[发明专利]模乘器、安全芯片、电子设备及加密方法

说明书

本申请提供一种模乘器，应用于SM9，包括：相乘电路，用于对所述SM9中两个算子执行乘积操作，以获得所述两个算子的乘积，其中，所述乘积为二进制数，且其位数为m，所述m为2的整数倍；以及取模器，与所述相乘电路连接，用于在n个时钟周期内完成对所述乘积执行n次取模操作，从而得到最终模乘结果，其中，每次所述取模操作在一个时钟周期内执行，以得到一次取模结果，所述n为小于m/2的正整数。本申请还提供了相应的安全芯片及加密算法。本申请的上述方案，避免使用Montgomery模乘算法，减少不必要的反复模乘，提高SM9中整个模乘运算的速度，从而提高SM9的整体性能。

技术领域

本申请的所公开实施例涉及信息安全技术领域，且更具体而言，涉及一种模乘器、安全芯片、电子设备及加密方法。

背景技术

随着信息技术发展，信息加密的要求也随之越来越高。其中，SM9(Modularmultiplication Encryption algorithm，模乘加密算法)是国家密码管理局于2007年发布的标识密码算法，相比于一般公钥加密方式，SM9的公钥来源于身份标识，避免了复杂的交换过程，提高了无线网络吞吐量，因此，目前SM9广泛应用各种设备中，需求越来越大。

SM9基于扩域上的椭圆曲线运算，核心算法为双线性对的计算，主要包括基域、二次扩域、四次扩域和十二次扩域上的模加、模乘和模逆运算模块，基域和二次扩域上的点加和多倍点运算模块，Miller算法模块，十二次扩域上的模幂模块和最终模幂模块，其中，模乘运算为最基础的运算，其计算频率非常高，因此，模乘运算的速度对SM9整体的性能至关重要。

目前，模乘运算的实现有如下几种方式：

方式1)：反复用两个乘数的乘积减去模数，直到得到的差小于模数，但这种方式仅适用于加密算法中算子位数较少的情况，而对于诸如SM9中算子位数较大的情况，使用这种方式来计算模乘会浪费较多的时钟周期，严重影响算法的性能。

方式2)：直接利用两个乘数的乘积除以模数，并取余数作为结果，应用于加密算法中，即先将两个算子相乘，然后直接用乘积除以模数取余。然而，这种方式中，由于除法器综合后的电路往往过于复杂，且运算时间较长，硬件电路中往往用移位的方式代替除操作。

方式3)：采用double-add算法，将乘转化为模加操作。这样，每次计算1比特，然而，在加密算法中，模数的位数过多时，采用这种方式过于耗时，从而影响算法性能。

方式4)：采用Montgomery模乘，无需采用除法即可计算模乘。具体过程为：先进行一次蒙哥马利模乘，以完成进入蒙哥马利域，然后，在蒙哥马利域中进行蒙哥马利模乘，以得到结果，最后，再进行一次蒙哥马利模乘，以退出蒙哥马利域。这种方式是目前加密算法中常用的计算模乘的方法，适合于算子位数高达2048比特的RSA算法，或者需进行反复模乘的模幂运算。但对于SM9中的256比特的模乘运算来说，由于每计算一次模乘至少需要经历三次蒙哥马利模乘，消耗的时钟周期过多，从而降低了SM9的性能。

发明内容

根据本申请的实施例，本申请提出一种模乘器、安全芯片、电子设备及加密方法。

根据本申请的第一方面，公开一种实例性的模乘器，应用于SM9，包括：相乘电路，用于对所述SM9中两个算子执行乘积操作，以获得所述两个算子的乘积，其中，所述乘积为二进制数，且其位数为m，所述m为2的整数倍；以及取模器，与所述相乘电路连接，用于在n个时钟周期内完成对所述乘积执行n次取模操作，从而得到最终模乘结果，其中，每次所述取模操作在一个时钟周期内执行，以得到一次取模结果，所述n为小于m/2的正整数。

根据本申请的第二方面，公开一种实例性的一种安全芯片，包括如上述第一方面所述的模乘器。

根据本申请的第三方面，公开一种实例性的一种电子设备，包括如上述第二方面所述的安全芯片。