1、NETINFOSECURITY2024年第3期理论研究doi:10.3969/j.issn.1671-1122.2024.03.005基于时变互耦合双混沌系统的轻量级序列密码杨杰超1,胡汉平1.2,帅燕1,邓宇昕1(1.华中科技大学人工智能与自动化学院,武汉430 0 7 4;2.图像信息处理与智能控制教育部重点实验室,武汉430 0 7 4)摘要:文章针对资源受限的物联网环境下的数据加密传输问题,设计了一种基于时变互耦合双混沌系统的轻量级序列密码。以Tent和Arnold混沌映射为基础,通过引入累加器和耦合项,构造一种用于序列密码内部状态更新的时变双混沌系统,基于位操作,对密钥流输出部分进行
2、设计。文章对算法的基本运算、参数、精度、实现方式和策略进行设计并在FPGA上实现,硬件资源消耗为2 37 0 个等效门,密钥流输出速率为1.6 8 bit/clk。分析表明,该密码具有良好的安全性和抗攻击能力,与ISO/IEC标准的轻量级序列密码相比,安全性、资源消耗和吞吐量均有显著优势。关键词:物联网;双混沌系统;轻量级;退化;序列密码中图分类号:TP309文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 3-0 38 5-13中文引用格式:杨杰超,胡汉平,帅燕,等,基于时变互耦合双混沌系统的轻量级序列密码J.信息网络安全,2 0 2 4,2 4(3):38 5-39 7
3、.英文引用格式:YANG Jiechao,HU Hanping,SHUAI Yan,et al.Lightweight Stream Cipher Based on Time-Varying Mutual Coupling Double Chaotic SystemJJ.Netinfo Security,2024,24(3):385-397.Lightweight Stream Cipher Based on Time-Varying MutualCoupling Double Chaotic SystemYANG Jiechao,HU Hanping-2,SHUAI Yan,DENG Yux
4、in(1.School of Artificial Intelligence and Automation,Huazhong University of Science and Technology,Wuhan430074,China;2.Key Laboratory of Image Information Processing and Intelligent Control,Ministry ofEducation,Wuhan 430074,China)Abstract:Aiming at the problem of data encryption transmission in the
5、 resource-limited Internet of Things environment,this paper designed a lightweight stream cipherbased on time-varying mutual coupling double chaotic system.Based on the chaotic mapsof Tent and Arnold,a time-varying double chaotic system for updating the internal state ofstream cipher is constructed
6、by introducing accumulators and coupling terms.Based on bitoperation,the output part of key stream is designed.This paper designed the basic operation,parameters,accuracy,implementation mode and strategy of the algorithm and implementedit on FPGA.The consumption of hardware resources is 2370 GE,and
7、the output rate of key收稿日期:2 0 2 4-0 1-19基金项目:湖北省重点研发计划2 0 2 0 BAB104作者简介:杨杰超(19 9 7 一),男,陕西,硕士研究生,主要研究方向为轻量级混沌序列密码;胡汉平(19 6 0 一),男,湖北,教授,博士,主要研究方向为混沌保密通信;帅燕(19 9 9 一),女,重庆,硕士研究生,主要研究方向为网络空间安全与密码分析;邓宇昕(2 0 0 1一),男,江西,硕士研究生,主要研究方向为控制工程。通信作者:胡汉平385NETINFOSECURITY理论研究2024年第3期stream is 1.68bit/clk.The a
8、nalysis shows that this cipher has good security and anti-attackability.Compared with the lightweight stream ciphers of ISO/IEC standard,it has obviousadvantages in security,resource consumption and throughput.Key words:Internet of things;double chaotic system;lightweight;degenerate;streamcipher0引言随
9、着大数据与物联网时代的到来,数据传输量更大、效率要求更高、传输设备更加多样化和微型化。此外,信息安全关乎每个人的切身利益,是国家安全中的重要一环。为了应对资源受限环境下大数据加密传输问题,需要一种集安全性、吞吐量和低资源消耗为一体的密码解决方案。SHANNONI指出基于一次一密理念的序列密码理论上可达到绝对安全。2 1世纪以来,轻量级序列密码得到了长足发展。2 0 0 4年欧洲启动了ECRYPT密码征集计划,其中eSTREAM专门面向轻量级序列密码,征集到的面向硬件资源受限环境的密码主要有Triviuml2、Grain3和Mickey2.04,其中Trivium已被国际标准化组织列为标准 5。
10、这些算法主要基于非线性反馈移位寄存器(Nonlinear Feedback Shift Register,NFSR)进行设计,但针对上述密码算法的分析表明,其安全性存在缺陷,难以抵抗差分攻击和立方攻击等攻击 6-8。此外,这些算法的内部状态长度均大于种子密钥长度的两倍,硬件资源消耗较大,其等效门(GateEquivalent,G E)消耗分别为2 59 9 GE、30 48 G E和318 8 GE5.9。针对上述问题,2 0 15年快速软件加密(Fast SoftwareEncryption,FSE)会议引人了一种小状态密码设计方案,成为近年来轻量级序列密码的另一主要技术路线。此类算法特点在
11、于内部状态长度小于种子密钥的两倍,降低了资源消耗。Sprout、Pl a n t l e t、Fr u i t 和Lizard均属于此类算法,资源消耗均小于2 0 0 0 GE10。但已存在多种攻击方法能够实现上述算法的破译,且因固定密钥的存储与读取问题,该类算法在实践中并不能达到理论的资源消耗水平,小的内部状态也会导致产生的密钥流长度更短 10,。因此呕需新的理念来构造序列密码。混沌来源于庞加莱对天体问题的研究,是确定系统经连续迭代出现的一种类随机现象。19 7 5年,LI12等人提出了混沌的Li-Yorke定义,19 8 9 年DEVANEY13提出了混沌的DEVANEY定义。混沌系统具有
12、的伪随机性、初值敏感性和遍历性,与香农提出的密码学两大设计原则混淆与扩散十分吻合。正是这种联系,混沌密码算法能够有效抵抗传统攻击,混沌保密通信迅速成为一门新兴学科。19 8 9 年,ROBERT14等人利用一种改进Logistic映射构造了第一个混沌序列密码,但由于混沌方程的单一性和乘法操作,该算法并不能满足轻量级序列密码的安全性和资源要求。对混沌序列密码的研究发现,混沌理论定义在实数域内,数字密码系统则建立在有限集上,这种精度的损失带来了严重的退化问题,系统周期明显缩短,初值敏感性和伪随机性出现一定程度的减弱,进而给密码系统带来了安全隐患。因此,将混沌理论应用于密码学,必须谨慎选择混沌方程以
13、避免多资源消耗、密钥流生成速率低等问题,也必须考虑混沌的退化问题。KOCAREVI15等人提出可用于密码算法的混沌方程的必要条件是具备混合特性、鲁棒性和大的参数集。针对数字混沌系统的退化问题,近年来的研究结果主要分为扰动混沌轨道、提高系统精度和级联多个混沌系统3种。BARRETO16等人指出,理论上微小的扰动并不能改变高维混沌系统的动力学特性。PAREEK17等人提出一种级联两个Logistics映射的序列密码用于图像加密,第一个映射的输出用来更新第二个映射的初值。ZHONG18等人利用分段线性映射构造出一种序列密码,通过周期性产生扰动更新其迭代轨道。LAHCENE19 等人提出一种基于Hen
14、on映射的序列密码算法,利用计数器产生随机扰动来提高系统的安全性。ZHANG20 等人基于切比雪夫映射构造了一种用于图像加密的时空混沌系统。但文献 14,17-2 0 提出的混沌386NETINFOSECURITY2024年第3期理论研究序列密码计算过于复杂,并不能达到轻量级标准且安全性有待分析。MING9等人提出一种轻量级混沌序列密码,硬件资源消耗为2 350 GE,较国际标准 2.5有显著优势,但该算法基于单一移位映射,耦合方式简单,难以抵抗猜测确定攻击。总体来说,提高系统精度和级联多个混沌系统可有效缓解数字混沌系统的退化问题,但需消耗较多资源,不适宜轻量级序列密码设计,而加入扰动的方式
15、2 1-2 4更易于实现。但基于单一映射和固定耦合结构的密码算法仍存在安全缺陷,易于建立代数方程分析内部结构,抗退化能力也有待提高。为了解决单混沌映射和固定耦合结构密码系统易于分析、抗退化能力差和高维混沌系统难以轻量级实现的难题,本文设计了一种基于时变互耦合双混沌系统的轻量级序列密码。1时变互耦合双混沌系统1.1两类混沌映射1.1.1 Tent映射Tent映射即帐篷映射,因其函数图像形似一顶帐而得名 2 5.2 6,其映射方程如公式(1)所示。uXk,0X0.5Xk+1=Lu(1-X),0.5x1其中,k=1,2,3,N,,e1,2为方程控制参数,XiE0,1。Tent映射值域为 0,u/2。
16、当=2时,其函数图像如图1所示。图2 为e1,2时该映射的分岔图,取不同值时系统对应的状态不同。当1.43时,分岔图存在明显的空白窗口;当1.43 2时,系统处于混沌状态,但只有=2时,系统才是 0,1区间的满映射。Tent映射运算简单,适合轻量级密码设计。1.1.2 Arnold 映射Amold映射是线性映射诱导的二维混沌映射的一种 2 7,如公式(2)所示。Xk+1abxkTmod1=CVk+1.00.8F0.6F(I+0.4F0.2001.0r0.80.60.4f0.201.0ab其中,C=aa,b,c,deZ。C(1)d定义1双曲环面自同构如果矩阵C有整数元素,满足|de(C)=1,且
17、C没有绝对值等于1的特征值,则称映射T:R2R?为双曲环面自同构。定理1设T:R2-R是由矩阵C诱导的双曲环面自同构,则C的特征值是实数且是无理数,特征空间是通过原点、斜率为无理数的直线;T的周期点在R上稠密;T具有传递性。因此,T是一个混沌映射。(11)当C-时,该类映射即为Armold映射。对(12)于矩阵C,有lde(C)=1且特征值=(3+V5)/2,=1/2,故该映射是一类双曲环面自同构。由定理1可知,Armold映射满足混沌的定义,其拓扑示意图如图3所示。Armold映射只需简单的模二加运算,但严格满足XKDEVANEYI13给出的混沌定义,其优良的置换效果已mod1(2)V0.2
18、图1Tent映射相图1.21.41.61.8图2 Tent映射分岔图广泛应用于图像加密领域 2 8,2 9。0.4(n)0.60.82.01.0387NETINFOSECURITY理论研究2024年第3期3210段线性映射的耦合方式如图4(右)所示。累加器在每类映射计算完成后进行更新,更新方式为与最新四维IV状态变量的低三位异或结果累加。IIIn-1时刻n时刻X1Arnold映射IVII12X1X201X2图3Arnold映射示意图X31.2时变互耦合双混沌系统二维分段线性映射本文对Tent映射和Armold映射进行改造,构造一种时变互耦合双混沌系统,其方程如公式(3)所示。xi(n+1)=(
19、ax(n)+bx2(n)+qi)mod1x2(n+1)=(cx(n)+dx2(n)+q2)mod1x(n+1)=(1-(1+)|xs(n)|+gs)mod1x4(n+1)=(1-(1+z)|x4(n)+q4)mod1a61其中,C=dMi,Ji2E0,1 为分段线性映射控制参数,为保证满映射应在靠近1的左邻域选取,考虑到硬件实现,取=1-2-m,m=1,2,3,N,。m 越大,控制参数越接近1,但m过大时,运算中二进制0 值过多,造成系统缺陷,因此选取 mi=5,m=6。x(n)=0,1 为第 i维方程在第 n 次迭代中的状态变量。qi为第i维耦合项,取自n-1时刻的状态变量。为平衡安全性和资
20、源消耗,系统变量取二进制下16 比特精度。本文引人一个八维向量存储混沌系统在某时刻和用于耦合的前一时刻的状态变量。引人3比特累加器构造系统的时变结构,具体规则为高位确定两类混沌映射的计算顺序,中间位确定Armold映射的耦合对象,低位确定耦合顺序。举例说明,在计算n+1时刻状态变量时,用n-1时刻状态变量耦合n时刻状态变量,当累加器高位为1时,计算Amold映射,当中间位与低位均为0 时,计算Arnold映射的耦合方式,如图4(左)所示,当更新后累加器低位为1时,后续计算二维分X4图4耦合方式示意图(3)2密码算法描述及硬件实现分析2.1密码算法描述本文以双混沌系统作为序列密码内部状态更新的为
21、Amold映射参数矩阵,(12驱动部分,对每次迭代产生的状态变量基于位操作进行复杂置乱变换,产生输出密钥流。为了隐藏种子密钥信息并使其充分扩散,前8 次迭代仅用于系统置乱,并不产生密钥流。该密码系统的具体工作流程如图5所示。驱动部分初始化更新累加器累加器aggi-0N计算Amold映射更新累加器计算分段线性映射计算Amold映射N选代轮次大于8LY计算本文输出密钥流N结束系统输出TY结束图5密码系统工作流程开始计算分段线性映射Y388NETINFOSECURITY2024年第3期理论研究1)驱动部分初始化。取12 8 比特种子密钥K,前64比特初始化混沌系统的4个初始变量,后6 4比特初始化4
22、个耦合变量,具体方式如公式(4)和公式(5)所示,其中,K,表示种子密钥K的第i比特,1i128,i e N+。累加器初始值固定为常量。16X=ZK,2-=132X2=Z K,2-(-16)1-174813364X4=Z K;2-(-48)498091=Z K,2-(L-64)1-659692=Z K,2-(-80)1-819:=ZK,2-(-%)1-971284=Z K;2-(-11)1-1132)更新累加器。混沌系统中状态变量的低位具有更高的敏感度,因此选取四维状态变量的低三位进行异或,将结果累加至累加器agg上,如公式(6)所示。3Tail,-Bin,(13+i)x2-1agg=(agg
23、+Tail,Tail,Tail,T a i l 4)m o d 8其中,Bin(k)表示变量x二进制形式的第k位,Tail,表示二进制形式低三位的十进制整数。3)依据累加器高位aggi确定计算顺序。4)根据公式(3)和耦合规则,按照步骤3)进行第一阶段混沌映射计算。5)按照步骤2)更新累加器。6)根据公式(3)和耦合规则,按照步骤3)进行第二阶段混沌映射计算。7)判断迭代轮次是否大于8,若为否,则转至步骤2);否则,转至步骤8)。为充分利用种子密钥信息,前8 次迭代过程中,第一阶段计算完成后并不更新对应存储的耦合项。8)计算本文密钥流输出。为充分掩盖系统内部状态,选择第一阶段计算的二维映射,以
24、最新计算出的两个n+1时刻状态变量和两个n-1时刻状态变量,共4个16 比特二进制精度变量进行混淆并异或,输出最终密钥流。对应n-1和n+1时刻的4个状态变量的二进制形式可表示为BI,B,B,B。将这4个16 比特长度(4)的变量分为左8 比特和右8 比特,表示为1gr-,Ja r,gapr/am,lg/eg其中,lg表示变量Br的左8比特,-表示变量B-的右8 比特。从左池和右池中分别选取1个8 比特串按位异或,将结果按照S3,S2,Si,S4的方式重新排列即为本轮最终输出的32 比特密钥流,具体选取方式如公式(7)所示。(5)Bf?fS;9)判断是否结束运行,若不结束运行,则进人步骤2)再
25、次迭代。2.2硬件实现及轻量级分析针对上述密码系统,本文在硬件实现时只包含模(6)二加、移位和异或3种基本操作 30,通过选取参数i=1-2-5,u2=1-2-,将混沌方程中的数乘转为更易于硬件实现的移位操作,精度选择为16 比特二进制小数,方程计算以整数方式进行,架构策略为串行化、流水线式 31。系统在Xilinx公司ML510 VIRTEX-5开发板上进行硬件实现。2.2.1模块设计及仿真结果算法按照自顶向下设计和自下向上实现的策略进行。具体模块实现的RTL(R e g i s t e r T r a n s f e r Le v e l)如图6所示,其中时钟模块负责时钟信号处理、复位模块
26、负责系统复位信号处理、计算模块为算法主体实现、密钥处理模块完成密钥组合。(7)389NETINFOSECURITY理论研究2024年第3期时钟模块sysclkDsysclkioclkrstnLoCrstn复位模块ioclkrstnrstn_o图6 硬件RTL实现整体电路时序仿真如图7 所示。NamevalueTBsysclk178rst.n.o178 ioclk11grstn1key15:08518Tg key.donedata1:0,65:0state4:0idx2:0a&count78flagkey6463:0图6 和图7 中,sysclk和rstn_o表示系统输人时钟和复位信号;iocl
27、k和rstn表示处理后的时钟和复位信号;key15:0表示每轮输出的16 比特密钥流;key_done表示计算模块完成使能信号;data1:065:0表示128比特内部状态;state4:0表示运行状态,取值为010;i d x 2:0 表示3比特累加器;a表示密钥计算轮数;count表示累加器最高位;flag表示计算混沌方程标志;key6463:0表示处理后输出的6 4比特密钥流。所有信号变化均在时钟下降沿触发。经对比,硬件电路输出密钥流正确,算法硬件实现符合预期。2.2.2硬件资源消耗及吞吐量面向硬件的轻量级序列密码通常运行在较低时钟频率下,其资源消耗和功率均可用算法等效门GE确定,其计算
28、方式为算法占用的硬件资源面积与标准双输入与非门面积的比值 5。根据国际标准,当2 0 0 0 GE3000,算法是轻量级实现的;当10 0 0.key6463:03f99L011111000111011001000000000000011111-17d73f990000b000描述的硬件电路进行综合,时钟约束条件为10 0 kHz,工艺为130 nm。该工艺库中标准双输人与非门面积为7.5640m。综合后面积使用报告如表1所示。表1硬件电路面积使用报告使用资源用量端口数量355个线网数量1561个单元数量1042个组合单元数量833个连续单元数量202个缓冲器和反相器数量102个基准电路数量1
29、个组合面积10866.969730 m2非组合面积7053.150047 m2总芯片面积17920.119777 m表1中,总芯片面积即为算法实现电路的芯片使用面积,为17 9 2 0.119 7 7 7 m,与标准双输入与非门面积相除,结果为2 37 0 GE。因此本文算法资源消耗满足轻量级要求。吞吐量是一个序列密码算法的重要性能,反映了其产生密钥流的速率。对于硬件实现的算法,其运算时间单位为一个时钟周期,因此在不同时钟频率下实现的算法,每时钟周期产生的密钥流是恒定的,单位为bit/clk。该指标可以很好地衡量序列密码的吞吐量。对本文算法的硬件实现进行分析,经过初始迭代后,每19 个时钟周期
30、产生32 比特密钥流,其吞吐量为 1.6 8 bit/clk。3抗退化及安全性能分析3.1抗退化分析混沌应用于序列密码因精度缺失而导致的退化问题,严重影响了算法的安全性。数字混沌优良的抗退化性能是密码系统安全的前提,只有空间大小、周期性及相图等动力学性能优良才能进一步确保序列密码具有长周期、混淆和扩散的安全特性,因此必须对混沌密码系统进行全面的抗退化分析。390NETINFOSECURITY2024年第3期理论研究3.1.1驱动部分抗退化性能李亚普诺夫指数用来衡量一个混沌系统轨道的平均分离程度,其值越大,则轨道分离越快。表2 展示了四维时变耦合密码系统、四维固定耦合密码系统和Tent映射在李亚
31、普诺夫指数、内部状态长度、初始空间长度和轨道周期长度方面的性能对比。由表2 可知,在同样控制参数下,时变耦合系统的空间明显扩大、轨道周期明显增长,李亚普诺夫指数也优于固定耦合系统。表2 抗退化指标对比混沌系统Tent映射第一维第二维第三维第四维控制参数MI=1-2-6a=1,b=1C=1,d-24=1-25M2-1-2-6李亚普诺时变耦合0.684夫指数固定耦合内部状态时变耦合216比特长度固定耦合初始空间时变耦合216比特长度固定耦合轨道周期时变耦合9280比特长度固定耦合3.1.2动力学分析对本文密码系统驱动部分进行动力学特性分析,图8 为系统的三维相图。由图8 可知,该混沌系统均匀布满整
32、个相空间且不存在明显关系,有效改善了原始的吸引域形态。图9 为该混沌系统与原Tent映射状态变量的频数分布直方图,由图9 可知,该混沌系统有效改善了原Tent映射分布差异的情况。图10 为该混沌系统对应参数和2的分岔图,系统在参数域内表现出良好的混沌性能,提升了原Tent映射的参数空间。1.040.51.0a)系统第一维、第二维和第三维相图图8 双混沌系统三维相图12000100080040002000000.2a)双混沌系统状态变量频数分布直方图图9 分布直方图对比1.01.00.80.80.60.6(ux0.40.6260.6280.5610.5772131比特264比特2128比特264
33、比特大于1.6 x1013比特115660172368比特.0+7.0.501.01.0.0.50.52001200010008000聚6000402000.40.60.6430.6430.5670.5561.00.50.5b)系统第二维、第三维和第四维相图0.80.20a)双混沌系统参数u1分岔图图10 双混沌系统分岔图排列熵按照时间序列相邻值大小关系的排列模式描述其混乱程度和动力学突变行为,归一化后其值域为 0,1,越接近1,序列的混乱程度越高。关联维从系统状态的关联程度刻画系统的分形不规则程度,若该值大于2 或为分数,则表示该系统为混沌系统。近似熵通过时间序列中新模式产生的概率刻画系统的
34、不确定性,是一种量化时间序列波动规律性和不可预测性的度量,越复杂的时间序列近似熵越大。本文算法在参数域内产生的时间序列的排列熵、关联维、近似熵与实数域Tent映射的对比如图11、图12 和图13所示。由图11、图12 和图13可知,本文算法表现均优于原Tent映射,具有有优良的动力学特性。综合来看,时变互耦合双混沌密码系统可以有效缓解数字混沌系统的动力学特性退化问题。3.2安全性能分析3.2.1序列密码基本指标根据前文对算法的描述和分析可以得到其种子密钥长度、内部状态长度和密钥流出现周期长度,如表3所示。1.00.20.40.20.40.60.8b)原Tent映射状态变量频数分布直方图0.20
35、.60.81.01.00.2b)双混沌系统参数u2分岔图0.420.60.81.0391NETINFOSECURITY理论研究2024年第3期1.000.980.96-0时变双混沌山#0.94时变双混沌山-原 Tent映射0.920.9005321000.70.50.30.1-0.10种子密钥长度内部状态长度2128比特2131比特大于3.2 x1013-2比特算法种子密钥即为初始化混沌系统状态变量和耦合项使用的12 8 比特向量,内部状态则需加人3比特累加器。根据表2 的轨道周期长度可得密钥流出现周期的长度大于3.2 10 13-2 8 比特。3.2.2密钥敏感性种子密钥改变1比特,产生密钥
36、流改变的概率即为密码系统对种子密钥的敏感性 32。一个安全的密码系统对于种子密钥的每一比特改变,密钥流改变频率应为50%。对种子密钥的8 个16 比特序列(以16 进制表示)的最低位进行改变,其余12 7 比特保持不变,统计8 次改变后产生的10 比特密钥流的改变频率,结0.20.4图11排列熵对比。时变双混沌川+时变双混沌川-原 Tent 映射0.20.4图12 关联维对比-时变双混沌川+时变双混沌川一原 Tent 映射u0.20.4图13近似炳对比表3算法基础指标密钥流出现周期长度0.60.60.60.80.80.81.01.01.0果如表4所示。表4密钥敏感性分析初始化改变后种子密钥流改
37、变方式种子密钥变量13FBXiDE6AX2OCBDX39722X452A69185189211219389A094对8 个初始向量最微小比特的改变,本文算法输出密钥流的改变率与50%的差值在0.0 1%内,说明其具有极好的密钥敏感性,保证了种子密钥信息可以很好地扩散到输出的任一比特密钥流中。3.2.3信息滴与自相关分析信息从信息论的角度衡量序列包含信息的多少。序列数据的不确定性越高,信息熵越大 3.34。根据香农的信息论,信息熵的计算如公式(8)所示。H(X)=Z p(x)log2xeX其中,p()为变量取值x的概率,X为变量的所有可能取值集合。本文算法密钥流为8 比特二进制串,标准信息即为8
38、。随机选取50 组种子密钥产生密钥流测试信息熵,结果如图14所示。该50 组密钥流的信息均位于区间(7.99713,7.99818)内,十分接近8,可认为该算法产生的密钥流具有理想的不确定性。自相关用来说明一个信号在两个不同时刻的序列之间的依赖关系,能够明显反映时间序列的周期特点。移动步长不为0 时,若新序列与原始序列的自相关系数密钥流密钥改变量1013FA0-1DE6B1-0OCBC0197230152A70185191-011200189A11p(x)改变率4999946049.999460%5000345150.003451%5000501650.005016%4999960049.99
39、9600%4999847449.998474%4999965849.999658%4999981349.999813%4999608849.996088%(8)392NETINFOSECURITY2024年第3期理论研究7.99827.99807.99787.99767.99747.99727.99700为1,则该步长为序列的一个周期长度。自相关系数越接近0,原始序列与延迟序列之间相关性越低。对本文算法所产生的密钥流进行自相关分析,结果如图15所示。当移动步长不为0 时,自相关系数均位于-0.0 0 0 6 6 0 6,0.00085511内,十分接近0,因此该算法生成的密钥流不存在明显的重复
40、模式和周期序列。1.00.80.60.40.20-0.2-1003.2.4统计分析SP800-22测试是美国国家标准技术研究所(NationalInstitute of Standards and Technology,NIST)发布的一项对用于数据加密的随机数和伪随机数进行统计测试的套件 35。该测试套件使用统计学中的P-Value检验方法检测序列中是否存在特定模式,若存在该模式,则认为该序列不是随机的;否则,通过检测。以表4的种子密钥生成10 比特密钥流为例,将该密钥流每10 比特分为一组,共10 0 0 组,在显著水平取0.0 1的条件下分别进行15项测试,结果如表5所示。Q该密钥流15
41、项测试p值均大于0.0 0 0 1,通过率位于接0受域内,因此该组密钥流可通过SP800-22测试。1表5SP800-22测试结果测试项P值频率测试0.572847块内频率测试0.725829累计和测试0.8107901020种子密钥/组图14密钥流信息炳-500移动步长图15自相关分析通过率991/1000982/1000990/1000304050测试结果通过通过通过50游程测试块内最长游程测试二进制矩阵测试离散傅里叶变换测试非重叠模版匹配测试重叠模版匹配测试Maurer通用统计测试近似摘测试随机偏离测试随机偏离变量测试串行测试线性复杂度测试TestU01 也是一种随机性统计测试套件 3,
42、与SP800-22相比,其需要的数据量更大,测试项更多,通过标准更严格。该测试中,Alphabit套件包含17 个具体的测试项,Rabbit套件根据不同序列长度分为38、39 和40个测试项,BlockAlphabit将序列按照不同长度重新排列后进行Alphabit测试。对于同一种子密钥下生成的2 30比特密钥流,分别读取前2 2 比特、2 2 5比特和2 30 比特进行TestU01测试,结果如表6 所示。由表6 可知,该密钥流通过所有长度的测试项,因此可通过TestUO1测试。表6 TestU01测试结果100数据长度/比特AlphabitRabbitBlockAlphabit22017/
43、1722517/1723217/173.2.5图像加密结果分析本文以图像加密为例对算法加密密文结果进行分析。图像大小为512 512 个像素点,每个像素点包含3个取值0 2 55的RGB值,加密方式为将图像数据表示为二进制形式与算法密钥流进行异或,解密方式为密文数据与密钥流异或。同样选取表4中种子密钥生成的密钥流进行加解密,结果如图16 所示,其中,图16 d)0.7054660.5141240.3570000.7298700.4912600.0785670.7925080.4730640.4268300.6135390.2510780.76171938/3839/3940/40990/100
44、0992/1000992/1000987/1000990/1000987/1000987/1000990/1000616/621615/621983/1000984/1000102/102102/102102/102通过通过通过通过通过通过通过通过通过通过通过通过393NETINFOSECURITY理论研究2024年第3期解密使用的密钥流由与正确种子密钥相差1比特的种子密钥生成。由图16 可知,密文可以完全隐藏明文中的信息,并可以准确恢复明文数据,具有较高的安全性。a)明文数据c)密文解密结果图16 图像加解密结果像素直方图是检验图像加密效果的重要标准。加密前后的明密文像素频数分布直方图如图1
45、7 所示。由图17 可知,密文明显改善了原始图像分布差异的情况,可以有效抵抗各种统计攻击。104432100a)明文像素频数分布直方图1500010000500000b)密文像素频数分布直方图图17 明密文像素频数分布直方图针对图像加密的安全性,像素改变率(NumberofPixels Change Rate,NPCR)和平均差异强度(UnifiedAverage Changing Intensity,U A CI)可以很好地衡量密文对种子密钥的敏感性,其理想值分别为9 9.6 0 9 4%和33.4635%。对图像加密敏感性进行分析,结果如表7 所示。由表7 可知,所有像素单元的NPCR与U
46、ACI均十分接近理想值,进一步表明本文算法的加密密文具有b)密文数据较高的安全性。表7 图像加密敏感性分析种子初始化改变方式密钥变量13FBXId)解密出的明文图像52A64性能对比及抗攻击分析4.1 性能对比将本算法与ISO/IEC中的标准轻量级序列密码在密钥长度、等效门、吞吐量和统计测试通过率等方面进行对比,结果如表8。由表8 可知,本文算法在密钥长度、等效门和统计测试通过率上均有显著优势,在吞吐量上也显著优于Trivium算法。表8 算法性能比较密钥长度/等效门吞吐量TestU01SP800-22算法名称比特130260像素值130像素值改变后像素NPCRUACI种子密钥单元R99.60
47、70%33.5410%1013FA9101Trivium80Enocoro80SOSEMANUK256本文算法1284.2抗攻击分析为保证性能测试的完备性,还需进行抗攻击分析。柯克霍夫原则指出,密码系统的安全性依赖种子密钥而不是算法本身的保密性 37。实验在已知明文条件下对本文算法进行攻击。2604.2.1穷举密钥与弱密钥攻击穷举密钥攻击即列举所有种子密钥以找出正确的一组密钥。本文算法的种子密钥为12 8 比特,故需穷G99.6143%33.4627%B99.6173%33.4719%R99.6136%33.4886%52A7G99.6040%33.3867%B99.6124%33.5223%
48、/GE/bit/clk2599127008一23701.68通过率通过率33.3%70.0%38.0%35.0%42.3%60.0%71.7%394NETINFOSECURITY2024年第3期理论研究举2 12 8 组种子密钥,远大于轻量级序列密码要求的2 8 0,因此该算法可有效抵抗穷举密钥攻击。弱密钥攻击利用可产生具有明显统计特征密钥流的种子密钥,有区分地进行分析。本文算法的迭代方程公式(3)中的三、四维存在对计算结果翻转操作,对应常规混沌系统的拉伸和折叠操作。这种翻转操作可以将全为0 或全为1的内部状态翻转到相空间的其他状态,从而避免系统在弱密钥下一直处于固定状态。选择一系列具有明显特
49、征如全0 或全1的种子密钥,生成2 30 比特密钥流,进行统计测试。测试结果显示,本文算法可通过SP800-22和TestU01测试,具有良好的统计特性。其中全为0 和全为1的种子密钥产生的前12 8比特密钥流如表9 所示(以16 进制形式表示),证明了设计优良的混沌方程后,本文算法不存在明显的弱种子密钥,因此弱密钥攻击对本文算法无效。表9 弱密钥分析潜在弱密钥输出密钥流0000 0000 0000 0000 0000 0000 00005D8758C73F94EAC96C3AC0FA0000479A65BEFFFFFFFFFFFFFFFFFFFFFFFFFA73934F58F5CD1376C
50、4BBE5FFFFFFFF1169 81D74.2.2猜测确定攻击已知密码算法和部分明密文对,若能恢复出算法的内部状态,从而获得后续所有密钥流,即可完成破译。根据已知明密文对和公式(9)可得到对应的密钥流。key=CP(9)其中,key为密钥流,C为密文,P为明文。根据本文算法的密钥流输出方式可建立公式(10)。r=key ar(10)其中,key;为算法一次迭代中生成的第i个8 比特密钥流。每轮迭代中计算的二维映射顺序不同,首先需猜测3比特累加器以确定第一次计算的二维映射,并对该二维映射n+1时刻用于异或的32 比特数据进行猜测,将猜测结果代入公式(10)可得n-1时刻的32 比特变量。然后
浙ICP备2021020529号-1 | 浙B2-20240490 
