CN106330429A - Sm4算法的s盒的生成方法及装置 - Google Patents

Abstract

本发明公开了一种SM4算法的S盒的生成方法、装置及电路。所述方法包括：将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式。由于本申请将S盒的运算由有限域映射到复合域中实现，并进一步获得了所述S盒在复合域GF(((2²)²)²)中使硬件面积小于第一阈值的标准表达式，因此，本发明的S盒实现方法大大降低了S盒的硬件面积。

Description

SM4算法的S盒的生成方法及装置

技术领域

本发明涉及密码算法硬件实现技术领域，特别是涉及一种SM4算法的S盒的生成方法及装置。

背景技术

SM4算法是国家商用密码管理办公室公布的分组密码算法，是目前应用的最广泛的中国自主设计的分组密码算法。

该算法目前在智能卡和USBKey中逐步得到应用。由于智能卡和USBKey是资源有限、成本敏感的芯片，因此研究该算法在上述芯片中所占用的硬件面积有非常重要的意义。

在SM4分组密码算法中，S盒的硬件面积对整个SM4算法的硬件面积影响比较大，因此要降低该算法的硬件面积，首先要降低S盒的硬件面积。

因此，亟需一种能够减小SM4算法中S盒的硬件面积的方案。

发明内容

为解决上述技术问题，本发明实施例提供了一种SM4算法的S盒的生成方法及装置，减小SM4算法中S盒的硬件面积，技术方案如下：

一种SM4算法的S盒的生成方法，包括：

将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；

依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；

从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式。

所述标准表达式包括第一仿射变换矩阵和第二仿射变换矩阵，所述第一仿射变换矩阵和第二仿射变换矩阵为对所述同构映射矩阵进行仿射变换操作后的矩阵。

优选地，从所述标准表达式中，获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式，包括：

从所述标准表达式中，获取满足使所述第一仿射变换矩阵和所述第二仿射变换矩阵的汉明重量和小于第二阈值条件的目标标准表达式。

优选地，在将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中之前，还包括：

通过将所述S盒在有限域GF(2⁸)中的元素表达式映射到复合域GF(((2²)²)²)中，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式；

将所述复合域GF(((2²)²)²)中的元素表达式中的与元素矩阵相乘的映射矩阵作为所述同构映射矩阵。

优选地，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式，包括：

使用第一正规基将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式，所述第一正规基中的元素为常量属于有限域GF(2⁴)的二次不可约多项式的根，所述有限域GF(2⁴)中的一次线性多项式的系数属于有限域GF(2⁴)；

使用第二正规基将有限域GF(2⁴)中的元素表示为有限域GF(2²)中的一次线性多项式，所述第二正规基的元素为常量属于有限域GF(2²)二次不可约多项式的根，所述有限域GF(2²)中的一次线性多项式中的系数属于有限域GF(2²)；

使用第三正规基将有限域GF(2²)中的元素表示为有限域GF(2)中的一次线性多项式，所述第三正规基的元素为常量属于有限域GF(2)二次不可约多项式的根，所述有限域GF(2)中的一次线性多项式中的系数属于有限域GF(2)；

将有限域GF(2⁴)中的一次线性多项式中系数用有限域GF(2²)中的元素在有限域GF(2)中的一次线性多项式替换；

将有限域GF(2⁸)中的一次线性多项式中系数用有限域GF(2⁴)中的元素在有限域GF(2²)中的一次线性多项式替换，以获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

优选地，与所述第一正规基对应的二次不可约多项式的常量为8种，与第二正规基对应的二次不可约多项数的常量为2种，与第三正规基对应的二次不可约多项式的常量为1种；

相应地，所述同构映射矩阵为128种。

本申请还提供了一种SM4算法的S盒的生成装置，包括：

第一映射单元，用于将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；

获得单元，用于依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；

获取单元，用于从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式。

所述标准表达式包括第一仿射变换矩阵和第二仿射变换矩阵，所述第一仿射变换矩阵和第二仿射变换矩阵为对所述同构映射矩阵进行仿射变换操作后的矩阵；

优选地，所述获取单元，包括：

获取子单元，用于从所述标准表达式中，获取满足使所述第一仿射变换矩阵和所述第二仿射变换矩阵的汉明重量和小于第二阈值条件的目标标准表达式。

优选地，还包括：

第二映射单元，用于在将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中之前，通过将所述S盒在有限域GF(2⁸)中的元素表达式映射到复合域GF(((2²)²)²)中，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式；

优选地，识别单元，用于将所述复合域GF(((2²)²)²)中的元素表达式中的与元素矩阵相乘的映射矩阵作为所述同构映射矩阵。

优选地，所述第二映射单元，包括：

第一确定单元，用于使用第一正规基将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式，所述第一正规基中的元素为常量属于有限域GF(2⁴)的二次不可约多项式的根，所述有限域GF(2⁴)中的一次线性多项式的系数属于有限域GF(2⁴)；

第二确定单元，用于使用第二正规基将有限域GF(2⁴)中的元素表示为有限域GF(2²)中的一次线性多项式，所述第二正规基的元素为常量属于有限域GF(2²)二次不可约多项式的根，所述有限域GF(2²)中的一次线性多项式中的系数属于有限域GF(2²)；

第三确定单元，用于使用第三正规基将有限域GF(2²)中的元素表示为有限域GF(2)中的一次线性多项式，所述第三正规基的元素为常量属于有限域GF(2)二次不可约多项式的根，所述有限域GF(2)中的一次线性多项式中的系数属于有限域GF(2)；

第一替换单元，用于将有限域GF(2⁴)中的一次线性多项式中系数用有限域GF(2²)中的元素在有限域GF(2)中的一次线性多项式替换；

第二替换单元，用于将有限域GF(2⁸)中的一次线性多项式中系数用有限域GF(2⁴)中的元素在有限域GF(2²)中的一次线性多项式替换，以获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

一种实现SM4的S盒的电路，用于实现生成的SM4的S盒，所述电路包括：

第一电路、第二电路、第三电路；

所述第一电路用于计算θ，所述θ用于对有限域GF(2⁴)中的元素取逆，所述有限域GF(2⁴)中元素为用正规基对输入的有限域GF(2⁸)中的元素转换得到；

所述第二电路用于对所述θ取逆运算；

所述第三电路用于依据对所述θ取逆运算结果得到对所述有限域GF(2⁸)中元素取逆的结果，并依据该结果得到所述S盒的电路的输出。

本发明实施例所提供的技术方案，通过将S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，获得了所述S盒在复合域GF(((2²)²)²)中的标准表达式，并从该表达式中获取了使S盒对应的硬件面积小于第一阈值的目标标准表达式。由于本申请将S盒的运算由有限域映射到复合域中实现，并进一步获得了所述S盒在复合域GF(((2²)²)²)中使硬件面积小于第一阈值的标准表达式，因此，本发明的S盒实现方法大大降低了S盒的硬件面积。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例所提供的一种SM4算法的S盒的生成方法一种流程示意图；

图2为本发明实施例所提供的一种SM4算法的S盒的生成方法的另一种流程示意图；

图3为本发明实施例所提供的获得S盒在复合域GF(((2²)²)²)中的元素表达式的一种流程示意图；

图4为本发明实施例所提供的一种SM4算法的S盒的生成装置的一种结构示意图；

图5为本发明实施例所提供的一种SM4算法的S盒的生成装置的另一种结构示意图；

图6为本发明实施例所提供的获得S盒在复合域GF(((2²)²)²)中的元素表达式的一种结构示意图；

图7为本发明实施例所提供的实现S盒的电路的一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种SM4算法的S盒的生成方法，通过该S盒的生成方法能够降低S盒的硬件面积。

请参阅图1，图1为本申请实施例提供的一种SM4算法的S盒的生成方法的一种实现流程图，该方法包括：

步骤S11、将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵。

S盒在有限域GF(2⁸)中的标准表达式为S(x)＝A₂*I(A₁x+C₁)+C₂；

其中：A₁，A₂是仿射变换矩阵，C₁，C₂为列向量，具体值如下：

$A_1=A_2=\left(\begin{array}{cccccccc}1& 0& 1& 1& 0& 0& 1& 1\\ 1& 1& 1& 0& 1& 0& 0& 1\\ 1& 1& 1& 1& 0& 1& 0& 0\\ 0& 1& 1& 1& 1& 0& 1& 0\\ 0& 0& 1& 1& 1& 1& 0& 1\\ 1& 0& 0& 1& 1& 1& 1& 0\\ 0& 1& 0& 0& 1& 1& 1& 1\\ 1& 0& 1& 0& 0& 1& 1& 1\end{array}\right),C_1=C_2={\left(\begin{array}{cccccccc}1& 1& 0& 1& 0& 0& 1& 1\end{array}\right)}^T;$

x代表8比特的输入，可以逐比特表示为列向量：

x＝(x₇,x₆,x₅,x₄,x₃,x₂,x₁,x₀)^T；

I(x)表示在限域GF(2⁸)上的求逆运算。

由上可见，S盒在有限域GF(2⁸)中的标准表达式包括两次仿射变换和一次非线性的有限域求逆构成。由于在有限域GF(2⁸)上求逆的运算非常复杂，因此，本实施例的方案将在有限域GF(2⁸)中的求逆运算映射到复合域GF(((2²)²)²)中实现。

而在将有限域GF(2⁸)中的求逆运算映射到复合域GF(((2²)²)²)中实现之前，需要先将有限域GF(2⁸)中的元素映射到复合域GF(((2²)²)²)中，得到S盒在复合域GF(((2²)²)²)中的元素变量矩阵。

步骤S12、依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式。

S盒在复合域GF(((2²)²)²)中的标准表达式为S(x)＝A₂*T^-1(T*(A₁x+C₁))^-1+C₂；

其中，T为同构映射矩阵，T-¹为同构映射矩阵的逆矩阵，T*(A₁x+C₁)表示将S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中得到的S盒在复合域GF(((2²)²)²)中的元素变量矩阵，(T*(A₁x+C₁))^-1表示将有限域GF(2⁸)上求逆的运算映射到复合域GF(((2²)²)²)中实现。

步骤S13、从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式。

为了进一步减小S盒的硬件面积，利用矩阵运算的数学性质，把上述S盒在复合域GF(((2²)²)²)中的标准表达式中的仿射变换矩阵和同构映射矩阵进行合并，合并后的S盒在复合域GF(((2²)²)²)中的标准表达式为：

S(x)＝TA₂*((TA₁x+TC₁))^-1+C₂；

其中，TA1、TA2分别为合并后的第一仿射变换矩阵和第二仿射变换矩阵，TC1是合并后的列向量，C2为原始列向量，在公式变换中不受影响。

相应的，从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式，包括：

从所述标准表达式中，获取满足使所述第一仿射变换矩阵和所述第二仿射变换矩阵的汉明重量和小于第二阈值条件的目标标准表达式。

其中，汉明重量表示第一映射矩阵或第二映射矩阵中元素值为1的元素的个数。

由于第一映射矩阵和第二映射矩阵的汉明重量和直接决定S盒的硬件中的门的数量(即仿射变换运算的面积)，汉明重量和越小，所对应的S盒的硬件面积越小，因此，本实施例的方案获取的是使第一仿射变换矩阵和第二仿射变换矩阵的汉明重量和小于第二阈值的目标标准表达式。

本实施例所提供的方案，通过将S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，获得了所述S盒在复合域GF(((2²)²)²)中的标准表达式，并从该表达式中获取了使S盒对应的硬件面积小于第一阈值的目标标准表达式。由于本申请将S盒的运算由有限域映射到复合域中实现，并进一步获得了所述S盒在复合域GF(((2²)²)²)中使硬件面积小于第一阈值的标准表达式，因此，本发明的S盒实现方法大大降低了S盒的硬件面积。

参阅图2，图2为本申请实施例提供的一种SM4算法的S盒的生成方法的另一种实现流程图，该方法包括：

步骤S21、通过将所述S盒在有限域GF(2⁸)中的元素表达式映射到复合域GF(((2²)²)²)中，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

S盒在有限域GF(2⁸)中的元素表达式为：

g＝(g₇,g₆,g₅,g₄,g₃,g₂,g₁,g₀)＝g₇A⁷+g₆A⁶+g₅A⁵+g₄A⁴+g₃A³+g₂A²+g₁A¹+g₀；

其中，g₇,g₆,g₅,g₄,g₃,g₂,g₁,g₀为S盒在有限域GF(2⁸)中的元素；

A为不可约多项式f(x)＝x⁸+x⁷+x⁶+x⁵+x⁴+x³+x²+1的根。

本实施例为了使S盒的硬件面积最小，相较于多项式基，使用正规基将S盒在有限域GF(2⁸)中的元素表达式映射到复合域GF(((2²)²)²)中，并获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

具体地，如图3所示，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式，包括：

步骤S31、使用第一正规基将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式，所述第一正规基中的元素为常量属于有限域GF(2⁴)的二次不可约多项式的根，所述有限域GF(2⁴)中的一次线性多项式的系数属于有限域GF(2⁴)。

将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式为：

g＝a₁Y¹⁶+a₀Y，

其中，元素g∈GF(2⁸)，a₁，a₀∈GF(2⁴)，第一正规基[Y¹⁶,Y]为有限域GF(2⁴)下的一组正规基，Y¹⁶，Y为不可约多项式r(y)＝y²+y+v，v∈GF(2⁴)的两个根，v的取值为8种。

步骤S32、使用第二正规基将有限域GF(2⁴)中的元素表示为有限域GF(2²)中的一次线性多项式，所述第二正规基的元素为常量属于有限域GF(2²)二次不可约多项式的根，所述有限域GF(2²)中的一次线性多项式中的系数属于有限域GF(2²)。

将有限域GF(2⁴)中的元素表示为有限域GF(2²)中的一次线性多项式为：

a＝b₁Z⁴+b₀Z，

其中，元素a∈GF(2⁴)，b₁，b₀∈GF(2²)，第二正规基[Z⁴,Z]为有限域GF(2²)下的一组正规基，Z⁴，Z为不可约多项式s(z)＝z²+z+ρ，ρ∈GF(2²)的两个根，ρ的取值为2种。

步骤S33、使用第三正规基将有限域GF(2²)中的元素表示为有限域GF(2)中的一次线性多项式，所述第三正规基的元素为常量属于有限域GF(2)二次不可约多项式的根，所述有限域GF(2)中的一次线性多项式中的系数属于有限域GF(2)；

将有限域GF(2²)中的元素表示为有限域GF(2)中的一次线性多项式为：

b＝c₁W²+c₀W，

其中，元素b∈GF(2²)，c₁，c₀∈GF(2)，第三正规基[W²,W]为有限域GF(2)下的一组正规基，W²，W为不可约多项式t(w)＝w²+w+1的两个根。

步骤S34、将有限域GF(2⁴)中的一次线性多项式中的系数用有限域GF(2²)中的元素在有限域GF(2)中的一次线性多项式替换；

步骤S35、将有限域GF(2⁸)中的一次线性多项式中系数用有限域GF(2⁴)中的元素在有限域GF(2²)中的一次线性多项式替换，以获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

经过步骤S34、S35中的系数替换后，获得的S盒在复合域GF(((2²)²)²)中的元素表达式为：

[Y¹⁶Z⁴W²,Y¹⁶Z⁴W,Y¹⁶ZW²,Y¹⁶ZW,YZ⁴W²,YZ⁴W,YZW²,YZW]*[c₇,c₆,c₅,c₄,c₃,c₂,c₁,c₀]^T

其中，c₇,c₆,c₅,c₄,c₃,c₂,c₁,c₀为S盒在复合域GF(((2²)²)²)中的元素。

步骤S22、将所述复合域GF(((2²)²)²)中的元素表达式中的与元素矩阵相乘的映射矩阵作为所述同构映射矩阵；

基于以上获得的S盒在复合域GF(((2²)²)²)中的元素表达式，可知，与元素矩阵相乘的映射矩阵为[Y¹⁶Z⁴W²,Y¹⁶Z⁴W,Y¹⁶ZW²,Y¹⁶ZW,YZ⁴W²,YZ⁴W,YZW²,YZW]，因此，同构映射矩阵为[Y¹⁶Z⁴W²,Y¹⁶Z⁴W,Y¹⁶ZW²,Y¹⁶ZW,YZ⁴W²,YZ⁴W,YZW²,YZW]。

在获得S盒在所述复合域GF(((2²)²)²)中的元素表达式过程中，v有八种可选值使得多项式r(y)＝y²+y+v为有限域GF(2⁴)上的不可约多项式，ρ有两种可选值使得多项式s(z)＝z²+z+ρ为有限域GF(2²)上的不可约多项式，而t(w)＝w²+w+1只有一种选择为有限域GF(2)中的不可约多项式。由于每个多项式r(y)、s(z)或t(w)都有两个不同的根，因此在正规基下，得到的同构映射矩阵共有(8*2)*(2*2)*(1*2)＝128种。

步骤S23、将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；

步骤S24、依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；

S盒在复合域中的标准表达式为S(x)＝TA₂*((TA₁x+TC₁))^-1+C₂；

其中，TA1、TA2分别为合并后的第一仿射变换矩阵和第二仿射变换矩阵，TC1是合并后的列向量，C2为原始列向量。

步骤S25、从所述标准表达式中，获取满足使第一仿射变换矩阵和第二仿射变换矩阵的汉明重量和小于第二阈值条件的目标标准表达式。

由于第一仿射变换矩阵TA1和第二仿射变换矩阵TA2中的矩阵A1、A2是确定的，因此，由同构映射矩阵决定第一仿射变换矩阵与第二仿射变换矩阵汉明重量和。而通过获得同构映射矩阵的过程可以发现，同构映射矩阵的取值与参数Y¹⁶、Y、Z⁴、Z、W²、W、v、ρ有关，经过计算，确定出使第一仿射变换矩阵和第二仿射变换矩阵汉明重量和最小的同构映射矩阵中共8种，其中，该8种同构映射矩阵中的所涉及到的上述8个参数取值(S盒中的数据均采用16进制表示)如下：

编号

W

W2

ρ

Z

Z4

v

ZY

Y16

1

5C

5D

5D

50

51

2B

BE

BF

2

5C

5D

5D

50

51

2B

BF

BE

3

5C

5D

5D

51

50

2B

BE

BF

4

5C

5D

5D

51

50

2B

BF

BE

5

5D

5C

5D

50

51

2B

BE

BF

6

5D

5C

5D

50

51

2B

BF

BE

7

5D

5C

5D

51

50

2B

BE

BF

8

5D

5C

5D

51

50

2B

BF

BE

依据上述表格获得的8种同构映射矩阵分别得到8种第一仿射变换矩阵和第二仿射变换矩阵，然后依据第一仿射变换矩阵和第二仿射变换矩阵得到S盒在复合域GF(((2²)²)²)中的8中标准表达式，并将该8种标准表达式作为目标表达式。

选择上述8种参数中的其中一种举例如下：

[Y¹⁶,Y]＝[0xBF,0xBE]，[Z⁴,Z]＝[0x51,0x50]，

[W²,W]＝[0x5D,0x5C]，v＝0x2Bρ＝0x5D。

依据上述参数所得到的S盒表达式为：

S(x)＝TA₂·((TA₁·x+TC₁))^-1+C₂；

其中：

$TA1=\left(\begin{array}{cccccccc}0& 0& 0& 0& 0& 1& 0& 0\\ 0& 1& 0& 1& 0& 0& 0& 1\\ 0& 1& 0& 0& 0& 0& 1& 1\\ 0& 1& 1& 1& 0& 0& 0& 1\\ 1& 1& 1& 0& 1& 0& 0& 0\\ 1& 0& 0& 0& 0& 0& 1& 0\\ 0& 1& 0& 1& 0& 1& 0& 0\\ 0& 0& 1& 0& 0& 1& 1& 0\end{array}\right);$

$TA2=\left(\begin{array}{cccccccc}0& 0& 1& 1& 1& 0& 1& 1\\ 0& 0& 0& 0& 0& 0& 1& 0\\ 0& 0& 1& 1& 1& 1& 1& 1\\ 1& 1& 1& 1& 0& 0& 1& 1\\ 1& 0& 1& 1& 1& 0& 1& 0\\ 0& 1& 1& 1& 0& 0& 0& 1\\ 0& 1& 0& 1& 0& 1& 0& 0\\ 0& 1& 0& 0& 0& 0& 0& 0\end{array}\right);$

TC1＝0xC2，C2＝0xD3。

可选的，步骤S23-步骤S25的执行过程与上述实施例提供的步骤S11-S13的执行过程相同，有关步骤S23-步骤S25的详细过程，请参见上述对步骤S11-S13的描述，在此不做赘述。

本实施例的技术方案中，通过元素表达式获得将有限域GF(2⁸)中元素映射到复合域GF(((2²)²)²)中的同构映射矩阵，然后依据该同构映射矩阵获得S盒在复合域GF(((2²)²)²)中的标准表达式，并依据使第一仿射变换矩阵和第二仿射变换矩阵的汉明重量和小于第二阈值的原则从128种标准表达式中获取了8种目标表达式，该8种目标表达式使S盒的硬件实现只需要235个门，以此大大降低了S盒的硬件面积。

下面对本申请实施例提供的SM4算法的S盒的生成装置进行描述，下文描述的SM4算法的S盒的生成装置与上文描述的SM4算法的S盒的生成方法可相互对应参照。

请参阅图4，图4为本申请实施例公开的SM4算法的S盒的生成装置的一种结构示意图，包括：

第一映射单元41，用于将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；

获得单元42，用于依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；

获取单元43，用于从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式。

本实施例所提供的方案，通过将S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，获得了所述S盒在复合域GF(((2²)²)²)中的标准表达式，并从该表达式中获取了使S盒对应的硬件面积小于第一阈值的目标标准表达式。由于本申请将S盒的运算由有限域映射到复合域中实现，并进一步获得了所述S盒在复合域GF(((2²)²)²)中使硬件面积小于第一阈值的标准表达式，因此，本发明的S盒实现方法大大降低了S盒的硬件面积。

请参阅图5，图5为本申请实施例提供的SM4算法的S盒的生成装置的另一种结构示意图，包括：

第二映射单元51、用于通过将所述S盒在有限域GF(2⁸)中的元素表达式映射到复合域GF(((2²)²)²)中，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

具体地，如图6所示，所述第二映射单元，包括：

第一确定单元61、用于使用第一正规基将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式，所述第一正规基中的元素为常量属于有限域GF(2⁴)的二次不可约多项式的根，所述有限域GF(2⁴)中的一次线性多项式的系数属于有限域GF(2⁴)。

第二确定单元62、使用第二正规基将有限域GF(2⁴)中的元素表示为有限域GF(2²)中的一次线性多项式，所述第二正规基的元素为常量属于有限域GF(2²)二次不可约多项式的根，所述有限域GF(2²)中的一次线性多项式中的系数属于有限域GF(2²)。

第三确定单元63、用于使用第三正规基将有限域GF(2²)中的元素表示为有限域GF(2)中的一次线性多项式，所述第三正规基的元素为常量属于有限域GF(2)二次不可约多项式的根，所述有限域GF(2)中的一次线性多项式中的系数属于有限域GF(2)；

第一替换单元64、将有限域GF(2⁴)中的一次线性多项式中的系数用有限域GF(2²)中的元素在有限域GF(2)中的一次线性多项式替换；

第二替换单元65、将有限域GF(2⁸)中的一次线性多项式中系数用有限域GF(2⁴)中的元素在有限域GF(2²)中的一次线性多项式替换，以获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

识别单元52、用于将所述复合域GF(((2²)²)²)中的元素表达式中的与元素矩阵相乘的映射矩阵作为所述同构映射矩阵；

第一映射单元53、用于将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；

获得单元54、依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；

S盒在复合域中的标准表达式为S(x)＝TA₂*((TA₁x+TC₁))^-1+C₂；

其中，TA1、TA2分别为合并后的第一仿射变换矩阵和第二仿射变换矩阵，TC1是合并后的列向量，C2为原始列向量。

获取单元55，用于从所述标准表达式中，获取满足使第一仿射变换矩阵和第二仿射变换矩阵的汉明重量和小于第二阈值条件的目标标准表达式。

本实施例的技术方案中，通过元素表达式获得将有限域GF(2⁸)中元素映射到复合域GF(((2²)²)²)中的同构映射矩阵，然后依据该同构映射矩阵获得S盒在复合域GF(((2²)²)²)中的标准表达式，并依据使第一仿射变换矩阵和第二仿射变换矩阵的汉明重量和小于第二阈值的原则从128种标准表达式中获取了8种目标表达式，该8种目标表达式使S盒的硬件实现只需要235个门，以此大大降低了S盒的硬件面积。

请参阅7，图7为本申请实施例提供的一种实现SM4算法的S盒的电路，该电路用于实现图1-图2所对应的实施例公开的生成的SM4算法的S盒，该电路包括：

第一电路701、第二电路702、第三电路703；

所述第一电路用于计算θ，所述θ用于对有限域GF(2⁴)中的元素取逆，所述有限域GF(2⁴)中元素为用正规基对输入的有限域GF(2⁸)中的元素转换得到；

将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式为：

g＝a₁Y¹⁶+a₀Y，

其中，元素g∈GF(2⁸)，a₁，a₀∈GF(2⁴)，正规基[Y¹⁶,Y]为有限域GF(2⁴)下的一组正规基，Y¹⁶，Y为不可约多项式r(y)＝y²+y+v，v∈GF(2⁴)的两个根。

设g＝a₁Y¹⁶+a₀Y的逆为h＝(d₁Y¹⁶+d₀Y)，根据乘法逆的定义：

(a₁Y¹⁶+a₀Y)(d₁Y¹⁶+d₀Y)mod(y²+y+v)＝1

其中，a_i d_i∈GF(2⁴)i＝0,1

上式化简后得到：

d₁Y¹⁶+d₀Y＝(θ^-1a₀)Y¹⁶+(θ^-1a₁)Y

其中，计算θ的公式为，θ＝(a₀a₁+(a₁ ²+a₀ ²)v)，a_i,d_i,v,θ∈GF(2⁴)i＝0,1。

输入a₁按比特从高到低分别表示为a3,a2,a1,a0,输入a₀按比特从高到低分别表示为b3,b2,b1,b0，输出为c3,c2,c1,c0,af4,af3,af2,af1,af0,bf4,bf3,bf2,bf1,bf0

$af0=a1\⊕a0,af1=a3\⊕a2$

$af2=a2\⊕a0,af3=a3\⊕a1$

$af4=af2\⊕af3$

$bf0=b1\⊕b0,bf1=b3\⊕b2$

$bf2=b2\⊕b0,bf3=b3\⊕b1$

$bf4=bf2\⊕bf3$

$c3=\left(af1\right|bf1)\⊕\left(a38zb3\right)\⊕\left(af2\right|bf2)\⊕\left(af4\right|bf4)$

所述第二电路702，用于对所述θ取逆运算；

设输入为c3,c2,c1,c0，输出为d3,d2,d1,d0

$sc=c1\⊕c0,sb=c3\⊕c2$

$se=e1\⊕e0$

所述第三电路703，用于依据对所述θ取逆运算结果得到对所述有限域GF(2⁸)中元素取逆的结果，并依据该结果得到所述S盒的电路的输出。

具体地，依据对θ取逆运算结果得到对所述有限域GF(2⁸)中元素取逆的公式为(θ^{- 1}a₀)和(θ^-1a₁)，S盒电路的输出为(θ^-1a₀)Y¹⁶+(θ^-1a₁)Y。

设输入为a3,a2,a1,a0,b3,b2,b1,b0,d3,d2,d1,d0

af4,af3,af2,af1,af0,bf4,bf3,bf2,bf1,bf0，输出为8比特分别为q7,q6,q5,q4,q3,q2,q1,q0：

$df0=d1\⊕d0,df1=d3\⊕d2$

$df2=d2\⊕d0,df3=d3\⊕d1$

$df4=df2\⊕df3$

m1＝df1&af1,m2＝df2&af2

m3＝df4&af4,m4＝df0&af0

n1＝df1&bf1,n2＝df2&bf2

n3＝df4&bf4,n4＝df0&bf0

对于装置或系统实施例而言，由于其基本相应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置或系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，在没有超过本申请的精神和范围内，可以通过其他的方式实现。当前的实施例只是一种示范性的例子，不应该作为限制，所给出的具体内容不应该限制本申请的目的。例如，所述单元或子单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或多个子单元结合一起。另外，多个单元可以或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

另外，所描述系统，装置和方法以及不同实施例的示意图，在不超出本申请的范围内，可以与其它系统，单元，技术或方法结合或集成。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

以上所述仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种SM4算法的S盒的生成方法，其特征在于，包括：

将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；

依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；

从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式。

2.根据权利要求1所述的方法，其特征在于，所述标准表达式包括第一仿射变换矩阵和第二仿射变换矩阵，所述第一仿射变换矩阵和第二仿射变换矩阵为对所述同构映射矩阵进行仿射变换操作后的矩阵；

从所述标准表达式中，获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式，包括：

从所述标准表达式中，获取满足使所述第一仿射变换矩阵和所述第二仿射变换矩阵的汉明重量和小于第二阈值条件的目标标准表达式。

3.根据权利要求1所述的方法，其特征在于，在将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中之前，还包括：

通过将所述S盒在有限域GF(2⁸)中的元素表达式映射到复合域GF(((2²)²)²)中，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式；

将所述复合域GF(((2²)²)²)中的元素表达式中的与元素矩阵相乘的映射矩阵作为所述同构映射矩阵。

4.根据权利要求3所述的方法，其特征在于，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式，包括：

使用第一正规基将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式，所述第一正规基中的元素为常量属于有限域GF(2⁴)的二次不可约多项式的根，所述有限域GF(2⁴)中的一次线性多项式的系数属于有限域GF(2⁴)；

使用第二正规基将有限域GF(2⁴)中的元素表示为有限域GF(2²)中的一次线性多项式，所述第二正规基的元素为常量属于有限域GF(2²)二次不可约多项式的根，所述有限域GF(2²)中的一次线性多项式中的系数属于有限域GF(2²)；

使用第三正规基将有限域GF(2²)中的元素表示为有限域GF(2)中的一次线性多项式，所述第三正规基的元素为常量属于有限域GF(2)二次不可约多项式的根，所述有限域GF(2)中的一次线性多项式中的系数属于有限域GF(2)；

将有限域GF(2⁴)中的一次线性多项式中系数用有限域GF(2²)中的元素在有限域GF(2)中的一次线性多项式替换；

将有限域GF(2⁸)中的一次线性多项式中系数用有限域GF(2⁴)中的元素在有限域GF(2²)中的一次线性多项式替换，以获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

5.根据权利要求4所述的方法，其特征在于，

与所述第一正规基对应的二次不可约多项式的常量为8种，与第二正规基对应的二次不可约多项数的常量为2种，与第三正规基对应的二次不可约多项式的常量为1种；

相应地，所述同构映射矩阵为128种。

6.一种SM4算法的S盒的生成装置，其特征在于，包括：

第一映射单元，用于将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中，得到所述S盒在所述复合域GF(((2²)²)²)中的元素变量矩阵；

获得单元，用于依据所述元素变量矩阵，获得所述S盒在复合域GF(((2²)²)²)中的标准表达式；

获取单元，用于从所述标准表达式中获取使所述S盒对应的硬件面积小于第一阈值的目标标准表达式。

7.根据权利要求6所述的装置，其特征在于，所述标准表达式包括第一仿射变换矩阵和第二仿射变换矩阵，所述第一仿射变换矩阵和第二仿射变换矩阵为对所述同构映射矩阵进行仿射变换操作后的矩阵；

所述获取单元，包括：

获取子单元，用于从所述标准表达式中，获取满足使所述第一仿射变换矩阵和所述第二仿射变换矩阵的汉明重量和小于第二阈值条件的目标标准表达式。

8.根据权利要求6所述的装置，其特征在于，还包括：

第二映射单元，用于在将所述S盒在有限域GF(2⁸)中的元素经过同构映射矩阵映射到复合域GF(((2²)²)²)中之前，通过将所述S盒在有限域GF(2⁸)中的元素表达式映射到复合域GF(((2²)²)²)中，获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式；

识别单元，用于将所述复合域GF(((2²)²)²)中的元素表达式中的与元素矩阵相乘的映射矩阵作为所述同构映射矩阵。

9.根据权利要求8所述的装置，其特征在于，所述第二映射单元，包括：

第一确定单元，用于使用第一正规基将有限域GF(2⁸)中的元素表示为有限域GF(2⁴)中的一次线性多项式，所述第一正规基中的元素为常量属于有限域GF(2⁴)的二次不可约多项式的根，所述有限域GF(2⁴)中的一次线性多项式的系数属于有限域GF(2⁴)；

第二确定单元，用于使用第二正规基将有限域GF(2⁴)中的元素表示为有限域GF(2²)中的一次线性多项式，所述第二正规基的元素为常量属于有限域GF(2²)二次不可约多项式的根，所述有限域GF(2²)中的一次线性多项式中的系数属于有限域GF(2²)；

第三确定单元，用于使用第三正规基将有限域GF(2²)中的元素表示为有限域GF(2)中的一次线性多项式，所述第三正规基的元素为常量属于有限域GF(2)二次不可约多项式的根，所述有限域GF(2)中的一次线性多项式中的系数属于有限域GF(2)；

第一替换单元，用于将有限域GF(2⁴)中的一次线性多项式中系数用有限域GF(2²)中的元素在有限域GF(2)中的一次线性多项式替换；

第二替换单元，用于将有限域GF(2⁸)中的一次线性多项式中系数用有限域GF(2⁴)中的元素在有限域GF(2²)中的一次线性多项式替换，以获得所述S盒在所述复合域GF(((2²)²)²)中的元素表达式。

10.一种实现SM4的S盒的电路，其特征在于，用于实现权利要求1所述的SM4的S盒，所述电路包括：

第一电路、第二电路、第三电路；

所述第一电路用于计算θ，所述θ用于对有限域GF(2⁴)中的元素取逆，所述有限域GF(2⁴)中元素为用正规基对输入的有限域GF(2⁸)中的元素转换得到；

所述第二电路用于对所述θ取逆运算；

所述第三电路用于依据对所述θ取逆运算结果得到对所述有限域GF(2⁸)中元素取逆的结果，并依据该结果得到所述S盒的电路的输出。