[发明专利]智能卡中安全的随机数产生方法

说明书

技术领域

本发明涉及信息加密领域，特别是涉及一种智能卡中安全的随机数产生方法。

背景技术

密码算法是智能卡安全防护的核心组件，随机数对多种密码算法(例如RSA、DES、AES算法)都起着关键性作用。高质量的随机数拥有良好的随机性，且难以预测，对于整个密码系统起着重要作用。传统的基于密码算法的随机数生成算法虽然是密码学安全意义上的随机数生成算法，但在实际应用中，传统的随机数生成算法容易遭受包括功耗分析在内的多种方法的攻击。

在智能卡的密码应用中，随机数可以用在身份认证、产生私钥或者直接作为私钥来使用。如果生成这些参数的随机数生成器被破解，那么整个密码系统的安全性就没有任何保障。传统的随机数生算法使用密码算法来保障算法的安全性，基于密码运算的困难性可以实现多种高度安全的随机数产生器。在美国的ANSIX9.17标准中，提出了基于3DES运算破解困难的随机数生成算法。但是在智能卡的实际应用中，ANSIX9.17标准中的随机数生成算法(参见图1)难以抵抗多种破解和攻击手段。

对于图1所示的ANSIX9.17标准，其输出Ri即系统产生的随机数，是公开数据，同时Ri也是3DES加密算法的输出结果，对于功耗分析而言，只要知道了算法的输入或者输出，就能穷举子密钥并计算中间值来展开攻击，并通过大量采集密码运行时的功耗通过统计分析出其运算密钥K1、K2，从而破解整个ANSIX9.17标准的系统。

图1中，输入：EDE＝3DES(K1，K2)；(K1，K2)＝3DES密钥(8bytes×2)；V_i＝第i轮种子(8bytes)；DT_i＝第i轮时间信息(8bytes)。

输出：V_i+1＝第(i+1)轮种子(8bytes)；R_i＝第i轮输出随机数(8bytes)。

发明内容

本发明要解决的技术问题是提供一种智能卡中安全的随机数产生方法。可以有效地防止随机数被预测或者攻击，从而提高算法的安全强度。

为解决上述技术问题，本发明的智能卡中安全的随机数产生方法，包括如下步骤：

步骤1，使用随机信息作为初始化的种子V₀和密钥K；

步骤2，使用密钥为K的对称加密算法模块EDE对当前随机信息DT_i和种子V_i执行相关密码运算，获取结果R_i；

步骤3，使用单向函数Fun()对步骤2获取的数据R_i进行单向运算，并获得第i轮产生的随机数Q_i；

步骤4，使用密钥为K的对称加密算法模块EDE对当前随机信息DT_i和步骤2获取的数据R_i执行相关密码运算获取第(i+1)轮运算所需的新种子V_i+1；

步骤5，返回步骤2进行下一轮运算，直到获取所需长度的随机数{Q₀，Q₁...Q_n}；其中，i∈[0，n]。

本发明需要隐藏初始化种子V₀、密钥K以及密码运算的中间数据R_i。对密码运算的中间数据R_i需要使用单向函数进行额外运算。根据实际需求使用合适的单向函数Fun()和对称加密算法模块EDE。利用芯片内部参数信息产生初始化种子V₀、密钥K、以及每轮运算所需的内部参数DT_i。本发明通过增加单向函数运算可以有效地提高抗攻击能力、增加算法的安全强度。

根据之前的叙述，原本的ANSIX9.17标准会遭到功耗攻击的关键原因就在于其运算的输出对攻击而言是已知的，而在添加了单向函数Fun()之后，由于单向函数的不可逆推性，根据输出随机数Qi无法反推出3DES的加密结果Ri，即3DES加密的输入输出均未知且无法计算，从而无法通过穷举子密钥来计算3DES算法过程中的中间值，使得对其功耗分析无法进行。因此本发明具有抵抗功耗攻击的能力。

附图说明

下面结合附图与具体实施方式对本发明作进一步详细的说明：

图1是所述的ANSIX9.17标准中随机数发生器算法结构示意图。

图2是所述的单向函数结构示意图。

图3是所述的智能卡中安全的随机数产生方法示意图。

具体实施方式

结合图3所示，所述智能卡中安全的随机数产生方法，包括如下步骤：