本發明提出基于隨機延時S盒的可防御碰撞攻擊的高速AES加密電路，AES加密電路為全展開結構，由10輪輪變換單元構成，通過流水線技術提高電路吞吐率，加快電路處理速度。其中輪變換單元中的字節替換單元基于并行S盒結構，通過為每個S盒的輸入端和輸出端分別添加一個隨機延時，破壞碰撞攻擊檢測條件，達到防御碰撞攻擊的目的。本發明與傳統的碰撞攻擊防御措施相比能夠極大的減小電路面積。

技術領域

本發明涉及AES加密技術領域，尤其是一種基于隨機延時S盒的可防御碰撞攻擊的高速AES加密電路。

背景技術

1.AES加密算法

密碼學中的高級加密標準(Advanced Encryption Standard，AES)，由美國國家標準與技術研究院(NIST)于2001年11月26日發布于FIPS PUB 197，并在2002年5月26日成為有效的標準。AES加密算法，又稱為Rijndael加密算法，該算法為比利時密碼學家JoanDaemen和VincentRijmen所設計，這個標準用來替代原先的DES，已經被多方分析且廣為全世界所使用。

AES是一個迭代的、對稱密鑰分組的密碼，它可以使用128、192和256位密鑰，并且用128位(16字節)分組加密和解密數據。AES加密算法還是使用輪變換的操作。輪變換操作次數與密鑰的位數有關，AES-128輪數為10輪。AES-128加密算法流程如圖1所示，明文首先進行一個輪密鑰加的操作，然后進行10輪輪變換操作。圖2為輪變換流程示意圖，如圖2所示，輪變換包括四個操作：字節替換、行移位、列混合替換和輪密鑰加，其中第10輪輪變換中不包含列混合替換操作。

2.高速AES加密電路

流水線技術是實現高速AES電路的有效手段。常見的AES流水線電路結構有外部流水線式和子流水線式兩種，如圖3所示。外部流水線結構AES電路在每輪變換之后插入寄存器，對每輪輪變換的數據進行緩存，在下個時鐘到來時進行下輪輪變換，這種流水線結構縮短了純組合邏輯的關鍵路徑，相比于循環結構速度有較大提升。子流水線結構 AES電路除了在輪變換之間插入寄存器之外，在輪變換內部各個運算單元之間也插入了寄存器，這種結構進一步縮短了關鍵路徑，更適合應用在高速場合。

3.碰撞攻擊

2003年，Kai Schramm等人提出了碰撞攻擊的概念，并成功對DES算法進行了攻擊。如果加密算法內部某一運算的輸入不同，但是具有相同的輸出值，則稱二者發生了碰撞。碰撞攻擊通過尋找特定位置上產生的碰撞，推導出一系列和密鑰有關的表達式，尋找到的碰撞越多，表達式中包含的密鑰信息就越豐富，密鑰搜尋空間就越小，攻擊強度就越強。碰撞攻擊通常包括“碰撞檢測”以及“密鑰恢復”兩個階段：碰撞檢測階段根據特定的區分模型構造出碰撞檢測器，使用碰撞檢測器檢測特定位置是否發生碰撞，如果檢測到發生碰撞，則根據碰撞條件推導出和密鑰相關的表達式；密鑰恢復階段利用matlab 等數據分析工具，分析功耗數據，破解部分密鑰，以此為基礎結合碰撞檢測階段得到的一系列密鑰表達式破解全部密鑰。

①碰撞位置

在AES輪變換中，S盒是最常見的碰撞的位置，S盒的碰撞示意圖如圖4所示。如果碰撞位置在第i個S盒和第j個S盒處，那么碰撞表達式為：據此得到密鑰k_i和k_j的關系式：p_i、p_j代表輸入加密數據的第i個和第j個字節。改變輸入的加密數據，尋找不同的碰撞位置，依據密鑰k_i和k_j的關系式可以得到一系列密鑰相關的表達式：

當該表達式中的一個密鑰被破解時，與之相關的所有密鑰均可被破解。

②碰撞檢測