CN106452726A - 一种s盒及其构造方法 - Google Patents

Abstract

本发明涉及了一种S盒及其构造方法，该S盒的构造方法包括：S10.将S盒的输入数据作为第一数据，并对第一数据进行同构变换以生成第二数据，以将域GF(2⁸)中多项式基表示的元素转换成域GF(2⁴)中两个基本基表示的元素；S20.将所述第二数据在域GF(2⁸)上进行求逆运算以生成第三数据；S30.对所述第三数据进行仿射变换以生成第四数据，以将域GF(2⁴)中两个冗余基表示的元素转换成一个域GF(2⁸)中多项式基表示的元素，并将所述第四数据作为S盒的输出数据。实施本发明的技术方案，使得S盒功耗和面积有了较好的提升。

Description

一种S盒及其构造方法

技术领域

本发明涉及信息安全领域，尤其涉及一种S盒及其构造方法。

背景技术

电子标签具有良好的安全特性，同时具有便于识别、使用方便等特点，这使得它在整个物联网发展中扮演着非常重要角色。但由于受到电子标签上资源和功耗的限制，很多成熟的密码算法都无法在实际中得到应用。为了解决这一问题，研究者通常使用一些安全等级较低的算法来保护电子标签上的秘密信息。而然，电子标签上的安全等级的降低将会导致整个物联网的安全性的降低，这显然不是一个有效的解决方法。传统的密码算法的硬件实现方法由于缺乏考虑电子标签这一特殊的应用环境，往往无法直接移植过来。由于RFID技术的特殊性，电子标签上的密码算法的实现对功耗和面积有着非常苛刻的要求。因此，如何在密码算法实现中降低功耗和面积成为了研究热点。

高级加密标准(Advanced Encryption Standard，AES)是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。目前，AES已经成为对称密钥加密中最流行的算法之一。AES加密过程涉及到4种操作：字节替代(Sub Bytes)、行移位(Shift Rows)、列混淆(Mix Columns)和轮密钥加(Add RoundKey)。解密过程分别为对应的逆操作。由于每一步操作都是可逆的，按照相反的顺序进行解密即可恢复明文。在AES算法的硬件实现中，字节替代(也成为S盒)是对硬件资源和功耗要求最多的一个操作。传统上现有的AES算法中S盒的输入是8比特的数据，输出也是8比特数据，一般都是采用查表方法来实现。然而，实现这种查表方式所需要的功耗和面积在电子标签上是不可接受的。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述面S盒的面积大、功耗大的缺陷，提供一种S盒及其构造方法，面积小、功耗小。

本发明解决其技术问题所采用的技术方案是：构造一种S盒的构造方法，包括：

S10.将S盒的输入数据作为第一数据，并对第一数据进行同构变换以生成第二数据，以将域GF(2⁸)中多项式基表示的元素转换成域GF(2⁴)中两个基本基表示的元素；

S20.将所述第二数据在域GF(2⁸)上进行求逆运算以生成第三数据；

S30.对所述第三数据进行仿射变换以生成第四数据，以将域GF(2⁴)中两个冗余基表示的元素转换成一个域GF(2⁸)中多项式基表示的元素，并将所述第四数据作为S盒的输出数据。

优选地，在所述步骤S10中，根据公式1进行同构变换：

out₁＝δ_f·in₁ 公式1

其中，in₁为第一数据，out₁为第二数据，

优选地，所述步骤S20包括：

S21.对所述第二数据进行求幂运算，以生成第一中间数据；

S22.对所述第一中间数据在域GF(2⁴)上进行求逆运算，以生成第二中间数据；

S23.对所述第二中间数据进行两个GF(2⁴)上的乘法运算，以生成第三数据。

优选地，在所述步骤S21中，根据下列公式计算第一中间数据：

d₀＝H_1,2∨L_1,2+H_3,4∨L_3,4+h₂∨l₂+h₃l₃；

d₁＝H_1,2∨L_1,2+H_1,3L_1,3+h₃∨l₃+h₄∨l₄；

d₂＝H_1,3∨L_1,3+H_1,4L_1,4+H_2,3∨L_2,3+h₄∨l₄；

d₃＝H_1,4∨L_1,4+H_2,3∨L_2,3+H_2,4L_2,4+h₁∨l₁；

d₄＝H_2,4∨L_2,4+H_3,4∨L_3,4+h₁∨l₁+h₂l₂；

其中，第二数据为{h,l}，h＝(h₁,h₂,h₃,h₄)，l＝(l₁,l₂,l₃,l₄)，d＝(d₀,d₁,d₂,d₃,d₄)为第一中间数据，L_i,j＝l_i+l_j，H_i,j＝h_i+h_j，1≤i＜j≤4，∨为逻辑或。

优选地，在所述步骤S22中，根据下列公式计算第二中间数据：

e₀＝(d₁∨d₄)(d₂∨d₃)；

e₁＝((d₄+1)(d₁+d₂))∨(d₀d₄(d₂∨d₃))；

e₂＝((d₃+1)(d₂+d₄))∨(d₀d₃(d₁∨d₄))；

e₃＝((d₂+1)(d₁+d₃))∨(d₀d₂(d₁∨d₄))；

e₄＝((d₁+1)(d₃+d₄))∨(d₀d₁(d₂∨d₃))；

其中，e＝(e₀,e₁,e₂,e₃,e₄)为第二中间数据。

优选地，在所述步骤S23中，根据下列公式计算第三数据：

h₀′＝L_1,4F_1,4+L_2,3F_2,3；

l₀′＝H_1,4F_1,4+H_2,3F_2,3；

h₁′＝l₁F_0,1+L_2,4F_2,4；

l₁′＝h₁F_0,1+H_2,4F_2,4；

h₂′＝l₂F_0,2+L_3,4F_3,4；

l₂′＝h₂F_0,2+H_3,4F_3,4；

h₃′＝l₃F_0,3+L_1,2F_1,2；

l₃′＝h₃F_0,3+H_1,2F_1,2；

h₄′＝l₄F_0,4+L_1,3F_1,3；

l₄′＝h₄F_0,4+H_1,3F_1,3；

其中，第三数据为{h′,l′}，h′＝(h₀′,h₁′,h₂′,h₃′,h₄′)，l′＝(l₀′,l₁′,l₂′,l₃′,l₄′)，F_m,n＝f_m+f_n，0≤m＜n≤4。

优选地，在所述步骤S30中，根据公式2进行仿射变换：

out₃＝δ_l·in₃ 公式2

其中，in₃为第三数据，out₃为第四数据，

本发明还构造一种S盒，包括：

同构变换模块，用于将S盒的输入数据作为第一数据，并对第一数据进行同构变换以生成第二数据，以将域GF(2⁸)中多项式基表示的元素转换成域GF(2⁴)中两个基本基表示的元素；

有限域求逆模块，用于将所述第二数据在域GF(2⁸)上进行求逆运算以生成第三数据；

仿射变换模块，用于对所述第三数据进行仿射变换以生成第四数据，以将域GF(2⁴)中两个冗余基表示的元素转换成一个域GF(2⁸)中多项式基表示的元素，并将所述第四数据作为S盒的输出数据。

优选地，

所述同构变换模块，用于根据公式1对第一数据进行同构变换，以生成第二数据；

所述仿射变换模块，用于根据公式2对所述第三数据进行仿射变换，以生成第四数据；

out₁＝δ_f·in₁ 公式1

out₃＝δ_l·in₃ 公式2

其中，in₁为第一数据，out₁为第二数据，in₃为第三数据，out₃为第四数据，而且，

优选地，所述有限域求逆模块包括：

第一模块，用于对所述第二数据进行求幂运算，以生成第一中间数据；

第二模块，用于对所述第一中间数据在域GF(2⁴)上进行求逆运算，以生成第二中间数据；

第三模块，用于对所述第二中间数据进行两个GF(2⁴)上的乘法运算，以生成第三数据。

实施本发明的技术方案，利用伽罗瓦域GF(2⁸)上的元素在PRR(Polynomial RingRepresentation，伽罗瓦域上的多项式环表示)下求逆的简易性，对元素进行了多次基变换：NB(Normal Bases，基本基)→PRR,PRR→RRB(Redundantly Represented Basis，冗余表示基)，这种S盒的构造方法使得S盒在硬件实现时面积减小、功耗降低，减小了用户的实现代价。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图中：

图1是本发明S盒的构造方法实施例一的流程图；

图2是本发明步骤S20中生成第三数据的示意图；

图3A是本发明步骤S21中生成第一中间数据的部分示意图；

图3B是本发明步骤S22中生成第二中间数据的部分示意图；

图3C是本发明步骤S21中生成第三数据的部分示意图；

图4是本发明S盒实施例一的逻辑结构图。

具体实施方式

图1是本发明S盒的构造方法实施例一的流程图，该实施例的S盒的构造方法包括以下步骤：

S10.将S盒的输入数据作为第一数据，并对第一数据进行同构变换以生成第二数据，以将域GF(2⁸)中多项式基表示的元素转换成域GF(2⁴)中两个基本基表示的元素；

S20.将所述第二数据在域GF(2⁸)上进行求逆运算以生成第三数据；

S30.对所述第三数据进行仿射变换以生成第四数据，以将域GF(2⁴)中两个冗余基表示的元素转换成一个域GF(2⁸)中多项式基表示的元素，并将所述第四数据作为S盒的输出数据。

其中，步骤S20具体包括：

S21.对所述第二数据进行求幂运算，以生成第一中间数据；

S22.对所述第一中间数据在域GF(2⁴)上进行求逆运算，以生成第二中间数据；

S23.对所述第二中间数据进行两个GF(2⁴)上的乘法运算，以生成第三数据。

实施该实施例的技术方案，利用伽罗瓦域GF(2⁸)上的元素在PRR(PolynomialRing Representation，伽罗瓦域上的多项式环表示)下求逆的简易性，对元素进行了多次基变换：NB(Normal Bases，基本基)→PRR,PRR→RRB(Redundantly Represented Basis，冗余表示基)，这种S盒的构造方法使得S盒在硬件实现时面积减小、功耗降低，减小了用户的实现代价。

具体地，在步骤S10中，可根据公式1进行同构变换；

out₁＝δ_f·in₁ 公式1

其中，in₁为8比特的第一数据，out₁为8比特的第二数据，

关于步骤S20，结合图2，输入数据为a，即，同构变换后输出的第二数据out₁，且a＝{h,l}为一个8比特的数据，其中，

h＝(h₁,h₂,h₃,h₄)，

l＝(l₁,l₂,l₃,l₄)，

该数据是NB形式。数据a的处理需要经过三个阶段：Stage 1，Stage2，Stage3，最后得到10比特的输出数据a^-1＝{h′,l′}，其中，

h′＝(h₀′,h₁′,h₂′,h₃′,h₄′)，

l′＝(l₀′,l₁′,l₂′,l₃′,l₄′)，

该数据是RRB形式。

在Stage 1阶段，对数据a＝{h,l}进行求幂运算，所生成的第一中间数据为PRR表示下的a¹⁷。选取域GF(2⁴)上一个二次不可约多项式的根α，给定不可约多项式α²+μα+ν，那么有以下三个等式成立，其均是NB形式，且选取的基为{α¹⁶,α}：

a＝hα¹⁶+lα

a¹⁶＝lα¹⁶+hα

a¹⁷＝hlμ²+(h+l)²ν。

选取域GF(2⁴)中基于PRR表示的模多项式为P(x)＝x⁵+1(G(x)＝x+1，H(x)＝x⁴+x³+x²+x¹+1，P(x)＝G(x)·H(x))，那么由NB到PRR之间的同构映射为φ，其矩阵表达式为：

则Stage 1所输出的第一中间数据d的表达式为：

d＝(d₀,d₁,d₂,d₃,d₄)＝φ(a¹⁷)＝φ(hlμ²+(h+l)²ν)。

然后，选取μ＝β⁴+β，ν＝β，根据h和l在NB{β⁴,β³,β²,β¹}下表示

h＝h₄β⁴+h₃β³+h₂β²+h₁β¹，l＝l₄β⁴+l₃β³+l₂β²+l₁β¹，可以得到如下等式：

d₀＝(h₁l₂+h₂l₁+h₃l₄+h₄l₃+h₁l₁+h₄l₄)+(h₁+l₁+h₃+l₃+h₄+l₄)；

d₁＝(h₁l₂+h₂l₁+h₁l₃+h₃l₁+h₂l₂+h₄l₄)+(h₁+l₁+h₂+l₂+h₃+l₃+h₄+l₄)；

d₂＝(h₁l₃+h₃l₁+h₁l₄+h₄l₁+h₂l₃+h₃l₂+h₂l₂)+(h₁+l₁+h₂+l₂+h₄+l₄)；

d₃＝(h₁l₄+h₄l₁+h₂l₃+h₃l₂+h₂l₄+h₄l₂+h₃l₃)+(h₂+l₂+h₃+l₃+h₄+l₄)；

d₄＝(h₂l₄+h₄l₂+h₃l₄+h₄l₃+h₁l₁+h₃l₃)+(h₁+l₁+h₂+l₂+h₃+l₃)。

在Stage 2阶段，对所输入的第一中间数据d在域GF(2⁴)上进行求逆运算，输出第二中间数据e＝(e₀,e₁,e₂,e₃,e₄)，该数据也是PRR表示形式的，其中：

e₀＝(d₁∨d₄)(d₂∨d₃)；

e₁＝((d₄+1)(d₁+d₂))∨(d₀d₄(d₂∨d₃))；

e₂＝((d₃+1)(d₂+d₄))∨(d₀d₃(d₁∨d₄))；

e₃＝((d₂+1)(d₁+d₃))∨(d₀d₂(d₁∨d₄))；

e₄＝((d₁+1)(d₃+d₄))∨(d₀d₁(d₂∨d₃))。

其中，符号∨表示为或运算a∨b＝a+b+ab。

另外，F运算对输入的第二中间数据e＝(e₀,e₁,e₂,e₃,e₄)进行由PRR到RRB的变换，由于Stage 3阶段所需要的数据类型为RRB表示，我们需要对e的形式进行转化，得到数据f＝(f₀,f₁,f₂,f₃,f₄)，其中，

f₀＝e₀,f₁＝e₁,f₂＝e₂,f₃＝e₃,f₄＝e₄。

该F运算还具有另外一个逻辑运算功能，即产生数据：

F_m,n＝f_m+f_n。

由于满足0≤m＜n≤4，可以得到10种不同的F_m,n的值：F_0,1,F_0,2,F_0,3,F_0,4,F_1,2,F_1,3,F_1,4,F_2,3,F_2,4,F_3,4。

在Stage 3阶段，进行两个GF(2⁴)上的乘法运算，且数据均为RRB表示形式。按照乘法规则，我们可以得到一个10比特的第三数据a^-1＝{h′,l′}，而且，h′＝(h₀′,h₁′,h₂′,h₃′,h₄′)和l′＝(l₀′,l₁′,l₂′,l₃′,l₄′)，其中，

h₀′＝L_1,4F_1,4+L_2,3F_2,3，

l₀′＝H_1,4F_1,4+H_2,3F_2,3，

h₁′＝l₁F_0,1+L_2,4F_2,4，

l₁′＝h₁F_0,1+H_2,4F_2,4，

h₂′＝l₂F_0,2+L_3,4F_3,4，

l₂′＝h₂F_0,2+H_3,4F_3,4，

h₃′＝l₃F_0,3+L_1,2F_1,2，

l₃′＝h₃F_0,3+H_1,2F_1,2，

h₄′＝l₄F_0,4+L_1,3F_1,3，

l₄′＝h₄F_0,4+H_1,3F_1,3。

其中，L运算产生数据L_i,j＝l_i+l_j，其中1≤i＜j≤4，即能得到6种不同的值(L_1,2,L_1,3,L_1,4,L_2,3,L_2,4,L_3,4)，参与Stage 1和Stage 3的运算。H运算产生数据H_i,j＝h_i+h_j，其中1≤i＜j≤4，即能得到6种不同的值(H_1,2,H_1,3,H_1,4,H_2,3,H_2,4,H_3,4)，参与Stage 1和Stage 3的运算。

在上述实施例的基础上，经过数学公式推导，数据d的计算过程可以化简为：

d₀＝H_1,2∨L_1,2+H_3,4∨L_3,4+h₂∨l₂+h₃l₃；

d₁＝H_1,2∨L_1,2+H_1,3L_1,3+h₃∨l₃+h₄∨l₄，

d₂＝H_1,3∨L_1,3+H_1,4L_1,4+H_2,3∨L_2,3+h₄∨l₄，

d₃＝H_1,4∨L_1,4+H_2,3∨L_2,3+H_2,4L_2,4+h₁∨l₁，

d₄＝H_2,4∨L_2,4+H_3,4∨L_3,4+h₁∨l₁+h₂l₂，

其中，第二数据为{h,l}，h＝(h₁,h₂,h₃,h₄)，l＝(l₁,l₂,l₃,l₄)，d＝(d₀,d₁,d₂,d₃,d₄)为第一中间数据，L_i,j＝l_i+l_j，H_i,j＝h_i+h_j，1≤i＜j≤4，∨为逻辑或。

数据e的计算过程为：

e₀＝(d₁∨d₄)(d₂∨d₃)；

e₁＝((d₄+1)(d₁+d₂))∨(d₀d₄(d₂∨d₃))；

e₂＝((d₃+1)(d₂+d₄))∨(d₀d₃(d₁∨d₄))；

e₃＝((d₂+1)(d₁+d₃))∨(d₀d₂(d₁∨d₄))；

e₄＝((d₁+1)(d₃+d₄))∨(d₀d₁(d₂∨d₃))；

其中，e＝(e₀,e₁,e₂,e₃,e₄)为第二中间数据。

数据a^-1＝{h′,l′}的计算过程为：

h₀′＝L_1,4F_1,4+L_2,3F_2,3，

l₀′＝H_1,4F_1,4+H_2,3F_2,3，

h₁′＝l₁F_0,1+L_2,4F_2,4，

l₁′＝h₁F_0,1+H_2,4F_2,4，

h₂′＝l₂F_0,2+L_3,4F_3,4，

l₂′＝h₂F_0,2+H_3,4F_3,4，

h₃′＝l₃F_0,3+L_1,2F_1,2，

l₃′＝h₃F_0,3+H_1,2F_1,2，

h₄′＝l₄F_0,4+L_1,3F_1,3，

l₄′＝h₄F_0,4+H_1,3F_1,3，

其中，第三数据为{h′,l′}，h′＝(h₀′,h₁′,h₂′,h₃′,h₄′)，l′＝(l₀′,l₁′,l₂′,l₃′,l₄′)，F_m,n＝f_m+f_n，0≤m＜n≤4。

在一个具体实施例中，例如，根据图3A所示的结构获取d₀，根据图3B所示的结构获取e₁，根据图3C所示的结构获取h₀′，应理解，其它元素的获取也可通过相应的加法器、乘法器、或门等所组成的逻辑结构获得。

最后，在步骤S30中，根据公式2进行仿射变换，所得到的第四数据即为S盒的输出数据。

out₃＝δ_l·in₃ 公式2

其中，in₃为第三数据，out₃为第四数据，

图4是本发明S盒实施例一的逻辑结构图，该实施例的S盒包括同构变换模块10、有限域求逆模块20和仿射变换模块30，其中，同构变换模块10用于将S盒的输入数据作为第一数据，并对第一数据进行同构变换以生成第二数据，以将域GF(2⁸)中多项式基表示的元素转换成域GF(2⁴)中两个基本基表示的元素；有限域求逆模块20用于将所述第二数据在域GF(2⁸)上进行求逆运算以生成第三数据；仿射变换模块30用于对所述第三数据进行仿射变换以生成第四数据，以将域GF(2⁴)中两个冗余基表示的元素转换成一个域GF(2⁸)中多项式基表示的元素，并将所述第四数据作为S盒的输出数据。

优选地，同构变换模块10用于根据公式1对第一数据进行同构变换，以生成第二数据；仿射变换模块30用于根据公式2对所述第三数据进行仿射变换，以生成第四数据；

out₁＝δ_f·in₁ 公式1

out₃＝δ_l·in₃ 公式2

其中，in₁为第一数据，out₁为第二数据，in₃为第三数据，out₃为第四数据，而且，

优选地，有限域求逆模块包括第一模块、第二模块和第三模块。其中，第一模块用于对所述第二数据进行求幂运算，以生成第一中间数据；第二模块用于对所述第一中间数据在域GF(2⁴)上进行求逆运算，以生成第二中间数据；第三模块用于对所述第二中间数据进行两个GF(2⁴)上的乘法运算，以生成第三数据。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何纂改、等同替换、改进等，均应包含在本发明的权利要求范围之内。

Claims (10)

1.一种S盒的构造方法，其特征在于，包括：

S10.将S盒的输入数据作为第一数据，并对第一数据进行同构变换以生成第二数据，以将域GF(2⁸)中多项式基表示的元素转换成域GF(2⁴)中两个基本基表示的元素；

S20.将所述第二数据在域GF(2⁸)上进行求逆运算以生成第三数据；

S30.对所述第三数据进行仿射变换以生成第四数据，以将域GF(2⁴)中两个冗余基表示的元素转换成一个域GF(2⁸)中多项式基表示的元素，并将所述第四数据作为S盒的输出数据。

2.根据权利要求1所述的S盒的构造方法，其特征在于，在所述步骤S10中，根据公式1进行同构变换：

out₁＝δ_f·in₁ 公式1

其中，in₁为第一数据，out₁为第二数据，

3.根据权利要求2所述的S盒的构造方法，其特征在于，所述步骤S20包括：

S21.对所述第二数据进行求幂运算，以生成第一中间数据；

S22.对所述第一中间数据在域GF(2⁴)上进行求逆运算，以生成第二中间数据；

S23.对所述第二中间数据进行两个GF(2⁴)上的乘法运算，以生成第三数据。

4.根据权利要求3所述的S盒的构造方法，其特征在于，在所述步骤S21中，根据下列公式计算第一中间数据：

d₀＝H_1,2∨L_1,2+H_3,4∨L_3,4+h₂∨l₂+h₃l₃；

d₁＝H_1,2∨L_1,2+H_1,3L_1,3+h₃∨l₃+h₄∨l₄；

d₂＝H_1,3∨L_1,3+H_1,4L_1,4+H_2,3∨L_2,3+h₄∨l₄；

d₃＝H_1,4∨L_1,4+H_2,3∨L_2,3+H_2,4L_2,4+h₁∨l₁；

d₄＝H_2,4∨L_2,4+H_3,4∨L_3,4+h₁∨l₁+h₂l₂；

其中，第二数据为{h,l}，h＝(h₁,h₂,h₃,h₄)，l＝(l₁,l₂,l₃,l₄)，d＝(d₀,d₁,d₂,d₃,d₄)为第一中间数据，L_i,j＝l_i+l_j，H_i,j＝h_i+h_j，1≤i＜j≤4，∨为逻辑或。

5.根据权利要求4所述的S盒的构造方法，其特征在于，在所述步骤S22中，根据下列公式计算第二中间数据：

e₀＝(d₁∨d₄)(d₂∨d₃)；

e₁＝((d₄+1)(d₁+d₂))∨(d₀d₄(d₂∨d₃))；

e₂＝((d₃+1)(d₂+d₄))∨(d₀d₃(d₁∨d₄))；

e₃＝((d₂+1)(d₁+d₃))∨(d₀d₂(d₁∨d₄))；

e₄＝((d₁+1)(d₃+d₄))∨(d₀d₁(d₂∨d₃))；

其中，e＝(e₀,e₁,e₂,e₃,e₄)为第二中间数据。

6.根据权利要求5所述的S盒的构造方法，其特征在于，在所述步骤S23中，根据下列公式计算第三数据：

h′₀＝L_1,4F_1,4+L_2,3F_2,3；

l′₀＝H_1,4F_1,4+H_2,3F_2,3；

h′₁＝l₁F_0,1+L_2,4F_2,4；

l′₁＝h₁F_0,1+H_2,4F_2,4；

h′₂＝l₂F_0,2+L_3,4F_3,4；

l′₂＝h₂F_0,2+H_3,4F_3,4；

h′₃＝l₃F_0,3+L_1,2F_1,2；

l′₃＝h₃F_0,3+H_1,2F_1,2；

h′₄＝l₄F_0,4+L_1,3F_1,3；

l′₄＝h₄F_0,4+H_1,3F_1,3；

其中，第三数据为{h′,l′}，h′＝(h′₀,h′₁,h′₂,h′₃,h′₄)，l′＝(l′₀,l′₁,l′₂,l′₃,l′₄)，F_m,n＝f_m+f_n，0≤m＜n≤4。

7.根据权利要求6所述的S盒的构造方法，其特征在于，在所述步骤S30中，根据公式2进行仿射变换：

out₃＝δ_l·in₃ 公式2

其中，in₃为第三数据，out₃为第四数据，

8.一种S盒，其特征在于，包括：

同构变换模块，用于将S盒的输入数据作为第一数据，并对第一数据进行同构变换以生成第二数据，以将域GF(2⁸)中多项式基表示的元素转换成域GF(2⁴)中两个基本基表示的元素；

有限域求逆模块，用于将所述第二数据在域GF(2⁸)上进行求逆运算以生成第三数据；

仿射变换模块，用于对所述第三数据进行仿射变换以生成第四数据，以将域GF(2⁴)中两个冗余基表示的元素转换成一个域GF(2⁸)中多项式基表示的元素，并将所述第四数据作为S盒的输出数据。

9.根据权利要求8所述的S盒，其特征在于，

所述同构变换模块，用于根据公式1对第一数据进行同构变换，以生成第二数据；

所述仿射变换模块，用于根据公式2对所述第三数据进行仿射变换，以生成第四数据；

out₁＝δ_f·in₁ 公式1

out₃＝δ_l·in₃ 公式2

其中，in₁为第一数据，out₁为第二数据，in₃为第三数据，out₃为第四数据，而且，

10.根据权利要求3所述的S盒，其特征在于，所述有限域求逆模块包括：

第一模块，用于对所述第二数据进行求幂运算，以生成第一中间数据；

第二模块，用于对所述第一中间数据在域GF(2⁴)上进行求逆运算，以生成第二中间数据；

第三模块，用于对所述第二中间数据进行两个GF(2⁴)上的乘法运算，以生成第三数据。