（计算机科学与技术专业论文）基于fpga的旁路算法研究及其应用.pdf

si d e c h a n n e la n a l y s i sa n di m p l e m e n t a t i o no ff p g ab a s e d c r y p t o g r a p h i ca l g o r i t h m s b y l ij i n g b e ( h u n a nu n i v e r s i t y ) 2 0 0 9 at h e s i ss u b m i t t e di np a r t i a ls a t i s f a c t i o no ft h e r e q u i r e m e n t sf o rt h ed e g r e eo f m a s t e ro fe n g i n e e r i n g c o m p u t e rs c i e n c ea n dt e c h n o l o g y i n t h e g r a d u a t es c h o o l o f h u n a nu n i v e r s i t y s u p e r v i s o r p r o f e s s o rl ir e n f a m a y , 2 0 1 1 怖5m 2ml6 09ii叭ii眦y 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的 研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均 已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名：鸯静 日期：, 盈0 1 1 年万月弓夕日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密豳。 ( 请在以上相应方框内打“ ) 日期：z o j j 年万月弓口日 日期：劲年5 月扣日 基于f p g a 的旁路算法研究及其心用 摘要 在计算机和通信技术日益普及和发展的今天，随着电子邮件、电子自动转账支付 系统和零售业务网的建立与实现，用户存储的数据和传递的信息增多，信息的安全保 护已经不仅仅局限于政治、军事及外交，而是与我们的生活息息相关，并且越来越多 的受到人们的重视，加密是保证信息安全的一个行之有效的手段。但是，攻击者可以 利用硬件加密设备运行过程中产生的能量消耗、执行时间、电磁辐射等泄露信息获取 相应的安全信息。这种旁路攻击技术由于不需要破坏加密设备以及破解效率高等特 点，受到了国内外学者的高度重视。研究旁路攻击技术的工作，并提出有效的旁路攻 击防御措施是本文工作的重点。 本文首先针对现今流行的私钥密码算法a e s ( 高级数据加密标准) 和s m s 4 ( 我国无 线局域网产品使用的密码算法) 提出了一种高性能硬件实现方式，这种方法比一般的 基于软件平台的实现方法有加密速度快、易实现复杂功能和易于嵌入等优点。使用仿 真的方法对实现的a e s 加密算法进行差分功耗分析，成功分析出算法使用的加密密 钥，证明了无保护的加密算法不能抵抗差分功耗攻击。 之后，针对算术掩码方法不能同时抵抗差分功耗分析以及g l i t c h 攻击的弱点，提出 了一种改进的掩码保护算法。针对a e s 和s m s 4 算法中的关键非线性运算盒的保护 方案，给出了不同的实现方法，详细的介绍了不同方案的具体实现过程及各自的优缺 点。分别将其应用在a e s 和s m s 4 算法并将其实现在f p g a 平台上。通过与其他设计 者提出的方案性能进行评估和对比，在保证掩码保护方案的安全性的同时，实验结果 证明本文的实现具有较好的吞吐量面积比。 关键词：旁路攻击；a e s 算法：s m s 4 算法；f p g a ；掩码防御 h 、 硕十学位论文 a b s t r a c t n o w a d a y s ，w i t ht h ep o p u l a r i t ya n dd e v e l o p m e n to fc o m p u t e ra n dc o m m u n i c a t i o n t e c h n o l o g y , w i t ht h ec o n s t r u c t i o na n di m p l e m e n t a t i o no fe - m a i l ，e l e c t r o n i cs w i n gs e r v i c e s y s t e m sa n dr e t a i lb u s i n e s sn e t w o r k ，m o r ea n dm o r ei n f o r m a t i o ni ss t o r e da n dt r a n s f e r r e d t h e p r o t e c t i o no f s e c u r ei n f o r m a t i o ni sn o to n l yl i m i t e di np o l i t i c sm i l i t a r ya n d d i p l o m a c yb u ta l s o c l o s e l yi n t e r f e r e dw i t ho u rd a i l yl i v e s ，a n di ti sa r o u s e dm o r ea n dm o r ea t t e n t i o n e n c r y p t i o n i sa ne f f e c t i v es o l u t i o nt os e c u r es e n s i t i v ei n f o r m a t i o n h o w e v e r , a t t a c k e r sm a yu s et h es i d e i n f o r m a t i o na sp o w e rc o n s u m p t i o n s ，e x e c u t i o nt i m ea n de l e c t r o m a g n e t i cr a d i a t i o no ft h e e q u i p m e n ti nt h ep r o c e s so fe x e c u t i n gt h ec r y p t o g r a p h i ca l g o r i t h m st or e t r i e v et h es e c r e tk e y s t h e s en e wk i n d so fm e t h o d sa r ec a l l e ds i d ec h a n n e la t t a c k s s i d ec h a n n e la t t a c k sa r ee f f e c t i v e m e t h o d st ob r e a ku pt h ee n c r y p t i o nd e v i c e sw i t h o u tu s i n gt h e o r e t i c a lm e t h o d s ，t h e r e f o r e ， m o r ea n dm o r er e s e a r c h e r sp a ya t t e n t i o no ns i d ec h a n n e la t t a c k sa n dc o u n t e r m e a s u r e s t h e k e yp o i n to ft h i sp a p e ri st ol e a r nh o ws u c ha t t a c kw o r k sa n dp r o p o s ea i le f f e c t i v e c o u n t e r m e a s u r em e t h o dt of i g h ta g a i n s ti t i nt h i sp a p e r , t w o p o p u l a rp r i v a t ek e yc r y p t o g r a p h i ca l g o r i t h m s ：a e s ( a d v a n c e e n c r y p t i o ns t a n d a r d ) a n ds m s 4 ( c h i n e s en a t i o n a ls t a n d a r df o rw i r e l e s sl a nw a p i ) h a v e b e e ni m p l e m e n t e d t h ee x p e r i m e n t a lr e s u l t ss h o wt h a tt h ep r o p o s e da l g o r i t h m sa c h i v e db e t t e r p e r f o r m a n c ea n df a s t e rs p e e dw h e np o r t e dt of p g ap l a t f o r mc o m p a r e dw i t hs o f t w a r e s o l u t i o n s t h ev u l n e r a b i l i t yo ft h ei m p l e m e n t e da e s a l g o r i t h mh a sb e n ne v a l u a t e db yt h e i n d e p e n d e n t l yd e v e l o p e dp o w e ra n a l y s i ss i m u l a t i o nt 0 0 1 p a r to ft h ep r i v a t ek e yh a sb e e n a n a l y z e ds u c c e s s f u l l y , s ot h eu n p r e t e c t e de n c r y p t i o na l g o r i t h mc a n n o td e f e n da g a i n s t d i f f e r e n t i a lp o w e ra n a l y s i s l a t e r , a ni m p r o v e dm a s k i n gm e t h o dh a sb e e np r o p o s e do nt h ec o n d i t i o nt h a tm o s t a r i t h m e t i cm a s k i n gc a n n o td e f e n da g a i n s tb o t hd i f f e r e n t i a lp o w e r a n a l y s i sa n dg l i t c ha t t a c k s d i f f e r e n ta r c h i t e c t u r e so fm a s k e ds - b o xb a s e do nb o o l e a n m a s k i n gm e t h o d sh a v eb e e n p r o p o s e da n di m p l e m e n t e di nh a r d w a r ed e s c r i p t i o nl a n g u a g e ( h d l ) b a s e do nf p g a p l a t f o r m d i f f e r e n tm a s k e ds - b o xa r c h i t e c t u r e sa r ea p p l i e di na e sa n ds m s 4e n c r y p t i o n i i i 基于f p g a 的旁路算法研究及其应用 a l g o r i t h m sa n di m p l e m e n t e di nf p g ap l a t f o r m t h ec o m p a r i s o nh a sb e e ng i v e nt ot h e m a s k e da e s a l g o r i t h m sw i t ht h ee x i s t i n gi m p l e m e n t a t i o n s i ts h o w st h a tt h ep r o p o s e d i m p l e m e n t a t i o nl e v e l su pt h es e c u r i t ya n da c h i e v e sb e s tt h r o u g h p u t a r e aa m o n gt h ee x i s t i n g m e t h o d s k e y w o r d s ：p h y s i c a la t t a c k 7a e sa l g o r i t h m7s m s 4a l g o r i t h m ：f p g a tm a s k i n g i v 硕十学位论文 目录 学位论文原创性声明和学位论文版权使用授权书i 摘要i i a b s t r a c t i l l 插图索引v i i i 附表索引x 第l 章绪论。1 1 1 课题背景1 1 2 密码学简介1 1 3 功耗分析技术与相应的防御措施的研究现状3 1 4 课题研究意义。4 1 5 本文内容安排5 第2 章私钥加密算法概述。：6 2 1 对称密码算法的设计原则6 2 2 相关数学知识7 2 2 1 域的概念7 2 2 2 有限域及其构造8 2 2 3 域上的多项式运算9 2 3a e s r i j n d a e l 加密算法9 2 3 1 字节替换( s u b b y t e ) 11 2 3 2 行移位( s h i f l r o w s ) l l 2 3 3 列混合( m i x c o l u m n s ) 。1 2 2 3 4 加密钥变换( a d d r o u n d k e y ) 1 2 2 3 5 密钥扩展( k e y e x p a n s i o n ) 1 2 2 4s m s 4 加密算法15 2 4 1s m s 4 算法的轮函数1 5 2 4 2 合成置换15 2 4 3 密钥扩展17 2 5 本章小结l8 第3 章功耗攻击及其防御技术1 9 v 慕于f p g a 的旁路算法研究及其应用 3 1 旁路攻击技术1 9 3 1 1 时间攻击1 9 3 1 2 容错攻击2 0 3 1 3 电磁辐射攻击2 l 3 1 4 功耗攻击2 1 3 2 功耗攻击技术2 2 3 2 1 功耗攻击原理及建模2 2 3 2 2 简单能量分析技术( s p a ) 2 3 3 2 3 差分能量分析技术( d p a ) 2 4 3 2 4 高阶能量分析技术( h o d p a ) 2 6 3 2 5 脉冲攻击( g l i t c ha t t a c k s ) 2 7 3 3 功耗攻击防御技术2 8 3 3 1 掩码技术2 8 3 3 2 乱序技术3 2 3 3 3 复制3 3 3 3 4 更改算法能耗特征3 3 3 4 本章小结3 4 第4 章私钥加密算法硬件实现_ 3 5 4 1a e s 算法硬件实现和安全性分析3 5 4 1 1a e s 算法硬件实现3 5 4 1 2d p a 攻击a e s 加密算法3 8 4 2s m s 4 算法硬件设计与实现3 9 4 3 本章小结4 0 第5 章安全加密算法的实现及性能比较4 1 5 1 掩码保护s 盒加密算法的原理及实现4 l 5 1 1 查找表( l u t ) 结构4 2 5 1 2r a m 结构4 2 5 1 3 查找表和r a m 结合的方式4 4 5 1 4 固定值掩码4 5 5 1 5l u t 和r a m 分开的结构4 6 5 1 6 掩码保护s 盒实现性能评测4 6 5 2 掩码保护a e s 加密算法4 8 v i 硕i j 学位论文 5 2 1 掩码保护a e s 加密实现4 8 5 2 2 掩码a e s 算法实现性能5 0 5 3 掩码保护s m s 4 算法实现5 2 5 3 1 掩码保护s m s 4 加密实现5 2 5 3 2 掩码s m s 4 算法实现性能5 3 5 4 掩码保护算法的安全性5 4 5 5 本章小结5 4 总结与展望。5 6 参考文献。5 8 到c 谢。6 6 附录a 攻读学位期间所发表的学术论文和参加的项目6 7 v i i 基于f p g a 的旁路算法研究及其应用 插图索引 图1 1 序列密码的加密方式2 图1 2 分组密码的加解密方式2 图1 3 使用高级加密技术系统的典型架构【1 8 j 3 图2 1 检测函数f ) 是否满足严格雪崩准则7 图2 2a e s 算法加密流程1 0 图2 3a e s 算法s 盒代数计算过程1 l 图2 4 行移位变换1 1 图2 5 密钥产生1 4 图2 6 一轮s p n 结构1 4 图2 7s m s 4 算法加密流程1 6 图2 8s m s 4 算法轮函数非线性变换i 1 6 图2 9s m s 4 算法的密钥变换l7 图3 1 时间分析技术原理【删2 0 图3 2 对a e s 算法进行容错攻击【6 4 1 2 0 图3 3 逆变器中的晶体管上电压变换时的电流2 2 图3 4d p a 攻击平台2 4 图3 5 功率消耗轨迹流程图2 5 图3 6 二阶d p a 与w i n d o w i n g 结合攻击加密算法【7 8 】2 7 图3 7 掩码s 盒原理【3 1 1 2 9 图3 8 简化的乘法掩码s 盒原理【3 2 1 3 0 图3 9 安全s 盒结构9 4 1 3 0 图3 1 0 分离能量提供的加密设备示意图【2 8 1 3 4 图4 1 算法实现流程。3 5 图4 23 2 位a e s 算法数据通路3 7 图4 3d p a 攻击a e s 加密算法3 8 图4 4s m s 4 算法的模块调用关系3 9 图5 1 查找表( l u t ) 实现安全s 盒的结构4 3 图5 2s 盒的产生4 3 图5 3r a m 结构实现s 盒的状态机4 3 图5 4 存储器r a m 结构的读写操作4 4 v i i i 硕1 j 学位论文 图5 5l u t 与r a m 结合的结构l u t2 4 r a m 2 4 4 5 图5 6l u t 实现固定值掩码4 5 图5 7l u t 和r a m 分开的结构4 6 图5 8 本文不同结构掩码s 一盒占用面积及速度比较4 7 图5 9 掩码保护a e s 的加密过程5 0 图5 1 0 掩码s m s 4 算法的密钥变换和轮变换5 3 图5 1 ld p a 攻击掩码保护的a e s 加密算法5 4 i x 基于f p g a 的旁路算法研究及其应用 附表索引 表2 1a e s 算法轮数1 0 表3 1c o m s 电路输出转换对应的能量消耗2 3 表3 2 功耗分析技术对比2 8 表4 1a e s 加密算法实现性能比较3 8 表4 2 不同s m s 4 算法实现性能比较4 0 表5 1 本文不同结构掩码s 盒实现比较4 8 表5 2 各a e s 掩码s 盒实现比较4 8 表5 3 本文不同结构a e s 算法硬件实现性能比较：5 1 表5 4a e s 算法硬件实现性能比较5 1 表5 5 不同结构s m s 4 算法实现比较。5 3 x 硕i ：学位论文 1 1 课题背景 第1 章绪论 密码学是研究信息保密与复原保密信息并获取其真实内容的学科，包括密码编码 学( c r y p t o g r a p h y ) 和密码解码学( c r y p t a n a l y t i c s ) 。密码编码学以信息编码为手段，目 的是实现信息的隐蔽，是保证信息安全的根本。密码解码学研究的是保密信息的复原 或求解加密算法与密钥【1 1 。1 9 4 9 年，s h a n n o n 的“密码系统的通信理论” 2 1 的发表为 密码技术奠定了坚实的理论基础，标志着密码学发展成为一个专门的学科。1 9 7 6 年， d i m e 与h e l l m a n 共同提出了公钥密码体制思想，将密码学带入了新的发展时期：加密 密钥和解密密钥的分离解决了密钥管理困难的问题【3 】。1 9 7 7 年，数据加密标准d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 4 j 的公布使得密码应用进入商用领域。高级数据加密标准 a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) t 5 j 于2 0 0 0 年l0 月被美国标准技术研究所n i s t ( n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ) 选为新的数据加密标准来替代数据加密 标准，目前被广泛应用在数据保护领域。国内方面，s m s 4 加密算、法【6 】是我国第一个商 用安全加密算法，目的是保护无线局域网产品的安全。加密算法和安全芯片被广泛应 用在智能卡、自动交易机、电子邮件和无线局域网等领域，相关研究具有重大意义。 目前已有多种密码分析方法被证明能够在短时间内有效分析出加密算法的密钥， 其中，旁路攻击( s i d ec h a n n e l a t t a c k ，s c a ) 7 1 技术是一种简单有效的方法，它利用加 密设备在加密或解密运算过程中泄露的物理信息获取相关密钥信息。根据攻击者在分 析密码算法中使用的物理信息的不同，可以将旁路攻击划分为时间分析技术( t a ) 【8 】，电 磁辐射分析技术( e l e c t r o m a g n e t i ca n a l y s i s ，e m a ) 【9 】，故障分析技术( f a u l ta t t a c k ，f a ) 以及功耗分析技术( p o w e r a t t a c k s ，p a ) 1 1 1 等。与其它攻击方法相比，功耗攻击具 有易实现、设备要求低、密钥搜索空间小等优点，因此，功耗攻击以及相应的防御措 施受到了研究者的普遍关注。 1 2 密码学简介 通常将密码体制划分为对称密码体制( s y m m e t r i cc r y p t o s y s t e m ) 和非对称密码体制 基于f p g a 的旁路算法研究及其应用 ( a s y m m e t r i cc r y p t o s y s t e m ) 。 对称密码体制：对称密码的加密密钥和解密密钥相同，将加密算法看作二输入( 明 文和加密密钥) 一输出( 密文) 的数学函数，从输入映射到输出的过程称为加密，解密算 法是加密算法的逆运算。对称密码体制包括序列密码体制( s t r e a m s t a t ec i p h e r ) 和分组 密码体制( b l o c kc i p h e r ) 。 序列密码的状态更新可以基于之前的密文，也可以不依赖于明文或者密文状态， 通常应用在明文数量未知的硬件实现中，其安全性取决于密钥流的伪随机性。 明文 密钥 图1 1 序列密码的加密方式 密文 分组密码将明文划分成固定大小的字块并映射到相同长度的密文分组，这一过程 是在密钥的控制下完成的，解密时使用同一密钥对加密算法进行逆变换。分组密码具 有实现速度高，易标准化和实现简单等特点，其安全性取决于密钥的安全性。分组密 码的组长和密钥量应足够大，以防止穷举攻击。常用的分组密码如d e s i 4 1 、 a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) t 5 ，1 2 1 加密算法。 密钥螋k o , k l ，”，k 1 ) 密钥殴k o , k l ，k 1 ) 图1 2 分组密码的加解密方式 非对称密码体制，又称公钥体制( p u b l i c k e yc r y p t o g r a p h y ) ，为解决对称密码中密钥 管理困难和身份认证困难等问题，d i f f i e 和h e l l m a n 共同提出了密码共享的方案，并在 随后发表的“密码学新方向”一文中阐述了公钥密码体制的思想。1 9 7 8 年，r i v e s t 等 人公布了r s a ( r i v e s t s h a m i r - a d l e m a n ) 公钥算法【1 3 1 。如果一个密码系统的加密密钥与 其解密密钥不同，这种密码系统称为非对称密码体制。使用非对称密码的用户有一对 密钥：一个公钥( p u b l i ck e y ) 和一个私钥( p r i v a t ek e y ) 。非对称密码体制的安全性取决 于算法依赖的加密函数单向性：即计算加密函数是容易的，但对其求逆却是非常困难 的，该体制多应用于数字签名和公开信道密钥管理两大领域。 2 硕i j 学位论文 1 3 功耗分析技术与相应的防御措施的研究现状 1 9 9 9 年k o c h e r 利用智能卡应用过程中的功耗泄露破解了d e s 密钥【1 4 】，此后，研究 者提出了多种功耗分析方法，总结划分为三类：简单功耗分析技术( s i m p l ep o w e r a n a l y s i s ，s p a ) i f 4 1 ，差分能量分析技术( d i f f e m n t i a lp o w e r a n a l y s i s ，d p a ) 1 4 1 和高阶 能量分析技术( d i f f e r e n t i a lp o w e r a n a l y s i s ，h o d p a ) 1 5 】。目前，国际上多个研究小组 已经对各种能量分析特别是差分能量分析进行了深入而广泛的研究。 格拉茨工业大学的i a i k ( i n s t i t u t ef o ra p p l i e di n f o r m a t i o np r o c e s s i n ga n d c o m m u n i c a t i o n s ) t 1 6 1 研究所致力于信息安全及相关领域的研究，包括密码学算法硬件实 现及旁路攻击与防御。荷兰埃因霍温科技大学的密码研究组s e c ( e i n d h o v e ns e c u r i t y g r o u p ) 研发出功耗泄露攻击的仿真实验平台，能对多种密码算法进行功耗分析仿真和 攻击【17 1 。i m p a ( t h ei m p l e m e n t a t i o na t t a c k sl a b o r a t o r y ) 实验室的m a n g a r d 等人专注于 加密芯片和集成电路抗物理攻击的有效方法的研究，并撰写了第一本功耗攻击与防御 的图书【1 。c a c e ( c o m p u t e r a i d e dc r y p t o g r a p h ye n g i n e e r i n g ) 0 8 】是一个为期3 年的项 目，目的是开发一个支持高质量密码软件生产的工具箱，能自动检验出密码软件工程 的安全性( 图1 3 ) 。 图1 3 使用高级加密技术系统的典型架构【1 8 1 仿真的攻击方法实现简单，但却不能反映出芯片在实际应用中的功耗泄露及对其 进行的攻击问题。对芯片的实际功耗攻击方面，m a n g a r d 等人在8 0 5 1 微处理器上对 a e s 加密算法进行了功耗攻击，对第一轮加密算法的孓盒进行攻击并得到了正确的密 钥值【1 。s u n 等人使用x i l i n x 公司的v i r t e x i ip r o 目标板对d e s 加密芯片进行d p a 攻 3 基于f p g a 的旁路算法研究及其应用 击，但由于f p g a 板上退耦电容对信息进行了掩码，作者没能分析出正确的密钥值 2 2 2 3 】。目前比较流行的商用旁路攻击测试板是由日本a i s t 的信息安全研究中心与日本 东北大学( t o h o k uu n i v e r s i t y ) 合作开发的s a s e b o ( s i d e c h a n n e la t t a c ks t a n d a r d e v a l u a t i o nb o a r d ) 2 4 1 ， s a s e b o 由一块加密f p g a 和一块控制f p g a 组成。对加密设备 进行攻击时，主机通过r s 2 3 2 串口或u s b 接口来控制目标板并与之通信。f p g a 目标 板上没有安装退耦电容，因而能够更好的检测能量曲线。 功耗分析技术的防御目标是消除加密过程中产生的中间值和能量消耗的相关性。 主要有以下几种：一是在加密算法实现过程中打乱代码的执行顺序或者在代码中插入 无效操作【2 5 以7 】。二是更改算法的能耗特征，提高噪声或者降低信号都可以达到这个目 的 1 4 , 2 9 - - 3 0 。三是对算法运行过程产生的中间数据进行随机化处理，削弱密钥与能量消 耗的相关性【3 1 3 引。 近几年，国内对功耗分析攻击及其防御技术的研究也开始展开。王治等人设计了 一种软件仿真器，对实现的a e s 算法进行s p a 攻击和d p a 攻击【3 4 】。褚杰等人以 a t 8 9 c 5 2 为微控制器的单片机系统作为攻击对象，对d e s 加密算法进行了攻击。在成 功分析出4 8 位子密钥的基础上，作者认为只要继续利用穷举法即可得到整个密钥【3 5 1 。 陈开颜等人在此基础上研发出了d p a 仿真工具d p as h o w ，该工具可以完成对d e s 加 解密算法的仿真攻击及穷举搜索，当样本量足够大时，攻击的成功率基本达到 10 0 3 6 1 。秦晗选用单片机模拟智能卡的功能，并对其进行攻击【3 7 】。韩煜等人使用 s p a r t a ni if p g a 作为实现平台，构建了功耗分析平台，但是，作者在该平台上利用普 通的d p a 方法没能成功分析出a e s 电路的加密密钥【3 8 1 。加密算法的防御实现方面，秦 晗实现了组合逻辑设计的掩码a e s 加密算法【3 7 】。为了减少硬件存储空间，王治设计实 现了固定值掩码的加密方法，能够在一定程度上抵抗d p a 攻击【3 4 1 。赵佳等人使用模块 重用和优化计算顺序的方法，简化了文献【3 9 】的掩码a e s 保护方法，实现的算法能够 抵抗零值攻击【4 0 】。之后，韩军等人实现了掩码与奇偶校验结合的3 级流水线结构a e s 加密保护算法，能够抵抗差分功耗和差分故障攻击【4 1 1 。 1 4 课题研究意义 国际上，以k o c h e r 8 ，1 4 1 和o s w a l d 3 9 , 4 2 - - 4 5 1 为代表的研究小组，对多种旁路分析及防 御措施进行了长期的探索和研究。2 0 0 6 年3 月，美国联邦信息处理标准( f e d e r m 4 硕十学位论文 i n f o r m a t i o np r o c e s s i n gs t a n d a r d ) f i p s l 4 0 2 收录了能量分析攻击与防御的意见，2 0 0 9 年 1 1 月美国标准技术研究所公布的f i p s l 4 0 3 包含了新的软件安全部分，对简单功耗分析 技术和差分能量分析技术的防御安全提出了新的标准。由于旁路攻击的有效性，研究 相应的防御措施很有必要。国内的抗旁路攻击的a e s 算法多为固定值掩码方式，虽然 节省了一定的硬件资源，但是，由于选择的掩码值有限，并不能完全保证加密算法的 安全性。而查找表实现字节替代模块会大大增加硬件资源的占用，因此不适合于对面 积有严格限制的应用，如智能卡、嵌入式芯片等。s m s 4 加密算法方面，因为其尚未进 入广泛应用阶段，相应的防御技术研究较少。针对不同的硬件应用，本文提出了不同 的掩码技术孓盒实现方式，从实际应用角度出发，在f p g a 上实现了掩码防御的安全私 钥加密算法，分析了算法的安全性，并给出了不同实现的算法的性能参数。 1 5 本文内容安排 第一章，绪论，介绍了文章的课题背景，加密算法与旁路攻击及防御的研究现 状，指出了本文的研究内容及意义。 第二章，私钥加密算法概述。介绍了私钥加密算法的设计原则、相关数学知识， 。 以及a e s 加密算法和s m s 4 加密算法的原理。 第三章，旁路攻击及其防御技术研究。介绍了多种旁路攻击及防御技术的实现， 一 研究现状。 第四章，私钥加密算法实现以及对其进行的差分功耗攻击。 第五章，针对不同的嵌入式系统安全需求，提出了多种掩码保护的盒实现方 法，将其应用在安全加密算法的硬件实现。对实现的安全a e s 加密算法进行差分功耗 分析攻击，证明实现的掩码保护算法能够有效抵抗差分功耗分析攻击。 、 第六章，总结与展望，总结了论文的研究内容、成果及创新点，并对进一步研究 方向作出了展望。 5 基于f p g a 的旁路算法研究及其应用 第2 章私钥加密算法概述 本章首先介绍了对称密码算法的设计原则和相关的数学知识，之后重点介绍了高 级加密标准a e s 算法与我国无线局域网产品加密算法s m s 4 的原理。 2 1 对称密码算法的设计原则 安全性：抗所有已知的攻击。破译一个加密算法意味着攻击者在知道加密算法结 构的前提下仍不能破译该算法的加密密钥【4 6 】。如果在限定的时间内没有任何攻击能成 功破译一个加密算法，那么认为该算法是使用安全的。如果破译算法所需要的计算能 力是不存在的，该加密算法被认为是计算安全的。目前流行的加密算法多是计算安全 的。 混淆( c o i 血s i o n ) 和扩散, ( d i f f u s i o n ) 。混淆和扩散原则是由s h a n n o n 首次提出的对称 密码算法的两大设计原则2 1 。混淆的目的是使密文的统计特征与密钥的取值间关系尽可 能复杂化，使攻击者难从数学角度对其进行描述。扩散的原则是将明文的统计特性散 布到密文，使明文的每一位影响多位密文值，从而使明文与密文间的统计关系复杂 化，防止攻击者对密钥进行逐位破译。 抗差分分析攻击：f e i s t e l 和d a v i d a 分别于1 9 7 3 年和1 9 7 9 年提出了雪崩效应 ( a v a l a n c h ee f f e c t ) 和完整性设计原则( c o m p l e t e n e s s ) h 7 1 ，定义如下。 定义2 1 ：对于一个一一对应的映射，若对于每一个可能的变量f ， 1 ，拧) ，存在 两个刀比特的向量蜀，弼，这两个向量仅在第i 位有区别，而氕) 与氕噩) 至少在第位 是不同的，则称映射厂是完整的。 定义2 2 ：雪崩效应要求当输入的某一个比特改变时，平均一半的输出比特位会