王傳福 丁群

(黑龍江大學(xué)電子工程學(xué)院,哈爾濱 150080)

基于混沌系統(tǒng)的SM4密鑰擴(kuò)展算法?

王傳福 丁群?

(黑龍江大學(xué)電子工程學(xué)院,哈爾濱 150080)

(2016年8月21日收到;2016年11月6日收到修改稿)

分組密碼是一類廣泛使用的加密方法.在網(wǎng)絡(luò)數(shù)據(jù)加密體系中,為提高信息的安全性,需要保證初始密鑰具有足夠大的密鑰空間.為克服量子計(jì)算機(jī)對短密鑰的威脅,一種基于混沌映射的新型密鑰擴(kuò)展算法被提出.該算法將混沌映射融入到原SM4密鑰擴(kuò)展算法中,有效增大了密鑰空間,提高了破譯難度.

混沌,密鑰擴(kuò)展算法,現(xiàn)場可編程門陣列

1 引 言

信息時(shí)代的到來,大數(shù)據(jù)的分析和處理是現(xiàn)在許多科技領(lǐng)域的基礎(chǔ).隨著網(wǎng)絡(luò)通信技術(shù)的進(jìn)步,網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩栽絹碓绞艿街匾?美國首先推出了DES數(shù)據(jù)加密標(biāo)準(zhǔn)算法,由于密鑰空間較小不久就被成功破譯.隨后在2002年,著名的高級(jí)加密標(biāo)準(zhǔn)AES正式發(fā)布.至今,AES已經(jīng)成為運(yùn)用最為廣泛的分組加密算法.在我國眾多學(xué)者的不斷努力下,研發(fā)出了WAPI無線網(wǎng)絡(luò)標(biāo)準(zhǔn)加密算法SMS4算法[1],于2012年被國家商用密碼管理局確定為國家密碼行業(yè)標(biāo)準(zhǔn),并更名為SM4算法.SM4算法是基于Feistel結(jié)構(gòu)的32輪迭代運(yùn)算,具有加、解密的自相似性,被廣泛運(yùn)用在互聯(lián)網(wǎng)數(shù)據(jù)的安全傳輸中.

混沌是近幾十年來興起的一門新型學(xué)科[2-5],固有的復(fù)雜動(dòng)力學(xué)特性使得其具有初始值敏感性、內(nèi)在隨機(jī)性、運(yùn)動(dòng)軌道遍歷性和確定性等諸多特性.這些特性與Shannon提出的“混淆性”和“擴(kuò)散性”相一致,為將混沌系統(tǒng)運(yùn)用于密碼學(xué)提供了理論基礎(chǔ).混沌與密碼學(xué)的結(jié)合設(shè)計(jì)與應(yīng)用儼然成為密碼學(xué)中的一個(gè)新方向.近幾年來,許多學(xué)者致力于混沌和密碼學(xué)的研究并得到了顯著的成果.將混沌運(yùn)用于分組密碼體系中的混合密碼有著廣泛的運(yùn)用前景,特別是將混沌特性融入原有的密鑰擴(kuò)展算法中.2005年權(quán)安靜等[6]將超混沌映射引入DES和AES算法中.初始密鑰作為超混沌映射輸入,生成的偽隨機(jī)序列為DES,AES密鑰擴(kuò)展算法的輸出.2008年趙芮等[7]提出二維Logistic與Chebyshev映射來代替整個(gè)密鑰擴(kuò)展算法,并提出了一次一密思想,擴(kuò)大了原算法的密鑰空間.趙芮等僅詳細(xì)討論了加密算法.由于密鑰實(shí)時(shí)在變化,該思想下的解密算法不能得到正確的解密.2009年陳紅和陳誼[8]提出利用Logistic混沌系統(tǒng)直接替換AES的密鑰擴(kuò)展算法.該算法增強(qiáng)了AES輪密鑰間的隨機(jī)性.對于混沌系統(tǒng)與分組密碼結(jié)合的架構(gòu)大致如此.有的學(xué)者也提出其他混合算法,但在架構(gòu)上無太大改變,僅在混沌系統(tǒng)選取上有所變化.

2006年胡祥義和劉彤[9]提出了動(dòng)態(tài)對稱密碼的思想.2008年,蔣繼婭等[10]給出了實(shí)現(xiàn)方案.該方案需要利用大量的存儲(chǔ)單元對偽隨機(jī)數(shù)存儲(chǔ),通過每次加密時(shí)選取不同的偽隨機(jī)序列值進(jìn)行動(dòng)態(tài)加密.2011年,周術(shù)洋等[11]結(jié)合了動(dòng)態(tài)對稱密碼的思想提出了動(dòng)態(tài)的SM4加密算法.并在蔣繼婭、劉彤、胡祥義等基礎(chǔ)上減少了存儲(chǔ)單元.同年,趙爾凡、趙耿將混沌系統(tǒng)和SM4算法相結(jié)合,提出了基于Logistic和Tent映射下的SM4算法.該算法不僅利用Logistic和Tent映射代替原密鑰擴(kuò)展算法,而且還生成了動(dòng)態(tài)S盒.基于以上專家、學(xué)者們對分組密碼融合混沌的研究,本文提出一種基于混沌映射的密鑰擴(kuò)展算法.該密鑰擴(kuò)展算法在保留原分組密碼的密鑰擴(kuò)展算法上,增加了低精度混沌映射.該算法與現(xiàn)存的混沌密鑰擴(kuò)展算法相比,不僅增大了密鑰空間,增強(qiáng)了輪密鑰間的隨機(jī)性,更使加密后的密文僅與密鑰、明文相關(guān),與任何靜態(tài)存儲(chǔ)值無關(guān).

2 混沌系統(tǒng)的選取與設(shè)計(jì)

本文采用混沌系統(tǒng)對原密鑰擴(kuò)展算法進(jìn)行融合,極大地增加了原輪密鑰間的隨機(jī)性.由于硬件實(shí)現(xiàn)上受邏輯資源的限制,故該混沌系統(tǒng)選用Logistic映射,其表達(dá)式如下：

其中n∈(0,1,2,3,···),xn∈(0,1).μ為系統(tǒng)參數(shù),μ∈(0,4].x0為混沌初始值.xn為本次迭代值,xn+1為本次迭代輸出值.雖然Logistic混沌映射具有混沌系統(tǒng)的諸多優(yōu)質(zhì)特性,但將其融入到特定背景下的密碼學(xué)算法中仍有許多問題值得注意.

2.1 混沌參數(shù)及初始值選取

Logistic映射中的μ作為系統(tǒng)參數(shù),μ的取值控制著系統(tǒng)是否具有混沌特性.當(dāng)μ∈(3.5699456,4]時(shí)Logistic映射處于混沌區(qū).Logistic映射分叉圖如圖1所示.

圖1 Logistic映射分叉圖Fig.1.Bifurcation diagram of Logistic map.

陳紅和陳誼[8]以及潘晶等[12]選用μ和x0作為初始密鑰,在增強(qiáng)輪密鑰隨機(jī)性的同時(shí)也增大了密鑰空間.但由圖1所示,在μ∈(3.5699456,4]時(shí),有周期窗口出現(xiàn).該現(xiàn)象說明Logistic映射處在混沌區(qū)時(shí),仍會(huì)出現(xiàn)周期性.該周期窗口主要出現(xiàn)在μ∈(3.828,3.875].μ值參數(shù)選取對Logistic軌道的影響如表1所列[13].

表1μ值參數(shù)選取Table 1.The selection ofμvalue.

僅在μ∈(3.571448,3.82842]與μ∈(3.9,4]時(shí)存在混沌軌跡.將參數(shù)μ作為初始密鑰的輸入,僅使初始密鑰的密鑰空間略有增加.由于參數(shù)μ取值范圍過窄,密鑰交換后的初始密鑰需要通過選取特定區(qū)間的值作為真正的加密初始密鑰,對整個(gè)加密算法帶來不便.因此,參數(shù)μ盡量不作為初始密鑰使用.如圖1所示,當(dāng)μ=4時(shí)Logistic混沌具有明顯的軌道全遍歷性.4為2的倍數(shù),便于Logistic映射數(shù)字化的實(shí)現(xiàn).因此,參數(shù)μ選取固定值4,僅混沌初始值x0作為初始密鑰.

2.2 混沌數(shù)字化

以上討論皆是Logistic混沌映射在實(shí)數(shù)領(lǐng)域中的特性.由于網(wǎng)絡(luò)數(shù)據(jù)傳輸都是離散二值序列.因此,將Logistic混沌映射運(yùn)用于實(shí)際數(shù)字電路中時(shí),需要進(jìn)行數(shù)字化處理.混沌序列處理方法有許多種,如二值量化、位序列設(shè)計(jì)、區(qū)間量化、整數(shù)求余量化等[14].其中位序列設(shè)計(jì)具有操作簡單、節(jié)省資源消耗、一次能出多個(gè)二值序列等優(yōu)點(diǎn).該方法有利于硬件并行運(yùn)算,提高算法實(shí)現(xiàn)的速度.位序列設(shè)計(jì)的主要思想是將混沌實(shí)值序列用有限長度的浮點(diǎn)數(shù)表示,取出全部或從中抽取幾位二值序列作為二值量化后的結(jié)果.計(jì)算機(jī)中的數(shù)據(jù)本來就是以浮點(diǎn)數(shù)形式表示,在硬件實(shí)現(xiàn)中可轉(zhuǎn)化為定點(diǎn)數(shù)表示,相比浮點(diǎn)數(shù)提高了幾位有效精度.因?yàn)閤n的取值范圍為小數(shù),十進(jìn)制與二進(jìn)制之間轉(zhuǎn)化公式為

其中yk∈{0,1},k為小數(shù)點(diǎn)后第k位.因此,可將十進(jìn)制小數(shù)轉(zhuǎn)化為二進(jìn)制小數(shù)：

由于FPGA不能直接計(jì)算小數(shù),故將二進(jìn)制小數(shù)轉(zhuǎn)化為定點(diǎn)整數(shù),對(2)式兩邊同乘2l進(jìn)行定點(diǎn)化：

那么,定點(diǎn)化后的二進(jìn)制小數(shù)為

定點(diǎn)化后的二進(jìn)制序列可由yk直接表示.利用混沌映射迭代一次可得二進(jìn)制隨機(jī)序列l(wèi)位,實(shí)現(xiàn)速度最多是二值量化、區(qū)間量化的l倍.

2.3 混沌序列隨機(jī)性檢測

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)推出NIST測試程序包,用來測試隨機(jī)數(shù).有頻率檢測、塊內(nèi)頻數(shù)檢測和游程檢測等多種測試手段.該測試主要檢測量化后任意長度的二進(jìn)制序列,主要致力于判斷可能存在于序列中各種各樣的非隨機(jī)性.對Logistic混沌序列測試結(jié)果可知,24位、32位等低精度的Logistic測試并未達(dá)到標(biāo)準(zhǔn).該檢測表明Logistic映射輸出具有周期性.混沌映射經(jīng)過數(shù)字化后受到有限字長效應(yīng),混沌特性逐漸退化,輸出序列產(chǎn)生周期性[15-17].量化后的混沌映射隨著量化位數(shù)精度的增加,輸出序列凸顯的周期性逐漸減弱.因此,低量化位數(shù)精度的Logistic映射輸出值不能成為隨機(jī)性較完美的二值序列.NIST序列測試是檢測大量二值序列的隨機(jī)性,主要運(yùn)用在流密碼的檢測.本文中Logistic映射并不作為流密碼使用,而是僅取輸出序列中的部分序列來去除原SM4密鑰擴(kuò)展算法中輪密鑰間的相關(guān)性.由于SM4密鑰擴(kuò)展算法僅需要32個(gè)32比特的隨機(jī)序列,因此只需要在Logistic映射輸出序列中選取32個(gè)32比特短序列即可.該部分序列能夠保證具有良好的隨機(jī)性.混沌映射或混沌方程往往包含乘法或除法.隨著乘法位數(shù)的增加,硬件資源的消耗急劇增大.分組密碼較流密碼而言,其硬件實(shí)現(xiàn)資源消耗相對較多.此時(shí)利用高精度的混沌映射來替代原分組密碼的密鑰擴(kuò)展算法,硬件實(shí)現(xiàn)資源消耗較多.僅利用部分序列的隨機(jī)特性參與密鑰擴(kuò)展運(yùn)算的算法極大地減少了Logistic映射硬件實(shí)現(xiàn)的工作量,并同時(shí)增加了輪密鑰間的隨機(jī)性.

2.4 Logistic混沌映射的實(shí)現(xiàn)

由(1)式可知,Logistic混沌映射基于循環(huán)迭代結(jié)構(gòu).Logistic混沌映射原理框圖如圖2所示.

圖2 Logistic原理圖Fig.2.The schematic diagram of Logistic.

圖2可知,定點(diǎn)化后的Logistic映射公式中(1-xn)模塊可通過取反模塊與+1模塊快速實(shí)現(xiàn).利用FPGA(現(xiàn)場可編程門陣列)硬件實(shí)現(xiàn)的物理RTL(寄存器轉(zhuǎn)換級(jí)電路)圖如圖3所示.

圖3 Logistic映射RTL圖Fig.3.Logistic mapping RTL schematic.

3 基于混沌SM4 混合加密算法設(shè)計(jì)

加密算法是保證數(shù)據(jù)安全傳輸?shù)睦碚撘罁?jù),我國首次推出的互聯(lián)網(wǎng)數(shù)據(jù)加密標(biāo)準(zhǔn)商用分組密碼是SM4算法.該算法能夠有效抵御差分攻擊和線性攻擊.但相對AES和Camellia算法而言,仍具有密鑰空間較小的安全隱患.雖然128位密鑰長度支撐的密鑰空間在現(xiàn)有的窮舉手段下無法破譯.但隨著量子計(jì)算機(jī)研究推進(jìn),在未來幾十年中存在被破譯的隱藏危險(xiǎn).

3.1 增加密鑰空間思想的提出

本文將SM4密鑰擴(kuò)展算法與混沌系統(tǒng)相結(jié)合,提出一種長密鑰的動(dòng)態(tài)SM4加密算法,在增加密鑰空間的同時(shí)也增強(qiáng)了加密系統(tǒng)的破譯難度.原SM4密鑰擴(kuò)展算法通過32輪Feistel結(jié)構(gòu)迭代產(chǎn)生,每輪迭代輸出一個(gè)32比特?cái)?shù)Ki+4.每輪迭代框圖如圖4所示.

圖4 SM4密鑰擴(kuò)展算法Fig.4.SM4 key scheme.

首先將輸入的128位初始密鑰分為四組,每組32位,由如下符號(hào)表示：

整個(gè)密鑰擴(kuò)展算法如下.

定義⊕為異或運(yùn)算.圖中XOR為異或操作縮寫.首先,

然后對i=0,1,2,3,···,31,有

其中函數(shù)T包含非線性置換S盒、線性變換L(B)和異或操作.S盒包含256個(gè)存儲(chǔ)值,作為置換的數(shù)據(jù).線性變換函數(shù)L(B)為

其中?為循環(huán)左移.該密鑰擴(kuò)展算法中共有36個(gè)固定量(十六進(jìn)制表示)：

ck0至ck31依次為：

32個(gè)固定參數(shù)cki由固定的取模算法產(chǎn)生,具有一定的隨機(jī)特性.原SM4密鑰擴(kuò)展算法通過將cki與Ki+3異或來增加輪密鑰間的隨機(jī)性,并使輪密鑰能更好地?cái)U(kuò)散在每輪的加密算法中.由于32個(gè)cki皆為固定數(shù)值,帶來了密碼破譯的隱患.因此,本文提出利用混沌映射動(dòng)態(tài)地產(chǎn)生cki值,使SM4算法中不存在固定參數(shù).任何參數(shù)都隨著初始密鑰的改變而改變.因?yàn)樗惴▋?nèi)部參數(shù)僅由密鑰生成,故整個(gè)加密算法輸出的密文僅與密鑰、明文相關(guān),并無任何固定參數(shù)參與密鑰擴(kuò)展算法的運(yùn)算.

3.2 混沌SM4密鑰擴(kuò)展算法的設(shè)計(jì)

將原有的固定cki值用每輪混沌映射輸出值代替.基于混沌的SM4密鑰擴(kuò)展算法如圖5所示.利用quartusII軟件對改進(jìn)后的加密算法進(jìn)行仿真可得硬件電路圖如圖6所示.Modelsim仿真工具輸出的32個(gè)cki值如圖7所示.

圖5 基于混沌的SM4密鑰擴(kuò)展算法Fig.5.SM4 key scheme based on chaos.

圖6 (網(wǎng)刊彩色)基于混沌的SM4密鑰擴(kuò)展算法電路圖Fig.6.(color online)SM4 key scheme circuit based on chaos.

圖7 基于混沌的SM4密鑰擴(kuò)展仿真圖Fig.7.SM4 key scheme simulation based on chaos.

4 資源分析

表2顯示了本文算法在不同位數(shù)精度下的資源消耗.位數(shù)為混沌系統(tǒng)的數(shù)字化精度;LUT為FPGA內(nèi)基本邏輯單元;Multiple 9-bit為FPGA片上集成的9比特乘法器;Key space為密鑰空間大小.由表2可知128位精度下,混沌系統(tǒng)LUT消耗913個(gè),保留的原SM4密鑰擴(kuò)展算法LUT消耗1324個(gè),Multiple 9-bit消耗72個(gè),密鑰空間為256位.

作者對一維Logistic代替SM4密鑰擴(kuò)展[8]、多維或多個(gè)混沌系統(tǒng)代替SM4密鑰擴(kuò)展[6,7]、預(yù)存儲(chǔ)的SM4密鑰擴(kuò)展[9-11]這三種算法進(jìn)行了FPGA設(shè)計(jì)與仿真,其中多維或多個(gè)混沌系統(tǒng)取Lorenz混沌系統(tǒng)為代表,預(yù)存儲(chǔ)法取128個(gè)32位的預(yù)存儲(chǔ)為基礎(chǔ).通過參考、借鑒相關(guān)的方法和思路[18,19],將這三種算法所得資源消耗數(shù)據(jù)情況、密鑰空間大小與本文算法相互比較,可得四種算法資源消耗與密鑰空間對比圖,如圖8所示.

表2 資源消耗和密鑰空間Table 2.Resource consumption and key space.

如圖8(a)所示,在LUT資源消耗上,本文算法在不同的位數(shù)精度上都比一維Logistic混沌系統(tǒng)替代算法多1324個(gè)LUT消耗.因?yàn)樵撓氖菫榱吮Ａ粼璖M4密鑰擴(kuò)展算法而產(chǎn)生的.一維Logistic混沌系統(tǒng)替代算法雖然LUT資源消耗最少,但是密鑰空間小,不利于加密;多維或多個(gè)混沌系統(tǒng)替換算法在64位數(shù)精度以后的資源消耗急速增加;預(yù)存儲(chǔ)方法穩(wěn)定在5420個(gè)LUT.

如圖8(b)所示,本文算法消耗的Multiple 9-bit數(shù)與一維Logistic混沌系統(tǒng)替代算法相同;本文算法與多維或多個(gè)混沌系統(tǒng)替換算法相比,Multiple 9-bit數(shù)明顯較少;預(yù)存儲(chǔ)的SM4密鑰擴(kuò)展算法則無Multiple 9-bit數(shù)的消耗,但其密鑰空間小不利于加密.

由圖8(c)知,Lorenz密鑰空間隨位數(shù)增加的速度增長最快.因?yàn)長orenz屬于三維混沌系統(tǒng),由X,Y,Z三個(gè)變量構(gòu)成.當(dāng)X,Y,Z位數(shù)精度達(dá)到128位時(shí),初始密鑰可由X,Y,Z三個(gè)初始值構(gòu)成,為384位.但此時(shí)LUT,Multiple 9-bit資源消耗巨大,密鑰擴(kuò)展算法與整個(gè)SM4加密算法所用資源相當(dāng),等于占有了2個(gè)SM4資源.如果256位密鑰空間足以抵抗量子計(jì)算機(jī)的窮舉破解,利用巨大的資源去換取足以保證數(shù)據(jù)安全情況下更多額外的密鑰空間值得商榷.

預(yù)存儲(chǔ)算法下LUT資源消耗與預(yù)存的cki個(gè)數(shù)有關(guān).該算法的資源消耗取決于提前預(yù)存的cki的個(gè)數(shù).若存儲(chǔ)128個(gè)cki值,則需4096個(gè)存儲(chǔ)單元,且該算法并未增加密鑰空間.為使預(yù)存儲(chǔ)算法具有更好的隨機(jī)性,將原32個(gè)固定參數(shù)cki擴(kuò)充為近千個(gè)并用寄存器提前預(yù)存[9-11].當(dāng)加密時(shí),從中任意選取32個(gè)作為本次固定參數(shù)cki的值.該算法加密時(shí),選取cki后若用該固定值持續(xù)加密,則與原SM4密鑰擴(kuò)展算法在本質(zhì)上并無差別.如果每次加密時(shí)重新選取32個(gè)cki值,則會(huì)因?yàn)橹匦掠?jì)算輪密鑰而產(chǎn)生多個(gè)延遲周期,降低了加密吞吐量,并在解密時(shí)需要產(chǎn)生額外同步信息.本文加密算法無任何固定值的存儲(chǔ),所有信息全由密鑰產(chǎn)生.密鑰為雙方所共知,與預(yù)存儲(chǔ)方法相比本文方法以密鑰為同步信息,在密鑰空間加大的前提下使得算法動(dòng)態(tài)特性大大提升.

圖8 四種算法資源消耗與密鑰空間對比 (a)邏輯資源使用個(gè)數(shù);(b)9比特乘法器使用個(gè)數(shù);(c)密鑰空間Fig.8.The contrast of four kinds of resources consumption and the key space：(a)LUT resource consumption;(b)multiple 9-bit resource consumption;(c)key space.

5 安全性分析

密鑰擴(kuò)展算法是迭代分組密碼的重要組成部分,對于絕大多數(shù)的迭代分組密碼,都由種子密鑰生成輪密鑰的算法,該算法被稱為密鑰擴(kuò)展算法.密鑰擴(kuò)展算法的設(shè)計(jì)目的是使輪密鑰具有統(tǒng)計(jì)獨(dú)立和靈敏性.輪密鑰間的統(tǒng)計(jì)獨(dú)立是難以實(shí)現(xiàn)的,只是盡可能地使輪密鑰趨近于統(tǒng)計(jì)獨(dú)立.輪密鑰的靈敏性是指初始密鑰細(xì)微的改變就能使輸出的輪密鑰產(chǎn)生巨大的改變.對此,混沌系統(tǒng)的初始值敏感性、內(nèi)在隨機(jī)性、運(yùn)動(dòng)軌道遍歷性等諸多特性恰好能夠滿足密鑰擴(kuò)展算法設(shè)計(jì)的需求.

現(xiàn)在對密鑰擴(kuò)展算法的攻擊具有旁路攻擊[20]、信道攻擊等相關(guān)攻擊方法.為了抵抗相關(guān)密鑰擴(kuò)展算法的攻擊,非線性早已被引入到現(xiàn)有密鑰擴(kuò)展算法中.這種非線性的強(qiáng)弱對阻止僅由密碼密鑰的差分來完全確定密鑰擴(kuò)展的差分具有較大的影響.其中旁路攻擊主要是利用密碼算法實(shí)現(xiàn)過程中的中間狀態(tài)信息進(jìn)行攻擊.通過基于密鑰編排故障的SM4密鑰擴(kuò)展算法的差分故障攻擊能夠快速有效地恢復(fù)出參與每輪加密的輪密鑰.在原SM4密鑰擴(kuò)展算法進(jìn)行到第32輪時(shí),通過對存儲(chǔ)單元K31,K32,K33和K34進(jìn)行故障誘導(dǎo),隨機(jī)改變其中任意值產(chǎn)生第32輪錯(cuò)誤的輪密鑰.將該錯(cuò)誤輪密鑰參與第32輪SM4加密算法的運(yùn)算,并得到錯(cuò)誤的加密數(shù)據(jù).通過SM4加密算法中第32輪的明文與正確密文對、明文與錯(cuò)誤密文對進(jìn)行差分攻擊,恢復(fù)出該輪加密時(shí)使用的正確輪密鑰.受到故障誘導(dǎo)后的輪密鑰K31,K32,K33和K34需要通過異或、非線性置換S盒、線性變換L(B)才能得到下一輪錯(cuò)誤的輪密鑰.在第一步異或過程中需要與額外的固定參數(shù)ck32異或.在原SM4密鑰擴(kuò)展算法中cki是固定參數(shù).雖然cki間具有一定的隨機(jī)性,但其為固定值,在輪密鑰逆推過程中存在隱藏的安全隱患.本文算法cki全由初始密鑰動(dòng)態(tài)生成,隨著初始密鑰的改變而改變,不為攻擊者所知.cki全由Logistic混沌系統(tǒng)產(chǎn)生,而混沌的內(nèi)在隨機(jī)性能很好地抵抗差分攻擊[21],從而增加了密鑰擴(kuò)展算法的安全性.對數(shù)據(jù)進(jìn)行安全性分析具有多種方法[22,23],本文通過參考這些理論方法,將原SM4密鑰擴(kuò)展算法輸出的輪密鑰與本文方法產(chǎn)生的輪密鑰進(jìn)行NIST隨機(jī)數(shù)測試.本文產(chǎn)生的部分測試數(shù)據(jù)如表3所列.

表3 輪密鑰的NIST測試Table 3.The NIST test of subkey.

如表3所列,由本文方法產(chǎn)生的輪密鑰與原SM4密鑰擴(kuò)展算法相比,輪密鑰間的隨機(jī)性有明顯增強(qiáng).

6 結(jié) 論

本文提出了一種基于混沌的SM4密鑰擴(kuò)展算法,該算法有效地增大了SM4密鑰空間,增強(qiáng)了SM4算法破譯難度.與一般基于混沌的密鑰擴(kuò)展算法相比著重考慮了硬件的資源消耗情況和算法的動(dòng)態(tài)特性,在增大密鑰空間的同時(shí),也增強(qiáng)了算法破譯的難度.混沌映射輸出具有良好的隨機(jī)特性,基于混沌的密鑰擴(kuò)展算法加強(qiáng)了輪密鑰間的隨機(jī)性.新型密鑰擴(kuò)展算法將原來固定參數(shù)與初始密鑰相關(guān)聯(lián),將原靜態(tài)存儲(chǔ)的固定參數(shù)變?yōu)閯?dòng)態(tài)生成.整個(gè)SM4加密算法中不再存在任何固定的隨機(jī)參數(shù).每個(gè)參數(shù)都與初始密鑰息息相關(guān),加強(qiáng)了SM4算法的動(dòng)態(tài)特性.本算法利用FPGA進(jìn)行了硬件實(shí)現(xiàn).經(jīng)實(shí)驗(yàn)證明,該算法具有可行性.

[1]Shen C X,Zhamg H G,Feng D G,Chao Z F,Huang J W 2007Sci.China Ser.E37 129(in Chinese)[沈昌祥,張煥國,馮登國,曹珍富,黃繼武2007中國科學(xué)37 129]

[2]Wu G C,Baleanu D 2014Signal Process.102 96

[3]Wang E F,Wang Z,Jing M A,Ding Q 2011J.Net.6 1025

[4]Liu H,Kadir A 2015Signal Process.113 104

[5]Tang S,Chen H F,Hwang S K,Liu J M 2002IEEE T.Circuits-I.49 163

[6]Quan A J,Jiang G P,Zuo T,Chen T 2005J.Nanjing University of Posts and Telecommunications25 80(in Chinese)[權(quán)安靜,蔣國平,左濤,陳婷2005南京郵電大學(xué)學(xué)報(bào)25 80]

[7]Zhao R,Wang Q S,Wen H P 2008Microcomputer Information24 43(in Chinese)[趙芮,王慶生,溫會(huì)平2008微計(jì)算機(jī)信息24 43]

[8]Chen H,Chen Y 2009J.Food Science and Technology27 57(in Chinese)[陳紅,陳誼 2009食品科學(xué)技術(shù)學(xué)報(bào)27 57]

[9]Hu X Y,Liu T 2006Network Security Technology&Application3 69(in Chinese)[胡祥義,劉彤 2006網(wǎng)絡(luò)安全技術(shù)與應(yīng)用3 69]

[10]Jiang J Y,Liu T,Hu X Y 2008Network Security Technology&Application9 92(in Chinese)[蔣繼婭,劉彤,胡祥義2008網(wǎng)絡(luò)安全技術(shù)與應(yīng)用9 92]

[11]Zhou S Y,P M M,Xiao X H 2011Microelectronics&Computer28 86(in Chinese)[周術(shù)洋,彭蔓蔓,肖小歡2011微電子學(xué)與計(jì)算機(jī)28 86]

[12]Pan J,Qi N,Xue B B,Ding Q 2012Acta Phys.Sin.61 180504(in Chinese)[潘晶,齊娜,薛兵兵,丁群 2012物理學(xué)報(bào)61 180504]

[13]Zhao G,Zheng D L,Dong J Y 2001J.University of Science and Technology Beijing23 173(in Chinese)[趙耿,鄭德玲,董冀媛2001北京科技大學(xué)學(xué)報(bào)23 173]

[14]Dong B H,Zhou J Y,Huang J Y 2009Information Security and Communications Privacy8 327(in Chinese)[董斌輝,周健勇,黃金源2009信息安全與通信保密8 327]

[15]Cermak J,Kisela T,Nechvatal L 2013Appl.Math.Comput.219 7012

[16]Ding Q,Wang L 2011Chinese J.Scientific Instrument 32231 6(in Chinese)[丁群,王路 2011儀器儀表學(xué)報(bào)231 6]

[17]Yu N,Ding Q,Chen H 2007J.Communs.28 73(in Chinese)[于娜,丁群,陳紅2007通信學(xué)報(bào)28 73]

[18]Zhang Y H,Sun X M,Wang B W 2016China Commun.13 16

[19]Gu B,Sheng V S 2016IEEE T.Neur.Net.Lear.1 1

[20]Li W,Wu D G 2008J.Communs.29 135(in Chinese)[李瑋,谷大武 2008通信學(xué)報(bào)29 135]

[21]Sheng L Y,Wen J,Cao L L,Xiao Y Y 2007Acta Phys.Sin.56 78(in Chinese)[盛利元,聞姜,曹莉凌,肖燕予2007物理學(xué)報(bào)56 78]

[22]Fu Z,Ren K,Shu J,Sun X 2016IEEE T.Parall.Distr.27 2546

[23]Fu Z J,Wu X L,Guan C W,Sun X M,Ren K 2016IEEE T.Inf.Foren.Sec.11 2706

PACS:05.45.Vx,84.40.Ua,43.38.Si DOI:10.7498/aps.66.020504

SM4 key scheme algorithm based on chaotic system?

Wang Chuan-Fu Ding Qun?

(College of Electronic Engineering,Heilongjiang University,Harbin 150080,china)

21 August 2016;revised manuscript

6 November 2016)

Block cipher is a widely used encryption method.In order to improve the security of information in the network data encryption systems,the initial key should be guaranteed to be large enough.In order to overcome the threat of quantum computer to short initial keys,a key scheme based on chaotic map is proposed.The chaotic map is introduced into the original SM4 key scheme,which effectively increases the initial key space and greatly improves the resistance to key scheme attacks.

Due to the limited logic resources in hardware implementation,a logistic map is chosen as a chaotic system in this paper.Although the logistic map has many excellent properties of chaotic system,such as initial value sensitivity,randomness,ergodic,etc,there are still a lot of problems that we need to pay attention to.The parameterμis the system parameter in the logistic map.The value ofμcontrols chaotic characteristics in the logistic map.Whenμis equal to 4,the dynamic characteristics of logistic map are best.The values of data transmitted in the network are all quantified as 0 and 1.In order to implement the logistic map in a digital circuit,the digital quantization is needed.The bit sequence design quantization is very simple and saves resource consumption.Compared with other quantization methods,bit sequence design quantization can be implemented in hardware parallelly.United States National Institute of Standards and Technology launched the test program package to test the random numbers.The test program package includes frequency detection,block frequency detection,run test,etc.Those tests are used to detect the randomness in binary sequence of arbitrary length.The test program package proves that the sequence generated by the logistic map has a great randomness characteristic.After the security analysis of logistic map,the hardware implementation of logistic map is carried out in this paper.Based on the theoretical analysis and hardware implementation in the logistic map,a new SM4 key scheme combined with the logistic map is proposed.The proposed key scheme has less hardware resource consumption,larger key space and higher security than other key schemes combined with chaotic systems.The output of key scheme in this paper is tested by the test program package.The results show that the random number produced by new key scheme is larger.In the end,a key scheme attack is introduced in this paper.It is proved that the new key scheme in this paper can effectively resist existing key scheme attacks.

chaos,key scheme algorithm,field-programmable gate array

:05.45.Vx,84.40.Ua,43.38.Si

10.7498/aps.66.020504

?國家自然科學(xué)基金(批準(zhǔn)號(hào)：61471158)和高等學(xué)校博士學(xué)科點(diǎn)專項(xiàng)科研基金(批準(zhǔn)號(hào)：20132301110004)資助的課題.

?通信作者.E-mail：qunding@aliyun.com

*Project supported by the National Natural Science Foundation of China(Grant No.61471158)and the Specialized Research Fund for the Doctoral Program of Higher Education of China(Grant No.20132301110004).

?Corresponding author.E-mail：qunding@aliyun.com