(19)中华人民共和国国家知识产权局(12)发明专利(10)授权公告号CN104967509B(45)授权公告日2018.05.18(21)申请号201510221467.3H04L9/00(2006.01)(22)申请日2015.05.05(56)对比文件(65)同一申请的已公布的文献号CN103138917A,2013.06.05,申请公布号CN104967509ACN103227717A,2013.07.31,WO2014/088668A2,2014.06.12,(43)申请公布日2015.10.07CN104202145A,2014.12.10,(73)专利权人国家密码管理局商用密码检测中江丽娜，高能，马原.祖冲之序列密码算法IP心核的设计与实现.《第27次全国计算机安全学术地址100036北京市丰台区靛厂路7号交流会》.2012,(72)发明人罗鹏李大为曹伟琼冯秀涛审查员郭晓冰陈华李国友(74)专利代理机构北京东正专利代理事务所(普通合伙)11312代理人刘瑜冬(51)Int.Cl.H04L9/06(2006.01)权利要求书3页说明书12页附图6页(54)发明名称一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法(57)摘要本发明公开了一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，通过随机数得到带掩码输入R1+m1、R2+m2；(2)对于前N轮中每1轮的输入X1和X2分别加上掩码防护后通过转化函数为g(x，y)将加法运算转成异或运算；(4)进行16位移运算，L1和L2线性运算；(5)分别进行进行SL′、SR′运算；(6)对于F函数的W输出，通过转化函数h(x，y)转换成加法运算获得正确的W输出。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。CN104967509BCN104967509B权利要求书1/3页1.一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法,其特征在于，该方法包括如下步骤：(1)选择需要掩码的轮数，初始化前N轮，1≤N≤32，r∈{0,1,…,N-1}为当前轮数，选择4个32比特随机掩码m1、m2、m3、m4，令m1＝(c0,c1,c2,c3)，m2＝(d0,d1,d2,d3)，ci、di(i＝0,1,2,3)分别为8位随机数，第1轮F函数的输入R1、R2分别与m1、m2相加，得到带掩码输入R1+m1、R2+m2；若是第r(r∈{1,…,N-1})轮F函数输入R1、R2，由于前1轮S盒输出带有掩码防护为R1+m1、R2+m2，无需再加上掩码值；(2)对于前N轮中每1轮的输入X1和X2分别加上掩码防护转化成X1-m1+m3和其中Xi(0≤i≤3)为ZUC算法LFSR寄存器单元中抽取比特组成的32比特字；(3)R1+m1加上X1-m1+m3得到R1+X1+m3＝W1+m3；R2+m2加上得到其中W1＝X1+R1；已知W1+m3、m3，代入转化函数g(x,y)可转成异或运算已知和代入转化函数为g(x,y)转成异或运算其中转化函数g(x,y)定义为：(4)左右两边和经过16位移位后，分别为其中mi,H、mi,L(i＝3,4)分别为mi的高/低16比特值，Wi,H、Wi,L(i＝1,2)分别为Wi的高/低16比特值；再对应分别进行L1线性运算，左边转化成L2线性运算后，右边转化成令L1(m3,L||m4,H)＝(a0,a1,a2,a3)，L2(m4,L||m3,H)＝(b0,b1,b2,b3)，ai、bi(i＝0,1,2,3)分别为8位随机数；(5)进行S盒掩码运算，左边32位S盒SL'共包括4个8位小S盒S'L,0、S'L,1、S'L,2、S'L,3，即SL'＝(S'L,0,S'L,1,S'L,2,S'L,3)，其中，i∈{0,1,2,3}，“+”为32位加法运算，右边32位S盒SR'共包括4个8位小S盒S'R,0、S'R,1、S'R,2、S'R,3，SR'＝(S'R,0,S'R,1,S'R,2,S'R,3)，其中，运算后得到新1轮的R1+m1、R2+m2，依次进行N轮迭代运算；(6)对于F函数的W输出，对每1轮的X0加掩码防护得到则已知和通过转化函数g(x,y)可得已知和(-m2)，通过转化函数h(x,y)可得加上R2+m2可得获得正确的W输出，转化函数为h(x,y)定义为：2.根据权利要求1所述的轮输出为算术掩码的ZUC序列密码算法掩码防护方法,其特2CN104967509B权利要求书2/3页征在于，步骤(3)中，加法运算转化成异或运算g(x,y)的原理为，已知A＝x+r,A、r为已知值，x不能参与运算，求