CN101938499B - 用于数据处理系统的有效加密和认证 - Google Patents

Abstract

这里提出了用于加密和认证数据的方法和装置，使得一些数据可以以明文的形式发送但仍然由发送机认证。一组明码位置或一组密文位置被用于指定哪些数据块会被用于生成输入校验和值(470)和输出校验和值(475)。这些校验和值接着被用于生成认证标记(490)。

Description

用于数据处理系统的有效加密和认证

本申请是申请日为2003年7月24日申请号为第02822430.5号发明名称为“用于数据处理系统的有效加密和认证”的中国专利申请的分案申请。

背景

技术领域

本发明涉及数据处理系统领域，尤其涉及在数据处理系统中提高安全性。

背景技术

在多种不同的领域中，诸如电子商务、通信和广播，安全是一个主要关注的问题。安全性措施提供可说明性、公正性、精确性、机密性、可操作性和其它这些领域中的数据处理系统和信息系统所期望的准则。提供这种安全性的加密方法通常根据两个目的来归类：加密和认证。加密是使得数据对未被认证方不可读的技术。认证是验证数据完整性的技术。验证数据的完整性涉及验证数据作者的身份和/或验证数据是否被改变。

加密系统通常被称为密码系统并具有对称或非对称的性质。对称加密系统使用密钥来加密信息并使用相同的密钥来解密经加密的信息。非对称加密系统，诸如公开密钥密码系统，使用第一密钥来加密信息并使用不同的密钥来解码经加密的信息。

在许多对称密码系统中，一密钥被用作加密功能，一分开的密钥被用作认证功能。因此在使用对称密码系统的数据处理系统中，加密和认证是作为两个独立的实体来执行的。由于认证需要大约与加密相同的处理功率，总的处理量等于两次加密数据所需的处理量。在运作在有限功率或有限硬件环境中的数据处理系统中，诸如蜂窝电话、个人数字助理或其它可携带的通信设备，所期望的是具有可以将加密和认证作为单个实体来执行的密码系统，以此来降低设备上计算负载或增加设备执行加密和认证的速度。

在Springer-Verlag 2001的“计算机科学”第2045卷中的讲稿EUROCRYPT 2001“密码术的发展”中由Charanjit Jutla所著的论文“Encryption Modes withAlmost Free Message Integrity”中，提出了可以以与单独加密需要差不多的处理方式来加密消息和认证经加密的消息的密码系统。换而言之，加密和认证可以作为单个功能实体被有效地执行。因此，降低了提供安全性所需的处理资源量。

Jutla密码系统被设计成加密所有要发送的数据。然而，在某些应用中，消息的所有数据必须被加密的要求是不希望的。例如，在诸如IPSec等通信协议中，加密所有的数据不是有效的。数据的头部必须未经加密发送用于寻址。IPSec的原理是在题为“Security Architecture for Internet Protoco1”的RFC 1825、题为“IP Authentication Header”的RFC 1826和题为“IP Encapsulating SecurityPayload(ESP)”的RFC 1827中规定，所有这些是由R.Atkinson在1995年8月提交的。

因此，需要一种用于加密和认证数据的安全有效的系统，其中不是消息的所有数据比特都需要被加密。

发明内容

这里提出了解决上述需要的方法和装置。特别地，提出了允许数据消息的某些部分以明文发送，数据消息的某些部分以密文发送，并且使用单一的认证标记来验证数据消息的明文部分和密文部分的方法和装置。

一方面，提出了作为单个实体加密和认证数据的方法，所述方法包含：将数据安排到多个明文块中，每个明文块根据密码块大小来定尺寸；指定至少一个明码(cleartext)位置，对此至少一个密文块与相应的明文块一样；确定多个使用临时值和第一密钥的噪声块；确定多个中间密文块，其中第一中间密文块对应于经加密的临时值，且剩余的中间密文通过用第二密钥加密多个中间明文块来迭代地计算，其中每个中间明文块是多个明文块中一个和前一中间密文块的组合；通过使用多个中间密文块和多个噪声块来确定多个密文块，其中第一密文块与第一中间密文块相同，而剩余的密文块通过将相应的中间密文块和相应的噪声块相组合来获取；基于多个明文块和对应于最后一个明文块的中间密文块来计算输入校验和值；基于多个密文块和一个噪声块来计算输出校验和值；通过用第二密钥加密输入校验和值并将经加密的输入校验和值和输出校验和组合来计算认证标记；用相应的明文块来代替由明码位置指定的多个密文块的每一个；以及添加认证标记。

在另一方面，提出了解密和验证伴有认证标记的多个数据块的方法，其中定义了一组明码位置，所述方法包含：使用临时值和第一密钥来确定多个噪声块；将未由该组明码位置中的明码位置所指定的多个数据块的每个与相应的噪声块组合，用以确定多个中间密文块；指定由该组明码位置中的明码位置确定的多个数据块的每个为多个明文块中的明文块；对于该组明码位置中的每个明码位置，将相应的明文块与先前中间密文块组合以形成中间明文块，并且加密该中间明文块来形成对应于该明码位置的中间密文块；对于不在该组明码位置的每个位置，解密相应的中间密文块以形成相关联的中间明文块，并且将相关联的中间明文块和先前的中间密文块组合用以为不在该组明码位置中的每个位置形成一明文块；确定多个次要密文块，其中多个次要密文块的每个对应于该组明码位置中的明码位置，并且是通过将相应的中间密文块和相应的噪声块相组合而形成；通过将最后一个中间密文块和不是由该组明码位置中的明码位置指定的多个数据块组合来计算输入校验和值；通过将噪声块和多个次要密文块组合来计算输出校验和值；以及验证认证标记。

在另一方面，提出了安全的数据传输的方法；其中第一部分的数据传输是作为明文发送的，第二部分的数据传输是作为密文发送的，并且所有的数据传输是经过认证的，所述方法包含：生成一组明码位置；将第一部分数据传输和第二部分数据传输加密为密文，其中所述第一部分数据传输由该组明码位置指定，而第二部分数据传输不与该组明码位置中任一相关联；使用不与该组明码位置中任一相关联的数据传输来生成输入校验和值；使用第一部分数据传输的密文来生成输出校验和值；使用输入校验和值和输出校验和值来生成认证标记；以及发送该明文、密文和认证标记，其中所述明文是由该组明码位置指定的数据传输的第一部分。

在另一方面，提出了解密和验证多个接收到的传输块的方法，所述方法包含：确定多个接受到的传输块的每个是否是由来自一组明码位置的明码位置所指定的；解码多个接收到的传输块，所述解码包含：如果不是由明码位置所指定的，那么就生成一组中间密文块，解密该组中间密文块以生成一组中间明文块，并生成一组明文块；如果是由明码位置所指定的，那么就将由明码位置所指定的多个接收到的传输块的每个与先前的中间密文块组合以生成中间明文块，并加密该中间明文块以获取中间密文块；以及验证多个接收到的传输块，所述验证包含：使用未由明码位置指定的该组明文块来形成输入校验和值；使用一组次要密文块来形成输出校验和值，其中所述次要密文块是从一组不与明码位置相关联的中间密文块获取的；以及将输入校验和值和输出校验和值用于与认证标记作比较。

在另一方面，提出了安全的数据传输的装置；其中第一部分的数据传输是作为明文发送的，第二部分的数据传输是作为密文发送的，并且所有的数据传输是经过认证的，所述方法包含：用于生成一组明码位置的装置；用于将第一部分数据传输和第二部分数据传输加密为密文的装置，其中所述第一部分数据传输由该组明码位置指定，而第二部分数据传输不与该组明码位置中任一相关联；用于使用不与该组明码位置中任一相关联的数据传输来生成输入校验和值的装置；用于使用第一部分数据传输的密文来生成输出校验和值的装置；用于使用输入校验和值和输出校验和值来生成认证标记的装置；以及用于发送该明文、密文和认证标记的装置，其中所述明文是由该组明码位置指定的第一部分的数据传输。

在另一方面，提出了解密和验证多个接收到的传输块的装置，所述装置包含：用于确定多个接受到的传输块的每个是否是由来自一组明码位置的明码位置所指定的装置；用于解码多个接收到的传输块的装置，所述解码包含：如果不是由明码位置所指定的，那么就生成一组中间密文块，解密该组中间密文块以生成一组中间明文块，并生成一组明文块；如果是由明码位置所指定的，那么就将由明码位置所指定的多个接收到的传输块的每个与先前的中间密文块组合以生成中间明文块，并加密该中间明文块以获取中间密文块；以及用于验证多个接收到的传输块的装置，这是通过使用未由明码位置指定的该组明文块来形成输入校验和值，使用一组次要密文块来形成输出校验和值，其中所述次要密文块是从一组不与明码位置相关联的中间密文块获取的；以及将输入校验和值和输出校验和值用于与认证标记作比较。

附图说明

图1A、1B和1C分别是基本密码系统、对称加密系统和非对称加密系统的框图。

图2A和2B分别是对称认证系统和非对称认证系统的框图。

图3是完整性认识(Integrity Aware)加密块链接模式的框图。

图4A是CBC-IO模式的框图。

图4B是用于执行CBC-IO模式的装置的框图。

图5是解密和验证经由CBC-IO模式加密和认证的消息的框图。

图6A是用于执行解密和验证经由CBC-IO模式加密和认证的消息的装置的框图。

图6B、6C和6D是用于验证经由CBC-IO模式加密和认证的消息的不同实施例的框图。

具体实施方式

加密使得数据对未被认证方不可读。原始数据消息被称为明文消息或明文。经加密的被称为密文，其中加密包含任一将明文转换为密文的方法，例如分组密码、散列函数或任一其它的加密函数。解密包含任一将密文转换为明文的方法，即恢复原始消息。图1A说明了设计用作加密的基本密码系统10。明文消息11由加密方案12操作以形成密文13。密文13于是通过通信信道(未示出)发送并在另一个站点(未示出)由解码方案14恢复明文15。明文和密文可以关于任何数据，包含以数字形式出现的音频和视频数据。

密码分析法是破获密码系统的安全性的技术。执行密码分析法的实体在本领域中被称为对手或攻击者。加密方案的密码分析法是关于解密未经认证的消息。认证方案的密码分析法是针对合成可以被验证为由其他人发送的消息。

密码系统是基于秘密的。一组实体共享该秘密，如果一组实体之外的实体不花费大量的资源就不能获得密钥。这个秘密被说成充当该组实体的安全关联。

一般地，秘密包含一个密钥或一组密钥，它们是以比特来计量的。密钥越长，该密钥具有越高的秘密安全性。对称密码系统使用同解密消息一样的同一密钥来加密消息。对称加密系统20在图1B中说明，其中加密和解密都使用相同的私钥。明文21由加密方案22操作。密钥23在加密方案22中使用以形成密文24。密文24在通信信道(未示出)上发送至另一站点，其中解密方案25使用同一密钥23来形成明文26。

相反地，非对称密码系统使用第一密钥来加密消息，并使用不同的密钥来将其解密。图1C说明了被称为公钥密码系统30的非对称加密系统，其中公钥用于加密而私钥用于解密。公钥是公开的，这样任一用户可使用该公钥来加密任一消息。然而，只有私有的、未公开的密钥可以被用于解密这个经公钥加密的消息。明文31被输入加密方案32，所述加密方案使用与指定用户相关联并从公布中获取的公钥33。所得的密文34在通信信道(未示出)上发送至指定用户。该指定用户使用解密方案35中的密钥36将密文34转换成明文37。

对称加密一般比非对称加密快得多。然而，由于可能被对手中途截取，将密钥从发送者发送至接收者是有问题的。一个解决方案是使用可信的第三方来持有密钥，该第三方只会与经认证的用户共享密钥。这里所述的实施例不解决这个问题，而是假定发送者和接收者共享了一密钥。

上述密码系统生成的密文的完整性一般由附加的某些认证数据提供给经发送的密文。该认证数据一般作为消息内容和完整性密钥的函数计算。

在对称认证系统中，认证数据被称为消息认证代码(MAC)。该MAC是作为消息内容和完整性密钥的函数计算的，其中发送者和指定目标共享该完整性密钥。发送者发送消息并附加MAC。消息可以是明文或密文。接收者重新计算来自消息的MAC，并且只有当经重新计算的MAC与发送的MAC一致时才认可消息的完整性。理论上，只有消息的发送者能够生成该消息有效的签名，由此用于接收者认证该消息。

对称认证系统40在图2A中说明，其中签名和验证都使用相同的密钥。用使用密钥43的认证方案42来运作消息41以形成认证数据44。认证数据44和消息41于是通过通信信道(未示出)发送至另一方(未示出)。用使用相同密钥43的验证方案45来对消息41操作以确定认证数据46。将由接收方生成的认证数据46与在通信信道上接收到的认证数据44相比较。

在非对称认证系统中，认证数据被称为数据签名。数据签名作为消息内容和发送者的完整性密钥的函数计算。发送者向接收方发送数字签名，接收方于是使用发送者的公钥对数字签名执行验证。非对称认证系统50在图1E中说明，其中签名使用私钥而认证使用相应的公钥。

在一些方案中，MAC或数字签名计算自包含对秘密消息的唯一数学描述的‘消息摘要’。消息摘要在长度上比原始消息要短，这样更容易地执行对消息摘要的计算。由于秘密消息或消息摘要不是保持恒定的，MAC或数字签名依靠秘密消息或消息摘要保证认证数据不是保持恒定的。如果认证数据对多个消息是保持恒定的，那么对手就可以非法地容易窃取到认证数据。

通常使用密码哈希函数来计算消息摘要。密码哈希函数从任一输入计算出一值(包含固定位数)，而不管输入的长度。密码哈希函数的一个特性是给定一输出值，计算上难以确定会导致那个输出的输入。密码哈希函数的一个例子是SH-1，如联邦信息处理标准出版物(FIPS PUBS)发布的和国家标准技术局(NIST)出版的FIPPUB 180-1“Secure Hash Standard”中所描述的。

分组密码是对称加密方案，对于该方案到该方案的输入在位数上总是固定的长度。该长度被称为分组密码的块大小。分组密码的一个例子是数据加密标准(DES)，如FIPS PUBS发布的和NIST出版的FIPS PUB 46-1“Data EncryptionStandard”中所描述的。DES的块大小为64位。分组密码的另一个例子是高级加密标准(AES)，如FIPS PUBS发布的和NIST出版的FIPS PUB 46-1“AdvancedEncryption Standard”中所描述的。AES的块大小为128位。

分组密码的密钥长度是该密钥的位数长度。然而，密钥的熵是密钥的可能值的数目的对数(基数为2)。熵也是按照位数来写的。例如，DES具有64位的密钥，这些位数中的8位被用作校验和以检测密钥传输中的差错。从而，DES的密钥熵是(64-8)＝56位。

给定分组密码的几对输入和相应的输出，对手就可导出该分组密码的密钥，所述对手测试所有可能的密钥值以确定那些输入导致正确的输出。这种类型的攻击被称为穷举密钥搜索。这种攻击的计算复杂性是攻击所需的加密操作的数目。因此，在穷举密钥搜索中，为了提取K位密钥的攻击需要大约2^k加密操作来提取分组密码密钥。

分组密码对构造其它的密码实体是有用的。使用分组密码的方式被称为操作模式。已经为DES标准化四种模式的操作，并且在FIPS PUBS发布的和NIST出版的FIPS PUB 81“DES Modes of Opertaion”中描述了这四种模式。这四种模式是电子码本(ECB)、密码分组链(CBC)、输出反馈(OFB)和密码反馈(CFB)。为了说明起见，这里只讨论ECB和CBC来加密明文块P₁，...，和P_m的序列。

在ECB模式中，依照以下关系，分组密码被用于将明文的每个块加密成密文块：

C_i＝E_K(P_i)，

其中E_K(P₁)标记为使用密钥K对块P₁的加密。在这里使用时，D_K(P₁)表示使用密钥K对块P₁的解密。

在CBC模式中，用秘密初始值(IV)对第一明文块求异或形成一结果，该结果接着被加密。依照以下关系写出该过程的数学描述：

$C_1=E_K(P_1\⊕\mathrm{IV}).$

此后，在加密前用先前的密文对每个明文块求异或，如下：

$C_i=E_K(P_i\⊕C_{i-1}).$

在对称密码系统中，有效的加密和认证可能是有问题的。直到最近，满足这个需求的唯一解决方案是使用原始的方法：提供加密和认证为两个单独的功能。这两个功能需要大约等量的计算，因此使用两个功能的花费是只使用一个或另一个方法的两倍。

在论文“Encryption Modes with Almost Free Message Integrity”中，Jutla提出了两种方法，这两种方法提供了比单独加密或认证需要稍微多一点计算的加密和认证。这些方法具有一般的形式并且将分组密码用作密码核心。在密码界中，这样的方法也被称为“操作模式”。Jutla的操作模式之一，被称为完整性意识可平行模式(IAPM)模式，不在这个文件中讨论。Jutla的另一个操作模式，被称为完整性意识密码块链(IACBC)模式，在图3中示出。IACBC使用两个密钥：K₀和K₁。假设发送者希望加密和认证含有从P₁到P_m-1的(m-1)个消息块的消息。发送者将t设置为等于大于(m+1)的对数(基数为2)的下一个整数。发送者选择一随机值(称为临时或初始值)以加密形成密文块C₀。值r+1到r+t被加密以形成值W₀到W_t-1，其中所述加密使用密钥K₀。值W₀到W_t-1接着被用于导出成对的独立值S₀到S_t-1。这些值在这里被称为噪声块。如果均匀地分配给S₀，...，S_mn位随机数字，其具有以下特性：对于每对S₁和S_j，其中i≠j，并且每对n位数常数c₁和c₂，S₁＝c₁并且S_j＝c₂的概率是2_-2n，那么值S₀，...，S_m是成对独立的。对S₀到S_m的实际计算与理解IACBC无关并且将不在下面描述。根据以下关系，对于1≤i≤m-1迭代地导出密文块c₁到c_m-1的值：

$M_i=P_i\⊕N_{i-1},$

N_i＝E_K1(M_i)，

$C_i=N_i\⊕S_i,$

其中密钥K₁被用于每个密码块，并且初始值N₀被设置为C₀。这些值M₁被称为中间明文块，值N₁被称为中间密文块。发送者接着计算检验和值P_m，定义为：

$P_m=P_1\⊕P_2\⊕...\⊕P_{m-1}.$

通过用密钥K₁加密

和将经加密的结果与S₀求异或，从P_m计算出MAC标记值C_m。数学上，该计算可如下表示：

$C_m=E_{K1}(P_m\⊕N_{i-1})\⊕S_0.$

发送者发送C₀...C_m。

假设接收者接收到C’₀...C’_m。接收者通过首先解密C’₀以形成r’来开始解密过程，其中所述解密使用密钥K₁。加密值r’+1到r’+t以形成值W’₀至W’_t-1，其中加密使用密钥K₀。接收者接着计算值S’₀到S’_m。根据以下关系，对于1≤i≤m-1迭代地导出密文块P₁到P_m-1的值：

${N^{,}}_i={C^{,}}_i\⊕{S^{,}}_i,$

M’_i＝D_K1(N’_i)，

$P_i={N^{,}}_{i-1}\⊕{M^{,}}_i,$

其中密钥K₁被用于每个明文块，并且初始值N’₀被设置为等于C’₀.接收者接着计算检验和值P’_m，定义为：

${P_m}^{,}={P^{,}}_1\⊕{P^{,}}_2\⊕...\⊕{P^{,}}_{m-1}.$

通过使用密钥K₁加密P_m和N_m-1的异或，接着将加密的结果与S’₀求异或来计算出值X。数学上，可以如下描述该过程：

$X=E_{K1}({P^{,}}_m\⊕{N^{,}}_{m-1})\⊕{S^{,}}_0.$

如果X与C’_m相等，那么接收者可以确信精加密的消息的完整性。

Gligor和Donescu在论文“Fast Encryption and Anthenticaion：XCBCEncryption and XEBC Authentication Modes”中提出一相似的模式，称为扩展密文块链模式(XCBC模式)，它使用相似的计算量提供加密和认证。XCBC和IACBC的主要区别是噪声块S₀到S_m的表示法，其表示法与这个文件无关。

IACBC和XCBC模式的操作具有某些不合需要的特性。第一个不合需要的特性是这些模式需要所有的数据经加密被发送。在诸如IPSec等因特网协议中，发送所有数据都被加密的消息是不希望的。特别是，包含定址信息的头部必须以明文的形式发送。这里所描述的实施例提出了IACBC和XCBC模式的变形(此后称为CBC-IO模式)，它允许数据块以明文发送，而只加上少量的处理。

应该注意数据或通信系统中的硬件或软件都可以被配置成执行CBC-IO模式的不同实施例。硬件可以包含但不限于：处理元件，实现一组存储在计算机可读媒质上的指令，例如存储器，以执行下述的加密、认证、解密和验证过程。此外，使用位逻辑异或运算符描述了各种组合步骤。实施例的其它实现可以使用取模的整数加法运算来执行，其中两个输入被处理为整数的二进制表示，以这两个整数和的二进制表示构成中间值，通过将中间值截短成密码块的大小来构成输出。也可以适当修改地使用其它群运算符，然而，为了易于说明，这里只描述使用异或操作符的实施例。

CBC-IO模式的一个实施例在图4A中说明。该CBC-IO模式的操作使用两个密钥：K₀和K₁。假设发送者希望加密和认证由块P₁到P_m-1的(m-1)消息组成的消息。

在步骤400处，发送者和接收者对该组明文块以不加密的形式发送达成一致。用U表示要以不加密形式发送的明文块的指数的集合，其中U的元素被称为明码位置。

在步骤402处，发送者选择临时值r并按照IACBC或XCBC模式来计算噪声块S₀到S_m，以获取中间密文N₀到N_m-1，并获取密文C₀到C_m-1。即，N₀＝C₀＝E_k1(r)，并且根据以下关系，对于1≤i≤m-1反复导出中间密文N₀到N_m-1和密文块C₁到C_m-1的值：

$M_i=P_i\⊕N_{i-1},$

N_i＝E_K1(M_i)，

$C_1=N_1\⊕S_1$

注意对每个密文块使用密钥K₁。在一个替换实施例中，临时值r可以是一个由发送者和接收者都存储的预定的值，而非一导出的值。

在步骤410处，发送者计算校验和值CHK_IN和CHK_OUT，它们定义如下：

$\mathrm{CHK}\_\mathrm{IN}=\left({\⊕}_{i\∉U}{P}_i\right)\⊕N_{m-1},$ 和

$\mathrm{CHK}\_\mathrm{OUT}=\left({\⊕}_{i\∈U}{C}_i\right)\⊕S_o.$

在步骤420处，发送者通过用密钥K₁加密CHK_IN计算MAC标记C_m，并将结果与CHK_OUT求异或。这个过程在数学上描述如下：

$C_m=E_{K1}(\mathrm{CHK}\_\mathrm{IN})\⊕\mathrm{CHK}\_\mathrm{OUT}.$

在步骤430处，发送者重新设置那些值C₁，其中i∈U(即，那些会不加密发送的明文)，使得C₁＝P₁。在步骤440处，发送者发送C₀...C_m。

因为通过将信息和最后一次加密的输入和输出组合计算出认证标记，这种模式被称为CBC-IO。使用CBC-IO模式生成认证标记的步骤与IACBC的不同在于生成CHK_IN和CHK_OUT的值。由于这个不同，在接收者处的解密和验证过程也必须不同地配置。

图4B是被配置成执行上述CBC-IO模式的硬件的框图。应该注意图4B说明了可以作为软件实现的替换的实现，其中处理器和存储器被配置成执行一组指令，用于执行上述的CBC-IO模式。存储器元件450存储明文块P₁，其中的一些要被加密且其中的全部要被认证。加密元件460A、460B、460C和460D被配置成对这些输入执行加密功能。为了说明起见，在图4B中示出了四个(4)加密元件用于加密明文块，但是本领域的技术人员理解可以实现较多或较少的加密元件而不影响本实施例的范围。

在这个实施例中，到加密块460A、460B、460C和460D的输入是在第一加密元件460A处的临时值r和各自在其相应的其余密文元件处的中间明文块M₁到M_m-1。中间明文块M₁到M_m-1是将元件462A、462B和462C组合的输出。一方面，组合元件462A、462B和462C是异或门。加密元件460A、460B、460C和460D的输出是中间密文块N₀到N_m-1。通过组合元件464A、464B和464C中间密文块N₀到N_m-1与相应的噪声块S₁到S_m-1组合。组合元件464A、464B和464C的输出是密文块C₁到C_m-1。

处理框(或校验和生成器)470被配置成通过使用要以加密形式发送的明文块和最后一个中间密文块N_m-1来确定校验和值CHK_IN。处理框(或校验和生成器475)被配置成通过使用第一噪声块S₀和对应于要以明文形式发送的明文块的密文块来确定校验和值CHK_OUT。上面已经描述了用于确定CHK_IN和CHK_OUT的公式。接着CHK_IN输入到加密元件480中。接着使用组合器元件490将加密元件480的输出和CHK_OUT组合。组合器元件490的输出是最后一个密文块C_m，它也被用作认证标记。

密文块C₁到C_m-1，认证标记C_m和明文块P₁被输入到选择元件495，选择元件495确定要发送的块是密文还是明文。换而言之，i∈U的那些P₁与那些

的C₁一起被发送。

图5是解密和验证经CBC-IO模式加密和认证的消息的框图。在步骤500处，接收者接收模块C’₀...C’_m。注意对于i∈U，C’₁是不加密发送的。在步骤510处，接收者使用密钥K₁来解密C’₀以获取r’。值r’和密钥K₀被用于导出噪声块S’₀到S’_m的值。

在步骤520处，对于i，其中1≤i≤m，一迭代过程由是否i∈U的判定开始。如果

那么程序流进入到步骤530。如果i∈U，那么程序流进入到步骤540。在步骤530处，接收者确定中间密文N’₁，其中

通过将C’₁和S’₁求异或以确定中间密文N’₁，其中

这在数学上描述如下：

${N^{,}}_i={C^{,}}_i\⊕{S^{,}}_i.$

在步骤532处，接收者解码中间密文N₁，其中

M’_i＝D_K1(N’_i)，

${P^{,}}_i={M^{,}}_i\⊕{N^{,}}_{i-1}.$

程序流进入步骤550。

对于i∈U，在步骤540，接收者确定P’₁＝C’₁，其中i∈U。

在步骤542处，顺次前进经过值i∈U，接收者按照以下关系，将P’₁和N’_1-1组合以获取M’₁：

${M^{,}}_i={P^{,}}_i\⊕{N^{,}}_{i-1},$

N’_i＝E_K1(M’_i).

程序流进入步骤550。在步骤550处，指数i加1并作出判定是否i＞m。如果条件i＞m为假，那么程序流回到步骤520处。如果条件i＞m为真，那么程序流进入到步骤560，步骤560是验证过程的开始。

应该注意上述为明码位置确定中间密文块和中间明文块的步骤可以互换排序而不影响这些实施例的范围。也应该注意上述步骤可以容易地改变成适用于一组密文位置，而非明码位置，即这些步骤可以关于已被指定为加密的块来描述，而非关于已用明文发送的块。也应该注意在上述步骤中计算出的值被存储以进一步在迭代过程中使用。

接收者现在已解密了所有的密文，但是接收者现在需要验证完整性。为了验证完整性，在步骤560处，接收者首先按照以下关系构成次要密文C^* ₁，其中i∈U：

${C^{*}}_i={N^{,}}_i\⊕{S^{,}}_i.$

在步骤570处，接收者计算校验和值CHK_IN’，定义如下：

$\mathrm{CHK}\_{\mathrm{IN}}^{,}=\left({\⊕}_{i\∉U}{P^{,}}_i\right)\⊕{N^{,}}_{m-1}.$

在步骤580处，接收者计算校验和值CHK_OUT’，定义如下：

$\mathrm{CHK}\_{\mathrm{OUT}}^{,}=\left({\⊕}_{i\∈U}{C^{*}}_i\right)\⊕{S^{,}}_o.$

在步骤590处，通过用密钥K₁加密由CHK_TN’计算出值X，并将结果与CHK_OUT’求异或。这个过程在数学上描述如下：

$X=E_{K1}\left({\mathrm{CHK}\_\mathrm{IN}}^{,}\right)\⊕{\mathrm{CHK}\_\mathrm{OUT}}^{,}.$

接收者将X和C’_m作比较以确定它们是否相等。如果它们是相等的，那么接收者可以确信消息的完整性。如果验证了消息的完整性，该消息是：

P＝P₁，...，P_m-1.

在替换实施例中，接收者使用替换值作比较。在一个实施例中，认证标记与CHK_OUT组合以构成测试加密输入校验和值。输入校验和值被加密，接着与测试加密输入校验和值作比较。如果测试加密输入校验和值与经加密的输入校验和值是相同的，那么验证了认证标记。在另一个实施例中，认证标记与输出校验和值组合以构成测试加密输入校验和值。该测试加密输入校验和被解密以获取测试输入校验和值；该测试输入校验和值接着与输入校验和值作比较。如果测试输入校验和值与输入校验和值是相同的，那么验证了认证标记。

在另一个替换实施例中，验证步骤560到590可以与解密步骤520到550并行执行。这种并行处理加快了接收者处理来自发送者的经加密和认证的传输的速度。

图6A是被配置成对用上述CBC-IO模式加密的消息执行解密的框图。图6B、6C和6D是被配置成使用上述CBC-IO模式认证的消息执行验证的框图。在图6A中，接受到的块C’₀，C’₁，...和C’_m存储在存储器600中。解密元件610A、610B、610C、610D和610E被配置使用密钥K₁执行解密功能，所述密钥K₁在密钥协商过程期间在发送者和接收者之间达成一致，这里不讨论该协商过程的详情。到第一解密元件610A的输入是块C’₀，它是来自发送者的第一个消息块。第一解密元件610a的输出是r’，它会被用于确定噪声块S’₀，S’₁，...，S’_m-1，这是由这里未示出的硬件配置确定的。

到其它解密元件610B、610C、610D和610E的输入各自在每个相应的解密元件处生成中间密文块N’₀到N’_m。中间密文块N’₁到N’_m是通过对所有的

将相应的噪声块S’₁和接收到的密文块C’₁组合而形成的，其中所述组合是使用组合元件620A、620B、620C和620D，诸如，例如异或门或取模的整数加法器，来执行的。

使用组合元件622A、622B、622C和622D将解密元件610A、610B、610C、610D和610E的输出各自与相关联的中间密文块N’₁相组合。组合元件622A、622B、622C和622D的输出是明文块P’₁，其中

对于中间密文块N’₁的生成，其中i∈U，加密元件630A、630B和630C使用密钥K₁来加密前一个中间密文块N’_1-1或中间密文块N’₁。组合元件624A、624B和624C将前一个中间密文块N’_i-1与明文块P’₁组合以形成中间明文块M’₁，中间明文块M’₁是由加密元件630A、630B、630C和630D来加密的。应该注意在确定P’₁后(其中

)，可以通过设置P’₁＝C’₁(其中i∈U)可以简单地导出明文块P’₁(其中i∈U)。包含了中间密文块N₁的生成，其中i∈U，以允许对于迭代地确定明文块P’₁，并生成第二密文块C*₁用于验证。在这个实施例中，用控制线(未示出)实现转换器640A、640B、640C和640D，以利于按照是明码位置还是密文位置处于即时位置之前来选择合适的中间密文块。

输入校验和CHK_IN可以被确认为组合元件(未示出)的输出，所述组合元件将最后一个中间密文块N’_m和所有明文块P’_i的组合(其中

)相结合。输出校验和CHK_OUT可以被确定为组合元件(未示出)的输出，所述组合元件将第一噪声块S’₀和所有次要密文C^* ₁的组合相结合，次要密文C^* _i的每一个被定义为相应的中间密文块N’₁和相应的噪声块S’₁的组合。次要密文块C^* ₁是图6A中组合元件645A、645B和645C的输出。

图6B示出了验证认证标记的一个实施例。CHK_IN值被输入到加密元件650中。加密元件650的输出与CHK_OUT值在组合元件655处组合。接着，在比较元件657处将组合元件655的输出与接受到的块C’_m作比较，所述块C’_m是认证标记。图6C是验证认证标记的另一个实施例。CHK_IN值被输入到加密元件660中。在组合元件665处，将认证标记C’_m与CHK_OUT值组合。在比较元件667处，将组合元件665的输出与加密元件660的输出作比较，以验证认证标记。图6D是验证认证标记的另一个实施例。在组合元件670处，将认证标记C’_m与CHK_OUT值组合。组合元件670的输出被输入到解密元件675中。接着，在比较元件677处，将解密元件675的输出与CHK_IN值作比较。如果任一的比较显示匹配，那么就验证了认证标记C’_m。

当接收者试图解密消息时，攻击者会使得接收者使用错误的明码位置组。为了防止这种类型的攻击，发送者和接收者必须使用其它的方法来验证应用到特定密文消息的明码位置。对这个问题有简单的解决方案。一个解决方案是对那些位置是明码位置有标准的协议。另一种方法是在数据块中包含明码位置集合U的表示，这样使得对密文的验证包含对明码位置集合的验证。

在检验和中包含值C₁，其中

构成了CBC-IO模式操作和由Jutla和Gligor和Donescu提出的模式操作之间的区别。注意在计算密文和认证标记时，CBC-IO使用分组密码加密。然而，在一些或全部的分组密码加密操作之处使用分组密码解密是同等有效的。这会导致在解密和消息完整性期间从分组密码解密到分组密码加密(反之亦然)的改变。

在CBC-IO模式中，如果基层的分组密码是安全的，那么加密和认证功能是安全的。本领域中对于短语“the encryption and authentication functions aresecure”“加密和认证功能呈安全的”什么意思有正式的表示法，然而这些正式的表达法与本发明的主题无关并不会在这里讨论。本领域的技术人员会熟悉短语“theencryption and authentication functions are secure”的意思。

虽然这里的实施例是基于AES分组密码关于CBC-IO模式描述的，这些实施例也可以应用到基于其它分组密码来构建CBC-IO模式。注意发送者可以选择发送P₁或C₁，这不会危害认证。这里所述的实施例允许一方发送经加密的或未经加密的块而不危害认证方案的安全性。如果P₁以明文发送，那么P_i的加密版本仍然是安全和不可预测的，并且可以被用作安全认证。

通常的做法是当使用认证模式时，仅将MAC定义并最终块的一部分。也可以改变本发明，这样使得只有一部分最终块作为MAC发送。

本领域的技术人员可以理解，信息和信号可以用多种不同技术和工艺中的任一种来表示。例如，上述说明中可能涉及的数据、指令、命令、信息、信号、比特、码元和码片可以用电压、电流、电磁波、磁场或其粒子、光场或其粒子或它们的任意组合来表示。

本领域的技术人员能进一步理解，结合这里所公开的实施例所描述的各种说明性的逻辑框、模块、电路和算法步骤可以为电子硬件、计算机软件或两者的组合来实现。为了清楚说明硬件和软件间的互换性，各种说明性的组件、框图、模块、电路和步骤一般按照其功能性进行了阐述。这些功能性究竟作为硬件还是软件来实现取决于特定的应用对总体系统设计上的约束。熟练的技术人员可能对于每个特定应用不同的方式来实现所述功能，但这种实现决定不应被解释为就此背离本发明的范围。

结合这里所描述的实施例来描述的各种说明性的逻辑框、模块和算法步骤的实现或执行可以用：通用处理器、数字信号处理器(DSP)、之用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、离散门或晶体管逻辑、离散硬件组件或者为执行这里所述功能而设计的任意组合。通用处理器可能是微处理器，然而或者，处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器也可以用计算设备的组合来实现，如，DSP和微处理器的组合、多个微处理器、结合DSP内核的一个或多个微处理器或者任意其它这种配置。

结合这里所公开实施例描述的方法或算法的步骤可能直接包含在硬件中、由处理器执行的软件模块中或在两者当中。软件模块可以驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM或本领域中已知的任何其它形式的存储媒质中。示例性存储媒质与处理器耦合，使得处理器可以从存储媒质读取信息，或把信息写入存储媒质。或者，存储媒质可以与处理器整合。处理器和存储媒质可能驻留在ASIC中。ASIC可能驻留在用户终端中。或者，处理器和存储媒质可能作为离散组件驻留在用户终端中。

提供上述优选实施例的描述为了使本领域的技术人员能制造或使用本发明。这些实施例的各种修改对于本领域的技术人员来说是显而易见的，这里定义的总的原则可以被应用于其它实施例中而不使用创造能力。因此，本发明并不要限于这里示出的实施例，而要符合与这里揭示的原理和新颖特征一致的最宽泛的范围。

Claims (8)

1.用于作为单个实体加密和认证数据的方法，所述方法包含：

指定一组明码位置和一组密文位置，其中该组明码位置用于指示在明码位置中的块是未加密的，而该组密文位置用于指示在密文位置中的块是加密的；

如果数据块在明码位置中，那么：

设置明文块等于所述数据块；

将明文块与前一中间密文块求异或以构成中间明文块；

加密中间明文块以形成中间密文块；

如果数据块在密文位置中，那么：

将所述数据块与对应于来自一组序列的数据块的序列求异或以形成相应的中间密文块；

解密相应的中间密文块以形成中间明文块；以及

将中间明文块与前一中间密文块求异或以构成明文块；

使用所有中间块计算认证标记；

使用所述认证标记、来自所述一组序列的第一序列和来自所述一组序列的最后一个序列计算上一密文块；以及

发送所述密文块和所述认证标记。

2.用于安全数据传输的方法，其中第一部分的数据传输作为明文发送，第二部分的数据传输作为密文发送，且所有的数据传输是认证的，所述的方法包含：

生成一组明码位置；

将所述第一部分的数据传输和所述第二部分的数据传输加密为密文，其中所述第一部分的数据传输由该组明码位置指定，且所述第二部分的数据传输不与该组明码位置组中任何一个相关联；

使用不与该组明码位置中任何一个相关联的数据传输来生成输入校验和值；

使用所述第一部分的数据传输的密文生成输出校验和值；

使用所述输入校验和值和输出校验和值生成认证标记；以及

发送所述明文、密文和认证标记，其中所述明文是由该组明码位置指定的数据传输的第一部分。

3.用于解密和验证多个接收到的传输块的方法，所述方法包含：

确定多个接收到的传输块的每一个是否是由来自一组明码位置的一个明码位置所指定的；

解密多个接收到的传输块，所述的解密包含；

如果不是由明码位置指定的，那么生成一组中间密文块、解密该组中间密文块以生成一组中间明文块，并生成一组明文块；

如果是由明码位置指定的，那么将由明码位置指定的多个接收到的传输块的每一个与前一中间密文块组合以形成中间明文块，并加密该中间明文块以获取中间密文块；以及

验证多个接收到的传输块，所述验证包含：

使用不是由明码位置指定的该组明文块形成输入校验和值；

使用一组次要密文块构成输出校验和值，其中所述次要密文块是从不与明码位置相关联的一组中间密文块导出的；以及

使用所述输入校验和值和所述输出校验和值用于与认证标记作比较。

4.如权利要求3所述的方法，其特征在于，其中所述解密是与所述验证并行执行的。

5.用于加密和认证数据的装置，所述装置包含：

至少一个存储器元件，用于存储一组明文块；

至少一个组合元件，用于组合输入块；

至少一个加密元件，用于对输入执行加密功能；

至少一个选择元件，用于选择明文块或密文块在传输流中的指定位置上传输；

至少两个校验和生成器；以及

至少一个处理元件，其中所述至少一个处理元件用于控制所述至少一个存储器元件、所述至少一个组合元件、所述至少一个加密元件、所述至少两个检验和生成器和至少一个选择元件，使得：

所述至少一个组合元件的第一部分用于将明文块与前一阶段的中间密文块相结合以输出中间明文块，所述至少一个加密元件的第一部分用于从所述中间明文块生成当前阶段的中间密文块，所述至少一个组合元件的第二部分用于从将当前状态的密文块与噪声块相组合输出密文块，第一校验和生成器用于从一组指定的明文块输出第一校验和，所述至少一个加密元件的第二部分用于加密所述第一校验和，第二校验和生成器用于从一组指定的密文块输出第二校验和，而所述至少一个组合元件的第三部分用于将经加密的第一校验和与所述第二校验和相结合以构成认证标记。

6.用于解密和验证数据的装置，所述装置包含：

至少一个存储器元件，用于存储一组数据传输块；

至少一个组合元件，用于组合输入块；

至少一个加密元件，用于对输入执行第一加密功能；

至少一个解密元件，用于对输入执行第二加密功能，其中所述第二加密功能是所述第一加密功能的相反；

至少一个转换元件，用于从所述至少一个加密元件选择一输出或从所述至少一个组合元件选择一输出；

至少两个校验和生成器，用于基于所指定的明文块组生成输入校验和以及基于次要密文块组生成输出校验和；以及

至少一个处理元件，其中所述至少一个处理元件用于控制所述至少一个存储器元件、所述至少一个组合元件、所述至少一个加密元件、所述至少一个解密元件、所述至少两个检验和生成器和至少一个转换元件，使得：

所述至少一个组合元件的第一部分用于将数据传输块与噪声块相组合以构成中间密文块，所述至少一个解密元件用于解密所述中间密文块以形成中间明文块，所述至少一个组合元件的第二部分用于将所述中间明文块与前一阶段的中间密文块相结合以形成明文块，所述至少一个组合元件的第三部分用于将所述数据传输块与前一阶段的中间密文块相组合以形成第二中间明文块，所述至少一个加密元件用于加密所述第二中间明文块以构成第二中间密文块，所述至少一个转换元件用于选择所述中间密文块或所述第二中间密文块，以及所述至少一个组合元件的第二部分是用于将所述噪声块与所述第二中间密文块相组合以形成次要密文块。

7.用于安全数据传输的装置，其中第一部分的数据传输作为明文发送，第二部分的数据传输作为密文发送，且所有的数据传输是认证的，所述装置包含：

生成一组明码位置的装置；

将所述第一部分的数据传输和所述第二部分的数据传输加密为密文的装置，其中所述第一部分的数据传输由该组明码位置指定，且第二部分的数据传输不与该组明码位置组中任何一个相关联；

使用不与该组明码位置中任何一个相关联的数据传输来生成输入校验和值的装置；

使用所述第一部分的数据传输的密文生成输出校验和值的装置；

使用所述输入校验和值和输出校验和值生成认证标记的装置；以及

发送所述明文、密文和认证标记的装置，其中所述明文是由该组明码位置指定的数据传输的第一部分。

8.用于解密和验证多个接收到的传输块的装置，所述装置包含：

确定多个接收到的传输块的每一个是否是由来自一组明码位置的一个明码位置所指定的装置；

解密多个接收到的传输块的装置，所述的解密包含；

如果不是由明码位置指定的，那么生成一组中间密文块、解密该组中间密文块以生成一组中间明文块，并生成一组明文块；

如果是由明码位置指定的，那么将由明码位置指定的多个接收到的传输块的每一个与前一中间密文块组合以形成中间明文块，并加密该中间明文块以获取中间密文块；以及

验证多个接收到的传输块的装置，所述验证是通过：使用不是由明码位置指定的该组明文块形成输入校验和值，使用一组次要密文块形成输出校验和值，其中所述次要密文块是从不与明码位置相关联的一组中间密文块导出的；以及使用所述输入校验和值和所述输出校验和值用于与认证标记作比较。

Images