CN107769910A - 一种基于Latch PUF的抗边信道攻击DES防护方法及电路 - Google Patents

Abstract

本发明公开了一种基于Latch PUF的抗边信道攻击DES防护方法及电路，方法具体包括生成初始参数、二维辅助置换向量、一维辅助置换表、DES掩码准备、掩码S盒置换、掩码解除和掩码后操作。电路包括DES基本模块、基于Latch PUF的真随机数生成器（TRNG）、基于ROM（只读存储器）存储的二维辅助置换表P、基于ROM存储的盒、基于RAM（随机存取存储器）存储的一维辅助置换表、初始化模块、掩码S盒置换模块、循环计数器和掩码解除模块。本发明能够大幅减小DES加密过程中各种边信道泄露信息，使得攻击者很难正确获得DES加密时使用的密钥。

Description

一种基于Latch PUF的抗边信道攻击DES防护方法及电路

技术领域

本发明涉及一种基于Latch PUF的抗边信道攻击DES防护方法及电路，属于信息安全技术领域。

背景技术

在信息社会，密码技术应用于人们的方方面面，常用于提供机密性的信息，即保护传输和存储的信息。密码技术还可用于消息签名、身份认证、系统控制、信息来源等，是关系人类社会发展进步的重要技术。密码编码学得到发展的同时，与之对应的密码分析学也有了很大的进步。现实中，密码算法的设计安全不仅局限于算法本身的安全性，还包括其实现的物理实体——密码芯片的安全性。密码芯片在工作时，会发生很多额外信息泄露(边信道信息泄露)，这些信息泄露都是由于芯片的物理特性产生的，与之对应的密码分析方法称之为边信道攻击(Side-Channel attack，SCA)。

边信道攻击绕开了分析复杂的密码算法本身，将密码芯片运行密码算法时泄露的各种信息(运行时间、功耗、电磁辐射、Cache、声音等)进行分析。目前，边信道攻击已成为密码算法实现安全性的最大威胁，边信道攻击技术已经成功应用于攻击大部分的密码算法和协议，包括公钥算法(如RSA、ECC等)、分组密码(如DES、CLEFIA、AES、Camellia等)、序列密码(RC4、Trivium等)和密码协议(SSL协议、TLS协议、PKCS协议等)，并针对于不同处理器硬件平台、操作系统上的软件实现以及不同的智能卡、以及FPGA、ASIC上的硬件实现均有对应的有效的攻击分析方法，已经成为密码安全领域最大威胁，具有抗边信道攻击能力的加密电路成为密码安全领域亟待解决的第一难题。

关于抗边信道攻击，尤其是抗功耗分析的方法研究，主要分为两大类：功耗隐藏与掩码技术，功耗隐藏研究的目的是移除功耗与计算数据相关性之间的统计学关系，通常将密码芯片执行密码算法时的功耗进行均衡化或随机化，使得攻击者无法轻松从功耗中提取出计算数据的相关性，这要求从根本上修改电路，在实际操作上复杂度较高；而掩码技术是将密码芯片执行密码算法时的中间值进行随机化，即使用掩码策略掩蔽掉中间值所含加密密钥信息，进而功耗等边信道泄露中所含加密密钥信息大大减小，攻击者从这些边信道泄露中提取出的信息不足以恢复密钥。

近些年来，随着智能卡、RFID(Radio Frequency Identification，射频识别)标签和传感器网络节点等物理实体的广泛应用，如何对这些物理实体实施有效认证是确保系统安全的关键因素。然而，由于这类实体普遍存在计算能力差、资源有限等问题，传统基于密码学的认证方法在应用时存在很大障碍。借鉴当前普遍使用的基于人体唯一特征指纹或虹膜对个人实施认证的思想，人们提出了基于物理实体的内在物理构造来唯一地标识单个物理实体，实现对物理实体有效认证的方法。这就是人们提出的物理不可克隆函数(PhysicalUnclonable Function，PUF)的概念，借由PUF设计的真随机数发生器(True Random NumberGenerator，TRNG)生成的随机数有非常好的可靠性和唯一性，由于基于这种架构生成的随机数没有规律，攻击者无法预测下一个时刻的随机数具体值，这样的随机数可以很好的满足掩码策略所需的掩码随机数要求。

发明内容

本发明所要解决的技术问题是：提供一种基于Latch PUF的抗边信道攻击DES防护方法及电路，大幅减小DES(Data Encryption Standard，数据加密标准)加密过程中各种边信道泄露信息，对传统DES加密算法进行边信道攻击的防护。

本发明为解决上述技术问题采用以下技术方案：

一种基于Latch PUF的抗边信道攻击DES防护方法，包括如下步骤：

步骤1，利用真随机数生成器生成初始参数，包括随机数r₁、r₂、s、r_p，其中，随机数r₁、r₂均为6bit，随机数s为2bit，随机数r_p从1～105共105种可能；

步骤2，将步骤1生成的随机数r_p作为地址，从存储二维辅助置换表P的只读存储器中读取上述地址对应的一列数据作为二维辅助置换向量p，二维辅助置换表P为105列8行的矩阵；

步骤3，根据二维辅助置换向量p，确定S₁～S₈盒之间的两两链接关系；利用循环计数器顺序生成从000000到111111的所有二进制数x_k，将二进制数x_k作为一维辅助置换表的地址，并将二进制数x_k与随机数r₁进行异或后作为S₁～S₈盒的地址，将二进制数x_k与随机数r₂进行异或后作为与S₁～S₈盒链接的盒的地址，将S_i盒输出的四位比特中高两位与盒输出的四位比特中低两位及随机数s进行三异或，将三异或的结果作为一维辅助置换表T_i的数据存储在随机存取存储器的对应位置，i＝1,…,8；明文M进行初始置换后分为L₁和R₁左右两部分；

步骤4，对于第n轮加密，将R_n扩展置换后得到M_n，M_n与随机数r₂进行异或得到M′_n，将密钥K进行密钥置换、移位和压缩置换后得到K_n，K_n与随机数r₁进行异或得到K′_n，M′_n与K′_n再进行异或得到掩码后中间值x′_n，采用真随机数生成器生成随机数t，t为2bit，i＝1,…,8；n＝1,…,16；

步骤5，将x′_n分为8个8bit二进制数x′₁～x′₈，分别对x′₁～x′₈进行掩码S盒置换，对于每一个掩码S盒置换，将x′_i作为盒的地址，同时将x′_i与随机数r₁异或后作为表T_i的地址，并将x′_i与随机数r₂异或后作为表的地址，取表T_i输出与盒输出的四位比特中低两位及随机数t进行三异或作为掩码S盒置换结果高两位，同时取表输出与盒输出的四位比特中高两位进行异或作为掩码S盒置换结果低两位；

步骤6，根据随机数s和随机数t计算出实际掩码所用随机数m，并将m与掩码S盒置换结果进行异或，将异或得到的结果进行拼接得到Y_n；

步骤7，对Y_n进行P盒置换，将P盒置换结果与L_n进行异或作为新的右部分R_n+1，同时将P盒置换结果作为新的左部分L_n+1，n＝n+1，返回步骤4，重复十六次后进行末置换，得到加密结果。

作为本发明方法的一种优选方案，步骤2所述二维辅助置换向量p的形式如下：

p_1～8＝P(r_p,1:8)

其中，p_1～8表示二维辅助置换向量p的第1至第8个元素，P(r_p,1:8)表示二维辅助置换表P第r_p列的第1至第8个元素。

作为本发明方法的一种优选方案，步骤3所述三异或的形式如下：

其中，T_i表示一维辅助置换表，i＝1,…,8，x_k表示二进制数，表示x_k与随机数r₁进行异或，表示盒输出的四位比特中低两位，表示x_k与随机数r₂进行异或，S_iH表示S_i盒输出的四位比特中高两位，s为随机数。

一种基于Latch PUF的抗边信道攻击DES防护电路，包括未防护DES电路模块，还包括基于Latch PUF的真随机数生成器、基于ROM存储的二维辅助置换表P、基于ROM存储的S₁～S₈盒、基于RAM存储的一维辅助置换表T₁～T₈、初始化模块、掩码S盒置换模块、循环计数器以及掩码解除模块；所述基于LatchPUF的真随机数生成器用于生成随机数r₁、r₂、s、r_p、t；基于ROM存储的二维辅助置换表P用于在得到地址输入r_p后，输出对应存储的数据作为二维辅助置换向量；初始化模块根据二维辅助置换向量确定当前8个S盒的链接关系，循环计数器进行循环计数并输出六位二进制数x_k作为一维辅助置换表T的地址，同时将二进制数x_k与r₁进行异或后作为S₁～S₈盒的地址，并将x_k与r₂进行异或后作为盒的地址；然后将S₁～S₈盒输出的高两位与盒输出的低两位及随机数s进行三异或，作为一维辅助置换表T₁～T₈的数据；掩码S盒置换模块用于对掩码中间值进行掩码S盒置换；掩码解除模块用于对掩码S盒置换模块输出结果进行掩码解除。

作为本发明电路的一种优选方案，所述未防护DES电路模块包括初始置换模块、扩展置换模块、密钥置换模块、移位模块、压缩置换模块、P盒置换模块以及末置换模块；所述初始置换模块用于对明文进行初始置换后分为L₁和R₁左右两部分；扩展置换模块用于对R_n进行扩展置换并得到M_n；密钥置换模块、移位模块、压缩置换模块分别用于对密钥进行密钥置换、移位和压缩置换后得到K_n；P盒置换模块用于对拼接结果进行P盒置换；末置换模块用于对循环十六次后得到的结果进行末置换，得到加密结果，n＝1,…,16。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

1、本发明对DES加密算法中关键寄存器存储的中间值进行掩码操作，使得这些寄存器泄露的功耗、电磁等信息与加密密钥之间的相关性明显下降，攻击者仅依赖于明文、密文和泄露功耗信息不足以恢复出加密密钥。

2、本发明方法大幅减小DES加密过程中各种边信道泄露信息，使得攻击者很难正确获得DES加密时使用的密钥。

附图说明

图1是本发明一种基于Latch PUF的抗边信道攻击DES防护电路的结构示意图。

图2是本发明一种基于Latch PUF的抗边信道攻击DES防护方法的流程图。

图3是本发明RS Latch基本结构示意图。

图4是本发明基于Latch PUF的TRNG结构示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本发明建立在针对于DES的边信道攻击研究基础上，对传统DES加密算法进行边信道攻击的防护，对DES加密算法中关键寄存器存储的中间值进行掩码操作，使得这些寄存器泄露的功耗、电磁等信息与加密密钥之间的相关性明显下降，攻击者仅依赖于明文、密文和泄露功耗信息不足以恢复出加密密钥。

本发明所述抗边信道攻击的DES加密算法在不影响加密结果的前提上，使用掩码策略将加密中间值进行了随机化。本发明所使用掩码策略不同于常见掩码策略，在进入S盒置换操作前，不对掩码中间值进行掩码逆操作，而是根据算法初始化时生成的辅助置换表对错误的S盒置换结果进行纠正，即算法自始至终不存在仅含有明文信息和密钥信息两者的中间值，从而杜绝了所有一阶边信道攻击隐患位置。

本发明所述抗边信道攻击的DES防护方法，具体步骤如下：

第一步，生成初始参数：随机数生成器生成随机数r₁(6bit)、r₂(6bit)、s(2bit)、r_p(1～105)；

第二步，生成二维辅助置换向量：将初始化生成的r_p作为地址，从存储P矩阵的只读存储器(Read-Only Memory，ROM)中读取对应一列数据作为二维辅助置换向量p₁～p₈，如下述公式所述：

p_1～8＝P(r_p,1:8)

第三步，生成一维辅助置换表：根据生成的二维辅助置换向量p₁～p₈，计算出对应的S盒间的链接关系。循环计数器顺序生成从000000～111111的所有二进制数x_k，将二进制数x_k作为一维辅助置换表的地址，并将二进制数x_k分别与r₁进行异或后作为S₁～S₈盒的地址，并将x_k与r₂进行异或后作为盒的地址。然后将S₁～S₈盒输出的高两位与盒输出的低两位及随机数s进行三异或，作为一维辅助置换表T₁～T₈的数据，并存储在随机存取存储器(random access memory，RAM)的对应位置，具体如下述公式所述：

S(x_k)＝S_H(x_k)||S_L(x_k)

式中，S_H和S_L分别代表S盒输出的高两位和低两位，1≤i≤8。

第四步，DES掩码准备：明文M进行初始置换分为L₁(32bit)和R₁(32bit)左右两部分，对于16轮加密(1≤n≤16)，R_n(32bit)扩展置换后得到(48bit)M_n，对于并与掩码随机数r₂异或得到M′_n，密钥K进行密钥置换、移位、压缩置换后得到K_n，然后将K_n与随机数r₁异或得到K′_n，M′_n与K′_n再进行异或得到掩码后中间值x′_n，同时生成掩码S盒置换所需随机数t(2bit)，具体如下述公式所述：

第五步，掩码S盒置换：将x′_n分为8个8bit二进制数x′₁～x′₈，分别对x′₁～x′₈进行掩码S盒置换。具体如下：对于每一个掩码S盒置换，将x′_i作为盒的地址，同时将x′_i与r₁异或后作为T_i的地址，并将x′_i与r₂异或后作为表的地址。取T_i表输出与盒输出低两位及随机数t进行三异或作为掩码S盒置换结果高两位v_i，同时取表与盒输出高两位进行异或并作为掩码S盒置换结果低两位u_i，具体如下述公式所述：

y′_i＝v_i||u_i∈{(0,1)}⁸

第六步，掩码解除：根据掩码随机数s和随机数t计算出实际掩码所用随机数并将m与掩码S盒置换结果y′₁～y′₈进行异或后得到将y₁～y₈，最后将其拼接成Y_n(32bit)，如下述公式所示：

Y_n＝{y₁,y₂,…,y₈}

第七步，DES掩码后操作；对Y_n进行P盒置换，将P盒置换结果与L_n进行异或作为新的右部分R_n+1，并将P盒置换结果作为新的左部分L_n+1。

重复第四、五、六步十六次后进行末置换，得到加密结果，整个防护策略流程图如图2所示。

如图1所示，本发明还包括一种基于Latch PUF的抗边信道攻击DES防护电路，除未防护DES电路基本模块外，还包含基于Latch PUF的真随机数生成器(TRNG)、基于ROM存储的二维辅助置换表P、基于ROM存储的S₁～S₈盒、基于RAM存储的一维辅助置换表T₁～T₈、初始化模块、循环计数器(范围从六位二进制数000000～111111)和掩码解除模块，本发明还将传统未防护DES电路中S盒置换替换为特定的掩码S盒置换。

其中TRNG生成防护电路所需随机数，包括：r₁(6bit)、r₂(6bit)、s(2bit)、t(6bit)、r_p(1～105)；基于ROM存储的二维辅助置换表P在得到地址输入r_p后，输出对应地址存储的数据作为二维辅助置换向量；初始化模块得到二维辅助置换向量后确定当前8个S盒的链接关系(例如：P Out＝[6 3 2 8 7 1 5 4]代表S₁与S₆、S₂与S₃、S₄与S₈、S₅与S₇两两链接，)，循环计数器进行循环计数并输出六位二进制数x_k作为一维辅助置换表T的地址，同时将二进制数x_k与r₁进行异或后作为S₁～S₈盒的地址，并将x_k与r₂进行异或后作为盒的地址。然后将S₁～S₈盒输出的高两位与盒输出的低两位及随机数s进行三异或，作为一维辅助置换表T₁～T₈的数据。

循环计数器提供初始化所需地址。

掩码S盒置换模块对掩码中间值进行掩码S盒置换，将x′_n分为8个8bit二进制数x′₁～x′₈，分别对x′₁～x′₈进行掩码S盒置换。具体如下：对于每一个掩码S盒置换，将x′_i作为盒的地址，同时将x′_i与r₁异或后作为T_i的地址，并将x′_i与r₂异或后作为表的地址。取T_i表输出与盒输出低两位及随机数t进行三异或作为掩码S盒置换结果高两位v_i，同时取表与盒输出高两位进行异或并作为掩码S盒置换结果低两位u_i。

掩码解除模块对掩码S盒输出结果进行掩码解除，以确保加密正确性。本发明所述DES防护电路除以上模块外，其他未述模块与传统未防护DES基本模块(初始置换、扩展置换、P盒置换和末置换)一致，如图1所示。

本发明所述一种基于Latch PUF的抗边信道攻击DES防护电路其中还包括一种基于Latch PUF的TRNG，该TRNG作用机理在于，布局在FPGA上不同位置的RS Latch具有不同的PUF特性，RS Latch在一般使用时两个输入是严禁同时变为1的，如图3所示。

当Clk＝0，RS Latch将会稳定在而当Clk＝1，RS Latch输出将不可确定：也就是说，当Clk处于上升沿时，RS Latch将会进入一个亚稳态。由于不同的Latch布局在FPGA的不同位置，导致每个Latch在同一时钟驱动下，输出也具有各自的不可预测性。

本发明所述TRNG生成的随机数可以通过美国国家标准与技术研究院(NationalInstitute of Standards and Technology，NIST)有关于随机数的测试。本发明所属TRNG可以在Xilinx公司的Spartan 3E开发板上复现，其主要由128个经过特殊布局布线约束的RS Latch单元、异或模块和输出模块组成，其具体结构如图4所示。

每个RS Latch布局在两个位于相邻CLB的右下角的Slice上，其中两个Slice均为SliceL型，每个Slice使用两个D类型触发器和布局在LUT上的与非门(nand)三个器件，其中两个D类触发器分别为输入触发器in-FF、输出触发器out-FF，输入触发器in-FF输入信号为clk_in，触发信号为clk_sam，clk_sam与clk_in频率关系满足奈奎斯特定律，即：

f_{clk_sam}≥2f_{clk_in}

输出触发器out-FF输入信号为LUT的输出端，触发信号为clk_sam；LUT两个输入为输入触发器in-FF的输出端和同一个RS Latch中另一个LUT的输出端。

同一个RS Latch需要布局在两个相邻的CLB的右半部分的Slice上，本发明将其布局在右半部分的下面两个Slice上，如图4右上角所示，即布局在位置X1Y0、X3Y0。

以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。

Claims (5)

1.一种基于Latch PUF的抗边信道攻击DES防护方法，其特征在于，包括如下步骤：

步骤1，利用真随机数生成器生成初始参数，包括随机数r₁、r₂、s、r_p，其中，随机数r₁、r₂均为6bit，随机数s为2bit，随机数r_p从1～105共105种可能；

步骤2，将步骤1生成的随机数r_p作为地址，从存储二维辅助置换表P的只读存储器中读取上述地址对应的一列数据作为二维辅助置换向量p，二维辅助置换表P为105列8行的矩阵；

步骤3，根据二维辅助置换向量p，确定S₁～S₈盒之间的两两链接关系；利用循环计数器顺序生成从000000到111111的所有二进制数x_k，将二进制数x_k作为一维辅助置换表的地址，并将二进制数x_k与随机数r₁进行异或后作为S₁～S₈盒的地址，将二进制数x_k与随机数r₂进行异或后作为与S₁～S₈盒链接的盒的地址，将S_i盒输出的四位比特中高两位与盒输出的四位比特中低两位及随机数s进行三异或，将三异或的结果作为一维辅助置换表T_i的数据存储在随机存取存储器的对应位置，i＝1,…,8；明文M进行初始置换后分为L₁和R₁左右两部分；

步骤4，对于第n轮加密，将R_n扩展置换后得到M_n，M_n与随机数r₂进行异或得到M_n′，将密钥K进行密钥置换、移位和压缩置换后得到K_n，K_n与随机数r₁进行异或得到K_n′，M_n′与K_n′再进行异或得到掩码后中间值x_n′，采用真随机数生成器生成随机数t，t为2bit，i＝1,…,8；n＝1,…,16；

步骤5，将x_n′分为8个8bit二进制数x₁′～x₈′，分别对x₁′～x₈′进行掩码S盒置换，对于每一个掩码S盒置换，将x_i′作为盒的地址，同时将x_i′与随机数r₁异或后作为表T_i的地址，并将x_i′与随机数r₂异或后作为表的地址，取表T_i输出与盒输出的四位比特中低两位及随机数t进行三异或作为掩码S盒置换结果高两位，同时取表输出与盒输出的四位比特中高两位进行异或作为掩码S盒置换结果低两位；

步骤6，根据随机数s和随机数t计算出实际掩码所用随机数m，并将m与掩码S盒置换结果进行异或，将异或得到的结果进行拼接得到Y_n；

步骤7，对Y_n进行P盒置换，将P盒置换结果与L_n进行异或作为新的右部分R_n+1，同时将P盒置换结果作为新的左部分L_n+1，n＝n+1，返回步骤4，重复十六次后进行末置换，得到加密结果。

2.根据权利要求1所述基于Latch PUF的抗边信道攻击DES防护方法，其特征在于，步骤2所述二维辅助置换向量p的形式如下：

p_1～8＝P(r_p,1:8)

其中，p_1～8表示二维辅助置换向量p的第1至第8个元素，P(r_p,1:8)表示二维辅助置换表P第r_p列的第1至第8个元素。

3.根据权利要求1所述基于Latch PUF的抗边信道攻击DES防护方法，其特征在于，步骤3所述三异或的形式如下：

T_i(x_k)＝S_PiL(x_k⊕r₁)⊕S_iH(x_k⊕r₂)⊕s

其中，T_i表示一维辅助置换表，i＝1,…,8，x_k表示二进制数，(x_k⊕r₁)表示x_k与随机数r₁进行异或，表示盒输出的四位比特中低两位，(x_k⊕r₂)表示x_k与随机数r₂进行异或，S_iH表示S_i盒输出的四位比特中高两位，s为随机数。

4.一种基于Latch PUF的抗边信道攻击DES防护电路，包括未防护DES电路模块，其特征在于，还包括基于Latch PUF的真随机数生成器、基于ROM存储的二维辅助置换表P、基于ROM存储的S₁～S₈盒、基于RAM存储的一维辅助置换表T₁～T₈、初始化模块、掩码S盒置换模块、循环计数器以及掩码解除模块；所述基于Latch PUF的真随机数生成器用于生成随机数r₁、r₂、s、r_p、t；基于ROM存储的二维辅助置换表P用于在得到地址输入r_p后，输出对应存储的数据作为二维辅助置换向量；初始化模块根据二维辅助置换向量确定当前8个S盒的链接关系，循环计数器进行循环计数并输出六位二进制数x_k作为一维辅助置换表T的地址，同时将二进制数x_k与r₁进行异或后作为S₁～S₈盒的地址，并将x_k与r₂进行异或后作为盒的地址；然后将S₁～S₈盒输出的高两位与盒输出的低两位及随机数s进行三异或，作为一维辅助置换表T₁～T₈的数据；掩码S盒置换模块用于对掩码中间值进行掩码S盒置换；掩码解除模块用于对掩码S盒置换模块输出结果进行掩码解除。

5.根据权利要求4所述基于Latch PUF的抗边信道攻击DES防护电路，其特征在于，所述未防护DES电路模块包括初始置换模块、扩展置换模块、密钥置换模块、移位模块、压缩置换模块、P盒置换模块以及末置换模块；所述初始置换模块用于对明文进行初始置换后分为L₁和R₁左右两部分；扩展置换模块用于对R_n进行扩展置换并得到M_n；密钥置换模块、移位模块、压缩置换模块分别用于对密钥进行密钥置换、移位和压缩置换后得到K_n；P盒置换模块用于对拼接结果进行P盒置换；末置换模块用于对循环十六次后得到的结果进行末置换，得到加密结果，n＝1,…,16。