NIST终版轻量级加密标准发布 Ascon家族算法守护小型设备安全

四款Ascon家族算法正式启用，为物联网及资源受限设备提供定制化安全防护
2025年8月13日 美国国家标准与技术研究院（NIST）

随着物联网（IoT）、智能医疗、智能交通等领域的快速扩张，全球小型联网设备数量已突破百亿级。这些设备——从智能家电、RFID标签到医疗植入物、汽车ETC应答器——虽体积小巧、功能强大，却因计算能力弱、电池容量有限等“先天不足”，无法有效运行传统加密技术，成为网络攻击的“软目标”。为解决这一痛点，NIST于今日正式发布 《基于Ascon的受限设备轻量级加密标准》（NIST特别出版物800-232），以四款经过全球密码学界检验的Ascon家族算法，为小型设备打造“量身定制”的安全盾牌。

背景：小型设备的“安全困境”

传统加密算法（如AES对称加密、SHA-3哈希）需消耗大量计算资源，而小型设备往往受限于芯片性能、电池寿命或存储空间，无法承受此类“重载”。例如，一枚医疗植入物的处理器可能只有几KB内存，若强行运行AES-256，可能导致电池快速耗尽，甚至影响设备正常功能；而未加密的RFID标签，可能被黑客轻易读取并篡改数据，威胁供应链安全。

“小型设备的安全需求与大型计算机不同——它们需要‘轻量级’的加密：在不占用过多资源的前提下，提供足够的保密性、完整性和真实性，”NIST轻量级加密项目联合负责人Meltem Sönmez Turan表示，“这正是我们开发该标准的核心目标。”

标准核心：Ascon家族算法的“突围”

作为标准的基础，Ascon家族算法的选择历经严格筛选。该算法由奥地利格拉茨科技大学、德国英飞凌科技和荷兰拉德堡德大学的团队于2014年联合开发，2019年在CAESAR竞赛（国际权威加密算法竞赛）中击败众多对手，成为轻量级加密的“首选方案”。此后，Ascon经过全球密码学家的多年攻击测试，安全性得到广泛认可。

2023年，NIST正式选定Ascon作为轻量级加密标准的基础，并启动了为期两年的公开审查流程。期间，来自 industry、学术界和政府的专家提出了数百条反馈意见，NIST团队逐一回应并调整，最终形成了包含四款变体的终版标准。

四款算法：覆盖轻量级加密核心需求

标准中的四款Ascon变体，针对轻量级加密的两大核心任务——带关联数据的认证加密（AEAD）（同时实现加密和真实性验证）和哈希（生成数据“指纹”以确保完整性），提供了灵活的选择：

1. ASCON-128 AEAD：小型设备的“安全基石”

作为标准的“主力”算法，ASCON-128 AEAD可同时完成数据加密和真实性验证，解决了小型设备“既要安全又要高效”的矛盾。其设计特别考虑了侧信道攻击（黑客通过观察设备功耗、运行时间等物理特征提取敏感信息）的防御——相比传统算法，ASCON更易实现“侧信道抗性”，即使设备被物理接触，也能有效保护数据。
适用场景：RFID标签（防止数据篡改）、医疗植入物（保护患者生理数据）、汽车ETC应答器（防止 toll 欺诈）。

2. ASCON-Hash 256：数据完整性的“守护者”

该算法生成256位固定长度的哈希值，如同数据的“指纹”——即使原数据有1位变化，哈希值也会完全不同。这一特性使其成为软件更新（防止恶意软件注入）、密码保护（避免明文存储）和数字签名（如网上银行转账）的理想选择。
优势：作为NIST SHA-3哈希家族的轻量级替代方案，ASCON-Hash 256的计算复杂度更低，适合小型设备使用。

3. ASCON-XOF 128：可变长度的“灵活工具”

与固定长度的哈希算法不同，ASCON-XOF 128允许用户自定义哈希值长度（从1字节到任意长度）。对于资源极度受限的设备（如传感器），缩短哈希长度可大幅减少计算时间和能耗；而对于需要更高安全性的场景，也可选择更长的哈希长度。

4. ASCON-CXOF 128：避免“哈希碰撞”的“保险栓”

作为ASCON-XOF 128的增强版，ASCON-CXOF 128增加了自定义标签功能。当多台设备执行相同加密操作时，可能出现“哈希碰撞”（两个不同数据生成相同哈希值），给黑客提供攻击线索。通过为每个设备添加唯一标签（如设备ID），可彻底避免这一问题，提升安全性。
适用场景：批量生产的智能家电（如智能灯泡）、物联网传感器网络（如工业监控设备）。

意义：推动小型设备“加密普及”

“我们希望这个标准能打破‘小型设备无法加密’的刻板印象，”NIST项目联合负责人Kerry McKay表示，“过去，很多制造商因资源限制放弃加密，导致设备暴露在风险中。现在，有了Ascon标准，他们可以在不牺牲性能的前提下，为设备添加安全保护。”

该标准的发布，将直接惠及多个行业：

• 智能家电：保护用户隐私（如智能摄像头的视频数据）；
• 医疗健康：确保植入式设备（如心脏起搏器）的指令不被篡改；
• 智能交通：防止ETC应答器被克隆，避免 toll 欺诈；
• 供应链：保护RFID标签中的物流数据，防止伪造。

未来：可扩展的“安全框架”

NIST团队强调，该标准并非“终点”，而是“可扩展的安全框架”。未来，NIST计划根据社区反馈，添加更多功能，如专用消息认证码（MAC）（用于验证消息来源）、密钥派生函数（KDF）（从主密钥生成子密钥）等，以覆盖更广泛的使用场景。

“我们已经收到了很多关于扩展功能的建议，”McKay表示，“比如，有些制造商需要更轻量级的MAC算法，用于资源极度受限的传感器。我们计划在未来1-2年内启动这些功能的开发工作。”

结语：小型设备的“安全新时代”

NIST轻量级加密标准的发布，标志着小型设备的安全防护进入了“定制化”阶段。通过Ascon家族算法的“轻量级”设计，原本因资源限制无法加密的设备， now 可以获得与大型计算机相当的安全保障。

“对于小型设备来说，安全不是‘可选的’，而是‘必须的’，”Turan强调，“我们希望这个标准能成为小型设备制造商的‘安全指南’，让每一个联网的‘小设备’都能在安全的环境中运行。”

如需了解标准的详细内容，可访问NIST轻量级加密项目页面：https://www.nist.gov/itl/projects/lightweight-cryptography。

（注：本文基于NIST官方新闻稿翻译整理，内容均为客观事实陈述。）