将明文X逐比特异或轮密钥 K i ，获得输出状态：

V = X ⊕ K i (1)

其中 X = ( x 63 , x 62 , ⋯ , x 0 ) 表示64比特明文， V = ( v 63 , v 62 , ⋯ , v 0 ) 表示轮密钥加以后的状态。

替换是基于半字节的非线性替换，将64比特状态V划分为16个4比特块，进行S盒操作，获得输出状态：

W = S ( V ) (2)

其中 W ≜ ( w 63 , w 62 , ⋯ , w 0 ) 表示S盒替换完成后的状态，具体见表1。

将64的状态进行P置换，ASD算法的P置换。输入的第i比特对应输出的第P(i)比特，例如，输入的第0比特对应输出的第63比特，输入的第15比特对应输出的第12比特，具体见表2。

表1. ASD算法的S盒真值表

表2. ASD算法的P置换

将80比特种子密钥 K = k 79 k 78 ⋯ k 1 k 0 放置在寄存器中，每轮提取左边64比特作为轮密钥 K i = k 63 k 62 ⋯ k 1 k 0 = k 79 k 78 ⋯ k 17 k 16 。对K做如下更新：

1) [ k 79 k 78 ⋯ k 1 k 0 ] = [ k 18 k 17 ⋯ k 20 k 19 ] ；

2) [ k 79 k 78 k 77 k 76 ] = S [ k 79 k 78 k 77 k 76 ] ；

3) [ k 19 k 18 k 17 k 16 k 15 ] = [ k 19 k 18 k 17 k 16 k 15 ] ⊕ R i , i = 1 , 2 , ⋯ , 32 。

首先，将种子密钥K循环右移19比特；然后，将种子密钥最左端的4比特进行S盒操作，为了提高运行效率，密钥扩展算法的S盒采用加密算法中的S盒；最后，将 k 19 k 18 k 17 k 16 k 15 这5比特与 R i 进行异或操作， R i 取轮密钥最右边的5比特 k 4 k 3 k 2 k 1 k 0 。K更新完成。

将128比特种子密钥 K = k 127 k 126 ⋯ k 1 k 0 放置在寄存器中，每轮提取左边64比特作为轮密钥 K i = k 63 k 62 ⋯ k 1 k 0 = k 127 k 126 ⋯ k 65 k 64 。对K做如下更新：

1) [ k 79 k 78 ⋯ k 1 k 0 ] = [ k 62 k 61 ⋯ k 64 k 63 ] ；

2) [ k 119 k 118 k 117 k 116 ] = S [ k 119 k 118 k 117 k 116 ] ；

3) [ k 99 k 98 k 97 k 96 ] = S [ k 99 k 98 k 97 k 96 ] ；

4) [ k 79 k 78 k 77 k 76 ] = S [ k 79 k 78 k 77 k 76 ] ；

5) [ k 57 k 56 k 55 k 54 k 53 ] = [ k 57 k 56 k 55 k 54 k 53 ] ⊕ R i , i = 1 , 2 , ⋯ , 32 。

首先，将种子密钥K循环右移63比特；然后，将种子密钥中间的12比特进行S盒操作，为了提高运行效率，密钥扩展算法的S盒采用加密算法中的S盒；最后，将 k 57 k 56 k 55 k 54 k 53 这5比特与 R i 进行异或操作， R i 取为轮密钥的中间5比特 k 75 k 74 k 73 k 72 k 71 。K更新完成。

定义1 (差分均匀度)令S表示一个4 × 4的S盒。对任意非零输入差分和输出差分 α , β ∈ F 2 n ，定义集合 D S ( α → β ) = { x ∈ F 2 n | S ( x ⊕ α ) ⊕ S ( x ) = β } ，集合 D S ( α → β ) 中元素的个数为 δ S ( α , β ) ，则函数S的

差分均匀度为 δ ( S ) = max α ≠ 0 , β δ S ( α , β ) 。

定义2 (线性度)令S表示一个4 × 4的S盒。对任意非零输入掩码和输出掩码 α , β ∈ F 2 n ，令 I m b S ( α , β ) = | # { x ∈ F 2 n | α ⋅ x = β ⋅ S ( x ) } − 8 | ，其中，“∙”为内积运算，则函数S的线性度为

λ ( S ) = max α , β ∈ F 2 n , β ≠ 0 2 I m b S ( α , β ) 。

对于任意4 × 4的双射S盒，均有 δ ( S ) ≥ 4 ， λ ( S ) ≥ 8 ，使得这两个值都达到最小值的S盒被称为最优S盒。

定义3 (最优S盒 [ 8 ])令S表示一个4 × 4的S盒，若满足1) S是双射；2) δ ( S ) = 4 ；3) λ ( S ) = 8 这三个条件，称其为最优S盒。

Eslice选取最优S盒的规则如下 ：

1) S是双射，即对任意 x ≠ x * ，有 S ( x ) ≠ S ( x * ) 。

2) 由差分分布表(表3)可知，对任意非零输入差分和输出差分 α , β ∈ F 2 n ，有 δ S ( α , β ) ≤ 4 ，由定义1知， δ ( S ) = 4 。

3) 由线性逼近表(表4)可知，对任意非零输入掩码和输出掩码 α , β ∈ F 2 n ，有 I m b S ( α , β ) ≤ 4 ，由定义2知， λ ( S ) = 8 。

4) S没有不动点，即对任意的 x ∈ F 2 4 ，有 S ( x ) ≠ x 。

定义4 (差分活跃S盒 [ 9 ])在一条i轮差分特征 Ω = ( β 0 , β 1 , ⋯ , β i ) 中，若第j轮( j ≤ i )的输入差分 β i − 1 ，导致该轮某个S盒的输入差分非零，则称这条差分特征导致该S盒活跃，简称该S盒是差分活跃S盒。

定义5 (线性活跃S盒 [ 9 ])在一条i轮线性特征 Ω = ( β 0 , β 1 , ⋯ , β i ) 中，若第j轮( j ≤ i )的输出掩码 β i − 1 ，导致该轮某个S盒的输出掩码非零，则称这条线性特征导致该S盒活跃，简称该S盒是线性活跃S盒。

ASD算法S盒在设计时主要遵循下列准则：

1) 单比特输入差分能引起单比特输出差分的差分特征个数为0；

2) S盒是最优S盒；

3) S盒没有不动点，即对于任意 v ∈ F 2 4 ，有 S ( v ) ≠ v ；

4) 单比特输入掩码能引起单比特输出掩码对应偏差非零的线性特征个数为4。

基于上述准则选择了ASD算法的S盒，S盒的选择对于SPN结构算法的安全性具有极大的影响。相较于8比特S盒，之所以选择4比特S盒，是因为8比特S盒不适合轻量级环境。对于选择４比特S盒作为扩散层的分组密码算法，以 Leander等人 [ 8 ] 的仿射等价类研究为基础，选择了一个与PRESENT算法的S盒仿射等价的S盒作为ASD算法的S盒。该S盒具有PRESENT算法的S盒所有的优点。