CN116073988A - 一种基于混合去噪的抗能量分析攻击能力的检测方法 - Google Patents

Abstract

本发明属于边信道安全领域，特别涉及一种基于混合去噪的抗能量分析攻击能力的检测方法，选择需要分析的密码算法的一个中间值；测量密码设备在加密或解密不同数据分组时的能量消耗，得到实测能量消耗矩阵；使用基于巴特沃斯滤波与集合经验模态阈值的混合去噪方法对实测能量消耗矩阵去噪；计算每个数据对应的假设中间值，得到假设中间值矩阵；将假设中间值矩阵映射为假设能量消耗值矩阵；计算假设能量消耗矩阵和实测能量消耗矩阵的相关系数并确定猜测密钥，猜测密钥的准确率越高，抗能量分析攻击的能力越弱；本发明通过减少能量迹的噪声，提高了其信噪比，从而达到提升能量分析的效率，提高检测评估密码安全芯片的抗能量分析攻击的准确度。

Description

一种基于混合去噪的抗能量分析攻击能力的检测方法

技术领域

本发明属于边信道安全领域，特别涉及一种基于混合去噪的抗能量分析攻击能力的检测方法。

背景技术

如今，随着网络安全技术的高速发展，作为其基础的密码学也取得了巨大的进步，密码学的使用范围和频率也得到了极大的提升，因此它的安全性得到极大关注。虽然如今比较流行的密码算法均是计算安全的，很难通过传统的数学分析去攻击，但是密码学的安全并不是仅仅包括密码算法的安全，还包括密码算法实现的安全。于是，在传统的数学分析攻击不能满足要求的情况下，边信道攻击技术应运而生，该技术是对加密设备在操作过程中的泄露的时间、功耗、电磁等信息进行捕获、分析和攻击的技术。其中利用泄露功耗信息的能量分析攻击由于具有简单易实施的特点，是最流行的边信道攻击方法，它的基本思想是通过分析密码设备的能量消耗来获得密钥。

随着边信道攻击对加密设备的威胁越来越重，各种加密设备在大规模商业使用之前，必须对其进行旁路泄漏评估，其中最普遍的评估就是检测密码安全芯片的抗能量分析攻击能力，通过能量分析去猜测其密钥，通过猜测密钥的准确性以此评估密码安全芯片的抗能量分析攻击能力。

目前，全世界范围内在边信道能量分析方面的研究，主要包括对能量迹的去噪研究以及对分析点的选择分析研究，例如杜之波等人提出的针对密码算法的多点联合能量分析攻击；王思翔等人提出的基于希尔波特黄滤波预处理的相关性能量分析攻击研究；针对能量消耗信号的去噪方法有巴特沃斯滤波、切比雪夫滤波、小波分析等。虽然这些方法对能量消耗信号的噪声去除有一定效果，但是还是存在信噪比不高以及对抗能量分析攻击的能力的评估准确率不理想等问题。

发明内容

鉴于上述问题，本发明提供一种基于混合去噪的抗能量分析攻击能力的检测方法，具体包括以下步骤：

S1、选择需要分析的密码算法的一个中间值；

S2：测量密码设备在加密或解密不同数据分组时的能量消耗，对每一个数据分组记录一条能量迹，得到实测能量消耗矩阵T；

S3：使用基于巴特沃斯滤波与集合经验模态阈值的混合去噪方法对采集的能量迹进行预处理，得到去噪后的能量迹；

S4：根据前面确定的中间值函数，这一步是对每一个可能的密钥，计算对应的假设中间值，得到假设中间值矩阵V；

S5、将假设中间值矩阵V映射为假设能量消耗值矩阵H；

S6、计算假设能量消耗矩阵和实测能量消耗矩阵T的相关系数，得到相关系数矩阵，相关系数矩阵中最大值的索引即为猜测密钥，将猜测密钥和正确密钥进行比对，根据准确率评估其抗能量分析攻击的能力，准确率越高，抗能量分析攻击的能力越弱，完成检测。

进一步的，待分析的密码算法的中间值为分组密码算法的轮密钥加输出

或者字节代换输出，即S盒输出

其中，d表示已知的非常量数据；k表示部分密钥，为在真实密钥的取值范围内随机选择的部分密钥；

表示异或；SubByte()表示S盒变换，f(d,k)表示中间值函数。

进一步的，将所有可能的密钥记为向量k＝(k₁,…,k_K)，根据这可能的K个秘钥基于计算得到大小为n×K的假设中间值矩阵。

进一步的，将假设中间值矩阵V映射为假设能量消耗值矩阵H，即基于汉明重量模型，将假设中间值的汉明重量映射为假设能量消耗矩阵H。

进一步的，实测能量消耗矩阵T的获取过程包括：

将已知的非常量数据向量记为d＝(d₁,d₁,...,d_n)^T对每一次加密或解密操作记录一次能量迹，将对应于数据分组d_i的能量迹记作t_i、＝(t_i,1,…,t_i,m)；

构建一个矩阵，矩阵中每一行能量消耗值是由同一数值引起的，每一列能量消耗值是由同一操作引起，得到大小为n×m的实测能量消耗矩阵T；

其中，d_i表示已知的非常量数据向量的第i个元素，t_i,m表示d_i对应的位置m的能量迹，m为能量迹的长度；()^T表示矩阵的转置操作。

进一步的，使用基于巴特沃斯滤波与集合经验模态阈值的混合去噪方法对采集的能量迹进行预处理包括以下步骤：

S31、将能量迹通过傅里叶变换由时域信号转换为频域信号，得到能量迹的频率分布范围；

S32、根据能量迹的频率分布设置巴特沃斯低通滤波器的通带截止频率和阻带截止频率，巴特沃斯低通滤波器对能量迹进行滤波，得到滤波后的能量迹；

S33、设定能量迹的处理次数m，为这m个能量迹分别添加随机白噪声，组成m个新的能量迹；

S34、对这m个新的能量迹分别进行经验模态分解，得到对应的内涵模态分量IMF；

S35、对相应模态的IMF分量分别求均值，得到集合经验模态分解结果；

S36：将求得的均值后的IMF分量中含有噪声的高频IMF分量使用小波阈值进行去噪，去噪后的信号与低频IMF分量以及残差进行重构，得到混合去噪后的能量迹。

进一步的，步骤S33中添加的随机白噪声的幅值为白噪声幅值的标准差与原始信号幅值标准差之比。

进一步的，步骤S34进行经验模态分解时，需要满足以下约束条件：

在整个数据段内，极值点的个数和过零点的个数必须相等或相差最多不能超过一个；

在任意时刻，由局部极大值点形成的上包络线和由局部极小值点形成的下包络线的平均值为零，即上、下包络线相对于时间轴局部对称。

进一步的，步骤S6具体包括：计算能量消耗矩阵H的每一列数据h_i和能量迹T的每一列数据t_j的相关系数，得到大小为K×m的相关系数矩阵R，相关系数矩阵R中值值最大行索引即为当次加密或解密最有可能的密钥，将最有可能的密钥与当次加密或解密的真实密钥进行对比得到猜测的正确率；在本发明中，h_i表示能量消耗矩阵H第i列的数据，i∈{1,2,…,m}，可以用于指代能量消耗矩阵H的任意一列，同理，t_j表示能量迹T的第j列数据，j∈{1,2,…,K}，可以用于指代能量迹T的任意一列，m表示能量迹的长度，K表示可能的密钥的数量。

本发明通过减少能量迹的噪声，提高了其信噪比，从而达到提升能量分析的效率，提高检测评估密码安全芯片的抗能量分析攻击的准确度。

附图说明

图1为本发明的总体流程图；

图2为本发明实施例中步骤S2中能量分析检测的典型测量配置框图；

图3为本发明实施例中步骤S3中混合去噪方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种基于混合去噪的抗能量分析攻击能力的检测方法，具体包括以下步骤：

S1、选择需要分析的密码算法的一个中间值；

S2：测量密码设备在加密或解密不同数据分组时的能量消耗，对每一个数据分组记录一条能量迹，得到实测能量消耗矩阵T；

S3：使用基于巴特沃斯滤波与集合经验模态阈值的混合去噪方法对采集的能量迹进行预处理，得到去噪后的能量迹；

S4：根据前面确定的中间值函数，这一步是对每一个可能的密钥，计算对应的假设中间值，得到假设中间值矩阵V；

S5、将假设中间值矩阵V映射为假设能量消耗值矩阵H；

S6、计算假设能量消耗矩阵和实测能量消耗矩阵T的相关系数，得到相关系数矩阵，相关系数矩阵中最大值的索引即为猜测密钥，将猜测密钥和正确密钥进行比对，根据准确率评估其抗能量分析攻击的能力，准确率越高，抗能量分析攻击的能力越弱，完成检测。

请参阅图1，本发明提供一种基于混合去噪的能量分析检测评估方法，包括以下步骤：

步骤1：选择需要分析的密码算法的某个中间值；

其中，选择的中间值必须是一个函数f(d,k)，即该中间值由明文或者密文d以及部分密钥计算得到，其中，d是已知的非常量数据，通常是明文或者密文，而k是密钥的一部分。而这个中间值函数通常为分组密码算法的轮密钥加输出f(d,k)＝d⊕k或者字节代换输出即S盒输出f(d,k)＝SubByte(d⊕k)，其中，⊕表示异或；当然在本发明进行具体实施的时候，不仅仅局限于分组密码算法，本领域专业人员可以对具体攻击的密码算法进行分析，选择合适的中间值进行攻击。

步骤2：测量密码设备在加密或解密不同数据分组时的能量消耗，对每一个数据分组记录一条能量迹，从而得到实测能量消耗矩阵T；

其中，需要将已知的数值记作向量d＝(d₁,d₁,...,d_n)^T，其中，d_i表示第i次加密或解密操作时对应的数值，()T表示矩阵的转置操作；对每一次加密或解密操作记录一次能量迹，将对应于数据分组d_i的能量迹记作t_i、＝(t_i,1,…,t_i,m)，其中m表示能量迹长度，然后就可以得到大小为n×m的实测能量消耗矩阵T，其中矩阵T的每一行能量消耗值是由同一数值引起的，每一列能量消耗值是由同一操作引起的。

具体地，不同加密算法的密钥范围不同比如常用的AES-128算法，密钥长度为128位即16字节，每次加密16字节的明文，每个字节数据对应一个字节密钥，一个字节密钥为8位，范围即0～255，即将这可能的256个可能密钥用来计算假设中间值，最后将每个字节的密钥组合起来就能得到完整密钥。

下面介绍一下能量分析攻击的典型测量配置，如图2所示，主要由电源、密码设备、时钟发生器、能量测量电路或者EM探针、数字采样示波器和PC构成。

如图2，为了采集能量迹，首先需要对密码设备上电，同时接受时钟信号；接下来由PC向示波器进行配置，然后向密码设备发送命令，使其开始执行对应的密码算法；之后在密码算法执行过程中通过示波器利用能量测量电路或者EM探针测量密码设备的能量消耗值；最后PC从密码设备中得到算法的输出结果以及从示波器中获取采样到的能量迹。如果需要更多能量迹，可以重复上述步骤，直到得到能量迹数量满足需求为止。

步骤3：将采集得到的能量迹使用结合巴特沃斯滤波与集合经验模态阈值的混合去噪方法进行预处理后，得到去噪后的能量迹；

其中，混合去噪方法如图3所示，具体包括以下步骤；

S31：把能量迹通过傅里叶变换由时域信号转换为频域信号，得到能量迹的频率分布范围；

S32、根据能量迹的频率分布设置巴特沃斯低通滤波器的通带截止频率和阻带截止频率，巴特沃斯低通滤波器对能量迹进行滤波，得到滤波后的能量迹；具体地，将能量迹的频率分布中包含有95％以上的频率区间中的下限作为巴特沃斯低通滤波器的通带截至频率w_p，上限作为巴特沃斯低通滤波器的阻带截至频率w_s，具体巴特沃斯低通滤波器的通带截至频率和阻带截至频率本领域技术人员也可以根据实际统计数据或者经验进行设置；

S33：设定能量迹的处理次数m，然后给这m个能量迹分别添加随机白噪声，组成一系列新的能量迹；

其中添加的白噪声幅值通常由白噪声幅值的标准差与原始信号幅值标准差之比来表征。

S34：对这一系列新的能量迹分别进行经验模态分解，得到一系列的内涵模态分量IMF；

内涵模态分量有两个约束条件：

在整个数据段内，极值点的个数和过零点的个数必须相等或相差最多不能超过一个；

在任意时刻，由局部极大值点形成的上包络线和由局部极小值点形成的下包络线的平均值为零，即上、下包络线相对于时间轴局部对称。

S35：对相应模态的IMF分量分别求均值，得到集合经验模态分解结果；

S36：将求得的均值后的IMF分量中含有噪声的高频IMF分量使用小波阈值进行去噪，留下有用的信号信息，将其与剩余的低频IMF分量以及残差进行重构，得到混合去噪后的能量迹；

上述小波阈值去噪使用默认阈值去噪处理，先利用阈值获取函数ddencmp()生成信号的默认阈值，然后利用去噪函数wdencmp()进行去噪处理。

步骤4：计算假设中间值，根据前面确定的中间值函数，这一步是对每一个可能的密钥，计算对应的假设中间值，得到假设中间值矩阵V；

其中，构建假设中间值矩阵V，需要将所有可能的密钥记为向量k＝(k₁,…,k_K)，其中K表示可能密钥的数量。然后由给定的数据向量d和密钥假设向量k计算假设中间值f(d,k)，就能得到一个大小为n×K的假设中间值矩阵V，其计算公式为：

v_i,j＝f(d_i,k_i)，i＝1,2,…,n、j＝1,2,…,K；

其中，矩阵V的第j列表示基于密钥假设k_j所计算出的中间值。

步骤5：将中间值映射为能量消耗值，这一步选取合适的能量模型将假设中间值矩阵V映射为假设能量消耗值矩阵H；

其中，为了计算假设能量消耗矩阵H，选择的能量模型是汉明重量模型HW，将计算得到的假设中间值的汉明重量映射为假设能量消耗矩阵H，可表示为：

h_i,j＝HW(v_i,j)，i＝1,2,…,n、j＝1,2,…,K；

其中，矩阵H的第j列表示基于密钥假设k_j所计算出的能量消耗值。

步骤6：比较假设能量消耗值和能量迹，计算假设能量消耗和能量迹的相关系数，得到相关系数矩阵，矩阵中最大值的索引揭示了密码安全芯片使用的密钥。

其中，计算假设能量消耗和实测能量迹的相关系数矩阵R的方法是把能量消耗矩阵H的每一列数据h_i和能量迹T的每一列数据t_j进行比较，然后得到大小为K×m的相关系数矩阵R，矩阵R中最大值的索引揭示了对所选择的中间值进行处理的位置即能量迹对应的位置以及密码设备所使用的密钥，其公式表达如下：

r_i,j＝corrcoef(h_i,t_j)，i,j＝1,2,…,m；

其中，矩阵R的每个值r_i,j表示假设能量消耗矩阵H的第i列数据与能量迹T的第j列数据的相关系数，corrcoef()是相关系数的计算函数。

然后，根据矩阵R中最大值的行索引i揭示了加密或解密本次数据分组最有可能的密钥，即相关系数矩阵中每列数据中相关系数最大的行索引对应的密钥，该密钥即该列数对应的猜测的密钥；重复上述步骤，得到加密或者解密数据的所有密钥，即每个数据对应的密钥，将其与所有的正确密钥进行对比得到猜测的正确率，根据正确率来评估密码安全芯片的抗能量分析攻击的能力，正确率越高，抗能量分析攻击的能力越弱，反之则越强。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (9)

1.一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，具体包括以下步骤：

S1、选择需要分析的密码算法的中间值函数；

S2：测量密码设备在加密或解密不同数据分组时的能量消耗，对每一个数据分组记录一条能量迹，得到实测能量消耗矩阵T；

S3：使用基于巴特沃斯滤波与集合经验模态阈值的混合去噪方法对采集的能量迹进行预处理，得到去噪后的能量迹；

S4：根据中间值函数，这一步是对每一个可能的密钥，计算对应加密算法的假设中间值，得到假设中间值矩阵V；

S5、将假设中间值矩阵V映射为假设能量消耗值矩阵H；

S6、计算假设能量消耗值矩阵H和实测能量消耗矩阵T的相关系数，得到相关系数矩阵，相关系数矩阵中最大值的索引即为猜测密钥，将猜测密钥和正确密钥进行比对，根据准确率评估其抗能量分析攻击的能力，准确率越高，抗能量分析攻击的能力越弱，完成检测。

2.根据权利要求1所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，待分析的密码算法的中间值为分组密码算法的轮密钥加输出

或者字节代换输出，即S盒输出

其中，d表示已知的非常量数据；k表示部分密钥，为在真实密钥的取值范围内随机选择的部分密钥；

表示异或；SubByte()表示S盒变换，f(d,k)表示中间值函数。

3.根据权利要求1或2所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，将所有可能的密钥记为向量k＝(k₁,…,k_K)，根据这可能的K个秘钥基于计算得到大小为n×K的假设中间值矩阵，n表示已知的非常量数据向量的长度。

4.根据权利要求1所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，将假设中间值矩阵V映射为假设能量消耗值矩阵H，即基于汉明重量模型，将假设中间值的汉明重量映射为假设能量消耗矩阵H。

5.根据权利要求1所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，实测能量消耗矩阵T的获取过程包括：

将已知的非常量数据向量记为d＝(d₁,d₁,...,d_n)^T对每一次加密或解密操作记录一次能量迹，将对应于数据分组d_i的能量迹记作t_i、＝(t_i,1,…,t_i,m)；

构建一个矩阵，矩阵中每一行能量消耗值是由同一数值引起的，每一列能量消耗值是由同一操作引起，得到大小为n×m的实测能量消耗矩阵T；

其中，d_i表示已知的非常量数据向量的第i个元素，t_i,m表示已知的非常量数据向量中第i个元素d_i对应的第m个能量迹，m为能量迹的长度；()^T表示矩阵的转置操作，n表示已知的非常量数据向量的长度。

6.根据权利要求1所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，使用基于巴特沃斯滤波与集合经验模态阈值的混合去噪方法对采集的能量迹进行预处理包括以下步骤：

S31、将能量迹通过傅里叶变换由时域信号转换为频域信号，得到能量迹的频率分布范围；

S32、根据能量迹的频率分布设置巴特沃斯低通滤波器的通带截止频率和阻带截止频率，巴特沃斯低通滤波器对能量迹进行滤波，得到滤波后的能量迹；

S33、设定能量迹的处理次数m，为这m个能量迹分别添加随机白噪声，组成m个新的能量迹；

S34、对这m个新的能量迹分别进行经验模态分解，得到对应的内涵模态分量IMF；

S35、对相应模态的IMF分量分别求均值，得到集合经验模态分解结果；

S36：将求得的均值后的IMF分量中含有噪声的高频IMF分量使用小波阈值进行去噪，去噪后的信号与低频IMF分量以及残差进行重构，得到混合去噪后的能量迹。

7.根据权利要求6所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，步骤S33中添加的随机白噪声的幅值为白噪声幅值的标准差与原始信号幅值标准差之比。

8.根据权利要求6所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，步骤S34进行经验模态分解时，需要满足以下约束条件：

在整个数据段内，极值点的个数和过零点的个数必须相等或相差最多不能超过一个；

在任意时刻，由局部极大值点形成的上包络线和由局部极小值点形成的下包络线的平均值为零，即上、下包络线相对于时间轴局部对称。

9.根据权利要求1所述的一种基于混合去噪的抗能量分析攻击能力的检测方法，其特征在于，步骤S6具体包括：计算能量消耗矩阵H的每一列数据与能量迹的每一列数据的相关系数，得到大小为K×m的相关系数矩阵R，相关系数矩阵R中值值最大行索引即为当次加密或解密最有可能的密钥，将最有可能的密钥与当次加密或解密的真实密钥进行对比得到猜测的正确率。

Images