（系统分析与集成专业论文）高级数据加密标准aes的java实现与应用研究.pdf

摘要 随着i n t e m e t 的快速发展，在 r t t e m e t 上信息传输及存储的安全问题 成为影响i n t e m e t 应用发展的重要因素。密码算法的理论与实现研究是信 息安全研究的基础，确保数据加密算法实现的可靠性和安全性对于算法 理论应用到各种安全产品中起到了至关重要的作用。根据r j j n d a e l 算法 制定的高级数据加密标准a e s 成为新的对称数据加密标准已经有5 年 了。作为新一代的对称数据加密标准，a e s 相对前一代数据加密标准d e s 具有更高效的执行效率和更好的安全性。虽然a e s 产品取代d e s 产品己 是必然，但实用的a e s 的产品还很有限。这使得对a e s 的实现和应用进 行探讨和研究就具有较大的理论和现实意义。 本文首先分析了a e s 算法的特点和设计原理，详细介绍了算法的描 述。然后，本文提出了一个优化的轮变换算法，该优化算法利用简单的 查表和异或运算就可以完成轮变换，简化了轮变换过程的实现。考虑到 当前j a v a 是开发网络应用，特别是i n t e m e t 应用的主流平台，本文在对 算法的轮变换过程进行优化的基础上，提出了基于j a v a 平台的a e s 软件 实现方案。该实现方案可以满足现有的宽带i n t e r n e t 应用对于数据加密的 要求。本文分析并设计了一个j a v a 包来实现该方案，在此包中不仅提供 了实现r i j n d a e l 算法的算法类，还在算法类基础上设计了一个工具类。 应用该工具类可以为j a v a 开发者提供更方便易用的数据加密服务。最后 本文分析了该实现方案的应用领域和应用前景，并给出了应用该实现方 案进行文件加密的实例。 关键词：a e s ，r j j n d a e l 算法，j a v a ，算法优化 第1 页 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e m e t t h es e c u r i t yo fi n f o r m a t i o n t r a n s m i s s i o na n ds t o r a g et h r o u 吐 n t e m e th a sb e e nt h ei m p o r t a n te f r e c to f i n t e r n e td e v e l o p m e n t t h er e s e a r c ho nt h et h e o r ya n di m p l e m e n t a t i o no f e n c r y p t i o na l g o r i t h mi st h eb a s eo fi n f o r m a t i o ns e c u r i t y , a n dg u a r a n t e e i n gt h e r e l i a b i l i t ya n ds e c u r i t yo fi m p l e m e n t a t i o no fe n c r y p t i o na l g o r i t h mi sa l s o i m p o r t a n tt ot h ea p p l i c a t i o no fs e c u r i t yp r o d u c t t h ea d v a n c e de n c r y p t i o n s t a n d a r d ( a e s ) b a s e do nr i j n d a e le s t a b t i s h e df i v ey e a r sa g o 。a st h en e w g e n e r a t i o ne n e r y p t i o ns t a n d a r d a e si sm o r ee 衔c i e n ta n ds e c u r et h a n1 a s t e n c r y p t i o ns t a n d a r dd e s a l t h o u g ha e sw i l lr e p l a c ed e sf o rc e r t a i n t h e u s e f u ls e c u r i t yp r o d u c tb a s e do na e si s1 i m i t e d s o i ti sn e c e s s a r yt ok e e p r e s e a r c h i n go ni m p l e m e n t a t i o na n da p p l i c a t i o no f a e s ， t 1 1 i sp a p e ra n a l y s e st h ec h a r a c t e r i s t i c sa n dd e s i g np r i n c i p l eo fa e s i n t r o d u c e st 1 1 ea l g o r i t h mi nd e t a i la tm s t t h e ni tg i v e sa l li m p r o v e da l g o r i t h m o ft h er o u n dt r a n s f o r r n n l i si m p r o v e da l g o r i t h mu s e 血es i m p l es e a r c ht a b l e a n dx o ro p e r a t i o nt oi m p l e m e n tt h er o u n dt r a n s f o m lp r o c e s s a n ds i m p l i r y t h ei m p l e m e n t a t i o no fr o u n dt r a n s f o r m c o n s i d e r i n gj a v ai st h em a i n s t r e a m p l a t f o r mf o rd e v e l o p i n gt h en e t w o r ka p p l i c a t i o n ，e s p e c i a l l yt h ei n t e m e t a p p l i c a t i o n s o ，t h i sp a p e rg i v e st h ea e ss o f t w a r ei m p l e m e n t a t i o ns o l u t i o n b a s e do nj a v a 1 1 1 es o l u t i o nc a i ls a r i s f yt h er e q u i r e m e n to f b o a r db a n di n t e r a c t a p p l i c a t i o na b o u td a t ae n c r y p t i o n t h i sp a p e ra n a l y s e sa n dd e s i g n saj a v a p a c k a g et oi m p l e m e n tt h es o l u t i o n t l l i sp a c k a g ei n c l u d e s n o to n l yt h e r i j n d a e la l g o r i t h mc l a s sf o ri m p l e m e n t i n gt h er i j n d a e la l g o r i t h m ，b u ta l s ot h e u t i l i t yc l a s sb a s e do nt h er i j n d a e la l g o r i t h mc l a s s t h i su t i l i t yc l a s sc a n p r o v i d et h ei n f o r m a t i o ne n c r y p t i o ns e r v i c ee a s i l ya n dc o n v e n i e n t l yf o rt h e j a v ad e v e l o p e r a ti a s t ，t h i sp a p e ra n a l y s e st h ea p p l i c a t i o nf i e l da n do u t l o o k a n dg i v e saf i l ee n c r y p t i o na p p l i c a t i o nb a s e d0 nt h i ss o l u t i o n k e yw o r d s ：a e s ，r i j n d a e la l g o r i t h m ，j a v a ，a l g o r i t h mi m p r o v e m e n t 第1 i 页 学位论文独创性声明 本人郑重声明： l 、坚持以“求实、创新”的科学精神从事研究工作。 2 、本论文是我个人在导师指导下进行的研究工作和取得 的研究成果， 3 、本论文中除引文外，所有实验、数据和有关材料均是 真实的。 4 、本论文中除引文和致谢的内容外，不包含其他人或其 它机构已经发表或撰写过的研究成果。 5 、其他同志对本研究所做的贡献均已在论文中作了声明 并表示了谢意。 作者签名： 日 期： 学位论文使用授权声明 本人完全了解南京信息工程大学有关保留、使用学位论文 的规定，学校有权保留学位论文并向国家主管部门或其指定机 构送交论文的电子舨和纸质版；有权将学位论文用于非赢利目 的的少量复制并允许论文进入学校图书馆被查阅：有权将学位 论文的内容编入有关数据库进行检索；有权将学位论文的标题 和摘要汇编出版。保密的学位论文在解密后适用本规定。 作者签名：叠互赶 j t 日 期：怂6 ：。& 墼 南京信息工程大学硕士研究生毕业论文 第1 章绪论 1 1a e s 概述及研究意义 1 1 1 a e s 概述 1 9 7 7 年1 月数据加密标准d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 正式向社会公布，它 是世界上第一个公认的实用分组密码算法标准。但d e s 在经过2 0 年的实践应用后， 现在已被认为是不可靠的。1 9 9 7 年1 月2 目美国国家标准和技术研究所( n i s t ) 发布了高级加密标准( a e s f i p s ) 的研发计划，并于同年9 月1 2 日正式发布了征 集候选算法公告。n i s t 希望确定一种保护敏感信息的公开、免费并且全球通用的 算法作为a e s ，以代替d e s 。在征集公告中，n i s t 对算法的基本要求是：算法必 须是私钥体制的分组密码，支持1 2 8 位分组长度和1 2 8 、1 9 2 、2 5 6 b i t s 密钥长度。 经过三轮遴选，r i j n d a e l 最终胜出。2 0 0 0 年1 0 月2 曰，n i s t 宣布采用r i j n d a e l 算法作为新一代高级加密标准。2 0 0 1 年1 1 月2 6 日联邦信息处理标准出版社发布了 正式的a e s 标准即f i p sp u b s1 9 7 ，其中制定的标准生效时间为2 0 0 2 年5 月2 6 日。 r i j n d a e l 算法是一种可变分组长度和密钥长度的迭代型分组密码，它的分组长 度和密钥长度均可独立地指定为1 2 8 b i t s 、1 9 2 b i t s 、2 5 6 b i t s ，它以其安全性和多方面 的优良性能，成为a e s 的最佳选择。r i j n d a e l 算法能抵抗现在的所有己知密码攻击， 它在广泛的计算环境中的硬件和软件实现性能都表现得非常优秀，它的密钥建立时 间极短且灵活性强，它极低的内存要求使其非常适合在存储器受限的环境中使用， 并且表现出很好的性能。 i 1 2 研究意义 随着i n t e m e t 的快速发展，基于i n t e m e t 的各种应用也日益增长。但是，由于 i n t e r n e t 是一个极度开放的环境，任何人都可以在任何时间、任何地点接入i n e r e c t 获取所需的信息，这也使得在i n t e m e t 上信息传输及存储的安全问题成为影响 i n t e r n e t 应用发展的重要因素。信息安全技术也就成为了人们研究i n t e m e t 应用的新 热点。 第1 页 南京信息工程大学硕士研究生毕业论文 信息安全的研究包括密码理论与技术、安全协议与技术、安全体系结构理论、 信息对抗理论与技术、网络安全与安全产品等领域，其中密码算法的理论与实现研 究是信息安全研究的基础。而确保数据加密算法实现的可靠性和安全性对于算法理 论应用到各种安全产品中起到了至关重要的作用。虽然a e s 己经生效，但d e s 和 三重d e s 还大量地在各种信息安全产品中使用。市场上的a e s 的商用产品还很少， 但a e s 产品取代d e s 产品己是必然。对a e s 的实现和应用进行探讨和研究就具有 较大的理论和现实趋 义。 1 2a e s 的研究现状及应用情况 从1 9 9 7 年n i s t 发布了高级加密标准a e s 的研发计划到现在已经有近十年时 间，在这段时间中对a e s 的研究大致可以分成三个阶段。第一阶段是从1 9 9 7 到2 0 0 0 年r i j n d a e l 算法胜出前。在此阶段，研究的主要方向是提出候选算法并对各候选算 法的性能进行分析。在此期间总共提出了十五个候选算法，虽然r i j n d a e l 算法最终 胜出并用于a e s 中，但是其他的候选算法如m a r s 、r c 6 、s e r p e n t 、t w o f i s h 等也 在现在数据加密应用中得到了应用。第二阶段是从2 0 0 0 年r i j n d a e l 算法胜出后到 2 0 0 1 年n i s t 发布f i p sp u b s1 9 7 文件( 即a e s 标准书) 前。在此阶段对a e s 的 研究转到了对r i j n d a e l 算法的研究和分析，设计a e s 的工作模式上。第三阶段是从 f i p sp u b s1 9 7 发布到现在。在此阶段，研究的方向可以分成两个主要方向：一个 是继续研究r i j n d a e l 算法本身的性能特别是其安全性分析，另一个就是a e s 的实现 和应用的研究。下面就第三阶段，也就是a e s 的研究现状和应用情况做一些简单 的介绍和分析。 1 2 1a e s 算法设计及性能研究现状 目前，在理论上对于a e s 算法的研究主要集中在算法设计和性能分析上。 算法设计主要研究算法设计遵循的原则和整体结构。研究算法设计的目的一方 面为性能分析提供了一条途径从算法的结构上分析算法性能是简单有效的研究 算法整体结构上的缺陷为提出新的密码分析方法提供薪的手段。另一方面，研究 a e s 的算法设计对研发新的分组密码提供了设计原则和参考。目前分组数据加密算 法的整体结构有两大类：f e i s t e l 网络、非平衡f e i s t e l 网络和s p 网络。作为a e s 选 第2 页 南京信息工程大学硕士毋f 究生毕业论文 择的r i j n d a e l 算法遵循分组密码的安全性和实现性原则，在整体结构上采用的是s p 网络结构。关于s p 网络结构和分组密码的设计原则将在第2 章中详细论述。 性能分析主要研究算法的各项特性，性能分析主要可以分为实现分析和密码分 析两类。实现分析主要研究a e s 算法可实现的能力，即算法的实现性分析。当前 实现性分析主要集中在a e s 的硬、软件实现的难易度和实现算法的效率等领域中。 密码分析则是在理论上对现有加密算法进行研究的主要方向。密码分析主要研究 a e s 算法抵抗现有己知密码攻击的能力，即算法的安全性分析。当前主要攻击手段 有：强力攻击、差分密码分析础”、线性密码分析 4 1 、s q u a r e 攻击和插值攻击等。 a e s 算法对上述的主要密码攻击手段都具有较好的抵抗能力，上述的攻击手段目前 也只能对一些简化的a e s 算法( 如减少了轮变换次数的a e s 算法) 进行密码攻击。 但是随着密码分析技术的不断发展，积分分析、功耗分析和代数攻击等新的密码分 析手段陆续出现。它们已成为密码分析新的研究方向p j 。此外，由于s 盒是a e s 算法的唯一非线性变换器件，s 一盒的性能在很大程度上决定了a e s 算法的安全性。 因此，出现了许多分析和研究s 盒代数性质的研究成果1 6 “。在这些成果中分析了 s - 盒的代数特征或是表达s - 盒的线性方程组，以达4 求解s 盒或是研究s 一盒安全性 的目的。 1 2 2a e s 工作模式研究现状【1 0 分组密码是处理数据的长度是固定的a e s 为1 2 8 b i t s 。但是在实际中需要处理 的数据通常是任意长度的，且要求密文尽量不确定，面算法自身不能做到这一点。 因此引出了如何利用分组密码处理任意长度消息的问题，解决这个问题的技术就 是分组密码的工作模式。分组密码工作模式是利用分组密码解决实际问题的关键一 步，好的工作模式可以弥补分组密码的某些缺憾。比如在千兆网环境中，如果不 希望数据加密成为瓶颈，则需要高速度的分组密码算法，但是目前还没有软件速度 达到此要求的分组密码算法，而利用可行的工作模式可以解决此问题。由此可以看 出工作模式的研究对于a e s 实现和应用具有重要意义，所以a e s 工作模式研究也 是目前国内外对于a e s 研究的热点之一。 在a e s 即将诞生之际，2 0 0 0 年3 月n i s t 为a e s 公开征集保密工作模式。n i s t 在第一阶段征集到了1 5 个候选工作模式。为了推进模式标准的征订工作，n i s t 分 别在2 0 0 0 年l o 月和2 0 0 1 年8 月召开了两次国际会议讨论征集到的候选工作模 第3 页 南京信息工程大学硕士研究生毕业论文 式。并于2 0 0 1 年秋季在文件8 0 0 3 8 a i h l 中公布了a e s 用于保密性的5 种工作模式。 它们分别是e c b 、c b c 、c f b 、o f b 和c t r 。e c b 、c b c 、c f b 和o f b 的用法类 似d e s 。c t r 是唯一选定的新保密工作模式。除了保密模式，随后n i s t 继续在认 证模式和认证保密模式方面做了大量的工作。在2 0 0 5 年5 月公布的文件s p 8 0 0 3 8 b i l “中给出了认证模式的建议标准c m a c ；在2 0 0 4 年5 月公布的文件s p 8 0 0 3 8 c 【1 “中给出了认证保密模式的建议标准c c m 。到目前为止，n i s t 公布了 a e s 的三个模式建议标准，但是相关工作尚未结束，n i s t 将会陆续推出其它特殊 用途的模式，目前成熟的有g c m 和a e s k w 。g c m 被计划用于强认证的环境， a e s k w 被计划用于特殊数据( 如密钥) 的认证加密。 除了上述n i s t 的建议标准外，其它的标准化组织和相关行业也推出了一些模 式标准，如i s o i e c l 9 7 7 2 中的o c b i l ，3 g p p 15 1 中的侣和3 g p p m a c 等等。近 几年，国外对分组密码工作模式的研究非常热，研究成果很多。工作模式己不局限 于传统意义上的保密工作模式、认证模式( m a c ) 。另外还包含认证保密模式、可变 长度的分组密码以及如何用分组密码实现杂凑技术等等。 值得注意的是，合理的a e s 工作模式可以帮助解决许多实现和应用中遇到的 问题。但是，如果采用不好的工作模式，即使分组密码算法是好的，方案也可能不 安全。比如，e c b - a e s 会部分泄露明文的信息，c b c 的p a d d i n g 方式会导致c b c ，a e s 遭受潜信道攻击，但这些安全缺陷不是a e s 的错，而是它被误用造成的。因此， 分组密码工作模式和分组密码算法同样重要。在实际应用中，任何一方的失误都会 导致安全隐患。目前国外对此领域的研究很重视，不断有新的成果涌现。和国外相 比，国内关注更多的是分组密码自身的研发，对如何利用分组密码解决实际问题的 工作模式研究得并不多，通常采用国外现成的工作模式解决应用需求。 1 2 3a e s 实现研究现状 对于a e s 实现的研究主要集中在软件实现和硬件实现两个领域中。a e s 标准 所选择的r 0 n d a e l 算法遵循了分组密码设计的实现性原则，十分方便在软、硬件上 实现。从a e s 实现的角度上看，当前研究的主要方向在各个算法步骤的优化实现。 算法步骤针对不同的实现环境进行优化后，在应用中能获取更好的实际数据加密效 果。其主要的研究成果集中在s 盒的生成算法优化、轮变换过程优化和密钥扩展优 化三个方面。下面就软件实现和硬件实现的在这三个方瑟的研究现状做个简单介 第4 页 南京信息工程大学硕士研究生毕业论文 绍。 1 在微机上通过软件实现。这是利用a e s 算法保障计算机信息安全特别是网 络中信息传输与存储安全的主要途径。利用优化后的a e s 实现算法，可以在微机 上快速、高效地对数据进行加密。 在软件实现中，s 盒通常是在进行数据加密前利用生成算法得到，并且在数据 加密过程中并不需要重新生成，其生成的效率并不直接影响数据加密的效率。因而 在实现时通常也就是根据a e s 标准的s - 盒算法生成说明生成s 一盒，还没有什么关 于软件实现s 一盒的优化算法的研究成果。 在软件实现中，轮变换过程优化则是软件实现算法优化的主要研究方向。目前 在这方面的研究主要成果就是在进行数据加密前，生成轮变换所用的t _ 盒，利用 t 盒把原先轮变换过程中列混合过程中的较复杂的矩阵运算转换成简单的查表和异 或运算，从而实现轮变换过程的优化，提高了实现算法的执行效率。t - 盒是在s 盒 的基础上生成得到的4 x 2 5 6 字节的替换表，通常可以有两种不同的生成t - 盒的方 案：一种生成3 个t - 盒，另一种生成8 个7 r _ 盒。从软件实现的角度上看，这两种方 案加密懈密的速度是相差无几的，但是相对于只利用s 一盒和逆s 盒进行数据加密 的实现算法则加密，解密速度上要快近十倍。经过这种轮变换优化的实现算法相 对优化前的实现算法，要多约2 k b 8 k b 的存储空间，以及一定的生成t - 盒的时间。 但是在现在的微机环境下，这些时间和空问的代价几乎可以忽略不计。可见经过轮 变换优化的软件实现算法是实用并且有效的。文献 1 7 给出了轮变换优化前的实现 算法的v c + + 实现，文献 1 6 】则给出了轮变换优化后实现算法的原理和v c + + 实现。 在软件实现中，密钥扩展优化也是研究的重点之一。a e s 所提供的密钥扩展方 案保证了密钥扩展过程中的雪崩效应，也保证了密钥扩展方案的易实现性。但是由 于在该密钥扩展方案轮密钥直接与种子密钥( 即用户密钥) 相关，也成为了许多密 钥攻击的对象。因此，通过优化算法在保证原扩展方案的特性上，提供更加安全的 密钥扩展方案是必要的。研究主要方向是在原扩展方案的基础上进行改良，在保证 一定的雪崩效应的同时，降低扩展得到的轮密钥与种子密钥的关联性。在文献 1 8 中给出了一个优化的密钥扩展方案，该方案针对r i j n d a e l 算法的密钥扩展方案存在 易暴露种子密钥的特点，提出了一种新的密钥生成方案。新的密钥生成方案的前 n k 字( n k 为种子密钥的字长) 使用幻常数进行混淆，随后的密钥运用了移位运算， 运算完成后即可得到轮密钥【l ”。 此外，将其他的理论研究应用到分组数据加密算法中，也是实现研究的一个重 第5 页 南京信息工程大学硕士研究生毕业论文 要方向。在文献【1 9 】中给出了一个利用超混沌序列产生a e s 加密所需密钥的方案， 并在文中描述了利用该方案的加密应用实例。改进后的a e s 算法每加密一段明文 利用超混沌映射获取比特流作为新的密钥，这样即使攻击者获取了信道中的一组密 钥，由于无法推算出其他密钥，攻击者也很难破译所有密文，这在很大程度上加强 了a e s 算法的安全性。此外改进后算法的原始密钥为超混沌映射的初始值由于 混沌序列对初始值的极端敏感性，算法中的原始密铜具有非常大的密钥空间，可以 为( o ，1 ) 之间的任何实数，由于计算机精度的限制，实际密钥空间为1 0 ”，即如果原 始密钥相差l o 。5 ，也将产生完全不同的密钥流。这样攻击者将难以采用穷举算法来 获得原始密钥【l ”。将混沌理论应用于数据加密中也是研究的一个新的热点，混沌理 论不仅可以用于产生加密密钥，由于混沌结构的非线性特征，它也为设计新的具有 高安全性s 盒的一个有力的理论工具。 除了上述的内容之外，在1 2 2 节所讨论的a e s 作模式问题也是软件实现研 究的重要领域。一方面针对不同的应用环境提出或改进工作模式，对于a e s 应用 具有很重大的意义；另一方面，不同工作模式的软件实现算法也会影响该工作模式 的实际应用效果。 2 通过硬件芯片实现。现在信息安全技术的应用领域不仅仅局限于微机上，在 许多嵌入式系统中也会要求对相关的数据进行加密。a e s 算法对于存储空问的要求 较小，算法过程相对比较简单，特别是经过有针对性的实现算法优化和精简后很易 于利用硬件电路实现。现在许多相关的商业产品都是基于密码芯片的。 在硬件实现方面，从芯片的设计上看，性能最为优越的是g m u 大学提供的i p 核。目前大多数的芯片设计师在设计基于a e s 密码芯片时，大多将g m u 大学的l p 核作为参考。除了一些大学和研究机构提供a e s 核外，一些公司也推出了各自的 a e s 核，如h e r l i o n 技术有限公司、d c r y p tp t e 技术有限公司等。这些公司提供的 a e s 在性能上与各大学和研究机构所提供的相似，只是外部接口有所不同。 下面给出的表1 - 1 列举了几个具有代表性的a e s 硬件实现产晶的对照表。从表 中可以看出现在的基于a e s 的密码芯片的效率都是相当高的，相对于a e s 软件实 现来说，a e s 硬件实现的加密速度是绝对的优势。因此硬件实现也通常用于一些需 要对大量数据进行高速加密的应用环境中，如高速网络( 千兆以上) 、磁盘数据加 密等。 第6 页 南京信息工程大学硕士研究生毕业论文 表卜1 几种典型的a e s 硬件实现性能比较2 川 设计者吞吐量实现器件主要技术 a t r ir u n d r a 1 6 g b p s l g h zp e n t i u mi i i 复合域、比特滑动技术、 软件模拟硬件电路 s u m i om o r i o k a 1 0 g b p s 7 8 0 m h zo 1 3 u m s 盒结构优化、a s i c 实 a k a s h is a t o hc m o s 标准库现 gps a g g e s e 2 0 3 g b p s 1 5 8 m h z 开环结构，5 级流水线 x v e 2 0 0 0 ，f p g a h e l i o n 公司1 5 3 6 g b p sv i r t e x - i i2 v 1 0 0 0 4f a s t a e s 核心 与a e s 软件实现相似，a e s 硬件实现的效率也主要取决于s 盒的生成算法优 化、轮变换过程优化和密钥扩展优化三个方面。 在硬件实现中，由于目前a e s 所用的s ，盒是固定的，一般来说都将s 盒或t - 盒事先固化于r o m 中供加密解密使用。这样做可以免去设计关于s 盒生成的步骤， 对_ 丁硬件实现来说，可以简化整个加密芯片的电路和元件，从而降低硬件实现的设 计难度和成本。但是，这样的设计也会导致密码芯片系统不灵活，所设计的芯片只 能实现单一的数据加密算法，难以满足不同密码用户多层次的安全性能需要和密码 算法不断升级换代的需求。为了解决这一问题，日本的相关研究者提出了可重构密 码芯片的概念，它利用可重用的硬件资源，据不同的应用需求灵活地改变自身硬件 结构，能够为不同的密码算法提供与之相匹配的内部结构和外部特性，从而大大提 高了密码芯片的灵活性、安全性和扩展性。在文献【2 1 】中，在分析a e s 和d e s 算 法中s 盒硬件实现方法的基础上，利用硬件复用和重构技术，提出了一种可重构 s 一盒( r c - s ) 结构及其实现方法。通过r c s 的实现，使s 盒成为可复用的硬件资 源，既能用于d e s 算法高速实现，又能快速实现a e s 算法。相对于固定s 。盒，r c s 还能更改s 盒参数，方便了s 一盒的更新换代。 在硬件实现中，与软件实现类似的，轮变换过程的优化实现是提高整个密码芯 片执行高效率的关键，因此如何在兼顾考虑芯片执行速度和芯片面积的情况下，设 计合理的芯片结构，使得在满足速率要求的前提下尽可能减少资源占用，是该方面 研究的重点。目前比较流行的一个设计方案就是并行流水线结构。流水线技术其实 质就是在适当的地方加入寄存器，将前面的运算结果或输入数据暂存，并在下一个 时钟到来时将寄存器中存储的值作为后一级运算的输入。这使得操作执行速度只与 第7 页 南京信息工程大学硕士研究生毕业论文 流水线输入的速度有关，而与处理所需的时间无关。a e s 分组密码在非反馈( e c b ) 模式卜- ，后续块的加密与前一块的加密结果无关，即所有块的加密都可并发执行， 因而采用流水结构能显著提高性能。在文献 2 0 】中给出了基于f p g a 的采用了上述 方案的a e s 加密芯片设计。 a e s 的实现除了上述的软件实现和硬件实现外，从实际应用和开发的角度出 发，也有人提出了利用数字信号处理芯片( d s p ) 来实现a e s 以解决数据安全的问 题，并对d s p 实现做了相关研究。软件实现的平台是微机，所使用的是通用处理器， 其主要缺点在于它需要庞大的操作系统和大量硬件资源的支持，数据加密的速度较 慢。硬件实现的平台是基于a e s 的专用集成芯片，其主要缺点在于开发和生产的 成本高，通用性不强。利用d s p 实现a e s 其实可以看作一种折衷的实现方案。由 于d s p 处理器的可编程性，使得它的通用性强于专用集成芯片，可同时完成多种 不同算法，d s p 的并行处理特点以及特有的乘法器又使它在数据计算方面大大强于 通用处理器口“。 1 2 4a e s 应用现状和应用研究 从应用的领域来看，目前a e s 算法主要用于基于私钥数据加密算法的各种信 息安全技术和安全产品中，通常被看作为d e s 算法代替者，为原有应用提供更强 的数据安全保障。所以在原来d e s 标准应用的领域中，a e s 存在着巨大的应用价 值。目前由于网络技术发展迅速，基于网络的数据加密的要求日益提高，a e s 标准 的应用首先体现在了网络信息安全中。 虚拟专用网v p n 是在i n t e m e t 上用于传输保密信息的一种主要技术。目前， i p s e c 是v p n 构建中使用最为广泛的一种协议，将来可能成为i p v p n 的标准。 i p s e e 是i ps e c u r i t y ( 1 p 安全) 的缩写，是由i e t f 的i p s e e 工作组提出的将安全机 制引入t c p i p 网络的一系列标准【2 3 】。封装安全载荷( e s p ) 是i p s e c 协议的三个重 要组成部分之一，可确保i p 数据包的机密性、数据的完整性以及对数据源认证f 2 4 】。 在基于i p s e c 的v p n 实现中，加密算法的选择是核心问题，它直接影响到系统的安 全性“。在a e s 标准公布前，i p s e c 协议中e s p 所用的数据加密算法主要用的是 d e s 及t r i p l e - d e s 。随着a e s 标准的公布，1 e t f 的i p s e c 工作组f 一步正试图使a e s 成为i p s e c 的e s p 中的默认加密算法，要求所有i p s e c 实现必须兼容a e s 加密算 法。现在大多数提供v p n 设备和解决方案的公司都已经把原来产品中使用的d e s 第8 页 南京信息工程大学坝士研究生毕业论文 加密算法换为a e s 加密算法，并作为宣传企业产品的重要法码。美国著名的v p n 解决方案提供商网件( n e t g e a r ) 公司早在2 0 0 2 年初就已经开发了应用了a e s 标准的v p n 产品。近几年国内的v p n 解决方案提供商也陆续开发出了许多具有自 主知识产权的产品，如深信服电子科技有限公司的“s i n f o r 网网通”系列v p n 产 品，上海冰峰网络技术公司的i c e f l o wv p n 产品等。这些v p n 产品中都已经采 用了a e s 1 2 8 或是a e s 2 5 6 的加密标准。 a e s 标准在网络技术中另一个主要的应用是无线网络。由于无线网络的通信信 道相对于有线网络来说是一个更为开放的环境，安全性的要求相对于有线网络来说 要求更高。目前，无线网络的国际标准主要有两个，一个是用于无线局域网的 i e e e 8 0 3 1 l 协议，另一个是用于无线城域网的i e e e 8 0 3 1 6 协议。这两个协议在制 定的初期所采用的安全机制中主要使用的分别是r c 4 和d e s ，2 0 0 4 年后也都逐渐 将a e s 加入了协议的安全机制中。在2 0 0 4 年6 月2 5 日的i e e e 工作组会议上正式 通过了1 e e e 8 0 3 1 l i 标准。在之前的i e e e s 0 3 11 x 标准中，有线等效保密协议w e p 是标准中安全机制的一部分，用来对在空中传输的i e e e 8 0 3 1 1 数据帧进行加密， 在链路层提供保密性和数据完整性。但由于设计上的缺陷，该协议存在安全漏洞： r c 4 算法的问题和w e p 本身的缺陷口“。无线局域网标准研发的企业联盟w i f i 为 了满足现在市场盼需求，制定了w p a ( w i f ip r o t e c t e da c c e s s ) 标准作为一种可替 代w e p 的无线安全技术。w p a 是i e e e 8 0 3 1 l i 的一个子集，它是继承了w e p 基本 原理而又解决了w e p 缺点的一种新技术。在数据加密方面，w p a 定义了 t k i p ( t e m p o r a lk e yi n t e g r i t yp r o t o c 0 1 ) t lc m m p ( c o u n t e r - m o d e c b c - m a cp r o t o c 0 1 ) 两种机制。其中，c m m p 是基于a e s 加密算法和c c m 认证方式，使得w l a n 的 安全程度大大提高口”。这种机制提供了更强大的加密和信息完整性检查，比 w e p t k i p 中r c 4 算法具有更好的加密性能，是实现r s n 的强制性要求。w p a 将 在i e e e8 0 2 1 l i 最终确认后，成为取代w e p 的新一代的加密技术。为无线局域网 带来更强大的安全防护。 在无线城域网标准i e e e 8 0 2 1 6 2 0 0 4 中提供了两种数据保密方法，分别是基于 d e s c b c 和a e s c c m ，d e s c b c 是工作在c b c 模式下的d e s 加密，a e s c c m 是工作在c c m 模式下的a e s 加密，其采用了与i e e e 8 0 2 1 1 i 在c m m p 机制一样的 工作模式口。a e s c c m 采用计数器模式( c t r ) 实现数据加密c b c m a c 模式 实现数据完整性保护。i e e e 9 0 2 1 6 中基于a e s - c c m 的数据保密方法还采用了包序 列号( p n ) 方法防止重放攻击。a e s c c m 的加密方案可全面弥补d e s c b c 方案 第9 页 南京信息工程大学硕士研究生毕业论文 的不足，提供良好的数据保密性、完整性和抗重放保护。 此外其他的一些无线网络技术为了保障数据传输安全性也都使用了a e s 。 z i g b e e 技术就是一个典型代表，它作为新一代的无线传感器网络将采用了 i e e e 8 0 2 1 5 4 z i g b e e 协议。z i g b e e 技术是一种近距离、低复杂度、低功耗、低数据 速率、低成本的双向无线通信技术，主要适合于自动控制和远程控制领域，可以嵌 入各种设备中。z i g b e e 的m a c 层使用了a e s 算法进行加密，并且它基于a e s 算 法生成一系列的安全机制，用来保证m a c 层帧的机密性、一致性和真实性。m a c 层的安全性有三种模式：进行加密的c t r 模式、保证一致性的c b c - m a c 模式 以及前文提到的c m m 模式【2 9 ) 。z i p b e e 技术的高层应用、测试和市场推广等方面 的工作将由z i g b e e 联盟负责。z i g b e e 联盟成立于2 0 0 2 年8 月，由英国i n v e n s y s 公司、日本三菱电气公司、美国摩托罗拉公司以及荷兰飞利浦半导体公司组成，如 今已经吸引了上酉家芯片公司、无线设备公司和开发商的加入。 除了保障网络应用的信息安全外，a e s 在其他的信息安全领域中也有着广泛的 应用。 从a e s 硬件实现的应用上看主要研究的方向有射频i c 卡中数据安全，智能 安全卡，硬盘数据加密等方面。目前射频i c 卡在国内的应用范围很广泛，从市民 乘车使用的公交i c 卡、学校食堂使用的饭卡到新一代的居民身份证中都嵌入了i c 芯片。在i c 卡中所存储的数据通常都会包含持卡人的私隐信息，这些信息如果不 经过加密处理很容易在不经意间泄露出去。因此如何在射频i c 卡中加入数据加密 功能成为研究的方向。在文献 3 0 1 中提出并设计了一种用于i c 卡中的基于f p g a 的 a e s 协处理器，咀解决上述问题。 随着网络的不断发展以及各种小型高速大容量的存储设各的出现，计算机中保 密文件的安全逐渐引起了广泛的关注，尤其对于存储在政府部门或商业公司的保密 部门计算机中的保密文件。现在比较流行的解决方案之一就是使用智能安全卡，有 时也称为加密狗或是看门狗。其基本原理是将用户的密钥和加解密算法存放在智能 卡内，当用户需要加密某个文件时，智能卡负责对文件进行加密或签名，然后再进 行存储或是通过网络传输。这样用户只要保存好可随身携带的智能卡即可，安全完 全掌握在自己手中。在文献 3 1 中提出并设计了一个基于1 2 8 位密钥a e s 的安全智 能卡，其特点是基于a v r 单片机，结合u s b 接口技术，采用1 2 8 位密钥的a e s 算法和分布式c a 认证体制。 从a e s 软件实现的应用上看，其应用领域也十分广泛，包含语音、视频信息 第1 0 页 南京信息工程大学硕士研究生毕业论文 加密，数据库中数据加密以及目前关注度很高的电子商务安全等。 随着计算机性能的提高，尤其是对于多媒体信息的处理能力的增强，越来越多 的多媒体信息出现在人们的日常生活中。和一般的文字信息类似，多媒体信息也在 存在对需要保密的信息加密的问题。由于多媒体信息的数据量很大，如果对其直接 进行数据加密的话，其效率是很低的，会影响多媒体信息的传播及使用。因此，在 对多媒体信息加密时，不仅要考虑到数据加密算法a e s 的使用，还要设计相应的 加密过程。在文献 3 2 1 和文献 3 3 1 中都给出了利用a e s 对用m p e g 4 编码的视频信 息加密的设计和实现。其基本的思想都是利用a e s 对1 帧的d c 系数进行加密，吼 达到对整个视频信息加密的效果。文献 3 2 1 所提出的加密方案在是在z i g z a g 置乱算 法的基础上改进得到。其基本思路如下：对于a c 仍然采用z i g z a g 置乱，但置乱 使用的置乱表在每次出现i 帧的时候更换。置乱表本身用a e s 加密。加密后的置乱 表和1 帧的码流数据一起传送到解码端解密后再使用。对于d c ，一次提取一帧 图像里面的所有d c 系数并用a e s 加密，加密后的d c 再按顺序返回到码流中。到 解码端，再按照同样的操作提取d c 系数，然后解密。文献 3 3 1 则提出了一种利用 a e s 的o f b 模式对m p e g - 4 中i 帧的d c 系数和b 帧、p 帧中的i n c a 块d c 系数 进行加密的方案。此外，文献 3 4 1 提出了基于a e s 的流媒体加密方案，其基本原理 与上述大致相同，在此不再赘述。 关于a e s 在数据库中的应用，其主要的研究方向在于如何生成和管理在数据 输入输出所用的密钥以及安全的数据加密的策略上。相关的研究可以参考文献 3 5 3 6 】。而关于a e s 在电子商务中的应用，研究的重心则在电子商务基础平台中 的密码协议和交易安全协议中a e s 的应用上。如将a e s 应用于在s s l 协议中，在 文献 3 7 中提出了一个这样的方案：在实时数据网络传输前，发送方通过身份认证 后，州s s l 安全通道发送a e s 密钥到接收方，同时用a e s 算法对实时数据加密， 然后基于u d p 协议通过互联网发送加密的实时数据到接收方。这样接收方可以用 接收到的a e s 密钥解密加密后的实时数据得到具体的实时数据。 此外，将a e