技術領域

本發明主要應用于在密鑰算法硬件中同時實現AES和SM4。

背景技術

自從Rijndael算法被選定為AES(Advanced Encryption Standard)標準以來，一直受到了密碼學界廣泛的關注與研究，對后來的分組密碼算法的設計有非常大的影響。

S盒是分組密碼中唯一的非線性運算，用于實現密碼設計準則中的混淆功能，因此S盒在很大程度上決定了分組算法的好壞。DES的S盒通過置換查找表的方式給出，研究人員并沒有找到其對應的代數表達式。這種方式不利于對算法進行深入的安全性分析，研究人員一度懷疑DES的S盒設計中存在后門。AES的S盒則有明確的代數表達式S(a)＝A·a^-1+b，使用了有限域求逆和線性運算。這一結構有很好的抵抗密碼分析的能力，因此這一S盒的設計思想被后續的許多分組密碼算法所借鑒。例如：我國的國產密碼算法SM4的S盒表達式為S(a)＝A(A·a+b)^-1+b，也使用了求逆和線性運算。

為了滿足不同應用的需求，密碼硬件設備中往往需要同時包含多個分組算法。例如：國產安全芯片中一般會同時支持SM4和AES。目前對AES硬件實現的研究較多，根據需求可以選擇不同的方案；而對SM4硬件實現的研究則比較少，通常采用對AES的實現方案進行修改，從而得到符合需求的SM4實現方案。這樣實際上需要重復設計，效率較低。另一方面，在硬件實現中，不同的分組算法需要用不同的硬件模塊實現，因此硬件的面積、成本等將呈線性增加。

如果能夠將S盒統一實現，既能夠提高開發效率，避免重復設計，同時還可減少芯片的面積，降低硬件成本。但由于AES和SM4的S盒表達式并不完全相同，因此一般很難達成這一目標。本專利注意到SM4和AES的S盒都是基于有限域乘法求逆運算，利用數學理論進行推導，找到了SM4和AES的S盒轉換公式，進而可將AES和SM4的S盒統一實現。

發明內容

本發明的內容是一種統一實現AES和SM4的S盒的方法，核心是利用數學理論進行推導，找到了SM4和AES的S盒轉換公式，最終給出了一種統一實現AES和SM4的S盒的方法。該方法包括：1)輸入數據x；2)對x進行線性運算L₁，得到運算結果為y＝L₁(x)；3)對y進行求逆運算Inv，得到運算結果為z＝Inv(y)；4)對z進行線性運算L₂，得到運算結果為S(x)＝L₂(z)；5)輸出S(x)。

AES算法的表達式為S(a)＝A1·a^-1+b1。其中

1)a^-1為有限域上的模m1(x)＝x⁸+x⁴+x³+x+1乘法求逆運算，即輸入表示多項式，求滿足

a·y＝1mod(x⁸+x⁴+x³+x+1)

2)A1為8*8的矩陣，b1為列向量，定義如下：

SM4算法的S盒表達式為：

S(a)＝A2(A2·a+b2)^-1+b2

其中1)a^-1為有限域上的模m2(x)＝x⁸+x⁷+x⁶+x⁵+x⁴+x²+1乘法求逆運算，即輸入表示多項式，求滿足

a·y＝1mod(x⁸+x⁷+x⁶+x⁵+x⁴+x²+1)

2)A2為8*8的矩陣，b2為列向量，定義如下：

AES和SM4的S盒中僅有兩種運算：有限域上的乘法求逆運算Inv，由矩陣乘法和向量加法A·a+b組成的線性運算L。顯然AES的S盒可以表示成其結構如圖1所示；SM4的S盒可以表示成其結構如圖2所示。

AES與SM4在有限域上使用的模多項式不同，即m1(x)≠m2(x)。因此在這兩個有限域下的求逆運算的結果不一致：y₁＝a^-1mod m1(x)≠y₂＝a^-1mod m2(x)。為了統一AES和SM4的S盒實現，首先需要將模多項式統一。