一种数据保护方法和系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种数据保护方法和系统。
【背景技术】
[0002]计算机网络的迅速发展和不断普及,使信息安全问题日益突出,各种形式的专用密码电路和密码算法处理器得到广泛地应用。伴随着商业竞争的不断加剧,对成本和性能提出了更加苛刻的要求,如何提高安全性的同时兼顾成本和性能是信息安全领域面对的共同课题。
[0003]功耗分析是目前攻击者常用的攻击技术,数据中的1、0个数不同,其在传输过程中表现出的功耗特征也不同,攻击者通过采集芯片的若干功耗曲线,借助专业设备可获得在芯片内存储的用户密钥等敏感数据,从而可通过伪造交易等方法窃取用户资产。攻击对象包括如网上银行交易中所使用的USB Key等类似设备。
[0004]怎样解决上述基于功耗分析的攻击技术带来的安全性隐患,是亟待解决的技术问题。
【发明内容】
[0005]为解决现有存在的技术问题,本发明实施例期望提供一种数据保护方法和系统。
[0006]为实现上述发明目的,本发明实施例采用以下方式来实现:
[0007]本发明实施例提供了一种数据保护方法,所述方法包括:
[0008]随机映射加密电路将8比特明文数据加密得到10比特密文数据,所述加密得到的10比特密文数据用于通过存储介质存储或基于传输介质传输;
[0009]解密电路获得所述10比特密文数据,对所述10比特密文数据进行解密获得8比特明文数据;
[0010]其中,用于存储或传输密文数据的密文空间为536个10比特有效数据,所述密文空间内每个10比特密文数据中I的个数与O的个数之差的绝对值小于或等于2。
[0011]上述方案中,所述方法还包括:
[0012]校验电路获得所述10比特密文数据,在所述解密电路对所述10比特密文数据进行解密之前,所述校验电路校验所述10比特密文数据的合法性,并将校验结果提供给所述解密电路;其中,所述校验为:确定所述10比特密文数据是否在有效数据空间内,如在,则判定所述10比特密文数据合法,否则判定所述10比特密文数据不合法;
[0013]相应的,所述解密电路在所述校验电路提供的验证结果表征所述10比特密文数据合法时,才对所述10比特密文数据进行解密;在所述校验电路提供的验证结果表征所述10比特密文数据不合法时,不对所述10比特密文数据执行解密操作,并保持现有状态不变。
[0014]上述方案中,所述确定10比特密文数据是否在有效数据空间内,包括:
[0015]计算所述10比特密文数据中I的个数与O的个数之差的绝对值是否小于或等于2,如果小于或等于2,则确定所述10比特密文数据在有效数据空间内,否则确定所述10比特密文数据不在有效数据空间内。
[0016]上述方案中,所述方法还包括:所述校验电路将校验结果提供给系统寄存器,所述系统寄存器保存获得的所述校验结果,且所述寄存器软件只支持读操作,不支持写操作。
[0017]上述方案中,所述方法还包括:
[0018]在所述随机映射加密电路加密8比特明文数据之前,所述随机映射加密电路获得来自随机源的随机数,所述解密电路也获得来自所述随机源的相同随机数;所述随机映射加密电路的加密是采用获得的随机数为每一个比特明文数据随机选择一种映射加密方式;所述解密电路的解密也是采用获得的随机数为每一个10比特密文数据进行解密。
[0019]本发明实施例还提供了一种数据保护系统,所述系统包括:随机映射加密电路和解密电路;
[0020]所述随机映射加密电路,用于将8比特明文数据加密得到10比特密文数据,所述加密得到的10比特密文数据用于通过存储介质存储或基于传输介质传输;
[0021]所述解密电路,用于获得所述10比特密文数据,对所述10比特密文数据进行解密获得8比特明文数据;
[0022]其中,用于存储或传输密文数据的密文空间为536个10比特有效数据,所述密文空间内每个10比特密文数据中I的个数与O的个数之差的绝对值小于或等于2。
[0023]上述方案中,所述系统还包括:校验电路,用于获得所述10比特密文数据,在所述解密电路对所述10比特密文数据进行解密之前,所述校验电路校验所述10比特密文数据的合法性,并将校验结果提供给所述解密电路;其中,所述校验为:确定所述10比特密文数据是否在有效数据空间内,如在,则判定所述10比特密文数据合法,否则判定所述10比特密文数据不合法;
[0024]相应的,所述解密电路用于,在所述校验电路提供的验证结果表征所述10比特密文数据合法时,才对所述10比特密文数据进行解密;在所述校验电路提供的验证结果表征所述10比特密文数据不合法时,不对所述10比特密文数据执行解密操作,并保持现有状态不变。
[0025]上述方案中,所述校验电路进一步用于采用以下方式确定10比特密文数据是否在有效数据空间内:
[0026]计算所述10比特密文数据中I的个数与O的个数之差的绝对值是否小于或等于2,如果小于或等于2,则确定所述10比特密文数据在有效数据空间内,否则确定所述10比特密文数据不在有效数据空间内。
[0027]上述方案中,所述系统还包括系统寄存器;
[0028]所述校验电路还用于,将校验结果提供给系统寄存器;
[0029]所述系统寄存器用于,保存获得的所述校验结果,且所述寄存器软件只支持读操作,不支持写操作。
[0030]上述方案中,所述系统还包括随机源,用于向所述随机映射加密电路和解密电路提供随机数;
[0031]在所述随机映射加密电路加密8比特明文数据之前,所述随机映射加密电路获得来自随机源的随机数,所述解密电路也获得来自所述随机源的相同随机数;所述随机映射加密电路的加密是采用获得的随机数为每一个比特明文数据随机选择一种映射加密方式;所述解密电路的解密也是采用获得的随机数为每一个10比特密文数据进行解密。
[0032]本发明实施例提供的一种数据保护方法和系统,利用8B10B编解码原理实现Sbit明文数据与1bit加密数据间的加解密操作,使得1bit密文数据中I和O的个数基本相等,访问或传输不同数据所表现出的功耗特征基本一致,大大增加了攻击者利用功耗信息对敏感数据的攻击难度。本发明实施例在8B1B加解密的基础上引入随机数,明文和密文之间可随机映射,进一步增加了攻击难度,提高了数据的安全性。另外,本发明实施例具有校验机制,有效密文数据空间外的数据均被判定为非法数据,通过校验机制可有效检测数据是否受到攻击,并向系统发出报警信号。本发明实施例可实现数据加密和安全传输,保障了数据的安全性;且本发明实施例可用在安全芯片设计领域,具有很好的创新性、实用性和有效性。
【附图说明】
[0033]图1为本发明实施例的一种数据保护系统的结构示意图。
【具体实施方式】
[0034]下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
[0035]本发明实施例的核心思想为:利用8B10B编解码原理实现8bit明文数据与1bit加密数据间的加解密操作,使得1bit密文数据中I和O的个数基本相等,访问或传输不同数据所表现出的功耗特征基本一致,以此大大增加攻击者利用功耗信息对敏感数据的攻击难度。
[0036]其中,8B10B(B表示比特)编码是串行通信中常用的编码方法,将Sbit数据转换成串行传输用的1bit数据,保证了I和O的相对平衡组合,而与数值无关。编码后的数据中,如果O的个数比I的个数少2个或相等则称为RD-,O的个数比I的个数多2个或相等称为RD+,每一个8bit数据都对应RD-和RD+两种编码结果,如8,bOOOOOOOO对应10 ’ blOOl 110100(RD-)和10’b0110001011(RD+),8’b0100000(^tSl0’bl001110101(RD-WP10’b0110000101(RD+)。将8B10B编码I和O相对平衡的编码规则应用到数据加密中,传输方式由串行传输改为并行传输,可以有效抵御功耗分析攻击,提升芯片的安全性。
[0037]本发明实施例将8B10B编解码应用在数据加密中,如图1所示。根据8B10B编解码原理确定密文空间为536个1bit有效数据,该密文空间内每个1bit密文数据中I的个数与O的个数之差的绝对值小于或等于2。也就是说,基于8B10B编码规则在1024个1bit数据中选取I的个数与O的个数之差的绝对值小于或等于2的536个数据为合法密文数据,其余488个1bit数据均为非法数据。
[0038]图1所示的系统主要包括随机映射加密电路、解密电路、校验电路这三部分。随机映射加密电路将8bit明文数据加密得到1bit密文数据,用于存储或传输;解密电路将1bit密文数据解密得到Sbit明文数据;校验电路对经过存储或传输后的密文数据进行校验,确定收到的密文数据是否在有效数据空间内,以此判定密文数据是否被篡改,并输出报警信号error,由解密电路和系统进行相应处理;校验电路输出给系统的报警信号error保存在系统寄存器中,该寄存器只能读,不能改写。
[0039]按照本发明实施例提供的方法,随机映射加密电路将8bit明文映射到1