第2章_流密码__现代密码学

1、第第2章章 流密码流密码2.1 流密码的基本概念流密码的基本概念2.2 线性反馈移位寄存器线性反馈移位寄存器2.3 线性移位寄存器的一元多项式表示线性移位寄存器的一元多项式表示2.4 m序列的伪随机性序列的伪随机性2.5 m序列密码的破译序列密码的破译2.6 非线性序列非线性序列基本思想基本思想: 利用密钥利用密钥k产生一个密钥流产生一个密钥流z=z0z1，并使用如并使用如下规则对明文串下规则对明文串x=x0 x1x2加密：加密： y=y0y1y2=Ez0(x0)Ez1(x1)Ez2(x2)。 密钥流由密钥流发生器密钥流由密钥流发生器f产生：产生： zi=f(k,i)， i:加密器中的记忆元件

2、加密器中的记忆元件(存储器存储器)在时刻在时刻i的状态，的状态， f:由密钥由密钥k和和i产生的函数。产生的函数。2.1 流密码的基本概念流密码的基本概念分组密码与流密码的区别分组密码与流密码的区别: 有无记忆性有无记忆性（如图（如图2.1）。）。滚动密钥：滚动密钥：z0=f(k,0)由由函数函数f、密钥密钥k和和指定的初态指定的初态0完全确定。完全确定。 注：由于输入加密器的明文可能影响加密器中内部记忆元件的存储注：由于输入加密器的明文可能影响加密器中内部记忆元件的存储状态，因而状态，因而i(i0)可能依赖于可能依赖于 k，0，x0，x1，xi-1等参数。等参数。图图2.1 分组密码和流密码

3、的比较分组密码和流密码的比较 根据加密器中记忆元件的存储状态根据加密器中记忆元件的存储状态i是否依赖于输入是否依赖于输入的明文字符的明文字符，流密码可进一步分成，流密码可进一步分成同步同步和和自同步自同步两种。两种。 同步流密码同步流密码: i独立于明文字符独立于明文字符 自同步流密码自同步流密码: i不独立于明文字符。不独立于明文字符。 自同步流密码自同步流密码较难从理论上进行分析较难从理论上进行分析主要原因在于密钥流的产生与明文有关主要原因在于密钥流的产生与明文有关 目前大多数研究成果都是关于同步流密码的。目前大多数研究成果都是关于同步流密码的。2.1.1 同步流密码同步流密码图图2.2

4、同步流密码体制模型同步流密码体制模型密文字符密文字符yi=Ezi(xi)也不依赖于此前的明文字符。也不依赖于此前的明文字符。加密器分成加密器分成密钥流产生器密钥流产生器和和加密变换器加密变换器两个部分。两个部分。加密变换加密变换Ezi可以有多种选择，只要保证变换是可以有多种选择，只要保证变换是可逆可逆的即可。的即可。图图2.3 加法流密码体制模型加法流密码体制模型实际使用的数字保密通信系统一般都是实际使用的数字保密通信系统一般都是二元系统二元系统，因而在，因而在有限域有限域CF(2)上讨论的二元加法流密码（如图上讨论的二元加法流密码（如图2.3）是目前最）是目前最为常用的流密码体制，其加密变换

5、可表示为为常用的流密码体制，其加密变换可表示为yi=zi xi。一次一密密码是加法流密码的原型。一次一密密码是加法流密码的原型。 如果（即密钥用作滚动密钥流），则加法流密码就退如果（即密钥用作滚动密钥流），则加法流密码就退化成一次一密密码。化成一次一密密码。密码设计者的最大愿望是设计出一个滚动密钥生成器，使密码设计者的最大愿望是设计出一个滚动密钥生成器，使得密钥经其扩展成的密钥流序列具有如下性质：得密钥经其扩展成的密钥流序列具有如下性质：极大的周期、良好的统计特性、极大的周期、良好的统计特性、抗线性分析、抗统计分析抗线性分析、抗统计分析具有离散输入和输出（输入集和输出集均有限）的一种具有离散输

6、入和输出（输入集和输出集均有限）的一种数学模型，由以下数学模型，由以下3部分组成：部分组成： 有限状态集有限状态集S=si|i=1,2,l。 有限输入字符集有限输入字符集A1=A(1)j|j=1,2,m 有限输出字符集有限输出字符集A2=A(2)k|k=1,2,n。 转移函数转移函数A(2)k=f1(si, A(1)j)，sh=f2(si, A(1)j)即在状态为即在状态为si，输入为输入为A(1)j时，输出为时，输出为A(2)k，而状态转移为而状态转移为sh。2.1.2 有限状态自动机有限状态自动机例例2.1 S=s1,s2,s3，A1=A(1)1,A(1)2,A(1)3，A2=A(2)1,

7、A(2)2,A(2)3，转移函数由下表给出。转移函数由下表给出。A(2)k=f1(si, A(1)j)，sh=f2(si, A(1)j)A(1)1A(1)2A(1)3A(1)1A(1)2A(1)3S1A(2)1A(2)3A(2)2S1S2S1S3S2A(2)2A(2)1A(2)3S2S3S2S1S3A(2)3A(2)2A(2)1S3S1S3S2有限状态自动机可用有向图表示，称为有限状态自动机可用有向图表示，称为转移图转移图。图图2.4 有限状态自动机的转移图有限状态自动机的转移图例例2.1中，若输入序列为中，若输入序列为A(1)1A(1)2A(1)1A(1)3A(1)3A(1)1，初始状态为初

8、始状态为s1，则得到则得到状态序列状态序列 s1s2s2s3s2s1s2 输出字符序列输出字符序列 A(2)1A(2)1A(2)2A(2)1A(2)3A(2)1同步流密码的关键是密钥流产生器。同步流密码的关键是密钥流产生器。 可看成一个参数为可看成一个参数为k的有限状态自动机，由一个的有限状态自动机，由一个输出符号集输出符号集Z、一一个状态集个状态集、两个函数两个函数和和以及一个以及一个初始状态初始状态0组成。组成。 状态转移函数状态转移函数:ii+1：将当前状态将当前状态i变为一个新状态变为一个新状态i+1输出函数输出函数:izi： 当前状态当前状态i变为输出符号集中的一个元素变为输出符号集

9、中的一个元素zi。2.1.3 密钥流产生器密钥流产生器密钥流生成器设计的关键在于找出适当的密钥流生成器设计的关键在于找出适当的状态转移函状态转移函数数和和输出函数输出函数，使得输出序列使得输出序列z满足密钥流序列满足密钥流序列z应满足应满足的几个条件，并且要求在的几个条件，并且要求在设备上是节省的设备上是节省的和和容易实现的容易实现的。 为了实现这一目标，必须采用为了实现这一目标，必须采用非线性函数。非线性函数。 由于具有非线性的由于具有非线性的的有限状态自动机理论很不完善的有限状态自动机理论很不完善，相应的密钥流产生器的分析工作受到极大的限制。相应的密钥流产生器的分析工作受到极大的限制。 相

10、反地，当采用相反地，当采用线性的线性的和和非线性的非线性的时，将能够进行时，将能够进行深入的分析并可以得到好的生成器。深入的分析并可以得到好的生成器。 为方便讨论，可将这类生成器分成为方便讨论，可将这类生成器分成驱动部分驱动部分和和非线性非线性组合部分组合部分 驱动部分驱动部分控制生成器的状态转移，并为非线性组合部控制生成器的状态转移，并为非线性组合部分提供统计性能好的序列；分提供统计性能好的序列； 非线性组合部分非线性组合部分要利用这些序列组合出满足要求的密要利用这些序列组合出满足要求的密钥流序列。钥流序列。目前最为流行和实用的密钥流产生器如图目前最为流行和实用的密钥流产生器如图2.7所示，

11、其驱动所示，其驱动部分是一个或多个部分是一个或多个线性反馈移位寄存器线性反馈移位寄存器。图图2.7 常见的两种密钥流产生器常见的两种密钥流产生器移位寄存器移位寄存器是流密码产生密钥流的一个主要组成部分。是流密码产生密钥流的一个主要组成部分。GF(2)上一个上一个n级反馈移位寄存器级反馈移位寄存器由由n个二元存储器个二元存储器与一个与一个反反馈函数馈函数f(a1,a2,an)组成，如图组成，如图2.8所示。所示。图图2.8 GF(2)上的上的n级反馈移位寄存器级反馈移位寄存器2.2 线性反馈移位寄存器线性反馈移位寄存器 每一存储器称为移位寄存器的一级，在任一时刻，这每一存储器称为移位寄存器的一级

12、，在任一时刻，这些级的内容构成该反馈移位寄存器的状态，每一状态对应些级的内容构成该反馈移位寄存器的状态，每一状态对应于于GF(2)上的一个上的一个n维向量，共有维向量，共有2n种可能的状态。种可能的状态。每一时刻的状态可用每一时刻的状态可用n长序列长序列a1, a2, , an或或n维向量维向量(a1, a2, , an)表示，其中表示，其中ai是第是第i级存储器的内容。级存储器的内容。 初始状态由用户确定初始状态由用户确定，当第，当第i个移位时钟脉冲到来时，个移位时钟脉冲到来时，每一级存储器每一级存储器ai都将其内容向下一级都将其内容向下一级ai-1传递，并根据寄存传递，并根据寄存器此时的状

13、态器此时的状态a1,a2,an计算计算f(a1,a2,an)，作为下一时刻的作为下一时刻的an。 反馈函数反馈函数f(a1,a2,an)是是n元布尔函数元布尔函数，即，即n个变元个变元a1,a2,an可以独立地取可以独立地取0和和1这两个可能的值，函数中的运算有逻辑这两个可能的值，函数中的运算有逻辑与、逻辑或、逻辑补等运算，最后的函数值也为与、逻辑或、逻辑补等运算，最后的函数值也为0或或1。例例2.2 图图2.9是一个是一个3级反馈移位寄存器，其初始状态为级反馈移位寄存器，其初始状态为(a1,a2,a3)=(1,0,1)，输出可由表输出可由表2.2求出。求出。图图2.9 一个一个3级反馈移位寄

14、存器级反馈移位寄存器状态状态（a3,a2,a1)输出输出1 0 11 1 01 1 10 1 11 0 11 1 0 101110表2.2 一个3级反馈移位反馈移位寄存器寄存器的状态和输出即输出序列为即输出序列为101110111011，周期为周期为4。 如果移位寄存器的反馈函数如果移位寄存器的反馈函数f(a1,a2,an)是是a1，a2，an的线性函的线性函数，则称之为数，则称之为线性反馈移位寄存器线性反馈移位寄存器LFSR（linear feedback shift register）。此时此时f可写为可写为f(a1,a2,an)=cna1 cn-1a2 c1an其中常数其中常数ci=0或

15、或1， 是模是模2加法加法, ci=0或或1。输出序列输出序列at满足满足an+t=cna t cn-1at+1 c1an+t-1其中其中t为非负正整数。为非负正整数。 线性反馈移位寄存器因其线性反馈移位寄存器因其实现简单实现简单、速度快速度快、有较为有较为成熟的理论成熟的理论等优点而成为构造密钥流生成器的最重要的部等优点而成为构造密钥流生成器的最重要的部件之一。件之一。例例2.3 图图2.11是一个是一个5级线性反馈移位寄存器，其初始状态为级线性反馈移位寄存器，其初始状态为（a1,a2,a3,a4,a5）=(1,0,0,1,1)，可求出输出序列为可求出输出序列为100110100100001

16、0101110110001111100110周期为周期为31。图图2.11 一个一个5级线性反馈移位寄存器级线性反馈移位寄存器注：注： 1) 总假定总假定c1,c2,cn中至少有一个不为中至少有一个不为0，否则，否则f(a1,a2,an)0，这样的话，在这样的话，在n个脉冲后状态必然是个脉冲后状态必然是000，且这个状态必将一直持续下去。，且这个状态必将一直持续下去。2) 若只有一个系数不为若只有一个系数不为0，设仅有，设仅有cj不为不为0，实际上是一种，实际上是一种延迟装置。延迟装置。3) 一般对于一般对于n级线性反馈移位寄存器，总是假定级线性反馈移位寄存器，总是假定cn=1。4) 输出序列

17、的性质输出序列的性质完全由其反馈函数决定完全由其反馈函数决定。5) 最多有最多有2n个不同的状态。个不同的状态。6) 状态周期小于等于状态周期小于等于2n-1。若其初始状态为若其初始状态为0，则其状态恒为，则其状态恒为0。若其初始状态非。若其初始状态非0，则，则其后继状态不会为其后继状态不会为0。因此其。因此其输出序列的周期与状态周期相输出序列的周期与状态周期相等，也小于等于等，也小于等于2n-1。只要选择合适的反馈函数便可使序列的周期达到最大值只要选择合适的反馈函数便可使序列的周期达到最大值2n-1，周期达到最大值的序列称为周期达到最大值的序列称为m序列序列。设设n级线性移位寄存器的输出序列

18、满足递推关系级线性移位寄存器的输出序列满足递推关系an+k=c1an+k-1 c2an+k-2 cnak (*)对任何成立。这种递推关系可用一个一元高次多项式对任何成立。这种递推关系可用一个一元高次多项式P(x)=1+c1x+cn+1xn-1cnxn表示，称这个多项式为表示，称这个多项式为LFSR的特征多项式的特征多项式或或特征多项式特征多项式。2.3 线性移位寄存器的一元多项式表示线性移位寄存器的一元多项式表示由于由于a ai iGF(2) (GF(2) (i i=1,2,n)=1,2,n)，所以共有所以共有2 2n n组初始状态，组初始状态，即有即有2 2n n个递推序列个递推序列，其中非

19、恒零的有，其中非恒零的有2 2n n-1-1个，记个，记2 2n n-1-1个非个非零序列的全体为零序列的全体为G(p(x)G(p(x)。定义定义2.1 给定序列给定序列ai，幂级数幂级数A(x)=aixi-1称为该序列的生成函数。称为该序列的生成函数。定理定理2.1设设p(x)=1+c1x+cn-1xn-1+cnxn是是GF(2)上的多项式，上的多项式，G(p(x)中任一序列中任一序列ai的生成函数的生成函数A(x)满足：满足： A(x)= (x)/p(x)其中其中 (x)=cn-ixn-iajxj-1证明：证明： 在等式在等式an+1=c1an c2an-1 cna1an+2=c1an+1

20、 c2an cna2 两边分别乘以两边分别乘以xn,xn+1,，再求和，可得再求和，可得A(x)-(a1+a2x+anxn-1)=c1xA(x)-(a1+a2x+an-1xn-2)+c2x2A(x)-(a1+a2x+an-2xn-3)+cnxnA(x)移项整理得移项整理得(1+c1x+cn-1xn-1+cnxn)A(x)=(a1+a2x+anxn-1)+c1x(a1+a2x+an-1xn-2)+c2x2(a1+a2x+an-2xn-3)+cn-1xn-1a1即即p(x)A(x)=cn-ixn-iajxj-1= (x) (证毕证毕)注意在注意在GF(2)上有上有a+a=0。定理定理2.2 p(x

21、)|q(x)的充要条件是的充要条件是G(p(x) G(q(x)。证明：若证明：若p(x)|q(x)，可设可设q(x)=p(x)r(x)，因此因此A(x)= (x)/p(x)= (x)r(x)/p(x)r(x)= (x)r(x)/q(x)所以若所以若aiG(p(x)，则则aiG(q(x)，即即G(p(x) G(q(x)。反之，若反之，若G(p(x) G(q(x)，则对于多项式则对于多项式 (x)，存在序存在序列列aiG(p(x)以以A(x)= (x)/p(x)为生成函数。为生成函数。特别地，对于多项式特别地，对于多项式 (x)=1，存在序列存在序列aiG(p(x)以以1/p(x)为生成函数。由于

22、为生成函数。由于G(p(x) G(q(x)，序列序列aiG(q(x)，所以存在函数所以存在函数r(x)，使得使得ai的生成函数也等的生成函数也等于于r(x)/q(x)，从而从而1/p(x)=r(x)/q(x)，即即q(x)=p(x)r(x)，所以所以p(x)|q(x)。(证毕证毕)上述定理说明可用上述定理说明可用n级级LFSR产生的序列，也可用级数更多产生的序列，也可用级数更多的的LFSR来产生。来产生。定义定义2.2 设设p(x)是是GF(2)上的多项式，使上的多项式，使p(x)|(xp-1)的的最小最小p称为称为p(x)的周期或阶。的周期或阶。定理定理2.3 若序列若序列ai的特征多项式的

23、特征多项式p(x)定义在定义在GF(2)上，上，p是是p(x)的周期，则的周期，则ai的周期的周期r|p。证明：由证明：由p(x)周期的定义得周期的定义得p(x)|(xp-1)，因此存在因此存在q(x)，使得使得xp-1=p(x)q(x)，又由又由p(x)A(x)= (x)可得可得p(x)q(x)A(x)= (x)q(x)，所以所以(xp-1)A(x)= (x)q(x)。 由于由于q(x)的次数为的次数为p-n， (x)的次数不超过的次数不超过n-1，所以所以(xp-1)A(x)的次数不超过的次数不超过(p-n)+(n-1)=p-1。则有：对于任意正整数则有：对于任意正整数 i, 都有都有ai

24、+p=ai。设设p=kr+t,0tr，则则ai+p=ai+kr+t=ai+t=ai，所以所以t=0，即即r|p。（证毕）证毕）n级级LFSR输出序列的周期输出序列的周期r不依赖于初始条件，而依赖不依赖于初始条件，而依赖于特征多项式于特征多项式p(x)。我们感兴趣的是我们感兴趣的是LFSR遍历遍历2n-1个非零状态，这时序列的个非零状态，这时序列的周期达到最大周期达到最大2n-1，这种序列就是这种序列就是m序列序列。显然显然, 对于特征多项式一样，而仅初始条件不同的两个对于特征多项式一样，而仅初始条件不同的两个输出序列，一个记为输出序列，一个记为a(1)i，另一个记为另一个记为a(2)i，其中一

25、个必其中一个必是另一个的移位，即存在一个常数是另一个的移位，即存在一个常数k，使得使得a(1)i=a(2)k+i, i=1,2,下面讨论特征多项式满足什么条件时，下面讨论特征多项式满足什么条件时，LFSR的的输出序列为输出序列为m序列。序列。定理定理2.4 设设p(x)是是n次不可约多项式，周期为次不可约多项式，周期为m，序列序列aiG(p(x)，则则ai的周期为的周期为m。证明：设证明：设ai的周期为的周期为r，由定理由定理2.3有有r|m，所以所以rm。设设A(x)为为ai的生成函数，的生成函数，A(x)= (x)/p(x)，即即p(x)A(x)= (x)0， (x)的数不超过的数不超过n

26、-1。而而A(x)=aixi-1=a1+a2x+arxr-1+xr(a1+a2x+arxr-1) +(xr)2(a1+a2x+arxr-1)+=a1+a2x+arxr-1/(1-xr)=a1+a2x+arxr-1/(xr-1)于是于是A(x)=a1+a2x+arxr-1/(xr-1)= (x)p(x)，即即p(x)(a1+a2x+arxr-1)= (x)(xr-1) 因因p(x)是不可约的，所以是不可约的，所以gcd(p(x), (x)=1，p(x)|(xr-1)，因此因此 mr。综上综上r=m。（。（证毕）证毕）定理定理2.5 n级级LFSR产生的序列有最大周期产生的序列有最大周期2n-1的

27、必要条件的必要条件是其特征多项式为不可约的。是其特征多项式为不可约的。证明：设证明：设n级级LFSR产生的序列周期达到最大产生的序列周期达到最大2n-1，除除0序序列外，每一序列的周期由特征多项式惟一决定，而与初始列外，每一序列的周期由特征多项式惟一决定，而与初始状态无关。状态无关。设特征多项式为设特征多项式为p(x)，若若p(x)可约，可设为可约，可设为p(x)=g(x)h(x)，其中其中g(x)不可约，且次数不可约，且次数k2，当当1in-2时，时，n长长m序列的一个周期内，长为序列的一个周期内，长为i的的0游程数目等于序列中如下形式的状态数目：游程数目等于序列中如下形式的状态数目： 10

28、001*，其中，其中n-i-2个个*可任取可任取0或或1。这种状态共有这种状态共有2n-i-2个。个。同理可得长为同理可得长为i的的1游程数目也等于游程数目也等于 2n-i-2，所以长为所以长为i的的游程总数为游程总数为2n-i-1。由于寄存器中不会出现全由于寄存器中不会出现全0状态，所以不会出现状态，所以不会出现0的的n游程，游程，但必有一个但必有一个1的的n游程，而且游程，而且1的游程不会更大，因为若出现的游程不会更大，因为若出现1的的n+1游程，就必然有两个相邻的全游程，就必然有两个相邻的全1状态，但这是不可能状态，但这是不可能的。这就证明了的。这就证明了1的的n游程必然出现在如下的串中

29、：游程必然出现在如下的串中：当这当这n+2位通过移位寄存器时，便依次产生以下状态：位通过移位寄存器时，便依次产生以下状态： 10 111 0n个110 111n个1111n个11111 0n个由于由于 ， 这两个状态只能各出现这两个状态只能各出现一次，所以不会有一次，所以不会有1的的n-1游程。游程。于是在一个周期内，总游程数为于是在一个周期内，总游程数为110 111n个11111 0n个21111 122nn ini ai是周期为是周期为2n-1的的m序列，对于任一正整数序列，对于任一正整数(02n-1)，ai+ai+在一个周期内为在一个周期内为0的位的数目正好是序列的位的数目正好是序列a

30、i和和ai+对应位相同的位的数目。对应位相同的位的数目。设序列设序列ai满足递推关系：满足递推关系： ah+n=c1ah+n-1 c2ah+n-2 cnah故故ah+n+=c1ah+n+-1 c2ah+n+-2 cnah+ ah+n ah+n+=c1(ah+n-1 ah+n+-1) c2(ah+n-2 ah+n+-2) cn(ah ah+) 令令bj=aj aj+，由递推序列由递推序列ai可推得递推序列可推得递推序列bi，bi满满足足bh+n=c1bh+n-1 c2bh+n-2 cnbhbi也是也是m序列。为了计算序列。为了计算R()，只要用只要用bi在一个周期中在一个周期中0的个数减去的个数

31、减去1的个数，再除以的个数，再除以2n-1，即即（证毕）（证毕） 1121 212121nnnnR 上面说过，有限域上的二元加法流密码（如图上面说过，有限域上的二元加法流密码（如图2.3）是目前）是目前最为常用的流密码体制，设滚动密钥生成器是线性反馈移最为常用的流密码体制，设滚动密钥生成器是线性反馈移位寄存器，产生的密钥是序列。又设和是序列中两个连续位寄存器，产生的密钥是序列。又设和是序列中两个连续的长向量，其中的长向量，其中2.5 m序列密码的破译序列密码的破译11211,hhhhhhh nh naaaaSSaa 设序列设序列ai满足线性递推关系：满足线性递推关系：可表示为可表示为1122h

32、 nh nh nnhac ac ac a 12112110 1 000 0 10hhhhnnnh nh naaaaccccaa 或或Sh+1=MSh，其中其中又设敌手知道一段长为又设敌手知道一段长为2n的明密文对，即已知的明密文对，即已知12101000010ccccMnnn122nxx xx122nyy yy于是可求出一段长为于是可求出一段长为2n的密钥序列的密钥序列其中其中 ,由此可推出线性反由此可推出线性反馈移位寄存器连续的馈移位寄存器连续的n+1个状态：个状态：1 22nzz zziiiiiizxyxxz11 21222312311122122nnnnnnnnnnnSz zza aaS

33、z zza aaSzzzaaa记为记为记为做矩阵做矩阵而而若若X可逆，则可逆，则12nXSSS122311221112111nnnnnnnnnnnnaaaaaaaaacccaaacccX111122nnnnncccaaaX下面证明下面证明X的确是可逆的。的确是可逆的。因为因为X是由是由S1,S2,Sn作为列向量，要证作为列向量，要证X可逆，只要证明这可逆，只要证明这n个向量线性无关。个向量线性无关。由序列递推关系：由序列递推关系：可推出向量的递推关系：可推出向量的递推关系：1122h nh nh nnhac ac ac a 11221mod2nh nh nh nnhih n iiSc Sc S

34、c Sc S 设设m(mn+1)是使是使S1,S2,Sm线性相关的最小整数，即存在线性相关的最小整数，即存在不全为不全为0的系数的系数l1,l2,lm，其中不妨设其中不妨设l1=1，使得使得即即对于任一整数对于任一整数i有有213210mmmmSl Sl Sl S11122111mmmmmjmjjSl SlSl SlS122111221112211imimimmiimimmmmimiimSlSlSlSMlSMlSMlSlSlSlMSMS由此又推出密钥流的递推关系：由此又推出密钥流的递推关系：即密钥流的级数小于即密钥流的级数小于m。若若mn，则得出密钥流的级数小于则得出密钥流的级数小于n，矛盾。

35、所以矛盾。所以m=n+1，从而矩阵从而矩阵X必是可逆的。必是可逆的。21321m im im imial al al a 例例2.6 设敌手得到密文串设敌手得到密文串101101011110010和相应的明文串和相应的明文串011001111111001，因此可计算出相应的密钥流为，因此可计算出相应的密钥流为110100100001011。进一步假定敌手还知道密钥流是使用。进一步假定敌手还知道密钥流是使用5级线性反馈移位寄存器产生的，那么敌手可分别用密文串级线性反馈移位寄存器产生的，那么敌手可分别用密文串中的前中的前10个比特和明文串中的前个比特和明文串中的前10个比特建立如下方程个比特建立如

36、下方程123452345667891054321345674567856789aaaaaaaaaaaaaaacccccaaaaaaaaaaaaaaa即即而而543211 1 0 1 01 0 1 0 00 1 0 0 00 1 0 0 11 0 0 1 00 0 1 0 0ccccc11 1 0 1 00 1 0 0 11 0 1 0 01 0 0 1 00 1 0 0 10 0 0 0 11 0 0 1 00 1 0 1 10 0 1 0 01 0 1 1 0从而得到从而得到所以所以密钥流的递推关系为密钥流的递推关系为543210 1 0 0 11 0 0 1 00 1 0 0 00 0 0

37、 0 10 1 0 1 11 0 1 1 0ccccc543211 0 0 1 0ccccc55233iiiiiac ac aaa在在2.1.3节已介绍密钥流生成器可分解为节已介绍密钥流生成器可分解为驱动子系统驱动子系统和和非线非线性组合子系统性组合子系统，如图，如图2.6所示。所示。驱动子系统常用一个或多个驱动子系统常用一个或多个线性反馈移位寄存器线性反馈移位寄存器来实现，来实现，非线性组合子系统用非线性组合函数非线性组合子系统用非线性组合函数F来实现，如图来实现，如图2.7所所示。示。本节介绍第本节介绍第2部分非线性组合子系统。部分非线性组合子系统。2.6 非线性序列非线性序列 为了使密钥

38、流生成器输出的二元序列尽可能复杂，应为了使密钥流生成器输出的二元序列尽可能复杂，应保证其保证其周期尽可能大周期尽可能大、线性复杂度和不可预测性尽可能高线性复杂度和不可预测性尽可能高，因此常使用多个因此常使用多个LFSR来构造二元序列，称每个来构造二元序列，称每个LFSR的输的输出序列为驱动序列。出序列为驱动序列。 显然，密钥流生成器输出序列的周期不大于各驱动序显然，密钥流生成器输出序列的周期不大于各驱动序列周期的乘积，因此，列周期的乘积，因此，提高输出序列的线性复杂度应从极提高输出序列的线性复杂度应从极大化其周期开始大化其周期开始。 二元序列的线性复杂度指二元序列的线性复杂度指生成该序列的最短

39、生成该序列的最短LFSR的级的级数数，最短最短LFSR的特征多项式称为二元序列的极小特征多项的特征多项式称为二元序列的极小特征多项式式。下面介绍下面介绍4种由多个种由多个LFSR驱动的非线性序列生成器。驱动的非线性序列生成器。Geffe序列生成器由序列生成器由3个个LFSR组成，其中组成，其中LFSR2作为控制生作为控制生成器使用，如图成器使用，如图2.12所示。所示。图图2.12 Geffe序列生成器图序列生成器图2.6.1 Geffe序列生成器序列生成器当当LFSR2输出输出1时，时，LFSR2与与LFSR1相连接；相连接；当当LFSR2输出输出0时，时，LFSR2与与LFSR3相连接。相

40、连接。若设若设LFSRi的输出序列为的输出序列为a(i)k (i=1,2,3)，则输出序列则输出序列bk可可以表示为以表示为 123212323kkkkkkkkkkba aaaa aa aaGeffe序列生成器也可以表示为图序列生成器也可以表示为图2.13的形式，其中的形式，其中LFSR1和和LFSR3作为多路复合器的输入作为多路复合器的输入LFSR2控制多路复合器的输出控制多路复合器的输出图图2.13 多路复合器表示的多路复合器表示的Geffe序列生成器序列生成器设设LFSRi的特征多项式分别为的特征多项式分别为ni次本原多项式，且次本原多项式，且ni两两互两两互素，则素，则Geffe序列的

41、周期为序列的周期为线性复杂度为线性复杂度为Geffe序列的周期实现了极大化，且序列的周期实现了极大化，且0与与1之间的分布大体上之间的分布大体上是平衡的。是平衡的。3121ini1323nnnnJ-K触发器如图触发器如图2.14所示，它的两个输入端分别用所示，它的两个输入端分别用J和和K表示，表示，其输出其输出ck不仅依赖于输入，还依赖于前一个输出位不仅依赖于输入，还依赖于前一个输出位ck-1，即即其中其中x1和和x2分别是分别是J和和K端的输入。端的输入。图图2.14 J-K触发器触发器2.6.2 J-K触发器触发器1211kkcxxcx由此可得由此可得J-K触发器的真值表，如表触发器的真值

42、表，如表2.3。JKck00ck-1010101111kc利用利用J-K触发器的非线性序列生成器见图触发器的非线性序列生成器见图2.15。图图2.15 利用利用J-K触发器的非线性序列生成器触发器的非线性序列生成器在图在图2.15中，令驱动序列中，令驱动序列ak和和bk分别为分别为m级和级和n级级m序列，序列，则有则有如果令如果令c-1=0，则输出序列的最初则输出序列的最初3项为项为m与与n互素且互素且a0+b0=1时，序列时，序列ck的周期为的周期为(2m-1)(2n-1)。111kkkkkkkkkcabcaabca001110122211012111cacabaacababaaa例例2.7

43、 令令m=2,n=3，两个驱动两个驱动m序列分别为序列分别为ak=0,1,1,和和bk=1,0,0,1,0,1,1,于是，输出序列于是，输出序列ck是是0,1,1,0,1,0,0,1,1,1,0,1,0,1,0,0,1,0,0,1,0,其周期为其周期为(22-1)(23-1)=21。由表达式由表达式ck=(ak+bk+1)ck-1+ak可得可得因此，如果知道因此，如果知道ck中相邻位的值中相邻位的值ck-1和和ck，就可以推断出就可以推断出ak和和bk中的一个。而一旦知道足够多的这类信息，就可通过中的一个。而一旦知道足够多的这类信息，就可通过密码分析的方法得到序列密码分析的方法得到序列ak和和

44、bk。 为了克服上述缺点，为了克服上述缺点，Pless提出了由多个提出了由多个J-K触发器序触发器序列驱动的多路复合序列方案，称为列驱动的多路复合序列方案，称为Pless生成器生成器。11,0,1kkkkkaccbcPless生成器由生成器由8个个LFSR、4个个J-K触发器和触发器和1个循环计数器构个循环计数器构成，由循环计数器进行选通控制，如图成，由循环计数器进行选通控制，如图2.16所示。假定在时所示。假定在时刻刻t输出第输出第t(mod 4)个单元，则输出序列为个单元，则输出序列为a0b1c2d3a4b5d62.6.3 Pless生成器生成器图图2.16 Pless生成器生成器钟控序列

45、最基本的模型是用一个钟控序列最基本的模型是用一个LFSR控制另外一个控制另外一个LFSR的移位时钟脉冲，如图的移位时钟脉冲，如图2.17所示。所示。图图2.17 最简单的钟控序列生成器最简单的钟控序列生成器2.6.4 钟控序列生成器钟控序列生成器假设假设LFSR1和和LFSR2分别输出序列分别输出序列ak和和bk，其周期分别其周期分别为为p1和和p2。当当LFSR1输出输出1时，移位时钟脉冲通过与门使时，移位时钟脉冲通过与门使LFSR2进行一进行一次移位，从而生成下一位。次移位，从而生成下一位。当当LFSR1输出输出0时，移位时钟脉冲无法通过与门影响时，移位时钟脉冲无法通过与门影响LFSR2。

46、因此因此LFSR2重复输出前一位。重复输出前一位。假设钟控序列假设钟控序列ck的周期为的周期为p，可得如下关系：可得如下关系：其中其中 。1212gcd,p ppwp1110piiwa又设又设ak和和bk的极小特征多项式分别为的极小特征多项式分别为GF(2)上的上的m和和n次次本原多项式本原多项式f1(x)和和f2(x)，且且m|n。因此，因此，p1=2m-1, p2=2n-1。又知又知w1=2m-1， 因此因此gcd(w1,p2)=1，所以所以p=p1p2=(2m-1)(2n-1)。此外，也可推导出此外，也可推导出ck的线性复杂度为的线性复杂度为n(2m-1)，极小特征多极小特征多项式为项式为 。212mfx例例2.8 设设LFSR1为为3级级m序列生成器，其特征多项式为序列生成器，其特征多项式为f