CN101848078A

CN101848078A - 一种密钥流序列扰动方法及加密方法

Info

Publication number: CN101848078A
Application number: CN201010164463A
Authority: CN
Inventors: 冯秀涛; 周春芳; 冯登国
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2010-04-30
Filing date: 2010-04-30
Publication date: 2010-09-29

Abstract

本发明涉及一种密钥流序列扰动方法及加密方法，属于信息处理与传输领域。其扰动方法为：1)预置2^m个记忆单元并赋初值；2)对于输入的每个字x_i依次进行：a)取x_i高m比特的值h；用第h单元的内容输出字z_i；b)取x_i低m比特的值t；将x_i经S盒变换值与第t单元的内容y_t异或输出y_t′；将y_t经S盒变换值与y_h异或输出y_h′；c)依次将第t、h个记忆单元中的值分别更新为y_t′、y_h′；3)将依次输出的字z_i作为扰乱后的密钥流序列。本加密方法为：1)消息发送方生成密钥流；然后将其与原始消息按位异或，加密原始消息并将其发送到消息接收方；2)消息接收方生成密钥流；然后其与接收到的加密消息按位异或，解密加密消息，得到原始消息。本发明提高了加密软件实现速度，且安全性更强。

Description

一种密钥流序列扰动方法及加密方法

技术领域

本发明涉及一种信息传输与处理的方法，更确切地说是涉及一种密钥流序列扰动方法及加密方法。采用基于整字操作的混合型带记忆逻辑，以增强序列密码算法的抗分析强度。

背景技术

密码技术历史悠久，在最初用于保护军事和外交通信安全，但是，随着通信网络和计算机网络的普及，现代密码学的应用不再局限于政治、军事和外交，其商业价值和社会价值得到了广泛的认同。保密是密码学的核心，而加密是获得信息保密的实用工具。

密码算法分为公钥密码算法和私钥密码算法。私钥密码算法又分为分组密码算法和序列密码算法。分组密码算法一般对消息进行分块加密，算法运行一次加密一个较大的消息块。序列密码算法一般用一个短的密钥，用特定的密钥流生成算法，生成与要加密的消息长度相当的密钥流序列，将密钥流序列与明文按位异或达到加密的目的。而解密方生成同样的密钥流序列，与密文异或，即可得到明文。所以，序列密码算法的关键是设计安全快速的密钥流生成算法。传统的密钥流生成算法每运行一次，只产生一个比特的密钥流。

目前对序列密码算法的攻击，主要是寻找密钥流序列的安全缺陷，达到恢复加密密钥，或将密钥流序列与真随机序列进行区分，或尝试生成密钥流序列的目的。主要的攻击方法有代数攻击、区分攻击、猜测确定攻击、相关攻击、差分攻击等。从设计角度来看，最难以抵御的是区分攻击，对序列密码算法的这种基于统计的分析，其成败在很大程度上依赖于密钥流序列生成逻辑的设计。

本技术领域普遍认为，加密算法中采用带记忆逻辑是强化密钥流生成逻辑的一种基本措施，它可以增强算法抵抗线性区分攻击和差分分析的性能，因此带记忆逻辑的合理运用很可能是抵抗区分攻击的最佳选择。

随着通信网络和计算机网络的高速发展，传统的运行一次生成一个比特的密钥流生成方法已经不能满足实现速度上的需要，尤其是软件实现方面。一些面向字的密钥流生成方法逐渐被设计出来。即运行一次生成若干比特的密钥字，由密钥字组成密钥流序列。例如SNOW3G算法、Rabbit算法。

在序列密码算法设计中，将整字带记忆逻辑作为非线性变换组件已经成为近年来的主流设计思想。纵观目前已公开的序列密码算法，整字带记忆逻辑的应用已经初具规模，而且表现出很多种整字记忆形式。例如：RC4算法其实是一种以搅拌器型整字带记忆逻辑为核心的算法。SNOW中所采用的所谓有限自动机实质上是一种复杂的累加器型整字带记忆逻辑。

专利CN1829142A发明了一种新的“基于字节操作、以带记忆为特征的序列扰乱方法”。该方法让密钥流序列以字节为单位，通过一个扰乱器后再以字节为单位输出。该扰乱器是一个强化字符序列的整字带记忆非线性逻辑，兼具搅拌器型和累加器型带记忆逻辑的特征。其特征在于包括：

步骤A，预置2^m个记忆单元，0，1，2，……，2^m-1，每个记忆单元中存放一个字节内容；

步骤B，对输入的字节序列x＝(x₀，x₁，…)中的每个字节x_i，做如下操作：

a)取x_i的高m比特的值h，h是小于2^m的值；

b)在已知h后，用第h个记忆单元中的内容y_h与输入字节x_i进行异或操作，输出经扰乱后的字节z_i，即

c)更新记忆单元，取出第h个记忆单元中的内容y_h的低m比特的值t，t也是小于2^m的值。在已知t后，将第h个记忆单元中的内容y_h更新为

将第t个记忆单元中的内容y_t更新为

即

其中S表示一个非线性函数变换，是一个从字节到字节的置换。

所述m的值为3或4或5或6。

该发明的序列扰乱方法，在设计基于单字节输入输出、整字运算的带记忆逻辑时，合理的加大了记忆单元规模，增强了该记忆逻辑在抗线性和差分分析方面的性能。

但是，上述序列扰动方法生成的序列，平衡性不好，即随机序列经扰动后生成的序列中的每一个元素取值在元素取值空间中分布不均匀。这将使得输出的序列有很大的安全缺陷。

发明内容

本发明的目的在于克服现有技术的不足，提供一种密钥流序列扰动方法及加密方法。该密钥流序列扰动方法基于整字操作、以带记忆为特征，也就是说让密钥流序列以字为单位输入，通过一个带记忆的扰乱器后再以字为单位输出。在序列密码设计中，通过增设该扰乱器，提高密钥流序列的随机性和抗分析能力。

如无特别说明，本发明中提到的字均为n比特字。

为了达到上述发明目的，本方法包括2^m个记忆单元，一个S盒。输入字序列，输出经扰乱后的字序列，其特征在于包括：

步骤A，预置2^m个记忆单元

每个记忆单元中存放一个n比特字；m、n为自然数；

步骤B，对输入的字序列x＝(x₀，x₁，…)中的每个字x_i，做如下操作：

a)取x_i的高m比特的值h；

b)在已知h后，用第h个记忆单元中的内容y_h与输入字x_i进行异或操作，输出经扰乱后的字z_i，即

c)更新记忆单元，取x_i的低m比特的值t。在已知t后，先计算再计算然后将第t个，第h个记忆单元中的值分别替换为y_t′，y_h′。其中S表示一个从字到字的正形置换。S(x_i)、S(y_t)分别是以x_i、y_t为输入，计算S的函数值，该非线性函数的输入输出均为一个n比特字。

所述步骤A、B中，n通常取8，也可以为6、4。

所述步骤A中，用密码算法的初始密钥或初始向量或随机值或某组常数初始预置所述的2^m个记忆单元中每个记忆单元的内容。

所述步骤a中，取x_i的高m比特的值h，是对x_i做右移n-m位的操作，即h＝x_i＞＞(n-m)；

所述步骤c中，取x_i的低m比特的值t，是对x_i做模2^m操作，即t＝x_i mod 2^m；

所述步骤c中，用x_i经过S盒变换的值与y_t异或用于更新第t个记忆单元的内容；

所述步骤c中，用未经更新的第t个记忆单元的内容经过S盒变换的值与y_h异或用于更新第h个记忆单元的内容；

所述步骤c中，除第t、h记忆单元的内容被更新，其余记忆单元内容不变。每输出一个字后，一般要更新2^m个记忆单元中的两个，但有时也会出现对同一个记忆单元更新两次的情况。

所述m的值为1到n-1之间的整数；

所述S盒要求是正形置换，即函数S(x)和都是置换。

本发明的另一目的在于提供一种加密方法，利用本发明提供的密钥流序列，对明文数据流进行逐字加密，本发明的流密码算法结构示意图如图2所示。

一种加密方法，其步骤包括：

1)消息发送方根据加密密钥和初始向量，生成密钥流，生成密钥流的方法如下：

1-1)利用线性反馈移位寄存器生成源序列；

1-2)从源序列选取若干字，输入一个非线性变换单元，输出一个字；

1-3)用本发明的强化乱源序列方法对步骤1-2)生成的字进行变换；

1-4)将步骤1-3)的输出与移位寄存器的一个字异或生成密钥流字。

重复上述4步，可以得到密钥流字序列。

2)得到的密钥流与原始消息按位异或，实现对原始消息加密，并将加密消息发送到消息接收方；

3)消息接收方拥有与加密密钥相同的解密密钥和初始向量，利用步骤1)生成密钥流的方法，得到密钥流；

4)得到的密钥流与加密消息按位异或，实现对加密消息的解密，得到原始消息。

所述步骤1-2)中的非线性变换单元通常选用有限状态机或不带记忆的非线性函数实现。

记忆单元的规模对算法安全性具有重要影响，本发明的序列扰乱方法，改进了原有技术扰动后的序列平衡性不好的缺陷。该方法在设计基于整字输入、输出整字运算的带记忆逻辑时，合理的加大了记忆单元的规模，增强了该记忆逻辑在抗代数和差分分析方面的性能，并且输出的序列具有良好的平衡性。与单比特带记忆逻辑相比，基于字的带记忆逻辑不但易于加大记忆单元的规模，而且在应用效率上会成倍提高。本发明的基于整字操作的混合型带记忆逻辑的序列扰乱方法，包括变换函数及S盒，它对输入的每一个字利用变换函数及S盒进行扰乱后再按字输出。一条抗分析能力比较脆弱的密钥流序列，经过它的扰乱，序列复杂度会得到增强。之所以说这类带记忆逻辑是混合型的，是因为它兼有累加器型带记忆逻辑盒搅拌器型带记忆逻辑的双重特性。该方案可以方便的用于序列密码算法和Hash函数的设计。

与现有技术相比，本发明具有的积极效果为：

本发明的序列扰动方法，改进了原有技术扰动后序列不平衡的问题。本发明的加密方法，对明文消息逐字加密，提高了加密的软件实现速度。密钥流序列经扰乱，具有更强的安全性。

附图说明

图1为n＝8，m＝4时序列扰乱示意图；

图2为流密码算法结构示意图。

具体实施方式

在实施本发明的技术方案时，首先，要选择适当的n、m。一般，n为偶数，m取n/2。其次，要选择代数、差分、线性性质良好的正形置换作为S盒。S盒可以看作是系统密钥，也可以不保密。

实施可分为两个基本步骤：

步骤A，对2^m个的记忆单元的内容

赋初值。依据具体的应用方式，可以由密码算法的基本密钥或初始向量提供，也可以由随随机数或某组常数预置。

步骤B，对输入字序列x＝(x₀，x₁，…)中的每个字x_i，做如下操作：

a)h＝x_i＞＞(n-m)；

b)输出

c)更新记忆单元，令t＝x_i mod 2^m。计算

依次令y_t＝y_t′，y_h＝y_h′。

下面，结合附图1，对n取8，m取值为4时的具体实施方式进行举例说明。此时输入、输出及记忆单元均为8比特的字节。设输入序列x，输出序列z。

S盒选取如下：

cc	8f	4d	55	e9	61	15	9e	17	62	2f	e8	4f	a9	0a	06
cc	8f	4d	55	e9	61	15	9e	17	62	2f	e8	4f	a9	0a	06	04	1e	c7	6f	21	8d	9f	d9	fa	eb	bd	f7	a2	5d	98	64
d3	26	09	ff	65	7e	9a	da	3e	a5	b4	c5	ad	80	02	9d	04	1e	c7	6f	21	8d	9f	d9	fa	eb	bd	f7	a2	5d	98	64
d3	26	09	ff	65	7e	9a	da	3e	a5	b4	c5	ad	80	02	9d	1a	cb	6b	50	d1	93	85	75	ef	6d	f3	72	01	48	38	2a
69	ca	2e	d6	4c	59	76	60	97	3f	54	4e	cf	89	71	dd	1a	cb	6b	50	d1	93	85	75	ef	6d	f3	72	01	48	38	2a
69	ca	2e	d6	4c	59	76	60	97	3f	54	4e	cf	89	71	dd	a1	66	99	ec	84	88	c1	27	7a	8b	fb	51	22	40	de	bf
ce	a6	d2	b9	05	fe	3c	9c	3b	00	4a	9b	d5	25	81	c3	a1	66	99	ec	84	88	c1	27	7a	8b	fb	51	22	40	de	bf
ce	a6	d2	b9	05	fe	3c	9c	3b	00	4a	9b	d5	25	81	c3	3a	4b	b0	2b	8c	13	23	0e	d7	c8	0d	11	44	ed	bb	49
37	0c	ac	7d	12	e2	f4	b6	45	c4	b3	31	1d	0f	96	df	3a	4b	b0	2b	8c	13	23	0e	d7	c8	0d	11	44	ed	bb	49

cc	8f	4d	55	e9	61	15	9e	17	62	2f	e8	4f	a9	0a	06
cc	8f	4d	55	e9	61	15	9e	17	62	2f	e8	4f	a9	0a	06	c2	34	f2	07	e7	a7	aa	b1	95	e4	f5	6e	cd	52	d0	fd
08	a0	79	63	be	f8	ea	46	c0	8a	35	24	53	af	83	7c	c2	34	f2	07	e7	a7	aa	b1	95	e4	f5	6e	cd	52	d0	fd
08	a0	79	63	be	f8	ea	46	c0	8a	35	24	53	af	83	7c	68	70	5b	18	a3	28	b5	3d	b8	7f	32	47	56	5a	f9	1f
7b	e0	1b	6a	5e	73	43	dc	2c	30	1c	03	74	86	39	90	68	70	5b	18	a3	28	b5	3d	b8	7f	32	47	56	5a	f9	1f
7b	e0	1b	6a	5e	73	43	dc	2c	30	1c	03	74	86	39	90	8e	e5	78	10	ab	0b	20	db	fc	2d	67	5c	a4	e6	42	b2
bc	c9	36	f1	77	91	d8	d4	6c	c6	5f	ae	82	e3	94	f6	8e	e5	78	10	ab	0b	20	db	fc	2d	67	5c	a4	e6	42	b2
bc	c9	36	f1	77	91	d8	d4	6c	c6	5f	ae	82	e3	94	f6	e1	19	14	b7	57	41	87	92	29	33	58	f0	ba	16	ee	a8

注：表格中数字均为16进制表示。

在m＝4时共有16个记忆单元，设16个记忆单元被随机初始化为：

(0xea，0x63，0xe6，0x57，0xa8，0xd6，0x54，0x2e，0x17，0x4f，0x98，0x40，0x2b，0xfd，0xc1，0x9a)。

如x＝(0x4a，0x77，……)。

x₀＝0x4a，h＝4，则输出的第一个字节为

t＝10，计算

则第10个记忆单元被更新为0xcc，第4个记忆单元被更新为0x3d。此时，16个记忆单元被更新为：

(0xea，0x63，0xe6，0x57，0x3d，0xd6，0x54，0x2e，0x17，0x4f，0xcc，0x40，0x2b，0xfd，0xc1，0x9a)。

每输出一个字节后，一般要更新16个记忆单元中的两个，但有时也会出现对同一个记忆单元更新两次的情况。此时第一次的更新会被第二次更新覆盖。

例如，x₁＝0x77，则h＝t＝7。输出的第二个字节为

计算

则第7个记忆单元被更新为0x2c，此时，16个记忆单元被更新为：

(0xea，0x63，0xe6，0x57，0x3d，0xd6，0x54，0x2c，0x17，0x4f，0xcc，0x40，0x2b，0xfd，0xc1，0x9a)。

Claims

1.一种密钥流序列扰动方法，其步骤为：

1)预置2^m个记忆单元

对每个记忆单元的内容赋初值，存储一n比特字；m、n为自然数；

2)对于输入的密钥流序列中的每个字x_i依次进行如下步骤：

a)取当前字x_i的高m比特的值h；其中每个字均为n比特字；

b)利用第h个记忆单元的内容y_h与输入字x_i进行异或操作，输出经扰乱后的字z_i；

c)取当前字x_i的低m比特的值t；

d)将当前字x_i经S盒变换的值与第t个记忆单元的内容y_t进行异或输出y_t′；将该y_t经S盒变换的值与所述y_h异或输出y_h′；

e)依次将第t个记忆单元中的值更新为y_t′、第h个记忆单元中的值更新为y_h′；

3)将依次输出的字z_i作为扰乱后的密钥流序列。

2.如权利要求1所述的方法，其特征在于根据加密算法的初始密钥或初始向量对每个记忆单元的内容赋初值。

3.如权利要求1所述的方法，其特征在于利用随机数对每个记忆单元的内容赋初值。

4.如权利要求1所述的方法，其特征在于所述m的值为：1到n-1之间的整数。

5.如权利要求4所述的方法，其特征在于所述步骤a)中，取当前字x_i的高m比特的值h的方法为：对x_i做右移n-m位的操作。

6.如权利要求4所述的方法，其特征在于所述步骤c)中，取当前字x_i的低m比特的值t的方法为：对x_i做模2^m运算。

7.如权利要求1所述的方法，其特征在于所述S盒为正形置换。

8.一种加密方法，其步骤为：

1)消息发送方根据初始密钥和初始向量，生成密钥流；

2)消息发送方将得到的密钥流与原始消息按位异或，实现对原始消息加密，并将加密消息发送到消息接收方；

3)消息接收方利用初始密钥和初始向量，生成密钥流；

4)消息接收方将生成的密钥流与接收到的加密消息按位异或，实现对加密消息的解密，得到原始消息；

其中，所述生成密钥流的方法为：预置2^m个记忆单元

对每个记忆单元的内容赋初值，存储一n比特字，m、n为自然数；利用线性反馈移位寄存器生成源序列，并从每次生成的源序列中选取若干字输入一个非线性变换单元，输出一个字x_i；然后对每次输出的字x_i依次进行如下步骤：a)取当前字x_i的高m比特的值h；b)利用第h个记忆单元的内容y_h与输入x_i进行异或操作，输出经扰乱后的字z_i；c)取当前字x_i的低m比特的值t；d)将当前字x_i经S盒变换的值与第t个记忆单元的内容y_t进行异或输出y_t′；将该y_t经S盒变换的值与所述y_h异或输出y_h′；e)依次将第t个记忆单元中的值更新为y_t′、第h个记忆单元中的值更新为y_h′；f)将输出的z_i与移位寄存器的一个字异或生成密钥流字；最后，根据依次输出的密钥流字得到密钥流序列。

9.如权利要求8所述的方法，其特征在于所述非线性变换单元为有限状态机或不带记忆的非线性函数。

10.如权利要求8所述的方法，其特征在于所述S盒为正形置换；所述m的值为：1到n-1之间的整数。