基于聚類的簡單能量分析自動化測評方案

側信道分析又叫非入侵式攻擊，是密碼模塊安全檢測的重要項目。在ISO/IEC 17825-2016標準和GM/T 0083-2020標準中，簡單能量分析（Simple Power Analysis，SPA）均為非入侵式攻擊檢測的核心項目，它通過觀察密碼模塊在加密過程中能量消耗的變化規律，尋找與密鑰相關的特定操作的特征，進而恢復密鑰。

然而，在實際的密碼模塊測評實踐中，SPA存在著一定的問題： 

• 主觀性。SPA在實際測評中主要依賴于測評人員的肉眼觀察，因此需要測評人員具有豐富的側信道安全性測評經驗；同時，其結論具有較強的主觀性，不同測評人員可能會得到截然不同的結論；
• 易漏判。能量波形的部分特征是人眼難以捕捉的，尤其是在有限時間條件下、或測評人員疲勞時，有些特征未必能夠精準獲得；
• 低效率。在實際測評時，人工判斷的方法效率偏低，難以滿足當下快速、自動化的安全性測評需求。

為了突破上述技術瓶頸，數緣科技提出了一種基于聚類算法^[1]的簡單能量分析自動化測評方案^[2]，并集成于數緣科技自主研發的MathMagic Detector側信道分析測評工具中。該方案引入聚類總體準確率作為測評的量化度量指標之一，實現了人工智能聚類算法與側信道分析的有機結合。我們在SAKURA-G FPGA開發板上實現了一個帶隨機延時的ECC簽名過程，并對其能量波形進行安全性測評，以此為例，下面將依次介紹如何使用該工具快速完成切分、降維、聚類三步驟。

聚類側信道分析的一般步驟

切分

切分指將采集到的能量或電磁等側信道波形以操作為單位切分為多個有序的波形段。Detector側信道分析測評工具支持按照波形尖峰高度特征將波形中的各波形段切分出來，同時支持以可區分尖峰間的波形段寬度為標準將波形段寬度特征提取出來，方便對波形中的每個感興趣波形段進行分析。

我們采集到一條FPGA在執行帶隨機延時的ECC簽名過程的能量波形，作為待切分波形，下圖是其局部放大圖。可以看出，該波形的尖峰并不明顯，對這類波形直接切分的效果并不理想，并且也不適合按照寬度進行切分。所以我們需要進行預處理，以使尖峰特征更為明顯。

待切分波形局部放大圖

在預處理過程中，首先依照經驗對其進行低通濾波，濾波權重設置為120濾波后得到的波形的局部放大圖如下圖所示。可以看出明顯的正尖峰，但是從圖上難以直接看出兩種操作的區別。也就是說，如果用肉眼觀測的方法進行安全性測評，最終得到的結果很有可能是無泄露。

低通濾波后波形局部放大圖

我們對濾波后的波形進行切分，再將該切分結果標記至原始波，從而得到更加精準的切分結果。低通濾波后的波形和原始波形的切分結果分別如下圖所示。

對低通濾波波形進行切分后的單段波形

對原始波形進行切分后的單段波形

這樣，我們就按照波形中的大尖峰特征將各操作對應的波形段切分出來，完成了切分的操作。為了便于分析，接下來需要對這些波形段進行降維處理。

02

降維

切分后的波形段通常包含較多采樣點，每個采樣點被看成是高維空間中的一個維度。降維是指把切分得到的高維波形段降到低維空間。采樣點數過多會嚴重影響聚類的分析速率，所以進行聚類分析前我們需要對波形段進行降維處理。降維可以用原始變量的線性組合作為新的變量來表示原始數據，用較少的特征來表示波形段的絕大多數信息。

本例采用主成分分析方法，把波形段降維到二維空間，即用2個數構成的一對維度變量表示每個波形段。以波形段0~63為例，降維得到的能量波形段如下圖所示，降維后的每段波僅有2個數。

降維后的能量波形段

對于ECC簽名中的約380個操作，可將其每個操作對應的波形段降維后的2個數分別作為橫縱坐標繪制可視化圖形，每個波形段對應二維空間中的一個點，該可視化圖形結果如下圖所示。

降至二維的可視化圖形

這樣，我們就將每個切分后的波形段對應到二維空間中的一個點，并繪制出可視化圖形，完成了降維操作，接下來就可以進行最后一個步驟——聚類了。

03

聚類

基于聚類的簡單能量分析自動化測評方案主要思想為：首先通過聚類將各個操作對應的波形段自動劃分為兩類；隨后根據已知正確密鑰對應的兩種操作，將波形段劃分為兩類；再根據每個點在上述兩種分類中所在類別是否吻合，計算出聚類分析的總體準確率；最后，測評人員根據總體準確率來衡量該密碼模塊的安全性。

聚類，是一種無監督的機器學習方法，它可以自動通過輸入數據的特征將其自然分組，使同一類的數據盡可能聚集到一起，而不同類數據盡量分離。由于一些密碼算法包含兩種或多種重復的密碼操作，如果能通過聚類的方式將這些在波形上重復執行的密碼操作劃分為不同的幾個類別，再結合具體密碼運算的內部結構，就存在恢復出敏感信息的可能性。Detector側信道分析測評工具支持層次聚類、K均值聚類、高斯混合聚類、DBSCAN聚類、Mean-Shift聚類五種聚類方法，示例中采用的是高斯混合聚類方法，如下圖所示。 

聚類操作頁面

聚類得到的兩個集合被記為聚類結果A、聚類結果B，其中的點用不同的顏色進行區分。拆分密鑰得到兩個集合被記為正確結果1、正確結果2，其中的點用不同的形狀進行區分。得到的可視化圖形如下圖所示。

聚類得到的可視化圖形

將聚類結果與已知的正確操作結果進行對比，判斷聚類結果中帶錯誤標簽的數據點，并可視化得到二維聚類錯誤點圖，如下圖所示，其中紅色為即為聚類分析錯誤的點，灰色的點為分析正確的點。

根據正確密鑰對應的操作來標記出聚類分析錯誤的點

Detector側信道分析測評工具進行聚類分析時，引入聚類總體準確率作為測評的量化度量指標。聚類分析的總體準確率是聚類分析正確的操作數與總操作數的比值。如果準確率較高，說明聚類分析失敗的點的個數較少，意味著根據側信道采集到的能量泄露信息，通過聚類分析的方法，攻擊者能以一定的容錯率還原出密鑰，進而說明該密碼芯片存在安全性風險；準確率較低時則相反。在實際測評中，可以設定一個閾值α，來作為總體準確率的衡量標準。總體準確率高于α時，就可以認為該密碼芯片存在被破解的潛在風險。日志欄會輸出聚類分析總體準確率，如下圖所示。

日志欄輸出聚類分析總體準確率

這樣，基于聚類的自動化側信道分析測評方法，我們完成了針對一款ECC實現的側信道安全測評。本例中，采用傳統的肉眼觀測方法很可能得到無明顯泄露的結果，但新方案協助我們快速地找到了信息泄露、并精準定義了泄露程度，這也印證了新方案的有效性。

總結

本文首次引入聚類總體準確率作為簡單能量分析的量化度量指標，基于Detector側信道分析測評軟件進行工具實現，并對一款帶防護的ECC硬件實現進行測評應用示范，取得了良好的效果。