繼２０００年１０月美國推出二十一世紀(jì)高級數(shù)據(jù)加密標(biāo)準(zhǔn)ＡＥＳ后，２００３年２月歐洲最新一代的安全標(biāo)準(zhǔn)ＮＥＳＳＩＥ（Ｎｅｗ Ｅｕｒｏｐｅａｎ Ｓｃｈｅｍｅｓ ｆｏｒ Ｓｉｇｎａｔｕｒｅｓ、Ｉｎｔｅｇｒｉｔｙ ａｎｄ Ｅｎｃｒｙｐｔｉｏｎ）出臺。ＮＥＳＳＩＥ是歐洲ＩＳＴ（Ｉｎｆｏｒｍａｔｉｏｎ Ｓｏｃｉｅｔｙ Ｔｅｃｈｎｏｌｏｇｉｅｓ）委員會計(jì)劃的一個(gè)項(xiàng)目。Ｃａｍｅｌｌｉａ算法以其在各種軟件和硬件平臺上的高效率這一顯著特點(diǎn)成為ＮＥＳＳＩＥ標(biāo)準(zhǔn)中兩個(gè)１２８比特分組密碼算法之一（另一個(gè)為美國的ＡＥＳ算法）。

　�。茫幔恚澹欤欤椋崴惴ㄓ桑危裕院停停椋簦螅酰猓椋螅瑁� Ｅｌｅｃｔｒｉｃ Ｃｏｒｐｏｒａｔｉｏｎ聯(lián)合開發(fā)。作為歐洲新一代的加密標(biāo)準(zhǔn)，它具有較強(qiáng)的安全性，能夠抵抗差分和線性密碼分析等已知的攻擊。與ＡＥＳ算法相比，Ｃａｍｅｌｌｉａ算法在各種軟硬件平臺上表現(xiàn)出與之相當(dāng)?shù)募用芩俣�。除了在各種軟件和硬件平臺上的高效性這一顯著特點(diǎn)，它的另外一個(gè)特點(diǎn)是針對小規(guī)模硬件平臺的設(shè)計(jì)。整個(gè)算法的硬件執(zhí)行過程包括加密、解密和密鑰擴(kuò)展三部分，只需占用８．１２Ｋ ０．１８μｍ ＣＯＭＳ工藝ＡＳＩＣ的庫門邏輯。這在現(xiàn)有１２８比特分組密碼中是最小的。

　�。� Ｃａｍｅｌｌｉａ算法的組成 Ｃａｍｅｌｌｉａ算法支持１２８比特的分組長度，１２８、１９２和２５６比特的密鑰與ＡＥＳ的接口相同。本文以１２８比特密鑰為例對Ｃａｍｅｌｌｉａ算法進(jìn)行詳細(xì)介紹。

　�。茫幔恚澹欤欤椋崴惴ǎ保玻副忍孛荑�的加、解密過程共有１８輪，采用Ｆｅｉｓｔｅｌ結(jié)構(gòu)，加、解密過程完全相同，只是子密鑰注入順序相反。而且密鑰擴(kuò)展過程和加、解密過程使用相同的部件。這使得Ｃａｍｅｌｌｉａ算法不論是在軟件平臺還是硬件平臺只需更小的規(guī)模和更小的存儲即可。

(１)Ｃａｍｅｌｌｉａ算法所采用的符號列表及其含義

Ｂ ８比特向量 Ｗ ３２比特向量
Ｌ ６４比特向量 Ｑ １２８比特向量
ｘ(ｎ) 比特向量
ｘL 向量ｘ的左半部分 ｘR 向量ｘ的右半部分
＜＜＜ 比特循環(huán)左移 ｜｜ 兩個(gè)操作數(shù)的連接
 比特的異或操作 ｘ 比特位取補(bǔ)操作
∪ 比特位的或操作 ∩ 比特位的與操作

(２)Ｃａｍｅｌｌｉａ算法所采用的變量列表及其含義

　�。�(128) １２８比特明文組 Ｃ(128) １２８比特密文組
Ｋ 主密鑰 ｋｗt(64)，ｋu(64)，ｋｌv(64)， 子密鑰

（３）Ｃａｍｅｌｌｉａ算法所采用的變換函數(shù) ·Ｆ變換

　�。谱儞Q（見式（１））是Ｃａｍｅｌｌｉａ算法中最主要的部件之一，而且Ｆ變換被加、解密過程和密鑰擴(kuò)展過程所共用（１２８比特密鑰的加、解密各用１８次，密鑰擴(kuò)展用４次）。Ｃａｍｅｌｌｉａ算法的Ｆ變換在設(shè)計(jì)時(shí)采用１輪的ＳＰＮ（Ｓｕｂｓｔｉｔｕｔｉｏｎ Ｐｅｒｍｕｔａｔｉｏｎ Ｎｅｔｗｏｒｋ），包括一個(gè)Ｐ變換（線性）和一個(gè)Ｓ變換（非線性）。在Ｆｅｉｓｔｅｌ型密碼使用一輪ＳＰＮ作輪函數(shù)時(shí)，對更高階的差分和線性特性概率的理論評估變得更加復(fù)雜，在相同安全水平下的運(yùn)行速度有所提高。

Ｆ：Ｌ×Ｌ→Ｌ （１）
（Ｘ（64），ｋ（64））→Ｙ（64）＝Ｐ（Ｓ（Ｘ（64）ｋ（64））

　　·Ｐ變換 Ｃａｍｅｌｌｉａ算法的Ｐ變換（見式（２））是一個(gè)線性變換。為了通信中軟、硬件實(shí)現(xiàn)的高效性，它適合采用異或運(yùn)算，并且其安全性能足以抵抗差分和線性密碼分析。其在３２位處理器、高端智能卡上的應(yīng)用，跟在８位處理器上一樣。

Ｐ：Ｌ→Ｌ
                  
    ·Ｓ變換

　　Ｃａｍｅｌｌｉａ算法采用的Ｓ盒（見式（３））是一個(gè)ＧＦ（２8）上的可逆變換，它加強(qiáng)了算法的安全性并且適用于小硬件設(shè)計(jì)。眾所周知，ＧＦ（２8）上函數(shù)的最大差分概率的最小值被證明為２－6，最大線性概率的最小值推測為２－6。Ｃａｍｅｌｌｉａ算法選擇ＧＦ（２8）上能夠獲得最好的差分和線性概率的可逆函數(shù)作Ｓ盒，而且Ｓ盒每個(gè)輸出比特具有高階布爾多項(xiàng)式，使得對Ｃａｍｅｌｌｉａ進(jìn)行高階差分攻擊是困難的。Ｓ盒在ＧＦ（２8）上輸入、輸出相關(guān)函數(shù)上的復(fù)雜表達(dá)式，使得插入攻擊對Ｃａｍｅｌｌｉａ無效。

Ｓ：Ｌ→Ｌ

（ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8））→
（ｓ1（ｌ1（8）），ｓ2（ｌ2（8）），ｓ3（ｌ3（8）），ｓ4（ｌ4（8）），ｓ2（ｌ5（8）），ｓ3（ｌ6（8）），
ｓ4（ｌ7（8）），ｓ1（ｌ8（8）））

ｓ1：ｙ（8）＝ｓ1（ｘ（8））＝ｈ（ｇ（ｆ（０ｘＣ５ｘ（8）））） ０ｘ６Ｅ
其中，ｓ2