CN106911464A

CN106911464A - 基于分组密码vhf和ofb模式的轻量级流密码技术ovhf

Info

Publication number: CN106911464A
Application number: CN201510996210.5A
Authority: CN
Inventors: 黄玉划; 代学俊; 苏菲; 丁莉莉
Original assignee: SUZHOU ZHONGKE QIHUI SOFTWARE TECHNOLOGY CO LTD
Current assignee: SUZHOU ZHONGKE QIHUI SOFTWARE TECHNOLOGY CO LTD
Priority date: 2015-12-23
Filing date: 2015-12-23
Publication date: 2017-06-30

Abstract

本发明提供了一种基于OFB模式和分组密码VHF的轻量级流密码技术OVHF，应用于保密通信领域。VHF先产生由256个字节随机排列组成的加密变换表S[256]，用于密钥扩展和迭代加密。迭代加密时，VHF先对8*8bit分组数据的每行进行伪随机变换，实现混乱；再对数据的每个斜对角线进行伪随机变换，同时实现扩散和混乱。对长度为len比特的明文X，OVHF采用OFB模式产生m＝「(len-1)/128」+1组密钥流KS_i∶KS_i＝VHF_K(KS_i-1)；其中「」表示向下取整，1≤i≤m，VHF_K(P)表示分组密码VHF采用密钥K对数据P进行加密。则OVHF的加密方式为：密文Y＝C⊕MSB_len(KS)；MSB_len(KS)表示截取全部密钥流KS的前len比特。OVHF的解密方式为：明文X＝Y⊕MSB_len(KS)。本发明设计了一个面向低成本8位嵌入式移动终端的安全高效轻量级流密码，用于数据加解密。

Description

基于分组密码VHF和OFB模式的轻量级流密码技术OVHF

一、技术领域

本发明是保密通信领域的一种轻量级流密码技术，主要用于无线通信中低成本嵌入式移动终端的安全保密。

二、背景技术

随着无线网络技术的发展，信息深入到我们生活的各个方面。对于资源受限的无线终端，由于计算能力差，存储空间小，能量供应弱，普通密码技术难以适用这种资源受限的环境需求，这就需要轻量级密码，以满足软硬件、计算能力和能耗等资源受限终端的需求。

轻量级流密码主要有Grain-128、WG-7和A2U2等。Grain-128无法抵抗相关密钥攻击，且易受线性攻击。对于WG-7，构造线性区分器能区分密钥流和随机序列，且代数攻击对其有效。A2U2硬件实现代价很小，但有个大的缺点，软件效率很低，且密钥短，易受猜测-确定攻击。

对于本发明中的轻量级流密码OVHF，其软硬件效率都高于WG-7。

三、发明内容

【发明目的】

为了弥补现有轻量级流密码的不足，本发明提供了一种轻量级流密码OVHF，以解决现有轻量级流密码的综合效率问题，提高无线通信安全中低成本嵌入式移动终端的效用，并提高了安全性。

【技术方案】

本发明所述的轻量级流密码OVHF基于OFB(输出反馈)模式和分组密码VHF。

I.VHF加密方案

VHF采用Feistel结构，如图1所示，分组长度为128-bit，支持长度为80、128比特的密钥，相应的迭代轮数分别为r＝14、16轮。VHF有3个参数：128bit明文P，密钥K，128bit密文C。VHF的加密过程用C＝VHF_K(P)表示，包括以下步骤。

(1)加密变换表S盒产生。S盒采用伪随机变换的方法产生。先计算T(i)＝「|256sini|，其中「」表示向下取整运算；为了产生不重复的256个字节，i的取值由1到30000，遇到重复的排除，直到产生全部不重复的256个字节为止。加密变换表S[256]是256个字节的一个伪随机排列，由T中字节轮换得到：S[T(j)]＝T(j+1)，S[T(255)]＝T(0)；其中0≤j≤254。

(2)密钥扩展。VHF支持长度为80、128bits的密钥，相应的迭代轮数分别为r＝14、16轮，分别扩展为64*14、64*16bits的密钥。通过递推进行密钥扩展，将L字节的密钥K扩展成8r字节。扩展密钥Key＝K₀|K₁|...|K_i|...|K_r-1＝k₀|k₁|...|k_j|...|k_8r-1，每个K_i为8字节，0≤i≤r-1；每个k_j为1字节，0≤j≤8r-1。扩展密钥Key的前L字节就是密钥K：K＝k₀|k₁|...|k_L-1，L≤j≤8r-1时，扩展密钥Key中的k_i由k_i-L和k_i-1两个字节递推得到，即k_i＝S[k_i-1]k_i-L。

(3)迭代加密。VHF先将128bits的初始明文P分成左右两半L₀|R₀，然后采用Feistel结构进行r轮迭代加密。每轮加密过程为：L_i＝R_i-1；R_i＝L_i-1 F(R_i-1，K_i-1)。其中轮函数F采用双伪随机变换，即行伪随机变换+斜对角线为随机变换。每轮迭代加密时，先将右半部分R_i-1与该轮的子密钥K_i-1进行异或：C_i-1＝R_i-1 K_i-1，其中1≤i≤r。然后对数据进行行伪随机变换，即对数据的每个字节用S盒进行伪随机变换：M_i(j)＝S[C_i-1(j)]，其中M_i(j)表示M_i的第j个字节，0≤j≤7。再把64bit数据M_i排成8*8的方阵，对M_i的每个斜对角线用S盒进行伪随机变换，如图2所示：

P_i(0)＝S{[M_i(0)&128|[M_i(1)&64]|[M_i(2)&32]|[M_i(3)&16]

|[M_i(4)&8]|[M_i(5)&4]|[M_i(6)&2]|[M_i(7)&1]}

P_i(1)＝S{[M_i(1)&128|[M_i(2)&64]|[M_i(3)&32]|[M_i(4)&16]

|[M_i(5)&8]|[M_i(6)&4]|[M_i(7)&2]|[M_i(8)&1]}

P_i(2)＝S{[M_i(2)&128|[M_i(3)&64]|[M_i(4)&32]|[M_i(5)&16]

|[M_i(6)&8]|[M_i(7)&4]|[M_i(0)&2]|[M_i(1)&1]}

P_i(3)＝S{[M_i(3)&128|[M_i(4)&64]|[M_i(5)&32]|[M_i(6)&16]

|[M_i(7)&8]|[M_i(0)&4]|[M_i(1)&2]|[M_i(2)&1]}

P_i(4)＝S{[M_i(4)&128|[M_i(5)&64]|[M_i(6)&32]|[M_i(7)&16]

|[M_i(0)&8]|[M_i(1)&4]|[M_i(2)&2]|[M_i(3)&1]}

P_i(5)＝S{[M_i(5)&128|[M_i(6)&64]|[M_i(7)&32]|[M_i(0)&16]

|[M_i(1)&8]|[M_i(2)&4]|[M_i(3)&2]|[M_i(4)&1]}

P_i(6)＝S{[M_i(6)&128|[M_i(7)&64]|[M_i(0)&32]|[M_i(1)&16]

|[M_i(2)&8]|[M_i(3)&4]|[M_i(4)&2]|[M_i(5)&1]}

P_i(7)＝S{[M_i(7)&128|[M_i(0)&64]|[M_i(1)&32]|[M_i(2)&16]

|[M_i(3)&8]|[M_i(4)&4]|[M_i(5)&2]|[M_i(6)&1]}

再将上述输出P_i与L_i-1进行异或：R_i＝L_i-1 P_i，L_i＝R_i-1。

最后1轮加密后的输出L_r|R_r即为128bits密文C。

II.OVHF加解密方案

保密通信时，OVHF的加解密过程有4个参数：明文X，密钥K，初值IV，密文Y。IV长度为128bit，是不重复的伪随机数，功能是抗重放攻击。对于长度为len比特的明文P，OVHF基于分组密码VHF，采用OFB模式产生m＝「(len-1)/128」+1组密钥流KSi，其中1≤i≤m，每组密钥流的长度为128bit，如图3所示，即

For i＝1 to m {KS_i＝VHF_K(KS_i-1)；}

其中，KS₀＝IV，VHF_K(P)表示分组密码VHF采用密钥K对数据P进行加密。

则OVHF的加密方案为：密文Y＝XMSB_len(KS)，如图3所示；其中MSB_len(KS)表示截取全部密钥流KS的前len比特。OVHF的解密方案为：明文X＝YMSB_len(KS)。

【有益效果】

OVHF对当前已知的攻击方法达到足够的免疫力并且在硬件实现和软件效率上呈现高效性。与现有技术相比，OVHF的有益效果表现在以下几方面。

(1)软件效率：在Intel(R)、Core(TM)、CPU为i7-3610QM、主频2.3GHz、内存8GB、C语言编程环境下测试，密钥长度为128-bit的SVHF、Grain-128、密钥长度为80-bit的WG-7和密钥长度为61-bit的A2U2的效率如表1所示。由此可见，SVHF的软件效率优于其它轻量级流密码。

表1

轻量级流密码	软件效率(Mb/s)	硬件代价(GE数)
			SVHF	53.31	1629
Grain-128	0.61	1458
			WG-7	13.43	2194
A2U2	0.31	254

(2)硬件实现：SVHF、Grain-128、WG-7和A2U2的硬件实现所需要的门电路数如表1所示。因此可见，SVHF的软硬件效率都高于WG-7；SVHF的硬件实现代价高于Grain-128，但软件效率远高于Grain-128，且Grain-128无法抵抗相关密钥攻击，且易受线性攻击；SVHF的硬件实现代价高于A2U2，但A2U2有个大的缺点，软件效率很低，且密钥短，只有61bit，易受猜测-确定攻击。特别地，SVHF采用的分组密码VH的每轮迭代能八核并行，适合硬件和多核软件实现，软硬件执行效率高。

(3)安全性：通过差分分析、线性分析和不可能差分分析对SVHF进行了安全性验证。

a)差分分析：通过计算可得OVHF函数的S盒的最大差分概率是2^-3.415，通过程序计算OVHF函数前10轮的活动S盒的个数DS，如表2所示。由此可得OVHF函数的7轮最大差分概率为当迭代轮数大7轮时，找不到一个有效的差分特征进行分析，所以完整轮数的OVHF函数可以抵抗差分分析。

表2

轮数	1	2	3	4	5	6	7	8	9	10
											DS	0	7	14	21	28	35	42	49	56	63

b)线性分析：通过计算可得OVHF函数的S盒的最大线性概率是2-2.83，通过程序计算OVHF函数前10轮的活动S盒的个数LS，如表3所示。由此可得OVHF函数的7轮最大线性概率为当迭代轮数大于7轮时，找不到一个有效的线性特征进行分析，所以完整轮数的OVHF函数可以抵抗线性分析。

表3

轮数	1	2	3	4	5	6	7	8	9	10
											LS	0	8	16	24	32	40	48	56	64	72

c)不可能差分分析：J.Kim等发明了一种矩算法μ-method用来对分组密码的结构进行不可能差分分析，该方法能够找到不同的不可能差分路径。采用此方法对OVHF进行不可能差分分析，得到最大轮数为6轮，找到了8条不可差分路径。

式中：α∈GF(2⁸)表示非零差分。由此可知，不可能差分分析对OVHF攻击无效。

四、附图说明

图1 Feistel结构示意图

图2 P置换过程

图3 OVHF的加密过程

说明：表示异或运算。

五、具体实施方式

下面结合附图对本发明进一步说明。

I.VHF加密方案

P_i(0)＝S{[M_i(0)&128|[M_i(1)&64]|[M_i(2)&32]|[M_i(3)&16]

|[M_i(4)&8]|[M_i(5)&4]|[M_i(6)&2]|[M_i(7)&1]}

P_i(1)＝S{[M_i(1)&128|[M_i(2)&64]|[M_i(3)&32]|[M_i(4)&16]

|[M_i(5)&8]|[M_i(6)&4]|[M_i(7)&2]|[M_i(8)&1]}

P_i(2)＝S{[M_i(2)&128|[M_i(3)&64]|[M_i(4)&32]|[M_i(5)&16]

|[M_i(6)&8]|[M_i(7)&4]|[M_i(0)&2]|[M_i(1)&1]}

P_i(3)＝S{[M_i(3)&128|[M_i(4)&64]|[M_i(5)&32]|[M_i(6)&16]

|[M_i(7)&8]|[M_i(0)&4]|[M_i(1)&2]|[M_i(2)&1]}

P_i(4)＝S{[M_i(4)&128|[M_i(5)&64]|[M_i(6)&32]|[M_i(7)&16]

|[M_i(0)&8]|[M_i(1)&4]|[M_i(2)&2]|[M_i(3)&1]}

P_i(5)＝S{[M_i(5)&128|[M_i(6)&64]|[M_i(7)&32]|[M_i(0)&16]

|[M_i(1)&8]|[M_i(2)&4]|[M_i(3)&2]|[M_i(4)&1]}

P_i(6)＝S{[M_i(6)&128|[M_i(7)&64]|[M_i(0)&32]|[M_i(1)&16]

|[M_i(2)&8]|[M_i(3)&4]|[M_i(4)&2]|[M_i(5)&1]}

P_i(7)＝S{[M_i(7)&128|[M_i(0)&64]|[M_i(1)&32]|[M_i(2)&16]

|[M_i(3)&8]|[M_i(4)&4]|[M_i(5)&2]|[M_i(6)&1]}

再将上述输出P_i与L_i-1进行异或：R_i＝L_i-1 P_i，L_i＝R_i-1。

最后1轮加密后的输出L_r|R_r即为128bits密文C。

II.OVHF加解密方案

For i＝1 to m {KS_i＝VHF_K(KS_i-1)；}

Claims

1.一种基于OFB模式和分组密码VHF的轻量级流密码OVHF，其总体特征是加解密过程有4个参数：明文X，密钥K，初值IV，密文Y；IV长度为128bit，是不重复的伪随机数，功能是抗重放攻击；对于长度为len比特的明文X，OVHF基于分组密码VHF，采用OFB模式产生m＝「(len-1)/128」+1组密钥流KS_i，其中「」表示向下取整运算，1≤i≤m，每组密钥流的长度为128bit，即

For i＝1 to m {KS_i＝VHF_K(KS_i-1)；}

其中，KS₀＝IV，VHF_K(P)表示分组密码VHF采用密钥K对P进行加密；

则OVHF的加密方式为：密文其中为异或运算，MSB_len(KS)表示截取全部密钥流KS的前len比特；OVHF的解密方式为：明文

2.根据权利要求1所述的轻量级流密码OVHF，其采用的分组密码VHF的特征是加密过程有3个参数：128bit明文P，密钥K，128bit密文C；VHF的加密过程用C＝VHF_K(P)表示，包括以下步骤：

(1)加密变换表S盒产生：S盒是256个字节的一个伪随机排列；

(2)密钥扩展：VHF支持长度为80、128bits的密钥，分别扩展为64*14、64*16bits的密钥；

(3)迭代加密：对于长度为80、128bits的密钥，相应的迭代轮数分别为r＝14、16轮。

3.根据权利要求2所述的轻量级分组密码VHF，其特征在于步骤(1)中的S盒采用伪随机变换的方法产生：先计算T(i)＝「|256sin i|」，其中「」表示向下取整运算；为了产生不重复的256个字节，i的取值由1到30000，遇到重复的排除，直到产生全部不重复的256个字节为止；加密变换表S[256]是256个字节的一个伪随机排列，由T中字节轮换得到：S[T(j)]＝T(j+1)，S[T(255)]＝T(0)，其中0≤j≤254。

4.根据权利要求2所述的轻量级分组密码VHF，其特征在于步骤(2)中通过递推进行密钥扩展，将L字节的密钥K扩展成8r字节，其中对于10、16字节的密钥K，相应的迭代轮数分别为r＝14、16轮；扩展密钥Key＝K₀|K₁|...|K_i|...|K_r-1＝k₀|k₁|...|k_j|...|k_8r-1，每个K_i为8字节，0≤i≤r-1；每个k_j为1字节，0≤j≤8r-1；扩展密钥Key的前L字节就是密钥K：K＝k₀|k₁|...|k_L-1，L≤j≤8r-1时，扩展密钥Key中的k_j由k_j-L和k_j-1两个字节递推得到，即

5.根据权利要求2所述的轻量级分组密码VHF，其特征在于步骤(3)中的迭代加密基于Feistel结构和双伪随机变换：先将128bits的初始明文P分成左右两半L₀|R₀，然后采用Feistel结构进行r轮迭代加密；每轮迭代加密时，先将右半部分R_i-1与该轮的子密钥K_i-1进行异或：其中1≤i≤r；

然后对数据进行行伪随机变换，即对数据的每个字节用S盒进行伪随机变换：M_i(j)＝S[C_i-1(j)]，其中M_i(j)表示M_i的第j个字节，0≤j≤7；

再把64bit数据M_i排成8*8的方阵，对M_i的每个斜对角线用S盒进行伪随机变换：

P_i(0)＝S{[M_i(0)&128|[M_i(1)&64]|[M_i(2)&32]|[M_i(3)&16]

|[M_i(4)&8]|[M_i(5)&4]|[M_i(6)&2]|[M_i(7)&1]}；

P_i(1)＝S{[M_i(1)&128|[M_i(2)&64]|[M_i(3)&32]|[M_i(4)&16]

|[M_i(5)&8]|[M_i(6)&4]|[M_i(7)&2]|[M_i(8)&1]}；

P_i(2)＝S{[M_i(2)&128|[M_i(3)&64]|[M_i(4)&32]|[M_i(5)&16]

|[M_i(6)&8]|[M_i(7)&4]|[M_i(0)&2]|[M_i(1)&1]}；

P_i(3)＝S{[M_i(3)&128|[M_i(4)&64]|[M_i(5)&32]|[M_i(6)&16]

|[M_i(7)&8]|[M_i(0)&4]|[M_i(1)&2]|[M_i(2)&1]}；

P_i(4)＝S{[M_i(4)&128|[M_i(5)&64]|[M_i(6)&32]|[M_i(7)&16]

|[M_i(0)&8]|[M_i(1)&4]|[M_i(2)&2]|[M_i(3)&1]}；

P_i(5)＝S{[M_i(5)&128|[M_i(6)&64]|[M_i(7)&32]|[M_i(0)&16]

|[M_i(1)&8]|[M_i(2)&4]|[M_i(3)&2]|[M_i(4)&1]}；

P_i(6)＝S{[M_i(6)&128|[M_i(7)&64]|[M_i(0)&32]|[M_i(1)&16]

|[M_i(2)&8]|[M_i(3)&4]|[M_i(4)&2]|[M_i(5)&1]}；

P_i(7)＝S{[M_i(7)&128|[M_i(0)&64]|[M_i(1)&32]|[M_i(2)&16]

|[M_i(3)&8]|[M_i(4)&4]|[M_i(5)&2]|[M_i(6)&1]}

再将上述输出P_i与L_i-1进行异或：L_i＝R_i-1；

最后1轮加密后的输出L_r|R_r即为128bits密文C。