2.1 序列密码_商用密码权威指南：技术详解、产品开发与工程实践-QQ阅读男生中文科幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

2.1 序列密码

2.1.1 序列密码介绍

序列密码的起源可追溯到1917年Vernam提出的“一次一密”（One-Time Pad）密码体制。“一次一密”密码体制是理论上最安全的加密方法，要求密钥流与密文长度相同且完全随机，同时密钥流不能重复使用。这也导致“一次一密”在实际应用时存在明显的缺陷，主要是密钥流的生成、分配和管理变得异常困难。为了克服这些缺陷，研究者们设计了各种序列密码算法。其主要思想是使用一个较短的密钥（称为“种子”）通过特定的算法来产生一个长的伪随机序列用于加解密，从而只需要生成、管理较短的密钥，简化了密钥管理。

在20世纪中叶，随着有限域和线性移位寄存器理论的成熟，以及晶体管的出现和广泛应用，基于线性移位寄存器的序列密码逐渐成为发达国家保密通信系统中的主要装备。到了20世纪80年代，序列密码的研究开始一步步走出黑屋，多个序列密码研究项目推动了相关技术的发展。

1）2000年，欧盟启动NESSIE项目，征集序列密码算法并进行评估和公开讨论，第一次在学术界掀起了序列密码研究热潮。但由于过于苛刻和严谨的评估准则，所有序列算法候选方案都未能胜出。

2）2004年，欧盟启动ECRYPT计划，其中包括eSTREAM项目，主要是面向全球征集适合广泛应用的高效、紧凑的序列密码算法。eSTREAM项目共征集到34个算法，经过多次安全和性能评估，并按照不同应用需求进行分类，最终选出满足高吞吐量要求的软件应用和适用于资源受限（如有限的存储、门数、功耗等）的硬件应用的算法。到2008年活动结束，最终评选出7种算法，包括4种面向软件应用的算法（Salsa20/12、SOSEMANUK、Rabbit、HC-128），与3种面向硬件应用的算法（Grain v1、Trivium、MICKEY v2）。

根据密钥流生成方式的不同，序列密码分为同步序列密码与自同步序列密码。同步序列密码（见图2-1）使用种子密钥k和初始向量IV，根据密钥流生成算法生成密钥流序列z=z₀z₁z₂…，然后使用密钥流序列依次对明文序列m=m₀m₁m₂…加密：

其中，密钥流序列对明文加密的过程通常为异或运算，即依次将每个密钥流与明文流异或运算得到密文：。

图2-1 同步序列密码示意图

相应解密过程只需使用同一密钥k和相同的初始向量IV，采用相同的密钥流生成算法生成同样的密钥流序列z=z₀z₁z₂…，然后依次对密文序列c=c₀c₁c₂…解密：

其中，D为E的逆过程。当E为异或运算时，D也为异或运算，即。

同步序列密码算法具有加解密速度快、便于软硬件实现等特点，适用于大量数据加密场景，广泛应用于数据通信领域，例如互联网通信、VPN通信和无线通信等。

与同步序列密码不同，自同步序列密码（见图2-2）在生成密钥流的过程中，密文流会参与后续的密钥流生成。这种特性使得即使密文流的部分比特出现错误，当一定数量的正确密文流被反馈回密钥流生成器后，加解密仍然能够重新同步，系统将回到正确的状态。这种能力在通信中尤其有用，因为它允许系统在不稳定的信道环境中运作，即便存在信号干扰、传输错误或数据丢失等情况，仍能保持一定程度的加密能力。自同步序列密码能够容忍一定程度的错误。然而，为了实现这种错误容忍特性，系统可能会变得更加复杂，而且可能需要更多的计算开销。在实际应用中，我们通常使用分组密码结合一些工作模式来构造自同步序列密码。

2.1.2 序列密码的设计原理

序列密码的设计关键在于如何利用较短的密钥生成具有长周期、高复杂度和良好统计特性的伪随机序列。这些序列不仅需要具备长的周期和高的复杂度，还应能有效隐藏生成过程中的中间状态，确保即使攻击者获得输出序列，也难以推测内部状态或密钥。换言之，即使攻击者获取了较长的序列，也无法获取序列的未来或过去的值，更无法确定密钥。

图2-2 自同步序列密码示意图

1.线性反馈移位寄存器

线性反馈移位寄存器（LFSR，Linear Feedback Shift Register）因其理论成熟、易于硬件实现、可以产生大周期序列、统计特性良好且易于分析等优点，在序列密码设计中被广泛应用。LFSR由寄存器单元和反馈函数组成，其中，寄存器单元的数量被称为“移位寄存器的级数”，反馈函数为寄存器单元的线性组合。

LFSR的工作原理是通过特定的特征多项式来定义反馈逻辑，从而生成序列。例如，一个n级LFSR的状态由n个寄存器中的值组成，每个时刻的状态变化依赖于反馈函数的计算结果。LFSR生成的序列被称为“n级LFSR序列”，其特征多项式完全描述了该序列的特性。图2-3展示了一个以f（x）=xⁿ⊕c_n_-1xⁿ^-1⊕…⊕c₀为特征多项式的n级LFSR。n个寄存器中的值组成的向量（a_k₊_n_-1，a_k₊_n_-2，…，a_k）被称为“LFSR的第k时刻的状态”，特别地，（a_n_-1，a_n_-2，…，a₀）被称为“LFSR的初始状态”。对任意k≥0，LFSR状态做如下变化。

1）计算a_k₊_n=c_n_-1a_n₊_k_-1⊕…c₁a_k₊₁⊕c₀a_k；

2）寄存器中的值依次向右移位，并将最后一个寄存器中的值a_k输出；

3）将a_k₊_n放入最左侧寄存器。

LFSR所产生的序列a=（a₀，a₁，a₂，…）被称为“n级LFSR序列”。特征多项式f（x）完全刻画了该序列。需要注意的是，LFSR的特征多项式并不唯一，但次数最小的特征多项式是唯一的，被称为“该序列的极小多项式”。

图2-3 线性反馈移位寄存器示意图

易知，当LFSR的状态出现重复时，其输出序列也将出现重复。给定LFSR序列a=（a₀，a₁，a₂，…），若存在非负整数k和正整数T，使得对任意i≥k，都有a_i₊_T=a_i，则称a为准周期序列，并将最小的T称为a的周期。特别地，若k=0，则称a是（严格）周期序列。设m_a（x）为a的极小多项式，则a是周期序列当且仅当m_a（0）≠0。

注意，LFSR总是将某时刻全0状态转化成之后所有时刻全0状态，因此，对于一个n级F₂上（即每个寄存器的值为0或1）的LFSR，输出序列的最大可能周期为2ⁿ-1。若LFSR序列a的周期为2ⁿ-1，则称其为F₂上的n级m序列。LFSR序列a为n级m序列，当且仅当a的极小多项式是n次本原多项式。

m序列是最重要的LFSR序列，不仅其周期可以达到最大，而且具有较好的统计特性，满足信息理论和编码理论的先驱Solomon W.Golomb提出的3条随机性假设规则。

• 均匀性规则：对于一个理想的伪随机二进制序列，0和1出现的数量应当是相等的或相差极小。

• 游程规则：游程是序列中连续的同样符号（例如连续的0或1）的最大长度。此规则描述了不同长度的游程出现的频率。在理想情况下，长度为1的游程应该占总游程数的1/2，长度为2的游程应该占1/4，长度为3的游程应该占1/8，依此类推。这反映了一个好的伪随机序列在短的时间尺度上有很好的均匀性，而在较长的时间尺度上则可能会出现不均匀性。

• 自相关规则：这是一个描述伪随机序列的自相关特性的规则。理想的伪随机序列应该具有低的自相关，除了在0位移（或说零延迟）上，其自相关函数的值应该接近于零。这意味着序列与其自身的一个版本（该版本经过一定数量的位移）之间的相似度非常低。

LFSR序列a的极小多项式的次数被称为“该序列的线性复杂度”，记为LC（a）。线性复杂度用来衡量生成LFSR序列的最小代价。1969年，研究者提出的Berlekamp-Massey算法（简称B-M算法）解决了求序列极小多项式的问题。对于线性复杂度为L的LFSR序列a，B-M算法在已知序列a连续2L比特的条件下，可以还原出整条序列，且计算复杂度仅为O（L²）。

目前，LFSR已作为基础部件广泛应用于序列密码设计。考虑到算法实现中的软硬件资源和运算效率，我们通常选择更大有限域F_q上的LFSR，即寄存器中的元素均为F_q中的元素，运算也为F_q上的运算。F_q上的LFSR生成的序列几乎保持了传统的F₂上的LFSR序列的所有性质，如周期性、伪随机性等。

2.密钥流生成器

在序列密码设计中，我们通常使用LFSR生成的m序列作为序列源，再结合非线性部件生成密钥流序列。m序列具有大周期、理想的统计特性、高效性等特点，而非线性部件用于提高安全性与复杂性，用于抵抗密码攻击。经典的非线性改造方式有非线性组合、非线性过滤和钟控等，其中非线性组合与非线性过滤生成器均在统一时钟下控制LFSR的状态更新，而钟控生成器通过一个LFSR控制另外一个或多个LFSR的状态更新。由于基于钟控生成器设计的密码算法相对较少，下面仅简要介绍非线性组合与非线性过滤生成器。

非线性组合生成器的思想是将多个m序列通过非线性的方式合并成一条密钥流。如图2-4所示，n个LFSR分别生成m序列a₁，a₂，…，a_n，记a_i=（a_i_，0，a_i_，1，a_i_，2，…），1≤i≤n，然后将此n个序列经组合函数F组合生成密钥流序列z=（z₀，z₁，z₂，…），其中，组合函数F为n元非线性函数，z_k=F（a_1，_k，a_2，_k，…，a_n_，_k），k≥0。若m序列a₁，a₂，…，a_n的线性复杂度分别为m₁，m₂，…，m_n，且互不相同，则组合序列z的线性复杂度为F（m₁，m₂，…，m_n）。

图2-4 非线性组合生成器示意图

非线性过滤生成器的思想是对单个m序列进行非线性运算得到密钥流序列。如图2-5所示，LFSR的输出序列为a=（a₀，a₁，a₂，…），F=F（x₁，x₂，…，x_n）为一个n元函数，被称为“过滤函数”，密钥流序列z=（z₀，z₁，z₂，…），其中z_t=F（a_t，a_t+₁，…，a_t+n_-1），t≥0。若函数F（x₁，x₂，…，x_n）=x_ix_i+δ…x_i+_（_k_-1）_δ⊕G（x₁，x₂，…，x_n），其中gcd（δ，2ⁿ-1）=1，G的代数次数小于k，则输出序列z的线性复杂度不小于。

图2-5 非线性过滤生成器示意图

3.其他反馈移位寄存器

线性反馈移位寄存器序列容易受到相关攻击与代数攻击的影响，非线性序列生成器逐渐受到研究人员的关注。常见的非线性序列生成器有带进位的反馈移位寄存器（FCSR，Feedback with Carry Shift Register）与非线性反馈移位寄存器（NFSR，Nonlinear Feedback Shift Register）。

FCSR由A.Klapper和M.Goresky于1993年首次提出，其原理是利用整数的进位运算生成一类二元非线性序列。设q为正奇数，，q+1=q₁2+q₂2²+…+q_r2^r，q_i∈{0，1}，且q_r=1，以q为连接数的FCSR如图2-6所示。图2-6中Σ表示整数加法，m_n是进位（也称“记忆”），（m_n;a_n+r_-1，a_n+r_-2，…，a_n）表示FCSR在时刻n的状态。FCSR的状态转换过程如下。

1）计算整数和；

2）r个寄存器依次右移一位，输出最右侧寄存器的值a_n；

3）计算a_n+r≡σ_nmod 2，并放入最左侧寄存器；

4）计算，并使用m_n+₁更新进位寄存器。

记FCSR的输出序列a=（a₀，a₁，a₂，…），q被称为“序列a的连接数”，若q是序列a所有连接数中的最小值，则称q为a的极小连接数。若序列a是以q为极小连接数的FCSR序列，则序列a的周期为ord_q（2）。因此，FCSR序列的周期的最大值为ϕ（q），并称周期为ϕ（q）的FCSR序列为l序列。与B-M算法类似，1995年研究者提出的2-adic有理逼近算法可在较低复杂度内还原FCSR序列，因此，l序列本身不能直接作为密钥流序列，需结合非线性部件共同生成密钥流序列。

图2-6 进位反馈移位寄存器示意图

NFSR是序列密码设计的一类重要部件。在2008年，欧洲eSTREAM项目胜选的3个面向硬件设计的序列密码算法Trivium、Grain v1和Mickey v2均基于NFSR设计。NFSR往往具有较低的硬件实现代价，常用于轻量级密码设计。

一个n级NFSR示意图如图2-7所示。该寄存器由n个寄存器和一个反馈函数构成，记初始状态为（a₀，a₁，…，a_n_-1），对任意k≥0，其状态更新过程如下。

1）计算a_k₊_n=f₁（a_k，a_k₊₁，…，a_k₊_n_-1）；

2）n个寄存器向右移位，并输出最右侧寄存器中的值a_k；

3）使用a_k₊_n更新最左侧寄存器中的值。

图2-7 n级NFSR示意图

记NFSR的输出序列为a=（a₀，a₁，a₂，…），f₁（x₀，x₁，…，x_n_-1）为反馈函数，f（x₀，x₁，…，x_n_-1，x_n）=f₁（x₀，x₁，…，x_n_-1）+x_n为NFSR的特征函数。一个n级NFSR序列的最大可能周期为2ⁿ。若NFSR序列a的周期为2ⁿ，则称a为n级De Bruijn序列。De Bruijn序列具有最大周期及良好的伪随机性质，一直以来都是NFSR序列的研究热点。近年来，一些基于NFSR设计的序列密码逐渐出现，但由于NFSR序列的复杂性，人们对相关算法的安全性还存在一些疑虑。

2.1.3 常见的序列密码算法

1.SNOW 3G

在2000年启动的NESSIE计划中，SNOW 1.0算法作为一种新型序列密码算法被提出，其设计目标是在保证安全性的同时优化性能。然而，研究者很快发现SNOW 1.0算法存在多个缺陷，这促成了SNOW 2.0算法的诞生。它对原算法进行了改进并修复了已知缺陷。在2006年，ETSI/SAGE基于SNOW 2.0进行了进一步改进而发展出了SNOW 3G算法。与SNOW 2.0相比，SNOW 3G抵抗代数攻击的能力更出色，安全性得到进一步提升。之后，SNOW 3G便被3GPP（第三代合作伙伴计划，3G Partnership Project）采纳为加密标准，并在4G/5G移动通信中作为机密性算法和数据完整性算法的核心算法之一。SNOW 3G以其实现简单、性能高以及资源消耗低等特点，在物联网等资源受限环境中具有广阔的应用前景。

SNOW 3G是一种以字为单位的序列密码算法，其结构如图2-8所示。其中，符号⊕表示按位异或操作，符号表示整数模2³²加法操作。该算法主要由一个线性反馈移位寄存器（LFSR）和一个有限状态机（FSM，Finite State Machine）组成。LFSR由16个32比特寄存器（s₀，s₁，…，s₁₅）和一个反馈电路（反馈函数）组成。FSM由3个32比特寄存器（R₁，R₂，R₃）和2个32～32比特的S盒S₁与S₂组成。算法的运行过程主要分为两个阶段：初始化阶段和密钥流生成阶段。

在初始化阶段，算法首先将128比特的密钥Key和IV分成4个32比特字K₀、K₁、K₂、K₃和IV₀、IV₁、IV₂、IV₃，并将LFSR的各个寄存器按如下方式初始化。

将寄存器R₁、R₂、R₃初始化为0，其中，1表示0xFFFFFFFF，0表示0x00000000。然后重复执行以下计算过程32次完成算法初始化：

1）；

2）；

3）（R₃，R₂，R₁）=（S₂（R₂），S₁（R₁），r），其中，S₂、S₁分别为对应的S盒字节代换操作；

4）s₁₆=（s_0，1‖s_0，2‖s_0，3‖0x00）⊕MULα（s_0，0）⊕s₂⊕（0x00‖s_11，0‖s_11，1‖s_11，2）⊕DIVα（s_11，3）⊕F；

5）（s₁₅，s₁₄，…，s₀）=（s₁₆，s₁₅，…，s₁）。

图2-8 SNOW 3G算法结构

下面依次介绍SNOW 3G算法初始化过程涉及的运算。

设w=w₀‖w₁‖w₂‖w₃为32比特输入，S₁（w）=r₀‖r₁‖r₂‖r₃为32比特输出，则S盒S₁如下：

r₀=MULx（S_R（w₀），0x1B）⊕S_R（w₁）⊕S_R（w₂）⊕MULx（S_R（w₃），0x1B）⊕S_R（w₃）

r₁=MULx（S_R（w₀），0x1B）⊕S_R（w₀）⊕MULx（S_R（w₁），0x1B）⊕S_R（w₂）⊕S_R（w₃）

r₂=S_R（w₁）⊕MULx（S_R（w₁），0x1B）⊕S_R（w₁）⊕MULx（S_R（w₂），0x1B）⊕S_R（w₃）

r₃=S_R（w₀）⊕S_R（w₁）⊕MULx（S_R（w₂），0x1B）⊕S_R（w₂）⊕MULx（S_R（w₃），0x1B）

S盒S₂如下：

r₀=MULx（S_Q（w₀），0x69）⊕S_Q（w₁）⊕S_Q（w₂）⊕MULx（S_Q（w₃），0x69）⊕S_Q（w₃）

r₁=MULx（S_Q（w₀），0x69）⊕S_Q（w₀）⊕MULx（S_Q（w₁），0x69）⊕S_Q（w₂）⊕S_Q（w₃）

r₂=S_Q（w₁）⊕MULx（S_Q（w₁），0x69）⊕S_Q（w₁）⊕MULx（S_Q（w₂），0x69）⊕S_Q（w₃）

r₃=S_Q（w₀）⊕S_Q（w₁）⊕MULx（S_Q（w₂），0x69）⊕S_Q（w₂）⊕MULx（S_Q（w₃），0x69）

其中，MULx表示将16比特输入映射成8比特输出，设（V，c）为两个8比特的输入，MULx（V，c）具体如下：

注：≪_nt表示在n比特内左移t比特。

S_R与S_Q为两个8比特输入、8比特输出的S盒，分别如表2-1与表2-2所示。当输入信息为8比特值x=x₀·2⁴+x₁时，S盒的输出值为第x₀行x₁列的值。

表2-1 SNOW 3G算法中S盒S_R的值

表2-2 SNOW 3G算法中S盒S_Q的值

（续）

函数MULα、DIVα分别将8比特输入映射成32比特输出。设c为8比特输入，则

MULα（c）=（MULxPOW（c，23，0xA9）‖MULxPOW（c，245，0xA9）‖

（MULxPOW（c，48，0xA9）‖MULxPOW（c，239，0xA9）

DIVα（c）=（MULxPOW（c，16，0xA9）‖MULxPOW（c，39，0xA9）‖

（MULxPOW（c，6，0xA9）‖MULxPOW（c，64，0xA9）

其中，MULxPOW（V，i，c）根据整数i将16比特的输入（V，c）映射成8比特的输出值，具体如下：

当SNOW 3G初始化完成后，以如下方式生成密钥流，每次产生32比特密钥流z_t（t≥1），具体过程如下：

对t=0～n，计算

1）；

2）；

3）（R₃，R₂，R₁）=（S₂（R₂），S₁（R₁），r）；

4）z_t=F⊕s₀；

5）s₁₆=（s_0，1‖s_0，2‖s_0，3‖0x00）⊕MULα（s_0，0）⊕s₂⊕（0x00‖s_11，0‖s_11，1‖s_11，2）⊕DIVα（s_11，3）；

6）（s₁₅，s₁₄，…，s₀）=（s₁₆，s₁₅，…，s₁）。

注，z₀舍弃，z₁为第一个密钥流。

2.Trivium

Trivium是欧洲序列密码发展计划eSTREAM获选算法之一，是一种面向硬件应用的基于移位寄存器的序列密码算法。

Trivium算法结构如图2-9所示，内部由F₂上3个寄存器构成[分别为（s₁，s₂，…，s₉₃）、（s₉₄，s₉₅，…，s₁₇₇）、（s₁₇₈，s₁₇₉，…，s₂₈₈）]，密钥Key=（K₁，…，K₈₀），初始向量IV=（IV₁，…，IV₈₀）的长度均为80比特，可以生成不超过2⁶⁴比特的密钥流。Trivium算法包含初始化阶段与密钥流生成阶段。填充密钥和初始向量后，经4×288轮运算完成初始化，具体过程如下：

1）（s₁，s₂，…，s₉₃）=（K₁，…，K₈₀，0，…，0）；

2）（s₉₄，s₉₅，…，s₁₇₇）=（IV₁，…，IV₈₀，0，…，0）；

3）（s₁₇₈，s₁₇₉，…，s₂₈₈）=（0，…，0，1，1，1）；

4）对i=1到4×288，计算

a）t₁=s₆₆+s₉₁·s₉₂+s₉₃+s₁₇₁；

b）t₂=s₁₆₂+s₁₇₅·s₁₇₆+s₁₇₇+s₂₆₄；

c）t₃=s₂₄₃+s₂₈₆·s₂₈₇+s₂₈₈+s₆₉；

d）（s₁，s₂，…，s₉₃）=（t₃，s₁，s₂，…，s₉₂）；

图2-9 Trivium算法结构

e）（s₉₄，s₉₅，…，s₁₇₇）=（t₁，s₉₄，s₉₅，…，s₁₇₆）；

f）（s₁₇₈，s₁₇₉，…，s₂₈₈）=（t₂，s₁₇₈，s₁₇₉，…，s₂₈₇）。

其中，“+”和“·”均为F₂上的运算，即“异或”和“与”运算。

当初始化完成后，Trivium算法密钥流生成阶段每次产生1比特密钥流z_i，所能产生的密钥流总数N不大于2⁶⁴，具体过程如下。

对i=1到N，计算

1）t₁=s₆₆+s₉₃；

2）t₂=s₁₆₂+s₁₇₇；

3）t₃=s₂₄₃+s₂₈₈；

4）z_i←t₁+t₂+t₃；

5）t₁=t₁+s₉₁·s₉₂+s₁₇₁；

6）t₂=t₂+s₁₇₅·s₁₇₆+s₂₆₄；

7）t₃=t₃+s₂₈₆·s₂₈₇+s₆₉；

8）（s₁，s₂，…，s₉₃）=（t₃，s₁，s₂，…，s₉₂）；

9）（s₉₄，s₉₅，…，s₁₇₇）=（t₁，s₉₄，s₉₅，…，s₁₇₆）；

10）（s₁₇₈，s₁₇₉，…，s₂₈₈）=（t₂，s₁₇₈，s₁₇₉，…，s₂₈₇）。

3.ZUC

祖冲之序列密码算法（简称“ZUC算法”）是一个面向字设计的序列密码算法。2009年5月，ZUC算法获得3GPP安全算法组SA立项，正式加入3GPP LTE第三套机密性和完整性算法标准的竞选。2011年9月，ZUC正式被3GPP SA全会通过，被称为“3GPP LTE第三套加密标准核心算法”，也成为我国首个国际密码标准算法。ZUC算法于2012年成为密码行业标准，并于2016年成为我国国家标准。

ZUC算法由LFSR、比特重组（BR）和非线性函数F三部分组成，如图2-10所示。其中，LFSR序列为GF（2³¹-1）上的m序列，非线性函数采用有限状态机设计，内部包含R₁和R₂两个记忆单元，并使用扩散与混淆性质良好的线性变换与S盒。Z U C算法的初始密钥k和初始向量iv均为128比特，包含初始化阶段与密钥流生成阶段。

记初始密钥k=k₀‖k₁‖…‖k₁₅，初始向量iv=iv₀‖iv₁‖…‖iv₁₅，LFSR单元变量为s₀，s₁，…，s₁₅，其中，k_i、iv_i均为8比特，s_i为31比特，则初始化过程如下。

图2-10 ZUC算法结构

1）对0≤i≤15，s_i=k_i‖d_i‖iv_i；

2）令R₁=R₂=0；

3）对i=1到32，计算

a）X₀=s_15H‖s_14L；

b）X₁=s_11H‖s_9L；

c）X₂=s_7H‖s_5L；

d）X₃=s_2H‖s_0L；

e）（为模2³²加法）；

f）；

g）W₂=R₂⊕X₂；

h）R₁=S[L₁（W_1L‖W_2H）]；（H表示高16比特，L表示低16比特）

i）R₂=S[L₂（W_2L‖W_1H）]；

j）W=W≫1；

k）v=2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+（1+2⁸）s₀mod（2³¹-1）；

l）s₁₆=（v+W）mod（2³¹-1）；

m）如果s₁₆=0，则置s₁₆=2³¹-1；

n）（s₀，s₁，…，s₁₄，s₁₅）=（s₁，s₂，…，s₁₅，s₁₆）。

其中，密钥装载时所用到的16个15比特常数d_i的取值如下：

d₀=100010011010111，d₁=010011010111100

d₂=110001001101011，d₃=001001101011110

d₄=101011110001001，d₅=011010111100010

d₆=111000100110101，d₇=000100110101111

d₈=100110101111000，d₉=010111100010011

d₁₀=110101111000100，d₁₁=001101011110001

d₁₂=101111000100110，d₁₃=011110001001101

d₁₄=111100010011010，d₁₅=100011110101100.

32比特线性变换L₁与L₂定义如下：

L₁（X）=X⊕（X<<<2）⊕（X<<<10）⊕（X<<<18）⊕（X<<<24）

L₂（X）=X⊕（X<<<8）⊕（X<<<14）⊕（X<<<22）⊕（X<<<30）

32比特S盒由4个8比特S盒并置构成，即S=（S₀，S₁，S₀，S₁）。对于8比特x=2⁴x₀+x₁输入，S₀与S₁的输出取值分别为表2-3与2-4中第x₀行x₁列的值。

表2-3 ZUC算法中S盒S₀的输出取值

（续）

表2-4 ZUC算法中S盒S₁的输出取值

当初始化完成后，ZUC算法每次产生32比特密钥流Z_i，设生成的密钥流字的个数为L，则密钥流生成过程如下：

对i=0到L，计算

1）X₀=s_15H‖s_14L；

2）X₁=s_11H‖s_9L；

3）X₂=s_7H‖s_5L；

4）X₃=s_2H‖s_0L；

5）；

6）；

7）W₂=R₂⊕X₂；

8）R₁=S[L₁（W_1L‖W_2H）]；

9）R₂=S[L₂（W_2L‖W_1H）]；

10）Z_i=W⊕X₃；

11）v=2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+2²⁰s₄+（1+2⁸）s₀mod（2³¹-1）；

12）如果s₁₆=0，则置s₁₆=2³¹-1；

13）（s₀，s₁，…，s₁₄，s₁₅）=（s₁，s₂，…，s₁₅，s₁₆）。

注：舍弃Z₀，输出的第一个密钥流字为Z₁。