CN101355423B - 流密码生成方法 - Google Patents

Abstract

本发明涉及数字安全认证技术，提供一种适合实际高速数字内容安全传输应用的流密码生成方法，包括生成步骤、混淆步骤、输出步骤，混淆步骤采用2个4进4出的S盒子进行，混淆步骤具体为：a、将混淆步骤的输入结果与反馈回的变换R进行线性压缩，得到变换结果RA；b、对变换结果RA进行非可逆线性变换，得到变换结果I；c、将变换结果I以4bit为一组输入S盒子，对于输入的4bit数组以2bit对应S盒子行，另2bit对应S盒子列，查找输入数组对应的4bit输出，得到变换结果R，并反馈回步骤a；d、将变换结果R通过两次查表运算，得到变换结果S，将变换结果S作为输出步骤的输入。本发明具有良好随机性，适合硬件实现。

Description

流密码生成方法

技术领域

本发明涉及数字安全认证技术。

背景技术

流密码属于对称密码体系的一种。由于它实现简单，加密速度快，以及没有或只有有限的错误传播，使流密码在实际应用中，特别是在专用和机密机构中仍保持着优势。它的主要原理是：通过有限个状态数产生性能优良的伪随机序列，使用该序列对明文数据流进行加密(逐比特加密)得到密文数据流，流密码算法的好坏主要取决于最终输出的密钥流序列的随机性能以及此序列的周期大小。

随着数字化技术、网络技术、计算机技术、多媒体技术、存储技术的发展，对数字内容的复制、修改、传播变得非常容易。现实中的各种信息(语音，图像，文本，报文等)都可以经过量化编码等技术转化成二进制数字序列，因此数字内容安全传输实现的过程中可以二进制的方式进行读写和运算。在使用流密码算法实现安全传输时，由于明文序列与密钥流序列逐比特加/解密，为了达到良好的安全性，密钥流序列一定要具有与明文序列相当的长度。但这样的密钥流序列难于分配和管理，因此，流密码系统设计的主要任务就是研究如何用一个或几个较短的密钥输入生成一个足够长的安全的密钥流序列。实际上的密钥流序列都是由密钥空间中较短的密钥经过某些具有特殊性质的变换形成的，如一些典型的非线性置换S盒子等。如国外的HDCP(宽带数字内容保护)系统，用于保护HDMI和DVI接口传输的数字内容，其中使用的加密技术为流密码加密技术。用于HDCP保护的流密码生成机制包含生成步骤、混淆步骤、输出步骤，生成步骤对初始化向量进行初步置乱，混淆步骤对初步置乱后的输出结果做进一步的非可逆性变换，输出步骤对混淆处理的结果进行重新组合再输出。

发明内容

本发明所要解决的技术问题是，提供一种适合实际高速数字内容安全传输应用的流密码生成方法。

本发明为解决上述技术问题所采用的技术方案是，流密码生成方法，包括以下步骤：

(1)生成步骤：生成256比特的初始化向量IV，选择其中128比特作为三个线性移位寄存器LFSR α、LFSR β、LFSR γ的初始化密钥输入，其余128比特的初始化向量IV分为16段IV0、…、IV15，每段分6次输入到三个变换L、K、N中：

第k次输入，k＝0，1，2，3，4，5：

IV_3k+2输入到变换L中；

IV_3k+1输入到变换K中；

IV_3k输入到变换N中；

初始化向量IV输入完成后，三个线性移位寄存器LFSR α、LFSR β、LFSR γ进行封闭循环，封闭循环后三个线性移位寄存器LFSR α、LFSR β、LFSR γ共输出130比特的变换结果V，将变换结果V作为选择步骤的输入结果；

其中，三个线性移位寄存器LFSR α、LFSR β、LFSR γ对应的生成多项式如下：

其中，LFSR α以字节为单位构成，每一个移位寄存器有8位，一共有64位，LFSR β和LFSR γ以比特为单位构成，LFSR β共有35位，LFSR γ共有31位；线性移位寄存器LFSR α对应变换L，LFSR β对应变换K，LFSR γ对应变换N；

线性反馈移位寄存器LFSR α在每次脉冲时为左端贡献8位比特输入，同时右移8位，LFSRα的左端输入由变换L提供，变换L的输出为：

初始化内部状态时：

初始化阶段的封闭运行时：

其它阶段：l＞＞＞3

其中，T0、T1、T2是密钥流输出变换T的32比特输出中的低24比特，IV是初始化向量，l为变换L的输入；

线性反馈移位寄存器LFSR β在每次脉冲时为左端贡献1位输入，同时右移1位；在此之后，LFSRβ左端的8位比特由变换K更新为：

初始化内部状态时：

其它阶段：β₃₄β₃₃β₃₂β₃₁β₃₀β₂₉β₂₈β₂₇

其中，β_i代表LFSR β中的第i位；

线性反馈移位寄存器LFSR γ在每次脉冲时为左端贡献1位输入，同时右移1位；在此之后，LFSR γ左端的8位比特由变换N更新为：

初始化内部状态时：

其它阶段：γ₃₀γ₂₉γ₂₈γ₂₇γ₂₆γ₂₅γ₂₄γ₂₃

其中，γ_i代表LFSR γ中的第i位；

(2)选择步骤：采用列表D、E、F的方式，从LFSR α、LFSR β、LFSR γ中分别抽取32比特、24比特、16比特的数据并输出作为混淆步骤的输入结果；列表F输出的16比特还作为输出步骤的输入；

(3)混淆步骤：包括变换R和变换S

a)变换R

将选择步骤的输入结果与反馈回的上一轮变换R的输出结果进行线性压缩，得到共24比特的结果，字节格式记为RA2，RA1，RA0，并统称为变换结果RA；如无反馈回的变换R输出结果，则默认反馈回的变换R输出结果为0；

对变换结果RA进行非可逆线性变换，将RA分成两组，每组12比特，分别输入两个变换矩阵I0、I1，经过两个变换矩阵输出变换结果R1、R2；

同时RA2分为高4比特与低4比特后，输入2个四进四出的S盒子，对于输入的4比特数组，以2比特对应S盒子的行，另2比特对应S盒子的列，查找输入数组对应的4比特输出，得到变换结果R0；所述两个四进四出的S盒子分别为S1盒子、S2盒子，S1盒子如下：

0x5	0x3	0xb	0xe
				0x9	0xa	0x0	0xd
0x6	0x8	0x1	0x4
				0xc	0x7	0xf	0x2

S2盒子如下：

0x0	0xd	0xf	0xa
				0x9	0x7	0x4	0x1
0xc	0xb	0x6	0x5
				0x3	0xe	0x8	0x2

变换结果R2、R1、R0组成24比特的变换R输出结果，将变换R输出结果作为下一轮混淆步骤的输入以及输出步骤的输入；

b)变换S

将列表E输出的24比特通过两次查表运算，得到16比特的变换结果S，将变换结果S作为输出步骤的输入；

(4)输出步骤：将列表F输出的16比特、变换R输出结果与变换结果S进行变换后得到系统输出的32比特密钥流输出变换T，将密钥流输出变换T中低24比特反馈回下一轮的生成步骤作为变换L的一部分输入。

本发明的有益效果是，具有良好随机性，并适合硬件实现。

附图说明

图1为LFSR α结构图；

图2为LFSR β结构图；

图3为LFSR γ结构图；

图4为变换R中变换RB的变换流程；

图5为实施例流密码生成流程图。

具体实施方式

主要分为两个部分描述本实施例：流密码生成方法以及输出密钥流的随机性检测。

(一)流密码生成方法：

流密码生成器主要由以下4个模块构成：

(1)生成模块：密码生成器的驱动部分；

(2)选择模块：给出了三个选择函数D、E、F；

(3)混淆模块，这个模块是流密码生成器的最主要部分，对密钥流进一步的混淆；

(4)输出模块，经过一系列组合变换输出最后的32bit密钥流；

依次介绍流密码生成器的4个模块与流密码生成流程，如图5所示：

(1)生成模块执行生成步骤，此模块是流密码生成器的驱动部分，一共有3个线性移位寄存器LFSR(LFSR α、LFSR β、LFSR γ)以及相应的三个数学变换(L，K，N)，3个线性移位寄存器LFSR对应的生成多项式如下表：

3个LFSR各自对应的生成多项式，其中LFSR α以字节为单位构成，每一个移位寄存器有8位，一共有64位。LFSR β和LFSR γ以比特为单位构成，LFSR β共有35位，LFSR γ共有31位。流密码生成器在具体使用中需要256bit的初始化向量IV输入。随机选择其中的128bit作为线性反馈移位寄存器(LFSR α、LFSR β、LFSR γ)的初始化密钥输入，其中LFSR β的最高两位输入0，其余的128bit作为初始化向量IV分为16段IV0…IV15，每段8bit分6步循环输入到三个变化L、K、N中：

第k次输入(k＝0，1，2，3，4，5)：

●IV_3k+2输入到变换L中去；

●IV_3k+1输入到变换K中去；

●IV_3k输入到变换N中去；

当k＝5时，L和K没有IV输入，最后8比特的IV仅输入到变换N中去。初始化完成后，为了使系统的状态充分混合，系统在无任何输入和输出的情况下封闭循环34步。在封闭循环之后，系统在下一个周期进入密钥流输出阶段。

下面分别给出变换L、K、N的过程：

a)变换L：

如图1所示，线性反馈移位寄存器LFSR α在每次脉冲时为左端贡献8位(比特)输入，同时右移8位，LFSRα的左端输入由变换L提供，变换L的输出为：

●在初始化内部状态时：

●在初始化阶段的封闭运行时：

●其它阶段：l＞＞＞3

其中，T0、T1、T2是变换T的32比特输出中的低24比特，IV是初始化向量。

b)变换K

如图2所示，线性反馈移位寄存器LFSR β在每次脉冲时为左端贡献1位输入，同时右移1位；在此之后，LFSRβ左端的8个比特由变换K更新为：

●在初始化内部状态时：

●其它阶段不变：β₃₄β₃₃β₃₂β₃₁β₃₀β₂₉β₂₈β₂₇

其中，β_i代表LFSR β中的第i位。

c)变换N

线性反馈移位寄存器LFSR γ在每次脉冲时为左端贡献1位输入，同时右移1位；在此之后，LFSR γ左端的8个比特更新为：

●在初始化内部状态时：

●其它阶段不变：γ₃₀γ₂₉γ₂₈γ₂₇γ₂₆γ₂₅γ₂₄γ₂₃

其中，γ_i代表LFSR γ中的第i位。

变换K和变换N，只在初始化阶段存在，输出密钥流时不存在。

经过变换L、K、N后从LFSR α、LFSRβ、LFSR γ中的数据共130bit，作为生成步骤的变换结果V，输入至选择模块。

(2)选择模块执行选择步骤：

在初始化完成(6步的IV输入，34步的封闭循环)后，分别根据列表D，E，F从LFSRα、LFSR β、LFSR γ中分别抽取32比特、24比特、16比特的数据。列表D从LFSR α中抽取的4字节(32比特)记为：D3D2D1D0，如下表：

列表E从LFSR β中抽取的24比特记为：E5E4E3E2E1E0，如下表：

列表F从LFSR γ中抽取的16比特记为：F1F0，如下表：

(3)混淆模块执行混淆步骤，这个模块是流密码生成器的最主要部分，利用了两个变换R和S，其中用了四进四出的S盒子、非线性变换等，对密钥流进一步的混淆。下面分别介绍变换R和S：

a)变换R

变换R分为两个主要模块，第一个模块RA和第二个模块RB，主要运算如下：

第一个模块RA，主要功能是把来自列表D(32比特)，E(24比特)和F(16比特)以及变换R的24比特输出(第一次进行此变换时，当变换R没有输出的情况下，默认R的输出为0)共96比特，线性压缩变换为适于变换RB的24比特输入，字节格式记为RA0，RA1，RA2(RA0，RA1，RA2统称为变化结果RA)，规则如下：

●i＝0，1，…，7时，

●i＝8，9，…，15时，

●i＝16，17，…，23时，

变换R的第二个模块RB，主要功能是对变换结果RA得到的24比特进一步置乱、混淆，提高密钥流生成器的非线性复杂度。RB变换流程如图4，RA0，RA1，RA2同时输入非可逆线性变换I中，非可逆线性变换I中包含两个变换矩阵：I0和I1，经过这两个变换矩阵后输出后，赋值于变换结果R1、R2；同时RA2分为高4bit与低4bit后，进入2个四进四出的S盒子，将S盒子的输出赋值于变换结果R0；变换结果R0、R1、R2组成变换结果R作为输出模块的输入，与第一模块RA的下一次输入。

变换矩阵I0和I1如下表所示：

输入I的24比特分成两个12比特，分别记为i0和i1，如下：

i0＝ra₀ ra₁₅ ra₇ ra₂ ra₂₂ ra₁₉ ra₁₃ ra₅ ra₁₇ ra₂₃ ra₁₁ ra₉

i1＝ra₂₀ ra₃ ra₁₄ ra₂₁ ra₄ ra₁₈ ra₆ ra₁ ra₁₆ ra₈ ra₁₂ ra₁₀

经过I后得到输出RB0＝i0×I0和RB1＝i1×I1。

RB变换中的S盒变换S1、S2分别是两个4进4出的盒子，如下表所示，其中左表为S1盒子，右表为S2盒子：

具体的查盒子方法如下：

将S盒看作4×4的二维数组，对于输入的4bit，从左向右的顺序，前面的2bit对应数组的行，后面的2bit对应数组的列，此时查找到的元素即为相应的4bit输出。

以盒子S1为例，输入1001，那么查找2行1列的元素，得到相应的输出0x8，即：1000。存储的2维数组的行数与列数都是从0开始的。

经过上述变换，最后输出24比特的变换结果R：R2R1R0。

b)压缩变换S

变换S把列表E的24比特输入变换为16比特输出：变换S使用两个查表运算(表A，表B)，高位16比特经过一个查表A输出8比特成为变换S最终输出的高8位；低8位比特在另外两比特(变换S输入的高位2比特，e₂₃e₂₂)的控制下，输出8比特，成为变换S最终输出的低8位。

表A如下：

表B如下：

变换S对E5，E4，E3，E2查表A进行运算，运算结果记为S7，S6，S5，S4共8比特放

在变换S最终输出结果的高8位。

变化S对E1，E0依据e₂₃e₂₂查表B进行运算，运算结果记为S3，S2，S1，S0共8比特放在变化S最终输出结果的低8位。

最终得到变换结果S：S7S6S5S4S3S2S1S0，共16比特。

(4)输出模块执行组合输出步骤：

密钥流输出变换T分为两个阶段，如下表所示，其中R2、R1、R0表示变换结果R2、R1、R0，S表示变换结果S，F表示列表F从LFSR γ中抽取的16比特：

第一阶段，即流密码的初始化阶段，变换T的32比特输出中的24比特作为变换L的一部分输入；

第二阶段，即流密码的密钥流生成阶段，变换T的输出(32比特)就是该系统输出的密钥流t₃₁…t₀。

(二)密钥流的随机性检测

针对流密码生成器最后输出的密钥流所作的随机性检测，主要是针对实际应用比较关注的一些指标进行统计检测，具体的检测指标如下：

a、频数检验(F-检验)

在序列截断zⁿ中“0”、“1”的个数分别记为n₀、n₁。检验统计量：

${\mathrm{\χ}}_Z^2\left(1\right)=\frac{{(n_0-n_1)}^2}{n}$

通过准则：在0.05的显著性水平下，当

时，则zⁿ通过频数检验。

b、序偶检验(S-检验)

对n比特序列截段zⁿ，n_ij表示n比特样本序列zⁿ中相邻呈现(i，j)型序偶的次数。检验统计量：((i，j)型序偶即是(0，0)，(0，1)，(1，0)，(1，1))

${\mathrm{\χ}}_Z^2\left(2\right)=\frac{4}{n-1}\underset{(i,j)=\left(\mathrm{0,0}\right)}{\overset{\left(\mathrm{1,1}\right)}{\mathrm{\Σ}}}{n}_{i,j}^2-\frac{2}{n}\mathrm{\Σ}{n}_i^2+1$

通过准则：在0.05的显著性水平下，当时，则zⁿ通过序偶检验。

c、扑克检验(P-检验)

将n比特样本序列zⁿ划分为长m的分组，每一个分组对应着集合{0，1，……，2^m-1}中的一个元素。f_i为“i”在m长分组序列中出现的频次。则

这里为不大于

的最大整数。检验统计量：

${\mathrm{\χ}}_Z^2(2^m-1)=\frac{2^m}{F}\underset{i=0}{\overset{2^m-1}{\mathrm{\Σ}}}{f}_i^2-F$

通过准则：在0.05的显著性水平下：

取m＝4，则当

时，zⁿ通过扑克检验；

取m＝8，则当

时，zⁿ通过扑克检验。

d、自相关检验(A-检验)

对于n比特长序列截段zⁿ，作变换i＝0，1，2，……，n-τ，0＜τ≤n-1。对序列u^n-τ作频数检验，若u^n-τ通过频数检验，则zⁿ通过自相关检验。

在检验中我们取τ＝1，2，8，16，32，64，128.

e、游程检验(R-检验)

(1)游程总数检验

设序列zⁿ的长度为n比特，R为序列中游程的总数。检验统计量：

$U=\frac{R-\frac{n}{2}}{\sqrt{\frac{n}{4}}}$

通过准则：在0.05的显著性水平下，当|U|＜1.96时，则zⁿ通过游程总数检验。

(2)游程总体分布检验

设序列zⁿ的长度为n比特，R为序列中游程的总数。r为不小于[log₂n]的某一个整数，通常取r＝[log₂n]。n_i表示i长游程的个数，i＝1，2，……，r-1。n_r表示游程长度不小于r的游程个数。令

i＝1，2，……，r-1。取

检验统计量：

${\mathrm{\χ}}_Z^2(r-1)=\underset{i=1}{\overset{r}{\mathrm{\Σ}}}\frac{{(n_i-R\·P_i)}^2}{R\·P_i}$

通过准则：在0.05的显著性水平下：

取r＝14，则当

时，zⁿ通过游程总体分布检验；

取r＝20，则当

时，zⁿ通过游程总体分布检验；

取r＝26，则当

时，zⁿ通过游程总体分布检验。

对实际应用，有如下的规定：随机截取检测所需大小的密钥流，针对每一种检测指标，每1000K大小的密钥流作为一组输入，检测6组这样的随机输入，最后计算失败的百分比，失败率在5％以下认为非常好；5％---10％之间认为通过；10％以上认为失败。

本实施例的密钥流随机性检测结果见下表：

可以计算密钥流检测结果平均失败率为4.7335％表明本流密码产生方法具备非常好的特性。

Claims (1)

1.流密码生成方法，其特征在于，包括以下步骤：

(1)生成步骤：生成256比特的初始化向量IV，选择其中128比特作为三个线性反馈移位寄存器LFSRα、LFSRβ、LFSRγ的初始化密钥输入，其余128比特的初始化向量IV分为16段IV0、…、IV15，分6次输入到三个变换L、K、N中：

第k次输入，k＝0，1，2，3，4，5：

IV_3k+2输入到变换L中；

IV_3k+1输入到变换K中；

IV_3k输入到变换N中；

初始化向量IV输入完成后，三个线性反馈移位寄存器LFSRα、LFSRβ、LFSRγ进行34步的封闭循环，封闭循环后三个线性移位寄存器LFSRα、LFSRβ、LFSRγ共输出130比特的变换结果V，将变换结果V作为选择步骤的输入结果；

其中，三个线性反馈移位寄存器LFSRα、LFSRβ、LFSRγ对应的生成多项式如下：

LFSRα：f(x)＝x⁸+x⁶+x⁵+x+1

LFSRβ：f(x)＝x³⁵+x³⁴+x³¹+x²⁴+x²²+x²¹+x²⁰+x¹⁹+x¹⁶+x¹⁵+x¹³+x¹²+x¹¹+x⁸+x⁵+x⁴+x³+x²+1

LFSRγ：f(x)＝x³¹+x³⁰+x²⁷+x²⁶+x²⁴+x²¹+x¹⁵+x¹²+x¹¹+x¹⁰+x⁹+x⁸+x⁷+x²+1

其中，LFSRα以字节为单位构成，一共有64比特，LFSRβ和LFSRγ以比特为单位构成，LFSRβ共有35比特，LFSRγ共有31比特；线性反馈移位寄存器LFSRα对应变换L，LFSRβ对应变换K，LFSRγ对应变换N；

线性反馈移位寄存器LFSRα在每次脉冲时为变换L的左端贡献8比特输入， 同时右移8比特，LFSRα的左端输入由变换L提供，变换L的输出为：

初始化内部状态时：

k＝0，...，5

初始化阶段的封闭运行时：

其它阶段：l＞＞＞3

其中，T0、T1、T2是密钥流输出变换T的32比特输出中的低24比特，IV是初始化向量，l为线性反馈移位寄存器LFSRα在每次脉冲时为变换L的左端贡献的8比特输入；

线性反馈移位寄存器LFSRβ在每次脉冲时为左端贡献1比特输入，同时右移1比特；在此之后，LFSRβ左端的8比特由变换K更新为：

 初始化内部状态时：

k＝0，...，5

其它阶段：β₃₄β₃₃β₃₂β₃₁β₃₀β₂₉β₂₈β₂₇

其中，β_i代表LFSRβ中的第i比特；

线性反馈移位寄存器LFSRγ在每次脉冲时为左端贡献1比特输入，同时右移1比特；在此之后，LFSRγ左端的8比特由变换N更新为：

 初始化内部状态时：

k＝0，...，5

其它阶段：γ₃₀γ₂₉γ₂₈γ₂₇γ₂₆γ₂₅γ₂₄γ₂₃

其中，γ_i代表LFSRγ中的第i比特；

(2)选择步骤：采用列表D、E、F的方式，从LFSRα、LFSRβ、LFSRγ中分别抽取32比特、24比特、16比特的数据并输出作为混淆步骤的输入结果；列表F输出的16比特还作为输出步骤的输入；

列表D从LFSRα中抽取的4字节记为D3D2D1D0：

列表E从LFSRβ中抽取的24比特记为E5E4E3E2E1E0：

列表F从LFSRγ中抽取的16比特记为F1F0：

(3)混淆步骤：包括变换R和变换S

a)变换R

将选择步骤的输入结果与反馈回的上一轮变换R的输出结果进行线性压缩，得到共24比特的结果，字节格式记为RA2，RA1，RA0，并统称为变换结果RA；如无反馈回的变换R输出结果，则默认反馈回的变换R输出结果为0；

对变换结果RA进行非可逆线性变换，将RA分成两组，每组12比特，分别输入两个变换矩阵I0、I1，经过两个变换矩阵输出变换结果R1、R2；

同时RA2分为高4比特与低4比特后，输入2个四进四出的S盒子，将S盒子的输出赋值于变换结果R0，对于输入的4比特数组，从左到右的顺序，前2比特对应S盒子的行，后2比特对应S盒子的列，查找输入数组对应的4比特输出；所述两个四进四出的S盒子分别为S1盒子、S2盒子；

S1盒子如下： 

  0x5   0x3   0xb   0xe   0x9   0xa   0x0   0xd   0x6   0x8   0x1   0x4   0xc   0x7   0xf   0x2

S2盒子如下：

  0x0   0xd   0xf   0xa   0x9   0x7   0x4   0x1   0xc   0xb   0x6   0x5   0x3   0xe   0x8   0x2

变换结果R2、R1、R0组成24比特的变换R输出结果，将变换R输出结果作为下一轮混淆步骤的输入以及输出步骤的输入；

b)变换S

将列表E输出的24比特通过两次查表运算，得到16比特的变换结果S，将变换结果S作为输出步骤的输入；

(4)输出步骤：将列表F输出的16比特、变换R输出结果与变换结果S进行变换后得到系统输出的32比特密钥流输出变换T，将密钥流输出变换T中低24比特反馈回下一轮的生成步骤作为变换L的一部分输入。 

Images