秘密共享：高阶掩码S盒和有限域安全乘法设计

唐啸霖; 冯燕; 李明达; 李志强

doi:10.11999/JEIT231272

秘密共享：高阶掩码S盒和有限域安全乘法设计

doi: 10.11999/JEIT231272 cstr: 32379.14.JEIT231272

唐啸霖^{1, 2, 3},
冯燕^{1, 2, ,},
李明达^{1, 2, 3},
李志强^{1, 2}

1.
集成电路制造技术重点实验室(中国科学院)北京 100029
2.
中国科学院微电子研究所北京 100029
3.
中国科学院大学北京 100049

基金项目: 国家重点研发计划(2020YFB2104601)

详细信息

作者简介:
唐啸霖：男，博士生，研究方向为集成电路硬件安全

冯燕：女，博士，正高级工程师，研究方向为集成电路硬件安全、IP/SoC设计与验证等

李明达：男，硕士生，研究方向为集成电路硬件安全

李志强：男，博士，研究员，博士生导师，研究方向为模拟/射频/毫米波集成电路设计

通讯作者:
冯燕　fengyan@ime.ac.cn

中图分类号: TN402
计量
- 文章访问数: 383
- HTML全文浏览量: 222
- PDF下载量: 55
- 被引次数: 0
出版历程
- 收稿日期: 2023-11-17
- 修回日期: 2024-06-19
- 网络出版日期: 2024-06-30
- 刊出日期: 2024-08-10

Secret Sharing: Design of Higher-Order Masking S-box and Secure Multiplication in Galois Field

TANG Xiaolin^{1, 2, 3},
FENG Yan^{1, 2
, ,},
LI Mingda^{1, 2, 3},
LI Zhiqiang^{1, 2}

1.
Key Laboratory of Fabrication Technologies for Integrated Circuits, Chinese Academy of Sciences, Beijing 100029, China
2.
Institute of Microelectronics, Chinese Academy of Sciences, Beijing 100029, China
3.
University of Chinese Academy of Sciences, Beijing 100049, China

Funds: The National Key R&D Program (2020YFB2104601)

摘要

摘要: 在信息时代，信息安全是最不能忽视的重要问题，对密码设备的攻击和防护是该领域的研究热点。近年来，多种对密码设备的攻击已为人所知，其目的都是为了获取设备中的密钥，在众多攻击中，功耗侧信道攻击是最受关注的攻击技术之一。掩码技术是对抗功耗侧信道攻击的有效方法，然而随着攻击手段的不断进步，1阶掩码的防护已经不足以应对2阶及以上的功耗分析攻击，因此对高阶掩码的研究具有重要的意义。为了提升加密电路抗攻击能力，该文基于秘密共享的思想，对分组密码算法的S盒变换实施了高阶掩码防护——共享型掩码，并基于Ishai等人在Crypto 2003上发表的安全方案(ISW框架)提出了有限域安全乘法的通用设计方法。通过实验表明，该文提出的共享型掩码方案不影响加密算法的功能，同时能抵御1阶和2阶相关功耗分析攻击。
- 分组密码算法 /
- S盒变换 /
- 共享型掩码 /
- 有限域乘法
Abstract: In the information era, information security is the priority that cannot be ignored. Attacks and protection against password devices are research hotspots in this field. In recent years, various attacks on cryptographic devices have become well-known, all aimed at obtaining keys from the device. Among these attacks, power side channel attack is one of the most concerned attack techniques. Mask technology is an effective method to combat power side channel attacks, however, with the continuous progress of attack methods, the protection of first-order mask is no longer sufficient to cope with second-order and higher order power analysis attack, so the research on higher-order mask has considerable significance. To enhance the encryption circuit’s capability of anti-attack, high-order masking schemes: N-share masking is implemented on S-box in this paper, and a universal design method for galois field secure multiplication is proposed, which is based on the secure scheme published by Ishai et al. at Crypto 2003 (ISW framework). Through experiments, it has been shown that the encryption scheme adopted in this paper does not affect the functionality of the encryption algorithm, and can resist first-order and second-order correlation power analysis attack.
- Block cipher algorithm /
- S-box /
- N-share mask /
- Galois field multiplication

HTML全文

1. 引言

在导弹靶场试验中，测量目标着靶点坐标和目标运动方向对于评估导弹性能起着关键作用^[1]。在导弹与靶平面交会的过程中，天线阵列中接收到目标辐射信号的天线间相位差随时间的变化规律由导弹的速度矢量和矢量脱靶量一共6个参数决定。在目标运动模型已知的前提下，测量系统通过互相关或其他方法可得到接收阵元间的相位差时间序列数据，进一步再通过构建方程组进行求解等方法就能估计出着靶点坐标和目标运动方向^[2]。着靶点的测量精度不但与相位差数据提取精度有关，而且也受到天线阵列布放结构的影响，因此天线阵列几何结构的优化问题一直被广泛讨论和研究^[3-7]。文献[8-10]对平面阵列的不同布放结构进行了对比和分析，但是其结论不能直接推广应用到3维空间的定位问题中。本文针对3维空间着靶点参数估计问题，建立了观测模型，阐述了采用非线性寻优处理进行参数估计的方法，提出了一种从灵敏度^[10]的角度对比不同阵列布放结构性能的方法，并利用着靶点估计CRLB(Cramer-Rao Lower Bound)的理论推导和数值计算验证了该方法的可靠性^[11]。

2. 定位原理

2.1 观测模型

假设目标做速度为 $v$ 的匀速直线运动，设 ${{{P}}_{\rm{0}}} = {[{x_{\rm{0}}},{y_{\rm{0}}},{z_{\rm{0}}}]^{\rm{T}} }$ 为起始观测零时刻 $(t = 0)$ 的目标位置点， ${{{P}}_\theta } = {[{x_\theta },{y_\theta },{z_\theta }]^{\rm{T}} }$ 为着靶时刻的目标位置点，观测长度 $\left| {{{{P}}_0}{{{P}}_\theta }} \right|$ 为 $L$ 。当目标绝对速度 $v$ 已知时，目标的运动轨迹可用 ${{W}} = {[{x_\theta },{y_\theta },{z_\theta },\alpha ,\beta ]^{\rm{T}}}$ 这5个参数表示，其中弹道偏角 $\alpha$ 表示目标运动轨迹在 $xoy$ 平面上的投影与 ${{x}}$ 正轴夹角，弹道倾角 $\beta$ 表示目标运动轨迹与 $xoy$ 平面夹角。第 ${t_i}$ 时刻 $(i = 0,1, ··· ,I - 1)$ 目标轨迹点坐标为 ${{{P}}_i} = {[{x_i},{y_i},{z_i}]^{\rm{T}}}$ ，其中 $I$ 为总的数据提取点数， $T$ 为数据提取间隔。天线阵列由 $Q$ 个接收天线组成， ${{{s}}_q} = {[{x_q},{y_q},{z_q}]^{\rm{T}}}(q = 1, 2, ··· ,Q)$ 为接收天线的坐标，目标轨迹与靶平面的相对位置关系如图1所示。

图 1 目标轨迹与靶平面之间的相对位置关系

下载: 全尺寸图片幻灯片

以着靶点坐标为参考，目标在 ${t_i}$ 时刻的速度与轨迹点坐标分别满足式(1)：

$\begin{split} & \left. \begin{array}{l} {v_x} = v\cos\beta \cos\alpha \\ {v_y} = v\cos\beta \sin\alpha \\ {v_z} = - v\sin\beta \end{array} \right\},\\ & \left. \begin{array}{l} {x_i} = {x_\theta } - {v_x}[(I - 1)T - {t_i}] \\ {y_i} = {y_\theta } - {v_y}[(I - 1)T - {t_i}] \\ {z_i} = {z_\theta } + {v_z}[(I - 1)T - {t_i}] \end{array} \right\} \end{split}$

(1)

其中， ${v_x}$ , ${v_y}$ , ${v_z}$ 表示 ${t_i}$ 时刻目标在 $X$ , $Y$ , $Z$ 3个方向上的速度分量。

2.2 着靶点坐标估计

在匀速直线运动模型下，导弹在 ${t_i}$ 时刻与天线 ${{{s}}_q}$ 的距离可以表示为

$\begin{split} &{d_{q,i}} = \sqrt {{{({x_q} - {x_i})}^2} + {{({y_q} - {y_i})}^2} + {{({z_q} - {z_i})}^2}} , \\ &q = 1,2, ··· ,Q \end{split}$

(2)

假定选取 $P$ 对接收天线进行相位差提取，第 $p$ 对天线由天线 $m$ 和天线 $n$ 组成，则目标在 ${t_i}$ 时刻时，接收天线 $m$ , $n$ 间的无模糊相位差可以表示为

$\begin{split} & {\phi _{p,i}} = \frac{{2\pi [{d_{m,i}} - {d_{n,i}}]}}{\lambda },i = 0,1, ··· ,I - 1;\\ & p = 1,2, ··· ,P \end{split}$

(3)

其中， $\lambda$ 为波长。假定每一对接收天线在不同时刻的相位差测量误差服从零均值独立高斯分布，则 ${t_i}$ 时刻的观测值可以表示为

${\bar \phi _{p,i}} = {\phi _{p,i}} + {\eta _\phi },{\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} {\eta _\phi } \sim N(0,\sigma _\phi ^2)$

(4)

于是天线对 $p$ 的无模糊相位差时间序列可以表示为

${{\bar{{f}}}_p} = {[{\phi _{p,0}},{\phi _{p,2}},···,{\phi _{p,{{I}} - 1}}]^{\rm{T}} }, \;\; p = 1,2, ··· ,P$

(5)

提取到观测量 ${{\bar{{f}}}_p}$ 后，构造向量 ${{X}}$ ：

${{X}} = {[{{{f}}_1}^{\rm{T}} ,{{{f}}_2}^{\rm{T}} , ··· {\kern 1pt} ,{{{f}}_P}^{\rm{T}} ]^{\rm{T}}}$

(6)

对应的观测向量为 ${\bar{{X}}}$ ，即可建立代价函数

$J = ({{X}} - {\bar {{X}}}){({{X}} - {\bar {{X}}})^{\rm{T}} }$

(7)

最后可通过求解式(8)最小二乘估计问题，得到着靶点坐标的估计结果 ${{\hat{{P}}}_\theta }$ ：

${{\hat{{P}}}_\theta } = \arg \mathop {\min }\limits_{{{{P}}_\theta }} J$

(8)

3. 灵敏度分析

3.1 灵敏度

灵敏度反映了待估计参数的变化对观测量的影响情况。2维平面上利用平面阵的目标定位问题中，阵列布放结构与定位精度的关系可以通过几何分析比较直观地得出结论^[8]，而且不同方向上定位精度的差异与基线分量的排布紧密相关。但是在3维空间下对着靶点参数估计的精度，除了会受到观测量噪声大小、阵列布放结构和落点坐标影响以外，还会受到弹道偏角 $\alpha$ 、弹道倾角 $\beta$ 、观测点数 $I$ 和数据提取间隔 $T$ 的影响，估计过程更复杂，很难通过几何分析的方式直观地比较不同阵列布放结构的优劣。灵敏度可以反映相位差观测量受目标运动参数的影响情况^[10]，对于某个运动目标来说，天线阵列布局的不同会造成灵敏度的差异，因此比较灵敏度大小对判断阵列布放结构的优劣有价值。

为了简化表达式，令

$\left. \begin{aligned} & A = ({{I}} - i)\cos \beta \cos \alpha ,B = ({{I}} - i)\cos \beta \sin \alpha \\ & C = ({{I}} - i)\sin \beta \cos \alpha ,D = ({{I}} - i)\sin \beta \sin \alpha \end{aligned} \right\}$

(9)

则 ${t_i}$ 时刻目标与天线 $m$ 和天线 $n$ 的距离可分别表示为

${d_{m,i}} = \sqrt {{{[{x_\theta } - {x_m} - TvA]}^2} + {{[{y_\theta } - {y_m} - TvB]}^2} + {{[{z_\theta } - {z_m} + (I - i)Tv{\rm{sin}}\beta ]}^2}} {\kern 1pt}$

(9)

${d_{n,i}} = \sqrt {{{[{x_\theta } - {x_n} - TvA]}^2} + {{[{y_\theta } - {y_n} - TvB]}^2} + {{[{z_\theta } - {z_n} + (I - i)Tv\sin \beta ]}^2}}$

(10)

则在速度 $v$ 已知的情况下，第 $p$ 个天线对在 ${t_i}$ 时刻的相位差 ${\phi _{p,i}}$ 可表达为

${\phi _{p,i}} = ({d_{m,i}} - {d_{n,i}}) \cdot 2\pi /\lambda$

(12)

其中， ${{{P}}_\theta } \!=\! {[{x_\theta },{y_\theta },{z_\theta }]^{\rm{T}}}$ 为着靶点坐标， $T$ 为相位差数据提取间隔， $I$ 为数据提取点数。对 ${\phi _{p,i}}$ 求全微分可以得到

$\begin{split} \Delta {\phi _{p,i}} =\,& \frac{{\partial {\phi _{p,i}}}}{{\partial {x_\theta }}}\Delta {x_\theta } + \frac{{\partial {\phi _{p,i}}}}{{\partial {y_\theta }}}\Delta {y_\theta } + \frac{{\partial {\phi _{p,i}}}}{{\partial {z_\theta }}}\Delta {z_\theta } \\ & + \frac{{\partial {\phi _{p,i}}}}{{\partial \alpha }}\Delta \alpha + \frac{{\partial {\phi _{p,i}}}}{{\partial \beta }}\Delta \beta \end{split}$

(13)

$\begin{split} \quad \frac{{\partial {\phi _{p,i}}}}{{\partial {x_\theta }}} =\,& \{ [{x_\theta } - {x_m} - TvA]/{d_{m,i}} \\ & - [{x_\theta } - {x_n} - TvA]/{d_{n,i}}\} \cdot 2\pi /\lambda \end{split}$

(14)

$\begin{split} \quad \frac{{\partial {\phi _{p,i}}}}{{\partial {y_\theta }}} =\,& \{ [{y_\theta } - {y_m} - TvB]/{d_{m,i}} \\ & - [{y_\theta } - {y_n} - TvB]/{d_{n,i}}\} \cdot 2\pi /\lambda \end{split}$

(15)

$\begin{split} \quad \frac{{\partial {\phi _{p,i}}}}{{\partial {z_\theta }}} =\,& \{ [{z_\theta } - {z_m} + Tv\sin \beta ]/{d_{m,i}} \\ & - [{z_\theta } - {z_n} + Tv\sin \beta ]/{d_{n,i}}\} \cdot 2\pi /\lambda \end{split}$

(16)

$\begin{split} \quad \frac{{\partial {\phi _{p,i}}}}{{\partial \alpha }} =\,& \{ TvB[{x_\theta } - {x_m} - TvA]/{d_{m,i}} \\ & - TvA[{y_\theta } - {y_m} - TvB]/{d_{m,i}}\} \cdot 2\pi /\lambda \\ \,&- \{ TvB[{x_\theta } - {x_n} - TvA]/{d_{n,i}} \\ & - TvA[{y_\theta } - {y_n} - TvB]/{d_{n,i}}\} \cdot 2\pi /\lambda \!\!\!\!\!\!\! \end{split}$

(17)

$\begin{split} \quad \frac{{\partial {\phi _{p,i}}}}{{\partial \beta }} =\,& \{ TvC[{x_\theta } - {x_m} - TvA]/{d_{m,i}} \\ \,&+ TvD[{y_\theta } - {y_m} - TvB]/{d_{m,i}} \\ \,&- (I - i)Tv\cos \beta [{z_\theta } - {z_m} \\ \,&+ (I - i)Tv\sin \beta ]/{d_{m,i}}\} \cdot 2\pi /\lambda \\ \,&- \{ TvC[{x_\theta } - {x_n} - TvA]/{d_{n,i}} \\ \,&+ TvD[{y_\theta } - {y_n} - TvB]/{d_{n,i}} \\ \,&- (I - i)Tv\cos \beta [{z_\theta } - {z_n} \\ \,&+ (I - i)Tv\sin \beta ]/{d_{m,i}}\} \cdot 2\pi /\lambda \end{split}$

(18)

根据式(13)可以得到 $P$ 对接收天线的相位差时间序列受着靶点坐标 ${{{P}}_\theta } = {[{x_\theta },{y_\theta },{z_\theta }]^{\rm{T}}}$ 影响的灵敏度

$F({{{P}}_\theta }) = \mathop \sum \limits_{p = 1}^P \mathop \sum \limits_{i = 0}^{I - {\rm{1}}} \left(\left| {\frac{{\partial {f_{p,i}}}}{{\partial {x_\theta }}}} \right| + \left| {\frac{{\partial {f_{p,i}}}}{{\partial {y_\theta }}}} \right| + \left| {\frac{{\partial {f_{p,i}}}}{{\partial {z_\theta }}}} \right|\right)$

(19)

以及受目标运动方向 ${{S}} = {[\alpha ,\beta ]^{\rm{T}}}$ 影响的灵敏度

$F({{S}}) = \mathop \sum \limits_{p = 1}^{{P}} \mathop \sum \limits_{i = 0}^{{{I}} - 1} \left(\left| {\frac{{\partial {\phi _{p,i}}}}{{\partial \alpha }}} \right| + \left| {\frac{{\partial {\phi _{p,i}}}}{{\partial \beta }}} \right|\right)$

(20)

$F({{{P}}_\theta })$ 和 $F({{S}})$ 的值体现了着靶点坐标的变化对相位差时间序列整体值的影响， $F({{{P}}_\theta })$ 和 $F({{S}})$ 越大，理论上定位效果也会更好。

3.2 CRLB

为了验证利用灵敏度信息比较不同阵列布局定位性能的可靠性，推导了利用无模糊相位差对匀速直线运动目标参数进行估计的CRLB。令 ${{g}}(i) = [{\phi _{1,i}},$ ${\phi _{2,i}}, ··· , {\phi _{P,i}}]^{\rm{T}}$ ，为 ${t_i}$ 时刻观测的 $P$ 组无模糊相位差，则多次观测的无模糊相位差 ${{H}} = [ {{g}}{(1)^{\rm{T}} },{{g}}{(2)^{\rm{T}} }, ··· ,$ ${{g}}{(i)^{\rm{T}} }, ··· ,{{g}}{(I)^{\rm{T}} }] ^{\rm{T}}$ ，则待估计参数 ${{w}} \!=\! {[{x_{\rm{0}}},{y_{\rm{0}}},{z_{\rm{0}}},\alpha ,\beta ]^{\rm{T}}}$ 的方差为

${\rm{var}} ({w_i}) \ge {\left[ {{F^{ - 1}}(w)} \right]_{ii}}$

(21)

其中， ${{F}}(w)$ 为 $5 \times 5$ 的Fisher信息矩阵，则

${\left[ {{{F}}(w)} \right]_{ij}} = - {\rm{E}}\left[ {\frac{{\partial \ln p({{H}};w)}}{{\partial {w_i}}}\frac{{\partial \ln p({{H}};w)}}{{\partial {w_j}}}} \right]$

(22)

设来波信号的信噪比为 ${\rm{SNR}}$ ，则 ${\phi _{p,i}}$ 的均方根误差 ${\sigma _\phi }{\rm{ = }}\sqrt {1/{\rm{SNR}} }$ 。则由式(22)可以得到待估参数的CRLB界为

${\rm{CRLB(}}w) = {\left\{ {{{\left( {\frac{{\partial {{H}}}}{{\partial w}}} \right)}^{\rm{T}}}{{{R}}^{ - 1}}\left( {\frac{{\partial {{H}}}}{{\partial w}}} \right)} \right\}^{ - 1}}$

(23)

其中， ${{R}} = \sigma _\phi ^2{{{I}}_{PI}}$ 为协方差矩阵， ${{{I}}_{PI}}$ 为 $PI \times PI$ 的单位阵，可见信号的信噪比越大，Fisher信息矩阵中各项的值越大，CRLB越小。式(23)中

$\left.\begin{split} & \frac{{\partial {{H}}}}{{\partial w}} = {\left[ {\frac{{\partial {{g}}(1)}}{{\partial w}} ··· \frac{{\partial {{g}}(i)}}{{\partial w}} ··· \frac{{\partial {{g}}(I)}}{{\partial w}}} \right]^{\rm{T}}}\\ & \frac{{\partial {{g}}(i)}}{{\partial w}} = {\left[ {\frac{{\partial {\phi _{1,i}}}}{{\partial w}} \frac{{\partial {\phi _{2,i}}}}{{\partial w}}··· \frac{{\partial {\phi _{p,i}}}}{{\partial w}}} \right]^{\rm{T}} } \end{split}\right\}$

(24)

其中， $\dfrac{{\partial {\phi _{p,i}}}}{{\partial w}} = {\left[ {\dfrac{{\partial {\phi _{p,i}}}}{{\partial {x_\theta }}},\dfrac{{\partial {\phi _{p,i}}}}{{\partial {y_\theta }}},\dfrac{{\partial {\phi _{p,i}}}}{{\partial {z_\theta }}},\dfrac{{\partial {\phi _{p,i}}}}{{\partial \alpha }},\dfrac{{\partial {\phi _{p,i}}}}{{\partial \beta }}} \right]^{\rm{T}}}$ ，式(14)—式(18)给出了各项的解析式。因此，可以得到着靶点坐标估计及角度估计的CRLB。为了方便与灵敏度计算结果进行对比，将着靶点坐标 ${{{P}}_\theta } = {[{x_\theta },{y_\theta },{z_\theta }]^{\rm{T}}}$ 和目标运动方向 ${{A}} = {[\alpha ,\beta ]^{\rm{T}}}$ 的CRLB分别表示为

$\left.\begin{split} & {{C}} ({{{P}}_\theta }) = {\rm{CRLB(}}x) + {\rm{CRLB(}}y) + {\rm{CRLB(}}z)\\ & {{C}} ({{A}}) = {\rm{CRLB(}}\alpha ) + {\rm{CRLB(}}\beta ) \end{split}\right\}$

(25)

3.3 计算机仿真

选择了3种空间阵列类型进行灵敏度的分析，分别是常见的中心辐射阵、面心辐射阵和参考阵元位于平行于 $z$ 轴棱边中点的顶角辐射阵，如图2所示。为了更好地比较和分析3种阵型的着靶点坐标估计性能，3种阵型都选取了8组天线对来提取相位差数据，参考阵元分别位于坐标 ${[0,0,2]^{\rm{T}}}$ m, ${[0,0,0]^{\rm{T}}}$ m和 ${[ - 2, - 2,2]^{\rm{T}}}$ m处。

图 2 3种常见空间阵列

下载: 全尺寸图片幻灯片

在 $xoy$ 平面上 $x \in [ - 50,50]$ m， $y \in [ - 50,50]$ m的方形区域上以 $2 \times 2\;{{\rm{m}}^{\rm{2}}}$ 的方格为单位均匀地选择2601个点作为待测的着靶点。以中心辐射阵为例，天线阵列与所选靶平面的相对位置关系如图3所示。设目标匀速直线运动速度为 $800\;{\rm{m}} /{\rm{s}}$ ，波长 $\lambda =$ $0.15\;{\rm{m}}$ ，数据提取点数 $I = 500$ 个，信噪比 ${\rm{SNR}} {\rm{ = }}9\;{\rm{dB}}$ ，数据提取间隔 $T = 1\;{\rm{ms}}$ 。选取弹道偏角 $\alpha = {10^\circ }$ ，弹道倾角 $\beta = {80^\circ }$ ，观测量对着靶点坐标变化的灵敏度和坐标估计CRLB分布情况如图4和图5所示。为了更清晰地对比靶平面上3种阵列灵敏度和CRLB由近到远的变化情况，在坐标原点 $O$ 到点 ${[50,50,0]^{\rm{T}} }$ m这条线段上均匀选择6个点来做比较，如表1所示。

图 3 阵列与靶平面的相对位置

下载: 全尺寸图片幻灯片

图 4 观测量对着靶点位置变化的灵敏度

下载: 全尺寸图片幻灯片

图 5 着靶点位置估计CRLB

下载: 全尺寸图片幻灯片

表 1 不同阵列的灵敏度和CRLB对比

坐标 (m)	(0,0,0)	(10,10,0)	(20,20,0)	(30,30,0)	(40,40,0)	(50,50,0)
中心辐射阵灵敏度	90.47	59.27	49.49	44.13	40.43	37.60
面心辐射阵灵敏度	132.31	83.81	69.89	62.36	57.23	53.34
顶角辐射阵灵敏度	92.06	59.83	50.14	44.83	41.16	38.35
中心辐射阵CRLB	3.9e-5	5.9e-4	0.0017	0.0031	0.0049	0.0071
面心辐射阵CRLB	4.8e-5	3.7e-4	0.001	0.0019	0.0029	0.0041
顶角辐射阵CRLB	4.7e-5	4.1e-4	0.0011	0.002	0.0031	0.0045

下载: 导出CSV

| 显示表格

由图4、图5和表1可见，中心辐射阵和面心辐射阵对着靶点坐标的灵敏度分布特征比较相似，在各个方向上灵敏度变化比顶角辐射阵更加均匀，并且具有着靶点距离靶中心越远灵敏度越低、CRLB越大的特点。从数值上看，面心辐射阵的灵敏度值最高，顶角辐射阵次之，中心辐射阵最低。这说明同样是选取8对接收天线提取相位差的情况下，面心辐射阵的相位差观测量对着靶点坐标的变化最敏感，而中心辐射阵最迟钝。CRLB的计算结果也验证了这一点，如图5所示，从靶平面上的整体数值分布来看，面心辐射阵的CRLB界最低，即无偏估计理论上可以达到的精度最佳，顶角辐射阵次之，中心辐射阵最差，与灵敏度计算结果反映的3种阵列的优劣情况一致。

同样仿真条件下，观测量对目标运动角度参数变化的灵敏度和角度估计CRLB分布情况如图6和图7所示。

图 6 观测量对目标运动角度参数变化的灵敏度

下载: 全尺寸图片幻灯片

图 7 目标运动角度估计CRLB

下载: 全尺寸图片幻灯片

比较观测量对角度参数的灵敏度和角度估计CRLB的计算结果可以看出，在整个靶平面上，顶角辐射阵的灵敏度最大，CRLB也最低。中心辐射阵的灵敏度高于面心辐射阵，靶平面中部区域的CRLB也优于面心辐射阵，但是对于着靶点位于靶平面边缘的运动目标，面心辐射阵的目标参数估计CRLB则小于中心辐射阵。可见，对某些轨迹存在着观测量对角度参数灵敏度越大，CRLB反而越差的现象。通过式(13)和式(21)可以看出，观测量对某一个目标运动参数变化的灵敏度与其它参数的变化无关，而CRLB的计算过程中，不同的运动参数则互相影响。当假设其余参数已知时，即排除参数间相互影响，某个参数的CRLB与灵敏度的分布情况更加一致。仿真条件不变，假设着靶点坐标 ${{{P}}_\theta } =$ ${[{x_\theta },{y_\theta },{z_\theta }]^{\rm{T}}}$ 和弹道倾角 $\beta$ 已知，弹道偏角 $\alpha$ 的CRLB和灵敏度对比结果如图8和图9所示。

通过仿真计算结果可以看出，顶角辐射阵灵敏度最高同时CRLB最优，中心辐射阵次之，面心辐射阵最差。可见，当假设除弹道偏角 $\alpha$ 外的参数均为已知时，观测量对 $\alpha$ 变化的灵敏度和 $\alpha$ 估计CRLB分布情况更为一致。

图 8 观测量对

$\alpha$ 变化的灵敏度

下载: 全尺寸图片幻灯片

图 9

$\alpha$ 估计CRLB

下载: 全尺寸图片幻灯片

4. 结论

本文针对基于PDOA着靶点参数估计问题提出了一种利用灵敏度分析来判断不同阵列类型定位性能的方法。通过灵敏度和CRLB的计算结果对比可以看出，灵敏度分析的方法可以较为直观和准确地体现不同阵列定位性能的差异，为工程设计提供了一种阵列结构选型和比较的方法。

图 1 1阶掩码AES加密流程图

下载: 全尺寸图片幻灯片

图 2 共享型AES示意图

下载: 全尺寸图片幻灯片

图 3 安全与门电路

下载: 全尺寸图片幻灯片

图 4 GF(((2²)²)²)求逆操作

下载: 全尺寸图片幻灯片

图 5 利用新基底实现求逆运算

下载: 全尺寸图片幻灯片

图 6 开发板总体验证方案

下载: 全尺寸图片幻灯片

图 7 两种AES能量迹对比

下载: 全尺寸图片幻灯片

图 8 1阶相关能量分析攻击验证

下载: 全尺寸图片幻灯片

图 9 2阶相关能量分析攻击1阶掩码

下载: 全尺寸图片幻灯片

图 10 2阶相关能量分析攻击共享型掩码

下载: 全尺寸图片幻灯片

${x^{254}}$ 的最优计算步骤

下载: 全尺寸图片幻灯片

1 确定下标(i,j)所属集合

输入：软件上定义的GF(2⁸)乘法：Gfmult。
输出：集合U_k，k=0,1,2,3,4,5,6,7。
(1) for ( k=0; k<7; k++ ) do
(2) 　U_k= $\varnothing$ ；
(3) 　for ( j=0; j<7; j++ ) do
(4) 　　b=2 ^j；
(5) 　　for ( i=0; i<7; i++ ) do
(6) 　　　a=2ⁱ；
(7) 　　　if (Gfmult(a,b)的二进制表示的第k位等于1) then
(8) 　　　　U_k=U_k ∪ {(i,j)}；
//有限域上乘积的某一比特等于1,将下标加入对应的集合
(9) 　　　end if
(10) 　 end for
(11) end for
(12) end for
(13) return U_k，k=0,1,2,3,4,5,6,7；

下载: 导出CSV

下标 $(i,j)$ 分布表

		a_i
		c₇	c₆	c₅	c₄	c₃	c₂	c₁	c₀
b_j	b₀	7	6	5	4	3	2	1	0
	b₁	6	5	4	3,7	2,7	1	0,7	7
	b₂	5	4	3,7	2,6,7	1,6	0,7	6,7	6
	b₃	4	3,7	2,6,7	1,5,6	0,5,7	6,7	5,6	5
	b₄	3,7	2,6,7	1,5,6	0,4,5,7	4,6,7	5,6	4,5	4
	b₅	2,6,7	1,5,7	0,4,5,7	3,4,6	3,5,6,7	4,5	3,4,7	3,7
	b₆	1,5,6	0,4,5,7	3,4,6	2,3,5	2,4,5,6,7	3,4,7	2,3,6	2,6,7
	b₇	0,4,5,7	3,4,6	2,3,5	1,2,4,7	1,3,4,5,6,7	2,3,6	1,2,5,7	1,5,6

下载: 导出CSV

表 2 安全求逆电路面积对比

实现方式	vivado综合		理论计算
实现方式	LUT	FF	安全与门	异或门
文献[8]	992	0	256	740
文献[9]	299	0	80	234
3.3.1节两次同构映射	259	0	60	201
3.3.2节基于正规基的单次映射	285	0	60	246

下载: 导出CSV

参考文献(20)

[1]	王永娟, 樊昊鹏, 代政一, 等. 侧信道攻击与防御技术研究进展[J]. 计算机学报, 2023, 46(1): 202–228. doi: 10.11897/SP.J.1016.2023.00202. WANG Yongjuan, FAN Haopeng, DAI Zhengyi, et al. Advances in side channel attacks and countermeasures[J]. Chinese Journal of Computers, 2023, 46(1): 202–228. doi: 10.11897/SP.J.1016.2023.00202.
[2]	HASNAIN A, ASFIA Y, and KHAWAJA S G. Power profiling-based side-channel attacks on FPGA and Countermeasures: A survey[C]. The 2nd International Conference on Digital Futures and Transformative Technologies (ICoDT2), Rawalpindi, Pakistan, 2022: 106–113. doi: 10.1109/ICoDT255437.2022.9787473.
[3]	KOCHER P, JAFFE J, and JUN B. Differential power analysis[C]. The 19th Annual International Cryptology Conference on Advances in Cryptology - CRYPTO’99, Santa Barbara, USA, 1999: 388–397. doi: 10.1007/3-540-48405-1_25.
[4]	BRIER E, CLAVIER C, and OLIVIER F. Correlation power analysis with a leakage model[C]. The 6th International Workshop on Cryptographic Hardware and Embedded Systems, Cambridge, USA, 2004: 16–29. doi: 10.1007/978-3-540-28632-5_2.
[5]	CHARI S, JUTLA C S, RAO J R, et al. Towards sound approaches to counteract power-analysis attacks[C]. The 19th Annual International Cryptology Conference on Advances in Cryptology - CRYPTO’99, Santa Barbara, USA, 1999: 398–412. doi: 10.1007/3-540-48405-1_26.
[6]	GOLIĆ J D and TYMEN C. Multiplicative masking and power analysis of AES[C]. The 4th International Workshop on Cryptographic Hardware and Embedded Systems - CHES 2002, Redwood Shores, USA, 2002: 198–212. doi: 10.1007/3-540-36400-5_16.
[7]	ISHAI Y, SAHAI A, and WAGNER D. Private circuits: Securing hardware against probing attacks[C]. The 23rd Annual International Cryptology Conference on Advances in Cryptology -- CRYPTO 2003, Santa Barbara, USA, 2003: 463–481. doi: 10.1007/978-3-540-45146-4_27.
[8]	RIVAIN M and PROUFF E. Provably secure higher-order masking of AES[C]. The 12th International Conference on Cryptographic Hardware and Embedded Systems - CHES 2010, Santa Barbara, USA, 2010: 413–427. doi: 10.1007/978-3-642-15031-9_28.
[9]	KIM H S, HONG S, and LIM J. A fast and provably secure higher-order masking of AES S-Box[C]. The 13th International Workshop on Cryptographic Hardware and Embedded Systems – CHES 2011, Nara, Japan, 2011: 95–107. doi: 10.1007/978-3-642-23951-9_7.
[10]	TAOUIL M, ALJUFFRI A, and HAMDIOU S. Power side channel attacks: Where are we standing?[C]. The 16th International Conference on Design & Technology of Integrated Systems in Nanoscale Era (DTIS), Montpellier, France, 2021: 1–6. doi: 10.1109/DTIS53253.2021.9505075.
[11]	SINGHA T B, PALATHINKAL R P, and AHAMED S R. Securing AES designs against power analysis attacks: A survey[J]. IEEE Internet of Things Journal, 2023, 10(16): 14332–14356. doi: 10.1109/JIOT.2023.3265683.
[12]	XU Yongkang, DENG Feng, XU Weihan, et al. Unified coprocessor for high-speed AES-128 and SM4 encryption[C]. The IEEE 6th Advanced Information Technology, Electronic and Automation Control Conference (IAEAC), Beijing, China, 2022: 640–644. doi: 10.1109/IAEAC54830.2022.9929737.
[13]	SATOH A, MORIOKA S, TAKANO K, et al. A compact rijndael hardware architecture with S-Box optimization[C]. The 7th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology, Gold Coast, Australia, 2001: 239–254. doi: 10.1007/3-540-45682-1_15.
[14]	WOLKERSTORFER J, OSWALD E, and LAMBERGER M. An ASIC implementation of the AES SBoxes[C]. The Cryptographer’s Track at the RSA Conference 2002, San Jose, USA, 2002: 29–52. doi: 10.1007/3-540-45760-7_6.
[15]	CANRIGHT D. A very compact Rijndael S-box[C]. Cryptographic Hardware and Embedded Systems – CHES 2005, Edinburgh, UK, 2005: 441–455.
[16]	IYER V, WANG Meizhi, KULKARNI J, et al. A systematic evaluation of EM and power side-channel analysis attacks on AES implementations[C]. 2021 IEEE International Conference on Intelligence and Security Informatics (ISI), San Antonio, USA, 2021: 46–51. doi: 10.1109/ISI53945.2021.9624778.
[17]	段晓毅, 王思翔, 崔琦, 等. 一种带掩码AES算法的高阶差分功耗分析攻击方案[J]. 计算机工程, 2017, 43(10): 120–125. doi: 10.3969/j.issn.1000-3428.2017.10.021. DUAN Xiaoyi, WANG Sixiang, CUI Qi, et al. A high-order differential power analysis attack scheme with Masked AES algorithm[J]. Computer Engineering, 2017, 43(10): 120–125. doi: 10.3969/j.issn.1000-3428.2017.10.021.
[18]	郭筝, 杨正文, 张效林, 等. 一种基于乘法掩码的AES 防护方案[J]. 密码学报, 2023, 10(1): 209–218. doi: 10.13868/j.cnki.jcr.000590. GUO Zheng, YANG Zhengwen, ZHANG Xiaolin, et al. A side-channel countermeasure for AES based on multiplication mask[J]. Journal of Cryptologic Research, 2023, 10(1): 209–218. doi: 10.13868/j.cnki.jcr.000590.
[19]	郭志鹏. 高阶掩码防护方案设计及安全检测技术研究[D]. [博士论文], 武汉大学, 2019. GUO Zhipeng. Design of high-order masking scheme and security detection technology[D]. [Ph. D. dissertation], Wuhan University, 2019.
[20]	RAMEZANPOUR K, AMPADU P, and DIEHL W. RS-mask: Random space masking as an integrated countermeasure against power and fault analysis[C]. 2020 IEEE International Symposium on Hardware Oriented Security and Trust (HOST), San Jose, USA, 2020: 176–187. doi: 10.1109/HOST45689.2020.9300266.

施引文献

资源附件(0)

访问统计

图(11) / 表(3)

计量

文章访问数: 383
HTML全文浏览量: 222
PDF下载量: 55
被引次数: 0

1. 引言
2. 定位原理
2.1 观测模型
2.2 着靶点坐标估计
3. 灵敏度分析
3.1 灵敏度
3.2 CRLB
3.3 计算机仿真
4. 结论

姓名
邮箱
手机号码
标题
留言内容
验证码

留言板

秘密共享：高阶掩码S盒和有限域安全乘法设计

doi: 10.11999/JEIT231272 cstr: 32379.14.JEIT231272

通讯作者:
冯燕　fengyan@ime.ac.cn

计量

Secret Sharing: Design of Higher-Order Masking S-box and Secure Multiplication in Galois Field

1. 引言

2. 定位原理

2.1 观测模型

2.2 着靶点坐标估计

3. 灵敏度分析

3.1 灵敏度

3.2 CRLB

3.3 计算机仿真

4. 结论

计量

目录

1. 引言

2. 定位原理

2.1 观测模型

2.2 着靶点坐标估计

3. 灵敏度分析

3.1 灵敏度

3.2 CRLB

3.3 计算机仿真

4. 结论

留言板

秘密共享：高阶掩码S盒和有限域安全乘法设计

doi: 10.11999/JEIT231272 cstr: 32379.14.JEIT231272

通讯作者: 冯燕 fengyan@ime.ac.cn

计量

出版历程

Secret Sharing: Design of Higher-Order Masking S-box and Secure Multiplication in Galois Field

1. 引言

2. 定位原理

2.1 观测模型

2.2 着靶点坐标估计

3. 灵敏度分析

3.1 灵敏度

3.2 CRLB

3.3 计算机仿真

4. 结论

计量

出版历程

目录

1. 引言

2. 定位原理

2.1 观测模型

2.2 着靶点坐标估计

3. 灵敏度分析

3.1 灵敏度

3.2 CRLB

3.3 计算机仿真

4. 结论

通讯作者:
冯燕　fengyan@ime.ac.cn