第2章_流密码.pptVIP

流密码，LFSR;1. 流密码基本原理 2. 密钥流产生器 3. 线性反馈移位寄存器（LFSR） 4. m序列的伪随机性 5. m序列密码的破译 6. 非线性序列;§1. 流密码的基本原理; ;流密码的特性和发展历史 流密码具有实现简单、便于硬件实施、加解密处理速度快、没有或只有有限的错误传播等特点。 1949年Shannon证明了只有一次一密的密码体制是绝对安全的，这给序列密码技术的研究以强大的支持，序列密码方案的发展是模仿一次一密系统的尝试，或者说“一次一密”的密码方案是序列密码的雏形。如果序列密码所使用的是真正随机方式的、与消息流长度相同的密钥流，则此时的序列密码就是一次一密的密码体制。若能以一种方式产生一随机序列（密钥流），这一序列由密钥所确定，则利用这样的序列就可以进行加密，即将密钥、明文表示成连续的符号或二进制，对应地进行加密,加解密时一次处理明文中的一个或几个比特。;分组密码与流密码的区别就在： 有无记忆性； 根据加密器中记忆元件的存储状态σi是否依赖于输入的明文字符，流密码可分为： 同步流密码 自同步流密码; 分组密码和流密码的比较;同步流密码(SSC: synchronous stream cipher)产生密钥序列的算法与明文、密文无关.;自同步流密码(SSSC: self-synchronous stream cipher)产生密钥序列的算法与以前的密文有关.;§1.1 同步流密码; 图2.2 同步流密码体制模型 ;同步流密码的加密变换Ezi可以有多种选择，只要保证变换是可逆的即可 实际使用的数字保密通信系统一般都是二元系统，因而二元加法流密码是目前最为常用的流密码体制，其加密变换可表示为yi=zi xi。 ;一次一密密码是加法流密码的原型。事实上，如果zi=ki（即密钥用作滚动密钥流），则加法流密码就退化成一次一密密码。 好的密钥流序列具有如下性质： 极大的周期 良好的统计特性 抗线性分析 抗统计分析。;§2 密钥流产生器;有限状态自动机可用有向图表示，称为转移图。 转移图的顶点对应于自动机的状态，若状态si在输入Ai (1) 时转为状态sj，且输出一字符Aj (2) ，则在转移图中，从状态si到状态sj有一条标有(Ai (1), Aj (2))的弧线;Date; 图2.4 有限状态自动机的转移图;若输入序列为A1 (1) A2 (1) A1 (1) A3 (1) A3 (1) A1 (1) ， 初始状态为s1， 则得到状态序列 s1s2s2s3s2s1s2 输出字符序列 A1 (2) A1 (2) A2 (2) A1 (2) A3 (2) A1 (2) ;同步流密码的关键是密钥流产生器 密钥流产生器: 参数为k的有限状态自动机 一个输出符号集Z、一个状态集∑、两个函数φ和ψ以及一个初始状态σ0组成。 状态转移函数φ:σi→σi+1，将当前状态σi变为一个新状态σi+1， 输出函数ψ:σi→zi，当前状态σi变为输出符号集中的一个元素zi。; 图2.5 作为有限状态自动机的密钥流生成器;关键:φ和ψ，使得 输出序列z满足密钥流序列z应满足的几个条件 要求在设备上是节省的和容易实现的 为了实现这一目标，必须采用非线性函数 由于具有非线性的φ的有限状态自动机理论很不完善，相应的密钥流产生器的分析工作受到极大的限制。相反的，当采用线性的φ和非线性的ψ时，将能够进行深入的分析并可以得到好的生成器。 为方便讨论，可将这类生成器分成驱动部分和非线性组合部分： 驱动部分控制生成器的状态转移，并为非线性组合部分提供统计性能好的序列； 非线性组合部分要利用这些序列组合出满足要求的密钥流序列。; 图2.6 密钥流生成器的分解; 图2.7 常见的两种密钥流产生器; §3线性反馈移位寄存器（LFSR）;每一存储器称为移位寄存器的一级，在任一时刻，这些级的内容构成该反馈移位寄存器的状态，每一状态对应于GF(2)上的一个n维向量，共有2n种可能的状态。 每一时刻的状态可用n长序列 a1,a2,…,an 或n维向量 (a1,a2,…,an) 表示，其中ai是第i级存储器的内容。;初始状态由用户确定， 当第i个移位时钟脉冲到来时，每一级存储器ai都将其内容向下一级ai-1传递，并计算f(a1,a2,…,an)作为下一时刻的an。 反馈函数f(a1,a2,…,an)是n元布尔函数，即n个变元a1,a2,…,an可以独立地取0和1这两个可能的值，函数中的运算有逻辑与、逻辑或、逻辑补等运算，最后的函数值也为0或1。; 例2.2 图2.9是一个3级反馈移位寄存器，其初始状态为(a1,a2,a3)=(1,0,1)，输出可由表2.2求出。 图2.9 一个3级反馈移位