2010年5月 May 2010

・博士论文・

文章编号: 1000-3428(2010)09-0020-03 文献标识码: A

中图分类号: TP303

# 抗差分功耗分析攻击的 AESS 盒电路设计

曾永红,叶旭鸣

(航天科工集团三院八三五七研究所, 天津 300141)

摘 要:提出一种抗差分功耗分析攻击的高级加密标准(AES)异步S盒电路。采用复合域算法实现精简的S盒结构,通过引入单轨异步流 水线降低整个S盒的功耗,在单轨电路中局部采用异步双轨电路,利用随机数控制下的数据扰乱机制,改善电路的抗差分功耗分析攻击性 能,建立S盒差分功耗分析攻击仿真平台,对设计的相关性能进行了仿真验证和测试。
关键词:差分功耗分析;高级加密标准;S盒;数据扰乱机制

# **Design of AES S-box Circuit with Anti-DPA Attack**

#### ZENG Yong-hong, YE Xu-ming

(Institute 8357, Third Academy of China Aerospace Science and Industry Corporation, Tianjin 300141)

**[Abstract]** This paper proposes an asynchronous Advanced Encryption Standard(AES) S-box circuit with the performance of anti-Differential Power Analysis(DPA) attacks. In this S-box, composite-field arithmetic is used to attain the compact S-box architecture, the single-rail asynchronous pipelines are inserted in the data-path circuits to reduce the S-box circuit's power, its property of anti-DPA attack is improved by introducing the locally inserting asynchronous dual-rail circuits and the disordered-data mechanism. Simulating validation and test are done by the presented simulating DPA attack platforms for the S-box.

[Key words] Differential Power Analysis(DPA); Advanced Encryption Standard(AES); S-box; disordered-data mechanism

# 1 概述

2001 年,高级加密标准(Advanced Encryption Standard, AES)正式发布并投入使用,但随着技术的进步,多种攻击方 法对 AES 的密钥安全造成了越来越大的压力。文献[1]提出一 种差分功耗分析(Differential Power Analysis, DPA)攻击方法, 对 AES 构成了巨大的威胁,实践证明没有采取任何保护措施 的 AES 电路是可被 DPA 攻击成功的。S 盒是 AES 电路中唯 一的非线性转换结构,S 盒的数量和实现方式决定了 AES 协 处理器诸如尺寸、速度和功耗方面的性能,S 盒常会成为攻 击者对 AES 电路实施 DPA 攻击的重点部位,提高 S 盒的抗 DPA 能力对 AES 的安全性具有重要意义<sup>[2]</sup>。如何提高电路的 抗 DPA 攻击性能是一项需要反复权衡的工作,伴随系统的抗 DPA 攻击性能的提高,电路会在速度、功耗或面积等指标性 能上有所降低。如何减少这些负面影响,在防范措施设计过 程中是不能忽略的。本文设计了一种以合理功耗和面积为代 价的抗 DPA 攻击的 AES S 盒电路实现方案。

### 2 S盒的基本实现架构

本文讨论针对面积和功耗都有要求的嵌入式系统使用的 精简 S 盒结构,原理上采用的是基于  $GF(2^8)$ 复合域求逆运算 的加密和解密操作共用部分 S 盒电路的方案<sup>[3]</sup>。在该算法实 现中将有限域  $GF(2^8)$ 求逆运算,转换成  $GF((2^n)^m)$ 下的求逆; 这里  $n \times m = 8$ ,  $GF((2^n)^m)$ 与  $GF(2^8)$ 是同构的。而在众多的复合 域 S 盒实现架构中,笔者基本遵循文献[4]提出的基于  $GF(((2^2)^2)^2)$ 的 S 盒架构(简称 Satoh S 盒),在文献[5]中给出  $GF(((2^2)^2)^2)$ 的 S 盒电路详细的数学推导和电路实现。同时, 为实现 S 盒的低功耗,在 Satoh S 盒的基础上,通过在 S 盒 中加入异步流水线实现一个单轨异步 S 盒,该电路大体上可 以分为数据通道和握手通道 2 个部分。数据通道的电路结构



在完成数据通道的模块划分后,在各个模块之间插入电 平锁存器组构成异步流水线的数据处理模块,其各锁存器组 由异步握手通道产生的使能信号来控制;异步S盒各个模块 的详细设计实现参考文献[3]。

#### 3 S盒的抗DPA攻击策略

整个异步 S 盒电路的功耗大体由握手电路功耗、组合逻 辑电路功耗、锁存电路功耗和噪声功耗组成。其中,为常量 的握手电路功耗和随机变化的噪声功耗与数据无关,而另外 2 种功耗则与数据相关,能够被攻击者利用来实施对 S 盒的 DPA 攻击。本文的 S 盒抗 DPA 攻击优化设计主要基于 2 点 策略: (1)通过减小上述电路泄漏的功耗信息,以使其信噪比

**基金项目:** 航天支撑技术基金资助项目(61801040702) 作者简介: 曾永红(1974-), 男, 博士, 主研方向: 片上系统, 可编 程片上系统; 叶旭鸣, 高级工程师 收稿日期: 2009-10-10 **E-mail:** zyher1974@163.com 降低到无法满足 DPA 观测的要求;(2)采用已被证明对 DPA 攻击具有十分强的鲁棒性的随机数控制的逻辑电路<sup>[6]</sup>。

对于双轨异步电路任何有效的正/负逻辑,在电路实现上 都是由正相和互补逻辑实现电路构成,且其操作机制也决定 了任何数据处理过程的电流消耗是平衡的,因此,它具有很 好的抗 DPA 攻击性能<sup>[7]</sup>。通过在单轨异步 S 盒中部分引入双 轨逻辑,使数据包异步电路泄漏的与数据有关的功耗信息减 小到无法被 DPA 攻击的程度,同时考虑到采用双轨逻辑的模 块功耗其实已经远高于 S 盒中采用单轨编码的模块。这时 S 盒所泄漏的被 DPA 攻击利用的信息其实已被降低到十分可 观的程度。另外,由于双轨电路是一种完全的数据流驱动的 电路,与同步电路相比,攻击者很难确定异步电路的时钟周 期,进而难以确定攻击用相关曲线的起始点,在一定程度上 提高了 S 盒的抗 DPA 攻击性能。其次,考虑到双轨逻辑电路 由正相和互补逻辑电路构成。在保证电路的逻辑功能正确下, 采用随机数选择,使电路在正向逻辑和反向逻辑间进行随机 切换。鉴于正相和互补逻辑电路的功耗与数据的相关性是不 一致的,进而会影响最终电路实现的输入数据与功耗之间的 相关性。

# 4 电路实现

局部采用双轨逻辑异步 S 盒的数据通道结构框图如图 2 所示。 相后,通过相同的随机数输入 R 控制下的位数互换电路 2 得 到正确的求逆运算数据输出 {a'<sub>h</sub>, a'<sub>l</sub>}。由于数据 R 是随机的, 加之双轨乘法器中的正相和反相逻辑乘法器的功耗存在差 异。因此,对于同样的数据输入 {a<sub>h</sub>, a<sub>l</sub>}→ {a'<sub>h</sub>, a'<sub>l</sub>}的求逆运 算,其功耗频谱是不一样的,这样就达到扰乱数据输入与泄 漏功耗信息间的相关性目的。



# 5 仿真验证

为了验证 S 盒的抗 DPA 攻击性能,按图 4 所示的流程 建立仿真平台。用 5 000 个随机数序列 R(i)和测试密钥先做异 或操作得到随机数序列 D(i),组成输入数据序列 I(i)={D<sub>0</sub>,0, D<sub>1</sub>,0,…,0,D<sub>4 998</sub>,0,D<sub>4 999</sub>},以每 100 ns 一个数据的频率激活 S 盒;以 10 ps 的采样频率记录下 S 盒输出的瞬态功耗值。这



样,与 5 000 个随机数 对应的有效工作时间 内(10 ns)就会得到 1 000 个瞬态功耗值  $p_i(t)$ ,即第 i 个随机数 在时间采样点 t 的瞬 态功耗值  $p_o$ 于是得到 与采样时间点 t 对应 的 5 000 个随机数的 瞬态功耗值构成的集 合为  $P(t)=\{p_i(t)| \forall i=1, 2, \dots, 5 000\}$ ,其中,t=0,

在求逆运算和数据相乘模块中引入双轨逻辑。双轨逻辑 在完成有效数据运算操作后,正相逻辑和反相逻辑电路的输 出值是互补的;而在双轨逻辑处于"空闲"状态时,它们的 输出都为 0。结合 S 盒的结构特点,在数据相乘模块中只采 用一个双轨乘法器。另外,为保证双轨反相逻辑电路的有效 数据输出的正确性,要将反相逻辑电路的 4 位输出反相:  $m_1 \rightarrow -m_1$ 。此外,数据通道中还要增加单轨转双轨电路、双轨 锁存器组和完成信号检测电路。

另外,数据通道利用2个随机位数互换电路扰乱S盒电路数据与泄漏的功耗信息之间的相关性,称为"数据扰乱" 机制。数据扰乱下的求逆运算过程如图3所示。

主要利用随机选择信号 *R* 来控制输入信号 *In*<sub>0</sub> 和 *In*<sub>1</sub> 互 换,当 *R*=0 时, *In*<sub>0</sub>→*Out*<sub>0</sub>, *In*<sub>1</sub>→*Out*<sub>1</sub>;当 *R*=1 时,输入通道 互换(*In*<sub>0</sub>→*Out*<sub>1</sub>, *In*<sub>1</sub>→*Out*<sub>0</sub>)。由于从数据{*a<sub>h</sub>*, *a<sub>l</sub>*}到{(*x*<sup>-1</sup>.*t*, *x*<sup>-1</sup>.*f*)} 的过程和数据扰乱机制无关,在图 3 中被省略(用虚线代替)。 数据扰乱的关键是 2 个由同一随机数 *R* 控制的位数转换电 路。结合图 2 所示的 S 盒结构,数据扰乱机制下的求逆流程 如下:当 *R*=1 时,位数互换电路 1 使 *y<sub>h</sub>*=*a<sub>h</sub>*;经过数据 相乘模块后求得的高 4 位 *m<sub>h</sub>*(或低 4 位 *m<sub>l</sub>*),数据其实是正常 状态下的低 4 位 *a*'<sub>1</sub>(或互补的高 4 位 *a*'<sub>*h*</sub>)数据。将数据 *m<sub>l</sub>*反 1,…, 999。与密钥相关的输入序列汉明差的求取过程如下: 将 5 000 个随机数 *R*(*i*),分别与 256 个假设密钥 *Kx*=0, 1,…, 255 做异或操作,得到 256 组随机数的集合,利用 VC 程序 计算出每个随机数与数据 "0"的汉明距离差。这样就获得与 256 个假设密钥对应且包含 5 000 个汉明差集合: *H*(*k*)={*h<sub>i</sub>*(*t*)] ∀*i*=1, 2,…, 5 000}, 其中, *k*=0,1,…, 255。



#### 图 4 S 盒的 DPA 仿真攻击流程

利用 Matlab 编写相关脚本实现泊尔松相关系数公式,得

到每个时间采样点 t 在不同假设密钥 k 下,瞬态功耗输出 P(t) 与数据输入汉明差 H(k)的相关系数。利用 Matlab 中的画图功 能,得到 256 条与假设密钥相对应的时间对相关系数的曲线 图。根据曲线图确定 256 000 个相关系数中的最大值所在的 曲线后,该曲线所对应的密钥就是 S 盒加密操作用密钥。

笔者在 1<sup>st</sup> Silicon 的 0.25 μm TNTP CMOS 工艺下,设计 得到局部插入双轨逻辑的全定制 AES S 盒的晶体管级电路。 利用 Synopsys VCS/Nanosim 工具,在 2.5 V 和 25℃条件下进 行 HSPICE 功耗仿真测试。利用上述 S 盒的 DPA 仿真攻击平 台,对局部双轨 S 盒所做的 DPA 攻击测试结果如图 5 所示。 可见,真实密钥(*K*=183)对应的相关系数曲线的最高值被完全 掩埋,密钥没有被破解。



图 5 局部双轨 S 盒的抗 DPA 攻击测试结果

# 6 结束语

本文从异步电路设计方法学角度对抗 DPA 攻击方法进 行研究,证明在单轨电路中局部采用异步双轨电路和随机数 控制下的数据扰乱机制对改善电路的抗差分功耗分析攻击性

(上接第19页)



图 9 并行标记性能测试结果

### 6 结束语

本文提出一种新的基于游程的顺序扫描式区域标记算 法,同时适用于串行标记和并行标记。通过实验分别对算法 的串行标记性能以及并行标记性能进行了测试。另外,本文 的间接关联构架思想不止适用于游程这种图像表达方式,其 他的图像表达方式也可借鉴该思想从而形成相应的顺序式扫 描标记算法。

# 参考文献

 Shima Y. A High Speed Algorithm for Propagation-type Labeling Based on Block Sorting of Runs in Binary Images[C]//Proc. of the 能是有利的,但是在具体设计中,如何权衡诸如面积、性能、 攻耗等方面的影响,找到最优的实现方案,及如何对整个设 计效果进行量化,还有待深入研究。

#### 参考文献

- 谢满德,沈海斌,竺红卫.对智能卡进行微分功耗分析攻击的方法研究[J].微电子学,2004,34(6):609-613.
- [2] Schramm K, Paar C. IT Security Project: Implementation of the Advanced Encryption Standard(AES) on a Smart Card[C]//Proc. of ITCC'04. Piscataway, NJ, USA: [s. n.], 2004.
- [3] 曾永红, 邹雪城, 刘政林, 等. 低功耗AES S盒的ASIC设计与实现[J]. 微电子学, 2007, 37(4): 610-614.
- [4] Satoh A, Morioka S, Takano K, et al. A Compact Rijndael Hardware Architecture with S-box Optimization[C]//Proc. of the 7th International Conf. on the Theory and Application of Cryptology and Information Security. Gold Coast, Australia: [s. n.], 2001.
- [5] Zeng Yonghong, Zou Xuecheng, Liu Zhenglin, et al. A Low-power Rijndael S-Box Based on Pass Transmission Gate and Composite Field Arithmetic[J]. Journal of Zhejiang University: SCIENCE A, 2007, 8(10): 1553-1559.
- [6] 韩 军,曾晓洋,汤庭鳖.基于时间随机化的密码芯片防攻击方法[J]. 计算机工程,2007,33(2):6-8.
- [7] Shang D, Burns F, Bystrov A, et al. High-security Asynchronous Circuit Implementation of AES[J]. IEE Proceedings: Computers and Digital Techniques, 2006, 153(2): 71-77.

编辑 顾姣健

10th International Conference on Pattern Recognition. [S. l.]: IEEE Press, 1990: 655-658.

- [2] Chang Fu, Chen Chun-Jen, Lu Chi-Jen. A Linear-time Componentlabeling Algorithm Using Contour Tracing Technique[J]. Computer Vision and Image Understanding, 2004, 93(2): 206-220.
- [3] Rosenfeld A, Pfaltz J L. Sequential Operations in Digital Picture Processing[J]. Journal of ACM, 1966, 13(4): 471-494.
- [4] Stefano L D, Bulgarelli A. A Simple and Efficient Connected Components Labeling Algorithm[C]//Proc. of Int'l Conference on Image Analysis and Processing. [S. 1.]: IEEE Press, 1999: 322-327.
- [5] Suzuki K. Linear-time Connected-component Labeling Based on Sequential Local Operations[J]. Computer Vision and Image Understanding, 2003, 89(1): 1-23.
- [6] Dillencourt M B, Samet H, Tamminen M. A General Approach to Connected Component Labeling for Arbitrary Image Representations[J]. Journal of ACM, 1992, 39(2): 253-280.
- [7] 徐利华, 陈早生. 二值图像中的游程编码区域标记[J]. 光电工程, 2004, 31(6): 63-65.
- [8] 陈国良. 并行算法的设计与分析[M]. 北京: 高等教育出版社, 2002.

-1-