CN1180351C

CN1180351C - 强化错乱的分组密码加密方法

Info

Publication number: CN1180351C
Application number: CNB011404744A
Authority: CN
Inventors: 冯登国; 张玉安
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2001-12-10
Filing date: 2001-12-10
Publication date: 2004-12-15
Anticipated expiration: 2021-12-10
Also published as: CN1425987A

Abstract

本发明涉及一种强化错乱的分组密码加密方法，其核心变换是对数据的强错乱。分组长度为当前流行的128比特，密钥长度可变。主要包括三大处理步骤：用由密钥决定的错乱序对明文组数据进行错乱，即由密钥控制的错乱序对输入状态进行错乱移位、加固定序列、再错乱移位；对错乱后的明文组做一个128比特到128比特的非线性可逆置换，是与密钥无关的、混合与扩散性较好的可逆置换；再次用由密钥决定的错乱序对得到的128比特数据进行错乱，得到与该明文组对应的密文组。本发明方法以错乱表为密钥因素，以一种由移存器状态推移所确定的置换为实施混合与扩散的基本手段，有安全性好，逻辑结构简洁规范，易于在软、硬件及多种环境下实现等特点。

Description

强化错乱的分组密码加密方法

技术领域

本发明涉及信息加密技术领域，更确切地说是涉及一种利用电子计算机技术及编码技术，形成动态电子密码的方法。

背景技术

对信息进行加密，以防止非法人员获得信息系统中的机密信息，是保证信息安全的一个极其重要的技术手段。可靠的加密方案可以使一些敏感信息、甚至机密信息能放心大胆地在公共信道上传输或存贮在没有防护措施的介质上。

分组加密方法是以现代电子密码形式实现信息保密的重要技术方案之一，分组密码开始于(据公开资料)七十年代中期出现的DES。与序列密码相比，分组密码的一个突出优点是用户的密钥可以重复使用。分组加密算法的实现技术是先将明文数据分成若干个长度为n比特的明文组，再将每一个n比特的明文组用别的n比特的符号来代替，从而形成n比特的密文(即密文组)，因此分组加密方法的基本特征是一种代替作业。解密过程则是将n比特的密文组逆代为原始的n比特的明文组。目前，国际上公认的分组大小n为128和64。

随着分组密码技术的发展，特别是近年来开展的征集密码加密标准的活动，陆续公开了一些分组密码算法。如1997年4月NIST发起征集AES(AdvancedEncryption Standard)后，有15个分组密码方案获得了候选资格；2000年1月，欧洲开始征集欧洲标准，共有17个分组密码方案参选。目前，韩国、日本和俄罗斯等国家都已制定了各自的加密标准，中国制定自已的加密标准已经势在必行。

当然，如果能设计出一种优良的加密方案，并将其广泛地服务于社会，将有利于推动国民经济各个重要领域的信息基础设施建设，自然是利国利民之举，因此，发明性能优良且拥有技术特色的加密方案成为我们的心愿。

在AES和欧洲加密标准征集中，共征集了30多个分组密码方案，如RIJNDAEL、RC6、MARS、TWOFISH、IDEA、SAFER++等等。这些方案基本代表了当前国际分组密码算法的水平、特点、风格和基本方向。当然，除了上述30多个方案外，还有一些其它的方案。

分组密码算法设计的基本前提是确保和提高安全性能。综观已有的分组密码方案，存在的问题主要是算法的逻辑结构较复杂，不易利用程序实现或难以在微型电路芯片上实现，因而，有必要发掘这方面的潜力。另一方面，虽然有很多分组加密方法在加密过程中采用了错乱变换，但错乱序是固定不变的。也就是说还没有哪个分组加密方法将错乱序的不可预测性做为密钥因素。

发明内容

本发明的目的是设计一种强化错乱的分组密码加密方法，加解密速度可以与其它分组加密方案相当，但有相当好的安全性，逻辑结构简洁规范，并适于在软、硬件及多种环境下实现。

实现本发明目的的技术方案是这样的：一种强化错乱的分组密码加密方法，其特征在于包括以下处理步骤：

A.由密钥决定的错乱序对明文组数据进行错乱；

B.对错乱后明文组数据做非线性可逆置换；

C.由密钥决定的错乱序对置换后的数据再次进行错乱，得到对该明文组加密的密文组。

所述的步骤A，进一步包括以下处理步骤：

a1.将明文数据按每组128比特的长度分成明文组；

a2.将128比特明文组按每4比特划分，组成32个半字符；

a3.按第1错乱序对步骤a2中的32个半字符进行错乱；

a4.将步骤a3错乱后的32个半字符与一32个半字符固定序列进行对位模2加；

a5.按第2错乱序对步骤a4所得的32个半字符进行错乱移位。

所述的步骤B中的非线性可逆置换实际是用128比特代替128比特，是一种与密钥无关的置换逻辑，满足输入输出之间有严格的明文雪崩效应、且输入到输出间的相关优势、差分优势相当弱。

所述的步骤B中的置换进一步包括以下步骤：

b1.设置一个Z/(2⁴)环上的32级移位寄存器，32级移位寄存器的状态是步骤a5错乱后的32个半字；

b2.进行右移反馈，将32级移位寄存器的各级内容由左到右顺序反馈，并将左边第一级内容经过S盒后所得的替换值与右边最后一级的内容两者模16加后反馈到左边第一级；

b3.重复执行步骤b2共V步，得到置换结果，48≤V≤128。

所述步骤b2中的经过S盒，是指当输入分别是0123456789ABCDEF时，对应的输出值分别为9F67CB23E0D54AB1。

所述的步骤C，进一步包括以下处理步骤：

c1.按第2错乱序的逆表对步骤B最终获得的32个半字符进行错乱；

c2.将步骤c1错乱后的32个半字符与一32个半字符固定序列进行对位模2加；

c3.按第1错乱序的逆表对步骤c2所得的32个半字符进行错乱；

c4.将步骤c3错乱后的结果作为密文组，以128比特或16字节的形式输出。

所述步骤a4、c2中的由32个半字符构成的固定序列恰好是16个半字符号在序列中各出现两次。

所述的半字符固定序列是9 F 6 7 C B 2 3 E 0 D 5 4 A 8 1 9 F 6 7C B 2 3 E 0 D 5 4 A 8 1。

所述的第一、第二错乱序表，其生成步骤包括：

(1).建立编号为0至31的地址单元，将数值0至31随机放入0至31编号的地址单元中，形成第一原始移位表；

(2).建立编号为0至31的地址单元，将数值0至31随机放入0至31编号的地址单元中，形成第二原始移位表；

(3).将长度为260比特的密钥按每5比特分组，组成数值为0至31的五单位密钥字，并将构成的52个密钥字编号为0至51；

(4).设置一个第一记忆单元m、一个第二记忆单元n和一个计数单元i，并约定m、n的初始值为0；

(5).以i计数单元中的值为编号的密钥字的值，以第二记忆单元n中的数值查询第一原始移位表后所获得的内容，并与第一记忆单元m的数值三者加和，再对该和数模32后作为第一记忆单元m的新值；

(6).将第二记忆单元n中的数值减去以i计数单元中的值为编号的密钥字的值，再与以第一记忆单元m中的新值查询第二原始移位表后所获得的内容相加，对和数模32后作为第二记忆单元n的新值；

(7).将第一原始移位表中地址为新值m的单元中的数值与地址为新值n的单元中的数值交换，也将第二原始移位表中地址为新值m的单元中的数值与地址为31减新值n的单元中的数值交换；

(8).重复执行步骤(5)、(6)、(7)，直至i计数单元中的值由0计满51时，继续执行下述步骤；

(9).以i计数单元中的值为编号的密钥字的值，以第一记忆单元m中的数值查询第二原始移位表后所获得的内容，并与第二记忆单元n的数值三者加和，再对该和数模32后作为第一记忆单元m的新值；

(10).将第一记忆单元m中的新值减去以i计数单元中的值为编号的密钥字的值，再与以第二记忆单元n中的值查询第一原始移位表后获得的值相加，对和数模32后作为第二记忆单元n的新值；

(11).将第一原始移位表中地址为新值m的单元中的数值与地址为新值n的单元中的数值交换，也将第二原始移位表中地址为新值m的单元中的数值与地址为31减新值n的单元中的数值交换；

(12)重复执行步骤(9)、(10)、(11)，直至i计数单元中的值由0计满51时，获得用于错乱的第一错乱表和第二错乱表。

所述步骤(3)中，在密钥长度只有N比特时，若N＜260比特，要将其派生成260比特，包括：

(31).设N个密钥比特的编号为0--N-1，i＝N，N+1，...，259，取出第i-N位密钥比特、第i-N+8位密钥比特、第i-N+17位密钥比特、第i-N+29位密钥比特，四者模二加和作为第i位的密钥比特；

(32).重复执行上述步骤，直至使密钥比特长度派生到260比特时停止。

本发明强化错乱的分组密码加密方法，是以移位变换为核心的分组密码加密方法。其算法的分组长度为目前流行的128比特，密钥长度(N)可变。其加解密算法的基本结构可归结为：在密钥控制下对明文组做强错乱变换、进行拥有良好雪崩效应的非线性可逆置换、和在密钥控制下对置换结果再次做强错乱变换。算法逻辑结构简洁规范，易于在软、硬件及多种环境下实现，而且拥有相当可靠的安全性。

本发明强化错乱的分组密码加密方法的基本原理是：加密流程的输入端和输出端的强错乱变换由密钥决定，中间是抗线性分析和差分分析的128比特到128比特的固定可逆置换，该置换与密钥无关而且混合与扩散性较好，不知错乱序的攻击者、是难以从明密对应中获知在加密或解密过程中，进行置换操作时的输入或输出状态，从而不能有效地推断两个错乱序。

本发明强化错乱的分组密码加密方法中采用了以错乱为变化因素的“强错乱—置换—强错乱”双错乱变化结构，以移位错乱表为密钥因素；输入端和输出端强错乱的具体实施方式是“错乱—加固定序列—错乱”，这是具有流序列作用的复合错乱，故称其为强错乱；还发明了一种由密钥生成两个32元随机错乱序的基本方法。

在本发明强化错乱的分组密码加密方法中，中间的置换是通过非线性反馈移位寄存器的若干拍状态变换实现的，这是一种实施混合与扩散的好方法。实施时也可以采取其它的方式来实现这种相当于一个固定大S盒功能和性能的置换。

在本发明强化错乱的分组密码加密方法中，分组大小为128比特，密钥长度可变。实施时，可以根据自己的意愿选择密钥长度，如128比特、160比特、192比特或256比特等，最大有效密钥长度可达235比特。

附图说明

图1是本发明强化错乱的分组密码加密方法的基本流程示意图；

图2是本发明强化错乱的分组密码加密方法中，进行128比特置换时的移位寄存器反馈逻辑结构示意图。

具体实施方式

参见图1，是本发明强化错乱的分组密码加密方法的基本流程。

步骤11，形成明文组，按128比特分组，包括：

第1步：由密钥初始化产生第1、第2错乱序表(移位表)T₁、T₂；

第2步：将128比特明文组按4比特一组分组，组成32个分组即32个半字(本发明方法中，要将一个字节按高四位和低四位分成两个4比特，并多次对4比特进行操作，将这样的4比特称为半字)。

步骤12，用密钥决定的两个错乱序T₁、T₂对明文组进行错乱，包括：

第1步，按错乱序表T₁对32个半字符进行错乱；

第2步，将上述32个半字符与半字固定序列9 F 6 7 C B 2 3 E 0 D 5 4A 8 1 9 F 6 7 C B 2 3 E 0 D 5 4 A 8 1作对位模2加，在这个长为32的半字固定序列中，每个半字符均出现了两次。

第3步，按错乱序表T₂对32个半字符进行错乱。

步骤13，进行性能良好的可逆置换(R)。

结合参见图2，置换(R)是一个128比特到128比特的可逆非线性变换，由两部分组成，即图中的S盒和非线性移位寄存器状态变换。S盒是一个半字到半字的置换，其具体逻辑关系为：

输入 0 1 2 3 4 5 6 7 8 9 A B C D E F

输出 9 F 6 7 C B 2 3 E 0 D 5 4 A 8 1。

非线性移位寄存器状态变换，是通过环Z/(2⁴)上移位寄存器的状态变化来达到混合与扩散功能的，具体实施方法是将32个半字看作是环Z/(2⁴)上32级移位寄存器的状态，移位寄存器的反馈逻辑如图中所示，其中“田”为模16加，为经过S盒。

进行右移反馈，将32级移位寄存器的各级由左至右依次编号为31至0，将原第31级的内容反馈到第30级，将原第30级的内容反馈到第29级，...，直到将原第1级的内容反馈到第0级，原第31级的内容经过S盒后所得的替换值与原第0级内容两者加和并模16后反馈到第31级。

以图中所示的移位寄存器逻辑步进96步，即实现可逆置换(R)。

步骤14，用密钥决定的两个错乱序的逆表对置换后得到的32个半字进行错乱，包括：

第1步，按错乱序表T₂的逆表对32个半字符进行移位；

第2步，将上述32个半字符与半字固定序列9 F 6 7 C B 2 3 E 0 D 5 4A 8 1 9 F 6 7 C B 2 3 E 0 D 5 4 A 8 1作对位模2加；

第3步，按错乱序表T₁的逆表对32个半字符进行移位。

步骤15，将32个半字作为该组明文的密文，以128比特(或16字节)形式输出。

本发明方法中，T₁、T₂是由密钥决定的32元错乱序表。生成这两个32元随机错乱序的基本步骤如下：

1).取T₁＝{T₁[0]，T₁[1]，T₁[2]，......，T₁[31]}

＝{5，2，4，29，27，15，14，20，23，24，3，21，28，10，6，26，30，17，7，19，11，16，25，9，22，13，8，18，12，1，31，0}

其中T₁[0]＝5，T₁[1]＝2，T₁[2]＝4，......T₁[31]＝0，它们的实用意义在于：T₁变换是将第0、1、2、......、31位置上的符号分别移到第5、2、4、......、0位置处

取T₂＝{T₂[0]，T₂[1]，T₂[2]，......，T₂[31]}

＝{0，31，1，12，18，8，13，22，9，25，16，11，19，7，17，30，26，6，10，28，21，3，24，23，20，14，15，27，29，4，2，5}

其中T₂[0]＝0，T₂[1]＝31，T₂[2]＝1，......T₂[31]＝5，它们的实用意义在于：T₂变换是将第0、1、2、......31位置上的符号分别移到第0、31、1、......、5位置处；

2).令密钥长度为N，如果N＜260，令密钥序列KEY＝{KEY₀，KEY₁，......，KEY_N-1}，设i是N-1位后派生的比特位，由KEY_i＝KEY_i-NKEY_i-N+8KEY_i-N+17KEY_i-N+29，i＝N，N+1，......，259，可将密钥长度派生为260比特；

将260比特密钥按每组5比特划分，构成52个数值为0至31的五单位符，记作K＝{K₀，K₁，K₂，......，K₅₁}。

3).改变T₁、T₂移位表，初始设置第一记忆单元m＝0，第二记忆单元n＝0，对计数单元i＝0到51做

{给m赋新值：m←(m+K_i+T₁[n])mod 32；

给n赋新值：n←(n-K_i+T₂[m])mod 32；

交换T₁[m]与T₁[n]；交换T₂[m]与T₂[31-n]；

}

对计数单元i＝0到51做

{给m赋新值：m←(n+K_i+T₂[m])mod 32；

给n赋新值：n←(m-K_i+T₁[n])mod 32；

交换T₁[m]与T₁[n]；交换T₂[m]与T₂[31-n]；

}

至此，得到移位表T₁和T₂。

下面以密钥为十六进制符号“61 62 63 64 65 67 68 69 6a”(即键盘输入八单位ASC II字符abcdefghij)为例说明密码加密过程。

(1)生成移位表，首先将密钥派生为260比特如下：

0110000101100010011000110110010001100101011001100110011101101000

0110100101101010010010010110010100000001001000001100000011111100

1001010011111001001100011100110100110110001110100011001010000110

0011001110100011101010001001010111010110110111111010111101110000

1010

转化成下述52个五单位符：

12 5 17 6 6 25 3 5 12 25 19 22 16 26 11 10 9 5 18 16

2 8 6 0 31 18 10 15 18 12 14 13 6 24 29 3 5 1 17 19

20 14 20 9 11 21 22 31 21 29 24 10

计数52拍后，完成一个循环，T₁、T₂被变为：

T₁＝{11 27 1 7 29 3 5 31 15 17 22 18 8 24 10 16 9 14 13 12 25 2019 28 2 6 21 26 30 0 4 23}

T₂＝{26 11 1 4 6 28 2 31 14 3 7 12 29 24 8 27 16 23 13 0 22 195 10 21 17 25 30 15 9 18 20}

再走52拍后得T₁、T₂如下：

T₁＝{17 21 29 12 25 23 4 11 14 1 24 26 8 27 7 5 22 0 6 13 30 218 10 16 19 28 20 31 15 9 3}

T₂＝{27 25 16 8 17 9 7 13 26 28 20 21 6 18 30 22 10 12 0 14 2 41 24 11 23 3 31 29 15 19 5}

(2)加密一组密文

设用十六进制表示的一明文组为：

41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f 50

按T₁错乱序移位后得：

9 5 b 0 4 8 4 4 4 5 c 4 2 a 4 f 4 4 4 d e 1 4 3 4 4 6 7 4 4 4 4

加固定序列后得：

0 a d 7 8 3 6 7 a 5 1 1 6 0 c e d b 2 a 2 a 6 0 a 4 b 2 0 e c 5

按T₂错乱序移位后得：

2 6 2 b a 5 6 6 7 3 d a b 7 a e d 8 0 c 1 l e 4 0 a a 0 5 0 c 2

作置换(R)后变为：

b 0 c e 6 e e 6 5 a 9 3 a f 6 c f 6 6 a 0 c d 4 6 3 c 1 4 c 4 a

按T₂逆错乱序移位后得：

1 3 f 5 6 a f c 4 0 c e 6 4 d 9 a b 6 c 6 0 6 3 4 e a c c a e

加固定序列后得：

8 c 9 2 a 1 4 c 2 4 d 9 a c c c 0 5 d 1 0 d 2 5 d 4 3 f 8 6 2 f

按T₁逆错乱序移位后得密文：

5d 5a 45 a9 cc d3 2f c1 28 4c 29 dd 01 80 fc 42。

采用软件编程实现本发明的强化错乱的分组密码加密方法是非常方便的，如用C语言编程实现时，在PII 300微机上加解密速度可达40Mb/s。由于需要存储的固定表只有S盒和移位表T₁、T₂，仅需RAM空间100字节左右，而且运算多为4比特的加、减、模运算，所以极易在微型电路芯片上实现。

Claims

1.一种强化错乱的分组密码加密方法，其特征在于包括以下处理步骤：

A.由密钥决定的错乱序对明文组数据进行错乱；

B.对错乱后明文组数据做非线性可逆置换；

2.根据权利要求1所述的一种强化错乱的分组密码加密方法，其特征在于所述的步骤A，进一步包括以下处理步骤：

a1.将明文数据按每组128比特的长度分成明文组；

a2.将128比特明文组按每4比特划分，组成32个半字符；

a3.按第1错乱序对步骤a2中的32个半字符进行错乱；

a5.按第2错乱序对步骤a4所得的32个半字符进行错乱移位。

3.根据权利要求1所述的一种强化错乱的分组密码加密方法，其特征在于：所述的步骤B中的非线性可逆置换实际是用1 28比特代替128比特，是一种与密钥无关的置换逻辑，满足输入输出之间有严格的明文雪崩效应、且输入到输出间的相关优势、差分优势相当弱。

4.根据权利要求1或2所述的一种强化错乱的分组密码加密方法，其特征在于所述的步骤B中的置换进一步包括以下步骤：

b3.重复执行步骤b2共V步，得到置换结果，48≤V≤128。

5.根据权利要求4所述的一种强化错乱的分组密码加密方法，其特征在于所述步骤b2中的经过S盒，是指当输入分别是0 1 2 3 4 5 6 7 8 9 A B CD E F时，对应的输出值分别为9 F 6 7 C B 2 3 E 0 D 5 4 A B 1。

6.根据权利要求1所述的一种强化错乱的分组密码加密方法，其特征在于所述的步骤C，进一步包括以下处理步骤：

c3.按第1错乱序的逆表对步骤c2所得的32个半字符进行错乱；

7.根据权利要求2或6所述的一种强化错乱的分组密码加密方法，其特征在于：所述步骤a4、c2中的由32个半字符构成的固定序列恰好是16个半字符号在序列中各出现两次。

8.根据权利要求7所述的一种强化错乱的分组密码加密方法，其特征在于：所述的半字符固定序列是9 F 6 7 C B 2 3 E 0 D 5 4 A 8 1 9 F 67 C B 2 3 E 0 D 5 4 A 8 1。

9.根据权利要求1所述的一种强化错乱的分组密码加密方法，其特征在于所述的第一、第二错乱序表，其生成步骤包括：

(10).将第一记忆单元m中的新值减去以i计数单元中的值为编号的密钥字的值，再与以第二记忆单元n中的值查询第一原始移位表后获得的值相加、对和数模32后作为第二记忆单元n的新值；

10.根据权利要求9所述的一种强化错乱的分组密码加密方法，其特征在于所述步骤(3)中，在密钥长度只有N比特时，若N＜260比特，要将其派生成260比特，包括：

(31).设N个密钥比特的编号为0--N-1，i＝N，N+1，…，259，取出第i-N位密钥比特、第i-N+8位密钥比特、第i-N+17位密钥比特、第i-N+29位密钥比特，四者模二加和作为第i位的密钥比特；