[发明专利]密码学上安全的伪随机数字发生器

权利要求书

1.一种用于操作安全的伪随机数字发生器的方法，包括：

获得一个或多个不可预测的熵源以提供种子；

通过因变于所述数字发生器的当前内状态和所述种子而修改所述内状态 来在所述数字发生器的所述内状态中累积熵；以及

基于所述数字发生器的经修改的内状态生成伪随机数；

在所述数字发生器停机之际可存储一初始化种子，其中所述初始化种子是 由所述数字发生器生成的伪随机数；以及

在所述数字发生器启动之际用所存储的初始化种子来初始化所述数字发 生器的启动内状态。

2.如权利要求1所述的方法，其特征在于，所述经修改的内状态是通过 对所述当前内状态和所述种子使用非线性反馈移位寄存器操作来获得的。

3.如权利要求1所述的方法，其特征在于，进一步包括：

将所述一个或多个不可预测熵源组合成所述种子。

4.如权利要求1所述的方法，其特征在于，所述初始化种子存储在安全 文件系统中，并且所述方法进一步包括：

在初始化所述数字发生器的所述启动内状态之前先确定所述初始化种子 的完好性是否受到危害；以及

如果所存储的初始化种子的完好性已受危害，则采用替换的不可预测源来 初始化所述数字发生器的所述启动内状态。

5.如权利要求1所述的方法，其特征在于，是使用单一密码学原语操作 来获得所述数字发生器的经修改的内状态并生成所述伪随机数。

6.如权利要求5所述的方法，其特征在于，所述单一密码学原语操作包 括二进制字操作、具有恒定偏移的比特移位操作、或查表中之一者。

7.如权利要求1所述的方法，其特征在于，进一步包括：

从所述一个或多个不可预测源连续地重新播种所述数字发生器以改变所 述数字发生器的内状态。

8.如权利要求7所述的方法，其特征在于，所述不可预测源包括具有可 量化信息的物理源。

9.如权利要求7所述的方法，其特征在于，进一步包括：

用从调用方应用接收到的新种子来重新播种所述数字发生器以改变所述 数字发生器的内状态。

10.如权利要求1所述的方法，其特征在于，所述安全的伪随机数发生器 具有非线性SOBER结构。

11.如权利要求10所述的方法，其特征在于，所述经修改的内状态是通 过以下操作来获得的：

通过与所述数字发生器的状态寄存器的当前内容作异或运算来将所述种 子加载到所述状态寄存器中，

将多个所述状态寄存器的经字移位的内容馈送至非线性函数以获得结果，

在所述结果与所述一个或多个状态寄存器之一之间执行异或运算以获得 反馈数，以及

通过将所述内容从第一状态寄存器移位至第二状态寄存器并用所述反馈 数加载第三状态寄存器来修改所述一个或多个状态寄存器。

12.如权利要求1所述的方法，其特征在于，进一步包括：

维护在各次重新播种操作之间所述一个或多个状态寄存器被移位的次数 的计数器；以及

基于所述计数器修改所述一个或多个状态寄存器之一。

13.如权利要求1所述的方法，其特征在于，进一步包括：

维护每次有伪随机数生成时就改变的间隔计数器；以及

从所述一个或多个不可预测源重新播种所述数字发生器以仅在所述间隔 计数器定义的间隔上改变所述数字发生器的内状态。

14.如权利要求13所述的方法，其特征在于，进一步包括：

在由所述间隔计数器定义的间隔上用系统时间来重新播种所述数字发生 器。

15.如权利要求1所述的方法，其特征在于，所述种子是至少128比特长， 并且所述数字发生器的内状态是18个字长寄存器。