WO2009155869A1

WO2009155869A1 - 一种实用的分组密码运行模式中初始向量iv的同步方法

Info

Publication number: WO2009155869A1
Application number: PCT/CN2009/072444
Authority: WO
Inventors: 铁满霞; 曹军; 王伟; 颜湘; 叶续茂; 张变玲; 黄振海; 王彦田
Original assignee: 西安西电捷通无线网络通信有限公司
Priority date: 2008-06-26
Filing date: 2009-06-25
Publication date: 2009-12-30
Also published as: CN101330513A

Description

一种实用的分组密码运行模式中初始向量 IV的同步方法本申请要求于 2008 年 6 月 26 日提交中国专利局、申请号为 200810150145.4、发明名称为"一种实用的分组密码运行模式中初始向量 IV 的同步方法"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种实用的分组密码运行模式中初始向量 IV的同步方法。

背景技术

分组密码每次加密的明文数据长度是固定的，而实际应用中待加密消息的数据长度则是不定的，且数据格式也可能多种多样，因此需要做一些变通，以灵活地运用分组密码。另外，即使有了安全的分组密码算法，也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等，以提高整体的安全性，降低删除、重放、插入和伪造成功的概率。在实际应用中，分组密码所采用的工作模式应力求筒单、有效和易于实现。

通常分组密码使用的工作模式有电子密码本 ECB ( Electronic Code Book )、密码分组链接 CBC ( Cipher Block Chaining )、密码反馈 CFB ( Cipher Feedback )、输出反馈 OFB ( Output Feedback )、分组链接 BC( Block Chaining ) 等，其中除 ECB模式之外，几乎所有的工作模式均需要一个初始向量（IV, Initial Vector ) , 且在每次运行时最好或必须使用新的 IV, 且解密端所使用的 IV必须与加密端的 IV相同，才能正确解密。

IV通常由加密端发给解密端以实现同步，对于通信业务而言，若在传输过程中不存在丟失的现象，则分组密码在一次通信中可只要求传输一次 IV, 即可实现通信两端的 IV同步；但通常情况下通信业务在传输过程中存在丟失的情况，这要求分组密码必须保证通信业务丟失后加解密两端仍能保持 IV同步，这就需要发送端多次地传输 IV。然而在某些应用中，用于传输通信业务的资源非常紧张，更无法保障完整 IV的同步传输。

通信业务在传输过程中存在丟包率，且传输资源紧缺的情况下，如何实现加解密两端的完整 IV同步正是本发明所要解决的问题。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提出一种实用的分组密码运行模式中初始向量 IV的同步方法。

本发明的技术解决方案是：一种实用的分组密码运行模式中初始向量 IV 的同步方法，将所述初始向量 IV分为 IV1和 IV2两部分，该方法包括以下步骤：

确定 IV1和 IV2的初值；

实现收发两端状态同步；

传输 IV1 ;

接收到所述 IV1的一端进行 IV2的本地计算存储，当收发两端均得到同步的 IV后，执行加解密。

所述 IV1的初值为任意值。

所述实现收发两端状态同步包括：确定收发两端的主从关系，其中一端为主设备，另一端为从设备；

主设备进入密文通信状态后，向从设备发送同步请求信息，等待接收从设备回应的同步响应信息。若在一定的时间内，主设备没有接收到从设备回应的同步响应信息，则向从设备重新发送同步请求信息；

从设备进入密文通信状态后，若收到主设备发来的同步请求信息，则向主设备回应同步响应信息；

主设备发出同步请求信息后，若收到从设备回应的同步响应信息，则进入同步状态，进行密文通信；

从设备回应同步响应信息后，若收到主设备发来的不是同步请求信息，则说明主设备已进入同步状态，从设备也进入同步状态，进行密文通信。

所述同步请求消息中携带所述主设备确定的 IV2初值。

所述同步响应消息中携带所述从设备确定的 IV2初值。

所述确定 IV2的初值为：

在每次通信每个密钥，即动态密钥的情况下， IV2的初值为一任意定值。所述确定 IV2的初值为：在静态密钥的情况下，在每次通信启动时 IV2的初值为一个随机值。优选地，上述随机值为时钟时间。

所述传输 IV1包括：

对 IV1进行变换；

变换后的 IV1由加密端发送给解密端。

所述对 IV1进行变换为：

在 IV1初值的基础上加 /减上一个任意定值或通过函数的计算进行变换。所述进行 IV2的本地计算存储，当收发两端均得到同步的 IV后，执行加解密中的所述 IV2是根据 IV1的变换溢出进行计算，在 IV1初值的基础上通过计数加 /减或通过函数进行计算得到的。

所述进行 IV2的本地计算存储，当收发两端均得到同步的 IV后，执行加解密中的所述 IV2是根据本地定时器信息进行计算，在 IV2初值的基础上通过计数加 /减或通过函数进行计算得到的。

本发明实施例所提供的方法将传统的 IV分成两个部分，利用有限的传输资源，仅传输 IV的一部分，而 IV剩余的部分根据传输的 IV部分在本地计算存储，并提出了一种由非加密状态切换到加密状态时收发两端的状态同步方法，解决了没有加密标识且传输部分 IV的资源在非加密状态中存在使用的情况下，加解密两端的 IV同步问题，满足了资源有限但安全性要求较高的应用需求。

附图说明

图 1为本发明一实施例所提供的信令流图。

具体实施方式

在传输资源紧缺的情况下，本发明实施例中将 IV分成 IV1和 IV2两个部分，通常 IV1所占的字节数小于 IV2所占的字节数，其中 IV1被密文携带传输，接收方根据收到的 IV1在本地计算得到 IV2, 进行正确解密。由于用于传输 IV1的资源在非加密状态下用作他用，或者用于传输 IV1的字段为非关键字段，这些字段不影响通信质量或即使影响的通信质量，但是该影响为可接受范围，又由于有些时候没有固定字段可以标识当前的数据帧是否为加密帧，此时，当通信过程由明文通信切换到密文通信时，就有可能造成收发两端进入密文通信的时间点不同步。当收发两端进入密文通信的时间点不同步，存在先后顺序时，先进入密文通信状态的一方就会将对方发来的明文数据当作密文数据解密，这样可能因状态不同步而造成接收方的 IV2计算错误，从而导致后续的 IV无法再自动同步，使得本次密文通信失败。

为了避免收发两端进入密文通信的时间点不同而影响正常的通信的情况出现，本发明将首先对收发两端的状态进行同步，而后利用 IV1的传输，通过本地计算 IV2, 实现收发两端的 IV同步。参见图 1 , 其具体同步方法如下：

1 )初值的确定

1.1 ) IV 1的初值可为任意值；

1.2 )确定 IV2的初值；在每次通信每个密钥（动态密钥 )的情况下， IV2 的初值可为一任意定值；在静态（恒定）密钥的情况下，满足其安全需求，在每次通信过程中，分组密码所使用的 IV应不能出现重复，因此在每次通信启动时加密端本地存储的 IV2初值应设为一个随机值 (譬如时钟时间）；

2 )收发两端进行状态同步

2.1 )确定两个通信设备之间的主从关系，其中一端为主设备，另一端为从设备；如：收发两端为任意两个通信设备，则确定其中一个通信设备为主设备，另一个设备为从设备；

2.2 )主设备进入密文通信状态后，首先向从设备发送同步请求信息，等待接收从设备回应的同步响应信息。若在一定的时间内，主设备没有接收到从设备回应的同步响应信息，则向从设备重新发送同步请求信息；

2.3 )从设备进入密文通信状态后，若接收到主设备发来的同步请求信息，则向主设备回应同步响应信息；

2.4 )主设备发出同步请求信息后，若接收到从设备回应的同步响应信息，则进入同步状态，进行密文通信；

2.5 )从设备回应同步响应信息后，若接收到主设备发来的不是同步请求信息，则说明主设备已进入同步状态，从设备也进入同步状态，进行密文通信；

3 ) IV1的传输

为了能够实现通信业务丟失后 IV同步的维持，则每次在发送一个或多个通信业务消息时，将 IV1变换使用，譬如可加 /减上一个任意定值（如加 /减 1 ) 或通过函数的计算变换，变换后的 IV1 由主从设备相互发送；其中每发送多少个通信业务消息变换一次 IV1 , 需要根据通信业务在传输过程中的丟包率及通信质量指标等因素权衡确定；

4 ) IV2的本地计算存储

当一次密文通信维持时间较长时， IV1会存在变换溢出的情况，为满足安全需求，此时 IV2根据 IV1的溢出或者根据本地定时器信息（在全网时钟同步的应用中）进行计算，譬如计数加 /减或通过函数的计算变换，若为计数加 /减，所增加 /减少的值可为任意定值，通常计数加 /减 1较为筒单；此时，主从设备均得到同步的 IV, 进行加解密。

当两台通信设备由明文通信切换到密文通信时，在传输资源有限且通信业务传输存在丟包率的前提下，利用上述同步协议使主设备先进入同步状态，而后从设备也进入到同步状态，在密文通信中仅传输部分 IV即可很好地实现加解密两端的 IV同步，满足动态、静态（恒定）密钥的安全需求。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

权利要求书

1、一种实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于，将所述初始向量 IV分为 IV1和 IV两部分，该方法包括以下步骤：

确定 IV1和 IV2的初值；

实现收发两端状态同步；

传输 IV1 ;

2、根据权利要求 1所述的一种实用的分组密码运行模式中初始向量 IV 的同步方法，其特征在于，所述 IV1的初值为任意值。

3、根据权利要求 1所述的一种实用的分组密码运行模式中初始向量 IV 的同步方法，其特征在于，所述实现收发两端状态同步包括：

确定收发两端的主从关系，其中一端为主设备，另一端为从设备；主设备进入密文通信状态后，向从设备发送同步请求信息，等待接收从设备回应的同步响应信息。若在一定的时间内，主设备没有接收到从设备回应的同步响应信息，则向从设备重新发送同步请求信息；

4、根据权利要求 3所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：所述同步请求消息中携带所述主设备确定的 IV2初值。

5、根据权利要求 3所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：所述同步响应消息中携带所述从设备确定的 IV2初值。

6、根据权利要求 1所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：所述确定 IV2的初值为：

在每次通信每个密钥，即动态密钥的情况下， IV2的初值为一任意定值。

7、根据权利要求 1所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：所述确定 IV2的初值为：

在静态密钥的情况下，在每次通信启动时， IV2的初值为一个随机值。

8、根据权利要求 7所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：所述随机值为时钟时间。

9、根据权利要求 3~8任意一项所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：所述传输 IV1包括；对 IV1进行变换；变换后的 IV1由加密端发送给解密端。

10、根据权利要求 9所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：所述对 IV1进行变换为在 IV1初值的基础上加 /减上一个任意定值或通过函数的计算进行变换。

11、根据权利要求 3~8中任意一项所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：

所述进行 IV2的本地计算存储，当收发两端均得到同步的 IV后，执行加解密中的所述 IV2是根据 IV1的变换溢出进行计算，在 IV1初值的基础上通过计数加 /减或通过函数进行计算得到的。

12、根据权利要求 3~8中任意一项所述的实用的分组密码运行模式中初始向量 IV的同步方法，其特征在于：

所述进行 IV2的本地计算存储，当收发两端均得到同步的 IV后，执行加解密中的 IV2是根据本地定时器信息进行计算，在 IV2初值的基础上通过计数加 /减或通过函数进行计算得到的。