CN105743644A - 一种多变量二次方程的掩码加密装置 - Google Patents

Abstract

本发明公开了一种多变量二次方程的掩码加密装置，包括：第一掩码生成器，用于随机生成n个掩码；n≥1；第一异或计算器，用于将所述n个掩码与n个密钥一一对应进行异或加密；第一掩码型乘法器，用于根据加密后的n个密钥、所述n个掩码和明文，采用掩码算法，计算获得多变量二次方程中n个单项式的加密值；以及，第一累加器，用于将所述n个单项式的加密值依次累加到寄存器中，获得密文。采用本发明实施例，能够有效提高密钥的安全性，抵御侧行道攻击。

Description

一种多变量二次方程的掩码加密装置

技术领域

本发明涉及信息安全技术领域，尤其涉及一种多变量二次方程的掩码加密装置。

背景技术

MQ问题(MQproblem)是指在一个有限域上求解一组多变量二次方程的问题，一般来说该问题是NP困难的。MQ问题在密码学上是一个非常有研究前景的难题，大量的密码算法基于MQ问题被设计出来，主要包括多变量公钥密码算法(MPKC)、流密码算法QUAD和身份认证算法等。其中，多变量二次方程可以表示如下：

Q(x)＝∑_{1≤i≤j≤n}α_ijx_ix_j+∑_1≤i≤nβ_ijx_i+γ

侧信道攻击(sidechannelattack简称SCA)，又称旁路攻击，是一种针对加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进行攻击的方法。这种攻击方法给密码设备带来了严重的威胁。

但是，现有技术均未考虑多变量二次方程的侧信道泄露问题。加密时，直接按照顺序逐项计算多变量二次方程中的每一个单项式，再把每个单项式的计算结果累加后暂存于寄存器中。攻击者通过对寄存器存储操作的功耗进行分析，即可获得密钥或明文信息(a_ij或者x_j的信息)，进而攻破密码算法。

发明内容

本发明实施例提出一种多变量二次方程的掩码加密装置，能够有效提高密钥的安全性，抵御侧行道攻击。

本发明实施例提供一种多变量二次方程的加密装置，包括：

第一掩码生成器，用于随机生成n个掩码；n≥1；

第一异或计算器，用于将所述n个掩码与n个密钥一一对应进行异或加密；

第一掩码型乘法器，用于根据加密后的n个密钥、所述n个掩码和明文，采用掩码算法，计算获得多变量二次方程中n个单项式的加密值；以及，

第一累加器，用于将所述n个单项式的加密值依次累加到寄存器中，获得密文。

进一步地，所述掩码为m_i；所述密钥为x_i；1≤i≤n；

所述第一异或计算器具体用于将所述n个掩码与n个密钥一一对应进行异或加密，获得每个密钥的掩码型密钥

进一步地，所述明文为α_ij；1≤i≤j≤n；

所述第一掩码型乘法器具体包括：

第一乘法器，用于分别计算和m_i×m_j；

第二乘法器，用于将α_ij分别乘以和m_i×m_j，获得和α_ij×m_i×m_j；

第二异或计算器，用于将m_j与α_ij×m_i×m_j进行异或操作，获得(α_ij×m_i×m_j)⊕m_j；

第三异或计算器，用于将(α_ij×m_i×m_j)⊕m_j与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j);$

第四异或计算器，用于将 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j)$ 与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\left)\right);$

第五异或计算器，用于将 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\left)\right)$ 与进行异或操作，获得每个单项式的加密值(α_ij×x_i×x_j)⊕m_j； $({\mathrm{\α}}_{ij}\×x_i\×m_j)\⊕m_j=\left({\mathrm{\α}}_{ij}\×x_i^m\×m_j^m\right)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕(\left({\mathrm{\α}}_{ij}\×x_i^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\left)\right).$

进一步地，所述第一累加器采用累加方法获取密文；所述累加方法具体包括：

在将第j个单项式的加密值(α_ij×x_i×x_j)⊕m_j累加到所述寄存器时，读取所述寄存器中的值Q_j-1；

将Q_j-1与第j-1个单项式的加密值所采用的掩码m_j-1进行异或操作，获得Q_j-1⊕m_j-1；

将(α_ij×x_i×x_j)⊕m_j与Q_j-1⊕m_j-1进行累加，获得Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

将Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j写入所述寄存器中，使所述寄存器中的值为Q_j＝Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

在将第n个单项式的加密值累加到所述寄存器后，读取所述寄存器中的值Q_n；

将Q_n与第n个单项式的加密值所采用的掩码m_n进行异或操作，获得Q_n⊕m_n即为所述密文。

相应地，本发明实施例还提供一种多变量二次方程的掩码加密装置，包括：

第二掩码生成器，用于随机生成n个掩码；n≥1；

第六异或计算器，用于将所述n个掩码与n个明文一一对应进行异或加密；

第二掩码型乘法器，用于根据加密后的n个明文、所述n个掩码和密钥，采用掩码算法，计算获得多变量二次方程中n个单项式的加密值；以及，

第二累加器，用于将所述n个单项式的加密值依次累加到寄存器中，获得密文。

进一步地，所述掩码为m_i；所述明文为x_i；其中，1≤i≤n；

所述第四异或计算器具体用于将所述n个掩码与n个明文一一对应进行异或加密，获得每个明文的掩码型明文

进一步地，所述密钥为α_ij；1≤i≤j≤n；

所述第二掩码型乘法器具体包括：

第三乘法器，用于分别计算和m_i×m_j；

第四乘法器，用于将α_ij分别乘以和m_i×m_j，获得和α_ij×m_i×m_j；

第七异或计算器，用于将m_j与α_ij×m_i×m_j进行异或操作，获得(α_ij×m_i×m_j)⊕m_j；

第八异或计算器，用于将(α_ij×m_i×m_j)⊕m_j与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j);$

第九异或计算器，用于将 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j)$ 与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\left)\right);$ 以及，

第十异或计算器，用于将 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\left)\right)$ 与进行异或操作，获得每个单项式的加密值(α_ij×x_i×x_j)⊕m_j； $({\mathrm{\α}}_{ij}\×x_i\×m_j)\⊕m_j=\left({\mathrm{\α}}_{ij}\×x_i^m\×x_j^m\right)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕(\left({\mathrm{\α}}_{ij}\×x_i^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\left)\right).$

进一步地，所述第二累加器采用累加方法获取密文；所述累加方法具体包括：

在将第j个单项式的加密值(α_ij×x_i×x_j)⊕m_j累加到所述寄存器时，读取所述寄存器中的值Q_j-1；

将Q_j-1与第j-1个单项式的加密值所采用的掩码m_j-1进行异或操作，获得Q_j-1⊕m_j-1；

将(α_ij×x_i×x_j)⊕m_j与Q_j-1⊕m_j-1进行累加，获得Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

将Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j写入所述寄存器中，使所述寄存器中的值为Q_j＝Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

在将第n个单项式的加密值累加到所述寄存器后，读取所述寄存器中的值Q_n；

将Q_n与第n个单项式的加密值所采用的掩码m_n进行异或操作，获得Q_n⊕m_n即为所述密文。

实施本发明实施例，具有如下有益效果：

本发明实施例提供的多变量二次方程的掩码加密装置，能够在计算多变量二次方程时，对多变量二次方程中的变量，即密钥或明文采用随机化的掩码进行异或加密，进而对多变量二次方程的中间结果，即每个单项式均被加密，避免在每个单项式写入寄存器时的侧信道泄露，从而抵御侧行道攻击，有效提高密钥的安全性。

附图说明

图1是本发明提供的多变量二次方程的掩码加密装置的第一个实施例的结构示意图；

图2是本发明提供的多变量二次方程的掩码加密装置中第一掩码型乘法器的第一个实施例的结构示意图；

图3是本发明提供的多变量二次方程的掩码加密装置中第一掩码型乘法器的第二个实施例的结构示意图；

图4是本发明提供的多变量二次方程的掩码加密装置的第二个实施例的结构示意图；

图5是本发明提供的多变量二次方程的掩码加密装置的第三个实施例的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，是本发明提供的多变量二次方程的掩码加密装置的第一个实施例的结构示意图，包括：

第一掩码生成器11，用于随机生成n个掩码；n≥1；

第一异或计算器12，用于将所述n个掩码与n个密钥一一对应进行异或加密；

第一掩码型乘法器13，用于根据加密后的n个密钥、所述n个掩码和明文，采用掩码算法，计算获得多变量二次方程中n个单项式的加密值；以及，

第一累加器14，用于将所述n个单项式的加密值依次累加到寄存器中，获得密文。

需要说明的是，在有限域上计算具有r个方程的多变量二次方程组 $\left\{\begin{array}{c}{Q}_1\left(x\right)={\mathrm{\Σ}}_{1\≤i\≤j\≤n}{\mathrm{\α}}_{ij}^1{x}_i{x}_j+{\mathrm{\γ}}^1\\ ......\\ Q_r\left(x\right)={\mathrm{\Σ}}_{1\≤i\≤j\≤n}{\mathrm{\α}}_{ij}^r{x}_i{x}_j+{\mathrm{\γ}}^r\end{array}\right.$ 来实现对密钥、明文的加密。其中，α_ij为明文，x_i、x_j为密钥。在本发明实施例中，在分别计算每个多变量二次方程时，第一掩码生成器11随机产生n个掩码，第一异或计算器12采用第一掩码生成器11产生的n个掩码对n个密钥一一对应地进行异或加密，输出n个掩码性密钥，即加密后的密钥。第一掩码型乘法器13接收第一掩码生成器11产生的n个掩码、第一异或计算器12输出的n个掩码性密钥和明文，采用掩码算法，逐一输出多变量二次方程中的每个单项式的加密值，即掩码后的单项式。最后，第一累加器14将第一掩码型乘法器13中逐一输出的单项式的加密值依次累加到寄存器中，并对寄存器中的值进行处理，即可获得多变量二次方程所需的正确运算结果，即密文。其中，第一累加器14在将每个单项式的加密值依次累加到寄存器时，写入寄存器中的值均为被掩码的值，而掩码为一个随机化的值，使得攻击者无法通过寄存器的功耗分析来获取密钥信息，从而难以实现对侧信道的攻击。

需要说明的是，本发明实施例提供的多变量二次方程的掩码加密装置一般应用在智能卡中，密钥通过多变量二次方程的算法进行加密后存储到智能卡的存储器中。其中，每个多变量二次方程中各个单项式均采用掩码加密，累加到存储器中的值也为掩码后的加密值，从而防止攻击者通过对存储器进行功耗分析而获取密钥信息。

进一步地，所述掩码为m_i；所述密钥为x_i；1≤i≤n；

所述第一异或计算器具体用于将所述n个掩码与n个密钥一一对应进行异或加密，获得每个密钥的掩码型密钥

其中，n个掩码为M＝{m₁,...,m_i,...,m_j,...,m_n}，n个密钥为X＝{x₁,...,x_i,...,x_j,...,x_n}，1≤i≤j≤n。n个掩码一一对应地对n个密钥进行异或加密，获得掩码型密钥X^m＝X⊕M，则并将掩码型密钥X^m和掩码M分别存于n位的寄存器中。

进一步地，所述明文为α_ij；1≤i≤j≤n。

在一个优选地实施方式中，如图2所示，所述第一掩码型乘法器13具体包括：

第一乘法器21，用于分别计算和m_i×m_j；

第二乘法器22，用于将α_ij分别乘以和m_i×m_j，获得和α_ij×m_i×m_j；

第二异或计算器23，用于将m_j与α_ij×m_i×m_j进行异或操作，获得(α_ij×m_i×m_j)⊕m_j；

第三异或计算器24，用于将(α_ij×m_i×m_j)⊕m_j与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j);$

第四异或计算器25，用于将 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j)$ 与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\left({\mathrm{\α}}_{ij}\×x_j^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\right);$

第五异或计算器26，用于将 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\left({\mathrm{\α}}_{ij}\×x_j^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\right)$ 与进行异或操作，获得每个单项式的加密值(α_ij×x_i×x_j)⊕m_j； $({\mathrm{\α}}_{ij}\×x_i\×x_j)\⊕m_j=\left({\mathrm{\α}}_{ij}\×x_i^m\×x_j^m\right)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕(\left({\mathrm{\α}}_{ij}\×x_i^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\left)\right).$

在另一个优选地实施方式，如图3所示，所述第一掩码型乘法器13具体包括4个第一普通乘法器(301、302、303、304)，4个第二普通乘法器(305、306、307、308)和4个逻辑计算器(309、310、311、312)。4个第一普通乘法器(301、302、303、304)分别计算和m_i×m_j，4个第二普通乘法器(305、306、307、308)一一对应地对4个第一普通乘法器(301、302、303、304)计算出的值乘上α_ij，并输出。逻辑计算器309将第二普通乘法器308输出的值与m_j进行异或操作，并输出。逻辑计算器310将逻辑计算器309输出的值与第二普通乘法器307进行异或操作，并输出。逻辑计算器311将逻辑计算器310输出的值与第二普通乘法器306进行异或操作，并输出。逻辑计算器312将逻辑计算器311输出的值与第二普通乘法器305进行异或操作，并输出，逻辑计算器312输出的值即为单项式的加密值(α_ij×x_i×x_j)⊕m_j。

需要说明的是，在计算每个单项式的加密值时，掩码算法按照上述计算顺序进行计算，使得在整个计算过程中没有x_i，x_j和x_i×x_j单独出现，从而防止侧信道泄露。

进一步地，所述第一累加器采用累加方法获取密文；所述累加方法具体包括：

在将第j个单项式的加密值(α_ij×x_i×x_j)⊕m_j累加到所述寄存器时，读取所述寄存器中的值Q_j-1；

将Q_j-1与第j-1个单项式的加密值所采用的掩码m_j-1进行异或操作，获得Q_j-1⊕m_j-1；

将(α_ij×x_i×x_j)⊕m_j与Q_j-1⊕m_j-1进行累加，获得Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

将Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j写入所述寄存器中，使所述寄存器中的值为Q_j＝Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

在将第n个单项式的加密值累加到所述寄存器后，读取所述寄存器中的值Q_n；

将Q_n与第n个单项式的加密值所采用的掩码m_n进行异或操作，获得Q_n⊕m_n即为所述密文。

需要说明的是，在将每个单项式掩码后的加密值累加到寄存器中时，由于寄存器中存储的也为掩码后的加密值，因此，需先对寄存器中存储的值进行异或操作，去掉其掩码。例如，在累加第j个单项式的加密值时，先读取寄存器中的值Q_j-1，将Q_j-1与第上个累加的单项式，即第j-1个单项式所采用的掩码m_j-1进行异或操作，从而去掉寄存器中的掩码。再将第j个单项式的加密值与去掉掩码后的寄存器值Q_j-1⊕m_j-1相加后写入到寄存器中。在累加完最后一个单项式加密值后，读取寄存器中的值Q_n，去掉Q_n中的掩码m_n，即可获得多变量二次方程所需的正确结果，即密文。其中，写入到寄存器中的值均为被掩码后的值，从而防止侧信道泄露。

参见图4，是本发明提供的多变量二次方程的掩码加密装置的第二个实施例的结构示意图，包括

第二掩码生成器41，用于随机生成n个掩码；n≥1；

第六异或计算器42，用于将所述n个掩码与n个明文一一对应进行异或加密；

第二掩码型乘法器43，用于根据加密后的n个明文、所述n个掩码和密钥，采用掩码算法，计算获得多变量二次方程中n个单项式的加密值；以及，

第二累加器44，用于将所述n个单项式的加密值依次累加到寄存器中，获得密文。

需要说明的是，本发明实施例还可对明文进行掩码，从而实现对多变量二次方程中每个单项式的加密。其中，对明文进行掩码的方法与对密钥进行掩码的方法相同，在这不再一一详细描述。

进一步地，所述掩码为m_i；所述明文为x_i；其中，1≤i≤n；

所述第四异或计算器具体用于将所述n个掩码与n个明文一一对应进行异或加密，获得每个明文的掩码型明文

进一步地，所述密钥为α_ij；1≤i≤j≤n；

所述第二掩码型乘法器具体包括：

第三乘法器，用于分别计算和m_i×m_j；

第四乘法器，用于将α_ij分别乘以和m_i×m_j，获得和α_ij×m_i×m_j；

第七异或计算器，用于将m_j与α_ij×m_i×m_j进行异或操作，获得(α_ij×m_i×m_j)⊕m_j；

第八异或计算器，用于将(α_ij×m_i×m_j)⊕m_j与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j);$

第九异或计算器，用于将 $({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕\left(\right({\mathrm{\α}}_{ij}\×m_i\×m_j)\⊕m_j)$ 与进行异或操作，获得 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\left)\right);$ 以及，

第十异或计算器，用于将 $({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_j^m\×m_i)\⊕(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\left)\right)$ 与进行异或操作，获得每个单项式的加密值(α_ij×x_i×x_j)⊕m_j； $({\mathrm{\α}}_{ij}\×x_i\×x_j)\⊕m_j=\left({\mathrm{\α}}_{ij}\×x_i^m\×x_j^m\right)\⊕\left(\right({\mathrm{\α}}_{ij}\×x_i^m\×m_j)\⊕(\left({\mathrm{\α}}_{ij}\×x_j^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\left)\right).$

进一步地，所述第二累加器采用累加方法获取密文；所述累加方法具体包括：

在将第j个单项式的加密值(α_ij×x_i×x_j)⊕m_j累加到所述寄存器时，读取所述寄存器中的值Q_j-1；

将Q_j-1与第j-1个单项式的加密值所采用的掩码m_j-1进行异或操作，获得Q_j-1⊕m_j-1；

将(α_ij×x_i×x_j)⊕m_j与Q_j-1⊕m_j-1进行累加，获得Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

将Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j写入所述寄存器中，使所述寄存器中的值为Q_j＝Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

在将第n个单项式的加密值累加到所述寄存器后，读取所述寄存器中的值Q_n；

将Q_n与第n个单项式的加密值所采用的掩码m_n进行异或操作，获得Q_n⊕m_n即为所述密文。

参见图5，是本发明提供的多变量二次方程的掩码加密装置的第三个实施例的结构示意图，包括掩码寄存器61、掩码型变量寄存器62、掩码型乘法器63、加法器64、异或器65、判断器66和寄存器67。本发明实施例提供的多变量二次方程的加密装置用于实现多变量二次方程组的加密，其中，多变量二次方程组具有r个多变量二次方程。在计算每个多变量二次方程时，掩码型变量寄存器62获取多变量二次方程中的变量X，并将获取的变量X与掩码M异或，从而获得掩码型变量X^m。掩码型乘法器63接收掩码型变量寄存器62输出的掩码型变量和掩码寄存器61输出的掩码m_i和m_j，以及系数α_ij，并在计算后输出单项式的加密值，并将单项式的加密值累加到寄存器67中。判断器66在寄存器67中累加了第j-1个单项式的加密值后判断所有单项式是否累加完毕，若否，则判定为0，将寄存器67中的值与第j-1个单项式的加密值所采用的掩码m_j-1进行异或操作，将异或后的值与第j个单项式的加密值累加后写入到寄存器67中；若是，则判定为1，将寄存器67中的值与最后一个单项式，即第n个单项式的加密值所采用的掩码m_n进行异或操作，异或操作后寄存器67中输出的值即为密文。在完成r个多变量二次方程的计算后，即实现加密。

本发明实施例提供的多变量二次方程的掩码加密装置，能够在计算多变量二次方程时，对多变量二次方程中的变量，即密钥或明文采用随机化的掩码进行异或加密，进而对多变量二次方程的中间结果，即每个单项式均被加密，避免在每个单项式写入寄存器时的侧信道泄露，从而抵御侧行道攻击，有效提高密钥的安全性。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims (8)

1.一种多变量二次方程的掩码加密装置，其特征在于，包括：

第一掩码生成器，用于随机生成n个掩码；n≥1；

第一异或计算器，用于将所述n个掩码与n个密钥一一对应进行异或加密；

第一掩码型乘法器，用于根据加密后的n个密钥、所述n个掩码和明文，采用掩码算法，计算获得多变量二次方程中n个单项式的加密值；以及，

第一累加器，用于将所述n个单项式的加密值依次累加到寄存器中，获得密文。

2.如权利要求1所述的多变量二次方程的掩码加密装置，其特征在于，所述掩码为m_i；所述密钥为x_i；1≤i≤n；

所述第一异或计算器具体用于将所述n个掩码与n个密钥一一对应进行异或加密，获得每个密钥的掩码型密钥

3.如权利要求2所述的多变量二次方程的掩码加密装置，其特征在于，所述明文为α_ij；1≤i≤j≤n；

所述第一掩码型乘法器具体包括：

第一乘法器，用于分别计算和

第二乘法器，用于将α_ij分别乘以和获得和

第二异或计算器，用于将m_j与α_ij×m_i×m_j进行异或操作，获得(α_ij×m_i×m_j)⊕m_j；

第三异或计算器，用于将与进行异或操作，获得

第四异或计算器，用于将与进行异或操作，获得

第五异或计算器，用于将与进行异或操作，获得每个单项式的加密值 $\left({\mathrm{\α}}_{ij}\×x_i\×x_j\right)\⊕m_j=\left({\mathrm{\α}}_{ij}\×x_i^m\×x_j^m\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×x_i^m\×m_j\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×x_j^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\right)\right).$

4.如权利要求3所述的多变量二次方程的掩码加密装置，其特征在于，所述第一累加器采用累加方法获取密文；所述累加方法具体包括：

在将第j个单项式的加密值累加到所述寄存器时，读取所述寄存器中的值Q_j-1；

将Q_j-1与第j-1个单项式的加密值所采用的掩码m_j-1进行异或操作，获得Q_j-1⊕m_j-1；

将(α_ij×x_i×x_j)⊕m_j与Q_j-1⊕m_j-1进行累加，获得Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

将Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j写入所述寄存器中，使所述寄存器中的值为Q_j＝Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

在将第n个单项式的加密值累加到所述寄存器后，读取所述寄存器中的值Q_n；

将Q_n与第n个单项式的加密值所采用的掩码m_n进行异或操作，获得Q_n⊕m_n即为所述密文。

5.一种多变量二次方程的掩码加密装置，其特征在于，包括：

第二掩码生成器，用于随机生成n个掩码；n≥1；

第六异或计算器，用于将所述n个掩码与n个明文一一对应进行异或加密；

第二掩码型乘法器，用于根据加密后的n个明文、所述n个掩码和密钥，采用掩码算法，计算获得多变量二次方程中n个单项式的加密值；以及，

第二累加器，用于将所述n个单项式的加密值依次累加到寄存器中，获得密文。

6.如权利要求5所述的多变量二次方程的掩码加密装置，其特征在于，所述掩码为m_i；所述明文为x_i；其中，1≤i≤n；

所述第四异或计算器具体用于将所述n个掩码与n个明文一一对应进行异或加密，获得每个明文的掩码型明文

7.如权利要求6所述的多变量二次方程的掩码加密装置，其特征在于，所述密钥为α_ij；1≤i≤j≤n；

所述第二掩码型乘法器具体包括：

第三乘法器，用于分别计算和

第四乘法器，用于将α_ij分别乘以和获得和

第七异或计算器，用于将m_j与α_ij×m_i×m_j进行异或操作，获得(α_ij×m_i×m_j)⊕m_j；

第八异或计算器，用于将(α_ij×m_i×m_j)⊕m_j与进行异或操作，获得

第九异或计算器，用于将与进行异或操作，获得以及，

第十异或计算器，用于将与进行异或操作，获得每个单项式的加密值(α_ij×x_i×x_j)⊕m_j； $\left({\mathrm{\α}}_{ij}\×x_i\×x_j\right)\⊕m_j=\left({\mathrm{\α}}_{ij}\×x_i^m\×x_j^m\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×x_i^m\×m_j\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×x_j^m\×m_i\right)\⊕\left(\left({\mathrm{\α}}_{ij}\×m_i\×m_j\right)\⊕m_j\right)\right)\right).$

8.如权利要求7所述的多变量二次方程的掩码加密装置，其特征在于，所述第二累加器采用累加方法获取密文；所述累加方法具体包括：

在将第j个单项式的加密值(α_ij×x_i×x_j)⊕m_j累加到所述寄存器时，读取所述寄存器中的值Q_j-1；

将Q_j-1与第j-1个单项式的加密值所采用的掩码m_j-1进行异或操作，获得Q_j-1⊕m_j-1；

将(α_ij×x_i×x_j)⊕m_j与Q_j-1⊕m_j-1进行累加，获得Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

将Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j写入所述寄存器中，使所述寄存器中的值为Q_j＝Q_j-1⊕m_j-1+(α_ij×x_i×x_j)⊕m_j；

在将第n个单项式的加密值累加到所述寄存器后，读取所述寄存器中的值Q_n；

将Q_n与第n个单项式的加密值所采用的掩码m_n进行异或操作，获得Q_n⊕m_n即为所述密文。