側信道能量信息測試向量泄漏評估技術

鄭 震 嚴迎建 劉燕江

(戰略支援部隊信息工程大學 鄭州 450001)

1 引言

1999年Kocher等人[1]通過收集密碼設備運行過程中的能量消耗獲取了密碼算法密鑰等信息，該研究催生了新的密碼攻擊形式——側信道能量分析攻擊。自此之后，經過20余年發展，能量分析攻擊已經發展成為包含差分能量分析(Differential Power Analysis, DPA)、簡單能量分析(Simple Power Analysis, SPA)和相關能量分析(Correlation Power Analysis, CPA)等多種形式的密碼分析技術，對各類密碼產品的機密性和其中的數據完整性構成了嚴重的現實威脅[2,3]。為應對這些威脅，將針對能量分析攻擊的防護措施整合到密碼產品上已成為必然，因此對能量信息安全性和防護措施有效性的評估已經逐漸成為密碼學領域的關注熱點之一。目前為止，任何評估方法都無法保證檢測出所有類型的能量信息泄漏，抗能量分析攻擊評估實驗的目的是判斷密碼產品或模塊中是否存在能量信息泄漏，或是否能夠提供與所需安全級別相稱的防護能力。一個合格的能量信息泄漏評估方案應滿足有效性(評估結果應是可重復實現的)和簡易性(不應消耗過多的評估時間或要求評估人員掌握過于專業的技能等)兩方面要求[4,5]。

在ANSSI和BSI等機構定義的標準[6]中，通過實施能量分析攻擊的方式對待測設備抗能量分析攻擊的能力進行評估，若攻擊成功，則根據攻擊所消耗的時間等資源對待測設備的安全級別進行評定。但是這種基于攻擊的評估策略所需時間成本較大且通用性較差：在密碼產品的使用過程中，任何一種能量分析攻擊方法都可能被用于對其發起攻擊，因此為確保評估的全面性，應盡可能地遍歷更多的能量分析攻擊方法，同時兼顧密碼算法的各個中間值以及各種能量模型。然而，即使只嘗試個別已知的攻擊方法，密碼算法中大量的中間值和可供選擇的不同能量模型仍會使得評估過程相當耗時，且由于保密的能量分析攻擊方法的存在，仍無法保證評估結果的全面性。當密碼算法被攻破時，也不能保證該攻擊方法即是最有效的攻擊手段，因此難以建立一個客觀的安全級別的標準。同時，基于攻擊的評估策略對評估人員的要求較高，一方面要掌握盡可能多的能量分析攻擊方法，另一方面，實施攻擊時能量模型的選擇很大程度上取決于評估人員的專業知識和經驗，如果因能量模型選擇不當導致攻擊沒有成功，存在安全隱患的設備就會被誤判為安全[7]。隨著新型能量分析攻擊方法不斷被提出，這種評估策略的實施成本變得越來越大，局限性變得越來越突出。因此，當前評估人員更加傾向于標準化的評估程序，通過實施較為固定的步驟對泄漏情況進行評估。

與其尋找針對特定待測設備的最佳攻擊方法并以攻破設備所需的資源消耗量來衡量設備的安全級別，可以利用假設檢驗的統計手段，先對待測設備的泄漏情況作出假設，然后通過分析采集的能耗數據的統計特征來決定是否接受該決定。這種策略不必確定如何利用或量化這些泄漏，可用于決策待測設備是否能夠通過某項安全性測評，但不可用于破獲明文或密鑰等秘密信息。基于這一思路，Goodwill等人[8]在2011年美國國家標準技術研究院主辦的研討會上針對AES算法提出了一種評估泄漏的新方法，使用一組預先指定的輸入明文作為測試向量執行加密操作，然后對收集的能耗數據執行假設檢驗測試并計算得到置信度，對該置信度的數值設置閾值以建立一個明確的失敗/通過標準從而判定是否存在泄漏。Cooper等人[9]對該方法進行了整理并將其命名為測試向量泄漏評估(Test Vector Leakage Assessment, TVLA)，TVLA將泄漏評估與不斷發展的能量分析攻擊技術分離開來，將復雜的泄漏檢測問題轉化為簡捷的數理統計步驟，使用固定的統計步驟來捕獲能量信息泄漏。TVLA不需要評估人員掌握過多的密碼算法或能量分析攻擊知識，且可以通過修改測試向量等方法來捕捉能量信息泄漏，并根據所需的安全要求調整閾值，具有簡單高效等優勢。

目前，TVLA已被廣泛應用于對后量子密碼等各類密碼實現的泄漏評估中。Wang等人[10]利用TVLA對ARM Cortex-M4單片機上實現的SABER KEM的解密過程進行了評估，結果表明該實現中的增量存儲步驟可能導致密鑰信息的泄漏。Saarinen等人[11]討論了TVLA在KEM的硬件實現上的實施并指出，由于后量子密碼的各密鑰對間的緊密聯系，用固定密鑰和隨機密鑰實施的非特定TVLA的效果不理想，實施TVLA前需對測試向量進行謹慎的選擇。Krausz等人[12]針對后量子密碼提出了一個基于多項式反演的掩碼方案，并通過實施TVLA證明了其有效性。此外，TVLA還被用于其他平臺上不同密碼體制的安全性測評實驗中[13–16]。

本文以TVLA為研究對象，對其研究現狀進行歸納總結。首先在第2節對TVLA技術進行了概述，對TVLA的實現機制進行了介紹，并對特定和非特定兩種TVLA進行了對比分析。然后在第3節根據已有文獻中的研究對TVLA的局限性進行了分析和歸納。接著在第4節對TVLA的研究現狀進行了歸納整理，對現有的各類TVLA的優化和替代方法的優勢與不足進行了闡述和深入分析，最后在第5節對本文進行了總結并對TVLA的發展前景進行了展望。

2 TVLA概述

2.1 TVLA實現機理

在各種能量分析攻擊中，攻擊者嘗試設計各種數學公式以捕捉由明文或密鑰的變化等因素造成的能耗數據的統計學差異，進而破解密碼算法。因此，設備能耗中任何的由所處理數據變化引起的顯著性的統計學差異都可能會被攻擊者加以利用，故當密碼算法的明文或敏感中間值等操作數發生變化時，若設備的能耗也隨之發生顯著性變化，即說明能耗中有攻擊者可利用的信息，即存在泄漏。TVLA正是基于這樣的原理，對能量信息泄漏進行評估。

TVLA使用Welch's t檢驗[17]來確定操作數和密碼設備能耗間是否存在依賴關系，Welch's t檢驗是針對不同樣本量和不同方差的student t檢驗的擴展形式。具體地，在實施TVLA時，根據操作數將能耗數據分為兩組，并通過檢驗兩組能耗數據之間的均值差異來判斷是否存在泄漏。檢驗的零假設是兩組能耗數據均值相同(即相應的操作數對設備能耗沒有影響，不存在泄漏)，備擇假設是兩組能耗數據均值不同(即相應的操作數對設備能耗有影響，存在泄漏)。TVLA的檢驗統計量t值的計算如式(1)

其中， (n0,μ0,) 和(n1,μ1,)分別為兩組能耗數據的樣本量、樣本均值和樣本方差。TVLA需要對能量跡中的采樣點逐個實施檢驗，Welch’s t檢驗則用于判斷所采集的能耗數據是否提供了足夠的證據來拒絕零假設，檢驗統計量t出現高正值或負值表明零假設不正確的置信度較高，任一處采樣點處的t值超出閾值即可判定待測設備或算法存在能量信息泄漏。

對t值選擇不同的閾值C可以使得t>C或t<–C的概率對應于零假設被拒絕的不同置信度。選擇一個較大的閾值可以使犯假陽性(實際無泄漏卻判定存在泄漏)誤判錯誤的可能性較小，但大閾值會增加犯假陰性(實際有泄漏卻判定不存在泄漏)誤判錯誤的概率，因此為平衡泄漏檢測的需求，同時控制假陽性和假陰性錯誤出現的概率，閾值不能過大也不能過小，TVLA可以實施兩次相互獨立的實驗，只有在兩次實驗中檢驗統計量t在同一方向上均超過閾值(均大于C或均小于–C)，才能判定存在泄漏。如果能量跡的某個采樣點處存在能量信息的泄漏，那么在兩次獨立測試實驗中t值均應大于C或均小于–C；而如果檢驗統計量t在某采樣點處因噪聲等偶然因素超過了閾值，那么這種偶然情況在另一次獨立實驗中幾乎不可能再次出現。

2.2 TVLA分類及對比

根據對能耗數據分組依據的不同，TVLA可分為特定TVLA和非特定TVLA，其中特定TVLA根據密碼算法中間值進行分組，非特定TVLA根據輸入明文或密鑰對能耗數據進行分組。

特定TVLA選擇密碼算法中間值的某一位或幾位作為分組判定位，根據判定位的值是否等于檢測前設置的數值將能耗數據分為兩組。特定TVLA判定位的設置和DPA等常見的能量分析攻擊的形式較為相似，因此其針對這些常見攻擊形式的測試效果較好。然而，由于可選擇的密碼算法中間值數目龐大，特定TVLA所需耗費的成本非常大。以AES-128算法為例，在僅考慮圈密鑰加、字節置換、行移位和列混合4種密碼操作的情況下，在第1輪加密中就可以進行4×128種位測試，4×16×256種字節測試，或更多種判定位數為其他值的測試。因此，特定TVLA同基于攻擊的測試方法一樣，難以保證評估的全面性。

根據輸入明文的不同，非特定TVLA又可分為“固定-固定”和“固定-隨機”兩種，其中前者的兩組輸入明文(密鑰)均為固定值，后者兩組能耗對應的輸入明文(密鑰)分別為固定值和隨機值。在“固定-固定”非特定TVLA中，評估人員事先選定兩個固定的測試向量，并以隨機交錯的方式輸入密碼設備中進行加密，得到兩組能耗數據。在“固定-隨機”非特定TVLA中，評估人員事先選定一個固定測試向量，并以隨機交錯的方式依次將該固定和隨機測試向量輸入密碼設備進行加密，得到兩組能耗數據。在非特定TVLA中，選擇不同的輸入向量可能導致非特定TVLA結果不同，為保證評估結果的可靠性，應選擇不同的測試向量重復實施TVLA。表1是特定和非特定TVLA的對比情況。

表1 特定和非特定TVLA的對比

3 TVLA的局限性分析

TVLA的局限性主要體現在以下方面：

(1) TVLA只考慮了1階原點矩(均值)和單變量(針對能量跡中的單個采樣點)泄漏，其可能對存在高階或多變量泄漏的待測設備作出“假陰性”誤判[18,19]。

一方面，以2階中心矩(方差)上存在泄漏的情況為例，設某采樣點能耗X的均值為E (X)，方差為D(X)， 分布律為P{X=xk}=pk,k=1,2,...，有

由式(2)可知，即使兩個采樣點處能耗數據的1階矩相同，其2階矩仍可能存在差異。結合式(1)分析可知，TVLA檢驗統計量t值的構造形式為能耗數據的1階矩，因此當兩組能耗數據間的統計差異只體現在高階矩上時，TVLA無法探測到存在的泄漏。

另一方面，以信息泄漏以積的形式分散在兩個采樣點上的情況為例，設對這兩個采樣點實施TVLA得到的能耗分組分別為 (GX1,GX2) 和(GY1,GY2)，積運算后對該“組合”采樣點實施TVLA得到的兩個能耗分組為 (G1,G2)，則結合TVLA的分組原理可知

當E(GX1)=E(GX2) 且E(GY1)=E(GY2)時，TVLA會判定不存在泄漏，而實際上泄漏是存在的：由式(3)和式(4)可知，由于 C ov(GX1,GY1)與Cov(GX2,GY2) 不一定相等，仍可能出現E(G1)?=E(G2)。因此當對加掩碼防護措施或對串行運行的軟件密碼產品實施泄漏檢測時，各個共享因子產生泄漏的時刻可能不同，需要利用覆蓋所有共享因子泄漏時刻的組合能耗來確定是否有泄漏，而TVLA只針對單個采樣點的能耗，會導致漏檢。

(2) 根據TVLA的t值僅能判斷待測設備是否存在泄漏，而不能進一步解釋泄漏的具體情況或量化能量信息泄漏的多少，對后續攻防的參考意義有限[20,21]。

完整的TVLA中，求得t值后，還需根據式(5)—式(7)分別求得自由度v，t分布的概率密度函數f(t,v) 和 t檢驗中零假設成立的概率p

綜合分析式(5)—式(7)以及TVLA的完整過程可知，t值和p值是相互對應的，t值越大或p值越小僅能表示零假設成立的概率越小。因此TVLA的結果并不能用于量化側信道能量信息泄漏，檢驗統計量t值的大小不能代表能量信息泄漏的多少，其與能量分析攻擊的成功率之間也無確定性關系。即使TVLA判定待測設備存在泄漏，能量分析攻擊仍不一定能夠攻破設備，導致將實際安全的密碼設備判定為存在泄漏而造成資源浪費。

(3) TVLA對能耗數據的信噪比要求較高，噪聲較大時TVLA評估效果會受到顯著影響[18,22]。

密碼設備的能耗依賴于其中執行的密碼操作和處理的操作數，將能耗中的操作依賴分量記為Pop，數據依賴分量記為Pda；同時，能耗中不可避免地含有與執行的密碼操作和處理的中間值無關的隨機噪聲Pno，以及由漏電流等產生的常量部分Pco。據此可用式(8)刻畫密碼設備的總能耗Pto

TVLA中，評估人員對多條能量跡中相同采樣點處的能耗值進行分析，相同采樣點對應的密碼操作相同，故各能耗值中的Pop相等。根據定義，各能耗值中的Pco同樣相等。可知不同能耗值間的差異是由Pda和Pno造成的。Pno較大時會掩蓋Pda中存在的統計差異導致漏檢，因此實施TVLA前需進行對齊和降噪等預處理步驟。

(4) TVLA只關注了在能量跡的單個采樣點處能耗值和設備中操作數的依賴關系，這導致TVLA整體犯誤判錯誤的概率隨能量跡中采樣點數量的增加而變大[23,24]。

設能量跡中采樣點數量為l，單次t檢驗犯假陽性誤判錯誤的概率為α，則一次完整的TVLA犯假陽性誤判錯誤的概率為1 -(1-α)l，犯假陰性誤判錯誤的情況同理。因此采樣點數量l越大，TVLA犯誤判錯誤的概率越大。當能量跡中的采樣點數量非常龐大時，TVLA很難避免犯誤判錯誤。

(5) TVLA僅將能耗數據分為兩組，只能發現這兩個能耗分組之間表現出的統計差異性，而無法檢測到能耗數據更一般的分布差異，導致泄漏可能被隱藏在其中的一個分組中[19,24]。

在TVLA中選擇不同的輸入測試向量時，能耗數據的分組情況不同，當所選測試向量不正確時，存在差異的能耗數據可能被分至同一分組中，導致存在的統計差異被隱藏。

4 TVLA的優化研究

本節根據第2節所歸納的TVLA的各項局限性，對已有具代表性的各類TVLA的改進方法進行介紹和分析。

(1) 針對TVLA對高階多變量的泄漏檢測效果不佳的問題

文獻[25]提出一種基于Hotelling’s T2檢驗的泄漏檢測方法，Hotelling’s T2檢驗本質上是t檢驗由單變量向多變量的擴展形式，利用其代替Welch’s t檢驗，能夠顯著提高泄漏信號分散在多個能量跡采樣點時的泄漏檢測率。然而由于需要對能耗數據的協方差矩陣進行求逆運算，Hotelling’s T2檢驗的計算復雜度隨能量跡中采樣點數量的增加呈指數增長，當能量跡中的采樣點數量非常大時，Hotelling’s T2檢驗在計算上可能具有不可實現性。因此該文中又對Hotelling’s T2檢驗進一步改進，提出對角檢驗以提升檢測效率，對角檢驗的計算復雜度隨采樣點數量的增加呈線性增長，但其對多變量泄漏的檢測性能低于Hotelling’s T2檢驗。

文獻[26]通過增量算法將泄漏檢測的統計矩由1階擴展到了任意階，由單變量擴展到了任意變量，使TVLA可以檢測任意變量和任意階的泄漏。增量算法使得泄漏檢測過程能夠同時進行能耗數據的采集和檢驗統計量的計算，當檢驗統計量超過閾值時即可終止整個評估過程，因此可以提升泄漏檢測的效率，并減小評估所需成本。

文獻[27]針對兩組能耗數據在1階矩上統計差異較小時TVLA存在漏檢的問題，提出對兩組能耗數據的1階原點矩均值與2階中心矩方差進行綜合差異評估，當能耗數據均值間的差異大于方差間的差異時實施多分類F檢驗，當樣本均值間的差異小于方差間的差異時實施Bartlett檢驗。由于一般的能量信息泄漏主要分布在能耗數據的低階矩上，因此該方案能夠有效控制TVLA犯假陰性誤判錯誤的概率。

文獻[28]提出一種基于KS檢驗的泄漏檢測方法。該文證明了KS檢驗可作為一種基于信息論的泄漏檢測工具對任意變量的泄漏進行檢測，并提出了基于直方圖的快速實現方法提升了KS檢驗的效率。與TVLA的對比實驗結果顯示，當實驗參數等設置不同時，KS檢驗的魯棒性明顯強于TVLA。該文指出，KS檢驗可作為TVLA的補充方案對泄漏進行檢測。

此外，文獻[29]提出一種基于統計直方圖的泄漏檢測方法，該方法僅需在初始化時訪問能耗數據集，對每個能量跡采樣點建立各能耗分組的直方圖，并在檢測過程中不斷對直方圖進行更新。由于直方圖攜帶了大量能耗分布的信息，因此該方法可直接對任意階的統計矩和檢驗統計量等參數進行統計。由于無需重復訪問整個能耗數據集，該方法能夠有效提升泄漏檢測過程中數據統計的效率。

(2) 針對檢驗統計量t值的參考意義有限的問題

文獻[30]推導并證明了TVLA和能耗數據信噪比之間的等價關系，并參考文獻[31]中的成果，用TVLA的結果估計了能量分析攻擊成功率的理論界限，從而建立了TVLA結果、信噪比和能量分析攻擊成功率之間的聯系。由此，由TVLA結果即可得到相應的能量分析攻擊的成功率。實驗結果表明，這種端到端方法的預測結果與實際攻擊結果能較好地吻合。

文獻[32]將泄漏檢測過程轉換為建立一個依賴于密鑰的回歸模型的過程，當該模型能夠對大部分的能耗數據作出解釋時，說明能耗數據和密鑰間存在依賴關系，此時應判定存在泄漏。同時，根據回歸模型的具體情況即可量化泄漏的可利用性，并構造出攻擊向量。該方法將泄漏檢測的結果與密鑰聯系了起來，可以回答TVLA所檢測出的泄漏是否可以利用的問題。

(3) 針對TVLA對能耗數據的信噪比依賴性較強，需進行降噪和對齊等預處理的問題

通過時域頻域結合分析的方法能夠減小能量跡在時域上未對齊對TVLA的影響，基于該原理，文獻[22]提出先通過快速傅里葉變換將采集到的能耗數據從時域變換到頻域進行頻譜分析；然后對頻譜的每個頻率分量實施t檢驗評估是否存在泄漏。文獻[33]指出，能耗中存在信息泄漏的部分是由設備所處理的數據和運行的密碼操作引起的，而噪聲部分是由環境和元器件間的相互影響等不確定因素引起的，因此將能耗信息由時域轉換至頻域時，泄漏分量和噪聲分量分布在不同的頻率分量上。據此，該文提出了多源時頻融合信息泄漏檢測方案，綜合利用多個信道的時域信息及頻域信息對泄漏進行檢測。該方案無需對能耗數據進行對齊和降噪等預處理，可以提高泄漏檢測效率，同時有利于發現單信道檢測中的漏檢。

文獻[34]提出一種基于配對的t檢驗方案，對密碼算法相鄰的兩次加密進行配對，由于實際中執行1次加密的時間非常短，可以近似地認為相鄰的兩次加密是在相同的外界環境下進行的，因此在配對時做差即可減小環境噪聲對能耗的影響，進一步得到更加穩定的檢驗統計量，從而提高泄漏檢測的準確性。文獻[35]對配對t檢驗方案進行了優化研究，該文指出，文獻[34]中的方法沒有考慮到配對的能量跡組間采樣點的相關性對配對t檢驗的影響，當兩者間呈負相關關系時采取配對的方法不僅會導致檢測效率下降，還可能導致犯誤判錯誤。因此，應該先對該相關系數進行判斷，當其大于0時方可實施配對t檢驗，否則只能實施Welch’s t檢驗。

文獻[36]提出將深度學習技術應用于泄漏評估中，通過有監督學習的方法用訓練集構造出一個卷積神經網絡，并將其作為待測數據集的區分器。當該區分器對待測能耗數據進行分組的正確率和隨機地對待測能耗數據分組的正確率存在顯著性區別時，說明訓練過程獲取了能量信息，故應判定存在泄漏。深度學習中卷積神經網絡的特點使得評估人員不必考慮能量跡是否對齊和泄漏的統計矩階數等問題，且涵蓋了多變量的泄漏情形，大大簡化了泄漏檢測的預處理步驟。但深度學習檢測方法由于需要對神經網絡進行訓練，所需時間成本較大，訓練過程中參數的設置對最終的泄漏檢測效果影響較大，并且存在概率適應性和過擬合等問題。

(4) 針對TVLA犯誤判錯誤的概率隨能量跡中采樣點數量增加而增大的問題

文獻[37]中實施了一個“隨機-隨機”的TVLA實驗，實驗過程中將同一明文總體中的全部明文隨機地分成兩組并據此對采集的能耗數據進行分組，因此t檢驗的零假設是正確的。在能量跡中設置5×106萬個采樣點，多次重復迭代實施TVLA，得到的最大的t值的絕對值為5.608 8。考慮到該實驗中采樣點數量過大，該文提出將t值的閾值設置為5。但這種通過設置檢驗統計量閾值來控制誤判錯誤的方法具有一定的片面性，大閾值會導致假陰性錯誤的概率增加，反之，小閾值會導致假陽性錯誤的概率增加。

文獻[38]提出一種基于HC(Higher Criticism)檢驗的TVLA方案，對TVLA得到的各采樣點處的p值實施HC檢驗，通過比較p值在無泄漏情況下預期的分布和實際檢驗得到的p值的分布之間的差異對泄漏情況進行判斷，當該差異較為顯著時即可判定存在泄漏。該方法綜合利用能量跡中全部采樣點處的能耗數據的統計特征，而非僅根據單個采樣點的t值判定泄漏情況，能夠有效控制TVLA犯誤判錯誤的概率。

(5) 針對能量信息泄漏可能被隱藏在能耗數據的某個分組中的問題

文獻[39]提出用卡方檢驗結合TVLA進行泄漏檢測，卡方檢驗將泄漏檢測自然而然地擴展到了多個能耗分組上，有效控制了因分組數過小造成的假陰性誤判錯誤。同時卡方檢驗可以捕獲多個統計矩中的泄漏，而非只關注某一個統計矩。然而，實驗結果顯示，當信噪比較低時，t檢驗的效果優于卡方檢驗的效果，因此該文提出卡方檢驗可以和TVLA技術結合使用以提高評估的準確性。

上述各TVLA改進方法的簡要情況如表2。

表2 TVLA改進方法匯總表

5 總結與展望

側信道能量分析攻擊以其通用性強、計算成本低和成功率高等優點，目前已被廣泛應用于對密碼算法的破解中，各類密碼產品面臨著嚴峻的安全性挑戰。因此，對密碼產品的抗側信道能量分析攻擊能力進行評估已經成為密碼設計過程中不可或缺的環節，該評估用于判斷是否存在能量信息的泄漏，也可以對施加的防護措施的安全等級進行評定。評估可以通過實施攻擊的方式來實現，也可通過統計測試的方式實現，由于具體攻擊方法的種類繁多，攻擊型評估難以保證全面性，因此統計測試方法已成為主流的評估形式。TVLA是目前為止最為常見的一種統計測試型評估方法，本文首先對TVLA的原理進行了分析，對其實現過程進行了介紹，然后對特定和非特定兩種TVLA的優點和缺點分別進行了歸納和對比，接著根據目前已有研究中的觀點對TVLA的局限性進行了剖析和分類，針對這些不同方面的局限，對各TVLA改進方法的優缺點分別進行了分析。

后期，TVLA可能向以下方向和領域發展延伸：

(1)更加廣泛地用于對后量子密碼算法的安全性進行評估。鑒于量子攻擊的巨大潛在威脅，發展后量子密碼體制機制的需求已十分迫切，TVLA可用于對后量子密碼算法及其實現過程中的安全性進行評估。

(2)基于深度學習技術的TVLA不斷發展，實現準確性更高，耗時更短的評估。泄漏檢測的本質在于分類，深度學習技術一經提出就成為分類器的一個很好的選擇。深度學習效果的好壞主要取決于神經網絡的訓練效果，而目前神經網絡的訓練過程迭代次數較多，所引入的參數較復雜，仍有對其進行優化的必要。

(3)與人工智能技術結合實現智能化泄漏評估。近年來人工智能技術的迅猛發展催化了包括密碼學在內的各學術領域的深刻變革，將人工智能技術應用于密碼產品的安全性評估中已是可以預見的發展趨勢。