数论学习笔记

质数

总体来说，质数有无穷多个。其分布存在一定规律。

1. $\underset{n\to \infty }{\lim }\pi (n)=\frac{n}{\log n}$。其中，$\pi (n)$ 为 $n$ 以内的质数个数。
2. 第 $n$ 个质数 $p_n=O(n\log n)$
3. $\sum _{i=1}^n\frac{1}{i}=O(\log n)$。
4. $\sum _p\frac{1}{p}=O(\log \log n)$。
5. 当 $n>3$ 时，一定存在质数 $p\in [n,2n-2]$。
   其中， $O$ 记号表示其数量级。

对于任何一个数，其分解质因数有且仅有一种方式分解。即，$x={\prod }_{i=1}^k{p}_i^{a_i}$，此方式唯一。

欧几里得算法、扩展欧几里得算法

题意：给定一个序列，可能执行以下四种操作：

解法：
可以通过欧几里得算法在 $O(\log n)$ 时间复杂度内求出两个数的最大公约数。其原理是，$\gcd (a,b)=\gcd (a-b,b)$，进而等于 $\gcd (a-kb,b)$，因而改减法为取模，即 $\gcd (a\mathrm{m}\mathrm{o}\mathrm{d}b,b)$。每次两个数中必有一个要折半以上，因而总体时间复杂度为 $O(\log a+\log b)$。

扩展欧几里得算法通常是用于解决形如 $ax+by=c$ 的丢番图方程。由裴蜀定理可知，其有解的充分必要条件为 $\gcd (a,b)|c$。同时，若 $\gcd (a,b)|c$，则存在整数 $x,y$ 满足 $ax+by=c$。

考虑先解决一个特殊问题：求解 $ax+by=\gcd (a,b)$。使用 $\gcd (a,b)=\gcd (a\mathrm{m}\mathrm{o}\mathrm{d}b,b)$，因而我们可以写出两个等价的方程：

$$\{\begin{array}{c}ax+by=\gcd (a,b)\\ (a\mathrm{m}\mathrm{o}\mathrm{d}b)x^{\prime }+b{y}^{\prime }=\gcd (a\mathrm{m}\mathrm{o}\mathrm{d}b,b)\end{array}$$

带入 $a\mathrm{m}\mathrm{o}\mathrm{d}b=a-b\lfloor \frac{a}{b}\rfloor$，则可化简第二式为 $a{y}^{\prime }+b(x^{\prime }-y^{\prime }\lfloor \frac{a}{b}\rfloor )$。因而产生了递推关系：$x=y^{\prime },y=x^{\prime }-y^{\prime }\lfloor \frac{a}{b}\rfloor$。考虑递归的边界条件 $b=0$，此时带入 $x=1,y=0$，按照上式递推即可求出原式的解。

若 $c=k\gcd (a,b)$，只需要将解乘以 $k$ 倍即可得到特解。

由线性方程解的结构可知，线性方程的通解形式为“齐次方程通解+非齐次方程特解”。此处的非齐次方程即为 $ax+by=c$，其次方程为 $ax+by=0$。后者的通解是非常容易写出的：

$$\{\begin{array}{c}x=\frac{tb}{\gcd (a,b)}\\ y=-\frac{ta}{\gcd (a,b)}\end{array}$$

因而最后 $ax+by=c$ 的通解为：

$$\{\begin{array}{c}x=x_0+\frac{tb}{\gcd (a,b)}\\ y=y_0+\frac{ta}{\gcd (a,b)}\end{array}$$

其中 $x_0,y_0$ 即为使用扩展欧几里得算法计算出的一组特解。

同余、线性同余方程

同余符号的定义：若 $a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}m$，则有 $m|b-a$，即 $b=km+a$。反之也成立。

同余的基本性质：

1. 若 $a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}xy$，则有 $a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}x$ 与 $a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}y$ 同时成立。反之不成立：若 $a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}x$ 与 $a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}y$ 成立，只有 $a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}\mathrm{l}\mathrm{c}\mathrm{m}\{\mathrm{a},\mathrm{b}\}$。
2. 若 $d=\gcd (k,m)$，$ka\equiv k{a}^{\prime }\mathrm{m}\mathrm{o}\mathrm{d}m$，则有 $a\equiv a^{\prime }\mathrm{m}\mathrm{o}\mathrm{d}\frac{m}{d}$。

所谓线性同余方程，即是给定 $a,b,m$，求解 $ax\equiv b\mathrm{m}\mathrm{o}\mathrm{d}m$ 的解。一个基本的想法是利用同余的定义，将其转化为丢番图方程 $ax+my=b$ 的解。而这个方程可以由扩展欧几里得算法解决。

若 $b=1$，则求出的 $x$ 即为 $a$ 在模 $m$ 意义下的逆元。

威尔逊定理：对于质数 $p$，$(p-1)!\equiv -1\mathrm{m}\mathrm{o}\mathrm{d}p$，其逆定理也成立。

由威尔逊定理，可以推出费马小定理：若 $p$ 为质数，$a$ 为与 $p$ 互质的任意正整数，则有 $a^{p-1}\equiv \mathrm{m}\mathrm{o}\mathrm{d}p$。

证明：$a,2a,3a,\cdots ,(p-1)a$ 中均无 $p$ 的倍数，也不两两同余，因而该数列模 $p$ 一定是一个 $[1,p-1]$ 的一个排列。因而，$a^{p-1}(p-1)!\equiv (p-1)!\mathrm{m}\mathrm{o}\mathrm{d}p$。又 $(p-1)!\equiv -1\mathrm{m}\mathrm{o}\mathrm{d}p$，因而 $a^{p-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}p$。

特别的，由于对 $a=kp$ 的情况，$a^{p-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}p$ 不成立，而 $a^p\equiv a\mathrm{m}\mathrm{o}\mathrm{d}p$ 则对一切正整数成立，因而费马小定理也写作 $a^p\equiv a\mathrm{m}\mathrm{o}\mathrm{d}p$。

逆元

逆元，即是在模 $m$ 意义下，对于整数 $a$，满足方程 $ax\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}m$ 的 $x$。其作用是将取模意义下无法处理的除法用乘法代表了。

例如，要求 $\frac{a}{b}\mathrm{m}\mathrm{o}\mathrm{d}m$，即可求出 $b$ 在模 $m$ 意义下的逆元 $x$，则有 $\frac{a}{b}\equiv ax\mathrm{m}\mathrm{o}\mathrm{d}b$。

显然，由裴蜀定理，当 $\gcd (b,m)\ne 1$ 时，$b$ 无模 $m$ 意义下的逆元。

求逆元的方法很多。对于质数，可以考虑使用费马小定理：因为 $a^{p-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}p$，因而 $a$ 的逆元可以取 $a^{p-2}$。

若 $m$ 不是质数，则可以考虑使用扩展欧几里得算法进行计算。此法不常用。

还有一个线性递推的方法。首先 $1^{-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}m$。考虑 $\forall i\in [2,p-1]$，均有 $ki+r\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}p$。两边乘以 $i^{-1},r^{-1}$ 有 $i^{-1}\equiv -k{r}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}p$，即 $i^{-1}\equiv \lfloor \frac{p}{i}\rfloor (p\mathrm{m}\mathrm{o}\mathrm{d}i{)}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}p$。写成代码，就是：

inv[i]=-(p/i)*inv[p%i];

剩余系

剩余系，即将 $N$ 中的所有数按照对给定模数 $m$ 分成 $m$ 个等价类，通常取 $[0,m-1]$ 作为等价类的代表元。

简化剩余系，指余数与 $m$ 互质的一些等价类。为了统计简化剩余系的等价类数目，我们引入欧拉函数 $\phi (m)$ 来表示这个数目。容易注意到，$\phi (m)$ 表示了小于 $m$ 的数中与 $m$ 互质数的数目（注意：$1$ 也算与 $m$ 互质的数）。

考虑剩余系的遍历：任取一个整数 $x$，用 $x$ 加 $m$ 次 $1$，即可走完所有的剩余系。这是因为，$[x,x+m-1]$ 包含全部的剩余系。

但是对于简化剩余系，它的遍历就没有这么简单了：显然我们不能通过上面这种方式了，因为加一之后可能导致遍历到非简化剩余系中元素。

记 $a$ 为 $m$ 简化剩余系中的元素，$a^{\prime }$ 为 $m^{\prime }$ 简化剩余系中元素，考虑用一种方式去遍历这两个简化剩余系，那么容易得到，$a{m}^{\prime }+a^{\prime }m$ 遍历了 $m{m}^{\prime }$ 的简化剩余系。

因而我们可以推出，当 $\gcd (m,m^{\prime })=1$，$\phi (m)\phi (m^{\prime })=\phi (m{m}^{\prime })$。这种性质，被称为积性函数——若 $\forall a,b,\gcd (a,b)=1$，有 $f(ab)=f(a)f(b)$，则称 $f$ 为积性函数；若$\forall a,b$，均有 $f(ab)=f(a)f(b)$，则称 $f$ 为完全积性函数。

利用欧拉函数的积性，我们可以得到以下一些欧拉函数的性质：

1. 若 $p$ 为质数，$\phi (p^k)=(p-1)p^{k-1}$——与 $p^k$ 不互质的数仅有 $p,2p,\cdots ,(k-1)p$ 这 $k-1$ 个。特别的，$\phi (p)=p-1$。
2. $\forall m\in N$，$\phi =m\prod _{p|m}(1-\frac{1}{p})$。
   证明：考虑将 $m$ 进行质因数分解，对于每个 $m$ 的组成质数，均有 $\phi (p^k)=(p-1)p^{k-1}$。然后利用其积性，将这些质数幂的欧拉函数进行乘积，即可得到上述结论。
3. 若 $\gcd (a,m)=1$，则$a^{\phi (m)}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}1$。
   证明：当 $x$ 遍历完 $m$ 的简化剩余系时，$ax$ 也取遍 $m$ 的简化剩余系，因而 $\prod x\equiv \prod ax\mathrm{m}\mathrm{o}\mathrm{d}m$，得证。

而这就是欧拉定理：当 $\gcd (a,m)=1$ 时，$a^{\phi (m)}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}m$。容易发现，费马小定理是欧拉定理的一个特例。

因而这指出了另一条计算逆元的方法：$a^{\phi (m)-1}$ 一定为 $a$ 的逆元。

如果求单个数的欧拉函数，可以考虑枚举其质因子，在 $O(\sqrt{n})$ 的时间内完成。如果要求多个，则可以考虑其线性筛法。方法与线性筛素数类似，仅加上一个利用积性函数求解 $\phi$ 的过程。

注意到 $a^{\phi (m)}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}m$，因而可以认为 $a$ 的幂关于 $m$ 的模数是关于 $\phi (m)$ 为周期的。所以我们有结论：对指数取模，使用 $\phi (m)$。

线性同余方程组

线性同余方程组的一般形式为：

$$\{\begin{array}{c}x\equiv b_1\mathrm{m}\mathrm{o}\mathrm{d}{m}_1\\ x\equiv b_2\mathrm{m}\mathrm{o}\mathrm{d}{m}_2\\ x\equiv b_3\mathrm{m}\mathrm{o}\mathrm{d}{m}_3\\ \cdots \\ x\equiv b_n\mathrm{m}\mathrm{o}\mathrm{d}{m}_n\end{array}$$

如果 $m_i$ 两两互质，我们可以考虑使用中国剩余定理。其基本思想为只考虑一个方程，利用各方程的独立性，逐项进行变量代换，最后求出通解。

记 $N={\prod }_{i=1}^n{m}_i$，考虑以下的新的同余方程组：

$$\{\begin{array}{c}x\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}{m}_1\\ x\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}{m}_2\\ x\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}{m}_3\\ \cdots \\ x\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}{m}_i\\ \cdots \\ x\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}{m}_n\end{array}$$

令 $x=\frac{N}{m_i}y$，即解 $\frac{N}{m_i}y\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}{m}_i$，解完后回带即可求出 $x_i$。依次解完这 $n$ 个方程组，则有通解 $x=\sum _{i=1}^n{b}_i{x}_i$。POJ 1006 满足该条件，可以直接使用。

考虑另一种解法：合并法（增量法），将两组使用扩展欧几里得算法进行合并。例如，考虑前两个方程：

$$\{\begin{array}{c}x\equiv b_1\mathrm{m}\mathrm{o}\mathrm{d}{m}_1\\ x\equiv b_2\mathrm{m}\mathrm{o}\mathrm{d}{m}_2\end{array}$$

显然第一个方程的通解为 $x=b_1+k{m}_1$，带入第二个方程可得 $b_1+k{m}_1\equiv b_2\mathrm{m}\mathrm{o}\mathrm{d}{m}_2$。该方程又可以转化为丢番图方程，使用扩展欧几里得算法进行求解。最后可以合并到只剩一个方程，此时解完。该种方法可以不满足模数两两互质。

中国剩余定理用处不仅在求解同余线性方程组。对于一个合数做模数的情况（例如组合数对合数取模），可以考虑将模数的合数使用整数唯一分解定理，分解成若干个质数乘积，得到若干个对质数的同余线性方程组，然后用中国剩余定理，解同余方程组做合并。

考虑一种特殊的线性同余方程组：

$$\{\begin{array}{c}x\equiv b_1\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_1}\\ x\equiv b_2\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_2}\\ x\equiv b_3\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_3}\\ \cdots \\ x\equiv b_n\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_n}\end{array},a_1\ge a_2\ge a_3\ge \cdots \ge a_n$$

其有解的充要条件为

$$\{\begin{array}{c}{b}_1\equiv b_2\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_2}\\ b_2\equiv b_3\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_3}\\ \cdots \\ b_{n-1}\equiv b_n\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_n}\end{array}$$

并且其解为 $x\equiv b_1\mathrm{m}\mathrm{o}\mathrm{d}{p}^{a_1}$。

利用这个性质可以利用中国剩余定理，解决线性同余方程组中模数不互质的情况。将每一个方程中的合数模数全部拆分成若干个模质数幂次的线性方程组，然后分组先解决每个质数的问题。如果某一组质数报告无解，则原方程无解，反之则可以去掉所有模数次数低的方程，仅保留模数次数最高的方程。剩下的就是模数均互质的情况，进而可以使用中国剩余定理。

解多项式同余方程

解多项式同余方程，即是求解一个函数 $f(x)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}{p}^k$ 的根。可以证明，若 $f(x)$ 为 $n$ 次多项式，则其在模 $p$ 意义下至多只有 $n$ 个解。（拉格朗日定理）

通常首先求出 $f(x)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}p$ 的根 $x_0$，此处并无一般快速方法。然后递推次数。

注意到 $f(x_{k+1})\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}{p}^{k+1}$ 一定都是 $f(x_{k+1})\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}{p}^k$ 的解，因而考虑从 $\{x_k\}$ 的解集中筛选 $x_{k+1}$ 出来。

考虑令 $x_{k+1}=x_k+t{p}^k$，求解 $t$。将 $f(x)$ 在 $x_k$ 出做二阶泰勒展开，容易得到 $f(x)=f(x_k)+f^{\prime }(x_k)t{p}^k$+f’’(\xi) (tp^k)2$。显然其高阶无穷小均可被 $p^{k+1}$ 整除，因而省略。所以可以转化为线性同余方程 $t{f}^{\prime }(x_k)\equiv -\frac{f(x_k)}{p^k}\mathrm{m}\mathrm{o}\mathrm{d}p$。

对 $f^{\prime }(x_k)$ 是否对 $p$ 整除讨论出 $t$ 解的情况：

1. 若 $\gcd (f^{\prime }(x_k),p)=1$，则有唯一解。
2. 若 $\gcd (f^{\prime }(x_k),p)\ne 1$，$f(x_k)=0$，则有无穷解，$t$ 可取遍 $[0,p-1]$。
3. 若 $\gcd (f^{\prime }(x_k),p)\ne 1$，$f(x_k)\ne 0$，则无解。

有了这个递推之后，很容易推广到任意高阶。

离散对数

在实数域上，如果$a^x=b$，则有 $x={\log }_{a}b$。在取模的运算中，不能直接这么写，通常使用 $x={\mathrm{i}\mathrm{n}\mathrm{d}}_{a}b$。而这也叫离散对数。

离散对数通常解决的问题是求解 $a^x\equiv b\mathrm{m}\mathrm{o}\mathrm{d}p$。

一般使用接近暴力的 BSGS 算法：其解有形式 $x=\alpha \lceil \sqrt{p}\rceil -\beta ,x\in [0,\phi (a)$。因而 $\alpha$ 仅有 $\sqrt{p}$ 个取值。在操作的过程中，只需枚举这根号个 $\alpha$ 的值并逐一检验即可。

但是 BSGS 有其局限性：仅能处理模数为质数的情况。因而产生了扩展 BSGS 算法。令 $d=\gcd (a,p)$，两侧同时除以 $d$，得到 $\frac{a^x}{d}\equiv \frac{b}{d}\mathrm{m}\mathrm{o}\mathrm{d}\frac{p}{d}$，直到 $p$ 变成质数或者中途存在一个 $b$ 无法被 $d$ 整除的情况，报告无解即可。

组合数取模

通常对于模数较大的情况，可以采用递推法（$n,m$ 均较小）或阶乘法（$n,m$ 较大）。注意当模数与 $n,m$ 同阶时要特别判定 $p!$ 的逆元——此时逆元不存在。

而对于小素数，常用 Lucas 定理。考虑组合数都是 $(1+x{)}^n$ 的系数，对二项式进行展开，有 $(1+x{)}^p\mathrm{m}\mathrm{o}\mathrm{d}p=(1+x^p)\mathrm{m}\mathrm{o}\mathrm{d}p$，因为中间每一项均含 $p$。

将 $n$ 用 $p$ 表示，则有 $(1+x{)}^n=(1+x{)}^{\lfloor p\frac{n}{p}\rfloor }(1+x{)}^{n\mathrm{m}\mathrm{o}\mathrm{d}p}=(1+x^p{)}^{\lfloor \frac{n}{p}\rfloor }(1+x{)}^{n\mathrm{m}\mathrm{o}\mathrm{d}p}$。因而可以得到，

$$\left(\genfrac{}{}{0ex}{}{n}{m}\right)=\left(\genfrac{}{}{0ex}{}{\lfloor \frac{n}{p}\rfloor }{\lfloor \frac{m}{p}\rfloor }\right)\left(\genfrac{}{}{0ex}{}{n\mathrm{m}\mathrm{o}\mathrm{d}p}{m\mathrm{m}\mathrm{o}\mathrm{d}p}\right)\mathrm{m}\mathrm{o}\mathrm{d}p$$

通常对于等式右侧的第一项，继续使用 Lucas 定理递归的求解。

如果模数为小素数的幂，则采用分治的思想。注意挖出小素数的倍数的阶乘，它们没有逆元。

如果模数不为质数，则使用扩展 Lucas 定理，或者和前面的处理类似，将合数直接拆分成若干个素数的线性同余方程组，然后用中国剩余定理进行合并。

原根

原根的定义为：对于模数 $m$，若存在一个数 $g$，满足 $g^{\phi (m)}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}m$ 成立，并且 $\phi (m)$ 是其最小的满足该等式的解（又称阶，记作${\delta }_m(g)$），则称 $g$ 为 $m$ 的原根。

阶的性质很多：

1. 在小于 ${\delta }_m(a)$ 的次方下，$a_x$ 两两互不同余。
2. 若 $a^n\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}m$，则 ${\delta }_m(a)|n$。因而有结论：若 $a^p\equiv a^q\mathrm{m}\mathrm{o}\mathrm{d}m$，则有 $p\equiv q\mathrm{m}\mathrm{o}\mathrm{d}{\delta }_m(a)$。

原根的性质也很丰富，可以辅助求解指数同余方程。若 $x^a\equiv b\mathrm{m}\mathrm{o}\mathrm{d}m$，且 $m$ 为质数，则由于 $m$ 存在原根，可以求出其原根为 $g$，转而求解 $g^s\equiv b\mathrm{m}\mathrm{o}\mathrm{d}m$。若有解，则可令 $x=g^t$，带入则有 $g^{ta}\equiv g^s\mathrm{m}\mathrm{o}\mathrm{d}m$。考虑原根的性质，则有 $ta\equiv s\mathrm{m}\mathrm{o}\mathrm{d}\phi (m)$。因而可以加速这种方程的求解。

原根存在定理：当且仅当 $m=2,4,p_{\alpha },2p_{\alpha }$ 时才存在，其中 $\alpha$ 为正整数。通常求原根没有什么行之有效的方法，通常是从小到大枚举。如果 $a$ 为质数，则只用判断所有的质数 $p|a-1$，满足 $g^{\frac{a-1}{p}}\ne 1\mathrm{m}\mathrm{o}\mathrm{d}a$ 即可。

关于其递推，记 $g$ 为 $p$ 的原根，则以下的递推均是二择其一：

1. $p\to p^2$：$g$ 或者 $g+p$。
2. $p^k\to p^{k+1}$：$g$ 或者 $g+p$。
3. $p^k\to 2p^k$：$g$ 或者 $g+p^k$。

二次剩余

若 $x^2\equiv a\mathrm{m}\mathrm{o}\mathrm{d}m$，则 $x$ 为模 $m$ 下的二次剩余，否则为二次非剩余。二次剩余可以解决 $\sqrt{a}$ 的取模问题——用其二次剩余的 $x$ 来替代 $\sqrt{a}$ 即可。

勒让德符号 $(\frac{a}{p})=a^{\frac{m-1}{2}}\mathrm{m}\mathrm{o}\mathrm{d}p$：值为 $1$ 则为二次剩余，$-1$ 则不是。

求解二次剩余有以下的几种方法：

Cipolla 算法，此方法仅满足 $p$ 为一奇质数

1. 先任意找到一个数 $a$ 满足 $a^2-n$ 是二次非剩余，即 $(\frac{a^2-n}{p})=-1$。本步骤有 $\frac{p-1}{2p}$ 的概率成功。
2. $x=(a+\sqrt{a^2-n}{)}^{\frac{p+1}{2}}$，注意将 $\sqrt{a^2-n}$ 视作一个独立的数来处理（类似于复数的计算），更规范的说法是在域下处理。可以使用快速幂，在模 $p$ 意义下进行。

Tonelli-Shanks 算法

1. 先将 $p$ 分解成 $Q{2}^S$ 的形式，$Q$ 为一奇数。若 $p\mathrm{m}\mathrm{o}\mathrm{d}4=3$，则解直接为 $n^{\frac{p+1}{4}}$。
2. 任意找到一个 $a$ 是 $p$ 的二次非剩余，取 $c=a^Q$，$R\equiv n^{\frac{Q+1}{2}}$，$t\equiv n^Q $，$M=S$。
3. 如果 $t\equiv 1$ 则 $R$ 就是答案；否则找到最小的 $i$ 满足 $t^{2^i}\equiv 1$，取 $b\equiv c^{2^{M-i-1}}$，$R\leftarrow Rb$，$t\leftarrow t{b}^2$，$M=i$。

计算方程 $a{x}^2+b{y}^2=c$ 在一定范围下的全部整数解，可以考虑使用椭圆曲线法——先找到一组特解，然后做一条斜率为有理数 $\alpha =\frac{m}{n}$的直线，交这一圆锥曲线，得到的解一定是有理解。

对于一个特殊方程 $x^2+d{y}^2=m$，在 $\gcd (d,m)=1$ 下有解，使用 Cornacchia’s algorithm 算法可以解决。先求解方程 $r_0^2\equiv -d\mathrm{m}\mathrm{o}\mathrm{d}m$，然后对 $r_0$ 与 $m$ 做辗转相除，得到一系列的 $r_1,r_2$ 等直到 $r_i<\sqrt{m}$，检查 $\sqrt{\frac{s-r_i^2}{d}}$ 是否为整数，若是则一组解为 $(r_i,\sqrt{\frac{s-r_i^2}{d}})$，否则就尝试另一个 $r_0$。

快速判质数

对于大数，常用判定素数的方法都不太好用，因而使用 Miller-Rabin，Pollard Rho 等随机性算法，但其判定仅为素数的必要条件。

首先先引入一个 Fermat 素数检测：$a^{p-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}p$ 成立。但是这个条件经常有合数也混进来了，因而有了改进了 Fermat 素数检测——Miller-Rabin。在 Fermat 素数检测加若干次二次探测，即 $a^{\frac{p-1}{2^m}}\equiv \pm 1\mathrm{m}\mathrm{o}\mathrm{d}p$，而且模数为 $1,-1$ 交替出现。真正的素数每一项均为 $\pm 1$，而伪素数则会在某些幂次露出马脚，因而可以加强判定。通常在实际的测试过程中还会选取多个 $a$ 来加强判断的可信度。

积性函数前缀和

首先定义两个积性函数 $f,g$ 的狄利克雷卷积为 $h(n)=\sum _{i|n}f(i)g(\frac{n}{i})=\sum _{i|n}f(\frac{n}{i})g(i)$。

莫比乌斯反演：若 $\forall n,g(n)=\sum _{i|n}f(i)$，则有 $f(n)=\sum _{i|n}\mu (i)g(\frac{n}{i})=\sum _{i|n}\mu (\frac{n}{i})g(i)$。

证明：$\sum _{i|n}\mu (\frac{n}{i})g(i)=\sum _{i|n}\mu (\frac{n}{i})(\sum _{j|i}f(j))$，然后将内侧求和符号中拿出来，枚举最小的因子 $k$，$\sum _{i|n}f(i)\sum _{k|\frac{n}{i}}\mu (k)=\sum _{i|n}f(i)[\frac{n}{i}=1]=f(n)$。

此处用到莫比乌斯函数的性质：当 $n\ne 1$ 时，$\sum _{d|n}\mu (d)=0$。

考虑计算一个积性函数 $f$ 的前缀和，记 $S(n)=\sum _{i=1}^{n}f(i)$。此时再找一个积性函数 $g$，对其做狄利克雷卷积，有：
$$\begin{gathered} (S\ast g)(n)=\sum _{i=1}^n(f\ast g)(i) \\ =\sum _{i=1}^n\sum _{d|i}f(d)g(\frac{i}{d}) \\ =\sum _{i=1}^n\sum _{d|i}f(\frac{d}{i})g(d) \\ =\sum _{d=1}^{n}g(d)\sum _{i=1}^{\lfloor \frac{n}{d}\rfloor }f(i) \\ =\sum _{d=1}^{n}g(d)S(\lfloor \frac{n}{d}\rfloor ) \end{gathered}$$

提出第一项，有 $(S\ast g)(n)=g(1)S(n)+\sum _{d=2}^{n}g(d)S(\lfloor \frac{n}{d}\rfloor )$。因而 $g(1)S(n)=-\sum _{d=2}^{n}g(d)S(\lfloor \frac{n}{d}\rfloor )+(S\ast g)(n)$。通常用线性筛出前 $\sqrt{n}$ 个值，然后再使用数论分块递归的去解决。

例如，要求欧拉函数的前缀和，记 $S_n=\sum _{i=1}^n\phi (i)$，$\sum _{i=1}^{n}S(\lfloor \frac{n}{i}\rfloor )=\sum _{i=1}^n\sum _{ij\le n}\phi (j)=\sum _{k\le n}\sum _{j|k}\phi (j)=\sum _{k\le n}\phi (j)\lfloor \frac{k}{j}\rfloor =\sum _{k=1}^{n}k$，因而 $S(n)+S(\frac{n}{2})+S(\frac{n}{3})+\cdots +S(1)=\sum _{k=1}^{n}k=\frac{(1+k)k}{2}$。此时 $S(n)=\frac{(1+k)k}{2}-\sum _{i=2}^{n}S(\lfloor \frac{n}{i}\rfloor )$，后面这些项就可以在 $O(\sqrt{n})$ 内求出，原因在于 $\lfloor \frac{n}{i}\rfloor$ 的值只有根号个。当然一个更加简单的推法是 $\phi \ast I=\mathrm{i}\mathrm{d}$，其中 $\mathrm{i}\mathrm{d}(x)=x$，$I(x)=1$。