鐘鑫林 吳新春

摘 要：為提高高級(jí)加密標(biāo)準(zhǔn)（advanced encryption standard，AES）算法的安全性，提出了一種新的S盒生成方案。在分析了現(xiàn)有S盒存在的問題后，基于S盒的構(gòu)造原理和密碼學(xué)性質(zhì)，通過(guò)選擇新的不可約多項(xiàng)式和仿射變換對(duì)，同時(shí)調(diào)整仿射變換與乘法逆的運(yùn)算順序，構(gòu)造出一種新的S盒；對(duì)生成的新S盒與AES 的S盒以及其他改進(jìn)S盒在代數(shù)式項(xiàng)數(shù)、嚴(yán)格雪崩標(biāo)準(zhǔn)距離等方面進(jìn)行了比較，結(jié)果顯示，新S盒具有更好的代數(shù)性質(zhì)，能夠有效抵御代數(shù)攻擊；還對(duì)新S盒進(jìn)行了硬件設(shè)計(jì)并優(yōu)化，DC綜合結(jié)果顯示新S盒復(fù)域優(yōu)化實(shí)現(xiàn)消耗的資源比傳統(tǒng)復(fù)域?qū)崿F(xiàn)少12%，比查找表法實(shí)現(xiàn)少41%。新S盒在安全性方面優(yōu)于現(xiàn)有S盒，將其應(yīng)用于AES軟件設(shè)計(jì)和硬件設(shè)計(jì)，并通過(guò)仿真測(cè)試驗(yàn)證了其正確性。

關(guān)鍵詞：AES S盒；嚴(yán)格雪崩準(zhǔn)則距離；仿射變換；代數(shù)性質(zhì)；硬件設(shè)計(jì)

中圖分類號(hào)：TP309?? 文獻(xiàn)標(biāo)志碼：A??? 文章編號(hào)：1001-3695（2023）12-041-3784-05

doi： 10.19734/j.issn.1001-3695.2023.03.0142

Improved scheme for AES Sbox and its hardware design

Abstract：This paper presented a novel Sbox generation scheme to enhance the security of the advanced encryption standard （AES） algorithm. After analyzing the existing issues with Sboxes， it constructed a new Sbox based on the principles of Sbox construction and its cryptographic properties. It achieved by selecting new irreducible polynomials and affine transformations while adjusting the order of affine transformations and multiplicative inversion operations. It compared newly generated Sbox with the Sbox of AES and other improved Sboxes in terms of algebraic terms and strict avalanche criteria distance. The results demonstrate that the new Sbox exhibits superior algebraic properties and effectively defends against algebraic attacks. Furthermore， it subjected the new Sbox to hardware design and optimization. The DC synthesis results reveal that the optimized implementation of the new Sbox in the finite field consumes 12% fewer resources compared to traditional finite field implementations and 41% fewer resources compared to lookup table methods. This paper substantiates the superiority of the new Sbox in terms of security over the existing Sboxes. It also applies the new Sbox to AES software and hardware designs， with the correctness of the implementation verified through simulation testing.

Key words：AES Sbox; strict avalanche criterion distance; affine transformation; algebraic properties; hardware design

互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展引起了人們對(duì)信息安全的高度關(guān)注，數(shù)據(jù)加密成為了保障信息安全的一種重要手段［1］。高級(jí)加密標(biāo)準(zhǔn)（advanced encryption standard，AES）是目前最安全、最廣泛使用的加密算法之一，它是美國(guó)聯(lián)邦政府采用的高級(jí)加密標(biāo)準(zhǔn)，用于替代DES算法。S盒是AES算法唯一的非線性部分，AES的字節(jié)代換和密鑰擴(kuò)展多次使用S盒進(jìn)行置換［2］，這對(duì)AES算法抵御各種攻擊起著關(guān)鍵作用［3］。然而，S盒存在一些不足之處。例如，它的仿射變換周期為 4，未能達(dá)到最大值16，S盒迭代輸出周期均不超過(guò)88［4，5］；S盒代數(shù)表達(dá)式僅有9項(xiàng)，復(fù)雜程度較低［6］。

Liu等人［6］提出一種調(diào)整仿射變換和乘法逆順序的S盒構(gòu)造方案，該方案在增加S盒代數(shù)項(xiàng)數(shù)的同時(shí)，在一定程度上縮小了嚴(yán)格雪崩準(zhǔn)則距離，但S盒仿射變換和迭代周期過(guò)小等問題并未得到解決。申笑晨等人［7］提出通過(guò)兩次仿射變換以改進(jìn)S盒的方法，該方法使S盒具有較好的代數(shù)性質(zhì)，但同時(shí)也導(dǎo)致了S盒的運(yùn)算量變大。

本文針對(duì)S盒存在的上述問題，通過(guò)選取新的不可約多項(xiàng)式和仿射變換對(duì)，調(diào)整S盒仿射變換和乘法逆順序，構(gòu)造了一種新S盒，計(jì)算分析了其密碼學(xué)性質(zhì)，基于新S盒構(gòu)造了S盒硬件設(shè)計(jì)和AES硬件設(shè)計(jì)，并對(duì)它們進(jìn)行了測(cè)試。結(jié)果表明：新S盒在密碼學(xué)特性方面優(yōu)于現(xiàn)有的AES算法S盒，同時(shí)新S盒算法硬件結(jié)構(gòu)具有較小的面積和較低的功耗。

1 S盒構(gòu)造原理

1.1 S盒與逆S盒構(gòu)造原理

AES的S盒是一個(gè)8位輸入8位輸出的非線性變換，它的構(gòu)造步驟如下：

對(duì)于有限域GF（28）內(nèi)的輸入字節(jié)元素，要計(jì)算它們的乘法逆元，即使等式a（x）b（x）mod m（x）=1成立（其中m（x）為不可約多項(xiàng)式），此時(shí)稱b（x）為a（x）的逆元。

為進(jìn)一步破壞有限域GF（2）中的代數(shù)結(jié)構(gòu)，使加密過(guò)程更加復(fù)雜，需對(duì)上一步得到的逆元執(zhí)行仿射對(duì)為（u，v）的仿射變換運(yùn)算。

則仿射對(duì)（u，v）對(duì)應(yīng)的仿射變換表達(dá)式為

Lu，v（a）=La+v（1）

綜上可知，S盒非線性變換表達(dá)式為

y=Lx－1+v（2）

其中：L為u構(gòu)造的矩陣；x即輸入向量a。對(duì)于AES算法，其仿射對(duì)為（1F，63）16，由此可構(gòu)造出AES S盒的替換表。

由式（2）可推導(dǎo)出逆S盒的非線性變換表達(dá)式為

x=（L－1y+v′）－1（3）

其中：L-1是在矩陣L有限域GF（28）中的逆矩陣；v′=L-1 v。對(duì)于AES算法，v′=（05） 16，由式（3）可構(gòu)造出AES 逆S盒的替換表。

1.2 仿射變換周期、迭代輸出周期和代數(shù)表達(dá)式項(xiàng)數(shù)

a）仿射變換周期。若存在正整數(shù)k使得Lku，v=I， 則稱Lu，v的仿射變換周期為k，其中I為有限域GF（2）上的8階單位矩陣，Lku，v=Lu，v（Lk－1u，v），k是滿足該條件的最小的正整數(shù)［4］。

b）迭代輸出周期。有限域中某元素經(jīng)過(guò)若干次的S盒字節(jié)替換后回到自身所需的替換次數(shù)稱為S盒的迭代輸出周期［5］。

c）代數(shù)表達(dá)式項(xiàng)數(shù)。S 盒與逆 S 盒的代數(shù)式求解，可通過(guò)將有限域GF（28）中的元素本身作為變量表示元素分量的方法解出，求得AES S盒的代數(shù)表達(dá)式為

y=′05′x254+′09′x253+′F9′x251+′25′x247+′F4′x239+

′01′x223+′B5′x191+′8F′x127+′63′（4）

逆S盒的代數(shù)式為

x=′05′y254+′CF′y253+′B3′y252+…+′7E′y2+′F3′y+′52′（5）

雖然逆S盒的代數(shù)表達(dá)式有255項(xiàng)，但S盒代數(shù)表達(dá)式只有9項(xiàng)，遠(yuǎn)沒有達(dá)到S盒安全性標(biāo)準(zhǔn)，這將成為S盒被攻擊的弱點(diǎn)［8］。

1.3 S盒布爾函數(shù)的密碼學(xué)特性

S 盒是AES算法的核心組成部分，在字節(jié)代換與密鑰擴(kuò)展中多次使用，它的密碼學(xué)特性直接影響加密算法性能。AES算法本質(zhì)上采用了一個(gè)8位輸入8位輸出的多輸入多輸出布爾函數(shù)作為S盒，而一個(gè)密碼體制所用布爾函數(shù)的密碼學(xué)特征在一定程度上決定著其安全性。因此對(duì)AES S盒布爾函數(shù)的各項(xiàng)代數(shù)性質(zhì)進(jìn)行分析十分必要。

設(shè)F（x）=（f1（x）， f2（x），…， fn（x））是GF（2n）到GF（2n）的一個(gè)多輸出布爾置換，那么它的各項(xiàng)布爾函數(shù)代數(shù)性質(zhì)定義如下：

b）正交性：若對(duì)β∈GF（2n）集合{α|α∈GF（2n），F(xiàn)（β）=α}中有且只有一個(gè)元素時(shí)，則稱F（x）是正交的［9］。

F（x）的非線性度，d（uF（x），l（x））表示uF（x）與l（x） 之間的漢明距離， Ln［X］表示全體線性函數(shù)集［11］。

e）非線性結(jié)構(gòu)：若對(duì)于任意γ∈GF（2n），滿足 F（x）+F（x+γ）=c（c為常量），則稱γ為F（x）的線性結(jié)構(gòu)［8］。

2 新S盒的設(shè)計(jì)

2.1 新S盒構(gòu)造方案

本文構(gòu)造的新S盒采用Liu等人［6］方案的改進(jìn)之處：新S盒的非線性變換為y=（L·x）－1+v，相應(yīng)的逆S盒的非線性變換為x=L－1（y+v）－1。由于Liu等人的方案僅改變乘法逆與仿射變換順序，保留原仿射對(duì)和不可約多項(xiàng)式，所以只有S盒代數(shù)表達(dá)式、嚴(yán)格雪崩準(zhǔn)則距離等少數(shù)幾個(gè)性質(zhì)得到提升。

新S盒與逆S盒的構(gòu)造中乘法逆運(yùn)算在有限域GF（28）中，而不可約多項(xiàng)式的選擇影響著有限域GF（28）的構(gòu)造，因此也會(huì)影響S盒的非線性度和雪崩概率。此外，仿射變換對(duì)（u，v）影響著多項(xiàng)S盒密碼學(xué)特性，因此，新S盒構(gòu)造的關(guān)鍵是在如何確定合適的不可約多項(xiàng)式作為有限域GF（28）的不可約多項(xiàng)式，以及尋找合適的仿射變換對(duì)， 構(gòu)造出性能較優(yōu)的新S盒替換表。根據(jù)文獻(xiàn)［12］的研究結(jié)果，8位有限域上共存在30個(gè)不可約多項(xiàng)式，如表1所示。

原AES算法的S盒使用的不可約多項(xiàng)式為表1第1個(gè)，由于不可約多項(xiàng)式對(duì)S盒的影響難以量化，所以本文先根據(jù)不同S盒 的代數(shù)性質(zhì)，以嚴(yán)格雪崩準(zhǔn)則距離為主要依據(jù)，直接篩選出最佳的仿射對(duì)和不可約多項(xiàng)式組合。

2.2 新S盒構(gòu)造具體方案

最佳的不可約多項(xiàng)式及仿射變換對(duì)［poly，（u，v）］（poly為不可約多項(xiàng)式）的尋找過(guò)程如下：

首先根據(jù)仿射變換周期的定義，可得到8 192對(duì)在不同不可約多項(xiàng)式下的周期均為16的仿射變換對(duì)（u，v），流程如圖1所示。

其次根據(jù)新S盒的構(gòu)造原理，依次選擇表1中的多項(xiàng)式作為新S盒的不可約多項(xiàng)式，從8 192 對(duì)（u，v）組合中選出使S盒迭代輸出周期為S盒全空間256的所有［poly，（u，v）］組合，30組合計(jì)2 238對(duì)，流程如圖2所示。

最后分組計(jì)算選出［poly，（u，v）］組合的非線性度、差分均勻度，選出優(yōu)于或等于原AES S盒對(duì)應(yīng)指標(biāo)的［poly，（u，v）］組合，再計(jì)算嚴(yán)格雪崩準(zhǔn)則距離，選出各組嚴(yán)格雪崩準(zhǔn)則距離最小的［poly，（u，v）］組合30對(duì)，流程如圖3所示。

從選出的30對(duì)［poly，（u，v）］如表1所示，選取嚴(yán)格雪崩準(zhǔn)則距離最小的［x8+x6+x5+x4+x3+x+1，（07，70）16］作為不可約多項(xiàng)式和仿射變換對(duì)，新S盒安全性分析根據(jù)S盒與逆盒構(gòu)造原理，將得到的不可約多項(xiàng)式與仿射變換對(duì)代入新S盒與逆S盒的線性變換表達(dá)式，得到改進(jìn)S盒真值表與改進(jìn)逆S盒真值表如圖4、5所示。

3 新S盒安全性分析

根據(jù)S盒各項(xiàng)密碼學(xué)特性的定義，對(duì)新S盒進(jìn)行如下分析：

a）平衡性：如圖4所示，對(duì)新S盒進(jìn)行8位輸入，遍歷0～255時(shí)的輸出結(jié)果也遍歷了0～255，其中“0”和“1”的個(gè)數(shù)均為128，由此可知，新S盒具有平衡性。

b）正交性：新S盒的輸出遍歷了0～255，顯然對(duì)于有限域GF（28）中的任意一個(gè)數(shù)“β” ，新S盒中的輸入值“β”對(duì)應(yīng)的輸出值必定唯一存在，因此新S盒滿足正交性。

c）差分均勻度：根據(jù)差分均勻度定義，計(jì)算新S盒差分矩陣，可得到新S盒差分均勻度同原S盒相同，都為4，因此新S盒具有一定的抗差分分析能力。

d）非線性度：非線性度可衡量算法抵抗線性攻擊能力，由文獻(xiàn)［13］可知，布爾置換函數(shù)F（x）是完全非線性函數(shù)的充要條件為NF=2n－1－2n/2－1，對(duì)于AES算法而言n=8，因此NF=120，對(duì)應(yīng)的S盒是完全非線性函數(shù)。對(duì)于新S盒，計(jì)算可以得到NF=112，同原S盒相同，因此新S盒具有較好的非線性度。

e）非零線性結(jié)構(gòu)：新S盒及逆S盒都無(wú)非零線性結(jié)構(gòu)。

證明 新S盒的非線性變換表達(dá)式為y=（L·x）－1+v，若新S盒存在非零線性結(jié)構(gòu)，令γ≠0，那么有（L·（x+γ））-1+v+（L·x）－1+v=C（C為常量），即（L·x+L·γ）－1+（L·x）－1=C。

當(dāng)x=0時(shí)，有（L·γ）－1=C ，可得（L·x+L·γ）－1+（L·x）－1=（L·γ）－1，該式等價(jià)于（L·x+L·γ）－1=（L·γ）－1+（L·x）－1，而L為可逆矩陣，其行列式不為0，而L·x也為非0向量。根據(jù)乘法逆的求解法則，該式顯然不成立。

f）嚴(yán)格雪崩準(zhǔn)則：計(jì)算新S盒及新逆S盒布爾置換函數(shù)的嚴(yán)格雪崩準(zhǔn)則距離，結(jié)果如表2、3所示，進(jìn)一步可得到新S盒及其逆盒的嚴(yán)格雪崩準(zhǔn)則距離分別為300與288，雖然仍不符合嚴(yán)格雪崩準(zhǔn)則，但是相比AES的S盒，更接近嚴(yán)格雪崩準(zhǔn)則。

g）仿射變換周期：S盒的抗攻擊能力與仿射變換周期正相關(guān)，對(duì)于給定的仿射矩陣Lku，v，仿射變換周期只可能不存在或者為1，2，4，8，16，而AES S盒的仿射變換周期為4，遠(yuǎn)未達(dá)到最大值16。新仿射變換對(duì)為（07，70）16，在新S盒構(gòu)造步驟a）中篩選仿射變換對(duì)時(shí)就以仿射周期為16的標(biāo)準(zhǔn)篩選，驗(yàn)證得L1607，70（a）=a，a∈GF（28） ，且Li07，70（a）≠a（i=1，2，…，15），因此新S盒的仿射變換周期為16，比AES S盒仿射周期4長(zhǎng)。

h）輸出迭代周期：對(duì)于AES算法的S盒，256個(gè)不同的輸入值迭代輸出周期共計(jì)有2，27，59，81和87五個(gè)，它們均遠(yuǎn)比S盒全空間256小。在新S盒構(gòu)造步驟中，以輸出迭代周期256為標(biāo)準(zhǔn)，篩選不可約多項(xiàng)式盒仿射變換對(duì)組合，驗(yàn)證可知，對(duì)于任意a∈GF（28），S256（a）=a，且Si（a）≠a（i=1，2，…，255）。因此新S盒輸出迭代周期為最大值256，而AES算法的S盒輸出迭代周期大小不一且最大不超過(guò)88，故新S盒具有更好的輸出迭代性質(zhì)。

i）代數(shù)表達(dá)式次數(shù)與項(xiàng)數(shù)：代數(shù)攻擊通過(guò)拉格朗日插值法處理得到足夠多的明文和密文對(duì)計(jì)算密碼算法的近似多項(xiàng)式逼近。對(duì)于AES算法而言，該近似多項(xiàng)式的求解難度與S盒復(fù)雜度有關(guān)。S盒代數(shù)表達(dá)式次數(shù)可反映S盒線性復(fù)雜度，項(xiàng)數(shù)則一定程度反映著S盒的抗代數(shù)攻擊能力。根據(jù)文獻(xiàn)［14］的方法，可求出新S盒與逆S盒的代數(shù)表達(dá)式，對(duì)應(yīng)系數(shù)如圖6、7所示，新S盒及逆S盒最高次分別為255，項(xiàng)數(shù)分別為255，254。而AES算法的S盒與逆S盒最高次位255，逆S盒代數(shù)表達(dá)式項(xiàng)數(shù)為255，但是S盒代數(shù)表達(dá)式僅有9項(xiàng)。相較而言，新S盒與新逆S盒均有良好的線性復(fù)雜度，可增強(qiáng)AES算法抵御代數(shù)攻擊的能力。

本文對(duì)文獻(xiàn)［7，8，15］、AES算法中的S盒及本文提出的S盒的各項(xiàng)性能進(jìn)行測(cè)試與比較，結(jié)果如表4所示。

從表4中的結(jié)果可以看出，本文提出調(diào)整乘法逆與仿射變換順序，替換不可約多項(xiàng)式以及仿射變換對(duì)的改進(jìn)方案，使新S盒迭代周期為S盒全空間256，仿射變換周期為最大值16，新S盒代數(shù)表達(dá)式項(xiàng)數(shù)為255，逆S盒代數(shù)表達(dá)式項(xiàng)數(shù)為254，均優(yōu)于原AES的對(duì)應(yīng)性質(zhì)，同時(shí)其他性質(zhì)均未變差。

嚴(yán)格雪崩準(zhǔn)則距離是評(píng)估S盒防御能力的關(guān)鍵因素，本文提出的S盒及逆S盒的嚴(yán)格雪崩準(zhǔn)則距離分別為288和300，均小于AES S盒及文獻(xiàn)［7，8，15］構(gòu)造的S盒。此外，從S盒及逆S盒的構(gòu)造原理看，文獻(xiàn)［7，8，15］的S盒的構(gòu)造使用了兩次仿射變換，而本文方案僅使用了一次。

4 新S盒硬件實(shí)現(xiàn)及AES整體測(cè)試

本S盒的硬件實(shí)現(xiàn)有兩種方式，即基于存儲(chǔ)器如LUT、ROM［16］等，基于復(fù)合域運(yùn)算［17］，前者實(shí)現(xiàn)方式只需進(jìn)行查表，無(wú)復(fù)雜的組合邏輯運(yùn)算，但消耗的面積較大，后者反之。本文選擇復(fù)合域運(yùn)算實(shí)現(xiàn)新S盒并進(jìn)行改進(jìn)。新S盒硬件結(jié)構(gòu)僅需一個(gè)模塊即可實(shí)現(xiàn)S盒與逆S盒的功能，如圖8所示，框中為 GF（28）求逆電路結(jié)構(gòu)［18］，其中δ與δ－1分別表示同構(gòu)映射矩陣和逆同構(gòu)映射矩陣，它們的作用是將有限域GF（28）中的乘法逆運(yùn)算轉(zhuǎn)換為有限域GF（24）中的乘法逆、乘法及加法運(yùn)算。λ為確定同構(gòu)映射矩陣的參數(shù)。

有限域GF（24）中的乘法逆運(yùn)算硬件結(jié)構(gòu)與有限域GF（28）中相似，若仍采用復(fù)雜的組合邏輯運(yùn)算會(huì)消耗較多的資源，因此直接用查找表實(shí)現(xiàn)，同時(shí)根據(jù)真值表，將GF（22）中的乘法器也使用查找表替代。

對(duì)新S盒復(fù)合域硬件實(shí)現(xiàn)、新S盒復(fù)合域優(yōu)化硬件實(shí)現(xiàn)、新S盒查找表硬件實(shí)現(xiàn)，使用Nangate 45nm開源工藝庫(kù)綜合，在時(shí)鐘約束為2 ns、電壓為1.25 V，其他條件相同的電路綜合環(huán)境下，得到的面積、功耗及最大路徑如表5所示。

表5的結(jié)果表明，在Nangate 45 nm工藝下，新S盒采用優(yōu)化后復(fù)合域的實(shí)現(xiàn)功耗比查找表法少，最大路徑延時(shí)比在傳統(tǒng)復(fù)合域下實(shí)現(xiàn)略高，但是消耗的資源與之相比少12%，同時(shí)功耗也少4.7%。

根據(jù)AES算法的原理，設(shè)計(jì)密鑰擴(kuò)展、輪密鑰加、行移位、列混合以及控制模塊，字節(jié)代換部分使用新S盒，完成一個(gè)完整的AES算法的硬件設(shè)計(jì)以及AES的MATLAB程序設(shè)計(jì)，硬件設(shè)計(jì)使用Vivado進(jìn)行仿真，仿真波形及MATLAB測(cè)試結(jié)果如圖9～11所示。

圖9、10分別為使用128位密鑰進(jìn)行明文加密的Vivado仿真驗(yàn)證和MATLAB測(cè)試，圖11為使用同樣的密鑰解密對(duì)應(yīng)密文的Vivado仿真驗(yàn)證。

密鑰：000102030405060708090a0b0c0d0e0f；

明文：00112233445566778899aabbccddeeff；

密文：AD8569B65AC579A1946E6DD195F9A47C。

圖9～11表明新S盒及其硬件結(jié)構(gòu)可在AES算法軟件和硬件設(shè)計(jì)中正常工作。

5 結(jié)束語(yǔ)

本文提出了一種新S盒構(gòu)造方案，新方案使用新的不可約多項(xiàng)式和仿射對(duì)構(gòu)造S盒，并調(diào)整了乘法逆與仿射變換的順序，根據(jù)S盒的仿射變換周期、迭代輸出周期篩選不可約多項(xiàng)式及仿射對(duì)。然后通過(guò)非線性度、差分均勻度以及嚴(yán)格雪崩準(zhǔn)則距離等S盒密碼學(xué)性質(zhì)進(jìn)一步篩選出一個(gè)不可約多項(xiàng)式及仿射變換對(duì)，構(gòu)造出具有更好性能的新S盒。新S盒及逆S盒與現(xiàn)有改進(jìn)S盒相比只用了一次仿射變換，嚴(yán)格雪崩準(zhǔn)則距離更小。最后對(duì)新構(gòu)造的S盒進(jìn)行了硬件化和完整的AES仿真，驗(yàn)證了設(shè)計(jì)的可靠性和正確性。未來(lái)將進(jìn)一步考慮S盒的多種密碼學(xué)性質(zhì)和硬件實(shí)現(xiàn)的優(yōu)化；同時(shí)也將分析其他已有S盒構(gòu)造方案，并探索本文方案在其他加密算法中應(yīng)用或擴(kuò)展的潛力。

參考文獻(xiàn)：

［1］張周婭. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的數(shù)據(jù)加密技術(shù) ［J］. 計(jì)算機(jī)與網(wǎng)絡(luò)，2021，47（13）： 51. （Zhang Zhouya. Data encryption technology in computer network information security ［J］. Computer and Network，2021，47（13）： 51.）

［2］許韞韜，呂志剛，黃義國(guó)，等. 基于STM32單片機(jī)的AES算法優(yōu)化與實(shí)現(xiàn) ［J］. 自動(dòng)化儀表，2020，41（7）： 56-60. （Xu Yuntao，Lyu Zhigang，Huang Yiguo，et al. Optimization and implementation of AES algorithm based on STM32 microcomputer ［J］. Automation Instrument，2020，41（7）： 56-60.）

［3］盧開澄. 計(jì)算機(jī)密碼學(xué) ［M］. 北京： 清華大學(xué)出版社，2003. （Lu Kaicheng. Computer cryptography ［M］. Beijing： Tsinghua University Press，2003.）

［4］王衍波. AES的S盒中仿射變換的性質(zhì) ［J］. 解放軍理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2003 （2）： 5-9. （Wang Yanbo. Properties of affine transform in Sbox of AES ［J］. Journal of PLA University of Science and Technology：Natural Science Edition， 2003 （2）： 5-9.）

［5］王衍波. AES的結(jié)構(gòu)及其Sbox分析 ［J］. 解放軍理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2002（3）： 13-17. （Wang Yanbo. Structure of AES and its Sbox analysis ［J］. Journal of PLA University of Science and Technology：Natural Science Edition，2002（3）： 13-17.）

［6］Liu Jingmei， Wei Baodian， Cheng Xiangguo， et al. An AES Sbox to increase complexity and cryptographic analysis ［C］// Proc of the 19th International Conference on Advanced Information Networking and Applications. Piscataway，NJ： IEEE Press，2005： 724-728.

［7］申笑晨，韓萌. 基于嚴(yán)格雪崩距離準(zhǔn)則計(jì)算的S盒改進(jìn) ［J］. 微電子學(xué)與計(jì)算機(jī)，2018，35（6）： 92-96. （Shen Xiaochen，Han Meng. S-box improvement based on strict avalanche distance criterion ［J］. Microelectronics & Computer，2018，35（6）： 92-96.）

［8］劉連浩，崔杰，劉上力，等. 一種AES S盒改進(jìn)方案的設(shè)計(jì) ［J］. 中南大學(xué)學(xué)報(bào)：自然科學(xué)版，2007 （2）： 339-344. （Liu Lianhao，Cui Jie，Liu Shangli，et al. Design of an AES Sbox improvement scheme ［J］. Journal of Central South University：Natural Science Edition， 2007（2）： 339-344.）

［9］蔡海，周亮. 對(duì)AES算法的S盒布爾函數(shù)分析 ［J］. 信息安全與通信保密，2008（4）： 77-79. （Cai Hai，Zhou Liang. Analysis of Sbox boolean function on AES algorithm ［J］. Information Security and Communication Confidentiality，2008（4）： 77-79.）

［10］溫巧燕，鈕心忻，楊義先. 現(xiàn)代密碼學(xué)中的布爾函數(shù) ［M］. 北京： 科學(xué)出版社，2000. （Wen Qiaoyan，Niu Xinxin，Yang Yixian. Boolean functions in modern cryptography ［M］. Beijing： Science Press，2000.）

［11］王先培，張愛菊，熊平，等. 新一代數(shù)據(jù)加密標(biāo)準(zhǔn)——AES ［J］. 計(jì)算機(jī)工程，2003，29（3）： 69-70，186. （Wang Xianpei，Zhang Aiju，Xiong Ping，et al. A new generation of data encryption standard—AES ［J］. Computer Engineering，2003，29（3）： 69-70，186.）

［12］張玉安，馮登國(guó). RIJNDAEL算法S盒的等價(jià)生成 ［J］. 計(jì)算機(jī)學(xué)報(bào)，2004，27（12）： 1593-1600. （Zhang Yuan，F(xiàn)eng Dengguo. Equivalent generation of Sbox of RIJNDAELs algorithm ［J］. Chinese Journal of Computers，2004，27（12）： 1593-1600.）

［13］Patranabis S，Chakraborty A，Mukhopadhyay D，et al. Fault space transformation： a generic approach to counter differential fault analysis and differential fault intensity analysis on AESlike block ciphers ［J］. IEEE Trans on Information Forensics and Security，2016，12（5）： 1092-1102.

［14］馬虹博，劉連浩. AES的S盒和逆S盒的代數(shù)表達(dá)式 ［J］. 計(jì)算機(jī)工程，2006，32（18）： 149-151. （Ma Hongbo，Liu Lianhao. Algebraic expressions of Sbox and inverse Sbox of AES ［J］. Computer Engineering，2006 ，32（18）： 149-151.）

［15］陳曉宇. 高級(jí)加密標(biāo)準(zhǔn)AES算法的分析與優(yōu)化改進(jìn) ［D］. 南充：西華師范大學(xué)，2020. （Chen Xiaoyu. Analysis and optimization improvement of AES algorithm of advanced encryption standard ［D］. Nanchong：China West Normal University，2020.）

［16］GranadoCriado J M，VegaRodríguez M A，SánchezPérez J M，et al. A new methodology to implement the AES algorithm using partial and dynamic reconfiguration ［J］. Integration，2010，43（1）： 72-80.

［17］MozaffariKermani M，ReyhaniMasoleh A. A lowpower highperformance concurrent fault detection approach for the composite field Sbox and inverse Sbox ［J］. IEEE Trans on Computers，2011，60（9）： 1327-1340.

［18］Hodjat A，Verbauwhede I. A 21. 54 Gbits/s fully pipelined AES processor on FPGA ［C］// Proc of the 12th Annual IEEE Symposium on FieldProgrammable Custom Computing Machines. Piscataway，NJ： IEEE Press，2004： 308-309.