安全芯片.docx
- 文档编号:25169354
- 上传时间:2023-06-05
- 格式:DOCX
- 页数:8
- 大小:41.31KB
安全芯片.docx
《安全芯片.docx》由会员分享,可在线阅读,更多相关《安全芯片.docx(8页珍藏版)》请在冰豆网上搜索。
安全芯片
光学与电子信息学院课程考查答题本
电子、集成专业
(2013——2014学年第一学期)
课程名称集成电路工程前沿技术概论
课程类别□必修限选
班级集成1001班
学号U201014182
姓名乔义飞
任课教师刘政林
考试日期2014年1月9日
成绩评定
任课教师
注:
无任课老师签名成绩无效。
安全芯片攻击防御技术研究
摘要:
信息安全技术在国家安全和社会经济生活中发挥着极其重要的作用,而各种安全芯片是信息安全技术不可或缺的硬件载体。
目前由于SoC技术的进步,安全芯片已经发展成为功能齐全,软硬件结构复杂的嵌入式系统,但是同时安全芯片却普遍存在着安全性问题,尤其是旁道攻击技术的存在,对安全芯片构成了严重的威胁。
本文简要介绍了三种针对密码系统的攻击方法,然后详细介绍了其中的旁道攻击的各种方法及其特点,最后介绍了安全芯片的旁道攻击防御技术的现状与发展趋势。
关键词:
安全芯片旁道攻击防御技术
一、引言
随着现代社会的日益信息化、数字化与网络化,人们对信息安全技术的需求
越来越广泛和深入,信息安全技术的应用领域从传统的军事、政治部门逐步扩展到社会经济生活的各个角落,信息安全产品成为整个社会良性运转的重要保障。
信息安全技术历来是捍卫国家安全的有力武器,目前信息与通讯技术十分发达,
通讯交互过程变得十分频繁和复杂,如果没有可靠的信息安全机制,那么重要的军事、政治信息将在各种通讯渠道中泄漏出去,从而对国家安全造成严重的危害。
由于互联网的普及,网络生活成为社会生活的一部分,电子商务和电子政务将极
大地便利人们的生活,而信息安全技术则是这两种业务健康发展的基础。
近几十年了集成电路技术有了突飞猛进的发展,各种集成电路构成了现代电子设备的基石,信息安全技术也依赖于相应的安全芯片作为硬件载体。
安全芯片
是很多信息系统的重要组件,系统的原始信息经过安全芯片的处理才能够进行安全地传输和交换。
安全芯片一些典型的例子如:
智能卡芯片,无线局域网安全芯片,虚拟个人网(VPN)相关芯片等。
另外为了进一步解决各种安全问题,下一代可信计算机和各种移动终端也都将应用各种安全芯片。
安全芯片形式多样,包括简单的数据保护电路,密码算法硬件加速器,以及内嵌CPU的SoC系统等,各类安全芯片的研究、设计、制造和应用己构成一个相对独立的技术领域,形成了一定的产业规模。
二、针对密码系统的攻击方法
在密码学领域,攻击和防御是一个永恒的主题,对各种攻击的抵抗能力正是密码系统安全性的证明,在实际应用中,目前不存在理论上不可破译的密码,一种密码只需要实际应用上不可攻破就是一种安全的密码一就是说该密码在有限时间有限人力基础上不可破译,或者攻破它所花费的代价远大于保密信息的价值。
这也是密码系统的实际意义所在。
2.1对密码系统的数学攻击
一般而言,评定一个安全的密码系统往往将密码算法建模为一个理想的数学问题来进行分析,而对于一个密码攻击者来说,其主要工作也是进行数学计算和分析,因此传统的攻击方法称为数学攻击。
密码算法的工作过程是公开的,加密数据的隐秘性依赖于密钥的不可见,因此进行密码分析和攻击主要集中在对密钥的搜索上。
强力攻击(brute-forceattack)是一个典型的密钥搜索方法。
对于对称分组密码算法,强力攻击反复枚举和尝试每一个可能的密钥值直到找到真正的密钥。
这样的攻击方法计算量十分庞大,但是随着计算机运算能力的提高,该方法也可以成功攻击比如DES一类的密码算法。
已开发的破解DES的计算设备可以在9天之内搜索所有
个可能的密钥。
对强力攻击的防卫相对比较容易,只要提高密码算法的密钥长度就可以使其不可行。
除了强力攻击之外,针对对称分组密码还有两种有威力的数学攻击,差分密码分析和线性密码分析,这两种方法都可以将DES的破译复杂度降到
但是这样的攻击仍只是具有理论意义,在实际操作中可行性太差。
对于公钥制密码系统,数学攻击的方法比较特殊。
关于RSA的密码分析主要集中在如何进行大数的因子分解,一般采用二次筛的方法,不过更强大的广义数域筛和特殊数域筛也逐步得到应用。
RSA的数学攻击既依赖于因子分解方法的改进,更依赖于计算机计算能力的继续增长,512位密钥长度的RSA密码已被研究者通过利用因特网联合大量计算机并行计算的方法所攻破,但1024位以上的RSA密码仍具有足够的安全性。
ECC的数学攻击是需要计算椭圆曲线对数问题,而Pollardtho方法是最快的计算技术,但是对于密钥长度为234位的ECC密码,所需的计算量是
MIPS年,因此数学攻击在实际上是不可行的。
总的来说,数学攻击可以在理论上分析密码算法的弱点,但对于实际的密码系统,数学攻击并不能构成大的威胁。
2.2对密码系统的软件攻击
由于实际应用的要求越来越高,以及集成电路技术的进步,目前安全芯片的发展趋势是采用嵌入式SOC系统的实现方案。
这样的安全芯片系统拥有自己的操作系统和应用软件,可以安装和载入程序代码,因此它可以实现复杂的功能,具有方便用户配置的灵活性,但是也造成了相应的安全问题,即为软件攻击提供了可能性。
目前的软件代码变得越来越复杂,并且不可避免地存在漏洞和不安全因素,一个十分明显的例子就是缓存溢出问题,这种代码上的不安全性很容易被攻击者利用。
操作系统和应用软件一般是可扩展和升级的,这带来了很大的便利性,但是攻击者却可以利用软件的扩展升级来进行有害的操作和篡改。
对于与网络相连的安全芯片,软件攻击的威胁就更为严重,因为攻击者不必直接接触安全芯片,只要通过网络寻找安全芯片上软件的漏洞,然后发起攻击,攻击的过程变得便利和隐蔽。
另外,攻击者可以通过网络迅速把窃取的关键信息发送出去,特别是信息安全系统中的密钥及其所要保护的重要数据。
因此在设计安全芯片SoC系统时应该充分考虑软件攻击的威胁。
2.3对密码系统的旁道攻击
实际的密码系统需要将数学模型映射为一定的物理实现,目前物理实现的主要形式是电子设备和芯片,因此实际的密码系统在运行过程中不可避免地会泄露一些旁道信息。
图1给出了旁道信息泄露过程的模型,如图所示,密码设备在运行过程中泄露了多种旁道信息,包括功耗信息、电磁信息、时间信息和差错信息等,而这些信息又与密码算法的密钥存在密切的相关性。
图1旁道信息泄露的模型
密码设备泄漏的旁道信息为一种威力强大的攻击方法一旁道攻击的出现提供了可能。
旁道攻击是一大类攻击方法的总称,包括功耗分析攻击,时间分析攻击,电磁分析攻击和差错导入攻击等。
它们的共同特点就是利用一定的旁道信息攻击物理实现后的密码算法,而不是基于传统的对密码算法的数学分析。
下面分别介绍一下各种旁道攻击方法的主要特点。
2.3.1功耗分析攻击
功耗分析攻击是基于分析集成电路的功耗特性与电路内数据之间的相关性而发展出来的旁道攻击方法,主要分为简单功耗分析(simplepoweranalysis,SPA)和差分功耗分析(differentialpoweranalysis,DPA)两大类。
简单功耗分析易于实现,主要通过观察芯片运行过程中的功耗轨迹来获取一些与密钥相关的有用信息,特别适合于攻击具有分支结构的加密算法。
SPA虽然受制于环境噪声,但是它对攻击者缩小密钥猜测范围很有帮助。
目前随着信号探测设备和信号处理技术的水平不断提高,去除噪声变得更为容易,因此SPA对于安全芯片还是构成了一定的威胁,它对未作保护的DES,AES,ECC,RSA等密码算法均有不同程度的攻击能力。
差分功耗分析较为复杂,它是基于大量的芯片功耗信息的统计分析方法,能够克服SPA所难以避免的测量误差和噪声影响,对非对称和对称密码系统都有强大的攻击能力。
在国际上DPA攻击方法得到了广泛和深入地研究,针对各种通用的密码算法都发展出了相应的DPA方法,而且可以根据不同的应用条件进行调整和配置,形成了一个种类齐全的系列。
比如攻击RSA算法的DPA方法可以分为SEMD攻击,MESD攻击,ZEMD攻击。
为了提高DPA攻击的信噪比,多比特DPA攻击得到发展。
另外为了挫败一些常规的防御措施,也发展出了一些如带相关性分析的DPA攻击和高阶DPA攻击等更为强大的攻击方法。
2.3.2时间分析攻击
时间分析攻击是利用安全芯片的运算时间与输入数据的相关性进行密钥分析的攻击方法。
这种相关性主要来源于算法中的条件分支结构,对存储器中数据的缓冲(CachinginRAM),不同的指令长度等,而相关性的强与弱取决于密码算法本身及其具体实现的方式。
时间分析攻击自出现以来也得到了不断的发展,其对于RSA公钥制密码系统颇为有效,目前已有报道表明,可以利用时间分析攻击获取网络服务器的安全套接层(SSL)的RSA密钥。
由于计算机性能的提高,而且网络的延迟也越来越小,对加密运算的时间测量变得更为精确,因此时间分析攻击的危害性也正在日益显著。
2.3.3电磁分析攻击
电磁分析攻击是一种探测芯片运行过程中的电磁辐射信号来分析芯片内部敏感数据的攻击方法。
芯片的电磁辐射反映了芯片内部的电流和功耗变化,也就是逻辑单元的翻转状况,这些都与运算数据的0,1状态有相关性。
功耗分析只能分析芯片电路总体的功耗变化,而电磁分析则可以集中探测芯片某一关键部分的功耗变化,但是这需要对芯片版图有一定的了解。
研究者通过对芯片CPU,RAM,ROM,EEPROM,数据总线,电源线等不同部位的电磁信号探测发现,CPU的电磁信号是最具数据相关性的。
目前电磁分析中探测器的能力还不强,主要依靠直径为50一500微米的铜线圈,如果探测器的质量和性能得到大幅度提高,电磁分析攻击是一种非常有潜力的攻击方法。
2.3.4差错导入攻击
差错导入攻击首先通过设置外在因素和改变环境条件,比如时钟频率、电源电压、以及温度、光照、辐射等,从而导致安全芯片内部产生错误状态,然后收集芯片在错误状态下的信息,将其与安全芯片正常状态下的信息相对比,就可以在一定程度上可以获取芯片内部的敏感数据。
另外,差错导入攻击可以使安全芯片的功能失效,也可以破坏其内部的数据完整性。
目前,通过以差错导入攻击来获取密钥已经从一种理论构想转化为一种切实可行的方法,攻击对象从最初的RSA等公钥制密码系统扩展到DES和AES算法。
一个信息安全系统应该在算法的数学基础、安全协议和芯片实现等各个层次进行充分的验证,这样才能真正满足信息安全理论第五个基本性质一可确保性的要求。
目前算法的数学基础和安全协议方面的验证工作是相对系统和完整的,而在芯片实现方面,与安全相关的研究和验证工作很不完善。
不论是嵌入式微处理器和ASIC协处理器,还是FPGA硬件电路来实现密码算法,都会受制于旁道攻击,因为各种形式的安全芯片在运行过程中不可避免地要泄漏旁道信息。
随着信号探测设备和信号处理技术的快速发展,对于目前以芯片实现的密码系统,旁道攻击变得越来越便捷和多样化,因此对密码系统安全性构成了日益严重的威胁。
有鉴于此,要使安全芯片真正符合信息安全基本性质的客观要求,就必须在深入了解旁道攻击方法的基础上提出相应的行之有效的防御技术。
三、旁道攻击防御技术的现状与发展趋势
针对以上四种旁道攻击,相应的防御技术也在发展之中。
防御技术的研究方向主要分为算法级、电路级、逻辑级和系统级等几个方面。
国际上的算法级防御技术研究已获得一定的进展,研究工作的焦点在于消除分支结构、引入随机性和屏蔽操作数等。
目前虽然己提出不少抗攻击算法,但是存在的问题是硬件成本偏大,运算速度偏低,因此今后的研究工作中需要解决安全性提高和性能降低之间的矛盾。
电路级防御技术研究的重点是在电路结构上平衡功耗差异,引入噪声,从而降低攻击者的信噪比。
另外攻击报警电路、电源滤波电路、存储器保护电路也得到了人们的重视,针对差错导入攻击各种纠错、容错电路也在不断发展中。
逻辑级防御技术研究也引起国际学术界的兴趣,利用异步逻辑设计的电路对功耗和时间分析攻击都有很好的防御作用,并且是低功耗的实现方案,另外比如基于SABL(SenseAmplifierBasedlogie),SDDL(SimpleDynamicDifferentialLogie),和WDDL(WaveDynamieDifferentialLogie)等逻辑的电路设计也得到了研究,显示出良好的抗功耗分析能力。
这类防御技术的缺点就是需要改变主流的设计流程,实现代价太昂贵,不易在工业界推广。
系统级防御技术研究主要着眼于对安全芯片的片上系统进行合理规划,配置相应的抗攻击模块,既注重片上系统的安全性,又注重系统的兼容性和灵活性。
目前安全芯片的防御技术与底层设计关联性太大,不易在不同的设计之间进行移植。
面向SoC,实现IP复用是防御技术要努力发展的一个方向。
安全芯片的防御旁道攻击技术研究是一个多层次和多学科交叉的工作,要结合现代密码学、电路与系统、信号处理、微电子学等多个领域的知识。
既要正确评估目前的仪器设备和信号处理技术对安全芯片的探测分析能力,又要了解和掌握旁道攻击物理基础和理论方法,更重要的是要从密码理论、算法、VLSI实现和SoC系统集成等方面提出应对方案,排除易受攻击的弱点。
参考文献:
[1]韩军,信息安全芯片的防御攻击技术研究,复旦大学,2006
[2]叶世芬,安全芯片物理防护研究,浙江大学,2005
[3]易青松,戴紫彬,SoC安全芯片物理级攻击方法及安全防护探析,国外电子元器件,2007,5:
23—30
[4]周宏华,李树国,周润德,高安全性的智能卡芯片结构与设计,清华大学学报(自然科学版),2003,43(4):
569-572
[5]温圣军,基于SoC的专用安全芯片设计与实现,解放军信息工程大学,2009
[6]童元满,王志英,戴葵等,基于动态双轨逻辑的抗功耗攻击安全芯片半定制设计流程,小犁微型计算机系统,2007,28(5):
935一93
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 芯片