CN101741560B - 基于整数非线性映射的散列函数构造方法 - Google Patents

Abstract

一种涉及信息系统安全工程技术的基于整数非线性映射的散列函数构造方法，包括以下步骤：(1)消息填充；(2)设定一组初始向量及参数；(3)对消息分组进行非线性分段式码字扩展；(4)采用耦合映像系统模型进行并行式混合迭代运算，实现扩展码字与链接变量的混淆与扩散；(5)可变长度散列输出。本发明的散列函数构造方法多用于数字证书，电子签名，口令保护，数字完整性验证等领域，采用了非线性分段式码字扩展技术，加速了码字的非线性扩散程度，将整数非线性映射与逻辑函数相结合，具有较为理想的混淆与扩散特性，本发明压缩函数内部采用并行迭代结构，有利于软硬件高速并行实现，构造方法运算效率高，易于修改补充和维护。

Description

基于整数非线性映射的散列函数构造方法

技术领域

本发明涉及信息安全技术领域中一种提取消息摘要的散列函数构造方法，尤其是广泛用于数字证书、电子签名、口令保护、数字信息的完整性验证等安全应用场合的基于整数非线性映射的散列函数构造方法。

背景技术

近十几年来，美、俄、欧、日等都相继制定了各自的Hash函数算法标准。安全Hash算法SHA-1、SHA-2是美国国家标准与技术研究所(NIST)的标准算法；RIPEMD-160是欧共体PIPE计划下开发的标准Hash算法，其输出为160bit；GOSTHash算法是俄国国家标准，它的输出为256bit；N-Hash算法是由日本电报电话公司研究发明的。但时至今日，我国尚未公布类似的Hash函数算法标准。

近年来，密码学界对Hash函数的设计与分析给予了广泛的关注。在2004年美密会上，王小云等宣布了包括MD4，MD5，HAVAL-128以及RIPEMD在内的碰撞实例。王小云等人对SHA-1的分析也已取得突破性成果，她们已将碰撞攻击的复杂度从2⁶⁹提高到2⁶³。SHA-1被认为是现代网络安全的基石，被广泛使用于银行、安全通讯以及电子商务中。由于王小云等人揭示出SHA-1的脆弱性，美国NIST正在举行Hash函数标准的公开征集。

传统的Hash函数(MDx系和SHA系)的主要设计原则基于Merkle-Damgard结构，它们具有许多共同的设计准则，各轮的混合运算设计极为相似，全都采用了整数模加和逻辑函数(轮函数)。从世界范围来看，随着新的攻击方法的提出，如此众多的Hash算法在不长的时间相继被攻破，说明其设计准则存在缺陷，也是长期以来Hash函数设计走“近亲路线”的结果。美国NIST鼓励设计者在新的应用和协议中使用SHA-2Hash函数。但由于SHA-2与SHA-1同属一个Hash算法类别，也存在被类似方法攻击的可能。

为获得更安全的Hash函数，近年来利用混沌系统对变量和参数的变化的敏感特性构造单向Hash函数的研究也已取得一些进展。Hash函数与分组加密算法有很多相同的密码学特征，而其根本不同点在于Hash算法是不可逆的，而分组加密算法是可逆的。混沌映射的不可逆性表明，基于混沌映射构造Hash函数比构造分组密码算法更有优势。但是，由于数字化混沌系统的动力学特性退化问题及构造方案本身的缺陷，目前基于混沌理论的Hash函数构造方案还无法得到人们的信任。

时空混沌系统具有非常多的正李雅普诺夫指数，系统在时间及空间方向上都是混沌的，其动力学行为非常丰富而复杂，空间上的任何一点的微小变化都会随时间的增加而扩散开去，产生很大的变化。利用时空混沌可以大大提高系统的复杂性，从而有利于提高系统的安全性。2005年张在文献1“基于时空混沌系统的单向Hash函数构造”(张瀚等，物理学报，2005，54(9))给出一种基于CML的单向Hash函数构造方案，但该方案存在以下缺陷：1)采用了单向耦合映像格子系统模型(0CML)。由于OCML易同步，且计算效率高，因此在人们将时空混沌应用到密码学领域的研究中，该模型应用较多，但用该模型构造单向Hash函数，却存在初始扰动传播放大速度较慢、扩散机制不强的问题。我们经仿真研究发现，初始条件或系统参数的微小差异，需要通过约4×L次迭代(L为OCML的格点数)，才能使混沌轨道有明显分离，变成互不相关的两条轨道；2)明文信息作为初值来驱动OCML，一个格点只能调制1个字节的明文信息，当明文文件较大时，需要的OCML格点规模太大，计算效率极低；3)明文映射方式存在严重缺陷。2007年S.Wang在文献[2]“Hash function based on chaotic maplattices”(S.Wang，G.Hu，Chaos，17)给出基于时空混沌构造单向Hash函数的新方案，与文献1相比，提高了效率，但与MD5及SHA-1相比，执行效率仍然偏低。

目前提出的基于混沌的hash函数与传统的基于逻辑函数的Hash函数的一个重要区别就是基于混沌的hash函数界定在实数域上，而传统的Hash函数采用的是有限整数的按位操作。在实数域上构造混沌hash函数还面临以下几方面问题：1)实数域几乎被不可数的无穷多的无理数所充满，然而，由于计算机截断误差的存在，它不能处理无理数，产生不了一个非周期轨道，在有限精度实现的情况下，数字化混沌系统的动力学特性相对连续系统而言存在严重的退化；2)实数域上，计算机精度及所采用的机器甚至语言类型都可能影响有限精度混沌系统的最终结果，因此，基于实数域上混沌的Hash算法中普遍存在由于计算机的有限精度或各计算机精度不同所导致的Hash值计算失败的难题，使混沌Hash函数的实际应用受到很大限制；3)不利于软硬件高速实现。

发明内容

根据背景技术所述，本发明的目的在于克服现有的混沌散列函数设计方案所存在的问题，提供一种基于整数非线性映射的散列函数构造方法，用于解决信息系统安全中的消息验证、数字签名等技术问题。本发明采用分段式非线性码字扩展方案，通过整数非线性映射拉伸与折叠的非线性本质实现消息的非线性扩展，增强了码字扩展的非线性扩散程度，提高了运算效率；将整数非线性映射与逻辑函数相结合，作为压缩函数混合运算的主要非线性部件，具有较为理想的混淆与扩散特性；压缩函数内部采用并行迭代结构，有利于软硬件高速并行实现。本发明的方法安全、快速，易于软硬件实现。

为了实现上述目的，本发明是通过以下技术方案来实现的：

(1)消息填充：将任意长度的明文消息M分割成1024比特的消息块M₀，...，M_i，...，M_t，最后一个块填充为：M_t＝*...*10...0Mdlen(H)Length(M)，其中，Mdlen(H)表示输出的散列长度，长度为10比特，Length(M)表示M的长度的二进制形式，长度为64比特。将每个消息块M_i划分成两组，每组由16个32比特的消息字组成，分别为m₀，m₁，...，m₁₅及

...，

(2)给定一组初始向量及参数：

$x_0^{\left(0\right)}=0x6A09E667,$ $x_1^{\left(0\right)}=0\mathrm{xBB}67AE85,$ $x_2^{\left(0\right)}=0x3C6\mathrm{EF}372,$ $x_3^{\left(0\right)}=0\mathrm{xA}54\mathrm{FF}53A,$

$x_4^{\left(0\right)}=0x510E527F,$ $x_5^{\left(0\right)}=0x9B05688C,$ $x_6^{\left(0\right)}=0x1F83D9\mathrm{AB},$ $x_7^{\left(0\right)}=0x5\mathrm{BE}0\mathrm{CD}19.$

k₀＝0x5a827999，k₁＝0x6ed9eba1，k₂＝0x8f1bbcdc，k₃＝0xca62c1d6，

k₄＝0x99728a5a，k₅＝0x1abe9de6，k₆＝0xcdcbb1f8，k₇＝0x6d1c26ac.

(3)非线性分段式码字扩展：

利用上式对消息字m₀，m₁，...，m₁₅及

...，

进行消息扩展，先通过循环移位及模加方式进行10次迭代操作，随后再利用非线性映射

进行码字扩展，得到扩展后的码字序列W₀，W₁...，W₆₃及

...，

(+表示mod 2³²的加法运算，∨表示逐比特逻辑或，

表示逐比特逻辑异或，<<表示左移位操作，>>表示右移位操作，<<<表示循环左移位操作)。

(4)并行方式的混合迭代运算：

1) $x_0=x_0^{\left(0\right)},$ $x_1=x_1^{\left(0\right)},$ $x_2=x_2^{\left(0\right)},$ $x_3=x_3^{\left(0\right)},$ $x_4=x_4^{\left(0\right)},$ $x_5=x_5^{\left(0\right)},$ $x_6=x_6^{\left(0\right)},$ $x_7=x_7^{\left(0\right)};$

2)For t＝0 to 11

  {当t为偶数时

   k＝(t/2)*8+16；

   

$x_i=G_i+((G_{i+1\mathrm{mod}8}\&CirclePlus;G_{i+2\mathrm{mod}8}\&CirclePlus;G_{i+3\mathrm{mod}8}\&CirclePlus;G_{i+4\mathrm{mod}8})<<<11)$

  

当t为奇数时

k＝((t-1)/2)*8+16；

     $+((G_{i-1\mathrm{mod}8}\&CirclePlus;G_{i-2\mathrm{mod}8}\&CirclePlus;G_{i-3\mathrm{mod}8}\&CirclePlus;G_{i-4\mathrm{mod}8})<<<11)+k_{i}i=0,...,7\}$

3)将

...，分别加到x₀，...，x₇，即：

$x_0=x_0+x_0^{\left(0\right)},$ $x_1=x_1+x_1^{\left(0\right)},$ $x_2=x_2+x_2^{\left(0\right)},$ $x_3=x_3+x_3^{\left(0\right)},$

$x_4=x_4+x_4^{\left(0\right)}$ $x_5=x_5+x_5^{\left(0\right)},$ $x_6=x_6+x_6^{\left(0\right)},$ $x_7=x_7+x_7^{\left(0\right)};$

4)对剩下的消息块继续2)、3)的操作，直到最后一个消息块。

(5)散列输出：并行迭代结束后，最后的输出结果即为256比特的散列值：x₀||x₁||x₂||x₃||x₄||x₅||x₆||x₇。根据不同场合的应用需求，通过输出变换，得到输出结果为120，160，192或224比特的消息摘要。

由于采用了上述技术方案，本发明具有如下优点和效果：

(1)本发明混合运算使用了耦合整数非线性映射 $(x_j^{(i+1)}=F\left(x_j^{\left(i\right)}\right)+(F$ $\left(x_{j-1\mathrm{mod}p}^{\left(i\right)}\right)<<<21)+(F\left(x_{j+1\mathrm{mod}p}^{\left(i\right)}\right)<<<11),$ 式中，F：

及两个基本逻辑函数(x(y∨(～z)，x y z w)，使得整数非线性映射具有均匀分布性及良好的非线性特征，并且实现简单，运算速度快，但它是单变量间的1-1映射，不存在值碰撞问题。每一次映射变换除了能使状态变量左移一位之外，最高比特位的差分特性还将引发该状态变量产生最大的差分扩展码字重量，而且通过循环移位及耦合扩散，每一消息比特差分均有机会触发动态差分扩散。而两个基本逻辑函数与整数帐篷映射的混合使用，又加速了状态变量间的差分扩散。

(2)本发明采用分段式非线性码字扩展方式，并且在混合函数中仅使用通过递归方式生成的扩展码字序列部分，加速了消息在混合运算中的扩散及混淆过程。

(3)相对于传统Hash函数的操作步只能用串行方式实现，本发明的压缩函数内部的迭代结构与MD5、SHA-1、SHA-256等不同，适应于并行方式实现。

(4)本发明描述简单，易于实现，借鉴并改进了混沌密码学研究中广泛采用的帐篷映射模型，将其从实数域变换到整数集中，应用到消息扩展及压缩函数的混合运算，进而充分利用了帐篷映射拉伸与折叠的非线性本质与均匀分布的特性，而且本发明运算过程全部采用基于32位操作数的一些简单位操作，便于软硬件高速实现。

附图说明

图1为本发明散列函数结构示意图。

图2为本发明所采用的耦合映像系统模型在随机选取一组初值时状态变量

经12000次迭代的结果，说明耦合映像系统模型具有较为理想的均匀分布特性。

图3是对本发明所采用分段式非线性码字扩展方案进行差分扩散特性试验的结果。实验方法是：随机选取一个消息分组(512比特)，每次改变一个比特，观察其在随后的递归过程中对1536(48*32)个扩展比特位的影响。

具体实施方式

下面结合附图和实施例对本发明进行详细说明。

本发明的方法采用分段式非线性码字扩展方案，通过整数非线性映射拉伸与折叠的非线性本质实现消息的非线性扩展，增强了码字扩展的非线性扩散程度，提高了运算效率。将整数非线性映射与逻辑函数相结合，作为压缩函数混合运算的主要非线性部件，具有较为理想的混淆与扩散特性。压缩函数内部采用并行迭代结构，有利于软硬件高速并行实现。

本发明方法具体包括以下步骤：

(1)消息填充：将任意长度的明文消息M分割成1024比特的消息块M₀，...，M_i，...，M_t，最后一个块填充为：M_t＝*...*10...0Mdlen(H)Length(M)，其中，Mdlen(H)表示输出的散列长度，长度为10比特，Length(M)表示M的长度的二进制形式，长度为64比特。将每个消息块Mi划分成两组，每组由16个32比特的消息字组成，分别为m₀，m₁，...，m₁₅及

...，

例如：如果拟输出的散列长度为256比特，明文为900位二进制数，表示成十六进制数为

AFCE234789236ABD9485727892358934572340932945DAB43958739093ECD871234687234518231

876FACB823769123749612374521789123746DF90876123EAD9823408349698778FFFCDE8976234

762342345645AEAFCE234789236ABD948572789235823408349698778FFFC876FAC

于是添加1个“1”，49个“0”，接着添加256比特输出散列长度所对应的编码(十个“0”)，最后再加上64比特串(900)₁₀＝00000000 00000768，共1024比特，因而只有一个填充消息块，将其划分成两组，每组由16个32比特的消息字组成：

组1(m₀，m₁，…，m₁₅)：

AFCE2347 89236ABD 94857278 92358934 57234093 2945DAB4 39587390 93ECD871

23468723 45182318 76FACB82 37691237 49612374 52178912 3746DF90 876123EA

组2(

...，

)：

D9823408 34969872 8FFFCDE8 97623476 23423456 45AEAFCE 23478924 6ABD9485

72789235 82340834 9698778F FFC876FA C8000000 00000000 00000000 00000768

(2)初始化散列值及参数设定：

$x_0^{\left(0\right)}=0x6A09E667,$ $x_1^{\left(0\right)}=0\mathrm{xBB}67AE85,$ $x_2^{\left(0\right)}=0x3C6\mathrm{EF}372,$ $x_3^{\left(0\right)}=0\mathrm{xA}54\mathrm{FF}53A,$

$x_4^{\left(0\right)}=0x510E527F,$ $x_5^{\left(0\right)}=0x9B05688C,$ $x_6^{\left(0\right)}=0x1F83D9\mathrm{AB},$ $x_7^{\left(0\right)}=0x5\mathrm{BE}0\mathrm{CD}19.$

k₀＝0x5a827999，k₁＝0x6ed9eba1，k₂＝0x8f1bbcdc，k₃＝0xca62c1d6，

k₄＝0x99728a5a，k₅＝0x1abe9de6，k₆＝0xcdcbb1f8，k₇＝0x6d1c26ac.

(3)按照下式进行非线性分段式码字扩展：

码字扩展过程如下：

1)将组1(m₀，m₁，...，m₁₅)(组2(

...，

))依序赋值给W_t(0≤t≤15)；

2)按下式进行10次迭代操作：

W_t＝W_t-3+W_t-8+W_t-14+W_t-16+(W_t-1W_t-2W_t-15)<<<13+(W_t-1W_t-4W_t-11)<<<23

3)接着利用非线性映射进行码字扩展(38次迭代操作)，得到扩展后的码字序列

W₀，W₁…，W₆₃(

…，

)：

             

　　　　　　 W_t＝W_t-2+W_t-3+W_t-9+W_t-16

例如：对于前面由给定的消息块划分出的组1(m₀，m₁，…，m₁₅)：

AFCE2347 89236ABD 94857278 92358934 57234093 2945DAB4 39587390 93ECD871

23468723 45182318 76FACB82 37691237 49612374 52178912 3746DF90 876123EA

进行码字扩展操作后，得到的扩展码字序列为(W₀，W₁…，W₆₃)：

AFCE2347 89236ABD 94857278 92358934 57234093 2945DAB4 39587390 93ECD871

23468723 45182318 76FACB82 37691237 49612374 52178912 3746DF90 876123EA

7308A6CC 9CE24DBB E6914A0D 602D324A 1FFA86FF A707F798 1C2DF3DA 397234AA

C1452E36 2E2A5FBE BB1351D6 A71A88FB DCFCC27F D978ACFA AA4F865A 244371A3

5999F0D7 4596634A 02469600 4595D224 CBE26D6D 7032FC8A 689EC657 762CED39

72E8B3F7 19EC269B D22B425E 19A9B522 33D84D33 7BDA4D88 4E37E657 3318DF50

4BE5756C 18F9F62A 0289D577 35507488 084523EF 3C746784 323A258A A9A53E8E

C32E8209 CBA0028D 67B09A63 2B080552 D3819BD9 8357991A 8A4AC229 9825AAF2

对于前面由给定的消息块划分出的组2(

，…，

)：

D9823408 34969872 8FFFCDE8 97623476 23423456 45AEAFCE 23478924 6ABD9485

72789235 82340834 9698778F FFC876FA C8000000 00000000 00000000 00000768

进行码字扩展操作后，得到的扩展码字序列为(

…，

)：

D9823408 34969872 8FFFCDE8 97623476 23423456 45AEAFCE 23478924 6ABD9485

72789235 82340834 9698778F FFC876FA C8000000 00000000 00000000 00000768

0300B20B D4CE6A58 C23E6346 E3DCB720 1927C7C5 9809A3B9 297E1E9C 98F7B133

9E0F4508 5B1B52DB 959F6DCA 540E61B8 7E36A5B5 A81CCAD7 A78AC0E5 D13BBD29

C53F154F B8AB2176 DB662B09 7BE65AD7 42A5E65F 28CE0A99 44A5E610 261638D9

78F72659 33CBA6F8 3A8809CD 01A25E11 D914ACF3 7854CFBA 0344BC1F F0A99F71

F73317B0 FE562DEA 854BCCBB 4968CADE 009798DC 309A1C9F 2B3AE046 32272A98

1EA85A16 25A01FCE 16AF1CF5 7C7F4F5E 7F27F1C3 17067819 FDD7FA7F 2C5CD3B6

(4)并行方式的混合迭代运算：

并行混合运算是对耦合映像系统模型的一个迭代计算过程。耦合映像系统模型为：

$x_j^{(i+1)}=G\left(x_j^{\left(i\right)}\right)+(G\left(x_{j-1\mathrm{mod}p}^{\left(i\right)}\right)<<<21)+(G\left(x_{j+1\mathrm{mod}p}^{\left(i\right)}\right)<<<11)$

该模型在空间方向上展示出丰富而复杂的动力学行为，迭代该式产生的时间序列具有理想的均匀分布特性。

这里，取p＝8，j＝0，...，7。图2是该耦合映像系统模型在随机选取一组初值时状态变量经12000次迭代的结果。

混合迭代计算过程如下：

1) $x_0=x_0^{\left(0\right)},$ $x_1=x_1^{\left(0\right)},$ $x_2=x_2^{\left(0\right)},$ $x_3=x_3^{\left(0\right)},$ $x_4=x_4^{\left(0\right)},$ $x_5=x_5^{\left(0\right)},$ $x_6=x_6^{\left(0\right)},$ $x_7=x_7^{\left(0\right)};$

2)For t＝0to11

  {当t为偶数时

   k＝(t/2)*8+16；

   

    $x_i=G_i+((G_{i+1\mathrm{mod}8}\&CirclePlus;G_{i+2\mathrm{mod}8}\&CirclePlus;G_{i+3\mathrm{mod}8}\&CirclePlus;G_{i+4\mathrm{mod}8})<<<11)$

       

当t为奇数时

k＝((t-1)/2)*8+16；

$+((G_{i-1\mathrm{mod}8}\&CirclePlus;G_{i-2\mathrm{mod}8}\&CirclePlus;G_{i-3\mathrm{mod}8}\&CirclePlus;G_{i-4\mathrm{mod}8})<<<11)+k_{i}i=0,...,7\}$

3)将

...

分别加到x₀，...，x₇，即：

$x_0=x_0+x_0^{\left(0\right)},$ $x_1=x_1+x_1^{\left(0\right)},$ $x_2=x_2+x_2^{\left(0\right)},$ $x_3=x_3+x_3^{\left(0\right)},$

$x_4=x_4+x_4^{\left(0\right)}$ $x_5=x_5+x_5^{\left(0\right)},$ $x_6=x_6+x_6^{\left(0\right)},$ $x_7=x_7+x_7^{\left(0\right)};$

4)对剩下的消息块继续2)、3)的操作，直到最后一个消息块。

在12轮次的迭代过程中，8个连接变量的值可采取并行方式更新。

下面是迭代计算的实施例：

W₀，W₁…，W₁₅：

AFCE2347 89236ABD 94857278 92358934 57234093 2945DAB4 39587390 93ECD871

23468723 45182318 76FACB82 37691237 49612374 52178912 3746DF90 876123EA

…,

D9823408 34969872 8FFFCDE8 97623476 23423456 45AEAFCE 23478924 6ABD9485

72789235 82340834 9698778F FFC876FA C8000000 00000000 00000000 00000768

对t＝0到t＝11计算得到表1的结果。

表1迭代计算

最后的输出为：

x₀＝6A09E667+D1F501E6＝3BFEE84D，

x₁＝BB67AE85+E71F0E3F＝A286BCC4，

x₂＝3C6EF372+72030D17＝AE720089，

x₃＝A54FF53A+EF2ECB19＝947EC053，

x₄＝510E527+4ADB9311＝9BE9E590，

x₅＝9B05688C+DD6FBF3E＝87527CA，

x₆＝1F83D9AB+FAC89F8B＝1A4C7936，

x₇＝5BE0CD19+F480ADE2＝50617AFB。

(5)散列输出：

并行迭代结束后，最后的输出结果即为256比特的散列值：x₀||x₁||x₂||x₃||x₄||x₅||x₆||x₇。根据不同场合的应用需求，通过输出变换，得到输出结果为128，160，192或224比特的消息摘要。

256比特散列值：并行迭代结束后，最后的输出结果即为256比特的散列值：x₀||x₁||x₂||x₃||x₄||x₅||x₆||x₇＝3BFEE84D A286BCC4 AE720089 947EC053 9BE9E59087527CA 1A4C7936 50617AFB。

224比特散列值为：x₀||x₁||x₂||x₃||x₄||x₅||x₆＝3BFEE84D A286BCC4 AE720089947EC053 9BE9E590 87527CA 1A4C7936。

192比特散列值：把x₆，x₇分解为

$x_6=x_{\mathrm{6,5}}^6{x}_{\mathrm{6,4}}^5{x}_{\mathrm{6,3}}^5{x}_{\mathrm{6,2}}^6{x}_{\mathrm{6,1}}^5{x}_{\mathrm{6,0}}^5,$ $x_7=x_{\mathrm{7,5}}^6{x}_{\mathrm{7,4}}^5{x}_{\mathrm{7,3}}^5{x}_{\mathrm{7,2}}^6{x}_{\mathrm{7,1}}^5{x}_{\mathrm{7,0}}^5$

192比特散列值为y₀||y₁||y₂||y₃||y₄||y₅，这里

$y_0=x_0+\left(x_{\mathrm{6,5}}^6{x}_{\mathrm{7,5}}^6\right),$ $y_1=x_1+\left(x_{\mathrm{6,4}}^5{x}_{\mathrm{7,4}}^5\right),$ $y_2=x_2+\left(x_{\mathrm{6,3}}^5{x}_{\mathrm{7,3}}^5\right),$

$y_3=x_3+\left(x_{\mathrm{6,2}}^6{x}_{\mathrm{7,2}}^6\right),$ $y_4=x_4+\left(x_{\mathrm{6,1}}^5{x}_{\mathrm{7,1}}^5\right),$ $y_5=x_5+\left(x_{\mathrm{6,0}}^5{x}_{\mathrm{7,0}}^5\right).$

y₀||y₁||y₂||y₃||y₄||y₅＝3BFEE9E1 A286BF07 AE72020A 947EC7F1 9BE9E6C778752AA5。

160比特散列值：把x₅，x₆，x₇分解为

$x_5=x_{\mathrm{5,4}}^7{x}_{\mathrm{5,3}}^6{x}_{\mathrm{5,2}}^7{x}_{\mathrm{5,1}}^6{x}_{\mathrm{5,0}}^6,$ $x_6=x_{\mathrm{6,4}}^7{x}_{\mathrm{6,3}}^6{x}_{\mathrm{6,2}}^7{x}_{\mathrm{6,1}}^6{x}_{\mathrm{6,0}}^6,$ $x_7=x_{\mathrm{7,4}}^7{x}_{\mathrm{7,3}}^6{x}_{\mathrm{7,2}}^7{x}_{\mathrm{7,1}}^6{x}_{\mathrm{7,0}}^6$

160比特散列值为y₀||y₁||y₂||y₃||y₄，这里

$y_0=x_0+\left(x_{\mathrm{5,4}}^7{x}_{\mathrm{6,4}}^7{x}_{\mathrm{7,4}}^7\right),$ $y_1=x_1+\left(x_{\mathrm{5,3}}^6{x}_{\mathrm{6,3}}^6{x}_{7,3}^6\right),$ $y_2=x_2+\left(x_{\mathrm{5,2}}^7{x}_{\mathrm{6,2}}^7{x}_{\mathrm{7,2}}^7\right),$

$y_3=x_3+\left(x_{\mathrm{5,1}}^6{x}_{\mathrm{6,1}}^6{x}_{\mathrm{7,1}}^6\right),$ $y_4=x_4+\left(x_{\mathrm{5,0}}^6{x}_{\mathrm{6,0}}^6{x}_{\mathrm{7,0}}^6\right).$

y₀||y₁||y₂||y₃||y₄＝3C0DEEF5 A2879F10 AE86A420 9480B97E 9BEA934B。

128比特散列值：

y₀＝x₀+x₄，y₁＝x₁+x₅，y₂＝x₂+x₆ y₃＝x₃+x₇.

y₀||y₁||y₂||y₃＝D7E8CDDD 1AFBE48E C8BE79BF E4E03B4E

散列函数被普遍应用于数字安全的几乎所有方面，比如密码保护，数字签名，时间戳等，在密码协议设计中，可以灵活地使用散列函数来增加安全性。

关于非线性映射

由来的说明：

帐篷映射是混沌研究中十分重要的例子，它的定义是：

$F_{\mathrm{\&alpha;}}:x_i=\left\{\begin{array}{cc}\frac{x_{i-1}}{\mathrm{\&alpha;}},& 0\&le;x_{i-1}<\mathrm{\&alpha;},\\ \frac{1-x_{i-1}}{1-\mathrm{\&alpha;}},& \mathrm{\&alpha;}\&le;x_{i-1}\&le;1.\end{array}\right.$

帐篷映射的优异特性之一是其具有均匀的分布函数，在实数域内其性态是混沌的。当参数α＝0.5时，将其由实数域运算等价转化为整数运算：

$F:x_{n+1}=\left\{\begin{array}{cc}{2x}_n+1,& x_n\&Element;[0,2^{k-1})\\ 2(1-x_n),& x_n\&Element;[2^{k-1},1]\end{array}\right.$

其中1＝2^k-1。我们将映射F称为整数非线性映射，它服从[0，1]上的均匀分布，具有拉伸与折叠的非线性本质，其拉伸特性最终导致相邻点的指数分离，其折叠特性则保持生成序列有界，且引起映射不可逆。

定义D＝2³¹，在GF(2³²)内，可用C语言中的三元运算符(？:)将上面给出的整数非线性映射描述为：

x_n+1＝x_n<D？(x_n<<1)+1:～x_n<<1

显然，该式可用简单的逻辑判断、逻辑取反及移位操作予以实现。若用汇编语言或硬件实现，则其操作可以进一步简化为：测试字的最高位是否为0，若为0，则左移一位加1，否则，则各位求反后，左移一位。虽然操作十分简单，但是这里遇到if区块，它会编译成跳转指令，而跳转指令会影响现代超流水线CPU的流水线效率，一旦分支预测失败，就可能阻断流水，从而浪费大量的指令周期。为了避开if跳转，给出整数非线性映射的另一种等价形式：

该式全部采用简单指令实现，完全避免了跳转操作。

实施例1：应用本发明进行数字签名

数字签名是对网上传输的电子报文进行签名确认的一种方式，目前已经应用于网上安全支付系统、电子银行系统、电子证券系统、安全邮件系统、电子订票系统、网上购物系统、网上保税等一系列电子商务应用的签名认证服务。数字签名对安全性和防伪造性的要求较高，并且要求验证速度比签名速度要快，特别是联机在线实时验证。目前数字签名算法中广泛采用了安全散列算法(SHA-1)，在SHA-1的安全性遭受严重威胁的情况下，有必要采用更为安全的散列算法。本发明方法安全性好，执行速度快，特别适合应用于数字签名。下面给出用本发明方法及RSA算法对一个合同文本进行数字签名的例子。

1)给定一个合同文本(需要签名的消息)

“This contract is made by and between the buyers and the sellers，whereby thebuyers agree to buy and the sellers agree to sell the under mentioned commodityaccording to the terms and conditions stipulated below：to be packed properly bysellers，suitable for long-distance land transportation and well protected againstdampness，moisture，shock，rust.the sellers shall be liable for any loss attributableto inadequate or improper protective measures taken by the sellers in regard topacking.on the surface of each package，the package number，measurement，grossweight，net weight and the wordings and the lifting position shall be stenciled infadeless paint.”

2)把上述需要签名的消息作为本发明方法的输入，由此输出一个定长的安全散列值(128比特)：

202BA810 F534B3A6 9FBFDDED 873F2DEA

3)RSA算法的一对密钥：

Modulus(N)：

678E60FAAA21F56DE2D250E5CA2ADD69FC2622F122D370944D65E59C18FB0BD1Private Exponent(D)：

4663B631CC6146D5499F51D3D046B0B70DAD2D4D53960F7FD5E72ADAA0ABD31DPublic Exponent(E)：10001

4)合同发送方用自己的私钥对由合同文本生成的散列值加密形成签名：

50B627E01486F6260FA8CB61BB7C11A7F077F6AEF9F5445AD93096B1E69CC7E4

5)将合同文本和签名传送出去，接受方收到合同文本，根据收到的合同文本计算一个散列值，同时使用发送方的公钥对签名解密。若解密后的散列码和计算得出的散列码一致，则签名时有效的。因为只有发送方知道自己的私钥，所以，只有发送方才能生成合法的签名。

若合同文件被稍微篡改，比如：

最后一个字母改为s，则生成的散列值为

9895129E B931281C 10A11B95 C96C8750

将文件的首字母“T”改为“t”，则生成的散列值为

3D13EF1B 6AE69B5C 426BBC43 B5934975

文本最后增加一个空格，则生成的散列值为

E4D14C8A 7F3314D7 7BDC630D 4734F3D3

可见，合同文件只要稍微更改，解密后的散列值和计算得出的散列值就会完全不同。

实施例2：应用本发明进行密码保护

用户帐户的安全保护是目前电子商务活动的一个重要技术问题。对于用户来讲，最关心的问题是口令的保密，口令的泄密将会导致用户的帐号被他人盗用。通常用户的帐号信息保存在用户帐号数据库中，如果用户的口令在数据库中以明文方式存放，所有有权访问用户帐号数据库的个人可以容易地得到其他人的口令。如果黑客得到了访问用户帐号数据库的机会，那么，所有用户的口令将被泄露。若在用户帐号数据库中不直接存放用户的口令而存放口令的散列值，则可达到有效保护用户口令的目的。为了防止“字典”攻击，在用户帐号数据库中不直接存放口令的散列值，而存放一随机字符串和用户口令相加所构成的字符串的散列值。例如：若用户设定口令为：abc123，存放的随机字符串为：sdafhb2n4c1a8sdjhf1sa，则存放应用本发明方法生成的散列值(256比特)：50d0eaob1c8f5668399cd529d39d3c9a74556062b05928864c040ed6816a42b9。由于散列函数的单向性，黑客即使获得该散列值，也无法获得该用户的口令。

为了验证本发明方法的效果，对上述方法得到的散列函数的性能分析如下：

1.分段式非线性码字扩展方案的差分扩散特性分析

对本发明算法所采用分段式非线性码字扩展方案进行差分扩散特性试验：随机选取一个消息分组(512比特)，每次改变一个比特，观察其在随后的递归过程中对1536(48*32)个扩展比特位的影响，测试结果如图3所示。

表2给出SHA-1、SHA-256及本发明算法分别采用的码字扩展方式的消息差分扩展最小及最大码字重量。这里实验得出的码字重量是在随机选定一组消息(512比特)，每次改变其一个比特时得到的结果。模加运算具有非线性特征，本发明算法采用的分段式非线性码字扩展方案在采用模加运算的基础上，进一步引入了整数非线性映射，使码字扩散过程变得十分复杂.表2列出的实验结果足以说明，分段式非线性码字扩展方式加剧了消息差分扩散程度。另外，在P4、2.0GHz主频条件下，对SHA-256扩展码字及本文给出的分段式非线性扩展码的运算效率进行测试，后者比前者快约10％左右。

        表2 三种码字扩展方式的比较

2.本发明算法非线性扩散特性的统计分析

用统计方法对密码算法的非线性扩散程度进行分析通常要包括算法的完全性、雪崩效应及严格雪崩准则等方面。完全性是指函数输出值的每一个比特都与消息输入的所有比特有关，雪崩效应是指消息输入中任意一个比特的改变都应造成输出平均半数比特的改变，严格雪崩准则是指消息输入中任意一个比特的改变都会造成输出的每一个比特以1/2的概率发生改变。

设H是一个n比特输入m比特输出的Hash算法，输入向量为x＝(x₁，...，x_n)∈(0，1)ⁿ，仅改变x的第i比特后的输入向量为x⁽ⁱ⁾∈(0，1)ⁿ。它们经过压缩映射后对应的输出向量分别记为H(x)、H(x⁽ⁱ⁾)∈(0，1)^m。

(.)_j表示向量的第j比特，w(.)表示向量的汉明重量，#{.}表示集合的势。设X为Hash算法输入的样本空间，记a_ij＝#{x∈X|(H(x))_j≠(H(x⁽ⁱ⁾))_j}(其中i＝1，2，...，n；j＝1，2，...，m)表示X中的输入向量x和x⁽ⁱ⁾对应的输出向量之间第j比特不同的个数；b_ij＝#{x∈X|w(H(x⁽ⁱ⁾)-H(x))＝j}(其中i＝1，2，...，n；j＝1，2，...，m)表示X中的输入向量x和x⁽ⁱ⁾对应的输出向量之间的差分汉明重量为j的个数。定义3个统计度量：

完备性程度的度量： $d_c=1-\frac{\#\left\{(i,j)\right|a_{\mathrm{ij}}=0\}}{\mathrm{nm}}$

雪崩效应程度的度量： $d_a=1-\frac{{\mathrm{\&Sigma;}}_{i=1}^n|\frac{1}{\#X}{\mathrm{\&Sigma;}}_{j=1}^{m}2j{b}_{\mathrm{ij}}-m|}{\mathrm{nm}}$

严格雪崩程度的度量： $d_{\mathrm{sa}}=1-\frac{{\mathrm{\&Sigma;}}_{i=1}^n{\mathrm{\&Sigma;}}_{j=1}^m|\frac{2a_{\mathrm{ij}}}{\#X}-1|}{\mathrm{nm}}$

若H(.)是随机变换，z_α/2表示标准正态分布的α/2分位点，则有：

1)测试的样本量X至少应为nm×(z_α/2)²；

2)p(d_c)＝1-2^-#X≈1.0；

3) $E\left\{d_a\right\}=1.0-\sqrt{2/(\mathrm{\&pi;}\&times;m\&times;\#X)},$ 其置信区间为

$(E\left\{d_a\right\}{-z}_{\mathrm{\&alpha;}/2}\sqrt{1/(n\&times;m\&times;\#X)},$ $E\left\{d_a\right\}{+z}_{\mathrm{\&alpha;}/2}\sqrt{1/(n\&times;m\&times;\#X)});$

4) $E\left\{d_{\mathrm{sa}}\right\}=1.0-\sqrt{2/(\mathrm{\&pi;}\&times;\#X)}),$ 其置信区间为

$(E\left\{d_{\mathrm{sa}}\right\}{-z}_{\mathrm{\&alpha;}/2}\sqrt{1/(n\&times;m\&times;\#X)},$ $E\left\{d_{\mathrm{sa}}\right\}{+z}_{\mathrm{\&alpha;}/2}\sqrt{1/(n\&times;m\&times;\#X)}).$

测试其统计量d_c，d_a，d_sa，若落入其置信区间，则说明散列算法满足非线性扩散的基本要求，即可认为散列函数具有很好的完全性和雪崩效应，满足严格雪崩准则。

取输入长度n＝512比特，输出长度m＝256比特，在显著水平α＝0.05下，理论上得到如下结果：

1)z_α/2＝1.96，选取样本容量X为503526；2)d_c＝1.000000；3)E{d_a}＝0.999930，其置信区间为(0.9999221，0.9999373)；4)E{d_sa}＝0.998876，其置信区间为(0.9988679，0.9988831).

随机选取503526组512比特字(取自Visual C的Rand())的样本集X作为本文算法的消息输入，对本发明算法进行实际测试，实测结果如表3所示。

     表3 非线性扩散性能逐拍统计结果

对SHA-256进行同样的测试，实测结果如表4所示。

            表4 SHA-256扩散性能的逐拍统计结果

从表3可以看出，在显著水平α＝0.05的情况下，本发明方法在迭代1拍之后统计量d_c，d_a，d_sa落入了各自的置信区间，从而满足了散列算法的非线性扩散性要求，明显优于表4给出的SHA-256的实验结果(由于本发明算法采用了并行迭代结构，其迭代1拍可以粗略地对应于SHA-256迭代8拍，依次地，迭代2拍对应于SHA-256迭代16拍，......)。

3.本发明算法抗碰撞性分析

抗碰撞性是散列函数的一个非常重要的性质，即找到两个能产生相同散列值的随机消息在计算上是不可能的。通过以下的实验可以定量测试本文算法的抗碰撞能力：在明文空间中随机选取一段明文求出其散列值，并以单字节字符的方式来表示，然后随机地选择并改变明文中1比特的值得到另一新的散列结果。定义两个散列值之间的距离为

其中e_i和

分别是最初的和新的散列值的第i个字符，S为散列值对应字符的个数，函数t(·)将e_i和转换成对应的十进制数。若两个散列值分别由两个独立的均匀分布的随机序列所组成，则理论上散列值的单位字符的平均距离为85.33。

取输入长度n＝1024比特，随机选择输入样本，测试其输出的单位字符的平均距离。对本发明进行10万次统计测试，得到实际的测试结果如表5所示。

                     表5 抗碰撞性的逐拍统计结果

从表5可以看出，本文算法在迭代2拍之后，其输出的单位字符的平均距离趋于稳定，并且与理论值十分接近。这一测试结果表明，仅有1比特不同的两个明文所得到的两个散列值统计上等价于由相互独立的两个均匀随机序列构成。因此，依据本概率模型，无法将本发明方法与随机映射相区分。

为便于比较，表6给出SHA-256的抗碰撞性的实测结果。从表6可以看出，SHA-256算法在迭代24步之后，其输出的单位字符的平均距离趋于稳定。

                      表6 SHA-256算法抗碰撞性的逐拍统计结果

4.本发明算法的执行效率

表7给出了在P4、2.0GHz主频条件下，三种散列函数(本发明算法，SHA-256，SHA-1)用C语言实现的速度的测试结果。从表7可见，本发明算法明显比传统散列算法的速度要快。另外，本发明算法的内部迭代结构使得它易于并行实现，在时间性能上还有较大的提升空间。

         表7 三种Hash函数的速度比较(Mbps)

Claims (1)

1.一种基于整数非线性映射的散列函数构造方法，包括如下具体步骤： 

(1)消息填充，将任意长度的明文消息M分割成1024比特的消息块M₀，…，M_i，…，M_t，最后一个块填充为：M_t=*…*10…0Mdlen(H)Length(M)，其中，“*…*”为剩余消息比特，“10…0”为剩余消息比特不足950(1024-10-64)比特时的填充位，Mdlen(H)表示输出的散列长度，长度为10比特，Length(M)表示M的长度的二进制形式，长度为64比特 ，将每个消息块M_i划分成两组，每组由16个32比特的消息字组成，分别为m₀,m_i，…，m₁₅及

(2)给定一组初始向量及参数： 

k₀=0x5a827999，k_l=0x6ed9eba1，k₂=0x8f1bbcdc，k₃=0xca62c1d6， 

k₄=0x99728a5a，k₅=0xlabe9de6，k₆=0xcdcbb1f8，k₇＝0x6d1c26ac， 

(3)非线性分段式码字扩展方式： 

先将消息字m₀,m₁，…，m₁₅及

依序赋值给W_t及

(0≤t≤15)； 

然后，利用上式对消息字m₀,m_i，…，m₁₅及进行消息扩展，先通过

进行10次迭代操作，随后再利用非线性映射

进行码字扩展，得到扩展码字序列W₁₆…，W₆₃及

其中：+表示mod2³²的加法运算，∨表示逐比特逻辑或，

表示逐比特逻辑异或，<<表示左移位操作，>>表示右移位操作，<<<表示循环左移位操作， 

(4)采用耦合映像系统模型进行并行方式的混合迭代运算： 

1)

2)t从0开始，步长为1，变化到11，进行12轮迭代运算 ，具体过程如下： 

For t=0 to 11 

{当t为偶数时 

k=(t/2)*8+16； 

i=0，…，7， 

i=0，…，7， 

当t为奇数时 

k=((t-1)/2)*8+16； 

i=0，…，7， 

i=0，…，7， 

)，其中：～表示求反运算； 

3)将

分别加到x₀，…，x₇，即： 

4)对剩下的消息块继续2)、3)的操作，直到最后一个消息块， 

(5)算法散列输出 

并行迭代结束后，最后的输出结果即为256比特的散列值：x₀||x_l||x₂||x₃||x₄||x₅||x₆||x₇ ，根据不同场合的应用需求，通过输出变换，得到输出结果为160，192或224比特的消息摘要。 

Images