S盒密码性质的测试与研究

合集下载

SMS4算法S盒的密码学性质

维普资讯
第３４卷第５期
ＶＬ４ｏ３
・
计
算
机
工
程
２００８年３月
Ｍａ
ＣｏｐｔｒＥｎｉｅｒｎｍｕｅｇｎｅｉｇ
安全技术・
文编ｔｏ＿４（０）— １＿３文标码Ａ章号ｏ＿２２８５０８ｏ１ｏ３８００＿５＿献识：
中分号：Ｐ０６图类Ｔ３Ｌ
Ｓ４算法Ｓ盒的密码学性质ＭＳ
刘佳，韦宝典，藏宪华，一
（．中山大学电子与通信工程系，广州５０７；２广东省信息安全技术重点实验室，１１２５．广州５０７）１２５
摘要：Ｓ盒是分组密码的重要组成部分，在很大程度上决定了分组密码的安全性。该文研究了中国分组密码标准Ｓ４算法ｓＭＳ盒的平衡
［ｙｗｏｄＩＳ４ａｇｒｈＡＥ；－ｏ；ｏｌａｎｔｎＫｅｒｓＭＳｌｏｔｍ；ＳＳｂｘＢｏｅｆｃｉｉｎｕｏ
继美国将Ｒｊｄｅ算法…作为高级加密标准（Ｅ）ｉａｌｎＡＳ、欧洲将Ｃｍｅｌａｌａ等算法作为ＮＳＩｉＥＳＥ分组加密标准之后，中国国家密码管理局于２００６年１６日发布第７号公告，我国月将无线局域网产品的加密算法确定为Ｓ４算法。这是国内ＭＳＪ官方公布的第１个商用密码算法。ｓ盒是大多数分组密码算法中唯一的非线性结构，其密码特性直接决定了密码算法的
生成： ’
ＭＫ３０ＦＫ３）ｒｋ＝Ｋｉ：Ｆ’ ，＋，２Ｋ，Ｋ＝＋４（ＫＫ，＋Ｃ）Ｋｉ１３

一类动态S盒的构造与差分性质研究

ＩｎｖｅｓｔｉｇａｔｉｏｎｏｎＣｏｎｓｔｒｕｃｔｉｏｎａｎｄＤｉｆｆｅｒｅｎｔｉａｌＰｒｏｐｅｒｔｙｏｆａＣｌａｓｓｏｆＤｙｎａｍｉｃＳ－ｂｏｘ
第３６卷第１期２０１４年１月
电
子
与
信
息
学报 Βιβλιοθήκη Ｖｏ１．３６Ｎｏ．１Ｊａｎ．２０１４
ＪｏｕｒｎａｌｏｆＥｌｅｃｔｒｏｎｉｃｓ＆ＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙ
关键词：密码学；分组密码；动态Ｓ盒；差分分析
中图分类号：ＴＮ９１８．１ＤＯＩ：１０．３７２４／ＳＰ．Ｊ．１１４６．２０１３．００４１６
文献标识码：Ａ
文章编号：１００９ — ５８９６（２０１４）０１ — ００７４ — ０８
ｔｒａｎｓｆｏｒｍａｔｉｏｎｏｖｅｒｔｈｅｆｉｎｉｔｅｉｆｅｌｄ．Ｆｉｒｓｔ，ａｄｅｉｎｆｉｔｉｏｎｏｆｄｉｆｆｅｒｅｎｔｉａｌｐｒｏｂａｂｉｌｉｔｙｆｏｒｄｙｎａｍｉｃＳ－ｂｏｘｉｓｐｒｏｖｉｄｅｄ．ＮｅｃｅｓｓａｒｙａｎｄｓｕｉｃｆｉｅｎｔｃｏｎｄｉｔｉｏｎｓｏｆｉｍｐｏｓｓｉｂｌｅｄｉｆｆｅｒｅｎｔｉａｌｓｉｎｄｙｎａｍｉｃＳ－ｂｏｘａｎｄｔｈｅｎｕｍｂｅｒｏｆｉｍｐｏｓｓｉｂｌｅｄｉｆｆｅｒｅｎｔｉａｌｓａｒｅｐｒｅｓｅｎｔｅｄ．Ｔｈｅｎ，ａｎｕｐｐｅｒｂｏｕｎｄｏｎｔｈｅｍａｘｉｍｕｍｄｉｆｆｅｒｅｎｔｉａｌｐｒｏｂａｂｉｌｉｔｙｏｆｄｙｎａｍｉｃＳ－ｂｏｘｉｓ

轻量S盒密码性质研究

Research on Cryptographic Properties of Lightweight S-boxes
JIA Ping1,2, XU Hong1,2, QI Wen-Feng1,2
1. State Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450001, China 2. PLA Information Engineering University, Zhengzhou 450001, China Corresponding author: JIA Ping, E-mail: xxgcjp@
1
引言
混淆和扩散是分组密码算法设计的主要准则[1]. S 盒作为许多分组密码算法中唯一的非线性部件, 其
密码强度直接决定了整体算法的密码强度, 必须抵抗现有的差分密码分析[2]、线性密码分析[3]及各种变形算法的威胁. 对 S 盒密码性质的研究具有重要的理论意义和实用价值. 近年来, 随着 RFID 技术、传感器网络、移动互联网等技术的发展, 轻量密码算法得到广泛应用[4], 逐步成为密码界研究的热点之一. 2005 年以来, 先后出现了 mCrypton[5]、PRESENT[6]、MIBS[7]、LBlock[8]、 LED[9]、Piccolo[10]、KLEIN[11]、PRINCE[12]、TWINE[13]、PRIDE[14]、RECTANGLE[15]等多个轻量分组密码算法和 QUARK[16]、PHOTON[17]、SPONGENT[18]等多个轻量 Hash 算法. 密码算法中常用的 S 盒通常为 8 比特或者 4 比特, 而轻量密码算法中由于硬件成本的限制, 更倾向于使用 4 比特的 S 盒. S 盒密码性质的好坏与整体算法的安全性密切相关, 很多算法如 PRIDE 等, 就是因为 S 盒的设计有缺陷容易受到攻击[19]. 差分均匀度和线性度(非线性度)是衡量 S 盒密码性质的两个主要指标[20–22], 它们分别刻画了 S 盒抵抗差分密码分析和线性密码分析的能力, 并且在仿射变换下保持不变. 对 4 比特的 S 盒, 其差分均匀度至少为 4, 线性度至少为 8, 达到下界的 S 盒被称为最优 S 盒[23]. 2007 年, Leander 等[23]发现在仿射等价意义下, 最优 4 比特 S 盒仅有 16 类. 基于这一结果, 我们对现有典型轻量算法中的 4 比特 S 盒按仿射等价关系进行了分类, 具体结果参见表 2. 对差分均匀度和线性度均达到最优的 S 盒, 如果它们具有最大差分概率的差分特征较多, 或者具有最大偏差的线性特征较多, 那么这些特征还可以被用于多差分密码分析或者多线性密码分析中. 记 N d S 为 S 盒中具有最大差分概率的差分特征的个数, N l S 为 S 盒中具有最大偏差的线性特征的个数, 它们在仿射变换下也保持不变. 我们在表 3 中列出了各轻量 S 盒对应的 N d S 和 N l S 的值, 这些结果与文献[24]对各类最优 4 比特 S 盒的统计结果一致. 此外, 对于采用 SPN 结构的密码算法, 如果扩散层为简单的比特置换, 那么利用单比特的输入输出差分或者单比特的输入输出掩码更容易构造整体算法的多轮差分特征或者多轮线性特征. 记 CarD1S 为 S 盒中单比特的输入输出差分出现的个数, CarL1S 为 S 盒中单比特的输入输出掩码出现的个数 . 文献[25]以 PRESENT、 SPONGENT、 RECTANGLE 等算法中使用的轻量 S 盒为例, 对 4 比特 S 盒中 CarD1S 和 CarL1S 的可能值及最优值进行了分析. 以此为基础, 我们对现有典型轻量算法中的 4 比特 S 盒中 CarD1S 和 CarL1S 的取值情况也进行了统计, 具体结果参见表 2.

基于GPU的密码S盒代数性质评估方法

基于GPU的密码S盒代数性质评估方法蔡婧雯;韦永壮;刘争红【期刊名称】《计算机应用》【年(卷),期】2022(42)9【摘要】密码S盒即黑盒,作为对称密码算法中的非线性部件,其代数性质往往决定着密码算法的安全性能。

差分均匀度、非线性度及透明阶作为衡量密码S盒安全性质的三个基本指标,分别刻画了S盒抵御差分密码分析、线性密码分析及差分功耗攻击的能力。

当密码S盒输入尺寸较大(如S盒输入长度大于15比特)时在中央处理器(CPU)中的求解所需时间仍过长,甚至求解不可行。

如何针对大尺寸输入密码S盒的代数性质进行快速评估是目前业界的研究热点。

基于图形处理器(GPU)提出一种快速评估密码S盒代数性质的方法。

该方法利用切片技术将内核函数拆分至多线程,并结合求解差分均匀度、非线性度及透明阶的特征提出优化方案,从而实现并行计算。

测试结果表明,与基于CPU的实现环境相比,基于单块GPU的环境下的实现效率得到了显著的提升。

具体来说,计算差分均匀度、非线性度及透明阶所花时间分别节省了90.28%、78.57%、60%,验证了该方法的有效性。

【总页数】7页(P2750-2756)【作者】蔡婧雯;韦永壮;刘争红【作者单位】广西密码学与信息安全重点实验室(桂林电子科技大学);广西无线宽带通信与信号处理重点实验室(桂林电子科技大学)【正文语种】中文【中图分类】TP309.7【相关文献】1.基于GPU的层次包围盒快速构造方法2.一种基于GPU的WiFi密码破解方法3.一种基于GPU的并行算法功耗评估方法4.基于密码学理论的私密信息安全风险评估方法5.一类新的基于元胞自动机的S盒的密码学性质研究因版权原因，仅展示原文概要，查看原文内容请购买。

AES S盒的密码特性分析

AES S盒的密码特性分析
刘景伟;韦宝典;吕继强;王新梅
【期刊名称】《西安电子科技大学学报（自然科学版）》
【年(卷),期】2004(031)002
【摘要】作为大多数分组密码中惟一的非线性结构,S盒在很大程度上决定了分组密码的安全性.文中对AES S盒的密码性质进行了深入的分析,采用一种新的且简单通用的方法--拉格朗日差值法推导出了S盒的代数表达式,计算并证明了S盒的平衡性、严格雪崩准则、差分均匀度、代数次数等8种代数性质.
【总页数】5页(P255-259)
【作者】刘景伟;韦宝典;吕继强;王新梅
【作者单位】西安电子科技大学,计算机网络与信息安全教育部重点实验室,陕西,西安,710071;西安电子科技大学,计算机网络与信息安全教育部重点实验室,陕西,西安,710071;西安电子科技大学,计算机网络与信息安全教育部重点实验室,陕西,西安,710071;西安电子科技大学,计算机网络与信息安全教育部重点实验室,陕西,西安,710071
【正文语种】中文
【中图分类】TN918.4
【相关文献】
1.AES密码算法S盒的线性冗余研究 [J], 金晨辉;孙莹
2.AES的S盒和逆S盒的代数表达式 [J], 马虹博;刘连浩
3.基于冗余有限域算术的AES S盒高效故障检测方案 [J], 戴强;戴紫彬;李伟
4.基于增强型延时感知CSE算法的AES S盒电路优化设计 [J], 戴强;戴紫彬;李伟
5.一种AES算法中S盒和逆S盒替换的表达式方法 [J], 覃晓草;李树国
因版权原因，仅展示原文概要，查看原文内容请购买。

对称密码算法S盒安全性分析

文章编号：１６７４ — ７０７０（２０１３）０４－０３５２－０６
对称密码算法Ｓ盒安全性分析
刘佳
摘要
Ｏ引言
由于计算机网络并行计算能力的不断提高，美国数据加密标准
ＤＥＳ（ＤａｔａＥｎｃｒｙｐｔｉｏｎＳｔａｎｄａｒｄ）在１９９８年被攻破．１９９７年初，美国已经开始计划建立高级加密标准ＡＥＳ（ＡｄｖａｎｃｅｄＥｎｃｒｙｐｔｉｏｎＳｔａｎｄａｒｄ），
对称加密标准ＳＥＥＤ算法，并服务于很多安全系统．２０００年１月１日，欧洲启动了欧洲签名、完整性和加密新方案ＮＥＳＳＩＥ（ＮｅｗＥｕｒｏｐｅ．ａｎＳｃｈｅｍｅｓｆｏｒＳｉｇｎａｔｕｒｅｓ，Ｉｎｔｅｇｒｉｔｙ，ａｎｄＥｎｃｒｙｐｔｉｏｎ）计划，３年后确定了Ｃａｍｅｌｌｉａ算法为其对称密码标准算法之一．２００６年１月６日，中国国家密码管理局发布第７号公告，将用于我国无线局域网产品的加
１ｊｉａ２＠ｍａｉ１２．ｓｙｓｕ．ｅｄｕ．ｃｒｌ
式、差分特性和线性特性等代数性质；第２节分析各种对称密码算法Ｓ盒布尔函数所具有的性质；第３节通过对比各种对称密码算法ｓ盒

基于AES加密算法的S盒优化设计

技术创新《微计算机信息》2012年第28卷第10期120元/年邮局订阅号：82-946《现场总线技术应用200例》信息安全基于AES 加密算法的S 盒优化设计Optimized design of S box based on AES encryption algorithm(湖南大学)胡春燕易波HU Chun-yan YI Bo摘要:本文探讨提出一种新的S 盒优化设计构造方案,改进的S 盒算法首先寻找最佳仿射变换对,接着对字节元素进行1次仿射变换,然后求乘法逆元,最后再进行1次仿射变换。

相比传统的S 盒,改进的S 盒的代数表达式项数达到253项,仿射变换周期为16,迭代输出周期为256,严格雪崩准则距离逼近370。

而在平衡性、差分均匀度,非线性度等方面保留了传统S 盒的代数性质。

关键词:加密算法;AES;S 盒;放射变换中图分类号:TN911文献标识码:AAbstract:This paper tentatively put forward a new kind of S box optimized design scheme.The first step in the improved S box al -gorithm generating process is to search the best affine transform couple,and then do one affine transform to byte selements,then search for the multiplicative inverses,finally do one affine transform pared with the original S box,the improved S box ’s algebraic expression item number reaches 253items .affine transform period is 16,strict avalanche criterion distance is close to 370,iterative output cycle is 256.While in the balance,strict avalanche criterion,non-linear degree etc,the improved S box keeps the traditional S box ’s algebraic properties.Keywords:encryption algorithm;AES;S box ;affine transform文章编号:1008-0570(2012)10-0358-031引言近年来,随着密码分析水平,芯片处理能力和计算技术的不断进步,DES 的安全强度已经很难适应新的安全需要,其实现速度、代码大小和跨平台性都难以继续满足应用需求。

布尔函数的几类密码性质研究与S盒的构造

布尔函数的几类密码性质研究与S盒的构造布尔函数的几类密码性质研究与S盒的构造摘要：布尔函数在密码学领域中扮演着重要的角色。

本文探讨了布尔函数的几类密码性质以及S盒的构造方法。

首先，介绍了布尔函数的基本概念和性质。

然后，重点研究了平衡性、非线性性、代数次数和自相关性等几类密码性质，并分析了它们在密码学中的应用。

最后，介绍了S盒的构造方法，包括代数构造法、迭代构造法和启发式构造法，并比较了它们的优缺点。

本文的目的是为密码学的研究和应用提供参考和指导。

关键词：布尔函数、密码性质、S盒、代数构造法、迭代构造法、启发式构造法一、引言布尔函数是一种特殊形式的数学函数，它的取值为0或1。

在密码学中，布尔函数广泛应用于加密算法的设计和分析。

布尔函数的本质是一个逻辑运算，通过它可以实现对信息的加密。

二、布尔函数的基本概念和性质1. 布尔函数基本概念布尔函数是一个定义在有限域上的函数，它的输入和输出皆为0或1。

一个n变量的布尔函数可以表示为f(x1, x2, ..., xn)，其中xi是输入变量。

2. 平衡性平衡性是指布尔函数0和1的输出值的个数相等。

对于一个n变量的布尔函数，如果f(x1, x2, ..., xn)的值为0和1的个数相等，则称该函数具有平衡性。

3. 非线性性非线性性是指布尔函数的输出值与输入值之间的关系非线性。

一个函数越非线性，意味着对抵抗不同攻击方法的能力越强。

在密码学中，非线性性是衡量一个布尔函数安全性的重要指标。

4. 代数次数代数次数是指布尔函数表达式中最高次项的次数。

一个函数的代数次数越高，说明它的非线性性越强。

代数次数也是衡量一个布尔函数安全性的指标之一。

5. 自相关性自相关性是指布尔函数与它自身的相关性。

对于一个布尔函数f(x1, x2, ..., xn)，如果存在一组输入xi使得f(x1⊕a1,x2⊕a2, ..., xn⊕an) = f(x1, x2, ..., xn)，其中ai∈{0,1}，则称该函数具有自相关性。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

S盒密码性质的测试与研究范巍【摘要】本文介绍了S盒的设计准则和构造方法，并利用程序实现了非线性度、扩散准则、雪崩效应、差分均匀性这几个设计准则。

利用上述程序对现代主流的几个分组密码进行了分析和测试，主要就非线性度、差分均匀度、雪崩效应、扩散特性以及可逆性对其中的S盒进行了分析和讨论。

此外，在上述基础上，本文采用有限域上的幂函数和逆函数线性组合的方式构造S盒。

对得到的S盒的密码性质进行了分析和讨论，并与现代主流密码的S盒进行比较。

【期刊名称】《创新科技》【年(卷),期】2014(000)024【总页数】2页(P86-87)【关键词】S盒;非线性度;差分均匀度;扩散特性;雪崩效应【作者】范巍【作者单位】河南牧业经济学院<英才校区>计算机应用系，河南郑州 450044【正文语种】中文【中图分类】TN918分组密码是现代密码的一个重要分支，自从其诞生以来，三十多年间人们从未停止过对其的研究。

不论是理论还是应用，密码学家在这期间都取得了极大的进展。

分组密码的设计和安全性研究既相互对立又相互促进，从而也让分组密码有长足的进展。

然而分组密码设计原理的完善并没有浇灭密码学家对于分组密码安全性的热情，反而更加激发了密码学家们的兴趣。

密码学家们的兴趣最终导致分组密码攻击方法的日趋多样性。

从差分分析到高阶差分分析[1]，从线性攻击到截断差分-线性攻击[2]，经典的攻击方法之间的重组创造出了新的攻击方法。

大多数的分组密码采用混淆加上迭代的结构，其中S盒是大多数分组密码中混淆的关键。

因此，从某种意义上讲，分组密码的安全性依赖于S盒的密码特性。

也正是由此，越来越多的攻击方法被提出也给S盒带来了越来越大的挑战，这也使得对于S盒性质的研究获得了密码学家们的极大关注。

从S盒的输入输出的角度来看，S盒可以看作是多输出布尔函数，因此对于S盒的研究可以通过布尔函数的一些研究方法来实现。

布尔函数的相关理论和结果能够对S盒的研究提供很好地指引作用。

因此，S盒的很多密码性质是由布尔函数的相关性质推广而来。

随着S盒研究的深入，一个很现实有很重要的问题出现在密码学家们的眼前，即如何全面的衡量S盒的优劣。

于是很多密码学家又致力于对于S盒设计准则的研究，发表了大量的文献资料[6-10]，这些文献中给出了S盒的一些设计准则。

事实上可以发现，很多S盒的设计准则来源布尔函数的相关性质。

线性攻击的出现，使得非线性度这个概念对于分组密码日益重要。

由于这种攻击方法的本质是用线性函数去逼近加密算法，而对于S盒的线性逼近是否有效直接关系到攻击成功与否。

3.1 S盒构造方法。

S盒的设计准则较多，有些设计准则之间相互限制，因此满足所有准则的S盒几乎是不存在的。

所以，可以根据实际情况对S盒某些指标的要求不需要那么严格。

例如，对于采用SP结构的分组密码，由于其良好的扩散性能，在这种情况下可以适当降低对S盒扩散性的要求。

其一，随机选取并测试。

由于规模较小的S盒的安全性可能得不到保障，因此，在随机生成S盒时往往生成规模较大的S盒，以确保S盒以较大的概率具有较好的密码性质[8]。

其二，按照一定规则构造并测试使用这种方法的一个重要前提是现有的性质良好的S盒，然后通过设计者设定的一些规则来改进S盒。

其三，利用密码结构。

大多数情况下，这种方法以规模较小的S盒，通过特定的密码结构，以构造性质优良的且规模较大的S盒。

此种方法构造的S盒通常可以用较低的硬件代价实现，对于一些资源受限的应用此种方式构造的S盒更容易满足要求。

其四，利用遗传算法构造并测试所谓的遗传算法，就是利用两个旧的S盒生成新的S盒，并对新产生的S盒进行淘汰：只选取性质更加优良的S盒，让其有权力生成新的S盒。

这样可以使得好的性质一步步聚集起来，从而产生一些密码特性良好的S盒。

其五，数学函数。

使用这种方法的好处是：S盒的性质可以从理论上证明。

目前常用的此类S盒由指数函数、对数函数、有限域上的逆和幂函数、混沌映射。

其六，不同群中数学函数的复合。

不同群的数学函数的符合在抵抗差值攻击和高阶差分攻击方面时有效地。

按照一定的规律选取参数，例如选取是奇数和可以保证S盒是双射。

3.2 现代主流分组密码的S盒性质研究。

分组密码中大多数用到了S盒，而S盒的一个重要作用是对明文进行混淆。

混淆的程度也在一定程度上影响着这些分组算法的加密强度和安全性。

因此，对于现有S盒的密码性质的研究将为设计出更好地S 盒提供重要的依据。

其一，AES算法。

AES算法的S盒是由限域上逆映射并加上仿射变换得到的，这种方法设计充分保证了S盒的差分均匀度、线性偏差以及较高的代数次数。

因为AES算法的S盒是一个置换，因此其一定是平衡的。

对其输入改变1比特来观察其输出的改变比特的概率，可以看出AES算法的S盒并不符合完全雪崩效应和一阶扩散准则，其完全雪崩距离为432，但是可以看出关于任何一个元素其与符合雪崩效应的差距并不是很大，也即当输入改变1比特时输入每一比特取反的概率都很接近0.5。

非线性度一定程度上反映了S盒抵抗线性密码分析攻击的能力，而bent函数具有最高的非线性度，计算可以得到AES算法S盒的非线性度为112已经十分接近bent函数。

AES S盒的差分均匀度为4，说明AES算法S盒对于差分攻击具有良好的抵抗能力。

其二，Camellia算法。

Camellia算法对其他较为复杂的攻击方法也具有很好地抵抗能力。

此外，Camellia算法有一个很大的特点：每隔一定的轮数使用不同的函数以增加不确定性。

Camellia算法中的S盒并不满足完全雪崩效应和一阶扩散准则，但是在输入改变1比特的情况下输出比特改变的比例都比较接近0.5，因此其也具有较好的雪崩效应。

Camellia算法的S盒的完全雪崩距离为308，比AES算法S盒更优。

S盒的非线性度和差分均匀度分别是112和4，这和AES算法S盒是一致的。

其三，SMS4算法。

SMS4算法是一个典型的分组密码算法，具有128比特的分组长度，而且其密钥长度与之相同。

SMS4算法采用的迭代轮数比一般的分组密码都多：32轮。

SMS4算法 S盒并不满足完全雪崩效应和一阶扩散准则，但是在输入改变1比特的情况下输出比特改变的概率都比较接近0.5，因此其也具有较好的雪崩效应。

SMS4算法的S盒的完全雪崩距离为492，较AES算法S盒和camellia算法S盒都差。

SMS4算法S盒的非线性度和差分均匀度分别是112和4，这和AES算法、Camellia算法S盒是一致的。

其四，ARIA算法。

ARIA算法的明文分组长度以及密钥比特的长度均与AES算法一致。

算法迭代的轮数根据密钥长度不同而不同分别为：12、14和16。

ARIA算法的整体结构为SP结构，每一轮由加轮密钥、混淆层和扩散层构成。

ARIA算法中的S盒并不满足完全雪崩效应和一阶扩散准则但是在输入改变1比特的情况下输出比特改变的概率都比较接近0.5，因此其也具有较好的雪崩效应。

ARIA算法的S盒的完全雪崩距离为400，较AES算法S盒和Camellia算法S盒都差，但是优于SMS4算法S盒。

ARIA算法S盒的非线性度和差分均匀度分别是112和4，这和AES算法S盒、Camellia算法S盒以及SMS4算法S盒是一致的。

3.3 新S盒的设计与生成。

采用基于有限域上的幂函数和逆函数的方法来构造S盒，并采用模加运算对幂函数和逆函数进行线性组合。

其中有限域通过本原多项式生成，使用的本原多项式与AES算法中一致。

由于S盒可以看作是的多输出函数，于是S盒可以看作是同构于。

于是所有的S盒（8进8出）都可以通过以下形式表示出来。

因此，我们采用与AES算法相同的方式构造一个有限域GF（28），记作GF并首先研究GF上的单独一个幂函数f（x）=x e的性质，主要包括可逆性、平衡性、非线性度、雪崩效应、扩散特性。

单独一个幂函数的形式并不能很好地满足加密算法对于S盒密码性质的要求，于是采取逆函数和幂函数相异或的形式来构造S盒，即S（X）=x-1+x e。

这有以下好处：首先这样可以使得S盒的代数表达式更加复杂，其次异或运算可以提高S盒的非线性程度。

由于S盒在具体的分组算法中要求是可逆的，通过计算具有上述形式且可逆的S盒的非线性度、雪崩效应以及扩散特性的指标如表1：通过上述方法仍然无法获得性质较好的S盒并且可逆S盒的数量过少，于是采取逆函数与两个幂函数相异或的构造方法，并将原来的逆函数变换成AES中经过仿射变换后的S盒，可以一些性质更为良好的S盒，具体情况如表2：该S盒并不满足完全雪崩效应但是在输入改变1比特的情况下输出比特改变的概率都比较接近0.5，因此其也具有较好的雪崩效应。

S盒的完全雪崩距离为380，优于AES算法、SMS4算法和ARIA算法的S盒，并且与Camellia算法S盒的差距也不是很大。

该S盒的非线性度和差分均匀度分别是112和4，这和AES 算法S盒、ARIA算法S盒、Camellia算法S盒以及SMS4算法S盒是一致的。

上述的测试说明按照上述设计准则，利用有限域幂函数和逆函数通过异或运算组合的构造方法确实能够产生性质良好的S盒。

本文对S盒的设计准则和构造方法进行了总结和讨论，并对现有主流分组密码中的S盒就非线性度、雪崩效应以及扩散特性等性质做了分析与研究。

然后在通过本原多项式构造的有限域的基础上，采用逆函数与幂函数线性组合的方式构造S 盒。

最后研究这些S盒的平衡性、可逆性、非线性度、雪崩效应以及扩散特性等性质，并与现有的主流分组密码中的S盒进行对比。

最终得到密码特性比较理想的S盒。

【相关文献】[1]胡豫濮，蔡勉，肖国镇.一类高阶差分密码分析[J].电子学报，1999（10）：74-78.[2]贺也平，吴文玲，卿斯汉.截断差分-现行密码分析[J].软件学报，2000（10）：94-98.[3]张丽琼，吕述望.插值攻击中的多项式表示[J].通信技术，2003（4）：80-81.[4]温巧燕，钮心忻，杨义先.现代密码学中的布尔函数[M].北京:科学出版社，2000.[5]冯登国，吴文玲.分组密码的设计与分析[M].北京:清华大学出版社，2009.[6]A.F.Webster and S.E.Tavares，On the Design of S-Boxes. Advances in Cryptology-CRYPTO'85，LNCS 218，pp:523-524. Springer-Verlag，1986.[7]S.Fischer and W.Meier，Algebraic Immunity of S-Boxes and Augmented Functions.Fast Software Encryption-FSE 2007 LNCS 4593，pp:366-381.Springer-Verlag，2007.[8]J.A.Gordon and H.Retkin，Are Big S-Boxes Best?IEEE Workshop on Computer Security，pp:257-262，1981.[9]L.O’Connor，Enumerating Nondegenerate Permutations，Ad⁃vances in Cryptoogy-EUROCRYPT’91，LNCS 547，pp:368-377.[10]C.Adams and S.Tavares，The Structured Design of De⁃sign of Cryptographically Good S-Boxes，Journal of Cryptology，Vol.3，No.1，pp:27-41，1990.[11]J.Dettombe and S.Tavares，Constructing large cryptograph⁃ically strong S-Boxes.Advances in Cryptology-Auscrypto’92，LNCS 718，pp:165-181.Springer-Verlag，1993.[12]Ross J.Anderson，Eli Biham，Lars R.Knudsen.The Case for Serpent.AESCondidate Conference 2000:349-354.。