一种新的一阶段加密认证模式.pdfVIP

一种新的一阶段加密认证模式1 1 1 2 徐津 ，温巧燕 ，王大印 1 北京邮电大学网络与交换技术国家重点实验室，北京（100876 ） 2 中国科学院软件所信息安全国家重点实验室，北京（100080 ） 摘 要：本文基于CBC 加密模式设计了一种新的一阶段加密认证方案OXCBC，能够同 时提供私密性和认证性。该方案仅使用一个密钥和一个Nonce ，与同类型的加密认证方 案相比具有较高的效率。在分组密码是强伪随机置换的假设下，本文证明了该方案的认 证性。 关键词：加密认证模式；伪随机置换；可证明安全；Game-Playing 中图分类号：TP309.2 文献标识码: A 文章编号: 0372-2112 ( ) 1. 引言 在信息安全的许多实际应用中，往往同时需要对消息进行加密和认证（如在IPsec[1] [2,3] 协议中），通常是通过加密模式和消息认证码的组合来实现这一目的 。但是这种组合 有一定的弊端，实际中通常使用加密认证模式来实现这一目的。加密认证模式有两种类 型，一种是两阶段的，一种是一阶段的。两阶段的是指密文和认证标记的生成是在两个 不同阶段进行的；一阶段的是指首先为明文附加一个校验和，然后对扩展后的明文进行 加密，一次性得到密文和对应的认证标记[4] 。显然一阶段的加密认证模式在效率上要明 显高于二阶段的加密认证模式。本文将给出一个新的一阶段加密认证模式OXCBC。 2. OXCBC 模式简介 CBC 模式是最为流行的一种加密模式，为了使其同时能够提供认证性，Gligor 等人 提出了一种一阶段加密认证模式XCBC-XOR[5]，并将其提交给NIST 作为加密认证模式 的候选方案，虽然这种方案利用了CBC 的结构，具有广泛的群众基础，但XCBC-XOR 方案还存在着如下一些问题：它使用了两个密钥，还要一个随机值或者维持一个状态， 而且在密文的MASK 方式上使用了速度较慢的模运算。针对这些问题，本文提出了一种 新的一阶段的加密认证方案 OXCBC，该算法仅使用一个密钥和一个Nonce ，而且在密 文的MASK 方式上采用了异或，因此OXCBC 要明显优于XCBC-XOR 。本节将对OXCBC （One-Key Extend CBC）进行详细的介绍。 3. OXCBC 的定义 n + OXCBC 所处理的消息是分组长度的整数倍，即消息空间M ∈({0,1} ) ，对于任 意长的消息可以通过填充来满足这一条件。所使用的分组密码 n n E : K ×{0,1} →{0,1} ， 1本课题得到国家高技术研究发展计划(863 计划 )项目 (2006AA01Z419); 国家自然科学基金重大研究 计划资助项目和北京市自然科学基金项目(4072020)的资助。 -1- n 其中每个E (K , ⋅) EK (=⋅) 是一个在{0,1} 上的置换，那么OXCBC 模式的加密算法的图 示以及伪码如图1 和图2 所示。 在OXCBC 中，假设要加密的消息是M ，密钥是K 。消息M 写成M=M [1]M [2]M [m]， 其中| M [1] | | M [m ]| n ，M [m+1]=R ⊕M [