在后量子密码高速演进的过程中，为兼顾灵活性与高效性的需求，本文面向多种格基后量子密码算法提出了一款并行可重构的采样加速器.本文结合数学推导分别提出了7种采样的高效并行实现模型，并从中提炼了4种共同运算逻辑.以这4种共同运算逻辑为核心，引入数据重排限制运算数据的有效位宽，提高了拒绝采样的接受率并简化了运算逻辑，提出了一种高能效的可重构并行采样算法.为提升采样算法的硬件实现效能，本文采用蝴蝶变换网络在单个时钟周期内完成任意有效位宽数据的并行切分、归并与查找，高效实现了算法前后处理的并行化，构建了参数化的并行可重构采样加速器架构模型，结合实验探索，提出了一款数据带宽为1 024 bit的并行可重构采样加速器.实验结果表明，使用40 nm CMOS工艺库，在ss、125 ℃工艺角条件下进行后仿，电路最高工作频率可达到667 MHz，平均功耗为0.54 W.完成256点均匀采样需6 ns，完成256点拒绝值小于2¹⁶的拒绝采样平均仅需22.5 ns，完成256点8 bit以内的二项采样需18 ns，完成509点简单三值采样需36 ns，完成701点非负相关三值采样需124.5 ns，完成509点固定权重三值采样需11.18 \mathrm{\mu } \mathrm{s}，完成一次Falcon算法中的离散高斯采样需3 ns.与现有研究相比，本文提出的采样器完成一次均匀-拒绝采样的能耗值降低了约30.23%，完成一次二项采样的能耗值降低了约31.6%.

研究了轻量级密码算法ACE与SPIX的线性性质.给出了环型与门组合结构精确的混合整数线性规划下的线性性质刻画，并将算法ACE与SPIX的非线性操作转化为环型与门组合.基于此构建了ACE置换与SLISCP置换的混合整数线性规划下的线性模型，求解模型得到了2至4步ACE置换与2至5步SLISCP置换最优的线性迹.证明了7步、12步ACE置换分别达到了128比特与320比特的安全目标，7步、13步SLISCP置换分别达到了128比特与256比特的安全目标.对于任意步数的ACE置换与SLISCP置换，认证加密算法ACE-AE-128与SPIX均能够抵抗明文处理阶段的线性区分攻击.

FBC（Feistel-based Block Cipher）是入围全国密码算法设计竞赛第二轮的轻量级分组密码.由于它具备算法结构简洁、安全性高及软硬件实现性能卓越等优点，备受业界广泛关注.FBC密码算法的数据分组长度和密钥长度至少为128比特，记为FBC-128.目前对FBC-128算法差分攻击的最好结果是12轮，时间复杂度为2^93.41次加密，数据复杂度为2¹²²个选择明文对.然而，FBC算法是否存在更长的差分区分器，能否对其进行更高轮数的密钥恢复攻击仍有待解决.本文基于混合整数线性规划（MILP）的自动化搜索方法，提出了“分段统计法”来求解FBC-128的差分特征.实验测试结果表明：FBC-128存在15轮差分区分器，其概率为2^-121.然后将其向后扩展1轮，对16轮FBC-128算法发起密钥恢复攻击，其数据复杂度为2¹²¹个选择明文数据量，时间复杂度为2^92.68次加密.与已有结果相比，差分区分器和密钥恢复攻击都提升了4轮，并且所需的数据复杂度和时间复杂度更低.

动态密码的设计与分析是当前密码学领域研究的热点.本文针对类CLEFIA动态密码结构和四分组CLEFIA变换簇抵抗不可能差分和零相关线性分析的能力进行评估.当两类动态密码结构的轮函数为双射时，通过研究密码组件的可交换性质，证明了这两类动态密码结构各自置换等价于标准静态密码结构.利用建立的置换等价关系，通过构造静态密码结构不可能差分和零相关线性区分器，证明了4n轮类CLEFIA动态密码结构所有结构均存在8轮的不可能差分和零相关线性区分器，证明了4n轮四分组CLEFIA变换簇所有结构均存在9轮的不可能差分和零相关线性区分器.

SM2系列算法是由我国自主设计的商用椭圆曲线密码算法.目前，对SM2解密算法的实现安全性分析通常遵循对椭圆曲线通用组件的研究成果，缺乏结合算法本身结构和特点而进行的实现安全性研究.同时，SM2解密算法中的哈希和验证步骤，使大部分需要利用错误输出的故障攻击方式对于SM2解密算法并不适用.针对该现状，本文根据SM2解密算法本身的特点，结合安全错误类故障攻击思想，提出了一种减轮故障与侧信道相结合的选择密文组合攻击.攻击的核心是通过故障注入改变标量乘循环的轮数，然后由侧信道分析确定故障轮数的具体取值.根据部分密钥猜测结合明文、正确密文等构建选择密文，并将其输入至具有特定故障效果的解密设备，最后通过解密设备输出验证部分密钥猜测是否正确，逐步恢复私钥.此外，文中分析了攻击对不同标量乘法以及常见防护对策的适用性.最后，本文在基于ARM Cortex M4核心的STM32F303微控制器芯片上，使用时钟毛刺注入和简单能量分析的方式对SM2解密算法进行了实际攻击实验并成功恢复出了私钥.实验结果表明，该攻击方法具有可行性和实用性.

目前，由美国国家标准技术研究院发起的对抗量子密码算法标准化的进程已进入最后一轮，其中基于格上困难问题的方案备受青睐.已有研究表明，若公私钥对被重复使用，则可以对选择明文攻击安全的格密钥封装机制发起密钥不匹配攻击；甚至在侧信道信息的辅助下，相关攻击能对选择密文攻击安全的格KEM奏效.在现有的针对格KEM方案的密钥不匹配攻击中，大多数攻击方案假设敌手一次只能恢复一个私钥系数，然而一次性恢复多个私钥系数是更为合理的假设，并且也将进一步减少密钥不匹配攻击所需的平均问询次数.鉴于此，本文进一步分析了密钥不匹配攻击中恢复私钥系数所需的平均问询次数的理论值下界的问题.其基本思路是将该问题转化为寻找一棵最优二叉恢复树的问题，进而证明了平均问询次数的理论值下界十分接近香农熵.在此基础上，本文提出了一套计算模型，并将其应用于NTRU-HRSS KEM方案，得到了更为准确的理论值下界；进一步地，据此提出了一种成对恢复NIST第三轮入选方案NTRU-HRSS KEM私钥的密钥不匹配攻击方案.实验结果表明，与现有的攻击方案相比，在成功率基本持平的基础上，平均问询次数减少了35.3%，耗时减少了47.3%.此外，本文提出的攻击方案也能够用于优化现有的针对CCA安全的NTRU-HRSS KEM方案的侧信道攻击，并将所需的问询次数由2 447减少到1 193.

可信平台模块（Trusted Platform Module，TPM）内部存储空间有限，TPM生成的密钥绝大部分并不会存储于较为安全的TPM内部，而是经过父密钥加密之后再存储于外部存储空间，不完全受TPM控制.在单一密钥无效的情况下，TPM1.2和TPM2.0规范中未提供相关命令来撤销该密钥，只提供了撤销所有密钥的命令，这在多数情况下不方便且降低了TPM的可用性.但是如果不撤销该无效的密钥，攻击者可能会将其加载到TPM中使用，会带来安全隐患.因此，本文基于Merkle树提出了一种能进行单一密钥撤销的密钥管理方案.通过构建动态或者静态Merkle树的方式，将TPM生成的密钥链接到树的叶结点进行密钥管理，在需要的时候可撤销单一无效密钥而不会影响其他有效密钥的正常使用.与基于黑白名单撤销TPM密钥的方案相比，在本文方案中，TPM内部仅需额外保存树的根结点，其余结点存储于TPM的外部，该方案的开销与树能管理的密钥数成对数关系，而黑白名单方案的开销则与被撤销密钥或者未被撤销密钥数量成线性关系；与基于变色龙散列函数构建树来撤销TPM密钥的方案相比，本文的方案更加简便，降低了计算的复杂性.本文基于TPM2.0模拟器构建了一个原型系统，经测试达到了预期目标，具备较好的实用性.