CN103227717A - 选择轮密钥异或输入进行sm4密码算法侧信道能量分析的应用 - Google Patents

Abstract

本发明公开了选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其核心在于进行SM4密码算法侧信道能量分析过程中，选择S盒或轮函数作为攻击点建立汉明距离模型，以轮密钥异或输入作为汉明距离模型的前续状态v₁，对S盒进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是S盒输出；对轮函数进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是轮函数输出/输入。该方法可应用于SM4密码算法的CPA/DPA侧信道能量分析。利用本发明的方法提高了正确的猜测密钥与能量信息之间的相关性，增强了分析有效性和成功率。

Description

选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用

技术领域

本发明属于密码算法分析检测技术领域，具体来说是涉及在密码算法实现、侧信道能量分析、密码模块检测过程中，针对实现SM4密码算法的密码模块进行侧信道能量分析，获取受保护的密钥信息的能量分析方法，即，选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用。

背景技术

随着信息技术的发展，各种密码算法正被广泛地应用于经济、军事、行政等重要部门，保护信息的安全性。鉴于密码算法的重要性，密码算法软硬件实现(密码模块)的分析研究对保护信息安全具有重要的意义。近年来，多种对密码模块的攻击已广为人知，所有这些攻击的目的都是为了获取密码模块中的密钥。通常的攻击方式可分为侵入式攻击、半侵入式攻击和非侵入式攻击。近年来，由于非侵入式攻击中的侧信道分析实施方便、相对成本低廉而被广泛使用。侧信道分析可以细分为计时分析、能量分析和电磁分析。其中的侧信道能量分析是众多分析手段中最常用的方法之一，它突破了传统密码算法的分析模式，能力强大，实施相对容易。侧信道能量分析利用了密码模块能量消耗与数据运算和执行之间的相关性，基于密码算法实现的能量泄露函数建立能量模型，使用统计方法，猜测和验证密码模块使用的受保护密钥。侧信道能量分析方法一般包括，简单能量分析(SPA)、差分能量分析(DPA)、相关能量分析(CPA)和高阶差分能量分析(HODPA)。

其中，DPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹，这里的能量迹是指一次密码操作过程中采集到的能量消耗测量向量；对每一个猜测密钥K，产生相应的中间值(攻击对象)，根据中间值确定选择函数；通过选择函数将能量迹集划分为两个子集；分别对两个子集对应的能量消耗取平均，并对两个平均能量消耗值求差，该均值差为选择函数对应的中间值对能量迹的影响效果。根据统计理论，若K猜测不正确，当能量迹的个数N趋近无穷大时，两子集的均值差将趋近于零；若K猜测正确时，在能量迹中的某个样点，将会出现一个均值差的最大尖峰(绝对值最大值)，通过最大尖峰可确定正确的密钥。

CPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹；对每一个猜测密钥K，产生相应的中间值(攻击对象)；根据中间值建立能量模型；通过能量模型将中间值映射为仿真能量消耗；计算仿真能量消耗与能量迹之间的线性相关系数，范围在[-1，1]之间；选取相关系数中绝对值的最大值，理论上为1，但是由于采集能量迹过程中不可避免存在噪声干扰，最大值小于1，该相关系数最大值对应的猜测密钥即为正确密钥。

SM4密码算法是我国公开发布的第一个商用密码分组算法，SM4密码算法的数据分组和密钥长度均为128比特，SM4密码算法的加密算法与密钥扩展算法都采用32轮非线性迭代结构。

SM4密码算法的结构如下：

设

为加密明文，

为第i轮的算法输入，

为第i轮的轮密钥，轮函数F为：

$F(X_i,X_{i+1},X_{i+2},X_{i+3},{\mathrm{rk}}_i)=X_i\⊕T(X_{i+1}\⊕X_{i+2}\⊕X_{i+3}\⊕{\mathrm{rk}}_i)---\left(1\right)$

其中，T：

是一个可逆变换，由非线性变换τ和线性变换L复合而成，即T(·)＝L(τ(·))。

τ由4个并行的S盒构成，如图2所示，设输入为

输出为

则：

$(b_0,b_1{b}_2,b_3)=\mathrm{\τ}\left(A\right)=(\mathrm{Sbox}\left(a_0\right),\mathrm{Sbox}\left(a_1\right),\mathrm{Sbox}\left(a_2\right),\mathrm{Sbox}\left(a_3\right))---\left(2\right)$

非线性变换τ的输出是线性变换L的输入。设输入为

输出为

则：

$C=L\left(B\right)=B\&CirclePlus;(B<<<2)\&CirclePlus;(B<<<10)\&CirclePlus;(B<<<18)\&CirclePlus;(B<<<24)---\left(3\right)$

假设A_i为第i轮S盒的输入，B_i为第i轮S盒的输出、L移位的输入，C_i为第i轮L移位的输出。根据算法满足如下：

$A_i=(X_{i+1}\&CirclePlus;X_{i+2}\&CirclePlus;X_{i+3}\&CirclePlus;{\mathrm{rk}}_i)---\left(4\right)$

B_i＝τ(A_i)                (5)

C_i＝L(B_i)                 (6)

$X_{i+4}=X_i\&CirclePlus;C_i---\left(7\right)$

根据上式(4)、(5)、(6)、(7)，可得第i+1轮的轮输入(X_i+1，X_i+2，X_i+3，X_i+4)，依次运算32轮，即可以得到输出密文

上述SM4密码算法的加密结构流程如图1所示。

SM4密码算法的密钥扩展算法与加密算法结构类似，如图2，仅线性变换L移位函数不一致。令初始加密密钥为(MK₀，MK₁，MK₂，MK₃)。

$(K_0,K_1,K_2,K_3)=({\mathrm{MK}}_0\&CirclePlus;{\mathrm{FK}}_0,{\mathrm{MK}}_1\&CirclePlus;{\mathrm{FK}}_1,{\mathrm{MK}}_2\&CirclePlus;{\mathrm{FK}}_2,{\mathrm{MK}}_3\&CirclePlus;{\mathrm{FK}}_3)---\left(8\right)$

其中，(FK₀，FK₁，FK₂，FK₃)为已知常量。

${\mathrm{rk}}_i=K_{i+4}=K_i\&CirclePlus;T^{\&prime;}(K_{i+1}\&CirclePlus;K_{i+2}\&CirclePlus;K_{i+3}\&CirclePlus;{\mathrm{CK}}_i)=K_i\&CirclePlus;L^{\&prime;}\left(\mathrm{\&tau;}(K_{i+1}\&CirclePlus;K_{i+2}\&CirclePlus;K_{i+3}\&CirclePlus;{\mathrm{CK}}_i)\right)---\left(9\right)$

其中，τ函数与上述SM4密码算法加密结构中的τ函数一致，rk_i为第i轮的加密密钥，i＝0，1，…，31，CK_i为已知常量。

线性变换L′为：

$L^{\&prime;}\left(x\right)=x\&CirclePlus;(x<<<13)\&CirclePlus;(x<<<23)$

根据式(9)，可分别获得32轮轮密钥(rk₀，rk₁，…，rk₃₁)，长度均为32比特。

数据解密和数据加密的算法结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。解密时，使用轮密钥序(rk₃₁，rk₃₀，…，rk₀)。

对SM4密码算法的能量分析方法通常选取S盒的输出、L移位的输出作为攻击对象，使用汉明重量、单比特模型，利用DPA和CPA方法进行分析。这些方法仅利用了典型的分析点，不能全面有效对SM4密码算法实施分析。此外，当上述分析点可利用的能量泄露信息很少时，将会影响对SM4密码算法分析的成功率。因此，需要提出更有效的侧信道能量分析方法。

发明内容

在SM4密码算法分析中，侧信道能量分析方法是否有效，其关键在于密码算法中的攻击对象选取和相应能量模型的选择，选取恰当的攻击对象可提高采样能量信息的信噪比和分析的成功率。

本发明的目的在于系统分析SM4密码算法的实现特征，创造性地选择包括了SM4密码算法中轮输入信息和密钥信息的轮函数作为侧信道能量分析的攻击点，从而提高了正确的猜测密钥与能量信息之间的相关性，增强了分析有效性和成功率。

实现上述目的本发明的技术方案为，选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，在进行SM4密码算法侧信道能量分析过程中，当选择S盒输出或轮函数作为攻击点建立汉明距离模型时，其前续状态v₁均为轮密钥异或输入。

上述对S盒输出进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是S盒输出；对轮函数进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是轮函数输出或输入。对S盒输出前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型等效于以轮输入和轮函数输出的异或值作为攻击对象采用汉明重量(HW)模型的攻击；对轮函数输出前/末4轮进行的攻击等效于所有的轮输出/输入的异或值作为攻击对象采用汉明重量(HW)模型的攻击。

上述轮密钥异或输入用于对SM4密码算法的CPA/DPA侧信道能量分析。

当选择轮密钥异或输入对SM4密码算法的CPA侧信道能量分析步骤如下：

(1)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵；

(2)选取攻击对象，确定算法攻击模型；

(3)确定攻击对象和模型后，猜测轮密钥，计算轮运算的中间值确定中间值矩阵；

(4)利用上步的中间值及中间值矩阵映射为仿真能量消耗值和仿真能量消耗矩阵；

(5)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测密钥。

上述利用CPA进行步骤(3)的具体方法是：已知第k(k∈{0，...，N-1})组明文/密文输入

或密文/明文输出

时，猜测第i轮轮密钥

中的字节

rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，当选择S盒输出前/末4轮进行攻击时，猜测轮密钥字节rk_i，j，s对应的中间值为

其中，为进行第k组明文/密文第i轮加密/解密运算，猜测第j个密钥字节为s时对应的中间值，其中，L^-1(x)_j为

进行L^-1移位后的第j个字节，X_i+1，j、X_i+2，j、X_i+3，j分别为中间运算值

的第j个字节；选择轮函数输出前4轮和末4轮进行的攻击时，猜测轮密钥字节rk_i，j，s对应的中间值分别为

和

对N组明/密文进行加/解密操作时，依次计算256猜测轮密钥字节rk_i，j，s对应的中间值确定中间值矩阵

利用CPA进行步骤(4)的具体方法是：(3)步中间值映射的仿真能量消耗为：

即第k组明文第i轮第j个字节第s个猜测密钥字节对应的仿真能量消耗，HW(x)为x中比特位值为1的个数，对N组明文/密文进行加密/解密操作，确定轮密钥字节rk_i，j，s对应的仿真能量消耗矩阵为：

上述利用CPA进行步骤(5)的具体方法是：对步骤(1)的采样能量消耗矩阵

和步骤(4)的仿真能量消耗矩阵H分别计算两者第s列和第t列的相关系数ρ_s，t：

其中，

表示为第k个明文/密文、第t个时间点对应的采样能量消耗值，T为能量迹中的时间点个数，

为矩阵H第s列的平均值，

为矩阵W第t列的平均值，ρ_s，t表示第s个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数，r_s，t为该相关系数的近似计算值，计算所有列列之间的相关系数，得到仿真能量消耗和采样能量消耗的相关系数矩阵为

选取R中的最大值r_m，n＝max(r_s，t)，r_m，n对应的猜测密钥rk_i，j，m为正确的猜测轮密钥字节，即得到正确的第i轮轮密钥第j个字节rk_i，j；重复第(1)-(5)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i-1轮的轮输出

依次获得后4轮的加密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。

选择轮密钥异或输入对SM4密码算法的DPA侧信道能量分析步骤如下：

(a)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵；

(b)选择攻击对象，确定DPA选择函数；已知第i轮轮密钥第j(j∈{0，1，2，3})个字节rk_i，j对应的攻击对象

以明文/密文及猜测密钥字节rk_i，j作为参数，这里定义DPA选择函数为

(c)猜测轮密钥，将平均能量消耗划分为两个平均能耗子集矩阵；

(d)根据(c)步得到的两个平均能耗子集求差，确定正确的猜测密钥。

利用DPA进行步骤(c)的具体方法是：已知第k(k∈{0，...，N-1})组明文/密文输入

或密文/明文输出

时，猜测第i轮轮密钥rk_i中的字节rk_i，j，rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，猜测轮密钥字节rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝1时，则总个数

rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝0时，则总个数

对于能量迹中时间点t，得到该点两个的总能量消耗均值：

和

其中，

为使用猜测轮密钥字节rk_i，j，s进行N组加密/解密操作时，选择函数等于0所对应时间点t的n₀组能量消耗平均值；

为选择函数等于1所对应时间点t的n₁组能量消耗平均值，n₀+n₁＝N，由上式对所有的时间点求能耗均值，得到两个能耗矩阵D₀(256×T)和D₁(256×T)，分别为：

和

利用DPA进行步骤(d)的具体方法是：计算步骤(c)得到的平均能耗矩阵D₀(256×T)和D₁(256×T)的差矩阵ΔD＝D₁-D₀，选择最大的能耗均值差

则

对应的猜测轮密钥字节rk_i，j，m为正确密钥字节，即得到正确的第i轮轮密钥的第j个字节，重复第(a)-(d)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i-1轮的轮输出

依次获得后4轮的加密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。

上述选取攻击对象时，当选择S盒输出前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型的前续状态v₁是轮密钥异或输入，后继状态v₂是S盒输出，其等效于以轮输入和轮函数输出的异或值作为攻击对象采用汉明重量(HW)模型的攻击，即当选择轮函数前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型的前续状态v1是轮密钥异或输入，后继状态v₂是轮函数输出/输入，其等效于所有的轮输出/输入的异或值作为攻击对象采用汉明重量(HW)模型的攻击，即 $\begin{array}{c}{v}_{i,j}^k=L^{-1}{(X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k)}_j\&CirclePlus;L^{-1}{X}_{i+4,j}^k=L^{-1}{(X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k\&CirclePlus;X_{i+4}^k)}_j\\ =L^{-1}{(X_i^k\&CirclePlus;X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j})\end{array}$ 或 $\begin{array}{c}{v}_{i,j}^k=L^{-1}{(X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k)}_j\&CirclePlus;L^{-1}{X}_{i,j}^k=L^{-1}{(X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k\&CirclePlus;X_i^k)}_j\\ =L^{-1}{(X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k\&CirclePlus;X_{i+4}^k)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j})\end{array},$ 这里的

是第i轮的轮输入，

是第i轮的轮输出，i依次为0，1，2，3或31，30，29，28。

本发明的技术方案具有以下优点，(1)现有对SM4密码算法的能量泄露分析点单一，不能很好地适应各种类型的SM4密码算法的实现。本发明针对SM4密码算法的具体实现，创新地提出了两种新型的汉明距离模型，使用本发明提出的新方法能够更有效、全面地对SM4密码算法实现进行侧信道能量分析；(2)能量消耗主要包括前续与后继两个状态比特0→1，1→0转换的动态能量消耗，HD模型假设这两种转换的能耗值相等，从而建立一个转换数量与能耗之间的正比关系。而HW模型实质是HD模型的一个特例，它假设前续输出状态所有比特全部为0，能量消耗仅与后续状态数值相关，比HD模型更简单，因此HD模型刻画仿真能耗的准确度远远大于HW模型。对于SM4密码算法的硬件实现，寄存器由时钟信号触发，因此每个时钟周期内，寄存器先前与当前状态仅转换一次，通过采用连续时钟周期内寄存器存储数值的汉明距离来进行侧信道能量分析，可加强分析硬件实现的密码模块的有效性。本发明能够有效地分析SM4密码算法，获得密钥信息，扩展了对SM4密码算法的侧信道能量分析方法。

附图说明

图1是SM4密码算法的加密结构流程图；

图2是SM4密码算法的密钥扩展算法流程图；

图3是S盒输出的HD模型攻击对象；

图4是轮函数输出的HD模型前4轮攻击对象；

图5是轮函数输出的HD模型末4轮攻击对象；

图6是CPA分析流程图；

图7是DPA分析流程图；

图8是1000组加密运算的采样波形；

图9是对第1轮S盒输出HD模型分析，正确轮密钥对应的相关系数波形，分别对应4个S盒；

图10是对第1轮S盒输出HW模型分析，正确轮密钥对应的相关系数波形，分别对应4个S盒；

图11是第二实施例中1000组加密运算的采样波形；

图12是第二实施例对第1轮S盒输出HD模型分析，正确轮密钥对应的相关系数波形，分别对应4个S盒；

图13是第二实施例对第1轮S盒输出HW模型分析，正确轮密钥对应的相关系数波形，分别对应4个S盒

具体实施方式

下面对本发明的技术方案进行具体描述，首先以SM4密码算法的轮函数进行CPA分析为例，说明本发明的技术方案。图6是CPA分析流程图，。对于SM4密码算法的加密运算，若已知加密明文，分析密码算法的前4轮。假设进行N组明文的加密运算，令第k组明文输入为

k∈{0，...，N-1}，第i轮的轮输入为

i依次为0，1，2，3，其步骤如下：(1)采集能量迹，对每组明文进行加密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵W(N×T)：

其中，

表示为第k个明文、第t个时间点对应的采样能量消耗值，T为能量迹中的时间点个数；

(2)选取攻击对象，确定算法攻击模型；轮密钥异或的输入作为汉明距离的前续状态，分别选取了两个攻击点：S盒的输出和轮函数的输出作为后继状态，建立了两个汉明距离(HD)模型。HD(v₁，v₂)为v₁和v₂的汉明距离，即两个状态中比特0→1，1→0变化的个数，HW(v)为v中比特为1的个数，则：

即前续状态v₁与后继状态v₂的汉明距离HD(v₁，v₂)等价于两者异或后的汉明重量

因此HD模型实际是以前续状态与后继状态异或后的数据作为攻击点的汉明重量(HW)模型。综上可知，以轮密钥异或输入作为前续状态，S盒输出作为后续状态的HD模型实际为以轮密钥异或输入与S盒输出异或值作为攻击点的HW模型；以轮密钥异或输入作为前续状态，轮函数输出作为后续状态的HD模型实际为以轮密钥异或输入与轮函数输出的异或值作为攻击点的HW模型。

对S盒输出的HD模型，对S盒输出的HD模型基于假设：假设SM4密码模块的轮密钥输入值v₁与S盒输出值v₂存储于同一寄存器，能量泄漏点为两个状态v₁、v₂的比特翻转，可采用同一寄存器输出状态翻转的HD模型。根据SM4密码算法的加密结构可知，4个S盒是相互独立，且L移位运算是可逆的，则对轮密钥的4个字节的轮运算也是独立的，因此，可分别选择轮密钥的各密钥字节对应的攻击对象。根据前式将HD模型转化为HW模型，则第i轮轮密钥rk_i的字节rk_i，j对应的攻击对象为：

由上式可知，基于轮密钥异或的输入对S盒输出的攻击实际是以轮输入与轮函数输出的异或值作为攻击对象，采用HW模型的攻击。具体攻击对象如图3所示。

对轮函数输出的HD模型，对轮函数输出的HD模型基于假设：假设SM4密码算法的轮密钥异或输入值v₁与轮函数输出值v₂存储于同一寄存器，能量泄漏点为两个状态v₁、v₂的比特翻转，可采用同一寄存器输出状态翻转的HD模型。将汉明距离模型转化为汉明重量模型，则第i轮轮密钥rk_i的字节rk_i，j对应的攻击对象为：

由式上式易知，基于轮密钥异或的输入以轮函数输出作为攻击对象的HD模型实际是以该轮所有的轮输出的异或值作为攻击对象的HW模型；也可看成是对该轮所有的轮输入作为前续状态，S盒的输出作为后继状态的HD模型，具体攻击对象如图4所示。

(3)猜测轮密钥，计算轮运算的中间值。确定攻击对象和模型后，猜测第i轮轮密钥rk_i第j(j∈{0，1，2，3})个字节rk_i，j，j依次为0，1，2，3。rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}。

对于256个猜测密钥字节rk_i，j，s，分别进行第i轮的加密轮运算。

对S盒输出的HD模型，猜测轮密钥字节rk_i，j，s对应的中间值： $v_{i,j,s}^k=L^{-1}{(X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,k,s}).$

对轮函数输出的HD模型，猜测轮密钥字节rk_i，j，s对应的中间值： $v_{i,j,s}^k=L^{-1}{(X_i^k\&CirclePlus;X_{i+1}^k\&CirclePlus;X_{i+2}^k\&CirclePlus;X_{i+3}^k)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,k,s}).$

当对N组明文进行加密操作时，依次计算256猜测轮密钥字节rk_i，j，s对应的中间值，分别得到中间值矩阵

(4)将中间值映射为仿真能量消耗值，根据第(3)步所确定的能量模型，中间值映射的仿真能量消耗为

为为进行第k组明文第i轮加密运算，猜测第j个密钥字节为s时对应的仿真能量消耗。

对N组明文进行加密操作，256个猜测轮密钥字节rk_i，j，s对应的仿真能量消耗矩阵为：

(5)计算仿真能量消耗与能量迹的线性相关系数，得到正确的猜测密钥字节。采样能量消耗矩阵W和仿真能量消耗矩阵H，分别计算两者第s列和第t列的相关系数ρ_s，t，

其中，

为矩阵H第s列的平均值，

为矩阵W第t列的平均值。ρ_s，t表示第s个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数，r_s，t为该相关系数的近似计算值。计算所有列列之间的相关系数，得到仿真能量消耗和采样能量消耗的相关系数矩阵为：

r_s，t越大，则列s与列t的匹配度越大，对应的猜测密钥rk_i，j，s与采样能量信息的相关性越强。选取R中的最大值r_m，n＝max(r_s，t)，r_m，n对应的猜测密钥rk_i，j，m为正确的猜测轮密钥字节，即得到正确的第i轮轮密钥第j个字节。

同理，根据上述第(1)-(5)步，分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i。对第i轮密码运算进行CPA分析结束后，得到正确的轮密钥rk_i，使用轮密钥rk_i进行第i轮加密运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

k∈{0，1，…，N-1}。根据上述第(1)-(5)步分析方法，依次获得前四轮的轮密钥：(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)。根据SM4密码算法的密钥扩展算法逆运算，具体如下：

上两式的逆运算，得到SM4密码算法加密运算的密钥(MK₀，MK₁，MK₂，MK₃)。

若已知加密密文，则分析末4轮加密操作，分析方法与前4轮大致相同，仅在选择攻击对象略有不同。

假设进行N组加密运算时，第k组的密文输出为

令

为第i轮的SM4密码算法的轮输出，i依次为31，30，29，28。对两种汉明距离模型的分析方法如下：对S盒输出的HD模型末4轮分析方法，其分析方法与前4轮完全相同。HD模型转化为HW模型后，攻击对象为该轮轮密钥异或输入与S盒输出的异或值，如图3所示。猜测轮密钥字节rk_i，j，s对应的攻击中间值与前4轮完全一致。依次得到末4轮正确的轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)，根据密钥扩展算法逆运算成功分析获得SM4密码算法加密运算的密钥。轮函数输入的HD模型末四轮分析方法，其分析方法与前4轮相同，仅对攻击对象的选择略有不同。HD模型转化为HW模型后，末4轮的攻击对象如图5所示：末四轮的攻击对象实际为该轮所有轮输入的异或值。猜测轮密钥字节rk_i，j，s对应的攻击中间值为：

根据上述第(1)-(5)步，依次得到末4轮正确的轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)，根据密钥扩展算法逆运算成功分析获得SM4密码算法加密运算的密钥。对于SM4密码算法的解密运算，同样可使用上述CPA分析方法获取解密密钥。若已知密文，分析SM4密码算法解密运算的前4轮，分析方法与分析SM4密码算法加密运算的前4轮相同，依次得到轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)，根据密钥扩展算法逆运算得到解密密钥；若已知明文，分析SM4密码算法解密运算的末4轮，攻击方法与分析SM4密码算法加密运算的末4轮相同，依次得到轮密钥(rk₀，rk₁，rk₂，rk₃)，根据密钥扩展算法逆运算得到解密密钥。

按照上述CPA分析方法，分别采用以轮密钥异或输入与S盒输出的异或值为攻击对象的HW模型(即S盒的HD模型)和以S盒输出为攻击对象的HW模型，对加密运算的第1轮进行分析，已知该轮轮密钥为0x85 23 5C E2。

采集1000组对明文加密运算的波形，即能量迹，如图8所示，与SM4加密运算相关的采样能量消耗在9.7μs-15.3μs之间，选择该部分与密码运算相对应的时间点，得到采样能量消耗矩阵W；按照上述方法分析结果如表1所示，分别列出了猜测4个轮密钥字节时，前10个最大的相关系数及其对应的猜测密钥字节。对于第1轮，正确的猜测密钥字节对应的相关系数远远大于其他9个错误的猜测密钥字节对应的相关系数。

同样，对图8的能量迹，选择S盒的输出作为攻击对象，建立HW模型，依照上述步骤分析第1轮轮密钥0x 85 23 5C E2，分析结果见表2。从表2可知，前10个最大的相关系数值差别微小，相邻两者均小于0.02，无法判断正确的轮密钥，分析得到错误的轮密钥0x CD 5337 F8；而表1中正确密钥对应的相关系数比其他猜测密钥对应的最大相关系数至少大0.4，从而很容易区分出正确的轮密钥。此外，图9、图10分别为选择两种攻击对象分析时正确轮密钥字节对应所有时间点的相关系数图。由图9可知，采样点对应的相关系数出现一个明显的尖峰，该尖峰表明：当轮密钥猜测正确时，与采样能耗泄露点的相关性远大于其他的时间点；而图10无明显的尖峰，当轮密钥猜测正确时，无法区分真正的能耗泄露点，且所有时间点对应的相关系数远小于图9的尖峰值。

表1：对加密运算第1轮的S盒输出HD模型进行CPA分析结果

表2：对加密运算第1轮的S盒输出HW模型进行CPA分析结果

按照上述CPA分析方法，分别采用以轮密钥异或输入与轮函数输出异或值为攻击对象的HW模型(即轮函数的HD模型)和以轮函数输出为攻击对象的HW模型，对加密运算的第1轮进行分析。采集1000组对明文加密运算的波形，如图11所示，与SM4加密运算相关的采样能量消耗在9μs-15μs之间，选择该部分与密码运算相对应的时间点，得到采样能量消耗矩阵W，按照前述方法分析结果如表3所示，罗列了分析每个轮密钥字节时，前10个最大的相关系数及其对应的猜测密钥字节。对于第1轮的轮密钥猜测，正确的猜测密钥字节对应的相关系数远远大于其他9个错误的猜测密钥字节对应的相关系数。

同样，对图11的能量迹，选择轮函数的输出作为攻击对象，建立HW模型，依照上述分析第1轮轮密钥0x 85 23 5C E2，分析结果见表4。从表4可知，前10个最大的相关系数值差别极微小，相邻两者的差均小于0.01，因而无法判断正确的轮密钥，分析得到错误的轮密钥0x 40 37 99 A0；而表3中正确密钥对应的相关系数至少比其他猜测密钥对应的最大相关系数大0.3，从而很容易区分出正确的轮密钥。此外，图12、图13分别为选择两种攻击对象分析时正确轮密钥字节对应所有时间点的相关系数图。由图12可知，采样点对应相关系数出现一个明显的尖峰，该尖峰表明：当轮密钥猜测正确时，与采样能耗泄露点的相关性远大于其他的时间点；而图13无明显的尖峰，当轮密钥猜测正确时，无法区分真正的能耗泄露点，且所有时间点对应的相关系数远小于图12的尖峰值。因此，当SM4密码算法运算的能量消耗泄露点为轮密钥异或的输入与轮函数输出状态的转换，采用基于轮密钥异或的轮函数HD模型的侧信道能量分析方法要优于采用轮函数的HW模型的侧信道能量分析方法。

表3：对加密运算第1轮的轮函数输出HD模型进行CPA分析结果

表4：对加密运算第1轮的轮函数输出HW模型进行CPA分析结果

下面以SM4密码算法的轮函数进行DPA分析说明本发明的技术方案。DPA分析与CPA分析在采集能量迹、选择攻击对象的操作是一致的。本发明对SM4密码算法的轮函数进行DPA分析的具体方法如图7：DPA分析与CPA分析在采集能量迹、选择攻击对象的操作是一致的。根据上述DPA分析的原理，结合对SM4密码算法结构的分析，本发明对SM4密码算法的轮密钥异或进行DPA分析的具体方法如下：

对于SM4密码算法的加密运算，若已知加密明文，分析密码算法的前4轮。假设进行N组明文的加密运算，令第k组明文输入为

k∈{0，...，N-1}，第i轮的轮输入为

i依次为0，1，2，3。(a)采集能量迹。对每组明文进行加密运算，采集测量时间点对应的能量消耗信息(能量迹)，建立采样能量消耗矩阵W(N×T)。(b)选取攻击对象，确定DPA选择函数。DPA分析方法中的攻击对象选取与CPA方法完全一致。对S盒输出的HD模型，如图3所示，第i轮攻击对象以轮密钥异或输入与S盒输出的异或值作为一种新型的攻击对象。当进行第k组明文输入的第i轮加密运算时，第j个轮密钥字节rk_i，j对应的攻击对象

的汉明重量期望值

定义选择函数以明文、猜测密钥作为参数，则：

对轮函数输出的HD模型，如图4所示，第i轮攻击对象以轮密钥异或输入与轮函数输出的异或值作为一种新型的攻击对象

同理，定义选择函数以明文、猜测密钥作为参数，则：

(c)猜测轮密钥，将平均能量消耗划分为两个子集。确定攻击对象和选择函数后，依次猜测第i轮轮密钥字节

j依次为0，1，2，3。rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}。

分别对S盒输出的HD模型与轮函数输出的HD模型计算选择函数：对于256个猜测密钥rk_i，j，s，分别进行第i轮的加密运算，得到256个相应的攻击中间值，将rk_i，j，s代入得到相应的选择函数D(X^k，j，rk_i，j，s)。

依次对N组明文进行加密运算，猜测轮密钥字节rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝1时，则总个数

rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝0时，则总个数

对于两种不同的HD模型，分别依据选择函数，对于能量迹中时间点t，得到该点两个总能量消耗均值：

和，其中，

为使用猜测轮密钥字节rk_i，j，s进行N组加密操作，D(X^k，j，rk_i，j，s)＝0时，对应时间点t的n₀组能量消耗平均值；为选D(X^k，j，rk_i，j，s)＝1时，对应时间点t的n₁组能量消耗平均值，n₀+n₁＝N。

对所有的时间点求能耗均值，得到两个能耗矩阵D₀(256×T)和D₁(256×T)，分别为：

和，

计算两平均能耗子集差，得到正确的猜测密钥。计算平均能耗矩阵D₀(256×T)和D₁(256×T)的差，得到矩阵ΔD＝D₁-D₀。

若rk_i，j，s猜测错误，则对于N组明文输入的加密运算，选择函数为0和1的概率各约为

对应的平均能量消耗差随着N的增大趋近0；若rk_i，j，s猜测正确，则对于N组明文输入的加密运算，选择函数为0或1的概率应为1，对应的平均能量消耗差随着N的增大趋向于能耗的实际影响。综上所述，选择最大的能耗均值差

则对应的猜测轮密钥字节rk_i，j，m为正确密钥字节，即得到正确的第i轮轮密钥的第j个字节。

同理，根据上述第(a)-(d)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i。

对第i轮密码运算进行DPA分析结束后，得到正确的轮密钥rk_i，使用轮密钥rk_i进行第i轮加密运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

k∈{0，1，…，N-1}。根据上述第(a)-(d)步分析方法，依次获得前四轮的轮密钥：(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)。

由密码算法密钥扩展的逆运算，得到SM4密码算法加密运算的密钥(MK₀，MK₁，MK₂，MK₃)。

若已知加密密文，则分析SM4密码算法的末4轮加密操作，攻击对象的选择与CPA末4轮完全一致。

假设进行N组加密运算时，第k组的密文输出为

令

为第i轮的SM4密码算法轮输出，i依次为31，30，29，28。如图3所示，对S盒输出的HD模型的攻击对象与CPA末4轮一致，为轮密钥异或输入与S盒输出的异或值；如图5所示，对轮函数输入的HD模型的攻击对象与CPA末4轮一致，为轮密钥异或输入与轮函数输入的异或值。

根据上述第(a)-(b)步的分析方法，依次得到末4轮正确的轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)，根据密钥扩展算法逆运算式成功分析得到SM4密码算法加密运算的密钥。

对于SM4密码算法的解密运算，同样可使用上述DPA分析方法获取解密密钥。若已知密文，分析SM4密码算法解密运算的前4轮，分析方法与分析SM4密码算法加密运算的前4轮相同，依次得到轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)，根据密钥扩展算法逆运算得到解密密钥；同理，若已知明文，分析SM4密码算法解密运算的末4轮，攻击方法与分析SM4密码算法加密运算的末4轮相同，依次得到轮密钥(rk₀，rk₁，rk₂，rk₃)，根据密钥扩展算法逆运算得到解密密钥。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。

Claims (10)

1.选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，进行SM4密码算法侧信道能量分析过程中，当选择S盒输出或轮函数作为攻击点建立汉明距离模型时，其前续状态v₁均为轮密钥异或输入。 

2.根据权利要求1所述的选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，对S盒输出进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是S盒输出；对轮函数进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是轮函数。 

3.根据权利要求2所述的选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，对S盒输出前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型等效于以轮输入和轮函数输出的异或值作为攻击对象采用汉明重量(HW)模型的攻击；对轮函数前/末4轮进行的攻击等效于所有的轮输出/输入的异或值作为攻击对象采用汉明重量(HW)模型的攻击。 

4.根据权利要求1、2或3所述的选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，轮密钥异或输入用于对SM4密码算法的CPA/DPA侧信道能量分析。 

5.根据权利要求4所述的选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，选择轮密钥异或输入对SM4密码算法的CPA侧信道能量分析步骤如下： 

(1)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵； 

(2)选取攻击对象，确定算法攻击模型； 

(3)确定攻击对象和模型后，猜测轮密钥，计算轮运算的中间值确定 中间值矩阵； 

(4)利用上步的中间值及中间值矩阵映射为仿真能量消耗值和仿真能量消耗矩阵； 

(5)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测密钥。 

6.根据权利要求5选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，利用CPA进行步骤(3)的具体方法是：当输入第k(k∈{0，...，N-1})组明文明密文输入/输出为

或

时，猜测第i轮轮密钥

中的字节

rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，当选择S盒输出前/末4轮进行攻击时，猜测轮密钥字节rk_i，j，s对应的中间值为 

其中，

为进行第k组明文/密文第i轮加密/解密运算，猜测第j个密钥字节为s时对应的中间值，L^-1(x)_j为进行L^-1移位后的第j个字节， 

分别X_i+1，j、X_i+2，j、X_i+3，j分别为中间运算值

的第j个字节；选择轮函数输出前4轮或末4轮进行的攻击时，猜测轮密钥字节rk_i，j，s对应的中间值分别为

和 

；对N组明文进行加密操作时，依次计算256猜测轮密钥字节rk_i，j，s对应的中间值确定中间值 矩阵

利用CPA进行步骤(4)的具体方法是：(3)步中间值映射的仿真能量消耗为：

即第k组明文第i轮第j个字节第s个猜测密钥字节对应的仿真能量消耗，HW(x)为x中比特位值为1的个数，对N组明文/密文进行加密/解密操作，确定轮密钥字节rk_i，j，s对应的仿真能量消耗矩阵为：

7.根据权利要求5选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，利用CPA进行步骤(5)的具体方法是：对步骤(1)的采样能量消耗矩阵

和步骤(4)的仿真能量消耗矩阵H分别计算两者第s列和第t列的相关系数ρ_s，t： 

其中，

表示为第k个明文/密文、第t个时间点对应的采样能量消耗值，T为能量迹中的时间点个数，

为矩阵H第s列的平均值，

为矩阵W第t列的平均值，ρ_s，t表示第s个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数，r_s，t为该相关系数的近似计算值，计算所有列列之间的相关系数，得到仿真能量消耗和采样能量消耗的相关系数矩阵为 选取R中的最大值r_m，n＝max(r_s，t)，r_m，n对应的猜 测密钥rk_i，j，m为正确的猜测轮密钥字节，即得到正确的第i轮轮密钥第j个字节rk_i，j；重复第(1)-(5)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入 

，依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i-1轮的轮输出 

，依次获得后4轮的加密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。 

8.根据权利要求4所述的选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，选择轮密钥异或输入对SM4密码算法的DPA侧信道能量分析步骤如下： 

(a)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵； 

(b)选择攻击对象，确定DPA选择函数；已知第i轮轮密钥第j(j∈{0，1，2，3})个字节rk_i，j对应的攻击对象

以明文/密文及猜测密钥字节rk_i，j作为参数，且期望值

这里定义DPA选择函数为 

(c)猜测轮密钥，将平均能量消耗划分为两个平均能耗子集矩阵； 

(d)根据(c)步得到的两个平均能耗子集求差，确定正确的猜测密 钥。 

9.根据权利要求8所述的选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，利用DPA进行步骤(c)的具体方法是：已知第k组明文/密文输入

或密文/明文输出 

时，猜测第i轮轮密钥rk_i中的字节rk_i，j，rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，猜测轮密钥字节rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝1时，则总个数

rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝0时，则总个数

对于能量迹中时间点t，得到该点两个的总能量消耗均值：和 其中，为使用猜测轮密钥字节rk_i，j，s进行N组加密/解密操作时，选择函数等于0所对应时间点t的n₀组能量消耗平均值；

为选择函数等于1所对应时间点t的n₁组能量消耗平均值，n₀+n₁＝N，由上式对所有的时间点求能耗均值，得到两个能耗矩阵D₀(256×T)和D₁(256×T)，分别为： 

和利用DPA进行步骤(d)的具体方法是：计算步骤(c)得到的平均能耗矩阵D₀(256×T)和D₁(256×T)的差矩阵ΔD＝D₁-D₀，选择最大的能耗均值差 

则

对应的猜测轮密钥字节rk_i，j，m为正确密钥字节， 即得到正确的第i轮轮密钥的第j个字节，重复第(a)-(d)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

，依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₂)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i-1轮的轮输出 

，依次获得后4轮的加密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。 

10.根据权利要求5或8所述的选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其特征在于，选取攻击对象时，当选择S盒输出前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型的前续状态v₁是轮密钥异或输入，后继状态v₂是S盒输出，其等效于以轮输入和轮函数输出的异或值作为攻击对象采用汉明重量(HW)模型的攻击，即

当选择轮函数前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型的前续状态v₁是轮密钥异或输入，后继状态v₂是轮函数输出/输入，其等效于所有的轮输出/输入的异或值作为攻击对象采用汉明重量(HW)模型的攻击，即 

或 

这里的 

是第i轮的轮输入，是第i轮的轮输出，i依次为0，1，2，3或31，30，29，28。 

Images