1、29卷第1期 2012年1月 微电子学与计算机 MICROELECTRONICS&COMPUTER Vo129 No1 January 2012 AES密钥扩展新方法 杨小东,王毅 (哈尔滨工业大学深圳研究生院,广东深圳518055) 摘要:在分析原有的AES算法密钥生成改进方法所存在的不足的基础上,根据单向性思想提出了几种新的AES 密钥扩展算法,从加密强度和运行速度两方面对原有方法进行了改善通过分析以及实验数据表明,该方法既保证 了密钥扩展算法的安全性,又提高了其运行的效率 关键词:密钥扩展,单向性,AES算法,随机函数 中图分类号:TP3097 文献标识码:A 文章编号:1o。O7180
2、(2012)01一O1O2一O3 New Methods of AES Key Expansion YANG XiaodongWANG Yi (Shenzhen Graduate School,Harbin Institute of Technology,Shenzhen 518055,China) Abstract:In this paper,based on the analysis of the shortcomings of the original key expansion method,some new methods for the key expansion algorith
3、m of AES encryption algorithm are proposed according to the oneway property,which improved the original method in two aspect encryption strength and running speed Analysis and experimental data illustrated that the proposed methods not only guaranteed the security of the original algorithm but also
4、improved its efficiency Key words:key expansion;one-way property;AES algorithm;random function 1 引言 AES作为新一代数据加密标准,其算法本身所 具有的模块性、对称性等特点使设计者可以在修改 其中的某一部分结构的同时不至于影响其他部分的 正常运行AES采用了扩充初始密钥生成子密钥的 方法,通过对其密钥扩展算法的分析,可知AES密 码扩展具有直接高效并且快速的优点,但是也有通 过其中任何一轮子密钥即可破解全部密钥的缺陷, 可以通过分析的其中的某一轮子密钥得到前几轮的 全部密钥,也可通过得到的某一轮子
5、密钥用固定算 法推导出后一轮以致后面几轮所有的密钥1逆向 思维是进行密钥破解分析时需要有的思路,如能够 找到一种新方法,使得算法运行中既可以保持在从 前向后生成密钥时所具有的快速性_2,又能够使逆 向推导密钥困难异常,就可以防止各种攻击方法针 对AES密钥扩展的弱点,仅通过截获其中任意一轮 子密钥即可破解初始密钥的威胁这种使得密钥扩 展过程不可逆的思想即称为单向性思路文献1利 用单向性策略提出了一种AES密钥扩展改进方法, 本文对该算法进行了分析,针对标准算法的不足之 处l_3提出了几种新的改进方法,在保证安全性进一 步提高的同时,也加快了密钥扩展的效率 2对原有改进算法的分析 文献1根据单向
6、性策略提出了一种AES密钥 扩展改进方法对该算法进行分析:假设某一轮的密 钥已经被攻击者获取,推算攻击者已知w , W ,Wm,w 推算出w ,w ,W ,w 所需 付出的代价由于w 与w ,w 相关,可通过穷 举法进行暴力攻击W 的长度为32位,可以通过 2弛次穷举来确定W 和W 确定W 和W 之 收稿日期:2Ol1一O510;修回日期:20l1一O612 基金项目:中央高校基本科研业务费专项资金项目(HITNSRIF2009134) 第1期 杨小东,等:AES密钥扩展新方法 103 后,即可利用w 和w 推出w ,利用W 和 w 推出wm,因此可以全部推出上一轮的密钥 这是由第三轮以及其以
7、后轮数的密钥推断前边几轮 密钥的情况,需要经过2。 次穷举如果已知第二轮 密钥,情况则有所不同,WO,w ,w ,W。是初始密 钥,四行数组没有任何关系,因此用w 推出w。和 W 之后,还需用W 推出W 和W。,方可:准出初始 密钥,因此,已知第二轮密钥,推断初始密钥需要2。 次穷举如果攻击者得到了第三轮的子密钥,需要用 2次穷举来破解初始密钥,如果攻击者得到了第四 轮的子密钥,则需要用2 。次穷举来破解初始密钥, 这已经同对密码的暴力攻击没有区别,因此,该方法 对防止第四轮及其以后的子密钥攻击具有强力抗攻 击作用,对第三轮及其之前的子密钥攻击防御较弱 3算法的改进 针对AES密钥扩展算法的不
8、足之处,本文从抗 攻击强度并兼顾程序执行时间方面做了改进,提出 几种新方法 31方法1 为减小计算量,取消RootByte,SubWord与 Rcon算法,令W 每一位元素左移a位异或w 每 一位元素右移C位,生成Wm对应元素,令W 左 移e位异或W 右移g位生成Wm,令, 每一位 元素右移b位异或w 每一位元素左移d位,生成 W 对应元素,令w 每一位元素右移f位异或 W 每一位元素左移h位,生成W 对应元素,以 此类推,得到需要加密的所有轮次的子密钥在算法 具体实施过程中,每一位数左移还是右移,:移动多少 位,均可随机选择,并不局限于方法中所指出的具体 位数其算法原理图如图1所示 算法分析
9、:根据原来的方法进行研究,W , W 只与W 和W 有关,w ,W 只与W 和 W 有关,每一轮子密钥内部相关性不大用2船次 穷举可通过w 推断出W 和W卅,用2。 次穷举 可通过W 推断出W 和W ,推断前一轮密钥 共需要2 次穷举此种推断在任何一轮均相同,任 何一轮推断前一轮均需要2。 次穷举,通过分析,此 种改进算法使得算法运行到第二轮时强度即可与暴 力破解相同 32方法2 方法1在改进效果上明显好于原有的方法,但 是仍未达到经过一轮变换即可使其自身抗:攻击强度 与对密钥直接进行暴力攻击的强度相同的目的借 图1方法1原理图 助具有单向性或随机性的函数或能提高密钥扩展的 强度但凡有规律的单
10、向函数,或多或少具有倒推的 方法与可能性,而随机函数生成的值无法倒推_4对 此,本方案引入随机函数,本方法主要思想是对初始 密钥各数值进行移位后相加,生成的数值作为随机 函数的种子,生成下一轮的各个密钥以此类推,生 成下面各轮密钥在算法的具体应用中,各轮各个数 值移位的方向,移位的位数均不同,对生成的随机数 也采用不同的密钥分配方法,打乱原有的顺序,加大 生成子密钥的混乱程度,使得攻击者没有分析的头 绪,该方法自身也没有逆向推导的策略,因为其本身 就成为随机函数其原理图如图2所示 图2方法2原理图 算法分析:每个元素与前边对应的元素均无关, 因此,如欲推出前面的一轮的密钥,只能对各值均进 行2
11、。 次穷举,推出一轮密钥,需要经过2128次穷举 随机性是本方法最大的特点,其特点使得攻击者无 从下手,正如HIV病毒在人体内复制一样,具有强 大的变异能力,使任何一种单一的方法均无从下手, 104 微电子学与计算机 唯有穷举法能成为对付此方法的鸡尾酒疗法本方 法改进了策略2中提出的方法,使得算法运行一轮 时便需要2 次穷举方可推出前一轮密钥,其强度 与暴力破解无异 33方法3 方法2虽然在加强密钥强度方面做了大量工 作,但是其忽视了程序运行的效率问题随机数生成 相对于其它程序而言运行时间很长,攻击密钥的强 度逐轮增大,但经过一轮加密后,其强度就已经达到 要求,所以没有必要付出效率的降低的代价
12、来换取 更高攻击强度的子密钥如能找到一种方法,在提高 密钥强度的基础上又能减少程序运行时间,是本文 所追求的最终目标在综合各方法的基础上,本文提 出第三种改进方法,对密钥矩阵的初始4行赋予初 始密钥,这一步不变,在第5到第8行用另一套与初 始密钥无关的新密钥填充,两套密钥不存在任何关 系,在新的密钥的基础上,用AES固有的设计方法, 进行密钥扩展该方法原理图如图3所示 算法分析:攻击者可以按照文献1提出的方法 进行攻击,并且会很快推出经第一轮扩展生成的密 钥,但是由算法知,第一轮扩展生成的密钥与初始密 钥无任何关系,由第一轮密钥推出子密钥仍需要 2 次穷举,其强度仍与暴力攻击相同,而且该方法
13、极大节省了时间,提高了效率,对固有的AES算法 亦仅做了一小部分改动,避免了其它问题的发生,该 方法为一种兼顾安全与效率的好方法 4各改进方法综合分析 通过对各方法的分析,可以做出各方法需要攻 击强度与扩展轮数的关系,如表1所示表中所列程 序运行时间为在keil环境中模拟8MHz下各方法 所运行的时间从表中可以看出,方法2美中不足之 处在于其运行时间明显高于前边几种方法,对程序 运行的效率产生了一定影响方法1虽然有较快的 运行速度,但是其加密强度效果稍差如果对方法2 算法的步骤做一定简化,亦可减少程序运行时间,提 高效率,但强度与速度之间的矛盾是固有的,加快速 度就会使得安全性降低,做简化处理
14、,需要对其安全 度需重新评估方法3在AES固有的密钥扩展方法 上进行改进,不仅加快了程序运行速度,也达到了 AES密钥生成算法的安全性指标,是一种较好的改 进方法 表1改进方法对比表 图3方法3原理图 士 对时间没有太多要求,方法2是一种好方法;如希望 -口术厢 在不影响AES整体算法效率的同时,也使得生成的 本文在原有的对密钥扩展改进算法的分析的基 子密钥具有高强度的抗攻击性,方法3是一种较好 础上,利用单向性策略,提出了几种新的密钥扩展算 的密钥扩展改进办法 法实验表明,如只欲加强密钥生成的抗攻击强度, (下转第lO8页) 108 微电子学与计算机 2012正 表3不同方法的准确率与耗时的
15、对比 耗时(ms) 准确率 基于元数据的 14857 456Yoo 判定方法 基于网页内容的 1876553 973 语义判定方法 本文方法 43449 954 另外,使用文中提出的方法,分别对相关度高 的、相关度低的以及不相关的网页进行了实验,实验 结果如表4所示可以分析出:主题相关度越高的网 页其相关度判定的准确率也越高,由于用户一般不 会关注排名50之后的信息,因此,网页主题相关度 低影响到判定准确率的问题几乎不会对用户造成 影响 表4本文方法针对不同类型数据的准确率 主题相关度 主题相关度 不相关的 高的Web数据低的Web数据web数据 准确率 988 815 457 5 结束语 高
16、准确率和低耗时是相互矛盾的,本文提出的 基于动态匹配的主题相关度算法在很大程度上减少 了这种矛盾实验结果表明:从准确率和耗时相统一 的角度,本文提出的方法达到了较好的效果 展状况统计报告EB0I 2Ol 1-05一e81Retp:re searchcnnce,cnhtm1 王继成,萧嵘,孙正兴,等Web信息检索研究发展 _J计算机研究与发展,2001,38(2):1871 93 F Menczer,G Pant,P Srinivasan,et a1evaluating Topic-Driven Web CrawlersCProceedings of the 24 Annual Internat
17、ional ACMSIGIR conference,New Orleans,USA:ACM,2007 Cutler M,Shih Yung-ming,Meng WeiyiUsing the structure of HTMI documents tO improve retrieval cProceedings of the 11st IEEE Conference on Tools with AI,CA,USA:IEEE,2009:406 409 韩先培基于布局特征与语言特征的网页主要内容块 发现FJ中文信息学报2008(1):1521 张天广基于Internet的银行竞争情报收集系统的研
18、究与实现【)西安:西北大学,2009 Yi J,Sundaresan NMetadata based web mining for relevancecProceedings of the In IEEE 2000 In ternational Database Engineering and Applications Symposium(IDEAS00)Yokohama:IEEE,2010: 113121 Bing Liu,Chee Wee Chin,Hwee Tou NgMining top ic-specific concepts and definitions on the web I
19、 t Proceedings of the 12th international conference on World Wide Web,NY,USA:ACM,2003:251-260 Sergey Brim Extracting patterns and relationsJ Computer Science Department Stanford University, 2009:172183 作者简介: 、 、 擎 杂 魁肼 索 1 中国互联网络信息中心第二十六次中国互联网络发 一“ (上接第104页) 参考文献: Eli胡亮,袁巍,于孟涛,等单向性策略与AES密钥生 成算法的改进EJ吉林大学学报:工学版,2009,39 (1):138141 2景为平,徐晨,陈海进AES密码算法的结构优化与 实现J微电子学与计算机,2007,24(2):3638 3吴文玲,冯登国分组密码工作模式的研究现状J 计算机学报,2006,29(1):2225 4闫茂德,纪志强,贺昱曜,等AES与ECC混合加密 算法的无线数据通信系统设计J微电子学与计算 机,2007,24(7):135138 作者简介: 杨小东男,(1985一),硕士研究方向为加密技术与无线通 信 王毅男,(1966一),博士,博士生导师研究方向为电力 电子及电气传动
