，本實施例中N = m+1。N及m分別表示SMS4算法的執(zhí)行次數(shù)及偽密鑰數(shù)量。
[0029]本實施例實現(xiàn)裝置包括:基于SMS4的輪函數(shù)生成模塊、I個真實密鑰存貯器、m個偽密鑰存儲器、密鑰存儲器隨機打亂電路、周期輪密鑰生成電路，其中:SMS4的輪函數(shù)與周期輪密鑰生成電路并傳輸、密鑰儲存器與密鑰隨機打亂電路相連并傳輸、密鑰隨機打亂電路與周期輪密鑰生成電路相連。
[0030]所述的基于SMS4的輪函數(shù)生成模塊為:即正常的SMS4輪函數(shù)。
[0031]所述的I個真實的密鑰存貯器為:4個32位的寄存器，以用來存儲128位的密鑰。
[0032]所述的m個偽密鑰存儲器為:m個32位的寄存器，以用來存儲m個32位的偽密鑰。
[0033]所述的輪密鑰存儲器隨機打亂電路為:把m個偽密鑰和真實密鑰的前32位放在一起然后利用密鑰存儲器隨機打亂電路進行隨機打亂，記錄下真實輪密鑰的位置。并依次把打亂后的32位和真實密鑰的后96位一起組成128位的密鑰傳遞給周期輪密鑰生成電路，生成輪密鑰。
[0034]依上所述，本實施例是指多次執(zhí)行(N次)SMS4算法，其中的密鑰可以是真實密鑰或偽密鑰替換真實密鑰的前32位，本實施例涉及上述裝置的工作過程如下:
[0035]1.首先需要保存m個偽密鑰，這些偽密鑰需要具有以下特點:偽密鑰對應的每個字節(jié)是不同的，這個用來保證在計算SMS4算法的第一輪時的針對某個S盒的輪密鑰是不一樣的。
[0036]2.每次加密開始，把m個偽密鑰和真實密鑰的前32位放在一起然后利用密鑰存儲器隨機打亂電路進行隨機打亂，記錄下真實輪密鑰的位置(即真實輪密鑰執(zhí)行的時刻)。
[0037]3.然后依次根據(jù)隨機打亂的32位密鑰及真實密鑰的后96位輸送給周期輪密鑰生成電路，開始執(zhí)行N次SMS4算法，其中真實的結果保存在Rl中，偽操作保存在R2中。
[0038]在執(zhí)行輪函數(shù)前都要執(zhí)行一次周期輪密鑰生成電路生成本輪輪密鑰。
[0039]4.最后取Rl中的結果作為密文。
實施例2
[0040]如圖3所示，本實施例中N>m。N及m分別表示SMS4算法的執(zhí)行次數(shù)及偽密鑰數(shù)量。
[0041]本實施例實現(xiàn)裝置包括:基于SMS4的輪函數(shù)生成模塊、(m+1)個密鑰存貯器、周期輪密鑰生成電路、輪密鑰隨機選取電路，其中:SMS4的輪函數(shù)模塊與周期輪密鑰生成電路相連并傳輸，周期輪函數(shù)生成模塊與密鑰儲存器相連并傳輸、偽密鑰儲存器與周期密鑰隨機選取電路相連并傳輸。
[0042]所述的密鑰隨機選取電路為:先定位真實密鑰執(zhí)行SMS4算法的時刻，而其它的偽密鑰的選擇是從可選偽密鑰中隨機可重復選取，并取真實密鑰的后96位一起組合128位密鑰傳輸給周期輪密鑰生成模塊。
[0043]本實施例與實施例1的區(qū)別在于對密鑰的選擇方法上不同。本實施例選擇密鑰的方式是先定位真實輪密鑰對應的執(zhí)行SMS4算法的時刻，而其它使用偽密鑰的SMS4執(zhí)行的密鑰的選擇是從可選偽密鑰中隨機可重復選取。
實施例3
[0044]實施例3是軟件調用方式，其密鑰的選取方式與實施例1相同。
[0045]實施例3的應用場景是硬件實施已經不能更改，通過軟件調用方式實施與實施例1同樣效果的旁路攻擊防護方案。
實施例4
[0046]實施例4是軟件調用方式，其密鑰的選取方式與實施例2相同。
[0047]實施例4的應用場景是硬件實施已經不能更改，通過軟件調用方式實施與實施例2同樣效果的旁路攻擊防護方案。
效果分析
[0048]SMS4全算法偽操旁路攻擊作防護方案抵抗DPA攻擊的說明:
[0049]對于硬件實現(xiàn)的SMS4來說，由于密鑰混淆的存在，每一輪的寄存器中的中間值和32位輪密鑰都有關系。若要進行普通的DPA攻擊，必須同時猜測32位輪密鑰，在目前的攻擊條件下尚不能達到，故目前針對此種硬件實現(xiàn)的SMS4的旁路攻擊，已知的DPA方法都是采用選擇明文的方式的。
[0050]采用選擇明文方式的DPA攻擊方法只能夠從第一輪開始攻擊SMS4的實現(xiàn)。上述實施例采用了偽操作的方法，使得當攻擊者在攻擊第一輪的時候，對于實施例1，從理論上來說，得到真實密鑰與偽密鑰的概率是一樣的。因此，無法區(qū)別真實的操作和偽操作，做到了真實密鑰與偽密鑰充分混淆。另外，當偽操作的個數(shù)(即安全參數(shù))等于255 (最大)的時候，此時攻擊者完全無法從DPA攻擊中獲得任何密鑰信息，從而從理論和實際上抵御了針對SMS4硬件實現(xiàn)的DPA。對于實施例2，也可以讓m = N - 1，此時，從概率上來講與實施例I相同，只是在實現(xiàn)方式上有所差異。但也可以調節(jié)m，使得m〈N- 1，此時得到偽輪密鑰的概率反而要大于真實密鑰的概率，給攻擊造成假象。
[0051]方案中隱含的另外一個防護方案是隨機插入偽操作。由于真實輪密鑰的使用位置是隨機的，因此，相當于使用了隨機插入偽操作防護措施。隨機插入偽操作將導致真實的操作無法實現(xiàn)對齊。在本實施例中，只要真實操作執(zhí)行的位置是符合隨機均勻分布的，那么，真實操作在那個時刻的可能只有1/N。這將大大降低旁路攻擊的信噪比。
[0052]防護方案另外一個優(yōu)點是，對于某些已知流片成型而未加旁路攻擊防護的芯片，可以使用這種方法來實現(xiàn)防護，因為些種防護措施不需要修改硬件，只需要多次調用SMS4算法的加密過程，并使用不同的密鑰即可。
【主權項】
1.一種基于全加密算法偽操作的旁路攻擊防護方法，其特征在于，以m個偽密鑰和I個真實密鑰組成密鑰序列進行多次的SMS4加密計算，并將真實密鑰參與的SMS4加密計算結果得到所需密文。
2.根據(jù)權利要求1所述的方法，其特征是，所述的密鑰序列通過密鑰隨機選取機構或通過密鑰存儲器隨機打亂機構從密鑰存儲器中選擇得到。
3.根據(jù)權利要求1或2所述的方法，其特征是，所述的密鑰序列具體通過以下任意一種方式得到: ①生成m個偽密鑰和一個真實輪密鑰，然后利用密鑰存儲器隨機打亂電路進行隨機打亂，并記錄下真實密鑰的位置，或 ②確定真實密鑰執(zhí)行的序號k，而密鑰序列中其它m個偽密鑰通過密鑰隨機選取電路從密鑰存儲器中選擇得到，或 ③生成m個偽密鑰和一個真實輪密鑰，然后利用軟件實現(xiàn)方式隨機打亂其順序，并記錄下真實密鑰的位置，或 ④確定真實密鑰執(zhí)行的序號k，而密鑰序列中其它m個偽密鑰通過軟件實現(xiàn)的隨機選取方式從密鑰存儲器中選擇得到。
4.根據(jù)權利要求1所述的方法，其特征是，所述的SMS4加密計算是指:將待加密的明文與密鑰序列通過周期輪密鑰生成模塊生成的輪密鑰依次進行輪函數(shù)迭代計算，并取真實密鑰執(zhí)行的結果作為密文輸出。
5.根據(jù)權利要求1所述的方法，其特征是，所述的SMS4加密計算是指將待加密的明文與密鑰序列傳輸給硬件密碼電路，并取真實密鑰執(zhí)行的結果作為密文輸出。
6.一種實現(xiàn)上述任一權利要求所述方法的系統(tǒng)，其特征在于，包括:SMS4周期輪函數(shù)電路模塊、密鑰選擇電路模塊、(m+1)個輪密鑰寄存器、SMS4的輪密鑰生成電路模塊，其中:(m+1)個密鑰存貯器與密鑰選擇電路相連并傳輸真假輪密鑰，SMS4的輪密鑰生成電路與SMS4的輪函數(shù)電路模塊和(m+1)個密鑰存貯器相連并傳輸真假密鑰。
7.—種實現(xiàn)上述任一權利要求所述方法的系統(tǒng)，軟件調用實現(xiàn)的特征在于，包括:SMS4算法電路模塊、密鑰選擇電路模塊、(m+1)個輪密鑰寄存器，其中:(m+l)個密鑰存貯器與密鑰選擇電路相連并傳輸真假輪密鑰，SMS4算法電路模塊和(m+1)個密鑰存貯器相連并傳輸真假密鑰。
【專利摘要】一種計算機安全技術領域的基于全加密算法偽操作的旁路攻擊防護方法，以m個偽密鑰和1個真實密鑰組成密鑰序列進行多次的SMS4加密計算，并將真實密鑰參與的SMS4加密計算結果得到所需密文。本發(fā)明生成的真實運算的位置隨機，使攻擊者無法對齊功耗曲線，從而無法實現(xiàn)攻擊。另外，偽密鑰的使用可以對旁路攻擊產生干擾作用，使得旁路攻擊失效。此方案分為全硬件實現(xiàn)及軟件調用方式實現(xiàn)，對于軟件調用方式實現(xiàn)方式可以對硬件無法修改且沒有旁路攻擊防護的密碼電路實施防護。
【IPC分類】H04L9-08, H04L9-06
【公開號】CN104734845
【申請?zhí)枴緾N201510133523
【發(fā)明人】陸海寧, 劉軍榮, 陳佳超, 包斯剛, 季欣華, 李大為, 羅鵬, 李國友
【申請人】上海交通大學, 上海華虹集成電路有限責任公司, 國家密碼管理局商用密碼檢測中心
【公開日】2015年6月24日
【申請日】2015年3月25日