低功耗AVR微處理器上Quark 哈希算法優(yōu)化實(shí)現

　　1 引言物聯(lián)網(wǎng)是繼 Internet 出現之后信息技術(shù)領(lǐng)域的一次革命，它能幫助我們將信息轉變?yōu)槎床炝?，提高決策的質(zhì)量，優(yōu)化工業(yè)控制過(guò)程和生產(chǎn)管理，提高生產(chǎn)力，增強綜合國力和國際競爭力.無(wú)線(xiàn)傳感器網(wǎng)絡(luò )（WSN）和射頻標簽技術(shù)（RFID）具有硬件成本低.網(wǎng)絡(luò )健壯性.自組織性強.適用性廣泛的特點(diǎn)，已經(jīng)成為未來(lái)信息技術(shù)重點(diǎn)應用“物聯(lián)網(wǎng)”的關(guān)鍵組成部分.由于WSN 和RFID 基于無(wú)線(xiàn)網(wǎng)絡(luò )傳輸信息，攻擊者更加容易獲得.干擾甚至破壞信息傳輸，信息安全的重要性不言而喻.在國際上，目前已提出不少面向受限環(huán)境的輕量級分組密碼算法.如PRESENT.DESXL.LBlock和LED 算法.但在具體應用中，除了數據保密性之外，完整性檢測也是保障信息安全所需的基本密碼學(xué)構件.通常情況下，密碼學(xué)哈希函數（如SHA-1,SHA-2 等）被用來(lái)檢測消息完整性.在受限環(huán)境下，已有實(shí)驗結果表明SHA-1 等常用哈希函數需要6000-8000 個(gè)門(mén)電路才能在硬件上實(shí)現，但現有數據表明一個(gè)典型RFID 標簽只具有1000 到10000 個(gè)標準門(mén)電路，其中僅有200 到2000 個(gè)門(mén)電路可用于信息安全.如果采用軟件方式實(shí)現，由于WSN與RFID 往往只具有8 比特CPU 和KB 級別的存儲能力，安全算法同樣面對ROM.RAM 和處理器性能上的嚴格限制.過(guò)多的存儲和計算開(kāi)銷(xiāo)也會(huì )增大對能量的消耗，降低算法的實(shí)用性，這在WSN 和RFID 環(huán)境下同樣是不可接受的.

　　SHA-3 競賽雖然將會(huì )選出新的哈希算法作為國際標準，但選擇依據并沒(méi)有將傳感器和RFID 等資源受限環(huán)境下的實(shí)現開(kāi)銷(xiāo)和性能作為評選準則，從進(jìn)入最后一輪的5 個(gè)候選算法來(lái)看，除了Keccak可以通過(guò)參數設置來(lái)降低開(kāi)銷(xiāo)以適應低功耗環(huán)境之外，其他4 種算法均不具備受限環(huán)境下輕量級性質(zhì).在文獻中，Bogdanov 等人采用基于分組密碼的構造方式，基于PRESENT 給出了滿(mǎn)足RFID 資源限制的輕量級哈希算法.在已公開(kāi)文獻中，也有若干哈希算法在設計當中直接考慮了受限環(huán)境下的實(shí)用性，如MAME.Photon和Quark等.但從實(shí)驗結果來(lái)看， 上述算法的實(shí)現仍然需要4000-6000 個(gè)門(mén)電路，雖然上述哈希算法與標準環(huán)境下廣泛應用的算法（如SHA-1,SHA-2 等）相比有比較大的軟硬件開(kāi)銷(xiāo)優(yōu)勢，但在受限環(huán)境下，其軟硬件開(kāi)銷(xiāo)仍需進(jìn)一步降低才能具有比較好的實(shí)用價(jià)值.此外，國內雖然已有若干針對輕量級分組密碼算法的安全性與優(yōu)化實(shí)現分析，但針對輕量級哈希算法的比較少，需要進(jìn)一步研究.

　　2 Quark 哈希算法簡(jiǎn)介在 CHES 2010 會(huì )議上，Aumasson 等人提出了一種名為Quark 的新型輕量級哈希算法.算法基于壓縮函數和迭代運算兩部分組成.壓縮函數基于不同的輸出長(cháng)度，Quark 分為U-Quark,D-Quark和S-Quark 三種子算法，相關(guān)參數如下表1 所示.

　　出于低功耗的考慮，Quark 的壓縮函數大量借鑒了輕量級流密碼Grain和分組密碼Katan的構造方法.如下圖1 所示，Quark 的壓縮函數基于兩個(gè)非線(xiàn)性反饋移位寄存器（NFSR）X 和Y 用以增加輸出的非線(xiàn)性度，另外再采用一個(gè)線(xiàn)性反饋移位寄存器（LFSR）L 為每一輪壓縮函數的執行提供輪常量，使得滑動(dòng)攻擊等基于迭代構造的攻擊不再有效.布爾函數f , g , h 將輸入值按照固定的非線(xiàn)性方程的方式輸出一個(gè)比特.函數p 僅僅只對L的輸出進(jìn)行一個(gè)線(xiàn)性變換.對于不同參數的Quark 子函數而言，壓縮函數結構上是完全一致的，僅在f ,g ,h 函數.輸入輸出長(cháng)度和迭代次數上有所不同.

　　在迭代結構上，Quark 采用了在新型哈希算法設計中廣泛被采用的Sponge 構造.與傳統的Merkle-Damgard 構造相比，Sponge 構造對于長(cháng)消息攻擊和隨機預言機區分攻擊有著(zhù)非常好的可證明安全性.同時(shí)在低功耗設備的實(shí)現上，實(shí)驗結果表明基于Sponge 結構的哈希算法能節約大量的內存開(kāi)銷(xiāo).下圖2 中描述了基于Sponge 構造的Quark迭代方式，其中r 和c 是Sponge 構造當中所定義的rate 值和 capacity 值，P是上述 Quark 壓縮函數.mi為輸入消息值，在迭代輪數后， zi 為哈希輸出值.

　　3 面向低功耗AVR 微處理器的Quark 哈希算法實(shí)現3.1 基于字節的壓縮函數變換操作Quark 的壓縮函數輪數與內部數據寬度有關(guān).