CN102684870A - 祖冲之算法密钥生成装置及方法 - Google Patents

Abstract

本发明公开了一种ZUC算法密钥生成装置，包括接口模块，从高层协议模块获取初始密钥参数；iv计算模块，根据密钥模式计算加解密初始化向量或完整性校验初始化向量iv_i；s_i计算模块，计算并存储s_i；s₁₆计算模块，计算s₁₆并发送计算结果到所述s_i计算模块；X计算模块，计算重组值X_j；W计算模块，计算密钥生产值W和中间变量W₁、W₂；R计算模块，计算R₁、R₂；密钥生成模块，在密钥生成阶段从所述X计算单元获取X₃，从所述W计算单元获取W，生成密钥KEY_ZUC，

本发明还公开了一种与所述装置相适应的ZUC算法密钥生成方法，为ZUC算法密钥生成提供了具体的实现方案。

Description

祖冲之算法密钥生成装置及方法

技术领域

本发明涉及到通信系统数据加解密技术，特别涉及到一种祖冲之(简称，ZUC)算法密钥生成装置及方法。

背景技术

通信系统数据发送方在发送数据之前，需要对待发送的数据进行加密和/或完整性校验操作，而数据接收方在接收到数据后，也需要对接收到的数据进行解密和/或完整性校验操作。通常发送方会通过一定的算法来生成密钥，利用密钥对数据进行加密和/或完整性校验，接收方则利用相同的算法生成密钥，利用密钥对数据进行解密和/或完整性校验。

ZUC算法是中国自主设计的流密码算法，用于生成加解密或完整性校验的密钥。ZUC算法密钥生成的算法分为两个阶段，算法初始化阶段和密钥生成阶段，在算法初始化阶段，不生成密钥，迭代计算密钥生成所需的各参数，直到迭代次数达到预先设置的算法初始化迭代次数N，进入密钥生成阶段，开始生成密钥。所述初始密钥参数包括，32比特的加密计数器(简称，Count)、5比特的无线承载标识(简称，Bearer)、1比特的传输方向(简称，Direction)、15个8比特的密钥计算参数(简称，key_i)i＝0～15、密钥模式(加解密或完整性校验)。

算法初始化阶段的算法为：

1、生成初始化向量(简称，iv_i)

加解密的iv_i为：

iv₀＝iv₈＝Count[7:0]，iv₁＝iv₉＝Count[15:8]

iv₂＝iv₁₀＝Count[23:16]，iv₃＝iv₁₁＝Count[31:24]

iv₄＝iv₁₂＝Bearer||Direction||00₂

iv₅＝iv₆＝iv₇＝iv₁₃＝iv₁₄＝iv₁₅＝00000000₂

完整性校验的iv_i为：

iv₀＝Count[7:0]，iv₁＝iv₉＝Count[15:8]

iv₂＝iv₁₀＝Count[23:16]，iv₃＝iv₁₁＝Count[31:24]

iv₄＝iv₁₂＝Bearer||000₂，iv₅＝iv₆＝iv₇＝iv₁₃＝iv₁₅＝00000000₂

${\mathrm{iv}}_8={\mathrm{iv}}_0\⊕\left\{\mathrm{Direction}\right|\left|{0000000}_2\right\},$ ${\mathrm{iv}}_{14}={\mathrm{iv}}_6\⊕\left\{{\mathrm{Direction}\left|\right|0000000}_2\right\}$

其中，i＝0～15；Count[m:n]表示Count的第n～第m位；||为位拼接计算，拼接方法为将||计算符左边的数据作为拼接后数据的高位，||计算符右边的数据作为拼接后数据的低位；

为异或操作。

2、计算存储移位值(简称，S_i)

如果是第一次计算S_i，S_i＝key_i||d_i|iv_i

其中，d_i为算法固定参数；i＝0～15；

d₀＝100010011010111₂，d₁＝010011010111100₂，

d₂＝110001001101011₂，d₃＝001001101011110₂，

d₄＝101011110001001₂，d₅＝011010111100010₂，

d₆＝111000100110101₂，d₇＝000100110101111₂，

d₈＝100110101111000₂，d₉＝010111100010011₂，

d₁₀＝110101111000100₂，d₁₁＝001101011110001₂，

d₁₂＝101111000100110₂，d₁₃＝011110001001101₂，

d₁₄＝111100010011010₂，d₁₅＝100011110101100₂。

如果不是第一次计算S_i，S_i＝S_i+1；

3、计算重组值(简称，X_j)

X₀＝s_15H||s_14L，X₁＝s_11L||s_9H，X₂＝s_7L||s_5H，X₃＝s_2L||s_0H    (式1)

其中，j＝0～3；S_iH为S_i[30:15]；S_iL为S_i[15:0]；

4、计算密钥生产值(简称，W)

$W=(X_0\⊕R_1)+R_2;$ W₁＝R₁+X₁； $W_2=R_2\⊕X_2;$ (式2)

$R_1=\mathrm{Serch}(\left(W_{1L}\right|\left|W_{2H}\right)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<2)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<10)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<18)\&CirclePlus;($

$\left(W_{1L}\right|\left|W_{2H}\right)<<<24\left)\right)$ (式3)

$R_2=\mathrm{Serch}(\left(W_{2L}\right|\left|W_{1H}\right)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<8)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<14)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<22)\&CirclePlus;((W_2$

$\left|\right|_L{W}_{1H})<<<30))$ (式4)

W计算过程中，首先利用随机变换值(R₁和R₂)的初始值(均为0)计算W和中间变量(W₁和W₂)，根据W₁、W₂计算出新的R₁和R₂，并将计算出的新的R₁和R₂替换原来的R₁和R₂作为下一次计算W、W₁、W₂时的R1和R2；

其中，W_iH表示W_i[31:16]；W_iL表示W_i[15:0]；Serch()为查表操作，即，根据()内的数值从预先设定的R参数表中查找出Serch()的值；＜＜＜n为向左循环移位n比特操作，n表示移位的位数。

5、计算存储移位值16(简称，s₁₆)

s₁₆＝((W＞＞1)+(2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1))mod(2³¹-1)

其中，mod为取模操作；＞＞n为向右移位n比特操作，n表示移位的位数；

6、判断步骤2～5的执行次数是否达到预先设置的算法初始化迭代次数N；，如果是，进入密钥生成阶段，否则，返回步骤2执行。

密钥生成阶段算法为：

1、用s_i+1替换s_i；得到新的s_i；

2、计算W

利用新的s_i根据式1～式4计算得到W；

3、计算s₁₆

s₁₆＝(2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1)

4、计算密钥

$\mathrm{KEY}\_\mathrm{ZUC}=X_3\&CirclePlus;W$

其中，KEY_ZUC为32比特的密钥；迭代执行密钥生成阶段可以连续生成多个KEY_ZUC。

现有技术中还没有用于实现ZUC算法密钥生成的技术方案。

发明内容

有鉴于此，本发明提出了一种ZUC算法密钥生成装置及方法以实现ZUC算法密钥的生成。

本发明的技术方案包括：

一种ZUC算法密钥生成装置，包括：

接口模块，从高层协议模块获取初始密钥参数；

iv计算模块，从接口模块获取Count、Bearer、Direction参数，根据密钥模式计算加解密初始化向量或完整性校验初始化向量；

s_i计算模块，包括I个存储单元，存储单元i用于存储s_i；

如果是第一次计算s_i，从接口模块获取key_i参数，从iv计算模块获取iv_i，

s_i＝key_i|d_i||iv_i；否则，s_i＝s_i+1；其中，I＝16；i＝0～15；

s₁₆计算模块，计算s₁₆并发送计算结果到所述s_i计算模块的存储单元16中保存；

在算法初始化阶段，

s₁₆＝((W＞＞1)+((2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1)))mod(2³¹-1)；

在密钥生成阶段，

s₁₆＝(2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1)；

X计算模块，从s_i存储模块获得数据，计算X_j；j＝0～3；

其中，X₀＝s_15H||s_14L，X₁＝s_11L||s_9H，X₂＝s_7L||s_5H，X₃＝s_2L||s_0H；

W计算模块，从X计算模块和R计算模块获得数据，计算W、W₁、W₂；

W₁＝R₁+X₁；

其中，R₁、R₂的初始值为0；R计算模块，从所述W计算模块获取数据，计算R₁、R₂；

$R_1=\mathrm{Serch}(\left(W_{1L}\right|\left|W_{2H}\right)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<2)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<10)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<18)\&CirclePlus;($

$\left(W_{1L}\right|\left|W_{2H}\right)<<<24\left)\right)$

$R_2=\mathrm{Serch}(\left(W_{2L}\right|\left|W_{1H}\right)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<8)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<14)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<22)\&CirclePlus;($

$\left(W_{2L}\right|\left|W_{1H}\right)<<<30\left)\right);$

密钥生成模块，在密钥生成阶段从所述X计算单元获取X₃，从所述W计算单元获取W，生成密钥KEY_ZUC， $\mathrm{KEY}\_\mathrm{ZUC}=X_3\&CirclePlus;W.$

优选的，所述iv计算模块进一步包括：

选择单元，从接口模块接收Count、Bearer、Direction参数，根据密钥模式选择加解密iv计算单元或完整性校验iv计算单元计算对应的iv_i；

加解密iv计算单元，包括，15个加解密存储单元，加解密存储单元i存储对应的iv_i，i＝0～15；通过选择单元与接口模块连接，从接口模块接收Count、Bearer、Direction参数并存放到对应的加解密存储单元中；

完整性校验iv计算单元，通过选择单元与接口模块连接，从接口模块接收Count、Bearer、Direction参数，计算并保存完整性校验初始化向量；包括，15个完整性校验存储单元，完整性校验存储单元i存储对应的iv_i，i＝0～15；iv₈计算单元，从完整性校验存储单元0获取iv₀，从接口模块获取Direction，计算iv₈并存储到完整性校验存储单元8；iv₁₄计算单元，从完整性校验存储单元6获取iv₆，从接口模块Direction，计算iv₁₄并存储到完整性校验存储单元14。

优选的，所述iv计算模块进一步包括：

15个iv存储单元，存储单元i存储对应的iv_i，i＝0～15；

iv₈计算单元，从存储单元0获取iv₀，从接口模块接收Direction，计算iv₈， ${\mathrm{iv}}_8={\mathrm{iv}}_0\&CirclePlus;\left\{\mathrm{Direction}\right|\left|{0000000}_2\right\};$

iv₁₄计算单元，从存储单元6获取iv₆，从接口模块接收Direction，计算iv₁₄， ${\mathrm{iv}}_{14}={\mathrm{iv}}_6\&CirclePlus;\left\{{\mathrm{Direction}\left|\right|0000000}_2\right\};$

选择单元，如果密钥模式为加解密，将存储单元0的数据保存发送到存储单元8＝，将存储单元6的数据保存发送到存储单元14，将Bearer||Direction||00₂保存到存储单元4和存储单元12＝Bearer||Direction||00₂；如果密钥模式为完整性校验，设置iv₈计算单元输出发送到存储单元8，将iv₁₄计算单元输出发送到存储单元14，将Bearer||000₂保存到存储单元4和存储单元12。

优选的，所述s₁₆计算模块进一步包括：

乘法单元，从s_i计算模块读取s₀、s₄、s₁₀、s₁₃、s₁₅、计算2¹⁵s₁₅、2¹⁷s₁₃、2²¹s₁₀、2²⁰s₄、2⁸s₀；

第一选择器，与所述s_i计算模块的存储单元0、所述乘法单元以及第一加法器的输出连接，根据第一加法器已执行加法的次数选择第一加法器的输入；

其中，第一加法器已执行加法的次数为5k时，选择存储单元0的数据和2⁸s₀；第一加法器已执行加法的次数为5k+1时，选择第一加法器的输出和2²⁰s₄，第一加法器已执行加法的次数为5k+2时，选择第一加法器的输出和2²¹s₁₀；第一加法器已执行加法的次数为5k+3时，选择第一加法器的输出和2¹⁷s₁₃；第一加法器已执行加法的次数为5k+4时，选择第一加法器的输出和2¹⁵s₁₅；

第一加法器，对所述第一选择器选择的输入数据进行加法计算并将计算结果输出到所述第一选择器和第一取模单元；

第一取模单元，当第一加法器已执行加法的次数为5(k+1)时，对第一加法器的输出执行mod(2³¹-1)操作；

移位寄存器，在算法初始化阶段，从所述W计算模块接收W，将W右移1位保存；

第二加法器，将第一取模单元的输出与移位寄存器的输出相加；

第二取模单元，对第二加法器的输出执行mod(2³¹-1)操作；

第二选择器，在算法初始化阶段选择第二取模单元的输出发送到s₁₆输出单元，在密钥生成阶段选择第一取模单元的输出发送到s₁₆输出单元；

s₁₆输出单元，判断第二选择器的输出是否为0，如果是，s₁₆＝2³¹-1；否则将第二选择器的输出作为s₁₆；发送s₁₆到s_i计算模块的存储单元16。

优选的，所述s₁₆计算模块进一步包括：

第一乘法单元，计算2⁸s_i；当第一加法器已执行加法的次数小于4时，i＝第一加法器已执行加法的次数，否则，i＝4；

第二乘法单元，计算2²⁰s_i；当第二加法器已执行加法的次数小于4时，i＝第二加法器已执行加法的次数+4，否则，i＝8；

第三乘法单元，计算2²¹s_i；当第二加法器已执行加法的次数小于4时，i＝第二加法器已执行加法的次数+10，否则，i＝14；

第四乘法单元，计算2¹⁷s_i；当第四加法器已执行加法的次数小于2时，i＝第四加法器已执行加法的次数+13，否则，i＝15；

第五乘法单元，计算2¹⁵s_i；当第五加法器已执行加法的次数小于1时，i＝15，否则，i＝16；

第一加法器，将第一乘法单元的输出和第一乘法单元使用的s_i相加；

第二加法器，将第二乘法单元的输出和第三乘法单元的输出相加；

第三加法器，将第一加法器的输出和第二加法器的输出相加；

第四加法器，将第三加法器的输出和第四乘法单元的输出相加；

第五加法器，将第四加法器的输出和第五乘法单元的输出相加；

第一取模单元，对第五加法器的输出执行mod(2³¹-1)操作；

移位寄存器，在算法初始化阶段，从所述W计算模块接收W，将W右移1位保存；

第六加法器，将第一取模单元的输出与移位寄存器的输出相加；

第二取模单元，对第六加法器的输出执行mod(2³¹-1)操作；

选择器，在算法初始化阶段选择第二取模单元的输出发送到s₁₆输出单元，在密钥生成阶段选择第一取模单元的输出发送到s₁₆输出单元；

s₁₆输出单元，判断选择器的输出是否为0，如果是，s₁₆＝2³¹-1；否则将选择器的输出作为s₁₆；发送s₁₆到s_i计算模块的存储单元16。

优选的，所述R计算模块进一步包括：

第一数据拼接单元，计算W_1L||W_2H操作；

第二数据拼接单元，计算W_2L||W_1H操作；

第一移位寄存单元，计算并保存W_1L||W_2H＜＜＜2、W_1L||W_2H＜＜＜10、W_1L||W_2H＜＜＜18、W_1L||W_2H＜＜＜24；

第二移位寄存单元，计算并保存W_2L||W_1H＜＜＜8、W_2L||W_1H＜＜＜14、W_2L||W_1H＜＜＜18、W_2L||W_1H＜＜＜30；

第一异或器，将第一数据拼接单元的输出与第一移位寄存单元中的数据进行异或；

第二异或器，将第二数据拼接单元的输出与第二移位寄存单元中的数据进行异或；

查表单元，保存R参数表，根据第一异或器的输出从R参数表中获取R₁，根据第二异或器的输出从R参数表中获取R₂；将R₁、R₂发送到R存储单元；

R存储单元，保存R₁、R₂；R₁、R₂的初始值为0。

一种ZUC算法密钥生成方法，包括：

1、ZUC算法密钥生成装置从高层协议模块获取密钥初始参数；

2、iv计算模块根据Count、Bearer、Direction及密钥模式生成iv_i；

3、如果是第一次计算s_i，s_i计算模块将key_i、iv_i和d_i进行位拼接获得s_i；s_i＝key_i||d_i|iv_i；否则，s_i计算模块将s_i+1赋值给s_i；

4、X计算模块利用s_i计算X_j；

X₀＝s_15H||s_14L，X₁＝s_11L||s_9H，X₂＝s_7L||s_5H，X₃＝s_2L||s_0H；

5、W计算模块计算W、W₁、W₂；

W₁＝R₁+X₁；

其中，R₁和R₂的初始值为0；

6、R计算模块计算R₁、R₂；

$R_1=\mathrm{Serch}(\left(W_{1L}\right|\left|W_{2H}\right)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<2)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<10)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<18)\&CirclePlus;($

$\left(W_{1L}\right|\left|W_{2H}\right)<<<24\left)\right)$

$R_2=\mathrm{Serch}(\left(W_{2L}\right|\left|W_{1H}\right)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<8)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<14)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<22)\&CirclePlus;($

$\left(W_{2L}\right|\left|W_{1H}\right)<<<30\left)\right);$

7、s₁₆计算模块计算s₁₆并发送到s_i计算模块；

在算法初始化阶段，

s₁₆＝((W＞＞1)+((2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1)))mod(2³¹-1)；在密钥生成阶段，

s₁₆＝(2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1)；

8、在密钥生成阶段，密钥生成模块生成密钥KEY_ZUC，在算法初始化阶段，判断步骤3～7的执行次数是否达到预设的算法初始化迭代次数N，如果是，设定当前算法阶段为密钥生成阶段；返回步骤3；

9、判断是否需要继续生成密钥，如果需要，返回步骤3，否则结束密钥生成流程；

其中，其中，i＝0～15；j＝0～3。

优选的，所述步骤7进一步包括：

计算2¹⁵s₁₅、2¹⁷s₁₃、2²¹s₁₀、2²⁰s₄、2⁸s₀；

将s₀与2⁸s₀相加得到累加值sum；

将2²⁰s₄、2²¹s₁₀、2¹⁷s₁₃、2¹⁵s₁₅依次累加到sum中；

如果当前阶段为算法初始化阶段，s₁₆＝(sum mod(2³¹-1)+(W＞＞1))mod(2³¹-1)；否则，s₁₆＝sum mod(2³¹-1)；

如果s₁₆为0，设置s₁₆＝2³¹-1，发送s₁₆到s_i计算模块。

优选的，所述步骤7进一步包括：

710、如果是第一次计算s₁₆，乘法单元计算2⁸s₀、2²⁰s₄、2²¹s₁₀，执行步骤711；否则执行步骤715；

711、第一加法器计算A＝s₀+2⁸s₀，第二加法器计算B＝2²¹s₁₀+2²⁰s₄，乘法单元计算2⁸s₁、2²¹s₁₁、2²⁰s₅；

712、第三加法器计算C＝A+B，第一加法器计算A＝s₁+2⁸s₁、第二加法器计算B＝2²¹s₁₁+2²⁰s₅；乘法单元计算2¹⁷s₁₃、2⁸s₂、2²¹s₁₂、2²⁰s₆；

713、第四加法器计算D＝C+2¹⁷s₁₃、第三加法器计算C＝A+B，第一加法器计算A＝s₂+2⁸s₂、第二加法器计算B＝2²¹s₁₂+2²⁰s₆；乘法单元计算2¹⁵s₁₅、2¹⁷s₁₄、2⁸s₃、2²¹s₁₃、2²⁰s₇；

714、第五加法器计算E＝D+2¹⁵s₁₅；第四加法器计算D＝C+2¹⁷s₁₄、第三加法器计算C＝A+B、第一加法器计算A＝s₃+2⁸s₃、第二加法器计算B＝2²¹s₁₃+2²⁰s₇；执行步骤716；

715、第五加法器计算E＝D+2¹⁵s₁₆，第四加法器计算D＝C+2¹⁷s₁₅，第三加法器计算C＝A+B，第一加法器计算A＝s₄+2⁸s₄，第二加法器计算B＝2²¹s₁₄+2²⁰s₈；

716、如果当前算法阶段为算法初始化阶段，s₁₆＝(E mod(2³¹-1)+(W＞＞1))mod(2³¹-1)；否则，s₁₆＝E mod(2³¹-1)；

717、，如果s₁₆为0，设置s₁₆＝2³¹-1；

718、发送s₁₆到s_i计算模块；

719、乘法单元计算2¹⁵s₁₆、2¹⁷s₁₅、2⁸s₄、2²¹s₁₄、2²⁰s₈；

其中，各步骤中的A为执行该步骤之前第一加法器的输出，B为执行该步骤之前第二加法器的输出，C为执行该步骤之前第三加法器的输出，D为执行该步骤之前第四加法器的输出，E为执行该步骤之前第五加法器的输出。

本发明的技术方案提供了ZUC算法密钥生成的实现装置，解决了在实际系统中实现ZUC算法密钥生成的问题，本发明的一种优选方案使用一个模块实现了加解密密钥和完整性校验密钥的计算，进一步节约了ZUC算法密钥生成装置的成本，在另一种优选方案中，对于s₁₆的计算实现了流水线操作，从第二次计算s₁₆开始，可以实现一个时钟周期计算出一个s₁₆，提高了密钥生成效率。

附图说明

图1本发明装置优选实施方式结构图

图2本发明装置iv计算模块一种优选实现方案结构图

图3是本发明装置iv计算模块又一种优选实现方案结构图

图4是本发明具体实施例1的s₁₆计算模块结构图

图5是本发明R计算模块一种优选实现方案结构图

图6是发明具体实施例2的s₁₆计算模块结构图

图7是本发明方法优选实施方式流程图

图8是本发明方法s₁₆计算步骤一种优选实现方案流程图

图9是本发明方法s₁₆计算步骤又一种优选实现方案流程图

具体实施方式

为进一步说明本发明的技术方案，下面给出具体实施例并结合附图详细说明。

具体实施例1

本实施例为本发明ZUC算法密钥生成装置的一种优选实施方式，总体结构如图1所示，包括：

接口模块，从高层协议模块获取初始密钥参数；

所述密钥生成参数包括，Count、Bearer、Direction、key_i参数和密钥模式(加解密或完整性校验)；

iv计算模块，从接口模块获取Count、Bearer、Direction参数，根据密钥模式计算加解密初始化向量或完整性校验初始化向量；

作为本发明装置的一种优选实现方案，iv计算模块如图2所示，包括，

选择单元，根据密钥模式选择加解密iv计算单元或完整性校验iv计算单元从接口模块接收Count、Bearer、Direction参数并计算对应的iv_i；

加解密iv计算单元，通过选择单元与接口模块连接，从接口模块接收Count、Bearer、Direction参数并存放到对应的加解密存储单元中；包括，15个加解密存储单元，加解密存储单元i存储对应的iv_i，i＝0～15；

完整性校验iv计算单元，通过选择单元与接口模块连接，从接口模块接收Count、Bearer、Direction参数，计算并保存完整性校验初始化向量；包括，15个完整性校验存储单元，完整性校验存储单元i存储对应的iv_i，i＝0～15；iv₈计算单元，从完整性校验存储单元0获取iv₀，从接口模块获取Direction，计算iv₈并存储到完整性校验存储单元8；iv₁₄计算单元，从完整性校验存储单元6获取iv₆，从接口模块Direction，计算iv₁₄并存储到完整性校验存储单元14。

作为本发明装置的又一种优选实现方案，iv计算模块如图3所示，包括，

15个iv存储单元，存储单元i存储对应的iv_i，i＝0～15；

iv₈计算单元，从存储单元0获取iv₀，从接口模块接收Direction，计算iv₈， ${\mathrm{iv}}_8={\mathrm{iv}}_0\&CirclePlus;\left\{\mathrm{Direction}\right|\left|{0000000}_2\right\};$

如果密钥模式为加解密，设置存储单元8＝存储单元0，设置存储单元14＝存储单元6，设置存储单元4＝存储单元12＝Bearer||Direction||00₂；如果密钥模式为完整性校验，设置存储单元8＝iv₈计算单元输出，设置存储单元14＝iv₁₄计算单元输出，设置存储单元4＝存储单元12＝Bearer||000₂。

选择单元201，如果密钥模式为加解密，将存储单元0中的数据发送到存储单元8；如果密钥模式为完整性校验，将iv₈计算单元的计算结果发送到存储单元8

iv₁₄计算单元，从存储单元6获取iv₆，从接口模块接收Direction，计算iv₁₄， ${\mathrm{iv}}_{14}={\mathrm{iv}}_6\&CirclePlus;\left\{{\mathrm{Direction}\left|\right|0000000}_2\right\};$

选择单元202，如果密钥模式为加解密，将存储单元6中的数据发送到存储单元14；如果密钥模式为完整性校验，将iv₁₄计算单元的计算结果发送到存储单元14；

选择单元203，如果密钥模式为加解密，将Bearer||000₂存储到存储单元4和存储单元12；如果密钥模式为完整性校验，将Bearer||Direction||00₂存储到存储单元4和存储单元12。

s_i计算模块，用于计算并存储s_i，包括I个存储单元，存储单元i用于存储s_i；

如果是第一次计算s_i，从接口模块获取key_i参数，从iv计算模块获取iv_i，将key_i||d_i|iv_i存储到存储单元i中；否则，将存储单元i+1中的数据存储到存储单元i中；其中，I＝16；i＝0～15；

s₁₆计算模块，计算s₁₆并发送计算结果到所述s_i计算模块的存储单元16中保存；

在算法初始化阶段，

s₁₆＝((W＞＞1)+((2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1)))mod(2³¹-1)；

在密钥生成阶段，

s₁₆＝(2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+(1+2⁸)s₀)mod(2³¹-1)；

本实施例中，s₁₆计算模块如图4所示，包括，

乘法单元，从s_i计算模块读取s₀、s₄、s₁₀、s₁₃、s₁₅、计算并保存2¹⁵s₁₅、2¹⁷s₁₃、2²¹s₁₀、2²⁰s₄、2⁸s₀；

作为本实施例的一种优选实现方案，所述乘法单元可以包括，

移位寄存器401，与所述s_i计算模块的存储单元0连接，将存储单元0中的数据循环左移8位并保存；

移位寄存器402，与所述s_i计算模块的存储单元4连接，将存储单元4中的数据循环左移20位并保存；

移位寄存器403，与所述s_i计算模块的存储单元10连接，将存储单元10中的数据循环左移21位并保存；

移位寄存器404，与所述s_i计算模块的存储单元13连接，将存储单元13中的数据循环左移17位并保存；

移位寄存器405，与所述s_i计算模块的存储单元15连接，将存储单元15中的数据循环左移15位并保存；

所述乘法单元也可以采用本发明技术领域的其他方式实现，本发明对所述乘法单元的具体实现形式没有限制；

选择器406，与所述s_i计算模块的存储单元0、所述乘法单元以及加法器407连接，根据加法器407已执行加法的次数从s_i计算模块的存储单元0、乘法单元保存的数据以及加法器407的输出中选择加法器407的输入；

其中，加法器407已执行加法的次数为5k时，选择存储单元0的数据和2⁸s₀；加法器407已执行加法的次数为5k+1时，选择加法器407的输出和2²⁰s₄，加法器407已执行加法的次数为5k+2时，选择加法器407的输出和2²¹s₁₀；加法器407已执行加法的次数为5k+3时，选择加法器407的输出和2¹⁷s₁₃；加法器407已执行加法的次数为5k+4时，选择加法器407的输出和2¹⁵s₁₅；

加法器407，对所述选择器406选择的输入数据进行加法计算并将计算结果输出到所述选择器406和取模单元408；

取模单元408，当加法器407已执行加法的次数为5(k+1)时，对加法器407的输出执行mod(2³¹-1)操作；

移位寄存器409，在算法初始化阶段，从所述W计算模块接收W，将W右移1位保存；

加法器410，在算法初始化阶段，，将取模单元408计算结果与移位寄存器409的输出相加；

取模单元411，对加法器410的输出执行mod(2³¹-1)操作；

选择器412，在算法初始化阶段，选择取模单元411的输出发送到s₁₆输出单元，在密钥生成阶段，选择取模单元408的输出发送到s₁₆输出单元；

s₁₆输出单元，判断选择器412输出的数据是否为0，如果是，s₁₆＝2³¹-1；否则将选择器412输出的数据作为s₁₆；发送s₁₆到s_i计算模块的存储单元16；

其中，k为大于或等于0的整数。

X计算模块，从s_i存储模块读取s_i，计算X_j并存储；j＝0～3；

其中，X₀＝s_15H||s_14L，X₁＝s_11L||s_9H，X₂＝s_7L||s_5H，X₃＝s_2L||s_0H；W计算模块，从X计算模块和R计算模块读取X_j和R₁、R₂，计算W、W₁、W₂；其中， $W=(X_0\&CirclePlus;R_1)+R_2;$ W₁＝R₁+X₁； $W_2=R_2\&CirclePlus;X_2;$

R计算模块，存储R₁、R₂，从所述W计算模块获取数据，计算R₁、R₂并更新所存储的R₁、R₂；其中，

$R_1=\mathrm{Serch}(\left(W_{1L}\right|\left|W_{2H}\right)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<2)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<10)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<18)\&CirclePlus;($

$\left(W_{1L}\right|\left|W_{2H}\right)<<<24\left)\right)$

$R_2=\mathrm{Serch}(\left(W_{2L}\right|\left|W_{1H}\right)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<8)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<14)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<22)\&CirclePlus;($

$\left(W_{2L}\right|\left|W_{1H}\right)<<<30\left)\right);$

作为本发明装置的一种优选实现方案，R计算模块如图5所示，包括，

优选的，所述R计算模块进一步包括：

数据拼接单元1，与所述W计算模块连接，执行W_1L||W_2H操作；

数据拼接单元2，与所述W计算模块连接，执行W_2L||W_1H操作；

移位寄存单元1，计算并保存W_1L||W_2H＜＜＜2、W_1L||W_2H＜＜＜10、W_1L||W_2H＜＜＜18、W_1L||W_2H＜＜＜24；

移位寄存单元2，计算并保存W_2L||W_1H＜＜＜8、W_2L||W_1H＜＜＜14、W_2L||W_1H＜＜＜18、W_2L||W_1H＜＜＜30；

异或器1，将数据拼接单元1的输出与移位寄存单元1中的数据进行异或；

异或器2，将数据拼接单元2的输出与移位寄存单元2中的数据进行异或；

查表单元，保存R参数表，根据异或器1的输出从R参数表中获取R₁，根据异或器2的输出从R参数表中获取R₂；将R₁、R₂发送到R存储单元；

R存储单元，保存R₁、R₂；其中，在首次计算R₁、R₂之前，R₁、R₂的初始值为0；

密钥生成模块，在密钥生成阶段从所述X计算单元获取X₃，从所述W计算单元获取W，生成密钥KEY_ZUC， $\mathrm{KEY}\_\mathrm{ZUC}=X_3\&CirclePlus;W.$

具体实施例2

本实施例为本发明ZUC算法密钥生成装置的又一种优选实施方式，总体结构如图1所示，其中，接口模块、iv计算模块、s_i计算模块、X计算模块、W计算模块、R计算模块、密钥生成模块可以采用与具体实施例1中相同的模块结构。

S₁₆计算模块结构如图6所示，包括：

乘法单元401，从所述s_i计算模块选择一个s_i，计算并保存2⁸s_i；当加法器406已执行加法的次数小于4时，i＝加法器406已执行加法的次数，否则，i＝4；

乘法单元402，从所述s_i计算模块选择一个s_i，计算并保存2²⁰s_i；当加法器407已执行加法的次数小于4时，i＝加法器407已执行加法的次数+4，否则，i＝8；

乘法单元403，从所述s_i计算模块选择一个s_i，计算并保存2²¹s_i；当加法器407已执行加法的次数小于4时，i＝加法器407已执行加法的次数+10，否则，i＝14；

乘法单元404，从所述s_i计算模块选择一个s_i，计算并保存2¹⁷s_i；当加法器409已执行加法的次数小于2时，i＝加法器409已执行加法的次数+13，否则，i＝15；

乘法单元405，从所述s_i计算模块选择一个s_i，计算并保存2¹⁵s_i；当加法器410已执行加法的次数小于1时，i＝15，否则，i＝16；

加法器406，将乘法单元401的数据和乘法单元401选择的s_i相加；

加法器407，将乘法单元402和乘法单元403的数据相加；

加法器408，将加法器406的计算结果和加法器407的计算结果相加；

加法器409，将加法器408的计算结果和乘法单元404的数据相加；

加法器410，将加法器409的计算结果和乘法单元405的数据相加；

取模单元411，对加法器410的计算结果执行mod(2³¹-1)操作；

移位寄存器412，在算法初始化阶段，从所述W计算模块接收W，将W右移1位保存；

加法器413，在算法初始化阶段，将取模单元411计算结果与移位寄存器412的输出；

取模单元414，对加法器413的计算结果执行mod(2³¹-1)操作；

选择器415，在算法初始化阶段，选择取模单元414的输出发送到s₁₆输出单元；在密钥生成阶段，选择取模单元411的输出发送到s₁₆输出单元；

s₁₆输出单元，判断选择器415输出的数据是否为0，如果是，s₁₆＝2³¹-1；否则将选择器415输出的数据作为s₁₆；发送s₁₆到s_i计算模块的存储单元16。

本实施例中，s₁₆计算模块采用流水线计算的方式，在经过前4个时钟周期计算出第一个s₁₆后，每个时钟周期都能生成一个s₁₆，提高了装置的运行效率。

需要说明的是，本发明各实施例中各模块中的多个存储单元可以是物理上独立的多个存储单元，也可以是一个物理存储单元的多个逻辑划分，本发明对存储单元的具体形式没有限制。

具体实施例3

本实施例为本发明ZUC算法密钥生成方法的一种优选实施方式，本是实施例的密钥生成方法与具体实施例1所述装置相匹配；总体流程如图7所示。

1、ZUC算法密钥生成装置从高层协议模块获取初始密钥参数；

2、iv计算模块根据Count、Bearer、Direction及密钥模式计算各iv_i；

具体计算方法为：

如果密钥模式为加解密，将Count[7:0]存入iv₀和iv₈对应的存储单元；将Count[15:8]存入iv₁和iv₉对应的存储单元；将Count[23:16]存入iv₂和iv₁₀对应的存储单元；将Count[31:24]存入iv₃和iv₁₁对应的存储单元；iv₄对应的存储单元的比特3～5和iv₁₂对应的存储单元的比特3～5存储Bearer，iv₄对应的存储单元的比特2和iv₁₂对应的存储单元的比特2存储Direction，iv₄对应的存储单元的比特0～1和iv₁₂对应的存储单元的比特0～1设置为00₂；其余存储单元设置为0；

如果密钥模式为完整性校验，将Count[7:0]存入iv₀对应的存储单元；将Count[15:8]存入iv₁和iv₉对应的存储单元；将Count[23:16]存入iv₂和iv₁₀对应的存储单元；将Count[31:24]存入iv₃和iv₁₁对应的存储单元；iv₄对应的存储单元的比特3～5和iv₁₂对应的存储单元的比特3～5存储Bearer，iv₄对应的存储单元的比特0～2和iv₁₂对应的存储单元的比特0～1设置为000₂；将iv₀对应的存储单元的数据与Direction||0000000₂异或的结果存入iv₈对应的存储单元；将iv₆对应的存储单元的数据与Direction||0000000₂异或的结果存入iv₁₄对应的存储单元；其余存储单元设置为0；

其中，i＝0～15；

3、如果是第一次计算s_i，s_i计算模块将key_i、iv_i和d_i进行位拼接获得s_i；s_i＝key_i|d_i||iv_i；否则，s_i计算模块将s_i+1赋值给s_i；

4、X计算模块利用s_i计算X_j，j＝0～3；

X₀＝s_15H||s_14L，X₁＝s_11L||s_9H，X₂＝s_7L||s_5H，X₃＝s_2L||s_0H；

5、W计算模块计算W、W₁、W₂；

W₁＝R₁+X₁；其中，R₁和R₂的初始值为0；

6、R计算模块计算R₁、R₂；

$R_1=\mathrm{Serch}(\left(W_{1L}\right|\left|W_{2H}\right)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<2)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<10)\&CirclePlus;(\left(W_{1L}\right|\left|W_{2H}\right)<<<18)\&CirclePlus;($

$\left(W_{1L}\right|\left|W_{2H}\right)<<<24\left)\right)$

$R_2=\mathrm{Serch}(\left(W_{2L}\right|\left|W_{1H}\right)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<8)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<14)\&CirclePlus;(\left(W_{2L}\right|\left|W_{1H}\right)<<<22)\&CirclePlus;($

$\left(W_{2L}\right|\left|W_{1H}\right)<<<30\left)\right);$

7、s₁₆计算模块计算s₁₆并发送到s_i计算模块；本步骤流程如图8所示；

701、计算2¹⁵s₁₅、2¹⁷s₁₃、2²¹s₁₀、2²⁰s₄、2⁸s₀；

702、s₁₆计算模块的加法器将s₀与2⁸s₀相加；

703、s₁₆计算模块的加法器将步骤702的结果与2²⁰s₄相加；

704、s₁₆计算模块的加法器将步骤703的结果与2²¹s₁₀相加；

705、s₁₆计算模块的加法器将步骤704的结果与2¹⁷s₁₃相加；

706、s₁₆计算模块的加法器将步骤705的结果与2¹⁵s₁₅相加；

707、在算法初始化阶段，s₁₆＝(步骤706的结果mod(2³¹-1)+(W＞＞1))mod(2³¹-1)；在密钥生成阶段，s₁₆＝步骤706的结果mod(2³¹-1)；

708、判断s₁₆是否为0，如果是，设置s₁₆＝2³¹-1；

709、输出s₁₆到s_i计算模块。

8、在密钥生成阶段，密钥生成模块生成密钥KEY_ZUC，

在算法初始化阶段，判断步骤3～7已执行次数是否达到预设的算法初始化迭代次数N，如果是，设置当前算法阶段为密钥生成阶段；返回步骤3；

9、判断是否需要继续生成密钥，如果需要，返回步骤3，否则结束密钥生成流程。

具体实施例4

本实施例为本发明ZUC算法密钥生成方法的又一种优选实施方式，本是实施例的密钥生成方法与具体实施例2所述装置相匹配；总体流程如图7所示。

步骤1～6与具体实施例3相同；

7、s₁₆计算模块计算s₁₆并发送到s_i计算模块；本步骤流程如图9所示；

710、如果是第一次计算s₁₆，乘法单元计算2⁸s₀、2²⁰s₄、2²¹s₁₀，执行步骤711；否则，执行步骤715；

711、第一加法器计算A＝s₀+2⁸s₀，第二加法器计算B＝2²¹s₁₀+2²⁰s₄，乘法单元计算2⁸s₁、2²¹s₁₁、2²⁰s₅；

712、第三加法器计算C＝A+B，第一加法器计算A＝s₁+2⁸s₁、第二加法器计算B＝2²¹s₁₁+2²⁰s₅；乘法单元计算2¹⁷s₁₃、2⁸s₂、2²¹s₁₂、2²⁰s₆；

713、第四加法器计算D＝C+2¹⁷s₁₃、第三加法器计算C＝A+B，第一加法器计算A＝s₂+2⁸s₂、第二加法器计算B＝2²¹s₁₂+2²⁰s₆；乘法单元计算2¹⁵s₁₅、2¹⁷s₁₄、2⁸s₃、2²¹s₁₃、2²⁰s₇；

714、第五加法器计算E＝D+2¹⁵s₁₅；第四加法器计算D＝C+2¹⁷s₁₄、第三加法器计算C＝A+B、第一加法器计算A＝s₃+2⁸s₃、第二加法器计算B＝2²¹s₁₃+2²⁰s₇；执行步骤716；

715、第五加法器计算E＝D+2¹⁵s₁₆，第四加法器计算D＝C+2¹⁷s₁₅，第三加法器计算C＝A+B，第一加法器计算A＝s₄+2⁸s₄，第二加法器计算B＝2²¹s₁₄+2²⁰s₈；

716、如果当前算法阶段为算法初始化阶段，s₁₆＝(E mod(2³¹-1)+(W＞＞1))mod(2³¹-1)；否则，s₁₆＝E mod(2³¹-1)；

717、，如果s₁₆为0，设置s₁₆＝2³¹-1；

718、发送s₁₆到s_i计算模块；

719、乘法单元计算2¹⁵s₁₆、2¹⁷s₁₅、2⁸s₄、2²¹s₁₄、2²⁰s₈；

其中，各步骤中的A为执行该步骤之前第一加法器的输出，B为执行该步骤之前第二加法器的输出，C为执行该步骤之前第三加法器的输出，D为执行该步骤之前第四加法器的输出，E为执行该步骤之前第五加法器的输出。

步骤8～9与具体实施例3相同；

本领域的一般技术人员显然应该清楚并且理解，本发明方法所举的以上实施例仅用于说明本发明方法，而并不用于限制本发明方法。在不背离本发明方法的精神及其实质的情况下，本领域技术人员当可根据本发明方法做出各种相应的改变或变形，但这些相应的改变或变形均属于本发明方法的权利要求保护范围。

Claims (9)

1.一种祖冲之ZUC算法密钥生成装置，其特征在于，包括：

接口模块，从高层协议模块获取初始密钥参数；

iv计算模块，从接口模块获取加密计数器Count、无线承载标识Bearer、传输方向Direction、密钥模式参数，根据密钥模式计算加解密初始化向量或完整性校验初始化向量iv_i；

s_i计算模块，包括I个存储单元，存储单元i用于存储存储移位值s_i；

如果是第一次计算s_i，从接口模块获取密钥计算参数key_i，从iV计算模块获取iv_i，s_i＝key_i||d_i|iv_i；否则，s_i＝s_i+1；其中，I＝16；i＝0～15；d_i为算法固定参数；

s₁₆计算模块，计算s₁₆并发送计算结果到所述s_i计算模块的存储单元16中保存；

X计算模块，从s_i存储模块获得数据，计算重组值X_j；j＝0～3；

W计算模块，从X计算模块和R计算模块获得数据，计算密钥生产值W和中间变量W₁、W₂；

其中，随机变换值R₁、R₂的初始值为0；

R计算模块，从所述W计算模块获取W₁、W₂，计算R₁、R₂；

密钥生成模块，在密钥生成阶段从所述X计算单元获取X₃，从所述W计算单元获取W，生成密钥KEY_ZUC，

其中，||为比特拼接操作，

为异或操作。

2.根据权利要求1所述的装置，其特征在于，所述iv计算模块包括：

选择单元，从接口模块接收Count、Bearer、Direction参数，根据密钥模式选择加解密iv计算单元或完整性校验iv计算单元计算对应的iv_i；

加解密iv计算单元，包括，15个加解密存储单元，加解密存储单元i存储对应的iv_i，i＝0～15；通过选择单元与接口模块连接，从接口模块接收Count、Bearer、Direction并存放到对应的加解密存储单元中；

完整性校验iv计算单元，通过选择单元与接口模块连接，从接口模块接收Count、Bearer、Direction，计算并保存完整性校验初始化向量；包括，15个完整性校验存储单元，完整性校验存储单元i存储对应的iv_i，i＝0～15；iv₈计算单元，从完整性校验存储单元0获取iv₀，从接口模块获取Direction，计算iv₈并存储到完整性校验存储单元8；iv₁₄计算单元，从完整性校验存储单元6获取iv₆，从接口模块获取Direction，计算iv₁₄并存储到完整性校验存储单元14。

3.根据权利要求1所述的装置，其特征在于，所述iv计算模块包括：

15个iv存储单元，存储单元i存储对应的iv_i，i＝0～15；

iv₈计算单元，从存储单元0获取iv₀，从接口模块接收Direction，计算iv₈， ${\mathrm{iv}}_8={\mathrm{iv}}_0\&CirclePlus;\left\{\mathrm{Direction}\right|\left|{0000000}_2\right\};$

iv₁₄计算单元，从存储单元6获取iv₆，从接口模块接收Direction，计算iv₁₄， ${\mathrm{iv}}_{14}={\mathrm{iv}}_6\&CirclePlus;\left\{\mathrm{Direction}\right|\left|{0000000}_2\right\};$

选择单元，如果密钥模式为加解密，将存储单元0的数据保存发送到存储单元8＝，将存储单元6的数据保存发送到存储单元14，将Bearer||Direction||00₂保存到存储单元4和存储单元12＝Bearer||Direction||00₂；如果密钥模式为完整性校验，设置iv₈计算单元输出发送到存储单元8，将iv₁₄计算单元输出发送到存储单元14，将Bearer||000₂保存到存储单元4和存储单元12。

4.根据权利要求1所述的装置，其特征在于，所述R计算模块包括：

第一数据拼接单元，计算W_1L||W_2H操作；

第二数据拼接单元，计算W_2L||W_1H操作；

第一移位寄存单元，计算并保存W_1L||W_2H＜＜＜2、W_1L||W_2H＜＜＜10、W_1L||W_2H＜＜＜18、W_1L||W_2H＜＜＜24；

第二移位寄存单元，计算并保存W_2L||W_1H＜＜＜8、W_2L||W_1H＜＜＜14、W_2L||W_1H＜＜＜18、W_2L||W_1H＜＜＜30；

第一异或器，将第一数据拼接单元的输出与第一移位寄存单元中的数据进行异或；

第二异或器，将第二数据拼接单元的输出与第二移位寄存单元中的数据进行异或；

查表单元，保存R参数表，根据第一异或器的输出从R参数表中获取R₁，根据第二异或器的输出从R参数表中获取R₂；将R₁、R₂发送到R存储单元；

R存储单元，保存R₁、R₂；R₁、R₂的初始值为0；

其中，W_1H为W₁的高16位，W_1L为W₁的低16位；W_2H为W₂的高16位，W_2L为W₂的低16位；＜＜＜为向左循环移位操作，＜＜＜后的数字表示移位的位数。

5.根据权利要求1～4中任一项所述的装置，其特征在于，所述s₁₆计算模块包括：

乘法单元，从s_i计算模块读取s₀、s₄、s₁₀、s₁₃、s₁₅、计算2¹⁵s₁₅、2¹⁷s₁₃、2²¹s₁₀、2²⁰s₄、2⁸s₀；

第一选择器，与所述s_i计算模块的存储单元0、所述乘法单元以及第一加法器的输出连接，根据第一加法器已执行加法的次数选择第一加法器的输入；

其中，第一加法器已执行加法的次数为5k时，选择存储单元0的数据和2⁸s₀；第一加法器已执行加法的次数为5k+1时，选择第一加法器的输出和2²⁰s₄，第一加法器已执行加法的次数为5k+2时，选择第一加法器的输出和2²¹s₁₀；第一加法器已执行加法的次数为5k+3时，选择第一加法器的输出和2¹⁷s₁₃；第一加法器已执行加法的次数为5k+4时，选择第一加法器的输出和2¹⁵s₁₅；

第一加法器，对所述第一选择器选择的输入数据进行加法计算并将计算结果输出到所述第一选择器和第一取模单元；

第一取模单元，当第一加法器已执行加法的次数为5(k+1)时，对第一加法器的输出执行mod(2³¹-1)操作；

移位寄存器，在算法初始化阶段，从所述W计算模块接收W，将W右移1位保存；

第二加法器，将第一取模单元的输出与移位寄存器的输出相加；

第二取模单元，对第二加法器的输出执行mod(2³¹-1)操作；

第二选择器，在算法初始化阶段选择第二取模单元的输出发送到s₁₆输出单元，在密钥生成阶段选择第一取模单元的输出发送到s₁₆输出单元；

s₁₆输出单元，判断第二选择器的输出是否为0，如果是，s₁₆＝2³¹-1；否则将第二选择器的输出作为s₁₆；发送s₁₆到s_i计算模块的存储单元16；

其中，mod()为取模操作。

6.根据权利要求1～4中任一项所述的装置，其特征在于，所述s₁₆计算模块包括：

第一乘法单元，计算2⁸s_i；当第一加法器已执行加法的次数小于4时，i＝第一加法器已执行加法的次数，否则，i＝4；

第二乘法单元，计算2²⁰s_i；当第二加法器已执行加法的次数小于4时，i＝第二加法器已执行加法的次数+4，否则，i＝8；

第三乘法单元，计算2²¹s_i；当第二加法器已执行加法的次数小于4时，i＝第二加法器已执行加法的次数+10，否则，i＝14；

第四乘法单元，计算2¹⁷s_i；当第四加法器已执行加法的次数小于2时，i＝第四加法器已执行加法的次数+13，否则，i＝15；

第五乘法单元，计算2¹⁵s_i；当第五加法器已执行加法的次数小于1时，i＝15，否则，i＝16；

第一加法器，将第一乘法单元的输出和第一乘法单元使用的s_i相加；

第二加法器，将第二乘法单元的输出和第三乘法单元的输出相加；

第三加法器，将第一加法器的输出和第二加法器的输出相加；

第四加法器，将第三加法器的输出和第四乘法单元的输出相加；

第五加法器，将第四加法器的输出和第五乘法单元的输出相加；

第一取模单元，对第五加法器的输出执行mod(2³¹1)操作；

移位寄存器，在算法初始化阶段，从所述W计算模块接收W，将W右移1位保存；

第六加法器，将第一取模单元的输出与移位寄存器的输出相加；

第二取模单元，对第六加法器的输出执行mod(2³¹-1)操作；

选择器，在算法初始化阶段选择第二取模单元的输出发送到s₁₆输出单元，在密钥生成阶段选择第一取模单元的输出发送到s₁₆输出单元；

s₁₆输出单元，判断选择器的输出是否为0，如果是，s₁₆＝2³¹-1；否则将选择器的输出作为s₁₆；发送s₁₆到s_i计算模块的存储单元16；

其中，mod()为取模操作。

7.一种祖冲之ZUC算法密钥生成方法，其特征在于，包括：

ZUC算法密钥生成装置从高层协议模块获取密钥初始参数；

iv计算模块根据加密计数器Count、无线承载标识Bearer、传输方向Direction及密钥模式生成初始化向量iv_i；

如果是第一次计算存储移位值s_i，s_i计算模块将密钥计算参数key_i、iv_i和算法固定参数d_i进行位拼接获得s_i；s_i＝key_i||d_i|iv_i；否则，s_i计算模块将s_i+1赋值给s_i；i＝0～15；

X计算模块利用s_i计算重组值X_j；j＝0～3；

W计算模块计算密钥生成密钥生产值W和中间变量W₁、W₂；

W₁＝R₁+X₁；

其中，随机变换值R₁、R₂的初始值为0；

R计算模块计算R₁、R₂；

s₁₆计算模块计算s₁₆并发送到s_i计算模块；

在密钥生成阶段，密钥生成模块生成密钥KEY_ZUC，

在算法初始化阶段，判断算法初始化迭代计算次数否达到预设的算法初始化迭代次数N，如果是，设定当前算法阶段为密钥生成阶段；返回计算s_i步骤；其中，||为比特拼接操作，

为异或操作。

8.根据权利要求7所述的方法，其特征在于，所述s₁₆计算模块计算s₁₆并发送到s_i计算模块包括：

计算2¹⁵s₁₅、2¹⁷s₁₃、2²¹s₁₀、2²⁰s₄、2⁸s₀；

将s₀与2⁸s₀相加得到累加值sum；

将2²⁰s₄、2²¹s₁₀、2¹⁷s₁₃、2¹⁵s₁₅依次累加到sum中；

如果当前阶段为算法初始化阶段，s₁₆＝(sum mod(2³¹-1)+(W＞＞1))mod(2³¹-1)；否则，s₁₆＝sum mod(2³¹-1)；

如果s₁₆为0，设置s₁₆＝2³¹-1，发送s₁₆到s_i计算模块；

其中，mod()为取模操作；所述＞＞1为右移1比特操作。

9.根据权利要求7所述的方法，其特征在于，所述s₁₆计算模块计算s₁₆并发送到s_i计算模块包括：

步骤710、如果是第一次计算s₁₆，乘法单元计算2⁸s₀、2²⁰s₄、2²¹s₁₀，执行步骤711；否则执行步骤715；

步骤711、第一加法器计算A＝s₀+2⁸s₀，第二加法器计算B＝2²¹s₁₀+2²⁰s₄，乘法单元计算2⁸s₁、2²¹s₁₁、2²⁰s₅；

步骤712、第三加法器计算C＝A+B，第一加法器计算A＝s₁+2⁸s₁、第二加法器计算B＝2²¹s₁₁+2²⁰s₅；乘法单元计算2¹⁷s₁₃、2⁸s₂、2²¹s₁₂、2²⁰s₆；

步骤713、第四加法器计算D＝C+2¹⁷s₁₃、第三加法器计算C＝A+B，第一加法器计算A＝s₂+2⁸s₂、第二加法器计算B＝2²¹s₁₂+2²⁰s₆；乘法单元计算2¹⁵s₁₅、2¹⁷s₁₄、2⁸s₃、2²¹s₁₃、2²⁰s₇；

步骤714、第五加法器计算E＝D+2¹⁵s₁₅；第四加法器计算D＝C+2¹⁷s₁₄、第三加法器计算C＝A+B、第一加法器计算A＝s₃+2⁸s₃、第二加法器计算B＝2²¹s₁₃+2²⁰s₇；执行步骤716；

步骤715、第五加法器计算E＝D+2¹⁵s₁₆，第四加法器计算D＝C+2¹⁷s₁₅，第三加法器计算C＝A+B，第一加法器计算A＝s₄+2⁸s₄，第二加法器计算B＝2²¹s₁₄+2²⁰s₈；

步骤716、如果当前算法阶段为算法初始化阶段，s₁₆＝(E mod(2³¹-1)+(W＞＞1))mod(2³¹-1)；否则，s₁₆＝E mod(2³¹-1)；

步骤717、如果s₁₆为0，设置s₁₆＝2³¹-1；

步骤718、发送s₁₆到s_i计算模块；

步骤719、乘法单元计算2¹⁵s₁₆、2¹⁷s₁₅、2⁸s₄、2²¹s₁₄、2²⁰s₈；

其中，各步骤中的A为执行该步骤之前第一加法器的输出，B为执行该步骤之前第二加法器的输出，C为执行该步骤之前第三加法器的输出，D为执行该步骤之前第四加法器的输出，E为执行该步骤之前第五加法器的输出；

其中，mod()为取模操作；所述＞＞1为右移1比特操作。

Images