第4章节(序列密码).ppt

第4章 有关序列密码和移位寄存器;4.1 引言;序列密码的基本思想是利用一个短密钥k通过一个算法来产生一个密钥流k=k0k1…，并使用如下规则对明文串m=m0m1m2…加密： c=c0c1c2…=Ek0(m0)Ek1(m1)Ek2(m2)…。密钥流由密钥流发生器A产生： k0k1…=A(k)，; 二进制序列密码体制模型;; 常见的两种密钥流产生器;因为确定性算法产生的序列是周期的或准周期的，为了使序列密码达到要求的安全保密性，使得密钥经其扩展成的密钥流序列具有如下性质：极大的周期、良好的统计特性、抗线性分析、抗统计分析。 我们仅对实用中最感兴趣的二元情形即GF(2)上的序列密码原理进行介绍，但其理论是可以在任何有限域GF(q)中进行研究的。;移位寄存器是序列密码产生密钥流的一个主要组成部分。GF(2)上一个n级反馈移位寄存器由n个二元存储器与一个反馈函数f(a1,a2,…,an)组成，如图4.2所示。; 图4.2 GF(2)上的n级反馈移位寄存器;每一存储器称为移位寄存器的一级，在任一时刻，这些级的内容构成该反馈移位寄存器的状态，每一状态对应于GF(2)上的一个n维向量，共有2n种可能的状态。每一时刻的状态可用n长序列 a1,a2,…,an 或n维向量 (a1,a2,…,an) 表示，其中ai是第i级存储器的内容。;初始状态由用户确定，当第i个移位时钟脉冲到来时，每一级存储器ai都将其内容向下一级ai-1传递，并根据寄存器此时的状态a1,a2,…,an计算f(a1,a2,…,an)，作为下一时刻的an。反馈函数f(a1,a2,…,an)是n元布尔函数，即n个变元a1,a2,…,an可以独立地取0和1这两个可能的值，函数中的运算有逻辑与、逻辑或、逻辑补等运算，最后的函数值也为0或1。;例4.1 图4-3 是一个3级反馈移位寄存器，其初始状态为(a1,a2,a3)=(1,0,1)，求出输出序列。; 图 4-3 一个3级反馈移位寄存器;一个3级反馈移位寄存器 的状态和输出;即输出序列为101110111011…，周期为4。 如果移位寄存器的反馈函数f(a1,a2,…,an)是a1，a2，…，an的线性函数，则称之为线性反馈移位寄存器LFSR（linear feedback shift register）。此时f可写为 f(a1,a2,…,an)=cna1cn-1a2…c1an 其中常数ci=0或1，是模2加法。ci=0或1可用开关的断开和闭合来实现，如图4-4所示??; 图4-4 GF(2)上的n级线性反馈移位寄存器;输出序列{at}满足 an+t=cnatcn-1at+1…c1an+t-1 其中t为非负正整数。 线性反馈移位寄存器因其实现简单、速度快、有较为成熟的理论等优点而成为构造密钥流生成器的最重要的部件之一。;例4.2 图4-5是一个5级线性反馈移位寄存器，其初始状态为（a1,a2,a3,a4,a5）=(1,0,0,1,1)，可求出输出序列为 1001101001000010101110110001111100110… 周期为31。; 图4-5 一个5级线性反馈移位寄存器;在线性反馈移位寄存器中总是假定c1,c2,…,cn中至少有一个不为0，否则f(a1,a2,…,an)≡0，这样的话，在n个脉冲后状态必然是00…0，且这个状态必将一直持续下去。若只有一个系数不为0，设仅有cj不为0，实际上是一种延迟装置。一般对于n级线性反馈移位寄存器，总是假定cn=1。;线性反馈移位寄存器输出序列的性质完全由其反馈函数决定。n级线性反馈移位寄存器最多有2n个不同的状态。若其初始状态为0，则其状态恒为0。若其初始状态非0，则其后继状态不会为0。因此n级线性反馈移位寄存器的状态周期小于等于2n-1。其输出序列的周期与状态周期相等，也小于等于2n-1。只要选择合适的反馈函数便可使序列的周期达到最大值2n-1，周期达到最大值的序列称为m序列。;设n级线性移位寄存器的输出序列满足递推关系 an+k=c1an+k-1 c2an+k-2 … cnak (*) 对任何 成立。这种递推关系可用一个一元高次多项式 P(x)=1+c1x+…＋cn-1xn-1＋cnxn 表示，称这个多项式为LFSR的联系多项式或特征多项式。 ;设n级线性移位寄存器对应于递推关系(*)，由于ai∈GF(2) (i=1,2,…,n)，所以共有2n组初始状态，即有2n个递推序列，其中非恒为零的序列有2n-1个，记2n-1个非零序列的全体为G(p(x))。 ;定义 给定序列{ai}，幂级数 A(x)=∑aixi-1 称为该序列的生成函数或母函数。 ;定理4.1 设p(x)=1+c1x+…+cn-1x