[发明专利]软件级双轨逻辑中的S盒运算的实现方法

说明书

本发明旨在提出一种软件级双轨逻辑中的S盒运算的实现方法，包括：将所述S盒运算的原始输入拆分为N个部分，N为大于0的整数；使用所述原始输入被拆分后的前N‑1个部分来进行前N‑1级查表，每级查表的输出结果是下一级查表的表地址；以及通过使用第N个部分进行第N级查表，得到所述S盒运算的输出结果。上述方法所实现的S盒运算的运算速度较快且需要的存储空间较小。

技术领域

本发明涉及芯片的加密方法，尤其涉及软件级双轨逻辑下的S盒运算的实现方法。

背景技术

任何密码设备在运行时都会散发出各种形式的信息，如功耗、电磁辐射、声音、运行时间等。这些信息可被收集和分析，并且以此方式恢复出密码设备的秘密信息。这种攻击叫做旁路攻击。旁路攻击是针对加密算法来实现的，不针对某个特定的算法。因此，即使某个加密算法在数学上或在理论上被证明是安全的，它在实际应用中仍然有可能会被旁路攻击攻破。事实上，加密算法的常规实现方法通常无法抵抗旁路攻击。旁路攻击中一种常见的方法是功耗分析，它通过分析设备所散发的功耗来恢复该设备的秘密信息。其中，根据功耗曲线的直接特征来进行分析的方法被称为简单功耗分析(Simple Power Analysis,SPA)。根据大量的功耗曲线的统计特征来分析并计算出秘密信息的方法被称为差分功耗分析(Differential Power Analysis,DPA)。

在CMOS电路中，寄存器产生的功耗取决于其比特翻转的个数，也就是取决于其原值与新值之间的汉明距离。因此，可以计算密码设备运行时的中间值,并且根据“寄存器产生的功耗取决于其比特翻转的个数”，来估计密码设备运行时的功耗大小。其中，中间值是指从给定输入到得出输出之间所有的运算过程中的中间值。

双轨逻辑是抵抗功耗分析的硬件实现方法。具体的，采用两个物理比特表示一个逻辑比特，即可以用两个物理比特“01”表示一个逻辑比特“0”，用两个物理比特“10”表示一个逻辑比特“1”，并且规定任何数值的改变需先从原值变为预充电状态(即数值“00”)，然后再转变成新值。这样，所有的数值改变所产生的功耗均相同，攻击者就无法根据功耗大小来区分不同的运行值了。上述方法的缺陷是芯片的面积会翻倍，这对轻量级密码设备而言是巨大的代价。某些加密算法是在可编程的密码设备中通过软件来实现的，如CPU卡。这些加密算法可通过软件的形式来实现双轨逻辑。

软件级双轨逻辑是指在软件编程中模拟硬件双轨逻辑的实现方式，关键在于不仅需要保证输入和输出的数据符合双轨逻辑，还要确保运算过程中的中间值的安全性。因此，软件级双轨逻辑通常采用查表的方式来实现。

S盒运算是对称加密算法中的基本操作，基本的运算过程是对于一个输入数据，以一个特定的对应的数据作为结果进行输出。一个n比特输入、m比特输出的S盒运算是定义了一种从{x|0≤x≤2ⁿ-1,x∈Z}到{x|0≤x≤2^m-1,x∈Z}的映射。每个加密算法定义了自己的S盒运算的数据对应关系，并且不同的加密算法所定义的S盒通常也不同。而对于S盒运算这样的输入与输出之间没有明显逻辑关系的操作，其查表实现需要消耗大量的存储空间。

发明内容

本发明旨在提供一种运算速度较快且需要存储空间较小的S盒运算的实现方法。

本发明提出一种软件级双轨逻辑中的S盒运算的实现方法，包括：将所述S盒运算的原始输入拆分为N个部分，N为大于0的整数；使用所述原始输入被拆分后的前N-1个部分来进行前N-1级查表，每级查表的输出结果是下一级查表的表地址；以及通过使用第N个部分进行第N级查表，得到所述S盒运算的输出结果。

优选地，所述原始输入和所述输出结果均是双轨编码的。

优选地，所述查表所使用的表满足以下要求：(1)同一级的所有表的地址具有相同的汉明重量；(2)表的地址是该表的大小的整数倍；以及(3)表的的大小是2的整数次幂。