FHE 的槽置换：Benes Network

参考文献：

1. [SV11] Smart N P, Vercauteren F. Fully homomorphic SIMD operations[J]. Designs, codes and cryptography, 2014, 71: 57-81.
2. [GHS12] Gentry C, Halevi S, Smart N P. Fully homomorphic encryption with polylog overhead[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 465-482.
3. [HS13] Halevi S, Shoup V. Design and implementation of a homomorphic-encryption library[J]. IBM Research (Manuscript), 2013, 6(12-15): 8-36.
4. [HS14] Halevi S, Shoup V. Algorithms in helib[C]//Advances in Cryptology–CRYPTO 2014: 34th Annual Cryptology Conference, Santa Barbara, CA, USA, August 17-21, 2014, Proceedings, Part I 34. Springer Berlin Heidelberg, 2014: 554-571.
5. 多项式和有限域的Galois群 - 知乎
6. 有限 Abel 群结构定理 - 知乎
7. 神奇的Banyan Network - 知乎
8. Hall 定理 & 正则二分图的完美匹配
9. 匈牙利算法的实现原理是什么？ - 知乎

SIMD & Rotate

假设 $P$ 是素域，令 $E$ 是 $X^m-1$ 的在素域 $P$ 上的分裂域，则 $E/P$ 是代数单扩张：任意本原根 ${\zeta }_m$，扩域 $E=P({\zeta }_m)$，循环群 $G=({\zeta }_m)$

1. 如果 $char(P)=p$，那么扩张次数 $[E:{\mathbb{Z}}_p]=r$，它是满足 $p^r=1(\mathrm{mod}m)$ 的最小整数，并且 ${\zeta }_m$ 在 $P$ 上的极小多项式为 $f(x)=(x-{\zeta }_m)(x-{\zeta }_m^p)\cdots (x-{\zeta }_m^{p^r-1})$，这里的 ${\zeta }_m^{p^j-1}$ 是本原单位根的共轭
2. 如果 $char(P)=0$，那么扩张次数 $[E:\mathbb{Q}]=\varphi (m)$，并且 ${\zeta }_m$ 在 $P$ 上的极小多项式 ${\varphi }_m(x)={\prod }_{j\in {\mathbb{Z}}_m^{\ast }}(x-{\zeta }_m^j)$ 称为分圆多项式，它是 $\mathbb{Q}[x]$ 上的不可约多项式，$E=\mathbb{Q}({\zeta }_m)$ 称为分圆域

令 ${\varphi }_m(x)$ 是分圆多项式，${\zeta }_m$ 是本原单位根，分圆数域 $K=\mathbb{Q}({\zeta }_m)\cong \mathbb{Q}[x]/({\varphi }_m(x))$，它的整数环是 ${\mathcal{O}}_K=\mathbb{Z}[{\zeta }_m]\cong \mathbb{Z}[x]/({\varphi }_m(x))$，其中 $x={\zeta }_m$，令 $N=\mathrm{deg}{\varphi }_m(x)=\varphi (m)$

根据 Galois Theory，$K$ 是可分多项式 $x^n-1$ 的分裂域，因此 $K/\mathbb{Q}$ 是 Galois 扩张，并且 $Gal(K/\mathbb{Q})\cong {\mathbb{Z}}_m^{\ast }$ 是阿贝尔群，于是 $K/\mathbb{Q}$ 是阿贝尔扩张。全部的自同构都落在 Galois 群内 $Aut(K)=Gal(K/\mathbb{Q})$，形如 ${\kappa }_j:f(x)\mapsto f(x^j),\forall j\in {\mathbb{Z}}_m^{\ast }$

对于有限域 $F=GF(p^d)$，它是可分多项式 $x^{p^d}-x$ 的分裂域，因此 $F/{\mathbb{Z}}_p$ 是 Galois 扩张，并且 $Gal(F/{\mathbb{Z}}_p)=({\kappa }_p)$ 是循环群，其中 ${\kappa }_p:x\mapsto x^p$ 是 Frobenius 映射，此时 $F/{\mathbb{Z}}_p$ 是循环扩张。

令 $\mathbb{A}=\mathbb{Z}[x]/({\varphi }_m(x))$，我们令 ${\mathbb{A}}_p$ 是明文空间，${\mathbb{A}}_q$ 是密文空间，其中 $p$ 是较小素数（比如 32 比特素数），而 $q$ 是很大的模数（可以是素数，也可以是一些素数乘积）。我们用 ${\mathbb{A}}_q$ 模拟 $\mathbb{A}$ 的运算，对于明文 $a\in {\mathbb{A}}_p$，在编码到 ${\mathbb{A}}_q$ 中的 $a+pe$，只要运算过程中 $a+pe$ 的规模没有越过 $q$，那么 ${\mathbb{A}}_q$ 确实正确地模拟了 $\mathbb{A}$ 上的运算，从而再模掉 $p$ 即可得到 ${\mathbb{A}}_p$ 中的计算结果。

SIMD Packing

虽然 ${\varphi }_m(x)$ 在 $\mathbb{Z}$ 上不可约，但是在有限域 ${\mathbb{Z}}_p$ 上是可约的：${\varphi }_m(x)$ 拥有次数 $d$ 的素因子，当仅当 $m|p^d-1$（此时扩域 $GF(p^d)$ 中包含 $m$ 次本原单位根），多项式分解为 ${\varphi }_m(x)={\prod }_{i=1}^l{F}_i(x)(\mathrm{mod}p)$，其中 $l=N/d$，$\mathrm{deg}{F}_i=d,\forall i$

整环 $\mathbb{Z}[x]$ 的理想 $p=(p,{\varphi }_m(x))$，$p_i=(p,F_i(x))$，易知 $p={\bigcap }_i{p}_i$，根据 CRT 得到：
$${\mathbb{Z}}_p[x]/({\varphi }_m(x))\cong {\prod }_{i=1}^l{\mathbb{Z}}_p[x]/(F_i(x))$$

由于 $F_i(x)$ 是不可约的，因此 ${\mathbb{L}}_i={\mathbb{Z}}_p[x](F_i(x))\cong GF(p^d)$ 都是同一个有限域。我们要求明文模数 $p$ 足够大，使得槽的数量 $l=N/d$ 足够多。

假设消息空间是子域 ${\mathbb{K}}_n\le GF(p^d)$，满足 $[{\mathbb{K}}_n:{\mathbb{Z}}_p]=n|d$。定义映射 ${\psi }_{n,i}:{\mathbb{K}}_n\to {\mathbb{L}}_i$ 是同态嵌入（当 $d=n$ 时是自同构），编码函数 ${\psi }_n:{\mathbb{K}}_n^l\to A_p$ 定义为
$${\psi }_n:(m_1,\cdots ,m_l)\mapsto ({\psi }_{n,1}(m_1),\cdots ,{\psi }_{n,l}(m_l))$$

简记 ${\mathbb{A}}_p=CR{T}_p(A_p)$，其中 $A_p$ 是 $l$ 维向量空间，令 ${\vec{e}}_i\in A_p$ 是单位向量，再令 ${\pi }_i=CR{T}_p({\vec{e}}_i)$ 是对应的环元素。易知，${\pi }_i\cdot CR{T}_p(\vec{m})=CR{T}_p(0,\cdots ,m_i,\cdots ,0)$，于是 ${\pi }_i$ 定义了投影映射。它可做为掩码，构造 Select 函数。

Slot Rotation

域自同构映射 ${\kappa }_j\in Gal(K/\mathbb{Q})$，作用在整环 ${\mathbb{A}}_p$ 或者线性空间 $A_p$ 上（注意它们不是有限域），容易验证
$$\begin{gathered} {\kappa }_j(x)(\mathrm{mod}{F}_i)={\kappa }_j(x(\mathrm{mod}{F}_i)) \\ {\kappa }_j(CR{T}_p(\vec{x}))=CR{T}_p(\cdots ,{\kappa }_j(x(\mathrm{mod}{F}_i)),\cdots ) \end{gathered}$$

因此 ${\kappa }_j$ 相对于 $CR{T}_p$ 是可交换的。

由于整环 ${\mathbb{A}}_p$ 分解为 $l=N/d$ 个有限域 $GF(p^d)$ 的直积，因此 $Gal(K/\mathbb{Q})$ 包含循环子群 $\mathcal{G}=({\kappa }_p)$，生成元是 Frobenius 映射 ${\kappa }_p:x\mapsto x^p$。群 $\mathcal{G}$ 是 $p$ 的分解群。

定义商群 $\mathcal{H}={\mathbb{Z}}_m^{\ast }/\mathcal{G}$，易知 $ord(\mathcal{H})=N/d=l$，且 $\mathcal{H}$ 是阿贝尔群。根据有限阿贝尔群结构定理，可以分解为若干循环群的直积：$\mathcal{H}\cong {\prod }_{i=1}^t{\mathbb{Z}}_{n_i}$，并且满足 $n_i|n_{i+1}$ 以及 ${\prod }_i{n}_i=l$，这些 $n_i$ 称为不变因子。令 $h_i$ 是循环群 ${\mathbb{Z}}_{n_i}$ 的陪集代表，那么 $h={\prod }_{i=1}^t{h}_i^{e_i},0\le e_i\le n_i$ 就是全部的 $\mathcal{H}$ 中陪集代表。

由于 ${\varphi }_m(x)={\prod }_i{F}_i(x)(\mathrm{mod}p)$，我们将 ${\varphi }_m(x)$ 的 $\varphi (m)$ 个根 { ζ m j : j ∈ Z m ∗ } \{\zeta_m^j: j \in \mathbb Z_m^*\} {ζmj​:j∈Zm∗​}，根据素因子 $F_i$ 把根划分到 $l=N/d$ 个集合中，集合 $X_i=\{({\zeta }_m^i{)}^{p^r}:1\le r\le d\}$ 是 $F_i$ 所有的根，它们相互共轭。因为 $\mathcal{H}$ 大小是 $l$，且它在 $l$ 个集合 $X_i$ 之间做迁移，我们令 ${\zeta }_m$ 是集合 $X_1$ 的代表，那么恰好存在唯一的 ${\kappa }_i\in \mathcal{H}$ 使得 ${\kappa }_i({\zeta }_m)$ 是集合 $X_i$ 的代表。

由于 ${\kappa }_j$ 和 $CR{T}_p$ 交换，

• 循环群 $\mathcal{G}$ 中的自同构 ${\kappa }_p$，作用在槽 ${\mathbb{Z}}_p[x]/(F_i(x))$ 上，执行了 $X_i$ 内部的单环置换，它对各个槽分别执行 Frobenius 映射，各个槽之间并没有置换
• 商群 $\mathcal{H}$ 的代表元 ${\kappa }_k,k=i^{-1}j$，作用在槽 ${\mathbb{Z}}_p[x]/(F_i(x))$ 上，它将 ${\zeta }_m^i\in X_i$ 映射到了 ${\zeta }_m^j\in X_j$，于是它可以实现任意两个槽之间的置换（但整体上不一定是单环置换）
• 对于某些特定的参数设置（比如 $m=2^{N+1}$ 并且 $m|p-1$），此时 H = { i d } \mathcal H=\{id\} H={id}，并且 $\mathcal{G}$ 恰好是某个单环置换（single cycle）生成的循环群，这就是 BGV 的 Slot Rotation 技术。

我们说对称群子群 $H\subset S_l$ 是快速迁移的（sharply transitive），如果对于任意的 $i,j\in [l]$，都存在唯一的 $h\in H$ 使得 $h(i)=j$ 成立。易知，单环置换的循环群是快速迁移的；容易证明，商群 $\mathcal{H}$ 也是快速迁移的。

Permutaion Network

BGV 的 SIMD 技术中，提供了 component-wise $l$-Add and $l$-Mult，以及底层代数结构提供的 $l$ 个简单的快速迁移置换。我们希望再实现任意的 $l$-Permute，从而获得数组运算的完备集（complete set of operations for arrays）

在第 $i-1$ 层的输出线有 $w$ 条，打包在大约 $w/l$ 个密文中（可能包含 empty slots）。第 $i$ 层的输入线有 $w^{\prime }$ 条，它们是来自上一层输出线的任意映射：不一定是置换，有着不同的扇出系数，并且跨越密文做所有槽的大置换。[GHS12] 首先将各个槽扩增到扇出系数，然后使用置换网络对高维立方做置换：

1. 第 $i-1$ 层的输出线是 $w/l$ 个密文（虽然不知道 slot 的内容，但是知道 slot 对应的线），利用 Cloning 过程获得 $k$ 个密文，它们包含了正确数量的输入线（但是槽的位置还没对应到第 $i$ 层的输入线）
2. 在 $k\times l$ 的二维数组上，执行所需的置换，分为三个置换 $\pi ={\pi }_3\circ {\pi }_2\circ {\pi }_1$，其中 ${\pi }_2$ 是对各行的单个 SIMD 密文做 $l$-Permute（使用 Shift Network），而 ${\pi }_1,{\pi }_3$ 是对各列的相同槽（域的模 $F_i$ 相同）做 $t$-Permute（使用 Select 和 Swap）

Hyper-Rectangles

令集合 $S=[n_1]\times \cdots \times [n_k]$ 是高维立方的索引集合，每个元素是 $k$-维向量。那么 $S$ 上任意的置换 $\pi$，可以写成 $\pi ={\pi }_{2k-1}\circ \cdots \circ {\pi }_k\circ \cdots \circ {\pi }_1$，其中 ${\pi }_i,\forall i\le k$ 只对第 $i$ 个坐标作用，而 ${\pi }_i,\forall i>k$ 只对第 $2k-i$ 个坐标作用。特别地，对于二维数组，可以写成 $\pi ={\pi }_3\circ {\pi }_2\circ {\pi }_1$，其中 ${\pi }_1,{\pi }_3$ 作用在各列，而 ${\pi }_2$ 作用在各行。

1. 对于二维数组 $S=[a]\times [b]$，我们将 $s\in S$ 记为 $(s_x,s_y)$，其中 $x$ 是行坐标，$y$ 是列坐标。
2. 我们让 ${\pi }_1$ 对每一列置换，使得重排后数组的每一行所有元素，其目标位置的 $y$ 坐标 ${\pi }_y(s_i)$ 各不相同。接下来让 ${\pi }_2$ 对每一行做置换，把它们映射到目标位置对应的 $y$ 坐标。最后让 ${\pi }_3$ 对每一列做置换，把它们映射到目标位置对应的 $x$ 坐标。
3. 我们根据置换 $\pi$ 构造二部图 $G=(V_1,V_2,E)$，其中 $|V_1|=|V_2|=b$（坐标 $y$）。对于全部的 $s\in S$，在 $V_1$ 的点 $s_y$ 到 $V_2$ 的点 ${\pi }_y(s)$ 有边。易知，这个二部图是 $a$-正则的（regular），因此可以切分成 $a$ 个完美匹配（perfect matches）：所有点都是匹配点，所有边没有公共点。可使用匈牙利算法、KM算法来求解二部图的最大匹配。
4. 我们对 $G$ 的边染色 $[a]$，使得完美匹配 $G_i$ 的颜色是 $i$，令 $\rho (s)$ 表示边 $s$ 的颜色，那么
   • ${\pi }_1(s)=(\rho (s),s_y)$，置换 ${\pi }_1$ 将 $x$ 坐标做置换，而 $y$ 坐标不动，于是每列的 $a$ 个元素被划分到了 $a$ 个完美匹配中；
   • ${\pi }_2\circ {\pi }_1(s)=(\rho (s),{\pi }_y(s))$，置换 ${\pi }_2$ 将 $y$ 坐标映射到目标，而 $x$ 坐标不动，它将第 $\rho (s)$ 行的元素按照完美匹配 $G_{\rho (s)}$ 做置换；
   • ${\pi }_3\circ {\pi }_2\circ {\pi }_1(s)=({\pi }_x(s),{\pi }_y(s))$，置换 ${\pi }_3$ 将 $x$ 坐标映射到目标，而 $y$ 坐标不动，它用于纠正目标 $x$ 坐标。
5. 对于高维立方，递归调用二维数组的置换分解过程。

现在的问题是，如何实现一维数组上的置换，尤其是仅利用一些基本的置换（移位、旋转）组合出任意置换。[GHS12] 使用了 Benes 网络（大小受限为二的幂次），[HS14] 给出了更快速的推广版本。

Cloning

每个密文中打包了一些明文，标记各个槽为 “full” 或者 “empty”。我们称密文是稀疏的（sparse），如果两个密文中包含的 “empty” 数量超过 $l$，此时可以把两个密文 merge 到单个密文中。

输入 $v_1,\cdots ,v_w$ 的打包密文（大小约为 $w/l$ 的密文数组 $A$），同时输入对应的扇出系数 $m_1,\cdots ,m_w$（允许取 $0$），令 $M=\log ({\max }_i{m}_i)$

1. 初始化 $A_0=A$，然后将 $m_i=0$ 的那些槽标记上 empty，如果存在稀疏的两个密文，那么合并它们
2. Decomposition：对于 $i=1,\cdots ,M$，设置 $A_i=A_{i-1}$，并将 $m_i<2^i$ 的那些槽标记上 empty（并非设置 $v_i=0$，需另外存储），如果存在稀疏的两个密文，那么合并它们
3. Aggregation：设置 $A_M^{\prime }=A_M$，对于 $i=M-1,\cdots ,0$，将数组 $A_{i+1}^{\prime }\Vert A_{i+1}^{\prime }\Vert A_i$ 作为 $A_i^{\prime }$（类似于快速幂），如果存在稀疏的两个密文，那么合并它们
4. 最终输出 $A_0^{\prime }$，它恰好包含了 $m_i$ 个值 $v_i$，且数组中的 $k$ 个密文是密集的

接下来，我们讨论如何在 $k$ 个密文的全部 $k\cdot l$ 个槽之间执行任意置换，将 clone 得到的数据放置到正确的位置上。

Batch Selection

为了实现 ${\pi }_1,{\pi }_3$，我们使用 Benes/Waksman Network（two back-to-back butterfly network），实现一维数组上的任意置换：指标集 $I=[2^r]$（表示为 $r$ 比特数），网络包含 $2r-1$ 层，每一层有 $2^r$ 个节点；第 $i-1$ 层和第 $i$ 层之间的边只有两种情况：一对指标 $j,j^{\prime }$，它们只有第 $k=|r-i|$ 比特不同，即 $j^{\prime }=j+2^k$，共有 $2^{r-1}$ 对指标，

1. straight edge：每一对 $j,j^{\prime }$，第 $i-1$ 层的 $j$ 连接到第 $i$ 层的 $j$，第 $i-1$ 层的 $j^{\prime }$ 连接到第 $i$ 层的 $j^{\prime }$
2. cross edge：每一对 $j,j^{\prime }$，第 $i-1$ 层的 $j$ 连接到第 $i$ 层的 $j^{\prime }$，第 $i-1$ 层的 $j^{\prime }$ 连接到第 $i$ 层的 $j$

Benes Network：集合 $I=[2^r]$ 上的任意置换 $\pi$，给出了 $r$ 维 Benes 网络上的一组不交路径（node-disjoint path），使得 $i\stackrel{P_i}{\to }\pi (i),\forall i$ 成立。换句话说，相邻层之间的每一对指标 $j,j^{\prime }$，它们要么不交换（直边）、要么交换（叉边），可通过使用 control bit 控制 Switch Gate 来实现。

给定两个密文 $A_0=[m_1^{(0)},\cdots ,m_l^{(0)}]$ 和 $A_1=[m_1^{(1)},\cdots ,m_l^{(1)}]$，再令 S = [ s 1 , ⋯   , s l ] ∈ { 0 , 1 } l S=[s_1,\cdots,s_l] \in \{0,1\}^l S=[s1​,⋯,sl​]∈{0,1}l 是掩码，那么
$$Selec{t}_S(A_0,A_1)=Add(Mult(A,\bar{S}),Mult(A^{\prime },S))$$

得到密文 $[m_1^{(s_1)},\cdots ,m_l^{(s_l)}]$，它根据 $S$ 挑选 $A_0,A_1$ 的元素。进一步的，计算
$$Switc{h}_S(A_0,A_1)=\left(Selec{t}_S(A_0,A_1),Selec{t}_{\bar{S}}(A_0,A_1)\right)$$

那么 $s_i=0$ 的那些位置不发生交换，而 $s_i=1$ 的那些位置发生了交换。

对于 $k\times l$ 的二维数组上的 ${\pi }_1,{\pi }_3$ 对于各个列分别置换，假设 $k=2^r$（通过填充），那么可以构建 $r$ 维的 Benes 网络，为第 $i-1$ 层和第 $i$ 层之间的 Switch Gate 设置 $S_{j,j^{\prime }}$，执行并行的（但是 control bit 独立）交换电路。Benes 网络的深度 $2r-1=O(\log k)$，交换节点的数量 $k(2r-1)/2=O(k\log k)$，复杂度是 ploylog 的。

Shift Network

剩下的问题就是如何使用底层代数结构所给于的置换子集 $\mathcal{H}\subseteq Gal(\mathbb{Q}({\zeta }_m)/\mathbb{Q})$，实现单个密文上 $l=N/d$ 个槽的任意置换。

对于特殊参数设置，商群 $\mathcal{H}$ 中的元素作用在密文上导致了 slot rotation（单环置换）。我们假设循环群生成元是 $\sigma$，经过对槽的合理排序，映射 ${\sigma }^k$ 将 $(m_1,\cdots ,m_l)$ 映射为 $(m_k,\cdots ,m_l,m_1,\cdots ,m_{k-1})$，是个循环移位。

我们称 $I=[l]$ 上的映射 $\pi$ 是 $i$-offset swap，如果 $\pi$ 可以分解为 $1$-cycles 和 $2$-cycles，并且这些 $2$-cycles 都形如 $(k,k+i)(\mathrm{mod}l)$。那么，任意的 $i$-offset swap 可以通过两个 Batch Select，然后分别使用 ${\sigma }^i$ 和 ${\sigma }^{l-i}$ 旋转对应的槽，最后加起来即可。令 $r=\log l$，在 Benes 网络中只需要形如 $(j,j+2^{|r-i|})(\mathrm{mod}{2}^r)$ 的置换，因此使用 $O(\log l)$ 个槽旋转即可完成任意置换。

然而，对于一般的参数设置，$\mathcal{H}$ 仅仅是一个 Sharply Transitive Permutation Groups，不一定是由循环移位组成的循环群。将有限阿贝尔群写作循环群直积
$$\mathcal{H}\cong \prod _{i=1}^k{\mathbb{Z}}_{n_i},\forall i,n_i|n_{i+1},\prod _i{n}_i=l$$

于是元素 $h\in \mathcal{H}$ 可以记为盒子 $\mathcal{B}={\prod }_{i=1}^k{\mathbb{Z}}_{n_i}$ 中的向量 $\vec{h}$，群元素运算就等价于向量的加法。令 { e r } r = 1 t \{e_r\}_{r=1}^t {er​}r=1t​ 是单位向量，易知它是 $\mathcal{H}$ 的生成集。

因为 $\mathcal{H}$ 是集合 $I=[l]$ 上的快速迁移，我们固定某个索引 $i_0\in I$（例如 $i_0=1$），那么我们遍历 $h\in \mathcal{H}$（此时 $h(i_0)$ 遍历 $I$），对每个 $h(i_0)$ 标记上 $\vec{h}$，这就把一维数组 $I$ 转化为了高阶立方 $\mathcal{B}$

生成元 $e_r\in \mathcal{H}$ 作用在指标 $i$ 上，假如 $i=h^{\ast }(i_0)$， 那么得到
$$e_r(i)=e_r(h^{\ast }(i_0))=(e_r{h}^{\ast })(i_0)$$

于是 $e_r(i)$ 的标签是 ${\vec{e}}_r+{\vec{h}}^{\ast }(\mathrm{mod}\mathcal{B})$，这就是对第 $r$ 个坐标执行了 $(\mathrm{mod}{n}_r)$ 的循环移位。因此，我们将 $I$ 视为 $t$ 阶立方 $\mathcal{B}$，

1. 指标集 $I=[l]\cong \mathcal{B}$ 上的任意置换 $\pi$，分解为 $\pi ={\pi }_{2k-1}\circ \cdots \circ {\pi }_1$，其中的 ${\pi }_i,\forall i\le k$ 只对第 $i$ 个坐标做置换，而 ${\pi }_i,\forall i>k$ 只对第 $2k-i$ 个坐标做置换
2. 对于 $i\le k$，集合 $[n_i]$ 上的置换 ${\pi }_i$，使用循环子群 $(e_i)$ 构造 offset swap，构建 Benes 网络来实现 ${\pi }_i$（并行的 $l/n_i$ 个网络，使用不同的 select bit 并行处理）
3. 对于 $i>k$，集合 $[n_{2k-i}]$ 上的置换 ${\pi }_i$，使用循环子群 $(e_{2k-i})$ 构造 offset swap，构建 Benes 网络来实现 ${\pi }_i$（并行的 $l/n_i$ 个网络，使用不同的 select bit 并行处理）
4. 将上述的 $2k-1$ 组 Benes 网络串联起来，就实现了 $\pi$ 置换

这个由 Benes 网络组合出来的置换网络，它的深度为 $O(\log l)$，每层的 Rotate 和 Select 数量都是常数。

Shift-Networks

[HS14] 给出了移位网络的定义。对于 $I=[l]$ 上的置换 $\pi$，移位列（shift-column） $s{h}_{\pi }[i]=\pi (i)-i\in [-l+1,l-1]$ 是记录置换导致移动距离的列向量，令 m δ ∈ { 0 , 1 } l m_\delta \in \{0,1\}^l mδ​∈{0,1}l 是那些 $s{h}_{\pi }[i]=\delta$ 的掩码，那么 $w={\sum }_{\delta \in s{h}_{\pi }}(m_{\delta }\times v)\gg \delta$，其中 $\times$ 是阿达玛乘积，$\gg$ 是移位。我们定义开销（cost）是 $s{h}_{\pi }$ 中出现的不同的非零值的个数。移位网络（Shift Network）是 $l\times d$ 形状的矩阵，网络深度为 $d$，它的每一列都是移位列，代表了 ${\pi }_1,\cdots ,{\pi }_d$，网络对应的置换是 $\pi ={\pi }_d\circ \cdots \circ {\pi }_1$。网络开销是所有移位列开销的加和。

Cheapest-shift-network Problem：给定 $[n]$ 上的置换 $\pi$，以及深度上界 $B$，尝试给出一个深度至多为 $B$ 的移位网络，使得网络开销最小化。易知，大多数置换拥有 cost-$\Omega (n)$ depth-$1$ 的移位网络，全部的置换都有 cost-$O(\sqrt{n})$ depth-2 移位网络，以及 cost-$O(d\cdot n^{1/d})$ depth-$d$ 的移位网络。

求解 CSN 被认为是困难的，但是足够给出一类足够优秀的网络：Benes Networks。设 $n=2^r$，它的深度为 $2r-1=O(\log n)$，开销是 $4r-2=O(\log n)$。它被应用于交换机、电话交换网络。

Benes Network

[GHS12] 中使用 Benes 网络分别实现了 ${\pi }_1,{\pi }_2,{\pi }_3$，但是文中没有给出 Benes 网络的具体构造方法。[HS14] 给出了方法。

给定 $S=[n],n=2^r$ 上的任意置换 $\pi$，将它分解为
$$\pi ={\sigma }_{r-1}\circ \cdots \circ {\sigma }_1\circ {\sigma }_0\circ {\tau }_1\circ \cdots \circ {\tau }_{r-1}$$

其中 ${\sigma }_k,{\tau }_k$ 把元素 $i\in [n]$ 映射到三种可能：$i,i+2^k,i-2^k$

采用递归算法：

1. 令 $m=n/2=2^{r-1}$，我们把 $S$ 分为上下两部分，$S_0=[0,\cdots ,m-1]$，$S_1=[m,\cdots ,n-1]$

2. 做分解 $\pi =\sigma \circ \rho \circ \tau$，使得

   • $\sigma ,\tau$ 将 $i\in S_0$ 映射到 $i\in S_0$ 或者 $i+m\in S_1$，将 $i\in S_1$ 映射到 $i\in S_1$ 或者 $i-m\in S_0$
   • $\rho$ 包含两个置换 ${\pi }_0,{\pi }_1$，它们分别对子集 $S_0,S_1$ 做置换

3. 构造二部图 $G=(L,R,E)$，其中 $|L|=|R|=n$，

   • permutation edge：根据 $\pi$，在 $L_i$ 和 $R_{\pi (i)}$ 之间添加边（形成了一个完美匹配）
   • conflict edge：在 $L_i$ 和 $L_{i+m}$ 之间添加边，在 $R_i$ 和 $R_{i+m}$ 之间添加边

   容易看出 $E$ 组成了汉密尔顿回路，并且 $(L,R)$ 可以二染色（permutation edge 和 conflict edge 交替出现）， C ( v ) ∈ { 0 , 1 } C(v) \in \{0,1\} C(v)∈{0,1}

4. 根据点集 $L$ 的染色情况，把它们分为上下两部分

   • 如果 $i\in S_0$ 且 $C(L_i)=0$，那么令 $\tau (i)=i\in S_0$
   • 如果 $i\in S_1$ 且 $C(L_i)=1$，那么令 $\tau (i)=i\in S_1$
   • 如果 $i\in S_0$ 且 $C(L_i)=1$，那么令 $\tau (i)=i+m\in S_1$
   • 如果 $i\in S_1$ 且 $C(L_i)=0$，那么令 $\tau (i)=i-m\in S_0$

   于是 $\tau$ 变换后，$S_0$ 中的点都是颜色 $0$，$S_1$ 中的点都是颜色 $1$，花费是 $+m$ 和 $-m$ 的两个 batch select + shift

5. 根据点集 $R$ 的染色情况，把它们分为上下两部分

   • 如果 $i\in S_0$ 且 $C(R_i)=0$，那么令 ${\sigma }^{-1}(i)=i+m\in S_1$
   • 如果 $i\in S_1$ 且 $C(R_i)=1$，那么令 ${\sigma }^{-1}(i)=i-m\in S_0$
   • 如果 $i\in S_0$ 且 $C(R_i)=1$，那么令 ${\sigma }^{-1}(i)=i\in S_0$
   • 如果 $i\in S_1$ 且 $C(R_i)=0$，那么令 ${\sigma }^{-1}(i)=i\in S_1$

   于是 ${\sigma }^{-1}$ 变换后，$S_0$ 中的点都是颜色 $1$，$S_1$ 中的点都是颜色 $0$，花费是 $+m$ 和 $-m$ 的两个 batch select + shift

6. 可以看出 $\tau (L)$ 和 ${\sigma }^{-1}(R)$ 将图 $G$ 分为了两个二部图 $G_0,G_1$，两个子图之间没有 permutation edge（仅在 $S_0$ 和 $S_1$ 内部分别置换），因此我们就得到了中间的置换 $\rho =({\pi }_0)({\pi }_1)$，递归分解。

它是 “背靠背” 的两个蝴蝶网络：以 $n=2^3$ 为例，两个深度 $3$ 的网络，

注意，上图画的有些问题（没找到更好的网图）：左上、右上的那两对节点，缺少了直边。

General Benes Network

[HS14] 给出了更加快速的 Benes 网络：假设 $n$ 不是二的幂次，并非将它填充到 $2^r$，而是将它分割为近似相等的两个子图。

1. 如果 $n$ 是偶数，那么 $m=n/2$，于是 Benes 的分割流程是工作的

2. 如果 $n$ 是奇数，有两种设置：$m=(n-1)/2$ 或者 $m=(n+1)/2$，我们令 S 0 = { 0 , ⋯   , m − 1 } S_0=\{0,\cdots,m-1\} S0​={0,⋯,m−1}， S 1 = { m , ⋯   , n − 1 } S_1=\{m,\cdots,n-1\} S1​={m,⋯,n−1}，它们的大小差距为 $1$

3. 为了保证分割后，同一个 level 中所有置换的移动距离相同，

   1. 大小 $n$ 的图，移动距离 $m=\lfloor n/2\rceil$，划分为大小 $(n-1)/2$ 以及 $(n+1)/2$ 的两个子图
   2. 对于这两个大小接近的子图，设置相同的移动距离 $m^{\prime }=\lfloor n/4\rceil$，划分为四个大小接近 $n/4$ 的子图
   3. 这些子图的大小差距也至多为 $1$，因此可以继续设置相同的偏移 $m^{\prime \prime }$，划分出大小差距至多为 $1$ 的多个子图

   注意，$\lfloor ((n-1)/2)/2\rceil \ne \lfloor ((n+1)/2)/2\rceil$，因此上述的偏移 $m^{\prime },m^{\prime \prime },\cdots$ 并不是以子图本身大小来计算的！必须根据整个图的大小 $n$ 以及分解的 level 层级来计算。

4. 最终得到了深度 $2\lceil \log n\rceil -1$ 的移位网络，同一层的移位距离都是 $\lfloor n/2^k\rceil$，因此只需要两个 batch select + shift

两种 $m$ 的选择，$S_0,S_1$ 的大小差距 $1$，因此制作 conflict edge 的时候，会有一个指标 $i^{\ast }$ 剩余，我们特别地设置它的 conflict edge 是自己到自己。对应的二染色，如图所示：