崔西寧，董星廷，牟 明，吳 姣

(1.西安電子科技大學(xué) 計(jì)算機(jī)學(xué)院，西安 710071； 2.中國(guó)航空工業(yè)集團(tuán)公司 西安航空計(jì)算技術(shù)研究所，西安 710068； 3.西安電子科技大學(xué) 通信工程學(xué)院，西安 710071)

(*通信作者電子郵箱cuixining@126.com)

白盒攻擊環(huán)境下的任務(wù)規(guī)劃系統(tǒng)安全傳輸方法

崔西寧1,2*，董星廷3，牟 明2，吳 姣2

(1.西安電子科技大學(xué) 計(jì)算機(jī)學(xué)院，西安 710071； 2.中國(guó)航空工業(yè)集團(tuán)公司 西安航空計(jì)算技術(shù)研究所，西安 710068； 3.西安電子科技大學(xué) 通信工程學(xué)院，西安 710071)

(*通信作者電子郵箱cuixining@126.com)

針對(duì)任務(wù)規(guī)劃系統(tǒng)中的安全傳輸在白盒攻擊環(huán)境(WABC)下通信密鑰容易被竊取的問題，提出基于修改之后的白盒高級(jí)加密標(biāo)準(zhǔn)(白盒AES)的任務(wù)規(guī)劃系統(tǒng)中的安全傳輸方法。首先，將高級(jí)加密標(biāo)準(zhǔn)(AES)拆分成許多查找表，并將密鑰嵌入到查找表當(dāng)中，然后再將查找表按照AES的執(zhí)行順序進(jìn)行合并；其次，在地面按照給出的白盒AES生成算法利用不同的密鑰生成不同的白盒AES程序；最后，將這些白盒AES程序嵌入到任務(wù)規(guī)劃系統(tǒng)的安全傳輸當(dāng)中，當(dāng)需要更換密鑰時(shí)，再在地面將原先的白盒AES程序擦除，生成新的白盒AES。理論分析表明，與傳統(tǒng)的任務(wù)規(guī)劃系統(tǒng)中的安全傳輸相比，修改后的任務(wù)規(guī)劃系統(tǒng)中的安全傳輸方法可使攻擊復(fù)雜度提高到291，達(dá)到足夠的安全強(qiáng)度，可以保護(hù)通信密鑰。

白盒攻擊環(huán)境; 任務(wù)規(guī)劃系統(tǒng); 安全傳輸; 白盒AES; 對(duì)偶密碼

0 引言

近年來(lái)隨著科學(xué)技術(shù)突飛猛進(jìn)的發(fā)展，傳統(tǒng)的密碼軟件使用環(huán)境越來(lái)越不安全，有的地方密碼軟件的加解密過程對(duì)于攻擊者來(lái)說(有可能是用戶本身)是完全可見的，他們很容易就可以獲得密鑰。同樣，在競(jìng)爭(zhēng)領(lǐng)域異常激烈的軍用密碼軟件中也存在這樣的問題。有可能敵方間諜在使用我方密碼軟件時(shí)很容易獲取我方密鑰或者對(duì)這些軟件內(nèi)部進(jìn)行更改、觀測(cè)，這都是我方的損失。任務(wù)規(guī)劃系統(tǒng)是航空領(lǐng)域的重要系統(tǒng)，一旦我國(guó)與敵國(guó)處于戰(zhàn)爭(zhēng)狀態(tài)，任務(wù)規(guī)劃系統(tǒng)的安全管理軟件的執(zhí)行環(huán)境就有可能面臨這樣的環(huán)境，使我方的密鑰被敵方抽取，導(dǎo)致航空任務(wù)無(wú)法完成或被敵方探明。

這種對(duì)運(yùn)行終端非常直接的攻擊方法叫作白盒攻擊，由Chow等于2002年在文獻(xiàn)[1]中提出。他們認(rèn)為在白盒攻擊環(huán)境(White-Box Attack Context, WBAC)中，密碼分析者對(duì)密碼終端軟件擁有完全的控制能力，與密碼軟件的執(zhí)行者擁有同等的權(quán)利，攻擊者可以對(duì)程序進(jìn)行二進(jìn)制追蹤，讀取其內(nèi)存中的密鑰，觀察程序執(zhí)行的中間結(jié)果，并且可以對(duì)程序進(jìn)行任意的靜態(tài)分析以及改變子計(jì)算結(jié)果，即攻擊者可以在終端做任何操作。相比傳統(tǒng)的黑盒模型，對(duì)攻擊者的能力只有很少的限制，這個(gè)環(huán)境很適合情況復(fù)雜多變的戰(zhàn)場(chǎng)環(huán)境。

在2002年Chow等[1]提出白盒攻擊環(huán)境同時(shí)，也提出了白盒密碼實(shí)例——白盒AES(Advanced Encryption Standard)，通過構(gòu)造查找表的形式將AES分解為小的模塊，再通過混淆變換將其混淆。但在2004年,Billet、Gilbert和Ech-Chatbi提出了BGE的攻擊[2]，是一種非常有效的針對(duì)白盒AES的攻擊方法。他們選擇某些特定的查找表合并成一個(gè)可以用輸入輸出表示的函數(shù)，并使用代數(shù)的方法去掉其中的非線性部分，從而能成功提取出隱藏在T-Box中的密鑰。在這以后，Chow白盒AES的兩個(gè)改進(jìn)方案,即Karroumi[3]提出的基于對(duì)偶AES密鑰的方案與文獻(xiàn)[4]中的Xiao-Lai改進(jìn)方案被提出，其中Xiao-Lai改進(jìn)方案已經(jīng)被De Mulder等在2012年攻破[5]，而Karroumi[3]提出的基于對(duì)偶AES密鑰的方案目前還沒有攻破。

任務(wù)規(guī)劃系統(tǒng)的原理是利用先進(jìn)的計(jì)算機(jī)技術(shù)，根據(jù)任務(wù)需求，從多渠道采集作戰(zhàn)需要的各種情報(bào)信息，分析戰(zhàn)場(chǎng)威脅環(huán)境，為任務(wù)規(guī)劃人員制作并提供威脅分布、突防路徑評(píng)估、數(shù)字地形、油量計(jì)算、氣象、機(jī)載武器性能等決策依據(jù)，為地面指揮員和作戰(zhàn)飛機(jī)機(jī)組人員制定作戰(zhàn)飛機(jī)出航航線和返航航線，調(diào)度空中作戰(zhàn)機(jī)群協(xié)同攻擊計(jì)劃和時(shí)間控制節(jié)點(diǎn)，確定武器載荷和武器發(fā)射或投擲的時(shí)間節(jié)點(diǎn)和地點(diǎn)，評(píng)估作戰(zhàn)效能和出航損傷率，以實(shí)現(xiàn)對(duì)敵方地面目標(biāo)的精確打擊和低損傷率，是航空兵對(duì)地作戰(zhàn)指揮系統(tǒng)的核心組成部分。任務(wù)規(guī)劃系統(tǒng)的安全管理軟件負(fù)責(zé)任務(wù)規(guī)劃系統(tǒng)的信息安全。本文基于Karroumi[3]修改的Chow白盒AES來(lái)構(gòu)造在白盒攻擊環(huán)境下安全的任務(wù)規(guī)劃系統(tǒng)。

1 任務(wù)規(guī)劃系統(tǒng)安全

圖1為任務(wù)規(guī)劃系統(tǒng)整體框圖。安全管理軟件為圖中安全服務(wù)組件，為整個(gè)系統(tǒng)提供信息安全服務(wù)；最上層為各種應(yīng)用，通過調(diào)用各個(gè)組件的接口來(lái)獲得相應(yīng)的服務(wù)；數(shù)據(jù)通過最下層的中間件與外部系統(tǒng)進(jìn)行交換。

圖1 系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)采用C/S結(jié)構(gòu)，客戶端以對(duì)等實(shí)體的關(guān)系掛接在網(wǎng)絡(luò)上，同時(shí)掛接在網(wǎng)絡(luò)上的還有認(rèn)證服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、證書授權(quán)(Certificate Authority，CA)中心和配置管理服務(wù)器?？蛻舳耸褂肬SB Key，負(fù)責(zé)客戶端的數(shù)字簽名和加解密，也是用戶數(shù)字證書和私鑰的載體?？蛻舳丝梢允褂孟到y(tǒng)提供的文件訪問、文件交互以及數(shù)據(jù)庫(kù)訪問服務(wù)，各個(gè)功能由相應(yīng)的安全控制機(jī)制來(lái)保證操作與數(shù)據(jù)的安全性。

安全架構(gòu)從功能的角度來(lái)分層如圖2所示，最下層為整個(gè)系統(tǒng)的最基本的安全支撐——CA中心。往上一層為登錄認(rèn)證，系統(tǒng)的功能都需要在完成登錄認(rèn)證的基礎(chǔ)上才能使用。再上一層為系統(tǒng)的安全訪問控制，成功登錄的用戶所執(zhí)行的操作都需要經(jīng)過訪問控制組件的檢查，只有滿足安全策略的操作才能執(zhí)行。在訪問控制之上為系統(tǒng)的四類操作：數(shù)據(jù)庫(kù)操作、消息傳輸、文件訪問和文件交互。其中，消息傳輸和文件訪問需要用到數(shù)據(jù)安全傳輸；文件交互操作分為文件在本地和不在本地兩種情況，若在本地則直接發(fā)送給外域用戶，否則需要通過文件訪問從文件服務(wù)器獲取后再發(fā)送給外域用戶。

圖2 任務(wù)規(guī)劃系統(tǒng)安全架構(gòu)

2 任務(wù)規(guī)劃系統(tǒng)數(shù)據(jù)安全傳輸方法

為了保證系統(tǒng)中通信數(shù)據(jù)的安全性，需要對(duì)數(shù)據(jù)傳輸進(jìn)行保護(hù)，數(shù)據(jù)安全傳輸組件結(jié)合數(shù)據(jù)保護(hù)服務(wù)、安全協(xié)議組和動(dòng)態(tài)安全參數(shù)管理三者來(lái)實(shí)現(xiàn)保護(hù)數(shù)據(jù)包安全和為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施這兩個(gè)目標(biāo)，不僅能為通信提供強(qiáng)有力且靈活的保護(hù)，而且還能用來(lái)篩選特定數(shù)據(jù)流。數(shù)據(jù)安全傳輸組件基于一種端對(duì)端的安全模式。

數(shù)據(jù)安全傳輸是保護(hù)整個(gè)安全訪問中所有用戶通信安全的。它分為發(fā)送端和接收端，為應(yīng)用調(diào)用提供的接口，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理后發(fā)送給接收端。數(shù)據(jù)安全傳輸是由圖1中的安全服務(wù)組件實(shí)現(xiàn)的。

數(shù)據(jù)安全傳輸協(xié)議首先從系統(tǒng)消息中解析出消息類型，然后對(duì)應(yīng)消息類型從客戶端獨(dú)立線程中取得安全參數(shù)對(duì)應(yīng)用數(shù)據(jù)進(jìn)行保護(hù)，同時(shí)在數(shù)據(jù)封裝上增加相應(yīng)附加信息。

這里所描述的數(shù)據(jù)安全傳輸包括發(fā)送設(shè)計(jì)、接收設(shè)計(jì)、報(bào)文設(shè)計(jì)、加解密設(shè)計(jì)、哈希校驗(yàn)設(shè)計(jì)和錯(cuò)誤碼設(shè)計(jì)。如圖3所示為數(shù)據(jù)安全傳輸運(yùn)行流程。

圖3 數(shù)據(jù)安全傳輸運(yùn)行流程

驅(qū)動(dòng)程序獲得系統(tǒng)消息后，解析相應(yīng)字段，得到消息類型、接收方信息、安全參數(shù)標(biāo)記等信息。

在解析出相應(yīng)信息后發(fā)送端驅(qū)動(dòng)程序執(zhí)行以下步驟： 1)從客戶端獨(dú)立線程處獲得安全參數(shù);2)保護(hù)應(yīng)用數(shù)據(jù)；3)根據(jù)數(shù)據(jù)封裝格式封裝數(shù)據(jù)； 4)將封裝好的數(shù)據(jù)發(fā)送出去。

接收端驅(qū)動(dòng)程序執(zhí)行以下步驟： 1)通過解析接收數(shù)據(jù)頭獲取消息類型等信息；2)按照該信息從客戶端獨(dú)立線程處獲取安全參數(shù)；3)使用獲取的安全參數(shù)還原數(shù)據(jù)；4)將數(shù)據(jù)遞交給接收應(yīng)用程序。

加密完成后的數(shù)據(jù)封裝格式如圖4所示。其中：消息長(zhǎng)度表示整個(gè)數(shù)據(jù)包的長(zhǎng)度；消息類型表示是否需要加密；密鑰標(biāo)識(shí)用來(lái)從密鑰中心獲取密鑰；接收端消息指真正的接收用戶具體信息；序列號(hào)表示1～32位遞增的數(shù)值，唯一地標(biāo)識(shí)了數(shù)據(jù)包；可變長(zhǎng)數(shù)據(jù)指加了密的密文；哈希認(rèn)證結(jié)果表示前面的數(shù)據(jù)運(yùn)用哈希函數(shù)作用之后得到的哈希值。

圖4 報(bào)文格式

3 白盒AES

3.1 白盒AES的主要設(shè)計(jì)思想

白盒攻擊環(huán)境(WBAC)是這樣的一種攻擊環(huán)境：

1)完全授權(quán)的攻擊軟件和密碼軟件分享一臺(tái)主機(jī)，攻擊者完全接觸算法的應(yīng)用；

2)動(dòng)態(tài)的執(zhí)行(例如密鑰)能被觀察；

3)內(nèi)部算法細(xì)節(jié)完全可見，并且任意選擇。

置亂編碼的定義：X為一個(gè)m到n的轉(zhuǎn)換，選擇m比特雙射F和n比特雙射G稱X=G°X°F-1為一個(gè)X的編碼版本。其中:F是輸入編碼，G是輸出編碼。

函數(shù)分解：將大的雙射表分解為小的雙射表的組合，考慮Fi的大小為ni，這里n1+n2+…+nk=n，用‖來(lái)表示向量合成。函數(shù)分解F1‖F(xiàn)2‖…‖F(xiàn)k是雙射F使得

F(b)=F1(b1,b2,…,bn1)‖F(xiàn)2(bn1+1,bn1+2,…,bn1+n2)‖…‖F(xiàn)k(bn1+…+nk-1+1,bn1+…+nk-1+2,…,bn)

Y°X的網(wǎng)絡(luò)編碼(即變換X執(zhí)行之后執(zhí)行變換Y)是一個(gè)編碼形式:

X′°Y′=(H°Y°G-1)°(G°X°F-1)=H°(Y°X)°F-1

注意到雙射F、G、H被隱藏了。

3.2 白盒AES的主要設(shè)計(jì)方法

白盒AES的設(shè)計(jì)思路是：首先利用矩陣乘法規(guī)則將AES的每一輪拆分成一個(gè)個(gè)小的矩陣，將密鑰嵌入到拆分后的矩陣中；然后對(duì)每個(gè)矩陣的兩邊乘上置亂矩陣；最后將這些矩陣用查找表的形式表示。在白盒攻擊環(huán)境中，攻擊者最終看到的是乘上置亂矩陣之后的查找表，由于置亂矩陣對(duì)攻擊者是未知的，所以他無(wú)法從中得知有用的信息。

典型的AES由10輪組成，每一輪包括4個(gè)部分：SubBytes、ShiftRows、MixColumns和AddRoundKey。在第一輪運(yùn)行之前先做一個(gè)AddRoundKey，而最后一輪沒有MixColumns。

白盒AES將AddRoundKey和SubBytes結(jié)合起來(lái)作為一個(gè)T函數(shù)，為8bit輸入8bit輸出，具體定義如下：

(1)

(2)

緊接著進(jìn)行MicCloums變換，為避免大的查找表，這時(shí)要用到函數(shù)分解的思想，利用矩陣分塊把列混合矩陣MC分解為四塊小矩陣；

MC=(MC1,MC2,MC3,MC4)

然后再與T變換之后的輸出作用，具體見下式：

(MC1,MC2,MC3,MC4)×

此即為置亂編碼后的二型表，為8bit輸入32bit輸出表，如圖5所示。

圖5 四個(gè)二型表結(jié)合

接下來(lái)制作三型表。三型表要與前面的二型表相結(jié)合，根據(jù)網(wǎng)路編碼原則需要消掉前面的混合雙射MBi,又要與下一輪的混合雙射mbi抵消，所以三型表如下所示：

為8bit輸入32bit輸出表。

接下來(lái)是四型表。因?yàn)樵贏ES中的矩陣有加法操作，但白盒AES中只有各種各樣的查找表，所以要將矩陣的加法用查找表的形式表示出來(lái)。以上三種類型的查找表都是矩陣的乘法形式轉(zhuǎn)換成的，所以在此應(yīng)該對(duì)矩陣的加法做查找表。查找表的做法是：其中一側(cè)是輸入，是兩個(gè)4bit的列向量；另一側(cè)是輸出，是兩個(gè)輸入的和。如圖6所示。

圖6 四型表

一型表是對(duì)整個(gè)算法進(jìn)行混淆并且對(duì)第一輪的混合雙射mb1和最后一輪的mb10進(jìn)行消除，為一個(gè)8bit輸入128bit輸出。

3.3 BGE攻擊

BGE的主要思想是通過對(duì)單個(gè)查找表觀察來(lái)回復(fù)密鑰是困難的，但是通過組合查找表為一輪來(lái)分析，恢復(fù)密鑰信息是比較容易的。

他們將白盒AES的二型表和三型表結(jié)合起來(lái)考慮：

(mbr+1)-1×MB-1×MB×MC×

[x0x1x2x3]T=

圖7 白盒AES的一個(gè)映射

攻擊的主要步驟如下：1)把非仿射變換P、Q轉(zhuǎn)變?yōu)榉律溆成洌?)計(jì)算出仿射映射Q；3)由P、Q計(jì)算出隱藏在T盒中的密鑰。具體過程見參考文獻(xiàn)[2]，這里不再詳細(xì)敘述。

3.4 白盒AES的修改

Karroumi[3]對(duì)Chow的白盒AES進(jìn)行了修改。

AES是基于有限域GF(28)上的簡(jiǎn)單的代數(shù)結(jié)構(gòu),如果改變AES的所有常量，包括不可約多項(xiàng)式、矩陣參數(shù)、仿射變換，就構(gòu)造出新的對(duì)偶密碼。在文獻(xiàn)[8]中有240個(gè)新的AES對(duì)偶密碼被構(gòu)造，在文獻(xiàn)[10]中被擴(kuò)展到了61 200個(gè)。

AES和對(duì)偶AES的輸出是有關(guān)系的。存在一個(gè)線性變換Δ將AES的比特狀態(tài)映射到對(duì)偶AES的比特狀態(tài)，即X對(duì)偶=Δ(X)，相同的變換還有P對(duì)偶=Δ(P),C對(duì)偶=Δ(C),K對(duì)偶=Δ(K)。

字節(jié)替換操作為一個(gè)代數(shù)結(jié)構(gòu)：

r∈[2,3,…,10]，i,j∈[0,1,2,3]

4 本文安全傳輸方法的設(shè)計(jì)

任務(wù)規(guī)劃系統(tǒng)對(duì)于航空任務(wù)的完成至關(guān)重要,因此敵手會(huì)用盡其所能的手段來(lái)攻擊它，包括在我方安插臥底來(lái)了解我方任務(wù)規(guī)劃系統(tǒng)的具體實(shí)施流程,或通過越來(lái)越先進(jìn)的手段比如惡意主機(jī)攻擊、旁信道攻擊[6]等攻擊手段來(lái)攻擊我方軟件。在面臨這種攻擊時(shí),任務(wù)規(guī)劃系統(tǒng)的安全傳輸?shù)木唧w執(zhí)行情況將完全暴露在敵手的眼前,讓他們輕而易舉地抽取出密鑰，這就是Chow提到的白盒攻擊環(huán)境。所以本文必須想一個(gè)辦法來(lái)對(duì)付這樣的情況,即應(yīng)用白盒加密系統(tǒng)來(lái)改善。

圖8 Mohamed Karroumi改進(jìn)的表

由于白盒AES是把密鑰嵌入到加解密算法里面，生成一些查找表，在加密解密過程中，通過查找表來(lái)生成相應(yīng)的密文和明文。所以可以設(shè)計(jì)一個(gè)專門用來(lái)生成查找表的驅(qū)動(dòng)程序來(lái)不斷構(gòu)造查找表，或者可以生成固定查找表嵌入到傳輸程序當(dāng)中。由于驅(qū)動(dòng)程序在生成查找表時(shí)會(huì)用到密鑰，所以驅(qū)動(dòng)程序生成AES查找表的過程應(yīng)在安全的地方進(jìn)行。

我告訴她，我平常早晨不吃飯上班，中午在食堂里吃，晚上自己簡(jiǎn)單做點(diǎn)兒，溫點(diǎn)兒酒喝。家里還有一個(gè)小型電視機(jī)，手提式的，很方便。一個(gè)人在屋里一直看到電

本文設(shè)計(jì)了一種可以抵抗白盒攻擊環(huán)境的安全傳輸方法。首先在飛機(jī)基地用不同類型的密鑰通過驅(qū)動(dòng)程序生成不同的查找表，加密時(shí)可以根據(jù)需要選擇查找表來(lái)進(jìn)行加密。在安全傳輸中加入一個(gè)生成白盒AES的驅(qū)動(dòng)程序,用來(lái)根據(jù)系統(tǒng)消息的報(bào)頭來(lái)選用相應(yīng)的白盒AES。運(yùn)行流程如圖9所示。

圖9 改進(jìn)的安全傳輸

這樣,通過生成Karroumi[3]改進(jìn)的AES查找表來(lái)設(shè)計(jì)白盒安全傳輸應(yīng)用給發(fā)送接口傳遞消息類型、數(shù)據(jù)、數(shù)據(jù)長(zhǎng)度和用戶信息四個(gè)參數(shù)。接口根據(jù)消息類型判斷是否需要加密，如果需要,則驅(qū)動(dòng)程序在客戶端獨(dú)立線程獲得安全參數(shù)，生成加密AES查找表。消息數(shù)據(jù)輸入到改進(jìn)的白盒AES，然后將輸出的數(shù)據(jù)封裝成如圖4所示的報(bào)文，最后將報(bào)文利用飛機(jī)上的通信協(xié)議發(fā)送出去。

驅(qū)動(dòng)程序的設(shè)計(jì)如下：

1)從客戶端獨(dú)立線程中取出安全參數(shù)作為密鑰，通過密鑰擴(kuò)展函數(shù)將其擴(kuò)展為10組子密鑰。下面以利用128位的密鑰制作二型表為例來(lái)說明查找表的制作過程。128位的密鑰為3CA1 0B21 57F0 19 16 90 2E13 80ACC1 07BD，通過密鑰擴(kuò)展算法[7]得出第一輪的子密鑰為45 64 71B0 12 94 68A6 82BA7B26 2E7B7C9B。

MC×S(P(2)+K(2))=

[MC1MC2MC3MC4]×[C7 BE 46 FF]T=

C7×MC1⊕BE×MC2⊕46×MC3⊕FF⊕MC4=

表1 二型表

表1所占用的內(nèi)存空間為29=512Byte，白盒AES一輪需要16個(gè)這樣的表,總共10輪，所以占用的總內(nèi)存空間為160×512=81 920字節(jié)。接下來(lái)的一、三、四型表按照同樣的思路制作,最后得出整個(gè)白盒AES查找表,其需要內(nèi)存770 048MB[1]。

3)將查找表按照AES執(zhí)行順序進(jìn)行整理排列，然后將其嵌入到內(nèi)存當(dāng)中。以后的加密解密就通過查找表的方式進(jìn)行,加密完成后,驅(qū)動(dòng)程序?qū)⒓用蹵ES查找表從內(nèi)存中擦除。

4)接收端收到消息,并根據(jù)報(bào)頭查看消息是否加密。

5)如果加密,則驅(qū)動(dòng)程序去獲得安全參數(shù)庫(kù)里的安全參數(shù),生成解密AES查找表,加密消息通過查找對(duì)應(yīng)的查找表獲得相應(yīng)的明文

程序運(yùn)行過程的異常處理方式如下：

1)建立連接失敗，嘗試三次仍然失敗，返回錯(cuò)誤碼給應(yīng)用；

2)發(fā)送數(shù)據(jù)失敗，嘗試三次仍然失敗，返回錯(cuò)誤碼給應(yīng)用。

5 方法安全性評(píng)估

本文設(shè)計(jì)的安全性依賴于白盒AES的安全性，其中由Chow等[1]設(shè)計(jì)的白盒AES可以被BGE算法[2]在230攻破，而Karroumi等[3]利用對(duì)偶密碼來(lái)改造白盒AES，目前暫時(shí)未被破解。

在改進(jìn)的白盒AES中，用到的對(duì)偶密碼有61 200個(gè)。這61 200個(gè)對(duì)偶密碼中的每一個(gè)都可以作用到二型表的改進(jìn)當(dāng)中。由于白盒AES每一輪中有四個(gè)二型表，每一個(gè)二型表都可以與61 200個(gè)對(duì)偶密碼中的一個(gè)來(lái)作用，則可以有642 0004≈263種可能。在白盒攻擊環(huán)境中，攻擊者只能看到輸入與對(duì)應(yīng)的輸出，無(wú)法了解使用的哪一種對(duì)偶密碼進(jìn)行作用，只能用窮舉的方法，這就使得攻擊復(fù)雜度有原來(lái)的4×225=227增加到了4×225×263=290。這種改進(jìn)使得攻擊復(fù)雜度大大提高，保證了白盒AES的安全可靠。

對(duì)于本文設(shè)計(jì)的新的安全傳輸方法，由于生成白盒AES是在飛機(jī)基地事先秘密完成，而白盒AES在使用過程中被攻破的復(fù)雜度很大，所以整個(gè)安全傳輸方法在白盒攻擊環(huán)境下是安全的。

6 結(jié)語(yǔ)

本文介紹了白盒攻擊環(huán)境下任務(wù)規(guī)劃系統(tǒng)的安全傳輸方法。首先，對(duì)傳統(tǒng)的高級(jí)加密標(biāo)準(zhǔn)白盒化，使其可以抵抗白盒攻擊；其次，按照給出的白盒AES生成算法，利用不同的密鑰生成不同的白盒AES程序；最后，將相應(yīng)的白盒AES程序嵌入到任務(wù)規(guī)劃系統(tǒng)的安全傳輸當(dāng)中。經(jīng)過理論分析，修改后的任務(wù)規(guī)劃系統(tǒng)中的安全傳輸方法提高了攻擊難度，達(dá)到足夠的安全強(qiáng)度，可以保護(hù)通信密鑰。

)

[1]CHOWS,EISENP,JOHNSONH,etal.White-boxcryptographyandanAESimplementation[C]//SAC2002:Proceedingsofthe9thAnnualInternationalWorkshoponSelectedAreasinCryptography,LNCS2595.Berlin:Springer-Verlag, 2003: 257-270.

[2]BILLETO,GILBERTH,ECH-CHATBIC.Crytanalysisofawhite-boxAESimplementation[C]//SAC2004:Proceedingsofthe11thAnnualInternationalWorkshoponSelectedAreasinCryptography,LNCS3357.Berlin:Springer-Verlag, 2005: 227-240.

[3]KARROUMIM.Protectingwhite-boxAESwithdualciphers[C]//ICISC2010:Proceedingsofthe13thInternationalConferenceonInformationSecurityandCryptology,LNCS6829.Berlin:Springer-Verlag, 2011: 278-291.

[4]XIAOY,LAIX.Asecureimplementationofwhite-boxAES[C]//CSA2009:Proceedingsofthe2ndInternationalConferenceonComputerScienceanditsApplocations.Piscataway,NJ:IEEE, 2009: 410-415.

[5] DE MULDER Y, ROELSE P, PRENEEL B.Cryptanalysis of the Xiao-Lai White-Box AES implementation [C]// SAC 2012: Proceedings of the 19th International Conference on Selected Areas in Cryptography, LNCS 7707.Berlin: Springer-Verlag, 2012: 34-49.

[6] 張效強(qiáng),王峰,高開明.基于加密算法的數(shù)據(jù)安全傳輸?shù)难芯颗c設(shè)計(jì)[J].計(jì)算機(jī)與數(shù)字工程,2008,36(5):107-109.(ZHANG X Q,WANG F,GAO K M.Research and design for secure transmission of data based on encrypt algorithms [J].Computer and Digital Engineering, 2008, 36(5): 107-109.)

[7] National Institute of Standards and Technology.Advanced Encryption Standard (AES) (FIPS PUB 197) [S/OL].Federal Information Processing Standards Publication, 2001 (2001- 11- 06) [2016- 03- 06].http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf.

[8] BARKAN E, BIHAM E.In how many ways can you write Rijndael [C]// ASIACRYPT 2002: Proceedings of the 2002 International Conference on the Theory and Application of Cryptology and Information, LNCS 2501.Berlin: Springer-Verlag, 2002: 160-175.

[9] KOCHER P C.Timing attacks on implementations of Diffie-Hellman, RSA, DSS, and other systems [C]// CRYPTO 1996: Proceedings of the 16th Annual International Cryptology Conference, LNCS 1109.Berlin: Springer-Verlag, 1996: 104-113.

This work is partially supported by the National Major Science and Technology Projects (2012ZX01041- 006).

CUI Xining, born in 1964, Ph.D., research fellow.His research interests include distributed security management, parallel distributed system, real-time operating system, information security.

DONG Xingting, born in 1989, M.S.candidate.His research interests include cryptography, information security.

MU Ming, born in 1973, M.S., research fellow.His research interests include software engineering, software testing.

WU Jiao, born in 1987, M.S., engineer.Her research interests include embedded software, airborne network.

Secure transmission method of mission planning system in white-box attack context

CUI Xining1,2*, DONG Xingting3, MU Ming2, WU Jiao2

(1.SchoolofComputerScienceandTechnology,XidianUniversity,Xi’anShaanxi710071,China;2.Xi’anAeronauticalComputingTechniqueResearchInstitute,AviationIndustryCorporationofChina,Xi’anShaanxi710068,China;3.SchoolofTelecommunicationsEngineering,XidianUniversity,Xi’anShaanxi710072,China)

Concerning the problem that the communication keys in transmission of mission planning system were easily stolen in White-Box Attack Context (WBAC), a new secure transmission method of mission planning system was proposed based on modified white-box Advanced Encryption Standard (white-box AES).First, the Advanced Encryption Standard (AES) was split into many lookup tables and the keys were embedded into these lookup tables, then the lookup tables were merged in accordance with the excuting order of the AES.Secondly, on the ground, different white-box AES programs were generated in accordance with the given white-box AES generation algorithms using different keys.In the end, the white-box AES programs were embedded in the security transmission of the mission planning system.When the key needed to be replaced, the original white-box AES program should be erased on the ground to generate a new white-box AES.Theoretical analysis shows that compared with the traditional secure transmission of mission planning system, the modified secure transmission method of mission planning system can make the attack complexity to 291, which achieves the sufficient security and can protect the communication key.

White-Box Attack Context (WBAC); mission planning system;security transmission; white-box Advanced Encryption Standard (white-box AES); dual cipher

2016- 08- 01;

2016- 10- 18。 基金項(xiàng)目:國(guó)家重大科技專項(xiàng)(2012ZX01041- 006)。

崔西寧(1964—),男,陜西咸陽(yáng)人,研究員,博士,CCF高級(jí)會(huì)員,主要研究方向:分布式安全管理、并行分布式系統(tǒng)、實(shí)時(shí)操作系統(tǒng)、信息安全; 董星廷(1989—),男,山西臨汾人,碩士研究生,主要研究方向:密碼學(xué)、信息安全; 牟明(1973—),男,陜西西安人,研究員,碩士,CCF會(huì)員,主要研究方向:軟件工程、軟件測(cè)試; 吳姣(1987—),女,陜西西安人,工程師,碩士,主要研究方向:嵌入式軟件、機(jī)載網(wǎng)絡(luò)。

1001- 9081(2017)02- 0483- 05

10.11772/j.issn.1001- 9081.2017.02.0483

TP309.7

A