CN117200974A - 一种基于sm4分组密码算法的故障攻击防护方法及装置 - Google Patents

Abstract

本发明公开了一种基于SM4分组密码算法的故障攻击防护方法，首先根据SM4算法的Sbox的输入和输出之间存在的差值，构造出Dbox；然后通过Dbox计算出预测的Sbox输出校验值，求出实际的Sbox输出校验值，二者进行对比，判断Sbox是否受到故障攻击，再对循环移位的输入和输出进行奇偶校验值运算，通过对比循环移位的输入和输出奇偶校验值，判断循环移位是否受到故障攻击；最后设置系统警告信号，当算法受到攻击，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息。本发明可对SM4算法易受到故障攻击的位置进行防护，使SM4算法可以有效抵抗故障攻击，并且硬件资源消耗少。

Description

一种基于SM4分组密码算法的故障攻击防护方法及装置

技术领域

本发明涉及信息安全技术领域，特别涉及一种基于SM4分组密码算法的故障攻击防护方法。

背景技术

随着信息安全的不断提高，人们对于信息安全问题也变得愈加重视，其中，数据加密过程中的安全问题是主要考虑的方向之一。一般情况下，数据是能够进行正确加密的，但是如果受到了故障攻击，如电压故障注入或者时钟毛刺注入等，就会引起内部故障，出现错误信息，攻击者可以通过这些错误信息恢复出密钥。

SM4是一种分组密码算法，已广泛应用于我国信息安全的各个领域，如无线局域网加密、存储设备，智能卡设备等。

故障攻击一般是指在密码设备进行加密算法时引入故障，从而导致密码设备产生错误结果，攻击者利用产生的正确结果和错误结果进行对比分析，得出部分密钥，再对密码设备进行多次故障攻击，就可以得到全部初始密钥信息。

在现有的故障攻击防护中，最常用的防护方法是全硬件冗余，即两个模块同时进行加密操作，对比每一轮的结果，如果不一样则表明受到攻击，这种方法虽能检测出故障，但是面积开销极大。另一种常用的防护方法是物理参数监控，即利用片上硬件传感器监控芯片各个物理参数，如应对电压故障注入攻击和电磁故障注入攻击，可以加入相应的电压传感器和电磁传感器，但这种方法增加了芯片的复杂性，如面积开销增大，芯片性能降低等。

发明内容

为了解决上述技术问题，本发明提供一种防护效果好、硬件资源消耗少的基于SM4分组密码算法的故障攻击防护方法。

本发明解决上述问题的技术方案是：一种基于SM4分组密码算法的故障攻击防护方法，包括以下步骤：

步骤一：根据SM4算法的置换盒Sbox的输入和输出之间存在的差值，构造出差异盒Dbox；

步骤二：通过差异盒Dbox计算出预测的Sbox输出校验值，再求出实际的Sbox输出校验值，二者进行对比，判断Sbox是否受到故障攻击；

对循环移位的输入和输出进行奇偶校验值运算，通过对比循环移位的输入和输出，判断循环移位是否受到故障攻击；

步骤三：设置系统警告信号，当算法受到攻击，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤一中，预先计算好差值Dif，Dif为SM4中Sbox的输入输出之间的差值，并将所有可能的差值存储在一张16×16的表中，并称之为Dbox；具体过程为：

随机生成128bit的明文输入值plantext，并将明文数据plantext拆分为四组数据，每组32bit，即plantext＝(X₀，X₁，X₂，X₃)，再将第一组32bit数据X₀拆分成4组8bit数据，即X₀＝(a₀，a₁，a₂，a₃)，之后将a₀，a₁，a₂，a₃作为Sbox的输入，同时送入4个并行的Sbox进行字节代换运算，运算遵循如下规律：

B′＝(b₀，b₁，b₂，b₃)＝τ(A)＝(Sbox(a₀)，Sbox(a₁)，Sbox(a₂)，Sbox(a₃))

B′表示字节代换运算，b₀，b₁，b₂，b₃为Sbox的输出，τ(A)表示输入为A的非线性运算，Sbox(a₀)表示Sbox的输入为a₀；具体字节代换方法为把8bit的a₀将原先由二进制表示的方式转换为两位16进制sbox_in(m，n)，m，n的取值范围均为16进制数，即0到F，然后以16进制的第一个数字为行，第二个数字为列，在SM4的Sbox查找出对应的数字；a₁，a₂，a₃字节代换方法同a₀；

再将Sbox的输入sbox_in(m，n)与Sbox的输出sbox_out(m′，n′)进行异或运算，结果即为差值Dif(m，n)，即 为异或运算符，m′，n′的取值范围均为16进制数，即0到F；

再重复上述步骤，直到差值Dif(m，n)所有可能的值都计算出，并将Dif(m，n)所有可能的值存在一张16×16表中，称为Dbox。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤二中，预测的Sbox输出校验值由Sbox的输入和Dbox得出，所述实际的Sbox输出校验值是在进行SM4运算的过程中得出；

所述的Sbox包含轮函数中的Sbox和密钥编排中的Sbox；

比较所述预测的Sbox输出校验值与所述实际的Sbox输出校验值是否相同；

若相同，则判定未受到故障攻击，继续进行后续加密操作；若不相同，则判定受到故障攻击，返回错误提示，并清空所有数据；

所述循环移位运算包含轮函数中的循环移位运算和密钥编排中的循环移位运算；

比较所述循环移位的输入奇偶校验值和输出奇偶校验值是否相同；

若相同，则判定未受到故障攻击，可继续进行后续加密操作；若不相同，则判定受到故障攻击，返回错误提示，并清空所有数据；

具体过程为：

2-1)获取待加密数据data_in和密钥data_key，加密数据data_in和密钥data_key均为128bit，使用SM4算法对待加密数据data_in进行加密；

2-2)通过密钥编排运算生成轮密钥；

2-3)计算密钥编排的Sbox输出校验值和实际的Sbox输出校验值是否一致，如果不一致，则说明密钥编排的Sbox受到了攻击；

2-4)计算密钥编排的循环移位输入校验值和循环移位输出的校验值是否一致，如果不一致，则说明密钥编排的循环移位受到了攻击；

2-5)计算轮函数的Sbox输出校验值和实际的Sbox输出校验值是否一致，如果不一致，则说明轮函数的Sbox受到了攻击；

2-6)计算轮函数的循环移位输入校验值和循环移位输出的校验值是否一致，如果不一致，则说明轮函数的循环移位受到了攻击。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤2-2)具体过程为：

先将128bit密钥data_key数据分成四组，每组32bit，即data_key＝(MK₀,MK₁,MK₂,MK₃)，其中MK₀,MK₁,MK₂,MK₃为字，然后进行密钥初始化：

为异或运算符；FK＝(FK0,FK1,FK2,FK3)为系统参数；

之后再进行迭代运算：

rk_i为轮密钥，CK_i为固定参数；T′变换包括Sbox字节代换运算和循环移位运算，Sbox字节代换运算与轮函数中的字节代换运算相同，循环移位运算与轮函数中的循环移位运算不同，循环移位运算为：

其中V为输出，U为输入，表示进行异或运算，<<<表示循环左移。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤2-3)具体过程为：

根据输入的密钥

Sbox的输入之后sbox_in_key分成四组8bit的数据，即sbox_in_key＝(u₀，u₁，u₂，u₃)，这四组数据同时送入并行的4个Sbox中，经过字节代换后的输出记为sbox_out_key＝(v₀，v₁，v₂，v₃)；

Sbox的输入校验值为

Sbox的输出校验值为

再通过u₀，u₁，u₂，u₃的值，对照生成的Dbox，找出相应的差值记为dif_key(q)，则密钥编排运算时Dbox的输出校验值又因为dif_key(q)是Sbox的输入与输出异或后得到的值，因此可预测正确的Sbox的输出校验值密钥编排的Sbox输出的校验信号为如果P_{sbox_key_error}的值不为全零，则说明密钥编排的Sbox受到了攻击，密钥编排的Sbox的警告信号sbox_key_error就拉高为1，提醒系统密钥编排算法正在遭受攻击；

由于P_{prediction_sbox_out_key}和P_{sbox_out_key}均为8bit，因此不仅对于1bit的注错进行检验，同时对于多bit的注错也能进行检验。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤2-4)具体过程为：

在密钥编排的循环移位增加奇偶校验点，用于检测数据的奇偶性是否发生变化，如果输入的前后奇偶校验值不一致则说明受到了故障攻击；

SM4的密钥编排的循环移位运算为：

该循环移位运算是进行循环左移，并不会修改从输入到输出的奇偶校验位，因此可设置故障攻击检测点，具体如下：

32位输入数据为V(x)＝v₀+v₁x+v₂x²+…+v₃₁x³¹，v_i∈GF(2)，GF(2)为只包含0，1的有限域；

则输入的奇偶校验位：

32位输出数据为W(x)＝w₀+w₁x+w₂x²+…+w₃₁x³¹，c_i∈GF(2)；

则输出的奇偶校验位

Pb(x)为输入数据的奇偶校验值，Pc(x)为输出数据的奇偶校验值；如果密钥编排的循环移位算法的警告信号sr_key_error为1则表明SM4的密钥编排的循环移位算法受到了故障攻击；

设置一个系统警告信号，当SM4算法受到攻击，则向系统上报警告信号，再将警告信号sbox_key_error与sr_key_error进行或运算，即key_error＝sbox_key_error|sr_key_error，|为或运算符，key_error为密钥编排算法的警告信号，只要密钥编排的sbox或者密钥编排的循环移位受到攻击，key_error信号就拉高。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤2-5)具体过程为：

经过步骤2-3)和步骤2-4)，确认生成的轮密钥rk_i未受到错误攻击，再将rk_i运用到加密操作的轮函数变换中，加密时的Sbox的输入为 然后将sbox_in分成四组8bit的数据，即sbox_in＝(c₀，c₁，c₂，c₃)，并将c₀，c₁，c₂，c₃同时送入并行的4个Sbox中，经过字节代换后的输出记为sbox_out＝(d₀，d₁，d₂，d₃)；

Sbox的输入校验值为

Sbox的输出校验值为

同步骤2-3)，再通过c₀，c₁，c₂，c₃的值，对照步骤一生成的Dbox，找出相应的差值记为dif(r)，轮函数运算时Dbox的输出校验值又因为dif(r)是Sbox的输入与输出异或后得到的值，因此可预测正确的Sbox的输出校验值轮函数运算的Sbox输出的校验信号为如果P_{sbox_error}的值不为全零，则说明轮函数运算的Sbox受到了攻击，轮函数运算的Sbox的警告信号sbox_error就拉高为1，提醒系统算法正在遭受攻击。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤2-6)具体过程为：

在轮函数的循环移位增加奇偶校验点，用于检测数据的奇偶性是否发生变化，如果输入的前后奇偶校验值不一致则说明受到了故障攻击；

SM4的轮函数循环移位运算为：

其中C为输出，B为输入，L()表示循环移位运算；

奇偶校验位的运算如下：

32位输入数据为B(x)＝e₀+e₁x+e₂x²+…+e₃₁x³¹，e_i∈GF(2)；

则输入的奇偶校验位：

32位输出数据为C(x)＝f₀+f₁x+f₂x²+…+f₃₁x³¹，f_i∈GF(2)；

则输出的奇偶校验位

如果sr_error为1则表明SM4的轮函数的循环移位算法受到了故障攻击；

进一步地，再将步骤2-5)的警告信号sbox_error与sr_error进行或运算，即error＝sbox_error|sr_error，error为加密算法的警告信号，只要加密算法的sbox或者加密算法的循环移位受到攻击，error信号就拉高。

上述基于SM4分组密码算法的故障攻击防护方法，所述步骤三中，设置系统警告信号sys_error，sys_error＝error|key_error，当SM4算法的Sbox和循环移位运算受到攻击，sys_error均拉高，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息；

所述系统警告信号由加密运算的错误信号和密钥编排运算的错误信号得出；

所述加密运算的错误信号由所述轮函数的Sbox错误信号和所述轮函数运算中的循环移位错误信号得出；

所述密钥编排的错误信号由所述密钥编排的Sbox错误信号和所述密钥编排的循环移位错误信号得出。

一种基于SM4分组密码算法的故障攻击防护装置，包括：

获取数据模块，用于获取待加密的明文数据和密钥；

密钥编排校验模块，用于根据所述密钥编排Sbox的输出校验和密钥编排的循环移位校验，判断运算结果是否受到故障攻击；

数据加密校验模块，用于根据所述轮函数的Sbox的输出校验和轮函数运算中的循环移位校验，判断运算结果是否受到故障攻击。

本发明的有益效果在于：本发明首先根据SM4算法的Sbox的输入和输出之间存在的差值，构造出Dbox；然后通过Dbox计算出预测的Sbox输出校验值，求出实际的Sbox输出校验值，二者进行对比，判断Sbox是否受到故障攻击，再对循环移位的输入和输出进行奇偶校验值运算，通过对比循环移位的输入和输出奇偶校验值，判断循环移位是否受到故障攻击；最后设置系统警告信号，当算法受到攻击，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息。本发明方法及装置可对SM4算法易受到故障攻击的位置进行防护，使SM4算法可以有效抵抗故障攻击，并且硬件资源消耗少。

附图说明

图1为本发明的故障攻击防护方法的总体流程图。

图2为本发明的故障攻击防护方法的细节流程图。

图3为本发明的密钥编排故障攻击防护的流程图。

图4为本发明的轮函数故障攻击防护的流程图。

图5为本发明的故障攻击防护装置的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的说明。

如图1、图2所示，一种基于SM4分组密码算法的故障攻击防护方法，包括以下步骤：

步骤一：根据SM4算法的置换盒Sbox的输入和输出之间存在的差值，构造出差异盒Dbox。

预先计算好差值Dif，Dif为SM4中Sbox的输入输出之间的差值，并将所有可能的差值存储在一张16×16的表中，并称之为Dbox；具体过程为：

随机生成128bit的明文输入值plantext，并将明文数据plantext拆分为四组数据，每组32bit，即plantext＝(X₀，X₁，X₂，X₃)，再将第一组32bit数据X₀拆分成4组8bit数据，即X₀＝(a₀，a₁，a₂，a₃)，之后将a₀，a₁，a₂，a₃作为Sbox的输入，同时送入4个并行的Sbox进行字节代换运算，运算遵循如下规律：

B′＝(b₀，b₁，b₂，b₃)＝τ(A)＝(Sbox(a₀)，Sbox(a₁)，Sbox(a₂)，Sbox(a₃))

B′表示字节代换运算，b₀，b₁，b₂，b₃为Sbox的输出，τ(A)表示输入为A的非线性运算，Sbox(a₀)表示Sbox的输入为a₀；具体字节代换方法为把8bit的a₀将原先由二进制表示的方式转换为两位16进制sbox_in(m，n)，m，n的取值范围均为16进制数，即0到F，然后以16进制的第一个数字为行，第二个数字为列，在SM4的Sbox查找出对应的数字；a₁，a₂，a₃字节代换方法同a₀；

再将Sbox的输入sbox_in(m，n)与Sbox的输出sbox_out(m′，n′)进行异或运算，结果即为差值Dif(m，n)，即 为异或运算符，m′，n′的取值范围均为16进制数，即0到F；

再重复上述步骤，直到差值Dif(m，n)所有可能的值都计算出，并将Dif(m，n)所有可能的值存在一张16×16表中，称为Dbox。

步骤二：通过差异盒Dbox计算出预测的Sbox输出校验值，再求出实际的Sbox输出校验值，二者进行对比，判断Sbox是否受到故障攻击；

对循环移位的输入和输出进行奇偶校验值运算，通过对比循环移位的输入和输出，判断循环移位是否受到故障攻击。

预测的Sbox输出校验值由Sbox的输入和Dbox得出，所述实际的Sbox输出校验值是在进行SM4运算的过程中得出；

所述的Sbox包含轮函数中的Sbox和密钥编排中的Sbox；

比较所述预测的Sbox输出校验值与所述实际的Sbox输出校验值是否相同；

若相同，则判定未受到故障攻击，继续进行后续加密操作；若不相同，则判定受到故障攻击，返回错误提示，并清空所有数据；

所述循环移位运算包含轮函数中的循环移位运算和密钥编排中的循环移位运算；

比较所述循环移位的输入奇偶校验值和输出奇偶校验值是否相同；

若相同，则判定未受到故障攻击，可继续进行后续加密操作；若不相同，则判定受到故障攻击，返回错误提示，并清空所有数据。

具体过程为：

2-1)获取待加密数据data_in和密钥data_key，加密数据data_in和密钥data_key均为128bit，使用SM4算法对待加密数据data_in进行加密。

SM4加密算法的具体加密流程如下：

首先将128bit的待加密数据data_in分成四组，每组32bit，即data_in＝(X₀，X₁，X₂，X₃)，然后进行轮函数变换：

上式中的T为合成置换，即进行Sbox的字节代换运算以及循环移位运算，字节代换运算遵循：

B＇＝(b₀,b₁,b₂,b₃)＝τ(A)＝(Sbox(a₀),Sbox(a₁),Sbox(a₂),Sbox(a₃))循环移位运算遵循：

2-2)通过密钥编排运算生成轮密钥rk_i。

所述步骤2-2)具体过程为：

先将128bit密钥data_key数据分成四组，每组32bit，即data_key＝(MK₀,MK₁,MK₂,MK₃)，其中MK₀,MK₁,MK₂,MK₃为字，然后进行密钥初始化：

为异或运算符；FK＝(FK0,FK1,FK2,FK3)为系统参数；FK给定如下：

FK₀＝(A3B1BAC6),FK₁＝(56AA3350),FK₂＝(677D9197),FK₃＝(B27022DC)。

之后再进行迭代运算：

CK_i由固定参数给定，具体值为：

00070E15，1C232A31，383F464D，545B6269，

70777E85，8C939AA1，A8AFB6BD，C4CBD2D9，

E0E7EEF5，FC030A11，181F262D，343B4249，

50575E65，6C737A81，888F969D，A4ABB2B9，

C0C7CED5，DCE3EAF1，F8FF060D，141B2229，

30373E45，4C535A61，686F767D，848B9299，

A0A7AEB5，BCC3CAD1，D8DFE6ED，F4FB0209，

10171E25，2C333A41，484F565D，646B7279。

T′变换包括Sbox字节代换运算和循环移位运算，Sbox字节代换运算与轮函数中的字节代换运算相同，循环移位运算与轮函数中的循环移位运算不同，循环移位运算为：

其中V为输出，U为输入，表示进行异或运算，<<<表示循环左移。

2-3)计算密钥编排的Sbox输出校验值和实际的Sbox输出校验值是否一致，如果不一致，则说明密钥编排的Sbox受到了攻击。

所述步骤2-3)具体过程为：

参考图3，由于SM4的S盒输出经常被作为故障攻击点，因此在SM4的S盒增加故障检测点是非常有必要的。

根据输入的密钥

Sbox的输入之后sbox_in_key分成四组8bit的数据，即sbox_in_key＝(u₀，u₁，u₂，u₃)，这四组数据同时送入并行的4个Sbox中，经过字节代换后的输出记为sbox_out_key＝(v₀，v₁，v₂，v₃)；

Sbox的输入校验值为

Sbox的输出校验值为

再通过u₀，u₁，u₂，u₃的值，对照生成的Dbox，找出相应的差值记为dif_key(q)，则密钥编排运算时Dbox的输出校验值又因为dif_key(q)是Sbox的输入与输出异或后得到的值，因此可预测正确的Sbox的输出校验值密钥编排的Sbox输出的校验信号为如果P_{sbox_key_error}的值不为全零，则说明密钥编排的Sbox受到了攻击，密钥编排的Sbox的警告信号sbox_key_error就拉高为1，提醒系统密钥编排算法正在遭受攻击；

由于P_{prediction_sbox_out_key}和P_{sbox_out_key}均为8bit，因此不仅对于1bit的注错进行检验，同时对于多bit的注错也能进行检验。

2-4)计算密钥编排的循环移位输入校验值和循环移位输出的校验值是否一致，如果不一致，则说明密钥编排的循环移位受到了攻击。

所述步骤2-4)具体过程为：

参考图3，在密钥编排的循环移位增加奇偶校验点，用于检测数据的奇偶性是否发生变化，如果输入的前后奇偶校验值不一致则说明受到了故障攻击；

SM4的密钥编排线性变化为：

该线性变化进行循环左移，并不会修改从输入到输出的奇偶校验位，因此可设置故障攻击检测点，具体如下：

32位输入数据为U(x)＝u₀+u₁x+u₂x²+…+u₃₁x³¹，u_i∈GF(2)；GF(2)为只包含0，1的有限域；

则输入的奇偶校验位：

32位输出数据为V(x)＝v₀+v₁x+v₂x²+…+v₂₁x²¹，v_i∈GF(2)；

则输出的奇偶校验位

Pb(x)为输入数据的奇偶校验值，Pc(x)为输出数据的奇偶校验值；如果密钥编排的循环移位算法的警告信号sr_key_error为1则表明SM4的密钥编排的循环移位算法受到了故障攻击；

设置一个系统警告信号，当SM4算法受到攻击，则向系统上报警告信号，再将警告信号sbox_key_error与sr_key_error进行或运算，即key_error＝sbox_key_error|sr_key_error，|为或运算符，key_error为密钥编排算法的警告信号，只要密钥编排的sbox或者密钥编排的循环移位受到攻击，key_error信号就拉高。

2-5)计算轮函数的Sbox输出校验值和实际的Sbox输出校验值是否一致，如果不一致，则说明轮函数的Sbox受到了攻击。

所述步骤2-5)具体过程为：

参考图4，经过步骤2-3)和步骤2-4)，确认生成的轮密钥rk_i未受到错误攻击，再将rk_i运用到加密操作的轮函数变换中，加密时的Sbox的输入为 然后将sbox_in分成四组8bit的数据，即sbox_in＝(c₀，c₁，c₂，c₃)，并将c₀，c₁，c₂，c₃同时送入并行的4个Sbox中，经过字节代换后的输出记为sbox_out＝(d₀，d₁，d₂，d₃)；

Sbox的输入校验值为

Sbox的输出校验值为

同步骤2-3)，再通过c₀，c₁，c₂，c₃的值，对照步骤一生成的Dbox，找出相应的差值记为dif(r)，轮函数运算时Dbox的输出校验值又因为dif(r)是Sbox的输入与输出异或后得到的值，因此可预测正确的Sbox的输出校验值轮函数运算的Sbox输出的校验信号为如果P_{sbox_error}的值不为全零，则说明轮函数运算的Sbox受到了攻击，轮函数运算的Sbox的警告信号sbox_error就拉高为1，提醒系统算法正在遭受攻击。

2-6)计算轮函数的循环移位输入校验值和循环移位输出的校验值是否一致，如果不一致，则说明轮函数的循环移位受到了攻击。

所述步骤2-6)具体过程为：

参考图4，在轮函数的循环移位增加奇偶校验点，用于检测数据的奇偶性是否发生变化，如果输入的前后奇偶校验值不一致则说明受到了故障攻击；

SM4的轮函数循环移位运算为：

其中C为输出，B为输入，L()表示循环移位运算；

奇偶校验位的运算如下：

32位输入数据为B(x)＝e₀+e₁x+e₂x²+…+e₃₁x³¹，e_i∈GF(2)；

则输入的奇偶校验位：

32位输出数据为C(x)＝f₀+f₁x+f₂x²+…+f₃₁x³¹，f_i∈GF(2)；

则输出的奇偶校验位

如果sr_error为1则表明SM4的轮函数的循环移位算法受到了故障攻击；

进一步地，再将步骤2-5)的警告信号sbox_error与sr_error进行或运算，即error＝sbox_error|sr_error，error为加密算法的警告信号，只要加密算法的sbox或者加密算法的循环移位受到攻击，error信号就拉高。

步骤三：设置系统警告信号，当算法受到攻击，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息。

所述步骤三中，设置系统警告信号sys_error，sys_error＝error|key_error，当SM4算法的Sbox和循环移位运算受到攻击，sys_error均拉高，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息；

所述系统警告信号由加密运算的错误信号和密钥编排运算的错误信号得出；

所述加密运算的错误信号由所述轮函数的Sbox错误信号和所述轮函数运算中的循环移位错误信号得出；

所述密钥编排的错误信号由所述密钥编排的Sbox错误信号和所述密钥编排的循环移位错误信号得出。

如图5所示，一种基于SM4分组密码算法的故障攻击防护装置，包括：

获取数据模块100，用于获取待加密的明文数据和密钥；

密钥编排校验模块200，用于根据所述密钥编排Sbox的输出校验和密钥编排的循环移位校验，判断运算结果是否受到故障攻击；

数据加密校验模块300，用于根据所述轮函数的Sbox的输出校验和轮函数运算中的循环移位校验，判断运算结果是否受到故障攻击。

Claims (10)

1.一种基于SM4分组密码算法的故障攻击防护方法，其特征在于，包括以下步骤：

步骤一：根据SM4算法的置换盒Sbox的输入和输出之间存在的差值，构造出差异盒Dbox；

步骤二：通过差异盒Dbox计算出预测的Sbox输出校验值，再求出实际的Sbox输出校验值，二者进行对比，判断Sbox是否受到故障攻击；

对循环移位的输入和输出进行奇偶校验值运算，通过对比循环移位的输入和输出，判断循环移位是否受到故障攻击；

步骤三：设置系统警告信号，当算法受到攻击，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息。

2.根据权利要求1所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤一中，预先计算好差值Dif，Dif为SM4中Sbox的输入输出之间的差值，并将所有可能的差值存储在一张16×16的表中，并称之为Dbox；具体过程为：

随机生成128bit的明文输入值plantext，并将明文数据plantext拆分为四组数据，每组32bit，即plantext＝(X_０，X₁，X₂，X₃)，再将第一组32bit数据X₀拆分成4组8bit数据，即X_０＝(a_０，a₁，a₂，a_３)，之后将a₀，a₁，a₂，a₃作为Sbox的输入，同时送入4个并行的Sbox进行字节代换运算，运算遵循如下规律：

B＇＝(b₀,b₁,b₂,b₃)＝τ(A)＝(Sbox(a₀),Sbox(a₁),Sbox(a₂),Sbox(a₃))

B＇表示字节代换运算，b₀,b₁,b₂,b₃为Sbox的输出，τ(A)表示输入为A的非线性运算，Sbox(a₀)表示Sbox的输入为a₀；具体字节代换方法为把8bit的a₀将原先由二进制表示的方式转换为两位16进制sbox_in(m,n)，m,n的取值范围均为16进制数，即0到F，然后以16进制的第一个数字为行，第二个数字为列，在SM4的Sbox查找出对应的数字；a₁，a₂，a₃字节代换方法同a₀；

再将Sbox的输入sbox_in(m,n)与Sbox的输出sbox_out(m′,n′)进行异或运算，结果即为差值Dif(m,n)，即 为异或运算符，m′,n′的取值范围均为16进制数，即0到F；

再重复上述步骤，直到差值Dif(m,n)所有可能的值都计算出，并将Dif(m,n)所有可能的值存在一张16×16表中，称为Dbox。

3.根据权利要求1所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤二中，预测的Sbox输出校验值由Sbox的输入和Dbox得出，所述实际的Sbox输出校验值是在进行SM4运算的过程中得出；

所述的Sbox包含轮函数中的Sbox和密钥编排中的Sbox；

比较所述预测的Sbox输出校验值与所述实际的Sbox输出校验值是否相同；

若相同，则判定未受到故障攻击，继续进行后续加密操作；若不相同，则判定受到故障攻击，返回错误提示，并清空所有数据；

所述循环移位运算包含轮函数中的循环移位运算和密钥编排中的循环移位运算；

比较所述循环移位的输入奇偶校验值和输出奇偶校验值是否相同；

若相同，则判定未受到故障攻击，可继续进行后续加密操作；若不相同，则判定受到故障攻击，返回错误提示，并清空所有数据；

具体过程为：

2-1)获取待加密数据data_in和密钥data_key，加密数据data_in和密钥data_key均为128bit，使用SM4算法对待加密数据data_in进行加密；

2-2)通过密钥编排运算生成轮密钥；

2-3)计算密钥编排的Sbox输出校验值和实际的Sbox输出校验值是否一致，如果不一致，则说明密钥编排的Sbox受到了攻击；

2-4)计算密钥编排的循环移位输入校验值和循环移位输出的校验值是否一致，如果不一致，则说明密钥编排的循环移位受到了攻击；

2-5)计算轮函数的Sbox输出校验值和实际的Sbox输出校验值是否一致，如果不一致，则说明轮函数的Sbox受到了攻击；

2-6)计算轮函数的循环移位输入校验值和循环移位输出的校验值是否一致，如果不一致，则说明轮函数的循环移位受到了攻击。

4.根据权利要求3所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤2-2)具体过程为：

先将128bit密钥data_key数据分成四组，每组32bit，即data_key＝(MK₀,MK₁,MK₂,MK₃)，其中MK₀,MK₁,MK₂,MK₃为字，然后进行密钥初始化：

为异或运算符；FK＝(FK0,FK1,FK2,FK3)为系统参数；

之后再进行迭代运算：

rk_i为轮密钥，CK_i为固定参数；T′变换包括Sbox字节代换运算和循环移位运算，Sbox字节代换运算与轮函数中的字节代换运算相同，循环移位运算与轮函数中的循环移位运算不同，循环移位运算为：

其中V为输出，U为输入，表示进行异或运算，<<<表示循环左移。

5.根据权利要求4所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤2-3)具体过程为：

根据输入的密钥

Sbox的输入之后sbox_in_key分成四组8bit的数据，即sbox_in_key＝(u₀，u₁，u₂，u₃)，这四组数据同时送入并行的4个Sbox中，经过字节代换后的输出记为sbox_out_key＝(v₀，v₁，v₂，v₃)；

Sbox的输入校验值为

Sbox的输出校验值为

再通过u₀，u₁，u₂，u₃的值，对照生成的Dbox，找出相应的差值记为dif_key(q)，则密钥编排运算时Dbox的输出校验值又因为dif_key(q)是Sbox的输入与输出异或后得到的值，因此可预测正确的Sbox的输出校验值密钥编排的Sbox输出的校验信号为如果P_{sbox_key_error}的值不为全零，则说明密钥编排的Sbox受到了攻击，密钥编排的Sbox的警告信号sbox_key_error就拉高为1，提醒系统密钥编排算法正在遭受攻击；

由于P_{prediction_sbox_out_key}和P_{sbox_out_key}均为8bit，因此不仅对于1bit的注错进行检验，同时对于多bit的注错也能进行检验。

6.根据权利要求5所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤2-4)具体过程为：

在密钥编排的循环移位增加奇偶校验点，用于检测数据的奇偶性是否发生变化，如果输入的前后奇偶校验值不一致则说明受到了故障攻击；

SM4的密钥编排的循环移位运算为：

该循环移位运算是进行循环左移，并不会修改从输入到输出的奇偶校验位，因此可设置故障攻击检测点，具体如下：

32位输入数据为V(c)＝v₀+v₁x+v₂x²+…+v₃₁x³¹，v_i∈GF(2)，GF(2)为只包含0，1的有限域；

则输入的奇偶校验位：

32位输出数据为W(x)＝w₀+w₁x+w₂x²+…+w₃₁x³¹，c_i∈GF(2)；

则输出的奇偶校验位

Pb(x)为输入数据的奇偶校验值，Pc(x)为输出数据的奇偶校验值；如果密钥编排的循环移位算法的警告信号sr_key_error为1则表明SM4的密钥编排的循环移位算法受到了故障攻击；

设置一个系统警告信号，当SM4算法受到攻击，则向系统上报警告信号，再将警告信号sbox_key_error与sr_key_error进行或运算，即key_error＝sbox_key_error|sr_key_error，|为或运算符，key_error为密钥编排算法的警告信号，只要密钥编排的sbox或者密钥编排的循环移位受到攻击，key_error信号就拉高。

7.根据权利要求6所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤2-5)具体过程为：

经过步骤2-3)和步骤2-4)，确认生成的轮密钥rk_i未受到错误攻击，再将rk_i运用到加密操作的轮函数变换中，加密时的Sbox的输入为 然后将sbox_in分成四组8bit的数据，即sbox_in＝(c₀，c₁，c₂，c₃)，并将c₀，c₁，c₂，c₃同时送入并行的4个Sbox中，经过字节代换后的输出记为sbox_out＝(d₀，d₁，d₂，d₃)；

Sbox的输入校验值为

Sbox的输出校验值为

同步骤2-3)，再通过c₀，c₁，c₂，c₃的值，对照步骤一生成的Dbox，找出相应的差值记为dif(r)，轮函数运算时Dbox的输出校验值又因为dif(r)是Sbox的输入与输出异或后得到的值，因此可预测正确的Sbox的输出校验值轮函数运算的Sbox输出的校验信号为如果P_{sbox_error}的值不为全零，则说明轮函数运算的Sbox受到了攻击，轮函数运算的Sbox的警告信号sbox_error就拉高为1，提醒系统算法正在遭受攻击。

8.根据权利要求7所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤2-6)具体过程为：

在轮函数的循环移位增加奇偶校验点，用于检测数据的奇偶性是否发生变化，如果输入的前后奇偶校验值不一致则说明受到了故障攻击；

SM4的轮函数循环移位运算为：

其中C为输出，B为输入，L()表示循环移位运算；

奇偶校验位的运算如下：

32位输入数据为B(x)＝e₀+e₁x+e₂x²+…+e₃₁x³¹，e_i∈GF(2)；

则输入的奇偶校验位：

32位输出数据为C(x)＝f₀+f₁x+f₂x²+…+f₃₁x³¹，f_i∈GF(2)；

则输出的奇偶校验位

如果sr_error为1则表明SM4的轮函数的循环移位算法受到了故障攻击；

进一步地，再将步骤2-5)的警告信号sbox_error与sr_error进行或运算，即error＝sbox_error|sr_error，error为加密算法的警告信号，只要加密算法的sbox或者加密算法的循环移位受到攻击，error信号就拉高。

9.根据权利要求1所述的基于SM4分组密码算法的故障攻击防护方法，其特征在于，所述步骤三中，设置系统警告信号sys_error，sys_error＝error|key_error，当SM4算法的Sbox和循环移位运算受到攻击，sys_error均拉高，向系统上报警告信号，并将所有数据进行清零操作，以防攻击者获取有效信息；

所述系统警告信号由加密运算的错误信号和密钥编排运算的错误信号得出；

所述加密运算的错误信号由所述轮函数的Sbox错误信号和所述轮函数运算中的循环移位错误信号得出；

所述密钥编排的错误信号由所述密钥编排的Sbox错误信号和所述密钥编排的循环移位错误信号得出。

10.一种用于实现权利要求1-9中任一项所述的故障攻击防护方法的基于SM4分组密码算法的故障攻击防护装置，其特征在于，包括：

获取数据模块，用于获取待加密的明文数据和密钥；

密钥编排校验模块，用于根据所述密钥编排Sbox的输出校验和密钥编排的循环移位校验，判断运算结果是否受到故障攻击；

数据加密校验模块，用于根据所述轮函数的Sbox的输出校验和轮函数运算中的循环移位校验，判断运算结果是否受到故障攻击。