446                                                        软件学报  2026  年第  37  卷第  1  期


                 个用于执行实际攻击. 因为在建模设备上的轨迹进行验证, 无法考验算法适应差异化场景的能力, 即便在建模数据
                 上拥有较强的攻击性能, 也不能代表其在目标设备上能够表现良好. 在构造可移植性方案方面, 研究者们需要根据
                 差异化内容的具体表现, 构造相应方案抵消差异. 这其中涵盖了数据预处理、训练策略、迁移学习等一系列技术,
                 合理搭配使用这些方法, 是构建可移植性攻击的关键, 在后续章节本文将详细介绍这些技术.
                  2.2   在相同设备环境下面临的挑战
                    本节探讨了可移植性攻击在相同设备环境下所面临的挑战. 所谓“相同设备”, 指的是建模设备与目标设备是
                 同类的芯片, 其所有的设计和生产参数都是相同的. 根据现有文献研究, 我们对这些场景细分为“相同设备、不同
                 设置”“相同设备、不同副本”“相同设备、不同实现”, 并对这些场景中所带来的挑战进行了详细的分析.
                    1) 相同设备、不同设置
                    在“相同设备、不同设置”的情况下, 建模和目标设备的加密芯片是完全一致的, 甚至是使用同一块芯片进行
                 实验, 但其内部存在密钥参数、采集参数等设置的多样性. 这种差异可能导致攻击的不稳定性, 使得在不同参数设
                 置下的可移植性受到挑战. 现有研究显示, 即使是在同一块芯片上进行建模与分析, 当密钥发生改变时, 轨迹采样
                 点的绝对均值差会出现差异          [45] . 当建模和目标设备的采样设置不同时, 会出现垂直振幅和时间采样点不同步的情
                 况, 这些情况都对攻击可移植性造成影响            [32] .
                    2) 相同设备、不同副本
                    在“相同设备、不同副本”的情况下, 建模和目标设备是同一芯片上两个不同物理副本. 通常, 这两个副本是从
                 同一批产品中购买, 有着相同的电路设计, 但芯片之间存在微小的差异. 这些差异可能由于芯片定制来自不同的印
                 刷电路板   (printed circuit board, PCB) [46] , 在芯片制造和包装过程中引入了随机过程   [47–49] , 或者在  CMOS  技术中采
                 用了不同纳米工艺      [33] . 该场景在实际攻击中很常见, 因而受到研究者的热点关注. 现有研究显示, 即便是在一些简
                 单的可编程集成电路, 不同副本之间的差异仍然会显著增加可移植攻击的错误率                           [34] . 此外, 副本之间的内部差异
                 将会导致轨迹中直流偏移、信噪比、绝对均值差发生改变.
                    3) 相同设备、不同实现
                    在“相同设备、不同实现”的情况下, 建模和目标设备是同一芯片上两个不同物理副本, 除芯片以外更大的差
                 异源自于内置算法的实现方式以及芯片内部的防御对策. 其中, 建模设备和目标设备使用的是同一种加密算法, 但
                 目标设备的算法可能采用了不同的加密模式                (比如  ECB、CBC、CFB    等) [50] , 芯片内部可能带了噪声   [47,51–53] 、时
                 钟抖动  [47,51,52,54] 、掩码  [55,56] 等防护对策. 甚至, 该算法是其可调分组密码  (tweakable cipher) [57] 的一种变种形式, 或
                 者其内部组件、结构是动态可变的            [58] . 在这些场景中, 加密模式之间的实现差异、时钟抖动策略会导致采样轨迹
                 不同步, 而噪声策略会影响轨迹的信噪比. 掩码对策的情况则更为复杂, 整体轨迹泄露分布都会发生改变, 并且不
                 会暴露一阶泄露. 此外, 可调分组密码, 以及组件、结构动态的分组密码会导致一个更复杂的攻击场景, 它们在实
                 现细节上的差异会如何影响轨迹分布还需要进一步的探讨. 在实际情况中, 这些对策的组合会严重影响攻击的可
                 移植性, 对构建的可移植方案的要求更高.
                  2.3   在不同设备环境下面临的挑战
                    本节探讨了可移植性攻击在不同设备环境下所面临的挑战. 所谓“不同设备”, 指的是建模设备与目标设备的
                 芯片在结构、型号以及指令集架构存在差异. 该场景是最困难的场景, 目前仅文献                         [46,59] 对其进行研究. 其中, 这
                 些场景又可细分为“同质设备”“异构设备”. 下面, 本文对这些场景所带来的挑战进行详细分析.
                    1) 同质设备
                    在“同质设备”的情况下, 建模设备和目标设备虽然来自同一制造商, 但芯片之间存在一定的差异. 这些差异可
                 能体现在芯片型号、架构设计、时钟频率等方面. 而在采样轨迹上则体现在泄露位置和采样点的信噪比之间的变
                 化. 攻击者需要制定特定的特征提取和建模方法, 以适应同质设备之间差异带来的挑战.
                    2) 异构设备
                    在“异构设备”的情况下, 建模设备和目标设备是完全不相同的两类芯片, 它们来自不同的制造商, 并且在电路
                 模版、指令集架构       (instruction set architecture, ISA)、功率耗散等方面各不相同. 这种异构性使得构建可移植性方