趙福祥

(西安外事學(xué)院 工學(xué)院,西安 710077)

0 概述

網(wǎng)絡(luò)技術(shù)的迅速發(fā)展使得更多信息化應(yīng)用需借助優(yōu)質(zhì)平臺得到普及。網(wǎng)絡(luò)信息的傳播具有廣泛性和快速性,而信息收集依靠網(wǎng)絡(luò)下載才能完成。若要使網(wǎng)絡(luò)技術(shù)得到更高水平的提升,則需要擴大高速自動數(shù)據(jù)應(yīng)用范圍替代緩慢的人工數(shù)據(jù),使網(wǎng)絡(luò)充分實現(xiàn)自動化。自物品條碼化以后,大量的物品信息被嵌入式功能設(shè)備自動注入網(wǎng)絡(luò),構(gòu)建自動識別的信息基礎(chǔ)。這類嵌入式功能設(shè)備的組裝成本確定了其應(yīng)用的規(guī)模,而規(guī)模的形成則需要有技術(shù)的潛力。為削減成本,研究人員應(yīng)采用低成本嵌入式功能器件附加簡化網(wǎng)絡(luò)協(xié)議來實現(xiàn),如中繼器網(wǎng)絡(luò)、物聯(lián)網(wǎng)等,這樣既保證了設(shè)備所屬的功能實現(xiàn),又具有網(wǎng)絡(luò)連接功能。由于嵌入式設(shè)備包含了功能實現(xiàn)與網(wǎng)絡(luò)連接雙重任務(wù),因此其作為網(wǎng)絡(luò)節(jié)點的應(yīng)用多為資源受限設(shè)備,而資源受限造成網(wǎng)絡(luò)協(xié)議的弱化,它們只能執(zhí)行用戶數(shù)據(jù)報協(xié)議,多數(shù)設(shè)備需支持移動而采用無線傳輸、電池供電等特點。

網(wǎng)絡(luò)信息的安全不能缺少安全機制的保障,無論是互聯(lián)網(wǎng)還是物聯(lián)網(wǎng),凡是涉及個人隱私信息、國家安全的機密信息、公務(wù)安全信息和法律保護的安全信息,都應(yīng)有相應(yīng)的機密保護。而安全認(rèn)證則是涉及個人身份與實體身份合法性的安全保護,人物、網(wǎng)絡(luò)節(jié)點和程序代碼都可接受認(rèn)證保護。網(wǎng)絡(luò)常用的分組密碼為AES、認(rèn)證公鑰密碼為RSA,用于無線網(wǎng)絡(luò)協(xié)議流密碼為RC4等。這些常規(guī)密碼算法都有大規(guī)模迭代計算步驟,用于網(wǎng)絡(luò)安全協(xié)議,如IPSEC、SSL和IEEE 802.11等,然而卻無法將已有安全協(xié)議或安全算法直接用于嵌入式功能器件構(gòu)成的物聯(lián)網(wǎng),解決沖突的方法是根據(jù)嵌入式設(shè)備的安全工作需求做全新密碼的算法設(shè)計,如輕重量密碼算法[1]和認(rèn)證加密算法[2]。輕重量密碼算法的目標(biāo)是為存儲器系統(tǒng)配置安全算法,因而所構(gòu)造的算法多為哈希或流密碼的硬件算法[3],以減少算法對設(shè)備的系統(tǒng)占用,實現(xiàn)輕重量配置。而認(rèn)證加密算法的目標(biāo)是合并認(rèn)證與加密兩個經(jīng)典的安全步驟為一個步驟完成,縮短加密協(xié)議中的復(fù)雜過程。認(rèn)證加密算法主體雖然為AES,但不排除輕重量加密算法對認(rèn)證加密算法的構(gòu)成?，F(xiàn)代加密技術(shù)強調(diào)算法采用多重疊加的綜合模式來提高安全強度,以抵御選擇明文攻擊(CPA)或選擇密文攻擊(CCA)。如密碼分組鏈(CBC)模式或可調(diào)加密模式[4]都是加密時疊加由密文本身產(chǎn)生的偽隨機數(shù)而引起的不確定性擾動,以差別化相同明文在不同位置的密文值,從而增加攻擊的難度。密碼分組鏈的缺點是擾動的來源僅來自加密數(shù)據(jù)的反饋,相同明文的排列順序會依然延續(xù)到密文中,若在公開的網(wǎng)絡(luò)環(huán)境中輸入經(jīng)過巧妙設(shè)計的明文,所得密文強數(shù)字特征將可能增加被攻破的可能性。與密碼分組鏈不同,可調(diào)加密模式的不確性擾動來源于密文所在位置,通過采用順序的分布,所產(chǎn)生不確定性擾動分布使得不同位置的相同密文特征均不相同[5]。

數(shù)據(jù)安全是信息安全應(yīng)用的重要保證,資源受限的低成本嵌入式設(shè)備所使用的輕量級網(wǎng)絡(luò)協(xié)議DTLS和壓縮IPSEC在采用常規(guī)密碼算法時,達不到實用效果。本文結(jié)合輕重量密碼、認(rèn)證加密技術(shù)和可調(diào)加密技術(shù),使密碼技術(shù)更適合資源受限制網(wǎng)絡(luò)安全環(huán)境,并通過改進原有安全技術(shù),提出基于可調(diào)分組認(rèn)證的加密實現(xiàn)方案,以硬件支持的可調(diào)分組認(rèn)證加密實現(xiàn)低成本嵌入式設(shè)備網(wǎng)絡(luò)的安全支持。

1 模型結(jié)構(gòu)

本文方案的目標(biāo)是實現(xiàn)嵌入式自身安全與數(shù)據(jù)實時加密的需求、涉及嵌入式防護與抗密文結(jié)構(gòu)分析等。各項實用關(guān)鍵性技術(shù)及組合都應(yīng)圍繞目標(biāo)設(shè)置。

1.1 選擇明文攻擊的抵御

1.2 抗誤用可調(diào)隨機串的結(jié)構(gòu)

兼顧效率與成本,網(wǎng)絡(luò)數(shù)據(jù)傳輸采用分組數(shù)據(jù)的層次結(jié)構(gòu)來管理數(shù)據(jù),稱為傳輸?shù)臄?shù)據(jù)包。按網(wǎng)絡(luò)節(jié)點單次處理數(shù)據(jù)的最大限度,把一個傳輸?shù)南⒎殖扇舾煞纸M。每個分組都以數(shù)據(jù)包標(biāo)志序號作為區(qū)分,在分組內(nèi)可通過設(shè)置包內(nèi)計數(shù)器標(biāo)記每個字節(jié)。實現(xiàn)加密數(shù)據(jù)的無縫嵌入是經(jīng)濟而有效的方法,為簡化數(shù)據(jù)包內(nèi)數(shù)據(jù)單位與加密分組實際長度比值關(guān)系,方案簡化各類傳輸單位為加密分組統(tǒng)一的數(shù)據(jù)塊單位(簡稱塊)。塊既做數(shù)據(jù)操作單位,也可做加密單位,同時還兼做密鑰更換單位?？拐`用可調(diào)隨機串的結(jié)構(gòu)是由存儲塊號構(gòu)成的函數(shù),以保證密文在相同地址存儲時的可調(diào)因子取值不同。當(dāng)從數(shù)據(jù)包讀出原來的數(shù)據(jù)值時則應(yīng)按原始值讀出?？拐`用可調(diào)結(jié)構(gòu)的計算公式如下:

T=F(IDsec,contsec)

其中,IDsec是數(shù)據(jù)包標(biāo)志號,contsec是數(shù)據(jù)包內(nèi)加密塊偏移地址計數(shù)器的值。

2 認(rèn)證加密方案

基于置換的認(rèn)證加密[8-10]是由海綿包和抗隨機串誤用的認(rèn)證加密方案。海綿包生成一個密鑰流用以加密用戶數(shù)據(jù),而用附加數(shù)據(jù)通過對密鑰流的檢驗使加密數(shù)據(jù)得以認(rèn)證。解密則使用反向的置換,整個算法緊湊,可用于在線方式處理數(shù)據(jù),但加密算法安全信息熵值來源于用戶密鑰,仍需可調(diào)安全模式延展加密算法,通過所選數(shù)據(jù)塊地址的加一操作取得新的隨機串,充當(dāng)可調(diào)密鑰值,使不同加密數(shù)據(jù)塊密鑰不同。嵌入式加密的系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 嵌入式加密的系統(tǒng)結(jié)構(gòu)

2.1 系統(tǒng)參數(shù)

設(shè)R:={0,1}r和C:={0,1}c,假設(shè)兩個字符串A和B,其中,A‖B與AB可互換,因此存在AB=A‖B∈R×C?{0,1}r+c。假設(shè)X∈R×C,Xr表示其在R方向的投影,也稱為比率分量,Xc表示其投影到C,即容量分量。標(biāo)記0∈R為00…00∈R的簡寫表示,而1∈C為00…01∈C的簡寫表示,符號⊕表示兩個(或更多)字符串的按位異或運算。

R的一個元素稱為分組,設(shè)R*表示長度為r倍數(shù)的字符串的集合,最多2c/2個分組。確定邊界2c/2是為了定義一個隨機函數(shù)作為在有限的函數(shù)集上的采樣,應(yīng)注意證明2c/2分組長度的查詢邊界變得較小[11]。同樣,設(shè)R+表示長度為r正倍數(shù)的字符串集合,最多2c/2個分組。給定M∈R+,將它劃分為分組,即M[1]M[2]…M[ω]←M,其中,每個M[i]是一個分組,ω是字符串M的分組長度。

2.2 算法描述

加密算法E接受輸入密鑰K∈K=C,相關(guān)的數(shù)據(jù)A∈R*,消息M∈R+,并返回密文C∈R+和標(biāo)簽T∈C,即(C,T)→EK(A,M)。另一方面,D接收輸入密鑰K∈C,相關(guān)的數(shù)據(jù)A∈R*,密文C∈R+和標(biāo)簽T∈C,并返回消息M∈R+或拒絕符號⊥,即M/⊥←DK(A,C,T),如算法1、算法2所示。這兩個函數(shù)是合理的,每當(dāng)加密消息(C,T)←EK(A,M),返回總是得到消息密文C與標(biāo)簽T;如果解密的過程沒通過驗證,獲得拒絕⊥,否則可獲得M←DK(A,C,T)。

輸入KH,KT∈C,A∈R*,M∈R+

輸出C∈R+,T∈C

1.V←(0,KH)∈R×C

2.if A≠Φ then

3.A[1]A[2]…A[u]←A

4.for i=1 to u do

5.V←p(A[i]⊕Vr,Vc)

6.end

7.end

8.M[1]M[2]…M[w]←M

9.for i=1 to w do

11.V←p(M[i]⊕Vr,Vc)

12.C[i]←Vr

13.end

14.C←C[1]C[2]…C[w]

15.T←Vc⊕KH

16.return(C,T)

輸入KH,KT∈C,A∈R*,C∈R+,T∈C

輸出M∈R+or⊥

1.V←(0,KH)∈R×C

2.if A≠Φ then

3.A[1]A[2]…A[u]←A

4.for i=1 to u do

5.V←p(A[i]⊕Vr,Vc)

6.end

7.end

8.C[1]C[2]…C[w]←C

9.C[0]←Vr,V0←Vc

10.V←(C[w],KH⊕T

11.for i=w to 1 do

12.V←p-1(V)

13.M[i]←C[i-1]⊕Vr

15.V←C[i-1]‖Vc

16.end

17.M←M[1]M[2]…M[w]

18.if V0=Vcthen

19.return M

20.else

21.return ⊥

22.end

在基于置換的認(rèn)證加密[12]中,隨機串的包是可選的。如果隨機串需要,它可以被包含作為相關(guān)數(shù)據(jù)的一部分。當(dāng)允許隨機串為任意長度時,作為隨機串和相關(guān)的數(shù)據(jù)應(yīng)清晰可辨[13]。

3 硬件算法的選擇

基于可調(diào)的認(rèn)證加密的實現(xiàn)帶來了明顯的安全增益,實現(xiàn)認(rèn)證與加密業(yè)務(wù)合并和抵御選擇明文/密文攻擊設(shè)置。輕量密碼算法的改進改善了資源的占用與能源的耗費,但作為經(jīng)典算法,仍然固守了大數(shù)據(jù)量迭代算法方式。因此,本質(zhì)特性決定了系統(tǒng)需做合理的設(shè)計選擇。因為受限資源設(shè)備的環(huán)境因素與可調(diào)加密認(rèn)證加密算法的操作需求存在較大差異,所以在系統(tǒng)的任務(wù)目標(biāo)和任務(wù)實現(xiàn)上應(yīng)采取不同的配置,有效地發(fā)揮可調(diào)加密算法在系統(tǒng)中的安全效能[14]。

系統(tǒng)實現(xiàn)的目標(biāo)確定出系統(tǒng)實現(xiàn)的原則與方法。體現(xiàn)其最關(guān)鍵的任務(wù)是確定可調(diào)認(rèn)證加密的基礎(chǔ)算法。盡管輕量級算法中Keccak和Quark都屬于基于置換的密碼算法,且算法Keccak被選為sha3標(biāo)準(zhǔn),但獨立設(shè)置的硬件算法更有利于受限設(shè)備程序的運行與能量控制,相比較而言，Quark參數(shù)更適合資源受限環(huán)境的應(yīng)用，算法的相關(guān)參數(shù)如表1所示。實時系統(tǒng)應(yīng)該利于短程序的執(zhí)行,而長處理程序與系統(tǒng)命令共同運行則需要設(shè)置更低的級別,使認(rèn)證加密時間延長,系統(tǒng)處理效能降低。

表1 嵌入式加密算法的相關(guān)參數(shù)

4 電路仿真驗證

采用密碼的硬件算法是封閉大數(shù)據(jù)處理峰值點有效提高并行度的方法[15]。Quark硬件算法可保留原有置換結(jié)構(gòu)與相關(guān)參數(shù)作為新系統(tǒng)設(shè)置,增加可調(diào)密鑰設(shè)置達到獨立、安全與并行的目標(biāo),選擇出新算法的核心結(jié)構(gòu)基調(diào),根據(jù)實際數(shù)據(jù)寬度需求確定u-Quark作為系統(tǒng)算法的基礎(chǔ),表1列出了Quark多種規(guī)格數(shù)據(jù)參數(shù)。從表1數(shù)據(jù)可以看出,數(shù)據(jù)簽名寬度為17字符,位寬為136位,輸入寬度為1字符,位寬為8位,選擇參數(shù)均以最小數(shù)據(jù)為標(biāo)準(zhǔn),以適用資源受限系統(tǒng)的應(yīng)用。

作為系統(tǒng)中可調(diào)硬件的并行數(shù)據(jù)處理器,具有獨立的算法控制信號系統(tǒng)十分必要。控制信號組織數(shù)據(jù)的輸入與輸出,并控制數(shù)據(jù)處理過程的步驟與迭代[16]。完全自主的控制信號使可調(diào)分組認(rèn)證加密算法在系統(tǒng)中獨立完成整個加密處理,與系統(tǒng)中的其他部分構(gòu)成并行處理過程。圖2給出算法控制信號波形的起始與結(jié)束過程,其中起始過程包括狀態(tài)初始化控制信號和數(shù)據(jù)輸入控制信號,結(jié)束過程包括簽名輸出的控制信號。圖3給出無數(shù)據(jù)輸入時的簽名仿真波形,波形包括空數(shù)據(jù)輸入、迭代處理與簽名數(shù)據(jù)輸出。迭代過程有544個時鐘步驟,累計輸出17個迭代過程,即位寬為136位。若選擇時鐘周期為100 ns,則完成簽名后用時為925 μs。

圖2 算法控制信號波形的起始與結(jié)束

圖3 簽名的仿真波形

5 方案評估

對可調(diào)分組的認(rèn)證加密方案所做評估應(yīng)該完成兩個方面的工作,即證明所構(gòu)建的系統(tǒng)能夠完成認(rèn)證加密的所有工作任務(wù),以及證明所構(gòu)建系統(tǒng)足夠高效,可以在實際應(yīng)用中被接受。因為方案的置換與結(jié)構(gòu)來自于Quark算法,各項工作可從相關(guān)文獻中獲得,剩下只需證明方案可以完成認(rèn)證加密的所有工作任務(wù)。認(rèn)證加密算法屬大規(guī)模迭代算法,合理組織數(shù)據(jù)測試就變得較為方便[17-18]。在本文方案中,可把算法簽名的初始值看作密鑰,所得到的摘要值是對空附加數(shù)據(jù)的簽名,簽名后得C[0]=8a4ade386e562333f,T=166afab57b0bed748,可看作是空加密數(shù)據(jù)的認(rèn)證加密值。然后,把可調(diào)密鑰的值與被加密數(shù)據(jù)值進行異或,導(dǎo)入算法后析出各分組加密值,從而完成認(rèn)證加密基本任務(wù)的所有步驟。

現(xiàn)有方案中的算法只是一個基本的認(rèn)證加密算法,除硬件算法的實現(xiàn)適合資源受限的嵌入式應(yīng)用外,沒有實施任何加密模式的保護,不能抵御選擇明文方式的攻擊。與現(xiàn)有方案相比,本文方案增加了可調(diào)加密模式,使之可抵御選擇明文的攻擊,因而可適用于網(wǎng)絡(luò)的開放環(huán)境中,另外,現(xiàn)有方案算法為應(yīng)用于資源受限的嵌入式硬件算法,在改進過程中只增加了包內(nèi)加密計數(shù)器這類簡單硬件,并沒有增加系統(tǒng)資源的占用,因而仍適用于資源受限的嵌入式環(huán)境[19-20]。結(jié)合本文算法這兩項優(yōu)點,可將本文方案算法應(yīng)用于物聯(lián)網(wǎng)對互聯(lián)網(wǎng)跨網(wǎng)絡(luò)的安全連接。

本文貢獻主要有以下3點:

1)提出采用可調(diào)模式支持的基于置換的認(rèn)證加密算法,使應(yīng)用于受限嵌入環(huán)境中認(rèn)證加密算法可成功抵御選擇明文攻擊,滿足網(wǎng)絡(luò)開放條件下的安全需求。

2)給出適合于網(wǎng)絡(luò)數(shù)據(jù)包的可調(diào)模式的加密的實現(xiàn)方法,使可調(diào)模式能夠順利實現(xiàn),提高了網(wǎng)絡(luò)安全級別,且代價較小,從而最大限度地滿足了受限嵌入環(huán)境中的安全需求。

3)提供了硬件算法的實現(xiàn),支持資源受限環(huán)境下物聯(lián)網(wǎng)設(shè)備的安全需求,以硬件配制簡化了此類設(shè)備的結(jié)構(gòu)設(shè)計。

在網(wǎng)絡(luò)異構(gòu)環(huán)境下,各種設(shè)備運行條件并不相同,資源受限的嵌入式網(wǎng)絡(luò)設(shè)備選擇硬件算法處理可調(diào)認(rèn)證加密的任務(wù),而常規(guī)設(shè)備并無資源限制,則可采用軟件或硬件算法處理相應(yīng)的任務(wù)。雖然軟硬件算法所使用的方法不同,但執(zhí)行的數(shù)字標(biāo)準(zhǔn)應(yīng)相同。若物聯(lián)網(wǎng)段設(shè)備與互聯(lián)網(wǎng)段設(shè)備通信,當(dāng)數(shù)據(jù)跨過物聯(lián)網(wǎng)特殊的路由器后,物聯(lián)網(wǎng)段設(shè)備運用硬件算法處理認(rèn)證加密數(shù)據(jù),而互聯(lián)網(wǎng)段則使用軟件算法來處理相同認(rèn)證加密數(shù)據(jù)。

6 結(jié)束語

本文提出一個基于可調(diào)加密認(rèn)證的加密方案,以支持資源受限的物聯(lián)網(wǎng)絡(luò)設(shè)備的安全應(yīng)用。在已有的認(rèn)證加密方法基礎(chǔ)上實現(xiàn)可調(diào)模式操作,增加算法抵御選擇明文攻擊的能力,以數(shù)據(jù)包標(biāo)志號與偏移地址計數(shù)器的值為可調(diào)參數(shù),使加密密文成為抗誤用可調(diào)隨機串的結(jié)構(gòu)。本文改進方案使原認(rèn)證加密算法不僅支持資源受限設(shè)備的應(yīng)用,而且可支持物聯(lián)網(wǎng)對互聯(lián)網(wǎng)跨網(wǎng)絡(luò)開放的安全應(yīng)用。由于嵌入式安全是一項綜合技術(shù),對認(rèn)證加密算法可調(diào)模式的處理雖然有效,但仍然存在未知風(fēng)險,下一步將對貼合實際的固有安全數(shù)字特性進行研究,以更好地抵御選擇明文的攻擊。