CN102360414A

CN102360414A - 一种可修正伪随机序列的可误导的加密方法

Info

Publication number: CN102360414A
Application number: CN2011103017744A
Authority: CN
Inventors: 王勇
Original assignee: Guilin University of Electronic Technology
Current assignee: Guangxi create information technology Co., Ltd.
Priority date: 2011-09-27
Filing date: 2011-09-27
Publication date: 2012-02-22
Anticipated expiration: 2031-09-27
Also published as: CN102360414B

Abstract

本发明针对密钥的窃取、对密钥持有人的挟持、软磨硬泡攻击和唯密文攻击等攻击，发明涉及一种具有误导功能的加密方法，应用该方法加密可以很容易得到伪密钥，从而可以误导密码分析者，这种误导是决定于内层密钥的，它包括产生密钥流的信息和修正信息，利用修正信息可以根据实际需要增强误导的有效性。对于文档中的标记采用特别的处理方式，使得即使规定的标记可能出现在文本中，依然不会混淆。加密的时候需要有一个关键词数据库，其内层加密利用数据库进行关键词的扩充，外层加密采用了传统的加密方法。本方法解密时无需数据库的支持，避免了数据库同步的问题。本发明在各种场合加密应用中均具有一定的使用价值，特别是军事上。

Description

一种可修正伪随机序列的可误导的加密方法

技术领域

本发明属信息安全领域，涉及一种加密方法，特别是一种可以修正伪随机序列的，具有误导功能的加密方法。

背景技术

现有的大多数密码算法得到的密文用错误的密钥解密得到有意义明文的概率非常小，这种能够得到有意义明文的错误密钥，称为伪密钥。随着密文的增加，伪密钥的数量会逐步减少。伪密钥会减少到最后只剩下唯一一个密钥，这会威胁密码体制的安全。唯一解距离是当密文的用不同的密钥去尝试，只能得到一个有意义明文的密文的长度，实际上唯一解距离的估计公式没有考虑那个真正的密文必然地存在，不受明文冗余度的影响，有一定的偏离，但是依然是一个值得考虑的指标。Shannon定义理想保密为唯一解距离为无限长，而一般现实的密码体制是不能达到理想保密的，即随着密文的长度增加，得到有意义的明文数最终趋向于一。虽然Shannon以上分析具有很大理论价值，但是由于实现的困难，密码分析者很少沿着这个方面做，现有的密码分析和编码被没有考虑这些因素，只有少量的研究是将量子密码学与一次一密体制结合起来进行研究。当前的密码分析主要是考虑有限计算能力背景下的计算安全为主，对于算法的这类安全性研究的非常深入，考虑了各种各样的情况下的分析，不仅有直接对算法的分析，而且有基于实现的分析。在分组密码分析方面已经有很多分组密码分析技术，如强力攻击(包括穷尽密钥搜索攻击、字典攻击、查表攻击、时间-存储权衡攻击)、差分密码分析、线性密码分析、差分-线性密码分析、插值攻击、相关密钥攻击、Multiset攻击、reflection攻击、自相似攻击、能量分析、错误攻击、定时攻击等等。序列密码分析方面主要的分析方法有线性校验子分析方法机器改进分析方法、线性一致性测试分析、分别征服分析、最佳仿射逼近分析、快速相关分析方法、多输出前馈网络密码系统的分析、收缩序列的分析等，而公钥密码相关的分析方法主要是针对所采用的难题降低其难度。这些分析方法中有许多都是在很难具备的条件下实施的(比如截获明文密文对、截获密码机、靠近密码机、临时使用密码机、获得不应当为密码分析者获得的特别信息等)，且研究非常深入。当然针对于无限的计算能力，一次一密体制具有很好的安全性，但是，它也泄露明文的长度，而且需要的密钥和明文等长度，分配长密钥也是一个很不现实的问题。

由于加密中运用了大量的复杂混淆扩散和加上语义信息的高度冗余，现代密码体制中的分组密码或者流密码体制中若采用错误密钥进行解密的时候往往得到的是没有意义的乱码，可以被排除。即使大量的密钥中存在伪密钥，可以解密出有意义的伪“明文”来，但是密码分析者可能根据已经知道的信息和接受发送双方的情况来判断大部分伪明文(错误密钥得到的有意义的明文)不是真正的明文，实际上能够让密码分析者考虑的伪密钥非常少。这导致密码分析者非常相信能够解密得到有实际意义和符合通信语境的“明文”的密钥就是那个真正的密钥，实际上一个密钥如果符合上述条件，它是真正密钥的概率非常大。在软磨硬泡攻击情形下，给出的密钥对于密码分析者具有可信性，因为密钥持有者想要伪造一个符合通信语境，可以被密码分析者信赖的伪密钥非常困难，而且在被劫持等情形中，很短时间内没有计算设备的情况下他无法计算出来。为了能够很容易找到伪密钥，并且能够有意误导密码分析者，有必要加密时对于文件内容予以识别并且以语言的字、词等结构为单位根据语义进行加密。

研究表明：实际上大多数现代密码算法的唯一解距离都是较短的，比如针对现代的较长的256bit长密钥的分组密码算法，ASCII文本加密算法的唯一解距离才是37.6个字符，显然获得大大超过37.6个字符的密文的条件是很容易达到的，加上背景信息的限制等，针对具体情况的真正的得到唯一解的距离还会短。目前研究尚未涉及到设计唯一解距离较长的加密算法。

在密码分析中，有一种软磨硬泡(Rubber-hose)攻击。在此分析中密码分析者威胁、勒索，或者折磨某人，直到他给出密钥为止，类似的还有行贿购买密钥攻击。这些都是非常有效的攻击，并且经常是破译算法的最好途径。常见的密码分析已知明文攻击、选择明文和选择密文攻击都需要非常巨大的资源而且必须拥有一些难于获取的已知信息，往往在现实上不可能实现，但是软磨硬泡攻击却非常容易实现。抗击软磨硬泡攻击并没有最好途径，只能给一个伪密钥或者让密码分析者不信任密钥。

设计具有误导功能的加密方法，意义如下：(1)具有误导功能的加密方法可以对抗软磨硬泡攻击，或者是碍于其他的压力，包括权势、情面等情形，特别是在军事环境中有非常重要的意义。由于其他密码分析方法的条件难于获得，现实中软磨硬泡攻击经常是破解算法的最好途径，所以其价值是很现实的。(2)可以对抗无限计算能力或者很强的计算能力下的各种密码分析，乃至于唯密文分析。(3)在密钥可能被盗取情况下，可以用伪密钥作为诱饵误导对方。这个也是具有很强的现实意义，现实中黑客和木马可能窃取我们的密钥文件及其加密的口令。(4)可以主动去误导对方，错误密钥可以得到有意义的明文去误导对方，并且用伪密钥可以得到各种相近、相反的“明文”相比较原始明文具有一定的“抵消”作用，让密码分析者无所适从。(5)理论上可以达到理想保密。

要求对称加密算法伪密钥数量多，而且容易找到伪密钥，就要转变算法设计的思路。这样的算法具有误导功能，比如在密钥可能被窃取的时候，可以用伪密钥作为诱饵，在受到软磨硬泡攻击的时候，可以交出伪密钥。在对方进行唯密文分析的时候，无法确定真正的密钥。在这方面，发明人采用类似于选择题加密的方法设计了一种具有误导功能的算法。为了减少密钥实际长度，采用流密码算法来产生密钥流用于加密关键词的编号，密钥流有一定的不可控性，采用一定的修正方法来根据需要修正伪明文中的关键词，达到较适合现实需要的伪明文。

发明内容

本发明旨在克服现有技术的不足之处，以及误导功能实现的一些难题，而提供一种方便、实用的具有误导功能的加密算法。为了各种安全性的考虑，我们包含了外层和内层两层加密，分别达到传统的密码安全特征和在特殊背景下能够很容易计算出伪密钥的安全特征。

为具备误导功能，在本发明中，设计了采用类似选择题加密方式，它需要有一个关键词数据库，加密的时候，打开文件，读取文本的内容，加密时候把关键词替换成为一个扩充项，扩充项把许多相近、相对的关键词放在一起，用标号加以标记，正确的选择项给予正确的标号，解密时进行运算判断哪个选择项是真正的关键词。显然这样的加密具有上述的迷惑和误导作用，并且很容易寻找到伪密钥，具有密钥可信度低的优点。

为了使得加密密钥不要太长，而且具有很好的安全性，采用了对称密码作为加密的子密钥生成器，这样的一个序列是伪随机的。

为了让伪随机序列可以在某些特定的情况下进行修改以适应需求，设置了一种可以修改的伪随机密钥结构，对子密钥生成器的密钥在需修正的特定部位根据需要做一定的修改。

为了减少密文的冗余，采用了尽量紧凑的编码格式，扩充的时候已经将关键词嵌入了密文中，解密的时候无需相应的数据库即可解密，避免了数据库同步的问题。

许多时候，明文中可能出现任意的字符(编码)，而加密的时候，需要做一定的编辑区分不同的内容，而标记又可能与原文相混淆，在本发明中做一定的处理。本发明中需要的若干标记应当选择出现概率较小的符号，而且标记不能出现在关键词中。这些标记如果出现在原文中，或者连续相同的标记出现在原文中，加密的时候，需要在标记前添加一个相同标记，对应的内层的加密则需要判断是否出现了几个相同的标记，如果重复出现相同标记，则不当做标记处理，而是直接增加一个标记，连续的重复标记都不当做标记，而且2个以上的连续标记只增加一个标记。

解密的时候，连续的重复标记都不当做标记，只有标记后面不是同一标记才被认为是标记。如果重复出现相同标记，则不当做标记处理，而是直接减少一个标记，而且2个以上的连续相同标记只减少一个标记。

为了使得伪密钥很容易计算，加密是基于语义的。为了达到语义加密的功能，我们需要打开文件，对文本进行读取、识别和加密代换。

考虑到关键词数据库可以是不一样的，可能随时改变，或者有多个版本，所以在算法在设计的时候考虑解密的时候不需要数据库，以免出现关键词数据库无法同步等问题。在无需关键词数据库解密的情况下，也通过尽量压缩扩充项，对密文的长度做了压缩，即对一般的选择题的数据结构进行了压缩。

本加密方法出于多种安全性的考虑，相对复杂。整个加密解密的全过程如图2所示。

本加密方法的加密步骤为：打开文件，根据文本内容进行内层加密，然后保存文件，对文件进行外层加密。

内层加密类似于编制选择题，外层的加密是传统的对称加密。

在内层加密中，系统需要有一个关键词的数据库，这个数据库中存储着许多关键词，将同样一类可以替换的相近、相反意义的关键词放在一组中，比如星期一、星期二、星期四，……，之类的。每一组关键词中的每一个关键词都有一个在本组中唯一的编号。在设计关键词数据库的时候，保证互相不要重复、重叠，当然这也带来了一定的局限。当然也可以在采用一定的判断规则或者自然语言理解的情况下，完全可以取消这些对关键词的限制，但是要能够保证加密的时候能够确定文本的关键词的分词，以及一个关键词同时属于多个组的时候，能够根据上下文判断文本中的关键词的意义应该属于哪一组。在进行了自然语言理解的判断理解后再进行内层加密。

系统的总密钥包括外层密钥和内层密钥。外层密钥长度是固定的，内层密钥长度是可变的。为了达到对伪随机密钥流的修改，在内层密钥中附加一些特定的信息，确定对密钥流修改的位置，以及如何修改。内层密钥的结构分为两部分，其前面的固定长度的部分为产生密钥流的密钥。随后会出现若干个固定长度的分组信息，用于修改特定位置的密钥流，我们称为修正块。这些固定长度的修正块的数目n是可以随意选择的，也可以完全不需要，但是为了达到比较好的误导效果，防止暴露破绽，一般这个修正块的数目n最好与在相同长度的明文(密文)下，随机选取一个内层的伪密钥需要对密钥流进行修改的平均数目接近。每一个修正块的结构为，前面为需要修改的密钥流的相对位置，这个相对位置是用从文本的开始，每一个关键词依次按照1，2，3，这样的顺序编号，这个编号即为相对位置，需要修改密钥流所对应的关键词的相对位置编号即为分组信息的前面一部分信息，其后面一部分信息即为密钥流的修改值M，M最终参与对应位置的关键词的内层的加密和解密计算，起到修正关键词的作用。

加密流程如下：

(一)首先是打开文件，读取文本的内容，准备进行内层加密。

(二)内层加密，内层加密的具体方式如下：在进行本层加密时，逐个扫描文本中的字符是否存在关键词数据库中已有的关键词。在扫描过程中，A)、如果文本中没有关键词，也没有出现标记，则直接输出原文本，扫描的指针指向输出的文本之后；B)、如果扫描遇到的是标记，则在输出所有的连续的相同的标记的同时，增加一个相同的标记，并且让扫描的指针指向这些相同的连续标记之后。C)、如果遇到关键词，需要对关键词进行计数，从1开始计数编号，然后将关键词替换为扩充项，为了减少冗余，我们对扩充项的处理如下：为了便于解密，需要对于扩充项、选择项和标号加以标记和区分，可选择3个在文本中出现概率较低的符号分别作为扩充项的起始标记S、分隔标记D和结束标记F，标记不能是关键词或者关键词的一部分。扩充项的格式为：起始标记S||确定关键词的代号密文T||分割标记D||关键词一||D||关键词二||…||分割标记D||关键词n||结束标记F。T是根据内层密钥结合关键词在文本中的位置得出的一个可以获得正确原明文关键词的数据，是根据内层密钥计算出来的，计算的算法必须是安全的，不可逆的，以保证即使某个T以及相对的关于明文的信息泄露，内层密钥的相关其他信息依然是在有限计算能力下保密的。||表示将数据合并衔接起来。

内层加密需要相应的密钥，是从总密钥中截取的一部分。由于外层密钥是固定长度的，因此，截去了外层密钥即为内层密钥。

(三)内层加密得到了新的文本，将文本保存到过渡的密文文件中。

(四)进行外层加密，得到最终密文。为了保证安全性，仅仅进行一次上述的加密是不够的，虽然许多信息具有迷惑性，由于语言本身的复杂性、数据库的识别能力和有效性未必很强，一些没有被替换的词直接泄漏了，此外由于上述加密的处理过程中对于关键词识别的时候存在部分误判，也对于安全性有一定影响。为加强安全性对过渡的密文文件进行外层的加密，得到最终的密文。这个加密采用传统的加密方法进行，选择一组对称加密方法即可。

解密为一个相反的过程：解密过程中，首先将最终的密文用传统的对称密码算法进行相应的解密，得到过渡的密文文件，其次要将得到的过渡文件进行内层的解密。当进行这层解密的时候，先打开文件或者输入外一层解密的内容，读取和识别内容，1)如果既不是标记，又不是关键词，则直接输出原文，指针指向下一个字；2)如果遇到扩充项的起始标记，且有连续重复的相同标记，则说明不是真正标记，去掉一个标记，直接输出这些连续的标记；3)如果遇到的标记为起始标记且不重复，则判断为扩充项。读取起始标记S后面的T，并且数结束标记F之前的分割标记D的数目，这个数目即为这一组关键词中对应的关键词数n，然后根据内层密钥，以加密所采用的不可逆函数，可以确定到底是第几个关键词是原明文的关键词，将扩充项用这一关键词代替，指针指向结束标记之后。最后将所有输出的文档内容保存到相应的文档或者直接输出。

伪密钥的获取：加密解密中有两个密钥，要获取伪密钥，可以将外层分组密码的密钥不变，然后任意选取迷惑与误导加密层的内层密钥中的前面的固定长度的产生流密码部分的密钥，产生密钥流，不考虑修正，进行解密，这时阅读文本，是否有不如意(比如不合理、暴露破绽、认为误导效果不好)的关键词，然后根据将这些不如意的地方修改为自己满意的关键词，并且记下这些关键词的位置和修改的密钥值，以此在内层密钥的后面部分附加修正的密钥信息。这样形成了最终的内层密钥，用这个密钥配合正确的外层分组密码密钥就是一个伪密钥。

在受到密码分析者的密码分析的时候，密码分析者根据不同的内层密钥是可以得到不同的有意义明文的，加上这些不同密钥得到的明文的一样也可能与原来明文相近、相反的意义，所以很吻合通信背景，密码分析者也无法确定真正密钥。

目前计算机的计算能力越来越强大，通信能力，信道的容量也越来越大。这使得复杂的加密可以得以实施，本发明在一定的程度上会增加一定的计算量，带来一定的冗余，但是在目前一般情况下，我们的计算能力、信道容量和存储能力往往被闲置，因此，这些一般不会给实现带来麻烦。

附图说明

图1是本发明的内层加密处理的流程图

图2是本发明的整体加密解密的全过程图

图3是本发明的实施例内层密钥的结构图

具体实施方式

下面是本发明的实施例，但是，本发明并不限于实施例。

在具体实现的时候，规定总密钥的不同部分分别用于内层和外层加密，外层密钥为固定长度，根据外层加密采用的算法来决定，比如外层加密算法采用256位的AES加密。密钥的最前面256bit为外层密钥，其余为内层密钥。内层加密中为了保证不可逆性，采用一种流密码算法，比如可以采用256bit的流密码算法，内层密钥的前256bit为流密码算法的密钥，对应附图3的产生密钥流部分，密钥的剩余部分是用于修正密钥流的，其前面部分为关键词的位置信息，根据关键词的排序计数s来定位，后面部分为修改的值rs，两者均为固定长度，前者根据文件中最大关键词数M来确定，取值应该大于log₂M，后者根据关键词数据库中同一组关键词的最大数目N来定，取值应该大于log₂N，为了方便计算机处理，一般采用字节为单位。

文件加密流程如下：

1)加密过程中要根据文件的类型，用相应的软件打开文件读取其内容，比如，txt文件的加密，就先用记事本方式打开文件，读取其文本内容，准备进行内层加密。

2)内层加密，内层加密的具体方式如说明书附图1所示。为了便于解密，需要对于扩充项、选择项和代号加以标记和区分，可选择3个在文本中出现概率较低的符号分别作为扩充项的起始标记S、分隔标记D和结束标记F，标记不能是关键词或者关键词的一部分。扩充项的格式为：起始标记S||确定关键词的代号密文T||D||关键词一||D||关键词二||…||D||关键词n||F。T是根据内层密钥结合关键词在文本中的位置得出的一个可以获得正确原明文关键词的数据，举如下例子来说明其计算方法：

当遇到某个关键词如“今天”并且在数据库中查实它是关键词，那么就根据数据库的数据，将与之相关的一组关键词为明天、今天、后天、昨天、前天等，将它们嵌入作为一个扩充项，在这一组中，所有关键词有固定的顺序，并且依次编号作为解密用的代号，从0到n-1依次编号，这个编号决定于它们在这组关键词中的次序。比如，以0标记今天，1标记后天，2标记昨天，3标记前天，4标记明天。加密的时候，采用流密码算法产生密钥流，将密钥流按照每一个比特截取下来，按照顺序分配给在文本序列中的各个关键词作为子密钥k，第s个关键词分配k_s，假设明文中关键词在数据库中对应的一组的编号是H，在这一组中的独立编号是a，这一组中关键词的数目为n，m表示修改值，一般的情况下修改的信息没有涉及到本位置的关键词，则m＝0，如果修改的信息中前面的定位信息刚好是本关键词的位置(这个位置是对所有的关键词依次从1开始计数来确定的)，则m＝r_s，r_s为修改密钥流部分中的后面的部分，可以计算出这一个扩充项的代号密文T＝k_s+a+mmod(n)。我们在这里可以看到，完全无需关键词数据库，就可以解密。

3)内层加密得到了新的文本，将文本保存到过渡的密文文件中。

4)进行外层的加密得到最终密文。为加强安全性对过渡的密文文件进行外层的加密。这个加密采用传统的AES算法进行加密。

解密为一个相反的过程，文件解密流程如下：

解密过程中，首先对于外层的对称密码加密进行相应的解密，得到过渡的密文文件，其次要将得到的过渡文件用记事本打开，读取其文本内容，对于扩充进行内层的解密。当进行这层解密的时候，先打开文件或者输入外一层解密的内容，读取和识别内容，A)如果遇到的不是标记，也不是关键词，直接输出；B)如果遇到重复的起始标记则不认为是起始标记，去掉一个标记后将遇到的连续的相同的标记输出；C)如果遇到单独的标记，则认定是扩充项。第s个扩充项的起始标记读取相应的起始标记S和D之间的T，然后读取结束标记之前的D的数目，即可得到n，然后根据内层密钥可以确定m和k_s，根据H查找对应的一组关键词，然后计算a＝(T-m-k_s)mod(n)这样就可以确定到底是这一组中的哪一个关键词。解密时没有遇到标记的非扩充项部分直接输出，遇到标记则用上述的方法找出正确选择项，作为输出，最后将所有输出的文档内容保存到相应的文档或者直接输出。

这样我们也可以根据前面提到的方法获取伪密钥，得到有意义的明文，而且可以根据自己的意图得到满意的“伪明文”。

Claims

1.一种可修止伪随机序列的可误导的加密方法，其特征在于包括以下处理步骤：

A.打开文件，读取文本内容；

B.根据文本内容进行内层加密，内层加密主要涉及到关键词的扩充和文本中出现的与标记相同的符号的处理；

C.保存文件，得到过渡密文文件；

D.对文件进行传统的对称算法的外层加密；

E.计算伪密钥：如果有需要，可以计算伪密钥，备用或者作为诱饵，在受到胁迫的时候可以交出伪密钥，其中外层密钥是不变的。对方在做密码分析的时候，由于可以找到许多伪密钥，所以无法判断谁是正确密钥。

2.如权利要求1所述的具有误导功能的加密方法，其特征在于：在所述步骤B当中采用一个关键词数据库进行加密，将原文本中的关键词替换为扩充项，有点类似于设计选择题，但是为了压缩数据有一定的改变。关于关键词的扩充按照如下方法处理：为了便于解密，需要对于扩充项、选择项和标号加以标记和区分，可选择3个在文本中出现概率较低的符号分别作为扩充项的起始标记S、分隔标记D和结束标记F，注意标记不能是关键词或者关键词的一部分。扩充项的格式为：起始标记S||确定关键词的密文T||分割标记D||关键词一||D||关键词二||…||分割标记D||关键词n||结束标记F。T是根据内层密钥结合关键词在文本中的位置得出的一个可以获得正确原明文关键词的数据，是根据内层密钥计算出来的，计算的算法必须是安全的，不可逆的，可以采用流密码算法产生，以保证即使T以及相对的关于明文的信息泄露，内层密钥的相关信息依然是在有限计算能力下保密的。||表示将数据合并衔接起来。关键词已经嵌入密文中，解密时候无需数据库，只需通过密钥计算出所对应的明文关键词即可。

3.如权利要求1所述的具有误导功能的加密方法，其特征在于：在所述步骤B当中为了有效区分正常文本和若干标记，采用如下方法做处理：在选择标记对应的符号的时候，选择文本中出现概率较小，而且不出现在关键词中的符号作为标记。这些标记如果出现在原文中，或者连续相同的标记出现在原文中，进行内层加密的时候，需要在标记前添加一个相同标记，对应的内层的加密还需要判断是否出现了几个连续相同的标记，如果重复连续出现相同标记，则后面的标记不当做标记处理，而是当做一个整体直接增加一个标记，即连续的重复标记都不当做标记，而且2个以上的连续标记只增加一个标记。解密的时候，连续的重复标记都不当做标记，只有标记后面不是同一标记才被认为是标记，即如果是多个连续重复标记，只减少一个该标记。

4.如权利要求1所述的可以修正伪随机序列的具有误导功能的加密方法，其特征在于在所述步骤B当中为了保证抵御潜在的泄露明文密文对相关的情况下的安全性，采用流密码算法来产生内层加密的某些编码代号，防止泄露部分信息。而为了避免因为是密钥流而非随机数造成的不能有效误导的问题，增加了修正信息，其结构包括定位信息和修正值，对流密码产生的子密钥根据需要进行修正，消除了流密码序列的不可控性。

5.如权利要求1所述的可以修正伪随机序列的具有误导功能的加密方法，其特征在于产生伪密钥的方法为：外层密钥不变，内层密钥变动后，解密密文即可得出有误导意义的“伪明文”来。如果伪明文满意，即可不用附加修正信息，但是如果伪明文可能有些关键词的替换并不让人满意，在密钥后面附加相应的定位信息和修正值，这样可以在得到的伪明文中，相应的关键词刚好是最需要误导对方的，这样补充了修正信息的伪密钥就能具有很好的误导效果。