[发明专利]一种可抵御能量分析攻击的SM4方法

说明书

技术领域

本发明涉及信息安全芯片设计技术领域，尤其涉及一种可抵御能量分析攻击的SM4方法。

背景技术

上世纪九十年代，互联网与移动通信开始蓬勃发展，信息化的浪潮迅速席卷了人们的衣、食、住、行等各个方面。信息技术正以一种井喷式冲击力，革命性地改变了人类的生活方式和思维模式。例如，近些年来逐渐流行起来的网络购物，使人们足不出户就可以选购世界各地的商品；手机支付可以使人们通过手机支付平台完成小额快捷支付，享受随时随地的便利；2013年流行的微信红包，在拉近人与人距离的同时，也深刻地影响着传统的金融行业。

科技发展是一把双刃剑，高度信息化也不例外，给人们的生活带来巨大便利的同时，也带来了预想之外的安全隐患。例如，如果存储有个人密码信息的系统受到攻击，其带来的影响将是灾难性的。2011年9月，CSDN承认安全系统遭到黑客攻击，作为国内最大的开发者社区，CSDN的部分用户登录名及密码遭到泄漏；最具影响力的天涯社区论坛也发生了用户数据外泄，引发了严重的网络危机；2013年的斯诺登事件，使人们意识到脆弱的信息系统已经威胁到国防和军事的安全，信息安全不应该只停留在表面上，必须提高到国家战略的高度。

信息安全的重要性已经逐步凸现出来。加密作为信息安全中一个最为有力的武器，正在发挥着重要的作用。任何安全产品或者密码系统都必须面对一个如何防御攻击和窥测的问题，近些年来，出现了一种新的强有力的攻击方法，人们称之为旁路攻击(SCA)。旁路攻击就是利用密码芯片在运行过程中泄露的旁路信息，诸如功耗、时间、电磁波、以及差错信息等，利用上述信息对密码系统进行攻击和窥测。旁路攻击已成为信息安全芯片产品的巨大威胁，其危害远远大于传统的数学分析手段。

功耗攻击是旁路攻击的一种，利用密码芯片执行加密运算时消耗的功耗来对密钥进行攻击。芯片在处理不同运算的时候所消耗的功耗是不同的，即使处理同一条指令操作数不同功耗也是不一样的，因此对功耗进行分析，可以推算出密钥来。功耗攻击分为简单功耗分析攻击(SPA)和差分功耗分析攻击(DPA)，其中DPA攻击更有效，应用领域更广泛。

DPA攻击的原理是利用被攻击设备在加密过程中所实际消耗的功耗与加密算法中间值的相关性，从而得出密钥的一种攻击方法。根据输入的明文和猜测的密钥，加密算法的中间值总是可以计算的。因此对抗能量分析攻击方法的研究就变得非常地有必要。

功耗分析攻击实施的依据是密码芯片的能量消耗依赖于密码芯片所执行的密码算法的中间值。因此，如果试图抵御这种攻击，就要降低或者消除这种依赖性。随机掩码技术通过随机化密码芯片所处理的中间值来实现这个目标。随机掩码技术的优点是可以在算法级别上实现，并且无需改变密码芯片的能量消耗特性，也就是说，即使密码芯片的能量消耗具有数据依赖性，随机掩码技术也可以使密码芯片的能量消耗与所执行的密码算法的中间值之间无依赖关系。随机掩码技术是一种得到工程界广泛关注的防御措施。

对称算法的S盒替换操作需要消耗大量的能量，在能量分析攻击中，攻击中通过选择S盒的输出作为分析的点，因此在对称算法的硬件中，加解密引擎采用掩码措施是显得非常得有必要。

SM4密钥扩展的过程，同样需要执行32轮循环迭代过程，且SM4密钥扩展过程中，使用了S盒替换操作。S盒的替换操作，是对称密码算法硬件实现时最易受功耗分析攻击的一个薄弱环节。对密钥扩展的功耗分析攻击，通常采用模板攻击。假设攻击者获得了一个与待攻击设备完全一样的设备，同时拥有对该设备的完全控制权。攻击者首先建立该电路在已知各种密码下的功耗情况，建立密钥扩展过程中的模板，通过模板匹配来攻击待攻击设备的密钥。

SM4算法是我国官方公开发布的第一个商用密码算法。由于SM4密码算法的公布时间较晚，关于SM4密码算法的抗功耗分析攻击防御措施的研究较少，需要提供关于SM4算法的防攻击方法。

发明内容

本发明提供一种可抵御能量分析攻击的SM4方法，对SM4的加解密引擎采用二阶掩码实现，同时对于SM4算法的密钥扩展引擎采用一阶掩码实现，不仅可以抵御加解密过程中的高阶能量分析攻击，还可以抵御针对密钥扩展过程中的模板攻击，有效地提高了SM4算法硬件实现的安全性。

为了达到上述目的，本发明提供一种可抵御能量分析攻击的SM4方法，该方法采用一阶掩码密钥扩展引擎对输入的密钥执行密钥扩展运算，输出轮密钥给二阶掩码加解密引擎，二阶掩码加解密引擎对输入的明文和轮密钥执行32轮循环迭代运算后，输出密文，或者二阶掩码加解密引擎对输入的密文和轮密钥执行32轮循环迭代运算后，输出明文；