CN105049204A

CN105049204A - 基于ctr模式和分组密码vh的轻量级流密码技术vhc

Info

Publication number: CN105049204A
Application number: CN201510458934.4A
Authority: CN
Inventors: 黄玉划; 陈璐; 代学俊; 苏菲; 陈昌莹; 丁莉莉
Original assignee: SUZHOU ZHONGKE QIHUI SOFTWARE TECHNOLOGY CO LTD
Current assignee: SUZHOU ZHONGKE QIHUI SOFTWARE TECHNOLOGY CO LTD
Priority date: 2015-07-30
Filing date: 2015-07-30
Publication date: 2015-11-11

Abstract

本发明提供了一种基于CTR模式和分组密码VH的轻量级流密码技术VHC，应用于保密通信领域。VH先产生由256个字节随机排列组成的加密变换表S[256]，用于密钥扩展和迭代加密。加密时，VH先对8*8bit分组数据的每行进行伪随机变换，实现混乱；再对数据的每个斜对角线进行伪随机变换，同时实现扩散和混乱。对长度为len比特的明文P，VHC采用CTR模式并行产生n＝「(len-1)/64」+1组密钥流KS_i：KS_i＝VH_K(ctr+i)；其中「」表示向下取整，0≤i≤n-1，VH_K(ctr)表示分组密码VH采用密钥K对计数器ctr进行加密。则VHC的加密方式为：密文C＝PMSB_len(KS)；MSB_len(KS)表示截取全部密钥流KS的前len比特。VHC的解密方式为：明文P＝CMSB_len(KS)。本发明设计了一个面向低成本8位嵌入式移动终端的安全高效轻量级流密码，用于数据加解密。

Description

基于CTR模式和分组密码VH的轻量级流密码技术VHC

一、技术领域

本发明是保密通信领域的一种轻量级流密码技术，主要用于无线通信中低成本嵌入式移动终端的安全保密。

二、背景技术

随着无线网络技术的发展，信息深入到我们生活的各个方面。对于资源受限的无线终端，由于计算能力差，存储空间小，能量供应弱，普通密码技术难以适用这种资源受限的环境需求，这就需要轻量级密码，以满足软硬件、计算能力和能耗等资源受限终端的需求。

轻量级流密码主要有Grain-128、WG-7和A2U2等。Grain-128无法抵抗相关密钥攻击，且易受线性攻击。对于WG-7，构造线性区分器能区分密钥流和随机序列，且代数攻击对其有效。A2U2硬件实现代价很小，但有个大的缺点，软件效率很低，且密钥短，易受猜测-确定攻击。

对于本发明中的轻量级流密码VHC，其软硬件效率都高于Grain-128和WG-7。

三、发明内容

【发明目的】

为了弥补现有轻量级流密码的不足，本发明提供了一种轻量级流密码VHC，以解决现有轻量级流密码的综合效率问题，提高无线通信安全中低成本嵌入式移动终端的效用，并提高了安仝性。

【技术方案】

本发明所述的轻量级流密码VHC基于CTR(计数器)模式和分组密码VH。

I.VH加密方案

VH采用SP结构，分组长度为64bit，支持长度为64、80、96、112、128bit的密钥，相应的迭代轮数分别为r＝10、11、12、13、14轮。VH有3个参数：64bit明文P₀，密钥K，64bit密文Y。VH的加密过程用Y＝VH_K(P₀)表示，包括以下步骤。

(1)加密变换表S[256]产生。

加密S盒采用伪随机变换的方式产生。先计算T(i)＝「|256sin(i)|」，其中「」表示向下取整运算；为了产生不重复的256个字节，i的取值由1到30000，遇到重复的排除，直到产生全部不重复的256个字节为止。加密变换表S[256]是256个字节的一个伪随机排列，由T中字节轮换得到：S[T(j)]＝T(j+1)，S[T(255)]＝T(0)；其中0≤j≤254。

(2)密钥扩展。

通过递推进行密钥扩展，将L字节的密钥K扩展成8(r+1)字节：扩展密钥Key＝K₀|K₁|...|K_r＝k₀|k₁|...|k_8r+7；其中“|”为连接运算。每个K_i为8字节，其中0≤i≤r；每个k_j为1字节，0≤j≤8r+7。对于8、10、12、14、16字节的密钥K，相应的迭代轮数分别为r＝10、11、12、13、14轮。扩展密钥Key的前L字节就是密钥K：K＝k₀|k₁|...|k_L1。L≤j≤8r+7时，扩展密钥Key中的k_j由k_j-L和k_j-1两个字节递推得到：其中为异或运算。

(3)数据加密过程：先进行初始加密，再进行r轮迭代加密，得到密文Y，如图1所示。

(a)初始加密：初始密文其中P₀为64bit初始明文，K₀为密钥K的前8字节。

(b)r轮迭代加密。i从1到r，每轮迭代包括以下三步。

首先对数据进行“行伪随机变换”，即对数据的每个字节用加密S盒进行伪随机变换：

M_i(j)＝S[Y_i-1(j)]；其中i从1到r，X_i(j)表示X_i的第j个字节，0≤j≤7。

再把64bit数据M_i排成8*8的方阵，对M_i的每个斜对角线用加密S盒进行伪随机变换：

P_i(0)＝S{[M_i(0)&128]|[M_i(1)&64]|[M_i(2)&32]|[M_i(3)&16]|[M_i(4)&8]|[M_i(5)&4]|[M_i(6)&2]|[M_i(7)&1]}；(其中&为与运算)

P_i(1)＝S{[M_i(1)&128]|[M_i(2)&64]|[M_i(3)&32]|[M_i(4)&16]|[M_i(5)&8]|[M_i(6)&4]|[M_i(7)&2]|[M_i(0)&1]}；

P_i(2)＝S{[M_i(2)&128]|[M_i(3)&64]|[M_i(4)&32]|[M_i(5)&16]|[M_i(6)&8]|[M_i(7)&4]|[M_i(0)&2]|[M_i(1)&1]}；

P_i(3)＝S{[M_i(3)&128]|[M_i(4)&64]|[M_i(5)&32]|[M_i(6)&16]|[M_i(7)&8]|[M_i(0)&4]|[M_i(1)&2]|[M_i(2)&1]}；

P_i(4)＝S{[M_i(4)&128]|[M_i(5)&64]|[M_i(6)&32]|[M_i(7)&16]|[M_i(0)&8]|[M_i(1)&4]|[M_i(2)&2]|[M_i(3)&1]}；

P_i(5)＝S{[M_i(5)&128]|[M_i(6)&64]|[M_i(7)&32]|[M_i(0)&16]|[M_i(1)&8]|[M_i(2)&4]|[M_i(3)&2]|[M_i(4)&1]}；

P_i(6)＝S{[M_i(6)&128]|[M_i(7)&64]|[M_i(0)&32]|[M_i(1)&16]|[M_i(2)&8]|[M_i(3)&4]|[M_i(4)&2]|[M_i(5)&1]}；

P_i(7)＝S{[M_i(7)&128]|[M_i(0)&64]|[M_i(1)&32]|[M_i(2)&16]|[M_i(3)&8]|[M_i(4)&4]|[M_i(5)&2]|[M_i(6)&1]}。

最后再将上述输出P_i与该轮的子密钥K_i进行异或得到该轮的密文：其中1≤i≤r。

最后一轮的输出结果Y_r即为最终的密文Y。

II.VHC加解密方案

保密通信时，VHC的加解密过程有4个参数：明文P，密钥K，初值ctr，密文C。ctr长度为64bit，用计数器实现，功能是抗重放攻击。对于长度为len比特的明文P，VHC基于分组密码VH，采用CTR模式并行产生n＝「(len-1)/64」+1组密钥流KS_i，其中0≤i≤n-1，每组密钥流的长度为64bit，如图2所示，即

Fori＝0ton-1{KS_i＝VH_K(ctr+i)；}

其中，VH_K(ctr)表示分组密码VH采用密钥K对ctr进行加密。

则VHC的加密方案为：密文如图2所示；其中MSB_len(KS)表示截取仝部密钥流KS的前len比特。VHC的解密方案为：明文

【有益效果】

本发明所述轻量级流密码VHC基于CTR模式和分组密码VH，支持64bit、80bit、96bit、112bit、128bit的密钥。与现有技术相比，VHC的有益效果表现在以下几方面。

(1)软件效率：在Intel(R)、Core(TM)、CPU为i5-430M、主频2.27GHz、内存2GB、C语言编程环境下测试，密钥长度为80bit的VHC、Grain-128、密钥长度为80bit的WG-7和密钥长度为61bit的A2U2的效率如表1所示。由此可见，VHC-80的软件效率优于其它轻量级流密码。VHC-128的软件效率为12.471Mb/s，远高于密钥长度同为128bit的Grain-128。

表1

轻量级流密码	软件效率(Mb/s)	硬件代价(GE数)
			VHC	16.338	1358
Grain-128	0.61	1458
			WG-7	13.43	2194
A2U2	0.305	254

(2)硬件代价与效率：VHC、Grain-128、WG-7和A2U2的硬件实现所需要的门电路数如表1所示。因此，VHC的软硬件效率都高于Grain-128和WG-7。虽然VHC的硬件实现代价高于A2U2，但A2U2有个大的缺点，软件效率很低，且密钥短，只有61bit，易受猜测-确定攻击。

特别地，VHC的各组密钥流能并行产生，适合硬件和多核软件实现，软硬件执行效率高。

(3)安全性：通过差分分析、线性分析和不可能差分分析对VHC进行了安全性验证。

通过计算可得VH的S盒的最大差分概率是2^-3.415，通过程序计算密钥长度为64bit的VH算法前10轮的活动S盒的个数DS，如表2所示。由此可得VH的4轮最大差分概率为DCP⁴≤2^21×(-3.415)＝2^-71.715＜2^-64。当迭代轮数大于4轮时，找不到一个有效的差分特征进行分析，所以完整轮数的VH可以抵抗差分分析。

表2

轮数	1	2	3	4	5	6	7	8	9	10
											DS	0	7	14	21	28	35	42	49	56	63

对于线性分析，利用计算加密过程中线性活动S盒的个数来分析VH的线性特征。通过计算可得VH的S盒的最大线性概率是2^-2.83，通过程序计算出密钥长度为64bit的VH前10轮的线性活动S盒的个数LS，如表3所示。由此可得VH的4轮最大线性偏差概率为LCP⁴≤2^24×(-2.83)＝2^-67.92＜2^-64。因此根据线性分析复杂度，难以找到一个4轮的线性可把加密密文从一个随机置换中区分出来，所以完整轮数的VH足够安全，可以抵抗线性分析。

表3

轮数	1	2	3	4	5	6	7	8	9	10
											LS	0	8	16	24	32	40	48	56	64	72

通过编程实现不可能差分分析(IDC)，得到最大轮数M＝6。通过进一步的理论分析，找到8条6轮IDC路径：

其中α∈GF(2⁸)表示非零差分。由此可知，IDC攻击对VH无效。

因此，基于CTR模式和分组密码VH的轻量级流密码VHC满足轻量级密码的安全需求。

四、附图说明

附图1分组密码VH的数据加密过程

附图2轻量级流密码VHC的数据加密过程

说明：||为连接运算；为异或运算。

五、具体实施方式

下面结合附图对本发明进一步说明。

I.VH加密方式

VH采用SP结构，分组长度为64bit，支持长度为64、80、96、112、128bit的密钥，相应的迭代轮数分别为r＝10、11、12、13、14轮。VH有3个参数：64bit明文P₀，密钥K，64bit密文Y。VH的加密过程用Y＝VH_K(P₀)表示，按以下步骤实施。

(1)加密变换表S[256]产生。

加密S盒采用伪随机变换的方式产生。先计算T(i)＝「|256sin(i)|」，其中「」表示向下取整运算；为了产生不重复的256个字节，i的取值由1到30000，遇到重复的排除，直到产生仝部不重复的256个字节为止。加密变换表S[256]是256个字节的一个伪随机排列，由T中字节轮换得到：S[T(j)]＝T(j+1)，S[T(255)]＝T(0)；其中0≤j≤254。

(2)密钥扩展。

通过递推进行密钥扩展，将L字节的密钥K扩展成8(r+1)字节：扩展密钥Key＝K₀|K₁|...|K_r＝k₀|k₁|...|k_8r+7；其中“|”为连接运算。每个K_r为8字节，其中0≤i≤r；每个k_j为1字节，0≤j≤8r+7。对于8、10、12、14、16字节的密钥K，相应的迭代轮数分别为r＝10、11、12、13、14轮。扩展密钥Key的前L字节就是密钥K：K＝k₀|k₁|...|k_L1。L≤j≤8r+7时，扩展密钥Key中的k_j由k_j-L和k_j-1两个字节递推得到：其中为异或运算。

(b)r轮迭代加密。i从1到r，每轮迭代包括以下三步。

P_i(1)＝S{[M_i(1)&128]|[M_i(2)&64]|[M_i(3)&32]|[M_i(4)&16]|[M_i(5)&8]|[M_i(6)&4]|[M_i(7)&2]|[M_i(0)&1]}：

最后一轮的输出结果Y_r即为最终的密文Y。

II.VHC加解密方式

Fori＝0ton-1{KS_i＝VH_K(ctr+i)；}

其中，VH_K(ctr)表示分组密码VH采用密钥K对ctr进行加密。

则VHC的加密方式为：密文如图2所示；其中MSB_len(KS)表示截取全部密钥流KS的前len比特。VHC的解密方式为：明文

Claims

1.一种基于CTR模式和分组密码VH的轻量级流密码VHC，其总体特征是加解密过程有4个参数：明文P，密钥K，初值ctr，密文C；ctr长度为64bit，用计数器实现，功能是抗重放攻击；对于长度为len比特的明文P，VHC基于分组密码VH，采用CTR模式并行产生n＝「(len-1)/64」+1组密钥流KS_i，其中「」表示向下取整运算，0≤i≤n-1，每组密钥流的长度为64bit，即

Fori＝0ton-1{KS_i＝VH_K(ctr+i)；}

其中，VH_K(ctr)表示分组密码VH采用密钥K对ctr进行加密；

则VHC的加密方式为：密文其中为异或运算，MSB_len(KS)表示截取全部密钥流KS的前len比特；VHC的解密方式为：明文

2.根据权利要求1所述的轻量级流密码VHC，其采用的分组密码VH的特征是加密过程有3个参数：64bit明文P₀，密钥K，64bit密文Y；VH的加密过程用Y＝VH_K(P₀)表示，包括以下步骤：

(1)加密变换表S[256]产生；

(2)密钥扩展：VH支持长度为64、80、96、112、128bit的密钥，分别扩展成64*11、64*12、64*13、64*14、64*15bit，相应的迭代轮数分别为r＝10、11、12、13、14轮；

(3)数据加密过程：先进行初始加密；再进行r轮迭代加密，得到密文Y。

3.根据权利要求2所述的分组密码VH，其特征在于步骤(1)中的加密S盒采用伪随机变换的方式产生：先计算T(i)＝「|256sin(i)|」；为了产生不重复的256个字节，i的取值由1到30000，遇到重复的排除，直到产生全部不重复的256个字节为止；加密变换表S[256]是256个字节的一个伪随机排列，由T中字节轮换得到：S[T(j)]＝T(j+1)，S[T(255)]＝T(0)；其中0≤j≤254。

4.根据权利要求2所述的分组密码VH，其特征在于步骤(2)中通过递推进行密钥扩展，将L字节的密钥K扩展成8(r+1)字节：扩展密钥Key＝K₀|K₁|...|K_r＝k₀|k₁|...|k_8r+7，其中“|”为连接运算；每个K_i为8字节，其中0≤i≤r；每个k_j为1字节，其中0≤j≤8r+7；对于8、10、12、14、16字节的密钥K，相应的迭代轮数分别为r＝10、11、12、13、14轮；扩展密钥Key的前L字节就是密钥K：K＝k₀|k₁|...|k_L-1；L≤j≤8r+7时，扩展密钥Key中的k_j由k_j-L和k_j-1两个字节递推得到：

5.根据权利要求2中步骤(3)所述的数据加密过程，其特征是VH的分组长度为64bit，先进行初始加密：初始密文其中P₀为64bit初始明文，K₀为密钥K的前8字节；

再进行r轮迭代加密；i从1到r，每轮迭代包括以下三步：

M_i(j)＝S[Y_i-1(j)]，其中i从1到r，X_i(j)表示X_i的第j个字节，0≤j≤7；

P_i(0)＝S{[M_i(0)&128]|[M_i(1)&64]|[M_i(2)&32]|[M_i(3)&16]

|[M_i(4)&8]|[M_i(5)&4]|[M_i(6)&2]|[M_i(7)&1]}；(其中&为与运算)

P_i(1)＝S{[M_i(1)&128]|[M_i(2)&64]|[M_i(3)&32]|[M_i(4)&16]

|[M_i(5)&8]|[M_i(6)&4]|[M_i(7)&2]|[M_i(0)&1]}；

P_i(2)＝S{[M_i(2)&128]|[M_i(3)&64]|[M_i(4)&32]|[M_i(5)&16]

|[M_i(6)&8]|[M_i(7)&4]|[M_i(0)&2]|[M_i(1)&1]}；

P_i(3)＝S{[M_i(3)&128]|[M_i(4)&64]|[M_i(5)&32]|[M_i(6)&16]

|[M_i(7)&8]|[M_i(0)&4]|[M_i(1)&2]|[M_i(2)&1]}；

P_i(4)＝S{[M_i(4)&128]|[M_i(5)&64]|[M_i(6)&32]|[M_i(7)&16]

|[M_i(0)&8]|[M_i(1)&4]|[M_i(2)&2]|[M_i(3)&1]}；

P_i(5)＝S{[M_i(5)&128]|[M_i(6)&64]|[M_i(7)&32]|[M_i(0)&16]

|[M_i(1)&8]|[M_i(2)&4]|[M_i(3)&2]|[M_i(4)&1]}；

P_i(6)＝S{[M_i(6)&128]|[M_i(7)&64]|[M_i(0)&32]|[M_i(1)&16]

|[M_i(2)&8]|[M_i(3)&4]|[M_i(4)&2]|[M_i(5)&1]}；

P_i(7)＝S{[M_i(7)&128]|[M_i(0)&64]|[M_i(1)&32]|[M_i(2)&16]

|[M_i(3)&8]|[M_i(4)&4]|[M_i(5)&2]|[M_i(6)&1]}；

最后再将上述输出P_i与该轮的子密钥K_i进行异或得到该轮的密文：其中1≤i≤r；

最后一轮的输出结果Y_r即为最终的密文Y。