本發(fā)明涉及集成電路安全技術(shù)領(lǐng)域，具體來說，涉及一種基于INS網(wǎng)絡(luò)的隨機(jī)感染抗故障攻擊方法。

背景技術(shù)：

近年來，針對(duì)加密算法的軟硬件實(shí)現(xiàn)而不是算法本身的數(shù)學(xué)弱點(diǎn)的物理攻擊已經(jīng)成為對(duì)硬件安全的一個(gè)顯著的威脅。作為一種物理攻擊手段，故障攻擊通過精準(zhǔn)地在電路中注入故障來獲取加密實(shí)現(xiàn)中的秘鑰?，F(xiàn)在的故障注入的準(zhǔn)確性有了顯著的提升。例如，激光注入的光點(diǎn)尺寸已經(jīng)達(dá)到了邏輯門尺寸級(jí)別而且注入的時(shí)間精度在次納秒尺度。這種級(jí)別的威脅使得密碼處理器抗故障攻擊能力成為了硬件設(shè)計(jì)人員衡量硬件安全性的一個(gè)重要指標(biāo)?？构收瞎舻姆椒梢员环譃閮煞N主要類型：故障檢測(cè)方法和感染方法。在傳統(tǒng)的檢測(cè)方法中，通過重復(fù)計(jì)算或者復(fù)制電路得到的冗余計(jì)算結(jié)果和原始計(jì)算的結(jié)果進(jìn)行對(duì)比從而實(shí)現(xiàn)故障檢測(cè)。如果在比較過程中有差異那么故障結(jié)果將不會(huì)被輸出。然而，應(yīng)該指出的是，比較操作本身可能成為一個(gè)薄弱環(huán)節(jié)。這是因?yàn)楸容^操作總是產(chǎn)生一個(gè)一位的判斷條件，通過攻擊或篡改這個(gè)判斷條件的值，比較操作就容易被旁路。在感染對(duì)策中，故障注入所產(chǎn)生的故障傳播圖樣將會(huì)被感染方式所破壞，攻擊者即使得到被感染的故障密文，也無法還原密文中所包含的信息，這樣攻擊過程無效。

大量的學(xué)者已經(jīng)投身于對(duì)分組密碼的感染對(duì)策研究之中。在早期的研究中，確定性的計(jì)算，主要包括如交換或異或等簡(jiǎn)單的線性操作，被用來完成感染功能。這類操作很容易實(shí)現(xiàn)，并且只會(huì)產(chǎn)生較小的面積開銷。然而，由于感染函數(shù)的確定性，如果感染函數(shù)是攻擊者已知的話，故障擴(kuò)散模式仍然可以通過修改攻擊方法得到實(shí)現(xiàn)。這些對(duì)策的安全性依賴于方法本身的保密性。為了解決這個(gè)問題，隨機(jī)性被引入到感染對(duì)策之中，從而使得感染方法中存在了一定的不確定性。例如，隨機(jī)地進(jìn)行冗余輪函數(shù)計(jì)算或者乘法掩碼操作。各種抵抗此類對(duì)策的具有針對(duì)性的攻擊方法被發(fā)明。這表明這些增強(qiáng)隨機(jī)性的方法仍然存在著安全漏洞。在高性能密碼處理器中，Benes網(wǎng)絡(luò)被廣泛的用作加速模塊對(duì)密碼算法中的置換操作進(jìn)行加速。置換操作是分組密碼的常用基本操作之一，其通過打亂輸入數(shù)據(jù)的比特位置提高密碼算法的安全性。對(duì)于使用專用集成電路（ASIC）硬件實(shí)現(xiàn)的特定的加密算法，所需要的置換是固定的，并且可以通過交叉線實(shí)現(xiàn)。然而，對(duì)于密碼處理器，必須靈活的實(shí)現(xiàn)安全協(xié)議中的多種密碼算法，這意味著密碼處理器應(yīng)該能夠?qū)崿F(xiàn)密碼算法中所需的任意置換。密碼處理器中有兩種用于置換操作的解決方案。首先，由于加密處理器的面積限制，該處理器要么使用原指令（如mask generation, AND, SHIFT和OR），要么使用更加強(qiáng)大的位操作指令（如EXTRACT和 DEPOSIT）來實(shí)現(xiàn)以比特為單位的置換操作。此處，實(shí)現(xiàn)N比特操作所需時(shí)鐘周期與N成線性關(guān)系。第二，對(duì)于高性能的加密處理器通常添加額外的多級(jí)互聯(lián)網(wǎng)絡(luò)實(shí)現(xiàn)置換操作。在網(wǎng)絡(luò)中，可以通過配置各個(gè)開關(guān)的功能實(shí)現(xiàn)數(shù)據(jù)的置換，處理器通過調(diào)用該網(wǎng)絡(luò)模塊，達(dá)到置換的功能。Benes網(wǎng)絡(luò)（連接兩個(gè)背靠背的蝶型網(wǎng)絡(luò)）是一種常見的可以無阻塞實(shí)現(xiàn)N!種（N為BENES的寬度）置換的多級(jí)網(wǎng)絡(luò)形式。這種非阻塞特性使得Benes網(wǎng)絡(luò)結(jié)構(gòu)作為置換加速模塊被廣泛的應(yīng)用于高性能密碼處理器中。然而，到目前為止，Benes網(wǎng)絡(luò)模塊僅僅作為一個(gè)加速模塊，并沒有任何利用其網(wǎng)絡(luò)特性（如隨機(jī)性）來抵抗故障攻擊的研究被提出。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種基于INS網(wǎng)絡(luò)的隨機(jī)感染抗故障攻擊方法，以克服目前現(xiàn)有技術(shù)存在的上述不足。

為實(shí)現(xiàn)上述技術(shù)目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種基于INS網(wǎng)絡(luò)的隨機(jī)感染抗故障攻擊方法，包括如下步驟：

S1將明文送入加密處理器中，通過時(shí)間或空間冗余方式得到兩組密文輸出；

S2將步驟S1得到的所述兩組密文輸出進(jìn)行異或操作，得到輸出差值；

S3將步驟S2得到的所述輸出差值送入感染函數(shù)模塊中執(zhí)行感染操作，得到感染結(jié)果；和

S4將步驟S3得到的所述感染結(jié)果取出，將其與步驟S1中任意一組密文輸出進(jìn)行異或操作得到最終的輸出。

進(jìn)一步的，所述的步驟S1中，時(shí)間冗余方式通過重復(fù)計(jì)算得到正常執(zhí)行結(jié)果與冗余計(jì)算結(jié)果，空間冗余方式通過復(fù)制電路的方法在兩份相同電路中分別得到正常執(zhí)行與冗余計(jì)算結(jié)果。

進(jìn)一步的，所述的步驟S2中，所述差值由對(duì)應(yīng)密文異或得到，或者由正常執(zhí)行與冗余計(jì)算的其它對(duì)應(yīng)中間變量異或得到。

進(jìn)一步的，所述的步驟S3中，所述感染操作的具體流程包括：將差值送入INS網(wǎng)絡(luò)之中進(jìn)行漢明重量均衡操作，實(shí)現(xiàn)漢明重量均衡操作之后得到的輸出繼續(xù)送回到INS網(wǎng)絡(luò)之中，進(jìn)行輸出混淆操作，得到感染結(jié)果。

進(jìn)一步的，所述的步驟S4中，感染結(jié)果所異或的值與步驟S2中的中間變量的選取對(duì)應(yīng)，若選取的中間變量不是密文，則此處感染結(jié)果應(yīng)與選取的中間變量異或，再用異或的結(jié)果替代原有的中間變量，繼續(xù)進(jìn)行密碼算法計(jì)算，得到最終輸出。

進(jìn)一步的，所述的步驟S3進(jìn)一步包括：

S3.1將步驟S2異或得到的輸出差值送入INS網(wǎng)絡(luò)進(jìn)行漢明重量均衡操作，其中，輸出差值輸入到INS的低N/2位，若輸出差值不足N/2位，其余位輸入用0補(bǔ)全，INS的高N/2位輸入均為比特0，此時(shí)或增強(qiáng)型開關(guān)被配置成為或功能，四狀態(tài)開關(guān)配置位為隨機(jī)數(shù)，其它位置均為正常的兩狀態(tài)開關(guān)；

S3.2將步驟S3.1得到的輸出送回INS網(wǎng)絡(luò)實(shí)現(xiàn)輸出混淆操作，其中，或增強(qiáng)型開關(guān)和四狀態(tài)開關(guān)功能均被配置為兩狀態(tài)開關(guān)形式，隨機(jī)地選出網(wǎng)絡(luò)中由配置為隨機(jī)數(shù)0或1驅(qū)動(dòng)的一列開關(guān)，隨機(jī)實(shí)現(xiàn)交叉或直通操作，得到輸出為感染結(jié)果。

進(jìn)一步的，在步驟S3.2中，由隨機(jī)數(shù)0或1驅(qū)動(dòng)所需隨機(jī)數(shù)數(shù)目為N/2，隨機(jī)化操作所需隨機(jī)數(shù)數(shù)目為。

進(jìn)一步的，根據(jù)步驟S2中得到的輸出差值的數(shù)據(jù)寬度確定INS網(wǎng)絡(luò)的寬度N，根據(jù)寬度N確定INS網(wǎng)絡(luò)的基本結(jié)構(gòu)，其中，INS網(wǎng)絡(luò)拓?fù)錇楸晨勘车牡途W(wǎng)絡(luò)結(jié)構(gòu)，每一級(jí)中開關(guān)個(gè)數(shù)為N/2，共級(jí)。

進(jìn)一步的，在INS網(wǎng)絡(luò)中，第0級(jí)到第級(jí)中每一級(jí)均有N/4個(gè)或增強(qiáng)型開關(guān)，其中，所述的或增強(qiáng)型開關(guān)的位置為INS網(wǎng)絡(luò)的每一個(gè)子網(wǎng)絡(luò)的第0級(jí)的上半部分或者下半部分。

進(jìn)一步的，INS網(wǎng)絡(luò)中四狀態(tài)開關(guān)位置和數(shù)目的確定，四狀態(tài)開關(guān)位于INS網(wǎng)絡(luò)的第級(jí)，其數(shù)目根據(jù)設(shè)計(jì)者的安全需求確定，其中，在漢明重量均衡操作中，四狀態(tài)開關(guān)配置位被設(shè)置為隨機(jī)數(shù)；在輸出混淆操作中，四狀態(tài)開關(guān)配置位基本的兩狀態(tài)開關(guān)。

采用上述技術(shù)方案后，本發(fā)明具有如下的有益效果：本發(fā)明能實(shí)現(xiàn)感染對(duì)策中感染函數(shù)的隨機(jī)化，降低了故障攻擊成功的概率，提高了電路的安全性。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其它的附圖。

圖1a為輸入/輸出是16位的Benes網(wǎng)絡(luò)結(jié)構(gòu)圖；

圖1b是直通狀態(tài)開關(guān)的基本原理；

圖1c是交叉狀態(tài)開關(guān)的基本原理；

圖2為BENES網(wǎng)絡(luò)隨機(jī)特性圖；

圖3為感染對(duì)策基本實(shí)施步驟圖；

圖4為16位INS結(jié)構(gòu)圖；

圖5為或增強(qiáng)型開關(guān)的開關(guān)模型圖；

圖6為四狀態(tài)開關(guān)的開關(guān)模型圖；

圖7為漢明權(quán)重均衡示意圖；

圖8為基于INS網(wǎng)絡(luò)的感染操作的執(zhí)行過程。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員所獲得的所有其它實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明實(shí)施例所述的一種基于INS網(wǎng)絡(luò)的隨機(jī)感染抗故障攻擊方法，包括如下步驟：

一種基于INS網(wǎng)絡(luò)的隨機(jī)感染抗故障攻擊方法，包括如下步驟：

S1將明文送入加密處理器中，通過時(shí)間或空間冗余方式得到兩組密文輸出；

S2將步驟S1得到的所述兩組密文輸出進(jìn)行異或操作，得到輸出差值；

S3將步驟S2得到的所述輸出差值送入感染函數(shù)模塊中執(zhí)行感染操作，得到感染結(jié)果；和

S4將步驟S3得到的所述感染結(jié)果取出，將其與步驟S1中任意一組密文輸出進(jìn)行異或操作得到最終的輸出。

在本發(fā)明的一個(gè)具體實(shí)施例中，所述的步驟S1中，時(shí)間冗余方式通過重復(fù)計(jì)算得到正常執(zhí)行結(jié)果與冗余計(jì)算結(jié)果，空間冗余方式通過復(fù)制電路的方法在兩份相同電路中分別得到正常執(zhí)行與冗余計(jì)算結(jié)果。

在本發(fā)明的一個(gè)具體實(shí)施例中，所述的步驟S2中，所述差值由對(duì)應(yīng)密文異或得到，或者由正常執(zhí)行與冗余計(jì)算的其它對(duì)應(yīng)中間變量異或得到。

在本發(fā)明的一個(gè)具體實(shí)施例中，所述的步驟S3中，所述感染操作的具體流程包括：將差值送入INS網(wǎng)絡(luò)之中進(jìn)行漢明重量均衡操作，實(shí)現(xiàn)漢明重量均衡操作之后得到的輸出繼續(xù)送回到INS網(wǎng)絡(luò)之中，進(jìn)行輸出混淆操作，得到感染結(jié)果。

在本發(fā)明的一個(gè)具體實(shí)施例中，所述的步驟S4中，感染結(jié)果所異或的值與步驟S2中的中間變量的選取對(duì)應(yīng)，若選取的中間變量不是密文，則此處感染結(jié)果應(yīng)與選取的中間變量異或，再用異或的結(jié)果替代原有的中間變量，繼續(xù)進(jìn)行密碼算法計(jì)算，得到最終輸出。

在本發(fā)明的一個(gè)具體實(shí)施例中，所述的步驟S3進(jìn)一步包括：

S3.1將步驟S2異或得到的輸出差值送入INS網(wǎng)絡(luò)進(jìn)行漢明重量均衡操作，其中，輸出差值輸入到INS的低N/2位，若輸出差值不足N/2位，其余位輸入用0補(bǔ)全，INS的高N/2位輸入均為比特0，此時(shí)或增強(qiáng)型開關(guān)被配置成為或功能，四狀態(tài)開關(guān)配置位為隨機(jī)數(shù)，其它位置均為正常的兩狀態(tài)開關(guān)；

S3.2將步驟S3.1得到的輸出送回INS網(wǎng)絡(luò)實(shí)現(xiàn)輸出混淆操作，其中，或增強(qiáng)型開關(guān)和四狀態(tài)開關(guān)功能均被配置為兩狀態(tài)開關(guān)形式，隨機(jī)地選出網(wǎng)絡(luò)中由配置為隨機(jī)數(shù)0或1驅(qū)動(dòng)的一列開關(guān)，隨機(jī)實(shí)現(xiàn)交叉或直通操作，得到輸出為感染結(jié)果。

其中，在步驟S3.2中，由隨機(jī)數(shù)0或1驅(qū)動(dòng)所需隨機(jī)數(shù)數(shù)目為N/2，隨機(jī)化操作所需隨機(jī)數(shù)數(shù)目為。

其中，INS網(wǎng)絡(luò)的結(jié)構(gòu)參考了基本BENES網(wǎng)絡(luò)，下面從BENES網(wǎng)絡(luò)基本拓?fù)湟约癇ENES網(wǎng)絡(luò)隨機(jī)特性兩方面介紹INS的設(shè)計(jì)背景。

圖1a展示了輸入/輸出為16位的Benes網(wǎng)絡(luò)結(jié)構(gòu)圖，根據(jù)遞歸定義，Benes網(wǎng)絡(luò)由多級(jí)的兩輸入/兩輸出開關(guān)組成。N比特的Benes網(wǎng)絡(luò)由兩個(gè)N/2比特的Benes網(wǎng)絡(luò)和另外兩級(jí)（每級(jí)N/2個(gè)開關(guān)）開關(guān)組成，圖中的虛線框標(biāo)明了子網(wǎng)絡(luò)（包括4輸入的Benes網(wǎng)絡(luò)和8輸入的Benes網(wǎng)絡(luò)）。圖1b和圖1c分別是兩狀態(tài)開關(guān)的基本原理：當(dāng)配置位取0或者1時(shí)，兩輸入開關(guān)實(shí)現(xiàn)直通或者交叉功能。如果配置位是全隨機(jī)的，對(duì)于一個(gè)特定的輸入位被映射到每個(gè)輸出位置的概率都是一樣的。

圖2 是BENES網(wǎng)絡(luò)隨機(jī)特性圖，說明了Benes網(wǎng)絡(luò)的隨機(jī)化特性。Benes網(wǎng)絡(luò)自身的配置信息的隨機(jī)化將會(huì)得到隨機(jī)化置換輸出。下面從定性說明的角度，提供了基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的直觀分析。由于Benes網(wǎng)絡(luò)的對(duì)稱性，下面只討論一半的網(wǎng)絡(luò)結(jié)構(gòu)（從第到第級(jí)）。第i+1級(jí)開關(guān)的配置信息將進(jìn)一步?jīng)Q定第i級(jí)中已選中一比特?cái)?shù)據(jù)是被映射到的第i級(jí)已選中的某半個(gè)部分的上半部分還是下半部分。如果配置位全部是隨機(jī)的，對(duì)于一個(gè)特定的輸入位被映射到每個(gè)輸出位置的概率都是一樣的。例如，在本圖中第三級(jí)的配置信息將決定1位數(shù)據(jù)是被映射到16位輸出的高8位或者低8位。同樣，第四級(jí)的配置信息將進(jìn)一步確定該位信息是被映射到所選中8位輸出的高4位或者低4位。

圖3說明了感染操作的基本實(shí)施步驟。感染對(duì)策的目的是摧毀隱藏在輸出密文中的故障傳播圖樣。該設(shè)計(jì)包括兩個(gè)相同的分組密碼模塊，選擇密文輸出進(jìn)行異或得到輸出Δ，將Δ送入感染函數(shù)模塊進(jìn)行感染操作，感染操作的輸出I(Δ)與密文中的任意一個(gè)進(jìn)行異或得到輸出回到分組密碼模塊中，將 作為密文生產(chǎn)。特別指出的是，此處從分組密碼模塊中取出的兩組輸出可以為密文或者是加密過程中的中間變量值，若選取的中間變量不是密文，則此處感染結(jié)果應(yīng)與選取的中間變量異或，再用異或的結(jié)果替代原有的中間變量，繼續(xù)進(jìn)行密碼算法計(jì)算，得到最終輸出。

圖4是16位的INS結(jié)構(gòu)圖，其中INS網(wǎng)絡(luò)的第0級(jí)到第級(jí)中每一級(jí)均有N/4個(gè)或增強(qiáng)型開關(guān)，位置為INS網(wǎng)絡(luò)以及其每一個(gè)子網(wǎng)絡(luò)的第0級(jí)的上半部分或者下半部分。例如，在此圖中，或增強(qiáng)型開關(guān)位于16比特INS，兩個(gè)8比特子網(wǎng)絡(luò)，四個(gè)4比特子網(wǎng)絡(luò)的第0級(jí)的上半部分。與或增強(qiáng)型開關(guān)不同的是，四狀態(tài)開關(guān)僅僅存在于第級(jí)（Benes網(wǎng)絡(luò)的中間級(jí)）并且四狀態(tài)開關(guān)的數(shù)目是根據(jù)用戶的需求靈活設(shè)定的。

圖5和圖6分別是或增強(qiáng)型開關(guān)和四狀態(tài)開關(guān)的開關(guān)模型圖。其中C1、C2分別為開關(guān)的配置位。在或增強(qiáng)型開關(guān)中，控制開關(guān)或功能的配置位C2被加入到原始的兩狀態(tài)開關(guān)中（圖中用虛線框中標(biāo)出）。當(dāng)C2=0時(shí)，或增強(qiáng)型開關(guān)與兩輸入開關(guān)相同；當(dāng)C2=1時(shí)，或增強(qiáng)型開關(guān)實(shí)現(xiàn)或功能。對(duì)于四狀態(tài)開關(guān)，兩個(gè)多路選擇器的配置位被分離開始實(shí)現(xiàn)上播與下播功能。當(dāng)四狀態(tài)開關(guān)的配置位，開關(guān)實(shí)現(xiàn)上播和下播功能；當(dāng)時(shí)，四狀態(tài)開關(guān)功能與兩狀態(tài)開關(guān)相同。

圖7是漢明重量均衡示意圖。在漢明重量均衡過程中Δ被輸入到INS的上半部分對(duì)應(yīng)于第0級(jí)的或增強(qiáng)開關(guān)的輸入。第0級(jí)對(duì)應(yīng)另外一半輸入，即兩狀態(tài)開關(guān)的輸入被設(shè)置為0。在配置成為或功能的或增強(qiáng)型開關(guān)的作用下，假設(shè)，則第級(jí)的輸出為“110011001100...”。輸出數(shù)據(jù)一半為0一半為1，這表面漢明權(quán)重被完全平衡。Benes網(wǎng)絡(luò)結(jié)構(gòu)被充分地利用從而使得輸入中一個(gè)非0比特?cái)?shù)據(jù)將最終影響輸出中N/2比特的數(shù)據(jù)。在中間級(jí)，四狀態(tài)開關(guān)可以將漢明權(quán)重隨機(jī)化到一定的程度（這取決于開關(guān)的數(shù)量），從而可以進(jìn)一步的增強(qiáng)不可預(yù)測(cè)性。四狀態(tài)開關(guān)的配置位設(shè)置為隨機(jī)數(shù)時(shí)，輸出等于“00、01、10、11”這四個(gè)狀態(tài)的概率均為25%。在每一個(gè)數(shù)據(jù)塊的處理，一個(gè)四狀態(tài)的開關(guān)需要兩比特的隨機(jī)數(shù)。需要指出的是，為了支持置換操作，網(wǎng)絡(luò)的寬度（N）通常大于或者等于Δ，Δ的冪一般為2。當(dāng)Δ的寬度和N的寬度相同時(shí)，可以在第0級(jí)之前加上一個(gè)附加的64位或邏輯將Δ的寬度減小為N/2。

圖8是基于INS網(wǎng)絡(luò)的感染操作的執(zhí)行過程。首先執(zhí)行漢明權(quán)重均衡操作，漢明權(quán)重均衡中或增強(qiáng)型開關(guān)實(shí)現(xiàn)或功能，此時(shí)或增強(qiáng)型開關(guān)的控制位C2設(shè)置為1，實(shí)現(xiàn)第的輸出為一半為0，一半為1。用戶根據(jù)需求設(shè)置第級(jí)的四狀態(tài)開關(guān)的數(shù)目，在漢明權(quán)重均衡操作中，四狀態(tài)開關(guān)的配置位為隨機(jī)數(shù)。本發(fā)明允許在此級(jí)中用戶根據(jù)不同安全需求設(shè)置不同數(shù)目的四狀態(tài)開關(guān)數(shù)目。四狀態(tài)開關(guān)可以將漢明權(quán)重隨機(jī)化到一定的程度（這取決于開關(guān)的數(shù)量），從而可以進(jìn)一步的增強(qiáng)不可預(yù)測(cè)性。

在輸出混淆過程中，在進(jìn)行漢明權(quán)重均衡操作之后的結(jié)果通過置換將進(jìn)一步被隨機(jī)化。此時(shí)所有的開關(guān)都被配置為兩狀態(tài)開關(guān)的形式。在所有的級(jí)中隨機(jī)選出一級(jí)實(shí)現(xiàn)控制位隨機(jī)化，選中的一級(jí)配置位被設(shè)置為隨機(jī)數(shù)，實(shí)現(xiàn)輸出混淆的隨機(jī)化操作。采用基于單級(jí)的隨機(jī)置換而不是全隨機(jī)操作的目的是減少用于感染的隨機(jī)數(shù)的數(shù)目。采取隨機(jī)選出一級(jí)進(jìn)行隨機(jī)化操作所需要的隨機(jī)數(shù)為N/2比特，而采用全隨機(jī)操作所需要的隨機(jī)數(shù)數(shù)目為。經(jīng)過INS輸出混淆的感染結(jié)果I(Δ)寬度為2Δ，此處需要取出感染輸出的一半數(shù)據(jù)I(Δ)/2作為輸出與原始密文或者中間變量值進(jìn)行異或得到最終的密文輸出。若選取的中間變量不是密文，則此處感染結(jié)果應(yīng)與選取的中間變量異或，再用異或的結(jié)果替代原有的中間變量，繼續(xù)進(jìn)行密碼算法計(jì)算，得到最終輸出。需要指出的是，本專利提出的方法在輸出混淆階段也可以根據(jù)設(shè)計(jì)者需求采用全部開關(guān)都隨機(jī)化的方案。但是這樣會(huì)加大每次感染操作所需的隨機(jī)數(shù)開銷。隨機(jī)數(shù)由真隨機(jī)數(shù)發(fā)生器（TRNG）產(chǎn)生。即使現(xiàn)有的真隨機(jī)數(shù)發(fā)生器（TRNG）的速度非常高，但是全隨機(jī)化操作中所需要的TRNG吞吐率（例如，對(duì)128位INS每次感染需要823比特隨機(jī)數(shù)），這對(duì)高加密速度的條件下的TRNG的設(shè)計(jì)來說仍然是一個(gè)挑戰(zhàn)。而且單級(jí)隨機(jī)化操作并未顯著的減小其安全性。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。