本發(fā)明涉及信號處理領(lǐng)域，尤其涉及一種側(cè)信道攻擊防護能力評估方法和系統(tǒng)。

背景技術(shù)：

密碼設備在計算過程中，隨著計算的進行，會在功耗、電磁等方面會釋放出一些時序信號，我們稱這些信號為側(cè)信道信息。側(cè)信道攻擊是基于這些側(cè)信道信息進行分析，而獲取密碼設備內(nèi)部狀態(tài)，分析并據(jù)此得到未知密碼的值的過程。側(cè)信道攻擊的防護能力評估量化，就是以某種標準來衡量不同密碼設備在側(cè)信道攻擊防護能力的差異。

側(cè)信道攻擊按照攻擊方法分類主要有簡單側(cè)信道攻擊，差分側(cè)信道攻擊，模板側(cè)信道攻擊，相關(guān)系數(shù)側(cè)信道攻擊等等有很多種。但側(cè)信道攻擊的整個流程基本一致，主要分為3個階段，(1)側(cè)信道時序信息樣本采集，(2)側(cè)信道時序信息樣本的預處理，(3)攻擊和結(jié)果分析。目前的技術(shù)發(fā)展現(xiàn)狀主要關(guān)注于第3階段中的攻擊方法上。由于目前側(cè)信道攻擊方法多式多樣，能抵抗這種攻擊的方法，并不一定能抵抗另一種攻擊手段，這就給側(cè)信道攻擊的防護能力評估量化造成了很大的困難，一般的量化方法是通過n條側(cè)信道時序數(shù)據(jù)，在固定的時間內(nèi)，如果用已知的攻擊方法進行攻擊均失敗，則以n作為該種密碼設備側(cè)信道攻擊的防護能力評估量化值。

在專利《一種安全芯片抗功耗攻擊防護能力量化評估的加速方法》中，其提出一種安全芯片抗功耗攻擊防護能力量化評估的加速方法，在對安全芯片進行抗功耗攻擊防護能力量化評估時，對功耗樣本進行以下處理：①將功耗樣本以二維數(shù)組的方式存儲；②根據(jù)流處理器的設備內(nèi)存容量，將能夠完全容納在流處理器的設備內(nèi)存中的部分功耗樣本復制到流處理器設備內(nèi)存中；③按照不同時間點功耗均值并行計算以及同一時間點大量功耗值并行累加這兩級并行的方式進行加速處理，計算出每個時間點的功耗均值；④將步驟③中流處理器計算得到的功耗均值結(jié)果讀出并存儲在系統(tǒng)主存中；⑤反復進行上述步驟②～④，以數(shù)據(jù)流的方式完成所有功耗樣本的處理。本發(fā)明具有原理簡單、操作簡便、能夠大大提高功耗樣本的處理效率、從而加快整個評估速度。該專利關(guān)注側(cè)信道攻擊的防護能力評估量化問題，不過其解決辦法仍然沒有繞開攻擊這個過程，只是通過并行的數(shù)據(jù)預處理階段，加速了整個攻擊試錯的過程。

現(xiàn)有的技術(shù)發(fā)展現(xiàn)狀中，對側(cè)信道攻擊的防護能力評估，是通過選取n條側(cè)信道時序信號數(shù)據(jù)，在規(guī)定的時間內(nèi)，執(zhí)行所有已知的側(cè)信道攻擊方法，如果攻擊全部失敗，則用n表示該密碼設備的抗攻擊能力的量化值。這種量化方法中，將要執(zhí)行完所有的已知側(cè)信道攻擊方法，這個將是一個非常耗時的過程，特別是n的值很大的情況下。

技術(shù)實現(xiàn)要素：

本發(fā)明的實施例提供了一種側(cè)信道攻擊防護能力評估方法和系統(tǒng)。本發(fā)明提供了如下方案：

對側(cè)信道采樣信號按照比特碼特征位進行分類；

計算任意兩類側(cè)信道采樣信號之間的特征評估值，其中，根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值；

根據(jù)側(cè)信道采樣信號的所有的任意兩類的特征評估值的累加和確定評估值；

以所述評估值評估側(cè)信道攻擊防護能力。

根據(jù)本發(fā)明的上述方法，所述對側(cè)信道采樣信號按照比特碼特征位進行分類，包括：將側(cè)信道采樣信號對應的對比特碼特征位相同的側(cè)信道采樣信號作為一類。

根據(jù)本發(fā)明的上述方法，所述根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值，包括：

確定分類結(jié)果中任意兩類側(cè)信道采樣信號的類間距離；

確定該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和；

將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值；或，

將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值。

根據(jù)本發(fā)明的上述方法，所述根據(jù)側(cè)信道采樣信號的所有的分類的特征評估值的累加和確定評估值，包括：

當將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最大值作為評估值；

當將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最小值作為評估值。

根據(jù)本發(fā)明的上述方法，獲取所述側(cè)信道采樣信號，包括：

對隨機產(chǎn)生的一系列密碼，對每個密碼執(zhí)行密碼設備的密碼運算；

對每個已執(zhí)行密碼運算的密碼進行側(cè)信道采樣，獲取所述側(cè)信道采樣信號。

根據(jù)本發(fā)明的另一方面，還提供一種側(cè)信道攻擊防護能力評估系統(tǒng)，包括：

分類模塊：其用于對側(cè)信道采樣信號按照比特碼特征位進行分類；

計算模塊：其用于計算任意兩類側(cè)信道采樣信號之間的特征評估值，其中，根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值；

確定模塊：其用于根據(jù)側(cè)信道采樣信號的所有的任意兩類的特征評估值的累加和確定評估值；

評估模塊：其用于以所述評估值評估側(cè)信道攻擊防護能力。

根據(jù)本發(fā)明的另一方面，所述分類模塊，具體用于：將側(cè)信道采樣信號對應的對比特碼特征位相同的側(cè)信道采樣信號作為一類。

根據(jù)本發(fā)明的另一方面，所述計算模塊，具體用于：

確定分類結(jié)果中任意兩類側(cè)信道采樣信號的類間距離；

確定該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和；

將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值；或，

將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值。

根據(jù)本發(fā)明的另一方面，所述確定模塊，具體用于：

當將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最大值作為評估值；

當將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最小值作為評估值。

根據(jù)本發(fā)明的另一方面，包括：

獲取模塊：其用于對隨機產(chǎn)生的一系列密碼，對每個密碼執(zhí)行密碼設備的密碼運算；

對每個已執(zhí)行密碼運算的密碼進行側(cè)信道采樣，獲取所述側(cè)信道采樣信號。

由上述本發(fā)明的實施例提供的技術(shù)方案可以看出，本發(fā)明實施例對側(cè)信道采樣信號按照比特碼特征位進行分類；計算任意兩類側(cè)信道采樣信號之間的特征評估值，其中，根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值；根據(jù)側(cè)信道采樣信號的所有的任意兩類的特征評估值的累加和確定評估值；以所述評估值評估側(cè)信道攻擊防護能力。本發(fā)明所采用的評估值來表示密碼硬件的側(cè)信道攻擊防護能力，避免了展開整個攻擊流程才能獲得密碼硬件側(cè)信道攻擊防護能力評估量化值的繁瑣過程，縮減了量化評估的時間，提高了量化評估的效率。

附圖說明

為了更清楚地說明本發(fā)明實施例的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例一提供的一種側(cè)信道攻擊防護能力評估方法的處理流程圖；

圖2為本發(fā)明實施例二提供的一種側(cè)信道攻擊防護能力評估系統(tǒng)的系統(tǒng)模塊圖。

具體實施方式

為便于對本發(fā)明實施例的理解，下面將結(jié)合附圖以幾個具體實施例為例做進一步的解釋說明，且各個實施例并不構(gòu)成對本發(fā)明實施例的限定。

實施例一

該實施例中，對于需要量化其側(cè)信道攻擊防護能力的密碼設備，取一臺可隨意設置其密碼的同型號設備，在該設備上執(zhí)行操作：對隨機產(chǎn)生的一系列密碼，對每個密碼執(zhí)行密碼設備的密碼運算；對每個已執(zhí)行密碼運算的密碼進行側(cè)信道采樣，獲取所述側(cè)信道采樣信號。本實施例中，提供了一種側(cè)信道攻擊防護能力評估方法的處理流程如圖1所示，包括如下的處理步驟：

步驟11、對側(cè)信道采樣信號按照比特碼特征位進行分類；

所述對側(cè)信道采樣信號按照比特碼特征位進行分類，包括：將側(cè)信道采樣信號對應的對比特碼特征位相同的側(cè)信道采樣信號作為一類。例如：某段側(cè)信道采樣信號對應的比特碼是******110111****，以此段比特碼的5-10位作為該比特碼的特征位，那么將所有的側(cè)信道采樣信號對應的比特碼中，第5-10位為110111的側(cè)信道采樣信號都作為一類。

步驟12、計算任意兩類側(cè)信道采樣信號之間的特征評估值，其中，根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值；

具體地，所述根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值；

本實施例中，提供兩種確定所述特征評估值的方法，方法一如下所示：

確定分類結(jié)果中任意兩類側(cè)信道采樣信號的類間距離；

確定該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和；

將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值。

例如，任意兩類側(cè)信道采樣信號分別為a類和b類，設tab作為a類和b類的特征評估值，tab=ab的類間距離/（a的類內(nèi)距離+b的類內(nèi)距離）。

或者，采用如下方法二確定特征評估值：

確定分類結(jié)果中任意兩類側(cè)信道采樣信號的類間距離；

確定該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和；

將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值。

例如，任意兩類側(cè)信道采樣信號分別為a類和b類，設tab作為a類和b類的特征評估值，tab=（a的類內(nèi)距離+b的類內(nèi)距離）/ab的類間距離。

特征評估值作為一個特征量，是本申請中評估值的子評估單元，沒有特定的物理意義，基于任意兩類之間的側(cè)信道采樣信號獲取特征評估值。

本領(lǐng)域技術(shù)人員應能理解類間距離和類內(nèi)距離是公知常識的范疇，所有用于獲取任意兩類之間的類間距離以及每一類的類內(nèi)距離的方法，均適用于本申請中，獲取任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和。

步驟13、根據(jù)側(cè)信道采樣信號的所有的任意兩類的特征評估值的累加和確定評估值；具體地，

當上述步驟12中采用方法一的方法獲取特征評估值，將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最大值作為評估值；

當上述步驟12中采用方法二的方法獲取特征評估值，將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最小值作為評估值。

步驟14、以所述評估值評估側(cè)信道攻擊防護能力。具體地，在應用中，以所述評估值評估上述型號硬件的側(cè)信道攻擊防護能力。

實施例二

該實施例提供了一種側(cè)信道攻擊防護能力評估系統(tǒng)，其具體實現(xiàn)結(jié)構(gòu)如圖2所示，具體可以包括如下的模塊：分類模塊21、計算模塊22、確定模塊23以及評估模塊24；其中，

分類模塊21：其用于對側(cè)信道采樣信號按照比特碼特征位進行分類；

計算模塊22：其用于計算任意兩類側(cè)信道采樣信號之間的特征評估值，其中，根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值；

確定模塊23：其用于根據(jù)側(cè)信道采樣信號的所有的任意兩類的特征評估值的累加和確定評估值；

評估模塊24：其用于以所述評估值評估側(cè)信道攻擊防護能力。

所述分類模塊21，具體用于：將側(cè)信道采樣信號對應的對比特碼特征位相同的側(cè)信道采樣信號作為一類。

所述計算模塊22，具體用于：

確定分類結(jié)果中任意兩類側(cè)信道采樣信號的類間距離；

確定該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和；

將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值；或，

將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值。

所述確定模塊23，具體用于：

當將所述類間距離和所述類內(nèi)距離的距離和的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最大值作為評估值；

當將所述類內(nèi)距離的距離和和所述類間距離的比值作為任意兩類之間的特征評估值時，對所述側(cè)信道采樣信號進行信號處理，獲取所述特征評估值的累加和的最小值作為評估值。

一種側(cè)信道攻擊防護能力評估系統(tǒng)，包括：

獲取模塊20：其用于對隨機產(chǎn)生的一系列密碼，對每個密碼執(zhí)行密碼設備的密碼運算；

對每個已執(zhí)行密碼運算的密碼進行側(cè)信道采樣，獲取所述側(cè)信道采樣信號。

用本發(fā)明實施例的系統(tǒng)進行側(cè)信道攻擊防護能力的評估的具體過程與前述方法實施例類似，此處不再贅述。

綜上所述，本發(fā)明實施例通過對側(cè)信道采樣信號按照比特碼特征位進行分類；計算任意兩類側(cè)信道采樣信號之間的特征評估值，其中，根據(jù)任意兩類側(cè)信道采樣信號的類間距離以及該兩類側(cè)信道采樣信號的類內(nèi)距離的距離和確定所述特征評估值；根據(jù)側(cè)信道采樣信號的所有的任意兩類的特征評估值的累加和確定評估值；以所述評估值評估側(cè)信道攻擊防護能力。本發(fā)明所采用的評估值來表示密碼硬件的側(cè)信道攻擊防護能力，避免了展開整個攻擊流程才能獲得密碼硬件側(cè)信道攻擊防護能力評估量化值的繁瑣過程，縮減了量化評估的時間，提高了量化評估的效率。

本領(lǐng)域普通技術(shù)人員可以理解：附圖只是一個實施例的示意圖，附圖中的模塊或流程并不一定是實施本發(fā)明所必須的。

通過以上的實施方式的描述可知，本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中，如rom/ram、磁碟、光盤等，包括若干指令用以使得一臺計算機設備（可以是個人計算機，服務器，或者網(wǎng)絡設備等）執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于裝置或系統(tǒng)實施例而言，由于其基本相似于方法實施例，所以描述得比較簡單，相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置及系統(tǒng)實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡單元上。可以根據(jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

以上所述，僅為本發(fā)明較佳的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應該以權(quán)利要求的保護范圍為準。