2026年6月11日,人工智能学院青年科研B组在知新楼302召开例行学术会议,本次会议由管昀老师担任主讲人,围绕冯登国等人发表于《中国科学:信息科学》2024年第67卷第9期的论文"LOL:a highly flexible framework for designing stream ciphers"进行专题研读与讨论。随着5G移动通信系统的广泛部署和6G系统的前瞻布局,3GPP已明确要求5G序列密码速度超过20Gbps、安全裕度达到256位,而现有4G标准SNOW3G和ZUC-128仅有128位密钥,无法满足上述要求。冯登国团队提出的LOL框架是一种用于设计分组式序列密码的通用框架,在软件效率、安全性和灵活性方面均表现突出。
一、会议内容
LOL框架由线性驱动器(LFSR)、非线性驱动器(NFSR)和有限状态机(FSM)三大组件构成。FSM中的SP网络函数R定义为AES轮函数中SubByte、ShiftRow和MixColumn的复合运算:
R(S)=MC ∘ SR ∘ SB(S)
该函数可通过单条AES-NI指令实现。LOL-MINI采用单模式,256比特密钥、128比特IV,LFSR由8个16比特单元构成,基于8个16次不可约多项式g0(y)至g7(y)的根α0至α7定义乘法运算C×和置换σ,LFSR周期为2^256-1。LOL-DOUBLE采用并行-双模式,256比特密钥和IV,LFSR扩展至32个16比特单元,新增8个多项式g8(y)至g15(y),周期达到2^512-1。LOL-DOUBLE的256比特密钥流块为两个独立128比特块的拼接:
Z_t=(Z_t^0,Z_t^1)=(G_t^0 ⊕ N_t^0,G_t^1 ⊕ N_t^1)
两种实例化均采用12轮初始化,在t=-1时采用FP-(1)模式将主密钥异或至内部状态以确保不可逆性。安全性方面,LOL-MINI差分攻击安全界为r≥6轮(概率小于2^-256),LOL-DOUBLE为r≥4轮。积分攻击方面,IV需经过至少5至6轮AES运算,而5轮及以上AES不存在积分区分器,12轮初始化充分保证安全性。软件性能方面,LOL-MINI达到89Gbps,LOL-DOUBLE在AVX512实现下达到135Gbps,结合GCM和NMH模式可实现超过40Gbps的AEAD方案。
二、会议讨论
关于LOL框架与3GPP标准的适配性,大家认为LOL-MINI和LOL-DOUBLE在速度上已满足20Gbps要求,256位安全裕度也符合标准,但标准化仍需更多第三方独立安全分析。有老师提出,框架采用AES轮函数作为组件R,便于利用AES-NI指令实现高速运算,但对不支持该指令集的低端设备可能存在性能瓶颈,建议探索非AES组件替代方案。关于初始化轮数,差分分析仅需4至6轮,但积分攻击分析要求至少5至6轮AES运算,12轮配置在安全冗余和性能开销间取得了合理平衡。关于扩展性,框架的圆形连接结构理论上支持n路并行扩展,但需重新评估安全界。关于后量子安全,建议后续深入分析Grover算法对256比特密钥搜索的影响。
三、会议结论
LOL框架从结构层面实现了序列密码在速度、安全性和灵活性上的同步提升。LOL-MINI和LOL-DOUBLE均支持256比特密钥,软件性能分别达到89和135Gbps,远超3GPP 5G标准的20Gbps要求。全面的安全性评估覆盖差分、积分、滑动、猜测-确定、时间-内存-数据折中和代数攻击等六类方法,均验证了256比特安全裕度。结合GCM和NMH模式可实现超过40Gbps的AEAD方案,优于SNOW-V-GCM的28Gbps。未来可关注物联网轻量级设备适配、后量子安全评估、更高并行度扩展以及3GPP标准化部署等方向。下次例会将继续由下一位老师分享相关研究进展

