(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211074981.5 (22)申请日 2022.09.02 (71)申请人 南京航空航天大 学 地址 211106 江苏省南京市江宁区将军大 道29号 (72)发明人 崔益军　卢传超　刘伟强　倪子颖　 俞世超　李阳　王成华　 (74)专利代理 机构 南京钟山专利代理有限公司 32252 专利代理师 张明浩 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/142(2022.01) (54)发明名称 应用于环多项式乘法器的侧信道相关能量 分析方法及系统 (57)摘要 本发明公开了应用于环多项式乘法器的侧 信道相关能量分析方法， 包括以下步骤： 步骤一、 获取待攻击子私钥的所有可能出现的值， 其中， 一个子私钥指私钥多项式向量中的一个系数； 步 骤二、 将子私钥所有可能出现的值分别与密文向 量相乘， 得到多个假设乘积向量； 步骤三、 采用攻 击函数分别处理每个假设乘积向量， 得到多条假 设中间值迹； 步骤四、 采用汉明距离模型分别处 理每条假设中间值迹， 得到多条假设能量迹； 步 骤五、 获取实测能量迹； 步骤六、 对实测能量迹进 行处理； 步骤七、 计算假设能量迹与处理后的实 测能量迹之间的相关系数； 步骤八、 绘制相关性 曲线， 得到最佳候选子私钥。 本发明可 以为密码 芯片的安全性 提供一种强力有效的评估。 权利要求书3页 说明书9页 附图8页 CN 115412360 A 2022.11.29 CN 115412360 A 1.应用于环多 项式乘法器的侧信道相关能量分析 方法， 其特 征是： 包括以下步骤： 步骤一、 获取待攻击子私钥的所有可能出现的值， 其中， 一个子私钥指私钥多项式向量 中的一个系数； 步骤二、 将子私钥所有可能出现的值分别与密文向量相乘， 得到多个假设乘积向量； 步骤三、 采用攻击函数分别处 理每个假设乘积向量， 得到多条假设中间值迹； 步骤四、 采用汉明距离模型分别处 理每条假设中间值迹， 得到多条假设能量迹； 步骤五、 获取实测能量迹； 步骤六、 对实测能量迹进行处 理； 步骤七、 计算假设能量迹与处 理后的实测能量迹之间的相关系数； 步骤八、 绘制 相关性曲线， 得到最佳候选 子私钥。 2.根据权利要求1所述的应用于环多项式乘法器的侧信道相关能量分析方法， 其特征 是： 所述的汉明距离模型指的是二进制数在发生变化的过程中， 对应位 发生0→1转变和1 → 0转变的总个数， 以HD(x， y)表 示两个数x、 y之间的汉明距离， 对这两个数进 行二进制下的异 或运算， 再统计异或结果中1的个数， 所 得到的这个 个数就是汉明距离值。 3.根据权利要求1所述的应用于环多项式乘法器的侧信道相关能量分析方法， 其特征 是： 待攻击子私钥的安全等级高时， 密码系统每次加解密都会使用一组新的私钥， 此时采用 水平相关能量分析 方法， 具体为： 步骤S101,获取待攻击子私钥的所有可能出现的值， 假设私钥多项式向量的每个子私 钥有K种可能出现的值， 所以本步骤可以得到一个由所有假设值构成的K维列向量(k1， k2，…， kK)T， 步骤S102， 从通信信道中获取到密文多项式向量(c1， c2，…， cN)， 其中N对应格密码算法 中已知的格基维度， 将K维假设子私钥列向量与N 维密文多项式行向量进 行相乘， 得到一个K 行N列的矩阵VK*N， 按行拆分后得到 K个N维假 设乘积向量Vi,1,Vi,2,…,Vi,N， 其中， i＝1,2, …, K， 步骤S103， 采用攻击函数分别处 理每个假设乘积向量， 得到多条假设中间值迹， 步骤S104， 采用汉明距离模型分别处理每条假设中间值迹， 得到K条假设能量迹hi,1, hi,2,…,hi,N， 其中， i＝1,2,…,K， 步骤S105， 采集密码系统加解密操作的功耗波形， 以获取实测能量迹， 步骤S106， 对实测能量迹进行处理， 对实测能量迹采样处理， 获取T个采样点， 构造用于 相关性计算的能量迹， 得到T条处 理后的实测能量迹ti,1,ti,2,…,ti,N， 其中， i＝1,2,…,T， 步骤S107， 计算 假设能量迹与处 理后的实测能量迹之间的相关系数， 根据以下公式计算 假设能量迹与实测能量迹之间的相关系数： 其中， ρ 为假设能量迹与实测能量迹之间 的相关系数； cov()为协方差； var()为方差； X 为假设能量迹， X＝hi,1,hi,2,…,hi,N， 其中， i＝1,2, …,K； Y为处理后的实测能量迹， Y＝ti,1, ti,2,…,ti,N， 其中， i＝1,2,…,T， 经过本步骤可以得到相关系数矩阵rK*T， 步骤S108， 绘制 相关性曲线， 得到最佳候选 子私钥，权　利　要　求　书 1/3 页 2 CN 115412360 A 2绘制相关系数曲线时按标定好的起始采样点序号去绘制， 如果某点是整个相关曲线中 值最大的点， 那么就代表该点已与实测能量迹起点对齐， 且该点所属的假设子私钥值为最 佳候选子私钥值。 4.根据权利要求1所述的应用于环多项式乘法器的侧信道相关能量分析方法， 其特征 是： 待攻击子私钥的安全等级中等时， 密码系统使用的是短暂私钥， 一段时间内的加解密操 作都会使用同一组私钥， 此时采用组合相关能量分析 方法， 具体为： 步骤S201,获取待攻击子私钥的所有可能出现的值， 假设私钥多项式向量的每个子私 钥有K种可能出现的值， 所以本步骤可以得到一个由所有假设值构成的K维列向量(k1， k2，…， kK)T， 步骤S202， 在安全等级中等情况下， 从通信信道中获取到d组密文多项式,将d组密文多 项式向量cd_1， cd_2，…， cd_N进行首尾拼接， 得到密文多项式组合向量c1， c2，…， cd*N， 将K维假 设子私钥列向量与d*N维密文多项式组合行向量进行相乘， 得到一个K行d*N列的矩阵 VK*(d*N)， 按行拆分后得到K个d*N维假设乘积向量Vi,1,Vi,2,…,Vi,d*N， 其中， i＝1,2,…,K， 步骤S203， 采用攻击函数分别处 理每个假设乘积向量， 得到多条假设中间值迹， 步骤S204， 采用汉明距离模型分别处理每条假设中间值迹， 得到K条假设能量迹hi,1, hi,2,…,hi,N， 其中， i＝1,2,…,K， 步骤S205， 采集密码系统加解密操作的功耗波形， 以获取d组实测能量迹， 步骤S206， 对实测能量迹进行处理， 对每组实测能量迹采样处理， 获取d*T个采样点， 构 造用于相关性计算的能量迹， 得到d*T 条一次处理后的实测能量迹， 将一次处理后的实测能 量迹拼接成T条二次处 理后的实测能量迹ti,1,ti,2,…,ti,d*N， 其中， i＝1,2,…,T， 步骤S207， 计算 假设能量迹与处 理后的实测能量迹之间的相关系数， 根据以下公式计算 假设能量迹与实测能量迹之间的相关系数： 其中， ρ 为假设能量迹与实测能量迹之间 的相关系数； cov()为协方差； var()为方差； X 为假设能量迹， X＝hi,1,hi,2,…,hi,d*N， 其中， i＝1,2, …,K； Y为处理后的实测能量迹， Y＝ ti,1,ti,2,…,ti,d*N， 其中， i＝1,2,…,T， 经过本步骤可以得到相关系数矩阵rK*T， 步骤S208， 绘制 相关性曲线， 得到最佳候选 子私钥， 绘制相关系数曲线时按标定好的起始采样点序号去绘制， 如果某点是整个相关曲线中 值最大的点， 那么就代表该点已与实测能量迹起点对齐， 且该点所属的假设子私钥值为最 佳候选子私钥值。 5.根据权利要求1所述的应用于环多项式乘法器的侧信道相关能量分析方法， 其特征 是： 待攻击子私钥的安全等级低时， 密码系统使用的是长期私钥， 此时采用垂 直相关能量分 析方法， 具体为： 步骤S301,获取待攻击子私钥的所有可能出现的值， 假设私钥多项式向量的每个子私 钥有K种可能出现的值， 所以本步骤可以得到一个由所有假设值构成的K维列向量(k1， k2，…， kK)T， 步骤S302， 在安全等级低情况下， 从通信信道中获取到d组密文多项式向量只选用同一 处系数进行组合,得到子密文组合向量c1_i， c2_i，…， cd_i， i∈[1,N]， 将K维假设子私钥列向权　利　要　求　书 2/3 页 3 CN 115412360 A 3