CN102006161B - 一种对称密钥加密的非线性变换方法及其实现装置 - Google Patents

Abstract

本发明提供了一种对称密钥加密的非线性变换方法及装置，可作为S盒直接使用，该S盒使用有限域上的函数复合仿射变换，在保持AES的S盒原有的结构和密码学性质的基础上，通过增加非线性运算的次数，在提高S盒的代数免疫度的同时又不降低其复合域硬件实现方式的复杂度。本发明还提供了实现该S盒的硬件实现方法，该方法引入了元素的复合域表示，把原域的求逆转化为复合域的求逆，并将若干线性与仿射变换进行合并，其中复合域求逆涉及到的子域上的运算，包括乘法、平方、常量乘法和求逆等均转化为比特之间的异或运算和与运算。整个S盒的硬件实现过程只需使用简单的逻辑门电路，无需查表，减少了硬件实现的开销，并降低了路径延迟。

Description

一种对称密钥加密的非线性变换方法及其实现装置

技术领域

本发明属于信息安全领域，具体涉及到一种分组密码算法中的非线性变换(S盒)的设计及其复合域硬件实现方式。

背景技术

信息安全涉及到信息的保密性、完整性、认证性等内容。其中，密码理论是信息安全的基础。密码算法主要分为对称密码算法和非对称密码算法两大类。对称加密算法指加密密钥和解密密钥相同，或知道密钥之一很容易推导得到另一个密钥。通常情况下，对称密码算法的设计不仅要考虑到算法的安全强度，更要注重算法的实现性能：软件实现性能和硬件实现性能。软件实现主要考虑的是算法的实现速度以及与内存的需求，有时候还与具体运行环境(如CPU的计算能力)以及源代码的质量有关。硬件实现因为具备更高的速度和更强的物理安全性，实现价值更强，但除了实现的速度与内存，硬件实现的总体代价也是必须考虑的。

以分组密码为例，一个分组密码算法大体上都包含混淆层与扩散层。混淆层一般是用若干并置、独立的S盒构成，作为提供混淆作用的部件，S盒多采用随机置换或有限域上的非线性函数，而扩散层则多采用线性变换。从算法实现的角度来看，线性变换的复杂度相对较低，因此混淆层的实现方式，特别是S盒的实现方式在很大程度上决定了整个密码算法的实现性能，这也是分组密码的研究热点之一。作为分组密码的典型代表，高级加密标准(AES)的S盒是用有限域GF(2⁸)上的求乘法逆和GF(2)上的仿射变换复合而成。根据设计者的介绍，该S盒所选取的函数具备比较理想的密码学性质。然而，因为代数结构过于清晰简洁，以有限域求逆复合放射变换作为S盒并不具备较强的抗代数攻击的性能。

AES的S盒的软件实现一般采用查表的方式，但8×8的S盒的存储量为2⁸×8比特，这对于芯片面积有着严格要求的嵌入式系统是难以接受的。因此对于S盒的硬件实现，必须作相应的转化，特别针对于其中求乘法逆这一非线性操作。目前比较流行的技术是引入元素的复合域表示，其基本思想是通过一个可逆的线性变换T将原域GF(2⁸)上的每个元素映射到复合域GF((2⁴)²)上同构的元素，并在复合域GF((2⁴)²)中求乘法逆，再用线性变换T^-1还原到原域进行余下的操作。这种基于复合域的转化方法有效地减少了芯片的面积，对于硬件实现来说既减少开销，又避免了内存读写数据产生的延迟。不过原域与复合域之间的转化，以及复合域求逆引入的一系列子域GF(2⁴)的运算。

综上所述，一个好的密码算法应当既具备理想的安全强度，又能在软硬件实现中体现出优越性。但算法理论上的安全性与实际的实现性能往往是一对矛盾，如何在其中找到一个平衡点是一个非常复杂的问题。

发明内容

本发明旨在提供一种密码学性能较强的8×8的S盒，在保持AES的S盒原有的结构和密码学性质的基础上，通过增加非线性运算的次数，在提高S盒的代数免疫度的同时又不降低其复合域硬件实现方式的复杂度。

本发明的技术方案概述如下：

一种对称密钥加密的非线性变换方法，该非线性变换可看作一个8×8的S盒，其特征在于，

-该S盒选自于有限域GF(2⁸)＝GF(2)/(x⁸+x⁴+x³+x²+1)，GF(2⁸)中的任一元素x均可看作一个字节，记x＝(x₇，x₆，…，x₀)^T，x_i∈GF(2)代表字节x不同的比特位。

-该S盒的运算为：

S：GF(2⁸)→GF(2⁸)

代数结构见图1，以下说明所用的符号与图1一致。

-S盒由有限域中的三个函数复合而成，其中函数g(x)表示有限域GF(2⁸)中的乘法逆函数：

g：GF(2⁸)→GF(2⁸)

-p(w)定义有限域GF(2⁸)中的一个线性化单项式：

p：GF(2⁸)→GF(2⁸)

-f(z)是向量空间(GF(2))⁸上的仿射变换，符号

表示异或(模2加)：

$y=f\left(z\right)\⇔\left[\begin{array}{c}{y}_7\\ y_6\\ y_5\\ y_4\\ y_3\\ y_2\\ y_1\\ y_0\end{array}\right]=\left[\begin{array}{cccccccc}0& 1& 0& 0& 0& 1& 0& 0\\ 1& 0& 0& 0& 0& 0& 1& 0\\ 0& 0& 1& 0& 1& 0& 0& 1\\ 0& 0& 1& 0& 0& 0& 0& 1\\ 0& 0& 0& 1& 0& 0& 1& 0\\ 0& 1& 0& 0& 1& 0& 0& 0\\ 1& 0& 0& 0& 0& 0& 0& 1\\ 0& 0& 0& 1& 0& 1& 0& 0\end{array}\right]\×\left[\begin{array}{c}{z}_7\\ z_6\\ z_5\\ z_4\\ z_3\\ z_2\\ z_1\\ z_0\end{array}\right]\⊕\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right].$

本发明同时提供了实现该方法的装置，包括如下模块：

-T模块，实现线性变换矩阵：

$T\·x=\left[\begin{array}{cccccccc}0& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 0& 0& 1& 0& 0\\ 0& 0& 0& 1& 1& 0& 1& 0\\ 1& 0& 0& 1& 0& 0& 0& 0\\ 0& 0& 1& 0& 0& 1& 1& 0\\ 1& 0& 0& 1& 1& 0& 1& 0\\ 0& 0& 1& 0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1& 0& 1& 1\end{array}\right]\×\left[\begin{array}{c}{x}_7\\ x_6\\ x_5\\ x_4\\ x_3\\ x_2\\ x_1\\ x_0\end{array}\right];$

-复合域求逆模块，实现GF((2⁴)²)的求逆操作；

-仿射变换模块AB，实现

$y=A\·\left(\mathrm{pq}\right)+B=\left[\begin{array}{c}{y}_7\\ y_6\\ y_5\\ y_4\\ y_3\\ y_2\\ y_1\\ y_0\end{array}\right]=\left[\begin{array}{cccccccc}1& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 0& 0& 0& 1& 1& 1& 1& 1\\ 1& 0& 0& 1& 0& 0& 0& 1\\ 0& 1& 0& 0& 1& 1& 1& 0\\ 1& 1& 1& 0& 1& 0& 1& 0\\ 1& 0& 1& 1& 0& 0& 1& 1\\ 0& 1& 0& 1& 0& 1& 1& 0\end{array}\right]\×\left[\begin{array}{c}{p}_3\\ p_2\\ p_1\\ p_0\\ q_3\\ q_2\\ q_1\\ q_0\end{array}\right]\⊕\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right];$

本发明的有益效果：本发明提供的S盒的构造相对比较简单，使用的有限域函数的复杂性较低，且密码学性质不弱于AES的S盒，但具备更强的代数免疫性，可以作为一个分组密码算法的混淆层部件；另一方面，由于使用的都是有限域上的运算，若采用复合域的方法，S盒的实现方式可以完全被转化为GF(2)的乘法与加法(见具体实施方式)，这样整个S盒的硬件实现只需要简单的逻辑电路，无需查表，减少了开销，且与AES的S盒的复合域硬件实现方法具有相同的复杂度。

附图说明

图1是S盒的代数结构图。

图2是S盒的代数结构，硬件实现采用复合域方法的结构与本发明的具体实施方式所提供的硬件实现方法的结构之间的关系。

图3是本发明提供的硬件实现方法的总体设计图，其中的圆角矩形表示数据，直角矩阵表示电路中使用的子模块，包括“T模块”、“AB模块”、“乘法模块”、“平方模块”、“λ模块”和“求逆模块”，符号

代表按位异或运算。

图4是T模块的门级电路图，T模块实现了图1所示的最终实现步骤的GF(2)同构变换T，图中的a7到a0代表输入的8比特，b7到b0代表输出的8比特。

图5是AB模块的门级电路图，AB模块实现了图1所示的最终实现步骤的GF(2)仿射变换，图中的a7到a0代表输入的8比特，b7到b0代表输出的8比特。

图6是乘法模块的门级电路图，乘法模块实现了GF(2⁴)的两个元素的乘法运算，图中的a3到a0与b3到b0分别代表两个乘法的4比特输入，c3到c0代表4比特输出。

图7是平方模块的门级电路图，平方模块实现了GF(2⁴)元素的平方运算，图中的a3到a0代表平方的4比特输入，b3到b0代表4比特输出。

图8是λ模块的门级电路图，λ模块实现了GF(2⁴)元素与常量λ相乘的运算，图中的a3到a0代表4比特输入，b3到b0代表4比特输出。

图9是求逆模块的门级电路图。求逆模块实现了GF(2⁴)元素的求逆运算，图中的a3到a0代表4比特输入，b3到b0代表4比特输出。

具体实施方式

下面结合具体的实例对本发明进行进一步说明。

本发明提供的S盒的硬件实现可以使用复合域方法，其代数结构，硬件实现采用复合域方法的运算结构与简化之后的运算结构之间的关系如图2所示，根据简化后的结构，图3给出了总体设计图，它可分为如下三个部分：

1.对输入的8比特数据进行线性变换T，它的矩阵形式为：

$T\·x=\left[\begin{array}{cccccccc}0& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 0& 0& 1& 0& 0\\ 0& 0& 0& 1& 1& 0& 1& 0\\ 1& 0& 0& 1& 0& 0& 0& 0\\ 0& 0& 1& 0& 0& 1& 1& 0\\ 1& 0& 0& 1& 1& 0& 1& 0\\ 0& 0& 1& 0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1& 0& 1& 1\end{array}\right]\×\left[\begin{array}{c}{x}_7\\ x_6\\ x_5\\ x_4\\ x_3\\ x_2\\ x_1\\ x_0\end{array}\right]$

这一变换使用单独的“T模块”即可实现，图4是T模块的门级电路图。

2.在复合域GF((2⁴)²)中求逆，其中GF((2⁴)²)＝GF(2⁴)/(x²+x+λ)，λ＝ω¹⁴＝ω³+1∈GF(2⁴)，ω是子域GF(2⁴)的本原元GF(2⁴)＝GF(2)/(x⁴+x+1)。GF((2⁴)²)的每一个元素都可以表示成GF(2⁴)上的一个一次多项式ax+b，这里的a和b都是4比特数据，构成的字节记为(a，b)，令px+q＝(ax+b)^-1＝invc(a，b)，函数invc表示复合域GF((2⁴)²)的求逆，则有：

$(p,q)=\mathrm{invc}(a,b)\⇔\left\{\begin{array}{c}p=a\×{(\mathrm{\λ}\×a^2+b\×(a+b))}^{-1}\\ q=(a+b)\×{(\mathrm{\λ}\×a^2+b\×(a+b))}^{-1}\end{array}\right.$

由于上式运算都定义在域GF(2⁴)中，因此这一步需要实现GF(2⁴)的乘法、平方、常量λ乘法和求逆等运算的子模块。

3.对上一步输出的8比特数据进行仿射变换AB，它的矩阵形式为：

$y=A\·\left(\mathrm{pq}\right)+B=\left[\begin{array}{c}{y}_7\\ y_6\\ y_5\\ y_4\\ y_3\\ y_2\\ y_1\\ y_0\end{array}\right]=\left[\begin{array}{cccccccc}1& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 0& 0& 0& 1& 1& 1& 1& 1\\ 1& 0& 0& 1& 0& 0& 0& 1\\ 0& 1& 0& 0& 1& 1& 1& 0\\ 1& 1& 1& 0& 1& 0& 1& 0\\ 1& 0& 1& 1& 0& 0& 1& 1\\ 0& 1& 0& 1& 0& 1& 1& 0\end{array}\right]\×\left[\begin{array}{c}{p}_3\\ p_2\\ p_1\\ p_0\\ q_3\\ q_2\\ q_1\\ q_0\end{array}\right]\⊕\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right]$

其中， $A=\left[\begin{array}{cccccccc}1& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 0& 0& 0& 1& 1& 1& 1& 1\\ 1& 0& 0& 1& 0& 0& 0& 1\\ 0& 1& 0& 0& 1& 1& 1& 0\\ 1& 1& 1& 0& 1& 0& 1& 0\\ 1& 0& 1& 1& 0& 0& 1& 1\\ 0& 1& 0& 1& 0& 1& 1& 0\end{array}\right],$ $B=\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right],$

(p，q)代表第2步输出的字节，y是整个模块电路的输出。这一变换使用单独的“AB模块”即可实现，图5是AB模块的门级电路图。

第2步的操作涉及了域GF(2⁴)的乘法、平方、常量乘法与求逆的运算，这些运算都可通过比特的异或、与和取反等简单的操作实现，以下是具体计算公式：令a，b∈GF(2⁴)，其中a＝a₃ω³+a₂ω²+a₁ω+a₀，b＝b₃ω³+b₂ω²+b₁ω+b₀，若c＝c₃ω³+c₂ω²+c₁ω+c₀＝a×b，根据有限域乘法的意义可得如下公式

$c=a\×b\⇔\left\{\begin{array}{c}{c}_3=a_3{b}_3\⊕a_3{b}_0\⊕a_2{b}_1\⊕a_1{b}_2\⊕a_0{b}_3\\ c_2=a_3{b}_3\⊕a_3{b}_2\⊕a_2{b}_3\⊕a_2{b}_0\⊕a_1{b}_1\⊕a_0{b}_2\\ c_1=a_3{b}_2\⊕a_3{b}_1\⊕a_2{b}_3\⊕a_2{b}_2\⊕a_1{b}_3\⊕a_1{b}_0\⊕a_0{b}_1\\ c_0=a_3{b}_1\⊕a_2{b}_2\⊕a_1{b}_3\⊕a_0{b}_0\end{array}\right..$

在上式中令b＝a，就得到平方的计算公式

$c=a^2\⇔\left\{\begin{array}{c}{c}_3=a_3\\ c_2=a_3\⊕a_1\\ c_1=a_2\\ c_0=a_2\⊕a_0\end{array}\right.$

因为λ＝ω³+1，可令b₃＝b₀＝1，b₁＝b₂＝0，就得到常量λ乘法的计算公式

$c=a\×\mathrm{\λ}\⇔\left\{\begin{array}{c}{c}_3=a_0\\ c_2=a_3\\ c_1=a_2\\ c_0=a_1\⊕a_0\end{array}\right.$

利用逆函数的代数正规型，可得到求逆的计算公式

$c=a^{-1}\⇔\left\{\begin{array}{c}{c}_3=a_3{a}_2{a}_1\⊕a_3{a}_2\⊕a_3{a}_1\⊕a_3{a}_0\⊕a_3\⊕a_2\⊕a_1\\ c_2=a_3{a}_2{a}_0\⊕a_3{a}_0\⊕a_2{a}_0\⊕a_1{a}_0\⊕a_3\⊕a_2\\ c_1=a_3{a}_1{a}_0\⊕a_3{a}_1\⊕a_2{a}_1\⊕a_2{a}_0\⊕a_1{a}_0\⊕a_3\\ c_0=a_3{a}_2{a}_1\⊕a_2{a}_1{a}_0\⊕a_2{a}_1\⊕a_2{a}_0\⊕a_3\⊕a_2\⊕a_1\⊕a_0\end{array}\right.$

图2中的“乘法模块”、“平方模块”、“λ模块”和“求逆模块”分别对应上述功能的子模块，图6到图9是这4个模块的门级电路图。

本发明提供了一种对称密钥加密的非线性变换及其高效的硬件实现方法，按硬件实现中运算，该方法对8比特数据的处理过程具体如下：

1.对8比特数据a＝(a₇，a₆，…，a₀)进行线性变换T，矩阵形式见发明内容，这一步的输出为b＝(b₇，…，b₀)；

2.将b看作复合域GF((2⁴)₂)中的元素，即b＝c₁x+c₀，c₁＝(b₇，…b₄)，c₀＝(b₃，…b₀)，对b＝c₁x+c₀在GF((2⁴)²)中求逆，令d₁x+d₀＝invc(c₁x+c₀)，，1nvc的计算公式见发明内容；

3.令e＝d₁x+d₀；

4.对e进行仿射变换AB，矩阵形式见发明内容，得到f；

5.输出f。

假定模块电路的输入的8比特数据为10110101，则按发明内容中S盒的运算步骤进行计算，每一步的计算如下：

1.对a＝(1，0，1，1，0，1，0，1)进行线性变换T，这一步的输出为b＝(1，0，1，0，0，0，1，1)：

$\left[\begin{array}{c}{b}_7\\ b_6\\ b_5\\ b_4\\ b_3\\ b_2\\ b_1\\ b_0\end{array}\right]=\left[\begin{array}{cccccccc}0& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 0& 0& 1& 0& 0\\ 0& 0& 0& 1& 1& 0& 1& 0\\ 1& 0& 0& 1& 0& 0& 0& 0\\ 0& 0& 1& 0& 0& 1& 1& 0\\ 1& 0& 0& 1& 1& 0& 1& 0\\ 0& 0& 1& 0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1& 0& 1& 1\end{array}\right]\×\left[\begin{array}{c}1\\ 0\\ 1\\ 1\\ 0\\ 1\\ 0\\ 1\end{array}\right]=\left[\begin{array}{c}1\\ 0\\ 1\\ 0\\ 0\\ 0\\ 1\\ 1\end{array}\right]$

2.b＝c₁x+c₀，c₁＝(1，0，1，0)，c₀＝(0，0，1，1)，对b＝c₁x+c₀在GF((2⁴)²)中求逆，令d₁x+d₀＝invc(c₁x+c₀)，

$\left\{\begin{array}{c}{d}_1=c_1\×{(\mathrm{\λ}\×{c_1}^2+c_0\×(c_1+c_0))}^{-1}=\left(\mathrm{1,0,0,0}\right)\\ d_0=(c_1+c_0)\×{(\mathrm{\λ}\×{c_1}^2+c_0\×(c_1+c_0))}^{-1}=\left(\mathrm{0,1,0,1}\right)\end{array}\right.$

3.e＝d₁x+d₀＝(1，0，0，0，0，1，0，1)；

4.对e进行仿射变换AB，矩阵形式见发明内容，得到f

$\left[\begin{array}{c}{f}_7\\ f_6\\ f_5\\ f_4\\ f_3\\ f_2\\ f_1\\ f_0\end{array}\right]=\left[\begin{array}{cccccccc}1& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 0& 0& 0& 1& 1& 1& 1& 1\\ 1& 0& 0& 1& 0& 0& 0& 1\\ 0& 1& 0& 0& 1& 1& 1& 0\\ 1& 1& 1& 0& 1& 0& 1& 0\\ 1& 0& 1& 1& 0& 0& 1& 1\\ 0& 1& 0& 1& 0& 1& 1& 0\end{array}\right]\×\left[\begin{array}{c}1\\ 0\\ 0\\ 0\\ 0\\ 1\\ 0\\ 1\end{array}\right]\⊕\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right]=\left[\begin{array}{c}1\\ 0\\ 1\\ 1\\ 1\\ 1\\ 1\\ 1\end{array}\right]$

输出f＝(1，0，1，1，1，1，1，1)。

Claims (9)

1.一种对称密钥加密的非线性变换方法，所述非线性变换为一个8×8的S盒，其特征在于，

-所述S盒选自于有限域GF(2⁸)＝GF(2)/(x⁸+x⁴+x³+x²+1)；

-所述S盒的运算为

S：GF(2⁸)→GF(2⁸)；

其中g(x)表示有限域GF(2⁸)中的乘法逆函数：

g：GF(2⁸)→GF(2⁸)；

p(w)为有限域GF(2⁸)中的一个线性化单项式：

p：GF(2⁸)→GF(2⁸)；

f(z)是向量空间(GF(2))⁸上的仿射变换：

$y=f\left(z\right)\⇔\left[\begin{array}{c}{y}_7\\ y_6\\ y_5\\ y_4\\ y_3\\ y_2\\ y_1\\ y_0\end{array}\right]=\left[\begin{array}{cccccccc}0& 1& 0& 0& 0& 1& 0& 0\\ 1& 0& 0& 0& 0& 0& 1& 0\\ 0& 0& 1& 0& 1& 0& 0& 1\\ 0& 0& 1& 0& 0& 0& 0& 1\\ 0& 0& 0& 1& 0& 0& 1& 0\\ 0& 1& 0& 0& 1& 0& 0& 0\\ 1& 0& 0& 0& 0& 0& 0& 1\\ 0& 0& 0& 1& 0& 1& 0& 0\end{array}\right]\×\left[\begin{array}{c}{z}_7\\ z_6\\ z_5\\ z_4\\ z_3\\ z_2\\ z_1\\ z_0\end{array}\right]\⊕\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right].$

2.如权利要求1所述的方法，其特征在于，所述S盒对数据的处理过程如下：

-对输入的8比特数据进行线性变换；

-在复合域GF((2⁴)²)中求逆；

-对上一步输出的8比特数据进行仿射变换AB。

3.如权利要求2所述的方法，其特征在于，所述复合域GF((2⁴)²)＝GF(2⁴)/(x²+x+λ)，λ＝ω¹⁴＝ω³+1∈GF(2⁴)，ω是子域GF(2⁴)的本原元，GF(2⁴)＝GF(2)/(x⁴+x+1)。

4.一种实现权利要求1所述方法的装置，其特征在于，所述装置包括如下模块：

-T模块，实现线性变换矩阵：

$T\·x=\left[\begin{array}{cccccccc}0& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 0& 0& 1& 0& 0\\ 0& 0& 0& 1& 1& 0& 1& 0\\ 1& 0& 0& 1& 0& 0& 0& 0\\ 0& 0& 1& 0& 0& 1& 1& 0\\ 1& 0& 0& 1& 1& 0& 1& 0\\ 0& 0& 1& 0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1& 0& 1& 1\end{array}\right]\×\left[\begin{array}{c}{x}_7\\ x_6\\ x_5\\ x_4\\ x_3\\ x_2\\ x_1\\ x_0\end{array}\right];$

-复合域求逆模块，实现GF((2⁴)²)的求逆操作，其中GF((2⁴)²)＝GF(2⁴)/(x²+x+λ)，λ＝ω¹⁴＝ω³+1∈GF(2⁴)，ω是子域GF(2⁴)的本原元GF(2⁴)＝GF(2)/(x⁴+x+1)；

-仿射变换模块AB，实现

$y=A\·\left(\mathrm{pq}\right)+B=\left[\begin{array}{c}{y}_7\\ y_6\\ y_5\\ y_4\\ y_3\\ y_2\\ y_1\\ y_0\end{array}\right]=\left[\begin{array}{cccccccc}1& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 0& 0& 0& 1& 1& 1& 1& 1\\ 1& 0& 0& 1& 0& 0& 0& 1\\ 0& 1& 0& 0& 1& 1& 1& 0\\ 1& 1& 1& 0& 1& 0& 1& 0\\ 1& 0& 1& 1& 0& 0& 1& 1\\ 0& 1& 0& 1& 0& 1& 1& 0\end{array}\right]\×\left[\begin{array}{c}{p}_3\\ p_2\\ p_1\\ p_0\\ q_3\\ q_2\\ q_1\\ q_0\end{array}\right]\⊕\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right],$

其中

$A=\left[\begin{array}{cccccccc}1& 0& 1& 0& 0& 0& 0& 0\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 0& 0& 0& 1& 1& 1& 1& 1\\ 1& 0& 0& 1& 0& 0& 0& 1\\ 0& 1& 0& 0& 1& 1& 1& 0\\ 1& 1& 1& 0& 1& 0& 1& 0\\ 1& 0& 1& 1& 0& 0& 1& 1\\ 0& 1& 0& 1& 0& 1& 1& 0\end{array}\right],B=\left[\begin{array}{c}0\\ 1\\ 1\\ 1\\ 0\\ 0\\ 1\\ 0\end{array}\right].$

5.如权利要求4所述的装置，其特征在于，所述复合域求逆模块的实现被分解为GF(2⁴)的乘法、平方、常量乘法与求逆的运算。

6.如权利要求5所述的装置，其特征在于，所述乘法运算对应于

$c=a\×b\⇔\left\{\begin{array}{c}{c}_3=a_3{b}_3\⊕a_3{b}_0\⊕a_2{b}_1\⊕a_1{b}_2\⊕a_0{b}_3\\ c_2=a_3{b}_3\⊕a_3{b}_2\⊕a_2{b}_3\⊕a_2{b}_0\⊕a_1{b}_1\⊕a_0{b}_2\\ c_1=a_3{b}_2\⊕a_3{b}_1\⊕a_2{b}_3\⊕a_2{b}_2\⊕a_1{b}_3\⊕a_1{b}_0\⊕a_0{b}_1\\ c_0=a_3{b}_1\⊕a_2{b}_2\⊕a_1{b}_3\⊕a_0{b}_0\end{array}\right..$

7.如权利要求5所述的装置，其特征在于，所述平方运算对应于

$c=a^2\⇔\left\{\begin{array}{c}{c}_3=a_3\\ c_2=a_3\⊕a_1\\ c_1=a_2\\ c_0=a_2\⊕a_0\end{array}\right..$

8.如权利要求5所述的装置，其特征在于，所述常量乘法运算对应于

$c=a\×\mathrm{\λ}\⇔\left\{\begin{array}{c}{c}_3=a_0\\ c_2=a_3\\ c_1=a_2\\ c_0=a_1\⊕a_0\end{array}\right..$

9.如权利要求5所述的装置，所述求逆运算对应于

$c=a^{-1}\⇔\left\{\begin{array}{c}{c}_3=a_3{a}_2{a}_1\⊕a_3{a}_2\⊕a_3{a}_1\⊕a_3{a}_0\⊕a_3\⊕a_2\⊕a_1\\ c_2=a_3{a}_2{a}_0\⊕a_3{a}_0\⊕a_2{a}_0\⊕a_1{a}_0\⊕a_3\⊕a_2\\ c_1=a_3{a}_1{a}_0\⊕a_3{a}_1\⊕a_2{a}_1\⊕a_2{a}_0\⊕a_1{a}_0\⊕a_3\\ c_0=a_3{a}_2{a}_1\⊕a_2{a}_1{a}_0\⊕a_2{a}_1\⊕a_2{a}_0\⊕a_3\⊕a_2\⊕a_1\⊕a_0\end{array}\right..$

Images