摘要：研究表明很多密碼系統(tǒng)雖然通過了常規(guī)安全性能測試，但是被證明可通過側(cè)信道攻擊破解，從而破獲密碼系統(tǒng)的敏感信息.為了抵抗側(cè)信道攻擊，設(shè)計了一種基于混沌的密碼系統(tǒng).該密碼算法用兩個混沌映射分別生成輪密鑰和隨機序列數(shù)，中間數(shù)據(jù)由明文、輪密鑰和隨機序列數(shù)三者通過異或操作生成，從而達(dá)到擴大密鑰空間的目的.此外，隨機序列數(shù)還控制隨機化操作，通過隨機化操作，將中間數(shù)據(jù)與能量消耗的關(guān)系進(jìn)行隱藏，減少側(cè)信道信息的泄露，以此達(dá)到抵抗能量分析攻擊的目的.為了評估設(shè)計的密碼系統(tǒng)的安全性，首先對其進(jìn)行了常規(guī)測試，例如字符頻率測試、信息熵測試和依賴性測試等，實驗結(jié)果表明該系統(tǒng)具有良好的安全性能.其次，將該加密算法在Atmel XMEGA128芯片上實現(xiàn)，并對其進(jìn)行了相關(guān)能量分析，結(jié)果表明所提出的密碼系統(tǒng)可以防御相關(guān)能量分析攻擊.

關(guān)鍵詞：相關(guān)能量分析攻擊;側(cè)信道攻擊;操作隨機化;混沌系統(tǒng)

中圖分類號：TN918.1文獻(xiàn)標(biāo)志碼：A

A Chaotic Cryptographic System against Power Analysis Attack

LUO Yuling" LI Tianhao XIAO Dingwei QIU Senhui 3

（1. School of Electronic Engineering，Guangxi Normal University，Guilin 54100 China;

2. Guangxi Key Lab of Multi-source Information Mining amp; Security，Guilin 54100 China;

3. Guangxi Key Laboratory of Wireless Wideband Communication and Signal Processing，Guilin 54100 China）

Abstract：Existing research shows that although many cryptographic systems have passed the conventional security performance tests，they have been proved to be able to crack the sensitive information of the cryptographic system by side channel attacks. A chaotic cryptographic system is designed to resist side-channel attacks. Two chaotic maps are used to generate the round key and the random sequence number，respectively，and the intermediate data is generated by the plaintext，the round key，and the random sequence number through the XOR operation so as to enlarge the key space. In addition，the random sequence number also controls the randomization operation. The relationshipbetween intermediate data and power consumption is hidden via the randomization operation. In this way，the leakage of side channel information is reduced，thus to resist the power analysis attack. In order to evaluate the security of the designed cryptographic system，first of all，it is routinely tested through character frequency test，information entropy test and dependency test. The experimental results show that the system has good security performance. In addition，the encryption algorithm is implemented on the Atmel XMEGA128 chip. Experimental results show that the proposed cryptosystem can defend against correlation power analysis.

Key words：correlation power analysis attack;side channel attacks;randomization operations;chaotic systems

如今，信息傳輸環(huán)境變得更加嚴(yán)峻，信息安全變得尤為重要，越來越多的學(xué)者參與到了密碼學(xué)這一研究領(lǐng)域中.為了提高信息傳輸?shù)陌踩?，各種密碼算法被提出[1-4]，例如數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES），高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）.由于密碼學(xué)和混沌之間存在固有的關(guān)聯(lián)性（例如，對初始條件的敏感性，迭代結(jié)果的偽隨機性以及硬件實現(xiàn)的簡單[5-6]），使得混沌密碼系統(tǒng)成為一個可選方案.近年來，已經(jīng)提出了許多基于混沌的文本加密[7-9]和圖像加密方案[10-14]，它們的安全性大多都是從數(shù)學(xué)、統(tǒng)計學(xué)特性進(jìn)行分析的.然而從硬件角度來看，密碼系統(tǒng)在實際應(yīng)用時，會泄露能量或時間消耗、電磁輻射等側(cè)信道信息[15-16].側(cè)信道分析（Side Channel Analysis，SCA）就是分析這些側(cè)信道信息與數(shù)據(jù)或操作之間的相關(guān)性[17-18].有學(xué)者證明常規(guī)的混沌密碼系統(tǒng)在實際應(yīng)用中存在被破解的風(fēng)險[19]，其設(shè)計的混沌密碼系統(tǒng)雖通過了常規(guī)的安全性能測試，但是硬件密碼系統(tǒng)在運行的過程中，不可避免地會泄漏能量.這些能量與加密操作中的中間數(shù)據(jù)有關(guān)，攻擊者則可以通過收集能量并進(jìn)行分析攻擊從而得到敏感信息.

為了解決這類問題，本文提出了一種基于混沌的密碼系統(tǒng)，其在一個8位微控制器上實現(xiàn).在該系統(tǒng)中，由密鑰經(jīng)過混沌映射生成輪密鑰與隨機序列數(shù).隨后，將明文、輪密鑰與隨機序列數(shù)組合生成中間數(shù)據(jù)，使密鑰空間擴大了2¹²⁸倍.此外，在該密碼系統(tǒng)中設(shè)計了四種加密操作順序，通過由隨機序列數(shù)生成的操作數(shù)控制，使得操作隨機化，以達(dá)到隱藏側(cè)信道信息的目的.并且，對中間數(shù)據(jù)進(jìn)行了位級和字節(jié)級的擴散，提高了密文的擴散性能.最后，本文從常規(guī)安全測試和硬件安全兩個方面對其進(jìn)行了安全性能分析.常規(guī)安全測試主要從字符頻率、隨機性、依賴性等進(jìn)行測試，實驗結(jié)果證明，該密碼系統(tǒng)具有良好的安全性能.在硬件方面，利用相關(guān)能量分析（Correlation Power Analysis，CPA）攻擊方法驗證所提出的混沌密碼系統(tǒng)的安全性能.實驗結(jié)果證明，該密碼系統(tǒng)在完成加、解密的任務(wù)時，可以有效抵抗能量分析攻擊.

1基礎(chǔ)知識

1.1混沌映射

由于混沌系統(tǒng)具有良好的輸出遍歷性和對初始值的敏感性，所以目前經(jīng)常用于密碼系統(tǒng)生成加密或解密所需的隨機數(shù).基于眾所周知的陰影引理，許多人認(rèn)為，通過迭代混沌映射生成的任何偽隨機數(shù)序列在很大程度上保留了原始混沌映射的復(fù)雜動力學(xué).然而，研究者發(fā)現(xiàn)數(shù)字混沌映射的動力學(xué)肯定會退化到一定程度.了解數(shù)字計算機中混沌映射SMN的網(wǎng)絡(luò)結(jié)構(gòu)，有助于在有限精度領(lǐng)域避免混沌動力學(xué)的不良退化，也有助于對混沌映射迭代生成的偽隨機數(shù)序列進(jìn)行分類和改進(jìn)[20].

Logistic[21]和Tent[22]是非常經(jīng)典的兩種混沌映射，并且具有良好的混沌效果，能滿足本文加密算法的需求，所以本文選擇使用Logistic和Tent兩種混沌映射，分別用于生成加密所需的輪密鑰和隨機序列數(shù).本節(jié)將簡單介紹Logistic和Tent混沌映射的基本原理.

1.1.1Logistic映射

Logistic映射是一種應(yīng)用廣泛的一維離散混沌映射.它被證明有良好的混沌性能，并且可以通過將初始值在[0，1]范圍內(nèi)伸縮，從而生成[0，1]范圍內(nèi)的混沌序列.它在數(shù)學(xué)上的定義式為

x_n+1=ax_n（1-x_n）（1）

式中：a為控制參數(shù)，取值范圍為[0，4].

1.1.2 Tent 映射

Tent映射是另一種一維離散混沌映射.當(dāng)其輸入值小于0.5時，將輸出擴展到[0，1]范圍內(nèi).當(dāng)其輸出大于或等于0.5時，Tent映射會將其輸入值折疊到[0，0.5]的范圍內(nèi)，然后再生成[0，1]范圍內(nèi)的輸出.它在數(shù)學(xué)上的定義式為

式中：u為控制參數(shù)，取值范圍為[0，2].

1.2分岔圖

分岔圖是將混沌的輸出序列隨著其初始值的混沌參數(shù)變化而引起迭代過程中輸出的變化可視化.圖1給出了Logistic和Tent映射的分岔圖，可以看出，在整個參數(shù)范圍內(nèi)，都會產(chǎn)生混沌現(xiàn)象.

1.3CPA攻擊

在密碼設(shè)備加密過程中，會生成一些與密鑰相關(guān)的中間數(shù)據(jù).這些中間數(shù)據(jù)在處理時可能會通過能量、電磁等方式泄漏.CPA攻擊是能量分析攻擊中比較強大的一種攻擊方法，它是利用了功耗與所處理數(shù)據(jù)之間的相關(guān)性，從而破獲敏感信息.

2密碼系統(tǒng)

該密碼系統(tǒng)在完成加、解密的任務(wù)時，可以有效抵抗能量分析攻擊.該密碼系統(tǒng)中采用的所有操作都是可逆的，所以是可以解密的.本節(jié)將對該密碼系統(tǒng)的結(jié)構(gòu)和操作流程進(jìn)行介紹.

2.1操作流程

圖2為提出的密碼系統(tǒng)的整體框架圖.其中每組明文和密鑰長度為128位，并將128位的明文和密鑰分為16字節(jié).操作流程如下.

第一步：根據(jù)每個密鑰字節(jié)，分別用Logistic和Tent映射生成輪密鑰和隨機序列數(shù).

第二步：將輪密鑰、明文和隨機序列數(shù)通過異或操作生成中間數(shù)據(jù).其中隨機序列數(shù)也作為掩碼參與加密計算.

第三步：輪密鑰加操作.即每一輪新的中間數(shù)據(jù)與對應(yīng)的輪密鑰進(jìn)行異或操作.

第四步：隨機操作.對隨機序列數(shù)求均值得到操作數(shù)，通過依次對操作數(shù)從低二位到高二位進(jìn)行判斷，然后選擇對應(yīng)操作順序?qū)χ虚g數(shù)據(jù)進(jìn)行加密.

第五步：進(jìn)行擴散混淆操作.主要包括S盒替換、移位異或、P盒換位等.

第六步：加密M輪后，形成密文.其中M的取值應(yīng)該是合理的值，因為M太大的話，不僅會導(dǎo)致加密的時間過長，還會增加資源消耗成本，M太小的話，會導(dǎo)致密文的擴散和混淆性能不足.本文首先參考了以前研究者對加密輪數(shù)的取值19，23L此外，對于本文隨機操作中存在的四種情況，充分運用隨機序列數(shù)的每一位.基于此，本文將加密輪數(shù)M的值設(shè)為4.

2.2輪密鑰和隨機序列數(shù)生成

每組輪密鑰由初始密鑰通過Tent映射產(chǎn)生.首先將每組密鑰k_i的范圍限制到[0，1]，并將其作為Tent映射的初始值x_i，即x_i=k_i/255.

然后其初始值x_i進(jìn)行20次迭代，并將得到的浮點數(shù)映射到[0，255]之間的整數(shù)，設(shè)第m組輪密鑰的第i個字節(jié)為x_m，i，設(shè)輪密鑰為RK，則輪密鑰為

RK=floor（f²⁰（r，x_m，i）·255）（4）

隨機序列數(shù)的生成與輪密鑰的生成操作基本一致，唯一不同的就是將Tent映射改為Logistics映射，設(shè)隨機序列數(shù)為RS，則隨機序列數(shù)為

RS=floor（f²⁰（r，x_i）·255）（5）

Tent映射和Logistic映射參數(shù)的范圍分別為[0，2]和[0，4]，根據(jù)圖1的分岔圖可知，Tent映射的混沌參數(shù)r越接近2和Logistic映射越接近4時，其混沌效果更好.本系統(tǒng)將Tent映射的混沌參數(shù)r設(shè)1.999 887，Logistic映射的混沌參數(shù)r設(shè)為3.999 888.將兩個混沌參數(shù)都設(shè)置為只有密文接受者才能知道的秘密參數(shù).

相比于傳統(tǒng)的加密算法，攻擊者只需要猜測密鑰即可，本文由明文、輪密鑰和隨機序列數(shù)進(jìn)行異或操作得到中間數(shù)據(jù)，其中隨機序列數(shù)不僅控制隨機操作，還作為掩碼參與加密操作.當(dāng)攻擊者進(jìn)行攻擊時，則需額外將掩碼計算在內(nèi)，即擴大了密鑰空間.本文是對128位的文本進(jìn)行加密，掩碼也為128位，所以密鑰空間從2¹²⁸變?yōu)榱?¹²⁸×2¹²⁸，即相比原本的密鑰空間擴大了2¹²⁸倍.

2.3掩碼操作

掩碼是保護(hù)加密系統(tǒng)免受CPA攻擊的有效方法.它通過使用隨機生成的數(shù)字（掩碼）隱藏敏感數(shù)據(jù)，使功耗獨立于敏感數(shù)據(jù).因為操作是基于屏蔽數(shù)據(jù)執(zhí)行的，所以泄露的功耗與屏蔽數(shù)據(jù)相關(guān)，而不是與敏感數(shù)據(jù)相關(guān)，因此不可能利用功耗信息進(jìn)行攻擊.

本文采用加性掩碼.掩碼由混沌映射產(chǎn)生，將中間數(shù)據(jù)。和掩碼m異或在一起，生成掩碼中間數(shù)據(jù)a_m，即a_m=a⊕m.如果屏蔽數(shù)據(jù)a_m是線性運算T的輸入，則輸出結(jié)果為

T（a_m）=T（a⊕m）（6）

由于T（）是一個線性運算，式（6）可以寫成T（a_m）=T（a⊕m）=T（a）⊕T（m）.當(dāng)需要去除掩碼時，即可以計算T（a_m）和T（m）之間的異或結(jié)果，即T（a_m）⊕T（m）=[T（a）⊕T（m）]⊕T（m）=T（a）.

2.4隨機操作

當(dāng)執(zhí)行CPA時，首先需要對能量消耗數(shù)據(jù)進(jìn)行對齊，即執(zhí)行某一操作時產(chǎn)生的能量消耗可以定位到同一采樣點的每一條能量跡中.例如，在對密碼設(shè)備的一次能量消耗跟蹤中，第1;000個采樣點對應(yīng)移位操作，對于其他的能量跡中，此采樣點也應(yīng)對應(yīng)于同一操作的能量消耗.如果能量消耗數(shù)據(jù)未對齊，則需要更多的能量跡來攻擊密碼系統(tǒng)[25].其次，為了抵抗這種攻擊方式，可以通過將某一操作發(fā)生的時間隨機化這種方法來抵抗攻擊.例如，加密一個明文塊時，某個操作在第500個系統(tǒng)時鐘執(zhí)行，但是加密另一個明文塊時，該操作可能在第550個系統(tǒng)時鐘執(zhí)行.為了實現(xiàn)執(zhí)行時間隨機化，添加隨機延時和操作順序隨機化是兩種常用的方法.然而如果添加太多的延時，會降低密碼系統(tǒng)的性能，因此本文選用后者以增強混沌密碼系統(tǒng)的安全性.本文設(shè)置了四種加密順序，在每一輪加密時，系統(tǒng)都會根據(jù)操作數(shù)來選擇具體執(zhí)行哪一種加密順序.

首先對由初始密鑰經(jīng)過Logistic映射生成的隨機序列數(shù)求均值，得到一個操作數(shù)X，因為生成的隨機序列數(shù)每個值都在[0，255]，所以X的取值范圍也是[0，255 ]，然后將其轉(zhuǎn)化為一個八位的二進(jìn)制，記為X_b，隨機操作的判定流程如圖3所示.

每一輪加密對其中兩位進(jìn)行判定，從最低兩位開始，然后每一輪左移兩位.每次判定會有四種情況，即00，0 10，1 因此該密碼系統(tǒng)設(shè)計了四種加密操作順序，以此對應(yīng)于每種情況.例如，當(dāng)情況為00時，則執(zhí)行第一種加密操作順序，情況為01時，則執(zhí)行第二種操作順序.該系統(tǒng)一共設(shè)置了四輪加密，每一輪判定兩位，四輪加起來剛好等于8位，充分利用了X_b的每一位.

2.5混淆和擴散

在密碼學(xué)中，混淆就是改變原本數(shù)據(jù)的值，使明文與密鑰的關(guān)系復(fù)雜化.擴散就是通過改變原本數(shù)據(jù)的值來將明文或密鑰的影響擴散到整個密文中[26].它們分別通過置換和換位操作實現(xiàn).例如：S盒置換和P盒換位.本文使用S-P網(wǎng)絡(luò)結(jié)構(gòu)[27]，即交替使用置換和換位操作.在該密碼系統(tǒng)中，由于有四種操作順序，所以這里以00的情況舉例.

中間數(shù)據(jù)首先被S盒替換混淆，S盒是一個非線性替換表.本文采用的S盒為AES的S盒，輸入一個[0，255]的值，經(jīng)過S盒后替換成對應(yīng)的值.

d_o=Sbox（d_i）（7）

式中：d_i為S盒的輸出，d_o為經(jīng)過S盒的輸出.然后使用向左移位的異或操作（LSX），將中間數(shù)據(jù)中的每個字節(jié)與其后續(xù)字節(jié)相關(guān)聯(lián)，即中間數(shù)據(jù)從高字節(jié)計算到低字節(jié)，最后一個字節(jié)保持不變.向右移位的加法操作（RSA）則相反，將中間數(shù)據(jù)與其前一個字節(jié)相關(guān)聯(lián).即中間數(shù)據(jù)從低字節(jié)計算到高字節(jié)，第一個字節(jié)保持不變.中間數(shù)據(jù)的第i個字節(jié)用S_i表示，將x向左和向右循環(huán)移位y位分別用函數(shù)SL（x，y）和SR（x，y）表示.則LSX和RSA的表達(dá)式為

為了要將每個字節(jié)的值控制在[0，255]內(nèi)，所以在執(zhí)行向右移位加法操作時，需要對其結(jié)果模256.

組合模塊一共包括三個操作，即P盒換位、位序顛倒，以及位級移位.首先對得到的中間數(shù)據(jù)進(jìn)行P盒換位操作.P盒是通過隨機排列[0，127]的所有數(shù)字.在本文中，P盒定義如表1所示.即按照P盒對128位中間數(shù)據(jù)進(jìn)行重新排列.然后基于整個中間數(shù)據(jù)，即128位，進(jìn)行位序顛倒操作.位序顛倒操作為：將中間數(shù)據(jù)的第一位與最后一位的值互換，第二位與倒數(shù)第二位的值互換，以此類推.即

a_i=（a_127-i），i∈（0，127）（10）

最后將128位中間數(shù)據(jù)向左循環(huán)移動一位.即最后一位的值等于第一位的值，其他每一位的值等于后一位的值.得到一個新的中間數(shù)據(jù).即

3安全性能分析

本節(jié)選用廣泛使用的一些統(tǒng)計測試（包括字符頻率測試、信息熵測試、依賴性測試、SP 800-22測試）來評估該密碼系統(tǒng)的安全性能.

3.1字符頻率測試

在密碼學(xué)中，字符頻率是推測密鑰的重要途徑之一.一些替代密碼算法可以使用字符頻率來攻擊1281.因此，字符頻率測試可以用來評價密碼算法的安全性能.一個良好的密碼算法所得到的密文分布應(yīng)該是盡可能均勻的.本文將100 000套（1 600 000字節(jié)）隨機明文通過固定密鑰加密成密文，在加密過程中，明文和密文以ACSII碼的形式存儲.然后對其明文和密鑰進(jìn)行字符頻率計算.計算結(jié)果如圖4所示.由圖4可以看出，密文的ASCII值大約都在0.003 9左右，即1/256，分布十分均勻.因此，使用概率攻擊是很難破解該密碼系統(tǒng)的.

3.2信息熵測試

熵最初是表示分子狀態(tài)混亂程度的物理量.后來，在密碼學(xué)中引入了熵的概念，即信息熵.信息熵被定義為離散隨機事件的出現(xiàn)概率.用p（x_i）表示字節(jié)x_i的ASCII值在整個密文中出現(xiàn)的概率，則隨機變量X的信息熵H（X）為

在理想狀況下，加密算法得到的密文分布是絕對均勻的，即p（x_i）=1/256，i∈[0，255]，則等式可以轉(zhuǎn)換為

本文對不同字節(jié)數(shù)量的密文進(jìn)行了信息熵的計算，并與其他論文提出的密碼系統(tǒng)進(jìn)行了比較.如表2所示.

當(dāng)密文字節(jié)數(shù)為1 000 000時，本文提出的密碼系統(tǒng)的信息熵為7.999 8，非常接近8.此外，無論密文字節(jié)數(shù)量是5 000或者10 000時，其信息熵都大于其他兩種密碼系統(tǒng).這意味著該密碼系統(tǒng)具有良好的混淆性能.

3.3依賴性測試

依賴性測試用來檢測密碼系統(tǒng)的擴散性.依賴性測試包括完備度d_c、雪崩效應(yīng)d_a和嚴(yán)格雪崩準(zhǔn)則d_sa三項測試指標(biāo).完備度是指密碼系統(tǒng)的任何輸出位都與所有輸入位有關(guān).雪崩效應(yīng)是指明文或密鑰的少量變化會引起密文的巨大變化.嚴(yán)格雪崩準(zhǔn)則是指當(dāng)任何一個輸入位被反轉(zhuǎn)時，輸出中的每一位均有0.5的概率發(fā)生變化.計算這三個參數(shù)的方式如下.

具有n位輸入和m位輸出的函數(shù)表示為f：（GF（2））ⁿ→（GF（2））^m.向量x^（i）∈（GF（2））ⁿ表示通過對向量x=（x …，x_n）∈（GF（2））ⁿ第i^th位進(jìn)行補碼而獲得的.對第i位輸入位進(jìn)行補碼導(dǎo)致第j位輸出位發(fā)生變化的輸入數(shù)為依賴矩陣A中第（i，j）元素，用s^i，j表示，用函數(shù)#{}表示計算集合元素的數(shù)量，則a^i，j為

同樣，對第i位輸入位進(jìn)行補碼導(dǎo)致第j位輸出位發(fā)生變化的輸入數(shù)量為距離矩陣B中的第（i，j）個元素，用b^i，j表示，用Hw（x）表示x的漢明重量，則b^i，j為

通過上述的計算，完備度d_c則可表示為

雪崩效應(yīng)d_a為

嚴(yán)格雪崩準(zhǔn)則d_sa為

式中：S表示隨機選取的密文數(shù)量的集合.

根據(jù)加密輪數(shù)的增加的，對依賴性進(jìn)行了測試，結(jié)果如圖5所示.由圖5可以看出，當(dāng)在第四輪后，雪崩效應(yīng)和嚴(yán)格雪崩準(zhǔn)則值的變化趨于平穩(wěn)，故本文將加密輪數(shù)M設(shè)為4.

一個出色的加密算法，應(yīng)滿足d_c= d_a≈ 以及d_sa≈1.本文對所提出的密碼算法分析了10 000 000位隨機密文，通過上述公式計算得到測試結(jié)果分別為d_c= d_a=0.999 77，以及d_sa=0.997 478.并與其他論文提出的密碼系統(tǒng)進(jìn)行了比較，結(jié)果如表3所示.由表3可以看出，所提出的密碼系統(tǒng)，在d_a和d_sa上都優(yōu)于所對比的其他密碼系統(tǒng)，即證明了該密碼系統(tǒng)有良好的擴散性能.

3.4隨機性測試

在密碼分析領(lǐng)域，NIST頒布了一種用于統(tǒng)計隨機數(shù)和偽隨機數(shù)的測試標(biāo)準(zhǔn)800-22（SP 800-22），它包括15個測試項目.每個測試項目中，p值大于0.01 則表示密碼算法通過了此項測試.一個加密算法如果能通過此測試，則表明它可以抵抗統(tǒng)計分析攻擊.本文對由隨機明文生成的10 000 000位密文進(jìn)行了測試，測試結(jié)果如表4所示.由表4可以看出，所提出的密碼系統(tǒng)通過了全部的15個測試項目，證明了該密碼系統(tǒng)輸出序列的隨機性.

混沌系統(tǒng)的隨機性和遍歷性，可以有效避免弱密鑰的產(chǎn)生.傳統(tǒng)的一維混沌映射所迭代出來的序列可能是存在弱密鑰的，但是所提出的密碼系統(tǒng)并不是將經(jīng)過迭代后的序列作為密文，而是經(jīng)過了混淆和擴散操作后，生成密文.由字符頻率和隨機性等測試結(jié)果可知，所提出的密碼系統(tǒng)具有良好的隨機性能，即使輸入的隨機序列大多相同，生成的密文分布也是十分均勻的，即能夠有效避免弱密鑰的產(chǎn)生.

4資源消耗及攻擊結(jié)果分析

4.1資源消耗

本文設(shè)計的密碼系統(tǒng)通過Atmel XMEGA128- D4微控制器實現(xiàn)，該芯片是8/16位微控制器，時鐘頻率為7.37 MHz.然后與其他密碼系統(tǒng)進(jìn)行了資源消耗對比，包括AES、CWSN[8]、Protected CBC[9]、CBC[19]、Masked AES[31].本實驗通過數(shù)據(jù)內(nèi)存、程序內(nèi)存和時間消耗來衡量資源消耗.結(jié)果如表5所示.

由于本文提出的密碼系統(tǒng)是基于混沌映射的，需要多次迭代計算，此外還有掩蔽和隱藏操作的存在，所以導(dǎo)致所提出的加密算法相比AES、CBC、CWSN，需要消耗更多資源.但是其時間消耗是小于CWSN和Protected CBC的.其中CBC的混沌系統(tǒng)被證明不能抵抗能量分析攻擊與基于機器學(xué)習(xí)的能量分析攻擊[32-33]，Protected CBC的混沌系統(tǒng)采用了掩碼的技術(shù)，雖然能抵抗能量分析攻擊[9]，但是相比本文所提出的混沌密碼系統(tǒng)，在數(shù)據(jù)內(nèi)存、程序內(nèi)存和時間上的消耗更多.所以本文設(shè)計的密碼系統(tǒng)在資源消耗上具有一定優(yōu)勢.

4.2CPA攻擊結(jié)果分析

為了進(jìn)行CPA攻擊，將該加密算法在Atmel XMEGA128-D4微控制器實現(xiàn)，然后采集加密過程中的能量消耗.在這項工作中，采集了500條由隨機明文、固定密鑰生成的能量跡.圖6是能量跡中的一條.其中大概前1 700個采樣點處于隨機數(shù)生成階段，1 700到2 800個采樣點則處于加密階段.

首先采用一階CPA對不同數(shù)量的能量跡進(jìn)行攻擊，實驗結(jié)果如圖7所示.由圖7可以看出，即使隨著能量跡數(shù)量的增多，相比錯誤密鑰的相關(guān)系數(shù)，正確密鑰的相關(guān)系數(shù)隱藏在錯誤密鑰中，即無法通過CPA攻擊得出正確密鑰.

每個輪密鑰和一個操作數(shù)定義為一個假設(shè)組合，則中間數(shù)據(jù)的每個字節(jié)有216種假設(shè)組合.此外，由于該密碼系統(tǒng)設(shè)置了四種加密順序，所以攻擊者不能很好地確定攻擊點.假設(shè)每輪加密執(zhí)行的是一種加密順序，且S盒替換都是加密操作的第一步，則CPA的攻擊結(jié)果如圖8所示.

為了更直觀地了解攻擊結(jié)果，將相關(guān)系數(shù)排序，排序圖如圖9所示.相關(guān)系數(shù)有了一個驟變到接近0.6的過程，將該相關(guān)性的假設(shè)組合提取出來，發(fā)現(xiàn)一共有256種可能，這意味著無法從最大的相關(guān)系數(shù)推斷出正確密鑰的組合.

但是在實際攻擊中，幾乎不可能存在這種加密情況，所以，本文做出了另一種假設(shè)，攻擊者默認(rèn)第一輪加密都是執(zhí)行S盒替換，然后采用CPA攻擊，攻擊結(jié)果如圖10所示.

可以看出，皮爾森相關(guān)系數(shù)僅在0.1到0.25之間，再將相關(guān)系數(shù)排序得到圖11.由圖11（a）可以看出：相關(guān)系數(shù)呈反雙曲正切函數(shù)分布，并且最大與最小的相關(guān)系數(shù)差異很小.然后將相關(guān)系數(shù)大于0.20 的假設(shè)組合提取出來，如圖11（b）所示，可以看出最大概率與第二大概率相差不足0.0 且最大的皮爾森相關(guān)系數(shù)依然存在256種可能，仍然是不能推斷出正確密鑰的組合.

4.3基于機器學(xué)習(xí)的攻擊結(jié)果分析

為了進(jìn)一步驗證提出的混沌加密算法在抵抗能量分析攻擊中的效果，采用基于機器學(xué)習(xí)的攻擊方法[33]對該混沌加密算法進(jìn)行安全性能分析.攻擊結(jié)果如表6所示.

從表6可以看出，實際密鑰與攻擊所得的密鑰是不相同的.針對同一字節(jié)，攻擊所得密鑰與實際密鑰的相關(guān)性最小相差0.071 299，最大相差0.667 533.相差最小的情況下，實際密鑰在相關(guān)性中排名為17，所以無法得到實際密鑰.即該混沌密碼算法能夠很好地抵抗基于機器學(xué)習(xí)的能量分析攻擊.

5結(jié)論

為了抵抗能量分析攻擊，本文設(shè)計了一種基于混沌的密碼系統(tǒng).該系統(tǒng)利用兩個混沌映射Tent和Logistic分別生成輪密鑰和隨機序列數(shù).中間數(shù)據(jù)由明文、輪密鑰以及隨機序列數(shù)處理后組成，使密鑰空間擴大了2¹²⁸倍.同時由隨機序列數(shù)生成操作數(shù)，對執(zhí)行操作進(jìn)行隨機化處理，從而隱藏了側(cè)信道信息.此外，對于中間數(shù)據(jù)的處理基于位級和字節(jié)級擴散，這使得經(jīng)過四輪加密后的擴散性能良好.實驗結(jié)果表明，該密碼系統(tǒng)能夠通過常規(guī)安全測試且具有較好性能，并且能成功抵抗CPA攻擊.未來的工作是在提高密碼系統(tǒng)安全性能的同時，進(jìn)一步減少硬件資源消耗與提高密碼算法的隨機性.

參考文獻(xiàn)

[1]王永娟，王濤，袁慶軍，等.密碼算法旁路立方攻擊改進(jìn)與應(yīng)用[J].電子與信息學(xué)報，2020，42（5）：1087-1093.

WANG Y J，WANG T，YUAN Q J，et al. Side channel cube attack improvement and application to cryptographic algorithm [J].Journal of Electronics amp; Information Technology，2020，42（5）：1087-1093.（In Chinese）

[2]汪鵬君，張躍軍，張學(xué)龍.防御差分功耗分析攻擊技術(shù)研究[J].電子與信息學(xué)報，201 34（11）：2774-2784.

WANG P J，ZHANG Y J，ZHANG X L. Research of differential power analysis countermeasures [ J ]. Journal of Electronics amp; Information Technology，201 34（11）：2774-2784 .（In Chinese）

[3]張英杰，趙芳芳.混沌云克隆選擇算法及其應(yīng)用[J].湖南大學(xué)學(xué)報（自然科學(xué)版），201 41（3）：101-10。

ZHANG Y J，ZHAO F F. Chaos cloud clonal selection algorithm and its application[J]. Journal of Hunan University （Natural Sciences），201 41（3）：101-106.（In Chinese）

[4]袁小芳，劉晉偉，陳秋伊，等.并行混沌與和聲搜索的多目標(biāo)混合優(yōu)化算法J].湖南大學(xué)學(xué)報（自然科學(xué)版），2018，45（4）：96-103.

YUAN X F，LIU J W，CHEN Q Y，et al. A multi-objective hybrid optimization algorithm based on parallel chaos and harmony search [J].Journal of Hunan University（Natural Sciences），2018，45 （4）：96-103 .（In Chinese）

[5] HUA Z Y，ZHOU B H，ZHOU Y C. Sine chaotification model for enhancing chaos and its hardware implementation[J] . IEEE Transactions on Industrial Electronics，2019，66（2）：1273-1284.

[6]HUA Z Y，ZHOU B H，ZHOU Y C. Sine-transform-based chaotic system with FPGA implementation[J]. IEEE Transactions onIndustrial Electronics，2018，65（3）：2557-2566.

[7]MEENA S K，CHOUHAN N，VYAS D N，et al.A more secure chaotic cryptography approach using hyperchaotic logistics map [C]//2015 Fifth International Conference on Communication Systems and Network Technologies.Gwalior，India：IEEE，2015：618-623.

[8]TONG X J，WANG Z，LIU Y，et al. A novel compound chaotic block cipher for wireless sensor networks[J] . Communications in Nonlinear Science and Numerical Simulation，2015，22（1/3）：120-133.

[9]LUO Y L，ZHANG D Z，LIU J X. A chaotic block cryptographic system resistant to power analysis attack[J] . International Journal of Bifurcation and Chaos，2019，29（8）：1066-1069.

[10] LUO Y L，OUYANG X，LIU J X，et al. An image encryption method based on elliptic curve elgamal encryption and chaotic systems[J]. IEEE Access，2019，7：38507-38522.

[11] LUO Y L，ZHOU R L，LIU J X，et al. A parallel image encryption algorithm based on the piecewise linear chaotic map and hyper- chaotic map[J] . Nonlinear Dynamics，2018，93（3）：1165-1181.

[12] WU J H，LIAO X F，YANG B. Image encryption using 2D henonsine map and DNA approach [J]. Signal Processing，2018，153（1）：11-23.

[13] WANG X Y，F(xiàn)ENG L，ZHAO H Y. Fast image encryption algorithm based on parallel computing system[J]. Information Sciences，2019，486（1）：340-358.

[14] GAYATHRI J，SUBASHINI S. An efficient spatiotemporal chaoticimage cipher with an improved scrambling algorithm driven by dynamic diffusion phase[J]. Information Sciences，2019，489（1）：227-254.

[15] SCHNEIDER T，MORADI A. Leakage assessment methodology a clear roadmap for side-channel evaluations tobias [J]. Journal of Cryptographic Engineering，2015，6（2）：85-99.

[16] GANDOLFI K，MOURTEL C，OLIVIER F. Electromagnetic analysis：concrete results [J]. Cryptographic Hardware and Embedded Systems，200 2162（1）：251-261.

[17] KOCHER P，JAFFE J，JUN B. Differential power analysis [C]//Advances in Cryptology （CRYPTO）. Berlin：Springer，1999：388 -397.

[ 18] BRIER E，CLAVIER C，OLIVIER F. Correlation power analysis with a leakage model[ C]//Cryptographic Hardware and Embedded Systems. Berlin，Heidelberg：Springer，2004：16-29.

[19] LUO Y L，ZHANG D Z，LIU J X，et al .Cryptanalysis of chaosbased cryptosystem from the hardware perspective[J] . International Journal of Bifurcation and Chaos，2018，28（9）：1-14.

[20] LI C Q，F(xiàn)ENG B B，LI S J，et al. Dynamic analysis of digital chaotic maps via state-mapping Networks[J] . IEEE Transactions on Circuits and Systems I，2019，66（6）：2322-2335.

[21] FAN J L，ZHANG X F. Piecewise logistic chaotic map and its performance analysis[J] . Acta Electronica Sinica，2009，37（4）：720-725.

[22] WANG Y，WONG K W，LIAO XF，et al. A block cipher with dynamic S-Boxes based on tent map [J]. Communications in Nonlinear Science and Numerical Simulation，2009，14（7）：3089- 3099.

[23] LUO Y L，YAO L Y，LIU J X，et al. A Block cryptographic algorithm for wireless sensor networks based on hybrid chaotic map [ C]// IEEE International Conference on High Performance Computing and Communications. Zhangjiajie ：IEEE，2019：27902797.

[24] HERBST C，OSWALD E，MANGARD S. An AES smart cardimplementation resistant to power analysis Attacks[J] .Acns，2006，3989（1）：239-252.

[25]張曉宇，陳開顏，張陽，等.基于DTW算法的旁路功耗信號動態(tài)伸縮對齊[J].計算機應(yīng)用研究，2017，34（9）：2782-2785.

ZHANG X Y，CHEN K Y，ZHANG Y，et al. Flexible alignment of power consumption signals in side channel attacks based on dynamic time warping algorithm[J] . Application Research of Com- puters，2017，34（9）：2782-2785.（In Chinese）

[26] SHANNON C E. Communication theory of secrecy systems[J] . Bell System Technical Journal，1949，28（4）：656-715.

[27] ZHAO G，YAN H，LU F F. Research of changeable S-Box in block cryptosystem based on chaos[C]//International Conference on Communications，Circuits and Systems. Kokura：IEEE，2007：436-441.

[28] LIU Y B，TIAN S M，HU W P，et al. Design and Statistical Analysis of a new chaotic block cipher for wireless sensor networks[J] . Communications in Nonlinear Science and Numerical Simula- tion，201 17（8）：3267-3278.

[29] BOGDANOV A，KNUDSEN L R，LEANDER G，et al. PRESENT：An Ultra-Lightweight Block Cipher[ C]//Cryp- tographic Hardware and Embedded Systems. Vienna：Springer，2007：450-466.

[30] TONG X J，LIU X D，LIU J，et al. A novel lightweight block encryption algorithm based on combined chaotic s-box[J] . International Journal of Bifurcation and Chaos，202 31（10）：1-17.

[31] YAO Y，YANG M，PATRICK C，et al. Fault-assisted side- channel analysis of masked implementations[C]//IEEE International Symposium on Hardware Oriented Security and Trust （HOST）. Washington：IEEE，2018：57-64.

[32] LUO Y L，ZHANG S S，LIU J X，et al. Cryptanalysis of a chaotic block cryptographic system against template attacks[J] . International Journal of Bifurcation and Chaos，2020，30（15）：1-16.

[33] LIU J X，ZHANG S S，LUO Y L，et al. Machine learning-based similarity attacks for chaos-based cryptosystems[J]. IEEE Transactions on Emerging Topics in Computing，2020，1（1）：1-14.