一种抵御能量分析攻击的对称算法硬件实现结构的制作方法

一种抵御能量分析攻击的对称算法硬件实现结构的制作方法
【技术领域】
[0001] 本发明属于信息安全芯片设计技术领域，具体为一种基于随机噪声互补型S盒的 抵御能量分析攻击的对称算法硬件实现结构，广泛应用于高度安全性的加密运算设备。
【背景技术】
[0002] 随着网络的不断普及，社会信息化程度的日益提高，信息安全的重要性已经逐步 凸现出来。加密作为信息安全中一个最为有力的武器，正在发挥着重要的作用。对称算法以 基加密速度快，易于实现，经历了长期的考验。
[0003] 任何安全产品或者密码系统都必须面对一个如何防御攻击和窥测的问题，近些年 来，出现了一种新的强有力的攻击方法，人们称之为旁路攻击(SCA)。旁路攻击就是利用密 码芯片在运行过程中泄露的旁路信息，诸如功耗、时间、电磁波、以及差错信息等，利用上述 信息对密码系统进行攻击和窥测。旁路攻击已成为信息安全芯片产品的巨大威胁，其危害 远远大于传统的数学分析手段。
[0004] 功耗攻击是旁路攻击的一种，利用密码芯片执行加密运算时消耗的功耗来对密钥 进行攻击。芯片在处理不同运算的时候所消耗的功耗是不同的，即使处理同一条指令操作 数不同功耗也是不一样的，因此对功耗进行分析，可以推算出密钥来。功耗攻击分为简单功 耗分析攻击(SPA)和差分功耗分析攻击(DPA)，其中DPA攻击更有效，应用领域更广泛。
[0005] DPA攻击的原理是利用被攻击设备在加密过程中所实际消耗的功耗与加密算法中 间值的相关性，从而得出密钥的一种攻击方法。根据输入的明文和猜测的密钥，加密算法的 中间值总是可以计算的。因此对抗能量分析攻击方法的研究就变得非常地有必要。
[0006] Kris Tiri在2004年首次提出了抗能量分析攻击的WDDL(波动动态差分逻辑)技 术，参见K. Tiri and I. Verbauwhede，"一个抵抗DPA的安全ASIC或FPGA实现的逻辑层设 计方法"（〃A logic level design methodology for a secure DPA resistant ASIC or FPGA implementation")，设计、自动化及测试的欧洲会议及展览（Design, Automation and Test in Europe Conference and Exhibition)，2004· Proceedings, 2004, pp. 246-251 Vol.l。该技术将两个互补型的逻辑门组成一个复合型的逻辑门，来达到能量消耗 的平衡。WDDL技术由于从产生能量不平衡的根源出发，采用互补性逻辑门代替普通单个的 逻辑门，可以从根源上抵御能量分析攻击。因此它是一种通用的抵制能量分析攻击的方法， 不需要考虑具体的算法。但是，WDDL电路在设计上存在许多难点，以至于WDDL仅仅停留在理 论上，而没有大规模地应用到芯片量产。采用WDDL电路，后端的布局布线必须使用手工完 成，这将会耗费大量的时间和精力。没有成熟的EDA软件的支持，是WDDL电路不能大规模量 产的一个重要的原因。

【发明内容】

[0007] 本发明提供一种抵御能量分析攻击的对称算法硬件实现结构，采用纯数字电路的 实现方法，在RTL(寄存器传输级）级上通过构造互补型S盒同时引入随机噪声，来达到抵御 能量分析攻击的目标。互补型S盒可以起到类似WDDL电路的效果，但有效克服WDDL电路存在 的问题，随机噪声的引入可以解决数字电路组合逻辑门不同路径的传输延迟效应。
[0008] 为了到达上述目的，本发明的技术方案是提供一种抵御能量分析攻击的对称算法 硬件实现结构，其中包含： 对称算法的原S盒S-Box，和对称算法的互补型S盒C-S-Box; 其中，所述原S盒S-Box与互补型S盒C-S-Box，总是有相同的输入信号X; 并且，所述原S盒S-Box与互补型S盒C-S-Box，总是有完全相反的输出，使下式成立：
其中，S-Box(X)为原S盒S-Box的输出，作为轮寄存器的输入； C-S-Box(X)为互补型S盒C-S-Box的输出，作为互补型轮寄存器的输入。
[0009] 优选地，所述对称算法硬件实现结构中还包含噪声电路，用来消弱所述原S盒S-Box与互补型S盒C-S-Box输出的传输延迟效应。
[0010] 优选地，所述原S盒S-Box与互补型S盒C-S-Box均使用在一个周期内给出输出的组 合电路。
[0011] 优选地，所述噪声电路的开关信号是输入信号X与一个8位随机数异或的结果。
[0012] 优选地，所述原S盒S-Box的输出与所述互补型S盒C-S-Box的输出，对应作为两组 相同的寄存器组的输入。
[0013] 与现有技术相比，本发明具有以下有益效果： 首先，S-Box与C-S-Box的输出完全互补，不仅可以保证每轮的中间变量汉明比重一样， 而且可以保证任意两轮之间的中间变量汉明距离总是为〇。
[0014] 其次，随机噪声的引入可以解决数字电路组合逻辑门不同路径的传输延迟效应。
[0015] 再次，本发明是在RTL级别上实施的抵御能量分析攻击的方法，便于实现，无需定 制互补型逻辑门逻辑。再者，由于是RTL级别上的方法，对于后端的布线布局没有影响，无需 考虑负载平衡、导线互连等物理问题。
【附图说明】
[0016] 图1是本发明抵御能量分析攻击的对称算法硬件实现结构的示意图； 图2是本发明中噪声电路的示意图。
【具体实施方式】
[0017] 下面结合实施例和附图对本发明做详细的说明，本实施例在以本发明技术方案为 前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于 下述的实施例。
[0018] 如图1所示，本发明所述抵御能量分析攻击的对称算法硬件实现结构中，采用一种 与对称算法S盒完全互补的S盒。在本发明中将对称算法原S盒记为S-Box，将本发明中构造 的互补型S盒称为C-S-Box。S-Box与C-S-Box相当于WDLL逻辑中两个相互补偿的单元。
[0019] 在对称算法的实现方案中，S-Box与C-S-Box总是有相同的输入，记为XJ-Box与C-S-Box总是有相反的输出，分别记为S-B 〇X(X)、C-S-B〇x(X)，作为两组相同的寄存器组的输 入。
[0020]在本发明中，在任何时候总有下面的关系成立：
(1) 通过公式（1)可以看出，本发明采用的互补型S盒设计可以保证整个算法引擎的关键部 分S盒的输出在任何时刻的汉明比重与汉明距离相同，可以有效地起到抵御能量分析攻击 的目的。
[00211 S-Box与C-S-Box的输出一般通过查表或公式计算的办法得来的，组合电路从输入 到输出不同路径之间的延迟是不同的，也就是说S-Box与C-S-Box有可能存在一段时间不互 补的情况。比如S-Box输出为0x00时，C-S-Box的输出可能还没有稳定，可能不是OxFF，那么 就会存在很短的时间内，S-Box与C-S-Box的输出不互补。为了解决这一问题，本发明中通过 引入随机噪声，起到很强的干扰作用，用于消弱传输延迟效应。
[0022] 为此，本发明所述基于随机噪声互补型S盒抵御能量分析攻击的对称算法硬件的 实现结构中，包含以下电路： 电路1:对称算法原S盒，即S-Box，S-Box的输出作为轮寄存器的输入，记为Reg; 电路2:对称算法互补型S盒，即C-S-Box，C-S-Box的输出作为互补型轮寄存器的输入， 记为Reg。
[0023] 电路3:噪声电路。
[0024] 其中，对称算法原S盒S-Box与互补型S盒C-S-Box，总是有相同的输入X。并且，S-Box与C-S-Box总是有完全相反的输出，即总有下面的公式成立：
其中，S-Box与C-S-Box采用组合电路设计，均在一个周期内给出输出。
[0025]如图2所示，所述的噪声电路，将S盒的输入数据X与一个8位随机数异或的结果，作 为噪声电路的开关信号。
[0026] 综上所述，本发明基于随机噪声互补型S盒的抵御能量分析攻击的对称算法硬件 的实现方案中，S-Box与C-S-Box互补性的存在，保证了每轮S盒输出的汉明比重与汉明距离 相同，从而起到能量的动态平衡。同时随机噪声源的引入，解决了组合电路的传输延迟效 应。
[0027] 尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的 描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的 多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。
【主权项】
1. 一种抵御能量分析攻击的对称算法硬件实现结构，其特征在于，包含： 对称算法的原S盒S-Box，和对称算法的互补型S盒C-S-Box; 其中，所述原S盒S-Box与互补型S盒C-S-Box，总是有相同的输入信号X; 并且，所述原S盒S-Box与互补型S盒C-S-Box，总是有完全相反的输出，使下式成立：其中，S-Box(X)为原S盒S-Box的输出，作为轮寄存器的输入； C-S-Box(X)为互补型S盒C-S-Box的输出，作为互补型轮寄存器的输入。2. 如权利要求1所述的对称算法硬件实现结构，其特征在于， 所述对称算法硬件实现结构中还包含噪声电路，用来消弱所述原S盒S-Box与互补型S 盒C-S-Box输出的传输延迟效应。3. 如权利要求1或2所述的对称算法硬件实现结构，其特征在于， 所述原S盒S-Box与互补型S盒C-S-Box均使用在一个周期内给出输出的组合电路。4. 如权利要求2所述的对称算法硬件实现结构，其特征在于， 所述噪声电路的开关信号是输入信号X与一个8位随机数异或的结果。5. 如权利要求1或2所述的对称算法硬件实现结构，其特征在于， 所述原S盒S-Box的输出与所述互补型S盒C-S-Box的输出，对应作为两组相同的寄存器 组的输入。
【专利摘要】本发明涉及一种抵御能量分析攻击的对称算法硬件实现结构，包含对称算法的原S盒S-Box，对称算法的互补型S盒C-S-Box，和消弱输出传输延迟效应的噪声电路。S-Box与C-S-Box相当于WDLL逻辑中两个相互补偿的单元，总是有相同的输入X，和相反的输出作为两组相同的寄存器组的输入。本发明中S-Box与C-S-Box互补性的存在，保证了每轮S盒输出的汉明比重与汉明距离相同，从而起到能量的动态平衡。同时，随机噪声源的引入，解决了组合电路的传输延迟效应，达到抵御能量分析攻击的目标。
【IPC分类】H04L29/06, H04L9/00
【公开号】CN105530084
【申请号】CN201510969289
【发明人】朱念好, 周玉洁, 王大永
【申请人】上海爱信诺航芯电子科技有限公司
【公开日】2016年4月27日
【申请日】2015年12月22日