(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211082051.4 (22)申请日 2022.09.06 (66)本国优先权数据 202210880496.0 202 2.07.25 CN (71)申请人 华中科技大 学 地址 430000 湖北省武汉市洪山区珞喻路 1037号 (72)发明人 李奥博　刘冬生　李翔　杨朔　 黄天泽　熊思琪　张嘉明　陆家昊　 胡昂　 (74)专利代理 机构 深圳市温斯顿专利代理事务 所(普通合伙) 44686 专利代理师 徐员兰 (51)Int.Cl. H04L 9/08(2006.01) (54)发明名称 实现后量子密码算法Kyber和Saber 的融合 密码安全处 理器 (57)摘要 本发明公开了一种实现后量子密码算法 Kyber和Saber的融合密码安全处理器。 该融合密 码安全处理器包括主控逻辑模块、 多模系数生成 器、 哈希模块、 可重构的运算模块、 密钥封装模 块、 接口模块和存储模块。 本发明所公布的后量 子密码算法Kyber和Saber融合密码安全处理器， 可以从系数生成， 哈希散列函数， 核心模乘等方 面对Kyber算 法和Saber算法进行融合优 化。 设计 了支持上诉功能的多模系数生 成器， 哈希模块和 可重构的运算模块， 在最大程度上对密码安全处 理器的资源进行复用， 达到 Kyber算法和Saber算 法低资源， 高效率实现的目的。 权利要求书1页 说明书4页 附图1页 CN 115412241 A 2022.11.29 CN 115412241 A 1.一种实现后量子密码算法Kyber和Saber的融合密码安全处 理器， 其特 征在于， 包括： 主控逻辑模块， 用于传递所述融合密码安全处理器内部指令信号与控制接收外界数 据； 可重构的运 算模块， 用于据所述主控逻辑模块信号切换 具有不同模数的乘法器； 哈希模块， 用于根据所述主控逻辑模块信号执 行对应的函数； 多模系数生成器， 用于根据所述主控逻辑模块信号 生成对应的系数； 密钥封装 模块， 用于控制系统执 行Saber算法和/或Kyber算法； 接口模块， 用于提供输入输出接口； 存储模块， 用于数据缓存。 2.根据权利要求1所述的融合密码安全处理器， 其特征在于， 所述多模系数生成器包 括： 中心二项分布采样器， 用于计算满足均匀分布采样序列的汉明距， 生成密钥多项式以 及误差多 项式系数； 拒绝采样器， 用于生成Kyber算法的公钥多 项式系数。 3.根据权利要求1所述的融合密码安全处 理器， 其特 征在于， 所述哈希模块包括： 函数SHA3 ‑256， 用于公钥以及 密文的哈希散列函数； 函数SHA3 ‑512， 用于信息的哈希散列函数； 函数SHAKE ‑128与函数SHAKE ‑256， 用于伪随机数序列的扩展。 4.根据权利要求1所述的融合密码安全处理器， 其特征在于， 所述可重构的运算模块包 括： 模数为213的托普利兹乘法器， 用于加速Saber算法中的多 项式乘法； 模数为3329的NTT乘法器， 用于加速Kyber算法中的多 项式乘法。 5.根据权利要求1所述的融合密码安全处 理器， 其特 征在于， 所述密钥封装 模块包括： 密钥缓存处， 用于直接储 存256bit的密钥； 密钥封装机制， 用于生成密码算法中对应密钥的算法。 6.根据权利要求1所述的融合密码安全处理器， 其特征在于， 所述接口模块采用标准的 串行外设接口。 7.根据权利要求1所述的融合密码安全处理器， 其特征在于， 所述的融合密码安全处理 器采用长度为32bit的指令 。权　利　要　求　书 1/1 页 2 CN 115412241 A 2实现后量子密码算法Kyber和Saber的融合密码安全处理 器 技术领域 [0001]本发明属于后量子信息安全算法、 数字信号处理及电路实现领域， 特别涉及一种 实现后量子密码算法Kyber和Saber的融合密码安全处 理器。 背景技术 [0002]随着量子计算技术的高速发展， 传统的公钥密码体制将面临量子计算机攻击的安 全威胁， 将现有加密技术过渡到具有量子安全的后量子密码(Post ‑Quantum   Cryptography,PQC)技术正成为国 际密码学理论与技术领域的研究热点。 基于格问题的密 码方案由于其拥有完备的安全性证明， 高效且易于实现， 灵活性强， 用途广泛等特点， 有望 成为未来应对量子计算机的密码安全算法。 [0003]Kyber算法和Saber算法是分别基于M ‑LWE和M‑LWR格困难问题的密码算法， 相比于 其他基于格问题的后量子密码算法， 具有公钥以及私钥长度短、 易于实现等优势， 是最具有 优势的两种的格密码方案。 作为LWE问题的变种和多项式环域基于模块划分的后量子密码 算法， Kyber 算法和Saber 算法在整体算法流程以及哈希散列函数， 伪随机数序列采样， 加解 密验证上具有一致性， 实现Kyb er算法和Sab er算法的融合， 有利于资源的复用以及应对不 用安全要素需求的应用场景。 发明内容 [0004]本发明所要解决的技术问题在于， 为了能使后量子密码算法Kyber和Saber能够同 时在硬件上高效地实现， 本发明提供了一种Kyber算法和Saber算法融合密码安全处理器， 其特征在于， 包括： [0005]主控逻辑模块， 用于传递所述融合密码安全处理器内部指令信号与 控制接收外界 数据； [0006]可重构的运算模块， 用于根据所述主控逻辑模块信号切换具有不同模数的乘法 器； [0007]哈希模块， 用于根据所述主控逻辑模块信号执 行对应的函数； [0008]多模系数生成器， 用于根据所述主控逻辑模块信号 生成对应的系数； [0009]密钥封装 模块， 用于控制系统执 行Saber算法和/或Kyber算法； [0010]接口模块， 用于提供输入输出接口； [0011]存储模块， 用于数据缓存。 [0012]优选的， 所述多模系数生成器包括： [0013]中心二项分布采样器， 用于计算满足均匀 分布采样序列的汉明距， 生成密钥多项 式以及误差多 项式系数； [0014]拒绝采样器， 用于生成Kyber算法的公钥多 项式系数。 [0015]优选的， 所述哈希模块包括： [0016]函数SHA3 ‑256， 用于公钥以及 密文的哈希散列函数；说　明　书 1/4 页 3 CN 115412241 A 3