對一種神經(jīng)網(wǎng)絡(luò)加密方案的安全性分析*

葉小艷劉政連

（1.廣州大學(xué)華軟軟件學(xué)院網(wǎng)絡(luò)技術(shù)系 廣州 510990）（2.廣東東軟學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系 佛山 528225）

1 引言

混沌理論對計(jì)算機(jī)科學(xué)來說并不新鮮，在密碼學(xué)中已有多年的應(yīng)用。如在加密方法上，利用其具有“擴(kuò)散”和“混亂”的原則，在密鑰加密或?qū)ΨQ加密時進(jìn)行建模，生成混沌的密鑰協(xié)商協(xié)議［1］。早在2006年，曹進(jìn)德和虞文武教授提出了基于時滯的混沌神經(jīng)網(wǎng)絡(luò)加密方法（下文稱為YU-CAO方案），該方法具有時變時滯特點(diǎn)，在這種密碼系統(tǒng)中，混沌神經(jīng)網(wǎng)絡(luò)用于生成二進(jìn)制序列，然后根據(jù)規(guī)則對明文進(jìn)行加密［2］。2009年，楊吉云等對YU-CAO方案進(jìn)行安全性分析，針對該方案的根本性缺陷，提出了在選擇明文攻擊下獲得密鑰流的方法［3］（下文稱為YANG方法）。2012年，劉政連等運(yùn)用布爾代數(shù)中的異或算法（XOR）描述了相互認(rèn)證和密鑰交換協(xié)議（Mutual Authentication and Key Exchange Protocol，MAKEP），實(shí)現(xiàn)客戶認(rèn)證有效的會話密鑰，增強(qiáng)數(shù)據(jù)加密隱藏算法安全性，避免數(shù)據(jù)中途傳輸被截獲或發(fā)現(xiàn)。該研究列舉了異或算法的特性，并指出了MAKEP協(xié)議的不足，按位異或運(yùn)算符，按的是計(jì)算機(jī)二進(jìn)制位，具有相應(yīng)的攻擊弱點(diǎn)，即不能抵御偽造攻擊，攻擊者可以構(gòu)造一個有效的MAKEP協(xié)議來應(yīng)對客戶認(rèn)證階段運(yùn)行的MAKEP協(xié)議［4～5］。本文在回顧YU-CAO方案、YANG方法基礎(chǔ)上，運(yùn)用XOR運(yùn)算進(jìn)行驗(yàn)證，指出了YU-CAO方案存在的漏洞，并能提高驗(yàn)證效率，最后得出本文結(jié)論并證明。

2 YU-CAO方案

曹進(jìn)德教授等在YU-CAO方案中設(shè)計(jì)了以下Hopfield神經(jīng)網(wǎng)絡(luò)加密模型［2］：

要使得τ(t)=1+0.1 sin(t)成立，式（1）的初始條件必須是xi(t)=φi(t)。

當(dāng)-r≤t≤0時，

那么r=maxt∈R{τ(t)}，φ(t)=(0.4，0.6)T。

該加密模型來自文獻(xiàn)［6］提出的一種方法，從一組遍歷混沌映射中生成一個獨(dú)立的、完全相同的二元隨機(jī)變量序列。這個映射具有產(chǎn)生獨(dú)立同分布的二進(jìn)制序列。對于任何x在不同的定義I=[d，e]，可以表達(dá)為(x-d)/(e-d)∈[0，1]。下面用二進(jìn)制表示：

第i位bi(x)表示為

當(dāng)Θt(x)作為函數(shù)變量進(jìn)行定義時：

式（1）～（4），可以根據(jù)以下步驟進(jìn)行加密：

步驟1，從x0開始到N0結(jié)束進(jìn)行迭代循環(huán)，x0=x1(N0h)。在這個方案中，N0記為1000。

步驟2，將消息P作為子序列，Pj長度為L字節(jié)。在這個方案中L記作4。同時Pj=Plj+Plj+1+Plj+2+Plj+3，||表示連接。

步驟3，式（1）經(jīng)過38次迭代操作可以生成兩個數(shù)據(jù)序列：x1=x10x11…x137和x2=x20x21…x237。選擇其中一個數(shù)據(jù)序列生成二進(jìn)制序列：

步驟4，Pj向左循環(huán)移位得到Dj，Aj向右循環(huán)移位得到Dj，分別生成P′j和A′j。

步驟5，P′j和 A′j根據(jù)下面的等式生成Cj：

⊕是XOR運(yùn)算符。

步驟6，如果所有明文都已加密，那么加密的過程表示完成。否則，由x0=xsj+1((38+Dj)h)返回到步驟2。

解密過程與加密過程相同，只是移位的消息序列是通過以下方式獲得的：

3 YU-CAO方案的安全性分析

3.1 YANG的方法

楊吉云等發(fā)現(xiàn)了YU-CAO方案的一個根本性缺陷：當(dāng)秘鑰固定時，秘鑰流A′j用于式（5）是獨(dú)立于明文。但每一次新的加密過程都是相同的密鑰流序列。當(dāng)該算法在同一位置上用于加密明文，就會產(chǎn)生相同的密文，如果獲得密鑰流等同于獲得了密鑰，就無法抵御選擇明文攻擊［10～11］。這種情況會經(jīng)常發(fā)生，尤其是在加密同一類型的文件，因?yàn)檫@些文件通常具有相同的頭文件［12］。

在步驟3中，YU-CAO方案的加密算法將i通常設(shè)置為相對較小的值。也就說，相對權(quán)重Aj、Dj和Sj在加密過程中變化不大。

為了說明這一缺陷，我們根據(jù)YU-CAO方案中的算法列出部分密鑰的，按文獻(xiàn)［2］已經(jīng)給出的式（1）模型的參數(shù)，例如：

在時間間隔［-1.1，0］之間，h=0.01，φ(t)=(0.4，0.6)T。

在文獻(xiàn)［2］中，提出了四種不同級別的攻擊，以測試各種加密算法的安全性。按難易度排序，分別是密文攻擊、已知明文攻擊、選擇明文攻擊和選擇密文攻擊。假設(shè)密碼分析者已經(jīng)知道詳細(xì)的加密算法情況下，就可以抵御所有已知的攻擊，它被證明是安全的。

方案提出的密碼體制選擇明文進(jìn)行攻擊，文獻(xiàn)［2］已經(jīng)描述的很清楚：假設(shè)兩對明文和對應(yīng)的密文具有相同的加密位置和期望長度，分別由Pj1和Cj1表示第一對的明文和密文，Pj2和Cj2表示另一雙。Pj1和Pj2在加密過程中位于同一位置j，接著循環(huán)左移到Dj位，并使用相同的密鑰流A′j進(jìn)行處理。

從加密算法的步驟4可知：

“＜＜”表示向左循環(huán)移位操作。

從步驟5可知：

根據(jù)式（7）、式（8），可以得到：

由Xj=Cj1⊕Cj2同理可得Zj=Pj1⊕Pj2。

由于Xj和Yj為已知，為得到Dj，只需向左循環(huán)移位Zj，直到Xj=Zj，最終實(shí)現(xiàn)Dj。當(dāng)然，當(dāng)式（10）存在唯一的解是最合適的。但如果Zj獲得“aaa…a”類型，式（10）存在一個以上的解。因?yàn)閆j＜＜n=Zj＜＜n+k*L由于‘a(chǎn)’有L位，所以不能選擇明文對Zj成為“aaa…a”類型。

當(dāng)Dj已經(jīng)獲知，可以從式（7）得到P′j1，從式（9）得到：

通過這種簡便的計(jì)算方法，可以得到理想的密鑰流A′j。A′j的信息很重要，可以由某個未知密鑰變成明確的密鑰。

為了證明這個缺陷造成的安全漏洞，我們選擇在第四塊從表格2和表格3兩個明文，分別用P41、P42表示，密碼模型選擇明文攻擊的過程分為以下幾步：

步驟1，有表格2和表格3，獲得：

步驟2，假設(shè)只知道P41，P42，C41和C42，根據(jù)式（7）、式（8）和式（10），可以計(jì)算出Dj，A′j和Aj來驗(yàn)證結(jié)果。

1）C41⊕C42=D0C8DFEEH，將其表示為X4；

2）P41⊕P42=BFDDA191H，將其表示為Z4；

3）向左循環(huán)移位Z4直到X4=Z4，可以得到轉(zhuǎn)換的次數(shù)D4=FH。這與表格2和表格3中列出的值相同。

4）根據(jù)YU-CAO方案的算法步驟4，可以獲得P′41=D011C480H和P′42=00D91B6EH。

5）根據(jù)式（11），可獲得A′4=FFFE1FFFH。這與表格2和表格3中列出的值相同。

6）根據(jù)YU-CAO方案的算法步驟4，可以得到A4=0FFFFFFFH。這也與原始文章中列出的值相同。

從上面的論證發(fā)現(xiàn)，可以很容易地在兩對明文和密文中獲得密鑰。

3.2 本文的方法

以上，我們指出了Yang方法的漏洞，雖然Yang的方法采用兩對明文和密文，通過明文攻擊模式，獲取Yu-Cao方案的密鑰流并對其進(jìn)行攻擊。使用按位異或運(yùn)算（XOR）計(jì)算出X4，Z4。我們可以表示為X4=C41⊕C42，Z4=P41⊕P42。

事實(shí)上，異或運(yùn)算是數(shù)字邏輯設(shè)計(jì)中常見的一個組成部分［13～14］，它適用于加法器、密碼認(rèn)證系統(tǒng)或其他應(yīng)用程序［15］。我們可以推導(dǎo)出定理4和定理5［4～5］：

定理1由⊕計(jì)算出結(jié)果X，由加法交換律可推算，如果A⊕B=B⊕A，所有A，B∈X。

定理2由⊕計(jì)算出結(jié)果X，由加法結(jié)合律可推算，如果(A⊕B)⊕C=A⊕(B⊕C)，所有A，B∈X。

定理4如果A，B是奇數(shù)，那么(A)⊕(-A)=

定理5如果A，B是偶數(shù)，那么4|A，B和8?A，B，求得(A⊕B)=(-A⊕-B)。

這樣，我們可以很快計(jì)算出-C41，-C42。如果C41，C42已知，從定理4可計(jì)算X4和-C41⊕-C42替代C41⊕C42。由于C41，C42在Yang的算法中是奇數(shù)。只需要使用兩對明文和密文，我們也可以很輕松地獲得密鑰［15］。下面的證明中可驗(yàn)證計(jì)算結(jié)果。

證明：

自

和

眾所周知：

和

因此

因此，C41⊕C42=-C41⊕-C42。

證明完畢。

4 結(jié)語

Yang方法分析了Yu-Cao方案的基本缺陷，并提出了一種僅使用兩對純文本和密文的算法來獲取密鑰流的方法。盡管Yang方法的計(jì)算是成功的，但它的效率不高。本文從以上的分析中，可以了解Yu-Cao方案和Yang方法的不安全。因此，通過對XOR運(yùn)算的分析，我們提出了一種更直觀、更有效的方法。