高藝恬，陳立全，屠天揚，高原，陳芊葉

基于BRLWE的物聯(lián)網(wǎng)后量子加密技術(shù)研究

高藝恬，陳立全，屠天揚，高原，陳芊葉

（東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 210096）

隨著量子計算機(jī)的發(fā)展，現(xiàn)有的公鑰加密體系無法保障物聯(lián)網(wǎng)通信的安全性。后量子加密算法所基于的數(shù)學(xué)難題目前還不能被量子計算機(jī)攻破，因此具備良好的抗量子安全性，尤其是基于格的公鑰密碼體制，有望成為下一代公鑰加密體系的主流。然而，后量子加密算法存在計算量大、存儲空間大等問題，如果將其直接應(yīng)用于物聯(lián)網(wǎng)終端的輕量級設(shè)備中，會降低物聯(lián)網(wǎng)環(huán)境的通信效率。為了更好地保護(hù)物聯(lián)網(wǎng)通信安全，保障物聯(lián)網(wǎng)通信效率，提出了Sym-BRLWE（symmetrical binary RLWE）后量子加密算法。該算法在基于二進(jìn)制環(huán)上容錯學(xué)習(xí)（BRLWE，binary ring-learning with errors）問題的加密算法的基礎(chǔ)上，改進(jìn)了離散均勻分布上的隨機(jī)數(shù)選取方式和多項式乘法的計算方式，從而滿足物聯(lián)網(wǎng)通信的效率要求，增加了加密安全性防護(hù)性措施以保證算法在取得高效率的同時具有高安全性，更加適應(yīng)于物聯(lián)網(wǎng)輕量設(shè)備。安全性分析表明，Sym-BRLWE加密算法具有高安全性，從理論上能夠抵抗格攻擊、時序攻擊、簡單能量分析和差分能量分析；仿真實驗結(jié)果表明，Sym-BRLWE加密算法具有通信效率高的優(yōu)勢，加密解密效率高且密鑰尺寸小，在模擬8 bit微型設(shè)備的二進(jìn)制運算環(huán)境下，選擇140 bit的抗量子安全級別參數(shù)時，相較于其他已有的基于BRLWE的加密算法，同等加密條件下Sym-BRLWE加密算法能夠在加密總時間上減少30%～40%。

后量子密碼；物聯(lián)網(wǎng)；公鑰加密；基于格的加密；環(huán)上容錯學(xué)習(xí)問題

0 引言

網(wǎng)絡(luò)安全問題不僅影響著人們的數(shù)據(jù)隱私，也關(guān)乎國家與社會的利益?；ヂ?lián)網(wǎng)通信安全保障的基礎(chǔ)在于信息加密技術(shù)的安全性。信息加密正面臨著兩大難題：一是物聯(lián)網(wǎng)的蓬勃發(fā)展引發(fā)了物聯(lián)網(wǎng)終端電子設(shè)備的應(yīng)用熱潮，給信息加密帶來了極大的需求和挑戰(zhàn)[1]；二是量子計算機(jī)的橫空出世降低了處理海量數(shù)據(jù)的難度，給傳統(tǒng)加密算法帶來了致命的威脅[2]。傳統(tǒng)的公鑰加密技術(shù)已被證明無法抵御量子計算的攻擊，量子計算機(jī)的產(chǎn)生導(dǎo)致現(xiàn)有密碼體制不再安全。有專家預(yù)估在不久的將來，大規(guī)模量子計算機(jī)的商用將伴隨著6G時代一起到來[3]。面對量子計算對加密領(lǐng)域造成的威脅，后量子密碼應(yīng)運而生。后量子加密算法具有抗量子性，可以彌補傳統(tǒng)加密算法無法抵御量子攻擊的不足。但是在復(fù)雜的物聯(lián)網(wǎng)場景中，已知的后量子算法是否仍然可以有效運行并維護(hù)物聯(lián)網(wǎng)安全，需要進(jìn)一步探索。

（1）物聯(lián)網(wǎng)環(huán)境加密需求

物聯(lián)網(wǎng)安全最大的挑戰(zhàn)在于：①物聯(lián)網(wǎng)終端通常采用多種多樣的嵌入式設(shè)備和輕量級處理器，相較于普通計算機(jī)，它們具有存儲容量小、算力不足、數(shù)據(jù)存儲時間長、更新難度大等特點，以及低成本、低功耗的需求；②物聯(lián)網(wǎng)具有大規(guī)模、多協(xié)議、多種業(yè)務(wù)技術(shù)并存等特性，移動邊緣計算的發(fā)展使得物聯(lián)網(wǎng)面臨眾多異構(gòu)終端用戶接入，安全認(rèn)證計算量大、通信安全性要求高[4]。

因此，新形勢下物聯(lián)網(wǎng)環(huán)境所采用的公鑰加密體制必須滿足以下需求。

1) 抗量子攻擊：為了抵抗量子計算對傳統(tǒng)加密算法的威脅，必須在物聯(lián)網(wǎng)環(huán)境中采用后量子加密系統(tǒng)代替?zhèn)鹘y(tǒng)加密系統(tǒng)。

2) 輕量級架構(gòu)：不同于普通互聯(lián)網(wǎng)中的加密系統(tǒng)可以依靠大型服務(wù)器與高內(nèi)存用戶端進(jìn)行密鑰計算與存儲，物聯(lián)網(wǎng)終端設(shè)備往往數(shù)據(jù)容量小、計算力低、傳輸時延長，不適合采用過于復(fù)雜的加密體制。

3) 多參數(shù)方案：不同物聯(lián)網(wǎng)環(huán)境對安全級別的要求不同，過高的安全級別對硬件的要求更高，提供多種參數(shù)選擇可以針對不同的加密環(huán)境與硬件配置選擇最適加密方案。

4) 模塊化運算：在算法實施的各個環(huán)節(jié)中，盡量模塊化處理，便于硬件調(diào)用。

5) 適配性良好：構(gòu)造簡潔，經(jīng)過封裝能夠良好地應(yīng)用于各種硬件電路，滿足各種通信協(xié)議。

現(xiàn)有的用于物聯(lián)網(wǎng)設(shè)備的加密算法中使用的大多是橢圓曲線加密算法。但是橢圓曲線加密算法不具備抗量子性，且其加密效率并不高?；诟竦墓€加密算法的硬件實現(xiàn)在最近幾年得到蓬勃發(fā)展，許多研究人員已經(jīng)在嵌入式處理器上進(jìn)行實驗并報告了他們的實驗結(jié)果。尤其是自2010年，環(huán)上容錯學(xué)習(xí)（RLWE，ring-learning with error）問題被提出以來，密碼學(xué)領(lǐng)域一直有科研人員嘗試將基于RLWE問題的加密算法應(yīng)用至硬件中。而在近5年中，伴隨物聯(lián)網(wǎng)的快速發(fā)展，對輕型物聯(lián)網(wǎng)終端設(shè)備的RLWE加密應(yīng)用更加成為研究熱點，其中包括對現(xiàn)場可編程門陣列（FPGA，field programmable gate array）電路、Cortex-M系列微控制器、AVR-ATxmega系列單片機(jī)等小型硬件設(shè)備的加密應(yīng)用與改進(jìn)。

（2）基于格的公鑰密碼體制

基于格的公鑰密碼體制（lattice-based cryptography）是被研究最多的后量子加密體制之一。格是線性空間上確定的一組線性無關(guān)向量的整數(shù)線性組合?；诟竦墓€加密體制根據(jù)不同的格上困難問題所構(gòu)造，如最短向量問題（SVP，shortest vector problem）、最近向量問題（CVP，closest vector problem）、最短獨立向量問題（SIVP，shortest independent vector problem）等?；诟竦墓€密碼體制通常將困難問題從平均情況難解性歸約到可證明的最壞情況難解性，因此可以證明其具有很高的抗量子安全性。

基于格的公鑰密碼體制發(fā)展迅速，目前被認(rèn)為具有前景的方案包括NTRU（n-th degree truncated polynomial ring units）加密、基于容錯學(xué)習(xí)（LWE，learning with errors）困難問題的加密和基于RLWE困難問題的加密等。

本文的主要貢獻(xiàn)如下。

2) 在改進(jìn)的RBLWE算法中增加了加密安全性防護(hù)措施，從而能夠抵御物聯(lián)網(wǎng)環(huán)境中常見的側(cè)信道攻擊（具體包括時序攻擊、簡單功耗分析、差分功耗分析等），且加密效率依然很高。

1 相關(guān)工作

1.1 基于格的RLWE加密算法

Lyubashevsky等[5]2010年首次提出了RLWE問題，它是LWE問題在多項式環(huán)上進(jìn)行改進(jìn)后的表現(xiàn)形式?；赗LWE問題的加密算法被稱為RLWE加密算法，它相較于LWE加密算法，具有密鑰尺寸小、加密效率高等特性。

近年來，RLWE加密算法在基于格的后量子密碼中愈發(fā)得到重視，其簡潔的計算方式和小尺寸的密鑰被認(rèn)為在物聯(lián)網(wǎng)環(huán)境下具有廣闊的應(yīng)用前景。

P?ppelmann等[6]首次將基于快速傅里葉變換（FFT，fast Flourier transform）的快速數(shù)論變換（NTT，number theoretic transform）算法應(yīng)用在RLWE加密中的多項式乘法中，并通過實驗驗證NTT可以在硬件上得到很好的應(yīng)用效果，提高了加密效率。此后，在不同輕量級設(shè)備上的RLWE加密研究越來越受到關(guān)注。

Roy等[7]、Fritzmann等[8]基于FPGA架構(gòu)對RLWE加密中的NTT算法進(jìn)行了進(jìn)一步優(yōu)化與仿真實驗。Clercq等[9]使用了32位ARM的Cortex-M4F微處理器作為實驗平臺，并對高斯抽樣算法和多項式乘法進(jìn)行了優(yōu)化，使得RLWE加密在軟件上的應(yīng)用速度提升了至少7倍。Boorghany等[10]首次在8 bit處理器上實現(xiàn)基于格的加密方案。Liu等[11]在8 bit AVR處理器上對NTT算法進(jìn)行了改進(jìn)，使用特殊的系數(shù)存儲方法減少了多項式乘法的RAM占用空間。2020年，他們在ARM NEON和MSP430架構(gòu)上首次實現(xiàn)了RLWE加密。Seo等[12]提出了一種基于8 bit AVR微控制器的安全緊湊的Ring-LWE加密方案，并給出了針對簡單功耗分析和時序攻擊的對策。

然而，對于物聯(lián)網(wǎng)終端設(shè)備，尤其是一些需要長期運行并存儲數(shù)據(jù)的小型設(shè)備而言，高斯分布和NTT算法的應(yīng)用仍然被認(rèn)為不夠輕量。因此基于RLWE加密算法提出了BRLWE加密算法。

1.2 BRLWE加密

BRLWE加密算法最早由Buchmann等[13]于2016年在8 bit微型處理器ATXmega128和32 bit Cortex M0上進(jìn)行了應(yīng)用。不同于經(jīng)典的RLWE加密算法，Buchmann等對和兩個參數(shù)的選擇均使用2的次冪，即在二進(jìn)制中，模2相當(dāng)于僅保留數(shù)值的低位，從而大大提高了模運算的效率。

此外，Xie等[18]提出了一種novel LUT-like的多項式乘法方案。他們利用4輸入乘法器作為多項式乘法的最小計算單元，在每次進(jìn)行多項式乘法時，將項系數(shù)兩兩拆分，再通過乘法器進(jìn)行分別運算。He等[19]對多項式乘法從硬件角度進(jìn)行了解構(gòu)，在硬件配置上做了相關(guān)改進(jìn)。上述研究成果選取了一些新穎的角度進(jìn)行研究，也十分具有啟發(fā)性。

BRLWE算法的多項式運算模塊的改進(jìn)與安全性保障是將BRLWE真正應(yīng)用于物聯(lián)網(wǎng)終端的研究重點。

2 算法改進(jìn)

2.1 符號說明

為更好地理解本文加密算法的實現(xiàn)過程，對本文常用符號進(jìn)行如下約定和說明。

2.2 算法介紹

本文提出了Sym-BRLWE（symmetrical binary RLWE）算法，該算法改進(jìn)了BRLWE加密，具體為調(diào)整了離散均勻分布上的隨機(jī)數(shù)選取，優(yōu)化了多項式乘法的計算細(xì)節(jié)。

1) 數(shù)據(jù)量更小，計算更便捷，能夠更好地在輕量級設(shè)備上快速運算；

2) 省去了離散高斯分布抽樣過程，加快了運算時間；

算法1 BRLWE加密算法

密鑰生成

加密

解密

BRLWE解密正確性分析如下：

則其均值為：

2.3 物聯(lián)網(wǎng)環(huán)境下算法的實現(xiàn)

（1）隨機(jī)數(shù)生成

（2）環(huán)上多項式運算

環(huán)上多項式加法計算如算法2、算法3所示。

算法2 環(huán)上多項式加法計算（含二進(jìn)制多項式）

算法3 環(huán)上多項式加法計算（不含二進(jìn)制多項式）

多項式乘法計算如算法4所示，本算法在文獻(xiàn)[15]中所述的循環(huán)移位方法的基礎(chǔ)上，簡化了多項乘法計算步驟。

算法4 環(huán)上多項式乘法計算

表1 Sym-BRLWE加密時間

表2 Sym-BRLWE各數(shù)據(jù)存儲空間

3 安全性分析

3.1 格攻擊

對于基于格的后量子加密算法而言，存在許多根據(jù)格困難問題本身進(jìn)行的攻擊，稱之為格攻擊。常見的格攻擊方法主要是一些格基約減算法如LLL（Lenstra–Lenstra–Lovász）、BKZ（Block Korkine- Zolotarev）等，它們通過將格基進(jìn)行約減變化使格上困難問題的求解變得容易。BRLWE算法基于的BRLWE問題是RLWE問題的變體。文獻(xiàn)[21]簡單地證明了BRLWE問題至少與標(biāo)準(zhǔn)LWE問題一樣困難，因此本文認(rèn)為BRLWE問題基于的格上數(shù)學(xué)難題是足夠難解的，算法理論是足夠安全的。

3.2 側(cè)信道攻擊

側(cè)信道攻擊（SCA，side channel attack）是一種對加密硬件的攻擊方式，包括時序攻擊、能量分析、錯誤注入等方式。不同于針對算法本身的軟件攻擊，它通過對加密時的信道進(jìn)行監(jiān)測，對各硬件計算和傳輸數(shù)據(jù)時泄露的信息進(jìn)行攻擊，而無須侵入算法內(nèi)部。下面將從側(cè)信道攻擊的角度對Sym-BRLWE進(jìn)行安全分析。

（1）時序攻擊

（2）SPA攻擊

SPA攻擊對硬件電流隨時間變化的情況進(jìn)行監(jiān)測與分析，電子元件在執(zhí)行不同操作時，功耗會發(fā)生變化[22]。

在原始的BRLWE加密中，當(dāng)二進(jìn)制多項式系數(shù)遇“0”時不進(jìn)行任何計算，只有在遇“1”時才進(jìn)行加法運算，這將給SPA攻擊提供可乘之機(jī)。例如，在解密過程中，SPA攻擊能夠判斷是否進(jìn)行了加法運算產(chǎn)生的功耗差異，從而破解私鑰。而在Sym-BRLWE中，由于將“0”實際上視作“?1”，無論二進(jìn)制多項式的系數(shù)是“0”還是“1”，都要進(jìn)行加法和減法以及與運算，運算相同則功耗也相同，因此該算法可以抵抗SPA攻擊。

（3）DPA攻擊

SPA攻擊只在分析單個運算操作下有效，而對于同時進(jìn)行多個操作的系統(tǒng)，由于信號的混合，SPA將無能為力。DPA則將有加密操作的信號減去沒有加密操作的噪聲從而得到需要分析的關(guān)鍵信號。只要獲取足夠多的能量跡線并進(jìn)行統(tǒng)計分析，DPA攻擊就能夠發(fā)掘細(xì)微的功耗與密鑰之間的聯(lián)系，因此DPA更難預(yù)防[23]。

（4）FI攻擊

FI攻擊能夠針對系統(tǒng)中的數(shù)據(jù)或控制單元進(jìn)行攻擊。攻擊者將錯誤信息注入內(nèi)存或信號以利用函數(shù)的錯誤執(zhí)行從而提取秘密數(shù)據(jù)（如未加密的明文或私鑰等）。

文獻(xiàn)[17]中提到的應(yīng)對FI攻擊的措施同樣可以應(yīng)用到本文方案中，關(guān)于錯誤注入攻擊的防御將在未來進(jìn)行進(jìn)一步研究。

4 實驗分析

本節(jié)對文獻(xiàn)[13]、[14]和[16]中提出的基于BRLWE加密算法和本文提出的Sym-BRLWE加密算法進(jìn)行實驗仿真與比較。算法代碼基于Python語言編寫，仿真環(huán)境為64 bit Windows10專業(yè)版，Python 3.7.2，硬件配置為Intel(R) Core(TM) i5-7200U 2.50 GHz 2.70 GHz CPU處理器及8 GB RAM。本仿真實驗對各算法分別根據(jù)的取值選擇兩種參數(shù)方案，如表3所示，然后對512 bit的二進(jìn)制明文加密，進(jìn)行200次實驗取均值，并根據(jù)結(jié)果比較包括密鑰生成時間、加密時間、解密時間、私鑰大小、公鑰大小、密文大小等加密特征。

經(jīng)過仿真后得到的各加密算法的時間消耗和數(shù)據(jù)大小統(tǒng)計分別如表4、表5所示。

表3 RBLWE加密參數(shù)及對應(yīng)安全級別

注：安全級別中的“/”前后數(shù)字表示表示傳統(tǒng)安全級別和量子安全級別。

表4 各加密算法時間消耗統(tǒng)計

表5 各加密算法數(shù)據(jù)大小統(tǒng)計

從表4能夠看出，在各算法中，更高的安全級別必然需要更大的時間消耗。而比較同一安全級別下的各個加密算法，可以看出R-BinLWE在各階段所需時間均為最短，這是因為R-BinLWE僅僅基于原始的BRLWE構(gòu)造，沒有任何安全性措施，缺乏抵抗側(cè)信道攻擊的能力。R-BinLWE是最原始的理想化算法，安全性很弱，僅作為其他算法的比較參考。InvRBLWE所需時間在4種加密算法中相對最長，這是因為InvRBLWE為抵抗SPA、DPA攻擊在加密過程中采用了掩碼操作，做出了一定的效率犧牲。它的安全性能夠保證，但效率低于Sym-BRLWE。此外，Sym-BRLWE相較于B-RLWE也有一定效率優(yōu)勢。B-RLWE的時間消耗主要源于其在抵御DPA攻擊時增加了一次環(huán)上隨機(jī)數(shù)生成環(huán)節(jié)。

圖1 各算法加解密總時間比較

Figure 1 Comparison of the total encryption time of each algorithm

Sym-BRLWE的效率優(yōu)勢在根本上主要體現(xiàn)在：多項式乘法上減去了一個判斷分支；解密時不需要額外的解碼運算；省去了一些耗時的安全性措施。因此Sym-BRLWE在安全性不弱于其他上述算法的情況下，效率上具有明顯的優(yōu)勢。

從表5給出的加密算法數(shù)據(jù)大小統(tǒng)計中可以看到，Sym-BRLWE保證了與B-RLWE和InvRBLWE的一致，即私鑰大小比原始R-BinLWE方案要小75%，而公鑰大小、密文大小與原始方案不變。由于R-BinLWE在生成二進(jìn)制多項式時，沒有使用8 bit二進(jìn)制隨機(jī)數(shù)生成器生成數(shù)字再進(jìn)行按位截取，因此占用了大量冗余空間。其他3個算法均針對輕量硬件設(shè)備考慮到這一點，因此私鑰大小得到了大幅縮小。

5 結(jié)束語

本文提出了一種后量子加密算法Sym-BRLWE，該算法具有更高的加密效率，更小的密鑰尺寸，同時能夠抵御時序攻擊、SPA、DPA等側(cè)信道攻擊，因此更加適用于物聯(lián)網(wǎng)應(yīng)用。經(jīng)過仿真實驗驗證，在8 bit運算背景選擇140 bit的量子安全級別參數(shù)時，相較于其他已有BRLWE算法，加密總時間能夠減少至少30%，證明了Sym-BRLWE加密算法比其他已提出的BRLWE相關(guān)算法加密效率更高。本文的研究存在一些尚未解決的問題有待后續(xù)的進(jìn)一步拓展研究，包括仿真實驗可以拓展到更真實的硬件環(huán)境中進(jìn)行，探討更適宜于新型物聯(lián)網(wǎng)硬件框架的優(yōu)化機(jī)制與方法等。

[1] SCHNEIER B. IoT cybersecurity: what's plan B[R]. 2017.

[2] 朱小伶. 2020年量子計算技術(shù)發(fā)展綜述[J]. 無人系統(tǒng)技術(shù), 2021, 4(2): 26-32.

ZHU X L. Survey of quantum computing technology in 2020[J]. Unmanned Systems Technology, 2021, 4(2): 26-32.

[3] 張成磊, 付玉龍, 李暉, 等. 6G網(wǎng)絡(luò)安全場景分析及安全模型研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2021, 7(1): 28-45.

ZHANG C L, FU Y L, LI H, et al. Research on security scenarios and security models for 6G networking[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 28-45.

[4] 陳璐, 湯紅波, 游偉, 等. 移動邊緣計算安全防御研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2021, 7(1): 130-142.

CHEN L, TANG H B, YOU W, et al. Research on security defense of mobile edge computing[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 130-142.

[5] LYUBASHEVSKY V, PEIKERT C, REGEV O. On ideal lattices and learning with errors over rings[M]//Advances in Cryptology – EUROCRYPT 2010. Berlin, Heidelberg: Springer Berlin Heidelberg, 2010: 1-23.

[6] P?PPELMANN T, GüNEYSU T. Towards efficient arithmetic for lattice-based cryptography on reconfigurable hardware[M]//Progress in Cryptology-LATINCRYPT 2012. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 139-158.

[7] ROY S S, VERCAUTEREN F, MENTENS N, et al. Compact ring-LWE cryptoprocessor[C]//Cryptographic Hardware and Embedded Systems – CHES 2014. 2014: 371-391.

[8] FRITZMANN T, SEPúLVEDA J. Efficient and flexible low-power NTT for lattice-based cryptography[C]//Proceedings of 2019 IEEE International Symposium on Hardware Oriented Security and Trust. 2019: 141-150.

[9] DE CLERCQ R, ROY S S, VERCAUTEREN F, et al. Efficient software implementation of ring-LWE encryption[C]//Proceedings of Design, Automation & Test in Europe Conference & Exhibition (DATE). 2015: 339-344.

[10] BOORGHANY A, SARMADI S B, JALILI R. On constrained implementation of lattice-based cryptographic primitives and schemes on smart cards[J]. ACM Transactions on Embedded Computing Systems, 2015, 14(3): 1-25.

[11] LIU Z, AZARDERAKHSH R, KIM H, et al. Efficient software implementation of ring-LWE encryption on IoT processors[J]. IEEE Transactions on Computers, 2020, 69(10): 1424-1433.

[12] SEO H, KWON H, KWON Y, et al. Fast number theoretic transform for ring-LWE on 8-bit AVR embedded processor[J]. Sensors, 2020, 20(7): 2039.

[13] BUCHMANN J, G?PFERT F, GüNEYSU T, et al. High- performance and lightweight lattice-based public-key encryption[C]//Pro- ceedings of the 2nd ACM International Workshop on IoT Privacy, Trust, and Security. 2016: 2-9.

[14] AYSU A, ORSHANSKY M, TIWARI M. Binary Ring-LWE hardware with power side-channel countermeasures[C]//Proceedings of 2018 Design, Automation & Test in Europe Conference & Exhibition (DATE). 2018: 1253-1258.

[15] EBRAHIMI S, BAYAT-SARMADI S, MOSANAEI-BOORANI H. Post-quantum cryptoprocessors optimized for edge and resource-constrained devices in IoT[J]. IEEE Internet of Things Journal, 2019, 6(3): 5500-5507.

[16] EBRAHIMI S, BAYAT-SARMADI S. Lightweight and DPA-resistant post-quantum cryptoprocessor based on binary ring-LWE[C]//Proceedings of 2020 20th International Symposium on Computer Architecture and Digital Systems (CADS). 2020: 1-6.

[17] EBRAHIMI S, BAYAT-SARMADI S. Lightweight and fault-resilient implementations of binary ring-LWE for IoT devices[J]. IEEE Internet of Things Journal, 2020, 7(8): 6970-6978.

[18] XIE J F, HE P Z, WEN W J. Efficient implementation of finite field arithmetic for binary ring-LWE post-quantum cryptography through a novel lookup-table-like method[C]//Proceedings of 2021 58th ACM/IEEE Design Automation Conference. 2021: 1279-1284.

[19] HE P Z, GUIN U, XIE J F. Novel low-complexity polynomial multiplication over hybrid fields for efficient implementation of binary ring-LWE post-quantum cryptography[J]. IEEE Journal on Emerging and Selected Topics in Circuits and Systems, 2021, 11(2): 383-394.

[20] FERNáNDEZ-CARAMéS T M. From pre-quantum to post-quantum IoT security: a survey on quantum-resistant cryptosystems for the Internet of Things[J]. IEEE Internet of Things Journal, 2020, 7(7): 6457-6480.

[21] BUCHMANN J, G?PFERT F, PLAYER R, et al. On the hardness of LWE with binary error: Revisiting the hybrid lattice-reduction and meet-in-the-middle attack[C]//International Conference on Cryptology in Africa. 2016: 24-43.

[22] PARK A, HAN D G. Chosen ciphertext simple power analysis on software 8-bit implementation of ring-LWE encryption[C]//Pro- ceedings of 2016 IEEE Asian Hardware-Oriented Security and Trust (AsianHOST). 2016: 1-6.

[23] KOCHER P, JAFFE J, JUN B, et al. Introduction to differential power analysis[J]. Journal of Cryptographic Engineering, 2011, 1(1): 5-27.

Post-quantum encryption technology based on BRLWE for internet of things

GAO Yitian, CHEN Liquan, TU Tianyang,GAO Yuan, CHEN Qianye

School of Cyber Science and Engineering, Southeast University, Nanjing 210096, China

With the development of quantum computers, the classical public key encryption system is not capable enough to guarantee the communication security of internet of things (IoT). Because the mathematical puzzles which post-quantum encryption algorithms are based on cannot yet be broken by quantum computers, these new algorithms have good anti-quantum computing security. In particular, the lattice-based cryptography is expected to become the main technology of the next generation public key cryptosystem. However, post-quantum encryption algorithms have the disadvantages of large amount of computation and high storage space. The communication efficiency of IoT will be affected if post-quantum encryption algorithms are directly applied to the lightweight device under IoT environment. In order to better guaranteethe communication security and improve the commutation efficiency of IoT, Sym-BRLWE (symmetrical binary RLWE) encryption scheme was proposed. Sym-BRLWE was improved from the existing post-quantum encryption scheme based on BRLWE (binary ring- learning with errors) problem. Specifically, Sym-BRLWE encryption algorithm met the efficiency requirements of IoT via improving the random number selection on the discrete uniform distribution and the calculation of the polynomial multiplication. Sym-BRLWE encryption algorithm achieved high efficiency and high security via adding encryption security precautions, thenit ismore suitable for IoT lightweight devices. From the security analysis, the proposed Sym-BRLWE encryption scheme had high security. It could theoretically resist lattice attacks, timing attacks, simple power analysis (SPA) and differential power analysis (DPA). From simulation experiments, which were carried out in a binary computing environment simulating an 8-bit micro-device, the proposed Sym-BRLWE encryption scheme has high efficiency and small key size in encryption and decryption. It could reduce the total encryption time by 30% to 40% when compared with other BRLWE-based encryption schemes with the parameter selection of the 140bit quantum security level.

post-quantum cryptography, internet of things, public key encryption, lattice-based encryption system, ring-learning with errors

TP393

A

10.11959/j.issn.2096?109x.2022024

2021?08?31；

2021?10?15

陳立全，Lqchen@seu.edu.cn

國家重點研發(fā)計劃（2020YFE0200600）

TheNational Key R&D Program of China（2020YFE0200600）

高藝恬, 陳立全, 屠天揚, 等. 基于BRLWE的物聯(lián)網(wǎng)后量子加密技術(shù)研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2022, 8(5): 140-149.

Format: GAO Y T, CHEN L Q, TU T Y, et al. Post-quantum encryption technology based on BRLWE for internet of things[J]. Chinese Journal of Network and Information Security, 2022, 8(5): 140-149.

高藝恬（1998?），女，江蘇南京人，東南大學(xué)碩士生，主要研究方向為后量子密碼、物聯(lián)網(wǎng)安全。

陳立全（1976?），男，廣西玉林人，東南大學(xué)教授、博士生導(dǎo)師，主要研究方向為物聯(lián)網(wǎng)安全、密碼協(xié)議等。

屠天揚（1997?），女，浙江嘉興人，東南大學(xué)碩士生，主要研究方向為后量子密碼、物聯(lián)網(wǎng)安全。

高原（1994?），女，山東煙臺人，東南大學(xué)博士生，主要研究方向為云數(shù)據(jù)去重、物聯(lián)網(wǎng)數(shù)據(jù)安全。

陳芊葉（1997?），女，江蘇揚州人，東南大學(xué)碩士生，主要研究方向為物聯(lián)網(wǎng)安全、量子密鑰分發(fā)。