嵌入式与网络计算湖南省重点实验室

一类加密算法功耗分析

及其防御研究学生：章竞竞导师：曾庆光、李仁发教授12一月2025提纲研究背景及选题意义研究内容及成果工作展望研究背景及选题意义随着信息科技的飞速发展，信息技术已广泛应用于社会生活的各个领域，且极大地影响着人们的生活、学习和工作方式。在给人们带来巨大便利的同时，信息技术的发展也带来了一个极为严峻的问题即信息安全问题。信息安全的核心是密码学，密码学的核心又是密码算法，作为密码算法实现的重要载体之一，嵌入式加密芯片，已被广泛应用于电子商务，税收，生物特征认证卡等。嵌入式加密芯片在各领域中的主要作用包括用户关键数据的安全存储，数据加解密，数字签名认证以及身份鉴别等，加密芯片自身的安全性对于整个系统来说非常重要，起着安全控制核心的作用。研究背景研究背景传统的密码分析中，人们对算法的数学结构进行研究，辅以关于算法输入/输出的某些假设，结合统计测试进行分析，然而，这种方法对安全强度高的密码算法中密钥的恢复已经远远不够。近年来，出现了一种新型密码分析方法—旁路攻击。当密码模块进行密码运算时，密码模块的运算时间、功耗和电磁场等旁路泄漏信息与密码模块中的密钥有一定的相关性。旁路攻击则是对上述旁路信息进行分析从而获得密码算法中密钥的一种密码分析技术。功耗分析攻击是通过对密码模块的功耗信息进行分析来获取密钥值的一种有效攻击方法。研究意义自2000年以来国际上产生了大量的极具科研和社会价值的论文和研究成果。这些成果为密码芯片的安全性分析开阔了视野并提供了崭新的研究思路，但由于信息安全原因，公开发表的论文并没有给出关键技术细节和实验参数。国内科技工作者于2002年前后也逐渐开始了该领域的研究，具有代表性的研究成果主要体现在旁路分析技术的理论应用和简单防御方法设计上。究其原因，我国在芯片的设计制造领域方面与国际上尚有一些距离，一些重要领域如新一代居民身份证都使用了国外的技术，并且我们无法获得国际上先进的安全芯片及其相关技术

研究意义为了增强我国嵌入式加密芯片自身的安全性，自主研究新型功耗分析方法，各类芯片防御技术的高性能算法、新型电路结构等工作十分重要，这也正是本文选择这个方向进行探讨和研究的意义之所在。本课题的研究得到了国家自然科学基金(60673061,60706026)，国家863计划资助项目(2007AA01Z104)的支持。

研究内容及成果设计一种新的简洁有效的功耗模型，提出功耗分析攻击方案和D函数的选择原则，通过实例，验证模型和攻击方案的可行性和有效性。被《计算机工程与应用》杂志录用。提出一种随机化和固定值扩展相结合的掩码防御方法，设计改进后的AES算法IP核，验证其可抗二阶差分功耗分析的安全性。设计功耗分析仿真软件总体架构，并自主开发功耗分析仿真实验平台PASP研究内容—功耗模型功耗分析的物理特性：

嵌入式加密系统中使用的微处理器一般采用静态互补CMOS工艺实现，功耗分析能够成功攻击密码系统的前提是：电路运行时产生的功耗与所处理的数据(如密钥)存在相关性。加密系统在运行时，系统中有数据进行运算，电源端有功耗产生。功耗的影响与所处理的数据直接相关，这种关系在电路级表现为负载电容充放电；在寄存器级表现为寄存器内部触发器状态的翻转；在指令级则是指令在执行前后数据的汉明距离。研究内容—功耗模型汉明重量功耗模型：

表示采样功耗，表示寄存器的状态字节，表示汉明距离函数，是汉明重量与功耗之间的线性增益；是与处理数据无关的其他部分的功耗，是一个常量，是热噪声。汉明距离功耗模型：

其中，表示寄存器字节原有状态，表示寄存器字节现有状态。研究内容—功耗模型一种改进的简洁有效的功耗模型汉明重量功耗模型建模：要考虑寄存器中数据从

和状态的功耗，而状态下没有负载电容充放电过程，几乎不产生功耗；汉明距离建立功耗模型：要考虑寄存器从的功耗，从1到0翻转时，电场能置换为热能，不消耗电源能耗。本文提出一种简洁有效的静态CMOS门实现的寄存器功耗模型，即只考虑寄存器从0到1翻转时产生的功耗：

基于改进后的功耗模型的差分功耗分析

以DES功耗分析为例，采用本文所提出的功耗模型建模，进行差分功耗分析：1）原始数据收集攻击目标为DES加密密钥，针对真实密钥，输入足够多的明文如：（1000条）执行加密运算，得到一组功耗样本。2）数据分析

D函数的选择取，即第一轮运算后右半部分比特的第一位的值，此时，D值时刻是一个功耗点时刻，已知：则：

基于改进后的功耗模型的差分功耗分析D值功耗点时刻，当取逻辑0或逻辑1时会有不同的功耗，利用D值来估计实际情况中的取值，采用统计分析中基于均值检验的方法，即将不同的明文输入所对应的功耗曲线，划分为两个集合，对两组值取算术平均值后作差。

当输入明文N足够大，基于数学统计相关性，△[j]功耗分析攻击有三种情况：选取时刻密钥猜测结果分析非D值时刻正确等于用一个随机函数对集合进行划分，当D值时刻不正确等于用一个随机函数对集合进行划分，当D值时刻正确将处理不同数据时的功耗差异体现出来，基于改进后的功耗模型的差分功耗分析采用1000条明文，其原始子密钥为：subkey=‘h0123456789ab，通过本文所提出的功耗模型建模，猜测第一轮6比特子密钥的攻击结果，D取值为，对应的子密钥为，解空间为64，用横坐标表示，纵坐标代表用D值区分后，两组功耗曲线的偏差，可发现在正确密钥位置即6比特子密钥的值为000101处有明显的尖锋出现。同时，也验证了本文所提出的功耗模型是有效的。如下图：研究内容—改进的AES掩码算法固定值掩码方法介绍：事先计算q套随机掩码值和相应的改进的S盒，并存储在ROM中。在加密运算开始之前随机选择一个来掩码输入数据和中间变量，加密过程中根据当时使用的掩码集合选择对应的S盒集。与“随机值掩码”相比，“固定值掩码”不需要在每轮加密时产生随机掩码并用掩码更新S盒，只要选择与掩码对应的S盒并将它读入RAM中即可，而“随机值掩码”每轮加密运算更新一次S盒集，如果直接用预先计算好的S盒替换这些实时计算的S盒，这样极大地减少了运算负荷。

K.Itoh提出两种类型的固定值掩码方法，在第一种方法中，每轮所用的掩码值是相同的但对状态中不同的字节用不同的掩码值；在第二种方法中，每轮和状态中的每个字节都用相同的掩码值。研究内容—改进的AES掩码算法固定值掩码方法安全性：固定值掩码I方法只对密钥作掩码处理，轮密钥加的结果为，并且在每轮运算时都使用相同的S盒加密明文分组。因此，可选择中间值变量轮密钥加后的值和S盒变换后的值进行分析；所以，在算法实验过程中的过程变量满足：，根据公设4，即可成功实施二阶DPA攻击。固定值掩码方法II只是简单地减少S盒的数量，减少对ROM空间的需求，提高执行性能，其它运算与固定值掩码I相同，因此它同样具有二阶DPA攻击弱点，此外，如果S盒的集合数q=2，使用固定值掩码II的加密设备仍然可能受到一阶DPA攻击。

研究内容—改进的AES掩码算法固定值掩码II二阶功耗分析结果：研究内容—改进的AES掩码算法改进的掩码算法基于固定值掩码II，选择，不是加密每个明文分组时都使用这一组固定值掩码，而用某种随机决定是否使用这组固定值掩码或是它们的反码值；并且在固定值选择中，加入特定两组固定值全0或全1，即参与轮密钥加运算时，不是每次加密运算一定都使用掩码，而有很小的随机概率决定是否使用掩码参与轮密钥加运算。有三种类型的掩码值，是AES加密系统中的轮数，用于掩码轮密钥，这些掩码值可以由和导出

:

研究内容—改进的AES掩码算法研究内容—改进的AES掩码算法改进算法的二阶功耗分析结果：研究内容—功耗分析仿真软件研究内容—功耗分析仿真软件用硬件描述语言实现加密算法。完成模拟智能卡芯片从数据输入到数据输出的全过程操作。代码仿真模块主要是建立在大量的实验基础上，完成密码算法过程中中间值与功耗数值之间的工作，功耗数据采集工作。功耗分析模块是整个仿真软件架构的核心,本文自主设计开发出一个功耗分析仿真实验平台PASP(PowerAnalysisandSimulationPlatform)，完成功耗分析模块的处理工作。

研究内容—功耗分析仿真软件功耗分析模块流程图：研究内容—功耗分析仿真软件数据预处理是指对加密算法IP核经Modelism仿真后，收集到与明文和部分密钥(或密文和部分密钥)相关的中间变量的值进行处理，以实现从硬件描述语言到高级语言设计的接口。功耗分析处理又是功耗分析模块的核心部分，它主要包括两个部分：功耗统计和功耗分类处理。数据后处理，将得到的功耗偏差作为纵坐标，子密钥解空间的值作为横坐标，画出一条直观的功耗分析波形图。研究内容—功耗分析仿真软件一个完整的功耗分析仿真软件工作流程图

研究内容—功耗分析仿真软件本文初步完成一个功耗分析平台PASP的编写工作，以AES的一阶功耗分析和FVMAES二阶功耗分析为例，展示本文所开发的PASP平台。

研究内容—功耗分析仿真软件功耗分析：研究内容—功耗分析仿真软件研究内容—功耗分析仿真软件研究内容—功耗分析仿真软件研究内容—功耗分析