[发明专利]以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用

权利要求书

1.以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用，其特征在于，进行SM4密码算法侧信道能量分析过程中，选择S盒或轮函数作为攻击点建立汉明距离模型，以S盒的输入作为汉明距离模型的前续状态v₁。 

2.根据权利要求1所述的以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用，其特征在于，对S盒进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是S盒输出；对轮函数进行攻击时，汉明距离(HD(v₁，v₂))模型的后继状态v₂是轮函数输出/输入。 

3.根据权利要求2所述的以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用，其特征在于，对S盒输出前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型等效于以S盒输入与输出异或值作为攻击点的汉明重量(HW)模型的攻击；对轮函数前/末4轮进行攻击采用的汉明距离(HD(v₁，v₂))模型等效于以S盒输入与轮函数输出/输入的异或值作为攻击点的汉明重量(HW)模型的攻击。 

4.根据权利要求1、2或3所述的以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用，其特征在于，以S盒输入为基础的汉明距离模型用于对SM4密码算法的CPA/DPA侧信道能量分析。 

5.根据权利要求4所述的以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用，其特征在于，以S盒输入为基础的汉明距离模型对SM4密码算法的CPA侧信道能量分析步骤如下： 

(1)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵； 

(2)选取攻击对象为S盒或轮函数，确定汉明距离攻击模型； 

(3)确定攻击对象和模型后，猜测轮密钥，计算轮运算的中间值确定中间值矩阵； 

(4)利用上步的中间值及中间值矩阵映射为仿真能量消耗值和仿真能量消耗矩阵； 

(5)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测密钥。 

6.根据权利要求5所述的以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用，其特征在于，利用CPA进行步骤(3)的具体方法是：当输入第k(k∈{0，...，N-1})组明文明密文输入/输出为 或时，猜测第i轮轮密钥中的字节rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，当选择S盒输出前/末4轮进行攻击时，猜测轮密钥字节rk_i，j，s对应的中间值为， 其中，为进行第k组明文/密文第i轮加密/解密运算，猜测第j个密钥字节为s时对应的中间值，分别X_i+1，j、X_i+2，j、X_i+3，j均为中间运算值 的第j个字节已知常量；选择轮函数输出前4轮或末4轮进行的攻击时，猜测轮密钥字节rk_i，j，s对应的中间值分别为 和 其中，L^-1(x)_j为进行L^-1移位后的第j个字节， 对N组明/密文进行加/解密操作时，依次计算256猜测轮密钥字节rk_i，j，s对应的中间值确 定中间值矩阵利用CPA进行步骤(4)的具体方法是：(3)步中间值映射的仿真能量消耗为：即第k组明文第i轮第j个字节第s个猜测密钥字节对应的仿真能量消耗，HW(x)为x中比特位值为1的个数，对N组明文/密文进行加密/解密操作，确定轮密钥字节rk_i，j，s对应的仿真能量消耗矩阵为：