(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107872317A(43)申请公布日2018.04.03(21)申请号201610855784.5(22)申请日2016.09.28(71)申请人北京同方微电子有限公司地址100083北京市海淀区五道口王庄路1号同方科技广场D座西楼18层(72)发明人苏琳琳侯书珺孙磊陈冈王逾尘(51)Int.Cl.H04L9/16(2006.01)H04L9/08(2006.01)H04L9/06(2006.01)权利要求书1页说明书2页附图1页(54)发明名称一种用于AES密钥扩展的随机掩码方法及其装置(57)摘要本发明提供一种用于AES密钥扩展的随机掩码方法及其装置，所采用的随机掩码技术，在不增加随机数长度的情况下，通过两轮异或运算后，进行左移或者右移的线性变换，使得密钥在每轮运算过程中均被不同的随机数掩码，有效降低了侧信道泄露的风险。硬件实现时，在不增加资源的情况下，提高了算法的安全性。CN107872317ACN107872317A权利要求书1/1页1.一种用于AES密钥扩展的随机掩码方法，其特征在于，所述方法的具体步骤为：步骤1：首先，密钥和128比特随机掩码的进行第一轮异或，得到中间数据；步骤2：然后，利用第一轮异或后得到的中间数据，进行循环左移或右移的线性变换，取得下一轮密钥和相应的128比特随机掩码；步骤3：最后，利用下一轮密钥和相应的128比特随机掩码进行第二轮异或，得到中间数据；步骤4：重复上述步骤，进行下个循环加密。2.一种用于AES密钥扩展的随机掩码装置，其特征在于，所述装置执行如权利要求1所述的所有步骤。2CN107872317A说明书1/2页一种用于AES密钥扩展的随机掩码方法及其装置技术领域[0001]本发明涉及集成电路安全保护技术领域，尤其涉及一种用于AES密钥扩展的随机掩码方法及其装置。背景技术[0002]随机掩码的防护方法是对抗侧信道分析的主要方式。随机掩码依赖于掩码算法本身和随机数的随机性。一般来说，用于掩码随机数变化越大，随机性越好，则掩码的效果越好。就AES算法来说，AES算法中最为常见的分组加密算法，其最好的加密方式是每一轮密钥扩展时，均使用不同的随机掩码。但在真正实现时，这种需求会要求输入至少1280比特的随机数，需要大量资源和时间来完成，这在硬件实现和芯片实现中，都是不可取的。而在安全领域中，攻击者最渴望获得的就是获得用于加密安全算法的密钥，攻击者可以通过侧信道分析的方式，在不破坏芯片或安全产品本身的情况下获得芯片的密钥，因此AES算法实现中，密钥扩展是密钥运算最多的部分，也是AES算法实现中最需要保护的部分。[0003]如图1所示，为现有的AES密钥扩展示意图。由上一轮加密密钥[W0,W1,W2,W3]，经过g变换和异或变换得到下一轮加密密钥[W’0,W’1,W’2,W’3]，其中g变换为一组包含sbox的非线性变换。现有AES密钥扩展的实现技术中，对密钥掩码实现方案较少，若没有掩码，直接利用密钥计算，有侧信道泄露风险，在电路上造成有密钥明文出现。而采用与数据加密加密相同的掩码技术，采用128位每轮相同的掩码，由于秘钥扩展中，只有32位秘钥进行了S盒操作，其余均为线性运算，128位每轮相同的掩码同样会有侧信道泄露的风险。发明内容[0004]针对上述现有技术中存在的不足，本发明的目的是提供一种用于AES密钥扩展的随机掩码方法和装置，所采用的随机掩码技术，在不增加掩码位数的情况下，每轮所使用的掩码不同，有效降低了侧信道泄露的风险。[0005]为了达到上述技术目的，本发明所采用的技术方案是：一种用于AES密钥扩展的随机掩码方法，所述方法的具体步骤为：步骤1：首先，密钥和128比特随机掩码的进行第一轮异或，得到中间数据；步骤2：然后，利用第一轮异或后得到的中间数据，进行循环左移或右移的线性变换，取得下一轮密钥和相应的128比特随机掩码；步骤3：最后，利用下一轮密钥和相应的128比特随机掩码进行第二轮异或，得到中间数据；步骤4：重复上述步骤，进行下个循环加密。[0006]一种用于AES密钥扩展的随机掩码装置，所述装置执行如权利要求1所述的所有步骤。[0007]本发明由于采用了上述固定数量128比特的随机掩码，并在两轮异或运算后，进行左移或者右移的线性变换，所获得的有益效果是，AES密钥扩展过程中，不增加随机掩码长3CN107872317A说明书2/2页度的情况下，使得密钥在每轮运算过程中均被不同的随机数掩码。硬件实现时，在不增加资源的情况下，提高了算法的安全性。[0008]下面结合附图和具体实施方式对本发明做进一步说明。附图说明[0009]图1是现有的AES密钥扩展示意图。[0010]图2是本发明具体实施的AES密钥扩展示意