CN1815948A - 基于复合非线性数字滤波器的混沌散列构造方法 - Google Patents

Abstract

本发明公开了一种基于复合非线性数字滤波器的混沌散列构造方法。在明文产生的复合序列控制下，随机选择迭代过程中的自回归非线性数字滤波器子系统，将明文巧妙地调制到复合滤波器的高维混沌轨迹中，并以混沌轨迹的粗粒化量化后作为明文的散列值。将复合滤波器的迭代初始点作为算法的密钥，能够满足带密钥散列算法的安全性要求。复合滤波器产生的高维混沌的初值敏感性和遍历特性，使得散列结果对明文极度敏感且在散列空间中均匀分布，且复合序列增加了滤波器子系统选择的随机性，能够保证迭代轨迹与初始条件之间的复杂敏感的非线性关系，从而具有更好的置乱性，更强的抗破译能力，且基于滤波器结构的算法简单快速，易于模块化和硬件实现。

Description

基于复合非线性数字滤波器的混沌散列构造方法

所属技术领域

本发明涉及信息安全技术领域中一种提取消息摘要的散列构造方法，可广泛用于数字证书、电子签名、口令保护、数字信息的完整性验证等安全应用场合。

背景技术

随着电子商务和信息数字化的飞速发展，散列算法在基于网络的安全应用如数字证书、数字签名、身份认证和信息完整性保护中得到广泛的使用。经典的散列算法如MD5(Message Digest 5，消息摘要算法5版)和SHA(SecureHash Algorithm，安全散列算法)在金融、证券等电子商务中得到普遍应用并成为事实上的两大标准。从上世纪90年代以来，人们就对这两大算法进行了安全攻击，并相继提出了“生日攻击”、“微分攻击”等破译方法。2004年，王小云教授在国际密码会Crypto 2004’上的“Collisions for Hash FunctionsMD4，MD5，HAVAL 128 and RIPEMD”报告，对MD5进行了有效攻击。随后，王等人又宣告对SHA-1完成了理论上的破译。鉴于MD5被破译及SHA-1漏洞被发现，美国国家技术与标准局(NIST)表示，他们将逐渐放弃目前使用的SHA-1，并于2010年前逐步推广更安全的SHA-224、SHA-256、SHA-384和SHA-512几种散列算法。但是这些散列算法大多是基于复杂度假设，需要进行大量复杂的异或等逻辑运算或是用分组加密方法进行多次迭代，运算量很大，随着散列长度的增加，其运算复杂度呈指数递增。

随着人们对混沌理论的深入研究，发现混沌具有对初始条件敏感、伪随机、类噪声和遍历等优良密码特性，并将混沌广泛应用在加密和随机数生成算法中。2000年刘在文献1“基于混沌映射的单向散列函数构造”(刘军宁等清华大学学报，2000(40)55)中首次将混沌引入到散列生成算法中，提出了一种基于混沌映射的散列算法。2003年王在文献2“基于广义混沌映射切换的单向散列函数构造”(王小敏等物理学报2003(52)2737)中指出该算法基于某一特定的混沌系统，易被混沌预测技术破译，同时有效字长精度效应将导致混沌序列的短周期行为，使得算法的性能蜕化等问题，并提出一种基于广义混沌映射切换的混沌散列构造方法。同年，李在文献3“复合非线性离散动力系统和Hash函数”(李红达计算机学报2003，26：460)中采用两个互补的混沌映射形成复合混沌的办法提出了基于复合混沌动力系统的散列构造方法，均取得了较好的效果。但文献2、3方法的性能好坏均还取决于所采用的混沌映射的性能，对于混沌效应强的映射，一般都涉及到复杂的浮点运算，影响运算速度，也不利于硬件实现。另外，对于性能优良的混沌映射，难以找到满足文献3互补要求的混沌源，这在算法结构上不具有通用性和可扩充性，也不利于模块化和硬件实现。2005年xiao等人在文献5“One-way hash fuction construction based on the chaotic mapwith changeable-parameter”(D.Xiao Chaos，Solitons and Fractals，2005(24)65)中用一个带变参数的混沌映射取代了王方案中的多个混沌映射切换，提出一种基于变参数混沌映射的散列构造方法，其设计思想与王方案实质上是一致的。虽然文献5采用具有均匀分布特性的分段线性映射(PWL)，但每次迭代时，使用变参数改变了PWL的结构，这实质上是破坏了PWL的全局均匀分布特性，使得散列结果在散列空间中不是均匀分布，而与明文的统计特性有关，因此难以抵御统计攻击。

发明内容：

本发明的目的是提供一种基于复合非线性数字滤波器的混沌散列构造方法，该方法实现简单、安全，占用存储空间少，运算速度快，易于扩充和软硬件实现。

为实现上述目的，本发明的技术方案是，一种基于复合非线性数字滤波器的混沌散列构造方法，包括如下具体步骤：

1)初始化：n维自回归非线性数字滤波器，其初始输入信号为φ，φ∈(-1，1)，滤波器初态为{z₁，z₂，…z_n}∈(-1，1)，并记密钥为SK＝{φ，z₁，z₂，…z_n}；取散列值的长度L≥128比特，待散列的明文为M′，用零填充后的明文为M，并使M的长度满足|M|＝(||M′|/L|+1)L≌sL，(s≥2)；将M按长度L分组，记为M＝(M₁，M₂，…，M_s)，其中 $M_i=m_i^1{m}_i^2{m}_i^3\·\·\·m_i^L;$ 建立满足Kelber条件的k(k＝2^p，L≥p≥1)个n维系数组{c_i＝c_i1，c_i2，…c_in]，i∈[0，2，…，k-1]}，并将其放入系数库；初始散列值为L比特的零向量 $H_0={\left\{0\right\}}_1^L;$

2)散列值生成：

①第一段明文m₁的散列值生成：将H₀与M₁异或，得复合控制序列R₁＝M₁H₀＝{r₀，r₁，…，r_L-1}；第一次迭代时，取R₁中序列r₀r₁…r_p-1对应的十进制整数q，表示为q＝(r₀r₁…r_p-1)₂，其中 $p={\log }_2^k,$ k为系数库中系数组c_i的个数；然后选择系数库中的第q个系数组c_q作为本次迭代的滤波器系数，迭代后滤波器输出为y₁。

第i次迭代时，取R₁中序列r_i-1modkr_imodkr_i+1modk…r_p+i-2modk，重新计算q＝(r_i-1modkr_imodkr_i+1modk…r_p+i-2modk)₂，其中，imodk表示i对k求余；然后按新的q选择系数组c_q作为第i次迭代的滤波器系数，迭代后滤波器输出为y_i；迭代L次后得到复合系统的输出轨迹{y_i}₁ ^L，量化为二进制序列作为M₁的散列值H₁；

②第二段明文M₂的散列值生成：将①步最后一次迭代后的滤波器输出值y_L作为本阶段滤波器的初始输入，并以①步生成的M₁散列值H₁与M₂异或，得到复合控制序列R₂＝H₁M₂；以R₂取代R₁，然后用①步相同的方法，得到M₂的散列值H₂；

③第i段明文M_i的散列值生成：将i-1段明文M_i-1最后一次迭代后的滤波器输出值y_L作为本阶段滤波器的初始输入，并以第i-1段明文M_i-1的散列值H_i-1与M_i异或，得到复合控制序列R_i＝H_i-1M_i；以R_i取代R₁，然后用①步相同的方法，得到M_i的散列值H_i。

④重复③步过程，直至得到最后一段明文M_s的散列值H_s，并以此散列值H_s作为整个明文M的散列值H。

与现有技术相比，本发明采用的基于非线性数字滤波器的混沌散列构造方法，有如下特点：

1、基于复合非线性数字滤波器的散列构造方法更安全，这是因为：(1)充分利用了高维混沌系统对初始条件敏感和迭代过程的单向性，以及由明文段M_i产生的复合控制序列R_i对滤波器系数选择的随机性，使得最终的散列结果H的每比特都与整个明文M及密钥SK有着敏感、复杂的非线性强藕合关系，可以有效抵抗线性分析；(2)由系统初态形成的散列密钥SK在精度允许范围内发生微小改变，将导致散列结果有近L/2个比特位发生变化，对同一明文用不同的密钥，将得到完全不同的散列值。由于具有很大的密钥空间，算法可以抵抗密钥的强力攻击；(3)复合滤波器产生的混沌序列周期长且满足n维均匀分布，通过对明文的调制和轨迹的粗粒化量化，使散列结果在散列空间中均匀分布，可以抵抗统计攻击；

2、基于滤波器结构的算法实现简单快速，没有复杂的浮点运算，比基于其它混沌模型的算法更易于扩充和软硬件实现。

3、当改变散列值长度时，传统的MD5和SHA族散列构造方法需要重新设计整个算法，而本发明不用改变滤波器结构和基本算法，只需改变明文M的分组长度和向量H_i的长度，就可得到不同长度的散列值。从而与传统的散列构造方法相比，本发明算法具有巨大的优势，可以适应多种不同安全需求的场合。

4、结合了混沌和滤波器各自的优点，算法采用分段自回归级联迭代实现，即段内采用自回归，段间采用CBC(Cipher-Block-Chain，密码区块链)模式，因此算法的空间复杂度和时间复杂度低，并与明文长度呈线性关系，可在较低硬件资源的情况下实现安全快速的散列。

具体实施方式：

下面结合具体实施方式和附图对本发明作进一步详细说明。

图1为现有的n维非线性数字滤波器结构框图。

图2为本发明n维复合非线性数字滤波器结构框图。

图3为混沌散列算法示意图。

图4为本发明算法在改变明文1比特后，散列结果变化比特数分布图。

图5为本发明算法的密钥sk敏感性测试Δλ-B曲线图。

实施例

下面结合附图和具体实施方式对本发明作进一步详细说明。

本发明的基于复合非线性数字滤波器的混沌散列构造方法，其一般做法是：

1)初始化：

图1示出：一个n维非线性自回归数字滤波器，可表示成

其中φ∈(-1，1)为滤波器的初始输入信号，{z₁，z₂，…z_n}∈(-1，1)为滤波器初态，{c₁，c₂，…c_n}为滤波器系数，T为单位时延，h(·)为非线性转移函数，mod(·)为硬件溢出函数， y为滤波器的输出。当滤波器满足Kelber条件，也即满足如下三个条件：①系数c_n∈□，|c_n|＞1，{c_i∈R，c_i≠0|i＝1，2，…n-1}；②滤波器的特征根的绝对值不为1；③非线性变换h(·)具备均匀分布特性；则滤波器的输出y是遍历的且保持n维均匀分布，此时滤波器就成为一个n维混沌系统。取散列值的长度L≥128比特，待散列的明文为M′，用零填充后的明文为M，并使M的长度满足|M|＝(||M′|/L|+1)L≌sL，(s≥2)。将M按长度L分组，记为M＝(M₁，M₂，…，M_s)，其中 $M_i=m_i^1{m}_i^2{m}_i^3\·\·\·m_i^L;$ 建立满足Kelber条件的k(k＝2^p，L≥p≥1)个n维系数组{c_i＝[c_i1，c_i2，…c_in]，i∈[0，1，…，k-1]}，并将其放入系数库；设定密钥SK＝{φ，z₁，z₂，…z_n}；初始散列值为L比特的零向量 $H_0={\left\{0\right\}}_1^L.$

2)散列值生成：

图2示出：①第一段明文M₁的散列值生成：将H₀与M₁异或，得复合控制序列R₁＝M₁H₀＝{r₀，r₁，…，r_L-1}；第一次迭代时，取R₁中序列r₀r₁…r_p-1对应的十进制整数q，表示为q＝(r₀r₁…r_p-1)₂，其中 $p={\log }_2^k,$ k为系数库中系数组c_i的个数；然后选择系数库中的第q个系数组c_q作为本次迭代的滤波器系数，迭代后滤波器输出为y₁。第i次迭代时，取R₁中序列r_i-1modkr_imodkr_i+1modk…r_p+i-2modk，重新计算q＝(r_i-1modkr_imodkr_i+1modk…r_p+i-2modk)₂，其中，imodk表示i对k求余；然后按新的q选择系数组c_q作为第i次迭代的滤波器系数，迭代后滤波器输出为y_i；迭代L次后得到复合系统的输出轨迹{y_i}₁ ^L，量化为二进制序列作为M₁的散列值H₁；这种将图1中固定的滤波器系数{c₁，c₂，…c_n}不停的切换，变为图2中的随迭代次数而变化的系数组{c₁，c₂，…c_n}，相当于将图1中的固定滤波器变成了图2中的k个子滤波器切换的复合系统，图2中T为单位时延。理论研究表明，图2中的复合滤波器具有n维均匀分布和遍历的特性，是一种高维复合混沌系统，若从某个i开始，复合控制序列r_i为常数，则复合系统蜕化为单一滤波器系统；由于滤波器满足Kelber条件，因此即使复合系统蜕化为单一滤波器系统，该系统仍然是一个高维混沌系统；一般地，复合系统保持了所有子系统的特性，比单个子系统的行为要复杂得多。

②第二段明文M₂的散列值生成：将①步最后一次迭代后的滤波器输出值y_L作为本阶段滤波器的初始输入，并以①步生成的M₁散列值H₁与M₂异或，得到复合控制序列R₂＝H₁M₂；以R₂取代R₁，然后用①步相同的方法，得到M₂的散列值H₂。

③第i段明文M_i的散列值生成：将第i-1段明文M_i-1最后一次迭代后的滤波器输出值y_L作为本阶段滤波器的初始输入，并以第i-1段明文M_i-1的散列值H_i-1与M_i异或，得到复合控制序列R_i＝H_i-1M_i；以R_i取代R₁，然后用①步相同的方法，得到M_i的散列值H_i；

④重复③步过程，直至得到最后一段明文M_s的散列值H_s，并以此散列值H_s作为整个明文M的散列值H。

以上M₁，M₂，…M_s段明文的散列生成过程是一个分段级联迭代过程，可用图3的混沌散列算法示意图，描述为 $\left\{\begin{array}{c}(H_i,{\mathrm{\φ}}_i)=F({\mathrm{\φ}}_{i-1},H_{i-1}\⊕M_i),i=\mathrm{1,2},\·\·\·s\\ H\left(M\right)=H_s\end{array}\right.;$ 图3中F表示明文段M_i的散列值自回归迭代生成过程，φ₀为滤波器的初始输入值，H₀为L比特的零向量{0}₁ ^L，H₁为M₁的散列值，φ₁为M₂段的滤波器输入值，且等于M₁最后一次迭代时滤波器的输出值y_L；φ₂为M₃段的滤波器输入值，且等于M₂最后一次迭代时滤波器的输出值y_L；依此类推，最后得到M_s的散列值H_s，并以H_s作为整个明文M的最终散列值H。

实施例一

n＝2维的非线性数字滤波器，系数库中预存k＝2组系数，散列长度L＝128情况下的混沌散列构造方法。

1)初始化：

n维自回归非线性数字滤波器，n＝2，p＝1，参数库预存k＝2^p＝2组系数{c₀＝[3.57，4]，c₁＝[5.7，7]}，散列长度L＝128比特，滤波器的初始值即密钥SK＝{φ₀，z₁，z₂}＝{φ₀＝0.5648，z₁＝-0.564，z₂＝0.679}，初始散列值 $H_0={\left\{0\right\}}_1^{128},$ 非线性映射 $h\left(w\right)=\left\{\begin{array}{c}-1+2w/0.5,w\∈\left[\mathrm{0,0.5}\right)\\ -1+2(w-0.5)/0.5,w\∈\left[\mathrm{0.5,1}\right)\\ 1,w=1\\ h(-w),w\∈[-\mathrm{1,0})\end{array}\right.,$ 硬件溢出函数 滤波器输出的量化函数 $T\left(x\right)=\left\{\begin{array}{c}1,x\∈[-1,-0.5)\∪\left[\mathrm{0,0.5}\right)\\ 0,x\∈[-\mathrm{0.5,0})\∪\left[\mathrm{0.5,1}\right]\end{array};\right.$ 为简化篇幅，取待散列的明文M′＝{0101110101}，用零填充后的明文M长度为

即s＝2，填充后的内容为 $M=\left\{\begin{array}{cc}0101110101& {\left\{0\right\}}_1^{246}\end{array}\right\},$ 将M按长度128分组，记为M＝(M₁，M₂)， $M_1=\left\{\begin{array}{cc}0101110101& {\left\{0\right\}}_1^{118}\end{array}\right\},M_2={\left\{0\right\}}_1^{128}.$

2)散列值生成：

①第一段明文M₁的散列值生成：将 $H_0={\left\{0\right\}}_1^{128}$ 与M₁异或，得复合控制序列 $R_1=M_1\⊕H_0=\{r_0{r}_1\·\·\·r_{127}\}=\left\{\begin{array}{cc}010111010& {\left\{0\right\}}_1^{118}\end{array}\right\};$ 由于p＝1，故第一次迭代时，只取R₁中的一个比特r₀，对应的十进制整数q＝(r₀)₂＝(0)₂＝0，然后选择系数库中的第q个系数组c_q＝c₀＝[3.57，4]作为本次迭代的滤波器系数，迭代后滤波器输出为y₁＝-0.7253。第2次迭代时，取R₁中的r₁，重新计算q＝(r₁)₂＝(1)₂＝1，然后取c_q＝c₁＝[5.7，7]作为本次迭代的滤波器系数，迭代后滤波器输出为y₂＝0.9025；第i次迭代时，取R₁中序列r_i-1，重新计算q＝(r_i-1)₂，按新的q选择系数组c_q作为第i次迭代的滤波器系数，迭代后滤波器输出为y_i；迭代128次后得到系统的输出实数轨迹{y_i}₁ ¹²⁸，用滤波器输出的量化函数T(·)量化为二进制序列作为M₁的散列值H₁，H₁＝{11110010111101110111110101001001000101000100100111100000100111011101110100101000100010100000010111000000111111001010011111111101)，十六进制表示为H₁＝F2F77D491449E09DDD288A05C0FCA7FD。

②第二段明文M₂的散列值生成：将①步最后一次迭代后的滤波器输出值y₁₂₈＝-0.842作为本阶段滤波器的初始输入，并以①步生成的M₁散列值H₁与M₂异或，得到复合控制序列R₂＝H₁M₂；以R₂取代R₁，然后用①步相同的方法，得到M₂的散列值H₂＝{00000011101110011100100011101011001001100111001000110110110111001000101111010110101100101000001000100010110001010001101111001011}，十六进制表示为H₂＝03B9C8EB267236DC8BD6B28222C51BCB。

③因为本例s＝2，M₂即为最后一段明文，所以M₂的散列值H₂就是整个明文M的散列值H，H＝H₂＝03B9C8EB267236DC8BD6B28222C51BCB。

以下将本实施例的初始密钥SK做细微变化，以分析说明初始密钥对散列结果的影响：

1)初始化：除系统密钥SK外，其他初始化参数不变。将初始密钥SK＝{φ₀，z₁，z₂}＝{0.5648，-0.564，0.679}的密钥分量z₁摄动10^-16后，密钥变为SK′＝φ₀，z₁′，z₂}＝{0.5648，-0.564+10^-16，0.679}。

2)散列值生成：

①第一段明文M₁的散列值生成：迭代过程同实施例一的①步，迭代128次后得到系统的输出实数轨迹{y_i}₁ ¹²⁸，量化为二进制序列作为M₁的散列值H₁，其十六进制表示为F361DA7AD9E820AF5443A479D8F75503，与实施例一的M₁散列结果F2F77D491449E09DDD288A05C0FCA7FD相比，得到密钥变化后，M₁散列结果中对应比特位发生变化的个数为61；

②第二段明文M₂的散列值生成：将①步最后一次迭代后的滤波器输出值y₁₂₈＝-0.9672作为本阶段滤波器的初始输入，并以①步生成的M₁散列值H₁与M₂异或，得到复合控制序列R₂＝H₁M₂；以R₂取代R₁，然后用①步相同的方法，得到M₂的散列值H₂，其十六进制表示为F1D21CC19500743EA2CDB51DFCAFB93B，与实施例(1)的M₂散列结果03B9C8EB267236DC8BD6B28222C51BCB相比，得到密钥变化后，散列结果中对应比特位发生变化的个数为65；

③因为本例s＝2，M₂即为最后一段明文，所以M₂的散列值H₂就是整个明文M的散列值H＝H₂＝F1D21CC19500743EA2CDB51DFCAFB93B；此结果表明，当密钥的z₁分量发生10^-16摄动时，128比特的散列结果中有65个比特发生翻转；用同样的方法进行测试，得到当z₁的摄动值减少到10^-17时，散列结果不变，因此算法对密钥分量z₁的敏感度为10^-16；用同样的方法得到密钥的z₂分量的敏感度为10^-16，φ₀分量的敏感度为10^-15。

由于滤波器能产生高维混沌序列，因此复合系统对初始状态的敏感性和迭代过程的随机性，使得散列结果与消息有着复杂而敏感的非线性关系，而且最后一轮的128次迭代，使得最终散列值的每比特都与消息M的所有比特有关，M的任何微小变化都将引起散列值的极大变化。若密钥SK＝{φ₀，z₁，z₂}在精度允许范围内发生微小改变，复合系统的迭代过程将使差异不断放大，经过第一轮的迭代就可使差异大到足以影响散列结果，最终得到完全不同的散列值。从算法的描述可知，基于复合滤波器的混沌散列算法的安全性完全依赖于密钥SK，即迭代初始值。

实施例二

n＝3维的非线性数字滤波器，系数库中预存k＝4组系数，散列长度L＝256情况下的混沌散列构造方法。

1)初始化：

n维自回归非线性数字滤波器，n＝3，p＝2，参数库预存k＝2^p＝4组系数{c₀＝[2.53，-0.63，2]，c₁＝[5.1，1.2，5]，c₂＝[-3.64，4.23，3]，c₃＝[0.75，3.24，4]}，散列长度L＝256比特，滤波器的初始值即密钥SK＝{φ₀，z₁，z₂，z₃}＝{φ₀＝0.5648，z₁＝-0.564，z₂＝0.679，z₃＝0.132}，初始散列值 $H_0={\left\{0\right\}}_1^{256},$ 非线性映射h(w)、滤波器输出的量化函数T(x)和硬件溢出函数mod(·)均同实施例一。为简化篇幅，同样取待散列的明文M′＝{0101110101}，用0填充后的明文M长度为

即s＝2，填充后的内容为 $M=\begin{array}{c}\left\{\begin{array}{cc}0101110101& {\left\{0\right\}}_1^{502},\end{array}\right\}\end{array}$ 将M按长度256分组，记为M＝(M₁，M₂)， $M_1=\left\{\begin{array}{cc}0101110101& {\left\{0\right\}}_1^{246}\end{array}\right\},M_2={\left\{0\right\}}_1^{256}.$

2)散列值生成：

①第一段明文M₁的散列值生成：将 $H_0={\left\{0\right\}}_1^{256}$ 与M₁异或，得复合控制序列 $R_1=M_1\⊕H_0=\{r_0{r}_1\·\·\·r_{255}\}=\left\{\begin{array}{cc}0101110101& {\left\{0\right\}}_1^{246}\end{array}\right\};$ 由于p＝2，故第一次迭代时，取R₁中的2个比特r₀r₁，对应的十进制整数q＝(r₀r₁)₂＝(01)₂＝1，然后选择系数库中的系数组c_q＝c₁＝[5.1，1.2，5]作为本次迭代的滤波器系数，迭代后滤波器输出为y₁＝-0.7248。第2次迭代时，取R₁中的r₁r₂，重新计算q＝(r₁r₂)₂＝(10)₂＝2，然后取c_q＝c₂＝[-3.64，4.23，3]作为本次迭代的滤波器系数，迭代后滤波器输出为y₂＝-0.0655；第i次迭代时，取R₁中序列r_i-1r_i，计算q＝(r_i-1r_i)₂，若i＝256，则取R₁中序列r_i-1mod4r_imod4＝r₂₅₅r₀，计算q＝(r₂₅₅r₀)₂，然后按新的q选择系数组c_q作为第i次迭代的滤波器系数，迭代后滤波器输出为y_i；迭代256次后得到系统的输出实数轨迹{y_i}₁ ²⁵⁶，量化为二进制序列作为M₁的散列值H₁，H₁＝{1100001000110000110000101010010000011110000111010110000100100110000101111110001110101000111000011001100000000011111010001111100001110011001011010101011110011101011000001000110100111010001111111101111011001001101010000000010100000100110001100000111011110100}，十六进制表示为：H₁＝C230C2A41E1D612617E3A8E19803E8F8732D579D608D3A3FDEC9A80504C60EF4。

②第二段明文M₂的散列值生成：将①步最后一次迭代后的滤波器输出值y₂₅₆＝0.8371作为本阶段滤波器的初始输入，并以①步生成的M₁散列值H₁与M₂异或，得到复合控制序列R₂＝H₁M₂；以R₂取代R₁，然后用①步相同的方法，得到M₂的散列值H₂，H₂＝{0101101000111101000011000110111011011000000101101101011010000011101001111000001011001001001001111110101101101001110010101010010000000100110101001110111010000111010101110101101011001010111000101111111101010001000111010110111001000110010101100100100001001101}，十六进制表示为：H₂＝5A3D0C6ED816D683A782C927EB69CAA404D4EE87575ACAE2FF511D6E4656484D。

③因为s＝2，M₂即为最后一段明文，所以M₂的散列值H₂就是整个明文M的散列值H，H＝5A3D0C6ED816D683A782C927EB69CAA404D4EE87575ACAE2FF511D6E4656484D。

本发明算法的性能分析及数字仿真验证：

在C、Java、Delphi和Matlab下分别对本发明方法进行了数字仿真，仿真结果基本一样。仿真时所有的参数设置同实施例(1)，即滤波器维数n＝2，p＝1，系数组个数k＝2，取值为{c₀＝[3.57，4]，c₁＝[5.7，7]}，散列长度L＝128比特，滤波器的初始值即密钥SK＝{φ₀，z₁，z₂}＝{φ₀＝0.5648，z₁＝-0.564，z₂＝0.679}。

定义：

为衡量本发明的散列性能，定义以下统计量：

变化比特数B_i：对初始明文进行散列，得到初始散列结果，然后任意改变初始明文的1比特信息后再进行散列，得到另一散列结果，统计两个散列结果相同位置的不同比特个数，称之为变化比特数；

平均变化比特数 $\stackrel{\‾}{B}=\frac{1}{N}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{B}_i$

平均变化概率 $P=(\stackrel{\‾}{B}/128)\×100\%$

B的均方差 $\mathrm{\ΔB}=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{(B_i-\stackrel{\‾}{B})}^2}$

P的均方差 $\mathrm{\ΔP}=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{(B_i/128-P)}^2}\×100\%$

其中N为统计总次数，B_i为第i次测试结果的变化比特数。

算法的散列能力和稳定性分析：

理想散列算法的散布效果是初值的细微变化将导致散列结果的每比特都以50％的概率变化，若散列值长度为128比特，则改变明文1比特后的散列结果理想情况下的变化比特数应为64。测试方法为：在明文空间中随机选取一段明文进行散列，然后任意改变1比特明文后得到另一散列结果，比较两个散列结果得到变化比特数B。

图4为1024次测试时随机改变明文1比特后，散列结果变化的比特数分布。图的横坐标为测试次数，纵坐标为每次测试的散列结果变化的比特数B。由图可知，1024次测试下，128比特散列值的平均比特变化数 B＝63.861个，非常接近理想状况下的64。另外，B的最小值为47，最大值为82，且集中在理想值64附近，表明本发明算法对明文的散列能力强而稳定。

算法散列性能统计分析，分别统计了128，256，…2048次测试下B_i的最小值B_min、最大值B_max、平均值 B、均方差ΔB、变化率P和变化率均方差ΔP情况，统计结果见下表。

测试次数(N)	Bmin	Bmax	B	ΔB	P	ΔP
							12825651210242048	5047474747	7585838282	63.046963.867263.435563.674863.8170	5.68945.96115.61205.62575.7021	49.26％49.90％49.56％49.75％49.86％	4.98％4.66％4.38％4.40％4.45％

表中数据表明，该算法的B和P都已非常接近理想状况下的64bit和50％的变化概率，相当充分和均匀地利用了密文空间，从统计效果来看，攻击者在已知一些明文密文对，对其伪造或反推其它明密文对没有任何帮助，因为明文的任何细微变化，密文从统计上来看在密文空间中都是接近等密度的均匀分布，从而得不到任何密文分布的有用信息，也难以找到碰撞的另一明文；而ΔB、ΔP标志着散列混乱与散布性质的稳定性，越接近零就越稳定，文中算法的ΔB、ΔP都已很小，因此算法对明文的混乱与散布能力强而稳定。

算法的快速性分析：

李文献中要求混沌映射是互补的，而满足此关系的混沌源相对较少，对于性能优良的混沌源，一般情况下其混沌方程较复杂，难以找到互补的对等方程；若使用滤波器，只需选取满足特定条件的系数即可，而这种系数的选取容易且数量多，若要提高序列的复杂度，只需增加滤波器的阶数即可；王和李在文献2、3中的混沌映射都涉及到复杂的浮点运算，而本发明总基于滤波器结构的算法简单快速；李在文献3中只能对明文逐比特运算，没有扩展能力。基于滤波器结构下，若提供2^p组系数，对算法稍加改进就可对明文按p比特运算，成倍提高运算速度；即使两种算法都是按比特运算，文献3的迭代次数为2×L×(S-1)，而本发明的算法为L×S次，当明文较大时(即分段数S较大)，本发明算法的迭代次数只有李的一半，考虑运算的复杂度不同，本文算法具有更快的运算速度。很明显，与MD5和SHA相比，本发明算法迭代次数更少。

密钥空间分析：

为了考察密钥SK对散列结果的影响，定义Δλ为SK＝{φ₀，z₁，z₂}中各分量的细微变化量，B为Δλ对应的散列值变化的比特数。图5为散列函数对密钥变化的敏感性Δλ-B曲线图。图中横坐标为密钥SK＝{φ₀，z₁，z₂}各分量摄动量的负对数表示，纵坐标为相应分量摄动时对应的散列结果变化比特数B；测试时密钥分量各自按10^-1的速率递减，考察密钥相应变化量下B的大小；当Δλ(φ₀)＝10^-15时，B＝64，当Δλ(φ₀)＝10^-16时，散列结果不变，其变化曲线如图5中Δλ(φ₀)-B所示，因此算法对输入初始值φ₀的敏感度为10^-15数量级。同理，可测得算法对滤波器初始状态z₁、z₂的变化曲线为Δλ(z₁)-B，Δλ(z₂)-B，的敏感度为10^-16数量级。这说明算法对密钥高度敏感，在[-1，1]的实数范围内，密钥空间是很大的。

综上所述，本发明提出的新的混沌散列构造方法，充分利用了非线性数字滤波器软硬件实现简单，在特定情况下能产生性能优良的高维混沌序列的特点。通过采用分段自回归级联迭代方式，散列结果对明文和密钥的微小摄动呈现高度雪崩效应，且散列结果在散列空间中均匀分布，算法快速安全；基于滤波器结构，算法易于扩充和软硬件实现，可广泛用于电子商务中的数字证书、数字签名、数字信息的完整性保护等安全应用场合。

Claims (1)

1、一种基于复合非线性数字滤波器的混沌散列构造方法，包括如下具体步骤：

1)初始化：n维自回归非线性数字滤波器，其初始输入信号为φ，φ∈(-1，1)，滤波器初态为{z₁，z₂，...z_n}∈(-1，1)，并记密钥为SK＝{φ，z₁，z₂，...z_n}；取散列值的长度L≥128比特，待散列的明文为M′，用零填充后的明文为M，并使M的长度满足 $\left|M\right|=\left(\right|\left|M^{\′}\right|/L|+1)L\≅\mathrm{sL},$ (s≥2)；将M按长度L分组，记为M＝(M₁，M₂，...，M_s)，其中 $M_i=m_i^1{m}_i^2{m}_i^3\·\·\·m_i^L;$ 建立满足Kelber条件的k(k＝2^p，L≥p≥1)个n维系数组{c_i＝[c_i1，c_i2，...c_in]，i∈[0，1，...，k-1]}，并将其放入系数库；初始散列值为L比特的零向量 $H_0={\left\{0\right\}}_1^L;$

2)散列值生成：

①第一段明文M₁的散列值生成：将初始散列值H₀与第一段明文M₁异或，得复合控制序列R₁＝M₁H₀＝{r₀，r₁，...，r_L-1}；第一次迭代时，取R₁中序列r₀r₁...r_p-1对应的十进制整数q，表示为q＝(r₀r₁...r_p-1)₂，其中 $p={\log }_2^k,$ k为系数库中系数组c_i的个数；然后选择系数库中的第q个系数组c_q作为本次迭代的滤波器系数，迭代后滤波器输出为y₁；

第i次迭代时，取R₁中序列r_i-1modkr_imodkr_i+1modk...r_p+i-2modk，重新计算q＝(r_i-1modkr_imodkr_i+1modk...r_p+i-2modk)₂，其中，imodk表示i对k求余；然后按新的q选择系数组c_q作为第i次迭代的滤波器系数，迭代后滤波器输出为y_i；迭代L次后得到复合系统的输出轨迹{y_i}₁ ^L，量化为二进制序列作为第一段明文M₁的散列值H₁；

②第二段明文M₂的散列值生成：将①步最后一次迭代后的滤波器输出值y_L作为本阶段滤波器的初始输入，并以①步生成的第一段明文M₁的散列值H₁与第二段明文M₂异或，得到复合控制序列R₂＝H₁M₂；以R₂取代R₁，然后用①步相同的方法，得到M₂的散列值H₂；

③第i段明文M_i的散列值生成：将第i-1段明文M_i-1最后一次迭代后的滤波器输出值y_L作为本阶段滤波器的初始输入，并以第i-1段明文M_i-1的散列值H_i-1与第i段明文M_i异或，得到复合控制序列R_i＝H_i-1M_i；以R_i取代R₁，然后用①步相同的方法，得到M_i的散列值H_i；

④重复③步过程，直至得到最后一段明文M_s的散列值H_s，并以此散列值H_s作为整个明文M的散列值H。

Images