[发明专利]一种混沌密码系统的硬件安全评估方法

摘要

本发明公开了一种混沌密码系统的硬件安全评估方法，包括如下步骤：1）对应用代替‑置换网络结构的混沌分组密码系统的结构进行分析，判断可能的旁路信息泄露；2）对SP结构中存在旁路信息泄露的环节进行对比，选取攻击点；3）对攻击点处产生的中间数据所对应的能耗信息进行建模：采用的能量消耗模型为汉明重量模型；4）根据能耗模型对SP结构的混沌密码算法进行相关性能量分析攻击；5）根据攻击结果，评估SP结构的混沌密码算法在硬件实现时的安全性。这种方法可以验证通过统计学测试的混沌密码系统的硬件安全性，验证密码系统是否存在被旁路攻击破解的可能，为密码系统的设计，分析与评测提供必要的方法和检测手段。

主权项

1.一种混沌密码系统的硬件安全评估方法，其特征是，包括如下步骤：1)对应用代替‑置换网络结构的混沌分组密码系统的结构进行分析，判断可能的旁路信息泄露：混沌分组密码算法中每组明文、密文和密钥均包含128比特，128比特的主密钥作为帐篷映射的参数，迭代帐篷映射多次并映射到整数域以生成轮密钥，在轮密钥相加运算之后，使用S‑box查找表执行替换操作，然后执行GF(2⁸)有限域加法、乘法和猫映射操作，其中GF(2⁸)表示2⁸阶的有限域，过程为：(1)生成轮密钥：假设混沌分组密码流程包含M轮迭代，对于每轮迭代，均使用16字节的轮密钥，轮密钥是基于帐篷映射生成的，帐篷映射可以表达为公式(1)：其中α_i是混沌系统的参数，并且由主密钥生成，主密钥中的每个字节都通过以下方法转换为相应的α_i如公式(2)所示：α_i＝0.51+K_i/1000，              (2)，其中主密钥的第i个字节记为K_i，i∈[1，16]，对于每个参数α_i，帐篷映射被迭代20次，对于第一个混沌系统参数α₁，迭代帐篷映射f(x，α₁)共20次以获得迭代结果x_para(1)，其中初始值x₀是0到1之间的十进制数，对于其余的每个参数α_i，使用α_i和前一个迭代结果x_para(i‑1)分别作为参数和初始值，并迭代f(x，α)20次，这个过程可以表示为如公式(3)所示：x_para(i)＝f²⁰(x_para(i‑1)，α_i).             (3)，最后，使用最终迭代结果x_para(16)和α₁₆分别作为初始值和参数，迭代帐篷映射100+16M次以生成介于0和1之间的十进制数字序列，其中每个元素表示为x_i，i∈[1，100+16M]，前100个元素被丢弃，之后x_i被量化以获得轮密钥的第i个字节k_i，即如公式(4)所示：k_i＝floor(x_i×255)，               (4)，其中floor(x)函数返回不大于x的最大的整数；(2)轮密钥同明文相加：在第一轮加密中，本步骤输出的第i个字节s_i可由第i个字节的明文c_i和对应的轮密钥k_i相异或得到如公式(5)所示：其中c_i是明文的i字节，在进行第2至M轮加密运算时，输出结果是相应的轮密钥与上一轮临时结果的异或值；(3)字节替换操作：字节替换操作是通过S‑box查找表进行数据替换来实现；(4)扩散操作：包括两个阶段的扩散操作，在第一阶段，扩散操作输入数据的第一个字节保持不变，随后的字节通过公式(6)得到：其中1≤i≤15，在第二阶段，由前一阶段产生的中间值的最后一个字节保持不变，之前的字节通过公式(7)得到：(5)二维猫映射：从扩散操作生成的中间数据存储在4×4矩阵中，然后应用二维猫映射，该混沌映射如公式(8)所示：其中N代表矩阵的大小，x_n代表矩阵的原始列索引，y_n代表原始行索引，在此操作之后，位于(x_n，y_n)的中间数据被转移到新位置(x_n+1，y_n+1)；(6)重复步骤(1)至步骤(5)共M次，完成密码算法的所有流程；2)对SP结构中存在旁路信息泄露的环节进行对比，选取攻击点：当加密系统运行时，将轮密钥同明文相加的结果记为e′_i，而字节替换操作的结果记为e_i，并且它们和明文与密钥相关，将这两个点分别选作攻击点，用不同的密钥计算得到的假设能耗同真实能耗之间进行相关性计算，分别得到他们作为攻击点时相关系数和密钥偏移量之间的关系图，由他们作为攻击点时相关系数和密钥偏移量之间的关系图发现：当使用e′_i作为攻击点时，存在大量的错误密钥也可以获得较大的相关系数，而选择e_i作为攻击点时，只有密钥为正确值，即偏移量为0时才会和实际能耗产生较大的相关系数，因此选择e_i作为攻击点会更加有效；3)对攻击点处产生的中间数据所对应的能耗信息进行建模：采用的能量消耗模型为汉明重量模型；4)根据能耗模型对SP结构的混沌密码算法进行相关性能量分析攻击：攻击的过程包括：(1)随机生成明文：随机生成D组，每组I个字节的明文，并存储在矩阵C中，矩阵C的大小是D×I，其中I是每组明文中的字节数，符号c_d，i表示第d组明文的第i个字节；(2)收集能耗数据：总共D组的明文被用作密码系统的输入，在加密过程中，总计D组每组共J个采样点的功耗信息被存储在矩阵T中，矩阵T的大小是D×J，其中J是每个能耗信息的采样点数，元素t_d，j表示第d条功耗信息中的第j个采样点；(3)计算假设能耗：将明文和密钥的所有可能值进行相加之后经过字节替换操作得到攻击点处的中间数据，根据汉明重量模型计算得到假设能耗，第d条明文的第i个字节记为c_d，i，密钥k_i的一个可能值记为s，密钥k_i的每个可能值均与c_d，i进行异或，然后对异或结果执行替换操作，计算其汉明重量可得假设能耗对剩余的部分重复类似的步骤以获得假设能耗矩阵Hⁱ，假设能耗矩阵中的任意元素可由公式(9)计算得到：其中矩阵Hⁱ的第(d，s)个元素表示对应于第d组明文和第i个字节密钥的可能值s得到的假设能耗；(4)计算实际能耗和假设能耗之间的相关性：相关矩阵Pⁱ是计算矩阵Hⁱ的每列与矩阵T的每列之间的相关系数得到的：假设功耗矩阵Hⁱ中的第s列和实际功耗矩阵T的第j列之间的皮尔逊相关系数是通过公式(10)计算得到的：其中列向量表示Hⁱ的第s列，列向量T_：，j表示T的第j列，表示列向量与列向量T_：，j之间的协方差，表示列向量的标准差，表示的平均值，表示由可能值s计算得到的假设功耗与实际功耗的第j个采样点之间的相关性，分别计算矩阵Hⁱ的第s列和矩阵T的每一列之间的相关系数，并将结果存入矩阵Pⁱ的第s行，通过重复类似的操作来获得完整的矩阵Pⁱ，矩阵Pⁱ中最大元素的行索引是k_i的最佳猜测值，重复这些操作以获得轮密钥的每个字节的最佳猜测，然后获得所有轮密钥；5)根据攻击结果，评估SP结构的混沌密码算法在硬件实现时的安全性。