第３８卷第 ９期 计 算 机 应 用 研 究 Ｖｏ

ｌ．３８Ｎｏ．
９
２
０２１年 ９月 Ａｐ
ｐｌｉ
ｃａｔ
ｉｏ
ｎＲｅ
ｓｅａ
ｒｃｈｏ
ｆＣｏ
ｍｐｕ
ｔｅｒ
ｓ Ｓｅｐ．２０
２１

基于随机性特征的 ＳＭ４分组密码体制识别 
纪文桃 ａ，李媛媛 ａ，秦宝东 ａ，ｂ
（西安邮电大学 ａ
．网络空间安全学院；ｂ．无线网络安全技术国家工程实验室，西安 ７
１０１
２１）

摘 要：对加密算法的识别是进行密码分析的首要工作。目前的识别方案涵盖了分组密码的识别、流密码的识
别以及对称密码和公钥密码混合算法的识别。随着国密算法的应用普及，其安全性也备受关注。针对国密算法
提出了基于随机性特征的 Ｓ Ｍ４分组密码体制识别，将国密 Ｓ Ｍ４算法与国际主要标准分组密码算法进行识别。
利用随机性测试方法对密文进行特征提取，从而得到特征向量，由这些特征向量构成特征空间，最后借助机器学
习算法对特征空间进行训练和测试。实验结果表明，Ｓ Ｍ４与其他分组密码算法的识别率高达 ９ ０％以上。后续工
作可以对分类算法和特征选取两个方向进行突破，来验证密码识别方案的有效性和可行性。
关键词：随机性测试；密码体制识别；机器学习；Ｓ Ｍ４算法；特征提取
中图分类号：ＴＰ３ ９３ 文献标志码：Ａ 文章编号：１００
１３
６９５（２
０２１）０
９０
４８
２８２
１０
４
ｄ
ｏｉ：
１０．
１９７
３４／
ｊ．ｉ
ｓｓｎ．
１００
１３
６９５．
２０２
１．０
１．０
０１９

Ｉ
ｄｅｎ
ｔｉｆ
ｉｃ
ａｔｉ
ｏｎｏ
ｆＳＭ４ｂ
ｌｏｃ
ｋｃｉ
ｐｈｅ
ｒｓｙ
ｓｔｅ
ｍｂａ
ｓｅｄｏ
ｎｒａ
ｎｄｏ
ｍｆｅ
ａｔｕ
ｒｅｓ
ａ
Ｊ
ｉＷｅ
ｎｔａ
ｏ ，ＬｉＹｕ
ａｎｙ
ｕａｎａ，Ｑｉ
ｎＢａ
ｏｄｏ
ｎｇａ
，ｂ

（ａ．Ｓｃ
ｈｏｏ
ｌｏｆＣｙ
ｂｅｒ
ｓｐａ
ｃｅＳｅ
ｃｕｒ
ｉｔ
ｙ，ｂ
．Ｎａｔ
ｉｏ
ｎａｌＥｎｇｉ
ｎｅｅ
ｒｉ
ｎｇＬａｂ
ｏｒａ
ｔｏｒ
ｙｆｏ
ｒＷｉ
ｒｅ
ｌｅｓ
ｓＳｅ
ｃｕｒ
ｉｔ
ｙ，Ｘｉ
’ａｎＵｎ
ｉｖｅ
ｒｓｉ
ｔｙｏ
ｆＰｏ
ｓｔｓ＆ Ｔｅ
ｌｅｃ
ｏｍｍｕ
ｎｉｃ
ａｔｉ
ｏｎｓ
，
Ｘｉ
’ａｎ７
１０１２
１，Ｃｈ
ｉｎａ）

Ａｂｓｔｒ
ａｃｔ：Ｔｈ ｅｉｄｅｎｔｉ
ｆｉ
ｃ ａｔ
ｉｏｎｏ ｆｅｎｃｒｙ
ｐｔｉｏ
ｎａ ｌｇ
ｏｒｉ
ｔｈｍｓｉ ｓｔｈｅｐ ｒ
ｉｍａｒｙｔａｓ
ｋｏ ｆｃｒｙｐｔａ
ｎ ａ
ｌｙｓｉ
ｓ．Ｔｈ ｅｃ ｕｒ
ｒｅｎｔｉ
ｄｅｎｔｉ
ｆｉｃ
ａｔｉ
ｏｎｓ ｃｈｅｍｅｓ
ｃｏｖ
ｅｒｔｈｅｉ ｄｅｎｔｉｆ
ｉｃａｔ
ｉｏｎｏ ｆｂｌｏｃｋｃｉｐｈｅｒ，ｔ
ｓ ｈｅｉｄｅｎｔｉ
ｆｉ
ｃ ａ
ｔｉｏｎｏｆｓｔｒ
ｅａｍｃ ｉ
ｐｈｅｒｓ，ａｎｄｔ ｈｅｉｄｅｎｔ
ｉｆ
ｉｃａｔ
ｉｏｎｏｆｈｙｂｒｉ
ｄａ ｌ
ｇｏｒｉ
ｔｈｍｓｏ ｆｓｙｍ
ｍｅｔｒ
ｉｃｃｉｐｈｅ ｒｓａｎｄｐｕｂ ｌ
ｉ ｃｋｅ ｙｃｉｐｈｅｒ
ｓ．Ｗｉ ｔ
ｈｔ ｈｅｐｏｐｕｌａｒ
ｉｚａｔ
ｉｏｎｏｆＣｈ ｉ
ｎｅｓｅｎａｔｉ
ｏｎａｌｃｒｙｐｔ
ｏｇｒａｐｈｉｃａｌｇｏ
ｒｉｔ
ｈｍｓ，ｔｈｅｉｒｓｅｃｕｒ
ｉｔｙｈａｓ
ａｌ
ｓｏａｔｔ
ｒａｃ ｔｅ
ｄｍｕｃ ｈａ ｔ
ｔｅｎｔｉ
ｏ ｎ．Ｆｏｒｔｈｅｎ ａｔ
ｉｏｎａ
ｌｓｅｃｒｅ
ｔａ ｌ
ｇｏｒｉｔ
ｈｍ，ｔ ｈｉ
ｓｐａｐｅｒｐ ｒ
ｏｐｏｓｅｄｔｈｅＳ Ｍ４ｂ ｌｏｃ
ｋｃ ｉ
ｐｈｅｒｓｙｓｔ
ｅｍｉ ｄｅｎｔ
ｉｆ
ｉｃａｔ
ｉｏｎ
ｂａｓ
ｅｄｏ ｎｒ ａｎｄｏｍｃ ｈａｒ
ａｃｔｅｒｉｓｔ
ｉｃ，ａ
ｓ ｎｄｉｄｅｎｔｉ
ｆｉ
ｅｄｔｈｅｎａ ｔｉ
ｏｎａｌｓｅｃｒｅｔＳＭ４ａ ｌｇｏｒ
ｉｔ
ｈ ｍ ｗｉｔ
ｈｔｈ ｅｍａ ｉ
ｎｉ ｎｔ
ｅｒｎａｔ
ｉｏ
ｎａｌｓｔａｎｄａｒｄｂ ｌ
ｏｃｋ
ｃｉ
ｐｈｅｒａｌｇｏ ｒ
ｉｔｈｍ．Ｉ ｔｕｓｅｄｔ ｈｅｒ ａ
ｎｄ ｏ
ｍｎｅ ｓ
ｓｔｅｓｔｍｅｔｈｏｄｔｏｐｅ ｒｆ
ｏｒｍｆｅａｔｕｒ
ｅｅ ｘｔ
ｒａｃｔ
ｉｏｎｏ ｎｔｈｅｃ ｉ
ｐｈｅｒｔ
ｅｘｔｔｏｏｂｔａｉ
ｎｆ ｅ
ａｔｕｒ
ｅｖ ｅｃｔｏ
ｒｓ．
Ｔｈｅｓ
ｅｆ ｅ
ａ ｔｕｒｅｖｅ ｃ
ｔｏｒｓｆ
ｏｒ ｍｅｄｔ ｈｅｆｅａｔ
ｕｒｅｓｐａｃｅ．Ｆｉｎａｌ
ｌｙ，ｉｔｕｓｅｄｍａ ｃｈｉ
ｎｅｌｅａｒｎｉ
ｎｇａ ｌ
ｇ ｏ
ｒｉｔ
ｈｍｓｔ ｏｔｒ
ａｉｎａｎｄｔｅｓｔｔｈｅｆｅａ
ｔｕｒｅｓｐａｃｅ．
Ｅｘｐｅｒ
ｉｍｅｎｔ ａｌｒｅｓｕｌ
ｔｓｓｈｏ ｗｔ ｈａｔｔｈｅｒｅｃ
ｏｇｎｉｔ
ｉｏｎｒａｔ
ｅｏ ｆＳＭ４ａ ｎｄｏ ｔ
ｈｅｒｂｌｏｃｋｃｉｐｈｅｒａｌ
ｇ ｏ
ｒｉｔ
ｈｍｓａ ｒｅｏｖｅｒ９０％．Ｔｈ ｉ
ｓｗｏ ｒ
ｋｐ ｒｏｖｉ
ｄｅｓ
ｎｅｗｐｏｓｓｉｂｉｌｉ
ｔｉｅｓｆｏｒｃｒｙｐｔａ
ｎ ａｌｙｓ
ｉｓａｎｄａ ｔｔｈｅｓａｍｅｔｉｍｅｉ ｎｃｒ
ｅａｓｅｓｔｈｅｄｉｖｅｒ
ｓｉｔ
ｙｏ ｆｐａｓｓｗｏｒ
ｄｉ ｄｅｎｔ
ｉｆｉ
ｃａｔ
ｉｏｎｓｃｈｅｍｅｓ．
Ｋｅｙｗｏｒ ｄｓ ：ｒ ａｎｄｏｍｎｅｓ ｓｔｅ ｓ
ｔ；ｃｏｇｎｉｔ
ｉｏｎｏｆｃｉｐｈｅ
ｒｓ ｙｓｔ
ｅｍ；ｍａ ｃｈｉ
ｎｅｌｅａｒ
ｎ ｉ
ｎｇ；ＳＭ４ａ ｌｇｏｒ
ｉｔｈｍ；ｆｅａｔｕｒ
ｅｅ ｘｔ
ｒａｃ
ｔｉｏｎ

信息安全是大数据时代以来最常见的或者说谈论最多的 序列是否随机有一定的关系。以上所提到的随机性测试指的
关键词之一。无论是对个人乃至国家而言，重要信息的安全都 就是密文序列的随机性问题。密文序列的随机性表现在其统
是第一位的。从密码分析的角度出发，众多研究者的关注点是 计方面，从而实现了保密的作用。对于不同的密码算法，其密
对各种攻击方法的探究，意在能够得到已获取密文对应的明文 文数据的统计特性也会存在相当程度的差异，借助这些统计特
或者其加密算法。而对于不同的密码体制，攻击者也会选择不 性的差异来完成对密码体制的识别。随机性是一种概率性质，
同的攻击方法进行攻击。无论是要提高密码算法的安全性还 而随机性测试可以理解为一种基于概率的测试方法，概率论中
是更好地进行密码分析的工作，对密码算法的识别都是必要 假设检验是其数学基础。近年来，信息安全、计算机软件等领
的。密码体制的识别都是利用机器学习算法把其视为模式识 域都有随机性测试的身影，而且产生了很多的随机性测试方
别的问题，与密码算法本身的安全性没有关系，也不是对密文 法，如用于密码应用程序的随机和伪随机数生成器的统计测试
信息的识别，而是基于密文的某些特征在机器学习算法的辅助 套件 ［４］，美国商务部国家标准技术协会（ＮＩ Ｓ
Ｔ）公布的 ２
００１版
［５］
下识别出密文使用了何种密码体制。目前对密码体制的识别 ＦＩ
ＰＳ Ｉ
４０２标准 和 ２ ０
１０版 ＳＰ８０
０２２标准。本文所选择的是
有两个方面：ａ）逆向分析技术 ［１～３］，即对软硬件中所用加密算 ＮＩＳＴ公布的 ２ ０１０版中应用最为广泛的组内频率检测（ｂ ｌｏ
ｃｋ
法的分析；ｂ）针对唯密文特征的密码体制识别。本文所用到 ｆ
ｒｅｑｕｅｎｃ
ｙｔｅｓｔ）、串行测试（ｓ ｅｒ
ｉａｌｔ
ｅｓｔ
）和最长 １游程测试（ｌ ｏｎ
的识别方法是基于第二个方面的。 ｇｅ
ｓｔｒｕｎｏｆ
ｏｎ
ｅ ｓｔｅｓ ）的随机分布特征 ［６］。
ｔ
在对已获取的密文进行识别之前，需要对密文数据进行特
１ 相关研究
征提取。常见的方法有统计学方法、熵检测和频域计算等，本
文特征提取使用的方法是随机性测试。从密码算法安全性的 Ｍａ
ｎｊｕ
ｌａ等人 ［７］对 １
１种密码算法所对应的密文进行了特
角度出发，其包括三个方面：ａ）支撑密码算法所需的数学基 征处理，得到了大小写等相关的熵特性、文件大小以及大写字
础；ｂ）密码算法的抗攻击能力；ｃ ）密码算法加密后的密文是否 母的相关系数八种密文特征。将这八种特征作为 １ １种密码算
［８］
随机。对于判断密码算法的设计是否存在问题，与其对应密文 法的划分属性对其进行识别。２ ０
１２年，Ｃｈ
ｏｕ等人 得到了在

收稿日期：２０２
１０１
０８；修回日期：２０２
１０３
０４ 基金项目：国家自然科学基金项目（６
１８７
２２９
２）；
青海省基础研究计划项目（２
０２０
ＺＪ
７０１）
作者简介：纪文桃（１９
９４），男，陕西榆林人，硕士研究生，主要研究方向为基于机器学习的密码体制识别（１
０４３２
３８２６
７＠ｑ
ｑ．ｃ
ｏｍ）；李媛媛
（１９９
４），女，陕西宝鸡人，硕士研究生，主要研究方向为基于机器学习的数据隐私保护；秦宝东（１
９８２），男，江苏徐州人，教授，硕导，博士，主要研
究方向为公钥密码学的基础理论与应用．
 ·２８２２· 计 算 机 应 用 研 究 第３
８卷

不同分块长度下的熵特性和符号在密文中出现的数量、基于 文本的数量至少要达到上万条。吴杨等人在其结论中也指出
１６位直方图的四种属性以及可变长度字等 １ ２种密文特征，分 该方案的密文样本量对识别率的影响还有待进一步研究。结
别在密码分组链接（ｃ ｉ
ｐｈｅｒ
ｂｌｏｃｋｃｈａｉｎｉ
ｎｇ，ＣＢＣ）和电码本（ｅ ｌ
ｅｃ 合不同的机器学习算法和密文特征提取方法，在不同的场景下
ｔｒ
ｏｎ ｉｃｃ ｏ ｄｅｂ ｏｏｋ，ＥＣＢ）两种工作模式下基于以上特征对高级加 进行密码体制识别方案的设计。无论是用什么样的方式或者
密标准（ａ ｄｖ ａ
ｎｃｅｅ ｎｃｒ
ｙｐｔ
ｉｏｎｓｔａｎｄａｒ
ｄ，ＡＥＳ）和数据加密标准（ｄ ａ 是设计什么样的识别场景，都离不开使用机器学习算法的本
ｔａｅ ｎｃ ｒｙｐｔｉ
ｏｎｓ ｔａｎｄａｒ
ｄ，ＤＥＳ）进行识别。文献［９］提出一种新的 质，即将密码体制识别看做是分类的问题。不再从理论层面出
区分类型攻击，该攻击利用多学科方法，包括语言学和信息检 发去证明这些算法在不同的场景中是否可分，而是依附于人工
索方法来 解 决 此 问 题。从 拓 扑 的 角 度 出 发，对 ＭＡＲＳ、ＲＣ６、 智能带来的便捷。
Ｒｉｊｎｄ ａｅ ｌ
、Ｓ ｅｒｐｅｎｔ和 Ｔｗｏｆｉ
ｓｈ加密的密文进行先聚类后分类，从 本文提出了基于随机性特征的 Ｓ Ｍ４分组密码体制识别，侧
而得 到 以 上 五 种 加 密 算 法 的 分 类 结 果。２ ０ １
５年，吴 杨 等 重于将国密 Ｓ Ｍ４算法与部分国际标准分组密码算法进行识别。
人 ［１０，１１］利用游程检测块内频数检测和码元频数检测的方法对 国密算法近年来的应用与发展是显而易见的，对其进行研究的
五种分组密码（ＡＥＳ、Ｃａ ｍｅｌｌ
ｉａ、ＤＥＳ、 ３ＤＥＳ、ＳＭＳ４）算法加密的密 方案也是层出不穷。为了对国密算法的安全性分析提供帮助，
文关于随机性度量值的个数进行统计，然后用 Ｋ ｍｅ
ａｎｓ聚类算 本文结合 ＮＩ ＳＴ标准中应用最为广泛的组内频率检测、 连续块测
法对五组分组密码进行初始聚类，在此基础上进一步对相同类 试和最长 １游程测试方法作为密文特征提取的方法，设计了基
中的密码算法进行识别。２ ０１６年，Ｔａ ｎ等人 ［１２］关于密钥是否 于密文特征的密码体制识别方案。实验结果表明，Ｓ Ｍ４与 ＡＥＳ、
一致设计了四种不同的场景对五种常见分组密码加以识别，其 ＤＥＳ、
３ＤＥＳ、
Ｂｌｏｗｆ
ｉｓ
ｈ、Ｃａ
ｓｔ五种算法之间的识别率不低于 ９ ０％。
采用的机器学习算法是主流的 Ｓ ＶＭ。分析结果表明，在训练 表 １从识别方案是否包含 Ｓ Ｍ４算法、是否对样本量有限
阶段 和 测 试 阶 段 选 择 相 同 的 密 钥 时，识 别 的 准 确 率 会 高 达 制等方面将本文方案与已有相关工作进行对比。从表 １可以
９０％。２ ０
１ ７年，黄良韬等人 ［１３］提出了三种簇分方式，即 ＣＭ 簇 看出，除了本文方案和文献［１ ０］方案包含 Ｓ
Ｍ４算法的识别，其
分、ＣＳ Ｎ 簇分和 ＣＳ ＢＰ簇分，并给出了三种簇分方式的定义及 余方案都未曾涉及 Ｓ Ｍ４算法。尽管文献［１ ０］方案包含对 ＳＭ４
其原理。其不再是以往单层的密码体制识别方案，引入了分层 算法的识别研究，但该方案依赖特定样本量下进行聚类识别，
的概念。对所包含的全部密码算法进行初始簇分，可簇分为古 而本文方案利用随机性测试方法对密文进行处理，将每一个随
典密码体制、公钥密码体制、序列密码体制和分组密码体制，在 机性测试方法得到的值构成一个特征向量，由此再构成特征空
此基础上，再进行单分，将同一簇中的密码算法进一步加以识 间。最后再结合有监督学习算法生成分类模型，在该模型上对
别。大多数的密码体制识别方案中，其密码算法都是基于 ＥＣＢ 测试样本集进行测试。训练样本量越大其训练模型越好，但是
工作模式的。２ ０１８年，Ｔａ ｎ等人 ［１４］提出了针对 ＣＢＣ工作模式 在测试阶段，对样本量并没有任何要求的。
的密码体制识别方案。该方案就密钥是否一致和初始向量是 表 １ 方案对比
否一致组合了四种情景，对五种分组密码算法进行了多类识别 Ｔａ
ｂ．１ Ｓｃ
ｈｅｍｅｃ
ｏｍｐａ
ｒｉｓ
ｏｎ
和一对一识别。２ ０１８年，李洪超 ［１５］提出了基于密文特征的密 识别方案
是否包含 是否生成 对样本量 识别率
Ｓ
Ｍ４算法 分类模型 是否有要求 ／
％
码算法识别研究，利用傅里叶变换、随机性测试以及熵值计算
文献［７］ 否 是 否 ７
０～７
５
等方法，对 １ １种密码算法所生成的密文进行密文特征分布分
文献［８］ 否 是 否 ４
８～８
０
析，结合集成学习对密码体制进行识别，对比了 Ｓ ＶＭ分类算法
文献［１
０］ 是 否 是 ９
０左右
和决策树单分类器。２ ０９年，赵志诚等人 ［１６］提出了基于随机
１ 文献［１
２］ 否 是 否 ４
８～９
４
森林分类算法的密码体制识别方案，利用 ＮＩ ＳＴ标准中所提供 文献［１
４］ 否 是 否 ８
３～９
６
的１ ５种随机性测试方法对六种常用加密算法加密的密文文件 本文方案 是 是 否 ９
０～９
４
进行特征提取。该方案中不单单基于这些特征对 ＡＥＳ、ＤＥＳ、
３ＤＥＳ、Ｉ ＤＥＡ、Ｂｌ ｏｗｆ
ｉｓ
ｈ以及 Ｃａ ｍｅ ｌ
ｌｉ
ａ六种算法进行了一对一的 ２ 识别方案
识别，而且还选择了在 ＥＣＢ工作模式下，对 ＡＥＳ加密的密文和
图 １为基于随机性特征的 Ｓ Ｍ４分组密码体制识别方案的
明文之间进行了识别。除此之外，对 ＡＥＳ加密的密文进行了
工作模式的识别，即 ＥＣＢ和 ＣＢＣ工作模式的识别。２ ０
２０年， 流程。整个密码体制识别模型分为两个部分：第一部分是训练
［１
７］
谈程等人 提出了基于唯密文数据的序列密码识别方案，对 阶段的操作流程，第二部分是测试阶段的操作流程。在整个流
ＲＣ４、Ａ５／ １和 Ｔｒ ｉ
ｖｉ
ｕｍ三种流密码进行识别。结果表明，在训 程中共用 ｋ种分组密码算法生成了 ｎ个密文文件，然后对这 ｎ
练阶段和测试阶段即使选择的密钥不同，也具有较高的识别准 个密文文件进行特征提取，得到每个密文文件对应的特征向
确率。２ ０２０年，王旭等人 ［１８］提出了一种基于集成学习的动态 量，记做 Ｆ＿Ｖｉ，其中 ｉ＝１，２，…，ｎ。
特征密码体制识别方案，同时也研究了不同方法下所提取的密 在训练阶段，从 ｎ个密文文件中选取 ｍ个作为训练样本
文特征对识别方案的影响。２ ０２０年，纪文桃等人 ［１９］提出了基 集，将这 ｍ个文件经过 ＮＩ ＳＴ密文特征提取器进行特征采集，
于决策树的 Ｓ Ｍ４分组密码工作模式识别，对国密算法的四种 得到对应的特征向量，由这些向量构成 ｍ维特征空间。然后
工作模式进行了识别，其识别率达到 ９ ０％以上。 将这些特征空间投入到机器学习分类器中训练，得到测试阶段
上述相关的密码体制识别方案中，涵盖了对分组密码、流 所需的训练模型。在测试阶段， 将剩余的 ｎ－ｍ＋１个密文文件
密码以及包含公钥密码的混合密码算法的识别和密码工作模 经过同训练阶段相同的步骤， 得到 ｎ－ｍ＋１维特征空间。然后
式的识别。作为国内第一个公开的商用密码分组算法标准， 将其作为训练模型的输入进行测试，最终实现加密算法（ＡＥＳ、
ＳＭ４算法在信息安全领域得到了广泛的应用。尽管有大量工 ＤＥＳ、
３ＤＥＳ、
Ｂｌｏｗｆ
ｉｓ
ｈ、Ｃａ
ｓｔ和 ＳＭ４）的识别。无论是训练阶段还
作分 析 Ｓ Ｍ４算 法 的 安 全 性，特 别 是 基 于 侧 信 道 的 分 析 技 是测试阶段， 都需要对密文文件进行特征提取。而这一工作主
术 ［２０，２１］，但是缺少对国密 Ｓ Ｍ４算法与其他国际主要标准分组 要借助于 ＮＩ ＳＴ标准所提供的测试方法， 本文中主要使用了应用
密码算法的密码体制识别研究。尽管吴杨等人基于密文随机 最为广泛的组内频率检测、 串行测试和最长 １游程测试［２２，２３］。
性度量值提出了一种国密 Ｓ Ｍ４算法与 ＡＥＳ、ＤＥＳ等国际标准 １）组内频率检测（ｆ ｒｅ
ｑｕｅｎｃ
ｙｔｅｓ
ｔｗｉ
ｔｈｉ
ｎａｂ
ｌｏｃ
ｋ） 该测试试
分组密码算法的识别方案，但是该方案在识别密码体制时，需 图通过将测试序列分解为多个不重叠的子序列，并应用卡方检
要对相同密码算法生成的密文进行初始化聚类且聚类中密文 验来将经验频率与理想值 １／ ２均匀匹配，以检测与 １的理想频
第 ９期 纪文桃，等：基于随机性特征的 Ｓ
Ｍ４分组密码体制识别 ·２８２３·

率 １／
２的局部偏差。Ｐ值表示在至少一个子串中与 １和 ０相等 ｅ
）计算
比例的较大偏差。字符串 ０和 １（或等效的 －１和 １）被分成许 ｐ
＿ｖａ
ｌｕｅ
１＝ｉ
ｇａ （２ｍ－２，ψ２
ｍｃ ｍ） （７）
多不相交的子字符串。对于每个子字符串，计算一个相对应的 ｐ
＿ｖａ
ｌｕｅ
２＝ｉ
ｇａｍｃ
（２ ｍ－３
，２ψ２
ｍ） （８）
比例。卡方统计将这些子字符串比例与理想值 １／ ２进行比较。 ３）最 长 １游 程 测 试 （ｔｅｓｔｆ
ｏｒｔｈ
ｅｌ ｏ
ｎｇｅ
ｓｔｒ
ｕｎｏ
ｆｏｎｅｓｉ
ｎａ
该统计信息称为卡方分布，其自由度等于子字符串的数量。 ｂ
ｌｏｋ） 最长连续子序列（游程）为 １的长度是可用于测试随
ｃ
机性的另一个特征。长度为 ｎ的字符串（如 ｎ＝ＭＮ）必须划分
为 Ｎ个子字符串，每个子字符串的长度为 Ｍ。根据大小为 Ｍ
的第 ｊ个子串中最长的 Ｖｊ游程的长度，选择 Ｋ＋１个类别（取
决于 Ｍ），对于这些子串中的每一个，都会评估其 ｖ ０，ｖ
１，…，ｖｋ

对应的频率（ｖ ０ ＋ｖ
１ ＋… ＋ｖｋ ＝Ｎ，属于 Ｋ＋１个选定类中的任
何子串，它的每个子串中最长 １游程的计算值）。
该检测方法的流程如下：
ａ）将序列划分为 Ｍ ｂ ｉ
ｔ长的子块。
ｂ）将每块中最长 １游程的频率 ｖ ｉ划分为类， 其中每个单
元格包含给定长度 １游程的次数，如表 ２所示。
该检测方法的步骤如下： 表 ２ 游程的分布
Ｔａ
ｂ．２ Ｄｉｓ
ｔｒ
ｉｂｕ
ｔｉｏ
ｎｏｆｒ
ｕｎｓ
ａ）将 ｎｂ
ｉｔ长的原始序列按 Ｍ ｂ ｉ
ｔ长分割成 Ｎ个子块，即
ｖ
ｉ Ｍ＝８ Ｍ＝１
２８ ０４
Ｍ＝１ ｖ
ｉ Ｍ＝８ Ｍ＝１
２８ ０４
Ｍ＝１
Ｎ＝?ｎ／Ｍ」。如果有剩余位，直接忽略。
ｖ
０ ≤１ ≤４ ０
≤１ ｖ
４ ８ １
４
ｂ）使用 公 式 确 定 每 个 Ｍ 位 块 中 １的 比 例 πｉ。 πｉ ＝ ｖ ２ ５ １
１ ｖ １
５
１ ５ ≥９
Ｍ
（∑ε（ｉ－１）Ｍ＋ｊ
）／Ｍ（１≤ｉ
≤Ｍ）；ε为被测试的随机序列。 ｖ
２ ３ ６ １
２ ｖ
６ ６
≥１
＝１
ｊ
ｖ
３ ≥４ ７ １
３
Ｎ
２ ２ １ ２
ｃ
）计算 χ 统计。χ（ｏ
ｂｓ）＝４Ｍ∑ （πｉ－ ），其表示序列 Ｋ
ｉ＝１ ２ ｃ ２
）计算 χ（ｏ
ｂｓ）＝∑ （ｖ
ｉ－Ｎ
２
πｉ） ／（Ｎπｉ），Ｋ和 Ｎ的取值如
ｉ＝１
中 １的占比与 １／
２的接近程度。
２
表 ３所示。
Ｎ χ （ｏｂ
ｓ）
ｄ）计算 ｐ＿ｖ
ａｌｕ
ｅ值。ｐ＿ｖ
ａｌｕ
ｅ＝ｉ
ｇａ
２
，
ｍｃ
２
，当考 ( ) Ｔａ
ｂ．
表 ３ Ｋ和 Ｎ的取值
３ Ｔｈｅｖ
ａｌｕ
ｅｏｆＫａ
ｎｄＮ
虑零假设时，所选检验统计量将采用等于或小于观察到的检验 Ｍ Ｋ Ｎ
统计量值的概率（在随机性零假设下）。ｐ＿ｖ ａｌ
ｕｅ值通常称为 ８ ３ １
６
“尾部概率”，ｉ
ｇａｍｃ是 Ｑ（ａ，ｘ
）的不完全伽马函数。 １
２８ ５ ４
９
Γ（ａ，ｘ
） １ ∞ ０４
１ ６ ７
５
Ｑ（ａ，ｘ
）≡ ≡
Γ（ａ） Γ（ａ） ∫ｅ ｔ
ｘ
－ｔａ－１
ｄｔ
ｄ）计算
∞
Γ（ａ）＝ ∫ｔ
０
ａ－１ －ｔ
ｅ ｄｔ （１）
ｐ
＿ｖａ
ｌｕｅ＝ｉ
ｇａｍｃ ( ，
２
Ｋ χ（ｏｂｓ
）
) （９）
２ ２
２）串行测试（ｓ
ｅｒｉ
ａｌｔ
ｅｓｔ
） （通用）串行测试代表了一系列
基于测试给定长度的模式分布的均匀性程序。该方法重在测 ３ 实验结果与分析
试 ｍ位重叠的序列模式在整个序列中发生的频率，所有 ｍ位
重叠的情况达到 ２ｍ 种。需要确定随机序列预期发生的次数是 本实 验 所 要 用 到 的 工 具 有 ＧｍＳ
ＳＬ、Ｏｐｅｎ
ＳＳＬ、ＶｓＣｏ
ｄｅ和
否同所有重叠序列发生的次数相同，而这是具有一致性的，即 ＮＩ
ＳＴ随机性测试包。通过 ＧｍＳ Ｓ
Ｌ得到 Ｓ Ｍ４算法加密的密文
其发生的机会是一样的。 文件，用 ＯｐｅｎＳＳＬ获得 ＡＥＳ、ＤＥＳ、３ＤＥＳ、Ｂｌｏ
ｗｆｉ
ｓｈ、Ｃａ
ｓｔ五种分
该检测方法的过程如下： 组密码算法加密的密文文件。所有分组密码算法都选择 ＣＢＣ
ａ）形成增强序列 ε′。通过将前 ｍ－１位附加到序列的末 工作模式，而且训练阶段和测试阶段对同一密码算法加密的密
尾以扩展成 ｎ长的序列。 文文件使用相同的密钥。在此基础上，利用 ＮＩ ＳＴ随机性测试
ｂ）确定所有可能的重叠 ｍ位块，所有可能的重叠（ｍ－１） 包对这些密文文件进行特征提取，将得到的特征构成特征向
位块和所有可能的重叠（ｍ－２）位块的频率。设 Ｖｉ１…ｉｍ表示 ｍ 量。最后由 Ｖｓ Ｃｏｄ
ｅ实现的机器学习分类算法进行分类，实现
本文方案的基本诉求。在进行密文特征处理时，需要设置相应
位模式 ｉ
１…ｉ
ｍ 的频率，令 Ｖｉ１…ｉｍ表示（ｍ－１）位模式 ｉ
１…ｉ
ｍ－１的
的参数。不同的测试方法所对应的取值范围如表 ４所示，其中
频率，令 Ｖｉ１…ｉｍ－２表示（ｍ－２）位模式 ｉ
１…ｉ
ｍ－２的频率。
非重叠测试和重叠测试为了有更好的实验效果，有特定的常规
ｃ
）计算
取值，其他方法则根据具体情况选择即可。根据在这些范围中
２ｍ ｎ ２ｍ
ψ２
ｍ＝ ∑ （ｖ － ）２ ＝ ∑ ｖ ２
－ｎ （２） 选择不同的值，可以得到不同的特征标量，从而丰富特征向量。
ｎｉ１…ｉｍ ｉ１…ｉｍ ２ｍ ｎｉ１…ｉｍ ｉ１…ｉｍ
表 ４ 参数的取值范围
２ｍ－１ ｎ ２ ２ｍ－１
ψ２
ｍ－１ ＝ ∑ （ｖ － ）＝ ∑ ｖ ２
－ｎ Ｔａ
ｂ．４ Ｐａ
ｒａｍｅ
ｔｅｒｖ
ａｌｕ
ｅｒａ
ｎｇｅ
ｎ ｉ１…ｉｍ－１ ｉ１…ｉｍ－１ ２ｍ－１ ｎ ｉ１…ｉｍ－１ ｉ１…ｉｍ－１
测试方法 分组长度取值 常规取值
（３）
组内频率检测 Ｍ≥２
０ —
ｍ－２ ｍ－２
２ ｎ ２ ２
ψ２
ｍ－２ ＝ ∑ （ｖ － ）＝ ２
∑ ｖ －ｎ 非重叠块测试 ２≤ｍ≤１０ ｍ＝９或 ｍ＝１
０
ｎ ｉ１…ｉｍ－２ ｉ１…ｉｍ－２ ２ｍ－２ ｎ ｉ
１…ｉ
ｉ１…ｉ
ｍ－２
ｍ－２
重叠块测试 ｍ≈ｌｏ
ｇ２Ｍ ｍ＝９或 ｍ＝１
０
（４） ｍ＜?ｌ
ｏｇ
近似熵检测 ２ｎ」－５ —
ｄ）计算 串行测试 ｍ＜?ｌ
ｏｇ２ｎ」－２ —
ψ２
ｍ ＝ψ
２
ｍ －ψ
２
ｍ－１ （５） 线性复杂度测试 ５
００≤Ｍ≤５
０００ —

２ψ２
ｍ ＝ψ
２
ｍ －２ψ２
ｍ－１ ＋ψ
２
ｍ－２ （６） 特征向量是由组内频率测试、串行测试和最长 １游程测试
 ·２８２４· 计 算 机 应 用 研 究 第３
８卷

的ｐ ＿ｖａｌ
ｕｅ值构成的，其中组内频率测试分别取其 １ ２８位分组 类算法加以改进。
长度和 ６ ４位分组长度对应的 ｐ ＿ｖａｌ
ｕｅ值。 参考文献：
本文分别对 Ｓ Ｍ４、ＡＥＳ、ＤＥＳ、
３ＤＥＳ、Ｂｌ
ｏｗｆｉ
ｓｈ和 Ｃａ
ｓｔ的密文 ［１］ 李继中，尹青．基于 Ｂａ
ｙｅｓ决策的密码算法识别技术［Ｊ
］．计算机
文件进行随机性测试分析，得到这些分组算法密文文件在四种 工程，
２００８，
３４（２
０）：
１５９
１６０，
１６３．（ＬｉＪ
ｉｚｈ
ｏｎｇ
，Ｙｉ
ｎＱｉ
ｎｇ．Ｃｒ
ｙｐｔ
ｏ
测试情况下的 ｐ ＿ｖ
ａｌｕｅ值。这些值由随机性测试实验得到，为 ｇ
ｒａｍａ
ｌｇｏ
ｒｉｔ
ｈｍｒ
ｅｃｏ
ｇｎｉ
ｔｉ
ｏｎｔ
ｅｃｈｎ
ｏｌｏ
ｇｙｂａ
ｓｅｄｏ
ｎＢａ
ｙｅｓｄｅ
ｃｉｓ
ｉｏｎ
ｍａｋｉ
ｎｇ
介于 ０～１的随机值。密码算法在不同 ｐ ＿ｖａｌ
ｕｅ值下的分布如 ［Ｊ
］．Ｃｏｍｐｕｔ
ｅｒＥｎｇｉ
ｎｅｅｒ
ｉｎｇ，
２００
８，３４（２０）：
１５９
１６０，
１６３．）
图 ２所示。其中，ＢＦ表示分组长度为 １ ２８位的组内频率测试 ［２］ 张经纬，舒辉，蒋烈辉，等．公钥密码算法识别技术研究［Ｊ
］．计算
下的 ｐ ＿ｖａｌ
ｕｅ值，Ｂｆ１表示分组长度为 ６ ４位的组内频率测试所 机工程 与 设 计，２
０１１，３２（１
０）：３
２４３３
２４６．（Ｚｈ
ａｎｇＪ
ｉｎｇ
ｗｅｉ
，Ｓｈ
ｕ
对应的 ｐ ＿ｖａｌ
ｕｅ值，Ｓ表示串行测试的 ｐ ＿ｖａｌ
ｕｅ值，以及 ＬＲ表示 Ｈｕｉ
，Ｊｉ
ａｎｇＬｉ
ｅｈｕ
ｉ，ｅ
ｔａｌ
．Ｒｅ
ｓｅａ
ｒｃｈｏ
ｎｐｕ
ｂｌｉ
ｃｋｅ
ｙ’ｓｃ
ｒｙｐｔ
ｏｇｒ
ａｐｈ
ｙａｌ
ｇｏ
最长 １游程测试的 ｐ ＿ｖａｌ
ｕｅ值。 ｒ
ｉｔ
ｈｍｒ
ｅｃｏ
ｇｎｉ
ｔｉ
ｏｎｔ
ｅｃｈ
ｎｏｌ
ｏｇｙ［Ｊ
］．Ｃｏｍｐｕｔ
ｅｒＥｎｇｉ
ｎｅｅｒ
ｉｎｇａｎｄＤｅ
ｓｉ
ｇｎ，
２０１１，
３２（１０）：
３２４
３３
２４６．）
［３］ 李继中，蒋烈辉，舒辉，等．基于动态循环信息熵的密码函数筛选
技术 ［Ｊ］．计 算 机 应 用，２
０１４，３４（４）：１
０２５１
０２８，１
０３３．（Ｌｉ
Ｊ
ｉｚｈｏ
ｎｇ，Ｊ
ｉａｎｇＬｉ
ｅｈｕ
ｉ，ＳｈｕＨｕ
ｉ，ｅ
ｔａｌ
．Ｔｅ
ｃｈｎ
ｉｑｕ
ｅｏｆｃ
ｒｙｐｔ
ｏｇｒ
ａｐｈ
ｉｃ
ｆ
ｕｎｃ
ｔｉ
ｏｎｆ
ｉｌ
ｔｒ
ａｔｉ
ｏｎｂ
ａｓｅ
ｄｏｎｄｙ
ｎａｍｉ
ｃｌｏ
ｏｐｉ
ｎｆｏ
ｒｍａ
ｔｉ
ｏｎｅ
ｎｔｒ
ｏｐｙ［Ｊ
］．
Ｊｏｕｒ
ｎａｌｏｆＣｏｍｐｕｔ
ｅｒＡｐｐｌ
ｉ
ｃａｔ
ｉ
ｏｎｓ，２
０１４，３４（４）：１
０２５１０２
８，
１０
３３．）
［４］ Ｒｕｋｈ
ｉｎＡ，Ｓｏ
ｔｏＪ
，Ｎｅ
ｃｈｖ
ａｔａ
ｌＪ．Ａｓ
ｔａｔ
ｉｓ
ｔｉ
ｃａｌｔ
ｅｓｔｓ
ｕｉｔ
ｅｆｏ
ｒｒａ
ｎｄｏ
ｍａｎｄ
ｐｓ
ｅｕｄ
ｏｒａ
ｎｄｏ
ｍｎｕ
ｍｂｅ
ｒｇｅ
ｎｅｒ
ａｔｏ
ｒｓｆ
ｏｒｃ
ｒｙｐ
ｔｏｇ
ｒａｐ
ｈｉｃａ
ｐｐｌ
ｉｃ
ａｔｉ
ｏｎｓ
，ＳＰ
８００
２２［Ｒ］．
２００
１．
［５］ ＦＩ
ＰＳＰＵＢ１
４０
２２
００１，Ｓ
ｅｃｕ
ｒｉｔ
ｙｒｅ
ｑｕｉ
ｒｅｍｅ
ｎｔｓｆ
ｏｒｃ
ｒｙｐｔ
ｏｇｒ
ａｐｈｉ
ｃｍｏ

ｄｕｌ
ｅｓ［Ｓ］．Ｗａ
ｓｈｉ
ｎｇｔ
ｏｎＤＣ：Ｎａ
ｔｉ
ｏｎａ
ｌＩｎ
ｓｔｉ
ｔｕｔ
ｅｏｆＳ
ｔａｎ
ｄａｒ
ｄｓａ
ｎｄＴｅ
ｃｈ
ｎｏ
ｌｏｇ
ｙ，２００１．
［６］ Ｓｐｅ
ｃｉａ
ｌｐｕ
ｂｌｉ
ｃａｔ
ｉｏ
ｎ８００
２２ｒ
ｅｖｉ
ｓｉ
ｏｎ１ａ
［Ｓ］．Ｗａ
ｓｈｉ
ｎｇｔ
ｏｎＤＣ：Ｎａ
ｔｉ
ｏｎａ
ｌ
Ｉ
ｎｓｔ
ｉｔ
ｕｔｅｏ
ｆＳｔ
ａｎｄ
ａｒｄｓａ
ｎｄＴｅ
ｃｈｎ
ｏｌｏ
ｇｙ，
２０１
０．
完成以上工作，需要对得到的特征空间在 Ｖｓ Ｃｏｄｅ提供的 ［７］ Ｍａ
ｎｊｕｌ
ａＲ，Ａｎ
ｉｔｈ
ａＲ．Ｉ
ｄｅｎ
ｔｉｆ
ｉｃ
ａｔｉ
ｏｎｏ
ｆｅｎ
ｃｒｙ
ｐｔｉ
ｏｎａ
ｌｇｏ
ｒｉｔ
ｈｍｕ
ｓｉｎｇｄｅ

Ｃ４．５算法下进行分类。如表 ５所示，首先进行了 Ｓ Ｍ４与 ＡＥＳ、 ｃ
ｉｓｉ
ｏｎｔ
ｒｅｅ［Ｊ
］．Ａｄｖａｎｃ
ｅｄＣｏｍｐｕｔ
ｉ
ｎｇＣｏｍｍｕｎｉ
ｃａｔ
ｉ
ｏｎｓｉ
ｎＣｏｍ
ＤＥＳ、３ＤＥＳ、Ｂｌ
ｏｗｆ
ｉｓ
ｈ、Ｃａ
ｓｔ五种算法之间的识别，其识别的准确 ｐｕｔ
ｅｒａｎｄＩ
ｎｆｏｒ
ｍａｔ
ｉ
ｏｎＳｃ
ｉｅｎｃ
ｅ，２
０１１，
１３３（３）：
２３７
２４６．

率高达 ９ ０％以上。在识别过程中，训练阶段和测试阶段的密 ［８］ Ｃｈｏ

ｕＪｕｎｗｅ
ｉ，Ｌｉ
ｎＳｈｏ
ｕｄｅ
，Ｃｈ
ｅｎｇＣｈ
ｅｎｍｏ
ｕ．Ｏｎｔ
ｈｅｅ
ｆｆ
ｅｃｔ
ｉｖ
ｅｎｅ
ｓｓｏ
ｆ
ｕｓ
ｉｎｇｓ
ｔａｔ
ｅｏ
ｆｔ
ｈｅ
ａｒｔｍａ
ｃｈｉ
ｎｅｌ
ｅａｒ
ｎｉｎ
ｇｔｅ
ｃｈｎ
ｉｑｕ
ｅｓｔ
ｏｌａ
ｕｎｃ
ｈｃｒ
ｙｐｔ
ｏ
钥空间是一致的，并且所有分组算法都是在 ＣＢＣ模式下工作。
ｇ
ｒａｐ
ｈｉｃｄｉ
ｓｔ
ｉｎｇ
ｕｉｓ
ｈｉｎ
ｇａｔ
ｔａ
ｃ ［Ｃ］／／
ｋｓ Ｐｒｏ
ｃｏｆｔ
ｈｅ５ｔ
ｈＡＣＭ Ｗｏ
ｒｋｓ
ｈｏｐ
表５ Ｓ Ｍ４与五种算法的识别
Ｔａ
ｂ．５ Ｉ
ｄｅｎｔ
ｉｆ
ｉｃ
ａｔｉ
ｏｎｏ
ｆＳＭ４ａ
ｎｄｆ
ｉｖ
ｅａｌ
ｇｏｒ
ｉｔ
ｈｍｓ ｏ
ｎＳｅ
ｃｕｒ
ｉｔ
ｙａｎ
ｄＡｒ
ｔｉ
ｆｉ
ｃｉ
ａｌＩ
ｎｔｅ
ｌｌ
ｉｇ
ｅｎｃ
ｅ．Ｎｅ
ｗＹｏ
ｒｋ：ＡＣＭ Ｐｒ
ｅｓｓ
，２０
１２：
密码算法 密钥是否一致 识别率 ／
％ 工作模式 １０
５１１
０．
Ｓ
Ｍ４ｖ
ｓＡＥＳ 是 ９
０．０
０ ＣＢＣ ［９］ ＤｅＳ
ｏｕｚ
ａＷ，Ｔｏ
ｎｌｉ
ｎｓｏ
ｎＡ．Ａｄ
ｉｓｔ
ｉｎｇ
ｕｉｓ
ｈｉｎ
ｇａｔ
ｔａ
ｃｋｗｉ
ｔｈａｎｅ
ｕｒａ
ｌｎｅ
ｔ
Ｓ
Ｍ４ｖ
ｓＤＥＳ 是 ９
１．６
７ ＣＢＣ ｗｏ
ｒｋ［Ｃ］／／
Ｐｒｏ
ｃｏｆｔ
ｈｅ１
３ｔｈＩ
ＥＥＥＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＣｏ
ｎｆｅ
ｒｅｎｃ
ｅｏｎＤａ
ｔａ
Ｓ
Ｍ４ｖ
ｓ３ＤＥＳ 是 ９
２．８
５ ＣＢＣ Ｍｉ
ｎｉｎｇＷｏ
ｒｋｓ
ｈｏｐ
ｓ．Ｗａ
ｓｈｉ
ｎｇｔ
ｏｎＤＣ：Ｉ
ＥＥＥ Ｃｏ
ｍｐｕ
ｔｅｒＳ
ｏｃｉ
ｅｔ
ｙ，２０
１３：
Ｓ
Ｍ４ｖ
ｓＢｌ
ｏｗｆ
ｉｓ
ｈ 是 ９
０．４
７ ＣＢＣ １５
４１６
１．
Ｓ
Ｍ４ｖ
ｓＣａ
ｓｔ 是 ９
４．４
４ ＣＢＣ ［１
０］吴杨，王韬，李进东．分组密码算法密文的统计检测新方法研究
其次，本文还对 ＡＥＳ、ＤＥＳ、３ＤＥＳ、Ｂｌ
ｏｗｆ
ｉｓ
ｈ、Ｃａ
ｓｔ五种经典 ［Ｊ
］．军械工程学院学报，２
０１５，２７（３）：５
８６４．（ＷｕＹａ
ｎｇ，Ｗａ
ｎｇ
分组算法进行了两两识别，其识别结果如表 ６所示。其中，除 Ｔａ
ｏ，ＬｉＪ
ｉｎｄｏ
ｎｇ．Ｒｅ
ｓｅａ
ｒｃｈｏ
ｎａｎ
ｅｗｍｅ
ｔｈｏ
ｄｏｆｓ
ｔａｔ
ｉｓ
ｔｉ
ｃａｌｄｅ
ｔｅｃ
ｔｉ
ｏｎｏ
ｆ
ＤＥＳ和 ＤＥＳ
３的识别率为 ８ １．８２％，其余算法之间的识别率均 ｂｌ
ｏｃｋｃ
ｉｐｈｅ
ｒａｌ
ｇｏｒ
ｉｔ
ｈｍｃ
ｉｐｈ
ｅｒｔ
ｅｘｔ
［Ｊ］．Ｊ
ｏｕｒ
ｎａｌｏｆＯｒ
ｄｎａｎｃｅＥｎｇｉ

ｎｅｅｒ
ｉ ｅｇｅ，
ｎｇＣｏｌ
ｌ ２０１
５，２７（３）：
５８
６４．）
在８ ５％以上。
［１１］吴杨，王韬，邢萌，等．基于密文随机性度量值分布特征的分组密
表 ６ 五种算法的相互识别
Ｔａ
ｂ．６ Ｍｕｔ
ｕａｌｒ
ｅｃｏ
ｇｎｉ
ｔｉ
ｏｎｏ
ｆｆｉ
ｖｅａ
ｌｇｏ
ｒｉｔ
ｈｍｓ 码算法识 别 方 案 ［Ｊ
］．通 信 学 报，２
０１５，３６（４）：１
４７１
５５．（Ｗｕ
密码算法 工作模式 正确率 ／
％ 密码算法 工作模式 正确率 ／
％ Ｙａ
ｎｇ，Ｗａ
ｎｇＴａ
ｏ，Ｘｉ
ｎｇＭｅ
ｎｇ，ｅ
ｔａｌ
．Ｒｅ
ｃｏｇ
ｎｉｔ
ｉｏ
ｎｓｃ
ｈｅｍｅｏ
ｆｂｌ
ｏｃｋｃ
ｉ
ＡＥＳｖ
ｓＤＥＳ ＣＢＣ ９
０．９
１ ＤＥＳｖ
ｓＢｌ
ｏｗｆ
ｉｓ
ｈ ＣＢＣ ８
６．６
７ ｐｈｅ
ｒａｌ
ｇｏｒ
ｉｔ
ｈｍｂ
ａｓｅ
ｄｏｎｄ
ｉｓｔ
ｒｉ
ｂｕｔ
ｉｏ
ｎｃｈ
ａｒａ
ｃｔｅ
ｒｉｓ
ｔｉ
ｃｓｏ
ｆｃｉ
ｐｈｅ
ｒｔｅ
ｘｔｒ
ａｎ
ＡＥＳｖ
ｓ３ＤＥＳ ＣＢＣ ９
１．６
７ ＤＥＳｖ
ｓＣａ
ｓｔ ＣＢＣ ９
２．８
６ ｄｏ
ｍｎｅ
ｓｓｍｅ
ａｓｕ
ｒｅｖ
ａｌｅ［Ｊ
ｕ ］．Ｊ
ｏｕｒ
ｎａｌｏｆＣｏｍｍｕｎｉ
ｃａｔ
ｉ
ｏｎｓ，２
０１５，３６
ＡＥＳｖ
ｓＢｌ
ｏｗｆ
ｉｓ
ｈ ＣＢＣ ８
５．７
１ ３ＤＥＳｖ
ｓＢｌ
ｏｗｆ
ｉｓ
ｈ ＣＢＣ ９
３．３
３ （４）：
１４７
１５５．）
ＡＥＳｖ
ｓＣａ
ｓｔ ＣＢＣ ９
２．３
１ Ｂｌ
ｏｗｆ
ｉｓ
ｈｖｓＣａ
ｓｔ ＣＢＣ ９
３．７
５ ［１
２］Ｔａ
ｎＣｈｅ
ｎｇ，Ｊ
ｉＱｉ
ｎｇｂ
ｉｎｇ
．Ａｎａ
ｐｐｒ
ｏａｃ
ｈｔｏｉ
ｄｅｎ
ｔｉｆ
ｙｉ
ｎｇｃ
ｒｙｐ
ｔｏｇ
ｒａｐ
ｈｉｃａ
ｌ
ＤＥＳｖ
ｓ３ＤＥＳ ＣＢＣ ８
１．８
２ ｇ
ｏｒｉ
ｔｈｍｆ
ｒｏｍｃ
ｉｐｈ
ｅｒｔ
ｅｘｔ
［Ｃ］／／
Ｐｒｏ
ｃｏｆｔ
ｈｅ８ｔ
ｈＩＥＥＥＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＣｏ
ｎ
ｆ
ｅｒｅ
ｎｃｅｏ
ｎＣｏ
ｍｍｕ
ｎｉｃ
ａｔｉ
ｏｎＳ
ｏｆｔ
ｗａｒ
ｅａｎｄＮｅ
ｔｗｏ
ｒｋｓ
．Ｐｉ
ｓｃａ
ｔａｗａ
ｙ，ＮＪ
：
４ 结束语 Ｉ
ＥＥＥＰｒ
ｅｓｓ
，２０
１６：
１９
２３．
［１３］黄良韬，赵志诚，赵亚群．基于随机森林的密码体制分层识别方案
本文提出了一种基于随机性特征的 Ｓ Ｍ４分组密码体制识
［Ｊ
］．计算机学报，２
０１８，４１（２）：３
８２３
９９．（Ｈｕａ
ｎｇＬｉ
ａｎｇ
ｔａｏ
，Ｚｈａ
ｏ
别方案，不仅对 ＳＭ４与 ＡＥＳ、ＤＥＳ、３ＤＥＳ、Ｂｌｏ
ｗｆｉ
ｓｈ、Ｃａ
ｓｔ这五种 Ｚｈｉ
ｃｈｅ
ｎｇ，Ｚｈ
ａｏＹａ
ｑｕｎ．Ｈｉ
ｅｒａ
ｒｃｈ
ｉｃａ
ｌｒｅ
ｃｏｇ
ｎｉｔ
ｉｏ
ｎｓｃ
ｈｅｍｅｏ
ｆｃｒ
ｙｐｔ
ｏｓｙ
ｓ
算法进行了识别，而且还将这五种经典的分组算法进行了两两 ｔ
ｅｍｂａ
ｓｅｄｏ
ｎｒａ
ｎｄｏ
ｍｆｏ
ｒｅｓ
ｔ［Ｊ
］．Ｃｈｉ
ｎｅｓｅＪ
ｏｕｒ
ｎａｌｏｆＣｏｍｐｕｔ
ｅｒｓ，
识别。Ｓ Ｍ４与其他算法的识别率高达 ９ ０％以上，而在五种算 ２０
１８，
４１（２）：
３８２
３９９．）
法相互识别中，有三组密码算法的识别率在 ８ ０％ ～９０％，其余 ［１
４］Ｔａ
ｎＣｈ
ｅｎｇ
，Ｄｅ
ｎｇＸｉ
ａｏｙ
ａｎ，Ｚｈａ
ｎｇＬｉ
ｊｕｎ．Ｉ
ｄｅｎｔ
ｉｆ
ｉｃ
ａｔｉ
ｏｎｏ
ｆｂｌ
ｏｃｋｃ
ｉ
均在 ９
０％以上。在后续的研究工作中，需要对密文特征的选 ｐｈｅ
ｒｓｕ
ｎｄｅ
ｒＣＢＣ ｍｏ
ｄｅ［Ｊ
］．Ｐｒ
ｏｃｅｄｉ
ａＣｏｍｐｕｔ
ｅｒＳｃ
ｉｅｎｃｅ，２０
１８，
取以及特征之间是否相互影响等角度加以考虑，或者对目前分 １３１：
６５
７１． （下转第 ２８
３０页）
·２８３０· 计 算 机 应 用 研 究 第３
８卷

分析攻击下的安全性。首先选择了一条 １ ３轮截断不可能差分 ２ ９：
０１ ５０
６６．
区分器，在此基础上，在顶部增加 ３轮，在底部增加 ５轮，构成 ［７］ Ａｈｍａ
ｄｉＳ，Ａｒ
ｅｆＭＲ．Ｇｅ
ｎｅｒ
ａｌｉ
ｚｅｄｍｅ
ｅｔｉ
ｎｔｈ
ｅｍｉ
ｄｄｌ
ｅｃｒ
ｙｐｔ
ａｎａ
ｌｙｓ
ｉｓｏ
ｆ
了２ １轮 ＣＲＡＦＴ的不可能差分分析攻击路径，该路径运用了 ｂ
ｌｏｃ
ｋｃｉ
ｐｈｅ
ｒｓｗｉ
ｔｈａ
ｎａｕ
ｔｏｍａ
ｔｅｄｓ
ｅａｒ
ｃｈａ
ｌｇｏ
ｒｉｔ
ｈｍ［Ｊ
］．Ｉ
ＥＥＥＡｃ
ｃｅｓｓ，
２０１
９，８：
２２８
４２
３０１．
５２ｂｉ
ｔ的轮密钥的线性关系，是所给的 １ ２条不可能差分链中
［８］ Ｍｏ
ｇｈａ
ｄｄａ
ｍ ＡＨ Ｅ，Ａｈ
ｍａｄ
ｉａｎＺ．Ｎｅ
ｗａｕ
ｔｏｍａ
ｔｉ
ｃｓｅ
ａｒｃ
ｈｍｅ
ｔｈｏ
ｄｆｏ
ｒ
攻击效果最好的一条路径；再结合预计算表技术进行时间 ／ 存
ｔ
ｒｕｎ
ｃａｔ
ｅｄ
ｄｉｆ
ｆｅ
ｒｅｎ
ｔｉａ
ｌｃｈ
ａｒａ
ｃｔｅ
ｒｉｓ
ｔｉ
ｃｓａ
ｐｐｌ
ｉｃ
ａｔｉ
ｏｎｔ
ｏＭｉ
ｄｏｒ
ｉ，Ｓ
ＫＩＮＮＹ
储／数据权衡，提出了对 ２ １轮 ＣＲＡＦＴ的不可能差分分析，攻击
ａ
ｎｄＣＲＡＦＴ［Ｊ
］．ＴｈｅＣｏｍｐｕｔ
ｅｒＪ
ｏｕｒ
ｎａｌ
，２０
２０，
６３（１
２）：
１８１
３１
８２５．
需要的数据复杂度为 ２５３．６个选择明文，时间复杂度为 ２９６．７４次
［９］ Ｄｕｎｋ
ｅｌｍａ
ｎＯ，Ｋｅ
ｌｌ
ｅｒＮ，Ｓ
ｈａｍｉ
ｒＡ．Ｉ
ｍｐｒ
ｏｖｅ
ｄｓｉ
ｎｇｌ
ｅｋ
ｅｙａ
ｔｔ
ａｃｋｓｏ
ｎ
加密，存储复杂度为 ２５６．６ ６
４比特块。此攻击是在单密钥和单 ８
ｒｏｕｎｄＡＥＳ
１９２ａ
ｎｄＡＥＳ
２５６［Ｃ］／／
Ａｄｖ
ａｎｃ
ｅｓｉ
ｎＣｒ
ｙｐｔ
ｏｌ
ｏｇｙ
ＡＳＩ
Ａ
调柄值情形下对缩减轮 ＣＲＡＦＴ的时间复杂度最低的分析结 ＣＲＹＰＴ．Ｂｅ
ｒｌｉ
ｎ：Ｓ
ｐｒｉ
ｎｇｅ
ｒ，２
０１０：
１５８
１７６．
果，该方法依赖于调柄值调度算法的线性相关，表明了其对 ［１
０］ＬｉＬｅ
ｉｂｏ
，Ｊｉ
ａＫ，Ｗａ
ｎｇＸｉ
ａｏｙ
ｕｎ．Ｉ
ｍｐｒ
ｏｖｅ
ｄｓｉ
ｎｇｌ
ｅｋ
ｅｙａ
ｔｔ
ａｃｋ
ｓｏｎ９
ＣＲＡＦＴ整体安全性的影响，有助于更进一步理解 ＣＲＡＦＴ的设 ｒ
ｏｕｎ
ｄＡＥＳ１
９２／
２５６［Ｃ］／／
Ｐｒｏ
ｃｏｆＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＷｏ
ｒｋｓ
ｈｏｐｏ
ｎＳｏ
ｆｔ

计，为日后在实际环境中的安全使用提供理论依据。通过研究 ｗａ
ｒｅＥｎ
ｃｒｙ
ｐｔｉ
ｏｎ．Ｂｅ
ｒｌｉ
ｎ：Ｓｐ
ｒｉｎｇ
ｅｒ，
２０１
５：１
２７
１４６．
本文的攻击过程发现改变区分器输入 ／ 输出活动半字节的个数 ［１
１］Ｂｉ
ｈａｍＥ，Ｂｉ
ｒｙｕｋ
ｏｖＡ，Ｓ
ｈａｍｉ
ｒＡ．Ｃｒ
ｙｐｔ
ａｎａ
ｌｙｓ
ｉｓｏ
ｆｓｋ
ｉｐｊ
ａｃｋｒ
ｅｄｕｃ
ｅｄ
限制，会产生不同的截断差分模式，调柄值的加入也会影响中 ｔ
ｏ３１ｒ
ｏｕｎ
ｄｓｕｓ
ｉｎｇｉ
ｍｐｏ
ｓｓｉ
ｂｌｅｄ
ｉｆｆ
ｅｒｅ
ｎｔｉ
ａｌ
ｓ［Ｃ］／／
Ａｄｖ
ａｎｃ
ｅｓｉ
ｎＣｒ
ｙｐｔ
ｏ

间状态的扩散速度。因此，未来可以通过加入适当的调柄值， ｌ
ｏｇｙ
—ＥＵＲＯＣＲＹＰＴ．Ｂｅ
ｒｌｉ
ｎ：Ｓ
ｐｒｉ
ｎｇｅ
ｒ，１
９９９：
１２
２３．
［１
２］ ＬｉＲｏ
ｎｇｊ
ｉａ，Ｊ
ｉｎＣｈ
ｅｎｈ
ｕｉ．Ｍｅ
ｅｔ
ｉｎ
ｔｈｅ
ｍｉ
ｄｄｌ
ｅａｔ
ｔａ
ｃｋｓｏ
ｎ１０
ｒｏｕｎ
ｄ
改变区分器的活动字节数获得更优截断差分路径，进而尝试改
ＡＥＳ
２５６［Ｊ
］．Ｄｅｓ
ｉｇｎｓ，ＣｏｄｅｓａｎｄＣｒ
ｙｐｔ
ｏｇｒ
ａｐｈｙ，２
０１６，８０（３）：
进本文分析方法以便攻击更多轮的 ＣＲＡＦＴ并获得更好的安全
４５９
４７１．
边界。
［１
３］刘亚，刁倩倩，李玮，等．
１０轮 Ｍｉ
ｄｏｒ
ｉ１２
８的中间相遇攻击［Ｊ
］．计
参考文献： 算机应用研究，２
０１９，３６（１）：２３
０２３
４，２
３８．（Ｌｉ
ｕＹａ
，Ｄｉ
ａｏＱｉ
ａｎ
［１］ Ｂｏ
ｇｄａ
ｎｏｖＡ，Ｋｎｕｄｓ
ｅｎＬＲ，Ｌｅ
ａｎｄｅ
ｒＧ，ｅ
ｔａｌ
．ＰＲＥＳ
ＥＮＴ：ａ
ｎｕｌ
ｔｒ
ａ ｑ
ｉａｎ，ＬｉＷｅ
ｉ，ｅ
ｔａｌ
．Ｍｅ
ｅｔ
ｉｎ
ｔｈｅ
ｍｉ
ｄｄｌ
ｅａｔ
ｔａ
ｃｋｓｏ
ｎ１０
ｒｏｕ
ｎｄＭｉ
ｄｏｒ
ｉ
ｌ
ｉｇ
ｈｔｗｅ
ｉｇｈｔｂｌ
ｏｃｋｃ
ｉｐｈｅ
ｒ［Ｃ］／／
Ｐｒｏ
ｃｏｆＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＷｏ
ｒｋｓ
ｈｏｐｏ
ｎ １２８［Ｊ
］．Ａｐｐｌ
ｉ
ｃａｔ
ｉ
ｏｎＲｅｓ
ｅａｒ
ｃｈｏｆＣｏｍｐｕｔ
ｅｒｓ，２０
１９，３６（１）：２
３０
Ｃｒ
ｙｐｔ
ｏｇｒ
ａｐｈ
ｉｃＨａ
ｒｄｗａ
ｒｅａ
ｎｄ Ｅｍｂ
ｅｄｄ
ｅｄＳ
ｙｓｔ
ｅｍｓ
．Ｂｅ
ｒｌｉ
ｎ：Ｓｐｒ
ｉｎｇ
ｅｒ， ２３
４，２３８．）
２００
７：４５０
４６６． ［１
４］Ｔｏ
ｌｂａＭ， Ａｂ
ｄｅｌ
ｋｈａ
ｌｅｋ Ａ， Ｙｏ
ｕｓｓ
ｅｆＡ Ｍ． Ｉ
ｍｐｏ
ｓｓｉ
ｂｌｅｄ
ｉｆｆ
ｅｒｅ
ｎｔｉ
ａｌ
［２］ ＧｕｏＪ
ｉａｎ，Ｐｅ
ｙｒｉ
ｎＴ，Ｐｏ
ｓｃｈ
ｍａｎｎＡ，ｅ
ｔａｌ
．ＴｈｅＬＥＤ ｂｌ
ｏｃｋｃ
ｉｐｈ
ｅｒ ｃ
ｒｙｐ
ｔａｎ
ａｌｙ
ｓｉｓｏ
ｆｒｅ
ｄｕｃ
ｅｄ
ｒｏｕ
ｎｄＳ
ＫＩＮＮＹ［Ｃ］／／
Ｐｒｏ
ｃｏｆＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌ
［Ｃ］／／
Ｐｒｏ
ｃｏｆＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＷｏ
ｒｋｓ
ｈｏｐｏ
ｎＣｒ
ｙｐｔ
ｏｇｒ
ａｐｈ
ｉｃＨａ
ｒｄｗａ
ｒｅａ
ｎｄ Ｃｏ
ｎｆｅ
ｒｅｎｃ
ｅｏｎＣｒ
ｙｐｔ
ｏｌ
ｏｇｙｉ
ｎＡｆ
ｒｉ
ｃａ．Ｃｈ
ａｍ：Ｓ
ｐｒｉ
ｎｇｅ
ｒ，２
０１７：
１１７
１３４．
Ｅｍｂｅ
ｄｄｅ
ｄＳｙ
ｓｔｅ
ｍｓ．Ｂｅ
ｒｌｉ
ｎ：Ｓｐ
ｒｉｎｇ
ｅｒ，
２０１１：
３２６
３４１． ［１
５］李明明，郭建胜，崔竞一，等．Ｍｉ
ｄｏｒ
ｉ６４算法的截断不可能差分分
［３］ Ｓ
ｈｉｂ
ｕｔａ
ｎｉＫ，Ｉ
ｓｏｂｅＴ，Ｈｉ
ｗａｔ
ａｒｉＨ，ｅ
ｔａｌ
．Ｐｉ
ｃｃｏ
ｌｏ：ａ
ｎｕｌ
ｔｒ
ａｌ
ｉｇ
ｈｔ 析［Ｊ
］．软 件 学 报，２０
１９，３０（８）：２
３３７２
３４８．（ＬｉＭｉ
ｎｇｍｉ
ｎｇ，Ｇｕ
ｏ
ｗｅ
ｉｇｈ
ｔｂｌ
ｏｃｋｃ
ｉｐｈｅ
ｒ［Ｃ］／／
Ｐｒｏ
ｃｏｆＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＷｏ
ｒｋｓ
ｈｏｐｏ
ｎＣｒ
ｙｐｔ
ｏ Ｊ
ｉａｎ
ｓｈｅ
ｎｇ，ＣｕｉＪ
ｉｎｇ
ｙｉ，ｅ
ｔａｌ
．Ｔｒ
ｕｎｃ
ａｔｅ
ｄｉｍｐｏ
ｓｓｉ
ｂｌｅｄ
ｉｆｆ
ｅｒｅ
ｎｔｉ
ａｌｃ
ｒｙｐ
ｔａ
ｇ
ｒａｐｈ
ｉｃＨａ
ｒｄｗａ
ｒｅａ
ｎｄＥｍｂｅ
ｄｄｅ
ｄＳｙ
ｓｔｅ
ｍｓ．Ｂｅ
ｒｌｉ
ｎ：Ｓｐｒ
ｉｎｇ
ｅｒ，２０
１１： ｎ
ａｌｙ
ｓｉｓｏ
ｆＭｉ
ｄｏｒ
ｉ６４［Ｊ
］．Ｊ
ｏｕｒ
ｎａｌｏｆＳｏｆ
ｔｗａｒ
ｅ，２０
１９，３０（８）：２
３３７
３４２
３５７． ２３４
８．）
［４］ Ｂｅ
ｉｅｒ
ｌｅＣ，Ｌｅ
ａｎｄｅ
ｒＧ，Ｍｏ
ｒａｄｉＡ，ｅ
ｔａｌ
．ＣＲＡＦＴ：ｌ
ｉｇ
ｈｔｗｅ
ｉｇｈ
ｔｔｗｅ
ａｋ ［１６］欧海文，王湘南，李艳俊，等．ＡＲＩ
Ａ算法的一个新不可能差分路径
ａ
ｂｌｅｂ
ｌｏｃ
ｋｃｉ
ｐｈｅ
ｒｗｉ
ｔｈｅ
ｆｆ
ｉｃ
ｉｅｎｔｐ
ｒｏｔ
ｅｃｔ
ｉｏ
ｎａｇ
ａｉｎｓ
ｔＤＦＡ ａ
ｔｔ
ａｃｋ［Ｊ
ｓ ］． 及相应攻击 ［Ｊ
］．密码 学 报，２
０２０，７（４）：４
６５４
７２．（ＯｕＨａ
ｉｗｅ
ｎ，
Ｉ
ＡＣＲＴｒ
ａｎｓｏｎＳｙｍｍｅｔ
ｒｉ
ｃＣｒ
ｙｐｔ
ｏｌｏｇｙ，
２０１９（１）：
５４
５． Ｗａ
ｎｇＸｉ
ａｎｇ
ｎａｎ，ＬｉＹａ
ｎｊｕｎ，ｅ
ｔａｌ
．Ａｎ
ｅｗｉ
ｍｐｏ
ｓｓｉ
ｂｌｅｄ
ｉｆｆ
ｅｒｅ
ｎｃｅｐ
ａｔｈ
［５］ Ｈａ
ｄｉｐｏ
ｕｒＨ，Ｓ
ａｄｅ
ｇｈｉＳ，Ｎｉ
ｋｎａ
ｍＭＭ，ｅ
ｔａｌ
．Ｃｏ
ｍｐｒ
ｅｈｅ
ｎｓｉ
ｖｅｓ
ｅｃｕ
ｒｉｔ
ｙ ａ
ｎｄｃ
ｏｒｒ
ｅｓｐ
ｏｎｄ
ｉｎｇａ
ｔｔ
ａｃｋｆ
ｏｒＡＲＩ
Ａａｌ
ｇｏｒ
ｉｔ
ｈｍ［Ｊ
］．Ｊ
ｏｕｒ
ｎａｌｏｆＣｒ
ｙｐｔ
ｏ
ａ
ｎａｌ
ｙｓｉ
ｓｏｆＣＲＡＦＴ［Ｊ
］．Ｉ
ＡＣＲ Ｔｒ
ａｎｓｏｎＳｙｍｍｅｔ
ｒｉ
ｃＣｒ
ｙｐｔ
ｏｌｏｇｙ， ｌ
ｏｇｉ
ｃＲｅｓ
ｅａｒ
ｃｈ，
２０２
０，７（４）：
４６５
４７２．）
２０１
９（４）：
２９０
３１７． ［１
７］洪豆，陈少真．改进的 ＳＫＩ
ＮＮＹ算法的不可能差分分析［Ｊ
］．密码
［６］ Ｅｌ
Ｓｈｅ
ｉｋｈＭ，Ｙｏ
ｕｓｓ
ｅｆＡＭ．Ｒｅ
ｌａｔ
ｅｄ
ｋｅｙｄｉ
ｆｆ
ｅｒｅ
ｎｔｉ
ａｌｃ
ｒｙｐｔ
ａｎａ
ｌｙｓ
ｉｓｏ
ｆ 学报，
２０１８，
５（２）：
１２６
１３９．（Ｈｏ
ｎｇＤｏ
ｕ，Ｃｈ
ｅｎＳ
ｈａｏ
ｚｈｅ
ｎ．Ｉ
ｍｐｒ
ｏｖｅ
ｄ
ｆ
ｕｌｌｒ
ｏｕｎｄＣＲＡＦＴ［Ｃ］／／
Ｐｒｏ
ｃｏｆＩ
ｎｔｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＣｏ
ｎｆｅ
ｒｅｎ
ｃｅｏ
ｎＳｅ
ｃｕｒ
ｉｔ
ｙ， ｉ
ｍｐｏ
ｓｓｉ
ｂｌｅ
ｄｉ
ｆｆ
ｅｒｅ
ｎｔｉ
ａｌｃ
ｒｙｐ
ｔａｎａ
ｌｙｓ
ｉｓｏ
ｆｒｅ
ｄｕｃ
ｅｄ
ｒｏｕ
ｎｄＳＫＩ
ＮＮＹ［Ｊ
］．
Ｐｒ
ｉｖａ
ｃｙ，ａ
ｎｄ Ａｐ
ｐｌｉ
ｅｄ Ｃｒ
ｙｐｔ
ｏｇｒ
ａｐｈｙＥｎｇ
ｉｎｅ
ｅｒｉ
ｎｇ．Ｃｈａ
ｍ：Ｓｐｒ
ｉｎｇ
ｅｒ， Ｊ
ｏｕｒ
ｎａｌｏｆＣｒ
ｙｐｔ
ｏｌｏｇｉ
ｃＲｅｓ
ｅａｒ
ｃｈ，
２０１
８，５（２）：
１２６
１３９．）

（上接第 ２
８２４页） 识别［Ｊ／
ＯＬ］．计算机工程．［２
０２０
１２
１８］．ＤＯＩ
：１０．
１９６７８／
ｊ．ｉ
ｓｓｎ．
［１５］李洪超．基于密文特征的密码算法识别研究［Ｄ］．西安：西安电子 １
０００
３４２
８．００
５８６
０８．（Ｊ
ｉＷｅ
ｎｔａ
ｏ，ＬｉＹｕａ
ｎｙｕ
ａｎ，Ｑｉ
ｎＢａ
ｏｄｏ
ｎｇ．ＳＭ４
科技大学，
２０１
８．（ＬｉＨｏ
ｎｇｃ
ｈａｏ
．Ｃｉ
ｐｈｅ
ｒｔ
ｅｘｔｆ
ｅａｔ
ｕｒｅ
ｓｂａ
ｓｅｃ
ｉｐｈｅ
ｒｓｙ
ｓ ｂｌ
ｏｃｋｃ
ｉｐｈｅ
ｒｗｏ
ｒｋｐ
ａｔｔ
ｅｒｎｒ
ｅｃｏ
ｇｎｉ
ｔｉ
ｏｎｂ
ａｓｅ
ｄｏｎｄ
ｅｃｉ
ｓｉ
ｏｎｔ
ｒｅｅ
［Ｊ／
ＯＬ］．
ｔ
ｅｍｒ
ｅｃｏ
ｇｎｉ
ｔｉ
ｏｎ［Ｄ］．Ｘｉ
’ａｎ：Ｘｉ
ｄｉａ
ｎＵｎｉ
ｖｅｒ
ｓｉ
ｔｙ，
２０１８．） Ｃｏｍｐｕｔ
ｅｒＥｎｇｉ
ｎｅｅｒ
ｉｎｇ．［２
０２０１
２１
８］．ＤＯＩ
：１０．１
９６７８／
ｊ．ｉ
ｓｓｎ．
［１６］赵志诚，赵亚群，刘凤梅．基于随机性测试的分组密码体制识别方 １
０００
３４２８．
００５
８６０
８．）
案［Ｊ
］．密 码 学 报，２０１
９，６（２）：１
７７１
９０．（Ｚｈａ
ｏＺｈｉ
ｃｈｅ
ｎｇ，Ｚｈａ
ｏ ［２
０］陈颖，陈长松，胡红钢．ＳＭ４硬件电路的功耗分析研究［Ｊ
］．信息
Ｙａ
ｑｕｎ，Ｌｉ
ｕＦｅ
ｎｇｍｅ
ｉ．Ｒｅ
ｃｏｇ
ｎｉｔ
ｉｏ
ｎｓｃ
ｈｅｍｅｏ
ｆｂｌ
ｏｃｋｃ
ｉｐｈ
ｅｒｓ
ｙｓｔ
ｅｍ 网络安全，
２０１
８，１８（５）：
５２
５８．（Ｃｈ
ｅｎＹｉ
ｎｇ，Ｃｈ
ｅｎＣｈ
ａｎｇ
ｓｏｎｇ
，Ｈｕ
ｂａ
ｓｅｄｏ
ｎｒａ
ｎｄｏ
ｍｎｅ
ｓｓｔ
ｅｓ［Ｊ
ｔ ］．Ｊ
ｏｕｒ
ｎａｌｏｆＣｒ
ｙｐｔ
ｏｇｒ
ａｐｈｙ，２
０１９，６ Ｈｏ
ｎｇｇ
ａｎｇ
．Ｒｅ
ｓｅａ
ｒｃｈｏ
ｎｐｏ
ｗｅｒａ
ｎａｌ
ｙｓｉ
ｓｏｆＳ
Ｍ４ｈａ
ｒｄｗａ
ｒｅｉ
ｍｐｌ
ｅｍｅ
ｎｔａ

（２）：
１７７
１９０．） ｔ
ｉｎ［Ｊ
ｏ ］．Ｎｅｔ
ｉ
ｎｆｏＳｅｃ
ｕｒｉ
ｔ
ｙ，２
０１８，
１８（５）：
５２
５８．）
［１７］谈程，陈曼，吉庆兵．基于唯密文数据的序列密码识别［Ｊ
］．通信 ［２
１］王敏，饶金涛，吴震，等．Ｓ
Ｍ４密码算法的频域能量分析攻击［Ｊ
］．
技术，
２０２
０，５３（１）：
１５６
１６０．（Ｔａ
ｎＣｈ
ｅｎｇ
，Ｃｈｅ
ｎＭａ
ｎ，Ｊ
ｉＱｉ
ｎｇｂｉ
ｎｇ， 信息网络安全，
２０１
５，１５（８）：１
４１
９．（Ｗａ
ｎｇＭｉ
ｎ，Ｒａ
ｏＪｉ
ｎｔａ
ｏ，Ｗｕ
ｅ
ｔａｌ
．Ｉｄ
ｅｎｔ
ｉｆ
ｉｃ
ａｔｉ
ｏｎｏ
ｆｓｔ
ｒｅａ
ｍｃｉ
ｐｈｅ
ｒｂａ
ｓｅｄｏ
ｎｐｕｒ
ｅｃｉ
ｐｈｅ
ｒｔｅ
ｘｔｄａ
ｔａ ｎ，ｅ
Ｚｈｅ ｔａｌ
．Ｐｏ
ｗｅｒａ
ｎａｌ
ｙｓｉ
ｓａｔ
ｔａ
ｃｋａ
ｇａｉ
ｎｓｔＳ
Ｍ４ｉ
ｎｆｒ
ｅｑｕｅ
ｎｃｙｄ
ｏｍａ
ｉｎ
［Ｊ
］．Ｃｏｍｍｕｎｉ
ｃａｔ
ｉ
ｏｎｓＴｅｃ
ｈｎｏｌ
ｏｇｙ，
２０２
０，５３（１）：
１５６
１６０．） ［Ｊ
］．Ｎｅｔ
ｉ
ｎｆｏＳｅｃ
ｕｒｉ
ｔ
ｙ，２
０１５，
１５（８）：
１４
１９．）
［１８］王旭，陈永乐，王庆生，等．结合特征选择与集成学习的密码体制 ［２
２］徐沛帆．随机性测试方法实现与应用［Ｄ］．西安：西安电子科技大
识别方案［Ｊ
］．计算机工程，２０２１，４７（１）：１
３９１
４５，１５３）．（Ｗａ
ｎｇ 学，
２０１９．（ＸｕＰｅ
ｉｆ
ａｎ．Ｉ
ｍｐｌ
ｅｍｅ
ｎｔａ
ｔｉ
ｏｎａ
ｎｄａ
ｐｐｌ
ｉｃ
ａｔｉ
ｏｎｏ
ｆｒａ
ｎｄｏ
ｍｎｅ
ｓｓ
Ｘｕ，Ｃｈｅ
ｎＹｏ
ｎｇｌ
ｅ，Ｗａ
ｎｇＱｉ
ｎｇｓ
ｈｅｎｇ
，ｅｔａｌ
．Ｃｒ
ｙｐｔ
ｏｓｙ
ｓｔｅ
ｍｉｄｅ
ｎｔｉ
ｆｉ
ｃａ ｔ
ｅｓｔｍｅ
ｔｈｏ
ｄ［Ｄ］．Ｘｉ
’ａｎ：Ｘｉ
ｄｉａ
ｎＵｎｉ
ｖｅｒ
ｓｉ
ｔｙ，
２０１
９．）
ｔ
ｉｏ
ｎｓｃ
ｈｅｍｅｃ
ｏｍｂｉ
ｎｉｎ
ｇｆｅ
ａｔｕ
ｒｅｓ
ｅｌｅ
ｃｔｉ
ｏｎａ
ｎｄｅ
ｎｓｅ
ｍｂｌ
ｅｌｅ
ａｒｎ
ｉｎｇ［Ｊ
］． ［２
３］刘志巍．密码算法的随机性测试研究［Ｄ］．西安：西安电子科技大
Ｃｏｍｐｕｔ
ｅｒＥｎｇｉ
ｎｅｅｒ
ｉｎｇ，
２０２１，
４７（１）：
１３９
１４５，
１５３．） ２
学，０１１．（Ｌｉ
ｕＺｈ
ｉｗｅ
ｉ．Ｔｈｅｓ
ｔｕｄｙｏ
ｆｓｔ
ａｔ
ｉｓ
ｔｉ
ｃａｌｔ
ｅｓｔ
ｓｏｆｃ
ｒｙｐ
ｔｏｇ
ｒａｐ
ｈｉｃ
［１９］纪文桃，李媛媛，秦宝东．基于决策树的 ＳＭ４分组密码工作模式 ａ
ｌｇｏ
ｒｉｔ
ｈｍ［Ｄ］．Ｘｉ
’ａｎ：Ｘｉ
ｄｉａ
ｎＵｎｉ
ｖｅｒ
ｓｉ
ｔｙ，
２０１
１．）