[发明专利]随机插入伪轮运算对的抗功耗攻击方法

说明书

技术领域

本发明主要应用于高安全应用领域的智能卡中，也可以适用于各种需要防御对AES进行功耗攻击的安全芯片中。

背景技术

美国国家标准局(NIST，National Institute of Standards and Technology)经过三次候选算法大会于2001年11月26日采纳AES为一个标准，并在2001年12月4日的联邦记录中作为FIPS197公布。AES算法采用对称分组体制，密钥长度可以为128位、192位或者256位，共有四种基本变换。输入明文以后，与密钥经过若干轮变换，最终输出密文。AES加密芯片也就是能够对数据进行AES算法加密的芯片，该芯片经常被应用在智能卡中，作为智能卡内的数据加密模块，对接收到的数据进行加密，使智能卡能够与读卡器进行保密性的数据交互。

智能卡(SmartCard)，也叫IC卡，是一个使用集成电路工艺制造的带有微处理芯片的、具有标准规格的卡片。智能卡需要在芯片内部实现密码算法的运算以保证芯片内数据的安全。在众多的加密算法中，AES是比较常用的一个。

1999年Kocher提出了差分功耗攻击方法，之后业界对功耗攻击方法进行了深入研究。功耗攻击的基本原理是，密码设备的瞬态功耗与其运算的中间数据相关，而中间数据又与密钥相关。因此，通过分析密码设备的瞬态功耗，可以获得密钥信息，从而达到完全破解密钥的目的。功耗攻击可以绕过破解密码算法的数学难题，不需要破坏智能卡，是一种经济有效的攻击方式。功耗攻击可以分为三大类：简单功耗攻击、差分功耗攻击和相关功耗攻击。

本发明用随机插入伪轮运算对的方法设计了硬件AES电路，可以有效地防御对AES实施功耗攻击。

发明内容

本发明的内容在于实现了一种利用随机插入伪轮运算对抗功耗攻击方法。数字电路是由若干个相同的逻辑门组成，每个逻辑门的功耗包括静态功耗和动态功耗两部分。逻辑门的静态功耗相对较小，动态功耗占逻辑门总功耗的主要部分。动态功耗主要由逻辑门信号的翻转产生，当信号由“0”变化到“1”，或者由“1”变化到“0”，即为翻转，逻辑门就会产生功耗。但维持“0”或者“1”不变，即没有翻转，不产生功耗。因此，电路运行时产生的功耗与内部运行数据存在相关性，功耗攻击就是利用了这个原理。

根据功耗攻击的特点，如果功耗与数据之间的相关性被破坏，该攻击方法便不会起作用。随机插入伪轮运算对即可实现这一点。

本发明利用随机插入伪轮运算对的方法，在128位明文和密钥的AES硬件电路中插入与数据运行无关的伪轮运算对，并通过随机数控制器来控制插入伪轮运算对的数量。随机数控制器的每一比特，代表插入伪轮运算对的位置和数量。从而实现了电路运行功耗与数据之间的相互独立。

经过伪轮运算对的数据，数值不变。伪轮运算对的插入点在AES轮运算的各个模块之间，随机数的每一比特，代表插入伪轮运算对的位置和数量，随机数某一位为“0”时，表示在该位置插入一个伪轮运算对；某一位为“1”时，表示在该位置插入两个伪轮运算对。在AES加密过程中，随机地在AES轮运算的各个模块之间插入伪轮运算对。

伪轮运算对包含一个正向加密伪轮运算和另一个逆向解密伪轮运算，正向加密伪轮运算与AES轮运算执行相同操作，是一个加密的过程，逆向解密伪轮运算是对正向加密伪轮运算所加密数据的解密过程。每一个AES轮运算都包含加轮密钥操作、字节替换操作、行移位操作和列混合操作。每一个逆向解密轮运算都包含逆列混合操作、逆行移位操作、逆字节替换操作和加轮密钥操作。伪轮运算对的轮密钥为固定值，与输入的明文和密钥均无关，且正向加密轮运算和逆向解密轮运算的轮密钥相同，轮顺序相反。

现有的AES硬件电路设计，对防御功耗攻击的效果并不显著。使用本发明所公开的方法后，不管输入什么样的明文和密钥，功耗和数据都无规律可循，彻底破坏了电路运行功耗与内部数据的相关性。攻击者无法利用功耗信息来破译密钥，实现了智能卡加密运算过程的安全。

附图说明

图1随机插入伪轮运算对的AES总体结构图

图2AES结构图

图3AES轮变换电路结构图

图4伪轮运算对结构图

图5随机插入伪轮运算对结构图

具体实施方式