[发明专利]一种适用于系统数据全生命周期的防侧信道攻击方法

说明书

本发明涉及一种适用于系统数据全生命周期的防侧信道攻击方法，所述方法包括以下步骤：步骤S1、本地进行用于密码登录认证的时序攻击；步骤S2、本地进行普通计算；步骤S3、本地进行加密运算；步骤S4、进行信息数据传输时的防御策略。其优点表现在：通过对系统数据运行全生命周期中可能遭到的侧信道攻击，构建全生命周期系统运行侧信道攻击防御框架，使得系统可以在整个运行周期中保证数据、系统安全，防止数据外泄，进而保证信息安全。

技术领域

本发明涉及计算机网络通信技术领域，具体地说，是一种适用于系统数据全生命周期的防侧信道攻击方法。

背景技术

近几年，在计算机网络通信领域和国际学术界具有较大影响力的侧信道典型案例层出不穷，他们利用不同形式的侧信道信息，针对目标的脆弱点进行分析，从而达到对需保密、加密信息获取、破解的目的。国内外对于侧信道攻击防御方面的研究和技术方法的报道也不断涌现，主要防护方法包括：实现中的软、硬件掩码技术，动态双轨电路技术、时钟扰乱技术等。

侧信道分析攻击作为一种针对密码设备的密码分析技术，目前已经对现实中的密码算法、密码设备都产生了严重的安全威胁。这些分析技术能成功破解主流的公钥密码算法(如：RSA、ECC、SM2)、分组密码算法(如：DES、AES、SM4)、流密码算法(如：Grain、Trivium)以及轻量密码算法。随着侧信道分析的攻击能力越来越强、实施成本越来越小、各种密码设备被侧信道分析成功攻击的事例越来越多。EISENBARTH等人在Crypto2008上发表了利用能量攻击技术破解KeeLoq Remote Keyless Entry Systems，其典型应用之一是遥控汽车锁。在2015年的黑帽大会上，上海交通大学郁昱教授现场演示如何利用能量攻击技术破解3G/4G的SIM卡等等。

针对掩码技术，在2017年的国家发明专利中：“一种多方位防侧信道攻击的签名方法”，就利用了对底数进行掩码，并获得RSA签名或其他公钥系统签名。在同年的另一份专利“免受侧信道分析的保护方法和设备”，同样通过掩码技术，在定义数据时，将第一输入集的每个数据与第二输入集的相应数据进行关联，通过对所述第一和第二输入数据以及对第一和第二掩码集中的所有第一和第二掩码参数应用异或(XOR)运算而获得。除此之外，在国内外的众多文献中，都运用了掩码技术来抵御侧信道攻击，例如2007年在论文“DetectionSpam Users in Collaborative Filtering”中提出掩码方法，它给出一个能抵御侧信道攻击的掩码模型，通过对中间数据进行掩盖使差分功耗分析变得难以进行，运用该模型使DPA的区分函数对功耗曲线的划分“出错”，从而使差分后的结果无法正确显示出高的相关优度。文献“一种基于偏离度的过滤不实评价新方法”同样将掩码技术应用于DES加密算法，设计了一种能抵御功耗攻击的安全DES算法，采用随机数对中间数据进行掩盖，并在查询S盒存储单元之前进行求逆运算，还原了输入数据，最终取得了良好的抗攻击效果^[6]。由此可见，在众多防侧信道方法中，掩码技术的实现相对紧凑、可控，且不影响数字电路的物理设计和工作特性，受到了学术界的广泛关注。

除了掩码技术外，在我国众多专利中，许多专利也运用了其他的技术来实现对侧信道攻击的防御，在2017年5月的专利“一种抗侧信道攻击的智能终端安全输入法”，该方法通过改进光标移动速度的计算方式，在计算移动速度时加入随机参数，使得即使攻击者能够获取方向传感器数据也难以正确计算得到光标的实际位置。在今年我国的专利中，“一种云环境中Flush－Reload缓存侧信道攻击防御方法和装置”则采用了植入防护进程，从而使的防护进程和目标进程公用CPU缓存，当目标进程运行相关安全模块时，防护进程以一定策略混淆共享的该安全敏感模块的内存，对缓存状态进行干扰，从而防御Flush-Reload缓存侧信道攻击。