CN104852795A - 一种轮输出为布尔掩码的zuc序列密码算法掩码防护方法 - Google Patents

Abstract

本发明公开了一种轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，分别与掩码m_0，1＝m₁、m_0，2＝m₂异或作为输入；(2)异或运算通过转换函数h(x，y)转化成加法运算；(3)加法运算通过转化函数为g(x，y)转化成异或运算；(4)移位及对应分别进行L₁线性L₂线性运算；(5)对左、右S盒进行运算形成新的S_L′及S_R′；(6)对于F函数的W输出运算。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。

Description

一种轮输出为布尔掩码的ZUC序列密码算法掩码防护方法

技术领域

本发明属于密码算法的防护技术领域，特别是为了使祖冲之序列密码算法(ZUC)抵抗侧信道分析，保护密钥k，设计了一种针对ZUC算法的掩码防护方法，即针对轮输出为布尔掩码的ZUC序列密码算法掩码防护方法；该方法随机化算法的中间值，使得设备的能量消耗与所执行的密码算法的中间值之间无依赖关系。

背景技术

随着信息技术的发展，各种密码算法正被广泛地应用于经济、军事、行政等重要部门，保护信息的安全性。鉴于密码算法的重要性，密码算法软硬件实现(密码模块)的分析研究对保护信息安全具有重要的意义。

近年来，多种对密码模块的攻击已广为人知，所有这些攻击的目的都是为了获取密码模块中的密钥。通常的攻击方式可分为侵入式攻击、半侵入式攻击和非侵入式攻击。近年来，由于非侵入式攻击中的侧信道分析实施方便、相对成本低廉而被广泛使用。侧信道分析可以细分为计时分析、能量分析和电磁分析。其中的侧信道能量分析是众多分析手段中最常用的方法之一，它突破了传统密码算法的分析模式，能力强大，实施相对容易。侧信道能量分析利用了密码模块能量消耗与数据运算和执行之间的相关性，基于密码算法实现的能量泄露函数建立能量模型，使用统计方法，猜测和验证密码模块使用的受保护密钥，几乎可被用于破解所有的对称密码和公钥密码。破解时，仅需要数十条能量迹就可以在几分钟内迅速地破解没有防御措施的大多数智能卡。侧信道能量分析方法一般包括，简单能量分析(SPA)、差分能量分析(DPA)、相关能量分析(CPA)和高阶差分能量分析(HODPA)。

直接利用能量迹各尖峰形状不同这一特性的攻击称为简单能量分析攻击SPA(Simple Power Analysis)；根据密码设备的能量消耗依赖于算法执行过程中所处理的中间值分别为0和1时，所对应的平均能量迹之间的差异进行密钥恢复的攻击方法称为差分能量分析攻击DPA(Differential Power Analysis)；若密码分析者利用假设能量消耗和真正能量消耗之间的线性相关性进行密钥恢复，则为相关能量分析攻击CPA(Correlation Power Analysis)；在上述DPA分析中，如果仅利用了一个中间值，称为一阶DPA攻击，若是利用算法运算中的某种联合泄漏，该联合泄漏基于出现在密码设备中的多个中间值，则称相应的DPA攻击为高阶DPA分析。

鉴于当前对密码算法进行功耗分析攻击技术的不断发展，为应对能量分析带来的挑战，针对功耗分析攻击的防御技术也不断进步。抗功耗分析的防御技术包括各种隐藏技术和掩码技术，任何防御技术的目标都是使密码设备的能量消耗不依赖于设备所执行的密码算法中间值。

隐藏技术是通过能量消耗随机化，使所有操作具有相同能量消耗等方式切断被处理的中间值与设备能量消耗之间的关系。采用隐藏技术的密码设备与未加防护的设备执行相同的操作，但无法从中获取可用信息。

掩码技术是采用随机化密码设备所处理的中间值，对算法实现加入随机化掩码。其可以在算法级实现，无需改变密码设备的能量消耗特性，使设备的能量消耗与所执行的密码算法的中间值之间无依赖关系。

在掩码防御方案中，算法运算的中间值v都基于一个称为掩码的随机数m进行变换，即v_m＝v*m。掩码产生于密码设备内部，并且在每一次执行过程中各不相同，因此攻击者不能获知掩码。运算*通常根据密码算法所使用的操作进行定义。因此，运算*多为布尔异或运算、模加运算或模乘运算。在模加运算和模乘运算的情况下，模数根据密码算法进行选择。通常，掩码直接应用于明文或密钥。为了能够处理掩码型中间值以及对掩码进行跟踪，需要对算法进行修改。加密的结果也是掩码型的，为了获得密文，需要在计算结束时消除掩码。要保持每一个中间值在计算过程中始终处于被掩码状态，这一点非常重要。即使某一个中间值是基于它之前的中间值计算得到，保持上述性质仍然很重要。由于上述原因，对不同的中间值，往往需要分别采用不同的掩码。处于对实现性能的考虑，对每一个中间值采用一个新掩码并不合算。因此，为了获得合适的性能，需要仔细选择掩码的数量。

在算法一个执行路径中所叠加的掩码数量，称为算法掩码防御方案的阶数，对相应阶数的掩码进行能量分析的方法，称为高阶能量能量分析。一阶掩码可以防御一阶的能量分析，但不能防御二阶能量分析；二阶掩码可以防御二阶能量分析，但不能防御三阶能量分析。通常考虑到防御和分析的指数递增运算量增加，以及算法结构上可利用的能量泄露的点的限制，通常分组算法实现只能做到二阶能量分析，相应的防御措施也一般只做到二阶掩码防御即可。

祖冲之算法集(ZUC算法)是由我国学者自主设计的加密和完整性算法，已经被国际组织3GPP推荐为4G无线通信的第三套国际加密和完整性标准的侯选算法。下面对该算法进行简单介绍：祖冲之算法逻辑上分为上中下三层，如图1所示，上层是16级线性反馈移位寄存器(LFSR)；中层是比特重组(BR)；下层是非线性函数F。(1)LFSR包括16个31比特寄存器单元变量s₀，s₁，L，s₁₅。LFSR的运行模式有2种：初始化模式和工作模式。在初始化模式下，LFSR接收一个31比特字u。u是由非线性函数F的32比特输出W通过舍弃最低位比特得到，即u＝W＞＞1，在初始化模式下，LFSR计算过程如为：

LFSR WithInitialisationMode(u)

{

(1)v＝2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+220s₄+(1+2⁸)s₀mod(2³¹-1)；

(2)s₁₆＝(v+u)mod(2³¹-1)；

(3)if(s₁₆＝0)then s₁₆＝2³¹-1；

(4)(s₁，s₂，L，s₁₅，s₁₆)→(s₀，s₁，L，s₁₄，s₁₅)；

}

在工作模式下，LFSR不接收任何输入。其计算过程如下：

LFSR WithInitialisationMode()

{

(1)s₁₆＝2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+220s₄+(1+2⁸)s₀mod(2³¹-1)；

(2)if(s₁₆＝0)thens₁₆＝2³¹-1；

(3)(s₁，s₂，L，s₁₅，s₁₆)→(s₀，s₁，L，s₁₄，s₁₅)；

}

(2)比特重组(BR)从LFSR的寄存器单元中抽取128比特组成4个32比特字X₀、X₁、X₂、X₃。BR的具体计算过程如下：

Bit Reconstrustion()

{

(1)X₀＝s_15H||s_14L

(2)X₁＝s_11L||s_9H

(3)X₂＝s_7L||s_5H

(4)X₃＝s_2L||s_0H

}

(3)非线性函数F包含2个32比特记忆单元变量R₁和R₂。F的输入为3个32比特字X₀、X₁、X₂，输出为一个32比特字W。F的计算过程如下：

F(X₀，X₁，X₂)

{

(1) $W=(X_0\⊕R_1)+R_2$

(2)W₁＝R₁+X₁

(3) $W_2=R_2\⊕X_2$

(4)R₁＝S(L₁(W_1L||W_2H))

(5)R₂＝S(L₂(W_2L||E_1H))

}

其中S为32比特的S盒变换，32比特S盒由4个小的8×8的S盒并置而成，即S＝(S₀，S₁，S₂，S₃)，其中S₀＝S₂，S₁＝S₃。S₀主要基于轻量级结构构造思想，采用小S盒构建大S盒的方法设计。具体而言，S₀内部使用了3个4×4的小S盒P₁、P₂、P₃组合而成，如图2所示，其中m＝5。

S₁盒的设计基于有限域GF(2⁸)上的非线性逆函数x^-1和线性仿射变换设计，与AES的S盒设计类似。底层有限域GF(2⁸)采用本原多项式x⁸+x⁷+x³+x+1定义，S₁盒的数学表达式为：其中矩阵M满足：

$M=\left(\begin{array}{cccccccc}0& 1& 1& 1& 1& 0& 0& 1\\ 1& 0& 1& 1& 1& 1& 0& 0\\ 1& 1& 0& 1& 0& 1& 1& 0\\ 1& 1& 1& 0& 0& 0& 1& 1\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 1& 0& 1& 1& 0& 1& 1& 1\\ 1& 1& 0& 1& 1& 0& 1& 1\\ 1& 1& 1& 0& 1& 1& 0& 1\end{array}\right)$

设S盒S的32比特输入X和32比特输出Y分别为：

X＝x₀||x₁||x₂||x₃

Y＝y₀||y₁||y₂||y₃

其中x_i和y_i均为8比特字节，i＝0，1，2，3。则有y_i＝S_i(x_i)；L₁和L₂为32比特线性变换，定义如下：

$L_1\left(X\right)=X\&CirclePlus;(X<<<2)\&CirclePlus;(X<<<10)\&CirclePlus;(X<<<18)\&CirclePlus;(X<<<24)$

$L_2\left(X\right)=X\&CirclePlus;(X<<<8)\&CirclePlus;(X<<<14)\&CirclePlus;(X<<<22)\&CirclePlus;(X<<<30)$

祖冲之算法的秘钥装入过程是：将128比特的初始密钥k和128比特的初始向量iv扩展为16个31比特字作为LFSR寄存器单元变量s₀，s₁，L，s₁₅的初始状态。设k和iv分别为k₀||k₁||L||k₁₅和iv₀||iv₁||L||iv₁₅；其中k_i和iv_t均为8比特字节，0≤i≤15。密钥装入过程如下：(1)D为240比特的常量，可按如下方式分成16个15比特的子串：D＝d₀||d₁||L||d₁₅，其中：

d₀＝100010011010111₂，

d₁＝010011010111100₂，

d₂＝110001001101011₂，

d₃＝001001101011110₂，

d₄＝101011110001001₂，

d₅＝011010111100010₂，

d₆＝111000100110101₂，

d₇＝000100110101111₂，

d₈＝100110101111000₂，

d₉＝010111100010011₂，

d₁₀＝110101111000100₂，

d₁₁＝001101011110001₂，

d₁₂＝101111000100110₂，

d₁₃＝011110001001101₂，

d₁₄＝111100010011010₂，

d₁₅＝100011110101100₂

(2)对0≤i≤15，有s_i＝k_i||d_i||iv_i。

在初始化阶段，首先把128比特的初始密钥k和128比特的初始向量iv按照前述密钥装入方法装入到LFSR的寄存器单元变量s₀，s₁，L，s₁₅中，作为LFSR的初态，并置32比特记忆单元变量R₁和R₂为全0。然后执行下述操作：

重复执行下述过程32次：

(1)Bit Reconstruction()；

(2)W＝F(X₀，X₁，X₂)；

(3)LFSR WithInitialisationMode(W＞＞1)；

工作阶段首先执行下列过程一次，并将F的输出W舍弃：

(1)Bit Reconstruction()；

(2)F(X₀，X₁，X₂)；

(3)LFSR With WorkMode()；

然后进入密钥输出阶段。在密钥输出阶段，每运行一个节拍，执行下列过程一次，并输出一个32比特的密钥字Z：

(1)Bit Reconstruction()；

(2) $Z=F(X0,X1,X2)\&CirclePlus;X3;$

(3)LFSR With WorkMode()；

目前，利用侧信道分析(SCA)，特别是运用能量分析(PA)的侧能量分析方法，通过建立汉明重量模型，使用一阶差分能量分析(DPA)方法可分析出ZUC算法的密钥。了为抵抗DPA/CPA分析，通常采用了掩码防护措施保护ZUC密码算法实现。为了抵抗侧信道分析，考虑掩码技术的易操作性及有效性，在密码防护方面特别是对ZUC算法的结构和相关掩码防御技术需要进行深入研究分析，设计了抗侧信道的掩码防御方法

发明内容

本发明技术方案的目的在于为了抵抗针对ZUC算法的侧信道分析，考虑线性移位寄存器的数据影响传递性以及能耗的泄露点，以及掩码技术的易操作性及有效性，针对于F函数，保护ZUC算法初始化过程中的前N(1≤N≤32)轮，实现ZUC序列算法掩码防护的策略。

实现上述目的本发明的技术方案为，一种轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，该方法包括如下步骤：(1)选择需要掩码的轮数，初始化前N轮，1≤N≤32，r∈{0，1，L，N-1}为当前轮数，随机选取2个32位随机数m₁、m₂，每轮随机选取2个32位随机数m_r，3、m_r，4，在N轮中各不相同；若是第0轮，对于第1轮F函数的输入R₁＝0、R₂＝0，分别与掩码m_0.1＝m₁、m_0.2＝m₂异或作为输入；若是第r(r∈{1，L，N-1})轮的R₁、R₂输入，无需再异或掩码值；(2)将的异或运算通过转换函数h(x，y)转化成加法运算R₁+m_r，1，转化函数为h(x，y)定义为：(3)R₁+m_r，1与X₁-m_r，1+m_r，3相加得R₁+X₁+m_r，3，右边与异或得再将已知的R₁+X₁+m_r，3、m_r，3中R₁+X₁+m_r，3的加法运算通过转化函数为g(x，y)转化成异或运算转换函数g(x，y)定义为：(4)通过移位后，左边的及右边变换为在对应分别进行L₁线性运算，左边转化成L₂线性运算，右边转化成其中，L₁(m_r，3，L||m_r，4，H)＝(a₀，a₁，a₂，a₃)，L₂(m_r，4，L||m_r，3，H)＝(b₀，b₁，b₂，b₃)；(5)对左、右S盒进行运算形成新的S_L′及S_R′；运算方法是通过S盒预计算查表获得或通过公式在算法运算中通过S盒掩码计算获得；(6)对于F函数的W输出，对每1轮的X₀加掩码防护得到则 $R_1\&CirclePlus;m_{r+\mathrm{1,1}}\&CirclePlus;X_0\&CirclePlus;m_{r+\mathrm{1,1}}\&CirclePlus;(-m_{r+\mathrm{1,2}})=R_1\&CirclePlus;X_0\&CirclePlus;(-m_{r+\mathrm{1,2}});$ 由于m_r+1，2为已知，可将的异或运算转化成加法运算为由于m_r+1，2为已知，可对的异或运算转化成加法运算为R₂+m_r+1，2；则加上R₂+m_r+1，2即为正确的W输出。

上述步骤(2)中异或(布尔)运算转化成加法(算术)运算h(x，y)的原理为：已知X、r为已知值，x不能参与运算，求A＝x+r，即输入(X，r)，求输出A＝h(X，r)的算法如下：已知对于 $A^{\&prime;}=(X\&CirclePlus;r)-r,\&ForAll;\mathrm{\&gamma;}$ 可得 $A^{\&prime;}=[(X\&CirclePlus;\mathrm{\&gamma;})-\mathrm{\&gamma;}]\&CirclePlus;X\&CirclePlus;[(X\&CirclePlus;(r\&CirclePlus;\mathrm{\&gamma;}))-(r\&CirclePlus;\mathrm{\&gamma;})],$ 得 $A=A^{\&prime;}+2r=(((X\&CirclePlus;\mathrm{\&gamma;})-\mathrm{\&gamma;})\&CirclePlus;X\&CirclePlus;((X\&CirclePlus;(r\&CirclePlus;\mathrm{\&gamma;}))-(r\&CirclePlus;\mathrm{\&gamma;})))+2r,$ 即将加法掩码转化成异或掩码，具体算法步骤如下：

$T=X\&CirclePlus;\mathrm{\&gamma;}$

T＝T-γ

$T=T\&CirclePlus;X$

$\mathrm{\&gamma;}=r\&CirclePlus;\mathrm{\&gamma;}$

$A=X\&CirclePlus;\mathrm{\&gamma;}.$

A＝A-γ

$A=A\&CirclePlus;T$

A＝A+(r＜＜1)

上述步骤(3)中，加法运算转化成异或运算g(x，y)的原理为，已知A＝x+r，A、r为已知值，x不能参与运算，求即输入(A，r)，求输出X＝g(A，r)算法如下：已知则 $X=(A-r)\&CirclePlus;r=(A+r+1)\&CirclePlus;(\stackrel{\&OverBar;}{r}+1)\&CirclePlus;r\&CirclePlus;(\stackrel{\&OverBar;}{r}+1),$ 对于 $X^{\&prime;}=(A+\stackrel{\&OverBar;}{r}+1)\&CirclePlus;(\stackrel{\&OverBar;}{r}+1),$ 可得其中，K为32，t_k-1满足：

从而可得即将加法掩码转化成异或掩码，其具体算法步骤为：

$r1=\stackrel{\&OverBar;}{r}+1$

T＝2γ

$X=\mathrm{\&gamma;}\&CirclePlus;r1$

Ω＝γ&X

$X=T\&CirclePlus;A$

$\mathrm{\&gamma;}=\mathrm{\&gamma;}\&CirclePlus;X$

γ＝γ&r1

$\mathrm{\&Omega;}=\mathrm{\&Omega;}\&CirclePlus;\mathrm{\&gamma;}$

for k＝1to K-1do

γ＝T&r1

$\mathrm{\&gamma;}=\mathrm{\&gamma;}\&CirclePlus;\mathrm{\&Omega;}$

T＝T&A

$\mathrm{\&gamma;}=\mathrm{\&gamma;}\&CirclePlus;T$

T＝2γ

end for

$X=X\&CirclePlus;T$

$X=X\&CirclePlus;r.$

$X=X\&CirclePlus;r1$

上述步骤步骤(5)中，通过S盒预计算查表获得的具体方法是：

S1、引入5个4比特的随机数m₁、m₂、m₃、m₄、m₅，新S盒S₀′(x)输入为

S2、预计算S盒 ${P_1}^{\&prime;}\left(x\right)=P_1(x\&CirclePlus;m_2)\&CirclePlus;m_3,$ ${P_2}^{\&prime;}\left(x\right)=P_2(x\&CirclePlus;m_1\&CirclePlus;m_3)\&CirclePlus;m_4,$ 每个S盒为4×4小S盒，每个字节可存储S盒表中的两个值，共需24字节的存储空间；

S3、对于S₀盒输入的8比特数据x＝x₁||x₂，左右两边4比特数据x₁、x₂分别异或m₁、m₂，得到

S4、对右边进行P₁′查表，得到 ${P_1}^{\&prime;}(x_2\&CirclePlus;m_2)=P_1\left(x_2\right)\&CirclePlus;m_3;$

S5、左边与异或得进行P₂′查表，得到 ${P_2}^{\&prime;}(P_1\left(x_2\right)\&CirclePlus;x_1\&CirclePlus;m_1\&CirclePlus;m_3)=P_2(P_1\left(x_2\right)\&CirclePlus;x_2)\&CirclePlus;m_4;$

S6、右边与异或得进行P₃′查表，得到 ${P_3}^{\&prime;}(P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2\&CirclePlus;m_2\&CirclePlus;m_4)=P_3(P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2)\&CirclePlus;m_5;$

S7、左边与异或得 $P_3(P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2)\&CirclePlus;P_1\left(x_2\right)\&CirclePlus;x_1\&CirclePlus;m_1\&CirclePlus;m_3\&CirclePlus;m_5=y_1\&CirclePlus;m_1\&CirclePlus;m_3\&CirclePlus;m_5;$ 右边输出 $P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2\&CirclePlus;m_2\&CirclePlus;m_4=y_2\&CirclePlus;m_2\&CirclePlus;m_4,$ 其中y₁、y₂分别为左右两边不带掩码时的输出；将左右两部分联合在一起 $(y_1\&CirclePlus;m_1\&CirclePlus;m_3\&CirclePlus;m_5)\left|\right|(y_2\&CirclePlus;m_2\&CirclePlus;m_4=\left(y_1\right|\left|y_2\right)\&CirclePlus;\left(m_1\right|\left|m_2\right)\&CirclePlus;\left((m_3\&CirclePlus;m_5)\right|\left|m_4\right);$ 经过m比特循环移位后，得到S₀的输出其中y＝(y₁||y₂)＜＜＜m，为不带掩码时的S₀输出。

上述步骤(5)中，通过公式在算法运算中通过S盒掩码计算是采用了有限域转化成合成域上的求逆运算，形成一个新的S盒，其具体步骤为：

S1、引入1个8比特的随机数m，新S盒S₁′(x)的输入为

S2、S盒的输入掩码m∈GF(2⁸)进行合成域T转换成GF((2⁴)²)合成域的 $T(x\&CirclePlus;m)=T\left(x\right)\&CirclePlus;T\left(m\right),T\left(m\right);$

S3、将 进行乘法运算得

S4、对T(m)进行平方运算得T(m)²，与异或得T(x)T(m)；

S5、将T(x)T(m)输入一个0值检测函数F(x)中，判断T(x)T(m)是否为0，若为0，函数F(x)＝1，否则为0，该步用于抗零值攻击；

S6、对T(x)T(m)进行逆运算，得T(x)^-1T(m)^-1：

S7、T(x)^-1T(m)^-1异或1得

S8、与T(m)进行乘法运算，得

S9、进行合成域T^-1逆转换成GF(2⁸)中的

S10、对进行仿射变换()得 ${\mathrm{Mx}}^{-1}\&CirclePlus;0x55\&CirclePlus;\mathrm{Mm}=S_1\left(x\right)\&CirclePlus;\mathrm{Mm},$ 即新S盒 ${S_1}^{\&prime;}\left(x\right)=S_1(x\&CirclePlus;m)\&CirclePlus;\mathrm{Mm};$

上述运算中，若逆运算的输入为0，则F(x)＝1，s(x，y)运算的输出为T(m)；求逆运算的输出为T(m)^-1，异或1为与T(m)相乘为异或F(x)＝1，得到输出为T(m)；再进行T逆转换和仿射变换，得

本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。其优点在于：(1)针对现有对ZUC算法的侧信道分析，创新地提出了对ZUC算法的抗侧信道掩码防护方法，使用本发明提出的新方法能够更有效、全面地抵抗侧信道分析；(2)对于ZUC算法的软硬件实现，采用该掩码防护方法，算法中无任何信息泄漏点，可以抵抗一阶侧信道分析；(3)采用该掩码防护方法，算法中无任何两个相关的信息点，可以抵抗二阶侧信道分析；(4)该掩码防护方法中的S盒掩码方案可有效地提高效率。

附图说明

图1是祖冲之算法逻辑层次结构图；

图2是S₀盒结构构建示意图；

图3是对轮输出为布尔掩码的ZUC序列密码算法掩码防护原理图；

图4是S₀的掩码原理结构；

图5是S₁的掩码原理结构；

图6是ZUC算法的初始化能量迹；

图7是ZUC算法初始化运算信号处理后的能量迹；

具体实施方式

下面对本发明的技术方案进行具体描述，以智能卡芯片为载体，利用本申请的技术方案实现ZUC算法的掩码防护功能。这里，选择掩码的轮数N＝5。具体步骤如下所示：

(1)对于初始化前5轮，随机选取2个32位随机数m₁、m₂(r∈{0，1，L，4})。每轮随机选取2个32位随机数m_r，3、m_r，4，在5轮中各不相同；

(2)对于第0轮F函数的输入R₁＝0、R₂＝0，分别异或掩码m_0，1＝m₁、m_0，2＝m₂后得到输入m_0，1、m_0，2；对于第1、2、3、4轮的R₁、R₂输入，由于前1轮S盒输出带有掩码防护为(r∈{1，L，4))，无需再异或掩码值：

(3)将的异或运算通过转化成加法运算R₁+m_r，1，图3中标识符为异或运算转换成加法运算；

(4)R₁+m_r，1与X₁-m_r，1+m_r，3相加得R₁+X₁+m_r，3，右边与异或得

(5)已知R₁+X₁+m_r，3、m_r，3的值，将R₁+X₁+m_r，1的加法运算通过转化成异或运算 $(X_1+R_1)\&CirclePlus;m_{r,3}=W_1\&CirclePlus;m_{r,3};$

(6)经过16位移位后，左右两边分别为 $\left(W_{2,L}\right|\left|W_{1H}\right)\&CirclePlus;\left(m_{r,4,L}\right|\left|m_{r,3,H}\right);$

(7)L₁线性运算后，左边转化成L₂线性运算后，右边转化成其中，L₁(m_r，3，L||m_r，4，H)＝(a₀，a₁，a₂，a₃)，L₂(m_r，4，L||m_r，3，H)＝(b₀，b₁，b₂，b₃)；

(8)进行S_L′运算，共包括4个S盒，S_L′＝(S′_L，0，S′_L，1，S′_L，2，S′_L，3)。i∈{0，1，2，3}，(c₀，c₁，c₂，c₃)为32比特，每轮均不相同，且m_r+1，1＝(c₀，c₁，c₂，c₃)。当S盒采用掩码方案实时计算时， $S_{L,0}^{\&prime;}(X\&CirclePlus;a_0)=S_0\left(X\right)\&CirclePlus;\left((a_0\&CirclePlus;\left((m_3\&CirclePlus;m_5)\right|\left|\right)m_4)\right)<<<m,$ $S_{L,1}^{\&prime;}(X\&CirclePlus;a_1)=S_1\left(X\right)\&CirclePlus;{\mathrm{Ma}}_1,$ $S_{L,2}^{\&prime;}(X\&CirclePlus;a_2)=S_0\left(X\right)\&CirclePlus;\left((a_2\&CirclePlus;\left((n_3\&CirclePlus;n_5)\right|\left|\right)n_4)\right)<<<m,$ $S_{L,3}^{\&prime;}(X\&CirclePlus;a_3)=S_1\left(X\right)\&CirclePlus;{\mathrm{Ma}}_3,$ 其中，m₃、m₄、m₅、n₃、n₄、n₅分别为4比特随机数， $c_1={\mathrm{Ma}}_1,c_2=(a_2\&CirclePlus;\left((n_3\&CirclePlus;n_5)\right|\left|n_4\right))<<<m,$ c₃＝Ma₃；当S盒采用预计算查表时，需在运算前将4个掩码后的新S盒预计算并存储，在运算中通过查表获取新S盒的输出，(c₀，c₁，c₂，c₃)为32比特随机数。同理，可分别采用上述方法进行S_R′运算，共包括4个S盒，S′_R＝(S′_R，0，S′_R，1，S′_R，2，S′_R，3)，其中， $S_{R,i}^{\&prime;}\left(X\right)=S_{i\mathrm{mod}2}(X\&CirclePlus;b_i)\&CirclePlus;d_i,i\&Element;\left\{\mathrm{0,1,2,3}\right\},$ (d₀，d₁，d₂，d₃)为32比特，每轮均不相同，且m_r+1，2＝(d₀，d₁，d₂，d₃)。当S盒采用掩码方案实时计算时，如图4所示， $S_{R,0}^{\&prime;}(X\&CirclePlus;b_0)=S_0\left(X\right)\&CirclePlus;((b_0\&CirclePlus;\left(({m^{\&prime;}}_3\&CirclePlus;{m^{\&prime;}}_5)\right|\left|{m^{\&prime;}}_4\right))<<<m),$ $S_{R,1}^{\&prime;}(X\&CirclePlus;b_1)=S_1\left(X\right)\&CirclePlus;{\mathrm{Mb}}_1,$ $S_{R,2}^{\&prime;}(X\&CirclePlus;b_2)=S_0\left(X\right)\&CirclePlus;((b_2\&CirclePlus;\left(({n^{\&prime;}}_3\&CirclePlus;{n^{\&prime;}}_5)\right|\left|{n^{\&prime;}}_4\right))<<<m),$ $S_{R,3}^{\&prime;}(X\&CirclePlus;b_3)=S_1\left(X\right)\&CirclePlus;{\mathrm{Mb}}_3,$ 其中，m′₃、m′₄、m′₅、n′₃、n′₄、n′₅分别为4比特随机数， $d_0=(b_0\&CirclePlus;\left(({m^{\&prime;}}_3\&CirclePlus;{m^{\&prime;}}_5)\right|\left|{m^{\&prime;}}_4\right))<<<m,$ $d_1={\mathrm{Md}}_1,d_2=(b_2\&CirclePlus;\left(({n^{\&prime;}}_3\&CirclePlus;{n^{\&prime;}}_5)\right|\left|{n^{\&prime;}}_4\right))<<<m,$ d₃＝Mb₃；当S盒采用预计算查表时，如图5所示，需在运算前将4个掩码后的新S盒预计算并存储，在运算中通过查表获取新S盒的输出，(d₀，d₁，d₂，d₃)为32比特随机数。综上所述，得到新1轮的F函数输入 依次进行5轮迭代运算；

(9)对于F函数的W输出，对每1轮的X₀加掩码防护得到则 $R_1\&CirclePlus;m_{r+\mathrm{1,1}}\&CirclePlus;X_0\&CirclePlus;m_{r+\mathrm{1,1}}\&CirclePlus;(-m_{r+\mathrm{1,2}})=R_1\&CirclePlus;X_0\&CirclePlus;(-m_{r+\mathrm{1,2}});$ 由于m_r+1，2为已知，可将的异或运算转化成加法运算为由于为已知，可对的异或运算转化成加法运算为R₂+m_r+1，2；则加上R₁+m_r+1，2即为正确的W输出。

下面利用选择CPA分析来验证本申请的掩码方法的可靠性，采集智能卡芯片进行ZUC算法运算中的能耗曲线，对其进行一阶的能量分析，这里以S盒具体实验步骤如下所示：采集带掩码防护方法的ZUC算法软件卡初始化阶段的能量迹，其中，S盒掩码在运算过程实时计算，如图6所示，为采集到的能量迹数据，其中初始输入的密钥值为： $\begin{array}{c}{k}_0=11,k_1=22,k_2=33,k_3=44,k_4=55,k_5=66,k_6=77,k_7=88\\ k_8=11,k_9=22,k_{10}=33,k_{11}=44,k_{12}=55,k_{13}=66,k_{14}=77,k_{15}=88\end{array};$ 对图6的能量迹进行低通滤波并对齐，如图7所示。假设最理想的攻击条件：已知前一轮密钥值，攻击算法的每一轮。例如：在分析k₁₀时，假设已知k₅，k₉的密钥值，即k₉＝0x22，k₅＝0x66。选择S盒输出的汉明重量模型，以获得k₅、k₆、k₇、k₈、k₉、k₁₀、k₁₁、k₁₂、k₁₃的值。利用CPA分析结果如下表1所示，分别罗列了前4个最大相关系数对应的密钥猜测值及采样时间点位置，显而易见无法获得正确的密钥值。

表1：S盒掩码后的ZUC算法进行CPA分析结果

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。

Claims (5)

1.一种轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，其特征在于，该方法包括如下步骤：

(1)选择需要掩码的轮数，初始化前N轮，1≤N≤32，r∈{0，1，L，N-1}为当前轮数，随机选取2个32位随机数m₁、m₂，每轮随机选取2个32位随机数m_r，3、m_r，4，在N轮中各不相同；若是第0轮，对于第1轮F函数的输入R₁＝0、R₂＝0，分别与掩码m_0，1＝m₁、m_0，2＝m₂异或作为输入；若是第r(r∈{1，L，N-1})轮的R₁、R₂输入，无需再异或掩码值；

(2)将的异或运算通过转换函数h(x，y)转化成加法运算R₁+m_r，1，转化函数为h(x，y)定义为：

(3)R₁+m_r，1与X₁-m_r，1+m_r，3相加得R₁+X₁+m_r，3，右边与异或得再将已知的R₁+X₁+m_r，3、m_r，3中R₁+X₁+m_r，3的加法运算通过转化函数g(x，y)转化成异或运算 $(X_1+R_1)\&CirclePlus;m_{r,3}=W_1\&CirclePlus;m_{r,3},$ 转换函数g(x，y)定义为： $x\&CirclePlus;r=g(x+r,r);$

(4)通过移位后，左边的及右边变换为 $\left(W_{1,L}\right|\left|W_{2,H}\right)\&CirclePlus;\left(m_{r,3,L}\right|\left|m_{r,4,H}\right),\left(W_{2,L}\right|\left|W_{1,H}\right)\&CirclePlus;\left(m_{r,4,L}\right|\left|m_{r,3,H}\right)$ 在对应分别进行L₁线性运算，左边转化成L₂线性运算，右边转化成其中，L₁(m_r，3，L||m_r，4，H)＝(a₀，a₁，a₂，a₃)，L₂(m_r，4，L||m_r，3，H)＝(b₀，b₁，b₂，b₃)；

(5)对左、右S盒进行运算形成新的S_L′及S_R′；运算方法是通过S盒预计算查表获得或通过公式在算法运算中通过S盒掩码计算获得；

(6)对于F函数的W输出，对每1轮的X₀加掩码防护得到 $X_0\&CirclePlus;m_{r+\mathrm{1,1}}\&CirclePlus;(-m_{r+\mathrm{1,2}}),$ 则 $R_1\&CirclePlus;m_{r+1,1}\&CirclePlus;X_0\&CirclePlus;m_{r+1,1}\&CirclePlus;(-m_{r+\mathrm{1,2}})=R_1\&CirclePlus;X_0\&CirclePlus;(-m_{r+\mathrm{1,2}});$ 由于m_r+1，2为已知，可将的异或运算转化成加法运算为由于m_r+1，2为已知，可对的异或运算转化成加法运算为R₂+m_r+1，2；则加上R₂+m_r+1，2即为正确的W输出。

2.根据权利要求1所述的轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，其特征在于，步骤(2)中异或(布尔)运算转化成加法(算术)运算h(x，y)的原理为：已知X、r为已知值，x不能参与运算，求A＝x+r，即输入(X，r)，求输出A＝h(X，r)的算法如下：已知 $A=(X\&CirclePlus;r)+r=(X\&CirclePlus;r)-r+2r,$ 对于 $A^{\&prime;}=(X\&CirclePlus;r)-r,$ 可得 $A^{\&prime;}=[(X\&CirclePlus;\mathrm{\&gamma;})-\mathrm{\&gamma;}]\&CirclePlus;X\&CirclePlus;[(X\&CirclePlus;(r\&CirclePlus;\mathrm{\&gamma;}))-(r\&CirclePlus;\mathrm{\&gamma;})],$ 得 $A=A^{\&prime;}+2r=(((X\&CirclePlus;\mathrm{\&gamma;})-\mathrm{\&gamma;})\&CirclePlus;X\&CirclePlus;\left((X\&CirclePlus;(r\&CirclePlus;\mathrm{\&gamma;}))-(r\&CirclePlus;\mathrm{\&gamma;}))\right)+2r,$ 即将加法掩码转化成异或掩码，具体算法步骤如下：

$T=X\&CirclePlus;\mathrm{\&gamma;}$

T＝T-γ

$T=T\&CirclePlus;X$

$\mathrm{\&gamma;}=r\&CirclePlus;\mathrm{\&gamma;}$

$A=X\&CirclePlus;\mathrm{\&gamma;}.$

A＝A-γ

$A=A\&CirclePlus;T$

A＝A+(r＜＜1)

3.根据权利要求1所述的轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，其特征在于，步骤(3)中，加法运算转化成异或运算g(x，y)的原理为，已知A＝x+r，A、r为已知值，x不能参与运算，求即输入(A，r)，求输出X＝g(A，r)算法如下：已知则 $X=(A-r)\&CirclePlus;r=(A+\stackrel{\&OverBar;}{r}+1)\&CirclePlus;(\stackrel{\&OverBar;}{r}+1)\&CirclePlus;r\&CirclePlus;(\stackrel{\&OverBar;}{r}+1),$ 对于 $X^{\&prime;}=(A+\stackrel{\&OverBar;}{r}+1)\&CirclePlus;(\stackrel{\&OverBar;}{r}+1),$ 可得其中，K为32，t_K-1满足：

从而可得即将加法掩码转化成异或掩码，其具体算法步骤为：

$r1=\stackrel{\&OverBar;}{r}+1$

T＝2γ

$X=\mathrm{\&gamma;}\&CirclePlus;r1$

Ω＝γ&X

$X=T\&CirclePlus;A$

$\mathrm{\&gamma;}=\mathrm{\&gamma;}\&CirclePlus;X$

γ＝γ&r1

$\mathrm{\&Omega;}=\mathrm{\&Omega;}\&CirclePlus;\mathrm{\&gamma;}$

for k＝1to K-1do

γ＝T&r1

$\mathrm{\&gamma;}=\mathrm{\&gamma;}\&CirclePlus;\mathrm{\&Omega;}$

T＝T&A

$\mathrm{\&gamma;}=\mathrm{\&gamma;}\&CirclePlus;T$

T＝2γ

end for

$X=X\&CirclePlus;T$

$X=X\&CirclePlus;r.$

$X=X\&CirclePlus;r1$

4.根据权利要求1所述的轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，其特征在于，步骤(5)中，通过S盒预计算查表获得的具体方法是：

S1、引入5个4比特的随机数m₁、m₂、m₃、m₄、m₅，新S盒S₀′(x)输入为 $x\&CirclePlus;\left(m_1\right|\left|m_2\right);$

S2、预计算S盒 ${P_1}^{\&prime;}\left(x\right)=P_1(x\&CirclePlus;m_2)\&CirclePlus;m_3,{P_2}^{\&prime;}\left(x\right)=P_2(x\&CirclePlus;m_1\&CirclePlus;m_3)\&CirclePlus;m_4,$ 每个S盒为4×4小S盒，每个字节可存储S盒表中的两个值，共需24字节的存储空间；

S3、对于S₀盒输入的8比特数据x＝x₁||x₂，左右两边4比特数据x₁、x₂分别异或m₁、m₂，得到

S4、对右边进行P₁′查表，得到

S5、左边 $x_1\&CirclePlus;m_1$ 与 $P_1\left(x_2\right)\&CirclePlus;m_3$ 异或得 $P_1\left(x_2\right)\&CirclePlus;x_1\&CirclePlus;m_1\&CirclePlus;m_3;$ 进行P₂′查表，得到 ${P_2}^{\&prime;}(P_1\left(x_2\right)\&CirclePlus;x_1\&CirclePlus;m_1\&CirclePlus;m_3)=P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;m_4;$

S6、右边 $x_2\&CirclePlus;m_2$ 与 $P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;m_4$ 异或得 $P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2\&CirclePlus;m_2\&CirclePlus;m_4;$ 进行P₃′查表，得到 ${P_3}^{\&prime;}(P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2\&CirclePlus;m_2\&CirclePlus;m_4)=P_3(P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2)\&CirclePlus;m_5;$

S7、左边 $P_1\left(x_2\right)\&CirclePlus;x_1\&CirclePlus;m_1\&CirclePlus;m_3$ 与 $P_3(P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2)\&CirclePlus;m_5$ 异或得 $P_3(P_2(P_1\left(x_2\right)\&CirclePlus;x_1)\&CirclePlus;x_2)\&CirclePlus;P_1\left(x_2\right)\&CirclePlus;x_1\&CirclePlus;m_1\&CirclePlus;m_3\&CirclePlus;m_5=y_1\&CirclePlus;m_1\&CirclePlus;m_3\&CirclePlus;m_5;$ 右边输出其中y₁、y₂分别为左右两边不带掩码时的输出；将左右两部分联合在一起 $(y_1\&CirclePlus;m_1\&CirclePlus;m_3\&CirclePlus;m_5)\left|\right|(y_2\&CirclePlus;m_2\&CirclePlus;m_4)=\left(y_1\right|\left|y_2\right)\&CirclePlus;\left(m_1\right|\left|m_2\right)\&CirclePlus;\left((m_3\&CirclePlus;m_5)\right|\left|m_4\right);$ 经过m比特循环移位后，得到S₀的输出其中y＝(y₁||_y2)＜＜＜m，为不带掩码时的S₀输出。

5.根据权利要求1所述的轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，其特征在于，步骤(5)中，通过公式在算法运算中通过S盒掩码计算是采用了有限域转化成合成域上的求逆运算，形成一个新的S盒，其具体步骤为：

S1、引入1个8比特的随机数m，新S盒S₁′(x)的输入为

S2、S盒的输入掩码m∈GF(2⁸)进行合成域T转换成GF((2⁴)²)合成域的 $T(x\&CirclePlus;m)=T\left(x\right)\&CirclePlus;T\left(m\right),T\left(m\right);$

S3、将 $T(x\&CirclePlus;m)=T\left(x\right)\&CirclePlus;T\left(m\right),$ T(m)进行乘法运算得 $T\left(x\right)T\left(m\right)\&CirclePlus;T{\left(m\right)}^2;$

S4、对T(m)进行平方运算得T(m)²，与异或得T(x)T(m)；

S5、将T(x)T(m)输入一个0值检测函数F(x)中，判断T(x)T(m)是否为0，若为0，函数F(x)＝1，否则为0，该步用于抗零值攻击；

S6、对T(x)T(m)进行逆运算，得T(x)^-1T(m)^-1；

S7、T(x)^-1T(m)^-1异或1得

S8、 $T{\left(x\right)}^{-1}T{\left(m\right)}^{-1}\&CirclePlus;1$ 与T(m)进行乘法运算，得 $T{\left(x\right)}^{-1}\&CirclePlus;T\left(m\right);$

S9、进行合成域T^-1逆转换成GF(2⁸)中的

S10、对 $x^{-1}\&CirclePlus;m$ 进行仿射变换 $(\mathrm{mx}\&CirclePlus;0x55)$ 得 ${\mathrm{Mx}}^{-1}\&CirclePlus;0x55\&CirclePlus;\mathrm{Mm}=S_1\left(x\right)\&CirclePlus;\mathrm{Mm},$ 即新S盒 ${S_1}^{\&prime;}\left(x\right)=S_1(x\&CirclePlus;m)\&CirclePlus;\mathrm{Mm};$

上述运算中，若逆运算的输入为0，则F(x)＝1，S(x，y)运算的输出为T(m)；求逆运算的输出为T(m)^-1，异或1为与T(m)相乘为异或F(x)＝1，得到输出为T(m)；再进行T逆转换和仿射变换，得