CN103532973A

CN103532973A - 面向des算法电路的差分功耗攻击测试方法

Info

Publication number: CN103532973A
Application number: CN201310514359.6A
Authority: CN
Inventors: 单伟伟; 孙华芳; 王学香; 徐志鹏
Original assignee: Southeast University
Current assignee: Southeast University
Priority date: 2013-10-25
Filing date: 2013-10-25
Publication date: 2014-01-22

Abstract

本发明公开了一种面向DES算法电路的差分功耗攻击测试方法，DES算法是一种广泛应用的分组对称加密算法，本发明对DES算法电路在设计阶段进行差分功耗攻击测试，过程包括:（1）功能仿真及功耗样本获取；（2）功耗样本预处理；（3）假设功耗样本获取；（4）相关系数的计算和攻击结果分析。本发明仅采样有变化的功耗点，节省大量功耗样本数据，大幅降低功耗攻击计算量，具有评估效率高、速度快的优点，更重要的是，能够在电路设计阶段进行功耗攻击测试，从而提前评估密码电路的抗攻击能力，降低DES电路的流片风险。

Description

面向DES算法电路的差分功耗攻击测试方法

技术领域

本发明涉及集成电路的信息安全领域，具体涉及DES密码算法电路的差分功耗攻击测试方法。

背景技术

进入21世纪，科技迅猛发展，社会信息化已经是大势所趋，生活变得信息化，数字化和网络化，人们对信息的依赖性不断增强。随着计算机、网络、通讯技术与集成电路技术的发展，安全芯片被广泛应用于新一代IC（集成电路）银行卡，小区或公司环境的门禁系统智能卡，手机中的语音加密芯片等各种需要信息安全的环境中。由于集成电路内部的电路结构非常复杂，同时具有封闭性好、不易入侵、运算快速等等特点，使得安全芯片更适合安全要求更高的系统。

密码算法电路作为安全芯片的核心部分，对安全芯片的安全性能起到决定性的作用。但随着信息安全研究的深入，各种旁路攻击手段严重地威胁了密码算法电路的安全特性。功耗攻击以其简单易行，普遍适用，低成本高效率，得到了广泛的关注，是一种对密码算法电路构成严重威胁的一种旁路攻击手段。

功耗攻击的基本思想就是通过获取密码算法电路加解密时的功耗信息，根据统计分析来推测出密钥。攻击者控制明文（或密文）的输入，获取大量的功耗迹，然后攻击者选择合适的攻击模型和方法，对功耗迹进行分析，猜测出正确的密钥。目前国际上最流行的旁路攻击技术是功耗分析攻击，大致可以分为简单功耗分析(Simple Power Analysis,SPA)、差分功耗分析(Differential Power Analysis,DPA)和相关系数功耗分析(Correlation Power Analysis,CPA)，很多新型的功耗分析攻击方法都是以这些攻击方法为基础演变而来的。

相比于SPA，差分功耗分析攻击无须了解关于被攻击设备的详细知识且能够从饱含噪声的功耗迹中获取密钥信息，是一种更为强大更为流行的攻击方法。这种攻击使用大量的功耗迹来分析设备功耗，并将这些功耗迹视为被处理函数进行统计分析和相关性计算。基于相关系数CPA攻击由于强大的破解能力已被广泛采用，它通过将采集到的真实功耗信息与数学分析计算得到的假设功耗信息进行统计分析，从而获得两者的相关性来判断真实功耗，其中需要采用一定的功耗模型将无实际意义的数学分析值映射为有物理意义的假设功耗值。

为了应对功耗分析攻击对密码算法电路提出的挑战，国内外众多研究机构和学者针对DES、AES、ECC、Hash等多种密码算法的抗功耗分析攻击实现进行了研究。为了验证这些抗攻击方案的有效性，必须建立一种有效的功耗攻击测试方法。国外学者设计了针对FPGA和ASIC实现的密码算法电路的功耗攻击方法，并取得了不错的攻击结果。但是这种方法的使用成本比较高昂，设计与实现上均存在不小的障碍，并且其验证周期比较长，并不适合作为用于理论研究使用。密码算法电路的设计者如果直接使用这种方法验证密码算法电路的安全特性，将不得不面临巨大的风险，如果密码算法电路设计失败会造成人力与物力成本方面的浪费。如何在密码算法电路设计阶段进行功耗攻击测试成为了密码算法电路设计领域的一个日趋解决技术难题。某些学者利用数学建模方式设计的仿真攻击方法，虽然攻击高效，成本低廉，但是其精度很低，结果可信度不高，也不适合用于验证密码算法电路的抗功耗分析特性。

综上所述，现有技术中，针对FPGA和ASIC实现的密码算法电路的功耗攻击方法，存在成本高，实现困难，验证周期长的缺陷，数学建模方式设计的仿真攻击方法存在精度低，可信度差的缺陷。

发明内容

本发明的目的在于，针对上述问题，提出一种便于在芯片设计阶段实施的面向DES算法电路的差分功耗攻击测试方法，具有评估效率高、速度快的优点，更重要的是，能够在密码算法电路设计阶段进行功耗攻击测试，降低芯片流片后安全性能不佳导致密码算法电路重新设计的风险，从而缩短密码算法电路设计周期。

为实现上述目的，本发明采用的技术方案如下：

所述面向DES算法电路的差分功耗攻击测试方法对DES密码算法电路在设计阶段进行功耗攻击测试时，对功耗样本的获取及基于相关系数的CPA功耗分析攻击的处理如下步骤:

步骤一：功耗样本获取。在电路设计仿真阶段，采用Prime Time PX功耗仿真工具对仿真结果进行功耗信息提取，将得到的一系列瞬态功耗值作为采样的功耗样本信息；

步骤二：功耗样本预处理。截取加解密时段的功耗样本构成功耗轨迹，并进行对齐处理，使功耗轨迹对齐于同一操作时刻；

步骤三：假设功耗样本获取。基于汉明距离模型，选取合适的攻击点，使用随机明文和猜测密钥，推导计算假设功耗值矩阵；

步骤四：相关系数的计算和分析。将预处理后的功耗样本与假设功耗样本进行相关性计算，获取相关系数矩阵，由相关系数矩阵做出相关系数曲线图，在攻击点处出现明显峰值的则攻击成功，峰值对应相关性曲线可推测出正确密钥；若在攻击点处未出现明显峰值，则攻击失败。

该测试方法的核心共有三部分：功能仿真模块、功耗仿真模块以及功耗分析模块。所述步骤一由功能仿真模块和功耗仿真模块完成，其中功耗样本的获取是利用PrimeTime Power Extension（PTPX）功耗仿真工具对加密算法的功耗迹进行仿真，其中配置PTPX工作在基于时间（Time-based）模式，而不是通常的平均模式（Averaged mode），其优点是可以快速的获得一个较为准确的功耗仿真结果，和Hspice相比，所需的资源和时间都很少，灵活机动。和实际的芯片相比，其功耗迹中只包含芯片加密时的功耗，没有任何噪声，这使得在做功耗分析时,对随机明文的数量要求比较低，方便更快地对加密算法的安全性能做出验证，缩短了检验周期。

所述步骤一的基本流程是首先将密码算法的RTL代码通过逻辑综合(DesignCompiler,DC)工具生成电路网表文件，然后加载明文、时钟等网表必需的测试向量，和网表使用的标准单元库及时序参数一起通过VCS（Verilog CompileSimulator，Synopsys公司的数字电路仿真工具）仿真工具进行仿真，生成功能仿真波形。功能仿真波形需要转换成功耗仿真分析需要的VCD（Value ChangeDump）文件，此文件包含了加密算法运行过程中内部各种标准单元的变化情况。然后设置PTPX的仿真环境参数，对生成的VCD文件进行分析，调用单元库的功耗参数生成功耗仿真文件，从中提取功耗攻击需要的功耗迹样本，该样本为一个矩阵。

所述步骤二的对齐处理是通过设计一个在加密开始时刻产生的触发信号进行定位，所有记录的能量迹均在该信号触发时刻对齐，因此能获得完全一致的操作序列的能量消耗，有利于后续功耗攻击的数据处理。

所述步骤三中的假设功耗的获取采用汉明距离模型，通过计算数字电路在某个特定时段内0→1转换和1→0转换的总数来代表电路的功耗，具体是计算数字电路连续时钟周期内寄存器中存储数值的0→1转换和1→0转换总数；计算选取的攻击点处的相邻两个时钟周期电路的汉明距离，将其作为假设功耗样本，对于M种随机明文和N种猜测密钥，生成的假设功耗矩阵大小为M*N。

所述步骤四中，相关系数的计算方法如下：已知的明文或者密文测试向量记为向量d＝(d₁，...，d_D)′，其中d_i表示第i次加密或者解密所对应的数据值，将对应数据d_i分组的功耗迹记作其中T表示密码模块的功耗迹的长度，针对每一个可能的k值（共有K种取值），计算对应的假设中间值k＝(k1，...，k_K)，给定的数据向量d和密钥假设k，得到中间值f(d,k);采用汉明距离功耗模型，映射由中间值造成的功耗，利用不同密钥加密的模拟功耗和真实功耗之间的相关性，对大量的随机测试向量进行统计分析，做出相关系数曲线图，在攻击点处出现极值的则攻击成功，极值对应相关性曲线可推测出正确密钥；若未出现极值，则攻击失败。

本发明的数学原理说明如下：

功耗攻击的核心是利用密码算法电路功耗和加密数据之间的相关性，从统计学的观点出发，可以利用协方差或者相关系数刻画数据之间的线性关系。

基于相关系数的差分功耗攻击建立在模拟功耗矩阵H和实测功耗矩阵T之间有一定相关性这样的推论的基础之上的。由正确的密钥推导出的模拟功耗必然与实测功耗有关联；而由错误的密钥推导出的模拟功耗则必然和实测功耗的相关性比较小。而通过大量的测试向量来计算其相关性，能够使与正确密钥对应的相关系数放大，便于推测密钥。

对DES芯片进行功耗攻击方法通常是：首先，选择DES执行过程的某个中间值，这个中间值要被密钥操作，在大部分攻击场景中，一般选取明文或者密文作为这个中间值；然后，测量DES加密过程的实际功耗，若采集D次加密过程，每次加密采集T个功耗点，则获得一个D×T的功耗矩阵，记为矩阵T；并计算假设的中间值，假设密钥k有K种可能，对于每一次加密计算出中间值，可获得一个D×K的矩阵V；然后将中间值映射为模拟功耗值，并采用功耗模型（汉明距离或者汉明重量模型），计算得出一个D×K的矩阵，记为H矩阵；再计算模拟功耗矩阵与实际功耗矩阵之间的相关性，得出一个K×T的矩阵，记为Z矩阵，其每一行分别对应一种猜测的密钥，每一列对应在该时刻模拟功耗与实际功耗之间的相关系数，计算公式如式1所示；最后利用Z矩阵按行绘制出曲线（密钥—相关性曲线），出现峰值的曲线即对应功耗攻击结果。

r_{i, j} = \frac{Σ_{d = 1}^{D} (h_{d, i} - {\overset{&OverBar;}{h}}_{i}) \cdot (t_{d, j} - {\overset{&OverBar;}{t}}_{j})}{\sqrt{Σ_{d = 1}^{D} {(h_{d, i} - {\overset{&OverBar;}{h}}_{i})}^{2} \cdot Σ_{d = 1}^{D} {(t_{d, j} - {\overset{&OverBar;}{t}}_{j})}^{2}}} - - - (1)

其中h_d，i为H矩阵的元素，i=1～K，t_d，j为T矩阵的元素，j=1～T。

利用此式，生成相关系数矩阵K*T，由此画出相关性曲线，正确的密钥对应的相关性曲线呈现的相关性系数将最大，将出现一个明显的波峰，而错误的密钥对应的相关性则比较小。

相对于现有技术，本发明的有益效果是：

1、本发明采用功耗仿真工具对后仿真电路进行功耗提取，近似现实电路功耗采集，可以较准确的获取电路功耗，并在电路设计阶段就进行抗攻击效果评估，解决了在密码算法电路设计阶段如何进行功耗攻击测试的技术难题，降低流片后安全性能不佳导致密码算法电路重新设计的风险，缩短DES密码算法电路设计周期，优化了DES密码算法电路的设计流程。

2、本发明面对大量功耗样本数据，通过基于时间的PTPX功耗仿真，仅采样记录有变化的功耗点节省了存储空间，并大幅降低了功耗攻击的计算量，从而使抗攻击评估效率高、速度快。

附图说明

图1为本发明测试方法的总体框架示意图。

图2为本发明的功耗样本获取的流程示意图。

图3为DES算法的结构示意图。

图4为DES算法轮运算的结构示意图。

图5为DES算法的假设功耗值获取的流程示意图。

图6为本发明的功耗攻击的流程示意图。

图7为对DES算法进行CPA攻击的相关参数列表。

图8为应用本发明方法在对DES算法进行攻击的效果图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明。

如图1所示，为本发明获取功耗样本的流程。首先设定加密算法电路工作的环境，即加载一系列的测试向量，比如时钟、IO激励、随机明文和密钥的输入等等。本发明采用VCS对DES的网表电路进行功能仿真，在仿真结束后，生成VPD(VcdPlus Deltacycleon,VPD)文件。此文件包含了加密算法运行过程中内部各种标准单元的变化情况。然后将VPD文件转换为供功耗仿真模块使用的VCD文件。功耗仿真模块使用的工具是Synopsys公司的PTPX工具。对PTPX做合适的配置，结合单元库的功耗模型，可获得仿真功耗迹。

如图2所示，为本发明的面向DES算法电路的差分功耗攻击测试方法的总体框架。本发明方法的功能仿真和功耗样本采样是基于Synopsys的功耗分析软件PrimeTime-PX(PTPX)构建的，主要分两个过程1）基于Synopsys VCS仿真环境的波形捕获；2）基于PTPX的功耗数据获取。具体流程如下：

1）基于VCS仿真环境的波形捕获。在密码电路通过功能验证后，经历逻辑综合（DC）、布局布线、寄生参数提取和时序收敛等操作后得到带有延迟信息的网表文件，在测试代码中加载测试向量（包含大量的明文激励），通过SynopsysDVE软件观察可以抓取可重构密码协处理器在执行密码运算时的波形文件，即得到CPA攻击所需的第一个文件---VCD（Value Change Dump）文件。

2）基于PTPX的功耗数据获取。利用Synopsys IC Compiler软件能够根据芯片版图抽取寄生参数信息，得到SPEF文件，并连同第一步获得的VCD文件和网表等一并读入Synopsys PrimeTime-PX软件，该软件能够利用工艺库的功耗信息分析出芯片整体功耗在每个时刻的不同值，并输出为功耗报表文件---Power.out。

步骤四的基于相关系数的差分功耗攻击的具体分析方法如下：将功耗文件Power.out进行数据处理，去除报表文件中一些与功耗值无关的符号和字符串，得到时间轴与功耗值一一对应的功耗矩阵列表，根据4.1节所述DPA攻击的原理可知，该矩阵列表即为真实功耗矩阵T。根据已知的明文计算假设中间值，并用汉明距离功耗模型映射为对应猜测子密钥的H矩阵。最后，根据公式（1）T矩阵和H矩阵计算相关系数，即可得到相关性矩阵R。分析处理过程是利用MATLAB语言编写上述过程的程序（也可以采用C++或其他计算机语言编写），最终绘制成相关性曲线图，完成整个DPA攻击。

如图3为DES算法的整体结构，共16轮运算。图4为每一轮运算的结构。DES算法的加密流程可以划分为3个阶段：

(1)64位明文通过初始置换IP，实现明文的比特重排，同时把64比特明文分为L₀和R₀两部分。L₀是比特重排后的前32位，R₀是后32位。

(2)进行16轮迭代运算。16次迭代运算具有相同的结构，包含换位和替代。通过迭代运算，DES将子密钥和数据结合起来，子密钥由初始密钥生成，在每一轮迭代中，每个64位的中间值被分成左右两部分，作为两块独立的数据进行处理，每轮迭代的输入是上轮结果的输出L_i-1和R_i-1。

(3)将16次迭代变换后得到的结果通过一个逆变换矩阵IP^-1。

如图5所示，为DES算法的假设功耗值获取的流程。将攻击点选择在第一轮S盒运算结束时的寄存器。首先利用Matlab编写DES算法第一个S盒的首轮运算程序。利用该程序结合输入明文和猜测密钥，推导出第一个S盒首轮运算的4位输出。S盒的4位输出输入P盒进行置换运算，根据P盒的置换规则：

输入的第1位，变为输出的第24位，

输入的第2位，变为输出的第16位，

输入的第3位，变为输出的第10位，

输入的第4位，变为输出的第2位。

随后P盒输出与L_i-1中对应位进行异或操作，异或操作不改变数据位置顺序，由此可以推导出第二轮加密使用的64位数据的其中4位（第2、10、16、24位）分别和明文中的4位（第4、3、2、1位）相对应。最后利用汉明距离模型，使用明文中的第2、10、16、24位和推导得出的4位数据计算汉明距离，获得假设功耗。

如图6所示，为本发明进行功耗攻击分析的数据处理流程示意图。CPA功耗攻击的第一步是选择密码算法电路所执行密码算法的一个中间值。这个中间值必须满足一个函数f(d，k)，其中d是已知的随机明文或者随机密文，而L是密钥的一部分，即子密钥。功耗攻击的第二步是测量密码算法电路在加密或者解密D个不同明文或者密文分组时的功耗，具体方法如图1和图2所示。其中攻击者已知的明文或者密文测试向量记为向量d=(d₁,...,d_D)′,其中d_i表示第i次加密或者解密所对应的数据值。而将对应数据d_i分组的功耗迹记作

其中T表示密码模块的功耗迹的长度。攻击的下一步是针对每一个可能的k值，计算对应的假设中间值。将这些可能的值记作k＝(k₁，...，k_K)，其中K表示k所有的可能值。在功耗攻击中，该向量的各元素通常称为假设密钥。通过给定的数据向量d和密钥假设k，攻击者可以很快的得到中间值f(d，k)。接下来攻击者选择一种功耗模型，用来映射由中间值造成的功耗，即模拟功耗。

本发明中采用汉明距离模型作为功耗模型。汉明距离模型计算数字电路在某个特定时段内0→1转换和1→0转换的总数，来代表电路的功耗；计算选取的攻击点处的相邻两个时钟周期电路的汉明距离，将其作为假设功耗样本，对于M种随机明文和N种猜测密钥，生成的假设功耗矩阵H，大小为M*N。对得到的假设功耗矩阵H和实测功耗矩阵T进行数学处理，利用公式（1），计算出矩阵H和T的相关系数。根据计算的到的相关系数r可以生成K条相关性曲线。如果猜测的密钥是正确密钥，那么模拟功耗和真实功耗之间必然有一定的相关性，通过对大量的随机测试向量进行统计分析，将正确的相关性放大，在相关性曲线中将会出现一个明显的尖峰，反之，错误的密钥，将不会产生明显的尖峰，由此可以破解得到正确密钥。

图7给出了用本发明实施例子的CPA攻击用到的相关参数列表。输入1000组随机明文和64个猜测密钥构造一个假设功耗矩阵，即H矩阵，该矩阵的大小为1000×64。用相关系数求解的公式，计算H矩阵和T矩阵之间的相关性。

如图8所示，为本发明的面向DES算法电路的差分功耗攻击测试方法的在对DES算法进行攻击的效果图，给出了前6位密钥的所有2⁶=64种猜测密钥的相关系数图。由图中可以清晰地看到，大概在第12个功耗点附近，相关系数曲线出现了一个尖峰。此尖峰出现在第二轮加密开始的地方，和选择的攻击点相符合，此高峰对应的子密钥为“101011”，正是要猜测的6位密钥。

仿真实验结果证实了本发明方法对DES进行功耗攻击仿真的有效性。1000次的随机明文的输入，就攻击出了DES的密钥。由于DES算法是对称分组加密算法，加密过程中，各个子密钥都进行了类似的迭代操作，所以以上攻击方法对于其他子密钥均适用。对其他的密钥段采用相同的CPA攻击，可快速解出DES的64位密钥。在此平台中若要获取DES的全部密码，只需要1000×8，总共8000组明文。相比较于数学攻击的2⁶⁴大小的样本数量，采用差分功耗攻击对密码算法电路的攻击显然更加高效，更具威胁性。本发明方法能够在电路设计阶段进行功耗攻击测试，从而提前评估密码电路的抗攻击能力，降低芯片流片风险。此外，本方法评估效率高、速度快。

Claims

1.一种面向DES（Data Encryption Standard,数据加密标准）算法电路的差分功耗攻击测试方法，其特征在于，包括以下步骤:

步骤一：功能仿真和功耗样本获取，在电路设计仿真阶段，在电路功能仿真验证的基础上，采用Prime Time PX功耗仿真工具对仿真结果进行功耗信息提取，将得到的一系列瞬态功耗值作为采样的功耗样本信息；

步骤二：功耗样本预处理，截取加解密时段的功耗样本构成功耗轨迹，并进行对齐处理，使功耗轨迹对齐于同一操作时刻；

步骤三：假设功耗样本获取，基于汉明距离模型，选取合适的攻击点，使用随机明文和猜测密钥，推导计算假设功耗值矩阵；

步骤四：相关系数的计算和分析，将预处理后的功耗样本与假设功耗样本进行相关性计算，获取相关系数矩阵，由相关系数矩阵做出相关系数曲线图，在攻击点处出现明显峰值的则攻击成功，峰值对应相关性曲线可推测出正确密钥；若在攻击点处未出现明显峰值，则攻击失败。

2.根据权利要求1所述的面向DES算法电路的差分功耗攻击测试方法，其特征在于，步骤一的具体流程如下：

首先将算法的RTL（寄存器传输级）代码通过DC(Design Compiler,设计综合)工具综合生成电路网表文件，然后加载明文、时钟等网表必需的测试向量，和网表使用的标准单元库及时序参数一起通过VCS（Verilog Compile Simulator，Synopsys公司的数字电路仿真工具）功能仿真工具进行仿真，生成功能仿真波形，并将其转换成为功耗仿真分析需要的VCD（Value Change Dump，改值转储）文件；然后在PTPX仿真工具下对生成的VCD文件进行分析，利用工艺库功耗模型生成功耗仿真文件。

3.根据权利要求1所述的面向DES算法电路的差分功耗攻击测试方法，其特征在于，步骤一中，配置Prime Time PX工作在基于时间（Time-based）的模式，在采样的大量功耗点中，仅记录有功耗变化时的电路功耗值。

4.根据权利要求1所述的面向DES算法电路的差分功耗攻击测试方法，其特征在于，步骤二的对齐处理是通过设计一个在加密开始时刻产生的触发信号进行定位，所有记录的能量迹均在该信号触发时刻对齐。

5.根据权利要求1所述的面向DES算法电路的差分功耗攻击测试方法，其特征在于，步骤三中的假设功耗的获取采用汉明距离模型，通过计算数字电路连续时钟周期内寄存器中存储数值进行0→1转换和1→0转换的总数来代表电路的功耗；计算选取的攻击点处的相邻两个时钟周期电路的汉明距离，将其作为假设功耗样本，对于M种随机明文和N种猜测密钥，生成的假设功耗矩阵大小为M×N。

6.根据权利要求1所述的面向DES算法电路的差分功耗攻击测试方法，其特征在于，步骤四中，相关系数的计算方法如下：

已知的明文或者密文测试向量记为向量d=(d₁，...，d_D）′，其中d_i表示第i次加密或者解密所对应的数据值，将对应数据d_i分组的功耗迹记作

其中T表示密码模块的功耗迹的长度，针对每一个可能的k值，计算对应的假设中间值k＝(k₁，...，k_K)，给定的数据向量d和密钥假设k，得到中间值f(d，k);采用汉明距离功耗模型，映射由中间值造成的功耗，利用不同密钥加密的模拟功耗和真实功耗之间的相关性，对大量的随机测试向量进行统计分析，做出相关系数曲线图，在攻击点处出现极值的则攻击成功，极值对应相关性曲线可推测出正确密钥；若未出现极值，则攻击失败。