CN102176693A

CN102176693A - 非线性循环移位寄存器

Info

Publication number: CN102176693A
Application number: CN2011100515057A
Authority: CN
Inventors: 黄玉划; 杜庆伟; 任勇军; 薛英花; 王俊波
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2011-03-04
Filing date: 2011-03-04
Publication date: 2011-09-07

Abstract

反馈移位寄存器(FSR)是保密通信领域用于产生伪随机序列的密码部件，有线性FSR(LFSR)和非线性FSR(NLFSR)等。非线性循环移位寄存器(NRSR)是一种新型FSR。n级LFSR的最大周期为2ⁿ-1；n级NLFSR的最大周期为2ⁿ。字长为m比特时，n级NRSR采用以下反馈模式由前n个字递推下一个字：

(＜＜＜表示循环左移，

表示模2加或者模2^m加)上式中，m一般取平台的位数，例如8、16、32、64；mod表示模运算(求余)，i从0或1开始均可，n≥2。字长为m比特时，n级NRSR的周期大于(2^m)ⁿ，即安全性高于(N)LFSR；NRSR效率也高于常用的(N)LFSR。主要用途：设计流密码算法；设计分组密码中的密钥编排算法；设计杂凑(Hash)函数中的消息扩展算法。

Description

非线性循环移位寄存器

技术领域

非线性循环移位寄存器(NRSR)是保密通信领域用于产生非线性伪随机序列的密码部件，主要用途：设计流(序列)密码算法；设计分组密码中的密钥编排算法；设计杂凑(Hash)函数中的消息扩展算法。

背景技术

密码编码中产生伪随机序列的常用密码部件有线性反馈移位寄存器(LFSR)^[1]和非线性反馈移位寄存器(NLFSR)^[2]等，以下合称(N)LFSR。例如，第2代移动通信系统GSM的加密标准A5算法^[3，4]、蓝牙加密标准E0算法^[4]和流密码国际标准SNOW2算法^[3]都采用了LFSR；杂凑(Hash)函数标准SHA1和SHA2的消息扩展算法^[3]以及第3代标准SHA3的多个候选算法采用了(N)LFSR或其它发生器。

n级(N)LFSR的当前输出比特都是前n比特的逻辑函数(n≥2)，这样的逻辑函数共有2²ⁿ个，其中线性的有2ⁿ个，非线性的有2²ⁿ-2ⁿ个。LFSR采用以下反馈模式由前n比特(a_i～a_n+i-1)线性递推下一比特a_n+i：

a_n+i＝a_i^c_n-1a_i+1^…^c₁a_n+i-1(其中常数c_k＝0或1，1≤k≤n-1，^是模2加法，i一般从0开始)如果输入的初始n比特(a₀～a_n-1)全为0，则LFSR输出恒为0，因此，n级LFSR的最大周期为2ⁿ-1。当且仅当LFSR的反馈多项式为本原多项式时，LFSR的周期才达到最大。产生一个本原多项式并不容易，可借助数学软件包。SHA1的消息扩展算法采用以下模式由前16个字(w_t-16～w_t-1)递推下一个字w_t：

w_t＝(w_t-3^w_t-8^w_t-14^w_t-16)＜＜＜1 (＜＜＜1表示循环左移1位，字长m为32比特)这相当于字长m为32b(比特)的16级发生器，如果输入的初始16个字(w₀～w₁₅)全为0，则输出恒为0，因此，其最大周期小于等于(2³²)¹⁶-1。n级NLFSR的最大周期为2ⁿ。当字长为m比特时(m一般取平台的位数，例如8、16、32、64)，n级非线性循环移位寄存器(NRSR)的周期大于(2^m)ⁿ。(N)LFSR软件实现慢，解决的办法是并行m个(N)LFSR，相当于字长为m比特，但最大周期还是小于等于2ⁿ，除非象SNOW2一样采用模2^m的本原多项式，最大周期才小于等于(2^m)ⁿ。也就是说，对于不同的字长m和不同的级数n，(N)LFSR要寻找不同的反馈模式。不管字长m和级数n为多大，NRSR存在统一的反馈模式，无须寻找达到最大周期的反馈模式，可以直接适应各种平台，包括将来128位以上的平台。在32位平台下(2.4GHz双核CPU、2GB内存、Windows XP、C语言)，SNOW2的LFSR速度为630MB/s。SHA1和SHA256的消息扩展算法速度都小于400MB/s。NRSR的速度为700MB/s。对于A5和E0算法采用的LFSR，除非同时并行32个LFSR，效率才和NRSR相当。对于周期达到最大的(N)LFSR，其输出是绝对均匀的，遍历了所有状态才会重复。测试表明，NRSR产生的输出是伪随机均匀的，又能遍历所有状态。

[1](美)Schneier B.应用密码学——协议、算法与C源程序.吴世忠等译.机械工业出版社，2000-1.264～269

[2](中)王育民，刘建伟.通信网的安全——理论与技术.西安电子科技大学出版社，1999-04.81～82

[3](中)谷利泽，郑世慧，杨义先.现代密码学教程.北京邮电大学出版社，2009-08.169～175，189～204

[4](中)徐胜波，马文平，王新梅.无线通信网中的安全技术.人民邮电出版社，2003-07.149～150，183～187

发明内容

【发明目的】

为了快速产生伪随机性更好的输出序列，用于设计安全高效的对称密码算法和杂凑(Hash)函数，非线性循环移位寄存器(NRSR)相比(N)LFSR而言，扩大了输出序列的周期，改善了输出的伪随机性，增强了多平台适应性，提高了效率。

【技术方案】

非线性循环移位寄存器(NRSR)是一种新型反馈移位寄存器(FSR)，其采用的技术方案是：当字长为m比特时(m一般取平台的位数，例如8、16、32、64)，n级NRSR采用以下反馈模式由前n个字(a_i～a_i+n-1)递推下一个字a_i+n(n≥2，i从0或从1开始均可)

a_{i + n} = {[c_{n} \times r_{n} (b_{n} \times a_{i + n - 1}) &CirclePlus; \cdot \cdot \cdot \cdot \cdot \cdot &CirclePlus; c_{1} \times r_{1} (b_{1} \times a_{i})] + c_{0}} \mod 2^{m}

其中，r_k(a)(1≤k≤n)表示a循环移位，至少有一个循环移位数在0～m-1之间循环变化，其它可以不移位；

表示模2加(逐位异或)或者模2^m加，×表示模2^m乘，mod 2^m表示模2^m运算(求余数)；b_x、c_y为0～2^m-1之间的整数(1≤x≤n，0≤y≤n)，但c₀、b₁、c₁为奇数，还有1对(b_x，c_x)为奇数(2≤x≤n)，一般b_n、c_n取奇数；输入的初始n个字(a₀～a_n-1)取值都不限，输入的每个字都可以是任意m比特长的数。

为提高效率，我们推荐使用简单的NRSR，由前n个字(a_i～a_i+n-1)中的2个字递推下一个字(首字a_i必选，一般取首尾2个字，如附图1所示)：

a_{i + n} = {[(b \times a_{i + n - 1}) &CirclePlus; (a_{i} < < < j)] + 1} {\mod 2}^{m}

其中，b为3～2^m-1之间循环变化的奇数，可取b＝2i+1；＜＜＜j表示循环左移j位，j在0～m-1之间循环变化，可取j＝i mod m。当m较大时，例如m≥32，从应用上来说，b在3～2^m-1之间循环变化与b在1～2^m-1之间循环变化的性能差异不大。

如果平台处理乘法的能力差，可取

a_{i + n} = {[(a_{i + n - 1} < < < j) &CirclePlus; a_{i}] + 1} {\mod 2}^{m}

NRSR与(N)LFSR不同之处在于：(1)乘法系数b循环变化；(2)循环移位数j循环变化；(3)计数加1。

【有益效果】

相比(N)LFSR而言，非线性循环移位寄存器(NRSR)有以下优点：

(1)周期更大、安全性更高。由于乘法系数b和循环移位数j不固定，n级NRSR的周期大于(2^m)ⁿ(字长为m比特)。对于反馈模式a_i+n＝[(a_i+n-1＜＜＜j)+a_i+1]mod 2^m(j在0～m-1之间循环变化)，当字长为8b(比特)时，测试得2级NRSR的周期为484192＞2¹⁶B(字节)；3级NRSR的周期为81,782456＞2²⁴(16MB)；4级NRSR的周期为27,251403552＞2³²(4GB)。当字长为16b时，2级NRSR的周期为37,540033008＞4G个短整数。对于反馈模式a_i+n＝[(b×a_i+n 1)+(ai＜＜＜j)+1]mod 2^m(b为1～2^m-1之间循环变化的奇数)，当字长为8b时，测试得2级NRSR的周期为4,765440＞2¹⁶(64KB)。如果b取3～2^m-1之间循环变化的奇数，周期更大。测试表明，周期与寄存器的初值、循环移位数j的初值及乘法系数b的初值无关。

对于周期达到最大的LFSR，其输出状态1～2ⁿ-1是绝对均匀的；对于周期达到最大的NLFSR，其输出状态0～2ⁿ-1是绝对均匀的，遍历了所有状态才会重复。测试表明，NRSR产生的输出是伪随机均匀的，没有遍历所有状态也可能出现重复(寄存器状态重复不一定是周期重复，当寄存器的状态和循环移位数j的状态以及乘法系数b的状态同时重复才是周期重复)。因此，NRSR的不可预测性和安全性优于(N)LFSR。

NRSR输入的初始n个字(a₀～a_n-1)取值都不限，可以全为0。对于杂凑(Hash)函数标准SHA1和SHA2的消息扩展算法，如果初始消息全为0，则扩展消息也全为0。NRSR不存在该问题。

另外，有个分组密码算法叫RC6，需要5轮加密才能实现伪随机性。其加密轮函数f(i，a，b，c，d)为：

{u＝[d(2d+1)]＜＜＜5；t＝[b(2b+1)]＜＜＜5；a＝[(a^t)＜＜＜u]+k[i]；c＝[(c^u)＜＜＜t]+k[i+1]；}

用NRSR直接取代2个缓存变量u和t，对d和b进行可逆更新：

{t＝d；d＝[(t+1)＜＜＜i]+b；b＝(d＜＜＜i)+t+1；a＝[(a^d)＜＜＜b]+k[i]；c＝[(c^b)＜＜＜d]+k[i+1]；}

5轮加密也实现了伪随机性，这也说明NRSR具有良好的密码特性。

(2)效率更高。在32位平台下(2.4GHz双核CPU、2GB内存、Windows XP、C语言)，NRSR速度为700MB/s。常用(N)LFSR速度一般不超过630MB/s。

(3)多平台适应性更灵活。(N)LFSR软件实现慢，解决的办法是并行m个(N)LFSR(m一般取平台的位数)，相当于字长为m比特，但最大周期还是小于等于2ⁿ，除非象SNOW2一样采用模2^m的本原多项式，最大周期才小于等于(2^m)ⁿ。也就是说，对于不同的字长m和不同的级数n，(N)LFSR要寻找不同的反馈模式。不管字长m和级数n为多大，NRSR存在固定的反馈模式

(j在0～m-1之间循环变化，

表示模2加或者模2^m加)和

(b为3～2^m-1之间循环变化的奇数)，无须寻找达到最大周期的反馈模式，可以直接适应各种平台，包括将来128位以上的平台。

附图说明

图1 非线性循环移位寄存器(NRSR)

说明：＜＜＜j表示循环左移j位，

表示模2加(逐位异或)或者模2^m加，×表示模2^m乘，mod m表示模m运算(求余数)；m一般取平台的位数，例如8、16、32、64；i从0或从1开始均可，n≥2。

具体实施方式

(1)当字长为m比特时(m一般取平台的位数，例如8、16、32、64)，n级非线性循环移位寄存器(NRSR)由前n个字(a_i～a_i+n-1)中的首尾2个字(a_i，a_i+n-1)递推下一个字a_i+n(如附图1所示，n≥2，i从0或从1开始均可)：

a_{i + n} = {[(b \times a_{i + n - 1}) &CirclePlus; (a_{i} < < < j)] + 1} {\mod 2}^{m}

其中，b为3～2^m-1之间或1～2^m-1循环变化的奇数，可取b＝2i+1；＜＜＜j表示循环左移j位，j在0～m-1之间循环变化，可取j＝i mod m；

表示模2加(逐位异或)或者模2^m加，×表示模2^m乘，mod 2^m表示模2^m运算(求余数)。输入的初始n个字(a₀～a_n-1)取值都不限，输入的每个字都可以是任意m比特长的数。当m较大时，例如m≥32，从应用上来说，b在3～2^m-1之间循环变化与b在1～2^m-1之间循环变化的性能差异不大。

(2)如果平台处理乘法的能力差，当字长为m比特时，n级非线性循环移位寄存器(NRSR)由前n个字(a_i～a_i+n-1)中的首尾2个字(a_i，a_i+n-1)递推下一个字a_i+n，可取

a_{i + n} = {[(a_{i + n} < < < j) &CirclePlus; a_{i}] + 1 {\mod 2}^{m}

其中，＜＜＜j表示循环左移j位，j在0～m-1之间循环变化，可取j＝i mod m；表示模2加或者模2^m加。

(3)当字长为m比特时，n级非线性循环移位寄存器(NRSR)由前n个字递推下一个字a_i+n，也可取

a_{i + n} = {[c_{n} \times r_{n} (b_{n} \times a_{i + n - 1}) &CirclePlus; \cdot \cdot \cdot \cdot \cdot \cdot &CirclePlus; c_{1} \times r_{1} (b_{1} \times a_{i})] + c_{0}} \mod 2^{m}

其中，r_k(a)(1≤k≤n)表示a循环移位，至少有一个循环移位数在0～m-1之间循环变化，其它可以不移位；b_x、c_y为0～2^m-1之间的整数(1≤x≤n，0≤y≤n)，但c₀、b₁、c₁为奇数，还有1对(b_x，c_x)为奇数(2≤x≤n)，一般b_n、c_n取奇数；

表示模2加(异或)或者模2^m加，×表示模2^m乘，mod 2^m表示模2^m运算(求余数)。

Claims

1.非线性循环移位寄存器(NRSR)是一种新型反馈移位寄存器(FSR)，其总体特征是：当字长为m比特时(m一般取平台的位数，例如8、16、32、64)，n级NRSR采用以下反馈模式由前n个字(a_i～a_i+n-1)递推下一个字a_i+n(n≥2，i从0或从1开始均可)

a_{i + n} = {[c_{n} \times r_{n} (b_{n} \times a_{i + n - 1}) &CirclePlus; \cdot \cdot \cdot \cdot \cdot \cdot &CirclePlus; c_{1} \times r_{1} (b_{1} \times a_{i})] + c_{0}} \mod 2^{m}

2.根据权利要求1所述的非线性循环移位寄存器(NRSR)，为提高效率，只由前n个字(a_i～a_i+n-1)中的2个字递推下一个字，首字a_i必选，一般取首尾2个字(a_i，a_i+n-1)，其特征是：当字长为m比特时，n级NRSR采用以下反馈模式由前n个字中的2个字(a_i，a_k)递推下一个字a_i+n(i+1≤k≤i+n-1)

a_{i + n} = {[(b \times a_{k}) &CirclePlus; (a_{i} < < < j)] + c} {\mod 2}^{m}

其中，b为3～2^m-1之间循环变化的奇数，可取b＝2i+1；＜＜＜j表示循环左移j位，j在0～m-1之间循环变化，可取j＝i mod m；c为1～2^m-1之间的奇数，可取c＝1；

表示模2加(逐位异或)或者模2^m加，×表示模2^m乘，mod 2^m表示模2^m运算(求余数)，m一般取平台的位数；当m较大时，例如m≥32，从应用上来说，b在3～2^m-1之间循环变化与b在1～2^m-1之间循环变化的性能差异不大；输入的初始n个字(a₀～a_n-1)取值都不限，输入的每个字都可以是任意m比特长的数。

3.根据权利要求1所述的非线性循环移位寄存器(NRSR)，如果平台处理乘法的能力差，为提高效率，只由前n个字(a_i～a_i+n-1)中的2个字递推下一个字，首字a_i必选，一般取首尾2个字，其特征是：当字长为m比特时，n级NRSR采用以下反馈模式由前n个字中的2个字(a_i，a_k)递推下一个字a_i+n(i+1≤k≤i+n-1)

a_{i + n} = {[(a_{k} < < < j) &CirclePlus; a_{i}] + c} {\mod 2}^{m}

其中，＜＜＜j表示循环左移j位，j在0～m-1之间循环变化，可取j＝i mod m；c为1～2^m-1之间的奇数，可取c＝1；表示模2加(逐位异或)或者模2^m加，mod 2^m表示模2^m运算(求余数)，m一般取平台的位数；输入的初始n个字(a₀～a_n-1)取值都不限，输入的每个字都可以是任意m比特长的数。