一种应用于周期性数据的端到端轻量级混合密码机制

蒋 宁，林 浒，尹震宇，郑飂默

1(沈阳航空航天大学工程训练中心，沈阳110136)

2(中国科学院沈阳计算技术研究所，沈阳110168)

3(沈阳高精数控智能技术股份有限公司，沈阳110168)

1 引 言

工业控制网络因逐步引入工业以太网而存在脆弱性［1］.工业控制网络中通信数据保密性是信息安全的一个方面.数据保密性的目标需要确保防止通信数据遭到被动攻击.

通信数据保密性需求的因素包括:

1)数据本身的安全性.防止通信数据遭到被动攻击，如信息泄露、流量分析等.

2)会话密钥的安全性.通信的双方传递会话密钥不被非授权的第三方获知.

通信数据的安全性可以采用密码技术实现，通信密钥的安全性采用可信通道的技术实现.

由于在工业控制网络中，设备的计算资源、存储资源和网络传输资源均有限，同时对处理数据的时限有要求，工业控制网络中通信数据保密性有其独特的需求:资源成本较低和时间成本较低.因此采用的技术应具有以下特征:保证运行速度，耗时较少;保证消耗较少的资源;能够安全分发会话密钥.

针对资源受限场景的轻量级密码机制研究，近年来学者们提出了一些解决方案.在国际上，Ramanjaneyulu 等人提出了用于即时通信系统的加密机制［2］，Muslum 研究了物联网中降低端到端加密时延的机制［3］，Habib 等人研究了物联网中提升轻量级密码速度的机制［4］.在国内，石伟提出了一种的移动支付加密方案［5］，周小艳实现了网络隐私保护的结合轻量级密码机制的协议设计［6］，刘亚丽实现了应用于移动P2P 通信系统的结合轻量级密码机制的协议设计［7］，代学俊研究了用于物联网的轻量级对称密码机制［8］.

从近年来国内外的研究来看，现有的针对资源受限场景的研究，大多集中在移动通信、移动支付、物联网等领域，实现的方法主要是直接应用轻量级密码机制或将其与原有协议进行结合.在工业控制网络领域，兼顾安全和效率的轻量级密码机制研究有待充实.

本研究在工业控制网络采用兼顾安全和效率的轻量级密码机制NTRU(Number Theory Research Unit)，NTRU 是标准IEEE1363 中推荐的非对称密码系统［9］.

为了更加进一步提高效率，本研究采用混合密码机制.该机制是将对称密码的高效率优势和非对称密码的高安全性优势相结合的机制.采用非对称密码系统安全地进行密钥的分发，安全风险较低，采用处理速度较快的对称密码系统对通信数据进行加密.以往针对资源受限的混合密码机制研究中，有研究采用通信数据使用会话密钥和AES(Advanced Encryption Standard)进行加密和解密，而会话密钥使用NTRU 进行加密和解密［10，11］.

为了满足工业控制网络中通信数据保密性需求，本文针对周期性数据进行研究，提出了一种基于NTRU 的端到端轻量级混合密码机制，NTRU-RC4 机制，该机制既能实现数据安全性又能实现会话密钥安全性，兼顾工业控制网络中通信数据保密性的安全和效率.

2 NTRU-RC4 机制

2.1 工业控制网络中的周期性数据

从时域的角度，数字化车间数控系统的通信数据包括两种:周期性数据和非周期性数据.周期性数据主要包括数控执行数据、调度数据，以及设备的测量和控制数据;非周期性数据主要包括数控程序的传输文件，技术人员的操作指令，数控设备报警等.

工业控制网络中的数据主要是周期性数据，数据量相对稳定，变化量较小，对时延要求严格.周期性数据是既定的时间驱动数据，间隔时间固定，数据长度固定且较短.而非周期性数据相对随机，变化量大，对时延要求不如周期性数据严格.因此工业控制网络中重点研究周期性数据的加密和解密效率.

2.2 基于端到端的密码方式

从加密解密位置的角度，密码方式分为有链路密码方式和端到端密码方式.不同密码方式的比较如表1 所示.

表1 密码方式的比较Table 1 Compare of cipher method

从不同密码方式的比较可以看出，采用端对端的密码方式主要的优势有三点:用户可以灵活控制;有更高安全性［12］;可以进行细粒度的安全控制［13］.本研究在工业控制网络中采用端到端的密码方式.

2.3 基于NTRU 的轻量级非对称密码系统

从时间消耗和资源消耗的角度，有传统密码系统和轻量级密码(Lightweight Cryptography)系统之分.轻量级密码系统是一类低功耗、低计算成本的密码系统［14］.轻量级密码系统的目的是在资源受限环境中提供有效的安全性.轻量级密码系统可为设备定制［15］.轻量级密码系统在设计实施过程中考虑算法安全、算法性能和算法执行成本之间的权衡关系［16］.算法执行成本是算法轻量级的关键所在［17］.

轻量级密码系统，包括轻量级对称密码系统和轻量级非对称密码系统.NTRU 是 1996 年由 J.Hoffstein、J.Pipher 等提出的一种轻量级非对称密码系统，其加解密过程是基于环上多项式代数运算［18］.NTRU 算法包括密钥产生算法、加密算法(E 运算)、解密算法(D 运算)［19］.NTRU 优越的特性，具体表现在两个方面:速度方面和安全方面.

在速度方面，NTRU 加密算法和解密算法的时间复杂度均为O(N2)［20］，而其他的非对称密码系统的时间复杂度与NTRU 相比较高，如RSA(Rivest-Shamir-Adleman)，其时间复杂度为O(N3).

在安全方面，NTRU 是基于寻求一个最短矢量的困难问题(Shortest Vector Problem，SVP)，SVP 问题是个 NP-难问题［21］，它比RSA 等其他非对称密码系统基于数学问题相比较复杂性更高.

表2 NTRU 参数集Table 2 NTRU parameter sets

NTRU 根据不同的安全级别可以进行不同的参数集选择［22］.NTRU 参数集如表2 所示［23］.

2.4 基于RC4 流密码的对称密码系统

对称密码系统从加密模式上进行分类，可以分为分组密码(Block Cipher)和流密码(Stream Cipher).分组密码每次处理特定长度的一块数据的算法，这块数据即为分组，一个分组的比特数目为分组长度.以往研究使用的AES 密码系统是分组密码，如果明文长度超过分组长度，需要对算法进行迭代，以便对整个明文全部进行加密.对于成块的非周期性数据，如文件传输等，使用分组密码比较适用.而对于长度较短的周期性数据进行加密时，流密码更加适用.

流密码结构中，密钥输入到一个伪随机字节发生器，输出随机的密钥流.密钥流和明文流的每一个字节进行对位异或运算，得到一个字节密文.通过设计伪随机字节发生器，流密码可以提供与分组密码一样的安全性.

为了能够满足工业控制网络通信数据安全性需求，并且达到时间限制和资源限制的要求，节省网络带宽，针对工业控制网络中的周期性数据，本研究将已有研究的混合密码机制进行改进，提出NTRU-RC4 机制，其中，非对称密码系统采用NTRU，对称密码系统采用流密码RC4.RC4 在实际中大量应用，是流密码的核心算法之一［24］.RC4 密钥长度可变，面向字节操作［25］.

2.5 混合密码机制中的密钥长度平衡

混合密码系统中运用了对称密码系统和非对称密码系统，将非对称密码的高安全性优势和对称密码的高效率优势相结合，其中存在密钥长度平衡的问题.无论其中任何一方的密钥强度较低，都可能遭到集中攻击，因此对称密码系统和非对称密码系统的密钥应具备相等的强度［26］.从长期通信的角度考虑，非对称密码系统的密钥强度应不低于对称密码系统.因为会话密钥只影响本次通信的数据，而非对称密码系统的密钥影响所有通信的数据［27］.

本研究改进的端到端轻量级混合密码机制中，综合考虑工业上的安全需求和性能需求，首要确定NTRU 安全级别采用工业强度，相当于128bits 对称密码系统，其参数集为NTRU_EES439EP1.由于RC4 密钥长度可变，从密钥长度平衡的角度，本研究采用RC4 的密钥长度为128bits.

2.6 NTRU-RC4 机制流程

本研究提出的基于NTRU 的端到端轻量级混合密码机制，称为NTRU-RC4 机制，其处理过程如图1 所示.

图1 NTRU-RC4 机制Fig.1 NTRU-RC4 mechanism

NTRU-RC4 机制中，非对称密码系统采用NTRU，用于加密解密会话密钥，对称密码系统采用流密码RC4，用于加密解密周期性数据.

图2 NTRU-RC4机制发方流程Fig.2 Sender flowchart of NTRU-RC4 mechanism

图3 NTRU-RC4机制收方流程Fig.3 Receiver flowchart of NTRU-RC4 mechanism

NTRU-RC4 机制发方流程如图2 所示.

NTRU-RC4 机制收方流程如图3 所示.

3 测试验证

3.1 原型系统

应用于周期性数据的端到端轻量级混合密码机制的测试验证使用中科院沈阳计算技术研究所的蓝天GJ301 系列数控系统.在测试原型系统中，GJ301 数控系统和工作站笔记本通过工业交换机进行通信.GJ301 的 CPU 型号为 Intel AtomTMN450 @1.66GHZ.运行的操作系统为 Linux，内核版本为2.4.29.工作站笔记本的CPU 型号为Intel CoreTM2 Duo P8400 @2.26GHZ.运行的操作系统为Windows 7.

原型系统中，GJ301 数控系统运行客户端程序，工作站笔记本运行服务器端程序，两个程序在传输层进行通信.客户端程序对周期性数据采用NTRU-RC4 机制进行加密并发送，服务器端程序进行解密获得明文，之后服务器端再把明文数据采用NTRU-RC4 机制进行加密并发送，客户端程序进行解密获得明文.对于客户端程序来说，分别加密和解密了周期性数据，测试验证中的时间数据均在客户端程序上测试获得.

图4 原型系统Fig.4 Prototype system

原型系统如图4 所示.

3.2 NTRU 处理会话密钥时间

在混合密码机制中，NTRU 算法并不是直接加密通信数据，而是加密会话密钥，即128bits 会话密钥.测试验证中采用参数集NTRU_EES401EP2 的测试验证结果作为基准，将参数集NTRU_EES439EP1 的测试验证结果与之比较，以验证NTRU-RC4 机制中NTRU 密钥长度选择的安全与效率.原型系统NTRU 处理会话密钥的平均时间如表3 所示.

表3 NTRU 处理会话密钥的平均时间Table 3 Average time of processing session key with NTRU

上述测试验证结果使用图示描述，如图5 所示.

图5 NTRU 处理会话密钥的比较Fig.5 Compare of processing session key with NTRU

从处理会话密钥的测试验证结果可知，对于不同的参数集，由于会话密钥长度相对于通信数据而言较短，处理会话密钥的平均时间均不超过1ms.参数集NTRU_EES439EP1 处理会话密钥的时间比NTRU_EES401EP2 有所增加，加密会话密钥时间增加0.05ms，解密会话密钥时间增加0.12ms.但从总体的角度，NTRU 处理会话密钥的时间较短.因此本研究提出的NTRU-RC4 机制中，使用 NTRU 算法的参数集 NTRU_EES439EP1 处理会话密钥能够达到安全与效率的兼顾.

3.3 NTRU-RC4 机制处理周期性数据的时间

NTRU-RC4 机制的测试验证中设置周期性数据的长度为256 字节，NTRU 采用的参数集为NTRU_EES439EP1.为了与先前研究进行比较，测试验证进行了两次，在第二次测试验证时，周期性数据使用AES(采用密钥长度128bits)进行加密和解密，会话密钥使用NTRU 进行加密和解密，先前研究中的机制在本研究中称为NTRU-AES 机制.

表4 处理周期性数据的平均时间Table 4 Average time of processing periodic data

两种机制的测试结果如表4 所示.

上述测试验证结果使用图示描述，如图6 所示.

图6 处理周期性数据平均时间比较Fig.6 Compare of average time of processing periodic data

从处理周期性数据的测试验证结果可知，对于周期性数据的加密操作和解密操作，本研究提出的NTRU-RC4 机制比NTRU-AES 机制的效率都有所提升.对于加密操作，NTRURC4 机制的时间降低了0.03ms，效率提升2.00%;对于解密操作，NTRU-RC4 机制的时间降低了 0.37ms，效率提升8.83%.两种机制在处理周期性数据时，解密的平均时间均高于加密的平均时间，因此解密操作的效率提升更具实际意义.测试验证结果表明，NTRU-RC4 机制的解密效率提升幅度比加密效率提升幅度更大.如前所述，在工业控制网络中，很多交互控制类的数据都是较短的数据流，对实时性能有所要求，采用本研究提出的NTRU-RC4 混合密码机制进行加密和解密能够提升实时性能.

综上，本研究提出的NTRU-RC4 机制能够有效实现工业控制网络中通信数据的保密性，既实现了数据保护，又实现了会话密钥保护.对于周期性数据，通信数据采用流密码RC4进行加密解密，会话密钥采用非对称密码系统NTRU 的NTRU_EES439EP1 参数集进行加密解密，与以往研究的机制相比具有较少的时间消耗.

4 结束语

针对工业控制网络中周期性数据保密性问题，提出了基于NTRU 的端到端轻量级混合密码机制，NTRU-RC4 机制.在NTRU-RC4 机制中，流密码RC4 用于加密和解密数据，非对称密码系统NTRU 用于加密和解密会话密钥，这种混合密码机制适合工业控制网络的计算资源受限、时限要求的情况.本研究对NTRU-RC4 机制进行测试验证，同时与其他研究采用的NTRU-AES 机制进行比较.测试验证结果表明，对于周期性数据，NTRU-RC4 机制有效且高效，可以满足工业控制网络中周期性数据的保密性的独特需求.