0 引言

    隨著信息安全技術的發(fā)展，以密碼芯片為主要部件的便攜式設備得到廣泛應用。然而，在運行加密算法時密碼芯片會泄露各種與所處理的數(shù)據(jù)本身相關的物理信息，如能量消耗、電磁輻射和運行時間等。這些物理信息可以被攻擊者用來對密碼芯片進行旁道攻擊(Side Channel Attack，SCA)盜取密鑰^[1]。差分功耗分析(Differential Power Analysis，DPA)是旁道攻擊中一種簡單高效的攻擊方法，極大降低了密碼芯片的有效性^[2]。近年來，學者們提出了多種防御DPA攻擊技術，如雙電壓單軌動態(tài)邏輯(Dual-voltage Single-rail Dynamic Logic，DSDL)^[3]、基于掩碼的雙軌預充邏輯(Masked Dual-Rail Pre-charge Logic，MDPL)^[4]和靈敏放大型邏輯(Sense Amplifier Based Logic，SABL)^[5]等。由于缺少對稱的下拉網(wǎng)絡，DSDL求值速度慢；文獻[6]指出MDPL當輸入信號之間存在延遲差異時，其防御DPA攻擊性能較差。由于SABL具有工作速度快、防御DPA攻擊性能好等特點，逐漸成為防御DPA攻擊的常用方法。

    移位寄存器是執(zhí)行邏輯運算或儲存信息的部件，廣泛存在于數(shù)字加密系統(tǒng)中^[7]。研究表明移位寄存器是加密系統(tǒng)中能量消耗顯著的部件之一，同時又因為它只在時鐘沿到來時處理數(shù)據(jù)，相較于其他部件其工作時序變化相對固定且易于辨識，因此在差分功耗分析中常利用它的能量消耗作為破解傳統(tǒng)密碼芯片的分析點。鑒于此，本文結合SABL電路在每個時鐘周期內功耗為恒定值的特征，提出一種能夠防御DPA攻擊的移位寄存器設計方案。首先分析靜態(tài)互補CMOS電路功耗特點和SABL電路工作原理及功耗恒定特性；然后根據(jù)SABL電路特點設計清零置位D觸發(fā)器，再利用SABL邏輯門和D觸發(fā)器構成多位移位寄存器電路；最后在TSMC 65 nm CMOS工藝下，通過Spectre工具模擬驗證所設計的移位寄存器邏輯功能的正確性和防御DPA攻擊性能。

1 SABL電路

    目前數(shù)字集成電路設計絕大多數(shù)采用靜態(tài)互補CMOS邏輯單元實現(xiàn)，其總功耗由漏功耗P_leak、動態(tài)功耗P_dyn和短路功耗P_short組成^[8]，如式(1)所示：

其中，P_total是CMOS邏輯的總功耗，P_leak是漏電流引起的功耗，P_dyn是對負載電容充放電引起的功耗，P_short是電路導通一瞬間的短路電流引起的功耗。一般P_leak和P_short都很小，而P_dyn對CMOS邏輯單元的功耗影響最大。由文獻[8]可知，輸出信號只有發(fā)生0→1跳變時，電源才對負載電容進行充電，而在0→0、1→0、1→1三種跳變情況下，電路并不會產(chǎn)生動態(tài)功耗。因此靜態(tài)互補CMOS邏輯功耗與其所處理的數(shù)據(jù)相關，這也成為攻擊者對傳統(tǒng)密碼器件展開DPA攻擊的突破口。

    鑒于靜態(tài)互補CMOS邏輯的不足，Kris Tiri于2002年首先提出具有功耗恒定特性的SABL電路^[9]。它由預充管、差分網(wǎng)絡、交叉耦合反相器、常導通管和求值管構成，其中差分網(wǎng)絡根據(jù)其邏輯功能分為差分下拉網(wǎng)絡(Differential Pull-Down Network，DPDN)和差分上拉網(wǎng)絡(Differential Pull-Up Network，DPUN)。由DPDN組成的N型SABL單元電路與由DPUN組成的P型SABL單元電路結構如圖1所示。

    以N型SABL電路的輸出信號在相鄰兩個時鐘周期跳變情況為例，分析SABL電路的功耗恒定特性，結果如表1所示，其中，out、為電路的雙軌輸出信號。無論在第n個還是n+1個時鐘周期，當電路進入預充階段，雙軌輸出都被預充至高電平；當電路工作在求值階段，雙軌輸出互補信號。分析表1數(shù)據(jù)可知，在相鄰的兩個時鐘周期里，電路輸出信號均有一次0→1跳變，即SABL電路具有恒定的信號跳變率。同時，由于差分下拉網(wǎng)絡使得SABL電路內部所有節(jié)點都有完整的充放電過程，消除了由電荷共享導致動態(tài)功耗差異的可能性。由文獻[8]知電路的功耗與其節(jié)點信號跳變率成正比，故N型SABL電路在每個時鐘內能量消耗為恒定值。P型SABL電路與N型SABL電路工作過程類似，也具有功耗恒定特性，故SABL電路能夠有效地防御DPA攻擊。

    基于SABL電路設計的兩種基本邏輯門電路及符號如圖2所示，利用基本邏輯門可實現(xiàn)具有特定邏輯功能的電路。

2 基于SABL電路的移位寄存器設計

    數(shù)字加密系統(tǒng)中，移位寄存器是能量消耗不均衡的部件，它影響著加密系統(tǒng)的安全性。隨著攻擊技術的演化，能夠防御DPA攻擊的加密系統(tǒng)對移位寄存器的安全性提出了更高的要求。

2.1 清零置位D觸發(fā)器設計

    一種基于SABL電路的D觸發(fā)器狀態(tài)方程如式(2)、式(3)所示：

2.2 多位移位寄存器設計

    移位寄存器是一種具有左移、右移和并入并出功能的寄存器，它在時鐘信號的作用下實現(xiàn)特定的功能。左移是指寄存器中的數(shù)據(jù)從高位移向低位，右移則與之相反。并入并出是指數(shù)據(jù)并行輸入寄存器，在下一個時鐘周期并行輸出。結合SABL電路的工作原理，提出一種能夠防御DPA攻擊的移位寄存器設計，其工作狀態(tài)如表2所示。

3 實驗結果與分析

    在TSMC 65 nm COMS工藝器件參數(shù)下，利用Spectre工具對上述基于SABL電路的4位移位寄存器電路進行計算機仿真，仿真波形如圖5所示，其中工作頻率為100 MHz，電路的輸出信號相較于輸入信號延遲一個時鐘周期。若clk=0，移位寄存器輸出端均被預充到高電平；否則，當clk=1時，該電路在C=1時，電路實現(xiàn)清零置位功能；在R_en=1，其他使能信號無效時，電路實現(xiàn)右移功能；在L_en=1，其他使能信號無效時，電路實現(xiàn)左移功能；在D_en=1，其他使能信號無效時，電路實現(xiàn)并入并出功能。通過分析圖5仿真波形可知，所設計的電路具有正確的邏輯功能。

    以不同時鐘周期內電源消耗能量的差異來表征移位寄存器電路的防御DPA攻擊性能，Spectre仿真結果如圖6所示。由圖可知，本文所設計的移位寄存器在不同時鐘周期內，不管是執(zhí)行左移、右移和并入并出功能，都具有一致的功耗曲線，具有顯著的功耗恒定性能，能夠有效地防御DPA攻擊。

    歸一化功耗差(Normalized Energy Deviation，NED)和歸一化標準差(Normalized Standard Deviation，NSD)兩個指標常被用來衡量電路的防御DPA攻擊性能[2]，其定義分別為：

其中，E是單個時鐘周期內電路的功耗，E_max是不同時鐘周期內電路的最大功耗，E_min是不同時鐘周期內電路的最小功耗，σ_E是電路在不同時鐘周期內功耗之間的標準方差，是多個時鐘周期電路的平均功耗。圖7給出了本文所設計的4位移位寄存器與相關文獻功耗恒定性能的對比結果。其中PVT(Process Voltage Temperature)為電路制造和工作時可能遇到的工藝角、電壓和溫度。由圖7中數(shù)據(jù)可知，本文所提出的移位寄存器電路在多種PVT組合下NED均小于2.66%、NSD均小于0.63%，相比于復合寄存器系統(tǒng)4位移位寄存器^[10]在NED、NSD分別有效降低92.29%和94.27%，證明其防御差分功耗分析性能顯著。

4 結論

    DPA攻擊由于在實際中簡單高效可行，嚴重威脅到加密系統(tǒng)的安全性。本文通過將主從觸發(fā)方式和具有功耗恒定特性的SABL電路結合起來，提出一種具有防御差分功耗分析性能的移位寄存器設計方案。采用TSMC 65 nm CMOS工藝，Spectre仿真結果表明該設計具有正確的邏輯功能，在不同PVT組合下NED均低于2.66%、NSD均低于0.63%，能夠有效地抵御差分功耗分析。

參考文獻

[1] CHONG K S，Ne K Z L，HO W G，et al.Counteracting differential power analysis：hiding encrypted data from circuit cells[C]//IEEE International Conference on Electron Devices and Solid-State Circuits.2015：297-300.

[2] ABDI O，JAHANIAN A.A new nano-scale differential logic style for power analysis attack[C]//IEEE Conference on Electrical Engineering.2015：584-588.

[3] TANG W，JIA S，WANG Y.A dual-voltage single-rail dynamic DPA-resistant logic based on charge sharing mechanism[C]//IEEE International Conference on Electron Devices and Solid-State Circuits.2015：483-486.

[4] POPP T，MANGARD S.Masked dual-rail pre-charge logic：DPA-Resistance without Routing Constraints[C]//International Workshop on Cryptographic Hardware and Embedded Systems.2005：172-186.

[5] 郝李鵬，汪鵬君，張躍軍.具有抗差分能量攻擊性能的JK觸發(fā)器設計[J].電路與系統(tǒng)學報，2012(6)：117-123.

[6] 于敬超，嚴迎建，吳雪濤，等.抗功耗攻擊的邏輯電路研究[J].微電子學，2015(4)：497-501.

[7] 閻石.數(shù)字電子技術基礎[M].第5版.北京：高等教育出版社，2006.

[8] JAN M R，ANANTHA C，BORIVOJE N.數(shù)字集成電路：電路、系統(tǒng)與設計[M].第2版.北京：電子工業(yè)出版社，2008.

[9] TIRI K，AKMAL M，Verbauwhede I.A dynamic and differential CMOS logic with signal independent power consumption to withstand differential power analysis on smart cards[C]//European Solid-state Circuits Conference.2002：403-406.

[10] 劉澤藝，高能，屠晨陽，等.一種抗能量分析攻擊的復合寄存器系統(tǒng)[J].密碼學報，2014(5)：411-421.

作者信息:

錢浩宇，汪鵬君，丁代魯，張躍軍

(寧波大學 電路與系統(tǒng)研究所，浙江 寧波315211)