摘要:物聯(lián)網(wǎng)(Internet of Things, IoT)領(lǐng)域當(dāng)前正面臨著無(wú)法回避且持續(xù)存在的網(wǎng)絡(luò)安全威脅以及設(shè)備資源受限的雙重挑戰(zhàn)。針對(duì)前述問(wèn)題,本文在ASIC (application specific integrated circuit)平臺(tái)上,利用時(shí)序復(fù)用
物聯(lián)網(wǎng)(Internet of Things, IoT)領(lǐng)域當(dāng)前正面臨著無(wú)法回避且持續(xù)存在的網(wǎng)絡(luò)安全威脅以及設(shè)備資源受限的雙重挑戰(zhàn)。針對(duì)前述問(wèn)題,本文在ASIC (application specific integrated circuit)平臺(tái)上,利用時(shí)序復(fù)用與門控時(shí)鐘技術(shù),設(shè)計(jì)了一種高效的低面積ZUC算法硬件實(shí)現(xiàn)電路。此電路通過(guò)確保每個(gè)功能模塊僅被實(shí)例化一次,實(shí)現(xiàn)了電路面積的極小化。在S盒的設(shè)計(jì)上,本文借鑒了塔域分解的思想,并提出了一種算法,用于在有限域(F_{2^n})到有限域(F_{2^n}')之間搜索同構(gòu)映射矩陣。該算法旨在找到一種同構(gòu)映射,當(dāng)它與S盒運(yùn)算的仿射矩陣及其他相關(guān)矩陣相乘后,能夠以最少的異或邏輯門數(shù)實(shí)現(xiàn)映射。基于上述兩點(diǎn),本文所實(shí)現(xiàn)的S1-box在面積上與當(dāng)前AES算法的Sbox相當(dāng)。在線性變換部分,本文采用了最大距離可分(maximum distance separable, MDS)矩陣拆解的思想,使得整個(gè)線性層的實(shí)現(xiàn)僅需164個(gè)異或門。在加法鏈的設(shè)計(jì)上,本文采用了進(jìn)位存儲(chǔ)加法器、32比特加法器、單加數(shù)的31比特加法器與中間寄存器的組合。這一設(shè)計(jì)使得線性反饋移位寄存器層與有限狀態(tài)自動(dòng)機(jī)層能夠共享同一條加法鏈,從而進(jìn)一步優(yōu)化了電路結(jié)構(gòu)。在TSMC 90 nm工藝下綜合驗(yàn)證,本文所提出的硬件實(shí)現(xiàn)方案在時(shí)鐘頻率為250 MHz時(shí),吞吐率可達(dá)2 Gbps,同時(shí)面積開銷僅為6.67 kGE。與當(dāng)前主流方案相比,本設(shè)計(jì)在保持吞吐率不變的前提下,面積開銷降低了44%。
關(guān)鍵詞: ZUC;面積優(yōu)化;復(fù)合域;時(shí)序復(fù)用;窄帶物聯(lián)網(wǎng)
論文《面向窄帶物聯(lián)網(wǎng)的ZUC+算法緊湊硬件實(shí)現(xiàn)》發(fā)表在《中國(guó)科學(xué):信息科學(xué)》,版權(quán)歸《中國(guó)科學(xué):信息科學(xué)》所有。本文來(lái)自網(wǎng)絡(luò)平臺(tái),僅供參考。
1 引言
物聯(lián)網(wǎng)秉持萬(wàn)物互聯(lián)的核心理念,正以前所未有的速度推動(dòng)各行各業(yè)的數(shù)字化轉(zhuǎn)型與智能化升級(jí)。物聯(lián)網(wǎng)(Internet of Things, IoT)的核心在于構(gòu)建一個(gè)由多樣化設(shè)備、精密傳感器及智能對(duì)象緊密交織而成的互聯(lián)網(wǎng)絡(luò)體系,該體系能夠跨越互聯(lián)網(wǎng)邊界,實(shí)現(xiàn)數(shù)據(jù)之間的無(wú)縫流通與高效交互。從當(dāng)前學(xué)術(shù)界與工業(yè)界的廣泛視角審視,IoT已在汽車制造、醫(yī)療健康、教育領(lǐng)域以及智能家居等多個(gè)垂直行業(yè)內(nèi)展現(xiàn)出舉足輕重的作用與深遠(yuǎn)影響[1∼4]。預(yù)計(jì)到2033年,全球IoT設(shè)備部署將激增至驚人的396億件,廣泛覆蓋垂直行業(yè)及其他領(lǐng)域[5]。屆時(shí),IoT可能對(duì)全球經(jīng)濟(jì)產(chǎn)生5.5萬(wàn)億至12.6萬(wàn)億美元的影響[6]。窄帶物聯(lián)網(wǎng)(NarrowBand-IoT, NB-IoT)是作為第三代合作伙伴計(jì)劃(the 3rd generation partnership project, 3GPP)制定的一項(xiàng)低功耗廣域網(wǎng)(low-power wide-area network, LPWAN)技術(shù),憑借其卓越的特性,包括支持海量低速率設(shè)備的接入、對(duì)時(shí)延的低敏感度、設(shè)備成本的超低門檻以及低功耗表現(xiàn),展現(xiàn)出極為廣闊的發(fā)展前景[7]。
在5G的背景下,國(guó)際通信聯(lián)盟為5G定義了三大應(yīng)用場(chǎng)景:增強(qiáng)型移動(dòng)帶寬、超可靠低時(shí)延通信、海量機(jī)器類通信(massive machine type communication, mMTC)[8]。而NB-IoT正是專為mMTC場(chǎng)景設(shè)計(jì)的LPWAN技術(shù),它強(qiáng)調(diào)實(shí)現(xiàn)端到端的安全性,該需求亟須融入可信賴的安全保障與身份驗(yàn)證特性,從而有效抵抗IoT在數(shù)據(jù)安全與傳輸可靠性上面臨的風(fēng)險(xiǎn)[9,10]。而以ZUC算法為核心的機(jī)密性算法EEA-3和完整性算法EIA-3,精準(zhǔn)契合了上述安全需求。在IoT的框架下,用于保護(hù)感知數(shù)據(jù)的密碼算法必須適應(yīng)資源有限的嵌入式設(shè)備的需要。故設(shè)計(jì)一種專注于面積優(yōu)化的ZUC算法就顯得尤為必要,它更易于長(zhǎng)期運(yùn)行在資源有限的環(huán)境中。然而,當(dāng)前關(guān)于ZUC算法的研究文獻(xiàn)普遍傾向于對(duì)其時(shí)延和吞吐率等性能指標(biāo)進(jìn)行深入探討。例如,文獻(xiàn)[11∼13]均采用了多級(jí)流水線技術(shù),這一策略雖顯著提升了算法的工作頻率,但隨之而來(lái)的是中間寄存器資源開銷的大幅增加,這無(wú)疑與IoT設(shè)備資源受限的特性相悖。在IoT系統(tǒng)芯片的設(shè)計(jì)考量中,Cavo等[14]和Sharaf等[15]利用ZUC算法與SNOW3G算法的相似性,通過(guò)硬件重用技術(shù)減少了ZUC算法的面積開銷,但S-box并未采納復(fù)合域?qū)崿F(xiàn)的方案來(lái)進(jìn)一步縮減面積。
基于上述因素,本文對(duì)ZUC算法的核心組件進(jìn)行了一定程度上的面積優(yōu)化,具體體現(xiàn)在以下幾個(gè)方面:(1)電路整體的極小化:每個(gè)功能模塊僅被實(shí)例化一次;(2)S盒的高效實(shí)現(xiàn):本文提出了兩種S盒的塔域分解方案,該方案在復(fù)合域上實(shí)現(xiàn)了S盒功能,并顯著降低了所需的電路面積;(3)線性變換L的精簡(jiǎn):本文以當(dāng)前最少的異或門數(shù)量實(shí)現(xiàn)了線性變換L的功能;(4)加法鏈的優(yōu)化:整個(gè)ZUC算法共享一條加法鏈,并進(jìn)一步縮短了有限狀態(tài)自動(dòng)機(jī)層的關(guān)鍵路徑。
2 背景知識(shí)
2.1 符號(hào)說(shuō)明
H:任意比特長(zhǎng)字符串的高16位。
L:任意比特長(zhǎng)字符串的低16位。
[m: n]:由任意比特長(zhǎng)字符串的第n到第m位構(gòu)成的新字符串。
⊕:異或操作運(yùn)算符。
S():S盒變換。
?n:循環(huán)左移n比特運(yùn)算符。
?n:右移n比特運(yùn)算符。
?:模(2^{32})加運(yùn)算符。
¬:比特翻轉(zhuǎn)運(yùn)算符。
Z:ZUC算法輸出的密鑰流。
(mathbb{F}_{2}):包含0和1兩個(gè)元素的有限域。
(mathbb{F}_{2^k}):包含(2^k)個(gè)元素的有限域。
2.2 ZUC算法
ZUC-256的輸入為256比特長(zhǎng)的密鑰和184比特長(zhǎng)的初始向量(initial vector, IV),輸出為一串32比特長(zhǎng)的密鑰流。該算法由三部分組成:
1. 線性反饋移位寄存器(linear feedback shift register, LFSR):由16個(gè)31比特長(zhǎng)的寄存器單元((S_{15}, S_{14}, ..., S_{1}, S_{0}))組成,其中存儲(chǔ)的數(shù)據(jù)為((s_{15}, s_{14}, ..., s_{1}, s_{0}))。
2. 比特重組(bit reorganization, BR):從LFSR中取出特定的比特串后重組成4個(gè)32比特字((X_{0}, X_{1}, X_{2}, X_{3})),并將其用于后續(xù)計(jì)算及密鑰流生成。
3. 有限狀態(tài)自動(dòng)機(jī)(finite state machine, FSM):含有兩個(gè)32比特字寄存器(R_{1})與(R_{2}),以及模(2^{32})加法運(yùn)算、線性變換L、S盒變換等操作。
2.3 LFSR
根據(jù)工作模式的不同,LFSR的更新步驟存在差異:
初始化模式下,生成(s_{16})的步驟:
[s_{16}=(u+2^{15}s_{15}+2^{17}s_{13}+2^{21}s_{10}+2^{20}s_{4}+(1+2^{8})s_{0}) mod (2^{31}-1)]
工作模式下,生成(s_{16})的步驟:
[s_{16}=left(2^{15} s_{15}+2^{17} s_{13}+2^{21} s_{10}+2^{20} s_{4}+left(1+2^{8}
ight) s_{0}
ight) mod left(2^{31}-1
ight)]
其中,(u)表示FSM的輸出(W)右移1位后得到的31位比特串,即(u=W gg 1)。若計(jì)算后(s_{16}=0),則將其重置為(2^{31}-1)。更新移位時(shí),LFSR中存儲(chǔ)的上一輪值依次右移,舍棄(s_{0})并填補(bǔ)(s_{16}),最終得到((s_{16}, s_{15}, ..., s_{2}, s_{1}))。
2.4 BR
BR層從LFSR的8個(gè)寄存器單元((S_{15}, S_{14}, S_{11}, S_{9}, S_{7}, S_{5}, S_{2}, S_{0}))中各抽取特定的16比特,重組為4個(gè)32比特字:
2.5 FSM
FSM層對(duì)(X_{0})、(X_{1})、(X_{2})進(jìn)行異或、模加、比特串連接、線性變換及S盒等操作,得到32比特長(zhǎng)的字(W),并迭代更新(R_{1})和(R_{2})的值:
其中(L_{1})、(L_{2})為線性變換,(S)為32×32的S盒(由4個(gè)小的8×8的S盒并置而成)。
2.6 ZUC算法的基本流程
1. 裝載密鑰和初始向量至LFSR,初始化(R_{1})、(R_{2})為0。
2. 重復(fù)32輪BR層、FSM層和LFSR層初始化模式步驟,F(xiàn)SM輸出取高31位作為L(zhǎng)FSR輸入。
3. 執(zhí)行一次BR層、FSM層和LFSR層工作模式步驟,忽略FSM輸出結(jié)果。
4. 循環(huán)執(zhí)行步驟(3),每次FSM產(chǎn)生的(W)與(X_{3})異或生成密鑰流。
2.7 有限域基礎(chǔ)
定理1(有限域的存在性與唯一性):對(duì)于任意素?cái)?shù)(p)和正整數(shù)(n),存在階為(p^n)的有限域,且任何階為(p^n)的有限域都同構(gòu)于多項(xiàng)式(x^{p^n}-x)在素?cái)?shù)域(mathbb{Z}_{p})上的分裂域。
定理2(基于不可約多項(xiàng)式構(gòu)造有限域):若(f(x) in mathbb{F}_{q}[X])是不可約多項(xiàng)式,則(mathbb{F}_{q}[X]/(f(x)))是有限域。
定理3(有限域的擴(kuò)張):設(shè)有限域(mathbb{F}_{q})((q=p^r),(p)為素?cái)?shù),(r ≥1)),若(mathbb{F}_{q}[X])的(n)次不可約多項(xiàng)式為(m(x)=a_{0}+a_{1}x+cdots+a_{n}x^n),則(mathbb{F}_{q}[X]/(m(x)))是含(q^n)個(gè)元素的有限域,其元素可表示為(c_{0}+c_{1}z+cdots+c_{n-1}z^{n-1})((c_{i} in mathbb{F}_{q}),(z)是(m(x))的根)。
3 算法的電路優(yōu)化
3.1 S盒實(shí)現(xiàn)
S盒變換是密碼算法的非線性組件,硬件實(shí)現(xiàn)方式主要有查表實(shí)現(xiàn)、基于布爾函數(shù)表達(dá)式實(shí)現(xiàn)和基于復(fù)合域?qū)崿F(xiàn),其中復(fù)合域?qū)崿F(xiàn)的面積優(yōu)化效果最優(yōu)。
3.1.1 復(fù)合域S1盒的設(shè)計(jì)方案一:(mathbb{F}_{2^8} o mathbb{F}_{((2^4)^2)})
ZUC算法的S1-box結(jié)合仿射變換與有限域求逆:
[S1-box(x)=M x^{-1}+B]
其中(M)是8×8矩陣,(B)是8×1常向量,(x)為8比特向量,求逆運(yùn)算定義在(mathbb{F}_{2^8}=mathbb{F}_{2}/(x^8+x^7+x^3+x+1))上。
通過(guò)同構(gòu)矩陣搜索算法和復(fù)合域多項(xiàng)式基構(gòu)造方法,將求逆運(yùn)算轉(zhuǎn)換至復(fù)合域(mathbb{F}_{((2^4)^2)}=[mathbb{F}_{2}/(x^4+x^3+x^2+x+1)]/(x^2+0001x+0010)),表達(dá)式改寫為:
[S1-box (x)=K(T x)^{-1}]
其中(T)為同構(gòu)矩陣,(K)為合并優(yōu)化后的矩陣。經(jīng)優(yōu)化,(T)的實(shí)現(xiàn)需12個(gè)異或門,(K)需7個(gè)異或門、1個(gè)2輸入同或門及3個(gè)3輸入同或門。
3.1.2 復(fù)合域S1盒的設(shè)計(jì)方案二:(mathbb{F}_{2^8} o mathbb{F}_{(((2^2)^2)^2)})
將ZUC S1-box的有限域(mathbb{F}_{2^8})通過(guò)同構(gòu)映射轉(zhuǎn)換至(mathbb{F}_{2^8}'=mathbb{F}_{2}/(x^8+x^4+x^3+x+1)),再映射至塔域(mathbb{F}_{(((2^2)^2)^2)}),計(jì)算過(guò)程為:
[S1-box (x)=U(P x)^{-1}]
其中(P)、(U)為優(yōu)化后的映射矩陣,(P)的實(shí)現(xiàn)需12個(gè)異或門,(U)需12個(gè)異或門及4個(gè)異或非門,求逆運(yùn)算借鑒GF INV 8求逆電路。
3.1.3 組合邏輯S0盒的設(shè)計(jì)
S0-box遵循三層Feistel結(jié)構(gòu),輸入為高4比特串(X_{1})和低4比特串(X_{2}),變換(V_{1})、(V_{2})、(V_{3})定義在(mathbb{F}_{2^4})上。通過(guò)公共項(xiàng)消除和lighter工具優(yōu)化,(V_{1})、(V_{3})可通過(guò)簡(jiǎn)單組合邏輯實(shí)現(xiàn),(V_{2})優(yōu)化后通過(guò)特定邏輯表達(dá)式輸出。
3.1.4 S盒實(shí)現(xiàn)對(duì)比
在TSMC 90 nm工藝下,本文設(shè)計(jì)的S0-box面積為63.49 GE,較查找表實(shí)現(xiàn)縮減86%,時(shí)延降低13%;S1-box方案二面積為201.99 GE,較查找表實(shí)現(xiàn)縮減56%,與先進(jìn)AES Sbox面積相當(dāng)。
3.2 線性變換L的實(shí)現(xiàn)
ZUC算法線性層L的MDS矩陣由移位和異或構(gòu)造,利用SM4算法線性層的右循環(huán)矩陣特性及線性層優(yōu)化工具,實(shí)現(xiàn)(L_{1})與(L_{2})僅需164個(gè)異或門,較現(xiàn)有方案減少6%的邏輯門消耗。
3.3 ZUC算法的整體實(shí)現(xiàn)
3.3.1 加法鏈與中間寄存器的時(shí)序復(fù)用
采用進(jìn)位存儲(chǔ)加法器(CSA)、32比特加法器(Adder32)和31比特加法器(Adder31)實(shí)現(xiàn)模加運(yùn)算,LFSR層與FSM層共享加法鏈。通過(guò)32位中間寄存器(FF_{1})與31位中間寄存器(FF_{2})分隔4個(gè)獨(dú)立時(shí)鐘周期,(FF_{1})存儲(chǔ)預(yù)計(jì)算結(jié)果以縮短關(guān)鍵路徑,每4個(gè)時(shí)鐘周期生成一個(gè)32比特密鑰流。
3.3.2 門控時(shí)鐘的應(yīng)用
在RTL層面引入門控時(shí)鐘技術(shù),通過(guò)與門控制時(shí)鐘信號(hào)ENCLK,僅在數(shù)據(jù)更新或狀態(tài)轉(zhuǎn)換時(shí)激活時(shí)鐘,減少寄存器及時(shí)鐘網(wǎng)絡(luò)的冗余功耗,同時(shí)替代原電路中的選擇器,進(jìn)一步縮減面積。
4 驗(yàn)證與分析
4.1 性能對(duì)比
在TSMC 90 nm工藝下:
Slow工藝條件(SS工藝角、125℃、0.9 V):面積6.6 kGE,工作頻率250 MHz,吞吐率2 Gbps,功耗1.89 mW,較現(xiàn)有ZUC算法實(shí)現(xiàn)面積縮減44%。
Fast工藝條件(FF工藝角、-40℃、1.1 V):面積7.0 kGE,工作頻率1 GHz,吞吐率8 Gbps,功耗12.3 mW。
4.2 面積占用詳情
寄存器組(含LFSR寄存器及(FF_{1})、(FF_{2})、(R_{1})、(R_{2})等)面積4205.2 GE,占比63%。
組合邏輯面積3624.74 GE,占比53%;非組合邏輯3054.1 GE,占比45%;緩沖器及反向器136.2 GE,占比2%。
4.3 關(guān)鍵路徑
FSM的關(guān)鍵路徑由(Path_{1})縮減至(Path_{2})(32比特異或門),整體關(guān)鍵路徑位于初始化階段stage0的LFSR部分,由1個(gè)異或門、Adder32及CSA2_31組成。
5 總結(jié)
本文針對(duì)窄帶物聯(lián)網(wǎng)場(chǎng)景,提出ZUC算法的緊湊型硬件實(shí)現(xiàn)方案,通過(guò)時(shí)序復(fù)用、復(fù)合域S盒設(shè)計(jì)、線性層拆分、門控時(shí)鐘控制及加法鏈共享策略,實(shí)現(xiàn)面積和功耗的雙重優(yōu)化。該方案在TSMC 90 nm工藝下展現(xiàn)出優(yōu)異性能,面積開銷低且吞吐率滿足需求,貼合NB-IoT等資源受限應(yīng)用場(chǎng)景,為大規(guī)模設(shè)備部署及偏遠(yuǎn)地區(qū)應(yīng)用提供可靠支撐。
參考文獻(xiàn)
[1] Peter O, Pradhan A, Mbohwa C. Industrial Internet of Things (IIoT): opportunities, challenges, and requirements in manufacturing businesses in emerging economies. Procedia Comput Sci, 2023, 217: 856–865.
[2] Rejeb A, Rejeb K, Treiblmaier H, et al. The Internet of Things (IoT) in healthcare: taking stock and moving forward. Internet Things, 2023, 22: 100721.
[3] Badshah A, Ghani A, Daud A, et al. Towards smart education through Internet of Things: a survey. ACM Comput Surv, 2023, 56: 1–33.
[4] Alaa M, Zaidan A A, Zaidan B B, et al. A review of smart home applications based on Internet of Things. J Netw Comput Appl, 2017, 97: 48–65.
[5] Vailshery L S. Number of IoT connections worldwide 2022-2033, with forecasts to 2030. [2024-8-15]. https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/.
[6] Chui M, Collins M, Patel M. IoT value set to accelerate through 2030: where and how to capture it. [2024-8-15]. https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/iot-value-set-to-accelerate-through-2030-where-and-how-to-capture-it.
[7] Mahbub M. NB-IoT: applications and future prospects in perspective of Bangladesh. Int J Inf Technol, 2020, 12: 1183–1193.
[8] Popovski P, Trillingsgaard K F, Simeone O, et al. 5G wireless network slicing for eMBB, URLLC, and mMTC: a communication-theoretic view. IEEE Access, 2018, 6: 55765–55779.
[9] Narayanan S, Tsolkas D, Passas N, et al. NB-IoT: a candidate technology for massive IoT in the 5G era. In: Proceedings of IEEE 23rd International Workshop on Computer Aided Modeling and Design of Communication Links and Networks, 2018. 1–6.
[10] Mentsiev A U, Magomaev T R. Security threats of NB-IoT and countermeasures. IOP Conf Ser-Mater Sci Eng, 2020, 862: 052033.
[11] Liu Z B, Zhang Q L, Ma C Q, et al. HPAZ: a high-throughput pipeline architecture of ZUC in hardware. In: Proceedings of Design, Automation & Test in Europe Conference & Exhibition (DATE), 2016. 269–272.
[12] 劉云濤, 申澤生, 方碩, 等. 高吞吐率流水線結(jié)構(gòu)的ZUC-256流密碼硬件設(shè)計(jì). 電子學(xué)報(bào), 2023, 51: 438.
[13] Xu A, Wu Y, Yang J, et al. A high-throughput hardware implementation of ZUC-256 stream cipher. In: Proceedings of the 4th International Conference on Communications, Information System and Computer Engineering (CISCE), 2022. 24–27.
[14] Cavo L, Fuhrmann S, Liu L. Design of an area efficient crypto processor for 3GPP-LTE NB-IoT devices. Microprocessors Microsyst, 2020, 72: 102899.
[15] Sharaf M A, AbdelBary E, Mostafa H, et al. Efficient ASIC implementation of a NB-IoT security co-processor. In: Proceedings of IEEE 63rd International Midwest Symposium on Circuits and Systems (MWSCAS), 2020. 695–698.
[16] Lidl R, Niederreiter H. Finite Fields. Cambridge: Cambridge University Press, 1997.
[17] Hulle N, Prathiba B, Khope S R. Hardware optimization and FPGA implementation of pipelined ZUC architecture. In: Proceedings of IEEE 6th International Conference on Computing, Communication and Automation (ICCCA), 2021. 63–69.
[18] Gligoroski D, Moe M E G. On deviations of the AES S-box when represented as vector valued Boolean function. Int J Comput Sci Network Secur, 2007, 7: 156–163.
[19] Canright D. A very compact S-box for AES. In: Proceedings of International Workshop on Cryptographic Hardware and Embedded Systems. Berlin: Springer, 2005. 441–455.
[20] 陳晨, 郭華, 王闖, 等. 一種基于復(fù)合域的國(guó)密SM4算法快速軟件實(shí)現(xiàn)方法. 密碼學(xué)報(bào), 2023, 10: 289–305.
[21] 李艷俊, 張偉國(guó), 葛耀東, 等. 類AES算法S盒的優(yōu)化實(shí)現(xiàn). 密碼學(xué)報(bào), 2023, 10: 531–538.
[22] Xiang Z J, Zeng X Y, Lin D, et al. Optimizing implementations of linear layers. IACR Trans Symmetric Cryptol, 2020, 2020: 120–145.
[23] Jean J, Peyrin T, Sim S M, et al. Optimizing implementations of lightweight building blocks. IACR Trans Symmetric Cryptol, 2017, 2017: 130–168.
[24] SAGE E. Specification of the 3GPP Confidentiality and Integrity Algorithms 128EEA3 & 128EIA3. Document 4: Design and Evaluation Report, 2011.
[25] Wei Z H, Sun S S, Hu L, et al. Searching the space of tower field implementations of the F28 inverter-with applications to AES, Camellia, and SM4. Int J Inf Comput Secur, 2023, 20: 1–26.
[26] 孫壯, 黃震宇. ZUC算法的量子電路實(shí)現(xiàn). 信息安全學(xué)報(bào), 2023. doi: 10.19363/J.cnki.cn10-1380/tn.2023.06.
[27] Lin D, Xiang Z, Xu R, et al. Quantum circuit implementations of SM4 block cipher based on different gate sets. Quantum Inf Process, 2023, 22: 282.
