4.2线性反馈移位寄存器序列

第二节
线性反馈移位寄存器序列
1
基本概念和性质
反馈移位寄存器, 特别线性反馈移位寄存器是许多密钥序列生成器的重要部件, 这一节引进线性反馈移位寄存器的模型, 并用数学(特别是代数)工具描述线性反馈移位寄存器.
2
设n是正整数, n级反馈移位寄存器的模型见下图
a k+n−1 a k+n−2……… a k+1a k输出
f (x n,…, x2, x1)
反馈函数其中f(x1,…, x n)是一逻辑函数, 即f(x1,…, x n)∈2[x1,…, x n]这里2= {0, 1}表示二元域, n≥ 1.
3
当f(x1,…, x n)是线性函数时, 即
f(x1, x2, … , x n) =c1x1+c2x2+ … +c n x n, c i∈2,
称对应的反馈移位寄存器为线性反馈移位寄存器(简称LFSR), 所产生的序列称为线性(反馈)移位寄存器序列, 简记为LFSR序列.
4
5
此时所产生的序列适合关系式
a n +k = 1
0n i −=∑c n −i a k +i , k = 0, 1, 2, ….
并称序列a = (a 0, a 1,…)为n 级线性递归序列。

线性递归序列是LFSR 序列的数学描述, 但为书写简便, 以后在称谓上我们就用LFSR 序列.
定义4.1 设a是LFSR序列, 称a的次数最小的特征多项式为a的极小多项式.
定理4.1 设a是LFSR序列, 则a的极小多项式是唯一的.
6
进一步, 设m
(x)是a的极小多项式, 则f(x)是a的一
a
(x)|f(x).
个特征多项式当且仅当m
a
显然, LFSR序列的极小多项式刻画了生成该序列的最短LFSR,而定理4.1进一步说明, 这样的最短LFSR是唯一的.
7
8
设f (x )是F 2上n 次多项式, a =(a 0,a 1,a 2,…)是以f (x )为特征多项式的线性递归序列, 则a 由前n 比特a 0,a 1,…,a n −1唯一确定.
例如: 设f (x )=x 3+x +1, a =(0,1,1,…)是以f (x )为特征多项式的线性递归序列, 则
a =(0,1,1,1,0,0,1,0,1,1,1,…).
定义4.2 对于F
上序列a, 若存在非负整数k和正
2
整数T, 使得对任意i≥k, 都有a
=a i, 则称a是准周
i+T
期序列, 最小这样的T称为a的周期, 记为per(a); 若k=0, 则称a是(严格)周期序列.
注4.1 设per(a)=T, R是正整数, 若对任意i≥k, 有a i+R=a i, 则T|R.
9
显然, LFSR是一种有限状态机, 因此, 由LFSR生成的序列必然是准周期的. 下面的定理表明反之也是成立的, 即所有的准周期序列都可用LFSR来生成.
定理4.2 a是准周期序列当且仅当a是LFSR序列.
10
利用序列的极小多项式可以判断序列是否严格周期.
(x)是a的极小多项定理4.3 设a是LFSR序列, m
a
(0)≠0.
式, 则a是周期序列当且仅当m
a
11
进一步, 序列的周期由其极小多项式的周期完全确定.
定理4.4 设a是周期序列, f(x)是它的极小多项式, 则per(a)=per(f(x)).
12
注4.2 若a是非严格周期序列, 定理4.4也成立. 由于非周期序列总可以转化成周期序列, 并且实际中使用的序列也都是周期序列, 故后面的讨论仅针对周期序列.
13
推论4.1 设f(x)是F
上不可约多项式, 则以f(x)为
2
特征多项式的非零序列a有per(a)=per(f(x)).
14
最后, 我们给出LFSR序列的根表示.
[x]是n次无重因子多项式,f(0)≠0, 定理4.5 设f(x)∈F
2
F2m是f(x)的分裂域, α1,α2,…,αn∈F2m是f(x)的全部根, 则
,a1,…), 存在唯对任意以f(x)为特征多项式的序列a=(a
一一组β
,β2,…,βn∈F2m, 使得
1
a k=β1α1k+β2α2k+⋅⋅⋅+βnαn k, k≥0.
15
反之,设β
,β2,…,βn∈F2m,若
1
a k=β1α1k+β2α2k+⋅⋅⋅+βnαn k∈F2, k≥0,
,a1,…)以f(x)为特征多项式, 且f(x)是a的极则a=(a
≠0, 1≤i≤n.
小多项式当且仅当β
i
16
m-序列
注意到LFSR总是将0状态转化成0状态, 因此对于一个n级LFSR, 最多可输出周期为2n−1的周期序列.
定义4.3 设a是n级LFSR序列, 若per(a)=2n−1, 则称a为n级最大周期序列, 简称为n级m-序列.
17
由定义显然有
定理4.6 设a是n级LFSR序列, 则a是n级m-序列当且仅当a的极小多项式是n次本原多项式
18
定理4.7 若a是以n次本原多项式f(x)为极小多项式的m-序列, 则0, a, La,…, L2n−2a是以f(x)为特征多项式的序列全体.
定理4.7说明, 由同一个本原多项式生成的两条m-序列彼此平移等价. 由定理4.7, 容易证明m-序列满足以下平移可加性.
19
定理4.8 设a是n级m-序列, 则对于非负整数s和t, 有L s a+L t a=L k a或0, 其中0≤k≤2n−2.
注4.3 实际上, 定理4.8给出的平移可加性是m-序列的特有性质, 即对于周期为T的序列a, 非负整数s和t, 若L s a+L t a=L k a或0, 0≤k≤2n−2, 则a是m-序列.
20
m-序列是最重要的线性反馈移位寄存器序列, 不仅是因为m-序列的周期可达到最大, 而且因为m-序列的统计特性完全满足Golomb S.W.提出的三条随机性假设.
21
22
(1) 元素分布
设a 是周期为T 的序列, 将a 的一个周期依次排列在一个圆周上, 并且使得a 0和a T −1相邻, 我们称这样的圆为a 的周期圆.
23
引理4.1 设a 是n 级m-序列, 0 < k ≤ n , 则F 2上任意一个k 维向量(b 1,b 2,…,b k )在 a 的一个周期圆中出现的次数N (b 1,b 2,…,b k )为
N (b 1,b 2,…,b k ) = 122, (,,,)(0,0,...,0)2
1,
.n k k n k b b b −−⎧≠⎪⎨−⎪⎩…若，否则
特别地, 分别取k=1和k=n, 有
推论4.2 在n级m-序列的一个周期中1出现2n−1次, 0出现2n−1−1次.
推论4.3 在n级m-序列的一个周期(圆)中每个(n维)非零状态出现且仅出现1次.
24
25
(2) 游程分布
设a 是周期序列, a 在一个周期圆中形如
010...01全为 和 1
01...10全为
的项分别叫做a 的0游程和1游程. 而0游程中连续0的个数及1游程中连续1的个数称为游程长度. m -序列具有非常理想的游程分布.
定理4.9 设0<k≤n−2, 在n级m-序列的一个周期圆中, 长为k的0游程和1游程各出现2n−k−2次; 长度大于n的游程不出现; 长度为n的1游程和长度为n−1的0游程各出现一次; 长度为n的0游程和长度为n−1的1游程不出现; 游程总数为2n−1.
26
27
(3) 自相关函数
m-序列的自相关函数满足二值性, 即
定理4.10 设a 是n 级m -序列, 则
C a (t ) = 10(1)
k k t T a a k +−+=−∑=1, 0(mod 21);21,
0(mod 21).n n n t t ⎧−≠−⎪⎨−≡−⎪⎩若若.
线性复杂度与Berlekamp-Massey算法
线性复杂度的概念是针对LFSR结构提出的, 它衡量了用LFSR来生成给定序列的最小代价. 由于特征多项式完全刻画了生成序列的LFSR, 故自然有以下定义.
28
定义4.4 设a是周期序列, 称序列a的极小多项式的次数为a的线性复杂度, 记为LC(a).
注4.4 对于周期序列a, 显然有LC(a)≤per(a)
29
1969年提出的Berlekamp-Massey算法[14]解决了求序列极小LFSR的问题. 对于线性复杂度为L的序列a, 该算法在已知a的连续2L比特的前提下即可还原出整条序列, 计算时间复杂度仅为O(L2).
30
第四章序列密码
因此, 好的伪随机序列必须具有高的线性复杂度. 对于上一小节介绍的n级m-序列, 其周期为2n−1, 是n 级LFSR能输出的最大周期序列, 但n级m-序列的极小多项式是n次本原多项式, 这意味着n级m-序列的线性复杂度等于n, 则在已知2n比特的条件下, 利用Berlekamp-Massey算法可还原出长为2n−1的原序列. 可见, n级m-序列绝不可单独作为密钥流序列使用.
31。