一種RC4硬體電路掩碼防護方法及系統與流程

2023-06-21 04:35:11 5

本發明屬於密碼算法防護技術領域，具體地說，尤其涉及一種RC4硬體電路掩碼防護方法及系統。

背景技術：

當今世界，以Internet為代表的計算機網絡得到了迅速的發展和廣泛的應用，基於計算機網絡的電子商務、電子政務、電子金融蓬勃發展，因此，網絡安全、信息安全就成了人們關心的問題，眾多加密算法也運蘊而生。其中，RC4以其實現容易、加密速度快、良好的隨機性和抵抗各種分析的能力，在眾多領域的安全模塊得到了廣泛的應用。

在國際著名的安全協議標準SSL/TLS(安全套接字協議/傳輸層安全協議)中，利用RC4算法保護網際網路傳輸中的保密性。在作為IEEE802.ll無線區域網標準的WEP協議中，利用RC4算法進行數據間的加密。同時，RC4算法也被集成於Microsoft Windows、Lotus Notes、Apple AOCE、Oracle Secure SQL等應用中，還包括TLS(傳輸層協議)、微軟PPTP的微軟辦公，並應用於Adobe Acrobat，其它很多應用領域也使用該算法。

隨著計算機網絡的普及，傳統的RC4軟體加密方法已經越來越不能滿足日常的需求，其局限性也逐漸暴露出來。在很多計算機信息安全系統中，RC4的硬體加密手段被應用到設備中來提高密碼運算速度和系統的安全性。

技術實現要素：

本發明提供了一種一種RC4硬體電路掩碼防護方法及系統，用於抵抗功耗攻擊，特別是針對RC4的模板攻擊。

根據本發明的一個方面，提供了一種RC4硬體電路掩碼防護方法，包括：

輸入密鑰和S盒分組步驟，將輸入密鑰和S盒各分為相同數量的分組，並同時向輸入密鑰和S盒的各分組引入隨機數，其中，輸入密鑰和S盒分組後各部分 之和與不帶防護的輸入密鑰和S盒的內容相同；

S盒初始置換步驟，根據分組輸入密鑰分別對分組S盒進行初始置換；

密鑰流生成步驟，對初始置換後的分組S盒分別進行再次置換，並以再次置換後的各分組S盒之和為新索引，所述新索引指向的S盒的內容為輸出密鑰流。

根據本發明的一個實施例，將輸入密鑰和S盒各分為2組：K1密鑰組和K2密鑰組，S1盒組和S2盒組。

根據本發明的一個實施例，S盒初始置換步驟進一步包括：

設置初始第一索引j1＝0，初始第二索引j2＝0；

對初始第一索引、各遍歷的對應索引S1盒組內容以及K1密鑰組內容之和取模得到更新的第一索引，對初始第二索引、各遍歷的對應索引S2盒組內容以及K2密鑰組內容之和取模得到更新的第二索引；

將更新的第一索引和第二索引取和，並根據取和值分別對S1盒組和S2盒組進行初始置換。

根據本發明的一個實施例，密鑰流生成步驟進一步包括：

設置初始第一索引j1＝0，初始第二索引j2＝0；

對初始第一索引和各遍歷的對應索引初始置換後的S1盒組內容之和取模得到更新的第一索引，對初始第二索引和各遍歷的對應索引初始置換後的S2盒組內容之和取模得到更新的第二索引；

將更新的第一索引和第二索引取和，並根據取和值分別對S1盒組和S2盒組進行再次置換；

根據再次置換後的各分組S盒內容之和為新索引，所述新索引指向的S盒的內容為輸出密鑰流。

根據本發明的一個實施例，將輸入密鑰和S盒各分為相同數量的分組進一步包括：

初始化輸入密鑰和S盒，

S盒分組：初始化S1盒組，其中初始化值為n，利用同一索引下的S1值，初始化S2盒組，使S1和S2的和為沒被分開的同一索引S盒的值；

輸入密鑰分組：初始化K1密鑰組，利用同一索引下的K1密鑰值，初始化K2密鑰組，使K1和K2的和為同一索引值模上輸入密鑰的長度值下的輸入密鑰值。

根據本發明的另一個方面，還提供了一種RC4硬體電路掩碼防護系統，包括：

輸入密鑰和S盒分組模塊，將輸入密鑰和S盒各分為相同數量的分組，並同時向輸入密鑰和S盒的各分組引入隨機數，其中，輸入密鑰和S盒分組後各部分之和與不帶防護的輸入密鑰和S盒的內容相同；

S盒初始置換模塊，根據分組輸入密鑰分別對分組S盒進行初始置換；

密鑰流生成模塊，對初始置換後的分組S盒分別進行再次置換，並以再次置換後的各分組S盒之和為新索引，所述新索引指向的S盒的內容為輸出密鑰流。

根據本發明的一個實施例，在輸入密鑰和S盒分組模塊中，將輸入密鑰和S盒各分為2組：K1密鑰組和K2密鑰組，S1盒組和S2盒組。

根據本發明的一個實施例，S盒初始置換模塊進一步包括：

第一初始索引設置單元，設置初始第一索引j1＝0，初始第二索引j2＝0；

第一索引更新單元，對初始第一索引、各遍歷的S1盒組內容以及K1密鑰組內容之和取模得到更新的第一索引，對初始第二索引、各遍歷的S2盒組內容以及K2密鑰組內容之和取模得到更新的第二索引；

S盒初始置換單元，將更新的第一索引和第二索引取和，並根據取和值分別對S1盒組和S2盒組進行初始置換。

根據本發明的一個實施例，密鑰流生成模塊進一步包括：

第二初始索引設置單元，設置初始第一索引j1＝0，初始第二索引j2＝0；

第二索引更新單元，對初始第一索引和各遍歷的初始置換後的S1盒組內容之和取模得到更新的第一索引，對初始第二索引和各遍歷的初始置換後的S2盒組內容之和取模得到更新的第二索引；

S盒再次置換單元，將更新的第一索引和第二索引取和，並根據取和值分別對S1盒組和S2盒組進行再次置換；

密鑰流生成單元，根據再次置換後的各分組S盒內容之和為新索引，所述新索引指向的S盒的內容為輸出密鑰流。

根據本發明的一個實施例，輸入密鑰和S盒分組模塊進一步包括：

初始化輸入密鑰和S盒，

S盒分組：初始化S1盒組，其中初始化值為n，利用同一索引下的S1值，初始化S2盒組，使S1和S2的和為沒被分開的同一索引S盒的值；

輸入密鑰分組：初始化K1密鑰組，利用同一索引下的K1密鑰值，初始化 K2密鑰組，使K1和K2的和為同一索引值模上輸入密鑰的長度值下的輸入密鑰值。

本發明的有益效果：

本發明採用算法級防禦措施，引用隨機數作為掩碼，來達到抗功耗攻擊，特別是針對RC4的模板攻擊。

本發明的其它特徵和優點將在隨後的說明書中闡述，並且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要的附圖做簡單的介紹：

圖1是RC4算法的邏輯結構圖；

圖2是根據本發明的一個實施例的方法流程圖；

圖3是根據本發明的一個實施例的RC4硬體電路的掩碼方案的電路防護方案結構圖。

具體實施方式

以下將結合附圖及實施例來詳細說明本發明的實施方式，藉此對本發明如何應用技術手段來解決技術問題，並達成技術效果的實現過程能充分理解並據以實施。需要說明的是，只要不構成衝突，本發明中的各個實施例以及各實施例中的各個特徵可以相互結合，所形成的技術方案均在本發明的保護範圍之內。

傳統的對密碼的攻擊都是從數學角度，利用數學理論分析，來尋找破解算法的方法，所依賴的信息有明文輸入、密文輸出，但並沒有考慮密碼算法所運行的場合。實際使用中，密碼算法的實現必定依賴一定的硬體或軟體平臺，這些信息包括運行密碼設備時所洩露的能量消耗、算法運行時間、電磁輻射等，稱為側信道信息。通過側信道信息的分析，來實現對密碼算法密鑰的破解就是側信道攻擊。根據側信道信息的不同，可以分為功耗攻擊、故障攻擊、時間攻擊等。

其中，功耗攻擊的基礎思想是晶片運算所產生的功耗和所運算的數據存在聯繫，因為密碼晶片的底層為電晶體級的邏輯門，不同操作數所引起的門的反轉等 電路負載不同，這些電晶體的充放電過程所消耗的能量因而包含操作數的一些信息，通過對晶片運行的功耗信息的進行精確地採集測量，並對這些功耗信息進行某些處理，可破解出密鑰。

針對功耗攻擊的防禦，最根本的思想是使功耗和運算的數據無關。目前，對於硬體電路抗功耗攻擊的具體措施可以分為三種。第一種是系統級防禦措施，主要引入噪聲、冗餘操作等。第二種是算法級防禦措施，通過更改算法的結構，引入隨機數，使得運算數據不僅僅包含密鑰信息，還包含隨機信息，這樣採集獲得功耗數據也包含了隨機信息，因而無法進行功耗攻擊機，算法級的防禦措施的代表是掩碼技術，掩碼技術對算法結構進行修改，在計算機中，隨機數通常應用於明文，這樣加密的中間值和結果都帶有隨性。第三種是電路級防禦措施，它是從底層的邏輯單元入手，通過涉及特定的原件保證其能量消耗獨立於設備中的數據。

本發明採用算法級防禦措施，引用隨機數作為掩碼，來達到抗功耗攻擊，特別是針對RC4的模板攻擊。其中模板攻擊是功耗攻擊的一種，模板攻擊方法的思想是根據不同總體的統計特徵來推斷新樣本的歸屬問題，及統計學中的判別分析問題，前提是掌握和攻擊設備相同或類似的設備。

現有技術中，RC4算法分為S盒的初始置換(KSA)、密鑰流的生成(PRGA)兩個部分，具體流程為：首先對256個S盒分別賦予初值1、2、3……255，引入輸入密鑰K(它的典型長度為8到40個字節，理論長度為1到255位元組)，更新索引j，它有三部分組成：初始j，從0到255遍歷的i,和輸入密鑰K，對每個S盒進行初始置換一次。接著繼續更新索引j，這時它僅由兩部分組成，初始j和循環從0到255遍歷的i，不斷對每個S盒置換，並將每次置換的兩個S盒之和作為新的索引t，該索引t指向的S盒作為輸出密鑰流key輸出，如此不斷輸出key，如圖1所示為RC4算法的邏輯結構圖。該算法的偽代碼如下：

Algorithm 1.RC4 Key Scheduling Algorithm(KSA)

1:for i＝0→255do

2:S[i]:＝i

3:end for

4:j:＝0,for i＝0→255do

5:j:＝(j+S[i]+K[i mod Klength])mod 256

6:swap values of S[i]and S[j]

7:end for

Algorithm 2.RC4 Pseudo-Random Generation Algorithm(PRGA)

1:i:＝0,j:＝0

2:while GeneratingOutput do

3:i:＝(i+1)mod 256,j:＝(j+S[i])mod 256

4:swap values of S[i]and S[j]

5:key:＝S[(S[i]+S[j])mod 256]

6output key

7:end while

雖然RC4的算法中與輸入密鑰相關的部分只在S盒的初始化(KSA)中，但同時密鑰流輸出(PRGA)算法中S盒的初始狀態與輸入密鑰K有關。所以為了減少輸入密鑰K信息的洩露，同時為了保護S盒，在本發明中，分別給輸入密鑰K和S盒引入隨機數，將輸入密鑰K和S盒都相應的分成若干分組，它們各自的各部分之和與不帶防護的輸入密鑰K和S盒的內容一致，從而保護了S盒和輸入密鑰K。

如圖2所示為根據本發明的一個實施例的方法流程圖，以下參考圖1來對本發明進行詳細說明。

首先是步驟S110輸入密鑰和S盒分組步驟，將輸入密鑰和S盒各分為相同數量的分組，並同時向輸入密鑰和S盒的各分組引入隨機數，其中，輸入密鑰和S盒分組後各部分之和與不帶防護的輸入密鑰和S盒的內容相同。

此處的若干分組包括多種數量的分組，本發明中以將輸入密鑰和S盒各分為兩個分組為例來進行說明，但不限於此。將輸入密鑰K相應的分成兩部分K1、K2，S盒相應的分成兩部分S1、S2，它們各自的兩部分之和與不帶防護的輸入密鑰K和S盒的內容一致，從而保護了S盒和輸入密鑰K。其中，輸入密鑰為預先設定，S盒中初始狀態數據設置與現有技術相同此處不加詳述。

具體的，初始化輸入密鑰和S盒，可以採用現有技術。然後進行S盒分組和輸入密鑰分組。其中，在對S盒分組時，首先初始化S1盒組，其中初始化值為n，利用同一索引下的S1值，初始化S2盒組，使S1和S2的和為沒被分開的同一索引S盒的值；輸入密鑰分組時，初始化K1密鑰組，利用同一索引下的K1密鑰值，初始化K2密鑰組，使K1和K2的和為同一索引值模上輸入密鑰的長度值下的輸入密鑰值。

例如，初始化S盒時，是將0、1、2、3…….255等256個值依次賦予給256個S盒，同樣對於分開後的S盒S1、S2初始賦值時必須保證同一索引下的S1和 S2的值之和與原始算法中沒被分開的S盒的值一樣，比如第10個S盒的初始賦值是9，那麼S1[10]+S2[10]＝S[10]＝9，其它S盒都必須滿足類似的關係，只是256個S盒中每個S盒的值在不斷變化，取值範圍仍在0到255間，S1、S2同樣也是這樣。給S1中的每個S盒，比如S1[0]、S1[1]…….等，初始賦值的n是隨機數，並不特定為某個值，同樣對K1的各個值也是如此。

接著是步驟S120S盒初始置換步驟，根據分組輸入密鑰分別對分組S盒進行初始置換。

具體的，在將輸入密鑰K分成兩部分K1、K2，S分成兩部分S1、S2時，首先，設定兩個分組的初始索引均為：初始第一索引j1＝0，初始第二索引j2＝0；對初始第一索引、各遍歷的對應索引S1盒組內容和K1密鑰組內容之和取模得到更新的第一索引，同理得到更新的第二索引；將更新的第一索引和第二索引取和分別對S1盒組和S2盒組進行置換處理。如以下程序所示：

1:for i＝0→255 do

2:S1[i]:＝n mod256,S2[i]:＝(i-n mod256)mod256

3:K1[i]:＝m mod256,

4:K2[i]:＝(K[i mod klength]-m mod256)mod256

5:end for

6:j1:＝0,j2:＝0

7:for i＝0→255do

8:j1:＝(j1+S1[i]+K1[i])mod 256

9:j2:＝(j2+S2[i]+K2[i])mod 256

10:j:＝j1+j2

11:swap values of S1[i]and S1[j]

12:swap values of S2[i]and S2[j]

13:end for

最後是步驟S130密鑰流生成步驟，對初始置換後的分組S盒分別進行再次置換，並以再次置換後的各分組S盒之和為新索引，新索引指向的S盒的內容為輸出密鑰流。

具體的，首先設置初始第一索引j1＝0，初始第二索引j2＝0；對初始第一索引、各遍歷的對應索引初始置換後的S1盒組內容之和取模得到更新的第一索引，對初始第二索引、各遍歷的對應索引初始置換後的S2盒組內容之和取模得到更新的第二索引；將更新的第一索引和第二索引取和，並根據取和值分別對S1盒 組和S2盒組進行再次置換；根據再次置換後的各分組S盒內容之和為新索引，所述新索引指向的S盒的內容為輸出密鑰流。如以下程序所示：

Algorithm 4.MaskedRC4 Pseudo-Random Generation Algorithm(PRGA1)

1:i:＝0,j1:＝0,j2:＝0

2:while GeneratingOutput do

3:i:＝(i+1)mod 256

4:j1:＝(j1+S1[i])mod 256,j2:＝(j2+S2[i])mod 256

5:j:＝j1+j2

6:swap values of S1[i]and S1[j]

7:swap values of S2[i]and S2[j]

8:key:＝S[(S1[i]+S1[j]+S2[i]+S2[j])mod 256]

9:output key

10:end while

本發明採用算法級防禦措施，引用隨機數作為掩碼，來達到抗功耗攻擊，特別是針對RC4的模板攻擊。

根據本發明的另一個方面，還提供了一種RC4硬體電路掩碼防護系統，該系統包括輸入密鑰和S盒分組模塊、S盒初始置換模塊和密鑰流生成模塊。

其中，輸入密鑰和S盒分組模塊將輸入密鑰和S盒各分為相同數量的分組，並同時向輸入密鑰和S盒的各分組引入隨機數，其中，輸入密鑰和S盒分組後各部分之和與不帶防護的輸入密鑰和S盒的內容相同；S盒初始置換模塊根據分組輸入密鑰分別對分組S盒進行初始置換；密鑰流生成模塊對初始置換後的分組S盒分別進行再次置換，並以再次置換後的各分組S盒之和為新索引，新索引指向的S盒的內容為輸出密鑰流。

根據本發明的一個實施例，在輸入密鑰和S盒分組模塊中，將輸入密鑰和S盒各分為2組：K1密鑰組和K2密鑰組，S1盒組和S2盒組。

根據本發明的一個實施例，S盒初始置換模塊進一步包括第一初始索引設置單元、第一索引更新單元和S盒初始置換單元。其中，第一初始索引設置單元用於設置初始第一索引j1＝0，初始第二索引j2＝0；第一索引更新單元用於對初始第一索引、各遍歷的S1盒組內容和K1密鑰組內容之和取模得到更新的第一索引，對初始第二索引、各遍歷的S2盒組內容和K2密鑰組內容之和取模得到更新的第二索引；S盒初始置換單元用於將更新的第一索引和第二索引取和，並根據取和值分別對S1盒組和S2盒組進行初始置換。

根據本發明的一個實施例，密鑰流生成模塊進一步包括第二初始索引設置單元、第二索引更新單元、S盒再次置換單元和S盒再次置換單元。其中，第二初始索引設置單元用於設置初始第一索引j1＝0，初始第二索引j2＝0；第二索引更新單元用於對初始第一索引、各遍歷的初始置換後的S1盒組內容之和取模得到更新的第一索引，對初始第二索引、各遍歷的初始置換後的S2盒組內容之和取模得到更新的第二索引；S盒再次置換單元用於將更新的第一索引和第二索引取和，並根據取和值分別對S1盒組和S2盒組進行再次置換；密鑰流生成單元用於根據再次置換後的各分組S盒內容之和為新索引，新索引指向的S盒的內容為輸出密鑰流。

根據本發明的一個實施例，輸入密鑰和S盒分組模塊進一步包括S盒分組單元和輸入密鑰分組單元。其中，S盒分組單元用於初始化S1盒組，其中初始化值為n，利用同一索引下的S1值，初始化S2盒組，使S1和S2的和為n；輸入密鑰分組單元用於初始化K1密鑰組，利用同一索引下的K1密鑰組值，初始化K2密鑰組，使K1和K2的和為同一索引值模上輸入密鑰的長度值下的輸入密鑰值。

如圖3所示為根據本發明的一個實施例的RC4硬體電路的掩碼方案的電路模塊，其由六部分組成：1.1、1.2和1.3依次分別為存儲明文字節和密文字節的寄存器RegPC、分開的兩個S盒的RegS1S2、被分開的輸入密鑰K的RegK1K2，

它們為三個2×256Reg。2為用來存儲輸入密鑰K的RegK，它為一個1×256Reg。3為用來產生時鐘信號等控制信號的控制器CTR。4為用來產生密鑰流key的計算模塊CC。5為用來生成隨機數來計算S1或S2、K1或K2的隨機數發生器RNG。6為用來初始化兩個S盒S1和S2的計數器CNT。

在該電路模塊工作時，控制器CTR產生的時鐘等控制信號控制其它部件工作。當明文填充到寄存器RegPC中後，計數器CNT開始計數，並初始化RegS1S2的S1、S2中的一個，假如為S1，初始化為n(0到255)，同時RNG產生隨機數m1，利用同一索引下的S1的值，初始化S2，使S1與S2的和為n。同樣在控制器CTR產生的時鐘等控制信號下，將輸入密鑰存儲到RegK中，利用計數器CNT初始化RegK1K2的K1、K2中的一個，假如為K1，同時RNG產生隨機數m2，利用同一索引下的K1的值，初始化K2，使K1與K2的和為同一索引下的K值。在運算部件CC的作用下，通過計算RegS1S2的S1、S2、RegK1K2的K1、K2的值產生密鑰流key,它與明文異和後得到密文。這樣保證RegS1S2的S1、S2，RegS1S2的K1、K2的隨機性，同時算法的輸出結果不被改變，從而保護了輸入密鑰K和 S盒。

雖然本發明所公開的實施方式如上，但所述的內容只是為了便於理解本發明而採用的實施方式，並非用以限定本發明。任何本發明所屬技術領域內的技術人員，在不脫離本發明所公開的精神和範圍的前提下，可以在實施的形式上及細節上作任何的修改與變化，但本發明的專利保護範圍，仍須以所附的權利要求書所界定的範圍為準。