轻量级分组密码算法综述.pdf

1、h t t p:/ww wj s j k x c o mD O I:/j s j k x 到稿日期:返修日期:基金项目:中央高校基本科研业务费专项资金T h i sw o r kw a ss u p p o r t e db yt h eF u n d a m e n t a lR e s e a r c hF u n d s f o r t h eC e n t r a lU n i v e r s i t i e s 通信作者:钟悦(z h o n g y u e c u p l e d u c n)轻量级分组密码算法综述钟悦谷杰铭,曹洪林中国政法大学证据科学研究院北京 国家计算机网络应急

2、技术处理协调中心北京 哈尔滨工业大学网络空间安全学院哈尔滨 摘要随着信息技术的快速发展,人类将进入万物互联时代,数以亿计的物联网设备接入网络,针对用户隐私、网络环境等的网络攻击持续增长.因此,保障物联网设备的信息安全至关重要.由于物联网设备的计算能力、电池容量和内存等资源十分受限,传统的分组密码算法不适用于具有低时延、低功耗等要求的物联网设备,轻量级分组密码算法应运而生.文中概述了轻量级分组密码算法的研究现状及进展,并根据算法结构将其分成类进行详细阐述;依据多维度评价指标分别对轻量级分组密码算法的软硬件实现进行综合对比与分析,并从安全性、资源开销和性能方面进行深入探讨;最后展望了轻量级分组密码

3、算法的未来研究方向.关键词:轻量级分组密码;物联网;数据安全;密码算法;隐私保护中图法分类号T P S u r v e yo fL i g h t w e i g h tB l o c kC i p h e rZ HON GY u e,GUJ i e m i n g,a n dC AO H o n g l i nI n s t i t u t eo fE v i d e n c eL a wa n dF o r e n s i cS c i e n c e,C h i n aU n i v e r s i t yo fP o l i t i c a lS c i e n c ea n dL a

4、 w,B e i j i n g ,C h i n aN a t i o n a lC o m p u t e rN e t w o r kE m e r g e n c yR e s p o n s eT e c h n i c a lT e a m/C o o r d i n a t i o nC e n t e ro fC h i n a,B e i j i n g ,C h i n aS c h o o l o fC y b e r s p a c eS c i e n c e,H a r b i nI n s t i t u t eo fT e c h n o l o g y,H a

5、 r b i n ,C h i n aA b s t r a c t W i t ht h er a p i dd e v e l o p m e n to f i n f o r m a t i o nt e c h n o l o g y,h u m a nb e i n g sa r ee n t e r i n gt h ee r ao fu b i q u i t o u sc o n n e c t i v i t y,w h e r eb i l l i o n so f I n t e r n e t o fT h i n g s(I o T)d e v i c e s a r

6、 e c o n n e c t e d t o t h en e t w o r k T h e c o n t i n u o u sg r o w t ho f n e t w o r ka t t a c k s t a r g e t i n gu s e rp r i v a c ya n dt h en e t w o r ke n v i r o n m e n th a sm a d e i t c r u c i a l t oe n s u r et h e i n f o r m a t i o ns e c u r i t yo f I o Td e v i c e

7、s D u et ot h el i m i t e dc o m p u t a t i o n a l c a p a b i l i t i e s,b a t t e r yc a p a c i t y,a n dm e m o r y r e s o u r c e s o f I o Td e v i c e s,c o n v e n t i o n a l b l o c kc i p h e r a l g o r i t h m s a r en o t s u i t a b l ef o rI o Td e v i c e st h a tr e q u i r el

8、 o wl a t e n c ya n dl o w p o w e rc o n s u m p t i o n,l i g h t w e i g h tb l o c kc i p h e ra l g o r i t h m sh a v ee m e r g e dt oa d d r e s s t h e s e c h a l l e n g e s T h i sp a p e rp r o v i d e s a no v e r v i e wo f t h e r e s e a r c hs t a t u s a n dp r o g r e s so f l i

9、 g h t w e i g h tb l o c kc i p h e ra l g o r i t h m s,a n dc a t e g o r i z e s t h e mi n t os i xt y p e sa c c o r d i n gt ot h e i rs t r u c t u r e I tc o m p r e h e n s i v e l yc o m p a r e sa n da n a l y z e st h eh a r d w a r ea n ds o f t w a r e i m p l e m e n t a t i o n so f

10、 l i g h t w e i g h t b l o c kc i p h e r a l g o r i t h m sb a s e do nm u l t i d i m e n s i o n a l e v a l u a t i o nc r i t e r i a F u r t h e r m o r e,i t e x p l o r e s t h e s e c u r i t y,r e s o u r c e c o n s u m p t i o n,a n dp e r f o r m a n c e a s p e c t s i n d e p t h F

11、 i n a l l y,t h i sp a p e r d i s c u s s e s t h e f u t u r er e s e a r c hd i r e c t i o n so f l i g h t w e i g h tb l o c kc i p h e ra l g o r i t h m s K e y w o r d s L i g h t w e i g h tb l o c kc i p h e r,I n t e r n e to fT h i n g s,D a t as e c u r i t y,C i p h e ra l g o r i t

12、h m,P r i v a c yp r o t e c t i o n引言随着物联网技术在智能家居、智慧城市、环境保护等领域的快速发展和物联网设备的普及,人们的生活变得更加智能化和自动化.人类进入了万物互联的新时代,但是随之而来的安全问题不容忽视.与常见的网络 设备(如服 务器、智能 手 机 等)相 比,物联网设备(如无线传感器、植入式医疗设备等)的资源十分有限,表现在内存 较小、计算 能力 较低、电池 功 率有 限、物理空间较小、易 受攻 击等方 面.此 外,物联 网 设备 大多需要实时 处 理 数 据,并 且 设 备 之 间 的 数 据 交 换 频 率 较高.当物联网设备联网后进行数据传

13、输时,面临较大的信息安全风险.在此情况下,使用密码算法是保护物联网设备网络通信 安全 最合 适 的方 法之 一.密码 算 法 可 以防止数据遭受未授权访问、破译、篡改等,从而确保数据传输的安全.然而,如图所示,在资源受限设备上部署传统的密码算法面临诸多挑战.因此,研究者们提出了轻量级密码算法来保障资源受限设备的信息安全.通过引入轻量级特性,如更小的存储空间、更低的能耗和更快的计算速度等,可以在资源受限设备上实现密码算法的实时响应,满足相关设备的安全性需求.图传统密码算法在资源受限设备上面临的挑战F i g K e yc h a l l e n g e so f c o n v e n t i

14、o n a l c r y p t o g r a p h yo nr e s o u r c e c o n s t r a i n e dd e v i c e轻量级分组密码算法是轻量级密码算法的重要研究分支和密码分析的研究热点之一,被广泛应用于各类物联网设备.近年来,许多轻量级分组密码算法相继被提出,研究人员对相关密码算法在不同平台上的硬件或软件实现性能进行了评估,.然而,相关研究更多地关注适用于特定领域或应用程序的算法,较少涉及对轻量级分组密码算法的整体性讨论.H o s s e i n z a d e h等 分析了经典的轻量级分组密码算法的硬件实现性能,但是该项研究仅考虑了算法间的单

15、项指标对比,并且缺少对软件实现性能的讨论.D a r等 回顾了多种轻量级分组密码算法的特性并分析了它们的逻辑结构和设计原理,但未对比算法的实现性能和资源开销.M o h a j e r a n i等 讨论了进入美国国家标准与技术研究院(N a t i o n a l I n s t i t u t eo fS t a n d a r d sa n dT e c h n o l o g y,N I S T)第二轮竞赛的算法,但是该项研究仅考虑了吞吐量和处理速度这两个性能指标,未对相关算法的硬件实现性能和软件实现性能进行综合评估.本文介绍了轻量级分组密码算法的研究现状,并总结了该领域的最新进展.此

16、外,本文对 种先进的轻量级分组密码算法进行了分类、归纳和讨论,并依据多维度评价指标对相关算法的硬件实现和软件实现分别进行了对比和分析.最后,本文从安全性、资源开销和性能个角度对轻量级分组密码算法进行了深入探讨,并对当前该领域亟待研究解决的问题和未来可能的研究方向进行了论述.轻量级分组密码的起源与发展 发展背景与特性现代密码学的研究始于 世纪 年代.在 年代初期,I BM公 司 设计 了数 据加 密 标 准(D a t aE n c r y p t i o nS t a n d a r d,D E S),并被美国国家标准局确定为第一个联邦数据加密标准.受嵌入式系统的限制 ,早期的轻量级密码算法主

17、要针对特定的应用场景,如适用于远程无钥匙系统的K e e L o q 等.年代起,互联网的兴起推动了密码算法的快速发展,国际数据加密算法(I n t e r n a t i o n a lD a t aE n c r y p t i o nA l g o r i t h m,I D E A)、小型加密算法(T i n yE n c r y p t y i o nA l g o r i t h m,T E A)和C a m e l l i a 等经典分组密码算法相继被提 出.高 级 加 密 标 准(A d v a n c e d E n c r y p t i o n S t a n d a r

18、 d,A E S)是美国联邦政府采用的新一代加密标准,在世界上被广泛使用,其安全性高于D E S,但需要更大的物理计算空间.为了进一步满足轻量化的需求,E i s e n b a r t h等 在研究中提出了基于D E S和A E S的紧凑型实现方案.世纪初,随着嵌入式系统的快速发展,适当的安全性和较小的物理空间成为轻量级分组密码算法的主要设计目标.P R E S E N T 是物理面积最早达到 个等效门数(G a t eE q u i v a l e n t,G E)的算法之一,其能耗和运行速度也得到了大幅度优化.众多密码算法的轻量化版本被相继提出:m C r y p t o n 是紧凑版的

19、C r y p t o n,被用于低功耗的电子标签和传感器;P U F F I N 是P U F F I N 的轻量化版本,基于串行架构设计,占用面积仅为 G E;D E S L 和D E S X L 分别是D E S和D E S X 的轻量级版本,利用串行硬件技术降低了门电路复杂度.同时,研究者们提出了一些面向特定领域的轻量级分组密码算法,如适用于移动通信系统和通用分组无线服务的KA S UM I、适用于集成电路生产和个性化定制的P R I N T c i p h e r、适用于电子产品代码加密的E P C B C,以及适用于具有有限指令集的低内存处理器的S E A.此外,为配合WA P I

20、无线局域网标准的推广应用,中国国家密码管理局陆续推出了自主设计的S M,S M 和S M 种分组密码算法.其中,S M 和S M 仍处于未公开阶段.S M 具有较高的安全性,但其所需的硬件占用面积较大,难以满足轻量化的需求 .随着普适计算时代的到来,大量物联网设备被广泛应用于人们的生产和生活中,因此,如何降低延迟和能耗成为了设计分组密码算法的热点问题.R E C TANG L E,I TU b e e 和S I MON 等低能耗、低延迟的轻量级分组密码算法相继被提出,以适应无线传感器网络、电子标签(R a d i oF r e q u e n c yI d e n t i f i c a t

21、i o n,R F I D)等资源受限的环境.此外,随着密码分析技术的进步,轻量级密码算法的安全性问题日益显露 并受到重视.研究者提出了传统算法的掩码技术 和易于掩码的密码算法,如P I C A R O,Z o r r o 和R o b i n 等,以应对边信道攻击;并应用宽轨迹策略等方法设计出了高效、安全的 轻 量 级 分 组 密 码 算 法,如P R I N C E,P R I D E 和H I S E C 等,以应对差分密码分析和线性密码分析.轻量级分组密码算法的低能耗、低延迟和低物理空间需求等特性解决了传统密码算法在资源受限设备(如R F I D标签、传感器网络等)上的困境.此外,轻量

22、级分组密码算法作为众多信息安全协议的核心,也适用于与资源受限设备直接或间接交互的其他资源丰富设备(如智能手机、服务器等).主要结构类型如图所示,主流的轻量级分组密码算法依据其内部结构,可以分为以下种:代换置换网络(S u b s t i t u t i o n P e r m u t a t i o nN e t w o r k,S P N)结 构、F e i s t e l网 络(F e i s t e lN e t w o r k,F N)结构、广义F e i s t e l网络(G e n e r a lF e i s t e lN e t w o r k,G F N)结构、A R X(

23、A d d R o t a t e X O R)结构、非线性反馈移位寄存器(N o n L i n e a rF e e d b a c kS h i f tR e g i s t e r,N L F S R)结 构 和 混 合(H y b r i d)结构.C o m p u t e rS c i e n c e计算机科学V o l ,N o ,S e p 图轻量级分组密码算法的结构类型F i g S t r u c t u r eo f l i g h t w e i g h tb l o c kc i p h e ra l g o r i t h m sS P N结构是国际上使用最为广泛

24、的分组密码结构之一,其通过 一 系 列 的 替 换 盒(S u b s t i t u t i o n b o x,S盒)和 置 换 盒(P e r m u t a t i o n b o x,P盒)运算使得明文的每一位影响密文中多位的值.S P N结构的混淆扩散速度快,算法实现时吞吐量大,但加解密过程则相反,需要为解密算法付出额外代价.F e i s t e l结构将每组明文分为等长的两部分,在每轮迭代运算中,使用轮函 数 加密 一部 分,完 成迭 代 后组 合成 密文分组.F e i s t e l结构的加解密方式相同,降低了硬件实现成本,但是混淆扩散 速 度慢,并且 需要 更多 的 迭代

25、 轮数 以保证安全性.G F N结构是F e i s t e l结构的扩展形式,主要 包括T y p e I,T y p e I I和T y p e I I I型种结构.其中T y p e I I型结构将每组输入拆分成n个 子 块(n),对 每 两 个 子 块 应 用次F e i s t e l变换,并 对n个 子 块 进 行 循 环 移 位.与F e i s t e l结构相比,G F N混 淆扩 散 速度 更快,并具 备高 并行性的特点.A R X结构使 用 模 加、循 环 移 位 和 异 或种 运 算 替 换G F N结构中的S盒,简化了轮函数的结构,其中只有模加运算为非线性运算,具有软

26、件实现效率高、吞吐量大、防护时序攻击代价小等特点.但是与S P N和F N结构相比,其安全性仍有待进一步研究.N L F S R结构利用序列密码的组件完成算法的硬件实现,其当前状态是其前一状态的非线性反馈值.H y b r i d结构将上述任意种结构组合在一起,实现提升算法性能(如吞吐量、等效门数、能耗等)的目的,以满足特定的应用需求.轻量级分组密码算法表列出了目前主流的轻量级分组密码算法的结构类型,本章将依据结构分类介绍相关密码算法.本章中所使用的符号含义如下:)“C i p h e r n/m”表示算法的分组长度为n位,密钥长度为m位;)“C i p h e r m”表示算法的密钥长度为m

27、位.表基于结构分类的轻量级分组密码算法T a b l eS t r u c t u r e w i s eo f l i g h t w e i g h tb l o c kc i p h e ra l g o r i t h m s算法结构算法S P NA E S,m C r y p t o n,P R E S E NT,P U F F I N ,K L E I N,P R I N C E,R E C TANG L E,P R I D E,S K I NNY,I V L B CF ND E S L,D E S X L,M I B S,L B l o c k,S I MON,I TU b e

28、e,S L I M,L B C I o T,S C E N E R Y,L B C C SG F NC L E F I A,TW I S,P i c c o l o,TW I N E,H I S E C,WAR P,D B S TAR XH I GHT,S P E C K,L E A,CHAM,S AN D,G F R XN L F S RKATAN,KTAN TAN,H a l k aH y b i r dH u mm i n g b i r d,H u mm i n g b i r d ,P R E S E NT G R P S P N结构A E S 由N I S T提出,是现代密码学发展

29、史上重要的里程碑,用来替代D E S.在硬件实现方面,轻量化实现的A E S需要 G E,比传统实现的最小值减少了约 .m C r y p t o n 的 分 组 长 度 为 位,密 钥 长 度 设 计 为 位、位和 位,迭代轮数为 轮,专门用于资源受限的微型设备.m C r y p t o n被视为C r y p t o n 的轻量化版,其设计沿用C r y p t o n的总体架构,但是对每个组件功能进行了重新设计和简化,降低了能耗等实现代价.P R E S E N T 的 分 组 长 度 为 位,密 钥 长 度 设 计 为 位和 位,迭代轮数为 轮,是一种典型的面向硬件设计的超轻量级密码

30、算法,在 年成为I S O/I E C国际标准.P R E S E N T的特点是使用单个的S盒,加密过程中在非线性替换层并行使用 次S盒,在线性扩散层使用比特置换,降低了硬件资源开销.P U F F I N 的分组长度、密钥长度和迭代轮数分别是 位、位和 轮,被视为P U F F I N 的轻量化版,其基于串行化体系结构实现,同时提供加密和解密功能.在硬件实现方面,P U F F I N 的物理面积占用(G E)比序列化实现的P R E S E N T (G E)减少了约 .K L E I N 的分组长度为 位,由K L E I N 和K L E I N 以及K L E I N 组成,其非线

31、性替换使用个具有自反性的位S盒,列字节混合设计借鉴了A E S的列混合变换.K L E I N在经典传感器平台上具有更好的软件实现性能.P R I N C E 的分组长 度、密 钥长 度 和 迭 代 轮 数 分 别 是 位、位和 轮,由 位的算法P R I N C E c o r e和两个白化密钥构成.P R I N C E的加解密过程可以使用相同的电路,节约了硬件资源开销,并且该算法的延迟较低.R E C T AN G L E 的分组长度为 位,密钥长度设计为 位和 位,迭代轮数为 轮.R E C T AN G L E的替换层由 个的S盒并行组成,很好地平衡了安全性和性能;置换层由次循环移位

32、组成,降低了硬件成本.P R I D E 是面向软件设计的密码算法,分组长度、密钥长度和迭代轮数分别是 位、位和 轮,并针对位微处理器进行了优化,其线性层的出色设计使得算法具有良好的软件实现效能和安全性.S K I NNY 是一种采用可调密钥框架的分组密码算法,根据可调密钥大小和分组长度分为个版本,其延迟较低,并具备较强的安全性.在硬件实现方面,S K I NNY的占用面积钟悦,等:轻量级分组密码算法综述和吞吐量普遍优于S I MON.I V L B C 的分组长度为 位,密钥长度设计为 位和 位,迭代轮数是 轮,具有对合的轻量级S盒和P置换,解密过程复用加密过程的代码和电路.在相同的加解密电

33、路情况下,I V L B C 的软硬件实现开销低于P R I N C E等.F e i s t e l结构D E S L 的分组长度、密钥长度和迭代轮数分别是 位、位和 轮,是D E S的一种轻量化设计.为降低算法的门电路复杂度,D E S L重复使用个S盒次.在硬件实现方面,D E S L和D E S的吞吐量相同,但前者的占用面积(G E)比后者(G E)减少了约 .D E S X L 的 分 组 长 度、密 钥 长 度 和 迭 代 轮 数 分 别 是 位、位和 轮,是D E S的另一种轻量化设计.与D E S相比,为提升算法的安全性,D E S X L对密钥空间进行扩充.M I B S 的

34、分组长度为 位,密钥长度设计为 位和 位,迭代轮数是 轮,密钥调度算法借鉴了P R E S E N T的设计思路.M I B S的轮函数与P R E S E N T相似,均使用S P N结构和个的S盒.在 硬 件 实 现 方 面,M I B S 和P R E S E N T 的吞吐量相同,占用面积相近.L B l o c k 的分 组 长 度、密 钥 长 度 和 迭 代 轮 数 分 别 是 位、位和 轮,密钥调度算法借鉴了P R E S E N T的设计,采用N L F S R结构,并利用S盒变换和循环移位生成轮密钥.在硬件实现方面,L B l o c k和P R E S E N T 的吞吐量

35、相同,但是前者的占用面积(G E)比后者(G E)减少了约.S I MON 由美国国家安全局(N a t i o n a lS e c u r i t yA g e n c y,N S A)提出,根据不同的分组长度和密钥长度分为 个版本,轮函数由循环左移、按位与和按位异或运算组成,线路实现简单,具有较好的软硬件实现性能.I TU b e e 是面向软件设计的密码算法,分组长度、密钥长度和迭代轮数分别是 位、位和 轮,采用无密钥生成的策略,具有低功耗、低内存需求的特点.在软件实现方面,I TU b e e的延迟低于L B l o c k,K L E I N 等.S L I M 的分组长度、密钥长

36、度和迭代轮数分别是 位、位和 轮,是一种超轻量级密码算法,轮函数的替换层使用个相同的的S盒.在硬件实现方面,S L I M仅需要 G E,低于S I MON /.L B C I o T 的分组长度、密钥长度和迭代轮数分 别 是 位、位和 轮,是一种超轻量级密码算法,使用位的S盒、移位和异或运算,降低了硬件实现成本.在硬件实现方面,L B C I o T仅 需 要 G E,和S L I M接 近,同 样 低 于S I MON /等.S C E N E R Y 的分组长度、密钥长度和迭代轮数分别是 位、位和 轮,轮函数由个的并行S盒和个 的二进制矩阵组成.在硬件实现方面,S C E N E R Y

37、需要 G E,低于R E C TAN G L E ,P R E S E N T 等.L B C C S 的分 组 长 度、密 钥 长 度 和 迭 代 轮 数 分 别 是 位、位和 轮,其特点是利用组合混沌系统构造了高安全性的S盒和具有良好扩散性的P盒,并且通过设计可扩展的轮函数降低了算法的复杂度.在硬件实现方面,L B C C S需要 G E,低于P R E S E N T ,C L E F I A等.G F N结构C L E F I A 采用分支的G F N结构,由C L E F I A ,C L E F I A 和C L E F I A 组成,其中,C L E F I A 的数据处理过程可

38、以基于串行化体系结构实现,不需要额外的寄存器.C L E F I A在 年被I S O/I E C确定为标准化的轻量级分组密码之一.TW I S 的 设 计 灵 感 来 源 于C L E F I A,采 用分 支 的G F N结构,分组长度、密钥长度和迭代轮数分别是 位、位和 轮.与C L E F I A相比,TW I S具有更高的安全性.P i c c o l o 的分组长度为 位,根据密钥长度分为P i c c o l o 和P i c c o l o ,是一种超轻量级密码算法,加密过程主要包括密钥白化、F函数和字节置换操作等.在硬件实现方面,串行实现的P i c c o l o 需要 G

39、 E完成加密,并额外需要 G E完成解密.TW I N E 采用 分 支 的G F N结 构,分 组 长 度 为 位,密钥 长 度 设 计 为 位 和 位,迭 代 轮 数 是 轮.TW I N E与L B l o c k在设计上有相似之处,但前者的轮函数使用单个S盒,后者使用 个不同的S盒;前者的密钥调度算法使用半字节置换,后者使用比特置换.H I S E C 的 分 组 长 度、密 钥 长 度 和 迭 代 轮 数 分 别 是 位、位和 轮,其借鉴了P R E S E N T的设计思路,但使用不同 的 比 特 置 换 方 式.在 硬 件 实 现 方 面,H I S E C需 要 G E,高于P

40、 R E S E N T ,TW I N E 等.WA R P 采用 个半字节的改进T y p e I I型结构,分组长度、密钥长度和迭代轮数分别是 位、位和 轮.在硬件 实 现 方 面,WA R P的 占 用 面 积 低 于S K I NNY /,S I MON /等.D B S T 采用了分支的G F N结构变体,分组长度、密钥长度和迭代轮数分别是 位、位和 轮,该变体在保留F e i s t e l结构的一致性的基础上改善了扩散性.D B S T使用了比特切片技术,使得S盒与密钥动态关联.在硬件实现方面,D B S T的占用面积和S K I NNY /接近.A R X结构H I GHT

41、采用分支的G F N结构,分组长度、密钥长度和迭代轮数分别是 位、位和 轮,轮函数的输入和输出都是位.H I GHT的设计是面向位处理器的,因此在位处理器上的性能表现良好.S P E C K 由N S A提出,根据不同的分组长度和密钥长度分为 个版本.与S I MON相比,S P E C K的软件实现性能更佳;但由于模n运算的硬件开销大于与运算,因此S I MON的硬件实现性能更好.L E A 是面向软件设计的密码算法,由L E A ,L E A ,L E A 组成.其在通用处理器上实现快速软件加密,特点是 代 码 体 积 小.在 软 件 实 现 方 面,L E A 的R OM(字节)和R A

42、M(字节)占用均低于A E S (字节和 字节).CHAM 采用分支的G F N结构,由CHAM /,CHAM /和CHAM /组成,适 用 于资 源高 度受限的设备.在硬件实现方面,CHAM使用无状态即时密钥C o m p u t e rS c i e n c e计算机科学V o l ,N o ,S e p 调度算法,不需要维护密钥状态信息,因此占用面积平均比S I MON减少约.S AN D 由S AN D /和S AN D /组成,特点是将按位与、循环移位和异或操作限制在半字节内,从而支持基于S盒的安全性分析.在硬件实现方面,S AN D /的占用面积 仅为 G E,低于S K I NN

43、Y /,TW I N E 等.G F R X 采用分支的G F N结构,根据不同的分组长度和密钥长度分为个版本,其使用两个不同的轮函数FAN和FA D.G F R X可以根据不同的硬件资源需求实现不同的序列化级别,最高可达到完全序列化.在硬件实现方面,G F R X 的占用面积和吞吐量均优于H I GHT,D E S L等.N L F S R结构KA TAN 的设计灵感来源于K e e L o q,分组长度设计为 位、位和 位,密钥长度为 位,迭代轮数为 轮,是一种面向硬件设计的密码算法.KA TAN主体使用两个N L F S R,密钥调度算法基于线性反馈移位寄存器(L i n e a rF

44、e e d b a c kS h i f tR e g i s t e r,L F S R)实现.K T AN T AN 与KA TAN有很多相同的特性,例如两者的分组长度、密钥长度和迭代轮数都相同.为降低门电路复杂度,K T AN T AN采 用 基 于N L F S R的 轮 函 数 结 构.与KA T AN相比,K TAN TAN使用硬编码加密密钥,每轮加密过程选用其中的两位.H a l k a 的 分 组 长 度、密 钥 长 度 和 迭 代 轮 数 分 别 为 位、位和 轮,特点是使用L F S R实现了位S盒的乘法逆运 算.H a l k a的 密 钥 调 度 算 法 与P R E

45、S E N T相 似,但H a l k a使用位S盒而非位S盒.在硬件实现方面,H a l k a的占用面积(G E)比P R E S E N T (G E)减少了约.H y b r i d结构H u mm i n g b i r d 的分 组长 度、密 钥长 度 和 迭 代 轮 数 为 位、位和 轮,是一种超轻量级密码算法.H u mm i n g b i r d采用分组密码和流密码混合的结构,包括个 位内部状态寄存器和个 位L F S R.H u mm i n g b i r d 是H u mm i n g b i r d系列的第二代算法,分组长度是 位,密钥长度是 位,使用 位初始向量初

46、始化寄存器.与H u mm i n g b i r d相比,H u mm i n g b i r d 采用认证机制抵御信息扩展攻击,其安全性得到了提升.P R E S E N T G R P的分组长度、密钥长度和迭代轮数分别是 位、位和 轮,该算法基于位置换指令组运算(G R P)实现,使用P R E S E N T的S盒提升了混淆性.在硬件实现 方 面,P R E S E N T G R P的 占 用 面 积(G E)高 于P R E S E N T (G E).轻量级分组密码算法的多维度评估 性能评价指标轻量级分组密码算法需要在实现成本和性能间达到平衡,其度量指标中部分仅与硬件实现有关(如

47、等效门数和硬件技术),部分仅与软件实现有关(如内存),其余则是通用指标.本文基于以下 个指标综合评价算法性能.分组长度(B l o c kS i z e):分组密码算法将明文分组后加密,每次处理特定长度的一组信息.由于分组长度与加密所需的计算资源和能耗呈正相关,因此物联网设备通常采用较小的分组长度.如表所列,A E S,C L E F I A,L E A和WA R P采用的分组长度最大,为 位;H u mm i n g b i r d 采用的分组长度最小,仅有 位;其余多数算法的分组长度为 位.密钥长度(K e yS i z e):密钥长度指密码算法使用的密钥的比特数.通常情况下,密钥越长,算

48、法安全性越高,但需要更多的计算资源和更高的能耗.如表所列,H u mm i n g b i r d使用的密钥长度为 位;D E S L仅使用 位密钥.迭代轮数(N u m b e ro fR o u n d s):与传统密码算法相比,轻量级分组密码算法的结构相对较为简单,通常采用多轮迭代运算以提升安全性.一般情况下,算法的迭代轮数越多,密码分析越困难,但过多的迭代轮数会降低算法性能.因此,选择迭代轮数时应使得密码分析的计算复杂度大于穷举攻击所需的计算复杂度.等效门(G a t eE q u i v a l e n t):表示算法硬件实现所需的逻辑门数量,反映了算法在电路上运行时所需的物理空间大

49、小.依据I S O/I E C标准,轻量级密码算法的等效门数应当在 之间.硬件技术(T e c h n o l o g y V a l u e):指用于算法实现的CMO S技术,单位是m.硬件实现的复杂性和使用等效门表示的物理空间的度量取决于算法使用的硬件技术值.当硬件技术值不同时,算法的等效门数也会有所不同.例如,R o l f e s等在文献 中介绍了P R E S E N T 在 m,m和 m的CMO S技术值的情况下,算法的占用面积分别为 G E,G E和 G E.延迟(L a t e n c y):指计算每个明文/密文分组所需的时钟周期数.内存(M e m o r y):指算法需要的

50、R AM和R OM的空间大小,通常以字节为单位.其中,R AM用于存储算法计算过程中的值,R OM用于存储算法的代码和密钥等静态数据.吞吐量(T h r o u g h p u t):指在特定频率下,算法的加密/解密操作所能实现的每秒转换的比特数.吞吐量T的大小与频率有关,计算式如下:TBFN()其中,B是分组长度(以比特为单位),F是频率,N是每个分组的时钟周期数.通常情况下,研究轻量级分组密码算法时使用的硬件频率为 KH z,软件频率为MH z.传统算法的吞吐量较高,相应的所需的能耗和等效门数都较高.轻量级分组密码算法的主要设计目标是在低能耗和低等效门数的情况下提供更高的吞吐量.效能(E