韓妍妍 何彥茹 劉培鶴 張 鐸 王志強(qiáng),2 何文才

1(北京電子科技學(xué)院 北京 100070) 2(國(guó)家信息中心 北京 100070)

ZUC密碼算法[1]，又稱祖沖之密碼算法，是一個(gè)面向字設(shè)計(jì)的同步序列密碼算法，已在2011年被正式批準(zhǔn)成為3GPP LTE國(guó)際標(biāo)準(zhǔn)密碼算法.該算法在設(shè)計(jì)時(shí)充分考慮了軟硬件的可實(shí)現(xiàn)性，具有較低的復(fù)雜度，是一種應(yīng)用較為廣泛的輕量級(jí)密碼算法.算法的結(jié)構(gòu)主要包含3個(gè)基本組成部分，分別是上層線性反饋移位寄存器LFSR、中間層比特重組BR，以及下層非線性函數(shù)F.其中，非線性函數(shù)F這部分主要依靠唯一的非線性部件S盒來擾亂LFSR層輸出的序列，進(jìn)而增強(qiáng)算法的安全性.ZUC算法中的S盒是由4個(gè)8×8的非線性置換S盒共同構(gòu)成，即S=(S0,S1,S2,S3).其中S0和S2相同，S1和S3相同.由此可見，ZUC算法中所使用的S盒均是固定不變且未進(jìn)行復(fù)雜混亂過程.因此，設(shè)計(jì)具有良好性能的S盒是提升ZUC算法性能的一個(gè)重要因素.

然而，這些基于混沌思想所構(gòu)造S盒的方法，通常在非線性度、DP和LP等性能方面與傳統(tǒng)的數(shù)學(xué)構(gòu)造方法有一定差距.與此同時(shí)，上述設(shè)計(jì)S盒方案雖然能夠滿足基本的置亂特性，但效果并不理想，且由于方案設(shè)計(jì)的開銷大，造成硬件的可實(shí)現(xiàn)性較差.本文基于這些特點(diǎn)提出了復(fù)合混沌系統(tǒng)的思想，選取混沌特性良好的Tent和Henon兩個(gè)混沌映射進(jìn)行疊加，同時(shí)將圖像置亂的思想引入到S盒的設(shè)計(jì)中來，利用Arnold映射對(duì)復(fù)合混沌系統(tǒng)所產(chǎn)生的S盒進(jìn)行二次置亂，大幅度提高了S盒的非線性度.此外，通過對(duì)初始值和控制參數(shù)的控制和改變，可以動(dòng)態(tài)地生成不同的S盒.最后，選取一些本文構(gòu)造的S盒進(jìn)行DP和LP的性能測(cè)試和分析，并與其他設(shè)計(jì)方法進(jìn)行對(duì)比.此外，將本文利用混沌系統(tǒng)所產(chǎn)生的動(dòng)態(tài)S盒用于替換ZUC算法中固定的S盒，并對(duì)其進(jìn)行軟硬件實(shí)現(xiàn)的性能測(cè)試，實(shí)驗(yàn)結(jié)果表明:本文構(gòu)造方案所得S盒密碼學(xué)特性良好，在增強(qiáng)ZUC算法密鑰序列的隨機(jī)性的同時(shí)，也兼具較好的軟硬件可實(shí)現(xiàn)性.

1 相關(guān)描述

1.1 ZUC算法的S盒設(shè)計(jì)

S盒是ZUC算法中非線性函數(shù)F層的重要部分，也是算法中唯一的非線性部件.ZUC序列密碼算法的S盒設(shè)計(jì)本著高非線性度、低差分均勻性、硬件實(shí)現(xiàn)開銷低等原則，共包含4個(gè)非線性置換S盒，分別是S0,S1,S2,S3.其中，S0與S2相同，S1與S3相同.S0和S2采用3個(gè)4輸入的置換表，結(jié)合異或和移位操作進(jìn)行構(gòu)造.S1和S3是由一個(gè)簡(jiǎn)單仿射變換算法和另一個(gè)求復(fù)雜有限域GF(28)上的乘法逆元算法構(gòu)成.S0和S1的定義分別如圖1、圖2所示.

若將S0(或S1)的8比特輸入設(shè)為x，并用x表示2個(gè)16進(jìn)制數(shù)的連接，即x=h‖l，那么S0(或S1)的輸出S0(x)(或S1(x))則為圖1(或圖2)中第h行和第l列交叉的元素.

設(shè)S盒的32比特輸入X和32比特輸出Y:

X=x0‖x1‖x2‖x3,

(1)

Y=y0‖y1‖y2‖y3,

(2)

其中,xi和yi均為8比特字節(jié)，i=0,1,2,3.則有yi=Si(xi)，i=0,1,2,3.

Fig. 1 S0-box圖1 S0盒

Fig. 2 S1-box圖2 S1盒

1.2 S盒及其設(shè)計(jì)準(zhǔn)則

S盒又被稱為置換盒，本質(zhì)上可以看作是一張映射表，它是很多密碼算法設(shè)計(jì)過程中唯一的非線性部件.因此，可以說在一定程度上一個(gè)密碼算法的安全性強(qiáng)弱與S盒本身的設(shè)計(jì)息息相關(guān).S盒的映射一般表示為

S(x)=(f(x1),f(x2),…,f(xm)):
GF(2n)→GF(2m),

(3)

也常表示為S:{0,1}n→{0,1}m，它是將n位輸入映射到m位輸出的非線性過程.目前普遍研究和使用的是8×8 S盒.經(jīng)過眾多專家和學(xué)者對(duì)S盒的大量設(shè)計(jì)和研究，提出了6個(gè)用于衡量S盒是否具有優(yōu)異密碼學(xué)性能的測(cè)試指標(biāo).下面分別詳細(xì)介紹這6個(gè)重要檢驗(yàn)指標(biāo).

1.2.1 雙射特性

S盒在用于置換時(shí)，通常要求其滿足雙射特性，即S盒必須可逆.文獻(xiàn)[15]提供了判斷S盒是否滿足雙射特性的檢驗(yàn)方法.當(dāng)m=n時(shí)，S盒需滿足的充要條件是：所有分量布爾函數(shù)fi的線性運(yùn)算之和為2n-1.

1.2.2 非線性度

(4)

其中,Ln表示全部n元線性和仿射函數(shù)集合；dH(f,l)表示f和l的漢明距離.

1.2.3 嚴(yán)格雪崩準(zhǔn)則(SAC)

在實(shí)際使用時(shí)，S盒的嚴(yán)格雪崩準(zhǔn)則(strict avalanche criterion, SAC)是按照依賴矩陣[18]方式來計(jì)算.其中，矩陣中理想值為0.5，如果所有的值都與該理想值接近，則認(rèn)為這個(gè)S盒完全符合嚴(yán)格雪崩準(zhǔn)則.

1.2.4 輸出間比特獨(dú)立性(BIC)

定義3[19].對(duì)S盒的2個(gè)輸出比特fj和fk(j≠k)，如果fj⊕fk具有很高的非線性，同時(shí)符合嚴(yán)格雪崩準(zhǔn)則的相關(guān)要求，則可以保證一個(gè)輸入比特對(duì)進(jìn)行取反操作時(shí)，對(duì)應(yīng)的輸出比特對(duì)相關(guān)系數(shù)趨近于0.因此，測(cè)試S盒的比特獨(dú)立性(bit inde-pendence criterion, BIC)性能時(shí)，可以對(duì)fj⊕fk的非線性度進(jìn)行計(jì)算并判斷其對(duì)SAC的滿足程度.

1.2.5 差分均勻性

差分均勻性[20]是判斷S盒在密碼算法中抗差分能力強(qiáng)弱的重要指標(biāo).在實(shí)際計(jì)算時(shí)，輸入和輸出之間的異或分布情況通常用差分逼近概率DPf表示：

(5)

其中,X表示所有可能輸入的集合，2n是該集合的元素個(gè)數(shù)，#表示計(jì)數(shù)，DPf表示輸入改變量Δx時(shí)輸出改變量Δy的最大可能性.

1.2.6 線性逼近概率

定義4[21].線性逼近概率LPf.

(6)

LPf(α,β)=(2p-1)2,

(7)

(8)

其中,ξ°α=ξ1α1⊕ξ2α2⊕…⊕ξnαn，#表示計(jì)數(shù).

1.3 2種經(jīng)典混沌系統(tǒng)

眾所周知，混沌系統(tǒng)一般都具有顯著的偽隨機(jī)性和高度的初值敏感性，能夠起到增強(qiáng)置亂的作用，特別適合用在S盒設(shè)計(jì)中.Tent映射和Henon映射是代表性較強(qiáng)的2種混沌系統(tǒng)，本文對(duì)這2種經(jīng)典系統(tǒng)進(jìn)行迭代，形成新的復(fù)合混沌系統(tǒng).

1) Tent映射系統(tǒng)[22]是一種經(jīng)典的離散混沌映射系統(tǒng)，目前，利用Tent映射產(chǎn)生的混沌序列在構(gòu)造混沌加密系統(tǒng)及實(shí)現(xiàn)混沌算法等領(lǐng)域中有著非常廣泛的應(yīng)用.Tent系統(tǒng)映射方程為

(9)

當(dāng)變量xn∈(0,1)，且q∈(0,1)時(shí)，系統(tǒng)處于混沌狀態(tài).

2) Henon映射系統(tǒng)[23]是1976年由Henon提出的一個(gè)二維離散混沌系統(tǒng)，其映射方程為

(10)

其中，當(dāng)系統(tǒng)參數(shù)1.07≤a≤1.4，b=0.3時(shí)，系統(tǒng)處于混沌狀態(tài).且當(dāng)變量xn∈(-1.5,1.5)時(shí)，取a=1.4，該系統(tǒng)復(fù)雜度最大.

2 S盒構(gòu)造方法

2.1 基于復(fù)合混沌系統(tǒng)的S盒設(shè)計(jì)

本文提出一種基于復(fù)合混沌系統(tǒng)的動(dòng)態(tài)S盒構(gòu)造方案.通過對(duì)Tent和Henon兩個(gè)混沌映射進(jìn)行復(fù)合，結(jié)合混沌映射的迭代，生成一個(gè)具有良好性能的8×8 S盒.該方法的具體設(shè)計(jì)步驟為：

2) 取初值x0，經(jīng)過式(9)迭代一次得到x1，則第1個(gè)小區(qū)間上的點(diǎn)表示為x1×l+0×l；迭代n次得到xn，第n個(gè)小區(qū)間上的點(diǎn)表示為xn×l+(n-1)×l，最終得到n維序列X.

3) 選取2)中得到的序列X為Henon映射的初值，其中令Henon映射中每次x和y的值保持一致，且均來自于序列X，然后經(jīng)過式(10)進(jìn)行N次迭代，取所有的y值構(gòu)成第2個(gè)序列Y1.

4)Y1序列中的每個(gè)元素分別屬于1～m區(qū)間中的一個(gè)，依次將元素所在的區(qū)間序號(hào)記為i，Y2=i(mod 256).

5) 在Y2序列中按先后順序選取256個(gè)不相同的元素構(gòu)成新序列Y，Y序列即為所求的S盒.

上述設(shè)計(jì)中，Tent映射中q=0.5時(shí)，系統(tǒng)呈現(xiàn)短周期狀態(tài)，因此q值應(yīng)避免選擇0.5.此外，在應(yīng)用時(shí)也應(yīng)避免選取和q值相同的初值，以防止系統(tǒng)演化為周期系統(tǒng).改變參數(shù)q的取值，不僅能夠?qū)崿F(xiàn)動(dòng)態(tài)產(chǎn)生S盒，而且可以增強(qiáng)混亂效果.上述步驟只涉及簡(jiǎn)單的排序和取余操作，可以有效減少算法運(yùn)行過程的消耗，有助于提升運(yùn)行速度和效率.最后對(duì)生成S盒的DP,LP值進(jìn)行統(tǒng)計(jì)和分析，篩選出具有較好的密碼學(xué)特性的S盒，否則對(duì)初值進(jìn)行改變，重復(fù)以上5個(gè)步驟繼續(xù)生成符合要求的S盒.

本文在實(shí)際S盒生成的過程中，式(9)中Tent系統(tǒng)參數(shù)選取q=0.4，式(10)中Henon系統(tǒng)參數(shù)選取a=1.4，b=0.3.當(dāng)?shù)螖?shù)n=5 838，N=5 000，初始值x0=0.3時(shí)，獲得的混沌系統(tǒng)生成的S盒密碼性能較為良好，如圖3所示，其中DP=0.046 875 0，LP=0.132 813.

2.2 S盒重構(gòu)

本文結(jié)合圖像加密中使用的置亂方法，重構(gòu)上述復(fù)合混沌系統(tǒng)構(gòu)造方法得到8×8 S盒.在混沌系統(tǒng)產(chǎn)生8×8 S盒后，引入Arnold映射對(duì)其進(jìn)行置亂，將其中數(shù)據(jù)的位置進(jìn)行打亂重排，從而實(shí)現(xiàn)二次置亂.Arnold映射是一種具有周期性的映射，常應(yīng)用于混沌序列的置亂過程，可表示為

(11)

為了便于應(yīng)用，通常把它寫成矩陣形式：

(12)

其中，S盒的行數(shù)和列數(shù)用n表示，且p=16.若數(shù)據(jù)在原始S盒中的位置坐標(biāo)為(x,y)，則經(jīng)過Arnold映射置亂后的新位置坐標(biāo)變?yōu)?x′,y′).

將上述密碼學(xué)性能最好的S盒進(jìn)行重構(gòu)后得到新的S盒如圖4所示，其中DP=0.0390625，LP=0.109 375.由此可見，經(jīng)過Arnold映射二次置亂后的結(jié)果與置亂之前相比，提升了的S盒性能.

Fig. 4 An example of the reconstructed S-box圖4 重構(gòu)后的S盒示例

3 算法安全性分析

3.1 S盒安全性分析

本文所設(shè)計(jì)的S盒的構(gòu)造過程可分為2部分：第1部分為基于復(fù)合混沌系統(tǒng)的S盒設(shè)計(jì)過程；第2部分為S盒重構(gòu)過程.圖5、圖6分別為基于復(fù)合混沌系統(tǒng)及重構(gòu)后所產(chǎn)生S盒的LP值分布圖.

Fig. 5 LP value distribution of S-box generated based on combined chaotic systems圖5 基于復(fù)合混沌系統(tǒng)生成S盒的LP值分布

Fig. 6 LP value distribution of the refactored S-box圖6 重構(gòu)后S盒的LP值分布

在這1 000個(gè)S盒中，混沌系統(tǒng)所產(chǎn)生的S盒的LP值的主要集中在0.125 000，而重構(gòu)后的S盒的LP值的主要集中在0.109 375.由此可見，經(jīng)過Arnold映射置亂重構(gòu)后的S盒具有更好的非線性特性.

本文選取上述重構(gòu)后性能最優(yōu)的一個(gè)S盒作為分析對(duì)象，同時(shí)選取了其他3種同類的性能優(yōu)良的S盒進(jìn)行對(duì)比分析，分別是文獻(xiàn)[12-13]以及ZUC算法中所涉及的S盒.其中，ZUC算法有2個(gè)不同的S盒，本文選取其中一個(gè)為例，即S0盒，對(duì)6項(xiàng)性能指標(biāo)的分析均按照選取的對(duì)象進(jìn)行比對(duì).

3.1.1 雙射特性

根據(jù)判斷S盒滿足雙射特性的充要條件，可知本文構(gòu)造的8×8的S盒，其分量布爾函數(shù)的線性運(yùn)算和的平均值是128，最大值和最小值也都是128，如表1所示.經(jīng)過對(duì)比可見，本文產(chǎn)生的S盒均符合雙射特性的判斷標(biāo)準(zhǔn).

Table 1 Comparison of the S-box Bijective Properties表1 S盒雙射特性對(duì)比

3.1.2 非線性度

在實(shí)際應(yīng)用中，計(jì)算布爾函數(shù)f(x)的非線性度一般通過Walsh-Hadamard變換實(shí)現(xiàn).本文應(yīng)用Walsh譜表示f(x)的非線性度，具體表達(dá)式為

(13)

其中，x·ω表示x與ω的點(diǎn)積.

在密碼分析中，非線性度Nf與抗線性攻擊正相關(guān)，Nf越大表明其能力越強(qiáng)，即S盒的抗線性分析性越好.本文利用式(4)和式(13)計(jì)算本文所構(gòu)造S盒的非線性度，最大值為106.通過表2所示的對(duì)比結(jié)果可知，本文所構(gòu)造的S盒在抵抗線性密碼分析方面性能良好.

Table 2 Comparison of the S-box Nonlinearity表2 S盒非線性度對(duì)比

3.1.3 嚴(yán)格雪崩準(zhǔn)則(SAC)

嚴(yán)格雪崩準(zhǔn)則是用來描述序列輸入和輸出變化相關(guān)性的重要標(biāo)準(zhǔn).Webster等人[19]提出了適用于S盒性能評(píng)價(jià)的計(jì)算方法.因此，一般使用相關(guān)矩陣中元素的平均值來衡量S盒是否滿足該準(zhǔn)則，若相關(guān)矩陣的元素值越趨近于0.5，則表明S盒越滿足嚴(yán)格雪崩準(zhǔn)則.本文所構(gòu)造出的S盒相關(guān)矩陣的平均值與其他文獻(xiàn)中S盒對(duì)比結(jié)果如表3所示，可見本文所構(gòu)造的S盒與0.5更接近，因此性能更好.

Table 3 Comparison of the Mean Values on S-box Correlation Matrix

3.1.4 輸出比特間獨(dú)立性(BIC)

輸出比特間獨(dú)立性一般用于判斷，如果2個(gè)雪崩分量獨(dú)立不相關(guān)，說明此時(shí)S盒具有良好的隨機(jī)性.S盒的布爾函數(shù)分量可表示成f0,f1,…,fn，若S盒滿足BIC-SAC，則fj⊕fk(j≠k,1≤j,k≤n)應(yīng)滿足嚴(yán)格雪崩準(zhǔn)則.如果S盒的BIC-SAC值逼近于0.5，說明其隨機(jī)性良好，并且越接近這一逼近值性能越好.本文所構(gòu)造的S盒的BIC-SAC值的平均值為0.504 9，與其他文獻(xiàn)中的S盒相比可見，其具有相對(duì)較好的BIC特性.與其他同類方案相比，得到的對(duì)比結(jié)果如表4所示:

3.1.5 差分均勻性

衡量S盒抗差分密碼攻擊性能時(shí)，通常使用差分逼近概率DPf這一重要指標(biāo).DPf值與抗差分攻擊能力反相關(guān)，值越小說明抗差分攻擊能力越強(qiáng).由式(5)可以計(jì)算出本文構(gòu)造S盒的差分分布最大值是10，即DP=0.039 062 5.與其他文獻(xiàn)所構(gòu)造S盒的DP值對(duì)比結(jié)果如表5所示:

Table 5 Comparison of DP and LP Values on S-box表5 S盒的DP,LP值對(duì)比

3.1.6 線性逼近概率

線性逼近概率LPf通常用來證明S盒抵抗線性密碼攻擊的能力，LPf也與抵抗線性攻擊的能力反相關(guān)，值越小越能說明抵抗線性攻擊的能力強(qiáng).本文構(gòu)造的S盒的LPf值根據(jù)式(6)～(8)進(jìn)行計(jì)算.最后，S盒的DPf和LPf，與其他文獻(xiàn)中構(gòu)造的S盒的DPf和LPf對(duì)比如表5所示.可見，本文構(gòu)造的S盒具有較小的差分概率及線性概率，能有效抵抗差分密碼攻擊及線性密碼攻擊.

3.2 基于混沌系統(tǒng)的ZUC算法安全性分析

ZUC算法是一個(gè)面向字設(shè)計(jì)的序列密碼，分析序列密碼安全性的核心是檢驗(yàn)其密鑰流序列的隨機(jī)性.NIST檢測(cè)方法[24]為序列密碼的安全測(cè)評(píng)提供了理論分析的數(shù)據(jù)基礎(chǔ)，不僅可以減少一定的工作量，同時(shí)可以暴露出理論分析無(wú)法發(fā)現(xiàn)的安全漏洞.因此，本文選用NIST隨機(jī)性檢測(cè)方法分別對(duì)ZUC算法以及基于本文所構(gòu)造的混沌S盒的優(yōu)化ZUC算法進(jìn)行安全性測(cè)試，如果測(cè)試結(jié)果的P-value值均大于0.01，則可證明算法通過測(cè)試.

3.2.1 密鑰序列生成

在密碼學(xué)中，當(dāng)一個(gè)算法初始密鑰和初始向量均設(shè)置為“0”，將會(huì)生成隨機(jī)性最差的密鑰流[25].如果此時(shí)產(chǎn)生的序列能通過隨機(jī)性檢測(cè)，則意味著它在其他情況下也可以通過測(cè)試.因此，本文通過設(shè)置初始密鑰、初始向量為“0”進(jìn)行測(cè)試，同時(shí)選取密鑰字個(gè)數(shù)為40 000.此時(shí)，我們便可以得到2個(gè)40 000×32 b的密鑰流序列，分別對(duì)應(yīng)的是ZUC算法及本文所設(shè)計(jì)的基于混沌S盒的ZUC算法，然后以二進(jìn)制表示形式分別存入文件key1.txt和key2.txt中作為待測(cè)序列.

3.2.2 sts-2.1.2軟件隨機(jī)性檢測(cè)

在Windows系統(tǒng)下安裝“sts-2.1.2”和“cygin”軟件，進(jìn)入測(cè)試包所在目錄進(jìn)行測(cè)試，ZUC算法以及基于本文所構(gòu)造的混沌S盒的優(yōu)化ZUC算法的NIST測(cè)試結(jié)果對(duì)比如表6所示:

Table 6 P-value Comparison of NIST Test Results表6 NIST測(cè)試P-value值結(jié)果對(duì)比

由表6可以看出，基于混沌S盒的ZUC算法的16項(xiàng)測(cè)試項(xiàng)的結(jié)果顯著，所有P-value值均大于顯著水平α(其中α=0.01)，且全部?jī)?yōu)于ZUC算法本身.因此，基于混沌S盒的ZUC算法生成的密鑰流序列隨機(jī)性較好.

3.3 基于混沌S盒的ZUC算法的實(shí)現(xiàn)及性能分析

3.3.1 算法實(shí)現(xiàn)

本文通過使用標(biāo)準(zhǔn)C語(yǔ)言對(duì)算法進(jìn)行軟件實(shí)現(xiàn)，然后再將其移植至單片機(jī)上，軟件實(shí)現(xiàn)的結(jié)果如圖7所示，圖中所展示的是基于混沌S盒的ZUC算法的部分密鑰序列.

Fig. 7 Partial key sequence of ZUC algorithm based on chaotic S-box圖7 基于混沌S盒的ZUC算法部分密鑰序列

3.3.2 算法性能分析

對(duì)于基于混沌思想的S盒設(shè)計(jì)而言，還要考慮其軟硬件的實(shí)現(xiàn)性能.本文分別對(duì)基于混沌S盒的ZUC算法的軟硬件實(shí)現(xiàn)性能進(jìn)行了測(cè)試.

本文的軟件實(shí)現(xiàn)利用PC機(jī)進(jìn)行，其中PC機(jī)的操作系統(tǒng)為Windows 10 64 b，CPU為Intel?CoreTMi5-3337U@1.80 GHz，RAM為8 GB，通過Visual Studio2012編程軟件進(jìn)行測(cè)試，按照基于混沌思想的S盒設(shè)計(jì)方案替換ZUC算法中的固定S盒，分別從代碼大小、運(yùn)行時(shí)間和系統(tǒng)占比3個(gè)方面進(jìn)行性能對(duì)比和分析.從表7可以看出，增加動(dòng)態(tài)S盒部分的設(shè)計(jì)之后，代碼大小增長(zhǎng)了40%，占系統(tǒng)RAM百分比增長(zhǎng)了0.3，但運(yùn)行時(shí)間僅增加0.01 s，對(duì)算法本身的運(yùn)行性能并未產(chǎn)生很大的影響，在可接受范圍內(nèi).

Table 7 Algorithm Software Implementation Performance表7 算法軟件實(shí)現(xiàn)性能

本文的硬件實(shí)現(xiàn)采用ATmega8A型8 b微控制器，片內(nèi)SRAM為512 KB，同樣按照設(shè)計(jì)方案分別從代碼大小、運(yùn)行時(shí)間和系統(tǒng)占比3個(gè)方面進(jìn)行了性能的對(duì)比和分析.從表8可以看出，在本文的硬件運(yùn)行環(huán)境下，相較于軟件實(shí)現(xiàn)而言，ZUC算法本身的代碼大小變大.這是由于單片機(jī)本身的通信接口等定義，占用了一小部分存儲(chǔ)空間，但與算法本身所需存儲(chǔ)空間相比，可忽略不計(jì).在加入混沌動(dòng)態(tài)S盒設(shè)計(jì)之后，代碼大小增加了38%，占系統(tǒng)RAM百分比增長(zhǎng)了3，運(yùn)行時(shí)間僅增加0.11 s.但這是由于單片機(jī)的性能遠(yuǎn)不如PC機(jī)，對(duì)算法的硬件實(shí)現(xiàn)效率來講并未產(chǎn)生很大的影響，完全在可以接受的范圍內(nèi).

Table 8 Algorithm Hardware Implementation Performance表8 算法硬件實(shí)現(xiàn)性能

基于混沌S盒的ZUC算法的軟硬件性能測(cè)試表明，該方案不僅提高算法的安全性, 也具有較好的軟硬件可實(shí)現(xiàn)性.

3.3.3 算法的應(yīng)用場(chǎng)景

本文將基于混沌S盒的ZUC算法應(yīng)用于自己搭建的輕量級(jí)物聯(lián)網(wǎng)平臺(tái)中，對(duì)整個(gè)物聯(lián)網(wǎng)平臺(tái)系統(tǒng)中的感知層資源受限設(shè)備所采集的數(shù)據(jù)進(jìn)行加密，并將密文數(shù)據(jù)傳輸并存儲(chǔ)在物聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)庫(kù)中，便于合法授權(quán)用戶進(jìn)行數(shù)據(jù)的統(tǒng)一管理，提高了數(shù)據(jù)在采集、傳輸及存儲(chǔ)全流程的安全性.

通過使用超級(jí)終端對(duì)數(shù)據(jù)采集和傳輸?shù)倪^程進(jìn)行監(jiān)控，可以看到經(jīng)過單片機(jī)后數(shù)據(jù)已經(jīng)被加密，傳輸過程中的數(shù)據(jù)為密文形式，如圖8所示：

Fig. 8 Ciphertext transmission of data圖8 數(shù)據(jù)的密文傳輸

數(shù)據(jù)上傳至平臺(tái)端，也是以密文形式在數(shù)據(jù)庫(kù)中進(jìn)行存儲(chǔ)，如圖9所示：

Fig. 9 Data of ciphertext stored in the database圖9 數(shù)據(jù)庫(kù)中密文形式的數(shù)據(jù)存儲(chǔ)

4 結(jié) 論

本文所提出的S盒設(shè)計(jì)方法是基于2個(gè)經(jīng)典混沌系統(tǒng)的復(fù)合，并將Arnold映射引入方案設(shè)計(jì)中進(jìn)行二次置亂和重構(gòu).通過將本文構(gòu)造的S盒嚴(yán)格按照S盒設(shè)計(jì)準(zhǔn)則進(jìn)行安全性分析，并與前人所提出的方法做了充分比較，驗(yàn)證了本文所構(gòu)造S盒的密碼特性.安全性分析結(jié)果表明:此方案產(chǎn)生的S盒相比于ZUC算法及其他相關(guān)文獻(xiàn)具有更高的安全性，并能實(shí)現(xiàn)動(dòng)態(tài)生成性能良好的S盒，替換ZUC算法中的2種固定的S盒.最后，本文對(duì)基于混沌S盒的ZUC算法進(jìn)行了NIST隨機(jī)性測(cè)試和軟硬件性能測(cè)試，結(jié)果表明:本文所構(gòu)造的S盒安全性更高，不僅增強(qiáng)了ZUC算法所產(chǎn)生密鑰流序列的隨機(jī)性，還兼具較好的軟硬件可實(shí)現(xiàn)性，可應(yīng)用于資源受限的物聯(lián)網(wǎng)設(shè)備中的數(shù)據(jù)加密過程.