[发明专利]功耗感知的功耗平衡S盒单元电路及其应用方法

说明书

技术领域

本发明属于抗功耗攻击技术领域，特别涉及功耗感知的功耗平衡S盒单元电路及其应用方法。

背景技术

功耗分析攻击是针对密码算法芯片特别是智能IC卡的有效侧信道攻击手段，对金融、安防等重要领域构成了威胁，它主要的工作原理为：密码算法(在硬件中实现时)产生的功率消耗与运算的中间结果的数值相关，主要体现为与中间结果数据变化前后的汉明距离近似成正比。由于一般情况下数据变化前的数值很难确定，所以在实际攻击中往往以中间结果的汉明重量作为数据的特征变量(近似认为数据的汉明重量与功耗成正比)。所谓的汉明重量是指数值以二进制表示时1的个数，两个数的汉明距离即等于两个数值均以二进制表示时取值不同的位数(两个数值异或的汉明重量)。

分组密码算法又称对称密码算法，也就是加密密钥和解密密钥相同的密码算法，S盒运算是一类在现代分组密码算法中非常普遍的运算操作，它的本质是一种预定义的非线性运算，对密码算法的安全性具有重要作用，也是功耗分析攻击的主要目标，往往是分组密码算法电路设计中最需要保护的。所谓S盒运算是一种置换操作，一般输入和输出具有相同的位数，其函数可以用一个查找表来描述，具体运算过程如下：输入对应表格的行数和/或列数，该行列坐标所对应的表格内容就是输出数值；表格的内容不同，S盒的函数也不同；这样的查找表运算在数字电路实现时可以采用一个组合逻辑电路实现，也可以采用一个存放有查找表内容的存储器实现。由于S盒运算是非线性运算，因此往往具有较大开销，特别是在进行功耗平衡设计和掩码保护时通常是面积和功耗开销的主要来源。

功耗平衡方法使得电路在各种数据输入的情况下产生的功耗情况相同，消除了数据与功耗间的相关性，是防御功耗分析攻击的重要方法，具有很高的安全强度，是抵抗功耗攻击的有效措施之一。现有功耗平衡方法大多采用基于双轨编码的对称型逻辑电路(如WDDL，SABL等)，数据的汉明距离保持为一常数，与功耗无关；上述电路的面积相当于普通电路的两倍，而且，无论数据是何种取值，汉明距离都等于数据位数，也就是说，功耗平衡的结果总是近似于普通电路时各种输入情况下功耗的最大值；在实际运用中，由于电路开销的存在，上述电路功耗值要大于普通电路的最大功耗。这样大的功耗开销使得功耗平衡技术无法在低功耗应用中采用，例如，非接触式智能卡。其它的功耗攻击防御措施(用随机数(掩码)保护中间结果，随机插入延时等)也同样存在冗余的运算操作和时钟周期，最终都使得功耗水平远高于普通设计。

除此之外，采用功耗平衡技术需要满足平衡的各个数据线的负载都相同，这一要求对于双轨编码数据的两条信号线的匹配程度要求很高，如果需要满足更多位数据线的负载都相同，则不可能在实际工程实现。

发明内容

本发明针对上述缺陷公开了功耗感知的功耗平衡S盒单元电路及其应用方法，其中：功耗感知的功耗平衡S盒单元电路的结构如下：S盒运算逻辑模块和功耗感知补偿逻辑模块共同拥有一个操作数输入端口，循环移位器的输入端通过互连线分别连接S盒运算逻辑模块的结果输出端口和取反标志位输出端口以及功耗感知补偿逻辑模块的补偿信号输出端口，循环移位器的输出端通过互连线连接反向循环移位器的输入端，反向循环移位器的输出端口为结果输出端口、取反标志位输出端口和补偿信号输出端口，以上三个输出端口通过互连线连接下一级电路；循环移位器和反向循环移位器采用相同的偏移量信号。

所述S盒运算逻辑模块的取反标志位输出端口输出一位编码；

所述补偿信号输出端口输出的编码的位数等于S盒运算逻辑模块的结果输出端口输出的编码位数的一半。

所述操作数输入端口连接1/n编码逻辑模块。

功耗感知的功耗平衡S盒单元电路的应用方法的工作流程如下：操作数输入端口从1/n编码逻辑模块接收编码，然后将其输入至S盒运算逻辑模块和功耗感知补偿逻辑模块中；

以上述编码对应的原码为索引，在S-盒置换表中查出对应的输出数值out，当out的原码的汉明重量小于或等于out的位数的1/2时，S盒运算逻辑模块的结果输出端口输出out的原码，取反标志位输出端口输出0；当out的原码的汉明重量大于out的位数的1/2时，S盒运算逻辑模块的结果输出端口输出out按位取反后的数值out1，取反标志位输出端口输出1；

将out的原码的汉明重量记为h1，将S盒运算逻辑模块的取反标志位输出数值的汉明重量记为h2，两者相加所得数值为h；功耗感知补偿逻辑模块的输出的汉明重量等于out位数的1/2减去h；