数论选讲（更新中）

数论选讲

（初等数论基础概念就不普及了）

一些前置姿势：

1. 素数分布：素数有无限个，用$\pi (x)$表示小于$x$的素数个数，则随着$x$的增长，有$\pi (x)=\Theta (\frac{x}{\ln x})$，同时蕴含常数$1$。
   这个结论可以用于估计某些与枚举素数有关的算法的复杂度。

2. 算术基本定理，又称唯一分解定理。
   对于任意正整数$n$，唯一存在以下分解：$n={\prod }_i{p}_i^{k_i}$
   其中所有$p_i$均为质数，且从小到大排列。

3. $O(\log a)$的$gcd$算法和$exgcd$算法默认大家都会，并且知道exgcd怎么求模意义下本质不同解的个数以及输出所有解。

4. 同余的一些术语大家假装都听得懂吧（不然没法讲了。。。）

---

一，素数判定与因数分解

1.素数判定

首先大家都会线性筛$O(n)$筛出一部分质数

显然我们有试除法可以在$O(\sqrt{n})$时间内判断一个数是否是质数。

当然可以通过只枚举质数优化至$O(\frac{\sqrt{n}}{\ln n})$

但是有的时候试除法复杂度也不够优秀，所以就需要Miller-Rabin算法。

1.1 Miller-Rabin

首先Miller-Rabin算法是一个随机算法，同时是一个概率算法（换句话说，有可能出错）

不过当测试次数足够多的时候，出错概率相当小就是了（反正脸黑的就多测几次就行了）。

前置姿势：

1. 费马小定理：对于$p\in \mathbb{P},p\nmid a$，$a^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，不过反过来不一定了。。。
2. 二次探测：对于素数$p$，能够满足$x^2\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$的同余类$x$只有$x\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$和$x\equiv p-1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

二次探测证明：

设$x^2\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，则$x^2=1+pk$，有$(x+1)(x-1)=pk$。

必须有$p\mid x+1$或$p\mid x-1$，分别对应$x\equiv p-1(\mathrm{m}\mathrm{o}\mathrm{d}p)$和$x\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

1.1.1 算法流程（判断数n是否为质数）：

1. 对于偶数，直接跳出循环，当然同时可以把几个小质数的倍数一起特判。
2. 否则找出$s,t$，使得$n-1=2^{s}t$，其中$2\nmid t$
3. 随机选取质数$a$。
4. 验证是否有$a^{n-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}n)$，如果不是则$n$为合数
5. 否则计算出$a^t$，然后进行$s$次$\%n$意义下的二次探测。
6. 多重复几次就能大概率判断$n$是否是一个质数。

一般我选择的是重复3~5次。

2.因数分解

同样的我们可以用试除法，复杂度同样不够优秀。。。

下面介绍一种根本没人用的方法：Fermat整数分解法。

2.1 Fermat整数分解法

首先，这个方法复杂度玄学，但是好于试除法。

怎么理解玄学这个事情。。。目前没有任何关于这个算法复杂度上界，下界，期望，渐进紧确界的任何断言或推论。

2.1.1 考虑分解数n：

1. 如果是质数或1直接返回。
2. 否则我们先把所有的质因子$2$剔除，从$a=\lfloor \sqrt{n}\rfloor +1$开始往上枚举，计算$c=a^2-n$
3. 如果存在正整数$b$使得$b^2=c$，则有$n=(a+b)(a-b)$，递归分解即可。
4. 当$\lfloor \sqrt{c}\rfloor +a>n$时返回，说明原本的$n$肯定是一个质数。

然后来看Pollard-Rho算法

2.2 Pollard-Rho算法

同样的，这个也是一个随机算法，一部分效率是要看脸的。

考虑对于$\forall a,n\in {\mathbb{N}}_{\ast },gcd(a,n)\mid n$。

而本身$gcd$的复杂度只有$O(\log n)$级别，这给了我们启示，如何构造出一个靠谱的数$a$，使得他包含$n$的因子，就成了非常重要的问题。

一下直接假设$a$是$n$的因子且$a\le \sqrt{n}$，因为不是的那部分显然不重要。

我们在这个寻找过程中加入随机因素。

构造函数$f(x,n)=(x^2+c)\%n$，其中$c$是在每次Pollard-Rho之前决定好的在$[1,n)$中的正整数，保证在$x=1$的时候不会陷入死循环中。

构造序列$\{x\}$，其中$x_1=rand(),x_i=f(x_{i-1},n)$。我们可以认为它是近似随机的。（据说某版本C++的rand()也是这样实现的，不过略有区别）。

显然这个序列的轨迹要么是一个环，要么就是一个$\rho$形（根据抽屉原理），且环长在$O(\sqrt{n})$的级别内，这个环暂且称为一环。

还有，澄清一点，很多博客声称这个$f$函数是单射函数。。。但是显然不是，否则怎么来的$\rho$形轨迹。至少显然$f(x,n)=f(n-x,n)$，$f$就已经不是单射函数了。

然后考虑序列$\{y\}$，其中$y_i=x_i\%a$（注意这里$a$仍然是一个未知数），同理这个轨迹依然要么是环形要么是$\rho$形，根据生日悖论，其环长在$O(\sqrt{a})\le O(\sqrt[4]{n})$规模。

考虑一环上两个不同的位置$x_i̸=x_j$，如果它们对应二环上同一个位置$y_i=y_j$，则有$j-i=O(\sqrt{a}),a\mid |x_j-x_i|$

这又给我们带来了一些启发。

如果我们能够找到一个$y_i=x_i\%a$，然后$O(\sqrt{a})$枚举 $x_j$，当发现$1<gcd(n,|x_i-x_j|<n)$的时候，我们就找到了一个因数。

但是注意，目前$a$仍然是一个未知数。

可以采用两种办法，Floyd判圈算法或者Brent‘s找环算法’。

由于Floyd判圈跑的贼慢，所以这里只介绍Brent’s。

2.2.1 算法流程（已经验证n不是质数或1）：

1. 首先令$x_1=rand()$，随机选择一个参数$c$，当前环长$k=1$。
2. 然后向后扩展长度为环长的$x$序列，记录$q=\prod |x_1-x_i|$。
3. 计算$t=gcd(q,n)$，如果$t=1$，令$x_1=x_{k+1}$，$k=k\ast 2$，回到$2$步。
4. 否则，如果$t=n$，回到$1$。
5. 不然，我们就找到了一个$n$的因数$t$，递归分解$t$和$n/t$即可。

2.2.2 复杂度分析：

考虑处理一个因子时候的复杂度，若环长为$k$，则枚举次数近似于：
$T(n)=O(k)+O(\frac{k}{2})+O(\frac{k}{2^2})+\dots +O(\frac{k}{2^z})$。

这个数列是收敛的，化求和为积分后我们得到$T(n)=O(k)=O(\sqrt[4]{n})$，蕴含常数为$2$。套上一个$gcd$就是$O(\sqrt[4]{n}\log n)$。

考虑计算所有因子的复杂度：
$T(n)\le O(\sqrt[4]{n}\log n)+T(\frac{n}{2})+T(\frac{n}{4})+\dots +T(\frac{n}{2^z})=O(\sqrt[4]{n}\log n)$。

然而实际上由于初期小因子较多，分解速度快，这个复杂度只有非常非常不走运的时候才会被卡到。

2.3 Quadratic Sieve Algorithm 二次筛法

以Fermat分解和二次剩余为基础的筛法，等熟练掌握Fermat和二次剩余之后再来看吧，这里放一个whzzt的博客：https://blog.csdn.net/whzzt/article/details/81069289

而且这个比Pollard-Rho快（小声BB），准确来说，复杂度远远优于Pollard-Rho。

不过比Pollard-Rho难写就是了。

---

二，中国剩余定理及其扩展

凭借强大的中国剩余定理，我们能够对很多同余问题进行快速的分解与合并，使得我们只需要考虑模数为质数的若干次幂的情况。

1. 一元线性同余方程

形如$f(x)\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$的方程成为一元线性同余方程，其中$f(x)$中只包含关于$x$的线性变换。

相信大家都会用ex欧几里得来解，这里就不赘述了。

2. 一元线性同余方程组

由若干个一元线性同余方程共同构成的方程组就是一元线性同余方程组 （废话）

一般把一元线性同余方程组写成这样：
$$\{\begin{array}{rl}& x\equiv a_1(\mathrm{m}\mathrm{o}\mathrm{d}{m}_1)\\ & x\equiv a_2(\mathrm{m}\mathrm{o}\mathrm{d}{m}_2)\\ & \dots \dots \\ & x\equiv a_t(\mathrm{m}\mathrm{o}\mathrm{d}{m}_t)\end{array}$$

当对于$\forall 1\le i,j\le t.i̸=j$，都有$gcd(m_i,m_j)=1$的时候，以上方程恒有解，我们可以直接采用中国剩余定理求解。

3. 中国剩余定理CRT

考虑如果我们能够得到一个数列$\{e\}$，对于$\forall 1\le i,j\le t，i̸=j$，都有

$$\{\begin{array}{r}{e}_i\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}{m}_i)\\ e_i\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}{m}_j)\end{array}$$

那么我们就能够很简单的得到答案了，就是

$$x\equiv \sum _{i=1}^t{e}_i{a}_i(\mathrm{m}\mathrm{o}\mathrm{d}\prod _{i=1}^t{m}_i)$$

这个正确性是十分显然的，那么我们现在要做的就是构造出一个合法的$\{e\}$序列。

设$M={\prod }_{i=1}^t{m}_i$，$M_i=\frac{M}{m_i}$，$M_i^{-1}{M}_i\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}{m}_i)$

则可以直接得到满足条件的$e_i\equiv M_i^{-1}{M}_i(\mathrm{m}\mathrm{o}\mathrm{d}M)$

按照上面写的算一算就行了。

4. 扩展中国剩余定理exCRT

当$\exists 1\le i,j\le t,i̸=j$，有$gcd(m_i,m_j)̸=1$的时候，上面的方法不再适用了，我们需要一种更加通用的方法来计算方程组的解。

现在，考虑合并两个方程。

$$x\equiv a_1(\mathrm{m}\mathrm{o}\mathrm{d}{m}_1)$$

$$x\equiv a_2(\mathrm{m}\mathrm{o}\mathrm{d}{m}_2)$$

现在显然可以设：$x=a_1+y_1{m}_1=a_2+y_2{m}_2$。

而新的方程显然就是$x\equiv a_1+y_1{m}_1\equiv a_2+y_2{m}_2(\mathrm{m}\mathrm{o}\mathrm{d}lcm(m_1,m_2))$

显然现在需要解决的方程就是这个：

$$a_1-a_2=y_2{m}_2-y_1{m}_1$$

相信大家都会直接用扩展欧几里得求解，随便解出一个合法的$y_1,y_2$代回去就能得到一个新的方程，当上述方程无解时，方程组无解。

两两合并得到的最后一个方程就是答案。

---

三，原根，n次剩余与离散对数

1.原根

原根：对于正整数$n$，它的原根是一个满足如下条件的正整数$a$：$gcd(a,n)=1$，且$a,a^2,a^3...a^{\varphi (n)}$在$\%n$意义下两两不同余。

关于原根的几个结论（以下的$p$都是指奇质数）

1. 具有原根的数字只有以下几种形式：$2,4,2p^n,p^n$，且原根一定存在。
2. $n$的最小原根大小是$O(\sqrt[4]{n})$。
3. 若$n$有原根，则原根个数为$\varphi (\varphi (n))$。
4. 若$g$是$p$的原根，则$g$或$g+p$是$p^2$的原根。
5. 对于$\forall n\in N_{\ast }$，若$g$是$p^n$的原根，则$g$和$g+p^n$中的奇数是$2p^n$的原根。

证明：因为懒得写，咕了。

1.1 找原根

一般来说题目要求的数的原根都不会太大，所以暴力枚举$[2,\lfloor \sqrt[4]{n}\rfloor ]$就行了。

问题在于怎么check，首先我们有欧拉定理可知：$gcd(a,n)=1\Rightarrow a^{\varphi (n)}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}n)$

所以循环节长度$s$必然有$s\mid \varphi (n)$

所以我们求出$\varphi (n)$的唯一分解，枚举所有的$p\mid \varphi (n)$，然后判断$a^{\frac{\varphi (n)}{p}}̸\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}n)$，所有$p$上式都成立则找到一个原根$a$。

1.2 指标

如果$n$有原根$g$，且

$$g^r\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$

成立，则称$r$是以$g$为底的$a$对$n$的一个指标。

记作$r=in{d}_{g}a$

求指标可以用BSGS。

指标有以下性质：

1. $a\equiv b(\mathrm{m}\mathrm{o}\mathrm{d}p)\iff in{d}_{g}a\equiv in{d}_{g}b(\mathrm{m}\mathrm{o}\mathrm{d}\varphi (n))$
2. $in{d}_g(ab)\equiv in{d}_g(a)+in{d}_g(b)(\mathrm{m}\mathrm{o}\mathrm{d}\varphi (n))$
3. $in{d}_g(a^k)\equiv k\cdot in{d}_g(a)(\mathrm{m}\mathrm{o}\mathrm{d}\varphi (n))$

2.离散对数

离散对数问题：求解形如

$$A^x\equiv B(\mathrm{m}\mathrm{o}\mathrm{d}C)$$

的同余方程。

我们先考虑$gcd(A,C)=1$的情况，显然此时只有当$gcd(B,C)=1$的时候有解。

2.1 BSGS

2.1.1 前置知识：指数模的周期性

$A^x$对$C$取模的结果随着$x$的变化具有周期性，最长周期为$C-1$。

证明：由抽屉原理易证。

所以我们只需要得到$x\in [0,C-1]$的答案就行了。

那么现在怎么解决这个东西。。。（注意解出来不是一个同余等价类啊，就是说$CRT$在这里毫无用武之地了）

朴素的枚举显然是$O(C)$，考虑优化。

这时候就要用到一种思想Baby-Step,Giant-Step，意味小步大步，简称为BSGS。民间称呼数不胜数：拔山盖世，北上广深，百度搜索谷歌搜索

我们将这$C$个数分为$n$组，每组$m=\lceil \frac{C}{n}\rceil$个数。对每一组进行询问，在这组$m$个数内是否有答案。

这时候答案可以看成是：$A^{im-y}\equiv B(\mathrm{m}\mathrm{o}\mathrm{d}C)$

由于$gcd(A,C)=1$，所以$A$在$\%C$意义下是存在逆元的，这时候就可以将上面这个方程等价转化为$A^{im}\equiv A^{y}B(\mathrm{m}\mathrm{o}\mathrm{d}C)$

我们将$y=1,2,...m$的所有$A^{y}B$存到一个哈希表内，然后$O(n)$枚举$i$计算$A^{im}$的值，再到哈希表中查询就可以得到我们的答案了。

总的复杂度$O(\frac{C}{n})+O(n)$，当$n=\sqrt{C}$的时候取得最小值，此时复杂度为$O(\sqrt{C})$

2.2 exBSGS

现在尝试解决当$gcd(A,C)̸=1$时候的离散对数问题。

在已经有了解决$gcd(A,C)=1$的问题的方案的时候，我们考虑将这个问题转化成$gcd(A,C)=1$的情况。

现在将原方程$A^x\equiv B(\mathrm{m}\mathrm{o}\mathrm{d}C)$进行一点转化：
$$A^x=B+Cy$$

令$d_1=gcd(A,C),C_1=\frac{C}{d_1},B_1=\frac{B}{d_1}$，得到等价方程：

$$\frac{A}{d_1}{A}^{x-1}=B_1+y{C}_1$$

令$d_2=gcd(A,C_1),C_2=\frac{C_1}{d_2},B_2=\frac{B_1}{d_2}$，得到等价方程：

$$\frac{A^2}{d_1{d}_2}{A}^{x-2}=B_2+y{C}_2$$

一直处理到$n$，直到$d_{n+1}=1$。
则我们得到等价方程：

$$\frac{A^n}{{\prod }_{i=1}^n{d}_i}{A}^{x-n}=B_n+y{C}_n$$

其中$B_n=\frac{B}{{\prod }_{i=1}^n{d}_i},C_n=\frac{C}{{\prod }_{i=1}^n{d}_i}$。

如果$B_n$不是整数肯定就没有解了。

设$D=\frac{A^n}{{\prod }_{i=1}^n{d}_i}$，显然$gcd(D,C_n)=1,gcd(A,C_n)=1$，即$D,A$在$\%C_n$意义下存在逆元。

得到等价方程：$D\cdot A^{x-n}\equiv B_n(\mathrm{m}\mathrm{o}\mathrm{d}{C}_n)$，即

$$A^{x-n}\equiv B_n\cdot D^{-1}(\mathrm{m}\mathrm{o}\mathrm{d}{C}_n)$$

现在已经转化成了$gcd(A,C_n)=1$的形式了，直接上普通的BSGS就行了。

注意我们还需要先做一次$O(\log C)$的枚举（显然$n$不会超过$O(\log C)$），因为最后的答案可能没有$n$大，就是说可能$gcd$的影响还没有完全消除，就已经得到$B$了。

3.n次剩余

$n$次剩余问题：求解形如

$$x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}m)$$

的同余方程。

利用CRT我们可以把问题分解，设$m$的唯一分解式为$m={\prod }_{i=1}^t{p}_i^{k_i}$：

$$\{\begin{array}{rl}& x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}_1^{k_1})\\ & x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}_2^{k_2})\\ & \dots \dots \\ & x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}_t^{k_t})\end{array}$$

解完这$t$个方程后用CRT合并回去就行了。

所以接下来只讨论求解$x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$这样的方程。

3.1 p为奇质数的情况

此时$p^k$的原根一定存在，设这个原根为$g$。

首先我们令$gcd(a,p^k)=1$，不然我们就看一看$a$当中有几个$p$，两边同时除去，如果总数不是$n$的倍数，那么原方程无解，否则我们总是可以通过在最后的$x$中乘上若干个$p$来得到我们要的解。

首先我们用BSGS解一下这个方程：

$$g^t\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$$

解出来$t$之后，我们设$x\equiv g^z(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$，则我们得到这个方程：

$$g^{zn}\equiv g^t(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$$

所以有$zn\equiv t(\mathrm{m}\mathrm{o}\mathrm{d}\varphi (p^k))$

扩欧解一解就行了。

注意，扩欧没有解肯定就只能咕咕咕了。

3.2 p=2的情况

有一个很显然的结论：$x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)$的不充分前提是$x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{k-1})$

而如果$x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{k-1})$，则要么$x^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)$要么$(x+2^{k-1}{)}^n\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)$。

解的总个数不会很多（实测证明这个剪枝跑得飞快），暴力$dfs$即可。

4.二次剩余

二次剩余问题：求解形如

$$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}m)$$

的同余方程。

首先，还是先分解成$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$来处理。

当然可以按照$n$次剩余的套路来解。

不过我们现在有优秀的$O(\log p^k)$的解法。

4.1 p为奇质数且k=1的情况

现在的方程就是这样的：$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

4.1.1 解的存在性

首先考虑一个问题，无解。

为什么会无解？显然$x^2\equiv (p-x{)}^2(\mathrm{m}\mathrm{o}\mathrm{d}p)$根据抽屉原理，这样下来总有一些抽屉是空的，这就是无解的情况。

若$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$有解，则称$a$为$\%p$意义下的二次剩余类。
否则称$a$为$\%p$意义下的二次非剩余类。

我们定义勒让德符号（$Legendresymbol$）:
$$\left(\frac{a}{p}\right)=\{\begin{array}{rlrl}1& & & a是\%p下的二次剩余\\ -1& & & a是\%p下的二次非剩余\\ 0& & & a\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}p)\end{array}$$

我们有欧拉准则：$(\frac{a}{p})\equiv a^{\frac{p-1}{2}}(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

证明： 首先$p\mid a$的时候欧拉准则显然成立。

否则由费马小定理我们有$a^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$

所以必然有$a^{\frac{p-1}{2}}\equiv \pm 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$

先证明$(\frac{a}{p})=1$的情况

必要性： 当$a$是$\%p$意义下的二次剩余，即$\exists x,x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

那么我们有

$$a^{\frac{p-1}{2}}\equiv (x^2{)}^{\frac{p-1}{2}}\equiv x^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$$

必要性证明完毕。

充分性： 设$p$有一个原根$g$，那么必然有$g^i\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$。

则：

$$g^{\frac{i(p-1)}{2}}\equiv 1(modp)$$

由于$g$为原根，所以必然会有$(p-1)\mid \frac{i(p-1)}{2}$

即$i$是偶数。

必然存在解$x_0\equiv g^{\frac{i}{2}}(\mathrm{m}\mathrm{o}\mathrm{d}p)$

充分性证毕。

那么$(\frac{a}{p})\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}p)$的情况也就十分显然了。

首先由费马小定理$a^{\frac{p-1}{2}}\equiv \pm 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$

由于前面的欧拉准则在$(\frac{a}{p})=1$的必要性，二次非剩余的情况下$x^2\equiv a^{p-1}\equiv -1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，显然不可能，违反了费马小定理。

4.1.2 Cipolla算法

以下所有运算均在$\%p$意义下进行

设$b^2-a\equiv w(\mathrm{m}\mathrm{o}\mathrm{d}p)$，其中$w$是$\%p$意义下的二次非剩余

由于$w$在$\%p$意义下不存在平方根，类似于虚数设$i=\sqrt{w}$。类似于复数重新定义$\%p$意义下一个数为$(a,b)$，即$a+b\sqrt{w}$。

接下来定义一个代数系统$<G,+,\times >$满足：

$$(a,b)+(c,d)=(a+c,b+d)$$

$$(a,b)\times (c,d)=(ac+bdw,ad+bc)$$

显然$G$是一个环，不知道什么是环的自行百度，百度百科

既然有结合律了。就可以快速幂。

那么有结论：上述方程的解为$x=(b+i{)}^{\frac{p+1}{2}}$

证明如下：

$$\begin{array}{rl}{x}^2& =(b+i{)}^{p+1}\\ & =(b+i{)}^p(b+i)\end{array}$$

其中，由二项式定理

$$(b+i{)}^p=\sum _{k=0}^p{C}_p^k{b}^k{i}^{p-k}$$

显然当$k̸=0\text{ or }p$，$C_p^k\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}p)$

所以有

$$(b+i{)}^p\equiv b^p+i^p\equiv b^{p-1}b+w^{\frac{p-1}{2}}i\equiv b-i(\mathrm{m}\mathrm{o}\mathrm{d}p)$$

这个式子的推出同时用到了费马小定理和二次非剩余的特殊性质。

所以可以推出：

$$x^2\equiv (b-i)(b+i)\equiv b^2-w\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$$

4.1.3 寻找二次非剩余

由于前文已经叙述了，由于有$t^2\equiv (p-t{)}^2(\mathrm{m}\mathrm{o}\mathrm{d}p)$，所以二次剩余的数量不会超过$O(\frac{p}{2})$，我们随机出来一个数就有将近$1/2$的概率是二次非剩余，直接随机寻找即可，期望次数为$2$。

4.2 p为奇质数且k>1的情况

4.2.1 解的存在性

进行解的存在性判断稍微麻烦了一些

设：$a=p^{c}m$，$p\nmid m$。

$c\ge k$，直接返回0。

当$c<k$，有解多了一个前提条件：$c\%2=0$

必要性证明：

设:

$$x_0^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$$
$$x_0=p^{t}n,n\%p̸=0$$

所以

$$x_0^2=p^{2t}{n}^2$$

当$2t<k$，有如下推论：

$$(p^{2t}s)\%p^k=p^{2t}(s\%p^{k-2t})$$

所以$p^{2t}|a$，同时我们也可以这样将原方程化为

$$x_0^2\equiv a/p^c(\mathrm{m}\mathrm{o}\mathrm{d}{p}^{k-c})$$

当新方程有解时，原方程也有解，将上面欧拉定则里面推理用的$p-1$换成$\varphi (p^{k-c})$就行了。

最后解为$x=x_0\times p^{\frac{c}{2}}$。

所以接下来只讨论$p\nmid a$的情况。

4.2.2 从Cipolla推进

现在求解方程

$$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$$

其中$p\nmid a$

先解出

$$r^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$$

那么有

$$(r^2-a)=kp\Rightarrow (r^2-a{)}^k\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$$

令$(r^2-a{)}^k\equiv t^2-u^{2}a(\mathrm{m}\mathrm{o}\mathrm{d}p{)}^k$

我们有

$$\begin{gathered} (r-\sqrt{a}{)}^k=t-u\sqrt{a} \\ (r+\sqrt{a}{)}^k=t+u\sqrt{a} \end{gathered}$$

这个运算仍然在扩域后进行。（可以证明上式显然是成立的，由二项式定理）

最终我们有

$$t^2\equiv u^{2}a(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$$

解出来的方程就是

$$t^2{u}^{-2}\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{p}^k)$$

显然

$$gcd(t,p)=gcd(u,p)=1$$

所以逆元用扩展欧几里得求一下就行了。

4.3 p=2的情况

4.3.1 解的存在性

处理幂的方法与上面这种情况差不多，我们效仿上面先化成

$$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k),2\nmid a$$

那么现在呢，没有欧拉准则了啊。

从特殊情况谈起，先打一个表，把那些有解的$a$找出来

k	有解的a
1	1
2	1
3	1
4	1,9
5	1,9,17,25
6	1,9,17,25,33,41,49,57

似乎当且仅当$a\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}8)$的时候有解啊。。。

实际上，我们有如下的蕴含关系：

$$a\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}8)\iff \exists x,x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)$$

必要性： 由于存在解$x_0,x_0^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)$

由于$gcd(a,2)=1$，所以$gcd(x_0,2)=1$，不妨设$x_0=2t+1$

所以

$$a\equiv x_0^2\equiv (2t+1{)}^2\equiv 4t(t+1)+1(\mathrm{m}\mathrm{o}\mathrm{d}{2}^k)$$

显然$8\mid 4t(t+1)$，所以$a\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}8)$

充分性： 由下面叙述的求解方法易证。也就是说，在能够求出解的情况下，解总是存在 （废话） 。

4.3.2 找规律+递推

1.$k\le 2$
特判。

2.$k=3$
二次剩余方程$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^3)$有解，当且仅当$a\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}{2}^3)$，且本质不同的解有四个：$\pm 1,\pm 5$

换句话说，我们可以将这个解记为$x=\pm (x_3+t_3\times 2^2),t_3\in \mathbb{Z},x_3=1\text{ or }5$

3.$k>3$

假设我们已经知道方程$$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{q-1})$$
的解，显然解可以表示成$x_q=\pm (x_{q-1}+t_{q-1}\times 2^{q-2}),t_{q-1}\in \mathbb{Z}$

考虑如何推导出$x_q$和$t_q$。

为了方便，后面记$a_i=a\%2^i$

对于一个$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{q-1})$解$x_{q-1}$来说，在$\%2^q$意义下，只可能有：

$$\begin{array}{rlr}& x_{q-1}^2\equiv a_{q-1}& (\mathrm{m}\mathrm{o}\mathrm{d}{2}^q)\\ 或是& x_{q-1}^2\equiv a_{q-1}+2^{q-1}& (\mathrm{m}\mathrm{o}\mathrm{d}{2}^q)\end{array}$$

所以我们就要求出合适的$t_{q-1}$的值，先代入方程$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^q)$

$$\begin{array}{rlr}(x_{q-1}+2^{q-2}\times t_{q-1}{)}^2& \equiv a_q& (\mathrm{m}\mathrm{o}\mathrm{d}{2}^q)\\ x_{q-1}^2+2^{q-1}{t}_{q-1}& \equiv a_q& (\mathrm{m}\mathrm{o}\mathrm{d}{2}^q)\\ t_{q-1}& \equiv \frac{a_q-x_{q-1}^2}{2^{q-1}}& (\mathrm{m}\mathrm{o}\mathrm{d}2)\end{array}$$

所以满足要求的$t_{q-1}=\frac{a_q-x_{q-1}^2}{2^{q-1}}+2\times t_q,t_q\in \mathbb{Z}$

回到方程$x^2\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}{2}^q)$它的解就是

$$x=\pm (x_{q-1}+\frac{a_q-x_{q-1}^2}{2}+2^{k-1}\times t_k),t_k\in \mathbb{Z}$$

从$q=3$的情况开始一路递推即可。

P.S.：本来还想讲三次剩余娱乐一下，结果发现没有题。。。

其实三次剩余比二次剩余要简单，有兴趣的可以自行了解一下。

---

四，常见积性函数以及性质

几个定义：

1. 数论函数：定义域为${\mathbb{N}}^{+}$，陪域为复数域的函数。
2. 积性函数：对于数论函数$f(n)$，如果对于$\forall a,b,\in {\mathbb{N}}^{+},gcd(a,b)=1$，都有$f(ab)=f(a)f(b)$，则$f(n)$是一个积性函数。
3. 完全积性函数：对于数论函数$f(n)$，如果对于$\forall a,b,\in {\mathbb{N}}^{+}$，都有$f(ab)=f(a)f(b)$，则$f(n)$是一个完全积性函数。

证明一个函数是积性函数有显然的好处，能够加速处理出函数值。
当我们需要处理$f(n)$的时候，如果直接求会出现效率问题，求出$n={\prod }_{i=1}^t{p}_i^{k_i}$，则$f(n)={\prod }_{i=1}^{t}f(p_i^{k_i})$。

在接下来的讨论中，所有函数不考虑恒等于$0$的常数函数。

一些记号：

1. 定义函数的逐点加法和逐点乘法：
   $$(f\times g)(n)=f(n)\times g(n)$$

$$(f+g)(n)=f(n)+g(n)$$
接下来有一部分可能会因为笔者的sb错误将$\times$和$\cdot$混用，不过不会引起歧义。
2. $[a]$，条件求值表达式，当表达式$a$为真的时候，$[a]$值为$1$，否则值为$0$。

1.Dirichlet卷积

定义两个数论函数的Dirichlet卷积为：

$$(f\ast g)(n)=\sum _{d\mid n}f(d)g(\frac{n}{d})$$

Dirichlet卷积的性质：

1. 交换律：$f\ast g=g\ast f$
2. 结合律：$(f\ast g)\ast h=f\ast (g\ast h)$
3. 分配率：$f\ast (g+h)=f\ast g+f\ast h$
4. 单位元：$f\ast ϵ=ϵ\ast f=f$，其中$ϵ(n)=[n=1]$，是完全及性函数
5. 对于两个积性函数$f,g$，它们的$Dirichlet$卷积也是积性函数

2.常见积性函数

1. 除数函数：$n$的约数的$k$次幂之和，${\sigma }_k(n)={\sum }_{d\mid n}{d}^k$
2. 约数个数函数：$n$的约数个数，$d(n)={\sigma }_0(n)={\sum }_{d\mid n}1$
3. 约数和函数：$n$的所有约数之和，$\sigma (n)={\sigma }_1(n)={\sum }_{d\mid n}d$
4. 欧拉函数：$[1,n]$中与$n$互质的数的个数，$\varphi (n)=\phi (n)={\sum }_{i=1}^n[gcd(i,n)=1]$
5. 莫比乌斯函数：若$n$有平方因子，则$\mu (n)=0$，否则，假设$n$由$k$个不同的质数相乘得到，$\mu (n)=(-1{)}^k$，实际上，莫比乌斯函数的定义式为${\sum }_{d\mid n}\mu (d)=[n=1]$。
6. 元函数：$ϵ(n)=[n=1]$，完全积性。
7. 幂函数：$I{d}_k(n)=n^k$，完全积性。
8. 恒等函数：$I(n)=I{d}_0(n)=1$，完全积性。
9. 单位函数：$Id(n)=I{d}_1(n)=n$，完全积性。

2.1 一些Dirichlet卷积恒等式

$$\begin{array}{rlrl}& d(n)=\sum _{d\mid n}1,& & 即d=I\ast I\\ & \sigma (n)=\sum _{d\mid n}d,& & 即\sigma =I\ast Id\\ & ϵ(n)=\sum _{d\mid n}\mu (d),& & 即ϵ=\mu \ast I\\ & \varphi (n)=\sum _{d\mid n}\mu (d)\frac{n}{d},& & 即\varphi =\mu \ast Id\\ & Id(n)=\sum _{d\mid n}\varphi (d),& & 即Id=\varphi \ast I\end{array}$$

在接下来的部分中，将会证明后两个式子（前三个直接由定义得到）。

不过现在先看一个东西：$g(n)={\sum }_{d\mid n}f(d)$，即$g=f\ast I$，我们有结论：如果$g$是积性函数，则$f$必然是积性函数（由Dirichlet卷积的性质不难发现$f$是积性函数的时候$g$一定是积性函数）。

证明： 令$n=m_1{m}_2，gcd(m_1,m_2)=1$。

由于$g$是积性函数，则$g(m_1{m}_2)=g(m_1)g(m_2)$。

展开左边得到：

$$g(m_1{m}_2)=\sum _{d\mid m_1{m}_2}f(d)=\sum _{d_1\mid m_1}\sum _{d_2\mid m_2}f(d_1{d}_2)$$

展开右边得到：

$$g(m_1)g(m_2)=\sum _{d_1\mid m_1}\sum _{d_2\mid m_2}f(d_1)f(d_2)$$

所以得到：

$$\sum _{d_1\mid m_1}\sum _{d_2\mid m_2}f(d_1{d}_2)=\sum _{d_1\mid m_1}\sum _{d_2\mid m_2}f(d_1)f(d_2)$$

由恒等式的性质可以得到$f(d_1{d}_2)=f(d$