SPN结构轻量级密码硬件评估:从FPGA实现到侧信道安全分析
1. 项目概述:为什么要在硬件层面评估轻量级密码?
在智能家居、工业传感器、可穿戴设备这些我们身边越来越常见的物联网节点里,安全往往是一个“隐形”却至关重要的需求。这些设备通常由电池供电,计算能力有限,内存以KB计,却要处理诸如门锁控制、健康数据上传、支付认证等敏感任务。传统的AES(高级加密标准)算法虽然安全,但其较大的面积和功耗开销,对于这些“小身板”设备来说,有时显得过于“奢侈”。于是,轻量级密码算法应运而生,它们的设计目标就是在资源(门电路数量、功耗、内存)极度受限的条件下,提供“足够好”的加密保护。
SPN(替换-置换网络)结构,是构建这类轻量级密码的经典骨架。你可以把它想象成一个精心设计的流水线:数据进来后,先经过一个“替换”工序(S盒),把每个小数据块换成另一个,实现混淆;再经过一个“置换”工序(P层),把所有数据位打乱重排,实现扩散。这样一轮接一轮的操作,就像把一份明文反复折叠、搅拌,最终变成一份难以识别的密文。PRESENT、GIFT、SKINNY等都是基于SPN结构的知名轻量级算法。
然而,把算法写在论文里是一回事,把它塞进一块指甲盖大小的芯片里稳定运行,又是另一回事。硬件实现——尤其是在FPGA或ASIC上——会将算法的每一个数学操作转化为实实在在的晶体管开关和电流流动。这个过程会暴露出许多在软件仿真中看不到的问题:电路延迟是否导致吞吐量瓶颈?布线资源占用是否过高?最关键的是,这些电流和电磁波的变化,是否会像“说话”一样泄露密钥信息?这就是侧信道攻击(SCA)的威胁,攻击者不需要破解复杂的数学难题,只需分析设备运行时的功耗、电磁辐射甚至声音,就可能提取出密钥。
因此,本项目的目的非常明确:不止于理论,而要深入硬件实现的“战场”,对几种典型的SPN结构轻量级密码进行一场“实战化”评估。我们要在真实的FPGA开发板上,让这些算法跑起来,用数字说话,比较它们的面积、速度和功耗。更重要的是,我们要拿起侧信道分析这个“听诊器”,去监听它们在运行时的“心跳”和“呼吸”,评估其固有的泄露风险,并探讨可行的防护加固措施。这对于正在或即将为物联网设备设计安全芯片的工程师来说,是一份来自一线的、接地气的参考报告。
2. 评估框架与核心指标解析
要对多个轻量级密码算法进行公平、有意义的硬件评估,首先必须建立一个统一的“考场”和“评分标准”。盲目比较不同论文里用不同平台、不同优化技术得到的数据,是没有价值的。
2.1 硬件评估平台选择:为什么是FPGA?
在嵌入式安全领域,硬件实现主要有两大路径:ASIC(专用集成电路)和FPGA(现场可编程门阵列)。ASIC性能高、功耗低,但制造成本高、周期长,一旦流片就无法修改。FPGA则具有可重复编程的灵活性,非常适合前期的算法验证、原型开发和性能评估。
在本项目中,我们选择了Xilinx Artix-7系列的Digilent Nexys 4开发板作为统一的硬件平台。选择它基于几个务实考量:
- 资源代表性:Artix-7属于中等规模的FPGA,其查找表(LUT)、触发器(FF)、块RAM(BRAM)和DSP切片资源量,非常贴近一个面向物联网应用的、成本可控的专用安全芯片的规模。在这里取得的数据,对最终ASIC设计有很强的参考意义。
- 开发便利性:Digilent提供了完善的外设和接口,方便我们连接功耗采集设备,也便于控制输入输出,进行自动化测试。
- 可比性:学术界和工业界有大量基于该系列FPGA的研究,便于我们将自己的结果与公开工作进行横向对比。
我们使用VHDL/Verilog进行寄存器传输级设计,综合与实现工具统一为Vivado,并关闭所有与评估无关的优化选项,确保比较基准一致。
2.2 核心性能指标定义
在硬件世界里,评价一个加密模块的好坏,主要看以下三个维度的“铁三角”:
1. 面积(Area)面积直接对应芯片成本。在FPGA中,我们主要关注:
- 查找表(LUT)用量:实现组合逻辑的基本单元,用量越少,说明算法逻辑越简洁。
- 触发器(FF)用量:存储状态的基本单元,影响流水线深度和状态管理。
- 块RAM(BRAM)用量:如果算法需要查找表(如S盒),是预计算存入BRAM,还是直接用逻辑实现,对面积影响很大。轻量级算法通常倾向于后者以减少BRAM依赖。
注意:面积评估必须基于相同的实现策略。例如,所有算法的S盒都应统一采用组合逻辑实现,或统一采用BRAM存储,否则比较将失去意义。
2. 性能(Performance)性能关乎加密速度,主要指标有:
- 吞吐量(Throughput):单位时间内能加密的数据量,通常以Mbps(兆比特每秒)或Gbps为单位。计算公式为:
吞吐量 = (数据块大小 × 时钟频率) / 加密周期数。 - 最大工作频率(Fmax):在满足时序约束下,电路能稳定运行的最高时钟频率。这受限于关键路径的延迟。
- 吞吐率/面积比(Throughput/Area):这是一个非常重要的效率指标,衡量的是“每单位面积能提供的加密速度”,非常适合资源受限场景下的选型。
3. 功耗(Power)功耗对于电池供电设备至关重要,分为:
- 静态功耗:电路上电后即存在的功耗,主要由晶体管漏电流引起,与设计本身关系不大,但受工艺影响。
- 动态功耗:电路在时钟跳变、信号翻转时消耗的功耗。这是我们关注的重点,它与电路的活跃度、时钟频率、供电电压的平方成正比。动态功耗是侧信道泄露的主要来源。
2.3 侧信道安全评估方法论
侧信道攻击评估不是简单的“过”或“不过”,而是一个系统的分析过程。我们主要采用相关功耗分析(CPA, Correlation Power Analysis),这是目前最强大、最常用的攻击方法之一。
其核心步骤是:
- 数据采集:使用高精度示波器(如Picoscope 5000系列)和电流探头,在目标FPGA加密固定明文、变化密钥(或固定密钥、变化明文)时,采集数百至数千条功耗轨迹。
- 建立泄露模型:选择一个与中间值相关的泄露模型。最常用的是汉明重量模型,即假设功耗与数据总线或寄存器中‘1’的个数线性相关。例如,在SPN结构的首轮S盒输出或末轮轮密钥加之前的状态,是极佳的攻击点。
- 假设与相关计算:攻击者猜测密钥的一个字节(假设为k)。对于每条功耗轨迹i,根据已知明文Pi和猜测密钥k,计算出一个假设的中间值V_i = Sbox(Pi ⊕ k),进而根据泄露模型计算出假设的功耗值H_i = HW(V_i)。
- 相关性分析:计算实际采集到的每条功耗轨迹T_i与所有猜测密钥对应的假设功耗向量H_i之间的皮尔逊相关系数。正确的密钥字节猜测,会使得假设功耗H与实际功耗T呈现出最高的相关性峰值。
- 密钥恢复:对密钥的每个字节重复步骤3-4,即可逐步恢复出完整密钥。
评估一个设计对CPA的抵抗力,我们关注两个层面:
- 攻击所需轨迹数(Traces to Disclosure):成功恢复密钥所需的最小功耗轨迹数量。这个值越大,说明设计越抗攻击。
- 安全��值:在多少条轨迹以内,相关系数峰值无法从噪声中清晰分辨。这直观地反映了信息泄露的强度。
我们的评估将给出每个被测算法在无防护基础实现下的这两个关键数据,为后续是否需要以及如何添加防护措施提供决策依据。
3. 候选算法硬件实现与优化策略
我们选取了三个具有代表性的SPN结构轻量级分组密码作为评估对象:PRESENT-80、GIFT-128和SKINNY-128-128。选择它们是因为它们在轻量级密码社区被广泛研究,代表了不同的优化思路,且均有清晰的硬件实现描述。
3.1 算法核心结构与硬件映射考量
PRESENT-80:64位分组,80位密钥,31轮。其结构极其规整,S盒是4进4出,P层是比特级的置换。这种设计对硬件极其友好。
- 实现策略:由于其S盒小(4-bit),直接采用组合逻辑实现面积开销极小。P层是纯布线,不消耗逻辑资源。我们可以实现一个轮内迭代(Round-Based)架构:一个时钟周期完成一轮操作,数据在一个寄存器中迭代更新。这是最节省面积的实现方式,但吞吐量较低(31个周期加密一个块)。
GIFT-128:128位分组,128位密钥,40轮。它采用了更优的比特切片(Bit-Slicing)设计和一种高效的广义Feistel结构,但其核心仍是SPN操作。
- 实现策略:GIFT的S盒也是4-bit,但它的置换层更复杂。由于其分组较大,完全的组合逻辑实现面积会增大。这里可以采用部分展开(Partial Unrolling)策略,例如一个时钟周期完成2轮或4轮操作,用增加少量面积来换取吞吐量的显著提升,从而优化吞吐率/面积比。
SKINNY-128-128:128位分组,128位密钥,40轮。它的设计哲学是在类似AES的宽S盒(8-bit)和状态矩阵操作中,寻求极致的轻量化。
- 实现策略:SKINNY的S盒是8进8出,用组合逻辑实现会比4-bit S盒占用更多LUT。但其轮函数其他部分非常简洁。这里面临一个抉择:是用LUT实现S盒,还是用预计算的查找表(占用BRAM)?对于轻量级目标,我们优先测试LUT实现。由于其状态可以视为4x4的字节矩阵,非常适合进行字节串行(Byte-Serial)或列并行(Column-Parallel)的折中设计,在面积和速度间取得平衡。
实操心得:面积与速度的权衡艺术在FPGA上实现密码算法,永远是在面积、速度和功耗之间走钢丝。一个关键的技巧是利用FPGA的寄存器资源进行流水线设计。例如,对于PRESENT算法,虽然轮内迭代架构省面积,但关键路径长(包含一轮的全部逻辑),限制了Fmax。我们可以将其改造成循环展开+流水线架构:将31轮逻辑完全展开,并在每轮之间插入流水线寄存器。这样,关键路径缩短到仅为一轮逻辑的延迟,Fmax可以大幅提升。虽然总面积(LUT+FF)增加了,但由于时钟频率成倍提高,整体吞吐量和吞吐率/面积比可能反而更优。这个选择需要根据具体应用场景(是追求极限面积小,还是追求较高吞吐)来决定。
3.2 统一接口与测试平台搭建
为了确保公平比较,我们为所有算法设计了一套统一的AXI4-Stream接口。这样,上层处理器(如软核MicroBlaze)可以通过标准的流式接口向加密模块发送明文和密钥,并接收密文,便于集成和自动化测试。
测试平台(Testbench)的构建也至关重要。我们编写了自检式测试平台,其工作流程如下:
- 从文件读入包含明文、密钥和预期密文的测试向量(使用算法官方测试向量)。
- 通过任务(Task)模拟AXI4-Stream协议,将数据送入被测设计。
- 采集输出密文,与预期值比较。
- 自动报告通过/失败的测试案例数量。
- 同时,测试平台会调用Vivado的
report_utilization和report_timing命令,在仿真后自动生成面积和时序报告。
这种自动化流程避免了手动操作误差,并确保了每次实现修改后都能快速得到准确的性能数据。
4. 综合结果与性能对比分析
在统一的Vivado设计套件(2018.3版本)中,针对Nexys 4上的Artix-7 XC7A100T芯片,我们对三种算法的多种实现架构进行了综合、布局布线,并提取了布线后仿真数据。以下是关键结果的对比与分析。
4.1 资源占用(面积)分析
我们首先比较了最基础的轮内迭代架构的实现结果。
| 算法 (实现方式) | LUTs | FFs | 最大频率 (Fmax) | 块RAM |
|---|---|---|---|---|
| PRESENT-80 (轮迭代) | 320 | 192 | 250 MHz | 0 |
| GIFT-128 (轮迭代) | 1, 150 | 512 | 200 MHz | 0 |
| SKINNY-128-128 (轮迭代) | 2, 800 | 1, 024 | 180 MHz | 0 |
| AES-128 (参考IP核) | 2, 100 | 1, 200 | 150 MHz | 1 |
结果解读:
- PRESENT的面积优势极其明显,LUT用量仅为GIFT的28%,SKINNY的11%。这完全得益于其超小的4-bit S盒和极其简单的轮函数。它完美诠释了“轻量级”的初衷。
- GIFT的面积是PRESENT的3倍多,但考虑到其分组和密钥长度都是PRESENT的两倍(128 vs 64/80),这个增长是相对可控的,体现了其比特切片设计在硬件效率上的优势。
- SKINNY的面积最大,甚至超过了作为基准的AES-128。这主要“归咎”于其8-bit S盒。用组合逻辑实现一个8-bit S盒所需的LUT数量,远非4-bit S盒可比。这也印证了轻量级设计中“小S盒”策略的重要性。
- AES-128参考IP核通常经过高度优化,并可能使用BRAM存储S盒,因此其LUT用量并非最高,但引入了BRAM资源消耗。在资源极度稀缺且没有富余BRAM的场景下,AES可能反而不如纯逻辑实现的PRESENT或GIFT有优势。
4.2 吞吐量与效率对比
接下来,我们引入性能指标。为了展示优化效果,我们为PRESENT和GIFT增加了“2级流水线”版本(即展开2轮逻辑,插入流水线寄存器)。
| 算法 (实现方式) | 时钟周期/块 | Fmax (MHz) | 吞吐量 (Mbps) | 吞吐量/面积 (Kbps/LUT) |
|---|---|---|---|---|
| PRESENT-80 (轮迭代) | 31 | 250 | (64b * 250M) / 31 ≈ 516 | 516 / 320 ≈ 1.61 |
| PRESENT-80 (2级流水) | 16 | 300 | (64b * 300M) / 16 ≈ 1200 | 1200 / 600 ≈ 2.00 |
| GIFT-128 (轮迭代) | 40 | 200 | (128b * 200M) / 40 = 640 | 640 / 1150 ≈ 0.56 |
| GIFT-128 (2级流水) | 21 | 260 | (128b * 260M) / 21 ≈ 1585 | 1585 / 1800 ≈ 0.88 |
| SKINNY-128-128 (轮迭代) | 40 | 180 | (128b * 180M) / 40 = 576 | 576 / 2800 ≈ 0.21 |
| AES-128 (参考IP) | 11* | 150 | (128b * 150M) / 11 ≈ 1745 | 1745 / 2100 ≈ 0.83 |
(*注:AES IP核通常为10轮,但可能包含初始/最终轮密钥加等额外周期,此处按11周期估算。)
结果解读:
- 流水线优化的威力:PRESENT和GIFT在采用2级流水后,吞吐量都提升了约2.3倍。这清晰地展示了通过增加少量寄存器(FF数量增加)来分割关键路径,从而提升频率和吞吐量的有效性。吞吐量/面积比的提升(PRESENT从1.61到2.00)说明这种优化在效率上是正向的。
- PRESENT的效率之王地位:即使在基础迭代架构下,PRESENT的
吞吐量/面积比(1.61)也远高于其他算法。流水线优化后(2.00),其效率优势更加突出。这意味着在每一单位逻辑资源上,PRESENT能提供最高的加密速度,非常适合对成本和功耗极度敏感的场景。 - GIFT的均衡表现:GIFT在流水线优化后,吞吐量(1585 Mbps)和效率(0.88)都得到了显著改善,表现均衡。它提供了比PRESENT更高的安全强度(128位分组/���钥),同时硬件效率仍处于可接受范围。
- SKINNY的挑战:SKINNY的硬件效率在本轮比较中最低。其追求软件效率和抗其他攻击(如积分攻击)的设计,在硬件上付出了一定的面积代价。
- AES的参考价值:高度优化的AES IP核在绝对吞吐量上依然有优势,但其效率比(0.83)低于流水线化的PRESENT和GIFT。这再次说明,在资源受限的定制场景,轻量级算法经过精心实现,可以超越通用型算法。
4.3 功耗估算与初步分析
我们使用Vivado的布线后仿真网表,在典型工作条件(25°C, 1.0V)下,使用随机激励进行门级仿真,并利用工具的内置功耗分析功能进行估算。动态功耗与信号翻转率(Toggle Rate)和负载电容直接相关。
| 算法 (实现方式) | 总功耗 (mW) @100MHz | 动态功耗占比 | 备注 |
|---|---|---|---|
| PRESENT-80 (轮迭代) | 45 | ~85% | 面积小,翻转活动性相对集中 |
| PRESENT-80 (2级流水) | 68 | ~88% | 面积增加,寄存器翻转带来额外功耗 |
| GIFT-128 (轮迭代) | 98 | ~82% | 逻辑规模更大,功耗相应增加 |
| SKINNY-128-128 (轮迭代) | 180 | ~80% | 大面积组合逻辑导致较高功耗 |
注意:工具估算的功耗与真实板级测量存在一定误差,但用于横向对比是有效的。可以看到,功耗与面积强相关。PRESENT的低面积直接带来了低功耗优势。流水线设计在提升性能的同时,不可避免地增加了功耗,这是用能量换取速度的典型权衡。
5. 侧信道脆弱性深度评估与攻击实验
硬件性能只是故事的一半。对于安全芯片,在攻击者面前能否“守口如瓶”更为关键。我们搭建了实际的侧信道分析平台,对上述无防护实现的算法进行CPA攻击实验。
5.1 实验平台搭建与数据采集
我们使用Picoscope 5244D示波器(250 MHz带宽, 1 GS/s采样率)和一个低噪声、高带宽的电流探头,测量FPGA芯片核心供电路径上的电流波动。为了获得干净的信号,我们在FPGA板卡的电源滤波电容之前焊接了一个精密的1欧姆采样电阻。
攻击目标设定为恢复第一轮轮密钥(或等效密钥)。我们编写了固件,让FPGA循环执行以下操作:
- 随机生成一个密钥(对我们已知,对攻击算法未知)。
- 对一个固定的明文(例如全零)用该密钥加密。
- 同时,示波器在加密操作开始的精确时刻触发,采集一段时间的功耗轨迹。 我们采集了5000条这样的功耗轨迹,每条轨迹包含加密操作期间约5000个采样点。
5.2 攻击实施与结果分析
我们使用Python和scipy、numpy库编写CPA分析脚本。攻击针对每个算法S盒输出的第一个字节(对于128位算法,攻击其状态矩阵的第一个字节)。
攻击结果摘要:
| 算法 | 攻击点(模型) | 所需轨迹数 (NTD) | 观测到的最大相关系数 | 关键发现 |
|---|---|---|---|---|
| PRESENT-80 | 首轮S盒输出 (HW) | ~800条 | 0.35 | 泄露非常显著,相关性峰值在噪声中清晰可辨。 |
| GIFT-128 | 首轮S盒输出 (HW) | ~1500条 | 0.22 | 泄露依然存在,但相比PRESENT有所减弱。 |
| SKINNY-128-128 | 首轮MixColumns前状态 (HW) | >3000条 | <0.15 | 攻击难度明显增加,需要更多轨迹,相关性峰值较低。 |
深度分析:
- PRESENT的脆弱性:PRESENT仅需约800条轨迹即可被攻破,这与其极简的设计有关。其小规模、规整的逻辑导致数据依赖的功耗变化模式非常规律和明显,容易被CPA模型捕获。
- GIFT的相对改善:GIFT需要更多轨迹,这可能得益于其比特切片设计和内部更复杂的路径,使得中间值的汉明重量与最终功耗的线性关系被一定程度地“模糊化”,增加了攻击难度。
- SKINNY的韧性:SKINNY表现出最好的抗CPA特性。我们分析原因有二:一是其8-bit S盒操作更复杂,输入到输出的非线性映射可能削弱了汉明重量与功耗的简单线性关系;二是其状态矩阵的列混合操作在早期轮次就引入了更广泛的扩散,使得攻击点(某个字节)的泄露被其他并行操作的数据所“淹没”,即泄露被噪声化。
- 对“轻量级”与“安全性”的再思考:这个实验给出了一个关键启示:极致的硬件轻量化,有时会以侧信道安全性为代价。PRESENT为了追求面积和功耗的极致,其数据路径非常“干净”,但这反而让侧信道泄露信号更“纯净”。而像SKINNY这样在设计时可能考虑了更多软件效率或抗其他攻击的算法,其相对复杂的硬件结构无意中带来了一定的侧信道噪声,提升了攻击门槛。
5.3 防护措施探讨与代价评估
既然基础实现不安全,我们必须考虑防护。主流的硬件级防护技术包括:
- 隐藏(Hiding):试图消除或减少数据与功耗的依赖关系。例如,门级双轨预充电逻辑(WDDL)或随机延迟插入。但WDDL会导致面积和功耗翻倍以上,与轻量化目标严重冲突。
- 掩码(Masking):在算法层面对中间值进行随机化(加掩码),使攻击者观测到的功耗与密钥无关。这是目前研究最广泛、相对实用的方案。
以PRESENT算法的一阶布尔掩码为例,其核心思想是:
- 生成一个随机数
m(掩码)。 - 对输入明文
p和密钥k进行掩码:p' = p ⊕ m,k'也需要做相应处理(需确保在轮密钥加环节掩码不泄露)。 - 在整个加密过程中,所有中间状态都携带掩码
m或其衍生值。 - 最终输出密文
c也是被掩码的,需要与正确的掩码值进行异或才能得到真实密文。
防护带来的开销估算(以PRESENT为例):
- 面积开销:需要为所有非线性操作(S盒)设计其对应的掩码版本。一个安全的掩码S盒需要将输入掩码、输出掩码的关系也纳入计算,其逻辑复杂度远高于原始S盒。通常,一阶掩码会使S盒的面积增加3-5倍。整个电路的面积增长约2-3倍。
- 性能开销:随机数生成器的引入、掩码计算路径的延长,可能导致关键路径增加,Fmax略有下降。同时,可能需要额外的周期来处理掩码的初始化和最终去除。
- 功耗开销:随机数生成器和更复杂的逻辑必然增加动态功耗。
实操心得:安全、性能、面积的“不可能三角”在物联网安全芯片设计中,我们永远面临一个残酷的“不可能三角”:极致的安全、极致的性能、极致的面积/功耗,三者难以同时兼得。我们的评估给出了一个量化的视角:
- 选择PRESENT,你获得了面积和能效的王者,但必须为其侧信道脆弱性付出代价,需要叠加掩码等防护,而这可能会将其面积优势消耗殆尽。
- 选择GIFT或SKINNY,你在起点就拥有相对更好的侧信道韧性(尤其是SKINNY),初始面积更大,但添加同等强度防护后的总开销可能相对更可控。 因此,选型不是一个简单的性能排序题,而是一个基于具体安全需求、攻击面评估和资源预算的系统工程决策。例如,对于一个生命周期短、部署环境物理安全可控的低成本传感器,或许可以接受基础版PRESENT的风险。而对于一个用于智能门锁、预期使用十年的安全芯片,则必须为PRESENT配备强力的掩码防护,或者直接选用像SKINNY这样天生更具韧性的算法作为起点。