0 引言

    隨著信息安全技術(shù)的發(fā)展，以密碼芯片為主要部件的便攜式設(shè)備得到廣泛應(yīng)用。然而，在運(yùn)行加密算法時密碼芯片會泄露各種與所處理的數(shù)據(jù)本身相關(guān)的物理信息，如能量消耗、電磁輻射和運(yùn)行時間等。這些物理信息可以被攻擊者用來對密碼芯片進(jìn)行旁道攻擊(Side Channel Attack，SCA)盜取密鑰^[1]。差分功耗分析(Differential Power Analysis，DPA)是旁道攻擊中一種簡單高效的攻擊方法，極大降低了密碼芯片的有效性^[2]。近年來，學(xué)者們提出了多種防御DPA攻擊技術(shù)，如雙電壓單軌動態(tài)邏輯(Dual-voltage Single-rail Dynamic Logic，DSDL)^[3]、基于掩碼的雙軌預(yù)充邏輯(Masked Dual-Rail Pre-charge Logic，MDPL)^[4]和靈敏放大型邏輯(Sense Amplifier Based Logic，SABL)^[5]等。由于缺少對稱的下拉網(wǎng)絡(luò)，DSDL求值速度慢；文獻(xiàn)[6]指出MDPL當(dāng)輸入信號之間存在延遲差異時，其防御DPA攻擊性能較差。由于SABL具有工作速度快、防御DPA攻擊性能好等特點(diǎn)，逐漸成為防御DPA攻擊的常用方法。

    移位寄存器是執(zhí)行邏輯運(yùn)算或儲存信息的部件，廣泛存在于數(shù)字加密系統(tǒng)中^[7]。研究表明移位寄存器是加密系統(tǒng)中能量消耗顯著的部件之一，同時又因?yàn)樗辉跁r鐘沿到來時處理數(shù)據(jù)，相較于其他部件其工作時序變化相對固定且易于辨識，因此在差分功耗分析中常利用它的能量消耗作為破解傳統(tǒng)密碼芯片的分析點(diǎn)。鑒于此，本文結(jié)合SABL電路在每個時鐘周期內(nèi)功耗為恒定值的特征，提出一種能夠防御DPA攻擊的移位寄存器設(shè)計(jì)方案。首先分析靜態(tài)互補(bǔ)CMOS電路功耗特點(diǎn)和SABL電路工作原理及功耗恒定特性；然后根據(jù)SABL電路特點(diǎn)設(shè)計(jì)清零置位D觸發(fā)器，再利用SABL邏輯門和D觸發(fā)器構(gòu)成多位移位寄存器電路；最后在TSMC 65 nm CMOS工藝下，通過Spectre工具模擬驗(yàn)證所設(shè)計(jì)的移位寄存器邏輯功能的正確性和防御DPA攻擊性能。

1 SABL電路

    目前數(shù)字集成電路設(shè)計(jì)絕大多數(shù)采用靜態(tài)互補(bǔ)CMOS邏輯單元實(shí)現(xiàn)，其總功耗由漏功耗P_leak、動態(tài)功耗P_dyn和短路功耗P_short組成^[8]，如式(1)所示：

其中，P_total是CMOS邏輯的總功耗，P_leak是漏電流引起的功耗，P_dyn是對負(fù)載電容充放電引起的功耗，P_short是電路導(dǎo)通一瞬間的短路電流引起的功耗。一般P_leak和P_short都很小，而P_dyn對CMOS邏輯單元的功耗影響最大。由文獻(xiàn)[8]可知，輸出信號只有發(fā)生0→1跳變時，電源才對負(fù)載電容進(jìn)行充電，而在0→0、1→0、1→1三種跳變情況下，電路并不會產(chǎn)生動態(tài)功耗。因此靜態(tài)互補(bǔ)CMOS邏輯功耗與其所處理的數(shù)據(jù)相關(guān)，這也成為攻擊者對傳統(tǒng)密碼器件展開DPA攻擊的突破口。

    鑒于靜態(tài)互補(bǔ)CMOS邏輯的不足，Kris Tiri于2002年首先提出具有功耗恒定特性的SABL電路^[9]。它由預(yù)充管、差分網(wǎng)絡(luò)、交叉耦合反相器、常導(dǎo)通管和求值管構(gòu)成，其中差分網(wǎng)絡(luò)根據(jù)其邏輯功能分為差分下拉網(wǎng)絡(luò)(Differential Pull-Down Network，DPDN)和差分上拉網(wǎng)絡(luò)(Differential Pull-Up Network，DPUN)。由DPDN組成的N型SABL單元電路與由DPUN組成的P型SABL單元電路結(jié)構(gòu)如圖1所示。

    以N型SABL電路的輸出信號在相鄰兩個時鐘周期跳變情況為例，分析SABL電路的功耗恒定特性，結(jié)果如表1所示，其中，out、為電路的雙軌輸出信號。無論在第n個還是n+1個時鐘周期，當(dāng)電路進(jìn)入預(yù)充階段，雙軌輸出都被預(yù)充至高電平；當(dāng)電路工作在求值階段，雙軌輸出互補(bǔ)信號。分析表1數(shù)據(jù)可知，在相鄰的兩個時鐘周期里，電路輸出信號均有一次0→1跳變，即SABL電路具有恒定的信號跳變率。同時，由于差分下拉網(wǎng)絡(luò)使得SABL電路內(nèi)部所有節(jié)點(diǎn)都有完整的充放電過程，消除了由電荷共享導(dǎo)致動態(tài)功耗差異的可能性。由文獻(xiàn)[8]知電路的功耗與其節(jié)點(diǎn)信號跳變率成正比，故N型SABL電路在每個時鐘內(nèi)能量消耗為恒定值。P型SABL電路與N型SABL電路工作過程類似，也具有功耗恒定特性，故SABL電路能夠有效地防御DPA攻擊。

    基于SABL電路設(shè)計(jì)的兩種基本邏輯門電路及符號如圖2所示，利用基本邏輯門可實(shí)現(xiàn)具有特定邏輯功能的電路。

2 基于SABL電路的移位寄存器設(shè)計(jì)

    數(shù)字加密系統(tǒng)中，移位寄存器是能量消耗不均衡的部件，它影響著加密系統(tǒng)的安全性。隨著攻擊技術(shù)的演化，能夠防御DPA攻擊的加密系統(tǒng)對移位寄存器的安全性提出了更高的要求。

2.1 清零置位D觸發(fā)器設(shè)計(jì)

    一種基于SABL電路的D觸發(fā)器狀態(tài)方程如式(2)、式(3)所示：

2.2 多位移位寄存器設(shè)計(jì)

    移位寄存器是一種具有左移、右移和并入并出功能的寄存器，它在時鐘信號的作用下實(shí)現(xiàn)特定的功能。左移是指寄存器中的數(shù)據(jù)從高位移向低位，右移則與之相反。并入并出是指數(shù)據(jù)并行輸入寄存器，在下一個時鐘周期并行輸出。結(jié)合SABL電路的工作原理，提出一種能夠防御DPA攻擊的移位寄存器設(shè)計(jì)，其工作狀態(tài)如表2所示。

3 實(shí)驗(yàn)結(jié)果與分析

    在TSMC 65 nm COMS工藝器件參數(shù)下，利用Spectre工具對上述基于SABL電路的4位移位寄存器電路進(jìn)行計(jì)算機(jī)仿真，仿真波形如圖5所示，其中工作頻率為100 MHz，電路的輸出信號相較于輸入信號延遲一個時鐘周期。若clk=0，移位寄存器輸出端均被預(yù)充到高電平；否則，當(dāng)clk=1時，該電路在C=1時，電路實(shí)現(xiàn)清零置位功能；在R_en=1，其他使能信號無效時，電路實(shí)現(xiàn)右移功能；在L_en=1，其他使能信號無效時，電路實(shí)現(xiàn)左移功能；在D_en=1，其他使能信號無效時，電路實(shí)現(xiàn)并入并出功能。通過分析圖5仿真波形可知，所設(shè)計(jì)的電路具有正確的邏輯功能。

    以不同時鐘周期內(nèi)電源消耗能量的差異來表征移位寄存器電路的防御DPA攻擊性能，Spectre仿真結(jié)果如圖6所示。由圖可知，本文所設(shè)計(jì)的移位寄存器在不同時鐘周期內(nèi)，不管是執(zhí)行左移、右移和并入并出功能，都具有一致的功耗曲線，具有顯著的功耗恒定性能，能夠有效地防御DPA攻擊。

    歸一化功耗差(Normalized Energy Deviation，NED)和歸一化標(biāo)準(zhǔn)差(Normalized Standard Deviation，NSD)兩個指標(biāo)常被用來衡量電路的防御DPA攻擊性能[2]，其定義分別為：

其中，E是單個時鐘周期內(nèi)電路的功耗，E_max是不同時鐘周期內(nèi)電路的最大功耗，E_min是不同時鐘周期內(nèi)電路的最小功耗，σ_E是電路在不同時鐘周期內(nèi)功耗之間的標(biāo)準(zhǔn)方差，是多個時鐘周期電路的平均功耗。圖7給出了本文所設(shè)計(jì)的4位移位寄存器與相關(guān)文獻(xiàn)功耗恒定性能的對比結(jié)果。其中PVT(Process Voltage Temperature)為電路制造和工作時可能遇到的工藝角、電壓和溫度。由圖7中數(shù)據(jù)可知，本文所提出的移位寄存器電路在多種PVT組合下NED均小于2.66%、NSD均小于0.63%，相比于復(fù)合寄存器系統(tǒng)4位移位寄存器^[10]在NED、NSD分別有效降低92.29%和94.27%，證明其防御差分功耗分析性能顯著。

4 結(jié)論

    DPA攻擊由于在實(shí)際中簡單高效可行，嚴(yán)重威脅到加密系統(tǒng)的安全性。本文通過將主從觸發(fā)方式和具有功耗恒定特性的SABL電路結(jié)合起來，提出一種具有防御差分功耗分析性能的移位寄存器設(shè)計(jì)方案。采用TSMC 65 nm CMOS工藝，Spectre仿真結(jié)果表明該設(shè)計(jì)具有正確的邏輯功能，在不同PVT組合下NED均低于2.66%、NSD均低于0.63%，能夠有效地抵御差分功耗分析。

參考文獻(xiàn)

[1] CHONG K S，Ne K Z L，HO W G，et al.Counteracting differential power analysis：hiding encrypted data from circuit cells[C]//IEEE International Conference on Electron Devices and Solid-State Circuits.2015：297-300.

[2] ABDI O，JAHANIAN A.A new nano-scale differential logic style for power analysis attack[C]//IEEE Conference on Electrical Engineering.2015：584-588.

[3] TANG W，JIA S，WANG Y.A dual-voltage single-rail dynamic DPA-resistant logic based on charge sharing mechanism[C]//IEEE International Conference on Electron Devices and Solid-State Circuits.2015：483-486.

[4] POPP T，MANGARD S.Masked dual-rail pre-charge logic：DPA-Resistance without Routing Constraints[C]//International Workshop on Cryptographic Hardware and Embedded Systems.2005：172-186.

[5] 郝李鵬，汪鵬君，張躍軍.具有抗差分能量攻擊性能的JK觸發(fā)器設(shè)計(jì)[J].電路與系統(tǒng)學(xué)報(bào)，2012(6)：117-123.

[6] 于敬超，嚴(yán)迎建，吳雪濤，等.抗功耗攻擊的邏輯電路研究[J].微電子學(xué)，2015(4)：497-501.

[7] 閻石.數(shù)字電子技術(shù)基礎(chǔ)[M].第5版.北京：高等教育出版社，2006.

[8] JAN M R，ANANTHA C，BORIVOJE N.數(shù)字集成電路：電路、系統(tǒng)與設(shè)計(jì)[M].第2版.北京：電子工業(yè)出版社，2008.

[9] TIRI K，AKMAL M，Verbauwhede I.A dynamic and differential CMOS logic with signal independent power consumption to withstand differential power analysis on smart cards[C]//European Solid-state Circuits Conference.2002：403-406.

[10] 劉澤藝，高能，屠晨陽，等.一種抗能量分析攻擊的復(fù)合寄存器系統(tǒng)[J].密碼學(xué)報(bào)，2014(5)：411-421.

作者信息:

錢浩宇，汪鵬君，丁代魯，張躍軍

(寧波大學(xué) 電路與系統(tǒng)研究所，浙江 寧波315211)