密码学课件 序列密码

密码学导论IntroductiontoCryptology主讲教师：李卫海第6章序列密码序列密码序列密码的概念其他序列密码算法伪随机序列反馈移位寄存器序列密码序列密码的概念其他序列密码算法伪随机序列反馈移位寄存器序列密码基本结构序列密码，又称流密码，它逐个比特（或字节）处理信息典型流密码体制使用（伪）随机数序列做加密密钥流加密、解密算法加密密钥流与明文流按比特异或Ci=Mi

StreamKeyi密钥K密钥K伪随机数发生器k加密伪随机数发生器k解密明文码流M明文码流M密文码流C序列密码明文信息中的统计特征被流密钥的随机性所掩盖加密算法极为简单！！加解密简单，速率极快密钥流严格不可重复使用已知明文攻击可以轻易获得密钥流关键在设计一个好的伪随机数发生器设计优良的流密码可以具有与分组密码相当的安全性流密码的类型流密码通常可分为同步和自同步两类同步流密钥：通信双方需要密钥严格同步同步被破坏时，密文无法解密自同步流密钥：同步被破坏时，可以自动重建，正确解密同步流密钥寄存器：σi+1=f(σi,k)σ是寄存器状态（σ0为初始状态，可由密钥k确定）zi是加密密钥流：zi=g(σi,k)密文：ci=h(zi,mi)寄存器存储当前状态，流密码有时也称为状态密码fgσihσi+1zikmiσih-1gziσifσiσi+1kmici同步流密钥性质：严格要求同步必须同步，才能保证双方使用相同的密钥位需要在密文中嵌入特殊记号，用于同步检测或利用明文的冗余进行检测若密文在传输中发生插入或删除，或双方时钟不同步，会导致同步丢失同步丢失后必须重建同步，包括状态重置、同步记号检测无错误传播密文字母错误，不影响其它字母的正确解密主动攻击在密文中插入或删除字符，破坏同步有选择的改变密文字符，观察对明文的影响fgσihσi+1zikmiσih-1gziσifσiσi+1kmici自同步流密钥反馈移位寄存器：σi=f(ci-t,ci-t+1,…,ci-1)初始状态σ0=(c-t,c-t+1,…,c-1)非保密zi是加密密钥流：zi=g(σi,k)密文：ci=h(zi,mi)ghzikmih-1gzikmici…………σiσi自同步流密钥性质：自同步状态仅依赖以前的t个密文。同步丢失时，再接收t个密文即可自动恢复同步有限的错误传播当单个密文出错（或插入、删除）时，除当前明文字符错误外，之后最多会有t个解密明文错误主动攻击对密文的修改，会引发后面一些字符解密错误，增加了被解密器发现的可能性自同步特性使得解密器发现主动攻击的可能性降低，因而需要附加技术来保证数据完整性明文统计扩散每个明文字符会影响其后的整个密文ghzikmih-1gzikmici…………σiσi序列密码序列密码的概念其他序列密码算法伪随机序列反馈移位寄存器（伪）随机序列的重要性（伪）随机比特/序列的用途生成随机数作为分组密码技术中的密钥作为流密码技术中的密钥或密钥流用于产生公开密钥的素数、私钥等要注意：密钥扩展/伪随机序列生成不能增加密钥的随机性，对穷举攻击的抵抗无贡献看起来随机，无周期统计独立不可精确预测不可重复真随机数的性质长周期统计独立无偏不可预测由足够长密钥产生密码学要求的伪随机数性质真随机数生成器TureRandomNumberGenerator熵源基于硬件风扇转速、CPU温度等电路中器件的热噪声振荡器的频率不稳定性磁盘转速麦克风噪声基于软件系统时钟键盘和鼠标操作系统的参数，如网络统计量Deskewing

Algorithm或ConditioningAlgorithm自然的随机比特源可能有缺陷在有偏差或有相关的不良自然随机比特源基础上，生成真随机数真随机数生成器TureRandomNumberGenerator噪声源健康测试确定噪声源是否能按预期运行重复计数测试；随机源是否“卡”在某个输出值上设定虚警概率W，连续产生C个相同样本序列的概率不小于W；超过C个则报警自适应比例测试：随机源是否因物理故障或环境变化导致熵损失在初始值之后连续观察N个样本，若在其中观察到C个初始值（概率小于W），则报警调节（Deskewing

Algorithm或ConditioningAlgorithm）自然的随机比特源可能有缺陷在有偏差或有相关的不良自然随机比特源基础上，生成真随机数可以利用分组密码、散列函数等，将有偏差的序列映射为均匀序列De-skewing例1有一个随机源，0、1的概率分别为1/4,3/401111110100111101111111001111/64+3/64+27/64=31/64将000、001、111映射为0，其余映射为10111111010011110111111100111每3个比特输出1位，效率1/3000110111/163/163/169/160000010100111001011101111/643/643/649/643/649/649/6427/64101111000De-skewing例2有一个随机源，0、1的概率分别为1/4,3/401111110100111101111111001113/16+81/256=129/256将10、1111映射为0，其余映射为10111111010011110111111100111效率1/(1/4*1+3/16*2+9/64*3+27/256*4+81/256*4)

=256/700≈0.366010110111011111/43/169/6427/25681/2561100101011若干定义随机比特生成器(RBG)：能够输出统计上独立且无偏的比特序列伪随机数生成器(PRNG)：给定长度为k的数字序列（称为种子），能够输出一个长度为ℓ>>k的看上去“随机”的数字序列是一种确定性算法，给定k，输出的序列不变，也称为确定性随机数生成器(DRNG)随机种子k的长度应足够大，使得敌手不能穷举所有种子PRNG通过了多项式时间统计测试，是指找不到一个多项式时间算法，能够以大于1/2的有效概率，正确区分该PRNG的输出序列和一个同等长度的真随机序列密码学意义安全的伪随机比特生成器(CSPRBG)：通过了续位测试的伪随机比特生成器PRNG通过了续位测试，是指找不到一个多项式时间算法，能够以大于1/2的有效概率，根据前ℓ个比特预测出第ℓ+1个比特伪随机函数(PRF)：生成固定长度的伪随机比特串PRNG例：线性同余生成器例：线性同余生成器 xn=(axn-1+b)modm, n≥1

其中a,b,m是参数，x0是（秘密）种子输出xi是整数，不是比特。可以取xi中的某个/些位来构成比特序列输出序列具有良好的统计分布常用于仿真目的和统计、概率算法但具有一定的可预测性，密码学意义上不安全CSPRNG例：使用单向函数f的PRNG选取随机种子s将函数f用于序列s,s+1,s+2,…，输出序列f(s),f(s+1),f(s+2),…必要时只保留输出值f(s+i)的一些比特，以便于消除后续产生值的可能相关性单向函数f可取杂凑函数SHA-1使用密钥k的分组密码，如DESCTR模式加密sK+1伪随机位加密VKOFB模式伪随机位CSPRNG例：Intel数字随机数发生器简化逻辑结构CLK硬件熵源128位加密128位加密128位加密128位加密128位128位KKKK基于硬件AESCBCMAC的调节器128位加密256位KeyV加密第一次10K=01基于AES-CTR的PRNG伪随机位CSPRNG例：ANSIX9.17生成器用于生成DES中用到的密钥和分组密码工作模式中的IV输入：随机且保密的64比特种子s，整数m，密钥对k输出：m个64比特伪随机比特串算法：i=1~mI=3DESk(D)xi=3DESk(I

s)s=3DESk(xi

I)返回x1,x2,…,xmD可以是当前日期/时间的64比特表示种子s和D相同时，输出xi不变可以在s不变的情况下，定期/不定期修改D，获得不同的输出序列3DESD3DESs3DESxiCSPRNG例：RSA伪随机比特生成器设置：生成两个秘密素数p和q，n=pq，φ=(p-1)(q-1)，任选整数e，1≤e≤φ，满足gcd(e,φ)=1在区间[1,n-1]内任选一个整数x0（种子）反复执行xi=xei-1modn输出xi的最低比特位为提高效率，可输出xi的最低j位比特，j=c·lg(lgn)，c为一常数。当n充分大时，它仍是密码学意义安全的。对固定比特长度的n，c的精确范围还不能确定CSPRNG例：Blum-Blum-Shub(BBS)伪随机比特生成器设置：生成两个秘密大素数p和q，且均模4余3，n=pq在区间[1,n-1]内任选整数s（种子），满足gcd(s,n)=1x0=s2modn反复执行xi=x2i-1modn输出xi的最低比特位为提高效率，可输出xi的最低j位比特，j=c·lg(lgn)，c为一常数。当n充分大时，它仍是密码学意义安全的。对固定比特长度的n，c的精确范围还不能确定左：Lenore

Blum中：Michael

Shub右：Manuel

Blum

混沌序列发生器混沌系统的特性良好的伪随机特性轨道的不可预测性对初始状态及控制参数的敏感性等等例：Logistic映射xn+1=μxn(1-xn)(0<x<1)当3.5699456<μ≤4时，Logistic映射呈现混沌特性混沌序列发生器混沌系统的数字化实现：有限精度和有限状态数字化带来的问题：短周期问题、退化的轨道分布混沌系统应用建议：采用一定的措施改善数字化混沌系统的特性退化采用多个混沌系统进行组和经常性地重置、干扰系统参数和变量在已知/选择明文攻击下，尽可能不暴露混沌轨道的直观信息和统计信息只是用部分比特数据基于速度和实现的考虑，使用尽可能简单的混沌系统混沌序列发生器混沌序列发生器的常见使用方法：代换、置乱代换将混沌函数的输出转换为比特序列，再与明文进行运算逐比特运算双比特运算（DNA映射）字节/字为单位进行数学运算置乱将混沌函数的输出排序，将排序的位置作为置乱表，对明文进行排序随机性的统计测试

随机性的统计测试假设检验统计假设H0，是关于一个或多个随机变量分布的论断H0：序列是随机的注意：每个测试的结论是统计意义上的，非确定的统计假设H0检验的显著性水平α，是指当H0为真时，拒绝H0的概率（漏警概率）假定随机序列的统计量X服从正态分布N(0,1)，选择显著性水平α和阈值xα，使得P(X>xα)=P(X<-xα)=α/2。若序列的统计值Xs满足Xs>xα或Xs>-xα，则未通过检验；否则通过检验。这种检验称为双边检验。假定随机序列的统计量X服从自由度为υ的χ2分布，选择显著性水平α和阈值xα，使得P(X>xα)=α。若序列的统计值Xs满足Xs>xα，则未通过检验；否则通过检验。这种检验称为单边检验。α/2α/2xα-xα双边检验xαα单边检验随机性的统计测试序列测试（双比特测试）用于确定s中子序列00,01,10,11所出现的次数是否近似相等令n0和n1分别表示s中0和1的个数，n00,n01,n10和n11分别表示s中00,01,10和11出现的次数。注意n00+n01+n10+n11=n-1，因为这些子序列允许相交。使用的统计量为若n≥21，则该统计量近似地服从自由度为2的χ2分布随机性的统计测试游程测试用来判定s中不同长度游程的个数是否与随机序列中所期望的一样s中的0游程（1游程）指连续0（对1游程为1）的子序列，且其前后均为1（对1游程为0）0游程称为沟，1游程称为块。在长为n的随机序列中，长度为i的沟（或块）的个数的期望为ei=(n-i+3)/2i+2。令k为满足ek≥5的最大整数，Bi和Gi分别为s中长度为i的块和沟的个数，1≤i≤k，使用统计量它近似服从自由度为2k-2的χ2分布随机性的统计测试扑克测试用于确定每个长度为m的序列在s中出现的次数是否相同m是满足

n/m≥5·2m的正整数，且令k=

n/m。将序列拆分成k个长度为m的不相交部分，且令ni为第i种长度为m的序列所出现的次数，1≤i≤2m。使用统计量为它近似服从自由度为2m-1的χ2分布令m=1，则为频率测试随机性的统计测试自相关测试用来检测序列s与其移位后所形成的序列之间的相关性令d为固定整数，1≤d≤

n/2。序列s与s发生d移位后所形成的序列中的不同比特数为所用统计量为若n-d≥10，则该统计量近似服从N(0,1)随机性的统计测试美国国家标准与技术局SP800-22Revision12008年8月选取了15种统计测试计算P-value：产生比测试序列更不随机的序列的概率若P-value≥

α,则接受假设，序列是随机的若P-value<

α,则拒绝假设，序列是非随机的均匀性（分布均匀）、可伸缩性（子序列也随机）、一致性（任意种子是一致的）随机行走检测模板检测/可压缩性复杂性频率游程Maurer通用统计二进制矩阵秩块内频率块内”1”最长游程串行测试傅立叶谱累积和非重叠模板匹配近似熵LZ压缩随机偏离重叠模板匹配线性复杂度随机偏离变量SP800-22R11、频率测试（单比特测试）TheFrequency(Monobit)Test目的：测试s中0的个数与1的个数是否均衡2、块内频率测试FrequencyTestwithinaBlock目的：测试长为M的块中1的个数是否近似为1/23、累积和测试CumulativeSums（Cusum）Test目的：检测序列中是否存在部分序列的累积和相对于随机序列的累积和过大或过小4、随机偏离测试RandomExcursionsTest目的：将连续的部分序列累积和视为一维随机行走，检测在每个0到0的循环中，访问特定状态（某个整数值）的次数是否与随机序列一致5、随机偏离变量测试RandomExcursionsVariantTest目的：检测所有循环中访问特定状态的总次数是否与随机序列一致SP800-22R16、游程测试TheRunsTest目的：测试s中不同长度游程的个数是否与随机序列中所期望的一样7、块内长程1测试TestsfortheLongest-Run-of-OnesinaBlock目的：测试长M比特的块中最长1游程的长度是否与随机序列中所期望的一样8、非重叠模板匹配测试Non-overlappingTemplateMatchingTest目的：测试预先定义的非周期模板在序列中的出现次数是否过多或过少9、重叠模板匹配测试OverlappingTemplateMatchingTest与非重叠模板匹配测试的区别是窗口每次向后滑动1个比特SP800-22R110、Maurer通用统计测试MaurerUniversalStatisticalTest目的：测试匹配模式中的比特数目，考察序列能否无损地显著压缩11、串行测试SerialTest目的：计算序列中所有可能的重叠模板（模板长度为m，共2m个）的频率，检测其是否与随机序列中模板的出现频率一致12、近似熵测试ApproximateEntropyTest目的：测试两个长度连续（即长度为m和m+1）的可重复块的出现频率是否与随机序列相同SP800-22R113、二进制矩阵秩测试TheBinaryMatrixRankTest目的：测试固定长度子序列的线性相关度14、离散傅立叶谱测试TheDiscreteFourierTransform(Spectral)Test目的：计算离散傅立叶谱的尖峰高度，并据此测试序列的周期特性15、线性复杂度测试LinearComplexityTest目的：用B-M算法计算反馈移位寄存器的长度，判断序列是否具有足够高的线性复杂度16、LZ压缩测试Lempel-ZivCompressionTest目的：对序列中不同的单词进行计数，测试序列可以被压缩的程度该测试在Revision1a中被删除序列密码序列密码的概念其他序列密码算法伪随机序列反馈移位寄存器线性反馈移位寄存器LFSR多数流密码的基本构造模块为反馈移位寄存器FSR特别是线性反馈移位寄存器LFSR优点：非常适合于硬件实现可以产生大周期序列可以产生具有良好统计性质的序列易于利用代数方法对其进行分析线性反馈移位寄存器LFSR由0,1,…,L-1共L个级（或延迟单元）和一个时钟构成控制信号ci时钟用于控制数据的移动。每个时钟周期内执行下述操作输出第0级；各级向下一级移位反馈信号输入第L-1级级0级1级L-2级L-1………cLcL-1c2c1sj输出线性反馈移位寄存器LFSR长为L的LFSR可记为<L,C(D)>C(D)=1+c1D+c2D2+…+cLDL∈GF(2D)为联结多项式若C(D)的次数为L（即cL=1)，则称此LFSR为非奇异的各级的初始值[sL-1,…,s1,s0]称为该LFSR的初始状态初始状态为[sL-1,…,s1,s0]的LFSR，输出序列s=s0,s1,…为sj=(c1sj-1+c2sj-2+…+cLsj-L)

mod2,j≥L级0级1级L-2级L-1………cLcL-1c2c1sj输出广义线性序列发生器广义线性序列发生器：sj+c1sj-1+c2sj-2+…+cLsj-L=0,j≥L,ci为任意数字联结矩阵CL级LFSR例例：LFSR<4,1+D+D4>，初始状态[0,0,0,1]输出为s=1,0,0,0,1,1,1,1,0,1,0,1,1,0,0,…周期15级0级1级2级3输出t级3级2级1级0t级3级2级1级0t级3级2级1级000001501111001101100061011110011211007010112100131110810101301004111191101140010周期性LFSR<L,C(D))的每一个输出序列（任何非零初始状态）是周期的，当且仅当联结多项式C(D)的次数为L对奇异LFSR，除去开始的固定有限项后，是周期的例：LFSR<4,1+D+D2>，初始状态[1,0,0,0]

输出为s=0,0,0,1,1,0,1,1后面仅讨论非奇异LFSR级0级1级2级3输出周期性LFSR输出序列的周期若C(D)在GF(2L)上是不可约的，则每一个非零初始状态都可以产生一个周期为N的输出序列。其中N是满足下述性质的最小正整数：C(D)能够整除1+DN（注意，N总是

2L-1的因子）若C(D)是本原多项式（即生成元），则每一个非零初始状态都可以产生具有最大周期为2L-1的输出序列。此LFSR称为最大长度LFSR，输出序列称为m序列Gold序列：两个级数相同的m序列的输出的异或M序列：最长非线性移位寄存器序列。周期2L分布均匀m序列的长度为k(k≤L)的模型分布几乎是均匀的。即若s是长为L的LFSR生成的m序列，设k(1≤k≤L)为整数，s'是s的长为2L+k-2的任意子序列，则：s'的每个长度为k的非零子序列恰好出现2L-k次长度为k的零子序列恰好出现2L-k-1次例，在一个周期内，L个1最多出现1

次；L-1个0最多出现1

次；长为k（k≤n-2）的0游程最多有

2n-k-2

个kL-k线性复杂度无穷序列s=s0,s1,s2,…有限序列sn=s0,s1,s2,…,sn-1若某LFSR在某初始状态下输出序列的前n项为sn的话，则称该LFSR生成有限序列sn可以设想用LFSR来描述序列的复杂程度LFSR是线性的，因此它描述的是线性的复杂程度线性复杂度无穷二元序列s的线性复杂度L(s)定义为：若s为零序列，即s=0,0,0,…，则L(s)=0若没有LFSR能够生成s，则L(s)=∞否则，L(s)就为生成s的最短LFSR的长度有限二元序列sn的线性复杂度L(sn)定义为：生成以sn为开始的二元序列的最短LFSR的长度线性复杂度的性质：令s和t都为二元序列对任意n≥1，子序列sn的线性复杂度满足0≤L(sn)≤n若s的周期为N，则L(s)≤NL(sn)=0，当且仅当sn是长度为n的零序列L(sn)=n，当且仅当sn=0,0,0,…,0,1Berlekamp-Massey（BM）算法求解最小阶数的线性反馈移位寄存器，使之输出的前n个比特与目标序列相同定义d=sk+c1sk-1+c2sk-2+…+cLsk-L为迭代到第k轮时的下一步离差。即第k-1轮迭代结果对sk的预测与实际sk的差运行时间为O(2n)次比特操作设s的线性复杂度为L，则以s的一个长度至少为2L的子序列为输入的B-M算法可以唯一确定生成s且长度为L的LFSRBerlekamp-Massey（BM）算法C(D)=1，L=0，m=0，B(D)=1，j=0计算d=sj⊕c1sj-1⊕c2sj-2⊕…⊕cLsj-Lmod2m=m+1若d=0，则转到第5步；否则T(D)=C(D),C(D)=C(D)⊕B(D)∙Dm若L≤j/2，则L=j+1-L，B(D)=T(D)，m=0j=j+1若j≥N，则返回L和C(D)，否则转到第2步Berlekamp-Massey（BM）算法例：计算s9=0,0,1,1,0,1,1,1,0的线性复杂度线性复杂度为5线性复杂度轮廓为0,0,3,3,3,3,3,5,5生成该序列的LFSR为<5,1+D3+D5>jsidmT(D)C(D)LB(D)01010001-1011002-101211311+D33131111+D31+D+D33140121+D+D31+D+D2+D33151131+D+D2+D31+D+D23161041+D+D2+D31+D+D23171151+D+D21+D+D2+D551+D+D280111+D+D2+D51+D3+D551+D+D2非线性反馈移位寄存器反馈移位寄存器若反馈函数f是线性函数，则该FSR称为LFSR；否则即为非线性FSR长度为L的非奇异FSR的输出序列的周期至多为2L级0级1级L-2级L-1……sj输出f(sj-1,sj-2,…,sj-L)sj-1sj-2sj-L+1sj-L基于LFSR的伪随机序列生成器设计基于LFSR的密钥流生成器的要求：大周期大线性复杂度好的统计特性对联结多项式C(D)的要求：必须是次数为L的本原多项式可以是确定的（密钥构成初始状态），也可以是秘密的（密钥构成初始状态和联结多项式）推荐使用秘密联结多项式，需要额外的电路来完成硬件实现从所有次数为L的本原多项式中随机均匀地选择联结多项式稀疏联结多项式便于实现，但可能有某些特殊攻击基于LFSR的伪随机序列生成器消除LFSR线性特性的三种常规方法：非线性组合

生成器对多个LFSR的输出使用一个非线性组合函数非线性滤波

生成器对一个LFSR的内容使用一个非线性组合函数钟控生成器使用一个（或多个）LFSR的输出来控制另一个（或多个）LFSR的时钟非线性组合生成器并联几个LFSR，由非线性的组合函数f生成密钥流定义：m个布尔变量的函数f的代数正规型是指，乘积的和乘积是与操作，和是异或操作f的非线性次数等于代数正规型中最高次项的次数例：f=1

a

b

cd

abcd是代数正规型，非线性次数为4f的非线性次数越高，则输出序列就具有高线性复杂度LFSR1LFSR2LFSRmf密钥流…Geffe生成器由三个长度为L1,L2,L3的最长LFSR构成，其中L1,L2,L3互素，非线性组合函数为： f(x1,x2,x3)=x1x2

(1+x2)

x3=x1x2

x2x3

x3密钥流周期(2L1-1)·(2L2-1)·(2L3-1)线性复杂度L=L1L2+L2L3+L3LFSR1LFSR2LFSR

3密钥流x1x2x3zGeffe生成器Geffe在密码学意义上是弱的LFSR1和LFSR3的状态信息会泄漏到输出序列中设LFSR1,2,3及最终的输出分别为x1(t),x2(t),x3(t),z(t)类似的，也有P(z(t)=x3(t))=3/4LFSR1LFSR2LFSR

3x1x2x3z相关攻击

相关攻击例考虑如右图的非线性组合生成器，它的输出是z序列，三个

LFSR的输出分别是x1,x2,x3序列。z序列是将x1和x2相与后，

再与x3异或得到。问：（1）各LFSR的输出泄露到z的概率是多大？（2）如何进行相关攻击？（3）假定各LFSR都是L级的最长线性反馈移位寄存器，则相关攻击的穷举工作量是多少？P(z=x1)=P(x3=0)(P(x2=1)+P(x2=0)P(x1=0))+P(x3=1)(P(x1=1)(P(x2=0))

=0.5*(0.5+0.5*0.5)+0.5*(0.5*0.5)=0.5没有泄露P(z=x2)=P(z=x1)=0.5没有泄露P(z=x3)=P(x1=0)P(x2=1)+P(x1=0)P(x2=0)+P(x1=1)P(x2=0)

=0.5*0.5+0.5*0.5+0.5*0.5=0.75有泄露但应注意，P(z=x1|x3=0)=0.75,P(z

x1|x3=1)=0.75，x2类似。故一旦LFSR3被攻破，LFSR1和LFSR2都有75%的概率被泄露相关攻击例考虑如右图的非线性组合生成器，它的输出是z序列，三个

LFSR的输出分别是x1,x2,x3序列。z序列是将x1和x2相与后，

再与x3异或得到。问：（1）各LFSR的输出泄露到z的概率是多大？（2）如何进行相关攻击？（3）假定各LFSR都是L级的最长线性反馈移位寄存器，则相关攻击的穷举工作量是多少？首先穷举LFSR3的初始状态，当x3与z相同（碰撞）的比特数占75%时，即获得了LFSR3的初始状态将x3=1所对应的z中的比特取反，然后分别穷举LFSR1和LFSR2的初始状态，使之与修改后的z有75%碰撞，即可得到LFSR1和LFSR2的初始状态穷举工作量为3*2L求和生成器大周期，高线性复杂度，低相关性易受基于2进跨度的已知明文攻击LFSR1LFSR2LFSRm∑密钥流……进位非线性滤波生成器背包生成器：定义L个重量为a1,a2,…,aL的背包整数和模数Q将Sj被选择的位输出形成密钥流的一部分级0级1级L-2级L-1………cLcL-1c2c1sj密钥流fGrain-128a算法NFSR可以提供良好的非线性，但没有有效方法确定周期一个窍门是将NFSR和LFSR联结起来Grain-128a算法是用于低端嵌入式专用系统的一种算法NFSRLFSRgfh钟控生成器交错生成器若LFSR1,2,3的输出分别为a0,a1,a2,…,b0,b1,b2,…,c0,c1,c2,…,密钥流为z0,z1,z2,…,则 zj=bt(j)

cj-t(j)-1,其中t(j)=(∑ji=0ai)-1安全性：三个最长LFSR的长度应两两互素，且大致相等。此时，已知的一种关于控制寄存器的分别征服攻击，大约需要2L步。取L=128，则认为是安全的。LFSR2LFSR1LFSR

3密钥流时钟钟控生成器收缩生成器安全性：两个最长LFSR的长度应互素，同时应使用秘密联结。此时，若两者长度大致相等，则已知的攻击约需要22L步。取L=64，则认为是安全的。LFSR2LFSR1密钥流时钟aibiai=1ai=0输出bi丢弃bi序列密码序列密码的概念其他序列密码算法伪随机序列反馈移位寄存器序列密码标准基于LFSR的流密码非常适合于硬件实现，但不特别适合软件实现。适合于快速软件实现的流密码标准RC4RSA数据安全公司于1987年设计RSA公司的专利（最初七年）密码产品由RonRivest设计，简单而有效可变密钥大小，面向字节的流密码广泛用于SSL/TLS网络安全协议和无线WEP/WPA无线局域网络安全协议由密钥构造8比特数据的随机置乱，每次处理一字节数据RC4