CN104113543A

CN104113543A - 一种基于分组密码的消息鉴别方法

Info

Publication number: CN104113543A
Application number: CN201410344852.2A
Authority: CN
Inventors: 张立廷; 吴文玲; 眭晗
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2014-07-18
Filing date: 2014-07-18
Publication date: 2014-10-22
Anticipated expiration: 2034-07-18
Also published as: CN104113543B

Abstract

本发明提供了一种基于分组密码的消息鉴别方法。本方法为：1)消息发送者S和消息接收者R共同确定一安全强度参数d，共享密钥K0,K1,…Kd，并约定分组密码算法E、矩阵A_W×d、矩阵B_d×L和d个互不相同的n比特常数Cst_j；2)S和R分别计算R_j＝E(K0,Cst_j)；然后将矩阵A与向量[R₁,R₂,…,R_d]^T相乘，得到向量[X₁,X₂,..，X_w]^T；3)S对消息M填充后分为L块长为n比特的数据块；4)S计算E(K0,M_i⊕X_i)＝Z_i；将矩阵B与向量[Z₁,Z₂,…,Z_L]^T相乘得到向量[S₁,S₂,…,S_d]^T；然后分别使用密钥K1,K2,…,Kd结合算法E对向量[S₁,S₂,…,S_d]进行d轮分组加密；并将d轮计算结果的和作为该消息M的标签T；5)S将(M，T)发送给R；R计算该消息M的标签T’；如果T＝T’，则接受该消息M。本方法能够保护数据的完整性及起源认证。

Description

一种基于分组密码的消息鉴别方法

技术领域

本发明主要应用于通信领域，具体涉及一种基于分组密码的消息鉴别方法，可用于实现通讯中对传输数据的完整性检测或者起源认证。

背景技术

数据的完整性保护和起源认证是远距离通信追求的目标之一，通信双方可在共享密钥的前提下借助于消息鉴别码算法实现这些功能。

消息鉴别码MAC(Message Authentication Code)属于对称加密的范畴，要求使用双方首先共享一个密钥K。在发送消息M之前，发送者首先计算T＝MAC(K,M)，然后把(M，T)发送出去。在收到(M，T)之后，接受者计算T’＝MAC(K,M)，并比较是否T＝T’。若是，则认定消息M合法(M在传输过程中没有被篡改，且确实来自于授权的发送方)；若否，则认定消息M非法，并拒绝使用消息M。

常见的消息鉴别码算法有四大类，前三类分别采用分组密码、杂凑函数和泛杂凑函数，第四类是直接设计的算法。在采用分组密码的消息鉴别码算法中，CBC-MAC是最早的一个，其基本结构如图1。

但是，CBC-MAC有一个缺陷，它不能够安全地处理不同长度的消息。为此，人们后来提出了不少改进版本，如EMAC、XCBC、TMAC、OMAC、PMAC、GCBC、XOR-MAC等等。这些后续算法，都能够安全地处理不同长度的消息，但在效率方面(密钥量、内存、状态量依赖、调用分组密码次数等)各有差异。

发明内容

本发明的目的在于提出一种基于分组密码的消息鉴别方法，该算法允许用户通过选择安全参数d以决定需要的安全强度(d越大则算法安全性越强)，还能够以全并行的方式调用底层分组密码，以此提高整体效率。

为了实现本发明的目的采用的技术方案概述如下：

一种基于分组密码的消息鉴别方法，其步骤包括三个阶段：

首先通信双方S和R选择安全强度参数d(为一个正整数)，共享密钥K0,K1,…Kd，并约定分组密码算法E(其分组长度为n比特)和d个互不相同的n比特常数Cst_j，其中j＝1,2,…,d_j。

预计算阶段(发送者S和接收者R都需要操作)：

1.1)计算R_j＝E(K0,Cst_j)，j＝1,2,…,d；

1.2)将矩阵A_W×d与向量[R₁,R₂,…,R_d]^T相乘，即A_W×d×[R₁,R₂,…,R_d]^T＝[X₁,X₂,…,X_w]^T；

标签生成阶段(发送者S操作)：

2.1)填充消息M；

2.2)将填充后的消息M分块，得到L块数据块；

2.3)加密数据块，即E(K0,M_i⊕X_i)＝Z_i；i＝1,2,...,L；

2.4)将矩阵B_d×L与向量[Z₁,Z₂,…,Z_L]^T相乘，即B_d×L×[Z₁,Z₂,…,Z_L]^T＝[S₁,S₂,…,S_d]^T；

2.5)分别使用密钥K1,K2,…,Kd结合分组密码E以CBC-MAC(分组密码链接模式的消息鉴别码)的方式处理向量[S₁,S₂,…,S_d]；

2.6)计算T＝N(d,1)⊕N(d,2)⊕…⊕N(d,d)；

2.7)将(M，T)发送给R。

标签接收阶段(接收者R操作)：

3.1)在收到(M，T)之后，R首先重复操作步骤2.1至2.5；

3.2)计算T’＝N(d,1)⊕N(d,2)⊕…⊕N(d,d)；

3.3)R验证是否T’＝T。若是，则接受消息M；若否，则认为消息M完整性被破坏或者认为M不是由S发送，拒绝消息M。

所述步骤1.2)中的矩阵A_W×d大小由参数W和d决定，其中d为安全强度参数，为一个正整数，由通信双方S和R事先选定，W应该大于任何消息M的分块块数L，即W>L；

所述步骤1.2)中的矩阵A_W×d与向量[R₁,R₂,…,R_d]^T的乘法在有限域GF(2ⁿ)上进行，其中GF(2ⁿ)可由任何一个GF(2)上的n次本原多项式决定；

所述步骤1.2)中的矩阵A_W×d应该满足其任意元素不为0ⁿ，即a(i,j)≠0ⁿ，其中a(i,j)为矩阵A_W×d中第i行的第j个元素，长度为n比特；

所述步骤1.2)中的矩阵A_W×d应该满足其任意列的任意两元素的和不为零，即a(i1,j)⊕a(i2,j)≠0ⁿ，其中a(i,j)为矩阵A_W×d中第i行的第j个元素，长度为n比特；

所述步骤1.2)中的矩阵A_W×d应该满足其任意d行所构成的d阶方阵为满秩矩阵；

所述步骤2.1)中填充M的方法应该使得人们容易地在填充后的消息中辨认原消息部分和填充部分。比如说，将M视为一个比特串，并在其末尾添加一个比特“1”，然后在“1”之后添加尽可能少的比特“0”，使得填充后的消息长度为n比特的整数倍；

所述步骤2.3)中的⊕为有限域GF(2ⁿ)上的加法运算，其中GF(2ⁿ)可由任何一个GF(2)上的n次本原多项式决定；

所述步骤2.4)中的矩阵B_d×L与向量[Z₁,Z₂,…,Z_L]^T的乘法在有限域GF(2ⁿ)上进行，其中GF(2ⁿ)可由任何一个GF(2)上的n次本原多项式决定；

所述步骤2.4)中的矩阵B_d×L应该满足其任意元素不为0ⁿ，即b(i,j)≠0ⁿ，其中b(i,j)为矩阵B_d×L中第i行的第j个元素，长度为n比特；

所述步骤2.4)中的矩阵B_d×L应该满足其任意d列所构成的d阶方阵为满秩矩阵；

所述步骤2.5)中分别使用密钥K1,K2,…,Kd结合分组密码加密算法E以CBC-MAC的方式处理向量[S₁,S₂,…,S_d]；具体为

Forp＝1to d do

N(p,j)＝E(Kj,N(p-1,j)⊕S_p)

End for

其中N(0,j)＝0ⁿ，为一个全0的n比特串，j＝1,2,…,d；

与现有技术相比，本发明基于分组密码的消息鉴别码方法具有如下技术效果：

1)能够保护数据的完整性，有效识别消息在传输过程中是否被篡改；

2)能够有效识别消息是否来自于授权的发送方S；

3)允许用户通过选择安全参数d以决定需要的安全强度(d越大则算法安全性越强)；

4)能够在处理消息阶段(步骤2.3)以全并行的方式调用底层分组密码，以此提高整体算法运行效率；

5)允许用户通过预计算(步骤1.1和1.2)降低标签生成阶段和标签接收阶段的计算量。

附图说明

图1为使用密钥K以分组密码E为底层模块的CBC-MAC；

图2为基于分组密码的消息鉴别方法的整体结构图；

图3为基于分组密码的消息鉴别方法的终止化操作，即分别使用密钥K1,K2,…,Kd结合分组密码算法E以CBC-MAC的方式处理向量[S₁,S₂,…,S_d]的操作。

具体实施方式

以下结合附图和具体实施例对本发明的方法作详细的说明。

本发明采用一个分组长度为n比特的分组密码算法构造一个消息鉴别码算法，需要通信双方S(发送者)和R(接收者)约定具体的分组密码算法E，确定安全强度参数d，并共享密钥K0,K1,K2,…,Kd和d个互不相同的n比特常数Cst_j，其中j＝1,2,…,d_j。在此基础上，消息发送者S将各个密钥嵌入到分组密码算法E中，以并行化的方式处理消息，如图2和图3所示，最后将得到的标签T连同M发送给消息接收方R。

预计算阶段(发送者S和接收者R都需要操作)：

1.1)在密钥K0的作用下使用分组密码算法E加密d个互不相同的n比特常数Cst_j，加密结果分别记为R_j。即R_j＝E(K0,Cst_j)，j＝1,2,…,d；

1.2)将矩阵A_W×d与d个秘密值R_j所构成的向量[R₁,R₂,…,R_d]^T相乘，即A_W×d×[R₁,R₂,…,R_d]^T＝[X₁,X₂,…,X_i,…,X_w]^T；

标签生成阶段(发送者S操作)：

2.1)在发送消息M之前，首先对M进行填充，使得填充后的总长度为Ln比特(L为某一正整数)；

2.2)将填充后的消息M分块，得到M₁,M₂,...,M_i,…,M_L，满足M_i的长度为n比特(1≤i≤L)，且M₁M₂…M_L相连接所得到的比特串恰好为M；

2.3)将M_i和X_i(i＝1,2,…,L)逐个相加，并使用密钥K0和分组密码算法E加密，即E(K0,M_i⊕X_i)＝Z_i；

2.4)将矩阵B_d×L与L个秘密值Z_i所构成的向量[Z₁,Z₂,…,Z_L]^T相乘，即B_d×L×[Z₁,Z₂,…,Z_L]^T＝[S₁,S₂,…,S_d]^T；

2.5)分别使用密钥K1,K2,…,Kd结合分组密码算法E以CBC-MAC的方式处理向量[S₁,S₂,…,S_d]，即

Forp＝1to d do

N(p,j)＝E(Kj,N(p-1,j)⊕S_p)

End for

其中N(0,j)＝0ⁿ，为一个全0的n比特串，j＝1,2,…,d；

2.6)将所有的N(d,j)的和输出作为算法的输出，即输出T＝N(d,1)⊕N(d,2)⊕…⊕N(d,d)作为该消息鉴别码算法的标签；N(d,j)为使用密钥Kj的CBC-MAC的输出值。

2.7)将(M，T)发送给R。

标签接收阶段(接收者R操作)：

3.1)在收到(M，T)之后，为鉴别消息M，R首先重复操作步骤2.1至2.5；

3.2)计算T’＝N(d,1)⊕N(d,2)⊕…⊕N(d,d)；

3.3)R验证是否T’＝T。若是，则接受消息M；否则，认为消息M完整性被破坏或者认为M不是由S发送，拒绝消息M。

Claims

1.一种基于分组密码的消息鉴别方法，其步骤为：

1)消息发送者S和消息接收者R共同确定一安全强度参数d，共享密钥K0,K1,…Kd，并约定分组密码算法E、矩阵A_W×d，矩阵B_d×L，d个互不相同的n比特常数Cst_j；其中，分组密码算法的分组长度为n比特，L为待发送消息M分块块数，W大于L；

2)消息发送者S和消息接收者R分别在密钥K0的作用下使用分组密码算法E加密d个互不相同的n比特常数Cst_j，即R_j＝E(K0,Cst_j)，其中，j＝1,2,…,d；然后将矩阵A_W×d与d个秘密值R_j所构成的向量[R₁,R₂,…,R_d]^T相乘，得到向量[X₁,X₂,..,X_i,…,X_w]^T；

3)消息发送者S对消息M进行填充，并将填充后的消息M分为L块长度为n比特的数据块；

4)将M_i和X_i逐个相加，并使用密钥K0和分组密码算法E加密，即E(K0,M_i⊕X_i)＝Z_i；其中，M_i为第i块数据块，i＝1,2,…,L；

5)将矩阵B_d×L与L个秘密值Z_i所构成向量[Z₁,Z₂,…,Z_L]^T相乘得到向量[S₁,S₂,…,S_d]^T；

6)分别使用密钥K1,K2,…,Kd结合分组密码算法E对向量[S₁,S₂,…,S_d]进行d轮分组加密；并将d轮计算结果的和作为该消息M的标签T；

7)消息发送者S将(M，T)发送给消息接收者R；消息接收者R对收到的消息M进行步骤3)～5)的计算，得到该消息M的标签T’；如果T＝T’，则接受该消息M，否则拒绝该消息M。

2.如权利要求1所述的方法，其特征在于所述矩阵A_W×d应该满足其任意d行所构成的d阶方阵为满秩矩阵。

3.如权利要求1或2所述的方法，其特征在于所述矩阵A_W×d满足其任意元素不为0ⁿ，即a(i,j)≠0ⁿ，其中a(i,j)为矩阵A_W×d中第i行的第j个元素，长度为n比特。

4.如权利要求3所述的方法，其特征在于矩阵A_W×d应该满足其任意列的任意两元素的和不为零，其中加法运算在有限域GF(2ⁿ)上进行。

5.如权利要求1所述的方法，其特征在于所述矩阵A_W×d与向量[R₁,R₂,…,R_d]^T的乘法在有限域GF(2ⁿ)上进行；其中GF(2ⁿ)由任何一个GF(2)上的n次本原多项式决定。

6.如权利要求1所述的方法，其特征在于所述步骤4)中的加法运算在有限域GF(2ⁿ)上进行；其中GF(2ⁿ)由任何一个GF(2)上的n次本原多项式决定，⊕为有限域GF(2ⁿ)上的加法运算。

7.如权利要求1所述的方法，其特征在于所述矩阵B_d×L满足其任意d列所构成的d阶方阵为满秩矩阵。

8.如权利要求1或6所述的方法，其特征在于所述矩阵B_d×L满足其任意元素不为0ⁿ，即b(i,j)≠0ⁿ，其中b(i,j)为矩阵B_d×L中第i行的第j个元素，长度为n比特。

9.如权利要求8所述的方法，其特征在于矩阵B_d×L与向量[Z₁,Z₂,…,Z_L]^T的乘法在有限域GF(2ⁿ)上进行，其中GF(2ⁿ)由任何一个GF(2)上的n次本原多项式决定。

10.如权利要求1或2或6或7所述的方法，其特征在于所述分组密码加密算法E以CBC-MAC的方式对向量[S₁,S₂,…,S_d]进行d轮分组加密。