鄧赟 許克智 趙越

摘要：序列密碼已成為許多重要領域應用的主流密碼體制，而大多無線通信系統(tǒng)都存在信道傳輸資源緊張的情況，無法為密碼應用提供充足的信道資源保障，給系統(tǒng)的安全性帶來了一定挑戰(zhàn).針對特定條件下遇到的安全通信的難題，文中提出了一種基于特殊單向因子的初始向量構造方法.采用該方法構造的初始向量可在占用較少信道資源情況下，滿足安全通信需求，同時兼顧非易失性存儲器擦寫的頻率保證設備使用壽命.

關鍵詞：一次一密；單向因子；通信計數器；周期計數器

收稿日期： 2022-09-11

基金項目： 國家自然科學基金與企業(yè)創(chuàng)新發(fā)展聯合基金（U20B2049）

作者簡介： 鄧赟（1983-），女，高級工程師，碩士，研究方向為信息安全與通信保密，系統(tǒng)總體設計、衛(wèi)星通信技術，嵌入式軟件開發(fā). E-mail： 21792471@qq.com

通訊作者： 許克智.E-mail： 1494541855@qq.com

An initial vector construction method based on special oneway factor

DENG Yun， XU Ke-Zhi， ZHAO Yue

（The No.30 Institute of CETC， Chengdu 610041， China）

Sequence cipher has been the maninstresam cipher used in many important fields，but most wireless communication systems have a shortage of channel transmission resoures，which cannot provide sufficient channel resources for cryptographic applications and brings some challenges to the system security.Aiming at the problem of secure communication under specific conditions，a method of initial vector construction based on spcial oneway factor is proposed in this paper.The initial vector constructed by this method can meet the needs of secure communication while occupying less channelresources while taking into account the flash erase frequency to ensure the secvice life of the equipment.

One time pad；Unidirectional factor; Communication counter; Period counter

1 引 言

1949年Shannon證明了“一次一密”密碼體制在理論上是不可破譯的^[1-3].長期以來，人們試圖以序列密碼方式仿效“一次一密”密碼體制，從而促進了序列密碼的研究和發(fā)展.序列密碼又稱流密碼，是將明文串逐位地加密成密文字符^[4].目前，序列密碼的理論已經非常成熟，而且具有工程實現容易、處理效率高和錯誤傳播少等特點，所以序列密碼成為許多重要領域應用的主流密碼體制.其中二元加法流密碼是當前最為常用的序列密碼體制.

為了應用安全，序列密碼應使用盡可能長的密鑰^[5]，而長密鑰的存儲和分配都更為困難.于是，人們使用一個短的種子密鑰作為密鑰源，通過密鑰序列生成器進行擴展產生一個較長的偽隨機序列，再使用產生的偽隨機序列（即密鑰序列）對信息數據進行加解密處理^[6-8]，如圖1所示.這樣的密鑰序列可具有極大的周期、良好的統(tǒng)計特性和抗線性分析等特性，能夠滿足序列密碼的應用需求.

密鑰序列的產生主要由密鑰源和密鑰序列生成器決定^[9，10].在實際系統(tǒng)中，密鑰序列生成器的生成算法已經確定，而密鑰源根據需要定期進行更換.因此為了保證系統(tǒng)的使用安全，在密鑰源更換周期內，密鑰序列生成器每次擴展產生密鑰序列時所使用的初始狀態(tài)（即初始向量IV，須隨密文一起通過信道傳輸）需要滿足一定的隨機性或唯一性要求.

無線系統(tǒng)大多由于通信信道實際傳輸的載荷資源有限^[11]，無法為密碼應用提供更多的信息傳輸空間，但如果不在信道上傳輸的滿足一次一密需求的初始向量，將導致系統(tǒng)存在安全使用隱患.由此，研究并設計資源占比小且安全可行的序列密碼初始向量構造方法，是保障用戶在信道載荷資源受限等特定條件下的安全通信和使用的重要手段.

2 初始向量的常見構造

基于當前的科學技術水平條件，為保證系統(tǒng)使用安全，在密鑰源滿足安全分配^[9]、存儲和使用要求時，初始向量（IV）主要有兩種構造方法：隨機因子構造方法和單向因子構造方法.

2.1 隨機因子構造方法

在系統(tǒng)通信信道傳輸資源非常充裕時，可根據所選用算法的要求，產生足夠長度的隨機數，將隨機數作為初始向量參與序列算法運算產生密鑰序列，然后將作為初始向量的隨機數全部傳遞至收方，用以擴展產生與發(fā)方一致的密鑰序列.

隨著密碼學技術和破譯技術的發(fā)展，新設計的序列算法要求的初始向量長度幾乎都不低于128 bit，對于大多無線通信系統(tǒng)來說，除了密文以外還要額外增加128 bit的傳輸數據幾乎是不可能實現的.因此可根據系統(tǒng)用戶數量、通信頻度等實際使用情況，以初始向量重要概率不大于萬分之一計算初始向量需要的最小比特變化量空間2^m.通過產生m 長度隨機數，將其作為隨機因子IK，與填充數D_f進行拼接生成滿足算法長度要求的初始向量（即IV=IK‖D_f），在信道上僅需傳輸m比特隨機因子IK即可，如圖2所示.該構造方法簡單高效，在各類系統(tǒng)中多有應用.

2.2 簡單單向因子構造方法

在系統(tǒng)通信信道傳輸資源較為緊缺，無法滿足m bit長度隨機因子的傳輸需求時，初始向量構造方式需要重新設計，不適合再采用隨機因子構造方法.

一般來說，可采用單向因子方法構造初始向量，該方式通過引入一個嚴格單向變化的單向因子IK，與填充數D_f進行拼接生成滿足算法長度要求的初始向量（即IV=IK‖D_f）即可確保初始向量的唯一性，通信時僅需將單向因子IK通過信道傳輸至收方，可大幅減少對信道傳輸資源的占用，實現密鑰序列的一次一密，達到保障系統(tǒng)安全使用的目標.

在實際應用過程中，如果系統(tǒng)中存在有單向遞增或遞減信息，能嚴格保證單向不重復，例如時間基準^[12]、角度變化、空間位置等，又或者基于純粹的數字計數器，均可作為單向因子，構造生成初始向量，如圖3所示.

但通常情況下，實際系統(tǒng)中很難存在有嚴格單向的信息，比如時間信息發(fā)生紊亂回滾、空間軌跡出現往返交叉等都將會影響單向因子的單向性出現偏差，引發(fā)單向因子失序出現重用情況（如圖4所示），由此同一密鑰序列多次產生、重復使用，導致系統(tǒng)存在安全隱患.因此，基于純粹的數字計數器構造簡單單向因子，是一種最常用的實現“一次一密”的方法.

3 特殊單向因子的模型設計

從理論上看，純數字計數器可作為一種簡單高效的單向因子，用來構造序列密碼初始向量，具有不受外部因素影響、保證自身嚴格單向性的突出優(yōu)點.即便在系統(tǒng)中存在有多方使用同一密鑰源時，也可在通信發(fā)起方的初始向量單向因子中同時引入發(fā)起方設備標識與數字計數器，實現一次一密.不過，用純數字計數器作為單向因子，需要設備頻繁記錄更新當前的計數器數值，并保存在設備的非易失性存儲器中，避免出現重用現象，尤其是在設備重新上電之后.這就帶來了一個現實難題，以當前的技術水平，一般元器件廠家提供的器件非易失性存儲器擦寫次數約在10萬次，如果頻繁擦寫存儲器來記錄計數器的最新數值，必然將會縮短設備的使用壽命，通信越頻繁，則設備壽命越短.因此，如果系統(tǒng)通信信道傳輸資源受限，并且系統(tǒng)內無可靠的單向信息可供利用時，對純數字計數器的單向因子構造序列密碼初始向量的方式需要進行特殊設計，以滿足系統(tǒng)安全通信和使用壽命的多方面需求.

摒棄單一數字計數器，采用多重數字計數器來組成單向因子，可設計為通信計數器和周期計數器兩部分（如圖4所示），計數器變化規(guī)則為：（a）通信計數器：開機時，通信計算器設置為0，設備通過信道傳輸每發(fā)送1包密文信息，通信計數器加1，通信計數器累加至最大值再翻轉為0;（b）周期計數器：當密鑰更換時，周期計算器設置為0，通信計算器變?yōu)?時，周期計數器加1.

評估系統(tǒng)中信息發(fā)送設備的發(fā)包頻度和最大發(fā)包次數，合理設置通信計數器和周期計數器的表示范圍（比特長度）即可避免重用，在設備非易失性存儲器中僅需記錄周期計數器數值可有效減少擦寫次數.

4 單向因子應用設計

4.1 設計實現

假設某系統(tǒng)中設備通過信道傳輸的發(fā)包頻度為1包/min，則該設備每天的最大發(fā)包次數為24×60=1440次.如果密鑰源更換周期為30 d，則更換周期內設備的最大發(fā)包次數為30×1440=43 200次.

（1）采用隨機數構造初始向量.如果采用隨機數作為初始向量不能做的絕對的一次一密，以滿足重用概率不大于萬分之一計算，隨機因子IK的長度m至少需要29 bit，則需要通過信道傳輸的數據長度至少為29 bit.

（2）以單一數字計數器構造初始向量.根據一個密鑰更換周期內，最大通信頻度43 200次，如果以單一數字計數器作為單向因子IK構造初始向量，單向因子長度僅需16 bit，需要通過信道傳輸的數據長度為16 bit.

設備每發(fā)送1包信息，計數器加1，同時需將計數器數值記錄于非易失性存儲器，以保證突發(fā)掉電或關機時，重新開機后數字計數器仍然繼續(xù)遞增.因此每天需擦寫非易失性存儲器1440次.按非易失性存儲器最大擦寫次數10萬次計算，設備使用壽命則為100 000÷1440=69.44 d.顯然，對于通信頻度高的系統(tǒng)，依托單一數字計數器作為單向因子的設計不具備實用性，因此考慮采用通信計數器和周期計數器組合構成特殊單向因子IK.

（3）以特殊單向因子構造初始向量.參考單一數字計數器構造初始向量，同樣以通過信道傳輸的數據長度為16 bit來設計特殊單向因子IK.

對于頻繁開關機設備，每次開機均需將周期計數器加1，如果按每30 min開關機1次，則每天開關機48次，那么周期計數器在一個密鑰更換周期內的最大值為31×48=1488，則需使用11 bit位表示才可確保在密鑰源更換周期內不重復（保證一次一密），通信計數器長度則為5 bit.30 min內最大通信次數為30次，小于通信計數器變化量2⁵，所以不會出現因通信計算器翻轉置0引起周期計數器變化，僅考慮因開機導致的周期計數器變化而擦寫非易失性存儲器.按非易失性存儲器10萬次擦寫使用壽命，設備可以使用100 000÷48=2083 d，約5.7 y.對于常年不關機運行的設備，開機時通信計數器置0，每加密發(fā)送1包信息通信計數器數值加1.通信計數器長度為5 bit，通信計數器變化量為2⁵，每加密發(fā)送32包信息通信計數器發(fā)生翻轉自動置0、周期計數器加1，擦寫1次非易失性存儲器.以每天發(fā)包1440次，則每天擦寫非易失性存儲器45次，按非易性存儲器10萬次擦寫使用壽命，能支持設備使用100 000÷45=2222 d，約6 y.所以采用特殊單向因子構造初始向量比直接采用單一數字計數器作為單向因子構造初始向量，大大地延長了設備的使用壽命.此外如果信道資源允許，還可以通過增加通信計數器的長度，降低周期計數器變化引起的對非易失性存儲器的擦寫頻度來延長設備的使用壽命，通信計數器每增加1 bit，設備使用壽命翻1倍.

按照上述規(guī)則，根據系統(tǒng)實際情況來合理設置單向因子IK中的通信計數器和周期計數器的長度，確保單向因子IK在密鑰源更換周期內的單向性保證序列密碼初始向量不重復，實現系統(tǒng)一次一密安全通信；同時只需將周期計數器記錄在設備的非易失性存儲器而通信計數器數值僅保存在設備緩存中，大大降低了對非易失性存儲器擦寫次數，有效提高設備使用壽命；又盡量少占用信道傳輸資源，減輕信道傳輸負擔，在信道傳輸資源較為緊張的無線系統(tǒng)應用中，具有較為廣泛的使用前景.

4.2 測試與分析

以某CPU芯片為硬件平臺，對產生幾種不同因子進行測試，測試方法及測試結果如表1所示.對幾種不同因子構造方式的特點如表2所示.

根據測試結果分析，采用特殊單向因子和簡單單向因子構造的IK能實現無重用，但對存儲器的使用壽命都會產生一定的影響；采用隨機因子構造IK會出現一定概率的重用，但可不依賴存儲器技術發(fā)展.因此設計具有更高性能的真隨機數發(fā)生器^[13-19]以及研究使用可靠性更高的存儲器^[20-24]，也是優(yōu)化初始向量構造的重要手段.

在系統(tǒng)實際建設時，需從系統(tǒng)應用安全性、對信道傳輸資源需求、設備使用壽命和技術實現復雜程度等多方面統(tǒng)籌進行考慮，選擇滿足系統(tǒng)實際情況的初始向量構造方法，使得系統(tǒng)綜合使用效能最大化.

5 結 論

本文在傳統(tǒng)的序列密碼初始向量構造方法基礎上，針對單向因子生成，提出了基于通信計數器和周期計數器等多重組合式數字計數器的特殊方法.該方法根據應用系統(tǒng)實際情況，結合信道傳輸資源要求，通過合理計算表示通信計數器和周期計數器，可在占用較少通信資源的情況下，不以損害系統(tǒng)使用壽命為代價，保證系統(tǒng)信息傳輸一次一密、滿足系統(tǒng)安全通信要求.

參考文獻：

[1]張昕，謝賓銘，趙云，等.基于一次一密的可信存儲網關[J].南京師大學報：自然科學版，2018， 41： 26.

[2]劉海峰，陶建萍.基于改進AES的一次一密加密算法的實現[J].科學技術與工程，2019， 19： 146.

[3]Li T， Zhou S D. Achievable secrec rate region of two-way communication with secret key feedback[J].Tsinghua Sci Technol， 2018， 23： 126.

[4]曲彤洲，戴紫彬，陳琳，等.一種面向序列密碼的混合粒度并行運算單元[J].電子與信息學報，2022， 44： 1.

[5]孫瑩.ZUC和SNOW3G序列密碼相關免疫的連續(xù)密鑰字最大長度[J].中國電子科學研究院學報，2022， 11： 1107.

[6]王明興，苗三立，朱明.佳輕量級序列密碼研究進展[J].網絡與信息安全，2020， 39： 25.

[7]張玉安， 馮登國.一種實用的仿一次一密分組加密方案[J]. 北京郵電大學學報，2005， 28： 101.

[8]艾心，吳鳴旦，武旭東，等.一次一密SM4算法的設計[J].網絡空間安全，2018， 9： 20.

[9]溫婉琳，李寧，鄭小博.融合量子密鑰的即時通信加密策略選擇模型[J].北京信息科技大學學報，2020，35： 27.

[10]Wang X， Jin L， Lou Y M， et al.Analysis and application of endogenous wireless security principle for key generation [J].China Commun， 2021（4）： 99.

[11]王旭東，樊強，李振偉，等.一種無線網絡量子密匙分配協議[J].計算機與數學工程，2021， 49： 1405.

[12]王亞慧.時間控制加密技術的安全性增強研究[D].開封： 河南大學， 2021.

[13]王思翔.新型真隨機數發(fā)生器設計與研究[D].西安： 西安電子科技大學， 2020.

[14]羅芳，歐慶于，周學廣，等.故障擾動下振蕩環(huán)型真隨機數發(fā)生器安全特性及度量方法研究[J].電子與信息學報，2022， 44： 2093.

[15]李冰， 涂云晶， 陳帥，等. 基于SRAM物理不可克隆函數的高效真隨機種子發(fā)生器設計 [J]. 電子與信息學報，2017， 39： 1458.

[16]白冰.量子隨機數發(fā)生器集成化及量子隨機性實驗研究[D].合肥： 中國科學技術大學，2021.

[17]曾心宇.量子隨機數發(fā)生器中隨機性量化及實時后處理方案研究[D].南京： 南京郵電大學， 2022.

[18]劉晨曦.基于廣義測量的量子隨機性認證、隨機數生成及后處理的研究[D].南京： 南京郵電大學， 2020.

[19]Daemen J， Dobraunig C， Eichlseder M， et al.Protecting against statistical ineffective fault attacks[J].IACR T? Crypt Hardw Emb Sy， 2020（3）： 508.

[20]董燕.存儲器數據保持壽命預測方法研究[J].中國集成電路，2022， 272： 77.

[21]董燕，蔣玉茜，王西國.存儲器循環(huán)擦寫耐久性與數據保持可靠性[J].中國集成電路，2022， 274： 85.

[22]周鋒.一種基于存儲芯片的小型數據備份算法及應用[J].單片機與嵌入式系統(tǒng)應用，2022（10）： 52.

[23]高鵬，汪東升，王海霞.采用最大修改字節(jié)重定向寫入策略的相變存儲器延壽方法[J].計算機研究與發(fā)展，2019，56： 2733.

[24]Burr G W，Brightsky M J，Sebastian A， et al.Recent progress in phase-change memory technology[J].IEEE J Emerg Selec? Topics Circu Syst， 2016，6： 146.

引用本文格式：

中 文： 鄧赟，許克智，趙越.一種基于特殊單向因子的初始向量構造方法[J]. 四川大學學報： 自然科學版， 2023， 60： 063002.

英 文： Deng Y， Xu K Z， Zhao Y.An initial vector construction method based on special oneway factor [J]. J Sichuan Univ： Nat Sci Ed， 2023， 60： 063002.