武小年，舒 瑞，豆道饒，張潤(rùn)蓮，韋永壯

桂林電子科技大學(xué) 廣西密碼學(xué)與信息安全重點(diǎn)實(shí)驗(yàn)室，廣西 桂林 541004

S盒是分組密碼算法的重要組成部件，為密碼算法提供非線性變換，增加必要的混淆特性。S盒最早出現(xiàn)在Lucifer 算法中，隨后被廣泛推廣使用。在目前針對(duì)分組密碼算法的攻擊中，大多攻擊都是針對(duì)其S盒的攻擊。研究并設(shè)計(jì)強(qiáng)安全的S盒，有效抵抗各種攻擊威脅，以增強(qiáng)分組密碼算法的安全性是密碼算法設(shè)計(jì)研究的關(guān)鍵。

多年來，在對(duì)S 盒的研究中，逐步形成了構(gòu)造S盒的一些主要方法，包括數(shù)學(xué)方法構(gòu)造、利用密碼結(jié)構(gòu)構(gòu)造和基于計(jì)算智能算法構(gòu)造等。在理論研究和實(shí)際應(yīng)用中，基于上述方法，研究者們已經(jīng)構(gòu)造了各種強(qiáng)密碼學(xué)性質(zhì)的S盒，包括4/5/6/8/16/32/64比特的S 盒。目前，針對(duì)4/8 比特S 盒的研究工作較多。早在2007 年，Leander 等[1]提出最優(yōu)S 盒的概念，對(duì)S 盒的性質(zhì)進(jìn)行分析總結(jié)。2011年，Saarinen展示了所有4比特S盒的置換等價(jià)類[2]；Ullrich等[3]將便于硬件實(shí)現(xiàn)的4 比特S 盒劃分為302 個(gè)仿射等價(jià)類。2015 年，Canteaut 等[4]利用Feistel 和MISTY 結(jié)構(gòu)設(shè)計(jì)S 盒；Cheng 等[5]提出一種4 比特雙射S 盒的置換等價(jià)類改進(jìn)搜索算法，性能較2011年Saarinen等提出的算法大大提升。2016 年，Perrin 等[6]基于蝴蝶結(jié)構(gòu)設(shè)計(jì)S盒。2017年，Kapu?ciński等[7]將多目標(biāo)遺傳算法用于S盒。2018年，Ghoshal等[8]通過使用重復(fù)迭代簡(jiǎn)單的元胞自動(dòng)機(jī)規(guī)則構(gòu)建最優(yōu)4比特S盒，并優(yōu)化其實(shí)現(xiàn)面積和功耗成本。2019年，Mishra等[9]以監(jiān)督機(jī)器學(xué)習(xí)的輔助自動(dòng)化框架解決S 盒設(shè)計(jì)與分析問題；Zahid等[10]提出使用三次多項(xiàng)式映射生成8比特S盒，其構(gòu)造的S盒非線性度的最大值為108。2020年，張潤(rùn)蓮等[11]在文獻(xiàn)[8]的基礎(chǔ)上，采用變?cè)至坎糠止潭ê头謩e搜索的策略，提出搜索4 比特S 盒的新方法；黃俊君等[12]提出基于元胞自動(dòng)機(jī)（cellular automata，CA）設(shè)計(jì)的S盒的鏡面對(duì)稱性、互補(bǔ)性以及移位不變性三個(gè)性質(zhì)并進(jìn)行證明，進(jìn)一步提出一種權(quán)重閾值搜索算法實(shí)現(xiàn)對(duì)4元布爾函數(shù)的有效搜索；Wang等[13]將n比特S 盒的構(gòu)造看作將n個(gè)布爾函數(shù)放入容器的過程，其將布爾函數(shù)作為組成S 盒的染色體，提出一種新的遺傳算法，以S 盒的非線性為優(yōu)化目標(biāo)，以雙射性為優(yōu)化約束，并以此設(shè)計(jì)遺傳算法的交叉和變異算子，構(gòu)造高非線性度的雙射S 盒。2021 年，Kim等[14]使用較小的S盒，利用非平衡MISTY結(jié)構(gòu)和非平衡Bridge結(jié)構(gòu)構(gòu)造了差分分支數(shù)（difference branch number，DBA）和線性分支數(shù)（linear branch number，LBN）至少為3的8比特S盒，且其能高效地實(shí)現(xiàn)比特切片。

相對(duì)于4/8比特S盒，16/32/64比特S盒的輸入輸出位數(shù)較高，如一個(gè)完整的16 比特S 盒實(shí)例實(shí)質(zhì)上是0 到216-1 的排列組合，其復(fù)雜程度明顯提高。在保證S盒優(yōu)良密碼學(xué)性質(zhì)基礎(chǔ)上，這類高比特S盒的復(fù)雜度大大提升，其抵抗攻擊的能力也會(huì)相應(yīng)增強(qiáng)，但目前這類S 盒的研究工作并不太多。2011 年，Piccolo 算法[15]采用了SPS（substitution permutation substitution）結(jié)構(gòu)利用4個(gè)并置的輕量級(jí)4比特S盒與MDS（maximum distance separable）矩陣組合充當(dāng)16比特S盒；類似的，在2019年的美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）第二輪算法Saturnin[16]中，同樣使用4個(gè)4比特置換S盒基于SPS結(jié)構(gòu)充當(dāng)16比特S盒。2019年，徐洪等[17]在NBC算法中，基于含有4個(gè)狀態(tài)更新函數(shù)的16 級(jí)非線性反饋移位寄存器（nonlinear feedback shift register，NFSR）迭代20拍構(gòu)造出16比特S盒；田甜等[18]在SPRING 算法中，使用NFSR-SR 迭代20 輪或者32 輪實(shí)現(xiàn)對(duì)32 比特S 盒的構(gòu)造，但由于S 盒的復(fù)雜度較高，僅計(jì)算出S盒的最大差分概率為20/231。2020 年，Beierle 等[19]基于And、Rotation、XOR 操作通過8輪迭代設(shè)計(jì)一個(gè)構(gòu)造64比特S盒的Alzette結(jié)構(gòu)，并對(duì)其安全性指標(biāo)的上下界進(jìn)行了分析，其迭代一次的差分性質(zhì)與線性特性與AES（advanced encryption standard）相當(dāng)，迭代兩次其安全性與AES 超級(jí)S盒相同。

本文將Lai-Massey結(jié)構(gòu)與NFSR組件相結(jié)合，設(shè)計(jì)一個(gè)三輪迭代的L-M-NFSR 結(jié)構(gòu)，構(gòu)造16 比特S盒。在L-M-NFSR結(jié)構(gòu)中，在左右分支各增加一個(gè)迭代少量拍數(shù)即可符合嚴(yán)格雪崩特性的NFSR 組件用于提高結(jié)構(gòu)的擴(kuò)散性，以具有優(yōu)良密碼學(xué)性質(zhì)的AES算法8比特S盒通過仿射等價(jià)構(gòu)造一個(gè)樣本集，并從中選擇3 個(gè)8 比特S 盒作為輪函數(shù)，最后通過遍歷搜索生成16比特S盒，并采用圖形處理器（graphics processing unit，GPU）進(jìn)行并行計(jì)算，評(píng)估所生成S盒的差分均勻度、非線性度、信噪比、代數(shù)次數(shù)等密碼性質(zhì)。測(cè)試結(jié)果表明基于L-M-NFSR 結(jié)構(gòu)可以生成性質(zhì)優(yōu)良的16比特S盒。

1 基于L-M-NFSR結(jié)構(gòu)的16比特S盒構(gòu)造

16比特密碼S盒的輸入輸出位數(shù)較高，一個(gè)完整的16比特S盒實(shí)例實(shí)質(zhì)上是0到216-1的一種排列組合，復(fù)雜度明顯高于4/8 比特S 盒。由于16 比特S 盒的分量布爾函數(shù)的多項(xiàng)式復(fù)雜，使用數(shù)學(xué)方法或智能算法構(gòu)造較困難，本文將以Lai-Massey 結(jié)構(gòu)和NFSR組件相結(jié)合構(gòu)造16比特S盒。

1.1 L-M-NFSR結(jié)構(gòu)的設(shè)計(jì)

Lai-Massey密碼結(jié)構(gòu)也稱為L(zhǎng)-M結(jié)構(gòu)，是典型的迭代分組密碼結(jié)構(gòu)，該結(jié)構(gòu)源自IDEA（international data encryption algorithm）算法，隨后由Vaudenay[20]在1999年從IDEA算法中抽象出Lai-Massey模型，該結(jié)構(gòu)架構(gòu)簡(jiǎn)潔，在軟件實(shí)現(xiàn)多拍迭代時(shí)較為容易。利用Lai-Massey 設(shè)計(jì)加密算法時(shí)，輪函數(shù)的設(shè)計(jì)是關(guān)鍵，簡(jiǎn)單的輪函數(shù)抵御各種攻擊的能力較差，而復(fù)雜的輪函數(shù)往往構(gòu)造困難并增加實(shí)現(xiàn)的復(fù)雜性。本方案中，擬采用具有優(yōu)良密碼性質(zhì)的AES算法8比特S盒仿射等價(jià)構(gòu)造的8比特S盒作為輪函數(shù)。

為了提高Lai-Massey結(jié)構(gòu)的擴(kuò)散性和混淆性，在結(jié)構(gòu)的左右分支中添加NFSR組件參與運(yùn)算。NFSR常被用于流密碼中作為密鑰產(chǎn)生器，具有結(jié)構(gòu)簡(jiǎn)單、易于實(shí)現(xiàn)、狀態(tài)函數(shù)更新靈活的優(yōu)勢(shì)。添加的NFSR組件都能夠在迭代多拍之后達(dá)到嚴(yán)格雪崩特性，為新結(jié)構(gòu)搜索16比特S盒提供更好的擴(kuò)散性支持。新的L-M-NFSR結(jié)構(gòu)如圖1所示。

圖1 L-M-NFSR結(jié)構(gòu)圖Fig.1 L-M-NFSR structure diagram

L-M-NFSR結(jié)構(gòu)是一個(gè)平衡的二分支結(jié)構(gòu)，迭代輪數(shù)為3 輪。針對(duì)Lai-Massey 結(jié)構(gòu)的安全性的研究較多，其安全性的高低取決于輪函數(shù)的設(shè)計(jì)是否性質(zhì)優(yōu)良，如Vaudenay曾證明出當(dāng)函數(shù)為偽隨機(jī)函數(shù)，并滿足雙射變換σ是α-的近乎正型函數(shù)時(shí)，此時(shí)3輪的Lai-Massey 結(jié)構(gòu)是安全的，當(dāng)達(dá)到4 輪時(shí)，該結(jié)構(gòu)甚至在選擇密文分析的情況下仍然是安全的[20]；2010 年，Luo 等[21]證明出該結(jié)構(gòu)在3 輪時(shí)就已經(jīng)達(dá)到偽隨機(jī)特性，在4輪時(shí)可以達(dá)到超偽隨機(jī)特性。輪數(shù)的增加會(huì)提高整體結(jié)構(gòu)的安全性，但此時(shí)整體結(jié)構(gòu)的算法實(shí)現(xiàn)也會(huì)變得更加復(fù)雜。因此，L-M-NFSR結(jié)構(gòu)的迭代輪數(shù)被設(shè)定為3輪。

輪函數(shù)采用8比特S盒替代，在此以密碼性質(zhì)優(yōu)良的AES 算法的8 比特S 盒作為樣本通過仿射等價(jià)構(gòu)造出一批具有同樣優(yōu)良性質(zhì)的8 比特S 盒樣本集。樣本集中的8比特S盒都具有雙射性，非線性度為112，差分均勻度為4，代數(shù)次數(shù)為7。這些S 盒作為輪函數(shù)，可以為16 比特S 盒的構(gòu)造提供良好的非線性以及差分均勻性支持。同時(shí)，通過替換這些被選擇作為輪函數(shù)的8比特S盒，可以方便地構(gòu)造出新的16 比特S 盒，增加了部件的可變性，結(jié)構(gòu)變換靈活，在實(shí)際應(yīng)用中也更加安全。

在圖1中，以L和R表示左右兩分支的8比特輸入，L,R∈；L′和R′表示該結(jié)構(gòu)左右兩個(gè)分支的8比特輸出，L′,R′∈；NFSR1和NFSR2為設(shè)計(jì)的兩個(gè)8 級(jí)非線性反饋移位寄存器；⊕表示異或運(yùn)算；S0、S1、S2分別表示每一輪中采用的8 比特S 盒。NFSR1和NFSR2在結(jié)構(gòu)第一輪中的計(jì)算結(jié)果分別以A1和B1表示，在結(jié)構(gòu)第二輪計(jì)算中的結(jié)果分別以A2和B2表示，||表示連接符號(hào)，即結(jié)構(gòu)左右兩個(gè)分支的輸出比特串首位相接，則L-M-NFSR結(jié)構(gòu)的輸出函數(shù)SLMN(L,R)如式（1）：

1.2 NFSR結(jié)構(gòu)設(shè)計(jì)

NFSR由異或運(yùn)算和與運(yùn)算構(gòu)成，一個(gè)n級(jí)NFSR概念圖如圖2所示。

圖2 NFSR概念圖Fig.2 NFSR concept diagram

圖2 中，一個(gè)NFSR 由n個(gè)狀態(tài)寄存器和一個(gè)狀態(tài)反饋函數(shù)組成，每經(jīng)過一個(gè)移位脈沖信號(hào)，寄存器中的所有位向右移動(dòng)，最右邊那一位移出，而反饋函數(shù)f的結(jié)果反饋到寄存器最左邊的存儲(chǔ)單元中，按此過程循環(huán)。其中，寄存器狀態(tài)xi的取值為0 或者1，其隨著寄存器每一輪的計(jì)算不斷更新。

在NFSR結(jié)構(gòu)中，若狀態(tài)更新函數(shù)含有異或運(yùn)算和與運(yùn)算，則該反饋移位寄存器是非線性的；若只有異或操作，則反饋移位寄存器是線性的。為保證圖1中NFSR組件的非線性，設(shè)計(jì)時(shí)定義狀態(tài)更新函數(shù)包含與運(yùn)算。為獲得迭代少量拍數(shù)即可達(dá)到嚴(yán)格雪崩特性的NFSR 組件，嘗試在每一輪的迭代前，先取其中兩個(gè)位置進(jìn)行與操作，然后判斷其非線性性質(zhì)，這確保設(shè)計(jì)的NFSR 組件中都有2 個(gè)狀態(tài)更新函數(shù)包含了異或運(yùn)算和與運(yùn)算，從而使得NFSR 組件可以每迭代一拍就會(huì)以非線性的方式完成寄存器狀態(tài)的更新。

具體地，為構(gòu)造圖1 中的兩個(gè)NFSR 組件，設(shè)置每個(gè)NFSR組件有8個(gè)狀態(tài)寄存器，以表示寄存器迭代前的某個(gè)比特位狀態(tài)，以表示寄存器迭代后的比特位狀態(tài)；⊕表示異或運(yùn)算，?表示與運(yùn)算。通過多次測(cè)試，確定了兩個(gè)符合要求的NFSR 組件，每個(gè)NFSR 組件設(shè)置了4 個(gè)狀態(tài)更新函數(shù)，其更新位置分別為，其結(jié)構(gòu)如圖3所示。

圖3 NFSR1結(jié)構(gòu)圖Fig.3 NFSR1 structure diagram

NFSR1狀態(tài)更新函數(shù)如式（2）：

為簡(jiǎn)化NFSR2的設(shè)計(jì)，對(duì)NFSR1的兩個(gè)位置的狀態(tài)更新函數(shù)進(jìn)行更改，NFSR2的具體結(jié)構(gòu)如圖4所示。

圖4 NFSR2結(jié)構(gòu)圖Fig.4 NFSR2 structure diagram

NFSR2狀態(tài)更新函數(shù)如式（3）：

在迭代至10拍時(shí)，NFSR1符合嚴(yán)格雪崩準(zhǔn)則，雪崩效應(yīng)程度能夠達(dá)到n/2，即4；迭代至23 拍時(shí)，NFSR2也符合嚴(yán)格雪崩準(zhǔn)則。

1.3 16比特S盒搜索過程

在L-M-NFSR結(jié)構(gòu)中，使用了3個(gè)8比特S盒、兩個(gè)NFSR 組件，再通過遍歷左右兩個(gè)分支輸入數(shù)據(jù)，構(gòu)造出16 比特S 盒。針對(duì)基于L-M-NFSR 結(jié)構(gòu)搜索16比特S盒的搜索過程如算法1所示。

算法1基于L-M-NFSR結(jié)構(gòu)生成S盒流程

輸入：基于AES 算法S 盒仿射等價(jià)構(gòu)造的8 比特S 盒樣本集SBox8，Sbox8 中S盒的個(gè)數(shù)n。

輸出：生成的16比特S盒txt文件。

基于L-M-NFSR 結(jié)構(gòu)生成的16 比特S 盒的數(shù)量取決于所構(gòu)造8比特S盒樣本集的大小，假設(shè)8比特S盒樣本集的大小為n，則基于該方法可搜索出n3個(gè)16比特S盒。

2 測(cè)試結(jié)果及分析

2.1 測(cè)試環(huán)境

在計(jì)算機(jī)處理器為Intel?CoreTMi5-4210U，主頻1.70 GHz，RAM為8 GB，操作系統(tǒng)為64位Windows 10專業(yè)版環(huán)境下，先采用Java語言實(shí)現(xiàn)對(duì)AES算法S盒的仿射等價(jià)，產(chǎn)生一批8比特S盒樣本集；再采用Java實(shí)現(xiàn)基于L-M-NFSR結(jié)構(gòu)的16比特S盒搜索算法，生成一批16比特S盒。

為評(píng)估S 盒的密碼學(xué)性質(zhì)，測(cè)試所生成的16 比特S 盒是否滿足雙射性，并測(cè)試其差分均勻度、非線性度、信噪比、代數(shù)次數(shù)。由于計(jì)算16比特S盒的非線性度、差分均勻度等性質(zhì)的復(fù)雜度較高，采用常用CPU 計(jì)算方式耗時(shí)較長(zhǎng)，在此采用GPU 技術(shù)進(jìn)行并行計(jì)算，大大縮短各個(gè)性質(zhì)的計(jì)算時(shí)間，提高測(cè)試效率。

2.2 S盒性質(zhì)測(cè)試及分析

在S盒構(gòu)造中，8比特S盒樣本集共放置了7個(gè)性質(zhì)優(yōu)良的8 比特S 盒，最終生成了343 個(gè)16 比特S盒。盡管采用GPU 技術(shù)提高了測(cè)試效率，但其密碼學(xué)性質(zhì)計(jì)算仍然耗時(shí)較長(zhǎng)，如一個(gè)16 比特S 盒的非線性度計(jì)算還需要3天。在此只選取前256個(gè)S盒進(jìn)行測(cè)試，測(cè)試結(jié)果表明這些S 盒都滿足雙射性，其他性質(zhì)的測(cè)試結(jié)果如表1所示。

表1 16比特S盒性質(zhì)測(cè)試的上下限Table 1 Upper and lower limits of 16-bit S-box

差分攻擊在密碼算法攻擊中具有極強(qiáng)的威脅性，而防御差分攻擊的能力與密碼算法使用的S盒息息相關(guān)。差分均勻度是評(píng)估S 盒能否抵御差分攻擊的一個(gè)重要指標(biāo)，S 盒的差分分布越均勻，差分均勻度越小，其抵抗差分攻擊的可能性就越高。256 個(gè)S盒的差分均勻度最大為22，最小為18，差分均勻度散點(diǎn)圖如圖5所示。

圖5 S盒的差分均勻度散點(diǎn)圖Fig.5 S-box differential uniformity scatterplot

非線性度用于檢驗(yàn)S 盒抵抗線性攻擊的能力，S盒的非線性度越高，或者線性度越小，則有效抵御線性攻擊的能力越強(qiáng)。256個(gè)S盒的非線性度值最高為31 992，所有S盒的非線性度散點(diǎn)圖如圖6所示。

圖6 S盒的非線性度散點(diǎn)圖Fig.6 S-box nonlinearity scatterplot

側(cè)信道攻擊通過采集密碼算法運(yùn)行過程中泄漏的側(cè)信息進(jìn)行分析，從物理層面實(shí)現(xiàn)對(duì)密碼算法的攻擊，常用方法有差分功耗分析（differential power analysis，DPA）、相關(guān)功耗分析（correlation power analysis，CPA）等。信噪比（signal-to-noise ratio，SNR）在2004 年CARDIS 會(huì)議上由Guilley 等[22]提出，是根據(jù)傳統(tǒng)密碼分析框架對(duì)信息泄露進(jìn)行完整建模，獲取密鑰猜測(cè)值的漢明重量的自相關(guān)值，其具體定義如下：對(duì)于n比特的S盒函數(shù)S是的映射布爾函數(shù)，其信噪比為：

其中，fiw(a)表示構(gòu)成S 盒的分量布爾函數(shù)fi(x)的Walsh 譜變換，i=0,1,…,n-1。信噪比模型和定義表明，非線性S盒的噪聲對(duì)密碼算法的DPA信號(hào)起著決定性作用，S 盒的信噪比越低，其抵抗DPA 攻擊的能力越強(qiáng)。對(duì)所生成的256 個(gè)S 盒的信噪比計(jì)算發(fā)現(xiàn)，其大多低于148，散點(diǎn)圖如圖7所示。

圖7 S盒的信噪比散點(diǎn)圖Fig.7 S-box signal-to-noise ratio scatterplot

代數(shù)次數(shù)是評(píng)估S盒抵抗插值攻擊、立方攻擊等代數(shù)攻擊的評(píng)估指標(biāo)，這256個(gè)16比特S盒的代數(shù)次數(shù)均達(dá)到最優(yōu)15。

2.3 NFSR對(duì)L-M-NFSR結(jié)構(gòu)的影響分析

NFSR 組件的加入，增加了L-M-NFSR 結(jié)構(gòu)實(shí)現(xiàn)的成本開銷，但其優(yōu)化了所生成S 盒的密碼學(xué)性質(zhì)。為評(píng)估其對(duì)S盒性質(zhì)的影響，去掉L-M-NFSR結(jié)構(gòu)中的NFSR組件，其結(jié)構(gòu)如圖8所示。

圖8 去掉NFSR組件的L-M-NFSR結(jié)構(gòu)圖Fig.8 L-M-NFSR structure diagram without NFSR components

基于圖8，按照上述搜索方法生成16 比特S 盒，并測(cè)試其差分均勻度，這些S盒的差分均勻度散點(diǎn)圖如圖9所示。

圖9 去掉NFSR后生成的S盒的差分均勻度散點(diǎn)圖Fig.9 Scatterplot of differential uniformity of S-boxes without NFSR components

由圖9 可看出，在去掉NFSR 組件后，所生成16比特S 盒的差分均勻度非常高，其差分特性很差，不能抵抗差分攻擊。圖5結(jié)果表明，在加入了兩個(gè)符合嚴(yán)格雪崩準(zhǔn)則的NFSR組件之后，其差分均勻度得到極大優(yōu)化，最高僅為22。

2.4 S盒性質(zhì)對(duì)比分析

目前16 比特S 盒的構(gòu)造方法，主要有Piccolo 和Saturnin 算法中使用的SPS 結(jié)構(gòu)16 比特S 盒，以及NBC算法中使用16級(jí)NFSR構(gòu)造16比特S盒。NBC算法入選全國密碼算法設(shè)計(jì)競(jìng)賽分組算法第二輪，該算法在抵抗線性、差分、積分分析等方面具有較高的安全性，其在測(cè)試中給出了S 盒的線性度、差分均勻度以及代數(shù)次數(shù)等性質(zhì)的具體結(jié)果。基于上述同樣的實(shí)驗(yàn)環(huán)境，測(cè)試了Piccolo、Saturnin 和NBC 算法S 盒的相關(guān)性質(zhì)，并與本文方法構(gòu)造的3 個(gè)S 盒SLMN1、SLMN2 和SLMN3 的測(cè)試結(jié)果列舉如表2所示。

表2 不同方法構(gòu)造的S盒性質(zhì)測(cè)試結(jié)果Table 2 Properties results of S-box constructed by different methods

由表2 可知，Piccolo 和Saturnin 算法中的S 盒代數(shù)次數(shù)僅為9，其他性質(zhì)也都較弱。NBC算法S盒和本文構(gòu)造的16 比特S 盒的代數(shù)次數(shù)都達(dá)到最優(yōu)15，其他相關(guān)性質(zhì)都明顯增強(qiáng)。Piccolo 和Saturnin 算法中的S 盒都是采用4 比特S 盒基于SPS 結(jié)構(gòu)與MDS矩陣組合充當(dāng)16 比特S 盒，其硬件實(shí)現(xiàn)成本較高。NBC 算法S 盒采用NFSR 構(gòu)造，其實(shí)現(xiàn)比較簡(jiǎn)單，硬件成本較低。本文基于L-M-NFSR結(jié)構(gòu)所構(gòu)造的16比特S 盒，其密碼學(xué)性質(zhì)稍優(yōu)于NBC 算法S 盒，但在S 盒的具體實(shí)現(xiàn)中，由于采用了8 比特S 盒提供混淆特性，其硬件實(shí)現(xiàn)成本高于NBC 算法S 盒。盡管NBC 算法S 盒實(shí)現(xiàn)的硬件成本較低，但其需要迭代20 輪才能達(dá)到最優(yōu)的密碼學(xué)性質(zhì)，而本文方法只需迭代1 輪，實(shí)現(xiàn)速度更快。此外，本文方法的可變性強(qiáng)，通過更換8比特S盒可以快速構(gòu)造出許多新的性質(zhì)較優(yōu)的16比特S盒。

3 結(jié)束語

本文將Lai-Massey結(jié)構(gòu)與NFSR組件相結(jié)合，構(gòu)造一種新的L-M-NFSR結(jié)構(gòu)，以AES算法S盒進(jìn)行仿射等價(jià)獲得的8比特S盒作為新結(jié)構(gòu)中的輪函數(shù)，左右分支增加NFSR 組件，通過3 輪迭代和遍歷搜索，構(gòu)造出16 比特S 盒。為提高對(duì)所構(gòu)造S 盒性質(zhì)的評(píng)估效率，采用GPU技術(shù)進(jìn)行并行計(jì)算，測(cè)試S盒的差分均勻度、非線性度、信噪比等。測(cè)試結(jié)果表明，本文方法構(gòu)造的16 比特S 盒具有較優(yōu)的差分均勻度、非線性度和信噪比，具有一定的抵御數(shù)學(xué)攻擊和差分功耗攻擊的能力。今后的工作中，考慮進(jìn)一步優(yōu)化結(jié)構(gòu)，降低實(shí)現(xiàn)成本。