[发明专利]一种动态路径S盒及可防御功耗攻击的AES加密电路

说明书

本发明公开了一种动态路径S盒及可防御功耗攻击的AES加密电路，动态路径S盒包括依次连接的随机映射单元、GF(2⁸)域动态求逆单元、随机逆映射单元和仿射单元；基于动态路径S盒的可防御功耗攻击的AES加密电路包括N_r个采用了动态路径S盒的轮变换单元和密钥扩展单元。本发明中，动态路径S盒的数据处理路径动态变化，使得目标AES电路在处理同一组数据的时候功耗呈现动态变化，破坏电路所处理的数据与电路密钥之间的相关性，从而实现防御功耗攻击的目标，提高加密电路的安全性。

技术领域

本发明涉及密码电路实现技术领域，尤其是一种动态路径S盒及可防御功耗攻击的AES加密电路。

背景技术

高级加密标准(Advanced Encryption Standard，AES)，又称Rijndael加密法，该算法为比利时密码学家Joan Daemen和Vincent Rijmen所设计，是由美国国家标准与技术研究院2001年制定的新一代分组对称密码算法，用于取代原来的数据加密标准(DataEncryption Standard，DES)。AES密码算法是一种迭代、对称分组密码算法，其数据分组长度为128比特，密钥长度有128、192和256比特三种。根据这三种不同的密钥长度，加密过程分别需要进行10、12和14轮轮变换运算，每一个轮变换运算又包括字节替换，行移位，列混合和密钥加四个子运算，除了最后一轮。为了消除对称性，最后一轮轮变换不包含列混合运算，并且在第一轮轮变换运算之前加上一次密钥加运算。

根据不同的应用需求，AES加密电路采用不同的实现架构。参见图3(a)和图3(b)，AES加密电路实现架构一般可分为两种：循环展开结构和全展开结构。循环展开结构中使用了N_k(1≤N_k≤N_r,N_r＝10/12/14)个轮变换单元(包括独立的密钥加运算)，与全展开结构相比，循环展开结构需要更小的电路面积，特别是当N_k＝1时(N_k＝1时又称为全循环结构)，循环展开结构具有最小的电路面积。但循环展开结构需要迭代次才能得到最终结果，因此数据处理速度比较低。循环展开结构用于要求电路面积小，数据速率不高的场合，如无线传感网、RFID等。循环展开结构还可以根据具体应用需求对电路面积和速度进行折衷。全展开结构使用了N_r个轮变换电路单元，电路面积大，但数据不需要反馈，数据处理速度高。全展开结构还可以通过增加流水线级数的方式来加快数据处理速度。全展开结构适用于高速数据实时处理场合，如实时视频信号传输等。

功耗攻击，又可称为功耗分析(Power Analysis)，立足于密码芯片所消耗的功耗与密钥和算法中间值之间存在相关性。集成电路中CMOS逻辑的大量运用，使得功耗与电路的输入和输出跳变状态相关，当CMOS单元有信号跳变时则会消耗更多的功耗。在功耗攻击过程中，需要在加密或解密运算的中间结果与密码芯片所消耗的功耗之间建立一定的映射关系，从而根据功耗数据分析推测出密钥的值。目前常用的功耗攻击可以分为简单功耗攻击(Simple Power Attack，SPA)、差分功耗攻击(Differential Power Attack，DPA)和高阶差分功耗攻击(High-Order Differential Power Attack，HO-DPA)三种。功耗攻击实现简单，不需要昂贵的专业设备，并且密钥搜索空间较小，因此是旁路攻击中最重要、最常用的攻击手段，也是对密码芯片构成最严重威胁的旁路攻击技术。

针对功耗攻击，以及一些极端条件应用环境对设备高可靠性的要求，传统的防御途径可大致分为两类：一是通过降低功耗曲线的波动，减少有用信息量，从而降低信噪比；二是通过增加随机噪声和冗余功耗达到降低信噪比的目的。常用的功耗攻击防御措施主要有随机掩码技术和功耗恒定技术等。

发明内容

本发明所要解决的技术问题在于，提供一种动态路径S盒及可防御功耗攻击的AES加密电路，能够解决现有的基于复合域S盒的AES加密电路无法防御功耗攻击的问题。