摘  要：傳統(tǒng)密碼算法難以適用于物聯(lián)網(wǎng)等資源受限環(huán)境，為了滿足此類場景的安全防護(hù)需求，輕量級密碼算法應(yīng)運而生且不斷發(fā)展。近些年，世界各國學(xué)者、機(jī)構(gòu)推出了大量的輕量級密碼算法，本文對選取的 6 個典型輕量級密碼算法進(jìn)行對比分析，結(jié)合算法結(jié)構(gòu)和軟硬件上的性能表現(xiàn)，給予相應(yīng)的評價以及應(yīng)用場景推薦。最后從算法應(yīng)用的角度對輕量級密碼算法在物聯(lián)網(wǎng)端邊云協(xié)同、自動駕駛和衛(wèi)星安全通信三個場景下的應(yīng)用進(jìn)行探討。

內(nèi)容目錄：

1 輕量級密碼發(fā)展現(xiàn)狀
2 輕量級密碼算法簡介
2.1 算法分類
2.2 分組密碼
2.3 認(rèn)證加密算法
3 輕量級密碼算法對比研究
3.1 算法設(shè)計理論對比分析
3.2 算法硬件性能對比分析
3.3 軟件性能測試對比分析
3.4 算法總體分析及應(yīng)用評估
4 輕量級密碼算法應(yīng)用研究
4.1 物聯(lián)網(wǎng)端邊云協(xié)同
4.2 自動駕駛
4.3 衛(wèi)星安全通信
5 問題與展望
6 結(jié)  語

1999年，麻省理工學(xué)院在研究無線射頻技術(shù)（Radio Frequency Identification，RFID） 時首次提出“物聯(lián)網(wǎng)”的概念；2005 年，國際電信聯(lián)盟（International Telecommunication Union，ITU）發(fā)布的年度報告指出，物聯(lián)網(wǎng)時代即將來臨；2009 年，各國紛紛提出物聯(lián)網(wǎng)發(fā)展戰(zhàn)略和規(guī)劃，如美國的“智慧地球”計劃、歐盟的“物聯(lián)網(wǎng)行動計劃”等。物聯(lián)網(wǎng)發(fā)展至今已經(jīng)在電力、安防、交通、物流、智能家居、智慧城市等領(lǐng)域得到了廣泛應(yīng)用，但也面臨著嚴(yán)峻的安全風(fēng)險和挑戰(zhàn)。物聯(lián)網(wǎng)傳感器常應(yīng)用于電卡、汽車 ETC 等場景，數(shù)量巨大，同時存在內(nèi)存資源較少、處理能力有限、功耗要求嚴(yán)格等限制。密碼技術(shù)是保障信息通信系統(tǒng)安全的核心和基礎(chǔ)，而傳統(tǒng)的密碼算法通常需要大量的計算和存儲資源，不適合以上場景。為此，研究人員開始探索開發(fā)輕量級密碼，以滿足這些設(shè)備的加密認(rèn)證需求 。

傳統(tǒng)密碼算法如 AES 和 RSA，雖然在安全性方面表現(xiàn)出色，但在資源受限的環(huán)境下使用時，會面臨計算復(fù)雜性、存儲需求、能耗和操作時延等多方面的問題。以 RFID 為例，這項技術(shù)需要在應(yīng)用中確保數(shù)據(jù)的安全性，但由于設(shè)備可用的計算資源少，要求所采用的密碼算法的邏輯門數(shù)量不能超過 2 000 個 。為了滿足資源受限環(huán)境下的密碼需求，輕量級密碼算法應(yīng)運而生，并持續(xù)發(fā)展。這些算法基于特定的設(shè)計原則，在硬件實現(xiàn)、加密速度和運行功耗等方面相對于強(qiáng)密碼算法具有顯著的優(yōu)勢，更適合在物聯(lián)網(wǎng)微型計算設(shè)備上使用。隨著對輕量級密碼算法的需求不斷增加，國際標(biāo)準(zhǔn)化組織（International Organization for Standardization，ISO）和其他標(biāo)準(zhǔn)機(jī)構(gòu)開始考慮制定適用于這些環(huán)境的密碼標(biāo)準(zhǔn) 。我國科學(xué)家也在積極推動輕量級密碼算法的發(fā)展，在近些年推出了多個優(yōu)秀算法 。

本文關(guān)注輕量級密碼算法的設(shè)計特點，并從應(yīng)用的角度探討輕量級算法在特定場景下的靈活應(yīng)用。本文結(jié)構(gòu)安排如下：第 1 節(jié)介紹輕量級密碼的發(fā)展現(xiàn)狀，回顧了世界各國開展輕量級密碼算法研究的時間節(jié)點和推進(jìn)的工作，以及目前輕量級密碼最新的發(fā)展動向；第 2 節(jié)從輕量級密碼算法的分類出發(fā)，闡述輕量級密碼的總體概況，并通過算法結(jié)構(gòu)介紹目前典型的幾種輕量級分組密碼和可認(rèn)證加密算法；第 3 節(jié)從算法設(shè)計理論、硬件性能、軟件性能 3 個方面做對比分析，并給出對輕量級密碼算法表現(xiàn)的總體評價；第 4 節(jié)從算法應(yīng)用的角度提出物聯(lián)網(wǎng)端邊云協(xié)議、自動駕駛、衛(wèi)星安全通信 3 種特定場景下的應(yīng)用方案，探討輕量級密碼算法的靈活應(yīng)用；第 5 節(jié)提出輕量級密碼算法的發(fā)展難點及未來方向。

1 輕量級密碼發(fā)展現(xiàn)狀

輕量級密碼算法的起源可以追溯到 20 世紀(jì) 80年代，旨在保護(hù)工業(yè)領(lǐng)域的安全性，但那時設(shè)計的輕量級密碼無法抵抗不斷發(fā)展的攻擊，安全性存在一定的缺陷。隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展和相關(guān)應(yīng)用的推廣，大量的輕量化物聯(lián)網(wǎng)設(shè)備催生了對輕量級密碼算法的需求。2007 年，輕量級密碼算法PRESENT[6] 發(fā)布，其超輕量的設(shè)計產(chǎn)生了巨大影響。

2013 年， 美 國 國 家 安 全 局（National Security Agency，NSA）發(fā)布了兩個輕量級分組密碼算法，分別是 SIMON 和 SPECK。同時，美國國家標(biāo)準(zhǔn)與 技 術(shù) 研 究 所（National Institute of Standards and Technology，NIST）啟動了一個輕量級密碼項目。為了推動這一項目，NIST 在 2015 年和 2016 年分別舉辦了兩次輕量級密碼研討會，以征求公眾的建議和觀點。隨后，NIST 于 2017 年 4 月發(fā)布了有關(guān)輕量級密碼標(biāo)準(zhǔn)化進(jìn)程的白皮書，并在 2018 年5 月發(fā)布了文件，以征求有關(guān)輕量級密碼算法標(biāo)準(zhǔn)化流程和評估策略的意見。最終，在 2018 年 8 月，NIST 正式啟動了輕量級密碼的征集、評估和標(biāo)準(zhǔn)化工作，旨在開發(fā)一系列適用于那些現(xiàn)有 NIST 密碼算法標(biāo)準(zhǔn)不適用的資源受限環(huán)境的輕量級密碼算法，其中，重點考慮認(rèn)證加密算法。這一工作的目標(biāo)是確保在嵌入式設(shè)備、物聯(lián)網(wǎng)和其他資源受限應(yīng)用中提供適當(dāng)?shù)臄?shù)據(jù)安全性。經(jīng)過 3 輪評選，2023年 2 月 7 日，NIST 宣布從最初的 56 個候選算法中選擇 Ascon 算法簇作為優(yōu)勝算法，并開展輕量級密碼學(xué)標(biāo)準(zhǔn)化工作。

歐洲、日本等國家或地區(qū)也較早開展了輕量級密碼的研究工作。歐洲早在 2004 年就開始將輕量級密碼算法作為歐盟委員會第 6 和第 7 框架計劃ECRYPT I 和 ECRYPT II 的研究主題。eSTREAM 計劃則最終選擇了一些適用于硬件實現(xiàn)的輕量級流密碼算法。2013 年，日本密碼學(xué)研究和評估委員會（Cryptography Research and Evaluation Committees，CRYPTREC）成立了輕量級密碼工作組，制定了輕量級密碼技術(shù)指南，為需要輕量級加密技術(shù)的產(chǎn)品和用戶推薦合適的算法。此外，2015 年，俄羅斯發(fā)布了密碼算法標(biāo)準(zhǔn) Gost R 34.12-2015，用分組密碼Kuznyechik 代替了之前的算法。這些舉措表明，全球范圍內(nèi)對輕量級密碼算法的研究和標(biāo)準(zhǔn)化工作正在積極推進(jìn)，以滿足不同國家和地區(qū)對于資源受限環(huán)境下的數(shù)據(jù)安全需求。

我國的第一個輕量級密碼算法是在 2011 年由吳文玲和張蕾等人在 ACNS 2011 上提出的 LBlock，它的出現(xiàn)推動了我國在輕量級分組密碼設(shè)計上的發(fā)展。隨后在 2015 年，我國學(xué)者張文濤等人提出Rectangle 算法 。近期，我國科學(xué)家在基于同態(tài)加密的輕量級密碼算法研究中取得了一些重要成果。由于我國目前還沒有啟動關(guān)于輕量級密碼算法的標(biāo)準(zhǔn)化進(jìn)程，對于輕量級密碼算法的研究更多地是對國內(nèi)外輕量級算法的優(yōu)化、安全性分析等。

2 輕量級密碼算法簡介

2.1　算法分類

區(qū)別于傳統(tǒng)密碼算法，輕量級密碼算法重點關(guān)注分組密碼、認(rèn)證加密算法、雜湊函數(shù)和流密碼等技術(shù)方向。NIST 提出，公鑰密碼現(xiàn)階段面臨的主要是后量子安全的問題，輕量級密碼項目暫不考慮公鑰密碼。在眾多技術(shù)路線中，輕量級分組密碼是研究與應(yīng)用的熱點，本文將重點探討這個領(lǐng)域。同時，認(rèn)證加密算法通過結(jié)合對稱密碼與消息認(rèn)證碼的方式，為數(shù)據(jù)提供機(jī)密性、完整性及數(shù)據(jù)源認(rèn)證等功能，因此在各個行業(yè)中越來越受青睞，本文也將對其進(jìn)行深入研究。

2.2　分組密碼

近年來發(fā)布的輕量級分組密碼大多采用傳統(tǒng)的分組密碼整體結(jié)構(gòu)，其主要特點體現(xiàn)在非線性部件、擴(kuò)散層和密鑰擴(kuò)展算法等方面。表 1 列出了國際上一些重要的期刊和會議上發(fā)表的 35 種輕量級分組密碼算法。

表 1　已發(fā)表的輕量級分組密碼

下面將從算法結(jié)構(gòu)的角度選取 5 個國內(nèi)外典型的輕量級密碼算法進(jìn)行介紹。

2.2.1 Feistel 結(jié)構(gòu)

Feistel 結(jié)構(gòu)是一種經(jīng)典的分組密碼結(jié)構(gòu)，被廣泛用于設(shè)計和構(gòu)建分組密碼算法，它以高度的安全性和可逆性在密碼學(xué)領(lǐng)域中備受贊譽。

如圖１所示，F(xiàn)eistel 結(jié)構(gòu)的核心思想是將明文數(shù)據(jù)分成兩個部分，并通過一系列輪函數(shù)的迭代處理逐步轉(zhuǎn)換這兩個部分，最終將它們合并生成密文。在每一輪中，右半部分的數(shù)據(jù)會被送入輪函數(shù)中與左半部分進(jìn)行某種運算，例如異或操作。這個過程會被反復(fù)執(zhí)行多輪，每輪中的密鑰都會發(fā)生變化，增加了密碼的復(fù)雜性。Feistel 結(jié)構(gòu)最著名的應(yīng)用是數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES），并且它的變體結(jié)構(gòu)在輕量級分組密碼算法中也得到了廣泛應(yīng)用。

圖 1 Feistel 結(jié)構(gòu)

（1）LBlock

LBlock 是 一 種 由 我 國 學(xué) 者 吳 文 玲 和 張 蕾 在ACNS 2011 上提出的輕量級分組密碼算法。它采用32 輪 Feistel 結(jié)構(gòu)，并擁有 80 bit 的密鑰和 64 bit 的分組長度。

該算法在設(shè)計上考慮了實現(xiàn)效率、代價及算法安全性等多個因素。密鑰擴(kuò)展算法借鑒了 PRESENT算法的設(shè)計理念，使用循環(huán)移位和 S 盒變換生成輪密鑰。這不僅提高了算法對相關(guān)密鑰攻擊的抵抗能力，而且使得算法具有良好的性能。

（2）SIMON

SIMON 算 法 是 由 美 國 國 家 安 全 局（National Security Agency，NSA）于 2013 年發(fā)布的一族輕量級分組密碼算法，旨在滿足不同應(yīng)用需求并強(qiáng)調(diào)靈活性。該算法支持多種分組長度和密鑰長度，以適應(yīng)不同安全性和資源限制的場景。SIMON 算法采用 Feistel 結(jié)構(gòu)，分組長度可以是 32 bit、48 bit、64 bit、96 bit 和128 bit，而密鑰長度根據(jù)分組長度的選擇而變化，范圍從 64 bit 到 256 bit 不等。這種設(shè)計使得 SIMON 算法在多樣化的應(yīng)用中具有廣泛的適用性。

2.2.2 SPN 結(jié)構(gòu)

如圖２所示，代換－置換網(wǎng)絡(luò)（Substitution -Permutation Network，SPN）結(jié)構(gòu)一般由可逆的線性函數(shù) S 和可逆的線性變換 P 組成，其中 S 通過替換操作實現(xiàn)數(shù)據(jù)的混合作用，而 P 則通過置換操作實現(xiàn)數(shù)據(jù)的擴(kuò)散作用。相比于 Feistel 結(jié)構(gòu)，SPN 結(jié)構(gòu)的數(shù)據(jù)擴(kuò)散速度更快。S 層和 P 層可以在實現(xiàn)中考慮并行操作，以取得更快的性能表現(xiàn)。

圖 2 SPN 結(jié)構(gòu)

SPN 結(jié)構(gòu)最具代表性的分組密碼算法是 AES，許多輕量級分組密碼算法在設(shè)計中也采用了 SPN 結(jié)構(gòu)。

（1）PRESENT

PRESENT 發(fā)布于 2007 年，2012 年被納入 ISO/IEC 輕量級分組密碼國際標(biāo)準(zhǔn)。PRESENT 在輕量級密碼算法中占據(jù)了重要的地位，在設(shè)計之初，它一度被認(rèn)為是最杰出的超輕量級密碼算法。PRESENT的 整 體 結(jié) 構(gòu) 將 簡 單 性 原 則 體 現(xiàn) 得 淋 漓 盡 致， 非線性層使用 4 bitS 盒，線性層的操作僅為比特置換。PRESENT 的 分 組 長 度 為 64 bit， 密 鑰 長 度 為80/128 bit，整體結(jié)構(gòu)為 SPN 結(jié)構(gòu)，迭代輪數(shù)為 31。

（2）GIFT

GIFT 是 Banik 等 人 [12] 為 慶 祝 PRESENT 算 法10 周年設(shè)計的，延續(xù)了后者的設(shè)計策略。GIFT 的主要設(shè)計目標(biāo)是彌補 PRESENT 在安全性上的弱點 ，同時在實現(xiàn)性能方面更有效，硬件實現(xiàn)面積更小、速度更快。為了盡可能達(dá)到輕量化設(shè)計極限，GIFT 選取了硬件實現(xiàn)面積更小的 S 盒，放寬了密碼特性的一些指標(biāo)限制。GIFT 有兩個版本，密鑰長度為 128 bit，分組長度分別為 64 bit 和 128 bit。

（3）Rectangle

Rectangle 發(fā)布于 2015 年，是我國學(xué)者張文濤等人發(fā)布的輕量級分組密碼算法，其主要設(shè)計思想是采用比特切片技術(shù)設(shè)計適合多個軟硬件平臺的輕量級分組密碼算法。Rectangle 的分組長度為64 bit，密鑰長度為 80 bit 和 128 bit。整體結(jié)構(gòu)為SP 結(jié)構(gòu)，迭代輪數(shù)為 25。由于采用比特切片設(shè)計的風(fēng)格，在現(xiàn)有的輕量級分組密碼中，Rectangle 實現(xiàn)了非常有競爭力的軟件速度。S 盒可以使用 12 條基本邏輯指令序列來實現(xiàn)。p 層由 3 個旋轉(zhuǎn)組成，這使得它對硬件和軟件實現(xiàn)都非常友好。

2.3　認(rèn)證加密算法

認(rèn)證加密算法（Authenticated Encryption & Auth enticated Cipher）指同時完成數(shù)據(jù)加密和完整性驗證的密碼算法。早期的認(rèn)證加密算法多采用組合方式設(shè)計，主要的組合方式有 Encrypt-then-MAC、MAC-then-Encrypt、Encrypt-and-MAC， 這 3 種 構(gòu)造方式的優(yōu)勢在于通用性，適用于常見的加密和認(rèn)證算法，但缺乏令人信服的安全性 。

目前的認(rèn)證加密算法可以歸為兩類：一類是分組密碼認(rèn)證加密工作模式，另一類是直接設(shè)計的認(rèn)證加密算法。分組密碼認(rèn)證加密工作模式黑盒調(diào)用分組密碼，優(yōu)點是可以方便替換底層分組密碼，目前的 ISO/IEC 和 NIST 相關(guān)標(biāo)準(zhǔn)收錄的認(rèn)證加密算法都屬于此類。直接設(shè)計的認(rèn)證加密算法從底層模塊起直接設(shè)計，而且分組密碼不再是底層模塊的唯一選擇，基于置換、偽隨機(jī)函數(shù)、壓縮函數(shù)等構(gòu)建的認(rèn)證加密算法被陸續(xù)提出。

認(rèn)證加密 AE 方案構(gòu)造如圖 3 所示，具體流程為：發(fā)送者將臨時值、關(guān)聯(lián)數(shù)據(jù)、明文數(shù)據(jù)作為輸入，生成密文和標(biāo)簽 T，接收者進(jìn)行解密并生成 T’，若 T’=T，則輸出明文；否則返回空。

圖 3　可認(rèn)證加密的工作原理

ASCON 是 NIST 輕量級密碼競賽的獲勝算法。ASCON 算法采用復(fù)式結(jié)構(gòu)，共分為初始化、處理關(guān)聯(lián)數(shù)據(jù)、處理明文、終止函數(shù)４個階段。ASCON算 法 的 作 者 推 薦 兩 個 參 數(shù) 的 算 法 版 本 分 別 為：ASCON-128 和 ASCON-128a， 它 們 的 區(qū) 別 在 于 數(shù)據(jù)塊長度，分別為 64 bit 和 128 bit，其中第 2 個版本在處理長數(shù)據(jù)上有性能優(yōu)勢。ASCON 的密鑰靈活性高，其底層置換狀態(tài)小僅 320 bit，輪函數(shù)設(shè)計簡單，同時采用了比特切片的設(shè)計理念。該算法在2013 年就已公布，經(jīng)歷了長期的國際學(xué)術(shù)界的安全性分析與考驗。

3 輕量級密碼算法對比研究

本 節(jié) 對 第 2 節(jié) 所 提 到 的 LBlock、SIMON、PRESENT、GIFT、Rectangle、ASCON 共 6 項 輕 量級密碼算法進(jìn)行細(xì)化的對比研究，分別從算法理論設(shè)計、算法硬件性能、算法軟件性能等維度評估各項算法的基礎(chǔ)能力。

3.1　算法設(shè)計理論對比分析

表 2 是從算法設(shè)計理論的角度進(jìn)行對比分析的結(jié)果。PRESENT 算法最早發(fā)布，算法設(shè)計簡潔，是較為公認(rèn)的首個輕量級分組密碼；LBlock 算法以 PRESENT 為參照，采用了廣義 Feistel 結(jié)構(gòu)減少S 盒的個數(shù)；GIFT 算法發(fā)布最晚，沿用 PRESENT的 設(shè) 計 策 略， 采 用 了 更 小 的 S 盒。Rectangle 和ASCON 算法都加入了比特切片理念，使得它們對硬件和軟件實現(xiàn)都非常友好。SIMON 算法支持多種分組長度和密鑰長度，應(yīng)用靈活。

表 2  算法設(shè)計理論的對比分析

3.2　算法硬件性能對比分析

硬件實現(xiàn)的性能數(shù)據(jù)中的一個關(guān)鍵數(shù)據(jù)為芯片面積，單位為 GE，由電子設(shè)計自動化工作獲得，每個輕量級算法在發(fā)布時均會將算法的實現(xiàn)面積作為評測算法的重要指標(biāo)。由于不同作者選取的環(huán)境有所不同，本文選取發(fā)布時間最晚的 GIFT 算法作者提供的數(shù)據(jù)為主要參考，這是因為在統(tǒng)一的測試環(huán)境下其更具代表性，對比指標(biāo)和具體參數(shù)如表 3所示。表 3 中算法的測試數(shù)據(jù)是基于輪用 STM90 納米標(biāo)準(zhǔn)單元庫實現(xiàn)的。

根 據(jù) 文 獻(xiàn) [9] 中 提 供 的 數(shù) 據(jù)，LBlock 在 與PRESENT 算法達(dá)到相同輸出速率的情況下，實現(xiàn)面積約為 1 350 GE；ASCON 算法提供認(rèn)證加密功能的輕量級實現(xiàn)，該實現(xiàn)的面積約為 2 600 GE。當(dāng)采用基于輪數(shù)的實現(xiàn)時，面積將近 10 000 GE，但這樣的實現(xiàn)可以達(dá)到 4.9~7.3 Gbit/s 的吞吐量，足夠?qū)ηд滓蕴W(wǎng)連接進(jìn)行加密。

表 3  部分算法硬件實現(xiàn)性能對比

表格中分組密碼算法的硬件實現(xiàn)面積均小于2 000 GE，單從面積指標(biāo)上分析都滿足資源受限環(huán)境場景，其中，64 bit 分組長度的 GIFT 算法實現(xiàn)面積最小。但在最大輸出功率和能量消耗方面，密鑰長度為 128 bit 的 Rectangle 算法以較小的實現(xiàn)面積在這兩項指標(biāo)中表現(xiàn)較為優(yōu)秀。ASCON 算法的實現(xiàn)面積雖然較高，考慮到其具備認(rèn)證加密功能和良好的吞吐量，該算法的表現(xiàn)也十分優(yōu)異。

3.3　軟件性能測試對比分析

本文對選取算法的軟件性能進(jìn)行了評估，評估過程中最大程度保證選取算法采用相同的分組長度、密鑰長度。測試采用基礎(chǔ)的 C 語言實現(xiàn)，測試系統(tǒng)為 Windows10，測試環(huán)境為 Intel(R) Core(TM)i5 - 9500 CPU @ 3.00 GHz。測試結(jié)果如圖 4 所示，需要指出的是，本次測試所有算法均未進(jìn)行優(yōu)化處理，性能結(jié)果僅供參考。測試結(jié)果顯示，采用96 比特密鑰、64 比特分組長度的 SIMON 本次測試中的加密性能最優(yōu)，ASCON-128 的加密性能略低于SIMON，表現(xiàn)較好。而發(fā)布時間最早的 PRESENT的性能表現(xiàn)最差。

圖 4 軟件實現(xiàn)性能對比

另外，由于 Rectangle、ASCON 在設(shè)計中采用了比特切片的思想，這些算法在使用指令集實現(xiàn)時有著很大的優(yōu)勢，通過指令集可以在特定場景下取得相當(dāng)優(yōu)異的軟件性能，而本次實驗中并沒有體現(xiàn)指令實現(xiàn)的性能。

3.4　算法總體分析及應(yīng)用評估

本節(jié)綜合上述的算法設(shè)計理念、算法硬件性能、軟件性能對選取算法進(jìn)行總體評價，并對算法的應(yīng)用場景進(jìn)行建議，為算法應(yīng)用落地提供參考，具體如表 4 所示。

表 4  選取算法總體分析及應(yīng)用評估

4 輕量級密碼算法應(yīng)用研究

4.1　物聯(lián)網(wǎng)端邊云協(xié)同

物聯(lián)網(wǎng)的快速發(fā)展使得大量的設(shè)備連接到云端，這些設(shè)備在信息傳輸、數(shù)據(jù)存儲及身份認(rèn)證時均需進(jìn)行密碼保護(hù)。圖 5 給出了輕量級密碼算法在物聯(lián)網(wǎng)“端—邊—云”協(xié)同場景中的應(yīng)用案例。對于直連物聯(lián)網(wǎng)云平臺的物聯(lián)網(wǎng)設(shè)備，采用嵌入輕量級密碼算法的安全 MQTT/HTTP 協(xié)議，確保“端—云”通信安全。對于“端—邊—云”通信情形，在“端側(cè)”的物聯(lián)網(wǎng)設(shè)備內(nèi)集成輕量級分組密碼算法，實現(xiàn)本地敏感數(shù)據(jù)的快速加密；在“端—邊”通信鏈路，使用基于輕量級密碼算法的信源加密方式保證通信的安全性和高效性；在“邊—云”通信鏈路，可選傳統(tǒng)密碼算法、輕量級密碼算法等不同方案，確保安全通信的靈活性。對于自組網(wǎng)情形，可使用輕量級認(rèn)證加密算法實現(xiàn)自組網(wǎng)內(nèi)部快速的群組設(shè)備認(rèn)證，提升自組網(wǎng)的安全性。

圖 5 物聯(lián)網(wǎng)端邊云協(xié)同輕量級密碼應(yīng)用案例

本場景下，物聯(lián)網(wǎng)嵌入式設(shè)備往往具有受限的計算存儲資源，對功耗極為敏感，而輕量級密碼算法兼顧資源效率、安全性、低功耗和快速性，可在不影響業(yè)務(wù)的前提下保護(hù)物聯(lián)網(wǎng)設(shè)備通信及數(shù)據(jù)的安全性。此外，輕量級密碼算法可在邊緣計算服務(wù)器、云平臺等集成，這使得物聯(lián)網(wǎng)“端—邊—云”協(xié)同更加安全。在物聯(lián)網(wǎng)的快速增長中，輕量級密碼算法將繼續(xù)發(fā)揮關(guān)鍵作用，確保數(shù)據(jù)的保密性和完整性。

4.2　自動駕駛

汽車自動駕駛技術(shù)的快速發(fā)展要求在車輛通信和數(shù)據(jù)傳輸中確保數(shù)據(jù)的安全和隱私。圖 6 給出了輕量級密碼算法在自動駕駛車輛網(wǎng)絡(luò)架構(gòu)下的應(yīng)用案例，其中主要包括云服務(wù)數(shù)據(jù)中心（Data Center，DC）、 車 載 控 制 中 心（Vehicle Center，VC）、遠(yuǎn)端用戶（User）、自動駕駛車輛（Car）。云服務(wù)數(shù)據(jù)中心擁有極大的存儲空間和極高的計算能力，可采用傳統(tǒng)密碼和輕量級密碼算法相結(jié)合的資源計算中心，而自動駕駛車輛需要配備電子控制器單元（Electronic Control Unit，ECU）。

“User-DC”端通信中，一方面用戶可以訪問路況和天氣等信息，并做出相應(yīng)的評估；另一方面，用戶通過身份認(rèn)證后可以獲取車輛的實時數(shù)據(jù)，并通過遠(yuǎn)程指令對車輛路線規(guī)劃、應(yīng)急處理進(jìn)行管理。對于這種通信情形，可采用傳統(tǒng)密碼算法和輕量級密碼算法等不同方案保證身份認(rèn)證和安全通信的靈活性。“DC-VC-Car”端的通信，可采用輕量級可認(rèn)證加密算法保證對數(shù)據(jù)源的認(rèn)證及控制指令的安全性。“Car-Car-DC”端的通信分為兩個部分，其中“Car-Car”指車輛與車輛之間的“挑戰(zhàn)－響應(yīng)”對（Challenge-Response Pair）， 車 輛 之 間 可 以 通過輕量級認(rèn)證加密算法對車輛間的指令信息加密，保證無線傳輸網(wǎng)絡(luò)的安全性，同時車內(nèi)的 ECU 單元利用輕量級分組密碼對本地敏感數(shù)據(jù)進(jìn)行加密保護(hù)；“Car-DC”指自動駕駛車輛與云服務(wù)數(shù)據(jù)中心之間的通信，該通信可采用基于輕量級分組密碼算法的無線安全傳輸協(xié)議。

圖 6 自動駕駛輕量級密碼應(yīng)用案例

本場景下，通過認(rèn)證的車主可以遠(yuǎn)程控制本人的汽車，車載控制中心雖然具備客觀的計算能力，但由于車輛眾多，可分配到每輛汽車的資源有限，所以輕量級密碼算法的低功耗特點可以很好地彌補這一點。另外，由于車內(nèi) ECU 單元存儲及計算資源有限，且車內(nèi)通信時效性高，因此可將輕量級密碼庫作為終端安全支撐設(shè)施，采用對稱密碼技術(shù)實現(xiàn)車內(nèi)安全通信保障，或采用可認(rèn)證加密同時完成數(shù)據(jù)加密和數(shù)據(jù)完整性保護(hù)。

4.3　衛(wèi)星安全通信

衛(wèi)星通信是一種經(jīng)常應(yīng)用于遠(yuǎn)程通信、數(shù)據(jù)傳輸和全球聯(lián)網(wǎng)的技術(shù)。在衛(wèi)星通信中，輕量級密碼算法具有重要的應(yīng)用價值。

如圖 7 所示，衛(wèi)星通信網(wǎng)絡(luò)分為星間鏈路和星地鏈路。星地鏈路是指從地球上的終端用戶到衛(wèi)星，然后返回到地球上的地面站點的通信鏈接。這種鏈路通常分為上行鏈路（用戶到衛(wèi)星）和下行鏈路（衛(wèi)星到用戶）。星地鏈路主要采用的通信協(xié)議是 5G等標(biāo)準(zhǔn)協(xié)議 ，由標(biāo)準(zhǔn)制定單位進(jìn)行設(shè)計。而星間鏈路通信可以采用定制化協(xié)議。

圖 7 衛(wèi)星安全通信輕量級密碼應(yīng)用案例

衛(wèi)星通信中傳輸?shù)臄?shù)據(jù)往往是敏感的，因此數(shù)據(jù)的安全性尤為重要。然而，衛(wèi)星通信終端的計算和存儲資源通常是有限的，并且衛(wèi)星設(shè)備常常依賴有限的能源供應(yīng)，如太陽能電池等。因此，在選擇加密算法時，低功耗是一個重要的考量指標(biāo)。

輕量級密碼算法正好符合上述特點和需求，它們適用于資源受限的環(huán)境。將帶有認(rèn)證加密功能的輕量級算法應(yīng)用于星間鏈路的定制化通信協(xié)議中，可以很好地解決上述問題。這樣做既滿足衛(wèi)星之間通信的數(shù)據(jù)安全和隱私需求，又能盡量減少資源消耗。

5 問題與展望

輕量級密碼算法發(fā)展至今，在其不斷發(fā)展的進(jìn)程中仍然存在一些問題和難點，但這些問題也為其未來的發(fā)展指明了方向。

（1）安全性分析：輕量級密碼算法的安全性需要進(jìn)行深入的分析和評估。與傳統(tǒng)密碼算法相比，輕量級密碼算法采用了新的設(shè)計方法，因此需要使用新的分析手段和技術(shù)來評估算法的安全性。

（2）標(biāo)準(zhǔn)化問題：相較于 NIST 對于輕量級密碼算法標(biāo)準(zhǔn)化進(jìn)程，目前我國還沒有推出相關(guān)的輕量級密碼算法標(biāo)準(zhǔn)，這對我國輕量級密碼算法的應(yīng)用產(chǎn)生一定的阻力。

（3）國產(chǎn)算法設(shè)計：雖然我國學(xué)者推出的LBlock 和 Rectangle 算法引起了學(xué)術(shù)界的廣泛關(guān)注，但相較于國際頂尖算法仍存在一些差距，而且我國學(xué)者提出的算法主要集中在分組算法上。隨著ASCON 算法標(biāo)準(zhǔn)化工作的開展，直接設(shè)計的可認(rèn)證加密算法可能是我國學(xué)者接下來的重點工作。

（4）應(yīng)用場景需求：隨著自動駕駛、衛(wèi)星通信等技術(shù)的興起，對于部件、功耗、面積的標(biāo)準(zhǔn)有著更為嚴(yán)苛的要求，這迫使輕量級密碼進(jìn)一步完善與發(fā)展。

（5）量子安全和后量子密碼算法：隨著量子計算機(jī)的發(fā)展，傳統(tǒng)密碼算法的安全性可能受到威脅。因此，量子安全的 MAC 算法和后量子輕量級公鑰密碼算法是未來的研究方向。

6 結(jié)  語

本文通過對比分析多種輕量級密碼算法的設(shè)計理論，比較它們在硬件與軟件性能上的差異，給出了總體評價和應(yīng)用建議。探討了輕量級密碼學(xué)在物聯(lián)網(wǎng)、自動駕駛和衛(wèi)星安全通信等前沿應(yīng)用場景中的關(guān)鍵作用和發(fā)展現(xiàn)狀。最后提出了輕量級密碼算法目前存在的問題和對未來的展望。

綜合上述分析可以看出，輕量級密碼算法作為保護(hù)資源受限環(huán)境中的數(shù)據(jù)安全的強(qiáng)有力工具，未來將持續(xù)扮演至關(guān)重要的角色。隨著技術(shù)的不斷演進(jìn)，輕量級密碼算法需要不斷優(yōu)化，以滿足日益增長的安全需求，為數(shù)字世界提供堅實的安全基石。

引用格式：李祥寧 , 張舒黎 , 胡蓬 , 等 . 輕量級密碼算法對比分析及應(yīng)用 [J]. 通信技術(shù) ,2023,56(12):1401-1410.
作者簡介 >>>
李祥寧，男，碩士，工程師，主要研究方向為密碼技術(shù)；
張舒黎，男，博士，高級工程師，主要研究方向為密碼技術(shù)；
胡  蓬，男，學(xué)士，工程師，主要研究方向為密碼技術(shù)、可信計算；
鄧春華，女，碩士，工程師，主要研究方向為密碼技術(shù)。
選自《通信技術(shù)》2023年第12期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點，轉(zhuǎn)載的目的在于傳遞更多知識和信息。