改进的Type-1型广义Feistel结构的量子攻击及其在分组密码CAST-256上的应用

倪博煜; 董晓阳

doi:10.11999/JEIT190633

改进的Type-1型广义Feistel结构的量子攻击及其在分组密码CAST-256上的应用

doi: 10.11999/JEIT190633

倪博煜^{1, 2},
董晓阳^3, ,

1.
山东大学密码技术与信息安全教育部重点实验室济南 250100
2.
山东大学网络空间安全学院青岛 266237
3.
清华大学高等研究院北京 100084

基金项目: 国家重点研发计划(2017YFA0303903)，国家自然科学基金(61902207)，国家密码发展基金(MMJJ20180101, MMJJ20170121)

详细信息

作者简介:
董晓阳：男，1988年生，助理研究员。研究方向为对称密码算法的安全性分析与设计

通讯作者:
董晓阳　xiaoyangdong@tsinghua.edu.cn

中图分类号: TN918; TP309
计量
- 文章访问数: 3477
- HTML全文浏览量: 1066
- PDF下载量: 149
- 被引次数: 0
出版历程
- 收稿日期: 2019-08-26
- 修回日期: 2019-11-26
- 网络出版日期: 2019-11-29
- 刊出日期: 2020-02-19

Improved Quantum Attack on Type-1 Generalized Feistel Schemes and Its Application to CAST-256

Boyu NI^{1, 2},
Xiaoyang DONG^{3
, ,}

1.
Key Laboratory of Cryptologic Technology and Information Security, Ministry of Education, Shandong University, Jinan 250100, China
2.
School of Cyber Science and Technology, Shandong University, Qingdao 266237, China
3.
Institute for Advanced Study, Tsinghua University, Beijing 100084, China

Funds: The National Key Research and Development Program of China (2017YFA0303903), The National Natural Science Foundation of China (61902207), The National Cryptography Development Fund (MMJJ20180101, MMJJ20170121)

摘要

摘要: 广义Feistel结构(GFS)是设计对称密码算法的重要基础结构之一，其在经典计算环境中受到了广泛的研究。但是，量子计算环境下对GFS的安全性评估还相当稀少。该文在量子选择明文攻击(qCPA)条件下和量子选择密文攻击(qCCA)条件下，分别对Type-1 GFS进行研究，给出了改进的多项式时间量子区分器。在qCPA条件下，给出了3d – 3轮的多项式时间量子区分攻击，其中 $d(d \ge 3)$ 是Type-1 GFS的分支数，攻击轮数较之前最优结果增加 $d - 2$ 轮。得到更好的量子密钥恢复攻击，即相同轮数下攻击的时间复杂度降低了 ${2^{(d - 2)n/2}}$ 。在qCCA条件下，对于Type-1 GFS给出了 $3d - 2$ 轮的多项式时间量子区分攻击，比之前最优结果增加了 $d - 1$ 轮。该文将上述区分攻击应用到CAST-256分组密码中，得到了12轮qCPA多项式时间量子区分器，以及13轮qCCA多项式时间量子区分器，该文给出19轮CAST-256的量子密钥恢复攻击。
- 分组密码 /
- 广义Feistel结构 /
- 量子攻击 /
- CAST-256加密算法
Abstract: Generalized Feistel Schemes (GFS) are important components of symmetric ciphers, which have been extensively researched in classical setting. However, the security evaluations of GFS in quantum setting are rather scanty. In this paper, more improved polynomial-time quantum distinguishers are presented on Type-1 GFS in quantum Chosen-Plaintext Attack (qCPA) setting and quantum Chosen-Ciphertext Attack (qCCA) setting. In qCPA setting, new quantum polynomial-time distinguishers are proposed on $3d - 3$ round Type-1 GFS with branches $d \ge 3$ , which gain $d - 2$ more rounds than the previous distinguishers. Hence, key- recovery attacks can be obtained, whose time complexities gain a factor of ${2^{\frac{{\left( {d - 2} \right)n}}{2}}}$ . In qCCA setting, $3d - 3$ round quantum distinguishers can be obtained on Type-1 GFS, which gain $d-1$ more rounds than the previous distinguishers. In addition, given some quantum attacks on CAST-256 block cipher. 12-round and 13-round polynomial-time quantum distinguishers are obtained in qCPA and qCCA settings, respectively. Hence, the quantum key-recovery attack on 19-round CAST-256 is derived.
- Block cipher /
- Generalized Feistel Scheme (GFS) /
- Quantum attack /
- CAST-256 cipher algorithm

HTML全文

1. 引言

2008年以来，我国高速铁路飞速发展，已经成为我国的一个重要名片。随着高速铁路的迅猛发展，对高铁无线通信的要求也越来越高。为了充分利用资源和满足高铁无线通信的需求，高铁沿线采用背靠背天线的基带处理单元(Building Baseband Unit, BBU)+远端射频单元(Remote Radio Unit, RRU)的覆盖方式，同时采用小区合并技术，有效解决高铁的信号覆盖问题和小区切换频繁问题，但出现了一个新的问题—回波信道效应^[1]，使LTE的站点间距受到限制，成本增加。为了解决这一问题，引入了协作MIMO技术^[2]，该技术将“大”区内的每两个站点组成一个协作簇，利用基带处理单元完成数据、控制、信道状态等信息的交换，实现站点间的协同通信。许多实际应用，如蜂窝移动和无线自组网等，已经证明协作MIMO技术有着明显的优势^[3]。近年来，协作MIMO技术已逐渐成为无线通信标准的主流。

在高铁场景中应用一个新技术，首先要了解其在高铁场景中的信道特性，完成性能评估。而要完成高铁场景中协作MIMO技术的信道测量存在很大困难，需要进行多链路多天线信道测量，不仅耗时、耗物、耗力，而且目前大部分信道探测仪只能支持传统的点对点信道测量，无法同时获取多链路信道冲激响应。由于测量数据的匮乏，难以建立准确可靠的高铁多链路多天线信道模型来获取协作MIMO的信道特性，因此需要采用基于理论的信道建模方法。

理论信道建模方法中，基于几何的随机模型(Geometry Based Stochastic Model, GBSM)是基于几何随机散射理论，假定无线传播空间中散射体是按一定统计规律随机分布的，从概率统计学的角度出发描述信道特性，已经广泛应用于信道建模中。文献[4]研究了蜂窝移动系统环境下的协作MIMO性能，指出将现有单链路信道模型进行简单扩展不能得到完整、准确的多链路信道模型，提出GBSM模型适于系统模拟。文献[5]提出共同散射体(Common Clusters, CCs)的概念，揭示了其对多链路间相关性的重大影响，之后的链路相关性研究大多基于共同散射体的概念。文献[6]研究了高速铁路的山区场景，证明与WINNER II信道模型相比，GBSM拟合实测数据的能力更强。文献[7]指出了在快速移动无线系统中，时变非平稳GBSM能更好地拟合实测数据的稳态间隔。文献[8]针对高速列车隧道场景，提出一个非平稳宽带GBSM，该模型能有效拟合高速铁路隧道通道的非平稳特性。文献[9]提出一种第5代(5G)无线通信系统随机模型统一框架，描述了5G关键通信场景的小规模衰落信道特性。文献[10]针对MIMO的移动台到移动台场景(Mobile-to-Mobile, M2M)研究了收发天线间距和参数 $\kappa$ 值对单链路空间相关性的影响。以上文献都证明了GBSM在信道建模方面拥有独特的优势。文献[11]研究了高速铁路U型槽的典型场景，证明高铁信道存在较高的单链路空间相关性。但现有研究大多针对蜂窝系统的空间相关性或者高铁场景的单链路空间相关性，高铁场景的多链路空间相关性研究仍旧存在空白。要在高速铁路上应用协作MIMO技术，迫切需要建立适当的多链路多天线模型，完成无线信道仿真与描述，为协作MIMO技术在高铁场景下的设计、测试、分析和应用提供理论基础与评估参考，所以本文提出一个基于几何的新型高速铁路协作MIMO信道模型。

2. 高速铁路协作MIMO几何随机信道建模

2.1 模型介绍

高速铁路协作MIMO技术的无线通信系统架构如图1所示，列车不断由一个基站开往下一基站，因此可以将列车实际运行环境简化为列车从一个基站运行到下一个基站的过程。参照文献^[12,13]，可将基站发射天线到列车接收天线周围的远端散射体建模为椭圆模型，而且列车接收天线周围的近端散射体满足单环模型^[14]假设，由此形成一个基于几何的新型高速铁路协作MIMO信道模型，该模型的几何示意图如图2所示。

图 1 高速铁路无线通信系统架构

下载: 全尺寸图片幻灯片

图 2 高速铁路协作MIMO信道模型的几何示意图

下载: 全尺寸图片幻灯片

在该模型中，两个基站发射天线的阵列中心分别位于两个椭圆模型的焦点 ${{{F}}_{\rm{1}}}$ , ${{{F}}_{\rm{2}}}$ 处，列车的接收天线阵列中心位于两椭圆共同的焦点 ${\rm{O}}$ 上，发射机到铁轨的距离为 ${D_1}$ , ${D_2}$ ，列车的运动方向为 ${\alpha _{{V}}}\;$ , $x$ 代表列车在铁轨上运行的距离， $y$ 代表剩下的距离，发射天线单元表示为 ${{P}}$ , ${{Q}}$ , ${{P'}}$ , ${{Q'}}$ ，接收天线单元表示为 ${{M}}$ , ${{N}}$ ，天线阵列的倾角、单元间距分别为 ${\alpha _{\rm{T}}}$ , ${\alpha '\!_{\rm{T}}}$ , ${\alpha _{\rm{R}}}$ 和 ${\delta _{\rm{T}}}$ , ${\delta '\!_{\rm{T}}}$ , ${\delta _{\rm{R}}}$ 。单环模型的半径为 $R$ ，两椭圆模型的长轴、短轴和焦距分别为 $2a$ 和 $2a'$ , $2b$ 和 $2b'$ , $2c = {D_3} = \sqrt {{x^2} + D_1^2}$ 和 $2c' = {D_4} =$ $\sqrt {{y^2} + D_2^2}$ 。 ${S_{11}},{S_{12}},{S_{13}}, ·\!·\!· ,{S_{1i}}$ 表示单环模型上的近端散射体， ${S_{21}},{S_{22}},{S_{23}}, ·\!·\!· ,{S_{2j}}$ 表示 ${{{F}}_{\rm{1}}}{{O}}$ 椭圆模型上的远端散射体， ${S_{31}},{S_{32}},{S_{33}}, ·\!·\!· ,{S_{3k}}$ 表示 ${{{F}}_{\rm{2}}}{{O}}$ 椭圆模型上的远端散射体。由于天线的尺寸相对于列车实际运行环境而言很小，假设不等式 $\min \{ {D_3},{D_4},R\}$ $\gg\max \{ {\delta _{\rm{T}}},{\delta '\!_{\rm{T}}},{\delta _{\rm{R}}}\}$ 成立。设经过单环模型上第 $i$ 个散射体 ${S_{1i}}$ 到达接收天线的角度为 $\beta _{1i}^{\rm{R}}$ ，经过 ${{{F}}_{\rm{1}}}{{O}}$ 椭圆模型上第 $j$ 个散射体 ${S_{2j}}$ 的离开发射天线的角度和到达接收天线的角度分别为 $\beta _{2j}^{\rm{T}}$ , $\beta _{2j}^{\rm{R}}$ ，经过 ${{{F}}_{\rm{2}}}{{O}}$ 椭圆模型上第 $k$ 个散射体 ${S_{3k}}$ 的离开发射天线的角度和到达接收天线的角度分别为 $\beta _{3k}^{\rm{T}}$ , $\beta _{3k}^{\rm{R}}$ ，并且简称仅经过单环模型上的散射体散射的分量为单环分量，仅经过椭圆模型上的散射体散射的分量为椭圆分量，经过椭圆模型上的散射体散射后再经过单环模型上的散射体散射的分量为2次散射分量。本模型中，主要存在4条通信链路：链路 ${\rm{PM}}$ 、链路 ${\rm{QN}}$ 、链路 ${\rm{P'M}}$ 和链路 ${\rm{Q'N}}$ 。为了简化介绍，本文选取链路 ${\rm{PM}}$ 和链路 ${\rm{P'M}}$ 为例进行模型推导的介绍。

2.2 信道冲激响应推导

根据平面波模型，载频为 ${f_{\rm{c}}}$ 时，链路 ${\rm{P(P')M}}$ 的时变信道冲激响应 ${h_{{\rm{P(P')M}}}}$ 是直射分量、单环分量、椭圆分量和2次散射分量的叠加，可以表示为^[15]

${h_{{\rm{P(P')M}}}} = h_{{\rm{P(P')M}}}^{{\rm{LOS}}} + h_{{\rm{P(P')M}}}^{{\rm{SR }}} + h_{{\rm{P(P')M}}}^{{\rm{SE }}} + h_{{\rm{P(P')M}}}^{{\rm{DB }}}$

(1)

其中， $h_{{\rm{P(P')M}}}^{{\rm{LOS}}}$ 是信道冲激响应的直射分量，且

$\begin{align} h_{{\rm{P(P')M}}}^{{\rm{LOS}}} =& \sqrt {\frac{{{\varOmega _{{\rm{P(P')M}}}}{K_{{{\rm{P(P')M}}}}}}}{{{K_{{{\rm{P(P')M}}}}} + 1}}} {\rm exp} \Bigr\{ - {\rm j}2{\text{π}}{\lambda ^{ - 1}}{\chi _{_{{\rm{P(P')M}}}}} \\ & + {\rm{j2}}{\text{π}}{f_{\rm{D}}}{\rm{[cos}}(\alpha _{{\rm{LOS - P(P')}}}^{\rm{R}} - {\alpha _{{V}}})]{t} \Bigr\} \end{align}$

(2)

其中， ${\varOmega _{{\rm{P(P')M}}}}$ , ${K_{{\rm{P(P')M}}}}$ , $\alpha _{{\rm{LOS - P(P')}}}^{\rm{R}}$ 分别表示链路 ${\rm{P(P')M}}$ 的总能量、莱斯 $K$ 因子和直射路径的到达角； ${f_{\rm{D}}}$ 表示最大多普勒频移； $\lambda$ 表示波长； ${\chi _{{\rm{P(P')M}}}} =$ ${\varepsilon _{{\rm{P(P')M}}}}$ 表示链路 ${\rm{P(P')M}}$ 的视距传播路径( ${\varepsilon _{{\rm{AB}}}}$ 表示A, B两点之间的距离)。其它散射分量的信道冲激响应可表示为

$\begin{align} h_{{\rm{P(P')M}}}^{{\rm{SR }}} = & \mathop {{\rm{lim}}}\limits_{I \to \infty } \sum\limits_{i = 1}^I \frac{1}{{\sqrt I }}\sqrt {\frac{{{\eta _1}({{\eta '}_1}){\varOmega _{{\rm{P(P')M}}}}}}{{{K_{{\rm{P(P')M}}}} + 1}}} \\ & \cdot{\rm exp}\Bigr\{ - {\rm j}2{\text{π}}{\lambda ^{ - 1}}{\chi _{{\rm{P(P')}}{S_{1i}}{\rm{M}}}} \\ & + {\rm{j2}}{\text{π}}{f_{\rm{D}}}[\cos (\beta _{1i}^{\rm{R}} - {\alpha _{{V}}})]{{t + \rm j}}{\theta _{1i}} \Bigr\} \hspace{30pt} \end{align}$

(3)

$\begin{align} h_{{\rm{P(P')M}}}^{{\rm{SE }}} =& \sqrt {\frac{{{\eta _2}({{\eta '}_2}){\varOmega _{{\rm{P(P')M}}}}}}{{{K_{{\rm{P(P')M}}}} + 1}}} \mathop {{\rm{lim}}}\limits_{J(K) \to \infty } \sum\limits_{j(k) = 1}^{J(K)} \frac{1}{{\sqrt {J(K)} }}\\ & \cdot\exp\Bigr\{ - {\rm{j2}}{\text{π}}{\lambda ^{ - 1}}{\chi _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)M}}}} \\ & + {\rm{j2}}{\text{π}}{f_D}[\cos (\beta _{2j}^{\rm{R}}(\beta _{3k}^{\rm{R}}) - {\alpha _{{V}}})]{{t +\rm j}}{\theta _{2j}}({\theta _{3k}})\Bigr\} \end{align}$

(4)

$\begin{align} h_{{\rm{P(P')M}}}^{{\rm{DB }}} =& \sqrt {\frac{{{\eta _3}({{\eta '}_3}){\varOmega _{{\rm{P(P')M}}}}}}{{{K_{{\rm{P(P')M}}}} + 1}}} \\ & \cdot \mathop {{\rm{lim}}}\limits_{I,J(K) \to \infty } \sum\limits_{i,j(k) = 1}^{I,J(K)} \frac{1}{{\sqrt {IJ(K)} }}\\ & \cdot\exp\Bigr\{- {\rm{j2}}{\text{π}}{\lambda ^{ - 1}}{\chi _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)}}{S_{1i}}{\rm{M}}}} \\ & + {\rm{j2}}{\text{π}}{f_{\rm{D}}}[\cos (\beta _{1i}^{\rm{R}} - {\alpha _{{V}}})]{{t +\rm j}}{\theta _{1i}}\Bigr\}\hspace{30pt} \end{align}$

(5)

其中， $h_{{\rm{P(P')M}}}^{{\rm{SR }}}$ , $h_{{\rm{P(P')M}}}^{{\rm{SE }}}$ 和 $h_{{\rm{P(P')M}}}^{{\rm{DB }}}$ 分别是单环分量、椭圆分量和2次散射分量的信道冲激响应； ${\eta _1}$ ( ${\eta '_1}$ ), ${\eta _2}$ ( ${\eta '_2}$ ), ${\eta _3}$ ( ${\eta '_3}$ )分别表示链路 ${\rm{P(P')M}}$ 的单环分量、椭圆分量和2次散射分量携带的能量占散射总能量的比例，且满足 $\displaystyle\sum\nolimits_{m = 1}^3 {{\eta _m}({{\eta '}\!_m})} = 1$ ; ${\theta _n}(n = 1i,$ $2j,3k)$ 是由散射体 ${S_n}$ 引起的相位变化，是独立同分布的随机变量，在 $[ - {\text{π}},{\text{π}})$ 内满足均匀分布； $I,J,K$ 为散射体区域内局部散射体的个数，假设其趋于无穷； ${\chi _{{\rm{P(P')}}{S_{1i}}{\rm{M}}}}$ 表示由发射天线 ${\rm{P(P')}}$ 经过散射体 ${S_{1i}}$ 到达接收天线 ${\rm{M}}$ 的传播路径， ${\chi _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)M}}}}$ 表示由发射天线 ${\rm{P(P')}}$ 经过散射体 ${S_{2j}}$ ( ${S_{3k}}$ )到达接收天线 ${\rm{M}}$ 的传播路径， ${\chi _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)}}{S_{1i}}{\rm{M}}}}$ 表示由发射天线 ${\rm{P(P')}}$ 经过散射体 ${S_{2j}}$ ( ${S_{3k}}$ )后再经过散射体 ${S_{1i}}$ 到达接收天线 ${\rm{M}}$ 的传播路径，即

${\chi _{{\rm{P(P')}}{S_{1i}}{\rm{M}}}} = {\varepsilon _{{\rm{P(P')}}{S_{1i}}}} + {\varepsilon _{{S_{1i}}{\rm{M}}}} \hspace{78pt}$

(6)

${\chi _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)M}}}} = {\varepsilon _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)}}}} + {\varepsilon _{{S_{2j}}{\rm{(}}{S_{3k}}{\rm{)M}}}} \hspace{43pt}$

(7)

${\chi _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)}}{S_{1i}}{\rm{M}}}} = {\varepsilon _{{\rm{P}}{S_{2j}}{\rm{(P'}}{S_{3k}}{\rm{)}}}} + {\varepsilon _{{S_{2j}}{\rm{(}}{S_{3k}}{\rm{)}}{S_{1i}}}} + {\varepsilon _{{S_{1i}}{\rm{M}}}}$

(8)

基于假设 $\min \{ {D_3},{D_4},R\} \gg {\rm{max}}\{ {\delta _{\rm{T}}},{\delta '\!_{\rm{T}}},{\delta _{\rm{R}}}\}$ 、余弦定理和平面几何，由图2可计算出各段的距离为

$\begin{align} {\varepsilon _{{\rm{PM}}}} \approx &{D_3} - \frac{{{\delta _{\rm{T}}}{\delta _{\rm{R}}}}}{{4{D_3}}}\sin \left( {{\alpha _{\rm{R}}} + \theta } \right)\sin \left( {{\alpha _{\rm{T}}} + \theta } \right) \\ &- \frac{{{\delta _{\rm{T}}}}}{2}\cos ({\alpha _{\rm{T}}} + \theta ) + \frac{{{\delta _{\rm{R}}}}}{2}\cos \left( {{\alpha _{\rm{R}}} + \theta } \right) \end{align}$

(9)

$\begin{align} {\varepsilon _{{\rm{P'M}}}} \approx & {D_4} - \frac{{{{\delta '}\!_{\rm{T}}}{\delta _{\rm{R}}}}}{{4{D_4}}}\sin ({\alpha _{\rm{R}}} - \theta ')\sin ({\alpha '\!_{\rm{T}}} - \theta ') \\ &+ \frac{{{{\delta '}_{\rm{T}}}}}{2}\cos ({\alpha '\!_{\rm{T}}} - \theta ') - \frac{{{\delta _{\rm{R}}}}}{2}\cos \left( {{\alpha _{\rm{R}}} - \theta '} \right) \hspace{35pt} \end{align}$

(10)

$\begin{align} {\varepsilon _{{\rm{P}}{S_{1i}}}} \approx & {D_3} - \frac{{{\delta _{\rm{T}}}R}}{{2{D_3}}}\sin (\beta _{1i}^{\rm{R}} + \theta )\sin ({\alpha _{\rm{T}}} + \theta ) \\ & - \frac{{{\delta _{\rm{T}}}}}{2}\cos ({\alpha _{\rm{T}}} + \theta ) + R\cos (\beta _{1i}^{\rm{R}} + \theta )\hspace{75pt} \end{align}$

(11)

$\begin{align} {\varepsilon _{{\rm{P'}}{S_{1i}}}} \approx &{D_4} - \frac{{{{\delta '}\!_{\rm{T}}}R}}{{2{D_4}}}\sin (\beta _{1i}^{\rm{R}} - \theta ')\sin ({\alpha '\!_{\rm{T}}} - \theta ') \\ &+ \frac{{{{\delta '}\!_{\rm{T}}}}}{2}\cos ({\alpha '\!_{\rm{T}}} - \theta ') - R\cos (\beta _{1i}^{\rm{R}} - \theta ') \hspace{15pt} \end{align}$

(12)

${\varepsilon _{{S_{1i}}{\rm{M}}}} \approx R - \frac{{{\delta _{\rm{R}}}}}{2}\sin (\beta _{1i}^{\rm{R}} - {\alpha _{\rm{R}}})\hspace{105pt}$

(13)

${\varepsilon _{{\rm{P}}{S_{2j}}}} \!\approx\! 2a \!-\! \frac{{{b^2}}}{{a \!-\! c\cos (\beta _{2j}^{\rm{R}})}}\! -\! \frac{{{\delta _{\rm{T}}}}}{2}\cos ({\alpha _{\rm{T}}} \!+\! \theta \!-\! \beta _{2j}^{\rm{T}}) \hspace{27pt}$

(14)

${\varepsilon _{{S_{2j}}{\rm{M}}}} \approx \frac{{{b^2}}}{{a - c\cos (\beta _{2j}^{\rm{R}})}} + \frac{{{\delta _{\rm{R}}}}}{2}\cos (\beta _{2j}^{\rm{R}} + {\alpha _{\rm{T}}} + \theta ) \hspace{10pt}$

(15)

$\begin{align} {\varepsilon _{{\rm{P'}}{S_{3k}}}} \approx & 2a' - \frac{{{{b'}^2}}}{{a' - c'\cos (\beta _{3k}^{\rm{R}})}} \\ &+ \frac{{{{\delta '}_{\rm{T}}}}}{2}\cos (\beta _{3k}^{\rm{T}} + {\alpha '\!_{\rm{T}}} - \theta ') \hspace{90pt} \end{align}$

(16)

${\varepsilon _{{S_{3k}}{\rm{M}}}} \approx \frac{{{{b'}^2}}}{{a' - c'\cos (\beta _{3k}^{\rm{R}})}} - \frac{{{\delta _R}}}{2}\cos ({\alpha _{\rm R}} - \theta ' - \beta _{3k}^{\rm R}) \hspace{20pt}$

(17)

${\varepsilon _{{S_{2j}}{S_{1i}}}} \approx \frac{{{b^2}}}{{a - c\cos (\beta _{2j}^{\rm{R}})}} + R\cos (\beta _{1i}^{\rm{R}} + \theta + \beta _{2j}^{\rm{R}}) \hspace{28pt}$

(18)

${\varepsilon _{{S_{3k}}{S_{1i}}}} \approx \frac{{{{b'}^2}}}{{a' - c'\cos (\beta _{3k}^{\rm{R}})}} - R\cos (\beta _{1i}^{\rm{R}} - \theta ' - \beta _{3k}^{\rm{R}})$

(19)

其中，椭圆模型的长轴与铁轨的夹角 $\theta = {\rm{arccot}}$ $(x/{D_1}),\theta ' = {\rm{arccot}}(y/{D_2})$ 。在本模型中，到达角 $\beta _{1i}^{\rm{R}}$ , $\beta _{2j}^{\rm{R}}$ 和 $\beta _{3k}^{\rm{R}}$ 是相互独立的，离开角 $\beta _{2j}^{\rm{T}}$ , $\beta _{3k}^{\rm{T}}$ 分别受到达角 $\beta _{2j}^{\rm{R}}$ 和 $\beta _{3k}^{\rm{R}}$ 的控制，关系如下

$\cos (\beta _{2j}^{\rm{T}}) = \frac{{2ac - ({a^2} + {c^2})\cos (\beta _{2j}^R)}}{{{a^2} + {c^2} - 2ac\cos (\beta _{2j}^R)}} \hspace{10pt}$

(20)

$\sin (\beta _{2j}^{\rm{T}}) = \frac{{{b^2}\sin (\beta _{2j}^{\rm{R}})}}{{{a^2} + {c^2} - 2ac\cos (\beta _{2j}^{\rm{R}})}} \hspace{23pt}$

(21)

$\cos (\beta _{3k}^{\rm{T}}) = \frac{{2a'c' - ({{a'}^2} + {{{{c'}}}^2})\cos (\beta _{3k}^{\rm{R}})}}{{{{a'}^2} + {{c'}^2} - 2a'c'\cos (\beta _{3k}^{\rm{R}})}}$

(22)

$\sin (\beta _{3k}^{\rm{T}}) = \frac{{{{b'}^2}\sin (\beta _{3k}^{\rm{R}})}}{{{{a'}^2} + {{c'}^2} - 2a'c'\cos (\beta _{3k}^{\rm{R}})}} \hspace{10pt}$

(23)

至此，模型散射体的分布完全由 $\beta _{1i}^{\rm{R}}$ , $\beta _{2j}^{\rm{R}}$ 和 $\beta _{3k}^{\rm{R}}$ 这些角度控制。将以上运算结果代入式(1)—式(5)，可推出信道冲激响应 ${h_{{\rm{P(P')M}}}}$ 。

2.3 多链路空间相关函数推导

多链路空间相关函数作为协作MIMO技术的主要参数之一，其理论表达式^[15]如下

${\rho _{{\rm{PM,P'M}}}} = \frac{{{\rm E}[{h_{{\rm{PM}}}}h_{{\rm{P'M}}}^*]}}{{\sqrt {{\varOmega _{{\rm{PM}}}}{\varOmega _{{\rm{P'M}}}}} }}$

(24)

其中， ${\left( \cdot \right)^{\rm{*}}}$ 表示复共轭， ${\rm E}[ \cdot ]$ 表示数学期望，将式(1)代入式(24)中，可以得到链路 ${\rm{PM}}$ 和链路 ${\rm{P'M}}$ 的空间相关性如下

${\rho _{{\rm{PM,P'M}}}} \!=\! \rho _{{\rm{PM,P'M}}}^{{\rm{LOS}}} \!+\! \rho _{{\rm{PM,P'M}}}^{{\rm{SR}}}{\rm{ \!+\! }}\rho _{{\rm{PM,P'M}}}^{{\rm{SE}}} \!+\! \rho _{{\rm{PM,P'M}}}^{{\rm{DB}}}\quad\ \$

(25)

其中， $\rho _{{\rm{PM,P'M}}}^{{\rm{LOS}}},\rho _{{\rm{PM,P'M}}}^{{\rm{SR}}},\rho _{{\rm{PM,P'M}}}^{{\rm{SE}}},\rho _{{\rm{PM,P'M}}}^{{\rm{DB}}}$ 分别表示直射分量、单环分量、椭圆分量和2次散射分量的相关性。

虽然假设散射体无穷，但在理论推导中无法做到无穷多的散射体，故假设决定散射体分布的关键角度 $\beta _{1i}^{\rm{R}}$ , $\beta _{2j}^{\rm{R}}$ 和 $\beta _{3k}^{\rm{R}}$ 满足一定的分布特征。对于其分布特征，不同的文献提出了多种概率密度函数，如均匀分布和高斯概率密度函数。在本文中，使用了冯·米塞斯概率密度函数^[16]，此函数更加通用，且可以近似描述以上所有的概率密度函数。冯·米塞斯概率密度函数定义为 $f(\phi ) \triangleq \displaystyle\frac{{{\rm{exp}}[\kappa \cos (\phi - \mu )]}}{{{\rm{2}}{\text{π}}{I_0}(\kappa )}}$ ，其中 $\phi \in [{\rm{ - }}{\text{π}}{\rm{,}}{\text{π}})$ , ${I_0}( \cdot )$ 是第1类零阶贝塞尔函数， $\mu \in {\rm{[ - }}{\text{π}}{\rm{,}}{\text{π}}{\rm{)}}$ 是角 $\phi$ 的平均值， $\kappa (\kappa \ge 0)$ 是一个实参，控制角度 $\phi$ 的角度扩展。在本文中，角度 $\beta _{1i}^{\rm{R}}$ , $\beta _{2j}^{\rm{R}}$ 和 $\beta _{3k}^{\rm{R}}$ 的冯·米塞斯概率密度函数的平均角参数 $\mu$ 和角度扩展参数 $\kappa$ 分别使用 ${\mu _1}{\text{和}}{\kappa _1}$ , ${\mu _2}{\text{和}}{\kappa _2}$ , ${\mu _3}{\text{和}}$ ${\kappa _3}$ 来表示，再将 $\beta _{1i}^{\rm{R}}$ , $\beta _{2j}^{\rm{R}}$ 和 $\beta _{3k}^{\rm{R}}$ 的概率密度函数代入式(3)—式(5)中，最终代入式(1)和式(25)中，则可以得到

$\begin{align} \rho _{{\rm{PM,P'M}}}^{{\rm{LOS}}} =& \sqrt {\frac{{{K_{{\rm{PM}}}}{K_{{\rm{P'M}}}}}}{{({K_{{\rm{PM}}}} + 1)({K_{{\rm{P'M}}}} + 1)}}}\\ & \cdot{\rm{exp\{ }} - {\rm{j2}}{\text{π}}{\lambda ^{ - 1}}({\chi _{{\rm{PM}}}} - {\chi _{{\rm{P'M}}}}{\rm{)\} }}\hspace{60pt} \end{align}$

(26)

$\begin{align} \rho _{{\rm{PM,P'M}}}^{{\rm{SR}}} =& \sqrt {\frac{{{\eta _1}{{\eta '}_1}}}{{({K_{{\rm{PM}}}} + 1)({K_{{\rm{P'M}}}} + 1)}}} \\ & \cdot\int\nolimits_{{\rm{ - }}{\text{π}}}^{\text{π}} {{\rm{exp\{ }} - {\rm{j2}}{\text{π}}{\lambda ^{ - 1}}({\chi _{{\rm{P}}{S_{1i}}{\rm{M}}}} - {\chi _{{\rm{P'}}{S_{1i}}{\rm{M}}}}{\rm{)\} }}}\\ & \cdot f(\beta _{1i}^{\rm{R}}){\rm d}(\beta _{1i}^{\rm{R}}) \end{align}$

(27)

$\begin{align} \rho _{{\rm{PM,P'M}}}^{{\rm{SE}}} =& \sqrt {\frac{{{\eta _2}{{\eta '}_2}}}{{({K_{{\rm{PM}}}} + 1)({K_{{\rm{P'M}}}} + 1)}}} {{\rm{e}}^{{\rm{j(}}{\theta _{2j}} - {\theta _{3k}})}} \\ & \cdot \int\nolimits_{{\rm{ - }}{\text{π}}}^{\text{π}} \int\nolimits_{{\rm{ - }}{\text{π}}}^{\text{π}} {\rm{exp\{ }} - {\rm{j2}}{\text{π}}{\lambda ^{ - 1}}({\chi _{{\rm{P}}{S_{2j}}{\rm{M}}}}{\rm{ - }}{\chi _{{\rm{P'}}{S_{3k}}{\rm{M}}}}{\rm{)\} }}\\ & \cdot f(\beta _{2j}^{\rm{R}}) f(\beta _{3k}^{\rm{R}}){\rm d}(\beta _{2j}^{\rm{R}}){\rm d}(\beta _{3k}^{\rm{R}}) \end{align}$

(28)

$\begin{align} \rho _{{\rm{PM,P'M}}}^{{\rm{DB}}} =& \sqrt {\frac{{{\eta _3}{{\eta '}_3}}}{{({K_{{\rm{PM}}}} + 1)({K_{{\rm{P'M}}}} + 1)}}} \\ & \cdot\!\!\!\int\nolimits_{{\rm{ - }}{\text{π}}}^{\text{π}}\!\! \int\nolimits_{{\rm{ - }}{\text{π}}}^{\text{π}}\!\! \int\nolimits_{{\rm{ - }}{\text{π}}}^{\text{π}}\!\! exp\{ \!\!-\! {\rm{j2}}{\text{π}}{\lambda ^{ - 1}}\!({\chi _{{\rm{P}}{S_{2j}}{S_{1i}}{\rm{M}}}} \\ & - {\chi _{{\rm{P'}}{S_{3k}}{S_{1i}}{\rm{M}}}})\} f(\beta _{1i}^R)f(\beta _{2j}^{\rm{R}}) f(\beta _{3k}^{\rm{R}}){\rm d}(\beta _{1i}^{\rm{R}})\\ & \cdot {\rm d}(\beta _{2j}^{\rm{R}}){\rm d}(\beta _{3k}^{\rm{R}}) \end{align}$

(29)

其中，f(·)表示冯·米塞斯概率密度函数。由于 ${\theta _{2j}}$ 与 ${\theta _{3k}}$ 是由散射体 ${S_{2j}}$ , ${S_{3k}}$ 引起的相位变化，是独立同分布的随机变量，因此椭圆分量的相关性为0。计算相关性的时候，不再计算椭圆分量的相关性，但由于该分量仍承担一部分能量，所以对相关性仍然有影响，即椭圆分量承担的能量越多，其它分量承担的能量越少，相关性就弱。

3. 仿真结果分析

为了验证模型的合理性，对本文的模型进行了仿真分析。该模型的主要仿真参数设置如下： $R{\rm{ = }}64$ m, ${f_{\rm{c}}}{\rm{ = 2}}{\rm{.35\;GHz}}$ , $v = {\rm{198\;km/h}}$ , $x + y =$ $1000$ m, ${D_1} = {D_2}{\rm{ = 40\;m}}$ , ${\delta _{\rm{T}}}{\rm{ = }}{\delta _{\rm{R}}}{\rm{ = }}{\delta '_{\rm{T}}}{\rm{ = 0}}{\rm{.5}}\lambda$ , ${\alpha _{\rm{T}}}{\rm{ = }}$ ${\alpha _{\rm{R}}}{\rm{ = }}{\alpha '\!_{\rm{T}}}{\rm{ = }}0.5{\text{π}}$ 。根据式(26)，式(27)和式(29)，设置仿真参数分别对直射分量、单环分量和2次散射分量相关性进行仿真分析。

图3表示的是列车处于两基站的中间位置，即 $x = y = 500$ 时，直射分量的相关性随莱斯 $K$ 因子的变化曲线，其中 ${K_{{\rm{PM}}}}{\rm{ = }}{K_{{\rm{P'M}}}}{\rm{ = }}K$ 。从图3中可以看出，随 $K$ 因子的增大，直射分量的相关性也在不断增大，增长很快，与文献[13]中直射径会增加相关性的结论一致。在 $K$ 因子大于5之后，相关性增长趋于平缓，不断趋近于1，但永远小于1。这是由于始终存在散射分量承担一部分能量，所以随 $K$ 因子增大，直射分量承担的能量无限接近于总能量，但永远小于总能量，与实际相符。

图 3 莱斯K因子对直射分量的相关性的影响

下载: 全尺寸图片幻灯片

为了方便观察单环分量相关性的变化趋势，设定参数 ${K_{{\rm{PM}}}}{\rm{ = }}{K_{{\rm{P'M}}}}{\rm{ = 0}}$ , ${\eta _1}{\rm{ = }}{\eta '_{\!1}}{\rm{ = }}1$ , ${\eta _2}{\rm{ = }}{\eta '_{\!2}}{\rm{ = 0}}$ 和 ${\eta _3}{\rm{ = }}{\eta '_{\!3}}{\rm{ = 0}}$ 。

图4表示的是单环分量的相关性随列车位置的变化曲线。由图4中可以看出，随列车位置的变化，单环分量的相关性先增加后减少，这与实际中链路间夹角的变化情况一致。列车位置在两基站附近时，链路间夹角为90°，相关性为0；随着列车位置向基站中心移动，链路间夹角变大，相关性增强；当列车在两基站中心时，链路间夹角接近 ${180^{\rm{^\circ }}}$ ，相关性最大。

图 4 列车位置对单环分量的相关性的影响

下载: 全尺寸图片幻灯片

图5表示的是单环分量的相关性随角度扩展和平均到达角 ${\mu _1}$ 的变化曲线。由图5中可以看出，随着角度扩展的增大，单环分量的相关性降低，这是由于角度扩展的增加，导致周围分布的散射体的分布区域增大，散射分量的到达方向增多，链路间共享相同的散射体的可能性降低，因此单环分量的相关性降低，与文献[15]、文献[17]的理论分析和文献[18]的实测结果一致。此外，还可以看出单环分量在平均到达角为 $0.5{\text{π}}$ 时，相关性最强，与模型的对称性一致，与预期结果相吻合。

图 5 角度扩展、平均到达角对单环分量的相关性的影响

下载: 全尺寸图片幻灯片

同理，观察2次散射分量的相关性的影响因素时，设定参数 ${K_{{\rm{PM}}}}{\rm{ = }}{K_{{\rm{P'M}}}}{\rm{ = 0}}$ , ${\eta _1}{\rm{ = }}{\eta '_{\!1 }{\rm{ = 0}}$ , ${\eta _2}{\rm{ = }}{\eta '_{\!2}}{\rm{ = 0}}$ 和 ${\eta _3}{\rm{ = }}{\eta '_{\!3}}{\rm{ = }}1$ 。

图6表示的是2次散射分量的相关性随角度扩展和平均到达角 ${\mu _1}$ 的变化曲线。由图6中可以看出，随着角度扩展的增大，2次散射的相关性降低，与文献[15]、文献[17]的理论分析和文献[18]的实测结果一致。同样可以得到2次散射分量在平均到达角 ${\mu _1}$ 为 $0.5{\text{π}}$ 时，相关性最强，与模型的对称性一致，与预期结果相吻合。

图 6 角度扩展、平均到达角对2次散射分量的相关性的影响

下载: 全尺寸图片幻灯片

本文还对比了单环分量和2次散射分量的共同影响因素——莱斯 $K$ 因子和角度扩展，仿真设定参数 ${\eta _1}{\rm{ = }}{\eta '_{\!1}}{\rm{ = 1}}$ , ${\eta _2}{\rm{ = }}{\eta '_{\!2}}{\rm{ = 0}}$ 和 ${\eta _3}{\rm{ = }}{\eta '_{\!3}}{\rm{ = 1}}$ (实际中应满足 $\displaystyle\sum\nolimits_{m = 1}^3 {{\eta _m}({{\eta '}_{\!\! m}})} = 1$ )。

图7表示的是单环分量和2次散射分量的相关性随莱斯 $K$ 因子的变化曲线，此时 ${\kappa _1}{\rm{ = }}{\kappa _2}{\rm{ = }}{\kappa _3}{\rm{ = 300}}$ 。从图7中可以看出单环分量的相关性大于2次散射分量的相关性，这是由于随着反射次数的增多，该分量与更多的局部散射区域有关，因而链路更加多样性，降低了该分量的链路相似性，与文献[15]和文献[17]中反射次数多的散射分量空间相关性低的结论一致。其次，单环分量和2次散射分量的相关性都随莱斯 $K$ 因子的增大而降低，与莱斯 $K$ 因子越大，散射分量承担能量越少的实际情况一致。同时还可以看出莱斯 $K$ 因子对单环分量的相关性影响更大，但随着莱斯 $K$ 因子的增加，二者的相关性都趋近于0，与莱斯 $K$ 因子很大时，散射分量几乎不存在的实际情况相符。

图 7 莱斯K因子对单环分量、2次散射分量的相关性的影响对比图

下载: 全尺寸图片幻灯片

图8表示的是单环分量和2次散射分量的相关性随角度扩展的变化曲线，此时 ${K_{{\rm{PM}}}}{\rm{ = }}{K_{{\rm{P'M}}}}{\rm{ = 0}}$ 。由图8可以看出，单环分量的相关性要大于2次散射分量的相关性，与文献[15]、文献[17]中的结论一致。还可以看出2次散射分量相关性随着角度扩展的增加下降更加迅速，因此角度扩展对2次散射分量的相关性影响更大。同时随着角度扩展的增加，单环分量和2次散射分量相关性都小于0.2，即相关性很低，与预期相吻合。

图 8 角度扩展对单环分量、2次散射分量相关性的影响对比图

下载: 全尺寸图片幻灯片

对于模型中的关键参数，如莱斯 $K$ 因子、 $\beta _{1i}^{\rm{R}}$ , $\beta _{2j}^{\rm{R}}$ 和 $\beta _{3k}^{\rm{R}}$ 的角度扩展参数 ${\mu _1}{\text{和}}{\kappa _1}$ , ${\mu _2}{\text{和}}{\kappa _2}$ , ${\mu _3}{\text{和}}{\kappa _3}$ 以及能量参数 ${\eta _1}$ , ${\eta _2}$ , ${\eta _3}$ , ${\eta '_{\!1}}$ , ${\eta '_{\!2}}$ , ${\eta '_{\!3}}$ 等可依照给定场景设定，可使用实际测量数据提取到的参数进行设定，还可设定为特殊场景进行单一分量的研究。其中，莱斯因子 $K = 0$ ，代表没有直射分量、全部为散射分量的情况； ${\eta _1}{\rm{ = }}{\eta '_{\!1}}{\rm{ = }}0$ ，代表高铁车厢附近没有散射体的情况； ${\eta _2}{\rm{ = }}0$ 或 ${\eta '_{\!2}}{\rm{ = }}0$ ，代表 ${{\rm{F}}_{\rm{1}}}$ 或 ${{\rm{F}}_2}$ 基站到接收机附近没有散射体的情况。因此，该模型可通过简单调整模型的几个关键参数适用于高速铁路的多种场景。设置模型的这些关键参数的基本准则如下：针对某一条链路，链路间距离越长，莱斯 $K$ 因子越小，散射分量携带的能量越强，周围分布的散射体的角度扩展越大。

4. 模型验证

为了验证模型的准确性与可行性，参照文献[19]的北京—天津高铁段LTE专网实测数据，对模型的多链路相关性进行仿真验证，模型的参数设置如下： ${f_{\rm{c}}}{\rm{ = 1}}{\rm{.89\;GHz}}$ , $v = 285$ ${\rm{km/h}}$ , ${D_1} = {D_2}{\rm{ = }}$ 30 m, ${\delta _{\rm{T}}}{\rm{ = }}{\delta _{\rm{R}}}{\rm{ = }}{\delta '\!_{\rm{T}}}{\rm{ = 0}}{\rm{.25}}\lambda$ , ${\alpha _{\rm{T}}}{\rm{ = }}{\alpha _{\rm{R}}}{\rm{ = }}{\alpha '\!_{\rm{T}}}{\rm{ = }}0.5{\text{π}}$ , $R{\rm{ = 80\;m}}$ , $x + y = 1200$ m，采样点区间为 $200 \le x \le$ 400。

在验证时，首先设定单环分量与2次散射分量的能量参数 ${\eta _1}{\rm{ = }}{\eta '_{\!1}}{\rm{ = 1}}$ 和 ${\eta _3}{\rm{ = }}{\eta '_{\!3}}{\rm{ = 0}}$ 进行了最大相关性的结果仿真，得到Rho_1 data。之后多次进行能量参数以及角度扩展参数的调整，得到最佳的拟合状态Rho_2 data，结果如图9所示，此时单环分量的能量参数设为 ${\eta _1}{\rm{ = }}{\eta '_{\!1}}{\rm{ = 0}}{\rm{.67}}$ , 2次散射分量的能量参数设为 ${\eta _3}{\rm{ = }}{\eta '_{\!3}}{\rm{ = 0}}{\rm{.33}}$ ，这与高铁环境中散射体比较稀疏的实际情况相吻合。单环分量的角度扩展设置为均值29.9、标准差15的正态分布，2次散射分量的角度扩展设置为均值55、标准差12的正态分布，与实测结果基本吻合。理论模型相关性正态拟合的均值和标准差分别为0.253083和0.0152122，实测数据的拟合结果为0.255303和0.0162956。对比上述结果可以发现理论模型的相关性与实测数据的相关性十分吻合，验证了本文提出的基于几何的理论模型能够有效模拟实际信道的真实情况。

图 9 理论模型与实测数据的多链路相关性的概率分布函数及对数正态分布的拟合结果

下载: 全尺寸图片幻灯片

5. 结论

本文基于几何随机散射理论，提出了一种新的协作MIMO信道模型，该模型可适用于高铁的多种场景。基于该模型对多链路空间相关性进行数值计算和仿真分析，研究多链路空间相关性的影响因素。仿真结果表明莱斯 $K$ 因子和角度扩展对链路间相关性的影响很大。直射分量越强，周围散射体分布越集中，散射分量的角度扩展越小，散射的次数越少，多链路的空间相关性就越强。最后，通过北京——天津高铁段LTE专网的实测数据验证了理论模型的正确性。

图 1 3轮的量子区分器

下载: 全尺寸图片幻灯片

图 2 FX结构

下载: 全尺寸图片幻灯片

图 3 Ito等人在Feistel上的4轮量子区分器

下载: 全尺寸图片幻灯片

图 4 $d$ 分支Type-1 GFS的第 $i$ 轮

下载: 全尺寸图片幻灯片

图 5 4分支Type-1 GFS的选择明文量子区分器

下载: 全尺寸图片幻灯片

图 6 4分支Type-1 GFS的16轮密钥恢复攻击

下载: 全尺寸图片幻灯片

图 7 4分支CAST256-like GFS的10轮区分器

下载: 全尺寸图片幻灯片

图 8 CAST-256的12轮区分器

下载: 全尺寸图片幻灯片

图 9 CAST-256的14轮攻击

下载: 全尺寸图片幻灯片

图 10 CAST-256的13轮区分器

下载: 全尺寸图片幻灯片

表 1 Type-1 GFS的量子区分器的轮数

来源	攻击条件	$r$	$d = 3$	$d = 4$	$d = 5$	$d = 6$	$d = 7$
文献[35]	qCPA	2d–1	5	7	9	11	13
4.1节	qCPA	3d–3	6	9	12	15	18
4.2节	qCCA	3d–2	7	10	13	16	19

下载: 导出CSV

表 2 在量子环境下对Type-1 GFS的密钥恢复攻击

来源	区分器轮数	密钥恢复轮数	复杂度(log)	穷搜复杂度(log)
文献[35]	$2d - 1$	$r \ge {d^2}$	$T + ({{r - {d^2} + d - 2)n} / 2}$	${{rn} / 2}$
4.1节	$3d - 3$	$r \ge {d^2}$	$T + ({{r - {d^2})n} / 2}$	${{rn} / 2}$

下载: 导出CSV

表 3 CAST-256的量子攻击

来源	攻击条件	区分器轮数	密钥恢复攻击轮数
来源	攻击条件	区分器轮数	$r = 14$	$r = 15$	$r = 16$	$r = 17$	$r = 18$	$r = 19$
文献[35]	qCPA	7	${2^{74}}$	${2^{92.5}}$	${2^{111}}$	$-$	$-$	$-$
5.1节	qCPA	12	${2^{37}}$	${2^{55.5}}$	${2^{74}}$	${2^{92.5}}$	${2^{111}}$	$-$
5.2节	qCCA	13	${2^{18.5}}$	${2^{37}}$	${2^{55.5}}$	${2^{74}}$	${2^{92.5}}$	${2^{111}}$

下载: 导出CSV

表 4 针对CAST-256的经典攻击和量子攻击的比较

来源	密钥长度	攻击	轮数	数据	时间
文献[39]	128	飞去来器	16	${2^{49.3}}$	$-$
5.2节	128	qCCA	16	–	${2^{55.5}}$
文献[40]	192	线性攻击	24	${2^{124.1}}$	${2^{156.52}}$
5.2节	192	qCCA	17	–	${2^{74}}$
文献[41]	256	多维零相关	28	${2^{98.8}}$	${2^{246.9}}$
5.2节	256	qCCA	19	–	${2^{111}}$

下载: 导出CSV

参考文献(41)

KNUDSEN L R. The security of Feistel ciphers with six rounds or less[J]. Journal of Cryptology, 2002, 15(3): 207–222. doi: 10.1007/s00145-002-9839-y

ISOBE T and SHIBUTANI K. Generic key recovery attack on Feistel scheme[C]. The 19th International Conference on the Theory and Application of Cryptology and Information Security, Bengaluru, India, 2013: 464–485.

GUO Jian, JEAN J, NIKOLIĆ I, et al. Meet-in-the-middle attacks on generic Feistel constructions[C]. The 20th International Conference on the Theory and Application of Cryptology and Information Security, Kaoshiung, China, 2014: 458–477.

DINUR I, DUNKELMAN O, KELLER N, et al. New attacks on Feistel structures with improved memory complexities[C]. The 35th Annual Cryptology Conference, Santa Barbara, USA, 2015: 433–454.

AOKI K, ICHIKAWA T, KANDA M, et al. Camellia: A 128-bit Block Cipher Suitable for Multiple Platforms - Design and Analysis[M]. Berlin, Heidelberg: Springer, 2001: 39–56.

National Soviet Bureau of Standards. GOST 28147-89 Information processing systems. cryptographic protection cryptographic transformation algorithm[S]. 1989.

ZHENG Yuliang, MATSUMOTO T, and IMAI H. On the construction of block ciphers provably secure and not relying on any unproved hypotheses[C]. Conference on the Theory and Application of Cryptology, Santa Barbara, USA, 1990: 461–480.

ANDERSON R and BIHAM E. Two practical and provably secure block ciphers: BEAR and LION[C]. The 3rd International Workshop on Fast Software Encryption, Cambridge, UK, 1996: 113–120.

LUCKS S. Faster luby-rackoff ciphers[C]. The 3rd International Workshop on Fast Software Encryption, Cambridge, UK, 1996: 189–203.

SCHNEIER B and KELSEY J. Unbalanced Feistel networks and block cipher design[C]. The 3rd International Workshop on Fast Software Encryption, Cambridge, UK, 1996: 121–144.

First AES Candidate Conference[EB/OL]. http://csrc.nist.gov/archive/aes/round1/conf1/aes1conf.htm.

SHIRAI T, SHIBUTANI K, AKISHITA T, et al. The 128-bit blockcipher CLEFIA (extended abstract)[C]. The 14th International Workshop on Fast Software Encryption, Luxembourg, Luxembourg, 2007: 181–195.

GUERON S and MOUHA N. Simpira v2: A family of efficient permutations using the AES round function[C]. The 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, 2016: 95–125.

LUBY M and RACKOFF C. How to construct pseudorandom permutations from pseudorandom functions[J]. SIAM Journal on Computing, 1988, 17(2): 373–386. doi: 10.1137/0217022

MORIAI S and VAUDENAY S. On the pseudorandomness of top-level schemes of block ciphers[C]. The 6th International Conference on the Theory and Application of Cryptology and Information Security, Kyoto, Japan, 2000: 289–302.

HOANG V T and ROGAWAY P. On generalized Feistel networks[C]. The 30th Annual Cryptology Conference, Santa Barbara, USA, 2010: 613–630.

JUTLA C S. Generalized birthday attacks on unbalanced Feistel networks[C]. The 18th Annual International Cryptology Conference, Santa Barbara, USA, 1998: 186–199.

GUO Jian, JEAN J, NIKOLIC I, et al. Meet-in-the-middle attacks on classes of contracting and expanding Feistel constructions[J]. IACR Transactions on Symmetric Cryptology, 2016(2): 307–337.

NACHEF V, VOLTE E, and PATARIN J. Differential attacks on generalized Feistel schemes[C]. The 12th International Conference on Cryptology and Network Security, Paraty, Brazil, 2013: 1–19.

TJUAWINATA I, HUANG Tao, and WU Hongjun. Improved differential cryptanalysis on generalized Feistel schemes[C]. The 18th International Conference on Cryptology in India, Chennai, India, 2017: 302–324.

PATARIN J, NACHEF V, and BERBAIN C. Generic attacks on unbalanced Feistel schemes with contracting functions[C]. The 12th International Conference on the Theory and Application of Cryptology and Information Security, Shanghai, China, 2006: 396–411.

PATARIN J, NACHEF V, and BERBAIN C. Generic attacks on unbalanced Feistel schemes with expanding functions[C]. The 13th International Conference on the Theory and Application of Cryptology and Information Security, Kuching, Malaysia, 2007: 325–341.

VOLTE E, NACHEF V, and PATARIN J. Improved generic attacks on unbalanced Feistel schemes with expanding functions[C]. The 16th International Conference on the Theory and Application of Cryptology and Information Security, Singapore, 2010: 94–111.

GROVER L K. A fast quantum mechanical algorithm for database search[C]. The 28th Annual ACM Symposium on Theory of Computing, Philadelphia, USA, 1996: 212–219.

KUWAKADO H and MORII M. Quantum distinguisher between the 3-round Feistel cipher and the random permutation[C]. IEEE International Symposium on Information Theory, Austin, USA, 2010: 2682–2685.

SIMON D R. On the power of quantum computation[J]. SIAM Journal on Computing, 1997, 26(5): 1474–1483. doi: 10.1137/S0097539796298637

KUWAKADO H and MORII M. Security on the quantum-type even-mansour cipher[C]. 2012 International Symposium on Information Theory and its Applications, Honolulu, USA, 2012: 312–316.

KAPLAN M, LEURENT G, LEVERRIER A, et al. Breaking symmetric cryptosystems using quantum period finding[C]. The 36th Annual International Cryptology Conference, Santa Barbara, USA, 2016: 207–237.

BONNETAIN X. Quantum key-recovery on full AEZ[C]. The 24th International Conference on Selected Areas in Cryptography, Ottawa, Canada, 2018: 394–406.

LEANDER G and MAY A. Grover meets simon - quantumly attacking the FX-construction[C]. The 23rd International Conference on the Theory and Applications of Cryptology and Information Security, Hong Kong, China, 2017: 161–178.

ZHANDRY M. How to construct quantum random functions[C]. The 53rd IEEE Annual Symposium on Foundations of Computer Science, New Brunswick, USA, 2012: 679–687.

ITO G, HOSOYAMADA A, MATSUMOTO R, et al. Quantum chosen-ciphertext attacks against Feistel ciphers[C]. The Cryptographers' Track at the RSA Conference, San Francisco, USA, 2019: 391–411.

HOSOYAMADA A and SASAKI Y. Quantum demiric-selçuk meet-in-the-middle attacks: Applications to 6-round generic Feistel constructions[C]. The 11th International Conference on Security and Cryptography for Networks, Amalfi, Italy, 2018: 386–403.

DONG Xiaoyang and WANG Xiaoyun. Quantum key-recovery attack on Feistel structures[J]. Science China Information Sciences, 2018, 61(10): 102501. doi: 10.1007/s11432-017-9468-y

DONG Xiaoyang, LI Zheng, and WANG Xiaoyun. Quantum cryptanalysis on some generalized Feistel schemes[J]. Science China Information Sciences, 2019, 62(2): 22501. doi: 10.1007/s11432-017-9436-7

DONG Xiaoyang, DONG Bingyou, and WANG Xiaoyun. Quantum attacks on some Feistel block ciphers[R]. Cryptology ePrint Archive, Report 2018/504, 2018.

BONNETAIN X, NAYA-PLASENCIA M, and SCHROTTENLOHER A. On quantum slide attacks[R]. Cryptology ePrint Archive, Report 2018/1067, 2018.

HOSOYAMADA A and IWATA T. Tight quantum security bound of the 4-round luby-rackoff construction[R]. Cryptology ePrint Archive, Report 2019/243, 2019.

WAGNER D. The boomerang attack[C]. The 6th International Workshop on Fast Software Encryption, Rome, Italy, 1999: 156–170.

WANG Meiqin, WANG Xiaoyun, and HU Changhui. New linear cryptanalytic results of reduced-round of CAST-128 and CAST-256[C]. The 15th International Workshop on Selected Areas in Cryptography, Sackville, Canada, 2009: 429–441.

BOGDANOV A, LEANDER G, NYBERG K, et al. Integral and multidimensional linear distinguishers with correlation zero[C]. The 18th International Conference on the Theory and Application of Cryptology and Information Security, Beijing, China, 2012: 244–261.

施引文献

资源附件(0)

访问统计

图(10) / 表(4)

计量

文章访问数: 3477
HTML全文浏览量: 1066
PDF下载量: 149
被引次数: 0

1. 引言
2. 高速铁路协作MIMO几何随机信道建模
2.1 模型介绍
2.2 信道冲激响应推导
2.3 多链路空间相关函数推导
3. 仿真结果分析
4. 模型验证
5. 结论

姓名
邮箱
手机号码
标题
留言内容
验证码

留言板

改进的Type-1型广义Feistel结构的量子攻击及其在分组密码CAST-256上的应用

doi: 10.11999/JEIT190633

作者简介:
董晓阳：男，1988年生，助理研究员。研究方向为对称密码算法的安全性分析与设计

通讯作者:
董晓阳　xiaoyangdong@tsinghua.edu.cn

计量

Improved Quantum Attack on Type-1 Generalized Feistel Schemes and Its Application to CAST-256

1. 引言

2. 高速铁路协作MIMO几何随机信道建模

2.1 模型介绍

2.2 信道冲激响应推导

2.3 多链路空间相关函数推导

3. 仿真结果分析

4. 模型验证

5. 结论

计量

目录

1. 引言

2. 高速铁路协作MIMO几何随机信道建模

2.1 模型介绍

2.2 信道冲激响应推导

2.3 多链路空间相关函数推导

3. 仿真结果分析

4. 模型验证

5. 结论

留言板

改进的Type-1型广义Feistel结构的量子攻击及其在分组密码CAST-256上的应用

doi: 10.11999/JEIT190633

作者简介: 董晓阳：男，1988年生，助理研究员。研究方向为对称密码算法的安全性分析与设计

通讯作者: 董晓阳 xiaoyangdong@tsinghua.edu.cn

计量

出版历程

Improved Quantum Attack on Type-1 Generalized Feistel Schemes and Its Application to CAST-256

1. 引言

2. 高速铁路协作MIMO几何随机信道建模

2.1 模型介绍

2.2 信道冲激响应推导

2.3 多链路空间相关函数推导

3. 仿真结果分析

4. 模型验证

5. 结论

计量

出版历程

目录

1. 引言

2. 高速铁路协作MIMO几何随机信道建模

2.1 模型介绍

2.2 信道冲激响应推导

2.3 多链路空间相关函数推导

3. 仿真结果分析

4. 模型验证

5. 结论

作者简介:
董晓阳：男，1988年生，助理研究员。研究方向为对称密码算法的安全性分析与设计

通讯作者:
董晓阳　xiaoyangdong@tsinghua.edu.cn