基于Cache的AES算法的安全评估方法和系统与流程

本发明涉及计算机寄存器技术领域，尤其是涉及基于cache的aes(advancedencryptionstandard，高级加密标准)算法的安全评估方法和系统。

背景技术：

移动互联网的迅猛发展导致了智能终端的数量急剧增加，功能也日益增强。伴随着终端智能化及网络宽带化的趋势，移动互联网业务层出不穷，日益繁荣。但作为业务载体的智能终端却面临各种安全威胁，如恶意订购、盗取账户、监听通话等。与此同时，智能终端越来越多地涉及商业秘密和个人隐私等敏感信息，智能终端作为移动互联网业务最主要的载体，面临着严峻的安全挑战。

智能终端操作系统比较繁多，内在的安全机制差异也很大，其结果是，不同厂商的智能终端面临的安全风险截然不同；甚至同样的操作系统，由于不同oem(originalequipmentmanufacturer，原始设备制造商)对其安全加固程度不同，也呈现出不同的安全特性。

目前对智能终端的安全评估主要集中在操作系统的漏洞分析上，大多是从系统层面分析操作系统的安全性，但对硬件安全的分析还鲜有提及。cpu(centralprocessingunit，中央处理器)及底层硬件的安全是整个智能终端系统安全的基础，cpu等硬件上如果出现漏洞，单靠软件是很难保证安全的。

目前大部分的软件攻击方法只适用于对操作系统等软件的安全进行评估，因此在硬件攻击方面存在很大缺陷。

技术实现要素：

有鉴于此，本发明的目的在于提供基于cache(cachememory，高速缓冲寄存器)的aes算法的安全评估方法和系统，利用cache攻击的方法评估cpu在操作数据的过程中cache命中或失效导致的硬件信息泄露，从而评判智能终端是否存在安全漏洞，弥补了硬件攻击的缺陷。

第一方面，本发明实施例提供了基于cache的aes算法的安全评估方法，包括：

获取主存地址与cache地址间的空间映射，并确定所述cache中所有缓存组的地址，所述缓存组包括被攻击缓存组；

利用prime方式访问所述空间映射，清除并占用所述缓存组和所述地址；

调用被攻击程序以使被攻击数据存入所述被攻击缓存组中；

利用probe方式确定所述被攻击缓存组，并将所述所有缓存组的访问信息进行间隔储存，从而得到结果文件；

根据所述结果文件分析轮密钥，并根据所述轮密钥反推高级加密标准aes密钥。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述被攻击程序包括aes加密运算程序，所述地址包括被攻击地址，所述利用probe方式确定所述被攻击缓存组，并将所述所有缓存组的访问信息进行间隔储存，从而得到结果文件包括：

预设访问次数，在所述aes加密运算程序执行完毕后，调用攻击程序访问所述被攻击地址并计时，所述计时采用linuxc语言的计时函数；

根据cachemiss效果记录所述所有缓存组的计时差别，得到所述访问信息；

重复进行所述攻击程序的调用直至满足所述访问次数，并将所述访问信息以单位时间的间隔进行存储，得到所述结果文件。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述轮密钥包括猜测密钥值，所述根据所述结果文件分析轮密钥，并根据所述轮密钥反推aes密钥包括：

利用区分器对所述结果文件进行相关性分析，得到aes使用的缓存大小cachesize，并区分所述cache的命中操作和失效操作；

对所述结果文件进行轮运算分析得到所述猜测密钥值；

利用查表法对所述猜测密钥值进行运算得到查表中间值；

根据所述查表中间值和所述cachesize推断所述猜测密钥值是否正确；

如果正确，则得到所述aes密钥。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述结果文件包括参考时间样本，所述利用区分器对所述结果文件进行相关性分析，得到aes使用的缓存大小cachesize，并区分所述cache的命中操作和失效操作包括：

分别计算所述被攻击数据对应的所述参考时间样本和其他时间样本的相关性系数；

设定比较阈值，判断所述相关性系数和所述比较阈值的大小；

如果所述相关性系数大于所述比较阈值，则归为同一操作组；

如果所述相关性系数小于所述比较阈值，则归为不同操作组；

将所述同一操作组和所述不同操作组对应的元素个数进行比较得到比值数据；

根据所述比值数据判断所述cachesize是否被所述aes使用；

如果所述cachesize被使用，则为所述命中操作。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述对所述结果文件进行轮运算分析得到所述猜测密钥值包括：

选取所述结果文件中相关性系数差别最大的所述被攻击数据；

将所述差别最大的被攻击数据反推回的序号设定为所述猜测密钥值，其中，所述猜测密钥值为第十轮轮运算的密钥值。

第二方面，本发明实施例提供了基于cache的aes算法的安全评估系统，包括：

获取单元，用于获取主存地址与cache地址间的空间映射，并确定所述cache中所有缓存组的地址，所述缓存组包括被攻击缓存组；

第一攻击单元，用于利用prime方式访问所述空间映射，清除并占用所述缓存组和所述地址；

调用单元，用于调用被攻击程序以使被攻击数据存入所述被攻击缓存组中；

第二攻击单元，用于利用probe方式确定所述被攻击缓存组，并将所述所有缓存组的访问信息进行间隔储存，从而得到结果文件；

分析单元，用于根据所述结果文件分析轮密钥，并根据所述轮密钥反推高级加密标准aes密钥。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述被攻击程序包括aes加密运算程序，所述地址包括被攻击地址，所述第二攻击单元包括：

预设访问次数，在所述aes加密运算程序执行完毕后，调用攻击程序访问所述被攻击地址并计时，所述计时采用linuxc语言的计时函数；

根据cachemiss效果记录所述所有缓存组的计时差别，得到所述访问信息；

重复进行所述攻击程序的调用直至满足所述访问次数，并将所述访问信息以单位时间的间隔进行存储，得到所述结果文件。

结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述轮密钥包括猜测密钥值，所述分析单元包括：

利用区分器对所述结果文件进行相关性分析，得到aes使用的缓存大小cachesize，并区分所述cache的命中操作和失效操作；

对所述结果文件进行轮运算分析得到所述猜测密钥值；

利用查表法对所述猜测密钥值进行运算得到查表中间值；

根据所述查表中间值和所述cachesize推断所述猜测密钥值是否正确；

如果正确，则得到所述aes密钥。

结合第二方面的第二种可能的实施方式，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述结果文件包括参考时间样本，所述分析单元还包括：

分别计算所述被攻击数据对应的所述参考时间样本和其他时间样本的相关性系数；

设定比较阈值，判断所述相关性系数和所述比较阈值的大小；

如果所述相关性系数大于所述比较阈值，则归为同一操作组；

如果所述相关性系数小于所述比较阈值，则归为不同操作组；

将所述同一操作组和所述不同操作组对应的元素个数进行比较得到比值数据；

根据所述比值数据判断所述cachesize是否被使用；

如果所述cachesize被使用，则为所述命中操作。

结合第二方面的第二种可能的实施方式，本发明实施例提供了第二方面的第四种可能的实施方式，其中，所述分析单元还包括：

选取所述结果文件中相关性系数差别最大的所述被攻击数据；

将所述差别最大的被攻击数据反推回的序号设定为所述猜测密钥值，其中，所述猜测密钥值为第十轮轮运算的密钥值。

本发明提供了基于cache的aes算法的安全评估方法和系统，包括：获取主存地址与cache地址间的空间映射，并确定cache中所有缓存组的地址，缓存组包括被攻击缓存组；利用prime方式访问空间映射，清除并占用缓存组和地址；调用被攻击程序以使被攻击数据存入被攻击缓存组中；利用probe方式确定被攻击缓存组，并将所有缓存组的访问信息进行间隔储存，从而得到结果文件；根据结果文件分析轮密钥，并根据轮密钥反推高级加密标准aes密钥。本发明实现了利用cache攻击的方法，评估cpu在操作数据的过程中cache命中或失效导致的硬件信息泄露，从而评判智能终端是否存在安全漏洞，弥补了硬件攻击的缺陷。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于cache的aes算法的安全评估方法流程图；

图2为本发明实施例提供的步骤s104方法流程图；

图3为本发明实施例提供的步骤s105方法流程图；

图4为本发明实施例提供的步骤s301方法流程图；

图5为本发明实施例提供的基于cache的aes算法的安全评估系统结构示意图；

图6为本发明实施例提供的cache结构表；

图7为本发明实施例提供的步骤s102的运行示意图；

图8为本发明实施例提供的步骤s103的运行示意图；

图9为本发明实施例提供的步骤s104的运行示意图；

图10为本发明实施例提供的prime&probe过程示意图；

图11为本发明实施例提供的aes算法加密过程示意图；

图12为本发明实施例提供的密钥扩展过程示意图；

图13为本发明实施例提供的aes攻击流程图。

图标：

10-获取单元；20-第一攻击单元；30-调用单元；40-第二攻击单元；50-分析单元。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，大部分的软件攻击方法只适用于对操作系统等软件的安全进行评估，因此在硬件攻击方面存在很大缺陷，基于此，本发明实施例提供的基于cache的aes算法的安全评估方法和系统，可利用cache攻击的方法评估cpu在操作数据的过程中cache命中或失效导致的硬件信息泄露，从而评判智能终端是否存在安全漏洞，弥补了硬件攻击的缺陷。

实施例一：

图1为本发明实施例提供的基于cache的aes算法的安全评估方法流程图。

目前针对智能终端的安全评估，主要对象是操作系统及应用的安全，对底层硬件的安全没有关注。本发明通过利用cpu访问cache时的信息泄露，来破解密码算法的密钥，从而评估cpu硬件的安全。需要说明的是，下文将对cache攻击的原理进行阐述。基于现代的程序运行模式，程序在加载到cpu运行时具有局部性，即程序访问的局部性。在一个较短的时间间隔内，由程序产生的地址往往集中在存储器逻辑地址空间的很小范围内。指令地址的分布本来就是连续的，再加上循环程序段和子程序段要重复执行多次。因此，对这些地址的访问就自然地具有时间上集中分布的倾向。而对于数据的访问的集中性虽不如指令明显，但对数组的存储和访问以及工作单元的选择都可以使存储器地址相对集中。这种对局部范围的存储器地址频繁访问，而对此范围以外的地址则访问甚少的现象，就称为程序访问的局部性。

根据程序的局部性原理，可以在主存和cpu通用寄存器之间设置一个高速的容量相对较小的存储器，把正在执行的指令地址附近的一部分指令或数据从主存调入这个存储器，供cpu在一段时间内使用。这对提高程序的运行速度有很大的作用。这个介于主存和cpu之间的高速小容量存储器称作高速缓冲存储器(cache)。系统正是依据此原理，不断地将与当前指令集相关联的一个不太大的后继指令集从内存读到cache，然后再与cpu高速传送，从而达到速度匹配。cpu对存储器进行数据请求时，通常先访问cache。由于局部性原理不能保证所请求的数据百分之百地在cache中，这里便存在一个命中率。即cpu在任一时刻从cache中可靠获取数据的几率。命中率越高，正确获取数据的可靠性就越大。

一般来说，cache的存储容量比主存的容量小得多，但不能太小，太小会使命中率太低；也没有必要过大，过大不仅会增加成本，而且当容量超过一定值后，命中率随容量的增加将不会有明显地增长。只要cache的空间与主存空间在一定范围内保持适当比例的映射关系，cache的命中率还是相当高的。常见cpu的l1cache分为dcache(数据cache)和icache(指令cache)，在进行cache攻击时主要着眼点在访问的数据层面，即通过某些数据是否被访问来进行相关信息的确定，最终达到敏感信获取或者密钥破解过程。但由于l1cache的访问速度极快，对程序设计和计时要求都非常高，攻击难度较大，成功率将很难保证。因此本文选择l2cache进行cache访问信息收集及密钥破解。cache的大小为基本存储单元为cache行(cacheline)。存储系统把cache和主存储器都划分为相同大小的行。cache与主存储器交换数据是以行为基本单位进行的。每一个cache行都对应于主存中的一个存储块(memoryblock)。组成结构如图6所示，每一行是一个set组，每一个set组包含16个line。

cache行的大小通常是2l字节。通常情况下是16字节(4个字)和32字节(8个字)。如果cache行的大小为2l字节，那么对主存的访问通常是2l字节对齐的。所以对于一个虚拟地址来说，它的bit[31∶l]位，是cache行的一个标识。当cpu发出的虚拟地址的bit[31∶l]和cache中的某行bit[31∶l]相同，那么cache中包含cpu要访问的数据，即称为一次cache命中。为了加快cache访问的速度，又将多个cache行划分成一个cache组(cacheset)。cache组中包含的cache行的个数通常也为2的n次方的倍数。为了方便起见，取n＝s。这样，一个cache组中就包含2s个cache行。这时，虚拟地址中的bit[l+s-1∶l]为cache组的标识。虚拟地址中余下的位bit[31∶l+s]成为一个cache标(cache-tag)。它标识了cache行中的内容和主存间的对应关系。

在cache中采用地址映射将主存中的内容映射到cache地址空间。具体的说，就是把存放在主存中的程序按照某种规则装入到cache中，并建立主存地址到cache地址之间的对应关系。而地址变换是指当程序已经装入到cache后，在实际运行过程中，把主存地址变换成cache地址。地址的映射和变换是密切相关的。采用什么样的地址映射方法，就必然有与之对应的地址变换。常用的地址映射和变换方式包括直接映射和变换方式、组相联映射和变换方式以及全相联和变换方式。目前在使用中最常见的是组相联的关联模式。在本次攻击过程中所使用的手机的cpul2cache为16路组相联，共512kb。

根据cache工作原理，同一条访问存储器的指令在目标数据不在cache中时就会发生cache失效，表现在程序的执行结果上就是较长运行时间或是较大能量的消耗，就一般的处理器来说命中的时间大概在几个纳秒之内，而失效的时间因为要访问主存，则需要几十个纳秒。因此如果能够确定在进行某种加密算法时存在访问信息泄露的现象，则在满足下列条件时即可进行加密算法的密钥破解，如表1所示。

表1cache攻击条件表

参照图1，基于cache的aes算法的安全评估方法包括：

步骤s101，获取主存地址与cache地址间的空间映射，并确定cache中所有缓存组的地址，缓存组包括被攻击缓存组；

步骤s102，利用prime方式访问空间映射，清除并占用缓存组和地址；

具体地，本发明实施例所涉及的工具主要使用primeprobe1的策略来实现表1中条件3的准备和条件4的计时操作。在进行primeprobe的过程中首先需要通过prime的方式来尽可能的将cache全部占用，进行驱逐，prime的过程图示如图7所示，通过攻击程序的主动作用，周期性地访问超过cache上限的数据，确保cache中所有的数据均为攻击程序地址空间的数据。

这里，首先攻击程序映射了10m数据，对10m数据以line为单位查询所有虚拟地址所对应的物理地址，通过物理地址确定对应的set号，并对同一set号的虚拟地址进行统计记录，直到达到访问地址要求。在后续的primeprobe过程中，通过操作不同set所对应的虚拟地址实现prime和probe过程。

在实际操作过程中针对具体的set进行prime，此类设置经实验表明能够最为有效地反映出primeprobe的效果。即为访问具体虚拟地址，并读出此地址的数据，实际上相当于执行了将本地值的数据缓存到cache中的功能。

步骤s103，调用被攻击程序以使被攻击数据存入被攻击缓存组中；

具体地，通过进程调度来使被攻击程序正常运行，因此被攻击程序在进行加解密等敏感操作时必然会访问相关数据，此时会将不在cache中的数据缓存到cache中，运行过程如图8所示.

步骤s104，利用probe方式确定被攻击缓存组，并将所有缓存组的访问信息进行间隔储存，从而得到结果文件；

具体地，如图9所示，在被攻击程序敏感操作执行完成后，使用攻击程序访问所有之前缓存的地址并进行操作计时，如果此地址的数据已经被被攻击程序占用，那必然会产生cachemiss效果因此计时会产生较为明显的差别，并能进行统计和区分。

这里，然后执行aes加密过程(或其他被测算法)，并在aes结束后针对某一set进行probe过程，共针对此set进行21次访问以能够明显的表现出probe的miss时间。

步骤s105，根据所述结果文件分析轮密钥，并根据轮密钥反推高级加密标准aes密钥。

具体地，在表1中条件1满足的情况下，就能多次进行pbobe统计，并根据统计结果查找是否存在联系的规律。以aes为例，其密钥将对查表的位置产生影响，而表数据在操作过程中会缓存在cache中，必然在probe过程中对访问时间产生影响，因此通过统计分析过程可以在有限的采样中分析出密钥的相关信息。

需要说明的是，在实际实验中prime&probe是逐次针对每一个set进行的，具体流程图如图10所示。

根据本发明的示例性实施例，被攻击程序包括aes加密运算程序，地址包括被攻击地址，利用probe方式确定被攻击缓存组，并将所有缓存组的访问信息进行间隔储存，从而得到结果文件包括：

参照图2，步骤s201，预设访问次数，在aes加密运算程序执行完毕后，调用攻击程序访问被攻击地址并计时，计时采用linuxc语言的计时函数；

具体地，高精度计时是cache分析中的一个需要解决的关键技术问题。目前，大部分智能终端的操作系统都是基于linux的，因此本发明中，高精度的解决方案是采用linuxc语言的计时函数”clock_gettime”，计时的精度可以达到纳秒级别。理论上，cache命中和失效会有明显的操作时间上的差异，但是在实际中，想要观察到这种差异还需考虑实验中的一个限制条件，由于是多核处理器的多任务操作系统，计时难免会受到操作系统调度的干扰，导致计时误差增大。要解决这个问题，一方面要想办法调高间谍程序和目标程序的优先级，尽量使其成为原子操作；另外一方面是要通过大量重复性的实验来统计分析如何选取合适的区分器来消弱这种误差的影响。

因为cache访问速度很快，为了统计计算代码执行时间达到cpucycle级别，也需要读取类似x86的tsc寄存器。在armv8中，有performancemonitorscontrolregister系列寄存器，其中的pmccntr_el0就类似于x86的tsc寄存器，通过此高精度的寄存器读取能够较为精确的反应实际的probe运行时间，在使用之前需要针对此寄存器进行初始化。

步骤s202，根据cachemiss效果记录所有缓存组的计时差别，得到访问信息；

步骤s203，重复进行攻击程序的调用直至满足访问次数，并将访问信息以单位时间的间隔进行存储，得到结果文件。

根据本发明的示例性实施例，轮密钥包括猜测密钥值，根据结果文件分析轮密钥，并根据轮密钥反推aes密钥包括：

参照图3，步骤s301，利用区分器对结果文件进行相关性分析，得到aes使用的缓存大小cachesize，并区分cache的命中操作和失效操作；

具体地，要区分两种操作的执行时间就需要构造区分器，一般常用的区分器多以利用样本分布的期望和方差来构造，例如以不同分组的均值来区分命中或失效。本发明中使用相关性分析的方法来区分不同的操作，通过计算两个分组的分布的相关性系数，然后设定一个相关性系数的阈值，大于阈值的认为是统一操作，小于阈值的认为是不同的操作。这样可以大大降低由于各种干扰带来的误差对统计特征的影响。

步骤s302，对结果文件进行轮运算分析得到猜测密钥值；

步骤s303，利用查表法对猜测密钥值进行运算得到查表中间值；

步骤s304，根据查表中间值和cachesize推断猜测密钥值是否正确；

如果正确，则得到aes密钥。

具体地，目前的智能终端的操作系统都有着很好的多任务管理机制，有着固定规律的实验操作行为在重复执行时，可能会被操作系统识别出某种模式，从而对实验进行干预来优化执行效率。这样就会对计时样本的统计特征带来一定的影响，导致无法满足样本的代表性和独立性。为了使得实际情况满足上述假设，在进行实验时，我们对实验数据和观测变量均进行了随机化，使得实验的操作行为无法被预测，操作系统便无法干预实验程序运行，以保证统计的时间数据样本满足要求代表性和独立性的要求。

根据本发明的示例性实施例，结果文件包括参考时间样本，利用区分器对结果文件进行相关性分析，得到aes使用的缓存大小cachesize，并区分cache的命中操作和失效操作包括：

参照图4，步骤s401，分别计算被攻击数据对应的参考时间样本和其他时间样本的相关性系数；

步骤s402，设定比较阈值，判断相关性系数和比较阈值的大小；

步骤s4031，如果相关性系数大于比较阈值，则归为同一操作组；

步骤s4032，如果相关性系数小于比较阈值，则归为不同操作组；

步骤s404，将同一操作组和不同操作组对应的元素个数进行比较得到比值数据；

步骤s405，根据比值数据判断cachesize是否被aes使用；

步骤s406，如果cachesize被使用，则为命中操作。

具体地，为对实验结果进行统计分析以及实验优化，本发明实施例提出了以下优化措施：

(1)使用大量重复实验降低误差：

理论上，cache命中和失效会有明显的操作时间上的差异，但是在实际中，想要观察到这种差异还需考虑实验中的几个限制条件，一是计时函数的精度问题，是否能够捕捉到这种差异；二是，由于是多核处理器的多任务操作系统，计时难免会受到操作系统调度的干扰，导致计时误差增大。

使用高精度计时函数可以解决第一个问题，要解决第二个问题，一方面要想办法调高间谍程序和目标程序的优先级，尽量使其成为原子操作；另外一方面是要通过大量重复性的实验来统计分析如何选取合适的区分器来消弱这种误差的影响。

为了研究第二个问题带来的影响，我们分别对相同和随机的数据进行大量重复性的实验，记录统计的时间样本，我们使用直方图对样本的分布进行刻画。直方图(histogram)是一种统计报告图，由一系列高度不等的纵向条纹或线段表示数据分布的情况。一般用横轴表示数据类型，纵轴表示分布情况。通过直方图我们可以知道大体的概率密度函数。在刻画直方图时，组距的选择直接影响着对概率密度函数刻画的准确度，组距选为计时的最小单位精度可以最大限度的提高刻画精度。

通过直方图的形状我们发现，相同数据操作时间的样本分布接近于正态分布，而不同数据的操作时间的样本分布没有明显的特征。对于两个不同的数据a和b，操作时间的直方图形状都接近于正态分布，但是中心值(u)存在着明显的差异。因此通过u的差距，理论上可以区分出cache的命中和失效。

(2)采样随机数据和随机探测来去除干扰：

假设样本满足代表性和独立性，代表性即每个样本均与总体同分布；独立性即为样本之间独立同分布。

目前的智能终端的操作系统都有着很好的多任务管理机制，有着固定规律的实验操作行为在重复执行时，可能会被操作系统识别出某种模式，从而对实验进行干预来优化执行效率。这样就会对计时样本的统计特征带来一定的影响，导致无法满足样本的代表性和独立性。

为了使得实际情况满足上述假设，在进行实验时，我们对实验数据和观测变量均进行了随机化，使得实验的操作行为无法被预测，操作系统便无法干预实验程序运行，以保证统计的时间数据样本满足要求。

根据本发明的示例性实施例，对结果文件进行轮运算分析得到猜测密钥值包括：

选取结果文件中相关性系数差别最大的被攻击数据；

将差别最大的被攻击数据反推回的序号设定为猜测密钥值，其中，猜测密钥值为第十轮轮运算的密钥值。

具体地，下文对aes密钥的破解方法进行详细叙述。智能终端上的aes算法主要是软件实现的，为了提高运算的速度，采用了空间换时间的策略：即aes的轮运算(字节替换、行移位、列变换)使用查表法实现，因为最后一轮没有字节替换操作，因此aes的加解密运算过程中，一共使用了两组表格，一组是前9轮使用的：te0，te1，te2，te3，一组是用于最后一轮的：te4_1、te4_2、te4_3、te4_4。有两个大的表t1和t4，t1表用于标准轮运算，t4表用于最后一轮运算。每个表均有256个元素，每个元素为4个字节，故表的大小均为256*4个字节。armv8的一个cachesize的存储空间为64个字节，因此每个表格都需要16个cachesize，一个cachesize可以存储16个元素，因此当8bit数据的高4bit相同时，查表即会落到同一个cachesize中。

对同一个sbox进行查表时，对于同一密钥，不同的输入数据就会导致cache的命中或失效，通过查表的中间数据与cache命中或失效的联系，推断出密钥值。

区分命中或失效两种操作是攻击成功的基础，因此需要构造合适的区分器，一般常用的区分器多以利用样本分布的期望和方差来构造，例如以不同分组的均值来区分命中或失效。本发明中使用相关性分析的方法来区分不同的操作，通过计算两个分组的分布的相关性系数，然后设定一个相关性系数的阈值，大于阈值的认为是同一操作，小于阈值的认为是不同的操作。这样可以大大降低由于各种干扰带来的误差对统计特征的影响。

以某一个cachesize为例，分别计算数据00到ff对应的probe获得样本的分布，然后以00数据的分布为参考分布，计算其它数据对应的分布与参考分布之间的相关性系数。取一个相关性阈值的经验值rf，将相关性系数大于等于rf的分为一组，小于rf的分组为一组。计算两组元素个数的比值d，当d约等于16/240时，判断该cachesize被使用。

理想情况下，大量随机数的prime+aes+probe的实验后，通过区分器处理可以发现：使用的cachesize数量为16个，并且size号是连续的。但是由于在aes的运算过程中，cache中除了需要存储te4表外，可能还需要存储其它的中间变量，因此在实际评估实验中通过区分器识别出来被占用的cachesize可能约小于16个。

通过区分器，可以判断出aes使用了哪些cachesize，然后通过猜测密钥值，与数据进行运算得到查表的中间值，对于使用了同一个cachesize的不同数据，查表的中间值的高4bite数据理论上相同，因此通过查表中间值的高位是否相同即可判断是否是正确的密钥猜测。

通过区别器识别出的多个被使用的cachesize，每一个均可用于判断正确的密钥值，多个可以相互检验，以增加结果的稳定性。

这里，为更好地展示aes攻击流程，以下对aes算法加密过程进行介绍。如图11所示，以128-bit密钥的aes/rijndael算法为例。为优化软件执行性能，aes加密程序会预计算并存储4个大的查找表t0～t3。在完成前9轮针对t0～t3的4次查找后，还在最后的第10轮，对一个简化的表t4进行16次查找。为了进行整个10轮加密过程，还需要将128-bit的原始密钥扩展为176-byte；即11个被单独运用的16-byte密钥。为成功推出密钥扩展过程如图12所示。在密钥扩展过程中，轮密钥是由种子密钥扩展而成，因此，知道了种子密钥就知道了轮密钥。而知道某轮(假设第i轮)的轮密钥w[4i],w[4i+1],…,w[4i+nb-1]。由密钥扩展方案的数学模型，不仅可以推导种子密钥，而且所有轮密钥都可以推出。

以本发明实施例的实验环境下nb＝4，nk＝4为例说明：

可以看到在获取到最后一轮密钥后能够倒推出aes算法的原始密钥，因此结合aes的加密方式和密钥扩展规律，本cache攻击系统采用的攻击模式为针对最后一轮密钥的攻击。

实施例二：

攻击流程可参照图13，整个攻击过程分为两个部分，第一部分需要在手机端运行，通过上文所描述的prime和probe的方式来获取一定数量的信息，简单可理解为信息采集过程。整个流程介绍如下：

(1)初始化阶段。申请空间映射并确定所有set的虚拟地址，为prime和probe过程做好准备。

(2)prime阶段。本阶段通过访问实际映射，将l2cache中缓存的的所有数据清除并占用。确保后续的加密操作对cache的访问过程能够保留在cache中以备后续使用。

(3)调用加密程序，在已知明文和密文的情况下进行aes加密运算。

(4)probe过程。在加密完成后通过probe过程来确定影响的set，并将所有set的访问信息以单位时间的间隔保存。在实际操作过程中，共分为16个区间进行保存。

(5)在执行本操作之前，可以设定针对某一set共进行多少次访问，当达到总体次数后整个循环停止。

(6)将所有数据进行整理并存储为结果文件。

攻击的第二个部分主要为分析过程，此过程可以在手机或者pc电脑上执行。攻击的模式是根据采集的数据分析第十轮的轮密钥，通过此密钥再反推出整个aes密钥。分析过程如下：

(1)在分析时需要一个字节一个字节分析，需要按照密文反推回第10轮的输入字节排序结果文件。

(2)然后根据所有的数据计算相关性。

(3)针对所有的数据的相关性进行分组。

(4)比较最终的结果，选取相关性差别最大一组数据，其反推回的序号值即为第10轮的密钥值。

本发明提供了基于cache的aes算法的安全评估方法和系统，包括：获取主存地址与cache地址间的空间映射，并确定cache中所有缓存组的地址，缓存组包括被攻击缓存组；利用prime方式访问空间映射，清除并占用缓存组和地址；调用被攻击程序以使被攻击数据存入被攻击缓存组中；利用probe方式确定被攻击缓存组，并将所有缓存组的访问信息进行间隔储存，从而得到结果文件；根据结果文件分析轮密钥，并根据轮密钥反推高级加密标准aes密钥。本发明实现了通过软件攻击的方法(cache攻击)评估智能终端上运行的密码算法是否存在硬件的泄露，与传统的硬件安全评估方法相比，成本低，速度快，普适性强。因此，使用本发明可以快速检测出智能终端的密码算法是否存在安全漏洞，使用较小的代价阻止存在安全漏洞的终端流入市场。

实施例三：

图5为本发明实施例提供的基于cache的aes算法的安全评估系统结构示意图。

参照图5，基于cache的aes算法的安全评估系统,包括：

获取单元10，用于获取主存地址与cache地址间的空间映射，并确定cache中所有缓存组的地址，缓存组包括被攻击缓存组；

第一攻击单元20，用于利用prime方式访问空间映射，清除并占用缓存组和地址；

调用单元30，用于调用被攻击程序以使被攻击数据存入被攻击缓存组中；

第二攻击单元40，用于利用probe方式确定被攻击缓存组，并将所有缓存组的访问信息进行间隔储存，从而得到结果文件；

分析单元50，用于根据结果文件分析轮密钥，并根据轮密钥反推高级加密标准aes密钥。

根据本发明的示例性实施例，被攻击程序包括aes加密运算程序，地址包括被攻击地址，第二攻击单元包括：

预设访问次数，在aes加密运算程序执行完毕后，调用攻击程序访问被攻击地址并计时，计时采用linuxc语言的计时函数；

根据cachemiss效果记录所有缓存组的计时差别，得到访问信息；

重复进行攻击程序的调用直至满足访问次数，并将访问信息以单位时间的间隔进行存储，得到结果文件。

根据本发明的示例性实施例，轮密钥包括猜测密钥值，分析单元包括：

利用区分器对结果文件进行相关性分析，得到aes使用的缓存大小cachesize，并区分cache的命中操作和失效操作；

对结果文件进行轮运算分析得到猜测密钥值；

利用查表法对猜测密钥值进行运算得到查表中间值；

根据查表中间值和cachesize推断猜测密钥值是否正确；

如果正确，则得到aes密钥。

根据本发明的示例性实施例，结果文件包括参考时间样本，分析单元还包括：

分别计算被攻击数据对应的参考时间样本和其他时间样本的相关性系数；

设定比较阈值，判断相关性系数和比较阈值的大小；

如果相关性系数大于比较阈值，则归为同一操作组；

如果相关性系数小于比较阈值，则归为不同操作组；

将同一操作组和不同操作组对应的元素个数进行比较得到比值数据；

根据比值数据判断cachesize是否被使用；

如果cachesize被使用，则为命中操作。

根据本发明的示例性实施例，分析单元还包括：

选取结果文件中相关性系数差别最大的被攻击数据；

将差别最大的被攻击数据反推回的序号设定为猜测密钥值，其中，猜测密钥值为第十轮轮运算的密钥值。

本发明实施例提供的基于cache的aes算法的安全评估系统，与上述实施例提供的基于cache的aes算法的安全评估方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。首先，本发明实施例通过利用cpu访问cache时的信息泄露，来破解密码算法的密钥，从而实现了评估cpu硬件的安全；其次，关于高精度的解决方案本发明实施例采用linuxc语言的计时函数”clock_gettime”，计时的精度可以达到纳秒级别；并且，本发明实施例一方面调高间谍程序和目标程序的优先级，尽量使其成为原子操作，另一方面通过大量重复性的实验来统计分析如何选取合适的区分器来消弱操作系统干扰的影响，结果可靠；另外，本发明实施例对实验数据和观测变量均进行了随机化，使得实验的操作行为无法被预测，操作系统便无法干预实验程序运行，以保证统计的时间数据样本满足要求代表性和独立性的要求；最后，本发明实施例通过计算样本概率分布之间的相关性系数来区分不同的操作，并且利用多组独立的密钥猜测结果进行相互校验以保证结果的正确性。

本发明实施例所提供的基于cache的aes算法的安全评估方法和系统以及系统的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。