CN110417537A - 一种混沌密码系统实现防旁路攻击的方法 - Google Patents

Abstract

本发明公开了一种混沌密码系统实现防旁路攻击的方法，其特征是，包括如下步骤：1）生成掩码；2）构建具有掩码保护的S‑box；3）将轮密钥和中间数据相加；4）替换中间数据；5）有限域加法；6）有限域乘法；7）二维猫映射；8）采用隐藏技术。这种方法构建的混沌密码系统能增加混沌密码系统的防旁路攻击能力。

Description

一种混沌密码系统实现防旁路攻击的方法

技术领域

本发明涉及信息安全技术领域，具体是一种混沌密码系统实现防旁路攻击的方法。

背景技术

混沌密码系统的安全性通常使用诸如字符频率测试、熵测试和雪崩测试等常规测试进行评估。然而，当混沌密码系统运行时会泄露诸如功耗、电磁辐射之类的旁路信息。旁路信息可用于攻击密码系统，这是对混沌密码系统安全的一个严重威胁。

发明内容

本发明的目的是针对现有技术的不足，而提供一种混沌密码系统实现防旁路攻击的方法。这种方法构建的混沌密码系统能增加混沌密码系统的防旁路攻击能力。

实现本发明目的的技术方案是：

一种混沌密码系统实现防旁路攻击的方法，包括如下步骤：

1)生成掩码：为了进行差分能量分析(Differential Power Analysis，简称DPA)或相关能量分析(Correlation Power Analysis，简称CPA)攻击，需要攻击者使用多组不同的明文进行加密，并且利用功耗和中间数据之间的相关性进行攻击，为了防御这些攻击，采用混沌映射在加密开始时生成不同的掩码以保护敏感数据，明文和从密钥生成的一个参数被用作混沌映射的两个参数：在混沌分组密码的第一步中，通过迭代混沌映射100+16M次以生成总共100+16M个0到1之间的数字，即进行迭代运算f^100+16M(x_para(16))产生(x₁-x_100+16M)，最后的16M个数字(x₁₀₁到x_16M)用于生成轮密钥，x₉₉用作生成掩码的一个参数，明文的每个字节p_i通过β_i＝0.41+p_i/1000被转换为介于0到1之间的实数β_i，然后将x₉₉和β₁分别用作帐篷映射的初始值和参数，并迭代10次，以获得与β₁对应的迭代结果，即y_para(1)＝f¹⁰(x₉₉，β₁)，其中混沌映射使用的是帐篷映射，之后对应于β_i的迭代结果通过公式(1)得到：

y_para(i)＝f¹⁰(y_para(i；1),β_i) (1)，

其中i∈[2,16]，y_para(i；1)表示对应于前一个参数β_i；1的迭代结果，然后，y_para(16)和β₁₆被用作帐篷映射的两个参数，对该帐篷映射迭代50次，最后的20个数字即y₃₁到y₅₀将通过公式(2)被映射到整数域并用作掩码：

mask_i＝floor(255×y_i) (2)，

从上述20个值中选择两个非零值作为乘法掩码，记为m_M和m_M’，剩下的18个值被用作掩码m₁、m₂和16个加法掩码其中i∈[1,16]；

2)构建具有掩码保护的S-box：替换操作的输入是一个值为0到255的值，对于每个可能的输入x，通过公式(3)计算查找表获得：

其中Sbox′是具有掩码保护的替换操作查找表，Sbox是原始查找表；

3)将轮密钥和中间数据相加：生成掩码和新S-box之后，加密过程开始，将一组明文中的所有字节首先被m₁掩码，然后依次和轮密钥进行异或操作，通过此操作，所有中间数据都被m₁保护；

4)替换中间数据：采用Sbox′，即新的查找表对上一步生成的中间数据进行替换操作，在此步骤前，所有的中间数据都使用掩码m₁保护，在此操作之后，输出的所有字节都被m₂屏蔽；

5)有限域加法：经过上述步骤之后，所有中间数据都被m₂掩码，使用同一掩码保护的两个值相异或会导致结果失去掩码(即)，会泄漏旁路信息，因此，应该对中间数据的每个字节使用不同的掩码，即进行掩码，在进行有限域加法之前，由步骤4)得到的每个字节都和对应的各不相等的掩码进行异或运算，异或后的中间数据的各个字节分别是然后将该结果和m₂相异或以去除m₂，即得到公式(4)：

其中s′_i表示此掩码操作后的中间数据，然后执行有限域加法，即输入数据的第一个字节保持不变，随后的字节通公式(5)得到：

其中1≤i≤15，经过有限域加法操作后，中间数据的每个字节被屏蔽，等于公式(6)：

其中∑表示有限域求和运算；

6)有限域乘法：在步骤5)操作之后，中间数据的每个字节被不同的掩码保护，大量的布尔型掩码造成很难对上述中间数据进行乘法掩码，因此，布尔型掩码应转换为乘法掩码，首先，将16个不同的掩码转换为相同的加法掩码m_M’通过公式(7)：

其中s_i表示未经掩码保护的中间数据，s_i′表示从步骤5)生成的中间数据，然后将布尔型掩码转换为乘法掩码，通过公式(8)：

然后执行GF(2⁸)乘法运算扩散中间数据:由前一阶段产生的中间值的最后一个字节保持不变，之前的字节通过以下方式得到：

如果中间数据中没有零值，则乘法结果的第i个字节为其中s_i表示未经掩码保护的中间数据，新的乘法掩码可以记为m″_M，如果中间数据的第j个字节等于零，则中间数据的任意一个字节即第i个字节可以通过公式(10)得到：

为便于后一轮加密运算，在进行有限域乘法后，采用公式(11)将乘法掩码转换为布尔型掩码m₁：

7)二维猫映射：采用二维猫映射操作来使中间数据的组合更加复杂，二维猫映射并不会改变所添加的掩码值，因此猫映射的输出同样使用m₁作为布尔型掩码，在其余轮加密中，掩码方法与第一轮相同，在加密结束时，使中间值同m₁相异或以去除掩码；

8)采用隐藏技术：隐藏技术通过产生噪声或随机化某些操作的运行时刻来降低中间数据和旁路信息之间的相关性，在本方案中步骤3)和步骤4)所处理的16个字节的顺序可以发生改变而不会对结果产生影响，在本方案中通过混沌映射产生16个不同的随机数来控制步骤3)和步骤4)中每个字节的运算顺序，以减小能耗和数据之间的相关性。

使用与生成掩码的方法类似的方式生成16个不同的数字，使用这16个数字来控制轮密钥加法和替换操作的内部顺序，这16个不同的数字的产生方案不同，首先密码系统在内存中声明两个数组，一个标志数组，另一个顺序数组，之后使用和生成掩码类似的混沌系统进行迭代10次然后映射为整数，例如第一个迭代结果为5，然后将标志数组中和数字5相对应的位置1，表明这个数已经产生过了，然后在索引数组中，将第一个数赋值为5；继续对混沌系统进行迭代，比如第二个迭代值依旧为5，但是检查标志数组，发现与5对应的位置已经被置为1了，即之前已经产生过5了，则继续迭代，产生数字7，通过查询标志数组，发现之前没有产生过7，则将标志数组对应字节置1，在顺序数组中第二个值写入为7；

添加轮密钥和替换操作的内部操作序列由顺序数组中这16个数字控制，例如，如果序列的前五个数字是{5,7,11,15,16,…}，那么在替换操作中，第5个字节的中间数据首先得到替换，然后替换第7个字节。

加密过程中的所有操作都是可逆的，可以通过执行加密的逆操作来计算明文，使用与加密相同的方法根据主密钥计算轮密钥，然后执行加密的逆过程，另外在解密时，替换操作所使用S-box也应该使用相应的逆查找表。

本技术方案中，使用掩码和隐藏技术以增加混沌密码系统的防旁路攻击能力：掩码是保护加密系统免受CPA攻击的有效方法，它通过使用随机生成的掩码与中间数据结合生成带掩码的数据，密码系统处理带掩码的中间数据，以削弱密码系统所泄露的能耗和密码算法中关键信息之间的联系，密码系统中存在布尔运算猫映射运算替换运算和有限域乘法运算，因此需要分别针对这几种运算设计防掩码方案，并且掩码运算需要可逆，这样可以在密码算法的最后阶段将掩码去除。

掩码和控制操作顺序的随机数均由混沌系统产生，该混沌映射有两个参数，一个是从明文计算的，另一个是从主密钥计算出来的，因为一个参数与明文相关联，当加密不同的明文时会产生不同的掩码，并且由于掩码和密钥相关，所以对于攻击者而言是不可预测的，对于CPA或DPA，攻击者利用加密大量不同明文时产生的功耗，和密码系统中间数据之间的相关性来进行攻击，然而，本技术方案中，由系统处理的所有关键中间数据都被掩码保护，所以功耗与带掩码的中间数据相关，由于掩码的不可预测性和唯一性，带掩码的中间数据不直接与关键中间数据相关。

密码算法中一部分数据的执行顺序由混沌系统产生的随机数控制，混沌系统使用由明文和密钥映射得到的值作为控制参数，因此对于攻击者而言是未知的，并且在每次加密运算时随机序列均不相同，所以攻击者很难对能耗数据进行对齐处理，进一步增加了攻击难度。

这种方法构建的混沌密码系统能增加混沌密码系统的防旁路攻击能力。

附图说明

图1为实施例中防旁路攻击混沌密码系统框图；

图2为实施例中不同的16个数字的产生过程示意图；

图3为实施例中旁路攻击的实验平台实物装置示意图，图中(a).计算机(b).能耗采集单元(c)密码单元；

图4为实施例中无防御策略的混沌密码系统相关系数和采样点之间的关系图；

图5为实施例中无防御策略的混沌密码系统相关系数和所用明文条数之间的关系图；

图6为实施例中有防御策略的混沌密码系统相关系数和采样点之间的关系图；

图7为实施例中有防御策略的混沌密码系统相关系数和所用明文条数之间的关系图。

具体实施方式

下面结合附图和实施例对本发明的内容作进一步的阐述，但不是对本发明的限定。

实施例：

本例混沌密码系统框图如图1所示，一种混沌密码系统实现防旁路攻击的方法，包括如下步骤：

1)生成掩码：为了进行差分能量分析或相关能量分析攻击，需要攻击者使用多组不同的明文进行加密，并且利用功耗和中间数据之间的相关性进行攻击，为了防御这些攻击，采用混沌映射在加密开始时生成不同的掩码以保护敏感数据，明文和从密钥生成的一个参数被用作混沌映射的两个参数：在混沌分组密码的第一步中，通过迭代混沌映射100+16M次以生成总共100+16M个0到1之间的数字，即进行迭代运算f^100+16M(x_para(16))产生(x₁-x_100+16M)，最后的16M个数字(x₁₀₁到x_16M)用于生成轮密钥，x₉₉用作生成掩码的一个参数，明文的每个字节p_i通过β_i＝0.41+p_i/1000被转换为介于0到1之间的实数β_i，然后将x₉₉和β₁分别用作帐篷映射的初始值和参数，并迭代10次，以获得与β₁对应的迭代结果，即y_para(1)＝f¹⁰(x₉₉，β₁)，其中混沌映射使用的是帐篷映射，之后对应于β_i的迭代结果通过公式(1)得到：

y_para(i)＝f¹⁰(y_para(i-1),β_i) (1)，

其中i∈[2,16]，y_para(i-1)表示对应于前一个参数β_i-1的迭代结果，然后，y_para(16)和β₁₆被用作帐篷映射的两个参数，对该帐篷映射迭代50次，最后的20个数字即y₃₁到y₅₀将通过公式(2)被映射到整数域并用作掩码：

mask_i＝floor(255×y_i) (2)，

从上述20个值中选择两个非零值作为乘法掩码，记为m_M和m_M’，剩下的18个值被用作掩码m₁、m₂和16个加法掩码其中i∈[1,16]；

2)构建具有掩码保护的S-box：替换操作的输入是一个值为0到255的值，对于每个可能的输入x，通过公式(3)计算查找表获得：

其中Sbox′是具有掩码保护的替换操作查找表，Sbox是原始查找表；

3)将轮密钥和中间数据相加：生成掩码和新S-box之后，加密过程开始，将一组明文中的所有字节首先被m₁掩码，然后依次和轮密钥进行异或操作，通过此操作，所有中间数据都被m₁保护；

4)替换中间数据：采用Sbox′，即新的查找表对上一步生成的中间数据进行替换操作，在此步骤前，所有的中间数据都使用掩码m₁保护，在此操作之后，输出的所有字节都被m₂屏蔽；

5)有限域加法：经过上述步骤之后，所有中间数据都被m₂掩码，使用同一掩码保护的两个值相异或会导致结果失去掩码(即)，会泄漏旁路信息，因此，应该对中间数据的每个字节使用不同的掩码，即进行掩码，在进行有限域加法之前，通过步骤4)得到的每个字节都和对应的各不相等的掩码进行异或运算，异或后的中间数据的各个字节分别是然后将该结果和m₂相异或以去除m₂，即得到公式(4)：

其中s′_i表示此掩码操作后的中间数据，然后执行有限域加法，即输入数据的第一个字节保持不变，随后的字节通公式(5)得到：

其中1≤i≤15，经过有限域加法操作后，中间数据的每个字节被屏蔽，等于公式(6)：

其中∑表示有限域求和运算；

6)有限域乘法：在步骤5)操作之后，中间数据的每个字节被不同的掩码保护，大量的布尔型掩码造成很难对上述中间数据进行乘法掩码，因此，布尔型掩码应转换为乘法掩码，首先，将16个不同的掩码转换为相同的加法掩码m_M’通过公式(7)：

其中s_i表示未经掩码保护的中间数据，s_i′表示从步骤5)生成的中间数据，然后将布尔型掩码转换为乘法掩码，通过公式(8)：

然后执行GF(2⁸)乘法运算扩散中间数据:由前一阶段产生的中间值的最后一个字节保持不变，之前的字节通过以下方式得到：

如果中间数据中没有零值，则乘法结果的第i个字节为其中s_i表示未经掩码保护的中间数据，新的乘法掩码可以记为m″_M，如果中间数据的第j个字节等于零，则中间数据的任意一个字节即第i个字节可以通过公式(10)得到：

为便于后一轮加密运算，在进行有限域乘法后，采用公式(11)将乘法掩码转换为布尔型掩码m₁：

7)二维猫映射：采用二维猫映射操作来使中间数据的组合更加复杂，二维猫映射并不会改变所添加的掩码值，因此猫映射的输出同样使用m₁作为布尔型掩码，在其余轮加密中，掩码方法与第一轮相同，在加密结束时，使中间值同m₁相异或以去除掩码；

8)采用隐藏技术：隐藏技术通过产生噪声或随机化某些操作的运行时刻来降低中间数据和旁路信息之间的相关性，在本例中步骤3)和步骤4)所处理的16个字节的顺序可以发生改变而不会对结果产生影响。

使用与生成掩码的方法类似的方式生成16个不同的数字，使用这16个数字来控制轮密钥加法和替换操作的内部顺序，这16个不同的数字的产生过程如图2所示，首先密码系统在内存中声明两个数组，一个标志数组，另一个顺序数组，之后使用和生成掩码类似的混沌系统进行迭代10次然后映射为整数，例如第一个迭代结果为5，然后将标志数组中和数字5相对应的位置1，表明这个数已经产生过了，然后在索引数组中，将第一个数赋值为5；继续对混沌系统进行迭代，比如第二个迭代值依旧为5，但是检查标志数组，发现与5对应的位置已经被置为1了，即之前已经产生过5了，则继续迭代，产生数字7，通过查询标志数组，发现之前没有产生过7，则将标志数组对应字节置1，在顺序数组中第二个值写入为7；

添加轮密钥和替换操作的内部操作序列由顺序数组中这16个数字控制，例如，如果序列的前五个数字是{5,7,11,15,16,…}，那么在替换操作中，第5个字节的中间数据首先得到替换，然后替换第7个字节。

加密过程中的所有操作都是可逆的，可以通过执行加密的逆操作来计算明文，使用与加密相同的方法根据主密钥计算轮密钥，然后执行加密的逆过程，另外在解密时，替换操作所使用S-box也应该使用相应的逆查找表。

为了评估本例方法的安全性，使用CPA攻击分别对未加入防御策略的混沌分组密码系统和本例所构建的混沌分组密码系统的安全性进行测试，实验平台如图3所示，包括功耗分析单元、功耗捕获单元和混沌分组密码系统，混沌分组密码系统主要由AtmelXMEGA128D4微控制器组成，混沌分组密码系统的功耗由功耗捕获单元收集，功耗捕获单元主要由ADC和FPGA组成，混沌分组密码系统和ADC的时钟频率由FPGA控制，为了简化攻击，ADC由加密系统触发，该加密系统在加密开始时将触发引脚设置为高电平，此操作减少了无用采样点的数量，ADC的时钟频率是密码系统时钟频率的四倍，以满足采样定理，具体地：

(1)对未经防御的密码系统进行攻击：

在两种加密实现中，分别对轮密钥的第一个字节进行CPA攻击，对于未受保护的混沌分组加密系统，使用350个明文来进行攻击，

相关系数和采样点之间的关系如图4所示，深色线表示由正确密钥产生的相关系数，浅色线表示由不正确密钥产生的相关系数，在采样点980和1,800处出现两个相对高的值，这表示在这两个采样点处均处理与第一个字节相关的关键信息；

相关系数与进行攻击的明文数量之间的关系如图5所示，可以看出，当明文的数量小于40时，深色线与浅色线重叠并且不能分开，即正确的密钥所产生的相关系数被不正确的密钥覆盖，在攻击40个明文后，正确的密钥能与其他密钥分开，其中深色线约为0.8，其他的低于0.4；

(2)对提出的防旁路攻击系统进行攻击：

现在使用CPA攻击本例构建的混沌分组密码系统：选择字节替换操作的输出数据作为攻击点，并进行CPA攻击，相关系数和采样点之间的关系如图6所示，由正确的轮密钥计算得到的相关系数由深色线表示，而由不正确的轮密钥计算的相关系数由浅色线表示，从不正确的密钥计算的相关系数高于从正确的密钥计算得到的相关系数，相关系数和明文数之间的关系如图7，随着明文数量的增加，从正确和不正确的密钥计算的相关系数均接近0.3，因此不可能从攻击中获得正确的密钥。

对受保护和未受保护系统的轮密钥的第一个字节分别进行攻击，表格1展示了在两种密码系统中取得最大的10个相关系数的可能值，对于未受保护的系统，轮密钥可以成功攻击，正确密钥的相关系数约为0.8，其余相关系数小于0.5，然而，对于受保护的密码系统，所有可能密钥的相关系数大约为0.34，而且取得最大相关系数的可能值也不是正确的密钥，即一阶CPA无法破解受保护的密码系统。

本例构建了一种可以抵抗CPA攻击的混沌分组密码系统，所有的中间数据都被混沌映射生成的随机掩码保护，通过随机化密码算法中一些步骤的操作顺序，旁路信息也被很好地隐藏，其中操作顺序是通过混沌系统产生的随机值控制的，实验结果表明，使用旁路攻击，正确的和不正确的猜测密钥所对应的相关系数非常接近无法分离，即不能使用CPA攻击从旁路信息中获得攻击者所需的敏感信息，本例构建的混沌分组密码系统在CPA攻击下是安全的。

表格1 CPA攻击结果对比

Claims (1)

1.一种混沌密码系统实现防旁路攻击的方法，其特征是，包括如下步骤：

1)生成掩码：采用混沌映射在加密开始时生成不同的掩码，明文和从密钥生成的一个参数被用作混沌映射的两个参数：在混沌分组密码的第一步中，通过迭代混沌映射100+16M次以生成总共100+16M个0到1之间的数字，即进行迭代运算f^100+16M(x_para(16))产生(x₁-x_100+16M)，最后的16M个数字(x₁₀₁到x_16M)用于生成轮密钥，x₉₉用作生成掩码的一个参数，明文的每个字节p_i通过β_i＝0.41+p_i/1000被转换为介于0到1之间的实数β_i，然后将x₉₉和β₁分别用作帐篷映射的初始值和参数，并迭代10次，以获得与β₁对应的迭代结果，即y_para(1)＝f¹⁰(x₉₉，β₁)，其中混沌映射使用的是帐篷映射，之后对应于β_i的迭代结果通过公式(1)得到：

y_para(i)＝f¹⁰(y_para(i-1),β_i) (1)，

其中i∈[2,16]，y_para(i-1)表示对应于前一个参数β_i-1的迭代结果，然后，y_para(16)和β₁₆被用作帐篷映射的两个参数，对该帐篷映射迭代50次，最后的20个数字即y_para(31)到y_para(50)将通过公式(2)被映射到整数域并用作掩码：

mask_i＝floor(255×y_i) (2)，

从上述20个值中选择两个非零值作为乘法掩码，记为m_M和m_M’，剩下的18个值被用作掩码m₁、m₂和16个加法掩码其中i∈[1,16]；

2)构建具有掩码保护的S-box：替换操作的输入是一个值为0到255的值，对于每个可能的输入x，通过公式(3)计算查找表获得：

Sbox′(x⊕m₁)＝Sbox(x)⊕m₂ (3)，

其中Sbox′是具有掩码保护的替换操作查找表，Sbox是原始查找表；

3)将轮密钥和中间数据相加：生成掩码和新S-box之后，加密过程开始，一组明文中的所有字节首先被m₁掩码，然后依次和轮密钥进行异或操作；

4)替换中间数据：采用Sbox′，即新的查找表对上一步生成的中间数据进行替换操作；

5)有限域加法：对中间数据的每个字节使用不同的掩码，即进行掩码，在进行有限域加法之前，步骤4)结果中的每个字节都和对应的各不相等的掩码进行异或运算，异或后的中间数据的各个字节分别是然后将该结果和m₂相异或以去除m₂，即得到公式(4)：

其中s′_i表示此掩码操作后的中间数据，然后执行有限域加法，即输入数据的第一个字节保持不变，随后的字节通公式(5)得到：

S′_i+1＝S′_i+1⊕S′_i (5)，

其中1≤i≤15，经过有限域加法操作后，中间数据的每个字节被屏蔽，等于公式(6)：

其中∑表示有限域求和运算；

6)有限域乘法：首先，将16个不同的掩码转换为相同的加法掩码m_M’通过公式(7)：

其中s_i表示未经掩码保护的中间数据，s_i′表示从步骤5)生成的中间数据，然后将布尔型掩码转换为乘法掩码，通过公式(8)：

s_i×m_M＝(s_i⊕m′_M)×m_M⊕m′_M×m_M (8)，

然后执行GF(2⁸)乘法运算扩散中间数据：由前一阶段产生的中间值的最后一个字节保持不变，之前的字节通过以下方式得到：

如果中间数据中没有零值，则乘法结果的第i个字节为其中s_i表示未经掩码保护的中间数据，新的乘法掩码可以记为m″_M，如果中间数据的第j个字节等于零，则中间数据的任意一个字节即第i个字节可以通过公式(10)得到：

采用公式(11)将乘法掩码转换为布尔型掩码m₁：

s_i⊕m₁＝(s_i×m″_M⊕m₁×m″_M)×(m″_M)^-1 (11)；

7)二维猫映射：猫映射的输出同样使用m₁作为布尔型掩码，在其余轮加密中，掩码方法与第一轮相同，在加密结束时，使中间值同m₁相异或以去除掩码；

8)采用隐藏技术：隐藏技术通过产生噪声或随机化某些操作的运行时刻来降低中间数据和旁路信息之间的相关性。