CN101958790B - 无线通信网络数字信息加密或解密方法 - Google Patents

Abstract

本发明属于信息安全领域中的加解密算法。该算法可实现对数字信息加密或解密，具有加解密速度快、占用资源少、可移植性好、平台适应性强的特点。算法使用了一类适合软硬件快速实现的特殊线性反馈移位寄存器，结合非线性组件和记忆组件达到了理想的扩散和混乱效果，通过了多种随机性测试，并且够抵抗区分攻击、相关攻击、代数攻击、猜测确定攻击、时空折衷攻击等，具有良好的安全性。该算法适用范围广、实现面积小、功耗低，可以为新一代高速无线通信网络提供加解密功能。

Description

无线通信网络数字信息加密或解密方法

一、技术领域：本发明涉及一种信息安全领域中的加解密方法，特别是涉及一种高速、低资源的适用于无线通信网络的数字信息加密或解密方法。

二、背景技术：目前，移动通信技术正经历着日新月异的变化。当人们初步享受第三代移动通信网(3G)时，为了适应未来移动通信的要求，国际通信界已经开始着手研究以OFDM/MIMO技术为标识的具有更高信道带宽的B3G，4G技术。该方案是一个面向2020年的长期规划，其中很重要一部分内容即为蜂窝移动通信系统的后续演进，包括HSPA(高速分组接入)技术、LTE(长期演进)技术、4G等，而目前正在国内部署的WCDMA和TD-SCDMA也将从HSPA演进至HSPA+，进而演进到LTE。

新一代宽带无线移动通信网可支持高速移动下100Mbps，低速移动下1Gbps的传输速率，其发展目标是能够在任何时间把任何人不管在任何地方通过任何移动终端设备和通信网连接起来，用户可以用手机随时随地进行网页浏览、网上银行、视频通话、电子商务等业务。为了满足对特定数据业务(如移动加密视频通话)的需求，新一代移动通讯系统需要先进的密码技术，以满足安全、高速、便捷的要求。

加解密算法是实现安全通信的核心，可用来保证移动通信系统中信令、数据及用户身份等信息的机密性和完整性，从而实现应用层的各种安全业务。3GPP规定了在第三代移动通信系统(WCDMA标准)中，功能函数f8用于生成密钥流，通过生成的密钥流与明文(或密文)进行异或运算，完成加密(或解密)功能。功能函数f8没有强制使用固定算法，3GPP组织推荐使用KUSUMI算法的输出反馈(OFB)模式或者SNOW3G流密码算法。2005年以色列学者Biham等发现了对KASUMI的一种相关密钥方块攻击，2009年Shamir又针对该算法提出了更好的攻击方式。

2004年欧洲的ECRYPT流密码标准的征集工作启动以来，流密码的设计定位也更为清晰：一是资源极端受限的硬件领域，二是需要极高加解密速度的领域。一个精心设计、经过公开分析的流密码算法要比同级别的分组密码算法在软件实现上快3到5倍，或者需要的硬件资源仅为分组密码的1/3。这非常适合新一代移动通信网中设计面向相对受限硬件资源的高速密码算法的应用需求。同时流密码算法由于错误扩散较低或没有错误扩散，尤其适用于无线移动通信这种传输错误率较高的信道。

在新一代宽带无线移动通信网络中，各种机密、敏感、隐私数据的传输量将大大增加，这种全新的业务环境对移动通信网中密码技术的安全、速度和便捷性，提出了更高的要求。设计具有我国自主知识产权、满足新一代宽带无线通信网需求的流密码算法，对推进我国移动通信技术中安全业务的发展具有非常重要的理论及现实意义。

三、发明内容：

本发明在上述背景下，针对移动终端的特点和新一代宽带无线移动通信网的应用需求，提出一种无线通信网络数字信息加密或解密方法，可实现对数字信息加密或解密，具有加解密速度快、占用资源少、可移植性好、平台适应性强的特点。

本发明所采用的技术方案：

一种无线通信网络数字信息加密或解密方法，通过驱动组件、非线性记忆组件和非线性扩散组件执行，驱动组件采用一个基于字的σ-线性反馈移位寄存器，非线性记忆组件采用一个非线性σ-移位寄存器，非线性扩散组件由S盒构成，其特征是：所述的加密或解密方法，每执行一次包含以下三个过程：

1)组件初始化：将初始密钥值和初始向量，通过异或、循环右移逻辑运算分别植入到驱动组件、非线性记忆组件和非线性扩散组件的寄存器中；

2)空转若干步：首先空转若干步，此时不输出密钥流序列，而将输出值反馈到基于字的σ-线性反馈移位寄存器中；

3)迭代若干步：算法每迭代一步输出若干比特密钥流，数据来自驱动组件、非线性记忆组件和非线性扩散组件共三部分，通过异或和算术加运算混合后直接输出。

所述的无线通信网络数字信息加密或解密方法，作为驱动组件的基于字的σ-线性反馈移位寄存器共由5级组成，每一级32比特，设

为二元有限域，

为m维二元向量空间，字线性反馈移位寄存器指通过如下线性递归关系生成的

上的向量序列

x_n+k＝x_n+k-1A_n-1⊕…⊕x_k+1A₁⊕x_kA₀  k＝0，1，2…

其中x_k是

中的行向量，也就是基于字的寄存器的数值，n为移位寄存器的级数，可为任意正整数，A₀到A_n-1是

上的m×m阶矩阵，基本指令中的“与运算、移位运算”都可等价为上的m×m阶矩阵，⊕为异或操作。

所述的无线通信网络数字信息加密或解密方法，作为非线性记忆部分的σ-非线性反馈移位寄存器由5级组成，每一级32比特，设Z为整数环，σ-非线性反馈移位寄存器是指通过如下线性递归关系生成的

上的向量序列

x_n+k＝F(x_n+k-1，…，x_k+1，x_k)  k＝0，1，2…

其中F是环Z[σ]中的多元多项式，这里“σ”代表循环右移操作。

所述的无线通信网络数字信息加密或解密方法，是一个同步的流密码算法，初始密钥长度为128比特，初始向量长度为128比特，经过初始化及空转后，算法每迭代一步输出32比特的密钥流序列，然后将明文或密文序列和密钥流序列按比特逐位异或，输出密文或明文序列，达到加密和解密功能。

所述的无线通信网络数字信息加密或解密方法，组件初始化包括驱动组件、非线性记忆组件和非线性扩散组件的初始化，将128比特初始密钥值和128比特初始向量经过变换后填充到各组件的寄存器中，其填充方式是将128比特密钥K＝k₁₂₇，k₁₂₆，...，k₀分成4个连续的32比特，即K＝K₃K₂K₁K₀，K₃是高位32比特，K₀是低位32比特，将128比特初始向量IV＝iv₁₂₇，iv₁₂₆，...，iv₀分成4个连续的32比特，即IV＝IV₃IV₂IV₁IV₀，IV₃是高位32比特，IV₀是低位32比特，按照如下步骤进行：

A0＝K3⊕IV0；	A1＝K2⊕IV1；	A2＝K1⊕IV3；
			A3＝K0⊕0xffffffff；	A4＝K3⊕IV0⊕0xffffffff；
B0＝K1；	B1＝K2⊕IV2；	B2＝K3⊕IV1；
			B3＝K1⊕0xffffffff；	B4＝K0⊕IV3；

C0＝K2⊕rotr(IV2，16)；

C1＝～K1；

C2＝K0⊕K1⊕K2⊕K3

其中“0xffffffff”是16进制表示的一个32比特常数，rotr表示将32比特数循环右移16位。

所述的无线通信网络数字信息加密或解密方法，组件初始化后，进入16轮空转迭代，空转迭代不输出密钥流，每迭代一步，驱动组件、非线性记忆组件和非线性扩散组件每一拍各输出32比特，然后计算Key＝A₀⊕(B₀+C₀)，即为此时输出的32比特密钥流，将结果反馈到驱动组件中基于字的σ-线性反馈移位寄存器的输入部分，空转16轮后结束；然后各组件重复迭代，循环上述过程不断输出新的32比特密钥流。

所述的无线通信网络数字信息加密或解密方法，驱动组件有两种更新方式：

在空转16轮时，驱动组件按照如下的规则进行σ-线性反馈移位寄存器的状态更新：TMP_A＝(A₀＜＜1)⊕(A₀＞＞1)⊕(A₂&0x1958a23f)⊕Key；

A₀＝A₁；

A₁＝A₂；

A₂＝A₃；

A₃＝A₄；

A₄＝TMP_A；

其中“0x1958a23f”是一个16进制表示的一个常数，TMP_A为32比特字，Key为32比特密钥流输出；

生成密钥时，驱动组件按照如下的规则进行σ-线性反馈移位寄存器的状态更新：TMP_A＝(A₀＜＜1)⊕(A₀＞＞1)⊕(A₂&0x1958a23f)；

A₀＝A₁；

A₁＝A₂；

A₂＝A₃；

A₃＝A₄；

A₄＝TMP_A；

所述的无线通信网络数字信息加密或解密方法，非线性记忆组件按如下规则进行状态更新：TMP_B＝(3B₄+B₃)⊕rotr(B₀，1)⊕A₃⊕C₂；

B₀＝B₁；

B₁＝B₂；

B₂＝B₃；

B₃＝B₄；

B₄＝TMP_B；

所述的无线通信网络数字信息加密或解密方法，非线性扩散组件按如下规则进行状态更新：C₂＝A₁⊕C₀；

C₁＝B₃⊕C₂；

C₀＝S(C₁)；

其中S(C₁)表示经过S盒加线性变换的输出。

本发明的有益积极效果：

1、本发明密码算法加解密速度快、占用资源少、可移植性好、平台适应性强，通过大量的随机性测试和安全性分析，完全可以为新一代高速无线通信网络提供加解密服务。本发明针对如下指标设计了一个流密码算法：1)硬件规模在万门以内；2)加密速度可达到1Gbps；3)算法能抵抗所有已知攻击，安全强度不低于SNOW 3G算法。以先进成熟的理论和基本运算逻辑为基础，构造了自主创新的高强度的算法结构，设计原理清晰、设计方式公开、不存在任何人为安全缺陷；以国内先进的工程技术水平为前提，设计高效、实用、灵活的算法逻辑组件，所设计组件适合当前各种计算平台高速运行。

2、本发明加密算法特色及亮点主要体现在三个方面：

1)算法组件基于指令特性设计，采用自主研究的基于字的反馈移位寄存器作为加密算法的驱动部件。结合环上非线性移存器，既保证了算法的安全性，又降低了实现的复杂度。

2)采用驱动、非线性组件和记忆组件相结合的设计框架，能够有效地抵抗代数攻击和相关攻击等典型攻击，算法设计方式新颖。

3)算法适用范围广，实现可用少量基本指令完成，适合软件和硬件快速实现，而且资源消耗少，适用于低资源计算平台。

3、本发明随机性分析：

测试方法：根据密钥和初始向量的特点生成5类数据、每类数据生成3套密钥流，每套密钥流的数据量为100Mbits。

测试软件：利用NIST和DIEHARD随机性测试软件进行了测试，其标准与美国商务部国家标准技术协会(NIST)于2001年5月公布的FIPS140-2相兼容。

测试内容：完成30种随机性测试，包含NIST软件提供的15种和DIAHARD软件提供的15种随机性测试，

测试结果：测试结果表明算法具有良好的伪随机性质。

4、本发明的安全性分析：

流密码算法除了保证产生序列具有良好的伪随机性质外，还应该具有抵抗现有攻击的能力。随着密码技术的快速发展和普及应用，密码攻击方法呈现出日趋多样化的特点。当前，对流密码算法的主要攻击方法有区分攻击、相关攻击、代数攻击、猜测-确定攻击、时空折衷攻击和侧信道攻击等。通过理论推导和计算机测试相结合的方法，我们分析了所设计算法抵抗当前主流算法攻击的能力。结果表明，在现有计算资源条件下，算法抵抗多数已知攻击。

四、附图说明：

图1为本发明中初始化阶段算法框架示意图；

图2为本发明中密钥流输出阶段算法框架示意图。

五、具体实施方式：

本发明无线通信网络数字信息加密或解密方法，其具体技术方案如下，参见图1、图2：算法整体框架分为三个部分：组件A：一个基于字的σ-线性反馈移位寄存器(σ-LFSR)，作为算法的驱动部分，该σ-LFSR共有5级，每一级32比特。σ-LFSR是设计者自主提出的一类基于字的特殊类型的反馈移位寄存器，详细研究结果参见公开文章。组件B：一个非线性σ-移位寄存器，作为算法的非线性记忆部分，它仍由5级组成，每一级32比特。组件C：S盒部分，利用高级加密标准AES中的S盒加线性变换实现。

算法执行一次包含以下三个过程：

1)组件初始化。算法将128比特密钥值和128比特初始向量经过一系列变换后填充到各部件的寄存器中，填充方式见填充方式说明；

2)空转16轮。算法每迭代一步，组件A、组件B、组件C各输出32比特，然后计算Key＝A₀⊕(B₀+C₀)，将结果反馈到组件A中σ-LFSR的输入部分，更新方式见更新方式说明，空转16轮后结束(根据使用环境选择空转的轮数，一般选择16轮，或者选择16的整数倍)；

3)生成密钥流。算法每迭代一步，组件A、组件B、组件C各输出32比特，然后计算Key＝A₀⊕(B₀+C₀)，此即为此时输出的32比特密钥流。然后各组件重复迭代，循环上述过程输出新的32比特密钥流。

三个组件A、B、C每一拍各输出32比特数据，通过基本的逻辑运算和算术加生成此时的32比特密钥流。算法首先完成初始化工作，包括三部分：A组件移存器初始化，B组件记忆部件初始化和C组件初始化然后，进入16轮空转迭代(不输出密钥流)，然后进行正常密钥流输出迭代，在每次迭代输出32比特密钥流序列(迭代的步数具体根据用户需求而定)。

填充方式说明：

寄存器的初始化是将128比特密钥K＝k₁₂₇，k₁₂₆，...，k₀分成4个连续的32比特，即K＝K₃K₂K₁K₀，K₃是高位32比特，K₀是低位32比特。将128比特初始向量IV＝iv₁₂₇，iv₁₂₆，...，iv₀分成4个连续的32比特，即IV＝IV₃IV₂IV₁IV₀，IV₃是高位32比特，IV₀是低位32比特按照如下步骤进行：

A0＝K3⊕IV0；	A1＝K2⊕IV1；	A2＝K1⊕IV3；
			A3＝K0⊕0xffffffff；	A4＝K3⊕IV0⊕0xffffffff；
B0＝K1；	B1＝K2⊕IV2；	B2＝K3⊕IV1；
			B3＝K1⊕0xffffffff；	B4＝K0⊕IV3；
C0＝K2⊕rotr(IV2，16)；	C1＝～K1；	C2＝K0⊕K1⊕K2⊕K3

其中“0xffffffff”是16进制表示的一个32比特常数，rotr表示将32比特数循环右移16位。

更新方式说明：

组件A的两种更新方式

组件A在算法空转16轮和开始生成密钥的状态更新有所不同。空转16轮时，按照如下的规则进行σ-LFSR的状态更新：

TMP_A＝(A₀＜＜1)⊕(A₀＞＞1)⊕(A₂&0x1958a23f)⊕Key；

A₀＝A₁；

A₁＝A₂；

A₂＝A₃；

A₃＝A₄；

A₄＝TMP_A；

其中“0x1958a23f”是一个16进制表示的一个常数，TMP_A为32比特字，Key为32比特密钥输出。

生成密钥时，按照如下的规则进行σ-LFSR的状态更新：

TMP_A＝(A₀＜＜1)⊕(A₀＞＞1)⊕(A₂&0x1958a23f)；

A₀＝A₁；

A₁＝A₂；

A₂＝A₃；

A₃＝A₄；

A₄＝TMP_A；

组件B的更新方式

B部件由非线性移位寄存器构成，按如下规则进行状态更新：

TMP_B＝(3B₄+B₃)⊕rotr(B₀，1)⊕A₃⊕C₂；

B₀＝B₁；

B₁＝B₂；

B₂＝B₃；

B₃＝B₄；

B₄＝TMP_B；

组件C的更新方式

C部件由1个32进32出的S盒构成，按如下规则进行状态更新：

C₂＝A₁⊕C₀；

C₁＝B₃⊕C₂；

C₀＝S(C₁)；

其中S(C₁)表示经过S盒加线性变换的输出。此处32进32出的S盒可通过查询4张8进32出、大小为1KB的表实现。

术语及符号说明：

一步迭代：即移存器按规则运动一步并输出32比特密钥流序列。

数据描述格式：左高右低方式。

数据存贮格式：小数在前的格式存储，即字的低位字节放在低地址字节上。

符号的含义：

Claims (2)

1.一种无线通信网络数字信息加密或解密方法，通过驱动组件、非线性记忆组件和非线性扩散组件执行，驱动组件采用一个基于字的σ-线性反馈移位寄存器σ-LFSR，该σ-LFSR共有5级，每一级32比特；非线性记忆组件采用一个非线性σ-移位寄存器，它仍由5级组成，每一级32比特；非线性扩散组件由S盒构成；其特征是：所述的加密或解密方法，每执行一次包含以下三个过程：

1)组件初始化：

将初始密钥值和初始向量，通过异或、循环右移逻辑运算分别植入到驱动组件、非线性记忆组件和非线性扩散组件的寄存器中；组件初始化包括驱动组件、非线性记忆组件和非线性扩散组件的初始化，将128比特初始密钥值和128比特初始向量经过变换后填充到各组件的寄存器中，其填充方式是将128比特密钥K＝k₁₂₇，k₁₂₆，...，k₀分成4个连续的32比特，即K＝K₃K₂K₁K₀，K₃是高位32比特，K₀是低位32比特，将128比特初始向量IV＝iv₁₂₇，iv₁₂₆，...，iv₀分成4个连续的32比特，即IV＝IV₃IV₂IV₁IV₀，IV₃是高位32比特，IV₀是低位32比特，按照如下步骤进行：

其中“0xffffffff”是16进制表示的一个32比特常数，rotr表示将32比特数循环右移16位；

2)空转若干步：

组件初始化后，进入16轮空转迭代，每迭代一步，驱动组件、非线性记忆组件和非线性扩散组件每一拍各输出32比特，空转迭代不输出密钥流，而将输出值反馈到基于字的σ-线性反馈移位寄存器中；

在空转16轮时，驱动组件按照如下的规则进行σ-线性反馈移位寄存器的状态更新：

A₀＝A₁；

A₁＝A₂；

A₂＝4₃；

A₃＝A₄；

A₄＝TMP_A；

其中“0x1958a23f”是一个16进制表示的一个常数，TMP_A为32比特字，Key为32比特密钥流输出；

非线性记忆组件按如下规则进行状态更新：

$\mathrm{TMP}\_B=({3B}_4+B_3)\⊕\mathrm{rotr}(B_0,1)\⊕A_3\⊕C_2;$

B₀＝B₁；

B₁＝B₂；

B₂＝B₃；

B₃＝B₄；

B₄＝TMP_B；

非线性扩散组件利用高级加密标准AES中的S盒加线性变换实现，按如下规则进行状态更新：

$C_2=A_1\⊕C_0;$

$C_1=B_3\⊕C_2;$

C₀＝S(C₁)；

其中S(C₁)表示经过S盒加线性变换的输出；

然后计算

将结果反馈到驱动组件中基于字的σ-线性反馈移位寄存器的输入部分，空转16轮后结束；

3)迭代若干步：

算法每迭代一步输出若干比特密钥流，数据来自驱动组件、非线性记忆组件和非线性扩散组件共三部分，计算

此即为此时输出的32比特密钥流；然后各组件重复迭代，循环迭代过程输出新的32比特密钥流；

生成密钥时，驱动组件按照如下的规则进行σ-线性反馈移位寄存器的状态更新：

A₀＝A₁；

A₁＝A₂；

A₂＝A₃；

A₃＝A₄；

A₄＝TMP_A；

非线性记忆组件和非线性扩散组件的更新方式和空转阶段相同；

前述A₀～A₄为驱动组件的寄存器，B₀～B₄为非线性记忆组件的寄存器，C₀～C₂为非线性扩散组件的寄存器。

2.根据权利要求1所述的无线通信网络数字信息加密或解密方法，其特征是：初始密钥长度为128比特，初始向量长度为128比特，经过初始化及空转后，算法每迭代一步输出32比特的密钥流序列，然后将明文或密文序列和密钥流序列按比特逐位异或，输出密文或明文序列，达到加密和解密功能。

Images