[发明专利]密码运算处理电路

说明书

技术领域

本发明涉及密码运算处理电路，更详细地说是涉及具有防止密钥等隐匿数据的分析的手段的密码运算处理电路。

背景技术

近来，随着使用IC卡或带有IC卡功能的携带式电话机等进行电子交易或自动检票等的发展，IC卡等的安全保证成为重要问题。

但是，已经发现了通过观测和分析IC卡进行密码运算处理期间的消耗功率(消耗电流)来分析IC卡内部的密钥或密码运算处理内容的方法。作为代表性的分析手段，有将消耗电流的变化用于直接分析的方法即简单功率分析(Simple Power Analysis；SPA)或通过对观测数据进行统计处理来推断机密密钥的方法即功率差分分析(Differential Power Analysis；DPA)等。

作为现有的简单功率分析对策，已知在通常处理期间插入用于使密码运算处理步骤的定时改变的虚拟处理的手法、或使动作(工作)时钟周期改变从而使消耗电流在时间轴上改变的手法。这些手法，每次都使密码运算处理的步骤或定时改变、并使从时间轴看去时的消耗电流波形改变，因此，使在时间轴上对电流波形进行比较的这种数据依存性的分析实际上变得不可能，从而实现了机密保护(参照专利文献1)。

作为现有的功率差分分析对策，已知由噪声生成电路将噪声电流重叠在通常处理的消耗电流上的手法。在这种手法中，即使反复进行多次相同的运算，电流波形也不相同，因此使差分分析很难进行，从而实现了机密保护(参照专利文献2)。

专利文献1：日本特开2000—259799号公报

专利文献2：日本特开2005—252705号公报

发明内容

作为简单功率分析对策，当过多地追加用于使密码运算处理步骤的定时改变的虚拟处理时，则存在着直到密码运算执行结束为止的时间延长、密码运算处理的性能显著降低的问题。相反，在用于使密码运算处理步骤的定时改变的虚拟处理较少时，密码运算处理的性能降低较小，但存在着很容易在外部读取由通常密码处理引起的电流波形变化这样的问题。

作为简单功率分析对策，对于使动作时钟周期改变从而使消耗电流在时间轴上改变的手法，存在着易于从外部观测时钟周期等信息并可通过数字信号处理将所观测到的电流波形作为一定的时钟周期的电流波形进行修复分析这样的问题。

作为功率差分分析对策，对于由噪声生成电路将噪声电流重叠在通常处理的消耗电流上的手法，可利用近来的作为LSI分析技术的液晶分析、发光分析等在LSI内部确定消耗了电流的物理位置。按照液晶分析，可将特定部位的电流变化作为液晶的透射率变化进行观测，因而存在着可进行电流分析的问题。

为解决上述课题，本发明的密码运算处理电路的特征在于，包括存储密码运算用数据的存储器；用于对该密码运算用数据进行运算的运算器；用于暂时存储对该运算器的输入输出数据的寄存器；接收密码运算指令并为了对密码运算用数据进行密码处理而对存储器、运算器和寄存器进行控制的密码控制电路；接收用于指示密码运算指令的执行已结束的运算完成信号并对密码控制电路发出用于使存储器、运算器和寄存器动作的伪运算指令的伪运算指令电路。

本发明的密码运算处理电路，在来自CPU等的密码运算指令的执行结束后，由伪运算指令电路发出使如果是通常则停止着的存储器、运算器和寄存器动作的伪运算指令，从而使存储器、运算器或寄存器以与密码运算指令相同的指令进行动作并消耗电流，因此，很难用消耗电流的大小等确定密码运算处理的结束或开始等的定时，因而保密性提高。进而，伪运算指令始终只在没有发送来自CPU等的密码运算指令的期间发出，因此决不会使来自CPU等的密码运算指令的发送延迟，因此不会使密码运算处理的性能降低。

附图说明

图1是表示本发明的密码运算处理电路的结构例的框图。

图2是表示图1的密码运算处理电路的动作的时序图。

图3是表示图1的密码运算处理电路中没有伪运算指令电路时的动作的时序图。

图4是表示图1中的伪运算指令电路的详细结构例的框图。

图5是表示图4中的密码运算指令存储电路的存储内容的例子的图。

图6是表示图1中的密码控制电路的详细结构例的框图。

图7是表示具有图6的密码控制电路的密码运算处理电路的动作的时序图。

图8是表示具有图6的密码控制电路的密码运算处理电路的动作的另一个时序图。

图9是表示具有图6的密码控制电路的密码运算处理电路的动作的又一个时序图。

图10是表示具有图6的密码控制电路的密码运算处理电路的动作的其他的时序图。