技術領域?本發明涉及信息安全技術領域中的AES(高級加密標準)對稱分組密碼技術， 尤其涉及一種考慮側信道安全的AES實現技術，采用該方法能夠有效抵御針對集成電路的差 分能量攻擊。

背景技術?當前的信息安全領域中，各種密碼分析手段不斷涌現。與針對安全算法的 常規密碼分析方式不同，側信道分析更加關注安全算法在硬件中運行時的特征，通過以功耗、 電磁輻射、錯誤誘導等方式所泄露的信息，極大限度地獲得與安全算法有關的機密數據。

加密硬件以半導體邏輯為基礎，邏輯門由大量晶體管構成，當邏輯門上發生放電現象時， 電子從硅襯底流過、消耗能量，同時產生電磁輻射。而能量分析就是監測硬件的功耗或者電 磁輻射等能量信息的變化，利用統計方法和攻擊經驗對收集到的邊信息進行分析。能量分析 技術主要有以下四種：簡單功耗分析(Simple?Power?Analysis)、簡單電磁輻射分析(Simple Electromagnetic?Analysis)以及相對應的差分功耗分析(Differential?Power?Analysis)和 差分電磁輻射分析(Differential?Electromagnetic?Analysis)。

簡單能量分析是根據功耗或電磁輻射曲線的特征及攻擊經驗直觀地分析出指令執行或 電路晶體管翻轉的順序，常被用來破解執行順序與某些數據有關的密碼算法。差分能量分析 可從功耗或電磁輻射曲線微小的差分信號分析出所需的機密信息，但需要搜集大量的信息， 并采集多組能量曲線以及每條曲線對應的明文、密文記錄，通常需要一定的簡單能量分析經 驗和較長時間的運算，對分析平臺的設備要求也比較高。目前，能量分析技術尤其是差分能 量分析已被廣泛使用以竊取密碼電子器件所保護的數據。

由于涉及能量分析的側信道攻擊已經觸及并正在越來越深的影響到銀行、金融、工商業 和人民日常生活。國內外關于能量攻擊防御方面的研究報道也逐步出現，其主流技術包括： 算法及其硬件實現中的掩碼技術、時鐘擾亂技術等。其中掩碼方法由于實現代價可控且不影 響數字電路的工作特性，已經受到廣泛關注。

S.Chari在1999年首次提出了抗DPA(Differential?Power?Analysis，差分功耗分析) 分析的掩碼技術(見S.Chari，C.Jutla，J.R.Rao，P.Rohatgi，A?Cautionary?Note Regarding?Evaluation?of?AES?Candidates?on?Smart-Cards.Proc.of?the?2nd?AES?Candidate Conference，Rome，Italy，pp.133-147，1999.)，通過對加密操作中的中間結果進行掩蓋的 方法使差分功耗分析變得十分困難，通過這種掩蓋，往往使DPA的區分函數對功耗曲線的劃 分“出錯”，從而使差分后的結果無法正確地顯示出高的相關優度。通常的掩碼做法是，對加 密過程中的一段敏感硬件電路或軟件程序y＝F(x)，設輸入信號為x，掩碼為r，則掩蓋和解 擾步驟為：(1)x′=x⊕r;]]>(2)y′＝F(x′)和r′＝F(r′)；(3)y=y′⊕r′]]>。S.Chari認為(見S.Chari， C.S.Jutla，J.R.Rao?and?P.Rohatgi，Towards?Sound?Approaches?to?Counteract Power-Analysis?Attacks，Proc.of?Advances?in?Cryptology(CRYPTO′99)，LNCS1666， Springer-Verlag，pp.398-412，1999.)，即使采用了部分隨機掩碼或數據漢明平衡技術， 一個聰明的攻擊者能夠消除掉能量中隱藏的虛假信息，除非對加密處理中的所有中間變量進 行拆裂。蔣惠萍在文獻“一種抗差分功耗攻擊的改進DES算法及其硬件實現”(見蔣惠萍毛 志剛，一種抗差分功耗攻擊的改進DES算法及其硬件實現，計算機學報，27(3)：334-338， 2004.)中建議采用隨機序列對數據加密標準DES(Data?Encryption?Standard)算法中密鑰擴 展后的中間結果進行掩蓋，并在查詢S盒存儲單元之前求逆，還原了輸入數據，這種中途的 解掩蓋仍然是危險的。