夏璇 陈柏沩 钟卫东

武警工程大学 陕西 西安 710086

1 侧信道攻击分类

根据侧信道攻击的攻击侵入程度，可分为非侵入式攻击、半侵入式攻击、侵入式攻击等。侵入式攻击是指攻击者能够直接接触密码芯片的内部组件，通过破坏芯片的钝化层获得信息，将探针插入数据总线来获得传输的数据。当检测到入侵时可将全部内部数据清零来防御。半侵入式攻击是指攻击者不必破坏芯片钝化层，而采用激光、X光等对芯片进行照射攻击，导致设备产生故障间接获取秘密信息或者直接读取秘密信息。非侵入式攻击的开销最小、不留痕，是设备安全的最大风险隐患。非侵入式攻击常利用设备运行时的电磁场变化等信息，侧信道信息获取方便，是最广泛应用的攻击形式[1]。

2 侧信道攻击攻击方式分类

按攻击方式分类，侧信道攻击可划分为计时攻击、电磁攻击、故障攻击、缓存攻击等。

计时攻击利用加密算法所采用的各种运算执行时间上的差异来恢复密钥信息。密码算法在执行运行时间不固定的操作时，有限域乘法、幂指数运算等其具体的运行时间是由所涉及的操作数决定的。由于每步的操作数均依赖于所使用的主密钥，所以算法的运行时间在一定程度上是依赖于所使用的密钥的。据此，根据算法运行时间上的差异与所使用的主密钥间的关系，利用统计方法分析时间差异即可恢复部分或全部密钥信息。

电磁攻击利用电磁探针捕获密码设备运行时的电磁场变化，电磁的变化与密码设备运行的加密信息，秘钥等高度相关，可以通过对电磁场的变化数据进行分析，还原出秘钥或秘密信息。

故障攻击多通过改变外界物理环境影响设备正常运行或在设备内部产生时钟毛刺、电压突变等诱使密码设备产生故障，导致错误执行指令、跳过指令、数据误读等操作，并利用故障信息恢复密钥或秘密信息。

缓存攻击主要利用设备加密过程中的大量数据都存储在缓存中且缓存数据与正在执行的操作关联性强。攻击者可以利用设备运行缓存数据是否命中需要不同的运行时间来判断设备执行的操作恢复密钥，或者攻击者诱使缓存故障，收集故障信息来恢复密钥。

3 侧信道攻击数据分析方式分类

攻击者收集到数据之后，将对收集到的数据进行进一步分析，按照不同的分析方法可划分为简单侧信道攻击、差分侧信道攻击、相关功耗攻击、模板攻击等。

简单侧信道攻击数据源多为设备运行时产生的功耗信息。攻击者利用一条侧信道功耗曲线，即只利用加密设备执行的指令与侧信道输出之间的关系来恢复密钥。但由于在实际环境中信道输出时将有噪声干扰，所以简单侧信道攻击不易成功实现。

因此人们提出了使用统计手段的差分侧信道攻击。在差分侧信道攻击中，攻击者主要利用猜测密钥仿真功耗矩阵与实际功耗矩阵之间的统计关系，当猜测的密钥正确时，所对应的两组数据做差后就会产生明显的尖峰。攻击者一般同时利用多条侧信道输出轨迹，再利用统计方法分析这些输出与加密数据之间的关系来恢复密钥信息。

相关功耗攻击通过建立汉明距离模型来量化数据之间的变化，而设备运行的功耗信息与数据变化呈线性关系。在本质上差分功耗攻击和相关功耗攻击都是要发掘功耗与数据之间的相关性，主要的区别在于比较仿真能量消耗矩阵与实际功耗矩阵的方式不一样。差分功耗攻击使用对曲线进行分类后做差值，而相关功耗攻击对仿真能量与实际功耗曲线做相关性分析。实际功耗矩阵的每一列与仿真能量消耗矩阵的每一列进行相关系数计算，就可以得到一个相关系数矩阵。相关系数的值越大，则匹配程度越高。矩阵中最大的相关系数所在的行数就是正确的密钥猜测值。

模板攻击被认为是最强的侧信道攻击方法。模板攻击利用密钥和数据对来共同建立模板。此方法通过列举每一个可能的中间值和数据对并结合来进行模板库的构建。利用已经建立好的模板库对密钥未知的待攻击能量消耗曲线进行匹配攻击。匹配方法包括多元正态分布法，最小二乘法和相关系数法等。

4 侧信道攻击防御策略

面对侧信道攻击的防御策略主要分为隐藏和掩码两类。

隐藏的原理是阻断加密过程密码算法中间值与秘密信息的相关性。主要方法有：

（1）互补逻辑元件，通过平衡电路各个元件的功耗隐藏中间值与秘密信息的相关性。该方法成本较高，电路占用面积大，吞吐量低。

（2）插入随机时间片，在正常密码算法中加入空指令引起设备加密过程的延迟，不影响最终加密结果的正确性。此时采集的功耗曲线无法对齐，攻击者分析难度大大增加。

（3）乱序，分析密码算法中各操作顺序的影响，将可改变顺序的操作进行顺序调换。

掩码的原理是将加密过程密码算法中间值和秘密信息相关性随机化。主要方法有：

（1）一阶掩码，将密码算法中间值与布尔掩码或乘法掩码异或，隐藏密码算法中间值与密码信息的相关性。

（2）高阶掩码，通过门限方案将秘密信息进行分割，将敏感信息划分为多个部分的异或值，降低密码算法中间值与秘密信息的相关性。

5 发展趋势与展望

随着5G网络的不断架设，万物互联的物联网时代即将到来，侧信道攻击技术对物联网设备威胁不容忽视。为保护物联网信息安全，不仅保证密码算法的优良数学抗攻击性能，还要考虑其实际实现过程中各类侧信道信息泄露引起的安全威胁。要在物联网密码算法轻量化的基础上，提出能满足安全性需求的防御方案。这方面工作可以以轻量级密码算法的一阶、二阶实现为基础，不断优化算法占用的电路面积和消耗的时钟周期，在轻量化、安全性、吞吐量方面达到良好平衡。