[发明专利]KLEIN加密AVR环境下抗timing和cache边信道攻击的快速保护方法

说明书

技术领域

本发明涉及密码算法的技术领域，特别涉及一种KLEIN加密AVR环境下抗timing和cache边信道攻击的快速保护方法。

背景技术

随着物联网（Internet of Things）应用的不断发展，相关信息安全问题也得到了越来越多的重视。轻量级密码学算法，特别是轻量级分组密码算法，由于可以在低功耗环境下保证数据的机密性和完整性，在物联网安全中起着非常重要的作用。由于密码学算法分析与设计技术的成熟，采用传统密码学分析方法对于相关应用的实际威胁往往较小，但攻击者可以通过能量、时间或存储上所产生的边界信道信息进行攻击，在实际中往往更加具有威胁性。

爱特梅尔（ATMEL）公司设计并制造的AVR系列微处理器具有低功耗、成本低、开发环境友善等优点，在物联网领域得到了广泛的应用。在RFIDSec2011会议上，Gong等人提出了一种新的面向软件实现的轻量级分组密码算法KLEIN（在荷兰语中表示“mini”的意思）。如图1所示，KLEIN算法基于Substitution-Permutation Network结构加以设计，分组长度固定为64比特。算法密钥长度可选择64、80和96比特，但需要不同迭代轮数为12、16和20轮，对应名称为KLEIN-64/80/96。为了达到受限环境下软件实现的高效性，KLEIN算法尽可能的采用了面向字节的处理模式。在算法的非线性模块上，KLEIN采用了具有自反性质的4比特S盒，使得算法仅需要付出一个S盒的代价来实现加解密运算。在扩散模块上，KLEIN将AES的MixColumns函数变形为算法中的MixNibbles函数，同时与面向字节的循环左移函数RotateNibbles相结合。这种设计思路既保证了KLEIN算法的软硬件效率，又继承了MixColumns函数最大距离码（MDS）特性。在密钥调度模块上，KLEIN选择了比较复杂的处理方法，从而保证基于KLEIN的哈希函数也具有较高的安全性。通过典型传感器硬件平台TelosB和IRIS上大量的实验数据分析，KLEIN算法在软件实现上比现有轻量级分组密码算法具有一定的优势。在硬件开销上，

Synopsis软件综合输出结果表明三种密钥长度的KLEIN算法的硬件实现开销都低于1530个门电路。上述结果表明KLEIN算法在软硬件实现上均适用于WSN或RFID。在嵌入式密码算法实现上，攻击者往往采用边界信道的方式对密码算法所使用的密钥进行恢复攻击。算法在不同密钥下的时间、cache存储特征等边界信道都已在实际中证明能够被攻击者所利用。对于KLEIN分组密码算法而言，如果要在实际环境中加以使用，那么抵抗Timing和Cache边界信道攻击是必须考虑的安全因素。

Bitslicing实现技术最初用于DES分组加密算法的抗边界信道保护。在bitslicing实现中，每一个输入分组都将基于比特的方式来进行计算操作。由于每一个比特的处理均由相同的处理步骤得到最终输出，算法实现在抵抗Timing和Cache边界信道攻击上具有非常好的安全性。虽然在安全性上得到提高，但由于bitslicing技术将以往基于分组的计算操作转变为基于比特，在软件实现上将会大大增加计算复杂度。因此往往只用于高性能并行化设备上的分组密码算法抗边界信道攻击实现。由于物联网设备价格低廉，设备的计算与存储开销均受限制，如何在相应的低功耗设备上给出分组密码算法的抗Timing或Cache边界信道攻击实现，在当前学术界与工业界仍是热点研究问题。在已公开发表文献和专利中，尚未有针对KLEIN的抗Timing或Cache边界信道攻击实现。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种针对KLEIN加密算法的AVR环境下高速抗timing和cache的保护方法。

本发明的目的通过下述技术方案实现：

KLEIN加密AVR环境下抗timing和cache边信道攻击的快速保护方法，包括下述步骤：

S1、4比特S盒Bitslicing方法：KLEIN的4比特置换盒是算法唯一的非线性处理步骤，用于将待加密数据转换为比特格式，与轮密钥逐比特异或后按照每4比特作为一个分组输入KLEIN所选用的4比特S盒，该S盒的Bitslicing操作首先通过代数标准型转换，将输入4比特转换为输出4比特的布尔运算方程组，故转换为4个布尔函数的形式；

S2、RotateNibbles步骤法：将S1步骤输出的比特值再按照字节分组，合计8个字节，循环左移两个字节，再输出到下一步；由于该步骤基于字节进行运算，并且与数据比特值完全无关，因此不需要进行Bitslicing操作；