CN1558587A - 可重构密码协处理器的可重构s盒模块的设计方法 - Google Patents

Abstract

一种可重构密码协处理器的可重构S盒模块的设计方法，属于大规模集成电路技术。它能实现n位输入、m位输出。包括设计配置寄存器、设计代替变换电路、设计输入逻辑电路和设计输出逻辑电路四步骤。输入逻辑电路包括将输入变量x₁，x₂，…，x_n先非后相与的2ⁿ个与门，但每个与门的输入的先非按x₁，x₂，…，x_n依次减少末一位。输出逻辑电路包括依次输出f_i(x₁，x₂，…，x_n)(1≤i≤m)的m个或门，每个或门以i为序依次将AND2－i1、AND2－i2…AND2－i2ⁿ (1≤i≤m)为输入端。最常用的为8位输入、8位输出。它灵活性大、适应性强，能根据不同密码算法灵活改变自身电路的逻辑结构和功能，从而实现不同密码算法。可广泛应用于可重构密码协处理器中。

Description

可重构密码协处理器的可重构S盒模块的设计方法

                           技术领域

本发明属于用于信息安全领域的可重构密码协处理器芯片的设计技术，更明确地说涉及可重构密码协处理器的可重构S盒模块的设计方法的改进。

                           背景技术

保证信息安全的一个最基本也是最有效的措施是对信息进行密码变换。密码芯片是构成密码系统的最核心的基本部件。对于某种专用加密芯片，由于硬件电路结构是针对某种特定的加密/解密算法设计的，因此算法和硬件电路结构能够匹配的很好，从而专用密码芯片的加/解密速度很快。但是，针对特定算法的专用密码芯片的灵活性极差，只能实现特定的密码算法，这极大地限制了它的应用范围。

为了克服专用密码芯片的缺点，本发明设计了一种新型的密码处理芯片-可重构密码协处理器。同专用密码芯片相比，可重构密码协处理器具有如下优点：(1)可重构密码协处理器为密码设备的使用者提供了极大的灵活性，用户可以根据自己的需求，通过编程在可重构密码协处理器上实现各种不同的密码算法。一旦密码算法需要升级换代，不必更换密码芯片，只需修改相应的编程软件即可，非常方便，因此能够延长密码系统的使用寿命，保护用户的投资利益。(2)可重构密码协处理器不是针对某一特定密码算法设计的，而是为大量的具有一定共性的密码算法(主要是对称密钥体制算法)提供的一个通用的硬件实现平台。可重构密码协处理器在投入使用之前并不含有特定的密码算法信息，所实现的密码算法是由用户在使用之前通过编程确定的。因此，在芯片的设计和生产阶段不会泄露密码算法的信息，从而提高了密码系统的安全系数。(3)基于可重构密码协处理器的密码系统的开发周期比专用密码芯片的开发周期短。(4)用户可以很方便地随时更换所使用的密码算法，缩短同一密码算法的使用周期，从而大大增加了密码分析(攻击)的难度，从另一个方面提高了密码系统的安全性。

通过对大量的密码算法进行分析和研究，发现密码算法具有一个显著的特征：很多不同的密码算法具有相同或相似的基本操作成分，或者说同一基本操作成分在不同算法中出现的频度很高。对DES、IDEA、AES候选算法等34种典型的分组密码算法和13种典型的序列密码算法的基本操作成分及其使用频度做了统计，发现S盒变换的使用频度达到50％。

S盒是许多密码算法的核心组成部分，它首次出现在Lucifer算法中，随后因DES的使用而广为流行。S盒是许多密码算法中唯一的非线性部件，因此，它的密码强度决定了整个密码算法的安全强度。S盒提供了分组密码算法所必须的混淆作用。

目前，专用密码芯片上的S盒都是采用逻辑硬布线的方式实现的，这样的S盒所实现的代替变换(或称为代替函数)是唯一的、不可改变的。因此，只能适应特定密码算法的需求，没有灵活性和适应性。

                           发明内容

本发明的目的，是设计一种灵活性大、适应性强的S盒。该S盒能够根据不同密码算法的需求，灵活改变自身电路的逻辑结构和功能，从而实现不同密码算法所需的代替函数。该S盒称为可重构S盒。

本发明是能够实现n位输入、m位输出的布尔逻辑函数，n、m均为自然数。它包括以下步骤：

①设计配置寄存器，其输入为CONT、CLK、RST、E0、E1...，输出为CR[m2ⁿ-1：0]，用于保存可控节点的控制编码；

②设计代替变换电路，它以CR[m2ⁿ-1：0]和D[n-1：0]为输入端，以Q[m-1：0]为输出端，包括输入逻辑电路和输出逻辑电路；

③设计输入逻辑电路，对于任意的布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)，其2ⁿ个最小项亦即n项之积是固定不变的，因此该输入逻辑电路的电路结构是固定的，它以x₁，x₂，…，x_n为n个布尔变量输入；

④设计输出逻辑电路，对于任意的布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)，其表达式的2ⁿ项之和结构是不变的，其函数关系的改变完全依赖于最小项的系数 $k_i=(k_{i1},k_{i2},\·\·\·,k_{i{2}^n})(1\≤i\≤m)$ 的改变，因此该输出逻辑电路的电路结构是固定的，它以输入逻辑电路的输出和系数 $k_i=(k_{i1},k_{i2},\·\·\·,k_{i{2}^n})(1\≤i\≤m)$ 相与为输入、以布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)为输出。

为了达到上述目的，本发明的设计思想是：在电路中设置一些指令界面可见、可控的节点(称为可控节点)，将这些可控节点的控制编码(称为可控编码)保存在配置寄存器(或称为标识寄存器)中。通过指令改写配置寄存器的值，就可以灵活地改变自身电路的逻辑结构和功能，从而实现不同密码算法所需的代替函数。

根据上述设计思想，可重构S盒模块的电路包括以下两部分：

①配置寄存器：用于保存可控节点的控制编码，可由指令改写。它有一个输入端口，用于将可控节点的控制编码写入寄存器，其输出连接到代替变换电路，用于控制代替变换电路实现特定的代替变换函数；

②代替变换电路：用于实现输入数据到输出数据的变换；

一个n输入、m输出的S盒所实现的功能是从二元域F₂上的n维向量空间F₂ ⁿ到F₂上的m维向量空间F₂ ^m的映射S(x)＝(f₁(x)，f₂(x)，...，f_m(x))：F₂ ⁿ→F₂ ^m，称这个映射为S盒代替函数(或变换)。通常将一个n输入、m输出的S盒简称为一个n×m的S盒。一般来说，n和m越大，S盒的密码强度就越大，但S盒的规模和可控编码的宽度也就越大。因此，n和m也不能选择得过大，否则将难以实现。

为保证S盒达到最大的适应性，一个n×m的S盒应该能够实现F₂ ⁿ→F₂ ^m的所有的代替函数。这样的S盒所需的可控编码的宽度和所能实现的代替函数的个数由下述定理给出。

[定理]设一个n×m的S盒能够实现F₂ ⁿ→F₂ ^m的所有的代替函数，则该S盒需要m×2ⁿ位可控编码，而且其能够实现的代替函数的个数为2^m2n。

由此定理可见，n×m的S盒所需的可控编码宽度m×2ⁿ随输入个数n的增加而按指数级增长，其增长速度是惊人的。例如6×4的S盒需要256位可控编码，8×8的S盒需要2048位可控编码，而9×9的S盒则需要4608位可控编码。所以S盒的输入和输出数不能太大，否则，会造成规模和可控编码的宽度太大而难以实现。目前比较流行的是8×8的S盒。

输入逻辑电路包括将输入变量x₁，x₂，…，x_n先非运算后相与的2ⁿ个与门，但每个与门的输入的先非运算按x₁，x₂，…，x_n依次减少末一位。输出逻辑电路包括依次输出f_i(x₁，x₂，…，x_n)(1≤i≤m)的m个或门，每个或门以i为序依次将AND2-i1、AND2-i2…AND2-i2ⁿ(1≤i≤m)为输入端。

加密/解密算法中经常用到的S盒代替变换实际上就是一组布尔逻辑函数。布尔逻辑函数的自变量称为S盒的输入，函数值称为S盒的输出。不同的加/解密算法所使用的S盒代替变换是不同的，为了能够由用户编程实现不同的加/解密算法，S盒模块必须能够通过编程改变其实现的函数关系。S盒模块能够实现的不同函数的数量在很大程度上代表了可编程加密芯片的可编程能力和抗攻击能力。S盒模块实现的函数越多，匹配的算法就越多，加/解密算法设计的灵活性就越大，抗攻击能力也就越强。显然，在规模允许的条件下，我们应该使S盒模块实现的函数的个数尽可能多，最好能够实现输入变量的任意的布尔函数。下面我们给出一个n输入m输出的可重构S盒的设计方法，该S盒能够实现n个输入变量的任意布尔函数。

设x₁，x₂，…，x_n是n个布尔变量，f₁(x₁，x₂，…，x_n)、f₂(x₁，x₂，…，x_n)、…、f_m(x₁，x₂，…，x_n)是x₁，x₂，…，x_n的m个布尔函数，则f₁(x₁，x₂，…，x_n)、f₂(x₁，x₂，…，x_n)、…、f_m(x₁，x₂，…，x_n)都可以表示为下列最小项之和的形式：

$f_1(x_1,x_2,\·\·\·,x_n)=k_{11}(\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\·\·\·\stackrel{\‾}{x_n})+k_{12}(\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\·\·\·x_n)+\·\·\·+k_{{12}^n}(x_1{x}_2\·\·\·x_n);$

$f_2(x_1,x_2,\·\·\·,x_n)=k_{21}(\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\·\·\·\stackrel{\‾}{x_n})+k_{22}(\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\·\·\·x_n)+\·\·\·+k_{{22}^n}(x_1{x}_2\·\·\·x_n);$

…    …    ……    …    …    …    …    …    …    …    …    …    …

$f_m(x_1,x_2,\·\·\·,x_n)=k_{m1}(\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\·\·\·\stackrel{\‾}{x_n})+k_{m2}(\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\·\·\·x_n)+\·\·\·+k_{{m2}^n}(x_1{x}_2\·\·\·x_n).$

其中， x₁x₂…x_n是n个变量的2ⁿ个最小项，k_ij∈{0，1}，i＝1，2，…，m，j＝1，2，…，2ⁿ。

对于任意的布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)，其2ⁿ个最小项(n项之积)是固定不变的，其表达式的结构(2ⁿ项之和)是不变的，其函数关系的改变完全依赖于最小项的系数 $k_i=(k_{i1},k_{i2},\·\·\·,k_{{i2}^n})(1\≤i\≤m)$ 的改变。因此我们在设计逻辑电路的时候，应该把“n项之积”和“2”项之和”作为固定的电路结构，而把最小项的系数所对应的电路结构作为可变结构，由可控节点加以控制。我们采用与门作为可控节点。可控节点的控制编码 $k_i=(k_{i1},k_{i2},\·\·\·,k_{{i2}^n})(1\≤i\≤m)$ 存放在配置(标识)寄存器中，通过指令对 $k_i=(k_{i1},k_{i2},\·\·\·,k_{{i2}^n})(1\≤i\≤m)$ 赋以不同的值，就可以实现不同的布尔逻辑函数。

对每个f_i(x₁，x₂，…，x_n)(1≤i≤m)，我们能够通过编程实现n个变量的全部共2²ⁿ个布尔逻辑函数，因此上述电路能够实现任意的n输入、m输出的函数：

f(x₁，x₂，…，x_n)＝(f₁(x₁，x₂，…，x_n)，f₂(x₁，x₂，…，x_n)，…，f_m(x₁，x₂，…，x_n))，其个数为2^m2n。当取n＝6、m＝4时，上述电路就能实现DES算法的S盒代替变换，能够实现的不同的S盒代替变换的个数约为2²⁵⁶≈1.158*10⁷⁷个。例如，令S盒变换为f(x₁，x₂，x₃，x₄，x₅，x₆)＝(f₁(x₁，x₂，x₃，x₄，x₅，x₆)，f₂(x₁，x₂，x₃，x₄，x₅，x₆)，f₃(x₁，x₂，x₃，x₄，x₅，x₆)，f₄(x₁，x₂，x₃，x₄，x₅，x₆))

其中，

$f_1(x_1,x_2,x_3,x_4,x_5,x_6)=\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}\stackrel{\‾}{x_4}\stackrel{\‾}{x_5}\stackrel{\‾}{x_6}+\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}\stackrel{\‾}{x_4}\stackrel{\‾}{x_5}{x}_6;$

$f_2(x_1,x_2,x_3,x_4,x_5,x_6)=\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}\stackrel{\‾}{x_4}{x}_5\stackrel{\‾}{x_6}+\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}\stackrel{\‾}{x_4}{x_{5}x}_6;$

$f_3(x_1,x_2,x_3,x_4,x_5,x_6)=\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}{x}_4\stackrel{\‾}{x_5}\stackrel{\‾}{x_6}+\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}{x}_4\stackrel{\‾}{x_5}{x}_6;$

$f_4(x_1,x_2,x_3,x_4,x_5,x_6)=\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}{x}_4{x}_5\stackrel{\‾}{x_6}+\stackrel{\‾}{x_1}\stackrel{\‾}{x_2}\stackrel{\‾}{x_3}{x}_4{x}_5{x}_6.$

只要给配置(标识)寄存器中的k_i＝(k_i1，k_i2，…，k_i64)(1≤i≤4)赋以下列值：

k₁＝(1，1，0，…，0)；

k₂＝(0，0，1，1，0，…，0)；

k₃＝(0，0，0，0，1，1，0，…，0)；

k₄＝(0，0，0，0，0，0，1，1，0，…，0)。

本发明是可重构密码协处理器中的一个核心功能模块，由于它能够灵活地实现输入变量到输出变量的所有的代替变换，因此对可重构密码协处理器实现不同的密码算法提供了强有力的支持。它灵活性大、适应性强，能根据不同密码算法灵活改变自身电路的逻辑结构和功能，从而实现不同密码算法。可广泛应用于可重构密码协处理器中。

                              附图说明

图1为可重构密码协处理器的方框图。

图2为实施例1亦即8×8可重构S盒模块的方框图。

图3为实施例2亦即n×m可重构S盒模块的电路图，就可以实现上述S盒代替变换。

图4为可重构S盒模块所实现的一个特殊的代替变换的电路图，亦即图3的等效电路。

图5为8×8可重构S盒模块的信号定义。

                       具体实施方式

实施例1和实施例2分别给出了可重构S盒模块的两种不同的电路设计方法。

实施例1。一种可重构密码协处理器的可重构S盒模块的设计方法，如图2、图5所示。这里以8×8可重构S盒模块为例说明其设计方法，n×m(n、m为任意自然数)可重构S盒模块的设计方法可以以此类推。8×8的S盒模块用于实现8位输入到8位输出之间的任意的布尔函数关系，即8个输出变量中的每一个变量可以是8个输入变量的任意的布尔逻辑函数。S盒的结构框图如图2所示。具体说，8×8置换模块能够实现3种操作：配置寄存器复位操作、写配置寄存器操作、S盒代替变换操作。分别描述如下：

(1)配置寄存器复位操作：

在时钟上升沿到达时若RST＝1，则将配置寄存器CONTREG的值CR[2047：0]全部置为0。配置寄存器复位操作与时钟CLK同步。

(2)写配置寄存器操作：

在时钟上升沿到达时若Ei＝1(0≤i≤17)，将配置数据CONT[111：0]写到配置寄存器CONTREG的第112i至(112i+111)位(即CR[112i+111：112])中去(0≤i≤17)；在时钟上升沿到达时若E18＝1，将配置数据CONT[111：0]写到配置寄存器CONTREG的第2016至2047位(即CR[2047：2016])中去。写配置寄存器操作与时钟CLK信号同步。

(3)S盒代替变换操作：

在配置寄存器CONTREG的输出CR[2047：0]的控制下，将8位的输入D[7：0]变换为8位的输出Q[7：0]，详细的变换关系如下：

若D[7：0]＝I时，则Q[7：0]＝CR[8I+7：8I]，其中0≤I≤255。即将配置寄存器CONTREG的值CR[2047：0]按顺序划分为256个8位的数据，用输入数据D[7：0]作为选通控制信号，从256个数据中选择一个作为输出Q[7：0]。

实施例2。一种可重构密码协处理器的可重构S盒模块的设计方法，如图1、图3、图4所示。它能够实现n位输入、m位输出的布尔逻辑函数，n、m均为自然数。下面我们针对实施例2详细描述其设计原理和方法，参见图3和图4。它包括以下步骤：

①设计配置寄存器(1)，其输入为CONT、CLK、RST、E0、E1...，输出为CR[m2ⁿ-1：0]，并由可控节点加以控制，采用与门作为可控节点，可控节点的控制编码 $k_i=(k_{i1},k_{i2},\·\·\·,k_{{i2}^n})(1\≤i\≤m)$ 存放在配置寄存器(1)中；

②设计代替变换电路，它以CR[m2ⁿ-1：0]和D[n-1：0]为输入端，以Q[m-1：0]为输出端，包括输入逻辑电路和输出逻辑电路；

③设计输入逻辑电路，对于任意的布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)，其2ⁿ个最小项亦即n项之积是固定不变的，因此该输入逻辑电路的电路结构是固定的，它以x₁，x₂，…，x_n为n个布尔变量输入；

④设计输出逻辑电路，对于任意的布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)，其表达式的2_n项之和结构是不变的，其函数关系的改变完全依赖于最小项的系数 $k_i=(k_{i1},k_{i2},\·\·\·,k_{{i2}^n})(1\≤i\≤m)$ 的改变，因此该输出逻辑电路的电路结构是固定的，它以输入逻辑电路的输出和系数 $k_i=(k_{i1},k_{i2},\·\·\·,k_{{i2}^n})(1\≤i\≤m)$ 相与为输入、以布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)为输出。

输入逻辑电路包括将输入变量x₁，x₂，…，x_n先非运算(3)后相与的2ⁿ个与门(2)，但每个与门(2)的输入的先非运算(3)按x₁，x₂，…，x_n依次减少末一位。输出逻辑电路包括依次输出f_i(x₁，x₂，…，x_n)(1≤i≤m)的m个或门(4)，每个或门(4)以i为序依次将AND2-i1、AND2-i2…AND2-i2ⁿ(1≤i≤m)为输入端。

实施例l和实施例2灵活性大、适应性强，能根据不同密码算法灵活改变自身电路的逻辑结构和功能，从而实现不同密码算法。可广泛应用于可重构密码协处理器中。

Claims (2)

1.一种可重构密码协处理器的可重构S盒模块的设计方法，它能够实现n位输入、m位输出的布尔逻辑函数，n、m均为自然数，其特征在于它包括以下步骤：

①设计配置寄存器，其输入为CONT、CLK、RST、E0、E1…，输出为CR[m2ⁿ-1：0]，用于保存可控节点的控制编码；

②设计代替变换电路，它以CR[m2ⁿ-1：0]和D[n-1：0]为输入端，以Q[m-1：0]为输出端，包括输入逻辑电路和输出逻辑电路；

③设计输入逻辑电路，对于任意的布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)，其2ⁿ个最小项亦即n项之积是固定不变的，因此该输入逻辑电路的电路结构是固定的，它以x₁，x₂，…，x_n为n个布尔变量输入；

④设计输出逻辑电路，对于任意的布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)，其表达式的2ⁿ项之和结构是不变的，其函数关系的改变完全依赖于最小项的系数 $k_i=(k_{i1},k_{i2},\·\·\·,k_{i{2}^n})$ (1≤i≤m)的改变，因此该输出逻辑电路的电路结构是固定的，它以输入逻辑电路的输出和系数 $k_i=(k_{\mathrm{il}},k_{i2},\·\·\·,k_{i{2}^n})$ (1≤i≤m)相与为输入、以布尔函数f_i(x₁，x₂，…，x_n)(1≤i≤m)为输出。

2.按照权利要求1所述的可重构密码协处理器的可重构S盒模块的设计方法，其特征在于所说的输入逻辑电路包括将输入变量x₁，x₂，…，x_n先非运算后相与的2ⁿ个与门，但每个与门的输入的先非运算按x₁，x₂，…，x_n依次减少末一位，输出逻辑电路包括依次输出f_i(x₁，x₂，…，x_n)(1≤i≤m)的m个或门，每个或门以i为序依次将AND2-i1、AND2-i2…AND2-i2ⁿ(1≤i≤m)为输入端。