[发明专利]一种对称密码中二进制线性扩散结构的设计方法

说明书

技术领域

本发明涉及密码设计的方法，特别涉及一种对称密码中二进制线性扩散结构的设计方法。

背景技术

1949年C.E.Shannon提出了对称密码需要满足的两大设计原则：混淆原则和扩散原则。置换理论是密码学领域的基本理论之一，置换理论既可以用于设计对称密码的混淆结构，也可以用于设计对称密码的扩散结构。现代分组密码（分组密码为对称密码的一种）中的混淆结构，典型的就是由n个m×m的S盒并置组成混淆结构，例如AES、ARIA都是由16个8×8的S盒并置而成，Camellia是由8个8×8的S盒并置而成。一个S盒输出的m比特仅与其输入的m比特有关，与其他S盒的输入无关。而线性扩散结构的作用就是将这些S盒的输出打乱，使得输出的m比特尽可能的与其他S盒的输入也相关。二进制线性扩散结构是一种常用的线性扩散结构形式，具有实现高效的优点，但是现有的二进制线性扩散结构的设计方法考虑的密码学性质主要是差分分支数和线性分支数，而没有考虑其他的密码学性质，因此现有的二进制线性扩散结构普遍安全功能单一，使得构造出的密码算法对于新型密码分析的“免疫”能力不足。同时现有的二进制线性扩散矩阵的构造方法，不能保证其得到的矩阵在满足差分分支数和线性分支数达到最优的同时，Hamming重量也为最高，而二进制扩散矩阵的Hamming重量越高，雪崩效果越好，雪崩效果也是一项重要的密码学性质。

正形置换是一种特殊的布尔置换，也是一类完全映射，具有完全平衡性等优良的密码学性质，相比其他普通的置换拥有更强的扩散特性。我国的无线局域网商用密码算法SMS4的轮函数，就是基于正形置换发生器设计的。我国科学家设计的流密码算法LOISS中的S盒，也是一个非线性正形置换。另外，我国军方很重视正形置换在密码算法中的应用，国防科技大学、解放军信息工程大学以及西安电子科技大学都对其进行持续研究。

发明内容

本发明的目的是解决目前二进制线性扩散结构只具有优良的差分分支数和线性分支数，而缺乏其他优秀密码学性质；现有的二进制线性扩散矩阵的构造方法，不能保证其得到的矩阵在满足差分分支数和线性分支数达到最优的同时，Hamming重量也为最高的问题和不足。通过利用强正形置换，提供一种既具有最优差分分支数和线性分支数，又具有强完全平衡性等密码学性质的二进制线性扩散结构设计方法，同时该方法还能保证所得到的二进制矩阵的Hamming重量达到差分分支数和线性分支数都最优条件下的最高值。

为实现上述目的，本发明采用如下解决方案：本发明基于向量空间GF(2^m)ⁿ上的强正形置换设计二进制线性扩散结构，通过下述步骤实现（其中1≤n≤18，m＞1，H等于该二进制矩阵的Hamming重量值）：

（1）计算出n阶（n行n列）二进制线性扩散矩阵的Hamming重量值的一个上界和一个下界，并将该上界赋值给H，同时生成候选n维行向量组成的集合；

（2）在行向量集合中选取元素构造这样的n阶二进制可逆矩阵：Hamming重量值为H，同时线性分支数达到该种条件下的理论最优值。若找到这样的矩阵，则执行（3）。若不存在这样的矩阵，则H自减1，此时如果H小于下界，程序终止，反之继续执行（2）；

（3）计算该二进制矩阵的差分分支数，若差分分支数也达到理论最优值，则执行（4），否则返回（2）；

（4）将该矩阵按行进行两两互换（一共可形成n!个矩阵），每得到一个新矩阵就判断其是否是GF(2^m)上的强正形矩阵（每一个线性强正形置换都可以写成一个强正形矩阵）。若是强正形矩阵则输出结果，程序终止，若这n!个矩阵都不为强正形矩阵，则返回（2）。

上述的一种基于向量空间GF(2^m)ⁿ上的强正形置换设计二进制线性扩散结构的方法，其特征在于：

所述步骤（1）中计算二进制矩阵的Hamming重量值下界的方法如下：

假设d为二进制线性码[2n,n,d]的极小距离，之后出现的d的含义均同此处。

现在假设该二进制矩阵是n阶（n行n列）的，那么根据二进制线性码[2n,n,d]与二元矩阵的对应关系，可以得到通用下界为(d-1)n。

所述步骤（1）中计算二进制矩阵的Hamming重量值上界的方法如下：

一个通用上界为其中表示不大于(*)的最大整数，表示不小于(*)的最小整数，之后出现的和含义均同此处。

所述步骤（1）中候选行向量组成的集合，其特征在于：