1.一種針對AES-128算法的新型故障攻擊方法，其特征在于包括以下步驟：

1)攻擊者隨機選擇一個明文，獲取該明文在初始密鑰作用下的正確密文，將該正確密文記為C，C=SR(SB(S⊕K9))⊕K10,]]>其中，S表示AES-128加密算法中經(jīng)第九輪列混淆操作后的狀態(tài)，K⁹表示AES-128加密算法中第九輪子密鑰加操作所需的子密鑰，K⁹包含W[36]、W[37]、W[38]和W[39]四列16個字節(jié)的信息，W[36]列包含K⁹中的第0個字節(jié)的信息K₀⁹、第1個字節(jié)的信息K₁⁹、第2個字節(jié)的信息K₂⁹和第3個字節(jié)的信息K₃⁹，W[37]列包含K⁹中的第4個字節(jié)的信息K₄⁹、第5個字節(jié)的信息K₅⁹、第6個字節(jié)的信息K₆⁹和第7個字節(jié)的信息K₇⁹，W[38]列包含K⁹中的第8個字節(jié)的信息K₈⁹、第9個字節(jié)的信息K₉⁹、第10個字節(jié)的信息K₁₀⁹和第11個字節(jié)的信息K₁₁⁹，W[39]列包含K⁹中的第12個字節(jié)的信息K₁₂⁹、第13個字節(jié)的信息K₁₃⁹、第14個字節(jié)的信息K₁₄⁹和第15個字節(jié)的信息K₁₅⁹，SB表示AES-128加密算法中第十輪加密的字節(jié)代換操作，SR表示AES-128加密算法中第十輪加密的行變換操作，K¹⁰表示AES-128加密算法中第十輪子密鑰加操作所需的子密鑰，為異或操作符號；

2)攻擊者對步驟1)中隨機選擇的明文進行加密操作，在加密操作過程中任選已正確生成且已儲存在靜態(tài)存儲器中的K⁹的前三列中的一列，對所選列的所有字節(jié)進行隨機故障誘導(dǎo)，每次隨機故障誘導(dǎo)操作均獲得一個包含多個字節(jié)的隨機故障的有效錯誤密文，記為F，F=SR(SB(S⊕K~9))⊕K~10,]]>表示包含隨機故障的第九輪子密鑰，表示包含隨機故障的第十輪子密鑰；然后，攻擊者依照AES-128加密算法的工作原理，采用差分分析技術(shù)恢復(fù)得到K¹⁰的4個字節(jié)的信息；

3)采用與步驟2)相同的操作，對K⁹的前三列中剩余兩列分別進行隨機故障誘導(dǎo)，共恢復(fù)得到K¹⁰的12個字節(jié)的信息；

4)對K⁹的最后一列字節(jié)的信息進行暴力攻擊，獲取K¹⁰的剩余4個字節(jié)的信息；

5)攻擊者根據(jù)AES-128密鑰擴展算法的工作原理以及恢復(fù)得到的K¹⁰，逆向計算得到初始密鑰。

2.根據(jù)權(quán)利要求1所述的一種針對AES-128算法的新型故障攻擊方法，其特征在于所述的步驟2)中當(dāng)隨機故障誘導(dǎo)操作選擇的是K⁹的第一列W[36]時，對W[36]的所有字節(jié)進行隨機故障誘導(dǎo)，獲得包含多個字節(jié)的隨機故障的有效錯誤密文F，并以此恢復(fù)得到K¹⁰中的4個字節(jié)的具體過程為：

a-1、分別向W[36]的每個字節(jié)中引入8比特的隨機故障，得到包含隨機故障的第九輪子密鑰，記為

a-2、根據(jù)以及AES-128密鑰擴展算法的工作原理，獲得包含隨機故障的第十輪子密鑰然后分別構(gòu)建兩個4×4的二維數(shù)組，分別記為A和B，將A中的元素記為A_i，Ai=Ki9⊕K~i9,]]>將B中的元素記為B_i，Bi=Ki10⊕K~i10;]]>根據(jù)AES-128密鑰擴展算法的工作原理，確定B與A之間存在線性關(guān)系，表示為：B=A×1111000000000000,]]>其中，i＝0，1，2，…，14，15，K_i⁹表示K⁹中的第i個字節(jié)，表示中的第i個字節(jié)，K_i¹⁰表示K¹⁰中的第i個字節(jié)，表示中的第i個字節(jié)；

a-3、根據(jù)AES-128密鑰擴展算法的工作原理及B與A之間的線性關(guān)系，確定的所有字節(jié)中均被引入8比特的隨機故障，且的每一行中的每個字節(jié)包含的隨機故障相同，且的任意一行的每個字節(jié)包含的8比特的隨機故障與W[36]相同行內(nèi)字節(jié)中包含的隨機故障相同，通過最后一輪加密算法的子密鑰加操作后造成輸出的密文中的所有字節(jié)出現(xiàn)故障；

a-4、根據(jù)AES-128加密算法的工作原理，確定AES-128加密算法中經(jīng)第九輪加密后的加密結(jié)果中的第一列的所有字節(jié)中均被引入8比特的隨機故障，將包含隨機故障的第九輪加密結(jié)果記為其中，與對應(yīng)字節(jié)包含的隨機故障相同；

a-5、依次完成AES-128加密算法中第十輪加密的字節(jié)代換操作、行變換操作和子密鑰加操作，造成輸出的密文中的4個字節(jié)出現(xiàn)故障；然后結(jié)合所造成的輸出的密文中的所有字節(jié)出現(xiàn)故障，最終得到一個16個字節(jié)均包含隨機故障的有效錯誤密文，記為F，F=SR(SB(S⊕K~9))⊕K~10,]]>其中，式表示隨機故障經(jīng)AES-128加密算法傳遞，式表示隨機故障經(jīng)AES-128密鑰擴展算法傳遞；

a-6、對C=SR(SB(S⊕K9))⊕K10]]>和F=SR(SB(S⊕K~9))⊕K~10]]>分別進行逆操作，并根據(jù)AES-128加密算法中經(jīng)第九輪列混淆操作后的狀態(tài)S不受多字節(jié)故障誘導(dǎo)影響的特點，得到K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0;]]>然后向K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0]]>中引入A和B，得到InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0,]]>其中，InvSB表示AES-128加密算法中第十輪加密的字節(jié)代換操作的逆操作，InvSR表示AES-128加密算法中第十輪加密的行變換操作的逆操作；

a-7、將InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0]]>以字節(jié)形式表示為InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0,]]>其中，j＝0，1，2，…，14，15；

a-8、根據(jù)AES-128加密算法中第十輪加密的行變換操作的逆操作InvSR的工作特點，確定當(dāng)i＝0，4，8，12時j＝i，當(dāng)i＝1，5，9，13時j＝(i+4)％16，當(dāng)i＝2，6，10，14時j＝(i+8)％16，當(dāng)i＝3，7，11，15時j＝(i+12)％16，其中，“％”為求余數(shù)符號；然后根據(jù)i和j的對應(yīng)關(guān)系消除InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0]]>中的InvSR，得到InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0;]]>

a-9、根據(jù)造成的輸出的密文中的所有字節(jié)出現(xiàn)故障和造成的輸出的密文中的4個字節(jié)出現(xiàn)故障，確定經(jīng)上述兩個隨機故障傳遞過程影響的字節(jié)在有效錯誤密文中存在一個交集，將交集中包含隨機故障的第1字節(jié)作為當(dāng)前字節(jié)，記為C_s，s∈{0，7，10，13}；

a-10、根據(jù)當(dāng)前字節(jié)C_s在有效錯誤密文F中的位置s和InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0,]]>確定A中與C_s對應(yīng)的字節(jié)的位置x，當(dāng)s＝0時x＝s，當(dāng)s＝13時x＝(s+4)％16，當(dāng)s＝10時x＝(s+8)％16，當(dāng)s＝7時x＝(s+12)％16；再在空間大小為2⁸的搜索空間內(nèi)對K_s¹⁰進行窮盡搜索，得到K_s¹⁰的一組解；

a-11、將交集中包含隨機故障的下一個字節(jié)作為當(dāng)前字節(jié)，返回步驟a-10繼續(xù)執(zhí)行，直至交集中包含隨機故障的所有字節(jié)全部處理完畢，最終得到K¹⁰中的第0個字節(jié)K₀¹⁰、第7個字節(jié)K₇¹⁰、第10個字節(jié)K₁₀¹⁰和第13個字節(jié)K₁₃¹⁰的一組解；

a-12、再次向K⁹的W[36]的所有字節(jié)中引入隨機故障，并采用與步驟a-2至步驟a-11相同的操作，得到K¹⁰的第0個字節(jié)K₀¹⁰、第7個字節(jié)K₃¹⁰、第10個字節(jié)K₁₀¹⁰和第13個字節(jié)K₁₃¹⁰的另一組解；

a-13、將由步驟a-11與步驟a-12得到的兩組關(guān)于K₀¹⁰、K₇¹⁰、K₁₀¹⁰、K₁₃¹⁰4個字節(jié)的解中的相同值作為各自字節(jié)的正確值；

當(dāng)隨機故障誘導(dǎo)操作選擇的是K⁹的第二列W[37]時，對W[37]的所有字節(jié)進行隨機故障誘導(dǎo)，獲得包含多個字節(jié)的隨機故障的有效錯誤密文F，并以此恢復(fù)得到K¹⁰中的4個字節(jié)的具體過程為：

b-1、分別向W[37]的每個字節(jié)中引入8比特的隨機故障，得到包含隨機故障的第九輪子密鑰，記為

b-2、根據(jù)以及AES-128密鑰擴展算法的工作原理，獲得包含隨機故障的第十輪子密鑰然后分別構(gòu)建兩個4×4的二維數(shù)組，分別記為A和B，將A中的元素記為A_i，Ai=Ki9⊕K~9,]]>將B中的元素記為B_i，Bi=Ki10⊕K~10;]]>根據(jù)AES-128密鑰擴展算法的工作原理，確定B與A之間存在線性關(guān)系，表示為：B=A×0000011100000000,]]>其中，i＝0，1，2，…，14，15，K_i⁹表示K⁹中的第i個字節(jié)，表示中的第i個字節(jié)，K_i¹⁰表示K¹⁰中的第i個字節(jié)，表示中的第i個字節(jié)；

b-3、根據(jù)AES-128密鑰擴展算法的工作原理及B與A之間的線性關(guān)系，確定的所有字節(jié)中均被引入8比特的隨機故障，且的每一行中的第二列至第四列中的字節(jié)包含的隨機故障相同，且的任意一行的第二列至第四列中的每個字節(jié)中包含的8比特的隨機故障與W[37]中相同行內(nèi)字節(jié)中包含的8比特的隨機故障相同，通過最后一輪加密算法的子密鑰加操作后造成輸出的密文的第二列至第四列中的所有字節(jié)出現(xiàn)故障；

b-4、根據(jù)AES-128加密算法的工作原理，確定AES-128加密算法中經(jīng)第九輪加密后的加密結(jié)果中的第二列的所有字節(jié)均被引入了8比特的隨機故障，將包含隨機故障的第九輪加密結(jié)果記為其中，與對應(yīng)字節(jié)包含的隨機故障相同；

b-5、依次完成AES-128加密算法中第十輪加密的字節(jié)代換操作、行變換操作和子密鑰加操作，造成輸出的密文中的4個字節(jié)出現(xiàn)故障；然后結(jié)合所造成的輸出的密文的第二列至第四列中的所有字節(jié)出現(xiàn)故障，最終得到一個13個字節(jié)包含隨機故障的有效錯誤密文，記為F，且F=SR(SB(S⊕K~9))⊕K~10,]]>其中，式表示隨機故障經(jīng)AES-128加密算法傳遞，式表示隨機故障經(jīng)AES-128密鑰擴展算法傳遞；

b-6、對C=SR(SB(S⊕K9))⊕K10]]>和F=SR(SB(S⊕K~9))⊕K~10]]>分別進行逆操作，并根據(jù)AES-128加密算法中經(jīng)第九輪列混淆操作后的狀態(tài)S不受多字節(jié)故障誘導(dǎo)影響的特點，得到K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0;]]>然后向K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0]]>中引入A和B，得到InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0,]]>其中，InvSB表示AES-128加密算法中第十輪加密的字節(jié)代換操作的逆操作，InvSR表示AES-128加密算法中第十輪加密的行變換操作的逆操作；

b-7、將InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0]]>以字節(jié)形式表示為InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0,]]>其中，j＝0，1，2，…，14，15；

b-8、根據(jù)AES-128加密算法中第十輪加密的行變換操作的逆操作InvSR的工作特點，確定當(dāng)i＝0，4，8，12時j＝i，當(dāng)i＝1，5，9，13時j＝(i+4)％16，當(dāng)i＝2，6，10，14時j＝(i+8)％16，當(dāng)i＝3，7，11，15時j＝(i+12)％16，其中，“％”為求余數(shù)符號；然后根據(jù)i和j的對應(yīng)關(guān)系消除InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0]]>中的InvSR，得到InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0;]]>

b-9、根據(jù)造成的輸出的密文的第二列至第四列中的所有字節(jié)出現(xiàn)故障和造成的輸出的密文中的4個字節(jié)出現(xiàn)故障，確定經(jīng)上述兩個隨機故障傳遞過程影響的字節(jié)在有鏟錯誤密文中存在一個交集，將交集中包含隨機故障的第1個字節(jié)作為當(dāng)前字節(jié)，記為C_s，s∈{1，4，11，14}；

b-10、根據(jù)當(dāng)前字節(jié)C_s在有效錯誤密文F中的位置s和InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0,]]>確定與C_s對應(yīng)的字節(jié)的位置x，當(dāng)s＝4時x＝s，當(dāng)s＝1時x＝(s+4)％16，當(dāng)s＝14時x＝(s+8)％16，當(dāng)s＝11時x＝(s+12)％16；再在空間大小為2⁸的搜索空間內(nèi)對K_s¹⁰進行窮盡搜索，得到K_s¹⁰的一組解；

b-11、將交集中包含隨機故障的下一個字節(jié)作為當(dāng)前字節(jié)，返回步驟b-10繼續(xù)執(zhí)行，直至交集中包含隨機故障的所有字節(jié)全部處理完畢，最終得到K¹⁰中的第1個字節(jié)K₁¹⁰、第4個字節(jié)K₄¹⁰、第11個字節(jié)K₁₁¹⁰和第14個字節(jié)K₁₄¹⁰的一組解；

b-12、再次向K⁹的W[37]的所有字節(jié)中引入隨機故障，并采用與步驟b-2至步驟b-11相同的操作，得到K¹⁰的第1個字節(jié)K₁¹⁰、第4個字節(jié)K₄¹⁰、第11個字節(jié)K₁₁¹⁰和第14個字節(jié)K₁₄¹⁰的另一組解；

b-13、將由步驟b-11與步驟b-12得到的兩組關(guān)于K₁¹⁰、K₄¹⁰、K₁₁¹⁰、K₁₄¹⁰4個字節(jié)的解中相同值作為各自字節(jié)的正確值；

當(dāng)隨機故障誘導(dǎo)操作選擇的是K⁹的第三列W[38]時，對W[38]的所有字節(jié)進行隨機故障誘導(dǎo)，獲得包含多個字節(jié)的隨機故障的有效錯誤密文F，并以此恢復(fù)得到K¹⁰中的4個字節(jié)的具體過程為：

c-1、分別向W[38]的每個字節(jié)中引入8比特的隨機故障，得到包含隨機故障的第九輪子密鑰，記為

c-2、根據(jù)以及AES-128密鑰擴展算法的工作原理，獲得包含隨機故障的第十輪子密鑰然后分別構(gòu)建兩個4×4的二維數(shù)組，分別記為A和B，將A中的元素記為A_i，Ai=Ki9⊕K~9,]]>將B中的元素記為B_i，Bi=Ki10⊕K~10;]]>根據(jù)AES-128密鑰擴展算法的工作原理，確定B與A之間存在線性關(guān)系，表示為：B=A×0000000000110000,]]>其中，i＝0，1，2，…，14，15，K_i⁹表示K⁹中的第i個字節(jié)，表示中的第i個字節(jié)，K_i¹⁰表示K¹⁰中的第i個字節(jié)，表示中的第i個字節(jié)；

c-3、根據(jù)AES-128密鑰擴展算法的工作原理及B與A之間的線性關(guān)系，確定的的第三列至第四列中的所有字節(jié)中均被引入8比特的隨機故障，且K¹⁰的每一行中的第三列至第四列中的字節(jié)包含的隨機故障相同，且的任意一行的第三列至第四列中的每個字節(jié)中包含的8比特的隨機故障與W[38]相同行內(nèi)字節(jié)中包含的8比特的隨機故障信息相同，通過最后一輪加密算法的子密鑰加操作后造成輸出的密文的第三列至第四列中的所有字節(jié)出現(xiàn)故障；

c-4、根據(jù)AES-128加密算法的工作原理，確定AES-128加密算法中經(jīng)第九輪加密后的加密結(jié)果中的第三列的所有字節(jié)均被引入了8比特的隨機故障，將包含隨機故障的第九輪加密結(jié)果記為其中，與對應(yīng)字節(jié)包含的隨機故障相同；

c-5、依次完成AES-128加密算法中第十輪加密的字節(jié)代換操作、行變換操作和子密鑰加操作，造成輸出的密文中的4個字節(jié)出現(xiàn)故障；然后結(jié)合所造成的輸出的密文的第三列至第四列中的所有字節(jié)出現(xiàn)故障，最終得到一個10個字節(jié)包含隨機故障的有效錯誤密文，記為F，且F=SR(SB(S⊕K~9))⊕K~10,]]>其中，式表示隨機故障經(jīng)AES-128加密算法傳遞，式表示隨機故障經(jīng)AES-128密鑰擴展算法傳遞；

c-6、對C=SR(SB(S⊕K9))⊕K10]]>和F=SR(SB(S⊕K~9))⊕K~10]]>分別進行逆操作，并根據(jù)AES-128加密算法中經(jīng)第九輪列混淆操作后的狀態(tài)S不受多字節(jié)故障誘導(dǎo)影響的特點，得到K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0;]]>然后向K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0]]>中引入A和B，得到InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0,]]>其中，InvSB表示AES-128加密算法中第十輪加密的字節(jié)代換操作的逆操作，InvSR表示AES-128加密算法中第十輪加密的行變換操作的逆操作；

c-7、將InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0]]>以字節(jié)形式表示為InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0,]]>其中，j＝0，1，2，…，14，15；

c-8、根據(jù)AES-128加密算法中第十輪加密的行變換操作的逆操作InvSR的工作特點，確定當(dāng)i＝0，4，8，12時j＝i，當(dāng)i＝1，5，9，13時j＝(i+4)％16，當(dāng)i＝2，6，10，14時j＝(i+8)％16，當(dāng)i＝3，7，11，15時j＝(i+12)％16，其中，“％”為求余數(shù)符號；然后根據(jù)i和j的對應(yīng)關(guān)系消除InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0]]>中的InvSR，得到InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0;]]>

c-9、根據(jù)造成的輸出的密文的第三列至第四列中的所有字節(jié)出現(xiàn)故障和造成的輸出的密文中的4個字節(jié)出現(xiàn)故障，確定經(jīng)上述兩個隨機故障傳遞過程影響的字節(jié)在有效錯誤密文中存在一個交集，將交集中包含隨機故障的第1個字節(jié)作為當(dāng)前字節(jié)，記為C_s，s∈{2，5，8，15}；

c-10、根據(jù)當(dāng)前字節(jié)C_s在有效錯誤密文F中的位置s和InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0,]]>確定與C_s對應(yīng)的字節(jié)的位置x，當(dāng)s＝8時x＝s，當(dāng)s＝5時x＝(s+4)％16，當(dāng)s＝2時x＝(s+8)％16，當(dāng)s＝15時x＝(s+12)％16；再在空間大小為2⁸的搜索空間內(nèi)對K_s¹⁰進行窮盡搜索，得到K_s¹⁰的一組解；

c-11、將交集中包含隨機故障的下一個字節(jié)作為當(dāng)前字節(jié)，返回步驟c-10繼續(xù)執(zhí)行，直至交集中包含隨機故障的所有字節(jié)全部處理完畢，最終得到K¹⁰中的第2個字節(jié)K₂¹⁰、第5個字節(jié)K₅¹⁰、第8個字節(jié)K₈¹⁰和第15個字節(jié)K₁₅¹⁰的一組解；

c-12、再次向K⁹的W[38]的所有字節(jié)中引入隨機故障，并采用與步驟c-2至c-11相同的操作，得到K¹⁰的第2個字節(jié)K₂¹⁰、第5個字節(jié)K₅¹⁰、第8個字節(jié)K₈¹⁰和第15個字節(jié)K₁₅¹⁰的另一組解；

c-13、將由步驟c-11與步驟c-12得到的兩組關(guān)于K₂¹⁰、K₅¹⁰、K₈¹⁰、K₁₅¹⁰4個字節(jié)的解中相同值作為各自字節(jié)的正確值。