数，记作ord_m(a)
如果a对模m的指数是$\varphi (m)$,则a叫做模m的原根。
ord_m(a)=ord_m(a^-1)

设m>1是整数，(a,m)=1,整数d$\ge$ 0,则
$or{d}_m(a^d)=\frac{or{d}_m(a)}{(d,or{d}_m(a))}$

设m>1是整数，(a,m)=1,则$or{d}_m(a)\mid \varphi (m)$,据此推论，可在$\varphi (m)$的所有因数中寻找$or{d}_m(a)$
设m>1是整数，g是模m的原根，设$d\ge 0$为整数，则
$g^d$是模m的原根$⟺$$(d,\varphi (m))=1$,符合条件的d再0——$\varphi (m)-1$中有$\varphi (\varphi (m))$个，即若原根存在，则有$\varphi (\varphi (m))$个

大指数构造
设m>1是整数，(a,m)=1,(b,m)=1,则$or{d}_m(ab)\mid [or{d}_m(a),or{d}_m(b)]\mid or{d}_m(a)\ast or{d}_m(b)$
设m>1是整数，(a,m)=1，(b,m)=1,则存在c使得$or{d}_m(c)=[or{d}_m(a),or{d}_m(b)]$,$c=a^s{b}^t$,其中s=$\frac{or{d}_m(a)}{u}$,t=$\frac{or{d}_m(b)}{v}$,u、v满足$u\mid or{d}_m(a)$、$v\mid or{d}_m(b)$,(u,v)=1,$uv=[or{d}_m(a),or{d}_m(b)]$
设m>1是整数，(a,m)=1,(b,m)=1,则存在c使得$or{d}_m(c)=[or{d}_m(a),or{d}_m(b)]$
设m>1是整数，$a_1,a_2\dots ，a_{\varphi (m)}$是模m的简化剩余系，则存在整数c使得$[or{d}_m(c)=or{d}_m(a_1),\dots ，or{d}_m(a_{\varphi (m)})]$,而$or{d}_m(c)$也恰为使得$a_k^e\equiv 1$(mod m),$1\le k\le \varphi (m)$成立的最小正整数e，称为模m的简化剩余系指数
设m、n都是大于1的整数，整数a与m、n均互素，则
(1)、若$n\mid m$则$or{d}_n(a)\mid or{d}_m(a)$
(2)、若(m,n)=1,则$or{d}_{mn}(a)=[or{d}_m(a),or{d}_n(a)]$
设m，n都是大于1的整数，且(m,n)=1,则对任意与m互素的整数$a_1$、与n互素的整数$a_2$，存在整数a使得
$or{d}_{mn}(a)=[or{d}_m(a_1),or{d}_n(a_2)]$

模p原根
设p是奇素数，则模p的原根存在
模m原根
模m的原根存在的充要条件是$m=2,2,p^{\alpha },2p^{\alpha }$

指标
设整数m>1,g是模m的一个原根，(a,m)=1,则存在唯一的整数r使得$g^r\equiv a$(mod m),其中$1\le r\le \varphi (m)$成立，这个整数r叫做以g为底的a对模m的一个指标，记作$r=in{d}_{g}a$(或$r=inda$)

n次同余式
设m>1,(a,m)=1,如果n次同余式$x^n\equiv a$(mod m)有解，则a叫做模m的n次剩余；否则，a叫做模m的n次非剩余。
设m>1,g是模m的一个原根,(a,m)=1,则n次同余式$x^n\equiv a$(mod m)有解的充分必要条件是$(n,\varphi (m))\mid in{d}_{g}a$,且在有解的情况下，解数为$(n,\varphi (m))$
设整数m>1,g是模m的一个原根，(a,m)=1,则a是模m的n次剩余的充分必要条件是$a^{\frac{\varphi (m)}{d}}\equiv 1$(mod m),其中$d=(n,\varphi (m))$
设整数m>1,g是模m的一个原根，(a,m)=1,则a对模m的指数是$or{d}_m(a)=\frac{\varphi (m)}{(\varphi (m),in{d}_g(a))}$
特别地，a是模m的原根$⟺$$(\varphi (m),in{d}_g(a))=1$
设整数m>1,g是模m的的一个原根，则模m的简化剩余系中，指数是e的整数个数是$\varphi (e)$,特别的，模m简化剩余系中原根的个数是$\varphi (\varphi (m))$

第八章 群、环、域

设S是一个非空集合，将映射f:SS$\to$S,(a,b)$\to$c叫做S的一个二元代数运算，把(s,f)叫做二元代数系统。
封闭性：对于S中任意两个元素a、b，通过f可唯一确定S中一个元素c：f(a,b)=c,若将二元代数f即为,则将f(a,b)=c,记为a*b=c
自然数集合N:加法、乘法是二元代数运算，减法和除法不是二元代数运算

设S是一个非空集合，若* 为S上的二元代数运算，且满足结合律，则称该代数系统(S,*)为半群。

设(G,* )为半群，如果满足下面条件：
(1)、G中有一个元素1，使得对于G中任意元素a都有1* a=a* 1=a
(2)、对于G中任意a，都可找到G中一个元素a^-1,使得a*a^-1=a^-1*a=1,则称(G, )为群，元素1称为单位元，a^-1称为a的逆元，群G中包含的元素个数叫做群G的阶，记为|G|。如果G有限，则称G为有限群，否则称G为无限群。如果G中运算还满足交换律，那么G叫做交换群或阿贝尔群。
群中消去律成立

群的判定：
方法一：
1、G非空
2、运算封闭
3、运算满足jiehelv
4、G中有运算的左单位元
5、G中任意元素关于运算有左逆元
方法二：
4、对G中任意元素a、b，有x，y使$\{\begin{array}{l}x\ast a=b\\ a\ast y=b\end{array}$
方法三：
4、对G中任意元素a、b，
$\{\begin{array}{l}a\ast x=a\ast y⟹x=y\\ x\ast a=y\ast a⟹x=y\end{array}$

对于人亦整数m、n
第一指数律：$a^m\ast a^n=a^{m+n}$
第二指数律：$(a^m{)}^n=a^{mn}$
对群中任意元素a、b有$(a\ast b{)}^{-1}=b^{-1}\ast a^{-1}$
在Abel群中，第三指数律成立：$(a,b{)}^m=a^m\ast b^m$,m为任意整数。一般来说，群中第三指数律不成立。

子群
设(G,*)是一个子群，$H\subseteq G$,如果(H, * )仍是一个群，则(H, * )叫做(G, *)的子群，记作$H\le G$。如果$H\subset G$则(H, *)叫做(G, *)的真子群。
平凡子群：1、单位子群{1}；2、G本身
其余的子群成为非平凡子群

子群判定
条件一：1、H非空；2、H对*运算封闭；3、对任意$a\in H$,由$a^{-1}\in H$
条件二：1、H非空；2、对任意$a\in H$,$b\in H$,由$a{b}^{-1}\in H$

生成子群
设a是群G的一个元素。于是a的所有幂的集合，$a^n,n=\pm 1,\pm 2,\dots$做成G的一个子群，记为(a),此群称为由a生成的子群。

循环群
称群G为一个循环群，如果G可以由它的某元素a生成，即由$a\in G$使得G=(a),a称为群G的生成元，子群(a)可称为由a生成的循环子群
循环群必为Able群
循环群的子群仍为循环群

元素的周期
对于群中的元素a，使得$a^k\equiv e$的最小正整数k称为元素a的周期(也成为a的阶)，若不存在这样的看，则称a的周期为0或$\infty$,元素a的周期记为ord(a)

子群的陪集
设G是群，H是G的子群，a、b$\in H$,若有$h\in H$,使得a=bh，则称a合同于b（右模H），记为$a\equiv b$(右mod H)
群G在合同关系（右模H）下的一个等价类叫做H的一个右陪集
不同的子群会产生不同的右模合同关系，也就会得到不同的右陪集
任意两个右陪集或者相等，或者不相交

求所有右陪集的简单方法：
若G是一个有限群，求H的右陪集
1、首先，H本身就是一个；
2、任取$a\notin H$而a$\in G$,求aH，又得到一个；
3、任取$a\notin H$$\cup$aH而$b\in G$,求bH，又得到一个。如此类推，因为G有限，最后必被穷尽，这样$G=H\cup aH\cup bH\cup \dots$

拉格朗日定理：设G为有限群，H为G的任意子群，则|H|整除|G|

设H是群G的子群，若对G中的任意元素g，都有gH=Hg，则称H是G的正规子群
(1)、“平凡”子群H={1}和G都是G的正规子群；
(2)、Abel群的任意子群是正规子群
(3)、G的一个子群H是其正规子群if对任意的$g\in G$,都有$gH{g}^{-1}=H$即H只有一个共轭子群，就是H自己。
(4)、G的一个子群H是其正规子群if对任意的$g\in G$,都有$gH{g}^{-1}\subseteq H$。

H在G中的指数：
有限群G的元数除以H的元数所得的商，记为(G:H),称为H在G中的指数。H的指数也就是H的右（左）陪集的个数。

设G是有限群，元数为n，对任意$a\in G$,由$a^n=1$

设(G,$\cdot$)是群，(K,*)是代数系统，$\sigma$是$(G,\cdot )$到$(K,\ast )$内的一个映射。如果对任意$a、b\in G$,都有$\sigma (a\cdot b)=\sigma (a)\ast \sigma (b)$，那么$\sigma$叫做是G到K内的一个同态映射。
如果$\sigma$是单射，则称为单同态映射；
如果$\sigma$是满射，则称为满同态映射；
如果$\sigma$是双射，则成为同构映射。

循环群生成元个数：
(1)、无限循环群(a)一共有两个生成元,a和a^-1
(2)、n元循环群(a)中,元素a^k是(a)的生成元的充要条件是(n,k)=1,所以(a)一共有$\varphi (n)$个生成元

同态核
设$\sigma$是G到G‘上的一个同态映射，命N为G中所有变成G’中1’的元素g的集合，记为${\sigma }^{-1}(1^{\prime })$,即$N={\sigma }^{-1}(1^{\prime })=${$g\in G\mid \sigma (g)=1^{\prime }$}，称N为$\sigma$的核。

环与域

设R是具有两种运算（分别记为加和乘的非空集合），如果以下条件成立：
(1)、R对于加法构成一个交换群
(2)、R对于乘法构成一个半群
(3)、乘法对加法满足分配律，即$a(b+c)=ab+ac,(b+c)a=ba+ca$
则R叫做环
设R为环，如果R^*=R-{0}对于乘法构成一个交换群，则称R为域

设R是环，R中非零元a称为左零因子，（对应地有右零因子），如果存在非零元$b\in R$(对应地有$c\in R$),使得ab=0（对应地有ca=0），a称为零因子，如果它同时为左零因子和右零因子，则称R为有零因子环。无零因子的环称为无零因子环。

设R是一个交换环，称R为整环（整区），如果R中有单位元，但没有零因子。
域是一种整环。
域中所有元素的加法周期都相同。

素域
一个域叫做素域，如果它不含真子域
域的特征（非零元素加法周期）或为零或为素数。
如果域的特征为0，则F包含一个与Q同构的素域；
如果域的特征为p，则F包含一个与F_p同构的素域，该域为有限域；
素域只有两种：Q和F_P

有限域
任何一个有限域的元素都形如$p^n$,记为$F_{p^n}$
有限域$F_{p^n}$包含素域$F_p$为其最小子域
有限域$F_{p^n}$的特征为p
有限域的元数q必为$p^n$的形式，其中p为其特征，如果同构的域看作是一样的，则对任意的$q=p^n$恰有一个q元有限域

有限域$F_{p^n}$的构造方法

设f(x)是正焕R上的非常数多项式，如果f(x)不能分解成R[x]中两个次数大于0且小于n的多项式的乘积，则称f(x)为不可约多项式。特别地，首相系数为1的不可约多项式称为首1不可约多项式。
例

第十四章 椭圆曲线

设E为域K上的椭圆曲线，定义E中点与点之间的加法运算如下：设P、Q是E上的两个点，则$P\oplus Q$是过P、Q的直线（如果P=Q则为过P的切线）与椭圆曲线相交的第三点关于x轴的对称点。$P\oplus Q$也可写作P+Q