[发明专利]一种适用于硬件实现的S盒及其电路实现方法

说明书

技术领域

本发明属于信息安全领域，具体涉及到分组密码算法中一种适用于硬件实现的非线性变换——S盒的构造，及其高效的硬件实现方法，该方法不涉及任何查表操作。

背景技术

一般地，分组密码包含混淆层与扩散层，混淆层可用若干并置且独立的代换函数——S盒构成。S盒本质上都可以看作一个多输出的向量值布尔函数：

并称为的S盒，它将一个比特的数据映射为一个比特的数据。作为提供混淆作用的核心部件，S盒多数使用随机置换或有限域上的非线性函数。目前，S盒已经成为了许多分组密码算法唯一的非线性模块，它的密码强度也将直接影响整个分组密码算法的安全强度。

作为分组密码的典型代表，高级加密标准（AES）使用了8×8的S盒，它是用有限域GF(2⁸)上的求乘法逆和GF(2)上的仿射变换复合而成。此外，中国自主研发了一套无线局域网数据密码算法SMS4，其8×8的S盒同样由有限域上的逆函数与仿射变换的复合而成。从密码学的角度来看，这两个S盒都具备比较理想的非线性度、差分均匀度和代数复杂性等密码学性能。

S盒的设计，除了要考虑其密码学性质，更要注重实现性能。硬件实现因为具备更高的速度和更强的物理安全性，其实用价值更强。然而，除了实现的速度与内存消耗，硬件实现的总体代价也是必须考虑的。AES的S盒的软件实现一般采用查表的方式，8×8的S盒的存储量为2⁸×8比特，但查表操作不适用于硬件实现，如果表的规模太大，查表操作的效率偏低，而表的存储量对于芯片面积有着严格要求的嵌入式系统是难以接受的。

针对S盒的硬件实现，目前比较流行的技术是引入元素的同构表示，其基本思想是通过一个可逆的线性变换T将域GF(2⁸)上的元素映射到复合域GF(2⁴)²)或塔域GF(((2²)²)²)上同构的元素，并在相应的域中求乘法逆。这种转化方法选取了实现代价相对较小的域，无需借助查表操作，对于硬件实现来说即减少开销，又避免了内存读写数据产生的延迟。不过原域与复合域之间的两次转化，以及复合域求逆引入的一系列GF(2⁴)或GF((2²)²)上的运算，也在一定程度上提高了S盒运算的复杂度。为此，对于S盒的设计，有必要应当在满足安全性需求的前提下对运算做适当的改进，使其硬件实现具备更高的效率。

发明内容

本发明的目的在于提供一种适用于硬件实现的8×8的S盒，在满足安全性需求的前提下，适当改变S盒传统的运算方式，使其硬件实现无需查表，使用复合域方法将具备更高的效率。

本发明给出的S盒将采用有限域上的逆函数与仿射变换的复合，其中的有限域的选取将使其逆函数的复合域硬件实现的代价相对较小。

本发明的技术方案概述如下：

一种应用于分组密码的S盒，其特征在于，

-          所述S盒为8×8的S盒；

-          所述S盒选自于有限域，中的任一元素均可看作一个8比特的数据，记为，，分别代表不同的比特位，在有限域意义下用多项式的形式表示为：，这里的、和都是多项式表示的不定元；

-          所述有限域的具体结构如下：； 其中，对应二进制表示；，对应二进制表示；

-          所述S盒的运算为：          函数是向量空间上的仿射变换，符号表示异或； 函数表示中的乘法逆函数：                          （1）

       本发明同时提供了所述S盒的电路实现方法，技术方案如下：

在S盒硬件电路的设计中，因为不采用查表操作，所以必须将（1）式分解为若干个域上的运算（即复合域方法）：可以表示成的一次多项式，，，若，则有：

               （2）

由上式可见，电路中必须嵌入实现的加法、乘法、常量乘法和平方等运算的子模块。

函数是向量空间上的仿射变换，符号表示异或（模2加）：

       （3）

这一步操作可直接用一个子模块实现。

本发明同时提供了S盒硬件设计的结构图（如图1所示），该结构按S盒的运算顺序分成两个部分，分别用于计算函数和。

函数的结构相对简单，只包含一个仿射变换模块，实现（3）式中所示的输入8比特和输出8比特数据之间的关系，只需比特的异或与取反操作就能实现这一模块。