CN109861809B - 一种实用化的分组随机加解密方法 - Google Patents

Abstract

本发明公开了一种实用化的分组随机加解密方法，消息分组长度为n比特，密钥WK＝(K₀,K₁)∈(F₂ ⁿ)²，每输入一个明文分组X_i∈(F₂)ⁿ，经加密运算后相应输出密文分组向量(C1_i,C2_i,C3_i)∈(F₂ ⁿ)³。本发明的分组随机加密设计：1)可以有效避免传统分组密码因轮迭代结构引发的各种密码攻击问题；2)可有效降低传统分组密码因多轮迭代运算导致的加密延迟问题；3)可以有效解决密码算法自身快速重构问题(只需更换随机数据库RD数据表)，提升密码应用的灵活性。本发明只需预置较小规模的随机数据库规模(如1G bits)，给定密钥无需改变随机数据库就可以安全的加密大规模的消息明文。此外，发明中预置的随机数据库数据可以由密码管理系统或消息加密者统一发布和管理，有利于加密系统用户群体的分割应用。

Description

一种实用化的分组随机加解密方法

技术领域

本发明涉及一种实用化的分组随机加解密方法。

背景技术

分组密码是一个带密钥的n比特输入输出置换。当前广泛使用的分组密码算法，均为迭代型密码，具有如下特性：每次分组加密过程需要经历若干轮迭代运算；给定密钥和初始向量，输入相同明文每次加密总是输出相同的密文。为了掩盖明文统计特性，通常采用“初始向量”+“工作模式”的加密应用方式(如通常采用CBC、OFB、CTR等工作模式)并附加密码初始化过程，或者在加密输入或输出中填入少量随机因子或扭变因子，以此获得某种安全条件下的“一次一密”应用效果。密码学研究与应用实践均表明：这种基于确定性加密算法的“一次一密”应用很难做到密文输出相对明文消息空间的所有概率分布都是均匀的，不利于安全性。现有的分组密码轮迭代设计与应用方式，易遭受唯密文、明密文选择、侧信道等密码分析攻击，可能导致通信交换过程开展密码重放攻击，以及密文截取、插入、重组、频度等与应用相关的攻击。

根据Shannon信息理论，仅当密钥信息熵不小于明文信息熵才能达到完善保密的理想状态。1917年Vernam发明的“一次一密”乱码本方案(one-time pad)是目前唯一能够达到信息论完善保密的理想方案。Vernam方案要求每次用于加密明文字符的密钥字符完全随机，因而面临至少与消息明文等长密钥的安全传递问题，如只允许收发双方秘密拥有的乱码本存在预置泄密、异地共享泄露、泄密无感知等安全风险，不具有实用性。为避免“一次一密”乱码本方案那样与消息明文等长密钥的安全传递问题，实用加密中，发送者和接收者共享的秘密密钥需要采用短密钥数据。1990年Maurer U M提出一种可证明安全的强随机化的序列随机加密方法(下面简称为MUM方案)，MUM方案采用短秘密密钥和预置随机比特序列方式获得高概率安全的“一次一密”加密效果。MUM方案为保证安全加密，该方法要求，在预置的随机比特序列没有被更新之前，待加密的所有消息明文长度应远小于该预置的随机比特序列长度。MUM方案虽然解决了Vernam方案中与消息明文等长密钥的安全传递问题，但加密安全性机制受预置随机比特序列规模限制，仍然无法应对大规模数据的加密应用。

发明内容

本发明对分组随机加解密算法(Block Random Encryption Algorithm，以下简称BREA 算法)的设计解决以下技术问题：

1、分组“一次一密”加密。每次加密输入确定长度的消息分组，给定密钥和消息输入，每次加密总是输出随机不可区分的密文。即便是同一输入每次加密输出的密文均不同，使得攻击者难以开展针对传统分组密码确定性加密那样的已知明密文攻击。

2、秘密密钥采用短密钥数据。加解密双方只需秘密拥有短密钥数据，其它需双方共享的随机数据库数据等参数无需采用加解密双方秘密拥有方式。

3、随机加密具有可证明安全性和实用性。只需预置和共享(无需保密)固定规模的随机数据库，实际应用中，给定密钥无需改变随机数据库数据，就可以安全加密大规模的消息。

本发明的目的是通过以下技术方案来实现的：

一种实用化的分组随机加解密方法，

消息分组长度为n比特，密钥WK＝(K₀,K₁)∈(F₂ ⁿ)²，每输入一个明文分组X_i∈(F₂)ⁿ，经加密运算后相应输出密文分组向量(C1_i,C2_i,C3_i)∈(F₂ ⁿ)³；每输入一个密文分组向量(C1_i,C2_i,C3_i)，经解密运算后相应恢复出明文分组X_i。

作为优选方式，每次启动消息加密或解密时，密钥WK仅在首个消息分组加密或解密起始阶段使用一次。

作为优选方式，加密算法使用到真随机数发生器RQ、随机数据库RD、加密运算单元、H运算部件和F运算部件；解密算法使用到随机数据库RD、解密运算单元、H运算部件和F运算部件；

每次明文分组X_i加密过程中引入外部随机因子RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ，RA_i∈(F₂)ⁿ和 RB_i∈(F₂)ⁿ均来自真随机数发生器RQ输出序列，i＝0,1,…,N-1；由RA_i和RB_i获得k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)，利用k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)查取随机数据库RD 中相应随机数表获得k个随机数据；然后基于上述随机因子和RD查取的k个随机数据完成 H和F运算，获得中间变量W_i以及密文输出(C1_i,C2_i,C3_i)，i≥0；

解密过程中，每次从密文分组向量(C1_i,C2_i,C3_i)恢复随机因子RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ， i＝0,1,…,N-1；由RA_i和RB_i获得k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)，利用k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)查取随机数据库RD中相应随机数表获得k个随机数据；然后基于上述随机因子和从RD中查取的k个随机数据完成H和F运算，获得中间变量W_i以及明文输出X_i，i≥0。

作为优选方式，随机数据库RD被划分为τ个随机数表RD＝(RD₀,RD₁,…,RD_τ-1)，设每个随机数表寻址规模为μ比特，随机数表中每个单元数据为n比特随机序列，一次分组加密或解密需要查取RD中随机数表的次数为k次；

记W_-2＝K₀∈F₂ ⁿ，W_-1＝K₁∈F₂ ⁿ，消息分组的个数为N；

设明文分组序列为(X₀,X₁,…,X_N-1)，经加密输出的密文序列为((C1₀,C2₀,C3₀)，(C1₁,C2₁,C3₁),…,(C1_N-1,C2_N-1,C3_N-1))，则加密过程如下：

变量i从0开始每次递增1，按下列步骤(1)-(5)循环运算N次：

(1)

(2)

(3)W_i＝H(RA_i,RB_i)

(4)

(5)输出(C1_i,C2_i,C3_i)

对密文序列((C1₀,C2₀,C3₀)，(C1₁,C2₁,C3₁),…,(C1_N-1,C2_N-1,C3_N-1))进行解密，恢复出N个明文分组为(X₀,X₁,…,X_N-1)，则解密过程如下：

变量i从0开始每次递增1，按下列步骤(1)-(4)循环运算N次：

(1)

(2)

(3)W_i＝H(RA′_i,RB′_i)

(4)输出

作为优选方式，随机数据库RD中对应随机数表RD_j各单元数据记为RD_j[i]，i＝0,1,…,2^μ-1，j＝0,1,…,τ-1；

设加解密运算部件H和F的输入为(X,Y)∈(F₂ ⁿ)²，输出分别为H(X,Y)和F(X,Y)，则H和 F运算过程描述如下：

(1)记

从高位至低位依次获得k个μ比特数据(d₀,d₁,…,d_k-1)∈(F₂ ^μ)^k和一个n-μk 比特数据z∈[0,τ-1]；其中k≥3，n-μk≥1；

(2)用z作为索引，指向随机数表RD_z；

(3)利用(d₀,d₁,…,d_k-1)分别查表RD_z，得到(RD_z[d₀],RD_z[d₁],…,RD_z[d_k-1])；

(4)计算

(5)记

从高位至低位依次获得k个log₂n-1比特数据(u₀,u₁,…,u_k-1)，计算

作为优选方式，BREA算法含n、μ、k、τ等参数，使用者可根据使用环境及安全强度合理设置。

加解密方法的参数从以下四组中选择一组：

第一组：n＝128，μ＝21，k＝6，τ＝4；

第二组：n＝128，μ＝24，k＝5，τ＝64；

第三组：n＝256，μ＝23，k＝11，τ＝8；

第四组：n＝256，μ＝28，k＝9，τ＝16。

本发明的有益效果是：

已有的分组密码算法采用轮迭代运算方式很难做到密文输出相对明文消息空间的所有概率分布都是均匀的，无法提供抗未知攻击能力，或易遭受唯密文、明密文选择、侧信道等密码分析，可能导致通信交换过程开展密码重放攻击，以及密文截取、插入、重组、频度等与应用相关的攻击。区别于已有的分组确定性加密方式，本发明的分组随机加密设计：1)可以有效避免传统分组密码因轮迭代结构引发的各种密码攻击问题；2)可有效降低传统分组密码因多轮迭代运算导致的加密延迟问题；3)可以有效解决密码算法自身快速重构问题(只需更换随机数据库RD数据表)，提升密码应用的灵活性。

已有的随机加密方案要么基于传统加密算法与模块构造而存在安全性与效率方面的不足，或者预置随机序列过大和消息安全加密规模过小无法避免随机数据库数据需要频繁更新与安全传递等实用性问题。而本发明的加密方案满足分组“一次一密”随机加密高概率安全性，具有逼近“一次一密”完善保密的实用化效果。本发明依然使用传统的短密钥前提下，只需预置较小规模的随机数据库规模(如1G bits)，给定密钥无需改变随机数据库就可以安全的加密大规模的消息明文。本发明的加密设计中，每次分组加密处理过程仅由几次随机查表并辅以少量循环移位与异或运算，降低了密码实现难度。考虑到现代网络及通信带宽及存储资源的特点，进行随机数据库实时快速的查询以及多密文数据的实时快速传递，对快速提升分组随机加密与传递的效率来说是完全合理的。此外，发明中预置的随机数据库数据可以由密码管理系统或消息加密者统一发布和管理，有利于加密系统用户群体的分割应用。

附图说明

图1为加解密总体结构；

图2为加密运算框架；

图3为加密算法；

图4为解密算法。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

本发明针对现有的技术问题，解决的思路是：

1、本发明中，加解密双方只需秘密拥有短密钥数据(如256比特)，避免了Vernam方案那样与消息明文等长密钥的安全传递问题。

2、本发明中，只需预置较小规模的随机数据库(如1G比特)，就能获得高概率“一次一密”随机加密可证明安全性，而无需对随机数据库数据进行更新，避免了MUM方案中待加密的所有消息明文长度应远小于预置的随机比特序列长度的安全加密问题。

3、本发明中，每次分组加密处理仅对随机数据库进行少量查表操作并辅以少量循环移位与异或逻辑运算，降低了密码实现难度，获得比传统迭代型加密更高的加密速率。

4、本发明中，随机数据库数据可以由密码管理系统或消息加密者统一发布和管理，有利于加密系统用户群体的分割应用。

如图1和图2所示，一种实用化的分组随机加解密方法，消息分组长度为n比特，密钥 WK＝(K₀,K₁)∈(F₂ ⁿ)²，每输入一个明文分组X_i∈(F₂)ⁿ，经加密运算后相应输出密文分组向量 (C1_i,C2_i,C3_i)∈(F₂ ⁿ)³；每输入一个密文分组向量(C1_i,C2_i,C3_i)，经解密运算后相应恢复出明文分组X_i。

在一个优选实施例中，每次启动消息加密或解密时，密钥WK仅在首个消息分组加密或解密起始阶段使用一次。

在一个优选实施例中，如图1和图2所示，加密算法使用到真随机数发生器RQ、随机数据库 RD、加密运算单元、H运算部件和F运算部件；解密算法使用到随机数据库RD、解密运算单元、H运算部件和F运算部件；

每次明文分组X_i加密过程中引入外部随机因子RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ，RA_i∈(F₂)ⁿ和 RB_i∈(F₂)ⁿ均来自真随机数发生器RQ输出序列，i＝0,1,…,N-1；由RA_i和RB_i获得k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)，利用k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)查取随机数据库RD 中相应随机数表获得k个随机数据；然后基于上述随机因子和从RD中查取的k个随机数据完成H和F运算，获得中间变量W_i以及密文输出(C1_i,C2_i,C3_i)，i≥0；

解密过程中，每次从密文分组向量(C1_i,C2_i,C3_i)恢复随机因子RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ， i＝0,1,…,N-1；由RA_i和RB_i获得k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)，利用k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)查取随机数据库RD中相应随机数表获得k个随机数据；然后基于上述随机因子和从RD中查取的k个随机数据完成H和F运算，获得中间变量W_i以及明文输出X_i，i≥0。(加密运算单元实际上就是BREA加密过程描述中的循环体(1)-(5)，解密运算单元实际上就是BREA解密过程描述中的循环体(1)-(4))。

在一个优选实施例中，随机数据库RD被划分为τ个随机数表RD＝(RD₀,RD₁,…,RD_τ-1)，设每个随机数表寻址规模为μ比特，随机数表中每个单元数据为n比特随机序列，一次分组加密或解密需要查取RD中随机数表的次数为k次；

记W_-2＝K₀∈F₂ ⁿ，W_-1＝K₁∈F₂ ⁿ，消息分组的个数为N；

加密算法过程如图3所示，解密过程如图4所示。

在一个优选实施例中，随机数据库RD中对应随机数表RD_j各单元数据记为RD_j[i]，i＝0,1,…,2^μ-1，j＝0,1,…,τ-1；

设加解密运算部件H和F的输入为(X,Y)∈(F₂ ⁿ)²，输出分别为H(X,Y)和F(X,Y)，则H和F运算过程描述如下：

(1)记

从高位至低位依次获得k个μ比特数据(d₀,d₁,…,d_k-1)∈(F₂ ^μ)^k和一个n-μk 比特数据z∈[0,τ-1]；其中k≥3，n-μk≥1；

(2)用z作为索引，指向随机数表RD_z；

(3)利用(d₀,d₁,…,d_k-1)分别查表RD_z，得到(RD_z[d₀],RD_z[d₁],…,RD_z[d_k-1])；

(4)计算

(5)记

从高位至低位依次获得k个log₂n-1比特数据(u₀,u₁,…,u_k-1)，计算

在一个优选实施例中，加解密算法或BREA算法含n、μ、k、τ等参数，使用者可根据使用环境及安全强度合理设置。例如，加解密方法的参数从以下四组中选择一组：

第一组：n＝128，μ＝21，k＝6，τ＝4；

第二组：n＝128，μ＝24，k＝5，τ＝64；

第三组：n＝256，μ＝23，k＝11，τ＝8；

第四组：n＝256，μ＝28，k＝9，τ＝16。

本发明对之前提到的一些符号解释如下：

(F₂ ⁿ)²表示两个n比特的数据分量，如2n比特数据WK可分裂成左n比特数据K₀和右n比特数据K₁；

(F₂ ⁿ)³表示三个n比特的数据分量；

真随机数发生器RQ：一种用来产生和输出随机数序列的装置；

随机数据库RD：用来存放随机数的数据表，本发明中，需要预先产生该数据表；

H运算部件，H是一种运算方式，可具体化为

F运算部件，F是一种运算方式，可具体化为

RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ，i＝0,1,…,N-1；

N表示消息分组的个数；(F₂)ⁿ表示为n比特的二进制序列；

中间变量W_i以及密文输出(C1_i,C2_i,C3_i)，i≥0，i＝0,1,…,N-1；

τ个随机数表RD＝(RD₀,RD₁,…,RD_τ-1)；

记W_-2＝K₀∈F₂ ⁿ，W_-1＝K₁∈F₂ ⁿ；

设加解密运算部件H和F的输入为(X,Y)∈(F₂ ⁿ)²，输出分别为H(X,Y)和F(X,Y)，则H和F 运算过程描述如下：

(1)输入X和Y数据，计算

从数据T按高位至低位依次获得k个μ比特数据(d₀,d₁,…,d_k-1)∈(F₂ ^μ)^k和一个n-μk比特数据z∈[0,τ-1]；其中k≥3，n-μk≥1；

(2)用z作为索引，指向随机数表RD_z；

(3)利用(d₀,d₁,…,d_k-1)分别查表RD_z，得到(RD_z[d₀],RD_z[d₁],…,RD_z[d_k-1])；

(4)计算

即为H的输出；

(5)计算

从数据U按高位至低位依次获得k个log₂n-1比特数据(u₀,u₁,…,u_k-1)，计算

输入X和Y，具体为加密算法中的RA_i和RB_i，或解密算法中的RA′_i和RB′_i；

T_L含义为数据T的左n/2比特数据，T_H含义为数据T的左n/2比特数据；

符合

表示按比特模2加运算，“<<<t”表示左循环移位t比特运算。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，应当指出的是，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种实用化的分组随机加解密方法，其特征在于：

消息分组长度为n比特，密钥WK＝(K₀,K₁)∈(F₂ ⁿ)²，每输入一个明文分组X_i∈(F₂)ⁿ，经加密运算后相应输出密文分组向量(C1_i,C2_i,C3_i)∈(F₂ ⁿ)³；每输入一个密文分组向量(C1_i,C2_i,C3_i)，经解密运算后相应恢复出明文分组X_i；其中，(F₂ ⁿ)²为两个n比特的数据分量，(F₂ ⁿ)³为三个n比特的数据分量，(F₂)ⁿ为n比特的二进制序列；

加密算法使用到真随机数发生器RQ、随机数据库RD、加密运算单元、H运算部件和F运算部件；解密算法使用到随机数据库RD、解密运算单元、H运算部件和F运算部件；

每次明文分组X_i加密过程中引入外部随机因子RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ，RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ均来自真随机数发生器RQ输出序列，i＝0,1,…,N-1；由RA_i和RB_i获得k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)，利用k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)查取随机数据库RD中相应随机数表获得k个随机数据；然后基于上述随机因子和从RD中查取的k个随机数据完成H和F运算，获得中间变量W_i以及密文输出(C1_i,C2_i,C3_i)，i≥0；

解密过程中，每次从密文分组向量(C1_i,C2_i,C3_i)恢复随机因子RA_i∈(F₂)ⁿ和RB_i∈(F₂)ⁿ，i＝0,1,…,N-1；由RA_i和RB_i获得k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)，利用k个μ比特随机地址(d_i,0,d_i,1,…,d_i,k-1)查取随机数据库RD中相应随机数表获得k个随机数据；然后基于上述随机因子和从RD中查取的k个随机数据完成H和F运算，获得中间变量W_i以及明文输出X_i，i≥0。

2.根据权利要求1所述的一种实用化的分组随机加解密方法，其特征在于：每次启动消息加密或解密时，密钥WK仅在首个消息分组加密或解密起始阶段使用一次。

3.根据权利要求1所述的一种实用化的分组随机加解密方法，其特征在于：随机数据库RD被划分为τ个随机数表RD＝(RD₀,RD₁,…,RD_τ-1)，设每个随机数表寻址规模为μ比特，随机数表中每个单元数据为n比特随机序列，一次分组加密或解密需要查取RD中随机数表的次数为k次；

记W_-2＝K₀∈F₂ ⁿ，W_-1＝K₁∈F₂ ⁿ，消息分组的个数为N；

设明文分组序列为(X₀,X₁,…,X_N-1)，经加密输出的密文序列为((C1₀,C2₀,C3₀)，(C1₁,C2₁,C3₁),…,(C1_N-1,C2_N-1,C3_N-1))，则加密过程如下：

变量i从0开始每次递增1，按下列步骤(1)-(5)循环运算N次：

(1)

(2)

(3)W_i＝H(RA_i,RB_i)

(4)

(5)输出(C1_i,C2_i,C3_i)

其中，“⊕”表示按比特模2加运算；

对密文序列((C1₀,C2₀,C3₀)，(C1₁,C2₁,C3₁),…,(C1_N-1,C2_N-1,C3_N-1))进行解密，恢复出N个明文分组为(X₀,X₁,…,X_N-1)，则解密过程如下：

变量i从0开始每次递增1，按下列步骤(1)-(4)循环运算N次：

(1)

(2)

(3)W_i＝H(RA′_i,RB′_i)

(4)输出

4.根据权利要求3所述的一种实用化的分组随机加解密方法，其特征在于：随机数据库RD中对应随机数表RD_j各单元数据记为RD_j[i]，i＝0,1,…,2^μ-1，j＝0,1,…,τ-1；

设加解密运算部件H和F的输入为(X,Y)∈(F₂ ⁿ)²，输出分别为H(X,Y)和F(X,Y)，则H和F运算过程描述如下：

(1)记T＝X⊕Y，从高位至低位依次获得k个μ比特数据(d₀,d₁,…,d_k-1)∈(F₂ ^μ)^k和一个n-μk比特数据z∈[0,τ-1]；其中k≥3，n-μk≥1；

(2)用z作为索引，指向随机数表RD_z；

(3)利用(d₀,d₁,…,d_k-1)分别查表RD_z，得到(RD_z[d₀],RD_z[d₁],…,RD_z[d_k-1])；

(4)计算

(5)记

从高位至低位依次获得k个log₂n-1比特数据(u₀,u₁,…,u_k-1)，计算

5.根据权利要求4所述的一种实用化的分组随机加解密方法，其特征在于：加解密方法的参数从以下四组中选择一组：

第一组：n＝128，μ＝21，k＝6，τ＝4；

第二组：n＝128，μ＝24，k＝5，τ＝64；

第三组：n＝256，μ＝23，k＝11，τ＝8；

第四组：n＝256，μ＝28，k＝9，τ＝16。

Images