本發(fā)明涉及信息安全領域，特別是涉及一種標量的規(guī)則NAF(非相鄰表示型)序列的生成方法。

背景技術(shù)：

橢圓曲線密碼系統(tǒng)(ECC)具有安全性高、計算量小、處理速度快、存儲空間小、帶寬要求低等特點。與RSA公鑰體制相比，ECC非常適合于資源有限的嵌入式移動環(huán)境，如智能卡(smartcard)上的密碼芯片。傳統(tǒng)上，對密碼芯片的攻擊主要是對實現(xiàn)的算法從數(shù)學角度進行分析，如差分分析和線性分析。但自從旁路攻擊(Side Channel Attacks)被提出以后，人們越來越多的開始關(guān)注芯片的實現(xiàn)，以及針對芯片所面臨的攻擊所采取的抗攻擊措施。旁路攻擊是一種利用密碼芯片在運算過程中無意泄露出的信息，比如指令執(zhí)行時間、功耗、電磁輻射等信息，對芯片進行攻擊的一種方法。與傳統(tǒng)的攻擊方法相比，其密鑰的搜索空間大大小于差分密鑰分析和線性密鑰分析。按攻擊特點的不同，旁路攻擊可以分為時間攻擊、功耗分析攻擊和電磁輻射攻擊等幾種類型。功耗分析技術(shù)分為簡單功耗分析(SPA)和差分功耗分析(DPA)，SPA是指根據(jù)功耗曲線上所呈現(xiàn)的特殊特征來推測密鑰信息，DPA利用的是操作數(shù)的變化所引起的微小的功耗變化，需要通過對大量功耗曲線進行統(tǒng)計分析最終得出密鑰信息。

標量乘是ECC最重要最耗時的運算，對ECC的功耗攻擊也主要集中在對標量乘運算的攻擊，快速而安全的實現(xiàn)標量乘對于ECC來講至關(guān)重要。設E(F_q)是定義在有限域F_q上的橢圓曲線，P(x,y)是E(F_q)上的點。若F_q是二元域，則-P＝(x,x+y)；若F_q的特征大于3，則-P＝(x,-y)。因此橢圓曲線點的減法和點的加法一樣有效。這使得人們可以使用標量k的帶符號數(shù)學表示，一種特別有用的帶符號數(shù)學表示是非相鄰表示型(NAF)，對于一個標量k有唯一的NAF表示。Width-w NAF算法是帶有預計算表的NAF算法的一種擴展形式，它具有連續(xù)的w位數(shù)中非零的個數(shù)最多為1的特點，因此常用于標量乘的快速實現(xiàn)。每一個標量k都有唯一的Width-w NAF表示，而非0位的位置也與標量k本身的數(shù)值有直接的關(guān)系，這不利于抗簡單功耗分析(SPA)攻擊。

一種有效抵御SPA攻擊的方法是為標量k產(chǎn)生規(guī)則的Width-w NAF表示，在這種規(guī)則Width-w NAF序列中每w位數(shù)中一定會也只會在特定的位置產(chǎn)生非0位，因而非0位的位置與標量k本身的數(shù)值沒有直接的關(guān)系，在標量乘的功耗曲線上也就沒有明顯的特征可供SPA所利用。其算法如下：

輸入：正整數(shù)k，窗口寬度w

輸出：k的規(guī)則序列窗口NAF表示k_w

1.r＝0，i＝0，r₀＝w

2.若k為偶數(shù)，則k＝k+1

3.當k大于1時，重復執(zhí)行

3.1u[i]＝(kmod 2^w+1)-2^w

3.3k_w[r+r_i-1]＝0，...，k_w[r+1]＝0，k_w[r]＝u[i]

3.4r＝r+r_i，i＝i+1，r_i＝w

4.k_w[n]＝0，...，k_w[r+1]＝0，k_w[r]＝1

5.返回k_w[n]，k_w[n-1]，...，k_w[0]

由于該方法只能處理奇數(shù)的標量，對于偶數(shù)標量可以做加1處理，最后在標量乘結(jié)束后再進行調(diào)整就可以了：(k+1)P-P。這個方法首先是要根據(jù)所選擇的窗口大小w為標量k計算規(guī)則的NAF序列并存儲，根據(jù)窗口大小計算需要預計算的點并存儲，然后再進行標量乘計算，最后根據(jù)標量k的奇偶性決定是否需要對結(jié)果進行調(diào)整。相同二進制長度的標量k的規(guī)則NAF序列可能因k實際數(shù)值的不同而長度不同。

技術(shù)實現(xiàn)要素：

針對上述技術(shù)中的現(xiàn)狀，本發(fā)明所要解決的技術(shù)問題是提供一種標量的規(guī)則NAF序列的生成方法，既能夠節(jié)約計算時間又能夠節(jié)約存儲空間。

為解決上述技術(shù)問題，本發(fā)明的標量的規(guī)則NAF序列的生成方法，包括如下步驟：

步驟1、根據(jù)需求選擇規(guī)則NAF序列的窗口大小w，w為大于1的正整數(shù)，列出相應窗口大小下規(guī)則NAF序列的格式；

步驟2、列出非0項X的所有可能，根據(jù)大小順序重新編碼到連續(xù)的正整數(shù)X’集合上來，消除負數(shù)的表示，并記住實際非0項X與正整數(shù)X’之間的對應關(guān)系；

步驟3、根據(jù)標量k的最低位記錄其奇偶性并調(diào)整最低位得到奇數(shù)的k’，若k[0]＝1，則k’＝k，否則，k’＝k+1；

步驟4、從低到高將k’分成每w位一組，找到位數(shù)最高的非0組，并在其最高位的前面加一個1，將新的k’從高到低移一位，去掉最低位，得到經(jīng)過重新編碼并省略原規(guī)則NAF序列中的0之后的窗口為w的規(guī)則NAF序列；

步驟5、在標量乘k’P計算過程中從新的規(guī)則NAF序列中從高到低取出的每個X’，對應w個倍點運算D和一個點加運算A，而點加的點由X’對應的X確定。

采用本發(fā)明的方法產(chǎn)生的標量k的規(guī)則NAF序列，簡化了標量k的規(guī)則NAF序列產(chǎn)生流程：不需要特殊的計算，省略規(guī)則NAF序列的計算過程；不需要額外的存儲空間，省略額外存儲規(guī)則NAF序列的存儲空間，首尾的處理和整個序列的移位也可以在使用過程中解決掉，這樣既能夠節(jié)約時間又能夠節(jié)約存儲空間。在同一窗口寬度w下為相同二進制長度的標量k產(chǎn)生相同長度的規(guī)則NAF序列，以統(tǒng)一標量乘計算時間和完全消除SPA信息的泄露。

附圖說明

下面結(jié)合附圖與具體實施方式對本發(fā)明作進一步詳細的說明：

附圖是規(guī)則序列的變化示意圖。

具體實施方式

標量乘是ECC最重要最耗時的運算，對ECC的攻擊也主要集中在對標量乘運算的攻擊，快速而安全的實現(xiàn)標量乘一直是業(yè)界努力的方向。所述標量的規(guī)則NAF序列的生成方法是涉及橢圓曲線密碼中標量乘的安全而快 速的具體實現(xiàn)方法。

為了提高標量乘的執(zhí)行速度和抗SPA攻擊，目前主要采用對標量進行帶符號的規(guī)則化變換后再進行標量乘運算，這樣在功耗曲線上看到的是點加和倍點運算規(guī)律的出現(xiàn)，不會有SPA信息的泄露，通過窗口大小的選擇也可以減少點加運算的次數(shù)，有效提高執(zhí)行速度。

標量的規(guī)則化變換通常需要規(guī)則NAF序列的計算過程，規(guī)則化后的變量是帶符號的整數(shù)，且可能比標量的二進制表示的位數(shù)要多，因此需要額外的存儲空間來存放標量的規(guī)則NAF序列。

所述標量的規(guī)則NAF序列的生成方法通過省略原規(guī)則NAF序列中的0和對非0項進行重新編碼來實現(xiàn)，整個過程不需要計算，也不會增加位數(shù)，這樣的產(chǎn)生方法可以省去規(guī)則NAF序列產(chǎn)生過程中的計算時間，也不需要額外的存儲空間來存放規(guī)則NAF序列。

下面以窗口w＝4為例(結(jié)合附圖所示)，詳細說明標量的規(guī)則NAF序列的生成方法的實現(xiàn)過程。

步驟一、選擇窗口w＝4的規(guī)則NAF序列，默認數(shù)值按左高右低排列，其格式為：000X000X000X…000X。

步驟二、窗口w＝4的規(guī)則NAF序列中非0的X∈{-15,-13,-11,-9,-7,-5,-3，-1,1,3,5,7,9,11,13,15}，一一對應到如下集合X’∈{0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15}。

步驟三、根據(jù)標量k的最低位記錄其奇偶性并調(diào)整最低位得到奇數(shù)的k’，若k[0]＝1，則k’＝k，否則，k’＝k+1。

步驟四、從低到高將k’分成每4位一組，找到位數(shù)最高的非0組，并在其最高位的前面加一個1，將新的k’從高到低移一位，去掉最低位，這樣就得到了經(jīng)過重新編碼并省略原規(guī)則NAF序列中的0之后的窗口為4的規(guī)則NAF序列：X’X’X’…X’。

步驟五、在標量乘k’P計算過程中從新的規(guī)則NAF序列中從高到低取出的每個X’對應運算DDDDA，其中D代表倍點運算，A代表點加運算，而A點加的點為X’對應的X代表的點，比如X’＝1，則對應的X＝-13，因此點加的點為-13P，P是橢圓曲線上的點。

附圖中上端為原規(guī)則序列，下端為重新編碼后的規(guī)則序列。

以上通過具體實施方式對本發(fā)明進行了詳細的說明，但這些并非構(gòu)成對本發(fā)明的限制。在不脫離本發(fā)明原理的情況下，本領域的技術(shù)人員還可做出許多變形和改進，這些也應視為本發(fā)明的保護范圍。