汪鵬君 張躍軍 張學(xué)龍

(寧波大學(xué)電路與系統(tǒng)研究所 寧波 315211)

1 引言

隨著超大規(guī)模集成電路(Very Large Scale Integration, VLSI)和計算機(jī)技術(shù)的發(fā)展，信息安全已從傳統(tǒng)的政治、軍事、外交、情報等重要領(lǐng)域全面推廣到社會日常生活中。由于信息安全技術(shù)確保了各種關(guān)鍵信息的安全保存和傳輸，因此高性能智能卡在我國已經(jīng)非常普及，如銀行卡、身份證、交通卡、手機(jī)卡等，為人們生活帶來了便利?，F(xiàn)代電子設(shè)備由集成電路構(gòu)成，信息安全技術(shù)也依賴于相應(yīng)的集成電路(如密碼芯片)作為硬件載體。密碼芯片是信息安全的保障，它有效地實(shí)現(xiàn)用戶的身份驗(yàn)證、密鑰存儲等關(guān)鍵信息的保護(hù)。隨著集成電路各種性能要求的提高，其單片集成度按摩爾規(guī)律不斷增長，高性能密碼芯片的 VLSI設(shè)計技術(shù)已經(jīng)成為信息化社會的迫切需求。信息安全的攻擊和防御始終是一對“矛”和“盾”，一方為了推廣智能卡的使用，必須確保信息的安全，有效防御外界的攻擊，筑起堅固的“盾”以防信息的泄漏，可稱之為信息安全的“防御”；而另一方則不擇手段，磨礪鋒利的“矛”以攻克對方的“盾”，盜取其重要信息，可稱之為信息安全的“攻擊”，就好像計算機(jī)病毒軟件和殺病毒軟件一樣，這對“矛盾”在不斷進(jìn)化、升級。因此對信息安全的攻擊和防御方法的研究越來越受到學(xué)者們的關(guān)注。

傳統(tǒng)攻擊使用數(shù)學(xué)分析的方法尋找加密算法的漏洞，要求攻擊者必須在密碼分析和加密算法方面有相當(dāng)高的造詣，而新型攻擊技術(shù)除此之外還可通過其他途徑盜取信息。眾所周知，目前普遍采用將保密信息通過在加密器件上執(zhí)行密碼算法的策略，達(dá)到保護(hù)信息安全的目的，然而，在執(zhí)行密碼算法過程中物理器件總是要泄漏各種與密碼系統(tǒng)本身相關(guān)的信息，譬如運(yùn)行時間、能量消耗、電磁輻射等等。攻擊者利用這些邊際信息攻擊加密器件就可獲得密鑰，這一過程稱為旁道攻擊[1](Side Channel Attack, SCA)。旁道攻擊方法分為時間分析[2]、功耗分析[3]和電磁輻射分析[4]3類。在旁道信息中，由于功耗的可測試性最強(qiáng)、測試功耗的工具最簡單、功耗曲線也最適合分析，使得功耗分析攻擊在實(shí)際攻擊中應(yīng)用最多。功耗分析就是依賴于加密硬件在加密過程中電路功耗與其處理的數(shù)據(jù)及進(jìn)行的操作關(guān)聯(lián)，通過監(jiān)測硬件在加密過程中的功耗曲線，利用統(tǒng)計方法和攻擊者的經(jīng)驗(yàn)對收集到的信息進(jìn)行分析，從而獲得與加密信息相關(guān)的數(shù)據(jù)。在諸多功耗分析旁道攻擊方案中，差分功耗分析[3](Differential Power Analysis, DPA)攻擊技術(shù)被證明是最有效率并且是最容易實(shí)現(xiàn)的一種，由于其易于操作且非常有效，對密碼模塊的安全構(gòu)成重大威脅。

國際發(fā)卡組織VISA非常重視DPA攻擊對密碼芯片的危害，以至于該組織將芯片信用卡的安全需求提升為3個技術(shù)等級，而在安全性級別最高的技術(shù)等級中明確提出至少包含 1個以上對策來防止DPA等信息泄露攻擊技術(shù)，可見DPA攻擊具有極大的殺傷力。防止DPA攻擊對實(shí)際應(yīng)用中的加密器件安全性造成威脅，開發(fā)具有防御 DPA攻擊的VLSI密碼芯片，具有重大理論價值和現(xiàn)實(shí)意義。

2 DPA攻擊的基本原理

DPA攻擊是Kocher等人[3]于1999年提出來的，它是一門結(jié)合了統(tǒng)計分析與誤差修正的技術(shù)，利用不同明文輸入對應(yīng)不同功耗曲線，推斷密碼算法中與密鑰相關(guān)的部分信息。對于密碼系統(tǒng)來說，功耗的變化主要由內(nèi)部寄存器狀態(tài)跳變引起，統(tǒng)計學(xué)上表現(xiàn)為內(nèi)部數(shù)據(jù)的漢明距離(Hamming Distance,HD)或漢明重量(Hamming Weight, HW)。簡單來說，DPA成功的基礎(chǔ)是大量的功耗曲線樣本，再結(jié)合相關(guān)統(tǒng)計學(xué)方面的知識，其基本流程包括功耗樣本采集，理論功耗模型建立，密鑰猜測，功耗偏差分析和密鑰判斷[5,6]等，如圖1所示。

首先DPA攻擊者隨機(jī)選擇n個明文作為輸入進(jìn)行N次加密運(yùn)算，對應(yīng)于每一次的加密運(yùn)算的明文Pi，搜集相應(yīng)的離散功耗信號Sij，以及相應(yīng)的輸出密文Oi。功耗信號S中的i和明文輸入P中的i相關(guān)，j和采樣時間相關(guān)。則可使用選擇函數(shù)D(·,·,·)把Si分成兩部分：

圖1 DPA攻擊的基本流程

然后計算每一部分的平均功耗為

如果運(yùn)算中涉及了選擇函數(shù)的某位或包含這個位的數(shù)據(jù)時，該數(shù)據(jù)的值是0或1會對功耗曲線的幅值有細(xì)小的影響。假定這個細(xì)小的差別為ε，并且在時間j*時計算D函數(shù)，則功耗之間的數(shù)學(xué)期望E可用下式表示：當(dāng)j=j*時，加密模塊執(zhí)行密鑰比特，則功耗大小與D函數(shù)相關(guān)

當(dāng)j≠j*時，加密模塊執(zhí)行其他比特，則功耗大小與D函數(shù)無關(guān)

從式(6)和式(7)可知，如果采樣明文足夠多，則T[j]就能計算出在時間j時的功耗差分ε。為了更好地探討防御DPA攻擊的方法，文獻(xiàn)[1]將式(6)改寫為

其中r為功耗偏差值，xi為i時刻0值的功耗值，yi為i時刻1值的功耗值，為xi的平均功耗，為yi的平均功耗。從上述分析中可以知道，防御DPA攻擊的主要思想就是使r盡可能地小，使之近似為0。

3 主流防御DPA攻擊技術(shù)的概述與分析

近年來，防御DPA攻擊技術(shù)作為一個熱點(diǎn)研究方向，在各個領(lǐng)域都引起了廣泛關(guān)注，涉及DPA攻擊的模型[7-9]、防御應(yīng)用領(lǐng)域[10-14]和新的防御技術(shù)[15-19]等等。從IEEE歷年文獻(xiàn)的統(tǒng)計中可以發(fā)現(xiàn)，關(guān)于防御DPA攻擊技術(shù)的研究呈逐年遞增的態(tài)勢，其主要途徑大致可分為兩類：一是盡量降低功耗曲線的波動，減小功耗曲線中的信息含量，即采用降低信噪比的方法達(dá)到防御DPA攻擊的目的；二是盡量擾亂功耗曲線與數(shù)據(jù)的相關(guān)性，即采用增加隨機(jī)噪聲和冗余功耗達(dá)到防御DPA攻擊的目的。這兩種途徑都可以提高密碼芯片的安全性，使攻擊者難以實(shí)施DPA攻擊或者需要更多的功耗曲線樣本。主流防御技術(shù)包括隨機(jī)掩碼技術(shù)[20-36]、功耗隱藏技術(shù)[37-51]和功耗擾亂技術(shù)[52-54]等等。

3.1 隨機(jī)掩碼技術(shù)

Kocher等[3]在 1999年首次提出使用隨機(jī)掩碼(Mask)技術(shù)來防御DPA攻擊。Mask技術(shù)利用攻擊者不可能獲取的隨機(jī)變量m對密碼算法的中間變量V進(jìn)行掩蓋，從而得到掩蓋后的中間變量Vm(Vm=V·m)，使攻擊者每次獲取的功耗信息均由中間變量Vm產(chǎn)生，而且由于m是隨機(jī)變化的，每次加密并不相同，所以攻擊者將無法獲得中間變量V所帶來的功耗與密鑰的相關(guān)性。由于加密過程中的各個操作均是與數(shù)據(jù)相關(guān)的，所以要求整個加密過程中所有的中間變量都被m所屏蔽。典型的Mask分為兩種[6]：布爾型的 Mask，一般用異或操作實(shí)現(xiàn)x'=x⊕r；算術(shù)型的 Mask，一般用模加模乘來實(shí)現(xiàn)x'=(x-r)mod2k。其中，布爾掩碼與算術(shù)掩碼可以相互轉(zhuǎn)換，偽代碼如表1所示。

表1 偽代碼

圖2 基于Mask的標(biāo)準(zhǔn)單元

在隨機(jī)掩碼算法與芯片實(shí)現(xiàn)方面，Yoshikawa等人[20]提出多輪Masking方法防御DPA攻擊和高效的隨機(jī)數(shù)掩碼方法[21]；Zhang等人[22]提出一種能防御DPA攻擊的橢圓曲線密碼算法；Prouff等人[23]提出利用置換表的方法防御一階旁道攻擊；Rivain等人[30]提出將高階 Mask[31-33]應(yīng)用到高級加密標(biāo)準(zhǔn)(AES)算法中，實(shí)現(xiàn)防御 DPA攻擊。Mangard等人[1]提出一種通用的掩碼方法，將隨機(jī)掩碼用于AES密碼算法，實(shí)現(xiàn)對電路中所有處理單元的輸入和輸出全部屏蔽，達(dá)到防御DPA攻擊的目的。隨機(jī)掩碼AES加密算法包括掩碼操作，輪密鑰加，字節(jié)替換，行移位和列混淆等，如圖3所示。其中，為處理單元的輸入輸出狀態(tài)，m為屏蔽因子，字節(jié)替換中的非線性操作采用掩碼后Sbox實(shí)現(xiàn)。

3.2 功耗平衡技術(shù)

功耗平衡技術(shù)可以從根本上解決功耗泄露密鑰信息的問題，是近年防御 DPA攻擊的首選技術(shù)[37-51]。功耗平衡技術(shù)對密碼芯片內(nèi)部的存儲信號采用漢明擴(kuò)展編碼進(jìn)行重新編碼，如比特“0”用“01”表示，而比特“1”用“10”表示。這就可以實(shí)現(xiàn)，從比特0變化到比特1和從比特1變化到比特0的狀態(tài)變化都相同，因此也就難以區(qū)分漢明重量和比特翻轉(zhuǎn)引起的功耗變化。從功耗分析上看，這個方法在理論上相對而言比較完善。但是從硬件實(shí)現(xiàn)上，它的資源消耗比較大，面積至少增加一倍以上，另外硬件實(shí)現(xiàn)上需要全部重新設(shè)計，沒有相應(yīng)的自動化設(shè)計工具支持，比較費(fèi)時費(fèi)力。功耗隱藏技術(shù)研究已經(jīng)非常成熟，相關(guān)功耗平衡邏輯電路也很多，主要包括雙軌邏輯[37-43]、SABL邏輯[40]、WDDL邏輯[41]、MDPL邏輯[42]和DDSLL邏輯[46]等等。

圖3 基于Mask的AES加密算法

在靜態(tài)互補(bǔ)CMOS邏輯中，只有輸出發(fā)生0→1跳變時，邏輯門才消耗能量。雙軌邏輯在一定程度上打破了數(shù)據(jù)與功耗的相關(guān)性，雙軌邏輯結(jié)構(gòu)模型如圖4所示。Cq0為輸入端電容，Cqw為線電容，Cqj為輸出端電容。

圖4 雙軌邏輯結(jié)構(gòu)模型

圖5 基于WDDL的與門

文獻(xiàn)[41]在 0.18 μm CMOS工藝下實(shí)現(xiàn)基于AES密碼算法的嵌入式安全協(xié)處理器芯片，如圖6所示。該芯片可應(yīng)用在指紋識別上，包括密碼算法模塊，指紋匹配模塊，模板存儲單元以及接口電路等。該芯片由兩個處理器構(gòu)成，32 bit SPARC V8處理器使用標(biāo)準(zhǔn)CMOS庫實(shí)現(xiàn)，第2個協(xié)處理器使用WDDL邏輯實(shí)現(xiàn)。該嵌入式安全協(xié)處理器芯片采用兩種方式防御DPA攻擊：第1種方法為WDDL邏輯，使所有邏輯門在每個時鐘周期都消耗相同的功耗；第2種方法稱為口令路由識別，確保WDDL邏輯在輸出節(jié)點(diǎn)上0和1的數(shù)量完全相同。對該安全協(xié)處理器芯片進(jìn)行了防御 DPA攻擊的性能分析比較。對標(biāo)準(zhǔn)CMOS邏輯實(shí)現(xiàn)的AES算法，僅需要8000次功耗曲線樣本就能實(shí)現(xiàn)DPA攻擊；使用WDDL邏輯實(shí)現(xiàn)的AES算法使用1500000次功耗曲線樣本時仍難實(shí)現(xiàn) DPA攻擊。實(shí)驗(yàn)結(jié)果表明，WDDL邏輯與標(biāo)準(zhǔn)CMOS邏輯相比較，在安全性方面至少可以提高2個數(shù)量級。

圖6 基于WDDL的AES密碼算法協(xié)處理器

3.3 功耗擾亂技術(shù)

功耗擾亂技術(shù)包括時鐘功耗擾亂技術(shù)和旁路功耗擾亂技術(shù)[5,55-59]。時鐘功耗擾亂技術(shù)是指利用時鐘頻率的隨機(jī)變化對密碼芯片的微觀功耗進(jìn)行擾亂。韓軍[5]提出基于時間隨機(jī)化的密碼芯片防御攻擊方法，建立了隨機(jī)時間延遲防御DPA攻擊的理論模型，并得到了隨機(jī)時間延遲抑制DPA攻擊的閾值條件。文獻(xiàn)[57]的分析結(jié)果表明，時鐘功耗擾亂技術(shù)在提高芯片安全性的同時，會降低部分功耗，但造成約16%時間損耗，影響數(shù)據(jù)處理性能。

旁路功耗擾亂技術(shù)是指在不影響系統(tǒng)性能的前提下，構(gòu)建與密碼算法關(guān)鍵模塊相關(guān)的旁路模塊，擾亂其功耗與數(shù)據(jù)的相關(guān)性，實(shí)現(xiàn)防御DPA攻擊的目的。文獻(xiàn)[56]針對AES密碼算法關(guān)鍵模塊Sbox，提出如圖7所示的旁路結(jié)構(gòu)，其中旁路模塊的電路結(jié)構(gòu)為如圖8所示的環(huán)形振蕩器。該方法可以有效解決吞吐量退化問題。然而，在系統(tǒng)復(fù)位的時候偽隨機(jī)數(shù)發(fā)生器生成數(shù)據(jù)字節(jié)是相同的，這就有可能被攻擊者所利用。為了解決這個問題，文獻(xiàn)[60]采用了真隨機(jī)數(shù)發(fā)生器不僅能夠自動生成隨機(jī)數(shù)序列防御DPA攻擊，而且可以在提高系統(tǒng)安全性的同時減少面積開銷。

圖7 基于旁路功耗擾亂技術(shù)的Sbox結(jié)構(gòu)框圖

4 防御DPA攻擊的前沿技術(shù)與發(fā)展趨勢

上述主流防御DPA攻擊方法并不完善，還存在以下方面的問題：Mask技術(shù)需要增加屏蔽因子和掩碼操作，改變了算法流程，并且在構(gòu)造偽Sbox時往往需要十分大的硬件存儲空間，這樣就增加協(xié)處理器的面積；功耗平衡技術(shù)帶來電路面積增大和平均功耗上升，另外硬件實(shí)現(xiàn)上需要全部重新設(shè)計，沒有相應(yīng)的自動化設(shè)計工具支持，比較費(fèi)時費(fèi)力；功耗擾亂技術(shù)能降低部分功耗，但通常會帶來時間損耗，影響數(shù)據(jù)處理性能，增加額外面積開銷。本節(jié)對未來可能產(chǎn)生重大影響的防御 DPA攻擊新技術(shù)進(jìn)行探討，包括基于物理不可克隆函數(shù)(PUF)電路的防御DPA技術(shù)、基于多值行為的防御DPA技術(shù)以及基于多核處理器的防御DPA技術(shù)等，同時探測防御DPA技術(shù)的發(fā)展新趨勢和研究熱點(diǎn)。

圖8 基于環(huán)形振蕩器的旁路模塊

4.1 基于PUF電路的防御DPA攻擊技術(shù)

PUF最早由麻省理工大學(xué)的 Gassend等人[61]提出，是一種半導(dǎo)體芯片的“芯片DNA”技術(shù)，通過提取IC制造過程中不可避免產(chǎn)生的差異，生成無限多個唯一的、不可預(yù)測的密鑰。這些密鑰具有隨機(jī)性、唯一性和不可克隆性等特性[62-72]。利用PUF電路的唯一性和不可克隆性，將芯片制造的工藝偏差與具體密碼算法相融合，賦予電路輸出的數(shù)據(jù)具有特定含義，實(shí)現(xiàn)電路功耗與所處理數(shù)據(jù)沒有直接對應(yīng)關(guān)系，使得攻擊者無法獲取真實(shí)信息?；谥俨闷骱托盘杺鬏斞舆t的 PUF方案是由一個信號傳輸延遲電路和一個仲裁器組成，如圖9所示。電路中布置了上下兩條完全對稱的信號傳輸延遲通路，同一信號在兩條通路上競爭通過，仲裁器根據(jù)競爭結(jié)果判斷輸出是0或1。輸入激勵是一個64 bit的比特串，用來控制信號傳輸通路，輸出是1 bit，作為PUF的輸出響應(yīng)?？梢詫UF電路應(yīng)用到AES加密芯片，設(shè)計抗DPA攻擊的AES芯片。

圖9 PUF的電路結(jié)構(gòu)

4.2 基于多值行為的防御DPA攻擊技術(shù)

多值行為是指數(shù)字信號的取值數(shù)比傳統(tǒng)的取值數(shù)2(即0、1)多的情況[73-77]。以四值為例(邏輯值為0, 1, 2, 3)，邏輯值的數(shù)量為傳統(tǒng)二值邏輯的兩倍，輸出端口邏輯狀態(tài)跳變(0→0, 0→1, 0→2, 0→3,1→0, 1→1, 1→2, 1→3, 2→0, 2→1, 2→2, 2→3,3→0, 3→1, 3→2, 3→3)數(shù)為傳統(tǒng)二值狀態(tài)跳變(0→0, 0→1, 1→0, 1→1)數(shù)的4倍。隨著基數(shù)的增加，狀態(tài)跳變的復(fù)雜性呈指數(shù)形式增長。將多值行為融合到防御DPA攻擊的VLSI設(shè)計中，利用多值行為狀態(tài)跳變的多樣性和復(fù)雜性，打破功耗與電路狀態(tài)跳變之間的對應(yīng)關(guān)系，達(dá)到提高電路安全性能的目的。同時，多值信號可以增加電路單線信息攜帶量，提高空間或時間的利用率，這將有利于提升密碼芯片的性能。

4.3 基于多核處理器的防御DPA攻擊技術(shù)

多核處理器的優(yōu)勢是每一個單核處理器都能以不同的時鐘頻率工作，結(jié)合時鐘擾亂技術(shù)防御DPA攻擊。另外，每個處理器的時鐘可調(diào)，可以使得它工作在最佳的狀態(tài)，任務(wù)多的時候就以接近滿負(fù)荷的高時鐘頻率工作，達(dá)到最高的性能[78,79]。Ambrose等人[80-82]提出多核處理器在防御DPA攻擊上的應(yīng)用?；舅枷胧窃谠絹碓蕉嗵幚砥飨到y(tǒng)中利用功耗平衡的方法來防御DPA攻擊，即每運(yùn)行一條加密指令，兩個結(jié)構(gòu)完全相同的處理器單核，同時執(zhí)行互補(bǔ)指令操作。當(dāng)一個處理器開始執(zhí)行加密算法時，自動啟動第 2個處理器的加密程序并執(zhí)行互補(bǔ)指令，如圖10所示。

圖10 多核處理器的結(jié)構(gòu)框圖

多核處理器防御 DPA攻擊還需要設(shè)計相應(yīng)的密碼算法。文獻(xiàn)[80]針對AES算法提出一種適用于多核處理器的功耗平衡算法。該設(shè)計具有兩個顯著的優(yōu)點(diǎn)，一方面僅當(dāng)AES算法執(zhí)行時兩個處理器才會進(jìn)行平衡數(shù)據(jù)位翻轉(zhuǎn)的操作，另一方面當(dāng)加密電路不執(zhí)行AES算法時，兩個結(jié)構(gòu)可分別執(zhí)行獨(dú)立的操作。MUTE-AES算法結(jié)構(gòu)如圖11所示，包括AES加密算法與互補(bǔ)AES加密算法。同時該設(shè)計思想也可應(yīng)用于數(shù)據(jù)加密標(biāo)準(zhǔn)算法(DES)，文獻(xiàn)[81]提出適用于多核處理器的 MUTE-DES算法，實(shí)現(xiàn)防御

DPA攻擊。

4.4 防御DPA攻擊技術(shù)研究熱點(diǎn)探討

4.4.1 高性能、低成本的防御技術(shù)研究目前，雖然已經(jīng)提出不少防御DPA攻擊技術(shù)，但是存在的主要問題是硬件成本太高，運(yùn)算速度偏低，因此如何在確保安全性的同時提高密碼芯片的性能，是未來防御DPA攻擊技術(shù)研究的熱點(diǎn)。半導(dǎo)體制造工藝的進(jìn)步和市場的客觀需求，也不斷推動高性能、低成本防御技術(shù)的發(fā)展。Guo等人[83]在權(quán)衡芯片面積、速度和安全性的前提下，提出一種通用橢圓曲線加密算法(ECC)協(xié)處理器架構(gòu)，達(dá)到防御旁道攻擊和故障攻擊的目的。Cevrero等人[48]提出通過MCML邏輯實(shí)現(xiàn)大大降低電路的功耗，達(dá)到低功耗防御功耗攻擊設(shè)計，并建立PG-MCML的標(biāo)準(zhǔn)單元庫，支持傳統(tǒng)的電子設(shè)計自動化(EDA)工具。

圖11 MUTE-AES加密算法

4.4.2防御復(fù)合型攻擊技術(shù)研究隨著DPA攻擊技術(shù)的研究使得密碼芯片開始時刻面臨復(fù)合型攻擊的威脅。復(fù)合型攻擊利用算法漏洞和旁道信息，綜合數(shù)學(xué)攻擊、功耗攻擊、電磁輻射攻擊、時間攻擊、錯誤攻擊和模板攻擊等等技術(shù)，只要任何一個環(huán)節(jié)存在問題，都有可能造成關(guān)鍵信息泄露。所以它的攻擊性更強(qiáng)，防御也更困難。Lejla等人[84]集合碰撞攻擊和DPA攻擊，提出DCA(Differential Cluster Analysis)攻擊方法；Benedikt等人[85]提出一種綜合旁道泄露信息的MIA(Mutual Information Analysis)攻擊方法，并且Nicolas等人[86]對MIA攻擊進(jìn)行理論深化與可行性分析。目前關(guān)于防御復(fù)合型攻擊的文獻(xiàn)較少，有待學(xué)者進(jìn)一步研究。

4.4.3 防御DPA攻擊的測試平臺防御DPA攻擊是一種實(shí)驗(yàn)性很強(qiáng)的技術(shù)手段，由于信息安全的特殊性，相關(guān)的測試技術(shù)和設(shè)備又受到國外限制，而目前國內(nèi)的測試條件和實(shí)驗(yàn)設(shè)備相當(dāng)有限，對大部分研究單位而言，防御DPA攻擊技術(shù)的評價標(biāo)準(zhǔn)和評估手段基本停留在理論分析和軟件仿真階段。因此，制定有效的防御DPA攻擊技術(shù)標(biāo)準(zhǔn)以及搭建防御DPA攻擊測試平臺，也是將來研究中必須解決的問題之一。

測試平臺主要包括DPA測試平臺的軟件、硬件設(shè)計。軟件方面需要包括集成各類數(shù)學(xué)模型的DPA數(shù)據(jù)分析軟件，實(shí)驗(yàn)平臺運(yùn)行控制軟件等；硬件方面需要包括集成加密芯片電路的硬件系統(tǒng)，功耗采集設(shè)備等。由 Tokyo Electron Device公司提供的SASEBO[87]是一款具有內(nèi)置密碼算法電路，專門為邊旁道攻擊設(shè)計的 FPGA開發(fā)板，其中型號SASEBO-GII還增加了擴(kuò)展外部實(shí)驗(yàn)設(shè)備的功能，如圖12所示。它既可以提供密碼算法的工作環(huán)境，又可以針對具體的密碼算法實(shí)現(xiàn)旁道攻擊，是一個小型測試平臺。SASEBO-GII配備最新的 Xilinx Virtex-5 LX30/LX50 FPGA芯片用作算法電路，相比其它型號增加約4～7倍的邏輯電路面積；此外，它還向用戶提供多種配置FPGA的途徑，測試和用戶界面大大簡化。

關(guān)于防御 DPA攻擊技術(shù)還有以下幾個方面值得關(guān)注：DPA攻擊及其防御技術(shù)理論有待進(jìn)一步完善；功耗攻擊技術(shù)與密碼學(xué)等理論內(nèi)在聯(lián)系的研究有待于進(jìn)一步深入；功耗安全策略等相關(guān)防御理論在密碼芯片設(shè)計中有待進(jìn)一步應(yīng)用；防御系統(tǒng)的功耗、延時、面積等方面開銷過大，電路結(jié)構(gòu)有待進(jìn)一步優(yōu)化；防御系統(tǒng)性能評價缺乏統(tǒng)一的標(biāo)準(zhǔn)，基于功耗分析的相關(guān)度、2維相關(guān)性等的安全性能評價體系有待充實(shí)完善。

圖12 SASEBO-GII開發(fā)板

5 結(jié)論

本文對防御DPA攻擊技術(shù)進(jìn)行了綜述，對主流防御DPA攻擊技術(shù)進(jìn)行概述與分析，并對前沿防御技術(shù)與研究熱點(diǎn)進(jìn)行探討。雖然對防御DPA攻擊技術(shù)的研究已經(jīng)取得一定的成果，但是存在的問題依然嚴(yán)峻，有待研究者進(jìn)一步探索。密碼芯片DPA防御技術(shù)研究是一個多學(xué)科交叉的工作，需要研究者具有現(xiàn)代密碼學(xué)、數(shù)理統(tǒng)計學(xué)、電路與系統(tǒng)、微電子學(xué)等多種學(xué)科的知識，從數(shù)學(xué)分析、軟件算法到電路結(jié)構(gòu)，直至芯片 VLSI實(shí)現(xiàn)都要有深入研究。并且此項(xiàng)研究還需要綜合考慮多種因素，其中包括技術(shù)的因素，也包含社會和經(jīng)濟(jì)的因素。開展密碼芯片的DPA防御技術(shù)研究，防止將來可能會出現(xiàn)的信息安全威脅，將對國民經(jīng)濟(jì)的健康發(fā)展和社會穩(wěn)定繁榮起到良好的促進(jìn)作用。

[1]Mangard S, Oswald E, and Popp T. Power Analysis Attacks:Revealing the Secrets of Smart Cards[M]. Graz University of Technology, Austria, Published by Springer, 2007: 1-306.

[2]Kocher P C. Timing attacks on implementations of Diffie-Hellman, RSA, DSS, and other systems[C]. Advances in Cryptology(CRYPTO’96), Berlin, Springer, 1996, LNCS 1109: 104-113.

[3]Kocher P C, Jaffe J, Jun B,et al.. Differential power analysis[C]. CRYPTO’99, Santa Barbara, CA, USA, Lecture Notes in Computer Science, Aug. 15-19, 1999: 388-397.

[4]Gandolfi K, Mourtel C, and Olivier F. Electromagnetic analysis: concrete results[C]. CHES 2001, 2001, LNCS 2162:251-261.

[5]韓軍. 信息安全芯片的防御攻擊技術(shù)研究[D]. [博士論文], 復(fù)旦大學(xué), 2006.

Han Jun. Research on attack countermeasures of security chip [D]. [Ph.D. dissertation], Fundan University, 2006.

[6]鄭新建, 張翌維, 沈緒榜. SPA和DPA攻擊與防御技術(shù)新進(jìn)展[J]. 小型微型計算機(jī)系統(tǒng), 2009, 30(4): 726-731.

Zheng Xin-jian, Zhang Yi-wei, and Shen Xu-bang. Advanced evolution of SPA and DPA attack and resistance techniques[J].Journal of Chinese Computer Systems, 2009, 30(4):726-731.

[7]Alioto M, Poli M, and Rocchi S. A general power model of differential power analysis attacks to static logic circuits [J].IEEE Transactions on Very Large Scale Integration(VLSI)Systems, 2010, 18(5): 711-724.

[8]Wang Peng-jun and Hao Li-peng. A novel differential fault analysis on AES-128[C]. 2011 IEEE 9th International Conference on ASIC(ASICON), Xiamen, China, Oct. 25-28,2011: 9-12.

[9]Lu Y, Boey K, Hodgers P,et al.. Lightweight DPA resistant solution on FPGA to counteract power models[C]. 2010 International Conference on Field-Programmable Technology(FPT), Beijing, China, Dec. 8-10, 2010: 178-183.

[10]Bodhisatwa M, Debdeep M, and Indranil S. Design for security of block cipher S-boxes to resist differential power attacks[C]. 2012 25th International Conference on VLSI Design(VLSID), Hyderabad, India, Jan. 7-11, 2012:113-118.

[11]Mangard G. Securing implementations of block ciphers against side channel attacks[D]. [Ph.D. dissertation], Austria,Graz University of Technology, 2004.

[12]Oswald E, Mangard S, Pramstaller N,et al.. A side-channel analysis resistant description of the AES S-box[C]. 12th International Workshop Fast Software Encryption, 2005,LNCS 3557: 413-423.

[13]Kocher P. Design and validation strategies for obtaining assurance in countermeasures to power analysis and related attacks[C]. NIST Physical Security Workshop, San Francisco,America, 2005: 26-29.

[14]汪鵬君, 郝李鵬, 張躍軍. 防御零值功耗攻擊的AES SubByte模塊設(shè)計及其 VLSI實(shí)現(xiàn)[J]. 電子學(xué)報, 2012, 40(11):2183-2187.

Wang Peng-jun, Hao Li-peng, and Zhang Yue-jun. Design of AES subbyte module of anti-zero value power attack and its VLSI implementation[J].Acta Electronica Sinica, 2012,40(11): 2183-2187.

[15]Moradi A, Mischke O, and Paar C. Practical evaluation of DPA countermeasures on reconfigurable hardware [C]. 2011 IEEE International Symposium on Hardware-Oriented Security and Trust(HOST), San Diego, California, USA,June 5-6, 2011: 154-160.

[16]Bai Xue-fei, Huang Lu, Wang Yi-fei,et al.. Evaluation of DPA attack resistance of transistor-based adiabatic logic styles[C]. 2010 2nd International Conference on e-Business and Information System Security(EBISS), Wuhan, China,May 1-3, 2010: 22-23.

[17]臧玉亮, 韓文報. 線性反饋移位寄存器的差分能量攻擊[J]. 電子與信息學(xué)報, 2009, 31(10): 2406-2410.

Zang Yu-liang and Han Wen-bao. Differential power attack on liner feedback shift register[J].Journal of Electronics&Information Technology, 2009, 31(10): 2406-2410.

[18]Michael Z, Michael K, Marc S,et al.. Side channel analysis of the SHA-3 finalists[C]. Design, Automation & Test in Europe Conference & Exhibition(DATE), Dresden, Germany,March 12-16, 2012: 1012-1017.

[19]Lin Lang and Burleson W. Analysis and mitigation of process variation impacts on power-attack tolerance[C]. 2009 47th ACM/EDAC/IEEE Design Automation Conference(DAC),San Francisco, California, USA, July 2009: 26-31.

[20]Yoshikawa M and Sugiyama M. Multi-rounds masking method against DPA attacks[C]. 2011 IEEE International Conference on Information Reuse and Integration(IRI), Las Vegas, USA, Aug. 3-5, 2011: 100-103.

[21]Yoshikawa M and Kojima Y. Efficient random number for the masking method against DPA attacks [C]. 2011 21st International Conference on Systems Engineering(ICSEng),Las Vegas, USA, Aug. 16-18, 2011: 321-324.

[22]Zhang Tao, Fan Ming-yu, and Zheng Xiao-yu. Secure and efficient elliptic curve cryptography resists side-channel attacks[J].Journal of Systems Engineering and Electronics,2009, 20(3): 660-665.

[23]Prouff E and McEvoy R. First-order side-channel attacks on the permutation tables Countermeasure[C]. CHES 2009, 2009,LNCS 5747: 81-96.

[24]趙佳, 曾曉洋, 韓軍, 等. 抗差分功耗分析攻擊的AES算法的VLSI實(shí)現(xiàn)[J]. 計算機(jī)研究與發(fā)展, 2007, 44(3): 378-383.

Zhao Jia, Zeng Xiao-yang, Han Jun,et al.. VLSI implementation of an AES algorithm resistant to differential power analysis attack[J].Journal of Computer Research and Development, 2007, 44(3): 378-383.

[25]鄭新建, 張翌維, 彭波, 等. 抗DPA攻擊的AES算法研究與實(shí)現(xiàn)[J]. 計算機(jī)科學(xué)與探索, 2009, 3(4): 405-412.

Zheng Xin-jian, Zhang Yi-wei, Peng Bo,et al.. Research and implementation of DPA resistant AES algorithm [J].Journal of Frontiers of Computer Science and Technology, 2009, 3(4):405-412.

[26]Gebotys C H. A table masking countermeasure for lowenergy secure embedded systems[J].IEEE Transactions on Very Large Scale Integration(VLSI)Systems, 2006, 14(7):740-753.

[27]Alam M, Ghosh S, Mohan M J,et al.. Effect of glitches against masked AES S-box implementation and countermeasure[J].IET Information Security, 2009, 3(1):34-44.

[28]Fischer W and Gammel B M. Masking at gate level in the presence of glitches[C]. CHES 2005, 2005, LNCS 3659:187-200.

[29]Popp T and Mangard S. Masked dual-rail pre-charge logic:DPA-resistance without routing constraints [C]. CHES 2005,2005, LNCS 3659: 172-186.

[30]Rivain M and Prouff E. Provably secure higher-order masking of AES[C]. CHES 2010, 2010, LNCS 6225: 413-427.

[31]Coron J S, Prouff E, and Rivain M. Side channel cryptanalysis of a higher order masking scheme[C]. CHES 2007, 2007, LNCS 4727: 28-44.

[32]Rivain M, Prouff E, and Doget J. Higher order masking and shuffling for software implementations of block ciphers[C].CHES 2009, 2009, LNCS 5747: 171-188.

[33]童元滿, 王志英, 戴葵, 等. 一種抗DPA及HO-DPA攻擊的AES算法實(shí)現(xiàn)技術(shù)[J]. 計算機(jī)研究與發(fā)展, 2009, 46(3):377-383.

Tong Yuan-man, Wang Zhi-ying, Dai Kui,et al.. A DPA and HO-DPA resistant implementation of AES[J].Journal of Computer Research and Development, 2009, 46(3): 377-383.

[34]Najeh K, Lilian B, and Adel G. A masked correlated power noise generator use as a second order DPA countermeasure to secure hardware AES cipher[C]. 2011 23rd International Conference on Microelectronics(ICM), Hammamet, Tunisia,Dec. 19-22, 2011: 1-5.

[35]Kim Hee-Seok, Hong Seo-khie, and Lim Jongin. A fast and provably secure higher-order masking of AES S-box [C].CHES 2011, 2011, LNCS 6917: 95-107.

[36]Fumaroli G, Martinelli A, Prouff E,et al.. Affine masking against higher-order side channel analysis[C]. CHES 2011,2011, LNCS 6917: 262-280.

[37]Yue Da-heng, Li Shao-qing, and Zhang Min-xuan. Static timing analysis in dual-rail precharge logic based DPA resistant circuit design[C]. 2010 International Conference on Electronics and Information Engineering(ICEIE), Sichuan,China, Aug. 1-3, 2010: V1-236-V1-240.

[38]Bucci M, Giancane L, Luzzi R,et al.. Delay-based dual-rail precharge logic[J].IEEE Transactions on Very Large Scale Integration(VLSI)Systems, 2011, 19(7): 1147-1153.

[39]Guilley S, Sauvage L, Flament F,et al.. Evaluation of power constant dual-rail logics countermeasures against DPA with design time security metrics[J].IEEE Transactions on Computers, 2010, 59(9): 1250-1263.

[40]Zhang Yue-jun, Wang Peng-jun, and Hao Li-peng. Design of resistant DPA three-valued counter based on SABL [C]. 2011 IEEE 9th International Conference on ASIC(ASICON),Xiamen, China, Oct. 25-28, 2011: 9-12.

[41]Hwang T D and Hodjat A. AES based cryptographic and biometric security coprocessor IC in 0.18 μm CMOS resistant to side-channel power analysis attacks [J].IEEE Transactions on Journal of Solid-State Circuits, 2006, 41(4): 781-792.

[42]Bucci M, Giancane L, Luzzi R,et al.. Three-phase dual-rail pre-charge logic[C]. CHES 2006, 2006, LNCS 4249: 232-241.

[43]Sokolov D, Murphy J, Bystrov A,et al.. Design and analysis of dual-rail circuits for security applications[J].IEEE Transactions on Computers, 2005, 54(4): 449-459.

[44]Suzuki D and Saeki M. Security evaluation of DPA countermeasures using dual-rail pre-charge logic style[C].CHES 2006, 2006, LNCS 4249: 255-269.

[45]Atani R E, Mirzakuchaki S, Atani S E,et al.. Design and simulation of a DPA resistive circuit for tritium stream cipher based on SABL Logic styles[C]. 15th International Conference on Mixed Design of Integrated Circuits and Systems(MIXDES 2008), Pozna, Poland, 2008: 19-21.

[46]Renauld M, Kamel D, Standaert F,et al.. Information theoretic and security analysis of a 65-nanometer DDSLL AES S-box [C]. CHES 2011, 2011, LNCS 6917: 223-239.

[47]Iwai K, Shiozaki M, Hoang A T,et al.. Implementation and verification of DPA-resistant cryptographic DES circuit using Domino-RSL[C]. 2011 IEEE International Symposium on Hardware-Oriented Security and Trust(HOST), San Diego, California, USA, June 5-6, 2011: 28-33.

[48]Cevrero A, Regazzoni F, Schwander M,et al.. Power-gated MOS current mode logic(PG-MCML): a power aware DPA-resistant standard cell library[C]. 2011 48th ACM/EDAC/IEEE Design Automation Conference(DAC),San Diego, California, USA, June 5-9, 2011: 1014-1019.

[49]Djukanovic M, Giancane L, Scotti G,et al.. Leakage power analysis attacks: effectiveness on DPA resistant logic styles under process variations[C]. 2011 IEEE International Symposium on Circuits and Systems(ISCAS), Rio de Janeiro,Brazil, May 15-18, 2011: 2043-2046.

[50]Mangard S, Oswald E, and Standaert F X. One for all-all for one: unifying standard differential power analysis attacks [J].IET Information Security, 2011, 5(2): 100-110.

[51]Burns F, Bystrov A, Koelmans A,et al.. Design and security evaluation of balanced 1-of-n circuits[J].IET Computers&Digital Techniques, 2012, 6(2): 125-135.

[52]Maxime N, Youssef S, Sylvain G,et al.. RSM: a small and fast countermeasure for AES, secure against 1st and 2nd-order zero-offset SCAs[C]. 2012 Design, Automation &Test in Europe Conference & Exhibition(DATE), Dresden,Germany, March 12-16, 2012: 1173-1178.

[53]Liu Po-chun, Hsiao Ju-hung, Chang Hsie-chia,et al.. A 2.97 Gb/s DPA-resistant AES engine with self-generated random sequence[C]. 2011 Proceedings of the ESSCIRC(ESSCIRC),Helsinki, Finland, Sept. 12-16, 2011: 71-74.

[54]Ratanpal G B, Williams R D, and Blalock T N. An on-chip signal suppression countermeasure to power analysis attacks[J].IEEE Transactions on Dependable and Secure Computing,2004, 1(3): 179-188.

[55]Rakers P, Connell L, Collins T,et al.. Secure contactless smartcard ASIC with DPA protection[J].IEEE Transactions on Journal of Solid-State Circuits, 2001, 36(3): 559-565.

[56]Liu Po-chun, Chang Hise-chia, and Lee Chen-yi. A low overhead DPA countermeasure circuit based on ring oscillators[J].IEEE Transactions on Circuits and Systems II:Express Briefs, 2010, 57(7): 546-550.

[57]Bucci M, Luzzi R, and Guglielmo M. A countermeasure against differential power analysis based on random delay insertion[C]. 2005 IEEE International Symposium on Circuits and Systems, Kobe, Japan, May 2005: 3547-3550.

[58]Regazzoni F, Cevrero A, and Standaert F X. A design flow and evaluation framework for DPA-resistant instruction set extensions[C]. CHES 2009, 2009, LNCS 5747: 205-219.

[59]Tillich S and Groch A J. Power analysis resistant AES implementation with instruction set extensions [C]. CHES 2007, 2007, LNCS 4727: 303-319.

[60]Liu Po-chun, Chang Hise-chia, and Lee Chen-yi. A true random-based differential power analysis countermeasure circuit for an AES engine[J].IEEE Transactions on Circuits and Systems II:Express Briefs, 2012, 59(2): 103-107.

[61]Gassend B, Clarke D, Marten V D,et al.. Silicon physical random functions[C]. Proceedings of the 9th ACM Conference on Computer and Communications Security,Washington, DC, USA, 2002: 148-160.

[62]Pappu R, Recht B, Taylor J,et al.. Physical one-way functions[J].Science, 2002, 297(5589): 2026-2030.

[63]Lim D and Lee J W. Extracting secret keys from integrated circuits[J].IEEE Transactions on VLSI Systems, 2005, 13(10):1200-1205.

[64]Zhang Yue-jun, Wang Peng-jun, Li Yi,et al.. Model and physical implementation of multi-port PUF in 65nm CMOS[J].International Journal of Electronics, 2012(online).

[65]Suh G E and Devadas D. Physical unclonable functions for device authentication and secret key generation[C]. Design Automation Conference, San Diego, California, USA, 2007:9-14.

[66]Edward G S and Devadas S. Physical unclonable functions for device authentication and secret key generation [C]. DAC 2007, San Diego, California, USA, 2007: 9-14.

[67]Holcomb D E, Burleson W P, and Fu K. Power-up SRAM state as an identifying fingerprint and source of true random numbers[J].IEEE Transactions on Computers, 2009, 58(9):1198-1210.

[68]Guajardo J, Kumar S S, Schrijen G J,et al.. FPGA intrinsic PUFs and their use for IP protection [C]. CHES 2007, 2007,LNCS 4727: 63-80.

[69]Kumar S and Guajardo J. The butterfly PUF protecting IP on every FPGA[C]. IEEE International Workshop on Host,Anaheim, CA, USA, 2008: 67-70.

[70]Lin L and Burleson W. Analysis and mitigation of process variation impacts on power-attack tolerance[C]. DAC 2009,San Francisco, California, USA, 2009: 26-31.

[71]Majzoobi M, Koushanfar F, and Potkonjak M. Techniques for design and implementation of secure reconfigurable PUFS [J].ACM Transactions on Reconfigurable Technology andSystems, 2009, 2(1): 1-33.

[72]Suzuki D and Shimizu K. The glitch PUF: a new delay-PUF architecture exploiting glitch shapes [C]. CHES 2010, 2010,LNCS 6225: 366-382.

[73]吳訓(xùn)威. 多值邏輯電路設(shè)計原理[M]. 杭州: 杭州大學(xué)出版社,1994: 18-55.

Wu Xun-wei. Design principles of multivalued logic circuits[M]. Hangzhou: Publishing of Hangzhou University Press,1994: 18-55.

[74]Wang Peng-jun and Zhang Yue-jun. Design of four-valued operation circuits of adder and subtraction based on neuron MOS transistor[C]. 2009 Asia-Pacific Conference Information Processing, Shenzhen, China, 2009: 382-385.

[75]Zhang Yue-jun and Wang Peng-jun. Design of multi-valued double-edge-triggered JK flip-flop based on neuron MOS transistor[C]. 2009 IEEE 8th International Conference on ASIC, Changsha, China, 2009: 58-61.

[76]Wang Peng-jun, Li Kun-peng, and Mei Feng-na. Design of a DTCTGAL circuit and its application[J].Journal of Semiconductors, 2009, 30(11): 115006-1-115006-6.

[77]Wang Peng-jun and Gao Hong. Design of novel QCTGAL circuit[C]. 2010 10th IEEE International Conference on Solid-State and Integrated Circuit Technology Proceedings,Shanghai, China, 2010: 680-683.

[78]Yu Z Y, Michael J M, Ryan W A,et al.. AsAP: an asynchronous array of simple processors [J].IEEE Transactions on Journal of Solid-State Circuits, 2006, 43(3):695-705.

[79]Yu Z Y, You K D, Xiao R J,et al.. An 800 MHz 320 mW 16-core processor with message-passing and shared-memory inter-core communication mechanisms[C]. 2012 IEEE International Solid-State Circuits Conference Digest of Technical Papers(ISSCC), San Francisco, CA, USA, Feb.19-23, 2012: 64-66.

[80]Ambrose J A, Parameswaran S, and Ignjatovic A. MUTEAES: a multiprocessor architecture to prevent power analysis based side channel attack of the AES algorithm [C]. 2008 IEEE/ACM International Conference on Computer-Aided Design, San Jose, CA, USA, Nov. 10-13, 2008: 678-684.

[81]Ambrose J A. Power analysis side channel attacks: the processor design-level context[D]. [Ph.D. dissertation],University of New South Wales, 2009.

[82]Ambrose J A, Ragel R G, Parameswaran S,et al..Multiprocessor information concealment architecture to prevent power analysis-based side channel attacks [J].IET Computers&Digital Techniques, 2011, 5(1): 1-15.

[83]Guo X, Fan J F, Schaumont P,et al.. Programmable and parallel ECC coprocessor architecture: tradeoffs between area,speed and security[C]. CHES 2009, 2009, LNCS 5747:289-303.

[84]Lejla B, Benedikt G, and Kerstin L R. Differential cluster analysis[C]. CHES 2009, 2009, LNCS 5747: 112-127.

[85]Benedikt G, Lejla B, Pim T,et al.. Mutual information analysis: a generic side-channel distinguisher[C]. CHES 2008,2008, LNCS 5154: 426-442.

[86]Nicolas V C and Standaert F X. Mutual information analysis:how, when and why?[C]. CHES 2009, 2009, LNCS 5747:429-443.

[87]Side-channel attack standard evaluation board [CL]. http://www.inrevium.jp/eng/sasebog2_user/, 2009.