專利名稱:寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路的制作方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及到密碼芯片旁路攻擊防御領(lǐng)域��,特指利用兩個(gè)不同時(shí)鐘域之間的信號(hào)傳輸實(shí)現(xiàn)寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化的控制電路����。
背景技術(shù):
旁路攻擊是一種針對(duì)密碼芯片的密鑰破解技術(shù)���,這種攻擊技術(shù)繞過(guò)了純數(shù)學(xué)破解的計(jì)算復(fù)雜性���,通過(guò)分析芯片在運(yùn)行密碼算法時(shí)所泄漏的旁路信息來(lái)實(shí)現(xiàn)竊取算法密鑰的目的。相對(duì)于傳統(tǒng)的密鑰破解技術(shù)�,旁路攻擊極大的降低了密鑰搜索空間��,對(duì)安全系統(tǒng)造成很大威脅����。差分功耗分析(DPA=Differential Power Analyse)攻擊是現(xiàn)有旁路攻擊中的典型代表��,對(duì)密碼芯片具有很大的威脅性���。DPA攻擊通過(guò)大量采樣密碼芯片在執(zhí)行加�����、解密算法時(shí)所消耗的瞬態(tài)功耗軌跡���,并利用統(tǒng)計(jì)學(xué)的方法分析功耗樣本與算法內(nèi)部某些中間結(jié)果的相關(guān)性來(lái)驗(yàn)證所猜測(cè)的若干密鑰位是否正確。由于DPA攻擊是一種基于統(tǒng)計(jì)分析的攻擊技術(shù)����,因此攻擊者必須將所有采樣的瞬態(tài)功耗軌跡按照所要分析的中間結(jié)果變化時(shí)刻進(jìn)行時(shí)間對(duì)齊。在普通的同步電路中��,寄存器輸出端的信號(hào)總是在系統(tǒng)時(shí)鐘的上升沿統(tǒng)一發(fā)生翻轉(zhuǎn)�,這使得攻擊者很容易實(shí)現(xiàn)功耗軌跡時(shí)間對(duì)齊的目的。因此��,在已有成功的DPA攻擊實(shí)例中,攻擊者都選擇了密碼算法電路中關(guān)鍵寄存器的輸出端信號(hào)作為功耗相關(guān)性分析的目標(biāo)�����。根據(jù)DPA攻擊的這一特性���,國(guó)內(nèi)外研究者提出了基于隨機(jī)化的DPA攻擊防護(hù)思想�。主要可分為兩種實(shí)現(xiàn)方式����,一種方式是通過(guò)在算法執(zhí)行過(guò)程中隨機(jī)的插入偽操作來(lái)擾亂分析目標(biāo)的產(chǎn)生時(shí)刻。這種方式的缺點(diǎn)在于時(shí)間隨機(jī)化的粒度較大�,難以實(shí)現(xiàn)足夠的隨機(jī)化程度。而且攻擊者也有可能識(shí)別偽操作產(chǎn)生的功耗特征���,進(jìn)而在功耗樣本中加以過(guò)濾����。隨機(jī)化的另一種實(shí)現(xiàn)方式是采用異步電路實(shí)現(xiàn)密碼算法���。在異步電路中由于沒(méi)有同步時(shí)鐘,因而也就不具有同步的寄存器輸出信號(hào)��。但是針對(duì)旁路攻擊防護(hù)領(lǐng)域的異步電路設(shè)計(jì)實(shí)現(xiàn)方法本身還處于研究階段,目前還沒(méi)有能被公認(rèn)的成熟可靠的設(shè)計(jì)方法和相關(guān)工具����。因此,采用異步電路實(shí)現(xiàn)密碼算法在電路設(shè)計(jì)的復(fù)雜性和可靠性方面存在缺陷�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題就在于針對(duì)現(xiàn)有技術(shù)存在的技術(shù)問(wèn)題,本發(fā)明提出了一種能夠?qū)崿F(xiàn)寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化的控制電路�,通過(guò)將算法中關(guān)鍵寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化的方法增大攻擊者對(duì)功耗樣本時(shí)間對(duì)齊的難度,從而增大差分功耗攻擊的難度����。為解決上述技術(shù)問(wèn)題,本發(fā)明提出了一種寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路��,它包括1.兩個(gè)不同時(shí)鐘域下的數(shù)據(jù)傳輸請(qǐng)求�����、應(yīng)答信號(hào)的控制單元����,每個(gè)請(qǐng)求、應(yīng)答信號(hào)控制單元包括兩個(gè)帶復(fù)位���、置位功能的D觸發(fā)器和一個(gè)兩輸入或非門����;2.在系統(tǒng)上電復(fù)位后兩個(gè)控制單元可以周期性的產(chǎn)生請(qǐng)求和應(yīng)答信號(hào),其中請(qǐng)求信號(hào)連接數(shù)據(jù)通路中相應(yīng)時(shí)鐘域下寄存器的同步使能端���,實(shí)現(xiàn)數(shù)據(jù)的跨時(shí)鐘域傳輸�;利用不同頻率時(shí)鐘信號(hào)之間相位差的變化實(shí)現(xiàn)在高頻時(shí)鐘域中寄存器翻轉(zhuǎn)時(shí)刻相對(duì)于低頻時(shí)鐘上升沿的隨機(jī)化�。與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點(diǎn)就在于1�����、本發(fā)明利用不同頻率時(shí)鐘信號(hào)的相位差變化關(guān)系實(shí)現(xiàn)密碼算法電路中關(guān)鍵寄存器翻轉(zhuǎn)時(shí)刻的隨機(jī)化��。相對(duì)于使用隨機(jī)插入偽操作的隨機(jī)化技術(shù)�,本發(fā)明的寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化程度更高,更難以被攻擊者識(shí)別�。2、本發(fā)明提出的寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路結(jié)構(gòu)簡(jiǎn)單���,且全部由同步邏輯單元實(shí)現(xiàn)����。相對(duì)于采用異步電路實(shí)現(xiàn)的隨機(jī)化方法,降低了電路的設(shè)計(jì)復(fù)雜性���。3、本發(fā)明提供電路設(shè)計(jì)實(shí)現(xiàn)過(guò)程中相關(guān)信號(hào)的時(shí)序約束條件計(jì)算方法�����,降低了電路設(shè)計(jì)實(shí)現(xiàn)難度����。
圖1是本發(fā)明的寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路結(jié)構(gòu)示意圖;圖2是本發(fā)明具體實(shí)施的原理示意圖���;圖3是本發(fā)明具體實(shí)施中請(qǐng)求��、應(yīng)答信號(hào)的時(shí)序圖��。
具體實(shí)施例方式以下將結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步詳細(xì)說(shuō)明����。圖1是本發(fā)明提出的寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路結(jié)構(gòu)示意圖�����,控制電路包括 Clk_a時(shí)鐘域下的信號(hào)控制單元和Clk_b時(shí)鐘域下的信號(hào)控制單元兩部分。Clk_a時(shí)鐘域控制單元包括兩個(gè)帶復(fù)位�、置位端的D觸發(fā)器101和102以及或非門103,兩個(gè)D觸發(fā)器的時(shí)鐘輸入端連接Clk_a�����。觸發(fā)器101輸入Clk_b時(shí)鐘域的請(qǐng)求信號(hào) Req_b�����,輸出與Clk_a時(shí)鐘邊沿對(duì)齊的應(yīng)答信號(hào)Ack_a��。其實(shí)現(xiàn)的功能為���,當(dāng)Req_b信號(hào)為1 時(shí)�,Ack_a信號(hào)在Clk_a時(shí)鐘上升沿跳變?yōu)?���,當(dāng)Req_b信號(hào)為0時(shí)�����,Ack_a信號(hào)在Clk_a時(shí)鐘上升沿跳變?yōu)?�����?�;蚍情T103的輸入端連接Clk_b時(shí)鐘域的Req_b和經(jīng)過(guò)一級(jí)buffer單元的Ack_b信號(hào)���,輸出端連接觸發(fā)器102的輸入端����,觸發(fā)器102輸出與Clk_a時(shí)鐘邊沿對(duì)齊的請(qǐng)求信號(hào)Req_a�����。其實(shí)現(xiàn)的功能為�����,當(dāng)Req_b和Ack_b信號(hào)都為0時(shí)�,Req_a信號(hào)在Clk_a 時(shí)鐘上升沿跳變?yōu)?�����,當(dāng)Ack_b信號(hào)跳變?yōu)?時(shí)���,Req_a信號(hào)在Clk_a時(shí)鐘上升沿跳變?yōu)?����。 為了避免在Ack_b信號(hào)跳變?yōu)?而同時(shí)Req_b信號(hào)跳變?yōu)?的情況下或非門103產(chǎn)生毛刺信號(hào),電路中在Ack_b信號(hào)端添加了一級(jí)buffer單元104使Ack_b信號(hào)跳變略晚于Req_b 信號(hào)�����。Clk_b時(shí)鐘域控制單元結(jié)構(gòu)與Clk_a時(shí)鐘域控制單元相同�,其區(qū)別在于D觸發(fā)器 201和202的時(shí)鐘輸入端連接的是Clk_b時(shí)鐘。此外�����,Reset信號(hào)連接至觸發(fā)器101�����、201和 202的復(fù)位端以及觸發(fā)器102的置位端�。這樣,當(dāng)系統(tǒng)復(fù)位時(shí)Req_a信號(hào)為1而Req_b����、Ack_ b和Ack_a信號(hào)保持為低,在電路正常工作后請(qǐng)求���、響應(yīng)信號(hào)由控制電路周期性產(chǎn)生��。本發(fā)明所提出的寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路具體實(shí)施原理如圖2所示�����。在圖中我們假設(shè)寄存器2的輸出端信號(hào)可以被攻擊者選作分析目標(biāo)��,而寄存器1和寄存器3沒(méi)有攻擊隱患����。由此����,我們稱寄存器2為關(guān)鍵寄存器而寄存器1和寄存器3為普通寄存器。關(guān)鍵寄存器在芯片內(nèi)部產(chǎn)生的時(shí)鐘Clk_a下工作���,而普通寄存器的工作時(shí)鐘(1103與芯片系統(tǒng)時(shí)鐘相位同步���,實(shí)現(xiàn)密碼算法電路與外圍電路以及片外信號(hào)的同步傳輸。關(guān)鍵寄存器與普通寄存器之間的數(shù)據(jù)傳輸通過(guò)寄存器翻轉(zhuǎn)時(shí)刻控制電路產(chǎn)生的數(shù)據(jù)請(qǐng)求信號(hào)Req_a和 Req_b控制�,Req_a和Req_b分別連接相應(yīng)時(shí)鐘域中數(shù)據(jù)通路寄存器的同步使能端,當(dāng)請(qǐng)求信號(hào)為1時(shí)�,寄存器在對(duì)應(yīng)的時(shí)鐘上升沿時(shí)刻采樣輸入數(shù)據(jù)。這樣由于時(shí)鐘(讓_3與(讓3 的頻率差異就可以導(dǎo)致密碼算法電路中關(guān)鍵寄存器翻轉(zhuǎn)時(shí)刻相對(duì)于Clk_b跳變沿的變化���。 由于Clk_a和Clk_b都是周期信號(hào)����,這使得兩個(gè)時(shí)鐘的相位差變化情況會(huì)表現(xiàn)出周期性的特點(diǎn)。在這種情況下�,攻擊者一旦獲得了 clk_a的頻率信息就可以通過(guò)周期性的將功耗軌跡進(jìn)行時(shí)間平移的方法來(lái)實(shí)現(xiàn)時(shí)間對(duì)齊的目的。為了解決這一問(wèn)題�,本發(fā)明要求內(nèi)部時(shí)鐘生成器能夠產(chǎn)生不同頻率的時(shí)鐘信號(hào),通過(guò)隨機(jī)數(shù)生成器產(chǎn)生的信號(hào)控制(3讓_&在不同時(shí)鐘頻率間隨機(jī)切換���。圖3顯示了請(qǐng)求��、響應(yīng)信號(hào)以及數(shù)據(jù)通路的時(shí)序關(guān)系��。下面通過(guò)描述圖2電路中數(shù)據(jù)的傳輸來(lái)解釋控制電路中請(qǐng)求����、響應(yīng)信號(hào)的工作過(guò)程�����。在電路運(yùn)行過(guò)程中��,當(dāng)寄存器2向組合邏輯B輸出數(shù)據(jù)后���,控制電路在下一個(gè)Clk_a的上升沿將接收數(shù)據(jù)請(qǐng)求信號(hào)Req_a置為1�,即將寄存器1和寄存器3的同步使能端置位為1。在這之后的第一個(gè)Clk_b上升沿���, 寄存器1將數(shù)據(jù)Datal打入組合邏輯A中�,同時(shí)���,應(yīng)答信號(hào)Ack_b被置為1�����。在這之后的第一個(gè)Clk_a的上升沿Req_a信號(hào)被置為0�。由此完成數(shù)據(jù)從Clk_b時(shí)鐘域向Clk_a時(shí)鐘域的傳送��。當(dāng)Req_a信號(hào)為0后���,應(yīng)答信號(hào)Ack_b在下一個(gè)Clk_b的上升沿被置位到0,同時(shí)數(shù)據(jù)請(qǐng)求信號(hào)Req_b置為1��,開(kāi)始數(shù)據(jù)從Clk_a時(shí)鐘域向Clk_b時(shí)鐘域的傳送�����。具體的操作過(guò)程與上述相同。圖3中的虛線箭頭指示了輸入數(shù)據(jù)在三個(gè)寄存器中的傳輸過(guò)程����。為保證本發(fā)明提出的寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路能夠穩(wěn)定工作,圖2所示的電路中各種信號(hào)還需要滿足一定的時(shí)序要求�����。主要包括時(shí)鐘Clk_a與Clk_b的頻率要求���、 數(shù)據(jù)傳輸路徑的建立時(shí)間要求和請(qǐng)求��、響應(yīng)信號(hào)需要滿足的時(shí)序要求���。對(duì)于時(shí)鐘Clk_a與Clk_b的頻率要求方面,由于時(shí)鐘Clk_b要滿足與外圍電路的信號(hào)同步傳輸���,因此�����,在系統(tǒng)中cik_b時(shí)鐘域的電路需要保持固定的數(shù)據(jù)吞吐率����。即在圖2 所示的原型電路中,寄存器1必須保持每3個(gè)Clk_b時(shí)鐘周期從前級(jí)電路接收一次數(shù)據(jù)����,而寄存器3必須保持每3個(gè)Clk_b時(shí)鐘周期向后級(jí)電路發(fā)送一次數(shù)據(jù)。因此�,Clk_b時(shí)鐘可以設(shè)置為系統(tǒng)時(shí)鐘的三倍頻。而由圖3所示的請(qǐng)求�、響應(yīng)信號(hào)時(shí)序關(guān)系可知,要保證寄存器1 和寄存器3每3個(gè)Clk_b時(shí)鐘周期都能傳輸數(shù)據(jù)����,則Clk_a的時(shí)鐘周期必須小于Clk_b的時(shí)鐘周期,即Clk_a的時(shí)鐘頻率必須高于Clk_b����。對(duì)數(shù)據(jù)傳輸路徑建立時(shí)間的要求包括組合邏輯A的路徑時(shí)間Tsetup A和組合邏輯B 的路徑時(shí)間Tsetup B,組合邏輯A的路徑建立時(shí)間可由下式計(jì)算TSetup—A Tpath—A+Tsetup—reg2(1)公式中Tpath A是組合邏輯A的最大路徑傳輸延遲����,Tsetup reg2是寄存器2的數(shù)據(jù)輸入端建立時(shí)間約束����。根據(jù)圖3中所描述的數(shù)據(jù)傳輸關(guān)系,寄存器1在Clk_b的第一個(gè)時(shí)鐘上升沿將數(shù)據(jù)打入組合邏輯A,同時(shí)應(yīng)答信號(hào)Ack_b被置為1���。經(jīng)過(guò)一個(gè)(讓_13時(shí)鐘周期后應(yīng)答信號(hào)Ack_b被置為0���,同時(shí)數(shù)據(jù)請(qǐng)求信號(hào)Req_b被置為1。在這之后的第一個(gè)Clk_a時(shí)鐘上升沿寄存器2采樣組合邏輯A的輸出信號(hào)����。由此可知,假設(shè)八1\是時(shí)鐘(讓_3與時(shí)鐘(11 b的相位偏差�����,則組合邏輯A相對(duì)于寄存器2的建立時(shí)間約束如下式所示Tpath_A+Tsetup_reg2 < Tclk^AT1(2)式中T�。lk b是的Clk_b時(shí)鐘周期。由于在電路工作過(guò)程中���,AT1始終為一個(gè)大于0的隨機(jī)值��,因此可以將組合邏輯A的最大路徑延遲約束定義為下式Tpath_A〈 Tclk_b-Tsetup_rexg2(3)對(duì)于組合邏輯B的最大路徑延遲約束可以通過(guò)相似的方法推導(dǎo)����。當(dāng)寄存器2將新數(shù)據(jù)打入組合邏輯B的同時(shí)����,應(yīng)答信號(hào)Ack_a被置為1���。經(jīng)過(guò)時(shí)刻八1~2后,在第一個(gè)(讓3 時(shí)鐘的上升沿Req_b信號(hào)被置為0����,再經(jīng)過(guò)一個(gè)Clk_b時(shí)鐘周期寄存器3將采樣組合邏輯B 的輸出信號(hào)。因此�,組合邏輯B的路徑建立時(shí)間約束要求可由下式計(jì)算Tpath_B+Tsetup_reg3 <Tclk—b+AT2(4)公式中Tpath B是組合邏輯A的最大路徑傳輸延遲,Tsrtup Mg3是寄存器3的數(shù)據(jù)輸入端建立時(shí)間約束�����。由于我們約束Clk_a的時(shí)鐘周期始終小于Clk_b����,因此Δ T2的最小取值等于T。lk—b與T�����。lk a的差�����。因此可以將組合邏輯B的最大路徑延遲約束定義為下式Tpath—B〈 2Tclk—b_Tclk—a_Tsetup—reg3(5)請(qǐng)求����、響應(yīng)信號(hào)需要滿足的時(shí)序要求包括Req_a信號(hào)和Ack_a信號(hào)相對(duì)于時(shí)鐘 Clk_b的建立時(shí)間約束、Req_b信號(hào)和Ack_b信號(hào)相對(duì)于時(shí)鐘Clk_a的建立時(shí)間約束以及 Req_a信號(hào)和Req_b信號(hào)作為數(shù)據(jù)通路寄存器同步使能信號(hào)的建立時(shí)間約束�����。假設(shè)Req_a 信號(hào)和Ack_a信號(hào)的路徑建立時(shí)間為Tsrtup a�,Req_b信號(hào)和Ack_b信號(hào)的路徑建立時(shí)間為 Ts_—b。對(duì)于Tsrtup a�,由于Clk_a的時(shí)鐘周期小于Clk_b,則信號(hào)和Ack_a信號(hào)跳變沿相對(duì)于Clk_b上升沿的最小時(shí)間間隔等于兩個(gè)時(shí)鐘周期的差值�。因此只要約束Req_a信號(hào)和Ack_a信號(hào)的路徑建立時(shí)間小于兩個(gè)時(shí)鐘周期的差值即可保證信號(hào)能被Clk_b穩(wěn)定采樣,即滿足以下公式Tsetup_a < Tclk—b_Tclk—a�,max(6)其中Telka,max表示Clk_a所有可能的時(shí)鐘周期值的最大值�����。對(duì)于Tsetup b��,同樣由于Clk_a的時(shí)鐘周期小于Clk_b���,在一個(gè)Clk_b周期中即使Req_b信號(hào)和Ack_b信號(hào)來(lái)不及被第一個(gè)Clk_a上升沿采樣還能被下一個(gè)Clk_a上升沿采樣采樣����。因此只要約束Req_b信號(hào)和Ack_b信號(hào)的路徑建立時(shí)間小于一個(gè)Clk_a時(shí)鐘周期即可保證信號(hào)被及時(shí)采樣,即滿足以下公式
權(quán)利要求
1. 一種寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路���,其特征在于它包括 兩個(gè)不同時(shí)鐘域下的數(shù)據(jù)傳輸請(qǐng)求����、應(yīng)答信號(hào)的控制單元�,每個(gè)請(qǐng)求、應(yīng)答信號(hào)控制單元包括兩個(gè)帶復(fù)位�、置位功能的觸發(fā)器和一個(gè)兩輸入或非門;在系統(tǒng)上電復(fù)位后兩個(gè)控制單元可以周期性的產(chǎn)生請(qǐng)求和應(yīng)答信號(hào)�����,其中請(qǐng)求信號(hào)連接數(shù)據(jù)通路中相應(yīng)時(shí)鐘域下寄存器的同步使能端�,實(shí)現(xiàn)數(shù)據(jù)的跨時(shí)鐘域傳輸;利用不同頻率時(shí)鐘信號(hào)之間相位差的變化實(shí)現(xiàn)在高頻時(shí)鐘域中寄存器翻轉(zhuǎn)時(shí)刻相對(duì)于低頻時(shí)鐘上升沿的隨機(jī)化�。
全文摘要
本發(fā)明公開(kāi)了一種寄存器翻轉(zhuǎn)時(shí)刻隨機(jī)化控制電路,通過(guò)本發(fā)明提供的信號(hào)時(shí)序約束條件計(jì)算方法實(shí)現(xiàn)�����,可以利用不同頻率時(shí)鐘信號(hào)間的相位差變化實(shí)現(xiàn)高頻時(shí)鐘域中寄存器翻轉(zhuǎn)時(shí)刻相對(duì)于低頻時(shí)鐘跳變沿的隨機(jī)化���,它包括兩個(gè)不同時(shí)鐘域下數(shù)據(jù)傳輸請(qǐng)求���、應(yīng)答信號(hào)的控制單元,每個(gè)請(qǐng)求�、應(yīng)答信號(hào)控制單元包括兩個(gè)帶復(fù)位、置位功能的D觸發(fā)器和一個(gè)兩輸入或非門�。
文檔編號(hào)G06F21/00GK102254110SQ20101017693
公開(kāi)日2011年11月23日 申請(qǐng)日期2010年5月20日 優(yōu)先權(quán)日2010年5月20日
發(fā)明者樂(lè)大珩, 何小威, 孫巖, 張均安, 張明, 張民選, 李少青, 段志奎, 竇強(qiáng), 譚曉強(qiáng), 趙振宇, 陳吉華, 馬卓 申請(qǐng)人:中國(guó)人民解放軍國(guó)防科學(xué)技術(shù)大學(xué)