钟控信号x1 x2 x3的采取：x1取自LFSR-1第9级； x2取自LFSR-2第11级； x3取自LFSR-3第11级 。 控制方式：择多原则。
(X1,X2,X2) 000 001 010 011 100 101 110 111 LFSR-1 动 动 动 不动 不动 动 动 动 LFSR-2 动 动 不动 动 动 不动 动 动 LFSR-3 动 不动 动 动 动 动 不动 动
HC-128 Rabbit Salsa20/12 SOSEMANUK
F-FCSR-H v2 Grain v1
MICKEY v2 Trivium
2008年9月，修订后的结果：删去F-FCSR-H v2算法。
三 序列密码标准化进程
2、征集算法的要求
评选准则：长期安全，市场需要，效率以及灵活性。 对序列密码算法安全性的最低要求：密钥长度至少
256比特，内部记忆至少256比特
3、评估准则 （1）安全准则：攻击的难度至少要等同最一般的攻击 。 （2）实现准则：软硬件实现的效率不低于同类已有的算法。 （3）其它准则：设计上的简单、清晰。 （4）许可要求：选中的算法将被特许为免费使用。
一 A5-1序列密码算法
以移存器1为例的密钥参与过程：
k k64k63 k1
f1(x) x19 x18 x17 x14 1
初始状态： S0 (x18, x17, , x0 ) (0,0, ,0)
动作1步后状态： S1 (x18, x17, , x0) (0,0, , k1)
生存期：仅用于一次通话时间。
一 A5-1序列密码算法
4、明文处理 按每帧228比特分为若干帧后逐帧加密，每
帧处理方式相同。
M M1 || M 2 || || Mi || | M i | 228
每帧处理方式
发送114比特 接收114比特
加密后发送 接收后脱密
一 A5-1序列密码算法
5、加密方式
（一）欧洲NESSIE工程简介
1、背景 NESSIE （New European Schemes for Signat
ures，Integrity，and Encryption ） 欧洲于2000年1月1日启动了NESSIE工程，为期三 年。 总投资：264万欧元。 主要目的：通过公开征集和评估提出一整套高效的 密码标准 。
一 A5-1序列密码算法
（二）A5-1序列密码算法
1、移存器描述 算法使用3个级数为19、22和23的本原移存器。
LFSR-1 LFSR-2
f1(x) x19 x18 x17 x14 1 f2 (x) x22 x21 x17 x13 1
LFSR-3
f3 (x) x23 x22 x19 x18 1
加密方式： ci mi di;i 1,2, ,114
一 A5-1序列密码算法
关于脱密
Step 6：三个LFSR以钟控方式连续动作100次，但不输出 乱数； Step 7：三个LFSR以钟控方式连续动作114次，在每次动 作后，三个LFSR都将最高级寄存器中的值输出，这三个 比特的模2和就是当前时刻输出的1比特乱数。
注：A5-1算法中，LFSR的移位方式是左移方式。 各寄存器的编号从第0级编号到第n-1级。
一 A5-1序列密码算法
n级左移LFSR的结构框图

cn=1
cn-1
cn-2 c2
xn-1
xn-2
x1
c1 x0
c0=1
移存器的左移和右移方式，除移位方式不同 外，其工作原理完全相同。
一 A5-1序列密码算法
三 序列密码标准化进程
4、NESSIE工程进程
2000年1月 NESSE工程第一阶段开始 2000年9月 算法提交截止，共提交39个算法 2001年6月 NESSIE进行第一次评估 2001年7月 NESSIE工程第二个阶段开始 2001年9月、10月 分别召开两次NESSIE专题研讨会 2002年12月 NESSIE计划最终评选 2003年2月 公布17种推荐算法，NESSIE工程结束
一 A5-1序列密码算法
关于加密
Step 4：三个LFSR以钟控方式连续动作100次，但不输出 乱数； Step 5：三个LFSR以钟控方式连续动作114次，在每次动 作后，三个LFSR都将最高级寄存器中的值输出，这三个 比特的模2和就是当前时刻输出的1比特乱数。
连续动作114步，共输出114比特乱数，用于对用户 手机到基站传送的114比特数据的加密；
一 A5-1序列密码算法
（一）基本用法
通信模式
用户A
基站1
基站2
基站n
用户B
A5-1算法用于用户的手机到基站之间的通信 加密，通信内容到基站后先脱密变成明文，然后 再进行基站到基站之间、以及基站到用户手机之 间的息加密，完成通信内容在通信过程的加密 保护。
一 A5-1序列密码算法
1、应用环节
只需考察用户A到基站1之间通信内容的加脱密，中 间消息的传送由基站到基站之间的加密完成，而接收方 用户B对消息的加脱密与用户A到基站1之间的通信完全 类似，只不过是用户B先脱密消息。
动作64步完成密钥参与过程。
一 A5-1序列密码算法
Step 3：(帧序号参与) 三个LFSR都规则动作22次，每次 动作1步。在第i步动作时，三个LFSR的反馈内容都首先 与帧序号的第i比特模2加，并将模2加的结果作为LFSR 反馈的内容；帧序号比特的序号是从最低位编到最高位。
帧序号参与方式：与密钥参与方式相同，不同的 明文数据帧按顺序编号，每个编号为22比特。
动作2步后状态： S2 (x18, x17, , x0) (0,0, , k1, k2)
动作14步后状态：S14 (x18, x17, , x0 ) (0,0, , k1, k2, , k13, k14 )
动作15步后状态：
S15 (x18, x17, , x0 ) (0,0, , k1, k2, , k14, k1 k15)
2、基本密钥KA1
基本密钥KA1：预置在SIM卡中，与基站1共享。 生存期：一旦植入SIM卡将不再改变。 用途：用来分配用户和基站之间的会话密钥。
一 A5-1序列密码算法
3、会话密钥k
产生方式：在每次会话时，基站产生一个64比特 的随机数k。
分配方式：利用基本密钥KA1，使用其它密码算法 将k加密传给用户手机。
序列密码算法：第一阶段共选出了6个算法，第二阶 段选出了3个算法，最终没有选定算法作为标准。
三 序列密码标准化进程
（二）ECRYPT工程简介 1、ECRYPT工程概述
ECRYPT (European Network of Excellence for Cryptology)
基金预算：560万欧元。 主要目标：促进欧洲信息安全研究人员在密码学和数字水 印研究上的交流，促进学术界和工业界的持久合作 。
记帧序号为 T0 t22t21 t1 00 00 T1 t22t21 t1 00 01 …… 帧密钥参与的目的：对不同的帧设置不同的帧会话
密钥，保证对每帧以不同的起点生成乱数，尽可能避免 密钥重用。
一 A5-1序列密码算法
3、乱数生成与加脱密 A5算法中，LFSR的不规则动作采用钟控方式。
密码学
第三章 序列密码
3.5 典型序列密码算法
第三章 序列密码
➢ 移位寄存器基础 ➢ m序列特性 ➢ 序列密码编码技术 ➢ 前馈函数的设计准则 ➢ 典型序列密码算法
3.5 典型序列密码算法
➢ A5-1 序列密码算法 ➢ RC4算法 ➢ 序列密码标准化进程
一 A5-1序列密码算法
用于蜂窝式移动电话系统语音和数字加密。
2、算法初始化 初始化是利用一次通话的会话密钥k和帧序号
设定三个移存器的起点，即初始状态。
Step 1：将三个LFSR的初态都设置为全零向量； Step 2：(密钥参与) 三个LFSR都规则动作64次， 每次动作1步。
在第i步动作时，三个LFSR的反馈内容都首先 与密钥的第i比特模2加，并将模2加结果作为LFSR 反馈的内容。
连续动作114步，共输出114比特乱数，这114比特 用于对基站到用户手机传送的114比特数据的脱密。
脱密方式： mi ci di;i 115,116, ,228
一 A5-1序列密码算法
4、A5-1算法的结构框图
走
走 停
前馈函数 f (x1, x2 , x3 ) x1 x2 x3
（2）提交算法的类型
类型 1：适应软件快速执行； 类型 2：在有限资源下硬件能快速执行。 类型 1A：适应软件快速执行；自身带认证机制； 类型 2A：在有限资源下硬件能快速执行；带认证机制。
三 序列密码标准化进程
（3）提交算法的数据要求
类型 1： 128-bit的密钥，至少64或128bit的IV； 类型 2：80-bit的密钥，至少32或64bit的IV； 类型 1A：128-bit的密钥，至少64或128bit的IV；至少32, 64, 96或128-bit的认证码； 类型 2 A：80-bit的密钥，至少32或64bit的IV；至少32或 64bit的认证码。
加密： Ek (M ) Ek1(M1)Ek2 (M 2 )Ek3(M3) 一次通话使用一个会话密钥，对每帧使用不同的
帧密钥。 帧会话密钥：帧序号，长度为22比特。
帧会话密钥共产生228比特乱数，实现对本帧228 比特通信数据的加脱密。
明密结合方式：逐位模2加。
一次通话量：至多222帧数据，约0.89×230比特 。
二 RC4算法
密钥生成算法
8×8的S盒：S0，S1,…,S255，所有项是数字0-255的 置换。两个指针（计数器）i、j的初值为0。