CN101499896B - 迦罗瓦计数模式中的平行运算的赫序方法与结构 - Google Patents

Abstract

一种迦罗瓦计数模式中的平行运算的赫序方法与结构。先将定义于迦罗瓦计数模式中的额外认证数据A与密文C视为输入顺序为M₁M₂…M_m-1的单一笔数据M，使赫序运算的最终输出值X_m-1被安排成M₁M₂…M_m-1数据串与该H值的幂次方的组成。然后将组成后的X_m-1拆解成奇偶两平行运算值，并根据此两平行运算值和H值算出赫序运算的赫序值。此技术能够提供平行运算额外认证数据和本文数据的能力，也能够被用来平行运算奇偶的数据输入。

Description

迦罗瓦计数模式中的平行运算的赫序方法与结构

技术领域

本发明是关于一种迦罗瓦计数模式(GaloisCounter Mode，GCM)中的平行运算的赫序(GHASH)方法与结构，可应用于GCM加密(Encryption)模式中。

背景技术

GCM是一种提供认证加密(AuthenticatedEncryption)的区块密码(Block Cipher)系统的操作模式(Operation Mode)。其主要特色在于能够以高处理速度，同时提供机密性(Confidentiality)和完整性(Integrity)。

GCM的数据加密(Data Encryption)是以计数模式(CTR mode)来达成，而认证是用一种以迦罗瓦场(Galois Field，GF)为基础的赫序函数来完成。此认证加密有四个输入，分别为秘密金钥(Secret Key)K、初始向量(Initialization Vector)IV、纯文本(Plaintext)P、和额外的认证数据(AdditionalAuthenticated Data，ADD)A。P被分成n个128-位区块，以{P₁，P₂，...，P_n ^*}来表示，而A被分成m个128-位区块，以{A₁，A₂，...，A_m ^*}来表示，其中区块P_n ^*和A_m ^*是少于128个位。此认证加密有两个输出，也就是密文(Ciphertext)C和认证卷标(Authentication Tag)T。此两个输出C和T是经由认证加密的运算而取得。

GHASH运算函数是GCM中的一种运算，此函数有三个输入，并且会产生出一个128位的赫序值(hashvalue)。此三个输入就是A、C和H，而H是经由认证加密的表达式中以秘密金钥K对全数为0的区块加密而得到的值。下列式子描述了GHASH运算函数的第i个步骤的输出X_i。

$X_i=\left\{\begin{array}{cc}0& \mathrm{fori}=0\\ (X_{i-1}\⊕A_i)\·H& \mathrm{fori}=1,...,m-1\\ (X_{m-1}\⊕\left(A_m^{*}\right|\left|0^{128-v}\right))\·H& \mathrm{fori}=m\\ (X_{i-1}\⊕C_{i-m})\·H& \mathrm{fori}=m+1,...m+n-1\\ (X_{m+n-1}\⊕\left(C_n^{*}\right|\left|0^{128-u}\right))\·H& \mathrm{fori}=m+n\\ (X_{m+n}\⊕\left(\mathrm{len}\left(A\right)\right|\left|\mathrm{len}\left(C\right)\right))\·H& \mathrm{fori}=m+n+1\end{array}\right.---\left(1\right)$

其中，A_i为额外认证数据；C_i为加密后的本文数据；v是区块A_m ^*的位长度(Bit Length)，u是C_n ^*的位长度，

是GF(2¹²⁸)的加法运算，而乘法运算则是定义于GF(2¹²⁸)。Len(A)为A的位长度，len(C)为C的位长度，而len(A)‖len(C)则是将两个长度的值串接为一个128位的值。

美国专利公开号2006/0126835的文献中，揭露了一种用在EPON环境中高速的GCM-AES区块加密器，来提供数据加解密与认证，或是单纯的封包认证。如图1所示，此加密器包含一个金钥展开模组(Key Expansion Module)110、8-回合区块加密模组(8-round CTR-AES Block Cipher Module)130、3-回合区块加密模组(3-round CTR-AESBlock Cipher Module)150、以及GF(2¹²⁸)乘法器(Multiplier)170。

GCM的加密模式已被采用于IEEE 802.1ae(MACSec)的标准之中。若将MACSec功能加入到路由器(Router)、切换器(Switch)或是桥接器(Bridge)等设备中时，会需要高处理能力的加解密运算，此时GCM硬件要能够有数gigabit到数十gigabit的处理速度。若直接采以多个GCM硬件的设计方式来达到高处理速度的能力，则硬件成本很高。所以，由提出高速的GCM硬件结构，则可以用较少的硬件成本来达到相同的目的。

发明内容

依据本发明的实施范例，可提供一种GCM中的平行运算的GHASH方法与结构，能够提供平行运算额外认证数据和本文数据的能力，也能够用来平行运算奇偶的数据输入。

在一实施范例中，所揭露的是关于一种GCM中的平行运算的GHASH方法，此GHASH方法可包含：将额外认证数据A与密文C视为输入顺序为M₁M₂…M_m-1的单一笔数据M，使赫序运算的最终输出值X_m-1被安排成M₁M₂…M_m-1数据串与H值的幂次方的组成；将组成后的X_m-1拆解成两平行运算值；以及根据此两平行运算值和H值，算出赫序运算的赫序值。

在另一实施范例中，所揭露的是关于一种GCM中的平行运算的GHASH结构，此平行运算的GHASH结构备有三个输入以及一个输出，此GHASH结构可包含：三个乘法器、四个缓存器、三个多任务器和一种GF(2^k)加法运算

；四个缓存器中有一缓存器在两个不同的工作时脉储存H值与H²值，有一缓存器在两个不同的工作时脉储存H或是H²的Z矩阵(Z-matrix)值，其余两个缓存器分别储存两平行运算值的暂时值；三个乘法器可用一Z矩阵计算(Z Matrix Computation)和三个矩阵向量乘法器(Matrix-Vector Multiplier)来实现，分别计算两平行运算值以及H²值；三个多任务器分别通过三个控制信号来做适当的选择；算出两平行运算值并选择H值后，就可通过加法运算而得出赫序运算的赫序值，也就是此平行运算的GHASH结构的输出。

根据所揭露的GHASH结构的实施范例，若输入数据的长度m-1的值仅能在数据结束前得知，而无法在传送M_i之前就获知的话，此GHASH结构的实施范例可再包括一多任务器，并搭配一控制信号来做选择，同样可以让计算步骤精简为约〔m/2〕个步骤，〔·〕为高斯记号。并且，在GHASH结构的实施范例中，若固定选择矩阵向量乘法器，则可进行另一应用模式，此另一应用模式是将额外认证数据和本文视为两笔数据，然后平行输入运算。

附图说明

以下配合下列附图、实施例的详细说明及权利要求的范围，将上述及本发明的其它目的与优点详述于后，其中：

图1是一种GCM-AES区块加密器的一个范例示意图。

图2是一范例流程图，说明GCM中的平行运算的GHASH方法，并且与所揭露的某些实施范例一致。

图3是GCM中的平行运算的GHASH结构的一个范例示意图，并且与所揭露的某些实施范例一致。

图4是GCM中的平行运算的GHASH结构的另一个范例示意图，并且与所揭露的某些实施范例一致。

其中：

110-金钥展开模组

130-8-回合区块加密模组

150-3-回合区块加密模组

170-GF(2¹²⁸)乘法器

210-将额外认证数据A与密文C视为输入顺序为M₁M₂…M_m-1的单一笔数据M，使赫序运算的最终输出值X_m-1被安排成M₁M₂…M_m-1数据串与H值的幂次方的组成

220-将组成后的X_m-1拆解成两平行运算值

230-根据此两平行运算值和H值，算出赫序运算的赫序值

X_E-组成后的X_m-1中H幂次方为偶数的项次总和

X_O-组成后的X_m-1中H幂次方为奇数的项次总和

H-HASH金钥值

m-1-单一笔数据M的总长度

300-平行运算的GHASH结构

301-303-矩阵向量乘法器

311-314-缓存器

321-323-多任务器

310、320-输入

340-输出

350-Z矩阵计算

-GF(2^k)加法运算

control-2、control-3、control-4-控制信号

400-平行运算的GHASH结构

421-多任务器

control-1-控制信号

具体实施方式

在公式(1)中的GHASH函数有三个输入，此三个输入就是GCM规格中定义的额外认证数据A、密文C、以及HASH金钥值H。若不使用A_i、C_i与len(A)‖len(C)这些应用符号，而将这三笔输入，即额外认证数据A、密文C、以及HASH金钥值H，全视为单一笔数据M，为方便表示同时也将数据的总长度设为m-1，m为大于1的整数，则公式(1)中的GHASH运算函数的第i个步骤的输出X_i可重新表示如下。

$X_i=\left\{\begin{array}{cc}0& \mathrm{fori}=0\\ (X_{i-1}\⊕M_i)\·H& \mathrm{fori}=1,...,m-1\end{array}\right.---\left(2\right)$

将公式(2)展开后可得到GHASH运算函数的最终值X_m-1如下。

X_m-1＝M₁H^m-1 M₂H^m-2

M₃H^m-3

…

M_m-2H²

M_m-1H  (3)

其中，数据的输入顺序为M₁M₂…M_m-1。

当m-1为偶数时，将H的指数分拆为奇偶，则公式

(3)可表示为

其中，X_E为M_2i-1项次相关值的总和，X_O为M_2i项次相关值的总和，1≤i≤m-1。

同样的，当m-1为奇数时，则公式(3)可表示为

其中，X_E为M_2i项次相关值的总和，X_O为M_2i-1项次相关值的总和，1≤i≤m-1。

经由公式(4)与公式(5)的整理，GHASH运算函数的最终值X_m-1可被精简为X_OH+X_E的形式，其中，X_O是H指数为奇数的所有项次，X_E是H指数为偶数的所有项次。而X_O和X_E具有相同的运算结构，且皆可整理为X_i＝(M_i

X_i-1)H²的形式，因此可以使用两块相同的硬件，换句话说，可以平行运算奇/偶数据。不过要注意的是，m-1在奇数和偶数时，对应的H的指数不同。此种以奇偶的方式平行输入，计算步骤精简为约(m+n)/2个步骤，所以处理速度可提升为两倍。

根据上述说明，GCM中的平行运算的GHASH结构与方法，其流程范例如图2所示。首先，如步骤210所示，将额外认证数据A与密文C视为输入顺序为M₁M₂…M_m-1的单一笔数据M，使赫序运算的最终输出值X_m-1被安排成M₁M₂…M_m-1数据串与H值的幂次方的组成，其中m-1是单一笔数据M的总长度。在步骤210中，公式(3)就是M₁M₂…M_m-1数据与HASH金钥值H的乘幂的组成。

依此，如步骤220所示，再将组成后的最终输出值X_m-1拆解成两平行运算值，X_E和X_O。在步骤220中，X_E是X_m-1中H幂次方为偶数的项次总和，X_O是X_m-1中H幂次方为奇数的项次总和。此由公式(4)和(5)可看出。

当两平行运算值，X_E和X_O，都算出后，最后如步骤230所示，可根据此两平行运算值和H的值，算出GHASH运算的赫序值。在步骤230中，可执行运算X_O.H 

X_E，来算出此赫序值，其中

是迦罗瓦场GF(2ⁿ)的加法运算。

如前所述，m-1在奇数和偶数时，对应的H的指数不同，因此计算奇偶数据时，可分为m-1为已知或未知的情况。当m-1为已知时，表示可以事先知道奇数数据M_2i-1和偶数数据M_2i是属于X_O还是X_E，再将的输入到对应的运算电路。图3是GCM中的平行运算的GHASH结构的一个范例示意图，是m-1为已知的情况，并且与所揭露的某些实施范例一致。此GHASH结构的设计可以从左右两边中任选一边计算X_O，而另一边计算X_E。图3的范例是以左边的电路来计算X_E，右边的电路来计算X_O为例。

参考图3的GHASH结构300，此平行运算的GHASH结构有三个输入310、320和H值，以及一个输出340。从图3可以看出，此GHASH结构可用三个矩阵向量乘法器301-303、四个缓存器311-314、三个多任务器321-323和一种GF(2^k)加法运算

来实现。

四个缓存器311-314中有一缓存器(例如312)在两个不同的工作时脉储存H值与H²值，有一缓存器(例如314)在两个不同的工作时脉储存H或是H²的Z矩阵值，其余两个缓存器(例如311与313)分别储存两平行运算值，X_E和X_O，的暂时值。一Z矩阵计算(Z Matrix Computation)350和三个矩阵向量乘法器(Matrix-Vector Multiplier)301-303来实现三个GF(2^k)乘法器，用来分别计算两平行运算值，X_E和X_O，以及H²值。三个多任务器321-323分别通过三个控制信号control-2、control-3、control-4来做适当的选择。

算出X_E和X_O并选择H值后，就可通过加法运算

而得出赫序运算的赫序值为X_OH+X_E，也就是此平行运算的GHASH结构300的输出340。

缓存器311与313的初始值是GF(2^k)中的加法单位元素0，缓存器312与314的初始值是GF(2^k)中的乘法单位元素1。GF(2^k)加法运算

可用XOR门或软件模组来实现。

由于X_E的最末项次仍旧是乘上H²，所以缓存器311之前不需要有多任务器，从图3也可看出。并且计算X_E和X_O的电路可以视为两个独立的运算电路。整个图3的平行运算的GHASH结构，其运作再细说如下。

在第1步骤时，控制信号control-2选择H值，并通过Z矩阵计算350，将计算后的Z-矩阵值储存到缓存器314；控制信号control-4选择H值，并储存于缓存器312。在第2步骤时，控制信号control-4选择矩阵向量乘法器302，将H²值储存于缓存器312。在第3步骤时，控制信号control-2选择缓存器312，并将H²的Z-矩阵值储存于缓存器314。

在第4步骤至第〔(m-1)/2〕步骤时，分别计算X_E和X_O，并分别储存于缓存器311和313。在第〔(m-1)/2〕步骤时，要注意缓存器313的值，也就是右边计算X_O的电路必须用控制信号control-3来选择缓存器313与输入320经

运算的输出结果。所以，并行计算X_E和X_O只需〔(m-1)/2〕-3个步骤。

在第〔(m-1)/2〕+1步骤时，控制信号control-2选择H，并将H的Z-矩阵值储存于缓存器314。在第〔(m-1)/2〕+2步骤时，就可输出X_OH

X_E。所以，使用图3的平行运算的GHASH结构，当GCM规格中定义的额外认证数据A与密文C两者数据总共有m-1笔时，将其视为输入顺序为M₁M₂…M_m-1数据的单一笔数据M，以奇偶的输入方式可以让计算步骤精简为约〔m/2〕个步骤。

因此，计算XE的值可通过一个缓存器，并使用一个矩阵向量乘法器和一个GF(2^k)加法运算

，以及搭配控制信号的选择来实现。计算X_O的值可通过一个缓存器，并使用一个矩阵向量乘法器和一个GF(2^k)加法运算

，以及搭配控制信号的选择来实现，k为一自然数。计算H值与H²值可通过一个缓存器，并使用一个Z矩阵计算，以及搭配两个控制信号的选择来实现。较佳的矩阵向量乘法器也可以用定义于GF(2^k)的Mastorvito’s标准基底乘法器来实现。

若m-1的值仅能在数据结束前得知，而无法在传送Mi之前就获知的话，其平行运算的GHASH结构的范例如图4所示。从图4可以看出左右两边计算X_O与X_E的电路左右对称，因此可以从左右两边中任选一边计算X_O，而另一边计算X_E。假设左边计算X_E，而右边计算X_O，再与图3的GHASH结构相较，图4右边的计算X_O时，缓存器311之前需要有一多任务器421，并搭配一控制信号control-1来做选择。整个图4的平行运算的GHAS H结构400，其运作再细说如下。

GHASH结构400的第1步骤至第3步骤的运作与前述图3的GHASH结构300的第1步骤至第3步骤的运作相同，于此不再重述。

GHASH结构400在第4步骤至第〔(m-1)/2〕-1步骤时，左边计算

而右边计算

在第〔(m-1)/2〕步骤时，若m-1为奇数，则多任务器421经由控制信号control-1选择缓存器311与输入310经运算的输出结果，控制信号control-3维持不变，得到M₁H^m-3

M₃H^m-5

…

M_m-3H²

M_m-1并储存于缓存器311；而缓存器313值则维持M₂H^m-3

M₄H^m-5 …

M_m-2H²。若m-1为偶数，则控制信号control-3选择缓存器313与输入320经

运算的输出结果，而控制信号control-1维持不变，继续输入下一笔数据，则缓存器311可得到XE而缓存器313可得到X_O。所以，并行计算X_E和X_O只需〔(m-1)/2〕-3个步骤。

在第〔(m-1)/2〕+1步骤与第〔(m-1)/2〕+2步骤时的运作与前述图3的GHASH结构300的运作相同，于此不再重述。依此，使用图4的平行运算的GHASH结构，同样可以让计算步骤精简为约〔m/2〕个步骤。

所以，本揭露的实施范例中，GCM规格中定义的额外认证数据A与密文C两者数据被安排成输入顺序为M₁M₂…M_m-1数据的单一笔数据M，以奇偶的输入方式，并且将赫序运算的赫序值Xm-1精简为X_OH+X_E的形式，X_O是H指数为奇数的所有项次而X_E是H指数为偶数的所有项次。由于X_O和X_E具有相同的运算结构，且皆可整理为X_i＝(M_i

X_i-1)H²的形式，因此可以使用图3或图4的平行运算的GHASH结构。要注意的是，m-1在奇数和偶数时，H的指数不同。

若将图4的控制信号control-1、control-3和control-4固定选择矩阵向量乘法器，则可进行额外认证数据和本文数据分开运算的应用。换句话说，此另一应用模式是将额外认证数据和本文视为两笔数据，然后平行输入运算。若额外认证数据长度为m₁，本文数据长度为m₂，则运算步骤约为max{m₁，m₂}+1。

综上可窥知，本发明揭露的实施范例可提供用在GCM加密模式中的平行运算的GHASH方法与结构。此GHASH结构除了可提供将输入的额外认证数据(数据长度为m₁)和本文(数据长度为m₂)全视为同一笔数据，然后分为奇偶平行输入的运算模式外；也可以进行额外认证数据和本文数据分开运算的应用。

本发明可适用于采用GCM加密模式的应用范畴，例如MACSec、EPON、储存装置或IPSec中。

惟，以上所述的，仅为发明的实施范例而已，当不能依此限定本发明实施的范围。即凡是依本发明申请专利范围所作的均等变化与修饰，皆应仍属本发明权利要求涵盖的范围内。

Claims (11)

1.一种迦罗瓦计数模式中的平行运算的赫序运算方法，以提供数据加密的应用，该赫序运算备有三个输入，分别是定义于迦罗瓦计数模式中的额外认证数据A、密文C、以及赫序金钥值H，其特征在于，该方法包含：

将该额外认证数据A与密文C视为输入顺序为M₁M₂…M_m-1的单一笔数据M，使该赫序运算的最终输出值X_m-1被安排成该M₁M₂…M_m-1数据串与该H值的幂次方的组成，m-1是该单一笔数据M的长度，m为大于1的整数；

将该组成后的最终输出值X_m-1拆解成两平行运算值，其中该两平行运算值分别是组成后的X_m-1中H幂次方为偶数的项次总和，以及组成后的X_m-1中H幂次方为奇数的项次总和；以及

根据该两平行运算值和H值，算出该赫序运算的赫序值。

2.如权利要求1所述的迦罗瓦计数模式中的平行运算的赫序运算方法，其特征在于，其中该赫序运算的赫序值是经由计算

而求得，其中

当m-1为偶数时，X_E为M_2i-1项次相关值的总和，X₀为M_2i项次相关值的总和，1≤i≤m-1；

当m-1为奇数时，X_E为M_2i项次相关值的总和，X₀为M_2i-1项次相关值的总和，1≤i≤m-1；

其中

是迦罗瓦场的加法运算，“·”是迦罗瓦场的乘法运算。

3.如权利要求2所述的迦罗瓦计数模式中的平行运算的赫序运算方法，其特征在于，该方法并行计算该两平行运算值需〔(m-1)/2〕-3个子步骤，〔·〕为高斯记号，m＞＝9。

4.一种迦罗瓦计数模式中的平行运算的赫序运算装置，以提供数据加密的应用，该赫序运算备有三个输入，分别是定义于迦罗瓦计数模式中的额外认证数据、密文、以及赫序金钥值H，其特征在于，该装置包含：

三个乘法器，分别计算两平行运算值以及H²值，其中该三个乘法器是以一Z矩阵计算和三个矩阵向量乘法器来实现；

四个缓存器，该四个缓存器中有一缓存器在两个不同的工作时脉储存H值与H²值，有一缓存器在两个不同的工作时脉储存H或是H²的一Z矩阵值，其余两个缓存器分别储存该两平行运算值的暂时值；以及

三个多任务器，分别通过不同的控制信号来做适当的选择；

其中，算出该两平行运算值并选择H值后，通过一种GF(2^k)加法运算

而得出该赫序运算的赫序值，k为一自然数，其中该GF(2^k)加法运算

是以XOR门或软件模组的其中一种来实现。

5.如权利要求4所述的迦罗瓦计数模式中的平行运算的赫序运算装置，其特征在于，当额外认证数据与密文的数据长度为未知的情况时，该结构还包括另一多任务器，并搭配另一控制信号来做选择。

6.如权利要求4所述的迦罗瓦计数模式中的平行运算的赫序运算装置，其特征在于，该装置提供一种将输入的额外认证数据和密文全视为同一笔数据，然后分为奇偶平行输入的运算模式。

7.如权利要求6所述的迦罗瓦计数模式中的平行运算的赫序运算装置，其特征在于，该装置提供另一种将输入的额外认证数据和密文全视为两笔数据，然后平行输入运算的运算模式。

8.如权利要求4所述的迦罗瓦计数模式中的平行运算的赫序运算装置，其特征在于，其中该两平行运算值具有相同的运算型式。

9.如权利要求8所述的迦罗瓦计数模式中的平行运算的赫序运算装置，其特征在于，其中通过一个缓存器，并使用一个矩阵向量乘法器和一个GF(2^k)加法运算

以及搭配一控制信号的选择来计算该两平行运算值的每一平行运算值。

10.如权利要求4所述的迦罗瓦计数模式中的平行运算的赫序运算装置，其特征在于，其中该三个矩阵向量乘法器是用定义于GF(2^k)的三个Mastorvito’s标准基底乘法器。

11.如权利要求4所述的迦罗瓦计数模式中的平行运算的赫序运算装置，其特征在于，其中是通过一个缓存器，并使用一个Z矩阵计算，以及搭配两个控制信号的选择来计算H值与H²值。

Images