[发明专利]一种密码算法的故障攻击防护方法

说明书

本发明公开了一种密码算法的故障攻击防护方法，其步骤包括：1)对于待防护的目标密码算法，构造与该目标密码算法相同的算法作为该目标密码算法的冗余算法；2)将该目标算法的输出和该冗余算法的输出进行异或，然后将异或所得结果通过附加随机置换的感染结构进行随机化；所述随机置换的感染结构包括随机置换操作和随机感染操作，所述随机置换操作用于对故障注入位置以及故障传播途径进行随机化，从而使得在随机感染操作中随机数为0的情况下，输出的故障密文仍然具有随机性；3)将所述随机置换的感染结构的输出与该目标密码算法的输出进行异或后输出。本发明中引入了随机置换操作，使得故障传播路径得到随机化，从而实现了故障攻击的防护。

技术领域

本发明涉及一种故障攻击防护方法，可应用于密码算法实现中故障攻击的防护领域。

背景技术

物联网技术的发展方便了人们生活的同时，也使得秘密信息的防护更加迫切，密码算法是信息安全性的重要保障；在传统密码学领域中，人们更加关注黑盒模型下密码算法的理论安全性，即假设攻击者仅可以通过明文、密文以及密码算法本身的结构进行攻击。然而随着灰盒攻击的出现，这一假设被打破，攻击者不仅仅可以获得密码算法的明文、密文以及密码算法本身的结构，还可以接触到密码算法运行的设备，从而去获取密码设备执行过程中泄露的信息，甚至通过影响密码设备正常运行去进行攻击。

故障攻击是灰盒攻击的一类，是指通过一定的物理手段影响密码设备的执行，使得密码设备的执行出现一定的异常，从而实现相应攻击的一类攻击方法。密码设备的正常执行依赖于稳定的运行环境，如正常的电压、时钟以及温度等，当这些条件被破坏时，密码设备的执行就可能出现异常，此外还可以通过对密码设备额外注入电磁、激光等手段影响其正常执行，从而实现故障攻击。在密码设备被注入故障的条件下，与传统的密码分析方法相互结合形成了不同种类的故障攻击方法，如和差分分析方法结合形成了差分故障攻击、和积分分析相互结合形成了积分故障攻击、和代数攻击相互结合形成了代数故障攻击等等，此外研究者还根据故障自身的特点提出了有别以上攻击的新的故障攻击方法，如故障敏感度攻击、无效故障攻击等等。其中，差分故障攻击是利用正确执行的密文和注入故障后的故障密文进行攻击的一种故障攻击方法，因实现的简单性和高效性，对于密码设备的安全性造成了巨大的威胁，是密码设备故障安全防护的重要目标。

随着故障攻击的出现，相应的针对故障攻击的防护方法也应运而生，按照防护层次的不同，可以分为密码设备或者说系统层次的防护，以及算法层次的防护。在密码设备层，主要是通过阻止故障注入的方式来进行防护，例如通过在电路中添加滤波器的方式来消除电压或者时钟波动对于密码设备正常运算带来的影响，或者附加温度、激光、电磁等传感器来检测相应类型的故障注入，从而及时报警，使得密码设备停止运算或者停止输出结果。在算法层次的故障防护，主要包括“校验-阻止”类故障防护方法和感染类故障防护方法两种。“校验-阻止”类故障防护方法首先通过空间上的冗余、时间上的冗余、检错码或者纠错码等方式来检测故障的注入情况，当检测到故障的注入后，阻止故障密文的输出，从而破坏故障攻击的条件，使得故障攻击无法进行。但是在判断故障是否被注入的这一操作是容易被故障攻击的，如果受到额外的故障注入攻击，使得判断语句出现错误则会使“校验-阻止”类故障防护方法失效。感染类的故障攻击可以避免上述提出的问题，其通过添加额外的随机感染操作使得输出的故障密文呈现随机性，使得攻击无法依据输出的故障密文进行攻击。与“校验-阻止”类故障防护不同，这类防护不需要判断语句来判断是否有故障的注入，允许故障的正常输出，因此没有前者的缺陷。乘法感染是感染类防护中的一种主流防护方法，对于故障攻击的防护起着重要作用。

然而乘法掩码存在着安全漏洞，当随机数不为0时，乘法感染是安全的，当随机数为0时，乘法感染将失效，原始故障密文将被正常输出，从而使得差分故障攻击等故障攻击正常实现。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种密码算法的故障攻击防护方法，可以弥补乘法故障感染技术缺陷的新的故障感染防护方法。

为实现以上防护目的，本发明提出的防护方法包括如下步骤：