NIST隨機(jī)性檢測(cè)方法及應(yīng)用要點(diǎn)

1、NIST隨機(jī)性檢測(cè)方法及應(yīng)用本科教學(xué)工程大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練研究1 引言密碼算法是構(gòu)建安全信息系統(tǒng)的核心要素之一，是保障信息與數(shù)據(jù)機(jī)密性、完整性和真實(shí)性的重要技術(shù)。密碼算法檢測(cè)評(píng)估是密碼算法研究的重要組成部分，它為密碼算法的設(shè)計(jì)、分析提供客觀的量化指標(biāo)和技術(shù)參數(shù)，對(duì)密碼算法的應(yīng)用具有重要的指導(dǎo)意義在密碼算法的設(shè)計(jì)和評(píng)測(cè)過程中，需要從多個(gè)方面對(duì)其進(jìn)行檢測(cè)和分析。“一次一密(One-Time Pad)”是序列密碼產(chǎn)生的思想來源，序列密碼的核心是通過固定算法，將一串短的密鑰序列擴(kuò)展為長(zhǎng)周期的密鑰流序列，且密鑰流序列在計(jì)算能力內(nèi)應(yīng)與隨機(jī)序列不可區(qū)分。因此， 分析秘鑰流序列的隨機(jī)性是密碼算法安全性研究的重

2、要內(nèi)容，利用 NIST 檢測(cè)方法對(duì)密碼算法進(jìn)行評(píng)測(cè)可以為理論分析提供大量參考數(shù)據(jù)，從而減少理論分析者的工作量，同時(shí)可以暴露出用現(xiàn)有的分析方法無法發(fā)現(xiàn)的安全漏洞。2 NIST 檢測(cè)方法2.1 隨機(jī)性檢測(cè)隨機(jī)性檢測(cè)通常通過概率統(tǒng)計(jì)的方法考察被檢測(cè)序列是否滿足隨機(jī)序列的某些特征以判定其是否隨機(jī)。從理論上講，若被檢測(cè)序列未通過某一隨機(jī)性檢測(cè)，可以肯定該序列不隨機(jī)；但反之，若被檢測(cè)序列能夠通過某一種隨機(jī)性檢測(cè)，卻不能肯定這個(gè)序列是隨機(jī)的，即通過隨機(jī)性檢測(cè)是序列具有隨機(jī)性的必要非充分條件。因?yàn)楦鳈z測(cè)方法中的檢測(cè)項(xiàng)目往往都是根據(jù)隨機(jī)序列所表現(xiàn)出的某一方面的特征而設(shè)計(jì)的。事實(shí)上， 任何一個(gè)由有限種檢測(cè)項(xiàng)目組成

3、的集合都無法囊括隨機(jī)性的所有方面。但在實(shí)際應(yīng)用中，如果這個(gè)檢測(cè)的設(shè)計(jì)對(duì)于隨機(jī)序列使用時(shí)的具體要求而言是充分的，且被檢測(cè)序列又能通過該檢測(cè)，則認(rèn)為該序列的隨機(jī)性是“合格”的。隨機(jī)性檢測(cè)利用概率統(tǒng)計(jì)的方法對(duì)隨機(jī)數(shù)發(fā)生器或者密碼算法產(chǎn)生序列的隨機(jī)性進(jìn)行描述不同的檢測(cè)項(xiàng)目從不同的角度刻畫待檢測(cè)序列與真隨機(jī)序列之間的差距隨機(jī)性檢測(cè)通常采用假設(shè)檢驗(yàn)的方法假設(shè)檢驗(yàn)就是在總體分布未知或者只知其形式但不知其參數(shù)的情況下，為了推斷總體的某些性質(zhì)而提出某些關(guān)于總體的假設(shè)，然后根據(jù)樣本對(duì)提出的假設(shè)做出判斷隨機(jī)性假設(shè)檢驗(yàn)，就是已知真隨機(jī)序列的某一方面符合一個(gè)特定的分布， 那么假設(shè)待檢測(cè)序列是隨機(jī)的，則該待檢測(cè)序列在這方

4、面也應(yīng)該符合這個(gè)特定的分布在實(shí)際應(yīng)用中，常用來衡量隨機(jī)性的方法是P value 法， 這里以測(cè)試統(tǒng)計(jì)量X 服從 2分布為例來說明。以隨機(jī)序列的某種統(tǒng)計(jì)值V 符合自由度為n 的卡方分布為例：原假設(shè)(零假設(shè)) H 0 ：序列是隨機(jī)的，待測(cè)序列的統(tǒng)計(jì)值V 服從 2 (n) 分布；備擇假設(shè)H1 ：序列不是隨機(jī)的，待測(cè)序列的統(tǒng)計(jì)值V不服從 2(n)分布通過判斷一個(gè)待測(cè)序列的統(tǒng)計(jì)值V 是否服從2 (n) 分布來確定是否接受原假設(shè)，從而判斷該序列是否通過了該項(xiàng)隨機(jī)性檢測(cè)在隨機(jī)性檢測(cè)中判斷是否接受原假設(shè)通常采用P-Value方法 P-Value是一個(gè)序列比真隨機(jī)序列的隨機(jī)性要好的概率利用統(tǒng)計(jì)值礦求出P-Val

5、ue， 并將 P-Value與顯著性水平比較如果P-Value ，則接受原假設(shè)，判斷該待測(cè)序列通過了該項(xiàng)隨機(jī)性檢測(cè)作出 2分布的概率密度曲線，如圖2-1 所示，先求出統(tǒng)計(jì)量X ，然后計(jì)算從 X 到無窮的積分，將積分結(jié)果(即P value )與進(jìn)行比較，進(jìn)而確定拒絕還是接受。 本文中討論的隨機(jī)性測(cè)試即是通過選取的測(cè)試統(tǒng)計(jì)量來計(jì)算P value ， 將P value 作為接受原假設(shè)的強(qiáng)度，其含義是：真隨機(jī)數(shù)的隨機(jī)性比待測(cè)序列差的概率。如果其值為1，則是完全真隨機(jī)的，如果值為0，則是完全非隨機(jī)的。對(duì)于顯著性水平，如果 P value ，那么原假設(shè)被接受，序列是隨機(jī)的；反之被拒絕， 序列是非隨機(jī)的。參

6、數(shù) 也即是表2-1 中犯第 I 類錯(cuò)誤的概率，一般的，的取值范圍是0.001,0.01。圖 12 分布的概率密度曲線及P value值美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院( National Institute of Standards and Technology ， NIST)直屬美國(guó)商務(wù)部，從事物理、生物和工程方面的基礎(chǔ)和應(yīng)用研究，以及測(cè)量技術(shù)和測(cè)試方法方面的研究，提供標(biāo)準(zhǔn)、標(biāo)準(zhǔn)參考數(shù)據(jù)及有關(guān)服務(wù)，在國(guó)際上享有很高的聲譽(yù)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所提供的Special Publication800-22 測(cè)試包 16 (簡(jiǎn)稱 NIST隨機(jī)性測(cè)試)。NIST測(cè)試程序是一個(gè)統(tǒng)計(jì)包，包括16 種測(cè)試手段。這

7、些測(cè)試手段可測(cè)試由用作保密隨機(jī)或者偽隨機(jī)數(shù)發(fā)生器的硬件和軟件產(chǎn)生的任意長(zhǎng)的2 進(jìn)制序列的隨機(jī)性。這些測(cè)試手段主要致力于判定可能存在于序列中的多種多樣的非隨機(jī)性。其中一些測(cè)試又可以分解成多種子測(cè)驗(yàn)。這16 種測(cè)試手段是：1. 頻率檢驗(yàn)，該檢驗(yàn)主要是看0 和 1 在整個(gè)序列中所占的比例。檢驗(yàn)的目的是確定序列中的1 和 0數(shù)是否與真正的隨機(jī)序列中的1 和 0 數(shù)近似相同。檢驗(yàn)評(píng)定1 碼占1/2，也就是說，在整個(gè)序列中0 和 1 的數(shù)目是一樣的。其余別的檢驗(yàn)手段都是在該檢驗(yàn)成立的基礎(chǔ)上進(jìn)行的，并且沒有任何證據(jù)表明被測(cè)序列是不隨機(jī)的。此檢驗(yàn)主要是看M 位的子塊中“1”碼的比例。該檢驗(yàn)的目的是判定M 位的

8、子塊內(nèi)“1”碼的頻率是否像隨機(jī)假設(shè)下所預(yù)期的那樣，近似于M/2。當(dāng) M=1 時(shí)，該檢測(cè)相當(dāng)于檢測(cè)1 位，即頻數(shù)（一位）檢驗(yàn)。3. 游程檢驗(yàn)，此檢驗(yàn)主要是看游程的總數(shù)，游程指的是一個(gè)沒有間斷的相同數(shù)序列，即游程或者是“ 1111 , ”或者是“0000, ” 。一個(gè)長(zhǎng)度為k 的游程包含k 個(gè)相同的位。游程檢測(cè)的目的是判定不同長(zhǎng)度的“ 1 ” 游程的數(shù)目以及“ 0” 游程的數(shù)目是否跟理想的隨機(jī)序列的期望值相一致。具體的講，就是該檢驗(yàn)手段判定在這樣的“0”“ 1”子塊之間的振蕩是否太快或太慢。4. 塊內(nèi)最長(zhǎng)游程檢驗(yàn)，該檢驗(yàn)主要是看長(zhǎng)度為M-bits 的子塊中的最長(zhǎng)“1 ”游程。這項(xiàng)檢驗(yàn)的目的是判定待

9、檢驗(yàn)序列的最長(zhǎng)“1 ”游程的長(zhǎng)度是否同隨機(jī)序列的相同。注意：最長(zhǎng)“1”游程長(zhǎng)度上的一個(gè)不規(guī)則變化意味著相應(yīng)的“0”游程長(zhǎng)度上也有一個(gè)不規(guī)則變化，因此，僅僅對(duì)“1 ”游程進(jìn)行檢驗(yàn)室足夠的。5. 二元矩陣秩檢驗(yàn)，該檢驗(yàn)主要是看整個(gè)序列的分離子矩陣的秩。目的是核對(duì)源序列中固定長(zhǎng)度子鏈間的線性依賴關(guān)系。6. 離散傅里葉變換檢驗(yàn)，本檢驗(yàn)主要是看對(duì)序列進(jìn)行分步傅里葉變換后的峰值高度。目的是探測(cè)待檢驗(yàn)信號(hào)的周期性，以此揭示其與相應(yīng)的隨機(jī)信號(hào)之間的偏差程度。做法是觀察超過95%閾值的峰值數(shù)目與低于5%峰值的數(shù)目是否有顯著不同。7. 非重疊模塊匹配檢驗(yàn)，此檢測(cè)主要是看提前設(shè)置好的目標(biāo)數(shù)據(jù)串發(fā)生地次數(shù)。目的是探測(cè)

10、那些產(chǎn)生太多給出的非周期模式的發(fā)生器。對(duì)于非重疊模塊匹配檢驗(yàn)以及后面會(huì)談到的重疊模塊匹配檢驗(yàn)方法，我們都是使用一個(gè)m-bit 的窗口來搜素一個(gè)特定的m-bit 模式。如果這個(gè)模式?jīng)]有被找到，則窗口向后移動(dòng)一位。如果模式被發(fā)現(xiàn)，則窗口移動(dòng)到一發(fā)現(xiàn)的模式的后一位，重復(fù)前面的步驟繼續(xù)搜素下一個(gè)模式。8. 重疊模塊匹配檢驗(yàn)，該檢驗(yàn)主要是看提前設(shè)定的目標(biāo)模塊發(fā)生地?cái)?shù)目。檢驗(yàn)步驟同非重疊模塊匹配檢驗(yàn)方法大致一樣，不同點(diǎn)在于，發(fā)現(xiàn)目標(biāo)模塊后，窗口僅向后移動(dòng)1 位，而后繼續(xù)搜索。9. Maurer 的通用統(tǒng)計(jì)檢驗(yàn)，檢驗(yàn)主要是看匹配模塊間的bit 數(shù)。目的是檢驗(yàn)序列能否在沒有信息損耗的條件下被大大的壓縮。一個(gè)能

11、被大大壓縮的序列被認(rèn)為是一個(gè)非隨機(jī)序列。10. Lempel-Ziv 壓縮檢驗(yàn)，本檢測(cè)主要是看整個(gè)序列中不同模式積累的數(shù)目（單詞數(shù)目）。檢驗(yàn)?zāi)康氖桥卸ù郎y(cè)序列能夠被壓縮到什么程度。若序列不能被明顯的壓縮，則該序列就是非隨機(jī)的。一個(gè)隨機(jī)序列有特征數(shù)個(gè)不同模式。11. 線性復(fù)雜度檢驗(yàn)，本檢驗(yàn)手段主要是看線性反饋移位寄存器的長(zhǎng)度。檢驗(yàn)的目的是判定序列的復(fù)雜程度是否達(dá)到可視為是隨機(jī)序列的程度。隨機(jī)序列的特點(diǎn)是有較長(zhǎng)的線性反饋移位寄存器。一個(gè)線性反饋移位寄存器太小的話意味著序列非隨機(jī)。12. 序列檢驗(yàn)，本檢驗(yàn)主要是看整個(gè)序列中所有可能的重疊m-bit 模式的頻率，目的是判定2m 個(gè) m-bit 重疊模式

12、的數(shù)目是否跟隨機(jī)情況下預(yù)期的值相近似。隨機(jī)序列具有均勻性也就是說對(duì)于每個(gè)m-bit 模式其出現(xiàn)的概率應(yīng)該是一樣的。當(dāng)m=1 時(shí)等價(jià)于頻數(shù)檢驗(yàn)。13. 近似熵檢驗(yàn)，同序列檢驗(yàn)一樣，近似熵檢驗(yàn)主要看的也是整個(gè)序列中所有可能的重疊m-bit 模式的頻率。目的是將兩相鄰長(zhǎng)度（m 和m+1）的重疊子塊的頻數(shù)與隨機(jī)情況下預(yù)期的頻數(shù)相比較。14. 累加和檢驗(yàn)，該檢驗(yàn)主要是看隨機(jī)游動(dòng)的最大偏移。隨機(jī)游動(dòng)被定義為序列中調(diào)整后的-1， +1 的累加和。檢驗(yàn)的目的是判定序列的累加和相對(duì)于預(yù)期的累加和過大還是過小。這個(gè)累加和可被看做隨機(jī)游動(dòng)。對(duì)于隨機(jī)序列，隨機(jī)游動(dòng)的偏離應(yīng)該在0 附近。 而對(duì)于非隨機(jī)序列，這個(gè)隨機(jī)游動(dòng)

13、偏離將會(huì)比0 大很多。15. 隨機(jī)游動(dòng)檢驗(yàn)，本檢驗(yàn)主要是看一個(gè)累加和隨機(jī)游動(dòng)中具有K 個(gè)節(jié)點(diǎn)的循環(huán)的個(gè)數(shù)。累加和隨機(jī)游動(dòng)由于將關(guān)于“ 0”， “ 1”的部分和序列轉(zhuǎn)化成適當(dāng)?shù)摹?1”、 “ +1”序列產(chǎn)生的。一個(gè)隨機(jī)游動(dòng)循環(huán)由單位步長(zhǎng)的一個(gè)序列組成，這個(gè)序列的起點(diǎn)和終點(diǎn)均是0。 該檢驗(yàn)的目的是確定在一個(gè)循環(huán)內(nèi)的特殊狀態(tài)對(duì)應(yīng)的節(jié)點(diǎn)數(shù)是否與在隨機(jī)序列中預(yù)計(jì)達(dá)到的節(jié)點(diǎn)數(shù)相背離。實(shí)際上， 這個(gè)檢驗(yàn)由八個(gè)檢驗(yàn)（和結(jié)論）組成，一個(gè)檢驗(yàn)和結(jié)論對(duì)應(yīng)著一個(gè)特定的狀態(tài)：-4， -3， -2， -1和 +1 ， +2， +3， +4。16. 隨機(jī)游動(dòng)狀態(tài)頻數(shù)檢驗(yàn)。該檢驗(yàn)主要是看累計(jì)和隨機(jī)游動(dòng)中經(jīng)歷的特殊狀態(tài)的總數(shù)。

14、檢驗(yàn)?zāi)康氖桥卸S機(jī)游動(dòng)中實(shí)際經(jīng)歷多個(gè)狀態(tài)的值與預(yù)期值之間的偏離程度。該檢驗(yàn)實(shí)際上是十八個(gè)檢驗(yàn)（和結(jié)論），每個(gè)狀態(tài)對(duì)應(yīng)著一個(gè)檢驗(yàn)和一個(gè)結(jié)論。這些狀態(tài)分別是：-9，-8，-7，-6，-5，-4，-3，-2，-1 和+1， +2， +3， +4， +5， +6， +7， +8。本文的隨機(jī)性測(cè)試屬于黑盒測(cè)試。在測(cè)試中，被測(cè)試的算法被看作一個(gè)黑盒，隨機(jī)性測(cè)試并不深入算法內(nèi)部，也不關(guān)心算法本身的設(shè)計(jì)結(jié)構(gòu)，僅僅通過觀察外部行為來確定算法的輸出特性。本節(jié)中具體介紹了NIST隨機(jī)性測(cè)試相關(guān)理論。NIST測(cè)試套件有15個(gè)測(cè)試項(xiàng)，用來檢測(cè)任意長(zhǎng)度二進(jìn)制序列的隨機(jī)性，其4-1表 4-1 假設(shè)檢驗(yàn)結(jié)論實(shí)際情況接受H 0

15、接受 H1H 0 ：假設(shè)序列是隨機(jī)的正確第 I 類錯(cuò)誤（棄真）H1 ：假設(shè)序列是不隨機(jī)的第 II 類錯(cuò)誤（存?zhèn)危┱_NIST測(cè)試套件的基本測(cè)試思想如下：對(duì)于每一個(gè)測(cè)試項(xiàng)，先給定一個(gè)顯著性水平，0.001,0.01 。再給出兩個(gè)假設(shè)：原假設(shè)H 0 （序列是隨機(jī)的）和備擇假設(shè)H1（序列是不隨機(jī)的），然后根據(jù)給定統(tǒng)計(jì)量的分布函數(shù)和統(tǒng)計(jì)結(jié)果返回一個(gè)P value ， 將它與先前給定的進(jìn)行比較，從而判斷隨機(jī)性。其中P value是一個(gè)概率值，P value 0,1。若 P value,則接受原假設(shè)H 0，即序列是隨機(jī)的；若Pvalue，則拒絕原假設(shè) H 0，即序列是不隨機(jī)的；當(dāng)Pvalue1時(shí)，表示待測(cè)

16、序列是一個(gè)完美的真隨機(jī)序列；當(dāng)Pvalue0時(shí)，表示待測(cè)序列是一個(gè)完全不隨機(jī)的序列。三、ZUC算法祖沖之（ZUC）算法集是由我國(guó)學(xué)者自主設(shè)計(jì)的加密和完整性算法，包括祖沖之（ZUC）算法、加密算法128-EEA3和完整性算法128-EIA3，已經(jīng)被國(guó)際組織3GPP推薦為4G無線通信的第三套國(guó)際加密和完整性標(biāo)準(zhǔn)算法。2010年 12月 2至 3 日由中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室和中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心（DCS中心）聯(lián)合主辦的第一屆祖沖之算法國(guó)際研討會(huì)在北京召開。這次國(guó)際研討會(huì)對(duì)于加強(qiáng)祖沖之算法研究分析成果的國(guó)內(nèi)和國(guó)際交流，擴(kuò)大祖沖之算法的公開平評(píng)估范圍，加強(qiáng)祖沖之算

17、法的安全性評(píng)估力度，進(jìn)而推進(jìn)祖沖之算法4G通信國(guó)際加密標(biāo)準(zhǔn)的進(jìn)度產(chǎn)生了重要的現(xiàn)實(shí)意義。2011 年 9 月在日本福岡召開的第53 次 3GPP系統(tǒng)架構(gòu)組會(huì)議上，我國(guó)祖沖之算法（ZUC）被批準(zhǔn)成為新一代寬帶無線移動(dòng)通信系統(tǒng)（LTE）國(guó)際標(biāo)準(zhǔn)78。ZUC算法是我國(guó)自主設(shè)計(jì)的一個(gè)面向字的序列密碼，它用 128位初始密鑰k和 128 位的初始向量iv 作為輸入，輸出32 位字的密鑰流（每 32 位稱為一個(gè)密鑰字 ），密鑰流可用于對(duì)信息進(jìn)行加解密。ZUC算法邏輯上采用三層結(jié)構(gòu)4910，即線性反饋移位寄存器（LFSR1）1、比特重組（BR）和非線性函數(shù)（F），其整體結(jié)構(gòu)如圖3-1 所示：3-1 ZUC 算

18、法整體結(jié)構(gòu)圖本文選取上述15個(gè)測(cè)試項(xiàng)進(jìn)行測(cè)試，若被測(cè)試序列能全部通過這15個(gè)測(cè)試，我們就認(rèn)為該序列是隨機(jī)的，取顯著性水平0.01 。 。在密碼學(xué)中，初始密鑰和初始向量都為“0”時(shí)，算法生成密鑰流的隨機(jī)性性最差23， 這時(shí)如果能通過隨機(jī)性檢測(cè)，說明在其它情況也能通過測(cè)試。所以這里我們令初始密鑰和初始向量都為“0”。1. 運(yùn)行ZUC算法程序，進(jìn)入主界面，選擇“1”：2. 輸入初始密鑰、初始向量和密鑰字個(gè)數(shù)（如圖），初始密鑰：0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0初始向量：0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0密鑰字個(gè)數(shù)：40000現(xiàn)在我們已經(jīng)得到了4

19、0000 32位的密鑰流序列。運(yùn)行后生成了兩個(gè)密鑰流文件： zuc.txt和zuc1.txt，分別是以二進(jìn)制和十六進(jìn)制表示的。NIST測(cè)試要求密鑰流序列是以二進(jìn)制表示的，所以我們需要的文件是zuc.txt。隨機(jī)性測(cè)試接下來我們對(duì)上面生成的密鑰流序列進(jìn)行隨機(jī)性檢測(cè)。NIST提供的隨機(jī)性檢Linux 系統(tǒng)下運(yùn)行，本文所用系統(tǒng)為在VM 虛擬機(jī)下安裝的Red HatLinux系統(tǒng)。2.1 Linux 系統(tǒng)下的makefile 檢測(cè)方法首先我們需要對(duì)測(cè)試包中的makefile 文件進(jìn)行配置，修改gcc（ Linux系統(tǒng)的C 語(yǔ)言編譯器）的位置和輸入測(cè)試包所在目錄，然后運(yùn)行makefile 文件，進(jìn)行編a

20、ssess。 assess執(zhí)行時(shí)需要輸入序列長(zhǎng)度，剛才40000 32 1280000。1. 運(yùn)行assess，并輸入序列長(zhǎng)度，如下圖：2. 進(jìn)入測(cè)試界面，輸入“ 0，導(dǎo)入文件： ”zuc.txt”：3. 輸入 4.2.1 中生成的以二進(jìn)制表示的密鑰流序列文件“4. 輸入 “1”，對(duì)15 項(xiàng)全部進(jìn)行測(cè)試：5. 輸入“0”，參數(shù)調(diào)整選擇默認(rèn)值：6. 輸入“0”， ASCII的0、 1 序列，也就是以二進(jìn)制表示的序列：7. 測(cè)試完成：8. 2 sts-2.1.1 軟件檢測(cè)法該方法可以直接在XP 系統(tǒng)下運(yùn)行sts-2.1.1 軟件進(jìn)行隨機(jī)性檢查，方法如下，1.安裝“cygin”，選擇與gcc有關(guān)的項(xiàng)

21、目。2.NIST包3.記事本打開“makefile修改“ CC =”（ gcc所在位置）和“ROOTDIR =”（安裝包所在目錄），如CC =/cygdrive/d/cygwin/bin/gcc.exeROOTDIR = /cygdrive/d/cygwin/home/Dshuqu/sts4.運(yùn)行“ cygin”5.進(jìn)入測(cè)試包所在目錄6 .make f makefile生成assess文件7 . 運(yùn)行 assess8.進(jìn)入測(cè)試8. 測(cè)試結(jié)果及中間過程都寫入了各自對(duì)應(yīng)的目錄中，經(jīng)整理后檢測(cè)結(jié)果如 表 4-2 所示：表 4-2 隨機(jī)性檢測(cè)結(jié)果測(cè)試項(xiàng)P-value頻率測(cè)試(Frequency)0.4

22、72934塊內(nèi)頻率測(cè)試(Block Frequency)(m=128)0.666461累積和測(cè)試(CumulativeSums)-Forward0.494930累積和測(cè)試(CumulativeSums)-Reverse0.698499游程檢測(cè)(Runs)0.302109塊內(nèi)最長(zhǎng)連續(xù)“ 1測(cè)試”(LongestRunofOnes)0.107293二元矩陣秩測(cè)試(Rank)0.579405離散傅里葉變換測(cè)試( FFT)0.119393非重疊模版匹配測(cè)試(NonOverlappingTemplate)(m=9,B=000000001)0.508413重疊模版匹配測(cè)試(OverlappingTempl

23、ate)(m=9)0.739918全局通用統(tǒng)計(jì)測(cè)試(Universal)0.338818近似熵檢測(cè)(ApproximateEntropy)(m=10)0.112173隨機(jī)偏移測(cè)試(RandomExcursions)(x=+1)0.135938隨機(jī)偏移變量測(cè)試(RandomExcursionsVariant)(x=-1)0.429142線性復(fù)雜度檢測(cè)(LinearComplexity)(M=500)0.454981串行測(cè)試(Serial)(m=16)0.1071924.3 結(jié)果分析由上表可以看出，15 個(gè)測(cè)試項(xiàng)的P value 值全部大于顯著性水平( 0.01)，而且有 5 項(xiàng)(塊內(nèi)頻率測(cè)試、累

24、積和測(cè)試、二元矩陣秩測(cè)試、非重疊模版匹配測(cè)試、重疊模版匹配測(cè)試)的P value 值超過了0.5，所以 ZUC算法生成的密鑰流序列是隨機(jī)的，也就是說ZUC算法安全性很好。參考文獻(xiàn)1 CCSA. Specification of the 3GPP Confidentiality and Integrity Algorithms 128-EEA3 & 128-EIA3. Document 2: ZUC Specification S,2011.2 陳希孺 . 概率論及數(shù)理統(tǒng)計(jì)M. 科學(xué)出版社, 2000.3 杜紅紅 , 張文英 . 祖沖之算法的安全分析J.計(jì)算機(jī)技術(shù)與發(fā)展ISTIC, 2012, 22(6).4 馮秀濤 .