CN103199983B - 侧信道能量分析中的n阶局域能量模型及其应用 - Google Patents

Abstract

本发明公开了侧信道能量分析中的n阶局域能量模型，该模型建立步骤如下：(1)采集能量迹，建立采样能量消耗矩阵<maths num="0001"></maths>(2)根据上步采样的能量迹，确定n阶局域能量消耗(3)选择局域窗口参数T，得到信噪比最大的n阶局域能量消耗，即n阶局域能量，计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵W′(N×L)。以该模型为基础，结合CPA或DPA原理，可以进行高效CPA或DPA分析。利用本发明的模型相对于现有方法使用较少数量的能量迹即可进行具有较高成功率的侧信道能量分析，可大幅提升侧信道能量分析的效率。

Description

侧信道能量分析中的n阶局域能量模型及其应用

技术领域

本发明属于密码算法分析检测技术领域，具体来说是涉及在密码算法实现、侧信道能量分析、密码模块检测过程中使用的n阶局域能量模型，以及利用该模型进行CPA或DPA分析。

背景技术

随着信息技术的发展，各种密码算法正被广泛地应用于经济、军事、行政等重要部门，保护信息的安全性。鉴于密码算法的重要性，密码算法软硬件实现(密码模块)的分析研究对保护信息安全具有重要的意义。近年来，多种对密码模块的攻击已广为人知，所有这些攻击的目的都是为了获取密码模块中的密钥。通常的攻击方式可分为侵入式攻击、半侵入式攻击和非侵入式攻击。近年来，由于非侵入式攻击中的侧信道分析实施方便、相对成本低廉而被广泛使用。侧信道分析可以细分为计时分析、能量分析和电磁分析。其中的侧信道能量分析是众多分析手段中最常用的方法之一，它突破了传统密码算法的分析模式，能力强大，实施相对容易。侧信道能量分析利用了密码模块能量消耗与数据运算和执行之间的相关性，基于密码算法实现的能量泄露函数建立能量模型，使用统计方法，猜测和验证密码模块使用的受保护密钥。侧信道能量分析方法一般包括，简单能量分析(SPA)、差分能量分析(DPA)、相关能量分析(CPA)和高阶差分能量分析(HODPA)。

其中，DPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹，这里的能量迹是指一次密码操作过程中采集到的能量消耗测量向量；对每一个猜测密钥K，产生相应的中间值(攻击对象)，根据中间值确定选择函数；通过选择函数将能量迹集划分为两个子集；分别对两个子集对应的能量消耗取平均，并对两个平均能量消耗值求差，该均值差为选择函数对应的中间值对能量迹的影响效果。根据统计理论，若K猜测不正确，当能量迹的个数N趋近无穷大时，两子集的均值差将趋近于零；若K猜测正确时，在能量迹中的某个样点，将会出现一个均值差的最大尖峰(绝对值最大值)，通过最大尖峰可确定正确的密钥。

CPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹；对每一个猜测密钥K，产生相应的中间值(攻击对象)；根据中间值建立能量模型；通过能量模型将中间值映射为仿真能量消耗；计算仿真能量消耗与能量迹之间的线性相关系数，范围在[-1，1]之间；选取相关系数中绝对值的最大值，理论上为1，但是由于采集能量迹过程中不可避免存在噪声干扰，最大值小于1，该相关系数最大值对应的猜测密钥即为正确密钥。

现有的能量分析方法一般是假设算法运算的密钥与采样能量迹上某一单点的能量消耗值存在相关性。但是，在实际采集能量消耗过程中，由于采样频率、电路特性、算法实现中数据操作和算法结构等因素的影响，导致单点包含密钥信息量少，采样点信息传播，若是利用一般的能量分析方法，则存在低信噪比以及低攻击效率等问题。

发明内容

为了提高在侧信道能量分析中能量信号的信噪比和分析成功率，本发明提出一种基于n阶局域能量模型，该模型相对于现有方法使用较少数量的能量迹即可进行具有较高成功率的侧信道能量分析，可大幅提升侧信道能量分析的效率。

实现上述目的本发明的技术方案为，侧信道能量分析中的n阶局域能量模型，建立该模型步骤如下：(1)采集能量迹，建立采样能量消耗矩阵 $U((N_1+N)\&times;M)=\left(\begin{array}{ccc}{S}_{\mathrm{1,1}}& ...& S_{1,M}\\ .& & .\\ .& S_{i,t}& .\\ .& & .\\ S_{N,1}& ...& S_{N,M}\end{array}\right);$ (2)根据上步采样的能量迹，确定n阶局域能量消耗 $E_{T,i,t}^n=\underset{t-T/2\&le;a<t+T/2}{\mathrm{\&Sigma;}}{S}_{i,a}^n/R,t\&Element;L,T\&le;L;$ (3)选择局域窗口参数T，得到信噪比最大的n阶局域能量消耗，即n阶局域能量，计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵W′(N×L)：这里，S_i，t表示为等效电阻R在输入第i组明文、第t个时间点时对应的采样能量消耗(即电阻R的电压)，R为等效电阻值，T为密码运算执行过程中的一段时间区域，拟攻击的算法运算时间区域L。

上述述侧信道能量分析中的n阶局域能量模型的步骤(1)具体过程是：利用密钥K对N₁+N组明文D进行密码运算，对每次运算，记录密码芯两端对应的M个点的瞬时工作电压U_t和流过密码芯片的瞬时电流I_t，即，能量迹，建立采样能量消耗矩阵U((N₁+N)×M)；步骤(2)的具体过程是首先定义密码芯片运行的n阶瞬时功耗为P_t ⁿ＝(U_t×I_t)^n/2，积分运算后可以得到n阶局域能量 $E_T^n=\underset{t\&Element;T}{\&Integral;}{P}_t^n=\underset{t\&Element;T}{\&Integral;}{(U_t\&times;I_t)}^{n/2}\mathrm{dt}\&ap;\underset{t\&Element;T}{\&Integral;}{U}_t^n/\mathrm{Rdt}=\underset{t\&Element;T}{\&Integral;}{I}_t^n\&times;R^{n-1}\mathrm{dt},$ 采集与密码芯片串联的电阻R的电压信息U_Rt＝I_Rt×R，其中，I_Rt为流经电阻R的电流，将实际能量信息采样配置电路等效于一个纯电阻电路，R的值恒定，则密码芯片两端的工作电流I_Ct＝I_Rt，密码芯片的n阶瞬时功耗P_t ⁿ＝(I_Ct)ⁿ×R^n-1＝(I_Rt)ⁿ×R^n-1＝/R，密码芯片的n阶局域能量消耗第i条能量迹在T时间段对应的n阶局域能量消耗的离散表达式该离散表达式等效为n阶局域能量消耗步骤(3)中局域窗口参数T的选择过程如下：初始T＝0，不断递增T，计算N条随机明文的能量迹t时刻的绝对能耗信噪比 $\mathrm{SN}{R}^{\&prime;}\left(E_{T,t}^n\right)=\frac{\mathrm{Var}{(E{a}_{T,t}^n+E{b}_{T,t}^n)}_N}{{\mathrm{Var}\left(E{n}_{T,t}^n\right)}_N}=\frac{\mathrm{Var}{\left(E_{T,t}^n\right)}_N-\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1}}{\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1}}$ 后代入t时刻n阶平均能量信息的信噪比函数 $f\left(T\right)=\frac{\mathrm{SNR}\left(E_{T,t}^n\right)}{T}=\frac{1}{(\frac{1+k^2}{\mathrm{SN}{R}^{\&prime;}\left(E_{T,t}^n\right)}+k^2)T},$ 当f(T)存在若干极大值时，选择最大的极大值f(T)对应的T，即为局域窗口参数T，这里的 $\mathrm{Var}{\left(E_{T,t}^n\right)}_N=\frac{1}{N-1}(\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}{\left(E_{T,i,t}^n\right)}^2-\frac{1}{N}{\left(\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}{E}_{T,i,t}^n\right)}^2),$ k为密码算法中的S盒个数，确定局域窗口参数T后代入(2)步的n阶局域能量消耗后计算计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵 $W^{\&prime;}(N\&times;L)=\left(\begin{array}{ccc}{E}_{T,1,1}^n& ...& E_{T,1,L}^n\\ .& & .\\ .& E_{T,i,t}^n& .\\ .& & .\\ E_{T,N,1}^n& ...& E_{T,N,L}^n\end{array}\right).$

上述侧信道能量分析中的n阶局域能量模型用于进行CPA或DPA分析。该模型用于进行CPA分析步骤为：(a)采集能量迹并利用n阶局域能量模型确定能量消耗矩阵 $W^{\&prime;}(N\&times;L)=\left(\begin{array}{ccc}{E}_{T,1,1}^n& ...& E_{T,1,L}^n\\ .& & .\\ .& E_{T,i,t}^n& .\\ .& & .\\ E_{T,N,1}^n& ...& E_{T,N,L}^n\end{array}\right);$ (b)选取攻击对象，确定算法攻击模型，如选择S盒的输出作为攻击对象，使用汉明重量(HW)模型进行建模；而对于硬件实现的分组密码算法，可选择如轮函数的输出作为攻击对象，使用汉明距离(HD)模型进行建模；(c)猜测密钥值，计算轮运算的中间值；(d)将上步中间值映射为仿真能量消耗值；(e)计算仿真能量消耗与n阶能量的线性相关系数，确定正确的猜测密钥。其中，步骤(c)的过程为猜测密钥K，K中对应S盒输入的每一部分K_r＝(k_l，…，k_b，…，k_B)，其中，k_b为K_r的猜测值，B为K_r所有可能值的数量，对于输入的明文向量D和密钥假设向量K_r，通过密码算法运算函数得到中间值i＝1，…，N，b＝1，…，B，分别计算上式得到中间值矩阵 $V(N\&times;B)=\left(\begin{array}{ccc}{v}_{1,1}& ...& v_{1,B}\\ .& & .\\ .& v_{i,b}& .\\ .& & .\\ v_{N,1}& ...& v_{N,B}\end{array}\right);$ (d)步中间值映射为仿真能量消耗值是通过汉明重量函数h_t，b＝hw(v_t，b)，hw(x)表示x二进制比特为1的个数，或汉明距离函数h_t，b＝hd(v′_tb，v_t，b)，

v′_t，b为v_t，b的前续状态，映射后确定的矩阵 $H(N\&times;B)=\left(\begin{array}{ccc}{h}_{1,1}& ...& h_{1,B}\\ .& & .\\ .& h_{i,b}& .\\ .& & .\\ h_{N,1}& & h_{N,B}\end{array}\right);$ (e)步的具体过程是对(a)中的能量消耗矩阵W′和(d)中仿真能量消耗矩阵H，分别计算H每1列h_b列和W′每1列w_t的相关系数P_b，t： ${\mathrm{\&rho;}}_{b,t}\&ap;r_{b,t}=\frac{\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}[h_{i,b}-\stackrel{\&OverBar;}{h_{i,b}}][w_{i,t}-\stackrel{\&OverBar;}{w_{i,t}}]}{\sqrt{\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}{[h_{i,b}-\stackrel{\&OverBar;}{h_{i,b}}]}^2\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}{[w_{i,t}-\stackrel{\&OverBar;}{w_{i,t}}]}^2}},$ 其中，为矩阵H第b列的平均值，为矩阵W′第t列的平均值，p_b，t表示第b个猜测密钥对应的仿真能量消耗与第t个时间点n阶能量消耗之间的线性相关系数，r_b，t为该相关系数的近似计算值，仿真能量消耗和n阶能量消耗的相关系数 $R(B\&times;L)=\left(\begin{array}{ccc}{r}_{1,1}& ...& r_{1,L}\\ .& & .\\ .& r_{b,t}& .\\ .& & .\\ r_{B,1}& ...& r_{B,L}\end{array}\right),$ r_b，t越大，则列s与列t的匹配度越大，对应的猜测密钥k_b与采样能量信息的相关性越强，选取R中的最大值r_m，e＝max(r_b，t)，r_m，e对应的猜测密钥k_m为正确的密钥数据，重复运算分别获得密钥K其他部分的K_r数据，从而分析得到正确密钥K。

上述侧信道能量分析中的n阶局域能量模型，用于进行DPA分析步骤为：(i)采集能量迹并利用n阶局域能量模型确定能量消耗矩阵 $W^{\&prime;}(N\&times;L)=\left(\begin{array}{ccc}{E}_{T,1,1}^n& ...& E_{T,1,L}^n\\ .& & .\\ .& E_{T,i,t}^n& .\\ .& & .\\ E_{T,N,1}^n& ...& E_{T,N,L}^n\end{array}\right);$ (ii)选取攻击对象，猜测密钥值，确定DPA选择函数；(iii)将平均能量消耗划分为两个子集；(iv)计算两平均能耗子集差，得到正确的猜测密钥。其中，步骤(ii)选择S盒的输出或轮函数的输出作为攻击对象，猜测密钥K，K中对应S盒输入的每一部分K_r＝(k_l，…，k_b，…，k_B)，其中，k_b为K_r的猜测值，B为K_r所有可能值的数量，对于输入的明文向量D和密钥假设向量K_r，通过密码算法运算函数得到中间值i＝1，…，N，b＝1，…，B，分别计算上式得到中间值矩阵 $V(N\&times;B)=\left(\begin{array}{ccc}{v}_{1,1}& ...& v_{1,B}\\ .& & .\\ .& V_{i,b}& .\\ .& & .\\ v_{N,1}& ...& v_{N,B}\end{array}\right),$ 根据中间值定义明文、猜测密钥作为参数的选择函数为：其中，函数g(v_i，b)是v_i，b为参数，以常数c为分割值的区分函数，通常为汉明重量函数或汉明距离函数；(iii)步具体实现为，猜测密钥K_r为k_b时，对应的选择函数Q(D_t，k_b)＝1时，则总个数rk_t，j，s对应的选择函数Q(D_t，k_b)＝0时，则总个数选择函数和n阶能耗矩阵W′，对于能量迹中时间点t，得到该点两个的总能量消耗均值：

$q{0}_{T,b,t}^n=\frac{\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}(1-Q(D_i,k_b))E_{T,i,t}^n}{n_0}$ 和， $q{1}_{T,b,t}^n=\frac{\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}Q(D_i,k_b))E_{T,i,t}^n}{n_1},$ 对所有的时间点求能耗均值，得到两个能耗矩阵Q₀(B×L)和Q₁(B×L)，分别为： $Q_0(B\&times;L)=\left(\begin{array}{ccc}q{0}_{T,1,1}^n& ...& q{0}_{T,1,L}^n\\ .& & .\\ .& q{0}_{T,b,t}^n& .\\ .& & .\\ q{0}_{T,B,1}^n& ...& q{0}_{T,B,L}^n\end{array}\right)$ 知 $Q_1(B\&times;L)=\left(\begin{array}{ccc}q{1}_{T,1,1}^n& ...& q{1}_{T,1,L}^n\\ .& & .\\ .& q{1}_{T,b,t}^n& .\\ .& & .\\ q{1}_{T,B,1}^n& ...& q{1}_{T,B,L}^n\end{array}\right);$ 步骤(iv)具体为计算平均能耗矩阵Q₀(B×L)和Q₁(B×L)的差，得到矩阵ΔQ＝Q₁-Q₀，若K_r猜测错误，则对于N组明文输入的加密运算，选择函数为0和1的概率各约为对应平均能量消耗差矩阵ΔQ中的能耗差值 $\mathrm{\&Delta;}{q}_{T,b,t}^n={q1}_{T,b,t}^n-{q0}_{T,b,t}^n,$ 选择最大的能耗均值差 $\mathrm{\&Delta;}{q}_{T,m,n}^n={q1}_{T,m,n}^n-{q0}_{T,m,n}^n,$ 则对应的猜测轮密钥字节k_m即为正确密钥字节，重复运算可分别获得密钥K其他部分的K_r数据，从而分析得到正确密钥K。

本发明的技术方案具有以下优点，使用利用n阶局域能量模型确定能量消耗进行能量分析攻击，扩展了功耗的定义，并且由于能量的积分特性，可以将能量迹上多个点的信息综合起来分析处理，在电学意义上更加符合密码芯片的工作原理，能够较为准确地刻画密码芯片的能量消耗特征；使用作为能量信息，不仅大幅提高了攻击的成功率，而且所需的能量迹条数远小于其他方法。

附图说明

图1是能量采集等效装置；

图2是时刻t对应局域窗口参数T的计算方法；

图3是CPA分析流程图；

图4是DPA分析流程图；

图5是选择得到的最优局域窗口参数T；

图6是最大信噪比的n阶局域能量迹；

图7是采集能耗分析时所需的能量迹条数与分析成功率的关系图；

图8是使用n阶局域能耗分析时所需的能量迹条数与分析成功率的关系；

具体实施方式

下面对本发明的技术方案进行具体描述，如图1是能量采集等效装置，信道能量分析方法攻击者对密码芯片使用未知的密钥K对N₁+N组明文D进行密码运算，其中，前N₁组的明文是相同的，后N组明文是随机的，且N₁小于N。对每次运算，记录密码芯两端对应的M个点的瞬时工作电压U_t和流过密码芯片的瞬时电流I_t，即能量迹，建立采样能量消耗矩阵 $U((N_1+N)\&times;M)=\left(\begin{array}{ccc}{S}_{1,1}& ...& S_{1,M}\\ .& & .\\ .& S_{i,t}& .\\ .& & .\\ S_{N,1}& ...& S_{N,M}\end{array}\right),$ 其中，S_t，t表示为等效电阻R在输入第i组明文、第t个时间点时对应的采样能量消耗(即电阻R的电压)。

对于时间点t对应的U_t和I_t，可以得到密码芯片运行的n阶瞬时功耗：当n＝2时，此时的功耗定义等价于物理意义的功耗。n阶瞬时功耗的定义直接给出n阶局域能量的定义： $E_T^n=\underset{t\&Element;T}{\&Integral;}{P}_t^n=\underset{t\&Element;T}{\&Integral;}{(U_t\&times;I_t)}^{n/2}\mathrm{dt}\&ap;\underset{t\&Element;T}{\&Integral;}{U}_t^n/\mathrm{Rdt}=\underset{t\&Element;T}{\&Integral;}{I}_t^n\&times;R^{n-1}\mathrm{dt},$ T为密码运算执行过程中的一段时间区域。

利用能量采集等效装置，如图1，采集能量信号，攻击者只能获得电阻R上的电压信息U_Rt＝I_Rt×R，其中，I_Rt为流经R的电流，为简化分析对象，近似的将实际能量信息采样配置电路等效于一个纯电阻电路，R的值恒定，则密码芯片两端的工作电流I_Ct＝I_Rt。在实际的能量信息采样配置下，密码芯片的n阶瞬时功耗为： $P_t^n={(U_t\&times;I_t)}^{n/2}\&ap;{\left(I_{\mathrm{Ct}}\right)}^n\&times;R^{n-1}={\left(I_{\mathrm{Rt}}\right)}^n\&times;R^{n-1}=U_{\mathrm{Rt}}^n/R,$ 密码芯片的n阶局域能量消耗定义为：对于第i(i∈N)条能量迹上第t个时间点，选择拟攻击的算法运算时间区域L(L＜M)，采样的局部能量消耗电压信息为S_i，t(即第i次采集的其中，t∈L，由此得到第i条能量迹在T时间段对应的n阶局域能量消耗的离散表达式：通常为便统计计算，对时间点域M中的任意时刻t，定义第i条能量迹上t时刻的n阶局域能量消耗表达式为：其中，t-T/2≥0，t+T/2≤L。选择局域窗口参数T，确定信噪比最大的n阶局域能量。由n阶局域能量消耗的离散表达式可知，T为n阶局域能量的参数，选择合适的T将使n阶局域能量的信噪比SNR达到最大，提高分析的成功率。因此，对于任意时刻t，当信噪比最大时即可确定T值。t时刻的n阶局域能量共分为三部分：其中，为t时刻用于进行能量分析的n阶局域能耗信息，为算法噪声，即除外的算法运算能耗信息，为电子噪声。能量迹的信噪比公式为SNR＝Var(signal)/Var(noise)，其中，Var(x)为x的方差，表示密码运算t时刻x能量变化的大小。由可得n阶局域能量相对信噪比和n阶局域能量绝对信噪比对于算法运算能量消耗与存在一定的线性关系，即k的值依赖于S盒的个数。以DES密码算法为例，DES密码算法轮密钥rk_i均对应8个S盒运算，对于任意时间点t对应的n阶局域能量，若是DES密码算法为软件实现，依次进行8个S盒运算，可得即算法运算能耗全部为可用能耗；若是DES密码算法为硬件实现，并行进行S盒运算，且假设各S盒能量消耗均是相等的，则即算法运算能耗仅1个S盒的运算能耗为可用能耗。因此，对于DES密码算法的能量分析，令k∈R，且0≤k≤7(若是其他密码算法k可根据S盒的个数而定)。从而可得：则相对信噪比与绝对信噪比的关系为：由此式可知，随着的增大而增大，呈同调递增关系。为t时刻在T时间段内包含了整个时间段能量信息的信噪比，设t时刻n阶平均能量信息的信噪比函数为： $f\left(T\right)\frac{\mathrm{SNR}\left(E_{T,t}^n\right)}{T}=\frac{1}{(\frac{1+k^2}{\mathrm{SN}{R}^{\&prime;}\left(E_{T,t}^n\right)}+k^2)T},$ 因此，在一个有限的局域范围内，如果T涵盖了大部分有效信号的能量消耗，f(T)在这个区域内将取得极大值。

为了获得f(T)的极大值，必须先确定的值。已知前N₁组为相同明文运算，由方差的定义可得算法绝对能耗方差 $\mathrm{Var}{({\mathrm{Ea}}_{T,t}^n+{\mathrm{Eb}}_{T,t}^n)}_{N_1}=0,$ 则： $\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1}=\mathrm{Var}{({\mathrm{Ea}}_{T,t}^n+{\mathrm{Eb}}_{T,t}^n)}_{N_1}+\mathrm{Var}{\left({\mathrm{En}}_{T,t}^n\right)}_{N_1}=\mathrm{Var}{\left({\mathrm{En}}_{T,t}^n\right)}_{N_1},$ $\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1},\mathrm{Var}{({\mathrm{Ea}}_{T,t}^n+{\mathrm{Eb}}_{T,t}^n)}_{N_1},\mathrm{Var}{\left({\mathrm{En}}_{T,t}^n\right)}_{N_1}$ 分别为时刻t前N_l组的总能耗方差、算法绝对能耗方差、噪声方差。又因为在单点统计分布上呈现高斯分布，在时域上呈现白噪声特性，所以是高斯白噪声，则：对于N组的随机明文，同样可得： $\mathrm{Var}{({\mathrm{Ea}}_{T,t}^n+{\mathrm{Eb}}_{T,t}^n)}_N=\mathrm{Var}{\left(E_{T,t}^n\right)}_N-\mathrm{Var}{\left({\mathrm{En}}_{T,t}^n\right)}_N=\mathrm{Var}{\left(E_{T,t}^n\right)}_N-\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1},$ 由上两式可得N条随机明文的能量迹t时刻的绝对能耗信噪比： $\mathrm{SN}{R}^{\&prime;}\left(E_{T,t}^n\right)=\frac{\mathrm{Var}{({\mathrm{Ea}}_{T,t}^n+{\mathrm{Eb}}_{T,t}^n)}_N}{\mathrm{Var}{\left({\mathrm{En}}_{T,t}^n\right)}_N}=\frac{\mathrm{Var}{\left(E_{T,t}^n\right)}_N-\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1}}{\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1}}$ 其中， $\mathrm{Var}{\left(E_{T,t}^n\right)}_N=\frac{1}{N-1}(\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}{\left(E_{T,i,t}^n\right)}^2-\frac{1}{N}{\left(\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}{E}_{T,i,t}^n\right)}^2).$ 确定T具体流程如图2所示，令初始T＝0，不断递增T，分别计算式 $\mathrm{SN}{R}^{\&prime;}\left(E_{T,t}^n\right)=\frac{\mathrm{Var}{({\mathrm{Ea}}_{T,t}^n+{\mathrm{Eb}}_{T,t}^n)}_N}{\mathrm{Var}{\left({\mathrm{En}}_{T,t}^n\right)}_N}=\frac{\mathrm{Var}{\left(E_{T,t}^n\right)}_N-\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1}}{\mathrm{Var}{\left(E_{T,t}^n\right)}_{N_1}}$ 和当f(T)存在若干极大值时，选择最大的极大值f(T)对应的T，即为局域窗口参数T。

由于前N₁组的算法绝对能耗方差为0，因此，仅分析后N组随机明文输入的n阶局域能量。对于拟攻击的时间区域L中的任意时间点t，任意能量迹i(i∈N)，通过上述方法计算参数T，代入参数T、n，计算得到第i条能量迹在t时刻的n阶局域能量计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵W′(N×L)： $W^{\&prime;}(N\&times;L)=\left(\begin{array}{ccc}{E}_{T,1,1}^n& ...& E_{T,1,L}^n\\ .& & .\\ .& E_{T,i,t}^n& .\\ .& & .\\ E_{T,N,1}^n& ...& E_{T,N,L}^n\end{array}\right).$

根据CPA分析的原理，同时结合上述n阶局域能量模型，进行CPA方法说明，如图3，其步骤为：(1)使用能量采集等效装置，如图1，分别采集密码芯片对相同明文、随机明文的加密运算的能量消耗对于拟攻击的时间域L上所有的时间点，得到能量消耗矩阵W；(2)定义n阶局域能量模型，令n＝2，根据信噪比选择最优的局域窗口参数T，得到信噪比最大的n阶局域能量，计算方法如图2所示。通过计算可知当T＝56时，f(T)取得极大值中的最大值，如图5，将最大的T值代入求得单点t的能量消耗如图6所示，对于拟攻击的时间域L上的N次加密运算，得到n阶局域能量消耗矩阵W′；(3)依据上述CPA分析原理，分别对采集能耗矩阵W和n阶局域能耗矩阵W′，选择S盒的输出作为攻击对象，使用汉明重量模型进行CPA能量分析；(4)评估两种能量信息的攻击效果。图6为使用能耗矩阵W进行CPA分析时成功率与所需能量迹的关系图，当达到90％的攻击成功率时，需要3200条能量迹；图7是使用n阶局域能耗矩阵W′进行CPA分析时成功率与所需能量迹的关系图，当达到90％的攻击成功率时，需要1600条能量迹。由上可知，使用W′对DES密码算法进行分析的成功率要明显高于使用W对DES算法进行攻击的成功率。

根据DPA分析的原理，同时结合上述n阶局域能量模型，进行DPA方法说明，如图4，其在能量采集、依据采集的能量迹定义n阶局域能量、选择局域窗口参数T，确定信噪比最大的n阶局域能量与CPA分析方法完全相同。在完成n阶局域能量模型的基础上，依据现有的DPA分析原理即可进行后续分析过程。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。

Claims (7)

1.侧信道能量分析中的n阶局域能量模型，其特征在于，该模型建立步骤如下：(1)采集能量迹，建立采样能量消耗矩阵具体过程是利用密钥K对N₁+N组明文D进行密码运算，对每次运算，记录密码芯两端对应的M个点的瞬时工作电压U_t和流过密码芯片的瞬时电流I_t，得到能量迹S_i,t；(2)根据上步采样的能量迹，确定n阶局域能量消耗具体过程为:首先定义密码芯片运行的n阶瞬时功耗为积分运算后可以得到n阶局域能量 $E_T^n=\underset{t\&Element;T}{\&Integral;}{P}_t^n=\underset{t\&Element;T}{\&Integral;}{(U_t\&times;I_t)}^{n/2}dt\&ap;\underset{t\&Element;T}{\&Integral;}{U}_t^n/Rdt=\underset{t\&Element;T}{\&Integral;}{I}_t^n\&times;R^{n-1}dt,$ 采集与密码芯片串联的电阻R的电压信息U_Rt＝I_Rt×R，其中，I_Rt为流经电阻R的电流，将实际能量信息采样配置电路等效于一个纯电阻电路，R的值恒定，则密码芯片两端的工作电流I_Ct＝I_Rt，密码芯片的n阶瞬时功耗 $P_t^n={\left(I_{Ct}\right)}^n\&times;R^{n-1}={\left(I_{Rt}\right)}^n\&times;R^{n-1}=U_{Rt}^n/R,$ 密码芯片的n阶局域能量消耗第i条能量迹在T时间段对应的n阶局域能量消耗的离散表达式其中，L为拟攻击的时间区域，该离散表达式等效为t时刻所在T时间段n阶局域能量消耗(3)选择局域窗口参数T，得到信噪比最大的n阶局域能量消耗，即n阶局域能量，计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵W'(N×L)：这里，S_i,t表示为等效电阻R在输入第i组明文、第t个时间点时对应的采样能量消耗，即电阻R的电压，R为等效电阻值，T为密码运算执行过程中的一段时间区域，拟攻击的算法运算时间区域L。

2.根据权利要求1所述侧信道能量分析中的n阶局域能量模型，其特征在于，步骤(3)中局域窗口参数T的选择过程如下：初始T＝0,不断递增T，计算N条随机明文的能量迹t时刻的绝对能耗信噪比 ${\mathrm{SNR}}^{\&prime;}\left(E_{T,t}^n\right)=\frac{Var{({\mathrm{Ea}}_{T,t}^n+{\mathrm{Eb}}_{T,t}^n)}_N}{Var{\left({\mathrm{En}}_{T,t}^n\right)}_N}=\frac{Var{\left(E_{T,t}^n\right)}_N-Var{\left(E_{T,t}^n\right)}_{N_1}}{Var{\left(E_{T,t}^n\right)}_{N_1}}$ 后代入t时刻n阶平均能量信息的信噪比函数 $f\left(T\right)=\frac{SNR\left(E_{T,t}^n\right)}{T}=\frac{1}{(\frac{1+k^2}{{\mathrm{SNR}}^{\&prime;}\left(E_{T,t}^n\right)}+k^2)T},$ 当f(T)存在若干极大值时，选择最大的极大值f(T)对应的T，即为局域窗口参数T，这里的为t时刻用于进行能量分析的n阶局域能耗信息，为算法噪声，为电子噪声, $Var{\left(E_{T,t}^n\right)}_N=\frac{1}{N-1}(\underset{i=1}{\overset{N}{\&Sigma;}}{\left(E_{T,i,t}^n\right)}^2-\frac{1}{N}{\left(\underset{i=1}{\overset{N}{\&Sigma;}}{E}_{T,i,t}^n\right)}^2),$ k为密码算法中的S盒个数，确定局域窗口参数T后代入(2)步的n阶局域能量消耗后计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵

3.根据权利要求1或2所述的侧信道能量分析中的n阶局域能量模型，其特征在于，该模型用于进行CPA或DPA分析。

4.根据权利要求3所述的侧信道能量分析中的n阶局域能量模型，其特征在于，该模型用于进行CPA分析步骤为：(a)采集能量迹并利用n阶局域能量模型确定能量消耗矩阵(b)选取攻击对象，确定算法攻击模型；(c)猜测密钥值，计算轮运算的中间值；(d)将上步中间值映射为仿真能量消耗值；(e)计算仿真能量消耗与n阶能量的线性相关系数，确定正确的猜测密钥。

5.根据权利要求4所述侧信道能量分析中的n阶局域能量模型进行CPA分析，其特征在于，步骤(c)的过程为猜测密钥K，K中对应S盒输入的每一部分K_r＝(k₁,…,k_b,…,k_B)，其中，k_b为K_r的猜测值，B为K_r所有可能值的数量，对于输入的明文向量D和密钥假设向量K_r，通过密码算法运算函数得到中间值i＝1,…,N,b＝1,…,B，分别计算上式得到中间值矩阵(d)步中间值映射为仿真能量消耗值是通过汉明重量函数h_i,b＝hw(v_i,b)，hw(x)表示x二进制比特为1的个数，或汉明距离函数h_i,b＝hd(ν′_i,b,ν_i,b)，hd(ν′_i,b,ν_i,b)＝hw(ν′_i,b⊕ν_i,b)，ν′_i,b为ν_i,b的前续状态，映射后确定的矩阵(e)步的具体过程是对(a)中的能量消耗矩阵W'和(d)中仿真能量消耗矩阵H，分别计算H每1列h_b列和W'每1列w_t的相关系数ρ_b,t： ${\mathrm{\&rho;}}_{b,t}\&ap;r_{b,t}=\frac{\underset{i=1}{\overset{N}{\&Sigma;}}\&lsqb;h_{i,b}-\stackrel{\&OverBar;}{h_{i,b}}\&rsqb;\&lsqb;w_{i,t}-\stackrel{\&OverBar;}{w_{i,t}}\&rsqb;}{\sqrt{\underset{i=1}{\overset{N}{\&Sigma;}}{\&lsqb;h_{i,b}-\stackrel{\&OverBar;}{h_{i,b}}\&rsqb;}^2\underset{i=1}{\overset{N}{\&Sigma;}}{\&lsqb;w_{i,t}-\stackrel{\&OverBar;}{w_{i,t}}\&rsqb;}^2}},$ 其中，为矩阵H第b列的平均值，为矩阵W'第t列的平均值，ρ_b,t表示第b个猜测密钥对应的仿真能量消耗与第t个时间点n阶能量消耗之间的线性相关系数，r_b,t为该相关系数的近似计算值，仿真能量消耗和n阶能量消耗的相关系数选取R中的最大值r_m,e＝max(r_b,t)，r_m,e对应的猜测密钥k_m为正确的密钥数据，重复运算分别获得密钥K其他部分的K_r数据，从而分析得到正确密钥K。

6.根据权利要求1或2所述的侧信道能量分析中的n阶局域能量模型，其特征在于，该模型用于进行DPA分析步骤为：(i)采集能量迹并利用n阶局域能量模型确定能量消耗矩阵(ii)选取攻击对象，猜测密钥值，确定DPA选择函数；(iii)将平均能量消耗划分为两个子集；(iv)计算两平均能耗子集差，得到正确的猜测密钥。

7.根据权利要求6所述侧信道能量分析中的n阶局域能量模型进行DPA分析，其特征在于，步骤(ii)选择攻击对象，猜测密钥K，K中对应S盒输入的每一部分K_r＝(k₁,…,k_b,…,k_B)，其中，k_b为K_r的猜测值，B为K_r所有可能值的数量，对于输入的明文向量D和密钥假设向量K_r，通过密码算法运算函数得到中间值i＝1,…,N,b＝1,…,B，分别计算上式得到中间值矩阵根据中间值定义明文、猜测密钥作为参数的选择函数为：其中，函数g(v_i,b)是v_i,b为参数，以常数c为分割值的区分函数，通常为汉明重量函数或汉明距离函数；(iii)步具体实现为，猜测密钥K_r为k_b时，对应的选择函数Q(D_i,k_b)＝1时，则总个数对应的选择函数Q(D_i,k_b)＝0时，则总个数选择函数和n阶能耗矩阵W'，对于能量迹中时间点t，得到该点两个的总能量消耗均值：和，对所有的时间点求能耗均值，得到两个能耗矩阵Q₀(B×L)和Q₁(B×L)，分别为：和步骤(iv)具体为计算平均能耗矩阵Q₀(B×L)和Q₁(B×L)的差，得到矩阵△Q＝Q₁-Q₀，选择最大的能耗均值差则对应的猜测轮密钥字节k_m即为正确密钥字节，重复运算可分别获得密钥K其他部分的K_r数据，从而分析得到正确密钥K。