本发明专利技术提供了一种加密处理设备。该设备包括:第一寄存器器件;第二寄存器器件;第一标志运算器件;第一运算器件;第二运算器件;轮运算器件;第三和第四运算器件;第二标志运算器件;以及第五运算器件。
【技术实现步骤摘要】
本专利技术涉及例如应用到IC卡的加密处理设备。更具体而言,本专利技术涉及一种加 密处理设备,该设备在小电流下工作时增强对构成密码分析处理的被称之为攻击(attack) 的功耗分析(power analysis)的抵抗力。
技术介绍
图1示意性地示出了具有一般加密能力的IC卡的典型结构。如图1所示,IC卡1 包括天线2和IC芯片(LSI)3。IC芯片3包括整流电路4、平滑电容器5、稳压电路6、CPU 7、存储器8、加密电路9、外围电路10和RF接口 (I/F)ll。CPU 7、存储器8、加密电路9、外 围电路10和RF接口 11经由信号总线12在其间交换数据。如图1所示,在接近读卡器时,具有加密能力的IC卡1检测来自读卡器的微弱磁 场,获取必要的信号,并且使天线2将该磁场转换成功率来针对期望的处理操作该IC。在具有上面概述的结构的系统中,在IC卡1和主机计算机之间交换数据时数据被 加密。除了 CPU 7和存储器8,IC芯片3还具有加密电路9,该加密电路9解密接收到的信 号来获得用于必要处理的相关信息。所获得的信息被加密并被发送到主机计算机。当前最常用的加密方法是DES (数据加密标准)。根据DES,IC卡的拥有者和主机 计算机二者对同一密钥进行处理。数据发送方利用该密钥加密数据,然后发送加密的数据。 数据接收方利用同一密钥来解密接收到的数据来提取消息。恶意第三方可能试图窃听这种 通信,但是由于没有密钥所以应当难以解密经加密的消息。图2示意性地示出了作为典型解密电路的DES运算电路20的通常结构。如图2所 示,DES运算电路20包括初始置换(initial permutation, IP)器件21、开关22L和22R、 左(L)寄存器23和右(R)寄存器24。DES运算电路20还包括F函数器件25、EX0R运算器 件26、逆置换(IP-I)器件27和密文输出器件(Crypto) 28。如图2所示,F函数器件25具有多个(图2中为8个)S_box (S框)S。至S7,用于 执行非线性处理。来自上游级(即,R(n-l))的输入值F-in被扩展器件(EX) 25-1扩展为48 比特,然后经过由EXOR运算器件25-2利用来自密钥调度器件的密钥(48比特)执行EXOR 运算。EXOR运算器件25-2的输出被输入到多个S框S。至S7,S框S。至S7每个6比特地执 行非线性转换处理。S框Stl至S7中的每个利用转换表来执行从6比特到4比特的非线性 转换处理。来自S框的输出比特(4X8 = 32比特)被输入到用于比特位置置换的置 换器件(P) 25-3,来生成并输出32比特的F函数输出。在DES运算电路20内部有与轮(round)操作相称的运算电路和效果上等同于数 据宽度的寄存器布置。该电路运算预定次数来执行加密处理。在轮被切换时,寄存器值被更新。对寄存器的更新是对连接到寄存器的信号连线 充电和放电以及通过运算电路的算术运算来实现的。在算术运算期间,信号线上的充电和放电电流的最陡峭部分出现在信号连线被从全O改变到全1时。从天线提取功率的电源器件需要提供具有充足余量的功率。P. Kocher等人报告了称作DPA(差分功耗分析)的攻击,由此通过统计分析由加密 电路消耗的电流来提取密钥。这种攻击所需的环境可以以较低的成本安装,并且可以在较 短的时间内提取出密钥。安全IC必须要提供对这种攻击的防御。DPA攻击涉及通过在下述期间统计分析与密钥有关的微弱工作电流来提取密钥 在执行非线性处理的S框的输出期间,以及在更新寄存器的中间值时寄存器的负载连线的 充电和放电期间。已提出了下面两种方法来应对这种攻击首先,采用互补结构以使得通过互补操作可使任何漏电流最小化。其次,使数据随 机化来扰乱漏电流,从而使得难以进行统计分析。上述用于应对DPA攻击的第一方法的一个示例是在日本专利早期公开 No. 2004-347975中示意性公开的技术。该公开的技术包括将一比特数据发展成具有相等汉 明权重的两比特值。考虑到算术运算带来的数据变换,提供了包括求值(evaluation)阶段 和预充电阶段的两个阶段。以如下方式执行控制使得在对数据进行算术运算之前数据进 入非“0”非“1”的状态。这使得难以检测由于计算值的变换而导致的改变电流。更具体而言,在被提交给加密操作时,数据项“0”被看作“01”,而数据项“ 1,,被看 作“10”。当数据项要被轮操作改变时,它们首先进入“00”,然后移位到计算的数据。假设变换被表达如下变换“0”->“0”“01”->“00”->“01”;变换“0”->“1”“01”->“00”->“10”;变换“1”->“0”“10”->“00”->“01”;变换“1”->“1”“10”->“00”->“10”。这样,不管计算结果如何,基于算术运算的所有比特变换都仅改变1比特。这使得 难以从改变电流提取出密钥。上述用于应对DPA攻击的第二方法的一个示例是在美国专利No. 6,295,606中示 意性公开的技术。该技术涉及利用随机数扰乱S框的输出来扰乱来自电路操作的反映出使 用的密钥的微弱电流,从而使对消耗电流的统计分析变困难。
技术实现思路
然而,上述第一方法需要一种结构使执行加密操作的所有电路对一比特的数据执 行两比特的互补操作。这至少使电路规模加倍。因为所扩展的两比特中的一比特一般要经 过电路操作,所以消耗的电流也至少被加倍。为了实现上述第二方法,要在任何加密操作发生之前生成相对于要被扰乱的数据 的宽度的随机数。即,需要随机数生成电路。本专利技术的实施例是考虑到上述情况提出的,并且提供了一种加密处理设备,该设 备能在小电流下工作时增强抵抗功耗分析的能力。在执行本专利技术的实施例时并且根据本专利技术的一个实施例,提供了一种加密处理设备,包括第一寄存器器件,被配置为包括第一数据寄存器和第一标志寄存器;第二寄存器 器件,被配置为包括第二数据寄存器和第二标志寄存器;第一标志运算器件,被配置为针对 每组预定数目个比特对输入明文文本中的第一数据和第二数据执行标志运算;第一运算器件,被配置为使所述第一标志运算器件对所述第一数据和所述第二数据中的每个和所得到 的标志执行标志运算来实现标志控制,所述第一运算器件还被配置为将受标志控制的第一 数据和第一标志馈送到所述第一寄存器器件,并且将受标志控制的第二数据和第二标志馈 送到所述第二寄存器器件;第二运算器件,被配置为对所述第二寄存器器件的所述第二数 据寄存器中的锁存数据和所述第二标志寄存器中的标志执行异或运算;轮运算器件,被配 置为对来自所述第二运算器件的输出数据执行轮运算;第三运算器件和第四运算器件,被 配置为对来自所述轮运算器件的输出和所述第一寄存器器件的所述第一数据寄存器中的 锁存值以及所述第一标志寄存器中的标志执行异或运算;第二标志运算器件,被配置为针 对每组预定数目个比特,对来自所述第三运算器件和所述第四运算器件的输出数据执行新 的标志运算;第五运算器件,被配置为使所述第二标志运算器件对来自所述第三运算器件 和所述第四运算器件的输出数据和所得到的标志执行异或运算来实现标志控制,所述第五 运算器件还被配置为将受标志控制的数据和标志输本文档来自技高网...
【技术保护点】
一种加密处理设备,包括:第一寄存器器件,被配置为包括第一数据寄存器和第一标志寄存器;第二寄存器器件,被配置为包括第二数据寄存器和第二标志寄存器;第一标志运算器件,被配置为针对每组预定数目个比特对输入明文文本中的第一数据和第二数据执行标志运算;第一运算器件,被配置为使所述第一标志运算器件对所述第一数据和所述第二数据中的每个和所得到的标志来执行标志运算来实现标志控制,所述第一运算器件还被配置为将受标志控制的第一数据和第一标志馈送到所述第一寄存器器件,并且将受标志控制的第二数据和第二标志馈送到所述第二寄存器器件;第二运算器件,被配置为对所述第二寄存器器件的所述第二数据寄存器中的锁存数据和所述第二标志寄存器中的标志执行异或运算;轮运算器件,被配置为对来自所述第二运算器件的输出数据执行轮运算;第三运算器件和第四运算器件,被配置为对来自所述轮运算器件的输出和所述第一寄存器器件的所述第一数据寄存器中的锁存值以及所述第一标志寄存器中的标志执行异或运算;第二标志运算器件,被配置为针对每组预定数目个比特,对来自所述第三运算器件和所述第四运算器件的输出数据执行新的标志运算;以及第五运算器件,被配置为使所述第二标志运算器件对来自所述第三运算器件和所述第四运算器件的输出数据和所得到的标志执行异或运算来实现标志控制,所述第五运算器件还被配置为将受标志控制的数据和标志输出到所述第二寄存器器件。...
【技术特征摘要】
...
【专利技术属性】
技术研发人员:信方浩美,
申请(专利权)人:索尼公司,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。