(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112069514A(43)申请公布日2020.12.11(21)申请号202010811174.1(22)申请日2020.08.13(71)申请人南京低功耗芯片技术研究院有限公司地址210000江苏省南京市浦口区星火路17号创智大厦B座7楼(72)发明人任立争陈庆(74)专利代理机构南京苏高专利商标事务所(普通合伙)32204代理人吴海燕(51)Int.Cl.G06F21/60(2013.01)G06F21/72(2013.01)G06F21/75(2013.01)权利要求书1页说明书3页附图1页(54)发明名称基于寄存器随机分组的抗功耗攻击方法(57)摘要本发明公开了一种基于寄存器随机分组的抗功耗攻击方法，将运行加密算法写入寄存器的过程分为两次，根据随机数选择不同位置混合随机数分两次写入；其次根据另一个随机数选择是否将本次写入寄存器的操作改为前述的操作；结合寄存器随机分组与随机预充电方案可以显著提升抗功耗攻击能力。本发明方法在密码算法运算的过程中，将中间值写入寄存器的过程分为两次随机执行，满足较低的资源开销和较低的功耗增长的设计需求，然后将此方案在每轮的应用同样随机化，以增加运算中密码算法整体运算时间的不确定性。为进一步提升抗功耗攻击能力，将寄存器随机分组方案和随机预充电方案相结合，不仅对于一阶DPA有着非常高的抵御能，同时提升对于二阶DPA的抵抗能力。CN112069514ACN112069514A权利要求书1/1页1.一种基于寄存器随机分组的抗功耗攻击方法，其特征在于，包括步骤：(1)由真随机数发生器产生随机寄存器控制信号；(2)根据随机寄存器控制信号生成随机寄存器使能信号，在有效时钟沿到来时，将使能有效位置的信号写入寄存器；(3)将随机寄存器使能信号取反，作为下一次有效时钟沿到来时的寄存器使能信号；在下一个有效时钟沿到来时，将剩余位置的信号写入寄存器。2.根据权利要求1所述的基于寄存器随机分组的抗功耗攻击方法，其特征在于，所述步骤(1)前还包括：(0-1)由真随机数发生器产生随机轮寄存器使能信号；(0-2)根据随机轮寄存器使能信号，决定本轮运行加密算法写入寄存器时，分一次写入还是分两次写入。3.根据权利要求1所述的基于寄存器随机分组的抗功耗攻击方法，其特征在于，所述步骤(1)中，随机寄存器控制信号包括有效使能位数和使能有效位置。4.根据权利要求1所述的基于寄存器随机分组的抗功耗攻击方法，其特征在于，所述步骤(2)中，将使能有效位置的信号写入寄存器的同时对剩余位写入随机数。5.根据权利要求3所述的基于寄存器随机分组的抗功耗攻击方法，其特征在于，有效使能位数选择1。2CN112069514A说明书1/3页基于寄存器随机分组的抗功耗攻击方法技术领域[0001]本发明涉及功耗分析和密码算法领域，尤其涉及一种基于寄存器随机分组的抗功耗攻击方法。背景技术[0002]DPA(DifferentialPowerAnalysis，差分功率分析)攻击时，首先要选取攻击点，即选择对密码算法的具体操作进行攻击，然后采集大量的能量迹，并将攻击点与能量迹中映射的点对齐，以进行后续的功耗攻击分析，若是可以使相同的操作在不同的加解密过程中对应不同的时间点，则可以在一定程度上提高密码设备的抗功耗攻击能力。[0003]基于随机乱序的抗功耗攻击设计，首先将输入的明文先存入缓存单元，然后根据生成的随机数进行随机排序进行加解密，最后在输入输出缓存单元时再次恢复顺序。除了原有的加密模块之外，此结构新增加了输入缓存单元、输出缓存单元和随机乱序模块。其中，输入缓存单元和输出缓存单元都是N*M的缓存区域，其中N为缓存单元的深度，M为待加密数据的长度，若加密数据为128位，缓存单元深度为32，则仅输入缓存单元和输出缓存单元就至少需要2*32*128的额外存储空间，另外，随机乱序模块也需要根据使用的乱序算法占据一定的资源消耗。因此，在通用的密码设备中，此方案会占据较大的资源开销，更加不适用于资源相对紧张的IoT设备中。[0004]基于伪轮的抗功耗攻击设计，将原来单轮的结构扩展为3轮，算法运行时，原始的结构会只运行单轮，但在此结构下，会根据随机数在单次时钟运行1-3轮密码算法，因此在进行功耗攻击时，无法确定对应的时间点是否对应同一轮的操作。但是此种方案对面积及性能损失较大。因为其将单次时钟周期运行一轮密码算法提升到运行1-3轮，在满足最坏情况的条件下，其性能降低为原来的1/3，而其面积在最坏的情况下提升了接近200％，其优点是对额外功耗的增长较低。基于插入伪操作的防护方案、通过随机功耗或补偿功耗等的防护方案虽然能在一定的条件下提升密码设备的抗功耗攻击能力，但是会较大的提升加密设备的功耗。攻击者在