CN112511293B - 基于比特与运算的s盒参数化设计方法及存储介质 - Google Patents

Abstract

本发明涉及通信加密技术领域，本发明公开了一种基于比特与运算的S盒参数化设计方法及存储介质，该方法包括：对选定的S盒规格n，随机选取F₂ ^n‑2→F₂的布尔函数f₁、f₂，对S盒的n比特输入数据，依次遍历{0,1,…,2ⁿ‑1}所有整数值对应的n比特二元向量，对任意整数值i对应的n比特二元向量，先进行多轮n支广义Feistel结构的轮变换，再进行非线性变换，并对运算结果进行比特组合，得到n

Description

基于比特与运算的S盒参数化设计方法及存储介质

技术领域

本发明涉及通信加密技术领域，尤其涉及一种基于比特与运算的S盒参数化设计方法及存储介质。

背景技术

本发明涉及通信加密技术领域，尤其涉及分组密码、序列密码、杂凑算法等对称密码算法中混淆部件S盒的参数化设计方法。

国内外现有对称密码算法的设计主要采用香农1949年提出的“混淆”+“扩散”原则，通过对称密码算法中的“混淆”和“扩散”部件使得明文、密文和密钥之间的关系异常复杂，以至于攻击者无法从密文得到明文的任何信息、或者从明密文对得到密钥的任何信息。

“混淆”部件普遍采用非线性置换S盒（Substitution Box）。S盒首次出现在分组密码算法Lucifer中，随着美国标准化技术研究机构NIST（National Institute of StandardTechnology）在1977年发布的数据加密算法标准DES（Data Encryption Standard）的使用而广为流行。S盒是绝大多数密码算法中唯一的非线性部件，其密码性质几乎决定了整个密码算法的安全强度，也极大影响整个算法的“混淆”效果。S盒一般以表的形式存储，通过查表实现调用，如果参数n和m过大将给S盒的设计以及密码算法的实现带来困难，目前绝大多数密码算法采用8

8的S盒。S盒的密码性质主要包括：平衡性、非线性度、差分均匀度、代数次数及项数分布、代数免疫阶、扩散分支数等。

组件化可变密码是近几年新出现的一种对称密码算法，具有安全的动态调变特性，能够根据外部输入的配置要素动态重构算法参数化组件，控制算法编码结构、运算逻辑等适时演变，不同的配置要素对应不同的算法实例，实现算法簇的效果。与经典的静态密码算法相比，组件化可变密码增强了密码算法的动态重构能力，提高了密码算法抵抗经典已知攻击和未知攻击的安全性。

现有密码算法中作为重要混淆部件的S盒主要基于代数结构和离线测试方法产生，在线产生满足安全强度的S盒难度较大。为了保证密码算法及算法部件的安全强度，如果组件化可变密码算法通过更换非线性固定表的方式实现算法组件参数化，将主要以离线预置方式为主，为了达到安全强度设置的变化量，需要预置存储的S盒数量一般都较大，存在两方面弱点：一是占用了密码算法承载设备的大量存储资源，二是无法支持在线动态配置。

在依赖密钥的可变S盒方面，RC4、Twofish等算法的设计采用了依赖密钥S盒的设计方法，但存在依赖密钥随机交换或多轮迭代方式产生的S盒其密码性质不可控、不能给出有实际指导意义的理论界等设计缺陷。

总的来说，目前的公开资料中S盒参数化设计方法相关研究较少，需要进一步提升其支持在线更换配置、安全可控等方面的特性与能力。

发明内容

为了解决上述问题，本发明提出一种基于比特与运算的S盒参数化设计方法及存储介质，通过该设计方法得到的参数化S盒，具有优良的密码学性质，同时具有较低的软硬件实现代价，能够为组件化可变密码算法的参数化混淆部件提供丰富的选择。

本发明的一种基于比特与运算的S盒参数化设计方法，包括以下步骤：

CSH1：对选定的S盒规格n，随机选取F₂ ^n-2→F₂的布尔函数f₁、f₂，其中f₁、f₂的代数次数大于等于2次且其代数正规型不包含1次项和常数项；

CSH2：对S盒的n比特输入数据(x₀,x₁,x₂,…,x_n-2,x_n-1)，依次遍历{0,1,…,2ⁿ-1}所有整数值对应的n比特二元向量{(0,0,0,…,0,0),(0,0,0,…,0,1),…,(1,1,1,…,1,1)}，对任意整数值i对应的n比特二元向量(x₀,x₁,x₂,…,x_n-2,x_n-1)，先进行多轮n支广义Feistel结构的轮变换，再进行非线性变换，并对运算结果进行比特组合，得到n

n规格的S盒在整数i的数值，即：Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1；

CSH3：输出n

n规格的S盒，对任意i取{0,1,…,2ⁿ-1}整数值对应的n比特二元向量，Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1。

进一步的，所述多轮n支广义Feistel结构的轮变换至少包括步骤CSH21：

对输入的n比特二元向量(x₀,x₁,x₂,…,x_n-2,x_n-1)计算第1轮n支广义Feistel结构的轮变换，即：

t_n-2=x₀⊕f₁(x₂,x₃,…,x_n-2,x_n-1)⊕(CS₀&x₂)⊕(CS₁&x₃)⊕(CS₂&x₄)⊕…⊕(CS_n-3&x_n-1)⊕CS_n-2；

t_n-1=x₁⊕f₂(x₂,x₃,…,x_n-2,x_n-1)⊕(CS_n-1&x₂)⊕(CS_n&x₃)⊕(CS_n+1&x₄)⊕…⊕(CS_2n-4&x_n-1)⊕CS_2n-3；

t₀=x₂,t₁=x₃,t₂=x₄,…,t_n-4=x_n-2,t_n-3=x_n-1；

其中，t₀,t₁,t₂,…,t_n-2,t_n-1为n比特中间变量，CS₀,CS₁,CS₂,…,CS_n-3,CS_n-2,CS_n-1,CS_n,CS_n+1,…,CS_2n-4,CS_2n-3为2n-2比特可变控制参数，逻辑运算符号“⊕”表示比特异或运算，逻辑运算符号“&”表示比特与运算。

进一步的，所述多轮n支广义Feistel结构的轮变换还包括以下步骤：

CSH22：对步骤CSH21的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)计算第2轮n支广义Feistel结构的轮变换，即：

T₀=t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁=t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3；

t₀=t₂,t₁=t₃,t₂=t₄,…,t_n-4=t_n-2,t_n-3=t_n-1,t_n-2=T₀,t_n-1=T₁；

其中，T₀,T₁为2比特中间变量；

CSH23：对步骤CSH22的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)计算第3轮n支广义Feistel结构的轮变换，即：

T₀=t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁=t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3；

t₀=t₂,t₁=t₃,t₂=t₄,…,t_n-4=t_n-2,t_n-3=t_n-1,t_n-2=T₀,t_n-1=T₁。

进一步的，所述非线性变换包括步骤CSH24：

对步骤CSH23的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)进行非线性变换，即：

T₀=t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁=t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3。

进一步的，所述对运算结果进行比特组合，得到n

n规格的S盒在整数i的数值包括步骤CSH25：

对CSH24的运算结果n比特二元向量(T₀,T₁,t₂,…,t_n-2,t_n-1)进行比特组合，得到n

n规格的S盒在整数i的数值，即：y₀=T₀,y₁=T₁,y₂=t₂,y₃=t₃,…,y_n-2=t_n-2,y_n-1=t_n-1，Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1。

进一步的，f₁、f₂均包括2^U种非零布尔函数，其中U=2^n-2-n+1。

本发明的一种存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述一种基于比特与运算的S盒参数化设计方法的步骤。

本发明的有益效果在于：

本发明提出一种基于比特与运算的S盒参数化设计方法，通过该设计方法得到的参数化S盒，具有优良的密码学性质，同时具有较低的软硬件实现代价，能够为组件化可变密码算法的参数化混淆部件提供丰富的选择。

与目前已有的技术相比，本发明提出的参数化S盒的设计方法，同时具有良好密码学性质和较低的实现资源，支持在线配置更新，解决了之前参数化S盒设计方法存在的存储资源占用大、无法在线配置更新以及主要密码性质弱等问题；适用于BitSlice等运算方式，在8位、16位、32位、64位等不同实现平台上具有良好的兼容性和易移植性，能够广泛应用于对称密码算法设计，特别适用于设计高安全强度的轻量化密码算法。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明涉及的相关术语描述如下：

n比特输入、m比特输出的S盒（简称为n

m的S盒）定义如下：

S(X)=(f₁(X),…,f_i(X)):F₂ ⁿ→F₂ ^m。

其中f_i(X)为F₂ ⁿ→F₂的布尔函数，i=1,2,…,m，F₂表示由0和1构成的二元域集合，F₂ ⁿ表示由F₂构成的n维向量空间，即F₂={0,1}，F₂ ⁿ={0,1}ⁿ。

布尔函数的代数正规型、项数和代数次数：每一个n元布尔函数f都可以唯一的表示为F ₂上关于n个变元x ₁, x ₂,..., x _n 的多项式，即：

上式称为布尔函数f的代数正规型，其中

，⊕为F ₂上的加法运算。f的代数正规型中非零单项式的个数称为f的项数，所有非零单项式的代数次数的最大值称为布尔函数f的代数次数。

汉明重量（Hamming Weight）：一个向量c的汉明重量wt(c)定义为此向量中非零元的个数。

S盒平衡性：

，如果S取

中的每个值相同的2 ^n-m 次，就称S为平衡函数。

S盒非线性度：

，对任意

，用符号

表示方程

解的个数，即：

S的非线性度为

。

S盒差分均匀度：

，对任意

，用符号

表示方程

解的个数，即：

S的差分均匀度为

。

CCZ等价（CCZ-Equivalence）：两个S盒

，

，如果存在

上的仿射置换A使得：

对任意

成立。

实施例1

本实施例提供了一种基于比特与运算的S盒参数化设计方法，包括以下步骤：

CSH1：对选定的S盒规格n，随机选取F₂ ^n-2→F₂的布尔函数f₁、f₂，f₁、f₂的代数次数大于等于2次且其代数正规型不包含1次项和常数项；具体的，f₁、f₂均包括2^U种非零布尔函数，其中U=2^n-2-n+1；

CSH2：对S盒的n比特输入数据(x₀,x₁,x₂,…,x_n-2,x_n-1)，依次遍历{0,1,…,2ⁿ-1}所有整数值对应的n比特二元向量{(0,0,0,…,0,0),(0,0,0,…,0,1),…,(1,1,1,…,1,1)}，对任意整数值i对应的n比特二元向量(x₀,x₁,x₂,…,x_n-2,x_n-1)，先进行多轮n支广义Feistel结构的轮变换，再进行非线性变换，并对运算结果进行比特组合，得到n

n规格的S盒在整数i的数值，即：Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1；

CSH3：输出n

n规格的S盒，对任意i取{0,1,…,2ⁿ-1}整数值对应的n比特二元向量，Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1。

具体的，所述多轮n支广义Feistel结构的轮变换包括以下步骤：

CSH21：对输入的n比特二元向量(x₀,x₁,x₂,…,x_n-2,x_n-1)计算第1轮n支广义Feistel结构的轮变换，即：

t_n-2=x₀⊕f₁(x₂,x₃,…,x_n-2,x_n-1)⊕(CS₀&x₂)⊕(CS₁&x₃)⊕(CS₂&x₄)⊕…⊕(CS_n-3&x_n-1)⊕CS_n-2；

t_n-1=x₁⊕f₂(x₂,x₃,…,x_n-2,x_n-1)⊕(CS_n-1&x₂)⊕(CS_n&x₃)⊕(CS_n+1&x₄)⊕…⊕(CS_2n-4&x_n-1)⊕CS_2n-3；

t₀=x₂,t₁=x₃,t₂=x₄,…,t_n-4=x_n-2,t_n-3=x_n-1；

其中，t₀,t₁,t₂,…,t_n-2,t_n-1为n比特中间变量，CS₀,CS₁,CS₂,…,CS_n-3,CS_n-2,CS_n-1,CS_n,CS_n+1,…,CS_2n-4,CS_2n-3为2n-2比特可变控制参数，逻辑运算符号“⊕”表示比特异或运算，逻辑运算符号“&”表示比特与运算。

CSH22：对步骤CSH21的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)计算第2轮n支广义Feistel结构的轮变换，即：

T₀=t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁=t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3；

t₀=t₂,t₁=t₃,t₂=t₄,…,t_n-4=t_n-2,t_n-3=t_n-1,t_n-2=T₀,t_n-1=T₁；

其中，T₀,T₁为2比特中间变量；

CSH23：对步骤CSH22的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)计算第3轮n支广义Feistel结构的轮变换，即：

T₀=t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁=t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3；

t₀=t₂,t₁=t₃,t₂=t₄,…,t_n-4=t_n-2,t_n-3=t_n-1,t_n-2=T₀,t_n-1=T₁。

具体的，所述非线性变换包括步骤CSH24：

对步骤CSH23的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)进行非线性变换，即：

T₀=t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁=t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3。

更为具体的，所述对运算结果进行比特组合，得到n

n规格的S盒在整数i的数值包括步骤CSH25：

对CSH24的运算结果n比特二元向量(T₀,T₁,t₂,…,t_n-2,t_n-1)进行比特组合，得到n

n规格的S盒在整数i的数值，即：y₀=T₀,y₁=T₁,y₂=t₂,y₃=t₃,…,y_n-2=t_n-2,y_n-1=t_n-1，Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1。

从上述运算过程可知，本质上，本实施例提出的基于比特与运算的S盒参数化设计方法支持任意小于等于2n-2比特可变控制参数，故支持任意i比特（i

2n-2）可变控制参数(CS₀,CS₁,CS₂,…,CS_i-2,CS_i-1)的n

n规格的参数化S盒方案都是本发明实施例的特定实例。

本实施例还提供了一种存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述一种基于比特与运算的S盒参数化设计方法的步骤。

实施例2

本实施例在实施例1的基础上：

对于目前国内外密码算法中主流的S盒，取定n=8，通过实施例1中上述步骤CSH1至CSH3得到实际算法中常用的8比特S盒参数化实例，即：

将S盒的8比特输入数据记为(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)，S盒的8比特输出数据记为(y₀,y₁,y₂,y₃,y₄,y₅,y₆,y₇),14比特可变控制参数记为(CS₀,CS₁,CS₂,CS₃,CS₄,CS₅,CS₆,CS₇,CS₈,CS₉,CS₁₀,CS₁₁,CS₁₂,CS₁₃),8比特中间变量记为(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇),2比特中间变量记为(T₀,T₁)，具体包括步骤QCSH1至QCSH3：

QCSH1：对选定的S盒规格n=8，随机选取F₂ ⁶→F₂的布尔函数f₁、f₂，f₁、f₂的代数次数大于等于2次且其代数正规型不包含1次项和常数项；

QCSH2：对S盒的8比特输入数据(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)，依次遍历{0,1,…,255}所有整数值对应的n比特二元向量{(0,0,0,0,0,0,0,0),(0,0,0,0,0,0,0,1),…,(1,1,1,1,1,1,1,1)}，对任意整数值i对应的8比特二元向量(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)，依次计算步骤QCSH21至QCSH25：

QCSH21：对输入的8比特二元向量(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)计算第1轮8支广义Feistel结构的轮变换，即

t₆=x₀⊕f₁(x₂,x₃,x₄,x₅,x₆,x₇)⊕(CS₀&x₂)⊕(CS₁&x₃)⊕(CS₂&x₄)⊕(CS₃&x₅)⊕(CS₄&x₆)⊕(CS₅&x₇)⊕CS₆,t₇=x₁⊕f₂(x₂,x₃,x₄,x₅,x₆,x₇)⊕(CS₇&x₂)⊕(CS₈&x₃)⊕(CS₉&x₄)⊕(CS₁₀&x₅)⊕(CS₁₁&x₆)⊕(CS₁₂&x₇)⊕CS₁₃,t₀=x₂,t₁=x₃,t₂=x₄,t₃=x₅,t₄=x₆,t₅=x₇；

QCSH22：对QCSH21的运算结果8比特二元向量(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇)计算第2轮8支广义Feistel结构的轮变换，即

T₀=t₀⊕f₁(t₂,t₃,t₄,t₅,t₆,t₇)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕(CS₃&t₅)⊕(CS₄&t₆)⊕(CS₅&t₇)⊕CS₆,T₁=t₁⊕f₂(t₂,t₃,t₄,t₅,t₆,t₇)⊕(CS₇&t₂)⊕(CS₈&t₃)⊕(CS₉&t₄)⊕(CS₁₀&t₅)⊕(CS₁₁&t₆)⊕(CS₁₂&t₇)⊕CS₁₃,t₀=t₂,t₁=t₃,t₂=t₄,t₃=t₅,t₄=t₆,t₅=t₇,t₆=T₀,t₇=T₁；

QCSH23：对QCSH22的运算结果8比特二元向量(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇)计算第2轮8支广义Feistel结构的轮变换，即

T₀=t₀⊕f₁(t₂,t₃,t₄,t₅,t₆,t₇)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕(CS₃&t₅)⊕(CS₄&t₆)⊕(CS₅&t₇)⊕CS₆,T₁=t₁⊕f₂(t₂,t₃,t₄,t₅,t₆,t₇)⊕(CS₇&t₂)⊕(CS₈&t₃)⊕(CS₉&t₄)⊕(CS₁₀&t₅)⊕(CS₁₁&t₆)⊕(CS₁₂&t₇)⊕CS₁₃,t₀=t₂,t₁=t₃,t₂=t₄,t₃=t₅,t₄=t₆,t₅=t₇,t₆=T₀,t₇=T₁；

QCSH24：对QCSH23的运算结果8比特二元向量(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇)计算第4轮非线性变换，即

T₀=t₀⊕f₁(t₂,t₃,t₄,t₅,t₆,t₇)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕(CS₃&t₅)⊕(CS₄&t₆)⊕(CS₅&t₇)⊕CS₆,T₁=t₁⊕f₂(t₂,t₃,t₄,t₅,t₆,t₇)⊕(CS₇&t₂)⊕(CS₈&t₃)⊕(CS₉&t₄)⊕(CS₁₀&t₅)⊕(CS₁₁&t₆)⊕(CS₁₂&t₇)⊕CS₁₃；

QCSH25：对QCSH24的运算结果8比特二元向量(T₀,T₁,t₂,t₃,t₄,t₅,t₆,t₇)进行比特组合，得到8

8规格的S盒Sbox在整数i的数值，即：y₀=T₀,y₁=T₁,y₂=t₂,y₃=t₃,…,y_n-2=t_n-2,y_n-1=t_n-1，Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1；

QCSH3：输出8

8规格的S盒Sbox，对任意i取{0,1,…,255}整数值对应的8比特二元向量，Sbox（i）取值为步骤QCSH21至QCSH25的相应计算结果。

其中，步骤QCSH1至QCSH3涉及的f₁、f₂为F₂ ⁶→F₂的布尔函数，f₁、f₂的代数次数大于等于2次且其代数正规型不包含1次项和常数项。f₁共包含2⁵⁷种非零布尔函数，f₂共包含2⁵⁷种非零布尔函数，本实施例支持14比特可变控制参数，按照步骤QCSH1至QCSH3生成的8比特S盒共有2¹²⁸种。

实施例3

本实施例在实施例1的基础上：

考虑到资源受限设备的密码算法其硬件实现等效门的资源轻量化要求，本实施例对实施例1中f₁、f₂做如下限定：f₁、f₂的代数次数为2次且其代数正规型仅包含2个2次项。利用本实施例1提供的方法产生硬件实现等效门低8

8的参数化S盒，通过计算机程序搜索，在上述限定条件下，根据本实施例1中的设计方法，可以找到52类新的8比特轻量化S盒，其差分均匀度不大于16、非线性度不低于96。

下面具体给出这52类8比特轻量化S盒中的一类，并使用5比特参数(CS₀,CS₁,CS₂,CS₃,CS₄)控制，得到32个新的8比特参数化S盒，具体为：

f₁(x₂,x₃,x₄,x₅,x₆,x₇)=x₂&x₃⊕x₄&x₆，

f₂(x₂,x₃,x₄,x₅,x₆,x₇)=x₃&x₄⊕x₅&x₇；

由f₁、f₂和5比特参数(CS₀,CS₁,CS₂,CS₃,CS₄)控制的8比特参数化实例为：

x₂&x₃⊕x₄&x₆⊕(CS₀&x₂)⊕(CS₁&x₄)⊕(CS₂&x₆)，

x₃&x₄⊕x₅&x₇⊕(CS₃&x₃)⊕(CS₄&x₇)。

将S盒的8比特输入数据记为(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)，S盒的8比特输出数据记为(y₀,y₁,y₂,y₃,y₄,y₅,y₆,y₇)，5比特可变控制参数记为(CS₀,CS₁,CS₂,CS₃,CS₄)，8比特中间变量记为(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇)，2比特中间变量记为(T₀,T₁)，包括步骤LCSH1至LCSH3：

LCSH1：对选定的S盒规格n=8，选取F₂ ⁶àF₂的布尔函数f₁(x₂,x₃,x₄,x₅,x₆,x₇)=x₂&x₃⊕x₄&x₆、f₂(x₂,x₃,x₄,x₅,x₆,x₇)=x₃&x₄⊕x₅&x₇；

LCSH2：对S盒的8比特输入数据(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)，依次遍历{0,1,…,255}所有整数值对应的n比特二元向量{(0,0,0,0,0,0,0,0),(0,0,0,0,0,0,0,1),…,(1,1,1,1,1,1,1,1)}，对任意整数值i对应的8比特二元向量(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)，依次计算步骤LCSH21至LCSH25：

LCSH21：对输入的8比特二元向量(x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)计算第1轮8支广义Feistel结构的轮变换，即

t₆=x₀⊕x₂&x₃⊕x₄&x₆⊕(CS₀&x₂)⊕(CS₁&x₄)⊕(CS₂&x₆),t₇=x₁⊕x₃&x₄⊕x₅&x₇⊕(CS₃&x₃)⊕(CS₄&x₇),t₀=x₂,t₁=x₃,t₂=x₄,t₃=x₅,t₄=x₆,t₅=x₇；

LCSH22：对LCSH21的运算结果8比特二元向量(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇)计算第2轮8支广义Feistel结构的轮变换，即

T₀=t₀⊕t₂&t₃⊕t₄&t₆⊕(CS₀&t₂)⊕(CS₁&t₄)⊕(CS₂&t₆),T₁=t₁⊕t₃&t₄⊕t₅&t₇⊕(CS₃&t₃)⊕(CS₄&t₇),t₀=t₂,t₁=t₃,t₂=t₄,t₃=t₅,t₄=t₆,t₅=t₇,t₆=T₀,t₇=T₁；

LCSH23：对LCSH22的运算结果8比特二元向量(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇)计算第2轮8支广义Feistel结构的轮变换，即

T₀=t₀⊕t₂&t₃⊕t₄&t₆⊕(CS₀&t₂)⊕(CS₁&t₄)⊕(CS₂&t₆),T₁=t₁⊕t₃&t₄⊕t₅&t₇⊕(CS₃&t₃)⊕(CS₄&t₇),t₀=t₂,t₁=t₃,t₂=t₄,t₃=t₅,t₄=t₆,t₅=t₇,t₆=T₀,t₇=T₁；

LCSH24：对LCSH23的运算结果8比特二元向量(t₀,t₁,t₂,t₃,t₄,t₅,t₆,t₇)计算第4轮非线性变换，即

T₀=t₀⊕t₂&t₃⊕t₄&t₆⊕(CS₀&t₂)⊕(CS₁&t₄)⊕(CS₂&t₆),T₁=t₁⊕t₃&t₄⊕t₅&t₇⊕(CS₃&t₃)⊕(CS₄&t₇)；

LCSH25：对LCSH24的运算结果8比特二元向量(T₀,T₁,t₂,t₃,t₄,t₅,t₆,t₇)进行比特组合，得到8

8规格的S盒Sbox在整数i的数值，即：y₀=T₀,y₁=T₁,y₂=t₂,y₃=t₃,…,y_n-2=t_n-2,y_n-1=t_n-1，Sbox（i）=y₀||y₁||y₂||y₃||…||y_n-1；

LCSH3：输出8

8规格的S盒Sbox，对任意i取{0,1,…,255}整数值对应的8比特二元向量，Sbox（i）取值为步骤LCSH21至LCSH25的相应计算结果。

更进一步测试分析发现，上述32个新的8比特参数化S盒属于32个不同的CCZ等价类，其差分均匀度不大于16、非线性度不低于96。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (3)

1.一种基于比特与运算的S盒参数化设计方法，其特征在于，包括以下步骤：

CSH1：对选定的S盒规格n，随机选取F₂ ^n-2→F₂的布尔函数f₁、f₂，其中f₁、f₂的代数次数大于等于2次且其代数正规型不包含1次项和常数项；

CSH2：对S盒的n比特输入数据(x₀,x₁,x₂,…,x_n-2,x_n-1)，依次遍历{0,1,…,2ⁿ-1}所有整数值对应的n比特二元向量{(0,0,0,…,0,0),(0,0,0,…,0,1),…,(1,1,1,…,1,1)}，对任意整数值i对应的n比特二元向量(x₀,x₁,x₂,…,x_n-2,x_n-1)，先进行多轮n支广义Feistel结构的轮变换，再进行非线性变换，并对运算结果进行比特组合，得到n×n规格的S盒在整数i的数值，即：Sbox(i)＝y₀||y₁||y₂||y₃||…||y_n-1；

CSH3：输出n×n规格的S盒，对任意i取{0,1,…,2ⁿ-1}整数值对应的n比特二元向量，Sbox(i)＝y₀||y₁||y₂||y₃||…||y_n-1；

所述多轮n支广义Feistel结构的轮变换包括步骤：

CSH21：对输入的n比特二元向量(x₀,x₁,x₂,…,x_n-2,x_n-1)计算第1轮n支广义Feistel结构的轮变换，即：

t_n-2＝x₀⊕f₁(x₂,x₃,…,x_n-2,x_n-1)⊕(CS₀&x₂)⊕(CS₁&x₃)⊕(CS₂&x₄)⊕…⊕(CS_n-3&x_n-1)⊕CS_n-2；

t_n-1＝x₁⊕f₂(x₂,x₃,…,x_n-2,x_n-1)⊕(CS_n-1&x₂)⊕(CS_n&x₃)⊕(CS_n+1&x₄)⊕…⊕(CS_2n-4&x_n-1)⊕CS_2n-3；

t₀＝x₂,t₁＝x₃,t₂＝x₄,…,t_n-4＝x_n-2,t_n-3＝x_n-1；

其中，t₀,t₁,t₂,…,t_n-2,t_n-1为n比特中间变量，CS₀,CS₁,CS₂,…,CS_n-3,CS_n-2,CS_n-1,CS_n,CS_n+1,…,CS_2n-4,CS_2n-3为2n-2比特可变控制参数，逻辑运算符号“⊕”表示比特异或运算，逻辑运算符号“&”表示比特与运算；

CSH22：对步骤CSH21的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)计算第2轮n支广义Feistel结构的轮变换，即：

T₀＝t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁＝t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3；

t₀＝t₂,t₁＝t₃,t₂＝t₄,…,t_n-4＝t_n-2,t_n-3＝t_n-1,t_n-2＝T₀,t_n-1＝T₁；

其中，T₀,T₁为2比特中间变量；

CSH23：对步骤CSH22的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)计算第3轮n支广义Feistel结构的轮变换，即：

T₀＝t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁＝t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3；

t₀＝t₂,t₁＝t₃,t₂＝t₄,…,t_n-4＝t_n-2,t_n-3＝t_n-1,t_n-2＝T₀,t_n-1＝T₁；

所述非线性变换包括步骤CSH24：

对步骤CSH23的运算结果n比特二元向量(t₀,t₁,t₂,…,t_n-2,t_n-1)进行非线性变换，即：

T₀＝t₀⊕f₁(t₂,t₃,…,t_n-2,t_n-1)⊕(CS₀&t₂)⊕(CS₁&t₃)⊕(CS₂&t₄)⊕…⊕(CS_n-3&t_n-1)⊕CS_n-2；

T₁＝t₁⊕f₂(t₂,t₃,…,t_n-2,t_n-1)⊕(CS_n-1&t₂)⊕(CS_n&t₃)⊕(CS_n+1&t₄)⊕…⊕(CS_2n-4&t_n-1)⊕CS_2n-3；

所述对运算结果进行比特组合，得到n×n规格的S盒在整数i的数值包括步骤CSH25：

对CSH24的运算结果n比特二元向量(T₀,T₁,t₂,…,t_n-2,t_n-1)进行比特组合，得到n×n规格的S盒在整数i的数值，即：y₀＝T₀,y₁＝T₁,y₂＝t₂,y₃＝t₃,…,y_n-2＝t_n-2,y_n-1＝t_n-1，Sbox(i)＝y₀||y₁||y₂||y₃||…||y_n-1。

2.根据权利要求1所述的一种基于比特与运算的S盒参数化设计方法，其特征在于，f₁、f₂均包括2^U种非零布尔函数，其中U＝2^n-2-n+1。

3.一种存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1或2所述的一种基于比特与运算的S盒参数化设计方法的步骤。