CN107147487A

CN107147487A - 对称密钥随机分组密码

Info

Publication number: CN107147487A
Application number: CN201710365721.6A
Authority: CN
Inventors: 高胜法
Original assignee: Individual
Current assignee: Individual
Priority date: 2017-05-23
Filing date: 2017-05-23
Publication date: 2017-09-08
Anticipated expiration: 2037-05-23
Also published as: CN107147487B

Abstract

本发明公开了一种对称密钥随机分组密码‑‑SKRBC密码。针对传统分组密码的密钥与密文统计特性存在较密切关联的缺陷，作者对随机分组密码的基本内涵进行了研究，定义并证明了随机分组密码的基本属性，设计了一种全新的具有随机分组密码特征的分组密码。不同于传统分组密码，该密码通过简单的条件选择逻辑根据密钥值选择加密变换，具有密钥与密文统计特性自然隔离、明文分组的长度可任意扩展、密钥空间巨大和加密、解密速度快等主要优点。其通过简单条件选择逻辑选择加密变换和可任意扩展分组长度的特点是目前为止所有其他分组密码所不具备的，从而使得SKRBC密码避免了传统分组密码由于繁琐逻辑运算所导致的运行速度下降，且由于其分组长度可任意扩充使得其安全性在理论上无止境。

Description

对称密钥随机分组密码

技术领域

本发明涉及对称密钥分组密码的加密、解密方法和技术实现。

背景技术

一、概述

20世纪70年代，计算机技术和通信技术的发展对信息安全提出了迫切要求，近代密码学及其相关理论和算法于是应运而生。为保证信息的安全，信息传送前需要加密，接收者接收加密的信息后需要解密，而信息的加密和解密则需密码技术予以实现。

密码可大体分为公钥密码(public key cipher)和对称密钥密码(symmetric keycipher)。

RSA加密算法是一种基于公钥体制实现的加密算法，1977年由罗纳德·李维斯特等人提出。DES和AES 加密算法则是基于对称密码体制实现的分组加密算法，其中DES又被称为美国数据加密标准，是1972年由美国IBM公司研制并推出的。AES高级加密标准(Advanced Encryption Standard)，是美国联邦政府2000年10月2日后采用的一种分组加密标准并用来替代原先的DES。

分组密码是将明文消息的二进制编码序列x₀,x₁,…,x_i,…x_w划分成n比特的若干个输入分组，每个分组 x＝(x₀,x₁,…,x_n-1)，在密钥k＝(k₀,k₁,…,k_t-1)控制下变换成对应的输出分组y＝(y₀,y₁,…,y_m-1)。其加密函数E： V_n×K→V_m，实现把每个n比特输入分组转换成对应的m比特输出分组，其解密函数D：V_m×K→V_n，则实现把m比特输出分组转换成n比特输入分组，其中V_n和V_m分别是n维和m维矢量空间，K为密钥空间。

分组的长度通常取m＝n。若m>n，则为有数据扩展的分组密码；若m<n，则为有数据压缩的分组密码。在2阶有限域GF(2)情况下，x和y均为二进制数字序列，其每个分量x_i和y_i均属于GF(2)。

分组密码算法应满足下述要求：

1、分组长度n要足够大，以使得分组代换字母表中的元素个数2ⁿ足够大，防止穷举攻击法轻易地奏效。DES、IDEA、FEAL和LOKI等分组密码采用了n＝64比特分组，AES分组密码采用n＝128比特分组。

2、密钥量要足够大，尽可能消除弱密钥，以防止密钥穷举攻击奏效。DES采用56比特密钥，IDEA采用128比特密钥，AES密钥长度可以分别是128，192或256比特。

3、由密钥确定的变换算法要足够复杂，充分实现明文与密钥的扩散和混淆，没有简单的关系可循，能抗击各种已知的攻击，如差分攻击和线性攻击；有高的非线性阶数，实现复杂的密码变换；使对手破译时除了用穷举法外，无其它捷径可循。

4、加密和解密运算简单，易于软件和硬件高速实现。

5、差错传播尽可能地小。

常用分组密码设计技术：

1、替换(Polygram substitution)

设明文和密文的分组的长度均为n比特，则明文和密文的每一个分组都有2ⁿ个可能的取值。为使加密运算可逆，明文的每个分组都应产生唯一的密文分组，称明文分组到密文分组可逆的变换为替换。

2、扩散和混淆(diffusion and confusion)

扩散(diffusion)和混淆(confusion)是Shannon提出的设计密码系统的两种基本方法，其目的是为了有效阻止对手从密文的统计特性推测明文和密钥。所谓扩散就是让明文中的每一位影响密文中的多位，由此隐藏明文的统计特性，最理想的扩散是明文中的每一位影响密文中的所有位。所谓混淆是指将密钥和密文之间的统计关系尽可能复杂化，使得对手即使获取了某些密文的统计特性也无法推测密钥。

在C.E.Shannon所提出的理想密码系统中，密文的所有统计特性都与所使用的密钥无关。

二、本发明所能达到的效果

本发明针对传统分组密码的密钥直接参与密文或明文的计算，从而导致的密钥与密文统计特性存在较密切关联的缺陷，设计了一个对称密钥随机分组密码。此密码在加密或解密时，密钥的唯一作用是通过选择逻辑根据秘钥值选择一组不包含密钥信息的函数式，由函数式完成加密或解密变换，以达到隔离密钥与密文统计特性的目的。对于对手而言，这种通过密钥值选择加密函数去完成明文加密变换的加密机制更多地体现了在加密过程中密钥隐秘性的一面。

发明内容

一、随机分组密码

现有的分组密码设计几乎都是通过把明文和密钥直接进行运算从而产生密文，由此带来的一个弊端是密钥紧密依赖于密文的统计特性。例，DES的16轮变换的输出L_i和R_i是由明文信息和密钥信息经扩展、异或、代换、置换和异或运算所生成，DES最终的密文也是由明文信息和密钥信息直接运算所形成。。

事实上，现有分组密码算法，如IDEA和LOKI9等，其密文均由明文信息和密钥信息直接计算形成，密文与明文和密钥直接相关。由于密钥直接参与密文或明文的计算，对手可采用差分攻击和线性攻击等手段对密钥进行分析并有可能加以破解，因此或许上述特点正是这类分组密码的固有和致命缺陷。

一个n比特明文分组具有2ⁿ个不同明文分组值，若将其变换为n比特密文分组，则密文分组共有2ⁿ个不同的分组值。从2ⁿ个明文分组值变换为2ⁿ个不同的密文分组值共有2ⁿ！种不同的变换，一个理想的随机分组密码应能实现2ⁿ！种不同的变换。

定义1一个n比特理想对称密钥随机分组密码是满足下述条件的分组密码：

A、不同的密钥有2ⁿ！个，分别一一对应对应着2ⁿ！种不同的可逆加密变换。

B、任给一密钥K，通过条件选择逻辑可根据密钥K选择一个唯一的可逆加密变换T_i：若K＝i，则选择T_i，i＝0,1,...2ⁿ！-1。

C、可逆加密变换T_i实现把明文空间中的任意一个明文变换成密文空间中的唯一一个密文，其逆变换 T^-1 _i则实现把密文空间中的任意一个密文变换成明文空间中的唯一一个明文。

定义2一个n比特对称密钥随机分组密码是满足下述条件的分组密码：

A、不同的密钥有|K|个，分别一一对应对应着|K|种不同的可逆加密变换，|K|表示密钥空间的大小(size)。

B、任给一密钥K，通过条件选择逻辑可根据密钥K选择一个唯一的可逆加密变换T_i：若K＝i，则选择T_i，i＝0,1,...|K|-1。

定理n比特理想对称密钥随机分组密码和n比特对称密钥随机分组密码具有抵抗除穷尽攻击外任何其他攻击的能力。

证明由上述定义1和定义2可知，理想随机分组密码和随机分组密码的密钥的唯一作用是从若干个变换中选择一个变换，密钥不参与密文的复杂计算，因此其密钥和密文的统计特性得以自然隔离。因为除穷尽攻击外针对密码的攻击均依赖于这种统计特性，所以针对n比特理想随机分组密码和n比特随机分组密码的有效攻击只有穷尽攻击。

由上述可知，一个n比特理想随机分组密码，不同的密钥值有2ⁿ！个，分别一一对应着2ⁿ！种不同的变换，密钥的唯一作用就是通过密钥的简单逻辑运算在2ⁿ！种变换中选中一种变换，去实现明文至密文的变换。然而，设计实现一个理想分组密码绝非易事，一个n比特的理想随机分组密码需要2ⁿ！个密钥，其密钥比特数为log₂(2ⁿ！)比特。例，n＝5，2⁵！≈2.6×10³⁵，所需密钥比特数约为118比特。理想分组密码的较多密钥比特数为密钥的保存和传送带来了极大的不便，且当n较大时2ⁿ！种不同变换的设计实现几乎是不可能的。

二、随机子分组

本发明把长度为2m比特的分组划分为m个2比特的子分组，然后实现2比特子分组对应24种不同变换中的16种变换。对于2m比特的分组，尽管这种方式所实现变换数远小于2^2m！，其不同变换数仍达到 16^m＝2^4m种，且加密或解密时密钥不直接参与加密或解密的复杂运算，达到了密钥与密文或明文的有效隔离。

随机子分组由2个输入逻辑变量x₁和x₀,2个输出变量F和G，4个控制逻辑变量k₃、k₂、k₁、k₀(作为密钥输入端)和内部控制逻辑组成，如图1所示。内部控制逻辑实现了16组由F_i和G_i组成的函数表达式分别对应着16种不同的加密变换并可根据k₃、k₂、k₁、k₀的不同取值选择其中一种变换。这16组函数式如下所示：

上式中，⊕是逻辑变量异或二元运算符，其计算规则为：0⊕0＝0，0⊕1＝1，1⊕0＝1，1⊕1＝0；⊙是逻辑变量同或二元运算符，其计算规则为：0⊙0＝1，0⊙1＝0，1⊙0＝0，1⊙1＝1；-是逻辑变量求补一元运算符，其计算规则为：

随机子分组具有如下基本属性：

1、根据密钥值变换函数的选择

内部控制逻辑根据逻辑变量k₃、k₂、k₁和k₀的不同取值选择其中一种变换，其选择逻辑为：若k₃k₂k₁k₀＝i，则选择F_i和G_i，i＝0,1,2,...15。

2、加密密钥和解密密钥对

随机子分组有10组加密、解密密钥对。当加密、解密密钥对中的一个密钥用于加密时，另一个密钥则用于解密。10组加密、解密密钥对如下所示：

3、密钥不直接参与明文或密文的计算

不同于DES等分组密码，随机子分组的密钥k₃k₂k₁k₀不直接参与明文或密文的计算，密钥仅仅用于控制选择16组函数中的一组函数进行加密或解密变换。由于一组函数一一对应着一种变换，因此选择了函数组就等价于选择了对应的变换。

4、输入值变化的或然性扩散

随机子分组包含16组函数式，每组均由两个函数式F_i(x₁,x₀)和G_i(x₁,x₀)组成，x₁和x₀中必有一个变量以原变量或反变量的形式同时出现在这两个函数式中而另一个变量仅出现在一个函数式中。因而，当这个同时出现在两个函数式中的变量的值变化时，这个变量的变化或可扩散至两个输出端。

当使用随机子分组进行多级加密时，输入值的变化或可扩散至较多个输出端，这种输入值变化扩散的或然性增加了密文的随机性，尤其是对手采用差分分析等攻击手段试图破译密码时极大地增加了密码的安全性。

三、随机分组密码组件

如图2所示，随机分组密码组件是由若干个随机子分组并联构成，其功能是实现对明文或密文的单轮加密或解密。对于2m比特的分组，随机分组密码组件是由m个随机子分组并联构成，其中m为一个正整数。

当随机分组密码组件用于加密时，输入明文是：x_2m-1x_2m-2...x₁x₀,其输出密文是：F_2m-1F_2m-2...F₁F₀,其密钥是：K＝K_m-1K_m-2...K₁K₀，其中K_i是密钥位。每个密钥位K_i＝(k₃k₂k₁k₀)₂的可取值二进制数是：0000至1111， i＝0,1...m-1。若将组件用于解密变换，x_2m-1x_2m-2...x₁x₀输入密文，F_2m-1F_2m-2...F₁F₀则输出明文，其解密密钥需将加密密钥的各密钥位K_i经(2)式变换后输入至K_m-1K_m-2...K₁K₀端。

为阐述随机分组密码组件的工作原理，假设2m＝4，K＝K₁K₀，K₁＝0010，K₀＝1101，明文为x₃x₂x₁x₀＝0010。加密时，在密钥位K₁K₀的控制下，选择(1)式的第2组和第13组函数式分别对x₃x₂和x₁x₀进行加密变换。经组件变换后，F₃＝x₃⊕x₂＝0⊕0＝0，F₂＝x₃＝0，F₀＝x₁⊕x₀＝1⊕0＝1，即密文为F₃F₂F₁F₀＝0011。解密时，密钥K₁由0010转换为1010，K₀由1101转换为0111，输入密文为x₃x₂x₁x₀＝0011，在密钥位K₁K₀的控制下，选择(1)式的第10组和第7组函数式分别对x₃x₂和x₁x₀进行加密变换。经组件变换后，F₃＝x₂＝0，F₂＝x₃⊕x₂＝0⊕0＝0，F₁＝x₁⊙x₀＝1⊙1＝1，即解密后的明文为F₃F₂F₁F₀＝0010。

随机分组密码组件具有如下属性：

1、基于密钥值选择加密变换的加密机制，通过条件选择逻辑根据密钥值选择加密变换，密钥不直接参与密文的计算。

由于组件的密钥K由m个有序密钥位K_i组成，每个密钥位K_i可选择16个函数组之一，因此每个密钥共可选择m个函数组的2m个函数式。对明文的加密是通过2m个函数分别对m个2比特的明文计算求得密文，密钥K和密钥位K_i并未出现在2m个函数中，因而该组件不同于传统的分组密码，其密钥不直接参与密文或明文的计算。

2、密钥空间的大小(size)为16^m。

若2m＝64，则其密钥空间大小为16³²＝2¹²⁸，相较于DES分组密码，其密钥空间扩大了约2⁶⁴倍。

由于随机分组密码组件的加密是通过有序密钥位K_i去选择不同函数式实现的，因而并不是真正意义上的随机分组变换。真正的随机分组变换每一个密钥值对应于一种变换，仅仅由密钥值选择一种变换，而不是通过密钥的密钥位去选择函数组中的函数去实现加密变换。真正随机分组的变换理应仅仅与密钥值相关而与密钥的密钥位K_i无关。

四、对称密钥随机分组密码(Symmetrical Key Random Block Cipher,SKRBC)

为打破随机分组密码组件中明文位和密文位与密钥位(K_i，i＝0,1...15)的一一对应关系，作者对随机分组密码组件进行了完善。完善后的对称密钥随机分组密码其加密和解密过程如图3和图4所示。

数据结构

1、分组明文：x₀,x₁,...x_2m-10,x_2m-9,其中2m为分组的长度，m是一个较大正整数，一般m≥32，x_i∈ GF(2)(二阶有限域)，i＝0,1,...2m-9。

2、随机数据信息：R＝r₇r₆r₅r₄r₃r₂r₂r₀,r_i∈GF(2),i＝0,1...7。

3、分组打包数据：w₀,w₁,...w_2m-1,其中2m为分组的长度，m是一个较大正整数，一般m≥32，w_i∈ GF(2)，i＝0,1,...2m-1。

4、分组密文：F₀,F₁,...F_2m-2,F_2m-1，F_i∈GF(2)，i＝0,1,...2m-1。

5、加密密钥和加密子密钥Key_i

Key_i＝K_i0K_i1...K_im-1，K_ij∈GF(16)，i＝0,1...n-1,j＝0,1,...m-1。

Key₀为加密密钥，Key₁...Key_n-1为由Key₀生成的加密子密钥。

对称密钥随机分组密码加密过程

对称分组密码的加密由子密钥生成和加密变换两个阶段组成，其中加密变换共计n轮，详情如下所示。

1、子密钥生成

如图3(a)中处理模块1所示，此阶段由密钥key₀生成n-1个子密钥:key₁,key₂,...key_n-1,其算法描述为：

key_ji←key_0i⊕D_j，0≤D_j≤15，若n<16且k≠j,则D_k≠D_j；i＝0,1,...m-1,j＝1,2...n-1，k＝1,2...n-1。“⊕”表示按位异或运算符，key_0j⊕D_j表示将key_0j和D_j逐位进行异或运算。

2、加密变换

加密过程如图3(b)所示，其步骤为：

步骤1、输入2m-8比特的明文，存入x₀,x₁,...x_2m-10,x_2m-9，m为一个正整数。

步骤2、在明文的最后添加一个字节随机数据信息，明文分组打包成2m比特的分组：

w_2m-1w_2m-2...w₁w₀＝x_2m-9x_2m-10...x₁x₀r₇r₆r₅r₄r₃r₂r₂r₀，

w_2m-1w_2m-2...w₁w₀为打包后的2m比特的分组，r₇r₆r₅r₄r₃r₂r₂r₀为一字节随机数据信息，

r₇r₆r₅r₄r₃r₂r₂r₀＝x₇x₆x₅x₄x₃x₂x₁x₀⊕x₁₅x₁₄x₁₃x₁₂x₁₁x₁₀x₉x₈⊕...⊕x_2m-9x_2m-10x_2m- ₁₁x_2m-12x_2m-13x_2m-14x_2m-15x_2m-16

⊕表示按位异或，即每个字节相同位权的位进行异或运算。若明文不足2m-8比特，则在明文的末尾以随机数据信息R填充，以凑齐2m比特。

步骤3、数据变换

2m比特打包后的分组按字节进行变换：

w₇w₆w₅w₄w₃w₂w₁w₀←w₇w₆w₅w₄w₃w₂w₁w₀⊕d₁

w₁₅w₁₄w₁₃w₁₂w₁₁w₁₀w₉w₈←w₁₅w₁₄w₁₃w₁₂w₁₁w₁₀w₉w₈⊕d₂

......

w_2m-1w_2m-2w_2m-3w_2m-4w_2m-5w_2m-6w_2m-7w_2m-8←w_2m-1w_2m-2w_2m-3w_2m-4w_2m-5w_2m-6w_2m-7w_2m-8⊕d_2m/8

其中，1≤d_i≤255，i＝1,2...,2m/8，符号“/”表示普通除法运算符,⊕表示按位异或运算符。步骤4、n轮加密变换

打包后的分组其加密共有n轮。每轮加密变换由随机分组密码组件变换、位两两交换和分组循环左移 c_i位三个步骤组成。n为一个正整数。n的数值越大输入明文中一位变化所引起数据扩散程度越高，加密算法的安全性亦越高，建议选取n大于等于3作为加密变换的轮数。

n轮加密中每轮加密变换步骤：

步骤4.1、随机分组密码组件变换

随机分组密码组件变换的功能是实现加密变换，待处理数据w_2m-1w_2m-2...w₁w₀的各位数据分别送入组件的输入端进行加密变换，并把其输出F_2m-1F_2m-2...F₁F₀作为下一步处理的输入。

步骤4.2、位两两交换

把F_2m-1F_2m-2...F₁F₀分成m个二元组：(F_2m-1,F_2m-2)_m-1,...(F₃,F₂)₁,(F₁,F₀)₀,然后把所有分组中的两位分别与不同分组中的位进行交换。

设待交换的二元组是(F_x,F_x+1)_k，其它任意两个二元组分别是：(F_y,F_y+1)_p,(F_z,F_z+1)_q,其中0≤x,y,z ≤2m-2,0≤k,p,q≤m-1，且x≠y,x≠z,z≠y,k≠p,k≠q,p≠q,满足上述要求的方案有8种，可任选其中任意一种交换方案，例符号表示把其左右两端中的位互换位置。

完成位交换后的数据仍记为F_2m-1F_2m-2...F₁F₀，并将其作为下一步处理的输入数据。

步骤4.3、分组循环左移c_i位

F_2m-1F_2m-2...F₁F₀循环左移c_i位，其中0≤c_i<2m-1。完成循环左移后的数据仍记为F_2m-1F_2m-2...F₁F₀，并将其作为下一轮处理的输入数据。

重复4.1、4.2、4.3步骤n次，即完成数据的n轮加密变换。每轮变换的4.3步骤中的循环左移位数 c_i每轮应选为不同数值，但加密和解密所选c_i应相同。第n轮加密变换的输出F_2m-1F_2m-2...F₁F₀作为密文输出之。

步骤5、结束

对称密钥随机分组密码解密过程

对称密钥随机分组密码的解密是加密的逆过程。解密过程由解密密钥生成和解密变换两个阶段组成，其中解密变换也需n轮，详情如下所示。

1、解密密钥和解密子密钥生成

如图4(a)所示，其步骤为：

步骤1、根据密钥key₀生成子密钥key₁、key₂...key_n-1

子密钥key₁...key_n-1的生成与加密子密钥的生成方法相同，详见加密子密钥的生成方法。

步骤2、求解key₀、key₁...key_n-1的解密密钥

根据(2)式给出的加密和解密密钥对，分别求出key₀、key₁...key_n-1的解密密钥，仍存入key₀、 key₁...key_n-1。

2、解密变换

解密过程如图4(b)所示，其步骤为：

步骤1、输入2m-1比特的密文，存入x₀,x₁,...,x_2m-1，m为一个正整数。

步骤2、n轮解密变换。

步骤2.1分组循环右移c_i位

x_2m-1...x₁x₀循环右移c_i位。此步处理与4.3步骤的循环左移c_i位的操作除移位方向不同外其他均相同，右移的次数c_i与加密时所移位次数亦相同。

步骤2.2位两两交换

此步操作与加密变换的4.2步骤相同，操作后的结果仍表示为x_2m-1...x₁x₀。

步骤2.3随机分组密码组件变换

随机分组密码组件变换的操作与与加密变换的4.1相同。

重复步骤2.1、2.2和2.3n次，第n次操作的结果记为F_2m-1F...F₁F₀。

步骤3、数据变换。

此步操作与与加密变换的步骤3相同。数据变换操作的结果记为F_2m-1...F₁F₀。

步骤4、分组数据解包成2m-8位的分组

去除分组数据变换的最低8位，即去除F_2m-1...F₁F₀中的F₇F₆F₅F₄F₃F₂F₂F₀，把F_2m- ₁...F₉F₈作为明文x_2m-8...x₁x₀输出，结束解密计算过程。

基本算法测试

针对对称密钥随机分组密码加密和解密算法，本发明的作者编写了c语言实现的加密和解密算法基本函数库和64比特分组、128比特分组和256比特分组实验程序，包括基本加密、解密程序、数据一位变化扩散实验程序和随机子分组线性分析实验程序等程序。

加密或解密时采用4轮加密或解密变换。子密钥生成阶段的3个参数分别为：D₁＝0x5，D₂＝0xa,D₃＝0x7。数据变换模块(参见图3和图4)的参数为：(d₁,d₂,...d₃₂)＝(0x1,0xf2,0xd5,0x34,0xa1,0x32,0x5, 0x34,0x1,0xf2,0x5,0xd4,0x1,0x2,0x5,0x34,0x1,0x2,0x5,0xa4,0x21,0x2,0x5,0x34,0x11, 0x32,0x15,0x34,0x11,0x2,0x5,0x34),其中64位分组采用以上向量的前8个分量，128位分组采用采用以上向量的前16个分量，256位分组采用以上向量的所有分量。分组循环左移次数c_i其四轮取值分别为c₁＝3，c₂＝7,c₃＝11,c₄＝0(参见图3的4.3和图4的2.1)。以上参数是随机选择设置的，实际应用中建议尽量避免多个参数的值雷同。

实验结果如下所示：

一、基本加密解密实验

基本加密解密实验包括64比特、128比特和256比特分组的加密、解密实验，其目的是验证加密、解密算法的正确性。

图5(a),(b),(c)分别是64比特、128比特和256比特分组的加密解密实验的实验结果。图5中， plaintext表示明文数据，ciphertext表示密文数据，deciphertext表示解密后的明文数据。由图5可知，加密前的明文与解密后的明文完全一致，从而验证了对称密钥随机分组密码加密和解密算法的正确性。

二、分组1位数据变化扩散实验

差分分析是一种针对分组密码的分析方法，其思路是改变一部分明文，通过分析密文变化所产生的与明文的偏差获得破译密码的线索。

分组1位数据变化扩散实验就是依据差分分析的基本原理而实施的。分组1位数据变化扩散实验包括 64比特、128比特和256比特分组的1位数据变化扩散实验，其基本方法是，分别对两组仅有一个数据位不同的明文进行加密，然后比对相应的两组密文，统计两组密文中取值不同位的总位数，其目的是查看一位明文变化所引起的密文变化的扩散程度。

图6(a)、(b)和(c)分别是64比特、128比特和256比特分组明文一位变化所引起的密文变化的位数。图6(a)中，明文的第六个字节由0x6b变化为0x6a时(最低二进制位变化)引起密文7位变化。图6(b) 中，明文的第一个字节由0xff变化为0xfe时引起密文14位变化，图6(c)中明文的第四个字节由0x73变化为0x74时引起密文20位变化。

以上实验结果表明，当对手试图根据输入值和输出值的对应关系去构造输出函数式并由此推断密钥位 K_i是极为困难的。经过四轮加密变换，每个密钥位K_i与明文或密文的二进制位对应关系得以充分隐匿，其密钥从外部性能上更像一个不可分割的整体。

三、线性分析测试

线性分析也是一种针对分组密码的分析方法，常用于对传统分组密码的分析，其基本思路是将明文和密文的某些对应位进行异或(XOR)运算，并计算结果为零的概率，其概率应为二分之一。若能找到概率大幅偏离二分之一的位则可以由此获得与密钥有关的信息。

3.1随机子分组测试

根据(1)式，随机子分组的十六个函数组依次为(F₀，G₀),(F₁，G₁)...(F₁₅，G₁₅),其中F_i和x₁分别是高位的输出和输入位,G_i和x₀分别是低位的输出和输入位，i＝0,1...15。依据线性分析的原理把x₁和F_i异或、x₀和G_i异或可得：

(x₁⊕F₀，x₀⊕G₀)，(x₁⊕F₁，x₀⊕G₁)，...(x₁⊕F₁₅，x₀⊕G₁₅) (3)式

令x₁x₀依次取值为：00,01,10,11,编程分别计算(3)式中两个表达式的值，其实验结果如图7(a)所示。图7(b)中省略了变量x₁和x₀,仅给出了密钥k_i和对应的x₁⊕F_i和x₀⊕G_i的结果：k_i:(x₁⊕F_i,x₀⊕G_i)。

在图7中，当密钥位k_i一定时，随机子分组的加密输出结果为零的概率并不为二分之一，k_i＝15的行甚至出现了输出值等于1的概率是1的位(该行的高位输出部分)。按照传统分组密码的线性分析方法，随机子分组的密钥位应该是极易破解的。然而不同于传统的分组密码，该分组单元是以2位为单位进行加密和解密的且密钥位k_i的每个取值分别对应了一组函数式，16个密钥位k_i的值以及对应函数组函数对两个输入变量x₁x₀加密后线性分析的结果确是均匀分布的，图7中输出为00、01、10和11的次数均为16 次。

为分析随机子分组的安全性，根据图7绘制线性分析表，如表1所示。

表1

在表1中，当密钥位k_i＝1时，选择(1)式中的第1组函数式(F₁,G₁)。x₁x₀＝00时，(x₁⊕F₁，x₀⊕G₁) ＝(1，0)；x₁x₀＝01时，(x₁⊕F₁，x₀⊕G₁)＝(0，0)；x₁x₀＝10时，(x₁⊕F₁，x₀⊕G₁)＝(1，0)；x₁x₀＝11 时，(x₁⊕F₁，x₀⊕G₁)＝(0，0),表1中的其他行按照类似方法得出。

假设对手可以得到任意的明文密文对(采用选择明文攻击方式)，即当输入x₁x₀的值后可得到F_iG_i的取值，但是密钥位k_i的值未知。

当对手输入x₁x₀＝00时，假设取得F_iG_i＝10，10与x₁x₀＝00异或后得(x₁⊕F_i,x₀⊕G_i)＝(1，0)(如表1 中的第1列所示)。由于(1，0)对应于1、5、13和14四个密钥位，因此对手不能确定密钥位k_i的值。继续输入x₁x₀＝01，假设计算后得(x₁⊕F_i,x₀⊕G_i)＝(0，0)(如表1中K_i＝1和K_i＝13行的第2列所示)，由于00对应于1和13两个密钥位，因此对手仍不能确定密钥位的值。若要求解密钥位的确切值只有继续输入x₁x₀＝10或x₁x₀＝11，方能求解出密钥位k_i。此种情况下若确定K_i的值，对手需要三组x₁x₀输入值和F_iG_i的值。

另一种情况是，假设对手输入x₁x₀＝00时，经线性分析计算后得到(1，0)；继续输入x₁x₀＝01经计算得到(1，0)，由于表1中只有密钥位k_i＝14才能出现此种情况，因此可求解出密钥位是14。

采用类似的方法分析表1中其他输入和输出序列，可得如下一般性结论：

1、对手选择明文攻击方式时，若破解随机子分组的密钥位最少需要两组x₁x₀的值，最多需要三组x₁x₀的值。

2、若加密密码采用m个随机子分组构成，破解其密钥最少需要2^m次计算最多需要3^m次计算。例，对于64比特的分组至少需要2³²次计算最多需要3³²次计算。

上述结论似乎有些悲观，然而这是在对手可以取得任意的明文和密文对，加密过程仅采用一轮加密且不改变明文和密文的对应位置的情况下得出的。若加密和解密以物理设备实现，上述情况相当于对手缴获了加密和解密设备，设备的密钥一定但未知的情况下对设备密钥进行破解所需的计算量。

为避免单轮加密所带来的安全隐患，本发明的加密和解密的实验程序采用了4轮加密，对密文的各位进行了多次换位操作，打散了明文位和密文位的对应关系，4轮加密和解密的实验及线性分析结果如下所述。

3.2对称密钥随机分组密码测试

对称密钥随机分组密码测试的线性分析采用64位分组4轮加密变换，其参数如前所述，实验结果如图8所示，根据图8绘制表2如下所示。

表2

在表2中，明文1、明文2、明文3和明文4仅有第6个字节不同，四组明文的第6个字节分别是0， 1，2和3，对应第6个字节的最低两个二进制位分别是00、01、10和11，如表中的第0、3、6和9行所示。密文的第6个字节都是十六进制的2d，其最低两个二进制位都是01，如表中的第1、4、7和10行所示。由此可得明文和密文第6个字节的最低两位的对应关系为：00--01，01--01，10--01，11--01，而实际的第6个字节最低两位所用密钥位K_i＝12，正确的输入、输出对应关系应为：00--11，01--10，10--00， 11--01。

四组明文和对应密文按位异或运算结果如表中的第2、5、8和11行所示，其第6个字节分别是2d、 2c、2f和2e，对应第6个字节的最低两个二进制位分别是01、00、11和10，明文和密文第6字节最低两位对应关系为：00--01，01--00，10--11，11--10，此对应关系也不是希望的正确结果。

事实上上述实验结果具有普遍意义。对于任意比特的2m分组，由于四轮加密变换过程中对密文的各位进行了换位，因此明文和密文诸位间的对应关系已被打散，任何力图通过分析明文位和密文位对应关系去破解加密算法的密钥位k_i是不可能的。

四、加密和解密程序运行速度测试

为测试基本程序运行速度，作者分别编写了对称密钥随机分组密码的64比特分组、128比特分组和 256比特分组四轮加密和解密c语言程序，从有关网站下载了DES和AES的加密和解密c语言程序。为保证比较结果的基本公正性，加密和解密程序中仅包含加密和解密的基本程序段，每个被测试程序重复运行 40960次，约4万1千次。

实验结果如图9(a)、图9(b)、图9(c)、图9(d)和图9(e)所示。对称密钥随机分组密码的64比特分组、128比特分组和256比特分组测试程序运行速度分别为：343ms(毫秒)、702ms和1903ms。AES 的128比特分组和DES的64比特分组测试程序运行速度分别为：7550ms和1467ms。根据实验结果和密码的密钥空间大小绘制表3如下：

表3

由表3可知，对称密钥随机分组密码128比特分组的运行速度比AES密码128比特分组的运行速度快了10倍之多，对称密钥随机分组密码64比特分组的运行速度比DES密码64比特分组的运行速度快了约4.27倍。尽管程序的运行速度与其运行平台、程序的优化程度等因素有关，但是在相同条件下的上述测试结果仍有一定参考价值。

根据以上实验可得出如下结论：

1、尽管对称密钥随机分组密码的加密是采用对明文两位一组分别加密的加密方式，由于随机子分组对一位数据变化的或然性扩散和加密过程中的多轮换位和移位操作，明文和密文的数据位与密钥位K_i的对应关系已被打乱，因此根据明文和密文数据位的对应关系去破解密钥位K_i是极为困难的。在其密钥位K_i极难被逐个破解的情况下，对于企图破解密码密钥的对手，分组密码充分体现了其密钥整体性和明文与密文对应关系随机性的一面，或许除了采用使用穷举法选择明文攻击外，无其它捷径可循。

2、对称密钥随机分组密码的运行速度明显快于AES和DES目前较为流行分组密码的运行速度。在减少对称密钥随机分组密码加密轮数的情况下，其速度必将会进一步提高。

安全性分析

一般而言，分组密码的密钥空间K、明文空间P、密文空间C和加密函数E_k构成了一个密码系统，将此系统记为∏＝(K,P,C,E_k)。其中，P是由n比特明文p组成的集合，C是由n比特密文c组成的集合， K是由n比特密钥k组成的集合，E_k是从P至C可逆加密变换。令E_∏＝∪{E_k：k∈K}，E_∏是密码系统所有加密变换E_k的集合，|E_∏|称之为系统的阶(order)，|E_∏|表示集合E_∏的大小(size)。

有别于一般分组密码系统，对称密钥随机分组密码对应的密码系统为∏＝(K,P,R，C,E_k)。与一般系统不同的是此系统增加了一个随机数据空间R，R是由8比特随机字节r组成的集合；P是由2m-8比特明文p组成的集合，C是由2m比特密文c组成的集合，K是是4m比特密钥k组成的集合。对于任意一个密钥k，k∈K,加密函数E_K(p,r)是一个从K、P和R至C映射；其逆函数记为D_k(c),是一个从K和C至P 映射(解密函数)。

针对SKRBC密码的穷尽攻击：

穷尽攻击是攻击者依次尝试密钥空间中的密钥逐个对所截获的密文进行脱密测试，进而找出正确密钥的一种攻击方法。穷尽攻击的实施有一个前提，攻击者除密钥外可以获得密码算法、所需明文和密文。

穷举攻击的基本方法是，攻击者用假设的密钥k对已知密文c和明文p进行脱密测试，若D(k，c)≠p，则k一定不是正确的密钥；若D(k，c)＝p，则k可能是正确的密钥，密钥的正确性需通过附加的已知明文和密文加以验证。这种在密钥k满足解密关系式D(k，c)＝p的条件下仍不能确定密钥正确性的状况，恰恰表明了某些传统分组密码从密钥和密文空间向明文空间映射时其唯一性的欠缺，而对于SKRBC密码以及随机分组密码则不会出现这种情况。

穷举攻击算法的优劣主要由四个指标加以衡量：算法成功率、算法存储复杂性、算法数据复杂性和算法计算复杂性。其中与密码算法安全性能有关的是穷举攻击算法的计算复杂性。

以下针对SKRBC密码进行分析，假定SKRBC密码的密钥位不可能被逐个破解，这种情况下任何针对 SKRBC密码的攻击只有穷举攻击。

设对称密钥随机分组密码的分组长度为2m比特，依次需要穷举的密钥是K₁、K₂...K_4m,并假设正确密钥K_ξ的出现是等概率随机事件，即

由此求得针对SKRBC密码穷举攻击的平均计算复杂性：

(4)式是在SKRBC密码为随机分组密码条件下得出的，若2m＝128，则针对SKRBC密码穷举攻击的平均计算复杂性是2²⁵⁵,以上结果表明对于穷举攻击SKRBC密码的安全性极高。

针对SKRBC密码密钥位的攻击:

另一种针对SKRBC密码的攻击是逐个破解密钥的每个密钥位K_i，i＝0,1...2m-1。假设对手获取了SKRBC 密码的算法程序，可以通过计算求得所需明文和密文。这种情况下，尽管对手可以取得所需的明文和密文，但是由于随机子分组输入值变化的或然性扩散和SKRBC密码加密过程中加密中间结果被多次换位，因此对应于每个密钥位K_i的两个输入变量x₁和x₀的值和两个输出变量F和G的值的对应关系是不能被确定的。在两个输入变量x₁x₀和两个输出变量FG的值的对应关系不确定的情况下，求出输出函数F和G的逻辑表达式并进而推测密钥位K_i的值是不可能的。

总结

不同于传统的分组密码，SKRBC密码有如下独特之处：

1、经过多轮的组件加密变换、位两两交换和分组循环左移打散了密文和明文与密钥位的一一对应关系，对手通过分析明文与密文的对应关系去求解各个密钥位K_i是及其困难的。

2、SKRBC密码的密钥空间的大小达到了16^m＝2^4m，2^4m个密钥一一对应着2^4m个变换；通过条件选择逻辑根据密钥值选择加密变换，密钥不直接参与求解密文或明文的复杂计算。以上特征使得SKRBC密码具有随机分组密码的基本特征，因而具有抗传统分组密码攻击方法攻击的能力。

3、分组的长度(size)2m和加密的轮数n可视不同安全级别加以改变，以满足不同安全级别和算法运行速度的需求。2m和n愈小安全性逾低，其算法运行速度愈快，不同的用户可视不同的应用场合选定合理的2m和n值。

4、SKRBC密码仅对实现加密运算的随机分组密码组件的算法进行了严格限定，而对加密过程中的位交换未加严格限制。事实上，位交换的目的仅仅是把运算的结果或然性地扩散至其他位，至于如何扩散、扩散效果如何对SKRBC密码的安全性并无实质性影响。

5、SKRBC密码的算法简单，便于以软件或硬件高速实现。

总之，较大的密钥空间、极易的分组长度扩充、随机分组密码的基本特征和运行速度较快等特征使得 SKRBC密码突破了传统分组密码设计的桎梏，尤其是可任意扩展的分组长度是目前为止所有其他分组密码所不具备的优点，也使得SKRBC密码的安全性在理论上没有止境。希望此密码的性能得到国家有关部门的审核验证，并希望其获得广泛的应用。

本发明的主要贡献

突破传统分组密码百年来设计思路的束缚，对理想随机分组密码和随机分组密码的基本属性进行了定义和分析证明，提出了一种全新的分组密码设计方法，即通过选择逻辑以密钥值控制选择不同的加密函数式，通过函数式实现对明文进行加密的方法。按照此方法实现的SKRBC密码具有随机分组密码的基本特征，具有除穷尽攻击外抗传统分组密码攻击方法攻击的能力，为分组密码的设计开辟了一条全新途径。

附图说明

图1是随机子分组的逻辑图，此图主要用于展示随机子分组的所有变量(随机子分组)。

图2是随机分组密码组件的逻辑图，主要用于展示图中各个随机子分组的逻辑关联(随机分组密码组件)。

图3是SKRBC密码加密过程的逻辑图，用于展示加密过程中诸模块的逻辑次序(加密过程)。

图4是SKRBC密码解密过程的逻辑图，用于展示解密过程中诸模块的逻辑次序(解密过程)。

图5是SKRBC密码64比特、128比特和256比特分组的基本加密、解密的实验结果。

图5(a)64位分组基本加密解密实验的实验结果。

图5(b)128位分组加密解密实验的实验结果。

图5(c)256位分组加密解密实验的实验结果。

图6是SKRBC密码64比特、128比特和256比特分组当一位输入明文变化后引起密文扩散的实验结果。

图6(a)64位分组1位数据变化扩散实验的实验结果。

图6(b)128位分组1位数据变化扩散实验的实验结果。

图6(c)256位分组1位数据变化扩散实验的实验结果。

图7是随机子分组线性分析的实验结果。

图7(a)随机子分组线性分析的实验结果。

图7(b)随机子分组线性分析简略图的实验结果。

图8是SKRBC密码64比特分组线性分析的实验结果。图8 64位分组线性分析的实验结果。

图9是SKRBC密码64比特、128比特、256比特分组、AES分组和DES分组程序运行速度的实验结果。

图9(a)四轮64位分组密码运行速度测试的实验结果。

图9(b)四轮128位分组密码运行速度测试的实验结果。

图9(c)四轮256位分组密码运行速度测试的实验结果。

图9(d)128位AES分组运行速度测试的实验结果。

图9(e)64位DES分组运行速度测试的实验结果。

Claims

1.对称密钥随机分组密码所实现的加密变换方法，其特征是：

B、任给一密钥K，通过条件选择逻辑可根据密钥K选择一个唯一的可逆加密变换T_i：

若K＝i，则选择T_i，i＝0,1,...|K|-1。

C、可逆加密变换T_i实现把明文空间中的任意一个明文变换成密文空间中的唯一一个密文，其逆变换T^-1 _i则实现把密文空间中的任意一个密文变换成明文空间中的唯一一个明文。

2.如权利要求1所述的对称密钥随机分组密码所实现的加密变换方法，通过条件选择逻辑根据密钥值选择加密变换，经过n轮的随机分组密码组件变换、位两两交换和分组循环移位实现对明文的加密。

该方法的工作步骤如下：

步骤1、输入2m-8比特的明文，存入x₀,x₁,...x_2m-10,x_2m-9，m≥32。

步骤2、在明文的最后添加一个字节随机数据信息，明文分组打包成2m比特分组。

步骤3、数据变换，2m比特打包后的分组按字节进行变换。

步骤4、n轮加密变换

打包后的分组其加密共有n轮，n轮加密中每轮加密变换步骤如下所示。

步骤4.1、随机分组密码组件变换

随机分组密码组件变换将待处理数据送入随机分组密码组件的输入端进行加密变换。

步骤4.2、位两两交换

步骤4.3、分组循环左移c_i位

F_2m-1F_2m-2...F₁F₀循环左移c_i位，其中0≤c_i<2m-1。

重复4.1、4.2、4.3步骤n次，即完成数据的n轮加密变换。第n轮加密变换的输出F_2m- ₁F_2m-2...F₁F₀作为密文输出之。

步骤5、结束。

3.如权利要求1所述的对称密钥随机分组密码所实现的加密变换方法，随机分组密码组件由m个随机子分组组成，随机子分组由2个输入逻辑变量x₁和x₀,2个输出逻辑变量F和G，4个控制逻辑变量k₃、k₂、k₁、k₀和内部控制逻辑组成。内部控制逻辑实现了16组由F_i和G_i组成的函数表达式分别对应着16种不同的加密变换并可根据k₃、k₂、k₁、k₀的不同取值选择其中一种变换。这16组函数式如下所示：