一種密鑰可配置的DES加密算法的FPGA
摘 要: 在傳統(tǒng)的DES加密算法的基礎(chǔ)上,提出一種對(duì)密鑰實(shí)行動(dòng)態(tài)管理的硬件設(shè)計(jì)方案,給出了其FPGA實(shí)現(xiàn)方法。通過(guò)對(duì)DES加密原理的分析,利用其子密鑰的生成與核心算法相關(guān)性較弱的特點(diǎn),對(duì)密鑰進(jìn)行重新配置。DES算法采用資源優(yōu)先方案,在輪函數(shù)內(nèi)部設(shè)置流水線架構(gòu),提高了整體處理速度;在FPGA上實(shí)現(xiàn)輪函數(shù)和密鑰變換函數(shù)獨(dú)立運(yùn)算,減少了相鄰流水線級(jí)間的邏輯復(fù)雜度,從而實(shí)現(xiàn)了DES算法在FPGA條件下的重構(gòu)設(shè)計(jì)。最終通過(guò)對(duì)設(shè)計(jì)結(jié)果的功能仿真和測(cè)試分析,論證了整個(gè)設(shè)計(jì)的正確性。
關(guān)鍵詞: DES; 線性反饋移位寄存器; 混沌加密; FPGA
隨著密碼學(xué)技術(shù)的飛速發(fā)展,軟件加密已經(jīng)非常流行,但由于硬件加密的穩(wěn)定性和兼容性更好而且速度更快,所以仍是商業(yè)和軍事用途的主要選擇。而FPGA在實(shí)現(xiàn)算法方面具有靈活性、物理安全性和比軟件更高的速度性能,已成為硬件實(shí)現(xiàn)加密算法的最好選擇。
數(shù)據(jù)加密標(biāo)準(zhǔn)[1]DES(Data Encryption Standard)是迄今為止世界上最為廣泛使用的一種分組密碼算法。本文提出了一種密鑰可配置的DES算法的FPGA實(shí)現(xiàn)方案:即在傳統(tǒng)DES算法的基礎(chǔ)上,采取密鑰可配置的方法,增加密鑰復(fù)雜度,加強(qiáng)密鑰保護(hù),利用初始密鑰選擇的隨機(jī)性,增強(qiáng)算法抗攻擊能力,通過(guò)選擇多種密鑰產(chǎn)生方法,進(jìn)行DES加密。因此,即便知道了密文和密鑰,由于不知道采取何種密鑰產(chǎn)生方式,仍然難以攻破。
1 加密算法理論
1.1 DES算法原理
數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法是用于計(jì)算機(jī)數(shù)據(jù)加密保護(hù)的分組加密的數(shù)學(xué)算法,算法以64 bit為一個(gè)分組對(duì)數(shù)據(jù)進(jìn)行加密。使用64 bit的密鑰加密64 bit分組的信息。首先將原始數(shù)據(jù)64 bit明文進(jìn)行初始置換IP,然后與子密鑰(由加密密鑰產(chǎn)生)進(jìn)行一系列迭代運(yùn)算,最后再經(jīng)過(guò)逆置換IP-1,即可得到64 bit密文(加密后數(shù)據(jù))。在每一輪中,數(shù)列塊的右邊32 bit數(shù)據(jù)和密鑰(Key)一起傳送給函數(shù)f,函數(shù)f運(yùn)算的結(jié)果再與數(shù)列塊左邊32 bit數(shù)據(jù)進(jìn)行“異或”操作。其中S盒(S選擇函數(shù))是DES算法的心臟,由它實(shí)現(xiàn)非線性變換。
解密過(guò)程與此類似,只是在應(yīng)用子密鑰時(shí),順序顛倒為k16,k15,…k2,k1。圖1所示為DES加密原理。從圖中可以看到輪密鑰產(chǎn)生器相對(duì)于DES算法是獨(dú)立運(yùn)算的,這就為密鑰的配置提供了可能和便利。
因?yàn)樵撍惴ㄊ枪_的,因此64 bit的密鑰算法是極其重要的,因?yàn)樗菍?dǎo)致由64 bit的明文到64 bit密文唯一集合的密碼運(yùn)算。故DES的加密安全依賴于對(duì)密碼的保護(hù)。
1.2 線性反饋移位寄存器
線性反饋移位寄存器LFSR(Linear Feedback Shift Register)如圖2所示,是一種非常成熟的序列生成方法,已被廣泛地應(yīng)用于密碼技術(shù)、通信技術(shù)等方面。
若反饋函數(shù)為線性函數(shù)f(a1,a2,…an)=c1a1c2a2…cnan,則稱為線性反饋移位寄存器(LFSR)。其中,a1,a2,…an為二值(0,1)存儲(chǔ)單元,這n個(gè)二值存儲(chǔ)單元稱為該反饋移位寄存器的級(jí)。任一時(shí)刻,這些級(jí)的內(nèi)容構(gòu)成反饋移位寄存器的狀態(tài),每個(gè)狀態(tài)可以用n長(zhǎng)序列(a1,a2,…an)來(lái)表示,對(duì)應(yīng)1個(gè)GF(2)域上的n維向量。反饋函數(shù)f(a1,a2,…an)是n元布爾函數(shù)。在時(shí)鐘脈沖的控制下,每經(jīng)過(guò)1個(gè)時(shí)刻,每一級(jí)存儲(chǔ)器ai都要將自己存儲(chǔ)的內(nèi)容向下一級(jí)ai-1傳遞,反饋函數(shù)由存儲(chǔ)器當(dāng)前狀態(tài)計(jì)算出an下一時(shí)刻的內(nèi)容。
由于線性反饋移位寄存器易于構(gòu)造且易于應(yīng)用軟件和數(shù)字硬件實(shí)現(xiàn),所以密碼設(shè)計(jì)者常用它來(lái)構(gòu)造序列密碼。本文采用線性反饋移位寄存器作為對(duì)初始密鑰的一種配置。
1.3 混沌密碼
由于混沌系統(tǒng)具有的寬頻譜、類隨機(jī)特性、對(duì)結(jié)構(gòu)參數(shù)及初始狀態(tài)的極端敏感性等性質(zhì),日益成為密碼學(xué)的重要分支。混沌密碼在硬件實(shí)現(xiàn)時(shí),應(yīng)該在盡量提高精度、逼近混沌特性的同時(shí),提高運(yùn)算速度,滿足工程中實(shí)時(shí)處理的要求。而一維Logistic映射從數(shù)學(xué)形式上來(lái)看是一個(gè)非常簡(jiǎn)單的混沌映射,但此系統(tǒng)具有極其復(fù)雜的動(dòng)力學(xué)行為,在保密通信領(lǐng)域的應(yīng)用十分廣泛[2]。因此本設(shè)計(jì)就采用了Logistic映射對(duì)密鑰進(jìn)行混淆。
Logistic映射是混沌模型中的一種,它是一個(gè)離散混沌系統(tǒng),表達(dá)式為:xn+1=u×xn×(1-xn),(n=1,2,),其中初始值x0∈(0,1)?;煦鐒?dòng)力系統(tǒng)的研究指出,當(dāng)3≤u≤4時(shí),Logistic映射由出現(xiàn)倍分岔現(xiàn)象逐步趨于混沌狀態(tài)[3],即由初始條件在Logistic映射的作用下所產(chǎn)生的{xn,n=0,1,2,)是非周期、不收斂的,且對(duì)初始值非常敏感的混沌序列。當(dāng)u=4時(shí),表達(dá)式為:xn+1=4×xn×(1-xn), 此時(shí)構(gòu)成的動(dòng)態(tài)系統(tǒng)在連續(xù)域上是混沌的,x0取(0,1)內(nèi)的值。
2 FPGA上的算法實(shí)現(xiàn)
采用基于SRAM技術(shù)的FPGA設(shè)計(jì)的電路雖然不具有保密性,但是基于Kerckhoff原則,所實(shí)現(xiàn)算法的硬件電路是可行且安全的。為了增強(qiáng)DES算法的安全性,本文提出了對(duì)密鑰進(jìn)行動(dòng)態(tài)配置來(lái)改進(jìn)DES算法,利用線性反饋移位寄存器和Logistic映射增加初始密鑰的復(fù)雜度。具體配置方法為:根據(jù)控制信號(hào),將輸入的64 bit密鑰進(jìn)行配置,既可以直接將初始密鑰引入,參與DES加密算法,又可以經(jīng)過(guò)線性反饋移位寄存器,得到新的密鑰流參與DES加密算法,還可以經(jīng)過(guò)混沌加密進(jìn)一步增強(qiáng)DES算法的密鑰安全性。
2.1 密鑰流生成器的選取
本設(shè)計(jì)中,選取線性反饋移位寄存器和混沌序列作為密鑰流生成器。
由于N級(jí)線性反饋移位寄存器輸出的序列是周期性的,非常適合硬件實(shí)現(xiàn),且最大周期為2n-1,為了產(chǎn)生64 bit的密鑰序列,設(shè)計(jì)5級(jí)移位寄存器(周期為31),其狀態(tài)關(guān)系為:
這樣無(wú)需等64個(gè)時(shí)鐘周期,只需31個(gè)周期就可以得到64 bit的密鑰。
為了從混沌序列中獲得每輪64 bit的輪密鑰,需要對(duì)產(chǎn)生的混沌序列進(jìn)行有限精度的二進(jìn)制編碼,即把混沌序列中的每一項(xiàng)與一個(gè)定長(zhǎng)的二進(jìn)制編碼相對(duì)應(yīng)。當(dāng)u=4時(shí),量化后的表達(dá)式為:
初始值x0為(0,2n-1)之間的整數(shù),取n=16 bit,使用映射函數(shù)把4個(gè)連續(xù)的序列項(xiàng)映射成1個(gè)輪密鑰,即rkey={key1,key2,key3,key4}。這樣產(chǎn)生的輪密鑰既有隨機(jī)性又有獨(dú)立性。
2.2 硬件實(shí)現(xiàn)結(jié)構(gòu)
傳統(tǒng)的DES算法主要有2組輸入信號(hào):明文datain[63:0]、密鑰keyin[63:0];2組輸出信號(hào):密文dataout[63:0]以及有效信號(hào)dataout_en。為了實(shí)現(xiàn)對(duì)密鑰的配置,增加了密鑰選擇輸入信號(hào)key_sel[1:0]:當(dāng)取00或者11時(shí),直接將密鑰keyin送至DES模塊中的密鑰產(chǎn)生模塊;當(dāng)取01時(shí),將密鑰keyin先送至線形反饋移位寄存器中生成新的序列密碼作為新的密鑰送至密鑰產(chǎn)生模塊中;當(dāng)keyin取10時(shí),將密鑰keyin先送至混沌加密模塊中生成新的混沌序列作為新的密鑰參與后續(xù)的加密運(yùn)算。這2個(gè)模塊不可能同時(shí)工作,當(dāng)其中1個(gè)工作時(shí),另1個(gè)關(guān)閉時(shí)鐘。采取關(guān)閉時(shí)鐘法選擇對(duì)應(yīng)的加密算法,既能簡(jiǎn)化電路,減少控制信號(hào),減少門的翻轉(zhuǎn)次數(shù),又能降低芯片集成度,進(jìn)而達(dá)到降低功耗的目的。其邏輯結(jié)構(gòu)如圖3所示。
為了有效地控制密鑰生成模塊的工作,同時(shí)降低系統(tǒng)功耗,本設(shè)計(jì)采用了FPGA設(shè)計(jì)中的乒乓操作技巧[4],具體操作為:對(duì)線性反饋移位寄存器(LFSR)和混沌加密模塊(logistic)分別使用獨(dú)立的時(shí)鐘信號(hào)clk_lf、clk_lo,而不使用系統(tǒng)時(shí)鐘clk。通過(guò)密鑰選擇輸入信號(hào)key_sel的取值不同,使clk_lf和clk_lo的值分別等于0或是系統(tǒng)時(shí)鐘clk。
DES加密算法作為本設(shè)計(jì)中的核心算法,以多輪的密鑰變換輪函數(shù)、密鑰和數(shù)據(jù)運(yùn)算輪函數(shù)為特征,相應(yīng)的硬件實(shí)現(xiàn)方法有2種:一種是通過(guò)輪函數(shù)的16份硬件拷貝,達(dá)到深度細(xì)化的流水線處理,實(shí)現(xiàn)性能最優(yōu);另一種是通過(guò)分時(shí)復(fù)用,重復(fù)調(diào)用1份輪函數(shù)的硬件拷貝,以時(shí)間換空間,從而得到硬件資源占用的最小化。
本設(shè)計(jì)采取的是資源優(yōu)先方案:即僅用硬件實(shí)現(xiàn)一套密鑰變換和密鑰加數(shù)據(jù)運(yùn)算輪函數(shù),通過(guò)反復(fù)16次調(diào)用這一硬件結(jié)構(gòu)來(lái)實(shí)現(xiàn)1次DES加密運(yùn)算。這樣可以大大減少了硬件開銷,但芯片的性能有所降低。因此,又采取在輪函數(shù)內(nèi)部設(shè)置一級(jí)流水線來(lái)提高整體處理的速度。在硬件上實(shí)現(xiàn)數(shù)據(jù)加密鑰輪函數(shù)和密鑰變換函數(shù)的同步流水線架構(gòu),減少了相鄰流水線級(jí)間的邏輯復(fù)雜度,通過(guò)設(shè)置輪計(jì)數(shù)器對(duì)所進(jìn)行的輪運(yùn)算計(jì)數(shù),控制數(shù)據(jù)選擇器,從而實(shí)現(xiàn)輪函數(shù)復(fù)用。其硬件結(jié)構(gòu)如圖4所示。
3 仿真及驗(yàn)證
本文所有算法均采用Verilog HDL實(shí)現(xiàn),并在Modelsim仿真環(huán)境下,編寫了測(cè)試激勵(lì),進(jìn)行RTL級(jí)功能仿真,如圖5所示。由圖可以看到,此時(shí)key_sel和arith_sel輸入為1時(shí),密鑰流采取了混沌加密,算法采用了DES算法,輸入明文為:636F6D7075746572,密鑰數(shù)據(jù)為7365637572697479,經(jīng)過(guò)組合加密后得到的密文為49D28E37281FFFB2。
行為級(jí)仿真通過(guò)后,又采用了FPGA專用綜合工具Synplify對(duì)算法進(jìn)行了綜合。結(jié)果表明:該組合加密模塊耗費(fèi)3 056 LE,該模塊下載到Virtex-II芯片中,最高工作頻率可達(dá)50 MHz。由于本設(shè)計(jì)采用16級(jí)流水總線設(shè)計(jì),所以最高數(shù)據(jù)編碼/解碼速率可達(dá)3 Gb/s。綜合完成后,又使用XILINX的ISE軟件進(jìn)行布局布線,并提取了網(wǎng)表和延時(shí)文件,在Modelsim后仿其環(huán)境中進(jìn)行了時(shí)序后仿真,結(jié)果完全符合時(shí)序要求,達(dá)到了設(shè)計(jì)目的。
加密數(shù)據(jù)的安全不僅依賴于加密算法的保密,更依賴于加密密鑰的安全。本文通過(guò)對(duì)整個(gè)加密算法的分析,提出了較為合理的密鑰動(dòng)態(tài)配置的DES加密算法的設(shè)計(jì)方法和實(shí)現(xiàn)途徑,并在FPGA平臺(tái)上進(jìn)行了測(cè)試和驗(yàn)證,數(shù)據(jù)的連續(xù)加/解密傳輸達(dá)到了預(yù)先的設(shè)計(jì)要求。這種實(shí)現(xiàn)方法整體處理速度高,相鄰流水線級(jí)間的邏輯復(fù)雜程度低,程序?qū)幾g器的依賴性少,提高了算法的整體性能。通過(guò)適當(dāng)改進(jìn),可以設(shè)計(jì)出通用型芯片,實(shí)現(xiàn)對(duì)通信數(shù)據(jù)的實(shí)時(shí)、可靠加密傳輸,在通信、軍事、加密等領(lǐng)域有著廣泛的應(yīng)用前景。