[发明专利]一种基于决策树的侧信道模板攻击方法

权利要求书

1.一种基于决策树的侧信道模板攻击方法，用于密码算法分析检测，其特征在于，包括以下步骤：

(1)、模板构建

1.1)、在微控制器上运行AES密码算法，每发送一个随机明文及一个随机密钥，便采集一条对应的能量迹，每条能量迹有T'个采样点；

发送N次，共采集N条能量迹，采样点的采样值按行放置，从而构建N×T'大小的能量消耗矩阵U₁；

1.2)、对每条能量迹，计算该能量迹对应的明文与密钥的汉明重量汉明重量的取值范围为0～8，其中d_n和k_n分别为第n个随机明文、随机密钥的第一轮第一字节明文和密钥，从而构建N维汉明重量列向量H；

1.3)、从能量消耗矩阵U₁选出特征点

1.3.1)、对于第t列N个采样值d_n,t，n＝1,2,...,N，根据其所在行，在N维汉明重量列向量H中对应行找到汉明重量作为其汉明重量，统计每一汉明重量w对应的采样值个数c_t,w，w＝0,1,2,...,8，然后得到每一汉明重量的取值概率：

1.3.2)、计算第t列N个采样值d_n,t的信息熵h_t：

1.3.3)、在第t列N个采样值d_n,t中找到最小值和最大值，然后在最小值到最大值之间等间隔确定K个采样值，并记为d'_k,t，k＝1,2,...,K；

对于等间隔确定的第k个采样值d'_k,t，将N个采样值d_n,t中小于等于采样值d'_k,t的采样值划分为一个集合D_{k,t_1}，剩余的划分为一个集合D_{k,t_2}，然后计算第k个采样值d'_k,t的信息增益g_t,k：

其中，c'_{t,k_b}为集合D_{k,t_b}的采样值个数，b＝1,2，h_{t,k_b}为集合D_{k,t_b}的信息熵，按照步骤1.3.1、1.3.2的计算方式得到；

1.3.4)、在K个信息增益g_t,k，k＝1,2,...,K中选出最大的信息增益，并作为第t列的信息增益g_t，其对应的采样值所在行为第t列的特征点；

对于能量消耗矩阵U₁的T'列最大的信息增益g_{t_max}，t＝1,2,...,T'，再选取最大的列的特征点作为特征点s₁，其对应采样值为特征值e₁；

1.4)、生成决策树：

1.4.1)、找到特征点s₁所在列，该列采样值小于等于特征值e₁的采样点所在行从能量消耗矩阵U₁选出，并组成一个能量消耗矩阵U₂，能量消耗矩阵U₁中剩余的行组成能量消耗矩阵U₃；

按照步骤1.3)的方法，从能量消耗矩阵U₂选出特征点s₂、特征值e₂，从能量消耗矩阵U₃选出特征点s₃、特征值e₃，将特征点s₁作为根节点，特征点s₂、特征点s₃分别作为特征点s₁的叶节点，生成一层决策树；

1.4.2)、能量消耗矩阵U₂、能量消耗矩阵U₃按照1.4.1)的方法再次分别划分为能量消耗矩阵U₄、U₅以及能量消耗矩阵U₆、U₇，然后选出特征点s₄和特征值e₄、特征点s₅和特征值e₅以及特征点s₆和特征值e₆、特征点s₇和特征值e₇，将特征点s₂作为根节点，特征点s₄、特征点s₅分别作为特征点s₂的叶节点，将特征点s₃作为根节点，特征点s₆、特征点s₇分别作为特征点s₃的叶节点再生成一层决策树；

这样不断对能量消耗矩阵进行划分，选出特征点，生成决策树层，当达到设定的层数时，终止划分和生成，得到最终生成的决策树；

1.5)、对最终生成的决策树，从根节点到叶节点层次遍历方式，提取每次划分的特征点；

1.6)、根据提取的特征点所在列，对能量消耗矩阵U₁的列进行抽取，得到矩阵T，矩阵T大小为N×P，其中，P为提取的特征点的个数；

1.7)、依据汉明重量列向量H，则把矩阵T中对应的行加入子矩阵T_w，w＝0,1,2,...,8，由此得到9个子矩阵；

1.8)、对每个子矩阵T_w，w＝0,1,2,...,8，分别计算样本均值和协方差矩阵

其中，n_w表示子矩阵T_w的行数，表示子矩阵T_w中第l行、第i列的采样值，表示子矩阵T_w中第l行、第j列的采样值；

1.9)、根据样本均值向量M_w和协方差矩阵C_w，w＝0,1,2,...,8，得到9种汉明重量的模板；

其中，p(M|w)表示待攻击能量迹特征点向量M属于汉明重量w的概率；

(2)、模板匹配

2.1)、对被攻击的运行AES密码算法的微控制器，采集随机明文、固定密钥的Q条能量迹；

2.2)、根据步骤1.5)提取的特征点所在列，对Q条能量迹根据提取的特征点所在列进行抽取，得到Q个待攻击能量迹特征点向量q＝0,1,2,...,Q；

2.3)、将待攻击能量迹特征点向量MS_q作为M代入步骤1.9)得到的9种汉明重量的模板，得到属于汉明重量w的概率p(M|w)，w＝0,1,2,...,8，选取最大概率对应的汉明重量作为第q待攻击能量迹的汉明重量HW(q)；

2.4)、汉明重量HW(q)进行映射，若汉明重量HW(q)4，则映射为1，若HW(q)4，则映射为-1，若HW(q)＝4，则映射为0；

2.5)、对于第1条待攻击能量迹，若其汉明重量HW(1)映射后的值不为0，则遍历密钥空间K'，计算假设汉明重量若假设汉明重量映射后的值为0或与汉明重量HW(1)映射后的值一致，则保留该密钥k'，否则排除该密钥k'，更新密钥空间K'；若映射后的值为0，则不予处理，其中，d'₁为第1待攻击能量迹对应第一轮第一字节明文；

2.6)、选择第2条待攻击能量迹，重复步骤2.5)，再进行密钥筛选，然后选择第3条待攻击能量迹进行密钥筛选，这样不断选取待攻击能量迹对密钥进行筛选，直到密钥空间K'大小为1，则该密钥为所求密钥即步骤2.1)的固定密钥。